杨立新:个人信息处理者侵害个人信息权益的民事责任 | 国家检察官学院学报202105
The following article is from 国家检察官学院学报 Author 学报编辑部
【作者】杨立新(中国人民大学民商事法律科学研究中心学术委员会副主任、研究员、法学院教授,中国法学会民法学研究会副会长)
【来源】北大法宝法学期刊库《国家检察官学院学报》2021年第5期(文末附本期期刊目录)。因篇幅较长,已略去原文注释。
内容提要:《个人信息保护法》调动各种法律责任方法,加强对个人信息权益的保护,其中民事责任在制裁个人信息处理者侵害个人信息权益行为,保护个人信息权益,具有重要的地位和价值。该法直接规定个人信息处理者侵害个人信息权益民事责任的条文是第69条,不过,其他大部分条文都与认定侵害个人信息权益民事责任有关。保护个人信息权益适用侵权请求权和人格权请求权的方法,应当依照《民法典》关于人格权保护和侵权责任构成的基本规则,准确适用法律规定的归责原则,掌握好民事责任构成要件,运用损害赔偿以及停止侵害、排除妨碍、消除危险、消除影响、恢复名誉、赔礼道歉的责任方式,全面保护好自然人的个人信息权益。
关键词:个人信息保护法;个人信息权益;侵权请求权;人格权请求权;民事责任
目次 一、民事责任在保护个人信息权益中的地位和规制的对象
二、个人信息处理者侵害个人信息权益民事责任的归责原则
三、个人信息处理者侵害个人信息权益民事责任的构成要件
四、个人信息处理者侵害个人信息权益民事责任的承担规则
结语
《个人信息保护法》第69条规定了对个人信息权益保护的主要方法,即民事责任的保护。相较于刑事责任、行政责任在保护个人信息权益中的地位和作用,民事责任的保护显然更具有优越性。
(一)民事责任在保护个人信息权益法律责任中的地位
从《个人信息保护法》规定的条文内容来看,似乎只有第69条是规定侵害个人信息权益的民事责任条款,其他条文没有明确提到个人信息权益的民事责任问题。其实,《个人信息保护法》第69条只是规定了保护个人信息权益的侵权损害赔偿等侵权责任的规则,对于个人信息权益保护民事责任的具体内容,贯穿在该法的大多数条文中,应当依据《民法典》的规定进行解读。这是因为,个人信息权益是私法权益,保护个人信息权益的主要方式是民事责任,且民事责任中的侵权责任是保护个人信息权益的主要方法。因而,《个人信息保护法》“法律责任”一章规定了侵害个人信息权益的行政责任、民事责任和刑事责任,全面保护自然人的个人信息权益,其中,特别突出了民事责任特别是侵权责任在保护个人信息权益中的重要地位。
行政责任和刑事责任对于保护自然人的个人信息权益,是十分重要的法律方法。但是,这两种法律责任保护个人信息权益的着眼点,是违法行为人向国家承担责任,即通过行政处罚或者刑罚的方法,制裁侵害个人信息权益的组织或者个人实施的违法行为,其中包括的罚款、罚金等都是上缴国库,而非对受到损害的个人的给付。民事责任则完全不同,违法行为人承担民事责任,既是向国家负责,更是向受害人负责,主要的制裁手段是财产性质,并且将违法行为人承担的财产责任直接对受到侵害的权利人给付,救济其受到的损害,填补损失。这样的法律责任,对私权利的保护当然是最直接的,在保护个人信息权益中,是行政责任和刑事责任所不能替代的重要责任,具有救济私权损害的独具特色的法律责任。《个人信息保护法》第69条规定体现的正是这样的立法意图。
(二)民事责任在保护个人信息权益中的作用和分工
民事责任保护个人信息权益所对应的请求权,是权利人享有的侵权请求权和人格权请求权。侵权请求权对应的民事责任是侵权责任,主要是损害赔偿;人格权请求权对应的民事责任,是停止侵害、排除妨碍、消除危险、消除影响、恢复名誉、赔礼道歉。
1.侵权请求权保护个人信息权益的优势在于救济损害
在所有的民事责任中,侵权责任是救济私权利损害的主要方法。我国《民法典》本来将侵权责任的性质规定为侵权之债,但是,却没有将其规定在合同编之后,而是放在最后一编即第七编,立法的含义是,侵权责任即使其属性已经被界定为侵权之债,也仍然是民事权利保护法,在《民法典》中具有重要地位。
《民法典》第1164条规定,侵权责任保护的范围是“民事权益”,当然包括个人信息权益。同时,《民法典》侵权责任编第二章规定,侵权责任保护民事权益的基本方法是损害赔偿。个人信息权益是私的权利和利益,当其受到侵害造成损失时,侵权责任以损害赔偿之债的方法进行救济,使权利人受到的损害能够得到补偿,使其权益恢复到没有受到损害之前的样貌,就能够保护好自然人的个人信息权益。这种损害赔偿之债在救济个人信息权益损害方面,具有更加独特的作用,其他民事责任也是无法替代的。因此,《个人信息保护法》第69条第1款规定:“处理个人信息侵害个人信息权益造成损害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。”
2.人格权请求权保护个人信息权益的优势是恢复民事权益的完满状态
适用民事责任保护个人信息权益,不仅可以通过侵权请求权的行使,请求违法行为人承担侵权责任,还可以通过行使人格权请求权,请求违法行为人承担侵害人格权的其他民事责任。《民法典》将个人信息规定在“人格权”一编,与隐私权一道,规定在人格权编的第六章,性质属于人格权。作为人格权的个人信息权益,在民法领域不仅受到侵权责任的保护,也要受到《民法典》第995条规定的人格权请求权的保护。当自然人的个人信息权益受到侵害时,权利人可以行使人格权请求权,保护自己的个人信息权益。
