侵權(quán)責任視角下的個人信息安全保障義務(wù)探究

高爭志

摘要：因個人信息泄漏導(dǎo)致信息主體的財產(chǎn)權(quán)或人身權(quán)遭受第三人侵害的案例屢見不鮮。個人信息安全保障義務(wù)是理順當事人之間權(quán)責關(guān)系的關(guān)鍵。個人信息安全保障義務(wù)是一種結(jié)果義務(wù)，其責任主體應(yīng)當限定在經(jīng)營領(lǐng)域的個人信息控制者。應(yīng)當區(qū)分對個人信息本身財產(chǎn)價值的保護和以“預(yù)防故意侵權(quán)”為目的的個人信息保護，后者是民法上個人信息安全保障義務(wù)的保護內(nèi)容。建立違反個人信息安全保障義務(wù)的侵權(quán)責任制度，應(yīng)確立以下規(guī)則：相關(guān)損害賠償范圍應(yīng)限定在第三人即直接侵權(quán)人非法獲取個人信息。進而對信息主體造成的財產(chǎn)權(quán)或人身權(quán)損害;應(yīng)當適用無過錯責任;直接侵權(quán)人的介入不構(gòu)成個人信息保障義務(wù)人與損害之間因果關(guān)系的阻斷;在個人信息安全保障義務(wù)人與直接侵權(quán)人之間的損害賠償分擔上，應(yīng)當適用“補充責任”分擔形態(tài)。

關(guān)鍵詞：個人信息;安全保障義務(wù);第三人侵權(quán);侵權(quán)責任構(gòu)成

中圖分類號：D923;G203 文獻標識碼：A 文章編號：1673-8268（2020）01-0037-10

我國《民法總則》第111條包括三層含義：一是申明了自然人的個人信息受法律保護;二是明確了獲取他人個人信息的方式和要求，即要依法取得并確保信息安全;三是列舉了針對個人信息的禁止行為，即不得非法收集、使用、加工、傳輸、買賣、提供或者公開他人個人信息。該條規(guī)定“結(jié)束了個人信息保護規(guī)定散落于公法或司法解釋中零碎條文的現(xiàn)狀，成為個人信息民事保護領(lǐng)域的基本規(guī)范依據(jù)”。但從“應(yīng)當依法”“不得非法”的表述看，該規(guī)定在立法技術(shù)上屬于轉(zhuǎn)介性條款，即概括保留了從其他法律乃至社會道德行為標準中引入裁判因素的條款。這種立法技術(shù)便于溝通私法與公法、成文法與善良風俗，有利于保障法律與社會發(fā)展的同步，克服成文法的僵化和封閉，但是同時也使得該規(guī)定無法獨立成為當事人請求權(quán)利救濟的規(guī)范基礎(chǔ)。為準確把握該規(guī)定的內(nèi)涵和適用，需要結(jié)合其他制度規(guī)范以及政策導(dǎo)向，對其進行體系性解讀。與此同時，當前司法實踐中因個人信息控制者泄漏個人信息導(dǎo)致個人信息主體的財產(chǎn)權(quán)或人身權(quán)遭受第三人侵害的案例屢見不鮮。為此，準確理解個人信息安全保障義務(wù)的內(nèi)涵，準確把握未恰當履行個人信息安全保障義務(wù)的侵權(quán)責任構(gòu)成，對個人信息保護的理論完善和司法實踐具有重要意義。

一、個人信息安全保障義務(wù)的價值

自人類能自由交流時起，個人信息便成為一個客觀的事實存在，但在法學領(lǐng)域?qū)€人信息予以關(guān)注是相當晚近的事情。個人信息最早是包含在隱私權(quán)范疇之內(nèi)的。通常認為，隱私權(quán)益的起源肇始于1890年美國學者沃倫與布蘭代斯所著的《隱私權(quán)》一書，并逐漸被美國司法實踐認同。1967年，美國學者阿蘭·威斯丁在其所著的《隱私與自由》中提出，隱私權(quán)應(yīng)當定義為“個人、群體或機構(gòu)對自身信息在何時、以何種方式以及何種程度與他人溝通的主張”。這一論述被認為推動實現(xiàn)了美國法上隱私權(quán)益保護的重大轉(zhuǎn)折，即從隱私權(quán)保護轉(zhuǎn)向個人信息權(quán)保護。在20世紀七八十年代，德國和歐盟一些國家也才開始出現(xiàn)個人信息權(quán)、個人信息自決權(quán)等概念。在我國，直到2003年頒布的《居民身份證法》，才在立法上首次出現(xiàn)個人信息概念。2014年，《最高人民法院關(guān)于審理利用信息網(wǎng)絡(luò)侵害人身權(quán)益民事糾紛案件適用法律若干問題的規(guī)定》首次在司法解釋中明確了個人信息權(quán)益的侵權(quán)法保護。不難看出，法律對個人信息的關(guān)注，與計算機和現(xiàn)代科學技術(shù)的興起是同步的。

