- 个人信息保护纠纷理论释解与裁判实务
- 丁宇翔
- 7194字
- 2022-07-29 17:03:43
第二节 侵犯个人信息权益中的过失
基本原理
一、一般侵权责任中“过失”的涵义
过失是指行为人对于其行为可能造成侵害他人民事权益的结果应予注意或者能够注意,但因为疏忽大意或自信能够避免而未注意的一种主观心理状态。如同故意的理论构成,过失在学理上也分为认识要素和意愿要素。认识要素是指行为人对于其行为可能侵害他人民事权益有所认知,从而能够预见其行为可能侵害他人民事权益。需要强调的一点是,过失的认识要素并不要求行为人对于其行为的具体后果如损害的范围、损害的数量等情况有所认识,而是只要求行为人能够预见到其行为可能侵害他人民事权益。理论上,根据认识要素层面行为人对权益侵害的认识情况,可以把过失区分为疏忽大意的过失和过于自信的过失。前者是指行为人本应预见到其行为可能侵害他人民事权益,但因疏忽大意而没有预见到,后者是指行为人虽然预见到其行为可能侵害他人民事权益,但轻信能够避免。疏忽大意的过失和过于自信的过失的划分更多具有理论意义,其实践价值并不突出。
意愿要素是指行为人在预见到其行为可能侵害他人民事权益的基础上,对该侵害予以避免的可能性。虽然行为人预见到其行为可能侵害他人民事权益,但其客观上根本不可能避免,则不构成过失。[8]比如,在正当防卫的情况下,防卫人对侵害人实施暴力制止其正在进行的不法侵害行为,防卫人一般可以预见到其以暴制暴的行为可能造成侵害人的民事权益损害,但是客观上很难避免这种侵害,否则就可能达不到制止暴力侵害的目的。在这种情况下,防卫人的暴力行为尽管存在认识要素,但其客观上不能避免对行为人权益的侵害,在意愿要素层面不具有避免侵害的可能性,因而不构成过失。
二、个人信息纠纷中过失认定的难点及其破解思路
现实中发生的民事侵权案件,大多为过失侵权案件。发生在物理空间内的常见侵权案件,侵权行为有明确的外形,如侵犯他人身体权的,会有身体接触等直观的行为表象,原告可以留存这些直观行为的相关证据来证明被告的侵权行为和过失。发生在网络空间的常见侵权案件,侵权行为一般也有可感知的形态,比如存在于互联网上的诋毁或侮辱他人的言论,原告可以截取侵权言论的图片,或者通过做证据保全,从而证明被告的侵权行为和过失。但是,在个人信息被侵犯的案件中,比如最常见的个人信息泄露的场合,泄露行为往往是原告根据个人信息被扩散以及被告曾掌握原告个人信息这些事实元素所做的推测,泄露行为本身没有任何可感知的外形。在这种情况下,原告很可能都不知道有泄露行为的发生,因而很难提供证据证明被告的过失。而在没有任何法律规定侵犯个人信息适用无过错责任原则的情况下,应将其作为一般侵权行为。根据《民法典》第1165条第1款,一般侵权责任以过错为要件。因此,个人信息侵权案件恰恰是需要认定被告的过失的。
为解决上述过失的证明难题,理论界不少人提出,对于个人信息侵权案件,应作为特殊侵权行为,确立无过错责任原则。[9]如此,若发生个人信息侵权行为的,不考虑行为人的过错,因而也就免除了原告对被告过失的证明责任。另外,也有人主张应区分行为主体的性质及处理个人信息的方式,确立不同的归责原则。对于公权力机关而言,因利用海量个人信息进行算法自动化决策而侵权的,应适用无过错责任;对于其他组织或企业而言,因利用海量个人信息进行算法自动化决策而侵权的,应适用过错推定责任;对于其他没有利用个人信息进行算法自动化决策而侵权的组织或个人,则适用过错责任。[10]以上建议中,第二种建议考虑了不同情况,更具有科学性,将来立法中应予充分考虑。