人格权请求权保护个人信息权益具有的优势是:首先,其具体的请求权包括停止侵害、排除妨碍、消除危险、消除影响、恢复名誉、赔礼道歉,行使这些请求权,责令侵权人承担相应的民事责任,使受到侵害的个人信息权益得到恢复。其次,人格权请求权是固有权利,其行使不须具备过错等要件,权利人的举证责任较轻。再次,其请求权的行使不受诉讼时效的限制,能够长期保护个人信息权益,不会因为诉讼时效期间的完成而不能行使请求权,因而对保护个人信息权益的完满性具有更重要的价值。
(三)民事责任规制的对象是侵害个人信息权益行为
《个人信息保护法》规定对侵害个人信息权益的行为进行法律规制,且主要是通过民事责任对侵害个人信息权益行为的民法规制。从这个意义上说,《个人信息保护法》规定的侵害个人信息权益行为,是指个人信息处理者违反法律规定的义务,侵害自然人个人信息权益造成损害,应当承担民事责任的违法行为。
界定侵害个人信息权益行为的概念,应当从以下几个方面进行深入理解。
1.实施侵害个人信息权益行为的主体是个人信息处理者
依照《个人信息保护法》第3条第1款关于“在中华人民共和国境内处理自然人个人信息的活动,适用本法”的规定,该法规定的侵害个人信息权益行为的行为主体是个人信息处理者,不包括其他主体。这是因为,该法所调整的法律关系,是个人信息处理者与个人信息权益主体之间因处理个人信息活动发生的法律关系。其中,个人信息处理者处于主动地位,是处理个人信息的单位或者个人,而个人信息权益主体是被保护的主体,是其个人信息被个人信息处理者的行为所处理。在这样的法律关系中,侵害个人信息权益人的个人信息权益,当然只能是个人信息处理者,他们是侵害个人信息权益的行为主体、责任主体。
非个人信息处理者侵害他人个人信息权益,不在这种侵害个人信息权益行为之中,不适用《个人信息保护法》,应当依照《民法典》的规定,确认其为一般侵权行为,适用第1165条规定或者第995条规定,通过行使侵权请求权和人格权请求权的方法,确定责任,制裁侵害个人信息权益的非个人信息处理者的行为人,保护个人信息权益人的合法权益。
2.被侵害权益的主体是享有个人信息权益的自然人
侵害个人信息民事责任所保护的主体,是作为个人信息权权利人的自然人。依照《个人信息保护法》第3条的规定,侵害个人信息权益行为所侵害的权利主体是自然人,不包括法人和非法人组织。
3.侵害个人信息权益行为所侵害的客体是个人信息权益
侵害个人信息权益民事责任的保护对象是个人信息权益。只有个人信息权益受到侵害,才能发生侵害个人信息权益的民事责任。
个人信息权是一个独立的人格权,学者早有论述。2017年《民法总则》第111条规定个人信息受法律保护,却没有加一个“权”字,因而,对个人信息究竟是人格权还是人格法益一直争论不断。对此,笔者专门撰写文章,阐释将其作为具体人格权的理论基础和价值。《民法典》在人格权编规定个人信息及其保护时,仍然将其称为“个人信息”,而不是称为“个人信息权”。直至今天,仍然有学者将个人信息称为一项基本法益,有的学者则认为个人信息是一种新型人格权。
《个人信息保护法》采用了一个新的提法,确认个人信息的法律属性是“个人信息权益”。该法第1条规定:“为了保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用,根据宪法,制定本法。”这里明确规定个人信息为“个人信息权益”。第2条规定:“自然人的个人信息受法律保护,任何组织、个人不得侵害自然人的个人信息权益。”这一条文的前段规定为“个人信息”,后段规定为“个人信息权益”不得侵害。这样的表述究竟表达的是何种含义,特别值得研究。
《个人信息保护法》第1条和第2条是通过折中的方法,规定个人信息是独立的具体人格权,既是“权”,也是“益”。其理由是:第一,《民法典》人格权编将个人信息纳入自己的体系中,与隐私权规定在同一章,说明个人信息并非只是一个法益,还具有权利的属性。第二,对个人信息进行保护,以权利进行保护还是以法益进行保护,哪种做法更好,显然以权利保护为佳。第三,《个人信息保护法》第1条和第2条都将个人信息称为“个人信息权益”,其中当然包含权利的属性,既然如此,当然就是“个人信息权”。第四,《个人信息保护法》第49条和第50条两次使用了“个人行使权利”的表述,也证明《个人信息保护法》是把个人信息作为独立的民事权利进行保护,而不是单纯地以法益予以保护的。这是立法的一个重大进步。笔者曾经说,对于个人信息的法律属性,《民法总则》没有很好地解决,人格权编也没有很好地解决,预言真正实现对个人信息的完善保护,就必须把个人信息规定为个人信息权。《个人信息保护法》规定“个人信息权益”的概念,基本上实现了这个预言。
4.对侵害个人信息权益行为的规制方法是承担民事责任
侵害个人信息权益行为的性质是民事违法行为,规制的方法当然是民事责任方法。
与民事责任相对应的权利,是民事权利保护的请求权:侵权请求权是权利人在侵权行为造成损害后,通过请求行为人承担损害赔偿等责任的方式,制裁违法行为,保护民事权利。固有请求权包括人格权请求权,民事权利受到侵害,权利人通过行为人承担停止侵害等民事责任方式,使受到侵害的民事权利得以保全。在保护个人信息权益中,尽管侵权请求权是新生权利,人格权请求权是固有权利,保护的侧重点有所不同,但是,都对个人信息权益提供民事责任的保护。
二
个人信息处理者侵害个人信息权益民事责任的归责原则
通过民事责任方法保护个人信息权益,首先要研究承担侵害个人信息权益民事责任的归责原则,将这个首先要解决的重要问题确定清楚,才能够准确适用《民法典》和《个人信息保护法》规定的保护个人信息权益的具体规则。
归责原则是侵权法的核心,是侵权法的灵魂,侵权法的一切规则都建筑在归责原则的基础之上,也是保护私权利与保障民事主体行为自由之间利益平衡的校正器。研究侵害个人信息权益民事责任,也必须首先确定应当适用何种归责原则。
