侵权抑或不当得利：个人信息泄露的民事救济路径之辨

在个人信息泄露愈演愈烈的背景下,美国已开始运用不当得利规则救济受害人。传统侵权救济路径下,由于损害认定的争议,受害人往往难获救济;即便引入“风险性损害”,其理论缺陷也会阻碍实践应用,包括压抑个人行为自由、混淆损害发生风险与损害扩大风险、混淆风险预防与风险损害赔偿、不符合“成本—效益”原则等。美国判例表明,个人信息处理者不当利用个人信息获取的收益构成“积极”不当得利;还可运用超额给付和商业机会理论,将个人信息处理者不当克扣的安保费用认定为“消极”不当得利;其说理路径在中国具有可适用性。相比于侵权救济,不当得利救济路径具有优势：不当得利之损失的认定难度小于侵权之损害;不当得利返还数额不受填平原则和禁止得利原则的限制;发生下游显著损害时,受害人可同时请求侵权赔偿。司法实践中,可根据不同情形灵活认定不当得利,并借鉴消费类民事公益诉讼,在不特定受害人群体中妥善分配返还的利益。     

论个人信息权益滥用的私法规制

个人信息保护是当前理论和实践中的重要议题，但呈现保护有余而限制不足的现象。个人信息权益限制存在权利构成限制和权利行使限制两种模式，现行法主要采取的权利构成限制模式面临现实困境。以《民法典》禁止权利滥用原则为依据的权利行使限制模式对于限制个人信息权益具有必要性、可能性和优越性。个人信息权益滥用情形包括违反目的、利益失衡、矛盾行为、滥用形式瑕疵以及滥用诉权等多种表现形式。为合理构建个人信息权益滥用的判断标准，应将利益相关第三人纳入信息主体行使权益侵害对象之范围，将个人信息保护中的公共利益限定在合理范围，并构建以合理性和合法性为要素的权利行使行为的可苛责性分析框架，严格遵循司法救济的前置程序，并采取区分判断的方法。     

论个人信息侵权中的“损害”

数字时代背景下,个人信息侵权中的损害与传统私法中损害的经典概念之间存在龃龉,使得个人信息侵权难以被损害赔偿请求权所涵盖。《中华人民共和国个人信息保护法》第69条中的损害包括财产损害与非财产损害,但司法实践中几乎不存在财产损害;同时,作为精神损害赔偿适用要件之一的严重精神损害也较少出现。个人信息侵权的实质是对人格利益,即人格自由与尊严的损害,从损害救济角度来看,传统的“损害”概念应当进行革新与扩张。故而,将非严重精神损害与升高的未来风险纳入个人信息侵权损害概念体系之中,具有一定的理论基础与比较法解释基础。为了促进《中华人民共和国个人信息保护法》的适用和对被告予以充分威慑,文章认为,应当基于损害类型构建赔偿责任体系,淡化精神损害赔偿认定的标准,引入惩罚性赔偿制度,确定侵害个人信息权益的小额损害最低赔偿限额。     

个人信息侵权责任规则解释论——基于《民法典》第998条的联动解释

《个人信息保护法》第69条规定了个人信息侵权责任的请求权基础与损害赔偿范围的确定基准,如何理解和适用该规定是学界的一大难题。受动态系统论的影响,《民法典》第998条确立了法律效果的弹性评价机制,基于规范目的和法律适用关系的双重考量,应当运用于个人信息侵权责任规则的解释论作业中,但在侵权责任构成与损害赔偿范围方面发挥作用的机理不同。具体而言,在侵权责任构成领域内,该条主要在构成要件框架下起到辅助法官判断的作用,赋予法官一定自由裁量权;而在损害赔偿范围领域,通过充当评判法原理充足度的因子,强化法官的价值衡量与论证义务,使得评价结果趋于弹性化,实现个案正义。     

论个人信息侵权责任中的因果关系

个人信息侵权责任中的因果关系可区分为侵权责任成立的因果关系和侵权责任范围的因果关系两个层次。前一个层次为个人信息处理者的处理行为与个人信息权益被侵害之间的因果关系，并通过条件说加以判断。如果多个处理者从事共同处理活动或共享个人信息，在无法确定何人的处理活动侵害个人信息权益时，可将该数个处理者作为整体看待。只要能够证明该整体的活动对于侵害个人信息权益存在高度可能性，责任成立的因果关系即可确定。后一个层次为个人信息权益被侵害与损害之间的因果关系，并通过相当因果关系说加以判断。就第三人利用个人信息给信息主体造成的人身或财产损害的情形，处理者是否需要承担赔偿责任应区分所处理的是敏感的还是非敏感的个人信息而加以判断。     

