大數據時代個人信息侵權責任構成要件的再解讀

褚雪霏 王千石

一、問題的提出：大數據時代對個人信息侵權的挑戰

隨著全球網絡基礎設施的不斷完善，移動互聯網、物聯網、云計算等服務愈加成熟，世界已步入大數據時代，數據成為了關鍵的生產要素，其中個人信息占有重要比重。人工智能、人臉識別等領域的飛速發展，使人們享受了生活的便利，但同時個人信息遭受侵害風險的可能性成幾何量級增大，個人信息侵害事件層出不窮，個人信息保護成為焦點問題。為現實需求，2021年8月20日，第十三屆全國人民代表大會常務委員會第三十次會議通過了《中華人民共和國個人信息保護法》(以下簡稱《個人信息保護法》)，并于2021年11月1日起施行。《個人信息保護法》從多角度規定了個人信息保護條款，包括基本原則、處理方式等，這是國內首部對個人信息處理規則作出規定的法律。該文件出臺后，我國個人信息保護有了法律依據，相關主體能夠依據具體的法律條款為個人信息保護提供法律服務。

根據《個人信息保護法》第六十九條規定，在處理個人信息過程中，若損害了個人信息權益，且處理者無法證明自身無過錯，此時需面臨侵權問責。據此，個人信息處理者因侵害個人信息權益承擔的侵權責任歸責原則系過錯推定原則，其責任構成要件可被分解為三個方面：其一，處理個人信息的行為；其二，造成損害后果；其三，行為和損害結果之間具有因果關系。

然而，大數據時代個人信息侵權與一般侵權相比，在很多方面具有特殊性。這些特殊性不僅僅體現在其基本功能體系的內部，更大的區別來自于對責任構成要件之行為、損害后果、因果關系等方面的諸多改變，這些改變為法學研究提出了新的研究命題。本文對大數據時代個人信息侵權責任構成要件進行再解讀，探討各構成要件的內容，以期對我國個人信息保護法治提供新的注解。

二、 客觀要件：處理個人信息的違法行為

在認定侵權責任時，違法行為是主要的客觀要件，其中包含行為與違法兩個方面，這是構成違法行為的核心要素。這意味著具體的行為是構成侵權行為的前提，行為外的思想、事件等事實并不是構成的要素；另外，該行為違反了相關法律，具有法理控訴的依據。[1]

(一)行為

侵權中的行為依其形態，可分為直接行為和間接行為。直接行為即自己的行為，是加害人因過錯侵害他人人身權、財產權以及法律保護的利益的行為。間接行為指行為人對自己的動物和物件或者他人的加害行為與加害舉動承擔責任的“侵權行為”。[2]遵循這種傳統的侵權行為二分法，個人信息侵權中的直接行為，即個人信息處理者利用大數據平臺或者使用大數據分析工具，該行為對個人信息權益造成損害。在此類直接行為中，常見的有對個人信息非法收集、出售等。

個人信息侵權中的間接行為，也稱為準侵權行為，通常體現為個人信息處理者沒有盡到妥善管理個人信息的義務致人損害的行為。也就是說，即使個人信息處理者并沒有主動實施侵害他人個人信息的行為，但是由于其疏于對個人信息的管理而給侵權者提供了可乘之機，造成了他人的損害，這種情況下個人信息處理者亦應承擔侵權責任。究其原因，乃因個人信息處理者作為掌控個人信息的主體，其與個人信息這一“物”之間具有利益關系，能夠及時實施一定的行為規避損害結果的發生。因此，為了強調個人信息處理者對個人信息等數據的管理責任，在個人信息侵權的準侵權行為中，個人信息處理者當然應承擔侵權責任。

(二)違法性

違法性概念為德國民法所特有，并為我國臺灣地區“民法”所繼受。[3]在國內當前的民事法規中，沒有明確指出違法性和過錯的區別，在理論研究上也存在很多分歧。[4]大數據時代的侵權法基本功能形成了新的體系、互動關系和價值基礎。[5]在這種新的基本功能體系定位下，是否有必要繼續探討個人信息侵權行為的違法性？《個人信息保護法》在起草過程中，曾有觀點從比較法的角度出發，認為應將第六十九條表述為“個人信息處理者非法處理個人信息”。[6]通過頒布實施后的《個人信息保護法》第六十九條規定可知，此種觀點并未被采納。筆者也認為，在認定個人信息處理者侵權責任時不該把違法性作為判定要件，不然就會導致《個人信息保護法》對擁有合法性來源的數據所可能導致的損害之預防功能的管轄范圍的縮小，也會錯誤地把承擔侵權責任的行為只限定在違反《個人信息保護法》的情形，從而使第六十九條喪失作為獨立的請求權基礎。