依照《民法典》第1165条和第1166条规定,确定民事责任的归责原则包括过错责任原则、过错推定原则和无过错责任原则。适用过错责任原则的是一般侵权民事责任;适用过错推定原则或者无过错责任原则须依照法律规定,即有法律特别规定的才可以适用,法律没有明确规定的不可以适用。通常认为,侵害精神性人格权的侵权责任适用过错责任原则,一般不适用过错推定原则,更不得适用无过错责任原则。《民法典》对侵害个人信息权益的侵权责任适用何种归责原则未加规定,一般认为应当适用该法第1165条第1款规定的过错责任原则。
《个人信息保护法》根据保护个人信息权益的特别需要,规定适用过错推定原则。第69条第1款规定:“处理个人信息侵害个人信息权益造成损害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。”之所以确定这里规定的侵害个人信息权益的侵权责任适用过错推定原则,主要的原因,一是侵权行为的主体特殊,是个人信息处理者,而不是一般主体;二是个人信息权人是自然人,其个人信息权益特别需要保护;三是双方当事人的地位不平等,个人信息处理者的地位强势,个人信息权人处于弱势,如果采用过错责任原则,不利于对个人信息权人的保护。因而,在侵害人格权的侵权责任一般适用过错原则的情况下,确定个人信息处理者侵害个人信息权益承担责任适用过错推定原则,就是有充分的理由的。
在具体适用过错推定原则时,应当注意以下三方面的内容:
第一,适用范围。对于侵害个人信息权益没有造成实际损害,个人信息权人行使人格权请求权保护个人信息权益的,由于《个人信息保护法》第69条已经明确规定过错推定原则适用于“侵权责任”,因此,不适用过错推定原则。而且人格权请求权的属性是固有权利,不是新生权利,不存在构成要件的问题,只须具备行使要件即可行使,也不存在适用过错责任、过错推定或者无过错责任的问题,因此,个人信息权人请求行使人格权请求权救济自己的权益不适用归责原则的调整。这与行使物权请求权、身份权请求权等固有请求权一样,都不存在适用归责原则的问题,《民法典》第235-236条、第995条和第1001条也都没有规定过错的要求。实际上,只要行为人实施了侵害物权、人格权或者身份权的行为,都可以请求行为人承担停止侵害、排除妨碍(害)、返还原物、消除危险、消除影响、恢复名誉、赔礼道歉责任。否则,要求行为人承担停止侵害等责任方式,还存在没有过失被侵害人就不能请求其停止侵害等的可能吗?显然不是这样。因此,权利人行使侵害个人信息权益的人格权请求权,不需具备过错的要件。这也是《个人信息保护法》将归责原则规定在第69条即侵害个人信息权益造成损害的损害赔偿等侵权责任中的道理所在。
第二,责任承担。这里规定的“损害赔偿等侵权责任”应当怎样理解,也值得研究。《民法典》确认侵权责任的基本方式是损害赔偿,也包含恢复原状和部分返还原物的责任方式。不过,在侵害个人信息权益的侵权行为中,基本上无法适用恢复原状和返还原物,适用的只是损害赔偿的责任方式,因此,侵害个人信息权益的侵权行为造成个人信息权益的损害,无论是财产权益的损害,还是精神利益的损害,都适用损害赔偿的方法。
第三,举证责任。按照条文关于“个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任”的表述,这里规定的过错要件的举证责任由个人信息处理者也就是侵害个人信息权益的行为人承担,属于举证责任倒置。既然过错要件的举证责任适用倒置规则,其前提须是推定个人信息处理者在实施行为时有过错。只有首先推定行为人有过错,才存在行为人举证证明自己没有过错规则的存在。
综上,侵害个人信息权益承担的民事责任,侵权损害赔偿责任的确定适用过错推定原则,行为人能够证明自己没有过错的,可以减轻或者免除侵权责任。权利人行使人格权请求权,请求行为人承担停止侵害、排除妨碍、消除危险、消除影响、恢复名誉、赔礼道歉责任的,无须证明行为人具备过错要件,只要实施了侵害行为,就可以要求停止侵害,有妨碍的排除妨碍,有危险的消除危险,有影响的消除影响,名誉受到损害的恢复名誉,权利人都可以要求行为人予以赔礼道歉。
依照《个人信息保护法》的规定,构成侵害个人信息权益的民事责任,应当具备以下要件。个人信息处理者侵害个人信息权益民事责任对应的请求权不同,因而责任构成要件有所区别,下文仍然作概括说明,其中有所侧重。
(一)个人信息处理者侵害个人信息权益的违法行为
构成民事责任,第一个要件就是违法行为,包括行为和违法性两个要素。尽管有的学者认为侵权责任构成要件中不必要求有违法性的要件,但是,通说和司法实践仍然认为行为违法性等要件是必要的构成要件。
对于侵害个人信息权益的违法行为,2012年《关于加强网络信息保护的决定》(以下简称《决定》)曾经作过规定,概括起来,分为非法获取、非法出售、非法向他人提供、非法篡改、非法毁损、丢失、违法发送信息侵扰生活安宁、泄露个人信息未及时采取补救措施以及其他侵害个人信息的行为。《个人信息保护法》是通过对个人信息处理者处理个人信息权益行为的规范而保护自然人的个人信息,主要是规定个人信息处理者实施的侵害个人信息行为,因而有所不同。该法虽然没有明文列举个人信息处理者侵害个人信息的具体违法行为,但是,在规定自然人享有的个人信息权益的权利内容,以及个人信息处理者所负义务等方面,涵盖了侵害个人信息行为及违法性表现,汇总起来如下。
1.个人信息处理者侵害个人信息行为及违法性的一般要求
《个人信息保护法》第51条规定:“个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等,采取下列措施确保个人信息处理活动符合法律、行政法规的规定,并防止未经授权的访问以及个人信息泄露、篡改、丢失:(1)制定内部管理制度和操作规程;(2)对个人信息实行分类管理;(3)采取相应的加密、去标识化等安全技术措施;(4)合理确定个人信息处理的操作权限,并定期对从业人员进行安全教育和培训;(5)制定并组织实施个人信息安全事件应急预案;(6)法律、行政法规规定的其他措施。”这一规定明确了个人信息处理者在处理个人信息中应当承担的基本义务,在处理个人信息过程中应当善尽上述义务,实施违反这些义务的行为,使个人信息泄露或者被窃取、篡改、删除等,就构成具体的违法行为。
