從身份識別到行為識別：個人信息侵權(quán)認定的路徑選擇

鄧佑文, 王文文

(浙江師范大學(xué) 法政學(xué)院，浙江 金華 321004)*

大數(shù)據(jù)時代的個人信息帶有人格利益和財產(chǎn)利益雙重屬性，由此也衍生出信息主體固有的人格權(quán)與信息本身所蘊含的財產(chǎn)利益在權(quán)利行使中的沖突。個人信息的法律保護和數(shù)據(jù)的商業(yè)利用之間的平衡成為裁判個人信息糾紛案的必要考量因素，更準(zhǔn)確地說，目前司法實踐中個人信息的法律界定成為個人信息侵權(quán)案件判定的前提。然則由于信息的交叉雜糅性與立法的滯后性，當(dāng)前個人信息的法律界定缺乏明晰的標(biāo)準(zhǔn)。第一，信息數(shù)據(jù)化處理技術(shù)的發(fā)展導(dǎo)致個人信息潛在范圍擴張，相應(yīng)增大了法律適用的不確定性。第二，信息脫敏技術(shù)崛起增強了信息利用的道德可接受度，然脫敏后的信息也在迅速發(fā)展的大數(shù)據(jù)面前難以排除被重新識別的可能。受法律保護的個人信息邊界模糊不清，匿名化處理有效性標(biāo)準(zhǔn)與時俱進，因而對個人信息法律判定標(biāo)準(zhǔn)進行探討尤為必要。本文擬從個人信息的可識別性司法適用困境出發(fā)，探討應(yīng)被納入私法保護范圍的個人信息之邊界及附于其上的權(quán)利客體，并以此為基礎(chǔ)，對個人信息侵權(quán)行為的認定路徑作一探討分析。

一、身份識別作為個人信息判定標(biāo)準(zhǔn)的侵權(quán)救濟困境

目前學(xué)術(shù)通說認為，個人信息相較傳統(tǒng)隱私權(quán)，在權(quán)利客體、權(quán)利屬性、權(quán)利內(nèi)容保護方式等方面都存在明顯差異，法律對其保護應(yīng)擺脫隱私權(quán)保護模式，以私權(quán)保護為中心，建構(gòu)獨立的權(quán)利或法益保護秩序。[1]比較法中，個人信息的侵權(quán)救濟也存在不同路徑。

圖1 個人信息侵權(quán)救濟比較法路徑

如上圖1所示，雖然各國在面對個人信息侵權(quán)糾紛時救濟思路不一，但均以權(quán)益損害為判斷侵權(quán)的邏輯起點。程嘯先生認為,判斷行為是否侵權(quán)，可參考圖2所示的思維過程，[2]215只有當(dāng)行為造成權(quán)益侵害時才能啟動侵權(quán)救濟模式。

圖2 權(quán)益被侵害與損害的關(guān)系示意圖

認定個人信息(又稱個人數(shù)據(jù)，個人資料)①法律保護邊界的國際通行做法是“以身份識別為標(biāo)準(zhǔn)”，②其定義一般包含身份可識別性、載體、內(nèi)容(包括客觀事實和主觀評價)三大要素。[3]其中身份可識別性是個人信息最重要的要件，包括能夠被直接或間接識別兩種情形，后者具體體現(xiàn)為通過參照姓名、定位等數(shù)據(jù)標(biāo)識，或基因、經(jīng)濟收入等身份要素來定位到個人。[4]這一標(biāo)準(zhǔn)也得到我國的立法及學(xué)術(shù)界的認同，王利明、[5]張新寶、[6]周漢華、[7]蔣坡、[8]齊愛民[9]等學(xué)者均采取了“識別性”個人信息定義。還有學(xué)者認為，個人信息的關(guān)鍵特征在于識別或能識別到具體自然人。[10]

然而依賴傳統(tǒng)路徑裁斷個人信息侵權(quán)糾紛常面臨權(quán)利界定不明的困境。我國個人信息的定義采用“一般定義+典例事項+例示規(guī)定”的樣式，③這是基于大數(shù)據(jù)時代豐富的信息類型難以列舉窮盡之考慮，但也產(chǎn)生了例示規(guī)定如何解釋的問題?，F(xiàn)實中，在個人日常生活中頻繁出現(xiàn)的IP地址、cookies、人群標(biāo)簽等個人信息衍生品與傳統(tǒng)個人信息差異明顯，其是否屬法律保護范疇并不能作當(dāng)然解釋。[11]這一方面源于例示規(guī)定解釋本身的難度，同時也反映出“一般定義”中構(gòu)成要素的適用之困難。可識別性作為個人信息認定的關(guān)鍵要素，在目前我國司法適用中遭遇瓶頸，如百度網(wǎng)訊與朱燁隱私權(quán)糾紛一案。④一審法院以信息自決為法理，認定百度非經(jīng)信息主體明確同意收集、利用他人信息的行為構(gòu)成侵犯隱私權(quán)。但二審法院在事實認定相同的前提下，認為cookie記錄信息因無法確定信息歸屬主體而“不具身份可識別性”，百度網(wǎng)訊為個性化推薦服務(wù)而收集和推送信息的終端是瀏覽器，不存在定向識別網(wǎng)絡(luò)用戶身份的行為，“故百度網(wǎng)訊公司的個性化推薦行為屬于正當(dāng)商業(yè)行為”。百度未經(jīng)用戶知情和明示同意，即利用cookie記錄跟蹤用戶上網(wǎng)蹤跡，并以此進行精準(zhǔn)廣告投放，導(dǎo)致信息主體“感到恐懼，精神高度緊張，影響了正常的工作和生活”，確實侵擾了信息主體的日常生活，且不談這種信息收集是否真的不具可識別性，該類行為僅因商業(yè)主體收集到的個人信息不具可識別性而不被法律規(guī)制的認定又是否合乎法意及情理？若可識別性作為個人信息法律認定標(biāo)準(zhǔn)尚有欠缺，法律對個人信息的保護又該以何為界？個人信息侵權(quán)糾紛認定標(biāo)準(zhǔn)又該如何？

二、身份識別標(biāo)準(zhǔn)失效的原因剖析

身份識別標(biāo)準(zhǔn)的制度功能有三：一是為司法侵權(quán)認定提供相對精確的標(biāo)準(zhǔn)；二是保護潛在的信息財產(chǎn)利益；三是保證不涉私人領(lǐng)域的其他信息符合社會發(fā)展的流通。[12]但實踐中個人信息身份識別標(biāo)準(zhǔn)卻受到?jīng)_擊，主要原因有司法認定中個人信息可識別標(biāo)準(zhǔn)界限模糊、身份識別標(biāo)準(zhǔn)無法涵蓋所有信息侵權(quán)行為兩個方面。

