陳 晨 李思頔

引 言

“App越界索權(quán)”[注]“App越界索權(quán)”的提法，參見蔣齊光：“‘APP越界索權(quán)’呼喚規(guī)范治理”，載《人民日報》2018年3月22日，第014版。指應(yīng)用軟件運營商超過抓取或使用權(quán)限，擅自抓取或使用用戶個人信息的侵權(quán)行為。隨著大數(shù)據(jù)解構(gòu)社會行為模式的加深，信息抓取類案件數(shù)量激增。國內(nèi)首起安全軟件號碼標(biāo)注隱私權(quán)糾紛案、朱某訴百度隱私權(quán)糾紛案、新浪微博訴脈脈不正當(dāng)競爭案、徐玉玉電信詐騙案等皆為因“App越界索權(quán)”直接或間接引發(fā)的民事、刑事訴訟。

筆者將信息抓取類案件裁判文書所涉高頻詞匯作為關(guān)鍵詞，通過北京審判信息網(wǎng)導(dǎo)出裁判文書1 383份。[注]檢索時間為2018年4月12日，共導(dǎo)出北京法院信息抓取類案件1 383份，其中包括“軟件_隱私權(quán)”所導(dǎo)出的裁判文書42件，“數(shù)據(jù)_隱私權(quán)”所導(dǎo)出的裁判文書88件，“抓取_隱私權(quán)”所導(dǎo)出的裁判文書6件，“軟件_不正當(dāng)競爭”所導(dǎo)出的裁判文書667件；“數(shù)據(jù)_不正當(dāng)競爭”所導(dǎo)出的裁判文書549件；“抓取_不正當(dāng)競爭”所導(dǎo)出的裁判文書31件。案由涉及不正當(dāng)競爭糾紛、隱私權(quán)糾紛及名譽權(quán)、知情權(quán)糾紛等，該組裁判文書基本囊括北京法院2011～2018年審結(jié)的信息抓取類民事案件，對個人信息司法救濟研究具有典型示范意義。該1 383份裁判文書的數(shù)量分布參見圖1。

圖1 北京法院1 383份裁判文書數(shù)量分布圖

一、樣本分析：個人信息司法救濟之現(xiàn)狀審視

DCCI互聯(lián)網(wǎng)數(shù)據(jù)中心與騰訊社會研究中心聯(lián)合發(fā)布的《網(wǎng)絡(luò)隱私安全及網(wǎng)絡(luò)欺詐行為研究分析報告(2017一季度)》顯示，800多個安卓手機應(yīng)用隱私權(quán)限檢測中，獲取隱私權(quán)限高達96.6%，25.3%屬于越界索權(quán)。[注]參見董絲雨：“APP索要權(quán)限 不能任性越界”，載《人民日報》2018年7月26日，第014版。2018年，北京市消協(xié)《手機APP(應(yīng)用軟件)個人信息安全調(diào)查報告》指出，近九成受訪者認(rèn)為App過度采集個人信息。[注]參見前注〔1〕，蔣齊光文。因App默認(rèn)勾選協(xié)議、大量收集用戶隱私、與第三方不當(dāng)共享而造成的信息外泄現(xiàn)象時有發(fā)生，App越界索權(quán)已成網(wǎng)絡(luò)詐騙重要源頭。[注]參見孫憲忠等：“個人信息保護法為啥未列入今年立法計劃”，載《南方都市報》2018年4月29日，第002版。然而，北京地區(qū)個人信息司法救濟力度不足。具體分析如下：

第一，近三年個人信息隱私權(quán)糾紛案件數(shù)量增勢明顯。以筆者提取的82件隱私權(quán)糾紛案為例：2015年案件數(shù)量16件，同比上升220%；2016年21件，同比上升31.25%；2017年36件，同比上升71%。該類案件數(shù)量增長情況請參見圖2。這說明，近年通過訴訟進行個人信息救濟的自然人數(shù)量逐漸增多，個人信息司法救濟模式亟待確立。

圖2 信息抓取類隱私權(quán)糾紛案件數(shù)量增長示意圖

第二，抓取信息類案件中，隱私權(quán)糾紛占比偏低。雖然信息抓取類隱私權(quán)糾紛案件數(shù)量有所增多，但案件數(shù)量占信息抓取類案件總量的比例仍屬偏低。以筆者所選樣本為例，隱私權(quán)糾紛82件，占比6%；不正當(dāng)競爭糾紛818件，占比59%。所選樣本的案由分布情況請參見圖3。

圖3 北京法院信息抓取類案件案由示意圖

第三，信息抓取類隱私權(quán)糾紛勝訴比例偏低。以筆者所提取樣本為例，不正當(dāng)競爭糾紛的勝訴比例明顯高于隱私權(quán)糾紛。筆者選取的82件信息抓取類隱私權(quán)糾紛中，勝訴比例僅為5%，且其精神損害賠償皆未獲得支持；但不正當(dāng)競爭糾紛的勝訴比例卻高達67%，且其損害賠償皆得到法院不同比例的支持。所選樣本中兩類糾紛案件訴訟結(jié)果比對情況請參見圖4。

綜上所述，當(dāng)前北京地區(qū)自然人提起的信息抓取類案件占比偏低且較難勝訴，個人信息司法救濟呈現(xiàn)侵害規(guī)模大、勝訴比例低、訴訟動力不足的特點，個人信息司法救濟路徑受阻，用戶個人信息維權(quán)存在多重阻礙。

