【条文主旨】
本条是关于侵害个人信息权益归责原则和损害赔偿规则的规定。
【条文理解】
侵害个人信息权益的归责原则和损害赔偿问题,是确定侵害个人信息侵权责任的基本规范依据,是《个人信息保护法》在法律责任部分尤为重要的规定内容,是人民法院处理相关民事纠纷的基本法律遵循。对于这一问题,早在《个人信息保护法(草案)》中就作出明确规定,其第65条规定:“因个人信息处理活动侵害个人信息权益的,按照个人因此受到的损失或者个人信息处理者因此获得的利益承担赔偿责任;个人因此受到的损失和个人信息处理者因此获得的利益难以确定的,由人民法院根据实际情况确定赔偿数额。个人信息处理者能够证明自己没有过错的,可以减轻或者免除责任。”此规定侧重于损害赔偿规则的确定,并从免责或者减责事由的角度,对于个人信息处理者能够证明自己没有过错的情形作出规定,并没有从侵害个人信息侵权责任的责任构成以及归责原则作出规定。一些全国人民代表大会常务委员会委员和地方、部门、专家、企业建议,根据过错推定责任原则确定侵害个人信息权益的损害赔偿责任。全国人民代表大会
宪法和法律委员会经研究,建议根据《
民法典》有关规定,将上述规定修改为:“个人信息权益因个人信息处理活动受到侵害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。”在此基础上,《个人信息保护法(草案二次审议稿)》第68条规定:“个人信息权益因个人信息处理活动受到侵害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。前款规定的损害赔偿责任按照个人因此受到的损失或者个人信息处理者因此获得的利益确定;个人因此受到的损失和个人信息处理者因此获得的利益难以确定的,根据实际情况确定赔偿数额。”由此,侵害个人信息的侵权责任归责原则及损害赔偿规则已经成型,《个人信息保护法》对此仅在条文序号和第1款前半句的文字表述作了调整。现将本条规定的理解与适用作以下解读。
一、侵权责任归责原则概述
归责原则,是确定侵权人承担侵权损害赔偿责任的一般准则,它是在损害事实已经发生的情况下,为确定侵权人对自己的行为所造成的损害是否需要承担赔偿责任的原则。[1]换言之,归责原则是追究侵权责任的基本依据。如果没有归责的过程,侵权行为所造成的损害后果就没有人来承担,受害人的损害就没有办法得到救济,侵权行为人的民事违法行为就不能得到民法的制裁。[2]正因如此,侵权法的归责原则是具体的侵权法律规范的统帅和灵魂,是侵权法律规范适用的一般准则,所有的侵权法律规范都必须接受侵权法归责原则的调整。[3]这一点在侵害个人信息侵权责任情形下也不例外。依照《民法典》第1165条、第1166条的规定,侵权责任的归责原则,包括过错责任原则、过错推定责任原则和无过错责任原则。其中,第1165条基本沿用《侵权责任法》第6条的规定,明确规定了过错责任原则和过错推定责任原则的一般条款,但在第1款规定中增加了“造成损害的”这一表述,以损害作为承担责任的必备要件之一,按照体系化解读,适用过错责任抑或过错推定责任原则都必须以造成损害为要件。
一般认为,过错责任原则,是以过错作为价值判断标准,判断行为人对其造成的损害应否承担侵权责任的归责原则。在一般侵权行为引起的损害赔偿案件中,应当由主观上有过错的一方承担赔偿责任。主观上的过错是损害赔偿责任构成的必备要件之一,缺少这一要件,即使侵权人的行为造成了损害事实,并且侵权人的行为与损害结果之间有因果关系,也不承担赔偿责任。过错推定原则则是指在法律有特别规定的场合,从损害事实的本身推定加害人有过错,并据此确定造成他人损害的行为人赔偿责任的归责原则。