《个人信息处理者过错推定责任研究.docx》由会员分享,可在线阅读,更多相关《个人信息处理者过错推定责任研究.docx(32页珍藏版)》请在课桌文档上搜索。
1、个人信息处理者过错推定责任研究内容提要个人信息处理者承担过错推定责任的实质基础在于处理行为引起的作为义务,而不仅仅是为了强化保护个人信息权益。个人信息保护法中的过错推定责任与民法典侵权责任编没有体系衔接冲突问题,但与人格权编所确立的“隐私权”和“个人信息”并行体例存在张力关系。处理私密信息造成损害的,应承担过错推定责任,而不适用有关隐私权规定。处理者的过错推定责任不是一种普遍性责任,其适用范围具有限定性,适用要件也有特殊性。此过错推定责任救济的是侵害人格权益的财产损失,不包括精神损害,其过错判断主要限于违反法定义务的违法行为及比例原则下的实质违法行为,其因果关系要件的特殊性则在于采取“高度盖然
2、性”证明标准,而非实行举证责任倒置。关键词个人信息保护法民法典个人信息处理者过错推定责任一、问题的提出二、个人信息处理者承担过错推定责任的正当性基础三、个人信息处理者过错推定责任与民法典的冲突及协调四、个人信息处理者过错推定责任的具体适用五、结语一、问题的提出2021年8月20日,十三届全国人大常委会第三十次会议表决通过的中华人民共和国个人信息保护法(以下简称个人信息保护法)是我国专门规范个人信息处理行为、保护个人信息权益的法律。个人信息保护法第69条第1款规定,处理个人信息侵害个人信息权益造成损害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。这明确了个人信息处理者承担的
3、是过错推定责任。而根据民法典第1034条第3款规定,个人信息中的私密信息适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定。笔者认为,对此有以下方面需要解释厘清:第一,个人信息保护法第69条第1款的过错推定责任在解释论上的正当性基础。在立法阶段,个人信息处理者承担过错推定责任的法理基础已经得到充分表达,但既有的理论基础过于抽象,不便于适用者精准把握个人信息处理者过错推定责任的实质基础,继而影响其对适用范围和要件的准确理解。因此有必要在适用阶段再次进一步厘清此责任的正当性基础,以便促进法律的精准实施。第二,个人信息处理者过错推定责任在适用中与民法典的协调问题。个人信息处理者过错推定责任
4、在适用中除需与民法典第1165条第2款进行衔接外,还应与民法典人格权编的相关规定进行必要的协调。民法典人格权编也对个人信息进行明确规定,而且个人信息与隐私权、名誉权等人格权益存在交叉关系。尤其在个人信息中的私密信息受侵害时,一般会产生侵害个人信息和侵害隐私权的责任竞合问题。根据民法典规定,侵害隐私权的侵权责任适用一般过错责任,而个人信息保护法第69条第1款却规定为过错推定责任,由此导致在侵害同样的权益(客体)的情况下,依据民法典和个人信息保护法却可能适用不同的归责原则,这容易使得适用者无所适从,因而需要对个人信息保护法第69条第1款与民法典相关规定的关系作出必要的厘清。第三,个人信息处理者过错
5、推定责任的适用范围和要件问题。从立法目的上看,制定个人信息保护法并设置严格的法律责任是为了保障公民在个人信息处理活动中的各项权利。因而,将处理个人信息侵害个人信息权益规定为较为严格的责任已成为理论界和实务界的共识。在严格保护个人信息的价值取向之下,更应正视适用上的特殊性。如在个人信息处理者的“过错”界定问题上,由于个人信息保护法第69条第1款的“过错”在字面上与民法典第1165条第2款的“过错”具有同一性,易使适用者忽视个人信息保护法第69条第1款的“过错”界定的特殊性;而在强化保护个人信息权益思想的影响下,如果个人信息保护法第69条第1款的“过错”界定不够明确和具体,就会影响个人信息的利用价
6、值。法律适用者能否准确理解个人信息处理者过错推定责任适用范围的限定性和适用要件的特殊性,会直接影响到此种责任承担的适用边界,更会影响个人信息严格保护和充分利用矛盾关系的协调,因此有必要厘清个人信息处理者过错推定责任在适用范围方面的限定性和适用要件方面的特殊性问题。可见,在民法典已经颁行的背景下,如何精准贯彻和实施个人信息保护法规定的个人信息处理者的过错推定责任依然是一个重大的解释论问题,应当予以必要的厘清。鉴于此,本文试图对个人信息保护法第69条第1款进行全面解释,以期助益法律适用。二、个人信息处理者承担过错推定责任的正当性基础虽然在立法过程中几经争论和修改,但是个人信息保护法第69条最终仍将
