論個人信息處理者的民事責任

2021-12-01 13:33:10姚佳

清華法學 2021年3期

姚佳

現代科技對人們的行為方式產生較大影響，有如波蘭尼(Karl Polanyi)、格蘭諾維特(Mark Granovetter)的“嵌入”理論，科技正在以絕對強勢地位嵌入、顛覆乃至重塑人類的行為模式。在經濟迭代與規(guī)?；钠脚_經濟出現以后，即便是“原子化”的個體也別無選擇，只能主動或(更多是)被動地卷入其中。盡管個體從事的活動各異，但卻都存在自身信息被收集、利用與存儲等事實，如何保護此種處于“靜態(tài)”或“動態(tài)”的個人信息以及如何規(guī)制信息相關主體的行為，成為信息時代面臨的一個重要議題。根據谷歌書籍詞頻統(tǒng)計器(Google Book Ngram Viewer)顯示，“個人識別信息”(personally identifiable information)自1992年開始就成為一個越來越流行的術語。(1)Paul M.Schwartz & Daniel J.Solove, Reconciling Personal Information in the United States and European Union, 102 California Law Review 877, 887 (2014).圍繞個人信息是否具有“可識別性”，將個人信息與人、人格、財產等基本命題在事實上與邏輯上緊密聯系起來，并在相當程度上推動了世界范圍內個人信息保護的立法熱潮。

中國近年來在制定或修訂相關法律之時都十分重視個人信息保護問題。(2)《網絡安全法》《電子商務法》與《消費者權益保護法》之中均有相關個人信息保護的規(guī)定。2020年5月通過的《中華人民共和國民法典》在人格權編中專門規(guī)定了個人信息保護，首開世界范圍內民法(典)或私法中特別規(guī)定個人信息保護之先河，此舉在世界私法史上亦可圈可點。醞釀了若干年之后，2020年10月《個人信息保護法(草案)》的推出，更將中國的個人信息保護推至高潮。中國的個人信息保護立法相較于世界其他國家和地區(qū)，所處時代背景與發(fā)展階段皆不相同，因此所面臨的難題與所要解決的問題也不盡相同。尤其在“個人—個人信息處理者”之兩造關系中，以“可識別性”為個人信息的核心構成，更使得相對方主體的一系列義務與保護的“開關”始終處于“打開”狀態(tài)。(3)同前注〔1〕，Paul M.Schwartz & Daniel J.Solove文。鑒此，觀察個人信息處理者的法律責任十分重要，此種法律責任，或可構造為一定體系，或可在不同“橫截面”構造為一定“子體系”，并在相當程度上成為完善個人信息權利體系之重要的“反作用力”，殊值重視。

一、個人信息處理者的界定

由個人信息的產生、傳遞與流動的本質特征所決定，與個體發(fā)生聯系的若干主體可抽象概括為“信息控制者”與“信息處理者”。世界范圍內，隱私與個人信息立法以美國和歐盟為基礎標桿，其他國家和地區(qū)分別在不同的法域之內緊跟或對標相應立法。美國和歐盟二者之間事實上也形成一種個人信息保護立法的競爭局面。而正如格林里夫教授(Graham Greenleaf)所指出的，美國隱私法在世界上的影響力遠不如歐洲數據隱私法的影響力，可以合理地描述為“歐洲標準”的數據隱私法正在逐漸成為世界其他國家相關立法的標準。(4)Graham Greenleaf, The Influence of European Data Privacy Standards Outside Europe: Implications for Globalization of Convention 108, 2 International Data Privacy Law 68, 77 (2012).中國作為深受大陸法系法律理論影響的國家，在個人信息保護立法的觀念與制度上也一定程度上受到歐盟立法的影響。然而吊詭的是，中國法恰恰在個人信息基本主體概念上與歐盟頗為不同，《民法典》歷次草案與正式文本以及《個人信息保護法(草案)》中的個人信息相關主體的表述均不相同。對這一基礎主體概念的不斷修改，反映出立法者對個人信息處理活動的認識不斷加深并逐漸體現出立法的著重面向。然而，對于基本主體概念的規(guī)定，并非單一的法技術問題，而關涉立法者對于社會事實的認識、對法觀念的總結提煉以及能否實現立法的前瞻性等諸多問題，不能簡單視之。既如此，認識與界定個人信息處理者，是個人信息保護立法與解釋的基礎工作之一。

(一)信息控制者vs.信息處理者

對于事物概念的確定，既是一個認識事物本質的過程，同時也是一個思維形成的過程。黑格爾在說明概念與事物之間的關系時認為，“當我們要談論事物時，我們就稱它們的本性或本質為它們的概念，而概念只是為思維才有的”，“我們的思維必須依照概念而限制自己，而概念卻不應依我們的任意或自由而調整”。(5)[德]黑格爾：《邏輯學(上卷)》，楊一之譯，商務印書館1996年版，第12-13頁。在立法概念選擇的時候，立法者依然面對如何認識事物和如何選擇概念的雙重難題。

中國的個人信息保護立法，也同樣面臨上述認識與選擇的方法論難題。中國在制定《民法典》和《個人信息保護法(草案)》的個人信息保護規(guī)則之時，在法技術層面不同程度地借鑒歐美國家的經驗。然而，正如施瓦茨(Paul M.Schwartz)和索羅夫(Daniel J.Solove)所言，“美國和歐盟在隱私法方面分歧很大。在基本層面，二者的基本理念哲學不同：在美國，隱私法的重點是救濟對消費者的損害以及平衡隱私與高效的商業(yè)交易之間的關系；在歐盟，隱私權被認為是一項基本權利，可以凌駕于其他利益之上。甚至在確定信息立法調整范圍的邊界等問題上，美國和歐盟的做法也完全不同。個人信息的存在——通常被稱為‘個人識別信息’——觸發(fā)了隱私法的適用?！?6)同前注〔1〕，Paul M.Schwartz & Daniel J.Solove文，第877頁。美國關于隱私權理論探索較早，對世界產生較大影響，如何界定個人信息，在美國法上經歷過較為激烈的討論。主要通過三種方式界定個人信息，包括：同義反復(tautological)、非公開(nonpublic)以及具體類型(specific-types)。(7)所謂“同義反復”(tautological)的方式，主要是指美國隱私法通過簡單地定義“個人的”作為任何識別個人身份的信息的標準，在表達上就是“個人信息是個人的信息”的一種同義反復，將其作為界定個人信息的方法，實際上在美國國內也遭受到一定批評。同前注〔1〕，Paul M.Schwartz & Daniel J.Solove文，第888頁。后來經不斷發(fā)展，美國法上系將隱私權與個人信息保護等統(tǒng)一歸至隱私法這一籠統(tǒng)概念之中，與歐洲的人格權理論與個人信息保護理論的“二分法”截然不同。相較美國法，歐盟立法相對更為清晰，這也就是為何歐盟的個人數據保護法更易于“輸出”并成為較為通行的“世界標準”的重要原因之一。

