第155页_中国民法典释评·人格权编第155章

    应当说，侵害个人信息的侵权责任是随着网络信息科技的发展而产生的新型侵权行为，并非一般侵权责任。如果对之适用过错责任，要求受害人证明加害人的过错，显然是很困难的。即便在我国当前的司法实践中，法院审理个人信息侵权纠纷时，对于侵权人过错的认定基本上也都采取了客观化的判断标准，即依据法律关于个人信息保护的义务性规范直接将侵权人违反此等法定义务之行为视作有过错的行为，即将违法视为过失。例如，在“庞某某与北京趣拿信息技术有限公司等隐私权纠纷”中，法院认为，《消费者权益保护法》第29条第2款“在立法层面上对消费者个人隐私和信息的保护，也是对经营者保护消费者个人信息的强制性规定。经营者违反了该条规定，即视为其存在过错”。“从本院现有证据看，东航和趣拿公司在被媒体多次报道涉嫌泄露乘客隐私后，即应知晓其在信息安全管理方面存在漏洞，但是，该两家公司却并未举证证明其在媒体报道后迅速采取了专门的、有针对性的有效措施，以加强其信息安全保护。而本案泄露事件的发生，正是其疏于防范导致的结果，因而可以认定趣拿公司和东航具有过错，理应承担侵权责任。”[5]我国也有学者认为，应当借鉴德国法的规定，对个人信息侵权责任应当采取三元归责体系，即对于公务机关以数据自动处理技术实施的信息侵权适用无过错责任，采取自动化处理系统的非公务机关的信息侵权则适用过错推定责任，对于那些没有采取自动数据处理系统的数据处理者，其信息侵权应当适用一般的过错责任。[6]
    本书认为，对于侵害个人信息的侵权责任应当统一适用无过错责任，即受害人在针对信息控制者提起侵害个人信息的侵权之诉时，无须证明信息控制者存在过错，信息控制者只有在符合法定的免责事由时，才能被免除责任。具体理由如下：首先，现代网络信息科技的发展使信息处理者处理的个人信息的数量巨大，涉及的自然人人数众多。如此众多的个人信息汇聚起来，当然对于数字经济的发展是有利的，但同时也产生了高度的危险，即一旦信息泄露或被非法买卖将涉及人数极为众多的自然人的人身财产安全。故此，收集、存储、加工、使用和提供个人信息的处理活动可以被认定为高度危险活动，开创了巨大的风险。依据风险开启法理，开启危险活动者自然人要对该危险现实化所造成的损害承担无过错责任。其次，个人信息的处理对处理者带来的巨大的收益，尤其是那些网络企业利用这些海量的个人信息进行精准的营销并设计了各种商业模式，获取了巨大的利润。基于侵权法上的报偿原则，“如果一项法律允许一个人——或者是为了经济上的需要，或者是为了他自己的利益——使用物件、雇用职员或者开办企业等具有潜在危险的情形，他不仅应当享有由此带来的利益，而且也应当承担由此危险对他人造成任何损害的赔偿责任：获得利益者承担损失”[7]。据此，处理者也应当承担无过错责任。再次，统一适用无过错责任能够更好地保护自然人的合法权益，使自然人无须证明加害人的过错，同时，也避免了区分自动化处理与非自动化处理以及公务机关和非公务机关，从而避免适用不同的归责原则所造成的麻烦。最后，适用无过错责任并不会给信息处理者带来过重的负担。一方面，可以在适用范围和免责事由上针对各种主体从事的活动的差异性而作出不同的规定，以便协调个人信息保护与合理自由（言论自由、信息自由等）的维护之间的关系。具体而言，若被告从事的信息的收集和处理是纯粹的个人的或者在家庭生活中进行的活动，则不属于个人信息保护法的调整范围，不适用无过错责任[8]，如果产生侵权纠纷，仍然适用过错责任。此外，被告证明存在以下事由之一的，可以免除侵权责任：（1）被告是在原告或者其监护人同意的范围内实施收集、使用或者公开个人信息的行为；（2）被告所使用的信息是原告自行公开的或者其他已合法公开的信息，除非使用该信息侵害该自然人重大利益或者自然人明确拒绝他人使用；（3）被告是为了实施新闻报道、维护公共利益或者为了维护原告的人身财产权益而合理实施收集、使用或者公开个人信息的行为；（4）法律、行政法规规定的其他可以不经原告同意而收集、使用或者公开个人信息的情形。另一方面，危险责任可以通过法律规定最高赔偿限额，除非处理者存在故意或者重大过失，否则在一次个人信息泄露等事件中，其可以获得最高赔偿限额的保护（《民法典》第1244条）。同时，在有最高赔偿限额的情况下，也能通过保险分散损失。例如，我国台湾“个人资料保护法”第28条第4款就规定：“对于同一原因事实造成多数当事人权利受侵害之事件，经当事人请求损害赔偿者，其合计最高总额以新台币二亿元为限。但因该原因事实所涉利益超过新台币二亿元者，以该所涉利益为限。”此外，如果个人信息中的私密信息受到侵害的，由于私密信息属于隐私，受到隐私权的保护，故此，当受害人选择以侵害隐私权而非侵害个人信息提起诉讼时，仍然适用《民法典》第1165条第1款规定的过错责任原则。


    三、侵害个人信息的侵权责任的构成要件

    （一）行为人实施了侵害个人信息的行为
    1.侵害个人信息的行为类型
    由于个人信息是能够单独或者与其他信息结合而识别特定自然人的各种信息，故此，侵害个人信息的加害行为可以分为两大类：其一，虽然侵害了个人信息，但加害人并不以此为目的，而只是利用或借助个人信息来实现对受害人其他民事权益的侵害并造成损害。例如，犯罪分子非法窃取或购买个人信息来实施电信诈骗或杀害受害人[9]；再如，加害人公开披露某人的家庭住址信息、工作场所信息、银行存款信息等，从而损害受害人的隐私权、名誉权等人格权。由于这一类侵害个人信息行为的目的和后果是侵害受害人除个人信息之外的其他人身权益和财产权益，所以由此引发的侵权责任也主要表现为侵害生命权、隐私权、名誉权等的侵权责任。
    其二，单纯的侵害个人信息的加害行为，也就是说，该加害行为的目的和主要后果就是侵害受害人的个人信息。其中，最典型的一类就是《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》第12条所规定的网络用户或者网络服务提供者利用网络“公开自然人基因信息、病历资料、健康检查资料、犯罪记录、家庭住址、私人活动等个人隐私和其他个人信息”[10]。从司法实践来看，这一类案件的数量也占侵害个人信息侵权案件的大多数，且主要是隐私权纠纷。[11]此外，从实践来看，除了非法披露或公开个人信息的加害行为之外，单纯的侵害个人信息的行为至少还包括以下几类。
    （1）非法收集个人信息，如未经被收集者的同意即收集个人信息，或者虽经同意但是未依法明示收集、使用信息的目的、方式和范围或超越目的、方式和范围过度