1、2023 年第 1 期(第 25 卷 总第 127 期)No.1 2023(Vol.25 Sum No.127)The principle of liability for infringement of personal information in the digital age applies-from the perspective of typeWangYongqi数字时代侵害个人信息的归责原则适用以类型化为视角 王勇旗(河南警察学院,河南 郑州 450046)摘要:数字时代,个人信息应用范围愈加广泛,同时,个人信息侵权现象较为普遍。侵害信息呈现主体多样性、侵害方式专业性、隐蔽性等特
2、点。通常,不同主体处理个人信息过程中可能会损害信息主体的人格权、财产权等合法权益。个人信息侵权视阈中侵权责任归责原则一概适用过错责任归责原则难谓合理。根据我国 民法典 个人信息保护法 等法规,并结合不同类型信息处理主体、侵害不同敏感度个人信息境况,应精细个人信息侵权责任归责原则,明确不同侵权主体和侵害不同类型个人信息的侵权责任归责原则,有利于平衡个人信息保护与合理利用间的关系。关键词:数字时代;个人信息保护;侵害个人信息;侵权责任;归责原则DOI:10.16853/j.issn.1009-4458.2023.01.014 中图分类号:D924.3 文献标识码:A 文章编号:1009-4458(
3、2023)01-0088-07一、引言随着法学理论尤其侵权法理论研究向前发展,过错责任归责原则首先出现并适用于侵权领域,这是从“尊重个人的权利、积极性与社会价值”等方面考量的结果,1同时也是社会道德理念考量等因素的责任归责基础。简言之,侵权行为人在主观上具有道德可非难性。2数字时代,尤其随着人工智能、大数据等高新科技的广泛应用,侵权人的侵害方式呈现多样化、深度化、隐蔽性、大规模化等特点,3鉴于上述特点分析可知,并非所有的损害后果都因侵权人主观过错所为,也存在过失,即侵权人发生侵权时的存在过失的主观心态。正如德国学者耶林所述:“使人负损害赔偿的,不是因为有损害,而是因为有过失,其道理就如同化学上
4、的原则,使蜡烛燃烧的,不是光,而是氧气一般的浅显明白”,4此论述是从主观方面排除侵权人因过失致人损害而承担责任体现,意即因侵权行为而造成实际损害后果的情况下,侵权人主观无过错而不应承担侵权责任情形。出于更有利保护受害人合法权益角度,法学界倾向于从侵权损害的客观结果为判断标准,即通过侵权人承担侵权损害赔偿责任,为受害人提供更为周延的法律救济和保护。数字时代背景下的个人信息侵权无疑是“最普遍、最广泛甚至最重要的侵权类型”。5根据我国 民法典 个人信息保护法 等现行法规定,个人信息处理中产生侵权,在责任承担上是以过错责任归责原则为基本立足点,而若适用无过错责任归责原则,必须在立法上有明确规定。根据我
5、国 民法典 侵权责任编 关于侵权责任归责原则的规定可以看出,是以过错责任归责原则为基础,辅以过错推定、无过错归责原则。解释论上,我国民法典 第1165条第1款、第1194条是侵害个人信息归责原则的基础。质言之,侵权责任承担上是以过错责任归责原则为基础,这是侵害个人信收稿日期:2022-07-09基金项目:2020年度国家社会科学基金青年项目“互联网平台型企业的信息管理主体责任及其法治化研究”(20CFX061);2023年度河南省高校人文社会科学研究项目“数字经济时代儿童个人信息保护问题研究”(2023-ZDJH-191);河南警察学院2022年度院级课题资助项目“民法典 释论下个人信息保护问
6、题研究”(HNJY202235)作者简介:王勇旗(1983),男,河南郑州人,博士,讲师,研究方向:民法、网络信息法内蒙古农业大学学报(社会科学版)Journal of Inner Mongolia Agricultural University(Social Science Edition)息民事责任的归责原则的基本出发点。个人信息处理领域,存在不同类型的个人信息和不同的处理主体。特定场景中的个人信息,当发生不当个人信息处理并产生损害后果时,结合不同类型下的个人信息和处理主体,如一概适用过错责任归责原则,将过错证明责任由受害人承担,由于技术、知识等综合因素差异,势必不利于保护不同类型信息主体
