尹伟民 王晓婷

(1.大连海事大学法学院,辽宁 大连 116026；2.中国人民银行丹东市中心支行,辽宁 丹东 118000)

由于计算机技术的突飞猛进以及网络技术的普及应用,我们的生活被前所未有的信息化。然而,在信息化的过程中,信息社会除了给人们的生活提供了更加方便、快捷的生活外,同时带来了日益增多的侵犯公民个人信息的行为。由于侵犯个人信息行为涉及的法律关系具有复杂性,因此,侵犯个人信息行为的责任类型具有多样性,包括民事责任、行政责任、刑事责任。因为民法的保护关系到每一个社会个体的切身利益,因此,本文以民事责任的视角探讨侵犯个人信息行为的责任承担。

一、个人信息的法律属性

个人信息法律属性的认定,是侵犯个人信息行为民事责任承担的前提条件,对于民事责任性质的认定以及责任承担方式的选择具有决定作用。

理论界对于个人信息的权利属性的界定众说纷纭,观点难以统一。具有代表性的观点主要有“所有权客体说”、“隐私权客体说”、“人格权客体说”以及“基本人权客体说”。[1](P93)

“所有权客体说”认为,“个人信息的本质是物,并且在法律和公共利益允许的范围内,个人信息的所有者可以对其享有的个人信息行使所有权的占有、使用、收益、处分四种权能；还认为,个人信息所指向的个人就是个人信息的所有者,个人信息的所有权归属不因条件的改变而改变。”[2]这种观点完全否定了个人信息的人格权属性,因而达不到保护个人信息主体人格利益的目的。采用此说,个人信息主体不能得到因为侵犯个人信息行为而受到的精神损害赔偿。

“隐私权客体说”来自于美国法,该说认为个人信息为隐私权客体。并且美国法建立了“公开权”理论用以保护隐私权上存在的财产利益。“‘公开权’其实就是某人向他人出卖自己隐私权所得的价格”,[3](P648-649)是隐私权财产属性的抽离。虽然这一观点对个人信息法律保护提供了重要理论指引,但是,由于我国法律上并没有公开权的概念,此学说会导致个人信息的财产利益无法被法律保护。所以,该学说亦不适合我国的法律传统和习惯。

“基本人权客体说”从宪法的角度予以阐述,认为个人信息是一种基本人权,对个人信息的保护,尤其对隐私权的保护,是对个人的基本权利和自由的保障。这种观点与侵犯个人信息行为的民法保护关联不大。

本文赞同“人格权客体说”的观点,认为个人信息是一种具有财产权属性的一般人格权。

首先,个人信息具有人格权的属性,其原因在于：其一,个人信息是自然人主体所固有的,个人信息的存在与自然人主体密切相关,是直接或者间接识别自然人的重要手段。其二,个人信息是专属于自然人的权利,其他主体不能享有。人格权是专属于民事主体的权利,个人信息的专属性特点具有人格权属性。其三,个人信息中有部分内容属于个人隐私的范畴,当这部分个人信息被非法收集、使用和利用时,自然人的隐私权即被侵犯。而隐私权是自然人人格权的重要组成部分,是人格权中所规定的一种独立的、具体的权利。

其次,个人信息属于一般人格权的范畴。一般人格权是具体人格权的基础。个人信息所包含的内容庞杂,如果将其定为一项具体人格权,则会造成民事立法的障碍,不利于对个人信息的保护。虽然我国民法没有关于一般人格权的规定,但《宪法》的原则性规定、《民法通则》关于名誉权的规定、其他单行法的具体性规定为个人信息界定为一般人格权提供了法律依据和可能。

