程啸 | 论个人信息侵权责任中的违法性与过错
点击蓝字关注本公众号,欢迎分享本文
作者:程啸,清华大学法学院教授、法学博士。
来源:《法制与社会发展》2022年第5期(第191-209页)。(责任编辑:苗炎、李书磊)
摘 要
我国法没有将违法性作为因侵害个人信息权益承担的侵权责任的构成要件。个人信息处理者适用《个人信息保护法》第69条第1款规定的过错推定责任,而违法推定过失不同于过错推定责任。个人信息处理者过错的认定也有别于其他侵权人过错的认定。保护性规范在个人信息侵权责任认定中对过错的判断具有重要作用。个人信息保护法律中的保护性规范包括:关于个人信息处理规则的法律规范、关于个人在个人信息处理中的权利的法律规范、关于保护个人信息安全的义务的法律规范以及关于个人信息保护影响评估义务的法律规范。其中,处理者违反个人信息处理规则的行为就是过失行为,即违法等于过失,不存在被推翻的可能;若处理者违反其他三类保护性规范,则可以对其适用违法推定过失,推定的结果可以被推翻。但是推翻违法推定过失不等于推翻了过错推定责任。
关键词:个人信息;侵权;过错推定责任;保护性规范;违法推定过失
个人信息处理者处理个人信息侵害个人信息权益造成损害时,应当承担侵权赔偿责任。关于该责任究竟是过错责任、过错推定责任抑或危险责任,比较法上有不同的立法模式。在我国《个人信息保护法》的起草过程中,对该问题也有很大的争议,立法机关最终采取了过错推定责任。《个人信息保护法》第69条第1款规定:“处理个人信息侵害个人信息权益造成损害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。”在《个人信息保护法》中,个人信息处理者仅指“在个人信息处理活动中自主决定处理目的、处理方式的组织、个人”(第73条第1项),故此,并非个人信息处理者的组织或个人侵害个人信息权益造成损害时,就不能对其适用该法第69条第1款规定的过错推定责任,只能对其适用过错责任(《民法典》第1165条第1款),而过错责任原则是侵权赔偿责任的基本归责原则。另外,由于自然人因个人或者家庭事务处理个人信息也不适用《个人信息保护法》,所以,此类个人信息处理活动中因侵害个人信息权益产生的赔偿责任,也是过错责任。
显然,对于因侵害个人信息权益承担的侵权责任而言,无论其是过错推定责任还是过错责任,过错都是侵权责任的核心构成要件。无非适用过错推定责任时,由个人信息处理者举证证明自己没有过错,而适用过错责任时,须由个人证明个人信息处理者具有过错。目前,理论界对个人信息侵权责任中的过错及违法性研究较少,不少问题尚未得到深入之探讨。例如,个人信息处理者因侵害个人信息权益承担的侵权责任是否以非法处理个人信息或违反《个人信息保护法》为要件?个人信息处理者与其他侵害个人信息权益的主体在过错认定上有无区别?过错推定责任与违法推定过失能否并用?适用违法推定过失是否意味着,个人信息处理者可以通过证明自己不存在违法行为推翻对其存在过错的推定?是否任何违反个人信息保护法律规范的行为都产生违法推定过失的效果?本文将对这些问题进行系统的研究,以供理论界与实务界参考。
从《个人信息保护法》第69条来看,个人信息处理者因侵害个人信息权益承担的侵权责任的构成要件可被分解为四项:一是处理个人信息;二是侵害个人信息权益;三是造成损害;四是个人信息处理者不能证明自己没有过错。《个人信息保护法》该条中并未出现“非法处理个人信息”或“违反本法规定处理个人信息”的表述。然而,对于是否应当以“非法处理个人信息”为个人信息处理者因侵害个人信息权益承担的侵权责任的构成要件,存在不同的看法。
在《个人信息保护法》的起草过程中,曾有观点主张,将个人信息处理者“非法处理个人信息”或“违反本法规定处理个人信息”规定进第69条,使之成为因侵害个人信息权益承担的侵权责任的构成要件。支持该观点的理由为:首先,如果不是非法处理个人信息,相关行为不可能侵害个人信息权益;其次,在比较法上,欧盟、德国、韩国等地区或国家的法律就明确以违法处理个人信息为相关民事责任的构成要件。欧盟《一般数据保护条例》(GDPR)第82条第1款规定:“任何因违反本条例的行为而遭受财产或非财产损害之人有权就所受之损害向控制者或处理者请求赔偿。”德国《联邦数据保护法》第83条第1款规定:“如果控制者因数据处理而违反本法或者其他与处理相关的法律规定,给数据主体造成损害的,控制者或者其法人实体有义务向数据主体进行赔偿。”《韩国个人信息保护法》第39条第1款规定:“个人信息处理者因违反本法的行为对信息主体造成损害的,信息主体有权向个人信息处理者请求损害赔偿。个人信息处理者若无法举证其不存在故意或过失的,不得免除其责任。”
《个人信息保护法》并未采取上述观点,笔者认为,这是非常正确的。不应将“非法处理个人信息”或“违反本法规定处理个人信息”作为个人信息处理者因侵害个人信息权益承担的侵权责任的构成要件,理由在于以下几点。
(一)违法性要件有无独立性在我国仍然存在争议
对违法性(Rechtswidrigkeit)与过错(Verschulden)的区分始于《阿奎利亚法》,经由著名法学家耶林(von Jhering)的创造性发展而为《德国民法典》所采纳。《德国民法典》第823条第1款规定:“因故意或过失,不法侵害他人之生命、身体、健康、自由、所有权或者其他权利者,对于该他人,负赔偿因此所生损害之义务。”据此,过错也被称为“有责性”,是侵权赔偿请求权的主观要件,相关注意义务属于主观性注意义务,过错包括故意和过失,它对作出侵害行为的加害人(的心理状态)进行了评价,回答了加害人为何以及在何种前提条件下负担损害赔偿责任的问题。违法性属于客观要件,是对人的行为的评价,它回答的是受害人为何以及在何种前提条件下受法律保护的问题。德国法上的违法性可能因侵害主观的权利而产生,也可能由违反客观的法秩序所生,换言之,可以被评价为具有违法性的行为包括:侵害所有权等绝对权的行为、法律禁止实施的行为以及行为人故意实施的因违背善良风俗而被法秩序所禁止的行为。德国民法通说认为,区分违法性与过错的主要理由在于:违法性要件可以为人们在社会生活中的行为提供清晰明确的标准,使人们知道在一定的情形下,哪些行为是应当做的,哪些行为是可以做的,哪些行为是禁止做的正是由于德国民法中区分了违法性与过错,德国《联邦数据保护法》第83条第1款才将“非法处理数据(Rechtswidrige Datenverarbeitung)”作为那些负责预防、调查、侦查或起诉刑事犯罪或者行政违法行为或执行刑事或行政处罚的公共机构承担的个人数据侵权赔偿责任的构成要件之一。从该款可知,只有发生了“非法的个人数据处理(eine rechtswidrige Verarbeitung personenbezogener Daten)”,才会产生赔偿责任。这里的所谓“非法”指的就是违反德国《联邦数据保护法》第45条以下的条文规定和欧盟《一般数据保护条例》等其他与数据处理相关的法律。
