《个人信息处理者过错推定责任研究.docx》由会员分享,可在线阅读,更多相关《个人信息处理者过错推定责任研究.docx(32页珍藏版)》请在第壹文秘上搜索。
1、个人信息处理者过错推定责任研究内容提要个人信息处理者承担过错推定责任的实质基础在于处理行为引起的作为义务,而不仅仅是为了强化保护个人信息权益。个人信息保护法中的过错推定责任与民法典侵权责任编没有体系衔接冲突问题,但与人格权编所确立的“隐私权”和“个人信息”并行体例存在张力关系。处理私密信息造成损害的,应承担过错推定责任,而不适用有关隐私权规定。处理者的过错推定责任不是一种普遍性责任,其适用范围具有限定性,适用要件也有特殊性。此过错推定责任救济的是侵害人格权益的财产损失,不包括精神损害,其过错判断主要限于违反法定义务的违法行为及比例原则下的实质违法行为,其因果关系要件的特殊性则在于采取“高度盖然
2、性”证明标准,而非实行举证责任倒置。关键词个人信息保护法民法典个人信息处理者过错推定责任一、问题的提出二、个人信息处理者承担过错推定责任的正当性基础三、个人信息处理者过错推定责任与民法典的冲突及协调四、个人信息处理者过错推定责任的具体适用五、结语一、问题的提出2021年8月20日,十三届全国人大常委会第三十次会议表决通过的中华人民共和国个人信息保护法(以下简称个人信息保护法)是我国专门规范个人信息处理行为、保护个人信息权益的法律。个人信息保护法第69条第1款规定,处理个人信息侵害个人信息权益造成损害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。这明确了个人信息处理者承担的
3、是过错推定责任。而根据民法典第1034条第3款规定,个人信息中的私密信息适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定。笔者认为,对此有以下方面需要解释厘清:第一,个人信息保护法第69条第1款的过错推定责任在解释论上的正当性基础。在立法阶段,个人信息处理者承担过错推定责任的法理基础已经得到充分表达,但既有的理论基础过于抽象,不便于适用者精准把握个人信息处理者过错推定责任的实质基础,继而影响其对适用范围和要件的准确理解。因此有必要在适用阶段再次进一步厘清此责任的正当性基础,以便促进法律的精准实施。第二,个人信息处理者过错推定责任在适用中与民法典的协调问题。个人信息处理者过错推定责任
4、在适用中除需与民法典第1165条第2款进行衔接外,还应与民法典人格权编的相关规定进行必要的协调。民法典人格权编也对个人信息进行明确规定,而且个人信息与隐私权、名誉权等人格权益存在交叉关系。尤其在个人信息中的私密信息受侵害时,一般会产生侵害个人信息和侵害隐私权的责任竞合问题。根据民法典规定,侵害隐私权的侵权责任适用一般过错责任,而个人信息保护法第69条第1款却规定为过错推定责任,由此导致在侵害同样的权益(客体)的情况下,依据民法典和个人信息保护法却可能适用不同的归责原则,这容易使得适用者无所适从,因而需要对个人信息保护法第69条第1款与民法典相关规定的关系作出必要的厘清。第三,个人信息处理者过错
5、推定责任的适用范围和要件问题。从立法目的上看,制定个人信息保护法并设置严格的法律责任是为了保障公民在个人信息处理活动中的各项权利。因而,将处理个人信息侵害个人信息权益规定为较为严格的责任已成为理论界和实务界的共识。在严格保护个人信息的价值取向之下,更应正视适用上的特殊性。如在个人信息处理者的“过错”界定问题上,由于个人信息保护法第69条第1款的“过错”在字面上与民法典第1165条第2款的“过错”具有同一性,易使适用者忽视个人信息保护法第69条第1款的“过错”界定的特殊性;而在强化保护个人信息权益思想的影响下,如果个人信息保护法第69条第1款的“过错”界定不够明确和具体,就会影响个人信息的利用价
