数字时代侵害个人信息的归责原则适用——以类型化为视角_王勇旗.pdf

2023 年第 1 期（第 25 卷 总第 127 期）No.1 2023（Vol.25 Sum No.127）The principle of liability for infringement of personal information in the digital age applies-from the perspective of typeWangYongqi数字时代侵害个人信息的归责原则适用以类型化为视角 王勇旗（河南警察学院，河南 郑州 450046）摘要：数字时代，个人信息应用范围愈加广泛，同时，个人信息侵权现象较为普遍。侵害信息呈现主体多样性、侵害方式专业性、隐蔽性等特点。通常，不同主体处理个人信息过程中可能会损害信息主体的人格权、财产权等合法权益。个人信息侵权视阈中侵权责任归责原则一概适用过错责任归责原则难谓合理。根据我国 民法典 个人信息保护法 等法规，并结合不同类型信息处理主体、侵害不同敏感度个人信息境况，应精细个人信息侵权责任归责原则，明确不同侵权主体和侵害不同类型个人信息的侵权责任归责原则，有利于平衡个人信息保护与合理利用间的关系。关键词：数字时代；个人信息保护；侵害个人信息；侵权责任；归责原则DOI：10.16853/j.issn.1009-4458.2023.01.014 中图分类号：D924.3 文献标识码：A 文章编号：1009-4458（2023）01-0088-07一、引言随着法学理论尤其侵权法理论研究向前发展，过错责任归责原则首先出现并适用于侵权领域，这是从“尊重个人的权利、积极性与社会价值”等方面考量的结果，1同时也是社会道德理念考量等因素的责任归责基础。简言之，侵权行为人在主观上具有道德可非难性。2数字时代，尤其随着人工智能、大数据等高新科技的广泛应用，侵权人的侵害方式呈现多样化、深度化、隐蔽性、大规模化等特点，3鉴于上述特点分析可知，并非所有的损害后果都因侵权人主观过错所为，也存在过失，即侵权人发生侵权时的存在过失的主观心态。正如德国学者耶林所述：“使人负损害赔偿的，不是因为有损害，而是因为有过失，其道理就如同化学上的原则，使蜡烛燃烧的，不是光，而是氧气一般的浅显明白”，4此论述是从主观方面排除侵权人因过失致人损害而承担责任体现，意即因侵权行为而造成实际损害后果的情况下，侵权人主观无过错而不应承担侵权责任情形。出于更有利保护受害人合法权益角度，法学界倾向于从侵权损害的客观结果为判断标准，即通过侵权人承担侵权损害赔偿责任，为受害人提供更为周延的法律救济和保护。数字时代背景下的个人信息侵权无疑是“最普遍、最广泛甚至最重要的侵权类型”。5根据我国 民法典 个人信息保护法 等现行法规定，个人信息处理中产生侵权，在责任承担上是以过错责任归责原则为基本立足点，而若适用无过错责任归责原则，必须在立法上有明确规定。根据我国 民法典 侵权责任编 关于侵权责任归责原则的规定可以看出，是以过错责任归责原则为基础，辅以过错推定、无过错归责原则。解释论上，我国民法典 第1165条第1款、第1194条是侵害个人信息归责原则的基础。质言之，侵权责任承担上是以过错责任归责原则为基础，这是侵害个人信收稿日期：2022-07-09基金项目：2020年度国家社会科学基金青年项目“互联网平台型企业的信息管理主体责任及其法治化研究”（20CFX061）；2023年度河南省高校人文社会科学研究项目“数字经济时代儿童个人信息保护问题研究”（2023-ZDJH-191）；河南警察学院2022年度院级课题资助项目“民法典 释论下个人信息保护问题研究”（HNJY202235）作者简介：王勇旗（1983），男，河南郑州人，博士，讲师，研究方向：民法、网络信息法内蒙古农业大学学报（社会科学版）Journal of Inner Mongolia Agricultural University（Social Science Edition）息民事责任的归责原则的基本出发点。