个人信息泄露侵权的证明责任问题
——以不明第三人侵权为中心
作者:吴泽勇,华东师范大学大学法学院教授、博士生导师。
来源:《地方立法研究》2023年第4期。
摘 要
在不明第三人利用平台掌握的个人信息进行侵权的案件中,如果权利人向个人信息处理者追责,就需要证明是后者泄露了其个人信息。就此存在一定的证明困境,但不需要通过证明责任倒置或者证明标准降低来缓解。经由“权利人进行可期待的初步举证—法官形成临时心证—平台进行可期待的反证—法官形成终极心证”这一路径,法官仍然可以对待证事实形成内心确信。至于被告提出还存在其他个人信息控制者的主张,在性质上属于对其不当个人信息处理行为与权利人损害之因果关系的否认,主张者应当对此进行必要的证明。如果被告证明第三方平台同样有可能泄露权利人个人信息,则案件转而适用共同危险行为责任,权利人有权申请追加该第三方平台作为共同被告。而案件的证据调查进程,并不会因此受到实质性影响。这一分析表明,即使对于网络时代的新型案件,经典证明责任原理也仍有用武之地。
关键词:个人信息泄露;第三人侵权;证明责任;证明标准;共同危险行为
目 次
一、问题的提出
二、构成要件与证明责任
三、要件事实的证明
四、多数个人信息处理者背景下的证明困境及应对
结 语
一、问题的提出
根据《民法典》第1038条和《个人信息保护法》第69条,如果个人信息处理者泄露个人信息造成损害,个人信息处理者应承担损害赔偿等责任。实践中,个人信息处理者直接侵权导致损害赔偿责任的情况并不多见。因个人信息侵权导致财产损失的,多是第三人利用非法获取的个人信息,对个人信息权利人实施的违法犯罪行为。这类案件中,如果直接侵权人被抓获,检察机关通常会对其提起公诉,被害人也可以对侵权人提起附带民事诉讼;如果涉及大量受害人,检察院还可能提起附带民事公益诉讼。由于侵权人明确、加害行为具体,这种针对直接侵权人的民事追偿不会遇到太大问题,多数时候也不需要对个人信息处理者进行额外的追责。
难题出现在直接侵权人不明的场合。如果直接侵权人尚未找到——也许永远找不到,被害人可能直接起诉获取掌握个人信息的平台,要求后者承担损害赔偿责任。按照《民法典》和《个人信息保护法》的相关规定,权利人将个人信息提供给个人信息处理者,后者有义务保证信息不被泄露。从情理上讲,如果个人信息处理者未履行此种义务,导致信息泄露,并被不明第三人利用实施诈骗之类的犯罪行为,被害人当然有理由要求个人信息处理者承担责任。不过,从个人信息处理者的角度,受害人只是被某个不明第三人侵害,其损失未必当然归咎于个人信息处理者。针对这种越过直接侵权人向个人信息处理者提出的诉讼请求,后者很容易提出以下两个反驳:其一,被第三人利用的个人信息不一定是从它那里获取的;其二,即使个人信息是从它那里获取的,它也未必就有什么不当的行为。比如,第三人可能是通过最新黑客手段盗取了个人信息,而个人信息处理者对此无法预见,也无法阻止。按照侵权责任法的一般原理,权利人需要证明行为人从事了违反个人信息保护义务的行为,而且正是该行为导致权利人受到损害,否则法官就不能判决行为人承担侵权责任。但在诉讼实践中,权利人证明上述事实的能力非常有限。这种背景下,应如何分配权利人与个人信息处理者的证明负担,方能实现对两类主体的均衡保护?
更为棘手的是,在个人信息利用的实践中,权利人的个人信息经常被多家平台所掌握。被诉的个人信息处理平台会主张,所有这些平台都有可能泄露案涉的个人信息。按照通常的侵权法原理,如果无法锁定侵权人,也就无法对权利人进行救济。而要求权利人锁定具体是哪家平台实际泄露了个人信息,几乎不可能。如此一来,权利人的法律地位可谓雪上加霜。
上述问题不仅涉及实体法条文的解释适用,也涉及相关要件事实的证明。事实上,两个问题常常相生相伴,难分彼此。本文尝试从证明责任角度分析这些问题。本文的讨论,一方面旨在优化个人信息泄露案件的实务处理方案;另一方面,也试图检验经典证明责任理论在新型案件中的解释力。个人信息保护对传统法律制度提出了系列挑战,位于实体法与程序法交叉领域的证明责任理论,没理由回避这种挑战。
二、构成要件与证明责任
(一)请求权基础与构成要件
上文提到的不明第三人利用个人信息侵权,多发生在权利人通过网络平台购买商品或服务的场合。典型的案型是:权利人通过网络平台购买机票,留下了自己的姓名、身份证号码、手机号码等个人信息;事后收到假冒航空公司的诈骗短信,并在对方诱导下进行“退款”或者“改签”操作,从而蒙受金钱损失。案件发生后,受害人一般会去公安机关报案。但在案件尚未侦破之前,如果受害人向法院起诉交易相对人并要求后者承担责任,法院应如何处理?这里需要讨论的问题有两个:一是权利人起诉网络平台的请求权基础是什么;二是权利人主张和证明哪些事实,法院才能判决网络平台承担责任。
实践中,权利人可能基于违约责任起诉,也可能基于侵权责任起诉。就前者而言,权利人通过购买机票的行为,与航空公司达成了航空旅客运输合同。基于该合同,航空公司不仅负有将权利人安全送达目的地的主给付义务,还负有保护权利人个人信息的附随义务。而在权利人通过第三方票务公司购买机票的场合,权利人通常还与票务公司达成了购票服务合同。根据该合同,票务公司同样负有保护权利人个人信息的附随义务。基于此种合同上的附随义务,权利人在因个人信息泄露遭受损失时,有权起诉合同相对人请求损害赔偿。另外,权利人也可以依据《民法典》第1038条和《个人信息保护法》相关规定,向航空公司或票务公司提起侵权损害赔偿诉讼。尤其是《个人信息保护法》第69条,为此类案件提供了直接的请求权基础。
