個人信息侵權中過錯的認定及對侵權責任的影響

孫鵬，楊在會

個人信息侵權中過錯的認定及對侵權責任的影響

孫鵬，楊在會

(西南政法大學民商法學院，重慶，401120)

過錯對判定個人信息侵權責任成立與明確損害賠償金額具有重要意義。就歸責原則而言，《個人信息保護法》與《民法典》體系銜接不暢，引發了個人信息處理者與非個人信息處理者適用過錯推定責任抑或過錯責任的法律適用難題。就過錯程度而言，非法收集、使用、獲取、買賣、公開、泄露個人信息等單純侵害個人信息權益的行為，行為人主觀上多為故意，過失侵權多發生于網絡信息侵權及信息公開侵權；將個人信息用于刑事犯罪、商業營銷及人格侵權等以個人信息為媒介侵害其他民事權益的行為，上游個人信息侵權人對下游損害承擔責任以故意為要件，但上下游信息處理者之間存在合同勾連關系時，即便上游個人信息侵權人僅為過失，也需對下游損害承擔相應責任。

個人信息侵權；損害賠償；過錯推定；故意；過失

一、問題的提出

從個人信息私法保護層面觀察，法律供給及理論研究多集中于個人信息民事確權領域，鮮少關注個人信息侵權的民事定責及損害計算問題?！吨腥A人民共和國民法典》(以下簡稱《民法典》)和《中華人民共和國個人信息保護法》(以下簡稱《個人信息保護法》)在一定程度上填補了個人信息私法規范的缺位，明確了個人信息侵權損害賠償責任的部分構成要件及損害賠償抽象層面的確定標準，但規范層面對個人信息侵權的過錯要件規定得不盡完善，導致法律表達和司法實踐之間發生錯位。一是由于《民法典》與《個人信息保護法》關于個人信息侵權的歸責原則并不統一，加之《個人信息保護法》適用范圍僅限于個人信息處理者，從而引發了《民法典》與《個人信息保護法》過錯認定上的分歧。二是我國民事立法未明確區分過錯與違法性，進而衍生了個人信息侵權責任認定中過錯推定責任和違法推定過失適用的混亂。三是受完全賠償原則這一慣性思維的影響，兩部法律對個人信息侵權的主觀要件都簡單地以過錯概之，忽視了過錯類型對于責任成立和損害確定的獨立價值。在司法實踐中，法官也普遍忽視對過錯類型的認定，意識不到過錯類型對個人信息侵權損害賠償責任之成立與責任范圍和強度之作用。本文立足于梳理個人信息侵權樣態中侵權人主觀過錯的類型，探究過錯對個人信息侵權責任成立以及責任范圍、責任強度的影響，以期更為精準地保護個人信息權益，并最大限度地維持信息主體和信息處理者的利益均衡。

二、過錯對個人信息侵權損害賠償的意義

(一) 過錯之于個人信息侵權責任之成立

第一，過錯與個人信息侵權歸責原則的關系。關于個人信息侵權責任采過錯責任、過錯推定責任還是無過錯責任，在比較法上一直存在爭議，在我國《個人信息保護法》的起草過程中也未達成一致?！秱€人信息保護法》將個人信息侵權責任認定為過錯推定責任的做法，雖然暫時平息了爭論，但也帶來了新的法律適用問題。一是《民法典》與《個人信息保護法》出現適用沖突。根據《民法典》第1034條第3款之表述，私密信息應適用隱私權的相關規定，即私密信息遭受侵害時應采過錯原則認定侵權責任。這一處理方式也為司法裁判所遵行①。而《個人信息保護法》對個人信息侵權行為采過錯推定原則，由此產生了立法對一般個人信息適用過錯推定原則進行保護而私密信息適用過錯原則進行保護的價值割裂，也與《民法典》第1032條第2款與第1034條第3款通過隱私權“強保護”私密信息的立法初衷相悖[1?2]。再者，《個人信息保護法》第69條第1款過錯推定原則的適用主體限定為個人信息處理者，即非個人信息處理者侵害個人信息權益不屬于該條規制范圍，自然人因家庭或個人事務處理個人信息的行為不受《個人信息保護法》調整，此即私人事務例外規則，其立法目的在于使私人交往免受嚴格煩瑣的個人信息保護規則之掣肘。學理研究與審判實踐均贊同適用過錯原則處理非個人信息處理者侵害個人信息權益的案件。但如何劃分個人信息處理者與非個人信息處理者以及如何厘清家庭或個人事務的邊界，不僅我國相關立法表達沒有給出答案，德國《聯邦數據保護法》、《歐盟指令》、現行《歐盟條例》也沒有相關解釋[3]。二是違法性與過錯關系混亂。我國民事立法以過錯吸收了違法性要件，在如何認定個人信息處理者的過錯的問題上，有學者主張采取違法推定過失的方法。原因在于，過錯認定客觀化導致個人信息保護已成為法定義務[4?6]，信息處理者違反《個人信息保護法》相關規定實施侵害個人信息的行為則能被推定為過錯，即推定過錯等同于行為違法性之推定[1,7]。但這一觀點也并非通說，有學者認為過錯推定和違法推定過失在法律效果和適用范圍上并不相同，兩者雖非排斥關系，但在個人信息侵權中不能同等適用[8]。過錯推定與違法推定過失是否能夠疊加適用直接影響到個人信息處理者舉證責任之輕重。如果對違法推定過失采認可態度，則個人信息處理者可以通過證明其不存在違法行為以推翻對其過失的認定，進一步推翻過錯推定責任，實質上減輕了個人信息處理者的證明責任[8]。

