个人私密信息侵权归责原则适用研究

doi:10.12677/OJLS.2023.114459

期刊菜单

个人私密信息侵权归责原则适用研究
Research on the Application of the Principle of Liability for Infringement of Personal Confidential Information

DOI: 10.12677/OJLS.2023.114459, PDF, HTML, XML, 下载: 100 浏览: 200
作者: 钱映甫：贵州大学法学院，贵州贵阳
关键词: 个人私密信息；侵权责任；归责原则；Personal Confidential Information； Liability for Infringement； Imputation Principle

摘要: 《个人信息保护法》与《民法典》均规定了侵害个人私密信息的归责原则，差别在于前者适用过错推定原则，后者将其定义为一般侵权，适用过错责任原则。两者对私密信息保护难免发生重叠，然基于信息主体与侵权主体之间强弱地位的不平等，信息主体对主观过错要件的证明难度较大，故为有效保护信息主体的合法权益，构建其与侵权主体之间利益的平衡性，个人私密信息侵权应优先适用过错推定原则，由侵权主体证明其在信息处理中无主观过错。

Abstract: The Personal Information Protection Law and the Civil Code both stipulate the principle of liability for infringement of personal confidential information. The difference is that the former applies the principle of fault presumption, while the latter defines it as general infringement and applies the principle of fault liability. The protection of private information between the two is inevitably overlapping. However, due to the unequal status between the information subject and the infringing party, it is difficult for the information subject to prove the subjective fault elements. Therefore, in order to effectively protect the legitimate rights and interests of the information subject and establish a balance of interests between them and the infringing party, the principle of fault presumption should be applied first in personal private information infringement, and the infringing party should prove that they have no subjective fault in information processing.

文章引用：钱映甫. 个人私密信息侵权归责原则适用研究[J]. 法学, 2023, 11(4): 3222-3227. https://doi.org/10.12677/OJLS.2023.114459

1. 问题的提出

大数据时代之下，科技的进步提高了信息的流动性并且促进了信息商业价值的实现，但同时也导致个人信息的频繁泄露，司法实践中个人信息侵权案件屡见不鲜。《民法典》第1034条第3款规定：“个人信息中的私密信息，适用隐私权的规定；没有规定的，适用有关个人信息保护的规定。”这表明立法者有意将个人信息区分为私密信息与非私密信息，但未对个人私密信息作出明确界定，也未提出区分私密信息与非私密信息的标准。同时，《民法典》将隐私侵权定义为一般侵权行为，适用过错责任，而实践中常见的为高科技信息侵权，主体的地位不平等导致信息主体证明侵权主体存在主观过错难度较大，故《个人信息保护法》第69条第1款规定了侵害个人信息时适用过错推定责任。因此，个人私密信息受到双重保护，当侵权行为侵害了个人私密信息时，应当适用一般侵权的过错责任原则，还是适用过错推定责任？有学者认为应区分个人信息处理者与非个人信息处理者，适用不同的归责原则；也有学者认为应统一适用过错推定原则。本文拟围绕该问题重新审视个人私密信息侵权归责原则，对此展开论述。

2. 个人私密信息的界定

个人信息分为私密信息与非私密信息，论述某一侵权行为侵害个人私密信息时归责原则，首先必须明晰个人私密信息这一法律概念，即何为私密信息？私密信息与隐私、敏感信息是否等同以及如何区分。

2.1. 个人隐私

保护个人隐私是尊重自然人的人格自由和维护人格尊严的表现。个人隐私是指与自然人的精神利益密切相关，具有私密性和主观性特征，具有高度私人化的特点。一旦隐私被公开或披露，就不能再被视为隐私，因此需要通过其他途径加以保护。每个人因生活环境和社会文化背景的不同而对隐私的范围和保护程度有所不同 [1] 。

根据《民法典》第1032条第2款关于隐私的定义可知，隐私包含宽泛的范围，不仅包括以信息化形态存在的隐私，还包括私人可支配的如空间、与公共利益无关的活动以及个人私人生活的安宁。