如果权利人起诉违约损害赔偿,需要证明他遭受了损失、合同相对方未尽附随义务(未对其个人信息进行恰当保护)、其损失具有可预见性(只有相对方在订立合同时可以预见的损失,才能被纳入损害赔偿责任的考虑范围)。一般认为,违约责任为无过错责任。如果起诉侵权责任,权利人则要证明他遭受了损失、潜在侵权人有加害行为(未尽法律规定的个人信息保护义务)、其损失与加害行为之间有因果关系。鉴于《个人信息保护法》第69条明确采纳了推定过错的归责原则,权利人无须证明行为人对其加害行为有主观过错,但后者可以通过证明其无过错来寻求免责。
对于权利人而言,违约责任的优势在于责任人明确。基于合同相对性,权利人只能向合同相对人主张损害赔偿责任,法院也只需审查合同相对人是否有违约行为。侵权责任则正好相反,基于《民法典》和《个人信息保护法》的明确规定,权利人可以同时对多名潜在责任人进行追诉,而法院也经常要面对多个信息处理主体互相推诿的局面。除此之外,二者在核心要件上并无重大差异。无论选择何种请求权基础,权利人都要证明被告违反了法律规定的个人信息保护义务,以及他为此遭受了损失。至于侵权责任中的因果关系要件,有学者认为,其实与违约责任中的可预见性功能相似,在审查方式上也存在明显的趋同。从这个角度来看,选择违约责任还是侵权责任,对于证据调查没有重大影响。
有学者认为,对因个人信息泄露导致权利人受损的案件,应适用安全保障义务。理论上,安全保障义务的功能在于解决第三人介入引起的因果关系中断问题,从这个意义上,它确实能满足第三人侵权场景下向个人信息处理者追责的需要。但在实践中,我国法院并不拒绝在一般侵权责任的框架内讨论个人信息处理者的责任,因果关系中断的问题也没有给法官带来普遍困扰。这种越过直接侵权人,直接运用一般侵权责任向间接侵权人追责的做法,在直接侵权人事后出现,从而需要考虑其与个人信息处理者之间责任分担的场合,可能会带来一些问题。但是,对于本文关注的事实调查而言,这种简化处理不会带来太大影响。无论如何,只要是被告因违反对个人信息的保护义务导致个人信息泄露,而正是这一信息泄露行为让第三人有机会对权利人实施侵害,就可以认为条件说意义上的因果关系已然成立;从而也可以暂时认为,个人信息处理者应当承担侵权责任。
鉴于以上认识,下文仅从一般侵权责任出发,对不明第三人侵权背景下的个人信息泄露责任展开讨论。
(二)证明责任分配
根据《个人信息保护法》第69条和《民诉法司法解释》第91条,如权利人根据侵权责任提起诉讼,应就侵权责任的客观要件负证明责任,这包括加害行为、损害后果以及二者之间的因果关系;权利人不需要证明个人信息处理者主观上有过错,但假如后者能够证明其无过错,则无须承担责任。根据这一证明责任分配方法,事实审理过程中,法院应首先调查个人信息处理者泄露个人信息的事实性要件是否成立。当这些要件成立时,才有必要进一步调查个人信息处理者对损害的发生有无过错。
有观点认为,考虑到权利人的证明能力与其证明责任不匹配,而且这种证明责任分配方式更容易纵容泄露隐私信息的行为,应将因果关系的证明责任分配给信息控制者。在《个人信息保护法》第69条只倒置了过错要件证明责任的立法背景下,这一观点显然没有法律依据。立法论上,这种观点也无法获得认同。因果关系是侵权责任成立的基础性要件,如果不能确认加害行为与损害后果之间有因果关系,侵权行为在事实层面就无从谈起。因此,因果关系的证明责任倒置在侵权法中非常罕见,而且极易引发争议。权利人确实很难证明其损害是因为信息控制者泄露个人信息引起的,但是,信息控制者要证明个人信息不是它泄露的,同样困难。可见,这种证明困难源于个人信息泄露本身的特征,是一种双向的而非单向的困难。更重要的是,解决证明困难不是证明责任制度的主要功能。作为实体法上的风险分配机制,证明责任要解决的问题是,事实真伪不明时判谁败诉。而在因果关系真伪不明时判决信息控制者败诉,是更公平的证明责任分配方法吗?这种证明责任分配方法,是否会给处理个人信息的企业带来不合理的负担?凡此种种,证明责任倒置说似乎都没有考虑。
持证明责任倒置说的论者也提到,倒置因果关系的证明责任,并不意味着权利人不需要对因果关系进行任何证明。他要首先要证明“信息控制者控制了其隐私信息且有泄露其隐私的高度可能性”。权利人完成了这种证明之后,被告才有必要证明自己的行为与原告损害间没有因果关系。而作为被告的信息控制者,只需通过证据“排除其泄露信息致害的高度可能性”,也就是说,只需要将这一可能性降低到正常情形,即可认为否定了因果关系。如果按照这种理解,因果关系的证明责任毋宁仍在权利人一方。我国民事诉讼法上的法定证明标准本来就是高度盖然性的。原告需要证明存在因果关系到法定证明标准,而被告只需将法官心证拉低到法定证明标准以下,这不涉及证明责任倒置,不过是一般证据法原理的运用而已。
