治理个人信息侵害应完善民法

□特约撰稿 邓辉

我国已经确立了个人信息保护的基本立场。比如《中华人民共和国民法总则》第111条明确强调个人信息受法律保护。2019年3月，全国人大常委会也将“个人信息保护法”列入了立法规划。目前，行政法和刑法的个人信息保护规定已逐渐形成体系，但民法中关于个人信息的法律救济规定尚不充分。根据《中华人民共和国消费者权益保护法》第50条、《中华人民共和国网络安全法》第74条的规定，侵害他人的个人信息，应当承担民事责任。但从权利救济角度看，这两条规定本身是引致性规范，缺乏民事基本法的支撑，且较为模糊，难以满足我国司法实践需要。遗憾的是，2019年8月15日公布的《民法典·人格权编》（三审稿）《民法典·侵权责任编》（三审稿）也没有涉及侵害个人信息民事责任问题。

在现代社会中，个人信息侵害已日益成为一种社会公害，还催生了个人信息买卖“黑色产业链”等犯罪。但治理个人信息侵害问题，不能仅依靠以行为制裁为主要手段的行政监管和刑事处罚。相反，还要更加注重对受害人的法律救济。只有不断完善相关民事责任规定，促使信息控制者和处理者切实履行个人信息保护义务，才能真正实现对个人信息权利保护的目的。

首先，适当扩展侵害个人信息的责任承担方式。在侵害个人信息的场合，通常适用的责任形式主要包括停止侵害、排除妨碍、消除影响、赔礼道歉、赔偿损失。但在大数据时代，个人信息侵害行为日益呈现出技术性、隐蔽性、突发性等特征，传统的责任方式已不足以应对信息科技和数字经济发展带来的挑战。所幸的是，我国民法总则、侵权责任法关于民事责任方式的规定采取了相对开放的立场，2016年通过的网络安全法第43条也已经承认了个人信息的更正权与删除权。与此同时，《欧盟一般数据保护条例》（GDPR）也顺应时代潮流，增加了预防性的责任规定和救济性的权利内容（比如反对权、限制处理权和拒绝自动化决策的权利等），这些规定应当被正在制定的民法典所吸纳。

其次，区分不同行为主体构建多元的归责原则。在信息社会中，不同主体获得、分析和应用信息的能力存在巨大差异，难以适用相同归责原则。其一，由于公共管理中的信息强制采集，公权力机关已成为最大的信息收集者和利用者，同时它也肩负着个人信息保护的重任，在侵害个人信息时应当承担无过错责任。其二，与信息主体相比，信息行业的从业者在资金、技术和能力等方面上都具有明显优势。此时，立法应当通过举证责任倒置的规定，缓解受害人举证证明“过错”和“因果关系”的实际困难。其三，除精通计算机技术的专业人员外，普通自然人之间的诉讼地位平等，不存在需要特别规定的空间，按照一般侵权行为的归责原则处理即可。简言之，立法应当区分公权力机关、信息从业者和普通的民事主体，分别适用无过错责任、过错推定责任和一般过错责任原则。

再次，明确侵害个人信息的损害赔偿范围。对于个人信息侵害而言，责任人应当赔偿的损害范围既包括受害人的财产损害，也包括受害人的精神损害。其中，按照侵权责任法的规定，精神损害应当优先适用停止侵害、赔礼道歉等非财产责任形式，只有在达到“严重”程度情形下，才可以请求精神损害赔偿。同时，单条个人信息的客观财产价值通常较小，也难以进行计算和证明，立法可以规定通过“获利剥夺”和“损害额酌定”的方式来确定损害赔偿的数额。此外，值得特别关注的是惩罚性赔偿。近年来，包括“徐玉玉事件”“Facebook用户信息泄露”“支付宝年度账单事件”“ZAO换脸事件”在内的大规模个人信息侵害现象屡见不鲜。在低成本侵权背景下，故意强制索取授权、超范围收集个人信息以及未经同意的信息共享已经成为业界常态。因此，立法有必要引入惩罚性赔偿制度，增加违反个人信息保护义务的成本，进而实现威慑和遏制个人信息侵害行为的效果。

最后，建立个人信息民事公益诉讼制度。在数字经济驱动下，商业环境对个人信息资源的渴求胜过以往任何时候，单个受害人能力有限，缺乏有效的激励来提起诉讼。不仅如此，个人信息侵害也呈现出规模性特征，导致受害人数量众多、后果较为严重，构成了对社会秩序和公共利益的威胁。在司法实践中，浙江省诸暨市检察机关和江苏省消费者保护协会已分别对个人信息侵害行为提起行政公益诉讼和消费公益诉讼。但由于制度目的、功能和适用范围的限制，上述做法仅暂时或局部制止了个人信息侵害行为。因此，立法应当建立更全面、合理的个人信息民事公益诉讼规则，充分发挥民事诉讼的权利保护功能。

 （作者系北京大学法学院博士研究生）