我國民法典中“信息處理者”的內(nèi)涵界定及司法應對

陳金金

(貴州貴達律師事務所,貴州 貴陽 550000)

一、背景綜述：信息糾紛解決難的困境

對主體的區(qū)分是相應法律權利和義務得以認定的前提，也是主體本身合規(guī)責任得以履行的基礎，信息保護中亦是如此。當下我國相繼頒布各類法律、規(guī)范性文件及行業(yè)技術標準對信息保護作出規(guī)定，如《網(wǎng)絡安全法》《APP違法違規(guī)收集使用個人信息行為認定方法》《信息安全技術個人信息安全規(guī)范(2020年版)》等。在特別法《個人信息保護法》尚未正式施行的背景下，《民法典》以市場經(jīng)濟基本法的視角明確規(guī)定信息保護原則、個人信息處理者的義務和責任，為特別法的制定奠定法律基礎，具有重要的指導意義和現(xiàn)實意義。但反觀《民法典》及其他規(guī)范性文件，與其他國家立法中將信息利用主體劃分為信息控制者和信息處理者不同，《民法典》對信息利用主體采用統(tǒng)一、一元“信息處理者”的概念，在此背景下，以信息處理者為主要信息保護義務和責任主體的體系逐漸成型，司法如何在遵循立法原意的基礎上對復雜的信息實踐糾紛作出回應，是司法的應有之意和時代要求。

實踐中，信息侵權案件頻發(fā)，信息侵權行為屢禁不止。根據(jù)《第45次中國互聯(lián)網(wǎng)絡發(fā)展狀況統(tǒng)計報告》統(tǒng)計，至2020年3月我國網(wǎng)絡安全事件中信息安全問題凸顯——位居第一(見表1)。[1]但與此同時，信息侵權糾紛得以解決的較少，進入司法程序則更少。究其緣由，主要有以下三個原因：首先，信息侵權行為的發(fā)生較為隱匿，加之信息主體習慣“以隱私換便利”，缺乏信息保護意識，加劇了主體自身的弱勢地位；其次，與信息處理者相比，信息主體在信息處理技術和信息利用周期的控制上均處于弱勢地位，主體在侵權發(fā)生后往往難以固定證據(jù)，而現(xiàn)有舉證責任對個體來說難度較大；最后，信息侵權行為發(fā)生以后往往會給信息主體帶來不可逆轉的影響，但在其進行舉證的過程中被侵權人不能有效通過法律對自身進行保護，在進入司法程序后該影響也沒有統(tǒng)一的衡量標準，在當下對信息保護的立法體系中缺乏對精神損害的規(guī)定，如傳統(tǒng)民法中的“損害差額說”理論中受害人甚至連所遭受的損害究竟是什么都無法證明。[2]有鑒于此，司法機關應作出有效應對，發(fā)揮司法機關的能動性，為妥善實現(xiàn)信息保護的法治目標提供可能路徑。

二、立法審視：民法典關于信息處理者的立法定位

(一)信息處理者與信息控制者的概念梳理

1.信息控制者。從概念發(fā)展的歷程看，數(shù)據(jù)控制者的概念最早源于1981年歐洲理事會的《108號公約》(1)1981年，歐洲理事會(Council of Europe，非歐盟的European Council)發(fā)布了《關于個人數(shù)據(jù)自動化處理的個人保護公約》(Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data，下稱“108號公約”)之中，表現(xiàn)形式為“文檔控制者”(controller of the file)。之后在歐盟《數(shù)據(jù)保護指令》(以下簡稱《指令》)中確立了數(shù)據(jù)控制者(controller)的概念，《一般數(shù)據(jù)保護條例》出臺后沿襲《指令》關于數(shù)據(jù)控制者的界定。對信息控制者的理解可以從其控制力來理解，具體而言，其控制力可通過兩種形式表現(xiàn)出來：其一，法律條文的規(guī)定，不論是在歐盟的“權力話語”視域下的賦權模式還是美國“市場話語”視域下的實用主義，(2)歐盟在“比信息自由流動更重要的還是維護歐洲權利制度中人的尊嚴與隱私”的價值取向下，區(qū)分數(shù)據(jù)控制者和數(shù)據(jù)處理者的義務以實現(xiàn)“個人數(shù)據(jù)保護權”；美國“隱私控制論”則認為在法律承認個人數(shù)據(jù)為財產(chǎn)的情形下，財產(chǎn)法規(guī)則能更好地保護個人利益與社會整體利益。因此，他們鼓勵人們將“個人數(shù)據(jù)/隱私視為商品”并倡導通過財產(chǎn)法規(guī)則而非侵權規(guī)則保護個人數(shù)據(jù)。部分國家的法律或規(guī)范性文件會直接對信息控制者進行規(guī)定；其二，在沒有任何法律規(guī)定的情況下可通過事實判斷推定信息控制者，但需要結合個案進行分析，如某金融平臺將其營銷推送的廣告業(yè)務與不同的組織簽訂合同，即明確需要投放的廣告、客戶群體等，各公司有一定的裁量權，但最終的數(shù)據(jù)控制者仍然是該金融平臺，但若其中A公司為了生成附加值而對個人信息進行處理，則A公司因該行為成為新的信息控制者。