7、的合法权益。就此问题,有学者提出未来我国个人信息保护的基础可采用三元归责原则体系。具体是指,代表国家的公务机关以数据自动化处理技术实施的侵权采用无过错责任归责原则,非国家机关但以数据自动化处理技术实施的侵权采用过错推定责任归责原则,而对于未采用数据自动化处理技术的其他个人信息处理者应当采用一般的过错责任归责原则。6虽有学者持不同观点,7但结合不同类型个人信息和不同信息处理主体可以看出,数字时代背景下侵害个人信息一概适用一般过错责任归责原则并非合理。主要在于,该原则并未充分考量特殊情况下信息主体保护问题。如,由于数据存储机构原因导致个人信息泄露等情形,鉴于技术等综合因素,信息主体若证明处理主体储
8、存中是过错方十分困难,甚至是否已发生侵权也无从知晓。立基于此,本文将结合不同类型侵权主体和不同个人信息分类下所适用的侵权责任归责原则进行讨论。二、不同类型侵权主体侵权责任归责原则数字时代,信息处理主体在个人信息处理中侵害信息主体合法权益并造成实际侵权损害后果,鉴于不同侵权主体的侵害方式存在多样化、深度化、隐蔽性、大规模性等特点,侵权主体和需承担侵权责任的主体会随着网络信息社会的迭代更新发展而呈现多样性。具体而言,从信息处理主体角度,侵害个人信息主体主要包括国家机关和非国家机关两种类型,此类主体在收集、存储、利用等处理个人信息过程中,可能存在泄漏、非法使用等侵权行为。按侵权领域传统观点,此种情形
9、的侵权责任归责原则主要应结合侵权损害事实发生而定。结合侵权损害事实,侵权责任主体一般适用过错责任归责原则,但也会存在因不同侵权主体不同侵害方式而适用不同的侵权责任归责原则或多种归责原则相结合的情况。因此,本部分对不同类型侵权主体侵权责任归责原则的探讨,旨在完善不同类型信息处理主体侵害个人信息并产生损害后果的侵权归责原则具体适用问题,不仅利于司法实践中精准确定相关主体的侵权责任,而且在维护信息主体合法权益等方面具有重要指导意义,同时,也应是我国个人信息保护类立法应重点关注的问题之一。(一)国家机关作为侵权主体的侵权责任归责原则适用数字时代,随着人工智能、大数据分析、算法等高新科技快速发展,数据信
10、息在不断聚合中形成的大体量数据资源场景,其综合价值不断被挖掘,不仅深刻影响商业生态体系,而且可以促进政府社会公共事业管理模式革新,已然成为社会发展的重要动力,亦是国家可持续发展的基础性战略资源。在此场景中,不同主体大体量收集、存储、传播、共享和利用各种数据信息,在促进数据信息利用价值实现的同时,个人信息安全问题引起人们普遍关注。国家机关作为我国当下最大的数据控制者和管理者,加之数据自动化处理技术的应用,更进一步巩固了其控制数据的能力。而自然人个人信息在社会公共事业管理中的综合应用,是其社会价值的体现,与此同时,国家机关作为个人信息处理主体所引发的侵害个人信息应受到重视。根据我国 行政诉讼法 第
11、34条规定,当行政机关作为被告时,应对其行政行为是否具有合法性负有举证责任,即应提供作出此行政行为的法律根据或其他规范性文件依据,如不能提供相关证明,则应认定其行政行为违法。也就是说,国家机关作为信息处理主体时,当发生侵害个人信息并给信息主体造成实质损害后,受害人请求赔偿时,国家机关应负无过错的举证责任,如举证不能应承担相应的侵权责任。结合我国 行政诉讼法民法典 等既有法律规范可以看出,我国对国家机关侵害个人信息归责原则的适用上采用过错推定归责原则。但根据我国 网络安全法 第74条:“违反本法规定,给他人造成损害的,依法承担民事责任”可以看出该法对网络侵权采取的应是无过错责任归责原则,并且未区
12、分信息处理主体不同类型,而我国 个人信息保护法 未规定国家机关侵害个人信息的归责原则问题。结合上述不同制度规范对该问题所采取的不同态度,司法实践88内蒙古农业大学学报(社会科学版)2023 年第 1 期(第 25 卷,总第 127 期)息民事责任的归责原则的基本出发点。个人信息处理领域,存在不同类型的个人信息和不同的处理主体。特定场景中的个人信息,当发生不当个人信息处理并产生损害后果时,结合不同类型下的个人信息和处理主体,如一概适用过错责任归责原则,将过错证明责任由受害人承担,由于技术、知识等综合因素差异,势必不利于保护不同类型信息主体的合法权益。就此问题,有学者提出未来我国个人信息保护的基础
