个人信息侵权责任研究

魏文帅

摘 要：近年来，互联网的发展十分迅速，互联网的高速发展给人们生活带来了极大的便利，但是也给个人信息安全带来了巨大的挑战。个人信息安全的保护不是互联网时代所特有的问题，但是在互联网时代，个人信息特别容易被侵犯。因此个人信息也特别需要法律的保护。接下来笔者将对个人信息权的界定，侵犯个信息权的构成要件，对个人信息权被侵犯时的救济措施一一进行分析。

关键词：个人信息权；侵权责任构成要件；救济措施

目前，大数据成为了一个热点话题，大数据分析的基础就是对个人信息的利用。这种对个人信息的采集利用，是否侵犯到个人信息所有权人的合法权利，这是一个值得谈论的问题。接下来笔者将要通过个人信息的内容、侵犯个人信息构成要件和个人信息遭受侵犯的救济措施对个人信息遭受侵权的问题进行分析。

一、个人信息概述

要想对个人信息的侵权责任进行研究，首先要理解什么是个人信息。而对个人信息的全面理解需要明晰个人信息的概念，界定清楚个人信息的内涵和外延。接下来笔者将从个人信息的概念、个人信息的内涵和个人信息的外延三方面进行分析。

（1）个人信息的概念

个人信息在不同地区和立法上有着不同的称呼，欧盟等国家称为“个人数据”，台湾学者称为“个人资料”，我国大陆学者称为个人信息，民法总则第116条也使用了个人信息这个称呼。笔者认为无论是个人资料，还是个人数据和个人信息，只是不同地区的语言习惯不同，导致的表述方式不同，他们之间并没有实质的区别。我们关注的重点不应该是个人信息的表述方式，而应该是对个人信息的具体概念的理解。

关于个人信息的概念存在着不同的界定。根据德国《联邦个人资料保护法》第3条（1）的规定，个人信息，是指可以识别或帮助识别的自然人的和人或事有关的信息。王利明教授则把个人信息定义为：“与特定人相关联的、反应个体特征，具有可识别性的符号系统，包括个人身份、工作、家庭、财产、健康等各方面信息”。齐爱民教授则把个人信息定义为：“个人信息是一切可以识别本人的信息的总和”。结合上述对个人信息的不同界定，笔者认为个人信息是指与特定人相关联的可以帮助识别本人信息的总和。

（2）个人信息的内涵

笔者在上面谈到了个人信息的概念，然而仅仅个人信息的概念是无法帮助我们全面理解个人信息的。要想全面理解个人信息，还需要了解个人信息的内涵，即个人信息权利上的性质和特征。

由于对个人信息的定义不同，关于个人信息权利的性质也有不同的认识。关于个人信息权利的性质认识的“典型学说有：所有权说、隐私权说、人格权说、基本人权说、人格权说和财产权全面保护说等”。以上学说对个人信息权利的性质认识虽然不同，但大致可以分为两类：一类认为个人信息属于财产权；另一类认为个人信息属于人格权。笔者认为个人信息是一种兼具财产性质的人格权，个人信息是指可以识别本人的信息的总和。其主要作用在于帮助本人和其他人相区别，这事关人存在的基础和人的尊严，所以将个人信息权利的性质定义为人格权更为妥当。但是随着互联网的发展，个人信息在逐渐商品化，本身属于人格权性质的个人信息具有了财产权的性质。单独认为个人信息权利上的性质属于人格权，否定其具有的财产性质也是不妥当的，这不利于对个人信息权利的保护。所以将个人信息的权利上的性质认定为兼具财产性质的人格权更为妥当。

个人信息是指可以识别本人信息的总和。所以个人信息具有以下特征：第一，个人信息具有识别性，这是它的本质特征，识别性是指帮助本人和其他人相区别的特性，可以是直接的也可以是间接的。第二，个人信息的主体是自然人，无论是我国民法总则还是德国队《联邦个人资料保护法》都将个人信息的主体规定为自然人。第三，个人信息具有无形性，个人信息属于信息的一种，自然具有信息的特征，而信息具有一定无形性，这与有体物相区别，此外对个人信息的认识需要一定的媒介。