圖4 信息抓取類案件訴訟結(jié)果對比示意圖

二、問題檢視：個人信息司法救濟之實務(wù)困境

北京地區(qū)個人信息司法救濟主要以隱私權(quán)為主。該救濟模式將“個人信息”限縮至隱私權(quán)范疇進行保護，排除未明顯侵害隱私權(quán)但侵害個人信息自決權(quán)的侵權(quán)行為。單純依靠隱私權(quán)進行個人信息的司法救濟在侵權(quán)行為及侵權(quán)責(zé)任認(rèn)定等方面存在實務(wù)困境，無法實現(xiàn)對個人信息的充分救濟。具體情況分析如下：

(一)侵權(quán)行為認(rèn)定問題

1.隱私權(quán)僅保護具有隱私屬性的“個人信息”

隱私權(quán)糾紛中，涉訴信息是否具有隱私屬性是侵權(quán)行為認(rèn)定的前提條件。該界定標(biāo)準(zhǔn)將用戶自行上傳、公開展示或用于廣泛查閱的電話號碼、通訊簿等信息排除在外，[注]國內(nèi)首起安全軟件號碼標(biāo)注隱私權(quán)糾紛案[《北京市西城區(qū)人民法院民事判決書》，(2015)西民初字等28460號]、美國“hiQ Labs, Inc. v. Linkedin Corporation”案皆持該觀點。只保護可指向特定個體的自然人基因信息、病歷資料、家庭住址、私人活動等整體信息。[注]參見《北京市第一中級人民法院民事判決書》，(2017)京01民終509號。其觀點認(rèn)為，經(jīng)權(quán)利人許可在網(wǎng)上公開披露的個人資料已表明權(quán)利人放棄其隱私，視為其明知個人信息將被不特定的主體收集、挖掘、分析，相關(guān)信息應(yīng)作為公共資源看待，不具有隱私屬性。[注]參見王利明：《人格權(quán)法研究》，中國人民大學(xué)出版社2005年版，第634頁。因此，司法裁判未將其認(rèn)定為隱私侵權(quán)行為。[注]參見《北京市西城區(qū)人民法院民事判決書》，(2015)西民初字第28460號。這說明隱私權(quán)糾紛中隱私權(quán)并未作擴大解釋，而是將“個人信息”限縮至隱私權(quán)范疇進行保護，排除未明顯侵犯隱私權(quán)但侵害個人信息自決權(quán)的侵權(quán)行為。

2.隱私權(quán)僅保護具有實質(zhì)侵害的信息泄露行為

隱私權(quán)糾紛案件的侵權(quán)認(rèn)定要求對個人隱私權(quán)存在明顯實質(zhì)侵害。由于侵權(quán)行為隱秘、實損難以證明，法院一般不認(rèn)定單純抓取信息構(gòu)成侵害隱私權(quán)。同時，司法實踐將捆綁安裝行為、[注]參見《黑龍江省哈爾濱市道里區(qū)人民法院民事判決書》，(2013)里民三初字第1953號。標(biāo)記行為、[注]參見前注〔9〕。關(guān)聯(lián)App個人信息共享行為[注]參見北京市海淀區(qū)人民法院(2018)京0108民初13661號民事案件，該案現(xiàn)正在審理中。及強制安裝或私自保存[注]參見北京市海淀區(qū)人民法院(2018)京0108民初12676號民事案件，該案現(xiàn)正在審理中。等對隱私權(quán)不存在實質(zhì)侵害的行為都排除在規(guī)制范疇之外，只規(guī)制對隱私權(quán)存在實質(zhì)侵害的泄露行為。[注]參見前注〔7〕。

(二)侵權(quán)責(zé)任認(rèn)定問題

以筆者所掌握的樣本為例，“App越界索權(quán)”所涉侵權(quán)責(zé)任形式包括停止侵害、消除影響、賠禮道歉和損害賠償四類。然而，當(dāng)前隱私權(quán)糾紛侵權(quán)責(zé)任認(rèn)定標(biāo)準(zhǔn)較高，自然人舉證能力與證明標(biāo)準(zhǔn)嚴(yán)重失衡，個人信息司法救濟路徑嚴(yán)重受阻。主要表現(xiàn)如下：

1.用戶與App運營商技術(shù)力量和信息掌握程度不對等

從收集證據(jù)的資金、技術(shù)等成本上看，普通用戶只能通過手機軟件證明，上傳個人信息后卸載相關(guān)App無法同步刪除其移動終端存儲的cookie數(shù)據(jù)，但對“App是否抓取信息”及“抓取行為與損害結(jié)果的因果關(guān)系”的舉證能力較弱，用戶與App運營商技術(shù)力量和信息掌握程度的不對等,使得作為個人信息真正權(quán)利人的自然人舉證路徑嚴(yán)重受阻。

2.現(xiàn)有侵權(quán)責(zé)任形式無法實現(xiàn)個人信息充分救濟

隱私權(quán)糾紛案件中證明標(biāo)準(zhǔn)較為嚴(yán)苛，不但要求權(quán)利人證明App運營商泄漏信息，同時還需證明因泄漏行為導(dǎo)致實際經(jīng)濟損失或明顯精神痛苦。[注]同上注。這使得訴訟證明標(biāo)準(zhǔn)與自然人舉證能力嚴(yán)重失衡，現(xiàn)有侵權(quán)責(zé)任形式無法實現(xiàn)個人信息的充分救濟。