13、可采用三元归责原则体系。具体是指,代表国家的公务机关以数据自动化处理技术实施的侵权采用无过错责任归责原则,非国家机关但以数据自动化处理技术实施的侵权采用过错推定责任归责原则,而对于未采用数据自动化处理技术的其他个人信息处理者应当采用一般的过错责任归责原则。6虽有学者持不同观点,7但结合不同类型个人信息和不同信息处理主体可以看出,数字时代背景下侵害个人信息一概适用一般过错责任归责原则并非合理。主要在于,该原则并未充分考量特殊情况下信息主体保护问题。如,由于数据存储机构原因导致个人信息泄露等情形,鉴于技术等综合因素,信息主体若证明处理主体储存中是过错方十分困难,甚至是否已发生侵权也无从知晓。立基于
14、此,本文将结合不同类型侵权主体和不同个人信息分类下所适用的侵权责任归责原则进行讨论。二、不同类型侵权主体侵权责任归责原则数字时代,信息处理主体在个人信息处理中侵害信息主体合法权益并造成实际侵权损害后果,鉴于不同侵权主体的侵害方式存在多样化、深度化、隐蔽性、大规模性等特点,侵权主体和需承担侵权责任的主体会随着网络信息社会的迭代更新发展而呈现多样性。具体而言,从信息处理主体角度,侵害个人信息主体主要包括国家机关和非国家机关两种类型,此类主体在收集、存储、利用等处理个人信息过程中,可能存在泄漏、非法使用等侵权行为。按侵权领域传统观点,此种情形的侵权责任归责原则主要应结合侵权损害事实发生而定。结合侵权
15、损害事实,侵权责任主体一般适用过错责任归责原则,但也会存在因不同侵权主体不同侵害方式而适用不同的侵权责任归责原则或多种归责原则相结合的情况。因此,本部分对不同类型侵权主体侵权责任归责原则的探讨,旨在完善不同类型信息处理主体侵害个人信息并产生损害后果的侵权归责原则具体适用问题,不仅利于司法实践中精准确定相关主体的侵权责任,而且在维护信息主体合法权益等方面具有重要指导意义,同时,也应是我国个人信息保护类立法应重点关注的问题之一。(一)国家机关作为侵权主体的侵权责任归责原则适用数字时代,随着人工智能、大数据分析、算法等高新科技快速发展,数据信息在不断聚合中形成的大体量数据资源场景,其综合价值不断被挖
16、掘,不仅深刻影响商业生态体系,而且可以促进政府社会公共事业管理模式革新,已然成为社会发展的重要动力,亦是国家可持续发展的基础性战略资源。在此场景中,不同主体大体量收集、存储、传播、共享和利用各种数据信息,在促进数据信息利用价值实现的同时,个人信息安全问题引起人们普遍关注。国家机关作为我国当下最大的数据控制者和管理者,加之数据自动化处理技术的应用,更进一步巩固了其控制数据的能力。而自然人个人信息在社会公共事业管理中的综合应用,是其社会价值的体现,与此同时,国家机关作为个人信息处理主体所引发的侵害个人信息应受到重视。根据我国 行政诉讼法 第34条规定,当行政机关作为被告时,应对其行政行为是否具有合
17、法性负有举证责任,即应提供作出此行政行为的法律根据或其他规范性文件依据,如不能提供相关证明,则应认定其行政行为违法。也就是说,国家机关作为信息处理主体时,当发生侵害个人信息并给信息主体造成实质损害后,受害人请求赔偿时,国家机关应负无过错的举证责任,如举证不能应承担相应的侵权责任。结合我国 行政诉讼法民法典 等既有法律规范可以看出,我国对国家机关侵害个人信息归责原则的适用上采用过错推定归责原则。但根据我国 网络安全法 第74条:“违反本法规定,给他人造成损害的,依法承担民事责任”可以看出该法对网络侵权采取的应是无过错责任归责原则,并且未区分信息处理主体不同类型,而我国 个人信息保护法 未规定国家
18、机关侵害个人信息的归责原则问题。结合上述不同制度规范对该问题所采取的不同态度,司法实践89 王勇旗 数字时代侵害个人信息的归责原则适用以类型化为视角政治与法律中将会带来适用困难。结合我国台湾地区“个人资料保护法”第28条相关规定,公务机关违反本规定侵害个人信息造成信息主体损害时,需承担无过错责任。由此可以看出,我国台湾地区对公务机关侵害个人信息所采取的严苛态度较为符合数字化社会自动化处理个人信息特征,有助于保护信息主体合法权益。社会实践中,国家机关已基本实现从过去依靠长期积累、人工处理等相对落后的处理信息方式转向采用科技含量更高的自动化处理模式,主要是借助大数据分析、人工智能等高新科技对自然人
