第156页_中国民法典释评·人格权编第156章

    （4）非法泄露或者买卖个人信息，即个人信息收集者泄露个人信息或者未经被收集者同意将个人信息非法出售或者以其他方式传输给他人的行为。这类加害行为主要表现为非法买卖公民个人信息的犯罪行为。例如，电信部门、金融机构、房地产中介等利用职务之便，将获取的客户信息非法出售给他人以牟利。
    （5）其他侵害个人信息的行为，如收集者致所收集的个人信息错误，最典型的就是征信系统中记载的他人的信用信息是错误的。
    （二）加害行为与权益被侵害的因果关系
    因果关系是所有法律责任的必备要件。在侵害个人信息的侵权责任中，也必须满足因果关系要件的要求，即加害人实施了侵害自然人个人信息权益的加害行为，受害人的权益被侵害与加害人的行为之间存在相当的因果关系。然而，由于信息具有很强的流动性，而信息的收集、存储、使用、提供等行为类型众多，涉及的相关主体也较为复杂。故此，一旦发生侵害自然人个人信息权益的行为时，受害人往往很难证明究竟是其中的哪个主体实施了侵害自己的个人信息权益的加害行为。在我国，此种困难情形最常见于个人信息被泄露进而为违法犯罪分子用来实施电信诈骗的场合。此类案件中，原告往往难以查明实施电信诈骗的直接加害行为人，而只能以个人信息处理中涉及的某个或某几个信息处理者为被告提起诉讼，而这些被告则以信息并非自己所泄露为由进行抗辩。此时，原告要提出证据证明就是这些被告实施了泄露其个人信息的行为（作为或不作为），往往十分困难。司法实践中，有些法院就以原告未能证明被告实施了加害行为为由驳回其诉讼请求。[15]而有些法院为了更好地保护个人信息，减轻原告在此类案件中的举证负担，则采取了一些降低原告举证困难的做法。例如，在“庞某某与北京趣拿信息技术有限公司等隐私权纠纷案”中，二审法院的法官就提出了证明加害人的高度可能性的判断标准，即只要原告提供的证据能够表明被告存在泄露原告个人隐私信息的高度可能，而被告又不能反证推翻这种高度可能，就可以认为被告实施了泄露个人信息的加害行为。[16]该标准一经提出，即在司法实践中产生了很大的影响，一些法院在处理个人信息侵权案件时采取了该标准。[17]
    本书认为，以高度可能性的判断标准来确认被告是否实施了加害行为，是非常合理的，值得赞同。一方面，该标准并未改变《民事诉讼法》对证明责任分配的规定，原告依然需要提出相应的证据来证明被告存在泄露个人信息的行为的高度可能性；另一方面，考虑到现代信息社会中个人信息可能被很多主体所收集、存储和利用，信息的传递本身也具有极大的隐蔽性，要求原告确切无疑地证明究竟泄露个人信息的主体是谁，显然强人所难。故此，只需要证明被告存在泄露个人信息的高度可能性即可。原告的举证是否达到了证明被告存在泄露个人信息的高度可能，应由法官结合案件的具体事实综合判断。一旦认可了原告的证明达到了这种高度的可能，就应当由被告提供各种证据来推翻这种高度可能。
    不过，在适用高度可能性的证明标准时，法院无论是在认定原告对被告加害行为的举证是否达到了高度的可能时，还是在认定被告的举证是否足以推翻这种高度的可能时，均需要综合考虑以下几个因素：（1）被告掌握原告的被泄露的个人信息的范围与程度。个人信息的类型众多，被告掌握原告的被泄露的个人信息的范围越大，程度越深，则其泄露原告个人信息的可能性越大。（2）其他单位或个人掌握被泄露的个人信息的可能性。尽管现代社会中任何自然人的个人信息可能都被很多单位或个人所掌握，但每个单位或个人所掌握的个人信息是不同的，例如，航班信息往往是被航空公司以及票务公司所掌握，如果此类信息被泄露了，那么航空公司、票务公司泄露的可能性肯定要大于那些掌握自然人财务信息的银行等金融机构泄露的可能性。（3）被告是否曾经存在泄露自然人个人信息的情形。如果被告曾经存在泄露自然人个人信息的情形，如被媒体披露过或者被相关政府主管部门批评过、警告过甚至处罚过，其泄露个人信息的可能性就更大。（4）被告已经采取的个人信息的保护机制和具体措施。被告如果能够举证证明自己已经采取了非常充分的个人信息的保护机制和具体措施，履行法律法规等规定的各种个人信息保护的义务，就可以在很大程度上推翻其泄露原告个人信息的高度可能性，至少将这种可能性降得比较低了。（5）信息收集者、信息存储者、信息使用者对接入其平台的第三方应用是否建立准入等相应的管理机制和履行管理义务的情形。这主要涉及泄露个人信息的究竟是平台的提供者还是接入平台的第三方应用的问题。
    （三）造成损害
    损害是所有损害赔偿责任的必备要件，没有损害就没有赔偿。故此，在侵害个人信息权益的纠纷中，原告要求被告承担侵权赔偿责任，就必须证明自己因此遭受的损害。从我国目前个人信息侵权纠纷案件来看，在利用非法取得个人信息实施电信诈骗的案件中，受害人往往遭受了实际的财产损失，对此，受害人比较容易举证证明。例如，在“申某与上海携程商务有限公司，支付宝（中国）网络技术有限公司侵权责任纠纷案”中，原告因个人的手机号和航班信息被他人泄露而被犯罪分子实施电信诈骗，损失了118 900元。[18]这个损失就是侵害个人信息权益所致。当然，由于该案中，被告并非直接实施电子诈骗的加害行为人，其没有妥善保管个人信息的行为与原告的损害之间只是具有部分原因力，故此，法院认为：“因携程公司违反了网络运营主体的安全保障义务，存在个人信息保护上的安全维护漏洞，导致申某遭遇诈骗形成财产损失。本院综合案情及携程公司的过错责任程度，酌情确定携程公司在5万元赔偿数额的范围内对申某承担补充责任。”但是，在不少情形下，加害人虽然实施了侵害了个人信息的行为，受害人却没有财产损失或者难以证明财产损失。例如，在“赵某与被告北京链家房地产经纪有限公司、宋某华、杨某东，第三人宋某友一般人格权纠纷案”中，被告未经原告的同意用原告的房产信息和身份证信息为另一个被告办理了居住证，导致原告在为其亲戚办理居住证时无法办理，该案原告虽然要求被告承担10万元的经济损失，但其未能提出相关的证据加以证明。[19]对此种情形，可以适用《民法典》第1182条的规定：“侵害他人人身权益造成财产损失的，按照被侵权人因此受到的损失或者侵权人因此获得的利益赔偿；被侵权人因此受到的损失以及侵权人因此获得的利益难以确定，被侵权人和侵权人就赔偿数额协商不一致，向人民法院提起诉讼的，由人民法院根据实际情况确定赔偿数额。”此外，《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》第18条第2款：“被侵权人因人身权益受侵害造成的财产损失或者侵权人因此获得的利益无法确定的，人民法院可以根据具体案情在50万元以下的范围内确定赔偿数额。”
    在上述“赵