无过错归责原则：个人信息侵权损害赔偿的应然走向

蒋丽华

内容提要:将个人信息侵权行为定位为一般侵权行为，其损害赔偿主观要件采过错归责原则，是《民法典》中个人信息侵权损害赔偿的既有逻辑。然而证据偏在和过错要件事实识别的困境阻碍了受害人获得诉讼上的有效救济，降低证明标准的缓和方案难有作为。《个人信息保护法》采过错推定的主观归责原则，但证明责任倒置方式救济乏力，亦难以从根本上扭转受害人的弱势地位。重塑个人信息侵权损害赔偿请求权构成要件，确立无过错归责原则并未突破现有的立法框架，且有利于个人信息权的有效保护，能够更好地维持当事人之间的利益平衡，并符合成本收益原则和社会公益原则。在此基础上，应将个人信息侵权行为定位为特殊侵权行为。个人信息侵权案件的证明及庭审程序的推进围绕侵权行为、损害后果和因果关系三个法律构成要件展开。

信息技术的发展推进了个人信息的流通和经济价值的实现，也频繁导致个人信息的泄露和恶意使用，司法实践中个人信息侵权案件不断增加。个人信息侵权损害赔偿主观归责原则是采《民法典》中的过错归责原则，还是采《个人信息保护法》中的过错推定原则？相关实体法规范并未就此提供明确的裁判指引。《民法典》未将个人信息侵权行为定性为特殊侵权行为，因而应将其归入一般侵权行为的范畴，由此产生的侵权损害赔偿请求权包含侵权行为、损害后果、因果关系和过错四个要件。《个人信息保护法》第69条第1款规定：“处理个人信息侵害个人信息权益造成损害，个人信息处理者不能证明自己没有过错的，应当承担损害赔偿等侵权责任。”此条款明确了个人信息侵权损害赔偿采过错推定原则，依旧未将过错从个人信息侵权损害赔偿请求权的构成要件中剔除。

《民法典》视域下的四要件理论在实践中的运用导致对受害人的救济困难重重。基于证明责任分配原理，受害人(原告)须对权利发生要件承担证明责任，在证明责任的指引之下，原告负有具体的举证责任，需提供证据证明产生法律效果的具体要件，并承担要件事实真伪不明时的不利后果。然而，个人信息侵权行为具有高科技性，侵权人明显的技术优势和证据偏在增加了原告证明的难度。过错作为评价性要件，其要件事实的识别更加剧了问题的复杂性。《个人信息保护法》第69条意识到了对过错要件证明的困境，故采取了过错推定的方式，由被告证明其不存在过错。但在笔者看来，此举依旧不足以对受害人(原告)提供充分的救济。因此，本文主要从实体法和诉讼法的双重视角，对上述过错要件在个人信息侵权损害赔偿案件中的证明及其困境进行分析，尝试通过对实体法上个人信息侵权损害赔偿请求权构成要件的重塑，排除对过错要件的证明，并以此为基础设计个人信息侵权损害赔偿案件的审理和裁判路径。

一、《民法典》出台前的实务考察

(一)实务裁判的类型化梳理

1.将个人信息侵权行为定位为一般侵权行为，采用过错责任归责原则。此种裁判逻辑不考虑原被告因证据距离远近不同面临的实质不公，严格按照一般侵权行为四要件的构成，由原告证明被告存在过错。

案例一：谢某在苏宁易购网站购买了一小米电源插座，后接到能够准确说出其姓名、订单编号、购买商品名称等订单信息的“苏宁客服”的电话，在信以为真的情况下被骗取14800元。谢某认为是由于苏宁易购电子商务有限公司(下文简称“苏宁易购公司”)网站漏洞才导致其个人信息泄露进而被骗。在双方协商未果的情况下，谢某向法院提起诉讼要求苏宁易购公司停止侵害、赔礼道歉并赔偿损失。法院认为谢某主张其被侵犯的个人信息应属隐私权范畴，应当适用《侵权责任法》第6条第1款规定的侵权归责原则，即过错责任原则，过错推定原则在本案中不适用。谢某无法提供有效证据证明被告网站存在漏洞，即便存在漏洞，谢某也无法证明其个人信息是通过该网站泄露。在法院看来，谢某提供的一系列事实仅能证明损害事实，无法证明包括过错在内的其他一般侵权行为构成要件，故判决谢某败诉，驳回其全部诉讼请求。(1)参见广东省阳江市江城区人民法院(2016)粤1702民初字第1098号民事判决书。

2.将个人信息侵权行为定位为一般侵权行为，一方违约构成过错。比如一方未能履行合同规定的监管责任，则具备了主观上的过错。但若原告未能证明其他侵权要件，其诉讼请求依旧无法得到法院的支持。

