论个人信息侵权责任中的因果关系
原文载于《郑州大学学报》(哲学社会科学版)2023年第1期,如需转载,请联系授权。
作者简介:
程啸(1976-),男,江西九江人,清华大学法学院教授,博士生导师,法学博士,研究方向为民法、个人信息保护法;
李西泠(1994-),女,湖南邵阳人,清华大学法学院博士研究生,研究方向为民法、个人信息保护法。
本文系国家社科基金重大项目“大数据时代个人数据保护与数据权利体系研究”(项目编号:18ZDA146);清华大学自主科研计划项目“个人信息权益研究”(项目编号:2021THZWYY02)。
摘 要:个人信息侵权责任中的因果关系可区分为侵权责任成立的因果关系和侵权责任范围的因果关系两个层次。前一个层次为个人信息处理者的处理行为与个人信息权益被侵害之间的因果关系,并通过条件说加以判断。如果多个处理者从事共同处理活动或共享个人信息,在无法确定何人的处理活动侵害个人信息权益时,可将该数个处理者作为整体看待。只要能够证明该整体的活动对于侵害个人信息权益存在高度可能性,责任成立的因果关系即可确定。后一个层次为个人信息权益被侵害与损害之间的因果关系,并通过相当因果关系说加以判断。就第三人利用个人信息给信息主体造成的人身或财产损害的情形,处理者是否需要承担赔偿责任应区分所处理的是敏感的还是非敏感的个人信息而加以判断。
关键词:个人信息;个人信息保护法;侵权责任;因果关系;敏感的个人信
个人信息侵权责任,就是指个人信息处理者侵害个人信息权益造成损害时应承担的侵权赔偿责任。考虑到个人在个人信息处理活动中处于弱势地位,要求其证明处理者具有过错非常困难,故我国《个人信息保护法》第69条第1款规定:“处理个人信息侵害个人信息权益造成损害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。”但自然人因个人或者家庭事务处理个人信息造成信息主体损害并不适用《个人信息保护法》而是适用《民法典》第1165条第1款所规定的过错责任原则。然而,无论个人信息侵权责任适用过错推定责任还是过错责任,因果关系都是必备要件。在侵权法中,因果关系理论作为一种责任理论,所解决的问题是可归因的损害赔偿。一个人对某一损害的责任只能建立在这个人与该损害之间存在联系的基础上[1](P13),不存在因果关系的情况下就不存在侵权责任。基于自己责任而生的肇因原则要求受害人只能对给其造成损害的主体提出侵权赔偿。故受害人应证明何人的行为给其造成了损害。具体到个人信息侵权责任中,被侵权人首先需要证明的是个人信息权益被侵害与加害行为之间存在因果关系,即个人信息处理者实施的处理活动侵害了其个人信息权益。此为因果关系中的第一个层次,即个人信息侵权责任成立的因果关系。在个人信息侵权责任成立后,被侵权人还需要证明个人信息处理活动造成损害的内容及处理者的有责性。此为因果关系中的第二个层次,即个人信息侵权责任范围的因果关系。
无论是第一个层次的因果关系还是第二个层次的因果关系,都有不少理论上和实践中的问题,如在个人信息泄露或非法买卖时往往涉及到多个处理者,被侵权人很难证明究竟是哪一个或哪一些处理者实施了加害行为。如果个人信息处理者未采取必要措施保障个人信息安全致个人信息被第三人非法窃取并造成信息主体损害,个人信息处理者是否以及如何承担赔偿责任等。针对这些问题,本文以侵权法的双层因果关系理论为基点对个人信息侵权中的因果关系问题加以研究,以供理论界与实务界参考。
总的来说,在侵权法中,因果关系具有两大功能:一是过滤无关原因,令行为人为且仅为自己的行为负责,从而贯彻自己责任原则;二是合理截取因果关系链条,控制责任范围,维护行为自由[2](P234-235)。要实现这两大功能,就不得不从两个层次来对因果关系进行区分。前一个层次是对责任成立与否的考察,即加害行为与权益损害是否存在客观上的联系。只有存在此种联系时,侵权责任才能成立,才需要进一步考察后一个层次的因果关系即确定侵权人对哪些损害承担赔偿责任。
