个人信息泄露侵权的证明责任问题——以不明第三人侵权为中心.pdf

资源描述

1、数字法治个人信息泄露侵权的证明责任问题以不明第三人侵权为中心吴泽勇摘要在不明第三人利用平台掌握的个人信息进行侵权的案件中,如果权利人向个人信息处理者追责,就需要证明是后者泄露了其个人信息.就此存在一定的证明困境,但不需要通过证明责任倒置或者证明标准降低来缓解.经由“权利人进行可期待的初步举证法官形成临时心证平台进行可期待的反证法官形成终极心证”这一路径,法官仍然可以对待证事实形成内心确信.至于被告提出还存在其他个人信息控制者的主张,在性质上属于对其不当个人信息处理行为与权利人损害之因果关系的否认,主张者应当对此进行必要的证明.如果被告证明第三方平台同样有可能泄露权利人个人信息,则案件转而适

2、用共同危险行为责任,权利人有权申请追加该第三方平台作为共同被告.而案件的证据调查进程,并不会因此受到实质性影响.这一分析表明,即使对于网络时代的新型案件,经典证明责任原理也仍有用武之地.关键词个人信息泄露第三人侵权证明责任证明标准共同危险行为一、问题的提出根据民法典第条和个人信息保护法第条,如果个人信息处理者泄露个人信息造成损害,个人信息处理者应承担损害赔偿等责任.实践中,个人信息处理者直接侵权导致损害赔偿责任的情况并不多见.因个人信息侵权导致财产损失的,多是第三人利用非法获取的个人信息,对个人信息权利人实施的违法犯罪行为.这类案件中,如果直接侵权人被抓获,检察机关通常会对其提起公诉,

3、被害人也可以对侵权人提第卷第期地方立法研究V o l N o 年月日L o c a lL e g i s l a t i o nJ o u r n a lJ u l ,华东师范大学法学院教授、博士生导师.本文系年国家社会科学基金项目“民法典实施中的证明责任疑难问题研究”(B F X )和年国家社会科学基金重大项目“我国民法典编撰重大问题研究”(&Z D )的阶段性成果.基于个人信息处理平台的存续目的,此类企业通常不会主要利用个人信息牟取经济利益,权利人也很少会因为个人信息处理者侵害其个人信息权利而遭受经济损失.实践中,因个人信息处理者直接侵权而导致的诉讼,其诉讼请求一般表现为停止侵害、

4、赔礼道歉等.起附带民事诉讼;如果涉及大量受害人,检察院还可能提起附带民事公益诉讼.由于侵权人明确、加害行为具体,这种针对直接侵权人的民事追偿不会遇到太大问题,多数时候也不需要对个人信息处理者进行额外的追责.难题出现在直接侵权人不明的场合.如果直接侵权人尚未找到也许永远找不到,被害人可能直接起诉获取掌握个人信息的平台,要求后者承担损害赔偿责任.按照民法典和个人信息保护法的相关规定,权利人将个人信息提供给个人信息处理者,后者有义务保证信息不被泄露.从情理上讲,如果个人信息处理者未履行此种义务,导致信息泄露,并被不明第三人利用实施诈骗之类的犯罪行为,被害人当然有理由要求个人信息处理者承担责任.

5、不过,从个人信息处理者的角度,受害人只是被某个不明第三人侵害,其损失未必当然归咎于个人信息处理者.针对这种越过直接侵权人向个人信息处理者提出的诉讼请求,后者很容易提出以下两个反驳:其一,被第三人利用的个人信息不一定是从它那里获取的;其二,即使个人信息是从它那里获取的,它也未必就有什么不当的行为.比如,第三人可能是通过最新黑客手段盗取了个人信息,而个人信息处理者对此无法预见,也无法阻止.按照侵权责任法的一般原理,权利人需要证明行为人从事了违反个人信息保护义务的行为,而且正是该行为导致权利人受到损害,否则法官就不能判决行为人承担侵权责任.但在诉讼实践中,权利人证明上述事实的能力非常有限.这种背景下

6、,应如何分配权利人与个人信息处理者的证明负担,方能实现对两类主体的均衡保护?更为棘手的是,在个人信息利用的实践中,权利人的个人信息经常被多家平台所掌握.被诉的个人信息处理平台会主张,所有这些平台都有可能泄露案涉的个人信息.按照通常的侵权法原理,如果无法锁定侵权人,也就无法对权利人进行救济.而要求权利人锁定具体是哪家平台实际泄露了个人信息,几乎不可能.如此一来,权利人的法律地位可谓雪上加霜.上述问题不仅涉及实体法条文的解释适用,也涉及相关要件事实的证明.事实上,两个问题常常相生相伴,难分彼此.本文尝试从证明责任角度分析这些问题.本文的讨论,一方面旨在优化个人信息泄露案件的实务处理方案;另一方面,

7、也试图检验经典证明责任理论在新型案件中的解释力.个人信息保护对传统法律制度提出了系列挑战,位于实体法与程序法交叉领域的证明责任理论,没理由回避这种挑战.二、构成要件与证明责任(一)请求权基础与构成要件上文提到的不明第三人利用个人信息侵权,多发生在权利人通过网络平台购买商品或服务的场合.典型的案型是:权利人通过网络平台购买机票,留下了自己的姓名、身地方立法研究年第期裁判文书网关于个人信息保护法第条的有限案例,基本上都是这个类型.份证号码、手机号码等个人信息;事后收到假冒航空公司的诈骗短信,并在对方诱导下进行“退款”或者“改签”操作,从而蒙受金钱损失.案件发生后,受害人一般会去公安机关报案.

