个人信息网络侵权归责原则的比较研究——兼评我国侵权法相关规定
发布日期:2011-09-20 文章来源:互联网
【出处】《河北法学》2011年第6期
【摘要】在个人信息保护法尚未出台之前,我国侵权法确立的网络侵权规则适用于个人信息的网络侵权,能较好地保护个人信息在网络中的安全。但是,比较考察国内外相关立法,考虑个人信息本身及网络侵权的特殊性,对其民事救济,立法应着眼于责任形式和侵权主体的不同而确立过错责任、过错推定责任与无过错责任相结合的多元归责原则,在立体式的综合运用中全面、有力地保护其网络安全。
【关键词】个人信息;网络侵权;归责原则
【写作年份】2011年
【正文】
归责原则在侵权责任法中居于核心地位,是行为人因为何种事由被要求承担责任的基本规则,借以确立责任承担的依据和责任构成要件、免责事由等。因此,要解决个人信息的网络侵权问题,研究其归责原则就不可回避。理论界对个人信息多采识别性定义,一般认为,个人信息是可以直接或间接识别本人的信息的总和,包括一个人的生理的、心理的、智力的、个体的、社会的、经济的、文化的、家庭的等等方面[1];或者,个人信息指那些能够据此直接指明或间接推断出自然人身份而又与公共利益没有直接关系的私人信息[2]。个人信息的法律保护,我国刑法制度设计已经先行一步,行政责任与民事责任的建立健全也在进行之中。由于个人信息利益本身不同于传统的生命、身体和物质财产等有物理实体的利益,加上网络侵权不同于传统侵权、问题新多于旧,所以需要综合考察他国先进的专门立法和我国既有的立法资源,以便形成后发优势。
一、国外个人信息侵权归责原则的立法例
各国及国际组织的个人信息专门保护法中,关于法律救济的规定并不相同,有的同时规定刑事、行政与民事等三种责任,有的只规定其中两种或一种,有的甚至根本没有民事救济,明确针对网络侵权的更是稀少。就民事责任形式言,多数立法限为损害赔偿,对“停止侵害、排除妨碍、消除危险、恢复原状、赔礼道歉、消除影响、恢复名誉”等几乎未做明确规定,而常以变相的义务形式隐含于信息权利与义务条款之中。对归责原则,主要立法例有以下两种:
(一)严格归责原则
多数国家与组织的立法中,一般都未明确使用“过错、过错推定或无过错”等字眼,而常以“违反本法规定的行为致人损害”为归责基础,归责标准呈现客观化、外在化的显著特点,且多以举证倒置方式推定责任的成立,免责事由多为行为与后果的因果关系不成立,较少关注过错的存在与否,总体上采取了严格归责原则。这种立法例主要有欧盟、荷兰、比利时、匈牙利、意大利等采取。
比如,根据1995年欧盟《个人数据保护指南》第23条[3],各成员国应该规定损害赔偿责任和免责要求,并以“非法处理操作和违反根据该指示所采取的国家法律”为归责基础,考虑了受害人的弱势地位,较为合理,被多数立法所借鉴。荷兰《个人数据保护法》第49条将归责基础确立为“违反本法规定之行为”、“引起损失或伤害”,减免事由为“责任方或数据管理者能够证明其伤害不是本人造成的,可全部或部分免除责任”[3]。葡萄牙《个人数据保护法》[3]、比利时《关于个人数据处理的隐私权利保护法》的规定与此区别不大[3]。意大利《有关个人和其他主体的个人数据处理的保护法》并无特别具体的规定,而通过链接立法方式,把数据主体的权利纳入民法典统一保护,并将个人数据的侵权责任纳入高危险民事侵权,作为特殊侵权并采用过错推定归责原则,赔偿范围明确包括金钱与非金钱损失,这对权利人较为有利[3]。匈牙利《个人数据保护与公共利益数据公开法》第18条确立了数据控制者的无过错责任,包括:(1)自己责任:对因处理数据造成的损失或因违反数据保护的技术性要求而给数据主体造成的损失负责。(2)替代责任:对数据处理者造成的所有损失承担责任,包括精神与财产的损害赔偿;但是,数据控制者“如果能够证明损失是由超出数据处理所能控制的并且不可避免的原因造成的,则应当免除责任”,或“因受害方故意或重大过失行为造成的那部分损失不受赔偿”[3]。
