張 力，莫楊燊

(西南政法大學(xué) 民商法學(xué)院，重慶 401120)

一、引 言

隨著計(jì)算機(jī)、信息通信等技術(shù)的發(fā)展，人類步入了一切皆數(shù)而萬物可量的大數(shù)據(jù)時(shí)代，個(gè)人信息日益以數(shù)字化的形式在社會(huì)中流轉(zhuǎn)，遭受各種形形色色的不可測侵害之可能性大為提高。我國也概莫能外，近年來山東徐玉玉受電信詐騙案，清華某教授遭電信詐騙案等侵害個(gè)人信息的重大案件頻發(fā)，更是引發(fā)公眾對自身個(gè)人信息安全的深刻焦慮。揆諸現(xiàn)實(shí)，民事立法必然要回應(yīng)對個(gè)人信息保護(hù)的社會(huì)關(guān)切，因此，《民法總則》在民事權(quán)利一章中單列一條，明確自然人的個(gè)人信息受法律保護(hù)和其他民事主體對此的義務(wù)[1]。但是，在《民法總則》規(guī)定的“個(gè)人信息”的法律屬性以及保護(hù)路徑上，卻是眾說紛紜?！皺?quán)利論者”認(rèn)為：《民法總則》第111條確立了個(gè)人信息權(quán)[2]40[3]，應(yīng)當(dāng)采用具體人格權(quán)的保護(hù)進(jìn)路；“法益論者”認(rèn)為：該條僅僅是為個(gè)人信息作為法益(1)法益有廣義和狹義之分, 廣義的法益泛指一切受法律保護(hù)的利益, 權(quán)利也包含于法益之內(nèi);狹義的法益僅指權(quán)利之外而為法律所保護(hù)的利益, 是一個(gè)與權(quán)利相對應(yīng)的概念。 本文采用的是狹義的法益概念，所用的“法益”與德國法上的“利益”相同。保護(hù)提供了法律依據(jù)[4-5]，應(yīng)當(dāng)采取法益侵害的保護(hù)進(jìn)路。筆者認(rèn)為，個(gè)人信息實(shí)質(zhì)上是一個(gè)法益綜合體，剔除掉與具體人格權(quán)相重疊的內(nèi)容，剩下的部分應(yīng)通過“違反保護(hù)性規(guī)定的侵權(quán)責(zé)任”與“故意違背善良風(fēng)俗致?lián)p的侵權(quán)責(zé)任”加以保護(hù)。保護(hù)性規(guī)定可以具體、明確地指引個(gè)人信息法益的識別，本身能充當(dāng)過錯(cuò)、違法性、因果關(guān)系等侵權(quán)構(gòu)成要件的證立標(biāo)準(zhǔn)，相比于籠統(tǒng)模糊的善良風(fēng)俗具有更大的優(yōu)勢。所以，“故意違背善良風(fēng)俗致?lián)p的侵權(quán)責(zé)任”適宜作為兜底性保護(hù)手段，而應(yīng)以“違反保護(hù)性規(guī)定的侵權(quán)責(zé)任”作為主要保護(hù)路徑，并在后者的基礎(chǔ)上拓展延伸以構(gòu)建個(gè)人信息侵權(quán)保護(hù)體系。本文立足于以上思路進(jìn)行探討。

二、個(gè)人信息法律屬性之澄清

(一)絕對權(quán)性質(zhì)之否定

1.法條規(guī)范目的之探求

《民法總則》第111條之規(guī)范目的并非將個(gè)人信息作為權(quán)利保護(hù)。首先，《民法總則》第111條全文均未采用 “個(gè)人信息權(quán)”的表述，使用的是“個(gè)人信息”，若立法者有意將個(gè)人信息權(quán)利化，上升為權(quán)利來保護(hù)，又怎會(huì)吝惜一個(gè)“權(quán)”字？其次，根據(jù)所含規(guī)定之性質(zhì)，法律規(guī)范可被分為授權(quán)性規(guī)范、義務(wù)性規(guī)范以及禁止性規(guī)范[6]。審視《民法總則》第111條的內(nèi)容，該條并未正面地建構(gòu)個(gè)人信息權(quán)的權(quán)能，而是列舉任何組織和個(gè)人在信息開發(fā)利用階段所應(yīng)遵循的行為規(guī)范；從法律術(shù)語的運(yùn)用上分析，該條并未使用“可以”“有……的自由”等表述，映入我們眼簾的是 “應(yīng)當(dāng)”“不得”等詞語。因此，第111條不屬于授權(quán)性規(guī)范，而是兼具義務(wù)性規(guī)范和禁止性規(guī)范性質(zhì)的復(fù)合性規(guī)范。《民法總則》在個(gè)人信息的保護(hù)上未采積極確權(quán)模式，而采行為規(guī)范模式[7]。再次，從《民法總則》民事權(quán)利這一章的編排來看，第109條是人格權(quán)保護(hù)的一般條款，第110條詳細(xì)列舉了自然人和法人、非法人組織所享有的具體人格權(quán)，第112條是關(guān)于人身權(quán)利的規(guī)定，那么第111條規(guī)定的應(yīng)當(dāng)是法律地位低于具體人格權(quán)的人格性法益。有學(xué)者認(rèn)為，《民法總則》將個(gè)人信息規(guī)定在“民事權(quán)利”一章，從法律規(guī)范的邏輯性講，當(dāng)然是受法律保護(hù)的“權(quán)”[3]。對此，筆者不敢茍同，并非只要規(guī)定于“民事權(quán)利”章節(jié)下即理所當(dāng)然地應(yīng)作為民事權(quán)利保護(hù)。例如，《民法總則》第109條規(guī)定：“自然人的人身自由、人格尊嚴(yán)受法律保護(hù)”，但卻不能在此認(rèn)為《民法總則》設(shè)立了人身自由權(quán)和人格尊嚴(yán)權(quán)，而應(yīng)當(dāng)將其理解為人格權(quán)保護(hù)的一般條款，起兜底作用[8]。最后，第十三屆全國人民代表大會(huì)常務(wù)委員會(huì)于2019年12月24日公布的《中華人民共和國民法典(草案)》人格權(quán)編部分對生命權(quán)、身體權(quán)、健康權(quán)、隱私權(quán)等具體人格權(quán)的列舉都帶有“權(quán)”字，唯獨(dú)個(gè)人信息后面沒有加上“權(quán)”字，并且未單獨(dú)列為一章，而是和隱私權(quán)共同規(guī)定在第六章，可見，即將制定的《民法典·人格權(quán)編》也傾向于否定個(gè)人信息的權(quán)利化保護(hù)路徑。“在權(quán)利的保護(hù)上我們應(yīng)該遵循形式主義的標(biāo)準(zhǔn)，即只有民事法律明確規(guī)定的權(quán)利才是民法上的權(quán)利，其他的都是利益保護(hù)的問題。”[9]

