作者:朱晓峰(中央财经大学法学院教授,法学博士)出处:《比较法研究》2023年第4期
目次
一、问题的提出
二、法秩序内外在体系融贯与侵权责任规范基础的确定
三、二元保护模式与构成要件及利益权衡二者关系的厘定
四、构成要件的法律效果评价及其中的利益权衡
五、利益权衡的法律效果评价及其指向的构成要件
六、结论
摘要:个人信息侵权责任成立的认定涉及两组规范关系的处理:一是我国民法典第1165条第1款与个人信息保护法第69条第1款的规范适用关系;二是规定侵权责任成立构成要件的民法典第1165条第1款、个人信息保护法第69条第1款与引入利益权衡方法的民法典第998条的规范关系。其中,对于民法典第1034条第3款规定的私密信息优先适用隐私权保护规则导致第1165条第1款与第69条第1款在适用上的紧张关系,应在现行法秩序内外在体系融贯的视角下通过目的扩张解释第1034条第3款“没有规定的”内涵来解决。对于民法典第1165条第1款、个人信息保护法第69条第1款规定的责任成立构成要件与民法典第998条规定的利益权衡方法之间的规范关系,应在赋权保护模式与行为规制模式的体系协调下确定,将能够清晰界定事实构成的个人信息侵害行为通过预先概括规定标准性事实构成要件+正当理由的例外检验模式来判断相应的责任是否成立,将那些不能清晰界定事实构成的侵害行为,通过利益权衡方法评价其在侵权责任法上的效果。
关键词:个人信息侵权;构成要件;利益权衡;体系融贯;动态体系
01
问题的提出
数字时代,个人信息的保护与利用二者关系的平衡处理构成了相关研究与法律实践的主旋律。与此相适应,《中华人民共和国个人信息保护法》(以下简称“《个人信息保护法》”)也一改《中华人民共和国民法典》(以下简称“《民法典》”)在个人信息保护问题上以人身自由、人格尊严的实现为目的而保护先行的做法,明确在第1条规定保护个人信息的同时也要重视对个人信息的合理利用。由此,在个人信息侵权责任的认定中,究竟应如何展开相应的法律效果评价,才能更好地服务于个人信息保护与合理利用二者关系的平衡目的,成为学理与实务上关注的焦点。构成要件论认为,个人信息权益不论是具体人格权还是受法律保护的人格利益,都属于《民法典》侵权责任编一般侵权条款(即第1165条第1款)的保护对象,而《个人信息保护法》第69条第1款属于该条款的特别规定。从这两个条款规定的具体构造看,它们都坚持构成要件论的法律效果评价立场。因此,无论依据哪一个条款,个人信息侵权责任成立的认定都应在构成要件体系内展开,分别考虑个人信息侵害行为、损害、行为与损害之间的因果关系以及过错四项要件,以此作用于相应责任成立的判断。缓和构成要件论的观点认为,虽然个人信息侵权责任依然应在构成要件的框架下认定,但严格的构成要件难以满足个人信息保护的需求,因此应适当缓和构成要件的严格要求,降低或改变侵害行为、损害、因果关系、过错的认定标准,以强化对个人信息的保护。对此的反对意见则认为,构成要件论全有全无的法律效果评价方式过于僵化,难以适应个人信息侵权责任认定时应平衡个人信息保护与合理利用二者关系的要求,因此应放弃构成要件论的僵化思维模式而引入动态体系论的法律效果评价方法,依据《民法典》第998条规定的考量因素进行利益权衡以综合认定个人信息侵权责任。由此导致的问题是,个人信息侵权责任究竟应采取何种法律效果评价方法进行认定,才能更好地实现立法者通过《个人信息保护法》第1条明确表达出来的在个人信息的保护与合理利用之间进行平衡的目的。该问题的回答,既涉及《民法典》与《个人信息保护法》分别规定的个人信息保护与利用规则之间的规范关系处理,也涉及一般侵权条款及其特别规定所坚守的构成要件与通过《民法典》第998条引入非物质性人格权侵害民事责任认定规范体系的利益权衡方法二者关系的处理,应予审慎对待。下文拟以这些问题的厘清与解决为目的,通过对个人信息侵权责任认定的规范基础及构成要件与利益权衡两种法律效果评价方法在相应责任成立认定中发挥作用的空间展开研究,为个人信息保护与合理利用二者关系的平衡提供说明。
02
法秩序内外在体系融贯与侵权责任规范基础的确定
个人信息侵权责任认定方法的讨论以侵权责任规范基础的厘定为前提。尽管我国学理上对个人信息权益的基本属性存在民事权利说、民事利益说、公法权利说等观点上的分歧,但不管是哪一种观点,都承认自然人对个人信息享有的民事权益受民法保护。学理上的这种共识与我国当前的法律实践相一致。因为,一方面,《民法典》在总则编第111条第1句明确规定“自然人的个人信息受法律保护”,并在人格权编第六章用6个条款对个人信息保护作了具体规定。对个人信息的侵权责任,在法律没有特别规定时,可以依据《民法典》第1165条第1款确立的一般侵权条款进行判断;同时,依据《民法典》第998条的规定,对于非物质性人格权侵害所致之民事责任的认定,法官应在综合考量涉案因素的基础上进行利益权衡而予确定。这也意味着,个人信息侵权责任的认定同样亦可依第998条而由法官在个案中通过利益权衡方法的运用来完成。另一方面,《个人信息保护法》第69条也规定了个人信息侵权损害赔偿责任成立的构成要件及相应赔偿数额的计算方法,为个人信息侵权损害赔偿责任的认定提供了具体的规范基础。但问题是,围绕《民法典》第1165条第1款结合第998条构造起来的侵权责任成立认定规则与围绕《个人信息保护法》第69条第1款展开的个人信息侵权责任成立认定规则并不完全相同,当这两者发生冲突时,究竟应当依据哪一条规定作为相应责任成立的认定基础,仍需要进一步辨析。
(一)内外在体系融贯视角下的立场选择
一般来讲,对于统一的法秩序内部的具体法律规则而言,它们之间并非彼此无关联的简单并置而是彼此之间存在多种多样的关联结构。这种关联结构既要体现现行法秩序内在体系各一般法律思想所投射的基本原则之间的位阶,反映现行法秩序外在体系各具体法律规则的彼此协调关系,也要彰显现行法秩序内在体系与外在体系彼此之间的融贯性。这就意味着,任何涉及法律概念及由其构筑起来的法律规则的解释,都要考虑经由该概念及具体法律规则等构成的规范体系的自身意义脉络关联,上下文背景以及该具体法律规则在规范体系中的位置,还要考虑具体法律规则在相关规范体系的整体脉络中的功能。以此为基点,对于《民法典》与《个人信息保护法》分别确定的个人信息侵权责任认定规则的适用关系而言,也应当在个人信息规范内外在体系融贯的视角下来展开。