第二，過錯程度與個人信息侵權責任成立的關聯。過錯包括故意和過失，二者在內部構造、判斷標準、主客觀性質、可預防性、有責性上存在本質不同[9]，區分故意和過失在個人信息侵權責任成立及損害賠償確定方面具有重要意義，在責任成立上具體表現為侵害個人信息造成的純粹財產損失[10]、個人信息侵權懲罰性賠償及上游個人信息侵權人對下游損害承擔責任均以行為人故意為要件。其一，關于侵害個人信息造成純粹財產損失的問題。侵害個人信息導致純粹財產損失，如因虛假個人信息而被拒絕發放貸款或被以更高的利率發放貸款；因虛假個人信息而不被雇用或被解雇；因自動化決策而支付更高的價格等[11]。行為人過失侵權僅造成純粹財產損害時，由于行為人過錯程度不高，比較法上主張“將損失留在原地”[12]，而故意侵權則因其主觀惡性較高而被給予否定性評價，行為人需對其故意侵權造成的純粹經濟損害承擔責任[13]。其二，關于個人信息侵權懲罰性賠償的問題。雖然我國現行法并未規定個人信息侵權懲罰性賠償制度，但不少學者已經主張構建該制度以應對日趨嚴重的個人信息侵權現實[14?17]，且明確提出個人信息侵權懲罰性賠償制度僅適用于故意侵害個人信息的場合[18]。在比較法層面，美國1991年的《限制使用電話設備法》、2003年的《控制垃圾黃色信息和垃圾促銷信息法》和2010年的《防止濫用電話促銷法》規定，非法使用信息主體的電話信息、郵件信息、金融信息等個人信息，故意向公眾發送垃圾廣告，可追究行為人的懲罰性賠償責任[19]②。2020年美國《國家生物識別信息隱私法案》也規定，故意或輕率地違反該法案第3條侵害生物識別信息，除賠償受害人實際損失外，法院還可針對每項行為判決不超過5 000美元的懲罰性賠償金。韓國《個人信息保護法》第39條則要求故意或重大過失的個人信息侵權人承擔不超過損失數額三倍的懲罰性賠償金。其三，在侵害個人信息招致下游損害時，下游損害歸責于上游個人信息侵權人原則上以上游侵權人“故意”為要件。一般認為，上游個人信息侵權人對下游損害發生的“可預見性”是其擔責之要素[20]?！翱深A見性”反映到主觀過錯上即為故意。上游侵權人以非法買賣、使用、泄露等方式故意侵害個人信息時，其完全能夠預見到下游行為人獲取個人信息的目的在于實施個人信息侵權行為，也能夠預見到該行為會對信息主體造成損害，只是不能確定損害的具體類型及嚴重程度。

(二) 過錯之于個人信息侵權責任之范圍與強度

在責任承擔上，過錯類型和程度決定賠償范圍和強度。傳統侵權責任法秉持完全賠償原則，并不認可過錯類型和程度對損害賠償范圍和強度的影響，而是貫徹責任基礎與責任效果相區分的原則，排斥過錯類型和程度在賠償范圍確定中的適用[21]。一方面，恪守完全賠償原則，在個案中容易產生讓一般過失侵權的行為人承擔巨額賠償的不公平后果。最輕微的過失卻承擔與故意同樣的賠償責任，將導致法律評價與倫理評價的撕裂。另一方面，一味地主張適用限制賠償主義也會造成無辜受害人損失難以彌補的裁判困境。有鑒于此，中間道路成了最佳方案，即行為人原則上應承擔完全賠償責任，但法院在考量過錯類型和程度、行為危害性及當事人經濟情況等因素后認為行為人承擔完全賠償責任并不公平時，可運用前述因素對損害賠償數額進行酌減[22]。由此可見，過錯類型和程度能夠影響損害賠償范圍的確定，并且由于過錯類型、程度與違法性的判斷和因果關系的認定之間存在密切關聯，故而過錯類型和程度對損害賠償的確定起基礎性和主導性作用。故意侵權的行為人需賠償全部損害，而過失所致賠償義務則應受到某種程度的限制，即過錯類型、程度與責任范圍之間應該合乎比例[23]。具體表現為過錯類型和程度影響人身、財產損害及精神損害賠償數額的確定，不僅如此，在共同侵權、與有過失、第三人過錯等情形中，過錯類型和程度同樣對行為人責任承擔多寡的判定產生影響。具體而言：其一，關于人身、財產損害范圍的確定?！秺W地利普通民法典》第1324條明確規定，受害人只有針對因故意或特別無所顧忌導致的損害才有權要求完全賠償，否則只能要求實際賠償，而不得主張可期待利益和精神損害賠償。這一立法表達并非孤例，《瑞士債務法》第43條以及美國《侵權法重述·第三次》“身體和精神損害之責任”部分第6章第33條也體現了同樣的思想。美國伊利諾伊州《生物信息隱私法》將被告故意或魯莽侵害個人信息的法定賠償金從最高1 000美元提高到最高5 000美元，也體現了對惡意侵害個人信息行為的懲戒和震懾③。此外，在侵權人為復數的案例中，行為人主觀過錯的類型和程度也影響其責任承擔份額。其二，關于精神損害賠償范圍的確定。我國《最高人民法院關于確定民事侵權精神損害賠償責任若干問題的解釋(2021)》第5條規定，侵權人的過錯程度為確定精神損害賠償數額的首要考量因素。德國聯邦最高法院將侵權人的過錯程度作為估算痛苦撫慰金的重要標準。其三，關于與有過失規則的適用。在行為人故意侵權的情形下，如果受害人只具有一般過失或者輕微過失，通常應當排除比較過失規則的適用[24]。意大利法同樣贊成加害人故意侵權時將與有過失規則排斥于外，但其走得更遠，主張此種情況下完全不考慮受害人的主觀心態，加害人需賠償受害人全部損失[25]。美國法傳統觀點也認為故意侵權中不存在比較過失的抗辯[26]。

