个人信息处理者处理个人信息侵害个人信息权益造成损害时,应当承担侵权赔偿责任。关于该责任究竟是过错责任、过错推定责任抑或危险责任,比较法上有不同的立法模式。在我国《个人信息保护法》的起草过程中,对该问题也有很大的争议,
显然,对于因侵害个人信息权益承担的侵权责任而言,无论其是过错推定责任还是过错责任,过错都是侵权责任的核心构成要件。无非适用过错推定责任时,由个人信息处理者举证证明自己没有过错,而适用过错责任时,须由个人证明个人信息处理者具有过错。目前,理论界对个人信息侵权责任中的过错及违法性研究较少,不少问题尚未得到深入之探讨。例如,个人信息处理者因侵害个人信息权益承担的侵权责任是否以非法处理个人信息或违反《个人信息保护法》为要件?个人信息处理者与其他侵害个人信息权益的主体在过错认定上有无区别?过错推定责任与违法推定过失能否并用?适用违法推定过失是否意味着,个人信息处理者可以通过证明自己不存在违法行为推翻对其存在过错的推定?是否任何违反个人信息保护法律规范的行为都产生违法推定过失的效果?本文将对这些问题进行系统的研究,以供理论界与实务界参考。
一、非法处理个人信息与个人信息侵权责任的构成要件
从《个人信息保护法》第69条来看,个人信息处理者因侵害个人信息权益承担的侵权责任的构成要件可被分解为四项:一是处理个人信息;二是侵害个人信息权益;三是造成损害;四是个人信息处理者不能证明自己没有过错。《个人信息保护法》该条中并未出现“非法处理个人信息”或“违反本法规定处理个人信息”的表述。然而,对于是否应当以“非法处理个人信息”为个人信息处理者因侵害个人信息权益承担的侵权责任的构成要件,存在不同的看法。
在《个人信息保护法》的起草过程中,曾有观点主张,将个人信息处理者“非法处理个人信息”或“违反本法规定处理个人信息”规定进第69条,使之成为因侵害个人信息权益承担的侵权责任的构成要件。支持该观点的理由为:首先,如果不是非法处理个人信息,相关行为不可能侵害个人信息权益;其次,在比较法上,欧盟、德国、韩国等地区或国家的法律就明确以违法处理个人信息为相关民事责任的构成要件。欧盟《一般数据保护条例》(GDPR)第82条第1款规定:“任何因违反本条例的行为而遭受财产或非财产损害之人有权就所受之损害向控制者或处理者请求赔偿。”德国《联邦数据保护法》第83条第1款规定:“如果控制者因数据处理而违反本法或者其他与处理相关的法律规定,给数据主体造成损害的,控制者或者其法人实体有义务向数据主体进行赔偿。”《韩国个人信息保护法》第39条第1款规定:“个人信息处理者因违反本法的行为对信息主体造成损害的,信息主体有权向个人信息处理者请求损害赔偿。个人信息处理者若无法举证其不存在故意或过失的,不得免除其责任。”
《个人信息保护法》并未采取上述观点,笔者认为,这是非常正确的。不应将“非法处理个人信息”或“违反本法规定处理个人信息”作为个人信息处理者因侵害个人信息权益承担的侵权责任的构成要件,理由在于以下几点。
(一)违法性要件有无独立性在我国仍然存在争议
对违法性(Rechtswidrigkeit)与过错(Verschulden)的区分始于《阿奎利亚法》,经由著名法学家耶林(von Jhering)的创造性发展而为《德国民法典》所采纳。
在我国,民事立法没有明确区分过错与违法性,理论界对该问题也存在很大的争论。
(二)民事责任具有不同于刑事责任的功能
民事责任尤其是损害赔偿责任以补偿为基本功能,刑事责任以制裁或惩罚为基本功能。我国《刑法》第253条之一规定的侵犯公民个人信息罪的犯罪构成要件就包括“违反国家规定”
(三)《个人信息保护法》第69条第1款是独立的请求权基础