2.信息處理者。信息處理者的產(chǎn)生依賴于信息控制者。歐盟在《指令》中第一次在數(shù)據(jù)保護法律中適用該概念。信息控制者可決定由哪些人對信息進行加工處理，可以是自然人、法人、公共權力機關或外部代理機構。由此觀之，信息處理者的主體廣泛，但信息處理的方式由信息控制者決定，具體而言，信息處理者基本特點之一即為相對信息控制者而言具有法律上獨立的實體(separate legal entity with respect to the controller)，特點之二即為其代表信息控制者具體處理個人信息，此處的“代表”意味著為了他人的利益而服務，與委托法律關系相似。對于各信息利用者而言，其在個人信息的收集、使用、處理的各個階段中均有可能是信息控制者，也可能被認定為信息處理者，主要依其心理利用的行為而改變，如當信息主體在銀行開立賬戶時銀行對其進行金融信息的收集，并決定這些金融信息的處理方式，若信息處理者的信息利用方式超出與控制者的預先約定，則其有可能會成為新的信息控制者，甚至有可能出現(xiàn)共同控制者的情況。

3.差異之思辨。特定的法律概念表征著立法的法律保護對象及其法律關系。由信息控制者和信息處理者的概念差異可窺見兩者的差異：其一，作為核心詞語，“控制”意味著主體能自主決定信息處理的目的、方式、信息處理的用途，并能自主決定收集哪類信息、由誰收集、是否告知個人信息主體或重新征求其同意，以及信息利用之后的保存時間等，“處理”則蘊含著該主體能決定信息的進一步加工處理的環(huán)節(jié)，可決定信息將如何存儲、以何種方式共享等；其二，主體概念的不同決定其義務的不同，該點主要體現(xiàn)在法律或規(guī)范性文件對兩者進行界分的情況下，如我國在《個人信息規(guī)范》中規(guī)定了信息控制者應承擔全面的義務和責任，其中包括原則性、一般性義務、風險管理等，[3]而信息處理者的義務主要是合同義務，又如歐盟《一般數(shù)據(jù)保護條例》中對處理者規(guī)定了合同義務，也規(guī)定了需承擔與其權限、處理行為相匹配的合規(guī)義務及責任。

(二)民法典對信息處理者規(guī)定的立法選擇

1.“處理行為”的內(nèi)涵。法律若要安定，概念的構成與特征就應盡可能被精確地確定，因為不確定的法律概念及概括性條款易生歧見，進而危害法律的安定性。[4]承前所述，對信息利用主體存在信息控制者與信息處理者之說，但我國民法典中采用了一元的信息處理者的概念，對該概念的理解決定了信息利用主體的義務和責任，同時也將影響司法對信息糾紛的處理。而對該概念的理解又將基于對“處理行為”的理解。首先，應明確的是信息處理的“原料”是數(shù)據(jù)、信息、知識，也即信息是處理行為的客體和基本資源，是之后業(yè)務得以創(chuàng)新、共享的基礎；其次，處理行為的合理性和合法性的判斷需要基于特定的事實，如企業(yè)通過爬蟲的方式爬取網(wǎng)頁自行公開或其他合法公開的信息，則對于個體的信息主體而言應當屬于合理處理，但對于公開信息的網(wǎng)頁而言則有可能構成不正當競爭行為；最后，《民法典》吸收學者意見，對處理行為作出了擴展，參照GDPR的規(guī)定，(3)General Data Protection Regulation, Article 4(2)：‘processing’ means any operation or set of operations which is performed on personal data or on sets of personal data, whether or not by automated means, such as collection, recording, organisation, structuring, storage, adaptation or alteration, retrieval, consultation, use, disclosure by transmission, dissemination or otherwise making available, alignment or combination, restriction, erasure or destruction;將對信息的收集、存儲、使用、加工、傳輸、提供、公開等包含在“處理”行為之中。

