《论个人信息处理者的民事责任.docx》由会员分享,可在线阅读,更多相关《论个人信息处理者的民事责任.docx(10页珍藏版)》请在三一办公上搜索。
1、论个人信息处理者的民事责任现代科技对人们的行为方式产生较大影响,有如波丝尼(KarlPolanyi),格兰诺维特(MarkGranoVetter)的“嵌入理论,科技正在以绝对强势地位嵌入、煎覆乃至重塑人类的行为模式。在经济迭代与规模化的平台经济出现以后,即便是“原子化”的个体也别无选择,只能主动或(更多是)被动地卷入其中。尽管个体从事的活动各异,但却都存在自身信息被收集、利用与存储等事实,如何保护此种处于“静态或动态1的个人信息以及如何规制信息相关主体的行为,成为信息时代面临的一个宦要议题。根据谷歌书籍词频统计器(GoOgIeBookNgramVieWer)显示,个人识别信息”(PerSOna
2、llyidentifiableinformation)自1992年开始就成为一个越耒越流行的术语。(I)PaUlM.Schwartz&DanielJ.Solove1ReconcilingPersonalInformationintheUnitedStatesandEuropeanUnion,102CaliforniaLawReview877,887(2014).围绕个人信息是否具有可识别性二将个人信息与人、人格、财产等基本命题在事实上与逻辑上紧密联系起来,并在相当程度上推动了世界范围内个人信息保护的立法热潮。中国近年来在制定或修订相关法律之时都十分重视个人信息保护问题。(2)网络安全法电子商务
3、法与消费者权益保护法之中均有相关个人信息保护的规定。2020年5月通过的中华人民共和国民法典在人格权编中专门规定了个人信息保护,首开世界范围内民法(典)或私法中特别规定个人信息保护之先河,此举在世界私法史上亦可图可点。酝酿了若干年之后,2020年10月个人信息保护法(草案)的推出,更将中国的个人信息保护推至高潮。中国的个人信息保护立法相较于世界其他国家和地区,所处时代背景与发展阶段皆不相同,因此所面临的难题与所要解决的问题也不尽相同。尤其在“个人一个人信息处理者”之两造关系中,以“可识别性-为个人信息的核心构成,更使得相对方主体的一系列义务与保护的开关始终处于“打开”状态。(3)同前注(1),
4、PaUlM.Schwartz&DanieIJSoIOVe文。鉴此,观察个人信息处理者的法律责任十分重要,此种法律责任,或可构迨为一定体系,或可在不同“横截面”构迨为一定“子体系”,并在相当程度上成为完善个人信息权利体系之重要的“反作用力”,殊值重视。一、个人信息处理者的界定由个人信息的产生、传递与流动的本质特征所决定,与个体发生联系的若干主体可抽象概括为“信息控制者.与信息处理者工世界范围内,隐私与个人信息立法以美国和欧盟为基础标杆,其他国家和地区分别在不同的法域之内紧跟或对标相应立法。美国和欧盟二者之问事实上也形成L种个人信息保护立法的竞争局面。而正如格林里夫教授(GrahamGreenIe
5、af)所指出的,美国隐私法在世界上的影响力远不如欧洲数据隐私法的影响力,可以合理坨描述为“欧洲标准的数据隐私法正在逐渐成为世界其他国家相关立法的标准。(4)GrahamGreenleaf,TheInfluenceofEuropeanDataPrivacyStandardsOutsideEurope:ImplicationsforGlobalizationofConvention108,2InternationalDataPrivacyLaw68,77(2012).中国作为深受大陆法系法律理论影响的国家,在个人信息保护立法的观念与制度上也一定程度上受到欧盟立法的影响。然而吊诡的是,中国法恰恰在个
6、人信息基本主体慨念上与欧盟颇为不同,民法典历次草案与正式文本以及个人信息保护法(草案)中的个人信息相关主体的表述均不相同。对这一基础主体杨念的不断修改,反映出立法者对个人信息欠理活动的认识不断加深并逐渐体现出立法的着重面向。然而,对于基本主体概念的规定,并非单一的法技术问题,而关涉立法者对于社会事实的认识、对法观念的总结提炼以及能否实现立法的前瞻性等诸多问题,不能简单视之。既如此,认识与界定个人信息处理者,是个人信息保护立法与解释的基础工作之一。(一)信息控制者VS.信息处理者对于事物概念的确定,既是一个认识事物本质的过程,同时也是一个思维形成的过程。黑格尔在说明概念与事物之间的关系时认为,“