19、个人信息进行自动化处理,已是当下最主要的处理方式,这在国家现代化公共事业管理中普遍适用。结合自动化处理技术特征,个人信息处理中该技术的运用会给自然人人格权方面带来“典型的 自动化风险”。8加之国家机关相较自然人而言所具有的绝对权威性,个人信息处理中一旦发生侵害行为并产生损害后果,如让信息主体承当侵权证明责任,更会加剧二者间不平等。个人信息蕴含人格权、财产权和社会公共性等综合价值,人格权价值应是个人信息最本质属性,而财产权和其他公共性价值主要体现在利用上。国家机关处理个人信息主要体现其社会公共性价值,但处理个人信息过程中难免对信息主体人格权产生影响。如,国家机关处理个人信息过程中如因处理不当或其
20、他行为侵害个人信息并对信息主体造成实质损害,应将侵害人格权损害的侵权责任归责原则单独规定。国家机关处理个人信息旨在满足社会公共事业管理所需,如国家机关侵害个人信息并造成损害承当无过错责任,会加重相关部门责任风险,将不利于国家机关公共事业管理现代化推进。应在综合考量个人信息私法属性基础上,结合国家机关作为个人信息处理主体特殊性,并从利于保护信息主体合法权益等综合因素考量,当个人信息处理中信息主体的财产性权利受到侵害时,国家机关应适用过错推定归责原则较为妥帖。意为在国家机关处理个人信息过程中,一旦发生侵害个人信息行为并给信息主体造成实质损害后果,应由国家机关承担个人信息处理中无过错的证明责任,如根
21、据当时技术条件不能证明其无过错,即应承担相应侵权损害赔偿责任。而国家机关处理个人信息中,信息主体人格性权利受到侵害,则应适用无过错责任归责原则,即信息主体无需证明侵害方存在过错,只要给信息主体人格利益构成侵害,就应承担侵权损害责任,并且应明确只有国家机关满足严格法定免责事由,如国家安全、社会公共利益所需等,才能免除其侵权责任。但亦应结合个人信息处理中信息主体所受损害程度,并给予信息主体物质或其他补偿,主要在于个人信息在国家机关处理中受到损害。(二)非国家机关作为侵权主体的侵权责任归责原则适用非国家机关作为信息处理主体在个人信息处理中侵害信息主体合法权益并造成实质损害,虽然结果上同国家机关作为处
22、理主体的侵害存在相似性,但结合二者不同特点,其在侵权责任归责原则的适用应有所不同。数字时代的个人信息处理,以自动化处理方式为主。非国家机关相较国家机关而言,虽无国家公共权力可支配,但借助大数据分析、云计算、人工智能、互联网应用等高新科技可大体量收集自然人个人信息,并从商业经济等利益角度进一步处理,如阿里巴巴、京东等大型电子商务类平台,完全可实现获取大量个人信息并对其进一步深入处理。面向如阿里巴巴、京东等追求商业经济为目的个人信息处理所引起的侵害,主要体现在个人信息的财产利用过程中。数字时代,个人信息处理过程中应兼顾数字经济发展同个人信息保护间的平衡。结合自动化处理技术等高新科技复杂性,非国家机
23、关个人信息处理中侵害信息主体合法权益并造成损害后果,在归责原则适用上应以过错推定归责原则较为妥当。8而处理个人信息实施犯罪属于国家严厉打击对象,此类侵权责任适用无过错责任归责原则,即信息处理主体在处理个人信息中侵害信息主体实施犯罪并造成损害后果,无论是否存在过错都应承当相关责任。根据我国 网络安全法第74条“违反本规定,给他人造成损害的,依法承当民事责任”,可以看出此类处理个人信息行为是因违法性行为的无过错责任。我国台湾地区“个人资料保护法”第29条规定:“非公务机关违反本法规定,致个人资料遭不法收集、处理、利用或其他伤害当事人权利者,负损害赔偿责任。但能证明其无故意或过失者,不在此限”。可以
24、看出,我国台湾地区对非公务机关侵害个人信息适用过错推定责任归责原则。比较法上,欧盟“GDPR”关于个人信息处理主体虽未区分国家机关与非国家机关,但从第5条规定可以看出,个人信息控制者需90内蒙古农业大学学报(社会科学版)2023 年第 1 期(第 25 卷,总第 127 期)承担处理个人信息合法合理性、透明性、目的限定性、数据最小化、准确性、完整性、保密性等方面证明责任。换言之,个人信息处理中发生侵害个人信息行为,而给信息主体造成损害,应适用过错推定归责原则。综合言之,非国家机关信息处理中侵害个人信息而给信息主体造成损害后果,若由信息主体证明侵权人存在过错,无异于助推侵权人逃避惩罚,对保护信息