(二)多元归责原则
在分工越来越细、侵权情形越来越复杂多样的社会背景下,靠简单笼统的规定来解决侵权纠纷已不现实。与多数国家将责任主体笼统限为个人信息管理者、控制者或处理者不同,德国《联邦个人资料保护法》根据侵权主体不同,区分行政侵权行为与民事侵权行为发生的损害赔偿,分别规定归责原则与赔偿范围:前者适用无过错责任原则,放弃全额赔偿,明确最高限额;而后者适用过错责任原则,实行全额赔偿,不设最高限额,以体现主体地位的平等[1]。根据冰岛《有关个人数据的保护法》第43节规定[3],其赔偿责任也因主体不同而分两种:一是个人数据管理者的自己责任和对处理者没有过错致损的替代责任,并以违法为归责基础,属无过错性质;二是个人数据处理者的过错损害责任,由自己承担,属于过错责任。奥地利《联邦个人数据保护法》则强调过失或故意侵权等过错责任,第33条第1段规定:恶意以与该联邦法律的规定相悖的方式使用数据的管理员或处理员,应根据民法的一般条款赔偿所有人的损失;第3段规定:在受害者本身或他对别人的行为有责任而造成疏忽的情形中,应适用奥地利民法典§1304的规定[3]。该条确立数据管理员与处理员的赔偿责任以恶意为要件,并特别强调隐私利益和名誉的保护,是民法过错责任原则的具体体现。但是,该条第2段规定:管理员或处理员应对他们的雇员造成的损害承担责任,条件是其雇员行为与损害有因果关系;管理员和处理员能够证明引发损害的情形不能归责于他或他的雇员,则可免责。可见,管理员或处理员对其雇员的替代责任属于无过错性质。这种与不同责任主体相适应的多元归责之确立,体现出一种立法精细化的思路,合理可行,保护全面,值得借鉴。
二、我国相关立法与建议稿分析
(一)台湾地区《计算机处理个人数据保护法》
该法第四章对损害赔偿及其他救济进行了详细可行的规定,与德国相似,将责任主体区分为“公务机关”与“非公务机关”,从而采取不同规则。公务机关民事责任适用无过错归责原则和法定免责事由,非公务机关的民事责任采用过错推定归责原则[3]。整体上看,台湾资料法立法宗旨明确,构建了完善的权利体系,损害赔偿与救济制度操作性强。但是,其缺陷是保护客体与适用主体受到限制,尤其是法律适用比较复杂,导致不同主体的同一性质违法行为产生的法律责任可能不同[1]。
(二)香港《个人资料(隐私)条例》
该条例第65条是关于雇主及主事人的法律责任,第66条是对补偿的规定[3],明确受害人向资料使用者申索补偿责任的构成条件,以“实施了违反本条例的行为”为基础,采取过错推定归责原则,因为其免责辩护的内容包括:(1)雇主证明自己已采取切实可行的步骤,以防止该雇员做出该作为或从事该行为或在其受雇佣过程中做出该类作为或从事该类行为;(2)资料使用人证明已采取在所有情况下属合理所需的谨慎措施,以避免有关的违反规定事项发生;(3)在因有关的个人资料不准确而发生的有关违反规定事项的个案中,资料使用人证明:该个人资料准确地记录有关自己从资料当事人或第三者处所收到或取得的资料的。
(三)专家建议稿评介
我国现在有两部个人信息保护法专家建议稿,一由周汉华教授主持草拟;二由黄进教授主持、齐爱民教授执笔(严格说,加上齐爱民教授独自草拟的建议稿,共有三个草案,但此处只讨论两个。参见齐爱民:《中华人民共和国个人信息保护法示范法草案学者建议稿》,载《河北法学》,2005年第6期。)[4]。
周汉华教授的建议稿在法律责任部分着重规定了刑事与行政责任,但在第63条与第64条规定有民事救济,以“违反本法”为基础,采用无过错责任,并确立政府机关或其他个人信息处理者对信息主体的责任形式为停止侵害、消除影响和损害赔偿[5],其归责原则、责任主体与多数国家立法相同。
