《民法典》视角下个人信息保护的侵权责任

2021年第20卷第3期

《民法典》视角下个人信息保护的侵权责任

□孙艳

【内容摘要】随着《民法典》出台，将人格权独立成编，并将个人信息保护纳入人格权编，这加大了对个人信息的民法保护，实践中关于个人信息保护的纠纷也在相应增多。根据现行法律规范侵犯公民个人信息属于一般侵权纠纷，因此其归责

原则适用过错责任原则，而实践中侵害个人信息的行为类型众多，法院面临原告举证困难，如果严格按照“谁主

张，谁举证”分配举证责任，将会有违公平原则和实现个案的正义的难题。因此，本文根据实践中对个人信息保护

纠纷中遇到的疑难问题进行探讨和思考。

【关键词】个人信息；合法性；责任主体；归责原则

【作者单位】孙艳，四川大学法学院

为了加强保护网络信息，特别是制裁侵害公民个人电子信息的侵权行为的规定，国家于2012年12月28日公布实施了《关于加强网络信息保护的决定》（以下简称《决定》）。而2020年5月28日通过的《中华人民共和国民法典》（以下简称“《民法典》”）将人格权独立成编，并将个人信息保护纳入人格权编，这既加大了对个人信息民事方面的保护力度，也构建了更加完善法律保护体系。随着对个人信息的民法保护，实践中关于个人信息保护的纠纷也在相应增多，然而，无论是《民法总则》、民法典人格权编，还是现行的涉及个人信息保护的其他一些法律规定，均缺乏对侵害个人信息民事侵权责任的具体规定。由于现行法律并没有对侵害公民个人信息的侵权责任适用何种归责原则，实践中将侵犯公民个人信息案件归属为一般侵权纠纷，因此根据《侵权责任法》第六条第一款之规定其归责原则适用的是过错责任原则，而实际上侵害的行为类型众多，法院面临原告举证困难，如果严格按照一般的举证责任分配方式分配举证责任，将会有违公平原则和实现个案的正义的难题。因此，应对个人信息保护纠纷中遇到的疑难问题进行探讨和思考。

一、问题引入

当前是数据爆炸式增长的时代，各种数据背后蕴藏着大量的信息，这些数据经过一定的集合会形成对某个个人的识别，进而构成个人信息的一部分。而在信息化时代，大数据的应用和普及使个人信息具有一定的社会价值，个人信息被收集、利用于商业场景的同时，如何在法律框定的范围内合法采集、保存、使用个人信息，不仅关乎公民隐私和个人信息安全的大事，而且关涉到整个社会的信息安全。从《民法典》到《民法总则》对个人信息保护的规定中，对个人信息保护的侵权责任归责原则的规定基本没有变动，个人信息保护纠纷仍属于一般侵权纠纷。因此对于个人信息保护纠纷中的举证责任，还是适用过错责任原则在原被告之间分配举证责任。原告需要对侵权责任构成要件承担举证责任。而司法实践中却存在原告举证难的问题，现实中原告往往仅能证明损害事实，对其他的侵权责任构成要件由于客观条件的限制难以证明，各法院在对个人信息保护纠纷的侵权责归责也是裁判不一，这对个人信息的保护显得尤为不利。因此通过实践中的典型案例来探讨对于个人信息保护纠纷中的侵权责任归责问题尤为必要。表1是侵害公民个人信息争议案例。

