從身份識別到行為識別：個人信息侵權認定的路徑選擇

鄧佑文, 王文文

(浙江師范大學 法政學院，浙江 金華 321004)*

大數據時代的個人信息帶有人格利益和財產利益雙重屬性，由此也衍生出信息主體固有的人格權與信息本身所蘊含的財產利益在權利行使中的沖突。個人信息的法律保護和數據的商業利用之間的平衡成為裁判個人信息糾紛案的必要考量因素，更準確地說，目前司法實踐中個人信息的法律界定成為個人信息侵權案件判定的前提。然則由于信息的交叉雜糅性與立法的滯后性，當前個人信息的法律界定缺乏明晰的標準。第一，信息數據化處理技術的發展導致個人信息潛在范圍擴張，相應增大了法律適用的不確定性。第二，信息脫敏技術崛起增強了信息利用的道德可接受度，然脫敏后的信息也在迅速發展的大數據面前難以排除被重新識別的可能。受法律保護的個人信息邊界模糊不清，匿名化處理有效性標準與時俱進，因而對個人信息法律判定標準進行探討尤為必要。本文擬從個人信息的可識別性司法適用困境出發，探討應被納入私法保護范圍的個人信息之邊界及附于其上的權利客體，并以此為基礎，對個人信息侵權行為的認定路徑作一探討分析。

一、身份識別作為個人信息判定標準的侵權救濟困境

目前學術通說認為，個人信息相較傳統隱私權，在權利客體、權利屬性、權利內容保護方式等方面都存在明顯差異，法律對其保護應擺脫隱私權保護模式，以私權保護為中心，建構獨立的權利或法益保護秩序。[1]比較法中，個人信息的侵權救濟也存在不同路徑。

圖1 個人信息侵權救濟比較法路徑

如上圖1所示，雖然各國在面對個人信息侵權糾紛時救濟思路不一，但均以權益損害為判斷侵權的邏輯起點。程嘯先生認為,判斷行為是否侵權，可參考圖2所示的思維過程，[2]215只有當行為造成權益侵害時才能啟動侵權救濟模式。

圖2 權益被侵害與損害的關系示意圖

認定個人信息(又稱個人數據，個人資料)①法律保護邊界的國際通行做法是“以身份識別為標準”，②其定義一般包含身份可識別性、載體、內容(包括客觀事實和主觀評價)三大要素。[3]其中身份可識別性是個人信息最重要的要件，包括能夠被直接或間接識別兩種情形，后者具體體現為通過參照姓名、定位等數據標識，或基因、經濟收入等身份要素來定位到個人。[4]這一標準也得到我國的立法及學術界的認同，王利明、[5]張新寶、[6]周漢華、[7]蔣坡、[8]齊愛民[9]等學者均采取了“識別性”個人信息定義。還有學者認為，個人信息的關鍵特征在于識別或能識別到具體自然人。[10]

然而依賴傳統路徑裁斷個人信息侵權糾紛常面臨權利界定不明的困境。我國個人信息的定義采用“一般定義+典例事項+例示規定”的樣式，③這是基于大數據時代豐富的信息類型難以列舉窮盡之考慮，但也產生了例示規定如何解釋的問題。現實中，在個人日常生活中頻繁出現的IP地址、cookies、人群標簽等個人信息衍生品與傳統個人信息差異明顯，其是否屬法律保護范疇并不能作當然解釋。[11]這一方面源于例示規定解釋本身的難度，同時也反映出“一般定義”中構成要素的適用之困難。可識別性作為個人信息認定的關鍵要素，在目前我國司法適用中遭遇瓶頸，如百度網訊與朱燁隱私權糾紛一案。④一審法院以信息自決為法理，認定百度非經信息主體明確同意收集、利用他人信息的行為構成侵犯隱私權。但二審法院在事實認定相同的前提下，認為cookie記錄信息因無法確定信息歸屬主體而“不具身份可識別性”，百度網訊為個性化推薦服務而收集和推送信息的終端是瀏覽器，不存在定向識別網絡用戶身份的行為，“故百度網訊公司的個性化推薦行為屬于正當商業行為”。百度未經用戶知情和明示同意，即利用cookie記錄跟蹤用戶上網蹤跡，并以此進行精準廣告投放，導致信息主體“感到恐懼，精神高度緊張，影響了正常的工作和生活”，確實侵擾了信息主體的日常生活，且不談這種信息收集是否真的不具可識別性，該類行為僅因商業主體收集到的個人信息不具可識別性而不被法律規制的認定又是否合乎法意及情理？若可識別性作為個人信息法律認定標準尚有欠缺，法律對個人信息的保護又該以何為界？個人信息侵權糾紛認定標準又該如何？