黄进教授和齐爱民教授的建议稿在第五章中规定了民事责任,集中在第54条、第55条和第60条(2009年5月在重庆大学举办的“中国个人信息保护立法国际论坛”论文集(未出版)中黄进教授主持、齐爱民教授执笔的《中华人民共和国个人信息保护法专家建议稿》。)。该稿内容丰富,体系完整,用语明确清爽,结构与思路方面借鉴了台湾等立法的一些合理元素,尤其确立有完整的主体制度,涉及多方面的个人信息法律关系,与既有的民法规定衔接合理,较为可行。其中,责任主体分为两类:对国家机关、法律法规授权的组织侵权的,采取无过错归责原则,适用国家赔偿法,免责事由仅限于不可抗力;对自然人、法人或其他组织的侵权责任,采取过错推定归责原则。但二者承担的责任形式一样,包括停止侵害、消除影响、损害赔偿等民事责任。第54条第3款还规定了工作人员出售或非法传输或披露任职期间因处理个人信息所获知的个人信息造成损害的连带赔偿责任,依然是无过错性质,但国家机关、社会组织向信息主体赔偿后,有权向工作人员追偿。第60条规定,第三人窃取或者以其他方法非法获取个人信息给信息主体造成损害的,承担赔偿责任;个人信息的处理系统存在不合理的安全漏洞是造成损害的原因之一,信息管理者承担连带赔偿责任,并有权向第三人追偿。可见,第三人责任实行过错归责,而信息管理者因过错而连带。
(四)大陆现有法律渊源
《民法通则》关于人格权的规定是保护个人信息的主要法律渊源,但由于立法时间与背景的限制,并未明确界定个人信息。2002年12月23日第九届人大常委会首次审议的民法典草案明确界定了私人信息、私人活动与私人空间,并归之为“隐私”范畴[1]。2009年12月26日通过、自2010年7月1日起施行的《中华人民共和国侵权责任法》(以下简称侵权法)也未使用和界定“个人信息”。全国人大颁布的《关于维护互联网安全的决定》和2000年信息产业部施行的《互联网电子公告服务管理规定》使用了“数据资料”和“个人信息”概念,表明个人信息的独立客体地位为立法者所承认,在个人信息保护历史上意义重大,改变了以往通过保护人格和隐私而间接保护个人信息的思路[1]。此外,其他法律渊源还有:《传染病防治法》、《电子签名法》、《拍卖法》、《保险法》、《行政许可法》、《监狱法》、《税收征收管理法》、《统计法》等相关条文。
三、我国侵权法与个人信息网络侵权
在我国尚未颁布专门法以及将来的专门法没有规定的情况下,对个人信息网络侵权的救济,侵权法作为普通法,具有重要的作用。
(一)侵权法第2条
侵权法第2条确定其保护范围为民事权益,包括人身和财产两个方面。因此,不论将个人信息的保护基础归为人身权还是财产权,或者仅是一种利益,作为信息主体的民事权益,都可依此获得保护。
(二)侵权法第36条
侵权法第36条第一次以基本法的形式确立了网络侵权责任规则,对网络侵权的规制具有重大历史意义,对个人信息网络侵权的救济作用也当仁不让。
1.第1款。该款规定:“网络用户、网络服务提供者利用网络侵害他人民事权益的,应当承担侵权责任。”单文义解释讲,很容易据此认定网络侵权采取无过错归责原则。因为侵权法第6条第1款、第2款分别确立过错和过错推定归责原则,第7条确立无过错归责原则:“行为人损害他人民事权益,不论行为人有无过错,法律规定应当承担侵权责任的,依照其规定。”在结构上,第36条位于第四章“关于责任主体的特殊规定”中,从侵权主体与侵权环境出发,专门规定网络用户、网络服务提供者利用网络侵害他人民事权益的侵权责任,是对第四章以前的一般规定做出的特别规定;但是该款没有提到以过错为归责基础,整部侵权法又未对过错进行界定,所以将其理解为第7条中的“法律规定应当承担侵权责任的,依照其规定”就在所难免了。但是,从整体解释看,第五章才开始特殊侵权类型的列举规定,第四章属于侵权法一般规定之总论到列举特殊侵权类型之分论的过渡部分,所以第36条的网络侵权责任虽然比较特殊,但在我国侵权行为的“一般侵权与特殊侵权”之二元格局中,网络侵权行为还不属于特殊侵权,而作为一般侵权依然适用过错归责原则。因此,第36条是对过错责任原则的特别规定,第1款并无内含网络侵权责任构成要件之意,而仅是原则性规定以宣示网络用户与网络服务提供者会承担直接的网络侵权责任[6],这尽管因侵权法第1、2条的宣示已可涵盖而使此规定略显多余,但仍可表示强调之意。
