呂 凱， 張 宇

(天津大學法學院， 天津300072)

網絡服務提供者在數據信息的收集和傳播過程中起著十分重要的作用，它既是數據信息的傳播者，也是網絡空間的守護者[1]，為網民提供上傳和下載數據信息的平臺，數據信息在其運營的平臺中傳播和交換，并負有法律規(guī)定的審查義務，對在其運營平臺上面的信息進行及時合理的審查，守護網絡環(huán)境的秩序[2]。我國在著作權法領域規(guī)定了網絡服務提供者的責任和義務，如《信息網絡傳播權保護條例》中規(guī)定在接到侵權通知后有刪除的義務；同時在《侵權責任法》中增加了第三十六條，該條指出了網絡服務提供者的直接侵權責任和間接侵權責任，并將通知刪除義務的應用從著作權侵權擴大到了任何數據信息侵權；《網絡安全法》第四章規(guī)定了網絡服務提供者對個人數據信息的保護義務，例如保密義務、主動審查義務和通知刪除義務；《全國人民代表大會常務委員會關于加強網絡信息保護的決定》中規(guī)定，涉及公民個人隱私和個人身份的電子信息均受到保護，對非法獲取、出售、向他人提供公民的個人電子信息均是違法行為；《最高人民法院關于審理利用信息網絡侵害人身權益民事糾紛案件適用法律若干問題的規(guī)定》是對《侵權責任法》第三十六條的進一步解釋，指出了數據信息侵權行為的受害人可以要求人身損害賠償、財產損害賠償和精神損害賠償三種賠償方式。

雖然我國已經出臺了一系列針對數據信息侵權行為的法律法規(guī)，但是數據信息侵權問題仍然沒有得到解決，反而越來越嚴重。根據《第四十二次互聯網安全報告》顯示，2018年上半年，有28.5%的網民遭受過個人信息泄露，19.7%的網民遭遇賬號被盜或密碼被盜，58.6%的網民遭遇過網絡信息詐騙，如虛擬中獎信息詐騙、網絡購物詐騙、社交網站冒充好友詐騙等[3]。2014年，12306火車票官方訂票網站出現漏洞，導致近600萬用戶信息泄露。2016年12月，京東內部員工監(jiān)守自盜泄露了50億條公民的個人信息，嚴重危害了個人信息安全。2016年，高中生徐玉玉因個人信息泄露，接到自稱招生機構的詐騙電話，財產受到損失，最后導致自殺身亡。要解決數據信息侵權問題，首先應該明確這類侵權行為的特點，針對這些特點找出我國現有法律法規(guī)存在的不足，從而進行改進和完善。

一、 網絡服務提供者數據信息侵權的特點

網絡服務提供者的個人數據信息侵權行為與一般的個人信息侵權行為本質上是相同的，都是在對個人信息的收集、傳播、使用過程中產生的侵權問題，由于網絡具有虛擬性和無邊界性，因此網絡服務提供者的數據信息侵權行為具有其自身的特點。

1. 侵權方式具有多樣性

一般的個人數據信息侵權都是直接侵權，侵權人直接竊取他人的銀行賬號和密碼，或者通過木馬程序進入他人的電腦盜取他人的個人信息，但是網絡服務提供者的侵權方式可以分為直接侵權和間接侵權。直接侵權是指網絡服務提供者直接利用其所提供的服務非法收集、傳播和利用用戶的信息[4]，例如王某與北京凌云互動信息技術有限公司侵犯名譽權糾紛案中，凌云技術公司利用其所提供的大旗網站私自公開了王某的姓名、照片和家庭住址等個人信息，導致網友到王某家門口進行騷擾。在這一案例中，凌云公司利用其運營網絡平臺的優(yōu)勢私自曝光他人個人信息的行為屬于直接侵權。間接侵權是指網絡服務提供者沒有直接實施侵權行為，但是故意引誘他人直接實施侵權行為，或者明知或應知他人將要或正在實施直接侵權行為，而為其提供幫助，或者明知他人已經實施侵權行為而不加以制止[5]。例如在金八文化傳媒有限公司與華瑜婷、陳嘉煒網絡侵權糾紛案中，金八公司并沒有傳播或利用原告的個人數據信息，但用戶將原告?zhèn)€人信息上傳到了該平臺，而金八公司沒有盡到注意義務，沒有對用戶上傳的內容加以審查，也沒有在接到通知后及時刪除，故法院認定構成了間接侵權。

