谷田园

(山东大学法学院，山东 青岛 266237)

基于算法的自动化信息处理、大数据分析、人工智能、区块链、物联网等技术的发展，个人信息的含义与价值得以重塑，间接个人信息内涵的扩张以及对个人信息财产利益的挖掘使得个人信息的不法利用行为日趋复杂化和多样化，譬如垃圾短信、骚扰电话、“大数据杀熟”、精准广告推送等，不仅是对私人空间的侵扰还导致受害人个人财产的损失。个人信息的违法泄露和非法交易还可能会引发国家安全危机。例如，剑桥分析公司(Cambridge Analytica)被指通过数据分析操纵美国总统选举；滴滴公司美国上市引发了通过分析国家公务人员出行轨迹可能导致国家秘密泄露和针对国家公务人员的间谍活动的担忧；结合人脸识别技术和无人飞行器可对特定目标精准打击的武器可能助长恐怖主义蔓延等，从而严重危害个人安全与国家安全，因而亟待建立立体的、多层次的个人信息法律保护体系。在我国刑法保护先行的情况下，对个人信息的私法保护亦日臻完善，《民法典》及《个人信息保护法》(以下简称《个保法》)的出台弥补了通过侵权赔偿救济反制个人信息违法行为路径的不足。民事诉讼程序是法律实施的重要途径，证明责任分配理论则是沟通民事实体法与程序法的重要桥梁[1]，是“民事诉讼的脊梁”[2]，是影响诉讼程序进程中发现真实和当事人败诉结果承担的关键性要素[3]。我国立法采纳了罗森贝克的“规范说”理论，证明责任具有双重含义，即提出证据证明法律关系存在的主观证明责任和承担败诉后果的客观证明责任。本文着重讨论提出证据的责任即主观证明责任的分配问题，并聚焦于个人信息保护纠纷案件中的过错要件事实的举证责任分配，因其不仅是司法实践中判断是否构成侵权的关键事实，也是争议焦点之所在和立法关注的热点问题。《个保法》第69条规定统一适用过错推定原则，结束了实践中对于过错要件事实举证责任分配适用原则的争论，但是对于适用过错推定原则的合理性仍存在不同声音。本文结合分析实践案例、现行法律规范、举证责任理论及域外法相关立法经验，探索符合我国现行法律体系以及当前社会实际需求的应然方案，提出针对《个保法》第69条的优化建议。

一、过错要件事实举证责任分配的现状分析

(一)过错要件事实举证责任分配的规范考察

1.以“规范说”为理论基础

我国举证责任分配规则吸收了德国学者莱奥·罗森贝克的“规范说”理论，即我国所称“法律要件分类说”理论。根据罗森贝克的理论，证明责任具有双重性，包括客观证明责任与主观举证责任。客观证明责任即结果意义上的证明责任，当事实处于真伪不明时，主张法律关系存在的当事人承担不利后果。主观举证责任即行为意义上的证明责任，即提出证据的责任，当事人必须“主张和证明对其有利的规范的条件”[4]，即根据实体法规范对法律关系构成要件事实承担举证责任从而证明自己主张的事实为真实。由此，实体法规范又可以分为基本规范与相对规范两大类。基础规范为本诉请求权的权利产生规范，作为本诉请求权人的当事人主张该权利存在则其需要证明该权利的构成要件事实存在。相对规范为妨碍、消灭、阻却基本规范发生效力的另一规范，阻却基本规范法律效力的产生，通常由另一方当事人主张并承担相应法律构成要件事实存在的举证责任，表现为抗辩权或权利妨碍规范，若据此提起反诉，则为反诉中的基本规范。相对规范举证责任的履行将必然导致基本规范的证明不能，进而由本诉请求权人承担于其不利的诉讼结果。[5]1991年《最高人民法院关于适用<中华人民共和国民事诉讼法>的解释》(以下简称《民诉法解释》)第64条第1次规定了“谁主张，谁举证”规则，而后2001年出台的《最高人民法院关于民事诉讼证据的若干规定》(以下简称《民事证据规定》)第2条，对“谁主张、谁举证”规则作进一步明释，首次明确了举证责任的双重含义，包括行为意义上的提出证据的举证责任(主观举证责任)和承担不利诉讼后果的结果意义上的举证责任(客观证明责任)。由此，我国基本建立了以“规范说”为理论基础的举证责任分配规则。2012年《民诉法解释》第91条进一步基于“规范说”理论完善举证责任分配规则，其第1款首先点明本条规定是举证责任分配的一般原则。而第2款和第3款更是参考“规范说”的内容，[6]分别对应着基本规范与相对规范的举证责任分配规则。

在个人信息保护纠纷案件中，法律构成要件事实包括加害行为、损害结果、过错和因果关系，在无特殊规定的情况下，由主张侵权关系存在的主体承担对上述四项事实的举证责任。其中，过错要件事实举证责任的分配又由实体法规定的归责原则决定，包括作为一般原则的过错归责原则，以及作为特殊原则的过错推定责任原则与无过错责任原则。

2.自由裁量权的从有到无

2019年《民事证据规定》对举证责任作重要调整，其中一项就是删除2001年《民事证据规定》第7条关于法官根据公平原则和诚实信用原则自由裁量举证责任分配的规定，排除了法官在举证责任分配领域的自由裁量权。对此，最高人民法院有以下考量：第一，“规范说”暗含着举证责任分配法定的要求，举证责任分配规则包含在实体法规范中，不应当赋予法官裁量权；第二，第7条的设置本意是通过法官的自由裁量平衡具体个案中当事人诉讼力量的差距，司法实践中不仅没有达到预期效果，反而造成了法官权力的滥用；第三，保留例外规定，针对个案中可能出现的由举证责任分配导致的明显不公平问题，可请示最高人民法院并通过批复的形式解决。[7]因此，在无法律明确规定的情况下，过错要件事实的举证责任必须由主张侵权法律关系存在的当事人承担。

