程啸：如何保护作为人格权的个人信息权益？

发布日期：2024-09-19 17:20

来源类型：小品一家人 | 作者：Lucy-Jane

【澳门金牛版正版资料大全免费】【新澳开奖记录今天结果】【2024年新澳门王中王资料】【管家婆最准一肖一码】【新澳彩开奖结果查询】【港澳最快结果查询】【4949澳门免费资料大全特色】【2024今晚澳门特马开什么号】【澳门传真内部绝密信封192期】【2O24澳彩管家婆资料传真】

【494949澳门今晚开什么】 【2024新澳免费资料】 【2021年澳门另版输尽光】

程啸

法学博士；清华大学教授、博士生导师；清华大学法学院副院长、不动产法研究中心主任、个人信息保护与数据权利研究中心主任；教育部长江学者特聘教授。主要研究领域为侵权法、人格权法、个人信息保护法、网络法、物权法、担保法、不动产登记法等。

先后参与《物权法》《侵权责任法》《民法典》《个人信息保护法》《不动产登记法》等法律法规和相关司法解释的起草论证工作。出版《人格权研究》《个人信息保护法理解与适用》《侵权责任法》《担保物权研究》《不动产登记法研究》等独著著作10余部，《侵权责任法教程》《个人信息保护法教程》《民法学》《民法总论》等独著、合著教科书7部。在《中国社会科学》《中国法学》《法学研究》等权威核心期刊发表论文100余篇。

兼任中国法学会法学教育研究会常务理事、中国法学会立法学研究会常务理事、中国法学会婚姻家庭法学研究会常务理事、中国消费者协会专家委员会专家、最高人民法院执行特邀咨询专家、最高人民检察院民事行政诉讼监督案件专家委员会委员、云南省委法律顾问、北京市法学会不动产法研究会副会长、北京仲裁委员会（北京国际仲裁中心）仲裁员、中国国际经济贸易仲裁委员会仲裁员等。

目次

一、概述

二、归责原则

三、构成要件

（一）处理个人信息侵害个人信息权益

（二）造成损害

（三）因果关系

（四）过错

本文节选自《人格权法教程》第十六章“个人信息权益”第三节“个人信息权益的保护”（第300-306页），为阅读方便，脚注从略，如需引用，请参阅原文。

点击上图，即可购书

《人格权法教程》

程啸 著

法律出版社2023年版

ISBN：9787519781712

概述

【例19】

著名演员陈某与A科技公司签订合同，约定A公司可以收集陈某的声纹信息，用作该公司开发的导航软件中的个性语音包，供用户下载使用。

只要个人信息处理者没有法律根据，如取得个人的同意或者存在法律、行政法规规定的情形就处理个人信息，该处理行为就是侵害个人信息权益的行为，行为人应当依法承担相应的民事责任。侵害个人信息权益的民事责任可以分为违约责任与侵权责任。违约责任只有在个人与个人信息处理者存在有效的合同关系时才能产生。

在例19中，陈某与个人信息处理者A公司订立了合同，就陈某的声纹信息的处理作出了明确的约定，如果A公司违反约定处理个人信息，则构成违约行为，应当承担违约责任。至于侵害个人信息权益的侵权责任，不需要侵权人与被侵权人之间存在合同关系。只要个人信息处理侵害了个人信息权益，就会产生侵权责任。

侵害个人信息权益的侵权责任的承担方式可以分为两大类：一是人格权请求权，即停止侵害、排除妨碍和消除危险这三类侵权责任承担方式；二是侵权赔偿请求权，包括恢复原状、赔偿损失、消除影响、恢复名誉、赔礼道歉。

这两类侵权责任承担方式的差别在于构成要件不同。对于人格权请求权而言，只要侵害、妨碍了个人信息权益或者存在侵害、妨碍个人信息权益的危险即可，不需要造成损害，更不需要行为人具有过错。但是，对于侵权赔偿请求权，除侵害个人信息权益外，还必须造成损害，同时侵权人还必须具有过错。