從中國目前對于《民法典》個人信息保護的解釋論和《個人信息保護法(草案)》的立法論角度來看，中國個人信息保護立法一定程度上參考借鑒了歐盟相關立法，包括一些基本規(guī)則和權利義務體系等方面。然而，如本文所討論的，實證法恰恰并未將個人信息保護中涉及的關鍵主體——信息控制者——這一概念納入。事實上，信息控制者并非一個簡單的概念選擇問題，也并非一個比較法意義上的形式上的“規(guī)則借鑒”問題，而是涉及對于個人信息保護活動通盤理解的問題。

“控制者”這一概念，主要應依循歐盟立法的脈絡來理解?！翱刂普摺?controller)最早見諸于《歐盟95/46/EC指令》(1995年10月)，后在歐盟2012年擬議的《一般數據保護條例》(General Data Protection Regulation,GDPR)以及2016年通過的《一般數據保護條例》(GDPR)中延續(xù)使用。施瓦茨和索羅夫曾指出：“事實上，從歐盟95年指令開始，歐盟立法就已經為數據主體提供了對于他們自身數據使用的一種控制權。”(8)同前注〔1〕，Paul M.Schwartz & Daniel J.Solove文，第883頁。而此處所謂的“控制權”，又與大陸法系典型國家的“信息自決”理論緊密相聯。德國《基本法》第2條第1款確定了人格自由發(fā)展的權利。而個人信息對于人格構建和發(fā)展具有決定性的意義，“信息自決”(informationelle Selbstbestimmung)則是實現對個人自由發(fā)展的重要方式。(9)Vgl.Christoph Mallmann, Datenschutz in Verwaltungsinformationssystemen, München, 1976, S.54 ff. 轉引自謝遠揚：《信息論視角下個人信息的價值——兼對隱私權保護模式的檢討》，載《清華法學》2015年第3期，第102-103頁。此種信息自決觀念將個人信息與人格權有效聯系起來，并進而影響了個人信息保護的法律建構。

“信息自決”應有之意是個體能夠決定自身信息的使用，即產生一種“控制”。殊值辨識的是，以“信息自決”為出發(fā)點的對個人信息的“控制”并不等于對個人信息的“控制權”，由于權利本身包含一種實踐面向，而個人事實上無法享有對個人信息的絕對性、排他性的(全程)控制權，因此前述施瓦茨和索羅夫的觀點也有不周延之處。當然，他們對于歐盟個人信息保護法的特征總體上有較好的把握與判斷，這也就在相當程度上解釋了，由于個人信息的產生、傳遞與流動等特征，當信息流動到與個體相對的主體，并由該主體進行“控制”之時，由于個體享有“信息自決”而并未喪失自己對信息的“延伸控制”，“控制”理念貫穿始終。比如，個人享有知情權，即“可以在一定程度上控制關于收集到的他們的數據的去向”。(10)Francoise Gilbert, A Bird’s-Eye View of Data Protection in Europe, 24 ABA GP Solo 31, 32-35 (2007).個人信息保護立法以“控制”為核心貫穿以個人信息為客體的一系列行為，當個人信息“脫逸”個體之后，能夠控制信息的主體則是事實上占有信息的“控制者”。這也就是為何在歐盟《一般數據保護條例》中，信息控制者才是與個人直接相對的義務主體，而并非信息處理者。而控制者的核心活動與其主要活動有關，而與作為輔助活動的個人數據處理無關。在控制者客觀控制數據的基礎上，又進一步發(fā)展出“目的限制”原則，允許控制者評估為最初收集數據的目的以外的其他目的處理個人數據是否享有這樣的依據，而這種依據并非基于法律或數據主體的同意。(11)W.Gregory Voss, European Union Data Privacy Law Reform: General Data Protection Regulation, Privacy Shield, and the Right to Delisting, 72 The Business Lawyer 221, 224 (2017).

在歐盟法的脈絡下，信息控制者的概念絕非僅依立法而產生，而系與歐洲法長期關注與持續(xù)發(fā)展人格自由、信息自決等法思想、法理念緊密相關。信息處理者則是為了數據控制者而處理個人數據的主體，其行為與活動雖然具有相對獨立性，也并非控制者的附庸，但在地位與角色上確實無法與控制者相提并論。二者的關系既反映出歐盟法的特色，同時也體現出個人信息活動本身的核心特征。反觀中國法，遺憾的是，“信息控制者”這一概念在《民法典》制定過程中僅“曇花一現”，最終并未進入正式文本之中，這就有必要在中國法的“偶然”與“必然”之中進一步解釋個人信息處理者的內涵，及其所輻射的制度脈絡以及所反映的制度意旨。

(二)中國立法演進中的“個人信息處理者”

黑格爾認為，考察存在和本質的客觀邏輯，真正構成了概念發(fā)生史的展示。(12)參見[德]黑格爾：《邏輯學(下卷)》，楊一之譯，商務印書館1976年版，第240頁?？陀^而言，中國確實不存在如歐洲國家的信息自決觀念的歷史影響，因此即便是拋卻已有概念，轉而選擇創(chuàng)設全新概念，也未嘗不可。問題的關鍵在于，基本概念應起到貫穿制度核心脈絡的作用，或重塑制度自身特征的作用，只有有意識循此設計制度，才能實現制度初衷，否則將會使制度變得空洞而無法實施。信息相關主體在歷次法律草案與規(guī)范性文件中的表述，幾無統(tǒng)一者，而最終《民法典》中改稱“信息處理者”的表述，或有突襲之感，這也給如何解釋信息處理者的地位與作用帶來一定困難。