过错推定是工业革命时代,当受害人特别是大量平民遭受侵害的事故频繁出现后,由于证明行为人主观过错难度很大,受害人往往无法得到救济的情况下,在程序法上产生的一项补救措施,即在法律有特别规定的场合,从损害事实的本身推定加害人有过错,行为人要对其没有过错承担举证责任,如不能完成举证责任,则行为人要承担侵权责任。[4]举证责任倒置是过错推定的重要特征。在适用过错推定责任原则的侵权责任纠纷中,受害人在诉讼中,能够举证证明损害事实、违法行为和因果关系三个要件的情况下,如果加害人不能证明对于损害的发生自己没有过错,那么,就从损害事实的本身推定被告在致人损害的行为中有过错,并就此承担赔偿责任。[5]作为一项独立的归责原则,过错推定责任与过错责任还是存在很大区别,具体如下:
第一,过错责任原则和过错推定原则的调整范围是完全不同的。一般的过错责任原则调整的侵权行为范围是一般侵权行为,而过错推定责任原则调整的范围不是一般侵权行为,而是一部分特殊侵权行为。
第二,过错责任原则和过错推定原则的举证责任不同。适用过错责任原则,举证责任由原告承担,而过错推定原则在证明主观过错要件上实行举证责任倒置,原告不承担举证责任,而是由被告承担举证责任。
第三,适用过错责任原则和适用过错推定原则的侵权责任形态不同。适用过错责任原则的侵权行为是一般侵权行为,其侵权责任形态是直接责任。而适用过错推定原则的侵权行为是特殊侵权行为,其责任形态是替代责任。从历史的角度观察这两个侵权归责原则也是不同的。正如有学者所言,在过错责任原则诞生之时,就分为两种不同形式,作出不同的规定,调整不同的侵权案件。[6]
在此需要注意的是,依照《民法典》第1165条第2款的规定,过错推定责任原则适用的基本要求是,“依照法律规定推定行为人有过错,其不能证明自己没有过错的,应当承担侵权责任”。换言之,对于某一侵权行为是否适用过错推定责任要以法律对此情形作出具体规定为前提,如果没有相应法律对某一侵权行为明确要求适用过错推定责任,则无该归责原则适用的余地。因此,从规范功能上讲,《民法典》第1165条更具有规范指引的体系化功能,其本身不能单独作为裁判规范,而需要与其他具体法律规定结合来作为适用过错推定责任的依据。也是因为这个原因,对于侵害个人信息的侵权行为,是否适用过错推定责任的问题,需要在《个人信息保护法》中明确作答,否则,就会存在适用法律的争议,依照《民法典》侵权责任编的归责体系,就要产生向过错责任这一一般条款逃逸的问题。
二、个人信息侵权责任的归责原则
目前,学界对个人信息侵权行为多主张过错推定原则,适用举证责任倒置规则,即在法律对个人信息保护有特别规定的情况下,基于损害事实的客观存在,推定信息处理者行为存在过错并由其对自身没有过错承担举证责任。适用过错推定原则主要理由在于,网络环境的技术性较强,让信息主体举证信息控制者在信息收集、加工、存储、利用过程中存在过错,难度较大。[7]另有观点认为,侵害个人信息的侵权责任应当适用过错责任原则。其主要理由在于,任何侵权责任类型适用过错推定责任或无过错责任,必须以法律有明确规定为前提,但是个人信息保护领域尚无此类特别规定。而且侵害个人信息侵权行为的基本性质是侵害隐私权,属于一般侵权行为,因此必然适用过错责任原则。[8]上述观点都有道理,在法律和
司法解释对此并未作出明确规定的情况,也确实存在适用法律上的争议。但从法理上讲,在个人信息领域,同样存在着信息处理者与作为信息主体之间经济实体不对等、专业信息不对称的问题,适用过错推定责任,有利于减轻自然人一方的举证责任负担,更有利于保护受害者的合法权益,更符合公平正义的民法要求。也正因如此,《个人信息保护法》在综合各方意见、反复调研论证的基础上,在本条明确了侵害个人信息适用过错推定责任的归责原则。