2.具有侵害个人信息违法性的具体行为
(1)未经个人同意而处理个人信息。依照《个人信息保护法》的规定,处理个人信息应当履行通知义务,取得权利人的同意,这就是权利人享有的知情同意权。具体要求是:
第一,第13条规定,处理个人信息,一是应当取得个人的同意;二是为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;三是为履行法定职责或者法定义务所必需;四是为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;五是为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息;六是依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;七是法律、行政法规规定的其他情形。依照《个人信息保护法》的上述规定,处理个人信息分为两种情形:一是应当取得个人同意,在一般情况下均须如此;二是例外,有前述第二项至第七项规定情形的,因有特别的情形而不须取得个人同意。
第二,依照第14条规定,首先,基于个人同意处理个人信息的,该同意应当由个人在充分知情的前提下自愿、明确作出。其次,如果法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的,还必须依照其规定,取得个人的单独同意或者书面同意。再次,在个人信息的处理目的、处理方式和处理的个人信息种类发生变更的,应当重新取得个人同意。
第三,依照第15条规定,基于个人同意处理个人信息的,个人有权撤回其同意。个人信息处理者应当提供便捷的撤回同意的方式。个人撤回同意,不影响撤回前基于个人同意已进行的个人信息处理活动的效力。
第四,依照第16条规定,个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由,拒绝提供产品或者服务;处理个人信息属于提供产品或者服务所必需的除外。
第五,依照第31条规定,个人信息处理者处理不满14周岁未成年人个人信息的,应当取得未成年人的父母或者其他监护人的同意。个人信息处理者处理不满十四周岁未成年人个人信息的,应当制定专门的个人信息处理规则。
对于未满14周岁的未成年人未取得父母或者其他监护人的同意;个人请求撤回其同意,个人信息处理者没有予以撤回或者未提供便捷的撤回同意方式的;以及个人信息处理者以个人不同意处理其个人信息或者撤回其对个人信息处理的同意为由,拒绝提供产品或者服务的,都构成个人信息处理的违法行为,成立违法行为这一要件。
(2)个人信息处理者未尽处理告知义务。《个人信息保护法》第17条规定,个人信息处理者在处理个人信息前,对权利人负有告知义务。要求是,应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项:一是个人信息处理者的名称或者姓名和联系方式;二是个人信息的处理目的、处理方式,处理的个人信息种类、保存期限;三是个人行使该法规定权利的方式和程序;四是法律、行政法规规定应当告知的其他事项。当这些事项发生变更的,应当将变更部分告知个人。依照第18条规定,在特定情形下告知义务可以免除,即如果有法律、行政法规规定应当保密或者不需要告知的,可以不向个人告知前条第一款的事项。如果是在紧急情况下为保护自然人的生命、健康和财产安全无法及时向个人告知的,个人信息处理者应当在紧急情况消除后及时告知。
(3)超过个人信息保存期限未予删除。个人信息处理者对处理的个人信息须有确定的保存期限。《个人信息保护法》第19条规定,一是,除法律、行政法规另有规定外,则从其规定,不受上述期限的限制;二是,个人信息的保存期限应当为实现处理目的所必要的最短时间,其中“必要”和“最短”,是确定保存期限的基本要求。确定个人信息保存期限的意义,在于最大限度地保护个人信息权益,避免被个人信息处理者滥用。个人信息保存期限届满后,只要实现了处理目的所必要的最短时间,个人信息就应当删除。
当个人信息处理者处理个人信息的保存期限届满,没有及时删除个人信息,就具有了侵害个人信息的违法性,具备侵害个人信息权益的违法行为要件。
(4)个人信息处理者违法委托他人处理个人信息。对个人信息处理者委托他人处理个人信息,《个人信息保护法》第21条规定的规则是:第一,个人信息处理者委托处理个人信息的,应当与受托方约定委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务等,并对受托方的个人信息处理活动进行监督。第二,受托人应当按照约定处理个人信息,不得超出约定的处理目的、处理方式等处理个人信息,委托合同不生效、无效、被撤销或者终止的,受托方应当将个人信息返还个人信息处理者或者予以删除,不得保留。第三,未经个人信息处理者同意,受托方不得转委托他人处理个人信息。
