个人信息权益损害赔偿过错推定责任的适用

doi:10.12677/DS.2023.96472

期刊菜单

个人信息权益损害赔偿过错推定责任的适用
Application of Presumption of Fault Liability for Compensation of Personal Information Rights and Interests Damage

DOI: 10.12677/DS.2023.96472, PDF, HTML, XML,
作者: 武韵怡：澳门科技大学法学院，澳门
关键词: 私密信息；过错推定责任；损害赔偿责任；个人信息保护法；民法典； Private Information； Presumption of Fault Liability； Liability for Damage； Personal Information Protection Law； Civil Code

摘要: 《个人信息保护法》与《民法典》在归责原则方面的适用争议并不在于两部法律的体系衔接当中，而是由个人信息和隐私二分保护模式引发的私密信息的损害赔偿归责原则适用难题。根据隐私与个人信息的实质差异分析，信息处理者如果对私密信息造成损害，应当承担过错推定责任，而非一般过错责任。

Abstract: The dispute over the application of the liability principle between the Personal Information Protection Law and the Civil Code does not lie in the convergence of the two laws, but in the application of the liability principle for damages of private information caused by the dual protection mode of personal information and privacy. According to the analysis of the substantial difference between privacy and personal information, if the information processor causes damage to private information, it should bear the presumption of fault liability rather than the general fault liability.

文章引用：武韵怡. 个人信息权益损害赔偿过错推定责任的适用[J]. 争议解决, 2023, 9(6): 3460-3465. https://doi.org/10.12677/DS.2023.96472

1. 引言

随着互联网科技的急速发展，在个人信息经济价值发掘的同时，也造成了个人信息侵权现象的激增。个人信息的司法救济作为个人信息保护的最后一道防线，如何认定个人信息侵权成为司法环节中私力救济之关键，而确定个人信息侵权的归责原则究竟采用何种侵权归责原则是认定侵权行为进行侵权损害赔偿的一个重要前提。

虽然我国理论和实务界对于个人信息究竟属于权利或是权益存在争议，但是从现行《民法典》第111条和人格权篇第六章的内容来看，个人信息即使不被视为一项独立的权利，也可以被视为一项人格利益而受到民法的保护。那么根据我国《民法典》对于个人信息保护内容的编排，个人信息作为一项置于人格权下的合法权益，其受到侵害适用的归责原则应当与人格权侵权的归责原则相一致，适用一般过错责任原则。但与《民法典》不同的是，《个人信息保护法》第69条对个人信息损害赔偿责任作出了直接规定¹，个人信息处理者在侵害他人信息权益时应适用过错推定责任判定其赔偿责任。若简单根据新法优先于旧法、特别法优先于一般法的法律适用规则，个人信息的损害赔偿归责原则应采《个人信息保护法》之规定，适用过错推定责任。然而，个人信息损害赔偿归责原则的适用并非如此简单。在法律适用的协调问题上，尤其是在涉及私密信息的保护问题上，隐私保护可能与个人信息保护产生竞合关系。如何看待个人信息损害赔偿归责原则与民法典人格权编侵权责任编等相关规定的交叉关系，如何实施《个人信息保护法》规定的个人信息处理者的过错推定责任，应当予以必要的厘清。

2. 个人信息损害赔偿归责原则适用争议

(一) 《民法典》与《个人信息保护法》的适用关系分析

在《个人信息保护法》颁布后，学界就《民法典》与《个人信息保护法》之间的关系展开了激烈的讨论。对此，一种颇具影响的观点认为，《个人信息保护法》是一部保护个人信息的综合性立法，其所包含的个人信息的私法规则与《民法典》构成特别法与一般法的关系，《民法典》确立了个人信息的性质及其在民事权利体系中的位置，是解释适用《个人信息保护法》相关规则的基础和依据。故此，《个人信息保护法》的适用需要在《民法典》的体系框架中展开 [1] 。当然，亦存在其他观点认为，《民法典》和《个人信息保护法》是并存的基本法，两者适用于相同领域的规定应保持体系融合 [2] 。但《个人信息保护法》是保护个人信息的基本立法，其调整范围、义务主体和执行机制应均差异于《民法典》。故此，《个人信息保护法》不应是《民法典》的特别法或下位法，《个人信息保护法》本身应为一门基本法 [3] 。值得强调的是，以上两种观点并不是相互冲突的，其原因在于，前者是将《个人信息保护法》中的私法规则与《民法典》之间的关系进行说明；后者则是将整部《个人信息保护法》与《民法典》进行比较。就本文分析内容出发，《个人信息保护法》第69条第1款规定的损害赔偿归责原则属于纯粹的私法规则已经形成学界共识，故在讨论《个人信息保护法》与《民法典》的关系问题时，也会将分析对象限缩在私法规则部分。但即使仅讨论《个人信息保护法》私法规则，将其与《民法典》之间的关系简单理解为一般法与特别法仍有失偏颇。对此，程啸教授提出了类型化分析法解决《民法典》和《个人信息保护法》的适用问题，并将《个人信息保护法》中的私法规则分为四个类型：其一，《个人信息保护法》的规定对《民法典》相关规定进行了充实与丰富发展；其二，《个人信息保护法》通过转介条款或相关规定指向了《民法典》的相关规定；其三，《个人信息保护法》的规定相对于《民法典》的规定是特别规定而应当优先适用；其四，《个人信息保护法》与《民法典》有不同的规范目的而分别适用于不同的情形 [4] 。而这种类型化分析的方法也为《个人信息保护法》私法规则的适用问题提供了一个更加准确的思路。