(一)可識別性標(biāo)準(zhǔn)界限模糊

個人信息識別判斷標(biāo)準(zhǔn)分“主觀說”“客觀說”“任一主體說”三類?！爸饔^說”以信息利用主體的主觀要素判斷識別可能性；[13]“客觀說”從與案件無涉的普通人角度認定識別可能性；[14]“任一主體說”標(biāo)準(zhǔn)最高，認為只要社會任意主體可識別即具識別的可能性。[15]三類標(biāo)準(zhǔn)在實踐中均有反映，折射出可識別性標(biāo)準(zhǔn)適用的不確定性。

第一，可識別性因信息整合技術(shù)的發(fā)展而動態(tài)變化，這否定了“主觀說”的合理性。大數(shù)據(jù)時代，信息的收集和匹配成本越來越低，個人信息之上夾攜的身份資料及財產(chǎn)利益驅(qū)動了多方主體對其的利用，而信息主體也往往在毫不知情的狀態(tài)下被政府、商業(yè)主體等輕易獲知生活中的瑣碎信息。除此，諸多在一般普通人眼中并無價值的個人信息，也可以被他人利用來識別信息主體身份，進而侵擾我們的私域空間或其他利益。大數(shù)據(jù)整合技術(shù)往往帶來1+1>2的效用，孤立的個人信息經(jīng)提取整合，可形成詳細準(zhǔn)確的整體信息，從而可達到與特定個人匹配的程度。這些系統(tǒng)性的整體信息蘊含著巨大的潛在財產(chǎn)價值，同時也承載著分散主體的人格利益，這類數(shù)據(jù)一旦被泄露擴散，任何人的私人空間都將不會安寧，普通住宅賦予個人的私密空間將被整合數(shù)據(jù)吞噬。更甚者，現(xiàn)期不具識別性的零散信息可能會被更先進的信息整合技術(shù)演變成為可準(zhǔn)確定位個人的數(shù)據(jù)，進而將個人變?yōu)榇a一般的存在。正如學(xué)者所言，識別與非識別間存在著在某一時刻相互轉(zhuǎn)化的風(fēng)險。[16]日新月異的信息技術(shù)幾乎使普通人“無私可隱”，可識別性的判斷難度只增不減。

第二，不同群體可識別性界限不一，這否定了“客觀說”的合理性。隱私法的功能其實是在“界定社群的本質(zhì)和邊界”，[17]夾攜著個人身份特征的信息也具有這樣的效果。不同領(lǐng)域、不同群體的識別性因社會實踐和利益結(jié)構(gòu)存在差異。信息控制者相較普通個人有輕易識別信息主體的能力。如龐理鵬與北京趣拿信息技術(shù)有限公司之間發(fā)生的隱私權(quán)糾紛案中[(2017)京01民終509號]，龐理鵬的姓名與個人隱私并無絕對聯(lián)系，但航空公司將其與個人行程信息整合，便可定位當(dāng)事人行蹤，構(gòu)成在當(dāng)事人未知情況下對其私域的侵擾。不同主體識別能力的相對性使得可識別性界限模糊，這也是“客觀說”遭受批評的原因。

第三，“身份”的法律保護價值有待商榷，這否定了“任一主體說”的合理性。身份再識別技術(shù)的發(fā)展使得幾乎任何信息都可以用來識別個人身份，具有身份可識別性。故而有學(xué)者認為，這一發(fā)展體現(xiàn)了“識別性”定義的不妥之處。[18]如果法律把所有身份可識別信息都納入保護范圍，不僅會加重訴訟負擔(dān)，也可能阻礙信息產(chǎn)業(yè)發(fā)展，限制個人信息之上所攜帶的財產(chǎn)利益的發(fā)揮，同時容易導(dǎo)致權(quán)利濫用，最終限制信息自由流通。[19]但個人信息法旨在保護人，而非信息本身。[20]法律保護對象和行為侵權(quán)是兩件事，應(yīng)當(dāng)予以區(qū)分。因此可識別性作為個人信息的核心要素并無任何不當(dāng)之處，但其并不能成為判定受法律保護個人信息的唯一特性，也不應(yīng)當(dāng)成為必要構(gòu)成要素。

(二)存在無涉身份識別的信息侵擾行為

有學(xué)者從侵害類型角度對新型信息侵害行為進行歸類，認為目前存在“數(shù)據(jù)泄露、導(dǎo)致或促成下游犯罪發(fā)生、社會分選和歧視、數(shù)據(jù)監(jiān)控下的不安與自我審查、消費操縱和關(guān)系控制”五類應(yīng)當(dāng)被現(xiàn)行侵權(quán)法規(guī)認可的新侵權(quán)類型。[21]其中諸多行為并不需涉及身份識別便能對信息主體造成侵害。根據(jù)《民法總則》第111條規(guī)定，個人信息侵權(quán)行為包括非法收集、使用、加工、傳輸、買賣、提供或者公開他人個人信息等行為，這是站在信息使用者角度對侵權(quán)行為的認定，若轉(zhuǎn)換到對信息主體人格權(quán)益和財產(chǎn)權(quán)益的侵害角度，則可分為信息披露、信息侵擾兩類行為。其中信息披露正因為個人信息攜帶身份識別功能，才能對信息主體造成利益損害。但信息侵擾行為不一定能直接識別到具體個人。普羅瑟認為，“侵擾行為是對他人事務(wù)形成干擾，并且讓他人在合理程度上感到冒犯或者心生反感的行為”。[22]如Katz v．United States案中，行為人的竊聽行為，雖并不知悉監(jiān)控對象的私人信息，也沒有侵入受害人物理空間，但同樣構(gòu)成對他人隱私的侵害。再如上文提及的朱燁案，百度未經(jīng)用戶明示同意，即利用cookie技術(shù)獲取用戶上網(wǎng)信息，并在數(shù)據(jù)分析后進行有目的的廣告投放，其行為實際侵擾了用戶的個人私域，對用戶的精神健康有一定的傷害。但二審認為，百度網(wǎng)訊并未對cookie信息進行實質(zhì)性身份識別，無需承擔(dān)隱私侵權(quán)責(zé)任。顯然本案中，出于對信息實踐價值的考慮，法官限制了個人信息法律保護范圍，但這種司法手段顯然存在助長網(wǎng)絡(luò)服務(wù)商對有潛在商業(yè)價值的個人信息放肆利用之患虞，畢竟商業(yè)主體只需在形式上對數(shù)據(jù)進行脫敏處理，即可合法使用交易數(shù)據(jù)。由此，身份識別標(biāo)準(zhǔn)在本案中阻礙了受害者的法律救濟。

