下载掌阅APP,畅读海量书库
立即打开
根据民法绝对权保护的原理,绝对权的权能既包括积极的,也包括消极的。后者主要是权利面临个人信息盗窃等行为的侵害时,信息主体通过特定方式寻求救济。在侵权法视野中,这是如何认定侵害个人信息的行为并对行为人追究责任的问题。本部分将首先界定侵害个人信息行为的内涵,再分析其构成要件及后果。探讨侵害个人信息行为的认定与后果,对权利主体在面对个人信息盗窃等行为时寻求救济具有重要意义。
按照民法学的传统理论,侵权行为是指行为人(如大数据背景下的个人信息共享者)没有合法依据和约定而实施的侵害他人(如信息主体)的合法权益并应承担不利后果的行为。在信息时代,个人信息盗窃是最为典型的侵权行为样态之一。由此,探讨个人信息权的侵权要件及责任承担方式,对于我国制约信息盗窃行为进而维护信息安全具有指导作用。
以侵害个人信息行为的部门法相关规定为分类标准,在民事领域,侵害个人信息的行为方式包括非法收集、存储、使用、加工、传输、提供、公开、买卖、泄露、篡改等;
在行政领域,侵害个人信息的行为包括非法收集、存储、使用、传播、泄露、篡改、毁损、出售、提供、窃取或以其他方法非法获取公民个人信息等;
在刑事领域,侵害个人信息的行为包括非法出售、提供、窃取或以其他方法非法获取,其中,根据“两高”《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》的相关规定,“提供公民个人信息”包括直接向特定人提供,以及通过信息网络或其他途径发布、将未经同意但合法收集的信息提供给他人,但提供经过处理而无法识别特定主体身份且不能复原的信息除外,“以其他方法非法获取”包括购买、收受、交换,以及履职或提供服务过程中的信息收集行为。
以部门法关于侵害个人信息行为的相关规定为划分标准的意义在于,一方面为信息主体在遭受他人非法侵害自身个人信息的行为后,及时向主管机关寻求法律救济提供了较为明确的法律依据;另一方面在信息控制者、信息处理者或不法分子实施违法犯罪行为之前以明确的法律条文规定予以威慑。
以侵权人的身份为标准,侵害个人信息行为可分为公权力机关侵害个人信息行为与私营机构侵害个人信息行为。例如,德国《联邦数据保护法》和我国台湾地区“个人资料保护法”都对上述两类侵害行为分别予以明确规定。这种分类的意义在于,行为人的身份不同,是国家机关还是非国家机关,决定了其对侵害个人信息行为的责任承担(包括构成要件、归责原则、免责事由、救济方式和赔偿数额)的不同。
以责任承担方式为标准,个人信息侵权行为可以分为需要承担损害赔偿责任的侵权行为和需要承担排除、停止妨害责任的侵权行为。这种分类的意义在于,可使人格权请求权与侵权损害赔偿请求权相互分离。
我国《民法典》第七编“侵权责任”及我国通行民法理论一般认为,侵权责任的构成有四个要件,包括致害行为、过错、损害事实以及致害行为和损害事实之间的因果关系。但笔者认为,上述侵权责任的构成要件仅适用于产生侵权损害赔偿责任的行为。对于侵害人格权而需要承担停止、排除妨害责任的行为,不以行为人存在过错为构成要件。个人信息权是一种独立人格权,侵害个人信息权并需要承担停止、排除妨害责任的行为的构成要件应当为:第一,权利人的个人信息权受到妨害或者有受到妨害的可能性;第二,加害人造成妨害或妨害可能性的行为违反了法律规定;第三,加害人的违法行为与妨害事实之间存在因果关系。
因此,在认定个人信息侵权行为,判断加害人是否应当承担排除、停止妨害的责任时,应当采用妨害事实、违法行为、因果关系的三要件说。上述结论也可从我国《民法典》第1035条至第1039条、《个人信息保护法》第46条和第47条规定中得出。
而在认定承担损害赔偿责任的个人信息侵权行为的构成要件时,则需要对违法行为、过错、损害事实以及致害行为和损害事实之间的因果关系进行认定。例如,欧盟1995年《个人数据保护指令》第23条规定,任何人因非法处理操作和任何违反根据本指令通过的国内法的行为而受到损害,有权向管理者要求损害赔偿。因此,对于需要承担损害赔偿责任的侵权行为,其构成要件应当采用四要件说,具体如下:
第一,个人信息致害行为。个人信息致害行为是指行为人实施的侵害信息主体个人信息权的行为。个人信息致害行为一般发生在个人信息的收集、处理和利用等环节中,包括作为和不作为两种。作为的侵权行为是指积极实施的违法行为,如非法收集、处理和利用他人个人信息;不作为的侵权行为,是指以不作为方式表现出来的侵害个人信息的行为,如信息管理者违反安全原则,未提供安全可靠的保存措施和建立相关制度等。前述问题在一些案例中已得到体现。