由于《民法典》人格权编已经对人格权请求权作出了规定，因此《个人信息保护法》第69条只是对侵害个人信息权益的侵权赔偿请求权即侵害个人信息权益的侵权赔偿责任作出了规定。

归责原则

归责原则就是损害赔偿责任的归责原则。所谓侵害个人信息权益的归责原则，就是指侵害个人信息权益的侵权损害赔偿责任的归责原则。《个人信息保护法》第69条第1款规定：“处理个人信息侵害个人信息权益造成损害，个人信息处理者不能证明自己没有过错的，应当承担损害赔偿等侵权责任。”

从这一规定可以看出，我国法上侵害个人信息权益的侵权赔偿责任适用的是过错推定责任。所谓过错推定责任，是指在损害事实发生后，基于某种客观事实或条件而推定行为人具有过错，从而减轻或者免除受害人对过失的证明责任，并由被推定者证明自己没有过错。如果行为人不能推翻该过错之推定即证明自己没有过错，则须承担侵权责任。

《民法典》第1165条第1款明确将过错责任作为我国侵权法的基本归责原则。同时，为了避免对人们的行为自由造成不合理的限制，对于过错推定责任、无过错责任以及公平责任都必须由法律（狭义的法律）明确规定（《民法典》第1165条第2款、第1166条、第1186条）。

《个人信息保护法》第69条第1款之所以对于侵害个人信息权益的侵权赔偿责任采取过错推定责任，就是考虑到现代信息社会的个人信息处理活动常常具有很强的技术性，非常专业和复杂，个人与个人信息处理者在信息、技术、资金等各方面都处于能力严重不对等的地位，个人无法了解个人信息处理者在处理活动中具有什么过错，更无法提出证据加以证明。故此，采取过错推定责任更有利于保护个人信息权益。

构成要件

【例20】

A市不动产登记机构的工作人员张某得知影视明星杨某在本市有房产后，擅自利用登记系统查询了杨某名下的全部房产信息，并将其发布在网站上。

【例21】

庞某在A网站上购买了B航空公司的机票，不知何人泄露了庞某的行程信息，诈骗分子利用该信息诈骗了庞某1万元。

【例22】

T大学教师张某刚刚通过A房产中介公司出售一套房产，售价1700万元。然而，张某的个人信息被A公司的员工李某出售给诈骗分子，结果导致张某遭受电信网络诈骗，损失1700万元。

（一）处理个人信息侵害个人信息权益

1.存在个人信息处理活动

侵害个人信息权益的加害行为必须是个人信息处理活动，包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等围绕个人信息展开的各种行为。

这些行为包括作为与不作为。作为，如未取得个人同意而收集个人信息的行为。不作为，如处理者没有依法采取必要措施保护个人信息的安全，导致个人信息被他人窃取、篡改或丢失；个人信息泄露后，个人信息处理者没有立即采取补救措施等。

《个人信息保护法》第72条第1款已经明确排除了“自然人因个人或者家庭事务处理个人信息的”适用。故此，自然人因个人或者家庭事务处理个人信息的行为侵害个人信息权益的，不适用《个人信息保护法》第69条的规定，而适用《民法典》第1165条第1款的过错责任原则。

2.个人信息处理活动侵害了个人信息权益

作为侵权责任事实构成的基本表现形式的行为，即受侵权法评价的行为应当是侵害他人民事权益（Rechtsgutsverletzung）的行为，也称“加害行为”。如果某一行为并未侵害他人的任何民事权益，不应当被评价为加害行为，更无从产生侵权责任。因此，只有当个人信息处理行为侵害了个人信息权益，才构成加害行为，才可能由此产生相应的侵权责任。

