商業個人信息的侵權法救濟路徑

摘要：涉及商業個人信息的案件中，常見實際加害人無法查明、因果關系證明困難等典型特征，是當前商業個人信息救濟亟待解決的問題。共同危險行為的制度設計目的在于解決存在多個加害人時實際損害結果是由哪個加害人的行為引起無法確定的侵權救濟難題。同時，由于信息處理者與信息主體處于證據收集與專業知識之懸殊差異的高度不對等的社會結構層次造成證據偏在現象，使得受侵害的信息主體處于證據資料收集不對稱的劣勢地位，其平等參與訴訟的權利事實上被剝奪。適用共同危險行為，要求信息處理者承擔證明責任，是實現此類侵權形式正義與實質正義協調的最佳途徑。

關鍵詞：商業個人信息；加害人不明；共同危險行為；因果關系；舉證責任倒置

中圖分類號：D9文獻標識碼：Adoi：10.19311/j.cnki.1672-3198.2025.10.068

0引言

隨著網絡信息技術的飛速發展，絕大多數現代企業的發展離不開商業個人信息的加工處理使用，由此頻繁出現商業個人信息侵權，根植于我國國情的《商業個人信息保護法》頒布。實踐中侵害商業個人信息適用的侵權責任以及舉證方面的困境引起了社會的關注。本文基于商業個人信息侵權的形式特征與實質特征主張適用共同危險行為，以期為解決商業個人信息侵權的救濟困境提供一定參考。

1商業個人信息侵權的救濟困境

隨著信息網絡科技、數字經濟的迅猛發展，商業個人信息的處理方式、處理范圍也發生了更復雜的變化，使得商業個人信息的侵權行為呈現新的特點，由此也帶來了侵權救濟上的難題。侵害商業個人信息權益的行為具有廣泛性，大數據時代的商業個人信息侵權行為受害者往往不是一個，大量企業收集、存儲、加工、運輸海量個人數據，一旦發生數據泄漏，就會給數量龐大的受害者造成危險甚至產生現實的損害，因此《商業個人信息保護法》給商業個人信息處理者施加諸多義務防止商業個人信息泄露、篡改、丟失。侵害商業個人信息權益的行為具有間接性，因為信息泄露或者非法買賣商業個人信息而進行電信詐騙等違法犯罪活動，受害者往往難以證明信息泄露的行為人是誰，更遑論追責使其承擔侵權責任。信息權益主體與信息處理者之間控制力極度不對稱，商業個人信息權益被侵犯的信息權益主體難以提供證據證明實施具體侵害信息權益行為的信息處理者是誰，由此陷入了救濟困境。而不需要舉證因果關系的侵害他人信息權益的信息處理者又在事實上掌握著證據資料，既獲得了舉證上的利益，又在事實上剝奪了受害人救濟的權利。同一信息主體的商業個人信息被多個信息控制者處理而發生泄露的情形中，應當對受害者提供何種救濟才能實現形式正義和實質正義的協調，引起了廣泛的思考。

2適用共同危險行為

承擔侵權責任的必備要件之一是具備因果關系，信息侵權案件常發生于多個信息處理者均參與實施信息處理的場合，因此要求信息權益主體證明實施侵害行為的處理者究竟是誰，成為了事實上難以完成的任務。剖析信息侵權案件證明難的成因，會發現正是多個信息處理者的行為共同作用，才使得信息權人陷入擇一的因果關系難以證明的困境。受侵害的信息權人沒有能力并且也不應當承擔證明各個信息處理者之間處理信息的內部分配協調的具體過程[1]。

我國關于共同危險行為的法律制度設計，針對性解決多個實施具有損害他人法益行為而無法證明具體導致損害結果的行為究竟是哪個危險行為人的行為的法律證明與權益救濟困境。在負有舉證責任卻處于不能接近證據的弱勢地位的被侵權人無法證明具體侵權人時，全體危險行為人承擔連帶責任。共同危險行為制度消除了受害人由于加害人的共同行為使得其處于弱勢地位而造成的舉證困難，符合法律對于公平正義的要求。

