时间:2022-10-18 20:10:06来源:法律常识
【编者按】在强化保护个人信息权益主体思想的影响下,个人信息处理者过错推定责任的适用成为业界、学界、公众关注的焦点。
根据《个人信息保护法》规定,处理个人信息侵害个人信息权益造成损害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。而根据《民法典》相关规定,个人信息中的私密信息适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定。这种法律之间的并行张力如何协调?
《互联网法律评论》特约专家、中央财经大学法学院副教授王道发认为,个人信息处理者过错推定责任的适用与《民法典》侵权责任编不存在体系衔接上的冲突,但在私密信息的保护中可能与“隐私权要求较强保护”和“个人信息要求较弱保护”的精神存在冲突。个人信息处理者侵害私密信息的侵权行为应当适用过错推定责任。处理者的过错推定责任不是一种普遍性责任,其适用范围具有限定性,适用要件也有特殊性。此过错推定责任救济的是侵害人格权益的财产损失,不包括精神损害,其过错判断主要限于违反法定义务的违法行为及比例原则下的实质违法行为,其因果关系要件的特殊性则在于采取“高度盖然性”证明标准,而非实行举证责任倒置。
经作者授权,《互联网法律评论》今日刊发本文。本文原载于《中国法学》2022年第五期,为网络传播便利,此稿删除了原文的注释。
一
问题的提出
2021 年8 月20 日,十三届全国人大常委会第三十次会议表决通过的《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)是我国专门规范个人信息处理行为、保护个人信息权益的法律。《个人信息保护法》第69 条第1 款规定,处理个人信息侵害个人信息权益造成损害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。这明确了个人信息处理者承担的是过错推定责任。而根据《民法典》第1034 条第3 款规定,个人信息中的私密信息适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定。笔者认为,对此有以下方面需要解释厘清:
第一,《个人信息保护法》第69 条第1 款的过错推定责任在解释论上的正当性基础。在立法阶段,个人信息处理者承担过错推定责任的法理基础已经得到充分表达,但既有的理论基础过于抽象,不便于适用者精准把握个人信息处理者过错推定责任的实质基础,继而影响其对适用范围和要件的准确理解。因此有必要在适用阶段再次进一步厘清此责任的正当性基础,以便促进法律的精准实施。
第二,个人信息处理者过错推定责任在适用中与《民法典》的协调问题。个人信息处理者过错推定责任在适用中除需与《民法典》第1165 条第2 款进行衔接外,还应与民法典人格权编的相关规定进行必要的协调。民法典人格权编也对个人信息进行明确规定,而且个人信息与隐私权、名誉权等人格权益存在交叉关系。尤其在个人信息中的私密信息受侵害时,一般会产生侵害个人信息和侵害隐私权的责任竞合问题。根据《民法典》规定,侵害隐私权的侵权责任适用一般过错责任,而《个人信息保护法》第69 条第1 款却规定为过错推定责任,由此导致在侵害同样的权益(客体)的情况下,依据《民法典》和《个人信息保护法》却可能适用不同的归责原则,这容易使得适用者无所适从,因而需要对《个人信息保护法》第69 条第1 款与《民法典》相关规定的关系作出必要的厘清。
第三,个人信息处理者过错推定责任的适用范围和要件问题。从立法目的上看,制定个人信息保护法并设置严格的法律责任是为了保障公民在个人信息处理活动中的各项权利。因而,将处理个人信息侵害个人信息权益规定为较为严格的责任已成为理论界和实务界的共识。在严格保护个人信息的价值取向之下,更应正视适用上的特殊性。如在个人信息处理者的“过错”界定问题上,由于《个人信息保护法》第69 条第1 款的“过错”在字面上与《民法典》第1165 条第2 款的“过错”具有同一性,易使适用者忽视《个人信息保护法》第69 条第1 款的“过错”界定的特殊性;而在强化保护个人信息权益思想的影响下,如果《个人信息保护法》第69 条第1 款的“过错”界定不够明确和具体,就会影响个人信息的利用价值。法律适用者能否准确理解个人信息处理者过错推定责任适用范围的限定性和适用要件的特殊性,会直接影响到此种责任承担的适用边界,更会影响个人信息严格保护和充分利用矛盾关系的协调,因此有必要厘清个人信息处理者过错推定责任在适用范围方面的限定性和适用要件方面的特殊性问题。可见,在《民法典》已经颁行的背景下,如何精准贯彻和实施《个人信息保护法》规定的个人信息处理者的过错推定责任依然是一个重大的解释论问题,应当予以必要的厘清。鉴于此,本文试图对《个人信息保护法》第69 条第1款进行全面解释,以期助益法律适用。
二
个人信息处理者承担过错推定责任的正当性基础
虽然在立法过程中几经争论和修改,但是《个人信息保护法》第69 条最终仍将个人信息处理者的损害赔偿责任确定为过错推定责任。在《个人信息保护法》的立法阶段和颁行后的适用阶段,学界对个人信息处理者的过错推定责任似乎争议不是很大,对过错推定责任背后的理论逻辑也存在较大的共识。但是,学界关于个人信息处理者承担过错推定责任正当性基础的既有理论在更多意义上是一种宏观的解释,只是论证个人信息处理者承担过错推定责任这一严格责任的一般性理由,无法解释个人信息处理者为什么不是承担无过错责任。笔者认为,为了更好地实施《个人信息保护法》,在解释论上有必要再次厘清个人信息处理者过错推定责任的正当性问题,以便更好地把握个人信息处理者承担过错推定责任的实质基础,从而更准确地界定适用范围和要件。
在《个人信息保护法》颁布后,关于个人信息处理者承担过错推定责任的正当性基础问题,学界既有的主要观点认为,个人信息处理者和自然人的地位不平等,个人信息处理者处于强势地位,个人信息权人处于弱势地位,如果采用过错责任原则,不利于对个人信息权人的保护。同时,由于个人信息处理者和自然人之间地位不平等,两者的举证能力也是有差异的,自然人存在举证客观障碍,不易证明个人信息处理者的过错。
