侵害公民個人信息民事歸責路徑的類型化分析
——以信息安全與信息權利的“二分法”規(guī)范體系為視角

商希雪

(中國政法大學 刑事司法學院，北京 100088)

一、問題的提出

2012年發(fā)布的《全國人民代表大會常務委員會關于加強網絡信息保護的決定》(以下簡稱《決定》)第11條規(guī)定，違反本決定而侵害他人民事權益的行為應當承擔民事責任。該決定原則上提供了確定網絡服務提供者和其他企事業(yè)單位實施侵犯個人信息私人利益行為應承擔民事責任的法律依據?！睹穹ǖ洹返?99條規(guī)定了人格權的合理使用方式，為侵害個人信息的民事救濟提供了明確的法律依據?！睹穹ǖ洹返?035條規(guī)定了個人信息處理的原則和條件，第1036條繼續(xù)規(guī)定了處理個人信息的免責事由。兩條規(guī)定有所重合又互相補充，第1035條主要針對數據控制者的數據安保義務，對應行政或刑事責任。第1036條則暗示了如果數據控制者違規(guī)做出信息處理則應承擔民事責任，但在某些特定情形下存在責任豁免?！睹穹ǖ洹愤@樣的規(guī)制方式事實上呈現了數據控制者的完整責任體系，包括行政責任、刑事責任與民事責任，同時適用公法與私法的規(guī)制體系?！秱€人信息保護法(草案)》第65條明確了侵害個人信息權益的主體應承擔民事責任。由此，我國在規(guī)范層面明確了侵害個人信息行為的民事責任依據。

根據保護法益的具體內容，個人信息保護的民事責任體系由兩個維度構成：信息安全保障與信息權利行使。兩類規(guī)范體系在適用場景、法益性質、核心原則、責任主體、責任性質、責任模式、處理機關上存在差異。在信息安全保障的視角下，個人信息安全利益蘊含信息自身的完整性、機密性與準確性，相應的侵害行為表現為損害信息本身、信息泄露與信息竊取等。媒體報道中個人信息隱私泄露等表述，在法律意義上來說并不指向公民的隱私權保護，而是指向防范個人信息被泄露或竊取風險。結合打擊個人信息網絡黑灰產的執(zhí)法目的來看，信息安全的規(guī)范目標重在防范信息的泄露與濫用，以在源頭上切斷下游犯罪的可能性，例如不法分子利用被泄露的個人信息實施電信詐騙。因此，以《刑法》《網絡安全法》為主的公法規(guī)制旨在防范威脅集合性個人信息的安全風險，直接維護社會安全與秩序，進而間接保護個體的人身或財產權益；在信息權利保護的視角下，信息處理的基本原則(如目的限制、最小化原則)旨在保障信息產業(yè)的規(guī)范化運營，主要約束數據控制者的處理行為，旨在保障信息主體對于個人信息的控制能力與自決意愿，屬于社會經濟范疇。因此，以《網絡安全法》《個人信息保護法(草案)》《App違法違規(guī)收集使用個人信息行為認定方法》(以下簡稱《App方法》)等行政責任模式所規(guī)管的信息侵犯行為，其違規(guī)性認定的核心在于是否違反上述信息處理原則，行政規(guī)制旨在維護信息產業(yè)的良性運轉，進而間接地保護個體的信息權益。行政規(guī)制考慮到個人信息的安全保障，對于輕微的、未達到犯罪程度的信息侵害行為設置了對應的行政處罰措施。那么，在信息安全維護與信息產業(yè)運營中，針對信息侵害或侵犯行為，規(guī)范層面該如何直接保護自然人相關的民事權益？即如何保障自然人獲得私權上的現實救濟，而不僅是讓數據控制者或第三方侵害者承擔公法責任？對該問題的回答首先要明確個人信息所承載的自然人權益內容。個人信息保護中涉及的具體法益包括：(1)對于信息安全蘊含的個人利益，下游侵害的發(fā)生可能性直接關涉信息主體的具體人身權或財產權；(2)對于信息權利蘊含的個人利益，個人信息所承載的民事權益主要為人格利益，即個人信息權利，主要涵蓋隱私利益與自決利益，在規(guī)范形式與行使機制上可劃分為知情同意權與具體的信息自決權。該學理分析支撐了個人信息被侵害或侵犯時民事責任制度的正當性基礎。由此，破壞個人信息私權利益的行為本質上侵犯了自然人的民事權利，行為人可能面臨侵權責任或違約責任。然而，在目前司法處理中，民事保護思路缺乏可適用的具體規(guī)定及完整要件，學界應進行相關的探索，尤其是針對非損害類信息侵犯行為的定性與評價難題。

二、侵害個人信息安全行為的民事歸責分析

物聯網、人工智能等新型信息技術飛速發(fā)展，引發(fā)了數據的急劇爆發(fā)，數據安全問題也日益凸顯，尤其是數據泄露現象愈加嚴重，導致數據安全事件頻發(fā)，嚴重威脅到公民的人身與財產安全，引發(fā)公眾普遍的擔憂。因此，在信息安全領域同樣面臨自然人的私權保護問題。

(一)侵害信息安全行為的外延解讀

《刑法》第253條之一專門規(guī)定了侵犯公民個人信息罪，犯罪行為包括非法獲取(如黑客入侵數據庫系統(tǒng)、工作人員超越權限獲取信息等)、向他人出售或者提供公民個人信息?！稕Q定》第3-4條規(guī)定的危害信息安全行為則包括：(1)泄露、篡改、毀損、丟失；(2)出售或者非法向他人提供；(3)非法獲取。上述行為外延存在一定的重合，基于《刑法》第253條之一的表述，本文采納廣義的泄露概念，即凡是可能導致信息泄露的行為(如非法獲取、出售、向他人提供)，均被視為信息泄露行為?！断M者權益保護法》第29條規(guī)定，經營者及其工作人員不得泄露、出售或者非法向他人提供消費者的個人信息。綜合上述信息安全義務的有關規(guī)定，行為人侵犯信息安全的行為主要有三類：(1)信息泄露行為，包括“未經同意”的收集、處理與使用行為，例如共享、轉移、披露等；(2)信息竊取行為；(3)信息破壞行為。