7、当我们要谈论事物时,我们就称它们的本性或本质为它们的概念,而概念只是为思维才有的”,我们的思维必须依照就念而限制自己,而概念却不应依我们的任意或自由而调整(5)德黑格尔:逻辑学(上卷),杨一之译,商务印书馆1996年版,第1213页。在立法概念选择的时候,立法者依然面对如何认识事物和如何选择概念的双重难题。中国的个人信息保护立法,也同样面临上述认识与选择的方法论难题。中国在制定民法典和个人信息保护法(草案)的个人信息保护规则之时,在法技术层面不同程度地借鉴欧美国家的经脸。然而,正如施瓦茨(PaUlM.Schwartz)和索罗夫(DanieIJ.Solove)所言,“美国和欧盟在隐私法方面分歧很
8、大。在基本层面,二者的基本理念哲学不同:在美国,隐私法的重点是救济对消费者的损害以及平衡隐私与高效的商业交易之间的关系;在欧盟,隐私权被认为是一项基本权利,可以凌驾于其他利益之上。甚至在确定信息立法调整范围的边界等问题上,美国和欧盟的做法也完全不同。个人信息的存在通常被称为个人识别信息一触发了隐私法的适用。(6)同前注(1),PalJlM.Schwartz&DanielJSoIove文,第877页。美国关于隐私权理论探索较早,对世界产生较大影响,如何界定个人信息,在美国法上经历过较为激烈的讨论。主要通过三种方式界定个人信息,包括:同义反贪(tautological)、非公开(nonpublic
9、)以及具体类型(SPeCifi(HyPeS)=(7)所谓“同义反复(tautological)的方式,主要是指美国隐私法通过简单地定义个人的”作为任何识别个人身份的信息的标准,在表达上就是“个人信息是个人的信息”的一种同义反复,将其作为界定个人信息的方法,实际上在美国国内也遭受到一定批评。同前注(1),PaUlM.Schwartz&DanielJSoIove文,第888页。后来经不断发展,美国法上系将隐私权与个人信息保护等统一归至隐私法这一笼统概念之中,与欧洲的人格权理论与个人信息保护理论的“二分法”截然不同。相较美国法,欧盟立法相对更为清晰,这也就是为何欧盟的个人数据保护法更易于“输出1并成
10、为较为通行的“世界标准”的重要原因之一。从中国目前为于民法典个人信息保护的解择论和个人信息保护法(草案)的立法论角度来看,中国个人信息保护立法一定程度上参考借签了欧盟相关立法,包括一些基本规则和权利义务体系等方面。然而,如本文所讨论的,实证法恰恰并未将个人信息保护中涉及的关键主体信息控制者一这一概念纳入。事实上,信息控制者并非一个简单的概念选择问题,也并非一个比较法意义上的形式上的“规则借鉴问题,而是涉及对于个人信息保护活动通盘理解的问题。“控制者”这一概念,主要应依循欧盟立法的脉络来理解。控制者(COntrOlIer)最早见诸于欧盟95/46/EC指令(1995年10月),后在欧盟2012年
11、拟议的一般数据保护条例(GeneralDataProteCtionRegUIation,GDPR)以及2016年通过的一般数据保护条例(GDPR)中延续使用。施瓦茨和索罗夫曾指出:“事实上,从欧盟95年指令开始,欧盟立法就已经为数据主体提供了对于他们自身数据使用的一种控制权。(8)同前注(1),PaulM.Schwartz&DanielJ.Solove文,第883页Il而此处所谓的控制权,又与大陆法系典型国家的信息自决”理论紧密相联。德国基本法第2条第1款确定了人格自由发展的权利。而个人信息对于人格构建和发展具有决定性的意义,信息自决”(informationelleSelbStbeStimm
12、Ung)则是实现对个人自由发展的重要方式。VgLChriStoPhMallmann1DatenschutzinVerwaltungsinformationssystemen,Munchen,1976,S.54ff.转引自谢远扬:信息论视角下个人信息的价值兼对隐私权保护模式的检讨,栽清华法学2015年第3期,第102-103页。此种信息自决观念将个人信息与人格权有效联系起来,并进而影响了个人信息保护的法律建构。信息自决”应有之意是个体能够决定自身信息的使用,即产生一种控制”。殊值辨识的是,以“信息自决”为出发点的对个人信息的控制”并不等于封个人信息的1控制权,由于权利本身包含一种实践面向,而个人