一方面,《民法典》人格权编围绕自然人人身自由、人格尊严来构造个人信息的规范体系。依据《民法典》第1034条第3款的规定,个人信息以是否私密为标准可以区分为私密信息和非私密信息,其中私密信息应优先适用有关隐私权保护的规定,只有在隐私权没有规定时,才适用有关个人信息保护的规定。透过该条规定可以看出,《民法典》在个人信息的保护与利用问题上选择了将前者置于更为优先的位置,突出了对私密信息背后涉及的人身自由、人格尊严等基本原则更高程度的尊重与更强力度的保护。由于隐私权保护规则特别是隐私权侵权责任认定规则在责任成立的判断上部分采取了预先概括规定标准性事实构成要件+正当理由的例外检验模式,使得在法律预先概括规定标准性事实构成要件可以涵摄的私密信息侵权责任成立问题上,可以严守构成要件论立场而避免因法官自由裁量权的运用所可能导致的相应法律效果评价过程和结果的不可反驳性和不确定性问题,增强了对该部分个人信息的保护力度;对那些无法通过预先概括规定标准性事实构成要件的个人信息侵害行为,则将对其的法律效果评价经由《民法典》第998条交由法官,由法官在个案中综合涉案考量因素进行利益权衡确定,以期在个人信息的保护和合理利用之间实现平衡。值得注意的是,这里因保护性法律规定的存在而出现的事实上的强保护,在隐私权保护体系内会产生区分处理的效果,即通过《民法典》第1034条第3款而优先适用隐私权保护规定的私密信息,只有在相应行为违反保护性法律规定的情形下才会获得特殊的强保护,而不在保护性法律规定涵摄范围的行为所侵害的私密信息通常只能获得相对较弱的保护。这种私密信息在隐私权保护体系内部的区分处理与隐私权自身的属性相关,即隐私权虽然是具体人格权,但其并非像物质性人格权一样内涵外延清晰且毋需经常容忍他人对其施加的不利影响。隐私权的这种特性使其只有在保护性法律规定的领域内才能获得强保护,而保护性法律规定的数量始终是有限的,对不在保护性法律规定涵摄范围的隐私权侵害行为,则需要法官在个案中进行利益权衡以认定其侵权责任。因此,对于因隐私权属性导致的私密信息在隐私权保护体系内部割裂的状态,只能在隐私权自身内涵外延随侵害类型逐步丰富而不断清晰化的前提下,在保护性法律规定的数量进一步丰富的基础上,才能逐步得到缓解。总而言之,在《民法典》强调的充分保护自然人人身自由、人格尊严的基本原则指引下,个人信息侵权责任认定规则内部可依私密性标准而区分为适用隐私权保护规则的与适用个人信息保护规则的二部分,前者部分可以遵循构成要件论立场而在《民法典》第1165条第1款的基本框架下评价侵权责任的成立与否,后者则主要是由法官在构成要件的框架下通过《民法典》第998条确立的利益权衡方法来认定侵权责任。
另一方面,《个人信息保护法》以兼顾个人信息保护与合理利用为目的,在个人信息的分类标准上未如《民法典》一样采用私密性标准,而是采用了敏感性标准,将个人信息分为敏感个人信息和非敏感个人信息,并针对二者为信息处理者构造了不同的行为规则,从而实现了由《民法典》重视个人信息保护到兼顾保护与合理利用的转变。与这种二元立法目的并举的模式相适应,在个人信息侵权责任的认定问题上,《个人信息保护法》重点考虑了信息处理者特别是平台企业相对于自然人所普遍具有的优势地位,强调信息处理者处理个人信息时应负有更大的责任,从而在过错问题上采过错推定规则,通过《个人信息保护法》第69条第1款将过错的举证责任倒置分配。这样既降低了受害人主张个人信息侵权责任时的难度而有助于充分保护个人信息,也使信息处理者有机会通过证明自己没有过错而免责,督促其合理利用个人信息,从而在个人信息侵权责任的认定中实现对保护与合理利用二者关系的平衡处理。除此之外,《个人信息保护法》第69条第1款在责任成立的构成要件上并未改变《民法典》第1165条第1款的基本立场。
从法律条文的文义看,相较于《民法典》第1165条第1款,《个人信息保护法》第69条虽然在第1款使用“等”而将其他责任形式包括其中,但结合第2款进行整体解释可以确定,该条主要是解决个人信息侵害导致的财产损害赔偿责任,并且将过错责任倒置以利于对信息主体的保护。因此,若将这两条个人信息侵权责任认定规则共同置于现行法秩序内外在体系融贯的视角下看,则会发现导致这两条规则在适用关系上存在疑问的核心在于:第一,从宏观层面来讲,《个人信息保护法》在现行法秩序下的体系定位尤其是与《民法典》的规范关系并不清晰,学理上主要存在一般法与特别法说、并存的基本法说、综合性法律说等观点,而不同立场的选择,却可能导致对两部制定法确立的具体规则在理解与适用问题上的分歧。第二,从微观层面来讲,《民法典》第1034条第3款确立的私密信息优先适用隐私权保护规则以及《个人信息保护法》通过第72条划定的该法适用范围,从文义上已经明确了围绕《民法典》第1165条第1款构建的侵权责任认定规则与围绕《个人信息保护法》第69条形成的个人信息侵权责任认定规则各自的适用条件与范围,要突破这种明确的文义限制而妥善协调两种责任认定规则之间存在的分歧,需要另寻出路。
其中,在一般法与特别法说之下,相应的学理观点将《个人信息保护法》中的侵权责任认定规则与《民法典》中的侵权责任认定规则之间的关系也定性为特别与一般的关系,即《个人信息保护法》第69条规定了过错推定原则和损害赔偿的责任形式,并将损害赔偿主要限定于财产损害领域。对于侵害个人信息造成自然人严重精神损害等情形的涵摄,该说认为应回溯至《民法典》关于损害赔偿的一般规定(如第1183条)。在并存的基本法说下,相应的学理观点认为,《个人信息保护法》与《民法典》中的侵权责任规则之间的关系并非是特别与一般的关系,而是并存关系,相较于《民法典》第1165条第1款而言,《个人信息保护法》第69条第1款只是采用了过错推定来平衡个人信息利用与保护之间在实践中所可能遭遇的事实上的不平等关系,它并没有改变个人信息侵权责任构成要件的数量,也未改变《民法典》通过第1182条确立的损害赔偿范围与数额的确定途径。在综合性法律说下,相应的学理观点认为,《个人信息保护法》和《民法典》的调整对象并不相同,前者调整的是信息、技术、经济等能力并不对称的信息处理者与自然人之间的个人信息处理活动,后者调整的是平等的民事主体之间的个人信息保护与利用关系。因此,依据《个人信息保护法》第72条第1款的规定,如果个人信息侵害发生在个人之间或因家庭事务而产生的信息处理活动中,那么相应的侵权责任认定应适用《民法典》的规定,反之,则适用《个人信息保护法》的规定,其中不再区分相应侵害行为是否涉及私密信息。
从现行法内外在体系融贯的角度来看,虽然综合性法律说依《个人信息保护法》第72条而在个人信息侵权责任认定问题上采区分处理的观点,在形式上符合制定法之文义,但可能违反立法者通过《民法典》第1034条第3款明确表达出来的给予与自然人人身自由、人格尊严的实现关系更为密切的私密信息以更充分的保护的目的,极大限缩甚至架空《民法典》确立的个人信息尤其是私密信息的保护规则。因为与个人信息权益因内涵外延不清而在相应侵权责任认定时需更多仰赖于法官个案利益权衡不同,隐私权作为非物质性人格权虽然也存在内涵外延不清且需经常容忍他人对其施加不利影响的特性,但其作为具体人格权而在核心领域具有相对清晰的保护界限,隐私权的这种特性决定了适用《民法典》规定的隐私权保护规则保护私密信息相较于个人信息保护规则而言更具确定性和可预见性,可以强化对私密信息的保护强度。另外,即使《个人信息保护法》在第1条强调对个人信息的保护与合理利用二者持平衡对待的立场,但在二元立法目的之间进行价值平衡并不能以其中某一立法目的的过度牺牲为代价,而是应在现行法秩序内外在体系融贯的视角下体现适度性与均衡性的理念与思想。虽然《个人信息保护法》对个人信息的划分未坚持私密性标准而代以敏感性标准,但这并不意味着该法调整的个人信息处理行为不涉及私密信息。若在涉及居于自然人人身自由、人格尊严核心关注领域的私密信息处理问题上仍坚持区分处理的观点,则可能导致对部分个人信息权益保护不足的问题,违背贯通《民法典》《个人信息保护法》的自然人人身自由、人格尊严保护宗旨。