8、但在案件尚未侦破之前,如果受害人向法院起诉交易相对人并要求后者承担责任,法院应如何处理?这里需要讨论的问题有两个:一是权利人起诉网络平台的请求权基础是什么;二是权利人主张和证明哪些事实,法院才能判决网络平台承担责任.实践中,权利人可能基于违约责任起诉,也可能基于侵权责任起诉.就前者而言,权利人通过购买机票的行为,与航空公司达成了航空旅客运输合同.基于该合同,航空公司不仅负有将权利人安全送达目的地的主给付义务,还负有保护权利人个人信息的附随义务.而在权利人通过第三方票务公司购买机票的场合,权利人通常还与票务公司达成了购票服务合同.根据该合同,票务公司同样负有保护权利人个人信息的附随义务.基于此种

9、合同上的附随义务,权利人在因个人信息泄露遭受损失时,有权起诉合同相对人请求损害赔偿.另外,权利人也可以依据民法典第条和个人信息保护法相关规定,向航空公司或票务公司提起侵权损害赔偿诉讼.尤其是个人信息保护法第条,为此类案件提供了直接的请求权基础.如果权利人起诉违约损害赔偿,需要证明他遭受了损失、合同相对方未尽附随义务(未对其个人信息进行恰当保护)、其损失具有可预见性(只有相对方在订立合同时可以预见的损失,才能被纳入损害赔偿责任的考虑范围).一般认为,违约责任为无过错责任.如果起诉侵权责任,权利人则要证明他遭受了损失、潜在侵权人有加害行为(未尽法律规定的个人信息保护义务)、其损失与加害行

10、为之间有因果关系.鉴于个人信息保护法第条明确采纳了推定过错的归责原则,权利人无须证明行为人对其加害行为有主观过错,但后者可以通过证明其无过错来寻求免责.对于权利人而言,违约责任的优势在于责任人明确.基于合同相对性,权利人只能向合同相对人主张损害赔偿责任,法院也只需审查合同相对人是否有违约行为.侵权责任则正好相反,基于民法典和个人信息保护法的明确规定,权利人可以同时对多名潜在责任人进行追诉,而法院也经常要面对多个信息处理主体互相推诿的局面.除此之外,二者在核心要件上并无重大差异.无论选择何种请求权基础,权利人都要证明被告违反了法律规定的个人信息保护义务,以及他为此遭受了损失.至于侵权责任

11、中的因果关系要件,有学者认为,其实与违约责任中的可预见性功能相似,在审查方式上也存在明显的趋同.从这个角度来看,选择违约责任还是侵权责任,对于证据调查没有重大影响.有学者认为,对因个人信息泄露导致权利人受损的案件,应适用安全保障义务.吴泽勇:个人信息泄露侵权的证明责任问题实践中还有一个问题也经常被提起,即民事诉讼能否在刑事案件破案之前进行.多数法院对此作出了肯定的回答.参见汪倪杰:论民法典中合同与侵权的开放边界以附随义务的变迁为视角,载法学家年第期,第页.参见高争志:侵权责任视角下的个人信息安全保障义务探究,载重庆邮电大学学报年第期,第页;万方:公私法汇流的闸口:转介视角下的网

12、络经营者安全保障义务,载中外法学年第期,第页.理论上,安全保障义务的功能在于解决第三人介入引起的因果关系中断问题,从这个意义上,它确实能满足第三人侵权场景下向个人信息处理者追责的需要.但在实践中,我国法院并不拒绝在一般侵权责任的框架内讨论个人信息处理者的责任,因果关系中断的问题也没有给法官带来普遍困扰.这种越过直接侵权人,直接运用一般侵权责任向间接侵权人追责的做法,在直接侵权人事后出现,从而需要考虑其与个人信息处理者之间责任分担的场合,可能会带来一些问题.但是,对于本文关注的事实调查而言,这种简化处理不会带来太大影响.无论如何,只要是被告因违反对个人信息的保护义务导致个人信息泄露,而正是