隨著信息采集、存儲、檢索、分析等技術(shù)的迭代發(fā)展，傳統(tǒng)的信息流通方式被極大改變，而新的信息流通方式卻未必是公平合理的?！叭祟惿钚畔⒒薄皞€人信息商品化”“個人信息公用化”，帶來相關(guān)領(lǐng)域侵權(quán)手段的高科技化、侵權(quán)可能性增加、侵權(quán)后果更為嚴重、侵權(quán)救濟更為困難，甚至對倫理道德帶來沖擊。個人信息乃至個人自由均受到前所未有的威脅。這是個人信息保護或隱私保護話題成為當前社會熱點的重要原因。面對上述關(guān)系的公平性失衡，民法需要解決的問題是，如何兼顧個人權(quán)益保護與民事主體行為自由之間的平衡，并推動保障數(shù)字經(jīng)濟發(fā)展。為此，將個人信息“權(quán)利化”，設(shè)想一種對抗不特定第三人的個人信息自決權(quán)或財產(chǎn)權(quán)，成為一種常見的研究進路。但是，個人信息“權(quán)利化”進路在回答上述問題時遇到了困境，具體表現(xiàn)在以下兩方面。

一是借用人格權(quán)、財產(chǎn)權(quán)理論解決個人信息保護問題存在理論欠缺，而且不利于數(shù)字經(jīng)濟發(fā)展。無論是采用人格權(quán)保護理論還是采用財產(chǎn)權(quán)保護理論，均是采用將個人信息納入民事權(quán)利框架的方式，強調(diào)個人對其信息的全面的、絕對的支配，用以實現(xiàn)“人的尊嚴”“個人自決”等基本權(quán)利。這種“個人控制”的理論進路存在以下問題：首先，個人信息是個人進入社會和社會了解個人的必要手段，賦予個人對個人信息的絕對控制，必然導(dǎo)致忽視其他民事主體的“表達自由”“知情”等權(quán)益，也不符合信息所具有的“識別性”“流通性”等公共性、社會性特征;其次，該思路在個人信息保護定位上混淆了“工具”與“目的”的關(guān)系，個人信息保護具有工具性，其目的是保護個人基本權(quán)利不因個人信息的使用而受侵犯，而不是讓個人控制其個人信息;最后，“個人控制”理論還會限制個人信息的有效流通，將每個人都變成一座信息孤島，在當前信息社會下必然會提升社會交易成本，阻礙社會經(jīng)濟發(fā)展。

二是基于信息流通方式的改變，當前個人人身權(quán)益、財產(chǎn)權(quán)益所面臨的威脅具有復(fù)雜性、系統(tǒng)性，個人在管理個人信息時，往往面臨卡夫卡式的困境，很難對伴隨而來的相關(guān)風險進行分析和判斷。在這種背景下，即使賦予個人管理個人信息的全面、絕對支配權(quán)，仍然不具有操作性。以我國《關(guān)于加強網(wǎng)絡(luò)信息保護的決定》第2條所明確的“收集個人信息應(yīng)當取得被收集人同意”為例，在制度執(zhí)行層面，同意原則所承擔的責任已經(jīng)超越了其所能，它并沒給人們提供控制自己數(shù)據(jù)的有實際意義的方式。一方面，適用同意原則特別是權(quán)利人做出同意或不同意選擇的時間成本（閱讀文本的時間）和知識成本（正確理解文本內(nèi)容的知識儲備）太高。另一方面，即使權(quán)利人付出了時間成本，權(quán)利人做出同意選擇的有效性仍然值得懷疑：個人對同意后果的認知能力是有限的，各類同意場景下“理性人假設(shè)失靈”現(xiàn)象普遍存在;權(quán)利人面對“不同意”就不能獲得“免費服務(wù)”的即時“懲罰”，往往會忽視個人信息濫用的潛在風險，形成“現(xiàn)實偏見”，進而“知情同意”往往就被虛化為無意識的“點擊”與“滑動”操作了。

基于上述原因，《民法總則》第111條針對個人信息僅僅規(guī)定“自然人的個人信息受法律保護”，并未將此明確定義為一種可以對抗不特定第三人的個人信息自決權(quán)或財產(chǎn)權(quán)。學者評價《民法總則》的上述規(guī)定是具有智慧的。換言之，鑒于個人信息保護的“權(quán)利化”進路遇到窘境，《民法總則》第111條未正面規(guī)定如何保護個人信息，因此，將個人信息定位為一種民事權(quán)益，并給予侵權(quán)法上的保護，成為一種更為可行的個人信息民法保護進路。這兩種保護思路的關(guān)鍵區(qū)別在于，“權(quán)利化”進路賦予個人信息主體對個人信息的控制權(quán)，可以事前保護，而“權(quán)益化”進路允許個人信息的先獲取再賠償，即只能事后追償。當然，這種不強調(diào)個人信息的事前控制，卻重視個人信息的事后保障的“權(quán)益化”保護思路，雖然能夠最大限度地促進個人信息的流通，符合信息經(jīng)濟發(fā)展的大趨勢，但同時也可能會給個人信息主體帶來潛在的權(quán)利被侵害的危險。這種潛在危險能否得到有效控制，進而實現(xiàn)“促進個人信息合理流動”“防范個人信息主體免于利益受到侵犯”的雙重價值目標，與個人信息安全保障義務(wù)制度是否被合理設(shè)計息息相關(guān)。這也是提出個人信息安全保障義務(wù)的現(xiàn)實意義和價值所在。

二、個人信息安全保障義務(wù)的內(nèi)涵

立足我國的制度實踐，個人信息安全保障義務(wù)應(yīng)當從現(xiàn)行法律的實然層面和基于利益判斷的應(yīng)然層面，分別分析該義務(wù)的屬性、主體和對象。

