个人信息侵权中过错的认定及对侵权责任的影响
2024-01-27孙鹏杨在会
孙鹏,杨在会
个人信息侵权中过错的认定及对侵权责任的影响
孙鹏,杨在会
(西南政法大学民商法学院,重庆,401120)
过错对判定个人信息侵权责任成立与明确损害赔偿金额具有重要意义。就归责原则而言,《个人信息保护法》与《民法典》体系衔接不畅,引发了个人信息处理者与非个人信息处理者适用过错推定责任抑或过错责任的法律适用难题。就过错程度而言,非法收集、使用、获取、买卖、公开、泄露个人信息等单纯侵害个人信息权益的行为,行为人主观上多为故意,过失侵权多发生于网络信息侵权及信息公开侵权;将个人信息用于刑事犯罪、商业营销及人格侵权等以个人信息为媒介侵害其他民事权益的行为,上游个人信息侵权人对下游损害承担责任以故意为要件,但上下游信息处理者之间存在合同勾连关系时,即便上游个人信息侵权人仅为过失,也需对下游损害承担相应责任。
个人信息侵权;损害赔偿;过错推定;故意;过失
一、问题的提出
从个人信息私法保护层面观察,法律供给及理论研究多集中于个人信息民事确权领域,鲜少关注个人信息侵权的民事定责及损害计算问题。《中华人民共和国民法典》(以下简称《民法典》)和《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)在一定程度上填补了个人信息私法规范的缺位,明确了个人信息侵权损害赔偿责任的部分构成要件及损害赔偿抽象层面的确定标准,但规范层面对个人信息侵权的过错要件规定得不尽完善,导致法律表达和司法实践之间发生错位。一是由于《民法典》与《个人信息保护法》关于个人信息侵权的归责原则并不统一,加之《个人信息保护法》适用范围仅限于个人信息处理者,从而引发了《民法典》与《个人信息保护法》过错认定上的分歧。二是我国民事立法未明确区分过错与违法性,进而衍生了个人信息侵权责任认定中过错推定责任和违法推定过失适用的混乱。三是受完全赔偿原则这一惯性思维的影响,两部法律对个人信息侵权的主观要件都简单地以过错概之,忽视了过错类型对于责任成立和损害确定的独立价值。在司法实践中,法官也普遍忽视对过错类型的认定,意识不到过错类型对个人信息侵权损害赔偿责任之成立与责任范围和强度之作用。本文立足于梳理个人信息侵权样态中侵权人主观过错的类型,探究过错对个人信息侵权责任成立以及责任范围、责任强度的影响,以期更为精准地保护个人信息权益,并最大限度地维持信息主体和信息处理者的利益均衡。
二、过错对个人信息侵权损害赔偿的意义
(一) 过错之于个人信息侵权责任之成立
第一,过错与个人信息侵权归责原则的关系。关于个人信息侵权责任采过错责任、过错推定责任还是无过错责任,在比较法上一直存在争议,在我国《个人信息保护法》的起草过程中也未达成一致。《个人信息保护法》将个人信息侵权责任认定为过错推定责任的做法,虽然暂时平息了争论,但也带来了新的法律适用问题。一是《民法典》与《个人信息保护法》出现适用冲突。根据《民法典》第1034条第3款之表述,私密信息应适用隐私权的相关规定,即私密信息遭受侵害时应采过错原则认定侵权责任。这一处理方式也为司法裁判所遵行①。而《个人信息保护法》对个人信息侵权行为采过错推定原则,由此产生了立法对一般个人信息适用过错推定原则进行保护而私密信息适用过错原则进行保护的价值割裂,也与《民法典》第1032条第2款与第1034条第3款通过隐私权“强保护”私密信息的立法初衷相悖[1−2]。再者,《个人信息保护法》第69条第1款过错推定原则的适用主体限定为个人信息处理者,即非个人信息处理者侵害个人信息权益不属于该条规制范围,自然人因家庭或个人事务处理个人信息的行为不受《个人信息保护法》调整,此即私人事务例外规则,其立法目的在于使私人交往免受严格烦琐的个人信息保护规则之掣肘。学理研究与审判实践均赞同适用过错原则处理非个人信息处理者侵害个人信息权益的案件。但如何划分个人信息处理者与非个人信息处理者以及如何厘清家庭或个人事务的边界,不仅我国相关立法表达没有给出答案,德国《联邦数据保护法》、《欧盟指令》、现行《欧盟条例》也没有相关解释[3]。二是违法性与过错关系混乱。我国民事立法以过错吸收了违法性要件,在如何认定个人信息处理者的过错的问题上,有学者主张采取违法推定过失的方法。原因在于,过错认定客观化导致个人信息保护已成为法定义务[4−6],信息处理者违反《个人信息保护法》相关规定实施侵害个人信息的行为则能被推定为过错,即推定过错等同于行为违法性之推定[1,7]。但这一观点也并非通说,有学者认为过错推定和违法推定过失在法律效果和适用范围上并不相同,两者虽非排斥关系,但在个人信息侵权中不能同等适用[8]。过错推定与违法推定过失是否能够叠加适用直接影响到个人信息处理者举证责任之轻重。如果对违法推定过失采认可态度,则个人信息处理者可以通过证明其不存在违法行为以推翻对其过失的认定,进一步推翻过错推定责任,实质上减轻了个人信息处理者的证明责任[8]。