三、個人信息侵權歸責原則的類型化分析

(一) 侵害個人信息權益行為樣態的類型化

實踐中，侵害個人信息的行為包括兩類：第一，單純侵害個人信息的行為，又具體表現為兩種情形。一是行為人主觀上僅以個人信息為侵害對象，客觀上也僅侵害了個人信息權益，例如未發生下游損害的非法收集、使用等信息處理行為。該類行為本質上侵害了信息主體的知情同意權和信息自決權[27]。知情同意權為消極防御性權利，即禁止行為人未經信息主體同意收集、使用其個人信息[28]；信息自決權乃信息主體積極利用其個人信息的主動性權利，《民法典》第1037條及《個人信息保護法》第四章“個人在個人信息處理活動中的權利”皆為信息自決權[29]。二是行為人以侵害個人信息為手段意圖侵害其他民事權益，卻不滿足侵害該民事權益的構成要件，即客觀上侵害其他民事權益未果。例如行為人非法購買個人信息用于電信詐騙但未詐騙成功，行為人非法獲取個人信息以侵害信息主體人格權，但未給受害人造成人身、財產或精神損害等。此種情形，信息主體仍只能主張其個人信息權益受損的賠償責任。第二，以侵害個人信息為媒介侵害了其他民事權益的行為，也具體表現為兩種情形。一是行為人主觀上旨在通過個人信息侵害其他民事權益，客觀上也滿足侵害其他民事權益的構成要件。例如利用非法獲取的個人信息實施電信詐騙，造成受害人人身、財產或精神損害；將個人信息用于廣告推廣或消費操控，導致消費者權益受損；公開披露信息主體的私密信息侵害其隱私權或名譽權等。二是(上游)行為人主觀上僅想侵害個人信息權益，但下游侵權行為介入后客觀上損害了其他民事權益。在以侵害個人信息為手段侵害了其他民事權益的情況下，個人信息侵權已經被其他具體民事權益侵權責任所吸收，受害人將依據遭受損害的具體民事權益尋求救濟?？紤]到單純侵害個人信息的行為內含的兩種情形在法律效果上并無太大差別，為行文方便，若無特別說明，下文中“以侵害個人信息為媒介侵害其他民事權益的情形”僅指已經滿足該民事權益侵權責任構成要件的情形，不包括意圖侵害其他民事權益而未果之情形。在單純侵害個人信息的行為與以侵害個人信息為媒介侵害其他民事權益的行為中，個人信息處理者與非個人信息處理者適用的歸責原則不同；行為人的過錯類型以及過錯與損害賠償的關系可能存在差別，后文分述之。

(二) 個人信息侵權歸責原則的明晰

《個人信息保護法》僅規制個人信息處理者而并不統攝非個人信息處理者的處理行為，因此，理論[2]和實務④上均贊同對非個人信息處理者侵害個人信息權益的行為適用《民法典》規定的過錯責任原則予以規制。質言之，非個人信息處理者無論是單純侵害個人信息權益還是以個人信息為手段侵害其他民事權益，均適用過錯責任原則。因此，個人信息處理者與非個人信息處理者的界分是厘清歸責原則之前提?！秱€人信息保護法》第73條第1項規定“自主決定處理方式、處理目的的個人或組織”是個人信息處理者，同時反向排除了因家庭或個人事務處理個人信息的自然人適用《個人信息保護法》之可能。是否能夠自主決定信息處理行為是明確個人信息處理者的關鍵，應以此為前提厘清兩個問題：一是存在委托承攬等上下游信息處理行為時，需要區分下游行為人是否能夠自行決定處理方式或處理目的，如果是肯定答案，則上下游行為人均為個人信息處理者，反之則為非個人信息處理者[30]。二是私人事務例外規則的適用范圍如何劃定，即因家庭或個人事務處理個人信息的自然人與構成個人信息處理者的個人之間如何區分。在無法進行窮盡式列舉的情況下，有學者提出的寬松解釋方法似乎能夠暫緩這一難題：即使該個人信息處于非特定主體均可瞬間獲取的公開場合，只要自然人是出于社會交往或言論表達等私人目的進行的非商業非職業的個人信息處理行為，便應當歸入私人事務例外規則調整范圍[3]。

