張 力，莫楊燊

(西南政法大學 民商法學院，重慶 401120)

一、引 言

隨著計算機、信息通信等技術的發(fā)展，人類步入了一切皆數(shù)而萬物可量的大數(shù)據(jù)時代，個人信息日益以數(shù)字化的形式在社會中流轉，遭受各種形形色色的不可測侵害之可能性大為提高。我國也概莫能外，近年來山東徐玉玉受電信詐騙案，清華某教授遭電信詐騙案等侵害個人信息的重大案件頻發(fā)，更是引發(fā)公眾對自身個人信息安全的深刻焦慮。揆諸現(xiàn)實，民事立法必然要回應對個人信息保護的社會關切，因此，《民法總則》在民事權利一章中單列一條，明確自然人的個人信息受法律保護和其他民事主體對此的義務[1]。但是，在《民法總則》規(guī)定的“個人信息”的法律屬性以及保護路徑上，卻是眾說紛紜。“權利論者”認為：《民法總則》第111條確立了個人信息權[2]40[3]，應當采用具體人格權的保護進路；“法益論者”認為：該條僅僅是為個人信息作為法益(1)法益有廣義和狹義之分, 廣義的法益泛指一切受法律保護的利益, 權利也包含于法益之內;狹義的法益僅指權利之外而為法律所保護的利益, 是一個與權利相對應的概念。 本文采用的是狹義的法益概念，所用的“法益”與德國法上的“利益”相同。保護提供了法律依據(jù)[4-5]，應當采取法益侵害的保護進路。筆者認為，個人信息實質上是一個法益綜合體，剔除掉與具體人格權相重疊的內容，剩下的部分應通過“違反保護性規(guī)定的侵權責任”與“故意違背善良風俗致?lián)p的侵權責任”加以保護。保護性規(guī)定可以具體、明確地指引個人信息法益的識別，本身能充當過錯、違法性、因果關系等侵權構成要件的證立標準，相比于籠統(tǒng)模糊的善良風俗具有更大的優(yōu)勢。所以，“故意違背善良風俗致?lián)p的侵權責任”適宜作為兜底性保護手段，而應以“違反保護性規(guī)定的侵權責任”作為主要保護路徑，并在后者的基礎上拓展延伸以構建個人信息侵權保護體系。本文立足于以上思路進行探討。

二、個人信息法律屬性之澄清

(一)絕對權性質之否定

1.法條規(guī)范目的之探求

《民法總則》第111條之規(guī)范目的并非將個人信息作為權利保護。首先，《民法總則》第111條全文均未采用 “個人信息權”的表述，使用的是“個人信息”，若立法者有意將個人信息權利化，上升為權利來保護，又怎會吝惜一個“權”字？其次，根據(jù)所含規(guī)定之性質，法律規(guī)范可被分為授權性規(guī)范、義務性規(guī)范以及禁止性規(guī)范[6]。審視《民法總則》第111條的內容，該條并未正面地建構個人信息權的權能，而是列舉任何組織和個人在信息開發(fā)利用階段所應遵循的行為規(guī)范；從法律術語的運用上分析，該條并未使用“可以”“有……的自由”等表述，映入我們眼簾的是 “應當”“不得”等詞語。因此，第111條不屬于授權性規(guī)范，而是兼具義務性規(guī)范和禁止性規(guī)范性質的復合性規(guī)范?！睹穹倓t》在個人信息的保護上未采積極確權模式，而采行為規(guī)范模式[7]。再次，從《民法總則》民事權利這一章的編排來看，第109條是人格權保護的一般條款，第110條詳細列舉了自然人和法人、非法人組織所享有的具體人格權，第112條是關于人身權利的規(guī)定，那么第111條規(guī)定的應當是法律地位低于具體人格權的人格性法益。有學者認為，《民法總則》將個人信息規(guī)定在“民事權利”一章，從法律規(guī)范的邏輯性講，當然是受法律保護的“權”[3]。對此，筆者不敢茍同，并非只要規(guī)定于“民事權利”章節(jié)下即理所當然地應作為民事權利保護。例如，《民法總則》第109條規(guī)定：“自然人的人身自由、人格尊嚴受法律保護”，但卻不能在此認為《民法總則》設立了人身自由權和人格尊嚴權，而應當將其理解為人格權保護的一般條款，起兜底作用[8]。最后，第十三屆全國人民代表大會常務委員會于2019年12月24日公布的《中華人民共和國民法典(草案)》人格權編部分對生命權、身體權、健康權、隱私權等具體人格權的列舉都帶有“權”字，唯獨個人信息后面沒有加上“權”字，并且未單獨列為一章，而是和隱私權共同規(guī)定在第六章，可見，即將制定的《民法典·人格權編》也傾向于否定個人信息的權利化保護路徑?！霸跈嗬谋Ｗo上我們應該遵循形式主義的標準，即只有民事法律明確規(guī)定的權利才是民法上的權利，其他的都是利益保護的問題?！盵9]

