李启佳

一、信息化时代个人信息侵权责任问题概述

(一)个人信息的概念

《中华人民共和国民法典》(以下简称《民法典》)明确地规定了个人信息的概念①《民法典》第1034 条:个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息，包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱地址、行踪信息等。及类型。 其中一般信息是指已经被公开的信息。 随着时代的变迁，公民个人信息的收集成了促进商业发展的重要因素。 对于销售者来说，他们可以通过便利的技术，非常精准地满足消费者的需求以获得更高的经济效益。 但是个人信息作为一种权益而存在，信息利用者虽然可以通过各种高精准的方式获取到公民的个人信息，但是其要获取信息时必须征得公民个人的同意。 未经权利人同意，不得使用其信息。

(二)个人信息的特征

公民个人信息的首要特征是可识别性，即可以单独或者结合其他的信息被识别。 这里对于可识别性，学者们有着不同的看法，比如王利民教授认为，只要具备公民的个人信息可以被信息利用者直接或者间接被识别的可能性就可以[1]。 而范伟教授则进一步提出在 “可识别性” 之外需考虑关联性因素。 个人信息 “关联性” 表明从已知的 “某个特定个人” ，进一步知晓该个人其他信息[2]。 笔者认为，只有公民的个人信息通过直接或者间接方式被识别以后，存在外界因素的介入，并且个人权益受到损害以后，才可以被视为个人信息受到了侵犯。 公民个人信息的第二个特征是关联性，即信息利用者可以通过其所收集到的公民的部分个人信息，从而能够获取到其他的信息，进而具体到某个特定的信息拥有者。 只有信息被识别以后可以具体到人，才可以被视为是公民的个人信息，才可以判断信息利用者的行为是否侵害了民事主体的个人信息权益，才能追究侵权人的侵权责任。

(三)个人信息的法律属性

关于公民个人信息的法律性质有着不同的观点，第一种观点是 “民事权利说”[3]，第二种观点是 “民事权益说”[4]，第三种观点是 “公法权力说”[5]。通过上述观点可以看到，第一种观点和第二种观点认为个人信息的法律属性在民法的范围内，第三种观点则是站在公法的立场上，认为个人信息的法律属性不属于民法范围。 这三种观点的共性在于，都认为公民的个人信息权的行使仍然要受到一定的限制[6]。 民事主体对于其个人信息享有支配性，但是也会受到排他性的约束，只有当民事主体的权益受到外界的介入进而受到损害以后才能发挥其价值， “信息” 具有流通性，个人信息作为利益的聚合体，隐藏于个人信息中的价值流通性是个人信息不完全专属特征的有力支撑。 如果一味地强调其独有的排他性，那么信息的流通性的价值将会受到影响。

二、个人信息侵权责任构成要件的展开

(一)个人信息违法侵权行为

在生物技术高度发展的21 世纪，公民的很多个人信息通过一些技术手段就可以获得。 个人信息侵权行为的类型中，第一类是未经公民个人的同意，通过不正当手段收集公民的个人信息。 原因在于通过正当的途径，信息收集者将会花费大量的成本和精力。 第二类是大部分的消费者缺乏必要的保护意识，人们习惯于享受社会生活的便利性，而对于保护自己的个人信息的意识较薄弱。 第三类是公民的个人信息被不当管理。 这种情况主要是信息管理者的管理系统存在漏洞，即使商家征得了消费者的同意，合法地收集了公民的个人信息，但是由于其管理系统存在漏洞，致使收集到的信息没有被妥善地保存，以至于出现泄露等情况。

(二)个人侵权行为所造成的损害后果

个人信息侵权损害事实包括财产损害与精神损害。 财产所造成的损失是明确的，可以具体化的损失类型。 例如受害人受到电信诈骗，遭受到了具体的金钱方面的损失。 而精神损害是一种无法用实物进行评估的损害。 例如，由于公民遭受到了电信诈骗，导致自己无法维持正常的生活，由此产生精神上的压力、心理问题等[7]。 《民法典》规定，只有行为人的行为对公民产生严重的精神损害时，才能要求进行精神损害赔偿。 然而，对于精神损害的认定标准也有很大的争议，如果降低标准将会出现大量的精神损害赔偿的诉讼问题。 这对于有效地解决纠纷是非常不利的。