首先，權(quán)利人財產(chǎn)損害賠償司法救濟路徑缺位。App運營商只要未從信息買賣中直接獲利，權(quán)利人則較難提供完整證據(jù)鏈條證明因泄漏信息本身造成財產(chǎn)損害，從而難以獲得財產(chǎn)損害賠償。筆者所提取的樣本也尚未出現(xiàn)因泄漏信息而提起的財產(chǎn)損害賠償請求。

其次，權(quán)利人精神損害賠償司法救濟路徑受阻。精神損害賠償?shù)倪m用前提是客觀上違反社會公共利益和社會公德并且引發(fā)明顯精神痛苦。[注]參見王利明：《侵權(quán)責(zé)任法研究》(上)，中國人民大學(xué)出版社2016年版，第549～550頁。當(dāng)事人必須證明因行為人違反社會公共利益、社會公德侵犯隱私權(quán)，且引發(fā)明顯精神痛苦，法院才可能支持其精神損害賠償請求。[注]參見前注〔7〕。但泄露信息降低社會評價的證明難度較高，難以證明因泄漏信息本身造成明顯精神痛苦。這使得司法實踐中隱私權(quán)糾紛案件中損害賠償支持率較低。[注]以筆者選取的北京法院1383份裁判文書為例，隱私權(quán)糾紛精神損害賠償支持率為0。

再次，停止侵害等侵權(quán)責(zé)任形式間接影響消費者自由選擇權(quán)。排除其他救濟途徑后，權(quán)利人只能選擇停止侵害、消除影響、賠禮道歉來進行個人信息的司法救濟。如確實存在侵權(quán)行為，造成權(quán)利人權(quán)益受損，請求多會得到支持。但是，在目前技術(shù)水平無法達到完全避免個人信息讀取或使用的情況下，停止侵權(quán)意味著權(quán)利人可能被迫放棄APP相關(guān)功能的使用權(quán)，停止使用相關(guān)服務(wù)。這從消費者權(quán)益保護角度，又影響消費者的自由選擇權(quán)，使其選擇權(quán)逐漸降低甚至完全消失。[注]參見劉新炎等：“隱私保護和企業(yè)權(quán)利平衡需更多實踐”，載《南方都市報》2018年3月21日，第17版。

三、原因探究：信息抓取類案件司法救濟的考量因素

2017年10月起實施的《民法總則》的第111條首次通過民事基本法確立個人信息的法律地位，[注]參見中國審判理論研究會民商事專業(yè)委員會：《〈民法總則〉條文理解與司法適用》，法律出版社2017年版，第197頁。學(xué)界對個人信息權(quán)利屬性的討論也早已有之。學(xué)界通說傾向于嚴(yán)格區(qū)分個人信息與個人隱私，排斥將個人信息籠統(tǒng)納入隱私權(quán)范疇進行立法與司法救濟的模式。[注]參見程嘯：“論大數(shù)據(jù)時代的個人數(shù)據(jù)權(quán)利”，《中國社會科學(xué)》2018年第3期，第114頁；王利明：“論個人信息權(quán)的法律保護——以個人信息權(quán)與隱私權(quán)的界分為中心”，《現(xiàn)代法學(xué)》2013年第4期，第66頁；廖宇羿：“我國個人信息保護范圍界定——兼論個人信息與個人隱私的區(qū)分”，《社會科學(xué)研究》2016年第2期，第70～76頁；張鵬：“個人信息(權(quán))與隱私(權(quán))的區(qū)分”，載《中國社會科學(xué)報》2017年12月13日，第005版等。其認(rèn)為，自然人享有的個人信息權(quán)旨在保護其對個人信息的自主決定利益，既包括身份信息也包括私密信息，同時關(guān)注財產(chǎn)利益和精神利益。[注]參見上注，程嘯文，第114頁；上注，王利明文，第66頁。而隱私信息更多涉及自然人私密信息，更多關(guān)注精神利益。[注]參見楊立新：“個人信息:法益抑或民事權(quán)利——對《民法總則》第111條規(guī)定的‘個人信息’之解讀”，《法學(xué)論壇》2018年第1期，第39頁。但《民法總則》實施以來，個人信息司法救濟模式仍以隱私權(quán)為主，尚未出現(xiàn)通過個人信息權(quán)進行司法救濟的案件。[注]參見郝思洋：“大數(shù)據(jù)時代個人信息保護的路徑探索”，《北京郵電大學(xué)學(xué)報(社會科學(xué)版)》2016年第5期，第16頁；王利明：“論個人信息權(quán)在人格權(quán)法中的地位”，《蘇州大學(xué)學(xué)報(哲學(xué)社會科學(xué)版)》2012年第6期，第32頁。將“個人信息”限縮至隱私權(quán)范疇進行保護，排除未明顯侵犯隱私權(quán)但侵害個人信息自決權(quán)的侵權(quán)行為，導(dǎo)致《民法總則》第111條規(guī)定的自然人個人信息權(quán)保護落空。

