信息處理者侵害個人信息權益的民法救濟

尚國萍

（河南大學 法學院，河南 開封 475001）

在數據為王的信息時代，個人信息不僅為政府機關開展社會治理提供前提條件，而且成為信息經濟快速發展的“基礎原料”。通過法治方式規范個人信息處理活動，是實現自然人與信息處理者之間利益平衡的必然路徑。《中華人民共和國民法典》（以下簡稱“《民法典》”）使用“處理”一詞替代之前相關立法中“收集”“使用”等表述，使其成為《民法典》規范個人信息相關行為的基礎概念。《中華人民共和國個人信息保護法》（以下簡稱“《個人信息保護法》”，進一步規范個人信息處理活動，綜合運用多元責任加強個人信息權益的保護力度。從立法目的看來，《個人信息保護法》第69條重在彰顯侵害個人信息權益的私法救濟功能，展現維護自然人人格尊嚴和人格權益的法力。但個人信息權益作為信息社會一種新生的人格權益，具有諸多不同于傳統人格權客體的特性，進而催生學者們在有關個人信息權益侵權責任認定問題上的激烈論爭，導致第69條在司法適用中面臨困境。故而，文章圍繞個人信息處理中侵權責任的認定問題進行探討，希冀司法實踐中正確適用第69條立法規范，統一裁判尺度。

一、信息處理架構：“知情同意-同意例外”規則

（一）個人信息處理外延厘定的價值立場

概念乃是解決法律問題所必需的和必不可少的工具。[1]《個人信息保護法》第4條通過兩個款項分別明定了個人信息和個人信息“處理”的內涵與外延。相較而言，《民法典》人格權編采“內涵+外延”的模式，而《個人信息保護法》僅對個人信息進行內涵概括，未進行外延列舉，且將“識別”分為“已識別”或“可識別”兩種類型。可見，《個人信息保護法》的個人信息范圍比《民法典》的規定更寬泛。這反映了立法進程中對個人信息的認識進一步清晰和深刻，有利于對個人信息權益給予更全面保護。

關于“處理”的具體方式，《個人信息保護法》在《民法典》列舉的收集、存儲等七種方式基礎上增加了“刪除”類型，進一步拓展了“信息處理”的外延，折射出立法對個人信息處理方式和類型仍在不斷擴展中。需注意的是，《個人信息保護法》在引入“個人信息處理”概念時僅列舉了其外延，使得法律適用邊界不夠清晰。因此，利用處理行為的種屬概念建立起清晰的個人信息處理規則，防范對個人權益的侵害，是個人信息保護法需要解決的基礎問題。[2]文章認為，每個法律概念均是在理論和實踐的發展中不斷修正和完善的。“個人信息處理”屬《個人信息保護法》中的核心概念，立法理應從內涵到外延予以回應，但現階段對個人信息的處理行為認知存在限度，實難高度抽象出“處理”的核心要義。如法定概念不能明確其法律特征，則可能會阻礙個人信息的合理利用。“保護個人信息權益”并非《個人信息保護法》唯一立法目標，最終目的指向個人信息的“合理利用”，兩個目的重在通過“規范個人信息處理活動”這一路徑實現。故而，現行立法僅從外延列舉個人信息處理類型，既可避免因“處理”概念模糊導致規范對象泛化，誘發立法過度干預甚或選擇性執法的惡果，又通過“等”字為法律適用提供了延展空間，是一種較為可取的模式。

（二）個人信息處理的前設基礎

綜觀《個人信息保護法》全文，如何規范個人信息處理是其主要內容。依其規定，除自然人因個人、家庭事務處理個人信息外，其他個人信息處理活動均納入其調整范圍。該法第13條確立了個人信息處理的“知情同意-同意例外”規則。除公共利益目的或法律、行政法規另有規定外，“告知-知情-同意”既是信息處理者依法處理個人信息的前提條件，也是侵害個人信息權益是否存在主觀過錯的判斷基準，但并不當然構成民事侵權責任的抗辯事由。