(一)比较法上双层因果关系的区分
从比较法来看,各国侵权法理论界都区分两个层次的因果关系。在普通法系国家,当原告要求被告承担侵权赔偿责任时,有两点必须被证明:首先,被告的行为事实上造成了原告的损害。该阶段要建立的是被告的侵权行为与原告的损害之间的事实联系,即“事实因果关系”。其次,原告遭受的损害是否与被告的行为过于遥远,以致被告无须负责[3](P39),即所谓“法律因果关系”。判断事实因果关系的标准是条件说[4](P241),判断法律因果关系的标准是合理预见说[5](P252)。在德国,因果关系被分为责任成立因果关系与责任范围因果关系。责任成立因果关系是第一层次的因果关系,是指加害行为与权益受侵害之间的关联[6],属于事实构成要件,解决的是侵权责任成立与否的问题。而责任范围因果关系是第二层次的因果关系,探究的是权益受到侵害与损害之间的因果关联,是在侵权责任成立后对损害赔偿范围的确定。因此,责任范围的因果关系并未被纳入侵权行为构成要件的结构当中(即事实构成、违法性与过错这三个阶层的要件)。
(二)我国《个人信息保护法》上的双层因果关系
我国也承认两个层次的因果关系,如原《侵权责任法》第6条就是对加害行为与损害后果的因果关系的规定,第16-20条、第22条则是对侵权责任范围因果关系的规定。又如《最高人民法院关于审理证券市场虚假陈述侵权民事赔偿案件的若干规定》第11-12条提及的“交易因果关系”就是侵权责任成立要件的因果关系。也就是说,交易因果关系即指原告买入或卖出证券的行为必须与信息披露义务人的虚假陈述行为在客观上存在关联性。如果交易因果关系不存在,则不可能产生虚假陈述的侵权赔偿责任。第24条至第31条则对虚假陈述侵权造成的损失范围以及计算标准等作出具体规定,这就解决了证券虚假陈述侵权赔偿范围因果关系的问题。
然而,真正在法律上明确区分两个层次因果关系的是《民法典》第1165条第1款。该款规定:“行为人因过错侵害他人民事权益造成损害的,应当承担侵权责任。”显然,因过错侵害他人民事权益是指第一层次上的责任成立的因果关系,即要求行为人的加害行为与他人民事权益被侵害之间存在因果关系。而“造成损害的”就是指民事权益被侵害与损害之间的因果关系,属于第二层次的侵权责任范围的因果关系。申言之,行为人侵害他人的民事权益这一层次的因果关系是必须具备的,否则不可能产生侵权责任。但是,侵害他人的民事权益,可能造成损害,也可能没有造成损害;可能造成大的损害,也可能造成小的损害。例如,在邻居家门口堆放杂物,堵塞了出路。该行为虽然对房屋所有人的所有权造成了侵害,但仅构成了妨碍而未造成损害。再如,未经同意拍摄了肖像权人的照片,虽然侵害了权利人的肖像权,却并未给其造成损害。因此,只有在侵害他人民事权益造成损害时才能成立侵权损害赔偿责任,同时还需要恰当的截取因果关系链条来控制赔偿范围。
正是在《民法典》明确区分双层因果关系的基础上,《个人信息保护法》第69条第1款才明确区分了个人信息侵权责任中的双层因果关系,即“处理个人信息侵害个人信息权益”要求个人信息的处理活动与个人信息权益被侵害存在因果关系,是责任成立的因果关系,而个人信息权益被侵害导致了损害,则属于责任范围的因果关系。根据该款,个人在向个人信息处理者提起个人信息侵权赔偿责任之诉时,首先应当证明个人信息处理者所实施的处理行为与个人信息权益损害之间存在因果关系,即具有责任成立要件的因果关系。其次应当证明个人信息处理者对个人信息权益损害的有责性,即责任范围的因果关系。
个人信息处理活动包括收集、存储、使用、加工、传输、提供、公开、删除等各类围绕个人信息展开的行为, 而受侵权法评价的行为应当是侵害他人民事权益的行为即“加害行为”。故个人信息处理行为如果并未侵害他人的任何民事权益,自然不应被评价为加害行为,更不应产生侵权责任。
