1. 引言
传统民事交易中的雇主责任,采取的责任范式是雇主对其员工承担无过错的替代责任,即员工执行职务造成侵权法律后果时,是以员工过错责任为标准,但是雇主对员工的责任则承担无过错的替代责任。但是《个人信息保护法》将数据处理行为区别于以过错责任为原则的一般民事行为,而是采用过错推定责任为衡量标准。意思自治与责任自担是现代民法的理论基石,行为人因其过错行为承担相应责任是属理所应当 [1] [2] ,过错推定机制则是基于各方行为人资质能力差异而做出的特殊考量。在大信息时代,也正因为个人信息获取的便捷性和信息使用的高度集合性,加之海量存储和光速传播的特性,决定了公民对个人信息失去传统物权绝对性支配权的权属保护 [3] 。为保护弱势方的数据主体,附加数据处理者以过错推定为标准的责任负担方式是有其必要性的。在确立了数据处理行为中的过错推定责任,势必对传统的雇主责任架构产生深刻的影响,同时基于数据标的之自身特性和数据处理者之超然地位,在责任认定框架中需要对雇主及员工的责任边界进行全新的平衡界定。
2. 用工关系中对外关系与内部关系区分处理
2.1. 对外责任范围以过错要件为侧重
数据处理者作为用工单位,其对相对人之间的外部关系与对使用人之间的内部关系存在性质差异,因此需要对外部关系和内部关系进行分开讨论。作为数据处理者的企业所享有的权利和应履行的义务包括在《个人信息保护法》中列明的诸项内容1。上述数据处理者义务为《个人信息保护法》直接规定,然除此之外基于数据主体权利所对应的义务,即数据主体的权利对应着数据处理者的义务则可以体系解释自然得出2。《个人信息保护法》是规范个人信息处理的行为法,而不单纯是个人信息者的权利保护法,因此数据主体有负担接受数据处理的义务 [4] 。权利之实现必然依赖于义务之承担,违者则需要负担损害之赔偿的法律后果。在对外赔偿责任范围的认定上,本部分将首先对责任之请求权基础进行检索,在确立构成要件的基础上,综合分析判断损害赔偿边界的标准所在。
2.1.1. 对外责任的构成要件分析
数据处理者违法侵害数据主体的权利,在对外责任上需要承担相应的侵权责任,该侵权责任的性质为民事责任。民事侵权责任的一般请求权基础为《民法典》侵权编第一千一百六十五条第二款有关过错推定责任之规定,但是《个人信息保护法》第六十九条第一款同样规定了个人信息处理者侵权责任的过错推定原则。《个人信息保护法》第六十九条第一款与《民法典》侵权编第一千一百六十五条第二款适用关系问题上,笔者以为《个人信息保护法》应该优先适用 [5] 。其一,从适用范围上看,《民法典》调整的是平等主体的自然人、法人和非法人组织之间的人身关系和财产关系,信息能力不平等的主体之间的个人信息处理活动则应受到《个人信息保护法》的拘束 [6] 。基于数据处理者自身的资源掌控能力和经营优势地位对信息主体形成的碾压式优势,此时认可数据处理者承担过错推定责任合乎情理法理。其二,从法律体系上看,基于特殊法优于一般法的法律论证路逻辑,特殊性的《个人信息保护法》相较于基础性、综合性的《民法典》更为优先适用。因此首先判定《个人信息保护法》第六十九条第一款为处理数据处理用工对外关系的请求权基础。
侵权责任的构成要最新采用七要件说3 [7] ,七要件说相较于传统侵权要件而言更为缜密。基于数据处理者的资质能力之差异,其所负担的注意义务也有所不同,进而导致其主观过错要求也有所迥异,直接决定了不同数据处理者侵权构成要件的符合性差异不可避免,因此其责任承担范围也不尽相同。但数据处理者侵权责任的成立要件中需要重点关注的是过错要件,但本处所强调的过错并非抽象意义上的故意和过失。同时数据产生及其处理后的效力范围不仅仅存在于数据主体和数据处理者之间,也会投射于特定受众或者不特定公众 [8] 。