二、身份識別標準失效的原因剖析

身份識別標準的制度功能有三：一是為司法侵權認定提供相對精確的標準；二是保護潛在的信息財產利益；三是保證不涉私人領域的其他信息符合社會發展的流通。[12]但實踐中個人信息身份識別標準卻受到沖擊，主要原因有司法認定中個人信息可識別標準界限模糊、身份識別標準無法涵蓋所有信息侵權行為兩個方面。

(一)可識別性標準界限模糊

個人信息識別判斷標準分“主觀說”“客觀說”“任一主體說”三類。“主觀說”以信息利用主體的主觀要素判斷識別可能性；[13]“客觀說”從與案件無涉的普通人角度認定識別可能性；[14]“任一主體說”標準最高，認為只要社會任意主體可識別即具識別的可能性。[15]三類標準在實踐中均有反映，折射出可識別性標準適用的不確定性。

第一，可識別性因信息整合技術的發展而動態變化，這否定了“主觀說”的合理性。大數據時代，信息的收集和匹配成本越來越低，個人信息之上夾攜的身份資料及財產利益驅動了多方主體對其的利用，而信息主體也往往在毫不知情的狀態下被政府、商業主體等輕易獲知生活中的瑣碎信息。除此，諸多在一般普通人眼中并無價值的個人信息，也可以被他人利用來識別信息主體身份，進而侵擾我們的私域空間或其他利益。大數據整合技術往往帶來1+1>2的效用，孤立的個人信息經提取整合，可形成詳細準確的整體信息，從而可達到與特定個人匹配的程度。這些系統性的整體信息蘊含著巨大的潛在財產價值，同時也承載著分散主體的人格利益，這類數據一旦被泄露擴散，任何人的私人空間都將不會安寧，普通住宅賦予個人的私密空間將被整合數據吞噬。更甚者，現期不具識別性的零散信息可能會被更先進的信息整合技術演變成為可準確定位個人的數據，進而將個人變為代碼一般的存在。正如學者所言，識別與非識別間存在著在某一時刻相互轉化的風險。[16]日新月異的信息技術幾乎使普通人“無私可隱”，可識別性的判斷難度只增不減。

第二，不同群體可識別性界限不一，這否定了“客觀說”的合理性。隱私法的功能其實是在“界定社群的本質和邊界”，[17]夾攜著個人身份特征的信息也具有這樣的效果。不同領域、不同群體的識別性因社會實踐和利益結構存在差異。信息控制者相較普通個人有輕易識別信息主體的能力。如龐理鵬與北京趣拿信息技術有限公司之間發生的隱私權糾紛案中[(2017)京01民終509號]，龐理鵬的姓名與個人隱私并無絕對聯系，但航空公司將其與個人行程信息整合，便可定位當事人行蹤，構成在當事人未知情況下對其私域的侵擾。不同主體識別能力的相對性使得可識別性界限模糊，這也是“客觀說”遭受批評的原因。

第三，“身份”的法律保護價值有待商榷，這否定了“任一主體說”的合理性。身份再識別技術的發展使得幾乎任何信息都可以用來識別個人身份，具有身份可識別性。故而有學者認為，這一發展體現了“識別性”定義的不妥之處。[18]如果法律把所有身份可識別信息都納入保護范圍，不僅會加重訴訟負擔，也可能阻礙信息產業發展，限制個人信息之上所攜帶的財產利益的發揮，同時容易導致權利濫用，最終限制信息自由流通。[19]但個人信息法旨在保護人，而非信息本身。[20]法律保護對象和行為侵權是兩件事，應當予以區分。因此可識別性作為個人信息的核心要素并無任何不當之處，但其并不能成為判定受法律保護個人信息的唯一特性，也不應當成為必要構成要素。

(二)存在無涉身份識別的信息侵擾行為

有學者從侵害類型角度對新型信息侵害行為進行歸類，認為目前存在“數據泄露、導致或促成下游犯罪發生、社會分選和歧視、數據監控下的不安與自我審查、消費操縱和關系控制”五類應當被現行侵權法規認可的新侵權類型。[21]其中諸多行為并不需涉及身份識別便能對信息主體造成侵害。根據《民法總則》第111條規定，個人信息侵權行為包括非法收集、使用、加工、傳輸、買賣、提供或者公開他人個人信息等行為，這是站在信息使用者角度對侵權行為的認定，若轉換到對信息主體人格權益和財產權益的侵害角度，則可分為信息披露、信息侵擾兩類行為。其中信息披露正因為個人信息攜帶身份識別功能，才能對信息主體造成利益損害。但信息侵擾行為不一定能直接識別到具體個人。普羅瑟認為，“侵擾行為是對他人事務形成干擾，并且讓他人在合理程度上感到冒犯或者心生反感的行為”。[22]如Katz v．United States案中，行為人的竊聽行為，雖并不知悉監控對象的私人信息，也沒有侵入受害人物理空間，但同樣構成對他人隱私的侵害。再如上文提及的朱燁案，百度未經用戶明示同意，即利用cookie技術獲取用戶上網信息，并在數據分析后進行有目的的廣告投放，其行為實際侵擾了用戶的個人私域，對用戶的精神健康有一定的傷害。但二審認為，百度網訊并未對cookie信息進行實質性身份識別，無需承擔隱私侵權責任。顯然本案中，出于對信息實踐價值的考慮，法官限制了個人信息法律保護范圍，但這種司法手段顯然存在助長網絡服務商對有潛在商業價值的個人信息放肆利用之患虞，畢竟商業主體只需在形式上對數據進行脫敏處理，即可合法使用交易數據。由此，身份識別標準在本案中阻礙了受害者的法律救濟。