2.信息處理者的界定。根據(jù)《民法典》第一千零三十七條、第一千零三十八條的表述來看，我國《民法典》籠統(tǒng)的賦予信息利用主體義務，采用“信息處理者”這一概念，未區(qū)分“信息處理者”“信息控制者”“受委托者”等概念。作為對信息負有安全保障義務的主體，信息處理者涵蓋了信息收集者、信息控制者的概念。根據(jù)《民法典》的規(guī)定，可進一步對信息處理者的義務體系和責任進行細化理解，即《民法典》第一千零三十五條同樣適用于信息控制者。實踐中“處理者”一般對應的概念是受信息控制者委托處理個人信息的主體，部分行業(yè)中甚至已經(jīng)形成“處理者”和“控制者”的實質分工，[5]“控制者”和“處理者”的行為所受規(guī)制不同，信息控制者往往承擔更多的義務，義務源于要在個人信息控制者約定范圍內(nèi)處理信息。由此可見，實踐中的信息控制者對信息有著重要的決定權，不僅會處理信息，更影響著信息處理的方法和目的。這種決定權或控制權可能源于明示或默示的法律職責，但不作為其排除對《民法典》規(guī)定義務履行的事由。此外，應客觀的看到，不論《民法典》采取何種概念界定，“信息控制者”與“信息處理者”的概念區(qū)分在立法選擇與司法實踐中更為重要的是明確各概念客體的內(nèi)涵與外延，以期實現(xiàn)對信息侵權事件或信息權益糾紛作出回應，提供可操作的指引。

三、策略選擇：信息糾紛案件中司法機關的應對

(一)發(fā)揮司法定分止爭的作用

1.堅持信息糾紛處理中的基本原則。信息利用的原則是信息利用“法規(guī)精神所生之原則”。[6]《民法典》第一千零三十五條明確規(guī)定了處理個人信息應遵循合法、正當、必要的原則。根據(jù)立法可窺見在處理復雜信息糾紛案件時，若無明確法律依據(jù)，可根據(jù)以上原則進行判決，這也是司法發(fā)揮其職能的應有之義。根據(jù)現(xiàn)有規(guī)定可從以下三點對信息保護原則進行理解：其一，合法性原則，合法性是信息處理者進行信息利用行為的前提，合法性的基礎一方面源于信息主體的知情同意，另一方面源于法律明文規(guī)定；其二，正當性原則，即信息收集和處理過程中手段和目的正當，手段、目的的正當性不僅要求其不違法，更要求手段、目的應符合誠實信用原則，以個體易于理解的、透明的方式進行告知；[7]其三，必要性原則，必要即處理者所收集和處理的信息僅限于實現(xiàn)正當目所必須。此外，《民法典》中還新增“不得過度處理”個人信息的要求，也是對“必要原則”的深化。

2.厘清信息處理者的責任及其例外。信息處理者對信息的處理有條件要求和例外。是否滿足條件或例外是司法機關判斷其責任及其責任輕重的重要依據(jù)，若不能滿足條件的則應承擔責任，符合例外情形則可成為其免責事由。其一，同意是信息得以處理的合法性基礎，但同意之外存在“法律、行政法規(guī)另有規(guī)定的除外”的情形，這一看似兜底式的規(guī)定，為司法實踐中處理個人信息權益與衡平其他合法利益提供了法律依據(jù)。當然，應辯證的看到，例外的出現(xiàn)應遵循必要性原則。例如，新冠肺炎疫情嚴控期間根據(jù)《中華人民共和國傳染病防治法》《突發(fā)公共衛(wèi)生事件應急條例》等法律、行政法規(guī)的規(guī)定，有關單位可收集信息主體的信息，該例外僅限于法律和行政法規(guī)的規(guī)定。其二，在利用《民法典》第一千零三十六條時，需要考量個人利益的保護和信息流轉的價值，在解決信息糾紛過程中應兼顧個人利益的保護和社會發(fā)展對個人信息合理使用的需求。