因此数据处理者应该考虑来自多方的义务承担,特别是掌握关键领域的重大企业和控制大量数据的互联网公司。基于数据的海量存储、信息的快速传播和技术的迭代升级,数据处理中的关键运营者可能产生的潜在破坏力是应该受到重视的,这一点也为《个人信息保护法》的立法者所关注。法条将数据处理者大致分类为“一般数据处理者”“数据处理守门人”以及“受托处理者”。守门人是提供重要互联网平台服务、用户数量巨大以及业务复杂的大型互联网平台,因其处于移动互联网生态关键环节控制地位的自身特征 [9] ,所应负担着比起“一般处理者”更为高的注意义务和防范标准4。《个人信息保护法》对相关企业提出了更高的义务要求,该企业也就负担了更高的注意义务,其适用的劳工关系或者劳务关系也具有同样的要求。
2.1.2. 对外赔偿责任的范围确定
在考虑赔偿之范围时,《民法典》在其第一千一百七十九条到第一千一百八十七条作出了明确规定。原《侵权法》第二十条规定侵权责任的损失赔偿范围确定,首先根据被侵权人受到的损失程度,被侵权人的损失难以确定则根据其获得的利益赔偿。《侵权法》规定应先考虑实际损害,损害不能确定的,才考虑以加害人的获利为标准计算损害赔偿的数额。但是《民法典》第一千一百八十二条将其作为两个平行的计算方式。体现了损害赔偿突破了补偿的原则,目的在于保护受害人。《民法典》第一千一百八十二的规则建构模式是值得称道的,但是数据处理行为因其数自身特性有别于一般的民事法律行为,《个人信息保护法》第六十九条第二款的赔偿范围也是大有争议余地。
数据不同于民法一般意义上的物,其价值判定并不稳定,往往随其数量增加而导致价值指数上升。无法感知如电力等无体物,也是可以根据其使用量进行价值衡量,但是数据价值不能单纯借助数量判断。因为数量少的数据库的价值总量远远低于海量数据库所带来的市场价值,因此后者单条信息的价值也就会高于前者。与价值可以波动的知识产权等权利相比,数据价值变动更为特殊,因为数据掌握在不同的数据处理者手中往往会创造不同的市场价值,一般的互联网小企业拥有的数据远远无法与大平台相比,因为数据的价值实现还会有算法的逻辑支撑、技术的运行支撑、企业声誉的商誉支撑、平台包装的宣传支撑等各方面因素。在中共中央、国务院2022年12月19日发布的《关于构建数据基础制度更好发挥数据要素作用的意见》中第十二条规定,健全数据要素由市场评价贡献、按贡献决定报酬机制,按照“谁投入、谁贡献、谁受益”原则,着重保护数据要素各参与方的投入产出收益,促进劳动者贡献和劳动报酬相匹配 [10] 。如果《个人信息保护法》第六十九条第二款规定赔偿范围以个人受到损失或者个人信息处理者因此获得的利益确定,等于赋予了数据主体自主选择的权利。然而数据库价值的增加很大程度上是数据运行者再加工的后果,如此的赔偿范围设定势必降低数据处理者的劳动参与积极性。相比之下原《侵权法》第二十条的立法模式反而值得参考。
2.2. 内部责任的分配以身份关系为界分
数据处理者作为法人在实际的处理行为中不可避免发生用工关系,企业对侵权行为责任的承担与否根据无过错的替代责任,对侵权行为导致法律后果的承担范围以其过错大小判定,即企业为其员工的一切侵权行为承担责任,企业不得主张其已尽勤勉注意义务而逃脱法律责难。当企业承担了外部责任后,数据处理者与其使用人的内部责任根据二者关系差异进行区分对待。在内部责任的分配上,劳务关系与劳动关系有所区别。从法律适用上看,劳动关系受到《劳动法》和《劳动合同法》的规范,同时劳动者在承担上述规定的义务时其权益也受到保护,劳务关系则不能适用之。从权利配置上看,劳动关系双方存在着隶属关系,用人单位对职工有工资、奖金等方面的分配权利 [11] 。但是在劳务关系中,提供劳务的一方有一定议价能力和自主中断劳务的权利,用人单位对其无处分惩戒权利。又因为现行立法对于劳动关系和劳务关系的处理规则分别规定在不同的条款,且其制度架构和规范模式也各有特性,因此对于二者进行区分处理有着重要的现实意义。下文也将从“劳动关系中的侵权责任分配”和“劳务关系中的侵权责任分配”两个方面进行论述。