2.“權益區(qū)分標準”之檢視

個人信息不符合絕對權的基本特征。假如建構個人信息權，應當歸入絕對權之范疇，因為尊重信息主體的義務主體須是不特定的任意第三人?！睹穹倓t》規(guī)定的“個人信息”究竟是作為侵權法上的權利(絕對權)抑或是法益，可以通過德國法上的權益區(qū)分理論予以廓清。根據(jù)前述理論，區(qū)分絕對權和法益有三個標準，即同時具備“歸屬效能”“排除效能”和“社會典型公開性”的，為一種侵權法上的權利，反之則只能歸于法益[10]118。歸屬效能是指某項確定的法益內容歸屬于特定主體；排他效能的根本含義是排除其他主體的任何不法干涉；社會典型公開性要求權利必須有社會一般意義上的可識別性，而非為潛在侵權人所不可感知[11]58。個人信息未能滿足上述三個標準，原因如下：其一，互聯(lián)網時代，個人信息高度數(shù)字化，常常以在二進制的基礎上由0和1組合而成的比特流形式通過集成電路傳輸，易于分享和傳播。其在產生之初時常就以數(shù)據(jù)的形式存在于網絡服務提供商的管理系統(tǒng)或服務器上，共有性特征顯著。以上種種致使個人信息難以確定地明晰權屬。其二，個人信息具有無形性，雖然依賴于一定的介質傳播、表現(xiàn)，但在物理層面卻難以為人力所束縛，不能將其排他地限制在特定空間，實現(xiàn)全面、圓滿的支配。在法律層面，對其之法律控制也不盡如人意。例如，旨在增強自然人對個人信息控制力的“知情-同意”機制不僅未能提高隱私保護水平，在實踐中反而偏向商業(yè)利益[12]。個人信息亦不具有排他效能。其三，最重要的是，個人信息缺乏社會典型公開性。在大數(shù)據(jù)時代，自動化數(shù)據(jù)處理技術大規(guī)模應用，個人在網絡空間活動中遺留的瑣細、零散的數(shù)字足跡能夠被重組、比對、整合成為關聯(lián)到特定民事主體的個人信息，個人信息和非個人信息之間的界限逐漸相對化、模糊化。比如，瀏覽歷史、購物記錄、搜索關鍵詞等反映網上活動軌跡及上網偏好的信息并不能直接辨別和確定特定主體，但與地理定位、IP地址等聯(lián)系起來，就可確定指向某一特定主體，成為個人信息。個人信息的界定也在朝著場景化、動態(tài)性的方向發(fā)展[13-14]。因此，個人信息無法成為社會一般人可以清晰預見和明確感知的對象。近來，有觀點認為，個人信息與知識產權本質上具有諸多共同性，通過借鑒知識產權的構建路徑，采用“行為規(guī)制權利化”的技術方法，不強調對客體意義上個人信息的圓滿控制，而是規(guī)制特定的利用行為并以此架構利益保護的空間，足以塑造作為絕對權的個人信息權[15]。但是，該學者卻忽略了個人信息在權益歸屬的確定性、社會典型公開性和著作權、專利權及商標權等知識產權的巨大差距，“權益區(qū)分三標準”的不滿足堵塞了個人信息“行為規(guī)制權利化”的技術路徑。綜上，“個人信息”難以為其他民事主體的行為提供合理的預期，不具有使他人避免侵害的期待可能性，不宜作為絕對權保護。

3.利益衡量視野之考察

個人信息絕對權化將阻礙信息的自由流通。個人信息保護要權衡自然人民事權益之維護與信息自由流通兩大法律價值目標，歐盟GDPR第1條第3項可為著例，其規(guī)定“不能以保護處理個人數(shù)據(jù)中的相關自然人為由，對歐盟內部個人數(shù)據(jù)的自由流動進行限制或禁止”，個人信息絕對權化在價值衡量上獨傾于前者而忽視后者，不利于維系權益保護與信息自由流通的二元平衡。假若確立個人信息權，前文已述，應為絕對權(2)在此先擱置前文提及的“個人信息”不符合絕對權三個特征的論斷。，所以將個人信息作為權利保護與作為法益保護至少有兩點不同：其一，如前所述，絕對權具有歸屬效能和排他效能，賦予民事主體以個人信息權意味著個人信息在法律上排他地歸屬于某個自然人，并且可以摒除他人的不當干涉。這必然導致個人信息保護向強化自然人對其個人信息所享有之控制力的方向發(fā)展。我國學界通說對于個人信息權的理解事實上也是和德國法上突出信息主體對個人信息的支配和控制的個人信息自決權相近[2]41[16]。其二，法律對于權利和法益采取的是區(qū)分保護，對絕對權的保護力度要大于對法益的保護。這將導致兩點不妥：其一，個人信息(尤其是網絡之上的)本質上是一種公共產品，具有非競爭性和非排他性[17]517-574，賦予信息主體控制性的個人信息權與個人信息的本質屬性相沖突。況且，個人對其個人信息的控制在現(xiàn)實中也難以實現(xiàn)。在信息社會，攝像頭、麥克風、移動傳感器、GPS和WIFI功能徹底創(chuàng)新了公共領域的數(shù)據(jù)收集[14]，自然人既難以察覺，也無從阻止。個人信息會經歷二次甚至后續(xù)的多次利用，自然人與數(shù)據(jù)中間商及數(shù)據(jù)后續(xù)利用者之間并無直接的聯(lián)系，且由于大數(shù)據(jù)挖掘技術的廣泛應用，數(shù)據(jù)的增值用途不斷涌現(xiàn)，個人信息收集之目的自始具有不確定性，與知情同意的具體性相沖突。凡此種種，致使以“知情-同意”規(guī)則為根基建立的控制機制徹底淪為蟠木朽株，“食之無味，棄之可惜”。其二，侵權法上的權利具有不可侵犯性，一旦侵害絕對權，便直接征引違法性，如若沒有違法阻卻事由，則需承擔相應的侵權責任。將個人信息絕對權化，并且是建構起導向支配、控制性的個人信息權，個人信息的利用原則上被禁止，除非得到個人的同意或者符合法律的規(guī)定。由此，民事主體處理他人個人信息的行為自由將受到極大的限制，行為一不小心就會逾越自由的邊界，侵入他人個人信息權的領域構成侵權，使民事主體動輒得咎。利益被識別、篩選為法益，需要滿足特定的法律評價機制設置的限制條件。如若將個人信息定性為法益，預設的前提是，利用個人信息的行為原則上是合法的，除非違反了保護性規(guī)定或者違背公序良俗。保護性規(guī)定在規(guī)制非法利用個人信息的行為方面的作用相當于負面清單，是否“背俗”常常伴隨著利益衡量，并不會過度限制個人信息的處理，窒息信息的自由流通。