13、事实上无法享有对个人信息的绝对性、排他性的(全程)控制权,因此前述施瓦茨和索罗夫的观点也有不周延之处。当然,他们时于欧盟个人信息保护法的特征总体上有较好的把握与判断,这也就在相当程度上解释了,由于个人信息的产生、传递与流动等特征,当信息流动到与个体相对的主体,并由该主体进行控制”之时,由于个体享有“信息自决而并未丧失自己对信息的“延伸控制控制理念贯穿始终。比如,个人享有知情权,即可以在一定程度上控制关于收集到的他们的数据的去向,(IO)FrancoiseGilbert,ABirds-EyeViewofDataProtectioninEurope,24ABAGPSolo31,32-35(2007
14、).个人信息保护立法以“控制”为核心贯穿以个人信息为客体的一系列行为,当个人信息“脱逸”个体之后,能够控制信息的主体则是事实上占有信息的“控制者工这也就是为何在欧盟一般数据保护条例中,信息控制者才是与个人直接相对的义务主体,而并非信息处理者。而控制者的核心活动与其主要活动有关,而与作为辅助活动的个人数据处理无关。在控制者客观控制数据的基础上,又进一步发展出“目的限制”原则,允许控制者评估为最初收集数据的目的以外的其他目的处理个人数据是否享有这样的依据,而这种依据并非基于法律或数据主体的同意。(11)W.GregoryVoss,EuropeanUnionDataPrivacyLawReform:
15、GeneralDataProtectionRegulation,PrivacyShield,andtheRighttoDelisting,72TheBusinessLawyer221,224(2017).在欧盟法的脉络下,信息控制者的概念绝非仅依立法而产生,而系与欧洲法长期关注与持续发展人格自由、信息自决等法思想、法理念紧密相关。信息处理者则是为了数据控制者而处理个人数据的主体,其行为与活动虽然具有相对独立性,也并非控制者的附庸,但在地位与角色上确实无法与控制者相提并论.二者的关系既反映出欧盟法的特色,同时也体现出个人信息活动本身的核心特征反观中国法,遗惕的是,信息控制者”这一概念在民法典制定
16、过程中仅昙花一现,最终并未进入正式文本之中,这就有必要在中国法的“偶然与“必然之中进一步解释个人信息处理者的内涵,及其所辐射的制度脉络以及所反映的制度意旨。(二)中国立法演进中的“个人信息处理者”黑格尔认为,考察存在和本质的客观逻辑,真正构成了概念发生史的展示。(12)参见德黑格尔:逻辑学(下卷),杨一之译,商务印书馆1976年版,第240页。客观而言,中国确实不存在如欧洲国家的信息自决观念的历史影响,因此即便是撤却已有概念,转而选择创设全新概念,也未尝不可。问题的关键在于,基本概念应起到贯穿制度核心脉络的作用,或重塑制度自身特征的作用,只有有意识循此设计制度,才能实现制度初衷,否则将会使制度
17、变得空洞而无法实施。信息相关主体在历次法律草案与规范性文件中的表述,几无统L者,而最终民法典中改称信息处理者的表述,或有突袭之感,这也给如何解春信息处理者的地位与作用带来一定困难。表:法律法规、规范性文件中的信息相关主体从目前巳公开的官方立法资料来看,对于上逑概念变化并无特别说明。从概念表述与体系解春耒看,大致可从以下几方面理解与建构:第一,“信息处理论”吸收“信息控制论。从概念使用来看,在制定法并未采用信息控制者这一概念之时,而仅使用信息处理者这一概念。通过体系解释,信息处理论”表达为一系列客观的处理方式以及个人信息处理者的自主决定权利,这实际上也涵盖了包括有决定能力的控制者的一系列行为。立
18、法阶段的终结,使信息处理者这一概念成为一种既定事实,后续研究和实践也只能在此基础上遂行解释。第二,非控制论之下的,信息自决”的贯穿。欧盟法脉络下的人格、信息自决与个人信息控制之间存在观念上与逻辑上的联系。尽管中国法并未选择以控制者为核心的信息控制论”,但是无论是解释民法典的相关规定还是个人信息保护法草案(一审稿、二审稿)第44条中明确规定的“个人对其个人信息的处理享有知情权、决定权,已经较为明确地规定了“信息自决”或.个人信息自决权工可见,即便立法选择了信息处理论或非控制论,但也仍然是选择了“信息自决”这一法价值,之后的法律体系构建或规则创设也仍然遵循此价值。第三,跨法系基本,概念的对话基础。