例如，在例20中，张某擅自查询并公开杨某的房地产信息的行为，就是侵害个人信息权益的行为。《个人信息保护法》第2条明确规定：“自然人的个人信息受法律保护，任何组织、个人不得侵害自然人的个人信息权益。”侵害个人信息权益的个人信息处理行为的类型很多，既包括个人信息处理者违反个人信息处理规则处理个人信息的行为，如没有告知并取得个人同意就收集个人信息，也包括个人信息处理者不履行义务以致个人无法行使个人信息权益的情形，如拒绝个人行使查阅复制权、删除权等，还包括个人信息处理者没有依法采取必要措施保护个人信息安全以致个人信息泄露、篡改、丢失等。

侵害个人信息权益的个人信息处理行为往往违反了《个人信息保护法》《民法典》《电子商务法》《网络安全法》等法律关于个人信息保护的法律规定，属于违法行为。但是，并非所有的非法处理个人信息的行为都侵害个人信息权益。例如，违反《个人信息保护法》第55条的规定，没有对应当事前进行风险评估的个人信息处理活动进行风险评估。再如，在不符合《个人信息保护法》第38条规定的条件时，就向境外提供个人信息。这些个人信息处理活动都是违法的，但是，它们可能并没有直接侵害任何个人的个人信息权益。然而，一旦某个处理行为侵害了个人信息权益，则该处理行为就是非法行为。

（二）造成损害

损害是所有损害赔偿责任的必备要件，没有损害就没有赔偿。如果只是侵害个人信息权益，没有造成损害，个人有权要求侵权人承担停止侵害、排除妨碍、消除危险等侵权责任，无法要求侵权人承担侵权赔偿责任。

法律上的损害是指那些具有可赔偿性（Ersatzfaehiger）的损害。依据损害能否通过金钱加以计算，可以将之分为财产性损害与非财产性损害。财产性损害（Vermögensschaden/pecuniary loss），也称“有形损害”（materieller Schaden）、“物质性损害”或者“经济损失”，是指具有财产价值，能够以金钱加以计算的损害，如A将B的一只贵重的花瓶摔坏、甲将乙的房屋烧毁。

财产性损害不仅包括对有体物（动产、不动产）的损害，也包括对无形财产（如著作权、商标权、网络虚拟财产、数据）的损害，以及收入的丧失（误工损失）、利润的减少以及支出的费用（医疗费）等。非财产性损害（Nichtvermögensschaden），也称“无形损害”（immaterieller Schaden）、“非物质性损害”或者“精神损害”，是指没有财产价值，无法以金钱加以计算，也无法基于真实的市场交易将其物化为具体财产类型的损害。例如，甲因其近亲属乙被丙开车撞死而遭受的失去亲人的痛苦；A因被B打伤致残而遭受的身体伤残的痛苦。

在侵害个人信息权益的侵权赔偿纠纷中，原告要求被告承担侵权赔偿责任，就必须证明自己因此遭受的损害。侵害个人信息权益可能给受害人造成财产损害，如例21中，庞某因为行程信息被泄露，被诈骗分子利用，遭受了财产损失。侵害个人信息权益也会给受害人造成精神损害，如例20中，杨某的房产信息中就包括其住址信息，这些信息被泄露会导致杨某的私生活安宁遭受侵害，从而遭受精神损害。

（三）因果关系

《民法典》第1165条明确区分侵权责任中的双层因果关系，即侵权责任成立的因果关系与侵权责任范围的因果关系。据此，《个人信息保护法》第69条第1款也明确区分了个人信息侵权责任中的双层因果关系。该款中“处理个人信息侵害个人信息权益”要求处理个人信息活动与个人信息权益被侵害存在因果关系，是责任成立的因果关系，而个人信息权益被侵害导致了损害，则属于责任范围的因果关系。

