【立法研究】个人信息的侵权法救济 ——《民法总则》第111条的司法适用
个人信息的侵权法救济
——《民法总则》第111条的司法适用
为方便阅读,本文省去注释,参考文献详见文末。
摘要:《民法总则》111条的适用在内涵上未反映出个人信息的可识别特性,在外延上大多涉及非自动化处理行为。民事司法裁判中或通过具体人格权间接保护个人信息,或通过笼统将之成为相关民事权益等行为对个人信息进行保护,反映出一定的司法能动性。合法收集个人信息的信息主体与不合法收集个人信息的主体在侵权行为的构成要件上不同。司法实践中的归责原则尚未作出颠覆性改变,但具体案例中可看出法官向举证能力较弱的自然人进行了一定偏移。条件说会扩大因果关系链条,采取相当因果关系说更为妥帖。赔偿数额计算可依据《侵权责任法》第20条和22条结合《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》第18条确定。
一
问题的提出
《民法总则》第111条规定“自然人的个人信息受法律保护”,该条文第一次从民法基本法的角度对个人信息权利(益)做出了规定[1],既为个人信息相关内容条文在分则中的细化提供了基础,也对司法领域中涉个人信息案件的审判提供了指引。
我国个人信息的法律保护刑法先行,民法救济相对处于弱势。自《民法总则》生效后,个人信息民事救济有基本法可依寻,情况略有改善。但司法实践现状究竟如何?通过民法总则111条对个人信息进行侵权救济有哪些新特点,又存在哪些不足?本文以此为出发点,对依据民法总则111条进行审判的51个民事案例进行研究。
二
个人信息内涵与外延的裁判立场考察
讨论问题的起点在于概念的明晰,在讨论个人信息保护之前有必要考察立法现状、学理研究、以及司法实践中对个人信息内涵和外延的表述。
(一)司法审判中个人信息内涵:“可识别性”的缺位
《网络安全法》(下称“网安法”)将个人信息定义为“以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。”《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(法释[2017]10号,下称“刑事解释”)规定,“公民个人信息”是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。《民法典(草案)·人格权编》(下称“民法典”)则将“个人信息”定义为“以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱地址、行踪信息等。”此三者虽然在个人信息的外延上有所区别,但在内涵的规定上大同小异。在形式上,但这对内涵的定义都采用了“状、动、宾”的结构,都强调了以“电子或其他方式记录”、“单独识别或与其他信息结合识别”两部分。不同之处在于最先的《网安法》只强调了对“自然人身份信息”的识别,《刑事解释》则加入了“反映特定自然人的活动情况”一项,而最新的《民法典》则更是直接规定为“特定自然人的各种信息”,从细微的变化中可以看出法律规范中个人信息的范畴在不断扩大。但不论如何,“可识别性”(单独识别或者结合其他信息识别)这一特性自始未变。
“可识别性”作为个人信息的关键特征,在学界也基本形成通说。张新宝教授即曾提及,“个人信息”这一概念在静态维度之内涵,即其“可识别性”已经基本形成了通说,但是对于其动态维度之内涵的研究则明显未引起足够的重视。[2]所谓的“静态维度”即概念的内涵层面,而“动态维度”则指个人信息的外延。