4.比較法上經驗之借鑒

比較法上對個人信息權利化持否定性立場。美國并無關于個人信息的綜合性立法，采取分散立法模式[18]。美國國會通過的一系列保護個人信息的立法，如《兒童網上隱私保護法》《家庭教育權利和隱私法》《視頻隱私保護法》等帶有明顯的消費者法保護或公法規(guī)制的特征，并未賦予個人以針對不特定第三人的權利[19]。歐盟賦予個人信息憲法地位，將其視作人的基本權利和自由?！稓W盟基本權利憲章》第8條、《歐洲人權公約》第8條及其旨在統(tǒng)一各成員國個人信息保護的《第95/46/EC號指令》皆清晰指明個人信息保護是一項基本權利。歐盟各成員國或者直接規(guī)定個人信息的憲法地位，如荷蘭、西班牙、葡萄牙等，或者從一般或特定的憲法原則或權利中衍生出個人信息，如德國、法國等[20]。以德國為例，德國聯(lián)邦憲法法院通過“小普查案”“人口普查案”等案件以司法判例的形式形成了個人信息自決權，個人信息自決權實際上是在公法領域公民得以對抗政治國家無限制的信息收集行為的有力工具，不是私權體系中的具體權利類型，更不是受侵權行為法保護的民事權利[21]。

(二)法益屬性之厘定

個人信息實質上是一個概括性、描述性的指稱，是眾多不同類型的法益構成的集合體。隱私權、肖像權、名譽權等精神性、標表型具體人格權，囿于社會倫理道德觀念的束縛，未能經受充分的商品經濟洗煉，從而型塑出穩(wěn)定、清晰的內涵、范圍以及權能構造，面臨著概念淡化、內容逸散，甚至整體消解為各種法益而重歸混沌的“逆權利化”風險。數(shù)字化時代，自動化信息處理技術的大規(guī)模運用給個人主體權益帶來威脅，基于尊重個人私生活、保障個人事務自決的人權觀，信息主體享有個人信息不受非法利用的法益得到廣泛承認。自精神性人格權、標表型人格權“逆權利化”進程中散逸而出的，指向特定自然人并標識個人人格、身份特質的權利內容，當其以信息的形式存在之時，自然人兼有防止此類信息被非法收集、使用、加工、傳輸?shù)姆ㄒ妫瑑烧呦嘟Y合則型構出法益集合體——個人信息。

個人信息之上集合的各種法益均是以客觀意義上的個人信息為載體的，個人信息上是否配置絕對權要著重考慮信息本身的特質。如前所述，信息是否指向特定的自然人非屬確定，個人信息的界定日益以場景化和風險管理為導向，其本身的變動不居無法滿足權利客體特定性的要求，不符合“權益區(qū)分三標準”，在法技術上絕對權化殊無可能。從綜合平衡信息開發(fā)利用及個人信息保護二元價值的角度考慮，在法政策上絕對權化不具備正當性基礎，因此，個人信息的絕對權化應予否定。我國《侵權責任法》第2條第2款的保護客體是民事權益，除權利(絕對權)之外，還包括民事法益?！睹穹倓t》第111條雖不具有確立個人信息權的規(guī)范價值，但卻宣示個人信息應受法律保護，個人信息的私法保護即應在法益層面展開。

須注意的是，通過法益層面保護的個人信息范圍要加以限定。個人信息中有相當部分內容與名譽權、隱私權、肖像權、姓名權等具體人格權的權利內容相重疊。例如，隱私權和個人信息的客體即具有交錯性，自然人基因信息、病歷資料、犯罪記錄等隱私性信息，既屬于個人信息，也是隱私權的保護對象。權利和法益的本質皆為利益，立法者給經歷千百年社會實踐洗練的邊界清晰且權能內涵確定的典型性利益披上權利的外衣，賦予最高強度的法律保護，一旦受到侵害就應當給予保護，排斥裁判者的個案衡量。其他尚不夠成熟和典型的利益，需要經過一定的篩選識別機制，被法官確認為現(xiàn)行法秩序下的法益時，方可得到保護。從尊重立法者的政策衡量和價值取舍的立場出發(fā)，凡為權利之所覆蓋的內容，既不須也不應再從法益的層面加以保護。因此，個人信息中屬于各具體人格權權利對象的內容應當由相應的權利進行規(guī)范，剔除掉落入各具體人格權保護范圍的部分，余下的才有探討如何在法益的層面加以保護的必要。

三、個人信息法益保護路徑的選擇

(一)法益的一般保護路徑

立足于文義解釋和歷史解釋[22]的角度，我國侵權責任一般條款(3)無論是法國式的“大一般條款”,還是德國式的“小一般條款”，其實都是指過錯侵權責任的一般條款。我國《侵權責任法》第2條第1款并非是侵權責任的一般條款，第6條第2款并非是過錯推定責任的一般條款，第7條并非是無過錯責任的一般條款。因此，我國侵權責任一般條款只有一個，就是過錯侵權責任一般條款。過錯推定責任和無過錯責任均無一般條款，其保護范圍、構成要件應依照具體規(guī)定來認定，是立法者政策考量的結果。權利和法益的區(qū)分保護在本文中僅針對侵權責任一般條款而言。(《侵權責任法》第6條第1款)在形式上采取的是法國式的大一般條款的模式，不區(qū)分權利和法益而一體適用。然而，法國式的權益統(tǒng)一保護模式存在著構成要件概括籠統(tǒng)，無法為法官提供精確指引，從而導致法律適用確定性不足之弊端，也不利于妥適地調和權益保護與行為自由維護之間的矛盾。在我國學界，贊同權利和法益區(qū)分保護的觀點逐漸成為主流[10]106[23][24]98；而在司法實踐中，無論是在《侵權責任法》實施之前還是之后，權利和法益區(qū)分保護體制的探索一直在延續(xù)。