在我国,民事立法没有明确区分过错与违法性,理论界对该问题也存在很大的争论。现行法并未对过错和违法性作出明确的区分,至少就采用过错责任原则这一基本归责原则的法条(即侵权法中的一般条款)而言,从《民法通则》第106条第2款到《侵权责任法》第6条第1款,再到《民法典》第1165条第1款,都无“违法”或“不法”的表述。因此,在个人信息处理者因侵害个人信息权益承担的侵权责任中以非法处理个人信息为独立的要件,与《民法典》确立的一般侵权责任的要件不符。况且,《民法典》第1165条第1款区分了“侵害”与“损害”,所谓“侵害”(Verletzen)本身就蕴含了行为人的行为具有非法性或不法性的意义。换言之,只要行为人在既未取得权利人的同意,也没有法律(或行政法规)规定的可以排除行为的侵害性的正当理由的基础上,实施了侵入权利的支配范围、干扰或妨害对该权利的行使的行为,那么该行为就是侵害他人民事权益的行为。因此,非法处理个人信息的涵义完全可以被《个人信息保护法》第69条第1款中的“侵害个人信息权益”这一要件所包含。也就是说,一旦个人信息处理者的处理行为符合这一事实构成要件——“侵害个人信息权益”,该处理行为的违法性就当然成立。正因如此,我国司法实践要求个人信息处理者对其行为的合法性负举证责任,例如,《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》第6条第2款规定:“信息处理者主张其行为符合民法典第一千零三十五条第一款规定情形的,应当就此所依据的事实承担举证责任。”
(二)民事责任具有不同于刑事责任的功能
民事责任尤其是损害赔偿责任以补偿为基本功能,刑事责任以制裁或惩罚为基本功能。我国《刑法》第253条之一规定的侵犯公民个人信息罪的犯罪构成要件就包括“违反国家规定”出售或者提供公民个人信息,或者“窃取或者以其他方法非法获取公民个人信息”,只有这样的行为才可能构成犯罪。该要求的实质在于提示违法阻却事由。然而,在个人信息侵权责任中,无论处理个人信息的行为是否违法,处理者只要侵害个人信息权益造成损害,且不能证明自己没有过错,就要承担侵权责任。即便是合法的个人信息处理活动,也可能产生侵害个人信息权益的侵权责任。例如,个人信息处理者在取得自然人或者其监护人的同意之后处理个人信息时,该处理活动才可能是合法的,然而,即便是合法的处理活动,如果不是合理实施的,依然会产生民事责任。我国《民法典》第1036条第1项规定,行为人只有在该自然人或者其监护人同意的范围内合理实施处理个人信息的行为时,才不承担民事责任。再如,依据《民法典》第1036条第2项以及《个人信息保护法》第27条,处理自然人自行公开的或者其他已经被合法公开的信息时,即使未取得该自然人的同意,该处理行为也是合法的。然而,如果对该被合法公开的个人信息的处理是不合理的,或者侵害了自然人的重大利益,则个人信息处理者依然要承担侵权责任。因此,不能将非法处理个人信息作为个人信息侵权责任的构成要件。
(三)《个人信息保护法》第69条第1款是独立的请求权基础
在我国不少法律中,都有诸如“违反本法规定,给他人造成损害的,依法承担民事责任”的表述,如《数据安全法》第52条、《网络安全法》第74条、《反不正当竞争法》第17条、《广告法》第56条、《医师法》第63条、《生物安全法》第82条等。这些条文采取“违反本法规定”的表述的原因在于,它们都是衔接性规定,并不直接规定民事责任的成立与承担,而是在体系结构上旨在将违反本法规定的行为与其他法律关于民事责任的规定链接起来。违反这些法律规定的行为人是否要承担民事责任以及如何承担民事责任,不是由“本法”决定的,而是需要“依法”判断的。在《民法典》颁布后,所谓“依法承担民事责任”当然首先指依据《民法典》的规定来承担相关责任。然而,《个人信息保护法》第69条第1款并不是衔接性规定或宣示性规定,而是独立的请求权基础。也就是说,该款决定个人信息处理者的民事责任如何成立以及处理者怎样承担该责任的问题,个人信息权益被侵害的被侵权人是依据该款来请求个人信息处理者承担损害赔偿等侵权责任的。既然如此,倘若以“违反本法规定处理个人信息”为《个人信息保护法》第69条第1款规定的侵权责任的构成要件,就会产生一个很大的弊端,即不恰当地把个人信息处理者因侵害个人信息权益承担的侵权责任狭窄地限定在违反《个人信息保护法》的情形上。尽管《个人信息保护法》是我国个人信息保护领域最基本的法律,但规定个人信息保护以及调整个人信息处理活动的法律规范不限于它,还包括《民法典》《数据安全法》《网络安全法》《电子商务法》《消费者权益保护法》《未成年人保护法》《全国人民代表大会常务委员会关于加强网络信息保护的决定》等法律、《互联网信息服务管理办法》《征信业管理条例》等行政法规,以及《儿童个人信息网络保护规定》《电信和互联网用户个人信息保护规定》等规章。因此,不能将《个人信息保护法》第69条第1款局限在“违反本法规定”上。也就是说,个人信息处理者只要在个人信息处理活动中侵害了个人信息权益造成了损害,就应当依据第69条第1款承担过错推定责任。
(一)两种情形下的过错
在《个人信息保护法》颁布前,法院依据《民法典》等法律以及最高人民法院有关司法解释处理个人信息侵权案件时,适用的是过错责任原则,原告必须证明,被告因过错而侵害其个人信息权益造成了损害。法院在认定被告的过错时采取的是客观过失理论,即通过明确被告所属的群体进而确定该群体中的理性人应有的注意义务,将其与被告的实际行为相比较,最终确定被告的过错。例如,有的法官认为,“在个人信息侵权案件中,被告往往是对于海量个人信息和数据具有高超运算处理能力的公司或者组织,他们是一个高度专业化的专家群体或系统”。因此,这种高度专业化群体中的理性人的标准要远远高于一般人的标准。