案例二：庄某是中国电信股份有限公司泉州分公司(下文简称“泉州电信”)的手机用户，在原告未到场提供本人签名和身份证原件的情况下，其所持有的两套电话卡和数据卡先后被泉州电信营业厅过户给第三人。原告在协商未果的情况下，以中国电信股份有限公司和泉州电信作为共同被告提起诉讼，请求法院判令两被告赔礼道歉和赔偿损失。一审法院认为原告无法提供确切证据证明其姓名权和隐私权等人格权受到侵犯，故驳回其全部诉讼请求。二审法院认为庄某的两个手机号在未经其本人同意的情况下，被泉州电信过户给第三人的事实表明泉州电信存在监管不利的过错，构成对双方电信合同的违约。二审法院虽认为对于一方的违约行为侵害对方人身、财产权益的，受损害方有权选择侵权之诉来主张其权利，但由于庄某无法证明泉州电信的行为对其造成了损害，故判决驳回庄某上诉维持原判。(2)参见福建省泉州市中级人民法院(2014)泉民终字第660号民事判决书。

3.将个人信息侵权行为定位为一般侵权行为，在由原告承担过错要件证明责任的同时，降低过错要件的证明标准。对于原告的主张，被告可以进行各种抗辩。法院通过事实推定的方式，将举证责任转换至被告，掌握大量信息的被告可通过有效的抗辩动摇法官对于被告存在过错的临时心证，原告依旧要承担过错要件证明不能的潜在风险。

案例三：庞某委托他人在“去哪网”订票遇到诈骗短信，故以其姓名、手机号码、行程安排等个人信息遭到泄露为由，以中国东方航空股份有限公司(下文简称“东方航空公司”)、北京趣拿信息技术有限公司(下文简称“趣拿公司”)为被告提起诉讼，要求被告赔礼道歉并赔偿损失。在本案一审中，法院采纳了一般侵权行为说，原告须证明传统的侵权损害赔偿责任的四个要件。根据证明责任分配原理，原告需要证明两被告存在过错。原告无法证明其个人信息由东方航空公司或趣拿公司泄露，因而在一审中败诉。在本案二审中，法院仍认为此案为一般侵权纠纷，主观归责原则为过错责任原则。与一审法院不同的是，二审法院基于《消费者权益保护法》第29条第2款的规定，认为东方航空公司和趣拿公司未对收集的消费者个人信息严格保密，两公司此前被媒体报道涉嫌泄露乘客隐私，但并未在诉讼过程中证明对此安全管理方面的漏洞采取有效的应对措施，也并未证明涉案信息由他人或原告自己泄露。因而二审法院认为本案中的信息泄露是由两公司疏于防范导致，判决两被告承担侵权责任。东方航空公司对二审裁判不服，向北京市高级人民法院提起再审。对此，北京市高级人民法院认为二审法院综合考虑了此案的实际情况和相关证据，认定事实并无不当，裁定驳回东方航空公司的再审申请。(3)参见北京市第一中级人民法院(2017)京01民终字第509号民事判决书；北京市高级人民法院(2017)京民申字第3835号民事裁定书。

在案例三中，二审法院意识到了原告在过错要件证明上的困难，故采用了事实推定的方式对过错要件进行认定，降低了原告对于过错要件的证明标准。对东方航空公司和趣拿公司内部数据信息管理是否存在漏洞等情况，原告庞某作为普通人难以进行确切的举证，法院根据一般的生活经验推定两公司存在过错，从而将举证责任转换至被告。但被告在本案中无法举证进行有效的免责事由抗辩，无法动摇法官对于被告存在过错的临时心证，故而法官认定过错要件成立，结合其他证据最终认定两被告应承担侵权责任。

4.将个人信息侵权行为定位为一般侵权行为，法院根据案情适用诚实信用原则和公平原则倒置证明责任。对于个人信息侵权损害赔偿请求权中的过错要件，由被告承担无法证明其不存在过错的潜在风险。若被告无法证明自身不存在过错，则认定过错要件成立。

案例四：林某通过电话在四川航空股份有限公司(下文简称“四川航空公司”)订购了一张机票，后被短信告知航班因故停飞，在另行购买机票后发现先前航班并未停飞。林某因此以四川航空公司为被告提起诉讼，要求被告承担包括赔礼道歉与赔偿损失在内的多项侵权责任。本案一审法院根据“谁主张、谁举证”的原则，认为应当由林某举证证明其信息由四川航空公司泄露。林某在收到的两次短信号码不一致的情况下即轻信诈骗短信，缺乏基本的安全警惕意识。林某由于无法证明航空公司的信息泄露行为并存在过错，故在一审中败诉。二审法院认为在本案中，应当根据案情适用诚实信用原则和公平原则，综合当事人举证能力等因素由四川航空对其不存在过错承担证明责任。在二审法院看来，林某远离证据材料并缺乏必要的收集证据的条件和手段，对该信息是由谁泄漏以及被泄露的具体环节不具备进一步举证的能力。四川航空公司占有证据材料并有能力收集证据，且未尽到保障个人信息安全等法定义务。虽然四川航空公司难以证明自身无过错，但可以通过举证采取了技术措施和其他必要措施等，来证明林某信息的泄露并非是其过错造成的。四川航空公司既没有举证证明信息系第三方泄露，也未对其采取了确保消费者信息安全的技术措施和其他必要措施的事实进行举证和说明。故二审法院撤销原判决，判决四川航空公司向林某赔礼道歉并承担一定的损害赔偿责任。(4)参见四川省成都市中级人民法院(2015)成民终字第1634号民事判决书。

