个人信息处理者过错推定责任研究.docx
《个人信息处理者过错推定责任研究.docx》由会员分享,可在线阅读,更多相关《个人信息处理者过错推定责任研究.docx(32页珍藏版)》请在课桌文档上搜索。
1、个人信息处理者过错推定责任研究内容提要个人信息处理者承担过错推定责任的实质基础在于处理行为引起的作为义务,而不仅仅是为了强化保护个人信息权益。个人信息保护法中的过错推定责任与民法典侵权责任编没有体系衔接冲突问题,但与人格权编所确立的“隐私权”和“个人信息”并行体例存在张力关系。处理私密信息造成损害的,应承担过错推定责任,而不适用有关隐私权规定。处理者的过错推定责任不是一种普遍性责任,其适用范围具有限定性,适用要件也有特殊性。此过错推定责任救济的是侵害人格权益的财产损失,不包括精神损害,其过错判断主要限于违反法定义务的违法行为及比例原则下的实质违法行为,其因果关系要件的特殊性则在于采取“高度盖然
2、性”证明标准,而非实行举证责任倒置。关键词个人信息保护法民法典个人信息处理者过错推定责任一、问题的提出二、个人信息处理者承担过错推定责任的正当性基础三、个人信息处理者过错推定责任与民法典的冲突及协调四、个人信息处理者过错推定责任的具体适用五、结语一、问题的提出2021年8月20日,十三届全国人大常委会第三十次会议表决通过的中华人民共和国个人信息保护法(以下简称个人信息保护法)是我国专门规范个人信息处理行为、保护个人信息权益的法律。个人信息保护法第69条第1款规定,处理个人信息侵害个人信息权益造成损害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。这明确了个人信息处理者承担的
3、是过错推定责任。而根据民法典第1034条第3款规定,个人信息中的私密信息适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定。笔者认为,对此有以下方面需要解释厘清:第一,个人信息保护法第69条第1款的过错推定责任在解释论上的正当性基础。在立法阶段,个人信息处理者承担过错推定责任的法理基础已经得到充分表达,但既有的理论基础过于抽象,不便于适用者精准把握个人信息处理者过错推定责任的实质基础,继而影响其对适用范围和要件的准确理解。因此有必要在适用阶段再次进一步厘清此责任的正当性基础,以便促进法律的精准实施。第二,个人信息处理者过错推定责任在适用中与民法典的协调问题。个人信息处理者过错推定责任
4、在适用中除需与民法典第1165条第2款进行衔接外,还应与民法典人格权编的相关规定进行必要的协调。民法典人格权编也对个人信息进行明确规定,而且个人信息与隐私权、名誉权等人格权益存在交叉关系。尤其在个人信息中的私密信息受侵害时,一般会产生侵害个人信息和侵害隐私权的责任竞合问题。根据民法典规定,侵害隐私权的侵权责任适用一般过错责任,而个人信息保护法第69条第1款却规定为过错推定责任,由此导致在侵害同样的权益(客体)的情况下,依据民法典和个人信息保护法却可能适用不同的归责原则,这容易使得适用者无所适从,因而需要对个人信息保护法第69条第1款与民法典相关规定的关系作出必要的厘清。第三,个人信息处理者过错
5、推定责任的适用范围和要件问题。从立法目的上看,制定个人信息保护法并设置严格的法律责任是为了保障公民在个人信息处理活动中的各项权利。因而,将处理个人信息侵害个人信息权益规定为较为严格的责任已成为理论界和实务界的共识。在严格保护个人信息的价值取向之下,更应正视适用上的特殊性。如在个人信息处理者的“过错”界定问题上,由于个人信息保护法第69条第1款的“过错”在字面上与民法典第1165条第2款的“过错”具有同一性,易使适用者忽视个人信息保护法第69条第1款的“过错”界定的特殊性;而在强化保护个人信息权益思想的影响下,如果个人信息保护法第69条第1款的“过错”界定不够明确和具体,就会影响个人信息的利用价
6、值。法律适用者能否准确理解个人信息处理者过错推定责任适用范围的限定性和适用要件的特殊性,会直接影响到此种责任承担的适用边界,更会影响个人信息严格保护和充分利用矛盾关系的协调,因此有必要厘清个人信息处理者过错推定责任在适用范围方面的限定性和适用要件方面的特殊性问题。可见,在民法典已经颁行的背景下,如何精准贯彻和实施个人信息保护法规定的个人信息处理者的过错推定责任依然是一个重大的解释论问题,应当予以必要的厘清。鉴于此,本文试图对个人信息保护法第69条第1款进行全面解释,以期助益法律适用。二、个人信息处理者承担过错推定责任的正当性基础虽然在立法过程中几经争论和修改,但是个人信息保护法第69条最终仍将