表1

案件案号归责原则法院举证责任分配证明程度判决结果

“去哪儿网案”（2017）京01民

终509号

过错责任

北京市第一中级人

民法院（二审）

原告“高度盖然性”原告胜诉

“苏宁易购案”（2016）苏0102

民初1123号

一般归责

原则

江苏省南京市玄武

区人民法院

原告

仅证明损害事实，无

法证明其他构成要件

原告败诉

“京东案”（2017）京0115

民初15827号

一般归责

原则

北京市大兴区人民

法院

原告

仅证明损害事实，无

法证明其他构成要件

原告败诉

“四川航空案”（2015）成民终

字第1634号

过错推定

四川省成都市中级

人民法院（二审）

原告盖然性优势原告胜诉

二、个人信息中的私密信息

《民法总则》规定了自然人享有隐私权，但并未界定个人信息和隐私权的概念，而此次的《民法典》第一千零三十四条和《民法典》第一千零三十二条各自明确规定了个人信息和隐私权的保护及隐私的具体含义。其中第一千零三十四条第二款中规定的个人信息中的“私密信息”和第一千零三十二条第二款中规定的隐私信息包括“私密信息”，对哪些信息属于个人信息中的私密信息进而受到隐私权的保护，没有作出清晰的区分和界定，在司法实践中对私密信息理解也存在一定的分歧。例如引起广泛热议的动物园“刷脸”案中，原告

2021年第20卷第3期

对公园工作人员拿手机刷人脸的行为表示担忧，并提出了异议，虽然人脸识别等公民生物识别信息，在此次《民法典》第一千零三十四条中明确被定义为自然人的个人信息，受法律保护。但是随之引起争论的是人脸识别出的人脸信息是属于个人信息呢，还是属于隐私信息，这似乎需要法律作出进一步的界定。由于法律对隐私权的保护比对个人信息的保护程度更为严格，即必须要有法律规定或权利人的明确同意，否则为禁止性行为。因此，还需要明确何为私密信息以便具有可操作性。而在上述案例中，姓名、电话号码及行程安排属于个人信息，而根据最该人民法院司法解释对隐私信息的界定，被害人基于姓名、电话号码的结合而构成的行程安排无疑属于私人活动信息，从而属于隐私信息，受到隐私权的保护。

三、对个人信息收集、使用的合法性

根据我国现行法律，收集和使用个人信息必须要经过被收集者的同意。意思是，未经同意的收集和使用就会构成违法行为，应当承担相应的法律责任。而根据最高人民法院的司法解释，构成侵权需要公开并致人损害时，才需要承担侵权责任，增加行为致损要件，因此仅未经同意的使用并不会构成侵权。在上述“去哪儿网”案中，法院根据原告的举证证明最终认定被告确实泄露了原告的个人信息，而对个人信息收集、使用的合法性却未讨论。而在其他一些相似案件中，也均未提及此问题。根据《民法典》第一千零三十五条的规定和第一千零三十八条规定信息处理者的规定，上述案例中，经营者也属于此处的信息处理者，那么其收集、使用个人信息的行为，根据第一千零三十五条第一款中“（四）不违反法律、行政法规的规定和双方的约定的规定”的规定，笔者认为，上述案例中经营者收集、使用个人信息行为的合法性来源是否可以是“（四）不违反法律、行政法规的规定和双方的约定”中基于双方的约定，并且作为一个理性消费者，从风险自担的角度来看，在需要提供个人姓名、电话号码等个人信息才能购买相关的服务的情况下，向他人提供个人信息，那么对经营者的收集、使用其个人信息具有一定的认识，但对双方在该服务结束后，经营者对消费者个人信息的收集、使用、加工等处理行为不得违反第一千零三十八条中对信息处理者的规定，否则，将构成侵权，需要承担相应的责任。