表：法律法規(guī)、規(guī)范性文件中的信息相關主體

從目前已公開的官方立法資料來看，對于上述概念變化并無特別說明。從概念表述與體系解釋來看，大致可從以下幾方面理解與建構：

第一，“信息處理論”吸收“信息控制論”。從概念使用來看，在制定法并未采用信息控制者這一概念之時，而僅使用信息處理者這一概念。通過體系解釋，“信息處理論”表達為一系列客觀的處理方式以及個人信息處理者的自主決定權利，這實際上也涵蓋了包括有決定能力的控制者的一系列行為。立法階段的終結，使信息處理者這一概念成為一種既定事實，后續(xù)研究和實踐也只能在此基礎上進行解釋。

第二，非控制論之下的“信息自決”的貫穿。歐盟法脈絡下的人格、信息自決與個人信息控制之間存在觀念上與邏輯上的聯系。盡管中國法并未選擇以控制者為核心的“信息控制論”，但是無論是解釋《民法典》的相關規(guī)定還是《個人信息保護法草案(一審稿、二審稿)》第44條中明確規(guī)定的“個人對其個人信息的處理享有知情權、決定權……”，已經較為明確地規(guī)定了“信息自決”或“個人信息自決權”?？梢?，即便立法選擇了“信息處理論”或非控制論，但也仍然是選擇了“信息自決”這一法價值，之后的法律體系構建或規(guī)則創(chuàng)設也仍然遵循此價值。

第三，跨法系基本概念的對話基礎。歐盟個人數據保護立法在某種程度上作為一種“國際標準”，信息控制者也基本上成為一個通行概念，而中國立法之時僅選擇使用信息處理者這一概念，這就帶來一個國際對話基礎以及法律適用上的問題。在數據面臨跨境流動以及國內企業(yè)海外合規(guī)與外國企業(yè)在中國合規(guī)之時，都要面臨概念轉換與系列制度的理解問題，這在一定程度上增加了解釋成本。因此，如何在制定《個人信息保護法》之時再進一步加強信息控制理念，使之與“信息自決”理念相協(xié)調，不得不通盤考慮，此謂周全之道。

(三)個人信息處理者的具體類型

信息時代與智能時代的首要特點就是信息呈規(guī)?；?，以網絡平臺為代表的主體獲取大量個人信息。個人信息保護與個人信息利用，二者表現為靜動之分并體現不同價值取向，但二者實質上卻是一種“價值合流”——安全。因此，個人信息處理者也是在安全價值指引下保護個人信息。個人信息處理者成為法律上的特定主體，預設的前提即該主體有能力保護個人信息安全，防范個人信息風險。盡管《民法典》適用于所有平等民事主體，但個人信息處理者由于其活動需要一定的物質和技術條件并負有較多義務，而在主體范圍界定上有所限縮，并非所有民事主體均能成為個人信息處理者。這一點也符合國際通行規(guī)則，比如GDPR第30.5條規(guī)定控制者的責任不適用于雇員少于250人的經濟主體或組織。有學者也認為：“個人信息保護法的義務主體具有特殊性，不是‘任何組織或者個人’這樣的一般主體?！?13)參見周漢華：《個人信息保護的法律定位》，載《法商研究》2020年第3期，第50頁。在此基礎上，實踐中的個人信息處理者的具體類型大致包括以下主體。

第一，網絡服務提供者。在中國法項下，提供網絡服務的主體被概括為網絡服務提供者。在立法與實踐中，涉及網絡安全、電子商務等不同領域之時，也以不同主體稱謂指代。在經濟迭代轉型出現平臺經濟之后，平臺主體也往往成為一種經濟學上的較為通行的主體稱謂。當下個體購物、社交等行為基本上均以網絡平臺為中介，個人信息的收集、存儲、使用、加工等行為也集中于平臺之上。大規(guī)模的網絡平臺的出現，其相對于個體或消費者的強勢地位，加劇了傳統(tǒng)上經營者與消費者之間的交涉能力不平等。本次《個人信息保護法草案(二審稿)》第57條增加規(guī)定了提供基礎性互聯網平臺服務主體的特別義務。由此，網絡服務提供者是最為典型的個人信息處理者，最終的實際運營主體應承擔個人信息保護等義務。

第二，公共機構。國家機關等公共機構也存在大量收集個人信息以及利用等行為?！秱€人信息保護法(草案)》第二章第三節(jié)專門規(guī)定了“第三節(jié)國家機關處理個人信息的特別規(guī)定”，但是除國家機關之外，還包括公共企事業(yè)單位也存在大量收集個人信息等行為。因此，包括國家機關在內的公共機構都應成為個人信息保護法上的個人信息處理者。當然，也有學者認為，國家機關作為信息處理者具有公共性、法定性、壟斷性、強制性等特點，與以私人機構作為個人信息處理者為設想場景的個人信息保護法明顯不同，未來還應當制定一個特別的規(guī)則來調整國家機關處理個人信息的行為。(14)參見王錫鋅教授的發(fā)言，《個人信息保護法的待解難題，如何約束規(guī)范國家機關對信息的收集處理》，載《21世紀經濟報道》2021年3月24日。從目前來看，國家機關等公共機構在中國法上仍規(guī)定為個人信息處理者。

第三，線下經營主體。數字經濟改變了人們的行為方式，線上交易與網絡社交成為主要方式，但仍存在大量線下非網絡平臺主體收集、利用個人信息等情況，這些主體應系個人信息處理者。同時，實踐中也存在經營者線上線下信息共享等情況，有些情形可能會侵害消費者的個人信息。(15)參見俞某訴北京樂某達康科技有限公司等網絡侵權責任糾紛案，(2018)京0108民初字第13661號民事判決書。就此，線下經營主體也是典型的個人信息處理者。

