2021年第20卷第3期
《民法典》视角下个人信息保护侵权责任
□孙艳
【内容摘要】随着《民法典》出台,将人格权独立成编,并将个人信息保护纳入人格权编,这加大了对个人信息的民法保护,实践中关于个人信息保护的纠纷也在相应增多。根据现行法律规范侵犯公民个人信息属于一般侵权纠纷,因此其归责
原则适用过错责任原则,而实践中侵害个人信息的行为类型众多,法院面临原告举证困难,如果严格按照“谁主
张,谁举证”分配举证责任,将会有违公平原则和实现个案的正义的难题。因此,本文根据实践中对个人信息保护
纠纷中遇到的疑难问题进行探讨和思考。
【关键词】个人信息;合法性;责任主体;归责原则
【作者单位】孙艳,四川大学法学院
为了加强保护网络信息,特别是制裁侵害公民个人电子信息的侵权行为的规定,国家于2012年12月28日公布实施了《关于加强网络信息保护的决定》(以下简称《决定》)。而2020年5月28日通过的《中华人民共和国民法典》(以下简称“《民法典》”)将人格权独立成编,并将个人信息保护纳入人格权编,这既加大了对个人信息民事方面的保护力度,也构建了更加完善法律保护体系。随着对个人信息的民法保护,实践中关于个人信息保护的纠纷也在相应增多,然而,无论是《民法总则》、民法典人格权编,还是现行的涉及个人信息保护的其他一些法律规定,均缺乏对侵害个人信息民事侵权责任的具体规定。由于现行法律并没有对侵害公民个人信息的侵权责任适用何种归责原则,实践中将侵犯公民个人信息案件归属为一般侵权纠纷,因此根据《侵权责任法》第六条第一款之规定其归责原则适用的是过错责任原则,而实际上侵害的行为类型众多,法院面临原告举证困难,如果严格按照一般的举证责任分配方式分配举证责任,将会有违公平原则和实现个案的正义的难题。因此,应对个人信息保护纠纷中遇到的疑难问题进行探讨和思考。
一、问题引入
当前是数据爆炸式增长的时代,各种数据背后蕴藏着大量的信息,这些数据经过一定的集合会形成对某个个人的识别,进而构成个人信息的一部分。而在信息化时代,大数据的应用和普及使个人信息具有一定的社会价值,个人信息被收集、利用于商业场景的同时,如何在法律框定的范围内合法采集、保存、使用个人信息,不仅关乎公民隐私和个人信息安全的大事,而且关涉到整个社会的信息安全。从《民法
典》到《民法总则》对个人信息保护的规定中,对个人信息保护的侵权责任归责原则的规定基本没有变动,个人信息保护纠纷仍属于一般侵权纠纷。因此对于个人信息保护纠纷中的举证责任,还是适用过错责任原则在原被告之间分配举证责任。原告需要对侵权责任构成要件承担举证责任。而司法实践中却存在原告举证难的问题,现实中原告往往仅能证明损害事实,对其他的侵权责任构成要件由于客观条件的限制难以证明,各法院在对个人信息保护纠纷的侵权责归责也是裁判不一,这对个人信息的保护显得尤为不利。因此通过实践中的典型案例来探讨对于个人信息保护纠纷中的侵权责任归责问题尤为必要。表1是侵害公民个人信息争议案例。
表1
案件案号归责原则法院举证责任分配证明程度判决结果
“去哪儿网案”(2017)京01民
终509号
过错责任
北京市第一中级人
民法院(二审)
原告“高度盖然性”原告胜诉
“苏宁易购案”(2016)苏0102
民初1123号
一般归责
原则
江苏省南京市玄武
区人民法院侵害公民个人信息
原告
仅证明损害事实,无
法证明其他构成要件
原告败诉
“京东案”(2017)京0115
民初15827号
一般归责
原则
北京市大兴区人民
法院
原告
仅证明损害事实,无
法证明其他构成要件
原告败诉
“四川航空案”(2015)成民终
字第1634号
过错推定
四川省成都市中级
人民法院(二审)
原告盖然性优势原告胜诉
二、个人信息中的私密信息
《民法总则》规定了自然人享有隐私权,但并未界定个人信息和隐私权的概念,而此次的《民法典》第一千零三十四条和《民法典》第一千零三十二条各自明确规定了个人信息和隐私权的保护及隐私的具体含义。其中第一千零三十四条第二款中规定的个人信息中的“私密信息”和第一千零三十二条第二款中规定的隐私信息包括“私密信息”,对哪些信息属于个人信息中的私密信息进而受到隐私权的保护,没有作出清晰的区分和界定,在司法实践中对私密信息理解也存在一定的分歧。例如引起广泛热议的动物园“刷脸”案中,原告