7、个人信息处理者的损害赔偿责任确定为过错推定责任。在个人信息保护法的立法阶段和颁行后的适用阶段,学界对个人信息处理者的过错推定责任似乎争议不是很大,对过错推定责任背后的理论逻辑也存在较大的共识。但是,学界关于个人信息处理者承担过错推定责任正当性基础的既有理论在更多意义上是一种宏观的解释,只是论证个人信息处理者承担过错推定责任这一严格责任的一般性理由,无法解释个人信息处理者为什么不是承担无过错责任。笔者认为,为了更好地实施个人信息保护法,在解释论上有必要再次厘清个人信息处理者过错推定责任的正当性问题,以便更好地把握个人信息处理者承担过错推定责任的实质基础,从而更准确地界定适用范围和要件。(一)个人
8、信息处理者过错推定责任的既有理论基础在个人信息保护法颁布后,关于个人信息处理者承担过错推定责任的正当性基础问题,学界既有的主要观点认为,个人信息处理者和自然人的地位不平等,个人信息处理者处于强势地位,个人信息权人处于弱势地位,如果采用过错责任原则,不利于对个人信息权人的保护。同时,由于个人信息处理者和自然人之间地位不平等,两者的举证能力也是有差异的,自然人存在举证客观障碍,不易证明个人信息处理者的过错。实践中,在个人信息侵权领域,作为权利人的自然人在发生损害时对个人信息处理者的过错、因果关系和损害等方面进行举证都存在一定的客观障碍,难以承担举证责任。正如学者所言,“个人信息处理活动具有很强的专
9、业性和技术性,个人与个人信息处理者存在信息、技术、资金等能力上的不对等地位,无法了解个人信息处理者在处理活动中具有什么过错,更无法提出证据加以证明:甚至,相关行政管理部门与管理对象之间也会出现明显的信息不对称现象,监管能力滞后,获取证据难、固定证据难、处罚难、胜诉难。依此观点,由法律明确规定个人信息处理者承担过错推定责任,更利于自然人在诉讼中维护自己的个人信息权益,使法律保护个人信息权益的目的得以落地。但笔者认为,个人举证能力弱并不必然意味着证明责任就一定要实行倒置。以医疗损害责任的患者为例,为弥补患者举证能力弱而无法维权的劣势,过去相关规范性文件也明确规定举证责任倒置,但民法典明确规定医疗损
10、害责任属于一般过错责任,而非过错推定责任,对过去的操作进行了纠正。因为,即使不实行过错推定责任,也能实现对患者权利的保护,当存在一些技术性难题而面临举证困难时,患者大可通过申请医疗鉴定等方式来完成自己的证明责任。在个人信息侵权领域也是如此,即使自然人处于技术或者资源上的劣势,在诉讼中也可以采取其他方式完成证明责任。由此可见,单纯因为自然人存在举证困难而认为应当规定过错推定责任的观点并不具有充分的合理性。总的来看,过错推定责任具有一定的法定性,也是一种较一般过错责任更为严格的责任,但是并不是说双方地位不平等或者受害人举证能力弱就能充分解释过错推定责任的正当性基础。过错推定责任具有自身内在的逻辑,
11、个人信息处理者承担过错推定责任也应当遵循此种内在逻辑。(二)个人信息处理者承担过错推定责任的实质基础在强化保护个人信息权益主体思想的影响下,个人信息处理者和自然人的举证能力不对称虽只算一般性理由,但在一定程度上也能证成个人信息处理者承担过错推定责任的正当性。但笔者认为,个人信息处理者承担过错推定责任的实质基础在于个人信息处理者的处理行为产生的法定作为义务。无论在民法还是刑法领域,先前行为都是产生法定作为义务的正当事由,也是追究特定义务人承担不作为责任的重要依据。在个人信息处理者处理个人信息的过程中,产生了其对作为个人信息权益主体的自然人的法定作为义务,对个人信息处理者的行为构成实际约束力。笔者
12、认为,个人信息处理者基于处理行为产生的此法定作为义务是其承担过错推定责任的实质基础。理由如下:第一,法定作为义务具有双重推定效力,既可依据未履行作为义务推定过错的事实,也可以依据作为义务推定过错的判断。有观点认为,法院在司法实践中要求个人信息处理者证明其履行了法定义务,而不是过错,这与过错推定责任之下就过错的举证责任倒置是不同的,而且违反法定义务认定过错属于事实推定,而不是法律推定。笔者认为,义务人承担法定作为义务,既可以从未履行法定作为义务中推定过错事实,也应当由义务人自己对已经履行了法定作为义务(无过错)事实承担证明责任。事实推定是一种事实方面的判断,是以客观事实为基础。事实推定意味着个人