在案例四中，法院同样意识到了原告在过错要件证明上的困难，由法官分配证明责任，采用了过错推定的方式对过错要件存在与否进行认定。然而，2019年新修改的《最高人民法院关于民事诉讼证据的若干规定》删除了原第7条关于法官可综合当事人举证能力、基于诚实信用和公平原则分配证明责任的规定，意味着在诉讼中法官不能再以案件需要为由，通过自由裁量的方式改变原有的证明责任，而应对《最高人民法院关于适用〈中华人民共和国民事诉讼法〉的解释》(下文简称《民诉法司法解释》)第91条规定的证明责任进行严格的适用。因此，前文案例四中法院采取的依据公平原则分配个人信息侵权损害赔偿过错要件证明责任的做法已经成为历史。

(二)小结

从上述四个案例可以看出，在《民法典》出台之前，司法实践中法官基于《侵权责任法》的规定，将个人信息侵权行为认定为一般侵权行为，采过错归责原则。但是，法院对于过错要件的证明采取了不同的态度。在案例一中法院以原告无法直接证明被告存在信息泄露的过错为由驳回其诉讼请求。在案例二中法院以被告监管不力推定其存在过错，但由于认为原告无法证明损害后果要件，仍判决其败诉。案例三中二审法院意识到了原告在过错要件证明上的困难，采用了事实推定的方式降低原告对过错要件的证明标准，但并未改变原告对过错要件的证明责任。在案例四中，法院充分考量了原被告双方的举证能力，由被告承担过错要件的证明责任，有效缓解了原告面临的证明困境。总体而言，虽然不少法院意识到了个人信息侵权损害赔偿采过错归责原则的不合理之处，并通过各种方式缓和过错要件证明的困境，但无法形成统一的方法和标准。若《民法典》能充分意识到个人信息侵权行为的特殊之处，并对其损害赔偿的主观归责原则进行明确，则可以有效消除实践中的多重乱象。

二、《民法典》中个人信息侵权损害赔偿过错归责原则之解读

(一)《民法典》中过错归责原则的逻辑推演

1.个人信息权属于人格权项下的权利

从学术梳理中可知，学术界对于个人信息权的讨论始于其与隐私权的区分及其是否具有独立地位。学者最初的研究为个人信息的独立寻求各种依据，如对于最具代表性的赋予个人一般性个人信息权的《德国联邦数据保护法》进行介绍，(5)参见王利明：《论个人信息权的法律保护——以个人信息权与隐私权的界分为中心》，载《现代法学》2013年第4期。《欧洲基本权利宪章》在第7条、第8条中对隐私权与个人信息权的区分也常被引用(6)参见郭瑜：《个人数据保护法研究》，北京大学出版社2012年版，第86页。。英国也采用了更具包容性和时代性的个人数据保护法模式。(7)参见齐爱民、张哲：《识别与再识别：个人信息的概念界定与立法选择》，载《重庆大学学报(社会科学版)》2018年第2期。美国个人信息以隐私权为权利基础，被认为是隐私权保护的对象，究其原因是因为美国的隐私权作为一个框架性体系内容具有扩展性，类似于德国的一般人格权。(8)参见谢远扬：《信息论视角下个人信息的价值——兼对隐私权保护模式的检讨》，载《清华法学》2015年第3期。因此，从域外规定来看，将个人信息权置于人格权的大体系之下是各国的普遍做法。

我国对于个人信息权的认识经历了从归属于隐私权范畴到独立的民事权利的演进路径，目前学界主流观点认为其独立于隐私权。《民法典》并未采用大隐私权的构造，而是采隐私权和个人信息权“二元制”保护模式，将个人信息权作为一项独立于隐私权的民事权利，归入人格权的范畴。个人信息与计算机技术相连接，和隐私权相比更具抽象性和开放性。前者可能已经公开或本属公共事务范畴，而后者更强调私人性，大隐私权未必能够跟上信息时代的步伐。(9)参见冯源：《〈民法总则〉中新兴权利客体“个人信息”与“数据”的区分》，载《华中科技大学学报(社会科学版)》2018年第3期。

我国《民法典》在第四编中正式将个人信息权纳入其体系之中，意味个人信息权在实体法层面具有了自己的准确定位。从2011年《民事案件案由规定》上看，个人信息侵权案件不能成为独立的案件类型，只能依附于隐私权或者其他人格权案由之下。随着《民法典》的颁布施行，最高人民法院在2020年对2011年《民事案件案由规定》进行了修订，2020年新案由规定明确了个人信息权案由和隐私权案由并列，属于人格权二级案由下的四级案由。进而，因个人信息权利受到侵害而产生的损害赔偿，自然适用人格权项下具体的请求权基础，其归责原则应当与人格权损害赔偿这一大框架的主观归责原则保持一致。我国对于人格权纠纷中的损害赔偿一直都是适用过错归责原则，(10)参见王利明：《人格权的积极确权模式探讨——兼论人格权法与侵权法之关系》，载《法学家》2016年第2期。个人信息侵权损害赔偿的主观归责原则应与其保持一致。