在目前立法不能及时跟进的情况下,司法实务中可以从如下方面着手解决过失证明和认定的问题。一方面,在宏观的裁判理念上,坚持过失认定的客观化。在传统侵权法理论中,行为人的过失可以分为主观过失和客观过失。主观过失要求,只有当行为人自己主观上能够预见到行为的结果但却没有尽到这一注意义务时,才可认定过失。而客观过失则要求,行为人所要恪守的注意义务是一个“理性人”应有的注意义务,这一注意义务不受具体行为人的主观能力影响,只要行为人违反了一个“理性人”的注意义务对他人个人信息造成侵害的,就可认定过失。
另一方面,在微观的裁判思路上,应首先确定行为人所处的群体,进而抽象该群体的“理性人”原型,在此基础上认定行为人是否存在过失。在个人信息侵权案件中,被告往往是对于海量个人信息和数据具有高超运算处理能力的公司或组织,他们是一个高度专业化的专家群体或系统。对于这种高度专业化的群体,“理性人”的标准要远高于一般人的标准。一般主体对他人个人信息的泄露,可能不好认定为过失。但对于这种高度专业化的群体而言,对他人个人信息的泄露,完全可以因为他们没有尽到与其“理性人”标准相适应的注意义务而认定其违反《民法典》第111条,认定其为存在过失。[11]在这样的裁判思路下,被告过失认定的难题,就可在很大程度上解决。
专题18 侵犯个人信息利益的过失如何认定
◎案例简介
2018年9月29日,王某某通过微信软件联系天一学校法定代表人,要求对“重磅!天一教育法考烟台考点创造98.3%的通过奇迹!”网页中的名字做技术处理,未获回应。2019年1月9日,青岛市市中公证处作出(2019)鲁青岛市中证民字第234号公证书,对证据进行保全。该公证书载明,2018年12月26日,王某某自带手机中,通过微信软件打开“重磅!天一教育法考烟台考点创造98.3%的通过奇迹!”网页,显示天一烟台教学点过关名单中包含“115,王某某,男,90,91,181”。王某某认为天一学校侵犯了其隐私权,遂起诉请求法院确认天一学校采取商业广告的形式向社会公众泄露王某某个人考试成绩的行为侵犯了王某某的隐私权。
一审法院判决认为,自然人享有隐私权,即保有其生活中不愿被人知晓的信息的权利。本案天一学校通过互联网发布的“重磅!天一教育法考烟台考点创造98.3%的通过奇迹!”具有商业广告性质,该网页中包含王某某的名字及考试成绩,但是未经其本人同意,且王某某提出异议后未及时删除,上述行为具有一定的过错。天一学校的行为造成王某某不愿被人知晓的信息被公开,侵犯了王某某的隐私权。据此判决:确认被告青岛天一精英人才培训学校通过互联网公开原告王某某考试成绩的行为,侵犯了原告王某某的隐私权。
二审法院判决则认为,首先,姓名、考试成绩均非私生活中绝对自我空间的范畴,不属于隐私的范围。天一学校发布的“115,王某某,男,90,91,181”的信息内容仅涉及王某某姓名和成绩,并未涉及其他私人信息,该过关名单面向社会不特定公众发布,社会公众并不必然能凭此条信息与王某某本人建立特定联系,故不构成法律概念上的特指,不具备识别性。其次,侵犯隐私权承担的是一般侵权责任,适用过错责任原则,应当由权利主张一方举证证明存在加害行为、损害结果、因果关系、行为人具有过错。天一学校通过互联网发布“重磅!天一教育法考烟台考点创造98.3%的通过奇迹!”的行为旨在宣传该学校通过率,其中包含的“115,王某某,男,90,91,181”的信息内容并未逾越此目的的必要范围,不具有侵犯王某某隐私权的故意或过失,主观上无过错。故天一学校该行为不具备隐私权侵权的构成要件,不构成对王某某隐私权的侵犯。[12]
◎法官评析
