一、个人信息网络侵权的法律规制概况 一般认为,个人信息是可以直接或间接识别本人的信息的总和,包括一个人的生理的、心理的、智力的、个体的、社会的、经济的、文化的、家庭的等等方面[1]97,或者指那些能够据此直接指明或间接推断出自然人身份而又与公共利益没有直接关系的私人信息[2]。遏制个人信息的网络侵权,已经是全球范围的共同课题。对其保护,世界上有立法规制、行业自律和技术保护等模式,各种模式各有优缺。立法规制模式是由政府通过立法的方法,从法律上确立个人信息保护的各项基本原则与各项具体的法律规定、制度,并在此基础上建立相应的司法或者行政救济措施,具有保护全面、监督有保障等优点,但有一定滞后性,因过于苛严而束缚了企业自由。行业自律模式是指计算机信息网络的从业者自己制定行业行为规范或标准,表明他们在计算机个人信息问题上的保护措施,实行行业内的自我约束和自我控制。以美国为代表的国家,不主张通过严格的立法来保护网上个人隐私材料,目前,主要通过制定和实施“建议性行业指引”和“网络隐私认证计划”来实现行业自律和自我约束。自律模式针对性强,有利于保障信息的自由流通,但是义务规定过于宽松,参加认证的网站少不具普遍性,执行机制不够完善,救济途径单一、乏力,常常使受害方的赔偿请求落空。技术保护模式是指运用一些特定的程序和系统以实现不同程度的信息保护,即通过某些隐私信息等保护软件,在消费者进入某个收集个人信息的网站时,该软件会提醒消费者哪些种类的个人信息正被收集,由消费者自行决定是否继续浏览该网站。比如,对利用cookies跟踪软件和其他相似技术记录网络用户网络活动的情况,p3p软件、Opt-in和Opt-out模式的使用对个人信息起到了很好的保护作用[3]。但是,技术本身是否安全就是问题,加上软件的变通性小、对网络服务商的限制作用有限,所以,技术只是辅助性手段,不能代替立法。 我国在个人信息的法律保护方面,刑法制度设计已经先行一步,行政责任与民事责任的建立健全也在进行之中。《刑法修正案》(七)第七条明确规定,国家机关或者金融、电信、交通、教育、医疗等单位的工作人员,违反国家规定,将履行公务或者提供服务中获得的公民个人信息出售或非法提供给他人,或以窃取、收买等方法非法获取上述信息,情节严重的,应追究刑事责任,处三年以下有期徒刑或者拘役,并处或者单处罚金。就民事侵权方面,个人信息的网络侵权救济已显得刻不容缓,本文就此重点讨论。由于个人信息利益本身不同于传统的生命、身体和物质财产等有物理实体的利益,加上网络侵权不同于传统侵权,问题新多于旧,所以,需要综合考察他国先进的专门立法和我国既有的立法资源,才能更好规制其网络侵权,以在后发优势中寻求突破。 目前,我国还没有制定专门的个人信息保护法,对个人信息的民法保护散见于各种法律、法规中。《民法通则》关于人格权的规定是保护个人信息的主要法律渊源,第100条、第101条、最高人民法院《关于贯彻执行〈中华人民共和国民法通则〉若干问题的意见(试行)》第140条、最高人民法院《关于审理名誉权若干问题的解答》、《关于审理名誉权若干问题的解释》等都有相关规定。但由于立法时间与背景的限制,《民法通则》并未明确界定个人信息。全国人大颁布的《关于维护互联网安全的决定》和2000年信息产业部施行的《互联网电子公告服务管理规定》使用了“数据资料”和“个人信息”概念,表明个人信息的独立客体地位为立法者所承认,在个人信息保护历史上意义重大,改变了以往通过保护人格和隐私而间接保护个人信息的思路[1]116-117。