郭凱

近年來，個人信息侵權(quán)案件頻發(fā)。中共中央發(fā)布了《關(guān)于新時代加快完善社會主義市場經(jīng)濟體制的意見》《深圳建設(shè)中國特色社會主義先行示范區(qū)綜合改革試點實施方案（2020—2025年）》《制定國民經(jīng)濟和社會發(fā)展第十四個五年規(guī)劃和二〇三五年遠景目標的建議》等文件。2020年，第十三屆全國人大常委會第二十二次會議對《個人信息保護法（草案）》進行了審議并公開征求意見?！睹穹ǖ洹分腥烁駲?quán)編，對個人信息加以規(guī)定但還未生效。以上種種情況表明，中共中央對個人信息予以高度重視，不斷推動保護個人信息的頂層設(shè)計?！皞€人信息保護法”的制定已箭在弦上，而研究《民法總則》生效以來個人信息條文的司法適用效果，是檢驗當前個人信息保護成效的現(xiàn)實衡量標準，以此可為“個人信息保護法”提供實踐經(jīng)驗和構(gòu)建建議。

一、個人信息的司法治理困境

從《民法總則》生效之日至《個人信息保護法（草案）》公開之日，筆者在“北大法寶案例庫”，以“個人信息”為關(guān)鍵詞搜索到262份民事裁判文書。經(jīng)研讀與梳理，排除重復(fù)案例，篩查出56份與研究對象相關(guān)的文書，分別從裁判者和信息主體的角度出發(fā)，厘清個人信息司法適用的癥結(jié)所在。

（一）個人信息裁判適用不統(tǒng)一

當前涉及個人信息的侵權(quán)案件需間接論證，增加了裁判的不確定性。通過裁判文書統(tǒng)計分析，個人信息侵權(quán)案件被歸類在不同的案由。其中“名譽權(quán)糾紛”共29件、“隱私權(quán)糾紛”共4件、“姓名權(quán)糾紛”共18件、“一般人格權(quán)糾紛”共5件。顯然，司法實踐未將“個人信息糾紛”作為一類獨立的案由，而是轉(zhuǎn)而尋求將個人信息置于其他人格權(quán)案由項下裁判的路徑。此時，判斷個人信息是否被侵害，裁判需要借助“一般人格權(quán)”“人格利益”“名譽權(quán)”“姓名權(quán)”“隱私權(quán)”等進行迂回說理，這無疑增加了法院的論證負擔(dān)和裁判的不確定性。[1]

與此同時，通過裁判內(nèi)容發(fā)現(xiàn)：亦有法官突破案由的外在限制，在文書說理部分使用“個人信息權(quán)”的表述，比如：浙江省杭州互聯(lián)網(wǎng)法院（2019）浙0192民初2435號民事判決書、福建省安溪縣人民法院（2020）閩0524刑初228號刑事判決書。值得肯定的是，此種方式不同于借助于其他人格權(quán)的間接論證，而是將個人信息直接作為獨立的權(quán)利進行釋法說理。但由于此種直接論證和上述間接論證的作法同時存在，就更顯當前個人信息裁判適用的混亂局面。

（二）信息主體司法維權(quán)不暢通

《2019個人信息安全報告》顯示，95%受訪者曾遭遇個人信息泄露，超過一半受訪者在注冊APP后收到騷擾或推銷電話。[2]可以窺見，利用個人信息實施商業(yè)推銷、精準詐騙等侵權(quán)事件眾多，信息主體更是驚訝于APP推送的個性化廣告，完全將個人內(nèi)心所想透明化。對此，社會公眾對違法收集個人信息的行為已怨聲載道，保護自身個人信息權(quán)益的意愿也隨之上升。

然而，信息主體通過司法途徑維權(quán)的數(shù)量卻相對較少。通過裁判文書分析發(fā)現(xiàn)，我國內(nèi)地真正涉及個人信息侵權(quán)的案件總共才56件，對比上述個人信息眾多的侵權(quán)事實和社會公眾維權(quán)的普遍訴求，信息主體選擇司法途徑救濟的數(shù)量就相形見絀，而且其中被全部駁回的案件數(shù)量高達21件?！睹穹倓t》生效已三年有余，個人信息維權(quán)案件數(shù)量依然較少且原告勝訴率較低，這顯然與社會生活中廣泛存在的大量個人信息侵權(quán)事實不相符合。