7、个人信息处理者的损害赔偿责任确定为过错推定责任。在个人信息保护法的立法阶段和颁行后的适用阶段,学界对个人信息处理者的过错推定责任似乎争议不是很大,对过错推定责任背后的理论逻辑也存在较大的共识。但是,学界关于个人信息处理者承担过错推定责任正当性基础的既有理论在更多意义上是一种宏观的解释,只是论证个人信息处理者承担过错推定责任这一严格责任的一般性理由,无法解释个人信息处理者为什么不是承担无过错责任。笔者认为,为了更好地实施个人信息保护法,在解释论上有必要再次厘清个人信息处理者过错推定责任的正当性问题,以便更好地把握个人信息处理者承担过错推定责任的实质基础,从而更准确地界定适用范围和要件。(一)个人
8、信息处理者过错推定责任的既有理论基础在个人信息保护法颁布后,关于个人信息处理者承担过错推定责任的正当性基础问题,学界既有的主要观点认为,个人信息处理者和自然人的地位不平等,个人信息处理者处于强势地位,个人信息权人处于弱势地位,如果采用过错责任原则,不利于对个人信息权人的保护。同时,由于个人信息处理者和自然人之间地位不平等,两者的举证能力也是有差异的,自然人存在举证客观障碍,不易证明个人信息处理者的过错。实践中,在个人信息侵权领域,作为权利人的自然人在发生损害时对个人信息处理者的过错、因果关系和损害等方面进行举证都存在一定的客观障碍,难以承担举证责任。正如学者所言,“个人信息处理活动具有很强的专
9、业性和技术性,个人与个人信息处理者存在信息、技术、资金等能力上的不对等地位,无法了解个人信息处理者在处理活动中具有什么过错,更无法提出证据加以证明:甚至,相关行政管理部门与管理对象之间也会出现明显的信息不对称现象,监管能力滞后,获取证据难、固定证据难、处罚难、胜诉难。依此观点,由法律明确规定个人信息处理者承担过错推定责任,更利于自然人在诉讼中维护自己的个人信息权益,使法律保护个人信息权益的目的得以落地。但笔者认为,个人举证能力弱并不必然意味着证明责任就一定要实行倒置。以医疗损害责任的患者为例,为弥补患者举证能力弱而无法维权的劣势,过去相关规范性文件也明确规定举证责任倒置,但民法典明确规定医疗损
10、害责任属于一般过错责任,而非过错推定责任,对过去的操作进行了纠正。因为,即使不实行过错推定责任,也能实现对患者权利的保护,当存在一些技术性难题而面临举证困难时,患者大可通过申请医疗鉴定等方式来完成自己的证明责任。在个人信息侵权领域也是如此,即使自然人处于技术或者资源上的劣势,在诉讼中也可以采取其他方式完成证明责任。由此可见,单纯因为自然人存在举证困难而认为应当规定过错推定责任的观点并不具有充分的合理性。总的来看,过错推定责任具有一定的法定性,也是一种较一般过错责任更为严格的责任,但是并不是说双方地位不平等或者受害人举证能力弱就能充分解释过错推定责任的正当性基础。过错推定责任具有自身内在的逻辑,
11、个人信息处理者承担过错推定责任也应当遵循此种内在逻辑。(二)个人信息处理者承担过错推定责任的实质基础在强化保护个人信息权益主体思想的影响下,个人信息处理者和自然人的举证能力不对称虽只算一般性理由,但在一定程度上也能证成个人信息处理者承担过错推定责任的正当性。但笔者认为,个人信息处理者承担过错推定责任的实质基础在于个人信息处理者的处理行为产生的法定作为义务。无论在民法还是刑法领域,先前行为都是产生法定作为义务的正当事由,也是追究特定义务人承担不作为责任的重要依据。在个人信息处理者处理个人信息的过程中,产生了其对作为个人信息权益主体的自然人的法定作为义务,对个人信息处理者的行为构成实际约束力。笔者
12、认为,个人信息处理者基于处理行为产生的此法定作为义务是其承担过错推定责任的实质基础。理由如下:第一,法定作为义务具有双重推定效力,既可依据未履行作为义务推定过错的事实,也可以依据作为义务推定过错的判断。有观点认为,法院在司法实践中要求个人信息处理者证明其履行了法定义务,而不是过错,这与过错推定责任之下就过错的举证责任倒置是不同的,而且违反法定义务认定过错属于事实推定,而不是法律推定。笔者认为,义务人承担法定作为义务,既可以从未履行法定作为义务中推定过错事实,也应当由义务人自己对已经履行了法定作为义务(无过错)事实承担证明责任。事实推定是一种事实方面的判断,是以客观事实为基础。事实推定意味着个人