然而,在《个人信息保护法》颁行后,就不能再采取统一的标准来认定个人信息侵权纠纷中被告的过错,而有必要对以下两种不同情形中的过错加以区分,并相应采取不同的认定标准:一是个人信息处理者处理个人信息侵害个人信息权益造成损害的情形;二是自然人因个人或者家庭事务处理个人信息侵害个人信息权益造成损害的情形。在前一种情形中,判断个人信息处理者的过错时,当然要适用《个人信息保护法》的规定,尤其要依据该法所确立的个人信息处理规则、个人信息处理者的义务等来认定过错。然而,在后一种情形中,不能将《个人信息保护法》中的对个人信息处理者的规定用于对被告有无过错的认定上。之所以作此区分,主要就是因为《民法典》与《个人信息保护法》在调整范围和调整方法上存在差异。
1. 调整范围的不同决定了过错的认定标准不同
《民法典》是我国民事领域的基本性、综合性法律,调整的是平等的自然人、法人和非法人组织之间的人身、财产关系。这就明确限定了《民法典》中的个人信息保护制度的适用范围,即只能将其适用于平等的自然人、法人与非法人组织之间的个人信息处理关系,而不能将其适用于公权力机关与民事主体这样的不平等的主体之间的个人信息处理关系,如国家机关为履行法定职责而处理个人信息时建立的关系。《个人信息保护法》是调整个人信息保护与利用的专门法律,只要是个人信息处理者处理个人信息的活动,无论处理者是谁——国家机关、企事业单位抑或自然人,无论处理的目的为何——为了追求经济利益抑或为了提供社会服务、进行行政管理,也无论处理的方式怎样——通过人工方式处理或者利用网络信息科技进行自动化处理,即只要是信息能力不平等、不对等的主体之间的个人信息处理活动,都要受到《个人信息保护法》的规范。至于那些信息能力基本对等的主体之间即自然人之间,在他们因个人或者家庭事务而处理个人信息时,考虑到他们“处理的个人信息数量有限,不具有利用个人信息获取经济利益的目的,且当事人地位平等,从尊重私人生活角度考虑没有必要由有关部门过多介入”,故此,《个人信息保护法》不调整这种个人信息处理关系,仍应将其交由《民法典》调整。至于自然人因个人或者家庭事务而进行的收集、存储、使用或公开个人信息等活动,无论它们侵害的是姓名权、肖像权、名誉权、隐私权还是个人信息权益,均适用《民法典》而非《个人信息保护法》的规定。
2. 调整方法的不同导致了过错认定标准上的差异
在《民法典》中,关于个人信息保护的规定被置于第四编“人格权”当中。人格权编调整的是“因人格权的享有和保护产生的民事关系”(《民法典》第989条),故此,《民法典》只是明确了个人信息权益的内容,并从民事责任这一事后救济的角度对个人信息权益的保护作出了规定。例如,个人信息与隐私权的法律规范适用(第1034条第3款)、处理个人信息时应遵循的原则和条件(第1035条)、处理个人信息产生的侵权责任的免责事由(第1036条)、个人信息权益的内容(第1037条)等。《民法典》对个人信息处理者的义务的规定较少,只有第1038条和第1039条作出了规定。为了全面应对网络信息科技的发展带来的风险,《个人信息保护法》通过大量的强行性法律规范对个人信息处理活动——对个人信息的收集、存储、使用、加工、传输、提供、公开、删除等——进行了全方位与全过程的规范。《个人信息保护法》所注重的不是“亡羊补牢”,其更多地将重心放在了“未雨绸缪”及“防患于未然”上。因此,它在区分不同的个人信息处理活动、不同类型的个人信息以及不同的处理者的基础上,有针对性地明确了相应的个人信息处理规则(尤其是细化了告知同意规则),并详细规定了个人信息处理者在个人信息处理活动中的各种法定义务(安全保护、合规审计、评估、报告、监管等义务),同时赋予了个人在个人信息处理活动中的各种相应的权利(查阅、复制、更正、删除、可携带等权利)。由此可见,在认定个人信息处理者的过错时,应当依据《个人信息保护法》中的关于个人信息处理规则和个人信息处理者的义务等的法律规范。
(二)个人信息处理者的故意与过失
由于个人信息处理者侵害个人信息权益的情形最为普遍,是我国《个人信息保护法》规范的重心,所以本文探讨的过错仅限于个人信息处理者的过错。个人信息处理者的过错是个人信息处理者就个人信息权益被侵害的结果具有的主观心理状态,包括故意或者过失。故意(Vorsatz)指个人信息处理者明知其行为会发生侵害个人信息权益的后果仍有意为之的一种主观心理状态,包括两种类型:其一为直接故意,即个人信息处理者明知其行为会产生侵害个人信息权益的后果而追求该后果的发生的心理状态。例如,A公司在没有告知并取得个人同意的情况下利用APP搜集个人信息,或者B公司将收集的个人信息非法出售给C公司以牟利。其二为间接故意,即个人信息处理者明知其行为(作为或不作为)可能发生侵害个人信息权益的后果而放任该后果之发生的心理状态。例如,A单位明知B公司的技术条件完全不符合存储敏感个人信息须达到的安全要求,仍然使用B公司提供的服务来存储大量的敏感个人信息,导致这些个人信息全部被他人窃取并贩卖于暗网。过失(Fahrlässigkeit)指个人信息处理者应当预见、能够预见其行为会发生侵害个人信息权益的后果,却未能避免该后果的出现。例如,A单位的网络系统曾遭受黑客入侵,这本足以让A单位认识到其现有的安全技术措施不足以保障个人信息安全,必须及时改进安全措施,但A单位无动于衷,结果发生了个人信息泄露的后果。显然,此时A单位具有过失。
在刑法中,个人信息处理者向他人出售或提供个人信息时的心理状态是故意还是过失很重要,因为我国《刑法》第253条之一规定的侵犯公民个人信息罪的主观要件必须是故意,即行为人明知自己的行为将违反国家有关规定,仍向他人出售或者提供公民个人信息,或者明知自己的行为将违反国家有关规定,仍将在履行职责或者提供服务的过程中获得的公民个人信息出售或者提供给他人,或者以窃取或其他方式非法获取公民个人信息,希望或者放任情节严重或者情节特别严重的后果发生的心理状态。然而,从个人信息侵权责任的角度来说,个人信息处理者的心理状态究竟是故意还是过失无关紧要。重要的是,如何认定个人信息处理者具有过错。
