刍议个人信息侵权责任的认定
——基于《个人信息保护法》
2023-09-10范肇宇
范肇宇
(上海市浦东新区人民法院,上海 201299)
近年来,随着网络信息产业的迅猛发展,个人信息面临更大被侵害的风险,被侵害的形式相较传统侵权更为多样也更为隐蔽。 正是在这一背景下,《个人信息保护法》于2021 年11 月1 日正式施行,其明确了不得过度收集个人信息、大数据杀熟、滥用人脸识别技术等,开启了个人信息私权保护的新时代。 随着公民法律意识的增强,社会公众对个人信息侵权行为的救济诉求显著提高,民事法律实务中个人信息侵权案件数量逐步增多,因此《个人信息保护法》的出台,对个人信息侵权责任的认定有新的指引及重要的参考意义。
一、个人信息内涵的明确
《民法典》对于个人信息的内涵进行了明确,并将传统民法上的隐私权与个人信息权相区别,做了一般个人信息、公开信息、私密信息的分类,以定义加列举的形式进一步明确了我国法律体系语境下个人信息的法律内涵。 在具备“可识别性”的基础上,随着网络科技的发展,个人信息所囊括的具体范围会出现一定程度的变化,可以预见,法律意义上个人信息的类别与表现形式会随之发展、变化。
从《个人信息保护法》的措辞可知,立法者倾向于将个人信息作为一种民事权益加以保护,即将之称为“个人信息的保护”而非一种权利的保护,从立法机关未将个人信息权列为民事权利之一写入《民法典》可为之佐证。 笔者认为,虽然目前理论界对个人信息是民事权益还是民事权利尚有争论,但是不影响个人信息在权利本质上接近于具体的人格权,同隐私权、肖像权一样,是一种独立的、需要法律、社会保护的人格权[1]。
二、个人信息侵权责任构成要件
(一)侵权行为
《民法典》规定,处理个人信息应当遵循合法、正当、必要原则。 合法原则的主要内容包括信息处理者需在法律法规的框架下对信息进行处理。 合法原则既包括了法律、行政法规的禁止性规范,也包括公共秩序和善良风俗等社会观念[2]。 《个人信息保护法》对“处理”给出更为明晰的定义,对于法条中列举的使用、公开等行为必须符合正当性和必要性原则,不得滥用处理行为。
《个人信息保护法》对信息的处理原则进行相应归纳,包括合法与必要原则、诚信原则、正当性原则、公开透明原则等,需要重点解读的是第七条规定的公开透明原则,这是当前实践中个人信息侵权案件中最为突出的问题之一。 当前实践中运营商特别是网络平台掌握大量的客户个人信息资源,多数个人信息侵权事件大多违反了公开透明原则,在未获得相关法律法规授权以及用户本人同意的情况下,就擅自对外提供或披露用户的个人信息,导致个人信息遭到滥用,且在侵权过程中,往往还伴随着其他违法行为,如利用网络木马、钓鱼网站等形式非法获取甚至窃取用户信息予以传播,此种情况下用户甚至很难察觉其权益已遭受损害。
关于行为模式,个人信息侵权行为一般分为积极的侵权行为和消极的不作为侵权,法条中列举的各种行为方式多为积极的个人信息侵权行为。 与之相对,在实践中存在超时持有信息主体的个人信息、不履行信息主体要求删除信息的请求等行为,则是典型的消极的不作为侵权行为。
(二)损害后果
从狭义上来说,个人信息侵权的损害后果是指侵权人的某种侵权行为已经对信息主体的权利造成了某种实质性的侵害,有实际损害后果的发生;从广义上来说,不需要实际发生损害结果,只要对信息主体的信息权利存在妨害、障碍、威胁,就能囊括在个人信息侵权的损害后果中。 《个人信息保护法》第四十八条和第五十条规定了个人的“解释说明权”,即被侵权人可以要求个人信息处理者对处理信息的行为要求释明,即使尚未发生实际的损害或仅仅存在风险。 若个人信息处理者拒绝请求的,个人可以依法向人民法院提起诉讼。 故从以上条文的设立来看,立法者将个人信息侵权的损害后果做了扩大化解释,如果个人信息处理者没有依法对个人提起的疑问进行合理的解释说明,个人即可依法向法院提起诉讼。 故从立法精神出发,笔者认为,对于个人信息侵权损害后果的认定可以做宽泛化的解释,而不仅仅认定实质性的财产损害。
从司法实践看,与实质性财产损害相对的即是抽象化的精神损害,该程度化要件的判断依据一般都需要法官的自由裁量来具体把握。 我国在侵权案件中适用精神损害赔偿较为保守,个人在举证环节存在一定的难度。 笔者认为,在当前信息网络平台迅猛发展的社会背景下,侵犯个人信息的行为违法成本较低,相关社会舆情层出不穷,也正是基于此背景,《个人信息保护法》才应运而生。 故过于保守的认定规则不仅会给予个人信息侵权者侥幸心理令其继续肆意侵权,也不利于引导社会公众规范使用网络媒介,因此在损害后果及精神损害程度方面应以较为宽松的标准进行认定为宜。