(一)個人信息權(quán)限縮地依托隱私權(quán)保護的原因

單純依靠隱私權(quán)進行個人信息救濟顯然不夠完善，對個人身份信息的保護力度亟須加強。那么，選擇該種模式的實務(wù)原因尤為值得關(guān)注。

1.當(dāng)前立法欠缺相應(yīng)激勵機制

我國民事法律對于個人信息的保護相對模糊且略顯原則?，F(xiàn)有民事法律體系只確立了個人信息的法律地位和基本行為規(guī)范，尚未明確個人信息范疇及具體權(quán)利，欠缺必要的個人信息民事救濟路徑，而《網(wǎng)絡(luò)安全法》等法律則主要從公法層面規(guī)定侵犯信息安全所應(yīng)承擔(dān)的行政處罰責(zé)任。[注]在“法律法規(guī)數(shù)據(jù)庫”以“個人信息”為關(guān)鍵詞進行檢索，涉及“個人信息”的主要包括《民法總則》《網(wǎng)絡(luò)安全法》《消費者權(quán)益保護法》《旅游法》等11部，主要從公法層面規(guī)定企業(yè)責(zé)任及其侵犯信息安全所應(yīng)承擔(dān)的行政處罰責(zé)任。參見法律法規(guī)數(shù)據(jù)庫，http://search.chinalaw.gov.cn/search2.html，最后訪問時間：2018年5月1日。針對性的個人信息民事救濟路徑相對缺位。

2.責(zé)任填平原則導(dǎo)致具體人格權(quán)訴訟傾向較為明顯

我國《侵權(quán)責(zé)任法》核心功能在于補救，損害賠償責(zé)任適用填補原則，即對不幸的受害人的損害進行填補，賠償存在的明顯精神損害或造成的經(jīng)濟損失。[注]參見前注〔16〕,王利明書，第506頁。然而，大數(shù)據(jù)時代個人信息的價值不再單純來源于它的基本用途，而更多源于它的二次利用。[注]參見〔英〕維克托·邁爾·舍恩伯格、肯尼思·庫克耶：《大數(shù)據(jù)時代生活、工作與思維的大變革》，盛楊燕、周濤譯，浙江人民出版社2013年版，第197～198頁。信息只有通過二次收集整理形成企業(yè)或政府大數(shù)據(jù)才蘊含經(jīng)濟價值，單個權(quán)利人對個人數(shù)據(jù)享有的經(jīng)濟利益不明顯，在現(xiàn)有侵權(quán)責(zé)任法體系下單純侵犯信息自決權(quán)的抓取行為、捆綁安裝行為等很難被認(rèn)定造成明顯精神損害或?qū)嶋H經(jīng)濟損失，損害賠償難獲法院支持；即使獲得支持，數(shù)額通常較小，甚至出現(xiàn)訴訟成本倒掛現(xiàn)象。

3.案由確立簡單盲目影響司法救濟力度

首先，司法案由的確定對于當(dāng)事人準(zhǔn)確選擇救濟途徑具有較大引導(dǎo)作用。司法實踐中，法官一般根據(jù)當(dāng)事人訴訟請求的直接表述，按照最高法院《民事案件案由規(guī)定》(2011)的規(guī)定選擇案由，其所反映的是法院對訴訟爭議所含法律關(guān)系的概括。[注]參見曹建明：《人民法院民事案件案由規(guī)定理解與適用》，人民法院出版社2008年版，第1頁。案由的主要功能是確定法院受理案件的類型，并根據(jù)糾紛類型準(zhǔn)確選擇救濟途徑。[注]參見羅東川、黃建中：“《民事案件案由規(guī)定》的理解與適用”，《人民司法》2008年第5期，第18～23頁。雖然審判庭可根據(jù)實際訴訟標(biāo)的和法律關(guān)系對立案庭確定的案由進行調(diào)整，但是立案庭初步確立的案由對于當(dāng)事人訴訟請求、救濟方式及案件的整體走向仍有極為重要的作用。錯誤的立案案由存在先入為主的誤導(dǎo)，易影響當(dāng)事人的舉證及法官對案件的正確判斷，浪費司法資源甚至導(dǎo)致錯誤裁判。[注]參見薛同忠、何友成：“關(guān)于立案案由的幾點思考”，載《江蘇經(jīng)濟報》2003年7月9日，第B03版。

其次，案由確立的簡單盲目性一定程度影響個人信息的司法救濟力度。一審法院立案時多依據(jù)當(dāng)事人在立案階段所提供的材料，尤其是當(dāng)事人的訴訟請求確定具體案由，而未充分考慮當(dāng)事人主張民事法律關(guān)系的性質(zhì)。[注]參見宋旺興：“論民事案由確定制度的完善”，《法律適用》2012年第2期，第66～69頁。同時，隱私權(quán)糾紛在先案例較多，一定程度上加劇了實務(wù)中選擇隱私權(quán)進行個人信息司法救濟的盲目性，使得法院多依照當(dāng)事人的訴訟請求將案由確定為第6項隱私權(quán)糾紛。案由確立的簡單盲目性使得訴訟中侵權(quán)行為和損害賠償?shù)恼J(rèn)定都傾向于以人格權(quán)相關(guān)法律作為訴訟依據(jù)，導(dǎo)致訴訟請求集中于因侵害隱私權(quán)而提起的停止侵害、消除影響和精神損害賠償。而法院則將“個人信息”簡單等同于“隱私”范疇，只規(guī)制實質(zhì)損害隱私，只賠償明顯精神痛苦，在一定程度上影響了對個人信息的司法救濟力度。

(二)個人信息獨立救濟的必要性

從上述分析可以看出，通過當(dāng)前司法實踐的線性分析和司法統(tǒng)計，將個人信息限縮至隱私權(quán)進行司法救濟，無法實現(xiàn)個人信息的充分保護。此外，個人信息獨立救濟還存在以下必要：

