孔思禎

在當(dāng)前大數(shù)據(jù)爆炸式增長(zhǎng)的時(shí)代,大數(shù)據(jù)算法、人臉識(shí)別等大數(shù)據(jù)技術(shù)已經(jīng)成為了社會(huì)發(fā)展以及公眾生活的普遍需求。公眾日常生活中不管是線上瀏覽行為還是線下活動(dòng)都會(huì)被捕捉,從而形成信息數(shù)據(jù)被收集、整合。例如,智能手機(jī)就是一個(gè)數(shù)據(jù)庫(kù),每一次網(wǎng)頁(yè)瀏覽、每聽一首歌、每搜索一個(gè)詞以及每一處使用痕跡都會(huì)被當(dāng)作個(gè)人數(shù)據(jù)加以收集。淘寶、抖音等網(wǎng)絡(luò)服務(wù)提供者就能通過對(duì)公眾的個(gè)人數(shù)據(jù)進(jìn)行分析,進(jìn)而提供精準(zhǔn)的個(gè)性化、定制化推薦。過度收集、惡意使用等濫用個(gè)人信息現(xiàn)象的頻發(fā),給公民的隱私權(quán)、名譽(yù)權(quán)等人格權(quán)以及財(cái)產(chǎn)權(quán)都帶來了新的風(fēng)險(xiǎn)。甚至可以說,隨著智能手機(jī)的普及率越來越高,濫用個(gè)人信息的風(fēng)險(xiǎn)無時(shí)無刻圍繞在人們的日常生活中,導(dǎo)致個(gè)人信息侵權(quán)糾紛頻發(fā)。

2021年施行的《中華人民共和國(guó)民法典》(以下簡(jiǎn)稱《民法典》)將個(gè)人信息納入人格權(quán)編。但此時(shí)并未作出具體、細(xì)化的規(guī)定,個(gè)人信息侵權(quán)仍屬于一般侵權(quán)并適用一般過錯(cuò)責(zé)任原則。這其實(shí)并未充分考量到個(gè)人信息主體在專業(yè)技術(shù)等綜合條件上的欠缺,其往往無法證明信息處理主體的行為具有過錯(cuò),甚至根本不知道自己的權(quán)益已經(jīng)受到侵犯,如果法院仍然嚴(yán)格按照“誰主張,誰舉證”分配舉證責(zé)任,就會(huì)難以實(shí)現(xiàn)個(gè)案的公平正義。《中華人民共和國(guó)個(gè)人信息保護(hù)法》(以下簡(jiǎn)稱《個(gè)人信息保護(hù)法》)體現(xiàn)了我國(guó)個(gè)人信息民法保護(hù)的專門性、系統(tǒng)性,進(jìn)一步規(guī)范個(gè)人信息收集、使用、傳輸、加工等處理活動(dòng),促進(jìn)個(gè)人信息的合理使用,保護(hù)個(gè)人信息權(quán)益不受侵害。其中本法第69條第1款明確規(guī)定,個(gè)人信息處理者在處理信息時(shí)侵害個(gè)人信息權(quán)益造成損害的,采用過錯(cuò)推定責(zé)任。隨著《民法典》《個(gè)人信息保護(hù)法》的施行,個(gè)人信息侵權(quán)領(lǐng)域的過錯(cuò)推定責(zé)任如何得以精準(zhǔn)地貫徹和實(shí)施依然是一個(gè)重大的解釋論問題。

一、個(gè)人信息侵權(quán)歸責(zé)原則的爭(zhēng)議問題

《個(gè)人信息保護(hù)法》通過之前,侵犯他人個(gè)人信息的案件并不屬于我國(guó)法定的特殊歸責(zé)情形,因此,原則上都應(yīng)采用一般過錯(cuò)責(zé)任原則,即由原告證明損害后果、侵害行為、因果關(guān)系與過錯(cuò)?！秱€(gè)人信息保護(hù)法》頒布之后,雖然明確了我國(guó)個(gè)人信息侵權(quán)的歸責(zé)原則為過錯(cuò)推定原則,但對(duì)此原則學(xué)界與實(shí)務(wù)界仍然出現(xiàn)了明顯分歧,具體表現(xiàn)為以下三種觀點(diǎn):

