作者 | 程啸(清华大学法学院教授)
原文标题 | 《论侵害个人信息的民事责任》
基金项目 | 国家社会科学基金重大项目“大数据时代个人数据保护与数据权利体系研究”(批准号:18ZDA146)
本文略有删减
未来我国民法典以及个人信息保护法应当完善侵害个人信息的民事责任。就个人信息民事责任的主体,应当统一使用“信息控制者”的概念。立法上应当规定侵害个人信息的侵权责任适用无过错责任。侵害个人信息的行为类型众多,在证明被告是否实施了加害行为时,应当采取高度可能性的证明标准,由法官结合案件事实并综合考虑相应的因素加以确定。侵害个人信息给受害人造成的财产损失无法证明时,应当适用法定数额的赔偿。
当前司法实践中,侵害个人信息的民事纠纷日益增多,为更好地发挥私法保护个人信息的功能,立法上有必要对侵害个人信息的民事责任作出更明确具体的规范。从比较法来看,德国、日本、我国台湾地区等成文法系国家和地区的民法典均编纂于20世纪工业文明时代,故此,它们的民法典中显然不可能规定侵害个人信息的民事责任,只能交由个人信息保护法或数据保护法等单行立法加以规定。但是,我国当前正在编纂民法典,我国的民法典是诞生于数字文明和信息时代的新型民法典。
因此,我国完全可以发挥后发优势,在民法典中就侵害个人信息的民事责任问题作出具体的规定,将个人信息保护义务的具体内容交由个人信息保护法等单行立法规定,从而使二者相互配合,协力实现保护个人信息、促进信息流动与合理使用的立法目的。
侵害个人信息的行为类型
由于个人信息是能够单独或者与其他信息结合识别特定自然人的各种信息,故此,侵害个人信息的加害行为可以分为两大类:其一,虽然侵害了个人信息,但加害人不以此为目的,而只是利用或借助个人信息来实现对受害人其他民事权益的侵害并造成损害。例如,犯罪分子非法窃取或购买个人信息来实施电信诈骗或杀害受害人;再如,加害人公开披露某人的家庭住址信息、工作场所信息、银行存款信息等,从而损害受害人的隐私权、名誉权等人格权。由于这一类侵害个人信息行为的目的和后果是侵害受害人除个人信息之外的其他人身权益和财产权益,所以由此引发的侵权责任也主要表现为侵害生命权、隐私权、名誉权等的侵权责任。
其二,单纯的侵害个人信息的加害行为,也就是说,该加害行为的目的和主要后果就是侵害受害人的个人信息。其中,最典型的一类就是《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》第12条所规定的网络用户或者网络服务提供者利用网络 “公开自然人基因信息、病历资料、健康检查资料、犯罪记录、家庭住址、私人活动等个人隐私和其他个人信息”。从司法实践来看,这一类案件的数量也占侵害个人信息侵权案件的大多数,且主要是以隐私权纠纷出现。
此外,从实践来看,除了非法披露或公开个人信息的加害行为之外, 单纯的侵害个人信息的行为至少还包括以下几类:
(1)非法收集个人信息,如未经被收集者的同意即收集个人信息,或者虽经同意但是未依法明 示收集、使用信息的目的、方式和范围或超越目的、方式和范围过度收集个人信息。
(2)泄露、毁损、丢失个人信息,即收集个人信息者违反法律规定和当事人的约定,未采取应有的技术措施和其他必要措施,确保其收集的个人信息安全,导致个人信息泄露、毁损、丢失。实践中这一类案件主要表现为医疗机构保管病历不当导致信息丢失、单位的人事部门或人力资源部门保管人事档案不当导致的信息缺损、电子设备维修不当错误删除记录等,其诉由主要是合同纠纷。
(3)非法利用个人信息,即虽然个人信息的收集是符合法律规定,经过被收集人的同意,但是收集者没有经过被收集者的同意,违反法律、行政法规的规定或者双方的约定使用个人信息的。目前比较常见的有:利用他人的身份信息将他人登记为公司的股东、法定代表人或者董事、监事等;房产中介将客户的身份证信息以及房源信息伪造固定住所进而取得北京市居住证等。
(4)非法泄露或者买卖个人信息,即个人信息收集者泄露个人信息或者未经被收集者同意将个人信息非法出售或者其他方式传输给他人的行为。这类加害行为主要表现为非法买卖公民个人信息的犯罪行为。例如,电信部门、金融机构、房地产中介等利用职务之便,将获取的客户信息非法出售给他人牟利。
(5)其他侵害个人信息的行为,如因收集者的原因而致所收集的个人信息是错误的,最典型的就是征信系统中记载的他人的信用信息是错误的。
加害行为的证明
由于信息具有很强的流动性,而信息的收集、存储、保管、使用等环节众多,涉及的主体复杂,故此,一旦发生侵害个人信息给受害人造成损害的情形,受害人往往很难证明被告实施了侵害个人信息的加害行为。这种情形在个人信息被泄露,为犯罪分子所利用而实施电信诈骗的场合最为常见。此时,被告常以信息并非自己所泄露为由进行抗辩,而原告要提出证据证明被告实施了泄露其个人信息的行为(作为或不作为),十分困难。故此,一些法院只能以原告未能证明被告实施了加害行为为由驳回其诉讼请求。
为了更好地保护个人信息,减轻原告在此类案件中的举证负担,在“庞理鹏与北京趣拿信息技术有限公司等隐私权纠纷案”中,法院提出了证明加害人的高度可能性的判断标准,即只要原告提供的证据能够表明被告存在泄露原告个人隐私信息的高度可能,而被告又不能反证推翻这种高度可能,就可以认为被告实施了泄露个人信息的加害行为。该标准一经提出,即在司法实践中产生了很大的影响,一些法院在处理个人信息侵权案件时采取了该标准。
