朱丹亞

(湘潭大學(xué) 法學(xué)院,湖南 湘潭 411105)

大數(shù)據(jù)時代的種種社會變革必然也會推動攸關(guān)社會文明未來走向的個人信息立法不斷完善。自2016年起，立法機關(guān)對個人信息保護的立法傾斜已初見端倪，《網(wǎng)絡(luò)安全法》《信息安全技術(shù)個人信息安全規(guī)范》在2016年至2019年間相繼出臺。2020年5月28日通過的《中華人民共和國民法典》(以下簡稱《民法典》)在《民法總則》原則性保護的基礎(chǔ)上對個人信息做出了進一步延伸。然而，以《民法典》侵權(quán)責(zé)任編為例，個人信息侵權(quán)并未囊括到特殊侵權(quán)責(zé)任類型之中，有關(guān)的法律法規(guī)也缺失個人信息侵權(quán)責(zé)任構(gòu)成與責(zé)任承擔(dān)方式的規(guī)定。本文就有關(guān)個人信息侵權(quán)責(zé)任的歸責(zé)原則、損害結(jié)果的承擔(dān)、責(zé)任承擔(dān)的方式三個問題進行論證分析并找到合理完善路徑，以期推動個人信息保護的立法完善。

一、個人信息侵權(quán)責(zé)任的法律困境

(一)個人信息侵權(quán)主體眾多

現(xiàn)有侵權(quán)主體主要由大型企業(yè)、電子商務(wù)平臺、網(wǎng)絡(luò)運營者組成。為了謀取個人信息中的經(jīng)濟利益，侵權(quán)主體通常選擇借助網(wǎng)絡(luò)數(shù)據(jù)平臺，完成收集、處理、出售個人信息的灰色利益輸送鏈條。以主體眾多、分工明確為主要特點的個人信息侵權(quán)行為不斷侵蝕著個人信息的權(quán)利邊界。而又因上述特點，被害人難以憑個人之力舉證侵權(quán)主體的侵權(quán)責(zé)任。例如，2013年南京朱某訴搜索引擎“精準(zhǔn)”推送廣告案中，朱某以搜索引擎違法投放與檢索內(nèi)容相關(guān)的廣告提起訴訟。其實質(zhì)是搜索引擎將朱某的網(wǎng)上瀏覽記錄通過利益鏈條的形式向各大廣告商進行輸送，完成了對朱某個人信息的盜取，其本質(zhì)是一種違法行為。然而因為侵權(quán)主體眾多復(fù)雜，極大增加了個人的舉證難度，二審法院以搜索引擎合理使用數(shù)據(jù)信息為理由，判決朱某敗訴?？梢?，身處利益對峙末端的個人，受縛于法律保護的缺憾，無法依憑自身力量舉證眾多侵權(quán)主體的侵權(quán)行為，最終淪為眾多侵權(quán)主體利益瓜分的對象。

(二)個人信息侵權(quán)歸責(zé)原則有失偏頗

《民法典》《侵權(quán)責(zé)任法》均未對個人信息侵權(quán)歸責(zé)原則作出明晰的規(guī)定，在司法實踐中，個人信息侵權(quán)案件只能依據(jù)一般侵權(quán)案件進行處理，因此，根據(jù)《侵權(quán)責(zé)任法》第六條第一款規(guī)定，個人信息侵權(quán)作為一般侵權(quán)案件適用過錯責(zé)任原則，即要求被侵權(quán)人就過錯事實承擔(dān)舉證責(zé)任。因掌握數(shù)據(jù)資料能力的差異性，雙方利益主體地位的不平等隨著數(shù)字經(jīng)濟的日益發(fā)展不斷加大，侵權(quán)主體通常為有雄厚經(jīng)濟實力、技術(shù)支撐的企業(yè)、網(wǎng)絡(luò)運營商以及政府部門，而被侵權(quán)主體則是普通民眾、個人，雙方經(jīng)濟與技術(shù)力量的懸殊使得被侵權(quán)主體舉證困難。雙方主體訴訟地位的不平衡性決定了個人信息歸責(zé)原則的傾斜性，即個人信息歸責(zé)原則、舉證責(zé)任的承擔(dān)理應(yīng)向侵權(quán)主體傾斜。但現(xiàn)行的過錯責(zé)任制度加重了被侵權(quán)人舉證責(zé)任，致使普通個體無法通過自身力量尋找到能證明被侵權(quán)人具有主觀過錯的合法證據(jù)。

