個人信息侵權責任承擔問題微探

朱丹亞

(湘潭大學 法學院,湖南 湘潭 411105)

大數據時代的種種社會變革必然也會推動攸關社會文明未來走向的個人信息立法不斷完善。自2016年起，立法機關對個人信息保護的立法傾斜已初見端倪，《網絡安全法》《信息安全技術個人信息安全規范》在2016年至2019年間相繼出臺。2020年5月28日通過的《中華人民共和國民法典》(以下簡稱《民法典》)在《民法總則》原則性保護的基礎上對個人信息做出了進一步延伸。然而，以《民法典》侵權責任編為例，個人信息侵權并未囊括到特殊侵權責任類型之中，有關的法律法規也缺失個人信息侵權責任構成與責任承擔方式的規定。本文就有關個人信息侵權責任的歸責原則、損害結果的承擔、責任承擔的方式三個問題進行論證分析并找到合理完善路徑，以期推動個人信息保護的立法完善。

一、個人信息侵權責任的法律困境

(一)個人信息侵權主體眾多

現有侵權主體主要由大型企業、電子商務平臺、網絡運營者組成。為了謀取個人信息中的經濟利益，侵權主體通常選擇借助網絡數據平臺，完成收集、處理、出售個人信息的灰色利益輸送鏈條。以主體眾多、分工明確為主要特點的個人信息侵權行為不斷侵蝕著個人信息的權利邊界。而又因上述特點，被害人難以憑個人之力舉證侵權主體的侵權責任。例如，2013年南京朱某訴搜索引擎“精準”推送廣告案中，朱某以搜索引擎違法投放與檢索內容相關的廣告提起訴訟。其實質是搜索引擎將朱某的網上瀏覽記錄通過利益鏈條的形式向各大廣告商進行輸送，完成了對朱某個人信息的盜取，其本質是一種違法行為。然而因為侵權主體眾多復雜，極大增加了個人的舉證難度，二審法院以搜索引擎合理使用數據信息為理由，判決朱某敗訴。可見，身處利益對峙末端的個人，受縛于法律保護的缺憾，無法依憑自身力量舉證眾多侵權主體的侵權行為，最終淪為眾多侵權主體利益瓜分的對象。

(二)個人信息侵權歸責原則有失偏頗

《民法典》《侵權責任法》均未對個人信息侵權歸責原則作出明晰的規定，在司法實踐中，個人信息侵權案件只能依據一般侵權案件進行處理，因此，根據《侵權責任法》第六條第一款規定，個人信息侵權作為一般侵權案件適用過錯責任原則，即要求被侵權人就過錯事實承擔舉證責任。因掌握數據資料能力的差異性，雙方利益主體地位的不平等隨著數字經濟的日益發展不斷加大，侵權主體通常為有雄厚經濟實力、技術支撐的企業、網絡運營商以及政府部門，而被侵權主體則是普通民眾、個人，雙方經濟與技術力量的懸殊使得被侵權主體舉證困難。雙方主體訴訟地位的不平衡性決定了個人信息歸責原則的傾斜性，即個人信息歸責原則、舉證責任的承擔理應向侵權主體傾斜。但現行的過錯責任制度加重了被侵權人舉證責任，致使普通個體無法通過自身力量尋找到能證明被侵權人具有主觀過錯的合法證據。

(三)個人信息侵權責任承擔方式有所疏漏

新出臺的《民法典》并未解決《民法總則》遺留的基本屬性不明晰的問題。以《民法典》第一千零三十四條為例，法條雖然明文規定自然人的個人信息受法律保護，但回避了個人信息權益與權利爭議，也未肯定個人信息的財產屬性。個人信息權屬不明、定位模糊的現狀導致在個人信息侵權糾紛中，法院通常將個人信息侵權案件納入到一般人格權糾紛大類之中，并依據處理一般人格權的標準對待個人信息侵權案件。一般人格權侵權案件中，主要的責任承擔方式包括停止侵害、賠禮道歉、精神損害賠償、消除危險、恢復名譽等。但值得注意的是，一般人格權屬消極確權，與個人信息權有根本性差異，一般人格權受到侵害后，為了達到救濟被害人受損權利的目的，侵權法通常要求侵權主體停止對權利的損害并恢復到原始狀態，而個人信息權是具有財產屬性的積極確權，在侵權責任承擔方式上，理應凸顯其財產利益。事實上，檢索以往個人信息侵權案例可以發現，所有判決結果均否決了被害人的財產性賠償訴求。信息數據時代，個人信息資源成為當今時代各大利益主體爭相發掘的數字財富。現有的個人信息侵權責任承擔方式并不符合個人信息財產屬性的定位標準，擴大其經濟責任承擔方式將是個人信息法律體系構建的必經之路。