笔者认为,以高度可能性的判断标准来确认被告是否实施了加害行为,是非常合理的,值得赞同。一方面,该标准并未改变民事诉讼法规定的举证责任的分配,原告依然需要提出各种证据来证明被告存在泄露个人信息的高度可能;另一方面,考虑到现代信息社会中个人信息可能被很多主体所收集、存储和利用,信息的传递本身也具有极大的隐蔽性,要求原告确切无疑地证明究竟泄露个人信息的主体是谁,显然强人所难。故此,只需要证明被告存在泄露个人信息的高度可能性就行。原告的举证是否达到了证明被告存在泄露个人信息的高度可能,应由法官结合案件的具体事实综合判断。一旦认可了原告的证明达到了这种高度的可能,就应当由被告提供各种证据来推翻这种高度可能。
笔者认为,在适用高度可能性的证明标准时,法院无论是在认定原告对被告加害行为的举证 是否达到了高度的可能,还是在认定被告的举证是否足以推翻这种高度可能时,都需要综合考虑以下几个因素:
(1)被告掌握原告被泄露的个人信息的范围与程度。个人信息的类型众多,被告掌握原告被泄露的个人信息的范围越大,程度越深,则其泄露原告个人信息的可能性越大。
(2)其他单位或个人掌握被泄露的个人信息的可能性。尽管现代社会中任何自然人的个人信息可能都被很多单位或个人所掌握,但每个单位或个人所掌握的个人信息是不同的,例如,航班信息往往是被航空公司以及票务公司所掌握,如果被泄露了,航空公司、票务公司泄露的可能性肯定要大于那些掌握自然人财务信息的银行等金融机构。
(3)被告是否曾经存在泄露自然人个人信息的情形。如果被告曾经存在泄露自然人个人信息的情形,如被媒体披露过或者被相关政府主管部门进行过批评、警告甚至处罚的,其泄露个人信息的可能性就更大。
(4)被告已经采取的个人信息的保护机制和具体措施。被告如果能够举证证明自己已经采取了非常充分的个人信息的保护机制和具体措施,履行法律法规等规定的各种个人信息保护的义务,就可以在很大程度上推翻其泄露原告个人信息的高度可能性,至少将这种可能性降得比较低了。
(5)信息收集者、信息存储者、信息使用者对接入其平台的第三方应用是否建立准入等相应的管理机制和履行管理义务的情形。这主要涉及泄露个人信息究竟是平台的提供者还是接入平台的第三方应用的问题。
权益侵害与损害赔偿
在《民法总则》《侵权责任法》规定的承担侵权责任的八种方式中,有相当一部分侵权责任的承担方式性质上属于绝对权保护请求权,例如,停止侵害、排除妨碍、消除危险等。这些侵权责任的承担方式,在物权法上体现为物权请求权,在人格权法上就是人格权请求权。我国现行法虽未确认个人信息是一种具体的人格权,但是,在认定侵害个人信息的侵权责任时,个人信息被侵害的自然人也可以行使停业侵害、消除危险等人格权请求权。就损害赔偿责任而言,侵害个人信息而给受害人造成损害多为财产损失的情形,即利用非法取得个人信息实施电信诈骗等侵害受害人的财产权益。此时,受害人要证明其损害还是比较容易的。但是,在不少情形下,加害人虽然实施了侵害个人信息的行为,受害人却没有财产损失或者难以证明财产损失。
对此,《侵权责任法》第20条规定:“侵害他人人身权益造成财产损失的,按照被侵权人因此受到的损失赔偿;被侵权人的损失难以确定,侵权人因此获得利益的,按照其获得的利益赔偿;侵权人因此获得的利益难以确定,被侵权人和侵权人就赔偿数额协商不一致,向人民法院提起诉讼的,由人民法院根据实际情况确定赔偿数额。”此外,《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》第18条第2款:“被侵权人因人身权益受侵害造成的财产损失或者侵权人因此获得的利益无法确定的,人民法院可以根据具体案情在50万元以下的范围内确定赔偿数额。”
故此,在上述案件中,虽然原告没有能够证明其因个人信息被侵害而遭受财产损失的数额,但是,法院认为:“针对赵鹏主张的经济损失,随着社会的进步和信息经济的发展,个人信息作为一种愈益重要的资源,其财产价值日益凸显,个人信息处理业已形成产业链。个人信息同时体现着人格利益和财产价值,对个人信息的侵害必然带来承担相应经济赔偿责任。对于判定的经济损失数额,本院针对案件情况和侵权情节,确定经济损失赔偿金额为10万元。”侵害个人信息如果造成了对受害人的隐私权、名誉权甚至生命权等人格权的侵害,常常会产生精神损害赔偿责任的问题。但是,单纯侵害个人信息而并未造成对受害人某一具体人格权的侵害的,受害人可否请求精神损害赔偿,值得研究。
从我国《侵权责任法》第22条的规定来看,精神损害赔偿责任适用的前提除了要求侵害人身权益之外,还要求造成严重精神损害。《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》第17条也规定:“网络用户或者网络服务提供者侵害他人人身权益,造成财产损失或者严重精神损害,被侵权人依据侵权责任法第二十条和第二十二条的规定请求其承担赔偿责任的,人民法院应予支持。”故此,如果在侵害个人信息的案件中,原告无法证明自己遭受了严重的精神损害,则不得请求侵权人承担精神损害赔偿责任。
原文首发于暨南学报(哲学社会科学版)2020年第2期。暨南学报(哲学社会科学版)已开放下载,点击阅读原文或登录暨南学报官方网站可下载原文。
音 频 | 肖迈迈
图 文 | 邹雅嘉
审 核 | 闫月珍