人大国发院专家：个人信息泄露的民法视角

■ 中国人民大学国发院 金融科技与互联网安全研究中心副主任  许可

“非法泄露”一直是公众对个人信息的最大担忧。在“徐玉玉案”的压力下，个人信息保护的重心始终放在如何治理黑色产业源头上。2017年5月，《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》发布，便是对这一关切的有力回应。但是，面对个人信息泄露这一网络时代的痼疾，仅依赖于刑事责任的追究远远不够，还必须为权益受损的普罗大众提供私力救济的渠道，从而实现对个人信息泄露的协同治理。鉴于网络服务提供者是当前个人信息的主要收集者和使用者，也是最主要的泄露源头，本文从网络用户和网络服务提供者的法律关系入手，着重探究个人信息泄露引致的民事责任与可行的救济之道。

一、个人信息泄露的类型化

个人信息泄露并非法定概念，对这一概念的把握有赖于对“个人信息”和“泄露”的理解。根据《网络安全法》第76条的规定，“个人信息” 是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息。这一强调“识别性”的界定与《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》有着微妙的差别。根据后者，《刑法》第253条之一规定的“个人信息”，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。显然，《刑法》中的个人信息更强调“关联性”。

从宽泛意义上理解“个人信息”，可以将两者结合，同时采取“识别性标准”，即从信息到个人，由信息本身的特殊性识别出特定自然人，个人信息应有助于识别出特定个人，二是“关联性标准”，即从个人到信息，如已知特定自然人，则由该特定自然人在其活动中产生的信息（如个人位置信息、个人通话记录、个人浏览记录等）即为个人信息。因此，姓名、出生日期、身份证件号码、个人生物识别信息、住址、通信通讯联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息均属于“个人信息”。

“泄露”在法律上可界定为违反《网络安全法》第76条第二项保密性、完整性、可用性中的“保密性”要求的行为。就网络服务提供者的泄露行为而言，可进一步分为“主动泄露”和“被动泄露”。所谓“主动泄露”，是指网络服务提供者违反《民法总则》第111条的规定，将收集的个人信息非法买卖、提供或者公开，导致个人信息被他人不当知悉；所谓“被动泄露”，是指网络服务提供者以外的第三方违反《网络安全法》第44条的规定，窃取或以其他非法方式获取网络服务提供者所控制的个人信息。从泄露的不同类型出发，就可以更细致地讨论网络服务提供者的民事责任问题。

二、个人信息泄露的违约责任

（一）违约责任的合同基础

在网络服务提供者的《隐私政策》或《用户协议》中，均已经明确了个人信息的使用范围和处理方式，除非法律规定或合同另行约定，网络服务提供者不得将用户的个人信息向第三方披露。同时，鉴于大量泄露事件源自网络服务提供者职员的非职务行为，为此，负责任的网络服务提供者应当就其职员的泄露行为作出进一步承诺。例如，京东《隐私协议》就规定：“我们仅允许有必要知晓这些信息的京东及京东关联方的员工、合作伙伴访问个人信息，并为此设置了严格的访问权限控制和监控机制。我们同时要求可能接触到您个人信息的所有人员履行相应的保密义务。如果未能履行这些义务，可能会被追究法律责任或被中止与京东的合作关系。”据此，若京东职员主动泄露京东用户的个人信息，则京东仍将承担相应的违约责任。

就个人信息被动泄露而言，《隐私政策》或《用户协议》中，网络服务提供者一般均承诺建立合理的制度规范、安全技术来防止个人信息遭到未经授权的访问使用、修改,以保护个人信息的保密性、完整性、可用性。事实上，无论网络服务提供者是否作出承诺，根据《合同法》第60条下，网络服务提供者均应当遵循诚实信用的原则，根据合同的性质、目的和交易习惯履行保密义务。《网络安全法》第42条规定：“网络运营者应当采取技术措施和其他必要措施，确保其收集的个人信息安全，在发生或者可能发生个人信息泄露、毁损、丢失的情况时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告”。《民法总则》第111条亦：“任何组织和个人需要获取他人个人信息的，应当依法取得并确保信息安全。”因此，当因网络服务提供者及其职员以外的第三人的行为，致使个人信息泄露时，网络服务提供者仍应承担相应的违约责任。

