徐小凡

(中国民航大学 法学院，天津 300300)

随着无人机产业链配套逐渐成熟和市场价格的降低，无人机市场关注度持续攀升，无人机客户规模呈现指数级增长。[1]无人机目前应用于众多领域,收集个人信息的需求不断增加，侵害个人信息权益的问题也日益严峻。无人机集云台相机技术、航拍传感技术和GPS导航定位技术于一身，利用搭载的高清运动摄像设备和悬停功能长时间跟踪拍摄，这就使得在使用无人机时对个人信息权益的侵害变得更为隐秘和精确。《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)第69条规定，个人信息处理者对个人信息权益的侵害应当承担相应的责任。通过这一条的规定，可以界定无人机侵害个人信息权益的场景，并对其构成要件进行明确。

一、无人机侵害个人信息权益的场景化分析

根据场景化理论的分析，个人信息权益保护的内在逻辑是动态地保护个人信息安全，“强调结合具体场景进行针对性保护，防控具体的风险，反对笼统泛化个人信息的保护”[2]。无人机具备强大的信息收集优势，其灵活敏捷能够轻易飞入私人领域进行拍摄，能够实时获取画面及收集生物特征、生活习惯等个人信息，并通过远程无线传输将获取到的信息直接传递至地面数据站。无人机使用者正是基于无人机的这一特殊性，在使用无人机获取个人信息时可能并未尽到告知义务，从而存在侵害个人信息权益的情形。目前，无人机应用于社会生活众多领域，因此需要区分不同主体使用无人机的不同场景，并进行专门的场景化分析。

(一)个人使用者侵害个人信息权益的场景

无人机个人使用者侵害个人信息权益的方式一般是违法违规收集个人信息。香港联合新闻网于2020年8月18日报道，广州一位私人侦探利用无人侦察机追踪被调查者，非法搜集被调查者的行踪、家庭地址等个人敏感资料，并利用这些收集到的个人信息进行营利活动[3]。无人机个人使用者作为个人信息处理者，在使用无人机收集信息前未告知被调查人并获得其同意，这一行为侵害了被调查人的个人信息权益。此外，无人机个人使用者还能够将窃取个人信息的装备安装在无人机上，在无人机飞过人们头顶时窃取人们的用户名、密码或者信用卡信息甚至是人们的家庭地址信息。

无人机窃取个人信息的过程一般是这样的：人们在使用手机时，通常会将手机Wi-Fi打开，这时搭载窃取个人信息装备的无人机会飞到一个离人相对较近的位置并伪装成手机曾经接入过的无线网络，此时如果手机没有关闭Wi-Fi功能，手机Wi-Fi就会自动与无人机伪装的无线网络连接。用户手机一旦接入黑客网络，个人密码、邮箱等许多个人信息都有可能被窃取。随着无人机的应用领域日益广泛，使用无人机的个人主体也逐年增多。无人机个人使用者利用无人机可以更便利更隐蔽地获取到公民的个人信息，而且大多数情况下公民被窃取个人信息时并未发觉，因此被侵权人想要维权也很难找到侵权主体。

(二)商事主体侵害个人信息权益的场景

互联网收集用户个人信息需遵循“知情—同意”模式，在收集个人信息前网页会弹跳出一个页面，提示用户如果想要继续使用则需要对用户的个人信息进行收集。如果用户勾选同意选项则视为互联网企业已经对收集个人信息的行为尽到了告知义务，且表明用户同意其收集行为。但是无人机的销售者、制造者在收集用户信息时并未遵循“知情—同意”模式，用户可能并不知道在购买和使用的过程中就已经泄露了个人信息。无人机云开发者也存在对个人信息权益造成侵害的可能性。无人机云开发者利用自主开发的APP就会收集图像和视频等相关信息，无人机云开发商的云数据库会自动同步更新这些数据，这时无人机用户的个人信息会被一览无余，而这些用户的个人信息就存在被他人滥用的可能。