(三)個人信息侵權(quán)責(zé)任承擔(dān)方式有所疏漏

新出臺的《民法典》并未解決《民法總則》遺留的基本屬性不明晰的問題。以《民法典》第一千零三十四條為例，法條雖然明文規(guī)定自然人的個人信息受法律保護，但回避了個人信息權(quán)益與權(quán)利爭議，也未肯定個人信息的財產(chǎn)屬性。個人信息權(quán)屬不明、定位模糊的現(xiàn)狀導(dǎo)致在個人信息侵權(quán)糾紛中，法院通常將個人信息侵權(quán)案件納入到一般人格權(quán)糾紛大類之中，并依據(jù)處理一般人格權(quán)的標(biāo)準(zhǔn)對待個人信息侵權(quán)案件。一般人格權(quán)侵權(quán)案件中，主要的責(zé)任承擔(dān)方式包括停止侵害、賠禮道歉、精神損害賠償、消除危險、恢復(fù)名譽等。但值得注意的是，一般人格權(quán)屬消極確權(quán)，與個人信息權(quán)有根本性差異，一般人格權(quán)受到侵害后，為了達到救濟被害人受損權(quán)利的目的，侵權(quán)法通常要求侵權(quán)主體停止對權(quán)利的損害并恢復(fù)到原始狀態(tài)，而個人信息權(quán)是具有財產(chǎn)屬性的積極確權(quán)，在侵權(quán)責(zé)任承擔(dān)方式上，理應(yīng)凸顯其財產(chǎn)利益。事實上，檢索以往個人信息侵權(quán)案例可以發(fā)現(xiàn)，所有判決結(jié)果均否決了被害人的財產(chǎn)性賠償訴求。信息數(shù)據(jù)時代，個人信息資源成為當(dāng)今時代各大利益主體爭相發(fā)掘的數(shù)字財富。現(xiàn)有的個人信息侵權(quán)責(zé)任承擔(dān)方式并不符合個人信息財產(chǎn)屬性的定位標(biāo)準(zhǔn)，擴大其經(jīng)濟責(zé)任承擔(dān)方式將是個人信息法律體系構(gòu)建的必經(jīng)之路。

二、個人信息侵權(quán)責(zé)任的域外借鑒

歐盟、美國早已建立了邏輯嚴(yán)密的個人信息保護體系。歐盟基于大陸法系的立法傳統(tǒng)，采取的是集中統(tǒng)一的立法模式；美國遵從海洋法系立法的典型特征，采用的是分散立法模式。雖然立法模式相左，但美歐兩域外國家對個人信息侵權(quán)責(zé)任方式的承擔(dān)、歸責(zé)原則的認(rèn)定將拓展個人信息侵權(quán)責(zé)任承擔(dān)問題研究的邏輯框架，為我國所面臨的個人信息侵權(quán)責(zé)任承擔(dān)問題提供新的解決思路。

(一)歐盟個人信息保護體系

歐盟數(shù)據(jù)保護模式植根于歐洲歷史悠久的商品經(jīng)濟演變長河之中，其對個人數(shù)據(jù)的完全性保護回應(yīng)了數(shù)據(jù)經(jīng)濟時代的發(fā)展要求?！锻ㄓ脭?shù)據(jù)保護條例》(簡稱GDPR)被稱為國際上最嚴(yán)格的信息數(shù)據(jù)保護法，該法案對個人信息的舉證責(zé)任、責(zé)任承擔(dān)方式、保護范圍做出了嚴(yán)格的規(guī)定。從舉證責(zé)任方面來看，GDPR第五條規(guī)定信息主體僅需要證明侵權(quán)主體實施過不當(dāng)收集、處理本人信息的行為，并造成相應(yīng)的損害，不需要證明侵權(quán)主體有主觀過錯。在侵權(quán)責(zé)任承擔(dān)上，GDPR又在無過錯原則之下，對數(shù)據(jù)保護進行了進一步延伸，明確規(guī)定侵權(quán)主體為兩方以上者應(yīng)當(dāng)承擔(dān)連帶責(zé)任，即信息控制者與信息處理者對個人信息保護負(fù)有同等的義務(wù)并共擔(dān)責(zé)任，公民可以兩者之中任一責(zé)任主體提起訴訟。GDPR個人信息侵權(quán)連帶責(zé)任的確立給個人實施訴權(quán)提供便捷的制度空間。在個人信息侵權(quán)責(zé)任承擔(dān)上，GDPR還規(guī)定侵權(quán)主體的經(jīng)濟損害賠償責(zé)任。