25、主体合法权益十分不利。数字时代背景下,非国家机关作为个人信息处理主体,为兼顾个人信息保护和数字经济发展等角度综合考量,其在合法框架内处理个人信息而给信息主体造成侵权损害后果,应适用过错推定责任归责原则,如此设计,不仅可有效保护自然人个人信息,还能促使信息处理主体在处理个人信息中持谨慎态度。三、侵害不同类型信息主体的侵权责任归责原则王泽鉴认为:“概念是 抽象 的,须具体化于个别事物之上”,如,通过类型化方法对基本概念进行阐释对认识事物至为重要。9结合我国关于个人信息所采取的“抽象概括不完全列举”界定方式,是抽象概括基础上以不完全列举方式规定个人信息。通过类型化视角将个人信息分类,可透析不同类型个
26、人信息内在本质,弥补个人信息一般性分类周延性不足缺陷。我国学者根据不同标准有不同的划分方法。结合论证所需,结合数字时代背景,鉴于个人信息所涉范围较广、来源渠道多等特点,将不同类型信息主体分为成年人个人信息和未成年人个人信息。此种类型化划分,主要在于两类不同信息主体的个人信息敏感度、受到侵害后的影响等存在不同,并且此类划分对司法实践有一定指导意义。一般而言,成年有完全民事行为能力(排除智力因素影响),对其行为一般都有一定辨识能力,可以独立实施法律规定的民事法律行为,并对其法律后果负责。虽然我国 民法典 将十六周岁的特定人群视为完全民事行为能力人,从年龄角度仍属于未成年人,对其行为并有充分认知。结
27、合本议题,在侵害个人信息场景中,鉴于成年人同未成年人的区别,对二者个人信息受到侵害后的侵权责任归责原则应是值得研究的问题。(一)侵害成年人个人信息的侵权责任归责原则成年人个人信息,是指一切同成年人主体具有相关性的数据信息都可被认定为成年人个人信息。数字化社会背景下,个人信息已然成为社会发展中的重要资源,特别是网络及智能科技迅猛发展的数字时代背景下,个人信息综合价值体现更为明显,而个人信息价值愈突出,其所面临的风险愈加剧,当下个人信息处理中侵害自然人个人信息现象愈演愈烈。关于个人信息保护问题,有学者从个人信息可体现商业经济价值角度,从财产权视角保护个人信息符合数字化社会特质,10但多数大陆民法学
28、者从传统大陆法系权利分类角度阐释并综合认为,个人信息保护本质上是对自然人的人格权保护,若个人信息被财产权化,则存在自然人及其人格被商品化的可能,违背“人本身即是目的”意涵。正如有学者所言:“至于高度属人化且已成为人格一部分的个人资料,亦不能任意令其商品化或物化,以贬抑人格尊严,譬如医院把产妇资料提供给奶粉销售者;发行信用卡的银行,在未经当事人同意的情况下,把客户的资料提供给邮购公司谋利,此皆已将人及人格商品化、物化,侵害人性尊严”。11王利明教授认为,个人信息所包含的内容和特征可以看出,我们应确认个人信息的权利地位,将个人信息纳入人格权范畴,并从人格权视角保护个人信息,此方案攸关我国民法典实施
29、中司法解释等制度设计能否为个人信息提供全面保护也是人格权法富有时代性的体现。12杨立新认为,民法总则 第111条本质上是规定了个人信息权,并在我国 民法典 进一步体现,个人信息主要体现为精神性人格利益和具有财产性的人格利益角度,个人信息是一项人格权,应从人格权角度保护个人信息,并指出相对个人信息权利人而言的所有义务人有不得侵害个人信息的权利,即法律所保护的人格权。13齐爱民认为,个人信息体现人格利益,是人格权中的一种,个人信息保护应从人格权视角保护个人信息等14。总而言之,学界主流观点认为,如将个人信息视为财产权客体,忽视了个人信息人格属性,实难对个人信息做到有效且充分的保护。我国 民法典 虽
30、未采“个人信息权”表述,但将个人信息规定91 王勇旗 数字时代侵害个人信息的归责原则适用以类型化为视角政治与法律在人身权利后,可探知国家此种立法意图在昭示个人信息所有的人格权属性,并将个人信息所体现的财产性利益予以保留,是为进一步完善个人信息保护制度的体系化建设。由上可知,不同主体处理个人信息中侵害自然人个人信息而使信息主体人格性权利遭受损害时,为有效且更为周延保护成年人人格利益,防止“人格物化”趋势,当发生侵害个人信息并产生侵权责任时应适用无过错责任归责原则。但应明确其中一重要前提,即受害人应举证证明其人格利益受到损害的事实。而因侵害个人信息使信息主体受到财产性损害时,为有效平衡个人信息保护