2.1構成要件符合性

第一，共同危險行為要求兩個以上的人均實施了足以造成他人人身、財產損害的危險行為。危險性是共同危險行為中的關鍵因素，對于危險性的內涵，理論上認為共同危險行為中的危險行為是指具有造成損害高度可能性的行為。同時，共同危險行為中的危險行為是由于沒有盡到一個謹慎理性人應該盡到的一般合理注意義務而導致了危險的現實化，該危險應當區別于高度危險責任中的危險。高度危險責任是由于特殊的領域或者特殊的危險物品與生俱來的無法被科技手段消除的危險，是盡到了合理謹慎的注意義務仍然無法完全預防其發生的危險。因此，共同危險行為中的危險具有較強的可責難性。

對于共同危險行為中的危險性可以從該行為本身的性質、實施該行為時周圍環境如何以及行為人對該行為致害可能性的控制條件上加以判斷[2]。在本文討論的商業個人信息侵權中，即存在同一信息主體的商業個人信息被多個信息控制者處理而發生泄露的情況。信息泄露是否屬于造成損害的高度可能性的行為？誠然，脫離具體案件單論信息泄露這一行為，很難看出其具有危險性。因為在人類社會中，信息交流構成了日常生活的基礎，即便不是被信息處理者泄露，我們自己也會與他人進行信息交換，會議、網購、朋友圈，甚至在社交媒體上的評論，都會導致信息主體的商業個人信息被不確定的人知曉。但在商業個人信息侵權的具體案件中，如前文所述，從行為本身、周圍環境以及行為人對致害可能性的控制條件上加以判斷，危險性就是顯而易見的了。在龐某與某信息技術有限公司等糾紛案中，媒體多次報道該航空公司和該信息技術有限公司涉嫌泄露乘客隱私導致乘客起飛前接到詐騙短信，乘客的姓名、手機號碼、航班信息以及因機械故障導致航班取消的航班狀態等外界無法獲知的信息之詳盡，讓人無法不相信其出自官方之手，使得乘客處于被詐騙的危險處境中。《網絡安全法》與《商業個人信息保護法》均規定，用戶的商業個人信息應當按照規定的方式處理，針對可能存在的安全風險建立嚴格的信息保護制度，防止用戶信息被侵害。這兩家公司應當知曉其在信息安全管理方面存在漏洞，并且泄露的商業個人信息被用于詐騙，卻并未迅速采取專門的、有針對性的加強其信息安全保護的有效措施，而是放任支付了金錢付出了對價使這兩家公司因此取得了利益的乘客反而處于因這兩家公司信息泄露而極大可能被詐騙的危險境況中，屬實不公。這兩家公司的行為已經具備了共同危險行為的行為危險性。

第二，共同危險行為要求兩個以上的行為具有時空上的關聯性。時間上的關聯性是指受害人的損害發生在共同危險行為人的行為之后，并且還應當與共同危險行為人的行為之間在時間上具有高度關聯性。受害人的損害與共同危險行為人的行為在空間上具有高度的關聯性，具體可以根據雙方所處的位置以及周圍的環境條件來判斷。危險行為具有時間上的關聯性不是指數學上嚴謹的時間概念，而是需要結合具體情形來確定是某一個具體時間點，還是一個時間段，然后再根據行為與損害之間的因果關系來進行認定[4]。對于“時間段 ”這一概念來說，其主要指危險行為在一段相對較長的時間范圍內相繼發生的情形，此時行為人所實施的行為與時間的聯系可能不如“ 同時性 ”那么緊密，可能時間上有所間隔不是完全同一時刻發生但在一定的時空范圍內其造成的危險卻可以同時、同地地存在。如多位信息處理者沒有采取合格的保護商業個人信息安全的必要措施導致商業個人信息泄露，并不要求行為的同時發生，只要其造成的危險在一定范圍時空范圍內可以同時存在即可。