(一)單一過錯(cuò)推定原則

目前,我國(guó)在個(gè)人信息侵權(quán)領(lǐng)域的立法上采用單一過錯(cuò)推定原則,即《個(gè)人信息保護(hù)法》第69條確定以過錯(cuò)推定作為個(gè)人信息侵權(quán)民事責(zé)任的歸責(zé)原則。采用過錯(cuò)推定責(zé)任確定侵害個(gè)人信息權(quán)益的侵權(quán)賠償責(zé)任,即適用舉證責(zé)任倒置規(guī)則,有利于減輕個(gè)人信息主體作為自然人的舉證負(fù)擔(dān),這更有利于保護(hù)被侵權(quán)人的合法權(quán)益,同時(shí)對(duì)于個(gè)人信息處理者而言也沒有過于苛刻,更符合民法中公平正義的理念。

(二)單一無過錯(cuò)歸責(zé)原則

個(gè)人信息侵權(quán)損害賠償不應(yīng)當(dāng)適用過錯(cuò)責(zé)任,應(yīng)統(tǒng)一采用無過錯(cuò)歸責(zé)原則,同時(shí)還需要明確可免除被告責(zé)任的法定免責(zé)事由[1]。即當(dāng)信息主體在個(gè)人信息權(quán)益受損提起訴訟時(shí),無須證明被告存在過錯(cuò),被告只有存在法定免責(zé)事由的情況下,才能免除責(zé)任。同時(shí)在此基礎(chǔ)上,針對(duì)不同主體、不同信息處理行為的適用范圍和免責(zé)事由,還可以進(jìn)一步細(xì)分作出不同的規(guī)定[2]。數(shù)字時(shí)代,計(jì)算機(jī)技術(shù)的發(fā)展使得組織、企業(yè)或個(gè)人之間通過數(shù)據(jù)交換實(shí)現(xiàn)自身利益的最大化,因此,個(gè)人信息處理者對(duì)個(gè)人信息的二次或者多次利用往往難以規(guī)制。采用無過錯(cuò)歸責(zé)原則,一方面解決了實(shí)踐中難以證明侵害人過錯(cuò)的難題,另一方面,也對(duì)個(gè)人信息權(quán)益加以最大保護(hù)。

(三)多元?dú)w責(zé)體系

在個(gè)人信息處理領(lǐng)域,由于信息網(wǎng)絡(luò)技術(shù)的更新和發(fā)展,個(gè)人信息和處理主體的類型均具有多樣性,當(dāng)個(gè)人信息遭受侵害并產(chǎn)生損害后果時(shí),應(yīng)當(dāng)對(duì)個(gè)人信息和處理主體進(jìn)行類型化細(xì)分,分別確定其相應(yīng)的歸責(zé)原則[3]。大數(shù)據(jù)技術(shù)的應(yīng)用加劇了個(gè)人與信息處理者在舉證和訴訟能力上的差距,單一的歸責(zé)原則不足以解決大數(shù)據(jù)時(shí)代下的各類個(gè)人信息侵權(quán)行為。由于技術(shù)、知識(shí)等綜合因素差別,如果一概由受害人承擔(dān)過錯(cuò)證明責(zé)任,必然不利于對(duì)各類信息主體合法權(quán)益的保護(hù)。應(yīng)當(dāng)根據(jù)不同的責(zé)任主體適用不同的歸責(zé)原則,減輕受害者的訴訟負(fù)擔(dān),也能夠更好地平衡訴訟雙方的訴訟能力。

此外,采用何種標(biāo)準(zhǔn)對(duì)侵權(quán)主體進(jìn)行分類目前學(xué)界還存在爭(zhēng)議。有學(xué)者根據(jù)是否采用數(shù)據(jù)自動(dòng)處理技術(shù)對(duì)侵權(quán)主體進(jìn)行分類,分為采用數(shù)據(jù)自動(dòng)處理技術(shù)的國(guó)家機(jī)關(guān)、采用數(shù)據(jù)自動(dòng)處理技術(shù)的非國(guó)家機(jī)關(guān)以及未采用數(shù)據(jù)自動(dòng)處理技術(shù)的其他數(shù)據(jù)處理者,并且分別適用無過錯(cuò)責(zé)任、過錯(cuò)推定責(zé)任以及一般過錯(cuò)原則[4]。此種分類方式與德國(guó)2018年頒布的《聯(lián)邦數(shù)據(jù)保護(hù)法》具有相似性,即對(duì)自動(dòng)化數(shù)據(jù)處理者和非自動(dòng)化數(shù)據(jù)處理者分別適用無過錯(cuò)責(zé)任、過錯(cuò)推定責(zé)任。同時(shí),由于國(guó)家機(jī)關(guān)是我國(guó)目前最大的信息數(shù)據(jù)控制者和管理者,部分學(xué)者認(rèn)為應(yīng)當(dāng)區(qū)分個(gè)人信息處理者是國(guó)家機(jī)關(guān)還是非國(guó)家機(jī)關(guān),并分別適用無過錯(cuò)責(zé)任和過錯(cuò)推定責(zé)任[5]。