二、個人信息侵權責任的域外借鑒

歐盟、美國早已建立了邏輯嚴密的個人信息保護體系。歐盟基于大陸法系的立法傳統，采取的是集中統一的立法模式；美國遵從海洋法系立法的典型特征，采用的是分散立法模式。雖然立法模式相左，但美歐兩域外國家對個人信息侵權責任方式的承擔、歸責原則的認定將拓展個人信息侵權責任承擔問題研究的邏輯框架，為我國所面臨的個人信息侵權責任承擔問題提供新的解決思路。

(一)歐盟個人信息保護體系

歐盟數據保護模式植根于歐洲歷史悠久的商品經濟演變長河之中，其對個人數據的完全性保護回應了數據經濟時代的發展要求。《通用數據保護條例》(簡稱GDPR)被稱為國際上最嚴格的信息數據保護法，該法案對個人信息的舉證責任、責任承擔方式、保護范圍做出了嚴格的規定。從舉證責任方面來看，GDPR第五條規定信息主體僅需要證明侵權主體實施過不當收集、處理本人信息的行為，并造成相應的損害，不需要證明侵權主體有主觀過錯。在侵權責任承擔上，GDPR又在無過錯原則之下，對數據保護進行了進一步延伸，明確規定侵權主體為兩方以上者應當承擔連帶責任，即信息控制者與信息處理者對個人信息保護負有同等的義務并共擔責任，公民可以兩者之中任一責任主體提起訴訟。GDPR個人信息侵權連帶責任的確立給個人實施訴權提供便捷的制度空間。在個人信息侵權責任承擔上，GDPR還規定侵權主體的經濟損害賠償責任。

(二)美國個人信息保護體系

美國個人信息保護條文分散于《隱私權法》《電子通信隱私法》《電子消費者保護法》等各個領域的法律中。《信息自由法》規定：“不論法律有任何其他規定，被告人在收到原告的訴狀以后30天內，必須做出實質性答復。”為了平衡侵權案件雙方所占物質資料的天然不平衡狀態，《信息自由法》還規定了敗訴方合理負擔原告律師費用的責任承擔方式。可以看出，該法案從最大程度維護公民個人信息權益角度出發，分別從加重侵權主體責任、減輕公民訴訟成本兩方面來補缺公民在侵權案件中的不對等地位。2011年，在索尼泄露個人信息集體訴訟中，來自依利諾斯州的眾議員波比·拉什也在事件發生后表態稱，將重新啟動立法程序，完善個人信息經濟損害賠償措施以確保網絡用戶個人數據安全。此次事件之后，美國個人信息侵權責任承擔方式中的經濟損害賠償方式也開始不斷完善。

三、個人信息侵權責任承擔制度的完善

(一)引入連帶責任制度

多個侵權主體之間相互協作共同完成侵害個人信息行為的侵權模式已在個人信息侵權領域普遍運用，并隨著數據經濟的發展，有逐漸擴大的趨勢。由于各個侵權主體之間分工明確，被侵權主體無法依靠自身力量來舉證各個侵權主體共同實施侵害個人信息權的行為，也無法舉證侵權主體份額承擔的大小。《侵權責任法》第三十六條規定了網絡侵權的連帶責任。基于數據經濟時代個人信息侵權與網絡侵權具有構成要件上的相似性，個人信息侵權案件應當借鑒網絡侵權責任承擔方式，引入連帶責任制度。首先，個人信息侵權與網絡信息侵權同具有侵權手段隱蔽化、技術化的特點，被侵權人雖然能夠感知存在多個侵權主體，但受網絡技術、專業知識的限制，往往無法舉證侵權行為存在的客觀事實。其次，個人信息與網絡侵權案件同具有主體上的相似性，其通常牽涉到多個侵權主體且分工明確。基于雙方主體地位相差懸殊，個人難以憑借自身力量舉證侵權主體的數額以及其份額承擔的大小。個人信息侵權不斷集約化、共同化、體系化的態勢給予了侵權案件適用連帶責任制度充分的合理性、必要性要件。