3. 劳动关系中的侵权责任分配
有关劳动关系中用人单位范围的确定在《劳动法》第二条和《劳动合同法》第二条中有所规定,即用人单位包括企业、个体经济组织、民办非企业单位等组织、国家机关、事业组织、社会团体等。对于上述列明的主体之外的个体工商户、合伙等是否属于劳动关系则需要具体甄别。一般而言,个体工商户与自然人之间用工大多属于劳务关系,合伙分为商事合伙和民事合伙,作为商事合伙的合伙企业是否可以与自然人之间建立劳动关系则存在争议5 [12] ,但民事合伙不属于劳动关系则并无疑义。
3.1. 外部责任承担规范
劳动关系中的用工责任规定在《民法典》第一千一百九十一条第一款,该条款第一句规定了企业的无过错替代责任,第二句规定了内部追偿的规范设定。但是在《民法典》第一千一百九十一条第一款并不能直接适用于数据处理劳动关系,因为数据处理侵权行为根据《个人信息保护法》第六十九条第一款是过错推定责任。因此劳动关系中的数据处理者侵权行为请求权基础为《个人信息保护法》第六十九条第一款,同时结合《民法典》第一千一百九十一条第一款,以此实现法律体系间的完整构造与融洽衔接。作为数据处理者的企业对其使用人过错行为导致的侵权责任承担无过错的替代责任,即使用人的侵权行为直接视作用工单位的自身的过错,则用工单位的过错要求也会成为使用人的责任拘束。换句话说,一般数据处理者的企业承担着《个人信息保护法》第五十一条到第五十七条规定的诸项义务,其使用人也会负担同等义务要求。而针对重要互联网平台服务、用户数量巨大以及业务复杂的大型互联网平台的使用人,则因其注意义务和过错要求的往往高置,使用人也就会负担更为严格的要求。
3.2. 内部责任追偿机制
针对雇主责任比较法上的立法模式,德国和日本对雇主责任采取过错推定责任 [13] ,法国法对雇主责任采取无过错责任6,英美法中雇主责任亦为无过错责任,且主不得以选任和监督上没有过错而免除责任 [14] ,我国采用了单一的无过错替代责任。无过错替代责任在平衡用工单位和雇员之间的利益状态时,选择倾斜保护于更为弱势方的雇员。同时又建立了内部的追究机制,避免对于雇员的过分保护。追究机制仅仅考虑雇员故意或重大过失的侵权情形,对于一般的过错侵权则免除了雇员的赔偿责任。该制度构建放在数据处理用工关系中,数据处理者因使用人之故意过失导致第三人权益损害的即承担相应责任。在处理二者的内部责任分配问题则采用了追偿的方式,数据处理者有权向具有故意或重大过失的实际侵权人主张责任之追偿。企业基于自身对于职工的身份拘束以及经营管理的现实情况,在风险与收益相均衡的一般原理下,承担职工一般过失导致的风险所带来的那部分损失也相对合理。对于劳动关系之外的用工责任则不受《民法典》第一千一百九十一条第一款拘束,劳务关系的法条依据将于下文展开。
4. 劳务关系侵权的内部追偿机制讨论
4.1. 责任分配的现行法规范
非属于《劳动法》和《劳动合同法》中规定的劳动关系,则该劳务关系不受上述法律规范的拘束。数据处理者与使用人之间建立的劳务关系,因其故意、过失导致侵权责任,在对外时企业是否依旧承担无过错的替代责任。但是有关责任承担后是否准许员工向数据处理者追偿,以及其现行法规范何在,是本部分的论述重点。