個人信息處理的“知情同意-同意例外”前設架構模式，分別與個人私益保護和公共利益保護相呼應。一方面，個人信息權益本質上與隱私權相同，具有相對的人身專屬性，對其保護應以知情權和同意權為根本，方顯其人格權品格。另一方面，考慮到現代社會網絡產業以數據信息為基本生產資料，根據《民法典》相關規定，并未將個人信息權益置于完全人格權地位，其人身專屬性在維護社會公共利益條件下予以限縮，為降低治理成本，原則上毋需征得自然人同意。《個人信息保護法》第二章關于個人信息處理規則的規范架構總體上遵循了以上立法思想，在第一節一般情況下以“知情同意”為基本規則和第二節特定情形下以“單獨或書面同意”為要件基礎上，第三節對國家機關為維護公共利益或行使法定職責時可豁免征得“知情同意”義務，屬于“同意例外”規則。整體而言，現行的個人信息處理規則架構為：知情同意（非敏感個人信息）-單獨同意（敏感個人信息）-書面同意（法律法規特別規定）-同意例外（國家機關處理個人信息）。

依民法意思自治原則，將“同意”作為個人信息處理的根本性要件，凸顯了立法賦予自然人對其個人信息享有人格權益的基本立場。在市場經濟條件下，信息處理者主要表現為市場主體，對個人信息的處理須遵守市場交易的一般規則，維護市場秩序的安全穩定。個人信息是否進入市場領域從而成為數字經濟的生產要素，取決于權利人在平等地位上的自愿性和自決性，也即私法自治的核心要義所在。一般而言，信息處理的正當性基礎在于權利人是否知情信息處理目的，對自己做出的意思表示是否有明確的行為預期。從某種意義上說，“知情同意”規則設計充分彰顯了私法所維護的平等和自由價值。但任何自由都是有邊界的，自然人的個人信息自決自由也不例外。在個人權益和社會公共利益相沖突情形下，個人利益的保護需讓位于公共秩序的維護，此時，信息處理所形成的法律關系從私權法律關系的雙邊性轉向到公權法律關系的單邊性，以“同意”所展現的意思自治將讓位于社會治理秩序維護的公權力法定職責，法律關系將由“平行秩序關系”轉為“上下秩序關系”。這也正是《個人信息保護法》規定國家機關為履行法定職責處理個人信息時毋需征得個人同意的原因所在。[3]

二、損害要素認定：動態系統論的司法應用

侵權法在維護行為自由的同時，更注重受害人的救濟和賠償。“損害”認定在民事救濟中居于重要地位，構成侵權損害賠償的關鍵要件。《個人信息保護法》第69條要求個人信息權益侵權以損害為前提[4]，在立法上反映了個人信息權益保護的邏輯起點。但在司法實踐中，個人信息權益損害的事實認定較為復雜，需引入動態系統論綜合考量多元要素進行認定。

（一）侵害個人信息權益的損害樣態

個人信息權益侵權認定是一個實務難題。從司法實踐來看，因被侵權人在個人信息控制方面處于弱勢地位，在訴訟中難以有效證明其遭受的個人信息損害事實，往往導致訴訟請求得不到法院的支持，助長了網絡平臺處理個人信息的逐利性。為扭轉這一困境，部分法院靈活調適證據規則，通過減輕受害人證明責任等方式努力維護受害人的個人信息合法權益，但收效甚微。由于個人信息具有無形性、不確定性、難以定量等特征，個人信息權益侵權責任每一構成要件的認定均愈發復雜，其中“損害”事實的認定最為復雜和紛亂。特別是個人信息大規模侵權案件中，涉及的受害人人數規模龐大，法院必然要考量集體訴訟的可行性、證據認定的專業技術難度以及信息處理者的賠償能力等多種因素，損害事實的認定較之于傳統侵權損害認定變得舉步維艱。在受害人主張信息處理者承擔違約責任時，因其與信息處理者的格式合同中不存在違約金條款，受害人也必須證明存在損害才可能獲得賠償。[4]