（一）作為結(jié)果義務(wù)的個人信息安全保障義務(wù)

我國《民法總則》《消費者權(quán)益保護法》《網(wǎng)絡(luò)安全法》《電子商務(wù)法》等均提及個人信息安全保障義務(wù)，梳理如下（見表1）。

正確理解上述條文表述中的“確保信息安全”，首先需要界分個人信息安全保障義務(wù)屬于手段義務(wù)還是結(jié)果義務(wù)。手段義務(wù)和結(jié)果義務(wù)的區(qū)分緣起于法國債法，后亦擴展應(yīng)用于侵權(quán)法。手段義務(wù)是指義務(wù)人并無義務(wù)實現(xiàn)某種特定而精確的結(jié)果，而僅僅負有采取適當手段的勤勉義務(wù)。就個人信息安全保障義務(wù)而言，如其性質(zhì)上屬于手段義務(wù)，義務(wù)人只要采取了技術(shù)措施和其他必要措施，就盡到了安全保障義務(wù)，不再因發(fā)生的信息安全事件對權(quán)利人造成損失承擔責任。結(jié)果義務(wù)是指義務(wù)人負有某種實現(xiàn)確定結(jié)果的義務(wù)。就個人信息安全保障義務(wù)而言，如其性質(zhì)上屬于結(jié)果義務(wù)，只要發(fā)生了危害個人信息安全的事件，造成權(quán)利人損害，義務(wù)人即需要承擔責任。手段義務(wù)和結(jié)果義務(wù)區(qū)分的重要標準之一是：在受害人能夠發(fā)揮積極作用的場合，即當他擁有一定的操作自由，他的積極參與構(gòu)成整個活動的背景時，不可能承認存在一個結(jié)果安全義務(wù)，此時的安全保障義務(wù)為手段義務(wù)。只有當權(quán)利人存在一項正當信賴，相信自身不會遭受到任何特別的危險時，才存在一項結(jié)果安全義務(wù)。

從上述法律及相關(guān)理論的梳理中不難看出.我國法律對個人信息安全保障義務(wù)的規(guī)定非常原則.難以從法律條文的文義上對該義務(wù)屬于手段義務(wù)還是結(jié)果義務(wù)做出直接判斷。從應(yīng)然角度看，對個人信息安全保障義務(wù)屬于手段義務(wù)還是結(jié)果義務(wù)的判斷，仍屬于權(quán)益平衡問題，即法律衡平時是偏向受害人的利益保護（風險分擔）還是安全保障義務(wù)人的行為自由。如果說數(shù)據(jù)的有效流通是當前信息社會得以有效運作和發(fā)展的前提，那么個人信息主體與個人信息收集控制者之間的信任關(guān)系的建立，就成為數(shù)據(jù)有效流通的基礎(chǔ)。若不能對個人信息收集、控制者施以嚴格的安全保障義務(wù)，信任關(guān)系則難以在個人信息主體與個人信息收集控制者之間建立，進而阻礙數(shù)據(jù)主體產(chǎn)生、提供數(shù)據(jù)的積極性。為了促進數(shù)據(jù)自由流通能夠形成良性循環(huán)，切實挖掘數(shù)據(jù)價值，提升數(shù)據(jù)主體對個人信息安全的信心，對數(shù)據(jù)控制者施以嚴格的安全保障義務(wù)是恰當和必要的?；诖?，在我國民事法律制度中，將個人信息安全保障義務(wù)作為結(jié)果義務(wù)予以定位，應(yīng)屬妥當。但這并不意味著，法律不要求個人信息控制者采取具體明確的技術(shù)措施和其他必要措施保障個人信息安全。只是這些要求，應(yīng)當納入行政法的規(guī)制范疇，怠于履行的應(yīng)當承擔行政責任。將個人信息安全保障義務(wù)定位為結(jié)果義務(wù)的意義在于，個人信息控制者落實了行政法上的安全措施，仍然發(fā)生個人信息安全事件造成個人信息主體人身權(quán)、財產(chǎn)權(quán)損失的，個人信息控制者仍然負有民法上的怠于履行個人信息安全保障義務(wù)的賠償責任。行政法上安全措施的落實，只是個人信息安全保障的最低要求，不能成為免于民事責任的抗辯理由。

（二）作為特別主體的個人信息安全保障義務(wù)

《民法總則》與涉及個人信息保護的專門法律所明確的個人信息安全保障義務(wù)主體并不相同，相關(guān)專門法律將個人信息安全保障義務(wù)主體限定在“經(jīng)營者”或“企事業(yè)單位”，而《民法總則》并未強調(diào)個人與組織之間的區(qū)分，任何組織和個人均可能成為個人信息安全保障的責任主體（見表2）。

但是從社會背景、利益衡平、國外經(jīng)驗等視角分析，個人信息安全保障義務(wù)的確定，應(yīng)當區(qū)分經(jīng)營領(lǐng)域的個人數(shù)據(jù)收集處理者和日常生活中的一般個體。