1.信息泄露的侵害行為。信息泄露(廣義)的行為表現主要包括泄露(狹義)、非法獲取、出售、向他人提供等。根據對泄露違法性的不同判斷標準，可分為絕對禁止泄露與相對禁止泄露兩類。絕對禁止披露義務源自強制性規(guī)范，例如《決定》第3條規(guī)定了網絡服務提供者和其他企業(yè)事業(yè)單位及其工作人員在業(yè)務活動中的信息保密義務，不得泄露、篡改、毀損，不得出售或者非法向他人提供。對于絕對不可披露的行為規(guī)范，泄露行為對應強制性的保密義務，不存在征得信息主體同意的告知空間；相對禁止泄露則意味著在一定條件下可以披露，即存在主體知情同意的表達空間。一方面，以主體同意為基本原則的處理場景下，例如《網絡安全法》第41條第1款規(guī)定了未經被收集者同意不得向他人提供個人信息；《民法典》第1035條規(guī)定收集、處理個人信息應當征得該自然人或者其監(jiān)護人同意，該規(guī)定內容延續(xù)了《網絡安全法》第41條關于主體同意機制的核心本意，即以主體同意為基本原則的允許處理態(tài)度。在該類情景下，主體同意表示是信息處理的啟動機制。但是，知情同意表達也并非為數據處理免責的萬能依據，應對告知同意的適用做出一定的限制，主要指不得超越信息主體的基本權利保護(如公民的憲法權利)。(1)參見張新寶：《個人信息收集：告知同意原則適用的限制》，載《比較法研究》2019年第6期。另一方面，在以禁止處理為基本原則的信息保護場景下，例如《民法典》第1033條規(guī)定的“除權利人明確同意外，任何組織或者個人不得處理他人的私密信息”。但是，在禁止處理為原則的情形下亦存在可處理的空間，對于未經同意的收集、處理、轉移行為，若處理者履行告知同意的義務，并獲取相關主體的明示同意，上述處理即可被允許。值得注意的是，關于私密信息以禁止處理為原則的情況，必須取得權利人的“明確同意”方可處理，知情同意的形式標準高于第一類情形。對比來看，第一類情形主要針對不規(guī)范的信息獲取與利用行為，違反了主體同意原則(未取得信息主體的授權)，挑戰(zhàn)了主體對自身信息的控制能力；第二類情形主要指未經同意的信息收集、處理與轉移行為，該類行為并未直接侵犯到主體的信息自決意志(私權自治范疇)，而是導致信息面臨被泄露的風險，侵犯了信息的安全利益。因此，盡管同樣違背了信息主體的意思自治，引發(fā)信息泄露與侵犯信息自決的侵害信息安全行為，實質損害法益的性質與直接導致的危害后果存在本質區(qū)別。由此，從利益歸屬與行為啟動看，即使同樣基于同意制度，由于發(fā)生的利益動因與啟動主體不同，對應的保護機制與責任性質存在本質區(qū)別，學理上應予以區(qū)分。

2.信息竊取的侵害行為。信息竊取行為包括偷拍、竊聽等侵害表現。此處的信息竊取行為采取狹義概念，不包括黑客入侵、工作人員超越權限違規(guī)獲取信息等行為。目前，法院經常受理關于個人私生活安寧的案件，比如偷拍、偷錄、偷窺、性騷擾，非法公布位置信息等。(2)《響一聲就完了？發(fā)騷擾短信也算侵犯隱私權 民法典明確禁止這些侵權行為》，載央廣網，http://news.cnr.cn/native/gd/20200531/t20200531_525111163.shtml，訪問日期：2020年6月1日。根據現實中的侵害表現與司法處理實踐，信息竊取行為主要指偷拍、竊聽、跟蹤等信息侵害行為。之所以單獨列信息竊取行為作為單獨的信息安全侵害行為類型是因為，在當前的數字化生活時代，公民隱私權保護面臨刑事規(guī)制缺失的問題。針對信息竊取或隱私侵犯的現象，《民法典》第1033條已做出規(guī)定，將偷拍、竊聽等侵犯他人私密空間、私密活動、私密部位、私密信息的行為定性為侵犯隱私權的行為，適用侵權責任制度。在民事規(guī)制層面，偷拍、竊聽等信息竊取行為在法益屬性上主要侵犯了隱私權等人格權益。但是，《刑法》對于上述侵犯隱私權的行為尚無直接定性，在相關刑事案件中，司法實踐將情節(jié)嚴重的偷拍、跟蹤等行為一般以侵犯公民個人信息罪定罪處罰。(3)例如，在伍龐侵犯公民個人信息罪一案中，羅某(另案處理)因對被害人陳某不滿，雇人跟蹤陳某行蹤并偷拍陳某的視頻與照片，依此炮制成帖文并由伍龐署名在網上發(fā)表炒作。審理法院認為，被告人伍龐違反國家有關規(guī)定，非法竊取他人信息，通過信息網絡發(fā)布公民個人信息，情節(jié)特別嚴重，其行為已觸犯刑律，構成侵犯公民個人信息罪。參見廣西壯族自治區(qū)玉林市玉州區(qū)人民法院作出的(2019)桂0902刑初358號刑事判決書；廣西壯族自治區(qū)玉林市中級人民法院作出的(2019)桂09刑終427號刑事判決書。侵犯公民個人信息罪立法目的是為了保護公民的信息安全及其他相關合法權益，從而維護社會穩(wěn)定，其法益保障目標并非針對公民的隱私權益，側重打擊個人信息非法買賣與提供的黑灰產犯罪，以預防信息被非法獲取后引起下游的侵害，最終保護公民具體的人身與財產權益。所以，在目前的規(guī)范體系下，就信息安全角度而言，此類信息竊取行為在刑事規(guī)制層面屬于信息安全的保護范疇。綜上，對于信息竊取等侵犯公民隱私的行為，《刑法》目前存在規(guī)制缺失，民事救濟手段則主要適用隱私權侵權保護制度。

3.信息破壞的侵害行為。篡改、毀損、丟失等信息破壞行為侵犯了信息自身的完整性，比如服務器被勒索病毒加密而宕機、內網電腦被攻擊癱瘓等侵害行為導致信息系統(tǒng)及信息內容的破壞，進而給信息主體的相關具體權益帶來損害，信息主體可能遭受身份假冒、資格喪失、志愿改變等。例如，在“山東青島膠州考生志愿被篡改事件”中，考生個人的高考志愿被他人篡改，侵害了當事人的身份權益(包括受教育權)，造成了現實的公民權益損害。(4)參見于志剛:《關于“身份盜竊”行為的入罪化思考》，載《北京聯合大學學報(人文社會科學版)》2011年第1期。可以看到，信息破壞行為一方面直接造成信息主體的權益損害，另一方面導致引發(fā)下游侵害行為的潛在風險，如果下游侵害現實發(fā)生，信息破壞行為則間接導致了下游侵害的發(fā)生，對損害后果存在因果關系，應對此承擔一定的責任。此處，應注意區(qū)分身份信息盜用與身份信息冒用行為。自然人的身份信息盜用或冒用行為，本質上均屬于非法獲取信息行為及后續(xù)使用行為。從字義上分析，“盜用”強調的是盜的行為，核心指向非法獲取環(huán)節(jié)；而 “冒用”強調的是冒名頂替，指向盜取后的使用階段。因此，本文認為身份盜用與身份冒用的基本區(qū)別在于：身份盜用一般用于從事不良行為，如盜用他人身份信息后以他人身份留下“負面”的行政處罰記錄(如吸毒史、交通違規(guī)等)；(5)例如，2020年8月13日江蘇省南通市經濟技術開發(fā)區(qū)人民法院公開開庭審理并當庭宣判了河南駐馬店“被結婚”五次女子尚某訴江蘇如東縣民政局行政登記案，法院判決撤銷被告如東縣民政局拒絕糾錯的答復，確認原告尚某與第三人沈某某在如東縣民政局婚姻登記處辦理的婚姻登記無效，被告應于判決生效之日起六十日內對原告的錯誤婚姻登記信息予以刪除。而身份冒用則一般是頂替他人享有本該由真實身份者享有的“正面”權益，如受教育權、婚姻登記權，實則變相剝奪了他人的現實利益。當然，信息盜用往往也與信息破壞行為存在交集或競合?！睹穹ǖ洹返?012條規(guī)定了自然人享有姓名權及其各項權能，第1014條則明確禁止任何組織或者個人不得以干涉、盜用、假冒等方式侵害他人的姓名權?？梢?，身份盜取或冒用行為侵犯了姓名權等人格權益。

(二)信息安全侵害行為的個人權益損害

在侵害信息安全權益的場景中如信息泄露、濫用等，一方面，下游侵害行為直接侵犯個人的人身或財產權益；另一方面，泄露與濫用行為本身，直接侵犯了信息主體的知情權與拒絕處理權等信息權利。