网络社会个人信息侵权问题研究

随着信息社会中各种个人信息侵权案件的大量发生,传统民事法律将个人信息置于隐私权之下的保护模式已越来越不能满足人们对个人信息利益保护的要求。个人信息侵权符合民事侵权行为的法律构成要件,因此,应将个人信息权确立为一种新的民事权利,而且应在遵循合法原则、告知原则、安全和完整原则和利益平衡原则基础上完善与个人信息保护相关的法律制度,建立包括辅助侵害责任和代理责任制度和信息侵权惩罚性赔偿制度在内的法律法规。     

个人信息保护的权利基础探析

个人信息保护本质在于践行公平信息实践原则,秉承利益衡量理论,贯彻保护利用并举。比较国际社会的立法模式,欧美趋同于"积极确权+行为规范"的保护模式。中国单一的"行为规范"模式暴露出权利基础缺位的制度性弊端。继《民法总则》后,《民法典》"隐私权与个人信息保护"专章未完成个人信息权的续造。《个人信息保护法》出台后,"根据宪法,制定本法"的表述使个人信息保护的宪法位阶明确。国家尊重和保障人权,公民的人格尊严不受侵犯,公民的通信自由和通信秘密受法律的保护,为基本权利范畴的个人信息保护提供了宪法规范基础。在确立个人信息保护基本权利的概念表达时,应与权利内涵保持一致。数字时代的个人信息保护除应延续传统立法所强调的侵害防御机制外,更应关注个人信息的积极利用,以及基于人格自由发展所要求的对个人信息财产性利益的保护。那么,采用"个人信息权"的概念表述,确认个人信息之于个人利益的实质价值,赋予个人对其个人信息享有完整权利形态,内含个人信息受法律保护的基本要求,也为权利内容的细化留有空间。如此,可在宪法"个人信息权"的统合下,以人格尊严及其自由发展为核心,通过发挥基本权利的主观防御权功能与客观价值秩序功能,在公、私法领域实践国家保护义务,分别形成私法上以客体支配导向,保障个人信息自决的具体人格权,与公法上以行为规制导向,保障个人实质参与的程序性权利集合。而作为基本权利的个人信息权唯有落实到个人可具体主张法律保护与救济的民事权利时才有赋权之意义。基于此,检视《民法典》中个人信息所属的"民事权益"已具备升级为"民事权利"的充分条件。区别于一般人格权、隐私权等属性,个人信息权在我国民事权利体系中可确定为具体人格权。以民法典的原则性规范,人格权法的独立权属定性,个人信息保护法的权利体系构建,可渐次实现个人信息权从顶层设计到全面布局的逻辑推演。     

个人信息权二元利益保护

个人信息权是信息主体对于自身个人信息所享有的权利,该种权利除了体现信息主体的人格尊严外还囊括了相应的经济利益.个人信息权利的保护包舍着对人格利益与财产利益的双重保护,二者缺一不可.当前学界对于个人信息权二元利益的保护存在多种保护路径,但均存在不合理之处,并且会破坏现有法律体系的架构.因此,可以在现有法律体系下,依靠侵权法保护路径对个人信息权利进行全面救济.     

个人信息权的违约责任保护之探讨

传统法律框架内,侵犯个人信息权的行为通常视为侵犯公民隐私权,其法律保护模式往往是侵权法保护。在信息经济市场,个人信息的市场资源属性日益显现,个人信息的合同化收集方式逐步成为主流,在法律保护上,与此相适应的违约责任保护模式亟待建立,个人信息权违约责任保护可以与侵权责任保护模式实现良性互补。以个人信息权的违约责任保护为立足点,重点研究确定个人信息控制者的合同责任、违约责任构成、违约形式、违约赔偿责任范围及标准,以构建网络实名制环境下个人信息权的合同法保护模式。     