2.第2款。该款规定:“网络用户利用网络服务实施侵权行为的,被侵权人有权通知网络服务提供者采取删除、屏蔽、断开链接等必要措施。网络服务提供者接到通知后未及时采取必要措施的,对损害的扩大部分与该网络用户承担连带责任。”笔者称此为“通知与取下”程序,确立了网络服务提供商的间接侵权责任与网络用户直接侵权责任发生连带的条件:网络用户实施了网络侵权行为并造成损害,被侵权人通知网络服务提供商采取必要措施,网络服务提供商接到通知而未及时作为并造成损害扩大,损害扩大与不作为有因果关系。“接到通知后未及时采取必要措施”是归责基础,也是过错的客观体现,因此该连带责任是一种过错责任,形式表现为赔偿损失。而因违反“及时采取必要措施”义务所产生的“删除、屏蔽、断开链接”等责任形式则是停止侵害、排除妨碍、消除危险、恢复原状的具体表现,属于网络服务提供商的单独责任,不与网络用户发生连带,也不以产生损失为前提。据此,适用于个人信息的网络侵权,对于赔偿损失的连带责任,信息主体需证明网络用户与网络服务提供商存在过错;对于“删除、屏蔽、断开链接”等责任之主张,信息主体只需证明网络服务提供商得到通知后产生了该法定义务并违反之即可,而不用关注有无过错,所以,该责任实质上属于无过错性质,直接依法律特别规定而产生,这与多数国家的个人信息保护法殊途同归,也符合非损害赔偿责任的归责要求[7]。
3.第3款。“网络服务提供者知道网络用户利用其网络服务侵害他人民事权益,未采取必要措施的,与该网络用户承担连带责任。”笔者称此为“知道与取下”程序,“未采取必要措施”的归责基础少了第2款中“及时”的要求,因为在知道而不用被侵权人通知的情况下,网络服务提供者应当随时采取必要措施;同时,对于网络服务提供者知道用户侵权而不为的,责令其采取“删除、屏蔽、断开链接”等必要措施和承担连带赔偿损失的责任,都采一般过错责任原则。但是,不同于第1款中网络服务提供者“接到通知而不及时采取措施”的过错,此处网络服务提供者存在的“知道网络用户侵权而未采取必要措施”之过错,由于内在主观性太强,由信息主体进行举证,负担过重,不利于平衡信息主体与网络服务商的强弱关系;而且,对于“删除、屏蔽、断开链接”等必要措施的采取,以权利人证明对方存在过错为前提[7],显然不利于事前预防和事中控制个人信息的网络侵权。当然,若难以证明,被侵权人可据第2款发出侵权通知,但是,这又对网络服务提供商接到通知以前造成的扩大损失难以向其追究。可见,尽管第2款从“外在通知”的被动他律、第3款从“内在知道”的主动自律两个方面要求网络服务提供者采取措施、为被侵权人的权利保护进行双保险;但在“反通知”程序的约束下(《信息网络传播权保护条例》第16条体现了反通知制度,即网络服务提供者接到权利人通知后,同时将通知转送给相应的网络用户,如果该用户认为自己未侵权,可向网络服务提供者提交书面说明,要求恢复被删除的内容或恢复链接。),被侵权人是否发出侵权通知,需要像法官与律师一样作出专业的审查与判断,进行利益平衡和博弈,且都不能圆满。对于没有得到权利人根据第2款发出的通知的网络服务提供商,也得同样审查与博弈后决定是否主动采取必要措施,并承担是否侵权的审查判断义务及判断不准的不利后果,而不同种类的网络服务提供商具有不同的能力,至少对一部分不算强大的网络服务提供商而言,这不能不说是一种“无法承受之重”的连带责任[8]。对此,网络服务提供商因不具备侵权与否的专业判断能力而不知道信息侵权的情况,是否被法官认定为“知道”中的“应知”之意就很关键;而被侵权人需证明其“知道”而不为的主观过错,又是一个极具实务操作性的难题,法官应综合网络服务提供者的不同类型和保护对象等采用不同标准(王胜明先生认为:“从法解释学角度来讲,‘知道’可以包括‘明知’与‘应知’两种主观状态。”