2.2. 敏感个人信息

《个人信息保护法》规定了敏感个人信息的范围，这些信息一旦被泄露或非法使用，就有可能导致侵害自然人的人格尊严、危害自然人的人身安全或财产安全。比如，个人的行踪轨迹、医疗健康、特定身份关系等信息都属于敏感个人信息。敏感个人信息最关键的特征是“敏感性”，即会对个人造成侵害或危害的容易性。近年来，越来越多的学者认为，敏感信息和私密信息往往是等同的，只是概念表达上存在差异。例如，张新宝教授认为，“私密信息”、“敏感信息”、“具有私密性的私人信息”这些概念在本质上并没有区别，只是表述方式不同而已 [2] 。

然而，这种理解不仅缺乏法律依据作支撑，而且也不一定符合立法机关的初衷。《个人信息保护法》为了规范信息处理者的行为，将个人信息分为敏感信息和非敏感信息，并针对不同类型提出了一般和特殊的区别处理规则以及义务要求。此外，为了更全面地保护自然人的个人信息权益，法律加重了个人信息处理者在处理敏感信息时的法定义务。为了区分隐私权保护和个人信息权益保护的形式、方法和具体内容，《民法典》从维护民事权益的角度划分了个人信息为私密信息和非私密信息，并注重针对不同的民事权益类型，规范差异化的保护措施 [3] 。

2.3. 个人私密信息

根据目前主流观点，隐私和个人信息之间存在着相互关联和交叉的关系。私密信息指的是隐私和个人信息的交集，但《民法典》中并没有对私密信息做出明确的定义和解释。由于个人私密信息的法律界定是一个比较动态的过程，不能仅仅止步于法律法规的规定，因此本文根据隐私和个人信息的定义，宽泛地定义私密信息为那些未被公开、仅能识别特定自然人的信息，可以作为单独的信息或结合其他信息使用。

一方面，私人信息被认定属于个人信息。根据《民法典》第1034条第2款和《个人信息保护法》第4条第1款的规定，私人信息必须具备可识别特定个人的“可识别性”，包括对个人身份和特征的直接或间接识别。个人隐私不具备可识别性，不能视为个人信息。另一方面，依据隐私的定义，隐私是指不希望他人知道的私人信息。私人信息具有“不愿意让别人知悉”的特点，这意味着私人信息是不希望公开的信息。只要这些信息涉及的是个人隐私，不论公开这些信息是否对权利人有积极或消极的影响，只要不涉及公共利益或他人的合法权益，而且不公开这些信息不违反法律的强制规定和公序良俗，信息就应保持私密 [4] 。

个人的私密空间和活动本应属于个人隐私。然而，只要这些私密信息被以电子或其他方式记录下来并可用于识别特定自然人，就具有了个人信息的属性，成为个人私密信息。

3. 个人私密信息侵权适用过错推定原则现状及反思

《个人信息保护法》第69条第1款规定：“处理个人信息侵害个人信息权益造成损害，个人信息处理者不能证明自己没有过错的，应当承担损害赔偿等侵权责任。”该条明确了个人信息侵权时适用过错推定原则，而当个人信息处理者侵害私密信息构成侵权时，因基本概念的不清晰同时存在着一些问题，也导致适用规则不统一，造成“同案不同判”的后果。

3.1. 如何界定个人信息处理者

《个保法》第69条第1款规定：“处理个人信息侵害个人信息权益造成损害，个人信息处理者不能证明自己没有过错的，应当承担损害赔偿等侵权责任。”依据该条规定可逆向推导出，非个人信息处理者侵害他人私密信息不适用该条款。如在“汪某与陈某等其他人格权纠纷民事二审案”中，法院认为个人信息侵权责任的构成包括：违法行为、损害结果、因果关系、主观过错¹。这是因为《个保法》调整的是信息不对称和权力不对等的自然人和个人信息处理者之间的个人信息处理关系，而非个人信息处理者侵害私密信息显然不受《个保法》的调整，应当适用《民法典》有关隐私权的相关规定，虽然学界也存在一些反对的意见，但多数学者对此观点持认可态度 [5] 。《个保法》第73条第1项界定了个人信息处理者的主体权能、类型：前者为自主决定处理目的和处理方式；后者为组织、个人 [6] 。但根据该项规定并不能精准明晰个人信息处理者的外延。在这种情况下，若司法实践中存在涉及侵犯私密信息构成侵权的案件，那么该侵权主体是否构成个人信息处理者将取决于法官的裁量权。为了充分保障个人信息权益，精准界定侵权主体，我国未来可能会借鉴国外立法经验，例如限定个人信息处理者的“处理目的”，列举个人信息处理者的具体情形，或是由法官自由裁量等方式。然而，在私密信息侵权纠纷中，这种过错推定原则的适用仍存在困境。