第三，其中一個行為或者部分行為造成了損害后果，依據現有證據不能確定誰的行為實際造成了損害后果的發生。例如李某與某銀行股份有限公司支行、某通信集團湖北有限公司分公司侵權責任糾紛案中，銀行通過電子支付拓寬自己業務渠道，用戶個信息的收集、處理、傳輸、存儲等雖然是業務辦理的需要，但銀行也因此開啟了某種危險，因此銀行在其專業領域內應當對儲戶的商業個人信息采取高級別的內部信息安全管理，采取必要的、具有期待可能性的防范措施保護儲戶免于危險的義務。然而，罪犯卻能夠獲取包括受害人李忠的賬戶資料等信息在內的大批儲戶商業個人信息，并且使用獲取的商業個人信息通過了銀行支付系統的安全程序。銀行存在安全系統上的技術漏洞。移動公司武漢分公司在受害人李忠本人未到場的情況下，為罪犯辦理了具有李忠商業個人信息的通信卡，泄露了受害人的商業個人信息。招商銀行光谷支行與移動公司武漢分公司均未盡到通信信息安全保障義務，致使李忠的商業個人信息泄露造成其資金被盜的損害后果。

第四，兩個以上的危險行為人主觀上無意思聯絡，即在實施共同危險行為時，共同危險行為人主觀上沒有故意。共同危險行為人的主觀狀態是過失，由于每個行為人都沒有盡到合理謹慎人應當盡到的注意義務，使得他們的行為致人損害。正是由于共同的過失，使得數位信息處理者的行為彼此結合，共同構成了共同危險行為。具體來講，該過失可以來源于信息處理者沒有采取措施確保商業個人信息處理活動合法并且保護安全，比如沒有制定內部管理制度和操作規程，沒有對商業個人信息采取相應的加密、去標識化等安全技術措施，沒有合理確定商業個人信息處理的操作權限并定期對從業人員進行安全教育和培訓，在發生商業個人信息不慎泄露等外事件時沒有及時采取合理措施防止損失擴大等等。

2.2正當性

有學者反對將共同危險行為適用或者類推適用于同一信息主體的商業個人信息被多個信息控制者處理而發生泄露的情形，認為與實證法的規定矛盾。其反對理由為無論是適用共同危險行為還是類推適用共同危險行為，多個信息處理者的行為均需要在過錯責任原則下進行探析，然而侵害商業個人信息的歸責原則為過錯推定責任原則。

實際上該觀點只是單純從文字的區別上進行反駁，缺乏有力依據。首先從法條解釋的角度出發，《民法典》第一千一百六十五條規定了以過錯作為行為人承擔侵權責任的構成要件之一，第一千一百六十六條規定了不以行為人具有過錯作為其承擔侵權責任的一項構成要件。因此，過錯責任原則是我國侵權責任法中最基礎的歸責原則，過錯責任原則的下一法條即是無過錯責任原則，其作為補充是我國侵權責任法中第二種歸責原則，與過錯責任原則共同構成了我國侵權責任法的歸責原則體系。而第一千一百六十五條的第二款，過錯推定，由于其適用必須有法律具體明確列舉的以舉證責任倒置的方式來進行侵權責任認定，因此作為過錯責任的一種特殊形態予以專門規定。其次從侵權責任歸責原則的內涵出發，即行為人承擔侵權責任的依據。過錯責任要求行為人只對其因過錯心理驅動下造成的損害承擔侵權責任，避免了行為人對其無法控制的客觀損害承擔侵權責任，保障了人的行為自由與意思自治。過錯推定的適用也是要求行為人具有過錯作為其侵權責任成立的必備構成要件，行為人承擔侵權責任的依據依然是具有過錯。因此過錯推定應當歸屬于過錯責任原則，只不過在舉證責任分配上，過錯推定中被侵權人不需要證明侵權人具有過錯。作為過錯責任原則的補充，無過錯責任原則要求侵權人承擔侵權責任的依據并不是其具有過錯，而是其他事由。