过失认定的一般思路是首先确定行为人是否具有认识要素中的预见可能性,其次考察行为人对权益侵害避免的可能性,同时要结合“理性人”的标准进行判断。本案中,一审法院和二审法院对于被告是否具有侵犯原告的个人信息权益(隐私权)的过失有不同的判断结论,从而导致了不同的判决结果。一审判决从被告的发布行为是否经过信息主体(原告)的同意这一角度论证其过错,即“未经其本人同意,且王某某提出异议后未及时删除,上述行为具有一定的过错”。这是遵循个人信息使用中的“同意原则”所做的分析,违反个人信息的明示同意原则,本身就是对信息主体个人信息权益的侵犯,被告应对此有所预见,但其还是实施了该行为,按照这一思路,一审判决得出被告具有过失的结论并非没有道理。
然而,正如王泽鉴先生所指出的那样,过失认定的考量因素中还包括行为的效益,即行为的目的及效用。[13]本案中,二审法院就是从被告公示原告成绩的目的出发考察其是否存在过失。二审法院的逻辑是,被告的行为旨在宣传该学校通过率,其中包含的“115,王某某,男,90,91,181”的信息内容并未逾越此目的的必要范围。因此,被告就其发布王某某成绩的行为并不存在过失。从隐私权侵权的角度分析,二审法院认定被告的行为没有超出其目的范围,因而不具有过失应该是可以的。
但是,如果本案原告以个人信息权益被侵犯为由进行起诉,而不是隐私权被侵犯为由起诉,则就过失的认定可能会有不同。因为,原告的姓名和成绩本身很难说是原告的私密空间、私密活动和私密信息,因而并非《民法典》第1032条第2款规定的隐私。在此情况下,被告发布该信息时一般不会预见到其行为侵犯了原告的隐私权益,因而不容易认定其过失。但是,原告的姓名和成绩显然属于其个人信息。在未经信息主体同意的情况下,被告擅自使用其个人信息,且在原告提出异议,且完全可以考号或“王××”等方式代替姓名的情况下,应当认为被告对于其未经允许使用他人个人信息的行为的侵害情况有预见性,从而可以认定其存在过失。
◎规范指引
《民法典》
第1032条第2款 隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。
第111条 自然人的个人信息受法律保护。任何组织或者个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。
第1035条 处理个人信息的,应当遵循合法、正当、必要原则,不得过度处理,并符合下列条件:
(一)征得该自然人或者其监护人同意,但是法律、行政法规另有规定的除外;
(二)公开处理信息的规则;
(三)明示处理信息的目的、方式和范围;
(四)不违反法律、行政法规的规定和双方的约定。
个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等。
专题19 侵犯个人信息权益的过错可以推定吗
◎案例简介
庞某某委托其助理鲁某通过北京趣拿信息技术有限公司(以下简称趣拿公司)下辖网站去哪儿网购买东航机票,其后收到诈骗短信,短信内容中显示有庞某某航班的起飞时间、降落时间、机场名称、航班号。庞某某认为,自己的手机号及确切的航班信息只有去哪儿网和东航掌握,因而其断定是去哪儿网和东航泄露了其个人信息,于是诉至法院。一审法院经过审理后认为,本案中庞某某无证据证明去哪儿网和东航将庞某某过往留存的手机号与本案机票信息匹配予以泄露,且去哪儿网和东航并非掌握庞某某个人信息的唯一主体,法院无法确认去哪儿网和东航存在泄露庞某某隐私信息的侵权行为,故庞某某的诉讼请求缺乏事实依据,判决驳回其诉讼请求。庞某某不服一审判决,提出上诉。
