信息處理者侵害個(gè)人信息權(quán)益的民法救濟(jì)

尚國(guó)萍

（河南大學(xué) 法學(xué)院，河南 開(kāi)封 475001）

在數(shù)據(jù)為王的信息時(shí)代，個(gè)人信息不僅為政府機(jī)關(guān)開(kāi)展社會(huì)治理提供前提條件，而且成為信息經(jīng)濟(jì)快速發(fā)展的“基礎(chǔ)原料”。通過(guò)法治方式規(guī)范個(gè)人信息處理活動(dòng)，是實(shí)現(xiàn)自然人與信息處理者之間利益平衡的必然路徑?！吨腥A人民共和國(guó)民法典》（以下簡(jiǎn)稱“《民法典》”）使用“處理”一詞替代之前相關(guān)立法中“收集”“使用”等表述，使其成為《民法典》規(guī)范個(gè)人信息相關(guān)行為的基礎(chǔ)概念?！吨腥A人民共和國(guó)個(gè)人信息保護(hù)法》（以下簡(jiǎn)稱“《個(gè)人信息保護(hù)法》”，進(jìn)一步規(guī)范個(gè)人信息處理活動(dòng)，綜合運(yùn)用多元責(zé)任加強(qiáng)個(gè)人信息權(quán)益的保護(hù)力度。從立法目的看來(lái)，《個(gè)人信息保護(hù)法》第69條重在彰顯侵害個(gè)人信息權(quán)益的私法救濟(jì)功能，展現(xiàn)維護(hù)自然人人格尊嚴(yán)和人格權(quán)益的法力。但個(gè)人信息權(quán)益作為信息社會(huì)一種新生的人格權(quán)益，具有諸多不同于傳統(tǒng)人格權(quán)客體的特性，進(jìn)而催生學(xué)者們?cè)谟嘘P(guān)個(gè)人信息權(quán)益侵權(quán)責(zé)任認(rèn)定問(wèn)題上的激烈論爭(zhēng)，導(dǎo)致第69條在司法適用中面臨困境。故而，文章圍繞個(gè)人信息處理中侵權(quán)責(zé)任的認(rèn)定問(wèn)題進(jìn)行探討，希冀司法實(shí)踐中正確適用第69條立法規(guī)范，統(tǒng)一裁判尺度。

一、信息處理架構(gòu)：“知情同意-同意例外”規(guī)則

（一）個(gè)人信息處理外延厘定的價(jià)值立場(chǎng)

概念乃是解決法律問(wèn)題所必需的和必不可少的工具。[1]《個(gè)人信息保護(hù)法》第4條通過(guò)兩個(gè)款項(xiàng)分別明定了個(gè)人信息和個(gè)人信息“處理”的內(nèi)涵與外延。相較而言，《民法典》人格權(quán)編采“內(nèi)涵+外延”的模式，而《個(gè)人信息保護(hù)法》僅對(duì)個(gè)人信息進(jìn)行內(nèi)涵概括，未進(jìn)行外延列舉，且將“識(shí)別”分為“已識(shí)別”或“可識(shí)別”兩種類型?？梢?jiàn)，《個(gè)人信息保護(hù)法》的個(gè)人信息范圍比《民法典》的規(guī)定更寬泛。這反映了立法進(jìn)程中對(duì)個(gè)人信息的認(rèn)識(shí)進(jìn)一步清晰和深刻，有利于對(duì)個(gè)人信息權(quán)益給予更全面保護(hù)。

關(guān)于“處理”的具體方式，《個(gè)人信息保護(hù)法》在《民法典》列舉的收集、存儲(chǔ)等七種方式基礎(chǔ)上增加了“刪除”類型，進(jìn)一步拓展了“信息處理”的外延，折射出立法對(duì)個(gè)人信息處理方式和類型仍在不斷擴(kuò)展中。需注意的是，《個(gè)人信息保護(hù)法》在引入“個(gè)人信息處理”概念時(shí)僅列舉了其外延，使得法律適用邊界不夠清晰。因此，利用處理行為的種屬概念建立起清晰的個(gè)人信息處理規(guī)則，防范對(duì)個(gè)人權(quán)益的侵害，是個(gè)人信息保護(hù)法需要解決的基礎(chǔ)問(wèn)題。[2]文章認(rèn)為，每個(gè)法律概念均是在理論和實(shí)踐的發(fā)展中不斷修正和完善的?！皞€(gè)人信息處理”屬《個(gè)人信息保護(hù)法》中的核心概念，立法理應(yīng)從內(nèi)涵到外延予以回應(yīng)，但現(xiàn)階段對(duì)個(gè)人信息的處理行為認(rèn)知存在限度，實(shí)難高度抽象出“處理”的核心要義。如法定概念不能明確其法律特征，則可能會(huì)阻礙個(gè)人信息的合理利用?！氨Ｗo(hù)個(gè)人信息權(quán)益”并非《個(gè)人信息保護(hù)法》唯一立法目標(biāo)，最終目的指向個(gè)人信息的“合理利用”，兩個(gè)目的重在通過(guò)“規(guī)范個(gè)人信息處理活動(dòng)”這一路徑實(shí)現(xiàn)。故而，現(xiàn)行立法僅從外延列舉個(gè)人信息處理類型，既可避免因“處理”概念模糊導(dǎo)致規(guī)范對(duì)象泛化，誘發(fā)立法過(guò)度干預(yù)甚或選擇性執(zhí)法的惡果，又通過(guò)“等”字為法律適用提供了延展空間，是一種較為可取的模式。