最后,个人信息具有财产权的属性。个人信息具有财产价值。随着信息时代的不断发展,个人信息的财产价值也愈显突出。收集客户的个人信息,甚至于建立完善的客户个人信息数据库,这对于处于激烈市场竞争中的企业至关重要。在市场经济的背景下,个人信息具有一定的财产价值。同时,个人信息逐渐商业化,个人信息的所有者可以出售自己的个人信息,以换取一定的经济利益,实现自己个人信息的商业价值。个人信息的受让者也可以在正当目的下,对个人信息进行再次利用和处理,实现其所获取的个人信息的商业价值。个人信息在被非法获取后,也会被非法获取人用以收取相应的对价。此外,个人信息具有财产权的稀缺性和排他性。

二、侵犯个人信息行为的民事责任性质

侵犯个人信息行为的责任类型具有多样性,包括民事责任、行政责任、刑事责任三种。关于侵犯个人信息行为的民事责任,目前各国立法和学术研究大都关注有关侵权责任的内容,而忽略了违约责任的部分。因为我们将个人信息的权利属性界定为一般人格权,因而侵权责任是侵犯个人信息民事责任的重要内容。但是,个人信息权具有财产权属性,而且随着信息社会的不断发展,人们在一定程度上已经将个人信息带入市场并进行交易。任何商品交易的顺利进行都需要《合同法》的调整和规范,个人信息交易也不例外。因此,在个人信息交易过程中出现的侵犯个人信息行为,也可能导致违约责任的产生。

(一)侵犯个人信息行为的侵权责任

侵犯个人信息行为的具体样态表现为个人信息的不正当收集和个人信息的不正当处理两个方面。

首先,个人信息的不正当收集可能导致民事侵权责任。个人信息的不正当收集包括个人信息的过度收集以及个人信息的非法收集。二者都可能导致民事侵权责任。

就个人信息的过度收集而言,在损害事实方面,个人信息的过度收集将使个人信息主体的个人信息陷于被侵犯的危险状态,超出收集目的的那部分个人信息在被收集主体或者第三方利用的情况下,会导致个人信息主体对于这部分个人信息丧失存在其上的财产利益或者非财产利益；在行为的违法性方面,个人信息的过度收集超出了收集主体与个人信息主体共知收集目的,此种行为不符合个人信息法律保护的规定,侵犯了个人信息主体对个人信息的知情权、控制权以及支配权；在行为人的过错方面,个人信息的过度收集往往是在收集主体故意的心理状态下进行的；在违法行为与损害事实之间的因果关系方面,先是有了个人信息的过度收集行为,从而造成了个人信息主体在过度收集范围内遭受财产利益或者非财产利益的损失。因此,个人信息的过度收集可能造成民事侵权责任的产生。

个人信息的非法收集也符合民事侵权责任的构成要件。个人信息的非法收集包括收集目的不合法以及收集手段不合法。在损害事实方面,个人信息的非法收集是基于收集主体对经济利益的追求而产生的,将导致个人信息主体丧失对其个人信息的财产利益,另外,也会导致个人信息主体遭受精神上、心理上的损害；在行为的违法性方面,毋庸置疑,个人信息的非法收集必然是违法法律禁止性规定的行为；在行为人的过错方面,收集主体在对个人信息的非法收集时,其心理状态必然是故意的；在违法行为与损害事实之间的因果关系方面,个人信息的非法收集必然致使个人信息主体遭受财产上或非财产上的损害事实。

