侵權(quán)責(zé)任視角下個(gè)人信息處理合法性基礎(chǔ)的認(rèn)定

□ 文 劉思婷

1 引言

在目前廣泛討論的個(gè)人信息賦權(quán)模式下，權(quán)利概念的形式理性的基本要求往往被忽視,即所謂的個(gè)人信息權(quán)是否達(dá)到了排除效能、歸屬效能，還有社會典型公開性的檢驗(yàn)，是否達(dá)到形式理性所要求的權(quán)利特征。筆者認(rèn)為，目前只是走在權(quán)利化的道路上，更多應(yīng)從司法實(shí)踐上，即對《個(gè)人信息保護(hù)法》與《民法典》侵權(quán)責(zé)任編之間的邏輯關(guān)系如何，如何協(xié)調(diào)好個(gè)人信息保護(hù)的一般法與專門法的復(fù)雜關(guān)系，如何實(shí)現(xiàn)個(gè)案裁判中法律適用的統(tǒng)一等問題進(jìn)行研究回答，以實(shí)現(xiàn)個(gè)人信息上承載的權(quán)益的保護(hù)實(shí)效性。

2 個(gè)人信息處理合法性基礎(chǔ)的法律規(guī)定及認(rèn)定困境

2.1 個(gè)人信息處理合法性基礎(chǔ)的法律規(guī)定

我國個(gè)人信息處理合法性基礎(chǔ)主要規(guī)定于《個(gè)人信息保護(hù)法》第13條與《民法典》第1036條所規(guī)定的個(gè)人信息合理使用制度，兩者存在明顯差異。第一，合法性基礎(chǔ)規(guī)范的直接對象是“處理者”，而《民法典》規(guī)范的直接對象是“行為人”，兩者的差別主要體現(xiàn)在是否僅限于“自己責(zé)任”。《個(gè)人信息保護(hù)法》的效力還延及安全保障義務(wù)，危險(xiǎn)責(zé)任與擔(dān)保責(zé)任，而《民法典》從行為人的角度進(jìn)行規(guī)定，在效力范圍上存在差異。第二，合法性基礎(chǔ)規(guī)范采取“方可”處理的前因性判斷，處理行為最開始發(fā)生的場景，偏向于公共利益的管制型規(guī)范；而《民法典》采取“不承擔(dān)民事責(zé)任”的后果性判斷，屬于免責(zé)事由，是對于最終承擔(dān)的法律效果的直接規(guī)定，因此，整體而言，《民法典》的個(gè)人信息合理使用制度是對處理行為進(jìn)行整體判斷的法律依據(jù)，而《個(gè)人信息保護(hù)法》的個(gè)人信息處理合法性基礎(chǔ)側(cè)重事前的，是結(jié)合處理行為目的與場景進(jìn)行利益衡量的法律依據(jù)，更為完善。

合法性基礎(chǔ)規(guī)范根據(jù)利益保護(hù)的位階順序，成為司法裁判以及行政執(zhí)法的決策依據(jù)之一。

2.2 個(gè)人信息處理的合法性基礎(chǔ)認(rèn)定困境

合法性基礎(chǔ)規(guī)范根據(jù)利益保護(hù)的位階順序，成為司法裁判以及行政執(zhí)法的決策依據(jù)之一。《民法典》第1036條雖規(guī)定了個(gè)人信息合理使用制度，但面對極其復(fù)雜的信息安全風(fēng)險(xiǎn)，在侵權(quán)責(zé)任成立上僅依靠該法律，采用單一私法規(guī)范將不可避免在合法性基礎(chǔ)的認(rèn)定上存在困境。

首先，在法律適用中，法秩序是一個(gè)無矛盾而互統(tǒng)籌的規(guī)范體系。如將《個(gè)人信息保護(hù)法》與《民法典》二者割裂，就會破壞法秩序的和諧和法律適用的統(tǒng)一，不利于個(gè)人信息保護(hù)；其次，《個(gè)人信息保護(hù)法》第13條確立的合法性基礎(chǔ)，該條款確立了許可要求型管制型規(guī)范，與《民法典》第1036條規(guī)定的個(gè)人信息合理適用制度存在明顯差異。再次，合法性基礎(chǔ)是判斷個(gè)人信息處理是否合法與侵權(quán)責(zé)任是否成立的重要依據(jù)。若合法性基礎(chǔ)難以完整有效認(rèn)定，則會導(dǎo)致司法實(shí)踐侵權(quán)責(zé)任是否成立處于模糊的狀態(tài)，個(gè)人信息難以得到切實(shí)完整的保護(hù)。因此，在侵權(quán)責(zé)任視角下解決個(gè)人信息處理合法性基礎(chǔ)的認(rèn)定問題，才能實(shí)現(xiàn)裁判考量因素的統(tǒng)籌，厘清侵權(quán)責(zé)任構(gòu)成要件，最終促進(jìn)公私法體系和諧與適法統(tǒng)一。