13、信息处理者如果存在违反法律、行政法规和规章等规范性文件规定义务的行为,就推定其有过错。法律推定则是一种规范方面的判断,是以规范性文件的规定为基础。法律推定意味着依照个人信息保护法规定推定个人信息处理者有过错,其不能证明自己没有过错的,应当承担侵权责任。个人信息处理者的法定作为义务不仅是判断处理者是否存在违法行为继而认定其有无过错的标准,而且其自身也蕴含着要求处理者证明其不存在违法行为的规范拘束力。需要指出的是,此种拘束力并不简单是“允许处理者证明自己没有违法行为而免责”,而是“要求处理者应当证明自己没有违法行为才免责”。质言之,个人信息处理者不仅基于处理行为对自然人产生法定作为义务,而且应当就
14、已履行法定义务的事实承担证明责任。此种证明责任本身是个人信息处理者负有法定作为义务的应有之义和逻辑延伸。如果个人信息处理者只需履行作为义务,而无需对履行义务行为承担证明责任,这对义务人的拘束力是不够的。对承担安全保障义务等法定作为义务的义务人而言,在很多情况下只要违反安全保障等义务的违法性得以认定,过错也往往能够得到确认。因此,理论和实践多采过错推定原则。据此,就个人信息处理者基于处理行为承担的法定作为义务而言,只要其违反法定义务的违法性得以认定,过错往往也能够得到确认只有由处理者通过举证证明自己不存在违法行为,其过错责任才能得以免除。法律要求个人信息处理者应当积极知悉自己的义务内容并予以充分
15、履行,甚至要求其依据规范性文件细化操作规则和制定保护个人信息的行为准则。例如,个人信息保护法第31条第2款规定:“个人信息处理者处理不满十四周岁未成年人个人信息的,应当制定专门的个人信息处理规则:在一定意义上,法定作为义务积极促使个人信息处理者主动知悉和履行自己的法定义务以避免可能承担的法律后果,而证明责任既是使个人信息处理者的上述义务得以最终实现的手段,也是法定作为义务的逻辑延伸和拘束力体现。个人信息处理者通过积极履行作为义务,可避免承担法律责任,实现自身利益的最大化,因此,要求处理者应当明确知悉自己承担的法定作为义务内容,由其对自己的处理行为不存在违法情形承担证明责任也是公平的。第二,法定
16、作为义务适用过错推定责任与民法典的既有规定保持一致。在涉及法定作为义务产生过错推定责任的规定中,民法典一般都规定特定主体能够证明已履行作为义务的,不承担侵权责任。例如,民法典第1243条规定,“管理人能够证明已经采取足够安全措施并尽到充分警示义务的,可以减轻或者不承担责任第1248条规定,“动物园能够证明尽到管理职责的,不承担侵权责任第1256条规定,“公共道路管理人不能证明已经尽到清理、防护、警示等义务的,应当承担相应的责任”;第1258条规定,“管理人不能证明尽到管理职责的,应当承担侵权责任”。此类条文中的“安全措施”“警示义务”“管理职责”“清理、防护、警示等义务”等和第1198条的“安
17、全保障义务”一样,在性质上属于法定作为义务。值得注意的是,民法典第1198条虽然没有规定“不能证明”字样直接指明经营场所、公共场所的经营者等主体违反安全保障义务的侵权责任属于过错推定责任,但该条规定也属于过错推定责任范畴。据此,民法典违反法定作为义务的责任一般都是过错推定责任,个人信息处理者违反处理行为引发的法定作为义务适用过错推定责任,在体系上与民法典既有规定保持了一致。民法典第1038条第2款规定“信息处理者应当采取技术措施和其他必要措施,确保其收集、存储的个人信息安全,防止信息泄露、篡改、丢失;发生或者可能发生个人信息泄露、篡改、丢失的,应当及时采取补救措施,按照规定告知自然人并向有关主
18、管部门报告”;个人信息保护法第9条规定“个人信息处理者应当对其个人信息处理活动负责,并采取必要措施保障所处理的个人信息的安全这些都属于个人信息处理者保护个人信息安全法定作为义务的具体内容,虽然并无“不能证明”字样直接指向过错推定责任,但基于体系一致性的要求,个人信息处理者的法定作为义务也应当适用过错推定责任。第三,个人信息权益产生于处理行为之中,与过错推定责任发生于处理行为中具有统一性。个人信息权益所包含的知情、查阅、复制、转移、更正、补充、删除等权能都发生于处理行为之中,这就意味着应当在处理行为中去认识和理解个人信息权益的结构问题,也应当在处理行为中认识和理解个人信息权益的保护问题。个人信息
