文/郭俊
摘要:互联网信息时代,个人信息遭受侵害的风险日益突出,个人信息侵权责任制度建构至关重要。本文在廓清个人信息侵权相关概念和法律性质并对国内外相关制度比较分析的基础上,对《中华人民共和国民法典》和《中华人民共和国个人信息保护法》颁行后我国个人信息侵权责任制度建构做出初步探析。
关键词:个人信息;侵权责任;制度建构
一、个人信息及其法律属性
(一)个人信息
在日常语境下,个人信息涵盖了个人的广泛资讯。但在法律意义上,个人信息则更侧重于其能够特定指向某个人的确定性,从而形成了狭义的个人信息定义。
根据《中华人民共和国民法典》第一千零三十四条,个人信息是指以电子或其他方式记录的,能够单独或结合其他信息识别特定自然人的各种信息,如姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。在网络购物纠纷中,电商平台不仅收集了消费者的姓名、联系方式,还记录了其购买偏好、浏览历史等信息。这些信息单独来看,可能无法精准识别特定消费者,但相互结合后,便能清晰地勾勒出消费者的独特画像,明确指向具体个人,这便是法律意义上个人信息的典型体现。由此可见,法律意义上的个人信息具备识别特定自然人的关键特征。
(二)个人信息的法律属性
尽管个人信息作为新兴的法律概念,其法律属性在学界和实务界尚未形成统一的权威界定,但《中华人民共和国民法典》已明确规定个人信息受法律保护,并对个人信息的定义和保护范围进行了详细阐述。而明确个人信息的法律属性,无疑是清晰界定个人信息侵权责任的重要前提。
将个人信息视为隐私权,这是国内外学界的主流观点之一,并且在各国立法规范中也有所体现。我国《中华人民共和国民法典》规定,个人信息中的私密信息,一般适用有关隐私权的规定。除了隐私权观点外,人格权说也是对个人信息法律属性界定的重要观点之一。该学说将个人信息作为人格权的一部分,这在欧洲国家是普遍采用的主流观点。欧洲大陆通常将隐私保护的根基建立在人格尊严之上,这与美国将隐私视为自由权利的传统存在显著差异。德国在此基础上,形成了一般人格权作为一种框架性权利,并将个人隐私保护纳入其中。如在德国某起案件中,一家公司未经员工同意,擅自将员工的健康信息用于商业宣传,法院认为该公司的行为侵犯了员工的人格权,因为员工的健康信息属于个人信息范畴,与人格尊严紧密相关。德国知名电商巨头Notebooksbilliger.de AG因在无合法依据的情况下视频监控员工,被处罚1040万欧元。法国通过典型案例确立了“个人形象权”的保护,并在1970年《法国民法典》中新增了第9条“私生活受尊重权”,将个人信息纳入人格权范畴进行保护。
新型公法权利说则认为,在当前信息时代,个人信息不应仅仅被当作私权利看待。基于国家管理、公共利益等需求,个人信息还应具备一定的公法属性。在信息社会中,与个人信息相关的利益主体及其利益关系变得日益多样和复杂,国家不再仅仅是法律规则的制定者和执行者,同时也是个人信息的重要收集、处理、储存和利用者。因此,对个人信息保护从之前的 “绝对权利绝对保护” 转变为 “相对权利相对保护”。如在公共卫生事件期间,政府为了防控疫情,收集居民的行程信息、健康状况等个人信息。这种收集行为虽然涉及个人信息,但基于公共利益的考量,具有一定的合法性。然而,一旦政府部门在处理个人信息的过程中出现疏漏或不当行为,致使信息泄露,进而侵犯个人权益,其亦需依法承担相应责任。
综合上述对个人信息法律属性的主要观点,其主要争议集中在《中华人民共和国个人信息保护法》保护的个人信息是否等同于个人隐私、能否归入人格权保护范畴,以及其应属于公权益还是私权益等问题。这些争议点构成了分析个人信息侵权责任的逻辑基础。在当前信息时代,个人信息处于不断发展变化之中,对其法律属性的认知不应局限于某一传统法律概念的固有界定,而应根据特定信息在具体场景下对法律关系主体的价值判断来区别对待,相应地,侵权损害赔偿责任的性质和归责原则等也应当根据其权利属性的不同而分别加以确定。
二、域外个人信息侵权责任制度构建
(一)德国
在德国等大陆法系国家,学界通常将隐私权益的法律保护归入人格权范畴,进而形成了私法保护的救济方式。随着从隐私权到个人信息权的转变,个人信息的法律保护途径也从隐私权的私法保护逐渐过渡到个人信息权的私法保护,并被赋予了新的内涵。这一转变促使个人信息侵权责任机制进行规范和重构,形成了在个人信息侵权责任建构上公私法兼顾、创设新型责任形式的理论创新。