同样,并存的基本法说将《个人信息保护法》与《民法典》并列,认为《民法典》第1165条第1款与《个人信息保护法》第69条第1款处于并列关系。虽然这种并列关系因为《个人信息保护法》第72条及《民法典》第1034条第3款而在大多数情形中各有其特定的调整对象和规范领域,互不影响,并仅在例外情形下如涉及敏感私密信息侵害的侵权责任认定时,才处于竞合状态,此时由请求权人择一主张。但问题是,这种平行适用的观点并不能解决《个人信息保护法》第69条所确立的责任认定规则因调整范围过窄而难以有效涵摄个人信息侵权财产损害赔偿责任之外的其他责任形式的问题,难谓合理。
相比较而言,一般法与特别法说将围绕《个人信息保护法》第69条第1款确立的个人信息侵权责任认定规则通过《民法典》第1165条第2款而与《个人信息保护法》第69条第1款建立起联系,认为第69条第1款是第1165条第1款的特别规定,从而在有特别规定时适用特别规定,无特别规定时适用一般规定,解决了并存的基本法说难以解决的问题,应予赞同。
(二)目的扩张解释与个人信息保护规则的优先适用
在一般法与特别法说之下,究竟应如何解决《民法典》第1034条第3款规定的私密信息应当优先适用隐私权保护规则以及《个人信息保护法》第72条明确划定的调整范围所引发的规则适用冲突问题,仍有进一步讨论的空间。对此,学界有观点认为,由于限缩适用《民法典》第1034条第3款前半句或《个人信息保护法》的适用范围,均难以彻底解决私密信息侵权责任究竟是适用隐私权保护规则的过错责任还是个人信息保护规则的过错推定责任问题,因此应考虑隐私权保护规则优先性的缓和化方案,在隐私权保护规则下通过事实推定规则确定侵权事实及个人信息处理者在此基础上是否违反成文法义务等,以在私密信息侵权责任构成上降低信息主体对过错要件的证明标准。该观点形式上看似乎有助于解决私密信息侵害领域受害人证明责任难的问题,但实质上却面临两个更为棘手的问题:一是由于《民法典》第998条已经明确规定了非物质性人格权侵害民事责任认定中法官可以在综合考量诸如过错程度等因素的基础上进行利益权衡来认定相应民事责任,此时再通过降低信息主体对过错要件的证明标准来解决受害人证明责任难的问题,可能会给法官更大的自由裁量空间,并不利于相应法律效果评价结果的确定性和可预见性目标的实现;二是通过在司法裁判中降低过错要件的证明标准的方法解决过错证明难的问题,可能导致在个人信息侵权责任认定中的过错判断标准不统一问题,可谓按下葫芦起了瓢,难谓合理。
事实上,在个人信息规范内外在体系融贯的视角下,《民法典》第1034条第3款强调的私密信息优先适用隐私权保护规则与《个人信息保护法》第69条第1款确立的过错推定责任都是为了更好地保护个人信息,在内在体系构造上遵循的都是充分保护自然人人身自由、人格尊严的基本原则。因此,若将作为内在体系之构成部分的基本原则通过目的扩张解释而彰显出来,那么《民法典》第1034条第3款规定的私密信息保护应优先适用隐私权保护规则的核心目的,即为了给那些与自然人人身自由、人格尊严具有最密切关系的私密信息以更为充分的保护,势必要求个人信息侵权责任认定规则在外在体系构造上亦应更方便于个人信息被侵害时的责任主张。对此,与《民法典》第1165条第1款规定的过错责任相比,《个人信息保护法》第69条第1款规定的过错推定责任显然更有利于透过《民法典》第1034条第3款所彰显出来的核心目的的实现,若此时仍固守第1034条第3款的文义而拒绝在私密信息侵害责任认定时采过错推定,显然有悖于立法者通过该款所明确表达出来的立法目的。
对此,依目的解释方法,当既有法律规定与立法目的不完全一致或者实际上有碍于立法目的实现时,在立法上作出修改之前,有必要通过探求立法目的来确定解释结论,解决具体法律规则与立法目的不一致所导致的法律适用问题。亦即,对于《民法典》第1034条第3款与立法者充分保护私密信息这一立法目的之间的紧张关系,应通过目的扩张解释《民法典》第1034条第3款“没有规定的”范围,将隐私权保护规则没有规定、规定不充分或虽有规定但不足以为私密信息提供更有力的保护的情形,均纳入“没有规定的”范畴。由此在私密信息侵权责任的认定时适用《个人信息保护法》第69条第1款的过错推定责任而非《民法典》第1165条第1款的一般过错责任。也就是说,若《民法典》与《个人信息保护法》对同一事项作了不同规定,那么应当在法秩序内外在体系融贯的视角下结合相关立法的规范目的,在个案中进行利益权衡和价值判断,以最终确定应予适用的法律,更好地保障立法目的的实现。
(三)小结
总结来看,以现行法秩序内外在体系融贯为出发点,可以将个人信息侵权责任成立的认定规则解构如下:第一,现行法中的个人信息侵权责任围绕《民法典》第1165条第1款展开,《个人信息保护法》第69条第1款经由第1165条第2款的中介而成为第1165条第1款的特别规定,主要解决侵权责任认定时的过错认定问题,因此在个人信息侵权责任认定规则的一般适用关系上是第69条第1款的特别规定优先适用,当没有特别规定的,则适用作为一般规定的第1165条第1款;第二,对于《民法典》第1034条第3款规定的私密信息优先适用隐私权保护规则带来的个人信息规范内在体系与外在体系之间的冲突问题,应通过目的扩张解释该款“没有规定的”情形,从而在私密信息侵害责任的认定上可以适用《个人信息保护法》第69条第1款的过错推定责任,以提高对私密信息的保护力度;第三,对于《个人信息保护法》第72条第1款规定的涉及自然人因个人或者家庭事务处理个人信息导致的侵权责任认定,由于作为特别法的《个人信息保护法》已经作了明确的规定,此时应适用《民法典》第1165条第1款。
03
二元保护模式与构成要件及利益权衡二者关系的厘定
由于《民法典》第1165条第1款与《个人信息保护法》第69条第1款在个人信息侵权责任成立的认定问题上采取了构成要件论立场,要求个人信息侵权责任成立的法律效果评价应在构成要件体系内完成,与《民法典》第998条明确规定的法官在非物质性人格权侵害民事责任认定问题上应综合涉案考量因素进行利益权衡的法律效果评价方法并不相同,导致实践与学理在个人信息侵权责任认定问题上存在分歧。在司法实践中,既有严守构成要件论立场而依据《民法典》第1165条第1款要求的构成要件认定个人信息侵权责任成立的,也有放弃构成要件论立场而依据《民法典》第998条规定的考量因素进行综合考虑以认定责任是否成立的。与此相对应,我国学理上也存在着构成要件论和动态体系论的争议,二者的分歧主要集中在《民法典》第1165条第1款和第998条的规范适用关系上。