（二）個(gè)人信息處理的前設(shè)基礎(chǔ)

綜觀《個(gè)人信息保護(hù)法》全文，如何規(guī)范個(gè)人信息處理是其主要內(nèi)容。依其規(guī)定，除自然人因個(gè)人、家庭事務(wù)處理個(gè)人信息外，其他個(gè)人信息處理活動(dòng)均納入其調(diào)整范圍。該法第13條確立了個(gè)人信息處理的“知情同意-同意例外”規(guī)則。除公共利益目的或法律、行政法規(guī)另有規(guī)定外，“告知-知情-同意”既是信息處理者依法處理個(gè)人信息的前提條件，也是侵害個(gè)人信息權(quán)益是否存在主觀過(guò)錯(cuò)的判斷基準(zhǔn)，但并不當(dāng)然構(gòu)成民事侵權(quán)責(zé)任的抗辯事由。

個(gè)人信息處理的“知情同意-同意例外”前設(shè)架構(gòu)模式，分別與個(gè)人私益保護(hù)和公共利益保護(hù)相呼應(yīng)。一方面，個(gè)人信息權(quán)益本質(zhì)上與隱私權(quán)相同，具有相對(duì)的人身專屬性，對(duì)其保護(hù)應(yīng)以知情權(quán)和同意權(quán)為根本，方顯其人格權(quán)品格。另一方面，考慮到現(xiàn)代社會(huì)網(wǎng)絡(luò)產(chǎn)業(yè)以數(shù)據(jù)信息為基本生產(chǎn)資料，根據(jù)《民法典》相關(guān)規(guī)定，并未將個(gè)人信息權(quán)益置于完全人格權(quán)地位，其人身專屬性在維護(hù)社會(huì)公共利益條件下予以限縮，為降低治理成本，原則上毋需征得自然人同意?！秱€(gè)人信息保護(hù)法》第二章關(guān)于個(gè)人信息處理規(guī)則的規(guī)范架構(gòu)總體上遵循了以上立法思想，在第一節(jié)一般情況下以“知情同意”為基本規(guī)則和第二節(jié)特定情形下以“單獨(dú)或書(shū)面同意”為要件基礎(chǔ)上，第三節(jié)對(duì)國(guó)家機(jī)關(guān)為維護(hù)公共利益或行使法定職責(zé)時(shí)可豁免征得“知情同意”義務(wù)，屬于“同意例外”規(guī)則。整體而言，現(xiàn)行的個(gè)人信息處理規(guī)則架構(gòu)為：知情同意（非敏感個(gè)人信息）-單獨(dú)同意（敏感個(gè)人信息）-書(shū)面同意（法律法規(guī)特別規(guī)定）-同意例外（國(guó)家機(jī)關(guān)處理個(gè)人信息）。

依民法意思自治原則，將“同意”作為個(gè)人信息處理的根本性要件，凸顯了立法賦予自然人對(duì)其個(gè)人信息享有人格權(quán)益的基本立場(chǎng)。在市場(chǎng)經(jīng)濟(jì)條件下，信息處理者主要表現(xiàn)為市場(chǎng)主體，對(duì)個(gè)人信息的處理須遵守市場(chǎng)交易的一般規(guī)則，維護(hù)市場(chǎng)秩序的安全穩(wěn)定。個(gè)人信息是否進(jìn)入市場(chǎng)領(lǐng)域從而成為數(shù)字經(jīng)濟(jì)的生產(chǎn)要素，取決于權(quán)利人在平等地位上的自愿性和自決性，也即私法自治的核心要義所在。一般而言，信息處理的正當(dāng)性基礎(chǔ)在于權(quán)利人是否知情信息處理目的，對(duì)自己做出的意思表示是否有明確的行為預(yù)期。從某種意義上說(shuō)，“知情同意”規(guī)則設(shè)計(jì)充分彰顯了私法所維護(hù)的平等和自由價(jià)值。但任何自由都是有邊界的，自然人的個(gè)人信息自決自由也不例外。在個(gè)人權(quán)益和社會(huì)公共利益相沖突情形下，個(gè)人利益的保護(hù)需讓位于公共秩序的維護(hù)，此時(shí)，信息處理所形成的法律關(guān)系從私權(quán)法律關(guān)系的雙邊性轉(zhuǎn)向到公權(quán)法律關(guān)系的單邊性，以“同意”所展現(xiàn)的意思自治將讓位于社會(huì)治理秩序維護(hù)的公權(quán)力法定職責(zé)，法律關(guān)系將由“平行秩序關(guān)系”轉(zhuǎn)為“上下秩序關(guān)系”。這也正是《個(gè)人信息保護(hù)法》規(guī)定國(guó)家機(jī)關(guān)為履行法定職責(zé)處理個(gè)人信息時(shí)毋需征得個(gè)人同意的原因所在。[3]