如何構造我國侵權法上的權益區(qū)分保護機制，學者提出了多種解釋方案，這些方案大致可以分為兩類。一類是利用違法性要件將侵權責任一般條款在司法適用中解釋成導向或接近德國三個小概括條款的模式；一類是利用歐洲的動態(tài)系統(tǒng)理論或者日本的相關關系理論來進行解釋，主張綜合考慮多種因素來認定侵權構成，實現(xiàn)靈活的、彈性的處理。筆者贊同前者，理由如下：其一，違法性是侵權法保護范圍的“調節(jié)器”[25]，具有劃定侵權法保護的利益范圍和行為自由之間邊界的功能。通過違法性要件篩選應受保護的法益以此使侵權責任一般條款類型化，歷史地走向類似《德國民法典》的侵權法體系構成，是最高人民法院在案件審理和司法解釋制定中一直延續(xù)的思路[26]11。其二，利用相關關系理論或者動態(tài)系統(tǒng)理論實現(xiàn)對法益篩選的彈性處理的思路不可取，這種做法其實和法國模式是殊途同歸。法國模式和德國模式的根本區(qū)別并不在于是否要區(qū)分保護(實際上在法國的司法實踐中不同類型法益得到保護的程度并不相同，也是區(qū)分保護的[27])，而在于法益的篩選究竟是由立法者規(guī)定明確的判定標準，借由侵權責任一般條款的類型化而給予法官精確的指引，抑或是賦予法官以自由裁量權，由其在個案中斟酌各種因素再予以判定。我國最高人民法院的法官認為抽象的一般條款難以應付社會生活中紛繁復雜的侵權案件，需要繼續(xù)以類型化的體系構成予以具體化、明確化[26]14。在訴訟爆炸的時代，人民法院面臨著案多人少的困境，從減輕法官在個案中的論證成本和說理負擔，提高裁判效率，統(tǒng)一裁判尺度的角度出發(fā)，也應該堅持類型化的思路。我們應該采納前一類解釋方案，根據(jù)侵權行為的違法性進行類型化作業(yè)，參考德國民法典第823條和第826條，將《侵權責任法》第6條第1款解釋為侵害絕對權的侵權責任、違反保護性規(guī)定的侵權責任以及故意違背善良風俗致?lián)p的侵權責任三種類型。在此框架下，法益保護的一般路徑是違反保護性規(guī)定的侵權責任以及違背善良風俗故意致?lián)p的侵權責任兩種。

(二)個人信息作為法益的保護路徑選擇

首先，違反保護性規(guī)定的侵權責任本質上更為契合個人信息保護的行為規(guī)制模式。利益保護有權利化模式及行為規(guī)制模式兩種路徑。權利化模式將相應利益配置予具體權利類型，并明確權利歸屬及其排除第三人干涉的效力。行為規(guī)制模式則通過規(guī)范他人的行為以構建利益空間，實現(xiàn)維護應受法律保護利益的目的[4]。《民法總則》第111條規(guī)定了依法取得并保障信息安全的義務，同時對非法收集、加工、傳輸、買賣、提供、公開個人信息的行為予以禁止，實質上是以控制行為的方式達致保護個人信息的目的，應屬采行為規(guī)制模式。保護性規(guī)定可以詳盡地設置民事主體從事社會活動應盡的注意義務，劃定相應的行為禁區(qū)，為侵權認定提供裁量基準，契合行為規(guī)制模式的特征。例如，《網絡安全法》第41條、《消費者保護法》第29條等構建了個人信息收集、使用的行為規(guī)范體系，提供相對清晰的合規(guī)指引。如果數(shù)據(jù)企業(yè)有未公布隱私政策、超出提供的產品或服務范圍收集個人信息等非法行為，法官可徑行推定企業(yè)的主觀過錯及行為違法性，由該條的法規(guī)保護目的確定損害賠償?shù)姆秶?，簡化因果關系的認定。而善良風俗是一個不確定性的法律概念，無法提供客觀的行為標準、框定清晰的行為自由界線，難以在行為規(guī)制模式下發(fā)揮建設性作用。

其次，以違反保護性規(guī)定的侵權責任保護個人信息法益具有堅實的基礎，而判斷是否構成“背俗”侵權之“俗”尚未形成。法律是政治共同體運作并表達其意志的工具[28]，通過以建構性的手段催化、引導及加速自生自發(fā)秩序的進程，可以塑造民眾的共同生活，并形成唯有經過政治決定才能消除弊病的快速反應。善良風俗植根于全社會范圍內形成的普遍共識，是民眾信念、民族特質及社會現(xiàn)行倫理道德觀念的產物，由自生自發(fā)秩序緩慢地孕育。大數(shù)據(jù)深刻地改變人類生活，社會當前正處于新舊秩序轉型的混沌狀態(tài)，規(guī)范大數(shù)據(jù)時代個人信息收集與處理的善良風俗，歸因于自生自發(fā)秩序演化的惰性，未能完整生成，而具有引領性的立法早已先行一步。自2012年全國人大常委會通過《關于加強網絡信息保護的決定》以來，我國制定了大量有關個人信息保護的法律規(guī)范，已經初步形成全方位、寬領域、多層次的個人信息保護法律體系，覆蓋信息的收集、使用、移轉、儲存、公開等各個環(huán)節(jié)(4)筆者于2019年7月5日以個人信息為關鍵詞，在北大法寶上精確查詢全文包含該關鍵詞的法律規(guī)范，總共查到35件法律、16件行政法規(guī)、1件監(jiān)察法規(guī)、9件司法解釋、79件部門規(guī)章。而且，《個人信息保護法》已經列入十三屆全國人大常委會五年立法規(guī)劃，正在二次審議的《民法典人格權編(草案)·二次審議稿》也有6個條文涉及到個人信息的保護。。通過篩選甄別，有相當數(shù)量的規(guī)范可以成為識別個人信息法益的保護性規(guī)定。若否認“善良風俗”充當連通道德與法律的橋梁，同時也否認繼受既有的、法外的“社會規(guī)范”形成實質性判斷標準的功用，而將“善良風俗”理解為具有“純粹的工具品格”的賦予法官概括授權的空白公式，那么，真正在背俗性問題上起作用的應該是凝結裁判者價值取舍的判例[11]195。然而，當前涉及個人信息保護的民事判例，既無充足的數(shù)量，也無豐富的類型(5)張新寶教授在北大法寶上使用諸多關鍵詞檢索，最終僅查到23件民事案例真正與個人信息保護相關，而且其中22件原告為法人，僅有一個案件是援引《民法總則》第111條作出。(參見張新寶：《〈民法總則〉個人信息保護條文研究》，《中外法學》2019年第1期，第72頁)，還須經歷相當長一段時間的沉淀，才能積累出足夠完成類型化作業(yè)的素材，然后在此基礎上形成具有可操作性的、指引性的判斷標準，該意義上規(guī)范個人信息收集與處理之“俗”仍未形成。