二审法院认为,本案为一般侵权责任纠纷,归责原则为过错责任。如上所述,东航和趣拿公司均有泄露隐私的高度可能性,但其是否应该承担责任归根到底还须审查其是否有过错。近些年来,对公民个人隐私以及个人信息的保护已成为社会共识。2013年新颁布的《消费者权益保护法》第29条第2款中明确规定,经营者及其工作人员对收集的消费者个人信息必须严格保密,不得泄露、出售或者非法向他人提供。经营者应当采取技术措施和其他必要措施,确保信息安全,防止消费者个人信息泄露、丢失。这是在立法层面上对消费者个人隐私和信息的保护,也是对经营者保护消费者个人信息的强制性规定。经营者违反了该条规定,即视为其存在过错。本案中,东航和趣拿公司作为各自行业的知名企业,一方面因其经营性质掌握了大量的个人信息,另一方面亦有相应的能力保护好消费者的个人信息免受泄露,这既是其社会责任,也是其应尽的法律义务。诚然,对个人信息的保护是一个逐步的过程,从社会现实来讲不宜苛责过甚。但从法院现有证据看,东航和趣拿公司在被媒体多次报道涉嫌泄露乘客隐私后,即应知晓其在信息安全管理方面存在漏洞,但是,该两家公司却并未举证证明其在媒体报道后迅速采取了专门的、有针对性的有效措施,以加强其信息安全保护。而本案泄露事件的发生,正是其疏于防范导致的结果,因此可以认定趣拿公司和东航具有过错,理应承担侵权责任。[14]
◎法官评析
1.侵权责任中的过错可以推定
过错是一般侵权责任中的构成要件,裁判过程中必须认定行为人的过错才可能判决其承担侵权责任。过错的认定,除了依照前文所说的方法进行直接认定外,还有一种方法就是推定,即推定行为人有过错。所谓推定,就是根据日常经验法则,从某一已知事实一般性地推断出另一事实的存在。在学理上,关于推定最重要的分类就是把推定分为事实推定和法律推定。二者的根本区别在于,前者是裁判者在具体案件中通过对证据的审核认定而形成的内心确信,是酌定的,属于裁判者的自由心证;而后者则是法律基于事实之间联系的规律性和可能性而预先规定好的,有了法律推定,法官就不需要自由心证。[15]其实,这里所说的事实推定就是法官基于高度盖然性的证明标准对要件事实所进行的认定。而法律推定则不需要法官适用高度盖然性证明标准,而是直接依据法律的规定认定事实存在。比如,《民法典》第1222条规定的“患者在诊疗活动中受到损害,有下列情形之一的,推定医疗机构有过错”的情况。学界在讨论所谓过错推定责任时,一般是指法律上对过错的推定,[16]即所谓的法律推定。本书这里所讨论的“侵权责任的过错可以推定”,也是指法律推定而言。也就是,侵权责任中的“过错”可以由法律预先作出规定。
2.侵权责任中的过错推定需要有法律明确规定
虽然侵权责任中的过错可以进行推定,但是根据《民法典》第1165条第2款,依照法律规定推定行为人有过错,其不能证明自己没有过错的,应当承担侵权责任。也就是说,要对侵权责任中的过错进行法律推定,必须有明确的法律规定。本案在个人信息保护领域具有较为广泛的影响。2018年,最高人民法院曾将本案作为第一批涉互联网典型案例予以发布。但是,在关于本案判决的探讨中,有文献认为,本案判决中法官采取了过错推定责任的原则,进而在诉讼程序上适用了举证责任倒置,即让趣拿公司和东航公司承担自己没有过错的证明责任,[17]这一点可能存在误读,因为严格意义上的过错推定需要有法律的明确规定,而本案中的情况并没有法律规定可以推定行为人的过错。从本案判决的表述看,法院通过《消费者权益保护法》第29条第2款来确立认定过错的基础,即“经营者应当采取技术措施和其他必要措施,确保信息安全,防止消费者个人信息泄露、丢失”。也就是说,趣拿公司和东航公司作为经营者,采取适当的技术措施和其他必要措施,确保信息安全是其法定义务。一旦发生个人信息的泄露或丢失问题,经营者就应该证明其履行了采取适当技术措施确保信息安全的法定义务。否则,就可认定其违反了法定义务。而在过错认定越来越客观化的今天,法定义务的违反,一般来说可以认定为过错,除非行为人可以提出反证。本案中,法院要求趣拿公司和东航公司证明的内容是其履行了法定义务,而不是没有过错,这与典型的过错推定责任之下就过错的举证责任倒置是不同的。因此,笔者认为,法院在本案中,并没有适用过错推定责任,更没有因此将过错的举证责任倒置由一审被告承担,而仅仅是基于一审被告违反法定义务从而认定其存在过错。如果这种过错认定的方式也是推定的话,那也绝不是法律推定,而应该是事实推定。