2.“權(quán)益區(qū)分標(biāo)準(zhǔn)”之檢視

個(gè)人信息不符合絕對權(quán)的基本特征。假如建構(gòu)個(gè)人信息權(quán)，應(yīng)當(dāng)歸入絕對權(quán)之范疇，因?yàn)樽鹬匦畔⒅黧w的義務(wù)主體須是不特定的任意第三人?！睹穹倓t》規(guī)定的“個(gè)人信息”究竟是作為侵權(quán)法上的權(quán)利(絕對權(quán))抑或是法益，可以通過德國法上的權(quán)益區(qū)分理論予以廓清。根據(jù)前述理論，區(qū)分絕對權(quán)和法益有三個(gè)標(biāo)準(zhǔn)，即同時(shí)具備“歸屬效能”“排除效能”和“社會(huì)典型公開性”的，為一種侵權(quán)法上的權(quán)利，反之則只能歸于法益[10]118。歸屬效能是指某項(xiàng)確定的法益內(nèi)容歸屬于特定主體；排他效能的根本含義是排除其他主體的任何不法干涉；社會(huì)典型公開性要求權(quán)利必須有社會(huì)一般意義上的可識別性，而非為潛在侵權(quán)人所不可感知[11]58。個(gè)人信息未能滿足上述三個(gè)標(biāo)準(zhǔn)，原因如下：其一，互聯(lián)網(wǎng)時(shí)代，個(gè)人信息高度數(shù)字化，常常以在二進(jìn)制的基礎(chǔ)上由0和1組合而成的比特流形式通過集成電路傳輸，易于分享和傳播。其在產(chǎn)生之初時(shí)常就以數(shù)據(jù)的形式存在于網(wǎng)絡(luò)服務(wù)提供商的管理系統(tǒng)或服務(wù)器上，共有性特征顯著。以上種種致使個(gè)人信息難以確定地明晰權(quán)屬。其二，個(gè)人信息具有無形性，雖然依賴于一定的介質(zhì)傳播、表現(xiàn)，但在物理層面卻難以為人力所束縛，不能將其排他地限制在特定空間，實(shí)現(xiàn)全面、圓滿的支配。在法律層面，對其之法律控制也不盡如人意。例如，旨在增強(qiáng)自然人對個(gè)人信息控制力的“知情-同意”機(jī)制不僅未能提高隱私保護(hù)水平，在實(shí)踐中反而偏向商業(yè)利益[12]。個(gè)人信息亦不具有排他效能。其三，最重要的是，個(gè)人信息缺乏社會(huì)典型公開性。在大數(shù)據(jù)時(shí)代，自動(dòng)化數(shù)據(jù)處理技術(shù)大規(guī)模應(yīng)用，個(gè)人在網(wǎng)絡(luò)空間活動(dòng)中遺留的瑣細(xì)、零散的數(shù)字足跡能夠被重組、比對、整合成為關(guān)聯(lián)到特定民事主體的個(gè)人信息，個(gè)人信息和非個(gè)人信息之間的界限逐漸相對化、模糊化。比如，瀏覽歷史、購物記錄、搜索關(guān)鍵詞等反映網(wǎng)上活動(dòng)軌跡及上網(wǎng)偏好的信息并不能直接辨別和確定特定主體，但與地理定位、IP地址等聯(lián)系起來，就可確定指向某一特定主體，成為個(gè)人信息。個(gè)人信息的界定也在朝著場景化、動(dòng)態(tài)性的方向發(fā)展[13-14]。因此，個(gè)人信息無法成為社會(huì)一般人可以清晰預(yù)見和明確感知的對象。近來，有觀點(diǎn)認(rèn)為，個(gè)人信息與知識產(chǎn)權(quán)本質(zhì)上具有諸多共同性，通過借鑒知識產(chǎn)權(quán)的構(gòu)建路徑，采用“行為規(guī)制權(quán)利化”的技術(shù)方法，不強(qiáng)調(diào)對客體意義上個(gè)人信息的圓滿控制，而是規(guī)制特定的利用行為并以此架構(gòu)利益保護(hù)的空間，足以塑造作為絕對權(quán)的個(gè)人信息權(quán)[15]。但是，該學(xué)者卻忽略了個(gè)人信息在權(quán)益歸屬的確定性、社會(huì)典型公開性和著作權(quán)、專利權(quán)及商標(biāo)權(quán)等知識產(chǎn)權(quán)的巨大差距，“權(quán)益區(qū)分三標(biāo)準(zhǔn)”的不滿足堵塞了個(gè)人信息“行為規(guī)制權(quán)利化”的技術(shù)路徑。綜上，“個(gè)人信息”難以為其他民事主體的行為提供合理的預(yù)期，不具有使他人避免侵害的期待可能性，不宜作為絕對權(quán)保護(hù)。

3.利益衡量視野之考察

個(gè)人信息絕對權(quán)化將阻礙信息的自由流通。個(gè)人信息保護(hù)要權(quán)衡自然人民事權(quán)益之維護(hù)與信息自由流通兩大法律價(jià)值目標(biāo)，歐盟GDPR第1條第3項(xiàng)可為著例，其規(guī)定“不能以保護(hù)處理個(gè)人數(shù)據(jù)中的相關(guān)自然人為由，對歐盟內(nèi)部個(gè)人數(shù)據(jù)的自由流動(dòng)進(jìn)行限制或禁止”，個(gè)人信息絕對權(quán)化在價(jià)值衡量上獨(dú)傾于前者而忽視后者，不利于維系權(quán)益保護(hù)與信息自由流通的二元平衡。假若確立個(gè)人信息權(quán)，前文已述，應(yīng)為絕對權(quán)(2)在此先擱置前文提及的“個(gè)人信息”不符合絕對權(quán)三個(gè)特征的論斷。，所以將個(gè)人信息作為權(quán)利保護(hù)與作為法益保護(hù)至少有兩點(diǎn)不同：其一，如前所述，絕對權(quán)具有歸屬效能和排他效能，賦予民事主體以個(gè)人信息權(quán)意味著個(gè)人信息在法律上排他地歸屬于某個(gè)自然人，并且可以摒除他人的不當(dāng)干涉。這必然導(dǎo)致個(gè)人信息保護(hù)向強(qiáng)化自然人對其個(gè)人信息所享有之控制力的方向發(fā)展。我國學(xué)界通說對于個(gè)人信息權(quán)的理解事實(shí)上也是和德國法上突出信息主體對個(gè)人信息的支配和控制的個(gè)人信息自決權(quán)相近[2]41[16]。其二，法律對于權(quán)利和法益采取的是區(qū)分保護(hù)，對絕對權(quán)的保護(hù)力度要大于對法益的保護(hù)。這將導(dǎo)致兩點(diǎn)不妥：其一，個(gè)人信息(尤其是網(wǎng)絡(luò)之上的)本質(zhì)上是一種公共產(chǎn)品，具有非競爭性和非排他性[17]517-574，賦予信息主體控制性的個(gè)人信息權(quán)與個(gè)人信息的本質(zhì)屬性相沖突。況且，個(gè)人對其個(gè)人信息的控制在現(xiàn)實(shí)中也難以實(shí)現(xiàn)。在信息社會(huì)，攝像頭、麥克風(fēng)、移動(dòng)傳感器、GPS和WIFI功能徹底創(chuàng)新了公共領(lǐng)域的數(shù)據(jù)收集[14]，自然人既難以察覺，也無從阻止。個(gè)人信息會(huì)經(jīng)歷二次甚至后續(xù)的多次利用，自然人與數(shù)據(jù)中間商及數(shù)據(jù)后續(xù)利用者之間并無直接的聯(lián)系，且由于大數(shù)據(jù)挖掘技術(shù)的廣泛應(yīng)用，數(shù)據(jù)的增值用途不斷涌現(xiàn)，個(gè)人信息收集之目的自始具有不確定性，與知情同意的具體性相沖突。凡此種種，致使以“知情-同意”規(guī)則為根基建立的控制機(jī)制徹底淪為蟠木朽株，“食之無味，棄之可惜”。其二，侵權(quán)法上的權(quán)利具有不可侵犯性，一旦侵害絕對權(quán)，便直接征引違法性，如若沒有違法阻卻事由，則需承擔(dān)相應(yīng)的侵權(quán)責(zé)任。將個(gè)人信息絕對權(quán)化，并且是建構(gòu)起導(dǎo)向支配、控制性的個(gè)人信息權(quán)，個(gè)人信息的利用原則上被禁止，除非得到個(gè)人的同意或者符合法律的規(guī)定。由此，民事主體處理他人個(gè)人信息的行為自由將受到極大的限制，行為一不小心就會(huì)逾越自由的邊界，侵入他人個(gè)人信息權(quán)的領(lǐng)域構(gòu)成侵權(quán)，使民事主體動(dòng)輒得咎。利益被識別、篩選為法益，需要滿足特定的法律評價(jià)機(jī)制設(shè)置的限制條件。如若將個(gè)人信息定性為法益，預(yù)設(shè)的前提是，利用個(gè)人信息的行為原則上是合法的，除非違反了保護(hù)性規(guī)定或者違背公序良俗。保護(hù)性規(guī)定在規(guī)制非法利用個(gè)人信息的行為方面的作用相當(dāng)于負(fù)面清單，是否“背俗”常常伴隨著利益衡量，并不會(huì)過度限制個(gè)人信息的處理，窒息信息的自由流通。