二、損害要素認(rèn)定：動(dòng)態(tài)系統(tǒng)論的司法應(yīng)用

侵權(quán)法在維護(hù)行為自由的同時(shí)，更注重受害人的救濟(jì)和賠償?！皳p害”認(rèn)定在民事救濟(jì)中居于重要地位，構(gòu)成侵權(quán)損害賠償?shù)年P(guān)鍵要件?！秱€(gè)人信息保護(hù)法》第69條要求個(gè)人信息權(quán)益侵權(quán)以損害為前提[4]，在立法上反映了個(gè)人信息權(quán)益保護(hù)的邏輯起點(diǎn)。但在司法實(shí)踐中，個(gè)人信息權(quán)益損害的事實(shí)認(rèn)定較為復(fù)雜，需引入動(dòng)態(tài)系統(tǒng)論綜合考量多元要素進(jìn)行認(rèn)定。

（一）侵害個(gè)人信息權(quán)益的損害樣態(tài)

個(gè)人信息權(quán)益侵權(quán)認(rèn)定是一個(gè)實(shí)務(wù)難題。從司法實(shí)踐來(lái)看，因被侵權(quán)人在個(gè)人信息控制方面處于弱勢(shì)地位，在訴訟中難以有效證明其遭受的個(gè)人信息損害事實(shí)，往往導(dǎo)致訴訟請(qǐng)求得不到法院的支持，助長(zhǎng)了網(wǎng)絡(luò)平臺(tái)處理個(gè)人信息的逐利性。為扭轉(zhuǎn)這一困境，部分法院靈活調(diào)適證據(jù)規(guī)則，通過(guò)減輕受害人證明責(zé)任等方式努力維護(hù)受害人的個(gè)人信息合法權(quán)益，但收效甚微。由于個(gè)人信息具有無(wú)形性、不確定性、難以定量等特征，個(gè)人信息權(quán)益侵權(quán)責(zé)任每一構(gòu)成要件的認(rèn)定均愈發(fā)復(fù)雜，其中“損害”事實(shí)的認(rèn)定最為復(fù)雜和紛亂。特別是個(gè)人信息大規(guī)模侵權(quán)案件中，涉及的受害人人數(shù)規(guī)模龐大，法院必然要考量集體訴訟的可行性、證據(jù)認(rèn)定的專業(yè)技術(shù)難度以及信息處理者的賠償能力等多種因素，損害事實(shí)的認(rèn)定較之于傳統(tǒng)侵權(quán)損害認(rèn)定變得舉步維艱。在受害人主張信息處理者承擔(dān)違約責(zé)任時(shí)，因其與信息處理者的格式合同中不存在違約金條款，受害人也必須證明存在損害才可能獲得賠償。[4]

侵害個(gè)人信息權(quán)益的損害事實(shí)主要表現(xiàn)為兩種形態(tài)：精神損害和財(cái)產(chǎn)損失。個(gè)人信息權(quán)在性質(zhì)上屬于一種集人格利益和財(cái)產(chǎn)利益于一體的綜合性權(quán)利。[5]《個(gè)人信息保護(hù)法》賦予自然人知情權(quán)、決定權(quán)、查閱權(quán)、復(fù)制權(quán)、更正補(bǔ)充權(quán)、刪除權(quán)等權(quán)益。當(dāng)個(gè)人信息權(quán)益受到不法行為侵害時(shí)，具體表現(xiàn)與其他人格權(quán)的損害結(jié)果大體一致，主要為精神利益損害。另外，《民法典》人格權(quán)編“一般規(guī)定”中允許民事主體可將自身的姓名、肖像等部分人格授權(quán)他人使用或商業(yè)化利用。根據(jù)目的解釋或擴(kuò)張解釋，此處“等”可擴(kuò)展到自然人可同意其個(gè)人信息由他人處理范圍。當(dāng)未經(jīng)許可，他人擅自使用（處理）個(gè)人信息的，可造成權(quán)利人的財(cái)產(chǎn)損失。但實(shí)踐中侵害個(gè)人信息權(quán)益的財(cái)產(chǎn)損失的認(rèn)定和計(jì)算亦是一個(gè)較復(fù)雜的事實(shí)問(wèn)題。

（二）動(dòng)態(tài)系統(tǒng)的損害認(rèn)定規(guī)則

動(dòng)態(tài)系統(tǒng)論最早由奧地利學(xué)者威爾伯格（Walter．Wilburg）提出?；居^點(diǎn)認(rèn)為：“調(diào)整特定領(lǐng)域法律關(guān)系的法律規(guī)范包含諸多構(gòu)成因素，但在具體的法律關(guān)系中，相應(yīng)規(guī)范所需因素的數(shù)量和強(qiáng)度有所不同”[6]。該理論呈現(xiàn)出法律效果形成中各要素的系統(tǒng)性動(dòng)態(tài)作用過(guò)程。人格利益基于人身自由和人格尊嚴(yán)等一般人格權(quán)派生出物質(zhì)性人格權(quán)和精神性人格權(quán)等具體人格權(quán)。《民法典》對(duì)每一項(xiàng)法定人格權(quán)的保護(hù)力度和位階順位，乃至具體責(zé)任承擔(dān)方式方面，均存在著一定的差異。在個(gè)案適用時(shí)，需對(duì)各個(gè)考量因素進(jìn)行綜合比較和權(quán)衡。根據(jù)《民法典》第998條之規(guī)定，關(guān)于侵害精神性人格權(quán)的損害事實(shí)認(rèn)定，應(yīng)妥當(dāng)權(quán)衡行為人和受害人的職業(yè)身份及社會(huì)知名度、加害人的過(guò)錯(cuò)程度、行為目的、行為方式、行為后果等因素。故而，侵害個(gè)人信息權(quán)益的事實(shí)證成，“應(yīng)根據(jù)法定因素及其順序，通過(guò)因素間的互動(dòng)綜合考量，摒棄全有全無(wú)的責(zé)任成立”。[6]