《個人信息保護法》僅規制個人信息處理者的信息處理行為，個人信息處理者處理個人信息侵害隱私權等人格權益之情形，《個人信息保護法》并未作出回應。從法律適用上來說，應適用《民法典》人格權編采過錯原則。在私密信息納入隱私權進行保護的制度背景下，這一處理方式似乎忽視了《民法典》第1034條第3款“隱私權強保護”的立法精神，導致民事權益位階更高的隱私權無法適用更為嚴格的過錯推定原則。實際上，民事權益位階高低不是通過歸責原則來體現的，位階更高并不意味著應該適用更為嚴格的歸責原則，隱私權基于民事權益位階理論要求的“強保護”不是通過歸責原則來實現的，而是表現在隱私權不存在合理使用制度以及規定了更為嚴格的責任豁免事由[1]。有學者認為，個人信息處理者處理私密信息、人臉信息和信用信息等侵害個人信息權益造成損害的，應適用過錯推定責任。這一觀點是否正確，需要回歸到《個人信息保護法》規定個人信息處理者適用過錯推定原則的原因中進行考察。原因之一是個人信息處理者和受害者在信息控制力上的天然不對等導致了兩者舉證能力差異較大[31]，需要立法者規定過錯推定原則以實現傾斜性保護[32]。二是個人信息權益建立在對個人信息的處理行為之上而非個人信息之上，《個人信息保護法》規定了個人信息處理者需承擔的各項法定義務，個人信息處理者應當明確知悉相應義務，因而要求其對自己的處理行為不存在違法情形進行證明具有正當性[1]，符合過錯推定責任的制度邏輯。由此看來，無論是個人信息處理者僅違反《個人信息保護法》之規定單純侵害了個人信息權益，還是其實施個人信息侵權行為侵害了人格權益，都是信息處理者利用自己的信息控制力優勢地位通過信息處理行為實現的，仍沒有脫離其承擔過錯推定責任的立法初衷。

(三) 過錯推定與違法性關系之厘清

《民法典》調整平等民事主體之間的個人信息處理關系，非平等的個人信息處理行為不在其規制范圍之內；《個人信息保護法》作為個人信息保護領域的專門性立法，著重考察兩造之間信息能力是否對等?！秱€人信息保護法》通過大量強行性規范對個人信息處理行為進行全方位和全過程的規范[33]，明確規定了各種具體的個人信息處理行為中個人信息處理者的法定義務。單純侵害個人信息權益的行為是對《個人信息保護法》中個人信息保護性規范的違反。保護性規范通過對行為人的行為方式和標準作出規定以保護民事權益，同時需要明確的是，這僅僅是對行為人注意義務和程度的最低要求，行為人違反保護性規范當然存在過失，反之則不能成立。換言之，行為人遵守保護性規范也不能等同于其沒有過失，行為人是否存在過失還需要考察其是否盡到了合理謹慎的人在特定情形下所應盡到的合理注意義務[8]。有學者將個人信息保護性規范分為“個人信息處理規則、個人信息處理活動中權利主體的權利、個人信息處理者保護個人信息安全以及個人信息保護影響評估義務”四類[8]。其中以《個人信息保護法》第13—35條及第39條規定的以告知同意規則為核心的個人信息處理規則是典型的保護性規范，違反處理規則的違法行為就是過錯行為，不存在盡到合理注意義務后仍然發生該違法行為的可能性[8]，信息處理者只能通過證明其沒有違反該規則從而使責任不成立。而后三類保護性規范中，個人信息處理者在推翻其具有過錯的推定時，不僅需要證明其沒有違反個人信息保護法律中的保護性規范，還需要進一步證明其已經盡到了合理的注意義務。這與學者主張的個人信息處理者違法行為不僅包括違反規范性文件的形式違法行為，還包括違反比例原則的實質違法行為觀點一致[1]。

四、單純侵害個人信息權益時過錯類型的認定

如前所述，個人信息侵權中的過錯類型對于責任成立具有重要影響，因此，應結合實踐區分違反保護性規范的行為中的過錯類型。

青海漢話大多是將[tala]置于時間名詞之后、動詞之前，表示動作行為的“終止”，或者行為動作達到的“界限”，蒙古語則是將[tala]接綴在動詞詞干上，同樣表示行為的“終止”或行為延續結束的“界限”。例如：

第一，非法收集個人信息。違背信息主體知情同意收集其個人信息的行為屬于非法收集個人信息[34]。信息收集行為系信息處理者通過主動的舉措為之，其主觀方面通常表現為直接故意。實踐中故意收集個人信息的信息處理者涉及物業服務企業、經營者以及App運營商。較為多發的是App擅自開啟各種權限，強制授權、過度索權、超范圍收集用戶個人信息等[35]。針對App違法收集個人信息的亂象，《App違法違規收集使用個人信息行為認定方法》第1—4條列舉了違法違規收集個人信息的具體情形，App運營者違反該規定收集個人信息的，均構成故意侵害信息主體對其個人信息的知情同意權。

第二，非法使用個人信息。在未經信息主體知情同意的前提下，將個人信息作為他用即為非法使用個人信息[36]，侵權人主觀上也多出于故意。

個人信息處理者超出與收集個人信息時所聲稱的目的具有直接或合理關聯的范圍，即構成高風險使用個人信息之行為，主要包括《信息安全技術個人信息安全規范》(以下簡稱《個人信息安全規范》)第7.4—7.7條所單獨列舉的用戶畫像、定向推送、匯聚融合、自動化決策等。較之其他信息利用行為，高風險使用個人信息行為更加重視信息的聚集效應，其使用的個人信息可能已經過匿名化處理而不被《個人信息保護法》所涵攝，加之非現實損害普遍不被司法實踐所認可，因此，用戶畫像、定向推送行為鮮少被法院判定為侵權⑤。

信息匯聚融合在兩種情形下可能涉嫌違法使用個人信息：一是結合大數據分析、機器學習等技術，數據融合將本身不敏感的各種數據進行關聯并重新識別出信息主體，使傳統的去識別化技術的預設效果落空，信息控制者對匯聚融合后能夠定位具體主體的信息的使用過程已然轉變為違法故意使用個人信息的侵權行為。二是信息匯聚融合過程的安全性面臨威脅，信息共享行為增加了信息泄露的風險[37]。因此，信息共享主體應對共享信息導致的信息泄露承擔責任[38]。