19、欧盟个人数据保护立法在某种程度上作为一种国际标准,信息控制者也基本上成为一个通行概念,而中国立法之时仅选择使用信息处理者这一柢念,这就带来一个国际对话基础以及法律适用上的问黑。在数据面临跨境流动以及国内企业海外合规与外国企业在中国合规之时,都要面临概念转换与系列制度的理解问题,这在一定程度上增加了解养成本。因此,如何在制定个人信息保护法之时再进一步加强信息控制理念,使之与“信息自决”理念相协调,不辨不遹盘考虑,此谓周全之道。(三)个人信息处理者的具体类型信息时代与智能时代的首要特点就是信息呈规模化,以网络平台为代表的主体获取大量个人信息。个人信息保护与个人信息利用,二者表现为静动之分并体现不同
20、价值取向,但二者实质上却是一种“价值合流”一安全。因此,个人信息处理者也是在安全价值指引下保护个人信息。个人信息处理者成为法律上的特定主体,预设的前提即该主体有能力保护个人信息安全,防范个人信息风险。尽管民法典适用于所有平等民事主体,但个人信息处理者由于其活动普要一定的物质和技术条件并负有较多义务,而在主体范围界定上有所限缩,并非所有民事主体均能成为个人信息处理者。这一点也符合国际通行规则,比如GDPR第30.5条规定控制者的责任不适用于雇员少于250人的经济主体或组织。有学者也认为:个人信息保护法的义务主体具有特殊性,不是任何组织或者个人这样的一般主体。(13)参见周汉华:个人信息保护的法律
21、定位,徽法商研究2020年第3期,第50页。在此基础上,实践中的个人信息处理者的具体类型大致包括以下主体。第一,网络服务提供者。在中国法项下,提供网络服务的主体被概括为网络服务提供者。在立法与实践中,涉及网络安全、电子商务等不同领域之时,也以不同主体称谓指代。在经济迭代转型出现平台经济之后,平台主体也往往成为一种经济学上的较为通行的主体称谓。当下个体购物、社交等行为基本上均以网络平台为中介,个人信息的收集、存储、使用、加工等行为也集中于平台之上。大规模的网络平台的出现,其相对于个体或消费者的强势地位,加剧了传统上经营者与消费者之问的交涉能力不平等。本次个人信息保护法草案(二审稿)第57条增加规
22、定了提供基础性互联网平台服务主体的特别义务。由此,网络服务提供者是最为典型的个人信息公理者,最终的实际运营主体应承担个人信息保护等义务。第二,公共机构。国家机关等公共机构也存在大量收集个人信息以及利用等行为。个人信息保护法(草案)第二章笫三节专门规定了第三节国家机关处理个人信息的特别规定”,但是除国家机关之外,还包括公共企事业单位也存在大量收集个人信息等行为。因此,包括国家机关在内的公共机构都应成为个人信息保护法上的个人信息处理者。当然,也有学者认为,国家机关作为信息处理者具有公共性、法定性、垄断性、强制性等特点,与以私人机构作为个人信息处理者为设想场景的个人信息保护法明显不同,未来还应当制定
23、一个特别的规则耒调整国家机关处理个人信息的行为。(14)参见王锡锌教授的发言,个人信息保护法的待解难题,如何约束规范国家机关对信息的收集处理,载21世纪经济报道2021年3月24日。从目前来看,国家机关等公共机构在中国法上仍规定为个人信息处理者。第三,线下经营主体。数字经济改变了人们的行为方式,线上交易与网络社交成为主要方式,但仍存在大量线下非网络平台主体收集、利用个人信息等情况,这些主体应系个人信息处理者。同时,实践中也存在经营者线上线下信息共享等情况,有些情形可能会侵害消费者的个人信息。(15)参见俞某诉北京乐某达康科技有限公司等网络侵权责任纠财案,(2018)京0108民初字第13661
24、号民事判决书。就此,线下经营主体也是典型的个人信息处理者。对于个人信息处理者的界定,不仅仅是一种就念理解或者类型识别,在个人一信息控制者-个人一(个人)信息处理者的两造关系中,更应理解“信息自决”脉络下的个人对于自身信息的“是伸控制。在此基础上构建个人信息处理者的民事责任体系,并且解释相应主体承担民事责任的机理,是为基础,更是必要前提。二、个人信息处理者侵害个人信息的民事责任个人信息保护呈现跨公私法域特征,有其自身相对独立的发展脓络,并非民法的特别法,法律责任也包括民事责任、行政责任和刑事责任。个人信息作为体现人格权益与人格发展的重要载体,在创设1信息自决”的观念与制度之下,如何实现个人对自身