3.过错推定责任原则的从无到有

与个人信息保护纠纷有关的条文主要规定在《民法典》与《个保法》中。《民法典》的人格权编规定了个人信息保护的相关内容，但是该编与侵权责任编均未对个人信息保护纠纷案件的举证责任分配作特殊规定，而《个保法》第69条则明确规定了适用过错推定责任原则。由此引发两个问题：第一，如何定位《民法典》与《个保法》的关系，《民法典》未规定的事项，《个保法》能否作特殊规定；第二，《个保法》统一适用过错推定责任原则是否合理。有论者认为过错推定原则过于激进，不利于相关企业的发展；亦有论者认为其过于保守，应当适用无过错责任原则。对于这些问题，下文将会进一步分析并回应。

(二)过错要件事实举证责任分配的实践检视

《个保法》于2021年11月1日正式实施，2019年《民事证据规定》修改之前的案件法官可行使自由裁量权，其修改之后到《个保法》实施之前的案件则均应当严格适用一般举证责任分配规则。此前的实践案例中已然存在对一般举证责任分配规则的突破，主要体现在个人信息泄露案件中，法官基于公平原则，在原告完成初步举证之后要求被告承担证明其无过错的举证责任。同时，亦有法官对过错要件事实的举证责任倒置持反对意见。以下对两类案件作对比分析，以探求过错要件事实认定争议症结之所在。

1.对过错推定责任原则的支持

在“庞某某诉中国东方航空股份有限公司、北京趣拿信息技术有限公司隐私权纠纷案”中，法官认为庞某某一方提供的证据达到高度盖然性标准，可以证明个人信息的泄露与涉事公司存在因果关系，进而认定涉事公司存在过错。法官认为庞某某已经在其能力范围内最大程度履行了举证责任，继续要求其证明涉事公司的系统存在漏洞是超出其能力范围且不可能实现的，也不应当由其承担，应当由涉事公司继续证明其没有过错，因涉事公司无法证明其不存在过错，故法官认定涉事公司应当承担侵权责任。(1)参见北京市第一中级人民法院(2017)京01民终字第509号民事判决书。类似案件还有“林某某诉四川航空股份有限公司侵权责任纠纷上诉案”(2)参见成都市中级人民法院(2015)成民终字第1634号民事判决书。，法官认为林某某已经在其能力范围内完成了举证，可以证明信息泄露与航空公司存在因果关系，其没有能力继续对其他事实进行举证；而航空公司未能提出证据证明其没有过错抑或证明为第三方原因导致信息泄露，故而认定航空公司侵权行为成立。

在上述个人信息保护纠纷案件中，过错要件的举证责任分配有以下几个特点：第一，行为人过错的判断基于因果关系是否存在。上述两案的裁判逻辑为，如果出现信息泄露的结果且该结果与行为人有因果关系，进而推定行为人有过错。第二，对过错存在的最终认定还取决于行为人能否进一步举证证明其没有过错。因此，在上述案例中，通常认为法官适用了过错推定责任，将过错责任倒置由行为人承担。但亦有观点认为权利人对过错要件承担了初步的举证责任，实质上是减轻了权利人的举证责任，不存在倒置的问题。

笔者认为，上述案件应当认定为适用了过错推定责任原则。过错推定责任其实质为法律上的事实推定，其含义为，权利人首先提出证据证明与过错要件事实无关的其他事实存在，进而根据法律的规定，因其他事实的存在可以推定行为人对损害事实的发生存在过错，作为推定事实的其他事实必须为法定。因推定事实是假定事实不能等同于实际事实，因而可以被推翻，但是推翻之前应当认定其为真实，故而行为人可以通过举证证明自己没有过错避免侵权责任的承担。过错推定原则中法律规定的推定事实的证明难度一定小于过错要件事实的证明难度，而过错推定责任原则设置的目的就是要降低过错要件事实的举证责任难度。[8]其中的举证逻辑为，A为非过错要件事实，根据法律特殊规定，若A存在则过错存在，权利人首先举证证明A存在，进而根据法律规定推定过错当然存在。若行为人欲推翻该逻辑链条，首先可以举证证明A不存在，此时行为人提出的证据是反证；其次可以证明过错不存在，因为此时过错为法律推定的过错，权利人不曾对该要件提出证据，亦不存在法官对该要件事实的自由心证，此时行为人提出的证据为本证，其目的是说服法官对过错不存在形成心证，而不是降低过错存在的心证程度。因而可以得出，适用过错推定责任原则导致的是过错要件举证责任的倒置而非过错要件证明标准的降低。

庞某某案的裁判逻辑可以进一步总结为，根据生活经验推定加害行为与损害结果有因果关系，进而因为存在因果关系推定行为人有过错，此时侵权行为的构成要件全部成就；或者说不能排除损害的客观结果与侵权人加害行为的因果关系，则推定行为人存在过错，在此不问其主观上是否有故意或过失。另一方面，法官认为航空公司应当履行保护消费者个人信息不被泄露的法定义务，而其行为违反了此法定义务，暗含着以违法性推定过错的含义。因此，过错要件的构成事实是通过权利人举证证明非过错要件事实推定而来，权利人实际未直接对过错要件进行举证，实际排除了权利人过错要件事实的举证责任，过错要件事实的举证责任实际由行为人承担，是对过错要件事实举证责任的倒置，符合过错推定责任原则的要求。