2021年第20卷第3期
对公园工作人员拿手机刷人脸的行为表示担忧,并提出了异议,虽然人脸识别等公民生物识别信息,在此次《民法典》第一千零三十四条中明确被定义为自然人的个人信息,受法律保护。但是随之引起争论的是人脸识别出的人脸信息是属于个人信息呢,还是属于隐私信息,这似乎需要法律作出进一步的界定。由于法律对隐私权的保护比对个人信息的保护程度更为严格,即必须要有法律规定或权利人的明确同意,否则为禁止性行为。因此,还需要明确何为私密信息以便具有可操作性。而在上述案例中,姓名、电话号码及行程安排属于个人信息,而根据最该人民法院司法解释对隐私信息的界定,被害人基于姓名、电话号码的结合而构成的行程安排无疑属于私人活动信息,从而属于隐私信息,受到隐私权的保护。
三、对个人信息收集、使用的合法性
根据我国现行法律,收集和使用个人信息必须要经过被收集者的同意。意思是,未经同意的收集和使用就会构成违法行为,应当承担相应的法律责任。而根据的司法解释,构成侵权需要公开并致人损害时,才需要承担侵权责任,增加行为致损要件,因此仅未经同意的使用并不会构成侵权。在上述“去哪儿网”案中,法院根据原告的举证证明最终认定被告确实泄露了原告的个人信息,而对个人信息收集、使用的合法性却未讨论。而在其他一些相似案件中,也均未提及此问题。根据《民法典》第一千零三十五条的规定和第一千零三十八条规定信息处理者的规定,上述案例中,经营者也属于此处的信息处理者,那么其收集、使用个人信息的行为,根据第一千零三十五条第一款中“(四)不违反法律、行政
法规的规定和双方的约定的规定”的规定,笔者认为,上述案例中经营者收集、使用个人信息行为的合法性来源是否可以是“(四)不违反法律、行政法规的规定和双方的约定”中基于双方的约定,并且作为一个理性消费者,从风险自担的角度来看,在需要提供个人姓名、电话号码等个人信息才能购买相关的服务的情况下,向他人提供个人信息,那么对经营者的收集、使用其个人信息具有一定的认识,但对双方在该服务结束后,经营者对消费者个人信息的收集、使用、加工等处理行为不得违反第一千零三十八条中对信息处理者的规定,否则,将构成侵权,需要承担相应的责任。
四、个人信息保护的责任主体
在上述个人信息保护纠纷中,侵犯个人信息的主体一般都有其自己的信息系统,通过信息系统来经营业务,消费者需要输入例如姓名、手机号码等个人信息购买所需服务,该系统能够将消费者的个人信息及与个人信息相关联的私人活动信息收集并录入其中,但这不妨碍公民有权自主决定对个人信息是否使用以及如何使用。以“四川航空案”为例,当事人的姓名、电话号码和行程信息被泄露,这明显侵犯了公民对个人信息自主决定使用的内容。而作为经营者一方,接到林念平投诉个人信息被泄露的电话时,并未采取任何补救措施,反而对林念平的投诉推三阻四,漠不关心,而且笔者注意到在类似林念平事件发生之前,已有多家媒体和网络报道关于航空公司泄露个人信息的新闻,其中不乏有一些权威媒体的报道,根据《消费者保护法》第二十九条规定的经营者对消费者个人信息的保护义务及在发生信息泄露时采取补救措施的义务和《民法典》第一千零三十八条第二款的规定,其中对采取补救措施的义务是在发生或
可能发生信息泄露、丢失的情况时,应立即采取补救措施,而上述案件中,至纠纷发生时,已经有媒体多次报道发生信息泄露的消息,即使该报道的新闻有待进一步的确证真伪,但这已经足以使案件中的经营者关注信息管理系统采取必要技术措施排查漏洞、防范风险,并公告检查维修结果,以使消费者及时了解并做好替代方案以避免存在的潜在的风险。