(二)美國個人信息保護體系

美國個人信息保護條文分散于《隱私權(quán)法》《電子通信隱私法》《電子消費者保護法》等各個領(lǐng)域的法律中。《信息自由法》規(guī)定：“不論法律有任何其他規(guī)定，被告人在收到原告的訴狀以后30天內(nèi)，必須做出實質(zhì)性答復(fù)?！睘榱似胶馇謾?quán)案件雙方所占物質(zhì)資料的天然不平衡狀態(tài)，《信息自由法》還規(guī)定了敗訴方合理負(fù)擔(dān)原告律師費用的責(zé)任承擔(dān)方式?？梢钥闯?，該法案從最大程度維護公民個人信息權(quán)益角度出發(fā)，分別從加重侵權(quán)主體責(zé)任、減輕公民訴訟成本兩方面來補缺公民在侵權(quán)案件中的不對等地位。2011年，在索尼泄露個人信息集體訴訟中，來自依利諾斯州的眾議員波比·拉什也在事件發(fā)生后表態(tài)稱，將重新啟動立法程序，完善個人信息經(jīng)濟損害賠償措施以確保網(wǎng)絡(luò)用戶個人數(shù)據(jù)安全。此次事件之后，美國個人信息侵權(quán)責(zé)任承擔(dān)方式中的經(jīng)濟損害賠償方式也開始不斷完善。

三、個人信息侵權(quán)責(zé)任承擔(dān)制度的完善

(一)引入連帶責(zé)任制度

多個侵權(quán)主體之間相互協(xié)作共同完成侵害個人信息行為的侵權(quán)模式已在個人信息侵權(quán)領(lǐng)域普遍運用，并隨著數(shù)據(jù)經(jīng)濟的發(fā)展，有逐漸擴大的趨勢。由于各個侵權(quán)主體之間分工明確，被侵權(quán)主體無法依靠自身力量來舉證各個侵權(quán)主體共同實施侵害個人信息權(quán)的行為，也無法舉證侵權(quán)主體份額承擔(dān)的大小?！肚謾?quán)責(zé)任法》第三十六條規(guī)定了網(wǎng)絡(luò)侵權(quán)的連帶責(zé)任。基于數(shù)據(jù)經(jīng)濟時代個人信息侵權(quán)與網(wǎng)絡(luò)侵權(quán)具有構(gòu)成要件上的相似性，個人信息侵權(quán)案件應(yīng)當(dāng)借鑒網(wǎng)絡(luò)侵權(quán)責(zé)任承擔(dān)方式，引入連帶責(zé)任制度。首先，個人信息侵權(quán)與網(wǎng)絡(luò)信息侵權(quán)同具有侵權(quán)手段隱蔽化、技術(shù)化的特點，被侵權(quán)人雖然能夠感知存在多個侵權(quán)主體，但受網(wǎng)絡(luò)技術(shù)、專業(yè)知識的限制，往往無法舉證侵權(quán)行為存在的客觀事實。其次，個人信息與網(wǎng)絡(luò)侵權(quán)案件同具有主體上的相似性，其通常牽涉到多個侵權(quán)主體且分工明確?；陔p方主體地位相差懸殊，個人難以憑借自身力量舉證侵權(quán)主體的數(shù)額以及其份額承擔(dān)的大小。個人信息侵權(quán)不斷集約化、共同化、體系化的態(tài)勢給予了侵權(quán)案件適用連帶責(zé)任制度充分的合理性、必要性要件。

(二)明確過錯推定歸責(zé)原則

現(xiàn)有個人信息侵權(quán)案件普遍參照一般人格權(quán)侵權(quán)，適用過錯歸責(zé)原則對案件進行裁判處理。這種歸責(zé)原則顯然并不利于遏制個人信息侵權(quán)快速發(fā)展態(tài)勢。

我國個人信息侵權(quán)案件到底適用哪種類型的歸責(zé)原則，筆者認(rèn)為，從法律實用主義角度分析，個人信息侵權(quán)案件應(yīng)當(dāng)統(tǒng)一適用過錯推定歸責(zé)原則。首先，個人信息侵權(quán)適用過錯歸責(zé)原則變相加重了被侵權(quán)人的舉證責(zé)任。無論對方主體是掌握自動化數(shù)據(jù)處理技術(shù)的政府機關(guān)還是未掌握自動化數(shù)據(jù)處理技術(shù)的企業(yè)個人，適用過錯歸責(zé)原則既要求被侵權(quán)主體證明的侵權(quán)主體實施了侵權(quán)行為又要其證明侵權(quán)人存在過錯。其次，無過錯責(zé)任原則與當(dāng)前經(jīng)濟發(fā)展理念背道而馳。我國正處于社會經(jīng)濟發(fā)展轉(zhuǎn)型的關(guān)鍵期，數(shù)據(jù)經(jīng)濟發(fā)展模式處在發(fā)展初期，適用無過錯責(zé)任將加大企業(yè)運營成本，阻礙互聯(lián)網(wǎng)、電子商務(wù)行業(yè)發(fā)展。同時，有經(jīng)濟價值的個人信息兼具商業(yè)屬性，個人信息的合理使用也會推動數(shù)據(jù)經(jīng)濟前進步伐。最后，個人信息侵權(quán)適用過錯推定責(zé)任有利于司法的統(tǒng)一適用，也將促進個人信息數(shù)據(jù)保護與信息正常流通之間的平衡。過錯推定歸責(zé)原則給予了被侵權(quán)主體一定的訴訟空間與產(chǎn)業(yè)生存空間，既保護了個人信息的安全也促進個人信息在公共領(lǐng)域的自由流通，維護了經(jīng)濟秩序的正常運行。