3 個(gè)人信息處理合法性基礎(chǔ)認(rèn)定困境根源

在個(gè)人信息處理合法性基礎(chǔ)方面，國際條約與國內(nèi)立法均普遍體現(xiàn)個(gè)人數(shù)據(jù)中自然人最重要的法益：人的尊嚴(yán)。而在當(dāng)前廣泛討論的賦權(quán)模式下，權(quán)利與自由的概念經(jīng)常被混淆，以至于所有的個(gè)人信息都被一同視為私權(quán)的客體，即將合法性基礎(chǔ)認(rèn)為是“同意授權(quán)”，但需明確的是，大部分個(gè)人信息都不滿足作為權(quán)利所要求的形式特征。若一味強(qiáng)加個(gè)人信息私權(quán)化，則會造成個(gè)人信息私權(quán)化的矛盾與困境，不僅在法理層面無法形成邏輯自洽，在具體實(shí)施的過程中也會面臨著巨大挑戰(zhàn)。

3.1 個(gè)人信息不具備權(quán)利的形式理性要求

處理者在使用個(gè)人信息時(shí)應(yīng)當(dāng)尊重信息主體的個(gè)人意愿。然而，在社會環(huán)境中，個(gè)人信息只有通過流動，才能創(chuàng)造出價(jià)值。基于此，個(gè)人信息并不足以完全歸屬于個(gè)人，因此不可能具有“歸屬效能”。而以“歸屬效能”為前提的“排他效能”也更無從談起了。個(gè)人信息也不具有“社會典型公開性”。綜上所述，個(gè)人信息不具備權(quán)利的形式理性要求，若盲目的偏向個(gè)人信息私權(quán)化，將會不利于個(gè)人信息的利用與保護(hù)。

3.2 個(gè)人信息無法發(fā)生授權(quán)效果

首先，《民法典》第111條規(guī)定:“自然人的個(gè)人信息受法律保護(hù)。”這就表明個(gè)人信息實(shí)質(zhì)上并不屬于上述兩類“人格權(quán)”,而是一種十分重要的獨(dú)立民事權(quán)益類型。并且在比較法上，個(gè)人信息的同意向來不發(fā)生授權(quán)的效果。在歐盟層面，1950年頒布的《人權(quán)和基本自由歐洲公約》規(guī)定了對隱私的干預(yù)必須有正當(dāng)理由，其理念是處理個(gè)人信息必須滿足特定條件；而在美國層面，為了鼓勵個(gè)人信息的自由流動，在“同意”規(guī)則上，美國只有在聯(lián)邦層面某些特定立法中規(guī)定了“事先同意”制度，如《健康保險(xiǎn)攜帶和責(zé)任法》與《兒童在線隱私保護(hù)法》，均是為了保護(hù)特定私人信息或特定未成年人主體的個(gè)人信息而創(chuàng)設(shè)。

3.3 個(gè)人信息與隱私權(quán)聯(lián)系密切

由于法域間的隱私概念界定并不相同，英美法系在利益考量上側(cè)重?cái)?shù)據(jù)的自由流動，主張推進(jìn)較為開放的數(shù)字經(jīng)濟(jì)制度建設(shè)。因此，所有與個(gè)人相關(guān)的權(quán)益保護(hù)都建立在隱私權(quán)的框架下進(jìn)行討論，如美國并沒有對“隱私信息”與“個(gè)人信息”作出嚴(yán)格區(qū)分。而歐盟將個(gè)人信息與隱私權(quán)分開進(jìn)行保護(hù)，其確立的個(gè)人信息合法性基礎(chǔ)的最終根源是對“人的尊嚴(yán)”的保護(hù)，體現(xiàn)了歐洲立法實(shí)踐中，由早期通過對權(quán)益的合法限制的立法思路逐步演化為對處理者行為的合法性基礎(chǔ)的規(guī)范。通過行為規(guī)制的方式避開了實(shí)踐中關(guān)于個(gè)人信息權(quán)利認(rèn)定的難題。