个人在针对个人信息处理者提起个人信息侵权赔偿责任之诉时，首先应当证明个人信息处理者所实施的处理行为与其个人信息权益被侵害之间存在因果关系，即具有责任成立要件的因果关系；其次还需要证明个人信息权益被侵害与损害之间的因果关系，即责任范围的因果关系，如此才能确定个人信息处理者应当承担的损害赔偿责任的范围。

1.处理个人信息与个人信息权益被侵害的因果关系判断

对于处理个人信息侵害个人信息权益的认定，就是对个人信息处理活动与个人信息权益被侵害之间的因果关系的判断。个人对此负有证明责任，应证明以下事实：首先，其个人信息被作为被告的个人信息处理者处理。其次，该处理行为没有遵循告知同意规则。如果被告对此抗辩，则或者证明已经履行了告知义务并取得了个人的同意，或者证明存在法律、行政法规规定的可以不遵守告知同意规则的情形。

认定个人信息侵权责任成立的因果关系应当采取条件说。在个人信息侵权责任中，处理者侵害个人信息权益的行为既包括作为（如处理者超出了个人同意的处理目的或处理方法而实施的处理行为），也包括不作为（如没有按照法律的规定采取措施保护个人信息的安全以致个人信息被泄露）。

就处理者的作为与个人信息权益被侵害是否存在因果关系而言，条件说提出的问题是：如果没有个人信息处理者的这一行为，个人信息权益是否仍会被侵害?倘若回答是否定的，则处理者的作为就与个人信息权益被侵害存在条件关系，属于个人信息权益被侵害的必要条件；反之，处理者的行为就不是必要条件。在例22中，如果A房产中介公司的员工李某没有非法出售张某的个人信息，则张某不会遭受电信网络诈骗，故此李某的行为就是张某的个人信息权益被侵害的必要条件。

就判断处理者的不作为与个人信息权益被侵害的因果关系而言，条件说提出的问题是：如果处理者积极履行了作为义务，个人信息权益是否仍然会被侵害?

如果回答是肯定的，则不作为并非侵害的必要条件；反之，就属于必要条件。例如，个人信息处理者倘若制定了内部管理制度和操作规程并加以落实，那么它的工作人员就不可能未经授权而访问个人信息，进而导致个人信息被非法窃取。反之，如果对网络实施攻击的黑客的技术手段非常高超，超越了处理者能够尽到的安全防护能力，也就是说，即便个人信息处理者采取了相应的技术措施和其他必要措施，也无法防止个人信息泄露，那么处理者的不作为与个人信息权益被侵害之间就不存在因果关系。

由于个人信息的处理活动具有很强的技术性，尤其是利用信息网络技术处理个人信息时，处理者是否实施了侵害个人信息权益的行为，实施了哪些侵害行为，个人往往难以知悉，更无法加以证明。

因此，《个人信息保护法》《网络安全法》等法律赋予国家网信部门和国务院有关部门以及县级以上地方人民政府的有关部门依法在各自职责范围内履行个人信息保护职责，它们被统称为履行个人信息保护职责的部门。这些部门的主要职责就包括接受、处理与个人信息保护有关的投诉、举报；组织对应用程序等个人信息保护情况进行测评，并公布测评结果；调查、处理违法个人信息处理活动等。

同时，《个人信息保护法》第63条还规定了履行个人信息保护职责的部门在履行个人信息保护职责时可以采取的各种措施。因此，履行个人信息保护职责的部门对于个人信息处理者侵害个人信息权益的处理活动开展的调查、取得的证据以及处理的结果等，也可以用于个人针对个人信息处理者提起的个人信息侵权责任诉讼之中。

程啸说：

个人信息具有很强的流动性，现代社会中每一个自然人的个人信息往往为很多的处理者所处理。尤其是数据的共享更是产生了事实不确定性的风险，即信息主体对于“哪些个人信息将被收集、收集之后如何处理，以及这些数据将在哪些机构与平台间共享等情形往往难以知悉，更无法参与到信息的收集与处理当中”。故此，一旦发生个人信息泄露等侵害个人信息权益的行为，受害人往往很难证明究竟是哪一个或哪一些处理者实施了侵害个人信息权益的加害行为。