1.侵害個人信息現(xiàn)象愈發(fā)凸顯且影響惡劣

根據(jù)對1 383份“App越界索權(quán)”裁判文書的分析，個人信息相關(guān)糾紛的數(shù)量逐年上升，個人信息遭受到侵害的現(xiàn)象日漸嚴(yán)峻。雖然個人信息的聚合和利用是大數(shù)據(jù)的形成和運用的一個方面，為個人生活帶來一定的便利，但在網(wǎng)絡(luò)時代中，附隨而來的個人信息被不當(dāng)利用、個人生活遭受侵?jǐn)_、財產(chǎn)安全甚至人身安全危機也在急劇地、大規(guī)模地爆發(fā)，甚至由此引起的電信詐騙等刑事犯罪也屢見不鮮。因此，在科技日益發(fā)展的今天，對個人信息加以保護，進而鞏固國家信息安全迫在眉睫。

2.個人信息的獨特性

如前文所述，隱私權(quán)控制的客體范圍及行為方式雖然與個人信息之間存在交叉，但并不能完全被后者涵蓋，尋求其他權(quán)利的救濟已經(jīng)完全不能滿足對個人信息的保護。

3.個人信息救濟成為國際共識

在互聯(lián)網(wǎng)時代，信息交流已經(jīng)不僅限于個別國家和地區(qū)，全球各地的用戶都已經(jīng)成為信息的生產(chǎn)者和傳播者，對個人信息的保護也隨著信息傳播的便捷與迅速而成為國際共識。美國早在1974年就通過《隱私法》，并在隨后通過《聯(lián)邦電子通信隱私權(quán)法》《2009個人隱私與安全法案》等法律，結(jié)合行業(yè)自律及司法判例對個人信息予以全方面保護；日本于2003年實施《個人信息保護法》，并為適應(yīng)時代發(fā)展于2015年5月27日對該法案進行修訂；歐盟于2018年5月25日出臺《一般數(shù)據(jù)保護條例》(General Data Protection Regulation，以下簡稱GDPR)，該條例被稱為史上最嚴(yán)的個人數(shù)據(jù)保護條例。因此，對個人信息的保護不僅是個別國家的專屬，對個人信息采集、利用等行為進行規(guī)制，進而統(tǒng)一世界范圍內(nèi)對信息及數(shù)據(jù)的使用規(guī)則也成為時代趨勢。

(三)對個人信息進行保護的范圍

在論及個人信息保護之前，首先需明確個人信息的范圍，以及受個人信息權(quán)利所控制的行為界限。

1.個人信息的范圍

根據(jù)《信息安全技術(shù)個人信息安全規(guī)范》(以下簡稱《規(guī)范》)中相關(guān)規(guī)定，個人信息是指以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合識別特定自然人身份或者反映特定自然人活動情況的各種信息。根據(jù)該定義，個人信息的重要特征在于其標(biāo)識作用，即通過該信息可以明確指向特定主體?！兑?guī)范》對個人信息的類型及范圍也進行了劃分，包括個人基本資料、個人身份信息、個人生物識別信息、網(wǎng)絡(luò)身份標(biāo)識信息、個人健康生理信息、個人教育工作信息、個人財產(chǎn)信息、個人通信信息、聯(lián)系人信息、個人上網(wǎng)記錄、個人常用設(shè)備信息、個人位置信息及其他信息。上述信息基本涵蓋了能夠指向特定主體的信息。

其中，《規(guī)范》另對個人信息中的個人敏感信息進行了特別挑選，個人財產(chǎn)信息、個人健康生理信息、個人生物識別信息、其他信息項下的部分信息屬于個人敏感信息。個人敏感信息一旦予以不當(dāng)利用會對該信息指向的主體的財產(chǎn)或人身安全造成威脅。

2.個人信息權(quán)的內(nèi)容

雖然《民法總則》第111條規(guī)定自然人的個人信息受法律保護，但從實踐來看，對于個人信息享有權(quán)利的主體包括該信息指向的自然人本人，也包括通過本人授權(quán)或其他合法途徑獲得該個人信息的主體。個人信息指向的主體本人，對該個人信息享有完整的權(quán)利。結(jié)合GDPR相關(guān)規(guī)定，筆者認(rèn)為個人信息從產(chǎn)生到消除可能涉及的權(quán)利應(yīng)當(dāng)包含對個人信息的發(fā)布權(quán)、使用權(quán)、訪問權(quán)、更正權(quán)、刪除權(quán)、限制處理權(quán)、數(shù)據(jù)攜帶權(quán)、反對權(quán)等權(quán)利，上述權(quán)利在涉及公共安全、國家利益等必要事項時會予以一定限制。而第二手權(quán)利人則會根據(jù)獲得授權(quán)的范圍在一定界限內(nèi)行使相關(guān)權(quán)利。