(三)因果关系
因果关系是构成过错侵权责任的重要因素之一,相较于条件说,因果关系说对个人信息侵权行为的认定更为合理,因为个人信息侵权行为通常还伴随有精神损害,有学者称其为“违法行为的社会化特点”[3]。从个人信息侵权行为的特点来看,适用相当因果关系学说对于存在多责任主体、多侵权环节的侵权形态的判定更具有适用性及合理性,如果未经同意,信息处理者因不当处理个人信息,导致他人精神利益遭受损失,这种条件就具有相当性,可以认定侵权行为和损害后果间存在法律上的因果关系。 从现实的实践角度出发,由于个体对“相当性”在个案中的判断标准难以统一,在个人信息侵权案件的处理中适用相当因果关系说同样也有其不足之处,例如较为依赖于法官的自由心证、法官自由裁量权过大、容易引起“同案不同判”等问题,这些问题可能需要依赖于后续的司法解释或审判指导来予以完善。
《个人信息保护法》以作为和不作为两种形式正反向规范了信息处理者的处理义务,降低了因果关系认定的难度。 例如该法第五十一条规定了个人信息处理者应当采取相应措施确保个人信息的安全管理及使用;第五十四条规定了个人信息处理者应定期进行合规审计;第五十五条、五十六条规定了个人信息处理者事前进行评估工作的相关要求;第五十七条规定了事后的立即补救原则及通知义务。 以上条文从事前、事中、事后的不同时间节点对个人信息处理者的义务作了详细的要求,在立法环节上最大程度减轻了实践中因果关系认定的难度,具有相当的前瞻性和可操作性。
(四)主观方面
法学家耶林曾对过错有过如下陈述:“并非损害而是过错使侵权行为人负有损害赔偿的义务。”故行为人是否具有主观过错是一般侵权责任的构成要件之一,而主观过错一般分为故意和过失两种形态。
故意分为直接故意及间接故意,在个人信息侵权案件中,大部分的侵权行为都是个人信息处理者在抱有直接故意的心理状态下实施的,例如法条中列举的滥用、公开、删除等行为,这些多以“作为”形式所表现出来的侵权行为可以归类于直接故意的情形。 间接故意则是行为人对于危害结果持放任的心态,例如在实践中的网络平台管理者在明知用户个人信息存在暴露或被他人非法使用的风险但放任不管;或是个人信息主体在得知自己的个人信息遭到侵权,要求平台主体删除或修改个人信息,而平台管理者疏于行使职责的行为。
关于过失的认定,在个人信息侵权的领域中有其特殊性。 笔者认为,在实践中应当采取“一般普通人”的认知和行为能力作为判断的标准,在大陆法系国家,有学者将其称为善良管理人标准。 即判断个人信息处理者是否具有过失,需要采用社会一般人的标准,如果确实违反了一般普通人的注意义务而导致损害结果的发生,就不用判断行为主体的主观心理,即可判断其行为构成了个人信息侵权。 从上文已经提及的《个人信息保护法》针对处理者义务的条文来看,立法者明确了该主体在处理信息过程中应当遵守义务的框架范围,厘清了个人信息处理者的相关应尽义务,如果未切实依法履行上述义务,某种程度上即构成了过失的主观过错形态。
三、侵权责任归责
(一)归责主体
从《个人信息保护法》附则第七十三条第一款对“个人信息处理者”的定义来看,个人信息侵权的归责主体是个人和组织。 关于国家机关是否是个人信息侵权的适格主体,笔者认为不宜将此类公共行政机关纳入到归责主体中。 从民法届通说来看,国家机关可以作为民法上的适格主体即机关法人,如果其是因为履行公共事务管理的需要,在履行职务过程中做出的民事法律行为,则可以将其视为适格的民事法律关系主体[4]。 故因履行公共管理职能需要进行民事法律行为的国家机关组织可以视为机关法人作为侵权的适格主体。 但需要注意的是,我国法律并未授权国家机关在行使管理职能时可以侵害个人信息,即国家机关侵害个人信息的行为不是民法意义上的调整对象,国家机关对个人信息的侵权行为应由行政法来进行规制。
《个人信息保护法》第六十八条对该问题明确进行了规定,“国家机关不履行本法规定的个人信息保护义务的,由其上级机关或者履行个人信息保护职责的部门责令改正;对直接负责的主管人员和其他直接责任人员依法给予处分。 履行个人信息保护职责的部门的工作人员玩忽职守、滥用职权、徇私舞弊,尚不构成犯罪的,依法给予处分。”可见,对于国家机关违反该法采取了行政双罚制的原则,并未将其纳入到一般的侵权主体中,这与笔者的观点相一致。