实践中,在个人信息侵权领域,作为权利人的自然人在发生损害时对个人信息处理者的过错、因果关系和损害等方面进行举证都存在一定的客观障碍,难以承担举证责任。正如学者所言,“个人信息处理活动具有很强的专业性和技术性,个人与个人信息处理者存在信息、技术、资金等能力上的不对等地位,无法了解个人信息处理者在处理活动中具有什么过错,更无法提出证据加以证明”。
甚至,相关行政管理部门与管理对象之间也会出现明显的信息不对称现象,监管能力滞后,获取证据难、固定证据难、处罚难、胜诉难。依此观点,由法律明确规定个人信息处理者承担过错推定责任,更利于自然人在诉讼中维护自己的个人信息权益,使法律保护个人信息权益的目的得以落地。
但笔者认为,个人举证能力弱并不必然意味着证明责任就一定要实行倒置。以医疗损害责任的患者为例,为弥补患者举证能力弱而无法维权的劣势,过去相关规范性文件也明确规定举证责任倒置,但《民法典》明确规定医疗损害责任属于一般过错责任,而非过错推定责任,对过去的操作进行了纠正。因为,即使不实行过错推定责任,也能实现对患者权利的保护,当存在一些技术性难题而面临举证困难时,患者大可通过申请医疗鉴定等方式来完成自己的证明责任。在个人信息侵权领域也是如此,即使自然人处于技术或者资源上的劣势,在诉讼中也可以采取其他方式完成证明责任。由此可见,单纯因为自然人存在举证困难而认为应当规定过错推定责任的观点并不具有充分的合理性。
总的来看,过错推定责任具有一定的法定性,也是一种较一般过错责任更为严格的责任,但是并不是说双方地位不平等或者受害人举证能力弱就能充分解释过错推定责任的正当性基础。过错推定责任具有自身内在的逻辑,个人信息处理者承担过错推定责任也应当遵循此种内在逻辑。
在强化保护个人信息权益主体思想的影响下,个人信息处理者和自然人的举证能力不对称虽只算一般性理由,但在一定程度上也能证成个人信息处理者承担过错推定责任的正当性。但笔者认为,个人信息处理者承担过错推定责任的实质基础在于个人信息处理者的处理行为产生的法定作为义务。无论在民法还是刑法领域,先前行为都是产生法定作为义务的正当事由,也是追究特定义务人承担不作为责任的重要依据。在个人信息处理者处理个人信息的过程中,产生了其对作为个人信息权益主体的自然人的法定作为义务,对个人信息处理者的行为构成实际约束力。笔者认为,个人信息处理者基于处理行为产生的此法定作为义务是其承担过错推定责任的实质基础。理由如下:
第一,法定作为义务具有双重推定效力,既可依据未履行作为义务推定过错的事实,也可以依据作为义务推定过错的判断。有观点认为,法院在司法实践中要求个人信息处理者证明其履行了法定义务,而不是过错,这与过错推定责任之下就过错的举证责任倒置是不同的,而且违反法定义务认定过错属于事实推定,而不是法律推定。笔者认为,义务人承担法定作为义务,既可以从未履行法定作为义务中推定过错事实,也应当由义务人自己对已经履行了法定作为义务(无过错)事实承担证明责任。事实推定是一种事实方面的判断,是以客观事实为基础。事实推定意味着个人信息处理者如果存在违反法律、行政法规和规章等规范性文件规定义务的行为,就推定其有过错。法律推定则是一种规范方面的判断,是以规范性文件的规定为基础。法律推定意味着依照《个人信息保护法》规定推定个人信息处理者有过错,其不能证明自己没有过错的,应当承担侵权责任。个人信息处理者的法定作为义务不仅是判断处理者是否存在违法行为继而认定其有无过错的标准,而且其自身也蕴含着要求处理者证明其不存在违法行为的规范拘束力。需要指出的是,此种拘束力并不简单是“允许处理者证明自己没有违法行为而免责”,而是“要求处理者应当证明自己没有违法行为才免责”。质言之,个人信息处理者不仅基于处理行为对自然人产生法定作为义务,而且应当就已履行法定义务的事实承担证明责任。此种证明责任本身是个人信息处理者负有法定作为义务的应有之义和逻辑延伸。如果个人信息处理者只需履行作为义务,而无需对履行义务行为承担证明责任,这对义务人的拘束力是不够的。对承担安全保障义务等法定作为义务的义务人而言,在很多情况下只要违反安全保障等义务的违法性得以认定,过错也往往能够得到确认。因此,理论和实践多采过错推定原则。据此,就个人信息处理者基于处理行为承担的法定作为义务而言,只要其违反法定义务的违法性得以认定,过错往往也能够得到确认——只有由处理者通过举证证明自己不存在违法行为,其过错责任才能得以免除。法律要求个人信息处理者应当积极知悉自己的义务内容并予以充分履行,甚至要求其依据规范性文件细化操作规则和制定保护个人信息的行为准则。例如,《个人信息保护法》第31条第2 款规定:“个人信息处理者处理不满十四周岁未成年人个人信息的,应当制定专门的个人信息处理规则”。在一定意义上,法定作为义务积极促使个人信息处理者主动知悉和履行自己的法定义务以避免可能承担的法律后果,而证明责任既是使个人信息处理者的上述义务得以最终实现的手段,也是法定作为义务的逻辑延伸和拘束力体现。个人信息处理者通过积极履行作为义务,可避免承担法律责任,实现自身利益的最大化,因此,要求处理者应当明确知悉自己承担的法定作为义务内容,由其对自己的处理行为不存在违法情形承担证明责任也是公平的。