德国 1977 年制定的《联邦资料保护法》,经过 13 年的适用与修订,成为大陆法系国家最具代表性的一部个人信息保护立法。与英美法系个人信息保护立法相比,具有鲜明的大陆法系特色,对大陆法系国家的相关立法实践具有重要的指导作用。假如数据处理公司违反《联邦资料保护法》的规定,未经用户同意,将用户的个人数据出售给第三方用于商业营销,该公司有可能被判定侵犯用户个人信息权,进而承担停止侵权、赔偿损失等责任。
(二)欧盟
欧盟对个人信息保护及法律责任规制较为重视,其个人信息保护立法相对成熟。欧盟国家在信息通信技术对个人生活影响的关注上走在前列,被誉为个人信息保护立法的开拓者。
欧盟 1995 年的《数据保护指令》(以下简称 95 指南)推动了国际规则在欧盟成员国的法律化。该指令规定了信息主体的权利、管理者的义务、监督机关和登记程序、信息的跨国流通等问题,适用于自动处理和非自动处理模式下的个人数据,旨在保障个人信息处理中自然人的基本权利和自由,确保个人数据的自由流通。2016 年 4 月 14 日,欧盟通过《一般数据保护条例》(以下简称 GDPR),取代了成员国分散立法的模式,成为在全欧盟具有直接法律效力的欧盟法。这些基本制度在个人信息侵权形式、保护范围、判定标准和责任承担等方面做出了奠基性制度安排,成为欧盟国家在此领域的共同遵循。如在一起跨国数据泄露案件中,一家位于欧盟的大型互联网公司未能妥善保护用户数据,导致服务器遭受黑客攻击,大量用户个人信息被泄露。依据GDPR的规定,欧盟监管机构对该公司进行了调查。由于未能遵守GDPR中关于用户个人信息安全的义务,该公司被处以巨额罚款,并被要求采取一系列措施加强数据安全保护,以防止类似事件再次发生。
(三)美国
作为英美法系国家的代表,美国重视自由与创新。在个人信息保护层面,其政策取向是在国际范围内保护个人隐私的同时,避免阻断信息交流,防止对电子商务和跨境贸易等活动造成较大影响。美国政府在隐私保护方面采取了一种平衡的规制策略,结合了政府引导的行业自律模式和分散立法的监管体系。美国没有全面的联邦数据隐私法,而是依赖于联邦贸易委员会(FTC)和联邦通信委员会(FCC)等机构来执行相关法律,如《隐私权法》和《儿童网上隐私保护法》等,以规范行业内个人信息处理行为。
这种立法理念和规范模式赋予个人信息侵权责任制度多维度的形式和机制,使其比欧盟模式更具弹性和多元化。例如,美国某社交媒体平台曾被曝光存在数据滥用问题,该平台未经用户充分授权,将大量用户的个人信息分享给第三方广告商。事件曝光后,美国联邦贸易委员会依据相关法律规定,对该平台展开调查。最终,该平台与监管机构达成协议,同意支付巨额罚款,并承诺采取一系列措施强化用户隐私保护,诸如改进隐私政策、提升用户对个人信息的控制权限等。这一案例体现了美国在个人信息侵权责任处理上,既注重保护个人隐私,又考虑到行业发展和市场竞争的平衡。
其他国家大多学习或沿袭了上述各国的立法理念和规则。如日本的保护模式借鉴了欧盟的立法模式,同时采纳了美国的保护规制,通过政府立法和行业自律实现个人信息保护。域外不同地区和国家结合自身实践需要制定的个人信息保护法,为我国相关立法提供了宝贵的借鉴经验。
三、我国个人信息侵权责任制度建构
(一)《中华人民共和国民法典》编订前的个人信息侵权责任制度
2000 年 12 月 28 日,全国人大常委会做出的《关于维护互联网安全的决定》,开启了我国以法律规范互联网的征程。在此基础之上,2012年12月28日,全国人大常委会正式表决通过了《关于加强网络信息保护的决定》,该决定在严格遵循国际惯例的同时,对我国个人信息保护与利用的基本原则进行了全面而深入的法律顶层设计。
此后,一系列部门法相继出台,对个人信息保护进行了补充规定。例如,《刑法修正案 (五) 》《刑法修正案 ( 七) 》《侵权责任法》《中华人民共和国消费者权益保护法》等都增设了个人信息保护的相关制度。行政法律法规和部门规章也不断完善,《征信业管理条例》对征信行业的个人信息采集进行了详细规范,《电信和互联网用户个人信息保护规定》构建了个人信息收集、使用规范和安全保障措施。同时,鉴于个人信息保护与现代技术的紧密联系,《信息安全技术公用及商用服务信息系统个人信息保护指南》从技术层面对个人信息保护提出了要求,建立了国家标准。
然而,在一些网络诈骗案件中,犯罪嫌疑人通过非法渠道获取了大量公民个人信息,并利用这些信息实施诈骗。由于当时相关法律规定较为分散,不同法律法规之间缺乏协调统一,这致使在追究侵权者法律责任的过程中,法律适用变得模糊不清,责任主体的判定亦显得扑朔迷离。
(二)民法典关于个人信息侵权责任的规定