13、信息处理者如果存在违反法律、行政法规和规章等规范性文件规定义务的行为,就推定其有过错。法律推定则是一种规范方面的判断,是以规范性文件的规定为基础。法律推定意味着依照个人信息保护法规定推定个人信息处理者有过错,其不能证明自己没有过错的,应当承担侵权责任。个人信息处理者的法定作为义务不仅是判断处理者是否存在违法行为继而认定其有无过错的标准,而且其自身也蕴含着要求处理者证明其不存在违法行为的规范拘束力。需要指出的是,此种拘束力并不简单是“允许处理者证明自己没有违法行为而免责”,而是“要求处理者应当证明自己没有违法行为才免责”。质言之,个人信息处理者不仅基于处理行为对自然人产生法定作为义务,而且应当就
14、已履行法定义务的事实承担证明责任。此种证明责任本身是个人信息处理者负有法定作为义务的应有之义和逻辑延伸。如果个人信息处理者只需履行作为义务,而无需对履行义务行为承担证明责任,这对义务人的拘束力是不够的。对承担安全保障义务等法定作为义务的义务人而言,在很多情况下只要违反安全保障等义务的违法性得以认定,过错也往往能够得到确认。因此,理论和实践多采过错推定原则。据此,就个人信息处理者基于处理行为承担的法定作为义务而言,只要其违反法定义务的违法性得以认定,过错往往也能够得到确认只有由处理者通过举证证明自己不存在违法行为,其过错责任才能得以免除。法律要求个人信息处理者应当积极知悉自己的义务内容并予以充分
15、履行,甚至要求其依据规范性文件细化操作规则和制定保护个人信息的行为准则。例如,个人信息保护法第31条第2款规定:“个人信息处理者处理不满十四周岁未成年人个人信息的,应当制定专门的个人信息处理规则:在一定意义上,法定作为义务积极促使个人信息处理者主动知悉和履行自己的法定义务以避免可能承担的法律后果,而证明责任既是使个人信息处理者的上述义务得以最终实现的手段,也是法定作为义务的逻辑延伸和拘束力体现。个人信息处理者通过积极履行作为义务,可避免承担法律责任,实现自身利益的最大化,因此,要求处理者应当明确知悉自己承担的法定作为义务内容,由其对自己的处理行为不存在违法情形承担证明责任也是公平的。第二,法定
16、作为义务适用过错推定责任与民法典的既有规定保持一致。在涉及法定作为义务产生过错推定责任的规定中,民法典一般都规定特定主体能够证明已履行作为义务的,不承担侵权责任。例如,民法典第1243条规定,“管理人能够证明已经采取足够安全措施并尽到充分警示义务的,可以减轻或者不承担责任第1248条规定,“动物园能够证明尽到管理职责的,不承担侵权责任第1256条规定,“公共道路管理人不能证明已经尽到清理、防护、警示等义务的,应当承担相应的责任”;第1258条规定,“管理人不能证明尽到管理职责的,应当承担侵权责任”。此类条文中的“安全措施”“警示义务”“管理职责”“清理、防护、警示等义务”等和第1198条的“安
17、全保障义务”一样,在性质上属于法定作为义务。值得注意的是,民法典第1198条虽然没有规定“不能证明”字样直接指明经营场所、公共场所的经营者等主体违反安全保障义务的侵权责任属于过错推定责任,但该条规定也属于过错推定责任范畴。据此,民法典违反法定作为义务的责任一般都是过错推定责任,个人信息处理者违反处理行为引发的法定作为义务适用过错推定责任,在体系上与民法典既有规定保持了一致。民法典第1038条第2款规定“信息处理者应当采取技术措施和其他必要措施,确保其收集、存储的个人信息安全,防止信息泄露、篡改、丢失;发生或者可能发生个人信息泄露、篡改、丢失的,应当及时采取补救措施,按照规定告知自然人并向有关主
18、管部门报告”;个人信息保护法第9条规定“个人信息处理者应当对其个人信息处理活动负责,并采取必要措施保障所处理的个人信息的安全这些都属于个人信息处理者保护个人信息安全法定作为义务的具体内容,虽然并无“不能证明”字样直接指向过错推定责任,但基于体系一致性的要求,个人信息处理者的法定作为义务也应当适用过错推定责任。第三,个人信息权益产生于处理行为之中,与过错推定责任发生于处理行为中具有统一性。个人信息权益所包含的知情、查阅、复制、转移、更正、补充、删除等权能都发生于处理行为之中,这就意味着应当在处理行为中去认识和理解个人信息权益的结构问题,也应当在处理行为中认识和理解个人信息权益的保护问题。个人信息