不可否認(rèn)的是，英美法系與歐盟立法均將個(gè)人信息作為一種民事權(quán)益而不是私權(quán)。若將個(gè)人信息視為私權(quán)，則會導(dǎo)致在個(gè)人信息私權(quán)與隱私權(quán)中存在難以分割認(rèn)定的情形，造成權(quán)利的混淆。

3.4 單一私法保護(hù)難以應(yīng)對信息安全風(fēng)險(xiǎn)

在過去幾年中，隱私和數(shù)據(jù)安全問題頻繁發(fā)生。愈繁雜的個(gè)人信息收集方式以及非規(guī)范化的個(gè)人信息流動導(dǎo)致用戶無法真實(shí)、合理地判斷和預(yù)防這些復(fù)雜的信息安全風(fēng)險(xiǎn)，即便受到侵害，也無法證實(shí)自身遭受的具體損害。

綜上，個(gè)人信息易于流通與分享，因此不能完全由信息主體排他性地占有和控制。在此背景下，公私法的整體運(yùn)用成為大數(shù)據(jù)時(shí)代個(gè)人信息保護(hù)的必然選擇。

個(gè)人信息處理的合法性是侵權(quán)判斷的基礎(chǔ)。個(gè)人信息處理的合法性要求信息用戶的個(gè)人信息處理行為符合法律的規(guī)定。

4 個(gè)人信息處理合法性基礎(chǔ)認(rèn)定銜接的可能性

4.1 個(gè)人信息處理合法性基礎(chǔ)的性質(zhì)

個(gè)人信息處理的合法性是侵權(quán)判斷的基礎(chǔ)。個(gè)人信息處理的合法性要求信息用戶的個(gè)人信息處理行為符合法律的規(guī)定。

在很多情況下，合法性與正當(dāng)性處于同義混用狀態(tài)。需要注意的是，合法性不等同于正當(dāng)性。合法性基礎(chǔ)更偏向于形式理性的判斷，賦予個(gè)人信息處理者行為依據(jù)，引導(dǎo)和規(guī)范處理者的處理行為，而信息主體需要承擔(dān)法律規(guī)定的容忍義務(wù)，而這種容忍義務(wù)不是無限的，而是根據(jù)場景為利益平衡劃定了一個(gè)合理界限，那么這個(gè)界限就是正當(dāng)性的限度。即正當(dāng)性更多為實(shí)質(zhì)理性的角度出發(fā)，而合法性更偏向于形式理性，即形式合法性，主要是指個(gè)人信息處理者處理信息時(shí)應(yīng)遵循相關(guān)法律規(guī)定，如告知同意程序。

關(guān)于個(gè)人信息處理合法性基礎(chǔ)的性質(zhì)確定，目前存在兩種學(xué)說：“許可說”與“賦權(quán)說”，“許可說”認(rèn)為個(gè)人信息自始具有社會性與公共性，合法性基礎(chǔ)并不可能為使用人創(chuàng)設(shè)自由，因此，信息處理者雖處理信息符合第13條的情形，也不一定不侵權(quán)。而“賦權(quán)說”認(rèn)為，勢必要產(chǎn)生個(gè)人信息權(quán)類似于著作權(quán)的權(quán)利化倒推結(jié)論，則會產(chǎn)生個(gè)人信息私權(quán)化的結(jié)果。筆者贊同前者。合法性基礎(chǔ)性質(zhì)應(yīng)界定為許可要求型制度。若將合法性基礎(chǔ)性質(zhì)界定為賦權(quán)性質(zhì)的法定許可制度，則會產(chǎn)生如前所述的個(gè)人信息私權(quán)化的矛盾與困境。

4.2 個(gè)人信息處理合法性基礎(chǔ)的立法定位

關(guān)于個(gè)人信息處理合法性性基礎(chǔ)的立法定位，主要體現(xiàn)在管道性功能：通過利益衡量情境的類型化梳理，聯(lián)通了《民法典》《網(wǎng)絡(luò)安全法》《消費(fèi)者權(quán)益保護(hù)法》等的細(xì)化規(guī)定，確定了利益衡量的思路和方式，以及涉及的利益類型和影響程度。通過第五項(xiàng)兜底條款，連接了包括《個(gè)人信息保護(hù)法》《民法典》在內(nèi)的關(guān)于“合法原則”判斷的特別條款。對“違法性”基于整體法秩序進(jìn)行綜合判斷，為跨越法域?qū)崿F(xiàn)統(tǒng)合式保護(hù)提供了路徑，即信息處理關(guān)系中行為合法性根據(jù)可通過將該條款引介至《民法典》侵權(quán)責(zé)任編進(jìn)行援用保護(hù)。