2. 侵權行為具有隱秘性且舉證難度大

網絡服務提供者作為網絡平臺的運營者、服務的提供者，掌握著高超的信息處理技術，可以利用其提供的服務輕易收集到用戶的數據信息，并將收集到的數據信息非法出售給他人，或者利用信息傳輸技術將用戶的個人數據信息在網絡上進行傳播，供他人瀏覽，而此時受害者卻難以確定侵權者是個人用戶還是網絡服務提供者，進而難以追究侵權責任[6]。例如京東員工利用職務之便販賣50億條公民的個人信息，可能有很多被販賣信息的受害者至今還不知道自己的信息已被販賣。

3. 侵權客體的范圍擴大

一般個人數據信息侵權行為的侵權客體是姓名、電話、家庭住址、身份證號碼等，但是網絡服務提供者的侵權客體不僅僅局限于通常的個人信息，還包括瀏覽記錄、聊天記錄、網購記錄、醫(yī)療電子記錄等。網絡服務提供者可以利用Cookies等技術分析用戶在其平臺上的瀏覽記錄，通過了解用戶的喜好以分析市場走向。如淘寶網可以通過收集用戶的網購記錄，分析用戶的消費習慣、市場走向，如果淘寶網將這些網購記錄出售給他人或者通過網絡進行傳播，那么用戶很有可能會收到相關的推銷短信、電話、郵件等，影響用戶的正常生活。美國的劍橋分析公司就曾經借助Facebook平臺收集人們對時尚品牌的偏好，利用這些數據判斷政治傾向，這一事件導致Facebook陷入信息泄露的丑聞中，而劍橋公司也面臨破產危機。在一般的個人信息侵權中，人們的偏好可能并不是個人信息，但是由于在網絡環(huán)境中通過分析成千上萬條信息就會得出普遍規(guī)律，從而帶來無限商機。

4. 損害后果更加嚴重

一般線下的個人信息侵權傳播速度比較慢，傳播范圍較小并且可以控制，由于網絡傳播信息的即時性，個人數據信息一旦在網絡上被公開，傳播范圍很有可能瞬間擴大。如某明星的個人就醫(yī)記錄被人發(fā)布到微博上，該記錄很有可能瞬間被轉發(fā)上萬次，嚴重侵害了該明星的隱私權，即使傳播者馬上刪除，也難以消除影響。同時，網絡服務提供者作為運營者，掌握著整個平臺的運營情況，一旦網絡服務提供者未經用戶同意，將用戶的個人信息在網絡上進行傳播，會給用戶帶來嚴重的損害后果。

5. 免責事由具有特殊性

一般的行為人實施侵權行為后，其免責事由為受害人故意造成損害、第三人過錯、不可抗力、自助行為和緊急避險。對于網絡服務提供者而言，不僅可以具有這五種免責事由，還有自己獨特的規(guī)定，如《侵權責任法》規(guī)定網絡服務提供者在收到被侵權人的通知后，及時刪除侵權內容，則可以免除侵權責任。同時，在司法實踐中，網絡服務提供者還可以以技術中立原則進行免責，例如迅雷網絡技術有限公司、北京三面向版權代理有限公司侵害作品信息網絡傳播權糾紛案中，法院認為迅雷公司提供的下載軟件僅僅是一種下載工具，并不需要對用戶的下載內容負責，故可以采用技術中立原則免除侵權責任。

二、 網絡服務提供者數據信息侵權現狀

1. 侵權責任的歸責原則不清晰

我國關于個人數據信息侵權的歸責原則存在著爭議。有的學者認為應當按照網絡服務提供者的類型來區(qū)分歸責原則[7]，也有學者認為：應當根據侵犯的不同民事權益判斷歸責原則[8]，還有的學者認為：應當區(qū)分直接侵權和間接侵權的歸責原則[9]。雖然我國《侵權責任法》第三十六條第一款規(guī)定了網絡服務提供者侵害他人合法權益時應該承擔民事責任；第二款和第三款規(guī)定了網絡服務提供者知道用戶實施侵權行為而沒有采取制止措施的應與用戶承擔連帶責任，但該條款并沒有明確指出應當適用的歸責原則。首先，從立法表述上看，《侵權責任法》第三十六條規(guī)定，網絡服務提供者侵害他人利益時應承擔侵權責任，該規(guī)定從字面意思上看并不符合過錯責任原則的表述，該規(guī)定并沒有對網絡服務提供者主觀上是否具有過錯進行明確表述，所以無法確定具體的歸責原則。其次，從司法實踐中看，由于我國法律沒有明確規(guī)定應該適用的歸責原則，所以很多案件都對這一問題進行了規(guī)避，例如在金八文化傳媒有限公司與華瑜婷、陳嘉煒網絡侵權責任糾紛案中，法院認為金八公司沒有盡到注意義務，所以應承擔責任，即該法院采取了過錯責任的歸責原則。但在閆某與新浪公司、百度公司侵犯名譽權、隱私權糾紛案中，法院認為被告沒有證據證明其履行了注意義務并及時刪除侵權內容，應該承擔侵權責任，即法院適用了過錯推定責任。雖然這兩個案件的判決結果沒有不同，但是因為適用的歸責原則不同，造成了舉證責任的分配不同，在過錯責任原則下，由原告承擔被告有過錯的舉證責任，而在過錯推定原則下，由被告承擔自己履行了注意義務和刪除義務的證明責任。