一是從個人信息權(quán)益發(fā)展的社會背景看，個人信息權(quán)益保護問題的凸顯，主要集中在網(wǎng)絡(luò)、服務(wù)等具有大規(guī)模收集個人信息能力的經(jīng)營領(lǐng)域。生活領(lǐng)域與經(jīng)營領(lǐng)域的個人信息安全保障義務(wù)策略應(yīng)與相應(yīng)場景相適應(yīng)，不宜一刀切。個人信息在自然人之間的流通，完全可以納入傳統(tǒng)隱私權(quán)、人格權(quán)保護框架。例如，個人信息中所包含的私密信息，是隱私權(quán)保護的重要內(nèi)容。任何未經(jīng)權(quán)利人同意就披露或使用其私密性個人信息的行為即構(gòu)成隱私侵權(quán)。而對于私密信息之外的個人信息，不宜在自然人之間流通時再科以額外的安全保障義務(wù)，這是信息作為社會交往的“識別性”媒介的必然要求。

二是從個人信息權(quán)利義務(wù)主體之間的關(guān)系平衡看，賦予信息收集、處理者嚴格的個人信息安全保障義務(wù)，主要是基于其在安全保障能力上相對于信息主體具有絕對優(yōu)勢，由其履行相關(guān)義務(wù)，更具操作性，更能節(jié)約社會整體成本，也符合權(quán)利義務(wù)相一致原則。比如，經(jīng)營者從個人信息中直接或間接獲取利益理應(yīng)承擔相應(yīng)社會責任;經(jīng)營者在安全保障方面具有更加強大的力量，更容易獲得相關(guān)方面的專業(yè)知識和能力;強化安全保障義務(wù)有利于建立經(jīng)營者與信息主體之間的信任關(guān)系，推動數(shù)據(jù)良性流轉(zhuǎn)等。

三是從國外立法例來看，美國個人信息安全保障義務(wù)所規(guī)制的對象是政府、學校、醫(yī)院等大型機構(gòu)及企業(yè)的大規(guī)模個人信息收集行為。對于普通民事主體收集與處理個人信息的行為相關(guān)立法并不適用。德國相關(guān)法律針對的對象同美國保持了高度一致，其針對的亦是個人信息的收集者或處理者，而不是日常生活中的一般個體。

綜上，傳統(tǒng)的隱私權(quán)、人格權(quán)等權(quán)利框架，可以為自然人之間的個人信息流轉(zhuǎn)提供規(guī)則，無需強調(diào)一般自然人對其獲取的個人信息具有特別的安全保障義務(wù)。而對經(jīng)營領(lǐng)域的個人信息收集、處理者，基于利益平衡的理由，賦予嚴格的個人信息安全保障義務(wù)，更有利于保障個人信息主體的相關(guān)權(quán)益，更利于推動數(shù)字經(jīng)濟發(fā)展。

（三）作為復(fù)合客體的個人信息安全保障義務(wù)

最高人民法院《關(guān)于審理利用信息網(wǎng)絡(luò)侵害人身權(quán)益民事糾紛案件適用法律若干問題的規(guī)定》第12條，試圖將侵犯個人信息作為獨立的侵權(quán)類型，構(gòu)建公開個人信息致人損害即構(gòu)成侵權(quán)的規(guī)則。以公開作為侵犯個人信息的加害行為，暗示著將個人信息保護等同于隱私保護。鑒于在我國語境下，個人信息外延遠遠大于隱私外延，將全部個人信息保護均納入隱私權(quán)保護范疇，乃是回到了個人信息“權(quán)利化”進路，如前所述，會面臨理論和操作上難以圓通的窘境。故而，個人信息的保護，應(yīng)區(qū)分作為隱私信息的個人信息保護，以及非私密的一般個人信息的保護。對于前者，自然應(yīng)納入隱私權(quán)保護框架，強調(diào)個人對隱私信息的控制，適用公開（擴散）即侵害的規(guī)則。對于后者，即非私密的一般個人信息，才屬于個人信息安全保障義務(wù)所要討論的個人信息范圍。從傳統(tǒng)大陸法系國家的立法例來看，歐洲的個人數(shù)據(jù)保護法區(qū)分了個人信息權(quán)益和隱私利益，并分別在不同的法律體系下加以規(guī)范。但這并不能排除隱私信息成為個人信息安全保障義務(wù)所保護的對象。隱私信息作為個人信息的下位概念，當個人信息主體的隱私信息受到侵害，其可以“隱私權(quán)”作為請求權(quán)基礎(chǔ)尋求救濟，也可以個人信息控制者違反“個人信息安全保障”作為請求權(quán)基礎(chǔ)尋求救濟。個人信息主體可以綜合評判舉證責任、證明標準、賠償范圍等因素，選擇對自己最有利的權(quán)利主張。從這個角度看，個人信息安全保障義務(wù)的客體包括“個人隱私信息”和“個人一般信息”。