從比較法而言，人格權(quán)保護(hù)中多注重動(dòng)態(tài)系統(tǒng)論之運(yùn)用，從而擺脫僵硬的全有或者全無(wú)的束縛，實(shí)現(xiàn)對(duì)精神性人格權(quán)更具彈性的保護(hù)面向。動(dòng)態(tài)系統(tǒng)論注重相關(guān)要素之間的邏輯層次，諸要素在價(jià)值位階和相互聯(lián)動(dòng)關(guān)系上存在一定差別。具言之，損害評(píng)價(jià)要素的位階具有法定性要求，法院應(yīng)遵從雙方當(dāng)事人職業(yè)、損害影響范圍、侵權(quán)行為危害性、個(gè)人信息的敏感性程度之順序依次進(jìn)行考量。關(guān)于要素間的聯(lián)動(dòng)關(guān)系，我國(guó)《民法典》并未規(guī)定，“其相互之間的聯(lián)動(dòng)關(guān)系有賴于個(gè)人信息保護(hù)法的規(guī)定或司法實(shí)踐的經(jīng)驗(yàn)總結(jié)。”[7]就個(gè)人信息類型而言，敏感信息與私密信息同歸屬于個(gè)人信息范疇，在實(shí)踐中有一定的交集或重合，但其規(guī)范目的和功能價(jià)值不同。私密信息具有絕對(duì)防御性特點(diǎn)，未經(jīng)權(quán)利人同意，不得公開(kāi)，更不得利用；而敏感信息原則上應(yīng)當(dāng)禁止處理，只有在具有特定的目的和充分的必要性，并采取嚴(yán)格保護(hù)措施的情形下，個(gè)人信息處理者方可處理。[3]相對(duì)而言，非法處理敏感信息等侵權(quán)行為給被侵權(quán)人造成的精神損害更為嚴(yán)重。是故，諸多要素相結(jié)合共同構(gòu)成多元化的損害評(píng)價(jià)要素。

損害事實(shí)認(rèn)定的前提在于加害行為違法性之判斷。關(guān)于信息處理者侵害個(gè)人信息權(quán)益的違法性認(rèn)定，應(yīng)從個(gè)人信息處理行為是否存在和處理行為是否具有違法性兩個(gè)方面考量。首先，信息處理者客觀上必須實(shí)施了處理個(gè)人信息活動(dòng)；其次，信息處理者的處理行為不符合法律規(guī)范，實(shí)踐中主要表現(xiàn)為信息處理違反了法定義務(wù)。如未履行充分告知義務(wù)，或履行了告知義務(wù)未獲得自然人的明確同意或書(shū)面同意。凡違反法定要求處理個(gè)人信息，則構(gòu)成個(gè)人信息權(quán)益侵權(quán)責(zé)任中加害行為這一要件。

三、歸責(zé)原則適用：過(guò)錯(cuò)推定中心主義

歸責(zé)原則是侵權(quán)法的核心與靈魂。侵權(quán)責(zé)任的構(gòu)成要件取決于適用何種歸責(zé)原則，進(jìn)而廓清侵權(quán)行為和行為自由之間的邊界。欲明確個(gè)人信息權(quán)益的民法保護(hù)范圍，須厘定侵害個(gè)人信息權(quán)益適用何種歸責(zé)原則，才能正確適用《民法典》和《個(gè)人信息保護(hù)法》的相關(guān)規(guī)定，實(shí)現(xiàn)個(gè)人信息權(quán)益民事救濟(jì)目標(biāo)。

（一）侵害個(gè)人信息權(quán)益歸責(zé)原則之論爭(zhēng)

在侵害個(gè)人信息權(quán)益糾紛中，信息處理者所擁有的自動(dòng)化決策技術(shù)優(yōu)勢(shì)、數(shù)據(jù)算法的保密性和單體信息的無(wú)價(jià)值性，在事實(shí)上造成了被侵權(quán)人在舉證能力方面處于弱勢(shì)地位，法院對(duì)侵權(quán)行為和損害事實(shí)厘定存在技術(shù)性短板。因此，從立法例和理論上探討侵害個(gè)人信息權(quán)益適用何種歸責(zé)原則能夠?qū)崿F(xiàn)雙方當(dāng)事人的利益平衡顯得尤為重要。