如此看來，可能侵害個人信息的主體既包括未經(jīng)授權(quán)的第三人，也包括超出授權(quán)范圍使用個人信息的主體。同時，侵害個人信息的行為從個人信息的產(chǎn)生到消除都可能存在。對第三人而言，侵害個人信息的行為包括未經(jīng)權(quán)利人許可非法獲取、披露、使用、篡改、刪除個人信息等行為。其中需強調(diào)的是，獲取行為本身雖然表面看來不會對權(quán)利人造成損害，但是，權(quán)利人對個人信息享有權(quán)利的重要體現(xiàn)之一就在于其可以選擇向特定人公開或不公開個人信息，而第三人的獲取行為則破壞了權(quán)利人對個人信息的控制，同時，后續(xù)對個人信息的使用行為均是基于獲取行為本身，且一般而言，個人信息的價值在于對其的利用，獲取信息后一般會包括繼續(xù)實施后續(xù)的使用行為的意圖。因此，獲取行為本身也是一種侵害。第二手甚至再下手的侵權(quán)行為則可能包括超出授權(quán)范圍向他人披露、授權(quán)、泄露，非法使用、篡改、刪除個人信息等行為。

四、司法應(yīng)對：個人信息司法救濟的完善

如上所述，當(dāng)前我國個人信息司法救濟路徑仍以隱私權(quán)為主，由于保護權(quán)益局限、舉證能力與證明標(biāo)準(zhǔn)失衡、損害賠償認(rèn)定標(biāo)準(zhǔn)較高，用戶個人信息司法救濟路徑嚴(yán)重受阻。筆者認(rèn)為，擬可通過邏輯、實踐兩層面探究現(xiàn)有法律框架內(nèi)個人信息司法救濟之應(yīng)然路徑，助力民事訴訟制度改革視野下互聯(lián)網(wǎng)糾紛解決機制的合理轉(zhuǎn)換。

(一)個人信息侵權(quán)責(zé)任中過錯的認(rèn)定

《侵權(quán)責(zé)任法》中規(guī)定侵權(quán)構(gòu)成要件包括侵權(quán)行為、過錯、損害事實和因果關(guān)系。 就侵權(quán)行為而言，上文已經(jīng)對此予以說明，此處就不再贅述，就損害事實與因果關(guān)系而言，各類侵權(quán)責(zé)任形式基本不存在過多差別，故此處著重說明個人信息侵權(quán)責(zé)任中過錯的認(rèn)定。

如前所述，個人信息分為一般個人信息與個人敏感信息。就一般個人信息而言， 如采取過錯責(zé)任原則，侵權(quán)行為實施者的過錯一般可以從侵權(quán)行為實施者未獲得授權(quán)等消極事實、其采取技術(shù)手段破壞對個人信息保護措施等積極事實予以證明。但是根據(jù)對1 383份“App越界索權(quán)”裁判文書的分析，受到侵害的一般是個人信息的原始權(quán)利人，即該個人信息指向的自然人，而一般侵權(quán)行為實施者為擁有較強技術(shù)能力的互聯(lián)網(wǎng)企業(yè)。在這樣雙方技術(shù)水平與舉證能力存在較大差距的情況下，要求主張權(quán)利的自然人承擔(dān)證明侵權(quán)行為實施者存在過錯的舉證責(zé)任，對于權(quán)利人而言略過苛刻。因此，筆者建議一般個人信息侵權(quán)責(zé)任認(rèn)定中采取過錯推定責(zé)任，由被訴侵權(quán)者承擔(dān)證明自身不存在過錯，即相關(guān)信息存在合法來源的舉證責(zé)任，平衡雙方責(zé)任。

而對于個人敏感信息來說，由于極具特殊性，與權(quán)利人的人身安全和財產(chǎn)安全存在密切關(guān)聯(lián)，因此對個人敏感信息的保護應(yīng)當(dāng)相較于一般個人信息更強。一方面在過錯認(rèn)定時，建議采取無過錯責(zé)任，只要存在侵害個人敏感信息的行為即可以認(rèn)定對個人信息權(quán)利的侵害；另一方面對于授權(quán)環(huán)節(jié)也應(yīng)當(dāng)嚴(yán)格把控，通過自然人授權(quán)獲得個人敏感信息的主體進行再授權(quán)或轉(zhuǎn)授權(quán)時，應(yīng)承擔(dān)更高的注意義務(wù)，嚴(yán)格審查相關(guān)資質(zhì)及使用目的，保護個人敏感信息安全。

(二)合理情形下的侵權(quán)排除

《民法總則》及《侵權(quán)責(zé)任法》對不承擔(dān)及減輕責(zé)任的情形進行了規(guī)定，其中被訴侵權(quán)主體最常采取的抗辯理由就是其已經(jīng)在服務(wù)協(xié)議中，事先對其采集和利用個人信息予以告知，用戶亦勾選該協(xié)議表示同意。要判斷該項抗辯是否成立，就要判斷服務(wù)協(xié)議中個人信息相關(guān)條款是否有效。當(dāng)前服務(wù)協(xié)議中的條款一般較為固定，為格式條款，根據(jù)《合同法》相關(guān)規(guī)定，提供格式條款一方免除其責(zé)任、加重對方責(zé)任、排除對方主要權(quán)利的，該條款無效。個人信息條款一般會免除被訴侵權(quán)主體， 即提供格式條款的一方主體就獲取和利用個人信息方面應(yīng)當(dāng)承擔(dān)的責(zé)任，排除權(quán)利人對個人信息授權(quán)等方面的權(quán)利，因此，在格式條款未明確標(biāo)識，權(quán)利人亦不認(rèn)可該條款效力的情況下，其中個人信息條款應(yīng)屬無效，用戶同意的抗辯亦不成立。