归责原则决定构成要件的内容。明确了归责原则之后,侵害个人信息侵权责任的构成要件也就相应的明晰起来,包括违法行为、损害后果、因果关系和主观过错四个要件。在此要注意的是,一方面,这里的过错要件要采取客观化标准,对相应注意义务的违反,就应当认定为有过错。此主观过错要件与行为违法性要件在个人信息侵权责任构成上,更加呈现趋同或者合一的特点。具体而言,以行为表征的不同为标准侵害个人信息的具体行为类型主要包括:非法获取个人电子信息、非法出售个人电子信息、非法向他人提供个人电子信息、非法泄露个人电子信息、非法篡改个人电子信息、非法毁损个人电子信息、丢失个人电子信息和对个人电子信息侵权单位进行补救的行为。[9]这一概况具有可参考性。侵害个人信息的行为在本质上必须具有违法性,即违反法律、行政法规的规定,这不仅包括违反本法的规定,还包括但不限于违反《民法典》人格权编的规定。另一方面,就举证责任而言,依据过错推定责任原则的要求,信息处理者应当对其处理个人信息的行为没有过错承担举证责任,如果其举证不能,就应当依法认定侵权责任成立。在过错认定愈加客观化的背景下,这里的举证责任也是要更加聚焦在行为的违法性上,即信息处理者要对其行为的合法性承担举证责任。
三、关于侵害个人信息损害赔偿的基本规则
在理论和实务中,侵害个人信息的损害事实如何认定是一个难点问题。特别是对敏感信息,如果非要等到这些泄露的敏感信息被他人恶意利用,造成现实的物质损害时才可认定为权益侵害,则会显得过于机械。并且,这样的观念也没有考虑到信息主体个人因其敏感信息被泄露而产生的恐惧、焦虑等非物质损害。因此,确认敏感信息的泄露本身即构成权益侵害,无疑是法律应对信息科技和大数据社会到来的一种有效选择。[10]另有观点认为,侵害个人信息侵权可以分为财产损失和个人信息权受到侵害但没有财产损失或者难以证明财产损失两种情况。[11]这一见解较有道理。具体包括:其一,侵害个人信息权导致财产损失,即利用非法取得个人信息实施电信诈骗等侵害受害人的财产权益,如“申某与上海某某商务有限公司等侵权责任纠纷案”,原告因个人的手机号码和航班信息被他人泄露而被犯罪分子实施电信诈骗,损失了118900元。[12]此外,有关财产损害又包括直接财产损害和间接财产损害,如司法实践中,因个人信息被泄露导致后续被诈骗导致的财产损失属于直接的财产损害;个人信息被非法使用或进行交易买卖,为了维护个人信息权而花费的费用,包括更换账号密码、挂失银行卡等花费的时间与金钱成本属于间接的财产损害。其二,个人信息权受到侵害但没有财产损失或者难以证明财产损失。例如,被告未经原告的同意利用原告的房产信息和身份证件信息为另一个被告办理了居住证,导致原告在为其亲戚办理居住证时无法办理,该案原告虽然要求被告承担10万元的经济损失,但其并未能提出相关的证据加以证明。[13]
在侵害人格权益以及知识产权领域都一定程度上存在损害后果认定难的问题。为此,早在《侵权责任法》第20条就规定:“侵害他人人身权益造成财产损失的,按照被侵权人因此受到的损失赔偿;被侵权人的损失难以确定,侵权人因此获得利益的,按照其获得的利益赔偿;侵权人因此获得的利益难以确定,被侵权人和侵权人就赔偿数额协商不一致,向人民法院提起诉讼的,由人民法院根据实际情况确定赔偿数额。”《民法典》在此规定基础上,又对相应规则作了完善,依据其第1182条的规定,侵害他人人身权益造成财产损失的确定,不再强调先以所受损害来赔偿,后再以侵权人获得利益的标准进行赔偿的规则,而是把这两个赔偿标准修正为并列关系,[14]这更符合实际情况,也更有利于惩治和预防有关侵权行为。本条第2款也是遵循了《民法典》的这一思路,明确了所获利益和所受损失并行的规则,同时规定了个人因此受到的损失和个人信息处理者因此获得的利益难以确定的,根据实际情况确定赔偿数额。此与《民法典》第1182条规定的,被侵权人和侵权人协商不成时人民法院根据实际情况确定的规则是一致的。按照对《民法典》的体系化理解,一方面这一规则适用的前提条件包括被侵权人所受损失或者侵权人所获利益无法确定和双方当事人对此协商不成两个条件,尤其是第一个条件,如果被侵权人所受损失或者侵权人所获利益其一可以确定,则应当适用前面的标准,这里的可以确定不仅包括事实上的可以确定,还包括依据有关法律或者司法解释规定的标准或者方法能够确定相应的损失或者所得利益的情况。另一方面,人民法院根据案件实际情况的适用,也不是可以随意进行的,这不仅要求要说理有据,还要求要遵循有关司法解释的规定,不可抛开既有规定来确定赔偿数额。