(三)过错推定责任与违法推定过失
对于个人信息权益被侵害的原告而言,证明个人信息处理者具有过错往往比较困难。在《个人信息保护法》颁布前,为了减轻原告的举证压力,司法实践采取了两种做法:一是违法推定过失,即处理者为经营者时,只要发生了个人信息的泄露或丢失,其就要证明自己履行了采取适当的技术措施以确保信息安全的法定义务,否则其将被认定违反了法定义务,进而被认定有过错,其可以提出反证。例如,在庞理鹏与北京趣拿信息技术有限公司等隐私权纠纷案中,法院认为:“2013年新颁布的《中华人民共和国消费者权益保护法》第二十九条第二款中明确规定,经营者及其工作人员对收集的消费者个人信息必须严格保密,不得泄露、出售或者非法向他人提供。经营者应当采取技术措施和其他必要措施,确保信息安全,防止消费者个人信息泄露、丢失。这是在立法层面上对消费者个人隐私和信息的保护,也是对经营者保护消费者个人信息的强制性规定。经营者违反了该条规定,即视为其存在过错。”二是法官重新分配过错要件的证明责任,将原本由原告承担的证明被告存在过错的举证责任分配给被告。例如,在申瑾与支付宝(中国)网络技术有限公司等侵权责任纠纷案中,法院认为:“个人相对于具有一定数据垄断地位的公司实体在证据搜集和举证能力上处于弱势地位。因此,应顾及双方当事人之间实质公平正义进行举证责任的分配。本案中,申瑾已举证证明其将个人信息提供给携程公司,后在较短时间内发生信息泄露,已完成相应合理的举证义务。携程公司应就其对申瑾的个人信息泄露无故意或过失之事实负举证责任。”
在起草《个人信息保护法》时,立法机关考虑到,“在个人信息处理活动中,相对于个人信息处理者来说个人处于弱势地位,个人信息处理情况和相关证据通常只有个人信息处理者掌握,个人作为被侵权人很难获得,因此要求个人证明个人信息处理者存在过错非常困难”,故此,《个人信息保护法》第69条第1款采取了过错推定责任,即处理个人信息侵害个人信息权益造成损害的,个人信息处理者如果不能证明自己没有过错,则应当承担损害赔偿等侵权责任。该规定一方面降低了个人承担的举证责任的难度,改由个人信息处理者承担提出证据证明其没有过错的责任,另一方面将个人就过错所承担的风险负担意义上的证明责任转给了个人信息处理者,也就是说,一旦个人信息处理者有无过错的事实真相不明,应由个人信息处理者而非个人承担不利后果。显然,在《个人信息保护法》颁行后,关于过错的问题已经从个人如何证明个人信息处理者具有过错转变成了个人信息处理者如何证明自己没有过错。
目前,在理解《个人信息保护法》第69条第1款时,不少人主张,在认定个人信息处理者的过错时,应采取违法推定过失的方法。例如,有的学者认为,《个人信息保护法》第69条第1款的“推定过错应理解为行为违法性的推定,个人信息处理者存在违反本法规定侵害个人信息权益的行为,即可推定其存在过错,其应对个人信息处理行为的违法性提供反证”。有的学者认为,随着个人信息保护逐渐成为一项法定义务,在过错认定越来越客观化的今天,除非行为人提出反证,否则通常可以通过其对法定义务的违反认为其存在过错。可将我国法律规定的个人信息保护义务主要分为两大类:一是不得侵害个人信息权益的消极义务,比如不得泄露、篡改、毁损收集的个人信息;二是进行个人信息保护的积极义务,比如保护个人信息安全的义务。还有的学者认为,对于个人信息侵权中的过错认定应当采取客观化的标准。法律、行政法规等为个人信息处理者处理个人信息的行为规定了明确的条件。如果个人信息处理者没有按照法律、行政法规和双方的约定处理,那么就可以认定其主观上有过错;反之,如果个人信息处理者能够证明其充分履行了个人信息保护义务,则应当认定,其满足了证明自己没有过错的情形。
问题在于,既然《个人信息保护法》已经规定了个人信息处理者因侵害个人信息权益承担的侵权责任适用过错推定责任,那么还有必要或者说还能适用违法推定过失吗?过错推定责任与违法推定过失的叠加是否会导致变相减轻个人信息处理者的证明责任的后果呢?换言之,个人信息处理者可否通过证明自己并无任何违反《个人信息保护法》和其他法律规定的违法行为,推翻基于违法对其存在过失的推定,进而推翻过错推定责任?笔者认为,过错推定责任与违法推定过失之间具有一定的相似之处,如二者都有减轻原告证明被告存在过错的难度的效果,但它们属于不同的规则类型,二者之间存在明显的差异:一方面,二者的法律效果不同。过错推定责任改变了举证责任的分配,它意味着法律上推定了行为人具有过错,被侵权人已经不需要证明行为人的过错这一要件,应由行为人来证明自己没有过错。同时,过错推定责任还改变了证明责任上的风险负担(客观意义上的举证责任),使被推定具有过错之人在其有无过错这一事实的真相不明时承担不利后果。然而,违法推定过失既没有改变举证责任的分配,更未改变客观上的证明责任,也就是说,如果在过错责任认定中适用违法推定过失,那么依然应由被侵权人来承担证明侵权人具有过错的责任,并且在侵权人有无过错这一事实的真相不明时,应由被侵权人承担不利后果即败诉的风险。另一方面,二者的适用范围不同。过错推定责任是对过错责任的偏离,改变了客观意义上的举证责任,限制了行为人的自由,因此必须严格限制其适用范围。依据《民法典》第1165条第2款,只有在法律有明文规定时,才可适用过错推定责任。从《个人信息保护法》第69条第1款的规定来看,只有个人信息处理者侵害个人信息权益的情形才适用过错推定责任,而行为人不属于个人信息处理者或者不适用《个人信息保护法》的情形都不适用过错推定责任。然而,违法推定过失只是判断过失的一种方法而已,其本质上是法官依据法律、行政法规确定的行为标准来认定被告在具体情形中的过失。违法推定过失只在一定程度上降低了原告的举证难度,也减轻了法官因缺少相应知识而在评价专业领域中的行为人有无过错上遇到的困难。因此,违法推定过失的适用并不以法律明文规定为前提。在我国司法实践中,法官在认定侵权案件中的被告有无过失时,往往首先依据相关法律、行政法规所确立的行为标准,然后考虑合理的人或善良管理人应达到的标准。