但在司法实践中,尽管不少案例涉及个人信息保护问题,但真正意识到个人信息“可识别性”特征,并将之视为民法总则111条语境下的个人信息进行保护的案例仍为少数。在本文研究的51个案例中,只有5个在判决书中或多或少地提及了个人信息的“可识别性”。如孙申瑾与支付宝(中国)网络技术有限公司等侵权责任纠纷一案中,提及“对个人信息的保护而言,重点在于信息与信息主体之间的识别性,而并非个人信息本身”;孙宇剑与贾艳丽等侵权责任纠纷案中强调“个人信息相关权利的主要特点在于个人信息与公民的可识别性”;王凯与吕小俊、韩洋一般人格权纠纷一案因淘宝店铺的账号和密码具有身份识别性二将之认定为个人信息;王凡与盛业置地有限公司姓名权纠纷案中认为“身份证号码也是一种身份识别信息。公民的姓名和身份证号码属于个人信息”;以及“赵鹏与杨喜东等隐私权纠纷”一案在认为“个人信息作为能够识别自然人身份的信息,范围包括自然人的身份证信息、个人名下房产信息等足以使他人依据该信息使得自然人特定化的信息。”其他案例或仍将之视为名誉权、隐私权等具体人格权的载体,如陈尚廉与周景辉一般人格权纠纷案;或者笼统地提及个人信息受法律保护,但未提及个人信息的可识别性,如徐凯与江苏爱家物业服务有限公司一般人格权纠纷;甚至有案件尽管承认了个人信息权,但未重视个人信息的可识别性,如何卓律与上海合合信息科技发展有限公司网络侵权责任纠纷案。民法总则111条特别规定自然人的个人信息受法律保护,究其根本在于个人信息之上存在着既有权利无法保护的内容,因此作为个人信息特性的“可识别性”就显得尤为重要。另外,保护个人信息并非为了保护信息本身,而是为了保护个人信息所能识别的个人[3],也正是由于这个原因,个人信息保护才被认为是人格权法体系中的一部分。现有民法审判或通过既有的具体人格权对有限的个人信息(如隐私信息、姓名信息等)进行保护,或未清醒认识到个人信息权利(权益)的可识别性特征,总体而言,民法总则111条在个人信息保护领域的适用尚处于起步阶段。
(二)司法裁判中个人信息外延:非自动化处理信息居多
为了对不同的个人信息进行不同程度的保护,不论是学理还是立法上都主张按照个人信息的敏感程度分为敏感个人信息和一般个人信息。[4]2018年5月1日生效的《信息安全技术个人信息安全规范》中对何种信息属于敏感个人信息进行了详细的归类(如表 1)。
无独有偶,本文51个案例样本中也呈现出类似分类(见表2)。大数据时代个人信息保护的特殊之一即为算法自动化决策带来的分选和歧视风险[5]。这一技术优势也间接造成了争讼双方举证和诉讼能力上的差异。但有趣的是,当以民法总则第111条作为检索条件进行案例检索时,所涉及的个人信息案件大多并不属于自动化决策处理的个人信息。具体而言,案例样本中只有两个案例即庞理鹏与北京趣拿信息技术有限公司等隐私权纠纷和申瑾与支付宝(中国)网络技术有限公司等侵权责任纠纷涉及个人信息自动化处理。而这两个案例中,前一个通过高度盖然性原则结合时事背景,最终认定庞理鹏完成举证;后一个则直接将携程公司对申瑾的个人信息泄露无故意或过失之事实的举证责任倒置给了携程,最终宣布原告胜诉。换言之,二者均对“谁主张谁举证”的一般原则有较大的回避甚至突破。这从侧面也反映出,传统人格权侵权救济以过错责任原则归责、采“谁主张,谁举证”的举证模式或许已经不再适合个人信息的侵权救济。
三
个人信息保护权益层级的裁判立场考察
《民法总则》已经明确规定自然人的个人信息受法律保护,《民法典》在人格权编中单列一章规定隐私权和个人信息保护,将个人信息纳入人格权法的体系进行保护已是大势所趋[6]。不过,个人信息究竟是作为一种权利存在还是作为一种法益存在,各方还争论不休。在立法尚未对个人信息的权益层级一锤定音时,司法裁判体现了一定的能动性(如表3)。
由表3可知,当以民总111条为裁判依据对个人信息进行侵权救济时,主要有6种方式。(1)通过具体人格权保护。采取具体人格权进行保护的比例最大,其中又以隐私权救济为首,这种裁判立场显然也契合了个人信息保护与隐私权之间的亲密关系。(2)通过一般人格权保护。(3)通过个人信息法益保护。(4)通过个人信息权保护。(5)通过认为个人信息受法律保护或认为侵犯个人信息民事权益。这种保护方式并未直接对个人信息属于权利还是法益做一明示,只是按照《民法总则》第111条的表述,称个人信息受法律保护。(6)民事权利或相关权利保护。该种方式甚至未明示个人信息受保护,而只是笼统地认为相关权利或民事权利受侵害,行为人应当承担侵权责任。