《信息網(wǎng)絡(luò)傳播權(quán)保護條例》第22條對侵害信息網(wǎng)絡(luò)傳播權(quán)的信息存儲空間網(wǎng)絡(luò)服務(wù)提供者不承擔(dān)賠償責(zé)任的條件進行了規(guī)定，該避風(fēng)港原則對于個人信息侵權(quán)中網(wǎng)絡(luò)服務(wù)提供者責(zé)任的確定也可予以借鑒。雖然個人信息相關(guān)權(quán)利與信息網(wǎng)絡(luò)傳播權(quán)分屬不同權(quán)利性質(zhì)，但對于信息存儲空間而言，其僅為存儲平臺，要求其對平臺中用戶發(fā)布的所有信息是否屬于其自身真實信息而非他人個人信息、是否未經(jīng)他人授權(quán)擅自發(fā)布他人信息等情節(jié)予以審查，則屬于對該網(wǎng)絡(luò)服務(wù)提供者提出過高的注意義務(wù)要求。因此，借鑒避風(fēng)港原則，在網(wǎng)絡(luò)服務(wù)提供者接到權(quán)利人通知并及時刪除相關(guān)信息時，可以免除其賠償責(zé)任。與此同時，與避風(fēng)港原則緊密聯(lián)系的紅旗規(guī)則也同樣適用。需要強調(diào)的是，對于個人敏感信息，需負有較高注意義務(wù)。

(三)侵權(quán)與合同競合的處理

如果App服務(wù)協(xié)議的部分條款無效，其他條款有效，則受害人享有違約損害賠償請求權(quán)與個人信息權(quán)侵權(quán)請求權(quán)的競合，可適用《合同法》第122條的規(guī)定，按照請求權(quán)競合的處理方式和規(guī)則、程序進行請求權(quán)選擇。

1.App服務(wù)協(xié)議無效時，建議公益訴訟

違約責(zé)任的適用前提是App服務(wù)協(xié)議有效。消費者注冊App時，簽署同意的App服務(wù)協(xié)議中的有關(guān)條款，可能屬于格式條款、霸王條款，違反合同法、消費者權(quán)益保護法的規(guī)定，則構(gòu)成了無效格式條款，在這種情況下當(dāng)事人只能請求確認(rèn)合同無效，而無法主張違約責(zé)任。那么，在涉及大量的消費者信息權(quán)受侵害的情形下，可能符合《民訴法》第55條、《消費者權(quán)益保護法》第47條規(guī)定的消費民事公益訴訟的適用條件，消費者可向消費者協(xié)會投訴，并以消費者協(xié)會的名義提起公益訴訟，從根本上否定侵害消費者信息權(quán)的格式條款效力。

2. 明顯侵害固有利益時，建議適用侵權(quán)責(zé)任

由于目前立法機關(guān)尚未明細個人信息權(quán)侵權(quán)的相關(guān)司法救濟途徑，故而在現(xiàn)有法律框架內(nèi)，在明顯侵害隱私權(quán)等固有權(quán)益的情況下，仍建議權(quán)利人選擇隱私權(quán)進行權(quán)利救濟。這種司法救濟的優(yōu)勢在于：已明顯侵害隱私權(quán)，權(quán)利人舉證難度相對較??；適用侵權(quán)責(zé)任無須解除合同，可直接主張停止侵害、消除影響；選擇侵權(quán)責(zé)任可主張精神損害賠償。[注]參見王利明：《合同法研究》(第2卷)，中國人民大學(xué)出版社2011年版，第406頁。

3.其他情形，建議適用網(wǎng)絡(luò)服務(wù)合同進行救濟

在合同有效且未明顯侵害固有利益時，建議適用網(wǎng)絡(luò)服務(wù)合同進行救濟。原因在于，法律目前只確定了個人信息的法律地位，相關(guān)配套民事法律責(zé)任及救濟體系缺位，如主張侵害個人信息權(quán)難獲法院支持，[注]參見王利明：“違約責(zé)任和侵權(quán)責(zé)任的區(qū)分標(biāo)準(zhǔn)”，《法學(xué)》2002年第5期，第45～52頁。而違約責(zé)任只需證明違規(guī)使用信息，舉證難度較低，惡意捆綁、違規(guī)存儲等行為都可納入合同法保護范疇。

(四)證據(jù)規(guī)則運用與損害賠償認(rèn)定

通過侵權(quán)責(zé)任與違約責(zé)任的分工協(xié)作，可初步解決隱私權(quán)糾紛案件舉證責(zé)任高、權(quán)益保護范圍窄的問題，但仍無法解決用戶舉證難、賠償?shù)汀⒕S權(quán)難的現(xiàn)實問題。在信息抓取類案件中，法官可通過釋明，引導(dǎo)權(quán)利人靈活運用訴訟證據(jù)規(guī)則、增加或變更訴訟請求，適當(dāng)調(diào)整類案審判思路，以推動現(xiàn)有法律框架內(nèi)個人信息司法救濟路徑的完善。

1.雙方舉證：積極進行法官舉證引導(dǎo)

在隱私權(quán)糾紛案件中，對查清權(quán)利人的實際損害、侵權(quán)人的侵權(quán)獲利確有困難的，可通過證據(jù)規(guī)則合理分配舉證責(zé)任，引導(dǎo)當(dāng)事人對判賠參考因素積極舉證，提高個人信息救濟的合理性。法官可通過詢問當(dāng)事人被訴侵權(quán)App授權(quán)范圍、信息使用方式、是否可在其他平臺中查到訴爭信息、是否存在間接經(jīng)濟損失或精神痛苦等判定侵權(quán)事實，并引導(dǎo)權(quán)利人提交公證書、網(wǎng)頁截圖、發(fā)票等證據(jù)，甚至可以在雙方同意的情況下進行現(xiàn)場勘驗。