第二,法定作为义务适用过错推定责任与《民法典》的既有规定保持一致。在涉及法定作为义务产生过错推定责任的规定中,《民法典》一般都规定特定主体能够证明已履行作为义务的,不承担侵权责任。例如,《民法典》第1243 条规定,“管理人能够证明已经采取足够安全措施并尽到充分警示义务的,可以减轻或者不承担责任”;第1248条规定,“动物园能够证明尽到管理职责的,不承担侵权责任”;第1256 条规定,“公共道路管理人不能证明已经尽到清理、防护、警示等义务的,应当承担相应的责任”;第1258 条规定,“管理人不能证明尽到管理职责的,应当承担侵权责任”。此类条文中的“安全措施”“警示义务”“管理职责”“清理、防护、警示等义务”等和第1198 条的“安全保障义务”一样,在性质上属于法定作为义务。值得注意的是,《民法典》第1198 条虽然没有规定“不能证明”字样直接指明经营场所、公共场所的经营者等主体违反安全保障义务的侵权责任属于过错推定责任,但该条规定也属于过错推定责任范畴。据此,《民法典》违反法定作为义务的责任一般都是过错推定责任,个人信息处理者违反处理行为引发的法定作为义务适用过错推定责任,在体系上与《民法典》既有规定保持了一致。《民法典》第1038 条第2 款规定“信息处理者应当采取技术措施和其他必要措施,确保其收集、存储的个人信息安全,防止信息泄露、篡改、丢失;发生或者可能发生个人信息泄露、篡改、丢失的,应当及时采取补救措施,按照规定告知自然人并向有关主管部门报告”;《个人信息保护法》第9 条规定“个人信息处理者应当对其个人信息处理活动负责,并采取必要措施保障所处理的个人信息的安全”。这些都属于个人信息处理者保护个人信息安全法定作为义务的具体内容,虽然并无“不能证明”字样直接指向过错推定责任,但基于体系一致性的要求,个人信息处理者的法定作为义务也应当适用过错推定责任。
第三,个人信息权益产生于处理行为之中,与过错推定责任发生于处理行为中具有统一性。个人信息权益所包含的知情、查阅、复制、转移、更正、补充、删除等权能都发生于处理行为之中,这就意味着应当在处理行为中去认识和理解个人信息权益的结构问题,也应当在处理行为中认识和理解个人信息权益的保护问题。个人信息处理者的过错推定责任实际上是一种行为动态中的责任,没有处理行为,其责任的特殊性也就无法体现,这与个人信息权益发生和存在于个人信息处理行为中是具有内在一致性的。正如学者认为,“个人信息权是一种存在于数据处理过程中的权利,不是一种静态的绝对权利,而是自然人在与数据控制者互动的过程中,在参与到数据处理活动中时所触发和享有的一系列权利”。笔者认为,上述观点具有一定的道理。我国《民法典》将人格权独立成编,并基于社会现实的需要而在人格权编系统地确立了个人信息保护制度,该制度最主要的创新与发展之一就是明确了自然人的个人信息权益的性质为人格权益。《民法典》在人格权编将个人信息权益确立为人格权益的重要原因之一在于个人信息(数据)开发和利用已成为社会发展的大趋势,甚至可以说,如果没有个人信息的利用需求和处理行为的存在,个人信息完全可以通过传统意义的民事权利或者利益类型进行规制和保护,没有必要特别确立个人信息权益,更没有必要适用过错推定责任。换言之,个人信息权益并不建立于个人信息之上,而存在于个人信息的处理行为之上。个人信息处理者的法定作为义务是针对处理行为过程中可能出现损害自然人人格权益的情形而设定的,并不具有普遍性,这也决定了个人信息处理者的过错推定责任是一种非普遍性责任。在一定意义上,个人信息处理者的法定作为义务和自然人的个人信息权益都是统一于个人信息处理行为之中。因此,处理行为既是个人信息处理者法定作为义务的产生基础,也是自然人个人信息权益的存在环节。个人信息权益的保护应回归到处理行为之上,与因处理行为引起的法定作为义务而适用过错推定责任的基本原理保持了内在逻辑的一致性。
综上,个人信息处理者承担过错推定责任的实质基础不在于地位或者能力上的差异,而在于其负有基于处理行为此种先前行为而产生的法定作为义务。处理行为本身不是侵权行为,只是个人信息处理者可能侵害个人信息权益的场景行为。个人信息处理者并不是在任何场景下都承担过错推定责任,只有在处理个人信息场合侵害个人信息权益时才可能承担过错推定责任。
三
个人信息处理者过错推定责任与《民法典》的冲突及协调
在《个人信息保护法》颁行后,学界对《个人信息保护法》和《民法典》两者之间的关系有不同理解,一种观点认为,《个人信息保护法》和《民法典》属于特别法和一般法的关系,应当优先适用《个人信息保护法》的相关规定。另一种观点则认为,两者之间是相互并行的关系,而非特别与一般的关系。也有观点认为,不能简单地将《民法典》与《个人信息保护法》的关系界定为一般法与特别法的关系或者并存的基本法,而应当进行类型化分析。笔者认为,对于两者之间的冲突关系,不能一概而论,而应当进行具体分析。尤其,对《个人信息保护法》第69 条规定的个人信息处理者过错推定责任与《民法典》相关规定之间的关系分析,更应如此。
《个人信息保护法》第69 条的过错推定责任规范在适用时可能会与《民法典》相关规定发生一定的冲突关系。此种冲突关系的实质不在于个人信息处理者损害赔偿责任归责原则规范内容方面的体系衔接,而在于与个人信息保护中尤其是私密信息保护涉及的“强保护”和“弱保护”问题之间的冲突关系。
在归责原则的体系方面,《个人信息保护法》的立法者在立法阶段就刻意使个人信息处理者的过错推定责任规范与《民法典》保持了一致。例如,《个人信息保护法二审稿(草案)》第65 条规定:“个人信息处理者能够证明自己没有过错的,可以减轻或者免除责任”。在最后审议过程中,立法者将其修改为“处理个人信息侵害个人信息权益造成损害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任”。此与《民法典》第1165 条第2 款的立法表达完全保持一致。笔者认为,《个人信息保护法》中个人信息处理者的过错推定责任规定与《民法典》侵权责任编没有冲突关系。理由在于,《民法典》第1165 条第2 款中的“法律”不仅指《民法典》,还包括其他特别法律,如《个人信息保护法》。《民法典》第11 条规定:“其他法律对民事关系有特别规定的,依照其规定。”因此,《个人信息保护法》第69 条第1 款的过错推定责任是对《民法典》第1165 条第2 款的具体展开,关于个人信息处理者的过错推定责任,单独援引《个人信息保护法》的规定即可。虽然个人信息处理者的过错推定责任与《民法典》侵权责任编没有实质冲突,但与《民法典》人格权编的相关内容存在冲突关系。根据《民法典》第1034 条第3 款规定,一般认为,侵害私密信息的应当适用侵害隐私权的规定,而侵害隐私权适用的却是一般过错责任。例如《民法典》第1226 条规定,医疗机构及其医务人员应当对患者的隐私和个人信息保密。泄露患者的隐私和个人信息,或者未经患者同意公开其病历资料的,应当承担侵权责任。因此,医疗机构侵害患者个人信息行为是适用一般过错责任。