在个人信息保护的责任主体上,在《民法典》将其责任主体统称为信息处理者之前,由于我国还未制定施行专门的个人信息保护法,所以对侵害个人信息需要对此承担相应法律责任的主体法律上并没有一个统一的称谓,不同法律根据其调整的范围对此作了不同的规定。不同于欧盟的《通用数据保护条例》(General Data Protection Regulation,“GDPR”)对信息控制者和信息处理者进行了区分,此次《民法典》没有对责任主体作信息控制者与信息处理者身份的区分,因此这意味着公民在个人信息受到侵害寻求民事救济时,可以对法律规定的所有责任主体提起诉讼,无论是信息控制者还是信息处理者,他们之间的有关个人信息的数据系统合同仅能在他们两个主体之间发生效力,约束合同当事人,不能对抗合同以外的第三人。在上述案例中,在涉及责任主体的问题上,法院没有对控制者和处理者身份进行区分,而是认为如果经营者能够举证证明其确实采取了确保消费者信息安全的技术措施和其他必要措施已经尽到了法定义务,并举证证明个人信息由第三方泄露的,即可免责。否则仅仅以使用的服务系统是由第三方提供无法对录入该系统的消费者个人信息进行有效的监控,消费者遭受的因个人信息泄露和短信,可能是服务系统的环节出现了问题,被不法分子利用为由来抗辩,显然不能就此免除其责任。因为,
此时经营者与提供信息系统的第三方之间构成的内部法律关系并不能对抗内部关系之外的善意消费者,不论使用自身的系统还是第三方的系统为消费者提供服务,均应采取技术措施和其他必要措施,确保消费者信息安全。
五、侵害公民个人信息民事责任的归责原则
(一)举证责任的分配。在上述案例中,有许多法院的裁判都是严格按照谁主张谁举证的原则进行举证责任分配,例如在“苏宁易购案”和“京东案”中,在这两个案件中由原告承担侵权责任的构成要件的举证责任,但客观上其只能证明损害事实,无法证明其他的侵权责任构成要件,最终其诉讼请求没有得到法院的支持。此外,也有一些法院对原告的举证责任承担明显缓和,证明标准给予适当的放宽。例如,在“去哪儿网案”中,法院没有严格适用过错责任的归责原则,由原告承担举证责任,而是在认定侵权事实发生“具有高度盖然性”的情况下即认定原告完成了举证。但该案件被作为典型案例公布,可以看到对个人信息保护的从严态势。同样的还有“四川航空案”,基于客观条件下,原告举证能力有限,根据公平原则和诚实信用原则,法院要求被告企业对其已经履行了个人信息安全保护义务承担举证责任,实际上将举证责任倒置给了被告企业。这种尝试,有往过错推定方向倾斜。然而这两个案件中法院对侵权事实“高度盖然性”的认定并没有作出充分、详细的说理和论证,因此从司法实践来看,尚未形成统一的标准。
在证明侵权责任构成要件时,侵害公民个人信息的纠纷
2021年第20卷第3期
按照一般侵权纠纷适用过错责任原则的归责原则,原告对自己提出的主张,有责任提供证据。如果没有证据,或者提出的证据不足以证明自己的事实主张的,由负有举证责任的原告承担不利后果。而根据上述案件中的实际情况是,侵权主体经营者一般是占有或者接近证据材料的人,有条件并有能力收集相关证据。对于普通消费者来说,其自身能力和客观条件的限制,其收集证据的能力明显弱于经营者,经营者在举证中处于优势地位。因此,在这种情况下,法院采取了缓和原告的举证责任,适度放宽了原告的证明标准。先让消费者尽自己的所能,将其客观上能够收集到的证据来证明其信息是否有被经营者方泄露出去的高度可能性,法院再根据该基本事实,转而让经营者来举证推翻前述的高度可能性。在此如果严格按照谁主张谁举证的原则来进行举证责任分配,要求其进一步举证,显然超出其举证能力,有违公平原则,因为,让一个普通消费者去举证证明经营者内部的数据信息管理系统是否有信息泄露的漏洞,不仅事实上消费者没有举证证明能力,客观上法律也不能不应要求消费者举证证明标准达到确凿证明的程度。
(二)归责原则的适用。不同于一般的过错责任原则的举证责任在受害人,适用过错推定原则的意义在于,在某些特殊情况下,受害人难以举证证明加害人的过错,则适用举证责任倒置,基于损害事实先推定行为人有过错,被推定有过错的加害人须证明自己无过错,这就把过错要件的举证责任强加给加害人,如果加害人推翻不了这种推定,则认定其有过错,因而承担侵权赔偿责任。相比于过错责任原则,