【条文适用】
一、关于侵害个人信息造成的损害如何确定的问题
对于这一问题,应当区分财产损害和精神损害两个方面。这两个方面分别都要以符合各自相应的构成要件为限定条件。特别是就财产损害而言,必须受到因果关系条件的限定,对此应以相当因果关系的标准进行判断,不可随意扩大财产损害的赔偿范围,否则也容易引起滥诉。至于精神损害赔偿,《信息网络侵害人身权益规定》(2020年修正)第11条规定:“网络用户或者网络服务提供者侵害他人人身权益,造成财产损失或者严重精神损害,被侵权人依据民法典第一千一百八十二条和第一千一百八十三条的规定,请求其承担赔偿责任的,人民法院应予支持。”就侵害个人信息的精神损害赔偿而言,须达到遭受严重的精神损害为前提,否则不能请求侵权人承担精神损害赔偿责任。同时,依据《最高人民法院关于确定民事侵权精神损害赔偿责任若干问题的解释》(2020年修正)第5条规定,“精神损害的赔偿数额根据以下因素确定:(一)侵权人的过错程度,但是法律另有规定的除外;(二)侵权行为的目的、方式、场合等具体情节;(三)侵权行为所造成的后果;(四)侵权人的获利情况;(五)侵权人承担责任的经济能力;(六)受理诉讼法院所在地的平均生活水平”。
在此需要强调的是,利用信息网络侵害人身权益的案件,有几个特点:一是维权成本比较高。维权成本高体现在确定侵权人的成本高、取证成本高、律师费用高等几个方面。二是通过诉讼维护个人权益具有一定的外部性,这些诉讼尤其是原告胜诉的案件,在倡导正确的网络观念、确立良好的网络行为规范、建立规范的网络秩序等方面,有重要作用。因此,合理分配维权成本有利于促进网络秩序的良性循环。三是在侵害隐私权、个人信息的案件中,被侵权人往往并无具体的财产损失或者不能证明具体的财产损失,结果造成维权成本过高、违法成本过低的不平衡状态。有鉴于此,《信息网络侵害人身权益规定》(2020年修正)在侵害人身权益造成财产损失的赔偿方面作出了有益探索,其第12条规定:“被侵权人为制止侵权行为所支付的合理开支,可以认定为民法典第一千一百八十二条规定的财产损失。合理开支包括被侵权人或者委托代理人对侵权行为进行调查、取证的合理费用。人民法院根据当事人的请求和具体案情,可以将符合国家有关部门规定的律师费用计算在赔偿范围内。被侵权人因人身权益受侵害造成的财产损失以及侵权人因此获得的利益难以确定的,人民法院可以根据具体案情在50万元以下的范围内确定赔偿数额。”概言之,该条将维权成本,包括调查取证的合理费用和合理的律师费用作为侵害人身权益的财产损失,由侵权人予以赔偿;同时,明确了法定赔偿最高限额,即在被侵权人的财产损失或侵权人获益无法确定的情况下,人民法院可在50万元以下根据具体案情作出裁量。这一规定对于确定侵害个人信息造成的财产损害时依法具有直接适用的效力。此外,2021年7月28日出台的《使用人脸识别技术处理个人信息民事案件规定》第8条也参考这一规定,对于侵害人脸信息造成财产损害的情形作出了明确规定,该条规定:“信息处理者处理人脸信息侵害自然人人格权益造成财产损失,该自然人依据民法典第一千一百八十二条主张财产损害赔偿的,人民法院依法予以支持。自然人为制止侵权行为所支付的合理开支,可以认定为民法典第一千一百八十二条规定的财产损失。合理开支包括该自然人或者委托代理人对侵权行为进行调查、取证的合理费用。人民法院根据当事人的请求和具体案情,可以将合理的律师费用计算在赔偿范围内。”这一规定对于其他敏感个人信息的保护乃至一般个人信息的保护相关纠纷案件具有参照适用的效力。
