侵犯個人信息行為的民事責任承擔＊

尹偉民 王曉婷

(1.大連海事大學法學院,遼寧 大連 116026；2.中國人民銀行丹東市中心支行,遼寧 丹東 118000)

由于計算機技術的突飛猛進以及網絡技術的普及應用,我們的生活被前所未有的信息化。然而,在信息化的過程中,信息社會除了給人們的生活提供了更加方便、快捷的生活外,同時帶來了日益增多的侵犯公民個人信息的行為。由于侵犯個人信息行為涉及的法律關系具有復雜性,因此,侵犯個人信息行為的責任類型具有多樣性,包括民事責任、行政責任、刑事責任。因為民法的保護關系到每一個社會個體的切身利益,因此,本文以民事責任的視角探討侵犯個人信息行為的責任承擔。

一、個人信息的法律屬性

個人信息法律屬性的認定,是侵犯個人信息行為民事責任承擔的前提條件,對于民事責任性質的認定以及責任承擔方式的選擇具有決定作用。

理論界對于個人信息的權利屬性的界定眾說紛紜,觀點難以統一。具有代表性的觀點主要有“所有權客體說”、“隱私權客體說”、“人格權客體說”以及“基本人權客體說”。[1](P93)

“所有權客體說”認為,“個人信息的本質是物,并且在法律和公共利益允許的范圍內,個人信息的所有者可以對其享有的個人信息行使所有權的占有、使用、收益、處分四種權能；還認為,個人信息所指向的個人就是個人信息的所有者,個人信息的所有權歸屬不因條件的改變而改變。”[2]這種觀點完全否定了個人信息的人格權屬性,因而達不到保護個人信息主體人格利益的目的。采用此說,個人信息主體不能得到因為侵犯個人信息行為而受到的精神損害賠償。

“隱私權客體說”來自于美國法,該說認為個人信息為隱私權客體。并且美國法建立了“公開權”理論用以保護隱私權上存在的財產利益。“‘公開權’其實就是某人向他人出賣自己隱私權所得的價格”,[3](P648-649)是隱私權財產屬性的抽離。雖然這一觀點對個人信息法律保護提供了重要理論指引,但是,由于我國法律上并沒有公開權的概念,此學說會導致個人信息的財產利益無法被法律保護。所以,該學說亦不適合我國的法律傳統和習慣。

“基本人權客體說”從憲法的角度予以闡述,認為個人信息是一種基本人權,對個人信息的保護,尤其對隱私權的保護,是對個人的基本權利和自由的保障。這種觀點與侵犯個人信息行為的民法保護關聯不大。

本文贊同“人格權客體說”的觀點,認為個人信息是一種具有財產權屬性的一般人格權。

首先,個人信息具有人格權的屬性,其原因在于：其一,個人信息是自然人主體所固有的,個人信息的存在與自然人主體密切相關,是直接或者間接識別自然人的重要手段。其二,個人信息是專屬于自然人的權利,其他主體不能享有。人格權是專屬于民事主體的權利,個人信息的專屬性特點具有人格權屬性。其三,個人信息中有部分內容屬于個人隱私的范疇,當這部分個人信息被非法收集、使用和利用時,自然人的隱私權即被侵犯。而隱私權是自然人人格權的重要組成部分,是人格權中所規定的一種獨立的、具體的權利。

其次,個人信息屬于一般人格權的范疇。一般人格權是具體人格權的基礎。個人信息所包含的內容龐雜,如果將其定為一項具體人格權,則會造成民事立法的障礙,不利于對個人信息的保護。雖然我國民法沒有關于一般人格權的規定,但《憲法》的原則性規定、《民法通則》關于名譽權的規定、其他單行法的具體性規定為個人信息界定為一般人格權提供了法律依據和可能。