既然司法實踐中身份識別標(biāo)準(zhǔn)的價值被高估，那法官在審理侵擾行為時，又該采取何種標(biāo)準(zhǔn)或路徑對被侵擾主體的利益予以救濟？英國司法實踐基于訴因理論對個人信息侵權(quán)裁判采用兩階層分析框架：首先判斷信息是否符合合理權(quán)利期待等法律保護目的，其次基于個案事實進行利益衡量。[23]該分析框架對我國司法實踐有借鑒意義，即若侵擾行為所含個人信息在具備身份識別風(fēng)險時，法官可考慮侵擾行為本身，而非糾結(jié)信息主體是否能被識別。當(dāng)然這一路徑應(yīng)建立在個人信息權(quán)利保護客體的重新認識上。

三、個人信息法律保護客體的合理界定

根據(jù)《民法總則》第111條相關(guān)規(guī)定，自然人的個人信息均受民法保護。此種規(guī)定看似擴大了權(quán)利范圍，實則因信息眾多，權(quán)利邊界不清，導(dǎo)致無法為他人行為劃定禁區(qū)。[24]這主要源于我國學(xué)術(shù)界將權(quán)利客體與權(quán)利對象混同之故。學(xué)術(shù)主流將哲學(xué)上的“客體”移植于法學(xué)領(lǐng)域，混淆權(quán)利客體與權(quán)利對象，難以為個人信息商業(yè)價值發(fā)揮與法律保護提供自洽的理論解釋。[25]因此，理論上應(yīng)將個人信息權(quán)利客體從權(quán)利對象(載體)中剝離出來，予以更規(guī)范的法律表達。

(一)剝離：個人信息權(quán)利客體與權(quán)利對象的區(qū)分

目前關(guān)于權(quán)利客體與權(quán)利對象的認識有“同一說”與“分層說”之區(qū)分?！胺謱诱f”認為存在不同層級的權(quán)利客體，即支配權(quán)或利用權(quán)的標(biāo)的、可經(jīng)法律行為處分的標(biāo)的及其他可被整體處分的某財產(chǎn)權(quán)利。[26]“分層說”將權(quán)利客體視為權(quán)利或法律關(guān)系，與權(quán)利對象并不一致?！巴徽f”認為“權(quán)利以有形或無形之社會利益為內(nèi)容或目的，為此內(nèi)容或目的之成立所必要之一定對象，為權(quán)利之客體”。[27]在個人信息保護問題上，我國學(xué)術(shù)界普遍認同“同一說”的觀點，有諸如“法律保護具有價值的個人信息”、[28]“與人格尊嚴相關(guān)”的個人信息方受人格權(quán)保護、[29]“個人不良信息不受法律保護”[30]等多種觀點。無論采取哪種界定方式，個人信息法律保護范圍的邊界都顯模糊。霍菲爾德曾指出，如何正確分析利益的內(nèi)在本質(zhì)阻礙了許多具體法律問題的解決，而利益本質(zhì)的探索需要依賴法律概念的厘清，此工作的前提是區(qū)分純法律關(guān)系(purely legal relations)和引起該關(guān)系的物質(zhì)與精神事實(physical and mental facts)。[31]顯然這一區(qū)分劃清了權(quán)利客體與權(quán)利對象的界限。

權(quán)利通常附著在某種事物上，可能是一棟房子(物)、一個舉動(行為)、一本著作(知識產(chǎn)權(quán))，亦或者是一種權(quán)利，如股份質(zhì)押，該法律關(guān)系中存在雙重權(quán)利載體與權(quán)利客體，同時第二重權(quán)利載體是第一重權(quán)利客體，也即，股票作為可視化的物，是股權(quán)的權(quán)利載體，而股權(quán)作為一種權(quán)利，又承載著“權(quán)利質(zhì)押”這一特殊的權(quán)利客體(如圖3所示)。再如某些人格利益，人格利益的權(quán)利載體不能一概而論，可以是可具象化的事物，如隱私、姓名、肖像；也可以是一種行為，如個人信息自決行為、信息自由利用行為等；也可以是某種權(quán)利，如公眾人物利用名譽賺取財產(chǎn)利益，財產(chǎn)利益便附著于名譽權(quán)這一人格利益上。顯然權(quán)利對象皆是可具象事物，但權(quán)利客體卻是具象事物背后的利益。實踐中常將權(quán)利載體(權(quán)利對象)如肖像視為肖像權(quán)的客體，顯然肖像與肖像權(quán)所承載的利益并不是同一事物。將權(quán)利客體與權(quán)利載體混同的做法，無論在邏輯上或在實踐中均不成立。事實上，哲學(xué)上的客體只是法學(xué)領(lǐng)域中存在具體外延的“權(quán)利對象”，法學(xué)上與權(quán)利主體相對應(yīng)的客體只能是抽象范疇的“民事利益”。

圖3 股權(quán)質(zhì)押中雙重權(quán)利載體與客體圖示

司法認定沒有明確標(biāo)準(zhǔn)來界定應(yīng)受法律保護的個人信息，因此筆者建議拋卻拘泥于個人信息本身的思考，在司法實踐中界分權(quán)利保護客體與權(quán)利載體，對個人信息法律體系保護的實質(zhì)利益進行探討。權(quán)利保護范圍的寬廣性與保護要件設(shè)定的嚴格程度，是可以分離也應(yīng)當(dāng)分離的兩個問題。[21]個人信息與人格利益密切相關(guān)，不應(yīng)該以內(nèi)容的優(yōu)劣而改變信息屬性，且內(nèi)容的優(yōu)劣具有相對性，不足以排除法律對其的保護。另外，我國民法總則第111條在措辭上使用個人信息而非“個人信息權(quán)”，一方面是由于權(quán)利客體與對象混同所致，另一方面也是基于個人信息界定困難的考慮。由此，個人信息作為權(quán)利對象應(yīng)被統(tǒng)一納入私法保護，但在侵權(quán)認定中，權(quán)利客體的明確界定才是司法裁斷的重點。