与此同时，除了无人机的制造者、销售者、开发者存在非法收集公民个人信息权益的可能，其他商事主体在使用无人机过程中也会侵害公民的个人信息权益。亚马逊公司在2017年获得了一项专利，它搭载了一种能够扫描用户房子的构造和图像的系统，而无人机则能将其发送到亚马逊公司的数据库中。亚马逊公司的图片识别算法能够对这些信息进行分析，并确定顾客对哪些商品有兴趣，从而将它们用电子邮件或者其他有针对性的广告提供给顾客。[4]亚马逊公司作为个人信息处理者利用无人机将收集到的客户房屋结构和图像信息这些个人信息进行自动化决策，但是亚马逊公司只是在网页上征求了登录用户的同意，并未得到周边其他非用户的知情同意。因为无人机在扫描客户房屋结构和图像信息时，也会收集到周边其他非用户的客户房屋结构及图像信息。亚马逊公司未经过周边其他非用户的同意，无权收集其客户房屋结构及图像信息等个人信息并根据收集的信息进行图像分析，亚马逊公司这一行为侵害了周边其他非用户的个人信息权益。商事主体在使用无人机收集用户个人信息时，未以显著明晰的方式向个人信息主体完整准确地告知相关事项或者违反用户的个人信息处理目的和处理方式，超越处理范围的行为应当认定为侵害用户的个人信息权益。

(三)政府部门侵害个人信息权益的场景

随着无人机技术的不断成熟，政府部门也开始在疫情防控、交通指挥等众多领域使用无人机。在开展大规模核酸检测工作中，无人机利用热成像技术对公众的体温进行测量，可以便捷高效地识别体温异常者；在防疫站点卡口，无人机也可以对过往人群体温进行筛查。政府部门通过无人机搭载的高清摄像头可以在公众场合及时识别未佩戴口罩的人员，能够做到精准防控。政府部门还可以通过无人机在执行防疫任务时实时直播无人机图像数据至指挥中心或其他地区。2022年1月，天津交通部门在天津站利用无人机图传抓拍、喊话和投送等功能，这不仅拓宽了哨兵监视视野，还能在遇到情况时第一时间图传事发区域，为指挥员精准指挥提供了支撑。[5]政府部门在应对突发公共卫生事件或执行任务过程中，不需要取得公民的同意就可以处理公民的个人信息。在疫情防控场景中，疫情防控得到控制后应该封存、销毁个人信息，因为已无必要再留存个人信息。[6]因此，政府部门在突发公共卫生事件或执行任务结束后，如果将无人机收集到的公民个人信息泄漏或超出法定职责范围使用并且违反有关法律规定将这些个人信息交给无权使用和处理的人员，就应当认定为政府部门侵害了公民的个人信息权益。

二、无人机侵害个人信息权益的归责原则

(一)国内外无人机侵害个人信息权益归责原则的立法考察

我国在规制无人机侵害个人信息权益方面没有相应的特殊立法，在涉及个人信息权益受到侵犯的情况下，《个人信息保护法》可以对其进行规制。《个人信息保护法》第69条是确定个人信息处理者侵害个人信息权益造成损失赔偿责任的准则。[7]其中第69条第2款对个人信息权益遭受损失的归责原则以及如何确定损失金额进行了界定。[8]498然而在《个人信息保护法》的起草过程中，学界对侵犯个人信息权益的归责原则却众说纷纭，主要存在以下三种观点：

1.过错责任说持过错推定责任说的学者认为，侵害个人信息权益造成损害的应当适用过错责任原则。此种侵权行为的基本性质是侵害隐私权，其与侵害名誉权、肖像权等侵权行为相似，应认为属于一般侵权行为，所以应当适用过错推定责任。[9]