2.对一般过错责任原则的坚持

在个人信息纠纷案件中，存在上述案件中对一般规则的突破，但是，因为缺少实体法规范支持，更多的案件依旧适用一般过错归责原则，这也是个人信息纠纷案件中权利人败诉的重要原因。例如，在“马某某诉中国南方航空股份有限公司网络侵权责任纠纷上诉案”(3)参见南京市中级人民法院(2016)苏01民终字第3947号民事判决书。与“谢某与江苏苏宁易购电子商务有限公司网络侵权责任纠纷案”(4)参见阳江市江城区人民法院(2016)粤1702民初1098号民事判决书。中，权利人均因为没能进一步举证证明涉案公司在信息管理上存在漏洞，提供的证据不能认定涉案公司存在过错而被判败诉。此外，在其他个人信息保护纠纷中，司法实践也贯彻适用了一般举证责任分配规则。以“朱某诉百度科技公司案隐私权纠纷案”为例(5)参见南京市中级人民法院(2014)宁民终字第5028号民事判决书。。朱某使用百度搜索引擎搜索特定关键词后，在其他网站出现针对该关键词的推销广告，故朱某以百度利用cookies技术未经允许收集其个人信息侵犯其隐私权为由提起诉讼，一审法院支持了朱某的诉讼请求。但是，二审法院最终判决朱某败诉，其中一个重要理由就是法官认为百度公司停供了隐私协议，已经依法明确告知义务，且朱某点击了确认收悉，百度公司亦在《使用百度前必读》中提供了退出机制。告知同意机制是个人信息商业使用法律保护的重要机制，主要对侵权行为起到事先的预防作用，通常表现为安装软件或者接受服务时，服务提供商提供的隐私协议。然而该隐私协议或因内容过长或因重点条款标注不明，成为一种摆设，成为侵权人逃脱责任的借口。正如在朱某诉百度案中，告知同意机制不仅没有起到事先预防的作用，反而是百度利用该协议躲避了责任的承担。同时，cookies技术是一种自动化程序，其收集、共享个人信息的方式对于用户来说是自动且秘密进行的，而cookies技术实际收集了何种信息又共享给了哪些第三方的证据均由百度公司掌握，如果要求朱某进一步提供证据证明百度公司存在过错实质上是不可能的。类似情况也发生在“顾某诉奇智软件公司案”(6)参见杭州市中级人民法院(2014)浙杭民终字第1813号民事判决书。中。顾某认为，奇智软件公司的浏览器秘密收集了其计算机上安装的其他软件的使用信息侵犯了其隐私权，法院同样以奇智公司在安装软件时履行了告知义务为由，认为侵权行为不成立。

(三)法律规范对实践经验的吸收

如前文所述，个人信息保护体现出司法先行的特点，针对司法实践中的不同裁判经验，《民法典》与《个保法》在规定个人信息保护条款时进行了选择与吸纳。

1.以《个保法》为统一规范

如前文所述，《民法典》与《个保法》对于个人信息保护纠纷案件的过错要件事实举证责任分配选择了不同的路径，分别规定了一般过错责任原则与过错推定责任原则，因此对于该立法中的矛盾应该如何解读是首要任务。笔者赞同吴沈括博士的观点。《个保法》是公民个人信息保护的“顶层法律设计”[9]，综合规定了个人信息保护的各项内容，是个人信息保护统一立法的最终成果，统合了民法、刑法、行政法等各部门法中关于个人信息的规定，可以被理解为我国个人信息统分合一模式下立法体系中的基本法，是个人信息保护领域的特别法，全面规定了包括个人信息保护的目的、原则、个人信息权人的权利、个人信息处理者的义务、监督机构、法律责任等。因此，《民法典》与《个保法》的规定并不冲突，与个人信息保护有关的纠纷解决应当优先适用《个保法》的规定。笔者认为，我国对于个人信息的立法保护采取了统分结合的模式，以《个保法》为总则统一规定个人信息保护的基础框架，同时以其他部门法中的个人信息保护条款为补充，构成完整的个人信息保护法律体系。

2.以过错推定责任为统一原则

《个保法》第69条明确了过错推定责任原则，吸收了前述庞某某案的裁判经验。首先，承认了个人信息保护纠纷当事人因技术原因在举证方面存在能力差异。其次，发挥归责原则在调节举证能力以及损失赔偿方面的优势，根据纠纷特点规定相对应的归责原则，符合证据法与侵权法的要求。第三，过错推定责任原则法定，如何解读“个人信息权益造成损害”是关键。《个保法》中关于个人信息处理者的法定义务以及作为个人信息主体可主张权利对象的具体处理行为的规定实际暗含了个人信息权益造成损害的具体表现形式：当个人信息处理者的行为构成对法定义务的违反，或者未配合个人信息主体为一定的行为时，则其行为具有了违法性，并推定有过错。违法性为法律上的事实判断，以行为的结果为判断标准，当结果出现时则视为违法，具有客观性；过错或过失则是对行为人主观意思的判断，当行为在客观层面具备违法性时，法律追究行为人的责任是否还要进一步考虑其主观上的意思表示当由法律明确规定，类似于刑法领域的犯罪构成“两阶层”理论。[10]对此，应当理解为该条对于行为人过错的判断采用了客观过错说，以行为的违法性推定行为人具有过错，[11]是法律推定的过错。

二、一体化模式的局限性

我国当前对个人信息纠纷案件过错要件事实的举证责任分配采取了一体化模式，即统一适用过错推定责任原则。结合司法实践，适用过错推定责任原则的案件具有特殊性，大致可概括为行为人使用网络手段导致其与权利人之间的举证能力存在差异和行为人违反法定义务两个特点。但是，综观《个保法》等相关法律，受法律规制的个人信息处理行为类型多样，并非全部具有前述特点，并且排除一般过错归责原则和无过错归责原则的使用是否合理也存在争议。过错要件事实举证责任分配采用一体化模式尚存在以下局限性。

(一) 统一的分配规则难以涵盖类型多样化的侵权行为

个人信息保护纠纷案件呈现多样化特征，侵权行为呈现类型化特征，各类案件当事人之间举证能力的差异各不相同，对于过错要件事实的证明难度亦存在差异，统一的分配规则难以适应个人信息权益侵权行为司法规制需求。

