论侵害个人信息的民事责任
2020/5/18 10:33:24  点击率[92]  评论[0]
【法宝引证码】
    【学科类别】民法分则;民法典
    【出处】《暨南学报(哲学社会科学版)》2020年第2期
    【写作时间】2020年
    【中文摘要】未来我国民法典以及个人信息保护法应当完善侵害个人信息的民事责任。就个人信息民事责任的主体,应当统一使用"信息控制者"的概念。立法上应当规定侵害个人信息的侵权责任适用无过错责任。侵害个人信息的行为类型众多,在证明被告是否实施了加害行为时,应当采取高度可能性的证明标准,由法官结合案件事实并综合考虑相应的因素加以确定。侵害个人信息给受害人造成的财产损失无法证明时,应当适用法定数额的赔偿。
    【中文关键字】个人信息保护;侵权责任;信息控制者;民法典
    【全文】

      一、引言
     
      个人信息保护已经成为现代社会越来越重要的法律问题,各国对个人信息的保护都是公法与私法并重的。私法上保护个人信息的主要方式就是民事责任制度,我国《民法总则》、民法典人格权编草案、《网络安全法》、《消费者权益保护法》、《电子商务法》等法律虽对个人信息保护作出了保护,但均缺乏对侵害个人信息民事责任的具体规定。
     
      当前司法实践中,侵害个人信息的民事纠纷日益增多,为更好地发挥私法保护个人信息的功能,立法上有必要对侵害个人信息的民事责任作出更明确具体的规范。从比较法来看,德国、日本、我国台湾地区等成文法系国家和地区的民法典均编纂于20世纪工业文明时代,故此,它们的民法典中不可能规定侵害个人信息的民事责任。但是,我国的民法典诞生于数字文明和信息时代。因此,我国完全可以发挥后发优势,在民法典中就侵害个人信息的民事责任问题作出具体的规定。
     
      二、侵害个人信息的主体的界定
     
      侵害个人信息的民事纠纷主要就是侵权纠纷,由于在个人信息的收集、存储、传输、转让、使用等各个环节都会出现加害行为,相应的侵权人类型则较为复杂。
     
      这样一来产生的问题就是,在规范侵害个人信息民事责任的法律或者司法解释中,是否应根据加害行为的不同而对加害人采取不同的称谓,从而有所区别,分别规范?我国在这一问题上并无统一的称谓,基本上是由各个法律从自身调整范围出发分别使用不同的名称。
     
      在比较法上,欧盟《一般数据保护条例》(GDPR)使用的是“控制者(controller)”与“处理者(processor)”这两个概念。日本法上使用的是“个人信息处理业者”的概念。我国台湾地区的“个人资料保护法”将侵害个人信息的主体分为两类,即“公务机关”与“非公务机关”。
     
      在我国民法典编纂过程中,多数说认为应采取统一的概念。但是,究竟使用何种概念,又有不同的看法。一种观点主张借鉴欧盟的做法,采取“信息控制者”或者“数据控制者”的表述 ,该观点被民法典人格权编草案第三次审议稿及民法典草案所接受(第1036条,第1038条)。另一种观点则主张采取“个人信息持有者”的表述,该观点为民法典人格权编草案所接受(《民法典人格权编草案(二审稿)》第815、817条)。
     
      笔者认为,我国民法典以及未来的个人信息保护立法应当借鉴欧盟《一般数据保护条例》(GDPR)的做法,统一采取“信息控制者”的概念:首先,使用“信息控制者”这一概念可以避免根据不同的信息处理的方法采取不同的称呼而产生的义务主体类型交叉重叠、重复冲突的问题。其次,信息控制者的概念揭示了信息无论是在法律上还是事实上都具有控制力。再次,信息的控制者与处理者负有相同的个人信息保护的法定义务,所以二者没有必要加以区分。
     
      三、侵害个人信息民事责任的归责原则
     
      (一)现行法上适用的是过错责任原则
     
      在我国侵权法中,过错责任是最基本的归责原则,过错推定责任或无过错责任,都必须以法律有明确规定为前提。由于我国现行的法律并没有就侵害个人信息的侵权责任规定无过错责任或者过错推定责任,因此,从解释论的角度出发,现行法上侵害个人信息的侵权责任适用的是过错责任。
     