1. 民事歸責的合理性。在暗網中被多次交易的個人數據主要來自電商、保險、酒店等平臺，這些數據均為高度敏感的個人信息，公民個人信息被層層轉賣泄露后，是公眾遭遇騷擾電話、詐騙電話、精準詐騙的源頭。被泄露的個人信息也可能被用于惡意注冊賬號甚至注冊公司，進行網絡賭博、網絡詐騙、洗黑錢等違法犯罪活動。鑒于該現實，由《刑法修正案(七)》確立并由《刑法修正案(九)》進一步完善的侵犯公民個人信息罪，其立法根本考量是為了防范與制止可能的下游犯罪，以提前保護公民的人身與財產權益。與刑法的制裁目的對比，民法主要處理各法律主體之間的人身和財產關系，與個人信息相關的民事關系本質也是圍繞具體的人身和財產權益。從司法實踐來看，近年來我國嚴打侵犯公民個人信息現象，更容易得到處理的往往是個人信息刑事案件。目前我國立法與執(zhí)法現狀均呈現重“刑事定罪”和“行政處罰”、輕“民事確權”與“民事責任”的特征。(6)參見江耀煒：《大數據時代公民個人信息刑法保護的邊界——以“違反國家有關規(guī)定”的實質解釋為中心》，載《重慶大學學報(社會科學版)》2019年第1期；李川：《個人信息犯罪的規(guī)制困境與對策完善——從大數據環(huán)境下濫用信息問題切入》，載《中國刑事法雜志》2019年第5期。針對侵害信息安全的行為，民事責任制度該如何架構？信息安全侵害行為普遍表現為泄露行為(如非法提供、出售等)，對于侵犯公民信息安全又未構成信息犯罪的行為，受害人該如何尋求私權保護救濟？前面提到信息泄露可能會導致下游侵害的發(fā)生，給個人帶來人身與財產安全的威脅或者給正常生活帶來困擾。因此，信息泄露行為在事實上間接侵犯了公民的民事權益，這也是目前頻發(fā)的個人信息安全事件中受害者正面臨的首要法律救濟疑慮。

2.現實損害的的法益評價與救濟思路。一是，具體人格權損害的歸責分析。有觀點認為，個人通訊不受他人非法打擾，例如禁止非法攔截、竊聽、屏蔽、侵擾他人正常的通訊，禁止非法侵入他人的郵箱、收集他人的信息等，應視為一類特殊的隱私權。(7)參見王利明：《生活安寧權：一種特殊的隱私權》，載《中州學刊》2019年第7期?！睹穹ǖ洹返?034條確立了該思路，據此，當下游侵害行為以電話、短信、即時通訊工具、電子郵件、傳單等方式侵擾私人生活安寧時，則直接侵犯了公民的隱私權，也意味著上游的信息侵害行為間接侵犯了信息主體的隱私權?！睹穹ǖ洹返?032條規(guī)定了隱私是自然人的私人生活安寧和不愿為他人知曉的私密空間、私密活動、私密信息。第1033條也明確列舉了侵害隱私權的具體行為表現包括：(1)以電話、短信、即時通訊工具、電子郵件、傳單等方式侵擾他人的私人生活安寧；(2)進入、拍攝、窺視他人的住宅、賓館房間等私密空間；(3)拍攝、窺視、竊聽、公開他人的私密活動；(4)拍攝、窺視他人身體的私密部位；(5)處理他人的私密信息。鑒于第1035條規(guī)定個人信息的處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開等。由此分析，個人信息被泄露后，可能引發(fā)上述下游中第(1)項的侵害行為；第(2)、(3)、(4)項行為是侵犯他人私密空間、私密活動、私密部位的私密性的行為；第(5)項是非法收集、存儲、使用、加工、傳輸、提供、公開他人私密信息的行為。所以，如果信息安全侵害行為直接或間接導致發(fā)生了明顯侵犯隱私權、名譽權、榮譽權等具體人格權的下游侵害，應適用侵權責任制度，適用停止侵害、恢復名譽、消除影響、賠禮道歉，并賠償損失等責任形式。如果信息安全侵害人與下游侵害人不一致，則兩者應共同承擔責任。對于該類損害情形，是否包括精神損害賠償？根據《民法典》第1183條規(guī)定，如果下游侵害情形中侵犯了自然人的隱私權，受害者可主張精神損害賠償。在比較視野下，新西蘭《1993隱私法》(Privacy Act 1993)規(guī)定了明確的隱私違規(guī)通知，即任何人都可以向隱私專員投訴或聲稱某行為可能干涉了其個人隱私，一旦該行為涉及到了個人隱私即具有了違法性，尤其當該行為已經導致了財產損失或其他傷害時(例如對個人的權利、利益、義務或屈辱感產生了負面影響，喪失尊嚴或傷害個人感情)，則在違法性前提下擔負更重的法律責任。(8)參見Part 8 Complaints，Art. 66, New Zealand Privacy Act 1993.因此呈現遞進性責任模式，其違法性判斷不需損害結果發(fā)生，損害發(fā)生后僅會加重責任。

二是，明顯財產性損害的歸責分析。當信息泄露行為引發(fā)了下游侵害財產權益的行為，例如，對于電信詐騙等主要侵犯公民財產權益的侵害情形，可適用請求返還財產的責任形式。原則上，請求返還的相對方應為直接實施下游侵害的行為人，但上游的信息侵害人應共同承擔責任，分擔形式可為補充責任，而非連帶責任。根據《民法典》第1171條規(guī)定，分別侵權造成同一損害的行為人如果承擔連帶責任，需要每個人的侵權行為都足以造成全部的損害。盡管信息侵害行為與下游侵害行為均對下游的具體損害負有責任，但是信息侵害行為不足以導致全部損害的發(fā)生，甚至不必然會引起下游侵害的發(fā)生，因此信息安全侵害人不應承擔連帶責任。參照《民法典》第1198條規(guī)定的安全保障義務人責任制度模式，信息安全侵害人對于下游損害的作用與角色類似于信息安全保障義務人，對于下游損害的民事責任，上游侵害信息安全行為人應承擔補充責任，具體的責任承擔則需考量信息安全侵害行為的過錯程度、原因力等因素，以確定侵權賠償責任的大小。

