侵害众多个人信息该如何承担民事责任 在司法实践中,对网络背景下侵害众多个人信息的行为如何全面、合理追责一直存在争议。长期以来,由于系统治理尚未完全形成、诉请不一、裁判标准不统一等原因,导致存在实践做法不一、民事责任承担不到位等问题。个人信息保护法施行后,对相关行为的规制更加严格,对法律责任的规定也更加严密。 落实民事责任承担优先原则的必要性 在立法层面,明确并科学设置法律责任是保障法律实施效果的必要前提,也是实现立法目的最有效手段。在网络背景下,对侵害众多个人信息的行为进行规则,通过追究相应法律责任,对违法行为在法律上给予否定性评价和谴责,对合法权益予以保护、赔偿或补偿,实现惩罚、救济、预防的功能非常重要。在立法和司法实践中,比较常见的是根据法律责任的类型进行分类。网络背景下侵害众多个人信息的行为,依法应当承担相应的民事责任、行政责任、刑事责任。其中,民事责任具有基础性、前置性等特点,在追责时应优先提倡。行政责任、刑事责任在违反法律规定、具有危害性且有必要追究时才承担,并受到严格的程序规制。首先,法律对责任承担、财产支付顺位等有明确规定,遵循了民事责任承担优先原则。其次,刑法的二次性评价原理也遵循了法律责任的层次性,提倡了民事责任承担优先原则。再次,司法实践中法律责任的承担状况不理想,需要落实民事责任承担优先原则。 网络环境下侵害众多个人信息行为承担民事责任的方式 需要进一步研究的是,网络环境下侵害众多个人信息的行为承担民事责任的方式。个人信息保护法第69条规定将相关责任表述为“损害赔偿等侵权责任”,消费者权益保护法第5条规定“经营者侵害消费者的人格尊严、侵犯消费者人身自由或者侵害消费者个人信息依法得到保护的权利的,应当停止侵害、恢复名誉、消除影响、赔礼道歉,并赔偿损失”,给司法实践予以重要的指引,但是,因涉及私益诉讼和公益诉讼的争论等学理和实务问题,对承担民事责任的具体方式意见并不统一。在司法实务中,有必要厘清相应边界,防止重复追责,但也要加强协调,防止追责不到位。 考量网络环境下侵害众多个人信息行为的特质和现状,实践中更适合通过公益诉讼予以追究相应责任,但不影响同一侵权行为的受害人根据民事诉讼法第119条规定提起诉讼。当然,私益诉讼可以从公益诉讼中获得诉讼便利和适当补偿等。公益诉讼制度在个人信息安全领域被赋予更多期待,有必要强化以下具体诉讼工作。 一要强化损害赔偿责任的追究。个人信息兼有人格属性与财产属性,一旦遭泄露或者不当使用,将使个人遭受实际损害或者对人身、财产带来较大风险。个人信息易被复制和转移,且个人很多时候没有察觉受侵害,使得潜在风险长期存在。需要注意的是,有些损失不容易量化并非没有损害。对于网络环境中的大规模违法处理个人信息行为,存在受害者众多、举证难度大、侵害隐形化、造成损失难量化等实际情况,客观上无法查明亦无必要查明被侵权人的具体损失,可依据法律规定按照获益或由审判机关考虑案件情况酌定。侵害个人信息案件中,存在以交换、使用虚拟货币等手段规避民事责任的情况,造成“账面”获益少,应由审判机关确定赔偿数额。关于实害的具体证据,从实践看,因为人数众多不可能一一列举,且事实上个人信息被侵害而导致的损害,属于众所周知的问题,个人信息保护法明确采用过错推定责任。学界和实务界可以吸收环资类、食药类等案件中鉴定评估方法,研究个人信息安全领域中侵害方式、持续时间、影响区域、侵害信息种类、敏感程度、来源方式、侵权人与受害人职业等因素的影响大小,探索相应损失的认定、鉴定或评估方法;还可以做替代分析研究等。比如,反垄断法第50条规定:经营者实施垄断行为,给他人造成损失的,依法承担民事责任。垄断行为对经济秩序的破坏,对其他经营者、消费者的损害显而易见,一些研究者利用经济学、数学等进行研究分析,值得借鉴。 二要落实消除危险、停止侵害、赔礼道歉等责任的承担。根据民法典第995条规定,人格权受到侵害,受害人有权依照法律规定请求行为人承担民事责任。受害人的停止侵害、排除妨害、消除危险、消除影响、恢复名誉、赔礼道歉等请求权,不适用诉讼时效的规定。网络环境中的大规模违法处理个人信息的行为,涉案的个人信息不能通过传统的扣押、没收等方式解决,即使行政机关等积极作为,囿于司法成本、技术等因素也不能穷尽保护手段,侵权人仍有消除危险、停止侵害等义务。具体刑事办案中,刑事追责后,很多涉案个人信息还存留在服务器、网盘或未被查证的存储介质中,相应信息没有被删除,存在继续被处理或泄露的可能性,仍需要求侵权人采取相应措施,消除风险。 三是要依法追究相关单位、其他自然人的民事责任。侵害个人信息的刑事案件中,被告人一般为自然人,有的涉案单位、其他自然人可能因刑事追责标准等因素影响而未被追究刑事责任。但相关单位、其他自然人如在侵权行为中有共同侵权行为,依据民事法律,仍应依法承担连带责任。例如,网络用户利用网络服务实施侵权行为的,权利人通知网络服务提供者采取删除、屏蔽、断开链接等必要措施,网络服务提供者接到通知后,应当及时将该通知转送相关网络用户,并根据构成侵权的初步证据和服务类型采取必要措施;未及时采取必要措施的,对损害的扩大部分与该网络用户承担连带责任。民事诉讼中还可依法追加相应单位、自然人为被告,不一定要与刑事案件被告人一致。即使单位没有过错,但是,在一些特殊情形下也需要承担民事责任,比如替代责任等。雇主承担替代责任的依据就在于,雇员实施的违法行为与雇主授权实施的行为之间的关联程度,是否密切到可以公平、恰当地将雇员实施的违法行为视为其在执行职务过程中通常所实施的行为,雇主对雇员在职务范围内和执行职务过程中的行为应当承担责任。如企业未尽到相应保护义务,则直接承担连带责任。金融、房产、快递、科技等行业都需要加强企业合规经营,防止客户信息泄露或被违法处理。如未尽到相应审慎义务,单位或相应责任人员除了要承担相应的行政责任外,依法还应承担相应民事责任。 此外,在民事责任的追究中,认定的侵权事实可以不同于刑事、行政案件中认定的事实。因为在刑事、行政案件办理中具有更严格的证据要求、证明标准,甚至大多数举证责任也由有关机关承担。而在民事案件中,“高度盖然性”的证据标准不同于“事实清楚、证据缺失充分”的刑事证据标准。个人信息保护法第69条第1款还确立了侵害个人信息的过错推定责任。 综上所述,针对网络背景下侵害众多个人信息的行为,在追究相应法律责任时应优先承担民事责任。这一优先并不否认刑事打击和行政管制,而是厚植法律责任基础,特别是厘清相应法律责任的层次性,并通过合适的诉讼制度予以实现。