司法实践中,权利人能够充分证明的一般只有第三人利用其信息实施了违法犯罪行为,以及该行为导致了他的经济损失。就个人信息处理者的侵权责任而言,这其实只涉及责任成立要件中的损害后果要件。逻辑上,法院如果要判决个人信息处理者承担间接侵权责任,至少还需认定:①第三人系从被告个人信息者处获取的案涉个人信息, ②该信息的获取源于个人信息处理者对个人信息保护义务的违反,③个人信息处理者并非无过错。其中, ①和②大体指向加害行为和因果关系两个要件,而③则指向过错要件。但在真实诉讼中,权利人一般不需要就②进行特别的主张和举证。这是因为,《个人信息保护法》第51条明确规定,个人信息处理者应当采取六类措施保护个人信息,“并防止未经授权的访问以及个人信息泄露、篡改、丢失”。《个人信息保护法》颁布前,曾有学者认为,个人信息安全保障义务应当被定位为手段义务,而非结果义务。从《个人信息保护法》第51条来看,该条既规定了个人信息处理者应当采取一系列个人信息保护措施,同时也规定,个人信息处理者应当“防止未经授权的访问以及个人信息泄露、篡改、丢失”。从文义上,将该条定位为结果义务和手段义务都说得通。但是,即便将该条定性为手段义务,法官如果认定个人信息系从个人信息处理者控制的平台流出,也不妨同时认定个人信息处理者违反了该条规定的义务。从逻辑上,法律规定这些作为义务的目的就是“防止未经授权的访问以及个人信息泄露、篡改、丢失”,而一旦个人信息泄露,法官就有理由推定这些义务没有得到履行。这种推定在性质上属于事实推定而非法律推定,但是,因为得到法律规范内在逻辑的支持,假如个人信息处理者要反证,也要承担很重的证明负担。针对②,个人信息处理者可以提出的证据无非是其尽到了该条规定所设定的各项个人信息保护义务,因此权利人个人信息的泄露不应归咎于它。不难发现,这种反证与个人信息处理者对其“无过错”的证明在内容上高度重合,在程度上也只有微妙差异。考虑到这些因素,法官一般无须对②进行专门调查,只需要让原告和被告依次证明①和③即可。
三、要件事实的证明
(一)网络平台泄露个人信息的证明
如前所述,权利人遭受第三人侵权后起诉个人信息处理者,首先需要证明后者泄露了个人信息。但对权利人来说,这一事实几乎无法通过直接证据证明,因为他不可能掌握其个人信息被泄露的具体细节。另外,虽然个人信息有可能是从网络平台泄露的,但有机会接触个人信息的人员可能很多,要平台逐一证明这些人没有泄露个人信息,也非常困难。可见,无论原告还是被告,都不掌握事件经过的直接证据,这类案件也很难说是典型的“证据偏在型”案件。从根本上,这里的证明困境源于网络时代个人信息侵权的结构性特征。个人信息本来就是一种精神性的存在,其传播过程很多时候不会留下物理痕迹。在互联网时代,个人信息的传播更是呈现出转瞬即逝的特征,事后追查和复盘可遇不可求。凡此种种,使得个人信息泄露案件中存在一般的、不以当事人身份为转移的证明困境。对此困境,诉讼法要给出解决的办法。
有学者认为,考虑到权利人的证明困难,应对此类案件采取更低的证明标准。笔者不赞同这种观点。在现代自由心证的背景中,民事诉讼中的证明是一种主观证明,其终极目的,是让法官形成对待证事实的内心确信。而证明标准,不过是立法者为规范此种自由心证所预先确定的确信尺度。按照我国《民事诉讼法司法解释》,民事诉讼采取高度盖然性的证明标准。这意味着,只要法官认为待证事实为真的可能性明显大于为伪的,即可认定事实成立。至于何时达到此种证明标准,则只能留给法官判断。在具体审判活动中,法官要根据案件的类型和结构、负证明责任当事人可能提供的证据、其实际提供的证据,来决定是否作出待证事实为真的判断。在自由心证的语境中,这只是不同的心证达成途径,不涉及证明标准的高低。之所以强调这一点,是因为这涉及个人信息泄露侵权中的风险分配。降低证明标准,意味着将更多败诉风险分配给了个人信息处理者。既然立法者没有就个人信息泄露规定降低证明标准,就只能采民事诉讼中的一般证明标准,即高度盖然性标准。同时,唯有如此,也才能与前文所确定的证明责任分配方法保持一致。毕竟,对个人信息泄露负证明责任的是个人信息权利人。基于这种证明责任分配,无论因为何种原因,只要法官对被告泄露个人信息这一事实无法形成内心确信,就不能判其承担责任。
真正需要讨论的是,面对个人信息泄露侵权中的证明困境,法官应如何形成其对待证事实的内心确信?这涉及事实调查的方法论问题,需要略作展开。首先要强调的是,法官对待证事实形成内心确信,并非一劳永逸的过程。从客观证明责任的逻辑来看,法官不需要在诉讼早期就形成自己对待证事实的立场,他实际上可以带着“再看一看”的心态,在双方当事人的证据中间“目光往返”。从主观证明责任的逻辑出发,负证明责任的当事人当然应当首先提供证据证明待证事实。但是,这种证明并不需要一次性达到法定证明标准。法官能否对待证事实形成内心确信、形成何种确信,是他在证据调查终结时才需要回答的问题。在此之前,提出证据的责任会随着法官心证状态的变化,在当事人之间往返流动。
那么,负证明责任当事人需要证明待证事实到何种程度,法官才可以认为其尽到了初步的提供证据责任,以至于该责任应当转移给对方当事人呢?这是处理此类问题的关键。本文认为,负证明责任当事人只需让法官对待证事实形成临时心证,其提供证据责任就可以暂时解除。至于这种临时心证所需达到的确信程度,则因要件事实的不同而不同。对于不存在证明困境的要件事实,负证明责任当事人的初步举证一般要达到,或者至少要接近法定证明标准。因为,在这类案件中,负证明责任当事人在证据获取方面并不存在结构性的困难,法官有理由期待其一次性地进行较为充分的举证。对于证据偏在型的要件事实(比如违约金调减诉讼中的损害数额),负证明责任当事人的初步举证只需达到较低的证明程度,也就是说,只要让法官相信其主张的事实有一定可能存在,法官即可形成临时心证。