(三)个人信息侵权行为和侵害结果之间具有因果关系

在侵权责任制度中，存在两个基本的构成要件，即侵权行为与损害结果，只有这两个环节具有引起与被引起的关系时，才能追究侵权人的侵权责任。 由于个人信息侵权行为可能发生在多个主体与环节之间，导致个人信息侵权中的因果关系也存在多种形态。 一条个人信息遭到泄露，人们往往不知道泄露源头在哪里，期间有多少人对于该个人信息进行了不正当的买卖。 在司法实践中需要考虑的问题是，如何认定各个主体之间的责任，以及各个主体之间如何承担责任。 这就需要结合具体的案情去判断侵权主体，以及损害赔偿责任。 笔者认为，可以承认侵权行为与损害后果之间的联系的，只要能够证明侵权行为和损害后果之间存在 “原因力” ，就可以认定侵权行为与损害后果之间存在因果关系。 因为公民的个人信息侵权存在多种因果关系的类型，如果仅承认直接的必要的联系，那么多因一果情况下的因果关系是很难得到认定的，在实践中可以通过判断 “原因力” 的大小来判断具体的侵权主体所要承担的侵权责任。

(四)侵权行为人存在过错

在侵权责任中，过错下的侵权责任可以分为一般的过错侵权责任和过错推定的侵权责任，其中过错推定侵权责任只有在法律明文规定的情况下才适用。 在《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)颁布之前，对于个人信息的侵权责任适用的是一般的过错侵权责任，也即在这种侵权形态下，权利受到侵害的人需要举证证明自己的个人信息权益受到了侵害，并且自己因为侵权行为遭受到了损失。 但是由于信息侵权往往具有高科技属性，被侵权人很难有明确的证据证明自己受到了侵害，由此《个人信息保护法》对于个人信息实行了过错推定责任，个人信息处理者需要举证证明自己对于其所收集的个人信息尽到了充分的义务，否则就要承担侵权责任。 这对于更好地维护公民个人信息起到了重要的作用。

三、我国个人侵权制度中的不足

(一)个人信息侵权损害认定困难

损害是行为人承担侵权责任的前提条件。 在个人信息侵权过程中，侵权损害的认定存在着很大的困难。 由此不同的法院对于处理个人信息侵权事实的认定的看法是不同的，有的法院认为，只有原告举证证明的实际损失才属于侵权损害赔偿的救济范围；也有法院认为，如果公民的个人信息被征得同意的信息利用者之外的第三人知晓并利用的话，也可主张损害赔偿。 由此需要考虑的问题是，如果损害认定标准过于宽泛，那么将导致有大量的个人信息侵权案件，加大法院的压力。 相反，如果损害认定标准界定过于狭窄，则结果可能有大量的主体的权益没有办法得到应有的赔偿。 还需要注意的问题是，现在信息化的方式越来越新颖，将会出现现在的个人侵权行为会对未来产生影响，对于这种将来会发生损害的侵权事实如何承担举证责任也是一个值得考量的因素。

(二)个人侵权责任承担方式的欠缺

《个人信息保护法》虽然规定了当信息利用者侵犯了他人的个人信息权益的时候需要承担财产赔偿责任，对于是否有其他的责任承担方式却并没有明确的规定。 由于个人信息侵权不同于一般的侵权，有些责任承担方式是无意义的，例如恢复原状或者返还财产。 因为一旦公民的个人信息受到侵犯，那么信息顷刻之间就会被他人所知晓或者利用。 返还财产或恢复原状基本是无意义的。 再者，对于公民个人信息侵权来说，一旦信息遭到泄露，即使及时获得了有效的补救，也不能完全消除其带来的影响。