2.3合理性

在同一信息主體的商業個人信息被多個信息控制者處理而發生泄露的情形中，正是由于加害人和受害人在社會結構的層次上固定下來，原被告的角色幾乎失去了可互換性，而且當事人雙方的力量對比高度不均衡，證據及必要的科技知識往往集中分布在加害人手中。只有信息處理者才能夠知悉其信息系統的漏洞，受害人處于力量對比和知識水平的不利地位[4]。正是由于多個信息處理者在高度關聯的時空領域實施了具有相同性質的數次侵害商業個人信息的危險行為相互聯結，才使得無辜的受害人無法辨別究竟是哪個行為人的商業個人信息侵權行為與自己遭受的損害具有因果關系，而依照“誰主張誰舉證的 ”傳統訴訟證明原則，受害人又因為與信息處理者處于證據收集與專業知識之懸殊差異的高度不對等的社會結構層次，使得受害人由于證據偏在現象而處于證據資料收集的不對稱的劣勢地位，最終因為不能歸責于自身原因的無法舉證而承擔不能維權帶來的第二次傷害。信息技術的迅猛發展勢必會導致越來越多的商業個人信息侵權需要法律的救濟，程序正義與實體正義的沖突會在此類侵權中愈演愈烈。平等是民事法律關系的基石，這就必然要求訴訟雙方當事人應當被平等分配訴訟的勝敗風險，而不能使得其中一方由于不能歸責于其自身的客觀原因而處于實質上敗訴風險更高的劣勢地位。因此，解決多個信息處理者均就同一個信息主體實施同性質的多次危險行為的救濟困境關鍵之處就在于，如何減輕無法證明因果關系而又要承擔舉證責任的受害人的證明責任。減輕證明責任的程度應當與受害人所遭受的不利程度相當，既然多個信息處理者在高度關聯的時空領域實施了具有相同性質的數次侵害商業個人信息的危險行為相互聯結，增加了受害的信息主體的證明難度，因此，根據實質平等的要求，降低這種難度是最佳途徑[5]。即受害人不再需要分別證明多個信息處理者的侵害行為與其受有損害的因果關系，而是將所有信息處理者的侵害行為視為一個整體，受害人只需要證明整體與損害后果的因果關系，而不需要證明擇一的因果關系。多個實施侵害行為的信息處理者因為不用承擔侵害行為與損害后果之間的因果關系的證明，而證明資料事實上又不平等地掌握在其手中，因此享有了舉證上的利益，受害人平等參與訴訟維護其合法利益的權利事實上被侵害甚至剝奪。如果認為當事人對事實確認享有權利，那么同時也必須保障當事人證明這些事實的權利[6]。法律應當就此舉證上的不平等進行調整，適用共同危險行為的合理性也正基于此。

3結語

涉及多個信息處理者侵害同一信息主體的商業個人信息時，多個信息處理者在高度關聯的時空領域實施了具有相同性質的數次侵害個人信息的危險行為相互聯結，增加了受害的信息主體的證明難度，因此需要降低這種難度，即受害人不再需要分別證明多個信息處理者的侵害行為與其受有損害的因果關系，而是將所有信息處理者的侵害行為視為一個整體，受害人只需要證明整體與損害后果的因果關系，而不需要證明擇一的因果關系。在該共同危險行為的認定過程中，減輕證明責任的程度是與受害人遭受的不利程度相當的，是真正使得行為人與受害人處于平等法律地位的最佳途徑。

參考文獻

［1］徐明.大數據時代的隱私危機及其侵權法應對[J].中國法學，2017，（1）：146.

[2]楊立新.侵權責任法[M].第三版.北京：法律出版社，2018：113.

[3]王竹.再論共同危險行為——以客觀關聯共同侵權行為理論為視角[J].福建師范大學學報，2010，（4）：138-146.

[4]占善剛.證明妨害論——以德國法為中心的考察[J].中國法學，2010，（03）：100-110.

[5]畢玉謙.關于創設民事訴訟證明妨礙制度的基本視野[J].證據科學，2010，18（05）：585-599.

[6][德]米夏埃爾·施蒂爾納.德國民事訴訟法學文萃[M].趙秀舉譯，北京：中國政法大學出版社，2005：314 .