四、个人信息保护的责任主体

在上述个人信息保护纠纷中，侵犯个人信息的主体一般都有其自己的信息系统，通过信息系统来经营业务，消费者需要输入例如姓名、手机号码等个人信息购买所需服务，该系统能够将消费者的个人信息及与个人信息相关联的私人活动信息收集并录入其中，但这不妨碍公民有权自主决定对个人信息是否使用以及如何使用。以“四川航空案”为例，当事人的姓名、电话号码和行程信息被泄露，这明显侵犯了公民对个人信息自主决定使用的内容。而作为经营者一方，接到林念平投诉个人信息被泄露的电话时，并未采取任何补救措施，反而对林念平的投诉推三阻四，漠不关心，而且笔者注意到在类似林念平事件发生之前，已有多家媒体和网络报道关于航空公司泄露个人信息的新闻，其中不乏有一些权威媒体的报道，根据《消费者保护法》第二十九条规定的经营者对消费者个人信息的保护义务及在发生信息泄露时采取补救措施的义务和《民法典》第一千零三十八条第二款的规定，其中对采取补救措施的义务是在发生或可能发生信息泄露、丢失的情况时，应立即采取补救措施，而上述案件中，至纠纷发生时，已经有媒体多次报道发生信息泄露的消息，即使该报道的新闻有待进一步的确证真伪，但这已经足以使案件中的经营者关注信息管理系统采取必要技术措施排查漏洞、防范风险，并公告检查维修结果，以使消费者及时了解并做好替代方案以避免存在的潜在的风险。

在个人信息保护的责任主体上，在《民法典》将其责任主体统称为信息处理者之前，由于我国还未制定施行专门的个人信息保护法，所以对侵害个人信息需要对此承担相应法律责任的主体法律上并没有一个统一的称谓，不同法律根据其调整的范围对此作了不同的规定。不同于欧盟的《通用数据保护条例》（General Data Protection Regulation，“GDPR”）对信息控制者和信息处理者进行了区分，此次《民法典》没有对责任主体作信息控制者与信息处理者身份的区分，因此这意味着公民在个人信息受到侵害寻求民事救济时，可以对法律规定的所有责任主体提起诉讼，无论是信息控制者还是信息处理者，他们之间的有关个人信息的数据系统合同仅能在他们两个主体之间发生效力，约束合同当事人，不能对抗合同以外的第三人。在上述案例中，在涉及责任主体的问题上，法院没有对控制者和处理者身份进行区分，而是认为如果经营者能够举证证明其确实采取了确保消费者信息安全的技术措施和其他必要措施已经尽到了法定义务，并举证证明个人信息由第三方泄露的，即可免责。否则仅仅以使用的服务系统是由第三方提供无法对录入该系统的消费者个人信息进行有效的监控，消费者遭受的因个人信息泄露和短信诈骗，可能是服务系统的环节出现了问题，被不法分子利用为由来抗辩，显然不能就此免除其责任。因为，此时经营者与提供信息系统的第三方之间构成的内部法律关系并不能对抗内部关系之外的善意消费者，不论使用自身的系统还是第三方的系统为消费者提供服务，均应采取技术措施和其他必要措施，确保消费者信息安全。

五、侵害公民个人信息民事责任的归责原则

（一）举证责任的分配。在上述案例中，有许多法院的裁判都是严格按照谁主张谁举证的原则进行举证责任分配，例如在“苏宁易购案”和“京东案”中，在这两个案件中由原告承担侵权责任的构成要件的举证责任，但客观上其只能证明损害事实，无法证明其他的侵权责任构成要件，最终其诉讼请求没有得到法院的支持。此外，也有一些法院对原告的举证责任承担明显缓和，证明标准给予适当的放宽。例如，在“去哪儿网案”中，法院没有严格适用过错责任的归责原则，由原告承担举证责任，而是在认定侵权事实发生“具有高度盖然性”的情况下即认定原告完成了举证。但该案件被最高人民法院作为典型案例公布，可以看到对个人信息保护的从严态势。同样的还有“四川航空案”，基于客观条件下，原告举证能力有限，根据公平原则和诚实信用原则，法院要求被告企业对其已经履行了个人信息安全保护义务承担举证责任，实际上将举证责任倒置给了被告企业。这种尝试，有往过错推定方向倾斜。然而这两个案件中法院对侵权事实“高度盖然性”的认定并没有作出充分、详细的说理和论证，因此从司法实践来看，尚未形成统一的标准。

在证明侵权责任构成要件时，侵害公民个人信息的纠纷