大数据时代个人信息侵权责任构成要件的再解读

褚雪霏 王千石

随着全球网络基础设施的不断完善，移动互联网、物联网、云计算等服务愈加成熟，世界已步入大数据时代，数据成为了关键的生产要素，其中个人信息占有重要比重。人工智能、人脸识别等领域的飞速发展，使人们享受了生活的便利，但同时个人信息遭受侵害风险的可能性成几何量级增大，个人信息侵害事件层出不穷，个人信息保护成为焦点问题。为现实需求，2021年8月20日，第十三届全国人民代表大会常务委员会第三十次会议通过了《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)，并于2021年11月1日起施行。《个人信息保护法》从多角度规定了个人信息保护条款，包括基本原则、处理方式等，这是国内首部对个人信息处理规则作出规定的法律。该文件出台后，我国个人信息保护有了法律依据，相关主体能够依据具体的法律条款为个人信息保护提供法律服务。

根据《个人信息保护法》第六十九条规定，在处理个人信息过程中，若损害了个人信息权益，且处理者无法证明自身无过错，此时需面临侵权问责。据此，个人信息处理者因侵害个人信息权益承担的侵权责任归责原则系过错推定原则，其责任构成要件可被分解为三个方面：其一，处理个人信息的行为；
其二，造成损害后果；
其三，行为和损害结果之间具有因果关系。

然而，大数据时代个人信息侵权与一般侵权相比，在很多方面具有特殊性。这些特殊性不仅仅体现在其基本功能体系的内部，更大的区别来自于对责任构成要件之行为、损害后果、因果关系等方面的诸多改变，这些改变为法学研究提出了新的研究命题。本文对大数据时代个人信息侵权责任构成要件进行再解读，探讨各构成要件的内容，以期对我国个人信息保护法治提供新的注解。

在认定侵权责任时，违法行为是主要的客观要件，其中包含行为与违法两个方面，这是构成违法行为的核心要素。这意味着具体的行为是构成侵权行为的前提，行为外的思想、事件等事实并不是构成的要素；
另外，该行为违反了相关法律，具有法理控诉的依据。[1]

(一)行为

侵权中的行为依其形态，可分为直接行为和间接行为。直接行为即自己的行为，是加害人因过错侵害他人人身权、财产权以及法律保护的利益的行为。间接行为指行为人对自己的动物和物件或者他人的加害行为与加害举动承担责任的“侵权行为”。[2]遵循这种传统的侵权行为二分法，个人信息侵权中的直接行为，即个人信息处理者利用大数据平台或者使用大数据分析工具，该行为对个人信息权益造成损害。在此类直接行为中，常见的有对个人信息非法收集、出售等。

个人信息侵权中的间接行为，也称为准侵权行为，通常体现为个人信息处理者没有尽到妥善管理个人信息的义务致人损害的行为。也就是说，即使个人信息处理者并没有主动实施侵害他人个人信息的行为，但是由于其疏于对个人信息的管理而给侵权者提供了可乘之机，造成了他人的损害，这种情况下个人信息处理者亦应承担侵权责任。究其原因，乃因个人信息处理者作为掌控个人信息的主体，其与个人信息这一“物”之间具有利益关系，能够及时实施一定的行为规避损害结果的发生。因此，为了强调个人信息处理者对个人信息等数据的管理责任，在个人信息侵权的准侵权行为中，个人信息处理者当然应承担侵权责任。

(二)违法性

违法性概念为德国民法所特有，并为我国台湾地区“民法”所继受。[3]在国内当前的民事法规中，没有明确指出违法性和过错的区别，在理论研究上也存在很多分歧。[4]大数据时代的侵权法基本功能形成了新的体系、互动关系和价值基础。[5]在这种新的基本功能体系定位下，是否有必要继续探讨个人信息侵权行为的违法性？《个人信息保护法》在起草过程中，曾有观点从比较法的角度出发，认为应将第六十九条表述为“个人信息处理者非法处理个人信息”。[6]通过颁布实施后的《个人信息保护法》第六十九条规定可知，此种观点并未被采纳。笔者也认为，在认定个人信息处理者侵权责任时不该把违法性作为判定要件，不然就会导致《个人信息保护法》对拥有合法性来源的数据所可能导致的损害之预防功能的管辖范围的缩小，也会错误地把承担侵权责任的行为只限定在违反《个人信息保护法》的情形，从而使第六十九条丧失作为独立的请求权基础。