个人数据处理中权益的冲突与和解

个人数据处理牵涉诸多利益攸关者,引发权益冲突。提出一种有效的逻辑思维实现冲突和解是本文的目的。通过类型化表达分析个人数据权益冲突是本文研究的一种方法。利益上升为权利,获得法律的强制力保护。个人数据权益冲突发轫于其使用价值,有严密的内在形成机理,又表现出多种样态。通过利益衡量方法论的指引选择正义论作为本文推导出“利益——权利”逻辑思维和解路径的理论基础,并在此基础之上,提出不同的个人信息权利观、数据财产权利观,形成个人信息权、数据财产权、数据合理使用、公共利益等多角度思维模式架构,是对现有研究成果的一种发展和创新。     

个人信息侵权法保护的价值与理据新论——基于大数据悖论的分析视角

为有效应对信息科技发展引致的个人信息保护和信息产业发展的矛盾冲突,必须创新优化个人信息侵权法保护的制度设计,肯定个人信息受法律保护的同时又限制信息主体的排他性控制权,制衡“数据权力”以抑制个人信息处理者的恣意和滥权,谋求信息时代人权保护以及为信息产业内置发展空间的“双赢”。基于大数据透明化悖论、权力悖论、身份悖论的视角,个人信息处理事实上同时存在正负效应双重外部性,这决定了个人信息法律保护不能仅依赖“基于权利的方法”,还应直面大数据时代面临的认知和结构困境,并“基于风险的方法”对个人信息的法律保护进行路径重构。大数据悖论决定了个人信息侵权法保护的价值取向不能简单化、绝对化,其实质是要求在信息处理者秘密搜集处理信息与个人主张信息处理透明化、信息处理者的数据特权与个人对信息权利的“让渡”或“牺牲”、信息处理者识别个人身份与个人主张身份隐私保护等博弈关系中求得优解。为此,个人信息侵权法保护的价值既要定位于保护公民个人的人格尊严,保障数字时代人权,又要衡平信息有序流动、跨境交易以及信息产业发展中的各方利益。大数据悖论非但不应成为个人信息权利保护、政府信息治理权力、信息产业发展间“非零和博弈”的...     

职务侵权责任若干问题探讨

狭义的职务侵权仅指国家机关或者国家机关工作人员在执行职务中,侵犯公民、法人的合法权益的侵权行为。职务侵权责任具有责任主体的特定性、赔偿原因的职权性、可归责的违法性以及权益的实际受损害性几个方面的法律特征。职务侵权因侵害民事权利,违反民事法律规定而应承担的法律责任,从我国立法和法理上考察,职务侵权责任是自己责任而非替代责任。应在未来立法中作出系统、全面的规定。     

个人信息刑法保护的理性思考

从侵犯个人信息犯罪之立法变革可以看出对此类犯罪的刑法规制缺乏统一的前置法、刑法条文表述不准确、处罚行为范围较狭隘、救济程序不完善等诸多问题。为合理规制侵犯个人信息类犯罪,建议通过加快统一前置法的立法进程、删除刑法条文中不恰当的表述、明确刑法对此类犯罪的处罚范围、完善法律救济程序、建立国际间合作等方式,加强对个人信息的全面保护。     

个人数据损害的类型及其确定

依告知同意原则构建的个人数据保护制度面临着过度收集、擅自披露与滥用等问题的严重挑战。公权保护路径存在监管力度、范围及效力的局限性,而传统侵权法上的损害观念架空了数据主体的私法救济权利。因此,为保障数字经济的健康发展,必须扩张侵权法上损害的含义。法律上可予赔偿的个人数据损害应延及两类新型损害：数据主体遭受次生损害的风险,以及社会分选歧视、数据监控、自动化决策等造成的人格利益减损。在确定具体赔偿数额时,为解决风险与人格利益减损所产生的经济量化与举证责任之困境,《个人信息保护法》应采用知识产权法中广泛适用的法定赔偿制度。     