1．侵害個(gè)人信息權(quán)益歸責(zé)原則的立法例考察

根據(jù)歐盟《一般數(shù)據(jù)保護(hù)條例》（GDPR）第5條第2款①歐盟《一般數(shù)據(jù)保護(hù)條例》（GDPR）第5條第2款規(guī)定：“控制者有責(zé)任遵守以上第1段（‘合法性、合理性和透明性’‘目的限制’‘?dāng)?shù)據(jù)最小化’‘準(zhǔn)確性’‘限期存儲(chǔ)’‘?dāng)?shù)據(jù)的完整性與保密性’），并且有責(zé)任對(duì)此提供證明?！币?guī)定，在認(rèn)定侵害個(gè)人數(shù)據(jù)責(zé)任時(shí)，適用過(guò)錯(cuò)責(zé)任原則，數(shù)據(jù)控制者應(yīng)當(dāng)就處理數(shù)據(jù)過(guò)程中不存在過(guò)錯(cuò)承擔(dān)證明責(zé)任。2018年德國(guó)《聯(lián)邦數(shù)據(jù)保護(hù)法》第83條規(guī)定，數(shù)據(jù)控制人違反本法或其他法律規(guī)定處理他人數(shù)據(jù)造成侵權(quán)損害的，數(shù)據(jù)控制人或其授權(quán)的人應(yīng)承擔(dān)損害賠償責(zé)任。在非自動(dòng)化的數(shù)據(jù)處理情形下，數(shù)據(jù)控制人能夠證明其在數(shù)據(jù)處理過(guò)程中不存在主觀過(guò)錯(cuò)，則不需要承擔(dān)賠償責(zé)任?？梢?jiàn)，數(shù)據(jù)控制人只要違反“本法或其他法律規(guī)定”的事實(shí)存在，即可追究其侵權(quán)責(zé)任，實(shí)質(zhì)上適用無(wú)過(guò)錯(cuò)責(zé)任原則。在非自動(dòng)化數(shù)據(jù)處理場(chǎng)合，若損害不可歸因于控制人的過(guò)錯(cuò)，則賠償義務(wù)取消。[8]侵害個(gè)人信息（數(shù)據(jù)）權(quán)益適用何種歸責(zé)原則，同在歐陸范圍內(nèi)，也持有不同的立法態(tài)度，德國(guó)法較之于歐盟法，更有利于保護(hù)信息主體權(quán)益。

2．個(gè)人信息權(quán)益侵權(quán)多元?dú)w責(zé)論說(shuō)之檢視

大數(shù)據(jù)技術(shù)和信息技術(shù)的高速發(fā)展使得侵害個(gè)人信息權(quán)益行為與技術(shù)、場(chǎng)域和行為主體密切相關(guān)。過(guò)錯(cuò)責(zé)任原則在應(yīng)對(duì)利用網(wǎng)絡(luò)手段侵害自然人個(gè)人信息時(shí)顯得捉襟見(jiàn)肘，亟待根據(jù)處理場(chǎng)域的不同區(qū)別適用不同的歸責(zé)原則。在大數(shù)據(jù)語(yǔ)境下，單個(gè)的個(gè)人信息是作為數(shù)據(jù)要素而存在的，如離開(kāi)算法技術(shù)和自動(dòng)化決策，個(gè)人信息對(duì)于數(shù)字經(jīng)濟(jì)將無(wú)利用價(jià)值。由上可知，侵害個(gè)人信息權(quán)益與信息處理者采用自動(dòng)數(shù)據(jù)處理技術(shù)直接關(guān)聯(lián)，這也應(yīng)景了根據(jù)不同的處理場(chǎng)域和技術(shù)因素適用過(guò)錯(cuò)責(zé)任原則和非過(guò)錯(cuò)責(zé)任原則。在自動(dòng)化處理情形下，公務(wù)機(jī)關(guān)以數(shù)據(jù)自動(dòng)處理技術(shù)實(shí)施的信息侵權(quán)，應(yīng)適用無(wú)過(guò)錯(cuò)責(zé)任。采用自動(dòng)化處理系統(tǒng)的非公務(wù)機(jī)關(guān)，其信息侵權(quán)應(yīng)適用過(guò)錯(cuò)推定責(zé)任。[12]理由在于非行政機(jī)關(guān)較之于行政機(jī)關(guān)，無(wú)公權(quán)力收集之便利優(yōu)勢(shì)，法定的注意義務(wù)標(biāo)準(zhǔn)也應(yīng)相對(duì)調(diào)低。

個(gè)人信息侵權(quán)的復(fù)雜性歸因于自動(dòng)數(shù)據(jù)處理技術(shù)的廣泛應(yīng)用。自動(dòng)數(shù)據(jù)處理技術(shù)處于大數(shù)據(jù)算法處理信息的核心位置，進(jìn)而推動(dòng)個(gè)人信息侵權(quán)歸責(zé)原則從一元到多元的變革。對(duì)非利用自動(dòng)化技術(shù)的信息處理者而言，其并未保有技術(shù)上的優(yōu)勢(shì)地位，舉證能力基本對(duì)等，宜采過(guò)錯(cuò)責(zé)任原則。但大型網(wǎng)絡(luò)科技企業(yè)在技術(shù)研發(fā)領(lǐng)域居于領(lǐng)先地位，其人才技術(shù)和經(jīng)濟(jì)規(guī)模優(yōu)勢(shì)往往是一般的公權(quán)力機(jī)關(guān)所不能比擬的。公權(quán)力機(jī)關(guān)之所以擁有大量個(gè)人信息關(guān)鍵在于其擁有法定職權(quán)和公共利益目的優(yōu)勢(shì)。故而，對(duì)于采取自動(dòng)化處理技術(shù)的行為人，不應(yīng)再區(qū)分是否以公益為目的，應(yīng)當(dāng)賦予相同的注意義務(wù)，統(tǒng)一適用相同的歸責(zé)原則，但問(wèn)題在于何種非過(guò)錯(cuò)歸責(zé)原則更符合信息社會(huì)的發(fā)展需求？學(xué)界爭(zhēng)論不一。

