跨平臺共享下個人信息侵權(quán)責(zé)任認(rèn)定問題研究

【關(guān)鍵詞】個人信息保護；互聯(lián)網(wǎng)平臺；侵權(quán)責(zé)任；過錯推定

隨著信息技術(shù)的不斷發(fā)展，個人信息作為重要的數(shù)據(jù)資源，蘊涵巨大大的經(jīng)濟價值。企業(yè)跨平臺共享個人信息已成為數(shù)據(jù)經(jīng)濟中的重要組成部分。這種共享模式為企業(yè)挖掘和分析大數(shù)據(jù)提供了豐富的資源，然而，隨之而來的是對個人信息權(quán)和隱私權(quán)的潛在侵害風(fēng)險。

目前對個人信息的共享仍缺乏具體的法律約束和規(guī)范。[1]《個人信息保護法》雖然規(guī)定了過錯推定的責(zé)任承擔(dān)方式，但并沒有個人信息侵權(quán)舉證責(zé)任分配的細(xì)化規(guī)定，這就意味著，在侵犯個人信息的情況下，仍然采用“誰主張、誰舉證”的舉證責(zé)任分配方式，而跨平臺共享下的個人信息往往涉及多個信息處理主體，這對于處于弱勢的被侵權(quán)人來說難上加難。在這一背景下，本研究重點探究個人信息共享模式下的法律問題，特別是個人信息侵權(quán)責(zé)任認(rèn)定的相關(guān)法律規(guī)定和實踐問題。從個人信息侵權(quán)責(zé)任的構(gòu)成要件出發(fā)，結(jié)合實際對個人信息侵權(quán)責(zé)任的構(gòu)成要件進行細(xì)化和完善，在《民法典》侵權(quán)責(zé)任編相關(guān)規(guī)定與《個人信息保護法》中探尋恰當(dāng)銜接，從而實現(xiàn)個人信息權(quán)益的更好保護。

一、跨平臺個人信息共享的基本要件

（一）用戶授權(quán)是個人信息共享的前提

企業(yè)在跨平臺對個人信息共享時，首先需要取得用戶的授權(quán)。個人信息處理者不僅需要取得用戶的事先同意，而且需要告知用戶信息接收方的基本情況。主要通過以下三種方式：第一種，個人信息共享授權(quán)書。如銀行等金融機構(gòu)與用戶簽訂的個人信息共享授權(quán)書，用戶在共享其個人信息的基礎(chǔ)上，同意接受銀行等金融機構(gòu)提供的相應(yīng)服務(wù)。用戶可以通過銀行網(wǎng)站查詢信息共享的具體細(xì)則包括共享信息的范圍和共享機構(gòu)目錄。[2]第二種，隱私政策。許多平臺通過其隱私政策聲明對用戶的個人信息進行共享，但這些聲明大多晦澀難懂，或者對信息共享的細(xì)節(jié)缺乏詳盡介紹，因此用戶難以透徹了解其個人信息的具體共享情況。第三種，第三方共享個人信息清單。第三方共享清單通常包含接收方公司的名稱、產(chǎn)品類型、共享個人信息的具體名稱、使用目的，以及接收方信息處理規(guī)則。分享方通常將隱私政策與第三方共享清單捆綁在一起，用戶只需在設(shè)備上進行勾選，即可同時同意隱私政策和第三方共享清單的內(nèi)容。

（二）多方式協(xié)調(diào)是個人信息共享的途徑

大部分被共享的個人信息都是沒有經(jīng)過匿名化處理的與用戶具有直接關(guān)聯(lián)的個人信息。平臺間主要通過提供、傳輸、委托的方式對個人信息進行共享。一種個人信息共享方式是提供行為，“提供”強調(diào)將個人信息交付給特定主體的行為。《民法典》第 111 條、第 1038 條明確規(guī)定，任何組織或者個人不得給他人非法提供用戶的個人信息。另一種是傳輸行為。傳輸指的是個人信息在不同處理程序之間移動和流轉(zhuǎn)的過程。個人信息跨平臺共享，通常涉及多個處理者和環(huán)節(jié)。信息處理者在傳輸過程中，有責(zé)任審查接收方的信息處理和存儲條件，并清楚地告知其信息處理的目的、范圍和具體內(nèi)容，以防止在傳輸過程中對用戶信息利益造成損害。