(5)个人信息处理者、接收方、第三方改变处理目的、方式未尽告知义务。《个人信息保护法》第22、23条规定,个人信息处理者因合并、分立、解散、被宣告破产等原因需要转移个人信息的,应当向个人告知接收方的名称或者姓名和联系方式。接收方应当继续履行个人信息处理者的义务。接收方变更原先的处理目的、处理方式的,应当依照本法规定重新取得个人同意。按照这一规定要求,一是,个人信息处理者因合并、分立、解散、被宣告破产等原因需要转移个人信息的,或者向他人提供个人信息,未尽对权利人的告知义务,未征得权利人同意的,为违反法定义务的行为,具有违法性。二是,合并或者分立后接受转移的个人信息的个人信息接收方,没有继续履行个人信息处理者的义务,或者在变更原来的处理目的、方式而未重新履行告知义务、未经权利人同意的,其行为也具有违法性。三是,个人信息处理者向他人提供匿名化信息的,接收方利用技术等手段重新识别个人身份,都是具有违法性的行为。
(6)违反个人意愿利用个人信息进行自动化决策。依照《个人信息保护法》第24条的规定,个人信息处理者利用个人信息进行自动化决策,应当保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇。通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式。通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。
在对个人信息进行自动化决策上,有三种违法行为:一是,个人信息处理者利用个人信息进行自动化决策,未能做到决策的透明度和结果公平、公正;二是,对个人在交易价格等交易条件上实行了不合理的差别待遇;三是通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定,个人信息处理者未尽义务的行为。这三种违反个人意愿利用个人信息进行自动化决策的行为,都构成侵害个人信息权益的违法行为。
(7)擅自公开他人个人信息。《个人信息保护法》规定了两种擅自公开他人个人信息的违法行为。
一是,依照该法第25条规定,个人信息处理者不得公开其处理的个人信息,取得个人单独同意的除外。在没有取得个人单独同意或者法律、行政法规另有规定的情况下,个人信息处理者擅自公开他人个人信息,具有违法性。
二是,超出使用用途使用个人已经公开的个人信息。《民法典》第1036条规定,合理处理该自然人自行公开或者其他已经合法公开的信息,是不承担民事责任的行为。《个人信息保护法》第27条规定,个人信息处理者可以在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;个人明确拒绝的除外。个人信息处理者处理已公开的个人信息,对个人权益有重大影响的,应当依照本法规定取得个人同意。按照这一规定,第一,个人明确拒绝个人信息处理者处理个人自行公开或者其他已经合法公开的个人信息;个人信息处理者仍处理个人自行公开或者其他已经合法公开的信息,具有违法性。第二,个人信息处理者处理已公开的个人信息,对个人权益有重大影响的,但未取得个人同意,其行为也具有违法性。
(8)非法安装图像采集、个人身份识别设备。《个人信息保护法》第26条规定,在公共场所安装图像采集、个人身份识别设备,即“刷脸”,应当符合为维护公共安全所必需的目的,遵守国家有关规定,并设置显著的提示标识。所收集的个人图像、身份识别信息只能用于维护公共安全的目的,不得用于其他目的;取得个人单独同意的除外。
违反这一规定非法安装图像采集、个人身份识别设备的,具有违法性,包括:一是在公共场所安装图像采集、个人身份识别设备不具有维护公共安全所必需的目的,没有遵守国家有关规定,没有设置显著的提示标识的违法行为。二是未经个人单独同意或者法律、行政法规没有特别规定,将收集的个人图像、个人身份特征信息进行公开的违法行为。三是未经个人单独同意或者法律、行政法规没有特别规定,将收集的个人图像、个人身份特征信息向他人提供的违法行为。
(9)不当处理个人敏感信息。敏感个人信息是个人信息中最重要的部分,是一旦泄露或者非法使用,可能导致个人受到歧视或者人身、财产安全受到严重危害的个人身份信息,包括种族、民族、宗教信仰、个人生物特征、医疗健康、金融账户、个人行踪等信息。对于个人敏感信息应当进行特别保护,以保护个人的人格尊严和信息安全。《个人信息保护法》第28条规定,个人信息处理者具有特定的目的和充分的必要性,方可处理敏感个人信息。第29条规定,基于个人同意处理敏感个人信息的,个人信息处理者应当取得个人的单独同意。法律、行政法规规定处理敏感个人信息应当取得书面同意的,从其规定。第30条规定个人信息处理者处理敏感个人信息的,除本法第17条第1款规定的事项外,还应当向个人告知处理敏感个人信息的必要性以及对个人权益的影响;依照本法规定可以不向个人告知的除外。第32条规定,法律、行政法规规定处理敏感个人信息应当取得相关行政许可或者作出更严格限制的,从其规定。
下述这些处理个人敏感信息的行为都具有违法性:一是没有特定目的和充分必要性而使用个人敏感信息的行为;二是处理个人敏感信息没有取得个人单独同意的行为;三是处理个人敏感信息按照法律规定应当取得而没有取得书面同意的行为;四是处理个人敏感信息没有向个人告知处理敏感个人信息的必要性以及对个人影响的行为;五是法律、行政法规规定处理敏感个人信息应当取得相关行政许可或者作出更严格限制,却没有取得行政许可或者违反更严格限制的行为。
以上论述的侵害个人信息权益的违法行为,既有一般的要求,又有九种具体的违法行为。其中包含的要素,一是处理个人信息的行为,二是具有违法性。前者是指个人信息处理者确实实施了处理个人信息的客观行为。后者是个人信息处理者处理个人信息的行为违反法律的规定,主要表现为个人信息处理者处理个人信息行为时违反了其法定义务。法律规定应当履行的义务而未履行,就具有违法性,其中应当履行的义务是不作为义务的,违反者而予以作为,就是作为的违法行为;应当履行的义务是作为义务的,违反者而不履行,就是不作为的违法行为。凡是符合这两种要求的处理个人信息、具有违法性的行为,就成立侵害个人信息权益责任的第一个要件。