(三)構(gòu)建經(jīng)濟損害賠償責(zé)任體系

個人信息財產(chǎn)屬性日益凸顯意味著現(xiàn)有個人信息侵權(quán)責(zé)任方式已不能滿足維護個人信息權(quán)益的需要，其責(zé)任的承擔(dān)方式應(yīng)當(dāng)向經(jīng)濟賠償方向傾斜，只有構(gòu)建完整的經(jīng)濟損害賠償制度，才能維護當(dāng)前經(jīng)濟發(fā)展形態(tài)下的個人信息經(jīng)濟利益。

1.構(gòu)建財產(chǎn)損害賠償制度。構(gòu)建財產(chǎn)損害賠償制度需要確立財產(chǎn)損害賠償?shù)臉?gòu)成要件以及賠償數(shù)額?！睹绹ǖ溽屃x》第三條規(guī)定了構(gòu)成財產(chǎn)損害賠償?shù)木唧w要件：一是要求侵權(quán)行為對被侵權(quán)主體產(chǎn)生一定損害后果；二是現(xiàn)有證據(jù)能夠證明侵權(quán)行為與損害后果之間存在因果關(guān)系；三是具有通過賠償損失來彌補損害后果的可能。當(dāng)前國際上存在兩種個人信息侵權(quán)責(zé)任賠償方式:一種是以英國為代表的的全額賠償責(zé)任;另一種是以德國為代表的最高限額賠償責(zé)任。二者相比，全額賠償責(zé)任更有利于保護信息主體的財產(chǎn)利益，故在個人信息侵權(quán)財產(chǎn)損害賠償中，我國應(yīng)當(dāng)借鑒英美兩國經(jīng)驗，即被侵權(quán)主體證明存在一定損害后果且侵權(quán)行為與后果具有因果關(guān)系以后，就可以向法院申請要求被侵權(quán)主體承擔(dān)全額賠償責(zé)任。其具體財產(chǎn)賠償數(shù)額的標(biāo)準(zhǔn)應(yīng)當(dāng)參照《最高人民法院關(guān)于審理涉及計算機網(wǎng)絡(luò)著作權(quán)糾紛案件具體應(yīng)用法律若干問題的解釋》，依據(jù)侵權(quán)行為造成的直接經(jīng)濟損失以及預(yù)期可得利益判定賠償?shù)慕痤~。

2.引入懲罰性賠償制度。在個人信息侵權(quán)糾紛中，無論是從訴訟能力還是舉證能力來看，個體都越來越無法與企業(yè)、政府機關(guān)相抗衡。同時，數(shù)據(jù)經(jīng)濟遮蔽了個人信息侵權(quán)事件準(zhǔn)確的時間節(jié)點，個人僅憑自身力量往往難以察覺個人信息利益受損的事實以至于錯過最佳訴訟時機?；诖?，個人信息侵權(quán)案件才會屢禁不止。我國早已確立了懲罰性賠償制度，《消費者權(quán)益保護法》第五十五條規(guī)定了經(jīng)營者的懲罰性賠償責(zé)任。該項制度改善了消費者處于極度弱勢的不利地位，實現(xiàn)了消費者與經(jīng)營者主體地位之間的動態(tài)平衡。為了遏制個人信息侵權(quán)愈演愈烈的發(fā)展態(tài)勢，個人信息侵權(quán)責(zé)任承擔(dān)的方式不能僅局限于賠禮道歉、停止侵害等不涉及被侵權(quán)人核心利益的責(zé)任承擔(dān)手段，應(yīng)當(dāng)加大對個人信息侵權(quán)案件的經(jīng)濟懲處力度。個人信息侵權(quán)責(zé)任承擔(dān)方式應(yīng)借鑒我國《消費者保護法》懲罰性賠償?shù)某墒旖?jīng)驗，在個人信息侵權(quán)案件中引入懲罰性賠償制度，加大侵權(quán)主體的違法成本，從而減弱侵權(quán)主體侵害個人信息的積極性，達到降低個人信息侵權(quán)案件數(shù)量的目的。