王胜明:《中华人民共和国侵权责任法解读》,北京:中国法制出版社,2010年版第185-186页。)[6],力求平衡网络用户、网络服务提供商与信息主体之间的利益关系。所以,笔者建议,对于个人信息网络侵权,对该款中“采取必要措施”、“与该网络用户承担连带责任”的适用,应明确规定过错推定责任为一般归责原则;对一些特殊的网络服务提供商,比如网络技术服务提供商,可以例外规定某些一般过错责任。
(三)侵权法第61、62条
在列举式规定特殊侵权责任部分,侵权法第61条第1款规定医疗机构及其医务人员具有依规定填写与保管病历的义务,第2款确立患者的病历查阅权与复制权、以及医疗机构的病历提供义务;第62条先设立医疗机构及其医务人员对患者的隐私保密义务,随后明确规定违反该法定义务、“泄露患者隐私或者未经患者同意公开其病历资料,造成患者损害”的侵权责任,采用无过错归责原则,不同于第54条确立的因诊疗活动致损而产生的过错责任。这从保护客体的角度为个人信息侵权救济打下了基础,但是隐私、病历资料并不等于所有个人信息,所以该规定对个人信息的保护有限。
(四)总结评价
在没有个人信息保护法的专门规定之前,对个人信息的网络侵权救济,符合侵权法第61、62条的特殊规定时,应优先适用该规定,采取无过错归责原则;符合第36条第2、3款关于过错责任的特别规定时,依其规定由被侵权人选择“通知与取下”或“知道与取下”程序,第2款中非损害赔偿责任适用无过错归责原则,第2款的损害赔偿责任和第3款确立的全部责任适用过错归责原则;其他情况下,主要以个人信息利益为客体,依据第2条、第6条第1款和第36条第1款的原则性规定获得保护,适用一般过错责任原则。侵权法确立了多元的归责原则与责任形式,采用一般条款的原则规定与类型化的特别规定相结合的模式,具有与时俱进的进步精神与历史意义,对个人信息利益的保护及其网络侵权规制提供了明确依据。但是,该法不因侵权主体的不同而有区别,没有考虑一般网络用户、网络服务提供商的不同类型、政府机关与其他个人信息处理者在网络侵权中的不同情况,也没有区分不同责任形式的归责前提,相较于其他国家、组织和我国香港、台湾的专门立法而言,对网络中个人信息的保护过于笼统、模糊,需在个人信息专门立法时进一步细化、完善。
四、确立个人信息网络侵权的多元归责原则
(一)侵权行为类型与归责原则
依据《民法通则》,我国民法将侵权行为分为一般侵权与特殊侵权两大类型,分别适用过错责任原则与无过错或过错推定责任原则[9]。笔者认为,一般侵权与特殊侵权的区分标准主要看立法方式,前者为概括式的一般条款立法,后者为列举式的特别规定,而随着社会的复杂化,会相继出现新的特殊侵权行为类型。所谓“特殊”并非一定是“不一样”、甚至“相反、矛盾”的意思,而更多指“具体情况”,故“特殊侵权行为”可在一定意义上叫做“具体侵权行为”。尽管特殊侵权行为在法律要件、法律效果和免责事由等方面被特别规定,但并非指这些方面绝对不同于一般侵权行为。由于立法技术以及部门法调整的内容不同等原因,有些侵权行为会因一般法与特殊法的同时规定而发生竞合[10]。所以,归责原则和侵权行为类型并不存在必然的对应关系,而是出现一种综合交叉的复杂趋势:一般侵权行为的归责事由是过错,但特殊侵权行为的归责事由也可能包含过错,只是此外更加突出虽无过错但因行为本身的危险、基于公平的考量等由法律特别规定予以分配的严格责任。事实上,我国侵权法在一些特殊侵权责任中,也会适用多种归责原则,比如第七章医疗损害责任就包括过错责任和严格责任[11]。