(二)权利人个人信息权益受到损害的客观事实
侵害个人信息权益责任的损害事实,是侵害个人信息权益民事责任的客观后果要件。
依照《个人信息保护法》第44条至第49条的规定,个人信息权的具体内容是:(1)知情权和决定权。第44条规定,个人对其个人信息的处理享有知情权、决定权,有权限制或者拒绝他人对其个人信息进行处理。(2)查阅权和复制权。第45条规定,个人有权向个人信息处理者查阅、复制其个人信息;个人请求查阅、复制其个人信息的,个人信息处理者应当及时提供。个人请求将个人信息转移至其指定的个人信息处理者,符合国家网信部门规定条件的,个人信息处理者应当提供转移的途径。(3)更正、补充权。第46条规定,权利人发现其个人信息不准确或者不完整的,有权请求个人信息处理者更正、补充,个人信息处理者应当对其个人信息予以核实,并及时更正、补充。(4)删除权。第47条规定:有下列情形之一的,个人信息处理者应当主动删除个人信息;个人信息处理者未删除的,个人有权请求删除:一是处理目的已实现、无法实现或者为实现处理目的不再必要;二是个人信息处理者停止提供产品或者服务,或者保存期限已届满;三是个人撤回同意;四是个人信息处理者违反法律、行政法规或者违反约定处理个人信息;五是法律、行政法规规定的其他情形。法律、行政法规规定的保存期限未届满,或者删除个人信息从技术上难以实现的,个人信息处理者应当停止除存储和采取必要的安全保护措施之外的处理。这种删除权包含被遗忘权的删除权,可见,《个人信息保护法》确认被遗忘权是个人信息权益的具体内容。这也是笔者原来设想的保护被遗忘权的最好办法,就是将其概括在个人信息权的内容之中。(5)解释说明请求权。第48条规定,个人有权要求个人信息处理者对其个人信息处理规则进行解释说明。(6)承继权。自然人死亡的,《个人信息保护法》规定的个人在个人信息处理活动中的权利,由其近亲属行使。(7)行使权利的请求权。第50条规定,个人行使上述权利,可以提出请求。对于个人行使权利的请求,个人信息处理者应当建立便捷的个人行使权利的申请受理和处理机制。拒绝个人行使权利的请求的,应当说明理由。个人信息处理者拒绝个人行使权利的请求的,个人可以依法向人民法院提起诉讼。
侵害个人信息权益的行为造成的后果,就是使《个人信息保护法》规定的权利人享有的上述权利不能实现,进而造成损害后果。
个人信息权益的损害事实表现为以下两种形态。
1.个人信息权益受到损害的权利损害形态
个人信息权是人格权,其权利内容包括的上述知情权、决定权、查阅权、复制权、更正补充权、删除权、承继权以及行使权利请求权受到违法行为的侵害,因而造成权利的损害事实。这些损害事实的具体表现,与其他人格权受到侵害的损害事实表现是一样的,是人格利益中的精神利益损害。
2.个人信息权益受到损害的财产损失形态
个人信息权是人格权,属于《民法典》第993条规定的公开权的调整范围,即概括在该条规定的“民事主体可以将自己的姓名、名称、肖像等许可他人使用”的“等”字之内,因此可以许可他人使用。当个人信息权人没有许可,他人擅自使用的,就会造成权利人人格利益中的财产利益损失,侵权人因侵权而获得财产利益。侵害个人信息权造成这种财产利益损害的,也是侵害个人信息权的损害事实。
侵害个人信息权益,无论是造成人格利益中的精神利益损害还是财产利益损害,都成立损害事实的要件,只不过是发生精神损害赔偿还是发生财产利益损害赔偿的问题。如果发生了侵害个人信息权益的违法行为,并未造成损害事实,则发生人格权请求权的行使条件,不发生侵权损害赔偿的要件。
(三)侵害个人信息权益的因果关系
个人信息权益受到侵害,构成民事责任,特别是请求承担损害赔偿责任的,应当证明具备因果关系的要件,即侵害个人信息权益违法行为与个人信息权损害后果之间具有引起与被引起的因果关系。具备因果关系要件的构成民事责任,应当承担损害赔偿责任以及停止侵害、排除妨碍、消除危险、消除影响、恢复名誉、赔礼道歉等责任。
对于构成损害赔偿责任的,应当适用相当因果关系规则确定违法行为与损害事实之间是否存在因果关系,即实施了该种侵害个人信息权的侵权行为能够引起这种损害后果;在事实上,本案行为人实施了这种违法行为,确实产生了这种损害后果;因此,行为人实施的该种违法行为与该种损害后果之间具有因果关系。
对于适用停止侵害等责任方式的人格权请求权的民事责任,不必存在侵害个人信息权造成实际损害的客观事实,只要侵害个人信息权益的事实存在,行为具有违法性,就可以认为具有因果关系,不必有严格的因果关系证明。
(四)侵害个人信息权益的过错
主张承担侵权损害赔偿责任的个人信息权的权利人行使侵权请求权的,个人信息处理者应当具备过错要件。不过,由于个人信息权的侵权责任适用过错推定原则,因而不必由权利人承担证明责任,而是根据对违法行为、损害事实和因果关系的证明,进而推定信息处理者有过失。如果信息处理者主张自己没有过失而主张不承担侵权损害赔偿责任的,应当举证责任倒置,举证证明自己没有过失。能够证明的,免除侵权责任。
权利人行使人格权请求权保护个人信息权的,不必证明行为人的过错要件,因为人格权请求权的行使不需要行为人有过错,只要是权利受到侵害,个人信息处理者的行为具有违法性,就可以直接行使人格权请求权。
四
个人信息处理者侵害个人信息权益民事责任的承担规则
(一)侵害个人信息权益民事责任的责任形态
1.单独责任
关于承担侵害个人信息权益民事责任的责任形态,首先是单独责任。这就是,信息处理者为单一的单位或者个人,只有一个行为主体,当构成侵害个人信息权益的民事责任时,就由单独的个人信息处理者独自承担责任。民事责任的单独责任,由于责任人只有一个,因而承担责任的规则比较简单,按照承担民事责任的一般规则承担即可。