25、信息的“脱控而不失控,在受有损害之时,能够得到充分救济,是制度建构与法律适用最为关注之点。在个人信息权益受到侵害之时,人格权法与侵权法是最为基本与最为有效的救济方式,也同时体现出侵权法旨在权衡行为自由与权益保护的机能。(16)参见王泽筌:侵权行为(第三版),北京大学出版社2016年版,第7页。在考察民法典的适用与个人信息保护立法的双重面向之上,探讨个人信息处理者侵害个人信息的侵权责任,是法律为个人信息主体提供的最基础保障。(一)个人信息处理者侵害个人信息的典型行为与一般自然人之间的侵害个人信息的行为不同,个人信息处理者作为具有一定规模的网络服务提供者或线下经营主体以及公共机构,其侵害个人信息的
26、行为特征主要包括面向不特定主体、运用技术手段等方面。主要包括以下典型行为:第一,不当收集个人信息的行为。在民法典与系列规范性文件中,收集个人信息应符合合法、正当、必要”原则,同时符合最小、必要原则。而在实践中,有相当多的APP存在涉嫌过度收集用户个人信息的情况。(17)中国消费者协会:100款APP个人信息收集与隐私政策测评报告,http7www.cca.org.cfVjmxfdtail28310.html,2021年3月27日访问。在备受瞩目的郭某诉杭州野生动物世界有限公司股务合同纠纷案中,二审认为,野生动物世界欲利用收集的照片扩大信息处理范围,超出事前收集目的,存在侵害郭某面部恃征信息之人
27、格利益的可能与风险。(18)参见杭州野生动物世界刷脸”入园纠纷案,今日二审宣判!,载光明网2021年4月10日,httpsym.gmw.cbaijia2021-04/10/1302222608.html,2021年4月15日访问。可见,是否正当收集的标准主要在于是否符合法定的收集原则,如超过则为不当收集个人信息。第二,泄露个人信息的行为。泄露个人信息属于较为严重的侵害个人信息权益的行为,实践中具体表现形式不一。在庞某诉某航空公司和某信息技术有限公司隐私权纠纷案中,庞某在某网站订票之后,后收到其他短信,列明庞某的姓名、航班号等内容,法院认为两家公司存在泄露宛某隐私信息的高度可能,并且存在过错,应
28、承担侵犯隐私权的相应侵权责任。(19)参见北京市海淀区人民法院(2015)海民初字第10634号民事判决书;北京市第一中级人民法院(2017)京01民终字第509号民事判决书。在有的案件中,法院确认公民的举报信息具有私密性,购物平台擅自将订单编号告知被举报人,属于泄露个人私密信息的行为。(20)参见北京市第四中级人民法院互联网民商事审判十大典型案例之五:肖某诉某平台泄露个人信息纠纷案(北大法宝数据库:【法宝引证码】CLI.C.107485440)o泄露个人信息的行为往往涉及对私密信息和隐私权的保护,较之其他不当收集、不当利用与分享等行为更为严重。第三,不当使用个人信息等行为。在未经个人信息主体
29、的同意,而将个人信息作为他用的情况,属干不当使用个人信息的情形。在王某与某置地有限公司姓名权纠纷案中.该公司擅自利用王某的姓名与身份证号码进行个税申报,不当利用了王某的个人信息。(21)参见王某与某置地有限公司姓名权纠豺案,(2019)苏0321民初字第2652号民事判决书。在俞某诉北京乐某达康科技有限公司等网络侵权责任纠纷案中,俞某在线下的购物记录也被同步到段上购物平台的购物列表之中,这是L种扩张信息共享的行为,同时也是一种扩大收集信息的行为。(22)参见同前注(15),俞某诉北京乐某达康科技有限公司等网络侵权责任纠给案。上述行为都是建立在个人信息处理者掌握个人信息的前提下,将信息用于他用,
30、或不当使用、或不当分享,均系较为典型侵犯个人信息权益的行为。除上述几种情形以外,比较具有争议的情形还包括由用户画像或其他自动化决策所带来的不利影响(23)DanielieK.Citron&FrankPasquale,TheScoredSociety:DueProcessforAutomatedPredictions,89WashingtonLawReview1(2014);MargretHu1BigDataBlacklisting,67FloridaLawReview1735(2015).是否会构成对人格权益或财产权益的侵害,比如评价分选、价格歧视、大数据杀熟等,目前相关案例中,法院并未支持当
