商希雪:侵害公民个人信息民事归责路径的类型化分析——以信息安全与信息权利的“二分法”规范体系为视角
2021年10月7日      ( 正文字号: )
文章标签:民事责任   侵权责任   个人信息
[ 导语 ]
      《民法典》和《个人信息保护法》在规范层面明确了侵害个人信息行为的民事责任依据。个人信息保护的民事责任体系由信息安全保障与信息权利行使两个维度构成。行为人可能面临侵权责任或违约责任,两类规范体系在适用场景、法益性质、核心原则、责任主体、责任性质、责任模式、处理机关上存在差异。然而,在目前司法处理中,民事保护思路缺乏可适用的具体规定及完整要件。对此,中国政法大学刑事司法学院讲师商希雪在《侵害公民个人信息民事归责路径的类型化分析——以信息安全与信息权利的“二分法”规范体系为视角》一文中,对上述问题进行探索,并重点对非损害类信息侵犯行为的定性与评价予以论证。
一、侵害个人信息安全行为的民事归责分析

(一)侵害信息安全行为的外延解读

1.信息泄露的侵害行为。信息泄露(广义)的行为表现主要包括泄露(狭义)、非法获取、出售、向他人提供等。根据对泄露违法性的不同判断标准,可分为绝对禁止泄露与相对禁止泄露两类。绝对禁止披露义务源自强制性规范,不存在征得信息主体同意的告知空间;相对禁止泄露则存在主体知情同意的表达空间。一方面,以主体同意为基本原则的处理场景主要针对不规范的信息获取与利用行为,违反了主体同意原则(未取得信息主体的授权),挑战了主体对自身信息的控制能力;另一方面,以禁止处理为基本原则的信息保护场景主要指未经同意的信息收集、处理与转移行为,该类行为导致信息面临被泄露的风险,侵犯了信息的安全利益。由此,从利益归属与行为启动看,即使同样基于同意制度,由于发生的利益动因与启动主体不同,对应的保护机制与责任性质存在本质区别,学理上应予以区分

2.信息窃取的侵害行为。信息窃取行为包括偷拍、窃听等侵害表现。此处的信息窃取行为采取狭义概念,不包括黑客入侵、工作人员超越权限违规获取信息等行为。对于信息窃取等侵犯公民隐私的行为,《刑法》目前存在规制缺失,民事救济手段则主要适用隐私权侵权保护制度。

3.信息破坏的侵害行为。篡改、毁损、丢失等信息破坏行为侵犯了信息自身的完整性,一方面直接造成信息主体的权益损害,如遭受身份假冒、资格丧失、志愿改变等;另一方面导致引发下游侵害行为的潜在风险,并对该风险损害后果存在因果关系,应承担一定的责任。此处,应注意区分身份信息盗用与身份信息冒用行为。二者本质上同属非法获取信息行为及后续使用行为,但在表现形式上存在一定区别。

(二)信息安全侵害行为的个人权益损害

1.民事归责的合理性。目前我国立法与执法现状均呈现重“刑事定罪”和“行政处罚”、轻“民事确权”与“民事责任”的特征。信息泄露可能会导致下游侵害的发生,给个人带来人身与财产安全的威胁或者给正常生活带来困扰。因此,信息泄露行为在事实上间接侵犯了公民的民事权益,这也是目前频发的个人信息安全事件中受害者正面临的首要法律救济疑虑。

2.现实损害的的法益评价与救济思路。一是具体人格权损害的归责分析。如果信息安全侵害行为直接或间接导致发生了明显侵犯隐私权、名誉权、荣誉权等具体人格权的下游侵害,应适用侵权责任制度,适用停止侵害、恢复名誉、消除影响、赔礼道歉,并赔偿损失等责任形式。如果信息安全侵害人与下游侵害人不一致,则两者应共同承担责任。如果下游侵害情形中侵犯了自然人的隐私权,受害者可主张精神损害赔偿。二是明显财产性损害的归责分析。当信息泄露行为引发了下游侵害财产权益的行为,可适用请求返还财产的责任形式。原则上,请求返还的相对方应为直接实施下游侵害的行为人,但上游的信息侵害人应共同承担责任,分担形式可为补充责任,而非连带责任,具体的责任承担则需考量信息安全侵害行为的过错程度、原因力等因素,以确定侵权赔偿责任的大小。

3.非现实损害的法益评价与救济思路。信息安全侵害的普遍后果在于产生了下游侵害发生的可能性,该可能性引发人们的不安与恐惧,即使暂时未出现下游侵害,鉴于信息储存的永久性,未来发生侵害的可能性会一直存在。由此,发生可能性本身即为“现实损害”。所以,对于造成非现实损害的信息侵害行为,理应受到法律制裁,受害人也应得到现实的法律救济。传统的损害赔偿制度难以有效遏制侵害个人信息行为的发生。因此,对于信息安全侵害行为应适用惩罚性赔偿制度,加强侵权保护的防范效果。