2.无过错责任说持无过错责任说的学者认为，侵害个人信息权益造成损害的应当适用无过错责任原则。[10]当公民因个人信息权益遭受侵害提起诉讼时，公民无须证明侵权人存在过错，侵权人仅限于免责的法律事由而免除其对侵权行为的损害赔偿责任。这一观点主要来源于2018年生效的欧盟《通用数据保护条例》(GDPR)中对数据控制者和数据处理者侵害个人信息权益的无过错责任归责原则的规定。《通用数据保护条例》第82条第2款、第3款明确了数据控制者和数据处理者在侵害个人信息权益时都要适用无过错原则，如果公民要求上述两种行为均负侵权责任，则不应由公民来证明数据控制者或数据处理者有过失。

3.区分说持区分说的学者认为，在不同情况下应该区别个人信息的侵权行为，同时在侵权行为中归责原则也应是不同的。在我国台湾地区“个人资料保护法”的条文中，对公务机关和非公务机关侵犯个人信息权益的责任原则进行了区分，规定公务机关对公民个人信息权益的侵害，应当适用无过错责任，但对非公务机关侵害个人信息权益的，应当适用过错推定责任。

这是因为国家机构在收集个人信息时出于国家管理的目的，一般情况下公民无法进行选择，因此为了更好地保护公民的个人信息权益，当出现公务机关侵权的情形时，应当适用无过错责任原则。2018年美国最新修订的《联邦数据保护法》区分了采用自动化处理技术与非自动化处理技术下产生损害赔偿的归责原则。在自动化处理技术的情形下，适用无过错责任。如果控制者违反本法或其他相关数据保护法规，在处理个人数据时给数据主体造成损害的，数据主体可以向控制者提出赔偿的请求；在非自动化处理技术的情形下，采用过错推定责任，如果数据控制者已经根据相应情况采取适当措施，则无须承担赔偿责任。[11]公民个人信息在自动化处理技术的情形下，受害人难以提供侵权人存在过错的证据，如果适用过错推定原则可以适当减轻受害人的证明责任，从而更好地保障受害人的个人信息权益。而在非自动化处理技术的情况下，受害人和个人信息处理者处于同等的信息技术能力，因此应当适用过错责任。

(二)无人机侵害个人信息权益适用过错推定原则的场景化分析

个人信息侵权归责原则的规定是审理大数据视域下个人信息侵权案件、解决网络信息侵权纠纷的重要依据。[12]无人机侵害个人信息权益存在着不同的场景，需要结合过错推定原则对不同的场景进行分析。

1.在个人使用者侵害个人信息权益场景下过错推定原则的适用未经个人信息权益者同意收集个人信息是无人机个人使用者侵犯公民个人信息权益的主要方式。无人机利用自身所具备的高清分辨率、悬停功能与视野广阔等优势在个人信息收集中一骑绝尘。当受害人发现个人信息权益已经受到损害时，无人机个人使用者已经操控无人机离开收集领域，使得受害人难以找到侵权人。侵权人还可能利用时间差将收集到的个人信息进行删除破坏，侵权人对个人信息的处理更具优势。如果这时要求受害人提供侵权人存在过错的证据，无疑加重了受害人的负担，受害人将面临无法提供证据从而败诉的风险。因此，在无人机个人使用者侵害个人信息权益场景下适用过错推定原则，通过让无人机个人使用者提供证据证明自己没有过错，可以减轻受害人的举证责任，平衡双方的利益关系。

2.在商事主体侵害个人信息权益场景下过错推定原则的适用商事主体使用无人机侵害个人信息权益的场景主要表现在对用户的个人信息收集前未对用户尽到充分告知并获得其同意的义务或者是超越实现其处理目的所必需的最小范围使用个人信息。商事主体相较于用户个人更加了解无人机的使用方法，其处理个人信息的技术手段对于收集到的个人信息更具操控能力，商事主体更有能力举证自己不存在过错。与此同时，在处理无人机商事主体侵犯个人信息权益的案例中，将过错推定原则应用于商事主体，由商事主体承担举证责任以证明其无过失，才能更好地体现企业的社会责任。通过这样的方式能够督促商事主体在信息处理活动中尽到合理的注意义务，遵循个人信息处理正当化原则和最小化原则。然而，如果商事主体利用无人机侵犯了用户的个人信息权益并造成了一定的损害，那么就要求商家对其承担侵权责任，这无疑太过于严厉。这样容易加重商事主体的举证责任，并造成商事主体和用户之间双方法律关系的失衡。