个人信息处理领域，存在不同类型的个人信息和不同的处理主体。特定场景中的个人信息，当发生不当个人信息处理并产生损害后果时，结合不同类型下的个人信息和处理主体，如一概适用过错责任归责原则，将过错证明责任由受害人承担，由于技术、知识等综合因素差异，势必不利于保护不同类型信息主体的合法权益。就此问题，有学者提出未来我国个人信息保护的基础可采用三元归责原则体系。具体是指，代表国家的公务机关以数据自动化处理技术实施的侵权采用无过错责任归责原则，非国家机关但以数据自动化处理技术实施的侵权采用过错推定责任归责原则，而对于未采用数据自动化处理技术的其他个人信息处理者应当采用一般的过错责任归责原则。6虽有学者持不同观点，7但结合不同类型个人信息和不同信息处理主体可以看出，数字时代背景下侵害个人信息一概适用一般过错责任归责原则并非合理。主要在于，该原则并未充分考量特殊情况下信息主体保护问题。如，由于数据存储机构原因导致个人信息泄露等情形，鉴于技术等综合因素，信息主体若证明处理主体储存中是过错方十分困难，甚至是否已发生侵权也无从知晓。立基于此，本文将结合不同类型侵权主体和不同个人信息分类下所适用的侵权责任归责原则进行讨论。二、不同类型侵权主体侵权责任归责原则数字时代，信息处理主体在个人信息处理中侵害信息主体合法权益并造成实际侵权损害后果，鉴于不同侵权主体的侵害方式存在多样化、深度化、隐蔽性、大规模性等特点，侵权主体和需承担侵权责任的主体会随着网络信息社会的迭代更新发展而呈现多样性。具体而言，从信息处理主体角度，侵害个人信息主体主要包括国家机关和非国家机关两种类型，此类主体在收集、存储、利用等处理个人信息过程中，可能存在泄漏、非法使用等侵权行为。按侵权领域传统观点，此种情形的侵权责任归责原则主要应结合侵权损害事实发生而定。结合侵权损害事实，侵权责任主体一般适用过错责任归责原则，但也会存在因不同侵权主体不同侵害方式而适用不同的侵权责任归责原则或多种归责原则相结合的情况。因此，本部分对不同类型侵权主体侵权责任归责原则的探讨，旨在完善不同类型信息处理主体侵害个人信息并产生损害后果的侵权归责原则具体适用问题，不仅利于司法实践中精准确定相关主体的侵权责任，而且在维护信息主体合法权益等方面具有重要指导意义，同时，也应是我国个人信息保护类立法应重点关注的问题之一。（一）国家机关作为侵权主体的侵权责任归责原则适用数字时代，随着人工智能、大数据分析、算法等高新科技快速发展，数据信息在不断聚合中形成的大体量数据资源场景，其综合价值不断被挖掘，不仅深刻影响商业生态体系，而且可以促进政府社会公共事业管理模式革新，已然成为社会发展的重要动力，亦是国家可持续发展的基础性战略资源。在此场景中，不同主体大体量收集、存储、传播、共享和利用各种数据信息，在促进数据信息利用价值实现的同时，个人信息安全问题引起人们普遍关注。国家机关作为我国当下最大的数据控制者和管理者，加之数据自动化处理技术的应用，更进一步巩固了其控制数据的能力。而自然人个人信息在社会公共事业管理中的综合应用，是其社会价值的体现，与此同时，国家机关作为个人信息处理主体所引发的侵害个人信息应受到重视。根据我国 行政诉讼法 第34条规定，当行政机关作为被告时，应对其行政行为是否具有合法性负有举证责任，即应提供作出此行政行为的法律根据或其他规范性文件依据，如不能提供相关证明，则应认定其行政行为违法。也就是说，国家机关作为信息处理主体时，当发生侵害个人信息并给信息主体造成实质损害后，受害人请求赔偿时，国家机关应负无过错的举证责任，如举证不能应承担相应的侵权责任。结合我国 行政诉讼法民法典 等既有法律规范可以看出，我国对国家机关侵害个人信息归责原则的适用上采用过错推定归责原则。但根据我国 网络安全法 第74条：“违反本法规定，给他人造成损害的，依法承担民事责任”可以看出该法对网络侵权采取的应是无过错责任归责原则，并且未区分信息处理主体不同类型，而我国 个人信息保护法 未规定国家机关侵害个人信息的归责原则问题。