2.舉證責(zé)任分配：靈活運用舉證妨礙、事案釋明義務(wù)等證據(jù)規(guī)則

關(guān)于個人信息權(quán)侵權(quán)訴訟所面臨的舉證困難問題，可基于《民事證據(jù)規(guī)定》的舉證妨礙規(guī)定，適用提供證據(jù)責(zé)任的轉(zhuǎn)移規(guī)則。更直接的理論依據(jù)是民事證據(jù)法上的事案解明義務(wù)，對于侵權(quán)行為、損害等事實的證據(jù)，由不負客觀證明責(zé)任的一方當(dāng)事人(即抓取和利用個人信息、持有和控制相關(guān)證據(jù)的一方)提供該證據(jù)，可以解決此類案件因證據(jù)分布偏在而引發(fā)的受害人舉證困難的問題。

同時，隱私權(quán)糾紛案件中，對于權(quán)利人舉證難度較大的侵權(quán)事實，法官可運用民事證據(jù)高度蓋然性標(biāo)準(zhǔn)，[注]參見李國光主編：《最高人民法院〈關(guān)于民事訴訟證據(jù)的若干規(guī)定〉的理解與適用》，中國法制出版社2002年版,第462頁。在權(quán)利人可證明涉案信息特殊性、信息泄露渠道單一性、被訴侵權(quán)App獲取信息可能性或者因果關(guān)系的較高關(guān)聯(lián)性的情況下，如對方提出抗辯則舉證責(zé)任轉(zhuǎn)移，要求其對未實施相應(yīng)行為或其他免責(zé)事由進行舉證，如未提出有力反證，則可根據(jù)高度蓋然性標(biāo)準(zhǔn)認(rèn)定其侵害隱私權(quán)。[注]參見江偉主編：《民事訴訟法》，高等教育出版社2013年版，第225頁。

3.損害賠償認(rèn)定：充分考慮權(quán)利人的合理支出及獲利返還

由于權(quán)利人直接證明實際損失難度較大，在權(quán)利人為購買App相關(guān)服務(wù)支出費用的情況下應(yīng)充分考慮其間接損失。[注]參見陳龍業(yè)：“解析網(wǎng)絡(luò)隱私權(quán)侵權(quán)的損害與賠償——以‘艷照門’事件為中心”，《政治與法律》2008年第4期，第15～18頁。對間接損失的認(rèn)定，要綜合考慮案件的難易程度、訴訟代理人的工作強度、律師是否出庭應(yīng)訴等多個因素，可包括個人信息許可使用費用、因信息不當(dāng)利用而支出的額外費用、為制止信息抓取或使用采取措施產(chǎn)生的費用、維權(quán)合理費用等。同時，可參考《侵權(quán)責(zé)任法》第20條獲利返還規(guī)則，結(jié)合其抓取、使用信息的目的，嘗試通過認(rèn)定App運營商收集數(shù)據(jù)可獲得的預(yù)期利益來認(rèn)定損害賠償數(shù)額，并依照完全賠償原則對權(quán)利人遭受的個人信息損害進行填補。

4.精神賠償認(rèn)定：可通過法官釋明權(quán)進行擴大解釋

可將安寧生活權(quán)益納入個人信息的保護范疇。[注]參見劉保玉、周玉輝：“論安寧生活權(quán)”，《當(dāng)代法學(xué)》2013年第2期，第49～56頁。對于因信息泄露而導(dǎo)致權(quán)利人安穩(wěn)安靜生活狀態(tài)受到嚴(yán)重侵?jǐn)_的，應(yīng)認(rèn)定為因侵害人格權(quán)而引發(fā)明顯精神痛苦，支持相關(guān)精神損害賠償訴求。此外，對惡意侵權(quán)或重復(fù)侵權(quán)等侵權(quán)情節(jié)嚴(yán)重的，要依法從高賠償或考慮進行懲罰性賠償，防止出現(xiàn)訴訟成本倒掛。

結(jié)語

個人信息保護問題學(xué)界討論已久，但作為真正權(quán)利人的個人信息司法救濟路徑卻未得到充分關(guān)注。筆者以北京法院1 383份信息抓取類案件裁判文書作為第一手資料，系統(tǒng)梳理當(dāng)前北京法院個人信息司法救濟現(xiàn)狀，檢視分析以隱私權(quán)為主的司法救濟模式所存在的實務(wù)困境，推動我國個人信息救濟路徑的完善。本文所展開的個人信息司法救濟研究并非形而上的純理論探討，而是立足于當(dāng)前個人信息司法救濟侵害規(guī)模大、勝訴比例低、訴訟動力不足的問題，思考研究現(xiàn)有法律框架內(nèi)個人信息救濟的完善路徑。此外，我們?nèi)院粲鯇W(xué)界關(guān)注個人信息的源頭保護，盡早頒布《個人信息保護法》，使App運營商最小限度抓取和使用個人信息，以實現(xiàn)網(wǎng)絡(luò)安全、科技發(fā)展、個人信息保護之間的動態(tài)平衡。