4.比較法上經(jīng)驗(yàn)之借鑒

比較法上對個(gè)人信息權(quán)利化持否定性立場。美國并無關(guān)于個(gè)人信息的綜合性立法，采取分散立法模式[18]。美國國會(huì)通過的一系列保護(hù)個(gè)人信息的立法，如《兒童網(wǎng)上隱私保護(hù)法》《家庭教育權(quán)利和隱私法》《視頻隱私保護(hù)法》等帶有明顯的消費(fèi)者法保護(hù)或公法規(guī)制的特征，并未賦予個(gè)人以針對不特定第三人的權(quán)利[19]。歐盟賦予個(gè)人信息憲法地位，將其視作人的基本權(quán)利和自由。《歐盟基本權(quán)利憲章》第8條、《歐洲人權(quán)公約》第8條及其旨在統(tǒng)一各成員國個(gè)人信息保護(hù)的《第95/46/EC號指令》皆清晰指明個(gè)人信息保護(hù)是一項(xiàng)基本權(quán)利。歐盟各成員國或者直接規(guī)定個(gè)人信息的憲法地位，如荷蘭、西班牙、葡萄牙等，或者從一般或特定的憲法原則或權(quán)利中衍生出個(gè)人信息，如德國、法國等[20]。以德國為例，德國聯(lián)邦憲法法院通過“小普查案”“人口普查案”等案件以司法判例的形式形成了個(gè)人信息自決權(quán)，個(gè)人信息自決權(quán)實(shí)際上是在公法領(lǐng)域公民得以對抗政治國家無限制的信息收集行為的有力工具，不是私權(quán)體系中的具體權(quán)利類型，更不是受侵權(quán)行為法保護(hù)的民事權(quán)利[21]。

(二)法益屬性之厘定

個(gè)人信息實(shí)質(zhì)上是一個(gè)概括性、描述性的指稱，是眾多不同類型的法益構(gòu)成的集合體。隱私權(quán)、肖像權(quán)、名譽(yù)權(quán)等精神性、標(biāo)表型具體人格權(quán)，囿于社會(huì)倫理道德觀念的束縛，未能經(jīng)受充分的商品經(jīng)濟(jì)洗煉，從而型塑出穩(wěn)定、清晰的內(nèi)涵、范圍以及權(quán)能構(gòu)造，面臨著概念淡化、內(nèi)容逸散，甚至整體消解為各種法益而重歸混沌的“逆權(quán)利化”風(fēng)險(xiǎn)。數(shù)字化時(shí)代，自動(dòng)化信息處理技術(shù)的大規(guī)模運(yùn)用給個(gè)人主體權(quán)益帶來威脅，基于尊重個(gè)人私生活、保障個(gè)人事務(wù)自決的人權(quán)觀，信息主體享有個(gè)人信息不受非法利用的法益得到廣泛承認(rèn)。自精神性人格權(quán)、標(biāo)表型人格權(quán)“逆權(quán)利化”進(jìn)程中散逸而出的，指向特定自然人并標(biāo)識個(gè)人人格、身份特質(zhì)的權(quán)利內(nèi)容，當(dāng)其以信息的形式存在之時(shí)，自然人兼有防止此類信息被非法收集、使用、加工、傳輸?shù)姆ㄒ妫瑑烧呦嘟Y(jié)合則型構(gòu)出法益集合體——個(gè)人信息。

個(gè)人信息之上集合的各種法益均是以客觀意義上的個(gè)人信息為載體的，個(gè)人信息上是否配置絕對權(quán)要著重考慮信息本身的特質(zhì)。如前所述，信息是否指向特定的自然人非屬確定，個(gè)人信息的界定日益以場景化和風(fēng)險(xiǎn)管理為導(dǎo)向，其本身的變動(dòng)不居無法滿足權(quán)利客體特定性的要求，不符合“權(quán)益區(qū)分三標(biāo)準(zhǔn)”，在法技術(shù)上絕對權(quán)化殊無可能。從綜合平衡信息開發(fā)利用及個(gè)人信息保護(hù)二元價(jià)值的角度考慮，在法政策上絕對權(quán)化不具備正當(dāng)性基礎(chǔ)，因此，個(gè)人信息的絕對權(quán)化應(yīng)予否定。我國《侵權(quán)責(zé)任法》第2條第2款的保護(hù)客體是民事權(quán)益，除權(quán)利(絕對權(quán))之外，還包括民事法益?！睹穹倓t》第111條雖不具有確立個(gè)人信息權(quán)的規(guī)范價(jià)值，但卻宣示個(gè)人信息應(yīng)受法律保護(hù)，個(gè)人信息的私法保護(hù)即應(yīng)在法益層面展開。

須注意的是，通過法益層面保護(hù)的個(gè)人信息范圍要加以限定。個(gè)人信息中有相當(dāng)部分內(nèi)容與名譽(yù)權(quán)、隱私權(quán)、肖像權(quán)、姓名權(quán)等具體人格權(quán)的權(quán)利內(nèi)容相重疊。例如，隱私權(quán)和個(gè)人信息的客體即具有交錯(cuò)性，自然人基因信息、病歷資料、犯罪記錄等隱私性信息，既屬于個(gè)人信息，也是隱私權(quán)的保護(hù)對象。權(quán)利和法益的本質(zhì)皆為利益，立法者給經(jīng)歷千百年社會(huì)實(shí)踐洗練的邊界清晰且權(quán)能內(nèi)涵確定的典型性利益披上權(quán)利的外衣，賦予最高強(qiáng)度的法律保護(hù)，一旦受到侵害就應(yīng)當(dāng)給予保護(hù)，排斥裁判者的個(gè)案衡量。其他尚不夠成熟和典型的利益，需要經(jīng)過一定的篩選識別機(jī)制，被法官確認(rèn)為現(xiàn)行法秩序下的法益時(shí)，方可得到保護(hù)。從尊重立法者的政策衡量和價(jià)值取舍的立場出發(fā)，凡為權(quán)利之所覆蓋的內(nèi)容，既不須也不應(yīng)再從法益的層面加以保護(hù)。因此，個(gè)人信息中屬于各具體人格權(quán)權(quán)利對象的內(nèi)容應(yīng)當(dāng)由相應(yīng)的權(quán)利進(jìn)行規(guī)范，剔除掉落入各具體人格權(quán)保護(hù)范圍的部分，余下的才有探討如何在法益的層面加以保護(hù)的必要。

三、個(gè)人信息法益保護(hù)路徑的選擇

(一)法益的一般保護(hù)路徑

立足于文義解釋和歷史解釋[22]的角度，我國侵權(quán)責(zé)任一般條款(3)無論是法國式的“大一般條款”,還是德國式的“小一般條款”，其實(shí)都是指過錯(cuò)侵權(quán)責(zé)任的一般條款。我國《侵權(quán)責(zé)任法》第2條第1款并非是侵權(quán)責(zé)任的一般條款，第6條第2款并非是過錯(cuò)推定責(zé)任的一般條款，第7條并非是無過錯(cuò)責(zé)任的一般條款。因此，我國侵權(quán)責(zé)任一般條款只有一個(gè)，就是過錯(cuò)侵權(quán)責(zé)任一般條款。過錯(cuò)推定責(zé)任和無過錯(cuò)責(zé)任均無一般條款，其保護(hù)范圍、構(gòu)成要件應(yīng)依照具體規(guī)定來認(rèn)定，是立法者政策考量的結(jié)果。權(quán)利和法益的區(qū)分保護(hù)在本文中僅針對侵權(quán)責(zé)任一般條款而言。(《侵權(quán)責(zé)任法》第6條第1款)在形式上采取的是法國式的大一般條款的模式，不區(qū)分權(quán)利和法益而一體適用。然而，法國式的權(quán)益統(tǒng)一保護(hù)模式存在著構(gòu)成要件概括籠統(tǒng)，無法為法官提供精確指引，從而導(dǎo)致法律適用確定性不足之弊端，也不利于妥適地調(diào)和權(quán)益保護(hù)與行為自由維護(hù)之間的矛盾。在我國學(xué)界，贊同權(quán)利和法益區(qū)分保護(hù)的觀點(diǎn)逐漸成為主流[10]106[23][24]98；而在司法實(shí)踐中，無論是在《侵權(quán)責(zé)任法》實(shí)施之前還是之后，權(quán)利和法益區(qū)分保護(hù)體制的探索一直在延續(xù)。