2.个人信息侵权行为属于《民法典》体系下的一般侵权行为

学术界通常将侵权行为分为一般侵权行为和特殊侵权行为。按照构成要件说的观点，一般侵权行为和特殊侵权行为的区别在于法律构成要件数量的不同，一般侵权行为具备通常的法律构成要件，特殊侵权行为欠缺其中的某些要件。按照主观归责原则说的观点，一般侵权行为和特殊侵权行为的区别并不在于法律构成要件的数量，而在于采用的主观归责原则。一般侵权行为采过错责任原则，特殊侵权行为采无过错责任原则和过错推定原则。(11)参见郭明瑞、房绍坤：《民法》，高等教育出版社2017年版，第479页。我国《民法典》对个人信息侵权行为并未进行特殊的规定，对于侵犯此权利产生的侵权损害赔偿应当适用侵权责任编的一般规定。因此，基于学理解释和立法规定，个人信息侵权行为属于一般侵权行为，其有四个完备的法律构成要件，其中主观归责原则采过错责任原则。

(二)个人信息侵权损害赔偿过错要件证明的困境

1.证据偏在困境

所谓证据偏在是指大量能够证明要件事实的证据被集中控制于一方当事人，且往往是加害的当事人一方。(12)参见张卫平：《民事诉讼法》，法律出版社2016年版，第248页。证据偏在加剧了举证难，在大型个人信息侵权案件中，双方当事人在证据掌握上处于严重不平衡状态，数据收集者和处理者掌握着先进的信息技术，个人难以知晓其中是否采用了加密技术以及是否存在技术上的过错。证据偏在导致个人信息权的救济困难重重，不仅是过错要件证明的层面，侵权行为与损害后果之间的因果关系层面也存在证明上的困难。

对于证据偏在的困境，诉讼法学者提出可通过对不负举证责任但掌握证据的一方课以事案阐明义务予以缓解。事案阐明义务目前已基本得到学术界的认可，学者也总结了其在实践中的具体形态，争议之处在于在何种程度和范围内承认此义务。(13)参见胡学军：《前进抑或倒退：事案阐明义务论及其对我国的启示》，载《法学论坛》2014年第5期。也有学者主张从证据协力义务的角度对证据偏在困境进行缓和，强调当事人和当事人以外的第三人具有协助受诉法院进行证据调查的义务。(14)参见占善刚：《证据协力义务之比较法研究》，中国社会科学出版社2009年版，第8页。但我国目前关于证据协力义务的规定多为行为规范，缺少效果性规范和适用范围的限制。此外，不少学者还希望通过摸索证明的方式，缓解证据偏在导致的困境，促使原告明确具体的主张。(15)参见周成泓：《论民事诉讼中的摸索证明》，载《法律科学(西北政法大学学报)》2008年第4期；刘显鹏：《民事诉讼中的摸索证明探析》，载《法学论坛》2010年第4期；丁朋超：《民事诉讼中的摸索证明论》，载《大连理工大学学报(社会科学版)》2016年第2期。摸索证明是指以获取信息为目的的证据申请现象，(16)参见〔日〕高桥宏志：《重点讲义民事诉讼法》，张卫平、许可译，法律出版社2007年版，第72页。其作为主张责任具体化的手段，在现代型诉讼案件中受到越来越多的关注，但至今未成为学界通说，也未建立起完整的理论体系。

在个人信息侵权损害赔偿案件中，证据偏在困境导致当事人举证能力的失衡，受害方对过错要件面临举证上的困难。一般来说，认为权利受到侵害的原告在提起诉讼时须向法院提交相关证据材料，特殊原因下可申请法院调查收集证据。对于审理案件需要的证据，法院也可基于职权主动进行证据的收集，但上述两种情形并非诉讼中的常态。除非侵权人身份特殊，证据偏在困境通常情况下不属于《民诉法司法解释》第94条规定的情形，因此原告难以成功申请法院调查取证。证据偏在困境也不属于《民诉法司法解释》第96条规定的涉及国家和社会公共利益、身份关系、公益诉讼、他人合法权利及程序性事项等情形，故难以由法院主动依职权调查取证。过错主观归责原则之下，现有的证据收集方法如律师调查令、文书提出命令等制度不足以抵消证据偏在产生的困境。因此，个人信息侵权损害赔偿案件中面临的证据偏在困境及其救济渠道不畅，导致原告在过错要件的证明上面临困难，并因此承担了较重的证明负担。

2.过错要件事实识别的困境

大陆法系国家从规范出发把握诉讼，围绕原告主张的权利是否存在及其保护进行诉讼。(17)参见〔日〕中村宗雄、中村英郎：《诉讼法学方法论——中村民事诉讼理论精要》，陈刚、段文波译，中国法制出版社2009年版，第234页。规范出发型诉讼的审判逻辑遵循三段论的形式。法律构成要件为大前提，具体的案件事实为小前提，法官以此进行逻辑推理。法条编纂者从大量的自然事实抽出共同点作为法律要件，同时赋予要件充沛时相应的法律效果。案件事实通过法律构成要件筛选的事实为要件事实，也称主要事实。(18)参见段文波：《规范出发型民事判决构造论》，法律出版社2012年版，第64页。我国属于规范出发型诉讼构造，根据相关法律的规定，对于个人信息侵权损害赔偿中的过错要件，原告需要提供相关的要件事实证据予以证明。