(三)损害赔偿的数额较低

个人信息，由于是个体的信息受到了侵犯，其所能获得的赔偿的数额较低。 这表明，侵权人可以通过较小的代价获取到公民的个人信息，以此获取巨额利润。 一旦侵权案件发生，那么侵权者所承担的赔偿数额并不高，侵权者仍然是获利的。 那么侵权行为也就无法从根源上得到遏制。 在现行的侵权制度中，被侵权人的权利无法得到充分的救济。因此，有必要考虑建立完善的事前预防和事后救济的侵权责任体系。

四、完善我国个人信息侵权责任制度的建议

(一)明确个人信息侵权中损害的认定标准

《个人信息保护法》规定了个人信息必须要在遭受到损害以后才可以寻求救济，但并未对损害认定做出明确规定。 因此，应当对个人信息侵权中 “损害” 行为进行深入探究，并且有必要考虑个人信息的特殊性。 例如不同的类型下所造成损害的特殊性，以此来判断侵权行为是否给信息拥有者造成了损害。 《民法典》将公民的个人信息分为一般信息和隐私信息[8]，同时也对侵犯公民隐私信息的行为做出了具体的规定。 由此在发生个人信息侵权行为时，要具体地判断其属于公民个人信息的一般信息还是属于隐私信息。 如果两者中的隐私信息被侵犯，那么应当优先使用有关隐私权保护的法律规定。 因为公民个人的隐私信息涉及公民的个人尊严和私人生活安宁，其受保护的程度应当最高。同时，可以考虑将由个人侵权所造成的风险归入损害的范围[9]，以加大对于个人受到侵权的救济力度，减少个人信息侵权的举证责任的认定标准中的确定性和客观性的程度，更好地救济当事人。

(二)健全个人信息侵权的司法救济途径

个人信息侵权，因为涉及数据库庞大，侵权人在实施个人侵权行为时，所侵害的不单是被侵权人个人的权益，在很大程度上也会侵犯到社会的公共秩序，导致信息的流通价值受到毁损。 由此，在这种大规模的个人侵权案件发生以后，由于主体庞杂，可以由国家机关，例如检察院或者电信网络的有关组织代表被侵权的主体提起诉讼，以此来维护被侵权人的利益。 有关组织在提起公益诉讼时，应当充分听取被侵权人的相关意见。 在诉讼完成以后，可以设置专门的账户，向被侵权人进行公告或公示，统一根据具体情况来发放损害赔偿金。 同时也应加强对个人信息的监管，加大各方主体对于个人信息侵权的监管。

五、完善个人信息侵权损害赔偿标准

首先，《个人信息保护法》对于公民的个人信息的处理者的义务以及侵权损害赔偿的规则做出了明确的规定，推进了我国个人信息保护体系化的进程。 但是其所规定的承担损害赔偿责任的主体是非常有限的，因为其只能适用于信息处理者，其他的主体侵权则不属于规定范围。 笔者认为，可以将信息处理的内涵进行延展，以便于更好地救济民事主体的权利。

其次，为了有效地解决在司法实践中所出现的个人信息的拥有者所遭受到的损失无法得到明确的补偿数额，且被侵权人通过不正当的方式处理个人信息所获得的利润也无法明确的情况下出现的问题。 由法院根据被侵权的信息属于一般信息还是私密信息来酌情确定赔偿的数额。 同时，也需要对酌情有一个比较明确的标准，例如根据信息的不同类型，还有侵权人的主观的心理状态，以及对被侵权人所带来的风险的大小等因素来综合判断。最后，还应该加强对其事前的预防与控制，加大监管力度以及惩治的力度，以便于构建更加合理和完善的个人信息侵权的救济体系。

六、结语

近年来，个人信息侵权的案件层出不穷，人们在享受了科技所带来的巨大的便利的同时，个人信息在不同程度上也遭受到了不同程度的侵犯。 这成为学界广泛讨论的热点。 本文通过对个人信息的概念进行界定，对个人信息的法律属性进行梳理，以及对于个人信息侵权责任的构成要件进行具体分析以后，针对个人信息侵权责任制度的不足提出了具体的建议，例如考虑风险的因素，酌情确定损害赔偿数额等，以达到发挥事前预防和事后救济的双重功能，更好地保护民事主体的权益。