在司法实践中,侵害个人信息往往也与侵害隐私权发生交叉,此种侵害行为也是适用一般过错责任。例如,在“谢某诉江苏苏宁易购电子商务有限公司网络侵权责任纠纷案”“原告李某与被告江苏苏宁易购电子商务有限公司隐私权纠纷案”“季某某诉江苏苏宁易购电子商务有限公司隐私权纠纷案”中,法院均认为,侵害的个人信息属于隐私的,应当适用一般过错责任,而非过错推定责任。但是,如适用《个人信息保护法》,则应适用第69条规定的过错推定责任。值得注意的是,过错推定责任是一种更为严格的责任,对个人信息保护更为有力。如此适用可能会与民法有关民事权益位阶理论存在冲突:私密信息既受个人信息权益的保护,也受隐私权的保护,适用个人信息权益保护是一种弱保护,而隐私权作为一项具有排他性的人格权,相比个人信息保护是一种强保护。显然,个人信息处理者的过错推定责任的适用与依据民事权益位阶理论所要实现的“强保护”和“弱保护”是有冲突的。
综上,个人信息处理者的过错推定责任与《民法典》的冲突主要体现于个人信息尤其私密信息保护中的“隐私权是强保护却适用更轻的一般过错责任”和“个人信息权益是弱保护却适用更严格的过错推定责任”。
个人信息处理者的过错推定责任在适用中与《民法典》产生冲突关系的主要原因有以下几方面:
第一,自然人的隐私权客体与个人信息存在交叉关系,有些隐私属于个人信息的范畴,而有些个人信息也属于隐私权的客体。因而,侵害个人信息的责任承担就会与侵害隐私权的责任承担产生重合关系。《民法典》第1034 条第3 款规定:“个人信息中的私密信息,适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定。”而个人信息保护和隐私权保护的规定在规范体系上又属于分别独立的规制路径,这也是《个人信息保护法》第69 条的过错推定责任与《民法典》产生冲突的直接原因。
第二,对个人信息侵权行为规定特别归责原则是我国理论研究的既有共识。一直以来,我国学界对侵害个人信息归责原则问题取得较大的共识是,应采取特别的归责原则。一种观点认为,应当采用二元的归责原则。依据不同的信息处理主体和方式,采取不同的归责原则。国家机关在处理个人信息时,采用无过错责任;非国家机关在处理个人信息时,采用过错推定责任。也有观点认为,应当采取三元归责原则。更有观点主张,个人信息侵权行为适用无过错责任的一元论。无论何种观点,都将个人信息侵权视为特殊的侵权行为,适用特别的归责原则。
第三,规定特别的归责原则也受到了比较法的影响。在比较法上,关于侵害个人信息的归责原则都有明确的规定。在德国,一般认为,国家机关违反法律规定,导致个人资料遭不法搜集、处理、利用或者导致其他侵害结果发生的,须承担无过错责任原则。例如,德国《个人资料保护法》第7 条规定:“当公务机关在本法或其他资料保护规定下,由于未经许可或不正确的个人资料自动化处理对资料本人造成损害的,公务机关有责任赔偿本人的损失,而不论其是否有过错。”另外,在2003 年通过的《德国联邦数据保护法》中明确规定,公共机关因不正确的数据自动收集、处理和使用而侵害了数据主体的利益,该数据控制人的责任机构有义务赔偿数据主体的损失,而不问其是否存在过错。然而,该法同时规定,一般的数据控制人如果尽到了具体情形下应尽的注意义务,则其可以免除损害赔偿义务。德国个人信息立法对个人资料的侵权行为分为行政侵权行为和民事侵权行为两大类,对这两大类侵权行为适用不同的归责原则和不同的赔偿方法。我国台湾地区也是采取类似的规制路径:非国家机关对其民事侵权行为导致损害后果发生的,应承担过错责任。例如,我国台湾地区“个人资料保护法”第29 条规定:“非公务机关违反本法规定,致个人资料遭不法搜集、处理、利用或其他侵害当事人权利者,负损害赔偿责任。但能证明其无故意或过失者,不在此限”。可见,在比较法上,个人信息侵权的归责原则采取了区分理论,即国家机关和非国家机关的个人信息侵权行为采取不同的归责原则,国家机关的个人信息侵权行为采取无过错责任,而非国家机关的个人信息侵权行为采取过错(推定)责任。但无论适用何种归责原则,都存在适用特别归责原则的立法模式。此外,欧盟《通用数据保护条例》(GDPR)第82 条第2 款也规定:“参与处理的任何控制者应当为违反本条例的数据处理所导致的损害负责。任何处理者,仅在其未遵守本条例对于处理者义务的特别规定或采取超出控制者的合法指令或者与控制者的指令相反的处理行为时,应为数据处理导致的损害负责。”该条第3 款规定了控制者和处理者的免责事由,即只有能够证明其无论如何都不应对造成损害的事件负责时,才能免除第2 款的责任。此规定类似于过错推定责任,只是在证明内容上可能更为苛刻,是一种严格性弱于无过错责任的特殊责任。实际上,我国《个人信息保护法》第69 条采用过错推定责任的立法直接借鉴了GDPR,只是为保持与《民法典》的一致而将证明内容明确为“过错”。
(三)个人信息处理者过错推定责任与《民法典》冲突关系的协调
对于个人信息处理者的过错推定责任在适用中与《民法典》相关规定的冲突,不能简单依据特别法优于一般法或者上位法优于下位法规则予以协调,而要进行具体的利益权衡。实际上,《个人信息保护法》和《民法典》之间具有相互交叉的关系,在一定意义上,《个人信息保护法》是对《民法典》个人信息保护规定的具体化,起着重要的补充作用,而非单纯的特殊与一般关系。同时,两者之间也不是纯粹的相互并行关系,如果适用《个人信息保护法》的结果会严重违背《民法典》的基本原则,那么就应当适用《民法典》的相关规定。就个人信息处理者的过错推定责任而言,更多意义上是《民法典》过错推定责任规定在个人信息侵权领域的具体化,对其在适用中产生实质冲突问题,还需适用者进行必要的价值判断和利益权衡,以实现较优的实施效果。笔者认为,处理私密信息侵害个人信息权益造成损害的,应当适用《个人信息保护法》第69 条的过错推定责任,而非依据《民法典》第1034 条第3 款适用有关隐私权的规定。