其中,构成要件论的基本立场是:即使《民法典》第998条承认法官有权在个案中综合涉案考量因素进行利益权衡以认定非物质性人格权侵害民事责任,但这种利益权衡仍应在构成要件论的体系性思维模式中展开,从而在承认法官自由裁量权的同时,最大可能地保障法律效果评价过程的去神秘化和可反驳性,促进法律效果评价结果的确定性和可预见性目标的实现。动态体系论的基本立场则是:基于人格权保护中的权利位阶差异、利益冲突频发、保护程度差异、救济方式差异等原因,《民法典》第998条在非物质性人格权侵害民事责任的认定上摒弃了第1165条第1款等确立的全有全无的构成要件模式,确立了动态系统论的法律效果评价模式,由法官根据法定因素及其顺序,通过综合考量因素之间的互动来确定相应人格权侵害民事责任。
从两种法律效果评价方法的基本立场来看,构成要件论的主要优势在于可以最大限度地保障法律规则适用的确定性和可预见性,但在面向社会生活的开放性和灵活性方面则存在不足;而动态体系论的核心优势则在于能够克服构成要件论的僵化问题,增强法律规则适用的灵活性和开放性。就此而言,不应将构成要件与利益权衡二种法律效果评价方法完全对立起来,而是应当在统一的法秩序内将二者合体系地予以妥善安置,以共同作用于特定立法目的的实现。并且,对个人信息规范体系而言,现行法既未简单地仅采取赋权保护模式,亦未单纯地采取行为规制模式,而是通过《民法典》和《个人信息保护法》,将这两种保护模式结合起来,共同作用于多重价值平衡的立法目的的实现。因此,《民法典》第1165条第1款、《个人信息保护法》第69条第1款规定的构成要件与《民法典》第998条承认的利益权衡二种法律效果评价方法的规范关系,可以考虑在法秩序内外在体系融贯的视角下与现行法所采取的二元保护模式结合起来认定。
(一)赋权保护模式与个人信息侵权损害赔偿责任成立的认定方法
从赋权保护模式的角度来看,将个人信息权益纳入侵权责任法的保护范畴并在责任成立的认定上通过构成要件体系来完成,势必要求被保护的对象在内在构成上是清晰的,可以通过预先概括规定标准性事实构成要件+正当理由的例外检验模式来展开相应侵害行为在侵权责任法上的法律效果评价。这里的事实构成要么关注侵害,要么关注行为,前者强调是否存在内涵外延清晰的绝对权被侵犯的事实,因此侵害构成的范围广泛,任何一个导致侵害的行为原则上都符合事实构成;而后者则强调行为是否违反保护性法律,是否存在对法定义务的违反,因此只能针对特定行为进行规制。
对个人信息权益来讲,一方面,虽然学理上对其究竟是属于具体人格权还是民事利益存在分歧,但在规范意义上,现行法确实没有像其他具体人格权一样承认个人信息权益为典型权利类型并明确规定出来,如像其他具体人格权一样列举规定在《民法典》第110条或第990条第1款等当中,因此将个人信息权益作为具体人格权一样在侵权责任法上予以保护,并不完全适当;另一方面,虽然现行法并未将个人信息权益典型权利化,但是,《民法典》第111条、第1034条至1039条以及《个人信息保护法》第四章等明确规定保护个人信息及与之相关的权益,并且与个人信息权益在保护范围上存在交叉的姓名权、肖像权、隐私权等具体人格权,也为个人信息权益的部分领域提供保护,这又显示出赋权保护模式的特点来,为个人信息权益侵害责任认定通过构成要件进行评价提供了规范基础。
但有疑问的是,个人信息权益并不像生命权、身体权、健康权一样是内涵外延清晰且在享有及保护上毋需经常容忍他人影响的绝对权类型,相反,其既不具有清晰明确的内涵外延,而且在享有和保护上还需要经常容忍他人影响,因此除非能够解决构成要件要求的事实构成清晰而能封闭性界定的问题,否则即需要在构成要件之外另寻其他法律效果评价方法。对此,从事实构成重点关注的两个方向来看,若侵害构成面临难以清晰界定的问题,那么可以考虑行为构成,通过后者来解决构成要件这一法律效果评价方法所需的必要条件。若行为构成也难以清晰确定,那么此时应结合《民法典》第998条规定的考量因素,对具体侵害行为作综合考虑并进行利益权衡以认定相应行为的法律效果。在此意义上,行为规制模式下的个人信息处理行为规范为行为构成的明确提供了规范依据。
(二)行为规制模式与个人信息侵权损害赔偿责任的认定方法
从行为规制模式的视角来看,将个人信息权益纳入侵权责任法的保护范畴要求制定法预先概括规定个人信息处理行为并明确相应的行为规范,以此反推行为自由界限并间接保护个人信息权益,区别于赋权保护模式下正面界定个人信息权益以划定个人信息权益保护和他人行为自由二者之间界限的直接保护方式。事实上,《民法典》与《个人信息保护法》都注意以规范个人信息处理行为为重点的行为规制模式的构建,尤其是《个人信息保护法》实现了由积极赋权保护模式为主向行为规制模式为主的立法转变。
在行为规制模式中,个人信息侵权责任成立要件中的事实构成关注的重点并非如赋权模式一样是侵害,而是行为,即行为人是否违反了制定法规定的个人信息处理行为规范。相较于赋权模式下侵害构成所具有的一般性的特征,行为规制模式中的行为构成则表现得较为具体。从《个人信息保护法》第二章确立的个人信息处理行为规范来看,立法者对那些可能导致责任发生的个人信息处理行为作了具体规定,借此从诸多的行为方式中突出这些应予规制的行为。对于个人信息侵权责任成立的认定而言,由于制定法上规定的行为规范中存在着针对特定行为的预先概括规定标准性事实构成要件,因此通常情形下可以在构成要件体系内对这些行为展开相应法律效果评价。
值得注意的是,由于行为规制模式中针对个人信息处理行为确立的行为规范普遍具有特定性、具体性特征,并不能完全将现实生活中已经出现但行为构成要件尚不清晰、仍待进一步发展的行为类型以及将来可能出现的需要规制的行为类型纳入调整范畴。也就是说,这样的侵害行为难以通过预先概括规定标准性事实构成要件+正当理由的例外检验模式来完成相应的侵权法律效果评价。于此情形下应再次回到赋权保护模式下,考虑通过《民法典》第998条承认的利益权衡方法展开个人信息权益侵权责任的认定。
(三)小结