第二,过错。大数据背景下,个人信息盗窃等侵权行为具有隐秘性,为了减轻作为原告的权利人的举证责任负担,笔者建议对于盗窃者的过错采用过错推定原则,即在诉讼中,盗窃者应当证明自己对于个人信息被盗取的后果不存在过错,否则应推定其有过错。例如,欧盟《个人数据保护指令》第23条规定:如果管理者能够证明他不对产生损害的事件负责,可以全部或部分免除他的责任。根据具体形态,过错可分为故意与过失。前者是行为人明知其行为可能导致个人信息权被侵害而希望或放纵该结果的发生,最典型的就是盗窃信息;后者则是行为人应当预见损害结果的发生而未能预见,或者虽然预见而未能避免,如因管理不当而导致信息遭受他人盗窃。
第三,损害事实。违法行为是引起损害的主要原因,从广义上说,损害指民事主体的合法权益的任何不利状态,包括财产损失和精神损害,财产损失如个人信息被盗窃后造成的经济利益损失,精神损害如个人信息被篡改或披露后给信息主体所造成的精神痛苦。其中,财产损失又包括直接损失和间接损失,前者如个人信息被盗取导致主体有商业价值的个人信用信息丢失,后者如个人信用信息丢失所致的主体参与信贷活动受阻的损失。
第四,因果关系。在大数据背景下,盗窃行为与损害结果之间应存在因果关系。损害结果既包括如信息被盗窃、篡改,又包括信息之上的财产利益与人身利益贬损。而侵权行为构成要件中的因果关系渗透着法律的价值判断,有着明确的目的性,通常以一个普通人的理性判断为标准。譬如,个人信息被盗窃将会导致主体的精神利益受侵害,这是普通人的理性判断,因而盗窃与侵害之间是存在因果关系的。又如,部分人可能因为信息被泄露而成为网红,进而产生收益,但这并非普通人所认知的常理,因而泄露与收益之间不存在法律上的因果关系。
值得注意的是,只有当一个行为同时满足承担损害赔偿责任的四个侵权要件时,行为人才承担侵权损害赔偿责任。
行为人以盗窃个人信息等途径侵害主体权利导致主体人格权受损的,除了可能因违反民事法律规定依法应承担民事侵权责任之外,还可能因违反行政法律规定、刑事法律规定而应承担行政责任、刑事责任。
1.承担民事责任的形式
根据损害赔偿请求权与人格权请求权的不同,可以将承担民事责任的形式划分为赔偿损害以及排除、停止妨害:
第一,赔偿损害。当行为人对个人信息权主体造成损害时,应承担赔偿损害的民事责任。例如,我国《个人信息保护法》第69条第1款规定:“处理个人信息侵害个人信息权益造成损害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。”又如,我国台湾地区“电脑处理个人资料保护法”第28条规定:“非公务机关违反本法规定,致当事人权益受损害者,应负损害赔偿责任。但能证明其无故意或过失者,不在此限。”再如,我国内地《民法典》针对侵害人身权益造成财产损失或精神损害的行为规定了损害赔偿的责任。
因此,行为人侵害个人信息权造成财产损失或精神损害的,应当承担赔偿损害的责任。
在个人信息侵权损害赔偿数额上,财产损失以实际损失计算。而对于每一项侵害的赔偿总额,多数国家和地区建立了法定赔偿额制度。根据我国《个人信息保护法》第69条第2款,侵害个人信息的“损害赔偿责任按照个人因此受到的损失或者个人信息处理者因此获得的利益确定;个人因此受到的损失和个人信息处理者因此获得的利益难以确定的,根据实际情况确定赔偿数额”。我国台湾地区“个人资料保护法”第27条规定,“被害人虽非财产上之损害,亦得请求赔偿相当之金额;其名誉被侵害者,并得请求为恢复名誉之适当处分”;“前二项损害赔偿总额,以每人每一件新台币二万元以上十万元以下计算。但能证明其所受之损害额高于该金额者,不在此限”;“基于同一原因事实应对当事人负损害赔偿责任者,其合计总额以新台币二千万元为限”。需要注意的是:其一,该法确立了每人每件侵权赔偿的总额,包括财产损失和精神损害,每人每一件新台币二万元以上十万元以下计算;其二,对于同一原因事实设立了总额,其合计总额以新台币二千万元为限;其三,这个规定同时适用于非国家机关。
第二,排除、停止妨害个人信息的行为。当行为人对个人信息权主体造成妨害时,应当承担停止侵害、排除妨害、消除危险、赔礼道歉等责任,从而恢复个人信息权主体权利状态的圆满性。加害人承担损害赔偿责任主要是一种事后救济,而设置上述用以恢复个人信息权权利状态圆满的责任形式的目的,是加强对个人信息权权利主体遭受侵权的事先预防以及事中的控制。
