個人信息侵權法學探討

前言：尋找寫作靈感？中文期刊網用心挑選的個人信息侵權法學探討，希望能為您的閱讀和創作帶來靈感，歡迎大家閱讀并分享。

一、個人信息網絡侵權的法律規制概況   一般認為，個人信息是可以直接或間接識別本人的信息的總和，包括一個人的生理的、心理的、智力的、個體的、社會的、經濟的、文化的、家庭的等等方面［1］97，或者指那些能夠據此直接指明或間接推斷出自然人身份而又與公共利益沒有直接關系的私人信息［2］。遏制個人信息的網絡侵權，已經是全球范圍的共同課題。對其保護，世界上有立法規制、行業自律和技術保護等模式，各種模式各有優缺。立法規制模式是由政府通過立法的方法，從法律上確立個人信息保護的各項基本原則與各項具體的法律規定、制度，并在此基礎上建立相應的司法或者行政救濟措施，具有保護全面、監督有保障等優點，但有一定滯后性，因過于苛嚴而束縛了企業自由。行業自律模式是指計算機信息網絡的從業者自己制定行業行為規范或標準，表明他們在計算機個人信息問題上的保護措施，實行行業內的自我約束和自我控制。以美國為代表的國家，不主張通過嚴格的立法來保護網上個人隱私材料，目前，主要通過制定和實施“建議性行業指引”和“網絡隱私認證計劃”來實現行業自律和自我約束。自律模式針對性強，有利于保障信息的自由流通，但是義務規定過于寬松，參加認證的網站少不具普遍性，執行機制不夠完善，救濟途徑單一、乏力，常常使受害方的賠償請求落空。技術保護模式是指運用一些特定的程序和系統以實現不同程度的信息保護，即通過某些隱私信息等保護軟件，在消費者進入某個收集個人信息的網站時，該軟件會提醒消費者哪些種類的個人信息正被收集，由消費者自行決定是否繼續瀏覽該網站。比如，對利用cookies跟蹤軟件和其他相似技術記錄網絡用戶網絡活動的情況，p3p軟件、Opt－in和Opt－out模式的使用對個人信息起到了很好的保護作用［3］。但是，技術本身是否安全就是問題，加上軟件的變通性小、對網絡服務商的限制作用有限，所以，技術只是輔助性手段，不能代替立法。   我國在個人信息的法律保護方面，刑法制度設計已經先行一步，行政責任與民事責任的建立健全也在進行之中?！缎谭ㄐ拚浮罚ㄆ撸┑谄邨l明確規定，國家機關或者金融、電信、交通、教育、醫療等單位的工作人員，違反國家規定，將履行公務或者提供服務中獲得的公民個人信息出售或非法提供給他人，或以竊取、收買等方法非法獲取上述信息，情節嚴重的，應追究刑事責任，處三年以下有期徒刑或者拘役，并處或者單處罰金。就民事侵權方面，個人信息的網絡侵權救濟已顯得刻不容緩，本文就此重點討論。由于個人信息利益本身不同于傳統的生命、身體和物質財產等有物理實體的利益，加上網絡侵權不同于傳統侵權，問題新多于舊，所以，需要綜合考察他國先進的專門立法和我國既有的立法資源，才能更好規制其網絡侵權，以在后發優勢中尋求突破。   目前，我國還沒有制定專門的個人信息保護法，對個人信息的民法保護散見于各種法律、法規中?！睹穹ㄍ▌t》關于人格權的規定是保護個人信息的主要法律淵源，第100條、第101條、最高人民法院《關于貫徹執行〈中華人民共和國民法通則〉若干問題的意見（試行）》第140條、最高人民法院《關于審理名譽權若干問題的解答》、《關于審理名譽權若干問題的解釋》等都有相關規定。但由于立法時間與背景的限制，《民法通則》并未明確界定個人信息。全國人大頒布的《關于維護互聯網安全的決定》和2000年信息產業部施行的《互聯網電子公告服務管理規定》使用了“數據資料”和“個人信息”概念，表明個人信息的獨立客體地位為立法者所承認，在個人信息保護歷史上意義重大，改變了以往通過保護人格和隱私而間接保護個人信息的思路［1］116－117。