第二,过错程度与个人信息侵权责任成立的关联。过错包括故意和过失,二者在内部构造、判断标准、主客观性质、可预防性、有责性上存在本质不同[9],区分故意和过失在个人信息侵权责任成立及损害赔偿确定方面具有重要意义,在责任成立上具体表现为侵害个人信息造成的纯粹财产损失[10]、个人信息侵权惩罚性赔偿及上游个人信息侵权人对下游损害承担责任均以行为人故意为要件。其一,关于侵害个人信息造成纯粹财产损失的问题。侵害个人信息导致纯粹财产损失,如因虚假个人信息而被拒绝发放贷款或被以更高的利率发放贷款;因虚假个人信息而不被雇用或被解雇;因自动化决策而支付更高的价格等[11]。行为人过失侵权仅造成纯粹财产损害时,由于行为人过错程度不高,比较法上主张“将损失留在原地”[12],而故意侵权则因其主观恶性较高而被给予否定性评价,行为人需对其故意侵权造成的纯粹经济损害承担责任[13]。其二,关于个人信息侵权惩罚性赔偿的问题。虽然我国现行法并未规定个人信息侵权惩罚性赔偿制度,但不少学者已经主张构建该制度以应对日趋严重的个人信息侵权现实[14−17],且明确提出个人信息侵权惩罚性赔偿制度仅适用于故意侵害个人信息的场合[18]。在比较法层面,美国1991年的《限制使用电话设备法》、2003年的《控制垃圾黄色信息和垃圾促销信息法》和2010年的《防止滥用电话促销法》规定,非法使用信息主体的电话信息、邮件信息、金融信息等个人信息,故意向公众发送垃圾广告,可追究行为人的惩罚性赔偿责任[19]②。2020年美国《国家生物识别信息隐私法案》也规定,故意或轻率地违反该法案第3条侵害生物识别信息,除赔偿受害人实际损失外,法院还可针对每项行为判决不超过5 000美元的惩罚性赔偿金。韩国《个人信息保护法》第39条则要求故意或重大过失的个人信息侵权人承担不超过损失数额三倍的惩罚性赔偿金。其三,在侵害个人信息招致下游损害时,下游损害归责于上游个人信息侵权人原则上以上游侵权人“故意”为要件。一般认为,上游个人信息侵权人对下游损害发生的“可预见性”是其担责之要素[20]。“可预见性”反映到主观过错上即为故意。上游侵权人以非法买卖、使用、泄露等方式故意侵害个人信息时,其完全能够预见到下游行为人获取个人信息的目的在于实施个人信息侵权行为,也能够预见到该行为会对信息主体造成损害,只是不能确定损害的具体类型及严重程度。
(二) 过错之于个人信息侵权责任之范围与强度
在责任承担上,过错类型和程度决定赔偿范围和强度。传统侵权责任法秉持完全赔偿原则,并不认可过错类型和程度对损害赔偿范围和强度的影响,而是贯彻责任基础与责任效果相区分的原则,排斥过错类型和程度在赔偿范围确定中的适用[21]。一方面,恪守完全赔偿原则,在个案中容易产生让一般过失侵权的行为人承担巨额赔偿的不公平后果。最轻微的过失却承担与故意同样的赔偿责任,将导致法律评价与伦理评价的撕裂。另一方面,一味地主张适用限制赔偿主义也会造成无辜受害人损失难以弥补的裁判困境。有鉴于此,中间道路成了最佳方案,即行为人原则上应承担完全赔偿责任,但法院在考量过错类型和程度、行为危害性及当事人经济情况等因素后认为行为人承担完全赔偿责任并不公平时,可运用前述因素对损害赔偿数额进行酌减[22]。由此可见,过错类型和程度能够影响损害赔偿范围的确定,并且由于过错类型、程度与违法性的判断和因果关系的认定之间存在密切关联,故而过错类型和程度对损害赔偿的确定起基础性和主导性作用。故意侵权的行为人需赔偿全部损害,而过失所致赔偿义务则应受到某种程度的限制,即过错类型、程度与责任范围之间应该合乎比例[23]。具体表现为过错类型和程度影响人身、财产损害及精神损害赔偿数额的确定,不仅如此,在共同侵权、与有过失、第三人过错等情形中,过错类型和程度同样对行为人责任承担多寡的判定产生影响。具体而言:其一,关于人身、财产损害范围的确定。《奥地利普通民法典》第1324条明确规定,受害人只有针对因故意或特别无所顾忌导致的损害才有权要求完全赔偿,否则只能要求实际赔偿,而不得主张可期待利益和精神损害赔偿。这一立法表达并非孤例,《瑞士债务法》第43条以及美国《侵权法重述·第三次》“身体和精神损害之责任”部分第6章第33条也体现了同样的思想。美国伊利诺伊州《生物信息隐私法》将被告故意或鲁莽侵害个人信息的法定赔偿金从最高1 000美元提高到最高5 000美元,也体现了对恶意侵害个人信息行为的惩戒和震慑③。此外,在侵权人为复数的案例中,行为人主观过错的类型和程度也影响其责任承担份额。其二,关于精神损害赔偿范围的确定。我国《最高人民法院关于确定民事侵权精神损害赔偿责任若干问题的解释(2021)》第5条规定,侵权人的过错程度为确定精神损害赔偿数额的首要考量因素。德国联邦最高法院将侵权人的过错程度作为估算痛苦抚慰金的重要标准。其三,关于与有过失规则的适用。在行为人故意侵权的情形下,如果受害人只具有一般过失或者轻微过失,通常应当排除比较过失规则的适用[24]。意大利法同样赞成加害人故意侵权时将与有过失规则排斥于外,但其走得更远,主张此种情况下完全不考虑受害人的主观心态,加害人需赔偿受害人全部损失[25]。美国法传统观点也认为故意侵权中不存在比较过失的抗辩[26]。