(二)归责原则
《个人信息保护法》第六十九条针对个人信息侵权的归责原则给出了重要参考意见,从该条文看,由于个人信息侵权形态的特殊性,立法者更倾向于在个人信息侵权责任上确立“过错推定原则”。 从司法实务角度来看,相关的侵权案例往往都沿用《民法典》中一般侵权责任的过错原则,原告方想要证明相对方侵权需要“谁主张,谁举证”,信息主体往往承担着相当繁重的举证责任,具体来说,不管是单一主体直接侵权的模式还是多个主体共同侵权的模式,绝大部分都是由原告来对个人信息处理者的过错来进行举证。《个人信息保护法》过错推定条文的出台,合理分配了侵权方和被侵权方的举证责任,并作为一般侵权责任过错原则的补充,更有利于保护个人信息被侵权者的合理权益。 由此,实践中对于个人信息侵权归责原则的路径适用上,应当把握《个人信息保护法》第六十九条的立法精神,结合具体侵权形态的场景,在查明基础侵权事实的情况下,适当减轻被侵权人的举证责任,采用高度盖然性的举证标准,合理分配侵权人与被侵权人之间的举证责任[5]。
(三)侵权责任的承担方式
《个人信息保护法》第七章第六十九条规定了个人信息侵权的相关责任。 笔者认为,应当对该条文进行两个层次的解读,首先,对于损害赔偿的计算以被侵权人实际受到的财产性损失或者以侵权者获得的实际财产性利益作为计算依据,采用填平原则对被侵权人进行赔偿;其次,如果对于损失和利益难以计算,则需要根据不同的个案进行具体分析,此类情况多见于精神损害赔偿数额的计算。 实践中的重点在于如何把握条文中“根据实际情况确定赔偿数额”这一规定。 由于个人信息侵权多发生于互联网环境,网络的开放性使得个人信息侵权有传播速度快、传播范围广的特点,故对于此类个人信息侵权的案件,应当依据网络传播程度、网络浏览和转载数量、具体影响范围等因素综合判断,是否达到精神损害赔偿的程度,并结合具体案件确定具体的赔偿金额。 由于个人信息侵权的形态各异,且随着网络科技的发展会不断发展延伸出各类新型的侵权形态,故笔者前述的判断方式非常依赖于法官的自由心证,易出现同案不同判的现象,亟待后续相关司法解释的出台以统一裁量标准。
除损害赔偿责任外,停止侵害、消除影响、恢复名誉等传统侵权责任方式应当适用于个人信息侵权领域。 在已经造成严重损害后果时,个人信息权利人可以要求侵权主体承担消除影响、恢复名誉、赔礼道歉等责任,在实务中多见于采用公开赔礼道歉的方式,如在报纸、网络传媒等公开信息载体或平台上公开道歉,以消除个人信息被侵权的不利后果或负面社会评价,以达到安抚被侵权人的效果,当然需要注意的是,采取该种形式的责任承担方式时,需要根据被侵害个人信息敏感程度的不同而谨慎适用,避免对敏感个人信息进行进一步的传播和披露,扩大损害范围。
(四)免责情形
《个人信息保护法》并未对免责情形作出明确规定,从传统侵权理论来看,不可抗力、受害人同意、公共利益等都是个人信息侵权的免责情形。 值得探讨的是,在出现大规模公共卫生事件时,一般社会公众未经权利人同意,私自发布、传播相关信息主体的个人信息是否构成侵权的问题。 笔者认为,针对此类情况应当综合考量发布人的行为目的、发布范围、发布背景,在特殊公共卫生事件背景下,可以适当严格把握过错责任原则,以是否造成损害后果作为判定行为人是否构成侵权的要件之一,在不违反社会公序良俗的前提下适当放宽对此类行为的归责标准。 反之,如果行为人确属滥用自身信息处理者的身份,擅自发布他人的个人及行程信息,对他人造成严重损害后果的,应该承担相应的侵权责任。
四、结语
《个人信息保护法》的颁布,是我国立法机关在修改、整合现有法律法规的基础上,针对个人信息保护出台的专项立法,体现了我国在网络平台迅猛发展背景下对于个人信息保护的重视。 在该法出台后,个人信息相关概念的内涵外延有了更为详细的定义,明确了个人信息主体及个人信息处理者在法律框架下的权利义务及法律后果,建立了以民事、刑事、行政法搭建的针对个人信息保护的多维度保护机制和架构,有利于激发个人信息主体充分行使诉权,并规定了个人信息保护领域的公益诉讼机制。 未来可以通过司法解释层面对相关法律问题进行调整优化,并结合《个人信息保护法》的精神及原则条款,为保护公民个人信息权益提供多层次、多维度的法律依据及参考。