在我国不少法律中,都有诸如“违反本法规定,给他人造成损害的,依法承担民事责任”的表述,如《数据安全法》第52条、《网络安全法》第74条、《反不正当竞争法》第17条、《广告法》第56条、《医师法》第63条、《生物安全法》第82条等。这些条文采取“违反本法规定”的表述的原因在于,它们都是衔接性规定,并不直接规定民事责任的成立与承担,而是在体系结构上旨在将违反本法规定的行为与其他法律关于民事责任的规定链接起来。违反这些法律规定的行为人是否要承担民事责任以及如何承担民事责任,不是由“本法”决定的,而是需要“依法”判断的。在《民法典》颁布后,所谓“依法承担民事责任”当然首先指依据《民法典》的规定来承担相关责任。然而,《个人信息保护法》第69条第1款并不是衔接性规定或宣示性规定,而是独立的请求权基础。也就是说,该款决定个人信息处理者的民事责任如何成立以及处理者怎样承担该责任的问题,个人信息权益被侵害的被侵权人是依据该款来请求个人信息处理者承担损害赔偿等侵权责任的。既然如此,倘若以“违反本法规定处理个人信息”为《个人信息保护法》第69条第1款规定的侵权责任的构成要件,就会产生一个很大的弊端,即不恰当地把个人信息处理者因侵害个人信息权益承担的侵权责任狭窄地限定在违反《个人信息保护法》的情形上。尽管《个人信息保护法》是我国个人信息保护领域最基本的法律,但规定个人信息保护以及调整个人信息处理活动的法律规范不限于它,还包括《民法典》《数据安全法》《网络安全法》《电子商务法》《消费者权益保护法》《未成年人保护法》《全国人民代表大会常务委员会关于加强网络信息保护的决定》等法律、《互联网信息服务管理办法》《征信业管理条例》等行政法规,以及《儿童个人信息网络保护规定》《电信和互联网用户个人信息保护规定》等规章。因此,不能将《个人信息保护法》第69条第1款局限在“违反本法规定”上。也就是说,个人信息处理者只要在个人信息处理活动中侵害了个人信息权益造成了损害,就应当依据第69条第1款承担过错推定责任。
二、个人信息侵权中的过错与证明责任
(一)两种情形下的过错
在《个人信息保护法》颁布前,法院依据《民法典》等法律以及最高人民法院有关司法解释处理个人信息侵权案件时,适用的是过错责任原则,原告必须证明,被告因过错而侵害其个人信息权益造成了损害。法院在认定被告的过错时采取的是客观过失理论,即通过明确被告所属的群体进而确定该群体中的理性人应有的注意义务,将其与被告的实际行为相比较,最终确定被告的过错。例如,有的法官认为,“在个人信息侵权案件中,被告往往是对于海量个人信息和数据具有高超运算处理能力的公司或者组织,他们是一个高度专业化的专家群体或系统”。
然而,在《个人信息保护法》颁行后,就不能再采取统一的标准来认定个人信息侵权纠纷中被告的过错,而有必要对以下两种不同情形中的过错加以区分,并相应采取不同的认定标准:一是个人信息处理者处理个人信息侵害个人信息权益造成损害的情形;二是自然人因个人或者家庭事务处理个人信息侵害个人信息权益造成损害的情形。在前一种情形中,判断个人信息处理者的过错时,当然要适用《个人信息保护法》的规定,尤其要依据该法所确立的个人信息处理规则、个人信息处理者的义务等来认定过错。然而,在后一种情形中,不能将《个人信息保护法》中的对个人信息处理者的规定用于对被告有无过错的认定上。之所以作此区分,主要就是因为《民法典》与《个人信息保护法》在调整范围和调整方法上存在差异。
1.调整范围的不同决定了过错的认定标准不同
《民法典》是我国民事领域的基本性、综合性法律,调整的是平等的自然人、法人和非法人组织之间的人身、财产关系。这就明确限定了《民法典》中的个人信息保护制度的适用范围,即只能将其适用于平等的自然人、法人与非法人组织之间的个人信息处理关系,而不能将其适用于公权力机关与民事主体这样的不平等的主体之间的个人信息处理关系,如国家机关为履行法定职责而处理个人信息时建立的关系。
2.调整方法的不同导致了过错认定标准上的差异