三、个人信息侵权归责原则的类型化分析
(一) 侵害个人信息权益行为样态的类型化
实践中,侵害个人信息的行为包括两类:第一,单纯侵害个人信息的行为,又具体表现为两种情形。一是行为人主观上仅以个人信息为侵害对象,客观上也仅侵害了个人信息权益,例如未发生下游损害的非法收集、使用等信息处理行为。该类行为本质上侵害了信息主体的知情同意权和信息自决权[27]。知情同意权为消极防御性权利,即禁止行为人未经信息主体同意收集、使用其个人信息[28];信息自决权乃信息主体积极利用其个人信息的主动性权利,《民法典》第1037条及《个人信息保护法》第四章“个人在个人信息处理活动中的权利”皆为信息自决权[29]。二是行为人以侵害个人信息为手段意图侵害其他民事权益,却不满足侵害该民事权益的构成要件,即客观上侵害其他民事权益未果。例如行为人非法购买个人信息用于电信诈骗但未诈骗成功,行为人非法获取个人信息以侵害信息主体人格权,但未给受害人造成人身、财产或精神损害等。此种情形,信息主体仍只能主张其个人信息权益受损的赔偿责任。第二,以侵害个人信息为媒介侵害了其他民事权益的行为,也具体表现为两种情形。一是行为人主观上旨在通过个人信息侵害其他民事权益,客观上也满足侵害其他民事权益的构成要件。例如利用非法获取的个人信息实施电信诈骗,造成受害人人身、财产或精神损害;将个人信息用于广告推广或消费操控,导致消费者权益受损;公开披露信息主体的私密信息侵害其隐私权或名誉权等。二是(上游)行为人主观上仅想侵害个人信息权益,但下游侵权行为介入后客观上损害了其他民事权益。在以侵害个人信息为手段侵害了其他民事权益的情况下,个人信息侵权已经被其他具体民事权益侵权责任所吸收,受害人将依据遭受损害的具体民事权益寻求救济。考虑到单纯侵害个人信息的行为内含的两种情形在法律效果上并无太大差别,为行文方便,若无特别说明,下文中“以侵害个人信息为媒介侵害其他民事权益的情形”仅指已经满足该民事权益侵权责任构成要件的情形,不包括意图侵害其他民事权益而未果之情形。在单纯侵害个人信息的行为与以侵害个人信息为媒介侵害其他民事权益的行为中,个人信息处理者与非个人信息处理者适用的归责原则不同;行为人的过错类型以及过错与损害赔偿的关系可能存在差别,后文分述之。
(二) 个人信息侵权归责原则的明晰
《个人信息保护法》仅规制个人信息处理者而并不统摄非个人信息处理者的处理行为,因此,理论[2]和实务④上均赞同对非个人信息处理者侵害个人信息权益的行为适用《民法典》规定的过错责任原则予以规制。质言之,非个人信息处理者无论是单纯侵害个人信息权益还是以个人信息为手段侵害其他民事权益,均适用过错责任原则。因此,个人信息处理者与非个人信息处理者的界分是厘清归责原则之前提。《个人信息保护法》第73条第1项规定“自主决定处理方式、处理目的的个人或组织”是个人信息处理者,同时反向排除了因家庭或个人事务处理个人信息的自然人适用《个人信息保护法》之可能。是否能够自主决定信息处理行为是明确个人信息处理者的关键,应以此为前提厘清两个问题:一是存在委托承揽等上下游信息处理行为时,需要区分下游行为人是否能够自行决定处理方式或处理目的,如果是肯定答案,则上下游行为人均为个人信息处理者,反之则为非个人信息处理者[30]。二是私人事务例外规则的适用范围如何划定,即因家庭或个人事务处理个人信息的自然人与构成个人信息处理者的个人之间如何区分。在无法进行穷尽式列举的情况下,有学者提出的宽松解释方法似乎能够暂缓这一难题:即使该个人信息处于非特定主体均可瞬间获取的公开场合,只要自然人是出于社会交往或言论表达等私人目的进行的非商业非职业的个人信息处理行为,便应当归入私人事务例外规则调整范围[3]。
《个人信息保护法》仅规制个人信息处理者的信息处理行为,个人信息处理者处理个人信息侵害隐私权等人格权益之情形,《个人信息保护法》并未作出回应。从法律适用上来说,应适用《民法典》人格权编采过错原则。在私密信息纳入隐私权进行保护的制度背景下,这一处理方式似乎忽视了《民法典》第1034条第3款“隐私权强保护”的立法精神,导致民事权益位阶更高的隐私权无法适用更为严格的过错推定原则。实际上,民事权益位阶高低不是通过归责原则来体现的,位阶更高并不意味着应该适用更为严格的归责原则,隐私权基于民事权益位阶理论要求的“强保护”不是通过归责原则来实现的,而是表现在隐私权不存在合理使用制度以及规定了更为严格的责任豁免事由[1]。有学者认为,个人信息处理者处理私密信息、人脸信息和信用信息等侵害个人信息权益造成损害的,应适用过错推定责任。这一观点是否正确,需要回归到《个人信息保护法》规定个人信息处理者适用过错推定原则的原因中进行考察。