既然司法實踐中身份識別標準的價值被高估，那法官在審理侵擾行為時，又該采取何種標準或路徑對被侵擾主體的利益予以救濟？英國司法實踐基于訴因理論對個人信息侵權裁判采用兩階層分析框架：首先判斷信息是否符合合理權利期待等法律保護目的，其次基于個案事實進行利益衡量。[23]該分析框架對我國司法實踐有借鑒意義，即若侵擾行為所含個人信息在具備身份識別風險時，法官可考慮侵擾行為本身，而非糾結信息主體是否能被識別。當然這一路徑應建立在個人信息權利保護客體的重新認識上。

三、個人信息法律保護客體的合理界定

根據《民法總則》第111條相關規定，自然人的個人信息均受民法保護。此種規定看似擴大了權利范圍，實則因信息眾多，權利邊界不清，導致無法為他人行為劃定禁區。[24]這主要源于我國學術界將權利客體與權利對象混同之故。學術主流將哲學上的“客體”移植于法學領域，混淆權利客體與權利對象，難以為個人信息商業價值發揮與法律保護提供自洽的理論解釋。[25]因此，理論上應將個人信息權利客體從權利對象(載體)中剝離出來，予以更規范的法律表達。

(一)剝離：個人信息權利客體與權利對象的區分

目前關于權利客體與權利對象的認識有“同一說”與“分層說”之區分。“分層說”認為存在不同層級的權利客體，即支配權或利用權的標的、可經法律行為處分的標的及其他可被整體處分的某財產權利。[26]“分層說”將權利客體視為權利或法律關系，與權利對象并不一致。“同一說”認為“權利以有形或無形之社會利益為內容或目的，為此內容或目的之成立所必要之一定對象，為權利之客體”。[27]在個人信息保護問題上，我國學術界普遍認同“同一說”的觀點，有諸如“法律保護具有價值的個人信息”、[28]“與人格尊嚴相關”的個人信息方受人格權保護、[29]“個人不良信息不受法律保護”[30]等多種觀點。無論采取哪種界定方式，個人信息法律保護范圍的邊界都顯模糊。霍菲爾德曾指出，如何正確分析利益的內在本質阻礙了許多具體法律問題的解決，而利益本質的探索需要依賴法律概念的厘清，此工作的前提是區分純法律關系(purely legal relations)和引起該關系的物質與精神事實(physical and mental facts)。[31]顯然這一區分劃清了權利客體與權利對象的界限。

權利通常附著在某種事物上，可能是一棟房子(物)、一個舉動(行為)、一本著作(知識產權)，亦或者是一種權利，如股份質押，該法律關系中存在雙重權利載體與權利客體，同時第二重權利載體是第一重權利客體，也即，股票作為可視化的物，是股權的權利載體，而股權作為一種權利，又承載著“權利質押”這一特殊的權利客體(如圖3所示)。再如某些人格利益，人格利益的權利載體不能一概而論，可以是可具象化的事物，如隱私、姓名、肖像；也可以是一種行為，如個人信息自決行為、信息自由利用行為等；也可以是某種權利，如公眾人物利用名譽賺取財產利益，財產利益便附著于名譽權這一人格利益上。顯然權利對象皆是可具象事物，但權利客體卻是具象事物背后的利益。實踐中常將權利載體(權利對象)如肖像視為肖像權的客體，顯然肖像與肖像權所承載的利益并不是同一事物。將權利客體與權利載體混同的做法，無論在邏輯上或在實踐中均不成立。事實上，哲學上的客體只是法學領域中存在具體外延的“權利對象”，法學上與權利主體相對應的客體只能是抽象范疇的“民事利益”。

圖3 股權質押中雙重權利載體與客體圖示

司法認定沒有明確標準來界定應受法律保護的個人信息，因此筆者建議拋卻拘泥于個人信息本身的思考，在司法實踐中界分權利保護客體與權利載體，對個人信息法律體系保護的實質利益進行探討。權利保護范圍的寬廣性與保護要件設定的嚴格程度，是可以分離也應當分離的兩個問題。[21]個人信息與人格利益密切相關，不應該以內容的優劣而改變信息屬性，且內容的優劣具有相對性，不足以排除法律對其的保護。另外，我國民法總則第111條在措辭上使用個人信息而非“個人信息權”，一方面是由于權利客體與對象混同所致，另一方面也是基于個人信息界定困難的考慮。由此，個人信息作為權利對象應被統一納入私法保護，但在侵權認定中，權利客體的明確界定才是司法裁斷的重點。

