1. 个人信息概述

1.1. 研究意义

2020年由媒体报道出“北京健康宝”软件中的用户信息被泄露和贩卖¹，涉及诸多公民个人重大信息；2020年北京女子雇佣“私家侦探”侵犯丈夫个人信息，且妻子行为对丈夫个人信息泄露是否应当担责法院未予以重视²；清华教授因个人信息泄露惨遭百万损失等近年来个人信息侵权的案件大爆发³。诸多类似案件的出现以及造成的损害后果和裁判结果引发全社会对个人信息安全的高度关注及担忧。对此2020年出台的《民法典》将个人信息纳入其人格编第六章以及2021年出台的《个人信息保护法》建立出初代个人信息的法律保护体系，回应了社会的现实需要。但在此中许多制度和解释在各法院各案件中存在诸多不一样的认定标准，对其侵权责任承担的构成要件的含义理解不一致所造成以及《民法典》与《个人信息保护法》两者对构成要件的涵义也存在异同，所以对此次研究非常有必要。

1.2. 个人信息的概念认定

根据《民法典》第一千零三十四条，个人信息是以电子或者其他方式记录且能够单独或者与其他信息结合识别特定自然人的各种信息，包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱地址、行踪信息等。对此可以看出我国立法对个人信息认定的标准是需具有“身份识别性”的，其他信息结合能够识别出特定自然人的，因无法列举完全，此处的个人信息范围则难以精准划分，只能由法官在审判时做出判断。例如浏览器的搜索记录、学籍学历、求职招聘等，应当都属于个人信息，在实践中却根据法官对个人信息归属的自行判断，从而导致类似案件判决结果差异较大的情况出现。

以上信息均在反应对个体身份的识别程度，但是在个案当中，各法院对身份识别程度的重视并未放在首位，而将个案当中将属于与当事人的受损利益相关的信息才认定为个人信息，不相关的信息则认定为不属于个人信息。笔者认为个别信息的相互联系及整合是有助于构造特定个人的整体信息，个体与整体是相互关联的，任何个体信息都能够联合其他信息对个人进行识别，所以否定整体中的个体即变相否定整体。而且对于未侵犯的个人信息部分，仍然存在被侵犯风险的可能性，将不足以造成侵权风险的可能排除在个人信息之外，这种认定结果显然是不合理的 [1] 。

2. 个人信息侵权责任的构成要件分析

据《个保法》第六十九条得出其构成要件：一是侵权行为即处理个人信息；二是损害事实即因个人信息其个人权益受到侵害；三是侵权行为与损害事实之间存在因果关系；四是行为人主观上存在过错即存在故意或者过失。

2.1. 对个人信息侵权行为的分析

首先对于侵权行为与侵权责任的概念应该加以区分，笔者发现两者的构成要件在民法学论文、著作中常出现相互替换且使用随意，从而导致概念的混淆。两者的概念和内涵都存在差异，其构成要件肯定是不同的。侵权行为是一种客观存在的法律事实，其构成要件包括主体即行为人、表现形式即行为方式、客体即行为侵害的对象。对此行为人的主观意思和主观状态也应作出区分，做出行为不一定会带有主观意思，有主观意思不一定做出行为，例如无民事行为能力人的无意识行为。侵权行为又是对加害行为的定性以及是否会产生法律后果的筛选 [2] 。加害行为要转化为侵权行为，需要法律这一介入因素，要违反了法律法规、侵害了合法权益的才是侵权行为，所以并不是所有的加害行为都是侵权行为，因此加害行为需具备侵权行为的构成要件以及加害对象或者客体是法律保护的权益才能转化为侵权行为。而“侵权行为”在表述中就意味着该行为已经综合判定构成侵权且可能会产生法律后果，但是否承担侵权责任还需进一步结合其他因素判断，比如侵权行为未达到侵权责任要求或者免责事由等。故侵权行为的构成要件不等于侵权责任的构成要件，应分清概念，表述使用清楚两者概念。

其次一点是，有学者对《个人信息保护法》第六十九条第一款的规定表述有不同的看法即是否应当将“非法”或者“违反本法规定”处理个人信息的表述列为个人信息处理者承担侵害个人信息侵权责任的构成要件中 [3] 。对此笔者有三点理由进行反驳：一是添加“非法或者违反本法”字眼预想表达处理行为的违法性，而违法性是否能够独立出现在构成要件中，在我国学术界是有争议的。对此就《民法典》的侵权责任编和《民法通则》中的《侵权责任法》来看，都并未出现“非法”或者“违法”的表述，若《个保法》将违法性作为独立的构成要件的话，是与《民法典》规定是不符的。二是《民法典》第一千一百六十五条第一款对“侵害”和“损害”作出了区分，“侵害”本身就意味着存在违法性或者非法性，因此《个保法》第六十九条第一款中的“处理个人信息侵害个人信息权益造成损害”完全包含非法处理或者违反本法规定处理即非法性。表述上不易赘述，体现法条的精简。三是若将“违反本法规定”这样的表述在其他法律部门也有体现，其涵义是该法不直接规定民事责任与承担，换言之，违反本法民事责任的承担与否以及如何承担，不是由本法决定，而是需要依法决定，自《民法典》出台后，“依法承担民事责任”的，均依《民法典》的规定确定民事责任。可以看出其他专门性综合法律规范与《民法典》之间呈衔接关系。而“违反本法规定”的表述并未出现在《个保法》第六十九条第一款中，所以《个保法》与《民法典》之间不存在衔接关系。因此只要个人信息权益受到侵害且造成了损害后果，就应依据第六十九条第一款由个人信息处理者承担过错推定责任。如此表述，侵权责任的承担认定并未局限于《个保法》的情形，在《民法典》《消费者保护法》《网络安全法》等不同法律规范中都有规定对个人信息保护以及调整方式。综合以上三点原因，笔者认为第六十九条第一款不加“非法处理”或者“违反本法规定处理”是合理的。