4.3 “相互工具化”銜接理論

個(gè)人信息的快速發(fā)展必須通過綜合法域的體系保護(hù)，二者的銜接實(shí)際上體現(xiàn)了“相互工具化”理論。

合法性基礎(chǔ)作為個(gè)人信息處理的管制型規(guī)范，引導(dǎo)和規(guī)范信息處理者的處理行為并吸收可能產(chǎn)生的私法防范成本。即從綜合法域?qū)用娑裕戏ㄐ曰A(chǔ)是事前確定準(zhǔn)入門檻、事中開展行為監(jiān)管、事后進(jìn)行責(zé)難處罰的法律依據(jù)，能夠引導(dǎo)和規(guī)范信息處理者的處理行為。

另一方面，合法性基礎(chǔ)作為侵權(quán)責(zé)任轉(zhuǎn)介條款的管道性規(guī)范，與侵權(quán)責(zé)任編中的一般侵權(quán)責(zé)任相連接，其第13條中的（七）法律、行政法規(guī)規(guī)定的其他情形與其他法領(lǐng)域的法律法規(guī)相連接，同時(shí)確定利益衡量和動態(tài)系統(tǒng)論的場景，作為法效果判斷的邏輯起點(diǎn)。從邏輯起點(diǎn)意義來看，連通了各個(gè)個(gè)人信息保護(hù)法制，通過私法工具將管制成本平均分散于個(gè)體，達(dá)成了整體法秩序的和諧。即從《民法典》侵權(quán)責(zé)任成立層面而言，合法性基礎(chǔ)根據(jù)場景理論，在一定程度上界定了具體私法案件中利益衡量所涉及到的利益主體、利益類型和范圍，以及動態(tài)系統(tǒng)論，有助于促進(jìn)適法統(tǒng)一。

通過“相互工具化”理論，在《民法典》侵權(quán)責(zé)任成立中引入詳細(xì)的、可操作的合法性基礎(chǔ)認(rèn)定規(guī)范，不僅可以豐富和完整侵權(quán)成立認(rèn)定標(biāo)準(zhǔn)，還可以使個(gè)人信息保護(hù)的一般法與特別法相互支持，實(shí)現(xiàn)相互“工具化”。

5 侵權(quán)責(zé)任下認(rèn)定個(gè)人信息處理合法性基礎(chǔ)的具體路徑

5.1 合法性基礎(chǔ)作為侵權(quán)責(zé)任成立階段違法性判斷的基礎(chǔ)標(biāo)準(zhǔn)之一

關(guān)于合法性基礎(chǔ)是否具有目的性的考量，目前存在兩種觀點(diǎn)，分別為“肯定說”與“否認(rèn)說”。“肯定說”認(rèn)為是合法性基礎(chǔ)作為一個(gè)前置性的判斷，具有目的性的考量，如《個(gè)人信息保護(hù)法》第13條所指出的為“為應(yīng)對突發(fā)公共衛(wèi)生事件”“為公共利益”等行為目的合法情形；“否定說”認(rèn)為目的合法是適用法律的前提，即個(gè)人信息處理行為若目的非法，則應(yīng)當(dāng)由其他法律調(diào)整，《個(gè)人信息保護(hù)法》無法適用。筆者贊同前者，《個(gè)人信息保護(hù)法》中的合法性具有個(gè)人信息處理合法的目的考量，合法性基礎(chǔ)正是以處理目的為核心，合法性基礎(chǔ)提供了檢驗(yàn)處理行為的前因性、基礎(chǔ)性的法律工具，應(yīng)作為侵權(quán)責(zé)任成立階段違法性判斷的基礎(chǔ)標(biāo)準(zhǔn)之一。除了這一項(xiàng)基礎(chǔ)標(biāo)準(zhǔn)，個(gè)人信息處理行為還需要滿足“方式合法性”，以及“正當(dāng)、必要、誠信”原則的檢驗(yàn)，而這些原則所蘊(yùn)含的利益衡量方法也需要在合法性基礎(chǔ)所確定的前因性框架內(nèi)進(jìn)行，從而實(shí)現(xiàn)法秩序整體的和諧統(tǒng)一。