2. 缺乏判定網絡服務提供者間接侵權的標準

如上文所述，網絡服務提供者的數據信息侵權方式具有多樣性，既可以實施直接侵權行為，又可以實施間接侵權行為。直接侵權行為很好判定，但對于間接侵權行為的判定，在學理上存在著一些爭議，在司法實踐中，由于缺乏統(tǒng)一的判定標準，對于間接侵權的認定也存在著不同的結果。在我國，主要依據《侵權責任法》第三十六條第三款中的“知道”標準判定網絡服務提供者的間接侵權責任，但在學理上，學者對于“知道”的理解卻產生了分歧，一部分學者認為“知道”不包括“應知”，也就是不包括因違反注意義務而對用戶造成侵權的情況，他們認為“知道”指的是網絡服務提供者接到用戶的侵權通知，或者用戶有充分的證據證明網絡服務提供者明知侵權行為存在[10]。另一部分學者認為“知道”應該包括“明知”和“應知”，“應知”是指網絡服務提供者應當履行適當的注意義務，在事前發(fā)現侵權行為，從而制止侵權行為發(fā)生，但是并沒有及時履行該義務，導致用戶權益受到侵害[11]。

在司法實踐中，由于缺乏統(tǒng)一的判定標準，法院既使用了“明知”的標準，也采納了“應知”標準。在閆某與新浪公司、百度公司侵犯名譽權、隱私權糾紛案中，法院在判定新浪公司是否構成間接侵權時，采取了“應知”標準，認為新浪公司沒有盡到《互聯網電子公告服務管理規(guī)定》所規(guī)定的事前提示和事后監(jiān)督義務，應該承擔侵權責任。而對于百度公司，法院認為百度公司采取設置投訴鏈接、告知投訴步驟和權利聲明等方法，起到了事前監(jiān)督和事后審查的作用，所以不承擔侵權責任。在這一案例中，法院認為設置了相關的投訴渠道等救濟通道就視為網絡服務提供者履行了注意義務，這種認定標準缺乏法律依據。在迅雷公司與北京三面向版權代理公司信息網絡傳播權糾紛案中，法院認為網絡服務提供者是否構成間接侵權可以依據網絡服務提供者是否主動對作品進行選擇、編輯、推薦等進行判斷，在這一案件中，迅雷公司只為用戶提供了作品鏈接，并沒有對該作品進行推薦或編輯，所以不構成間接侵權。從這兩個案例中可以看出，法院在認定間接侵權行為時，具有很大的裁量空間，所依據的標準不統(tǒng)一，導致同案不同判。

3. 缺乏明確的數據信息侵權損害賠償標準

由于個人數據信息侵權往往發(fā)生在網絡上，傳播速度快、范圍廣、受害者眾多，所以難以根據現實的實際情況確定受害者受到的損害[12]。尤其是在精神損害賠償方面，雖然我國有相關的司法解釋規(guī)定精神損害賠償應該考慮的因素，但是這些考量因素主觀性較強，很難確定具體的損害賠償數額，而且也沒有規(guī)定最低額度和最高額度，這樣也會增加法官的自由裁量幅度[13]，例如徐某與新浪公司名譽權糾紛案中，法院認為在判定損害數額時應該結合被告的過錯程度、侵權行為持續(xù)時間等酌情判斷。在周某與金山軟件公司名譽權糾紛案中，法院認為應結合直接侵權人的身份、侵權內容、相關語境、受眾情況和可能引發(fā)的后果等來判斷損害賠償數額。由于我國法律并沒有區(qū)分網絡服務提供者的直接侵權和間接侵權所應承擔的損害賠償，網絡服務提供者的間接侵權往往是因為疏忽大意造成的，如果直接侵權和間接侵權所承擔的損害賠償責任相同的話，可能會增加網絡服務提供者的負擔，甚至助長網絡服務提供者的侵權行為[14]。另外，《侵權責任法》第二十條規(guī)定的三種損害賠償標準是按順序適用的，如果受害者能證明自己的損失，則損害賠償的數額僅限于受害者的損失，但是當侵權人的經濟利益大于受害人的損失時，如果仍然局限于受害人的損失，那么即使侵權人賠償了受害人的損失，侵權人仍然是獲利的，這就違背了立法目的，無法達到懲戒違法犯罪行為的目的。