就個人一般信息而言，個人信息安全保障義務(wù)所保護的也不僅僅是“個人信息”本身。對一般個人信息的安全保障，更多的是一種法律上的保護手段，而不是保護的最終目標。雖然個人信息本身具有一定價值，保護個人信息一定程度上是保護個人信息本身的財產(chǎn)價值，但個人信息保護的更重要的目的卻是為了預(yù)防第三人非法獲取個人信息，并利用該信息對信息主體的其他民事權(quán)利造成侵害。換言之，個人信息安全保障義務(wù)所保護的客體邏輯上應(yīng)當包括兩類：一是個人信息本身，即個人信息本身所具有的財產(chǎn)價值。隨著大數(shù)據(jù)技術(shù)的發(fā)展，個人數(shù)據(jù)匯聚成數(shù)據(jù)庫后的價值巨大，大數(shù)據(jù)分析可以產(chǎn)生額外的新價值，在聚沙成塔的效應(yīng)下，數(shù)據(jù)已經(jīng)成為戰(zhàn)略資源。但是，除公眾人物外，個人信息對于信息主體的財產(chǎn)價值仍然極小。二是因個人信息泄漏導(dǎo)致受損害的個人財產(chǎn)權(quán)、人身權(quán)。例如，因出行航班信息泄漏，遭遇詐騙所造成的財產(chǎn)損失，該類損失往往是由第三人的行為直接導(dǎo)致，但從受害人的利益保護（風險分擔）的立場，強調(diào)個人信息控制者的安全保障義務(wù)，是前述價值考量的結(jié)果。

三、違反個人信息安全保障義務(wù)的侵權(quán)責任構(gòu)成

侵權(quán)責任構(gòu)成在理論和立法例上，一直存在“三要件說”和“四要件說”的爭論。爭議的焦點在于，是否將“行為違法性”作為侵權(quán)責任構(gòu)成的獨立要件。該爭論更多的是方法論層面對分析框架利弊的判斷，無論采用“三要件說”還是“四要件說”，對違反個人信息安全保障義務(wù)的侵權(quán)責任構(gòu)成并不產(chǎn)生影響。因為，如前文所述，個人信息安全保障義務(wù)是結(jié)果義務(wù)而非手段義務(wù)，結(jié)果義務(wù)的定位回答了行為“違法性”的判定標準問題。換言之，只要是在個人信息安全保障義務(wù)人所控制的領(lǐng)域，發(fā)生了危害個人信息安全的事件，無論個人信息安全保障義務(wù)人是否存在“作為”或“不作為”，在不存在法律明文規(guī)定的違法行為阻卻事由時，“違法性”均能夠得以成立。故下文重點討論違反個人信息安全保障義務(wù)侵權(quán)構(gòu)成中的“損害事實”“主觀過錯”“因果關(guān)系”判斷等問題。

（一）損害事實——非個人信息本身

從違反安全保障義務(wù)主體的具體行為特征分析，違反安全保障義務(wù)的侵權(quán)行為可以分為三種類型：“設(shè)施、設(shè)備未盡安全保護義務(wù)的侵權(quán)行為”“管理、服務(wù)未盡安全保障義務(wù)的侵權(quán)行為”“防范、制止他人侵權(quán)行為沒有盡到安全保障義務(wù)的侵權(quán)行為”。個人信息安全保障義務(wù)中的“設(shè)施、設(shè)備安全保障義務(wù)”“管理、服務(wù)安全保障義務(wù)”均是以“個人信息本身”作為安全保障對象。鑒于單個個人信息對于信息主體的財產(chǎn)價值極小，而大量個人數(shù)據(jù)匯聚成數(shù)據(jù)庫后的價值巨大，法律保護個人信息及其流轉(zhuǎn)秩序的必要性、合理性毋庸置疑，但是采用私法保護路徑還是公法保護路徑，實在值得討論。例如，對當前媒體報道的“酒店信息泄漏”“人臉識別信息泄漏”事件，當事人能否基于個人信息的泄漏主張侵權(quán)法保護，特別是所遭受損害的價值如何判斷，成為權(quán)利主張難點，甚至會出現(xiàn)當事人主張權(quán)利的預(yù)期收益將無法覆蓋主張權(quán)利的訴訟成本的情況。故將個人信息“設(shè)施、設(shè)備安全保障義務(wù)”“管理、服務(wù)安全保障義務(wù)”采用民法保護路徑難有操作性。而采用行政法、刑法等公法保護路徑，則能有效減少信息主體（個人）的維權(quán)成本，進而節(jié)約社會資源，更加有效地推動形成規(guī)范有序的數(shù)據(jù)流轉(zhuǎn)秩序。

對此，國外司法實踐亦有例證。歐盟法院將個人信息理解為保護隱私權(quán)益的工具，認為并不存在一種私法上的個人信息權(quán)，在私法上，只有行為侵犯了具有人格利益的隱私權(quán)益時，才能被判定為侵犯個人信息，相關(guān)信息主體才有可能得到私法上的法律救濟。

綜上，侵權(quán)法視角下的個人信息安全保障義務(wù)，關(guān)注的要點應(yīng)當是“防范、制止他人侵權(quán)行為沒有盡到安全保障義務(wù)”的侵權(quán)行為，即經(jīng)營領(lǐng)域的個人信息控制者，應(yīng)當防范、制止第三人非法獲取個人信息進而對信息主體的財產(chǎn)權(quán)、人身權(quán)實施侵害。

（二）主觀過錯一適用無過錯責任

我國《侵權(quán)責任法》第6條、第7條明確規(guī)定，侵權(quán)責任認定適用“推定過錯”和“無過錯責任”的，必須以法律的明確規(guī)定為前提。就個人信息安全保障義務(wù)而言，尚無“推定行為人有過錯”的相關(guān)法律規(guī)定，也沒有“不論行為人有無過錯，均應(yīng)當承擔侵權(quán)責任”的法律規(guī)定。因此，基于現(xiàn)行法律規(guī)定，違反個人信息安全保障義務(wù)的侵權(quán)責任認定應(yīng)當堅持“過錯責任”，但這顯然不符合“個人信息安全保障義務(wù)”的制度目標。