文章認(rèn)為，雖然適用無(wú)過(guò)錯(cuò)責(zé)任能夠最大限度上救濟(jì)受害人的信息權(quán)益，但將課以信息處理者高度的注意義務(wù)，會(huì)大幅增加信息處理者的經(jīng)營(yíng)成本和管理成本，不利于信息產(chǎn)業(yè)的穩(wěn)步發(fā)展與公共利益的有效維護(hù)。相對(duì)而言，在信息自動(dòng)處理技術(shù)條件下，統(tǒng)一采過(guò)錯(cuò)推定責(zé)任原則能夠強(qiáng)化信息處理者的舉證責(zé)任，適度提高其注意義務(wù)，較好地平衡信息處理、權(quán)益保護(hù)和公共秩序之關(guān)系。

（二）《個(gè)人信息保護(hù)法》歸責(zé)原則的立法抉擇

我國(guó)《個(gè)人信息保護(hù)法》將因個(gè)人或家庭事務(wù)處理個(gè)人信息排除在外，相關(guān)侵權(quán)屬于一般侵權(quán)行為，仍按照《民法典》第1185條適用過(guò)錯(cuò)責(zé)任原則。對(duì)于一般情形下的個(gè)人信息處理侵權(quán)，適用我國(guó)《個(gè)人信息保護(hù)法》第69條第1款規(guī)定，如造成損害，信息處理者不能證明自己沒(méi)有過(guò)錯(cuò)的，應(yīng)當(dāng)承擔(dān)侵權(quán)責(zé)任。該條在侵權(quán)歸責(zé)原則設(shè)置上并未采用按侵權(quán)行為人主體類型和是否采用自動(dòng)化處理技術(shù)區(qū)分適用歸責(zé)原則，而是以統(tǒng)一適用過(guò)錯(cuò)推定責(zé)任為原則。其主要理由在于：一是侵權(quán)行為的主體特殊，限于信息處理者。實(shí)踐中主要是商事經(jīng)營(yíng)者和履行個(gè)人信息保護(hù)職責(zé)的部門，而非普通的自然人。二是權(quán)益人是自然人，在以人為本的價(jià)值理念下其人格權(quán)益亟待保護(hù)。三是實(shí)踐中被侵權(quán)人在侵權(quán)法律關(guān)系中往往處于不利地位，“個(gè)人信息處理者的地位強(qiáng)勢(shì)，個(gè)人信息權(quán)人處于弱勢(shì)，如果采用過(guò)錯(cuò)責(zé)任原則，不利于對(duì)個(gè)人信息權(quán)人的保護(hù)”[9]。

敏感個(gè)人信息，指涉及隱私的個(gè)人信息。[10]對(duì)此，《個(gè)人信息保護(hù)法》第28條將生物識(shí)別、宗教信仰、行蹤軌跡等信息以及不滿十四周歲未成年人的個(gè)人信息納入敏感信息范圍。有學(xué)者建議，包括侵害敏感信息在內(nèi)的所有侵害個(gè)人信息的侵權(quán)責(zé)任，應(yīng)當(dāng)統(tǒng)一適用無(wú)過(guò)錯(cuò)責(zé)任。[11]對(duì)此建議，《個(gè)人信息保護(hù)法》并未采用，而是通過(guò)限定具有特定目的和充分的必要性，并采取嚴(yán)格保護(hù)措施以及“單獨(dú)同意”，抑或“書(shū)面同意”“監(jiān)護(hù)人同意”等特定條件予以保障，從而加大信息處理者的過(guò)錯(cuò)舉證責(zé)任進(jìn)行區(qū)別對(duì)待。①《個(gè)人信息保護(hù)法》第28條規(guī)定，個(gè)人信息處理者具有特定的目的和充分的必要性，方可處理敏感個(gè)人信息。第29條規(guī)定，基于個(gè)人同意處理敏感個(gè)人信息的，個(gè)人信息處理者應(yīng)當(dāng)取得個(gè)人的單獨(dú)同意。法律、行政法規(guī)規(guī)定處理敏感個(gè)人信息應(yīng)當(dāng)取得書(shū)面同意的，從其規(guī)定。第30條規(guī)定，個(gè)人信息處理者處理敏感個(gè)人信息的，除本法第17條第1款規(guī)定的事項(xiàng)外，還應(yīng)當(dāng)向個(gè)人告知處理敏感個(gè)人信息的必要性以及對(duì)個(gè)人權(quán)益的影響；依照本法規(guī)定可以不向個(gè)人告知的除外。第32條規(guī)定，法律、行政法規(guī)規(guī)定處理敏感個(gè)人信息應(yīng)當(dāng)取得相關(guān)行政許可或者作出更嚴(yán)格限制的，從其規(guī)定。這一立法設(shè)計(jì)同樣可以達(dá)到強(qiáng)化對(duì)敏感信息處理的保護(hù)力度與效果。