四
司法实践中的个人信息侵权救济
鉴于个人信息的特有性质,现阶段不论是学界争鸣还是立法实践,都呈现出公私法共同治理的法律框架[7],建立行政监管预防风险、私法权利保障自主、刑法惩治同时并进的保护模式已成为共识。在私法救济方面,个人信息的侵权救济则是主要进路。本文旨在从已有的案例入手,对个人信息保护的司法实务中所含构成要件、归责原则、侵权行为类型、因果关系和赔偿数额计算等内容作一检讨。
(一)构成要件:是否区分违法性与过错
关于一般侵权行为的构成要件究竟包括哪些,我国理论界和实务界历来存在不同的看法,最主要分歧就是应否区分过错与违法性。就现状而言,我国通说和司法实践并不承认违法性与过错的区别,故此,加害人的行为是否违反相关法律法规的规定与其行为是否存在过错往往具有非常紧密的关系。目前的立法和司法实践主要采取了两种做法:其一,违法推定过失;其二,违法视为过失。[8]
《民法总则》第111条第二款规定,任何组织或者个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。具体而言,该款具有以下几层含义:
1.合法收集义务与积极参与义务。首先,该条规定了个人信息权利(权益)的克减。即个人信息并非像生命权一般绝对,在符合法律法规时可以被非数据主体获得并持有、处理和使用。其次,提出了合法性要求,即获得他人信息应当“依法”获得。最后该部分还规定了积极作为义务,即对于合法持有个人信息的主体,应当负有确保其安全的积极作为义务。所谓确保安全,有两层要求:一是确保个人信息不被损坏、遗失、丢失,不发生物理上的损失;二是个人信息不被泄露、侵入或者发生其他类似情形。所谓“确保”是指采取一切必要的软件硬件措施包括规章制度建设等,达到法定标准、行业标准或理性人(reasonable man)标准所要求的注意程度,使得其所持有的个人信息处于此等安全保障状态。[9]
换言之,对于已经合法获得个人信息的主体,该条特别设定了“确保安全”的义务,若违反该义务,则可在确定行为违法性的同时认定行为人存在过失。具体审判应按照以下顺序:(1)判断信息是否合法获得,标准一般为是否获得授权(法律行政法规授权或个人授权);(2)若已经合法获得信息,判断是否已经采取一切必要措施,达到法定标准、行业标准或理性人(reasonable)标准;(3)判断个人信息是否遭受物理损害或发生泄漏、侵入或其他类似情形。
在所收集的案例中,合法收集个人信息的主体因未“确保安全”而承担侵权责任的案例共有五个,均认为信息控制者未尽相应义务,即存在过错。
2.消极不作为义务设定。在第111条后半段,法律规定了两组“不得”,即“不得非法收集、使用、加工、传输他人个人信息”和“不得非法买卖、提供或者公开他人个人信息”。两个“不得”都是禁止性规定,既是给任何个人和组织设定的具有对世性的普遍消极不作为义务,也是给特定主体(如已经依法取得他人个人信息的个人或者组织)设定的相对性的特别不作为义务。
也就是说,对于已经合法获得个人信息的主体而言,违反该条即视为过错;但对于一般主体而言,违反该条属于“违法行为”,若按照侵权四要件说还需要考察行为人主观上是否存在过错。然而实际案件中却并不是如此。在大部分案例中,只需要证明行为人做了法律所不允许的行为,则直接要求其承担侵权责任。但也有例外,在蒋宽政与董焕聪、黄道明姓名权纠纷中,被告“明知违法,却仍然使用”,显然已经存在过错;薛桂梅、吴万平一般人格权纠纷中,认定行为人薛桂梅存在客观故意,并进一步认定其侵权。
(二)归责原则:司法能动性的体现