      有学者认为,我国《网络安全法》第74条第1款:“违反本法规定,给他人造成损害的,依法承担民事责任”规定的是无过错责任。笔者不赞同此种看法,因为该款并非独立的请求权基础,更未确立无过错责任,只是依据我国立法惯例所做的一个衔接性的规定。
     
      (二)未来立法上对侵害个人信息的民事责任应适用无过错责任
     
      有学者认为,未来我国的个人信息侵权责任应当采取三元归责体系,即公务机关以数据自动处理技术实施的信息侵权适用无过错责任,采取自动化处理系统的非公务机关的信息侵权则适用过错推定责任;那些没有采取自动数据处理系统的数据处理者,其信息侵权应当适用一般的过错责任。
     
      从比较法来看,确实有不少国家或地区对侵害个人信息的侵权责任规定了过错推定责任或无过错责任。如欧盟的《一般数据保护条例》(GDPR)第82条第2款规定了无过错责任,该条第3款规定了控制者和处理者的免责事由。在德国,《联邦数据保护法》第83条区分自动化数据处理与非自动化数据处理分别规定了无过错责任与过错推定。我国台湾地区的“个人资料保护法”第28条、第29条规定了公务机关与非公务机关侵害个人信息的侵权责任分别适用的是无过错责任与过错推定责任。
     
      应当说,侵害个人信息的侵权责任是新型侵权行为,并非一般侵权责任。如果对之适用过错责任,要求受害人证明加害人的过错,显然是很困难的。即便在我国当前的司法实践中,法院审理个人信息侵权纠纷时,对于侵权人过错的认定基本上也都采取了客观化的判断标准。例如,在“庞理鹏与北京趣拿信息技术有限公司等隐私权纠纷”中,法院认为,《消费者权益保护法》第29条第2款“在立法层面上对消费者个人隐私和信息的保护,也是对经营者保护消费者个人信息的强制性规定。经营者违反了该条规定,即视为其存在过错。”
     
      笔者认为,对于侵害个人信息的侵权责任应当统一适用无过错责任。首先,统一适用无过错责任使得自然人无须证明加害人的过错,同时也避免了实践中自动化数据处理与非自动化数据处理而适用不同的归责原则造成的麻烦。其次,虽然适用无过错责任,但是,可以在适用范围和免责事由上针对各种主体从事的活动的差异性而作出不同的规定,以便协调个人信息保护与合理自由(言论自由、信息自由等)的维护之间的关系。
     
      四、侵害个人信息的行为类型与加害人的证明
     
      (一)侵害个人信息的行为类型
     
      侵害个人信息的加害行为可以分为两大类:其一,虽然侵害了个人信息,但加害人不以此为目的,而只是利用或借助个人信息来实现对受害人其他民事权益的侵害并造成损害。由于这一类侵害个人信息行为的目的和后果是侵害受害人除个人信息之外的其他人身权益和财产权益,如生命权、隐私权、名誉权等。
     
      其二,单纯的侵害个人信息的加害行为。其中,最典型的一类就是《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》(以下简称《利用信息网络侵害人身权益民事纠纷司法解释》)第12条所规定的网络用户或者网络服务提供者利用网络“公开自然人基因信息、病历资料、健康检查资料、犯罪记录、家庭住址、私人活动等个人隐私和其他个人信息”。从司法实践来看,这一类案件的数量也占侵害个人信息侵权案件的大多数,且主要是以隐私权纠纷出现。此外,从实践来看,单纯的侵害个人信息的行为至少还包括以下几类: (1)非法收集个人信息。 (2)泄露、毁损、丢失个人信息。(3)非法利用个人信息。(4)非法泄露或者买卖个人信息。(5)其他侵害个人信息的行为,如因收集者的原因而致所收集的个人信息是错误的。
     
      (二)加害行为的证明
     
      由于信息具有很强的流动性,涉及的主体复杂,故此,一旦发生侵害个人信息的情形,受害人往往很难证明被告实施了侵害个人信息的加害行为。此时,被告常以信息并非自己所泄露为由进行抗辩,而原告要证明被告实施了泄露其个人信息的行为,十分困难。故此,一些法院只能以原告未能证明被告实施了加害行为为由驳回其诉讼请求。对此问题,在“庞理鹏与北京趣拿信息技术有限公司等隐私权纠纷案”中,法院提出了证明加害人的高度可能性的判断标准,即只要原告提供的证据能够表明被告存在泄露原告个人隐私信息的高度可能,而被告又不能推翻这种可能,就可以认为被告实施了泄露个人信息的加害行为。
     
