民法典視角下個人信息侵權法保護
發(fā)布時間:2020-10-06 來源: 工作計劃 點擊:
數(shù)據(jù)共享越來越成為互聯(lián)網(wǎng)經(jīng)濟的普遍現(xiàn)象。但是,數(shù)據(jù)共享也額外產(chǎn)生一種“事實不確定性”的風險。在損害的風險現(xiàn)實化之后,此種不確定性又進一步妨礙了信息主體獲得法律救濟。對此,清華大學法學院博士研究生阮神裕在《民法典視角下個人信息的侵權法保護——以事實不確定性及其解決為中心》一文中,從解釋論的角度,論證了《民法典》第 1170 條的規(guī)定在大數(shù)據(jù)時代個人信息的侵權法保護領域中所具有的關鍵性作用,并對未來我國個人信息保護法的規(guī)定提出立法建議。
險 一、個人信息泄露的事實不確定性現(xiàn)象及其風險
數(shù)據(jù)共享會產(chǎn)生“事實不確定性”的風險,即信息主體對于其哪些個人信息將被收集、收集之后如何處理,以及這些數(shù)據(jù)將在哪些機構(gòu)與平臺間共享等情形往往難以知悉。
在自然人和信息控制者之間存在明顯的信息不對稱。這是因為一方面,在收集與處理個人信息時,由于告知同意原則缺乏實效性,信息控制者并未真正保障信息主體的知情權。另一方面,信息安全技術標準的專業(yè)性與科學性使得自然人客觀上也不具備分析信息控制者是否滿足相關標準的能力。當潛在損害的風險現(xiàn)實化之后,關于信息處理行為的事實不確定性又進一步妨礙了信息主體獲得法律救濟。如果堅持證明責任分配的基本規(guī)則,自然人將因無法證明侵權責任的
成立要件而無法獲得救濟;如果為了救濟受害人,在其無法證明責任成立的要件事實的情況下,也要求信息控制者承擔責任,又勢必妨礙信息控制者的營業(yè)自由。是否以及如何為個人信息提供侵權法保護,本質(zhì)上就是 協(xié)調(diào)信息主體的權益保護與信息控制者。
的行為自由之間的緊張關系的問題。
端 二、司法實踐中減輕信息主體證明責任的方法及其弊端
據(jù) (一)轉(zhuǎn)換證明責任欠缺法律依據(jù)
由于自然人對個人信息的收集、處理的實際情況和相關技術知識的掌握程度非常有限,證據(jù)以及必要的科學技術知識往往掌握在信息控制者手中,所以有觀點認為,在個人信息泄露的案件中應當轉(zhuǎn)換當事人的證明責任。然而,無論是法院根據(jù)具體個案進行裁量,還是通過法律加以明文規(guī)定,兩種轉(zhuǎn)換證明責任的做法均存在缺陷。
第一,由法院根據(jù)具體個案裁量轉(zhuǎn)換當事人的證明責任欠缺。
合法依據(jù)。根據(jù)《民事證據(jù)規(guī)定》第 7 條的規(guī)定,法院根據(jù)自由
裁量權確定證明責任分配的前提條件是“在法律沒有具體規(guī)定,依本規(guī)定及其他司法解釋無法確定舉證責任承擔”。而根據(jù)《民法典》第 1165 條第 2 款和第 1166 條的規(guī)定,如果法律沒有明確規(guī)定,則均屬于第 1165 條第 1 款的過錯責任。故此,法院不享有將過錯要件的證明責任轉(zhuǎn)換給被告的自由裁量權。
其二,采用法律明文規(guī)定的方式轉(zhuǎn)換證明責任的觀點本身也欠缺合理性。一方面,該觀點只討論了因果關系要件的證明責任轉(zhuǎn)換,卻沒有說明泄露行為與過錯這兩個要件的事實不確定性應如何處理。另一方面,個人信息泄露的案件有不同的類型。有一些個人信息泄露案件中存在數(shù)個信息控制者,涉及侵權法上“擇一的因果關系”的證明難題;還有一些個人信息泄露案件中只有一個信息控制者,只是單純的原告難以完成其證明責任。但前述觀點沒有對前述兩種案件類型進行必要的區(qū)分。
性 (二)降低證明標準不具合理性
證明標準降低說的支持者認為,在信息主體已經(jīng)提出相當?shù)淖C據(jù),證明其主張事實具有“較大可能性”,但是因為客觀條件限制無法繼續(xù)舉證時,就可以認為信息主體已經(jīng)完成了證明責任。
證明標準降低說在信息主體起訴某個唯一收集了其個人信息的信息控制者的場合具有適用的余地。
但在存在多個信息控制者的情況下,會出現(xiàn)大幅度地降低證明標準的不合理現(xiàn)象。如在龐理鵬與北京趣拿信息技術有限公司等隱私權糾紛上訴案的裁判理由中,將曾經(jīng)收集了涉案個人信息的三家公司視為一個整體,來與第三人進行比較。可問題在于,這三家公司是三個獨立的民事主體,不能當然地將它們作為一個整體來分析整體泄露個人信息所具有的高度可能性。倘若剝離掉將三家公司作為一個整體的預設,那么由于信息主體沒有提供額外的證據(jù),故而在抽象概率上,三家公司泄露個人信息的可能性各為 33.3%。將證明標準大幅度地降低至 33.3%以下,顯然是不合理的。
