侵害個人信息之民事責任

摘 要：民法典與個人信息保護法應當注重完善侵害個人信息的民事責任。就個人信息在立法上應當規定侵害個人信息的侵權責任適用無過錯責任。侵害個人信息的行為類型眾多，在證明被告是否實施了加害行為時，應當采取高度可能性的證明標準，由法官結合案件事實并綜合考慮相應的因素加以確定。

關鍵詞：個人信息保護;侵權責任;舉證責任分配

當前司法實踐中，侵害個人信息的民事糾紛日益增多，為更好地發揮私法保護個人信息的功能，立法上有必要對侵害個人信息的民事責任作出更明確具體的規范。

一、侵害個人信息的行為類型

由于個人信息是自然人可以區別于其他人的各種信息的綜合，因此，可以將侵害個人信息的行為大體分為兩類：

其一，加害人將侵害個人信息作為手段，進而侵犯受害者的其他權益。例如，犯罪分子通過非法竊取或購買個人信息，進行詐騙活動或者其他不法行為;由于此侵害個人信息的行為目的并不是單純侵害個人信息，而是以此為手段，主要是為了侵害受害人其他權益。

其二，單純的侵害個人信息行為，簡單來說，就是該加害行為主要是侵害受害人的個人信息。公開自然人基因信息、病歷資料、私人活動等個人隱私和其他個人信息。

從實踐來看，單純侵害個人信息的行為還包括以下幾種：

（1）非法收集個人信息，未經被收集人同意收集其個人信息，或者是以欺騙或其他形式使其同意但是未依法明示收集、使用信息的目的、方式和范圍或超越目的、方式和范圍過度收集個人信息。

（2）泄露、毀損、丟失個人信息，即收集個人信息者違反法律規定和當事人的約定，導致個人信息泄露、毀損、丟失。在現實中這一類案件主要表現為單位的人事部門或人力資源部門保管人事檔案不當導致的信息缺損、電子設備維修不當錯誤刪除記錄等。

（3）非法利用個人信息，雖個人信息的收集符合法律規定，已經經過被收集人的同意，但收集者沒有經過被收集者的同意，違反法律、行政法規的規定或者雙方的約定使用個人信息。比如利用他人的身份信息登記為公司的股東、法定代表人或者董事、監事等。

（4）非法泄露或者買賣個人信息，即個人信息收集者泄露個人信息或者未經被收集者同意將個人信息非法出售或者其他方式傳輸給他人的行為。這類加害行為主要表現為非法買賣公民個人信息的犯罪行為。

（5）其他侵害個人信息的行為，如因收集者的原因而致所收集的個人信息是錯誤的。

二、加害行為的證明

一旦發生侵害個人信息給受害人造成損害的情形，受害人很難證明被告實施了侵害個人信息的加害行為。這種情形在個人信息被泄露，為犯罪分子所利用而實施電信詐騙的場合最為常見。

因此在現實生活中為了更好地保護個人信息，降低原告在此類案件中的舉證負擔，法院創設性的提出了證明加害人的高度可能性的判斷標準。即原告所提交的證據能夠表明被告存在泄露原告個人隱私的高度可能，而被告又不能反證推翻可能的，就應當認定被告實施了泄露個人信息的加害行為。

這一判斷標準來確認被告是否實施了加害行為，是非常合理的。一則，該標準并未推翻民事訴訟法所規定的舉證責任分配;二則，考慮到原告能夠明確的證明究竟泄露個人信息的主體是誰，顯然并不現實。故此，應當明確原告僅需證明被告存在泄露個人信息的高度可能性。原告的舉證是否達到了證明被告存在泄露個人信息的高度可能，應由法官結合案件的具體事實綜合判斷。

筆者認為，在適用高度可能性的證明標準時，法院無論是在認定原告對被告加害行為的舉證 是否達到了高度的可能，還是在認定被告的舉證是否足以推翻這種高度可能時，都需要綜合考慮以下幾個因素：

（1）被告掌握原告被泄露的個人信息的范圍以及程度。個人信息的類型眾多，被告掌握原告被泄露的個人信息的范圍越大，程度越深，則其泄露原告個人信息的可能性越大。對原告所產生的影響也越大。

（2）其他單位或個人掌握被泄露的個人信息的可能性。盡管現代社會中任何自然人的個人信息可能都被很多單位或個人所掌握，但每個單位或個人所掌握的個人信息是不同的，

（3）被告是否曾經存在泄露自然人個人信息的情形。如果被告曾經存在泄露自然人個人信息的情形，如被媒體披露過或者被相關政府主管部門進行過批評、警告甚至處罰的，其泄露個人信息的可能性就更大。

（4）被告已經采取的個人信息的保護機制和具體措施。被告如果能夠舉證證明自己已經采取了非常充分的個人信息的保護機制和具體措施，就可以在很大程度上推翻其泄露原告個人信息的高度可能性。

（5）信息收集者、信息存儲者、信息使用者對接入其平臺的第三方應用是否建立準入等相應的管理機制和履行管理義務的情形。這主要涉及泄露個人信息究竟是平臺的提供者還是接入平臺的第三方應用的問題。

三、權益侵害與損害賠償

在《民法總則》、《侵權責任法》規定的承擔侵權責任的八種方式中，有相當一部分侵權責任的承擔方式性質上屬于絕對權保護請求權。但是，在認定侵害個人信息的侵權責任時，個人信息被侵害的自然人也可以行使停業侵害、消除危險等人格權請求權。在不少情形下，加害人雖然實施了侵害個人信息的行為，受害人卻沒有或財產損失或者財產損失。

對此，《侵權責任法》第20條規定：“侵害他人人身權益造成財產損失的，按照被侵權人因此受到的損失賠償;被侵權人的損失難以確定，侵權人因此獲得利益的，按照其獲得的利益賠償;侵權人因此獲得的利益難以確定，被侵權人和侵權人就賠償數額協商不一致，向人民法院提起訴訟的，由人民法院根據實際情況確定賠償數額。”

從我國《侵權責任法》第22條的規定來看，精神損害賠償責任適用的前提除了要求侵害人身權益之外，還要求造成嚴重精神損害。《最高人民法院關于審理利用信息網絡侵害人身權益民事糾紛案件適用法律若干問題的規定》第17條也規定：“網絡用戶或者網絡服務提供者侵害他人人身權益，造成財產損失或者嚴重精神損害，被侵權人依據侵權責任法第二十條和第二十二條的規定請求其承擔賠償責任的，人民法院應予支持。”故此，如果在侵害個人信息的案件中，原告無法證明自己遭受了嚴重的精神損害，則不得請求侵權人承擔精神損害賠償責任。

作者簡介：

翟坤（1978—），男，漢族，天津，本科，律所主任，研究方向：法學。