因为,在这类案件中,这就是法官唯一能期待负证明责任当事人进行的举证。在此基础上,对方当事人则需要进行较为充分的举证,来否认负证明责任当事人的事实主张。理论上,这可能是事案解明义务的要求,也可能涉及文书提出义务。而在待证事实双方当事人都难以证明的案件(比如个人信息泄露诉讼)中,法官只能期待双方当事人在各自力所能及的范围内进行相应的举证。对于原告来说,他所能举出的证据可能包括“涉案个人信息与被告掌握个人信息具有同一性”“侵权行为发生在被告控制个人信息期间”“网络平台具有泄露个人信息的不良记录”等等。理论上,这些信息都不能直接证明被告个人信息处理者泄露了权利人的个人信息,但是它们综合起来,或许能让法官相信被告具有泄露了个人信息的可能性。考虑到这就是此类案件中法官能够期待权利人进行的举证,假如权利人完成了这类举证,法官就可以形成网络平台有可能泄露个人信息的临时心证。在此基础上,网络平台可以通过对其个人信息处理过程、内部管理机制的披露,来证明原告的个人信息不可能从被告的平台泄露。如果网络平台较好地完成了这种举证,法官此前的临时心证可能就会动摇,这时,权利人要么继续进行对自己有利的举证,要么接受败诉的后果;反之,如果被告平台不能进行有力举证,则法官经由原告举证获得的临时心证就有机会进一步强化,乃至成为终极心证。因为案件具体情况不同,上述证明过程可能经过多轮的反复。
上述模型中有两个关键概念:一是法官的临时心证,二是当事人举证活动的可期待性。法官的临时心证,是指法官基于现有证据形成的“待证事实可能为真”的临时判断。临时心证所需达到的证明程度,取决于当事人举证的可期待性。当事人举证的可期待性越高,临时心证所需达到的确信程度也越高,反之亦然。应当注意的是,这种可期待性只与案件的结构性特征相关,与个案中的特殊场景无关。
上述原理看似复杂,但从一些典型案例来看,我国法官展开证据调查的方式实际上暗合了这些原理。
案例1 在林某诉S航空公司侵权责任纠纷案中,二审判决认为,“林某的证据能够证明其个人信息是从售票渠道泄露出去的基本事实”。理由是:首先,林某举证证明其购买机票后收到包含其姓名及航班信息的诈骗短信,并因此遭受损失;其次,林某不属于故意泄露信息进行虚假诉讼的情况;最后,林某已经尽其所能进行举证,不能要求其进一步举证。而S航空公司没有举证证明其尽到了保障消费者信息安全的义务。因此,“林某的证据虽不能证明其个人信息被泄露的具体环节,但已能证明其个人信息是通过S航空公司的售票系统有关环节被泄露,且S航空公司未尽到保障消费者个人信息安全的相关义务。因此S航空公司应当承担侵权责任”。
案例2 在方某诉北京J网络科技公司、D航空公司等合同纠纷案中,法院认为,J公司有高度可能泄露原告个人信息,而D航空公司在其掌握信息的阶段没有泄露原告个人信息。理由是:J公司掌握了原告的姓名、身份证号、手机号、行程信息等个人信息,在排除原告自身泄露的可能性之后,J公司具有泄露原告信息的高度可能;D航空公司虽然也掌握原告个人信息,但是其举证证明已采取有效措施保护乘客的个人信息——D航空公司对个人信息数据进行了脱敏设置,制定了严密的安全管理制度,对数据存储安全进行专门认证,执行个人信息保护和数据安全方面最严格的国际规范,等等。因此,被告J公司对原告未尽合同附随义务,应承担相应的责任。
案例3 在原告申某诉上海X商务公司、Z网络技术公司侵权责任纠纷案中,法院认 为,网络运营者对网络用户的个人信息负有安全保障的法定义务。基于这一义务,被告X公司应当对案外人利用原告个人信息造成原告损失承担责任。理由是:申某已举证证明其将个人信息提供给X公司,后在较短时间内发生信息泄露,已完成相应合理的举证义务。基于涉案个人信息被短时间泄露等时空背景条件,可以认定X公司作为消费者所直接面对的第一手完整信息保管者存在泄露申某涉案个人信息的高度可能。虽然X公司提交了隐私政策、《敏感信息处理规范》、《敏感信息安全管理规定》等证据,但是对其内部员工授权进行访问涉案订单的人员范围、访问敏感信息的授权记录、监控情况、操作记录、内外部传输审批情况,X公司未提交证据举证。故申某对于个人信息泄露已完成举证,而X公司的主张及举证不充分,应认为X公司在信息安全管理的落实方面存在漏洞,未尽到对个人信息负有的信息保管及防止泄露义务。
上述三个案例中,法官判决的请求权基础各不相同,第一个是消费者个人信息安全保护义务,第二个是合同附随义务,第三个是安全保障义务。但是,诉讼中争议的核心事实却是一样的,那就是,被告网络公司是否泄露了原告的个人信息。三个案例中,原告都没有直接证明被告泄露了其个人信息,但是法院认为,考虑到被告处理的个人信息与案外人诈骗所使用的信息具有高度同一性和时空关联性,可以认定被告有高度可能泄露了原告个人信息。案例1和案例3中,原告还提供了与被告涉嫌泄露个人信息相关的媒体报道,进一步增强了法官的确信程度。尽管如此,按照前文分析,这里的高度可能性也只是一种临时心证,而非终极心证。法官是否最终认定被告泄露个人信息,主要取决于被告后续的反证。被告证明其没有泄露原告个人信息的渠道无非有两条,要么是其在个人信息保护方面没有漏洞,不可能泄露信息,要么是实际泄露信息的是其他主体。案例1中的被告S公司、案例2中的J公司、案例3中的X公司没有完成这种证明,于是,法院关于其泄露个人信息的临时心证被强化,成为终极心证。与之相反,案例2中的D公司则举证证明其尽到了个人信息保护义务,从而动摇了这种对其不利的临时心证,避免了被判承担责任。由这些案例可知,泄露个人信息的事实尽管很难证明,但在合理分配当事人证明负担的情况下,法官是可以形成符合民事诉讼要求的内心确信的。其中的要点正是对临时心证的尺度把握,以及对双方当事人证明可期待性的区别对待。这一原理能够在我国司法实践中被下意识地运用,表明它符合法官的直觉,也符合此类案件事实调查的内在规律。