3. 非現實損害的法益評價與救濟思路。信息安全侵害行為的危害特殊性在于引發(fā)下游侵害發(fā)生的可能性，下游侵害未現實發(fā)生時，信息安全侵害呈現出非現實損害的損害后果狀態(tài)，規(guī)范層面該如何考量與評價此類非現實損害？信息泄露的源頭行為容易成為其他網絡犯罪的“抓手”，國家機關執(zhí)法重點打擊的是信息泄露行為，包括竊取、非法買賣等不法信息行為，進而從源頭上扼殺下游黑灰產業(yè)鏈中人身或財產犯罪的發(fā)生可能性。(9)2020年4月，公安部公布2019年以來公安機關偵破的10起侵犯公民信息違法犯罪典型案件，主要涉及“暗網”中非法買賣公民個人信息以及在侵犯公民個人信息犯罪鏈條中下游詐騙分子使用非法獲取的個人信息實施詐騙犯罪。事實上，個人信息的非法交易有著龐大的買家需求，一定程度上刺激了個人信息黑灰產的猖獗與蔓延。買家通常將非法獲取的公民個人信息用于精準投放廣告和業(yè)務推廣，同時也通過“暗網”交易平臺繼續(xù)出售已獲取的個人信息，由此進入信息黑灰產的惡性循環(huán)，嚴重威脅公民的人身和財產安全，破壞社會安全與秩序。(10)例如，在北京首例網絡“軟暴力”惡勢力犯罪集團案中，法院認為，被告人通過電信網絡有組織地采用滋擾、糾纏等“軟暴力”手段威脅、恐嚇他人，足以使他人產生恐懼、恐慌進而形成心理強制，嚴重影響他人正常工作、生活，破壞社會秩序，情節(jié)惡劣，其行為構成尋釁滋事罪。由此，人們對于信息泄露的恐懼根本是在擔憂下游侵害發(fā)生的可能性。也即意味著，信息安全侵害的普遍后果在于產生了下游侵害發(fā)生的可能性，該可能性引發(fā)人們的不安與恐懼，即使暫時未出現下游侵害，鑒于信息儲存的永久性，未來發(fā)生侵害的可能性會一直存在。由此，發(fā)生可能性本身即為“現實損害”。所以，對于造成非現實損害的信息侵害行為，理應受到法律制裁，受害人也應得到現實的法律救濟。鑒于非現實損害呈現不明顯財產性或具體人格權損害的狀態(tài)，有觀點認為可以適用懲罰性賠償制度。(11)《張新寶談民法典：網絡侵權越發(fā)復雜，應強化個人信息侵權責任》，載澎湃網，https://www.thepaper.cn/newsDetail_forward_7459941，訪問日期：2020年5月27日。這是因為，單個受害人能夠證明的金錢損失實際非常有限，在以往發(fā)生的信息安全侵害案件中，被侵害的信息主體主要遭受生活安寧被打擾以及潛在或無形的人身或財產安全威脅(取決于下游侵害是否現實發(fā)生)，因此對于個體而言，侵害個人信息安全所造成的真實損害實則難以量化。并且，個體受害者的受損利益遠小于加害人因侵害行為所可能獲得的金錢利益?；谏鲜隹剂?，傳統(tǒng)的損害賠償制度難以有效遏制侵害個人信息行為的發(fā)生。因此，對于信息安全侵害行為適用懲罰性賠償制度，應該能夠加強侵權保護的防范效果。

(三)侵害信息安全行為的侵權判斷思路

侵權制度的可行性適用與否，應明確現實侵害行為的法律要件符合程度。在信息泄露引發(fā)后續(xù)電話騷擾、營銷轟炸等侵害個人生活安寧場景下，鑒于侵害人是多方多元的，而單個侵害人實施的侵害行為所導致的損害微小。此外，對于單個受害人的個人信息利用，侵害人所獲取的收益也較少。因此，基于侵權的必要構成要件，對于常見的信息濫用行為，侵權保護模式實則無法起到有效的救濟效用。再次，在傳統(tǒng)侵權構成要件基礎上，對于信息侵害等新型侵權表現，立法視點應轉由設置具有現實可行性的責任落實條款與風險防范機制。

1.下游侵害未發(fā)生信息安全侵害情形。當事人尋求法律救濟時，如果尚未發(fā)生現實的下游侵害，司法處理僅可針對信息侵害行為做出處理，由此涉及抽象損害的法律認可與責任判斷。

(1)抽象(無形)損害的認定。在侵犯公民個人信息罪的司法處理中，披露與獲取個人信息行為僅為下游財產犯罪的啟動因素，并非為下游犯罪本身(如詐騙罪、敲詐勒索罪等)，在下游犯罪行為出現的情況下，應數罪并罰。(12)例如，在武亞東、王晉忠、竇一峰等侵犯公民個人信息罪一案中，對被告人王晉忠的數罪處罰(侵犯公民個人信息罪與敲詐勒索罪并處)。參見廣西壯族自治區(qū)玉林市中級人民法院作出的(2019)桂09刑終428號刑事判決書。由此看到，侵犯公民個人信息罪的可罰性在于引發(fā)下游犯罪出現的可能性，不要求下游侵害的現實發(fā)生，并且上游和下游侵害中的實際獲利或獲利多少也不是核心定性因素，僅作為量刑考量因素。(13)《最高人民法院、最高人民檢察院關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》第5條列舉了“情節(jié)嚴重”的情形，考量因素包括信息敏感度、違法所得、下游損害結果等。潛在的可能損害與精神損害是否可作為損害結果的考量因素？在比較視野下，關于信息泄露受損后果的法律認定，域外的立法規(guī)制與司法實踐中存在個人信息私法救濟的“提前保護思路”：(1)在美國的一起患者信息被診所泄露的案件糾紛中，(14)2016年，黑客入侵了克拉克縣一家醫(yī)療診所的數據庫，竊取了大約200000名患者的個人信息。診所拒絕支付黑客要求的贖金，僅建議患者自行采取反欺詐保護措施。對此，三名患者提起訴訟要求診所賠償。喬治亞州最高法院(Georgia Supreme Court)認為原告的“指控不僅僅是造成傷害的幽靈”，潛在的受損可能性在訴訟中也應值得考慮。(15)參見Georgia Supreme Court Overturns Ruling on Athens Orthopedic Clinic Data Breach Lawsuit, https://www.hipaajournal.com/georgia-supreme-court-overturns-ruling-on-athens-orthopedic-clinic-data-breach-lawsuit/(last visited on January 23, 2020); Orthopedic Clinic Pays $1.5 Million to Settle Systemic Noncompliance with HIPAA Rules,https://www.hhs.gov/about/news/2020/09/21/orthopedic-clinic-pays-1.5-million-to-settle-systemic-noncompliance-with-hipaa-rules.html(last visited on January 23, 2020).(2)根據香港《個人資料(私隱)條例》中的相關規(guī)定，未經信息使用者同意下，若任何人披露取自該信息使用者的某信息主體的任何個人信息，該項披露若導致該信息當事人蒙受心理傷害，不論其意圖如何，認定為犯罪(可能面臨最高一百萬港元罰款以及五年監(jiān)禁的刑罰)。(3)在Rosenbach v. Six Flags Entertainment Corp.一案中，伊利諾斯州最高法院推翻了上訴法院的判決，認為公民根據《伊利諾斯生物特征信息隱私法》有資格成為“受損害的”人，并可根據該法案要求違約金和禁令救濟，即使原告尚未受到實際傷害或不利影響，而只是被侵犯了本人根據該法案所應享有的公民權利。(16)參見Rosenbach v. Six Flags Entertainment Corp. 2017 IL App (2d) 170317，No. 2-17-0317.由此推斷，法院在該案中確立的司法保護規(guī)則為：即使公民生物識別信息未遭受(下游的)實質損害，信息主體仍有權尋求司法救濟。(17)在另一起Adina McCollough, individually and for all others similarly situated v. Smarte Carte Inc. 案例中，美國司法處理的態(tài)度進一步解釋為：“對于法令授予的某項公民法定權利，立法層面在判斷對其的無形損害時，并不意味著當事人關于此權利提出司法救濟時已經發(fā)生了事實上的損害并對此提供證明?！盪.S. District Court for the Northern District of Illinois Eastern Division, Case number 1:16-CV-03777.從上述司法與立法態(tài)度可以看出，認定個人信息侵權行為存在時間提前以及精神損害可視為信息侵權損害范疇。并且，司法處理也將下游侵權的發(fā)生可能性作為損害考量因素。事實上，公民個人信息泄露的具體風險與發(fā)生時間是不特定的，甚至存在“潛伏期”，因此對于個人信息危害后果的考量可以是抽象的，不必然是已經出現的現實危害。綜上，對于信息泄露或非法提供信息行為的侵權定性一方面不要求上游或下游發(fā)生現實的具體損害；另一方面也不要求下游損害的實際發(fā)生(存在發(fā)生可能性即可)。進一步講，即使發(fā)生現實性損害，也并不必然要求發(fā)生財產性損害。