总结来看,法秩序内外在体系融贯视角下的侵权责任法律效果评价方法确定与现行法在个人信息保护与利用问题上的二元保护模式相关。其中,赋权保护模式下的个人信息权益既没有清晰明确的内涵外延,在享有与保护上又要经常容忍他人的影响,难以像物质性人格权一样可以经由被清晰界定的侵害构成而通过构成要件展开相应的法律效果评价,而只能是在行为规制模式下通过引入行为规范中已被预先明确规定的具体行为构成来解决赋权保护模式下侵害构成不清晰确定的问题,达到通过适用《民法典》第1165条第1款或《个人信息保护法》第69条第1款规定的构成要件来认定个人信息侵权责任成立的目的。当然,由于行为规制模式中还存在因行为规范的有限性而无法完全涵摄错综复杂的现实生活的问题,对于制定法预先概括规定的具体行为规范所不能涵摄的其他侵害行为的法律效果评价,则应再次回到赋权保护模式下,将这些侵害行为与《民法典》第990条第2款基于人身自由、人格尊严而生的“其他人格权益”结合起来,由法官在个案中依据《民法典》第998条综合涉案考量因素进行利益权衡,判断个人信息权益侵害的责任成立问题。这种将赋权保护模式与行为规制模式结合起来解决《民法典》第1165条第1款及《个人信息保护法》第69条第1款确立的侵权责任成立构成要件与《民法典》第998条引入的利益权衡两种法律效果评价方法之间冲突的方法,既可以保障个人信息侵权责任成立认定规则适用的确定性和可预见性,也可以满足复杂多变之社会生活向制定法规则提出的开放性和灵活性要求,整体上有助于个人信息保护与合理利用二元价值目标的体系协调。
04
构成要件的法律效果评价及其中的利益权衡
在构成要件论的思维体系中,个人信息侵权责任成立应满足事实构成、违法性和过错三项要件的要求。其中,事实构成处于责任构成阶层的最底层,主要是通过对那些已在法律上被预先规定了的特征的描述,将具体事件与法律上抽象化了的重要事实情况联系起来,并使前者被后者涵摄,这一涵摄过程应考察的要件包括行为、侵害、行为与侵害之间存在因果关系。违法性居于事实构成之上,是责任构成阶层的第二阶层,涉及对事实构成的法律上的价值判断,并使部分事实被否定性评价。违法性与事实构成相关,通常一个被清晰界定了的事实构成可以征引违法性并使举证责任倒置,即行为人如果不能证明其行为具有合法性,那么相应的行为即具有违法性。过错位于责任构成阶层的最高阶层,其将决定是否应将被否定性评价的行为归责于特定行为人,从而使其承担责任。同样,过错也是相对的,对过错的认定涉及事实构成和违法性,并不存在独立自足的过错。如前所述,对个人信息权益而言,由于其并不像物质性人格权一样内涵外延清晰且在享有和保护上不必经常容忍他人的影响,因此对事实构成的认定而言应将观察重点置于行为构成上,并在确定行为构成的基础上来推定违法性并认定过错。
考虑到《民法典》第1034条第2款规定的个人信息部分可以通过其他具体人格权如姓名权、肖像权等涵摄,并且该条第3款规定了私密信息优先适用隐私权保护的规则,使得在个人信息侵权责任成立的行为构成上需区分情形处理。对此,首先需要明确的是姓名权、肖像权等涉及个人信息保护的具体人格权通过预先规定特定侵害行为而得以确定的行为构成,如《民法典》第1014条、第1019条等行为规范所确立的行为构成如盗用他人姓名、利用信息技术手段伪造他人肖像等,与第1035条规定的个人信息处理行为规范确定的行为构成,在分别与《民法典》第1165条第1款或《个人信息保护法》第69条第1款规定的责任成立构成要件相结合而共同作用于个人信息侵权责任成立的认定时,是处于一种规范竞合的状态,由请求权人择一适用。其次是隐私权保护规则,如《民法典》第1032条、第1033条规定的行为规范所界定的行为构成与《民法典》第1035条或《个人信息保护法》第二章“个人信息处理规则”等界定的行为构成,在分别与《民法典》第1165条第1款或《个人信息保护法》第69条第1款相结合而共同作用于个人信息侵权责任成立的认定时,由于《民法典》第1034条第3款明确规定了隐私权保护规则的优先适用顺序,而隐私权保护规则通常情形下更有利于个人信息之严格保护,因此这里应优先适用《民法典》第1032条、第1033条确定的行为构成与《民法典》第1165条第1款或《个人信息保护法》第69条第1款结合,在构成要件思维框架下展开法律效果评价。最后是其他个人信息,在不涉及姓名权、肖像权、隐私权等具体人格权的保护时,应依据《民法典》第1035条尤其是《个人信息保护法》第二章、第五章所界定的行为构成来解决依据《民法典》第1165条第1款或《个人信息保护法》第69条第1款进行法律效果评价时的事实构成不清问题。
(一)通过行为构成界定事实构成
如前所述,个人信息侵权责任成立第一阶层的事实构成,需要通过行为构成来解决侵害构成不清的问题。关于行为构成,在我国现行个人信息规范体系中主要存在于《民法典》第1035条尤其是《个人信息保护法》第二章的“个人信息处理规则”和第五章“个人信息处理者的义务”中。由于行为构成存在于特定的行为规范中,要解决的本就是个人信息侵权责任成立认定中的侵害构成内涵外延不清晰导致的事实构成难以界定的问题,因此,行为构成不能过于抽象而陷于空洞,而是要对那些需要承担责任的行为在空间和时间上作出具体详尽的描述,以此才能从诸多的行为方式中凸显出来。例如,《民法典》第1035条第1款规定的个人信息处理行为,即详尽描述了个人信息处理行为应当满足的基本原则和条件,如果行为人违反其中某一条件如未征得自然人同意而处理个人信息,由于自然人同意的内涵外延是清晰的,那么未征得自然人同意的行为即符合关于行为构成的基本判断标准,并进一步使对特定个人信息的侵害行为与该边界清晰的行为联系起来,从而满足事实构成的基本要求,使相应的对责任成立的判断进入第二阶层即违法性的判断上。
(二)事实构成对违法性的征引及违法阻却
对于个人信息侵权行为的违法性判断,有学者认为,《个人信息保护法》第二章的“个人信息处理规则”和第五章“个人信息处理者的义务”主要是解决个人信息侵权责任成立的违法性和过错判断问题。该观点不完全准确。因为从事实构成和违法性及过错的关系来看,被清晰界定的事实构成可以征引违法性并使证明责任倒置,同样地也可以决定过错。而《民法典》第1035条以及《个人信息保护法》第二章等规定的个人信息处理行为规范所确定的行为构成首先解决的是事实构成问题。一旦事实构成被清晰界定,那么该事实构成即可征引违法性,即如果行为人处理个人信息时违反了《民法典》《个人信息保护法》规定的行为规范,符合行为构成的判断,那么即可推定该处理行为具有违法性,除非行为人可以证明自己的处理行为具有合法性。如行为人未经他人同意而处理其个人信息,即可依《民法典》第1035条或《个人信息保护法》第13条第1款第1项推定该行为具有违法性,除非行为人能够证明处理行为具有合法性基础,如依据《民法典》第1036条第3项或《个人信息保护法》第13条第1款第6项处理已合法公开的个人信息,否则违法性即可确立。