3.明晰信息糾紛案件中的舉證責任問題?！睹穹ǖ洹穼π畔⒓m紛解決中舉證責任的規(guī)定仍適用一般侵權的路徑。故對于信息糾紛中的舉證責任，仍適用“誰主張、誰舉證”的原則，也即原告需對侵權責任的構成要件(侵權行為、損害后果、因果聯(lián)系以及侵權人存在過錯)承擔舉證責任。在司法實踐過程中，第一批最高人民法院發(fā)布互聯(lián)網(wǎng)典型案例將“去哪兒網(wǎng)案”列入個人信息保護領域的典型案例，該案中法院沒有突破“誰主張、誰舉證”原則，但侵權事實的認定層面，將具有“高度蓋然性”即認定為原告完成舉證責任。但“高度蓋然性”的認定不論在學理層面還是司法實踐層面都極為復雜，難以得出統(tǒng)一認定標準?！叭ツ膬壕W(wǎng)案”發(fā)生前后，很多法院在裁判過程中都是按照傳統(tǒng)的“誰主張、誰舉證”的原則分配舉證責任，諸如“蘇寧易購案”“京東案”等。法院根據(jù)誠實信用和公平原則要求被告企業(yè)承擔自己旅行信息安全保障義務的舉證責任，但這種方式在法律規(guī)則上可能會存在問題。若大量推行這種規(guī)則可能增加企業(yè)的訴訟壓力和合規(guī)成本。如何降低起訴難度，同時又不給信息處理者帶來過重的壓力，是《個人信息保護法》及《最高人民法院關于審理個人信息權糾紛案件適用法律若干問題的解釋》理應明確的問題，也是司法機關在個案審判中應不斷探索的重任。

(二)強化司法價值引導效應

1.為信息安全劃定利用底線。信息安全底線的遵循是一切信息處理行為得以開展的基礎。任何信息利用活動的進行均不能突破信息安全底線，信息安全底線可具體劃分為國家安全底線、行業(yè)發(fā)展底線、個人信息安全底線。在具體的案件處理過程中，國家安全層面可遵循《數(shù)據(jù)安全法》中構架的國家層面的數(shù)據(jù)安全制度進行判斷，其中可能包括信息跨境等問題；在行業(yè)層面上的信息安全，應以保障行業(yè)安全發(fā)展，避免信息風險的傳遞，如金融信息安全事件的發(fā)生，不僅關系金融行業(yè)的穩(wěn)定，也涉及國家經(jīng)濟民生等的安全；在個人信息安全層面，主要從信息處理行為是否違反法定或約定的利用事由。對任何打破上述信息安全底線的利用行為，都將失去其利用信息的合法性基礎，也將成為其承擔法律責任的事實依據(jù)。當然，信息利用安全底線的劃定，也為各主體的信息利用行為提供了反向的合規(guī)指引，避免出現(xiàn)“數(shù)據(jù)堂”等信息安全事件。

2.為信息利用行為預留空間。與傳統(tǒng)訴訟中的某些標的物不同，信息價值具有不確定性。一方面，信息價值的確定沒有統(tǒng)一標準，各主體對統(tǒng)一信息的價值存在感知差異，某些主體認為視為“廢物”的信息或信息集可能在另一主體眼中視為“寶藏”和“金礦”；[8]另一方面，信息具有增值的不確定性，其他案件中涉及的物品可能只出售一次，便完成了所有權的移轉，但信息除約定可獨家利用的情形，往往可多次、反復使用，甚至存在越用越升值的現(xiàn)象。在此背景下，對信息糾紛的處理應為信息價值的發(fā)揮預留空間，在規(guī)則不甚明晰的情況下，應遵循信息利用的客觀規(guī)律和市場對信息資源的調(diào)配。具體而言，在遵循信息安全底線的基礎上，可考量信息在哪個主體控制下能避免碎片化發(fā)揮應有的價值，可考量主體為信息或信息集形成所付出的精力和成本，其權利的厚度能否與其訴求相匹配。