13、这一信息泄露行为让第三人有机会对权利人实施侵害,就可以认为条件说意义上的因果关系已然成立;从而也可以暂时认为,个人信息处理者应当承担侵权责任.鉴于以上认识,下文仅从一般侵权责任出发,对不明第三人侵权背景下的个人信息泄露责任展开讨论.(二)证明责任分配根据个人信息保护法第条和民诉法司法解释第条,如权利人根据侵权责任提起诉讼,应就侵权责任的客观要件负证明责任,这包括加害行为、损害后果以及二者之间的因果关系;权利人不需要证明个人信息处理者主观上有过错,但假如后者能够证明其无过错,则无须承担责任.根据这一证明责任分配方法,事实审理过程中,法院应首先调查个人信息处理者泄露个人信息的事实性要件是否

14、成立.当这些要件成立时,才有必要进一步调查个人信息处理者对损害的发生有无过错.有观点认为,考虑到权利人的证明能力与其证明责任不匹配,而且这种证明责任分配方式更容易纵容泄露隐私信息的行为,应将因果关系的证明责任分配给信息控制者.在个人信息保护法第条只倒置了过错要件证明责任的立法背景下,这一观点显然没有法律依据.立法论上,这种观点也无法获得认同.因果关系是侵权责任成立的基础性要件,如果不能确认加害行为与损害后果之间有因果关系,侵权行为在事实层面就无从谈起.因此,因果关系的证明责任倒置在侵权法中非常罕见,而且极易引发争议.地方立法研究年第期参见冯珏:安全保障义务与不作为侵权,载法学研究年第

15、期,第页.区别只不过是,对于不作为侵权,条件说的成立采替代法(如有则无)而非排除法(如无则无).在这种证明责任分配方案下,无过错实际上处于抗辩的位置,按照伊藤兹夫的“开放性原理”,在权利成立阶段,法官无须对抗辩事实进行调查.参见日伊藤兹夫:要件事实的基础民事司法裁判结构,许可、小林正弘译,法律出版社年版,第页.参见刘家安:个人信息泄露因果关系的证明责任评庞某某与东航、趣拿公司人格权纠纷案,载交大法学年第期,第页.我国侵权法只对环境侵权中的因果关系适用了证明责任倒置,但这在比较法上并非常态,也遭到了学界的广泛批评.参见马栩生:环境侵权视野下的因果关系推定,载河北法学年第期,

16、第页;薄晓波:倒置与推定:对我国环境污染侵权中因果关系证明方法的反思,载中国地质大学学报(社会科学版)年第期,第页;张宝:环境侵权诉讼中受害人举证义务研究对侵权责任法第条的解释,载政治与法律年第期,第页;张旭东:环境侵权因果关系证明责任倒置反思与重构:立法、学理及判例,载中国地质大学学报(社会科学版)年第期,第页;张子昕:环境侵权因果关系的具体化标准与推定路径,载安阳师范学院学报年第期,第页.权利人确实很难证明其损害是因为信息控制者泄露个人信息引起的,但是,信息控制者要证明个人信息不是它泄露的,同样困难.可见,这种证明困难源于个人信息泄露本身的特征,是一种双向的而非

17、单向的困难.更重要的是,解决证明困难不是证明责任制度的主要功能.作为实体法上的风险分配机制,证明责任要解决的问题是,事实真伪不明时判谁败诉.而在因果关系真伪不明时判决信息控制者败诉,是更公平的证明责任分配方法吗?这种证明责任分配方法,是否会给处理个人信息的企业带来不合理的负担?凡此种种,证明责任倒置说似乎都没有考虑.持证明责任倒置说的论者也提到,倒置因果关系的证明责任,并不意味着权利人不需要对因果关系进行任何证明.他要首先要证明“信息控制者控制了其隐私信息且有泄露其隐私的高度可能性”.权利人完成了这种证明之后,被告才有必要证明自己的行为与原告损害间没有因果关系.而作为被告的信息控制者,只需通过

18、证据“排除其泄露信息致害的高度可能性”,也就是说,只需要将这一可能性降低到正常情形,即可认为否定了因果关系.如果按照这种理解,因果关系的证明责任毋宁仍在权利人一方.我国民事诉讼法上的法定证明标准本来就是高度盖然性的.原告需要证明存在因果关系到法定证明标准,而被告只需将法官心证拉低到法定证明标准以下,这不涉及证明责任倒置,不过是一般证据法原理的运用而已.司法实践中,权利人能够充分证明的一般只有第三人利用其信息实施了违法犯罪行为,以及该行为导致了他的经济损失.就个人信息处理者的侵权责任而言,这其实只涉及责任成立要件中的损害后果要件.逻辑上,法院如果要判决个人信息处理者承担间接侵权责任,至少还需认定

19、:第三人系从被告个人信息者处获取的案涉个人信息,该信息的获取源于个人信息处理者对个人信息保护义务的违反,个人信息处理者并非无过错.其中,和大体指向加害行为和因果关系两个要件,而则指向过错要件.但在真实诉讼中,权利人一般不需要就进行特别的主张和举证.这是因为,个人信息保护法第条明确规定,个人信息处理者应当采取六类措施保护个人信息,“并防止未经授权的访问以及个人信息泄露、篡改、丢失”.个人信息保护法颁布前,曾有学者认为,个人信息安全保障义务应当被定位为手段义务,而非结果义务.从个人信息保护法第条来看,该条既规定了个人信息处理者应当采取一系列个人信息保护措施,同时也规定,个人信息处理者应当“防