1.个人信息保护纠纷中的典型侵权行为

根据《个保法》《民法典》《网络安全法》《信息安全技术——个人信息安全规范》等规定，个人信息侵权行为可以大致概括为以下几种典型类型。

第一，未经同意的收集，包括违反告知同意原则并侵犯个人信息权人知情权的秘密收集和过度收集。点击流数据、cookies和web bugs等技术的应用，使得收集行为可以秘密进行，过度收集典型表现为手机软件强制用户以手机号注册账号，或强制收集通讯录及地理位置信息等与其业务无关的信息，否则无法提供服务的情形，明显有违信息收集的合目的性原则和限制收集原则。

第二，未经允许和导致歧视结果的自动化决策。通过自动化决策对个人信息主体进行精准画像是个人信息利用的主要方式。通过前期大量收集个人信息形成大数据库，进而利用基于算法技术的大数据分析手段，可以轻易分析出特定信息主体的行为习惯、兴趣爱好、消费能力、年龄、家庭住址等个人信息。基于对信息主体的精准画像，进而可以根据信息主体的个人特点，向其推送专门化定制的广告并诱导消费，包括常见的微信朋友圈、微博等社交媒体推送的营销广告，或是根据不同信息主体的不同消费水平，就同一商品做不同定价，这就是所谓的“大数据杀熟”现象。近年来，各大电子商务平台相继曝出同物不同价的丑闻，或因人而异，或因地点而异，或因是否有会员资格而异。发展迅速的健康产业，如运动手环、家庭健康监测设备等也是基于自动化决策技术、人工智能技术提供服务。与传统基于云计算(cloud computing)的自动化决策不同，医疗康养软件多基于雾计算(fogcomputing)提供服务，即个人身体数据存于本地，通过本地的网关、移动设备或其他网络基础设施进行计算提供健康指导。虽然一定程度避免了身体数据上网存在的泄露风险，但是这种计算同样可能产生运算偏差导致不利后果。[12]此时的侵权行为与前述基于云计算自动化决策的侵权行为不能等同。

第三，数据泄露。个人信息处理者的数据泄露行为包括经营者主动泄露和未尽信息安全保障义务的被动泄露。主动泄露主要表现为以谋取不正当利益为目的非法交易和非法共享个人信息，以及为第三方行为人窃取用户个人信息提供便利。被动泄露可以分为经营者管理不善导致的内部员工故意或过失产生的信息泄露，以及未做好安全防护措施，导致黑客或者其他第三方入侵系统非法获取用户个人信息。虽然直接行为人不同，但这两类情形都可归因于个人信息处理者未尽到法定义务。

第四，数据共享。数据共享是当前个人信息流通的常见方式，例如携程等出行服务整合平台，与平台商家共享其收集的用户信息。如前述庞某某诉东航和趣拿案，用户通过趣拿平台购买东航的机票，使用的是趣拿公司提供的手机软件，东航公司亦可通过趣拿公司数据库开放的接口，共享趣拿公司的用户数据。又比如百度、谷歌等公司提供广告业务，允许第三方接入其数据库或通过cookies等截取流量的技术获取用户浏览信息等。

第五，未经允许的公开。这种行为常见于网络服务提供商。例如，未经学员同意，培训机构私自将学员的照片和成绩公布于网站。再如近期深陷刹车丑闻的特斯拉公司。特斯拉公司研发并销售智能汽车，车载智能设备自动收集行车数据甚至录音、录像。其用户在网络公开投诉其刹车存在问题后，特斯拉公司未经用户同意公开了其收集的用户行车数据。

第六，拒绝个人信息主体行使查阅权、复制权、可携权、更证权和删除权。《个保法》赋予个人信息主体查阅权、复制权、可携权、更证权和删除权等一系列基于个人信息自决权的权利，信息处理者有义务配合权利人行使权力，当信息处理者无正当理由拒绝权利人的合法请求时，权利人有权依法向人民法院提起诉讼。在欧盟法院审理的“谷歌隐私权案”(7)See CJEU, Case C-131/12 [2012] OJ C165/11.中，西班牙报纸《先锋报》(La Vanguardia)刊登了由社保所依据西班牙劳动和社会事务部(Spanish Ministry of Labour and Social Affairs)的指令发出的强制出售物业债务的决定，并上传了该报纸的网络电子版，物业所有人马里奥·冈萨雷斯(Mario Costeja González)的名字也因此被公布。在拍卖结束十几年后，Costeja在谷歌搜索自己的名字时，在搜索结果中发现该份公告，便要求报社删除相关数据但遭到拒绝，而后其以谷歌西班牙子公司为被告向西班牙数据保护局(AEPD)提起诉讼，后被上诉至欧盟法院。基于个人信息自决权，权利人有权要求信息处理者删除与己有关的个人信息，在不违反公共利益保护等法定不得删除的情况下，信息处理者应当删除。

2. 个人信息侵权行为的类型化分析

上述侵权行为又可以根据不同的标准进一步归纳为以下几种类型。

(1)基于行为人在侵权行为中的地位

虽然上文部分列举了多种个人信息侵权行为，但是从举证责任的分配角度出发，根据行为人在侵权行为中的地位，可以归纳为三类行为：“直接侵权行为”“未尽法定义务+第三方侵权”“主动侵权+第三方侵权”，而在“已尽到法定义务+第三方侵权”这一情形中，行为人并不存在侵权行为无需承担侵权责任。这一分类主要涉及网络服务提供者是否享有“避风港”原则赋予的侵权责任豁免。

“避风港”原则是指基于技术的中立性，以及鼓励企业经济和技术发展的考量，作为中介的网络服务提供商不对发生在其平台上的侵权行为承担责任。例如，提供网络交易平台的电子商务平台，通常情况下不对交易双方之间发生的违约或侵权行为承担责任。但是，作为服务中介的网络服务提供者是个人信息的管理者，保有大量的个人信息，考虑数据泄露后的严重后果以及网络服务提供者的技术能力，因而其通常被要求承担一定的安全保障义务。