综上所述,过错推定责任和违法推定过失之间并非完全排斥的关系。就个人信息侵权责任中的被侵权人而言,其针对个人信息处理者提起侵权之诉时,由于适用过错推定责任,所以作为原告的个人已无必要再利用违法推定过失来减轻自己的举证困难。然而,对于个人信息处理者来说,违法推定过失可以被反过来适用,即个人信息处理者能够举证证明自己行为的合法性,而这在一定的程度上有助于推翻对自己具有过错的推定。之所以如此,是因为违法推定过失中被违反的“法”是法律和行政法规中以保护主体的特定民事权益为目的的规范,即所谓保护性规范(Schutzgesetz)。这些规范通过对行为人的行为方式、标准提出要求达到保护民事权益的目的,但基于难以协调各种利益、信息缺乏、专业知识不足等多方面的原因,保护性规范的要求在很多时候只是对行为人的注意义务和注意程度的最基本要求,这种规范注重的是要求的客观性、统一性和易实施性。因此,只要行为人违反了保护性规范,当然就可以认定其存在过失。反过来,即便行为人遵守了保护性规范,这也不能证明其完全没有过失,行为人还必须证明自己已经尽到了合理谨慎的人在特定情形下所应尽到的注意义务。他只有做到这样,方能最终推翻对自己具有过错的推定。具体到个人信息处理者,其要推翻对自己具有过错的推定,不仅要证明自己没有违反个人信息保护法律中的保护性规范,还要证明自己已经尽到了作为合理谨慎的个人信息处理者所应尽到的注意义务。在确定合理谨慎的个人信息处理者应负的注意义务时,需要考虑的事实包括:个人信息的类型(敏感的还是非敏感的个人信息)、处理的目的(营利还是非营利)、处理的方式(收集、储存、加工、使用、提供、公开等)、处理的具体场景、个人信息处理活动是否属于处理者的主要业务领域、个人信息处理者的专业技术水平和知识能力、个人信息处理者此前是否出现过个人信息泄露的问题等。
如前所述,过错推定责任仅适用于个人信息处理者侵害个人信息权益造成损害的情形。如果侵权人非个人信息处理者(如委托处理个人信息中的受托人)或者不适用《个人信息保护法》的个人信息处理情形中发生了侵害个人信息权益的纠纷,则仍需适用过错责任原则,也就是说,还是要由原告来承担举证责任。此时,违法推定过失依然具有重要的作用。
(一)保护性规范的确定标准
违法推定过失的适用以行为人违反保护性规范为前提。所谓保护性规范,也被称为保护性法律,是旨在保护特定对象(特定的个体或群体)的民事权益,使之免于某种事故或免受某种损害的法律规范。保护性规范仅限于成文法,可能被规定在《民法典》等民事法律中,也可能被规定在《刑法》抑或《道路交通安全法》《网络安全法》等管理性法律中。由于保护性规范以保护特定主体的民事权益并使其免受特定损害为目的,所以,只有违反保护性规范,才能引起民事侵权责任。
从比较法上看,认定某一法律规范是否属于保护性规范,需要考察两个标准,即主体标准与客体标准。在普通法中,因被告违反成文法规定的注意义务产生的侵权诉讼被称为违反法定义务的侵权请求(claim for breach of statutory duty),但并非被告任何违反成文法规范的行为都可以被认定为过失行为,并产生侵权责任,只有违反符合伤害种类规则与人群类别规则的成文法,才会产生过失侵权责任。具体而言:其一,这种成文法的全部或部分目的须是保护特定的群体,而原告必须是该群体中的一员。例如,法律为保护工厂的工人而规定,所有工厂的电梯都必须处于安全的状态。如果甲属于工厂的工人,而乙只是来厂参观人员,那么,在甲乙二人因电梯坠落而遭受损害时,乙不可以直接依据该法确定工厂的过失,因为其并非该法所要保护的群体中的一员。其二,这种成文法的目的或是保护特定的利益免受侵犯,或是保护利益免受特定种类的伤害或免受该伤害所造成的特定危险,原告受到的损害或被侵害的利益必须属于成文法旨在避免的损害或旨在保护的利益。例如,市政当局要求相邻不动产的所有人必须修理人行道上的缺陷并扫除人行道上的冰雪,以免他人经过时受伤。A没有这样做,行人B踩到一块冰,滑倒受伤。此时,由于市政当局这一规定的目的就是保护行人免受人行道缺陷或湿滑带来的损害,故在B针对A提起的诉讼中,可以以A违法为由认定A的过失。
依据《德国民法典》第823条第2款,“违反以保护他人为目的之法律者”应当负担与该条第1款规定的义务相同的损害赔偿义务。所谓“以保护他人为目的的法律(Schutzgesetz)”属于广义的法律,既包括立法机关制定的法律(无论是刑法、其他公法还是私法的一部分),也包括政府的法令、地方的法规以及食品和药品方面的规章。习惯法也可以属于保护性法律,如规定结社自由、出版自由等关涉人的自由与人格尊严的法律,刑法上关于禁止危险驾驶、人身伤害、侵入他人住宅等危险行为的规定等。就如何判断哪些法律属于保护性法律这一问题,德国法采取了以人的保护范围和物的保护范围为标准的做法。一方面,这些法律须符合人的保护范围(Persoenlicher Schutzbereich)的要求,即必须保护特定的群体,同时,受害人须属于该受法律保护的群体;另一方面,该法律必须符合物的保护范围(Sachlicher Schutzbereich)的要求,也就是说,违反该法律造成的损害属于该法律意图保护的法益或者避免的损失。德国法作此限制的根本原因在于要限制侵权责任的范围,因为人们几乎难以想象有哪一个公法性或管理性法律不能在一般意义上被看作为个别公民提供帮助或保护的法律。
我国台湾地区的通说认为,“民法”第184条第2项所谓以保护他人为目的之法律仅指一般意义上的防止危害权益或禁止侵害权益之法律,凡是直接或间接以保护个人之权益为目的者均属之,至于专门以国家社会之秩序为保护对象的法律,它们不属于以保护他人为目的之法律。因此,保护他人之法律具有如下特征:(1)法令课与行为人特定的义务;(2)法令的目的在于保护个人与特定范围内之人的权益;(3)法令的目的在于防止妨害他人的权益或者禁止侵害他人的权益,或在于保障他人之权利或利益不受侵害;(4)专门保护国家社会利益或大众利益的法令不属于保护他人之法律。
虽然我国《民法典》没有如《德国民法典》第823条第2款那样,将违反保护性法律的侵权行为作为单独的一类侵权行为加以规定,但我国立法、司法和理论界都认可,保护性规范应当符合主体保护范围和客体保护范围这两项标准。通说认为,所谓保护性规范以保护作为私主体的他人为全部或部分目的,该规范所规定的行为义务已经明确界定了行为人对他人的行为义务,即行为人对特定人或特定群体中的私人所应负的义务,且过错往往就源于其违反了其对特定人或特定群体中的私人应负的义务。行为人违反保护性规范的行为可以被推定为过失行为。