自动化处理技术日益发展,在立法例和理论上均有对个人信息侵权归责原则的新思考。进而有学者提出采取三元归责[10],有学者提出二元归责[11],二者最关键的区别在于是否引入针对公务机关自动化处理的无过错责任。前者认为公务机关的权力过大,经由自动化处理的加持,可能带来的个人危险会更大,就此应当以“危险”代替过错,使用无过错责任;而后者则认为公务机关的数据掌握情况和处理能力并不一定强于非公务机关,且无过错责任一旦同时加于这两种主体会极大地阻碍经济发展。
由于本文的案例样本有限,公务机关采取自动化处理个人信息的案例并未出现。但就既有案例来看,传统的过错责任原则确实难以对自然人进行救济。也正因为如此,司法实践体现了一定的能动性,如利用“高度盖然性”原则适当降低自然人原告的证明标准(庞理鹏与北京趣拿信息技术有限公司等隐私权纠纷);或者直接将已经履行安全保障义务的证明责任分配给数据控制者(申瑾与支付宝(中国)网络技术有限公司等侵权责任纠纷)。
由此,在适用民法总则111条对个人信息进行保护时,司法实践可充分发挥审判的能动性,一来可以微调证明标准,灵活运用“高度盖然性”原则,适当平衡举证难度;二则可以适当分配举证责任,平衡诉讼双方实力。但需强调的是,特殊的举证原则往往需要法律特别规定,法官在突破“谁主张、谁举证”的一般原则时要慎之再慎。
需要强调的是,归责原则所针对的是损害赔偿责任。即只有在具有损害时,才有讨论适用何种归责原则的余地。个人信息权利(权益)属于人格权体系的一部分,受侵害时可能会产生停止侵权、消除危险等侵权责任。但这种责任的基础在于个人信息所具有的人格权属性,而并非由于此时产生了无过错的归责原则。
(三)侵权行为类型:涉及使用、泄露行为最多
《民法典(草案)》第一千零三十五条规定,收集、处理自然人个人信息的,应当遵循合法、正当、必要原则,不得过度收集、处理,并符合下列条件:……(四)……个人信息的处理包括个人信息的使用、加工、传输、提供、公开等。据此分析,案例样本中涉及数量最多的是使用行为,总共28件;其次为公开/泄露行为,总共为18件;最少为提供行为,3件。之所以出现此种数量上的差异,可能的原因如下:首先,法律调整的是人与人之间的关系,只有当个人信息处于关系之中时,才更有可能发生纠纷,从而落入到侵权法救济的范畴。因此,样本中涉及使用、泄露等动态过程的案件较多,而几乎不涉及加工等静态过程。其次,个人信息保护虽然可能涉及收集、使用、加工、传输、提供、公开等多个环节,但由于当前关于个人信息保护的立法尚未明晰,个人信息侵权只能通过既有的权利救济(如隐私权、姓名权等具体人格权),而这些既有权利又往往和信息的使用、泄露等行为相关,因此导致了各行为之间的数量差异。
(四)因果关系:采取相当因果关系说
德国法上判断责任成立因果关系为“条件说“或“等值理论”。条件说只是对因果关系进行一种自然科学意义上的检测,无法解决可归责性的问题。相当性因果理论则在很大层面上弥补了条件说的不足。具体而言包括两方面,其一该条件的存在对于诉争损害的发生概率产生了影响;其二该条件并非是在某些阶段特殊的情况下才成为引发损害的条件。
申瑾与支付宝(中国)网络技术有限公司等侵权责任纠纷中,支付宝的亲密支付若进行实名支付或者加强风险提示,那么确实会对损害发生产生一定的减轻甚至是阻止作用。但是,法院认为,此等因素并非导致损害的主要原因,更重要的还是因为当事人自身“过于轻信和轻率的思想状态,而与是否实名制及是否尽到风险提示义务并无直接因果关系”。从而将支付宝从申谨所受损害的因果关系链条中剥离了出来。
有学者主张,在个人信息侵权中,为减轻信息主体的证明负担,因果关系判断宜采“条件说”,涉及本案任何一个环节的主体均可作为侵权主体而被追诉。[12]这种摒弃相当条件说的做法将无限扩大各信息控制者和信息处理者的责任,尽管能很好地保护信息主体的权利,但也有可能带来寒蝉效应,阻滞新技术的发展。