直接侵权的情形包括未经允许的公开以及拒绝个人信息主体行使查阅权、复制权、可携权、更正权和删除权。此两种情形具有侵权行为清晰、证据易得的特点，并不存在由于技术导致的证据偏在以及举证能力差异的问题。未经同意的收集以及未经允许的自动化决策也是直接侵权的表现形式，但是此二者涉及通过算法进行自动化处理的情况，加大了信息主体对过错要件的举证难度。

“主动侵权+第三方侵权”“未尽法定义务+第三方侵权”“已尽到法定义务+第三方侵权”则是共同侵权或共同危险的不同表现形式。第一，对其直接侵权或帮助或与第三方合谋侵权的行为，信息处理者当然承担相应的侵权责任。通常情形是非法的数据买卖。第二，针对未尽到法律义务而造成的第三方侵权，信息处理者当承担相应的侵权责任。这是基于过失侵权原则的要求，即民事过失责任的承担在于“行为人违反了对他人的注意义务并造成对他人的损害，行为人对受害人应负的注意义务的违反，是行为人负过失责任的根据”[13]。对已经尽到合理注意义务的个人信息处理者，不得再让其负担第三方导致的侵权责任，因为此时其行为与第三方的侵权行为不再具有法律上的因果关系。

(2)侵权行为是否基于自动化处理技术

从技术角度出发，侵权行为又可以归纳为两类，即基于自动化处理技术和非基于自动化处理技术的行为。

是否借助互联网信息技术是造成个人信息处理者不同侵权行为损害程度不同的核心原因，借助自动化处理技术是导致侵权行为危险程度增强和难以被证明的重要原因。基于预设算法程序运行没有人工的干预，造成网络个人信息侵权行为具有极强隐秘性。欲要证明行为人有过错需要先证明程序运行有问题，然后证明程序的运行问题由行为人造成且可以避免，因此由行为人提交必要的电子数据以及对程序进行鉴定可能成为必要条件，这必然加剧个人信息主体的举证难度。以是否运用自动化处理技术为依据对网络用户个人信息侵权行为进行分类，有利于后续构建合理、有效的举证责任分配制度。

(3) 特殊行为主体的责任承担

在上述各类纠纷中，还暗含两种符合法律规定之特殊主体构成侵权行为进而承担侵权责任的情形。一是从行为人与个人信息处理程序的关系角度出发，个人信息侵权行为可以分为：程序的开发者和程序的使用者侵权行为。此种分类的实质在于不同行为人对程序的了解程度和使用不同。举例说明，法院的“智慧法院”系统通常是由第三方机构研发，法院本身并不了解系统的运行机制，只是根据系统提供的功能进行使用。当个人信息发生泄露时，既有可能是法院人员操作不当导致，亦有可能是系统底层架构、程序本身存在问题。此时如果追究责任，程序的开发者与使用者对程序的掌握和了解程度并不相同，在证明过错要件时应当承担不同的责任。根据《民法典》关于产品生产者承担无过错责任的规定，如果个人信息纠纷案件中的当事人有符合该规定的情形，应当适用无过错责任原则。二是符合《民法典》用工单位责任承担的情形。以英国的“莫里森(Morrisons)数据泄露案”为例，其员工为报复公司私自泄露客户信息并承担了刑事责任，莫里森公司虽然证明泄露行为并未得到公司的授权并且采取了合理的防止信息泄露措施，一审高等法院(8)See Various Claimants v WM Morrisons Supermarket Plc [2017] EWHC 3113 (QB), [2018] 3 WLR 691.与上诉法院(9)See WM Morrison Supermarkets Plc v Various Claimants [2018] EWCA Civ 2339, [2019] QB 772.仍然判决其承担替代赔偿责任，认为符合用工单位责任承担的情形。但案件上诉至最高法院后结果反转，最高法院认为只有当雇员的行为与他们在工作中的职责密切相关时，雇主才能对他们的行为负责，因而免除了莫里森公司的替代责任。(10)See WM Morrison Supermarkets plc v Various Claimants [2020] UKSC 12, [2020] 2 WLR 941.根据我国《民法典》规定，上述两类主体应当承担无过错责任，适用无过错归责原则，显然与《个保法》第69条规定相矛盾。

综上所述，个人信息侵权行为存在多种形式，每种形式各具其特点，不宜简单适用统一的举证责任分配规则。

(二)统一的分配规则不符合归责原则的功能目的要求

过错要件事实的举证责任分配规则以实体法规定的归责原则为基础。归责的含义是判断谁来承担损害赔偿责任。[14]因为损害赔偿法的基本原理是“享有权益者自担损害”，所以将损害赔偿责任归于“享有权益者”之外的他人需要存在特殊理由，即归责事由。[15]有损害是归责的前提，又依据自我责任原则和其衍生的肇事原则要求，行为人行为需对权利人造成损害，且对损害结果的发生具有过错，而非意外导致。[16]因此，过错是归责的核心事由，归责原则是判断由谁承担赔偿责任所遵循的依据，对过错事由是否要证明以及由谁来证明的不同要求形成了三种归责原则：过错责任原则、过错推定责任原则和无过错责任原则。三种归责原则并非同时产生，而是法律为了适应社会发展和科学技术进步逐步调整产生。结合上文对个人信息侵权行为的类型化分析，不同侵权行为受科技发展的影响不同，对当事人双方举证能力的影响亦不同，如果适用统一的分配规则不符合归责原则适应社会发展、平衡当事人能力，平衡损害赔偿与经济发展的功能目的需求。

过错归责原则是最基本的原则。法理上，该原则体现了个人主义、自我责任原则的要求，行为人享有其行为的有利后果并承担不利后果，同时不应当为他人的过错承担责任。在社会发展层面，为了促进经济的发展，提供安全的发展环境，过错归责原则充分给予行为人自由和安全的发展空间，避免其承担不必要的损失。[17]在该原则下，由权利主体对过错要件进行举证。