19、处理者的过错推定责任实际上是一种行为动态中的责任,没有处理行为,其责任的特殊性也就无法体现,这与个人信息权益发生和存在于个人信息处理行为中是具有内在一致性的。正如学者认为,“个人信息权是一种存在于数据处理过程中的权利,不是一种静态的绝对权利,而是自然人在与数据控制者互动的过程中,在参与到数据处理活动中时所触发和享有的一系列权利笔者认为,上述观点具有一定的道理。我国民法典将人格权独立成编,并基于社会现实的需要而在人格权编系统地确立了个人信息保护制度,该制度最主要的创新与发展之一就是明确了自然人的个人信息权益的性质为人格权益。民法典在人格权编将个人信息权益确立为人格权益的重要原因之一在于个人信息(
20、数据)开发和利用已成为社会发展的大趋势,甚至可以说,如果没有个人信息的利用需求和处理行为的存在,个人信息完全可以通过传统意义的民事权利或者利益类型进行规制和保护,没有必要特别确立个人信息权益,更没有必要适用过错推定责任。换言之,个人信息权益并不建立于个人信息之上,而存在于个人信息的处理行为之上。个人信息处理者的法定作为义务是针对处理行为过程中可能出现损害自然人人格权益的情形而设定的,并不具有普遍性,这也决定了个人信息处理者的过错推定责任是一种非普遍性责任。在一定意义上,个人信息处理者的法定作为义务和自然人的个人信息权益都是统一于个人信息处理行为之中。因此,处理行为既是个人信息处理者法定作为义务
21、的产生基础,也是自然人个人信息权益的存在环节。个人信息权益的保护应回归到处理行为之上,与因处理行为引起的法定作为义务而适用过错推定责任的基本原理保持了内在逻辑的一致性。综上,个人信息处理者承担过错推定责任的实质基础不在于地位或者能力上的差异,而在于其负有基于处理行为此种先前行为而产生的法定作为义务。处理行为本身不是侵权行为,只是个人信息处理者可能侵害个人信息权益的场景行为。个人信息处理者并不是在任何场景下都承担过错推定责任,只有在处理个人信息场合侵害个人信息权益时才可能承担过错推定责任。三、个人信息处理者过错推定责任与民法典的冲突及协调在个人信息保护法颁行后,学界对个人信息保护法和民法典两者之
22、间的关系有不同理解,一种观点认为,个人信息保护法和民法典属于特别法和一般法的关系,应当优先适用个人信息保护法的相关规定。另一种观点则认为,两者之间是相互并行的关系,而非特别与一般的关系。也有观点认为,不能简单地将民法典与个人信息保护法的关系界定为一般法与特别法的关系或者并存的基本法,而应当进行类型化分析。笔者认为,对于两者之间的冲突关系,不能一概而论,而应当进行具体分析。尤其,对个人信息保护法第69条规定的个人信息处理者过错推定责任与民法典相关规定之间的关系分析,更应如此。(一)个人信息处理者过错推定责任与民法典冲突关系的实质个人信息保护法第69条的过错推定责任规范在适用时可能会与民法典相关规
23、定发生一定的冲突关系。此种冲突关系的实质不在于个人信息处理者损害赔偿责任归责原则规范内容方面的体系衔接,而在于与个人信息保护中尤其是私密信息保护涉及的“强保护和“弱保护”问题之间的冲突关系。在归责原则的体系方面,个人信息保护法的立法者在立法阶段就刻意使个人信息处理者的过错推定责任规范与民法典保持了一致。例如,个人信息保护法二审稿(草案)第65条规定:“个人信息处理者能够证明自己没有过错的,可以减轻或者免除责任:在最后审议过程中,立法者将其修改为“处理个人信息侵害个人信息权益造成损害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任此与民法典第1165条第2款的立法表达完全保持一
24、致。笔者认为,个人信息保护法中个人信息处理者的过错推定责任规定与民法典侵权责任编没有冲突关系。理由在于,民法典第1165条第2款中的“法律”不仅指民法典,还包括其他特别法律,如个人信息保护法。民法典第11条规定:”其他法律对民事关系有特别规定的,依照其规定。”因此,个人信息保护法第69条第1款的过错推定责任是对民法典第1165条第2款的具体展开,关于个人信息处理者的过错推定责任,单独援引个人信息保护法的规定即可。虽然个人信息处理者的过错推定责任与民法典侵权责任编没有实质冲突,但与民法典人格权编的相关内容存在冲突关系。根据民法典第1034条第3款规定,一般认为,侵害私密信息的应当适用侵害隐私权的
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 个人信息 处理 过错 推定 责任 研究
链接地址:https://www.desk33.com/p-66593.html