首先,不能简单认为,隐私权的位阶高于个人信息权益,就应适用更为严格的责任。在民法上,民事权益的位阶高低与归责原则没有关联。民事权益的位阶高,不意味着保护该种权益的责任承担就更为严格。无论是损害人身权益还是财产权益,都应当纳入民事责任体系进行统一调整,而不是适用不同的归责原则予以区别保护。因此,不能认为隐私权在民事权益位阶上要求“强保护”就当然认为侵害“弱保护”的个人信息权益不能适用过错推定责任。
其次,在利益权衡上,要求个人信息处理者承担过错推定责任、对私密信息实现更高程度的保护基于的是立法者明确的强化个人信息保护的特别目的。个人信息权益没有游离于民事权益范围之外,也没有与隐私权和名誉权等人格权益完全割裂。立法者通过强化保护个人信息权益,以达到保护人格尊严和人身安全等相关民事权益的最终目的。而且,个人信息具有多元化的权益属性,随着大数据技术的发展,个人信息作为一种特殊“物”所具有的公共属性变得愈发突出,将个人信息权益作为个人完全支配的绝对权显然与其公共属性存在一定的冲突,且会使其被滥用和侵害的风险随之增大,这些都要求立法者对个人信息予以强化保护。此外,个人信息所涉利益主体具有多元性和复杂性,无论是作为个人信息最大保护者和利用者的国家,还是一般的个人信息处理者,都享有基于个人信息的权益,且享有的权益内容可能具有叠加性,但是,这些主体都不能逾越保护自然人个人信息权益背后蕴含的人格权益的基本底线。因此,应基于优先保护人格权益的利益权衡,强化保护个人信息权益以实现对自然人的人格权益的最终保护。基于此,在归责原则上对私密信息适用更为严格的过错推定责任,体现了立法者强化保护人格权益的特别目的。
最后,需要指出的是,隐私权基于民事权益位阶理论要求的“强保护”并非是指适用更为严格的归责原则,而在于隐私权不存在合理使用制度,并且在责任豁免方面具有严格性。相较而言,个人信息权益大多可以适用合理使用制度,而且法定的责任免除事由更为宽松。因此,《民法典》第1034 条第3 款规定的适用规则主要指向《民法典》第999、1035 条,以及《个人信息保护法》第13 条规定的个人信息合理使用制度和《民法典》第1036 条规定的处理个人信息免责事由。
综上,个人信息处理者侵害私密信息承担过错推定责任与《民法典》第1034 条第3 款规定之“隐私权要求较强保护”和“个人信息适用较弱保护”精神的冲突关系是可以协调的。从根本上看,个人信息处理者承担过错推定责任的原因在于其“处理行为”引发的特殊利益权衡和特定的立法目的,而非在于隐私权和个人信息权益的位阶高低。如果没有个人信息处理行为,那么个人信息处理者侵害私密信息应和侵害隐私权一样承担一般过错责任。
四
个人信息处理者过错推定责任的具体适用
只有明确个人信息处理者过错推定责任的适用范围和条件,才能更好地衔接适用《民法典》的相关规范内容,兼顾好个人信息处理中的保护和利用双重价值目标。
1. 主体范围
《个人信息保护法》第69 条的过错推定责任的主体是个人信息处理者。《个人信息保护法》第73 条第1 项规定,个人信息处理者是指在个人信息处理活动中自主决定处理目的、处理方式的组织、个人。有观点认为,个人信息处理者是对信息进行系统化存储与处理的主体。该观点具有合理性。实施偶发和零散的个人信息处理行为的主体,因为没有对个人信息形成实质意义的控制力,不能成为个人信息处理者。
2. 行为范围
个人信息处理行为包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。这些处理行为不仅与个人信息处理者的利益紧密相关,与自然人的利益直接相关,侵害的风险也蕴含于其中。个人信息处理行为具有一定的范围。《个人信息保护法》第72 条第1 款规定:“自然人因个人或者家庭事务处理个人信息的,不适用本法。”GDPR“前言”部分第18 条也规定:“本条例不适用于自然人为与职业或商业活动无关的纯粹私人或家庭活动对个人数据进行的处理。私人或家庭活动可能包括通信往来及持有地址,或在该等活动的背景下进行的社交和网络活动。”《个人信息保护法》第69 条的过错推定责任涉及的行为场合也具有一定的限定性,并不是说个人信息处理者的所有行为都可以构成侵害行为。法律对个人信息的保护仅限于个人信息处理给个人利益带来威胁或损害的特定情形。因此,个人信息处理者的侵害行为须发生于个人信息处理过程之中。个人信息处理者的处理行为本身有合法和非法之分,但是其中发生的侵害个人信息权益行为都属于违法行为。
3. 客体范围
个人信息处理者的侵害行为指向的对象是个人信息权益。换言之,个人信息处理者过错推定责任的直接保护客体是个人信息权益。关于个人信息权益的内容,主流观点认为,个人信息权益之“本权权益”主要包括人格尊严、人身财产安全以及通信自由和通信秘密等利益,但不包括财产利益。此种观点具有一定的合理性。笔者认为,个人信息权益确实不应当包括财产利益,但通信自由和通信秘密等利益属于宪法上的权益,在本质上也与人格尊严和人格自由等密切相关,没有必要单独作为个人信息权益的内容。也有观点认为,个人信息保护的对象并不是个人信息本身,而是个人在各种社会关系中身份建构的自主性和完整性;个人身份权益尤其是动态身份权益的保护,并不能为姓名、肖像、名誉、隐私等具体人格权保护所涵盖。但笔者认为,个人信息虽然具有一定身份识别功能,但是保护的利益属于人身安全、自由和尊严等人格权益范畴,而身份利益主要体现于特定身份关系之中,与个人信息保护的人格权益具有明显的区分,不能因为个人信息可能具有身份权益属性,就认为个人信息处理者过错推定责任包含保护身份权益的客体。综上,《个人信息保护法》第69 条保护的客体应当仅限于人格尊严、人身安全等人格权益,不包括财产利益和身份权益。
《个人信息保护法》第69 条第1 款吸取了多年来域内外立法、司法实践和理论研究的成果,且具有本土特色。作为完全性法条,该条款基本沿袭了《民法典》第1165 条第2 款的规定。虽然二者规定具有明显的一致性,但是《个人信息保护法》第69 条第1 款仍有进一步解读的空间。
个人信息处理者过错的判断主要限于违法行为,而其违法行为在类型上除了形式违法行为之外,还包括违反比例原则的实质违法行为。
(1)违反规范性文件的形式违法行为