3.在政府部门侵害个人信息权益场景下过错推定原则的适用政府部门出于公共管理的目的使用无人机对公民的个人信息进行收集，但是在无人机履行公共管理职能结束后应当及时封存销毁无人机收集到的个人信息，如果超出职能范围违规将无人机收集到的公民个人信息泄露或者使用，使公民因此遭受损失，则视为政府部门侵害了公民的个人信息权益。根据区分说的观点，在涉及公务机关侵害公民个人信息权益时，应采取无过错的原则；而在非公务机关的情况下，则应适用过错推定的原则。如果将无过错责任理论应用于公务机关侵犯个人信息权益，就会增加政府部门的管理成本。政府部门可能会为了避免承担过重的侵权责任，投入大量的时间精力成本对无人机收集的海量个人信息进行审查和管理，这容易造成政府部门工作的本末倒置。同时，假如对政府部门侵害公民个人信息权益的行为一概而论，不论其是有过错还是无过错，均应承担相应的损害赔偿责任，这会在某种程度上阻碍政府部门对个人信息的合理使用，不利于政府部门职能的履行。

无人机侵害个人信息权益存在着不同的场景，因此，法院在适用无人机侵害个人信息权益的不同归责原则时，既要从当事人的法律关系出发，又要兼顾具体的侵权情形，还要兼顾法律规定、社会成本、证明能力。这样才能在双方当事人之间进行合理的举证责任分配，从而实现真正的公平与正义。

三、无人机侵害个人信息权益成立侵权责任的构成要件

(一)无人机侵害个人信息权益构成侵权责任的请求权基础

在无人机侵害个人信息权益的损害赔偿责任成立之后，首先要解决的是加害人如何承担责任与承担多少责任的问题。《民法典》第1182条规定：侵权人侵害公民人身权益造成财产损害的，应该按照被侵权人受到的“个人损害”或侵权人因此“获得的利益”进行赔偿。《个人信息保护法》第69条第2款中的“损失”可以定义为财产损失或精神损失。当受害人因无人机侵害个人信息权益的行为受到损害时，可以依据该条款向侵权人索赔。“遭受的损失”或者“获得的利益”可以作为前两条法律规定的侵犯人身权益造成财产损失的计算数额的标准。可以说，《个人信息保护法》第69条第2款是《民法典》第1182条规定的特别法，依照《民法典》第11条规定，具有优先适用的效力。[7]

《个人信息保护法》第69条对“侵害个人信息权益的行为应采用过错推定原则”做出了规定。 这一条的规定不能适用于确定其他一般义务主体的侵害个人信息权益的损害赔偿责任，其他一般义务主体损害赔偿责任的确定应当适用《民法典》第1182条。本文所探讨的无人机侵害个人信息权益的损害赔偿，仅限于无人机信息处理者侵害了公民的个人信息权益的情形，在此种情形下应当适用《个人信息保护法》第69条第2款的规定以确定侵权人的损害赔偿责任。

1.在个人使用者侵害个人信息权益的场景下请求权基础的适用个人使用者侵害个人信息权益的行为一般表现为使用无人机盗取或窃取公民的个人信息，而且行为手法也相对隐蔽，因此找到侵权者一般存在较大困难。如果找到侵权者之后还需要受害人证明侵权者存在过错，那无疑就加大了受害人证明侵权行为成立的难度。在个人使用者侵害个人信息权益的场景下，优先适用《个人信息保护法》第69条就意味着不需要受害人证明侵权人存在过错，这样将大大降低证明侵权行为成立的难度，从而有效保护受害人个人信息的合法权益。而在需要证明具体损害时，《民法典》第1182条就发挥了作用，从这一角度来说，《民法典》第1182条可以在一定程度上补充《个人信息保护法》第69条。