其次,个人信息的不正当处理可能导致侵权责任。个人信息的不正当处理主要包括个人信息的不当泄露、个人信息的恶意篡改和恶意传播以及个人信息的不当使用和利用。

在损害事实方面,个人信息的不当泄露会使个人信息主体的个人信息落入无权处理主体之手,从而使个人信息主体生活安宁遭受破坏,名誉权、隐私权甚至生命权、健康权等遭受损害；个人信息的恶意篡改和恶意传播,影响了个人信息的准确性,有可能使个人信息主体丧失受教育权、公平就业权等基本人权,也可能导致个人信息主体名誉权、隐私权以及信用权等遭受损害；个人信息的不当使用和利用主要是为了追求个人信息的商业价值,从而损害了个人信息主体所享有的个人信息财产权。在行为的违法性方面,个人信息的不正当处理所造成的损害事实,通常都受到宪法、民法等法律禁止性规定的调整,因而具有行为的违法性。在行为人过错方面,个人信息的不当泄露通常表现为过失的心理状态且为重大过失,也有部分行为是行为人故意而为之；个人信息的恶意篡改和恶意传播是在行为人故意的心理状态下进行的；个人信息的不当使用和利用通常也是行为人在故意的心理状态下进行的。在违法行为与损害事实之间的因果关系方面,个人信息的不正当处理与个人信息主体遭受的损害事实存在客观的因果关系。

(二)侵犯个人信息行为的违约责任

个人信息既然具有财产属性,就可以被用于商业交易。广义上的个人信息交易包括两种情况,一种情况是指个人信息利用人以商业利益为目的,采用许可使用、转让或者交换等方式将个人信息交给第三人的行为；另一种情况是指个人信息主体本人以获取利益为目的,将自己的个人信息出售给收集人的行为。[4](P199)第一种情况下的个人信息交易行为,主要发生在个人信息合法利用人与第三人之间,有关许可使用、转让或者交换的合同也是在二者之间成立的,其二者与个人信息主体没有相对应的合同关系。因此,在这种情况下,如果发生未经个人信息主体同意的交易行为,则可能会涉及到对个人信息主体的民事侵权责任,但是,其对个人信息主体不需要承担违约责任。而第二种情况下的个人信息交易行为,是直接发生在个人信息主体与收集人之间的,个人信息主体是个人信息许可使用、转让或者交换合同的当事人,享有合同权利,承担合同义务,可能出现一方当事人违反合同约定,侵害对方当事人个人信息,从而承担违约责任的情形。

另外,在侵犯个人信息的违约责任方面,还存在一种因违反附随义务而导致的违约责任。所谓附随义务,是指法律上没有规定,当事人亦没有明确约定,但是以维护合同对方当事人利益为目的,根据诚实信用原则,按照交易习惯和观念,当事人在合同存续以及整个履行过程中所应当负担的义务,通常包括通知、协助、保密等义务。[5](P214)在日常生活中,个人信息主体除了直接与个人信息收集者交易自己的个人信息外,还可能因为成立其他合同而涉及到自己的个人信息。比如,在签订商品房买卖合同、保险合同、手机入网协议等合同时,要如实填写身份证号码、手机号码、家庭住址、国籍等个人信息。因此,这些合同自然而然地涉及了个人信息。对方当事人在履行合同的过程中,如果违背诚实信用原则而将个人信息不当泄露或转让,就会因违反合同附随义务而承担违约责任。

综上,侵犯个人信息行为既可能导致侵权责任,也可能导致违约责任。并且,侵犯个人信息行为在导致违约责任的情况下,必然构成侵权责任与违约责任的竞合。

三、侵犯个人信息行为的归责原则

影响归责原则的确定主要有以下三个要素：第一,法律的明文规定。过错责任原则是侵权责任法上普遍适用的一般原则,但是无过错责任原则、严格责任原则等必须有法律明确规定时方可适用。第二,当事人双方的举证能力。当受害人对于行为人的过错在举证方面非常困难时,法律基于对弱势一方的保护,规定了无过错责任原则和严格责任原则。第三,公平原则。公平是民法基本价值的体现,正是基于公平的考虑,才有过错责任原则、无过错责任原则以及严格责任原则的存在。

对于无过错责任原则而言,由于各国以及部分地区在个人信息保护方面都致力于平衡个人信息保护与个人信息流通的关系。如果将无过错责任原则引入侵犯个人信息行为的归责之中,会阻碍信息的流通,不利于未来社会的发展。因此,无过错责任不应当作为侵犯个人信息行为的归责原则予以适用。