如果将适用关系具象化到特定方面，讨论《个人信息保护法》第69条规定的过错推定归责原则的适用问题，我们不难发现，无论是采简单的特别法与一般法观点，还是新法优先于旧法的原则，抑或是类型化分析的方法，可以肯定的是个人信息领域的损害赔偿责任适用的归责原则为过错推定责任。针对个人信息领域损害赔偿责任归责原则的适用问题似乎没有争议，只需要在具体案件中进行具体分析即可。

(二) 归责原则的冲突实质

实际上，《民法典》和《个人信息保护法》之间的就个人信息损害赔偿归责原则规范内容的体系衔接良好的表象下，隐藏着一个巨大的冲突——侵害个人信息权益与侵害隐私权的归责原则差异问题。

《民法典》第1034条第3款规定：“个人信息中的私密信息，适用有关隐私权的规定；没有规定的，适用有关个人信息保护的规定。”从保护价值来看，私密信息与自然人人格属性的联系更加紧密，其保护程度自然要高于非私密信息的保护程度。从民事权益位阶理论来看，私密信息作为一种收到个人信息权益和隐私权双重保护的客体，其适用个人信息权益进行保护将会是一种“弱保护”模式；而隐私权作为一项具有排他性的人格权，其对于私密信息的保护将会是一种“强保护”模式 [5] 。而民法典对于侵害隐私权的侵权责任只是适用过错责任原则，那么对于受保护程度更低的非私密信息，却适用过错推定责任，是否存在立法冲突？再如《民法典》第1126条规定：“医疗机构及其医务人员应当对患者的隐私和个人信息保密。泄露患者的隐私和个人信息，或者未经患者同意公开其病历资料的，应当承担侵权责任。”该条款不属于侵权责任的特殊规定，所以医疗机构侵害个人信息行为适用过错责任原则。这与《个人信息保护法》的相关规定是否存在立法冲突？

3. 私密信息损害赔偿归责原则适用争议的成因

个人信息损害赔偿的过错推定责任在适用过程中与《民法典》产生冲突关系的关键在于私密信息侵权的处理难题，而引发这一难题的原因在于以下两个方面：

(一) 我国个人信息和隐私的保护模式发生变化

我国对于个人信息的认识经历了从“归属于隐私权范畴”到“独立的民事权益”的演进路径。在《民法总则》生效前，我国民事立法上尚不存在一般意义的个人信息保护规范，个人信息权益通常附属于隐私权进行保护 [6] 。2017年10月1日起施行的《民法总则》在第110条第1款确立隐私权后，又于第111条规定：“自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的，应当依法取得并确保信息安全，不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息。”这是个人信息在我国民法条文中的首次出现。虽然在《民法总则》公布后，涌现出诸多围绕《民法总则》第111条的讨论：自然人对个人信息享有的究竟是民事权利抑或是民事权益？但是在司法实践中，个人信息仍被划分至隐私权的客体项下，不作为一项独立权利予以保护。至此，《民法总则》对隐私权与个人信息权益的区分确实尚未产生直接和刚性的约束力，但隐私和个人信息的区分保护模式已见雏形。

2021年1月1日起施行的《民法典》再对个人信息保护作出调整：在体系上，人格权编第六章直接将“个人信息保护”与隐私权并列；在内容上，《民法典》在第1032条第2款和第1034条第2款分别规定了隐私和个人信息的涵义，以私密信息为限表明隐私权与个人信息权益在保护客体上的差异。此外，最高人民法院也对《民事案件案由规定》作出了修订，将“隐私权、个人信息保护纠纷”修改为“隐私权纠纷”和“个人信息保护纠纷”，两者为并列而相互独立、均属人格权二级案由项下的四级案由。至此，《民法典》也正式确立了隐私权与个人信息的区分保护的刚性约束力。