在《民法典》中,关于个人信息保护的规定被置于第四编“人格权”当中。人格权编调整的是“因人格权的享有和保护产生的民事关系”(《民法典》第989条),故此,《民法典》只是明确了个人信息权益的内容,并从民事责任这一事后救济的角度对个人信息权益的保护作出了规定。例如,个人信息与隐私权的法律规范适用(第1034条第3款)、处理个人信息时应遵循的原则和条件(第1035条)、处理个人信息产生的侵权责任的免责事由(第1036条)、个人信息权益的内容(第1037条)等。《民法典》对个人信息处理者的义务的规定较少,只有第1038条和第1039条作出了规定。为了全面应对网络信息科技的发展带来的风险,《个人信息保护法》通过大量的强行性法律规范对个人信息处理活动——对个人信息的收集、存储、使用、加工、传输、提供、公开、删除等——进行了全方位与全过程的规范。
(二)个人信息处理者的故意与过失
由于个人信息处理者侵害个人信息权益的情形最为普遍,是我国《个人信息保护法》规范的重心,所以本文探讨的过错仅限于个人信息处理者的过错。个人信息处理者的过错是个人信息处理者就个人信息权益被侵害的结果具有的主观心理状态,包括故意或者过失。故意(Vorsatz)指个人信息处理者明知其行为会发生侵害个人信息权益的后果仍有意为之的一种主观心理状态,包括两种类型:其一为直接故意,即个人信息处理者明知其行为会产生侵害个人信息权益的后果而追求该后果的发生的心理状态。例如,A公司在没有告知并取得个人同意的情况下利用APP搜集个人信息,或者B公司将收集的个人信息非法出售给C公司以牟利。其二为间接故意,即个人信息处理者明知其行为(作为或不作为)可能发生侵害个人信息权益的后果而放任该后果之发生的心理状态。例如,A单位明知B公司的技术条件完全不符合存储敏感个人信息须达到的安全要求,仍然使用B公司提供的服务来存储大量的敏感个人信息,导致这些个人信息全部被他人窃取并贩卖于暗网。过失(Fahrl?ssigkeit)指个人信息处理者应当预见、能够预见其行为会发生侵害个人信息权益的后果,却未能避免该后果的出现。例如,A单位的网络系统曾遭受黑客入侵,这本足以让A单位认识到其现有的安全技术措施不足以保障个人信息安全,必须及时改进安全措施,但A单位无动于衷,结果发生了个人信息泄露的后果。显然,此时A单位具有过失。
在刑法中,个人信息处理者向他人出售或提供个人信息时的心理状态是故意还是过失很重要,因为我国《刑法》第253条之一规定的侵犯公民个人信息罪的主观要件必须是故意,即行为人明知自己的行为将违反国家有关规定,仍向他人出售或者提供公民个人信息,或者明知自己的行为将违反国家有关规定,仍将在履行职责或者提供服务的过程中获得的公民个人信息出售或者提供给他人,或者以窃取或其他方式非法获取公民个人信息,希望或者放任情节严重或者情节特别严重的后果发生的心理状态。
(三)过错推定责任与违法推定过失
对于个人信息权益被侵害的原告而言,证明个人信息处理者具有过错往往比较困难。在《个人信息保护法》颁布前,为了减轻原告的举证压力,司法实践采取了两种做法:一是违法推定过失,即处理者为经营者时,只要发生了个人信息的泄露或丢失,其就要证明自己履行了采取适当的技术措施以确保信息安全的法定义务,否则其将被认定违反了法定义务,进而被认定有过错,其可以提出反证。
在起草《个人信息保护法》时,立法机关考虑到,“在个人信息处理活动中,相对于个人信息处理者来说个人处于弱势地位,个人信息处理情况和相关证据通常只有个人信息处理者掌握,个人作为被侵权人很难获得,因此要求个人证明个人信息处理者存在过错非常困难”,
目前,在理解《个人信息保护法》第69条第1款时,不少人主张,在认定个人信息处理者的过错时,应采取违法推定过失的方法。例如,有的学者认为,《个人信息保护法》第69条第1款的“推定过错应理解为行为违法性的推定,个人信息处理者存在违反本法规定侵害个人信息权益的行为,即可推定其存在过错,其应对个人信息处理行为的违法性提供反证”。