二、個(gè)人信息侵權(quán)過錯(cuò)推定原則的合理性

(一)理論基礎(chǔ)

在《個(gè)人信息保護(hù)法》立法過程中,過錯(cuò)推定原則的適用經(jīng)過多次爭(zhēng)論和修改。為進(jìn)一步推進(jìn)《個(gè)人信息保護(hù)法》的全面實(shí)施,需要厘清個(gè)人信息侵權(quán)適用過錯(cuò)推定原則的理論基礎(chǔ),進(jìn)一步才能明確過錯(cuò)推定原則在個(gè)人信息侵權(quán)領(lǐng)域的適用路徑。

一方面,個(gè)人信息侵權(quán)適用過錯(cuò)推定原則的正當(dāng)性基礎(chǔ)在于平衡個(gè)人信息侵權(quán)當(dāng)事人雙方的訴訟能力。考慮到個(gè)人信息處理者和自然人地位不對(duì)等,信息主體相較于個(gè)人信息處理者處于弱勢(shì)地位,采用過錯(cuò)推定原則更有利于保護(hù)信息主體的合法權(quán)益[6]。信息主體往往是自然人,而個(gè)人信息處理者往往是掌握計(jì)算機(jī)自動(dòng)化技術(shù)、數(shù)據(jù)交換技術(shù)的組織或企業(yè),雙方在信息、技術(shù)、資金等方面的能力存在較大的差距,加之信息處理活動(dòng)往往具有專業(yè)性和技術(shù)性,信息主體作為原告難以提出證據(jù)證明被告在信息處理過程中存在不當(dāng)甚至違法行為。因此,采用過錯(cuò)推定原則,實(shí)行舉證責(zé)任倒置,不再要求原告對(duì)被告的過錯(cuò)承擔(dān)證明責(zé)任,是縮小了個(gè)人信息侵權(quán)訴訟主體雙方在舉證能力的差距,平衡了雙方的訴訟能力。

另一方面,個(gè)人信息侵權(quán)適用過錯(cuò)推定原則的實(shí)質(zhì)性基礎(chǔ)在于個(gè)人信息處理者負(fù)有先前處理行為引起的法定作為義務(wù),先前行為作為產(chǎn)生法定作為義務(wù)的正當(dāng)事由,也是追究特定義務(wù)人承擔(dān)不作為責(zé)任的重要依據(jù)[7]。在個(gè)人信息處理者具有法定義務(wù)的前提下,一是可以通過明確被告未履行法定作為義務(wù)推定其有過錯(cuò),二是被告對(duì)自己是否履行了法定作為義務(wù)承擔(dān)證明責(zé)任。也就是說,依照《個(gè)人信息保護(hù)法》的相關(guān)規(guī)定推定侵害人有過錯(cuò),當(dāng)其不能證明自己已經(jīng)履行了法定義務(wù),不能證明自己沒有過錯(cuò),就應(yīng)當(dāng)承擔(dān)侵權(quán)責(zé)任。從這種角度來看,個(gè)人信息處理者對(duì)自己的信息處理行為是否符合法律規(guī)定以及是否履行了法定作為義務(wù)承擔(dān)證明責(zé)任,也就是對(duì)自己是否有過錯(cuò)承擔(dān)證明責(zé)任,這也就構(gòu)成了適用過錯(cuò)推定責(zé)任的實(shí)質(zhì)性基礎(chǔ)。

(二)對(duì)比優(yōu)勢(shì)

學(xué)界主流觀點(diǎn)認(rèn)為個(gè)人信息侵權(quán)不應(yīng)適用一般過錯(cuò)責(zé)任,而是應(yīng)當(dāng)作為一種特殊的侵權(quán)行為對(duì)其適用特殊的歸責(zé)原則,而到底適用何種特殊歸責(zé)原則仍然爭(zhēng)論不休。關(guān)于侵害個(gè)人信息權(quán)益賠償責(zé)任的歸責(zé)原則的諸多觀點(diǎn)各有優(yōu)缺點(diǎn),總體上來說《個(gè)人信息保護(hù)法》所采取的過錯(cuò)推定責(zé)任更為妥當(dāng),也更具有優(yōu)勢(shì)。