個人信息中存在以人格尊嚴與人身自由為內(nèi)容的人格利益與基于人格利益及商業(yè)利用衍生出的財產(chǎn)利益雙重權(quán)利客體，且有直接利益與間接利益之分，具體在法律保護順位上，有學(xué)者認為，信息自主(信息主體的自決權(quán))與信息自由(商業(yè)主體的合理利用權(quán))處于相同權(quán)利位階，只是在立法技術(shù)和內(nèi)容規(guī)定上存在調(diào)和空間。[32]筆者認為，雖然兩種法益處于相同位階，但因權(quán)利保護價值存在高低，個案需要利益衡平以明晰權(quán)利保護邊界?；趥€人信息人格利益的原生性，法律保護應(yīng)當(dāng)首先關(guān)注信息背后的人，其次再考量必要的商業(yè)利用。

(二)表達：法律應(yīng)保護個人信息背后的“人”

1.個人信息保護的價值基礎(chǔ)：以人為目的

針對個人信息的保護，各國法律有不同的價值取向。如圖1所示，美國在實用主義的指導(dǎo)下，將個人信息納入隱私權(quán)框架予以保護，并區(qū)分出側(cè)重消極保護的個人隱私和注重積極控制的個人信息，從而建立了個人信息控制理論。[11]德國在本體主義思想影響下，形成了“領(lǐng)域理論”，即通過劃分“同心圓”，將個體人格的活動領(lǐng)域區(qū)分為“隱秘領(lǐng)域”“秘密領(lǐng)域”和“個人領(lǐng)域”，三個領(lǐng)域因與“人之尊嚴”的關(guān)系遠近而在法律上表現(xiàn)為不同保護層級。[33]隨后司法實踐表明，個人對于自身信息并不享有絕對的不受限制的支配權(quán)，因此在該理論揚棄的同時，發(fā)展出了自我表現(xiàn)理論，認為具有社會屬性的個人日常生活在人際交往的互動場景中，享有對自身個人信息加以合理利用進而掌控自我表現(xiàn)的利益。進而，通過“人口普查案”，德國聯(lián)邦憲法法院確立以“信息自決權(quán)”為核心的個人信息保護法律體系。由此，兩大法系在個人信息法律保護價值基礎(chǔ)上趨于一致，即在表達信息主體人格自由的前提下應(yīng)當(dāng)對個人信息予以節(jié)制化利用。[33]

信息自主與信息自由是個人信息法律保護的兩大權(quán)利內(nèi)容。⑤通過自我角色、自我行為、自我信息的決定，個人在社會交往中成為獨立的個體，這是人格尊嚴的體現(xiàn)，也是個人信息法律保護的價值基礎(chǔ)。因此法律保護個人信息首先應(yīng)當(dāng)關(guān)注個人信息背后的人。

2.個人信息保護的必要延伸：以財產(chǎn)利益為補充

有學(xué)者認為，個人信息保護法保護的只是相較民法具體化了的人格權(quán)。[34]此觀點對個人信息保護范圍理解得過窄了，財產(chǎn)性權(quán)利是個人信息法不容忽視的保護目的之一。以實例說明，在因企業(yè)信息失真致商業(yè)機會喪失的案件中，請求權(quán)基礎(chǔ)常被描述為名譽權(quán)⑥或人格權(quán)⑦侵權(quán)，法院雖支持當(dāng)事人的主張，卻忽略了個人信息存在的價值及其背后蘊含的利益本質(zhì)：第一，信息錯誤何以構(gòu)成人格權(quán)侵害；第二，損害賠償范圍是否包含純粹經(jīng)濟損失；第三，因?qū)θ烁窭娴膿p害而導(dǎo)致的商業(yè)機會等財產(chǎn)利益的喪失是否屬于人格權(quán)的保護范圍？可以說該類判決并非說理透徹明晰的法律裁斷。事實上，企業(yè)的信用信息中包含著商業(yè)機會，在市場環(huán)境下，企業(yè)存在依靠良好的信用獲得商業(yè)利潤的合理期待，信用信息的失真剝奪了企業(yè)的這一機會，因此信用信息中蘊含的財產(chǎn)利益應(yīng)當(dāng)進入法律保護視野。所以，法律保護個人信息時，除信息背后的人格利益外，其包含的財產(chǎn)利益或潛在財產(chǎn)價值也應(yīng)當(dāng)被重視。

(三)范疇：個人信息法律保護客體的應(yīng)然邊界

既然個人信息有人格和財產(chǎn)雙重利益屬性，個人信息法律保護客體也應(yīng)該考慮兩方面內(nèi)容。首先，個人信息保護并非單純的人格利益，因此濫觴于德國的個人信息自決權(quán)理論并不能完全滿足個人信息在大數(shù)據(jù)時代的應(yīng)用功能。一則將個人信息作為客體排他性地歸屬于信息主體的做法，無法為信息主體以外的人劃定義務(wù)范圍；二則信息的流通與商業(yè)利用可能會因信息利用者行為受限而受阻礙。其次，個人信息的關(guān)聯(lián)性判定應(yīng)當(dāng)作為個人信息侵權(quán)認定前置程序。上文述及司法實踐中身份識別標(biāo)準(zhǔn)適用出現(xiàn)困境，但必須說明的是，個人信息正是因為與自然人有所關(guān)聯(lián)才會攜帶人格利益及潛在商業(yè)價值，因此，個人信息與信息主體的關(guān)聯(lián)性應(yīng)當(dāng)成為代替“可識別性”的標(biāo)準(zhǔn)。這并不是說但凡與信息主體有所關(guān)聯(lián)的信息，皆應(yīng)納入法律保護范圍，而是指關(guān)聯(lián)性應(yīng)作為個人信息侵權(quán)行為判定的前置程序，尋找被侵犯之客體。由此便能避免朱燁案中因未能識別信息主體身份而使不法行為人規(guī)避法律懲罰的情形。

法律應(yīng)當(dāng)防范因個人信息不當(dāng)使用產(chǎn)生的抽象危險而非事后予以制裁，因為對信息主體而言，該類危險會產(chǎn)生其人格和財產(chǎn)權(quán)利受損的不安。德國學(xué)者克里普曾指出，個人數(shù)據(jù)法當(dāng)保護如下利益：知悉個人信息被處理的利益、個人信息正確和完整的利益、個人信息處理須符合特定目的的利益以及隱私利益等。[35]這一觀點可為如今立法及司法實踐提供參考。