(二) 个人信息和隐私区分保护模式下的司法难题

虽然《民法典》对个人信息与隐私保护采用了区分模式，但由于自然人的隐私权客体与个人信息本身就存在交叉关系，有些隐私属于个人信息的范畴，而有些个人信息也属于隐私权的客体，故个人信息侵权责任很大可能会与隐私侵权责任产生竞合关系，这一表现在私密信息领域表现得尤其明显。而《民法典》1034条第3款确立的私密信息应优先适用隐私权保护的适用规则，又与《个人信息保护法》第69条的规定存在冲突，对于个人信息处理者的过错推定责任在适用中与《民法典》相关规定的冲突，不能简单依据特别法优于一般法或者上位法优于下位法规则予以协调，如何进行法律适用选择很大程度上将依赖法官的自由心证。

此外，在司法实践方面，私密信息优先适用隐私权保护的规定导致“在具体的个人信息保护案件中，司法机关不得不追问所遇到的信息是否为个人信息，是否具有私密性，以便区分是用隐私权去保护还是用个人信息去保护” [7] 。如何确立个人信息的私密性检验标准也成为司法机关面临的另一大难题。

4. 个人信息损害赔偿归责原则适用的注意

由于互联网技术和人工智能科技的快速发展，个人信息的收集与处理无时无刻不在发生，自然人信息安全面临新的风险。从个人侵权手段来看，在web3.0时代下，传统的手工记载纸质保存的信息收集储存方式早已过时，先进的算法技术已经将现代社会的各种信息完全数字化，个人信息可以被大规模自动化收集储存，个人信息侵权方式亦愈发呈现复杂性、无形性、潜伏性、未知性、难以评估等特征 [8] 。传统民法的隐私保护很难有效规范个人信息处理行为、周延保护个人信息的权益，故在个人信息保护的立法上，我国效仿了欧盟采取了从一体化保护到形式分离的保护模式。

在此之上，隐私权与个人信息权益的区分实意并不在于保护强度和力度的划分，而在于对二者采取不同的保护理念与保护方式。隐私权的主要目的在于保障人格尊严和个人自由，具有强烈的人格尊严性；而个人信息权益则具有尊严性与资源性的双重价值或属性，其既是人格尊严的集中表达，又具有经济价值。故在司法适用问题上，应当兼顾考虑保护目的进行利益权衡。但是个人信息与隐私具有天然的交织关系，无论二者如何划分，都无法做到泾渭分明，那么在利益衡平时还需考虑司法效率等实际问题。因此，在综合考虑我国立法背景和司法环境的因素下，个人信息损害赔偿的具体适用上应特别注意：

(一) 个人信息侵权和隐私侵权的交叉问题处理

如前文所述，处理私密信息侵害个人信息权益造成损害的，究竟是应当依照《民法典》中隐私权保护规范适用一般过错责任，还是根据《个人信息保护法》第69条的规定适用过错推定责任存在使用争议。笔者认为，从利益平衡的角度出发，对于私密信息损害赔偿责任应当适用《个人信息保护法》第69条之规定，采用过错推定责任。

首先，要求个人信息处理者承担过错推定责任没有违反法律规定。我国隐私和个人信息权益的双重保护路径自然决定了私密信息在受保护过程中的交叉性。在《个人信息保护法》尚未施行时，个人信息的保护一直附着与传统隐私权的保护之中，而后随着个人信息保护从隐私权保护中的逐渐剥离，由于我国《个人信息保护法》与《民法典》对于信息采用不同分类标准²，才出现了这种双重保护路径。但不论将私密信息归属于何种框架下进行保护，都没有违反法律的规定。因为《民法典》和《个人信息保护法》之间既不是特别法与一般法的关系，也不可以根据新法优先于旧法的规则进行适用判断，所以否定私密信息损害赔偿责任适用一般过错责任缺乏合理缘由。并且由于个人信息权益的私密性认定标准不清晰，导致实践中很难将个人信息与隐私相互抽离，因此在各地司法机关中，隐私和个人信息的混同保护现象也十分常见。

