王道发:个人信息处理者过错推定责任研究
2022年11月12日      ( 正文字号: )
[ 导语 ]
      《个人信息保护法》第69条第1款明确了个人信息处理者承担的是过错推定责任。但是,个人信息处理者承担过错推定责任的正当性基础是否仅是为了强化保护个人信息权益?在同时侵害个人信息和隐私权时,《个人信息保护法》与《民法典》在适用上如何协调?个人信息处理者过错推定责任的适用范围和要件又具体为何?对此,中央财经大学法学院王道发副教授在《个人信息处理者过错推定责任研究》一文中,从法定作为义务的角度切入,分析个人信息处理者承担过错推定责任的实质基础,进而通过利益权衡提出私密信息保护中《个人信息保护法》和《民法典》关于个人信息处理者责任的协调进路,最后指出个人信息处理者的推定责任在主体、行为和客体等适用范围上的限定性,以及在过错、损害和因果关系等适用要件上的特殊性。
一、个人信息处理者承担过错推定责任的正当性基础

(一)个人信息处理者过错推定责任的既有理论基础

学界既有的主要观点认为,个人信息处理者和自然人的地位不平等,且自然人存在举证客观障碍,不易证明个人信息处理者的过错,采用过错推定责任原则将利于自然人在诉讼中维护自己的个人信息权益。但这些理由难以充分论证证明责任一定要实行倒置,毕竟自然人在诉讼中也可以采取其他方式完成证明责任,如医疗损害责任中患者可以通过申请医疗鉴定的方式完成证明责任。

(二)个人信息处理者承担过错推定责任的实质基础

个人信息处理者承担过错推定责任的实质基础在于个人信息处理者的处理行为产生的法定作为义务。第一,法定作为义务具有双重推定效力,既可依据未履行作为义务推定过错的事实,也可以依据作为义务推定过错的判断。法定作为义务积极促使个人信息处理者主动知悉和履行自己的法定义务以避免可能承担的法律后果,证明责任既是使个人信息处理者的上述义务得以最终实现的手段,也是法定作为义务的逻辑延伸和拘束力体现。第二,《民法典》违反法定作为义务的责任一般都是过错推定责任,个人信息处理者违反处理行为引发的法定作为义务适用过错推定责任,体系上与《民法典》保持一致。第三,个人信息权益产生于处理行为之中,与过错推定责任发生于处理行为中具有统一性。

二、个人信息处理者过错推定责任与《民法典》的冲突及协调

(一)个人信息处理者过错推定责任与《民法典》冲突关系的实质

此种冲突关系的实质不在于个人信息处理者损害赔偿责任归责原则规范内容方面的体系衔接,而在于个人信息尤其是私密信息保护中“隐私权是强保护却适用更轻的一般过错责任”和“个人信息权益是弱保护却适用更严格的过错推定责任”之间的冲突关系。

(二)个人信息处理者过错推定责任与《民法典》冲突关系的成因

第一,自然人的隐私权客体与个人信息存在交叉关系,有些隐私属于个人信息的范畴,而有些个人信息也属于隐私权的客体。第二,对个人信息侵权行为规定特别归责原则是我国理论研究的既有共识。第三,前述特别的归责原则也受到了比较法的影响,例如欧盟《通用数据保护条例》。

(三)个人信息处理者过错推定责任与《民法典》冲突关系的协调

处理私密信息侵害个人信息权益造成损害的,应当适用《个人信息保护法》第69条的过错推定责任,而非依据《民法典》第1034条第3款适用有关隐私权的规定。首先,不能简单认为,隐私权的位阶高于个人信息权益,就应适用更为严格的责任。民事权益的位阶高低与归责原则没有关联。其次,在利益权衡上,要求个人信息处理者承担过错推定责任、对私密信息实现更高程度的保护基于的是立法者明确的强化个人信息保护的特别目的。最后,隐私权基于民事权益位阶理论要求的“强保护”并非是指适用更为严格的归责原则,而在于隐私权不存在合理使用制度,并且在责任豁免方面具有严格性。