四、權(quán)益救濟(jì)二元基礎(chǔ)：人格權(quán)請(qǐng)求權(quán)與侵權(quán)請(qǐng)求權(quán)

個(gè)人信息權(quán)益受到侵害之虞，《民法典》賦予自然人人格權(quán)請(qǐng)求權(quán)和侵權(quán)請(qǐng)求權(quán)二元權(quán)益救濟(jì)路徑。在保護(hù)個(gè)人信息權(quán)益中，人格權(quán)請(qǐng)求權(quán)與侵權(quán)請(qǐng)求權(quán)保護(hù)的側(cè)重點(diǎn)有所不同，兩者共同形成全方位的個(gè)人信息權(quán)益民法保護(hù)機(jī)制。

（一）人格權(quán)請(qǐng)求權(quán)的行使

《民法典》人格權(quán)編將個(gè)人信息與隱私權(quán)放在同一位置，意味著個(gè)人信息權(quán)益具有鮮明的人格權(quán)屬性?！白鳛槿烁駲?quán)的個(gè)人信息權(quán)益，在民法領(lǐng)域不僅受到侵權(quán)責(zé)任的保護(hù)，也要受到《民法典》第995條規(guī)定的人格權(quán)請(qǐng)求權(quán)的保護(hù)”[9]。顯然，人格權(quán)請(qǐng)求權(quán)保護(hù)優(yōu)勢(shì)在于：其一，停止侵害、排除妨礙、消除危險(xiǎn)、賠禮道歉等責(zé)任方式更能實(shí)現(xiàn)對(duì)自然人精神性人格利益的救濟(jì)，這是損害賠償侵權(quán)責(zé)任所無(wú)法滿足的。其二，因人格權(quán)具有專屬性，故行使人格權(quán)請(qǐng)求權(quán)不以具備過(guò)錯(cuò)等要件，受害人的舉證責(zé)任明顯較輕。其三，人格權(quán)請(qǐng)求權(quán)行使不受訴訟時(shí)效的限制，不因訴訟時(shí)效期間屆滿而喪失請(qǐng)求權(quán)，對(duì)維護(hù)個(gè)人信息權(quán)益的完滿性更為重要。

（二）侵權(quán)請(qǐng)求權(quán)的行使

侵權(quán)責(zé)任規(guī)范保護(hù)個(gè)人信息權(quán)益的最大優(yōu)勢(shì)在于損害賠償之承擔(dān)。個(gè)人信息權(quán)益當(dāng)屬于《民法典》第1164條規(guī)定的侵權(quán)責(zé)任救濟(jì)的“民事權(quán)益”范圍。個(gè)人信息權(quán)益受到侵害遭受損失時(shí)，當(dāng)以侵權(quán)責(zé)任之認(rèn)定責(zé)令信息處理者承擔(dān)損害賠償責(zé)任，力求通過(guò)損害填補(bǔ)方式使自然人個(gè)人信息權(quán)益最大限度得到恢復(fù)。侵權(quán)請(qǐng)求權(quán)所意旨的賠償損失責(zé)任具有獨(dú)特的損害填平功能，是其他民事責(zé)任方式無(wú)法替代的。需說(shuō)明的是，人格權(quán)請(qǐng)求權(quán)與侵權(quán)請(qǐng)求權(quán)之關(guān)系迥異于違約責(zé)任和侵權(quán)責(zé)任之間的競(jìng)合關(guān)系，受害人可選擇其一，也可兩者并用之。