其次，私密信息部分外的隐私损害赔偿责任仍应当适用一般过错责任。从我国《民法典》对于个人信息采私密与非私密的区分标准来看，不难发现立法者具有将隐私区分于普通个人信息进行保护的立法目的。为了做好个人信息与隐私损害赔偿归责原则规范内容方面的体系衔接，需要对私密信息与隐私进行区分。在区分二者的方法上，对于适用一般过错责任的隐私损害，应当把握该客体“非信息化”的特点，结合个案进行判断，例如对于个人私密空间的侵害就应该归属于隐私权保护的范畴。对于适用过错推定责任的私密信息损害，则可以把握该客体的信息化外在特征以及聚合后存有经济属性的特点，进行判断。此外，以“信息”要件作为划分过错推定原则与一般过错原则的标准，该方法判断难度低，可以大大提高司法裁判效率。

最后，民事权益的位阶高低与归责原则的严格程度之间没有绝对关联。民事权益保护位阶在先并不意味着行为人侵犯该权益就应当承担更高的证明责任。无论是损害人身权益还是财产权益，都应当纳入民事责任体系进行统一调整，而不是适用不同的归责原则予以区别保护。需要强调的是，隐私权基于民事权益位阶理论要求的“强保护”并非是指适用更为严格的归责原则，而在于其他制度配置方面。例如，根据《民法典》第999条规定，为公共利益实施新闻报导、舆论监督等行为的，可以合理使用民事主体的姓名、名称、肖像、个人信息等。但是隐私则不存在所谓合理使用制度。这一制度设计差异更能体现民法典对于隐私权保护的特殊关注。

(二) 个人信息侵权请求权与人格权请求权的区分

侵权请求权和人格权请求之间的差异也从侧面彰显了个人信息权益和隐私权区分保护之内在逻辑。

侵权法中，归责是指归咎或者追究侵权损害赔偿责任，即依据法律规定判断损害赔偿主体。由于以往民法学界曾对于归责存在错误的理解，将归责中的“责”等同于所有的侵权责任承担方式，既包括损害赔偿责任，也包括停止侵害、排除妨碍、消除危险等性质上属于绝对权请求权的侵权责任承担方式 [9] 。故此，我国《民法典》对其进行了修正，明确区分了侵权与损害、绝对权请求权和侵权赔偿请求权之间的差异。

《民法典》第995条规定：“人格权受到侵害的，受害人有权依照本法和其他法律的规定请求行为人承担民事责任。受害人的停止侵害、排除妨碍、消除危险、消除影响、恢复名誉、赔礼道歉请求权，不适用诉讼时效的规定。”该条规定意味着，人格权请求权作为自然人的固有权利，其行使不需要过错的证明和诉讼时效的满足，只要存在侵害人格权的行为，就可以请求行为人承担停止侵害、排除妨碍、消除危险、消除影响、恢复名誉、赔礼道歉等责任。而《个人信息保护法》第69条明确规定，其过错推定责任将适用于个人信息处理者对个人信息权益已经造成损害的情形，该损害赔偿请求权性质属于侵权请求权的范畴。因此，行为人在进行损害赔偿请求时需要对相关构成要件承担举证责任。

NOTES

¹《个人信息保护法》第69条：处理个人信息侵害个人信息权益造成损害，个人信息处理者不能证明自己没有过错的，应当承担损害赔偿等侵权责任。

²《个人信息保护法》对个人信息采敏感信息和非敏感信息的分类；《民法典》对个人信息采私密信息和非私密信息的分类。

参考文献

[1]	王利明. 论《个人信息保护法》与《民法典》的适用关系[J]. 湖湘法学评论, 2021, 1(1): 25-35.
[2]	龙卫球. 《个人信息保护法》的基本法定位与保护功能——基于新法体系形成及其展开的分析[J]. 现代法学, 2021, 43(5): 84-104.
[3]	周汉华. 个人信息保护的法律定位[J]. 法商研究, 2020, 37(3): 44-56.
[4]	程啸. 论《民法典》与《个人信息保护法》的关系[J]. 法律科学(西北政法大学学报), 2022, 40(3): 19-30.
[5]	张新宝. 个人信息收集: 告知同意原则适用的限制[J]. 比较法研究, 2019(6): 1-20.
[6]	张建文, 时诚. 《个人信息保护法》视野下隐私权与个人信息权益的相互关系——以私密信息的法律适用为中心[J]. 苏州大学学报(哲学社会科学版), 2022, 43(2): 46-57.
[7]	张建文. 在尊严性和资源性之间: 《民法典》时代个人信息私密性检验难题[J]. 苏州大学学报(哲学社会科学版), 2021, 42(1): 62-72.
[8]	田野. 风险作为损害: 大数据时代侵权“损害”概念的革新[J]. 政治与法律, 2021(10): 25-39.
[9]	程啸. 侵权责任法[M]. 第3版. 北京: 法律出版社, 2021: 108-109.

为你推荐

友情链接