第一，自決或知悉個人信息被處理的利益。該項法益在個人信息自決權(quán)的基礎(chǔ)上平衡了商業(yè)利用中所涉的公共利益與個人利益的沖突，是其他法益展開的前提。個人信息作為個人代碼在日常交流中被銘記，這是個人存在價值的體現(xiàn)，只有自我才能決定自身代碼的用途。當(dāng)然這種自決權(quán)益在距離信息主體人格過遠時，便應(yīng)當(dāng)賦予信息主體知悉權(quán)。只有信息自主，信息主體方能干涉信息違法處理行為，維護自身權(quán)益之圓滿程度，并在受損時主張損害賠償。

第二，個人信息正確和完整的利益。個人信息將個人存在這一抽象概念具象化，信息表述了個人與社會的交互影響，從而也使個人的社會屬性得以展示。正如霍菲爾德曾言，不是合同產(chǎn)生了債，而是社會造就了債。人是社會性動物，個人信息的正確性和完整性利益應(yīng)當(dāng)予以積極保護，從而保證由信息衍生出的潛在財產(chǎn)利益。為此信息主體擁有如更正、封鎖、刪除個人(不恰當(dāng))信息等系列請求權(quán)。

第三，信息處理須符合特定目的的利益。信息的首次公開應(yīng)由信息主體自我決定，此時信息收集工作服務(wù)于某一特定目的，同時也限定了該信息日后利用的目的。此外，根據(jù)目的限制原則，個人信息的傳遞原則上受到了禁止，若作他用，則需信息主體重新決定或知悉用途。

第四，隱私利益。相較普通個人信息，敏感性信息應(yīng)當(dāng)更強調(diào)對其保護而非利用，如此才能協(xié)調(diào)個人信息侵權(quán)法律關(guān)系中的利益衡量格局，最終實現(xiàn)利益平衡。[36]在法律保護方面，對普通信息而言，信息主體的以上三項權(quán)益可基本控制個人信息被濫用的抽象危險。但隱私信息與個人生活緊密相關(guān)，賦予個人必要的隱私空間是民事主體應(yīng)有的權(quán)利，故應(yīng)對隱私信息予以更嚴格保護。具體如我國《侵權(quán)責(zé)任法》第62條及臺灣地區(qū)《個人資料保護法》第6條，均將涉私信息單獨進行規(guī)定，且禁止流通，體現(xiàn)了法律對其進行嚴格保護的價值取向。⑧

四、從身份識別到行為識別的轉(zhuǎn)換

個人信息保護旨在保護人，而非信息本身。因此，在個人信息侵權(quán)行為判定中，應(yīng)關(guān)注的也是個人信息之上的人格利益與財產(chǎn)利益而非個人信息本身。在個人信息侵權(quán)判定中，司法實踐應(yīng)實現(xiàn)從身份識別向行為識別的轉(zhuǎn)換，關(guān)注個人信息侵權(quán)行為本身，而非涉案個人信息能否實質(zhì)識別到具體個人。

(一)確立個人信息侵權(quán)責(zé)任的歸責(zé)原則：多元歸責(zé)

縱觀對個人信息進行專門立法保護的各國規(guī)定，個人信息侵權(quán)歸責(zé)原則經(jīng)歷了由“無過錯原則”⑨到“多元歸責(zé)原則”⑩的過渡。我國臺灣地區(qū)在歸責(zé)原則方面的立法規(guī)定(如圖4所示)，很大程度上與中國大陸法律關(guān)于個人信息保護的精神相一致，因而值得借鑒。

圖4 我國臺灣地區(qū)《個人數(shù)據(jù)保護法》侵權(quán)損害賠償規(guī)則

1.公務(wù)機關(guān)侵害個人信息應(yīng)承擔(dān)無過錯責(zé)任

有學(xué)者指出，確立無過錯責(zé)任原則的預(yù)期目標(biāo)在于，“切實保護人民群眾人身、財產(chǎn)的安全，促使從事高度危險業(yè)務(wù)和危險行為等的行為人盡力保障周圍人員、環(huán)境安全；一旦造成損害，能迅速及時的查清事實，盡快賠償；使無辜的損害由國家和社會合理負擔(dān)”。[37]信息的合理利用與流通，對公共部門而言，有利于提高決策水平與行政效率，進而促進社會公共利益，這是公務(wù)機關(guān)必須利用個人信息的原因，也是個人信息自決權(quán)益讓位于公權(quán)力行為的原因。但其人格權(quán)屬性決定了公務(wù)機關(guān)的數(shù)據(jù)使用不可避免地會產(chǎn)生侵擾信息主體的行為。無過錯責(zé)任原則的基本理念“不在于對具有反社會性行為之制裁”，“乃是在于對不幸損害之合理分配”，[38]以實現(xiàn)分配正義。此項特征恰好滿足公務(wù)機關(guān)對個人信息進行利用的初衷，同時也能最大限度地規(guī)范公權(quán)力機關(guān)的行為。因此，公務(wù)機關(guān)侵害個人信息的行為應(yīng)當(dāng)適用無過錯責(zé)任歸責(zé)原則。

2.非公務(wù)機關(guān)侵害個人信息應(yīng)承擔(dān)推定的過錯責(zé)任

王澤鑒教授認為，過錯責(zé)任的社會價值在于法律必須調(diào)和“個人自由”與“社會安全”兩個進步價值。[39]在個人信息侵權(quán)的法律關(guān)系中，商業(yè)主體利用個人數(shù)據(jù)這一社會資源的自由與信息主體享有信息支配自由之間處于對立失衡狀態(tài)，欲使其恢復(fù)平衡，法律需設(shè)定相應(yīng)的利益配置平衡器。法律欲劃定社會成員自由行為的邊界，只能責(zé)令行為人因過錯擔(dān)責(zé)，而非責(zé)令行為人對己行為造成的一切后果承擔(dān)責(zé)任，否則缺乏創(chuàng)造性與能動性的行為規(guī)則終將危及社會公共利益。[40]以過錯作為侵權(quán)行為人承擔(dān)責(zé)任的標(biāo)準(zhǔn)，可從主觀和客觀兩方面對失衡的法律關(guān)系予以調(diào)節(jié)。