(2)僅針對信息侵害行為的侵權定性。泄露、非法提供等以下游牟利為目的的源頭行為(即準備工具階段的行為)是否可作為獨立的侵權認定要件？或者是否需要結合下游行為作綜合評價？《刑法》第287條之二規(guī)定了“幫助信息網絡犯罪活動罪”，基于幫助行為具備獨立的法益侵害性，(18)參見于沖：《幫助行為正犯化的類型研究與入罪化思路》，載《政法論壇》2016年第4期。體現出網絡犯罪幫助行為獨立入罪的規(guī)制思路。同理，《刑法》第253條之一規(guī)定的侵犯公民個人信息罪的行為表現為“違反國家有關規(guī)定，向他人提供公民個人信息且情節(jié)嚴重”。由此可知，無論被提供者是否利用相關信息實施了下游具體的犯罪，提供行為本身即可成立犯罪。該規(guī)定所體現出的立法態(tài)度是：源頭行為可能引發(fā)的現實危害性是不特定且不可控的，并且導致的危害后果也可能非常嚴重，因此將懲治措施提前到工具準備階段。有鑒于此，單純的信息泄露或非法提供行為亦被視為個人信息侵權的行為表現，不必然要求下游危害后果的發(fā)生，尤其是對于極其敏感的個人信息更應謹慎嚴格地進行“提前性”保護。因此，信息泄露作為侵害行為的認定不以發(fā)生了下游侵害為條件。如果存在兩個以上的信息安全侵害人，信息主體該如何追償？《歐盟通用數據保護條例》(簡稱GDPR)規(guī)定了信息主體享有受賠償權(Liability and the right to compensation)，其可主張物質損害與非物質損害。(19)GDPR, Art. 82.對于共同侵權的情形，在責任分擔方式上，一方面采取擇一主張賠償的模式。信息主體無需向所有對損害負有責任的實體組織提出訴訟和要求賠償，因為這可能需要昂貴和漫長的訴訟程序。對其中一名聯合信息控制者提起訴訟就足夠了，該控制者可能要對全部損失負責；另一方面采取先行賠付的責任形式。在這種情況下，賠償損失的數據控制者或處理者隨后有權向參與處理的其他實體追討所付的款項，并對違反規(guī)定的行為負責，承擔其對損害的部分責任。當事人收到賠償后，追償程序在不同的聯合控制者和處理者之間進行。

2.下游侵害發(fā)生信息安全侵害情形。盡管公民的實際損害一般由下游侵害行為直接導致，對于在源頭上非法披露個人信息的行為人，對于受害人在下游侵害中遭受的實際損害，是否亦應承擔民事責任？有觀點認為，海量個人信息的侵權往往意味著侵權人極高的主觀惡性與極廣的社會影響，借鑒GDR的處罰思路，個人信息侵權行為適用懲罰性的賠償制度更具有現實意義。然而，該做法終究是在行政規(guī)管模式下的懲處思路，對于受害者私權的現實救濟于事無補。因此，對于受害方，侵害方應承擔直接的民事救濟責任。

(1)責任分配解讀與責任形式選擇。侵害網絡用戶信息安全的行為明顯侵犯了自然人的信息安全利益及其相關的具體民事權利，應當為公民遭遇信息安全侵害提供私權保護救濟。對此，需要進一步厘清上游信息安全侵害人與下游侵害人(在現實發(fā)生的情況下)各自的民事責任分配以及承擔形式。在現實中，為實施下游的精準詐騙行為而竊取或非法收買個人信息的情形，目前已形成拖庫—洗庫—撞庫一體化的操作流程與產業(yè)鏈條。即，不法黑客通過拖庫獲取原始的信息庫，然后通過洗庫將數據進行分類，最后通過撞庫獲取更多平臺的用戶信息，將撞庫所得的信息再次進行洗庫操作，如此循環(huán)往復，形成惡性循環(huán)的信息竊取產業(yè)鏈。信息安全侵害行為往往是為下游侵害行為提供工具與便利。個人信息被泄露后的現實危害在于可能引起下游侵害行為的發(fā)生，主要存在以下幾類風險：(1)遭遇電信詐騙、網絡詐騙或接到騷擾短信和電話；(2)賬號密碼被竊取，造成財產損失；(3)遭到恐嚇威脅、敲詐勒索；(4)身份被冒用，個人名譽受損。因此，對于下游具體侵害行為的發(fā)生，上游侵害人的原因力極高，由此決定了信息侵害行為人應作為下游不法侵害行為的共同民事責任人。所以，當個人信息被用作實施下游侵害行為時，即認為上游的信息侵害行為發(fā)生了現實損害。根據《最高人民法院、最高人民檢察院關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》第5條規(guī)定，“造成被害人死亡、重傷、精神失?；蛘弑唤壖堋薄ⅰ霸斐芍卮蠼洕鷵p失或者惡劣社會影響”等嚴重后果，視為侵犯公民個人信息罪量刑幅度中的“情節(jié)特別嚴重”。由此，對于侵害個人信息引發(fā)的下游損失，刑事規(guī)制立場是將該損失納入侵害個人信息罪的懲罰范圍。那么，在私權救濟層面，因信息泄露等上游侵害行為而導致下游現實損害的情況，除了下游的直接侵害人，受害人是否有權向上游的信息侵害行為人尋求賠償？《最高人民法院關于審理人身損害賠償案件適用法律若干問題的解釋》(以下簡稱《人身損害賠償解釋》)首次明確確立了共同侵權行為的內涵，分為三種情形：一是共同故意；二是共同過失；三是雖無共同故意、共同過失，但其侵害行為直接結合發(fā)生了同一損害后果。本文認為，信息安全侵害行為間接導致信息主體遭遇下游不法行為的損害，上游的信息侵害行為與下游的損害行為及其造成的現實損害存在相當的因果關系，上下游的侵害行為符合上述共同侵權的第三類情形。《民法典》第1172條對該類侵權情形做出了分別侵權的定性，即二人以上分別實施侵權行為造成同一損害，能夠確定責任大小的，各自承擔相應的責任；難以確定責任大小的，平均承擔責任。前款責任分配遵循《人身損害賠償解釋》第三條第二款的責任分配理念，即根據過失大小或者原因力比例各自承擔相應的賠償責任。信息安全侵害案件中，根據過失或原因力比例的劃分情況，上游的信息安全侵害人應對下游損害承擔符合比例的或平均的侵權責任。

《民法典》第179條規(guī)定了民事責任承擔方式。根據《消費者權益保護法》第50條，經營者侵害消費者的個人信息依法得到保護的權利的，應當停止侵害、恢復名譽、消除影響、賠禮道歉，并賠償損失。遵循該立法思路，基于信息安全的排除妨害訴求，應適用絕對權的保護請求權，包括停止侵害、排除妨礙、消除危險等。信息侵權的賠償數額計算則可依據《侵權責任法》第20條和22條并結合《最高人民法院關于審理利用信息網絡侵害人身權益民事糾紛案件適用法律若干問題的規(guī)定》第18條予以確定。(20)參見余遠芳:《個人信息的侵權法救濟：〈民法總則〉第111條的司法適用》，載互聯網法治研究，https://mp.weixin.qq.com/s/hY5Lyg-iPATZZRuVmXx6dg，訪問日期：2020年5月12日。