20、止未经授权的访问以及个人信息泄露、篡改、丢失”.从文义上,将该条定位为结果义务和手段义务都说得通.但是,即便将该条定性为手段义务,法官如果认定个人信息系从个人信息处理者控制的平台流出,也不妨同时认定个人信息处理者违反了该条规定的义务.从逻辑上,法律规定这些作为义吴泽勇:个人信息泄露侵权的证明责任问题同注,第页.个人信息保护法第条规定:“个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等,采取下列措施确保个人信息处理活动符合法律、行政法规的规定,并防止未经授权的访问以及个人信息泄露、篡改、丢失:(一)制定内部管理制度和操作规程;(二)

21、对个人信息实行分类管理;(三)采取相应的加密、去标识化等安全技术措施;(四)合理确定个人信息处理的操作权限,并定期对从业人员进行安全教育和培训;(五)制定并组织实施个人信息安全事件应急预案;(六)法律、行政法规规定的其他措施.”同注,高争志文,第页.务的目的就是“防止未经授权的访问以及个人信息泄露、篡改、丢失”,而一旦个人信息泄露,法官就有理由推定这些义务没有得到履行.这种推定在性质上属于事实推定而非法律推定,但是,因为得到法律规范内在逻辑的支持,假如个人信息处理者要反证,也要承担很重的证明负担.针对,个人信息处理者可以提出的证据无非是其尽到了该条规定所设定的各项个人信息保护义务,因此权利人

22、个人信息的泄露不应归咎于它.不难发现,这种反证与个人信息处理者对其“无过错”的证明在内容上高度重合,在程度上也只有微妙差异.考虑到这些因素,法官一般无须对进行专门调查,只需要让原告和被告依次证明和即可.三、要件事实的证明(一)网络平台泄露个人信息的证明如前所述,权利人遭受第三人侵权后起诉个人信息处理者,首先需要证明后者泄露了个人信息.但对权利人来说,这一事实几乎无法通过直接证据证明,因为他不可能掌握其个人信息被泄露的具体细节.另外,虽然个人信息有可能是从网络平台泄露的,但有机会接触个人信息的人员可能很多,要平台逐一证明这些人没有泄露个人信息,也非常困难.可见,无论原告还是被告,都不掌握事件经过

23、的直接证据,这类案件也很难说是典型的“证据偏在型”案件.从根本上,这里的证明困境源于网络时代个人信息侵权的结构性特征.个人信息本来就是一种精神性的存在,其传播过程很多时候不会留下物理痕迹.在互联网时代,个人信息的传播更是呈现出转瞬即逝的特征,事后追查和复盘可遇不可求.凡此种种,使得个人信息泄露案件中存在一般的、不以当事人身份为转移的证明困境.对此困境,诉讼法要给出解决的办法.有学者认为,考虑到权利人的证明困难,应对此类案件采取更低的证明标准.笔者不赞同这种观点.在现代自由心证的背景中,民事诉讼中的证明是一种主观证明,其终极目的,是让法官形成对待证事实的内心确信.而证明标准,不过是立法者为规范此

24、种自由心证所预先确定的确信尺度.按照我国民事诉讼法司法解释,民事诉讼采取高度盖然性的证明标准.这意味着,只要法官认为待证事实为真的可能性明显大于为伪的,即可认定事实成立.至于何时达到此种证明标准,则只能留给法官判断.在具体审判活动中,法官要根据案件的类型和结构、负证明责任当事人可能提供的证据、其实际提供的证据,来决定是否作出待证事实为真的判断.在自由心证的语境中,这只是不同的心证达成途径,不涉及证明标准的高低.之所以强调这一点,是因为这涉及个人信地方立法研究年第期参见杨立新:侵害公民个人电子信息的侵权行为及其责任,载法律科学年第期,第页;刘承韪、刘磊:论私密信息隐私权保护优先规则的困

25、局与破解以民法典第条第款为中心,载广东社会科学年第期,第页.参见吴泽勇:“正义标尺”还是“乌托邦”?比较视野中的民事诉讼证明标准,载法学家年第期,第页.息泄露侵权中的风险分配.降低证明标准,意味着将更多败诉风险分配给了个人信息处理者.既然立法者没有就个人信息泄露规定降低证明标准,就只能采民事诉讼中的一般证明标准,即高度盖然性标准.同时,唯有如此,也才能与前文所确定的证明责任分配方法保持一致.毕竟,对个人信息泄露负证明责任的是个人信息权利人.基于这种证明责任分配,无论因为何种原因,只要法官对被告泄露个人信息这一事实无法形成内心确信,就不能判其承担责任.真正需要讨论的是,面对个人

