个人信息构成侵权的归责原则

发布网友 发布时间：2023-02-13 12:40

我来回答

共1个回答

热心网友 时间：2023-09-10 23:58

一、侵害个人信息权益的归责原则
      (一)《个人信息保*》中的归责原则
      根据《个人信息保*》第69条第1款之规定,处理个人信息侵害个人信息权益造成损害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。《个人信息保*》对个人信息处理者采用了过错推定的归责原则,但并未规定侵害个人信息权益的侵权责任实行因果关系推定,据此,个人信息主体在起诉时只需要提出相应证据证明被告存在侵害个人信息权益的行为的高度盖然性即可,个人信息处理者如不能证明自己没有过错,则应当承担侵权责任。
      值得探讨的是受托人的归责原则。根据《个人信息保*》的规定,受托人并非“个人信息处理者”,那其在处理个人信息的过程中造成信息主体损害的,还能适用《个人信息保*》第69条第1款规定的过错推定的归责原则吗?对此我们认为将受托人的侵权行为分为如下两种类型:
      一是受托人处理个人信息的行为超出了超出约定的处理目的、处理方式。一旦受托人超出与委托人合同所约定的处理目的和处理方式,则受托人实际上自主决定了信息的处理目的与处理方式,此时受托人因为这种自主决定而落入《个人信息保*》对者“个人信息处理”定义的范畴,也即此时受托人已成为“个人信息处理者”,理应适用《个人信息保*》第69条第1款。
      二是受托人处理个人信息的行为未超出约定的处理目的与处理方式,但是其超出约定的处理期限、个人信息种类、保护措施或者其他行为造成信息主体损害的,我们认为这种情况宜按照《民法典》第1165条第1款之规定,适用过错责任原则。同时委托人还可以根据合同约定主张受托人的违约责任。
      (二)《通用数据保护条例》中的归责原则
      根据《通用数据保护条例》第82条第1款、第2款之规定,任何因违法本《条例》而遭受物质或非物质损害的个体,有权为所受损失从数据控制者或处理者处获得赔偿;任何涉及诉讼的数据控制者,都应对违反本《条例》所造成的损害负责,而数据处理者只有在未履行本《条例》规定的数据处理者义务或违背数据控制者的合法指令时,才对造成的损害负责。
      从上述规定可知,《通用数据保护条例》为数据控制者和数据处理者确立了无过错责任(按照侵权责任构成的四要件说),受损害的信息主体在要求数据控制者或处理者承担责任时无需证明其存在过错。
二、侵害个人信息权益的免、减责事由
      (一)《民法典》中规定的免、减责事由
      侵害个人信息权益的“个人信息处理”对信息主体应承担侵权责任。根据《民法典》总则编的规定免责事由包括不可抗力、正当防卫和紧急避险。后两者对“个人信息处理”而言较为少见,比较常见的通常是不可抗力,诸如地震、洪水导致存储个人信息的设备损坏,使得个人信息灭失等。
      《民法典》侵权责任编还规定了受害人故意、自甘冒险、自主行为这三种适用于所有侵权行为的免责事由,也同样适用于侵害个人信息权益的情形。
      同时根据《民法典》第1036条的规定,在侵害个人信息权益的诉讼中,“个人信息处理”可以通过举证明明存在如下事由而免责:
      1.在自然人或者其监护人同意的范围内合理处理人脸信息;2.合理处理该自然人自行公开的或者其他已经合法公开的个人信息,但是该自然人明确拒绝或者处理该信息侵害其重大利益的除外;3.为维护公共利益或者该自然人合法权益,合理实施的其他行为。
      另根据《民法典》第1173条的规定,被侵害人对同意损害的发生或者扩大有过错的,可以减轻侵权人的责任。例如在信息处理者因为第三人非法侵入其计算机信息系统窃取个人信息后,已经及时采取补救措施,并依法告知了被收集者并向有关部门报告。但被收集者并没有及时采取措施诸如修改密码、转移资金等,而导致同一损失发生或扩大的,则信息处理者可以减轻责任。
      (二)《通用数据保护条例》中的免责事由
      由于《通用数据保护条例》对信息处理主体做了数据控制者和数据处理者的二元划分,且二者承担的责任也不同,故二者的免责是有也一并存在差异。
      对于数据控制者而言,根据《通用数据保护条例》第82条之规定,由于损害必须是因违反《条例》所致,故数据控制者只有证明自己并非因从事违反《通用数据保护条例》的非法处理行为而造成损害,或者证明损害是由于处理者超越控制者的授权所致,才能免责。
      对于数据处理者,由于其只是为控制者处理个人数据,故其只要证明时按照控制者的合法指令处理且未违反《通用数据保护条例》给其施加的义务,就能免责,相应责任由控制者承担。
      需要注意的是《通用数据保护条例》第82条第2款强调了处理者违背或超越的是控制者的“合法指令”(lawful instructions of controller),故此,只要控制者的指令是不合法的,那么即便处理者完全按照控制者的指令处理,也需要承担责任。
三、小结
      综上所述,我国的“个人信息处理者”承担的是过错推定的侵权责任,而《通用数据保护条例》则给信息控制者和信息处理者施加了无过错责任,在规制程度上更为严格。