二、個人信息司法治理成效欠佳的原因

（一）個人信息法律屬性的規(guī)定不明確

司法實踐中，對個人信息裁判適用的不統(tǒng)一，其深層次緣由是我國法律規(guī)則關(guān)于個人信息法律屬性的界定比較模糊。其一，個人信息保護進入“民法典”視野之前的規(guī)定，包括《消費者權(quán)益保護法》《網(wǎng)絡(luò)安全法》《電子商務(wù)法》等。歷經(jīng)幾部法律的修正，普遍認可將“可識別”作為個人信息保護的起點。但以上規(guī)則的內(nèi)容囿于特定部門或行業(yè)的范圍，不具有普遍約束力。其二，《民法總則》生效之后，仍主要是通過名譽權(quán)和隱私權(quán)等具體人格權(quán)的方式迂回保護，該法第111條未給予信息主體維權(quán)和司法裁判清晰的路徑。而《民法典》人格權(quán)編規(guī)則延續(xù)了《民法總則》第111條的精神所在，但仍未對其法律屬性表達明確的態(tài)度。其三，《個人信息保護法（草案）》將個人信息表述為“權(quán)益”，但個人信息權(quán)益具體是何種權(quán)益類型，到底是權(quán)利還是利益仍未有涉及。

（二）歸責(zé)原則標準的規(guī)定單一

在我國現(xiàn)行法律框架之下，適用過錯推定責(zé)任和無過錯責(zé)任都必須嚴格以法律的明確規(guī)定為前提?！秱€人信息保護法（草案）》第65條規(guī)定較為模糊，基于《民法典》人格權(quán)編建構(gòu)的個人信息體系，則建議結(jié)合《侵權(quán)責(zé)任法》的規(guī)定適用。但由于其沒有對個人信息侵權(quán)歸責(zé)原則的具體規(guī)定，故通常被解釋為一般侵權(quán)行為，進而采取過錯責(zé)任。然而，在大數(shù)據(jù)和人工智能時代下的個人信息侵權(quán)，信息主體想要舉證證明信息處理者有“過錯”顯得相當困難。究其緣由，一方面，是由于信息處理者對個人信息的控制力較強。信息處理者利用強大的大數(shù)據(jù)與人工智能技術(shù)，對個人信息進行深層次的挖掘，通過技術(shù)加工將個人信息廣泛兜售傳播，導(dǎo)致個人信息被多方信息處理者控制。另一方面，信息主體對于個人信息的控制較弱。在大數(shù)據(jù)時代下，個人信息何時被收集，具體用在哪些領(lǐng)域，保存的時長是多久，信息主體顯然無從得知?；旧鲜窃诎l(fā)生個人信息侵權(quán)后，才始之得以知曉個人信息被泄露，以至于信息主體難以舉證。對此，若繼續(xù)堅持單一的過錯歸責(zé)原則，勢必會導(dǎo)致信息主體追求個人信息權(quán)益救濟的目的落空。

（三）傳統(tǒng)訴訟救濟功能弱化

當個人信息違法達到刑事犯罪的標準，自然可得到兜底性的保護，但若僅僅基于民事法律尋求損害賠償，在只有一個人的信息被出售或者非法利用且結(jié)果未達到嚴重程度時，基于當前司法治理所依賴的傳統(tǒng)訴訟模式難以完全實現(xiàn)救濟。

不僅如此，個人信息并非僅是針對特定個人的單個信息侵權(quán)，而是呈現(xiàn)大規(guī)模信息侵權(quán)的傾向，動輒涉及上億的個人信息泄露。調(diào)查數(shù)據(jù)顯示，截至2020年6月，我國網(wǎng)民規(guī)模達9.40億，超20%網(wǎng)民遭遇過個人信息泄露。[3]對此，若繼續(xù)采取單個主體起訴的傳統(tǒng)模式，具體到每一個當事人的損害往往較小，可能會因達不到賠償?shù)臉藴识鴶≡V。此外，即便單個信息主體所受損害達到賠償?shù)臉藴?，所可能獲得的損害賠償一般難以完全補償損失。換言之，信息處理者侵害個人信息權(quán)益的違法成本非常低，在龐大的數(shù)據(jù)誘惑之下，不惜付出一定的代價，選擇繼續(xù)違法處理個人信息。顯然，損害賠償規(guī)則以及傳統(tǒng)的訴訟模式難以起到震懾違法處理者的作用。