侵害個人信息權益的損害事實主要表現為兩種形態：精神損害和財產損失。個人信息權在性質上屬于一種集人格利益和財產利益于一體的綜合性權利。[5]《個人信息保護法》賦予自然人知情權、決定權、查閱權、復制權、更正補充權、刪除權等權益。當個人信息權益受到不法行為侵害時，具體表現與其他人格權的損害結果大體一致，主要為精神利益損害。另外，《民法典》人格權編“一般規定”中允許民事主體可將自身的姓名、肖像等部分人格授權他人使用或商業化利用。根據目的解釋或擴張解釋，此處“等”可擴展到自然人可同意其個人信息由他人處理范圍。當未經許可，他人擅自使用（處理）個人信息的，可造成權利人的財產損失。但實踐中侵害個人信息權益的財產損失的認定和計算亦是一個較復雜的事實問題。

（二）動態系統的損害認定規則

動態系統論最早由奧地利學者威爾伯格（Walter．Wilburg）提出。基本觀點認為：“調整特定領域法律關系的法律規范包含諸多構成因素，但在具體的法律關系中，相應規范所需因素的數量和強度有所不同”[6]。該理論呈現出法律效果形成中各要素的系統性動態作用過程。人格利益基于人身自由和人格尊嚴等一般人格權派生出物質性人格權和精神性人格權等具體人格權。《民法典》對每一項法定人格權的保護力度和位階順位，乃至具體責任承擔方式方面，均存在著一定的差異。在個案適用時，需對各個考量因素進行綜合比較和權衡。根據《民法典》第998條之規定，關于侵害精神性人格權的損害事實認定，應妥當權衡行為人和受害人的職業身份及社會知名度、加害人的過錯程度、行為目的、行為方式、行為后果等因素。故而，侵害個人信息權益的事實證成，“應根據法定因素及其順序，通過因素間的互動綜合考量，摒棄全有全無的責任成立”。[6]

從比較法而言，人格權保護中多注重動態系統論之運用，從而擺脫僵硬的全有或者全無的束縛，實現對精神性人格權更具彈性的保護面向。動態系統論注重相關要素之間的邏輯層次，諸要素在價值位階和相互聯動關系上存在一定差別。具言之，損害評價要素的位階具有法定性要求，法院應遵從雙方當事人職業、損害影響范圍、侵權行為危害性、個人信息的敏感性程度之順序依次進行考量。關于要素間的聯動關系，我國《民法典》并未規定，“其相互之間的聯動關系有賴于個人信息保護法的規定或司法實踐的經驗總結。”[7]就個人信息類型而言，敏感信息與私密信息同歸屬于個人信息范疇，在實踐中有一定的交集或重合，但其規范目的和功能價值不同。私密信息具有絕對防御性特點，未經權利人同意，不得公開，更不得利用；而敏感信息原則上應當禁止處理，只有在具有特定的目的和充分的必要性，并采取嚴格保護措施的情形下，個人信息處理者方可處理。[3]相對而言，非法處理敏感信息等侵權行為給被侵權人造成的精神損害更為嚴重。是故，諸多要素相結合共同構成多元化的損害評價要素。

損害事實認定的前提在于加害行為違法性之判斷。關于信息處理者侵害個人信息權益的違法性認定，應從個人信息處理行為是否存在和處理行為是否具有違法性兩個方面考量。首先，信息處理者客觀上必須實施了處理個人信息活動；其次，信息處理者的處理行為不符合法律規范，實踐中主要表現為信息處理違反了法定義務。如未履行充分告知義務，或履行了告知義務未獲得自然人的明確同意或書面同意。凡違反法定要求處理個人信息，則構成個人信息權益侵權責任中加害行為這一要件。

三、歸責原則適用：過錯推定中心主義

歸責原則是侵權法的核心與靈魂。侵權責任的構成要件取決于適用何種歸責原則，進而廓清侵權行為和行為自由之間的邊界。欲明確個人信息權益的民法保護范圍，須厘定侵害個人信息權益適用何種歸責原則，才能正確適用《民法典》和《個人信息保護法》的相關規定，實現個人信息權益民事救濟目標。