原因之一是个人信息处理者和受害者在信息控制力上的天然不对等导致了两者举证能力差异较大[31],需要立法者规定过错推定原则以实现倾斜性保护[32]。二是个人信息权益建立在对个人信息的处理行为之上而非个人信息之上,《个人信息保护法》规定了个人信息处理者需承担的各项法定义务,个人信息处理者应当明确知悉相应义务,因而要求其对自己的处理行为不存在违法情形进行证明具有正当性[1],符合过错推定责任的制度逻辑。由此看来,无论是个人信息处理者仅违反《个人信息保护法》之规定单纯侵害了个人信息权益,还是其实施个人信息侵权行为侵害了人格权益,都是信息处理者利用自己的信息控制力优势地位通过信息处理行为实现的,仍没有脱离其承担过错推定责任的立法初衷。
(三) 过错推定与违法性关系之厘清
《民法典》调整平等民事主体之间的个人信息处理关系,非平等的个人信息处理行为不在其规制范围之内;《个人信息保护法》作为个人信息保护领域的专门性立法,着重考察两造之间信息能力是否对等。《个人信息保护法》通过大量强行性规范对个人信息处理行为进行全方位和全过程的规范[33],明确规定了各种具体的个人信息处理行为中个人信息处理者的法定义务。单纯侵害个人信息权益的行为是对《个人信息保护法》中个人信息保护性规范的违反。保护性规范通过对行为人的行为方式和标准作出规定以保护民事权益,同时需要明确的是,这仅仅是对行为人注意义务和程度的最低要求,行为人违反保护性规范当然存在过失,反之则不能成立。换言之,行为人遵守保护性规范也不能等同于其没有过失,行为人是否存在过失还需要考察其是否尽到了合理谨慎的人在特定情形下所应尽到的合理注意义务[8]。有学者将个人信息保护性规范分为“个人信息处理规则、个人信息处理活动中权利主体的权利、个人信息处理者保护个人信息安全以及个人信息保护影响评估义务”四类[8]。其中以《个人信息保护法》第13—35条及第39条规定的以告知同意规则为核心的个人信息处理规则是典型的保护性规范,违反处理规则的违法行为就是过错行为,不存在尽到合理注意义务后仍然发生该违法行为的可能性[8],信息处理者只能通过证明其没有违反该规则从而使责任不成立。而后三类保护性规范中,个人信息处理者在推翻其具有过错的推定时,不仅需要证明其没有违反个人信息保护法律中的保护性规范,还需要进一步证明其已经尽到了合理的注意义务。这与学者主张的个人信息处理者违法行为不仅包括违反规范性文件的形式违法行为,还包括违反比例原则的实质违法行为观点一致[1]。
四、单纯侵害个人信息权益时过错类型的认定
如前所述,个人信息侵权中的过错类型对于责任成立具有重要影响,因此,应结合实践区分违反保护性规范的行为中的过错类型。
青海汉话大多是将[tala]置于时间名词之后、动词之前,表示动作行为的“终止”,或者行为动作达到的“界限”,蒙古语则是将[tala]接缀在动词词干上,同样表示行为的“终止”或行为延续结束的“界限”。例如:
第一,非法收集个人信息。违背信息主体知情同意收集其个人信息的行为属于非法收集个人信息[34]。信息收集行为系信息处理者通过主动的举措为之,其主观方面通常表现为直接故意。实践中故意收集个人信息的信息处理者涉及物业服务企业、经营者以及App运营商。较为多发的是App擅自开启各种权限,强制授权、过度索权、超范围收集用户个人信息等[35]。针对App违法收集个人信息的乱象,《App违法违规收集使用个人信息行为认定方法》第1—4条列举了违法违规收集个人信息的具体情形,App运营者违反该规定收集个人信息的,均构成故意侵害信息主体对其个人信息的知情同意权。
第二,非法使用个人信息。在未经信息主体知情同意的前提下,将个人信息作为他用即为非法使用个人信息[36],侵权人主观上也多出于故意。
个人信息处理者超出与收集个人信息时所声称的目的具有直接或合理关联的范围,即构成高风险使用个人信息之行为,主要包括《信息安全技术个人信息安全规范》(以下简称《个人信息安全规范》)第7.4—7.7条所单独列举的用户画像、定向推送、汇聚融合、自动化决策等。较之其他信息利用行为,高风险使用个人信息行为更加重视信息的聚集效应,其使用的个人信息可能已经过匿名化处理而不被《个人信息保护法》所涵摄,加之非现实损害普遍不被司法实践所认可,因此,用户画像、定向推送行为鲜少被法院判定为侵权⑤。
信息汇聚融合在两种情形下可能涉嫌违法使用个人信息:一是结合大数据分析、机器学习等技术,数据融合将本身不敏感的各种数据进行关联并重新识别出信息主体,使传统的去识别化技术的预设效果落空,信息控制者对汇聚融合后能够定位具体主体的信息的使用过程已然转变为违法故意使用个人信息的侵权行为。二是信息汇聚融合过程的安全性面临威胁,信息共享行为增加了信息泄露的风险[37]。因此,信息共享主体应对共享信息导致的信息泄露承担责任[38]。