因此,我国对于侵犯个人信息行为的归责原则,应当将过错责任原则作为原则性规定,而在举证责任分配上,宜采用过错推定原则。对此,相关规定为我们提供了可资借鉴的经验。德国和台湾关于个人信息保护的立法都将过错责任原则作为侵犯个人信息行为的基本归责原则。同时,我国《侵权责任法》也将过错责任原则作为侵权责任归责原则的一般原则。

值得注意的是,就我国侵犯个人信息现状而言,信息收集者和处理者一般是公司和企业,他们通常比个人信息主体拥有更多的资本和实力。因而,二者之间无论在举证能力方面,还是在诉讼活动的进展方面,都存在很大的差距。由于侵犯个人信息行为已经进入网络时代,对于个人信息的侵犯较之以往更具有隐蔽性、严重破坏性、无地域性等特征。这也导致了受害人举证能力上的欠缺。因此,侵犯个人信息行为在举证分配方面宜采用过错推定原则。根据我国《侵权责任法》第6条的规定,如果行为人的过错可以根据法律规定推定出来,且行为人对于自己的无过错不能证明的话,则该行为人应当承担侵权责任。由此,过错推定原则的适用需要法律明确规定,而我国相关法律目前并没有规定对侵犯个人信息行为适用过错推定原则,因此,对于过错推定原则的适用需要在相关的法律文件中予以明确。

四、侵犯个人信息行为的民事责任承担方式

虽然个人信息具有一定的财产权属性,但是其属于一种无形财产,个人信息一经非法收集和处理,就不适用于返还财产和恢复原状的承担方式。另外,排除妨碍、消除危险也多用于恢复物权的圆满支配状态情况下,因而二者也不宜作为个人信息侵权责任的承担方式。因此,个人信息侵权责任的承担方式主要包括赔偿损失、停止侵害、赔礼道歉、以及消除影响、恢复名誉。

就损害赔偿而言,在个人信息民事责任的财产损失赔偿方面,目前主要存在两种立法模式：一是以英国为代表的不区分责任性质模式,此模式对行政侵权和民事侵权作统一的规定,均以全额赔偿为原则；二是以德国为代表的区分责任性质模式,对个人信息的行政侵权与民事侵权的赔偿标准分开规定,其中,民事侵权责任承担方式采用全额赔偿原则,行政侵权责任承担方式则采用最高限额赔偿原则,且法律对最高限额有明确的规定。[6]与英国模式相比,德国模式更加有助于平衡个人信息主体与国家机关之间的利益关系,同时在民事侵权赔偿数额方面也有法可依,这种模式可以成为我国立法的借鉴。我国台湾立法也是借鉴了德国的规定,对个人信息行政侵权规定了明确的最高限额。

因此,我国对于个人信息侵权责任的财产损害赔偿,应当采用全额赔偿原则,具体的财产损害赔偿计算方法以及标准可以参照《最高人民法院关于审理涉及计算机网络著作权纠纷案件具体应用法律若干问题的解释》的有关规定。其中,相关条款主要为该解释的第10条,依据该条规定,在确定侵权赔偿数额时,人民法院可以根据受害人的请求,依照受害人基于侵权行为而遭受的直接经济损失以及预期应得利益损失计算；或者依照侵权人基于侵权行为而获得的利益进行计算。侵权人无法对其成本或者必要费用进行证明时,侵权人因侵权行为所获得的收入即可视为其所获得的利益。受害人的损失数额无法确定时,人民法院根据受害人的请求,可以参照侵权行为的侵害情节在高于500元人民币,低于30万元人民币的范围内确定损害赔偿数额,其最高赔偿额以30万元人民币为限。