(五)损害的计算
个人信息属于人格权,通说认为其既具有人身属性,也具有财产属性。因此侵犯公民个人信息权利(权益)极有可能造成精神损害,也有可能造成财产损害。值得注意的是,这种财产属性只有在个人信息数量极大的时才能够显现,例如搜狐新闻曾报道,一万条个人信息售价800元。因此对于一些涉案个人信息较少的案件(事实上,本文检索的51个案例,几乎所有的涉案信息量都不是很大),往往难以判断相应损失。对此,《侵权责任法》第20条、《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》(法释〔2014〕11号,下称“规定”)第18条均对对损害赔偿额的计算做了规定,可见,对于个人信息受损难以确定,但侵权行为人获得利益的,可以按照其获得的利益赔偿;受损和获益情况均无法查明的,法院可以酌情在50万元以下确定赔偿数额。
另外,《侵权责任法》第22条规定,侵害他人人身权益,造成他人严重精神损害的,被侵权人可以请求精神损害赔偿。因此,信息主体往往需要就自己遭受了严重精神损害进行举证。
在样本案例中,几乎所有判决都支持了“为支持侵权行为所支付的合理开支”这一项请求,在法院酌定赔偿额一项,原告张青与被告晏益阶、虞来春姓名权纠纷中,法院参照房屋征收与补偿协议中约定的过度补助费标准确定损害赔偿金额为3000元。至于精神损害赔偿,在个人信息侵权的案件中往往难以得到法院支持。
五
小结
《民法总则》第111条作为个人信息保护的基础条款,具有极为重要的地位。该条结合《侵权责任法》的相关条款对个人信息进行保护的救济行为具有其特殊性。结合51个样本案例分析有如下发现:(1)当前民总111条的侵权法适用尚未反映出个人信息内涵的可识别特性,外延上大多涉及非自动化处理行为。(2)个人信息的权益层级尚未明确,民事司法裁判中或通过具体人格权间接保护个人信息,或通过笼统将之成为相关民事权益等行为对个人信息进行保护,反映出一定的司法能动性。(3)个人信息的独特性质使其侵权救济具有不同特点。司法实践中,合法收集个人信息的信息主体与不合法收集个人信息的主体在侵权行为的构成要件上有所不同。司法实践中的归责原则尚未作出颠覆性改变,但具体案例中可看出法官向举证能力较弱的自然人进行了一定偏移。条件说会扩大因果关系链条,采取相当因果关系说更为妥帖。赔偿数额计算可依据《侵权责任法》第20条和22条结合《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》第18条确定。
【参考文献】
[1][2][6][8] 张新宝.《民法总则》个人信息保护条文研究[J].中外 法学,2019,31(01):54-75.
[3] 高富平.个人信息使用的合法性基础——数据上利益分析视角 [J].比较法研究,2019(02):72-85.
[4] 韩旭至.个人信息类型化研究[J].重庆邮电大学学报(社会科学 版),2017,29(04):64-70.
[5][9]叶名怡.个人信息的侵权法保护[J].法学研 究,2018,40(04):83-102.
[7] 程啸.民法典编纂视野下的个人信息保护[J].中国法 学,2019(04):26-43.
[10] 程啸.侵权责任法[M].北京:法律出版社.2015.
[11] 陈吉栋.个人信息的侵权救济[J].交大法学,2019(04):40-53.
[12] 徐明:《大数据时代的隐私危机及其侵权法应对》,《中国法 学》2017年第1期,第144页。
编者按:本文由互联网法治研究院(杭州)研究助理、华东政法大学硕士研究生余远芳撰写,由互联网法治研究院(杭州)专职研究员、华东政法大学助理研究员王镭审校 ,互联网法治研究院(杭州)秘书处徐静赛编辑。
互联网法治研究院 原创发布
往期精选
专注“互联网法治”研究👉