31、同数字经济发展间平衡关系,应采取过错推定归责原则较为妥当。(二)侵害未成年人个人信息的侵权责任归责原则未成年人心理、生理发育程度尚不成熟,自身辨识能力和行为后果判断、认识能力处于发展阶段。个人信息处理过程中尤其是所涉未成年人群正处于身心健全发展的关键阶段,其世界观、人生观、价值观尚未完全建立,存在辨识能力、自控能力不强等特点。面向网络虚拟世界更是缺乏足够认知,不能准确辨识网络应用场景中因个人信息被处理所可能受到的侵害,亦不能有效辨识智能APP所设定的隐私政策内容等,当遭受因个人信息泄露或被不当使用后受到侵害时,更是缺乏有效自救途径。个人信息处理中因个人信息泄露、不当处理等侵害行为可对未成年人身
32、心健康发展、心理和道德塑造产生不可逆的负面影响,如暴力攻击性增加、思维迟钝、反社会行为、负面性的自我感知、缺少现实性及存在身份困惑等负面影响和危害。未成年人群体特殊性在个人信息领域可见一斑,尤其是未成年群体中的儿童个人信息更是如此。以儿童个人信息为例,关涉儿童个人信息,我国既定法律规范包括 儿童个人信息网络保护规定(简称 规定)未对儿童个人信息作出明确界定及系统化、制度化设计。随着网络科技进步、网络应用普及和个人信息经济价值不断彰显趋势,儿童个人信息受到侵害的可能性愈发加剧。通过立法比较可知,欧盟及美国对儿童在网络环境下个人信息保护十分重视,如欧盟“GDPR”对十六周岁以下儿童个人信息加以特殊
33、保护,美国 儿童网络隐私保护法 对13周岁以下的儿童网络个人信息给予特殊保护等。15鉴于我国既定法律及其他制度规范未明确界定儿童个人信息,为便于网络环境下加强儿童个人信息保护,准确界定儿童个人信息尤为关键。因儿童群体生活环境单一,其个人信息碎片化程度较小、分布较为集中,具有很强识别性及高度敏感性等特质,尤其网络环境下,依托信息处理技术可较为准确识别出个人信息背后具体的儿童身份。结合我国 网络安全法 规定 等要求,可从“可识别性”“人格权属性”角度界定网络环境下儿童个人信息,即以任何方式所记录的能够单独或与其他信息相结合可识别儿童个人身份的各种信息,包括但不限于儿童出生所在医院、出生证明、乳名、
34、疫苗接种记录、户籍登记姓名、家庭住址、监护人(一般为儿童父母)、所在的学校等教育培训机构、网络浏览记录(或处于婴儿期的父母为其购买奶粉、营养品等浏览记录)等与儿童人身密切相关的信息,体现出比成人个人信息较强的人身专属性。儿童阶段在人生发展轨迹中占据重要位置,是世界观、人生观、价值观逐步成型的关键阶段,加之该群体具有先天的脆弱性,在其身心健康和心灵培育过程中亟需社会倍加呵护,应以“儿童利益最大化”“保护弱者”等理念并形成倾斜性的社会法原则。16国际层面上,2003年信息社会世界高峰会议上,与会各国政府在 日内瓦宣言 中承诺信息技术的发展应当尊重和保护儿童权利;2005年,信息社会世界高峰会议上所
35、达成的 突尼斯承诺 中明确信息科技的高速发展应以儿童最大利益原则为首要基准;2014年,欧洲委员会出台的 欧洲委员会部长委员会关于网络用户人权指南的建议 提出儿童在使用网络过程中应受到特殊保护等。我国历来重视儿童权益保护,并在国家法律规范体系中具有特殊的法律地位,如我国 宪法第46条第2款和第49条第1款明确规定,儿童有受教育的权利,国家培养儿童在品德、智力等方面全面发展,并受到国家的保护,并在我国 未成年人保护法(2020年修订)等相关制度规范中明确未成年人的合法权益应受到优先保护。通过 规定 具体规则设计更加严格的方式保护儿童个人信息,如监护人同意、企业义务、儿童个人信息安全评估机制等,是
36、儿童利益最大化原则体现。加强儿童权益保护,实现儿童利益最大化,是当前国际社会关于互联网治理的总体趋势和主流价值理念,并且以儿童利益最大原则已作为 儿童权利公92内蒙古农业大学学报(社会科学版)2023 年第 1 期(第 25 卷,总第 127 期)约 最为重要的基本原则。172003年,日内瓦宣言 中承诺信息技术的发展应当尊重和保护儿童权利。2005年,突尼斯承诺 中明确信息科技的高速发展应以儿童最大利益原则为首要基准。2014年,欧洲委员会部长委员会关于网络用户人权指南的建议 提出儿童在使用网络过程中应受到特殊保护。2014年,联合国人权理事会通过的 工商业与人权:实施联合国“保护、尊重和补