26、信息泄露侵权中的证明困境,法官应如何形成其对待证事实的内心确信?这涉及事实调查的方法论问题,需要略作展开.首先要强调的是,法官对待证事实形成内心确信,并非一劳永逸的过程.从客观证明责任的逻辑来看,法官不需要在诉讼早期就形成自己对待证事实的立场,他实际上可以带着“再看一看”的心态,在双方当事人的证据中间“目光往返”.从主观证明责任的逻辑出发,负证明责任的当事人当然应当首先提供证据证明待证事实.但是,这种证明并不需要一次性达到法定证明标准.法官能否对待证事实形成内心确信、形成何种确信,是他在证据调查终结时才需要回答的问题.在此之前,提出证据的责任会随着法官心证状态的变化,在当事人之间往返流动.那么

27、,负证明责任当事人需要证明待证事实到何种程度,法官才可以认为其尽到了初步的提供证据责任,以至于该责任应当转移给对方当事人呢?这是处理此类问题的关键.本文认为,负证明责任当事人只需让法官对待证事实形成临时心证,其提供证据责任就可以暂时解除.至于这种临时心证所需达到的确信程度,则因要件事实的不同而不同.对于不存在证明困境的要件事实,负证明责任当事人的初步举证一般要达到,或者至少要接近法定证明标准.因为,在这类案件中,负证明责任当事人在证据获取方面并不存在结构性的困难,法官有理由期待其一次性地进行较为充分的举证.对于证据偏在型的要件事实(比如违约金调减诉讼中的损害数额),负证明责任当事人的初步举证只

28、需达到较低的证明程度,也就是说,只要让法官相信其主张的事实有一定可能存在,法官即可形成临时心证.因为,在这类案件中,这就是法官唯一能期待负证明责任当事人进行的举证.在此基础上,对方当事人则需要进行较为充分的举证,来否认负证明责任当事人的事实主张.理论上,这可能是事案解明义务的要求,也可能涉及文书提出义务.而在待证事实双方当事人都难以证明的案件(比如个人信息泄露诉讼)中,法官只能期待双方当事人在各自力所能及的范围内进行相应的举证.对于原告来说,他所能举出的证据可能包括“涉案个人信息与被告掌握个人信息具有同一性”“侵权行为发生在被告控制个人信息期间”“网络平台具有泄露个人信息的不良记录”等等.理论

29、上,这些信息都不能直接证明被告个人信息处理者泄露了权利人的个人信息,但是它们综合起来,或许能让法官相信被告具有泄露了个人信息的可能性.考虑到这就是此类案件中法官能够期待权利人进行的举证,假如权利人完成了这类举证,法官就可以形成网络平台有可能泄露个人信息的临时心证.在此基础上,网络平台可以通过对其个人信息处理过程、内部管理机制的披露,来证明原告的个人信息不可能从被告的平台泄露.如果网络平台较好地完成了这种举证,法官此前的临时心证可能就会动摇,这时,权利人要么继吴泽勇:个人信息泄露侵权的证明责任问题续进行对自己有利的举证,要么接受败诉的后果;反之,如果被告平台不能进行有力举证,则法官经由原告举证获

30、得的临时心证就有机会进一步强化,乃至成为终极心证.因为案件具体情况不同,上述证明过程可能经过多轮的反复.上述模型中有两个关键概念:一是法官的临时心证,二是当事人举证活动的可期待性.法官的临时心证,是指法官基于现有证据形成的“待证事实可能为真”的临时判断.临时心证所需达到的证明程度,取决于当事人举证的可期待性.当事人举证的可期待性越高,临时心证所需达到的确信程度也越高,反之亦然.应当注意的是,这种可期待性只与案件的结构性特征相关,与个案中的特殊场景无关.上述原理看似复杂,但从一些典型案例来看,我国法官展开证据调查的方式实际上暗合了这些原理.案例在林某诉S航空公司侵权责任纠纷案中,二审判决认为,“

31、林某的证据能够证明其个人信息是从售票渠道泄露出去的基本事实”.理由是:首先,林某举证证明其购买机票后收到包含其姓名及航班信息的诈骗短信,并因此遭受损失;其次,林某不属于故意泄露信息进行虚假诉讼的情况;最后,林某已经尽其所能进行举证,不能要求其进一步举证.而S航空公司没有举证证明其尽到了保障消费者信息安全的义务.因此,“林某的证据虽不能证明其个人信息被泄露的具体环节,但已能证明其个人信息是通过S航空公司的售票系统有关环节被泄露,且S航空公司未尽到保障消费者个人信息安全的相关义务.因此S航空公司应当承担侵权责任”.案例在方某诉北京J网络科技公司、D航空公司等合同纠纷案中,法院认为,J公司有高度可能