与信息汇聚融合相似,用户画像、自动化决策及定向推送并不带有非法的原罪,其中涉及的个人信息使用行为是否构成侵权,需要考察该使用行为是否逾越法律法规预留的合法空间。首先,关于用户画像的合规使用,《个人信息安全规范》第7.4 c)条基于避免精确定位到具体个人的目的,要求行为人需在消除明确身份指向性后方能使用个人信息。其次,依据用户画像通过自动化决策方式进行定向推送的,应提供不针对个人特征的选项或便捷的拒绝方式以及以明显方式标明“定推”字样等。网络运营者违反前述规定时,应将其违规行为评价为故意侵权。再次,为避免数据权利泛化导致数据合理利用空间被无限压缩的不当结果,GDPR第22条及我国法律均规定数据主体应以自动化决策和用户画像对其“产生法律或者类似重大影响”为行权条件。最后,自动化决策还被要求进行个人信息安全影响评估,由于评估与信息侵权行为之间无必然联系,因此信息处理者违反该条规定未进行评估的,系未尽到信息安全保障义务,仅构成过失侵权。
第三,非法获取及(或)买卖个人信息。非法获取及(或)买卖个人信息是侵害个人信息的主要形式,主观方面为直接故意,仅在极少数情形下为过失,例如误拆他人信件获知其个人信息。除私法层面外,公法领域涉及非法获取或买卖个人信息的行为层出不穷。从刑事犯罪案件来看,非法获取个人信息的途径包括利用职务便利、对目标计算机信息系统植入木马程序或实施撞库攻击或者与其他信息处理者互换个人信息。涉及的信息类型包括个人征信信息、行踪信息、住宿信息、户籍信息、网购订单信息、学生信息等。从最高人民检察院发布的检察机关个人信息保护公益诉讼11则典型案例来看,个人信息处理者涉及摄影公司、校外培训机构、网络服务提供者、房地产管理交易中心、装修装饰公司,除了多次倒卖个人信息之外,部分信息处理者还形成了非法买卖个人信息的上下游链条。显然,前述刑事犯罪及行政执法中的行为均属于故意侵害个人信息的行为。
第四,非法公开或泄露个人信息。单纯非法公开或泄露个人信息未造成下游损害或其他现实损害,同样构成个人信息侵权行为,且其以故意侵权为常态。例如未经同意在微信群中公开他人个人信息,开办网站非法提供住宿信息供他人查询,擅自公开他人微信读书信息⑥等。但也存在过失公开或泄露个人信息的情形,例如帮助交通事故受害人寻找肇事逃逸者而在网上公布肇事者信息,快递公司在投递邮件过程中未采取保密措施泄露个人私密信息。此外,在网络个人信息侵权及信息公开侵权等情形中,侵权人也可能仅出于过失,需结合具体情形审慎甄别。一是网络侵权中主观过错的判定。信息处理者的行为符合《民法典》第1168、1171、1197条规定的,属于故意侵权;符合拒不履行信息网络安全管理义务致使个人信息泄露的,其主观过错为间接故意;网络服务提供者未设置相应措施维护平台网络安全,导致第三人利用其平台实施个人信息侵权行为的,网络服务提供者构成过失侵权;信息处理者存储个人信息的系统存在安全漏洞导致信息泄露的,构成未尽到安全保障义务的过失侵权。二是因信息公开而导致个人信息被非法公开或泄露,行为人通常不具备侵害个人信息的主观故意。例如政府信息公开时不慎公开或泄露了公民个人信息⑦,司法案件公开中公开或泄露了个人信息⑧等。如果信息主体明确向侵权人告知其个人信息遭到侵害后,侵权人仍未采取或未及时采取补救措施,则符合“明知+放任”的主观心态,构成侵害个人信息的故意⑨。
第五,其他侵害个人信息权益的行为。其一,拒不更正错误的个人信息。《民法典》第1037条第1款赋予了信息主体要求信息处理者更正错误信息的权利。实践中录入错误信息通常系工作人员过失所致,不存在侵害个人信息的故意。但如果经信息主体告知信息错误并要求更正后仍未更正的,即转化为故意侵害个人信息的行为。其二,拒不履行删除义务。在违法或违约收集个人信息、储存期限届满、目的已经实现、侵犯个人权益等应当删除个人信息的情形下,行为人在信息主体提出删除相关个人信息的明确请求后仍未删除或未及时删除的,属于故意侵害个人信息。其三,非法篡改、毁损、丢失等信息破坏行为损害了信息完整性。其中,非法篡改个人信息属于明显的故意侵权;个人信息被毁损、丢失则需考察致害原因,如因服务器被勒索病毒加密而宕机、内网电脑遭受攻击陷入瘫痪或信息处理者保管不当直接导致信息系统及其储存的信息的完整性和准确性遭受破坏的,信息保管者承担过失责任;不法黑客通过拖库、撞库、洗库导致信息毁损丢失则系故意侵权。
五、以个人信息为媒介侵害其他民事权益时的过错类型与责任承担
(一) 以个人信息为媒介侵害民事权益的过错认定