过错推定责任原则，是过错责任原则适应社会需要的延伸发展，其核心还是过错责任。资本主义的发展导致了以下问题：雇主与雇员两个阶层在各方面存在能力差异；科学和技术的发展使得部分领域的知识专业程度过高而不得为所有人所知，证明行为人存在过错的难度过高。[18]由此，过错推定责任应时而生，其含义、实质和举证逻辑如前文所述。过错推定责任原则的目的就是要倒置过错要件举证责任而非降低非过错要件证明标准。

无过错责任原则是适应社会发展、进一步解决过错要件事实难以举证的产物。无过错责任原则不再以过错为归责事由，不再以行为人的主观意识为归责依据，而是以作为客观因素的风险和控制力为归责事由，是一种补偿责任。关于风险，一方面，在工业化时代，技术和设备本身就存在风险，损害结果并非立马可见的，但是存在造成损害的巨大可能性，这种风险是社会发展的必然产物，很难要求某一个人承担由此带来的损害赔偿责任；但是另一方面，受到损失的人应当获得赔偿。因此，法律要求技术、设备的管理者，通常为组织，对损害结果承担无过错责任，对受损害人进行补偿。控制力事由的成立必须存在一个直接的行为人和一个可以控制行为人的控制人，控制人有以下几个特点：对直接行为人或者造成损害的物品或者动物在观念和行为上有支配力；行为人创造的利益由控制人享有；控制人拥有更强的赔偿能力。同时，由于无过错责任是一种补偿责任，要避免相关组织和控制者承担超出其能力范围的赔偿责任，通常伴随着成熟的保险规则，由整个社会共担发展所要承担的必然风险。[19]如我国《民法典》中规定监护人、动物饲养人和产品生产者均承担无过错责任。

(三)统一的分配规则不符合分配规则功能目的要求

功能与目的是规则设计的前提依据。举证责任分配规则是证明责任功能目的实现的具体方式，证明责任作为民事诉讼法的一部分当然受民事诉讼程序功能与目的的影响。而举证责任分配规则存在上述问题的首要原因就是功能与目的的不明确，具体要从民事诉讼程序与证明责任制度的功能目的两方面进行分析。

1.民事诉讼程序以实现公正与效益为目标

行为都有目的，目的背后是价值的选择，价值选择是设计制度规则的统领和最高遵循。基于价值的选择进一步衍生出具体原则的选择和发展。[20]举证责任的“程序规则说”和“实体法规则说”的争论由来已久，有学者认为举证责任本质上是实体法的问题，[21]有学者认为“证明责任法定化是不可能实现的乌托邦”，证明责任应当归为程序法问题。[22]但是，无论秉持何种观点都无法否认其与民事诉讼程序的密切关系，举证责任的分配规则当符合民事诉讼程序的功能和价值选择。

根据《民事诉讼法》第2条规定，民事诉讼法的任务是发现案件事实，实现实体公正。诉讼的过程是解决纠纷的过程，是发现案件事实，正确适用法律，最终公正裁判的过程。[23]诉讼的价值在于实现实体公正，而尽最大可能地客观再现争执事实是实现实体公正的必要前提，[24]而诉讼中再现客观事实就是通过分配给当事人举证责任，由当事人提出证明案件事实的证据的方式实现。实现实体公正是举证责任分配应当遵循的首要价值要求。其次是效益价值，其包含两层意思：一是实现当事人双方利益的平衡从而解决纠纷，二是时间上的效益即效率，迟到的正义不是正义。[25]

2.证明责任以帮助法官作出判决为根本目的

证明责任的意义在于法律的实践中，在构成要件不确定的情况下帮助法官作出终局判决，即首要功能是帮助法官裁判的功能。法官在法律要件事实真伪不明时不得拒绝裁判，因此证明责任制度帮助法官判决未能证明其主张为真实的当事人承担不利后果。提出证据的责任即举证责任被视为证明责任“诉讼外的意义”，[26]承担不利后果倒逼提出主张的当事人提供证据证明主张的真实，同时另一方当事人则为了阻止权利人利益的实现提出于己有利的其他事实。因此，证明责任具有双重性特点，其中占主导的是客观证明责任。

同时，证明责任具有帮助民事诉讼法实现公正与效益的功能，具体来说就是帮助发现实体真实，同时暗含维护“法秩序”，亦即，使得存在纠纷的法律规范恢复如初的功能。故而，证明责任的功能决定了在受大陆法系影响的国家，举证责任的分配制度以“规范说”为原则。另一方面，功能和目的必须是可实现的，举证责任的分配规则是证明责任功能与目的实现的重要保障，因而罗森贝克认为在证明责任法定的背景下，举证责任的分配更加重要。[27]分配规则是关于主观证明责任的规则，即由谁提出证据的规则。从维护法秩序角度出发，当事人提起诉讼则法秩序存在不稳定，长期的不稳定则将威胁到法秩序的存在；从当事人角度出发，法律的权威在于实施，权利人在举证责任的分配规则下是有实现权利效力可能性的，即法律构成要件事实是可以提出证据证明的，证据对于权利人来说是可获得的，如果证据完全没有获得的可能性或者获取的难度过于大，权利人则没有动力提起诉讼，放任纠纷的存在，其功能目的也无法实现，规则被弃之不用则失去其权威。因此亦可得知，利益衡量原则其实暗含在举证责任规则之中。