（一）侵害個人信息權益歸責原則之論爭

在侵害個人信息權益糾紛中，信息處理者所擁有的自動化決策技術優勢、數據算法的保密性和單體信息的無價值性，在事實上造成了被侵權人在舉證能力方面處于弱勢地位，法院對侵權行為和損害事實厘定存在技術性短板。因此，從立法例和理論上探討侵害個人信息權益適用何種歸責原則能夠實現雙方當事人的利益平衡顯得尤為重要。

1．侵害個人信息權益歸責原則的立法例考察

根據歐盟《一般數據保護條例》（GDPR）第5條第2款①歐盟《一般數據保護條例》（GDPR）第5條第2款規定：“控制者有責任遵守以上第1段（‘合法性、合理性和透明性’‘目的限制’‘數據最小化’‘準確性’‘限期存儲’‘數據的完整性與保密性’），并且有責任對此提供證明。”規定，在認定侵害個人數據責任時，適用過錯責任原則，數據控制者應當就處理數據過程中不存在過錯承擔證明責任。2018年德國《聯邦數據保護法》第83條規定，數據控制人違反本法或其他法律規定處理他人數據造成侵權損害的，數據控制人或其授權的人應承擔損害賠償責任。在非自動化的數據處理情形下，數據控制人能夠證明其在數據處理過程中不存在主觀過錯，則不需要承擔賠償責任。可見，數據控制人只要違反“本法或其他法律規定”的事實存在，即可追究其侵權責任，實質上適用無過錯責任原則。在非自動化數據處理場合，若損害不可歸因于控制人的過錯，則賠償義務取消。[8]侵害個人信息（數據）權益適用何種歸責原則，同在歐陸范圍內，也持有不同的立法態度，德國法較之于歐盟法，更有利于保護信息主體權益。

2．個人信息權益侵權多元歸責論說之檢視

大數據技術和信息技術的高速發展使得侵害個人信息權益行為與技術、場域和行為主體密切相關。過錯責任原則在應對利用網絡手段侵害自然人個人信息時顯得捉襟見肘，亟待根據處理場域的不同區別適用不同的歸責原則。在大數據語境下，單個的個人信息是作為數據要素而存在的，如離開算法技術和自動化決策，個人信息對于數字經濟將無利用價值。由上可知，侵害個人信息權益與信息處理者采用自動數據處理技術直接關聯，這也應景了根據不同的處理場域和技術因素適用過錯責任原則和非過錯責任原則。在自動化處理情形下，公務機關以數據自動處理技術實施的信息侵權，應適用無過錯責任。采用自動化處理系統的非公務機關，其信息侵權應適用過錯推定責任。[12]理由在于非行政機關較之于行政機關，無公權力收集之便利優勢，法定的注意義務標準也應相對調低。

個人信息侵權的復雜性歸因于自動數據處理技術的廣泛應用。自動數據處理技術處于大數據算法處理信息的核心位置，進而推動個人信息侵權歸責原則從一元到多元的變革。對非利用自動化技術的信息處理者而言，其并未保有技術上的優勢地位，舉證能力基本對等，宜采過錯責任原則。但大型網絡科技企業在技術研發領域居于領先地位，其人才技術和經濟規模優勢往往是一般的公權力機關所不能比擬的。公權力機關之所以擁有大量個人信息關鍵在于其擁有法定職權和公共利益目的優勢。故而，對于采取自動化處理技術的行為人，不應再區分是否以公益為目的，應當賦予相同的注意義務，統一適用相同的歸責原則，但問題在于何種非過錯歸責原則更符合信息社會的發展需求？學界爭論不一。

文章認為，雖然適用無過錯責任能夠最大限度上救濟受害人的信息權益，但將課以信息處理者高度的注意義務，會大幅增加信息處理者的經營成本和管理成本，不利于信息產業的穩步發展與公共利益的有效維護。相對而言，在信息自動處理技術條件下，統一采過錯推定責任原則能夠強化信息處理者的舉證責任，適度提高其注意義務，較好地平衡信息處理、權益保護和公共秩序之關系。