2002年12月23日,第九届人大常委会首次审议的民法典草案明确界定了私人信息、私人活动与私人空间,并归之为“隐私”范畴[1]116。2009年通过的《中华人民共和国侵权责任法》(以下简称《侵权法》)未使用和界定“个人信息”,但第36条规定了网络用户的侵权责任以及网络服务提供者侵权的“通知条款”和“明知条款”,以及第62条规定“医疗机构及其医务人员应当对患者的隐私保密”、“泄露患者隐私或者未经患者同意公开其病历资料,造成患者损害的,应当承担侵权责任。”此外,其他法律渊源还有:《传染病防治法》、《电子签名法》、《拍卖法》、《保险法》、《行政许可法》、《监狱法》、《税收征收管理法》、《统计法》等相关条文。 二、个人信息网络侵权责任及其适用条件 (一)侵权行为与侵权责任 一般讲,侵权行为分为一般侵权行为与特殊侵权行为,分别适用过错责任与严格责任(此处包括无过错责任与过错推定责任)。笔者认为,一般侵权与特殊侵权的区分标准主要看立法方式,前者为概括式的一般条款立法,后者为列举式的特别规定,而随着社会的复杂化,会相继出现新的特殊侵权行为类型。尽管特殊侵权行为在法律要件、法律效果和免责事由等方面被特别规定,但并非指这些方面绝对不同于一般侵权行为。由于立法技术以及部门法调整的内容不同等原因,有些侵权行为会因一般法与特殊法的同时规定而发生竞合[4]。所以,归责原则和侵权行为类型并不存在必然的对应关系,而是出现一种综合交叉的复杂趋势:一般侵权行为的归责事由是过错,但特殊侵权行为的归责事由也可能包含过错归责,只是更加突出虽无过错但因行为本身的危险、基于公平的考量等由法律特别规定予以分配的严格责任。事实上,我国《侵权法》在一些特殊侵权责任中,也会适用多种归责原则,比如,第七章医疗损害责任就包括过错责任和严格责任[5]。就算是同一类型甚至同一个具体侵权行为,适用民事责任的条件和形式也可能有多种情况。《民法通则》专设一节规定民事责任形式,《侵权法》进行了沿袭,但都未明确各种形式的适用条件与归责原则。在知识产权的侵权责任适用中,责任形式与归责原则的匹配性问题得到凸显,大家才开始讨论“停止侵害”等物权主张应适用无过错责任原则、“损害赔偿”等债权主张应适用过错责任原则[6]。 #p#分页标题#e# (二)个人信息网络侵权行为及责任 《侵权法》第2条规定:“侵害民事权益,应当依照本法承担侵权责任。本法所称民事权益,包括生命权、健康权、姓名权、名誉权、荣誉权、肖像权、隐私权、所有权、用益物权、担保物权、著作权、专利权、商标专用权、发现权、股权、继承权等人身、财产权益。”据此,《侵权法》的保护范围为民事权益,包括各种人身和财产权益。因此,不论将个人信息的保护基础归为人身权还是财产权,作为信息主体的民事权益,都可依此获得保护。具体而言,个人信息的网络侵权行为主要表现为非法收集、获取、利用他人资料,包括:(1)网络安全存在隐患导致个人信息泄露,如黑客与木马的威胁;(2)采用Cookies获取用户个人信息;(3)监视软件的滥用;(4)擅自在网上宣扬、公布他人个人信息或隐私;(5)第三方泄露或共享等[7]。 《侵权法》第6条规定:“行为人因过错侵害他人民事权益,应当承担侵权责任。根据法律规定推定行为人有过错,行为人不能证明自己没有过错的,应当承担侵权责任。”它确立了过错责任原则:一般过错与推定过错并举。第7条规定:“行为人损害他人民事权益,不论行为人有无过错,法律规定应当承担侵权责任的,依照其规定。”该条确立的是无过错责任原则。