      笔者认为,以高度可能性的判断标准来确认被告是否实施了加害行为,是非常合理的,值得赞同。一方面,该标准并未改变民事诉讼法规定的举证责任的分配;另一方面,考虑到现代信息社会中个人信息的高度流通性和信息传递的隐蔽性,要求原告证明究竟泄露个人信息的主体是谁,显然强人所难。
     
      笔者认为,在适用高度可能性的证明标准时,需要综合考虑以下几个因素:(1)被告掌握原告被泄露的个人信息的范围与程度。(2)其他单位或个人掌握被泄露的个人信息的可能性。(3)被告是否曾经存在泄露自然人个人信息的情形。(4)被告已经采取的个人信息的保护机制和具体措施。(5)信息收集者、信息存储者、信息使用者对接入其平台的第三方应用是否建立准入等相应的管理机制和履行管理义务的情形。
     
      五、权益侵害与损害赔偿
     
      在《民法总则》《侵权责任法》规定的承担侵权责任的八种方式中,有相当一部分侵权责任的承担方式性质上属于绝对权保护请求权。这些侵权责任的承担方式,在物权法上体现为物权请求权,在人格权法上就是人格权请求权。我国现行法虽未确认个人信息是一种具体的人格权,但是,在认定侵害个人信息的侵权责任时,个人信息被侵害的自然人也可以行使停止侵害、消除危险等人格权请求权。
     
      就损害赔偿责任而言,侵害个人信息而给受害人造成损害多为财产损失的情形。此时,受害人要证明其损害还是比较容易的。但是,在不少情形下,加害人虽然实施了侵害个人信息的行为,受害人却没有财产损失或者难以证明财产损失。对此,《侵权责任法》第20条和《利用信息网络侵害人身权益民事纠纷司法解释》第18条第2款作出了规定,人身权益被侵害的自然人遭受的损失难以确定的,人民法院可根据实际情况在50万元以下确定赔偿数额。
     
      侵害个人信息如果造成了对受害人人格权的侵害,常常会产生精神损害赔偿责任的问题。但是,单纯侵害个人信息而并未造成对受害人某一具体人格权的侵害的,受害人可否请求精神损害赔偿,值得研究。从我国《侵权责任法》第22条的规定来看,精神损害赔偿责任适用的前提除了要求侵害人身权益之外,还要求造成严重精神损害。《利用信息网络侵害人身权益民事纠纷司法解释》第17条也规定:“网络用户或者网络服务提供者侵害他人人身权益,造成财产损失或者严重精神损害,被侵权人依据侵权责任法第二十条和第二十二条的规定请求其承担赔偿责任的,人民法院应予支持。”故此,如果在侵害个人信息的案件中,原告无法证明自己遭受了严重的精神损害,则不得请求侵权人承担精神损害赔偿责任。

    【作者简介】
    程啸,清华大学法学院副院长、教授
    【注释】

    【参考文献】
    {1}个人信息的侵权法保护{J}. 叶名怡.  法学研究. 2018(04)
     
    {2}欧盟数据宪章{M}. 法律出版社 , 京东法律研究院, 2018
     
    {3}侵权责任法{M}. 法律出版社 , 程啸, 2015
     
    {4}The EU General Data Protection Regulation (GDPR). Paul Voigt,Axel von dem Bussche. . 2017
     
    {5}Remsburg v.Docusearch,Inc. 149 N.H.148,816 A.2d 1001 . 2003

    本网站文章仅代表作者个人观点,不代表本网站的观点与看法。
    转载请注明出自北大法律信息网
0
北大法律信息网
www.chinalawinfo.com
法律动态
网站简介
合作意向
网站地图
隐私政策
版权声明
北大法宝
www.pkulaw.cn
法宝动态
法宝优势
经典客户
免费试用
产品服务
专业定制
购买指南
邮件订阅
法律会刊
北大英华
www.pkulaw.com
英华简介
主要业务
产品列表
英华网站
联系我们
用户反馈
返回顶部
二维码