(2)過錯形式分類與舉證責任承擔。鑒于民事責任賠償制度在個人信息保護中的弱支撐性，《個人信息保護法(征求意見稿)》第65條規(guī)定了信息保護的民事賠償制度，鑒于個人信息侵害救濟中存在權利性質特殊和損失難以計算的問題，該制度與知識產權中的“法定賠償制度”的起源相同，即如果信息主體可證明實際損失或獲益的，侵害人以具體損失或獲益承擔賠償責任；若難以計算損失或獲益的，則由人民法院酌定賠償數據。信息安全侵害主體包括自然人、國家機關、企業(yè)或其他組織。無論侵權之訴還是違約之訴，過錯認定均具有重要的法律意義。對此，《個人信息保護法(草案)》第65條明確規(guī)定個人信息民事侵權賠償適用過錯推定原則，結合《民法典》第1165條的規(guī)定，個人信息處理者應承擔舉證自身無過錯的責任，因此在實踐中個人信息處理者應注意履行“處理無過錯”的義務，在信息產業(yè)經營中應嚴格落實處理要求，并及時記錄與備案規(guī)范處理的憑證。

三、侵害個人信息權利行為的民事歸責分析

基于個人對其信息的自主控制訴求，《民法典》第1035條確立了個人對其信息的同意權，第1036條確立了知情權、更正權與刪除權等。(21)參見周漢華：《個人信息保護的法律定位》，載《法商研究》2020年第3期?！秱€人信息保護法(草案)》第44條則創(chuàng)新性地表達了完整信息權利的系統(tǒng)化構成，即知情權與決定權。決定權指向的法益內涵為信息控制能力，蘊含同意權和具體的信息自決權，這即意味著《個人信息保護法(草案)》構建了完整的數據民事權利體系。基于信息處理的合法事由，對于侵害上述權利的行為，其歸責路徑包括侵權保護與合同保護機制。

(一)侵害信息權利行為的外延解讀

個人信息權利是指自然人對其個人信息具有自我控制和排除侵害的權利，包括知情同意權與具體的信息自決權。目前制度保障主要采取了兩類權利行使機制：(1)通過知情同意機制禁止行為人未經主體同意收集或披露個人數據或者將特定個人數據挪作他用；(22)參見丁道勤：《基礎數據與增值數據的二元劃分》，載《財經法學》2017年第2期。(2)明確認可信息主體可訪問、更正與刪除信息的自決權利。從權利行使角度審視，前者為消極防御性權利，呈現被動行權特征；后者則為積極利用性權利，呈現主動行使特征。

1.侵犯知情權、同意權的情形。在商業(yè)應用場景中，App運營者收集信息與獲取權限原則上必須遵循知情同意規(guī)則，應履行告知同意義務?！禔pp方法》規(guī)定了以下違規(guī)行為的構成與要求：“未公開收集使用規(guī)則”、“未明示收集使用個人信息的目的、方式和范圍”、“未經用戶同意收集使用個人信息”、“違反必要原則，收集與其提供的服務無關的個人信息”、“未經同意向他人提供個人信息”，上述超越必要權限、超范圍的信息收集或權限獲取行為，侵犯了信息主體通過知情同意機制控制自身信息的權利。即意味著，在App運營環(huán)節(jié)中信息主體享有行使知情同意權的空間。整體來看，《App方法》對于信息產業(yè)規(guī)范運營的規(guī)制思路主要從“未經同意”角度定性了數據處理者收集行為的違法違規(guī)性，核心圍繞主體同意制度，體現了制度層面保障公民對其個人信息控制能力的態(tài)度，以尊重個人信息所承載的人格利益(本質為人格尊嚴)。因此，App運營者如果實施了上述違法違規(guī)的收集、獲取、告知行為，均侵犯到了信息主體對其個人信息的知情同意權?！睹穹ǖ洹返?036條主要表達的是對于信息主體私權救濟的免責性，通過對第1036條的分析，對于以下信息處理情形，即使未征得信息主體的同意，也無需承擔民事責任：(1) 合理處理該自然人自行公開的或者其他已經合法公開的信息，但是該自然人明確拒絕或者處理該信息侵害其重大利益的除外；(2)為維護公共利益或者該自然人合法權益，合理實施的其他行為。那么，必要性原則是否可作為獲取知情同意的免責條款？在“人臉識別第一案”(23)參見浙江省杭州市富陽區(qū)人民法院作出的(2019)浙0111民初6971號民事判決書。審理過程中，法院認為，園方僅以優(yōu)化客戶體驗為由要求年卡用戶只能刷臉入園并不符合個人信息收集的“必要”原則，由此其未獲取同意的收集行為侵犯了用戶的個人信息權(本文認為應表達為知情同意權)。如果未經同意的獲取行為符合必要原則，是否就屬于免責事由？本文持否定態(tài)度，因為收集階段核心在于知情同意機制，并且在現實操作上，尤其對于人臉等生物識別信息，并不存在來不及獲取同意的情形，獲取行為本身需要信息主體在場。對于其他類型信息的獲取，如果獲取時信息主體不在場，若為了及時維護信息主體的合法權益來不及取得同意時，可視具體情形衡量其必要性，以作為侵犯知情同意權的免責事由。

2. 侵犯具體信息自決權的情形?！睹穹ǖ洹返?037條賦予公民的信息自決權利，侵犯個人信息自決權利的糾紛主要由數據控制者未提供或拒絕信息主體訪問、更正或刪除個人信息導致。《個人信息保護法(草案)》全方面賦予了個人信息主體的信息自決權利，包括：(1) 知情權；(2) 決定權；(3) 限制權；(4) 拒絕權；(5) 查閱、復制權；(6) 更正、補充權；(7) 刪除權；(8) 規(guī)則解釋權。對于用戶的信息自決權保障，《App方法》側面要求了數據控制者須做到如下事項：(1)提供有效的更正、刪除個人信息及注銷用戶賬號功能；(2)不得為更正、刪除個人信息或注銷用戶賬號設置不必要或不合理條件；(3)及時響應用戶更正、刪除個人信息及注銷用戶賬號的操作，需人工處理的，要在承諾時限內完成核查和處理；(4)App后臺進程要與用戶更正、刪除個人信息或注銷用戶賬號的操作時間一致。據《移動互聯網應用個人信息安全報告(2019年)》顯示，移動網絡應用中侵犯個人信息的常見問題包括：個人信息收集使用規(guī)則效果不佳；強制、頻繁、過度索權成為普遍現象；私自收集頻發(fā)、超范圍收集問題突出；數據共享行為不規(guī)范、缺乏約束措施；無開啟或關閉個性化服務選項；設置不合理障礙、賬號注銷難。可以看到，上述違規(guī)行為主要侵害了信息主體的知情同意權與自決權。

(二)侵犯信息權利行為的民事責任路徑

相較于侵害信息安全的民事歸責路徑，信息權利的民事歸責路徑更為直接，除侵權保護機制外，也同時適用合同保護機制。但是兩種機制的適用前提與場景有所差異，應予以區(qū)分。上一部分闡釋的侵權歸責路徑同樣適用于信息權利的侵害場景，此處重點闡釋個人信息權利的合同保護機制。