最后,個人信息具有財產權的屬性。個人信息具有財產價值。隨著信息時代的不斷發展,個人信息的財產價值也愈顯突出。收集客戶的個人信息,甚至于建立完善的客戶個人信息數據庫,這對于處于激烈市場競爭中的企業至關重要。在市場經濟的背景下,個人信息具有一定的財產價值。同時,個人信息逐漸商業化,個人信息的所有者可以出售自己的個人信息,以換取一定的經濟利益,實現自己個人信息的商業價值。個人信息的受讓者也可以在正當目的下,對個人信息進行再次利用和處理,實現其所獲取的個人信息的商業價值。個人信息在被非法獲取后,也會被非法獲取人用以收取相應的對價。此外,個人信息具有財產權的稀缺性和排他性。

二、侵犯個人信息行為的民事責任性質

侵犯個人信息行為的責任類型具有多樣性,包括民事責任、行政責任、刑事責任三種。關于侵犯個人信息行為的民事責任,目前各國立法和學術研究大都關注有關侵權責任的內容,而忽略了違約責任的部分。因為我們將個人信息的權利屬性界定為一般人格權,因而侵權責任是侵犯個人信息民事責任的重要內容。但是,個人信息權具有財產權屬性,而且隨著信息社會的不斷發展,人們在一定程度上已經將個人信息帶入市場并進行交易。任何商品交易的順利進行都需要《合同法》的調整和規范,個人信息交易也不例外。因此,在個人信息交易過程中出現的侵犯個人信息行為,也可能導致違約責任的產生。

(一)侵犯個人信息行為的侵權責任

侵犯個人信息行為的具體樣態表現為個人信息的不正當收集和個人信息的不正當處理兩個方面。

首先,個人信息的不正當收集可能導致民事侵權責任。個人信息的不正當收集包括個人信息的過度收集以及個人信息的非法收集。二者都可能導致民事侵權責任。

就個人信息的過度收集而言,在損害事實方面,個人信息的過度收集將使個人信息主體的個人信息陷于被侵犯的危險狀態,超出收集目的的那部分個人信息在被收集主體或者第三方利用的情況下,會導致個人信息主體對于這部分個人信息喪失存在其上的財產利益或者非財產利益；在行為的違法性方面,個人信息的過度收集超出了收集主體與個人信息主體共知收集目的,此種行為不符合個人信息法律保護的規定,侵犯了個人信息主體對個人信息的知情權、控制權以及支配權；在行為人的過錯方面,個人信息的過度收集往往是在收集主體故意的心理狀態下進行的；在違法行為與損害事實之間的因果關系方面,先是有了個人信息的過度收集行為,從而造成了個人信息主體在過度收集范圍內遭受財產利益或者非財產利益的損失。因此,個人信息的過度收集可能造成民事侵權責任的產生。

個人信息的非法收集也符合民事侵權責任的構成要件。個人信息的非法收集包括收集目的不合法以及收集手段不合法。在損害事實方面,個人信息的非法收集是基于收集主體對經濟利益的追求而產生的,將導致個人信息主體喪失對其個人信息的財產利益,另外,也會導致個人信息主體遭受精神上、心理上的損害；在行為的違法性方面,毋庸置疑,個人信息的非法收集必然是違法法律禁止性規定的行為；在行為人的過錯方面,收集主體在對個人信息的非法收集時,其心理狀態必然是故意的；在違法行為與損害事實之間的因果關系方面,個人信息的非法收集必然致使個人信息主體遭受財產上或非財產上的損害事實。