除此之外,《个人信息保护法》规定了几种特别的民事责任形态,需要特别加以说明。
2.连带责任
《个人信息保护法》第20条规定了两个以上的个人信息处理者共同决定处理个人信息侵害个人信息权益的连带责任。
两个以上的个人信息处理者共同决定个人信息的处理目的和处理方式的,应当约定各自的权利和义务。这样的约定不影响个人向其中任何一个个人信息处理者要求行使本法规定的权利。凡是个人信息处理者共同处理个人信息,无论采取何种约定方式,也不论是一方违反个人信息保护法的规定行使权利,还是双方共同为之,只要是侵害了个人信息权益的,就构成个人信息权益的共同侵权行为,应当承担连带责任。
侵害个人信息权益共同侵权行为的特点:首先是两个以上的个人信息处理者具有处理个人信息的意志一致性,都要共同决定处理个人信息。其次是违反法定义务的行为具有多样性,可能是一方个人信息处理者违反义务,也可能是所有的个人信息处理者都违反义务。再次是造成个人信息权益损害的共同性,即造成的损害是一个共同的损害结果,即一个或者数个个人信息权人的权益受到损害。最后是承担责任的连带性,构成共同侵权行为应当承担连带责任的,应当依照《民法典》第178条规定的规则承担连带责任。
与此相区别的是侵害个人信息权益的分别侵权行为。两个以上的个人信息处理者不是共同决定处理个人信息,而是分别处理个人信息,侵害了同一个主体的个人信息,造成同一个人的个人信息的损害,由于不具有“共同决定”的意志统一性,是分别侵害而不是共同侵害,因此是分别侵权行为,不能依照《民法典》第1168条规定承担连带责任,而应当依据1171、1172条规定,承担连带责任或者按份责任。
3.违反义务委托或者转委托的擅自委托责任
《个人信息保护法》规定了委托他人处理个人信息应负的义务,没有规定违反义务委托或者转委托的擅自委托责任。事实上,如果违反委托或者转委托他人处理个人信息的行为人违反了委托或者转委托处理个人信息的义务,就侵害了个人信息权益人的权益,应当承担民事责任。
(1)委托方的责任。个人信息处理者委托处理个人信息应当承担的义务是,个人信息处理者应当与受托方约定委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务等,并对受托方的个人信息处理活动进行监督。例如委托他人对监控违章行为进行处理,就是委托他人处理个人信息。委托方违反个人信息保护义务,就应当承担侵害个人信息权益的民事责任。
(2)受托方的责任。个人信息处理的受托方,应当按照与个人信息委托方的约定处理个人信息,不得超出约定的处理目的、期限、处理方式等处理个人信息;委托合同不生效、无效、被撤销或者终止的,受托方应当将个人信息返还个人信息处理者或者予以删除,不得保留。当受托方的行为超出了约定的处理目的、期限、处理方式等处理个人信息,或者委托合同不生效、无效、被撤销或者被终止的,受托方应当将个人信息返还个人信息处理者,或者予以删除,不得保留。违反者,受托方构成侵害个人信息权益的民事责任。
(3)擅自转委托的责任。未经个人信息处理者即委托人同意,受托方不得转委托他人处理个人信息。这是受托方禁止转委托的义务,但是,通过个人信息处理的委托人同意的,则符合法律规定的要求。擅自转委托的,是受托人的责任,应当承担侵害个人信息权益的民事责任。
(4)擅自委托的民事责任。《个人信息保护法》没有规定委托处理个人信息中的擅自委托(包括委托和转委托)的共同责任,对此,应当依照《民法典》的规定确定责任。
首先,依照《民法典》第167条规定,受托人知道或者应当知道受托事项违法仍然实施委托行为,或者委托人知道或者应当知道受托人实施的受托行为违法未作反对表示的,委托人和受托人应当承担连带责任,应当依照第178条规定的规则承担责任。
其次,依照《民法典》第169条关于转委托的规定,转委托未经个人信息处理者同意或者追认的,受托人对转委托的第三人侵害个人信息权益的行为承担责任。这种责任是替代责任,参考第1191条规定的用人单位责任承担替代责任的规则,受托人对转委托人的行为造成的损害承担责任,承担责任后,如果第三人有过失应当追偿的,受托人可以向转委托的第三人进行追偿。
4.个人信息处理者合并、分立等的责任
我国民法历来重视对法人合并、分立及其民事责任的规范。《民法典》除了第67条专门规定法人合并、分立的规则之外,还在法人的责任、合同责任以及侵权责任中分别作出具体规定。《个人信息保护法》第22条也规定了个人信息处理者因合并、分立、解散、被宣告破产等原因需要转移个人信息时,应当承担的义务。在个人信息处理者合并或者分立的情形下,如果信息处理者未对个人信息权人履行告知义务,或者接收方没有履行重新获得个人同意的,就侵害了个人信息权人的权益,依照《民法典》第67条规定,个人信息处理者合并的,其权利和义务由合并后的个人信息处理者享有和承担;个人信息处理者分立的,其权利和义务由分立后的个人信息处理者承担连带责任,另有约定的除外。
5.违法提供个人信息的责任
《个人信息保护法》第23条规定,个人信息处理者向其他个人信息处理者提供其处理的个人信息的,应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并须取得个人的单独同意。提供方未履行告知义务,未征得权利人单独同意的,构成侵害个人信息权益的责任。接收方负有按照约定处理个人信息的义务,在上述处理目的、处理方式和个人信息的种类等范围内处理个人信息。接收方变更原先的处理目的、处理方式的,应当依照规定重新取得个人同意。超出约定的处理目的、处理方式,以及个人信息的种类多范围,或者未依法重新获得个人同意的,构成侵害个人信息权益的责任。同样,如果提供方和接收方有共同故意的,应当承担连带责任。