從法哲學上看，安全保障義務(wù)的確立是以“收益與風險相一致”“危險控制”“節(jié)省社會總成本”“企業(yè)社會責任”“實質(zhì)平等”等原理為基礎(chǔ)的。其更多體現(xiàn)的是分配正義，所內(nèi)含的矯正正義的成分較淡。換言之，安全保障義務(wù)所確立的更多是風險分擔規(guī)則，而非僅僅是權(quán)利救濟規(guī)則。這決定了安全保障義務(wù)內(nèi)容界定時，義務(wù)主體主觀因素情況（即是否存在故意或過失，該故意或過失與損害發(fā)生的比例關(guān)系）并非主要考量要素。個人信息安全保障義務(wù)的設(shè)定是為了合理分配個人信息流通過程中的可能的風險，推動建立信息主體與信息收集、處理者之間的信任關(guān)系，進而促進信息流通和信息經(jīng)濟發(fā)展。基于此，違反個人信息安全保障義務(wù)的侵權(quán)責任歸責原則，邏輯上應(yīng)當采用“無過錯責任”。即：在行為人所控制領(lǐng)域發(fā)生個人信息泄漏事件，導(dǎo)致個人信息主體出現(xiàn)損失，無論行為人有無過錯，均應(yīng)當承擔侵權(quán)責任。為了與《侵權(quán)責任法》相銜接，該歸責原則應(yīng)當在納入全國人大立法規(guī)劃的《個人信息保護法》中予以明確。

從司法實踐中看，在我國當前規(guī)范體系下，司法機關(guān)對相關(guān)案件的判決，雖明確此類案件為一般侵權(quán)糾紛應(yīng)當堅持“過錯原則”，但其論證過程中多體現(xiàn)出明顯的政策考量、價值判斷因素，實質(zhì)是以“過錯責任”的瓶，裝了“無過錯責任”的酒。例如，龐理鵬與北京趣拿信息技術(shù)有限公司等隱私權(quán)糾紛一案中，法院對涉訴公司的“過錯”認定邏輯如下：大前提是，法律規(guī)定了公司的安全保障義務(wù)（《消費者權(quán)益保護法》第29條第2款），公司違反法律即具有過錯;小前提是，本案公司曾被媒體報道過“涉嫌”泄漏其他乘客隱私，公司未針對相關(guān)報告采取針對性的措施，加強信息安全保護，因此公司未盡到安全保障義務(wù)，違反了法律;結(jié)論是，公司具有過錯。從判決說理的文義上看，法院似乎將個人信息安全保障義務(wù)定位為“手段義務(wù)”，而非“結(jié)果義務(wù)”。但無論是法律規(guī)定，還是該案法院判決，均未明確該類安全保障義務(wù)的具體安全保障措施是什么。因此，也不可能給當事人指出“安全保障措施”的行為邊界。只要當事人出現(xiàn)信息泄漏情況，均可以推論出其安全保障措施不夠，進而違反法律。所謂違反法律即具有過錯，實質(zhì)就成為出現(xiàn)信息泄漏即有過錯。該判決以“涉嫌泄漏信息”的媒體報道，以及公司未對媒體報道做出技術(shù)措施上的回應(yīng)，推論出“過錯”的存在。實則是在“實質(zhì)正義”與現(xiàn)有規(guī)范體系的沖突的背景下，以法律實用主義立場作的“技術(shù)處理”，相關(guān)說理只是一種修辭、一種裝飾、一種“正當化”過程?？陀^上，判決所堅持的價值選擇，仍然是“無過錯責任”，判決關(guān)于“過錯”的說理僅是基于“預(yù)先決定”予以的論證。

（三）因果關(guān)系——他因介入不構(gòu)成阻斷

違反個人信息安全保障義務(wù)的侵權(quán)行為，應(yīng)當歸類于“防范、制止他人侵權(quán)行為沒有盡到安全保障義務(wù)的侵權(quán)行為”，即一種“故意侵權(quán)預(yù)防義務(wù)”。其所要解決的是“個人信息控制者”“非法獲取個人信息，并利用個人信息侵犯個人信息主體權(quán)益的行為人即直接侵權(quán)人”“個人信息主體”之間的侵權(quán)責任分配關(guān)系。換言之，個人信息控制者合法獲取個人信息后，直接侵權(quán)人從個人信息控制者處獲取個人信息，進而基于該信息，故意侵犯個人的財產(chǎn)權(quán)益、人身權(quán)的，此時需要借助個人信息安全保障義務(wù)，使得失衡的法律關(guān)系重新獲得平衡。