2.在商事主体侵害个人信息权益的场景下请求权基础的适用商事主体侵害个人信息权益的行为主要表现在商事主体未遵循“知情—同意”模式即未征得用户的知情同意就擅自收集用户的个人信息，并滥用这些个人信息。因为商事主体是在交易过程中获取用户个人信息的，所以商事主体在使用时一般不会征求用户的同意，即用户对它们的使用行为一无所知。在商事主体侵害个人信息权益的场景下，如果由用户来承担举证责任，则实属强人所难。因此，在这一场景下优先适用《个人信息保护法》第69条，即商事主体证明其不存在过错更加符合公平原则。同时如果用户能够证明自己所受到的损失，则商事主体则需要根据这一情况承担损害赔偿责任。

3.在政府部门侵害个人信息权益的场景下请求权基础的适用政府部门侵害个人信息的行为体现为政府部门出于公共目的使用无人机收集公民的个人信息，在公共事件结束后将公民的个人信息泄露或超出履行法定职责所必需的范围使用。政府出于公共目的收集公民的个人信息，公民一般都会配合政府部门的工作并默认政府部门会妥善保管其个人信息。政府部门具有一定的公信力，所以在政府部门不当泄露公民信息或超出职权范围使用时，公民一般处于未知状态且也不会认为是政府部门的不当行为造成他们的个人信息泄露。在政府部门侵害个人信息权益的场景下优先适用《个人信息保护法》第69条，由政府部门承担其自身不存在过错的证明责任，这在一定程度上可以约束政府部门对权力的滥用，也可以平衡政府部门与公民双方之间的平等地位。如果这时《个人信息保护法》第69条可以满足证明侵权行为成立的需要，则可以不适用《民法典》第1182条。

(二)无人机侵害了个人信息权益

侵害个人信息权益的加害行为必须是个人信息处理行为，即个人信息的收集、使用、加工、传输、提供等行为。[13]作为和不作为是前述加害行为的表现形式。作为是指未经过他人的同意擅自收集他人的个人信息或者超越处理目的及范围使用；不作为是指对于收集到的个人信息没有采取必要的保障措施导致个人信息泄露。无人机侵害个人信息权益的作为主要体现在以下两种情形。

第一种情形是无人机使用者对个人信息的不当收集，这是指无人机使用者未遵循“知情—同意”原则，利用无人机拍摄记录与悬停功能窃取公民的个人信息或者超出范围使用收集到的个人信息。比如无人机使用者使用无人机飞入私人领域，收集公民的生物特征及生活习惯等个人信息或者利用无人机搭载的窃取信息设备窃取公民的银行账号和密码，对个人造成严重的经济损失，影响信息主体的正常生活。

第二种情形是指无人机使用者对个人信息的不当利用，这是指无人机使用者对无人机收集到的个人信息超过处理范围进行使用。比如无人机的制造者、销售者将用户购买无人机时登记的个人信息披露给第三方或者进行贩卖。无人机侵害个人信息权益的不作为主要表现在无人机使用者对收集的个人信息未尽到妥善管理的义务，导致个人信息被窃取和篡改。如果无人机使用者在公民个人信息泄露后并未采取必要的补救措施也应当视为不作为的情形。

(三)无人机侵害个人信息权益的行为造成了损害

侵权行为的成立必须以侵害行为的存在为要件，造成实际的损害是侵权行为损害赔偿请求权的基础。精神损害和财产损害是无人机侵害个人信息权益的行为造成损害的两种表现形式。个人信息权益不受侵害是人格尊严和精神自由的象征，无人机侵入私人领域违法收集个人信息容易引起公民的心理焦虑和不安，还会给公民的私生活带来侵扰，更有甚者会严重影响公民的日常生活，给公民带来精神损害。在无人机侵害个人信息权益的行为中，造成财产损害的情形更为突出。无人机个人使用者利用无人机搭载的窃取信息装置能够非法获取公民的支付密码，通过支付密码盗刷和转移资金，给公民造成财产上的巨大损失。同时，无人机的制造者、销售者、开发者可能将无人机获取的相关信息非法提供或泄露给第三人进行牟利，而第三人利用这些个人信息给公民发送诈骗信息，可能会进一步造成公民的财产损害。