1. 民事責任模式的適用選擇。針對信息控制能力的人格權益保護，侵權制度的適用與否應首先明確公民個人權利在規(guī)范層面的賦權。《個人信息保護法(草案)》第四章明確賦權個人對于其個人信息的處理享有知情權、決定權、限制處理權、拒絕處理權，為上述權利提供了明確的侵權救濟請求權基礎。因此，針對信息主體的知情權、決定權、限制處理權、拒絕處理權，可受侵權制度的保護。對比來看，同《民法典》一樣，《個人信息保護法(草案)》僅賦予了信息主體查閱、復制、更正、刪除、解釋說明的請求權，而非直接賦權。由此，是否適用侵權保護路徑仍然存在探討空間?！睹穹ǖ洹窞閭€人信息的私權法益提供了四種侵害救濟請求權路徑：侵權責任請求權、合同約定的請求權、人格權請求權(《民法典》第995條)、人格權請求權禁令(《民法典》第997條)，(24)參見丁宇翔：《民法典保護個人信息的三種請求權進路》，載《人民法院報》2020年9月25日。后兩類請求權主要指向停止侵害、排除妨礙、消除危險、消除影響、恢復名譽、賠禮道歉請求權等救濟措施，并且該類請求權不受訴訟時效限制?！睹穹ǖ洹返?95條與第997條提供的獨立于侵權責任的救濟路徑選擇，本質仍從屬于個人信息人格權化的救濟渠道，與侵權責任基于同一請求權基礎。因此，整體而言，個人信息私權利益的救濟請求權基礎為兩類：人格權化與可交易性。侵權機制對應的是信息權利的人格權化，合同機制對應的是信息使用權的可交易性?？紤]到個體維權的可行性與信息使用場景的多元化，基于不同的發(fā)生場景，按照司法處理的便利性，信息主體可選擇訴諸侵權保護或違約救濟制度。參考網絡虛擬財產的司法處理實踐，刑事案件的判決主要根據物權理論認可用戶享有網絡虛擬財產權，以便于定罪量刑；民事案件的判決則主要從合同角度保護用戶的網絡虛擬財產權益。(25)參見江波：《虛擬財產司法保護研究》，北京大學出版社2015年版，第42-67頁。然而，“物權法+合同法”的適用模式并不能完整解決網絡虛擬財產權益的保護問題，因此網絡虛擬財產權是獨立于物權，并與物權、知識產權相并列的新型財產權。(26)參見孫山:《網絡虛擬財產權單獨立法保護的可行性初探》，載《河北法學》2019年第8期；申晨:《虛擬財產規(guī)則的路徑重構》，載《法學家》2016年第1期。目前，在個人信息權益的司法糾紛中，“案件—訴訟—損害”的傳統(tǒng)處理邏輯與“程序性違法—行政處罰+損害賠償”的信息處理規(guī)范存在錯位，需要厘清個人信息權益的獨立司法保護地位。對此，一方面可以賦予信息主體針對第三人的請求權；另一方面也可基于網絡服務合同構建信息主體與數據控制者之間的法律約束關系。在比較視野下，GDPR第6條第1(a)與(b)款規(guī)定，主體同意機制下啟動的個人信息處理，包括個人同意與履行所簽署合同兩類情形，因此侵犯個人信息權利可由違約行為或侵權行為引起。我國《民法典》確認了個人信息權益的性質、內容及其保護規(guī)則，(27)參見程嘯：《論我國民法典中的個人信息合理使用制度》，載《中外法學》2020年第4期。由此明確了個人信息承載著法定的私權法益。目前在司法實務中，侵害個人信息的民事糾紛主要為侵權糾紛，實踐中只有極個別的侵害個人信息案件中的當事人提起違約之訴。(28)參見程嘯：《論侵害個人信息的民事責任》，載《暨南學報(哲學社會科學版)》2020年第2期。

2. 信息控制能力的財產利益保護：合同保護機制的適用基礎。以往個人信息規(guī)范體系將主體同意作為唯一處理依據，《個人信息保護法(草案)》則創(chuàng)新性地將個人信息處理的合法性基礎擴展為六類，其中包括為訂立或者履行個人作為一方當事人的合同所必需，從而為個人信息權益的保障與救濟提供了合同請求權基礎。那么，如何理解與落實信息保護的合同機制？參照歐洲數據保護委員會(EDPB)在指導文件《關于在向數據主體提供在線服務時依據GDPR第6(1) (b)條規(guī)定處理個人數據》中對于合同事由作為處理依據的解釋，(29)European Data Protection Board, Guidelines 2/2019 on the processing of personal data under Article 6(1)(b) GDPR in the context of the provision of online services to data subjects, 12 April 2019.“必要性”必須是客觀上的必要(objectively necessary)，而不是制定合同的經營商認為的必要，需要通過客觀的事實做出判斷。(30)這就意味著，信息主體在與信息控制者在訂立合同時，已經合理期待和判斷該服務的實現所必須執(zhí)行的數據處理行為。同時，數據控制者也要證明某一項處理行為若沒有進行，合同就會無法履行或者訂立。需要注意，信息自決權益的合同保護機制屬于公民私權的“意思自治”范疇，建立于主體的知情同意權之上，與信息處理的“合同所必要”基礎存在差異。例如，知情同意基礎的合同可涉及個人的數據被用在什么地方、是否被過度使用、有沒有使用年限、用戶如何終止數據的使用授權等諸多協(xié)議細節(jié)。(31)《支付寶年度賬單惹怒用戶 “愚蠢的錯誤”如何產生》，載騰訊網，https://tech.qq.com/a/20180104/020872.htm，最后訪問時間：2020年9月3日。

個體的信息自決權益是人格權利益、數字生活便利、經濟利益的混合體。在權利性質上，個人信息權是保障公民充分自我發(fā)展的社會經濟權利，是維護自然人在政治、經濟、人格權等領域中利益的工具，而非最終目的權利。在私有制主導的社會環(huán)境下，“信息自決權”是法律有效分配權利的方式，“信息自決權”似乎暗示個人對于自身信息的自決權本質是在排他地處分“個人財產”，“身份盜竊”概念的提出也預示了個人信息的“物化”趨勢。事實上，“信息”并不先于它的“表達”或“披露”而存在，信息的產生依賴于信息網絡技術的支持，所以從邏輯上來說，個人對于自身信息并不享有“天然的”原始權利。(32)參見Rouvroy Antoinette, Poullet Yves. The Right to Informational Self-Determination and the Value of Self-Development: Reassessing the Importance of Privacy for Democracy, in Gutwirth, S., Poullet, Y., de Hert, P., de Terwangne, C., Nouwt, S. (Eds.). Reinventing Data Protection? Springer, 2009, p. 51.因此，個人信息的商品化與協(xié)商機制指向客觀存在的法益，違約責任方式是維護信息自決權益的重要法律手段。對于信息主體，個人信息的財產屬性與商品化一般表現為信息主體在某些情況下同意被收集個人信息，以此獲取經濟激勵或生活便利，如精準定制服務、費用或價格降低、免費抽獎等。在該類場景下，信息主體可以通過與數據控制者協(xié)商以決定體現個人偏好的信息保護設置。(33)參見P. M. Schwartz, ‘Beyond Lessig’s Code for Internet Privacy: Cyberspace, Filters, Privacy control and Fair Information Practices’, Wisconsin Law Review, 2000, p. 749 et s.在個人信息的財產化路徑下，個人信息被認為是一種有價值的商品，是可被討價還價的對象，并通過合同機制與他人進行交易。(34)參見P. Samuelson, ‘Privacy as Intellectual Property’, 52 Stanford Law Rev., 2000, pp. 1125 and ff.; J. Litman, ‘Information Privacy/Information Property’, 52 Stanford Law Rev., 2000, p. 1250; K. BASHO, ‘The Licensing of the personal information. Is that a solution to Internet Privacy?’, 88 California Law Rev., 2000, p. 1507.受數據財產化理論的影響，合同機制把雙方的協(xié)定視為后續(xù)處理數據的核心依據。但是，無論個人信息是否可被視為財產，合同約定方式均允許雙方就個人信息的收集與處理進行要約和承諾。(35)參見J.Kang & B. Buchner, ‘Privacy in Atlantis’, 18 Harv. Journal Law &Techn., 2004, p. 4.并且，協(xié)商階段不僅限于收集階段，在后續(xù)的所有數據處理環(huán)節(jié)中，均可針對具體的數據處理目的為信息主體提供靈活的協(xié)商機制。用戶的同意具備確定的合同法律效力，基于該約定的采集行為可免于不確定的合規(guī)風險。(36)參見Patrick Myers, Protecting Personal Information: Achieving a Balance Between User Privacy and Behavioral Targeting , 49 Michigan Journal of Law Reform 717, 741(2016).現實操作上，在信息最初被收集時，平臺首先需要征得用戶的同意，以及具體的信息自決權利的保障與落實應體現于平臺協(xié)議中。但是，平臺協(xié)議的條款內容不得違反《網絡安全法》《App方法》《個人信息安全規(guī)范》《個人信息告知同意指南》《移動互聯網應用(App)收集個人信息基本規(guī)范》等規(guī)范性文件中的行業(yè)運營合規(guī)要求。因此，雙方可協(xié)商的信息權利處分空間僅限于強制規(guī)范內容(如必要權限、最小化信息范圍)之外的意思自治事項。鑒于平臺服務協(xié)議本質為合同，因此信息主體與數據處理者關于信息收集、權限獲取、信息使用與處理等方面的格式條款與協(xié)商條款(自主選項、如隱私設置偏好等)，僅對雙方具有約束力。關于信息權利行使產生糾紛時，應首先通過合同當初的約定解決爭端?！睹穹ǖ洹返?79條規(guī)定了支付違約金的責任形式，因此在平臺服務協(xié)議中，雙方也可就信息的合規(guī)使用制定違約金條款，同時也為付費模式的個體化信息服務提供違約救濟保障。