（3）个人信息的外延

个人信息的外延是指个人信息所包含的范围。确定个人信息外延的主要目是为了更全面的理解个人信息权，从而更好的保护个人信息。有通过列举式的方式来确定个人信息的外延，如我国最高人民法院在《审理利用信息网络侵害人身权益民事纠纷案件適用法律若干问题的规定》第 12 条把个人信息的范围规定为：“基因信息、病历资料、健康检查资料、犯罪记录、家庭住址、私人活动等个人隐私和其他个人信息”。笔者认为，个人信息的范围十分广泛，包括一切能够帮助识别的信息，既包括直接个人的信息，直接个人信息是指“单一信息即可识别出信息主体，不需借助与其他信息的结合”，比如个人的姓名、肖像、特殊身体形象等；也包含间接个人信息，间接个人信息是指直接个人信息之外的个人信息，比如性别、身高、家庭、病例等。个人信息既有一般的个人信息，又有隐私的个人信息。要注意个人信息同隐私权的区分。有学者认为个人信息就是隐私权，比如美国1974年通过的《美国隐私法》，它以隐私权为基础对个人信息加以保护。笔者认为，个人信息和隐私是交叉的关系。个人信息包括一般信息和隐私信息，个人信息中的隐私信息属于隐私的范围，而隐私除了包括私生活的隐秘性，还包括私生活的安宁，个人信息中隐私信息和隐私中的私生活的隐秘性是想重叠的，而私生活的安宁不被打扰和个人信息的一般信息是不相关的部分，所以笔者认为个人信息和隐私是交叉关系。

二、个人信息侵权责任的构成要件

个人信息的侵权行为作为一种社会事实，法律并没有将之界定为一种单独的侵权责任类型，法律关于个人信息的侵权责任的规定被分解在不同的法律规范中。因此要研究个人信息侵权责任的构成要件，首先要理解侵权责任的构成要件。侵权责任的构成要件是指“行为人承担侵权责任的条件，即行为人是否应当承担侵权责任的标准”。根据我国的学理和法律规定，侵权行为的责任构成要件可以分为一般侵权行为责任构成要件和特殊侵权行为责任构成要件。在一般侵权行为和特殊侵权行为中都存在关于个人信息保护的规定，接下来便从一般个人信息侵权行为的责任构成要件和特殊个人信息侵权行为的责任构成要件的角度对个人信息侵权行为的责任构成要件进行解读。

一般侵权行为是指“依民事立法关于侵权的一般规定承担赔偿责任侵权，其成立是确立过错责任的结果”。一般个人信息侵权行为的责任构成要件包括损害、过错和因果关系三个要件。第一，损害指行为人的行为对受害人造成的不利益状态的，包括财产上的损害和非财产上的损害。在个人信息侵权中，侵权行为造成的损害后果可能是财产上的，比如侵权行为人非法收集、使用或买卖个人信息，个人信息被侵权行为人利用，侵权行为人因此获利，使得受害人的积极财产利益减少。侵权行为造成的损害也可能是非财产上的，比如个人的私密信息被侵权行为人非法公开，使得被害人精神遭受巨大的痛苦。过错是指行为人违背法律和道德的行为所表现出来的状态，过错包括故意和过失。在一般个人信息侵权责任的构成要件中要求过错，即侵权行为人主观上存在着故意和过失。如果侵权行为人主观上不具有过错，那么法律将不会追究行为人的责任。第三，受害人遭受损害和侵权行为具有因果关系，即受害人遭受的损害是因为侵权行为人的行为导致的，对于因果关系的认定，学者们存在着不同的观点，目前主流的观点是相当因果关系说。

特殊侵权行为是指法律将适用范围限定为特定的场合，并且规定了不同于一般侵权责任构成要件的特别侵权责任构成要件的侵权行为。法律对个人信息的特殊侵权责任是采取列举式的方式规定的。比如《侵权责任法》第58条规定隐匿或拒不提供病例资料或者伪造或篡改病历资料的推定其有过错。病例资料是个人信息的一种，医疗机构或医务人员只要实施了隐匿或拒不提供病例资料或者伪造或篡改病历资料的加害行为，并因该加害行为导致了受害人遭受损害，医疗机构或医务人员就要承担侵权责任，并不需要其有过错。在此法律对个人信息的保护采取了过错推定的原则。《侵权责任法》第62条规定：“医疗机构及其医务人员应当对患者的隐私保密。泄露患者隐私或者未经患者同意公开其病历资料，造成患者损害的，应当承担侵权责任。”该条款先为医疗机构及义务人员设立了为病人保守隐私病例资料等个人信息的法定义务，然后又规定了违反法定义务是承担侵权责任，在这里法律对个人信息的保护采用的是无过错的原则。以上两种对个人信息的保护都不要求侵权行为人有过错，对于受害人的信息保护程度明显优于对个人一般信息的保护程度。

可见由于个人信息的内容不同，其侵权行为的责任构成要件也不同。这是因为法律没有将个人信息的侵权行为规定為一种单独的侵权类型所导致的结果。个人信息侵权行为的责任构成要件原则上适用一般侵权行为的构成要件，只有法律明确在特殊侵权行为中规定了个人信息相关的内容，才有可能适用特殊侵权行为的责任构成要件。