與信息匯聚融合相似，用戶畫像、自動化決策及定向推送并不帶有非法的原罪，其中涉及的個人信息使用行為是否構成侵權，需要考察該使用行為是否逾越法律法規預留的合法空間。首先，關于用戶畫像的合規使用，《個人信息安全規范》第7.4 c)條基于避免精確定位到具體個人的目的，要求行為人需在消除明確身份指向性后方能使用個人信息。其次，依據用戶畫像通過自動化決策方式進行定向推送的，應提供不針對個人特征的選項或便捷的拒絕方式以及以明顯方式標明“定推”字樣等。網絡運營者違反前述規定時，應將其違規行為評價為故意侵權。再次，為避免數據權利泛化導致數據合理利用空間被無限壓縮的不當結果，GDPR第22條及我國法律均規定數據主體應以自動化決策和用戶畫像對其“產生法律或者類似重大影響”為行權條件。最后，自動化決策還被要求進行個人信息安全影響評估，由于評估與信息侵權行為之間無必然聯系，因此信息處理者違反該條規定未進行評估的，系未盡到信息安全保障義務，僅構成過失侵權。

第三，非法獲取及(或)買賣個人信息。非法獲取及(或)買賣個人信息是侵害個人信息的主要形式，主觀方面為直接故意，僅在極少數情形下為過失，例如誤拆他人信件獲知其個人信息。除私法層面外，公法領域涉及非法獲取或買賣個人信息的行為層出不窮。從刑事犯罪案件來看，非法獲取個人信息的途徑包括利用職務便利、對目標計算機信息系統植入木馬程序或實施撞庫攻擊或者與其他信息處理者互換個人信息。涉及的信息類型包括個人征信信息、行蹤信息、住宿信息、戶籍信息、網購訂單信息、學生信息等。從最高人民檢察院發布的檢察機關個人信息保護公益訴訟11則典型案例來看，個人信息處理者涉及攝影公司、校外培訓機構、網絡服務提供者、房地產管理交易中心、裝修裝飾公司，除了多次倒賣個人信息之外，部分信息處理者還形成了非法買賣個人信息的上下游鏈條。顯然，前述刑事犯罪及行政執法中的行為均屬于故意侵害個人信息的行為。

第四，非法公開或泄露個人信息。單純非法公開或泄露個人信息未造成下游損害或其他現實損害，同樣構成個人信息侵權行為，且其以故意侵權為常態。例如未經同意在微信群中公開他人個人信息，開辦網站非法提供住宿信息供他人查詢，擅自公開他人微信讀書信息⑥等。但也存在過失公開或泄露個人信息的情形，例如幫助交通事故受害人尋找肇事逃逸者而在網上公布肇事者信息，快遞公司在投遞郵件過程中未采取保密措施泄露個人私密信息。此外，在網絡個人信息侵權及信息公開侵權等情形中，侵權人也可能僅出于過失，需結合具體情形審慎甄別。一是網絡侵權中主觀過錯的判定。信息處理者的行為符合《民法典》第1168、1171、1197條規定的，屬于故意侵權；符合拒不履行信息網絡安全管理義務致使個人信息泄露的，其主觀過錯為間接故意；網絡服務提供者未設置相應措施維護平臺網絡安全，導致第三人利用其平臺實施個人信息侵權行為的，網絡服務提供者構成過失侵權；信息處理者存儲個人信息的系統存在安全漏洞導致信息泄露的，構成未盡到安全保障義務的過失侵權。二是因信息公開而導致個人信息被非法公開或泄露，行為人通常不具備侵害個人信息的主觀故意。例如政府信息公開時不慎公開或泄露了公民個人信息⑦，司法案件公開中公開或泄露了個人信息⑧等。如果信息主體明確向侵權人告知其個人信息遭到侵害后，侵權人仍未采取或未及時采取補救措施，則符合“明知+放任”的主觀心態，構成侵害個人信息的故意⑨。

第五，其他侵害個人信息權益的行為。其一，拒不更正錯誤的個人信息?！睹穹ǖ洹返?037條第1款賦予了信息主體要求信息處理者更正錯誤信息的權利。實踐中錄入錯誤信息通常系工作人員過失所致，不存在侵害個人信息的故意。但如果經信息主體告知信息錯誤并要求更正后仍未更正的，即轉化為故意侵害個人信息的行為。其二，拒不履行刪除義務。在違法或違約收集個人信息、儲存期限屆滿、目的已經實現、侵犯個人權益等應當刪除個人信息的情形下，行為人在信息主體提出刪除相關個人信息的明確請求后仍未刪除或未及時刪除的，屬于故意侵害個人信息。其三，非法篡改、毀損、丟失等信息破壞行為損害了信息完整性。其中，非法篡改個人信息屬于明顯的故意侵權；個人信息被毀損、丟失則需考察致害原因，如因服務器被勒索病毒加密而宕機、內網電腦遭受攻擊陷入癱瘓或信息處理者保管不當直接導致信息系統及其儲存的信息的完整性和準確性遭受破壞的，信息保管者承擔過失責任；不法黑客通過拖庫、撞庫、洗庫導致信息毀損丟失則系故意侵權。