此外需要注意的是，個人信息侵權(quán)關(guān)系中，信息利用者往往具有相當(dāng)?shù)碾[蔽性，侵權(quán)行為與損害結(jié)果間可能存在一定的時空跨度，這些客觀因素直接增加了信息主體的舉證成本。對比信息控制人對信息的利用過程，其行為遵循一定的程序，且大數(shù)據(jù)技術(shù)的處理痕跡會存在相應(yīng)的記錄，因此商業(yè)主體對“不存在過錯”的舉證成本負擔(dān)較輕。根據(jù)成本收益理論，采用過錯推定形式對行為進行認定可使當(dāng)事人之間的利益分配更加合理均衡。

(二)明確個人信息侵權(quán)表現(xiàn)形態(tài)：行為歸類

如上所述，個人信息法律保護客體可分為信息自決、保持信息正確完整、信息處理合目的、隱私利益四類法益。從侵權(quán)者角度而言，表現(xiàn)為個人信息收集、利用、整合、儲存、遺失等過程中對四類法益的侵害。

第一，個人信息收集中的侵權(quán)行為。個人信息代表著自然人在社會中存在的印記，信息的收集當(dāng)經(jīng)信息主體的自主意識決定，反之皆可構(gòu)成對個人信息上附著的法益的侵害，如未經(jīng)同意、超越收集目的、違法收集等行為。另外，商業(yè)主體常以格式條款抗辯稱已獲得信息主體的默示同意。針對該類行為，筆者認為默示同意規(guī)則要么用于積極行為外示后的推定，要么用于法律特別規(guī)定，因此以格式條款形式推定信息主體默示同意收集行為的前提是，信息主體存在明確的信息被收集表示。故而司法實踐應(yīng)依照格式條款應(yīng)用的有關(guān)規(guī)定，對侵權(quán)行為人設(shè)置格式條款的注意義務(wù)進行審查，進而判定收集行為有無違反信息主體意思自治，最后認定收集行為的法律效果。

第二，個人信息利用中的侵權(quán)行為。刑法中個人信息的利用表現(xiàn)為非法出售和非法獲取兩類行為，故信息買賣行為當(dāng)納入民事侵權(quán)行為范疇。除此，利用個人信息進行定向侵擾、智能應(yīng)用讀取收集存儲內(nèi)容對用戶進行個性化推薦、廣告推銷商收集個人信息進行定向推銷等行為，均屬個人信息利用中的侵權(quán)行為。

第三，個人信息整合中的侵權(quán)行為。大數(shù)據(jù)技術(shù)的運用使碎片化的個人信息經(jīng)加工、處理、分析后成為特定個體的圖譜，該類行為在傳統(tǒng)個人信息法律保護研究中未受重視，但現(xiàn)實中，商業(yè)主體利用數(shù)據(jù)整合準(zhǔn)確定位到具體個人的想象變成現(xiàn)實，諸如人肉搜索、定點推銷等行為的頻繁發(fā)生。科技帶來的侵權(quán)行為當(dāng)受法律重視。再者，通過對特定群體的個人信息進行整合可形成規(guī)模及功能均龐大的數(shù)據(jù)庫，借助足夠智能的程序設(shè)計，微不足道的信息經(jīng)整合便可發(fā)展成為潛在商機。如分析特定人的交易記錄，判斷其交易偏好，以此達到有效的廣告推廣。值得關(guān)注的是，這一過程中被分析者可能在某場域成為“透明人”，從而可能對該群體的個人生活造成潛在威脅。

第四，個人信息存儲中的侵權(quán)行為。個人信息經(jīng)收集后必儲于相應(yīng)媒介，若其保存期限、使用目的、管理責(zé)任等不明確，一旦出現(xiàn)隱私信息利用或泄露,可能會對信息主體個人生活帶來極大困擾。如門戶網(wǎng)站上個人信息的更新、更正、遺忘等行為，均可能對信息主體帶來人格或財產(chǎn)上的侵損。再如政府機構(gòu)、航空公司、學(xué)校、醫(yī)院等服務(wù)部門，因工作需要存儲的個人信息，若其管理不規(guī)范，則很可能對信息主體個人形象或私人生活存在侵擾隱患。

第五，個人信息遺失中的侵權(quán)行為。包括個人信息自然遺失和非法竊取兩類。第一類指個人信息控制者因不當(dāng)管理而致遺失，此類行為并不直接損害個人信息主體，但事后經(jīng)某些人有意的信息整合，對信息主體而言同樣存在侵損隱患。第二類非法竊取行為，如木馬程序植入、微型監(jiān)控等,這些行為違背了個人信息主體意愿，而且后續(xù)往往會造成較為惡劣的信息主體財產(chǎn)或人格利益的侵損結(jié)果。

(三)明晰個人信息侵權(quán)的認定標(biāo)準(zhǔn)：行為識別

個人信息侵權(quán)糾紛中，身份識別要素的重要性被高估，只要涉案信息與特定人之間有關(guān)聯(lián)，考慮到對信息主體的潛在精神威脅，就應(yīng)當(dāng)認定為法律所保護的個人信息。但法律保護與承擔(dān)責(zé)任顯然不是等價命題。侵權(quán)責(zé)任的判定應(yīng)把握侵權(quán)責(zé)任構(gòu)成要件，其不僅是侵權(quán)責(zé)任有機構(gòu)成的基本要素，也是判斷侵權(quán)人是否擔(dān)責(zé)的根據(jù)。[41]個人信息侵權(quán)的行為識別存在以下幾種認定模式。

第一，存在個人信息侵權(quán)行為。侵權(quán)行為通常表現(xiàn)為個人信息收集、利用、整合、儲存、遺失等過程中對四類法益的侵害。個人信息法律保護應(yīng)關(guān)注信息背后的人，具體體現(xiàn)為對人格利益和財產(chǎn)利益的保護。因此在判定行為性質(zhì)時，關(guān)注點依舊在權(quán)益的侵害。需要注意的是，個人信息之上的人格利益與財產(chǎn)利益有時會出現(xiàn)沖突，此時利益的衡平應(yīng)從個案出發(fā)，在不對信息主體形成實質(zhì)性損害的前提下最大可能保護信息的流通。