個人信息中存在以人格尊嚴與人身自由為內容的人格利益與基于人格利益及商業利用衍生出的財產利益雙重權利客體，且有直接利益與間接利益之分，具體在法律保護順位上，有學者認為，信息自主(信息主體的自決權)與信息自由(商業主體的合理利用權)處于相同權利位階，只是在立法技術和內容規定上存在調和空間。[32]筆者認為，雖然兩種法益處于相同位階，但因權利保護價值存在高低，個案需要利益衡平以明晰權利保護邊界。基于個人信息人格利益的原生性，法律保護應當首先關注信息背后的人，其次再考量必要的商業利用。

(二)表達：法律應保護個人信息背后的“人”

1.個人信息保護的價值基礎：以人為目的

針對個人信息的保護，各國法律有不同的價值取向。如圖1所示，美國在實用主義的指導下，將個人信息納入隱私權框架予以保護，并區分出側重消極保護的個人隱私和注重積極控制的個人信息，從而建立了個人信息控制理論。[11]德國在本體主義思想影響下，形成了“領域理論”，即通過劃分“同心圓”，將個體人格的活動領域區分為“隱秘領域”“秘密領域”和“個人領域”，三個領域因與“人之尊嚴”的關系遠近而在法律上表現為不同保護層級。[33]隨后司法實踐表明，個人對于自身信息并不享有絕對的不受限制的支配權，因此在該理論揚棄的同時，發展出了自我表現理論，認為具有社會屬性的個人日常生活在人際交往的互動場景中，享有對自身個人信息加以合理利用進而掌控自我表現的利益。進而，通過“人口普查案”，德國聯邦憲法法院確立以“信息自決權”為核心的個人信息保護法律體系。由此，兩大法系在個人信息法律保護價值基礎上趨于一致，即在表達信息主體人格自由的前提下應當對個人信息予以節制化利用。[33]

信息自主與信息自由是個人信息法律保護的兩大權利內容。⑤通過自我角色、自我行為、自我信息的決定，個人在社會交往中成為獨立的個體，這是人格尊嚴的體現，也是個人信息法律保護的價值基礎。因此法律保護個人信息首先應當關注個人信息背后的人。

2.個人信息保護的必要延伸：以財產利益為補充

有學者認為，個人信息保護法保護的只是相較民法具體化了的人格權。[34]此觀點對個人信息保護范圍理解得過窄了，財產性權利是個人信息法不容忽視的保護目的之一。以實例說明，在因企業信息失真致商業機會喪失的案件中，請求權基礎常被描述為名譽權⑥或人格權⑦侵權，法院雖支持當事人的主張，卻忽略了個人信息存在的價值及其背后蘊含的利益本質：第一，信息錯誤何以構成人格權侵害；第二，損害賠償范圍是否包含純粹經濟損失；第三，因對人格利益的損害而導致的商業機會等財產利益的喪失是否屬于人格權的保護范圍？可以說該類判決并非說理透徹明晰的法律裁斷。事實上，企業的信用信息中包含著商業機會，在市場環境下，企業存在依靠良好的信用獲得商業利潤的合理期待，信用信息的失真剝奪了企業的這一機會，因此信用信息中蘊含的財產利益應當進入法律保護視野。所以，法律保護個人信息時，除信息背后的人格利益外，其包含的財產利益或潛在財產價值也應當被重視。

(三)范疇：個人信息法律保護客體的應然邊界

既然個人信息有人格和財產雙重利益屬性，個人信息法律保護客體也應該考慮兩方面內容。首先，個人信息保護并非單純的人格利益，因此濫觴于德國的個人信息自決權理論并不能完全滿足個人信息在大數據時代的應用功能。一則將個人信息作為客體排他性地歸屬于信息主體的做法，無法為信息主體以外的人劃定義務范圍；二則信息的流通與商業利用可能會因信息利用者行為受限而受阻礙。其次，個人信息的關聯性判定應當作為個人信息侵權認定前置程序。上文述及司法實踐中身份識別標準適用出現困境，但必須說明的是，個人信息正是因為與自然人有所關聯才會攜帶人格利益及潛在商業價值，因此，個人信息與信息主體的關聯性應當成為代替“可識別性”的標準。這并不是說但凡與信息主體有所關聯的信息，皆應納入法律保護范圍，而是指關聯性應作為個人信息侵權行為判定的前置程序，尋找被侵犯之客體。由此便能避免朱燁案中因未能識別信息主體身份而使不法行為人規避法律懲罰的情形。

法律應當防范因個人信息不當使用產生的抽象危險而非事后予以制裁，因為對信息主體而言，該類危險會產生其人格和財產權利受損的不安。德國學者克里普曾指出，個人數據法當保護如下利益：知悉個人信息被處理的利益、個人信息正確和完整的利益、個人信息處理須符合特定目的的利益以及隱私利益等。[35]這一觀點可為如今立法及司法實踐提供參考。