由事实构成征引的违法性具有暂时性,行为人可以通过证明自己行为的合法性而予以阻却,此即违法阻却。从形式逻辑上来讲,违法性和违法阻却事由是原则和例外的关系,这种例外存在两种基本形式:一是一般的违法阻却事由,违法阻却事由表现为违法性的一种更为例外的情形,制定法可以将这种例外情形抽象出来并预先加以规定;二是具体的违法阻却事由,这种违法阻却事由制定法不能预先加以规定,而是在个案中显现出来并将暂时的抽象违法性判断变得具体,最后在这种具体的判断中证明行为的合法性。在个人信息侵权场合,第一种形式的违法阻却事由主要由制定法明确规定,这既包括《民法典》规定的一般抗辩事由如第1175条规定的损害是因第三人造成的,也包括《民法典》第1036条以及《个人信息保护法》第13条等规定的特殊抗辩事由,如《民法典》第1036条第2项和《个人信息保护法》第13条第1款第6项规定的处理已被合法公开的个人信息。第二种形式的违法阻却事由主要表现为利益权衡、社会相当性等需要在个案中具体判断以确定违法性的情形,如为社会公共利益处理个人信息。在我国当前的权利位阶体系中,公共利益并不当然高于个人信息权益,当二者在个案中发生冲突时需要进行权衡以确定何者应予优先保护。通常而言,当利益权衡介入个人信息侵权行为法律效果评价时,利益权衡并未实现了终极效力,虽然内含较低价值的利益为了内含更高价值的利益的实现而被牺牲,但利益被牺牲者仍有权向获益者主张适当的补偿。这也符合《个人信息保护法》第1条明确规定的保护与合理利用二者平衡的目的。
(三)过错的判断及推定
在违法性确立的基础上即可进入过错的判断,由于《民法典》第1165条第1款和《个人信息保护法》第69条第1款都采用了过错归责原则,因此过错成为责任成立的构成要件,但在对过错的证明责任分配上,《民法典》和《个人信息保护法》采取了不同模式,前者要求信息主体证明行为人存在过错,而后者则推定行为人存在过错,由行为人自己证明其没有过错而免责。如前所述,第一阶层的事实构成和第二阶层的违法性决定第三阶层的过错。在个人信息侵权责任的认定中,由于已被清晰界定的事实构成及其征引的违法性已经通过制定法明确规定的行为规范确定了下来。对于行为人而言,制定法明确规定的行为规范应当是其必须知道的,违反这种行为规范本身即存在过错,据此可将被制定法否定评价的行为归责于行为人,由其承担相应的责任。因此,无论是根据《民法典》第1165条第1款由信息主体证明行为人过错,还是根据《个人信息保护法》第69条第1款推定行为人有过错而由其证明自己没有过错,在已经通过制定法上的行为规范清晰界定了行为构成并导致个人信息侵权责任成立认定所需的事实构成被清晰界定的场合,若被该事实构成征引的违法性未被证否,那么行为人的过错即可认定,除非行为人可以证明其没有过错。这也就意味着,《民法典》第1165条第1款规定的过错和《个人信息保护法》第69条第1款规定的过错推定于此情形下的实践效果并没有本质区分。
需要注意的是,过错只涉及事实构成要素,通常并不涉及损害,后者只是法律后果的客观前提。这对损害上的因果关系和损害范围同样适用。因此,在个人信息处理者使用算法自动化决策系统处理个人信息时,其认识到未经自然人同意即处理个人信息违反现行法明确规定的行为规范即可。至于个人信息侵害导致的财产损失或精神损害,并不需要因过失而导致,只需要在行为与后果之间具有相当因果关系即可。
(四)小结
个人信息侵权责任成立的法律效果评价在构成要件的框架内展开,其核心在于确定责任成立的各项构成要件能否被满足。由于行为规制模式下的行为规范可以提供清晰的行为构成,于此情形下个人信息侵权责任成立的认定可以通过预先概括规定的标准性事实构成要件+正当理由的例外检验模式来完成。虽然违法性的判断中存在着因为利益权衡而使那些通过事实构成征引的违法性被阻却的可能,但这种通过利益权衡等阻却违法性的情形极为有限。因为利益权衡的出发点始终是利益的冲突,而在个人信息处理行为规范明确了行为构成的情形下,个人信息的保护和合理利用的界限通常情形下已经被立法者清晰界定了,此时的利益冲突已经被立法者通过预先规定的行为规范解决了,这事实上就限制了法官在个案中进行利益权衡的空间。在此意义上,行为规制模式下的个人信息侵权责任成立认定因构成要件法律效果评价方法的运用以及对利益权衡方法介入的限制,而有望实现相应法律效果评价结果的确定性和可预见性。
05
利益权衡的法律效果评价及其指向的构成要件
在个人信息侵权责任认定中,构成要件论的分离式阶层构造可以通过能被清晰界定的事实构成来征引违法性并影响过错的认定。但个人信息权益具有内涵外延并不确定且在社会交往中需要经常容忍他人影响的特性,如果特定侵害行为不在法律预先规定的个人信息处理行为规范的涵摄范围内,那么此时的事实构成可能因为个人信息权益内涵外延的模糊性而无法被清晰界定,这样第一阶层的事实构成和第二阶层的违法性之间原本清晰的边界即不复存在。于此情形下,对于个人信息权益侵权责任成立的认定即不能再在构成要件论的分离式阶层构造中展开,而是应由法官在结合涉案具体考量因素的基础上对个案中的侵害行为进行通盘考量,并进行利益权衡以确定行为的法律效果,此时对原来阶层分离式的加害行为、不法性和过错的判断是合一进行的,并且这种利益权衡过程可能导致违法性的积极确认。这也意味着,未被清晰界定的事实构成不会征引违法性,而事实构成符合性也不会导致违法性证明责任的倒置,因为个案的利益权衡中并非由一方当事人承担全部证明责任,主张利益权衡的一方当事人有权阐述其可以获得的事实基础,对方当事人同样需要持某种立场,双方当事人的陈述相互交织展开,法官在此基础上综合涉案考量因素进行利益权衡并将之作用于最后的法律效果评价。在此意义上,《民法典》第998条的利益权衡作为《民法典》第1165条第1款或《个人信息保护法》第69条第1款的构成要件的补充,可以在构成要件难以发挥作用的领域解决个人信息侵权责任认定的问题。但有争议的是,《民法典》第998条规定的利益权衡方法究竟应如何作用于个人信息侵权责任成立的认定?对此,在利益权衡方法内部,学理上存在动态体系论、综合考量论等不同观点。
(一)动态体系论与综合考量论的分歧与选择
在个人信息侵权责任成立认定领域主张引入动态体系论的观点认为,以差额说为代表的构成要件侧重从本体论视角解释损害,但侵权责任法在本质上是关于损失分担的规范,其背后承载了对不同价值权益的保护,而差额说缺乏对被侵害权益的实质性考察,难以完成立法者通过个人信息侵权损害赔偿规则所预设的价值目标。另外,现行法并未将个人信息权益上升为具体的人格权利,其在享有上不具有绝对性,对其的侵害结果也不明确,并且还会经常发生与其他权益冲突的问题。这就要求不能以计算上的差额作为个人信息侵权损害的认定标准,而是应以符合规范目的的方式在侵权责任认定时协调各方利益之间的关系,并在此基础上作出相应法律效果评价。与此相适应,动态体系论摒弃了严格的构成要件论所坚守的全有全无的责任认定方法,通过对涉案的各项要素及其相互关系的利益权衡,来协调个人信息保护与合理利用之间的关系,以实现对个人信息侵权责任的合理认定。这种法律效果评价方法是发轫于20世纪中叶奥地利的一种法学方法,其核心目的有二:一是实现法律的弹性化评价,克服当时盛行的概念法学的僵化弊病所可能导致的个案不公问题;二是去法律评价过程的神秘化,让评价过程看得见、可予反驳且可能经得住反驳,以此正当化评价过程。为此,动态体系论放弃了概念法学所强调的法教义学中的固定构成要件,允许法官在多个要素中选择最适于个案的一个或数个要素展开最令人信服的论证说理,而且法律效果亦可随选定的要素的强度而浮动。