实施过错推定原则,在特殊案件中给予受害人尤其是举证责任方面更多倾斜,这能更好地保障受害人索赔请求权的实现。而反思个人信息保护侵权纠纷,在大数据时代,通过对个人信息收集、提取并能整合成某一特定个人的准确完整的个人信息,在此情况下,这些数据信息一旦被泄露扩散出去,可能会对个人的安全和安宁生活带来巨大的威胁。而且技术的进步和发展,使信息的收集、加工、处理和使用等愈来愈多样化、精细化和专业化,对于信息的主体个人来说,对个人信息的保护将会面临巨大的挑战。因此,法律明确规定有关组织或个人在掌握个人信息时,一方面要有合理事由,另一方面为防止掌握的信息泄露造成侵害后果应当积极、谨慎地采取有效措施,《民法典》在第一千零三十五条和第一千零三十八条也作了此类规定,并随着“信息处理者”的概念扩大了义务人的范围。
有学者认为,对于侵害个人信息的侵权责任不应当适用过错责任,而应当统一适用无过错责任,并在统一适用无过错责任基础上,针对各种主体从事的活动的差异性,在适用范围和免责事由上而作出相应的变通,来作好个人信息保护与其他法益之间的协调。但是,大数据时代,因个人而产生的个人信息对个人来说具有人格利益,但对整个社会来说,有一定的“公共物品”的属性,尤其是大数据技术的推广普及使个人信息体现出独特的社会价值。而且在信息化时代,整个社会对于信息资源的依赖性加强,其社会价值的实现必然会建构在海量数据的基础上,若是单个的、少量的个人信息,虽然依然有其信息识别功能,但其社会价值的实现将大大折扣,自身潜能无用武之地,并且信息数据需要经过加工、处理和分析等过程才能进一步实现其潜在功能。因此,笔者认为如果对侵害个人信息的民事责任适用无过错责任,
将不利于个人信息社会价值的实现,在实践中也将对大数据产业的发展产生不应有的阻碍,这不符合法律对经济应有促进作用的初衷,因此应当寻求个人信息保护和产业发展促进二者的平衡。
综上,笔者认为根据个人信息侵权纠纷的特殊性以及大数据时代对人类信息的需求和利用及其价值发挥,对个人信息保护的侵权责任应当适用过错推定原则,受害人难以举证证明加害人的过错,减轻被侵权人的举证责任,实行举证责任倒置,让加害人证明自己的无过错,如果加害人证明不了自己无过错,则推定其有过错因而承担侵权赔偿责任。这样显然更符合公平原则,更有利于保护受害人的民事权益。
六、我国个人信息侵权保护的完善建议
(一)对私密信息作出清晰区分和界定。应当在未来出台的《个人信息保护法》中明确个人信息中哪些信息是私密信息进而受到隐私权的保护,结合《信息安全技术个人信息安全规范》(GB/T35273—2020)(简称“《个人信息安全规范》”)中对于个人敏感信息的定义对私密信息作出清晰的区分和界定。
(二)侵权责任应适用过错推定原则。应当在《个人信息保护法》中予以规定,侵害公民个人信息的,侵权责任应适用过错推定原则。因为根据《民法典》第七编侵权责任编第一千一百六十五条第二款之规定,适用过错推定的归责原则,需要根据“法律规定”,因此,也应当在《个人信息保护法》中予以规定。
(三)法院可缓和原告举证责任,适度放宽原告的证明标准。法院也需要在相关立法和司法解释出台之前,一方面根据个案的具体情况对原告的举证责任和证明标准予以放宽处理,原告已经提出相当的证据证明其主张的侵害事实具有较大可能性,而进一步的举证要求对其显然不公平时,例如被告对证据材料的取得和掌握相比于原告而言更易取得和掌握或原告因为客观条件的限制而无法再进行进一步的举证证明责任时,可以转换让被告举证证明;若被告举证不能,则由其承担举证不能的后果;另一方面,法院也可以发挥其调查权,根据案件具体情况启动程序,调查涉案证据。
(四)企业建立健全个人信息保护机制。可以看到,法律对个人信息的保护对企业提出更高的要求,需要企业尽快建立个人信息保护机制,尤其是拥有能够收集并储存大量消费者个人信息数据系统的经营者,要建立健全信息系统配置管理办法,制定严格数据违规使用责任倒查机制;设立专门机构对系统配置和系统日志进行管理,从源头上规范信息系统使用行为。
【参考文献】
[1]杨立新.侵权法论[M].北京:人民法院出版社,2013[2]高富平.个人信息保护:从个人控制到社会控制[J].法学研究,2018,40(3):84 101
[3]程啸.论侵害个人信息的民事责任[J].暨南学报(哲学社会科学版),2020,42(2):39 47
[4]刘迎霜.大数据时代个人信息保护再思考———以大数据产业发展之公共福利为视角[J].社会科学,2019,3:102 111