4. 沒有具體規(guī)定網絡服務提供者的免責事由

在司法實踐中，網絡服務提供者經常提出技術中立原則進行免責，但是我國法律沒有明確規(guī)定技術中立原則的適用問題，這給法院判定網絡服務提供者是否應當免責帶來了困難，甚至在有些案件中直接援引美國的制度，缺乏與案件的聯系性，也與我國的法律制度不相符合[15]。在快播案中，被告曾經以技術中立原則進行抗辯，但是由于我國并沒有明確規(guī)定技術中立原則是什么，如何應用，在什么情況下可以作為免責事由，所以法律工作者并不能很好的運用技術中立原則，法官為了規(guī)避風險，幾乎不贊同技術中立原則可以免責，但是這樣往往會讓技術研發(fā)者和提供者產生恐懼心理，阻礙科學技術的發(fā)展。即使采用技術中立原則為網絡服務提供者免除了責任，但是卻缺乏法律法規(guī)的支撐，如在迅雷公司與北京三面向版權代理公司信息網絡傳播權糾紛案中，法官僅通過理論來論證迅雷公司依據技術中立原則進行免責，但缺少法律依據，使判決結果缺乏一定的說服力。

雖然《侵權責任法》規(guī)定了通知與刪除規(guī)則，并且有相關的司法解釋對通知的內容作了規(guī)定，但法律并沒有規(guī)定一旦通知不符合要求時，網絡服務提供者該如何做，是否應當承擔侵權責任。在實踐中，可能很多受害者不了解通知的構成要件，發(fā)出的通知不符合要求，導致網絡服務提供者按照自己的判斷采取了一定的措施，未完全按照權利人的意思處理，從而使網絡服務提供者被推上被告席，承擔連帶責任。

三、 進一步完善我國相關法規(guī)的建議

1. 規(guī)定多元的侵權責任歸責原則

隨著信息技術的發(fā)展，信息的種類逐漸多元化，獲取信息的渠道越來越多，對網絡服務提供者的技術要求也越來越高，網絡服務提供者需要承擔信息的傳播、收集和保護責任，侵權行為類型可能逐漸多樣化，針對不同的侵權行為應當采取不同的歸責原則[16]。具體來說，網絡服務提供者的侵權行為可以分為直接侵權和間接侵權。對于直接侵權，應適用一般過錯責任原則，即如果網絡服務提供者存在過錯，則承擔侵權責任，如果是用戶個人的操作失誤導致個人信息受到侵害，網絡服務提供者不承擔侵權責任。對于間接侵權，可以參考歐盟關于《個人數據保護指南》規(guī)定的過錯推定原則，該指南規(guī)定，網絡服務提供者應當對自己違反義務的行為承擔損害賠償責任，如果能夠證明它不對任何產生損害的事件負責，可以免予承擔該責任[17]。我國可以參照該指南，規(guī)定網絡服務提供者存在過失或故意，幫助他人侵害用戶的個人信息時，如果其不能證明自己不存在過錯，則應當與侵權人共同承擔侵權責任。適用過錯推定責任有利于促進網絡服務提供者履行注意義務，保護用戶的合法權益[18]。

2. 明確間接侵權的判定標準

整合相關案例和法律法規(guī)，明確間接侵權的判定標準。結合相關的司法案例、法律法規(guī)和域外關于間接侵權的規(guī)定，對于間接侵權的認定應該將“明知”和“應知”標準相結合。 “明知”可以依據被侵權人發(fā)出的通知來判定，當被侵權人向服務提供者發(fā)出侵權通知時，即可確定其知悉運營的平臺存在著侵權行為，服務提供者應該采取斷開連接、刪除相關內容等制止侵權行為[19]。對于“應知”，可以依據服務提供者是否履行了注意義務進行判定。注意義務是指服務提供者應該采取一些措施預防和控制侵權行為[20]，對于注意義務的標準可以參照美國的Tiffany案，該案法院認為，服務提供者不僅要在用戶上傳數據信息時進行審查，同時也要對每位用戶上傳的數據進行監(jiān)控，明確每位用戶上傳的內容。我國雖然在《互聯網電子公告服務管理規(guī)定》中明確了服務提供者事前提示和事后監(jiān)督的義務，并要求其設置投訴渠道和權利聲明，但是該規(guī)定法律位階不高，且規(guī)定不全面，應出臺相關的司法解釋，對注意義務進行更明確的規(guī)定。