第一，自決或知悉個人信息被處理的利益。該項法益在個人信息自決權的基礎上平衡了商業利用中所涉的公共利益與個人利益的沖突，是其他法益展開的前提。個人信息作為個人代碼在日常交流中被銘記，這是個人存在價值的體現，只有自我才能決定自身代碼的用途。當然這種自決權益在距離信息主體人格過遠時，便應當賦予信息主體知悉權。只有信息自主，信息主體方能干涉信息違法處理行為，維護自身權益之圓滿程度，并在受損時主張損害賠償。

第二，個人信息正確和完整的利益。個人信息將個人存在這一抽象概念具象化，信息表述了個人與社會的交互影響，從而也使個人的社會屬性得以展示。正如霍菲爾德曾言，不是合同產生了債，而是社會造就了債。人是社會性動物，個人信息的正確性和完整性利益應當予以積極保護，從而保證由信息衍生出的潛在財產利益。為此信息主體擁有如更正、封鎖、刪除個人(不恰當)信息等系列請求權。

第三，信息處理須符合特定目的的利益。信息的首次公開應由信息主體自我決定，此時信息收集工作服務于某一特定目的，同時也限定了該信息日后利用的目的。此外，根據目的限制原則，個人信息的傳遞原則上受到了禁止，若作他用，則需信息主體重新決定或知悉用途。

第四，隱私利益。相較普通個人信息，敏感性信息應當更強調對其保護而非利用，如此才能協調個人信息侵權法律關系中的利益衡量格局，最終實現利益平衡。[36]在法律保護方面，對普通信息而言，信息主體的以上三項權益可基本控制個人信息被濫用的抽象危險。但隱私信息與個人生活緊密相關，賦予個人必要的隱私空間是民事主體應有的權利，故應對隱私信息予以更嚴格保護。具體如我國《侵權責任法》第62條及臺灣地區《個人資料保護法》第6條，均將涉私信息單獨進行規定，且禁止流通，體現了法律對其進行嚴格保護的價值取向。⑧

四、從身份識別到行為識別的轉換

個人信息保護旨在保護人，而非信息本身。因此，在個人信息侵權行為判定中，應關注的也是個人信息之上的人格利益與財產利益而非個人信息本身。在個人信息侵權判定中，司法實踐應實現從身份識別向行為識別的轉換，關注個人信息侵權行為本身，而非涉案個人信息能否實質識別到具體個人。

(一)確立個人信息侵權責任的歸責原則：多元歸責

縱觀對個人信息進行專門立法保護的各國規定，個人信息侵權歸責原則經歷了由“無過錯原則”⑨到“多元歸責原則”⑩的過渡。我國臺灣地區在歸責原則方面的立法規定(如圖4所示)，很大程度上與中國大陸法律關于個人信息保護的精神相一致，因而值得借鑒。

圖4 我國臺灣地區《個人數據保護法》侵權損害賠償規則

1.公務機關侵害個人信息應承擔無過錯責任

有學者指出，確立無過錯責任原則的預期目標在于，“切實保護人民群眾人身、財產的安全，促使從事高度危險業務和危險行為等的行為人盡力保障周圍人員、環境安全；一旦造成損害，能迅速及時的查清事實，盡快賠償；使無辜的損害由國家和社會合理負擔”。[37]信息的合理利用與流通，對公共部門而言，有利于提高決策水平與行政效率，進而促進社會公共利益，這是公務機關必須利用個人信息的原因，也是個人信息自決權益讓位于公權力行為的原因。但其人格權屬性決定了公務機關的數據使用不可避免地會產生侵擾信息主體的行為。無過錯責任原則的基本理念“不在于對具有反社會性行為之制裁”，“乃是在于對不幸損害之合理分配”，[38]以實現分配正義。此項特征恰好滿足公務機關對個人信息進行利用的初衷，同時也能最大限度地規范公權力機關的行為。因此，公務機關侵害個人信息的行為應當適用無過錯責任歸責原則。

2.非公務機關侵害個人信息應承擔推定的過錯責任

王澤鑒教授認為，過錯責任的社會價值在于法律必須調和“個人自由”與“社會安全”兩個進步價值。[39]在個人信息侵權的法律關系中，商業主體利用個人數據這一社會資源的自由與信息主體享有信息支配自由之間處于對立失衡狀態，欲使其恢復平衡，法律需設定相應的利益配置平衡器。法律欲劃定社會成員自由行為的邊界，只能責令行為人因過錯擔責，而非責令行為人對己行為造成的一切后果承擔責任，否則缺乏創造性與能動性的行為規則終將危及社會公共利益。[40]以過錯作為侵權行為人承擔責任的標準，可從主觀和客觀兩方面對失衡的法律關系予以調節。