三、个人信息处理者过错推定责任的具体适用

(一)个人信息处理者过错推定责任的适用范围

《个人信息保护法》第69条的过错推定责任的主体是个人信息处理者。实施偶发和零散的个人信息处理行为的主体,不能成为个人信息处理者。个人信息处理者的侵害行为须发生于个人信息处理过程之中,包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。个人信息处理者的侵害行为指向的对象是个人信息权益,限于人格尊严、人身安全等人格权益,不包括财产利益和身份权益。

(二)个人信息处理者过错推定责任的适用条件

1.过错

个人信息处理者过错的判断主要限于违法行为,在类型上既包括形式违法行为,还包括违反比例原则的实质违法行为。一方面,《个人信息保护法》第69条的过错推定责任的特别之处在于,其过错体现为对处理行为引发之法定义务的违反,原则上应依据具体规范性文件作出判断,而不应当依据理性人标准等抽象标准来界定。因为个人信息处理行为具有很强的专业性和技术性,且相关技术还在不断发展中,如依理性人标准确定过错会导致个人信息利用行为的自由边界不具有确定性。将个人信息处理者过错的判断主要限于违法行为的理由则在于,一是能够适应较为复杂的价值冲突和多主体之间的利益关系,二是过错本就可以吸收违法行为,三是符合《个人信息保护法》作为行为规制法的特性。

另一方面,个人信息处理者过错的判断还包括违反比例原则的实质违法行为。一是个人信息处理不符合正当性原则要求。个人信息处理的目的应当符合公共利益原则和法律的正义观,与个人信息权益主体的利益最大化最为契合的目的才能被视为正当目的。在涉及个人信息处理者的多重目的的场合,要明确这些目的的层次性,应当以个人信息处理者和其他个人信息权益主体之间的利益平衡来判断特定目的是否具有正当性。二是个人信息处理不符合必要性原则要求。必要性原则要求个人信息处理者应当以最小范围的目的且以最小限度的方式收集和处理个人信息,即不过度收集和处理个人信息。必要性原则还要求处理目的限定化,不得超出个人信息处理者业务能力范围开展信息收集活动。必要性原则对不同群体的具体要求不同,并追求处理手段和处理目的的均衡性。

综上,《个人信息保护法》和《民法典》等法律直接规定个人信息处理者的相关行为义务,也间接规定了自然人的权利并对应着相关行为义务。这些行为义务就是判断个人信息处理者过错的根本依据。在实践中,法律规定的个人信息处理者的相关义务可能仍过于抽象,因此,个人信息处理者有必要依据立法目的和法定义务建立严密的合法合规制度体系,针对自身的处理行为模式制定科学的个人信息保护合规机制;行业自治组织也应当依据行业特点制定个人信息保护相关的行业合规审查体系。另外,在一些情形下,个人信息处理者虽履行了法定义务,但是其行为不符合必要性和目的正当性原则的要求,其行为也可能被认定具有违法性并进而推定其存在过错。

2.损害

个人信息损害不涵盖风险。损害和风险具有一定的区分,个人信息侵权的损害问题应当主要交由民法进行调整,而风险应对应当主要交由公法等规范进行调整,没有必要过分扩张侵权法的损害范围。而且个人信息侵权的损害应具有确定性,侵害个人信息权益的不利后果也应是客观存在的。可资参考佐证的是,除个人信息权益外,侵害兼有财产要素的肖像权、姓名权与商标权等人格权益的损害确定标准也没有包括应对损害风险的支出成本。