(三)侵害信息安全行为的侵权判断思路

在传统侵权构成要件基础上,对于信息侵害等新型侵权表现,立法视点应转由设置具有现实可行性的责任落实条款与风险防范机制。

1.下游侵害未发生信息安全侵害情形。当事人寻求法律救济时,如果尚未发生现实的下游侵害,司法处理仅可针对信息侵害行为做出处理,由此涉及抽象损害的法律认可与责任判断。

1)抽象(无形)损害的认定。对于信息泄露或非法提供信息行为的侵权定性一方面不要求上游或下游发生现实的具体损害;另一方面也不要求下游损害的实际发生(存在发生可能性即可)。进一步讲,即使发生现实性损害,也并不必然要求发生财产性损害。

2)仅针对信息侵害行为的侵权定性。单纯的信息泄露或非法提供行为被视为个人信息侵权的行为表现,不必然要求下游危害后果的发生,尤其是对于极其敏感的个人信息更应谨慎严格地进行“提前性”保护。因此,信息泄露作为侵害行为的认定不以发生了下游侵害为条件。

2.下游侵害发生信息安全侵害情形。尽管公民的实际损害一般由下游侵害行为直接导致,对于在源头上非法披露个人信息的行为人,对于受害人在下游侵害中遭受的实际损害,亦应承担民事责任。

1)责任分配解读与责任形式选择。共同侵权行为的内涵分为三种情形:一是共同故意;二是共同过失;三是虽无共同故意、共同过失,但其侵害行为直接结合发生了同一损害后果。信息安全侵害行为间接导致信息主体遭遇下游不法行为的损害,上游的信息侵害行为与下游的损害行为及其造成的现实损害存在相当的因果关系,上下游的侵害行为共同侵权的第三类情形。信息安全侵害案件中,根据过失或原因力比例的划分情况,上游的信息安全侵害人应对下游损害承担符合比例的或平均的侵权责任。基于信息安全的排除妨害诉求,应适用绝对权的保护请求权,包括停止侵害、排除妨碍、消除危险等。

2)过错形式分类与举证责任承担。《个人信息保护法》第69条明确规定个人信息民事侵权赔偿适用过错推定原则,结合《民法典》第1165条的规定,个人信息处理者应承担举证自身无过错的责任。

二、侵害个人信息权利行为的民事归责分析

(一)侵害信息权利行为的外延解读

1.侵犯知情权、同意权的情形。App运营者违法违规的收集、获取、告知行为均侵犯信息主体对其个人信息的知情同意权。《民法典》第1036条规定了信息主体私权救济的免责事由,司法实践中,必要性原则也可作为获取知情同意的免责条款。然而,未经同意的获取行为符合必要原则,不属于免责事由,因为收集阶段核心在于知情同意机制,并且在现实操作上,尤其对于人脸等生物识别信息,并不存在来不及获取同意的情形,获取行为本身需要信息主体在场。对于其他类型信息的获取,如果获取时信息主体不在场,若为了及时维护信息主体的合法权益来不及取得同意时,可视具体情形衡量其必要性,以作为侵犯知情同意权的免责事由。

2.侵犯具体信息自决权的情形。移动网络应用中侵害信息主体的知情同意权与自决权的情形包括:个人信息收集使用规则效果不佳;强制、频繁、过度索权成为普遍现象;私自收集频发、超范围收集问题突出;数据共享行为不规范、缺乏约束措施;无开启或关闭个性化服务选项;设置不合理障碍、账号注销难。

(二)侵犯信息权利行为的民事责任路径

1.民事责任模式的适用选择。个人信息私权利益的救济请求权基础为两类:人格权化与可交易性。侵权机制对应的是信息权利的人格权化,合同机制对应的是信息使用权的可交易性。考虑到个体维权的可行性与信息使用场景的多元化,基于不同的发生场景,按照司法处理的便利性,信息主体可选择诉诸侵权保护或违约救济制度。目前在司法实务中,侵害个人信息的民事纠纷主要为侵权纠纷,实践中只有极个别的侵害个人信息案件中的当事人提起违约之诉。

2.信息控制能力的财产利益保护:合同保护机制的适用基础。《个人信息保护法》将个人信息处理的合法性基础扩展为六类,其中包括为订立或者履行个人作为一方当事人的合同所必需,从而为个人信息权益的保障与救济提供了合同请求权基础。“必要性”是客观上的必要,需要通过客观的事实做出判断。需要注意,信息自决权益的合同保护机制属于公民私权的“意思自治”范畴,建立于主体的知情同意权之上,与信息处理的“合同所必要”基础存在差异。