3.兼顾利益衡量与风险防控是举证责任分配规则的应有之义

根据利益衡量说理论，法律关系主体各有其个人利益，在两种利益进行对比时必须有参照物，通常为法律的“制度利益”，同时对比要遵循一定的利益位阶，经过对比最终得出哪一方当事人的利益更值得保护。[28]实体法是举证责任分配的前提依据，突破举证责任的一般原则只能由实体法明确规定，而实体法规定特殊情形时当然考虑法律主体间的利益平衡，考虑法规范意图实现的目的。遵循利益平衡原则，正视个人信息主体与个人信息处理者现实存在的悬殊的力量对比，个人信息主体存在举证上的困难，以及这种悬殊不符合法律实现公平与效益的目的追求，适用特殊证明规则因而是必要的。首先，根据网络技术的特点，个人信息处理者是相关技术和数据的控制者，个人信息主体很难获得个人信息处理者侵权的证据，同时根据“行为人不证其罪”的共识，无法期待个人信息处理者会主动提交于己不利的证据。其次，基于知识掌握上的差距，网络环境下个人信息保护纠纷表现出的高度专业化，个人信息处理者在相关知识的掌握上明显优于个人信息主体，无疑进一步加大了二者在能力上的不平等。第三，网络侵权行为的证据以电子数据为主要形式，而电子数据离不开鉴定，如果由个人信息主体承担一般侵权举证责任并负担高昂的鉴定费用，无疑相当于直接判定个人信息主体败诉。考虑法律制度公平效益的追求，鉴于二者在经济实力上的差距，应当在特定情况下要求个人信息处理者承担更重的举证责任。

风险预防原则是现代性语境下的基本原则，现代社会语境下的法律制度应当符合现代性的要求。现代社会的基本特征就是风险社会，知识风险是其中的重要内容。一方面，知识形成垄断，出现了专家集团；另一方面，科学本身存在风险，人类对科学的判断局限于当前的认识水平，很难宣称对某一科学技术是完全了解的。[29]科学技术随着人类的认知不断发展进步。网络技术作为现代社会的产物，其侵权后果具有不可控性，举证责任分配规则需要引入风险预防原则。网络技术发展日新月异，对个人信息的保护愈加困难。首先，大数据技术的发展使得个人信息的匿名化成为一纸空谈，只要拥有足够多的数据样本，通过算法技术对数据进行分析，都能够完成个人信息的重新显名化。同时，人工智能的发展存在难以预测的不确定性，人们担忧，模仿人脑思维的人工智能会否脱离人类的掌控。再次，数据的可复制性以及无法彻底删除的属性，使得个人信息一旦泄露，损害将永远无法挽回。基于网络技术的上述特点，法律作为规制社会秩序的重要手段，应当发挥其预防和威慑作用，举证责任规则的设置也应当回应这一要求。

侵权法本身伴随社会的发展在不断调整，从过错原则到过错推定原则再到严格责任下的无过错原则便是顺应风险社会发展和平衡纠纷双方利益的结果。[30]适用特殊举证责任规则，加重个人信息处理者的举证责任是符合利益衡量理论与风险预防原则的选择。个人信息处理者作为互联网技术的开发者和使用者，作为个人信息数据的管理者和控制者，加重其举证责任有利于鞭策个人信息处理者积极遵守法律规定、履行法律义务。

因此，根据前述分析，统一的举证责任分配规则难以满足案件多样化的需求，而现行法律规定排除了公平原则的适用，因而需要实体法在具体领域作出回应，对过错要件事实的举证责任分配做特殊规定。根据案件类型制定多样化的分配规则可能会被诟病为过于复杂、不利于实施，但是根据前述分析，个人信息保护纠纷案件虽然类型多样，但总体可以依据是否使用自动化处理技术与行为主体类型两条路径进行归类，兼顾多元化与可实施性。

三、三元归责模式下的举证责任分配

基于个人信息侵权行为是否使用自动化技术以及行为主体类型两条类型化路径，批判性吸收欧盟《一般数据保护条例》(以下简称《欧盟数保条例》)和德国2018年《联邦数据保护法》(以下简称《德国数保法》)的立法经验，结合我国《个保法》《民法典》等相关规定，建议构建三元归责模式下的个人信息保护纠纷举证责任分配制度，在《个保法》第69条规定的过错推定原则基础之上，细化过错推定原则的适用条件，增加适用一般过错责任原则与无过错责任原则的情形。

(一) 域外经验的批判性分析

《欧盟数保条例》第82条规定了个人数据控制者和处理者的法律责任。根据第82条第2款规定，参与处理的任何控制者如果违反《欧盟数保条例》应当承担赔偿责任，处理者如果违反《欧盟数保条例》要求其承担的法律义务或者超出控制者提供的工具合理使用范围的行为应当承担责任。第82条第3款规定控制者和处理者如想免责，则需要证明其不应当在任何方面对损害事实负责。

《欧盟数保条例》有以下几个特点：第一，从体系解释的角度分析，《欧盟数保条例》属于欧盟统一数字市场战略下制定的法律规范，侧重于数字经济的立法规制，对象为以电子数据为载体的个人信息即个人数据，法律关系主体限定为网络服务提供者与网络用户。[31]第二，采纳以行为违法性为判断依据的客观过错说，控制者与处理者承担过错推定责任。根据文义解释，《欧盟数保条例》序言第146条和正文第82条使用了“not to be responsible(不承担任何责任)”而非“fault(过错)”这一术语，应适当理解为只要造成了《欧盟数保条例》规定的损害结果，除非排除因果关系的存在，否则不论是否具有主观过错都应当承担赔偿责任。[32]第三，《欧盟数保条例》暗含了自动化处理的含义。电子数据的处理过程是基于程序本身的设计逻辑进行，在程序完成开发之后，由程序自动运行，极少存在人工干预的情况。在数据收集的入口端，或由信息主体主动提供数据，或由程序自动收集，而控制者和处理者对信息主体主动提供数据的行为免责。第四，控制者被赋予更多的监管义务。根据第82条第4款规定，多个控制者与处理者同时存在则对外承担连带责任，结合第24条规定，处理者需在控制者允许的范围内处理数据。因此，当处理者违规处理数据时，控制者虽然并不直接实施违反《欧盟数保条例》规定的行为，但可能被认定承担无过错的连带责任。