(一)个人信息处理活动与个人信息权益被侵害的 因果关系判断
个人信息权益就是以自然人就其个人信息处理享有的以知情权和决定权为核心,包含个人信息查阅权、 复制权、可携带权、更正权、补充权、删除权等内容的民事权益,它属于一种新型的人格权益[7](P4 - 13)。除非法律、行政法规另有规定,自然人对个人信息处理行为享有知情权和决定权并有权限制或者拒绝他人对其个人信息进行处理。故此,只要处理者没有告知并取得个人的同意,又缺乏法律、行政法规规定的明确授权,处理个人信息的行为就是对个人信息权益的侵害。实践中,常见的此类加害行为包括非法窃取或买卖个人信息、非法使用个人信息、非法收集个人信息以及泄露、公开个人信息等。对于个人信息的处理行为是否侵害了个人信息权益的认定,就是对个人信息处理活动与个人信息权益被侵害之间的因果关系的判断,个人负有证明责任。首先,个人应证明其信息被他人处理。其次,该处理行为没有遵循告知同意规则。信息处理者可以以已经履行了告知义务并取得了个人的同意或存在法律、行政法规规定的明确授权进行抗辩。
无论是在英美法系还是大陆法系国家,判断事实因果关系或责任成立因果关系时采取的理论都是条件说[4](P241)。条件说认为,在现实生活中,造成民事权益损害的事实可能有很多,但只有那些“不可想象其不存在的条件,才属于结果的原因”[6]。依据条件说,虽然被告的行为引发了损害,但即便将被告的行为抽走,依然无法避免损害的发生,则不应将损害归责于被告。所以,条件说旨在将无可避免的损害排除在外,使被告无需对之负责。由此可见,条件说对因果关系的检测实际上就是对两个因果关系组进行比较,“从第一组中抽出责任成立的事件,在另一组中则保留这一事件。结合两个因果组,在抽去了责任成立事件的链条中,如果不会导致不利的后果,那么该事件即为条件。并进一步追问,是否该行为或侵害被忽略时,结果就不会发生。如果损害同样发生,那么该事件就不是损害的原因”[8](P22-23)。
在个人信息侵权责任中,处理者侵害个人信息权益的行为既包括作为(如处理者超出了个人同意的处理目的或处理方法而实施的处理行为),也包括不作为(如没有按照法律的规定采取措施保护个人信息的安全以致个人信息泄露)。就作为下的因果关系而言,条件说认为,如果没有个人信息处理者的这一行为,个人信息权益是否仍会被侵害?倘若回答是否定的,则处理者的作为就与个人信息权益遭受侵害存在条件关系,属于个人信息权益被侵害的必要条件;反之,处理者的行为就不是必要条件。例如,张某出售房屋的个人信息被A房产中介公司的员工李某出售给诈骗分子,结果导致张某遭受电信网络诈骗,损失1000万元。如果A房产中介公司的员工李某没有非法出售张某的个人信息,则张某不会遭受电信网络诈骗,李某的行为就是张某的个人信息权益被侵害的必要条件。就不作为下的因果关系而言,条件说认为,如果处理者积极履行了作为义务,个人信息权益是否仍然会被侵害?如果回答是肯定的,则不作为并非侵害的必要条件;反之,则属于必要条件。例如,个人信息处理者倘若制定了内部管理制度和操作规程并加以落实,那么它的工作人员就不可能未经授权而访问个人信息,进而导致个人信息被非法窃取。反之,由于对网络实施攻击的黑客技术手段非常高超,超越了处理者能够尽到的安全防护能力,即便个人信息处理者采取了必要措施,仍然无法防止个人信息泄露,那么处理者的不作为与个人信息权益被侵害之间就不存在因果关系。