侵权法上的过错是损害责任承担的归责事由和正义性基础,一般是指行为人的主观可谴责性。过错可以分为主观过错和客观过错,主观过错直接指向行为人的主观心理状态,而客观过错则主要依赖于外界的判断标准予以界定,例如法律规定、理性人标准和社会秩序等。对个人信息处理者过错的判断,应当采取客观过错标准。较之于《民法典》关于过错推定责任的一般规定,《个人信息保护法》第69 条的过错推定责任之特别之处就在于其过错体现为对处理行为引发之法定义务的违反,原则上应依据具体规范性文件作出判断,而不应当依据理性人标准等抽象标准来界定。因为个人信息处理行为具有很强的专业性和技术性,且相关技术还在不断发展中,相关的理性人标准难以确定,如依此标准确定过错,会导致个人信息利用行为的自由边界不具有确定性。因而,个人信息处理者的过错主要应通过个人信息处理者违反法律规定义务的行为进行判断。在解释论上,将个人信息处理者过错的判断主要限于违法行为,主要有以下三方面的理由:
第一,适应较为复杂的价值冲突和利益关系。将个人信息处理者过错的判断主要限于违法行为,是价值冲突协调的结果。在《个人信息保护法》制定过程中,立法者将个人信息处理中侵害个人信息权益行为之归责原则确定为过错推定原则,主要是为了强化对受害人的保护,严格规范个人信息处理者的行为。但促进个人信息利用也是《个人信息保护法》的主要价值目标之一,与保护个人信息的价值目标一样不可偏废。虽然强化个体信息赋权和加强信息控制者责任有利于个人信息保护,但如果不控制在合理范围内,将不利于信息的合理流通,有碍于个人信息公共性价值的发挥。因此,适用者对处理者侵害个人信息权益行为过错的认定不仅要体现个人信息保护的价值取向,同时也要兼顾个人信息的公共属性,保护个人信息的合理流通,不可因过分保护个人信息而阻碍了与个人信息相关产业的发展。个人信息的保护和利用涉及方方面面的利益关系,其并不纯粹是私人之间的利益关系,还包括公权力机关和私人之间的利益关系——个人信息利用本身蕴含了多元利益冲突的关系。尤其是国家不再单纯以超然利益关系的治理者出现,它同时也是最大的个人信息收集、处理、储存和利用者。面对如此复杂的利益关系,单纯强调保护个人信息,势必会牺牲个人信息的利用价值,甚至会有损国家利益和社会公共利益。而个人信息处理者承担的法定义务及其举证责任的轻重都会在一定程度上影响相关价值冲突的协调和利益关系的平衡:一方面,个人信息处理者通过严格履行规范性文件规定义务,实现对自然人个人信息权益的保护;另一方面,如果个人信息处理者能够证明自己的处理行为不存在具体违法情形,就可以被认定没有过错、不承担责任,从而实现个人信息的利用价值。在一般情形下,个人信息保护规范性文件已经为判断个人信息处理者的行为是否构成违法行为提供明确的标准。个人信息处理者完全有能力知悉这些规范性文件的内容,并在处理个人信息的过程中就自身行为的合法性积极履行“留证”义务,以避免举证不能的不利后果。这对保护个人信息处理者利益而言,既不失之于“严”,也不失之于“宽”。因此,将个人信息处理者过错的判断主要限于违法行为并要求其承担证明责任,有利于协调个人信息保护和利用的价值冲突,对各方主体的利益衡量也是公平的。
第二,过错吸收违法行为。虽然在侵权责任构成要件上存在“三要件”和“四要件”的分歧,但是过错与违法行为之间本身就存在紧密的联系。过错在一定意义上包含着违法行为。正如学者所言,“过错能够代替违法行为这一客观要件,违法行为应包含于过错之中”。依此观点,违法行为在责任构成要件上属于过错的范畴。一般而言,个人信息处理者的违法行为是指行为的不法性。具体而言,个人信息处理者在处理个人信息过程中负有各种具体的义务,甚至要主动依据法律法规等规范性文件的规定制定明确的个人信息保护标准。如果个人信息处理者违反相关行为规范和标准,就可以认定其有过错。个人信息处理者的违法行为和过错本身在逻辑上的共通性决定了个人信息处理者过错的判断可以主要限于违法行为。需要指出的是,违法性在侵权法上不构成独立的归责原则,只是对加害行为评价的一个标准,而不是判断损害是否可以转移承担的充分基础。这也是《个人信息保护法》没有直接规定“违法处理个人信息”作为要件的原因。在侵权法上,侵权行为就是指侵害他人权益的不法行为。那种将侵害他人民事权益的行为(致他人损害的行为)原则上认定为违法的违法性判断标准过于宽泛,因为损害结果在一定意义上也是侵害权益行为的延伸。
第三,符合行为规制法的特性。将个人信息处理者过错的判断主要限于违法行为,也符合《个人信息保护法》作为行为规制法的特性。学界对《个人信息保护法》的定位存在“赋权法说”和“行为规制法说”论争。“赋权法说”认为,我国个人信息保护法进一步细化了个人信息权的主体、客体、效力、行使条件、救济手段,从而形成了以个人信息的知情权、同意权、获取权、异议更正权、拒绝权、删除权等为权能的个人信息权利体系,通过赋权更有利于保护个人信息。而“行为规制法说”认为,我国现行的法律并没有明确设立个人信息基础性权利,在个人信息权利化存在理论挑战与实践困境的情境下,有必要把重心放在实质规范个人信息处理行为上。笔者认为,《个人信息保护法》设置一系列规范体系主要在于规制个人信息处理行为,其对个人信息权益的保护也是侧重于对个人信息处理行为环节的侵权行为进行规制,因此行为规制法的定位更有利于实现对个人信息权益的直接保护,节约法律解释成本。实际上,在个人信息处理的各个环节,处理者都负有法定的作为义务,这些义务不但规范着处理者实施的处理行为,还可以避免个人信息权益侵害行为的发生。个人信息侵权可出现于个人信息处理的多个环节,损害具有普遍性、衍生性和继发性等特点。个人信息侵权中的损害与处理者在处理行为中的违法行为具有直接关系,如果处理者谨慎履行法定作为义务,损害在很大程度上是可以避免的。相反,如果处理者没有谨慎履行法定作为义务,一旦出现个人信息侵权损害,无论处理者主观上是否完全知悉法定作为义务的内容,也难以认定其不存在过错。通过推定个人信息处理者违反法定义务的行为存在过错,对个人信息侵权损害进行分担,也符合《个人信息保护法》第1 条规定的“规范个人信息处理活动”立法目的。
(2)违反比例原则的实质违法行为