首先,針對(duì)個(gè)人信息侵權(quán)統(tǒng)一適用無過錯(cuò)歸責(zé)原則,在對(duì)個(gè)人信息加以更嚴(yán)格保護(hù)的同時(shí),也是過度約束了個(gè)人、企業(yè)以及政府機(jī)關(guān)處理個(gè)人信息的行為。在大數(shù)據(jù)技術(shù)能給社會(huì)發(fā)展以及個(gè)人生活帶來巨大便利的情況下,影響了個(gè)人信息在大數(shù)據(jù)技術(shù)的整合分析下產(chǎn)生的經(jīng)濟(jì)效益。例如,在歷史上歐盟個(gè)人信息保護(hù)立法是采用的嚴(yán)格責(zé)任,但考慮嚴(yán)格責(zé)任的局限和適應(yīng)社會(huì)發(fā)展對(duì)數(shù)據(jù)流通的需要,2018年5月25日頒布的《通用數(shù)據(jù)保護(hù)條例》(以下簡(jiǎn)稱GDPR)轉(zhuǎn)向過錯(cuò)推定原則。

其次,針對(duì)多元?dú)w責(zé)體系,目前學(xué)界主流的兩種侵權(quán)主體的分類方法和歸責(zé)原則的適用均存在一定的不妥當(dāng)性。第一種,根據(jù)是否采用數(shù)據(jù)自動(dòng)處理技術(shù)對(duì)侵權(quán)主體進(jìn)行分類,在目前數(shù)字時(shí)代的背景下缺乏實(shí)際意義。個(gè)人信息保護(hù)法也是為了應(yīng)對(duì)大數(shù)據(jù)技術(shù)逐步成熟給個(gè)人信息帶來的風(fēng)險(xiǎn)下應(yīng)運(yùn)而生的,并且如今處理活動(dòng)基本上都是通過計(jì)算機(jī)自動(dòng)化技術(shù)進(jìn)行的。第二種,將侵權(quán)主體分為國(guó)家機(jī)關(guān)和非國(guó)家機(jī)關(guān),并對(duì)國(guó)家機(jī)關(guān)適用更嚴(yán)格的無過錯(cuò)責(zé)任,極大程度上影響了國(guó)家機(jī)關(guān)利用個(gè)人信息管理社會(huì)公共事務(wù)。雖然考慮到國(guó)家機(jī)關(guān)對(duì)于信息主體來說雙方的地位和能力差距懸殊,若是國(guó)家機(jī)關(guān)處理個(gè)人信息的行為對(duì)信息主體造成的傷害往往是更加嚴(yán)重和惡劣的,但是不一定是需要以承擔(dān)無過錯(cuò)責(zé)任的方式來規(guī)制。例如,信息主體遭受侵害時(shí),還可以通過請(qǐng)求國(guó)家賠償?shù)姆绞綇浹a(bǔ)損害。根據(jù)侵權(quán)主體、個(gè)人信息主體的不同和個(gè)人信息敏感度的不同,進(jìn)行類型化區(qū)分,分別適用不同的特殊歸責(zé)原則,雖然是能夠選擇最利于個(gè)案信息主體的歸責(zé)原則,但是類型過于復(fù)雜繁多使得在實(shí)踐上缺乏可操作性。

最后,相較于以上兩種歸責(zé)原則,在個(gè)人信息侵權(quán)領(lǐng)域適用過錯(cuò)推定原則更具有優(yōu)勢(shì),更加符合公眾和社會(huì)對(duì)個(gè)人信息保護(hù)的期待。過錯(cuò)推定原則要求適用舉證責(zé)任倒置規(guī)則,即在法律對(duì)個(gè)人信息保護(hù)有特別規(guī)定的情況下,以客觀存在的損害事實(shí)為基礎(chǔ),推定信息處理者的行為具有過錯(cuò)并承擔(dān)其沒有過錯(cuò)的舉證責(zé)任。并且,在個(gè)人信息能夠帶來巨大的社會(huì)效益和經(jīng)濟(jì)效益的前提下,過輕保護(hù)無法解決個(gè)人信息侵權(quán)泛濫的社會(huì)現(xiàn)象,過度保護(hù)又不利于信息間的自由交換和利用,進(jìn)而妨害數(shù)字時(shí)代互聯(lián)網(wǎng)科技和社會(huì)經(jīng)濟(jì)的發(fā)展。

三、個(gè)人信息侵權(quán)過錯(cuò)推定原則的適用范圍

綜上所述,個(gè)人信息侵權(quán)適用過錯(cuò)推定原則具有一定的理論基礎(chǔ)和優(yōu)勢(shì),通過解釋論方法,仍需要進(jìn)一步明確過錯(cuò)推定原則在個(gè)人信息侵權(quán)領(lǐng)域的具體適用范圍。并不是在任何條件下進(jìn)行了個(gè)人信息處理活動(dòng)的主體,都需要承擔(dān)過錯(cuò)推定責(zé)任。