(二)无过错的证明
按照《个人信息保护法》第69条,如果个人信息处理者可以证明其对个人信息侵权没有过错,不承担责任。这里采取了过错推定的归责原则。这不是证据法意义的法律推定,而是过错要件的证明责任倒置。这种归责模式下,权利人不需要就行为人有过错进行任何证明;而行为人需要证明自己对于损害的发生没有过错,否则就要承担侵权责任。行为人无过错,是指行为人对于损害的发生没有主观上的故意或者过失。在个人信息泄露侵权案件中,一般是指行为人对个人信息泄露在主观上没有可预见性,即其无法预见,也不可能防止个人信息泄露的发生。从侵权责任的构成体系上看,过错属于主观要件,应当在客观要件确定之后进行调查。如果个人信息处理者证明自己不可能泄露个人信息,那么,原告的请求在客观要件调查阶段就已经被推翻,不需要对其有无过错进行举证证明。
过错是主观要件,但是在《个人信息保护法》已对个人信息处理者的个人信息保护义务作出明确规定的情况下,这一主观要件通常可以客观化为侵权人未尽法定义务。这会导致加害行为要件与过错要件在证明上的重合:个人信息处理者为了证明其不可能泄露个人信息,多数时候只能就其尽到法定义务进行举证;而为了证明其无过错,需要再次证明其尽到了法定义务。但要注意的是,二者证明的目的不同,证明的逻辑也不完全相同。对于前者而言,个人信息处理者通过对其履行个人信息保护义务情况的举证,旨在证明个人信息不可能由其泄露。这是对泄露个人信息侵权责任客观要件的否定。对于后者而言,个人信息处理者要证明的是,尽管泄露了个人信息,但它对此无法预见也无法阻止,因此不应将损害归咎于它。在实践中,通过尽到法定义务来证明无过错的空间很小。除非有某种无法预测、也无法防范的外力介入,比如最新黑客技术的出现、大范围的互联网故障等等,个人信息处理者很难在个人信息泄露已被确认的情况下声称无过错。相比之下,较为可取的免责途径还是通过证明其尽到了法定义务,来否定信息可能由其泄露这一事实本身。这也是此类案件中的争点大多数时候只有一个,即个人信息处理者是否泄露了权利人的个人信息的原因。
四、多数个人信息处理者背景下的证明困境及应对
(一)实体法方案的选择
如文章开头提到的,在个人信息泄露案件中,被告个人信息处理者常常会主张,还有其他主体掌握权利人的个人信息,不能认定就是它泄露了信息。逻辑上,如果侵权人无法锁定,侵权责任就无从谈起。但是,对权利人来说,证明一个主体有高度可能泄露个人信息已经很困难,从数个个人信息处理者中间证明究竟是哪个泄露了个人信息,就更几乎是不可能完成的任务。
对上述难题,除了前文提到的“证明责任倒置说”和“证明标准降低说”外,还有学者从实体法角度给出了解决方案。一个方案是类推适用高空抛物规则。有学者认为,对于加害人不明的个人信息侵权案件,不妨类推适用高空抛物规则,即由所有个人信息控制者共同分担责任,但允许个别控制者通过证明其未实施侵权行为实现免责。理由是,此类案件在形式和实质上都高度类似高空抛物,类推适用高空抛物规则可以避开加害人不明的问题,化解权利人的证明困境。另一个方案是类推适用共同危险行为责任。有学者认为,在个人信息控制者为多数以至于无法锁定谁是侵权人的情况下,可以类推适用《民法典》第1170条的共同危险行为责任。即,将所有控制个人信息的共同处理者视作造成个人信息泄露的共同危险行为人,通过因果关系推定规则,让这些共同处理者对因个人信息泄露造成的损害负连带责任。有学者进一步指出,该方案的理论基础在于因果关系要件的整体评价说。所谓整体评价说是指:“将各个行为人所实施的危险行为视为整体,评价该整体行为与损害之间的因果关系,如果整体行为与损害之间的因果关系成立,则各个单独行为与损害之间的因果关系即告成立,除非各个行为人可以举证证明其单独行为与损害结果不具有因果关系而退出该整体行为。” 这一方案在比较法上有《德国联邦数据保护法》第83条第3款作为支持,在我国民法学界也渐成主流之势。
从缓解权利人证明困境的角度来看,上述两种方案可谓殊途同归。两种方案都是经由共同被告与损害之间的抽象关联,直接推定所有被告都与损害具有因果关系,从而解决了权利人对因果关系的证明难题。但是,共同危险行为中权利人的证明负担无疑更重。它至少要求权利人证明所有可能的潜在侵权人都实施了具有危险性的行为,即每个行为都可能导致侵害的发生。而高空抛物责任则是诉诸潜在侵权人在物理上的关联,比如同住一个单元,并不考虑每个被告是否从事了法律禁止的行为。在法律推定中,基础事实与推定事实之间通常有一定的盖然性联系。 如果说这种盖然性联系在共同危险行为中依然清晰,那么,在高空抛物中,就显得非常牵强。这也是高空抛物责任在我国广受批评的原因:这一制度把一群什么都没做的人拉进责任承担范围,从根本上背离了侵权法上的“肇因原则”。关于肇因原则,相比之下,共同危险行为责任虽然也大大减轻了权利人的证明负担,却并未放弃肇因原则。无论如何,每个行为都可能导致侵害发生,这是共同危险行为责任必须坚持的前提。从这个意义上,共同危险行为责任在权利人与责任人之间确立的风险分配更精细,也更均衡。因此,在个人信息侵权中类推适用共同危险行为责任更为妥当,而类推适用高空抛物责任,则存在过度保护权利人的嫌疑。