如何構(gòu)造我國侵權(quán)法上的權(quán)益區(qū)分保護(hù)機(jī)制，學(xué)者提出了多種解釋方案，這些方案大致可以分為兩類。一類是利用違法性要件將侵權(quán)責(zé)任一般條款在司法適用中解釋成導(dǎo)向或接近德國三個(gè)小概括條款的模式；一類是利用歐洲的動(dòng)態(tài)系統(tǒng)理論或者日本的相關(guān)關(guān)系理論來進(jìn)行解釋，主張綜合考慮多種因素來認(rèn)定侵權(quán)構(gòu)成，實(shí)現(xiàn)靈活的、彈性的處理。筆者贊同前者，理由如下：其一，違法性是侵權(quán)法保護(hù)范圍的“調(diào)節(jié)器”[25]，具有劃定侵權(quán)法保護(hù)的利益范圍和行為自由之間邊界的功能。通過違法性要件篩選應(yīng)受保護(hù)的法益以此使侵權(quán)責(zé)任一般條款類型化，歷史地走向類似《德國民法典》的侵權(quán)法體系構(gòu)成，是最高人民法院在案件審理和司法解釋制定中一直延續(xù)的思路[26]11。其二，利用相關(guān)關(guān)系理論或者動(dòng)態(tài)系統(tǒng)理論實(shí)現(xiàn)對法益篩選的彈性處理的思路不可取，這種做法其實(shí)和法國模式是殊途同歸。法國模式和德國模式的根本區(qū)別并不在于是否要區(qū)分保護(hù)(實(shí)際上在法國的司法實(shí)踐中不同類型法益得到保護(hù)的程度并不相同，也是區(qū)分保護(hù)的[27])，而在于法益的篩選究竟是由立法者規(guī)定明確的判定標(biāo)準(zhǔn)，借由侵權(quán)責(zé)任一般條款的類型化而給予法官精確的指引，抑或是賦予法官以自由裁量權(quán)，由其在個(gè)案中斟酌各種因素再予以判定。我國最高人民法院的法官認(rèn)為抽象的一般條款難以應(yīng)付社會(huì)生活中紛繁復(fù)雜的侵權(quán)案件，需要繼續(xù)以類型化的體系構(gòu)成予以具體化、明確化[26]14。在訴訟爆炸的時(shí)代，人民法院面臨著案多人少的困境，從減輕法官在個(gè)案中的論證成本和說理負(fù)擔(dān)，提高裁判效率，統(tǒng)一裁判尺度的角度出發(fā)，也應(yīng)該堅(jiān)持類型化的思路。我們應(yīng)該采納前一類解釋方案，根據(jù)侵權(quán)行為的違法性進(jìn)行類型化作業(yè)，參考德國民法典第823條和第826條，將《侵權(quán)責(zé)任法》第6條第1款解釋為侵害絕對權(quán)的侵權(quán)責(zé)任、違反保護(hù)性規(guī)定的侵權(quán)責(zé)任以及故意違背善良風(fēng)俗致?lián)p的侵權(quán)責(zé)任三種類型。在此框架下，法益保護(hù)的一般路徑是違反保護(hù)性規(guī)定的侵權(quán)責(zé)任以及違背善良風(fēng)俗故意致?lián)p的侵權(quán)責(zé)任兩種。

(二)個(gè)人信息作為法益的保護(hù)路徑選擇

首先，違反保護(hù)性規(guī)定的侵權(quán)責(zé)任本質(zhì)上更為契合個(gè)人信息保護(hù)的行為規(guī)制模式。利益保護(hù)有權(quán)利化模式及行為規(guī)制模式兩種路徑。權(quán)利化模式將相應(yīng)利益配置予具體權(quán)利類型，并明確權(quán)利歸屬及其排除第三人干涉的效力。行為規(guī)制模式則通過規(guī)范他人的行為以構(gòu)建利益空間，實(shí)現(xiàn)維護(hù)應(yīng)受法律保護(hù)利益的目的[4]?！睹穹倓t》第111條規(guī)定了依法取得并保障信息安全的義務(wù)，同時(shí)對非法收集、加工、傳輸、買賣、提供、公開個(gè)人信息的行為予以禁止，實(shí)質(zhì)上是以控制行為的方式達(dá)致保護(hù)個(gè)人信息的目的，應(yīng)屬采行為規(guī)制模式。保護(hù)性規(guī)定可以詳盡地設(shè)置民事主體從事社會(huì)活動(dòng)應(yīng)盡的注意義務(wù)，劃定相應(yīng)的行為禁區(qū)，為侵權(quán)認(rèn)定提供裁量基準(zhǔn)，契合行為規(guī)制模式的特征。例如，《網(wǎng)絡(luò)安全法》第41條、《消費(fèi)者保護(hù)法》第29條等構(gòu)建了個(gè)人信息收集、使用的行為規(guī)范體系，提供相對清晰的合規(guī)指引。如果數(shù)據(jù)企業(yè)有未公布隱私政策、超出提供的產(chǎn)品或服務(wù)范圍收集個(gè)人信息等非法行為，法官可徑行推定企業(yè)的主觀過錯(cuò)及行為違法性，由該條的法規(guī)保護(hù)目的確定損害賠償?shù)姆秶?，簡化因果關(guān)系的認(rèn)定。而善良風(fēng)俗是一個(gè)不確定性的法律概念，無法提供客觀的行為標(biāo)準(zhǔn)、框定清晰的行為自由界線，難以在行為規(guī)制模式下發(fā)揮建設(shè)性作用。

其次，以違反保護(hù)性規(guī)定的侵權(quán)責(zé)任保護(hù)個(gè)人信息法益具有堅(jiān)實(shí)的基礎(chǔ)，而判斷是否構(gòu)成“背俗”侵權(quán)之“俗”尚未形成。法律是政治共同體運(yùn)作并表達(dá)其意志的工具[28]，通過以建構(gòu)性的手段催化、引導(dǎo)及加速自生自發(fā)秩序的進(jìn)程，可以塑造民眾的共同生活，并形成唯有經(jīng)過政治決定才能消除弊病的快速反應(yīng)。善良風(fēng)俗植根于全社會(huì)范圍內(nèi)形成的普遍共識，是民眾信念、民族特質(zhì)及社會(huì)現(xiàn)行倫理道德觀念的產(chǎn)物，由自生自發(fā)秩序緩慢地孕育。大數(shù)據(jù)深刻地改變?nèi)祟惿?，社?huì)當(dāng)前正處于新舊秩序轉(zhuǎn)型的混沌狀態(tài)，規(guī)范大數(shù)據(jù)時(shí)代個(gè)人信息收集與處理的善良風(fēng)俗，歸因于自生自發(fā)秩序演化的惰性，未能完整生成，而具有引領(lǐng)性的立法早已先行一步。自2012年全國人大常委會(huì)通過《關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》以來，我國制定了大量有關(guān)個(gè)人信息保護(hù)的法律規(guī)范，已經(jīng)初步形成全方位、寬領(lǐng)域、多層次的個(gè)人信息保護(hù)法律體系，覆蓋信息的收集、使用、移轉(zhuǎn)、儲存、公開等各個(gè)環(huán)節(jié)(4)筆者于2019年7月5日以個(gè)人信息為關(guān)鍵詞，在北大法寶上精確查詢?nèi)陌撽P(guān)鍵詞的法律規(guī)范，總共查到35件法律、16件行政法規(guī)、1件監(jiān)察法規(guī)、9件司法解釋、79件部門規(guī)章。而且，《個(gè)人信息保護(hù)法》已經(jīng)列入十三屆全國人大常委會(huì)五年立法規(guī)劃，正在二次審議的《民法典人格權(quán)編(草案)·二次審議稿》也有6個(gè)條文涉及到個(gè)人信息的保護(hù)。。通過篩選甄別，有相當(dāng)數(shù)量的規(guī)范可以成為識別個(gè)人信息法益的保護(hù)性規(guī)定。若否認(rèn)“善良風(fēng)俗”充當(dāng)連通道德與法律的橋梁，同時(shí)也否認(rèn)繼受既有的、法外的“社會(huì)規(guī)范”形成實(shí)質(zhì)性判斷標(biāo)準(zhǔn)的功用，而將“善良風(fēng)俗”理解為具有“純粹的工具品格”的賦予法官概括授權(quán)的空白公式，那么，真正在背俗性問題上起作用的應(yīng)該是凝結(jié)裁判者價(jià)值取舍的判例[11]195。然而，當(dāng)前涉及個(gè)人信息保護(hù)的民事判例，既無充足的數(shù)量，也無豐富的類型(5)張新寶教授在北大法寶上使用諸多關(guān)鍵詞檢索，最終僅查到23件民事案例真正與個(gè)人信息保護(hù)相關(guān)，而且其中22件原告為法人，僅有一個(gè)案件是援引《民法總則》第111條作出。(參見張新寶：《〈民法總則〉個(gè)人信息保護(hù)條文研究》，《中外法學(xué)》2019年第1期，第72頁)，還須經(jīng)歷相當(dāng)長一段時(shí)間的沉淀，才能積累出足夠完成類型化作業(yè)的素材，然后在此基礎(chǔ)上形成具有可操作性的、指引性的判斷標(biāo)準(zhǔn)，該意義上規(guī)范個(gè)人信息收集與處理之“俗”仍未形成。