2002年12月23日，第九屆人大常委會首次審議的民法典草案明確界定了私人信息、私人活動與私人空間，并歸之為“隱私”范疇［1］116。2009年通過的《中華人民共和國侵權責任法》（以下簡稱《侵權法》）未使用和界定“個人信息”，但第36條規定了網絡用戶的侵權責任以及網絡服務提供者侵權的“通知條款”和“明知條款”，以及第62條規定“醫療機構及其醫務人員應當對患者的隱私保密”、“泄露患者隱私或者未經患者同意公開其病歷資料，造成患者損害的，應當承擔侵權責任。”此外，其他法律淵源還有：《傳染病防治法》、《電子簽名法》、《拍賣法》、《保險法》、《行政許可法》、《監獄法》、《稅收征收管理法》、《統計法》等相關條文?！　?  二、個人信息網絡侵權責任及其適用條件　　   （一）侵權行為與侵權責任   一般講，侵權行為分為一般侵權行為與特殊侵權行為，分別適用過錯責任與嚴格責任（此處包括無過錯責任與過錯推定責任）。筆者認為，一般侵權與特殊侵權的區分標準主要看立法方式，前者為概括式的一般條款立法，后者為列舉式的特別規定，而隨著社會的復雜化，會相繼出現新的特殊侵權行為類型。盡管特殊侵權行為在法律要件、法律效果和免責事由等方面被特別規定，但并非指這些方面絕對不同于一般侵權行為。由于立法技術以及部門法調整的內容不同等原因，有些侵權行為會因一般法與特殊法的同時規定而發生競合［4］。所以，歸責原則和侵權行為類型并不存在必然的對應關系，而是出現一種綜合交叉的復雜趨勢：一般侵權行為的歸責事由是過錯，但特殊侵權行為的歸責事由也可能包含過錯歸責，只是更加突出雖無過錯但因行為本身的危險、基于公平的考量等由法律特別規定予以分配的嚴格責任。事實上，我國《侵權法》在一些特殊侵權責任中，也會適用多種歸責原則，比如，第七章醫療損害責任就包括過錯責任和嚴格責任［5］。就算是同一類型甚至同一個具體侵權行為，適用民事責任的條件和形式也可能有多種情況?！睹穹ㄍ▌t》專設一節規定民事責任形式，《侵權法》進行了沿襲，但都未明確各種形式的適用條件與歸責原則。在知識產權的侵權責任適用中，責任形式與歸責原則的匹配性問題得到凸顯，大家才開始討論“停止侵害”等物權主張應適用無過錯責任原則、“損害賠償”等債權主張應適用過錯責任原則［6］?！　?p#分頁標題#e#   （二）個人信息網絡侵權行為及責任   《侵權法》第2條規定：“侵害民事權益，應當依照本法承擔侵權責任。本法所稱民事權益，包括生命權、健康權、姓名權、名譽權、榮譽權、肖像權、隱私權、所有權、用益物權、擔保物權、著作權、專利權、商標專用權、發現權、股權、繼承權等人身、財產權益。”據此，《侵權法》的保護范圍為民事權益，包括各種人身和財產權益。因此，不論將個人信息的保護基礎歸為人身權還是財產權，作為信息主體的民事權益，都可依此獲得保護。具體而言，個人信息的網絡侵權行為主要表現為非法收集、獲取、利用他人資料，包括：（1）網絡安全存在隱患導致個人信息泄露，如黑客與木馬的威脅；（2）采用Cookies獲取用戶個人信息；（3）監視軟件的濫用；（4）擅自在網上宣揚、公布他人個人信息或隱私；（5）第三方泄露或共享等［7］。   《侵權法》第6條規定：“行為人因過錯侵害他人民事權益，應當承擔侵權責任。根據法律規定推定行為人有過錯，行為人不能證明自己沒有過錯的，應當承擔侵權責任。”它確立了過錯責任原則：一般過錯與推定過錯并舉。第7條規定：“行為人損害他人民事權益，不論行為人有無過錯，法律規定應當承擔侵權責任的，依照其規定。”該條確立的是無過錯責任原則。