在信息共享中，共享方并未完全失去對個人信息的控制權(quán)，而是將部分控制權(quán)分享給接收方?？紤]到共享形式的特殊需求和所涉及個人信息的敏感性，雙方均應(yīng)采取合理措施來保護用戶的個人信息。

（三）限制原則是個人信息共享的保障

《個人信息保護法》中明確規(guī)定了目的限制原則，該原則貫穿于個人信息的全部處理活動。在個人信息的跨平臺共享下，無論個人信息處理者為分享方還是接收方，無論涉及何種類型的個人信息處理活動，包括信息共享行為，都必須受到該原則的約束。作為個人信息保護法的基本原則，目的限制原則旨在要求個人信息處理者在處理個人信息時，目的必須明確而合理，應(yīng)在最小的影響范圍內(nèi)處理個人信息，并且處理行為應(yīng)直接與處理目的相關(guān)。目的限制原則的衍生原則還包括個人信息收集必要性原則，即接收方所收集的個人信息也必須符合收集的必要性原則。個人信息處理者應(yīng)加強對個人信息共享過程的管理和監(jiān)督，確保個人信息的共享行為符合法律法規(guī)的規(guī)定。

二、跨平臺個人信息共享的侵權(quán)責(zé)任認(rèn)定困境

（一）個人信息侵權(quán)主體多樣

與一般侵權(quán)相比，跨平臺個人信息共享模式下侵權(quán)主體更加多樣。由于個人信息處理者的多樣性以及個人信息侵權(quán)行為的隱蔽性，使得在多個平臺間找到實施侵權(quán)行為的具體信息處理者十分困難。

隨著科技的進步，個人信息共享的層級逐漸增多，用戶難以掌控各個信息處理者之間的相互關(guān)系及其合作方式。以網(wǎng)上購物為例，購買商品的整個流程中涉及多次個人信息共享，比如下單、發(fā)貨、中轉(zhuǎn)、派送等環(huán)節(jié)。一旦個人信息脫離賣方的控制范圍，就有可能面臨危險，比如可能被快遞公司所出售。由于個人信息的跨平臺共享，使得更多的信息處理者和信息處理方式出現(xiàn)，個人信息已經(jīng)不再是簡單一對一的侵權(quán)行為，用戶很難確定個人信息侵害的源頭來自哪個環(huán)節(jié)及哪個信息處理方。

（二）個人信息侵權(quán)中雙方當(dāng)事人地位存在差距

在個人信息侵權(quán)案件中，雙方當(dāng)事人往往處于不完全平等的地位。個人信息處理者擁有更為強勢的地位，而用戶則處于相對弱勢。這種不平等主要源于“知情同意”規(guī)則的不足。目前，用戶通常通過使用前的“隱私協(xié)議”來獲得知情同意，然而大多數(shù)應(yīng)用軟件要求用戶必須注冊登錄并同意隱私協(xié)議后才能使用基本服務(wù)。在這種情況下，許多行業(yè)正在被各個互聯(lián)網(wǎng)巨頭所壟斷，用戶如果想進行后續(xù)操作，便只能同意其規(guī)定的隱私政策，大多數(shù)用戶只能被迫接受并妥協(xié)。[3]

并且，個人信息受害人的證據(jù)控制能力較弱，這一問題主要源于信息主體相對個人信息處理者在技術(shù)知識和能力方面的明顯差距。個人信息主體在提供證據(jù)方面往往只能完成最基本的證明。尤其在當(dāng)前情景下，許多大型企業(yè)為了更好地研發(fā)產(chǎn)品和精準(zhǔn)化營銷，通過共享方式大范圍獲取個人信息數(shù)據(jù)。個人信息主體在這種平臺經(jīng)濟共享行為中大多處于信息不對稱的地位，難以有效地控制自己的信息流動并保護自身的合法權(quán)益。