五、以個人信息為媒介侵害其他民事權益時的過錯類型與責任承擔

(一) 以個人信息為媒介侵害民事權益的過錯認定

以侵害個人信息為媒介侵害其他民事權益，行為人不僅侵害受害人個人信息權益，同時也侵害了受害人其他民事權益。在侵權責任成立及損害賠償的認定上，法院僅針對該民事權益進行審查，侵害個人信息不再具有獨立價值，而被其他民事權益的侵權責任所吸收。實踐中主要表現為：其一，利用非法獲取或購買的個人信息實施網絡或電信詐騙、暴力催債、敲詐勒索、網絡賭博、竊取賬號密碼或盜取儲戶存款、假冒他人身份篡改志愿、利用行蹤信息殺害信息主體⑩等違法犯罪行為，造成受害人人身、財產或精神損害，甚至危及受害人生命。其二，將個人信息用于營銷推廣或消費操控侵害消費者權益，典型為“大數據殺熟”。有論者認為“大數據殺熟”構成沉默型消費欺詐，但其實消費者的錯誤認知系經營者故意告知虛假價格導致，實則已經構成積極欺詐。其三，通過公開或披露個人信息特別是私密信息或其他侵害個人信息的行為，侵害名譽權或隱私權等人格權益。在以個人信息為侵權手段侵害人格權的案例中，侵害隱私權和名譽權最為多發，也不乏涉及侵害肖像權及姓名權的案例。個人信息侵害行為直接或間接地引發了侵犯隱私權、名譽權等具體人格權的下游侵權行為，應適用相應的人格權侵權責任制度[29]。在以個人信息為媒介侵害下游民事權益時，如果侵害個人信息權益及其他民事權益均系同一主體所為，行為人的主觀過錯不難判斷。如果系不同主體實施，除人格權益侵權外，民事權益受損均由下游行為人主動實施侵害行為所致，主觀故意明顯，而人格權益侵權中主觀過錯的認定尚需融合具體場景個別考量。

上游個人信息侵權人單獨實施或與下游行為人共同實施下列行為的，系通過侵害個人信息侵害隱私權：一是行為人主動公開個人信息或個人信息被他人竊取等，導致信息主體“私密空間、私密活動、私密信息”受到侵害；二是行為人非法發送垃圾信息等侵害私人生活安寧[20]。審判實踐中，法院一般遵循隱私權的裁判路徑，結合個案對案涉個人信息是否具有私密信息屬性或者信息處理行為是否侵害私密空間、私密活動或個人生活安寧等進行判斷。根據《民法典》第1024條，侵害名譽權系行為人通過侮辱、誹謗等方式使他人社會評價降低。以個人信息為媒介侵害名譽權多發于新聞報道中，雖然不能排除故意侵權的情形，但新聞業信息處理者侵害個人信息多為未盡到合理審查義務所致，主觀方面多為過失。至于在新聞報道中公開個人信息是否侵害名譽權，重點在于判斷該行為是否滿足名譽權侵權構成要件。此外，因被他人盜用個人信息辦理信用卡造成不良信用記錄，開卡銀行同樣不具備侵權故意，結合征信系統相對封閉故而并未造成卡主社會評價降低的情況，銀行不構成侵害名譽權。手機安全軟件向用戶客觀展示不特定多數人對來電號碼的負面評價，系對該號碼屬性的客觀評價，同樣也不屬于侵害名譽權的行為。

(二) 下游民事權益受損與上游個人信息侵權行為的關系

鑒于立法上未明確上游信息侵權行為與下游民事權益受損之間的可歸責性，司法實踐對此種情形下的因果關系也多不予認可，下游民事權益受損能否歸因于上游個人信息侵權人，尚無明確結論。有學者主張，只有當信息主體能夠證明上游信息侵權人明知或應知信息侵權行為將會成為后續侵害行為的前提條件時，下游損害才能歸因于上游信息侵權人[17]。也有論者認為，個人信息被用作實施下游侵害行為是上游信息侵害行為發生現實損害的表現，上游信息侵權行為與下游侵權行為屬于“雖無共同故意、共同過失，但其侵害行為直接結合發生了同一損害后果”的共同侵權[29]。還有學者認為，下游損害歸因于上游信息侵權人必須以上游行為人“可預見”下游損害發生為要件[20]。下游損害能否歸責于上游個人信息侵權人不能一概而論，原則上將上游個人信息侵權人的“故意”作為其承擔下游損害的要件較為合理；上下游行為人若以合同連接到一起，則由上游行為人承擔過失責任。

第二，存在第三方信息處理者的場合不排除過失侵權。如果上游信息侵權人與下游侵權人(第三方信息處理者)存在合同連接關系，則不宜再以“故意”作為上游個人信息侵權人對下游損害承擔責任的主觀要件。原因在于，此時上游信息處理者與實施下游侵權行為的第三方信息處理者之間聯系的緊密程度顯然超越一般信息侵權鏈條中的上下游信息處理者。第三方信息處理者通常系企業為獲得比較優勢將個人信息業務外包的產物，出于對企業經濟效益和信息處理專業化的追求，信息業務外包已經成為企業經營的重要環節，而第三方信息處理者的介入不可避免地加劇了信息受侵害的風險并降低了信息處理的透明度。針對前述情形，GDPR第82條第4款規定信息控制者與第三方信息處理者承擔連帶責任，歸責原則為過錯推定。信息控制者違反該條例規定的數據處理行為即存在過錯，第三方信息處理者違反針對其設定的義務[39]或超出信息控制者的合法指示也構成過錯。而新加坡《個人數據保護法案》的經驗則并非如此。信息主體只能要求信息控制者承擔過錯責任，而不能向第三方信息處理者主張侵權責任。信息控制者承擔責任后依據合同約定向第三方信息處理者追責[38]。即其并不關心第三方信息處理者存在過錯與否，而僅著重判斷信息控制者的主觀過錯。我國并未規定此種情形下的責任承擔及過錯認定規則，但從比較法的經驗可知，歐盟及新加坡都未將上游信息處理者對下游損害承擔責任的主觀要件限定為故意，而是僅要求具備過錯，系因為上游信息處理者與第三方信息處理者之間因合同而發生勾連，二者聯系緊密且前者對后者有一定程度的控制能力，故而應區別于前述一般情形下的上下游信息處理者，上游信息侵權人對下游損害承擔責任，不再要求其主觀過錯達到故意之程度。具體到我國法律法規，上游信息處理者過錯認定與責任承擔存在以下情形：一是第三人的過失結合出售個人信息的上游信息處理者選任該第三人的過失，符合《民法典》第1168條共同過失構成共同侵權的規定，兩者承擔連帶責任。二是上下游個人信息處理者為委托關系時，上游信息處理者存在選任或指示等過失時，其要么承擔按份責任，要么承擔與其選任或指示過失程度相應的責任[20]。