对于过错这一法律构成要件的识别面临诉讼法上的争议和困境。根据实体法规定要件中所含评价程度的高低，记载事实的法律要件成为事实性要件，记载评价的要件成为评价性要件，侵权行为中的过错要件被认为是评价性要件。(19)参见许可：《民事审判方法——要件事实引论》，法律出版社2009年版，第25-26页。对于评价性要件事实的识别有间接事实说、主要事实说等观点。间接事实说将过错本身看成主要事实，作为裁判对象的具体事实仅为间接事实。该说认为当事人在诉讼中只要主张对方有过错即可，对于具体的事实法院可不经当事人主张直接将其作为裁判的依据。主要事实说认为过错评价并不能作为主要事实，而应当将评价根据的具体事实作为主要事实，当事人以此展开攻击防御。

在个人信息侵权损害赔偿案件中，对于过错要件事实的识别无论是采纳间接事实说还是主要事实说，均存在理论和实践上的缺陷。学术界通说认为辩论主义仅限于主要事实，间接事实不受辩论主义的约束，若采间接事实说，作为裁判对象的是否具有过错的事实仅是间接事实，此时难以特定当事人攻击防御的对象，法院不受当事人辩论的约束，还有可能出现当事人主张A事实法院认定B事实的突袭裁判的出现。若采主要事实说，虽然能够明确当事人攻击防御的对象，但作为评价根据的具体事实必须全部都在辩论中出现，当事人没有主张的事实，不论其对于法官做出最终评价如何有益，都不能作为判断评价的根据。在个人信息侵权案件中，无论是原告还是被告承担过错要件的证明责任，将其未主张的事实排除在法官最终评价之外有违实体公正。

(三)过错归责原则之下降低证明标准救济方式的乏力

证据偏在使受害人难以知晓具体的过错事由，由此产生的证明困难导致了学界对降低证明标准的讨论。证明标准是指法院在诉讼中认定案件事实所要达到的证明程度。(20)参见前引〔12〕,张卫平书，第241页。证明标准的降低并不改变实体法的证明责任分配，而是对于特定的案件为了克服规范说有可能导致的实质不公而采取的补救措施。降低证明标准的手段多样，如表见证明、大致推定及事实说明本身原则等。

在个人信息侵权损害赔偿过错要件的证明中，降低证明标准的方法有助于维护现有证明责任框架和辩论主义体系，又兼顾到了特定情形中出现的证明困境。在前文案例三中，二审法院认为本案中的信息泄露是由两被告公司疏于防范导致，实际上采用了事实推定的方式对过错要件进行认定，降低了原告对于过错要件的证明标准。但是此种做法仅是将举证责任转换至被告，被告可通过举证进行有效的抗辩，动摇法官对于被告存在过错的临时心证。因此，即便在个人信息侵权损害赔偿过错要件的证明上降低原告的证明标准，在一定程度上弥补原告方证据不足的缺陷，缩短证明的推理过程，但仍不能解决证据短缺问题给原告带来的证明困境。原告依旧要承担过错要件证明不能的潜在风险，对于原告的主张，掌握大量信息的被告可以进行各种抗辩。故过错归责原则难以有效保障受害人的合法权益。

可见，《民法典》虽然承认了个人信息权的独立地位，但其侵权责任编沿用了《侵权责任法》的态度，并未对个人信息侵权行为作出特别的规定，诉讼中原告依旧面临个人信息侵权损害赔偿主观归责原则证明上的困境。或许因为此种原因，《个人信息保护法》对个人信息侵权损害赔偿的主观归责原则进行了特殊规定。

三、《个人信息保护法》中个人信息侵权损害赔偿过错推定原则之解读

(一)《个人信息保护法》中过错推定原则的逻辑

对个人信息侵权损害赔偿归责原则的讨论中，学术界存在一元论、二元论和三元论三种不同的观点。《个人信息保护法》中的过错推定原则应归入一元论的范畴，同时也借鉴了二元论和三元论的优点。在《个人信息保护法》出台之前，一元论包含过错归责原则一元论和无过错归责原则一元论。在个人信息侵权归责原则讨论的初期，过错归责原则一元论在理论上处于通说地位。过错归责原则一元论认为，只有当侵权行为人存在主观上的故意或过失时，才承担个人信息侵权责任。(21)参见杨立新：《侵害公民个人电子信息的侵权行为及其责任》，载《法律科学(西北政法大学学报)》2013年第3期。也有观点认为应将个人信息侵权责任分为赔偿损失责任和非赔偿损失责任两种类型，后者又进一步分为事后的行为补偿责任和事前事中的行为防控类责任。对于赔偿损失类责任适用过错责任原则，对于事后的行为补偿责任适用过错推定原则，对于事前事中的行为防控类责任适用无过错责任原则。(22)参见刁胜先：《个人信息网络侵权责任形式的分类与构成要件》，载《重庆邮电大学学报(社会科学版)》2014年第2期。此种观点应归入个人信息侵权损害赔偿一元论的范畴。虽然该观点对个人信息侵权责任分三种情况进行讨论，但对于损害赔偿问题坚持适用单一的过错责任原则。除此之外，有观点认为“未来立法上对侵害个人信息的民事责任应适用无过错责任”，即对个人信息侵权责任应统一适用无过错归责原则，不因数据处理者的不同作区别对待，但在适用范围和免责事由上可作宽松规定。(23)参见程啸：《论侵害个人信息的民事责任》，载《暨南学报(哲学社会科学版)》2020年第2期。