三、個人信息司法治理的對策建議

（一）明確個人信息的性質(zhì)，重塑裁判適用標準

個人信息，應(yīng)當是一項具體人格權(quán)。從根本上對個人信息的法律屬性定分止爭，繼而統(tǒng)一裁判適用的前提，明晰信息主體的維權(quán)路徑。一是個人信息具有其獨特的內(nèi)在屬性，作為具體人格權(quán)是合乎情理的。信息主體通過司法途徑救濟個人信息權(quán)益，主要目的是維護其個人的人格尊嚴，使自己的人格免受不法侵害。將其作為具體人格權(quán)，保護力度上弱于所有權(quán)但強于純粹的利益保護模式，可謂正處于一個適當?shù)奈恢谩4]二是個人信息作為具體人格權(quán)可實現(xiàn)多途徑救濟。個人信息權(quán)作為具體人格權(quán)，在遭受個人信息侵權(quán)時，可基于人格權(quán)請求權(quán)主張排除妨害、消除危險等防御性權(quán)利，亦可基于侵權(quán)請求權(quán)要求承擔(dān)損害賠償?shù)木葷詸?quán)利。

（二）合理分配舉證責(zé)任，實現(xiàn)歸責(zé)原則多元化

個人信息侵權(quán)的歸責(zé)原則，需根據(jù)不同的場景合理分配舉證責(zé)任，以平衡信息主體與信息處理者之間對個人信息控制力的差距。一是純粹私生活領(lǐng)域的信息侵權(quán)適用過錯責(zé)任。借鑒歐盟《一般數(shù)據(jù)保護條例》第2條第2款（c）項關(guān)于自然人在純粹個人或家庭活動中所進行的個人數(shù)據(jù)處理的規(guī)定，[5]我國《個人信息保護法（草案）》第68條也明確排除了自然人因個人或者家庭事務(wù)而處理個人信息的適用。然而，在自然人存在一定故意或過失的情況下，也應(yīng)當延續(xù)《民法典》人格權(quán)編基準下確立的過錯歸責(zé)原則，此時雖不應(yīng)過分苛責(zé)一般自然人的注意義務(wù)，但也絕非就應(yīng)完全排除自然人民事責(zé)任的適用。

二是商業(yè)領(lǐng)域的信息侵權(quán)適用過錯推定責(zé)任。商業(yè)領(lǐng)域下的信息處理者擁有強大的數(shù)據(jù)處理與算法黑箱技術(shù)，其獲取個人信息通常是為了追求經(jīng)濟利益，顯然應(yīng)負有較高的注意義務(wù)。但又不宜適用無過錯責(zé)任，因在保障信息個人權(quán)益的同時亦需兼顧數(shù)據(jù)流通，以避免對責(zé)任人施加過重的壓力。

三是公共領(lǐng)域的信息侵權(quán)適用無過錯責(zé)任。政府是最大的數(shù)據(jù)控制者和管理者，而大數(shù)據(jù)實際上強化了政府和個體既有的力量強弱差序格局。[6]在公共領(lǐng)域的信息處理者基于公共利益處理個人信息，若反過來造成個人信息侵權(quán)或損害了公共利益，這顯然違背了公共機關(guān)處理個人信息的初衷，對此理應(yīng)負有最高的注意義務(wù)。

（三）構(gòu)建懲罰性賠償制度，助力信息主體維權(quán)