三、 損害事實：從損害事實到風險性損害

在侵權損害賠償的判定中，損害是必備要件，若沒有發生損害，則無需進行賠償。[7]“無損害即無侵權”“無損害則無賠償”，這都是傳統侵權法的名言。但是并非所有損害都能構成侵權獲得賠償，否則人們的行為自由空間將受到不合理的擠壓，訴訟也將泛濫成災。所以，侵權責任構成要件中的損害，應當作出必要的限制。

傳統侵權法認為，損害應當具有確定性，而不是人們臆想的、虛構的或者尚未發生的現象。所以損害應當是已經發生的事實，這樣才能對因果關系和過錯作出判斷。大陸法系國家非常看重確定性，并規定確定性是認定損害的核心要素，英美法系國家也是如此。[8]個人信息侵權責任也需要以損害為構成要件之一，但是與一般侵權相比，個人信息侵權的損害具有明顯的特殊性：由于個人信息兼具有人格屬性和財產屬性，其一旦泄露或者不當使用，除了會使個人遭受實際損害之外，往往還體現在信息泄露后被非法使用的未來風險。實踐表明，在當事人沒有意識到的情況下，個人信息也會被復制或者轉移，但這種情況并不必然導致即時的身體傷害、人格受損或財產損失，而是產生了一種長期存在的風險。這種風險如果按照傳統侵權法關于損害的經典界定，則會因缺乏確定性而面臨認定侵權責任的困境。

鑒于此，在個人信息侵權的語境下對損害作出更為開放的解釋應當是大勢所趨。《通用數據保護條例》(GeneralDataProtectionRegulation)即表明了這種態度，在其“鑒于”部分第146段指出：“損害應根據歐盟法院的判例法作廣義解釋，并充分反映本條例的目標。”結合大數據時代個人信息侵權的特點，應當有條件的承認風險性損害亦可作為個人信息侵權中的損害事實。在擴大損害認定范圍的基礎上，我們需要進一步探討的問題是，這種風險性損害的邊界在哪里？哪些風險可以成立損害？針對這個問題，由于實踐中個案的情況千差萬別，需在個案中根據具體案情進行判斷。可以從侵害個人信息的方式、可能影響的區域、可能持續的時間、侵害信息的種類、敏感程度等因素，探索相應風險損失的認定方法。

四、 因果關系：相關關系適用的可能性

無論在自然界或人類社會中，任何一種現象的發生，均是由其他現象造成的，而該現象出現后，又會造成新的現象產生。此處，將引起某現象產生的現象，稱為原因；因為其他現象而產生的現象，我們稱之為結果。[9]因果關系是哲學上的一個重要命題，是人類研究社會現象普遍聯系中的基本指導規則。在認定侵權責任過程中，因果關系是非常關鍵的要件。確定個人信息侵權責任，需根據行為與損害結果之間是否存在因果關系進行判斷。

在大陸法系方面，因果關系學說主要分為三類，分別是條件說、原因說與相當因果關系說。相當因果關系說由德國學者馮·克里斯在19世紀末提出，而后被應用于德國法院，在進入20世紀后，該學說上升到主流地位。而因果關系具有天然的復雜性，傳統侵權法上的因果關系即包括了一因一果、一因多果、多因一果、多因多果等復雜情形。加之大數據時代，信息的生成、傳播、儲存等存在較大的復雜性，使得認定個人信息侵權中的原因與結果之間引起與被引起的關系更加困難。而我國民事訴訟法奉行“誰主張誰舉證”的證明責任分配規則，由受害人承擔個人信息侵權中的因果關系證明責任，而通常情況下由于受害人對數據傳播和法律的知識掌握有限，若只根據傳統因果理論進行舉證，則面臨重重困境。實踐中很多個人信息侵權的案例中，都因缺少因果關系而被認定不構成侵權。