此外需要注意的是，個人信息侵權關系中，信息利用者往往具有相當的隱蔽性，侵權行為與損害結果間可能存在一定的時空跨度，這些客觀因素直接增加了信息主體的舉證成本。對比信息控制人對信息的利用過程，其行為遵循一定的程序，且大數據技術的處理痕跡會存在相應的記錄，因此商業主體對“不存在過錯”的舉證成本負擔較輕。根據成本收益理論，采用過錯推定形式對行為進行認定可使當事人之間的利益分配更加合理均衡。

(二)明確個人信息侵權表現形態：行為歸類

如上所述，個人信息法律保護客體可分為信息自決、保持信息正確完整、信息處理合目的、隱私利益四類法益。從侵權者角度而言，表現為個人信息收集、利用、整合、儲存、遺失等過程中對四類法益的侵害。

第一，個人信息收集中的侵權行為。個人信息代表著自然人在社會中存在的印記，信息的收集當經信息主體的自主意識決定，反之皆可構成對個人信息上附著的法益的侵害，如未經同意、超越收集目的、違法收集等行為。另外，商業主體常以格式條款抗辯稱已獲得信息主體的默示同意。針對該類行為，筆者認為默示同意規則要么用于積極行為外示后的推定，要么用于法律特別規定，因此以格式條款形式推定信息主體默示同意收集行為的前提是，信息主體存在明確的信息被收集表示。故而司法實踐應依照格式條款應用的有關規定，對侵權行為人設置格式條款的注意義務進行審查，進而判定收集行為有無違反信息主體意思自治，最后認定收集行為的法律效果。

第二，個人信息利用中的侵權行為。刑法中個人信息的利用表現為非法出售和非法獲取兩類行為，故信息買賣行為當納入民事侵權行為范疇。除此，利用個人信息進行定向侵擾、智能應用讀取收集存儲內容對用戶進行個性化推薦、廣告推銷商收集個人信息進行定向推銷等行為，均屬個人信息利用中的侵權行為。

第三，個人信息整合中的侵權行為。大數據技術的運用使碎片化的個人信息經加工、處理、分析后成為特定個體的圖譜，該類行為在傳統個人信息法律保護研究中未受重視，但現實中，商業主體利用數據整合準確定位到具體個人的想象變成現實，諸如人肉搜索、定點推銷等行為的頻繁發生。科技帶來的侵權行為當受法律重視。再者，通過對特定群體的個人信息進行整合可形成規模及功能均龐大的數據庫，借助足夠智能的程序設計，微不足道的信息經整合便可發展成為潛在商機。如分析特定人的交易記錄，判斷其交易偏好，以此達到有效的廣告推廣。值得關注的是，這一過程中被分析者可能在某場域成為“透明人”，從而可能對該群體的個人生活造成潛在威脅。

第四，個人信息存儲中的侵權行為。個人信息經收集后必儲于相應媒介，若其保存期限、使用目的、管理責任等不明確，一旦出現隱私信息利用或泄露,可能會對信息主體個人生活帶來極大困擾。如門戶網站上個人信息的更新、更正、遺忘等行為，均可能對信息主體帶來人格或財產上的侵損。再如政府機構、航空公司、學校、醫院等服務部門，因工作需要存儲的個人信息，若其管理不規范，則很可能對信息主體個人形象或私人生活存在侵擾隱患。

第五，個人信息遺失中的侵權行為。包括個人信息自然遺失和非法竊取兩類。第一類指個人信息控制者因不當管理而致遺失，此類行為并不直接損害個人信息主體，但事后經某些人有意的信息整合，對信息主體而言同樣存在侵損隱患。第二類非法竊取行為，如木馬程序植入、微型監控等,這些行為違背了個人信息主體意愿，而且后續往往會造成較為惡劣的信息主體財產或人格利益的侵損結果。

(三)明晰個人信息侵權的認定標準：行為識別

個人信息侵權糾紛中，身份識別要素的重要性被高估，只要涉案信息與特定人之間有關聯，考慮到對信息主體的潛在精神威脅，就應當認定為法律所保護的個人信息。但法律保護與承擔責任顯然不是等價命題。侵權責任的判定應把握侵權責任構成要件，其不僅是侵權責任有機構成的基本要素，也是判斷侵權人是否擔責的根據。[41]個人信息侵權的行為識別存在以下幾種認定模式。

第一，存在個人信息侵權行為。侵權行為通常表現為個人信息收集、利用、整合、儲存、遺失等過程中對四類法益的侵害。個人信息法律保護應關注信息背后的人，具體體現為對人格利益和財產利益的保護。因此在判定行為性質時，關注點依舊在權益的侵害。需要注意的是，個人信息之上的人格利益與財產利益有時會出現沖突，此時利益的衡平應從個案出發，在不對信息主體形成實質性損害的前提下最大可能保護信息的流通。