三、跨平臺個人信息共享中過錯推定原則的適用

鑒于我國《個人信息保護法》中規(guī)定了個人信息侵權(quán)責(zé)任的認(rèn)定適用過錯推定原則。因此，在具體的司法實踐中，需要準(zhǔn)確理解個人信息侵權(quán)構(gòu)成要件，準(zhǔn)確運用過錯推定原則，對跨平臺信息共享下個人信息侵權(quán)責(zé)任的認(rèn)定進行更加細(xì)致全面的審查。保障個人信息主體在信息共享環(huán)境中的合法權(quán)益，避免信息主體因信息共享而受到侵害的情況發(fā)生。

（一）過錯要件適用舉證責(zé)任倒置

《個人信息保護法》中的過錯推定原則，要求信息處理者在個人信息侵權(quán)行為中存在過錯時應(yīng)當(dāng)承擔(dān)相應(yīng)的法律責(zé)任。這意味著，一旦個人信息主體遭受侵害，信息處理者需要證明其在個人信息處理過程中盡到了合理的注意義務(wù)，否則便負(fù)有侵權(quán)責(zé)任。信息處理者應(yīng)從以下內(nèi)容證明自己無過錯。

一方面，各平臺在信息共享的過程中必須遵守相關(guān)法律法規(guī)，特別是《民法典》和《個人信息保護法》等法律規(guī)定。這些法律明確規(guī)定了信息處理者在存儲、收集、處理個人信息時的行為規(guī)范，以及其應(yīng)當(dāng)承擔(dān)的最低限度義務(wù)。各信息處理平臺有責(zé)任證明自身沒有違反相關(guān)法律規(guī)定，從而免除自身可能存在的侵權(quán)責(zé)任。另一方面，各信息處理平臺需要對盡到法律規(guī)定的安全管理義務(wù)承擔(dān)證明責(zé)任。[4]《個人信息保護法》明確規(guī)定，信息處理者在收集處理個人信息時必須采取一定措施以確保個人信息的安全。若信息處理者違反了法律規(guī)定的義務(wù)，應(yīng)被認(rèn)定存在過失。信息處理者可以將上述已盡的義務(wù)以證據(jù)的方式提供，以供法院判定。

（二）減輕損害行為要件證明責(zé)任

根據(jù)行為方式的不同，可以將跨平臺個人信息侵權(quán)行為劃分為積極作為和消極不作為。積極作為指的是信息處理者在法律明確禁止的情況下仍然積極從事可能損害信息主體個人信息利益的行為，例如違規(guī)收集和處理個人信息；而消極不作為則是指信息處理者未履行相關(guān)法定義務(wù)，包括未履行安全管理義務(wù)或告知義務(wù)等。

根據(jù)一般的舉證責(zé)任分配規(guī)則，原告需要證明被告的行為已發(fā)生，且屬于違法行為。在涉及跨平臺個人信息侵權(quán)的案件中，雖然信息處理者主動進行的非法收集和個人信息的處理是積極作為行為，但與這些行為“非法性”相關(guān)的其他行為卻屬于消極不作為行為。此外，一旦信息收集完成，個人信息的存儲、處理、傳輸、使用其中任何一個步驟違反了法律規(guī)定或信息主體意愿，都將被視為違法行為。而不作為的加害行為則指的是個人信息處理者未依照法律履行義務(wù)，由此導(dǎo)致信息主體的個人信息受到不應(yīng)有的損害。這實際上是一種消極事實，在訴訟過程中，負(fù)有證明責(zé)任的一方需要證明損失是由于信息處理者的不作為導(dǎo)致的。[5]

因此，無論是針對積極行為還是消極不作為，個人信息主體在訴訟過程中可能都需要證明消極的事實，而這種類型的證據(jù)往往較難獲取。可以采取一些方法來減輕個人信息主體的證明責(zé)任，例如合理利用事實推定和舉證責(zé)任轉(zhuǎn)移等手段來彌補個人信息主體在獲取證據(jù)方面的不足。

（三）區(qū)分一般與特殊損害要件

在個人信息侵權(quán)案件中，受害人可能會面臨個人信息可識別性降低或喪失的不利后果，從而陷入困境。此外，個人信息侵權(quán)所導(dǎo)致的損害不僅包括傳統(tǒng)意義上的財產(chǎn)損失和精神損害，還涉及未來可能發(fā)生的損害風(fēng)險和精神損害，這些損害可能導(dǎo)致個人信息的泄露、濫用或被非法交易。