（三）侵害個(gè)人信息權(quán)益的賠償額度

1．損害賠償計(jì)算的考量因素

由于精神損害與財(cái)產(chǎn)損失之間具有不可通約性，導(dǎo)致司法實(shí)踐中確定精神損害賠償額是一個(gè)難題。司法實(shí)踐中欠缺測(cè)量被侵權(quán)人精神損害程度的客觀標(biāo)準(zhǔn)，“沒(méi)有清晰的方法可用于將無(wú)形的非金錢損害轉(zhuǎn)換為金錢賠償”[12]。從理論上分析，損害范圍的具體界定是受一定社會(huì)價(jià)值觀念和法律秩序影響的?！叭藗冋J(rèn)識(shí)損害的思維過(guò)程，絕不只是自然科學(xué)式的機(jī)械邏輯過(guò)程，價(jià)值判斷不可避免”[13]。由此推之，損害構(gòu)成（或程度）和損害賠償額的確定在某種意義上同屬于價(jià)值判斷范疇。實(shí)踐中，侵害個(gè)人信息權(quán)益的損害后果往往具有不可逆轉(zhuǎn)性和可持續(xù)性，一旦個(gè)人信息權(quán)益遭受侵害，欲準(zhǔn)確計(jì)算損失額度變得望塵莫及?？尚械霓k法是，精神損害賠償額應(yīng)在確定損害事實(shí)的基礎(chǔ)上，經(jīng)彈性價(jià)值體系的過(guò)濾，得出應(yīng)賠償?shù)膿p害，再經(jīng)由損害的金錢評(píng)價(jià)而最終確定賠償?shù)臄?shù)額[14]。從社會(huì)效果來(lái)看，行為人承擔(dān)精神損害賠償責(zé)任在一定限度上有利于遏制類似侵權(quán)行為再次發(fā)生，聚焦于損害賠償制度的遏制和懲戒功能。另外，“德國(guó)法、法國(guó)法采取賠償全部損害之制度，其所謂全部損害，實(shí)并非損害之全部，而只是其一部而已”[15]。侵權(quán)責(zé)任的認(rèn)定在實(shí)踐中具體通過(guò)侵權(quán)行為的違法性、損害程度、原因力等要素過(guò)濾工具，最大限度地尋求自然人個(gè)人信息權(quán)益和經(jīng)濟(jì)行為自由之間的利益平衡點(diǎn)。

2.損害賠償額的具體確定

個(gè)人信息侵權(quán)中損害賠償范圍的科學(xué)合理確定，既關(guān)乎受害人權(quán)益的保護(hù)，又與網(wǎng)絡(luò)產(chǎn)業(yè)的健康良性發(fā)展密切相關(guān)。關(guān)于具體賠償標(biāo)準(zhǔn)，既要把握隱含于人格尊嚴(yán)中的精神利益，又要權(quán)衡行為人與受害人之間的利益平衡。至于賠償數(shù)額的司法確認(rèn)，除所支付為制止侵權(quán)行為的必要費(fèi)用外，可根據(jù)行為人的過(guò)錯(cuò)類型，行為動(dòng)機(jī)、手段或方式、侵權(quán)行為實(shí)施的次數(shù)和持續(xù)時(shí)間、社會(huì)危害程度、責(zé)任概率、因不法行為所獲利益等綜合因素進(jìn)行數(shù)額確定。為充分發(fā)揮侵權(quán)責(zé)任的懲戒功能，可借鑒德國(guó)個(gè)人信息保護(hù)法模式，基于民事侵權(quán)行為發(fā)生的損害賠償，應(yīng)“實(shí)行全額賠償，不設(shè)最高額限制，這也是民事主體地位平等所要求的”[16]。

從法經(jīng)濟(jì)學(xué)角度而言，因以損失填補(bǔ)為基礎(chǔ)的侵權(quán)責(zé)任評(píng)價(jià)機(jī)制正面臨著懲戒功能式微的風(fēng)險(xiǎn)，現(xiàn)代侵權(quán)法將因不法行為所獲利益作為損害計(jì)算基數(shù)成為重要替代選擇?！秱€(gè)人信息保護(hù)法》第69條第二款規(guī)定，損害賠償數(shù)額按照個(gè)人因此受到的損失或者個(gè)人信息處理者因此獲得的利益確定；前者兩項(xiàng)數(shù)額難以確定的，根據(jù)實(shí)際情況確定賠償數(shù)額。盡管立法將信息處理者所獲利益作為損害賠償額計(jì)算標(biāo)準(zhǔn)，但獲益范圍是否僅包括因侵權(quán)行為所得直接收益，立法上未予回應(yīng)。對(duì)此，文章認(rèn)為，考慮網(wǎng)絡(luò)信息產(chǎn)業(yè)的長(zhǎng)足發(fā)展和信息安全技術(shù)的有限性，應(yīng)限定于直接收益范圍。

五、結(jié)語(yǔ)

司法實(shí)踐中，《個(gè)人信息保護(hù)法》與《民法典》對(duì)個(gè)人信息權(quán)益的保護(hù)應(yīng)統(tǒng)籌協(xié)調(diào)與互為補(bǔ)充。全面把握個(gè)人信息處理者、政府機(jī)關(guān)和其他社會(huì)組織之間利益平衡的立法理念，實(shí)現(xiàn)協(xié)調(diào)個(gè)人信息保護(hù)與促進(jìn)信息自由流動(dòng)的立法目標(biāo)，建立公正有序的個(gè)人信息利用秩序，助推在強(qiáng)化個(gè)人信息權(quán)益保護(hù)的同時(shí)，引領(lǐng)網(wǎng)絡(luò)產(chǎn)業(yè)和數(shù)字經(jīng)濟(jì)的良性發(fā)展。誠(chéng)然，法院對(duì)《民法典》《個(gè)人信息保護(hù)法》中個(gè)人信息規(guī)范的正確適用，統(tǒng)一司法裁判尺度，將為個(gè)人信息權(quán)益保護(hù)與數(shù)字產(chǎn)業(yè)發(fā)展提供有力的司法保障。最高人民法院應(yīng)根據(jù)審理個(gè)人信息權(quán)益糾紛案件的司法經(jīng)驗(yàn)，盡快制定相關(guān)的司法解釋，使得個(gè)人信息權(quán)益預(yù)防保護(hù)機(jī)制與損害賠償救濟(jì)制度落到實(shí)處。