依侵权法的规定,个人信息的网络侵权可归于一般侵权行为,但由于侵权主体特殊而特别规定了“通知与取下”、“知道与取下”程序。民事主体包括自然人、法人与非法人组织,本无特殊而言,但因民事行为的环境、特点及民事主体的经济实力、所在行业性质等具体有别而有不同,故此处侵权主体之“特殊”在于其是通过网络实施侵权行为的网络用户与网络服务提供商,而不在现实物理世界进行侵权的主体,更不是指网络侵权构成像产品侵权、环境污染、医疗损害等一样的特殊侵权行为类型。但是,现实远比立法复杂得多。网络中个人信息利益易受侵害、损害后果难以控制、权利主体因信息不对称和技术能力弱等举证困难、信息管理者具技术优势等特点决定,一旦网络侵权行为发生,信息管理者应承担过错推定或无过错等严格责任,多数立法例也正如此;但对一般网络用户侵权,基于侵权人与被侵权人之间的实质平等地位,一般适用过错责任。因此,个人信息的网络侵权不能简单地被归为一般侵权与特殊侵权,而作为一个专门领域,应确立多元归责原则,视具体情况进行规定,以求全面、有力地保护个人信息在网络中的安全。
(二)责任形式、侵权主体与归责原则
《民法通则》专设一节规定民事责任形式,但未明确各种形式的适用条件与原则,直至知识产权的侵权责任适用中凸显了责任形式与归责原则的匹配性问题,大家才开始讨论“停止侵害”等物权主张应适用无过错责任原则、“损害赔偿”等债权主张应适用过错责任原则[7]。笔者认为,我国个人信息侵权责任的归责原则也应着眼于责任形式与责任主体的不同,以确定多重归责原则立体式的综合运用。根据侵权法第15条列举的8种责任形式,外加既有的精神损害赔偿、惩罚性赔偿等,都可能适用于个人信息网络侵权的一般与特殊侵权责任当中。其中,“停止侵害、排除妨碍、消除危险、恢复原状、消除影响、恢复名誉”应以无过错责任为一般归责原则,且适用于所有侵权主体。“赔礼道歉、赔偿损失”则视侵权主体而论:对一般网络用户侵权采过错归责原则;网络服务提供商侵权的,以无过错责任为主,但不排除过错责任,比如考虑网络内容服务提供者与网络技术服务提供者的具体区别而作不同规定;对于政府机关侵权的,则采用无过错责任原则。由于有些个人信息一旦公开或被删除就可能在保密、恢复等方面出现不可逆性、网络传播损害后果严重而难以控制等特点,所以不同于非信息性质的生命、身体与物质财产等利益以事后赔偿为主的保护方式,个人信息的网络侵权救济,应以预防性和赔偿性救济并重,正如我国两个建议稿都明确列举“停止侵害、消除影响和损害赔偿”等责任形式一样,应兼顾两个方面,以求全面保护个人信息。
【作者简介】
刁胜先,重庆邮电大学法学院副教授。
【注释】
[1]齐爱民.拯救信息社会中的人格——个人信息保护法总论[M].北京:北京大学出版社,2009.97,50,67-68,116,116-117.
[2]刘德良.个人信息及法律保护.//www.civillaw.com.cn/article/default.asp?id=42444,2009年9月16日访问。
[3]周汉华.域外个人数据保护法汇编[M].北京:法律出版社,2006.53,264,290-292,147、159,229、236-237,210,176-177,100、112-113,403-404,458.
[4]齐爱民.中华人民共和国个人信息保护法示范法草案学者建议稿[J].河北法学,2005,(6).
[5]周汉华.中华人民共和国个人信息保护法(专家建议稿)及立法研究报告[M].北京:法律出版社,2006.
[6]王胜明.中华人民共和国侵权责任法解读[M].北京:中国法制出版社,2010.180.
[7]郑成思.知识产权论?第三版[M].北京:法律出版社,2007.194-198.
[8]梅夏英.网络服务提供者侵权中的提示规则[J].法学杂志,2010,(6).
[9]王家福.民法债权[M].北京:法律出版社,1991.236以下.
[11]江平.民法学[M].北京:中国政法大学出版社,2007.575.
[12]王利明.我国《侵权责任法》归责原则体系的特色[J].法学论坛,2010,(2).