《德国数保法》第83条第1款规定了个人信息侵权的无过错责任以及过错推定责任，责任承担以侵权行为是否基于自动化处理或非自动化处理为依据。这是出于对自动化技术导致信息处理者与个人信息权人能力差异的考虑，信息处理者可以在短时间内利用自动化处理技术处理大量数据或链接而自然人难以干预控制这一处理过程。[33]加之自动化处理在技术上呈现出难以预测性，如错误或过时的信息也可被长期存储，企业之间可以做到实时数据共享和调阅信息等，这些复杂的自动化技术使得信息控制者侵犯个人信息的可能性显著增加。[34]因此，德国法针对自动化信息处理行为选择适用无过错责任，对采用非自动处理技术的行为适用过错推定责任。其次，该部法律第1条第1款限制了该法的适用范围，仅适用于纯粹使用自动化技术的处理行为和部分使用自动化处理的行为。

域外法的不同选择实际暗含了不同的价值选择。《德国数保法》更加侧重于对个人信息权人的补偿，只要有损失就要有补偿，但可能存在信息处理者的责任负担过重的问题。参考英国的“莫里森(Morrisons)数据泄露案”，其员工为报复公司私自泄露客户信息，而莫里森公司虽然证明泄露行为并未得到公司的授权并且尽到了合理的防止信息泄露的措施，但仍然被判决承担替代赔偿责任。《欧盟数保条例》与《德国数保法》对比，二者采取了不同的类型区分标准，前者以信息管理者对数据的控制力大小为标准，虽统一适用过错推定原则，但要求控制者承担更广泛的侵权责任且在特定情况下承担无过错连带责任，承担赔偿责任的范围与控制力大小相适应；后者直接以侵权行为是否运用自动化技术为划分依据，两种类型的侵权行为分别适用不同的归责原则。《德国数保法》的规定更加概括，《欧盟数保条例》暗含适用自动化处理行为的同时，还进一步区分了两类数据处理者；但是《欧盟数保条例》更加注重个人数据主体与数据处理者的利益平衡，未扩大无过错原则的适用。

(二)过错要件分配规则三元归责模式的构建路径

我国《个保法》第69条规定应当吸取域外立法的经验并根据个人信息的处理方式和侵权行为的类型做细致化规定，基于以下两条优化路径，构建三元过错要件事实归责模式。

首先，《个保法》并没有将保护范围限定于基于计算机与互联网技术的以电子数据为表现形式的个人信息的处理行为。技术的发展程度是影响举证能力的重要原因，归责原则的设置应当充分考虑权利人的举证能力，因而应当为非技术参与下的处理行为规定一般过错责任原则，或者增加限制本法适用范围的条款。一是建议参考《德国数保法》以是否使用自动化技术为依据，分别适用一般过错责任原则以及过错推定原则。同时，在条文中增加规定，明确适用客观过错说。二是建议借鉴《欧盟数保条例》的条文表述，将《个保法》第69条第1款修改为：个人信息处理者基于自动化技术处理个人信息，行为违反本法规定的义务和要求并侵害个人信息权益造成损害，不能证明自己对损害没有责任的，应当承担损害赔偿等民事责任。

其次，应当增加无过错责任的适用情形。一方面，如上文莫里森案，如果适用了过错推定责任原则，损害结果已经发生，个人无能力赔偿而公司免除了责任，将会出现无人赔偿的结果。无过错责任的出现就是为了解决“有损害但是没有赔偿”的尴尬局面，此时要解决的是应当由谁承担补充赔偿责任。因此，可以规定部分主体承担无过错责任，如政府和部分企业。政府作为国家管理者，有维护公共利益、保护公民权益不受损害的法定职责；其次，政府拥有强大的赔偿能力，政府机关参与的个人信息侵权行为应当承担无过错责任。对于企业来说，保障个人信息的安全亦是一种社会责任。掌握大量个人信息或设计信息处理底层程序架构的企业，其享受由个人信息带来的巨大收益的同时又是风险的管理者且具有强大的控制力，有些技术如区块链仅由部分企业掌握，其对个人信息风险的控制力甚至强于政府，应当承担更多社会责任，符合无过错责任原则的功能目的。对于企业个人信息保护纠纷无过错责任的承担，可以参考英国对企业社会责任的规定，上市公司与其他公司分别适用强制性规则与任意性规则。另一方面，莫里森案实际也暗含用工单位承担无过错责任的要求。如果个人信息保护纠纷案件符合《民法典》关于用工单位责任承担的情形，用工单位应当承担无过错责任。还有，在个人信息保护纠纷案件中存在开发者与使用者侵权的情况。自动化处理技术实际为一套运行程序，运行程序实质也是一件由其开发者生产的产品，使用者购买程序并使用向用户提供服务。根据《民法典》关于产品生产者承担无过错责任的规定，如果个人信息纠纷案件中的当事人有符合该规定的情形，应当适用无过错责任原则。《欧盟数保条例》对控制者与使用者进行区分也体现了产品生产者承担无过错责任的要求。此外，无过错责任原则的适用需要配套完善的社会风险承担政策以分担责任人的责任，但鉴于我国当前相关政策尚不完善，因而应当谨慎适用无过错责任原则。因此，建议第69条增加一款，作为第2款：符合《民法典》侵权责任编对有关责任主体特殊规定的，依照《民法典》相关规定，原第2款作为第3款。

四、余论

以个人信息保护纠纷为代表的新型权利纠纷是人类社会高速发展的产物，对该类纠纷的规制应当符合社会发展的规律。新型权利纠纷通常是科学技术发展的产物，具有复杂性和多样性的特点，需要法律的精细化治理。新型权利纠纷通常也是多种利益碰撞的结果，且利益的影响范围广于传统权利纠纷，无论选择保护哪一方利益，另一方都有可能遭受不可预估的危害结果，要求法律规范要谨慎规制。新型权利纠纷基于新技术的产生而产生，亦会伴随着技术的发展而不断变化。未来，我国对于个人信息纠纷的治理还需根据实践经验不断调整和完善。