再次，違反保護性規(guī)定的侵權責任構成要件的特性適合于突破大數(shù)據(jù)時代個人信息侵權認定的困境。大數(shù)據(jù)時代的個人信息侵權認定面臨以下挑戰(zhàn)：其一，個人信息侵權的損害后果以無形損害為主，一般無明顯的外在表現(xiàn)。無論是傳統(tǒng)的精神痛苦損害，抑或是大數(shù)據(jù)時代出現(xiàn)的信息泄露、社會分選(social sorting)和歧視、消費操縱和關系控制等新型損害[29]，舉證證明均有相當難度。其二，因果關系的證明陷入困境。例如，互聯(lián)網用戶因個人隱私性信息泄露而遭受侵害時，有兩種類型的因果關系不確定性問題：第一個是被告是否實施侵權，第二個(以對第一個的肯定回答為條件)是被告之中哪些人實施侵權及侵害了原告中的哪些人[17]517-553。而且，在大數(shù)據(jù)時代，數(shù)據(jù)挖掘、分析技術的濫用是造成個人信息遭受侵害的重要肇因，其不依賴于因果關系而依賴于相關性進行預測和推斷，新發(fā)現(xiàn)的信息是非直觀的，不具可預知性[30]，認定該技術導致侵權的因果關系殊為不易。其三，要證明侵權主體的過錯也存在困難。由于侵權主體一般是擁有雄厚的經濟實力、技術水平和信息優(yōu)勢的數(shù)據(jù)企業(yè)[31]，受害者則多是與之相對比處于弱勢地位的自然人，數(shù)據(jù)企業(yè)為謀取經濟利益而運用自動化信息處理技術收集、加工、使用個人信息，有義務防免因之開啟或維持的風險，其也最有能力避免該危險現(xiàn)實化，因此，可以對侵權主體適用過錯推定、因果關系推定和損害推定。域外法上，歐盟GDPR第82條第3款規(guī)定，如果控制者或處理者證明自己沒有責任，就可以對引起的損失免責，在此便實施了過錯推定和因果關系推定。違反保護性規(guī)定的侵權責任，其過錯的判定完全系于對保護性規(guī)定的違反，一般從違反客觀法定義務出發(fā)即推定行為存在過錯，損害賠償?shù)姆秶Q于立法者在設定保護性規(guī)范時的保護范圍意圖，是一種事先調整。違反保護性規(guī)定意味著受害人遭受侵害的危險大大提高，從優(yōu)先保護受害人的法律政策出發(fā)，可以推定在損害與違法行為之間具有因果關系，或者至少存在表面證據(jù)[24]97。違反保護性規(guī)定的侵權責任其構成要件的特征，適應了大數(shù)據(jù)時代個人信息侵權認定的要求，與“背俗”侵權的構成要件相比，有更大的優(yōu)勢。

最后，違反保護性規(guī)定的侵權責任能夠充當轉介條款，實現(xiàn)個人信息保護的公私法銜接，而故意“背俗”致?lián)p的侵權責任卻無此功能。風險社會促使現(xiàn)代國家由中立的“守夜人”向“規(guī)制國”轉變，自動化信息處理技術增大個人信息被非法收集、存儲、公開、移轉的風險，立法者制定大量的管制型規(guī)范以營造數(shù)據(jù)秩序，充分保障個人信息主體的合法權益?！毒W絡安全法》第41條、第42條、第43條及《刑法》第253條等公法條款，《民法總則》第111條等私法條款均關涉?zhèn)€人信息的保護，在這個問題上，公私法規(guī)范不是割裂而是相互協(xié)調配合的關系。保護性規(guī)定的概念能將個人信息保護的各種法律規(guī)范納入侵權法領域，拓寬個人信息侵權的保護范圍，具體化認定標準，實現(xiàn)個人信息保護的公法系統(tǒng)和私法系統(tǒng)的接軌匯流，達致整個法秩序的和諧。善良風俗的轉介對象是道德規(guī)范，而如前所述，規(guī)范個人信息收集與處理之“俗”尚未形成。

小結：本文無意否定“背俗”侵權類型在個人信息保護中的作用，前述分析旨在指出，違反保護性規(guī)定的侵權責任在個人信息的侵權法保護上，相比于故意“背俗”致?lián)p的侵權責任無疑具有更大的優(yōu)勢，應以前者為主，而以后者為輔?！氨乘住鳖愋蛯嶋H上可作為兜底性保護手段，在尚未有足夠的案例積累以及有關個人信息利用的社會倫理道德規(guī)范作為判斷標準時，唯有賦予法官自由裁量權，使其在個案中斟酌損益，否則，無進一步探討的必要。目前，應將重心致力于違反保護性規(guī)定的侵權責任框架構建上，下文即沿此進路展開分析。

四、通過保護性規(guī)定保護個人信息法益路徑的類型化展開

目前，我國有關個人信息保護的法律規(guī)范雖然數(shù)量眾多，但整體上欠缺規(guī)范體系性，相關規(guī)定星羅棋布散見于公法和私法的不同門類，呈現(xiàn)出碎片化、離散化的現(xiàn)狀，部分規(guī)范所保護的領域還存在著交叉重合，上述現(xiàn)狀業(yè)已對通過違反保護性規(guī)定的侵權責任保護個人信息法益形成阻礙。厘清個人信息法益的內涵與外延，明晰其主要被侵害的形態(tài)、侵權判斷基準、構成要件、抗辯事由、責任方式等，亟需對保護性規(guī)定進行類型化的梳理，以期構建科學合理的違反保護性規(guī)定的個人信息侵權責任框架，為法官提供裁判規(guī)則指引及侵權責任限制依據(jù)?！霸陬愋突碚撝?，最疑難的問題莫過于對‘類似性’的認定?！盵32]有關個人信息保護性規(guī)定的類型化應以“行為”作為標準。理由在于：“法律規(guī)范通過使特定的群體(接收對象)負有遵守或者執(zhí)行規(guī)范命令的義務，從而達到塑造和調整特定生活領域的目的”[33]，而這個功能的實現(xiàn)，依靠的是影響調整對象的特定行為，從而在其效力范圍內調控特定的過程。法律對個人信息的保護，主要也是以規(guī)制行為實現(xiàn)的。以“行為”作為類型化標準，將保護性規(guī)定的類型及違反相應類型的侵權責任詳述如下。