劳动关系中的用工责任规定在《民法典》第一千一百九十一条第一款,第一千一百九十二条规定的劳务关系仅仅适用于自然人之间,单位与自然人之间的劳务关系不得适用于该条款 [15] 。《民法典》第一千一百九十一条第二款规定的是单位与自然人之间的劳务派遣关系,也非一般的劳务关系,由此产生企业与自然人间的劳务关系之规范基础何在的疑问。为解决上述问题,笔者认为应该对第一千一百九十一条第二款进行类推解释。上述情形虽然不是第一千一百九十一条第二款规定的劳务派遣关系,但是根据举重以明轻的类推解释,认定数据处理者对劳务关系中使用人的过错侵权责任承担无过错替代责任。既然劳务派遣中的实际用工单位需要承担派遣员工的过错侵权责任,且派遣单位在其过错范围内承担责任,当派遣单位和用工单位属于同一企业,由该主体承担全部责任属于体系解释的合理结果。因此,企业之责任承担的请求权基础为《个人信息保护法》第六十九条的过错推定责任再结合第一千一百九十一条第二款之规定。在处理外部关系时,涉及被派遣工作人员、劳务派遣单位和接受劳务派遣的用工单位三方责任。由法条可知,劳务派遣单位和接受劳务派遣的用工单位依旧承担无过错的替代责任,只是而二者之间承担责任的次序和程度有所不同,劳务派遣单位仅需就其过错承担补充责任。对于实际引发侵权后果的被派遣工作人员,该条款则并未直接规定其内部追偿机制留下了制度空缺。对此,下文将着力对劳务关系中的内部追偿机制进行展开论述。
4.2. 主体间追偿的可行性解释路径
上文述及劳务关系中因使用人的过错侵权行为由数据处理者承担替代责任,且法律依据类推适用于第一千一百九十一条第二款,但是内部追偿上因为该法条并未做出相应规定而存在制度缺失。若根据第一千一百九十一条第二款的制度架构,则劳务关系中的使用人即便因其故意、重大过失行为导致侵权责任的发生,数据处理者均无权追偿,明显违反了民法诚实信用的基本原则和责任自担背后法理,同时导致了劳务关系和劳动关系中的员工的义务承担的不当差异,违背了法学理论中法律评价一致性的基本原理。进而助长使用人粗疏大意甚至刻意为之的恶意举动,不利于数据主体的权利保护和数据市场的健康运行。故此,在现行法的立法留白之处,为制度构建缺失所导致的规范真空寻求一个可行的解释路径,是法解释学的重要意义。
笔者认为,追偿权的制度留白并不会当然造成该部分权利主张的缺失。因为其他民事请求权可以进行体系填补,可行的方案有违约责任和一般侵权责任两项请求权的竞合适用。首先从违约角度上看,法律明确追偿权制度并不妨碍数据处理者依据合同约定向使用人进行责任追偿。派遣机构和要派机构连带责任的内部分担在《劳动合同法》第92条中未作出规定时,内部责任的分担关系应当交由合同关系来调整 [16] ,《民法典》虽然对上述关系做出了规定,但是职务侵权中派遣机构的连带责任下的追偿权仍未作出规定,因此适用民法一般原理也是同理所得。人力资源和社会保障部于2014年颁布的《劳务派遣暂行规定》第七条第十二项中规定,劳务派遣协议应当载明劳动者违反劳务派遣协议的责任。也可以看出,该条款虽未规定追偿权制度,但是违约责任依然有适用的空间。其次从侵权角度上看,劳务关系中的使用人过错行为可能构成侵权责任。若是当事人之间并未在劳务协议中对责任范围进行明确约定,此时则可以适用侵权编的一般规定,其请求权基础为《民法典》第一千一百六十五条第一款。违约责任来源于责任人对约定义务的违反,而侵权责任来源于责任人对法定义务的违反,违约是对约定和承诺的违背,侵权是对法律规则赋权的侵犯 [17] 。违约责任与侵权责任属于竞合关系,一般而言存在合同约定时优先适用当事人的约定,但是二者同时存在时当事人有择一选择的权利 [18] 。因此在违约请求权不存在时,侵权请求权也将填补空缺。同时,因为我国侵权法上客体的宽泛性,权利及利益均为侵权法所保护,此处使用人过错侵权之客体并不需要具体区分 [19] ,纵然不属于权利、利益的纯粹经济损失,也可以因为行为人的恶意而受到非难。