6、值。法律适用者能否准确理解个人信息处理者过错推定责任适用范围的限定性和适用要件的特殊性,会直接影响到此种责任承担的适用边界,更会影响个人信息严格保护和充分利用矛盾关系的协调,因此有必要厘清个人信息处理者过错推定责任在适用范围方面的限定性和适用要件方面的特殊性问题。可见,在民法典已经颁行的背景下,如何精准贯彻和实施个人信息保护法规定的个人信息处理者的过错推定责任依然是一个重大的解释论问题,应当予以必要的厘清。鉴于此,本文试图对个人信息保护法第69条第1款进行全面解释,以期助益法律适用。二、个人信息处理者承担过错推定责任的正当性基础虽然在立法过程中几经争论和修改,但是个人信息保护法第69条最终仍将
7、个人信息处理者的损害赔偿责任确定为过错推定责任。在个人信息保护法的立法阶段和颁行后的适用阶段,学界对个人信息处理者的过错推定责任似乎争议不是很大,对过错推定责任背后的理论逻辑也存在较大的共识。但是,学界关于个人信息处理者承担过错推定责任正当性基础的既有理论在更多意义上是一种宏观的解释,只是论证个人信息处理者承担过错推定责任这一严格责任的一般性理由,无法解释个人信息处理者为什么不是承担无过错责任。笔者认为,为了更好地实施个人信息保护法,在解释论上有必要再次厘清个人信息处理者过错推定责任的正当性问题,以便更好地把握个人信息处理者承担过错推定责任的实质基础,从而更准确地界定适用范围和要件。(一)个人
8、信息处理者过错推定责任的既有理论基础在个人信息保护法颁布后,关于个人信息处理者承担过错推定责任的正当性基础问题,学界既有的主要观点认为,个人信息处理者和自然人的地位不平等,个人信息处理者处于强势地位,个人信息权人处于弱势地位,如果采用过错责任原则,不利于对个人信息权人的保护。同时,由于个人信息处理者和自然人之间地位不平等,两者的举证能力也是有差异的,自然人存在举证客观障碍,不易证明个人信息处理者的过错。实践中,在个人信息侵权领域,作为权利人的自然人在发生损害时对个人信息处理者的过错、因果关系和损害等方面进行举证都存在一定的客观障碍,难以承担举证责任。正如学者所言,“个人信息处理活动具有很强的专
9、业性和技术性,个人与个人信息处理者存在信息、技术、资金等能力上的不对等地位,无法了解个人信息处理者在处理活动中具有什么过错,更无法提出证据加以证明:甚至,相关行政管理部门与管理对象之间也会出现明显的信息不对称现象,监管能力滞后,获取证据难、固定证据难、处罚难、胜诉难。依此观点,由法律明确规定个人信息处理者承担过错推定责任,更利于自然人在诉讼中维护自己的个人信息权益,使法律保护个人信息权益的目的得以落地。但笔者认为,个人举证能力弱并不必然意味着证明责任就一定要实行倒置。以医疗损害责任的患者为例,为弥补患者举证能力弱而无法维权的劣势,过去相关规范性文件也明确规定举证责任倒置,但民法典明确规定医疗损
10、害责任属于一般过错责任,而非过错推定责任,对过去的操作进行了纠正。因为,即使不实行过错推定责任,也能实现对患者权利的保护,当存在一些技术性难题而面临举证困难时,患者大可通过申请医疗鉴定等方式来完成自己的证明责任。在个人信息侵权领域也是如此,即使自然人处于技术或者资源上的劣势,在诉讼中也可以采取其他方式完成证明责任。由此可见,单纯因为自然人存在举证困难而认为应当规定过错推定责任的观点并不具有充分的合理性。总的来看,过错推定责任具有一定的法定性,也是一种较一般过错责任更为严格的责任,但是并不是说双方地位不平等或者受害人举证能力弱就能充分解释过错推定责任的正当性基础。过错推定责任具有自身内在的逻辑,
11、个人信息处理者承担过错推定责任也应当遵循此种内在逻辑。(二)个人信息处理者承担过错推定责任的实质基础在强化保护个人信息权益主体思想的影响下,个人信息处理者和自然人的举证能力不对称虽只算一般性理由,但在一定程度上也能证成个人信息处理者承担过错推定责任的正当性。但笔者认为,个人信息处理者承担过错推定责任的实质基础在于个人信息处理者的处理行为产生的法定作为义务。无论在民法还是刑法领域,先前行为都是产生法定作为义务的正当事由,也是追究特定义务人承担不作为责任的重要依据。在个人信息处理者处理个人信息的过程中,产生了其对作为个人信息权益主体的自然人的法定作为义务,对个人信息处理者的行为构成实际约束力。笔者