由于過錯推定原則適用的后果比一般過錯責任嚴格得多，所以，常與無過錯責任合稱為嚴格責任，并都以“法律規定”為適用前提；而一般過錯責任就指狹義的過錯責任。   筆者認為，除了考慮行為本身的特點外，侵權責任還應著眼于責任形式的不同來確定適用條件。   根據《侵權法》第15條列舉的8種責任形式，外加既有的精神損害賠償、懲罰性賠償等，都可能適用于個人信息網絡侵權的一般與特殊侵權行為當中。   1．一般個人信息網絡侵權行為及責任   《侵權法》第36條規定：“網絡用戶、網絡服務提供者利用網絡侵害他人民事權益的，應當承擔侵權責任。網絡用戶利用網絡服務實施侵權行為的，被侵權人有權通知網絡服務提供者采取刪除、屏蔽、斷開鏈接等必要措施。網絡服務提供者接到通知后未及時采取必要措施的，對損害的擴大部分與該網絡用戶承擔連帶責任。網絡服務提供者知道網絡用戶利用其網絡服務侵害他人民事權益，未采取必要措施的，與該網絡用戶承擔連帶責任。”該條位于第四章“關于責任主體的特殊規定”中，從侵權主體與侵權環境出發，專門規定網絡用戶、網絡服務提供者利用網絡侵害他人民事權益的侵權責任，是對第四章以前的一般規定做出的特別規定。因為從整體解釋看，第五章才開始特殊侵權類型的列舉規定，第四章屬于侵權法一般規定之總論到列舉特殊侵權類型之分論的過渡部分，所以，第36條的網絡侵權責任雖然比較特殊，但在我國侵權行為的“一般侵權與特殊侵權”之二元格局中，網絡侵權行為還是屬于一般侵權行為范疇，包含一部分個人信息的網絡侵權。   在沒有法律特別規定時，個人信息網絡侵權行為作為一般侵權行為，著眼于不同責任的適用，其構成可分三種情況：（1）適用“停止侵害、排除妨礙、消除危險、恢復原狀、消除影響、恢復名譽”等責任時，侵權行為構成要件為三個：實施了加害行為、行為對權利人權益構成侵害、行為與侵害后果之間有因果關系，不要求有主觀過錯與損失（損害）后果。   因為在這些行為中，即使沒造成損失后果、侵權人主觀上沒有過錯，但權利人的權益已經被侵害，所以，需要適當方式的救濟，以盡可能恢復到未被侵害時的權益平衡狀態，比如，網絡服務提供者應采取刪除、屏蔽、斷開鏈接等必要措施的責任。（2）適用“賠禮道歉”時，要加上“主觀過錯”的要件，但不要求侵害后果上一定存在損失，因為該責任主要是對人格權益受侵害的救濟，顯示了對侵權者主觀心理的一種責難。（3）適用“賠償損失”時，包括精神與物質上的損失，賠償方式也體現為金錢等可替代的財產補償或賠償，同時體現對侵權者的主觀責難，因此，這時的侵權行為構成要件應包括：加害行為、損失后果、行為與后果間有因果關系、主觀過錯。網絡服務提供者接到通知或知道網絡用戶利用其網絡侵權而未采取必要措施的，對損害的擴大部分與該網絡用戶承擔連帶責任，該連帶責任與網絡用戶的責任就屬于此種情形。   2．特殊個人信息網絡侵權行為及責任   在列舉式規定特殊侵權責任部分，《侵權法》第61條第1款規定醫療機構及其醫務人員具有依規定填寫與保管病歷的義務，第2款確立患者的病歷查閱權與復制權，以及醫療機構的病歷提供義務；第62條先設立醫療機構及其醫務人員對患者的隱私保密義務，隨后明確規定違反該法定義務、“泄露患者隱私或者未經患者同意公開其病歷資料，造成患者損害”的侵權責任，采用無過錯歸責原則。這從保護客體的角度為個人信息侵權救濟打下了基礎，如果侵權發生在網絡上，則會構成網絡用戶與網絡服務商的個人信息網絡侵權行為。但是，隱私、病歷資料并不等于所有個人信息，所以保護有限。   分析該兩條規定，可以認為，該類特殊侵權行為的構成分兩種：（1）實施了加害行為，包括“不依規定填寫與保管病歷、不向患者提供病歷及其查閱與復制”等不作為侵權和“泄露患者隱私或者未經患者同意公開其病歷資料”等作為侵權；造成權益侵害，但不一定有損失后果；二者有因果關系。   