(二)明確過錯推定歸責原則

現有個人信息侵權案件普遍參照一般人格權侵權，適用過錯歸責原則對案件進行裁判處理。這種歸責原則顯然并不利于遏制個人信息侵權快速發展態勢。

我國個人信息侵權案件到底適用哪種類型的歸責原則，筆者認為，從法律實用主義角度分析，個人信息侵權案件應當統一適用過錯推定歸責原則。首先，個人信息侵權適用過錯歸責原則變相加重了被侵權人的舉證責任。無論對方主體是掌握自動化數據處理技術的政府機關還是未掌握自動化數據處理技術的企業個人，適用過錯歸責原則既要求被侵權主體證明的侵權主體實施了侵權行為又要其證明侵權人存在過錯。其次，無過錯責任原則與當前經濟發展理念背道而馳。我國正處于社會經濟發展轉型的關鍵期，數據經濟發展模式處在發展初期，適用無過錯責任將加大企業運營成本，阻礙互聯網、電子商務行業發展。同時，有經濟價值的個人信息兼具商業屬性，個人信息的合理使用也會推動數據經濟前進步伐。最后，個人信息侵權適用過錯推定責任有利于司法的統一適用，也將促進個人信息數據保護與信息正常流通之間的平衡。過錯推定歸責原則給予了被侵權主體一定的訴訟空間與產業生存空間，既保護了個人信息的安全也促進個人信息在公共領域的自由流通，維護了經濟秩序的正常運行。

(三)構建經濟損害賠償責任體系

個人信息財產屬性日益凸顯意味著現有個人信息侵權責任方式已不能滿足維護個人信息權益的需要，其責任的承擔方式應當向經濟賠償方向傾斜，只有構建完整的經濟損害賠償制度，才能維護當前經濟發展形態下的個人信息經濟利益。

1.構建財產損害賠償制度。構建財產損害賠償制度需要確立財產損害賠償的構成要件以及賠償數額。《美國法典釋義》第三條規定了構成財產損害賠償的具體要件：一是要求侵權行為對被侵權主體產生一定損害后果；二是現有證據能夠證明侵權行為與損害后果之間存在因果關系；三是具有通過賠償損失來彌補損害后果的可能。當前國際上存在兩種個人信息侵權責任賠償方式:一種是以英國為代表的的全額賠償責任;另一種是以德國為代表的最高限額賠償責任。二者相比，全額賠償責任更有利于保護信息主體的財產利益，故在個人信息侵權財產損害賠償中，我國應當借鑒英美兩國經驗，即被侵權主體證明存在一定損害后果且侵權行為與后果具有因果關系以后，就可以向法院申請要求被侵權主體承擔全額賠償責任。其具體財產賠償數額的標準應當參照《最高人民法院關于審理涉及計算機網絡著作權糾紛案件具體應用法律若干問題的解釋》，依據侵權行為造成的直接經濟損失以及預期可得利益判定賠償的金額。

2.引入懲罰性賠償制度。在個人信息侵權糾紛中，無論是從訴訟能力還是舉證能力來看，個體都越來越無法與企業、政府機關相抗衡。同時，數據經濟遮蔽了個人信息侵權事件準確的時間節點，個人僅憑自身力量往往難以察覺個人信息利益受損的事實以至于錯過最佳訴訟時機。基于此，個人信息侵權案件才會屢禁不止。我國早已確立了懲罰性賠償制度，《消費者權益保護法》第五十五條規定了經營者的懲罰性賠償責任。該項制度改善了消費者處于極度弱勢的不利地位，實現了消費者與經營者主體地位之間的動態平衡。為了遏制個人信息侵權愈演愈烈的發展態勢，個人信息侵權責任承擔的方式不能僅局限于賠禮道歉、停止侵害等不涉及被侵權人核心利益的責任承擔手段，應當加大對個人信息侵權案件的經濟懲處力度。個人信息侵權責任承擔方式應借鑒我國《消費者保護法》懲罰性賠償的成熟經驗，在個人信息侵權案件中引入懲罰性賠償制度，加大侵權主體的違法成本，從而減弱侵權主體侵害個人信息的積極性，達到降低個人信息侵權案件數量的目的。