(一)違反個人信息收集、使用型保護性規(guī)定的侵權責任

個人信息收集、使用型保護性規(guī)定可見《網絡安全法》第41條、《消費者保護法》第29條等(6)還包括《電子商務法》第23條，《刑法》第253條之一，《電信和互聯(lián)網用戶個人信息保護規(guī)定》第5條、第8條、第9條及第11條，《地圖管理條例》第35條，《征信業(yè)管理條例》第13條等。。收集是指對個人信息進行獲取并記錄(7)參見《信息安全技術公共及商用服務信息系統(tǒng)個人信息保護指南》(GB/Z 28828-2012)第5.1(a)條。，使用是指訪問、加工、依據(jù)個人信息作出決策等利用個人信息的行為，不包括公開、傳輸行為在內。該類保護性規(guī)定的合規(guī)要求是：(1)遵循正當且必要的原則。網絡運營商唯有基于具體、清晰和正當?shù)哪康氖寄軐嵤┦占袨?，收集的個人信息與其所提供的產品、服務的業(yè)務功能要具有直接關聯(lián)性。同時，要滿足數(shù)據(jù)最小化的要求，收集的個人信息限于信息主體授權同意的目的所需最少類型與數(shù)量。使用個人信息不能違反初始目的。(2)履行充分告知的義務。處理個人信息的目的、方式、范圍及規(guī)則等要保持公開透明，且應當使用清晰、平白的語言，以一種簡潔、易懂和容易獲取的方式提供前述注意事項。網絡運營商公布的隱私政策條款過于抽象概括，未能明示收集、使用個人信息的目的、方式及范圍；以“捆綁式”的方式羅列晦澀冗長的內容，令網絡用戶閱讀困難；隱私政策隱蔽，未主動引導用戶閱讀的，均是未充分保障用戶知情權的體現(xiàn)。(3)經過用戶同意。同意的方式涵蓋明示同意和默示同意兩種。比較法上，一般有列舉個人信息處理合法性基礎的條文，如歐盟GDPR第6條、我國臺灣地區(qū)《個人資料保護法》第19條等，同意均只是合法性事由之一。我國是“世界上唯一一個在立法上明示個人信息收集、使用一律須經信息主體的同意從而將同意一般化的國家”[34]。因此，解釋“同意”時不能參照GDPR第4(11)條，限定個人信息主體的授權必須以明示同意的方式做出，應當把默示同意包括在內，否則會嚴重影響個人信息的流通利用。在“朱燁與北京百度網訊科技公司隱私權糾紛上訴案”(8)參見江蘇省南京市中級人民法院(2014)寧民終字第5028號民事判決書。中，二審法院便認為原告朱燁以默認“選擇同意”的方式認可百度網訊公司使用cookie技術，百度網訊公司未侵害網絡用戶的選擇權和知情權。區(qū)分信息主體、個人信息類型而采用相適應的同意方式有助于構建個人信息差異化保護機制，維持權益保護和信息開發(fā)利用的二元平衡。具言之，收集、使用敏感個人信息、未成年人信息以及70周歲以上老年人信息時，必須經過明示同意；而收集、使用一般個人信息時僅需默示同意即可。不符合以上三個條件之一即違反個人信息收集、使用型保護性規(guī)定，具備違法性要件，能徑行推定侵權人主觀上有過錯。損害后果相對隱蔽且不易量化，但依據(jù)保護性規(guī)定也可推定，因為法律既然禁止非法收集、使用個人信息，已然融入立法者確信此類行為會導致個人信息侵權的損害后果的價值判斷之內。與此同時，立足于保護受害者的法律政策，因果關系的認定也可寬松化。

違背此類保護性規(guī)定，恢復原狀、停止侵害、排除妨害、消除危險等侵權責任均有使用的余地，限制處理、斷開鏈接(URL)以及《網絡安全法》第43條規(guī)定的刪除、更正等可以解釋為前述侵權責任的具體實現(xiàn)方式而得到適用。損害賠償則應區(qū)分財產損害賠償和精神損害賠償。在財產損害賠償方面，被侵權人為制止侵權行為所支出的費用是財產損失，由于非法收集、使用個人信息造成的物質損失通常具有不可計量性，宜以侵權獲益標準認定為侵權人獲得的利益，侵權獲益也難以確定的，人民法院可以酌情確定。在精神損害賠償方面，根據(jù)《侵權責任法》第22條，只有造成嚴重精神損害時，才能夠要求精神損害賠償。收集、使用個人信息是否造成受害人嚴重精神損害，應當結合信息的敏感程度、收集和使用的目的、收集信息的手段、使用范圍及程度、損害后果等因素在個案中作出綜合判斷。