(三)信息產業(yè)運營中隱私信息的制度適用

基于數據隱私性的分類，個人信息自決制度可分為一般信息與隱私信息的自決機制，因此隱私信息的法律保護制度是雙重的：一是隱私權保護制度；二是個人信息權益保護制度。關于適用侵權保護模式的優(yōu)先性存在兩個層次的判斷。其一，隱私權的侵權保護機制?；谛畔⒌碾[私性，個人信息可被分為隱私信息與非隱私信息?！睹穹ǖ洹返?034條第3款明確了私密信息與個人信息保護制度的適用關系，即隱私信息適用有關隱私權的規(guī)定；沒有規(guī)定的，適用有關個人信息保護的規(guī)定。上述順序規(guī)定體現出適用關系的優(yōu)先性，即，當上述兩類制度競合時應優(yōu)先適用具體人格權制度，并且該優(yōu)先性應當是強制性的，法律適用領域如司法處理應當嚴格遵循適用順序。對此，本文存在的疑問是：首先，數據所承載的隱私法益內涵不限于被隱私保護訴求。對于隱私信息適用隱私權保護制度毋庸置疑，對于隱私信息承載的隱私法益，隱私權保護的制度功能僅限于維護個人的隱私“被隱蔽”的訴求。對于該訴求，基于私權領域的意思自治原則，立法應優(yōu)先回應個人的自主意愿，但是，在數字生活普及的時代背景下，個人自主意愿不必然是隱私被隱蔽作為首要訴求。其二，個人信息權益的侵權保護機制。在個人信息保護制度下，首先，在私權法益分解上，信息利益包含隱私與自決利益。(37)張新寶教授認為，個人信息是一種民事權益，而隱私權則是一種民事權利，從權利位階上看，權利的位階要高于權益，因此隱私權作為高位階的權利，具有適用的優(yōu)先性。參見張新寶:《個人信息收集：告知同意原則適用的限制》，載《比較法研究》2019年第6期。事實上，隱私信息的隱私法益同樣屬于信息自決的客體范疇，體現的是個人對其信息的控制能力。因此關于信息自決能力的人格利益，當面臨生活或工作中的數字服務時，提供服務的數據控制者與信息主體之間仍然存在協(xié)商約定的空間，由此對應信息自決利益的合同保護機制，并且在數字服務必需的數據處理過程中，不必然會發(fā)生隱私信息被披露的風險。事實上，信息處理的運營合規(guī)要求決定了信息處理過程原則上不應披露信息主體同意被收集與處理的個人信息(包括隱私信息)。其次，在現實操作的可行性上，以隱私保護為依據決定個人的哪些信息可提供給數據控制者的做法，其困境在于回避了隱私的道德地位，而是基于個人可以自行決定哪些信息屬于隱私這一前提。(38)參見F. Schoeman, ‘Privacy Philosophical Dimensions of the Literature’, in Philosophical Dimensions of the Privacy, F.D. Schoeman (ed.), 1984, p. 3.在現實中，對于信息的“隱私保護訴求”，存在公眾對隱私認知與法律定性的錯位，法律定性的隱私信息的保護范圍實則遠小于個體主觀認知的隱私范圍。因此，現實的司法救濟實則無法覆蓋個體主觀認定的隱私信息范疇。綜上，對于隱私信息的侵權保護認定，不必然適用隱私權侵權保護機制，也可同等順序適用個人信息權益的侵權保護制度。當然，兩類侵權保護的認定可能會導致侵權救濟的不同結果。從私權保護的價值判斷上來看，盡管個人信息的人格權益一般高于財產權益，但信息自決權法益并不單純屬于財產范疇，由此，鑒于數字化生活的常態(tài)，法律實踐應結合信息應用場景判斷應維護的主要法益(隱私權制度保護的隱私被隱蔽訴求或個人信息權益制度保護的信息自決利益)。因此，當出現隱私利益(蘊含自決利益)的私權保護場景時，司法實踐應追溯現實受損害的法益，避免僅依據個人信息保護制度或隱私權制度做出機械化的判斷。

結語

個人信息安全的規(guī)范目標針對數據控制者對于集合性數據庫的數據安保義務，對應的主要是行政或刑事責任。然而，現有規(guī)范體系對于網絡安全事件中的受害者尚無具體且直接的救濟措施和手段，受害者獲得民事救濟的法律依據不足。個人信息保護中的民事責任路徑分為兩類：(1)對于信息泄露的安全侵害行為(包括線上與線下的信息泄露與竊取行為)，民事責任主體包括數據控制者與數據泄露或竊取者等第三方侵害者；(2)信息產業(yè)運營中侵犯知情同意權與信息自決權的行為(僅限于信息網絡環(huán)境中)，民事責任主體僅限于網絡服務運營商(數據控制者)。對于個人信息安全利益的民事責任救濟，一方面，體現出私法領域對于侵害信息安全行為所引發(fā)的潛在損害風險(非現實損害)以及已經發(fā)生的現實損害進行安撫與補償的思路；另一方面，體現出對于信息主體具體的人身或財產權益進行預防性保護的思路。對比來看，對于個人信息權利的民事責任救濟，則體現出私法領域努力維護信息主體的信息自決能力，鑒于目前信息產業(yè)領域中數據控制者與個體之間懸殊的數據控制能力，私法層面保護信息權利彰顯的是對于信息主體人格尊嚴的尊重，并賦予信息主體行使權利的主動性與自控力。誠然，若落實個人信息保護的民事責任，鑒于用戶的海量規(guī)模與不特定性，企業(yè)會面臨極高的合規(guī)成本與司法訴累，非常不利于數字產業(yè)的創(chuàng)新發(fā)展。目前的法律保護實踐與規(guī)制態(tài)度也并未通過賦權個體的方式為信息侵害行為提供私權救濟渠道，主要通過行政規(guī)管方式、行政法律責任以及相應行政執(zhí)法行動予以保障。然而，考慮到目前企業(yè)越權或過度獲取信息的現象過于猖獗，相較于低成本的行政處罰，應要求企業(yè)對于嚴重的信息侵害行為承擔民事救濟責任，從而警示與防范信息侵害行為的蔓延。