31、事人的相关请求.(24)参见郑某与上海某商务有限公司其他侵权责任纠纷案,(2020)沪0105民初字第9010号民事判决书;刘某与北京某科技有限公司侵权责任纠野案,(2018)湘0102民初字笫13515号民事判决书、(2019)湘01民终字第9501号民事判决书。对滥用算法等行为,目前主要通过监管或数据治理等方式予以规制,(25)参见美陆凯:美国算法治理政策与实施进路,载环球法御评论2020年第3期,第5-26页。在民事责任方面尚未见相关适用和突破。在风险法在的智能时代与万物互联时代,人们没有脱离风险场域的可能性,对于概括风险而导致的权益受损目前较难实现个体救济;(26犷同克里斯托弗布施:个
32、性化经济中的算法规制和(不)完美执行,载环球法律评论2019年第6期,第7页。但在个体受到确定的侵害之时则有请求获得法律救济的权利,这也正是侵权法的基本意旨。(二)构成要件个人信息处理者侵害个人信息的侵权责任的构成要件,主要以民法典人格权编和侵权责任编的体系解释为主。将人格权编的框架安排与传统侵权责任的构成要件进行比对,人格权编对于过错和损害并未规定,也有学者认为,在适用人格权请求权时,既不需要考虑是否有损害(只要构成对人格权的侵害或者存在侵害的危险即可),也无需考虑侵权人有无过借。(27)参见王利明、程啸等:中华人民共和国民法典人格权编释义,中国法制出版社2020年版,笫83-85页;程啸:
33、我国民法典中的人格权请求权,载人民法院报2020年10月22日第005版。从民法典编章安排体系解释和司法机关关于民事案件案由规定来看,人格权请求权在适用上优先于侵权请求权。(28)根据最高人民法院2020年12月发布的妓高人民法院关于印发修改后的民事案件案由规定的通知中第四部分规定人格权纠纷这一案由系单独的案由体系,与侵权责任纠纷相区别。另参见王利明:论人格权保护的全面性和方法独特性一以民法典人格权编为分析对象,载财经法学2020年第4期,第9页。同时个人信息保护法草案一审稿第65条与二审稿第68条规定了个人信息处理者的损害赔偿责任,这一部分也将纳入体系解释范畴之中。签此,本部分的讨论总体上立
34、足于解糅论与立法论的双重面向。1 .过错在归责原则之过错贲任原则、过错推定原则和无过错责任原则三分法的基础上,民法典对侵害个人信息的归责原则并未明确规定。在前述案例中,法院基本上也并未特别考虑个人信息处理者的主观过错。由个人信息主体与个人信息处理者之问关系所决定,侵害特定个人的信息的行为,只会由比较特定或有限的个人信息处理者作出,而其侵害行为的范围和内容也基本比较确定,责任认定并不存在大多困难。个人信息保护法草案(二审稿”第68条明确规定侵害个人信息的归责原则为过错推定。相较一审稿,二审稿有较大进步。一审稿第65条规定了侵害个人信息权益的赔偿责任,但该条却存在归责原则与损害赔偿责任的“薪倒”与
35、“杂糅工通富而言,“侵权请求权基础的检视原则上区分责任成立与责任范围两个阶段,各类侵权请求权基础检视程式的差异主要体现在责任成立部分”。(29)参见吴香香:中国法上侵权请求权基础的规范体系,载政法论坛2020年第6期,第180页。对于一审稿中关于归责原则的不足之处,二审稿中有所纠正和调整。同时,二审稿第68条第2款系与民法典侵权责任编第1182条基本保持一致。立法者在侵害个人信息的归责原则上或可考虑过错责任原则与无过错贲任原则二分法思路:一是基于不同主体。借鉴我国台湾地区个人资料保护法”相关规定,对个人信息侵权,公共机构承担无过错责任,非公共机构则承担过错推定贡任;二是基于不同行为。借鉴德国联
36、邦数据保护法相关规定,对于自动化数据处理所致损害适用无过错责任,非自动化数据处理所致损害适用过错推定责任;三是基于不同信息类型。有学者也提出应在区分敏感与非敏感信息的基础上,分别规定适用无过错责任与过错推定责任。(30)参见会议综述(下)个人信息保护法草案专家研讨会,微信公众号:人工智能与网络法前沿,2020年12月8日。此种通过不同角度的“二分法”确定归责原则,是一种较好的思路,可参酌吸收借鉴。2 .行为个人信息处理者在收集、存储、使用、加工、传输、提供、删除和公开等活动过程中都可能会存在侵害个人信息的行为。前述关于个人信息处理者侵害个人信息的典型行为中巳概括了相当一部分行为。作为“信息自决