个人信息侵权损害赔偿责任归责原则二元论分为无过错责任原则和过错推定责任原则两个层面。有观点认为应当以侵权主体为基础来设定不同的归责原则：对于公务机关违反规定导致个人信息遭到不法收集、处理、利用或其他侵害当事人权利的，采无过错责任原则，其他主体造成上述损害的采过错推定原则。(24)参见齐爱民：《个人信息保护法研究》，载《河北法学》2008年第4期。二元论的立论依据在于基于某种特定的分类标准，对个人信息侵权损害赔偿主观归责原则进行区别对待，此种逻辑思维在《德国联邦数据保护法》及我国台湾地区“个人资料保护法”中得到了充分的体现。

个人信息侵权损害赔偿归责原则三元论分为过错责任原则、过错推定责任原则和无过错责任原则三个层面。有观点认为应根据是否采用数据自动处理技术的不同，确立三元归责体系。政府部门在资金技术和诉讼能力上具有绝对优势，因此公务机关以数据自动处理技术实施的信息侵权，应适用无过错责任。非公务机关相对公务机关各方面能力有限，但考虑到大数据技术的复杂性，采用自动化处理系统的非公务机关，其信息侵权应适用过错推定责任。未采用自动数据处理系统的数据处理者，其信息侵权应适用过错责任。(25)参见叶名怡：《个人信息的侵权法保护》，载《法学研究》2018年第4期。三元论基于数据处理者采用技术手段的不同，对其行为导致的侵权责任适用不同的归责原则。此时不作损害赔偿和非损害赔偿的区分，只作主体和处理手段的区分。

从以上对各种学术观点的梳理中得出，一元论、二元论和三元论除在主观归责原则的总体分类形态上不同，其学说内部在具体的分类标准上也存在差异。一元论的逻辑干脆利落，对于个人信息侵权损害赔偿归责问题采取整齐划一的处理。二元论和三元论考虑到了信息网络主体、权利人及归责事由等问题的复杂性，在充分进行利益衡量的基础上，设定其认为合理的标准对个人信息侵权损害赔偿归责原则进行类型化处理。《个人信息保护法》吸收了一元论整齐划一的优点，同时考虑到受害人证明过错要件的困境，吸收了二元论和三元论中的过错推定原则，对个人信息侵权行为损害赔偿主观归责原则作出了单一的规定。

(二)《个人信息保护法》与《民法典》的适用关系

和《民法典》对于个人信息侵权损害赔偿过错归责原则的层层逻辑推演不同，《个人信息保护法》在第69条中明确规定了个人信息处理者对其造成的损害赔偿采过错推定原则。此时《个人信息保护法》的具体规定与《民法典》的一般理念产生了冲突。《民法典》由全国人民代表大会审议通过，《个人信息保护法》由全国人民代表大会常务委员会审议通过，两部法律均根据《宪法》制定，虽然《民法典》是基本法，《个人信息保护法》是一般法，但因为两者均为法律，故笔者认为《民法典》和《个人信息保护法》的效力应在同一位阶，两者不是上下位法的关系。《民法典》于2021年1月1日施行，《个人信息保护法》于2021年11月1日施行，从生效时间上看《民法典》为旧法，《个人信息保护法》为新法。《民法典》调整所有的平等主体之间发生的民事财产和人身法律关系，《个人信息保护法》仅调整个人信息处理过程中产生的权利义务关系，按照法律适用范围的不同，《民法典》为普通法，《个人信息保护法》为特别法。

对于个人信息侵权损害赔偿请求权的主观归责原则，根据新法优于旧法的原则，以及特别法优于普通法的原则，应当适用《个人信息保护法》中的过错推定原则。此种过错推定源于立法上的直接规定，因此属于法律推定的范畴。

(三)过错推定原则之下倒置证明责任救济方式的乏力

和过错责任相比，过错推定原则改变了原有的证明责任分配，实现了证明责任的倒置。客观证明责任的实质是在要件事实处于真伪不明状态时由哪方当事人承担由此引起的法律后果。在过错的认定过程中，若法官认定被告有过错或无过错均不适用证明责任规则，证明责任规则作为最后的救济手段，只有在自由心证用尽时才登场。(26)参见占善刚：《民事证据法研究》，武汉大学出版社2009年版，第147页。因证明责任分配倒置，被告应承担不存在过错的具体举证责任，若未能使法官形成不存在过错或过错真伪不明的心证，则应承担由此产生的不利后果。但在过错推定原则之下，作为原告的受害人依旧承担过错的主张责任，并提供初步证据支持其主张。被告仍可通过提供证据证明其尽到了合理的注意和提示义务对原告的主张进行抗辩。