其次,個人信息的不正當處理可能導致侵權責任。個人信息的不正當處理主要包括個人信息的不當泄露、個人信息的惡意篡改和惡意傳播以及個人信息的不當使用和利用。

在損害事實方面,個人信息的不當泄露會使個人信息主體的個人信息落入無權處理主體之手,從而使個人信息主體生活安寧遭受破壞,名譽權、隱私權甚至生命權、健康權等遭受損害；個人信息的惡意篡改和惡意傳播,影響了個人信息的準確性,有可能使個人信息主體喪失受教育權、公平就業權等基本人權,也可能導致個人信息主體名譽權、隱私權以及信用權等遭受損害；個人信息的不當使用和利用主要是為了追求個人信息的商業價值,從而損害了個人信息主體所享有的個人信息財產權。在行為的違法性方面,個人信息的不正當處理所造成的損害事實,通常都受到憲法、民法等法律禁止性規定的調整,因而具有行為的違法性。在行為人過錯方面,個人信息的不當泄露通常表現為過失的心理狀態且為重大過失,也有部分行為是行為人故意而為之；個人信息的惡意篡改和惡意傳播是在行為人故意的心理狀態下進行的；個人信息的不當使用和利用通常也是行為人在故意的心理狀態下進行的。在違法行為與損害事實之間的因果關系方面,個人信息的不正當處理與個人信息主體遭受的損害事實存在客觀的因果關系。

(二)侵犯個人信息行為的違約責任

個人信息既然具有財產屬性,就可以被用于商業交易。廣義上的個人信息交易包括兩種情況,一種情況是指個人信息利用人以商業利益為目的,采用許可使用、轉讓或者交換等方式將個人信息交給第三人的行為；另一種情況是指個人信息主體本人以獲取利益為目的,將自己的個人信息出售給收集人的行為。[4](P199)第一種情況下的個人信息交易行為,主要發生在個人信息合法利用人與第三人之間,有關許可使用、轉讓或者交換的合同也是在二者之間成立的,其二者與個人信息主體沒有相對應的合同關系。因此,在這種情況下,如果發生未經個人信息主體同意的交易行為,則可能會涉及到對個人信息主體的民事侵權責任,但是,其對個人信息主體不需要承擔違約責任。而第二種情況下的個人信息交易行為,是直接發生在個人信息主體與收集人之間的,個人信息主體是個人信息許可使用、轉讓或者交換合同的當事人,享有合同權利,承擔合同義務,可能出現一方當事人違反合同約定,侵害對方當事人個人信息,從而承擔違約責任的情形。

另外,在侵犯個人信息的違約責任方面,還存在一種因違反附隨義務而導致的違約責任。所謂附隨義務,是指法律上沒有規定,當事人亦沒有明確約定,但是以維護合同對方當事人利益為目的,根據誠實信用原則,按照交易習慣和觀念,當事人在合同存續以及整個履行過程中所應當負擔的義務,通常包括通知、協助、保密等義務。[5](P214)在日常生活中,個人信息主體除了直接與個人信息收集者交易自己的個人信息外,還可能因為成立其他合同而涉及到自己的個人信息。比如,在簽訂商品房買賣合同、保險合同、手機入網協議等合同時,要如實填寫身份證號碼、手機號碼、家庭住址、國籍等個人信息。因此,這些合同自然而然地涉及了個人信息。對方當事人在履行合同的過程中,如果違背誠實信用原則而將個人信息不當泄露或轉讓,就會因違反合同附隨義務而承擔違約責任。

綜上,侵犯個人信息行為既可能導致侵權責任,也可能導致違約責任。并且,侵犯個人信息行為在導致違約責任的情況下,必然構成侵權責任與違約責任的競合。

三、侵犯個人信息行為的歸責原則

影響歸責原則的確定主要有以下三個要素：第一,法律的明文規定。過錯責任原則是侵權責任法上普遍適用的一般原則,但是無過錯責任原則、嚴格責任原則等必須有法律明確規定時方可適用。第二,當事人雙方的舉證能力。當受害人對于行為人的過錯在舉證方面非常困難時,法律基于對弱勢一方的保護,規定了無過錯責任原則和嚴格責任原則。第三,公平原則。公平是民法基本價值的體現,正是基于公平的考慮,才有過錯責任原則、無過錯責任原則以及嚴格責任原則的存在。

對于無過錯責任原則而言,由于各國以及部分地區在個人信息保護方面都致力于平衡個人信息保護與個人信息流通的關系。如果將無過錯責任原則引入侵犯個人信息行為的歸責之中,會阻礙信息的流通,不利于未來社會的發展。因此,無過錯責任不應當作為侵犯個人信息行為的歸責原則予以適用。