◎规范指引
《民法典》
第1165条第2款 依照法律规定推定行为人有过错,其不能证明自己没有过错的,应当承担侵权责任。
《消费者权益保护法》
第29条第1款、第2款 经营者收集、使用消费者个人信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经消费者同意。经营者收集、使用消费者个人信息,应当公开其收集、使用规则,不得违反法律、法规的规定和双方的约定收集、使用信息。
经营者及其工作人员对收集的消费者个人信息必须严格保密,不得泄露、出售或者非法向他人提供。经营者应当采取技术措施和其他必要措施,确保信息安全,防止消费者个人信息泄露、丢失。在发生或者可能发生信息泄露、丢失的情况时,应当立即采取补救措施。
[1] Vgl. Deutsch/Ahrens,Deliktsrecht:Unerlaubte Handlungen,Schadensersatz,Schmerzensgeld,4. Auflage,Carl Heymanns Verlag,2002,S. 52.
[2] 参见程啸:《侵权责任法》(第2版),法律出版社2015年版,第264页。
[3] 参见北京市第二中级人民法院(2018)京02民终9366号民事判决书。
[4] See Anita L. Allen,Lying to Protected Privacy,44 Vill. L. Rev. 161,177(1999).
[5] 参见北京市门头沟区人民法院(2017)京0109民初4615号民事判决书。
[6] 参见程啸:《侵权责任法》(第2版),法律出版社2015年版,第348页。
[7] 最高人民法院民法典贯彻实施工作领导小组主编:《中华人民共和国民法典侵权责任编理解与适用》,人民法院出版社2020年版,第54页。
[8] 参见程啸:《侵权责任法》(第2版),法律出版社2015年版,第268页。
[9] 参见刁胜先:《个人信息网络侵权归责原则的比较研究——兼评我国侵权法相关规定》,载《河北法学》2011年第6期。
[10] 参见叶名怡:《个人信息的侵权法保护》,载《法学研究》2018年第4期。
[11] 参见丁宇翔:《个人信息民事司法保护的若干难点及其破解路径》,载《中国审判》2019年第19期。
[12] 参见山东省青岛市中级人民法院(2019)鲁02民终7482号民事判决书。
[13] 参见王泽鉴:《侵权行为》,北京大学出版社2009年版,第243页。
[14] 参见北京市第一中级人民法院(2017)京01民终509号民事判决书。由于该案在我国个人信息保护发展历程中具有非常重要的价值,故本书在多个专题中以该案例为标本从不同角度进行分析。因此处对该判决的事实和法律适用进行了介绍,本书后文凡是以该案为标本进行分析的,则仅以“庞某某案”进行指称,不再赘述案情和法律适用情况。
[15] 参见王雄飞:《论事实推定和法律推定》,载《河北法学》2008年第6期。
[16] 最高人民法院民法典贯彻实施工作领导小组主编:《中华人民共和国民法典侵权责任编理解与适用》,人民法院出版社2020年版,第30页。
[17] 参见刘丹:《个人信息网络侵权的认定及其司法救济》,载《学习与实践》2020年第1期。