在上述法律關(guān)系中，直接侵權(quán)人與個人信息主體的損失之間具有直接因果關(guān)系，而個人信息控制者與個人信息主體的損失之間僅具有間接因果關(guān)系。按照傳統(tǒng)的侵權(quán)法理論，直接侵權(quán)人直接原因的介入，能夠阻斷個人信息控制者與損失之間的因果關(guān)系，故個人信息控制者對損失的發(fā)生不應(yīng)承擔責任，個人信息主體的損失應(yīng)當由直接侵權(quán)人予以填補。但是，安全保障義務(wù)理論和實踐的發(fā)展，客觀上改變了“只有直接造成損害才負賠償責任”的傳統(tǒng)侵權(quán)責任法觀念，形成了“在社會交往中為他人引致風險，行為人亦應(yīng)當承擔責任”的侵權(quán)法規(guī)則。安全保障義務(wù)所確立的更多是風險分擔規(guī)則，而非僅僅是權(quán)利救濟規(guī)則。在這一思路下，個人信息安全保障義務(wù)是為了平衡個人信息主體與個人信息控制者之間的力量失衡而建立的風險分擔規(guī)則。從保護個人信息主體權(quán)益、建立信任關(guān)系、推動信息流通、促進數(shù)字經(jīng)濟發(fā)展的價值選擇看，直接侵權(quán)人直接原因的介入，不應(yīng)成為阻斷個人信息控制者與損害發(fā)生之間的因果關(guān)系的理由。

（四）責任分擔——次級順位和追償權(quán)

明確直接侵權(quán)人與安全保障義務(wù)人之間的損害賠償責任分擔規(guī)則，是確定個人信息安全保障義務(wù)人所需承擔的最終損害賠償份額的前提。為此，需要分析個人信息安全保障義務(wù)人因未盡到個人信息安全保障義務(wù)而承擔損害賠償責任，應(yīng)當適用“連帶責任”“不真正連帶責任”“按份責任”還是“補充責任”？從相關(guān)責任分擔規(guī)則所導(dǎo)致的法律后果來分析，違反個人信息安全保障義務(wù)的侵權(quán)責任應(yīng)當適用“補充責任”分擔規(guī)則。即，相關(guān)損害賠償應(yīng)當首先由直接侵權(quán)人承擔，直接侵權(quán)人賠償不能或無法查找時，再由個人信息安全保障義務(wù)人補充賠償。換言之，個人信息安全保障義務(wù)人應(yīng)當處于損害賠償責任的次級順位，理由如下。

首先，適用“連帶責任”或“按份責任”會陷入最終份額分擔困境。從個人信息主體的權(quán)益保護角度看，由于個人信息安全保障義務(wù)人相較于直接侵權(quán)人而言，往往更具備賠償能力，要求個人信息安全保障義務(wù)人承擔連帶責任，能最大限度地保障個人信息權(quán)利人獲得全額賠償。但是，依據(jù)《侵權(quán)責任法》第14條的規(guī)定，適用連帶責任意味著個人信息安全保障義務(wù)人必然需要承擔一定的最終責任，進而減輕了直接侵權(quán)人的部分賠償責任，這缺乏合理性。因為，直接侵權(quán)人對損害的發(fā)生具有全部的原因力，理應(yīng)承擔全部最終責任。舉例而言，甲竊取航空公司的旅客出行信息，并對旅客實施詐騙。旅客因信息泄漏而輕信甲，遭受財產(chǎn)損失。后甲被公安機關(guān)抓獲，退賠了贓款。此時，如果按照連帶責任的規(guī)則，甲因先行承擔了全部賠償責任（退賠贓款），便可以向個人信息安全保障義務(wù)人追償部分賠償，實在有悖常理常情。同理，這種分擔最終責任份額的困境在按份責任中同樣存在。因此，個人信息安全保障義務(wù)人在賠償責任承擔上，不宜適用連帶責任形態(tài)或按份責任形態(tài)。

其次，“補充責任”比“不真正連帶責任”具有程序優(yōu)勢，能有效節(jié)約社會成本。就責任主體而言，承擔補充責任或者不真正連帶責任，基于追償權(quán)的行使，均可能不承擔最終賠償責任，因此可以解決前述“分擔最終責任份額”的困境。補充責任與不真正連帶責任的區(qū)別主要體現(xiàn)在責任承擔的順序上。適用補充責任，賠償權(quán)利人只能先向直接責任人（即最終責任人）主張權(quán)利，在直接責任人不明或無力全部賠償時，才可以起訴補充責任人。而適用不真正連帶責任，受害人可以選擇任意法定責任人主張權(quán)利?；谏鲜鰠^(qū)別，補充責任的適用能夠合理限制賠償權(quán)利人的求償選擇權(quán)，避免賠償權(quán)利人先選擇非最終責任人進行求償所帶來的不必要的追償，能夠更合理分配程序利益，節(jié)約社會和司法成本。

此外，應(yīng)區(qū)分“補充責任”和“相應(yīng)的補充責任”。相應(yīng)的補充責任是對補充責任的一種限制，是有限的補充責任。并不是直接責任人不能承擔的賠償責任全部由補充責任人補充承擔，而是僅承擔與其過錯程度以及行為的原因力相適應(yīng)的責任。個人信息安全保障義務(wù)人未盡個人信息安全保障義務(wù)承擔損害賠償責任，應(yīng)當適用“補充責任”而非“相應(yīng)的補充責任”。一方面，相應(yīng)的補充責任限縮了個人信息安全保障義務(wù)人先行給付賠償?shù)姆秶?，不利于建立個人信息主體與個人信息安全保障義務(wù)人之間的信任關(guān)系，進而影響個人信息的流轉(zhuǎn)，不利于信息價值的發(fā)揮。另一方面，個人信息安全保障義務(wù)人作為具有一定賠償能力的機構(gòu)，其可以通過商業(yè)保險等方式分散相關(guān)風險，適用“補充責任”規(guī)則，能夠切實保障個人信息主體的權(quán)益，切實發(fā)揮個人信息安全保障義務(wù)的風險分擔功能。