(一)適用主體

《個(gè)人信息保護(hù)法》主要規(guī)制的是個(gè)人信息處理者對(duì)信息收集、傳輸、修改、儲(chǔ)存等處理活動(dòng)。在這一點(diǎn)上,我國(guó)一定程度的借鑒了歐盟的相關(guān)規(guī)定,GDPR在對(duì)侵害個(gè)人信息的主體的界定時(shí)規(guī)定了“信息控制者”與“信息處理者”兩種。

根據(jù)《個(gè)人信息保護(hù)法》,“個(gè)人信息處理者”造成侵權(quán)時(shí)承擔(dān)過錯(cuò)推定責(zé)任,并且在第73條中將個(gè)人信息處理者模糊定義為在個(gè)人信息處理活動(dòng)中自主決定處理目的、處理方式的組織、個(gè)人。因此,可以將侵權(quán)主體分為個(gè)人信息處理者和非個(gè)人信息處理者,即個(gè)人信息處理者適用上述規(guī)定,而非個(gè)人信息處理者應(yīng)當(dāng)適用《民法典》第1165條第1款的過錯(cuò)責(zé)任原則[8]。

(二)適用條件

根據(jù)《個(gè)人信息保護(hù)法》個(gè)人信息處理者承擔(dān)侵權(quán)責(zé)任包括以下兩個(gè)條件,一是其行為對(duì)他人個(gè)人信息權(quán)益造成了侵害并產(chǎn)生損害結(jié)果;二是需要證明自己的行為沒有過錯(cuò)。而關(guān)于這一點(diǎn)仍有進(jìn)一步解讀的空間,個(gè)人信息處理者過錯(cuò)的判斷標(biāo)準(zhǔn)上,什么情況下是有過錯(cuò),什么情況下沒有過錯(cuò),還需要進(jìn)一步釋明。

個(gè)人信息處理者對(duì)信息的處理行為可以簡(jiǎn)單分為合法處理行為和非法處理行為兩種。此種分類下,非法處理行為顯然表明個(gè)人信息處理者違反了相關(guān)的法定義務(wù),可以直接推定其處理行為存在過錯(cuò),并且承擔(dān)相應(yīng)的證明責(zé)任。因此,應(yīng)當(dāng)將《個(gè)人信息保護(hù)法》《民法典》等相關(guān)法律規(guī)定的個(gè)人信息處理者法定義務(wù)和職責(zé)作為標(biāo)準(zhǔn),來判斷個(gè)人信息處理者是否存在過錯(cuò)。即個(gè)人信息處理者違反了上述義務(wù)則推定為有過錯(cuò),如果個(gè)人信息處理者的行為符合上訴法定義務(wù)的規(guī)定則推定為沒有過錯(cuò)。這種判斷標(biāo)準(zhǔn),一方面對(duì)訴訟主體雙方的利益衡量更加公平,另一方面使得企業(yè)、組織、國(guó)家機(jī)關(guān)等個(gè)人信息處理者履行法定義務(wù)有著更嚴(yán)格的要求,有利于協(xié)調(diào)個(gè)人信息保護(hù)和合理利用的沖突。

四、結(jié)語

通過對(duì)學(xué)界不同觀點(diǎn)進(jìn)行梳理和分析,將過錯(cuò)推定責(zé)任作為個(gè)人信息侵權(quán)糾紛的歸責(zé)原則,一定程度上加重了個(gè)人信息處理者作為侵權(quán)人的證明責(zé)任,嚴(yán)格規(guī)范了個(gè)人信息處理者的行為,體現(xiàn)了我國(guó)對(duì)個(gè)人信息民法保護(hù)的立法上兼顧個(gè)人信息保護(hù)和流通的價(jià)值取向。為加強(qiáng)對(duì)個(gè)人信息的保護(hù),同時(shí)保護(hù)個(gè)人信息的合理流通和利用,對(duì)個(gè)人信息處理者適用過錯(cuò)推定原則具有正當(dāng)性和優(yōu)勢(shì)。今后,仍需要在《民法典》《個(gè)人信息保護(hù)法》的框架下,通過解釋論方法對(duì)過錯(cuò)推定原則的適用范圍及相關(guān)概念進(jìn)行釋明,使得個(gè)人信息侵權(quán)過錯(cuò)推定原則在實(shí)踐中更好的發(fā)揮作用。