由于个人信息的处理活动具有很强的技术性,处理者是否实施了侵害个人信息权益的行为,实施了哪些侵害行为,个人往往难以知悉,更无法加以证明。故《个人信息保护法》《网络安全法》等赋予国家网信部门和国务院以及县级以上地方人民政府的有关部门依法在各自职责范围内履行个人信息保护职责,包括接受、处理与个人信息保护有关的投诉、举报,对应用程序履行个人信息保护情况进行测评并公开测评结果,调查、处理违法个人信息处理活动等。同时,《个人信息保护法》第63条还规定了履行个人信息保护职责的部门在履行个人信息保护职责时可以采取的措施。因此,履行个人信息保护职责的部门对于个人信息处理者侵害个人信息权益的处理活动开展的调查、取得的证据以及处理的结果等,也可以用于个人针对个人信息处理者提起的个人信息侵权责任诉讼之中。
(二)多个处理者的加害行为的认定
个人信息具有很强的流动性,往往被多个处理者处理。信息主体对于“哪些个人信息将被收集,收集之后如何处理,以及这些数据将在哪些机构与平台间共享等情形往往难以知悉,更无法参与到信息的收集与处理当中”[9](P30)。故此,一旦发生个人信息泄露等侵害个人信息权益的行为时,受害人往往很难证明究竟是哪一个或哪一些处理者实施了侵害个人信息权益的加害行为。例如,因个人信息泄露而遭受电信诈骗的场合,原告往往难以查明实施电信网络诈骗的直接加害人,而只能以个人信息处理中涉及到的某个或某几个信息处理者为被告提起诉讼,但这些被告则以个人信息并非自己泄露为由进行抗辩。此时,有些法院采取了一些减轻原告举证负担的做法。例如,在“庞理鹏与北京趣拿信息技术有限公司等隐私权纠纷案”中, 二审法院就提出了证明加害人的高度可能性的判断标准,即首先排除原告和帮原告代购机票的同事泄露原告个人信息的可能,然后着手认定两个被告即趣拿公司和东航公司是否存在泄露原告个人信息的可能。由于原告提供的证据已经证明原告是通过趣拿公司的网站订购的东航公司的机票,且两个被告都有原告的手机号码,故而只有两个被告有能力将原告的姓名、手机号和行程信息相匹配。此外,在本案发生的前后时间段内,存在多家媒体质疑两个被告存在泄露乘客信息的问题。所以,法院认为原告的证据已经足以表明两个被告都存在泄露原告个人隐私信息的高度可能,而被告又不能推翻这种高度可能,故足以认定两个被告实施了泄露个人信息的加害行为。
事实上,在多个处理者共同处理个人信息或进行个人信息共享的场景下,一旦发生个人信息泄露,个人将面临无法证明具体泄露者的风险,故法律上可以将这些处理者作为一个整体看待,只要能够证明该个人信息处理的整体具有泄露信息的高度可能,就可以确定责任成立的因果关系。而从责任承担的角度来说,应当适用《民法典》第1170条所规定的共同危险行为制度,要求数个处理者承担连带责任。前述庞理鹏案的法官已经意识到了这个问题,因为趣拿公司和东航都参与了对原告的个人信息的共享或共同处理活动,故而将两个被告作为一个整体看待。由于该整体泄露原告个人信息的可能性非常高,因此加害行为与个人信息权益被侵害的因果关系链条就完全建立起来了。正是考虑到这种情形,我国《个人信息保护法》第20条第2款才规定:“个人信息处理者共同处理个人信息,侵害个人信息权益造成损害的,应当依法承担连带责任。”其中的“依法”就是指依据《民法典》等法律关于连带责任的规定,具体而言就是《民法典》第1168条到第1171条关于多数人侵权责任中连带责任的规定。故此,在共同处理个人信息而无法确定具体侵权人时,完全就能够依据《个人信息保护法》第20条第2款的规定,以《民法典》第1170条的共同危险行为制度加以处理。
个人信息侵权责任范围的因果关系,指的是个人信息权益被侵害与损害之间的因果关系。这一层次的因果关系的主要目的是限制赔偿范围,防止出现由于因果关系的无限延伸而令行为人就过于遥远的损害承担赔偿责任的后果。我国《民法典》对生命权、身体权和健康权等被侵害而造成的人身损害包括财产与精神损害是有明确规定的,但对于侵害个人信息权益造成的损害的范围,无论是《民法典》《个人信息保护法》还是《网络安全法》都没有明确规定。《个人信息保护法》第69条第2款仅仅是就损害赔偿的计算方法作出了规定,即侵害个人信息权益的损害赔偿责任按照个人因此受到的损失或者个人信息处理者因此获得的利益确定,个人因此受到的损失和个人信息处理者因此获得的利益难以确定的,根据实际情况确定赔偿数额。