个人信息处理者的违法行为在类型上除了违反合法性原则的形式违法行为之外,还包括违反比例原则的实质违法行为。《民法典》第1035 条规定,处理个人信息的,应当遵循合法、正当、必要原则。《个人信息保护法》第5 条规定,处理个人信息应当遵循合法、正当、必要和诚信原则,不得通过误导、欺诈、胁迫等方式处理个人信息。正当性原则和必要性原则对个人信息处理者的行为构成制约,也是比例原则作为权衡个人信息处理者
行为是否违法的实质标准的体现。具体而言:
第一,正当性原则。在一般情形下,个人信息处理的正当性原则就是指目的的正当性。总的来说,就是个人信息处理的目的应当符合公共利益原则和法律的正义观。目的正当性在民法上可以影响个人信息侵权的最终责任承担:如果处理者的处理目的具有充分的正当性,则具有阻却违法性的效力,甚至可能无需承担侵权责任。例如,个人信息处理者为保护自然人的生命和健康,在紧急情况下处理自然人的个人信息,即使其信息处理行为造成一定的损害,也不须承担损害赔偿责任。在实践中,个人信息处理者的目的往往具有一定的多重性。正如有学者指出,从作为数据利用变现环节的数据商业实践看,可以分为三种商业模式:一是以数据帮助宏观商业决策,即用数据帮助发掘商机并有效提升经营中的决策质量,这是数据变现的首要方式;二是以数据辅助具体商业营销,如经营者可通过特定算法将用户详细分类,并根据用户类型采用不同的营销方案,实现精准营销;三是以数据引导流量变现,即网络平台通过数据吸引用户,获得流量,从而实现营利目的。由于利用变现是数据存在的“终极意义”,也是相关利益主体最为关心的核心环节,各方主体间的利益冲突便在作为变现手段的数据商业模式中有着最为系统和全面的体现。纯粹就商业利益而言,个人信息处理者的多重目的之间也存在一定的利益权衡和选择,但与个人信息权益主体的利益最大化最为契合的目的才能被视为正当目的。需要指出的是,虽然正当性原则要求个人信息处理者的目的具有正当性,但是此种目的正当性具有相对性。在涉及个人信息处理者的多重目的的场合,要明确这些目的的层次性,不能以尽可能实现个人信息处理者的各个目的为目标,而应当以个人信息处理者和其他个人信息权益主体之间的利益平衡来判断特定目的是否具有正当性。可见,目的正当性还取决于个人信息处理者所要实现和保护的利益类型。一般而言,如果个人信息处理的主要目的是保护国家和社会公共利益,即使造成个人信息权益主体一定的损害,也很难说具有违法性,因而不能直接推定处理者存在过错。但若纯粹是为了保护商业利益,那么就不当然具有阻却违法的效力,也不能直接推定处理者没有过错,还需根据精细的利益权衡予以综合判断。
第二,必要性原则。必要性原则要求个人信息处理者应当以最小范围的目的且以最小限度的方式收集和处理个人信息,即不过度收集和处理个人信息。必要性原则是比例原则在个人信息处理中的集中体现。正如学者所言,“对于个人信息,如无必要,能不收集,则不收集;能不处理,则不处理”。必要性原则的实质就是进行利益权衡,以造成最小损害的方式实现目的。个人信息处理中往往蕴含着一定的利益冲突,此种利益冲突的协调就是实现损害最小化的结果。从过错的客观化上看,适格的处理者在处理个人信息过程中应有能力协调好相关利益冲突,尽量避免不必要的信息处理行为。若处理者本有能力避免不必要信息处理行为,但由于利益权衡上的不谨慎,造成损害结果的不必要扩大,就可以推定处理者具有过错。此时,不必要的处理行为是处理者违法的具体表现,可基于此直接推定过错。必要性原则不仅要求处理方式最小限度化,还要求处理目的限定化。有观点认为,正当性原则是一个抽象的概念,并不限于目的正当性,还包括个人信息的收集、使用应当是其开展业务所需要的,不得超出其业务能力范围开展信息收集活动。该观点扩大了个人信息处理中的正当性原则的基本内涵,与必要性原则相混淆。笔者认为,个人信息使用目的的限定化属于必要性原则的内容,而非正当化原则的范畴。在有些情形下,单纯的信息披露行为并不能直接引致人格利益的重大损失,但是超出目的范围的行为就会引起损害发生的风险。例如,在“梁雅冰与北京汇法正信科技有限公司网络侵权责任纠纷上诉案”中,法院认为,信息披露本身不一定会引起个人信息侵权损害,但是超出范围和目的的公开,可能增加被非法滥用、引发人身财产损失的风险。个人信息收集和处理目的本身具有一定的限度要求,在多个正当性目的的情形下,要求目的上的限定化属于必要性的范畴。需要指出的是,个人信息处理中的必要性原则对不同群体的具体要求不同。例如,对于未成年人而言,由于强化保护合法权益的需要,在个人信息的处理中,其中的必要性要求可能就更为严格。例如,美国早在1998 年就制定了《儿童网络隐私权保护法》,限制网站运营商通过互联网收集儿童个人信息。该法规定网站营运商负有保护儿童网络隐私和安全的责任,不经儿童父母或监护人的同意,不得收集13 岁以下儿童的个人信息。该规定实际上采取了原则上禁止,例外收集限制的方式,是个人信息处理中必要性原则的具体表现。必要性原则也追求处理手段和处理目的的均衡性,例如个人信息处理者不能滥用处理个人信息的权利或者自由。此外,比例原则与诚信原则之间具有共通的价值取向。从法理上看,权利滥用是对诚信原则之违反,如果个人信息处理者存在违反诚信原则的行为,可以认为其存在滥用权利的违法行为。在此种情形下,通过个人信息处理行为的必要性判断也能够得出过错的结论。
综上,《个人信息保护法》和《民法典》等法律一方面直接规定个人信息处理者的相关行为义务,另一方面也间接规定了自然人的权利,且这些权利对应着相关行为义务。这些行为义务就是判断个人信息处理者过错的根本依据。如果个人信息处理者的行为违反了上述义务,就可以直接推定过错。自然人因为个人信息权益受侵害存在损害的,个人信息处理者应对自己已经履行法定行为义务承担证明责任,否则应当承担损害赔偿责任。相反,如果个人信息处理者履行了法定义务,则推定其没有过错。在实践中,法律规定的个人信息处理者的相关义务可能仍过于抽象,因此,个人信息处理者有必要依据立法目的和法定义务建立严密的合法合规制度体系,针对自身的处理行为模式制定科学的个人信息保护合规机制;行业自治组织也应当依据行业特点制定个人信息保护相关的行业合规审查体系。另外,在一些情形下,个人信息处理者虽履行了法定义务,但是其行其存在过错。