2.2. 对个人信息侵权损害事实的分析

根据司法实践，考虑到被侵权人处于处理信息能力的弱势地位，难以对自身的实质性损害进行计算且举证，从而对是否造成侵权和损害赔偿的确定存在困难，不利于保护个人信息权益。对此现行法律规范通过把个人信息进行分类和要素化的方法用以准确把握损害方式和损害程度以此确定损害赔偿。

分类化处理：从司法实践中的具体情况出发并结合《信息安全技术个人信息安全规范》对个人敏感信息类型的列举，以及《个保法》对敏感信息做出专门的法律规范进行调整和处理规则，且依照《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》将个人信息划分为三等类型，分别采取由重到轻的量刑尺度 [4] 。对此在分类过后，将个人信息的敏感程度分为了敏感信息与非敏感信息，那么对于敏感信息的处理规则应当更加严格，对侵害个人敏感信息的认定也应适用更低的标准，就应适当加大损害赔偿的力度，此时不仅需要体现民法的补偿功能更应体现民法的惩罚功能。对于敏感信息的认定，不仅仅只是相关法律规范所列举或者所规定的具体类型，在审判时，还需法官结合案件的处理个人信息的场景具体确定所侵权的个人信息是否能够划分为敏感信息，以确定个人信息的损害程度和损害赔偿范围 [5] 。

要素化处理：根据《民法典》第九百九十八条规定对损害赔偿认定要素进行了总结归纳。一是受害人的实际损失或者是侵权人从中获益的多少来确定损害赔偿的范围；二是侵权人的归责原则；三是侵权行为的时间和发生所在场所，即对信息分类的认定和侵权所造成的影响程度；四是侵权行为方式和情节。固定的要素化处理必然是无法应对社会中千奇百怪的侵权方式，对此笔者将以下三种特殊情形作为补充：一是履行公务或者提供服务的过程中获取的他人个人信息并故意泄露给他人的侵权人，是属于合法获取公民个人信息，对此类侵权人应当有更严苛的注意义务，构成侵权，法院可酌情适用扩大赔偿力度。侵权人存在过错，但对后续侵权事由不知情的，就侵权人过错部分承担民事赔偿责任。二是在网络空间中侵害个人信息权益，考虑到网络的特殊性，将网络空间划分为公开性、开放性、受众度较强的区域即微博、抖音等和较为封闭、受众度较弱的区域即QQ、微信朋友圈等网络平台。对在不同区域的网络平台上所造成的侵权信息传播速度、侵权情节造成的影响程度以及损害后果的程度进行综合考量，将侵权范围的认定适当的扩大和限缩更有助于实现损害大小的认定。三是对于侵权人的侵权行为涉及获取、收集、存储、加工、提供、公开个人信息等多个环节，对此情形笔者认为可以借鉴刑法中的多环节犯罪情形，采用选择罪名及一罪处罚。因侵权人仅有一个最终目的且主观故意只有一次，本质上只实施了一个连续侵权行为，故在认定损害后果时，对侵权行为中的连续数环节计算为一次侵权行为即可，法院可就侵权方式做出酌情增加损害赔偿力度。

2.3. 对个人信息侵权因果关系的分析

首先我国承认双层因果关系理论即处理个人信息权益的行为与被侵害的个人信息权益存在的因果关系；被侵害的个人信息权益与损害结果之间即存在因果关系。

因此对于第一层的因果关系中所采用的是不同法系都共同认可的理论——条件说，其主张是将案件中被告的诸多行为剥离出来，若将其中某一环节的加害行为抽离，损害结果依旧发生，则说明被告行为不是导致损害的原因，损害结果不应归责于被告，被告则无需对损害结果承担侵权责任。对于第一层因果关系的认定无非就以下两种情况，并以此进行分析。