(二)違反個人信息安全保障義務型保護性規(guī)定的侵權責任

個人信息安全保障義務型保護性規(guī)定可見《網絡安全法》第42條、《征信業(yè)管理條例》第22條等(9)還包括《消費者保護法》第29條，《旅游法》第52條，《刑法》 第286條之一，《電信和互聯(lián)網用戶個人信息保護規(guī)定》第6條、第10條及第13條，《網絡游戲管理暫行辦法》第28條，《彩票管理條例》第27條，《城市軌道交通運營管理規(guī)定》第28條等。。個人信息控制者(10)根據(jù)《信息安全技術:個人信息安全規(guī)范》(GB/T 35273-2017)第3.4條，個人信息控制者指的是有權決定個人信息處理目的、方式等的組織或個人。的收集利用行為帶來個人信息遭受泄露、毀損或者丟失之風險，依情形采取必要且具期待可能性的防范措施，保護信息主體免遭前述損害，是其應盡的安全保障義務。安全保障義務能夠超越介質而一體適用于物理空間與網絡空間內的利用個人信息之行為[35]。保護性規(guī)定設置的行為標準主要內容是：(1)建立完善的信息安全管理制度；(2)采取必要的技術措施或其他措施確保持有的信息安全；(3)個人信息安全事件發(fā)生時應當及時采取補救措施；(4)及時刪除超出處理目的所需保存時間的個人信息。具體化的要求參見《信息安全技術:個人信息安全規(guī)范》(GB/T 35273-2017)和《信息安全技術網絡安全等級保護基本要求》(GB/T 22239-2019)等國家標準。在侵權樣態(tài)上，以不作為或間接侵權為主，直接造成受害者損害的常常是第三人侵權行為，例如外部的黑客攻擊、爬蟲軟件(Python)非法抓取數(shù)據(jù)等。在主觀過錯的認定上，是否符合保護性規(guī)定所確定的行為標準是判斷是否善盡個人信息安全保障義務以及是否存在過錯的重要依據(jù)，但不是唯一依據(jù)，即使?jié)M足標準的要求，也不必然盡到侵權法上的注意義務，法官仍保留最終的裁量權。在因果關系的認定上，雖然損害后果以無形性損害為主，一般表現(xiàn)為個人信息的泄露、丟失、毀損、遭到篡改或者未經授權的訪問等，侵權行為與損害結果之間的因果聯(lián)系難以直觀判斷，但個人信息控制者、處理者未能采取充分措施保障信息安全，使個人信息泄露等危險現(xiàn)實化，行為與損害結果之間的因果關系一般可以初步推定。

違反此類保護性規(guī)定，個人信息控制者承擔的預防性責任主要是停止侵害、消除危險和賠償損失，履行方式是更正不準確的信息、采取隱名化等信息加密技術、刪除逾越處理目的的信息等；回復性責任是賠償損失。有隱私性信息泄露或者具有人格象征意義的紀念信息永久滅失造成嚴重精神損害的，受害者可以根據(jù)《侵權責任法》第22條請求精神損害賠償。須注意，在有第三人介入時，只要第三人侵權行為之實現(xiàn)是由于個人信息控制者未盡安全保障義務所致，則該行為不能中斷因果關系鏈條，個人信息控制者和第三人構成競合侵權，參照《侵權責任法》第37條，由個人信息控制者承擔補充責任。個人信息控制者可以舉證證明自己已經盡到安全保障義務從而主張免責抗辯。對于是否盡到安全保障義務的判斷，在考慮到現(xiàn)有的技術水平、成本的情況下，如果采取的措施具有與個人信息處理的風險及所保護的個人信息相適應的安全程度的，應當認為是已經履行了相應的義務。個人信息已經過匿名化也是此類侵權的抗辯事由。

(三)違反個人信息移轉型保護性規(guī)定的侵權責任

此類保護性規(guī)定可見《刑法》第235條之一、《網絡預約出租汽車經營服務管理暫行辦法》第26條第3款等(11)還包括《電子商務法》第25條，《消費者保護法》第29條，《公共圖書館法》第43條，《地圖管理條例》第35條，《電信和互聯(lián)網用戶個人信息保護規(guī)定》第10條、第18條，《征信業(yè)管理條例》第20條，《網絡預約出租汽車經營服務管理暫行辦法》第26條等。。移轉個人信息的合法性標準無法直接自該類保護性規(guī)定中得出，但能夠結合國家標準、司法實踐狀況等因素確定如下:個人信息的移轉以數(shù)據(jù)共享為主要形式，其他移轉行為的合法性判斷可以參照數(shù)據(jù)共享的合法性要求確定。數(shù)據(jù)共享實際上是數(shù)據(jù)控制者范圍的擴張，從數(shù)據(jù)主體的角度觀察，數(shù)據(jù)共享與重新收集數(shù)據(jù)并無本質區(qū)別，實際上也是一個個人信息的收集、利用問題[36]，其他移轉行為亦然。但是，數(shù)據(jù)共享等個人信息的移轉是由占有個人信息的數(shù)據(jù)控制者和相關主體實施，個人信息主體并不直接參與其中，具有不同于通常而言的個人信息收集、使用的特點。數(shù)據(jù)共享應當遵循“用戶授權”+“平臺授權”+“用戶授權”的原則，該原則由北京知識產權法院在“北京微夢創(chuàng)科網絡技術有限公司訴北京淘友天下技術有限公司、北京淘友天下科技發(fā)展有限公司不正當競爭糾紛案”(12)參見北京知識產權法院(2016)京73民終588號民事判決書。中確立，并得到廣泛認同。內容是：數(shù)據(jù)控制者在對外分享信息時，擬分享的信息須是獲得信息主體授權收集的信息，而且此時僅有自己的授權還不夠，尚需信息主體的再一次授權。數(shù)據(jù)分享者利用個人信息的形式、范圍及時間等既要在分享協(xié)議的授權范圍內，也要滿足信息主體的授權要求。數(shù)據(jù)共享同樣要區(qū)分敏感個人信息和一般個人信息，前者的共享要明示同意，后者僅需默示同意即可。如果是數(shù)據(jù)控制者履行參與的契約所必要，且符合一般人的合理預期，可以視為信息主體默示同意。此外，還應滿足個人信息收集、使用型保護性規(guī)定的合規(guī)要求，如遵循正當、必要、最小化的原則等。其他移轉行為的合法性要求可參照數(shù)據(jù)共享確定。

違反此類保護性規(guī)定，可適用損害賠償、停止侵害、賠禮道歉等責任承擔方式。在認定行為人主觀過錯、損害賠償?shù)臄?shù)額等方面，可以結合非法移轉的個人信息的數(shù)量，是否包含行蹤軌跡、通信記錄、健康生理信息等可能影響人身、財產安全的敏感信息，是否促使下游犯罪的發(fā)生等因素，進行綜合考量。非法提供、出售或者獲取個人信息，情節(jié)嚴重的可構成犯罪。如果是國家機關工作人員違反法定職責實施的，此時有國家賠償和刑事附帶民事賠償?shù)母偤希瑧试S受害人擇一行使，以最大限度地保障其權益。如果個人信息管理者明知或者應當知道他人利用個人信息意圖實施犯罪，仍然向其移轉個人信息的，個人信息管理者和個人信息接收者已經成立共同侵權行為, 應按照《侵權責任法》第8條關于共同侵權責任的規(guī)定, 承擔連帶責任[37]。但是，利用個人信息實施犯罪一般侵害絕對權，此時會有侵害絕對權的侵權責任和違反保護性規(guī)定的侵權責任的競合，通說認為是請求權規(guī)范的競合[38]，而只發(fā)生前者的請求權。