但是,某些学者的论述,正在模糊上述区别。在一篇专门讨论这一问题的论文中,阮神裕博士重点介绍了证据整体化的理论。在他看来:
共同危险行为制度之所以在举证上对受害人加以特殊的保护,根本原因在于各个行为人所实施的行为相互联结,从而使受害人陷于无法辨别谁是真正的加害人的困境。这一举证困境不能由无辜的受害人承担,而应当由造成这种困境的行为人来承担。因此,立法者允许受害人将所有行为人所实施的行为视为一个整体,只要证明各个行为人的“整体行为”与权益侵害的因果关系成立,即可推定“个别行为”与权益遭受侵害之间存在因果关系。
按照这种思路,共同危险行为人之所以承担责任,不是因为其行为具有“危险性”,而是因为其行为造成了“证据损害”。阮文所谓证据损害,不是证据法上意义的证明妨害,而是指争议行为本身所导致的,受害人无法进行有效证明的处境。比如,在个人信息侵权案件中,“当数个信息控制者参与同一个人信息的收集与处理时,这一经营活动本身就蕴含着证据损害现象。在这样的案件中,也许受害人确实无法证明信息控制者是否实施了特定的作为或者不作为,但是数个信息控制者所实施的信息共享或者共同处理的经营活动,造成了受害人无法识别谁是具体加害人的举证困境”。在阮文看来,这才是在此类案件中采因果关系推定的关键理由。
上述论述具有启发性,但从证据法的角度,其确立证明责任分配的实质性依据或有偏颇。共同危险行为责任的出现,的确是为了解决权利人面对多数潜在侵权人时的证明困境。从这个角度而言,强调共同危险行为与权利人证明困境之间的关联,无可厚非。但是,如果仅仅因为证明困境存在就采取整体因果关系推定,则缺少正当性。在证据法上,确定证明责任分配最重要也最基本的实质性基础是“进攻方原理”,即启动司法程序的当事人,应就其寻求救济的权利构成要件承担证明责任。在侵权责任中,因果关系原则上应由权利人证明,正是进攻方原理的体现。作为一种侵权法上的责任,共同危险行为责任不能只考虑权利人的证明困境,也要兼顾潜在行为人基于肇因原则而应受保护的行动自由。为了平衡这两种价值,在对潜在侵权人进行因果关系推定时,必须加入行为危险性的要件。一个没有任何危险性的行为,仅仅因为客观上引起了权利人的证明困境就被推定为共同侵权,这样的推定在风险分配上难言正当。因此,对侵权人不明的个人信息泄露案件类推适用共同危险行为是可行的,但前提是,必须坚持行为人行为的“危险性”标准。
(二)《个人信息保护法》第22条的定位
与此相关的是《个人信息保护法》第22条。该条规定:“个人信息处理者共同处理个人信息,侵害个人信息权益造成损害的,应当依法承担连带责任。”就该条的定位,民法学界存在争议。一种观点认为,该条属于参引性条款,其中“依法承担”的表达,意味着共同行为人根据共同侵权行为的类型和特征,分别适用《民法典》第1168—1172条。另一种观点认为,本条属于独立的请求权规范,因为通过“依法”二字不能清晰判断所参引的规范条文,而本条本身就包含了完整的构成要件和法律效果。持该观点的学者认为,由于信息处理者与信息主体在实际地位上不平等,立法政策上应强化对处于弱势地位的信息主体的保护。鉴于第22条在规范意旨上恰恰与《民法典》上的多数人侵权行为存在相通之处,无须通过“依法”实现参引规范的目的而限制连带责任的适用。基于这一认识,该学者在分析该条构成要件时指出:
在共同处理者责任中,受害人也须证明共同处理行为和损害之间存在足够的直接联系。但这并不要求逐一证明每个处理者的行为与个人信息权益受侵害都存在因果关系。共同处理者的整体性认定,可以掩盖对个别处理者行为与损害后果之间因果关系的可能的怀疑。
本文赞同第一种观点。除了立法史论据外,一个更重要的考虑是,如果按照第二种观点,共同信息处理者依据《个人信息保护法》第22条所应承担的责任将极为严苛。按照这种观点,只要存在共同处理个人信息的行为,所有共同处理者都将自动成为共同侵权人,对权利人的损害后果负连带责任。这是一种比《民法典》第1170条更严厉的责任,因为它完全不考虑个人信息处理行为的合法性,或者说,完全剔除了共同危险行为中“行为危险性”的构成要件。毕竟,个人信息处理行为无论如何不能被一般地视作“危险行为”。
在关于共同个人信息处理者责任的讨论中,学者经常援引《德国联邦数据保护法》。该法第83条第3款规定:
在自动数据处理的情形下,倘若无法查明多个数据控制者中究竟是谁导致损害的发生,则每个数据控制者或权利行使者都应承担责任。
这意味着,在自动化数据处理的场合,如果存在复数的个人信息控制人,则采因果关系推定规则。而在非自动数据处理的场合,通过类推适用《德国民法典》第830 条第1 款第2 句,同样会导致因果关系推定的效果。不少学者从该条出发,认为我国《个人信息保护法》也应在共同信息处理的场合采纳这一规则。