损害的具体形式仅限于财产损失。《个人信息保护法》第69条第2款是对第1款损失之确定标准的规定,从规定内容来看仅限于财产损失,从体系来看与《民法典》第1182条的规范内容保持一致。对个人信息处理者侵害个人信息权益造成的精神损害,应当适用《民法典》第1183条第1款确定赔偿责任。考虑个人信息权益是立法者特别予以保护的重要权益,轻微或者一般的精神损害(如担忧个人信息侵权风险引发的焦虑和痛苦)也能够通过第1183条第1款得到保护。

3.因果关系

《个人信息保护法》第69条并没有规定因果关系推定,但是个人信息侵权的因果关系举证具有一定的难度,因为个人信息处理行为具有很强的专业性和技术性,一般的自然人客观上没有举证能力。为了平衡保护受害人的诉讼利益,应当降低证明标准,适用“高度盖然性”证明标准。只要原告能证明个人信息处理者的侵害行为造成自己财产损失具有高度可能性,并且能够使法官内心确信此种因果关系存在的,就应当由被告反向证明因果关系不存在,否则就应认定存在因果关系。原告除了证明责任成立中的因果关系外,还应当证明责任范围的因果关系,严格限定侵害个人信息权益行为引起的纯粹经济损失的救济范围。

四、结论

《个人信息保护法》第69条规定的个人信息处理者过错推定责任在价值取向上是为强化保护个人信息权益,但其实质基础在于处理者的处理行为引发的法定作为义务。个人信息处理者过错推定责任的适用与《民法典》侵权责任编不存在体系衔接上的冲突,但在私密信息的保护中可能与“隐私权要求较强保护”和“个人信息要求较弱保护”的精神存在冲突。考虑到立法者强化保护人格权益的特别目的,个人信息处理者侵害私密信息的侵权行为应当适用过错推定责任。个人信息处理者的过错推定责任是一种非普遍性责任。在主体、行为和客体等适用范围方面具有明确的限定性,在过错、损害和因果关系等适用要件上也具有特殊性。过错是一种客观的过错,主要通过其违反法定义务的违法行为进行判断,包括通过其违反比例原则的违法行为进行判断;损害主要是指财产损失,不包括精神损害;因果关系不实行举证责任倒置,但在证明标准方面应采高度盖然性标准,以实现个人信息保护和利用两项价值取向的平衡。



本文文字编辑李晶晶。本文未经原文作者审核。本文为中国民商法律网“原创标识”作品。凡未在“中国民商法律网”微信公众号正式发布的文章,一律不得转载。



文献链接:《个人信息处理者过错推定责任研究》

[ 参考文献 ]

本文选编自王道发:《个人信息处理者过错推定责任研究》,载《中国法学》2022年第5期。
【作者简介】王道发,中央财经大学法学院副教授,中国民商法律网授权学者。

推荐阅读
吴至诚:保底信托效力认定的类型化
保底信托分为直接保底与间接保底信托。法院应对九民纪要第90、92条进行目的解释,基于系统性风险认定效力。
汪倪杰:论《民法典》视域下安全保障义务的边界——对第140、141号指导案例的理论回应
我国安全保障义务存在泛化问题,重构安全保障义务需回归物件型与债因型义务的基本类别,并将其置于《民法典》结构中。
吕英杰:惩罚性赔偿与刑事责任的竞合、冲突与解决
产品刑事领域无需另设惩罚性赔偿,但现行法既已引入,须合理解决惩罚性赔偿和刑事责任的适用冲突。
热门排行
学术公告
问答集锦
相关文章
本期评价
0个赞
0个踩
敬请关注中国法学会民法典编纂项目领导小组组织撰写的《中华人民共和国民法典•民法总则专家建议稿(征求意见稿)》

编辑:李晶晶

向编辑提问:

分享

扫二维码
用手机看民商
用微信扫描
还可以分享至
好友和朋友圈

中国民法学研究会
教育部人文社会科学重点研究基地
中国人民大学民商事法律科学研究中心

本网站由王利明教授创办并提供全部运作资金 Copyright◎2000-2021 All Rights Reserved 京ICP备2022010855号  
E-mail: ccclarticles@126.com