从前文案例四中可以看出，法院最终判决被告承担责任，是因为根据过错推定原则的要求，被告无法证明自己不存在过错，既没有举证证明信息系第三方泄露，也未对其采取了确保消费者信息安全的技术措施和其他必要措施的事实进行举证。反向推之，若被告能够举证其采取了信息安全的技术措施和其他必要措施，则有可能导致另一种案件裁判结果。在证据偏在的状态下，被告有多种方式证明采取了信息安全的技术措施和其他必要措施，且法官的相关判断也缺乏统一的标准。法官根据诚实信用和公平原则改变证明责任的方法因2001年《最高人民法院关于民事诉讼证据的若干规定》的修改失去了立法根基。《个人信息保护法》虽然对过错推定原则予以肯定，但也无法从根本上扭转对受害人利益保护不周的现况。

四、个人信息侵权损害赔偿无过错归责原则论

(一)采无过错归责原则的实益

第一，采无过错归责原则并未突破现有的法律框架。我国《民法典》侵权责任编继受《侵权责任法》的规定，对于产品责任、高度危险作业致人损害等特定的侵权行为采无过错归责原则。对个人信息侵权损害赔偿采无过错责任原则并未对现有法律框架构成冲击，只是增加了采无过错归责原则的侵权行为类型。此外，通过对《德国联邦数据保护法》第7条的解读，可看出德国对于国家机关违反个人资料保护规定，在未经许可或不正确的处理对个人造成损害时，采无过错责任原则。(27)参见肖少启、韩登池：《论我国个人信息法律保护的制度构建》，载《中南大学学报(社会科学版)》2013年第4期。我国台湾地区“个人资料保护法”第28条规定，对于公务机关违反规定导致个人信息遭到不法收集、处理、利用或其他侵害当事人权利的，采无过错责任原则。(28)参见个人信息保护课题组：《个人信息保护国际比较研究》，中国金融出版社2017年版，第403页。对个人信息侵权损害赔偿采用无过错归责原则也有比较法上的例证和借鉴。

第二，采无过错归责原则更有利于个人信息权的有效保护，消除过错要件的证明困境。非法窃取和使用个人信息案件引起社会广泛关注并未导致违法行为的减少，情况反而愈演愈烈，这很大程度上源于司法救济不力。举证困难降低了受害者成功维权的可能性，将个人信息侵权案件定位于一般侵权行为采取过错责任原则难以形成有效的威慑。在立法中明确个人信息侵权损害赔偿采无过错归责原则，有利于消除受害方在过错要件证明上的困境，增加其通过诉讼维护合法权益的可能性，更好地保护公民个人信息权不受侵害。

第三，采无过错归责原则才能更好地维持当事人之间的利益平衡。在公害案件中，之所以由过错推定原则转变为无过错归责原则，原因在于立法更加关注的是对受害人的赔偿，而不是强调归责的主观性。(29)参见魏振瀛：《民法》，北京大学出版社、高等教育出版社2017年版，第669页。无过错归责原则的基本思想不是对不法行为的制裁，而是对“不幸损害”的合理分配，更多的是立法上的价值衡量。(30)参见王泽鉴：《侵权行为》，北京大学出版社2016年版，第15页。笔者认为在个人信息侵权案件中，对于泄露个人信息的行为的道德性应不作评价，而应强调分配正义的实现，采无过错归责原则可以更好地保护弱者，平衡当事人之间的利益。

第四，采无过错归责原则符合成本收益原则。对信息技术的支持和由此产生的对侵权行为的纵容固然可以促进信息技术的发展，但个人信息的特殊之处在于能通过此信息识别个人身份。一旦个人信息泄露并被不当利用，可能会对记录中确定的个人造成财务、声誉、感情甚至是生命上的伤害。在个人信息与信用和金钱存储联系日益密切的发展态势下，个人信息的泄露会导致更大的安全隐患。(31)参见齐爱民：《大数据时代个人信息保护法国际比较研究》，法律出版社2015年版，第11页。进而会造成更大的社会冲突和经济损失，产生更大的治理成本。因此，对个人信息侵权损害赔偿采无过错归责原则符合成本收益原则的要求。

第五，采无过错归责原则符合社会公益的要求。个人信息侵权案件具有多发性，往往伴随着众多公民信息被集体泄露的情形，因而私益之外也具有很强的公益性。网络和数据产业的发展导致一旦出现个人信息侵权行为，受害主体一般众多，由此可能引发群体性的诉讼。与饲养动物致人损害和高度危险作业等特殊侵权行为相比，个人信息侵权案件处置不当会产生更大的社会不良效应，立法与司法对个人信息侵权行为的态度关系到社会的稳定。因此，对个人信息侵权损害赔偿采无过错归责原则，不仅有助于对受害人进行有效的救济，而且是维护社会公益的应有之意。