第二，造成損害結果。侵權損害事實由民事權利被侵害和利益受損兩方面要素構成。民事權利決定侵權行為的范圍和性質，確定的利益損害決定侵權責任的成立及賠償范圍。[42]對個人信息上人格要素與財產要素的損害，可能導致其承載的權益的三種損害：直接人格利益損害(身份信息中包含的個人自由及尊嚴等價值)、精神創傷及痛苦(因信息侵權造成的間接精神傷害)、財產利益的損失(包括信息內含的財產價值等)。司法實踐中精神利益的侵損證明相對困難，因為個人信息的不當利用往往給信息主體帶來不同程度的精神擔憂或者對生活環境造成困擾，而受害人身體上的實質損害很難在法律上舉證證明。面對這一司法困境，英美侵權法中的自身可訴侵權制度可提供突破思路。

自身可訴侵權中，受害人的舉證義務僅限于向法院證明被告的侵權行為存在，至于損害之有無與程度的證明并不是原告的義務。[43]在個人信息侵權糾紛中引入這一訴訟機制可避免被害人舉證不能的困境，也可根據侵權行為性質判定損失，最大限度地維護信息主體的利益。此外，既然侵犯個人信息權可能造成多重損害事實,受害人因此也可以享有數個賠償請求權。

第三，因果關系認定。一般財產利益的直接損失，較易被證明其與侵權行為之間的關系，而侵權行為與人格利益的損害、與間接財產利益的損害，則需要用相當因果關系理論和法規目的說予以補充認定。

相當因果關系說強調的是一個普通人對損害結果一般程度的可預見性，[2]238“其情事對于結果為不可缺之條件，一般的有發生同種結果之可能者，其條件與其結果為有相當因果關系”。[44]這也意味著，法院應按照侵權行為發生時的一般社會經驗為判斷標準，若此行為可能且客觀地引起了該損害后果，那么兩者之間存在因果關系。例如龐理鵬與北京趣拿隱私權糾紛案中，信息公司數據庫中儲存有客戶的個人信息，其聲稱已對數據庫采取一定安全保障措施，用戶數據泄露蓋由黑客入侵所致。若此說法成立，黑客入侵與客戶個人信息的泄露之間固然存在因果關系，而考量經營者的行為，保密系統并未達到足夠安全標準，其不作為或作為程度不夠的行為與數據泄露有因果關系；若此說法不成立，數據庫保密措施足夠完備，則數據泄露只能由信息公司內部人員泄露，這便是直接因果關系。無論案情屬哪種假設，趣拿公司的行為均使信息主體暴露于信息泄露的危險之下，理當承擔責任。

相當因果關系說雖然可有效認定行為的侵權性質，但法官可能會因同情受害者而致因果關系鏈條認定過長。由此，Ernst Rabet教授提出法規目的說，認為侵權行為所生賠償責任當探究侵權法規之目的。[45]如信息主體因個人信息不當利用產生精神痛苦的情形，在相當因果關系立場上，被害人的精神痛苦很難被歸類為行為人可預見結果之列。但探究法意，精神侵損確屬法規保護目的之列。于是，法規目的說能夠彌補相當因果關系說難以解決的特定侵害發生的賠償問題。

第四，行為人存在主觀過錯。過錯是主觀心理狀態的評價，只有通過行為外現，才有被法律評價與非難的可能。[46]個人信息侵權中，公務機關的侵權行為采取無過錯責任歸責原則，故此處只針對非公務機關個人信息侵權行為。侵權人的主觀過錯分為兩類：故意與過失，兩者均強調認識和意愿兩大要素的存在。就故意而言，是行為人明知后果而執意為之的行為，如行為人明知超越收集目的而決意對個人信息加以利用或披露等行為，其主觀過錯溢于行為之外，容易斷定。司法難點在于對過失的判定。現代侵權法以補償和預防為基本功能，[2]266侵權人發生侵權行為時雖未明確預知后果，但其行為性質足夠惡劣時，亦須對其予以規制，如此便產生過失這一心理狀態的認定問題，要求行為人同時存在預見之可能及可回避之性質。實踐中通常采取善良管理人標準進行行為過失判定，即從主觀過失標準轉向客觀過失判定，以理性人在同樣時空下應當達到的注意程度而非行為人主觀預見程度來判斷有無過失。[47]在個人信息侵權判定中同樣可采取這一原則，但需特別注意的是，雖然個人信息侵權屬于民事行為，但通常信息利用主體與信息主體間的地位并不實質平等，因此在司法裁斷中賦予一方主體一定的限制是必要的。如可依據職業人員的一般認知水準、行為的危險程度、預防損害的成本高低等要素來對個人信息侵權法律關系的主體予以利益平衡。王利明先生提出的以“中等偏上”的理性注意標準對信息流轉中的行為予以規范便是利益衡平后的結論。[48]