(一)侵害个人信息权益造成的损害的类型
“损害”是所有民事赔偿责任的必备要件,学说上将损害区分为客观上的损害与法律上的损害。所谓客观上的损害[10](P282),就是指物质或精神的利益的非自愿丧失[6](P326),但并非所有客观上的损害都能获得法律上的救济。任何人身或财产上的不利益,只有在法律上被认为具有补救的可能性和必要性时,才产生民事责任[11](P354)。换言之,只有那些具有可赔偿性的损害,才属于损害赔偿法上的损害或“规范上的损害”。因为,法律必须考虑(自由、安全、公平等)各种价值的关系并作出权衡后,才能决定哪些损害是可以补救。《欧洲侵权法原则》第2:101条将“可赔偿的损害”界定为“损害必须是对法律保护的利益造成的物质损失或非物质损失”。
侵害个人信息权益造成的损害既包括财产损害,也包括精神损害。财产损害是指具有财产价值,能够以金钱加以计算的损害。侵害个人信息权益造成的财产损害主要包括三类:第一类是因个人信息权益被侵害本身造成的财产损失,但目前尚无充分的实践来表明单个的自然人可以将其个人信息进行商业化利用,故此类损害较为少见。事实上,大数据时代单个自然人的数据本身的价值也不大,“普通人恐怕永远无法真正地靠出售个人数据赚钱。一条个人信息连一分钱都卖不了,除非被收集后与其他来自相近社会经济类别的个人资料汇总在一起加以利用,否则无名之辈的个人资料并不值钱”[12](P52)。真正蕴涵着巨大经济价值的是政府以及企业所收集和储存的海量个人数据(个人信息)。第二类是因个人信息权益被侵害而导致财产损失,如犯罪分子利用非法窃取的个人信息转走受害人银行账户的资金。此种财产损失常见于电信网络诈骗中,《反电信网络诈骗法》第46条第1款就对此进行了明确规定。第三类是受害人在个人信息被泄露后,为了应对损害风险的提高而额外增加的财产支出。所谓损害风险提高是指因为个人数据的泄露而使数据主体遭受身份盗窃、欺诈或其他伤害的风险增大,额外增加的财产支出是指由于个人数据的泄露导致信息主体为防止未来的欺诈行为不得不花费时间和金钱,例如注册信用监控、联系信用报告机构和在账户上放置欺诈警报等的支出损失。美国学者认为,这些损害也是因个人信息或隐私权被侵害而造成的损害,应当由侵权人承担赔偿责任[13](P1251-1252)。但美国的大多数法院认为,鉴于数据泄露所造成的伤害过于依赖信息主体的主观恐惧和焦虑,算不上具体或重大,尚不足以得到认可,故明确“仅仅是身份盗窃或身份欺诈风险的增加并不构成可认定的伤害”[14](P741)。至于预防风险的费用,美国的法院也经常拒绝承认,因为法院担心原告可能通过恶意支出来制造出原本不存在的损害,故此类额外支出损失不应获得支持[14](P753)。我国部分学者借鉴美国学者的观点,主张将个人信息权益损害风险的提高以及信息主体为此额外支出的费用纳入损害赔偿范围[15](P60-61)。笔者认为,单纯的风险本身难以确定,也无法转换为金钱,故此不应当将风险增加作为侵害个人信息权益的财产损害。但是因风险增加而使得原告不得不支出预防风险的费用,则属于具体确定的损害,完全可以作为侵害个人信息权益的财产损失。
侵害个人信息权益的精神损害是指自然人因个人信息权益被侵害而遭受的精神上的损害,这种损害无法以金钱加以计算,也无法基于真实的市场交易将其物化为具体财产损害类型。精神损害赔偿主要发挥的是抚慰受害人或其近亲属的精神痛苦的功能。在个人信息权益被侵害的情形下,如果没有造成受害人的生命权、身体权、健康权、名誉权、隐私权等具体人格权损害,则很难确认信息主体的精神痛苦。正因如此,《个人信息保护法》第69条第2款才扩张了《民法典》第1182条的适用范围,规定只要侵害个人信息权益造成损害的,无论是财产损失还是精神损害,都可以按照个人因此受到的损失或者个人信息处理者因此获得的利益确定。如果个人因此受到的损失和个人信息处理者因此获得的利益难以确定,则应根据实际情况确定赔偿数额[16](P69)。