（二）《個人信息保護法》歸責原則的立法抉擇

我國《個人信息保護法》將因個人或家庭事務處理個人信息排除在外，相關侵權屬于一般侵權行為，仍按照《民法典》第1185條適用過錯責任原則。對于一般情形下的個人信息處理侵權，適用我國《個人信息保護法》第69條第1款規定，如造成損害，信息處理者不能證明自己沒有過錯的，應當承擔侵權責任。該條在侵權歸責原則設置上并未采用按侵權行為人主體類型和是否采用自動化處理技術區分適用歸責原則，而是以統一適用過錯推定責任為原則。其主要理由在于：一是侵權行為的主體特殊，限于信息處理者。實踐中主要是商事經營者和履行個人信息保護職責的部門，而非普通的自然人。二是權益人是自然人，在以人為本的價值理念下其人格權益亟待保護。三是實踐中被侵權人在侵權法律關系中往往處于不利地位，“個人信息處理者的地位強勢，個人信息權人處于弱勢，如果采用過錯責任原則，不利于對個人信息權人的保護”[9]。

敏感個人信息，指涉及隱私的個人信息。[10]對此，《個人信息保護法》第28條將生物識別、宗教信仰、行蹤軌跡等信息以及不滿十四周歲未成年人的個人信息納入敏感信息范圍。有學者建議，包括侵害敏感信息在內的所有侵害個人信息的侵權責任，應當統一適用無過錯責任。[11]對此建議，《個人信息保護法》并未采用，而是通過限定具有特定目的和充分的必要性，并采取嚴格保護措施以及“單獨同意”，抑或“書面同意”“監護人同意”等特定條件予以保障，從而加大信息處理者的過錯舉證責任進行區別對待。①《個人信息保護法》第28條規定，個人信息處理者具有特定的目的和充分的必要性，方可處理敏感個人信息。第29條規定，基于個人同意處理敏感個人信息的，個人信息處理者應當取得個人的單獨同意。法律、行政法規規定處理敏感個人信息應當取得書面同意的，從其規定。第30條規定，個人信息處理者處理敏感個人信息的，除本法第17條第1款規定的事項外，還應當向個人告知處理敏感個人信息的必要性以及對個人權益的影響；依照本法規定可以不向個人告知的除外。第32條規定，法律、行政法規規定處理敏感個人信息應當取得相關行政許可或者作出更嚴格限制的，從其規定。這一立法設計同樣可以達到強化對敏感信息處理的保護力度與效果。

四、權益救濟二元基礎：人格權請求權與侵權請求權

個人信息權益受到侵害之虞，《民法典》賦予自然人人格權請求權和侵權請求權二元權益救濟路徑。在保護個人信息權益中，人格權請求權與侵權請求權保護的側重點有所不同，兩者共同形成全方位的個人信息權益民法保護機制。

（一）人格權請求權的行使

《民法典》人格權編將個人信息與隱私權放在同一位置，意味著個人信息權益具有鮮明的人格權屬性。“作為人格權的個人信息權益，在民法領域不僅受到侵權責任的保護，也要受到《民法典》第995條規定的人格權請求權的保護”[9]。顯然，人格權請求權保護優勢在于：其一，停止侵害、排除妨礙、消除危險、賠禮道歉等責任方式更能實現對自然人精神性人格利益的救濟，這是損害賠償侵權責任所無法滿足的。其二，因人格權具有專屬性，故行使人格權請求權不以具備過錯等要件，受害人的舉證責任明顯較輕。其三，人格權請求權行使不受訴訟時效的限制，不因訴訟時效期間屆滿而喪失請求權，對維護個人信息權益的完滿性更為重要。

（二）侵權請求權的行使

侵權責任規范保護個人信息權益的最大優勢在于損害賠償之承擔。個人信息權益當屬于《民法典》第1164條規定的侵權責任救濟的“民事權益”范圍。個人信息權益受到侵害遭受損失時，當以侵權責任之認定責令信息處理者承擔損害賠償責任，力求通過損害填補方式使自然人個人信息權益最大限度得到恢復。侵權請求權所意旨的賠償損失責任具有獨特的損害填平功能，是其他民事責任方式無法替代的。需說明的是，人格權請求權與侵權請求權之關系迥異于違約責任和侵權責任之間的競合關系，受害人可選擇其一，也可兩者并用之。