问题在于,既然《个人信息保护法》已经规定了个人信息处理者因侵害个人信息权益承担的侵权责任适用过错推定责任,那么还有必要或者说还能适用违法推定过失吗?过错推定责任与违法推定过失的叠加是否会导致变相减轻个人信息处理者的证明责任的后果呢?换言之,个人信息处理者可否通过证明自己并无任何违反《个人信息保护法》和其他法律规定的违法行为,推翻基于违法对其存在过失的推定,进而推翻过错推定责任?笔者认为,过错推定责任与违法推定过失之间具有一定的相似之处,如二者都有减轻原告证明被告存在过错的难度的效果,但它们属于不同的规则类型,二者之间存在明显的差异:一方面,二者的法律效果不同。过错推定责任改变了举证责任的分配,它意味着法律上推定了行为人具有过错,被侵权人已经不需要证明行为人的过错这一要件,应由行为人来证明自己没有过错。同时,过错推定责任还改变了证明责任上的风险负担(客观意义上的举证责任),使被推定具有过错之人在其有无过错这一事实的真相不明时承担不利后果。然而,违法推定过失既没有改变举证责任的分配,更未改变客观上的证明责任,也就是说,如果在过错责任认定中适用违法推定过失,那么依然应由被侵权人来承担证明侵权人具有过错的责任,并且在侵权人有无过错这一事实的真相不明时,应由被侵权人承担不利后果即败诉的风险。另一方面,二者的适用范围不同。过错推定责任是对过错责任的偏离,改变了客观意义上的举证责任,限制了行为人的自由,因此必须严格限制其适用范围。依据《民法典》第1165条第2款,只有在法律有明文规定时,才可适用过错推定责任。从《个人信息保护法》第69条第1款的规定来看,只有个人信息处理者侵害个人信息权益的情形才适用过错推定责任,而行为人不属于个人信息处理者或者不适用《个人信息保护法》的情形都不适用过错推定责任。然而,违法推定过失只是判断过失的一种方法而已,其本质上是法官依据法律、行政法规确定的行为标准来认定被告在具体情形中的过失。违法推定过失只在一定程度上降低了原告的举证难度,也减轻了法官因缺少相应知识而在评价专业领域中的行为人有无过错上遇到的困难。因此,违法推定过失的适用并不以法律明文规定为前提。在我国司法实践中,法官在认定侵权案件中的被告有无过失时,往往首先依据相关法律、行政法规所确立的行为标准,然后考虑合理的人或善良管理人应达到的标准。
综上所述,过错推定责任和违法推定过失之间并非完全排斥的关系。就个人信息侵权责任中的被侵权人而言,其针对个人信息处理者提起侵权之诉时,由于适用过错推定责任,所以作为原告的个人已无必要再利用违法推定过失来减轻自己的举证困难。然而,对于个人信息处理者来说,违法推定过失可以被反过来适用,即个人信息处理者能够举证证明自己行为的合法性,而这在一定的程度上有助于推翻对自己具有过错的推定。之所以如此,是因为违法推定过失中被违反的“法”是法律和行政法规中以保护主体的特定民事权益为目的的规范,即所谓保护性规范(Schutzgesetz)。这些规范通过对行为人的行为方式、标准提出要求达到保护民事权益的目的,但基于难以协调各种利益、信息缺乏、专业知识不足等多方面的原因,
如前所述,过错推定责任仅适用于个人信息处理者侵害个人信息权益造成损害的情形。如果侵权人非个人信息处理者(如委托处理个人信息中的受托人)或者不适用《个人信息保护法》的个人信息处理情形中发生了侵害个人信息权益的纠纷,则仍需适用过错责任原则,也就是说,还是要由原告来承担举证责任。此时,违法推定过失依然具有重要的作用。
三、个人信息保护法律中的保护性规范及其类型
(一)保护性规范的确定标准
违法推定过失的适用以行为人违反保护性规范为前提。所谓保护性规范,也被称为保护性法律,