在侵权损害赔偿的判定中，损害是必备要件，若没有发生损害，则无需进行赔偿。[7]“无损害即无侵权”“无损害则无赔偿”，这都是传统侵权法的名言。但是并非所有损害都能构成侵权获得赔偿，否则人们的行为自由空间将受到不合理的挤压，诉讼也将泛滥成灾。所以，侵权责任构成要件中的损害，应当作出必要的限制。

传统侵权法认为，损害应当具有确定性，而不是人们臆想的、虚构的或者尚未发生的现象。所以损害应当是已经发生的事实，这样才能对因果关系和过错作出判断。大陆法系国家非常看重确定性，并规定确定性是认定损害的核心要素，英美法系国家也是如此。[8]个人信息侵权责任也需要以损害为构成要件之一，但是与一般侵权相比，个人信息侵权的损害具有明显的特殊性：由于个人信息兼具有人格属性和财产属性，其一旦泄露或者不当使用，除了会使个人遭受实际损害之外，往往还体现在信息泄露后被非法使用的未来风险。实践表明，在当事人没有意识到的情况下，个人信息也会被复制或者转移，但这种情况并不必然导致即时的身体伤害、人格受损或财产损失，而是产生了一种长期存在的风险。这种风险如果按照传统侵权法关于损害的经典界定，则会因缺乏确定性而面临认定侵权责任的困境。

鉴于此，在个人信息侵权的语境下对损害作出更为开放的解释应当是大势所趋。《通用数据保护条例》(GeneralDataProtectionRegulation)即表明了这种态度，在其“鉴于”部分第146段指出：“损害应根据欧盟法院的判例法作广义解释，并充分反映本条例的目标。”结合大数据时代个人信息侵权的特点，应当有条件的承认风险性损害亦可作为个人信息侵权中的损害事实。在扩大损害认定范围的基础上，我们需要进一步探讨的问题是，这种风险性损害的边界在哪里？哪些风险可以成立损害？针对这个问题，由于实践中个案的情况千差万别，需在个案中根据具体案情进行判断。可以从侵害个人信息的方式、可能影响的区域、可能持续的时间、侵害信息的种类、敏感程度等因素，探索相应风险损失的认定方法。

无论在自然界或人类社会中，任何一种现象的发生，均是由其他现象造成的，而该现象出现后，又会造成新的现象产生。此处，将引起某现象产生的现象，称为原因；
因为其他现象而产生的现象，我们称之为结果。[9]因果关系是哲学上的一个重要命题，是人类研究社会现象普遍联系中的基本指导规则。在认定侵权责任过程中，因果关系是非常关键的要件。确定个人信息侵权责任，需根据行为与损害结果之间是否存在因果关系进行判断。

在大陆法系方面，因果关系学说主要分为三类，分别是条件说、原因说与相当因果关系说。相当因果关系说由德国学者冯·克里斯在19世纪末提出，而后被应用于德国法院，在进入20世纪后，该学说上升到主流地位。而因果关系具有天然的复杂性，传统侵权法上的因果关系即包括了一因一果、一因多果、多因一果、多因多果等复杂情形。加之大数据时代，信息的生成、传播、储存等存在较大的复杂性，使得认定个人信息侵权中的原因与结果之间引起与被引起的关系更加困难。而我国民事诉讼法奉行“谁主张谁举证”的证明责任分配规则，由受害人承担个人信息侵权中的因果关系证明责任，而通常情况下由于受害人对数据传播和法律的知识掌握有限，若只根据传统因果理论进行举证，则面临重重困境。实践中很多个人信息侵权的案例中，都因缺少因果关系而被认定不构成侵权。