二、关于侵害个人信息的侵权行为因果关系的认定问题
在理论和实务中,侵害个人信息纠纷案件同样存在着因果关系认定难的问题。比如,个人信息泄露造成信息主体被他人诈骗而遭受损害的案件类型,通常存在着因果关系证明的难题。在“庞某与北京某某信息技术有限公司等隐私权纠纷案”和“孙某某诉上海联通侵犯隐私权纠纷”[15]中,受害人往往难以证明网络平台真的泄露了个人信息,以及受害人遭受的损害与网络平台之间存在因果关系。有学者也指出,个人信息侵权案件中的因果关系存在两方面的难题:一是在责任成立的因果关系层面,在有多个信息控制者时,受害人往往难以证明谁是真正的加害行为人。如在数据收集、处理、转移及使用等多个环节中,参与的信息控制者太多,每个环节都可能发生数据不当泄露,从而导致受害者难以确定侵权行为人的范围,无法准确获知谁是侵权行为人。二是在责任范围的因果关系层面,由于信息控制者可能存在的泄露行为并不是直接侵权行为,而是为下游他人的侵权创造了条件:所涉及的个人信息的传播过程中可能介入第三人的行为,该信息也有可能通过该信息控制者之外的其他途径获得,他们不是掌握这些信息的唯一介体;此外,也无法排除可能遭到不可预料的黑客攻击或信息主体自身所为的可能。[16]因此,即使证明了信息控制者的平台系统存在漏洞,或信息控制者实施了与信息主体的个人信息有关的一定行为(经信息主体同意进行了信息披露),也无法确切证明其泄露行为正是损害结果发生的原因。[17]三是在责任承担方面,目前争议较大的问题是,因信息泄露、公开等导致当事人被骗巨额财产,或者导致当事人死亡等严重后果时,是认定侵权个人信息行为与此后果有因果关系并按照原因力规则确定责任,还是认定为没有因果关系而仅作为法定损害赔偿时的一个酌定损害赔偿金额的因素来适用。有观点主张,应当在个人信息侵权案件中,降低证明标准,以便对受害人提供充分的救济,缓和证明标准,由“高度可能性”降低为“较大可能性”,即证明被告泄露信息的较大可能性即可。[18]这一观点较有道理。从法理上讲,过错推定责任仅是对过错的推定,并不包括对因果关系的推定。也就是说,有关因果关系的举证责任实际上并未转移。但基于此类案件原被告双方举证能力的差异,基于分担风险以及维护公平正义促进经济社会发展进步的考虑,在因果认定上采用事实自证法则或者举证责任缓和的规则,适当降低对因果关系认定的标准。在个人信息侵权案件中,缓和“相当性”的证明负担,意味着从宽理解“若有该行为,通常是否会产生该损害”,只要原告证明侵权行为与侵害结果存在引起和被引起的条件关系,即应认定存在因果关系。[19]同时,在证明标准上,在当前法律司法解释规定框架下,有必要用足、用好《
民事诉讼法解释》关于民事诉讼证明标准的规定。其第108条确立了盖然性证明标准,即“确信待证事实的存在具有高度可能性”。在现代发达信息技术的背景下,侵害个人信息的主体,如泄露主体、侵权行为样态、因果关系等都存在难以认定的问题,这时更有必要强调适用有关民事诉讼证据认定标准的基本规则,即高度盖然性规则,同时也有必要强调日常生活经验法则的运用。其实,在上述庞某与北京某某信息技术有限公司等隐私权纠纷案中,庞某被泄露的信息包括姓名、尾号××49手机号、行程安排等,其行程安排无疑属于私人活动信息。从收集证据的资金、技术等成本上看,作为普通人的庞某根本不具备对抗某航空公司和该信息技术公司内部数据信息管理是否存在漏洞等情况进行举证证明的能力。因此,客观上,法律不能也不应要求庞某证明必定是此两公司泄露了其私密信息。两公司均未证明涉案信息泄漏归因于他人或黑客攻击,抑或是庞某本人。法院在排除其他泄露隐私信息可能性的前提下,结合本案证据认定上述两公司存在过错。[20]本案的这一裁判规则鲜明体现了民事诉讼证明标准并结合日常经验法则的运用,具有很好的参考借鉴作用。