結 語

司法實踐中個人信息的法律界定是個人信息侵權案件判定的前提。現代技術的快速發展與立法的滯后性導致了個人信息的界定缺乏明晰的標準，大數據時代個人信息的潛在范圍無限擴張，法律適用面臨極大的不確定性，因此以身份識別為中心的個人信息范圍界定標準面臨司法適用困境。個人信息受法律保護源于其上附著的人格利益與財產利益，司法實踐應區分權利保護客體和權利保護對象，更應關注法益而非個人信息本身，從而實現個人信息侵權裁斷中從身份識別向行為識別的轉換，有效解決某些信息侵擾行為被排除法律救濟范圍、個人信息潛在范圍過大導致的法律適用難的司法困境。當然，信息保護與信息利用之間存在天然張力，需要法官在個案中以利益衡量，這是另一司法難題，需要將來進一步探討。

注釋：

①一般認為信息是數據反映的內容，數據是信息的表現形式，兩者區別在于數據可以計量而信息不能，因此個人數據、個人信息、個人資料等概念的區別，僅在表述角度或翻譯差別，在本文中具有同樣法律含義。參見齊愛民：《中國信息立法研究》，武漢大學出版社2009年版，第74頁。

②具體如歐盟《一般數據保護條例》(GDPR)第4.1條規定，“個人數據是指與一個已被識別或者可識別的自然人(數據主體)相連的任何信息”；美國加州《消費者隱私權法案》規定，個人數據指處于受管轄實體控制之下的，通過合法方式無法被公眾獲取的，且鏈接到或切實可由受管轄實體鏈接到特定個人的，包括個人相關常用設備的任何數據；同樣的，中國香港法例第486章《個人資料保護法》第2條第1項規定，個人資料指下列任何資料：(a)直接或間接與一名生者有關的；(b)可從該資料直接或間接地查明某人身份的；(c)該等資料的存在形式是可予以查閱及處理的。可見，對個人信息的認定通常與身份識別緊密相關。

③中國國家標準(GB/T 35273—2017)規定，個人信息(personal information)，指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別自然人個人身份或者反映特定自然人活動情況的各種信息。(個人信息包括姓名、出生日期、身份證件號碼、個人生物識別信息、住址、通信通訊聯系方式、通信記錄和內容、賬號密碼、財產信息、征信信息、行蹤軌跡、住宿信息、健康生理信息、交易信息等。)

④參見北京百度網訊科技公司與朱燁隱私權糾紛案,(2014)寧民終字第5028號。二審法院認為，網絡用戶通過使用搜索引擎形成的檢索關鍵詞記錄，雖然反映了網絡用戶的網絡活動軌跡及上網偏好，具有隱私屬性，但這種網絡活動軌跡及上網偏好一旦與網絡用戶身份相分離，便無法確定具體的信息歸屬主體，不再屬于個人信息范疇。

⑤奧平康弘：《知情權》，巖波書店1981年版，第384-385頁，轉引自周漢華：《中華人民共和國個人信息保護法(專家建議稿)及立法研究報告》，法律出版社2006年版，第48頁。

⑥參考石建軍與中國工商銀行股份有限公司黃山城建支行、中國人民銀行征信中心名譽權糾紛案，(2014)黃中法民一終字第00285號；周桂英與中國農業銀行股份有限公司羅山縣支行名譽權糾紛案，(2009)羅民初字第895號。

⑦參考中國工商銀行股份有限公司個舊支行與段明波、中國人民銀行征信中心人格權糾紛案，(2010)云高民一終字第43號。

⑧我國《侵權責任法》第62條規定，醫療機構及其醫務人員應當對患者的隱私保密。泄露患者隱私或者未經患者同意公開病歷資料，造成患者損害的，應當承擔侵權責任。再如臺灣地區《個人資料保護法》第6條規定，有關病歷、醫療、基因、性生活、健康檢查及犯罪前科之個人資料，不得收集、處理或利用。這些規定均強調個人隱私利益的特殊保護。

⑨歐盟1995年《數據保護指令》第二十三條，荷蘭《個人數據保護法》第四十九條，葡萄牙《個人數據保護法》、意大利《個人和其他主題個人數據處理保護法》、匈牙利《個人數據保護與公共利益數據公開法》等法律，均設置了無過錯責任歸責原則。參見刁勝先：《個人信息網絡侵權歸責原則的比較研究——兼評我國侵權法相關規定》，《河北法學》2011年第6期。

⑩2016年歐盟《統一數據保護條例》對數據控制者和數據處理者的侵權責任歸責原則進行了區分；德國《聯邦個人資料保護法》根據公權力機關和自然人主體，分別規定無過錯責任歸責原則和過錯責任歸責原則；我國臺灣地區的《計算機處理個人數據保護法》、香港的《個人資料條例》對“公務機關”和“非公務機關”不同的責任主體采取了不同的歸責原則。參見張濤：《個人信息權的界定及其民法保護——基于利益衡量之展開》，吉林大學2012年博士學位論文。