第二，造成損害結(jié)果。侵權(quán)損害事實由民事權(quán)利被侵害和利益受損兩方面要素構(gòu)成。民事權(quán)利決定侵權(quán)行為的范圍和性質(zhì)，確定的利益損害決定侵權(quán)責(zé)任的成立及賠償范圍。[42]對個人信息上人格要素與財產(chǎn)要素的損害，可能導(dǎo)致其承載的權(quán)益的三種損害：直接人格利益損害(身份信息中包含的個人自由及尊嚴等價值)、精神創(chuàng)傷及痛苦(因信息侵權(quán)造成的間接精神傷害)、財產(chǎn)利益的損失(包括信息內(nèi)含的財產(chǎn)價值等)。司法實踐中精神利益的侵損證明相對困難，因為個人信息的不當(dāng)利用往往給信息主體帶來不同程度的精神擔(dān)憂或者對生活環(huán)境造成困擾，而受害人身體上的實質(zhì)損害很難在法律上舉證證明。面對這一司法困境，英美侵權(quán)法中的自身可訴侵權(quán)制度可提供突破思路。

自身可訴侵權(quán)中，受害人的舉證義務(wù)僅限于向法院證明被告的侵權(quán)行為存在，至于損害之有無與程度的證明并不是原告的義務(wù)。[43]在個人信息侵權(quán)糾紛中引入這一訴訟機制可避免被害人舉證不能的困境，也可根據(jù)侵權(quán)行為性質(zhì)判定損失，最大限度地維護信息主體的利益。此外，既然侵犯個人信息權(quán)可能造成多重損害事實,受害人因此也可以享有數(shù)個賠償請求權(quán)。

第三，因果關(guān)系認定。一般財產(chǎn)利益的直接損失，較易被證明其與侵權(quán)行為之間的關(guān)系，而侵權(quán)行為與人格利益的損害、與間接財產(chǎn)利益的損害，則需要用相當(dāng)因果關(guān)系理論和法規(guī)目的說予以補充認定。

相當(dāng)因果關(guān)系說強調(diào)的是一個普通人對損害結(jié)果一般程度的可預(yù)見性，[2]238“其情事對于結(jié)果為不可缺之條件，一般的有發(fā)生同種結(jié)果之可能者，其條件與其結(jié)果為有相當(dāng)因果關(guān)系”。[44]這也意味著，法院應(yīng)按照侵權(quán)行為發(fā)生時的一般社會經(jīng)驗為判斷標(biāo)準(zhǔn)，若此行為可能且客觀地引起了該損害后果，那么兩者之間存在因果關(guān)系。例如龐理鵬與北京趣拿隱私權(quán)糾紛案中，信息公司數(shù)據(jù)庫中儲存有客戶的個人信息，其聲稱已對數(shù)據(jù)庫采取一定安全保障措施，用戶數(shù)據(jù)泄露蓋由黑客入侵所致。若此說法成立，黑客入侵與客戶個人信息的泄露之間固然存在因果關(guān)系，而考量經(jīng)營者的行為，保密系統(tǒng)并未達到足夠安全標(biāo)準(zhǔn)，其不作為或作為程度不夠的行為與數(shù)據(jù)泄露有因果關(guān)系；若此說法不成立，數(shù)據(jù)庫保密措施足夠完備，則數(shù)據(jù)泄露只能由信息公司內(nèi)部人員泄露，這便是直接因果關(guān)系。無論案情屬哪種假設(shè)，趣拿公司的行為均使信息主體暴露于信息泄露的危險之下，理當(dāng)承擔(dān)責(zé)任。

相當(dāng)因果關(guān)系說雖然可有效認定行為的侵權(quán)性質(zhì)，但法官可能會因同情受害者而致因果關(guān)系鏈條認定過長。由此，Ernst Rabet教授提出法規(guī)目的說，認為侵權(quán)行為所生賠償責(zé)任當(dāng)探究侵權(quán)法規(guī)之目的。[45]如信息主體因個人信息不當(dāng)利用產(chǎn)生精神痛苦的情形，在相當(dāng)因果關(guān)系立場上，被害人的精神痛苦很難被歸類為行為人可預(yù)見結(jié)果之列。但探究法意，精神侵損確屬法規(guī)保護目的之列。于是，法規(guī)目的說能夠彌補相當(dāng)因果關(guān)系說難以解決的特定侵害發(fā)生的賠償問題。

第四，行為人存在主觀過錯。過錯是主觀心理狀態(tài)的評價，只有通過行為外現(xiàn)，才有被法律評價與非難的可能。[46]個人信息侵權(quán)中，公務(wù)機關(guān)的侵權(quán)行為采取無過錯責(zé)任歸責(zé)原則，故此處只針對非公務(wù)機關(guān)個人信息侵權(quán)行為。侵權(quán)人的主觀過錯分為兩類：故意與過失，兩者均強調(diào)認識和意愿兩大要素的存在。就故意而言，是行為人明知后果而執(zhí)意為之的行為，如行為人明知超越收集目的而決意對個人信息加以利用或披露等行為，其主觀過錯溢于行為之外，容易斷定。司法難點在于對過失的判定?，F(xiàn)代侵權(quán)法以補償和預(yù)防為基本功能，[2]266侵權(quán)人發(fā)生侵權(quán)行為時雖未明確預(yù)知后果，但其行為性質(zhì)足夠惡劣時，亦須對其予以規(guī)制，如此便產(chǎn)生過失這一心理狀態(tài)的認定問題，要求行為人同時存在預(yù)見之可能及可回避之性質(zhì)。實踐中通常采取善良管理人標(biāo)準(zhǔn)進行行為過失判定，即從主觀過失標(biāo)準(zhǔn)轉(zhuǎn)向客觀過失判定，以理性人在同樣時空下應(yīng)當(dāng)達到的注意程度而非行為人主觀預(yù)見程度來判斷有無過失。[47]在個人信息侵權(quán)判定中同樣可采取這一原則，但需特別注意的是，雖然個人信息侵權(quán)屬于民事行為，但通常信息利用主體與信息主體間的地位并不實質(zhì)平等，因此在司法裁斷中賦予一方主體一定的限制是必要的。如可依據(jù)職業(yè)人員的一般認知水準(zhǔn)、行為的危險程度、預(yù)防損害的成本高低等要素來對個人信息侵權(quán)法律關(guān)系的主體予以利益平衡。王利明先生提出的以“中等偏上”的理性注意標(biāo)準(zhǔn)對信息流轉(zhuǎn)中的行為予以規(guī)范便是利益衡平后的結(jié)論。[48]