(二)我国个人信息保护法律中的四类保护性规范
我国《个人信息保护法》以保护个人信息权益为最主要的立法目的。在大数据时代,个人信息被收集、储存、转让和使用已经成为每个被嵌入其中的自然人的社会生活常态,无法改变。然而,无论是数据企业、政府部门还是其他主体,在收集、保管、分析和使用个人信息的过程中,都极有可能给自然人带来各种前所未有的侵害其既有人身、财产权益以及损害其人格尊严和人格自由的危险。这些危险至少包括:其一,非法收集、非法买卖或使用个人信息使犯罪分子有机会对自然人既有的生命权、健康权、名誉权、隐私权等人格权以及债权、物权等民事权利实施侵害;其二,基于被合法收集的个人信息形成的大数据,通过算法等技术进行社会分选、歧视性对待,进而损害人格尊严的危险;其三,通过大数据和人工智能技术进行人格画像,将作为民事主体的自然人降格为客体并对其进行操控,进而损害人格自由等的危险。为了消除上述各种新的危险,法律必须承认自然人对自己的个人信息享有一种防御性的利益即个人信息权益,并对其给予保护。如此才有可能为信息社会中的每个自然人筑起一道坚实的法律保护屏障,使之免于遭受上述危险现实化带来的损害。故此,我国个人信息保护法律中有大量的保护性规范,可将它们具体分为四类,即关于个人信息处理规则的法律规范、关于个人在个人信息处理活动中的权利的法律规范、关于个人信息处理者保护个人信息安全的义务的法律规范、关于个人信息保护影响评估义务的法律规范。在个人信息保护领域,只有违反这四类保护性规范,才能产生民事责任,否则将过度扩张民事责任的范围,妨害行为自由,不利于对个人信息的合理利用。
1. 关于个人信息处理规则的法律规范
个人信息处理活动就是指个人信息的收集、存储、使用、加工、传输、提供、公开、删除等活动。网络信息科技的高速发展使得现代社会中的个人信息处理活动发生了质和量两个方面的巨大变化:在质上,个人信息处理者与个人在信息、技术、经济等各方面的能力越来越不对等;在量上,个人信息处理活动无处不在、无所不在、无时不在,处理的主体和处理的场景越来越具有广泛性、多样性和复杂性。因此,个人信息保护法律必须对个人信息处理规则作出规定,即明确个人信息处理者在实施个人信息处理活动时应当遵守的基本规则。这些规则的核心就是“告知同意规则”。告知同意规则指任何组织或个人在实施任何个人信息处理活动前,都应当对个人信息将要被处理的自然人即信息主体履行告知义务,并且只有在取得该主体或者其监护人的同意后,方可从事得到同意的个人信息处理活动,否则处理行为即属违法行为,除非法律或行政法规另有规定。
告知同意规则是个人信息保护法律中最基本的规则,也是完全以保护信息主体的个人信息权益免受侵害为目的的规则。个人信息与自然人的人格尊严和人格自由息息相关。为了保护人格尊严和人格自由这一最高位阶的法益,自然人对其个人信息享有受到法律保护的民事权益。我国《民法典》《个人信息保护法》明确承认了自然人的个人信息权益,规定自然人对处理其个人信息的活动享有知情权、决定权,有权限制或者拒绝他人对其个人信息进行处理,除非法律、行政法规另有规定。这就意味着,信息主体之外的任何个人或组织都要尊重该权益并不得侵害该权益。同样,承认自然人的个人信息权益必然会使得他人的行为自由受到限制,即除非满足法律、行政法规所规定的无需取得自然人的同意甚至无需告知自然人的情形,否则,任何组织或个人没有告知并取得自然人的同意就处理其个人信息的行为,当然都属于侵害个人信息权益的非法处理行为,具有非法性。在个人信息处理的规范方面,并不存在所谓“个人信息是可以自由使用的,除非个人信息上存在明确可识别的个人权益,否则就不能赋予信息主体干预他人使用的自由”。故此,以告知同意规则为核心的个人信息处理规则就是典型的保护性规范,包括《个人信息保护法》第13条至第35条、第39条,《民法典》第1035条、第1036条,《网络安全法》第41、44、45条等。
2. 关于个人在个人信息处理中的权利的法律规范
《个人信息保护法》第四章规定了个人在个人信息处理活动中的权利。具体来说,该章依次规定了个人对其个人信息的处理享有的知情权、决定权(第44条),个人向个人信息处理者请求查阅、复制其个人信息的权利(第45条第1、2款),个人请求将个人信息转移至其指定的个人信息处理者的权利(第45条第3款),个人请求个人信息处理者更正、补充其个人信息的权利(第46条),个人请求删除个人信息的权利(第47条),个人要求处理者对其个人信息处理规则进行解释说明的权利(第48条)。此外,死者近亲属在一定条件下也可以对死者的相关个人信息行使查阅、复制、更正、删除等权利(第49条)。这些权利的主体是个人,而义务主体都是个人信息处理者。其中,个人对其个人信息的处理享有的知情权和决定权是个人信息权益最核心的内容,而查阅权、复制权、可携带权、更正权、补充权、删除权、解释说明权等只是手段性或救济性权利,旨在保护知情权和决定权。因为对知情权和决定权最大的威胁就来自于个人信息处理者,所以要专门规定个人在个人信息处理中的权利。故此,个人信息处理者应当履行相应的义务,以此来实现个人在个人信息处理活动中的权利,只有这样才能真正实现对个人信息权益的保护。这些规范属于保护性规范。此外,《民法典》第1037条、《网络安全法》第43条属于与这些保护性规范有着相同性质的规范。
3. 关于个人信息处理者保护个人信息安全的义务的法律规范
个人信息处理者处理的个人信息是涉及不特定多数人的海量信息,还包括了大量的敏感个人信息以及私密信息。如果个人信息被泄露、篡改、丢失或者未经授权被访问,信息主体的人格尊严、人格自由以及生命健康、财产安全等合法权益将受到直接的、现实的损害或者影响长远的危害。例如,我国每年大量发生的网络电信诈骗中,有相当大的一部分是个人信息被泄露或非法买卖所导致的。故此,个人信息处理者负有严格保护个人信息安全的义务,应防止个人信息被泄露、窃取或篡改、删除,不得非法买卖个人信息。该义务对保护自然人的个人信息权益极为重要,关于这些义务的规范当然属于个人信息保护法律中的保护性规范,如《个人信息保护法》第9条、第51条、第57条,《民法典》第1038条第2款,《网络安全法》第42条第2款,《全国人民代表大会常务委员会关于加强网络信息保护的决定》第4条等。