由于过错推定原则适用的后果比一般过错责任严格得多,所以,常与无过错责任合称为严格责任,并都以“法律规定”为适用前提;而一般过错责任就指狭义的过错责任。 笔者认为,除了考虑行为本身的特点外,侵权责任还应着眼于责任形式的不同来确定适用条件。 根据《侵权法》第15条列举的8种责任形式,外加既有的精神损害赔偿、惩罚性赔偿等,都可能适用于个人信息网络侵权的一般与特殊侵权行为当中。 1.一般个人信息网络侵权行为及责任 《侵权法》第36条规定:“网络用户、网络服务提供者利用网络侵害他人民事权益的,应当承担侵权责任。网络用户利用网络服务实施侵权行为的,被侵权人有权通知网络服务提供者采取删除、屏蔽、断开链接等必要措施。网络服务提供者接到通知后未及时采取必要措施的,对损害的扩大部分与该网络用户承担连带责任。网络服务提供者知道网络用户利用其网络服务侵害他人民事权益,未采取必要措施的,与该网络用户承担连带责任。”该条位于第四章“关于责任主体的特殊规定”中,从侵权主体与侵权环境出发,专门规定网络用户、网络服务提供者利用网络侵害他人民事权益的侵权责任,是对第四章以前的一般规定做出的特别规定。因为从整体解释看,第五章才开始特殊侵权类型的列举规定,第四章属于侵权法一般规定之总论到列举特殊侵权类型之分论的过渡部分,所以,第36条的网络侵权责任虽然比较特殊,但在我国侵权行为的“一般侵权与特殊侵权”之二元格局中,网络侵权行为还是属于一般侵权行为范畴,包含一部分个人信息的网络侵权。 在没有法律特别规定时,个人信息网络侵权行为作为一般侵权行为,着眼于不同责任的适用,其构成可分三种情况:(1)适用“停止侵害、排除妨碍、消除危险、恢复原状、消除影响、恢复名誉”等责任时,侵权行为构成要件为三个:实施了加害行为、行为对权利人权益构成侵害、行为与侵害后果之间有因果关系,不要求有主观过错与损失(损害)后果。 因为在这些行为中,即使没造成损失后果、侵权人主观上没有过错,但权利人的权益已经被侵害,所以,需要适当方式的救济,以尽可能恢复到未被侵害时的权益平衡状态,比如,网络服务提供者应采取删除、屏蔽、断开链接等必要措施的责任。(2)适用“赔礼道歉”时,要加上“主观过错”的要件,但不要求侵害后果上一定存在损失,因为该责任主要是对人格权益受侵害的救济,显示了对侵权者主观心理的一种责难。(3)适用“赔偿损失”时,包括精神与物质上的损失,赔偿方式也体现为金钱等可替代的财产补偿或赔偿,同时体现对侵权者的主观责难,因此,这时的侵权行为构成要件应包括:加害行为、损失后果、行为与后果间有因果关系、主观过错。网络服务提供者接到通知或知道网络用户利用其网络侵权而未采取必要措施的,对损害的扩大部分与该网络用户承担连带责任,该连带责任与网络用户的责任就属于此种情形。 2.特殊个人信息网络侵权行为及责任 在列举式规定特殊侵权责任部分,《侵权法》第61条第1款规定医疗机构及其医务人员具有依规定填写与保管病历的义务,第2款确立患者的病历查阅权与复制权,以及医疗机构的病历提供义务;第62条先设立医疗机构及其医务人员对患者的隐私保密义务,随后明确规定违反该法定义务、“泄露患者隐私或者未经患者同意公开其病历资料,造成患者损害”的侵权责任,采用无过错归责原则。这从保护客体的角度为个人信息侵权救济打下了基础,如果侵权发生在网络上,则会构成网络用户与网络服务商的个人信息网络侵权行为。但是,隐私、病历资料并不等于所有个人信息,所以保护有限。 分析该两条规定,可以认为,该类特殊侵权行为的构成分两种:(1)实施了加害行为,包括“不依规定填写与保管病历、不向患者提供病历及其查阅与复制”等不作为侵权和“泄露患者隐私或者未经患者同意公开其病历资料”等作为侵权;造成权益侵害,但不一定有损失后果;二者有因果关系。 