再次，違反保護(hù)性規(guī)定的侵權(quán)責(zé)任構(gòu)成要件的特性適合于突破大數(shù)據(jù)時(shí)代個(gè)人信息侵權(quán)認(rèn)定的困境。大數(shù)據(jù)時(shí)代的個(gè)人信息侵權(quán)認(rèn)定面臨以下挑戰(zhàn)：其一，個(gè)人信息侵權(quán)的損害后果以無形損害為主，一般無明顯的外在表現(xiàn)。無論是傳統(tǒng)的精神痛苦損害，抑或是大數(shù)據(jù)時(shí)代出現(xiàn)的信息泄露、社會(huì)分選(social sorting)和歧視、消費(fèi)操縱和關(guān)系控制等新型損害[29]，舉證證明均有相當(dāng)難度。其二，因果關(guān)系的證明陷入困境。例如，互聯(lián)網(wǎng)用戶因個(gè)人隱私性信息泄露而遭受侵害時(shí)，有兩種類型的因果關(guān)系不確定性問題：第一個(gè)是被告是否實(shí)施侵權(quán)，第二個(gè)(以對第一個(gè)的肯定回答為條件)是被告之中哪些人實(shí)施侵權(quán)及侵害了原告中的哪些人[17]517-553。而且，在大數(shù)據(jù)時(shí)代，數(shù)據(jù)挖掘、分析技術(shù)的濫用是造成個(gè)人信息遭受侵害的重要肇因，其不依賴于因果關(guān)系而依賴于相關(guān)性進(jìn)行預(yù)測和推斷，新發(fā)現(xiàn)的信息是非直觀的，不具可預(yù)知性[30]，認(rèn)定該技術(shù)導(dǎo)致侵權(quán)的因果關(guān)系殊為不易。其三，要證明侵權(quán)主體的過錯(cuò)也存在困難。由于侵權(quán)主體一般是擁有雄厚的經(jīng)濟(jì)實(shí)力、技術(shù)水平和信息優(yōu)勢的數(shù)據(jù)企業(yè)[31]，受害者則多是與之相對比處于弱勢地位的自然人，數(shù)據(jù)企業(yè)為謀取經(jīng)濟(jì)利益而運(yùn)用自動(dòng)化信息處理技術(shù)收集、加工、使用個(gè)人信息，有義務(wù)防免因之開啟或維持的風(fēng)險(xiǎn)，其也最有能力避免該危險(xiǎn)現(xiàn)實(shí)化，因此，可以對侵權(quán)主體適用過錯(cuò)推定、因果關(guān)系推定和損害推定。域外法上，歐盟GDPR第82條第3款規(guī)定，如果控制者或處理者證明自己沒有責(zé)任，就可以對引起的損失免責(zé)，在此便實(shí)施了過錯(cuò)推定和因果關(guān)系推定。違反保護(hù)性規(guī)定的侵權(quán)責(zé)任，其過錯(cuò)的判定完全系于對保護(hù)性規(guī)定的違反，一般從違反客觀法定義務(wù)出發(fā)即推定行為存在過錯(cuò)，損害賠償?shù)姆秶Q于立法者在設(shè)定保護(hù)性規(guī)范時(shí)的保護(hù)范圍意圖，是一種事先調(diào)整。違反保護(hù)性規(guī)定意味著受害人遭受侵害的危險(xiǎn)大大提高，從優(yōu)先保護(hù)受害人的法律政策出發(fā)，可以推定在損害與違法行為之間具有因果關(guān)系，或者至少存在表面證據(jù)[24]97。違反保護(hù)性規(guī)定的侵權(quán)責(zé)任其構(gòu)成要件的特征，適應(yīng)了大數(shù)據(jù)時(shí)代個(gè)人信息侵權(quán)認(rèn)定的要求，與“背俗”侵權(quán)的構(gòu)成要件相比，有更大的優(yōu)勢。

最后，違反保護(hù)性規(guī)定的侵權(quán)責(zé)任能夠充當(dāng)轉(zhuǎn)介條款，實(shí)現(xiàn)個(gè)人信息保護(hù)的公私法銜接，而故意“背俗”致?lián)p的侵權(quán)責(zé)任卻無此功能。風(fēng)險(xiǎn)社會(huì)促使現(xiàn)代國家由中立的“守夜人”向“規(guī)制國”轉(zhuǎn)變，自動(dòng)化信息處理技術(shù)增大個(gè)人信息被非法收集、存儲、公開、移轉(zhuǎn)的風(fēng)險(xiǎn)，立法者制定大量的管制型規(guī)范以營造數(shù)據(jù)秩序，充分保障個(gè)人信息主體的合法權(quán)益?！毒W(wǎng)絡(luò)安全法》第41條、第42條、第43條及《刑法》第253條等公法條款，《民法總則》第111條等私法條款均關(guān)涉?zhèn)€人信息的保護(hù)，在這個(gè)問題上，公私法規(guī)范不是割裂而是相互協(xié)調(diào)配合的關(guān)系。保護(hù)性規(guī)定的概念能將個(gè)人信息保護(hù)的各種法律規(guī)范納入侵權(quán)法領(lǐng)域，拓寬個(gè)人信息侵權(quán)的保護(hù)范圍，具體化認(rèn)定標(biāo)準(zhǔn)，實(shí)現(xiàn)個(gè)人信息保護(hù)的公法系統(tǒng)和私法系統(tǒng)的接軌匯流，達(dá)致整個(gè)法秩序的和諧。善良風(fēng)俗的轉(zhuǎn)介對象是道德規(guī)范，而如前所述，規(guī)范個(gè)人信息收集與處理之“俗”尚未形成。

小結(jié)：本文無意否定“背俗”侵權(quán)類型在個(gè)人信息保護(hù)中的作用，前述分析旨在指出，違反保護(hù)性規(guī)定的侵權(quán)責(zé)任在個(gè)人信息的侵權(quán)法保護(hù)上，相比于故意“背俗”致?lián)p的侵權(quán)責(zé)任無疑具有更大的優(yōu)勢，應(yīng)以前者為主，而以后者為輔。“背俗”類型實(shí)際上可作為兜底性保護(hù)手段，在尚未有足夠的案例積累以及有關(guān)個(gè)人信息利用的社會(huì)倫理道德規(guī)范作為判斷標(biāo)準(zhǔn)時(shí)，唯有賦予法官自由裁量權(quán)，使其在個(gè)案中斟酌損益，否則，無進(jìn)一步探討的必要。目前，應(yīng)將重心致力于違反保護(hù)性規(guī)定的侵權(quán)責(zé)任框架構(gòu)建上，下文即沿此進(jìn)路展開分析。

四、通過保護(hù)性規(guī)定保護(hù)個(gè)人信息法益路徑的類型化展開

目前，我國有關(guān)個(gè)人信息保護(hù)的法律規(guī)范雖然數(shù)量眾多，但整體上欠缺規(guī)范體系性，相關(guān)規(guī)定星羅棋布散見于公法和私法的不同門類，呈現(xiàn)出碎片化、離散化的現(xiàn)狀，部分規(guī)范所保護(hù)的領(lǐng)域還存在著交叉重合，上述現(xiàn)狀業(yè)已對通過違反保護(hù)性規(guī)定的侵權(quán)責(zé)任保護(hù)個(gè)人信息法益形成阻礙。厘清個(gè)人信息法益的內(nèi)涵與外延，明晰其主要被侵害的形態(tài)、侵權(quán)判斷基準(zhǔn)、構(gòu)成要件、抗辯事由、責(zé)任方式等，亟需對保護(hù)性規(guī)定進(jìn)行類型化的梳理，以期構(gòu)建科學(xué)合理的違反保護(hù)性規(guī)定的個(gè)人信息侵權(quán)責(zé)任框架，為法官提供裁判規(guī)則指引及侵權(quán)責(zé)任限制依據(jù)?！霸陬愋突碚撝?，最疑難的問題莫過于對‘類似性’的認(rèn)定?！盵32]有關(guān)個(gè)人信息保護(hù)性規(guī)定的類型化應(yīng)以“行為”作為標(biāo)準(zhǔn)。理由在于：“法律規(guī)范通過使特定的群體(接收對象)負(fù)有遵守或者執(zhí)行規(guī)范命令的義務(wù)，從而達(dá)到塑造和調(diào)整特定生活領(lǐng)域的目的”[33]，而這個(gè)功能的實(shí)現(xiàn)，依靠的是影響調(diào)整對象的特定行為，從而在其效力范圍內(nèi)調(diào)控特定的過程。法律對個(gè)人信息的保護(hù)，主要也是以規(guī)制行為實(shí)現(xiàn)的。以“行為”作為類型化標(biāo)準(zhǔn)，將保護(hù)性規(guī)定的類型及違反相應(yīng)類型的侵權(quán)責(zé)任詳述如下。