损害是损害赔偿责任的必要条件,侵权法的首要功能在于填补损害,侵权若无损害,自无填补之必要。损害具有确定性和可救济性的基本特征,个人信息处理者的损害赔偿责任中的损害当然也有此特点。侵权法所救济的损害,是指受害人人身或者财产、精神的不利后果。《民法典》第1165 条第1 款明确规定了损害要件,但较之于其他一般损害形式,个人信息的损害价值难以计算和举证,这可能使立法者所要追求的强化保护个人信息权益的价值目标难以落地。因此,应当明确个人信息处理者过错推定责任的损害要件的具体范畴。
(1)损害不涵盖风险
有观点认为,个人信息损害因具有无形性、潜伏性、未知性、难以评估等特征,是否符合“确定性”标准存在疑问,应当将损害的外延扩张至风险性损害。信息暴露带来的风险升高、预防风险的支出和风险引发的焦虑是侵权造成利益差额的体现,皆可成立损害。也有类似观点认为,未来被侵害风险也是一种损害。但相反的观点认为,只有当危害后果迫在眉睫或已经产生了实际损失时,围绕民事实体权益而展开的民事责任与请求权机制方能有效发挥作用。对个人信息处理活动中侵害风险的规制及对宪法尊严法益的维护,应以公共执行机制为中心展开。笔者赞成后一种观点,损害和风险具有一定的区分,个人信息侵权的损害问题应当主要交由民法进行调整,而风险应对应当主要交由公法等规范进行调整,没有必要过分扩张侵权法的损害范围,如此也不一定能有效应对风险的规制问题。而且,个人信息侵权的损害应具有确定性,侵害个人信息权益的不利后果也应是客观存在的,尽管其损害的确定在特定情形下具有主观性,但是并不能由此否定侵害个人信息权益的损害具有确定性。可资参考佐证的是,除个人信息权益外,侵害兼有财产要素的肖像权、姓名权与商标权等人格权益的损害确定标准也没有包括应对损害风险的支出成本。究其原因在于,风险性损害本身就是一种尚未确定发生的损害,大部分情形下就应当适用预防性的侵权责任,而非赔偿责任。
(2)损害的具体形式仅限于财产损失
有观点认为,《个人信息保护法》第69 条的损害不仅包括财产损失,也包括精神损害。但笔者认为,第69 条的损害仅限于侵害个人信息权益造成的财产损失。一方面,《个人信息保护法》第69 条第2 款主要是对第1 款损失之确定标准的规定,从第2 款规定内容来看,损失仅限于财产损失。另一方面,在体系上,《个人信息保护法》第69 条第2 款与《民法典》第1182 条的规范内容保持一致,主要是规定侵害人格权益造成财产损失的计算标准,而与《民法典》第1183 条的精神损害赔偿内容是相互独立的。据此,《个人信息保护法》第69 条第1 款就是侵害人格权益造成财产损害的规定,不能包含精神损害赔偿。对个人信息处理者侵害个人信息权益造成的精神损害,依然应当适用《民法典》第1183 条第1 款确定赔偿责任。需要指出的是,个人信息侵权中的轻微或者一般的精神损害(如担忧个人信息侵权风险引发的焦虑和痛苦)也能够在《民法典》第1183 条第1 款得到保护,该条款中“严重精神损害”的判断标准不限于损害结果的严重程度,也包括保护权益的重要程度。考虑到个人信息权益是立法者特别予以保护的重要权益,对其程度判断可以适当放低要求。
在个人信息处理者过错推定责任中,因果关系要件要求个人信息处理者侵害个人信息权益的行为与自然人的财产损失之间存在引起与被引起的联系。关于因果关系的认定,我国侵权法学说和司法实践基本采取相当性的因果关系理论。具体而言,个人信息处理者的侵害行为是自然人财产损失发生的必要条件之一,而且此种行为在通常意义上足以造成损害。需要指出的是,《个人信息保护法》第69 条并没有规定因果关系推定,仍是由原告承担因果关系要件的举证责任。但是,个人信息侵权的因果关系举证具有一定的难度,因为个人信息处理行为具有很强的专业性和技术性,一般的自然人客观上没有举证能力,如果对受害人课以过重的举证责任,并不利于保护自然人的个人信息权益。因此,在明确不实行因果关系推定的前提下,为了平衡保护受害人的诉讼利益,应当降低证明标准。
笔者认为,在个人信息侵权纠纷中,对受害人应适用“高度盖然性”证明标准。只要原告能证明个人信息处理者的侵害行为造成自己财产损失具有高度可能性,并且能够使法官内心确信此种因果关系存在的,就应当由被告反向证明因果关系不存在,否则就应认定存在因果关系。需要指出的是,原告除了证明责任成立中的因果关系外,还应当证明责任范围的因果关系。例如,在个人信息侵权中,受害人的财产损失往往需要由原告予以充分证明,否则就应当严格限制将其纳入救济范围。尤其就由侵害个人信息权益行为引起的纯粹经济损失而言,更应严格限定救济范围,不能仅仅因为侵害行为是导致损失发生的条件就直接认定因果关系的成立,否则个人信息的利用价值会受到损害。虽然因果关系是一种客观事实的存在,但是其判断往往带有主观性,即其判断不仅有赖于法官的专业水平和实践经验,更有赖于当事人是否举证充分以影响法官对因果关系的认定。
五
结 语
《个人信息保护法》第69 条规定的个人信息处理者过错推定责任在价值取向上是为强化保护个人信息权益,但其实质基础在于处理者的处理行为引发的法定作为义务。对个人信息处理者的过错主要通过其违反法定义务的违法行为进行判断,包括通过其违反比例原则的违法行为进行判断。个人信息处理者过错推定责任的适用与《民法典》侵权责任编不存在体系衔接上的冲突,但在私密信息的保护中可能与“隐私权要求较强保护”和“个人信息要求较弱保护”的精神存在冲突。个人信息处理者侵害私密信息的侵权行为应当适用过错推定责任。
值得注意的是,个人信息处理者的过错推定责任不是一种普遍性的责任,在主体、行为和客体等适用范围方面具有明确的限定性,在过错、损害和因果关系等适用要件上也具有特殊性。过错是一种客观的过错,主要基于个人信息处理者的违法行为进行推定;损害主要是指财产损失,不包括精神损害;因果关系不实行举证责任倒置,但在证明标准方面应采高度盖然性标准,以实现个人信息保护和利用两项价值取向的平衡。
作者:王道发 《互联网法律评论》特约专家、中央财经大学法学院 副教授 硕士生导师
【免责声明】此文仅代表作者个人观点,与本平台无关。本平台对文中陈述、观点判断保持中立,不对所包含内容的准确性、完整性或可靠性提供任何明示或暗示的保证。