19、处理者的过错推定责任实际上是一种行为动态中的责任,没有处理行为,其责任的特殊性也就无法体现,这与个人信息权益发生和存在于个人信息处理行为中是具有内在一致性的。正如学者认为,“个人信息权是一种存在于数据处理过程中的权利,不是一种静态的绝对权利,而是自然人在与数据控制者互动的过程中,在参与到数据处理活动中时所触发和享有的一系列权利笔者认为,上述观点具有一定的道理。我国民法典将人格权独立成编,并基于社会现实的需要而在人格权编系统地确立了个人信息保护制度,该制度最主要的创新与发展之一就是明确了自然人的个人信息权益的性质为人格权益。民法典在人格权编将个人信息权益确立为人格权益的重要原因之一在于个人信息(
20、数据)开发和利用已成为社会发展的大趋势,甚至可以说,如果没有个人信息的利用需求和处理行为的存在,个人信息完全可以通过传统意义的民事权利或者利益类型进行规制和保护,没有必要特别确立个人信息权益,更没有必要适用过错推定责任。换言之,个人信息权益并不建立于个人信息之上,而存在于个人信息的处理行为之上。个人信息处理者的法定作为义务是针对处理行为过程中可能出现损害自然人人格权益的情形而设定的,并不具有普遍性,这也决定了个人信息处理者的过错推定责任是一种非普遍性责任。在一定意义上,个人信息处理者的法定作为义务和自然人的个人信息权益都是统一于个人信息处理行为之中。因此,处理行为既是个人信息处理者法定作为义务
21、的产生基础,也是自然人个人信息权益的存在环节。个人信息权益的保护应回归到处理行为之上,与因处理行为引起的法定作为义务而适用过错推定责任的基本原理保持了内在逻辑的一致性。综上,个人信息处理者承担过错推定责任的实质基础不在于地位或者能力上的差异,而在于其负有基于处理行为此种先前行为而产生的法定作为义务。处理行为本身不是侵权行为,只是个人信息处理者可能侵害个人信息权益的场景行为。个人信息处理者并不是在任何场景下都承担过错推定责任,只有在处理个人信息场合侵害个人信息权益时才可能承担过错推定责任。三、个人信息处理者过错推定责任与民法典的冲突及协调在个人信息保护法颁行后,学界对个人信息保护法和民法典两者之
22、间的关系有不同理解,一种观点认为,个人信息保护法和民法典属于特别法和一般法的关系,应当优先适用个人信息保护法的相关规定。另一种观点则认为,两者之间是相互并行的关系,而非特别与一般的关系。也有观点认为,不能简单地将民法典与个人信息保护法的关系界定为一般法与特别法的关系或者并存的基本法,而应当进行类型化分析。笔者认为,对于两者之间的冲突关系,不能一概而论,而应当进行具体分析。尤其,对个人信息保护法第69条规定的个人信息处理者过错推定责任与民法典相关规定之间的关系分析,更应如此。(一)个人信息处理者过错推定责任与民法典冲突关系的实质个人信息保护法第69条的过错推定责任规范在适用时可能会与民法典相关规
23、定发生一定的冲突关系。此种冲突关系的实质不在于个人信息处理者损害赔偿责任归责原则规范内容方面的体系衔接,而在于与个人信息保护中尤其是私密信息保护涉及的“强保护和“弱保护”问题之间的冲突关系。在归责原则的体系方面,个人信息保护法的立法者在立法阶段就刻意使个人信息处理者的过错推定责任规范与民法典保持了一致。例如,个人信息保护法二审稿(草案)第65条规定:“个人信息处理者能够证明自己没有过错的,可以减轻或者免除责任:在最后审议过程中,立法者将其修改为“处理个人信息侵害个人信息权益造成损害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任此与民法典第1165条第2款的立法表达完全保持一
24、致。笔者认为,个人信息保护法中个人信息处理者的过错推定责任规定与民法典侵权责任编没有冲突关系。理由在于,民法典第1165条第2款中的“法律”不仅指民法典,还包括其他特别法律,如个人信息保护法。民法典第11条规定:”其他法律对民事关系有特别规定的,依照其规定。”因此,个人信息保护法第69条第1款的过错推定责任是对民法典第1165条第2款的具体展开,关于个人信息处理者的过错推定责任,单独援引个人信息保护法的规定即可。虽然个人信息处理者的过错推定责任与民法典侵权责任编没有实质冲突,但与民法典人格权编的相关内容存在冲突关系。根据民法典第1034条第3款规定,一般认为,侵害私密信息的应当适用侵害隐私权的