个体的信息自决权益是人格权利益、数字生活便利、经济利益的混合体。个人信息的商品化与协商机制指向客观存在的法益,违约责任方式是维护信息自决权益的重要法律手段。在个人信息的财产化路径下,个人信息被认为是一种有价值的商品,可通过合同机制与他人进行交易。受数据财产化理论的影响,合同机制把双方的协定视为后续处理数据的核心依据。双方可协商的信息权利处分空间仅限于强制规范内容之外的意思自治事项。信息主体与数据处理者关于信息收集、权限获取、信息使用与处理等方面的格式条款与协商条款,仅对双方具有约束力。关于信息权利行使产生纠纷时,应首先通过合同当初的约定解决争端。《民法典》第179条规定了支付违约金的责任形式,因此在平台服务协议中,双方也可就信息的合规使用制定违约金条款,同时也为付费模式的个体化信息服务提供违约救济保障。

(三)信息产业运营中隐私信息的制度适用

对于隐私信息的侵权保护认定,不必然适用隐私权侵权保护机制,也可同等顺序适用个人信息权益的侵权保护制度。当然,两类侵权保护的认定可能会导致侵权救济的不同结果。从私权保护的价值判断上来看,尽管个人信息的人格权益一般高于财产权益,但信息自决权法益并不单纯属于财产范畴,由此,鉴于数字化生活的常态,法律实践应结合信息应用场景判断应维护的主要法益(隐私权制度保护的隐私被隐蔽诉求或个人信息权益制度保护的信息自决利益)。因此,当出现隐私利益(蕴含自决利益)的私权保护场景时,司法实践应追溯现实受损害的法益,避免仅依据个人信息保护制度或隐私权制度做出机械化的判断。

三、结论

个人信息安全的规范目标针对数据控制者对于集合性数据库的数据安保义务。个人信息保护中的民事责任路径分为两类:(1)对于信息泄露的安全侵害行为(包括线上与线下的信息泄露与窃取行为),民事责任主体包括数据控制者与数据泄露或窃取者等第三方侵害者;(2)信息产业运营中侵犯知情同意权与信息自决权的行为(仅限于信息网络环境中),民事责任主体仅限于网络服务运营商(数据控制者)。

对于个人信息安全利益的民事责任救济,一方面,体现出私法领域对于侵害信息安全行为所引发的潜在损害风险(非现实损害)以及已经发生的现实损害进行安抚与补偿的思路;另一方面,体现出对于信息主体具体的人身或财产权益进行预防性保护的思路。对于个人信息权利的民事责任救济,则体现出私法领域努力维护信息主体的信息自决能力,鉴于目前信息产业领域中数据控制者与个体之间悬殊的数据控制能力,私法层面保护信息权利彰显的是对于信息主体人格尊严的尊重,并赋予信息主体行使权利的主动性与自控力。考虑到目前企业越权或过度获取信息的现象过于猖獗,相较于低成本的行政处罚,应要求企业对于严重的信息侵害行为承担民事救济责任,从而警示与防范信息侵害行为的蔓延。



本文文字编辑江超男本文未经原文作者审核。本文为中国民商法律网“原创标识”作品。凡未在“中国民商法律网”微信公众号正式发布的文章,一律不得转载。



文献链接侵害公民个人信息民事归责路径的类型化分析——以信息安全与信息权利的“二分法”规范体系为视角

[ 参考文献 ]

本文选编自商希雪:《侵害公民个人信息民事归责路径的类型化分析——以信息安全与信息权利的“二分法”规范体系为视角》,载《法学论坛》2021年第4期。
【作者简介】商希雪,中国政法大学刑事司法学院讲师。

推荐阅读
梅夏英:企业数据权益原论:从财产到控制
企业数据权益是一个纯粹的数据问题。企业数据表现为对现实数据的有限自我控制,其保护应当以维护数据的控制为基础。
蒋大兴:公司董事会的职权再造
公司法应夯实经理层的经营决策职权,与其走向“董事会中心主义”,不如认可“经理人中心主义”。
缪因知:操纵证券市场民事责任的适用疑难与制度缓进
我国学界多主张为追究操纵证券市场民事责任提供更多便利,但相关制度适用中的法理疑难之处不可轻视。
热门排行
学术公告
问答集锦
相关文章
本期评价
0个赞
0个踩
敬请关注中国法学会民法典编纂项目领导小组组织撰写的《中华人民共和国民法典•民法总则专家建议稿(征求意见稿)》

编辑:江超男

向编辑提问:

分享

扫二维码
用手机看民商
用微信扫描
还可以分享至
好友和朋友圈

中国民法学研究会
教育部人文社会科学重点研究基地
中国人民大学民商事法律科学研究中心

本网站由王利明教授创办并提供全部运作资金 Copyright◎2000-2021 All Rights Reserved  
E-mail: ccclarticles@126.com