這類行為承擔的責任形式為：第一，“停止侵害、恢復原狀”，比如，完成填寫與保管行為、提供病歷、采取保密措施、停止泄露或公開行為，當然，“恢復原狀”以能夠恢復為前提；第二，“消除影響、恢復名譽”，如泄露隱私、公開病歷造成不良影響或名譽侵害的，以此救濟。（2）實施了加害行為———“泄露患者隱私或者未經患者同意公開其病歷資料”等作為侵權；造成權益損害或損失后果；二者有因果關系。這種行為承擔的責任形式，除了上述的“停止侵害、恢復原狀、消除影響、恢復名譽、賠禮道歉”外，主要指“賠償損失”?？梢?，此處兩種情形都不要求主觀過錯，只因行為后果不同而采取不同的責任形式。在網絡環境下，不論醫療機構及其醫務人員是作為網絡用戶還是網絡服務提供商，如果違反《侵權法》第61條規定，應依該特別規定承擔上述責任。#p#分頁標題#e#   此外，我國尚未出臺專門的個人信息保護法，所以，對個人信息的網絡侵權行為還沒有更多的特別規定。從建議稿看，也是從行為主體出發，對國家機關、法律法規授權的組織，采取無過錯歸責原則，適用國家賠償法，免責事由僅限于不可抗力；對自然人、法人或其他組織，采取過錯推定歸責原則①。但二者承擔的責任形式一樣，包括停止侵害、消除影響、損害賠償等民事責任。筆者認為，不管哪類主體侵權，“停止侵害、消除影響”都不應以過錯和損失后果為條件；而“損害賠償”則要求損害后果、且因主體不同而課以不同主觀要件———國家機關“無過錯”、非國家機關有“推定過錯”。只有這樣，首先著眼于責任形式的要求，然后結合行為主體的特點和行為的后果，來確定相應侵權行為的構成要件，才能更全面、更合理地保護權利人的權益，實現行為人的行為自由與權利人的權益保護之間的平衡?！　?  （三）不承擔或減輕民事責任的事由   針對個人信息網絡侵權責任的不予承擔或予以減輕的事由，目前并無直接的法律規定，但可以適用《侵權法》的一般規定，即第三章“不承擔責任和減輕責任的情形”。個人信息網絡侵權責任的不予承擔和減輕事由，還應注意以下問題：   1．受害人同意。權利主體同意他人在網上獲取自己的個人信息，或者同意他人將自己的個人信息和隱私在網上公布等，這類情況下，因為是經過了權利人的許可，所以，行為人的行為可阻卻違法。但是，權利人的同意必須是其真實的意思表示，不違反法律和公序良俗等基本原則，且行為人的行為不得超過權利人同意的范圍。   2．受害人故意。根據《侵權法》的規定，損害是因受害人故意造成的，行為人不承擔責任；被侵權人有過錯的，減輕行為人責任。因此，在個人信息網絡侵權中，由于受害人的故意使得行為人在網上泄露、傳播、宣傳受害人的個人信息及隱私，或者使行為人獲得受害人個人信息的，行為人不承擔責任，但過失除外。   3．第三人原因。根據《侵權法》的規定，損害是因第三人造成的，第三人應當承擔侵權責任。該條并未表明第三人是否有過錯，也未說明第三人是否和第二人發生連帶責任，應結合其他條款和具體侵權行為來確定。   4．社會公共利益和國家政治利益的需要。為了社會公共利益和國家政治利益的需要而公開他人的個人信息，例如，為了偵破網絡犯罪，維護網絡安全而對他人的網上行為進行監聽，對政府官員的品行在網上評論或公開政府財政收入，以社會公共利益為目的披露領導人、藝術家、影視明星、體育明星、社會活動家等公眾人物的個人信息和隱私，不構成網絡個人信息侵權。多數國家的個人信息專門法中，都有類似規定，而且更加詳細全面，值得借鑒。   5．網絡不可抗力。