(二)个人信息权益被侵害与损害的因果关系判断
对于权益被侵害与损害之间因果关系的判断,我国目前理论界与实务界都主张借鉴德国法上的相当因果关系说。该说认为,作为原告之损害条件的被告行为(或应由其负责之事件),如果极大地增加了此种损害发生的客观可能性,那么该行为就属于损害的充分原因。对被告的行为是否极大增加了此种客观可能性的测算,应当在被诉侵权人实施侵权行为之时已知或应知的所有情形的基础上,辅之以经验为基础的一般实践性知识加以认定。
具体到个人信息权益被侵害与损害的因果关系判断中,需要考察的是自然人的个人信息权益被侵害是否属于自然人所遭受的损害的条件以及是否满足相当性。所谓相当性,应当采取客观说,即“如果某种事件通常提高了发生后果的客观可能性,则该事件为该后果的相当条件,并应具体考虑如下内容:其一,事件发生时最优的观察者能观察到的全部情形;其二,除此之外引发条件的人所能知晓的情况。相当性测试涉及的实际上并非因果关系问题,而是要获知可以将事件结果公平地归责于行为人的界限”[17](P24)。相当性理论是民法中对客观归责进行规范性限制的理论,是基于价值考量对损害后果进行归责的限制。
在个人信息侵权责任中,应当由受害人即原告来证明个人信息权益被侵害是损害的条件,至于个人信息权益被侵害与损害是否具有相当性,性质上属于法律评价,而非事实的证明,故应当由法官加以判断。但被告可以提出相关证据来证明存在某些事实上的损害与个人信息权益被侵害不具有相当性,如第三人行为的介入而中断了因果关系,进而否定责任范围的因果关系。
实践中,因第三人可能非法利用个人信息,故一旦出现个人信息泄露,就极易造成信息主体人身、财产损害。例如,A公司没有按照法律规定采取相应的措施保护个人信息安全,犯罪分子B攻破A公司的网络防护窃取了大量的个人信息,然后自行利用这些个人信息实施电信网络诈骗,导致了C、D、E、F等自然人被骗,损失上千万。又如,M单位的工作人员张某受李某的请托,利用内网为李某查询了该公司员工赵某的信息,并将该信息泄露给李某,李某得知赵某住址后告诉了王某。某晚,王某埋伏在赵某回家的路上,将赵某杀死。在上述例子中,作为信息主体的个人的人身权或财产权遭受了侵害,但并非由个人信息处理者的处理行为直接造成,而是因第三人的介入行为导致的。根据我国《民法典》第1175条的规定,第三人(即犯罪分子B、王某)显然要就受害人的人身伤亡和财产损害承担侵权赔偿责任。存在疑问的是个人信息处理者(即A公司和M单位)是否要就受害人的损害承担赔偿责任?它们能否主张损害是第三人所致故而免责?这就涉及到第三人的行为介入到个人信息侵权行为与被侵权人的损害之间的因果关系之中时,是否会中断该因果关系的问题。
由于第三人的行为发生在被告的行为之后,不存在中断事实因果关系或责任成立因果关系的问题,故应在因果关系的第二个层次讨论。申言之,在区分事实因果关系与法律因果关系的普通法国家,第三人行为是否属于取代原因的问题应在法律因果关系中加以讨论,即已经依据条件规则确立了原告的损失与被告的行为之间的关系后,再讨论过错行为与损害之间的因果关系链是否会被第三人的行为或某些外来的因素所中断[18](P191)。因为确定某一中介原因是否是取代原因的问题在很大程度上也是可预见性的问题,而可预见性问题与法律上的因果关系的基本规则相似,通常指该原因是不是被告行为的正常后果,即该原因并非是反常的或者特殊的事件或行为[19](P127-128)。在德国等大陆法系国家,则是在责任范围的因果关系层次上讨论第三人行为能否中断因果关系的问题。如果连责任成立的因果关系都没有的话,讨论第三人的行为将毫无意义[20](P109)。例如,A驾车不慎撞击护栏,发生交通事故导致道路堵塞。B驾车前往机场,为了赶时间便从路旁C的草坪上碾压过去。这个案件中,C显然不会去起诉A,因为A根本没有从事侵害其所有权的行为,实施了加害行为的只是B。所以,也不会发生A以第三人C的行为作为抗辩事由或免责事由的问题。