六、結語

《民法典》及《個人信息保護法》中關于個人信息權益的相關規定為個人信息私法救濟提供了制度供給，遺憾的是，前述規定仍然沒有正視個人信息侵權中歸責原則細化以及過錯類型和程度對責任成立、損害賠償范圍和強度的重要意義。

關于歸責原則的認定問題，應對個人信息處理者與非個人信息處理者進行區別適用?！秱€人信息保護法》基于個人信息處理者于信息控制力上的優勢地位以及過錯推定責任發生于個人信息處理行為之中的考量，認為個人信息處理者違反《個人信息保護法》規定的個人信息保護性規范適用過錯推定責任。雖然人格權受侵害應該適用過錯責任，但在個人信息處理者以個人信息為手段侵害了人格權等下游權益的情形下，個人信息處理者的行為并沒有脫離《個人信息保護法》規定過錯推定原則的初衷，因此應適用過錯推定原則進行“強保護”，而非個人信息處理者不存在前述情形，其個人信息侵權行為應適用一般過錯責任原則予以規制。

關于個人信息侵權損害賠償責任中過錯的認定問題，由于個人信息權益是《民法典》及《個人信息保護法》所認可的獨立權益，故應糾正將個人信息放置于隱私權項下進行保護的司法裁判慣性，結合裁判經驗將個人信息侵權路徑劃分為單純侵害個人信息權益的行為與以個人信息為媒介侵害其他民事權益的行為，二者主觀過錯的具體表現不同。前者單純侵害個人信息權益，表現為非法收集、使用、獲取、買賣、公開、泄露個人信息等行為，行為人之主觀心態多為故意，在網絡個人信息侵權與信息公開個人信息侵權中，過失侵權較為普遍。后者除侵害個人信息權益外，行為人將個人信息用于刑事犯罪、商業營銷及人格權侵權，還侵害了下游其他民事權益，此時，行為人的主觀過錯應在明確下游受侵害的具體權益類型的基礎上進行認定。下游損害能否歸責于上游信息侵權人的問題不能一概而論。原則上，下游損害歸因于上游個人信息侵權行為需以上游行為人“故意”為要件，但上游信息處理者與第三方信息處理者之間因合同發生勾連時，二者聯系緊密且前者對后者有一定程度的控制能力，上游信息處理者的主觀要件為過錯即可。

① 廣東省深圳市中級人民法院(2020)粵03民終6646號民事判決書。

② U.S. v. Comcast Corp. No. 09 1589 , 2009 WL 1181046 (E.D.Pa.)。

③ Rosenbach v. Six Flags Entertainment Corp, 2019 IL123186(Jan. 25, 2019)。

④ 遼寧省沈陽市中級人民法院(2018)遼01民終12562號民事判決書。

⑤ 江蘇省南京市中級人民法院(2014)寧民終字第5028號民事判決書。

⑥ 北京市互聯網法院(2019)京0491民初16142號民事判決書。

⑦ 湖南省高級人民法院(2015)湘高法行終字第10號行政判決書。

⑧ 北京市第四中級人民法院(2021)京04民終71號民事判決書。

⑨ 湖南省高級人民法院(2015)湘高法行終字第27號行政判決書。

⑩ Remsburg v. Docusearch,Inc., 816 A. 2d 1001(N.H.2003)。

[1] 王道發.個人信息處理者過錯推定責任研究[J].中國法學,2022(5):103?121.

[2] 楊顯濱,王秉昌.侵害個人信息權的民事責任—— 以《個人信息保護法》與《民法典》的解釋為中心[J].江蘇社會科學,2022(2):75?90, 242?243.

[3] 楊芳.我國《個人信息保護法》中私人事務例外規則之解釋[J].南大法學,2022(3):147?159.

[4] 龍衛球.中華人民共和國個人信息保護法釋義[M].北京:中國法制出版社,2021:321.

[5] 江必新,李占國.中華人民共和國個人信息保護法條文解讀與法律適用[M].北京:中國法制出版社,2021:236.

[6] 孫瑩.個人信息保護法條文解讀與適用要點[M].北京:法律出版社,2021:220.

[7] 張新寶.《中華人民共和國個人信息保護法》釋義[M].北京:人民出版社,2021:527.

[8] 程嘯.論個人信息侵權責任中的違法性與過錯[J].法制與社會發展,2022(5):191?209.

[9] 葉名怡.侵權法上故意與過失的區分及其意義[J].法律科學(西北政法大學學報),2010(4):87?98.

[10] 譚啟平.中國民法學[M].北京:法律出版社,2021:790?791.

[11] 李昊.個人信息侵權責任的規范構造[J].廣東社會科學,2022(1):249?260.

[12] 葉金強.論過錯程度對侵權構成及效果之影響[J].法商研究,2009(3):70?76.