對于個人信息處理者的界定，不僅僅是一種概念理解或者類型識別，在“個人—信息控制者”“個人—(個人)信息處理者”的兩造關系中，更應理解“信息自決”脈絡下的個人對于自身信息的“延伸控制”。在此基礎上構建個人信息處理者的民事責任體系，并且解釋相應主體承擔民事責任的機理，是為基礎，更是必要前提。

二、個人信息處理者侵害個人信息的民事責任

個人信息保護呈現跨公私法域特征，有其自身相對獨立的發(fā)展脈絡，并非民法的特別法，法律責任也包括民事責任、行政責任和刑事責任。個人信息作為體現人格權益與人格發(fā)展的重要載體，在創(chuàng)設“信息自決”的觀念與制度之下，如何實現個人對自身信息的“脫控”而不“失控”，在受有損害之時，能夠得到充分救濟，是制度建構與法律適用最為關注之點。在個人信息權益受到侵害之時，人格權法與侵權法是最為基本與最為有效的救濟方式，也同時體現出侵權法旨在權衡行為自由與權益保護的機能。(16)參見王澤鑒：《侵權行為》(第三版)，北京大學出版社2016年版，第7頁。在考察《民法典》的適用與個人信息保護立法的雙重面向之上，探討個人信息處理者侵害個人信息的侵權責任，是法律為個人信息主體提供的最基礎保障。

(一)個人信息處理者侵害個人信息的典型行為

與一般自然人之間的侵害個人信息的行為不同，個人信息處理者作為具有一定規(guī)模的網絡服務提供者或線下經營主體以及公共機構，其侵害個人信息的行為特征主要包括面向不特定主體、運用技術手段等方面。主要包括以下典型行為：

第一，不當收集個人信息的行為。在《民法典》與系列規(guī)范性文件中，收集個人信息應符合“合法、正當、必要”原則，同時符合最小、必要原則。而在實踐中，有相當多的APP存在涉嫌過度收集用戶個人信息的情況。(17)中國消費者協(xié)會：《100款APP個人信息收集與隱私政策測評報告》，http://www.cca.org.cn/jmxf/detail/28310.html，2021年3月27日訪問。在備受矚目的郭某訴杭州野生動物世界有限公司服務合同糾紛案中，二審認為，野生動物世界欲利用收集的照片擴大信息處理范圍，超出事前收集目的，存在侵害郭某面部特征信息之人格利益的可能與風險。(18)參見《杭州野生動物世界“刷臉”入園糾紛案，今日二審宣判！》，載光明網2021年4月10日，https://m.gmw.cn/baijia/2021-04/10/1302222608.html，2021年4月15日訪問。可見，是否正當收集的標準主要在于是否符合法定的收集原則，如超過則為不當收集個人信息。

第二，泄露個人信息的行為。泄露個人信息屬于較為嚴重的侵害個人信息權益的行為，實踐中具體表現形式不一。在龐某訴某航空公司和某信息技術有限公司隱私權糾紛案中，龐某在某網站訂票之后，后收到其他短信，列明龐某的姓名、航班號等內容，法院認為兩家公司存在泄露龐某隱私信息的高度可能，并且存在過錯，應承擔侵犯隱私權的相應侵權責任。(19)參見北京市海淀區(qū)人民法院(2015)海民初字第10634號民事判決書；北京市第一中級人民法院(2017)京01民終字第509號民事判決書。在有的案件中，法院確認公民的舉報信息具有私密性，購物平臺擅自將訂單編號告知被舉報人，屬于泄露個人私密信息的行為。(20)參見北京市第四中級人民法院互聯網民商事審判十大典型案例之五：肖某訴某平臺泄露個人信息糾紛案(北大法寶數據庫：【法寶引證碼】CLI.C.107485440)。泄露個人信息的行為往往涉及對私密信息和隱私權的保護，較之其他不當收集、不當利用與分享等行為更為嚴重。

第三，不當使用個人信息等行為。在未經個人信息主體的同意，而將個人信息作為他用的情況，屬于不當使用個人信息的情形。在王某與某置地有限公司姓名權糾紛案中，該公司擅自利用王某的姓名與身份證號碼進行個稅申報，不當利用了王某的個人信息。(21)參見王某與某置地有限公司姓名權糾紛案，(2019)蘇0321民初字第2652號民事判決書。在俞某訴北京樂某達康科技有限公司等網絡侵權責任糾紛案中，俞某在線下的購物記錄也被同步到線上購物平臺的購物列表之中，這是一種擴張信息共享的行為，同時也是一種擴大收集信息的行為。(22)參見同前注〔15〕，俞某訴北京樂某達康科技有限公司等網絡侵權責任糾紛案。上述行為都是建立在個人信息處理者掌握個人信息的前提下，將信息用于他用，或不當使用、或不當分享，均系較為典型侵犯個人信息權益的行為。

除上述幾種情形以外，比較具有爭議的情形還包括由用戶畫像或其他自動化決策所帶來的不利影響(23)Danielle K.Citron & Frank Pasquale, The Scored Society: Due Process for Automated Predictions, 89 Washington Law Review 1 (2014); Margret Hu, Big Data Blacklisting, 67 Florida Law Review 1735 (2015).是否會構成對人格權益或財產權益的侵害，比如評價分選、價格歧視、大數據殺熟等，目前相關案例中，法院并未支持當事人的相關請求。(24)參見鄭某與上海某商務有限公司其他侵權責任糾紛案，(2020)滬0105民初字第9010號民事判決書；劉某與北京某科技有限公司侵權責任糾紛案，(2018)湘0102民初字第13515號民事判決書、(2019)湘01民終字第9501號民事判決書。對濫用算法等行為，目前主要通過監(jiān)管或數據治理等方式予以規(guī)制，(25)參見[美]陸凱：《美國算法治理政策與實施進路》，載《環(huán)球法律評論》2020年第3期，第5-26頁。在民事責任方面尚未見相關適用和突破。在風險泛在的智能時代與萬物互聯時代，人們沒有脫離風險場域的可能性，對于概括風險而導致的權益受損目前較難實現個體救濟；(26)[德]克里斯托弗·布施：《個性化經濟中的算法規(guī)制和(不)完美執(zhí)行》，載《環(huán)球法律評論》2019年第6期，第7頁。但在個體受到確定的侵害之時則有請求獲得法律救濟的權利，這也正是侵權法的基本意旨。