在第三人的不法行为介入到个人信息权益被侵害与损害之间时,个人信息处理者是否需要对该第三人的不法行为所造成的损害承担责任以及如何承担责任,我国民法学界有不同的看法。有的人认为,因为数据泄露导致的他人实施电信诈骗以致被害人损害也应当予以赔偿[21](P146)。有的人则认为,一般而言,对于擅自传送的信息被用于下游犯罪所造成的后续损害,不应当由信息泄露者赔偿,除非信息主体能够证明信息泄露者明知或应知被泄露的信息将被用于后续损害[22](P90)。还有的人认为,个人信息处理者对于第三人利用个人信息实施的侵权乃至犯罪行为是否要承担责任以及如何承担责任,要从损害的类型进行分析。具体而言,对于财产损害特别是电信诈骗损害,处理者能够预见到第三人窃取信息或处理者违法出售个人信息给第三人而第三人明显不具有对个人信息进行商用能力。但对于第三人获得信息后侵害隐私权等人格权尤其是实施侵害生命权、健康权的犯罪行为,因为这种损害不具有社会典型性,故很难说个人信息处理者能够预见[23](P34-35)。笔者认为,在第三人利用泄露的个人信息或其他方式非法取得的个人信息,实施侵害自然人的人身权益或财产权益造成损害,即所谓下游损害的情况下,对第三人的非法行为是否中断个人信息权益被侵害与损害之间的因果关系,从而使得个人信息处理者无需承担责任的考量,应考虑的因素当然要包括造成的损害的类型。但是,仅仅以财产损害更为常见而人身损害较少见为由来区分个人信息处理者对下游损害的不同责任,并不妥当。正确的做法是在区分个人信息不同类型的基础上分别加以判断。
首先,如果个人信息处理者违反关于敏感的个人信息的处理规则或者没有按照法律法规的要求履行保护敏感的个人信息安全的,只要第三人利用该等敏感的个人信息实施了侵害自然人的人身权益或财产权益的行为并造成损害的,无论个人信息处理者是否能够预见,都要承担责任。这是因为依据《个人信息保护法》第28条第1款,所谓敏感个人信息就是指一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。这就是说,立法者已经考虑到了前述个人信息被他人所非法利用而造成人身伤亡以及财产损失等下游损害的可能性,故依据判断责任范围因果关系中的规范保护目的说,侵权行为所生之赔偿责任须就侵权法规的意义与目的加以探究[24]。依据法规目的说,《个人信息保护法》之所以给予敏感个人信息最严格的保护,对处理者施加一系列严格的义务要求,本身就是为了防止第三人利用敏感个人信息实施侵害自然人的人身财产权益行为的出现。所以当敏感的个人信息被泄露或被他人非法窃取、使用、买卖的,无论第三人是故意还是过失,也无论第三人所造成的是财产损害还是人身伤亡,都不会中断因果关系,个人信息处理者都需要对这些损害承担相应的责任。
其次,如果个人信息处理者违反的是非敏感个人信息的处理规则或者没有按照法律法规的要求履行保护非敏感个人信息的安全,那么个人信息处理者是否要对第三人行为承担责任取决于处理者能否合理预见该第三人的不法行为,毕竟“每一个介入者都是一个必要条件。然而,如果具有初始过失的加害人能够合理的预见到该等介入行为或者预见到介入行为的发生将使得自己的过失行为引致损害后果时,那么加害人仍将是有效的原因,除非介入行为属于一个全新的、独立的原因”[25](P115)。对于个人信息处理者是否能够合理预见第三人的不法行为的判断,应当在个案中综合考虑损害的类型(人身伤亡抑或财产损失)、处理者此前的行为(如已经发生过泄露事件等)、第三人的行为是否构成犯罪等因素后得出判断。