若根据违约进路,因为违约责任在中国大陆采用的是无过错责任主义 [20] ,此时对使用人的侵权责任须进行限缩,可以根据《民法典》第四百九十七条第二款、第三款规定的格式条款限制约定的责任范围。若无格式条款之要件满足,则可以根据第七条的诚实信用原则进行限制之。若根据侵权进路,则根据侵权责任成立中的过错要件进行限缩,基于价值平衡理念将此处过错解释为故意或者重大过失,从而排除一般过错责任的侵权责任。过错程度对侵权构成的一般性影响透过与其他要件满足程度综合考量 [21] ,以此实现在劳动合同与劳务责任中的责任苛难的衡平性。
5. 结语
目前我国数据要素市场处于实体规模海量、激活需求巨大的关键发展期,党中央、国务院高度重视数据要素市场的建设工作。为了实现数据要素的有效流通,如何处理数据处理用工关系成为数据市场化建设的基石性工作。通过对复杂的数据处理用工关系分类讨论,本文在体例上以劳动关系和劳务关系两种不同的法律类型为展开,深入分析不同类型下的数据处理关系主体的责任承担。劳动关系中通过对外责任和内部责任双重界分,对外责任中主要侧重于对数据处理者的过错责任加以解释,以《个人信息保护法》第六十九条第一款为其请求权基础,以过错推定责任为侵权判断标准,综合判定数据处理者的责任范围。在劳务关系中主要侧重于对内部追偿机制的法律规范构建,对外责任企业依旧承担无过错的替代责任,对内责任中对第一千一百九十一条第二款进行类推解释为内部追偿机制寻求法律依据。通过上述类型区分和内外分明的责任分配体系,以期实现对数据处理者在对外关系和内部责任周全分析,进而回应数据处理关系中的信息获取便捷性、信息使用高度集合性、信息海量存储性信息和光速传播性的新特征。
NOTES
1《个人信息保护法》第五章“个人信息处理者的义务”第五十一条到第五十九条做出了规定,包括了第五十一条规定的安全风险防控义务、第五十二条规定的达到国家网信部门规定数量的个人信息处理者指定个人信息保护负责人的义务、第五十三条规定的境外个人信息处理者的境内设立专门机构或者指定代表的义务、第五十四条规的合规审计义务、第五十五和五十六条规定的个人信息保护影响评估义务、第五十七条规定的发生个人信息泄露、篡改、丢失的通知事项、重要互联网平台服务、第五十八条规定的用户数量巨大、业务类型复杂的个人信息处理者的特殊义务、第五十九条规定的接受委托处理个人信息受托人的义务。
2数据主体的权利对应着数据处理者的义务,《个人信息保护法》第五章“个人在个人信息处理活动中的权利”第四十四条到第五十条做出了规定,第四十四条规定的知情权、决定权、限制权、拒绝权,第四十五条规定的查阅权、复制权,第四十六条规定的更正权、补充权,第四十六条规定的删除权,第四十七条规定的个人信息处理规则解释说明权,第十八条规定的死者近亲属个人信息权益,第四十七条规定的程序性的诉讼权利。
3七要件说是德国采纳的学说,相较于四要件更为缜密,分为“侵权行为、权益侵害、侵权行为和权益侵害之间的因果关系、受有损害、权益侵害和受有损害之间有因果关系、主观过错、违法性要件”。
4诸如第四十条中“关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者”的境内存储义务和境外传输安全评估义务。第五十二条中“处理个人信息达到国家网信部门规定数量的个人信息处理者”的指定个人信息保护负责人义务。第五十八条中“提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者”的合规制度体系义务。
5劳动关系的建立以从属性作为判断成立要件的最核心的基准条件,合伙企业基于其“利益共享、责任共担”的运营机制,其合伙人对合伙事务享有同等的权利,承担同等的责任,其与合伙企业间不存在劳动法意义上的人身依附性及隶属性的关系,故不应认定存在劳动关系。
6《法国民法典》第1384条规定,雇主不能通过证明自己没有过错获得免责。