从动态体系论的法律效果评价方法来看,其可能解决僵化的构成要件论所导致的法律规则个案适用不公问题,但是,完全放弃构成要件论而代之以动态体系论,等于强制人们信赖司法机关并将法律保障完全交给法官,由此可能导致法的安定性、统一性受损。因此,在动态体系论的批评者看来,动态体系论所倡导的评价方法以及为之做出的努力实质上是为法官的恣意提供正当性论证;其强调评价方法的弹性化处理可能导致同案不同判,构成对平等原则的违反。尤为关键的是,动态体系论强调通过可视化的要素在数量上和强度上的相互协作来正当化法律效果评价的设想,在实践中操作起来困难重重。例如,要素是否有权重?权重如何设定?何以要限定要素?如何限定要素?等等,学理与实践上对此尚无定论。另外,从《民法典》第998条来看,该条虽然对法官进行利益权衡的考量因素通过列举+概括的方式予以了明确,但其既未限定法官应予考量的因素,也未对这些因素在作用于人格权侵害民事责任认定时的优先次序及权重等规则预先予以规定,遽言该条引入动态体系论的法律效果评价方法,难谓合理。
与动态体系论不同,综合考量论认为,在运用利益权衡方法确定何种利益在个案中应予优先保护时,不应拘泥于某一原则或某特定利益的实现,而应综合考量涉案的各种利益并进行价值衡量,以最终确定相应的法律效果。因此从形式上看,综合考量论并不像动态体系论那样先入为主地强调纳入考量范围的要素或利益的优先层级,而是在具体个案中由法官依具体情形综合把握。依据该理论,对个人信息权益侵害纠纷涉及的因素或利益的衡量,应当围绕具体纠纷展开,法官应当对纳入利益权衡范围的个人信息权益、处理个人信息的行为自由甚至社会公共利益等,在结合《民法典》第998条所规定的涉案考量因素的基础上进行综合比较,权衡对立冲突的各种价值以得出结论,最后为该结论寻得法律上的依据而将之合法化。这也就是说,在综合考量论的视阈内,纳入法官利益权衡范围的各种利益在价值位阶的序列或者在作用于法律效果评价时的权重并不重要,法官应当在个案中综合比较、权衡彼此冲突对立的各种价值,并依据利益权衡方法进行规范处理,以得出妥当的结论。相较于动态体系论中的利益权衡方法,综合考量论的利益权衡方法显然更与我国现行法秩序中的个人信息保护立法相吻合。这是因为:
第一,《个人信息保护法》第1条规定了保护个人信息权益和促进个人信息合理利用的双重规范目的,尽管学理上有观点认为这两个目的之间存在首要目的与次要目的之分,但即便如此,该法也并未先入为主地强调当个人信息权益与对其的合理利用或公共利益发生冲突时应优先保护个人信息权益,而是承认首先应对冲突着的利益和价值进行平衡协调。亦即言,《个人信息保护法》第1条规定的首要目的即保护个人信息与次要目的即合理利用个人信息二者之间存在紧张关系甚至冲突,法官在个案的具体利益权衡中,可以根据二者的具体呈现及强度来确定何者优先实现。将个人信息的保护作为首要目的,而将对个人信息的合理利用作为次要目的,仅是立法的宗旨和整体价值取向,并不意味着个案中任何情况下必须优先保护个人信息而始终将合理利用置于其后,法官在尊重立法的整体价值取向的前提下可以依据个案的具体情况来确定何者优先实现并据此作出相应的法律效果评价。
第二,《民法典》第998条规定了法官在个案中进行利益权衡应予考量的因素,但该条明确列举出来的考量因素彼此之间并无价值上的优先顺序,并且在作用于具体的法律效果评价时也没有如动态体系论者认为的那样存在预先的赋值和权重,而是完全由法官在个案中依其自主意志进行衡量。并且,该条列举出来的考量因素与那些通过该条的概括规定而得引入的其他考量因素之间,也不存在价值上的优先顺序以及在作用于具体法律效果评价时的赋值及权重上存在特别的考虑等,而是完全交由法官在个案中进行确定。
当然,法官在个案审理中通过综合考量论而非动态体系论下的利益权衡方法认定个人信息侵权责任成立,同样会面临动态体系论遭遇的法官自由裁量权对法之安定性和统一性的侵害问题。对此,立法者采取限制法官进行利益权衡之自由裁量权的主要手段是:《民法典》第998条将法官在利益权衡中必须考量的因素作了明确列举,法官在个案的审理中必须将这些因素如何作用于人格权侵害民事责任认定的过程及发挥作用的空间以可视化的方式呈现出来,从而增强相应法律效果评价过程的可反驳性和评价结果的可接受性,以达到尽可能降低法官自由裁量的主观性和任意性程度的目的。据此,在理想状态下,法官依据制定法彰显的法规目的,可以预判此情此景下立法者会如何规定,并依此作出裁决。但在实践中,由于个案中法官纳入综合考量范围的利益类型不尽相同,其对应受保护的利益的定性亦不尽相同,由此可能导致同案不同判的现象发生。在此意义上,运用综合考量论的利益权衡方法认定个人信息侵权责任成立时,还应注意对法官自由裁量权的适当限制以降低司法的恣意,增强法律效果评价的确定性和可预见性。
(二)利益权衡的具体方法与阶段性目标
利益权衡的核心在于比较。因此,在将综合考量论的利益权衡方法作用于个人信息侵权责任成立的认定时,要增强相应法律效果评价的可反驳性的核心关切点在于:应使个人信息侵害的法律效果评价过程去神秘化,让法官将个案中所涉考量因素是如何作用于个人信息侵权责任成立的过程以可视化的方式呈现出来,强化法官运用自由裁量权进行利益权衡的论证强度,让当事人和社会公众能够从法官的利益权衡过程中感受到公平正义,以此增强相应法律效果评价结果的说服力。
对此,在《民法典》《个人信息保护法》等制定法中规定的处理个人信息保护与合理利用二者关系的基本规范体系中,行为人处理个人信息时应遵循的基本原则作为现行法秩序内在体系所坚持的基本价值的外在体现,可以为法官在个案利益权衡时应遵循的外在规范体系的构造提供指引。具体而言,《民法典》第1035条第1款第1句规定了处理个人信息应当遵循的“合法、正当、必要原则、不得过度处理”四项基本原则;《个人信息保护法》第5条规定了“合法、正当、必要和诚信原则”,第6条规定了“具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式”原则,以及第7条规定了“公开、透明原则”等,这些原则为法官在个案中通过利益权衡方法评价涉案个人信息处理行为在侵权责任法上的效果划定了界限。法官在个案中依据利益权衡方法综合涉案考量因素展开相应侵害行为之法律效果评价时亦应遵循这些基本原则。但问题是,《民法典》《个人信息保护法》规定的这些基本原则在作用于个人信息侵权责任成立的认定时,究竟应如何安置彼此之间的关系,才能使相应的论证摆脱杂乱无章的困境而以清晰可见的形象呈现给案件当事人和社会公众?对此,同样强调事实评价以导出价值判断的比例原则所使用的四阶分析法,展现出清晰的阶层构造式的论证思路,其可以为这一问题的解决提供分析路径。