（二）违约责任的构成要件

我国《合同法》第107条确立了严格责任的归责原则，这意味着只有在法律明确规定（如承揽人责任、承包人责任、保管人责任）的情形下，违约责任才适用过错原则。因此，个人信息主动泄露的违约责任亦应遵循《合同法》第107条的规定，无论网络服务提供者是否存在过错，只要网络服务提供者违反《隐私政策》或《用户协议》的行为，泄露了用户的个人信息；用户受有损害；且用户的个人信息损害与网络服务的违约行为之间存在客观上的因果关系，便可以认定网络服务提供者成立违约责任。质言之，泄露个人信息的违约责任出于网络服务提供者和用户之间的约定，一旦违反，就应承担责任，而无需寻找使违约责任具有合理性和说服性的其他理由。

不过，在个人信息被动泄露的场合，网络服务提供者并非直接侵害人，采取严格责任的归责原则，对网络服务提供者未免不公。因此，其违约责任的承担应基于其对适当注意义务的违反，且该等义务应为网络服务提供者所能承担或所应当承担的。换言之，个人信息被动泄露的违约责任构成要件，需要在上述主动泄露要件外，加上“过错”。至于“过错”的判断标准，除了网络服务提供者所承诺的安全保障义务外，还需要遵循《网络安全法》《计算机信息系统安全保护条例》等法律法规对网络服务提供者网络安全系统及制度的强制性规定，并参照《个人信息安全规范》等软法，综合判定。

（三）违约责任的责任承担方式

一旦个人信息泄露，用户既可以要求网络服务提供者继续履行《用户协议》，也可以解除合同。但不论合同是否被解除，用户均可以要求网络服务提供者采取补救措施和赔偿损失。

就赔偿范围来说，网络服务提供者应赔偿的是履行利益损失，即用户因《隐私政策》或《用户协议》所可能获得的利益。但是，考虑到大量的网络服务合同都是无偿合同，如何认定用户的获益成为法律难题。假设我们因某知名电商平台泄露个人信息而拒绝使用，那么我们因此而遭受的损失恐怕无法量化。对此，在司法操作上或许可以借用知识产权法中“获利剥夺”制度，要求网络服务提供者返还因其买卖个人信息所获的利益。鉴于针对证明侵权获利的财务账册等证据往往掌握在侵权人手中而权利人无法取得的情形，可以运用《商标法》第63条以及《最高人民法院关于适用〈中华人民共和国民事诉讼法〉的解释》第112条的举证妨碍制度，责令网络服务提供者提交证明获利的相关证据，其持有证据无正当理由拒不提供的，结合有关情况推定权利人主张的赔偿数额是否成立。

尽管如此，在大数据时代，单一用户的个人信息并不值钱。据报道，一条比较完整的个人信息也不过是5-10元人民币而已。因此，无论是从用户救济的角度，还是从阻吓主动泄露的角度，获利剥夺均显得缺乏力度。考虑到用户在主动泄露时存在主观恶意，可以考虑引入《消费者权益保护法》和《食品安全法》中的惩罚性赔偿机制，苛加10倍以上的补偿，或者以500元人民币为赔偿底线，以期弥补可能的诉讼成本，并设立有效的激励机制。

三、个人信息泄露的侵权责任

（一）侵权责任的法律基础

虽然我国《民法总则》第111条规定了个人信息受法律保护，但如何理解这一宣示性条款，却始终存在争议。目前，围绕个人信息权是否成为一项法定权利，存在三种不同的声音，即法定权利说（个人信息自决权）、权利束说（多个相互独立的信息权利）和个人信息利益说。可是，不论如何对个人信息在法律如何定性，各方均一致认为个人信息已经成为当今民法所要保护的重要利益，个人信息的保护对于保护公民的人格尊严，使公民免受非法侵扰，维护正常的社会秩序具有重大的现实意义。同时，我国《侵权责任法》第2条“侵害民事权益，应当承担侵权责任”将“权利”和“利益”均纳入其中，在保护范围上具有开放性和包容性。因而，无论个人信息被界定为“权利”，还是“利益”，均可以《侵权责任法》第2条为依据，要求网络服务提供者承担侵权责任。