結(jié) 語

司法實踐中個人信息的法律界定是個人信息侵權(quán)案件判定的前提。現(xiàn)代技術(shù)的快速發(fā)展與立法的滯后性導(dǎo)致了個人信息的界定缺乏明晰的標(biāo)準(zhǔn)，大數(shù)據(jù)時代個人信息的潛在范圍無限擴張，法律適用面臨極大的不確定性，因此以身份識別為中心的個人信息范圍界定標(biāo)準(zhǔn)面臨司法適用困境。個人信息受法律保護源于其上附著的人格利益與財產(chǎn)利益，司法實踐應(yīng)區(qū)分權(quán)利保護客體和權(quán)利保護對象，更應(yīng)關(guān)注法益而非個人信息本身，從而實現(xiàn)個人信息侵權(quán)裁斷中從身份識別向行為識別的轉(zhuǎn)換，有效解決某些信息侵擾行為被排除法律救濟范圍、個人信息潛在范圍過大導(dǎo)致的法律適用難的司法困境。當(dāng)然，信息保護與信息利用之間存在天然張力，需要法官在個案中以利益衡量，這是另一司法難題，需要將來進一步探討。

注釋：

①一般認為信息是數(shù)據(jù)反映的內(nèi)容，數(shù)據(jù)是信息的表現(xiàn)形式，兩者區(qū)別在于數(shù)據(jù)可以計量而信息不能，因此個人數(shù)據(jù)、個人信息、個人資料等概念的區(qū)別，僅在表述角度或翻譯差別，在本文中具有同樣法律含義。參見齊愛民：《中國信息立法研究》，武漢大學(xué)出版社2009年版，第74頁。

②具體如歐盟《一般數(shù)據(jù)保護條例》(GDPR)第4.1條規(guī)定，“個人數(shù)據(jù)是指與一個已被識別或者可識別的自然人(數(shù)據(jù)主體)相連的任何信息”；美國加州《消費者隱私權(quán)法案》規(guī)定，個人數(shù)據(jù)指處于受管轄實體控制之下的，通過合法方式無法被公眾獲取的，且鏈接到或切實可由受管轄實體鏈接到特定個人的，包括個人相關(guān)常用設(shè)備的任何數(shù)據(jù)；同樣的，中國香港法例第486章《個人資料保護法》第2條第1項規(guī)定，個人資料指下列任何資料：(a)直接或間接與一名生者有關(guān)的；(b)可從該資料直接或間接地查明某人身份的；(c)該等資料的存在形式是可予以查閱及處理的?？梢姡瑢€人信息的認定通常與身份識別緊密相關(guān)。

③中國國家標(biāo)準(zhǔn)(GB/T 35273—2017)規(guī)定，個人信息(personal information)，指以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合識別自然人個人身份或者反映特定自然人活動情況的各種信息。(個人信息包括姓名、出生日期、身份證件號碼、個人生物識別信息、住址、通信通訊聯(lián)系方式、通信記錄和內(nèi)容、賬號密碼、財產(chǎn)信息、征信信息、行蹤軌跡、住宿信息、健康生理信息、交易信息等。)

④參見北京百度網(wǎng)訊科技公司與朱燁隱私權(quán)糾紛案,(2014)寧民終字第5028號。二審法院認為，網(wǎng)絡(luò)用戶通過使用搜索引擎形成的檢索關(guān)鍵詞記錄，雖然反映了網(wǎng)絡(luò)用戶的網(wǎng)絡(luò)活動軌跡及上網(wǎng)偏好，具有隱私屬性，但這種網(wǎng)絡(luò)活動軌跡及上網(wǎng)偏好一旦與網(wǎng)絡(luò)用戶身份相分離，便無法確定具體的信息歸屬主體，不再屬于個人信息范疇。

⑤奧平康弘：《知情權(quán)》，巖波書店1981年版，第384-385頁，轉(zhuǎn)引自周漢華：《中華人民共和國個人信息保護法(專家建議稿)及立法研究報告》，法律出版社2006年版，第48頁。

⑥參考石建軍與中國工商銀行股份有限公司黃山城建支行、中國人民銀行征信中心名譽權(quán)糾紛案，(2014)黃中法民一終字第00285號；周桂英與中國農(nóng)業(yè)銀行股份有限公司羅山縣支行名譽權(quán)糾紛案，(2009)羅民初字第895號。

⑦參考中國工商銀行股份有限公司個舊支行與段明波、中國人民銀行征信中心人格權(quán)糾紛案，(2010)云高民一終字第43號。

⑧我國《侵權(quán)責(zé)任法》第62條規(guī)定，醫(yī)療機構(gòu)及其醫(yī)務(wù)人員應(yīng)當(dāng)對患者的隱私保密。泄露患者隱私或者未經(jīng)患者同意公開病歷資料，造成患者損害的，應(yīng)當(dāng)承擔(dān)侵權(quán)責(zé)任。再如臺灣地區(qū)《個人資料保護法》第6條規(guī)定，有關(guān)病歷、醫(yī)療、基因、性生活、健康檢查及犯罪前科之個人資料，不得收集、處理或利用。這些規(guī)定均強調(diào)個人隱私利益的特殊保護。

⑨歐盟1995年《數(shù)據(jù)保護指令》第二十三條，荷蘭《個人數(shù)據(jù)保護法》第四十九條，葡萄牙《個人數(shù)據(jù)保護法》、意大利《個人和其他主題個人數(shù)據(jù)處理保護法》、匈牙利《個人數(shù)據(jù)保護與公共利益數(shù)據(jù)公開法》等法律，均設(shè)置了無過錯責(zé)任歸責(zé)原則。參見刁勝先：《個人信息網(wǎng)絡(luò)侵權(quán)歸責(zé)原則的比較研究——兼評我國侵權(quán)法相關(guān)規(guī)定》，《河北法學(xué)》2011年第6期。

⑩2016年歐盟《統(tǒng)一數(shù)據(jù)保護條例》對數(shù)據(jù)控制者和數(shù)據(jù)處理者的侵權(quán)責(zé)任歸責(zé)原則進行了區(qū)分；德國《聯(lián)邦個人資料保護法》根據(jù)公權(quán)力機關(guān)和自然人主體，分別規(guī)定無過錯責(zé)任歸責(zé)原則和過錯責(zé)任歸責(zé)原則；我國臺灣地區(qū)的《計算機處理個人數(shù)據(jù)保護法》、香港的《個人資料條例》對“公務(wù)機關(guān)”和“非公務(wù)機關(guān)”不同的責(zé)任主體采取了不同的歸責(zé)原則。參見張濤：《個人信息權(quán)的界定及其民法保護——基于利益衡量之展開》，吉林大學(xué)2012年博士學(xué)位論文。