因此,我國對于侵犯個人信息行為的歸責原則,應當將過錯責任原則作為原則性規定,而在舉證責任分配上,宜采用過錯推定原則。對此,相關規定為我們提供了可資借鑒的經驗。德國和臺灣關于個人信息保護的立法都將過錯責任原則作為侵犯個人信息行為的基本歸責原則。同時,我國《侵權責任法》也將過錯責任原則作為侵權責任歸責原則的一般原則。

值得注意的是,就我國侵犯個人信息現狀而言,信息收集者和處理者一般是公司和企業,他們通常比個人信息主體擁有更多的資本和實力。因而,二者之間無論在舉證能力方面,還是在訴訟活動的進展方面,都存在很大的差距。由于侵犯個人信息行為已經進入網絡時代,對于個人信息的侵犯較之以往更具有隱蔽性、嚴重破壞性、無地域性等特征。這也導致了受害人舉證能力上的欠缺。因此,侵犯個人信息行為在舉證分配方面宜采用過錯推定原則。根據我國《侵權責任法》第6條的規定,如果行為人的過錯可以根據法律規定推定出來,且行為人對于自己的無過錯不能證明的話,則該行為人應當承擔侵權責任。由此,過錯推定原則的適用需要法律明確規定,而我國相關法律目前并沒有規定對侵犯個人信息行為適用過錯推定原則,因此,對于過錯推定原則的適用需要在相關的法律文件中予以明確。

四、侵犯個人信息行為的民事責任承擔方式

雖然個人信息具有一定的財產權屬性,但是其屬于一種無形財產,個人信息一經非法收集和處理,就不適用于返還財產和恢復原狀的承擔方式。另外,排除妨礙、消除危險也多用于恢復物權的圓滿支配狀態情況下,因而二者也不宜作為個人信息侵權責任的承擔方式。因此,個人信息侵權責任的承擔方式主要包括賠償損失、停止侵害、賠禮道歉、以及消除影響、恢復名譽。

就損害賠償而言,在個人信息民事責任的財產損失賠償方面,目前主要存在兩種立法模式：一是以英國為代表的不區分責任性質模式,此模式對行政侵權和民事侵權作統一的規定,均以全額賠償為原則；二是以德國為代表的區分責任性質模式,對個人信息的行政侵權與民事侵權的賠償標準分開規定,其中,民事侵權責任承擔方式采用全額賠償原則,行政侵權責任承擔方式則采用最高限額賠償原則,且法律對最高限額有明確的規定。[6]與英國模式相比,德國模式更加有助于平衡個人信息主體與國家機關之間的利益關系,同時在民事侵權賠償數額方面也有法可依,這種模式可以成為我國立法的借鑒。我國臺灣立法也是借鑒了德國的規定,對個人信息行政侵權規定了明確的最高限額。

因此,我國對于個人信息侵權責任的財產損害賠償,應當采用全額賠償原則,具體的財產損害賠償計算方法以及標準可以參照《最高人民法院關于審理涉及計算機網絡著作權糾紛案件具體應用法律若干問題的解釋》的有關規定。其中,相關條款主要為該解釋的第10條,依據該條規定,在確定侵權賠償數額時,人民法院可以根據受害人的請求,依照受害人基于侵權行為而遭受的直接經濟損失以及預期應得利益損失計算；或者依照侵權人基于侵權行為而獲得的利益進行計算。侵權人無法對其成本或者必要費用進行證明時,侵權人因侵權行為所獲得的收入即可視為其所獲得的利益。受害人的損失數額無法確定時,人民法院根據受害人的請求,可以參照侵權行為的侵害情節在高于500元人民幣,低于30萬元人民幣的范圍內確定損害賠償數額,其最高賠償額以30萬元人民幣為限。