笔者对此持怀疑态度。一方面,《德国联邦数据保护法》第83 条的适用范围有限。因为《欧盟通用数据保护条例》不适用于安全、刑事和刑事执行领域的个人数据保护,欧盟关于刑事领域的数据保护指令[RL-(EU)-216/680]第56条专门对此作出了规定。该指令在德国法中的体现就是《德国联邦数据保护法》第83条。因此,在德国法上,《德国联邦数据保护法》第83条与《欧盟通用数据保护条例》第82条分工明确,前者适用于安全、刑事领域的个人数据保护,后者适用于其他场合的个人数据保护。国内学者对此分工多有忽略,但这一点其实非常重要。因为,作为行使特定刑事司法权力的国家机关,其个人信息处理行为与一般经济交往中的个人信息处理显然不同。要求这类共同个人信息处理者承担较重责任,更能够凸显个人信息保护法的预防功能。另一方面,在德国,一般经济交往中的个人信息处理仍适用《欧盟通用数据保护条例》第82条。尽管按照该条第4款,共同信息控制者和处理者要对损失负连带责任,但前提是,根据该条第2款和第4款,所有共同信息控制者、处理者都应对损失承担责任。换句话说,只有当每个控制者或处理者的单个责任成立时,共同控制者、处理者的连带责任才成立。这里并不存在任何形式的因果关系推定。可见,适用于所有共同信息处理者的因果关系推定,在德国法上不是常态,而是例外。之所以如此,盖因这一规则对于普通个人信息处理者过于苛刻,不利于相关产业健康发展,也未必利于公民个人信息的有效利用。
(三)共同危险行为责任的程序展开
按照上文讨论,在复数主体控制权利人个人信息的案件中,可以通过《个人信息保护法》第22条的转介规定,类推适用《民法典》第1170条的共同危险行为责任。这在程序法上如何实现?这里运用上文提到的证据法原理,对这类案件中的证据调查略作展开。
首先,被告提出还有其他个人信息控制者存在,这在证据法上应定性为否认。这与被告主张“权利人本人、或其亲友也掌握个人信息,因此也可能泄露个人信息”一样,都是对被告泄露个人信息这一主张的具体化否认。与在这些情形中一样,单纯控制信息并不能成为有效的否认。在存在共同个人信息处理者的场合,原始被告至少要证明,该共同处理人对个人信息进行了实际处理,其处理流程和安全机制上可能存在漏洞,等等。这一证明所需达到的强度,不妨比照权利人对单个被告泄露个人信息进行初步证明所需达到的程度。也就是说,被告至少要让法官形成“该第三方信息控制人有可能泄露个人信息”的临时心证,其否认才能成立。
其次,对被告提出的这类主张,法院应根据其证明情况予以处理。如果法官认为第三方泄露个人信息的可能性不大,应直接驳回否认。如果法官认为第三方有较大可能泄露个人信息,则应向权利人释明,告知其本案可以适用共同危险行为规范,权利人有权申请追加第三方信息控制者为共同被告。这是因为,一旦法院确认共同信息控制人有泄漏个人信息的较高可能性,就不妨认为,多个个人信息处理行为都具有危险性。这种情况下,权利人有权根据《民法典》第1170条,请求该第三方信息控制者承担连带责任。当然,权利人也可以不申请追加。因共同危险行为引起的连带责任之诉,在诉讼形式上属于可分之诉,原告有权选择一个或多个共同危险行为人作为被告来起诉。
再次,如果法院追加了其他个人信息控制者,案件就应适用共同危险行为责任进行审理。由于原始被告已经初步证明该被追加共同被告有较高可能泄露个人信息,关于其行为危险性的证明实际上已经完成。这种情况下,根据危险行为责任的法理,共同被告的不当个人信息处理行为与权利损害后果之间的因果关系被推定成立。而每个被告只有证明其不可能泄露个人信息,才能推翻这一推定。证据法上,被告为推翻因果关系推定所进行的证明是本证,要达到高度盖然性的证明标准。这与单个被告就其否认进行的反证性质不同,二者所需达到的证明程度也不同。但这种差别也许只有理论上的意义。其一,在考虑到当事人证明可期待性的背景下,即使在单个被告的案件中,被告对泄露个人信息的反证负担也相当繁重。其二,无论本证还是反证,被告所能做的无非是披露其个人信息处理过程、个人信息保护政策和具体举措等等,以此来说服法官相信,原告个人信息不可能是从它的平台泄露的。
最后,如果权利人一开始就起诉多家个人信息控制主体,则应当证明每个主体都有高度可能泄露其个人信息。这种情况下的泄露可能性证明,其实也就是每个共同被告行为危险性的证明。不过,从寻求救济的实效性出发,权利人这么做的意义并不大。起诉的潜在责任人越多,需要证明的危险行为也就越多。而关于每个个人信息处理者有可能泄露个人信息的证明负担,不会因为被告增加而有任何改变。
综上所述,被告提出存在其他信息控制人的主张,并不会给个人信息泄露侵权诉讼造成重大冲击。被告如果无法证明这些主体有较高可能性泄漏信息,这种否认主张就无效;如果证明了这种可能性,权利人又可以转而诉诸共同危险行为责任。也就是说,权利人依然可以基于《民法典》第1170条的共同危险行为责任,选择向某一个个人信息处理者主张责任。就原始被告而言,无论第三方泄露个人信息的可能性是否得到证明,其处境都不会有任何改善。绝大多数情况下,作为此类案件中的被告,只有证明自己不可能泄露个人信息,才能真正实现免责。