当然,无论第三人是利用敏感的还是非敏感的个人信息造成下游损害,个人信息处理者只要不存在与第三人的意思联络,不构成共同加害行为或教唆帮助行为,原则上其不应与第三人承担连带责任。此时,个人信息处理者究竟是否承担按份责任、能否向第三人追偿等,理论上有不同的看法。有的观点认为,如果处理者和第三人均为过失的,则属于按份责任,适用《民法典》第1172条。如果第三人是故意的,则类推适用《民法典》第1198条第2款,处理者承担相应的补充责任[23](P35-36)。例如,在“申瑾与上海携程商务有限公司,支付宝(中国)网络技术有限公司侵权责任纠纷案”中,原告因个人的手机号和航班信息被他人泄露而被犯罪分子实施电信诈骗,损失了118900元。法院认为:“因携程公司违反了网络运营主体的安全保障义务,存在个人信息保护上的安全维护漏洞,导致申瑾遭遇诈骗形成财产损失。本院综合案情及携程公司的过错责任程度,酌情确定携程公司在5万元赔偿数额的范围内对申瑾承担补充责任。”笔者认为,《民法典》第1198条关于安全保障义务的规定,仅适用于特定的有形空间以及特定的主体,不能类推适用于个人信息处理者。只要损害是由第三人直接造成的,无论第三人的行为是故意还是过失,个人信息处理者均应当依据《民法典》第1172条按照原因力以及过错程度承担相应的赔偿责任。如果第三人已经全部赔偿了,个人信息处理者无需承担赔偿责任,但个人信息处理者承担赔偿责任后可以向第三人进行全部的追偿。
在我国《民法典》第1165条第1款已经明确区分了双层因果关系的情形下,个人信息侵权责任的因果关系也应作此区分。申言之,个人在向个人信息处理者提起侵权赔偿责任诉讼时,先应当证明个人信息处理者所实施的处理行为与其个人信息权益被侵害之间存在因果关系,即具有责任成立要件的因果关系。接着,还要证明个人信息权益被侵害与损害之间的因果关系,即责任范围的因果关系。
对于个人信息处理者的处理行为与个人信息权益被侵害之间的因果关系,可以通过条件说进行判断。如果多个处理者从事共同处理活动或共享个人信息,在无法确定何人的处理活动侵害个人信息权益时,可将该数个处理者作为整体看待。只要能够证明该整体的活动对于侵害个人信息权益存在高度可能性,责任成立的因果关系即可确定。对于个人信息权益被侵害与损害之间的因果关系,通说采取相当因果关系说加以判断。就第三人利用个人信息给信息主体造成的人身伤亡或财产损失的情形,处理者是否需要承担赔偿责任应区分不同信息类型加以判断。如果个人信息处理者违反关于敏感个人信息的处理规则,只要第三人利用该敏感个人信息实施了侵害自然人的人身权益或财产权益造成损害的,无论个人信息处理者是否能够预见,都要承担责任。如果个人信息处理者违反的是非敏感个人信息的处理规则,个人信息处理者是否要对第三人行为承担责任取决于处理者能否合理预见该第三人的不法行为。值得注意的是,无论第三人是利用敏感的还是非敏感的个人信息造成下游损害,个人信息处理者只要不存在与第三人的意思联络就不构成共同加害行为或教唆帮助行为,原则上不应与第三人承担连带责任,而应当依据《民法典》第1172条按照原因力以及过错程度承担相应的赔偿责任。
(参考文献已省略,如有需要请点击“阅读原文”进行下载)
* 图片来源于网络 *
《郑州大学学报》(哲学社会科学版)是由郑州大学主管、主办的哲学社会科学综合性学术期刊,是全国中文核心期刊、CSSCI来源期刊、中国人文社会科学核心期刊、教育部第二批名栏建设入选期刊、河南省一级期刊等。
进入公众号内搜索,即可检索历史推送内容。
加关注方法:
1. 在微信公众号中搜索“zdxbzsb” 或“郑大学报哲社版”并关注;
2. 扫描下方二维码并关注。