4. 关于个人信息保护影响评估义务的规范
《个人信息保护法》第55条和第56条规定了个人信息处理者针对某些个人信息处理活动应当事前进行个人信息保护影响评估并加以记录的义务。这主要是考虑到,各种个人信息处理活动的目的各不相同,处理者运用的处理方式和利用的科技手段种类繁多,而这将给自然人的个人信息权益带来各种不同的甚至难以想象的影响与风险。依据《个人信息保护法》第51条,个人信息处理者应当根据个人信息的处理目的、处理方式,个人信息的种类,处理活动对个人权益的影响、可能存在的安全风险等,采取措施以确保个人信息处理活动符合法律、行政法规的规定,并防止未经授权的访问以及个人信息被泄露、篡改或丢失。换言之,个人信息处理者不是不可以从事高风险的处理活动,但需要为此负责,要承担更高的注意义务,采取更严格的安全保护措施,事前的个人信息保护影响评估与记录义务正是责任原则的体现。故此,关于个人信息保护影响评估义务的法律规范属于保护性规范,如《个人信息保护法》第55条、第56条等。
(一)比较法上的不同观点
行为人违反保护性规范侵害他人权益造成损害时,究竟是应直接认定行为人存在过错,还是应推定行为人存在过错,在比较法和我国法上,都存在很大的争议。在美国的侵权法学界,就违反保护性规范的行为,究竟是应推定其为过失行为,还是应将其视为过失行为,主要有三种观点。一为法律上的当然过失说,也被称为“法定过失说”。此说认为,只要行为人违反了保护性法律,就可以直接认定行为人有过失。著名侵权法学家Prosser教授认为:“只要某项成文法被认为可被采纳……那么,对该成文法之违反就无法被宽宥,而违反该成文法的事实本身就说明行为人存在过失,这一结论是无法被反证推翻的,且法庭必须对陪审团作出此种指示。”二为推定过失(prima facie negligence)说。此说认为,违反法定的行为标准只构成被告具有过失的表面证据,即违法行为本身可以被推定为过失行为,但是被告如果能够举证证明自己事实上并没有过失,就可以推翻此种对过失的推定。三为过失证据(evidence of negligence)说。此说认为,缺乏免责事由的违法行为并不能取代陪审团对被告行为合理性的审查,违反法定的行为标准且缺乏免责事由的行为只是证明被告具有过失的某种证据而已,陪审团可以自由决定是否接受这种证据。
《德国民法典》第823条第2款关于违反保护性法律的规定在因果关系和过错的证明方面都有利于受害人。一旦加害人的行为满足了客观构成要件,即违反了保护他人的法律,那么连接行为与责任的因果关系将被推定存在。加害人必须证明存在违法阻却事由才能推翻该推定。至于违反保护他人的法律究竟是证明行为人有过错的表面证据,还是推定行为人有过错的证据,德国民法学界存在争论。有的观点认为,如果保护性法律本身已对其要求的行为进行了具体化表述,以至于只要某行为人违反该条文规定的客观要件就可以得出该行为人存在主观过错的结论,那么,违反保护性法律就指示(indiziert)出了加害人的过错。然而,如果保护性法律仅为针对某种损害后果的禁止性规定,则违反该条文的事实本身并不能指示出过错。例如,如果被告的行为违反了《食品和日用品法》第8条,但该条只规定了禁止有害食品的生产和流通,未就被禁止的行为的具体方式作出规定,则仅仅违反该条本身不能指示出加害人存在过失。有的观点认为,如果行为人违反了一项要求特定行为的抽象的保护性法律,那么行为人就没有尽到外在的注意义务,此时就可以推定,其违反了必要的内在注意义务,以至于行为人必须主张和证明存在若干足以推翻其有过错的例外情形。
(二)违反我国个人信息保护法律中的保护性规范的不同法律后果
在我国民法学界,有的学者认为,违反保护性规范产生的效果就是推定行为人具有过错,行为人可以通过反证其就违反保护性规范或侵害法益无过错推翻这一推定。笔者认为,不能对违反保护性规范的后果一概而论,有些后果等同于行为人存在过失,有些则是推定行为人存在过失。以医疗损害责任为例而言,《民法典》第1222条规定,如果医疗机构有其规定的三种违法行为之一,即可推定医疗机构具有过错,其中,医疗机构违反法律、行政法规、规章以及其他有关诊疗规范的规定更是判断医疗机构具有过错的一种很强的表面证据。不过,由于《民法典》规定的是违法推定过失,故此,医疗机构可以提出证据推翻对其存在医疗过失的推定。然而,《民法典》第1219条第2款规定:“医务人员未尽到前款义务,造成患者损害的,医疗机构应当承担赔偿责任。”也就是说,如果医务人员没有履行该条第1款所规定的向患者说明病情和医疗措施并取得同意这一法定义务(即告知说明义务),那么该行为既是违法行为,也是过失行为,在符合其他侵权要件的情形下,将产生侵权赔偿责任。医务人员要么证明自己尽到了告知说明义务,要么证明存在法定的免责事由,否则不能被免责。因为医务人员违反告知说明义务的行为本身就是过失行为,这种行为中的违法性与过失是一体的。同样,就前文所述的个人信息保护法律中的四类保护性规范而言,个人信息处理规则与《民法典》第1219条第1款规定的医务人员的告知说明义务在性质上一样,任何组织或个人违反个人信息处理规则的行为都是侵害个人信息权益的行为,具有非法性,同时,该行为本身就是有过错的行为。个人信息处理者要么证明其没有违反该规则,要么证明存在法定的免责事由,否则不存在推翻对过失的推定的可能。然而,违反另外三类保护性规范的行为适用的是违法推定过失。此外,由于个人信息处理者的侵权责任适用的是过错推定责任,所以,即便个人信息处理者推翻了根据其违法推定出来的过失,也不等于完全推翻了过错推定责任。具体阐述如下:
第一,如果个人信息处理者违反个人处理规则实施处理行为,即在没有告知并取得自然人或者其监护人的同意的情形下处理其个人信息,那么除非存在法律、行政法规规定的无需取得同意甚至无需告知的情形,否则该处理行为既是违法行为,也是有过错的行为。因为告知同意规则是个人信息处理中最基本的法律规则,也是判断个人信息处理活动合法与否的根本标准。除非法律、行政法规另有规定,否则,只要没有告知并取得个人的同意,任何处理个人信息的活动都是非法的。在个人信息的“全生命周期”中,知情同意是一道“闸口”,无论是信息采集、利用,还是相应的信息转换、转移,均绕不开“知情同意”。以告知同意规则为核心的个人信息处理规则直接针对个人信息处理者提出了应尽到注意义务的要求,这种要求不仅是外在的、客观的行为标准和行为方式上的要求,也是对个人信息处理者的内在注意义务的要求,因为告知同意规则旨在保护个人信息权益,防止处理行为对个人信息权益尤其是个人对其个人信息处理的知情权和决定权的侵害。只要处理者未取得自然人或其监护人的同意,相关情形又不属于法律、行政法规规定的无需同意或无需告知的情形,实施了处理个人信息的行为,就意味着处理者知道或者应当知道其正在实施侵害个人信息权益的行为且在追求、放任或未防止该后果的发生,这就是过错。因此,违反个人信息处理规则的违法行为就是过错行为,不存在已经尽到一切注意义务仍然不免发生该违法行为的可能性。即使真的有这种情形,法律、行政法规也已明确对其作出了规定,排除了其违法性。
第二,如果个人信息处理者违反的是关于保护个人信息安全的义务的规范或者关于个人信息保护影响评估义务的规范,或者如果个人信息处理者没有履行相应的义务以实现个人在个人信息处理活动中的权利,那么只能通过该违法行为推定处理者存在过失,而处理者可以通过举证证明其没有过错,推翻此种基于违法行为对其过失的推定(而非推翻过错推定责任中的推定)。以违反关于保护个人信息安全的义务的法律规范为例来说,之所以可以通过违法推定处理者存在过错,是因为如果个人信息处理者严格依据《个人信息保护法》《民法典》等法律的规定履行了保护个人信息安全的义务,如制定内部管理制度和操作规程,对个人信息实行分类管理,采取相应的加密、去标识化等安全技术措施等,那么其就可以防止未经授权的访问以及个人信息被泄露、篡改、丢失。这些义务的目的就是保护个人信息权益免受泄露、篡改等的侵害。故此,当个人信息处理者存在违反上述法定义务的行为时,可推定其具有过失,个人信息处理者可以通过举证推翻这一推定。那么,个人信息处理者究竟如何才能推翻对其过失的推定呢?德国民法通说认为,《德国民法典》第823条第2款规定的过错不同于该条第1款规定的过错,该款规定的过错指行为人就违反保护他人的法律的行为本身而言具有过错,至于行为人对于行为的后果即权益被侵害有无过错,在所不问。例如,某人违反限制行车速度的法律规定撞伤行人,其只需要考虑其对违反限速的规定的过错即可,无需考虑其对于行人被撞伤有无过错。故此,行为人只能举证其对于违反保护性规范并无过错,从而推翻基于违法行为对其存在过错之推定。《美国侵权行为法重述(第二次)》第288A第2款列举了五种情形,只要满足其中之一,即便行为人违反了立法机关制定的法律或者行政机关制定的规章,也会被认为不具有过失(negligence)。《美国侵权行为法重述(第二次)》报告人指出,此五种情形并非完全的列举。这五种情形包括:其一,因为行为人无能力故其违法行为是合理的。例如,一位盲人看不见交通信号灯,故其违反交通规则的行为是合理的。其二,行为人既不知道也不应当知道行为不符合须遵守的法律或规章。例如,法律要求汽车驾驶员在夜间行车时打开前后灯,行为人夜间行车时尾灯突然坏了,而行为人已尽到合理谨慎的义务检查过车辆,对尾灯坏掉毫不知情。其三,行为人尽到了合理的勤勉和注意义务而仍然无法遵守该法律或规章。例如,法律规定铁路公司应当清除铁路围栏附近的积雪和冰。一场突然到来的暴风雪使得围栏被大雪覆盖。尽管A铁路公司尽到了所有的合理注意义务,运用了除雪设备尽可能快地除雪,但在三天内全部清扫完毕是不可能的。第二天,B的牛通过围栏边上的雪堆进入到铁路当中,被火车撞死。此时,B不能基于A公司违反了该法律要求其赔偿。其四,行为人面对的是非因其不当行为所引发的紧急情况。例如,法律规定所有的驾驶员驾车时都应靠右行驶。A靠右行车时尽到了所有的合理注意义务。突然,一个小孩冲到路面上。为了避免撞上这个小孩,A只能向左打方向盘,以致撞上了B。此时,B不能依据A违反靠右行车的法律规定要求A承担责任。其五,遵守法律或规章将导致行为人自身或他人受到更大的伤害。例如,法律规定行人在马路上靠右边行走,A却在左边行走,被B开的车撞伤。A之所以在左边走,是因为当时左边的车流量很小,而右边交通繁忙车辆众多。A为了避免自己面对更大的危险选择了违反法律规定,故此,A虽然违法却并无过失。
笔者认为,在我国法上,当个人信息处理者没有履行相应的义务以实现个人在个人信息处理活动中的权利,或者存在违反关于保护个人信息安全的义务的法律规范或者关于个人信息保护影响评估义务的法律规范的行为时,应当对其适用违法推定过失。事实上,个人在针对个人信息处理者提起侵权诉讼时往往会指明个人信息处理者存在某些违法行为,即事实构成要件的满足性(存在侵害个人信息权益的行为)指示出了个人信息处理行为的违法性,个人信息处理者必须通过证明存在违法阻却事由——如正当防卫、紧急避险或自助行为——来排除违法推定过失的适用。个人信息处理者还可以通过证明自己虽然在客观上违反了相关的法律义务但已尽到了合理谨慎的个人信息处理者应尽的注意义务,证明自己没有任何过错。例如,虽然保护个人信息的安全措施被黑客攻破从而发生了个人信息泄露事件,但所用的安全措施已经是最高级别的且攻击手段前所未见,此时,即便个人信息处理者尽到了合理的注意义务,也无法防止个人信息被泄露。
我国已经建立了以《个人信息保护法》《民法典》等法律为核心的个人信息保护法律规范体系,但并非所有的个人信息保护法律都属于保护性规范,违反它们也并非都能够产生侵权责任。只有个人信息处理者违反了个人信息保护法律中的保护性规范时,才可能对该处理者适用违法推定过失。另外,个人信息处理者违反个人信息处理规则的行为就是过失行为,而非推定的过失行为。尽管《个人信息保护法》第69条第1款规定,在个人信息侵权案件中对个人信息处理者适用过错推定责任,但这并不影响对违法推定过失的适用。相信随着我国个人信息保护司法实践的开展,理论界与实务界对于个人信息侵权责任中的过错认定以及违法性与过错之间的关系将会有更深入的认识。