5.2 以違法性的相關(guān)關(guān)系連接事實(shí)要件

圍繞著違法性的判斷，同時(shí)通過相關(guān)關(guān)系說，對事實(shí)要件產(chǎn)生影響。重點(diǎn)考察個(gè)人信息被侵害所涉及的利益種類與侵害行為樣態(tài)，并聯(lián)系侵權(quán)行為樣態(tài)與受侵害的民事權(quán)益兩者事實(shí)上的因果關(guān)系，即事實(shí)要件應(yīng)當(dāng)包括：侵害行為樣態(tài)、侵害的民事權(quán)益、事實(shí)上的因果關(guān)系，并將事實(shí)要件整體與過錯要件（違法性）相聯(lián)系，考察是否具有違法阻卻事由。以此實(shí)現(xiàn)對于一般違法性的認(rèn)定判斷。

5.3 以違法性的行為可責(zé)難性連接過錯要件

通過采用緩和違法一元論判斷標(biāo)準(zhǔn)，應(yīng)考慮“違法性＝一般違法性＋可罰違法性”，因此除需考慮一般違法性外，還需考慮行為的行為的可責(zé)難性，以事實(shí)要件行為的可責(zé)難性聯(lián)系過錯要件。我國《個(gè)人信息保護(hù)法》規(guī)定，侵害個(gè)人信息權(quán)益造成損害的侵權(quán)賠償責(zé)任適用過錯推定責(zé)任。

統(tǒng)籌裁判考量因素，確立個(gè)人信息侵權(quán)責(zé)任構(gòu)成要件，促進(jìn)適法統(tǒng)一。《個(gè)人信息保護(hù)法》第13條確立的合法性基礎(chǔ)通過“行為目的違法性”影響違法性判斷，通過“相關(guān)關(guān)系”影響“行為方式違法性”以及侵害行為樣態(tài)和侵害民事權(quán)益的類型的認(rèn)定，并通過行為可責(zé)難性判斷間接影響過錯要件。需要注意的是，考慮侵權(quán)責(zé)任不僅需要考慮目的合法性，還需結(jié)合整體的法效果的判斷，如方式合法性。目的合法性與方式合法性共同決定了違法性的認(rèn)定；其次，還需考慮《個(gè)人信息保護(hù)法》確定的正當(dāng)必要誠信原則的檢驗(yàn)；最終，需考慮侵權(quán)責(zé)任賠償范圍的特殊規(guī)定：《民法典》的合理使用制度通過法律上因果關(guān)系的阻斷實(shí)現(xiàn)了賠償范圍的限縮，如抗辯事由、過失相抵、損益相抵。需綜合考慮在司法實(shí)踐中確定司法決策的賠償范圍。

可以說，合法性基礎(chǔ)是動態(tài)系統(tǒng)論和利益衡量的邏輯起點(diǎn)，是個(gè)人信息侵權(quán)責(zé)任證立中牽一發(fā)而動全身的基礎(chǔ)性規(guī)范。

目前，個(gè)人信息賦權(quán)模式下所呈現(xiàn)出的私權(quán)化趨勢可歸因于未能深入理解個(gè)人信息的社會性與公共性。

6 結(jié)束語

目前，個(gè)人信息賦權(quán)模式下所呈現(xiàn)出的私權(quán)化趨勢可歸因于未能深入理解個(gè)人信息的社會性與公共性。傳統(tǒng)私法保護(hù)已不足以應(yīng)對現(xiàn)代社會頻發(fā)大規(guī)模、復(fù)雜的信息安全風(fēng)險(xiǎn)，應(yīng)考慮通過特別法《個(gè)人信息保護(hù)法》銜接來彌補(bǔ)不足。通過將《個(gè)人信息保護(hù)法》第13條確立的合法性基礎(chǔ)作為合法事由的引舉，以此建構(gòu)合法性基礎(chǔ)在個(gè)人信息侵權(quán)責(zé)任認(rèn)定中的整合保護(hù)模式，實(shí)現(xiàn)《個(gè)人信息保護(hù)法》與侵權(quán)責(zé)任成立階段的良好銜接，回應(yīng)實(shí)踐訴求。■