大数据时代个人信息法益刑法保护的应然转向——以规制非法使用个人信息为重点

我国《刑法》第253条之一侵犯公民个人信息罪规定的行为类型仅限于非法获取、出售或提供个人信息代表的转移行为,没有将非法使用个人信息行为纳入规制范围,造成刑事规制出现漏洞,体现了将个人信息自主片面地理解为转移自主、忽视使用自主的法益认识缺陷,进而仅以防范非法转移个人信息为入罪逻辑,使得个人信息法益刑法保护不周延。当前个人信息已然成为网络犯罪中的关键要素,非法使用个人信息现象愈演愈烈,侵犯公民个人信息犯罪已经逐渐形成“提供者—中间商—非法使用”的完整黑色产业链,各环节分工明确、组织严密,通过非法使用个人信息实施违法犯罪活动,进而变现牟利是诱发个人信息泛在泄露以及违法交易激增的根源,刑法单纯打击制裁非法转移个人信息行为只能是治标之策,导致侵犯个人信息犯罪刑事治理效果欠佳。随着进入大数据深度挖掘应用阶段,数字经济蓬勃发展背景下根植于个人信息的人身性、财产性、公共性等复合法益属性的使用价值日益凸显,使得个人信息使用自主相较于个人信息转移自主更具核心法益地位,个人信息刑法保护的重点理应从转移环节转向使用环节。非法使用个人信息属于下游行为,对公民的人身财产安全以及社会管理秩序造成极大损害或威胁,与处...     

委托处理个人信息的私法规制

委托处理个人信息是信息流动、共享与利用的必然选择。《个人信息保护法》第21条专门为委托处理个人信息提供了规范基础,填补了《民法典》《电子商务法》《网络安全法》等规范空白,但就该条的规范内容如何解释适用,对委托处理私法规制的目的、对象及方式等要素的具体展开,仍需藉由解释论予以完善。由于司法实践中,信息处理者通常会援引其与第三人之间存在合同或其他交易安排,系由他人造成了损害而与自身的处理行为无关,给信息主体的权益保护带来了挑战,这构成了委托处理私法规制的核心。作为对委托处理进行私法规制的基础论证,委托处理的法律结构不同于共同处理,信息处理者与受托人之间为从属关系,信息处理者决定了处理的目的、方式,受托人只能按信息处理者的指示处理个人信息。为了更好地保障信息主体的合法权益,委托处理关系内部合同应当包含必备条款以确保受托人合法处理数据,且信息处理者可以检查受托人是否遵守这些规定。相较于《个人信息保护法》第20条由内部主体约定各方的权利义务,第21条第1款详细列举委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务等事项,是值得肯定的立法选择。结合《个人信息保护法》第21...     

平台共治视角下个人信用保护的范式转换

党的二十大报告提出建立市场经济中的信用基础制度,加强个人信息保护的目标。平台企业参与的信用治理是中国式现代化指引下的治理创新,始终在国家顶层设计中占据重要地位。随着平台企业成为信用治理的关键枢纽,个人信用保护面临信息处理边界不清和信用制度利益失衡的困境。必须仔细探寻个人信用保护困境背后的理论根源,防止信用共享共治异化为信用管制。现行信用法律制度在权利归属、程序设计、责任机制方面均存在空白,导致个人信用仅构成一种反射利益。传统权力制约范式难以回应数字时代的个人信用保护需求,新型信息权利是解决困境的根本,数据流通规则有助于解决权利成本过高问题。应当围绕个人在信息处理活动中的权利体系,完善数据流通规则,重建个人信用保护的法律框架。首先,必须明确界定信息的敏感程度及其信用评判价值功能,并对信用领域的信息处理行为适用层次化同意规则:针对有利于信息主体的正面敏感个人信息采取单独同意与资格准入规则,适用责任规则;针对不利于信息主体的负面敏感个人信息一般采取禁易规则,基于公共利益目的除外。其次,信用领域数据流通的商业实践要求转向行为风险规制模式,实施以合同为中心的支配规则,适当运用特别规则强化个人信用保护力度。其中,平台与经济组织之间的数据流通应当在同意规则以外,增设标准合同文本、平台责任强化、证明责任分配规则三类倾斜性保护措施。平台与行政部门之间的数据流通应当确立以主体责任和救济机制为关键内容的流通秩序。     

个人信息权及其民法保护

个人信息权是权利人对其个人信息控制、支配,并排除他人非法侵害的权利,是具有人格权与财产权双重属性的新型民事权利,需要特别立法予以确认和保护。个人信息权包括了信息决定权、信息保密权、信息知情权、信息更正权、信息封锁权、信息删除权、信息报酬权和信息维护权等。侵犯个人信息权的行为应承担侵权的民事责任。