(一)違反個(gè)人信息收集、使用型保護(hù)性規(guī)定的侵權(quán)責(zé)任

個(gè)人信息收集、使用型保護(hù)性規(guī)定可見《網(wǎng)絡(luò)安全法》第41條、《消費(fèi)者保護(hù)法》第29條等(6)還包括《電子商務(wù)法》第23條，《刑法》第253條之一，《電信和互聯(lián)網(wǎng)用戶個(gè)人信息保護(hù)規(guī)定》第5條、第8條、第9條及第11條，《地圖管理?xiàng)l例》第35條，《征信業(yè)管理?xiàng)l例》第13條等。。收集是指對個(gè)人信息進(jìn)行獲取并記錄(7)參見《信息安全技術(shù)公共及商用服務(wù)信息系統(tǒng)個(gè)人信息保護(hù)指南》(GB/Z 28828-2012)第5.1(a)條。，使用是指訪問、加工、依據(jù)個(gè)人信息作出決策等利用個(gè)人信息的行為，不包括公開、傳輸行為在內(nèi)。該類保護(hù)性規(guī)定的合規(guī)要求是：(1)遵循正當(dāng)且必要的原則。網(wǎng)絡(luò)運(yùn)營商唯有基于具體、清晰和正當(dāng)?shù)哪康氖寄軐?shí)施收集行為，收集的個(gè)人信息與其所提供的產(chǎn)品、服務(wù)的業(yè)務(wù)功能要具有直接關(guān)聯(lián)性。同時(shí)，要滿足數(shù)據(jù)最小化的要求，收集的個(gè)人信息限于信息主體授權(quán)同意的目的所需最少類型與數(shù)量。使用個(gè)人信息不能違反初始目的。(2)履行充分告知的義務(wù)。處理個(gè)人信息的目的、方式、范圍及規(guī)則等要保持公開透明，且應(yīng)當(dāng)使用清晰、平白的語言，以一種簡潔、易懂和容易獲取的方式提供前述注意事項(xiàng)。網(wǎng)絡(luò)運(yùn)營商公布的隱私政策條款過于抽象概括，未能明示收集、使用個(gè)人信息的目的、方式及范圍；以“捆綁式”的方式羅列晦澀冗長的內(nèi)容，令網(wǎng)絡(luò)用戶閱讀困難；隱私政策隱蔽，未主動(dòng)引導(dǎo)用戶閱讀的，均是未充分保障用戶知情權(quán)的體現(xiàn)。(3)經(jīng)過用戶同意。同意的方式涵蓋明示同意和默示同意兩種。比較法上，一般有列舉個(gè)人信息處理合法性基礎(chǔ)的條文，如歐盟GDPR第6條、我國臺灣地區(qū)《個(gè)人資料保護(hù)法》第19條等，同意均只是合法性事由之一。我國是“世界上唯一一個(gè)在立法上明示個(gè)人信息收集、使用一律須經(jīng)信息主體的同意從而將同意一般化的國家”[34]。因此，解釋“同意”時(shí)不能參照GDPR第4(11)條，限定個(gè)人信息主體的授權(quán)必須以明示同意的方式做出，應(yīng)當(dāng)把默示同意包括在內(nèi)，否則會(huì)嚴(yán)重影響個(gè)人信息的流通利用。在“朱燁與北京百度網(wǎng)訊科技公司隱私權(quán)糾紛上訴案”(8)參見江蘇省南京市中級人民法院(2014)寧民終字第5028號民事判決書。中，二審法院便認(rèn)為原告朱燁以默認(rèn)“選擇同意”的方式認(rèn)可百度網(wǎng)訊公司使用cookie技術(shù)，百度網(wǎng)訊公司未侵害網(wǎng)絡(luò)用戶的選擇權(quán)和知情權(quán)。區(qū)分信息主體、個(gè)人信息類型而采用相適應(yīng)的同意方式有助于構(gòu)建個(gè)人信息差異化保護(hù)機(jī)制，維持權(quán)益保護(hù)和信息開發(fā)利用的二元平衡。具言之，收集、使用敏感個(gè)人信息、未成年人信息以及70周歲以上老年人信息時(shí)，必須經(jīng)過明示同意；而收集、使用一般個(gè)人信息時(shí)僅需默示同意即可。不符合以上三個(gè)條件之一即違反個(gè)人信息收集、使用型保護(hù)性規(guī)定，具備違法性要件，能徑行推定侵權(quán)人主觀上有過錯(cuò)。損害后果相對隱蔽且不易量化，但依據(jù)保護(hù)性規(guī)定也可推定，因?yàn)榉杉热唤狗欠ㄊ占?、使用個(gè)人信息，已然融入立法者確信此類行為會(huì)導(dǎo)致個(gè)人信息侵權(quán)的損害后果的價(jià)值判斷之內(nèi)。與此同時(shí)，立足于保護(hù)受害者的法律政策，因果關(guān)系的認(rèn)定也可寬松化。

違背此類保護(hù)性規(guī)定，恢復(fù)原狀、停止侵害、排除妨害、消除危險(xiǎn)等侵權(quán)責(zé)任均有使用的余地，限制處理、斷開鏈接(URL)以及《網(wǎng)絡(luò)安全法》第43條規(guī)定的刪除、更正等可以解釋為前述侵權(quán)責(zé)任的具體實(shí)現(xiàn)方式而得到適用。損害賠償則應(yīng)區(qū)分財(cái)產(chǎn)損害賠償和精神損害賠償。在財(cái)產(chǎn)損害賠償方面，被侵權(quán)人為制止侵權(quán)行為所支出的費(fèi)用是財(cái)產(chǎn)損失，由于非法收集、使用個(gè)人信息造成的物質(zhì)損失通常具有不可計(jì)量性，宜以侵權(quán)獲益標(biāo)準(zhǔn)認(rèn)定為侵權(quán)人獲得的利益，侵權(quán)獲益也難以確定的，人民法院可以酌情確定。在精神損害賠償方面，根據(jù)《侵權(quán)責(zé)任法》第22條，只有造成嚴(yán)重精神損害時(shí)，才能夠要求精神損害賠償。收集、使用個(gè)人信息是否造成受害人嚴(yán)重精神損害，應(yīng)當(dāng)結(jié)合信息的敏感程度、收集和使用的目的、收集信息的手段、使用范圍及程度、損害后果等因素在個(gè)案中作出綜合判斷。