这类行为承担的责任形式为:第一,“停止侵害、恢复原状”,比如,完成填写与保管行为、提供病历、采取保密措施、停止泄露或公开行为,当然,“恢复原状”以能够恢复为前提;第二,“消除影响、恢复名誉”,如泄露隐私、公开病历造成不良影响或名誉侵害的,以此救济。(2)实施了加害行为———“泄露患者隐私或者未经患者同意公开其病历资料”等作为侵权;造成权益损害或损失后果;二者有因果关系。这种行为承担的责任形式,除了上述的“停止侵害、恢复原状、消除影响、恢复名誉、赔礼道歉”外,主要指“赔偿损失”。可见,此处两种情形都不要求主观过错,只因行为后果不同而采取不同的责任形式。在网络环境下,不论医疗机构及其医务人员是作为网络用户还是网络服务提供商,如果违反《侵权法》第61条规定,应依该特别规定承担上述责任。#p#分页标题#e# 此外,我国尚未出台专门的个人信息保护法,所以,对个人信息的网络侵权行为还没有更多的特别规定。从建议稿看,也是从行为主体出发,对国家机关、法律法规授权的组织,采取无过错归责原则,适用国家赔偿法,免责事由仅限于不可抗力;对自然人、法人或其他组织,采取过错推定归责原则①。但二者承担的责任形式一样,包括停止侵害、消除影响、损害赔偿等民事责任。笔者认为,不管哪类主体侵权,“停止侵害、消除影响”都不应以过错和损失后果为条件;而“损害赔偿”则要求损害后果、且因主体不同而课以不同主观要件———国家机关“无过错”、非国家机关有“推定过错”。只有这样,首先着眼于责任形式的要求,然后结合行为主体的特点和行为的后果,来确定相应侵权行为的构成要件,才能更全面、更合理地保护权利人的权益,实现行为人的行为自由与权利人的权益保护之间的平衡。 (三)不承担或减轻民事责任的事由 针对个人信息网络侵权责任的不予承担或予以减轻的事由,目前并无直接的法律规定,但可以适用《侵权法》的一般规定,即第三章“不承担责任和减轻责任的情形”。个人信息网络侵权责任的不予承担和减轻事由,还应注意以下问题: 1.受害人同意。权利主体同意他人在网上获取自己的个人信息,或者同意他人将自己的个人信息和隐私在网上公布等,这类情况下,因为是经过了权利人的许可,所以,行为人的行为可阻却违法。但是,权利人的同意必须是其真实的意思表示,不违反法律和公序良俗等基本原则,且行为人的行为不得超过权利人同意的范围。 2.受害人故意。根据《侵权法》的规定,损害是因受害人故意造成的,行为人不承担责任;被侵权人有过错的,减轻行为人责任。因此,在个人信息网络侵权中,由于受害人的故意使得行为人在网上泄露、传播、宣传受害人的个人信息及隐私,或者使行为人获得受害人个人信息的,行为人不承担责任,但过失除外。 3.第三人原因。根据《侵权法》的规定,损害是因第三人造成的,第三人应当承担侵权责任。该条并未表明第三人是否有过错,也未说明第三人是否和第二人发生连带责任,应结合其他条款和具体侵权行为来确定。 4.社会公共利益和国家政治利益的需要。为了社会公共利益和国家政治利益的需要而公开他人的个人信息,例如,为了侦破网络犯罪,维护网络安全而对他人的网上行为进行监听,对政府官员的品行在网上评论或公开政府财政收入,以社会公共利益为目的披露领导人、艺术家、影视明星、体育明星、社会活动家等公众人物的个人信息和隐私,不构成网络个人信息侵权。多数国家的个人信息专门法中,都有类似规定,而且更加详细全面,值得借鉴。 5.网络不可抗力。