以侵害个人信息为媒介侵害其他民事权益,行为人不仅侵害受害人个人信息权益,同时也侵害了受害人其他民事权益。在侵权责任成立及损害赔偿的认定上,法院仅针对该民事权益进行审查,侵害个人信息不再具有独立价值,而被其他民事权益的侵权责任所吸收。实践中主要表现为:其一,利用非法获取或购买的个人信息实施网络或电信诈骗、暴力催债、敲诈勒索、网络赌博、窃取账号密码或盗取储户存款、假冒他人身份篡改志愿、利用行踪信息杀害信息主体⑩等违法犯罪行为,造成受害人人身、财产或精神损害,甚至危及受害人生命。其二,将个人信息用于营销推广或消费操控侵害消费者权益,典型为“大数据杀熟”。有论者认为“大数据杀熟”构成沉默型消费欺诈,但其实消费者的错误认知系经营者故意告知虚假价格导致,实则已经构成积极欺诈。其三,通过公开或披露个人信息特别是私密信息或其他侵害个人信息的行为,侵害名誉权或隐私权等人格权益。在以个人信息为侵权手段侵害人格权的案例中,侵害隐私权和名誉权最为多发,也不乏涉及侵害肖像权及姓名权的案例。个人信息侵害行为直接或间接地引发了侵犯隐私权、名誉权等具体人格权的下游侵权行为,应适用相应的人格权侵权责任制度[29]。在以个人信息为媒介侵害下游民事权益时,如果侵害个人信息权益及其他民事权益均系同一主体所为,行为人的主观过错不难判断。如果系不同主体实施,除人格权益侵权外,民事权益受损均由下游行为人主动实施侵害行为所致,主观故意明显,而人格权益侵权中主观过错的认定尚需融合具体场景个别考量。
上游个人信息侵权人单独实施或与下游行为人共同实施下列行为的,系通过侵害个人信息侵害隐私权:一是行为人主动公开个人信息或个人信息被他人窃取等,导致信息主体“私密空间、私密活动、私密信息”受到侵害;二是行为人非法发送垃圾信息等侵害私人生活安宁[20]。审判实践中,法院一般遵循隐私权的裁判路径,结合个案对案涉个人信息是否具有私密信息属性或者信息处理行为是否侵害私密空间、私密活动或个人生活安宁等进行判断。根据《民法典》第1024条,侵害名誉权系行为人通过侮辱、诽谤等方式使他人社会评价降低。以个人信息为媒介侵害名誉权多发于新闻报道中,虽然不能排除故意侵权的情形,但新闻业信息处理者侵害个人信息多为未尽到合理审查义务所致,主观方面多为过失。至于在新闻报道中公开个人信息是否侵害名誉权,重点在于判断该行为是否满足名誉权侵权构成要件。此外,因被他人盗用个人信息办理信用卡造成不良信用记录,开卡银行同样不具备侵权故意,结合征信系统相对封闭故而并未造成卡主社会评价降低的情况,银行不构成侵害名誉权。手机安全软件向用户客观展示不特定多数人对来电号码的负面评价,系对该号码属性的客观评价,同样也不属于侵害名誉权的行为。
(二) 下游民事权益受损与上游个人信息侵权行为的关系
鉴于立法上未明确上游信息侵权行为与下游民事权益受损之间的可归责性,司法实践对此种情形下的因果关系也多不予认可,下游民事权益受损能否归因于上游个人信息侵权人,尚无明确结论。有学者主张,只有当信息主体能够证明上游信息侵权人明知或应知信息侵权行为将会成为后续侵害行为的前提条件时,下游损害才能归因于上游信息侵权人[17]。也有论者认为,个人信息被用作实施下游侵害行为是上游信息侵害行为发生现实损害的表现,上游信息侵权行为与下游侵权行为属于“虽无共同故意、共同过失,但其侵害行为直接结合发生了同一损害后果”的共同侵权[29]。还有学者认为,下游损害归因于上游信息侵权人必须以上游行为人“可预见”下游损害发生为要件[20]。下游损害能否归责于上游个人信息侵权人不能一概而论,原则上将上游个人信息侵权人的“故意”作为其承担下游损害的要件较为合理;上下游行为人若以合同连接到一起,则由上游行为人承担过失责任。
第二,存在第三方信息处理者的场合不排除过失侵权。如果上游信息侵权人与下游侵权人(第三方信息处理者)存在合同连接关系,则不宜再以“故意”作为上游个人信息侵权人对下游损害承担责任的主观要件。原因在于,此时上游信息处理者与实施下游侵权行为的第三方信息处理者之间联系的紧密程度显然超越一般信息侵权链条中的上下游信息处理者。第三方信息处理者通常系企业为获得比较优势将个人信息业务外包的产物,出于对企业经济效益和信息处理专业化的追求,信息业务外包已经成为企业经营的重要环节,而第三方信息处理者的介入不可避免地加剧了信息受侵害的风险并降低了信息处理的透明度。针对前述情形,GDPR第82条第4款规定信息控制者与第三方信息处理者承担连带责任,归责原则为过错推定。信息控制者违反该条例规定的数据处理行为即存在过错,第三方信息处理者违反针对其设定的义务[39]或超出信息控制者的合法指示也构成过错。而新加坡《个人数据保护法案》的经验则并非如此。信息主体只能要求信息控制者承担过错责任,而不能向第三方信息处理者主张侵权责任。信息控制者承担责任后依据合同约定向第三方信息处理者追责[38]。即其并不关心第三方信息处理者存在过错与否,而仅着重判断信息控制者的主观过错。我国并未规定此种情形下的责任承担及过错认定规则,但从比较法的经验可知,欧盟及新加坡都未将上游信息处理者对下游损害承担责任的主观要件限定为故意,而是仅要求具备过错,系因为上游信息处理者与第三方信息处理者之间因合同而发生勾连,二者联系紧密且前者对后者有一定程度的控制能力,故而应区别于前述一般情形下的上下游信息处理者,上游信息侵权人对下游损害承担责任,不再要求其主观过错达到故意之程度。具体到我国法律法规,上游信息处理者过错认定与责任承担存在以下情形:一是第三人的过失结合出售个人信息的上游信息处理者选任该第三人的过失,符合《民法典》第1168条共同过失构成共同侵权的规定,两者承担连带责任。二是上下游个人信息处理者为委托关系时,上游信息处理者存在选任或指示等过失时,其要么承担按份责任,要么承担与其选任或指示过失程度相应的责任[20]。