(二)“三要件”的逻辑体系

首先，本文认为个人信息侵权行为属特殊侵权行为。个人信息侵权损害赔偿请求权三要件主张的提出在于对过错要件证明上的批判，在更为抽象的层面认为个人信息侵权行为应属特殊侵权行为。(32)无论是按照构成要件说还是主观归责原则说，将过错要件从个人信息侵权损害赔偿请求权构成要件中剔除后，均应将个人信息侵权行为视为特殊侵权行为。其次，无论个人信息侵权者是国家机关还是非国家机关或个人，均应采无过错归责原则，对于被侵权人应给予同等的保护。笔者也不赞同根据是否采用数据自动处理技术作为多元归责体系分类的依据。政府机关虽然掌控着数据自动处理技术，但受到多重法律和内部规章的制约。相比行政机关，以追求利益最大化为目标的公司更有可能泄露他人的个人信息，造成更大的危害。(33)《个人信息保护法》对于主观归责原则的规定也采取了单一的归责体系，并未因个人信息处理主体的不同区别规定不同的主观归责原则。笔者认为后续立法应对此做出修改，明确个人信息侵权损害赔偿应采用无过错归责原则，同时明确可免除被告责任的法定免责事由。

(三)“三要件”下庭审程序的推进

我国2012年《民事诉讼法》第133条第一次在审前程序中对争点整理程序进行了明确，随后《民诉法司法解释》第226条对如何明确争点和是否需要征求当事人同意进行了规定。争点整理过程中的基本元素是基础规范的构成要件，(34)参见邹碧华：《要件审判九步法》，法律出版社2010年版，第124页。个人信息侵权案件的审前争点整理程序应围绕侵权行为、损害后果和因果关系三个要件展开，法官就通过诉讼请求、答辩意见和证据交换情况归纳的争点征求当事人的意见。在形成争点的过程中法官与当事人共同明确案情，争点也不断得到缩减。但原被告双方整理的争点不具有绝对的效力，当事人对此可以在庭审过程中进行修正。

在庭审过程中当事人的攻击与防御围绕要件事实展开。原告方基于辩论主义承担主张责任，只有经过其主张的主要事实才能作为法官裁判的依据。对于原告提出的主张，被告进行否认或者抗辩，通过“请求原因—抗辩—再抗辩”导致举证责任在原被告之间不断转换。根据《民诉法司法解释》第91条第1款的规定，对于侵权行为和损害后果两个法律构成要件，由原告予以证明。这里需要证明的侵权行为既可以是作为，也可以是不作为。个人信息侵权导致的损害不仅包括精神损害，还可以是其他损害；不仅是无形损害，还可以是期待利益的损害。(35)参见万发文、胡贤君：《大数据时代个人信息的司法保护》，载《上海法治报》2018年6月13日，第B05版。由于存在证据偏在，应适当减轻原告的证明责任，被告对于其不负证明责任的事项有事案阐明义务，原告对于因客观原因无法收集的证据，可申请法院进行调取。

对于因果关系要件，应采证明责任倒置。即由被告证明其行为与损害之间无因果关系。对个人信息侵权损害赔偿请求权中因果关系要件的证明，存在权利人(原告)证明和侵权人(被告)证明两种路径。正如前文所述，在个人信息侵权损害赔偿案件中存在证据偏在现象，对于因果关系的证明同样给原告带来了困境。若由原告承担该证明责任不仅与其证明能力不匹配，而且容易纵容信息泄露的违法行为。(36)参见刘海安：《个人信息泄露因果关系的证明责任——评庞某某与东航、趣拿公司人格权纠纷案》，载《交大法学》2019年第1期。但因果关系要件无法像过错要件一样从法律构成要件中剔除，因为难以使某一主体对与其行为没有联系的损害承担赔偿责任。因此，从举证能力与对个人信息侵权行为的有效规制上考虑，由被告承担证明责任更为有益。当然，此时原告应该提供被告侵权行为与其损害后果之间具有因果关系的初步证据，并且在证明的顺序上，被告在原告证明了侵权行为和损害两个要件之后，才有必要证明其行为与原告损害之间不存在因果关系。结合《民诉法司法解释》第108条和109条的规定，被告的证明应达到具有高度可能性的程度。

在个人信息侵权案件的审理过程中，法官指挥当事人进行举证和质证，对当事人自认的事实予以确认。法官基于自由心证对证据的证据能力和证明力进行综合评价，并基于证明责任的分配原理，认定由原告承担侵权行为和损害后果要件的证明责任，由被告承担因果关系要件证明不能的不利后果。法官释明权的行使应紧紧围绕个人信息侵权损害赔偿请求权的三个要件展开。对于涉及要件事实的证据，法院应在当事人举证不充分的情况下进行释明，督促当事人穷尽证明方法。由于个人信息侵权案件的特殊性，法院可在运用动态系统论对责任成立的要件及其各因素之间的互动进行综合考量的基础上，做出合理的裁判。(37)参见王利明：《民法典人格权编中动态系统论的采纳与运用》，载《法学家》2020年第4期。

五、结 语

每一项成熟制度的背后均有其漫长的演进过程，正如过错推定和无过错责任原则伴随着工业侵权案件增多和对弱势群体的特殊保护而逐渐确立一样。信息化时代，个人信息侵权损害赔偿从过错责任原则到过错推定再到无过错责任原则的论证与探索有一个不断认识和发展的过程。不论将来的立法对个人信息侵权损害赔偿案件的具体裁判规则作出何种细化，不可忽视的是在信息技术向各行各业强势渗透的过程中，应在实体法层面确立无过错归责原则，对受害者进行特殊的保护以防止可能产生的信息危机。