(二)違反個(gè)人信息安全保障義務(wù)型保護(hù)性規(guī)定的侵權(quán)責(zé)任

個(gè)人信息安全保障義務(wù)型保護(hù)性規(guī)定可見《網(wǎng)絡(luò)安全法》第42條、《征信業(yè)管理?xiàng)l例》第22條等(9)還包括《消費(fèi)者保護(hù)法》第29條，《旅游法》第52條，《刑法》 第286條之一，《電信和互聯(lián)網(wǎng)用戶個(gè)人信息保護(hù)規(guī)定》第6條、第10條及第13條，《網(wǎng)絡(luò)游戲管理暫行辦法》第28條，《彩票管理?xiàng)l例》第27條，《城市軌道交通運(yùn)營管理規(guī)定》第28條等。。個(gè)人信息控制者(10)根據(jù)《信息安全技術(shù):個(gè)人信息安全規(guī)范》(GB/T 35273-2017)第3.4條，個(gè)人信息控制者指的是有權(quán)決定個(gè)人信息處理目的、方式等的組織或個(gè)人。的收集利用行為帶來個(gè)人信息遭受泄露、毀損或者丟失之風(fēng)險(xiǎn)，依情形采取必要且具期待可能性的防范措施，保護(hù)信息主體免遭前述損害，是其應(yīng)盡的安全保障義務(wù)。安全保障義務(wù)能夠超越介質(zhì)而一體適用于物理空間與網(wǎng)絡(luò)空間內(nèi)的利用個(gè)人信息之行為[35]。保護(hù)性規(guī)定設(shè)置的行為標(biāo)準(zhǔn)主要內(nèi)容是：(1)建立完善的信息安全管理制度；(2)采取必要的技術(shù)措施或其他措施確保持有的信息安全；(3)個(gè)人信息安全事件發(fā)生時(shí)應(yīng)當(dāng)及時(shí)采取補(bǔ)救措施；(4)及時(shí)刪除超出處理目的所需保存時(shí)間的個(gè)人信息。具體化的要求參見《信息安全技術(shù):個(gè)人信息安全規(guī)范》(GB/T 35273-2017)和《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求》(GB/T 22239-2019)等國家標(biāo)準(zhǔn)。在侵權(quán)樣態(tài)上，以不作為或間接侵權(quán)為主，直接造成受害者損害的常常是第三人侵權(quán)行為，例如外部的黑客攻擊、爬蟲軟件(Python)非法抓取數(shù)據(jù)等。在主觀過錯(cuò)的認(rèn)定上，是否符合保護(hù)性規(guī)定所確定的行為標(biāo)準(zhǔn)是判斷是否善盡個(gè)人信息安全保障義務(wù)以及是否存在過錯(cuò)的重要依據(jù)，但不是唯一依據(jù)，即使?jié)M足標(biāo)準(zhǔn)的要求，也不必然盡到侵權(quán)法上的注意義務(wù)，法官仍保留最終的裁量權(quán)。在因果關(guān)系的認(rèn)定上，雖然損害后果以無形性損害為主，一般表現(xiàn)為個(gè)人信息的泄露、丟失、毀損、遭到篡改或者未經(jīng)授權(quán)的訪問等，侵權(quán)行為與損害結(jié)果之間的因果聯(lián)系難以直觀判斷，但個(gè)人信息控制者、處理者未能采取充分措施保障信息安全，使個(gè)人信息泄露等危險(xiǎn)現(xiàn)實(shí)化，行為與損害結(jié)果之間的因果關(guān)系一般可以初步推定。

違反此類保護(hù)性規(guī)定，個(gè)人信息控制者承擔(dān)的預(yù)防性責(zé)任主要是停止侵害、消除危險(xiǎn)和賠償損失，履行方式是更正不準(zhǔn)確的信息、采取隱名化等信息加密技術(shù)、刪除逾越處理目的的信息等；回復(fù)性責(zé)任是賠償損失。有隱私性信息泄露或者具有人格象征意義的紀(jì)念信息永久滅失造成嚴(yán)重精神損害的，受害者可以根據(jù)《侵權(quán)責(zé)任法》第22條請求精神損害賠償。須注意，在有第三人介入時(shí)，只要第三人侵權(quán)行為之實(shí)現(xiàn)是由于個(gè)人信息控制者未盡安全保障義務(wù)所致，則該行為不能中斷因果關(guān)系鏈條，個(gè)人信息控制者和第三人構(gòu)成競合侵權(quán)，參照《侵權(quán)責(zé)任法》第37條，由個(gè)人信息控制者承擔(dān)補(bǔ)充責(zé)任。個(gè)人信息控制者可以舉證證明自己已經(jīng)盡到安全保障義務(wù)從而主張免責(zé)抗辯。對于是否盡到安全保障義務(wù)的判斷，在考慮到現(xiàn)有的技術(shù)水平、成本的情況下，如果采取的措施具有與個(gè)人信息處理的風(fēng)險(xiǎn)及所保護(hù)的個(gè)人信息相適應(yīng)的安全程度的，應(yīng)當(dāng)認(rèn)為是已經(jīng)履行了相應(yīng)的義務(wù)。個(gè)人信息已經(jīng)過匿名化也是此類侵權(quán)的抗辯事由。

(三)違反個(gè)人信息移轉(zhuǎn)型保護(hù)性規(guī)定的侵權(quán)責(zé)任

此類保護(hù)性規(guī)定可見《刑法》第235條之一、《網(wǎng)絡(luò)預(yù)約出租汽車經(jīng)營服務(wù)管理暫行辦法》第26條第3款等(11)還包括《電子商務(wù)法》第25條，《消費(fèi)者保護(hù)法》第29條，《公共圖書館法》第43條，《地圖管理?xiàng)l例》第35條，《電信和互聯(lián)網(wǎng)用戶個(gè)人信息保護(hù)規(guī)定》第10條、第18條，《征信業(yè)管理?xiàng)l例》第20條，《網(wǎng)絡(luò)預(yù)約出租汽車經(jīng)營服務(wù)管理暫行辦法》第26條等。。移轉(zhuǎn)個(gè)人信息的合法性標(biāo)準(zhǔn)無法直接自該類保護(hù)性規(guī)定中得出，但能夠結(jié)合國家標(biāo)準(zhǔn)、司法實(shí)踐狀況等因素確定如下:個(gè)人信息的移轉(zhuǎn)以數(shù)據(jù)共享為主要形式，其他移轉(zhuǎn)行為的合法性判斷可以參照數(shù)據(jù)共享的合法性要求確定。數(shù)據(jù)共享實(shí)際上是數(shù)據(jù)控制者范圍的擴(kuò)張，從數(shù)據(jù)主體的角度觀察，數(shù)據(jù)共享與重新收集數(shù)據(jù)并無本質(zhì)區(qū)別，實(shí)際上也是一個(gè)個(gè)人信息的收集、利用問題[36]，其他移轉(zhuǎn)行為亦然。但是，數(shù)據(jù)共享等個(gè)人信息的移轉(zhuǎn)是由占有個(gè)人信息的數(shù)據(jù)控制者和相關(guān)主體實(shí)施，個(gè)人信息主體并不直接參與其中，具有不同于通常而言的個(gè)人信息收集、使用的特點(diǎn)。數(shù)據(jù)共享應(yīng)當(dāng)遵循“用戶授權(quán)”+“平臺授權(quán)”+“用戶授權(quán)”的原則，該原則由北京知識產(chǎn)權(quán)法院在“北京微夢創(chuàng)科網(wǎng)絡(luò)技術(shù)有限公司訴北京淘友天下技術(shù)有限公司、北京淘友天下科技發(fā)展有限公司不正當(dāng)競爭糾紛案”(12)參見北京知識產(chǎn)權(quán)法院(2016)京73民終588號民事判決書。中確立，并得到廣泛認(rèn)同。內(nèi)容是：數(shù)據(jù)控制者在對外分享信息時(shí)，擬分享的信息須是獲得信息主體授權(quán)收集的信息，而且此時(shí)僅有自己的授權(quán)還不夠，尚需信息主體的再一次授權(quán)。數(shù)據(jù)分享者利用個(gè)人信息的形式、范圍及時(shí)間等既要在分享協(xié)議的授權(quán)范圍內(nèi)，也要滿足信息主體的授權(quán)要求。數(shù)據(jù)共享同樣要區(qū)分敏感個(gè)人信息和一般個(gè)人信息，前者的共享要明示同意，后者僅需默示同意即可。如果是數(shù)據(jù)控制者履行參與的契約所必要，且符合一般人的合理預(yù)期，可以視為信息主體默示同意。此外，還應(yīng)滿足個(gè)人信息收集、使用型保護(hù)性規(guī)定的合規(guī)要求，如遵循正當(dāng)、必要、最小化的原則等。其他移轉(zhuǎn)行為的合法性要求可參照數(shù)據(jù)共享確定。

違反此類保護(hù)性規(guī)定，可適用損害賠償、停止侵害、賠禮道歉等責(zé)任承擔(dān)方式。在認(rèn)定行為人主觀過錯(cuò)、損害賠償?shù)臄?shù)額等方面，可以結(jié)合非法移轉(zhuǎn)的個(gè)人信息的數(shù)量，是否包含行蹤軌跡、通信記錄、健康生理信息等可能影響人身、財(cái)產(chǎn)安全的敏感信息，是否促使下游犯罪的發(fā)生等因素，進(jìn)行綜合考量。非法提供、出售或者獲取個(gè)人信息，情節(jié)嚴(yán)重的可構(gòu)成犯罪。如果是國家機(jī)關(guān)工作人員違反法定職責(zé)實(shí)施的，此時(shí)有國家賠償和刑事附帶民事賠償?shù)母偤?，?yīng)允許受害人擇一行使，以最大限度地保障其權(quán)益。如果個(gè)人信息管理者明知或者應(yīng)當(dāng)知道他人利用個(gè)人信息意圖實(shí)施犯罪，仍然向其移轉(zhuǎn)個(gè)人信息的，個(gè)人信息管理者和個(gè)人信息接收者已經(jīng)成立共同侵權(quán)行為, 應(yīng)按照《侵權(quán)責(zé)任法》第8條關(guān)于共同侵權(quán)責(zé)任的規(guī)定, 承擔(dān)連帶責(zé)任[37]。但是，利用個(gè)人信息實(shí)施犯罪一般侵害絕對權(quán)，此時(shí)會(huì)有侵害絕對權(quán)的侵權(quán)責(zé)任和違反保護(hù)性規(guī)定的侵權(quán)責(zé)任的競合，通說認(rèn)為是請求權(quán)規(guī)范的競合[38]，而只發(fā)生前者的請求權(quán)。