六、结语
《民法典》及《个人信息保护法》中关于个人信息权益的相关规定为个人信息私法救济提供了制度供给,遗憾的是,前述规定仍然没有正视个人信息侵权中归责原则细化以及过错类型和程度对责任成立、损害赔偿范围和强度的重要意义。
关于归责原则的认定问题,应对个人信息处理者与非个人信息处理者进行区别适用。《个人信息保护法》基于个人信息处理者于信息控制力上的优势地位以及过错推定责任发生于个人信息处理行为之中的考量,认为个人信息处理者违反《个人信息保护法》规定的个人信息保护性规范适用过错推定责任。虽然人格权受侵害应该适用过错责任,但在个人信息处理者以个人信息为手段侵害了人格权等下游权益的情形下,个人信息处理者的行为并没有脱离《个人信息保护法》规定过错推定原则的初衷,因此应适用过错推定原则进行“强保护”,而非个人信息处理者不存在前述情形,其个人信息侵权行为应适用一般过错责任原则予以规制。
关于个人信息侵权损害赔偿责任中过错的认定问题,由于个人信息权益是《民法典》及《个人信息保护法》所认可的独立权益,故应纠正将个人信息放置于隐私权项下进行保护的司法裁判惯性,结合裁判经验将个人信息侵权路径划分为单纯侵害个人信息权益的行为与以个人信息为媒介侵害其他民事权益的行为,二者主观过错的具体表现不同。前者单纯侵害个人信息权益,表现为非法收集、使用、获取、买卖、公开、泄露个人信息等行为,行为人之主观心态多为故意,在网络个人信息侵权与信息公开个人信息侵权中,过失侵权较为普遍。后者除侵害个人信息权益外,行为人将个人信息用于刑事犯罪、商业营销及人格权侵权,还侵害了下游其他民事权益,此时,行为人的主观过错应在明确下游受侵害的具体权益类型的基础上进行认定。下游损害能否归责于上游信息侵权人的问题不能一概而论。原则上,下游损害归因于上游个人信息侵权行为需以上游行为人“故意”为要件,但上游信息处理者与第三方信息处理者之间因合同发生勾连时,二者联系紧密且前者对后者有一定程度的控制能力,上游信息处理者的主观要件为过错即可。
① 广东省深圳市中级人民法院(2020)粤03民终6646号民事判决书。
② U.S. v. Comcast Corp. No. 09 1589 , 2009 WL 1181046 (E.D.Pa.)。
③ Rosenbach v. Six Flags Entertainment Corp, 2019 IL123186(Jan. 25, 2019)。
④ 辽宁省沈阳市中级人民法院(2018)辽01民终12562号民事判决书。
⑤ 江苏省南京市中级人民法院(2014)宁民终字第5028号民事判决书。
⑥ 北京市互联网法院(2019)京0491民初16142号民事判决书。
⑦ 湖南省高级人民法院(2015)湘高法行终字第10号行政判决书。
⑧ 北京市第四中级人民法院(2021)京04民终71号民事判决书。
⑨ 湖南省高级人民法院(2015)湘高法行终字第27号行政判决书。
⑩ Remsburg v. Docusearch,Inc., 816 A. 2d 1001(N.H.2003)。
[1] 王道发.个人信息处理者过错推定责任研究[J].中国法学,2022(5):103−121.
[2] 杨显滨,王秉昌.侵害个人信息权的民事责任—— 以《个人信息保护法》与《民法典》的解释为中心[J].江苏社会科学,2022(2):75−90, 242−243.
[3] 杨芳.我国《个人信息保护法》中私人事务例外规则之解释[J].南大法学,2022(3):147−159.
[4] 龙卫球.中华人民共和国个人信息保护法释义[M].北京:中国法制出版社,2021:321.
[5] 江必新,李占国.中华人民共和国个人信息保护法条文解读与法律适用[M].北京:中国法制出版社,2021:236.
[6] 孙莹.个人信息保护法条文解读与适用要点[M].北京:法律出版社,2021:220.
[7] 张新宝.《中华人民共和国个人信息保护法》释义[M].北京:人民出版社,2021:527.
[8] 程啸.论个人信息侵权责任中的违法性与过错[J].法制与社会发展,2022(5):191−209.
[9] 叶名怡.侵权法上故意与过失的区分及其意义[J].法律科学(西北政法大学学报),2010(4):87−98.
[10] 谭启平.中国民法学[M].北京:法律出版社,2021:790−791.
[11] 李昊.个人信息侵权责任的规范构造[J].广东社会科学,2022(1):249−260.
[12] 叶金强.论过错程度对侵权构成及效果之影响[J].法商研究,2009(3):70−76.