(四)違反個人信息公開型保護性規(guī)定的侵權責任

此類保護性規(guī)定可見《最高人民法院關于審理利用信息網絡侵害人身權益民事糾紛案件適用法律若干問題的規(guī)定》(以下簡稱《信息侵權解釋》)第12條、《最高人民法院關于審理旅游糾紛案件適用法律若干問題的規(guī)定》第9條等。公開，其定義是將個人信息向社會公眾或者不特定群體披露的行為，實質上也是使用個人信息的一種方式。但鑒于公開個人信息進而損害信息主體的合法權益是司法實踐中個人信息侵權的主要形式，所以將其作為一種獨立類型。此類保護性規(guī)定的合規(guī)要求是：確需公開披露個人信息的，應當取得個人信息主體的同意。同意的形式限于明示同意，且應當是在被充分告知公開披露個人信息的目的、類型等的情況下做出的。未經同意即公開，公開的規(guī)模、類型及程度等逾越授權的范圍，以及未善盡注意義務致使公開行為造成不應有損害的，違反了個人信息公開型保護性規(guī)定。侵權行為的過錯、因果關系同樣能夠在判定違反保護性規(guī)定的同時予以推定，而在損害后果的認定上，因為個人信息處于非法公開狀態(tài)的事實被視為是一類新型損害，一般依據(jù)侵權行為本身即可證明。

須注意的是，司法實踐中，法院通常將非法公開個人信息的行為判定為侵犯隱私權，因為被公開的個人信息經常是隱私性信息，或者被公開的信息相互結合構成的整體性信息屬于隱私性信息，如在“王福龍訴王德紅等隱私權糾紛案”(13)參見北京市門頭溝區(qū)人民法院(2017)京0109民初4612號民事判決書。中，法院認為，公民的姓名、身份證號和銀行卡號三者結合起來成為整體信息，這些整體信息一旦被泄露，個人的財產安全將面臨一定風險，因此確認案涉前述整體信息屬于個人隱私信息。然而，個人信息雖和隱私有交叉重疊的部分，卻并不完全被包含于隱私之中，個人信息即使與隱私無涉，基于防范人格尊嚴受侵害，保障個人安全的需要，利用個人信息的行為仍有規(guī)范的必要[39]。在“丁芝玲與汪錫奎隱私權糾紛”案中(14)參見四川省德陽市旌陽區(qū)人民法院(2017)川0603民初4743號民事判決書。，法院便認為，自然人的隱私信息是其個人信息的一部分，但并不完全等同，被告汪錫奎泄露原告丁芝玲的個人基本信息并非故意，尚不構成對原告隱私權的侵犯，但被告無意泄露原告?zhèn)€人信息之行為，仍應承擔相應的民事責任。而且，從違反保護性規(guī)定的侵權責任的構成要件出發(fā)，只要行為人違反了個人信息公開方面的保護性規(guī)定，即使未侵犯隱私權，亦當承擔侵權責任。

個人信息一旦公開，侵權行為即告完成，請求停止侵害、排除妨害殊無意義，恢復原狀也不可能。賠禮道歉、消除影響和精神損害賠償是此類侵權常用的責任承擔方式?！缎畔⑶謾嘟忉尅返?2條規(guī)定了6項公開個人信息的免責事由，對于非利用網絡公開個人信息的情形也可適用。比較常用的是其中第4項，公開自然人自行在網絡上公開的信息或者其他已合法公開的個人信息不構成侵權。但是，造成他人已在一定范圍內公開的信息的公開范圍不當擴大依然構成個人信息侵權[40]；已被公開的個人信息是非法公開的，行為人繼續(xù)披露、公開，也將構成侵權。在“王菲訴張樂奕名譽權糾紛案”(15)參見北京市第二中級人民法院(2009)二中民終字第5603號民事判決書。中，法院就認為，他人對王菲個人信息的披露并不意味著張樂奕可以繼續(xù)對此予以披露、傳播，他人此前對王菲個人信息的披露不影響張樂奕侵犯事實成立。

我國現(xiàn)有的關于個人信息保護的民事法律及司法解釋，無論是針對旅游經營者、與消費者相對應的經營者、網絡運營者等，所適用的主體范圍均有其特定的指向和一定的限制[41]?！睹穹倓t》第 111 條則將主體擴展至任何組織與個人，在規(guī)制的行為上，包括了收集、使用、移轉、公開以及保障取得的信息安全等?！睹穹倓t》第 111 條實際上是個人信息保護的一個總括性保護性規(guī)定。在規(guī)制的信息行為主體也出現(xiàn)有其他個人信息保護性規(guī)定所保護的“人”的范圍時，可以適用《民法總則》第 111 條，并根據(jù)所規(guī)制的行為的種類，參考相應類型的更為詳細的保護性規(guī)定進行具體化解釋。

五、結 語

澄清個人信息侵權法保護路徑，必須以厘清個人信息的法律屬性為前提。《民法總則》第111條的規(guī)范目的并非是把個人信息上升為權利來保護，將個人信息絕對權化，有過度保護之嫌，且與社會生活實際相脫離，還會造成阻礙信息自由流通與開發(fā)利用之風險?！皥?zhí)其兩端，用其中于民”，在厘定個人信息之法律屬性是法益的基礎上[42]，主要通過違反保護性規(guī)定的侵權責任，不僅足以規(guī)制侵害個人信息的行為，而且能夠實現(xiàn)個人信息法益保護與開發(fā)利用的二元平衡。根據(jù)一定的基準，將有關個人信息的保護性規(guī)定類型化為四類，具體探討各個不同類型保護性規(guī)定確立的行為標準，以及違反時侵權責任構成的判定、承擔的責任形式、抗辯事由等，能夠構建起完善的違反個人信息保護性規(guī)定的侵權責任的框架體系，為司法裁判提供有益指引。