37、”观念的延伸,通过在信息的“可识别性”与人格权益保护之间建立联系,集中于是否侵害了具有可识别性的信息,从而引致侵权法的适用。以信息的可识别性为“风险源”和“风险敞口”,是侵害个人信息行为的集中体现。这就使得个人信息处理者的几乎大部分活动都可能囊括其中。施瓦茨和索罗夫就认为,欧洲隐私立法的优势是几乎没有什么信息可以逃出立法之外,但同时也十分冒险地引发了数据处理者实际上承担了与个人隐私可能产生的风险实际上并不匹配的法律负担。(31)同前注(1),PaUlM.Schwartz&DanielJSoIove文,第887页。近年来除侵害个人信息的典型行为讨论较多之外,落于相应实践发展和义务扩张的现实需求,
38、关于电子商务经营者、直播平台和个人信息处理者等是否应承担安全保障义务就引发较多争论,尤其是在某主播在直播平台直播极限运动意外坠亡案件(32)参见何某诉北京某科技有限公司网络侵权责任纠纷案,(2018)京0491民初字第2386号民事判决书;北京某科技有限公司与何某侵权责任纠纷上诉案,(2019)京04民终字第139号民事判决书。发生后,更将网络服务提供者等主体是否应承担安全保障义务推至风口浪尖。安全保障义务源自德国判例中形成的交往安全义务学说,并在实践中不断确立和发展相关规则。我国在制定侵权责任法之时,通过列举和限缩适用范围和情形的方式,规定了安全保障义务。但其与两大法系学理与判例中所概括的交
39、往安全义务和注意义务存在一定差异,虽然学界和实务界巳基本接受了中国侵权责任法第37条(民法典第1198条)的规定。但由于对本国制定法的理解和接受存在一定思维惯性,人们对反过来理解安全保障义务的原貌反而产生一定障碍。近年来,中国法在安全保障义务的理解上、实践中和立法中不断与德国法和美国法接近,从而将确定相应主体是否负有安全保障义务聚焦于有学者所概括的一注意义务的违反”以及“对加害人本身主观预见能力的考察(33)参见鸟珏:安全保漳义务与不作为侵权,栽法学研究2009年第4期,第75-76页。两个层次的内容。针对个人信息的安全保护义务,在欧盟的GDPR、中国民法典、消费者权益保护法、网络安全法、电子
40、商务法等都有相应规定。民法典第1038条规定了信息处理者的信息安全保障义务。个人信息保护法草案(一审稿、二审稿)“笫五章个人信息处理者的义务-中,系后履行安全保障义务的标准予以多维度细化。殊值关注的是,基于公法规范以转介方式适用于私法领域等理论铺垫,(34)参见苏永钦:从动态法规范体系的角度看公私法的调和一以民法的转介条款和宪法的整合机制为中心,载苏永钦:走入新世纪的私法自治,中国政法大学出版社2002年版。近年来学界也有观点主张是否将网络信息领域的公法规范以转介方式适用于私法关系,以扩张网络经营者、信息处理者等主体的安全保障义务。(35)参见张力、黄鑫:大数据背景下个人信息保护的公私法衔接,
41、栽重庆邮电大学学报(社会科学版)32021年第1期。在侵权法上,违反保护他人法律的侵权责任”(民法典第1165条第1款,即侵权责任法第6条第1款)事实上起到一个“转介条款”的功能,可以将各种特殊的侵权法律政策引入到一般侵权法之中。(36)参见朱岩:违反保护他人法律的过错责任,载法学研究2011年笫2期,第90页。但是对于保护他人的法律,如王泽鉴先生所言,系.以其是否以保护个人的权益为判断标准,个人权益的保护得与一般公益的保护并存,但不包括专以维护国家社会秩序的法律”。(37)同前注(16),王泽饕书,第350页。可见,“转介”之核心标准在于是否以保护个人的权益为判断标准”,而非全部公法规范均不
42、加限制和阻拦地进入私法领域。诚如有学者所言,此种适用可能会引发一系列民法体系内部以及公法与私法之间关系等问题,应谨慎适用,合理把握注意义务的标准。(38)参见万方:公私法汇流的闸口:转介视角下的网络经营者安全保障义务,载中外法学2020年第2期,第371-377页。鉴此,在个人信息保护领域,尽管单行法可能会不断推出,但不能笼统地将网络安全法和未来出台的数据安全法和个人信息保护法等法律法规中包含的一系列公法规范直接转介入私法之中,并引致个人信息处理者承担相应的民事责任,此种认识不得不事先予以警惕,以维护法律最基本的公正价值。3 .损害损害通常包括财产损失、人身损害和精神损害。关于侵害个人信息而产
43、生的损害,欧盟GDPR第82条笫1项规定:“任何因为造反本条例而受到物质或非物质性损害的人都有权从控制者或处理者处获得损害赔偿。个人信息主体通常需证明自己受有物质或非物质性损害,非物质性损害主要包括外部风险的损害和内心焦虑的损害。(39)参见刘云:论个人信息非物质性损害的认定规则,载经贸法律评论2021年第1期,第60页。个人信息的可识别性,即是否可通过个人信息识别到特定主体,是判断个人信息权益是否受到侵害的关键要素。在司法实践中,法院一般通过可识别性标准而确定是否侵害个人信息权益,只要侵害了具有可识别性的信息,基本上就判定侵害了个人信息权益,从而根据当事人的诉求进行利益衡量。实践中,对于赔偿