25、规定,而侵害隐私权适用的却是一般过错责任。例如民法典第1226条规定,医疗机构及其医务人员应当对患者的隐私和个人信息保密。泄露患者的隐私和个人信息,或者未经患者同意公开其病历资料的,应当承担侵权责任。因此,医疗机构侵害患者个人信息行为是适用一般过错责任。在司法实践中,侵害个人信息往往也与侵害隐私权发生交叉,此种侵害行为也是适用一般过错责任。例如,在“谢某诉江苏苏宁易购电子商务有限公司网络侵权责任纠纷案,“原告李某与被告江苏苏宁易购电子商务有限公司隐私权纠纷案”“季某某诉江苏苏宁易购电子商务有限公司隐私权纠纷案”中,法院均认为,侵害的个人信息属于隐私的,应当适用一般过错责任,而非过错推定责任。但
26、是,如适用个人信息保护法,则应适用第69条规定的过错推定责任。值得注意的是,过错推定责任是一种更为严格的责任,对个人信息保护更为有力。如此适用可能会与民法有关民事权益位阶理论存在冲突:私密信息既受个人信息权益的保护,也受隐私权的保护,适用个人信息权益保护是一种弱保护,而隐私权作为一项具有排他性的人格权,相比个人信息保护是一种强保护。显然,个人信息处理者的过错推定责任的适用与依据民事权益位阶理论所要实现的“强保护”和“弱保护”是有冲突的。综上,个人信息处理者的过错推定责任与民法典的冲突主要体现于个人信息尤其私密信息保护中的“隐私权是强保护却适用更轻的一般过错责任和“个人信息权益是弱保护却适用更严
27、格的过错推定责任:(-)个人信息处理者过错推定责任与民法典冲突关系的成因个人信息处理者的过错推定责任在适用中与民法典产生冲突关系的主要原因有以下几方面:第一,自然人的隐私权客体与个人信息存在交叉关系,有些隐私属于个人信息的范畴,而有些个人信息也属于隐私权的客体。因而,侵害个人信息的责任承担就会与侵害隐私权的责任承担产生重合关系。民法典第1034条第3款规定:“个人信息中的私密信息,适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定。”而个人信息保护和隐私权保护的规定在规范体系上又属于分别独立的规制路径,这也是个人信息保护法第69条的过错推定责任与民法典产生冲突的直接原因。第二,对个人
28、信息侵权行为规定特别归责原则是我国理论研究的既有共识。一直以来,我国学界对侵害个人信息归责原则问题取得较大的共识是,应采取特别的归责原则。一种观点认为,应当采用二元的归责原则。依据不同的信息处理主体和方式,采取不同的归责原则。国家机关在处理个人信息时,采用无过错责任;非国家机关在处理个人信息时,采用过错推定责任。也有观点认为,应当采取三元归责原则。更有观点主张,个人信息侵权行为适用无过错责任的一元论。无论何种观点,都将个人信息侵权视为特殊的侵权行为,适用特别的归责原则。第三,规定特别的归责原则也受到了比较法的影响。在比较法上,关于侵害个人信息的归责原则都有明确的规定。在德国,一般认为,国家机关
29、违反法律规定,导致个人资料遭不法搜集、处理、利用或者导致其他侵害结果发生的,须承担无过错责任原则。例如,德国个人资料保护法第7条规定:“当公务机关在本法或其他资料保护规定下,由于未经许可或不正确的个人资料自动化处理对资料本人造成损害的,公务机关有责任赔偿本人的损失,而不论其是否有过错。”另外,在2003年通过的德国联邦数据保护法中明确规定,公共机关因不正确的数据自动收集、处理和使用而侵害了数据主体的利益,该数据控制人的责任机构有义务赔偿数据主体的损失,而不问其是否存在过错。然而,该法同时规定,一般的数据控制人如果尽到了具体情形下应尽的注意义务,则其可以免除损害赔偿义务。德国个人信息立法对个人资
30、料的侵权行为分为行政侵权行为和民事侵权行为两大类,对这两大类侵权行为适用不同的归责原则和不同的赔偿方法。我国台湾地区也是采取类似的规制路径:非国家机关对其民事侵权行为导致损害后果发生的,应承担过错责任。例如,我国台湾地区“个人资料保护法”第29条规定:“非公务机关违反本法规定,致个人资料遭不法搜集、处理、利用或其他侵害当事人权利者,负损害赔偿责任。但能证明其无故意或过失者,不在此限可见,在比较法上,个人信息侵权的归责原则采取了区分理论,即国家机关和非国家机关的个人信息侵权行为采取不同的归责原则,国家机关的个人信息侵权行为采取无过错责任,而非国家机关的个人信息侵权行为采取过错(推定)责任。但无论
31、适用何种归责原则,都存在适用特别归责原则的立法模式。此外,欧盟通用数据保护条例(GDpR)第82条第2款也规定:“参与处理的任何控制者应当为违反本条例的数据处理所导致的损害负责。任何处理者,仅在其未遵守本条例对于处理者义务的特别规定或采取超出控制者的合法指令或者与控制者的指令相反的处理行为时,应为数据处理导致的损害负责。”该条第3款规定了控制者和处理者的免责事由,即只有能够证明其无论如何都不应对造成损害的事件负责时,才能免除第2款的责任。此规定类似于过错推定责任,只是在证明内容上可能更为苛刻,是一种严格性弱于无过错责任的特殊责任。实际上,我国个人信息保护法第69条采用过错推定责任的立法直接借鉴