如在王某诉某保险公司侵权责任纠纷(1)重庆市忠县人民法院民事判决书，(2020)渝0233民初3695号.一案中，原告王某在被告某保险公司处投保汽车保险。2020年3月，原告的车辆发生交通事故致车辆受损。原告打电话报保险，被告派人到现场后，原告将现场照片等资料交给被告理赔，被告也完成了理赔事宜。2020年7月23日，原告与某汽车销售有限公司合同纠纷一案在重庆市九龙坡区法院开庭时，该汽车销售有限公司出示了原告在3月出事故的照片和原告的个人信息，并声称是被告某保险公司提供的。之后，原告就不停地受到他人的骚扰、威胁，扬言要将原告的车辆开走等。原告认为被告擅自将原告的事故照片、地址等信息泄露给他人导致其受到损失，故诉至法院要求被告承担侵权责任。法院经审理认为，原告主张被告将原告交通事故的照片、地址等个人信息泄露给他人导致原告产生损失，仅提交了修车发票和事故照片拟证。原告未提交被告实施侵权行为及原告产生损失的任何证据，原告提交的修车发票和事故照片只能证实原告发生交通事故造成车辆受损的事实，但并不能由此推定被告因此次交通事故实施了将原告交通事故的照片、地址等个人信息泄露给他人的侵权行为，也不能证实原告因被告的过错遭受了损失。鉴于上述理由，最终法院对原告的诉讼请求予以驳回。

在本案中，原告称其个人信息遭到被告泄漏之后，就不停地受到他人的骚扰、威胁，而被告则抗辩其未向他人提供原告的任何照片和个人信息。法院经审理也认定没有证据能够证明原告的猜测。可见，原告所遭受的损害会因为依赖传统因果关系理论而无法得到救济。而《个人信息保护法》第六十九条并未对因果关系如何判断作详细规定。在大数据时代，个人信息的复制、加工等行为如此隐蔽，如果我们仍然依靠传统因果关系的理论认定个人信息侵权责任的话，就很可能使得受害人的权益无法得到救济。

相当因果关系说不应是一成不变的，它应当是一个不断发展的理论学说，包含了多种可能的理解路径。大数据本身具有极其强大的预测能力，其来源是不能够给出确定的因果关系判断，而是通过对大量数据的分析从各个侧面去印证原因和结果之间存在关系的高度可能性。[10]因此，在个人信息侵权案件中适用相当因果关系，应加以特别诠释。具体而言，应降低受害人对因果关系的举证标准，对于原告的举证，仅需初步证明损害与侵权行为有事实上的因果关系。在个人信息侵权案件中适用这种举证责任标准应存在两个前提：第一个前提是，原告已有证据证明被告实施了侵害原告个人信息的行为，且原告有证据证明自己受到了损害或者有遭受损害的风险；
第二个前提是，对于原告作出的损害与侵权行为可能具有条件关系的初步证明，被告可对不存在因果关系提供证据进行抗辩。如此，将大大提高个人信息侵权责任成立的概率，使得受害者获得救济。

中国已成为全球数据总量最大，数据类型最丰富的国家之一。当前，大数据正在成为信息时代的核心战略资源，对社会生活方式产生了深刻影响。另外，在信息技术飞速发展的今天，数据安全风险问题也越来越严重。从近年的案件可以看到，有关个人信息侵权的事件屡见不鲜，在我国大数据时代进入快车道的背景下，怎样保护好个人信息，这成为全社会关注的重要问题。

在个人信息侵权法保护路径下，构成要件应当进行全新解读。在客观行为方面，不应将违法性作为个人信息处理者承担的侵权责任的构成要件，否则会大大减少《个人信息保护法》对拥有合法性来源的数据所可能导致的损害之预防功能的管辖范围，也会错误地把个人信息处理者承担侵权责任的行为狭隘的限定在只违反《个人信息保护法》的情形，从而使第六十九条丧失作为独立的请求权基础。在损害认定方面，在个人信息侵权的语境下应对损害作出更为开放的解释，承认风险在一定条件下成立损害。而风险损失的认定方法，可以从侵害个人信息的方式、可能影响的区域、可能持续的时间、侵害信息的种类、敏感程度等方面进行探索。在因果关系方面，个人信息侵权案件中适用相当因果关系，应降低受害人对因果关系的举证标准，原告只要初步证明损害与侵权行为具有事实上的因果关系，即可完成证明责任。未来，个人信息侵权法律制度将不断丰富和完善，行为、损害、因果关系等构成要件均应进行全新解读，这将是侵权责任法面对大数据时代挑战的一次升华。