(二)構成要件

個人信息處理者侵害個人信息的侵權責任的構成要件，主要以《民法典》人格權編和侵權責任編的體系解釋為主。將人格權編的框架安排與傳統(tǒng)侵權責任的構成要件進行比對，人格權編對于過錯和損害并未規(guī)定，也有學者認為，在適用人格權請求權時，既不需要考慮是否有損害(只要構成對人格權的侵害或者存在侵害的危險即可)，也無需考慮侵權人有無過錯。(27)參見王利明、程嘯等：《中華人民共和國民法典人格權編釋義》，中國法制出版社2020年版，第83-85頁；程嘯：《我國民法典中的人格權請求權》，載《人民法院報》2020年10月22日第005版。從民法典編章安排體系解釋和司法機關關于民事案件案由規(guī)定來看，人格權請求權在適用上優(yōu)先于侵權請求權。(28)根據最高人民法院2020年12月發(fā)布的《最高人民法院關于印發(fā)修改后的〈民事案件案由規(guī)定〉的通知》中第四部分規(guī)定人格權糾紛這一案由系單獨的案由體系，與侵權責任糾紛相區(qū)別。另參見王利明：《論人格權保護的全面性和方法獨特性——以〈民法典〉人格權編為分析對象》，載《財經法學》2020年第4期，第9頁。同時《個人信息保護法草案》一審稿第65條與二審稿第68條規(guī)定了個人信息處理者的損害賠償責任，這一部分也將納入體系解釋范疇之中。鑒此，本部分的討論總體上立足于解釋論與立法論的雙重面向。

1.過錯

在歸責原則之過錯責任原則、過錯推定原則和無過錯責任原則三分法的基礎上，《民法典》對侵害個人信息的歸責原則并未明確規(guī)定。在前述案例中，法院基本上也并未特別考慮個人信息處理者的主觀過錯。由個人信息主體與個人信息處理者之間關系所決定，侵害特定個人的信息的行為，只會由比較特定或有限的個人信息處理者作出，而其侵害行為的范圍和內容也基本比較確定，責任認定并不存在太多困難。

《個人信息保護法草案(二審稿)》第68條明確規(guī)定侵害個人信息的歸責原則為過錯推定。相較一審稿，二審稿有較大進步。一審稿第65條規(guī)定了侵害個人信息權益的賠償責任，但該條卻存在歸責原則與損害賠償責任的“顛倒”與“雜糅”。通常而言，“侵權請求權基礎的檢視原則上區(qū)分責任成立與責任范圍兩個階段，各類侵權請求權基礎檢視程式的差異主要體現在責任成立部分”。(29)參見吳香香：《中國法上侵權請求權基礎的規(guī)范體系》，載《政法論壇》2020年第6期，第180頁。對于一審稿中關于歸責原則的不足之處，二審稿中有所糾正和調整。同時，二審稿第68條第2款系與《民法典》侵權責任編第1182條基本保持一致。

立法者在侵害個人信息的歸責原則上或可考慮過錯責任原則與無過錯責任原則“二分法”思路：一是基于不同主體。借鑒我國臺灣地區(qū)“個人資料保護法”相關規(guī)定，對個人信息侵權，公共機構承擔無過錯責任，非公共機構則承擔過錯推定責任；二是基于不同行為。借鑒德國《聯邦數據保護法》相關規(guī)定，對于自動化數據處理所致損害適用無過錯責任，非自動化數據處理所致損害適用過錯推定責任；三是基于不同信息類型。有學者也提出應在區(qū)分敏感與非敏感信息的基礎上，分別規(guī)定適用無過錯責任與過錯推定責任。(30)參見《會議綜述(下) 〈個人信息保護法草案〉專家研討會》，微信公眾號：人工智能與網絡法前沿，2020年12月8日。此種通過不同角度的“二分法”確定歸責原則，是一種較好的思路，可參酌吸收借鑒。

2.行為

個人信息處理者在收集、存儲、使用、加工、傳輸、提供、刪除和公開等活動過程中都可能會存在侵害個人信息的行為。前述關于個人信息處理者侵害個人信息的典型行為中已概括了相當一部分行為。作為“信息自決”觀念的延伸，通過在信息的“可識別性”與人格權益保護之間建立聯系，集中于是否侵害了具有可識別性的信息，從而引致侵權法的適用。

以信息的“可識別性”為“風險源”和“風險敞口”，是侵害個人信息行為的集中體現。這就使得個人信息處理者的幾乎大部分活動都可能囊括其中。施瓦茨和索羅夫就認為，歐洲隱私立法的優(yōu)勢是幾乎沒有什么信息可以逃出立法之外，但同時也十分冒險地引發(fā)了數據處理者實際上承擔了與個人隱私可能產生的風險實際上并不匹配的法律負擔。(31)同前注〔1〕，Paul M.Schwartz & Daniel J.Solove文，第887頁。近年來除侵害個人信息的典型行為討論較多之外，基于相應實踐發(fā)展和義務擴張的現實需求，關于電子商務經營者、直播平臺和個人信息處理者等是否應承擔安全保障義務就引發(fā)較多爭論，尤其是在某主播在直播平臺直播極限運動意外墜亡案件(32)參見何某訴北京某科技有限公司網絡侵權責任糾紛案，(2018)京0491民初字第2386號民事判決書；北京某科技有限公司與何某侵權責任糾紛上訴案，(2019)京04民終字第139號民事判決書。發(fā)生后，更將網絡服務提供者等主體是否應承擔安全保障義務推至風口浪尖。

安全保障義務源自德國判例中形成的交往安全義務學說，并在實踐中不斷確立和發(fā)展相關規(guī)則。我國在制定《侵權責任法》之時，通過列舉和限縮適用范圍和情形的方式，規(guī)定了安全保障義務。但其與兩大法系學理與判例中所概括的交往安全義務和注意義務存在一定差異，雖然學界和實務界已基本接受了中國《侵權責任法》第37條(《民法典》第1198條)的規(guī)定。但由于對本國制定法的理解和接受存在一定思維慣性，人們對反過來理解安全保障義務的原貌反而產生一定障礙。近年來，中國法在安全保障義務的理解上、實踐中和立法中不斷與德國法和美國法接近，從而將確定相應主體是否負有安全保障義務聚焦于有學者所概括的——“注意義務的違反”以及“對加害人本身主觀預見能力的考察”(33)參見馮玨：《安全保障義務與不作為侵權》，載《法學研究》2009年第4期，第75-76頁。——兩個層次的內容。