32、了GDPR,只是为保持与民法典的一致而将证明内容明确为“过错”。(三)个人信息处理者过错推定责任与民法典冲突关系的协调对于个人信息处理者的过错推定责任在适用中与民法典相关规定的冲突,不能简单依据特别法优于一般法或者上位法优于下位法规则予以协调,而要进行具体的利益权衡。实际上,个人信息保护法和民法典之间具有相互交叉的关系,在一定意义上,个人信息保护法是对民法典个人信息保护规定的具体化,起着重要的补充作用,而非单纯的特殊与一般关系。同时,两者之间也不是纯粹的相互并行关系,如果适用个人信息保护法的结果会严重违背民法典的基本原则,那么就应当适用民法典的相关规定。就个人信息处理者的过错推定责任而言,更多
33、意义上是民法典过错推定责任规定在个人信息侵权领域的具体化,对其在适用中产生实质冲突问题,还需适用者进行必要的价值判断和利益权衡,以实现较优的实施效果。笔者认为,处理私密信息侵害个人信息权益造成损害的,应当适用个人信息保护法第69条的过错推定责任,而非依据民法典第1034条第3款适用有关隐私权的规定。首先,不能简单认为,隐私权的位阶高于个人信息权益,就应适用更为严格的责任。在民法上,民事权益的位阶高低与归责原则没有关联。民事权益的位阶高,不意味着保护该种权益的责任承担就更为严格。无论是损害人身权益还是财产权益,都应当纳入民事责任体系进行统一调整,而不是适用不同的归责原则予以区别保护。因此,不能认
34、为隐私权在民事权益位阶上要求“强保护”就当然认为侵害“弱保护”的个人信息权益不能适用过错推定责任。其次,在利益权衡上,要求个人信息处理者承担过错推定责任、对私密信息实现更高程度的保护基于的是立法者明确的强化个人信息保护的特别目的。个人信息权益没有游离于民事权益范围之外,也没有与隐私权和名誉权等人格权益完全割裂。立法者通过强化保护个人信息权益,以达到保护人格尊严和人身安全等相关民事权益的最终目的。而且,个人信息具有多元化的权益属性,随着大数据技术的发展,个人信息作为一种特殊“物”所具有的公共属性变得愈发突出,将个人信息权益作为个人完全支配的绝对权显然与其公共属性存在一定的冲突,且会使其被滥用和侵
35、害的风险随之增大,这些都要求立法者对个人信息予以强化保护。此外,个人信息所涉利益主体具有多元性和复杂性,无论是作为个人信息最大保护者和利用者的国家,还是一般的个人信息处理者,都享有基于个人信息的权益,且享有的权益内容可能具有叠加性,但是,这些主体都不能逾越保护自然人个人信息权益背后蕴含的人格权益的基本底线。因此,应基于优先保护人格权益的利益权衡,强化保护个人信息权益以实现对自然人的人格权益的最终保护。基于此,在归责原则上对私密信息适用更为严格的过错推定责任,体现了立法者强化保护人格权益的特别目的。最后,需要指出的是,隐私权基于民事权益位阶理论要求的“强保护”并非是指适用更为严格的归责原则,而在
36、于隐私权不存在合理使用制度,并且在责任豁免方面具有严格性。相较而言,个人信息权益大多可以适用合理使用制度,而且法定的责任免除事由更为宽松。因此,民法典第1034条第3款规定的适用规则主要指向民法典第999、1035条,以及个人信息保护法第13条规定的个人信息合理使用制度和民法典第1036条规定的处理个人信息免责事由。综上,个人信息处理者侵害私密信息承担过错推定责任与民法典第1034条第3款规定之“隐私权要求较强保护”和“个人信息适用较弱保护”精神的冲突关系是可以协调的。从根本上看,个人信息处理者承担过错推定责任的原因在于其“处理行为引发的特殊利益权衡和特定的立法目的,而非在于隐私权和个人信息权
37、益的位阶高低。如果没有个人信息处理行为,那么个人信息处理者侵害私密信息应和侵害隐私权一样承担一般过错责任。四、个人信息处理者过错推定责任的具体适用只有明确个人信息处理者过错推定责任的适用范围和条件,才能更好地衔接适用民法典的相关规范内容,兼顾好个人信息处理中的保护和利用双重价值目标。(一)个人信息处理者过错推定责任的适用范围L主体范围个人信息保护法第69条的过错推定责任的主体是个人信息处理者。个人信息保护法第73条第1项规定,个人信息处理者是指在个人信息处理活动中自主决定处理目的、处理方式的组织、个人。有观点认为,个人信息处理者是对信息进行系统化存储与处理的主体。该观点具有合理性。实施偶发和零