结合上述不同制度规范对该问题所采取的不同态度，司法实践88内蒙古农业大学学报（社会科学版）2023 年第 1 期（第 25 卷，总第 127 期）息民事责任的归责原则的基本出发点。个人信息处理领域，存在不同类型的个人信息和不同的处理主体。特定场景中的个人信息，当发生不当个人信息处理并产生损害后果时，结合不同类型下的个人信息和处理主体，如一概适用过错责任归责原则，将过错证明责任由受害人承担，由于技术、知识等综合因素差异，势必不利于保护不同类型信息主体的合法权益。就此问题，有学者提出未来我国个人信息保护的基础可采用三元归责原则体系。具体是指，代表国家的公务机关以数据自动化处理技术实施的侵权采用无过错责任归责原则，非国家机关但以数据自动化处理技术实施的侵权采用过错推定责任归责原则，而对于未采用数据自动化处理技术的其他个人信息处理者应当采用一般的过错责任归责原则。6虽有学者持不同观点，7但结合不同类型个人信息和不同信息处理主体可以看出，数字时代背景下侵害个人信息一概适用一般过错责任归责原则并非合理。主要在于，该原则并未充分考量特殊情况下信息主体保护问题。如，由于数据存储机构原因导致个人信息泄露等情形，鉴于技术等综合因素，信息主体若证明处理主体储存中是过错方十分困难，甚至是否已发生侵权也无从知晓。立基于此，本文将结合不同类型侵权主体和不同个人信息分类下所适用的侵权责任归责原则进行讨论。二、不同类型侵权主体侵权责任归责原则数字时代，信息处理主体在个人信息处理中侵害信息主体合法权益并造成实际侵权损害后果，鉴于不同侵权主体的侵害方式存在多样化、深度化、隐蔽性、大规模性等特点，侵权主体和需承担侵权责任的主体会随着网络信息社会的迭代更新发展而呈现多样性。具体而言，从信息处理主体角度，侵害个人信息主体主要包括国家机关和非国家机关两种类型，此类主体在收集、存储、利用等处理个人信息过程中，可能存在泄漏、非法使用等侵权行为。按侵权领域传统观点，此种情形的侵权责任归责原则主要应结合侵权损害事实发生而定。结合侵权损害事实，侵权责任主体一般适用过错责任归责原则，但也会存在因不同侵权主体不同侵害方式而适用不同的侵权责任归责原则或多种归责原则相结合的情况。因此，本部分对不同类型侵权主体侵权责任归责原则的探讨，旨在完善不同类型信息处理主体侵害个人信息并产生损害后果的侵权归责原则具体适用问题，不仅利于司法实践中精准确定相关主体的侵权责任，而且在维护信息主体合法权益等方面具有重要指导意义，同时，也应是我国个人信息保护类立法应重点关注的问题之一。（一）国家机关作为侵权主体的侵权责任归责原则适用数字时代，随着人工智能、大数据分析、算法等高新科技快速发展，数据信息在不断聚合中形成的大体量数据资源场景，其综合价值不断被挖掘，不仅深刻影响商业生态体系，而且可以促进政府社会公共事业管理模式革新，已然成为社会发展的重要动力，亦是国家可持续发展的基础性战略资源。在此场景中，不同主体大体量收集、存储、传播、共享和利用各种数据信息，在促进数据信息利用价值实现的同时，个人信息安全问题引起人们普遍关注。国家机关作为我国当下最大的数据控制者和管理者，加之数据自动化处理技术的应用，更进一步巩固了其控制数据的能力。而自然人个人信息在社会公共事业管理中的综合应用，是其社会价值的体现，与此同时，国家机关作为个人信息处理主体所引发的侵害个人信息应受到重视。根据我国 行政诉讼法 第34条规定，当行政机关作为被告时，应对其行政行为是否具有合法性负有举证责任，即应提供作出此行政行为的法律根据或其他规范性文件依据，如不能提供相关证明，则应认定其行政行为违法。也就是说，国家机关作为信息处理主体时，当发生侵害个人信息并给信息主体造成实质损害后，受害人请求赔偿时，国家机关应负无过错的举证责任，如举证不能应承担相应的侵权责任。结合我国 行政诉讼法民法典 等既有法律规范可以看出，我国对国家机关侵害个人信息归责原则的适用上采用过错推定归责原则。但根