除了財產的損害賠償之外,當個人信息受到侵犯時,責任人也應當對受害人進行精神損害賠償。責任人對個人信息主體的精神損害賠償主要包括兩方面內容：一是對個人信息主體因精神痛苦而遭受的精神損害的賠償；二是對個人信息主體因精神痛苦導致的其他損失的賠償,如治療費用、誤工費等。對于精神損害賠償,最高人民法院的司法解釋雖然有所規定,但是規定較為原則,具體數額很難確定。而且,網絡環境下,侵犯個人信息行為常常會牽連到數量巨大的受害人,在有限的司法資源內,很難對個體受害人的精神損害賠償數額逐一確定。因此,對于侵犯個人信息行為所造成的精神損害賠償,可以考慮規定一個相對固定的賠償數額或者賠償限額,以保證公平和提高效率。臺灣的相關立法為此提供了可資借鑒的經驗,臺灣“資料法”關于精神損害賠償的規定體現了兩個限制：一是關于財產損害賠償和精神損害賠償總額的限制。但個人信息主體能夠證明其所受損害超過該限額的,按實際損害數額賠償；二是關于因同一事實原因所產生的精神損害賠償的總額限制。由于侵犯個人信息行為具有無地域性、高科技性、隱蔽性以及損害后果嚴重性等特征,其涉及的經濟利益巨大,受害人數量眾多。因此,采用“同一事實原因”對其精神損害賠償總額進行限制,一方面能夠使個人信息主體的精神損害得到適當賠償,同時也能保護電子商務、網絡經營者及新興行業等的成長和發展。

此外,停止侵害、賠禮道歉和消除影響、恢復名譽也是主要的侵害個人信息行為責任承擔方式。

就停止侵害而言,由于個人信息侵權行為的特點是侵權行為往往是一經做出,損害結果即時產生,個人信息不具有可恢復性。因此,個人信息侵權責任的承擔方式,在適用停止侵害時,常與賠償損失、賠禮道歉等民事責任承擔方式一并適用。個人信息主體或其監護人、利害關系人都可以作為提出停止侵害請求的主體,他們可以對行為人請求,也可以向法院請求,并申請強制執行。[7](P369)

就賠禮道歉而言,賠禮道歉的典型方式是以書面形式,在公開場合向受害人進行,如通過報紙發表公開道歉聲明等。但是,“公開”不是賠禮道歉的必要條件。個人侵權責任適用賠禮道歉這一承擔方式時,可以根據具體情況決定是否公開進行：當個人信息侵權行為只涉及個人信息主體的瑣碎個人信息時,一般要求責任人采用公開方式進行賠禮道歉；當個人信息侵權行為涉及個人信息主體的敏感個人信息時,則要求責任人采用非公開方式進行賠禮道歉為宜,因為此時采取公開方式,會導致對敏感個人信息的進一步傳播和披露,令個人信息主體受到額外的傷害。

就消除影響、恢復名譽而言,在個人信息侵權中,尤其是侵犯個人信息主體的保持個人信息完整和準確的權利時,個人信息主體可以要求責任人采用消除影響、恢復名譽的方式承擔民事責任。[4](P256)但是,在個人信息被不當泄露和使用的情況下,個人信息已經不能被恢復到未公開的狀態,個人信息主體再要求責任人消除影響、恢復名譽也有可能導致個人信息主體受到二次傷害。因此,消除影響、恢復名譽必須嚴格根據個人信息主體的選擇進行,并以適當的方式,在適當的范圍內進行。

[1]齊愛民.拯救信息社會中的人格：個人信息保護法總論[M].北京：北京大學出版社,2009.

[2]湯擎.試論個人資料與相關法律關系[J].華東政法學院學報, 2000,(5)：45-6.

[3]Richard G.Turkington＆Anita L.Allen,Privacy Law：Cases and Materials,2nd ed[M].St.Paul：West Group,2002.

[4]齊愛民.個人資料保護法原理及其跨國流通法律問題研究[M].武漢：武漢大學出版社,2004.

[5]韓世遠.合同法總論(第二版)[M].北京：法律出版社,2009.

[6]齊愛民.信息社會中個人信息的濫用與人格權侵害[J].重慶郵電大學學報,2007,(7)：38-43.

[7]張新寶.隱私權的法律保護(第二版)[M].北京：群眾出版社, 2004.