时代呼唤法治,《中华人民共和国民法典》应运而生。作为我国民事法律制度的集大成者,民法典详细规定了个人信息侵权的形式、范围、原则和条件,确立了保护个人信息的基本规范。这些规范不仅为个人信息侵权责任的判定提供了重要基础,还明确了信息处理者在收集、存储、使用个人信息时应遵守的义务,以及违反这些义务时所应承担的法律责任。
根据《中华人民共和国民法典》第一百一十一条,自然人的个人信息受到法律的保护。任何组织或个人若需获取他人个人信息,必须依法获取并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,亦不得非法买卖、提供或公开他人个人信息。这一条款是个人信息保护的基石性条款,是探讨个人信息保护及相关侵权责任问题的核心出发点。
民法典第一千零三十四条进一步明确了自然人个人信息保护的范围,第一千零三十五条对个人信息处理的原则、条件和方式做出了规定,为个人信息侵权责任归责奠定了基础,明确了在信息处理阶段处理者应否承担侵权责任及可能的免责事由。由此可见,民法典在个人信息侵权相关方面的规定,为司法实践中准确认定侵权行为、合理确定责任归属提供了坚实的法律依据。
(三)《中华人民共和国个人信息保护法》对个人信息侵权责任制度的体系化构建
2021 年 8 月 20 日,全国人大常委会表决通过的《中华人民共和国个人信息保护法》,构建了完整的个人信息保护框架,对个人信息处理规则、信息处理者的义务、监管部门职责以及罚则等进行了全面规定,为个人信息侵权责任的认定、责任承担方式等提供了更为具体的标准。
第一,个人信息保护法对一般个人信息与敏感个人信息采取分级保护的规范方式,相应的个人信息侵权行为、责任承担也采用不同的判断标准。比如医疗美容机构如果未经消费者同意,将其包含疾病史、过敏史等敏感个人信息泄露给第三方,依据《中华人民共和国个人信息保护法》中对敏感个人信息保护的相关规定,该机构的侵权行为性质更为严重,可要求其承担更高额度的赔偿责任,并采取措施消除不良影响。
第二,该法对个人信息处理的合法性基础进行了必要扩充,确立了为订立、履行合同所必需、为履行法定职责或者法定义务所必需、为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需、为公共利益在合理的范围内处理个人信息以及法律、行政法规规定的其他情形等作为合法处理的条件。若违反这些规定,将承担个人信息侵权责任。例如,一家企业在与员工签订劳动合同时,要求员工提供与工作无关的个人敏感信息,并以不提供就不录用为由强迫员工。我们认为该企业的行为违反了为订立、履行合同所必需的原则,侵犯了员工的个人信息权益,企业承担相应的侵权责任。
第三,个人信息保护法进一步明确了个人信息跨境提供的规则,规定了跨境提供个人信息需同时具备的条件及应遵循的法律路径。这一规定在全球化背景下,对于保障我国公民个人信息在跨境流动中的安全具有重要意义。
第四,该法新设个人信息可携权,个人请求将个人信息转移至其指定的个人信息处理者,符合国家网信部门规定条件的,个人信息处理者应当提供转移的途径。这一权利的设立,增强了个人对自身信息的控制权,促进了信息的合理流动和利用。
第五,个人信息保护法对近亲属行使死者个人信息权利做出了限定。自然人死亡后,其近亲属可以对死者的个人信息行使一定权利,但需同时满足为了自身的合法、正当利益,权利类型仅包括查阅、复制、更正、删除且死者生前无其他安排等要件。这一规定平衡了死者个人信息保护与近亲属合法权益之间的关系。
第六,该法明确了个人信息处理者的基本义务,并根据主体规模大小对个人信息处理者课以不同的责任。大型个人信息处理者由于处理的信息量大、涉及面广,往往需要承担更严格的保护义务和更高的责任标准。
第七,个人信息保护法将个人信息侵权在民事、行政和刑事责任方面统一界定。民事上,侵权责任认定采取过错推定原则,由侵权方自证无过错,否则担责;共同侵权者承担连带责任,全方位保障受害者权益。行政上,大幅提高行政处罚上限,如无违法所得时可处最高 100 万元罚款,还明确直接责任人与相关管理人员责任,可对其处 1 万至 10 万元罚款 。刑事上,对严重侵权行为,依刑法以侵犯公民个人信息罪论处,单位犯罪则双罚,以此构建起严密法网,打击个人信息侵权行为。
总之,个人信息保护法在民法典等基本法律制度的基础上,为个人信息侵权责任构建了更为全面和科学的体系。它作为专门法,有机梳理、衔接并整合了此前出台的零散法律规定,成为研究和落实个人信息侵权责任制度最重要的规范体系。(作者为河南工程学院副教授;本文基金项目:河南省教育厅高等学校哲学社会科学项目“个人信息侵权损害赔偿责任研究”编号:2023-ZZJH-010的阶段性研究成果)