(四)違反個(gè)人信息公開型保護(hù)性規(guī)定的侵權(quán)責(zé)任

此類保護(hù)性規(guī)定可見《最高人民法院關(guān)于審理利用信息網(wǎng)絡(luò)侵害人身權(quán)益民事糾紛案件適用法律若干問題的規(guī)定》(以下簡稱《信息侵權(quán)解釋》)第12條、《最高人民法院關(guān)于審理旅游糾紛案件適用法律若干問題的規(guī)定》第9條等。公開，其定義是將個(gè)人信息向社會(huì)公眾或者不特定群體披露的行為，實(shí)質(zhì)上也是使用個(gè)人信息的一種方式。但鑒于公開個(gè)人信息進(jìn)而損害信息主體的合法權(quán)益是司法實(shí)踐中個(gè)人信息侵權(quán)的主要形式，所以將其作為一種獨(dú)立類型。此類保護(hù)性規(guī)定的合規(guī)要求是：確需公開披露個(gè)人信息的，應(yīng)當(dāng)取得個(gè)人信息主體的同意。同意的形式限于明示同意，且應(yīng)當(dāng)是在被充分告知公開披露個(gè)人信息的目的、類型等的情況下做出的。未經(jīng)同意即公開，公開的規(guī)模、類型及程度等逾越授權(quán)的范圍，以及未善盡注意義務(wù)致使公開行為造成不應(yīng)有損害的，違反了個(gè)人信息公開型保護(hù)性規(guī)定。侵權(quán)行為的過錯(cuò)、因果關(guān)系同樣能夠在判定違反保護(hù)性規(guī)定的同時(shí)予以推定，而在損害后果的認(rèn)定上，因?yàn)閭€(gè)人信息處于非法公開狀態(tài)的事實(shí)被視為是一類新型損害，一般依據(jù)侵權(quán)行為本身即可證明。

須注意的是，司法實(shí)踐中，法院通常將非法公開個(gè)人信息的行為判定為侵犯隱私權(quán)，因?yàn)楸还_的個(gè)人信息經(jīng)常是隱私性信息，或者被公開的信息相互結(jié)合構(gòu)成的整體性信息屬于隱私性信息，如在“王福龍?jiān)V王德紅等隱私權(quán)糾紛案”(13)參見北京市門頭溝區(qū)人民法院(2017)京0109民初4612號民事判決書。中，法院認(rèn)為，公民的姓名、身份證號和銀行卡號三者結(jié)合起來成為整體信息，這些整體信息一旦被泄露，個(gè)人的財(cái)產(chǎn)安全將面臨一定風(fēng)險(xiǎn)，因此確認(rèn)案涉前述整體信息屬于個(gè)人隱私信息。然而，個(gè)人信息雖和隱私有交叉重疊的部分，卻并不完全被包含于隱私之中，個(gè)人信息即使與隱私無涉，基于防范人格尊嚴(yán)受侵害，保障個(gè)人安全的需要，利用個(gè)人信息的行為仍有規(guī)范的必要[39]。在“丁芝玲與汪錫奎隱私權(quán)糾紛”案中(14)參見四川省德陽市旌陽區(qū)人民法院(2017)川0603民初4743號民事判決書。，法院便認(rèn)為，自然人的隱私信息是其個(gè)人信息的一部分，但并不完全等同，被告汪錫奎泄露原告丁芝玲的個(gè)人基本信息并非故意，尚不構(gòu)成對原告隱私權(quán)的侵犯，但被告無意泄露原告?zhèn)€人信息之行為，仍應(yīng)承擔(dān)相應(yīng)的民事責(zé)任。而且，從違反保護(hù)性規(guī)定的侵權(quán)責(zé)任的構(gòu)成要件出發(fā)，只要行為人違反了個(gè)人信息公開方面的保護(hù)性規(guī)定，即使未侵犯隱私權(quán)，亦當(dāng)承擔(dān)侵權(quán)責(zé)任。

個(gè)人信息一旦公開，侵權(quán)行為即告完成，請求停止侵害、排除妨害殊無意義，恢復(fù)原狀也不可能。賠禮道歉、消除影響和精神損害賠償是此類侵權(quán)常用的責(zé)任承擔(dān)方式。《信息侵權(quán)解釋》第12條規(guī)定了6項(xiàng)公開個(gè)人信息的免責(zé)事由，對于非利用網(wǎng)絡(luò)公開個(gè)人信息的情形也可適用。比較常用的是其中第4項(xiàng)，公開自然人自行在網(wǎng)絡(luò)上公開的信息或者其他已合法公開的個(gè)人信息不構(gòu)成侵權(quán)。但是，造成他人已在一定范圍內(nèi)公開的信息的公開范圍不當(dāng)擴(kuò)大依然構(gòu)成個(gè)人信息侵權(quán)[40]；已被公開的個(gè)人信息是非法公開的，行為人繼續(xù)披露、公開，也將構(gòu)成侵權(quán)。在“王菲訴張樂奕名譽(yù)權(quán)糾紛案”(15)參見北京市第二中級人民法院(2009)二中民終字第5603號民事判決書。中，法院就認(rèn)為，他人對王菲個(gè)人信息的披露并不意味著張樂奕可以繼續(xù)對此予以披露、傳播，他人此前對王菲個(gè)人信息的披露不影響張樂奕侵犯事實(shí)成立。

我國現(xiàn)有的關(guān)于個(gè)人信息保護(hù)的民事法律及司法解釋，無論是針對旅游經(jīng)營者、與消費(fèi)者相對應(yīng)的經(jīng)營者、網(wǎng)絡(luò)運(yùn)營者等，所適用的主體范圍均有其特定的指向和一定的限制[41]。《民法總則》第 111 條則將主體擴(kuò)展至任何組織與個(gè)人，在規(guī)制的行為上，包括了收集、使用、移轉(zhuǎn)、公開以及保障取得的信息安全等?！睹穹倓t》第 111 條實(shí)際上是個(gè)人信息保護(hù)的一個(gè)總括性保護(hù)性規(guī)定。在規(guī)制的信息行為主體也出現(xiàn)有其他個(gè)人信息保護(hù)性規(guī)定所保護(hù)的“人”的范圍時(shí)，可以適用《民法總則》第 111 條，并根據(jù)所規(guī)制的行為的種類，參考相應(yīng)類型的更為詳細(xì)的保護(hù)性規(guī)定進(jìn)行具體化解釋。

五、結(jié) 語

澄清個(gè)人信息侵權(quán)法保護(hù)路徑，必須以厘清個(gè)人信息的法律屬性為前提。《民法總則》第111條的規(guī)范目的并非是把個(gè)人信息上升為權(quán)利來保護(hù)，將個(gè)人信息絕對權(quán)化，有過度保護(hù)之嫌，且與社會(huì)生活實(shí)際相脫離，還會(huì)造成阻礙信息自由流通與開發(fā)利用之風(fēng)險(xiǎn)?！皥?zhí)其兩端，用其中于民”，在厘定個(gè)人信息之法律屬性是法益的基礎(chǔ)上[42]，主要通過違反保護(hù)性規(guī)定的侵權(quán)責(zé)任，不僅足以規(guī)制侵害個(gè)人信息的行為，而且能夠?qū)崿F(xiàn)個(gè)人信息法益保護(hù)與開發(fā)利用的二元平衡。根據(jù)一定的基準(zhǔn)，將有關(guān)個(gè)人信息的保護(hù)性規(guī)定類型化為四類，具體探討各個(gè)不同類型保護(hù)性規(guī)定確立的行為標(biāo)準(zhǔn)，以及違反時(shí)侵權(quán)責(zé)任構(gòu)成的判定、承擔(dān)的責(zé)任形式、抗辯事由等，能夠構(gòu)建起完善的違反個(gè)人信息保護(hù)性規(guī)定的侵權(quán)責(zé)任的框架體系，為司法裁判提供有益指引。