32、泄露原告个人信息,而D航空公司在其掌握信息的阶段没有泄露原告个人信息.理由是:J公司掌握了原告的姓名、身份证号、手机号、行程信息等个人信息,在排除原告自身泄露的可能性之后,J公司具有泄露原告信息的高度可能;D航空公司虽然也掌握原告个人信息,但是其举证证明已采取有效措施保护乘客的个人信息 D航空公司对个人信息数据进行了脱敏设置,制定了严密的安全管理制度,对数据存储安全进行专门认证,执行个人信息保护和数据安全方面最严格的国际规范,等等.因此,被告J公司对原告未尽合同附随义务,应承担相应的责任.案例在原告申某诉上海X商务公司、Z网络技术公司侵权责任纠纷案中,法院认为,网络运营者对网络用户的个人信息负

33、有安全保障的法定义务.基于这一义务,被告X公司应当对案外人利用原告个人信息造成原告损失承担责任.理由是:申某已举证证明其将个人信息提供给X公司,后在较短时间内发生信息泄露,已完成相应合理的举证义务.基于涉案个人信息被短时间泄露等时空背景条件,可以认定X公司作为消费者所直接面对的第一手完整信息保管者存在泄露申某涉案地方立法研究年第期参见四川省成都市中级人民法院()成民终字第号民事判决书.参见广东省深圳市宝安区人民法院()粤民初号民事判决书.个人信息的高度可能.虽然X公司提交了隐私政策、敏感信息处理规范、敏感信息安全管理规定等证据,但是对其内部员工授权进行访问涉案订单的人员范围、访问敏感信

34、息的授权记录、监控情况、操作记录、内外部传输审批情况,X公司未提交证据举证.故申某对于个人信息泄露已完成举证,而X公司的主张及举证不充分,应认为X公司在信息安全管理的落实方面存在漏洞,未尽到对个人信息负有的信息保管及防止泄露义务.上述三个案例中,法官判决的请求权基础各不相同,第一个是消费者个人信息安全保护义务,第二个是合同附随义务,第三个是安全保障义务.但是,诉讼中争议的核心事实却是一样的,那就是,被告网络公司是否泄露了原告的个人信息.三个案例中,原告都没有直接证明被告泄露了其个人信息,但是法院认为,考虑到被告处理的个人信息与案外人诈骗所使用的信息具有高度同一性和时空关联性,可以认定被告有高度

35、可能泄露了原告个人信息.案例和案例中,原告还提供了与被告涉嫌泄露个人信息相关的媒体报道,进一步增强了法官的确信程度.尽管如此,按照前文分析,这里的高度可能性也只是一种临时心证,而非终极心证.法官是否最终认定被告泄露个人信息,主要取决于被告后续的反证.被告证明其没有泄露原告个人信息的渠道无非有两条,要么是其在个人信息保护方面没有漏洞,不可能泄露信息,要么是实际泄露信息的是其他主体.案例中的被告S公司、案例中的J公司、案例中的X公司没有完成这种证明,于是,法院关于其泄露个人信息的临时心证被强化,成为终极心证.与之相反,案例中的D公司则举证证明其尽到了个人信息保护义务,从而动摇了这种对其不利的临时心

36、证,避免了被判承担责任.由这些案例可知,泄露个人信息的事实尽管很难证明,但在合理分配当事人证明负担的情况下,法官是可以形成符合民事诉讼要求的内心确信的.其中的要点正是对临时心证的尺度把握,以及对双方当事人证明可期待性的区别对待.这一原理能够在我国司法实践中被下意识地运用,表明它符合法官的直觉,也符合此类案件事实调查的内在规律.(二)无过错的证明按照个人信息保护法第条,如果个人信息处理者可以证明其对个人信息侵权没有过错,不承担责任.这里采取了过错推定的归责原则.这不是证据法意义的法律推定,而是过错要件的证明责任倒置.这种归责模式下,权利人不需要就行为人有过错进行任何证明;而行为人需要证明自己

37、对于损害的发生没有过错,否则就要承担侵权责任.行为人无过错,是指行为人对于损害的发生没有主观上的故意或者过失.在个人信息泄露侵权案件中,一般是指行为人对个人信息泄露在主观上没有可预见性,即其无法预见,也不可能防止个人信息泄露的发生.从侵权责任的构成体系上看,过错属于主观要件,应当在客观要件确定之后进行调查.如果个人信息处理者证明自己不可能泄露个吴泽勇:个人信息泄露侵权的证明责任问题参见北京市朝阳区人民法院()京民初号民事判决书.一般来说,后者很难证明,差不多只是一种理论上的可能性.人信息,那么,原告的请求在客观要件调查阶段就已经被推翻,不需要对其有无过错进行举证证明.过错是主观要件,但是在

