个人信息保护与侵权责任的原则-民法典编纂成果

民法应为个人信息权提供较为积极的保护，即民法不仅要对个人信息权的权利内涵、权利适用等方面作出明确的规范，还要为个人信息保护设计全面的合同法保护制度以及为其构建完整的侵权责任承担方式，从而为个人信息权提供全方位的、充分的保护。

1.合同法保护

随着个人信息所具有的财产内涵被越来越多的人所承认，个人信息也已经在一定程度上进入了市场，参与了市场交易。如果信息控制人因为收集、处理、利用、传递其他信息主体的个人信息而获得财产性利益，信息主体还可以基于不当得利制度的规定要求信息控制人向其返还不当得利。

（1）个人信息许可使用合同中的必备条款。

在信息主体和信息控制人的关系中，利益天秤在信息主体向信息控制人披露个人信息的那一刹那会发生大幅度的反向改变。在披露个人信息之前，信息主体无疑处于利益关系优势地位，他完全掌控自己的个人信息。除非基于自己的意愿，正常情况下他人一般无法获得。而一旦对个人信息进行了披露，利益优势地位就发生了逆转。信息控制人不再受制于信息主体——他们所曾经期待的获取信息的状态已经变为现实。此时，他们完全掌控自己手中个人信息资料的流向。所以，从利益均衡的角度考量，对于畸轻畸重的利益关系要予以重新校正——在事实上给予信息主体一定的控制能力，给信息控制人的处理、利用行为划定一个明确的界限。

（2）个人信息许可使用权的性质与边界。

通过个人信息许可使用而获得的使用权，具有使用范围的边界。这个范围边界有广义和狭义两个层次。广义的边界是一种抽象的边界，要求个人信息的收集和使用谨遵民法之诚实信用，不违背社会公共秩序和善良风俗。狭义的边界是一种具象的边界。一般情况下，在个人信息的收集时，会在许可使用合同中指明收集和使用个人信息收集的目的。个人信息的收集和处理受到该目的范围的约束。这也是目的特定原则和限制使用原则的内发性要求，个人信息的收集和处理应该依据明确的、特定的目的进行，不得超越目的范围进行个人信息的收集、处理和利用。

（3）个人信息妥善保管义务。

在互联网得到空前普及的今天，利用公共网络资源进行数据传输成为很多企业的首选方式。信息软、硬件技术不断更新换代，这使得个人信息资料很容易在中途被截获用于非法目的。而个人信息数据库或者本地局域网络也面临被黑客攻击的潜在风险。所以，在交易中个人信息的安全，尤其是信息保密是备受关注的问题。^[18]双方当事人若在个人信息许可使用契约中约定了具体的保密措施的情形，这里不予讨论，因为属于双方当事人意思自治的范畴。而对于属于附随义务的个人信息资料的妥善保管保密义务，法律应该给予底线标准。此底线标准一般有两个层次的内容：其一，对于担负特定职责的人有职业义务要求，即数据处理人员要严格遵守保密义务；其二，在物理上、技术上都要采取相关措施，例如物理上对进入存储区域的门禁和身份认证措施，组织上对可以获得数据机构的级别限制，计算机技术上的信息密码和对非正常活动的监控等。

2.侵权法保护

虽然我国现行立法未曾系统地对侵害信息主体的个人信息权益的问题予以规制，但是基于我国侵权责任制度的保护民事主体合法权益的立法宗旨与相关制度规则，以及我国侵权责任法的基本原理，侵权法可以承担起对个人信息的保护作用。

（1）个人信息侵权的概念。

侵权行为总是与现代科技手段相联系，且侵权主体又具有任意性。因此，笔者认为，有必要对个人信息侵权行为的概念进行全面解读。

首先，个人信息侵权行为的实施主体既可以是公权机关，也可以是非公权机关。其次，个人信息侵权行为是造成信息主体遭受精神性损害或财产性损失的行为。个人信息是一切可以识别信息主体的信息的总和，个人信息不仅仅体现着信息主体的人格尊严与自由，还蕴含着信息主体重要的财产利益。因此，个人信息侵权行为既可能造成信息主体遭受精神性损害，也可能导致信息主体遭受财产性损失。

综上所述，个人信息侵权行为，即侵害个人信息权的行为是指公权机关违反法定义务，非公权机关基于主观过错违反法定或约定义务侵害他人个人信息权，致使信息主体遭受精神性损害或财产性损失依法应当承担侵权责任的行为。

（2）个人信息侵权的归责原则。

个人信息收集、处理和利用中侵犯信息主体个人信息权的归责原则，绝大多数国家和地区采用了过错责任原则。^[19]以过错为归责的价值判断因素，已经成为个人信息立法中的主流趋势。

笔者认为，个人信息侵权应该适用过错责任原则。个人信息侵权和其他普通侵权行为具有内在一致性，它们不具备适用无过错责任原则的客观条件基础。无过错责任原则的产生和发展是以社会化大生产，尤其是大型危险性工业的兴起为社会背景的。由个人信息的收集、处理和利用等环节构成的个人信息流转过程并非高危行业，“不存在高度危险行为、转承责任等情形”^[20]，并不适用无过错责任原则。(www.xing528.com)