37、救”框架指导原则 中要求企业的活动必须保障儿童权利。可见,儿童权益保护已得到国际社会广泛认可和支持,并以立法形式确定下来。鉴于儿童个人信息主要体现在生物性识别信息,其具有敏感性、较强的人格属性等及网络运营者处理个人信息时高度技术性等特征,个人信息处理中,一旦发生侵害儿童个人信息行为并产生损害后果,在侵权责任归责原则上应严格践行举证责任倒置制度,即过错推定归责原则,以平衡信息主体与信息处理主体间技术鸿沟;而涉及侵害儿童生物识别类个人信息,则应适用无过错责任归责原则,以实现对儿童利益的最大化保护。四、侵害不同敏感度个人信息的侵权责任归责原则根据个人信息同信息主体间私密性程度,可将个人信息分为个人生
38、物识别信息、敏感个人信息和普通个人信息。我国有关个人生物识别信息主要规定在 网络安全法 国家安全技术个人信息安全规范(国家标准GB/T 35273-2020)等制度规范,是不完全列举形式,包括“个人基因、指纹、声纹、掌纹、耳廓、虹膜、面部识别特征”等。2009年,美国伊利诺伊州生效的 生物识别信息隐私法案 中对生物识别信息作出规定:生物识别信息是指,基于个人的任何信息,用于识别个人的生物特征标识符,而不管其获取、转换、存储或共享方式如何,不包括从该定义中排除的生物特征信息或通过程序衍生的信息。敏感个人信息同个人生物识别信息存在交叉,欧盟地区对此类个人信息的处理做出原则性禁止规定。我国 民法典
39、第1032条规定个人私密信息属于隐私权范畴,但对其概念并未界定,我国 个人信息保护法未规定个人私密信息,仅列明敏感个人信息处理规则。有学者认为,“部分个人资料之性质较为特殊或具敏感性,如医疗、基因、性生活、健康检查、犯罪前科”属于敏感个人信息,18并应对其加以特殊保护,在对该类个人信息使用时应进行严格限制,以免引起社会不安或对当事人造成难以弥补的伤害。而普通个人信息需结合既有个人信息保护类立法和相关司法实践,并根据个人信息主体身份及其他相关因素综合考量而定。不同主体在个人信息处理中侵害自然人生物识别信息、敏感个人信息和普通个人信息,因不同类型个人信息敏感度不同,对信息主体人格利益等影响亦会存在
40、不同,对此不宜一概适用统一的侵权责任归责原则。个人信息侵权责任归责原则适用上,当发生侵害个人生物识别信息时,肇因个人生物识别信息敏感度最强,同信息主体甚至其宗族关系甚巨,如基因信息、家族遗传病等信息。此类个人信息一旦泄露,不仅对本人及家庭产生影响,而且一旦发生跨境流通并被非法使用,还可能对整个民族或者国家生物安全产生威胁。国家对此类个人信息应采取最为严苛的立法态度,个人信息处理中侵害个人信息应适用无过错责任归责原则,给予信息主体最为周延保护。而敏感个人信息,主要涉及个人不愿或不宜对外公开的个人信息,如婚史、犯罪前科、财务状况等,此类信息相较普通个人信息而言,私密性较强,个人信息处理中一旦发生侵
41、权行为,对信息主体本人或者家庭会产生威胁。再如公众人物家庭住址信息、子女入学就业等信息,对信息主体而言是个人敏感类信息,侵害此类个人信息并产生损害宜采取过错推定责任。即个人信息处理主体只要证明其处理行为不存在过错或存在法定、约定免责事由,即无需承担法律责任。而普通个人信息,如姓名、性别、教育背景、职业等个人信息,一般属于个人社会交往所必备信息,个人信息处理中对此类信息的侵害,一般会发生商业利用或社会公共事业管理中,通过信息主体主动或被动提供并被进一步处理,对此类信息损害采取过错责任归责原则较为合适,个人信息主体是否受到损害及损害后果应负有证明责任。如此,既有效保护信息主体合法权益,又可有效促进
42、个人信息综合价值实现。结合数字时代背景下侵害个人信息,侵权主体会随着网络信息社会向前发展而呈现多样性。具体而言,从信息处理主体角度,侵权主体主要包括国家机关和非国家机关,此类主体对个人信息93 王勇旗 数字时代侵害个人信息的归责原则适用以类型化为视角政治与法律处理过程中,可能存在泄漏、非法使用等侵权行为。按照侵权法传统观点,侵权责任归责原则的适用主要应结合侵权损害事实的发生。而一种损害事实对侵权行为人而言,一般适用过错责任归责原则,具有开放性和普遍适用性,但也会存在因不同侵权主体实施不同侵权方式而适用不同归责原则或多种归责原则相结合情形。根据我国 民法典 第1165条第1款规定,个人信息保护视