三、个人信息遭受侵权时的救济方式

个人信息在遭受侵害时想要得到救济的前提是法律规定了对个人信息的保护。接下来便了解下民事法律对个人信息的保护。首先《民法总则》第116条规定了自然人的个人信息受法律保护。其次《侵权责任法》第2条以列举式的方式规定了侵权责任法所保护的权益。其中具体权益为18种，后面的“等”字相当于兜底条款，为保护将来实践中新兴的民事权益留下空间，“人身、财产民事权益”是对侵权责任法所保护民事权益所做的总结。而个人信息在权利上的性质属于具有财产性质的人格权，也受到侵权责任法的保护。此外还有《消费者权益保护法》第29条也规定了对个人信息权益的保护。

法律规定了对个人信息的保护，受害人的个人信息遭受侵权时，才能寻求法律的救济，要求侵权行为人承担侵权责任。根据《侵权责任法》第15条的规定，承担侵权责任的方式有8种，分别是：停止侵害、排除妨害、消除危险、返还财产、恢复原状、赔偿损失、赔礼道歉和消除影响、恢复名誉。但是并不是这八种方式都可以成为个人信息侵权的责任方式。

首先，返还财产和恢复原状不能成为个人信息遭受侵权时的责任方式，因为这两种方式都是适用于财产权遭受侵犯并且原财产依旧存在或可替代的情形，而个人信息在权利性质上属于兼具财产性质的人格权，虽然它具有财产性质，但本质上还是人格权，所以返还财产和恢复原状不能成为个人信息遭受侵权时的责任方式。其次，排除妨害主要时物权遭受侵权时的责任方式，与个人信息权利性质不符，所以排除妨害也不能成为个人信息遭受侵权时的责任方式。再次，消除影响和恢复名誉不能作为个人信息遭受侵害时的责任方式，因为我们如今处于互联网时代，信息传播非常迅速，个人信息侵权行为一旦发生，其传播速度十分迅捷而且传播的规模也不可控制，所以很个人信息被侵权后，影响很难消除。而恢复名誉只适用于名誉权被侵犯的情形，所以消除影响、恢复名誉不能作为个人信息遭受侵权时的责任方式。最后，消除危险属于预防性的侵权责任方式，它不要求损害的发生，只要求侵害行为造成危险即可，而个人信息侵害行为的构成要件要求损害后果的发生，所以消除危险不能是个人信息遭受侵权时的责任方式。所以可以成为个人信息遭受侵权是责任的方式有：停止侵害、赔偿损失、赔礼道歉和消除影响、恢复名誉。这四种方式可以单独适用，也可以一起适用。接下来便对这四种个人信息遭受侵权时的责任方式进行具体分析。

停止侵害是个人信息侵权首要的责任方式，受害人一旦发现个人信息遭受侵权，首先要做的是要求侵权行为人责任人停止侵害，防止损害的扩大。《侵权责任法》第36条规定中的“删除、屏蔽、断开链接”就是停止侵害的责任方式，停止侵害主要适用于对个人信息的侵害持续进行或反复对个人信息造成侵害的情形，比如垃圾广告和骚扰电话。另外停止侵害适用时不要求侵权行为人有过错，只要受害人发现侵害事实的存在，就有权要求停止侵害。

赔偿损失是个人信息侵权常用的责任方式。损害赔偿分为两种：一种是财产性赔偿，另外一种是非财产性赔偿，即精神损害赔偿。财产性赔偿主要针对个人信息财产性损失，比如侵权行为人非法利用受害人的人信息来获取利益，导致受害人的积极利益遭受损失，此时受害人就可以申请财产性赔偿。此外受害人因为个人信息遭受侵权寻求救济过程发生的费用也可以请求侵权行为人进行赔偿。个人信息财产性损害赔偿以填补受害人的实际损失为原则。个人信息遭受侵害时同样可以请求非财产性赔偿，即精神损害赔偿。精神损害赔偿是指“自然人因人身权益受到不法侵害而导致严重的精神痛苦，受害人因此可以就精神上的痛苦要求金钱上的赔偿，以对受害人予以抚慰并制裁不法行为人”。《侵权责任法》第22条规定：“侵害他人人身权益的，造成他人严重精神损害的，被侵权人可以请求精神损害赔偿。”据此，可以得知侵权行为适用精神损害赔偿的条件：侵害了他人的人身权益，受害人遭受了严重的精神损害。个人信息的权利性质属于具有财产性质的人格权，属于人身权的范围。因此，只要受害人因个人信息遭受侵权行为遭受了严重的精神痛苦，受害人即可请求精神损害赔偿。对于精神损害要求达到严重程度这一点，遭到了许多学者的批评，如我国学者谢鸿飞先生指出：“‘严重这一限制条件似无太大必要，因为它会进一步淡化现代侵权法本以摇摇欲坠的惩罚功能”。笔者认为这体现了我国法律对精神损害赔偿持谨慎的态度。这会导致大量个人信息遭受侵权无法得到赔偿，既不能给受害者抚慰，也不能对侵权行为人进行补偿，从而使设立精神损害制度的目的无法达到。