从比较法上看,认定某一法律规范是否属于保护性规范,需要考察两个标准,即主体标准与客体标准。在普通法中,因被告违反成文法规定的注意义务产生的侵权诉讼被称为违反法定义务的侵权请求(claim for breach of statutory duty),
依据《德国民法典》第823条第2款,“违反以保护他人为目的之法律者”应当负担与该条第1款规定的义务相同的损害赔偿义务。所谓“以保护他人为目的的法律(Schutzgesetz)”属于广义的法律,既包括立法机关制定的法律(无论是刑法、其他公法还是私法的一部分),也包括政府的法令、地方的法规以及食品和药品方面的规章。习惯法也可以属于保护性法律,如规定结社自由、出版自由等关涉人的自由与人格尊严的法律,刑法上关于禁止危险驾驶、人身伤害、侵入他人住宅等危险行为的规定等。
我国台湾地区的通说认为,“民法”第184条第2项所谓以保护他人为目的之法律仅指一般意义上的防止危害权益或禁止侵害权益之法律,凡是直接或间接以保护个人之权益为目的者均属之,至于专门以国家社会之秩序为保护对象的法律,它们不属于以保护他人为目的之法律。
虽然我国《民法典》没有如《德国民法典》第823条第2款那样,将违反保护性法律的侵权行为作为单独的一类侵权行为加以规定,但我国立法、司法和理论界都认可,保护性规范应当符合主体保护范围和客体保护范围这两项标准。通说认为,所谓保护性规范以保护作为私主体的他人为全部或部分目的,该规范所规定的行为义务已经明确界定了行为人对他人的行为义务,即行为人对特定人或特定群体中的私人所应负的义务,且过错往往就源于其违反了其对特定人或特定群体中的私人应负的义务。
(二)我国个人信息保护法律中的四类保护性规范
我国《个人信息保护法》以保护个人信息权益为最主要的立法目的。在大数据时代,个人信息被收集、储存、转让和使用已经成为每个被嵌入其中的自然人的社会生活常态,无法改变。然而,无论是数据企业、政府部门还是其他主体,在收集、保管、分析和使用个人信息的过程中,都极有可能给自然人带来各种前所未有的侵害其既有人身、财产权益以及损害其人格尊严和人格自由的危险。这些危险至少包括:其一,非法收集、非法买卖或使用个人信息使犯罪分子有机会对自然人既有的生命权、健康权、名誉权、隐私权等人格权以及债权、物权等民事权利实施侵害;其二,基于被合法收集的个人信息形成的大数据,通过算法等技术进行社会分选、歧视性对待,进而损害人格尊严的危险;其三,通过大数据和人工智能技术进行人格画像,将作为民事主体的自然人降格为客体并对其进行操控,进而损害人格自由等的危险。
1.关于个人信息处理规则的法律规范
个人信息处理活动就是指个人信息的收集、存储、使用、加工、传输、提供、公开、删除等活动。网络信息科技的高速发展使得现代社会中的个人信息处理活动发生了质和量两个方面的巨大变化:在质上,个人信息处理者与个人在信息、技术、经济等各方面的能力越来越不对等;在量上,个人信息处理活动无处不在、无所不在、无时不在,处理的主体和处理的场景越来越具有广泛性、多样性和复杂性。因此,个人信息保护法律必须对个人信息处理规则作出规定,即明确个人信息处理者在实施个人信息处理活动时应当遵守的基本规则。这些规则的核心就是“告知同意规则”。告知同意规则指任何组织或个人在实施任何个人信息处理活动前,都应当对个人信息将要被处理的自然人即信息主体履行告知义务,并且只有在取得该主体或者其监护人的同意后,方可从事得到同意的个人信息处理活动,否则处理行为即属违法行为,除非法律或行政法规另有规定。