38、个人信息保护法已对个人信息处理者的个人信息保护义务作出明确规定的情况下,这一主观要件通常可以客观化为侵权人未尽法定义务.这会导致加害行为要件与过错要件在证明上的重合:个人信息处理者为了证明其不可能泄露个人信息,多数时候只能就其尽到法定义务进行举证;而为了证明其无过错,需要再次证明其尽到了法定义务.但要注意的是,二者证明的目的不同,证明的逻辑也不完全相同.对于前者而言,个人信息处理者通过对其履行个人信息保护义务情况的举证,旨在证明个人信息不可能由其泄露.这是对泄露个人信息侵权责任客观要件的否定.对于后者而言,个人信息处理者要证明的是,尽管泄露了个人信息,但它对此无法预见也无法阻止,因此不应将损

39、害归咎于它.在实践中,通过尽到法定义务来证明无过错的空间很小.除非有某种无法预测、也无法防范的外力介入,比如最新黑客技术的出现、大范围的互联网故障等等,个人信息处理者很难在个人信息泄露已被确认的情况下声称无过错.相比之下,较为可取的免责途径还是通过证明其尽到了法定义务,来否定信息可能由其泄露这一事实本身.这也是此类案件中的争点大多数时候只有一个,即个人信息处理者是否泄露了权利人的个人信息的原因.四、多数个人信息处理者背景下的证明困境及应对(一)实体法方案的选择如文章开头提到的,在个人信息泄露案件中,被告个人信息处理者常常会主张,还有其他主体掌握权利人的个人信息,不能认定就是它泄露了信息.逻辑上

40、,如果侵权人无法锁定,侵权责任就无从谈起.但是,对权利人来说,证明一个主体有高度可能泄露个人信息已经很困难,从数个个人信息处理者中间证明究竟是哪个泄露了个人信息,就更几乎是不可能完成的任务.对上述难题,除了前文提到的“证明责任倒置说”和“证明标准降低说”外,还有学者从实体法角度给出了解决方案.一个方案是类推适用高空抛物规则.有学者认为,对于加害人不明的个人信息侵权案件,不妨类推适用高空抛物规则,即由所有个人信息控制者共同分担责任,但允许个别控制者通过证明其未实施侵权行为实现免责.理由是,此类案件在形式和实质上都高度类似高空抛物,类推适用高空抛物规则可以避开加害人不明的问题,化解权利人的证明困境

41、.另一个方案是类推适用共同危险行为责任.有学者认为,在个人信息控制者为多数以至于无法锁定谁是侵权人的情况下,可以类推适用民法典第条的共同危险行为责任.即,将所有控制个人信息的共同处理者视作造成个人信息泄露的共同危险行为人,通过因果关系推定规则,让这些共同处理地方立法研究年第期参见张春龙、梁三利:大数据时代个人信息的侵权法救济路径以复数信息控制者情形下加害人不明为切入点,载理论月刊年第期,第页.者对因个人信息泄露造成的损害负连带责任.有学者进一步指出,该方案的理论基础在于因果关系要件的整体评价说.所谓整体评价说是指:“将各个行为人所实施的危险行为视为整体,评价该整体行为与损害之间的

42、因果关系,如果整体行为与损害之间的因果关系成立,则各个单独行为与损害之间的因果关系即告成立,除非各个行为人可以举证证明其单独行为与损害结果不具有因果关系而退出该整体行为.”这一方案在比较法上有德国联邦数据保护法第条第款作为支持,在我国民法学界也渐成主流之势.从缓解权利人证明困境的角度来看,上述两种方案可谓殊途同归.两种方案都是经由共同被告与损害之间的抽象关联,直接推定所有被告都与损害具有因果关系,从而解决了权利人对因果关系的证明难题.但是,共同危险行为中权利人的证明负担无疑更重.它至少要求权利人证明所有可能的潜在侵权人都实施了具有危险性的行为,即每个行为都可能导致侵害的发生.而高空抛物责任

43、则是诉诸潜在侵权人在物理上的关联,比如同住一个单元,并不考虑每个被告是否从事了法律禁止的行为.在法律推定中,基础事实与推定事实之间通常有一定的盖然性联系.如果说这种盖然性联系在共同危险行为中依然清晰,那么,在高空抛物中,就显得非常牵强.这也是高空抛物责任在我国广受批评的原因:这一制度把一群什么都没做的人拉进责任承担范围,从根本上背离了侵权法上的“肇因原则”.相比之下,共同危险行为责任虽然也大大减轻了权利人的证明负担,却并未放弃肇因原则.无论如何,每个行为都可能导致侵害发生,这是共同危险行为责任必须坚持的前提.从这个意义上,共同危险行为责任在权利人与责任人之间确立的风险分配更精细,也更均衡.因此

44、,在个人信息侵权中类推适用共同危险行为责任更为妥当,而类推适用高空抛物责任,则存在过度保护权利人的嫌疑.但是,某些学者的论述,正在模糊上述区别.在一篇专门讨论这一问题的论文中,阮神裕博士重点介绍了证据整体化的理论.在他看来:共同危险行为制度之所以在举证上对受害人加以特殊的保护,根本原因在于各个行为人所实施的行为相互联结,从而使受害人陷于无法辨别谁是真正的加害人的困境.这一举证困境不能由无辜的受害人承担,而应当由造成这种困境的行为人来承担.因此,立法者允许受害人将所有行为人所实施的行为视为一个整体,只要证明各个行为人的“整体行为”与权益侵害的因果关系成立,即可推定“个别行为”吴泽勇:个人信息泄露