由于個人信息經(jīng)過多次共享，信息主體往往難以證明實際損害的發(fā)生，再加上個人信息侵權(quán)所造成的損失往往具有非即時性和隱蔽性，信息主體將會難以證明具體的賠償金額。因此，法院在處理這類案件時應(yīng)當(dāng)明確區(qū)分一般損害和特殊損害，并合理規(guī)定個人信息侵權(quán)損害事實的證明責(zé)任。

通常原告仍需提供證據(jù)證明損害事實的存在。但在某些特殊情況下，可以減輕原告對損害賠償具體數(shù)額的舉證責(zé)任。當(dāng)損害數(shù)額難以精確衡量時，刻板地應(yīng)用證明責(zé)任的一般原則可能會對原告不利。當(dāng)個人信息遭到非法侵犯后，可能導(dǎo)致信息主體遭受精神上的困擾、焦慮等損害。在法律領(lǐng)域，考慮到跨平臺個人信息侵權(quán)行為及其帶來的損害往往不是立即顯現(xiàn)且較隱蔽，應(yīng)適度降低信息主體對于難以證實的精神損害、間接損害以及未來風(fēng)險的證明標(biāo)準(zhǔn)。

（四）區(qū)分一般與特殊因果關(guān)系要件

在跨平臺共享的情境下，個人信息侵權(quán)責(zé)任認(rèn)定中的因果關(guān)系，是指個人信息主體的個人信息受損結(jié)果能夠清楚地歸因于行為人的侵害行為。在侵權(quán)責(zé)任認(rèn)定領(lǐng)域中，損害結(jié)果與侵權(quán)行為之間并非總是簡單的對應(yīng)關(guān)系。鑒于侵權(quán)主體、侵權(quán)行為和侵權(quán)手段的多樣性，要證明個人信息侵權(quán)責(zé)任認(rèn)定中的因果關(guān)系難度較大。[6]因此，單一的因果關(guān)系認(rèn)定標(biāo)準(zhǔn)已經(jīng)不足以適應(yīng)個人信息侵權(quán)中的復(fù)雜情況。

當(dāng)個人信息主體可以明確識別加害行為人及其侵害行為時，證明責(zé)任分配的一般規(guī)則，通?？梢詽M足侵權(quán)責(zé)任認(rèn)定中因果關(guān)系要件的證明。然而，在跨平臺共享下個人信息主體可以以整體視角看待所有的信息共享參與者，證明其遭受的損害結(jié)果可以歸因于該整體的加害行為。具體而言，信息主體只需使法官相信是所有信息共享參與者的整體行為導(dǎo)致的個人信息受到損害，而無須對每個信息處理者的具體行為進行詳細(xì)證明。這種因果關(guān)系的推定是對雙方證明責(zé)任的合理調(diào)整，降低了信息主體的證明難度，提高了其勝訴的可能性，同時也要求信息處理者對其是否盡到相應(yīng)義務(wù)承擔(dān)舉證責(zé)任，從而確保了侵權(quán)責(zé)任認(rèn)定的公正性。

結(jié)語

個人信息侵權(quán)問題日益成為互聯(lián)網(wǎng)時代的關(guān)注焦點。在跨平臺個人信息共享的背景下，應(yīng)對個人信息侵權(quán)責(zé)任的認(rèn)定進行更加細(xì)致全面的規(guī)范。這包括加強過錯推定原則的統(tǒng)一適用，建立統(tǒng)一的個人信息侵權(quán)認(rèn)定標(biāo)準(zhǔn)，并根據(jù)具體案情量身定制判決，在個案中兼顧雙方的技術(shù)能力和侵權(quán)行為的具體情況，使個人信息主體在信息共享環(huán)境中得到充分保障。綜合來看，個人信息侵權(quán)責(zé)任的認(rèn)定需要立足于法律的明確規(guī)定，同時兼顧個案的具體情況，以實現(xiàn)對個人信息主體合法權(quán)益的全面保護。