用 三、共同危險行為的類推適用
第 (一)《民法典》第 1170 條語義范圍與理論基礎的限制
由于個人信息泄露案件中的事實不確定性超出《民法典》第1170 條的規(guī)定所涵攝的語義范圍,因此, 直接適用共同危險行為。
的路徑存在一定的障礙。
一方面,按照文義解釋,原告應當證明各個被告已經(jīng)實施了危及他人人身、財產(chǎn)安全的行為。但若各個被告各自“是否泄露個人信息”屬于無法查明的事實,則直接適用《民法典》第 1170 條存在明顯的困難。
另一方面,直接認定收集與處理個人信息的行為構(gòu)成第 1170條的“危及他人人身、財產(chǎn)安全的行為”,不符合現(xiàn)行學說對共同危險行為制度理論基礎的認識。的確,在大數(shù)據(jù)時代,個人信息的收集與處理行為帶來了一定的風險,故法律有必要承認個人信息之上承載著一種防御性利益。但是,這些風險不屬于“只要盡到足夠的注意義務就可以預防發(fā)生的一般風險”,而是由于當前信息安全技術的限制而難以完全避免的風險。而且,如果沒有第三人的不法行為,正常的個人信息收集與處理行為本身并不具有“造成損害的高度可能性”。
。ǘ┕餐kU行為理論基礎的重構(gòu)及個人信息侵權案件中用 的類推適用
共同危險行為制度之所以在舉證上對受害人加以特殊的保護,根本原因在于各個行為人所實施的行為相互聯(lián)結(jié),造成了“ 證據(jù)損害現(xiàn)象”,從而使受害人陷于無法辨別誰是真正的加害人的困境。
這一舉證困境不能由無辜的受害人承擔,而應當由造成這種困境的行為人來承擔。因此,立法者允許受害人將所有行為人所實施的行為視為一個整體,只要證明各個行為人的“整體行為”與權益侵害的因果關系成立,即可推定“個別行為”與權益遭受侵害之間存在因果關系。
在這樣的理論背景下,如前文所述,一旦發(fā)生個人信息泄露,自然人根本無從發(fā)現(xiàn)泄露發(fā)生在哪個環(huán)節(jié)。數(shù)個信息控制者共享或者共同參與同一個人信息的處理的行為,與其他典型的共同危險行為在證據(jù)損害現(xiàn)象上具有實質(zhì)上的相似性。故在這類案件中,可以類推適用共同危險行為制度:
自然人可以將共享個人信息或者共同參與同一個人信息處理的數(shù)個信息控制者視為一個整體,證明該行為整體與權益侵害之間的因果關系成立,即可 推定各個
信息控制者的個別行為與受害人的權益遭受侵害之間存在因果。
關系。
定 四、未來我國個人信息保護法的規(guī)定
由于通過類推適用《民法典》第 1170 條之規(guī)定的論證思路較為復雜,在當前的司法實踐背景中,法官采用類推適用的法律解釋方法可能會帶來額外的“錯案”風險。加之個人信息泄露引發(fā)的民事訴訟案件將會逐漸增多。因此有必要在將來我國個人信息保護立法中,在單行法“個人信息保護法”中特別規(guī)定下述條款:數(shù)個信息控制者參與同一處理行為造成損害,自然人無法查明誰具體造成損害的,各個信息控制者承擔連帶責任。信息控制者可以證明損害確實不是由自己引起的,不承擔賠償責任。理由在于:
首先,該規(guī)定的理論基礎與共同危險行為一致,均是由于信息控制者所實施的行為造成證據(jù)損害現(xiàn)象,因而對此承擔舉證上的不利益。其次,雖然自然人不必確切地證明誰泄露了個人信息,但是必須證明數(shù)個被告曾經(jīng)收集與處理其個人信息,以及其遭受的實際損害是由于這些個人信息的泄露造成的。再次,信息控制者可以通過證明自己沒有泄露個人信息而免責,而不必證明誰是
具體的加害人。最后,《民法典》對個人信息保護所作的規(guī)定,是對個人信息保護的原則性規(guī)定。本文所建議的條款,不僅非常具體,同時也是民事責任的一項制度,不宜規(guī)定在人格權編中,但可以交由“個人信息保護法”詳細規(guī)定。
論 五、結(jié)論
在侵害個人信息的民事糾紛中,自然人無法證明侵權的信息控制者是誰,以至于難以獲得救濟。司法實踐對此所采取的轉(zhuǎn)換證明責任、降低證明標準等方法均無法提供妥善合理的解決方案。宜重新闡釋共同危險行為的理論基礎,通過類推適用共同危險行為制度,為受害人提供充分救濟。未來我國的個人信息保護法應對此作出相應規(guī)定,數(shù)個信息控制者或處理者參與信息處理引發(fā)個人信息泄露的侵權責任的,應當對信息主體承擔連帶責任。
熱點文章閱讀