45、侵权的证明责任问题参见程啸:论个人信息共同处理者的民事责任,载法学家年第期,第页.阮神裕:共同危险行为理论基础的重构与阐释,载法学评论年第期,第页.参见叶名怡:个人信息的侵权法保护,载法学研究年第期,第页;同注,第页;张建文、时诚:个人信息的新型侵权形态及其救济,载法学杂志年第期,第页;姚佳:论个人信息处理者的民事责任,载清华法学年第期,第页.参见纪格非:论法律推定的界域与效力以买受人检验通知义务为视角的研究,载现代法学年第期,第页.关于肇因原则,参见程啸:侵权责任法,法律出版社年版,第页.与权益遭受侵害之间存在因果关系.按照这种思路,共同危险行为人

46、之所以承担责任,不是因为其行为具有“危险性”,而是因为其行为造成了“证据损害”.阮文所谓证据损害,不是证据法上意义的证明妨害,而是指争议行为本身所导致的,受害人无法进行有效证明的处境.比如,在个人信息侵权案件中,“当数个信息控制者参与同一个人信息的收集与处理时,这一经营活动本身就蕴含着证据损害现象.在这样的案件中,也许受害人确实无法证明信息控制者是否实施了特定的作为或者不作为,但是数个信息控制者所实施的信息共享或者共同处理的经营活动,造成了受害人无法识别谁是具体加害人的举证困境”.在阮文看来,这才是在此类案件中采因果关系推定的关键理由.上述论述具有启发性,但从证据法的角度,其确立证明责任分配的

47、实质性依据或有偏颇.共同危险行为责任的出现,的确是为了解决权利人面对多数潜在侵权人时的证明困境.从这个角度而言,强调共同危险行为与权利人证明困境之间的关联,无可厚非.但是,如果仅仅因为证明困境存在就采取整体因果关系推定,则缺少正当性.在证据法上,确定证明责任分配最重要也最基本的实质性基础是“进攻方原理”,即启动司法程序的当事人,应就其寻求救济的权利构成要件承担证明责任.在侵权责任中,因果关系原则上应由权利人证明,正是进攻方原理的体现.作为一种侵权法上的责任,共同危险行为责任不能只考虑权利人的证明困境,也要兼顾潜在行为人基于肇因原则而应受保护的行动自由.为了平衡这两种价值,在对潜在侵权人进行因果

48、关系推定时,必须加入行为危险性的要件.一个没有任何危险性的行为,仅仅因为客观上引起了权利人的证明困境就被推定为共同侵权,这样的推定在风险分配上难言正当.因此,对侵权人不明的个人信息泄露案件类推适用共同危险行为是可行的,但前提是,必须坚持行为人行为的“危险性”标准.(二)个人信息保护法第条的定位与此相关的是个人信息保护法第条.该条规定:“个人信息处理者共同处理个人信息,侵害个人信息权益造成损害的,应当依法承担连带责任.”就该条的定位,民法学界存在争议.一种观点认为,该条属于参引性条款,其中“依法承担”的表达,意味着共同行为人根据共同侵权行为的类型和特征,分别适用民法典第条.另一种观点认

49、为,本条属于独立的请求权规范,因为通过“依法”二字不能清晰判断所参引的规范条文,而本条本身就包含了完整的构成要件和法律效果.持该观点的学者认为,由于信息处理者与信息主体在实际地位上不平等,立法政策上应强化对地方立法研究年第期参见阮神裕:民法典视角下个人信息的侵权法保护以事实不确定性及其解决为中心,载法学家年第期,第页.同注,第页.V g l H a n sP r t t i n g,G e g e n w a r t s p r o b l e m ed e rB e w e i s l a s t,M n c h e n:B e c k,S ,不难发现,基于肇因原则也会得出相同的

50、结论.这实际上反映了程序法与实体法的在责任构成问题上的逻辑一贯性.同注,第页;程啸:论民法典与个人信息保护法的关系,载法律科学年第期,第页.处于弱势地位的信息主体的保护.鉴于第条在规范意旨上恰恰与民法典上的多数人侵权行为存在相通之处,无须通过“依法”实现参引规范的目的而限制连带责任的适用.基于这一认识,该学者在分析该条构成要件时指出:在共同处理者责任中,受害人也须证明共同处理行为和损害之间存在足够的直接联系.但这并不要求逐一证明每个处理者的行为与个人信息权益受侵害都存在因果关系.共同处理者的整体性认定,可以掩盖对个别处理者行为与损害后果之间因果关系的可能的怀疑.本文赞同第一种观

展开阅读全文