(四)无人机侵害个人信息权益的行为与损害存在因果关系

因果关系是指违法行为作为原因，损害事实作为结果，它们之间存在前者引起后果、后者被前者所引起的客观联系。[14]96公民在提出无人机侵害个人信息权益诉讼时，应当提供证据证明无人机实施的侵害个人信息权益的行为与造成的损害之间存在因果关系。只有当侵害行为与实际损害之间存在关联时，侵权责任才能成立。受害人在无人机侵害个人信息权益的情形下，一般难以找到侵权主体或者难以证明到底是其中的哪个主体侵害了自己的权益，只能对可能存在侵害的全部主体提起诉讼，这时受害人往往很难提出准确的证据证明这些被告的侵害行为与自己的损害之间存在因果关系，在这种情况下将面临败诉的风险。现在有些法院在处理侵害个人信息权益案件时会适当减轻原告的证明责任，只要原告能够证明被告存在侵害个人权益的高度可能性，而被告如果不能推翻这种高度可能性就会被认定为存在侵害个人信息权益的行为，那么就有可能认为，无人机侵害个人信息权益的行为与受害者遭受到的损害之间存在因果关系。法院在无人机侵害个人信息权益案件时，可以参考一般侵害个人信息权益案件的处理方法，适当分配当事人之间的举证责任。

(五)无人机个人信息处理者存在过错

《个人信息保护法》第69条第1款中明确指出，在侵犯个人信息权益时，应当采取过错推定原则，也就是说，无人机个人信息处理者只有在证明自己没有过错的情况下，才能免除其侵权责任。过错分为故意和过失两种情形。在无人机侵害个人信息权益中，故意是指无人机信息处理者未尽告知义务及未经公民同意非法收集、使用和处理公民的个人信息，比如出于牟利目的将无人机收集的公民个人信息非法出售。过失是指无人机个人信息处理者未尽到个人信息的妥善保存义务或者是在个人信息泄露、丢失后未及时采取处理措施给受害人造成实际损失。无人机信息处理者在个人信息泄露或丢失这些情况发生后，假如能够马上采取必要的补救措施并及时上报相应的主管部门，这时就可以认为无人机信息处理者不存在过错。所以，如果无人机个人信息处理者有违法行为或者没有履行对公民个人信息的保护义务，那么就可以认为其是存在过错的。如果无人机个人信息处理者可以证明其处理所采集的个人信息并不是非法处理行为，或者在发生紧急事件时他们已经履行了对个人信息的保护义务，就可以排除其存在过错的推论。

四、结语

在无人机侵害个人信息权益案件中，首先需要区分无人机侵害个人信息权益的不同场景，主要分为个人使用者、商事主体和政府部门侵害个人信息权益这三种场景，场景不同则需要进行不同的场景化分析。其次，还需要明确侵权责任的请求权基础和成立要件，被侵权人可以以《民法典》第1182条和《个人信息保护法》第69条作为向侵权人索赔的依据，而成立要件则需要满足侵权行为成立的四大要件。如果《民法典》第1182条和《个人信息保护法》第69条发生冲突，则需要根据《个人信息保护法》第69条明确侵权人的损害赔偿责任。如果无法确定被侵权人自己所受的损失或者侵权人所获得的利益，就需要按照第69条第2款中规定的“根据实际情况确定赔偿数额”。其中规定的“实际情况”也可以参照适用《民法典》第1182条中“实际情况”的判断标准。另外,《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》第12条第2款也规定了50万元范围内的赔偿数额。而对于无人机侵害个人权益带来的侵害损失较小的，可以实行最低限额赔偿标准，这样可以极大调动公民的维权积极性。通过实行最高赔偿数额和最低赔偿数额确定实际情况的损失范围，能够更有效地维护公民的个人信息权益。