44、经济损失等,根据相应侵权责任法规则,会给予一定程度的支持;而对于精神损害,却往往由于客观上难以认定,而较难支持。客观而言,将个人信息保护放置于民法典之内,尽管在一定程度上与其他国家或地区的个人信息保护规则体例并不相同,但却恰恰在相当程度上缓解了如何确定损害等问题,更有益于实现对当事人的救济。4 .因果关系因果关系作为侵权法上的重要命题之一,即侵权行为造成损害结果的发生在通常情况下存在可能性。在侵害个人信息的情形中,有的因果关系链条并不发杂,大多是基于个人信息处理者这一特定主体的就括的“一因一果二这就使得行为与损害结果之间关系的判定难度不高。在有的案件中,法院根据民事诉讼高度盖然性证明标准而对因
45、果关系进行判定。(40)参见北京市海淀区人民法院(2015)海民初字第10634号民事判决书;北京市第一中级人民法院(2017)京01民终字第509号民事判决书。但当存在里数信息控制者参与同一个人信息的处理活动而发生个人信息泄露时,受害人往往无法证明哪一主体是具体加害人,此时应当采用共同危险行为制度加以解决。(41)参见程啸、阮神裕:论侵害个人信息权益的民事责任,载人民司法2020年第4期,第64页。当然,因果关系也是侵害个人信息贲任中的必要构成,应在个案判定中予以重视。(三)损害赔偿个人信息处理者的行为造成个人信息主体损害,应承担损害赔偿责任。概括而言,包括停止侵害、排除妨碍、消除危险、消除
46、影晌、恢复名誉、赔礼遒款等责任形式。对于停止侵害、排除妨碍、消除危险等几者不难理解,实际上在侵害知情权等一系列个人信息主体权利之时景可能会普遍适用。对于如何确定赠偿数额,原则上根据民法典第1182条确定。在前述相关案例中,法院支持当事人经济损失赔偿的不在少数。通常情况下,当事人请求赔偿经济损失的数额也较小,往往只有1元、2元等,(42)参见同前注(15),畲某诉北京乐某达康科技有限公司等网络侵权责任纠纷案。相当程度上具有一定象征意义。对于消除影响、恢复名誉和赔礼道歉等非金钱赔偿,2014年颁布的最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定第16条有所规定。根据
47、该条,对于侵害个人信息的非物质性损害的赔偿应与侵权的具体方式和所造成的影响的范围相当。比如在2014年罗某诉某保险公司隐私权纠纷案中,法院认为,保险公司侵害了罗某的隐私权,判令保险公司向罗某赔礼道歉并赔偿罗某精神损害抚慰金1元及相关费用。(43)参见湖南省郴州市湖北区人民法院(2014)琳北民二初字第947号民事判决书。当然,由于当时关于个人信息保护的意识并不明显,因此主要按照隐私权这一典型的人格权进行裁判并判以精神损害赔偿。而在庞某诉某航空公司案中,当事人虽然并未证明实际受有精神损害,但却在二审时改判支持了当事人关于赔礼道歉这L诉讼请求。(44)参见向前注(40)O可见,在个人信息侵权案件中
48、,对于非金钱赔偿方式也具有相当的支持空间。三、侵害个人信息处理活动中个人权利的民事责任个人信息用于个人,理论上存在一个概括的、完全的权利,但是由于个人信息处理活动的存在,就使得个人信息主体所享有的抽象的完整权利被分解成数种具体权利一涵摄全过程的知情权、决定权,以自决意志为核心而外化的查阅权、更正权、删除权等权能。(45)参见周友军:民法典规定的隐私权和个人信息保护,载经济参考报2020年8月4日第A08版。对于这些权利的保护,既仰赖公权力之管制与治理,同时亦可根据民事主体权利保护之本旨而给予救济,两种方式互相补充,相辅相成。这些权利在一定程度上可以类型化,并在类型化的基础上给予不同方式的救济。需要说明的是,侵害这些权利的民事责任与本文第二部分讨论的侵害个人信息的民事责任有一定交叉,这些权利系请求权基础,但由于这些权利被集中规定于个人信息保护法草案专章之中,因此有必要予以臬中讨论与回应。(一)个人信息主体的权利体系世界范围内个人信息主体的权利形式上大同小异,但因各国自身社会、法律和文化等传统不同,而在个别权利和实施向度上有所不同。中国当前个人信息立法中,与GDPR相比,个人信