綜上，個人信息安全保障義務(wù)人與直接侵權(quán)人應(yīng)按照以下規(guī)則確定賠償責任的分配：一是直接責任人承擔全部最終賠償責任;二是個人信息安全保障義務(wù)人承擔補充責任，對直接責任人未償付部分負有補充賠償義務(wù);三是個人信息安全保障義務(wù)人承擔補充責任后，享有對直接侵權(quán)人的追償權(quán);四是個人信息主體應(yīng)當先行向直接侵權(quán)人主張損害賠償，只有在直接侵權(quán)人賠償不能或無法查找時，才得向個人信息安全保障義務(wù)人主張權(quán)利。

四、結(jié)語

隨著大數(shù)據(jù)、云計算、人工智能等現(xiàn)代科技的發(fā)展，獲取個人信息的手段越來越豐富、成本越來越低，相關(guān)侵權(quán)可能性越來越大、侵權(quán)后果也更為嚴重、侵權(quán)救濟更為困難。在此背景下，法律必須對個人信息保護問題予以回應(yīng)。在民法視域下，個人信息保護的“權(quán)利化”進路遇到窘境，從侵權(quán)法角度研究個人信息權(quán)益的保護，就顯得尤為重要和迫切，個人信息安全保障義務(wù)概念的提出就應(yīng)時而生。

個人信息安全保障義務(wù)的性質(zhì)和內(nèi)容，涉及權(quán)益平衡和價值判斷，應(yīng)當堅持保障個人信息主體權(quán)益、平衡當事人行為自由、促進個人信息流通、推動數(shù)字經(jīng)濟發(fā)展等基本價值立場，進而建構(gòu)個人信息安全保障義務(wù)的具體制度規(guī)范。

第一，為了建立個人信息主體與個人信息控制者之間的信任關(guān)系，應(yīng)將個人信息安全保障義務(wù)界定為結(jié)果義務(wù)，發(fā)生因個人信息泄漏造成權(quán)利人損害的，個人信息控制者即需承擔責任。為此，有必要區(qū)分行政法上的個人信息安全保障措施與民法上的個人信息安全保障義務(wù)。行政法上安全保障措施的落實，只是個人信息安全保障的最低要求，不能成為民事上的抗辯理由。

第二，為了平衡自然人的行為自由，避免干擾正常生活秩序，自然人之間的個人信息流轉(zhuǎn)規(guī)則，應(yīng)當由傳統(tǒng)的隱私權(quán)、人格權(quán)等權(quán)利框架予以規(guī)制，個人信息安全保障義務(wù)的責任主體，應(yīng)當限定在經(jīng)營領(lǐng)域的個人信息收集、處理者等個人信息控制者。

第三，個人信息安全保障義務(wù)的保障對象具有復(fù)合性，個人信息應(yīng)當區(qū)分為隱私信息和一般信息，隱私信息既可以采用“隱私權(quán)”保護規(guī)范予以保護，也可以納入個人信息安全保障義務(wù)的保護范圍予以保護，個人信息主體可以擇一主張權(quán)利救濟。一般信息的安全保障義務(wù)對象既包括個人信息本身即個人信息財產(chǎn)價值的保護，又包括第三人非法獲取個人信息，進而對信息主體造成的財產(chǎn)權(quán)或人身權(quán)損害，即以“預(yù)防故意侵權(quán)”為目的的保護。從社會整體效率角度考慮，前者應(yīng)納入行政法、刑法等公法保護范圍，后者才是民法上個人信息安全保障義務(wù)的保護內(nèi)容。

第四，在我國司法實踐中，受限于《侵權(quán)責任法》的規(guī)定，雖然有些判決對個人信息安全保障義務(wù)的歸責原則適用了“過錯原則”，但分析其論證過程，本質(zhì)上卻是采用了“無過錯原則”。適用“無過錯原則”符合個人信息安全保障義務(wù)的制度目的。因此，在《個人信息保護法》中明確個人信息安全保障義務(wù)的歸責原則為“無過錯責任”，顯得尤為迫切。

第五，個人信息安全保障義務(wù)本質(zhì)上屬于“故意侵權(quán)預(yù)防義務(wù)”，所確立的更多是風險分擔規(guī)則，而非僅僅是權(quán)利救濟規(guī)則。因此，應(yīng)當明確直接侵權(quán)人的介入行為不能阻斷個人信息安全保障義務(wù)人的不作為與損害發(fā)生之間的因果關(guān)系，以實現(xiàn)“個人信息控制者”“直接侵權(quán)人”“個人信息主體”之間的力量平衡。

第六，個人信息安全保障義務(wù)人與直接侵權(quán)人在損害賠償?shù)姆謸?，?yīng)當明確個人信息安全保障義務(wù)人承擔“補充責任”，強調(diào)個人信息安全保障義務(wù)人在賠償順序上的次級順位，以及在先行賠償后向直接侵權(quán)人的追償權(quán)利。以避免適用“連帶責任”或“按份責任”帶來的最終份額分擔困境;以避免適用“不真正連帶責任”帶來的社會成本浪費;以避免適用“相應(yīng)的補充責任”帶來的個人信息主體與個人信息控制者之間信任關(guān)系的消蝕。