對于惡意程度較高且造成嚴重后果的個人信息侵權(quán)行為，在承擔(dān)受害人所受損失之外，可考慮對其額外適用懲罰性賠償規(guī)則。通過提高侵權(quán)人實施侵權(quán)行為的違法成本，加重侵害人的賠償負擔(dān)。一是明確個人信息懲罰性賠償制度的適用范圍。個人信息權(quán)益兼具人格利益和財產(chǎn)利益，但并非不區(qū)分財產(chǎn)損害和人身損害均可適用懲罰性賠償規(guī)則，而是需嚴格規(guī)范適用懲罰性賠償制度的范圍。在只有因個人信息侵權(quán)遭受財產(chǎn)利益損失的情況下，才可適用懲罰性賠償制度，來擴大受害人所能獲得的賠償數(shù)額。二是確立懲罰性賠償規(guī)則的具體標準。一方面，當受害人的損害達到一般賠償標準時，可確定懲罰性賠償?shù)臉藴蕿橐话悴怀^所受損失的一到三倍。另一方面，當損害達不到一般賠償標準時，但是處理信息卻達到一定數(shù)量的，可考慮按照處理個人信息的條數(shù)計算懲罰性賠償?shù)臄?shù)額。而對于其中處理個人信息數(shù)量較少，類似只處理一兩條個人信息的，亦可適用小額損害賠償規(guī)則，比如，按照賠償500元或者1000元的標準直接補足。

（四）探索信息公益訴訟，推動多維度司法保護

在此次新冠疫情中，重慶市公布了多個區(qū)縣新型冠狀病毒感染的肺炎確診病例活動軌跡，[7]表明利用個人信息進行大數(shù)據(jù)分析，可以服務(wù)于社會公共利益。與之相對，信息處理者也可運用大數(shù)據(jù)技術(shù)侵犯公共利益。

對此，《個人信息保護法（草案）》正在積極探索信息公益訴訟，但卻未涉及具體規(guī)則的建構(gòu)。故建議聚焦到檢察機關(guān)范疇完善以下舉措：一是明確起訴期限?！睹袷略V訟法》未規(guī)定公益訴訟的起訴期限，而《行政訴訟法》規(guī)定公益訴訟的起訴期限為六個月?？紤]到兩部法律規(guī)定的起訴期限不一致易造成適用混亂，并且訴前程序需要花費較多時間斡旋的情況，因此，建議將信息公益訴訟的起訴期限統(tǒng)一規(guī)定為二年。二是優(yōu)化訴前程序。檢察機關(guān)可以通過訴前圓桌會議、聽證、公開宣告等，增強“可視性”“對抗性”和“儀式化”，[8]不斷增進訴前程序的多元化。三是創(chuàng)新調(diào)查取證。檢察機關(guān)擁有法定的證據(jù)調(diào)查權(quán)，可委托專業(yè)第三方獲取藏匿于算法黑箱之下的證據(jù)材料，以扭轉(zhuǎn)私益訴訟中原告的舉證劣勢。

參考文獻：

[1]王成.個人信息民法保護的模式選擇[J].中國社會科學(xué)，2019（6）：124-146.

[2]袁勇.個人信息安全年度報告（2019）顯示APP專項治理成效明顯[N].經(jīng)濟日報，2019-12-18（15）

[3]中國互聯(lián)網(wǎng)絡(luò)信息中心.中國互聯(lián)網(wǎng)絡(luò)發(fā)展狀況統(tǒng)計報告[EB/OL].http：//www.cnnic.net.cn/gywm/xwzx/rdxw/202009/t20200929_71255.htm.2020-9-29.

[4]呂炳斌.個人信息權(quán)作為民事權(quán)利之證成：以知識產(chǎn)權(quán)為參照[J].中國法學(xué)，2019（4）：44-64.

[5]丁曉東.歐洲一般數(shù)據(jù)保護條例[EB/OL].http：//calaw.cn/article/default.asp？id=12864，2020-7-13.

[6]葉名怡.個人信息的侵權(quán)法保護[J].法學(xué)研究，2018（4）：83-102.

[7]重慶發(fā)布.重慶多個區(qū)縣公布新型冠狀病毒感染的肺炎確診病例活動軌跡[EB/OL].http：//www.thepaper.cn/baidu.jsp？contid=5752286.2020-2-2.

[8]馬方飛.優(yōu)化制度設(shè)計完善行政公益訴訟訴前程序[N].檢察日報，2019-07-07（03）.