（二）侵权责任的构成要件

与违约责任以“严格责任”为原则，“过错责任”为例外不同，基于《侵权责任法》第6条的规定，侵权责任以“过错责任”为基础。我国《侵权责任法》第36条“网络用户、网络服务提供者利用网络侵害他人民事权益的，应当承担侵权责任”则进一步表明，个人信息泄露的侵权责任属于“过错责任”。但是，鉴于计算机系统的复杂性和网络服务的专业性，用户事实上无法掌握网络服务提供者注意义务的履行程度，由其来证明网络服务提供者存在过错以及该等过错和个人信息泄露损害结果之间的因果关系，显然十分困难。为此，在司法实践中引入“举证责任倒置”规则，即要求网络服务提供者就其不存在过错承担举证责任。这意味着，当网络服务提供者无法证明自己无过错时，则应推定其存在过错，以此降低用户的举证责任和举证不能的风险。

（三）侵权责任的责任承担方式

《侵权责任法》第十五条规定了承担侵权责任的多种方式，包括停止侵害、排除妨碍、消除危险、返还财产、恢复原状、赔偿损失、赔礼道歉、消除影响、恢复名誉。据此，网络用户可以根据具体情形，择一或合并主张。在个人信息被动泄露的场合，用户可以要求网络服务提供者立即消除危险、“采取删除、屏蔽、断开链接等必要措施”，并可以主张赔偿损失。在个人信息主动泄露的场合，用户可以要求停止侵权、赔偿损失。因个人信息泄露给人格尊严、社会影响与名誉等方面造成精神痛苦的，还可以适用赔礼道歉、消除影响、恢复名誉等责任形式。

就具体的赔偿额度而言，依我国通说，违约责任并不包括精神利益损失的赔偿。事实上，由于个人信息是重要的人格利益，个人信息泄露的侵权责任中最重要的恰恰是精神损失赔偿。不过，一个和违约责任类似的问题是，如何确定精神损害抚慰金的额度？对此，日本函授教育巨头倍乐生（Benesse）个人信息泄露案可作为参考。在该案中，倍乐生的2890万用户信息资料遭外包公司的一名员工非法盗取，并将所盗信息卖给专门从事函授教育的IT企业。日本法院最后认定，尽管该等个人信息的泄露给用户造成损害尚未达到精神焦虑或不适的地步，却已经损害了用户的“合理期待”，因此判决倍乐生向每名用户赔偿55000日元，约3230元人民币。必须指出的是，这一赔偿额度并非由法院臆断，而是沿袭之前的判例。为此，建议我国最高法院也可以通过司法解释或指导性案例的方式，确定一个统一的赔偿标准。

最后，在被动泄露的情形下，除网络服务提供者之外，还存在作为直接侵权人的第三人，侵权责任如何在两者之间妥当分配成为一个难解的问题。质言之，在网络服务提供者未尽到《网络安全法》42条和《民法总则》第111条项下的义务，导致个人信息被第三方窃取，网络服务提供者究竟是独立的侵权责任，还是承担补充责任，即可以在承担责任后再向第三人追偿？根据《侵权责任法》第37条第2款“因第三人的行为造成他人损害的，由第三人承担侵权责任；管理人或者组织者未尽到安全保障义务的，承担相应的补充责任”的规定，网络服务提供者此时承担类似于公共场所的安全保障义务，故而应当在第三方没有承担责任的范围内，承担相应的补充责任，而非独立责任。

四、结语

当用户遭遇个人信息泄露时，存在违约责任和侵权责任两种民法救济途径，两者在成立基础、构成要件、举证责任、责任方式、赔偿范围和网络服务提供者的抗辩事由方面均存在差异，究竟哪一种更有利于保障用户的个人信息权益，还要在具体案件中，考虑各种要素，加以综合认定。

声明：本文来自中国信息安全，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。