3.2. 损害认定存在困境

我国《民法典》第1165、第1166条修正《侵权责任法》第6条、第7条的规定，清晰地区分了侵害和损害，在规定归责原则时以“造成损害”这样的表述，明确了损害这一核心要件，依据传统侵权法对损害事实要件的要求，损害须达到一定的程度，没有达到相当的程度，就不能构成侵权责任 [7] 。个人信息具有无形性、不确定性和难以定量的特点，因此在理论和实践中，如何认定侵害个人信息所造成的损害是一个难点问题。尤其是对于个人私密信息而言，要等到其被泄露并被他人恶意使用，才能认定为损害事实构成要件，这种机械化且过于严苛的做法并不适宜于现代社会 [8] ，特别是在风险社会中，人们应当更加注重损害的观念化。在司法实践中，法院对于个人私密信息泄露侵权责任的损害认定存在一定难度，原告因此也容易与被告在个人私密信息是否受到损害以及损害类型等问题上产生争议，包括是否存在精神损害等问题。

为了避免精神损害赔偿责任的滥用和司法失当，我国在法律制定和适用上一贯遵循了“严重或重大程度”的原则。根据《民法典》第1183条第1款的规定，精神损害赔偿只有在人身权益受到侵害并且遭受到严重精神痛苦的情况下，才能行使精神损害赔偿请求权。但是，我国法律缺乏客观的衡量被侵权人精神损害严重程度的标准，也缺乏将无形的非物质损害转化为金钱的赔偿方式 [9] 。在司法实践中，受到社会价值观念和法律秩序的影响，法院对“严重”的解释和适用较为严格，并经常认为原告不能证明或未能证明被告的侵权行为造成了严重的精神痛苦，因此不支持原告的精神损害赔偿请求。

4. 个人私密信息侵权归责原则适用的应然路径

4.1. 保护规则的竞合

就个人信息权益的属性而言，笔者认为其既不属于具体的人格权，也非一般人格权，其是介于两者之间的一种独立的合法权益。也就是说，个人信息权益具有独立的保护价值，一方面，需要对其进行独立的保护；另一方面，在该权益的侵权责任规范适用方面，也应当独立于人格权。

个人信息权益内涵相当广泛，而当某一行为侵害了包含私密信息等内容的个人信息时，其同时侵犯了隐私权等人格权保护的客体，此时该个人信息应当受到个人信息权益与人格权的双重保护。此时，《个人信息保护法》中所规定的侵害个人信息的保护规则，同《民法典》中规定的人格权所规定的侵害人格权的保护规则发生竞合 [10] 。

同时，当侵权主体的行为侵害个人私密信息，同时侵害了他人的隐私权，由于私密信息为个人信息的组成部分，那么当两个保护规则之间产生了适用竞合时，理应根据《民法典》第1034条的规定做出保护合法权益的最佳选择。

4.2. 个人私密信息侵权归责原则

对于个人私密信息侵权适用何种归责原则，学界存在争议，部分学者认为应当优先适用隐私权的规则，即便隐私与个人私密信息之间可能存在某些不同，但值得肯定的两者之间存在某种天然的联系，个人私密信息其本质上还是个人信息，区别与一般个人信息的点在于信息主体期望这部分个人信息处于隐秘的状态，故对于这类特别的个人信息，当隐私权没有提出明确的优先适用规定时，应当适用个人信息保护的一般性规则。然而有部分学者认为应当优先适用个人信息保护规则，理由在于《个人信息保护法》属于特别法，理应优先适用。如果将《民法典》第1034条理解为隐私权优先适用，会产生与比较法经验背道而驰的局面，也即此时将隐私权保护规则视作了特别法，个人信息保护规则视作普通法，只有当特别法没有规定时，可适用普通法。