在我国司法实践中最常见的因个人信息泄露而遭受电信网络诈骗的案件中，原告往往难以查明实施电信网络诈骗的直接加害人是谁，而只能以个人信息处理中涉及的某个或某几个信息处理者为被告提起诉讼。但是，这些被告则以个人信息并非自己泄露为由进行抗辩。此时，原告要提出证据证明就是这些被告实施了泄露其个人信息的行为（作为或不作为），往往十分困难。

实践中有些法院就以原告未能证明被告实施了加害行为为由驳回其诉讼请求。而有些法院为了减轻原告在此类案件中的举证负担，采取了一些减轻原告举证困难的做法。例如，在“庞某鹏与北京趣拿信息技术有限公司等隐私权纠纷案”中，法院就提出了证明加害人的高度可能性的判断标准，即首先排除原告和帮原告代购机票的同事泄露原告个人信息的可能，然后着手认定两个被告即趣拿公司和东航公司是否存在泄露原告个人信息的可能。由于原告提供的证据已经证明原告是通过趣拿公司的网站订购的东航公司的机票，且两个被告都有原告的手机号码，故而只有两个被告有能力将原告的姓名、手机号和行程信息相匹配。

此外，在本案所涉时间发生的前后时间段内，多家媒体质疑两个被告存在泄露乘客信息的问题。所以，法院认为原告的证据已经足以表明两个被告都存在泄露原告个人隐私信息的高度可能，而被告又不能反证推翻这种高度可能，因此足以认定两个被告实施了泄露个人信息的加害行为。该标准一经提出，即在司法实践中产生了很大的影响，一些法院在处理个人信息侵权案件时采取了该标准。

事实上，当多个处理者无论是共同处理个人信息还是进行个人信息的共享，由于该活动本身就产生了一旦发生个人信息泄露，个人将面临无法证明具体的泄露者是谁的风险（证据损害现象），因此法律上就可以将这些处理者作为一个整体看待，只要能够证明该个人信息处理的整体具有泄露信息的高度可能，就等于确定了责任成立的因果关系。

而从责任承担的角度来说，应当适用《民法典》第1170条规定的共同危险行为制度，令数个处理者承担连带责任。前述庞某鹏案的法官已经意识到了这个问题，因为趣拿公司和东航都参与了对原告的个人信息的共享或共同处理活动，故而将两个被告作为一个整体看待。由于该整体泄露原告的个人信息的可能性非常高，因此加害行为与个人信息权益被侵害的因果关系链条就完全建立起来了。

也正是考虑到这种情形，《个人信息保护法》第20条第2款才规定：“个人信息处理者共同处理个人信息，侵害个人信息权益造成损害的，应当依法承担连带责任。”所谓“依法”就是指依据《民法典》等法律关于连带责任的规定，具体而言就是《民法典》第1168~1171条关于多数人侵权责任中连带责任的规定。故此，在共同处理个人信息而无法确定具体侵权人时，完全可以依据《个人信息保护法》第20条第2款的规定指向《民法典》第1170条的共同危险行为制度加以处理。

2.侵害个人信息权益与损害之间的因果关系

个人信息权益被侵害与损害之间的因果关系属于个人信息侵权责任范围的因果关系。这一层次的因果关系主要是起到限制赔偿范围的作用，防止出现由于因果关系的无限延伸而令行为人就过于遥远的损害承担赔偿责任的后果。