三、关于侵害个人信息纠纷案件中举证责任分配的相关问题
如上所述,涉及专业能力及举证能力不对等的问题,从控制掌握证据的有利地位、便于查明案件事实以实质性解决纠纷和维护公平正义的角度考虑,赋予被告方即信息处理者更重的举证责任,这也符合侵害个人信息侵权责任适用过错推定责任的一般法理。对于这一问题,需要注意以下三个方面:
一是关于信息处理者对其行为合法的举证责任。对于这一问题,上述的《使用人脸识别技术处理个人信息民事案件规定》率先在人脸信息保护领域作出了规定,其第6条第2款规定:“信息处理者主张其行为符合民法典第一千零三十五条第一款规定情形的,应当就此所依据的事实承担举证责任。”《民法典》第1035条第1款是关于个人信息处理的原则和条件的规定。因该司法解释施行在《个人信息保护法》出台之前,故在法律依据上只能援引《民法典》的规定,从法律适用的角度,《个人信息保护法》施行后,当然要包括《个人信息保护法》的规定。而且,这一规定对于敏感个人信息乃至一般个人信息的保护在法律适用上一定会有“溢出”效应,即具有参照适用的效力。据此,从举证责任分配规则上讲,信息处理者要证明其行为符合合法、正当、必要、诚信等原则的要求,也要符合《个人信息保护法》所规定的其他合法性基础的内容,比如本法第13条的规定。进而言之,对此要以有关法律、行政法规的规定为依据,在缺乏法律、行政法规规定的情况下,有关部门的规章等也具有参照适用的效力。由于这些情形涉及专业判断问题,有关部委出台的规范性文件及有关国家标准或者行业标准等,也都可以作为案件裁判说理的理由,但同样不得作为裁判依据。信息处理者如果不能证明其行为符合上述要求,则要承担相应的举证不能的法律后果。
二是关于免责事由的举证责任。将免责事由的举证责任交由被告方承担,是基于举证责任缓和的要求,对于被告方课以较重的举证责任。对此,《使用人脸识别技术处理个人信息民事案件规定》第6条第3款规定:“信息处理者主张其不承担民事责任的,应当就其行为符合本规定第五条[21]规定的情形承担举证责任。”据此,信息处理者要对其处理人脸信息的行为符合“为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需而处理人脸信息”“为维护公共安全,依据国家有关规定在公共场所使用人脸识别技术”“为公共利益实施新闻报道、舆论监督等行为在合理的范围内处理人脸信息”“在自然人或者其监护人同意的范围内合理处理人脸信息”或者“符合法律、行政法规规定的其他情形”这五种情形之一承担举证责任,否则就要承担相应的举证不能的法律后果。同样,这一规定对于侵害其他敏感个人信息乃至一般个人信息的纠纷案件中根据案件具体情况依法具有参照适用的效力。
三是侵害个人信息纠纷案件中原告方的举证责任。过错推定责任原则的适用,很大程度上能够减轻原告方的举证责任,但这绝不意味着对原告方举证责任的免除。依据民事诉讼举证责任的一般法理,原告方应当对其受到的损害,明确的被告、被告的信息处理行为与其受到的损害存在因果关系承担举证责任。但是考虑到侵害个人信息纠纷案件的特殊性,尤其是发生网络空间、涉及多个信息处理者的情形,明确的被告以及因果关系问题的举证都有一定难度,正因此如,《信息网络侵害人身权益规定》(2020年修正)第3条第1~2款规定:“原告起诉网络服务提供者,网络服务提供者以涉嫌侵权的信息系网络用户发布为由抗辩的,人民法院可以根据原告的请求及案件的具体情况,责令网络服务提供者向人民法院提供能够确定涉嫌侵权的网络用户的姓名(名称)、联系方式、网络地址等信息。网络服务提供者无正当理由拒不提供的,人民法院可以依据民事诉讼法第一百一十四条的规定对网络服务提供者采取处罚等措施。”对于网络空间中涉及个人信息侵权案件中,可以直接适用上述规则。