針對個人信息的安全保護義務，在歐盟的GDPR、中國民法典、消費者權益保護法、網絡安全法、電子商務法等都有相應規(guī)定。《民法典》第1038條規(guī)定了信息處理者的信息安全保障義務?！秱€人信息保護法草案(一審稿、二審稿)》“第五章個人信息處理者的義務”中，系對履行安全保障義務的標準予以多維度細化。

殊值關注的是，基于公法規(guī)范以轉介方式適用于私法領域等理論鋪墊，(34)參見蘇永欽：《從動態(tài)法規(guī)范體系的角度看公私法的調和——以民法的轉介條款和憲法的整合機制為中心》，載蘇永欽：《走入新世紀的私法自治》，中國政法大學出版社2002年版。近年來學界也有觀點主張是否將網絡信息領域的公法規(guī)范以轉介方式適用于私法關系，以擴張網絡經營者、信息處理者等主體的安全保障義務。(35)參見張力、黃鑫：《大數據背景下個人信息保護的公私法銜接》，載《重慶郵電大學學報(社會科學版)》2021年第1期。在侵權法上，“違反保護他人法律的侵權責任”(《民法典》第1165條第1款，即《侵權責任法》第6條第1款)事實上起到一個“轉介條款”的功能，可以將各種特殊的侵權法律政策引入到一般侵權法之中。(36)參見朱巖：《違反保護他人法律的過錯責任》，載《法學研究》2011年第2期，第90頁。但是對于保護他人的法律，如王澤鑒先生所言，系“以其是否以保護個人的權益為判斷標準，個人權益的保護得與一般公益的保護并存，但不包括專以維護國家社會秩序的法律”。(37)同前注〔16〕，王澤鑒書，第350頁?？梢姡稗D介”之核心標準在于“是否以保護個人的權益為判斷標準”，而非全部公法規(guī)范均不加限制和阻攔地進入私法領域。誠如有學者所言，此種適用可能會引發(fā)一系列民法體系內部以及公法與私法之間關系等問題，應謹慎適用，合理把握注意義務的標準。(38)參見萬方：《公私法匯流的閘口：轉介視角下的網絡經營者安全保障義務》，載《中外法學》2020年第2期，第371-377頁。鑒此，在個人信息保護領域，盡管單行法可能會不斷推出，但不能籠統(tǒng)地將《網絡安全法》和未來出臺的《數據安全法》和《個人信息保護法》等法律法規(guī)中包含的一系列公法規(guī)范直接轉介入私法之中，并引致個人信息處理者承擔相應的民事責任，此種認識不得不事先予以警惕，以維護法律最基本的公正價值。

3.損害

損害通常包括財產損失、人身損害和精神損害。關于侵害個人信息而產生的損害，歐盟GDPR第82條第1項規(guī)定：“任何因為違反本條例而受到物質或非物質性損害的人都有權從控制者或處理者處獲得損害賠償?！眰€人信息主體通常需證明自己受有物質或非物質性損害，非物質性損害主要包括外部風險的損害和內心焦慮的損害。(39)參見劉云：《論個人信息非物質性損害的認定規(guī)則》，載《經貿法律評論》2021年第1期，第60頁。個人信息的“可識別性”，即是否可通過個人信息識別到特定主體，是判斷個人信息權益是否受到侵害的關鍵要素。在司法實踐中，法院一般通過“可識別性”標準而確定是否侵害個人信息權益，只要侵害了具有可識別性的信息，基本上就判定侵害了個人信息權益，從而根據當事人的訴求進行利益衡量。實踐中，對于賠償經濟損失等，根據相應侵權責任法規(guī)則，會給予一定程度的支持；而對于精神損害，卻往往由于客觀上難以認定，而較難支持?？陀^而言，將個人信息保護放置于《民法典》之內，盡管在一定程度上與其他國家或地區(qū)的個人信息保護規(guī)則體例并不相同，但卻恰恰在相當程度上緩解了如何確定損害等問題，更有益于實現對當事人的救濟。

4.因果關系

因果關系作為侵權法上的重要命題之一，即侵權行為造成損害結果的發(fā)生在通常情況下存在可能性。在侵害個人信息的情形中，有的因果關系鏈條并不復雜，大多是基于個人信息處理者這一特定主體的概括的“一因一果”，這就使得行為與損害結果之間關系的判定難度不高。在有的案件中，法院根據民事訴訟高度蓋然性證明標準而對因果關系進行判定。(40)參見北京市海淀區(qū)人民法院(2015)海民初字第10634號民事判決書；北京市第一中級人民法院(2017)京01民終字第509號民事判決書。但當存在復數信息控制者參與同一個人信息的處理活動而發(fā)生個人信息泄露時，受害人往往無法證明哪一主體是具體加害人，此時應當采用共同危險行為制度加以解決。(41)參見程嘯、阮神裕：《論侵害個人信息權益的民事責任》，載《人民司法》2020年第4期，第64頁。當然，因果關系也是侵害個人信息責任中的必要構成，應在個案判定中予以重視。

(三)損害賠償

個人信息處理者的行為造成個人信息主體損害，應承擔損害賠償責任。概括而言，包括停止侵害、排除妨礙、消除危險、消除影響、恢復名譽、賠禮道歉等責任形式。對于停止侵害、排除妨礙、消除危險等幾者不難理解，實際上在侵害知情權等一系列個人信息主體權利之時都可能會普遍適用。對于如何確定賠償數額，原則上根據《民法典》第1182條確定。在前述相關案例中，法院支持當事人經濟損失賠償的不在少數。通常情況下，當事人請求賠償經濟損失的數額也較小，往往只有1元、2元等，(42)參見同前注〔15〕，俞某訴北京樂某達康科技有限公司等網絡侵權責任糾紛案。相當程度上具有一定象征意義。