（三）侵害個人信息權益的賠償額度

1．損害賠償計算的考量因素

由于精神損害與財產損失之間具有不可通約性，導致司法實踐中確定精神損害賠償額是一個難題。司法實踐中欠缺測量被侵權人精神損害程度的客觀標準，“沒有清晰的方法可用于將無形的非金錢損害轉換為金錢賠償”[12]。從理論上分析，損害范圍的具體界定是受一定社會價值觀念和法律秩序影響的。“人們認識損害的思維過程，絕不只是自然科學式的機械邏輯過程，價值判斷不可避免”[13]。由此推之，損害構成（或程度）和損害賠償額的確定在某種意義上同屬于價值判斷范疇。實踐中，侵害個人信息權益的損害后果往往具有不可逆轉性和可持續性，一旦個人信息權益遭受侵害，欲準確計算損失額度變得望塵莫及。可行的辦法是，精神損害賠償額應在確定損害事實的基礎上，經彈性價值體系的過濾，得出應賠償的損害，再經由損害的金錢評價而最終確定賠償的數額[14]。從社會效果來看，行為人承擔精神損害賠償責任在一定限度上有利于遏制類似侵權行為再次發生，聚焦于損害賠償制度的遏制和懲戒功能。另外，“德國法、法國法采取賠償全部損害之制度，其所謂全部損害，實并非損害之全部，而只是其一部而已”[15]。侵權責任的認定在實踐中具體通過侵權行為的違法性、損害程度、原因力等要素過濾工具，最大限度地尋求自然人個人信息權益和經濟行為自由之間的利益平衡點。

2.損害賠償額的具體確定

個人信息侵權中損害賠償范圍的科學合理確定，既關乎受害人權益的保護，又與網絡產業的健康良性發展密切相關。關于具體賠償標準，既要把握隱含于人格尊嚴中的精神利益，又要權衡行為人與受害人之間的利益平衡。至于賠償數額的司法確認，除所支付為制止侵權行為的必要費用外，可根據行為人的過錯類型，行為動機、手段或方式、侵權行為實施的次數和持續時間、社會危害程度、責任概率、因不法行為所獲利益等綜合因素進行數額確定。為充分發揮侵權責任的懲戒功能，可借鑒德國個人信息保護法模式，基于民事侵權行為發生的損害賠償，應“實行全額賠償，不設最高額限制，這也是民事主體地位平等所要求的”[16]。

從法經濟學角度而言，因以損失填補為基礎的侵權責任評價機制正面臨著懲戒功能式微的風險，現代侵權法將因不法行為所獲利益作為損害計算基數成為重要替代選擇。《個人信息保護法》第69條第二款規定，損害賠償數額按照個人因此受到的損失或者個人信息處理者因此獲得的利益確定；前者兩項數額難以確定的，根據實際情況確定賠償數額。盡管立法將信息處理者所獲利益作為損害賠償額計算標準，但獲益范圍是否僅包括因侵權行為所得直接收益，立法上未予回應。對此，文章認為，考慮網絡信息產業的長足發展和信息安全技術的有限性，應限定于直接收益范圍。

五、結語

司法實踐中，《個人信息保護法》與《民法典》對個人信息權益的保護應統籌協調與互為補充。全面把握個人信息處理者、政府機關和其他社會組織之間利益平衡的立法理念，實現協調個人信息保護與促進信息自由流動的立法目標，建立公正有序的個人信息利用秩序，助推在強化個人信息權益保護的同時，引領網絡產業和數字經濟的良性發展。誠然，法院對《民法典》《個人信息保護法》中個人信息規范的正確適用，統一司法裁判尺度，將為個人信息權益保護與數字產業發展提供有力的司法保障。最高人民法院應根據審理個人信息權益糾紛案件的司法經驗，盡快制定相關的司法解釋，使得個人信息權益預防保護機制與損害賠償救濟制度落到實處。