除了财产的损害赔偿之外,当个人信息受到侵犯时,责任人也应当对受害人进行精神损害赔偿。责任人对个人信息主体的精神损害赔偿主要包括两方面内容：一是对个人信息主体因精神痛苦而遭受的精神损害的赔偿；二是对个人信息主体因精神痛苦导致的其他损失的赔偿,如治疗费用、误工费等。对于精神损害赔偿,最高人民法院的司法解释虽然有所规定,但是规定较为原则,具体数额很难确定。而且,网络环境下,侵犯个人信息行为常常会牵连到数量巨大的受害人,在有限的司法资源内,很难对个体受害人的精神损害赔偿数额逐一确定。因此,对于侵犯个人信息行为所造成的精神损害赔偿,可以考虑规定一个相对固定的赔偿数额或者赔偿限额,以保证公平和提高效率。台湾的相关立法为此提供了可资借鉴的经验,台湾“资料法”关于精神损害赔偿的规定体现了两个限制：一是关于财产损害赔偿和精神损害赔偿总额的限制。但个人信息主体能够证明其所受损害超过该限额的,按实际损害数额赔偿；二是关于因同一事实原因所产生的精神损害赔偿的总额限制。由于侵犯个人信息行为具有无地域性、高科技性、隐蔽性以及损害后果严重性等特征,其涉及的经济利益巨大,受害人数量众多。因此,采用“同一事实原因”对其精神损害赔偿总额进行限制,一方面能够使个人信息主体的精神损害得到适当赔偿,同时也能保护电子商务、网络经营者及新兴行业等的成长和发展。

此外,停止侵害、赔礼道歉和消除影响、恢复名誉也是主要的侵害个人信息行为责任承担方式。

就停止侵害而言,由于个人信息侵权行为的特点是侵权行为往往是一经做出,损害结果即时产生,个人信息不具有可恢复性。因此,个人信息侵权责任的承担方式,在适用停止侵害时,常与赔偿损失、赔礼道歉等民事责任承担方式一并适用。个人信息主体或其监护人、利害关系人都可以作为提出停止侵害请求的主体,他们可以对行为人请求,也可以向法院请求,并申请强制执行。[7](P369)

就赔礼道歉而言,赔礼道歉的典型方式是以书面形式,在公开场合向受害人进行,如通过报纸发表公开道歉声明等。但是,“公开”不是赔礼道歉的必要条件。个人侵权责任适用赔礼道歉这一承担方式时,可以根据具体情况决定是否公开进行：当个人信息侵权行为只涉及个人信息主体的琐碎个人信息时,一般要求责任人采用公开方式进行赔礼道歉；当个人信息侵权行为涉及个人信息主体的敏感个人信息时,则要求责任人采用非公开方式进行赔礼道歉为宜,因为此时采取公开方式,会导致对敏感个人信息的进一步传播和披露,令个人信息主体受到额外的伤害。

就消除影响、恢复名誉而言,在个人信息侵权中,尤其是侵犯个人信息主体的保持个人信息完整和准确的权利时,个人信息主体可以要求责任人采用消除影响、恢复名誉的方式承担民事责任。[4](P256)但是,在个人信息被不当泄露和使用的情况下,个人信息已经不能被恢复到未公开的状态,个人信息主体再要求责任人消除影响、恢复名誉也有可能导致个人信息主体受到二次伤害。因此,消除影响、恢复名誉必须严格根据个人信息主体的选择进行,并以适当的方式,在适当的范围内进行。

[1]齐爱民.拯救信息社会中的人格：个人信息保护法总论[M].北京：北京大学出版社,2009.

[2]汤擎.试论个人资料与相关法律关系[J].华东政法学院学报, 2000,(5)：45-6.

[3]Richard G.Turkington＆Anita L.Allen,Privacy Law：Cases and Materials,2nd ed[M].St.Paul：West Group,2002.

[4]齐爱民.个人资料保护法原理及其跨国流通法律问题研究[M].武汉：武汉大学出版社,2004.

[5]韩世远.合同法总论(第二版)[M].北京：法律出版社,2009.

[6]齐爱民.信息社会中个人信息的滥用与人格权侵害[J].重庆邮电大学学报,2007,(7)：38-43.

[7]张新宝.隐私权的法律保护(第二版)[M].北京：群众出版社, 2004.