笔者认为，归责原则是指当行为人的行为造成他人损害后，以何种依据承担责任，其是明确侵权主体承担责任的标准，归责原则不同，责任承担的判定依据与免责事由不同。《民法典》侵权责任编中，过错责任原则是一般原则，过错推定原则与无过错原则仅在法律有特别规定时才可以适用。因为人格权的侵权与个人信息的侵权适用的归责原则不一致，故当对《民法典》第1034条做出不同的解释时，对于侵害个人私密信息的侵权责任的判断产生不同的影响。倘若优先适用隐私权的归责原则，即过错责任原则，那么此时行为人主观上是否有过错为判断是否对信息主体侵权的核心要件。同时，此时证明行为人存在主观过错的主体是被侵权人，一般信息侵权案件中，信息主体相较于侵权主体处于相对弱势的地位，此类侵权一般具有一定的专业性，主体一般属于企业等，作为个人的举证成本较高，在技术手段等方面无法获知地位强于自身的侵权主体的过错，更别谈加以证明。若无法证明侵权主体的主观过错，即无法得到侵权损害赔偿，故采过错责任原则无法平衡信息主体与侵权主体之间的利益，相较于信息主体来说，无法有效的保护自身的合法权益。换言之，基于信息主体与侵权主体两者间的不平等地位，个人私密信息侵权案件中，为了调整二者之间的利益关系，采过错推定原则较为合适，让侵权主体证明侵权的过错构成要件，提高其侵权责任的证明要求，当其无法证明在处理信息时没有过错，那么此时的侵权责任要件中的过错要件应视为满足。

综上，《民法典》未明确规定隐私权侵权的归责原则，仅为依侵权责任编所规定的侵害一般人格权的归责原则进行适用，而《个人信息保护法》第69条是适用于个人信息侵权的条款，并且该款同时规定了归责原则为过错推定原则。此时，考虑到基于平衡侵权行为人与信息主体间强弱地位的不平等，应优先适用《个人信息保护法》第69条的规定，即在个人私密信息案件中，应优先适用过错推定责任进行归责。

5. 结语

《民法典》与《个人信息保护法》对个人私密信息存在双重保护，而二者规定了不同的归责原则，故当侵权行为人侵害信息主体私密信息时，适用何种归责原则是司法实践中亟须明确的问题，而相比二者现实中的地位，此类侵权行为具有一定的技术性与科技性，信息主体作为个人难以举证侵权行为人的过错，故为平衡二者之利益关系，应优先采取过错推定原则，由侵权行为人证明其作为信息处理者在信息处理过程中不存在主观过错，以有效的保护个人私密信息权益。

NOTES

¹参见上海市第二中级人民法院(2021)沪02民终11688号判决书。

参考文献

[1]	民事审判理论专业委员会. 民法典人格权编条文理解与司法适用[M]. 北京: 法律出版社, 2020.
[2]	张新宝. 个人信息收集: 告知同意原则适用的限制[J]. 比较法研究, 2019, 166(6): 1-20.
[3]	王利明. 敏感个人信息保护的基本问题——以《民法典》和《个人信息保护法》的解释为背景[J]. 当代法学, 2022, 36(1): 3-14.
[4]	李卫华. 民法典时代个人隐私信息公开豁免条款的困境及完善[J]. 行政法学研究, 2021, 130(6): 68-77.
[5]	张建文, 时诚. 《个人信息保护法》视野下隐私权与个人信息权益的相互关系——以私密信息的法律适用为中心[J]. 苏州大学学报(社会科学版), 2022, 43(2): 46-57.
[6]	杨立新. 侵害个人信息权益损害赔偿的规则与适用——《个人信息保护法》第69条的关键词释评[J]. 上海政法学院学报(法治论丛), 2022, 37(1): 1-15.
[7]	杨立新. 私法保护个人信息存在的问题及对策[J]. 社会科学战线, 2021, 307(1): 193-202.
[8]	谢鸿飞. 个人信息泄露侵权责任构成中的“损害”——兼论风险社会中损害的观念化[J]. 国家检察官学院学报, 2021, 29(5): 21-37.
[9]	崔聪聪. 个人信息损害赔偿问题研究[J]. 北京邮电大学学报(社会科学版), 2014, 16(6): 35-42.
[10]	李昊. 个人信息侵权责任的规范构造[J]. 广东社会科学, 2022(1): 249-260.

为你推荐

友情链接