而共同危险行为责任的证据法意义就在于:它解决了行为人用一个潜在加害行为否定另一个潜在加害行为时的证明难题。在普通侵权诉讼中,一旦个人信息处理者证明还有其他主体可能泄露个人信息,权利人就会陷入无法锁定侵权人的困境。通过引入因果关系推定,共同危险行为责任化解了这种困境。从这个意义上,共同危险责任与其说是一种实体法上的制度创造,不如说是一种诉讼法上的证明困境缓解策略。这种策略的正当性在于:一方面,如果允许行为人通过证明存在其他潜在侵权人存在而免责,权利人就会彻底丧失获得救济的机会;另一方面,既然数位行为人都从事了可能导致侵害的行为,对其中任何一个人进行追责,在道德上也无可厚非。这两方面相辅相成,缺一不可。在个人信息泄露案件中,被告对其他主体可能泄露个人信息的证明,本意是为了动摇法官关于其本人可能泄露个人信息的临时心证。但在引入共同危险行为的视角后,这种证明可能产生证明第三方的个人信息处理行为具有危险性,从而应当适用共同危险行为责任的效果。一句话:单独侵权责任排除,则共同侵权责任确立。而一般侵权责任与共同危险行为责任,也因为“第三方泄露可能性”与“共同处理行为危险性”在诉讼证明上的重叠,实现了无缝衔接。
司法实践中,未见法院在此类案件中适用共同危险行为责任。不过,在某些案例中,法院通过其他审理路径,得出了大体相近的处理结果。这里以庞某诉Q公司、D航空公司隐私权纠纷案为例,对法院在此类案件中的审理思路进行分析。
案例4 在庞某与被北京Q公司、D航空公司隐私权纠纷案中,被告D公司提出,“D公司所用系统是Z公司开发维护的,并且Z公司也掌握D的旅客信息,因而更有可能是Z公司泄露庞某隐私信息”。二审法院认为,虽然“Z的确与D公司、Q公司一样存在泄露庞某信息的高度可能。但是,本案中,庞某并没有起诉Z,而Z也并非必须加入本案诉讼……如果本案中D公司和Z公司都泄露了庞某的隐私信息,则D和Z基于各自的泄露行为均应向庞某承担侵权责任,此时,D和Z对庞某构成不真正连带责任……庞某起诉了D公司和Q公司,而没有起诉Z公司,可以认为系庞某行使了选择权”。另外,“在对外关系上,即便是Z公司泄露了庞某的隐私信息,也可以由D公司首先承担责任。D在承担责任后可以依据其与Z之间的服务合同条款,在相关证据具备的情况下,向Z主张权利”。
本案中,二审法院通过不真正连带责任中的原告选择权,回避了被告提出的Z公司也可能泄露个人信息的质疑。判决说理的前提是,三家主体都泄露了庞某的个人信息。在逻辑上,如果只有一家个人信息处理主体,经由高度盖然性证明标准的运用,可以认定该主体泄露了个人信息。但是,如果同时存在三家可能泄露个人信息的主体,最可能的情况是只有一家主体泄露了个人信息,而不是三家主体都泄露了个人信息。因此,三家主体都泄露了个人信息的假设不符合常理。在类似案件中,法院要么从侵权出发,认为被告对其合作的第三方主体同样承担个人信息安全义务,或者有义务保证合作方尽到安全保障义务;要么从合同关系出发,认为第三方主体不是合同当事人,或者虽然是本案当事人,但被告不能证明原告了解其存在,因此不能要求后者担责。姑且不论这些论证在实体法上是否成立,在程序法上,所有这些论证显然都无法真正化解这类案件中的证明困境。无法回避的问题是:既然无法锁定侵权人,法官为何能判本案被告承担责任?在普通侵权诉讼中,其他同等地位的潜在侵权人的出现,会让加害行为与损害后果的因果关系中断。民法上,修复这一中断因果关系的唯一办法就是类推适用共同危险行为责任。在共同危险行为责任中,只要权利人证明每个行为人都从事了可能导致损害发生的危险行为,就推定所有危险行为都与损害有因果关系。这正是个人信息泄露案件中的典型场景:多家主体都有泄露消费者个人信息的高度可能性,这种可能性构成了这些个人信息处理行为的危险性;基于这种共同的危险性,这些主体应当对损害负连带责任。只有在共同危险责任的逻辑中,法院才能忽略实际加害人尚未锁定这一事实,对权利人选择追诉的那个主体进行追责。
结语
在不明第三人利用平台掌握的个人信息进行侵权的案件中,如果权利人向个人信息处理平台追责,需要证明是平台泄露了其个人信息。这一证明尽管有难度,但通过“权利人进行可期待的初步举证—法官形成临时心证—平台进行可期待的反证—法官形成终极心证”的方式,法官对平台是否泄露个人信息,可以形成满足审判之需的心证。至于被告提出的还存在其他个人信息控制者的主张,在性质上属于对其不当个人信息处理行为与权利人损害之因果关系的否认,主张者应当对此进行必要的证明。如果被告证明第三方平台同样有可能泄露权利人个人信息,则案件转而适用共同危险行为责任,权利人有权申请追加该第三方平台作为共同被告。按照这样的设计,被告提出第三方也控制个人信息的主张,只是增加了权利人可以追责的主体范围,并不会对案件的证据调查产生实质性影响。
由于网络时代个人信息处理的特殊性,对于个人信息泄露与损害后果因果关系的证明非常困难。就此证明难题,学界提出了证明责任倒置说、证明标准降低说、类推适用高空抛物说、类推适用共同危险行为说等观点。本文认为,证明责任倒置和证明标准降低都不合理,也无必要。在只有一个个人信息处理者的情况下,通过临时心证和证明可期待性理论的引入,足以解决因果关系的证明难题。而在复数平台控制个人信息的情况下,高空抛物说过分强调对权利人的保护,亦不足取。本文认为,对此类案件,可以类推适用共同危险行为,但是,不能放弃对每个处理行为“危险性”的考察。这里的危险性,就是个人信息处理平台泄露个人信息的可能性。掌握或者处理个人信息不构成危险行为,只有处理个人信息的方式有可能导致个人信息泄露,才构成危险行为。只有这样处理,才符合侵权法和证据法上的一般原理,也才能实现对权利人与个人信息处理平台的均衡保护。
本质上,本文是一个运用经典证明责任原理处理新型案件证明难题的尝试。通过这一尝试,笔者希望展示经典理论的包容性,及其面对新型问题时的有效性。是否成功,就留待学界评判了。
转自:“法学学术前沿”微信公众号
如有侵权,请联系本站删除!