（3）个人信息侵权的构成要件。

个人信息侵权的构成要件有四：过错、加害行为、损害事实，以及行为与损害事实之间的因果关系。

第一，过错。

个人信息侵权中，侵权人的主观过错也分为两种：故意与过失。对故意的判断相对直观与简单，如未经他人同意擅自收集他人的个人信息，私自对他人个人信息进行处理，超越收集目的范围对个人信息进行利用，擅自将个人信息披露给第三人。对于过失来讲，有两个判断标准，即善良管理人标准与法定标准。

善良管理人标准，“从内容上看，认定过错的客观标准既不是‘最高的行为标准’，也不是‘一般标准’，而应当采取‘中等偏上’的标准”^[21]。在个人信息流转中，在个人信息收集、处理和利用的各个环节，所涉及的信息控制人、信息接收人等也需要具备与个人信息收集、处理和利用相适应的基本条件和能力，符合一般性的行为准则。

法定标准，是指法律或者行业标准对行为人特定行为的注意义务之规定，将这样的规定作为判断过失的标准。一旦违背了这些实定法规则，即可认定过失的存在。目前，我国立法机关和信息行政管理部门也意识到了个人信息流转中收集、处理和利用行为标准的重要性，《草案》已经有规定，工信部已经出台了相关的行业标准，以规制对个人信息的各种操作行为。

第二，加害行为。

在个人信息侵权中，加害行为的样态复杂，可能出现在个人信息的收集、处理、利用的各个环节。总体上看，侵犯个人信息权的致害行为有三种类型：个人信息的不当收集、个人信息的不当处理与个人信息的不当利用。

首先，个人信息的不当收集包括个人信息的过度收集和非法收集。过度收集是指在明示的收集目的范围之外对个人信息的私自收集。非法收集则可能涉及收集的目的不合法或者收集的手段不合法两种情形。其次，个人信息的不当处理主要包括个人信息保存不善造成的信息泄漏，超越目的范围对个人信息的持有、使用、加工和修改等情况。最后，个人信息的不当利用主要涉及未经信息主体同意，以营利为目的擅自将其个人信息转让给第三人，或者与第三人信息共享的行为。

第三，损害事实。

侵犯个人信息权可能造成多重损害事实。^[22]那么，对个人信息权的侵犯可能会对信息主体造成多重损害：既造成了财产利益的损失，又造成了精神利益的损失。受害人因此可以享有数个赔偿请求权。

在损害事实认定方面，个人信息侵权中，应当由主张受到权利侵害的信息主体承担举证责任，对其受到的损害提供证明。对于个人信息侵权所造成的财产损失的判断相对简单，例如可以根据个人信息许可转让市场的一般市场价格、信息控制人利用个人信息所获取利润等因素来确定其损失的大小。但是，对于人格的精神利益的损害与信息主体因个人信息权被侵犯所遭受的精神创伤和精神痛苦，则相对困难。因为在信息主体个人信息被不当收集、处理和利用的情况下，往往只是产生了不同程度的精神担忧和对生活环境的不安，并没有引起明显的身体健康方面的不良症状。此时的损害主要表现为一种精神担忧与心理不安的精神状态，如果法律要求受害人具体举证证明该损害状态的存在，除非发生了一些明显的身体病症，如血压疾病、心脏疾病、流产等，否则，在大部分状态下是难以实现的。

第四，因果关系。

就个人信息侵权而言，侵害个人信息权的行为与损害后果之间的因果关系是比较容易认定的，因果关系的一般理论完全可以解决其因果关系的认定问题。个人信息收集主体处理、利用个人信息的行为与损害结果之间具有直接因果关系的，无须再适用其他因果关系规则判断，直接确认其具有因果关系。在个人信息侵权中，一因一果的因果关系类型是最常见的情形，内容相对简单，也比较容易进行判断。若个人信息收集、处理、利用行为与损害结果之间有其他介入条件无法确定直接原因的，则可使用相当因果关系理论进行判断，即加害行为是否为损害结果发生的适当条件，若是，则认定行为与结果之间存在因果关系。该适当条件是指其为引起损害所不可缺少的因素，“以行为时存在而可为条件之通常情事或特别情事中，于行为时吾人智识经验一般可得而知及行为人所知情事为基础，而且其情事对于其结果为不可缺之条件，一般的有发生同种结果之可能者，其条件与其结果为有相当因果关系”^[23]。这也意味着，按照行为时一般社会经验和知识水平作为判断标准，若认定此行为可能引起个人信息侵权损害结果的发生，而客观的此行为确实也引起了该损害后果，那么两者之间即存在因果关系。

（4）个人信息侵权责任的形式。

从民事关系中主体之间的关系来看，侵权责任的承担是义务人重要的民事责任承担方式，更是权利人的一种重要民事权利保护手段。《侵权责任法》第十五条规定：“承担侵权责任的方式主要有：（1）停止侵害；（2）排除妨碍；（3）消除危险；（4）返还财产；（5）恢复原状；（6）赔偿损失；（7）赔礼道歉；（8）消除影响、恢复名誉。以上承担侵权责任的方式，可以单独适用，也可以合并适用。”

依据个人信息的特点，在以上8种侵权责任形式中，能够适用于个人信息权侵权救济的主要有停止侵害、消除危险、赔偿损失以及赔礼道歉4种形式。