[13] 毛羅·布薩尼,弗農·瓦倫丁·帕爾默.歐洲法中的純粹經濟損失[M].張小義,鐘洪明,譯.北京:法律出版社,2005:8.

[14] 徐明.大數據時代的隱私危機及其侵權法應對[J].中國法學,2017(1):130?149.

[15] 張新寶.侵權責任編起草的主要問題探討[J].中國法律評論,2019(1):133?144.

[16] 楊立新.私法保護個人信息存在的問題及對策[J].社會科學戰線,2021(1):193?202.

[17] 葉名怡.個人信息的侵權法保護[J].法學研究,2018(4):83?102.

[18] 石佳友.個人信息保護的私法維度—— 兼論《民法典》與《個人信息保護法》的關系[J].比較法研究,2021(5):14?32.

[19] 馬新彥,鄧冰寧.現代化通信工具大規模侵權懲罰性賠償制度構建[J].求是學刊,2013(1):85?95.

[20] 謝鴻飛.個人信息處理者對信息侵權下游損害的侵權責任[J].法律適用,2022(1):23?36.

[21] 鄭曉劍.侵權損害完全賠償原則之檢討[J].法學,2017(12):157?173.

[22] 徐銀波.論侵權損害完全賠償原則之緩和[J].法商研究,2013(3):65?73.

[23] 鄭曉劍.侵權損害賠償效果的彈性化構造[J].武漢大學學報(哲學社會科學版),2019(4):138?149.

[24] 王利明.論比較過失[J].法律科學(西北政法大學學報),2022(2):34?46.

[25] U.馬格努斯,M.馬丁?卡薩爾斯.侵權法的統一:共同過失[M].葉名怡,陳鑫,譯.北京:法律出版社,2009:171.

[26] 丹·B. 多布斯.侵權法: 上冊[M].馬靜, 等譯.北京:中國政法大學出版社,2014:451.

[27] 顧敏康, 白銀.“大信用”背景下的信息隱私保護—— 以信義義務的引入為視角[J]. 中南大學學報(社會科學版), 2022, 28(1): 41?57.

[28] 周漢華.個人信息保護的法律定位[J].法商研究,2020(3):44?56.

[29] 商希雪.侵害公民個人信息民事歸責路徑的類型化分析—— 以信息安全與信息權利的“二分法”規范體系為視角[J].法學論壇,2021(4):100?111.

[30] 程嘯.論個人信息共同處理者的民事責任[J].法學家,2021(6):17?29, 191.

[31] 田野, 張耀文. 個人信息侵權因果關系的證明困境及其破解—— 以相當因果關系理論為進路[J]. 中南大學學報(社會科學版), 2022, 28(1): 58?69.

[32] 楊立新.個人信息處理者侵害個人信息權益的民事責任[J].國家檢察官學院學報,2021(5):38?54.

[33] 程嘯.論我國個人信息保護法中的個人信息處理規則[J].清華法學,2021(3):55?73.

[34] 蔡一博.《民法典》實施下個人信息的條款理解與司法應對[J].法律適用,2021(3):88?98.

[35] 陳晨,李思頔.個人信息的司法救濟—— 以1383份“App越界索權”裁判文書為分析樣本[J].財經法學,2018(6):102?113.

[36] 姚佳.論個人信息處理者的民事責任[J].清華法學,2021(3):41?54.

[37] 許中緣, 何舒岑. 公共衛生領域大數據治理中個人信息的利用與保護[J]. 中南大學學報(社會科學版), 2022, 28(3): 20?31.

[38] 朱宣燁.新時代個人信息民事保護路徑研究—— 以存在第三方信息處理者情況下的民事責任分配為視角[J].法學雜志,2018(11):133?140.

[39] 高富平. 個人數據保護和利用國際規則: 源流與趨勢[M]. 北京: 法律出版社, 2016: 131?132.

Identification of fault types in personal information infringement and its impact on tort liability

SUN Peng, YANG Zaihui

(School of Civil and Commercial Law, Southwest University of political Science and Law, Chongqing 401120, China)

Fault plays a significant role in identifying tort liability against personal information and its amount of compensation for damages. As far as the criterion of liability is concerned, the obstructed connection betweenandinitiated the difficulty in application of law: whether fault criterion of liability or non-fault criterion of liability is applicable to personal information processors and non-personal information processors. As for degrees of faults, in pure torts against personal information such as illegal collection, use, acquisition, trade, disclosure and divulging of personal information, the tortfeasor is mostly intentional, and negligence is generally identified in torts against network information and information disclosure cases; in torts against other civil interests via personal information such as using personal information to commit crimes, to conduct marketing, and to violate personality rights and so forth, the upstream tortfeasor shall be liable for downstream damages, as which intention is an essential element. But, if there is a contractual connection between the upstream and downstream information processors, the upstream tortfeasor shall be liable for relevant downstream damages, even if he is only negligent.

personal information infringement; constructive fault; intention; negligences

2023?05?04；

2023?06?13

國家社會科學基金項目“賠償均衡化與侵權賠償法的現代轉型”(20XFX011)

孫鵬，男，四川岳池人，法學博士，西南政法大學民商法學院教授、博士生導師，主要研究方向：民法基礎理論、物權法、合同法、侵權法；楊在會，女，重慶人，西南政法大學民商法學院博士研究生，主要研究方向：民法學，聯系郵箱：13022320307@163.com

10.11817/j.issn. 1672?3104. 2024.01.008

D923

A

1672?3104(2024)01?0076?11

[編輯: 蘇慧]