上述承担连带责任的,应当依照《民法典》第178条规定承担责任。其规则是:中间责任,任何一个连带责任人都应当对权利人承担全部责任,请求一个、数个或者全部连带责任人承担连带责任;最终责任,每一个连带责任人最终承担的,是自己应当承担的责任份额;承担了超出自己责任份额赔偿责任的连带责任人,可以通过追偿的方法实现最终责任,将连带责任分配给每一个连带责任人。
(二)侵害个人信息权益民事责任的赔偿方法
1.侵害个人信息财产权益的损害赔偿
《个人信息保护法》第69条第2款规定的是侵害个人信息权益中的财产利益造成损害的赔偿责任,即:“前款规定的损害赔偿责任按照个人因此受到的损失或者个人信息处理者因此获得的利益确定;个人因此受到的损失和个人信息处理者因此获得的利益难以确定的,根据实际情况确定赔偿数额。”这一规定借鉴的是《民法典》第1182条规定的规则,在具体适用上,应当依照《民法典》第1182条规定的具体规则处理。个人信息权益是人格权,是可以行使《民法典》第993条规定的公开权的权利,通过许可使用合同确定将个人信息许可他人使用,获得财产收益。当这一权益受到个人信息处理者违法行为的侵害时,应当依照这一条款的规定确定财产权益的损害赔偿。具体规则是:(1)被侵权人受到实际财产损失的按照被侵权人实际受到的损失,或者侵权人因此获得利益的按照其所得的利益,承担赔偿责任,选择权在被侵权人。(2)被侵权人受到的损失以及侵权人因此获得的利益难以确定,被侵权人和侵权人就赔偿数额进行协商,按照协商一致的方法确定赔偿责任。(3)被侵权人和侵权人就赔偿数额协商不一致,向法院提起诉讼的,由法院根据实际情况确定赔偿数额。
2.侵害个人信息精神利益的损害赔偿
《个人信息保护法》没有规定侵害个人信息权益的精神利益的精神损害赔偿。对此,不能认为《个人信息保护法》没有规定,就不能适用精神损害赔偿救济个人信息权益损害,应当依照《民法典》第1183条第1款规定确定精神损害赔偿责任。这是因为,个人信息权益是人格权,人格权受到侵害,即使没有造成财产利益的损害,仅就个人信息权益造成精神利益的严重损害,权利人也可以请求行为人承担精神损害赔偿责任。对此,应当依照《民法典》第1183条关于承担精神损害赔偿的规定,确定行为人的精神损害赔偿责任。
3.人格权请求权中的其他民事责任
不论是侵害个人信息权益的财产权益损害赔偿,还是侵害个人信息权益精神利益的精神损害赔偿,都是侵害个人信息权益的侵权责任范畴。对于侵害个人信息权益没有造成损害,权利人行使人格权请求权,请求行为人承担停止侵害、排除妨碍、消除危险、消除影响、恢复名誉、赔礼道歉责任的,应当依照《民法典》第995条规定,确定民事责任。对此,也不能认为《个人信息保护法》对此没有规定而不得行使人格权请求权。理由是,个人信息权益是人格权,其权利行使和保护,不仅要适用《个人信息保护法》的规定,也要受到《民法典》的约束,适用《民法典》关于人格权请求权的规定。
(三)保护个人信息权益的公益诉讼
依照《个人信息保护法》第70条规定,个人信息处理者违反该法规定处理个人信息,侵害众多个人的权益的,人民检察院、法律规定的消费者组织和由国家网信部门确定的组织可以依法向人民法院提起诉讼。人民检察院作为法律监督机关,享有公益诉讼的起诉权,为保护公益而提起诉讼。国家网信管理部门是履行个人信息保护职责的部门,可以确定相应的组织作为侵害个人信息权益的公益诉讼人,提起公益诉讼。
提起公益诉讼的条件,是个人信息处理者违反法律规定处理个人信息,侵害了众多个人的权益。首先,须构成侵害个人信息的民事责任;其次,须侵害众多权利人的权益,众多是多少,起码应当是十人以上,十人及其以下的权利人受到侵害,不采用公益诉讼方式保护,须个人以私益诉讼方式由个人提起诉讼保护自己。
提起公益诉讼保护众多个人的个人信息权益受到的损害,原则上应当局限在非损害赔偿责任方式。如果代表众多个人的权益提起诉讼主张损害赔偿的,首先,损害赔偿金应当分发给每一个受害人,即使损害的人数不能确定,也须如此;其次,公益诉讼的主体不得在公益诉讼中获得损害赔偿,并将损害赔偿金作为自己的收益。如果将损害赔偿金作为公益诉讼组织的收益,不仅损害了权利人的权益,而且也使自己丧失了公益诉讼主体的地位,变成私益性质,是错误的行为。
结语
《个人信息保护法》刚刚公布,对其的理解还是初步的,对其规定的侵害个人信息权益民事责任的解读也是初步的。作为个人信息保护的基本法律,《个人信息保护法》对个人信息处理者侵害个人信息权益民事责任的规定具有深刻的法理基础,符合《民法典》规定的基本规则,对于保护个人信息权益具有重要的价值。在法律适用中,应当正确理解这些规定,充分发挥其法律调整功能,通过民事责任的方式,更好地保护自然人的个人信息权益。
《国家检察官学院学报》2021年第5期目录
【主题研讨——个人信息的民法保护体系】
1.论我国个人信息保护法的基本原则
程啸
2.个人信息泄露侵权责任构成中的“损害”
——兼论风险社会中损害的观念化
谢鸿飞
3.个人信息处理者侵害个人信息权益的民事责任
杨立新
4.个人信息保护公益诉讼制度的理解与适用
张新宝、赖成宇
5.澳门地区民法上个人信息保护权的体系定位
唐晓晴、吴奇琦
【检察专论】
6.检察机关办案模式变革及理论基础
高景峰
7.行政检察调查核实权的规范化运行
韩成军
【法学专论】
8.中国刑法走向何处去:对积极刑法立法观的反思
姜涛
9.间接证据案件证明标准辨析
何家弘、马丽莎
10.劳动规章效力认定:合意控制到内容控制的流变
钱大军、池洋
责任编辑 | 李妍靓
审核人员 | 董倩 张文硕
本文声明 | 本文章仅限学习交流使用,如遇侵权,我们会及时删除。本文章不代表北大法律信息网(北大法宝)和北京北大英华科技有限公司的法律意见或对相关法规/案件/事件等的解读。
关注下方公众号,获取更多法律信息