12、认为,个人信息处理者基于处理行为产生的此法定作为义务是其承担过错推定责任的实质基础。理由如下:第一,法定作为义务具有双重推定效力,既可依据未履行作为义务推定过错的事实,也可以依据作为义务推定过错的判断。有观点认为,法院在司法实践中要求个人信息处理者证明其履行了法定义务,而不是过错,这与过错推定责任之下就过错的举证责任倒置是不同的,而且违反法定义务认定过错属于事实推定,而不是法律推定。笔者认为,义务人承担法定作为义务,既可以从未履行法定作为义务中推定过错事实,也应当由义务人自己对已经履行了法定作为义务(无过错)事实承担证明责任。事实推定是一种事实方面的判断,是以客观事实为基础。事实推定意味着个人
13、信息处理者如果存在违反法律、行政法规和规章等规范性文件规定义务的行为,就推定其有过错。法律推定则是一种规范方面的判断,是以规范性文件的规定为基础。法律推定意味着依照个人信息保护法规定推定个人信息处理者有过错,其不能证明自己没有过错的,应当承担侵权责任。个人信息处理者的法定作为义务不仅是判断处理者是否存在违法行为继而认定其有无过错的标准,而且其自身也蕴含着要求处理者证明其不存在违法行为的规范拘束力。需要指出的是,此种拘束力并不简单是“允许处理者证明自己没有违法行为而免责”,而是“要求处理者应当证明自己没有违法行为才免责”。质言之,个人信息处理者不仅基于处理行为对自然人产生法定作为义务,而且应当就
14、已履行法定义务的事实承担证明责任。此种证明责任本身是个人信息处理者负有法定作为义务的应有之义和逻辑延伸。如果个人信息处理者只需履行作为义务,而无需对履行义务行为承担证明责任,这对义务人的拘束力是不够的。对承担安全保障义务等法定作为义务的义务人而言,在很多情况下只要违反安全保障等义务的违法性得以认定,过错也往往能够得到确认。因此,理论和实践多采过错推定原则。据此,就个人信息处理者基于处理行为承担的法定作为义务而言,只要其违反法定义务的违法性得以认定,过错往往也能够得到确认只有由处理者通过举证证明自己不存在违法行为,其过错责任才能得以免除。法律要求个人信息处理者应当积极知悉自己的义务内容并予以充分
15、履行,甚至要求其依据规范性文件细化操作规则和制定保护个人信息的行为准则。例如,个人信息保护法第31条第2款规定:“个人信息处理者处理不满十四周岁未成年人个人信息的,应当制定专门的个人信息处理规则:在一定意义上,法定作为义务积极促使个人信息处理者主动知悉和履行自己的法定义务以避免可能承担的法律后果,而证明责任既是使个人信息处理者的上述义务得以最终实现的手段,也是法定作为义务的逻辑延伸和拘束力体现。个人信息处理者通过积极履行作为义务,可避免承担法律责任,实现自身利益的最大化,因此,要求处理者应当明确知悉自己承担的法定作为义务内容,由其对自己的处理行为不存在违法情形承担证明责任也是公平的。第二,法定
16、作为义务适用过错推定责任与民法典的既有规定保持一致。在涉及法定作为义务产生过错推定责任的规定中,民法典一般都规定特定主体能够证明已履行作为义务的,不承担侵权责任。例如,民法典第1243条规定,“管理人能够证明已经采取足够安全措施并尽到充分警示义务的,可以减轻或者不承担责任第1248条规定,“动物园能够证明尽到管理职责的,不承担侵权责任第1256条规定,“公共道路管理人不能证明已经尽到清理、防护、警示等义务的,应当承担相应的责任”;第1258条规定,“管理人不能证明尽到管理职责的,应当承担侵权责任”。此类条文中的“安全措施”“警示义务”“管理职责”“清理、防护、警示等义务”等和第1198条的“安全保障义务”一样,在性质上属于法定作为义务。值得注意的是,民法典第1198条虽然没有规定“不能证明”字样直接指明经营场所、公共场所的经营者等主体违反安全保障义务的侵权责任属于过错推定责任,但该条规定也属于过错推定责任范畴