《侵權法》規定，因不可抗力造成他人損害的，不承擔責任；法律另有規定的，依照其規定。但是，對網絡中哪些事由可歸為不可抗力，尚無定論。筆者認為，“不能預見、不可避免、不能克服”依然應當作為判斷的基本依據。   例如，網絡上因出現超越現有技術水平的技術故障或其他意外事故，造成個人信息資料的泄露或個人郵箱的破壞等，行為人可以不承擔民事責任。但是，因為網絡技術陳舊、疏于管理等出現線路故障，設備失靈，這是人力可以控制和避免的，此時應構成對個人信息的侵權。   6．網絡緊急避險或正當防衛?！肚謾喾ā芬幎ǎ赫敺佬l引起的，不承擔責任，但防衛過度的，應承擔適當責任；緊急避險造成損害的，由險情發生人承擔，自然原因引起的，不承擔或適當補償，避險不當引起的，應適當承擔。比如，遭到網絡黑客攻擊，網絡服務提供商不得已而采取斷線、停止服務、技術隔離等必要措施造成的必要損失，可以不予承擔責任。當然，網絡環境中，哪些情形應歸為緊急避險或正當防衛，尚需更深入的理論研究?！　?  三、我國個人信息網絡侵權規制的完善　　   （一）明確個人信息的民法保護基礎：個人信息權　　   個人信息應受民法保護，這已成共識，但是，民法的保護基礎是什么，學界尚無定論，有所有權、人格權、人格權與財產權雙重保護、人權等觀點［1］95。筆者認為，應在個人信息上設立個人信息權，定性為具有精神利益與物質利益雙重屬性的框架性人格權，并依據個人信息民事法律關系，確立個人信息權的自決、管理、許可、禁止和收益等權能［8］。　　   （二）完善實體與程序等多方面立法規定，盡快出臺《個人信息保護法》   　　個人信息的法律問題、尤其是網絡上的問題，是一個特殊性較多的新領域，如果僅僅依據一般的民法規定，其保護非常有限［9］。所以，以現有的理論成果和立法、司法實踐為基礎，應該盡快出臺專門的《個人信息保護法》，比較考察國外和我國臺灣、香港地區的專門立法，以周漢華教授和齊愛民教授的建議稿為基礎，應對個人信息保護的實體法和程序法都作出相應規定?！　?  （三）加強法律、行業、技術與政策等多種手段的協調配合和綜合保護　   　網絡社會相對于現實的物理社會，在存在形式、組織結構等重要方面都有不同，單純依靠某一種手段，是不可能治理好的。雖然法律手段不失為最直接、最有力的手段之一，但是，網絡秩序的形成，必須依賴于多種手段的協調運用和綜合保護。比如，下列方面可予以考慮：   1．提高網絡行業的自律性。行業自律除了要制定必要的行為規范，加強對員工個人信息及隱私保護方面的教育，開展有關檢查指導活動外，還要建立一種溝通機制，增加個人信息保護過程的透明度，樹立公司良好的社會形象［10］。這在美國等發達國家比較成熟，我國雖有起步，但很不完善，需要進一步努力。#p#分頁標題#e#   2．加強網絡個人信息的自我保護意識。保護網絡個人信息最直接有效的辦法是提高本人的個人信息意識和自我保護技能，這可通過法制宣傳、教育等方法加強［11］。   3．建立個人信息保護評估體系。筆者認為這樣一個評估體系，如同商業系統給予“放心店”等榮譽稱號一樣，將有利于進一步從鼓勵提倡的角度促進網上個人信息的保護。   4．強化網絡管制。（1）充分發揮網絡專門管理機構的作用。（2）對網絡消費者的管理：第一，實行入網賬號實名登記制，同時，對網絡消費者輸入信息進行限制；第二，通過列舉的方式規定禁止像危害國家安全、犯罪、色情等輸入的信息。（3）規定網絡服務商的義務，包括：檢查、監察、隔離、協助以及通知和報告等義務。   5．倡導正確的網絡倫理道德觀［12］。在網絡社會中，必須倡導并形成一種積極向上的技術開發風氣，樹立正確的網絡倫理道德觀，形成一種軟約束。