對于消除影響、恢復名譽和賠禮道歉等非金錢賠償，2014年頒布的《最高人民法院關于審理利用信息網絡侵害人身權益民事糾紛案件適用法律若干問題的規(guī)定》第16條有所規(guī)定。根據該條，對于侵害個人信息的非物質性損害的賠償應與侵權的具體方式和所造成的影響的范圍相當。比如在2014年羅某訴某保險公司隱私權糾紛案中，法院認為，保險公司侵害了羅某的隱私權，判令保險公司向羅某賠禮道歉并賠償羅某精神損害撫慰金1元及相關費用。(43)參見湖南省郴州市湖北區(qū)人民法院(2014)郴北民二初字第947號民事判決書。當然，由于當時關于個人信息保護的意識并不明顯，因此主要按照隱私權這一典型的人格權進行裁判并判以精神損害賠償。而在龐某訴某航空公司案中，當事人雖然并未證明實際受有精神損害，但卻在二審時改判支持了當事人關于賠禮道歉這一訴訟請求。(44)參見同前注〔40〕。可見，在個人信息侵權案件中，對于非金錢賠償方式也具有相當的支持空間。

三、侵害個人信息處理活動中個人權利的民事責任

個人信息屬于個人，理論上存在一個概括的、完全的權利，但是由于個人信息處理活動的存在，就使得個人信息主體所享有的抽象的完整權利被分解成數種具體權利——涵攝全過程的知情權、決定權，以自決意志為核心而外化的查閱權、更正權、刪除權等權能。(45)參見周友軍：《民法典規(guī)定的隱私權和個人信息保護》，載《經濟參考報》2020年8月4日第A08版。對于這些權利的保護，既仰賴公權力之管制與治理，同時亦可根據民事主體權利保護之本旨而給予救濟，兩種方式互相補充，相輔相成。這些權利在一定程度上可以類型化，并在類型化的基礎上給予不同方式的救濟。需要說明的是，侵害這些權利的民事責任與本文第二部分討論的侵害個人信息的民事責任有一定交叉，這些權利系請求權基礎，但由于這些權利被集中規(guī)定于《個人信息保護法草案》專章之中，因此有必要予以集中討論與回應。

(一)個人信息主體的權利體系

世界范圍內個人信息主體的權利形式上大同小異，但因各國自身社會、法律和文化等傳統(tǒng)不同，而在個別權利和實施向度上有所不同。中國當前個人信息立法中，與GDPR相比，個人信息主體的大部分權利基本相似，只有在是否規(guī)定數據可攜權和被遺忘權等方面而有所不同?？傮w而言，中國法上的個人信息主體的權利體系呈現如下特征。

第一，“信息自決”的主線貫穿。如本文第一部分所述，中國個人信息立法脈絡中并無“信息自決”的觀念，但本次個人信息立法之時創(chuàng)設了此種觀念，并在知情同意(同意撤回)、決定權、查閱權、復制權、更正權、刪除權等方面予以貫穿體現。由此，在個人信息處理活動中，但凡侵害信息自決的，則均需承擔相應法律責任，即便是在《民法典》第1036條關于處理個人信息的免責事由方面，也對個人信息主體的同意予以強調，以及即便是對自然人自行公開或者其他已經合法公開的信息，但是該自然人明確拒絕的也不得處理等。當然中國立法并非GDPR的翻版，而是根據中國實踐發(fā)展而建立相應信息自決觀念。

第二，作為核心權利的知情權。與上述“信息自決”觀念緊密聯系，知情權系體現信息自決觀念的重要基礎性、核心權利。只有在個人信息處理活動中，將“知情”作為核心，才能充分保障信息自決。因此，知情權并非一個完全僅靠公法管制或對個人信息處理者進行數據治理的權利，而是充分保障信息主體個人信息權益的基礎。

第三，圍繞“知情”的系列權利。只有在信息自決與知情同意的基礎上，才能進一步衍生出查閱權、復制權、更正權與刪除權等，這些權利并非簡單的程序性權利，而是體現知情權與決定權等基礎權利的外在表現。在這些權利可能受到侵害之時，也應給予充分的救濟。

(二)侵害知情權、決定權的民事責任

知情權在各類主體權益保護中都是一項基礎性權利。從知情同意的本源來看，其根本上是一種主體交往之時設定法律關系的前提與基礎行為，同時該行為還具有“限權與自我義務設定”之效果。(46)See Peter McCormick, Social Contract: Interpretation and Misinterpretation, 9 Canadian Journal of Political Science 63 (1976). 轉引自[美]艾瑞克·托馬斯·韋伯：《新舊社會契約論》，毛興貴譯，載《國外理論動態(tài)》2012年第5期?！爸椤狻弊鳛橐环N行為模式，其被應用于諸多社會關系建構之中，涉及政治國家、醫(yī)療領域、消費者保護與個人信息保護等。從正義價值維度考察，在美國消費者法上，“選擇知情”(權)被歸于程序正義之中。(47)Gretchen Larsen & Rob Lawson, Consumer Rights: An Assessment of Justice, 112 Journal of Business Ethics 515, 524 (2013).而決定權則實際上“被吸收”于知情權之中，比如在我國臺灣地區(qū)的“請領身份證捺指紋案”中明確，保障人們決定是否揭露其個人資料，及在何種范圍內、于何時、以何種方式、向何人揭露之決定權，并保障人們對其個人資料之使用有知悉與控制權即數據記載錯誤之更正權。(48)參見王澤鑒：《侵權行為》(第三版)，北京大學出版社2014年版，第157頁。由此可見，知情權、決定權與其后的一系列權利內在存在聯系。對于決定權，主要吸收于知情權之中，并與之一并討論。

在個人信息保護之中，知情權是一個貫穿全程、保證后續(xù)個人信息處理行為和活動具有正義價值的基礎權利。在消費者法上，消費者的知情權體現為商品或服務的標簽“客觀化”，對侵害消費者知情權的救濟，在已有大量案例中，通常是要求經營者承擔合同上的義務和責任。(49)參見姚佳：《消費者法理念與技術的重構》，法律出版社2019年版，第84-89頁。而個人信息保護之中的知情權體現在同意、同意撤回以及后續(xù)的一系列權利，對于此類知情權的侵害，通常要求個人信息處理者履行一定法定義務，基本上并非通過合同義務與責任予以救濟。