将上述责任形式与承担损害赔偿的责任形式分离,是大陆法系国家加强人格权保护的普遍做法。
个人信息权属于人格权的一种,也应当得到相应待遇。根据我国《民法典》第995条、第1037条和第1038条的规定,行为人恢复个人信息权权利状态圆满的具体措施包括,根据权利人的请求采取更正、删除不当信息,以及及时对泄露、丢失和被篡改的信息进行补救等。
2.归责原则
个人信息侵权行为的归责原则,也应当根据行为后果和所需要承担的责任形式作相应区分。通常而言,过错是承担损害赔偿责任的要件;对于承担排除、停止妨害的责任而言,则无须对过错进行认定,因此,两种侵权责任形式所对应的归责原则也有所不同。
第一,对于损害赔偿责任而言,应当以过错推定原则作为其归责原则,但对于一些特殊情形,应以无过错责任原则为归责原则。《侵权责任法》(现已被纳入《民法典》“侵权责任”编)第6条规定的过错责任原则和过错推定没有强调“造成损害”这一后果,但是《民法典》“侵权责任”编第1165条则将“过错”与“造成损害”绑定在一起。因此,行为人在个人信息侵权中具有过错,是承担损害赔偿责任的充要条件。《个人信息保护法》第69条第1款明确采取了过错推定原则,之所以在一般情况下采取过错推定原则,是因为个人信息侵权行为具有隐秘性和技术复杂性等特征,个人信息主体往往处于技术弱势一方,对证据的收集能力不足,若要求其证明侵权者的过错,存在一定难度。因此,应当采取过错推定的归责原则,减轻个人信息主体的举证负担。而对于一些特殊情形,例如,根据《民法典》第1039条和第1226条的规定,对于国家机关及其工作人员、医疗机构及其医务人员侵害个人信息权的,归责原则应当为无过错责任原则。
第二,对于停止侵害、排除妨害、消除影响、恢复名誉、赔礼道歉等责任形式,应当采取无过错责任原则。个人信息侵权行为人承担停止侵害、排除妨害等责任形式,包括及时更正、删除不当信息,以及及时对泄露、丢失和被篡改的信息进行补救等。对于上述责任形式的归责原则,《民法典》已经作出了明确规定,即采取无过错责任原则。
但是,关于消除影响、恢复名誉、赔礼道歉等责任形式的归责原则,却存在争议。有学者认为,在一般情况下,上述责任形式的适用应当采取过错责任形式,只有在针对国家机关及其工作人员时,才应当采用过错推定原则与无过错责任原则。
也有学者认为,过错并非适用以上责任时必须考虑的要件,因此,对于上述责任形式的认定应当采取无过错责任原则。
笔者赞成第二种观点,原因有二:其一,个人信息权属于绝对权,权利人提出由被告人行使消除影响、恢复名誉、赔礼道歉等措施的目的,是为了恢复其个人信息权的圆满状态,只要损害个人信息权的事实是客观存在的,则无论被告是否具有过错,都应当承担相应的责任。其二,《民法典》第1000条第1款规定:“行为人因侵害人格权承担消除影响、恢复名誉、赔礼道歉等民事责任的,应当与行为的具体方式和造成的影响范围相当。”由此可知,承担上述民事责任,并不一定要以行为人具有主观过错为要件,过错仅作为承担上述方式的责任的程度的一个要素被考虑。综上,在适用停止侵害、排除妨害、消除影响、恢复名誉、赔礼道歉等责任形式时,应当采取无过错责任原则作为归责原则。
我国针对个人信息盗窃的行政立法规制基本形成了以《网络安全法》为中心,以《电信和互联网用户个人信息保护规定》《儿童个人信息网络保护规定》等特殊领域的个人信息盗窃监管规范为补充,以《电子商务法》《中华人民共和国国家情报法》(以下简称《情报法》)、《征信业管理条例》等规范中有关个人信息保护的条款进行完善的基本框架。具体来说,针对个人信息盗窃行为的行政责任散见于《个人信息保护法》(第61条、第63条、第66条)、《网络安全法》(第59条、第64条、第73条)、《电子商务法》(第76条、第79条、第87条)等法律,《征信业管理条例》(第26条、第33条、第38条、第43条)、《缺陷汽车产品召回管理条例》(第25条)、《居住证暂行条例》(第20条)等行政法规,以及《电信和互联网用户个人信息保护规定》(第22条、第23条、第24条)、《儿童个人信息网络保护规定》(第25条、第26条、第27条)等部门规章之中。