43、域,侵害个人信息属于一般侵权行为,应适用过错责任原则。域外很多国家和地区对此规定存在不同,一般采取较为严苛的过错推定或无过错责任归责原则。若个人信息处理中侵害个人信息一概适用过错责任原则,显然不利于保护个人信息,与数字时代个人信息处理情形不符。立基于此,本文从个人信息处理中不同类型侵权主体、不同类型化个人信息主体和不同敏感度个人信息在侵权行为发生并造成损害后果等角度出发,并结合上述不同特殊性,在侵权责任归责原则上进一步细化,当存在较为复杂场景时,应从最有利于保护个人信息主体利益,尤其是保护自然人人格利益出发,适用最利于个人信息主体的归责原则。质言之,个人信息处理中侵权责任归责原则的适用应在保护
44、个人信息基础上来规范个人信息处理行为,进而促进个人信息利用价值的实现。五、结语大数据分析、云计算、算法、人工智能、互联网应用等高新科技广泛应用的数字时代背景下,不同信息处理主体处理个人信息呈现自动化处理特点,以便于实现个人信息的规模化处理。国家在鼓励数字经济持续、稳步、健康发展的同时,要秉持保护个人信息的理念,完善有关个人信息保护法律法规。我国 民法典 个人信息保护法 相关司法解释出台之前,信息处理主体应负有更重的举证责任是数字时代个人信息处理实践经验的总结。19个人信息处理应以 民法典 个人信息保护法 等相关法律为根据,并综合考量不同类型信息处理主体及个人信息综合分类基础上的特殊因素,以过错
45、责任归责原则为基础,充分发挥无过错归责原则在保护信息主体合法权益中的价值。结合不同场景下处理个人信息情形以判定区分适用不同类别侵权归责原则,平衡数字经济发展同个人信息保护间关系,合理规避数字时代个人信息处理过程中给自然人带来潜在风险或实质损害。参考文献:1 魏振瀛.侵权责任方式与归责事由、归责原则的关系J.中国法学,2011(2):27-37.2 邹海林,朱广新主编.民法典评注:侵权责任编M.北京:中国法制出版社,2020:13.3 孙莹.大规模侵害个人信息高额罚款研究J.中国法学,2020(5):106-126.4 王泽鉴.侵权行为法(第一册)M,北京:中国政法大学出版社,2001:13.5
46、 谢鸿飞.个人信息处理者对信息侵权下游损害的侵权责任J.法律适用,2022(1):23-26.6 叶名怡.个人信息的侵权法保护J.法学研究,2018(4):83-102.7 杨立新.侵害公民个人电子信息的侵权行为及其责任J.法律科学,2013(3):147-152.8 程啸.论侵害个人信息的民事责任J.暨南学报(哲学社会科学版),2020(2):39-47.9 王泽鉴.民法思维:请求权基础理论体系M.北京:北京大学出版社,2009:9.10 刘德良.个人信息的财产权保护J.法学研究,2007(3):80-91.11 李震山.人性尊严与人权保障M.台北:元照出版公司,2001:284-285.1
47、2 王利明.论个人信息权在人格权法中的地位J.苏州大学学报(哲学社会科学版),2012(6):68-75,199-200.13 杨立新.个人信息:法益抑或民事权利:对 民法总则 第111条规定的“个人信息”之解读J.法学论坛,2018(1):34-45.14 齐爱民.论个人信息的法律保护J.苏州大学学报(哲学社会科学版),2005(2):30-35.15 傅宏宇.我国未成年人个人信息保护制度构建问题与解决对策J.苏州大学学报(哲学社会科学版),2018(3):81-89.16 廖兴存.法益保护原则视阈下儿童色情制品持有入罪论J.当代青年研究,2018(4):64-70.17 佟丽华.儿童网络安全风险、网络保护的国际发展及其启示J.中国青年社会科学,2018(1):129-135.18 林洲富.个人资料保护法之理论与实务M.台北.元照出版有限公司,2019:32-33.19 最高人民法院民法典贯彻实施工作领导小组主编.中华人民共和国民法典人格权编理解与适用M.北京:人民法院出版社,2020:381.责任编辑:张榕94
浙ICP备2021020529号-1 | 浙B2-20240490 