如在王某訴某保險公司侵權責任糾紛(1)重慶市忠縣人民法院民事判決書，(2020)渝0233民初3695號.一案中，原告王某在被告某保險公司處投保汽車保險。2020年3月，原告的車輛發生交通事故致車輛受損。原告打電話報保險，被告派人到現場后，原告將現場照片等資料交給被告理賠，被告也完成了理賠事宜。2020年7月23日，原告與某汽車銷售有限公司合同糾紛一案在重慶市九龍坡區法院開庭時，該汽車銷售有限公司出示了原告在3月出事故的照片和原告的個人信息，并聲稱是被告某保險公司提供的。之后，原告就不停地受到他人的騷擾、威脅，揚言要將原告的車輛開走等。原告認為被告擅自將原告的事故照片、地址等信息泄露給他人導致其受到損失，故訴至法院要求被告承擔侵權責任。法院經審理認為，原告主張被告將原告交通事故的照片、地址等個人信息泄露給他人導致原告產生損失，僅提交了修車發票和事故照片擬證。原告未提交被告實施侵權行為及原告產生損失的任何證據，原告提交的修車發票和事故照片只能證實原告發生交通事故造成車輛受損的事實，但并不能由此推定被告因此次交通事故實施了將原告交通事故的照片、地址等個人信息泄露給他人的侵權行為，也不能證實原告因被告的過錯遭受了損失。鑒于上述理由，最終法院對原告的訴訟請求予以駁回。

在本案中，原告稱其個人信息遭到被告泄漏之后，就不停地受到他人的騷擾、威脅，而被告則抗辯其未向他人提供原告的任何照片和個人信息。法院經審理也認定沒有證據能夠證明原告的猜測。可見，原告所遭受的損害會因為依賴傳統因果關系理論而無法得到救濟。而《個人信息保護法》第六十九條并未對因果關系如何判斷作詳細規定。在大數據時代，個人信息的復制、加工等行為如此隱蔽，如果我們仍然依靠傳統因果關系的理論認定個人信息侵權責任的話，就很可能使得受害人的權益無法得到救濟。

相當因果關系說不應是一成不變的，它應當是一個不斷發展的理論學說，包含了多種可能的理解路徑。大數據本身具有極其強大的預測能力，其來源是不能夠給出確定的因果關系判斷，而是通過對大量數據的分析從各個側面去印證原因和結果之間存在關系的高度可能性。[10]因此，在個人信息侵權案件中適用相當因果關系，應加以特別詮釋。具體而言，應降低受害人對因果關系的舉證標準，對于原告的舉證，僅需初步證明損害與侵權行為有事實上的因果關系。在個人信息侵權案件中適用這種舉證責任標準應存在兩個前提：第一個前提是，原告已有證據證明被告實施了侵害原告個人信息的行為，且原告有證據證明自己受到了損害或者有遭受損害的風險；第二個前提是，對于原告作出的損害與侵權行為可能具有條件關系的初步證明，被告可對不存在因果關系提供證據進行抗辯。如此，將大大提高個人信息侵權責任成立的概率，使得受害者獲得救濟。

五、結語

中國已成為全球數據總量最大，數據類型最豐富的國家之一。當前，大數據正在成為信息時代的核心戰略資源，對社會生活方式產生了深刻影響。另外，在信息技術飛速發展的今天，數據安全風險問題也越來越嚴重。從近年的案件可以看到，有關個人信息侵權的事件屢見不鮮，在我國大數據時代進入快車道的背景下，怎樣保護好個人信息，這成為全社會關注的重要問題。

在個人信息侵權法保護路徑下，構成要件應當進行全新解讀。在客觀行為方面，不應將違法性作為個人信息處理者承擔的侵權責任的構成要件，否則會大大減少《個人信息保護法》對擁有合法性來源的數據所可能導致的損害之預防功能的管轄范圍，也會錯誤地把個人信息處理者承擔侵權責任的行為狹隘的限定在只違反《個人信息保護法》的情形，從而使第六十九條喪失作為獨立的請求權基礎。在損害認定方面，在個人信息侵權的語境下應對損害作出更為開放的解釋，承認風險在一定條件下成立損害。而風險損失的認定方法，可以從侵害個人信息的方式、可能影響的區域、可能持續的時間、侵害信息的種類、敏感程度等方面進行探索。在因果關系方面，個人信息侵權案件中適用相當因果關系，應降低受害人對因果關系的舉證標準，原告只要初步證明損害與侵權行為具有事實上的因果關系，即可完成證明責任。未來，個人信息侵權法律制度將不斷豐富和完善，行為、損害、因果關系等構成要件均應進行全新解讀，這將是侵權責任法面對大數據時代挑戰的一次升華。