虽然民法学理上对是否应将比例原则引入私法领域以及如何处理利益权衡与比例原则二者关系的问题上存在分歧,但是不论如何,在传统的三段论演绎式论证方法外,探讨导入比例原则等更为实质的衡量方法总是一种值得倾听的声音。并且,利益权衡方法与比例原则两种解释方法在“重视事实评价以导出价值判断”上具有共性,为彼此的比较借鉴提供了可能。一般来讲,比例原则“体现的是一种适度、均衡的理念和思想,其以特有的‘目的-手段’之关联性作为分析框架,旨在达成‘禁止过度’之效果,以维护法律的实质正义”。而这恰恰与《个人信息保护法》第1条追求的在保护与合理利用二者之间实现平衡的目的相吻合。以此为出发点,将比例原则的四阶分析法与利益权衡方法相结合而共同作用于个人信息侵权责任成立的认定时,可以将《民法典》《个人信息保护法》等确立的处理个人信息应遵循的基本原则与《民法典》第998条规定的非物质性人格权侵害民事责任认定中应予考量的行为人和受害人的职业、影响范围、过错程度以及行为的目的、方式、后果等因素,分别嵌入比例原则的四阶分析法的具体步骤当中,依次考虑行为人处理个人信息的目的是否正当、相应的手段是否有助于实现该目的、在具体的手段运用中是否遵循了对个人信息权益的最小限制原则、相应手段的运用所取得的成效是否大于因此的付出。例如,行为人为曝光不法行为而将其拍摄的与不法行为直接相关的视频在网络上公开,但因其过失而未对被曝光之不法行为的受害人的形象作模糊处理,对于该曝光行为是否侵害了不法行为受害人的个人信息并导致相应的侵权责任成立,应依以下路径进行分析判断:首先应结合行为人、受害人的身份来判断行为人的目的是否正当,对于法治社会的任何一个自然人而言,都有权通过适当的行为揭露不法行为以维护社会秩序,因此本案中行为人通过曝光不法行为以维护法治社会的正常秩序具有目的正当性,可以进入下一阶段的检验。若相应行为不能通过目的正当性原则的检验即构成对比例原则的违反。第二阶段围绕手段是否有助于实现该目的展开,而在数字社会曝光不法行为不仅可能会产生使不法行为人惧于舆论压力及可能的法律制裁而停止侵害行为的效果,而且特定情形下还会达到督促不法行为人在导致他人损害的时候及时救济受害人的目的,因此本案中行为人的曝光行为有助于维护法治社会秩序这一目的的实现,可以进入下一阶段的判断。若相应行为不能通过手段适当性原则的检验即构成对比例原则的违反。第三阶段为必要性原则的检验,要求在具体手段的运用中遵循对个人合法权益的最小限制原则,本案中曝光不法行为的行为人完全可以在遮盖受害人面部形象的情形下实施曝光行为,因行为人的过失未对受害人面部形象作特别处理,显然违反了对其个人合法权益的最小限制原则,构成对必要性原则的违反,此时即可认定行为人应对曝光行为承担侵权责任,毋需再进入第四阶段的判断。显然,这种清晰的阶层构造式的分析方法可以将法官在个案审理中的利益权衡过程清楚地显现出来,充分表明法官自由裁量权的运用并非单纯地依据其自然法感,利益权衡亦并非完全无法合理掌握的神秘过程,同样也需要遵守若干具体可视的原则,从而达到使法官通过利益权衡方法展开的法律效果评价过程去神秘化的目的,进而使相应的法律论证具有可反驳性且可能经受得住反驳,最终达到增强相应法律效果评价结果的说服力和可接受度的目的。
通过利益权衡方法认定个人信息侵权责任成立的短期目标是妥善协调个案中冲突的不同利益,并在相应的法律效果评价上通过过程的控制使相应的评价结果为当事人和社会公众所接受,而于此所引入的比例原则的阶层构造式分析方法即指向该目标。但是,在中长期目标上,还应考虑经由指导性案例以及类案检索规则等途径,将法官通过利益权衡方法解决的具体案件予以比较、整理,建立起案例类型,以在该框架当中向那些具有清晰事实构成的具体人格权靠近,并逐渐形成对相对明确的事实构成的归纳,进而实现从框架性权利到具体人格权、具体人格权中不具备清晰事实构成的部分到具备清晰事实构成的部分的转变。因为只有通过这种方式才会预先规定出构成要件的清晰事实构成,并据此征引违法性而使证明责任倒置,提高此类人格权保护规则适用的确定性和可预见性,并在人格权的区分保护中逐渐实现法律规则的确定性、可预见性以及法秩序的体系协调统一性目标。当然,在这种案例类型的形成过程中,个案中的人格权与他人行为自由及社会公共利益之间的权衡居于核心位置。
(三)小结
个人信息侵权责任成立认定中的利益权衡方法旨在填补事实构成不清导致的构成要件无法发挥法律效果评价功能时的漏洞,因此是作为构成要件的补充而存在。从《民法典》第998条的规定来看,该条引入的利益权衡方法是综合考量论而非动态体系论的方法,法官在将涉案考量因素作用于侵害行为的法律效果评价时并不需要考虑各因素的权重和优先顺序等,而是在个案中由其依据具体情形综合把握。为了使法官的利益权衡过程能够以可视化的方式呈现出来而去其神秘化,降低法官自由裁量权的恣意并增强相应法律效果评价结果的说服力,可以考虑在法官的利益权衡过程中引入比例原则的阶层构造式论证方法,将《民法典》《个人信息保护法》等确立的处理个人信息应遵循的基本原则引入利益权衡过程的阶层构造式论证过程中。为了提高个人信息侵权责任成立认定结果的确定性和可预见性,在通过可视化的利益权衡方法解决个人信息侵权责任成立认定中因事实构成不清无法运用构成要件展开法律效果评价的问题以外,还应将法官在个案中通过利益权衡解决的案件予以整理以建立起相应的案例类型,并以此为基础逐渐形成清晰的事实构成,进而达到从个案的利益权衡到抽象的构成要件的回归,保障个人信息侵权责任认定规则适用的确定性和可预见性。
06
结论
个人信息侵权责任成立认定中的构成要件与利益权衡二者的关系,既受个人信息权益本身的内在构造影响,也与现行法秩序确立的赋权保护模式和行为规制模式的二元结构有关。在现行法秩序内外在体系融贯的视角下,对个人信息侵权责任成立的认定,既要保障相应法律效果评价规则适用的确定性和可预见性,维护法的统一性与权威性,也要使相应法律效果评价规则的适用具有灵活性,可以满足现实生活千变万化的需求。对此,若《民法典》《个人信息保护法》已经针对个人信息处理行为建立了明确的行为规范,那么相应侵害行为的法律效果评价应围绕这些行为规范中确立的行为构成来展开,通过预先概括规定标准性事实构成要件+正当理由的例外检验模式来完成个人信息侵权责任成立的认定;若个人信息侵害行为不在制定法明确规定的行为规范的调整范围,那么相应侵害行为在侵权责任法上的效果评价则要通过法官个案中的利益权衡来实现。于此的利益权衡虽然主要是法官自由裁量权的运用,但为了增强相应法律效果评价结果的说服力和可预见性,既要强调个案利益权衡过程的可视化,使相应的利益权衡论证具有可反驳性,也要强调经由个案的利益权衡到抽象的构成要件的转化与发展,扩展构成要件在个人信息侵权责任成立认定中的适用范围。在此意义上,个人信息侵权责任成立认定中的构成要件与利益权衡二种法律效果评价方法并非是对立的,而是可以协作共存以共同促进法之安定性和灵活性二者关系的妥善处理。
 | 京ICP备12000547号-1 京公网安备11010502039861号 |