38、散的个人信息处理行为的主体,因为没有对个人信息形成实质意义的控制力,不能成为个人信息处理者。2.行为范围个人信息处理行为包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。这些处理行为不仅与个人信息处理者的利益紧密相关,与自然人的利益直接相关,侵害的风险也蕴含于其中。个人信息处理行为具有一定的范围。个人信息保护法第72条第1款规定:“自然人因个人或者家庭事务处理个人信息的,不适用本法。”GDPR“前言”部分第18条也规定:“本条例不适用于自然人为与职业或商业活动无关的纯粹私人或家庭活动对个人数据进行的处理。私人或家庭活动可能包括通信往来及持有地址,或在该等活动的背景下进行的社交和网
39、络活动。”个人信息保护法第69条的过错推定责任涉及的行为场合也具有一定的限定性,并不是说个人信息处理者的所有行为都可以构成侵害行为。法律对个人信息的保护仅限于个人信息处理给个人利益带来威胁或损害的特定情形。因此,个人信息处理者的侵害行为须发生于个人信息处理过程之中。个人信息处理者的处理行为本身有合法和非法之分,但是其中发生的侵害个人信息权益行为都属于违法行为。3.客体范围个人信息处理者的侵害行为指向的对象是个人信息权益。换言之,个人信息处理者过错推定责任的直接保护客体是个人信息权益。关于个人信息权益的内容,主流观点认为,个人信息权益之“本权权益”主要包括人格尊严、人身财产安全以及通信自由和通信
40、秘密等利益,但不包括财产利益。此种观点具有一定的合理性。笔者认为,个人信息权益确实不应当包括财产利益,但通信自由和通信秘密等利益属于宪法上的权益,在本质上也与人格尊严和人格自由等密切相关,没有必要单独作为个人信息权益的内容。也有观点认为,个人信息保护的对象并不是个人信息本身,而是个人在各种社会关系中身份建构的自主性和完整性;个人身份权益尤其是动态身份权益的保护,并不能为姓名、肖像、名誉、隐私等具体人格权保护所涵盖。但笔者认为,个人信息虽然具有一定身份识别功能,但是保护的利益属于人身安全、自由和尊严等人格权益范畴,而身份利益主要体现于特定身份关系之中,与个人信息保护的人格权益具有明显的区分,不能
41、因为个人信息可能具有身份权益属性,就认为个人信息处理者过错推定责任包含保护身份权益的客体。综上,个人信息保护法第69条保护的客体应当仅限于人格尊严、人身安全等人格权益,不包括财产利益和身份权益。(二)个人信息处理者过错推定责任的适用条件个人信息保护法第69条第1款吸取了多年来域内外立法、司法实践和理论研究的成果,且具有本土特色。作为完全性法条,该条款基本沿袭了民法典第1165条第2款的规定。虽然二者规定具有明显的一致性,但是个人信息保护法第69条第1款仍有进一步解读的空间。L过错个人信息处理者过错的判断主要限于违法行为,而其违法行为在类型上除了形式违法行为之外,还包括违反比例原则的实质违法行为
42、。(1)违反规范性文件的形式违法行为侵权法上的过错是损害责任承担的归责事由和正义性基础,一般是指行为人的主观可谴责性。过错可以分为主观过错和客观过错,主观过错直接指向行为人的主观心理状态,而客观过错则主要依赖于外界的判断标准予以界定,例如法律规定、理性人标准和社会秩序等。对个人信息处理者过错的判断,应当采取客观过错标准。较之于民法典关于过错推定责任的一般规定,个人信息保护法第69条的过错推定责任之特别之处就在于其过错体现为对处理行为引发之法定义务的违反,原则上应依据具体规范性文件作出判断,而不应当依据理性人标准等抽象标准来界定。因为个人信息处理行为具有很强的专业性和技术性,且相关技术还在不断发
43、展中,相关的理性人标准难以确定,如依此标准确定过错,会导致个人信息利用行为的自由边界不具有确定性。因而,个人信息处理者的过错主要应通过个人信息处理者违反法律规定义务的行为进行判断。在解释论上,将个人信息处理者过错的判断主要限于违法行为,主要有以下三方面的理由:第一,适应较为复杂的价值冲突和利益关系。将个人信息处理者过错的判断主要限于违法行为,是价值冲突协调的结果。在个人信息保护法制定过程中,立法者将个人信息处理中侵害个人信息权益行为之归责原则确定为过错推定原则,主要是为了强化对受害人的保护,严格规范个人信息处理者的行为。但促进个人信息利用也是个人信息保护法的主要价值目标之一,与保护个人信息的价