從實踐來看，是否侵害“知情同意”權利較容易辨識。比如在有的案件中，用戶不在某APP上添加關注即能看到好友讀書信息，而APP自動為用戶添加關注，此種情形顯然需要顯著提示用戶并獲得明確同意。(50)參見黃某訴某科技有限公司等隱私權、個人信息權益網絡侵權糾紛案，(2019)京0491民初字第16142號民事判決書。在有的案件中，用戶沒有選擇“授權”選項，則當然可認定用戶并未同意，因此后續(xù)的個人信息處理活動就可能不具有合法性。(51)參見同前注〔15〕，俞某訴北京樂某達康科技有限公司等網絡侵權責任糾紛案。從知情同意在各領域的發(fā)展與實踐可見，在數字經濟時代，知情同意更具有確定性與外顯性，其也成為一個“大網”，使得未經授權的個人信息處理行為基本上無法逃逸，當然，符合《民法典》第1036條規(guī)定的行為有所例外。

對于侵害個人信息主體的知情權的民事責任，應包括停止侵害、刪除個人信息等；如當事人能夠證明自己受有精神損害，可請求侵權的個人信息處理者承擔恢復名譽、消除影響、賠禮道歉等民事責任。

(三)行使《民法典》第1037條個人信息請求權的限制與救濟

在“信息自決”的貫穿下，GDPR規(guī)定了個人信息主體的一系列權利，中國《民法典》和正在制定的《個人信息保護法》也規(guī)定了一系列個人信息主體的一系列權利。中國個人信息保護立法為何在吸收了立法理念與諸多規(guī)則之后，在個人信息主體權利方面卻并沒有完全借鑒？立法者的釋義書對此也有所提及，《民法典》第1037條中的刪除權并非GDPR所規(guī)定的“被遺忘權”，由于各方對歐盟的“被遺忘權”爭議極大，因此本法對此未作規(guī)定。(52)參見黃薇主編：《中華人民共和國民法典釋義(下)》，法律出版社2020年版，第1931頁。的確，個人信息主體的權利體系與一國法律發(fā)展脈絡緊密相關，較難在各國和各地區(qū)完全達成一致。

《民法典》第1037條規(guī)定了個人信息主體的查詢權、復制權、異議權、更正權和刪除權等，這幾種權利也分別是以人格權請求權的方式而出現，在《個人信息保護法草案》中也被進一步細化。這幾個權利呈現出一定特征，即并非一次性行使的權利，可能會針對不同信息內容而反復行使，這就可能產生一定價值沖突——如何既保障個人信息主體有效行使權利，同時又能實現與個人信息處理者之間的利益平衡。對于查詢權、(53)參見程嘯：《我國〈民法典〉個人信息保護制度的創(chuàng)新與發(fā)展》，載《財經法學》2020年第4期，第46頁。復制權等權利，可借鑒《征信業(yè)管理條例》相關規(guī)定，即個人信息主體的查詢權和復制權的行使在一定程度上可以受到次數限制。而對于異議權和更正權而言，則需由個人提出相應證據或要求予以補充更正。

在上述幾個權利之中，相對而言屬于一次性行使的，主要是刪除權。第1037條第2款規(guī)定，自然人發(fā)現信息處理者違反法律、行政法規(guī)的規(guī)定或者雙方的約定處理其個人信息的,有權請求信息處理者及時刪除。《個人信息保護法草案(一審稿、二審稿)》進一步規(guī)定了個人信息處理者應主動刪除或根據個人請求刪除個人信息的具體情形。

對于侵害個人信息主體的查詢權、復制權、異議權、更正權和刪除權，又將如何救濟？具體而言，對于查詢權、復制權的救濟，個人信息處理者應基于請求承擔查詢、復制等行為義務；對于異議權，個人信息處理者則有義務予以更正或解釋；對于刪除權，個人信息處理者則應停止侵害、刪除個人信息等。對于可能產生的經濟損失或精神損害，則應根據具體情況，由個人信息處理者承擔賠償責任。

四、結語

從世界范圍來看，美國、歐盟與中國對個人信息保護立法呈現出不同的價值選擇與立法體例選擇，著眼于突出各自的個性與特性。然而，如施瓦茨所發(fā)現的，實際上美國和歐盟關于個人(信息)隱私的理念也并非完全對立與沖突，德國聯邦憲法法院和德國聯邦法院在1973年和1995年的相關案件中引用了沃倫和布蘭代斯的《論隱私權》一文中的“不受干擾的權利”等內容，歐洲人權法院也多次援引這一重要的概念。(54)Bundesgerichtshof; Budesverfassungsgericht; Von Hannover v.Germany; quoted from Paul M.Schwartz, The EU-U.S.Privacy Collision: A Turn to Institutions and Procedures, 126 Harvard Law Review 1966, 1970-1971 (2013).可見，兩大法系也在對隱私和個人信息問題的認識上不斷實現溝通。同樣地，中國個人信息保護立法也在立法理念、權利體系、義務體系與法律責任上嘗試與兩大法系實現一定溝通與融合。

在《民法典》之后，《個人信息保護法草案(一審稿、二審稿)》不斷推出與完善之際，著眼于個人對自身信息的自決與控制，權利實現與救濟，是個人信息保護在現代之于個人人格實現的新的表現形式。當然，本文主要聚焦于個人信息處理者的民事責任，對于個人信息處理者而言，不僅僅包括民事責任，還涉及行政責任與刑事責任。個人信息保護立法在法律責任方面，將從多維度保護個人信息，以此才能實現對個人信息主體的救濟。人類經歷社會變遷之時，在不同時期需要實現掌控不同物質的自由，而進入信息社會與智能時代，人們所要追求的就是掌控信息的意志自由，這一自由也即拉德布魯赫與星野英一所言的人格的發(fā)展，毫無疑問，這種人格的發(fā)展本質上更是一種人的發(fā)展。