[13] 毛罗·布萨尼,弗农·瓦伦丁·帕尔默.欧洲法中的纯粹经济损失[M].张小义,钟洪明,译.北京:法律出版社,2005:8.
[14] 徐明.大数据时代的隐私危机及其侵权法应对[J].中国法学,2017(1):130−149.
[15] 张新宝.侵权责任编起草的主要问题探讨[J].中国法律评论,2019(1):133−144.
[16] 杨立新.私法保护个人信息存在的问题及对策[J].社会科学战线,2021(1):193−202.
[17] 叶名怡.个人信息的侵权法保护[J].法学研究,2018(4):83−102.
[18] 石佳友.个人信息保护的私法维度—— 兼论《民法典》与《个人信息保护法》的关系[J].比较法研究,2021(5):14−32.
[19] 马新彦,邓冰宁.现代化通信工具大规模侵权惩罚性赔偿制度构建[J].求是学刊,2013(1):85−95.
[20] 谢鸿飞.个人信息处理者对信息侵权下游损害的侵权责任[J].法律适用,2022(1):23−36.
[21] 郑晓剑.侵权损害完全赔偿原则之检讨[J].法学,2017(12):157−173.
[22] 徐银波.论侵权损害完全赔偿原则之缓和[J].法商研究,2013(3):65−73.
[23] 郑晓剑.侵权损害赔偿效果的弹性化构造[J].武汉大学学报(哲学社会科学版),2019(4):138−149.
[24] 王利明.论比较过失[J].法律科学(西北政法大学学报),2022(2):34−46.
[25] U.马格努斯,M.马丁−卡萨尔斯.侵权法的统一:共同过失[M].叶名怡,陈鑫,译.北京:法律出版社,2009:171.
[26] 丹·B. 多布斯.侵权法: 上册[M].马静, 等译.北京:中国政法大学出版社,2014:451.
[27] 顾敏康, 白银.“大信用”背景下的信息隐私保护—— 以信义义务的引入为视角[J]. 中南大学学报(社会科学版), 2022, 28(1): 41−57.
[28] 周汉华.个人信息保护的法律定位[J].法商研究,2020(3):44−56.
[29] 商希雪.侵害公民个人信息民事归责路径的类型化分析—— 以信息安全与信息权利的“二分法”规范体系为视角[J].法学论坛,2021(4):100−111.
[30] 程啸.论个人信息共同处理者的民事责任[J].法学家,2021(6):17−29, 191.
[31] 田野, 张耀文. 个人信息侵权因果关系的证明困境及其破解—— 以相当因果关系理论为进路[J]. 中南大学学报(社会科学版), 2022, 28(1): 58−69.
[32] 杨立新.个人信息处理者侵害个人信息权益的民事责任[J].国家检察官学院学报,2021(5):38−54.
[33] 程啸.论我国个人信息保护法中的个人信息处理规则[J].清华法学,2021(3):55−73.
[34] 蔡一博.《民法典》实施下个人信息的条款理解与司法应对[J].法律适用,2021(3):88−98.
[35] 陈晨,李思頔.个人信息的司法救济—— 以1383份“App越界索权”裁判文书为分析样本[J].财经法学,2018(6):102−113.
[36] 姚佳.论个人信息处理者的民事责任[J].清华法学,2021(3):41−54.
[37] 许中缘, 何舒岑. 公共卫生领域大数据治理中个人信息的利用与保护[J]. 中南大学学报(社会科学版), 2022, 28(3): 20−31.
[38] 朱宣烨.新时代个人信息民事保护路径研究—— 以存在第三方信息处理者情况下的民事责任分配为视角[J].法学杂志,2018(11):133−140.
[39] 高富平. 个人数据保护和利用国际规则: 源流与趋势[M]. 北京: 法律出版社, 2016: 131−132.
Identification of fault types in personal information infringement and its impact on tort liability
SUN Peng, YANG Zaihui
(School of Civil and Commercial Law, Southwest University of political Science and Law, Chongqing 401120, China)
Fault plays a significant role in identifying tort liability against personal information and its amount of compensation for damages. As far as the criterion of liability is concerned, the obstructed connection betweenandinitiated the difficulty in application of law: whether fault criterion of liability or non-fault criterion of liability is applicable to personal information processors and non-personal information processors. As for degrees of faults, in pure torts against personal information such as illegal collection, use, acquisition, trade, disclosure and divulging of personal information, the tortfeasor is mostly intentional, and negligence is generally identified in torts against network information and information disclosure cases; in torts against other civil interests via personal information such as using personal information to commit crimes, to conduct marketing, and to violate personality rights and so forth, the upstream tortfeasor shall be liable for downstream damages, as which intention is an essential element. But, if there is a contractual connection between the upstream and downstream information processors, the upstream tortfeasor shall be liable for relevant downstream damages, even if he is only negligent.
personal information infringement; constructive fault; intention; negligences
2023−05−04;
2023−06−13
国家社会科学基金项目“赔偿均衡化与侵权赔偿法的现代转型”(20XFX011)
孙鹏,男,四川岳池人,法学博士,西南政法大学民商法学院教授、博士生导师,主要研究方向:民法基础理论、物权法、合同法、侵权法;杨在会,女,重庆人,西南政法大学民商法学院博士研究生,主要研究方向:民法学,联系邮箱:13022320307@163.com
10.11817/j.issn. 1672−3104. 2024.01.008
D923
A
1672−3104(2024)01−0076−11
[编辑: 苏慧]