一是个人信息处理者可以是作为方式实施侵害个人信息权益的行为，作为方式侵害即超出被侵权人同意的处理范围。例如，客服人员把用户周某的个人信息出售给诈骗分子，导致周某被骗4万元⁴。按照条件说理论，抽离客服人员出售周某个人信息给诈骗分子的行为，周某将不会受到损害，故客服人员的作为行为是与周某的个人信息被侵害有条件关系，是个人信息权益被侵害的必要条件，则能够认定客服人员的加害行为与周某被侵害的个人信息权益存在因果关系 [6] 。个人信息处理者也可以是不作为方式实施侵害个人信息权益的行为，不作为方式侵害即未按照法律规定的措施保护个人信息导致个人信息泄露。例如，A公司互联网防火墙存在漏洞，一直未修复，黑客通过漏洞进A公司系统内部盗取用户数据。

二是对多处理者事实加害行为的认定。除开共同侵权以外，根据一些公司平台对个人信息收集、整理等处理信息能力来看是极专业的，而对于这些平台是如何处理以及处理过后信息转手、信息共享或者多家平台享有相同信息等，对于哪一个才是最终侵权人，被侵权人往往不得而知，对此也难以进行取证以及举证。对此产生先例即“庞理鹏与北京趣拿信息技术有限公司等隐私权纠纷案”(以下简称庞某某案)⁵，在这个案件中庞某某通过趣拿公司购得东航公司的机票，与此同时两个公司都同时掌握了庞某某的机票个人信息，在法官审理案件时，也考虑到两家都有泄露庞某某个人信息的可能性，但庞某某无法证明具体侵权人 [7] 。对此情形，最终法官将这些处理者看待为一个整体，对于损害结果的发生且无法确定具体侵权人，则诸多加害人都有可能侵害其个人信息权益，那么责任成立的因果关系确立。对此《个人信息保护法》第二十条第二款规定了此种情形的个人信息处理者们应当依法承担连带责任，其“依法”则是依《民法典》的连带责任规定。

对于第二层因果关系仍然存在诸多不同学说，但我国仍坚定所借鉴德国相关因果关系说理论。相关因果关系说即被侵害的个人信息权益是否满足损害的条件相当。由原告证明被侵害是个人信息满足损害的条件，对于条件是否相当，则由法官根据案件事实做出客观归责判断，与此同时，被告方可对被侵害的个人信息权益与损害不具有相当性提出证明，如第三人的介入中断因果关系。而对于第三人因素的介入，若是中断了因果关系，那么个人信息处理者是否还应当对受损的个人信息权益承担责任。对此我国学者持有不同观点，有的学者认为，个人信息处理者将个人信息数据泄露是前行为，第三人实施侵害造成损害后果是由前行为导致，故应当承担责任；还有的学者认为，需证明后续的损害结果是由前行为所导致，若无法证明，信息数据泄露者就不应承担责任；还有部分学者认为，个人信息处理者对于第三人所使用的个人信息数据实施的侵权或者犯罪行为应当预见，应当预见而未预见的则应承担责任 [8] 。笔者认为对于生命权和健康权这些权益是难以预见损害后果的发生，所以被侵害的个人信息权益与损害结果之间的因果关系是否因第三人因素介入导致中断，使个人信息处理者不承担责任，不仅需要对个人信息类型进行区分还需要对损害类型进行区分。其中关于敏感信息的泄露，更容易造成被侵权人的权益受损即人身安全和财产安全，根据《个保法》对敏感信息的严格保护以及个人信息处理者有更严格的保护义务，只要是敏感信息的泄露，个人信息处理者都应承担相应责任。而泄露的是非敏感信息，笔者认为应当根据案件事实判断个人信息处理者是否有应当预见的义务或者存在过失，那么第三人的介入将不会中断因果关系，个人信息处理者亦将根据过错程度承担相应的赔偿责任。

3. 结语

因为个人信息的概念是随着互联网的盛世而起，伴随着互联网的升级发展，法律对个人信息的概念也应及时作出符合社会发展的变化，对其承担侵权责任的构成要件也应及时作出符合社会的需要以满足公民对自身信息保护的需求。对于其构成要件中各要件的学说争议、用词概念及含义区分以及认定标准、一般情形与特殊情形中的要素解析后进行归纳，法律规范之间的联系与区别也应逐渐统一且规范，使得个人信息侵权责任承担的构成要件更加符合现代社会发展，在传统构成要件的基础上进行辩证发展解决个人信息权益保护问题。

NOTES

¹澎湃新闻。“健康宝”泄露明星个人信息，技术与隐私何去何从？ (2020-12-30) [2023-7-13]。 https://www.thepaper.cn/newsDetail_forward_10601251。

²北京市东城区人民法院(2015)东民初字第20274号。张崇艺诉袁桂芹离婚纠纷一案。

3央视网。清华大学教授被诈骗1800万元 台警方通报案件细节(2017-2-18) [2023-7-13]。 https://news.cctv.com/2017/02/18/ARTI5JataqhGwHz7iha2gKHw170218.shtml。

⁴广东省深圳市中级人民法院(2019)粤03民终3954号。周裕婵、广东快客电子商务有限公司网络侵权责任纠纷案。

⁵北京市第一中级人民法院(2017)京01民终509号。庞理鹏与北京趣拿信息技术有限公司等隐私权纠纷案。

参考文献