其中,《个人信息保护法》规定了履行个人信息保护职责的部门在不同情形下的处罚权限,以及在规制违法企业的同时处罚相关责任人员,并可在一定期限内对相关企业高层人员实施禁业限制;《网络安全法》《电子商务法》规定了网络运营者、电子商务经营者等信息控制者或处理者违反信息处理行为的行政处罚,以及国家机关及其工作人员的行政责任;《征信业管理条例》规定了征信机构或者信息提供者、信息使用者侵犯信息主体个人信息相关权益的行政责任,《缺陷汽车产品召回管理条例》第25条规定了“从事缺陷汽车产品召回监督管理工作的人员”泄露当事人个人信息的行政责任;《居住证暂行条例》第20条第4项规定“国家机关及其工作人员”将履职过程中知悉的“居住证持有人个人信息出售或非法出售”的行政责任;《电信和互联网用户个人信息保护规定》第22条、第23条对电信业务经营者、互联网信息服务提供者及其工作人员提供服务过程中违反保密义务,泄露、篡改或者毁损,出售或者非法向他人提供用户个人信息的行政责任作出了规定;《儿童个人信息网络保护规定》对网络运营者违反儿童个人信息安全保障义务的行政责任作了规定。
根据前述法律法规的相关规定,个人信息盗窃行为的责任主体包括网络运营者、互联网信息服务提供者以及国家机关及其工作人员等信息控制者与信息处理者。而据上述规定,责任主体违反个人信息相关安全保障义务,应承担的行政责任类型包括警告、罚款、没收违法所得,责令暂停相关业务、停业整顿、关闭网站,吊销相关业务许可证或者吊销营业执照,行政拘留等行政处罚,以及警告等行政处分。比如,《个人信息保护法》第66条第1款规定:“违反本法规定处理个人信息,或者处理个人信息未履行本法规定的个人信息保护义务的,由履行个人信息保护职责的部门责令改正,给予警告,没收违法所得,对违法处理个人信息的应用程序,责令暂停或者终止提供服务;拒不改正的,并处一百万元以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。”《网络安全法》第59条第1款规定,网络运营者未履行网络安全保障义务,致使网络被“干扰、破坏或者未经授权的访问”或者“网络数据泄露或者被窃取、篡改”的,由有关主管部门责令改正,给予警告;同时,拒不改正或导致危害网络安全后果的,对该网络运营者及其直接负责的主管人员处以罚款。该法第64条第1款规定,若“网络运营者、网络产品或者服务提供者”违反本法对其相关义务的规定,侵害法律所保护的个人信息相关权利的,由有关主管部门责令其改正,并可根据情节严重程度单处或者并处警告、没收违法所得(若无违法所得的,则对其及直接负责的主管人员和其他直接责任人员处以罚款)、罚款;对于情节严重的情形,可处以“责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照”等行政处罚。《征信业管理条例》第38条规定,征信机构、金融信用信息基础数据库运行机构违反条例规定,有“窃取或者以其他方式非法获取信息”“采集禁止采集的个人信息或者未经同意采集个人信息”“违法提供或者出售信息”“因过失泄露信息”等行为的,应承担限期改正、罚款、没收违法所得等责任。《电信和互联网用户个人信息保护规定》第23条规定,电信业务经营者、互联网信息服务提供者未经用户同意收集、使用用户信息,收集、使用用户个人信息但未履行相应的通知义务,非提供服务所必需而超范围收集或超范围使用用户个人信息等,由电信管理机构依职权作出责令限期改正、警告、罚款等行政处罚。《中华人民共和国社会保险法》第92条、《中华人民共和国居民身份证法》(以下简称《居民身份证法》)第19条、《情报法》第31条等分别就社会保险行政部门和其他有关行政部门、人民警察、国家情报工作机构及其工作人员等泄露个人信息所要承担的行政责任作出了规定。
根据《刑法修正案(九)》关于侵犯公民个人信息罪的规定是盗窃者承担刑事责任的主要依据。构成此罪的是一般主体,没有身份限制,并且在主观上具有过错(以故意为主),客观上违反国家有关规定,盗窃或以其他方法获取个人信息、向他人出售或者提供公民个人信息,或者将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人,危害后果需要达到“情节严重”。个人信息盗窃者承担刑事责任的方式主要是有期徒刑或者拘役、并处或者单处罚金。单位犯罪的,直接负责的主管人员和其他直接责任人员承担相应处罚。此外,当个人信息盗窃行为针对的对象为与公民财产有关的账号和密码等个人信息时,则可能同时触犯盗窃罪,构成想象竞合犯,从一重罪处罚。