《侵权法》规定,因不可抗力造成他人损害的,不承担责任;法律另有规定的,依照其规定。但是,对网络中哪些事由可归为不可抗力,尚无定论。笔者认为,“不能预见、不可避免、不能克服”依然应当作为判断的基本依据。 例如,网络上因出现超越现有技术水平的技术故障或其他意外事故,造成个人信息资料的泄露或个人邮箱的破坏等,行为人可以不承担民事责任。但是,因为网络技术陈旧、疏于管理等出现线路故障,设备失灵,这是人力可以控制和避免的,此时应构成对个人信息的侵权。 6.网络紧急避险或正当防卫。《侵权法》规定:正当防卫引起的,不承担责任,但防卫过度的,应承担适当责任;紧急避险造成损害的,由险情发生人承担,自然原因引起的,不承担或适当补偿,避险不当引起的,应适当承担。比如,遭到网络黑客攻击,网络服务提供商不得已而采取断线、停止服务、技术隔离等必要措施造成的必要损失,可以不予承担责任。当然,网络环境中,哪些情形应归为紧急避险或正当防卫,尚需更深入的理论研究。 三、我国个人信息网络侵权规制的完善 (一)明确个人信息的民法保护基础:个人信息权 个人信息应受民法保护,这已成共识,但是,民法的保护基础是什么,学界尚无定论,有所有权、人格权、人格权与财产权双重保护、人权等观点[1]95。笔者认为,应在个人信息上设立个人信息权,定性为具有精神利益与物质利益双重属性的框架性人格权,并依据个人信息民事法律关系,确立个人信息权的自决、管理、许可、禁止和收益等权能[8]。 (二)完善实体与程序等多方面立法规定,尽快出台《个人信息保护法》 个人信息的法律问题、尤其是网络上的问题,是一个特殊性较多的新领域,如果仅仅依据一般的民法规定,其保护非常有限[9]。所以,以现有的理论成果和立法、司法实践为基础,应该尽快出台专门的《个人信息保护法》,比较考察国外和我国台湾、香港地区的专门立法,以周汉华教授和齐爱民教授的建议稿为基础,应对个人信息保护的实体法和程序法都作出相应规定。 (三)加强法律、行业、技术与政策等多种手段的协调配合和综合保护 网络社会相对于现实的物理社会,在存在形式、组织结构等重要方面都有不同,单纯依靠某一种手段,是不可能治理好的。虽然法律手段不失为最直接、最有力的手段之一,但是,网络秩序的形成,必须依赖于多种手段的协调运用和综合保护。比如,下列方面可予以考虑: 1.提高网络行业的自律性。行业自律除了要制定必要的行为规范,加强对员工个人信息及隐私保护方面的教育,开展有关检查指导活动外,还要建立一种沟通机制,增加个人信息保护过程的透明度,树立公司良好的社会形象[10]。这在美国等发达国家比较成熟,我国虽有起步,但很不完善,需要进一步努力。#p#分页标题#e# 2.加强网络个人信息的自我保护意识。保护网络个人信息最直接有效的办法是提高本人的个人信息意识和自我保护技能,这可通过法制宣传、教育等方法加强[11]。 3.建立个人信息保护评估体系。笔者认为这样一个评估体系,如同商业系统给予“放心店”等荣誉称号一样,将有利于进一步从鼓励提倡的角度促进网上个人信息的保护。 4.强化网络管制。(1)充分发挥网络专门管理机构的作用。(2)对网络消费者的管理:第一,实行入网账号实名登记制,同时,对网络消费者输入信息进行限制;第二,通过列举的方式规定禁止像危害国家安全、犯罪、色情等输入的信息。(3)规定网络服务商的义务,包括:检查、监察、隔离、协助以及通知和报告等义务。 5.倡导正确的网络伦理道德观[12]。在网络社会中,必须倡导并形成一种积极向上的技术开发风气,树立正确的网络伦理道德观,形成一种软约束。