44、值目标一样不可偏废。虽然强化个体信息赋权和加强信息控制者责任有利于个人信息保护,但如果不控制在合理范围内,将不利于信息的合理流通,有碍于个人信息公共性价值的发挥。因此,适用者对处理者侵害个人信息权益行为过错的认定不仅要体现个人信息保护的价值取向,同时也要兼顾个人信息的公共属性,保护个人信息的合理流通,不可因过分保护个人信息而阻碍了与个人信息相关产业的发展。个人信息的保护和利用涉及方方面面的利益关系,其并不纯粹是私人之间的利益关系,还包括公权力机关和私人之间的利益关系个人信息利用本身蕴含了多元利益冲突的关系。尤其是国家不再单纯以超然利益关系的治理者出现,它同时也是最大的个人信息收集、处理、储存和
45、利用者。面对如此复杂的利益关系,单纯强调保护个人信息,势必会牺牲个人信息的利用价值,甚至会有损国家利益和社会公共利益。而个人信息处理者承担的法定义务及其举证责任的轻重都会在一定程度上影响相关价值冲突的协调和利益关系的平衡:一方面,个人信息处理者通过严格履行规范性文件规定义务,实现对自然人个人信息权益的保护;另一方面,如果个人信息处理者能够证明自己的处理行为不存在具体违法情形,就可以被认定没有过错、不承担责任,从而实现个人信息的利用价值。在一般情形下,个人信息保护规范性文件已经为判断个人信息处理者的行为是否构成违法行为提供明确的标准。个人信息处理者完全有能力知悉这些规范性文件的内容,并在处理个人
46、信息的过程中就自身行为的合法性积极履行“留证”义务,以避免举证不能的不利后果。这对保护个人信息处理者利益而言,既不失之于“严”,也不失之于“宽因此,将个人信息处理者过错的判断主要限于违法行为并要求其承担证明责任,有利于协调个人信息保护和利用的价值冲突,对各方主体的利益衡量也是公平的。第二,过错吸收违法行为。虽然在侵权责任构成要件上存在“三要件”和“四要件,的分歧,但是过错与违法行为之间本身就存在紧密的联系。过错在一定意义上包含着违法行为。正如学者所言,“过错能够代替违法行为这一客观要件,违法行为应包含于过错之中:依此观点,违法行为在责任构成要件上属于过错的范畴。一般而言,个人信息处理者的违法行
47、为是指行为的不法性。具体而言,个人信息处理者在处理个人信息过程中负有各种具体的义务,甚至要主动依据法律法规等规范性文件的规定制定明确的个人信息保护标准。如果个人信息处理者违反相关行为规范和标准,就可以认定其有过错。个人信息处理者的违法行为和过错本身在逻辑上的共通性决定了个人信息处理者过错的判断可以主要限于违法行为。需要指出的是,违法性在侵权法上不构成独立的归责原则,只是对加害行为评价的一个标准,而不是判断损害是否可以转移承担的充分基础。这也是个人信息保护法没有直接规定“违法处理个人信息”作为要件的原因。在侵权法上,侵权行为就是指侵害他人权益的不法行为。那种将侵害他人民事权益的行为(致他人损害的
48、行为)原则上认定为违法的违法性判断标准过于宽泛,因为损害结果在一定意义上也是侵害权益行为的延伸。第三,符合行为规制法的特性。将个人信息处理者过错的判断主要限于违法行为,也符合个人信息保护法作为行为规制法的特性。学界对个人信息保护法的定位存在“赋权法说”和“行为规制法说”论争。“赋权法说”认为,我国个人信息保护法进一步细化了个人信息权的主体、客体、效力、行使条件、救济手段,从而形成了以个人信息的知情权、同意权、获取权、异议更正权、拒绝权、删除权等为权能的个人信息权利体系,通过赋权更有利于保护个人信息。而“行为规制法说”认为,我国现行的法律并没有明确设立个人信息基础性权利,在个人信息权利化存在理论
49、挑战与实践困境的情境下,有必要把重心放在实质规范个人信息处理行为上。笔者认为,个人信息保护法设置一系列规范体系主要在于规制个人信息处理行为,其对个人信息权益的保护也是侧重于对个人信息处理行为环节的侵权行为进行规制,因此行为规制法的定位更有利于实现对个人信息权益的直接保护,节约法律解释成本。实际上,在个人信息处理的各个环节,处理者都负有法定的作为义务,这些义务不但规范着处理者实施的处理行为,还可以避免个人信息权益侵害行为的发生。个人信息侵权可出现于个人信息处理的多个环节,损害具有普遍性、衍生性和继发性等特点。个人信息侵权中的损害与处理者在处理行为中的违法行为具有直接关系,如果处理者谨慎履行法定作为义务,损害在很大程度上是可以避免的。相