3. 完善對免責事由的規(guī)定

《侵權責任法》及相關的司法解釋雖然對通知與刪除規(guī)則進行了規(guī)定，但是法律并沒有規(guī)定一旦通知不符合要求時，網絡服務提供者該如何做，是否應當承擔侵權責任。應該明確如果不符合要件，網絡服務提供者要及時告知受害者通知的要求，并建議受害者重新發(fā)出通知，同時應當根據已經提供材料的范圍采取一定的措施。如果受害者已經提供了充足的證據可以證明侵權行為，那么，網絡服務提供者應當及時暫停侵權內容的鏈接、屏蔽侵權內容等措施，制止侵權行為的發(fā)生。

針對技術中立原則，雖然我國目前有很多指導意見和司法判例針對技術中立原則做出了一些總體規(guī)定，但是缺乏具體適用的法律規(guī)定。因此，我國法律應該明確規(guī)定技術中立原則的適用情況，在相關法律中明確指出技術提供者在什么情況下應承擔責任，明確技術中立與侵權認定的關系，并提出處理二者關系的具體要求和實施方案，嚴格審查技術提供者承擔侵權責任的條件[21]。另外，法律也應當嚴格限制技術中立原則的適用范圍，可以采用列舉法制定嚴格的技術中立原則的適用情況，防止技術研發(fā)者或提供者幫助他人實施違法犯罪之后，卻利用技術中立原則逃避法律的制裁。

4. 制定詳細的損害賠償標準

服務提供者對受害人造成的財產損害后果主要是因信息泄露造成的個人財產被盜取和個人數據信息本身具有的商業(yè)價值被他人利用。第一種情形下，可以根據受害人被盜取的具體財產數額判定損害賠償數額。但是對于第二種情形，由于個人數據信息的財產價值難以量化，侵權者往往是將成千上萬的個人數據信息匯總成數據庫，再利用數據庫獲取經濟收益，而單獨某一條個人數據信息可能并沒有很高的經濟價值，所以此時很難判定受害人的損失[22]。筆者認為，可以參考《著作權法》的規(guī)定，在使用他人數據信息時應當支付合理的使用費用，具體數額可以依據數據的用途、使用者的預期收益、數據的重要性等因素雙方協商確定，而當出現數據信息侵權問題時，可以依據同類數據信息的使用費用來確定受害者的損失。在判定賠償數額時，不應當局限于《侵權責任法》第二十條的規(guī)定，應當考慮案件的具體情況，如果侵權人所獲得的收益高于受害人的損失，則法院可以在平衡各方利益后，在受害人的損失和侵權人獲得的收益額度內確定一個合理的賠償數額，這樣既起到了懲戒作用，又使受害人得到了補償。

大多數侵犯個人數據信息案件都會因隱私被公眾知悉，而使受害人受到精神損害，對于精神損害賠償的標準，筆者認為除了司法解釋規(guī)定的考慮因素外，還應當考慮網站影響力、相關內容的點擊率、轉發(fā)量和網頁的評論內容，從而判定精神損害的嚴重程度。之所以考慮這四種因素，有四點原因：第一，網站的影響力不同，傳播的范圍就不同，所造成的損害也不同，在知名度高的網站上發(fā)布他人的個人信息則可能造成很大的損害后果，如新浪微博公開他人的身份證號碼、手機號碼等，該信息很有可能在短時間內被廣泛傳播，給受害者的正常生活帶來困擾；第二，點擊率是相關內容受到關注程度的衡量指標，點擊率越高說明瀏覽該信息的人越多，傳播范圍越廣泛，點擊率作為一個可以量化的數字，很好的反映了損害的程度，也可以約束法官的自由裁量權；第三，轉發(fā)量是衡量侵權內容擴散程度的指標，通過轉發(fā)可以將侵權內容在短時間內擴散，甚至難以將侵權內容刪除殆盡，從而造成嚴重的損害結果；第四，網頁的評論內容可以作為個人數據信息是否帶來負面影響的判斷標準，對判定名譽權侵權具有重要作用，即使帶來積極評論也并不是侵權人免責的理由，即使帶來了積極評論，仍然可以根據網絡評論來判斷相關內容的知曉率，從而判斷損害擴大的程度[23]。同時，法律也應當規(guī)定精神損害賠償的最低賠償額度和最高賠償額度，限制法官的自由裁量權。