告知同意规则是个人信息保护法律中最基本的规则,也是完全以保护信息主体的个人信息权益免受侵害为目的的规则。个人信息与自然人的人格尊严和人格自由息息相关。为了保护人格尊严和人格自由这一最高位阶的法益,自然人对其个人信息享有受到法律保护的民事权益。我国《民法典》《个人信息保护法》明确承认了自然人的个人信息权益,规定自然人对处理其个人信息的活动享有知情权、决定权,有权限制或者拒绝他人对其个人信息进行处理,除非法律、行政法规另有规定。这就意味着,信息主体之外的任何个人或组织都要尊重该权益并不得侵害该权益。同样,承认自然人的个人信息权益必然会使得他人的行为自由受到限制,即除非满足法律、行政法规所规定的无需取得自然人的同意甚至无需告知自然人的情形,否则,任何组织或个人没有告知并取得自然人的同意就处理其个人信息的行为,当然都属于侵害个人信息权益的非法处理行为,具有非法性。在个人信息处理的规范方面,并不存在所谓“个人信息是可以自由使用的,除非个人信息上存在明确可识别的个人权益,否则就不能赋予信息主体干预他人使用的自由”。
2.关于个人在个人信息处理中的权利的法律规范
《个人信息保护法》第四章规定了个人在个人信息处理活动中的权利。具体来说,该章依次规定了个人对其个人信息的处理享有的知情权、决定权(第44条),个人向个人信息处理者请求查阅、复制其个人信息的权利(第45条第1、2款),个人请求将个人信息转移至其指定的个人信息处理者的权利(第45条第3款),个人请求个人信息处理者更正、补充其个人信息的权利(第46条),个人请求删除个人信息的权利(第47条),个人要求处理者对其个人信息处理规则进行解释说明的权利(第48条)。此外,死者近亲属在一定条件下也可以对死者的相关个人信息行使查阅、复制、更正、删除等权利(第49条)。这些权利的主体是个人,而义务主体都是个人信息处理者。其中,个人对其个人信息的处理享有的知情权和决定权是个人信息权益最核心的内容,而查阅权、复制权、可携带权、更正权、补充权、删除权、解释说明权等只是手段性或救济性权利,旨在保护知情权和决定权。因为对知情权和决定权最大的威胁就来自于个人信息处理者,所以要专门规定个人在个人信息处理中的权利。故此,个人信息处理者应当履行相应的义务,以此来实现个人在个人信息处理活动中的权利,只有这样才能真正实现对个人信息权益的保护。这些规范属于保护性规范。此外,《民法典》第1037条、《网络安全法》第43条属于与这些保护性规范有着相同性质的规范。
3.关于个人信息处理者保护个人信息安全的义务的法律规范
个人信息处理者处理的个人信息是涉及不特定多数人的海量信息,还包括了大量的敏感个人信息以及私密信息。如果个人信息被泄露、篡改、丢失或者未经授权被访问,信息主体的人格尊严、人格自由以及生命健康、财产安全等合法权益将受到直接的、现实的损害或者影响长远的危害。例如,我国每年大量发生的网络电信诈骗中,有相当大的一部分是个人信息被泄露或非法买卖所导致的。
4.关于个人信息保护影响评估义务的规范
《个人信息保护法》第55条和第56条规定了个人信息处理者针对某些个人信息处理活动应当事前进行个人信息保护影响评估并加以记录的义务。这主要是考虑到,各种个人信息处理活动的目的各不相同,处理者运用的处理方式和利用的科技手段种类繁多,而这将给自然人的个人信息权益带来各种不同的甚至难以想象的影响与风险。依据《个人信息保护法》第51条,个人信息处理者应当根据个人信息的处理目的、处理方式,个人信息的种类,处理活动对个人权益的影响、可能存在的安全风险等,采取措施以确保个人信息处理活动符合法律、行政法规的规定,并防止未经授权的访问以及个人信息被泄露、篡改或丢失。换言之,个人信息处理者不是不可以从事高风险的处理活动,但需要为此负责,要承担更高的注意义务,采取更严格的安全保护措施,事前的个人信息保护影响评估与记录义务正是责任原则的体现。故此,关于个人信息保护影响评估义务的法律规范属于保护性规范,如《个人信息保护法》第55条、第56条等。
四、违反个人信息保护法律中的保护性规范的法律后果
(一)比较法上的不同观点