在我国法中，就责任范围的因果关系，有时是由法律明确作出规定的。例如，就生命权、身体权和健康权等被侵害而造成的人身损害，《民法典》明确规定了损害包括财产损害与精神损害两大部分，其中财产损害的范围包括：医疗费、护理费、交通费、营养费、住院伙食补助费等为治疗和康复支出的合理费用，以及因误工减少的收入。造成残疾的，还应当赔偿辅助器具费和残疾赔偿金；造成死亡的，还应当赔偿丧葬费和死亡赔偿金（《民法典》第1179条）。精神损害赔偿则限定为侵害自然人人身权益造成严重精神损害的场合（《民法典》第1183条）。

然而，对于侵害个人信息权益造成的损害的范围，无论是《民法典》《个人信息保护法》，还是《网络安全法》等其他法律，都没有明确规定。《个人信息保护法》第69条第2款仅仅就损害赔偿的计算方法作出了规定，即侵害个人信息权益的损害赔偿责任按照个人因此受到的损失或者个人信息处理者因此获得的利益确定；个人因此受到的损失和个人信息处理者因此获得的利益难以确定的，根据实际情况确定赔偿数额。

就权益被侵害与损害之间的因果关系判断，我国目前理论界与实务界都主张借鉴德国法上的相当因果关系说。该说认为，作为原告损害条件的被告的行为（或应由其负责之事件），如果极大地增加了此种损害发生的客观可能性（objektive Möglichkeit），那么该行为就属于损害的充分原因（an adequate cause）。测算被告的行为是否极大地增加了此种客观之可能性，应当在被诉侵权人实施侵权行为之时已知或应知的所有情形的基础上，并结合以经验为基础的一般实践性知识（general practical knowledge）加以认定。

具体到个人信息权益被侵害与损害的因果关系判断中，需要考察的是自然人的个人信息权益被侵害是否属于自然人所遭受的损害的条件以及是否满足相当性。所谓相当性，应当采取客观说，即“如果某种事件以一种并非无足轻重的方式通常提高了发生后果的客观可能性，则该事件为该后果的相当条件。

具体裁量时应考虑如下内容：其一，事件发生时最优的观察者能观察到的全部情形；其二，引发条件的人除此之外所能知晓的情况。在检讨时，应当使用所有裁判时可供支配的经验知识。相当性测试涉及的实际上并非因果关系问题，而是要获知事件结果上能够公平地被归责于行为人的界限”。相当性理论是民法中对客观归责性进行规范性限制的理论，是基于价值考量而对损害后果的归责进行的限制。

在个人信息侵权责任中，应当由受害人即原告来证明个人信息权益被侵害是损害的条件，至于个人信息权益被侵害与损害是否具有相当性，性质上属于法律评价，而非事实的证明，故此应当由法官加以判断。当然，被告可以提出相关的证据来证明存在某些事实上的损害与个人信息权益被侵害不具有相当性，如第三人行为的介入而中断了因果关系等。

（四）过错

侵害个人信息权益的侵权赔偿责任适用过错推定责任，即个人信息处理者应当举证证明自己没有过错，而非个人来证明个人信息处理者具有过错。法律上之所以进行这种推定，是因为如果个人信息处理者严格依据《个人信息保护法》《民法典》等法律关于个人信息处理规则的规定来处理个人信息，履行法律规定的保护个人信息安全等义务，就不会侵害个人信息权益，自然也就谈不上过错。

故此，个人信息处理者违反了个人信息保护法律中的保护性规范（个人信息处理规则、个人在个人信息处理中的权利的法律规范、保护个人信息安全的义务规范以及个人信息保护影响评估义务的规范）后，其个人信息处理行为的违法性本身就足以认定其过错。例如，在个人信息被黑客攻击而导致泄露从而侵害个人信息权益的纠纷中，如果个人信息处理者能够证明自己已经按照法律的规定采取了相应的措施防止个人信息被泄露或被篡改、丢失，同时在发生或可能发生个人信息泄露、篡改等情况时立即采取了补救措施并且通知了履行个人信息保护职责的部门和个人，在这种情况下，个人信息处理者就不存在过错，无须承担侵权赔偿责任。

来源：中国法律评论