行为人违反保护性规范侵害他人权益造成损害时,究竟是应直接认定行为人存在过错,还是应推定行为人存在过错,在比较法和我国法上,都存在很大的争议。在美国的侵权法学界,就违反保护性规范的行为,究竟是应推定其为过失行为,还是应将其视为过失行为,主要有三种观点。一为法律上的当然过失说,也被称为“法定过失说”。此说认为,只要行为人违反了保护性法律,就可以直接认定行为人有过失。著名侵权法学家Prosser教授认为:“只要某项成文法被认为可被采纳……那么,对该成文法之违反就无法被宽宥,而违反该成文法的事实本身就说明行为人存在过失,这一结论是无法被反证推翻的,且法庭必须对陪审团作出此种指示。”
《德国民法典》第823条第2款关于违反保护性法律的规定在因果关系和过错的证明方面都有利于受害人。一旦加害人的行为满足了客观构成要件,即违反了保护他人的法律,那么连接行为与责任的因果关系将被推定存在。加害人必须证明存在违法阻却事由才能推翻该推定。
(二)违反我国个人信息保护法律中的保护性规范的不同法律后果
在我国民法学界,有的学者认为,违反保护性规范产生的效果就是推定行为人具有过错,行为人可以通过反证其就违反保护性规范或侵害法益无过错推翻这一推定。
第一,如果个人信息处理者违反个人处理规则实施处理行为,即在没有告知并取得自然人或者其监护人的同意的情形下处理其个人信息,那么除非存在法律、行政法规规定的无需取得同意甚至无需告知的情形,否则该处理行为既是违法行为,也是有过错的行为。因为告知同意规则是个人信息处理中最基本的法律规则,也是判断个人信息处理活动合法与否的根本标准。除非法律、行政法规另有规定,否则,只要没有告知并取得个人的同意,任何处理个人信息的活动都是非法的。在个人信息的“全生命周期”中,知情同意是一道“闸口”,无论是信息采集、利用,还是相应的信息转换、转移,均绕不开“知情同意”。
第二,如果个人信息处理者违反的是关于保护个人信息安全的义务的规范或者关于个人信息保护影响评估义务的规范,或者如果个人信息处理者没有履行相应的义务以实现个人在个人信息处理活动中的权利,那么只能通过该违法行为推定处理者存在过失,而处理者可以通过举证证明其没有过错,推翻此种基于违法行为对其过失的推定(而非推翻过错推定责任中的推定)。
笔者认为,在我国法上,当个人信息处理者没有履行相应的义务以实现个人在个人信息处理活动中的权利,或者存在违反关于保护个人信息安全的义务的法律规范或者关于个人信息保护影响评估义务的法律规范的行为时,应当对其适用违法推定过失。事实上,个人在针对个人信息处理者提起侵权诉讼时往往会指明个人信息处理者存在某些违法行为,即事实构成要件的满足性(存在侵害个人信息权益的行为)指示出了个人信息处理行为的违法性,个人信息处理者必须通过证明存在违法阻却事由——如正当防卫、紧急避险或自助行为——来排除违法推定过失的适用。个人信息处理者还可以通过证明自己虽然在客观上违反了相关的法律义务但已尽到了合理谨慎的个人信息处理者应尽的注意义务,证明自己没有任何过错。例如,虽然保护个人信息的安全措施被黑客攻破从而发生了个人信息泄露事件,但所用的安全措施已经是最高级别的且攻击手段前所未见,此时,即便个人信息处理者尽到了合理的注意义务,也无法防止个人信息被泄露。
结 语
我国已经建立了以《个人信息保护法》《民法典》等法律为核心的个人信息保护法律规范体系,但并非所有的个人信息保护法律都属于保护性规范,违反它们也并非都能够产生侵权责任。只有个人信息处理者违反了个人信息保护法律中的保护性规范时,才可能对该处理者适用违法推定过失。另外,个人信息处理者违反个人信息处理规则的行为就是过失行为,而非推定的过失行为。尽管《个人信息保护法》第69条第1款规定,在个人信息侵权案件中对个人信息处理者适用过错推定责任,但这并不影响对违法推定过失的适用。相信随着我国个人信息保护司法实践的开展,理论界与实务界对于个人信息侵权责任中的过错认定以及违法性与过错之间的关系将会有更深入的认识。
来源:《法制与社会发展》