侵权责任法第七章医疗损害责任

第一节　侵害个人信息的行为与责任概述

一、侵害个人信息行为的概念和分类

(一)侵害个人信息行为的概念

侵害个人信息的行为是指对个人信息非法收集、处理与利用的行为。根据行为的性质和引起的后果，侵害个人信息的行为包括个人信息民事侵权行为(简称个人信息侵权行为)、国家机关个人信息侵权行为以及个人信息犯罪行为三大类。

(二)侵害个人信息行为的分类

以信息管理者的性质为标准，侵害个人信息行为可以分为国家机关侵害个人信息行为与非国家机关侵害个人信息行为。《德国资料法》和我国台湾地区“资料法”对上述两类侵害行为分别予以明确规定。这种分类的意义在于，行为人的性质不同(是国家机关还是非国家机关)，决定了他们对其所为的侵害个人信息行为的责任承担(包括构成要件、归责原则、免责事由、救济方式和赔偿数额)的不同。

二、个人信息侵权行为与责任

(一)个人信息侵权行为

侵权行为是指行为人没有合法依据和约定而实施的侵害他人的财产权和人身权的并应承担不利的民事法律后果的行为。个人信息侵权行为是指作为非国家机关的信息管理者没有合法依据和约定而实施的侵害他人个人信息而应承担不利的民事法律后果的行为。以有无造成损害为标准，个人信息侵权行为也可以分为一般的侵权行为(Infringement)和承担损害赔偿责任的侵权行为(Tort)。这种分类的意义在于，侵权行为的后果不同，构成要件和责任承担方式也不相同。

(二)侵权行为构成要件

我国《民法通则》及我国通行民法理论一般认为，侵权责任的构成有四个要件:“致害行为”、“过错”、“损害事实”以及“致害行为和实际损害之间的因果关系”，而“无过错责任”仅属法律明确规定前提下采用的例外。侵权的四要件成为侵权行为的构成要件。然而，这样的侵权行为构成要件却给个人信息保护提出了难题，亦如知识产权侵权案件一样，权利人也只能“眼睁睁地看着有关活动从准备到生产，直至进入流通领域(即有了‘实际损害’)，才能‘依法’维权。”^[1]

从英美法系的制度构建可以更加清晰地认识我国面临的问题。英美国家使用的两个概念——“Infringement”和“Tort”，均被我们翻译为“侵权”。而这两个概念本身有着巨大的不同，其构成要件也泾渭分明。“前者包含一切民事侵权行为，与之相应的民事责任，应当是我国《民法通则》第134条赔偿责任的侵害行为，再加上‘其他’。后者仅仅或主要包含需要负财产损害赔偿责任的侵害行为，与之相应的民事责任，主要是我国《民法通则》第134条中的第(7)项(即‘赔偿损失’)，至多加上第(4)、(6)两项，因为这两项有时不过是赔偿损失的另一种表现形式。”^[2]“在英美法系法院中，认定Infringement(侵权)，从来不需要去找‘过错’、‘实际损失’这类要件，只要有侵权事实即可。”^[3]“而‘Tort’，则含有‘错误’、‘过失’的意思，只有错误或过失存在，‘Tort’才可能产生。”^[4]而“Infringement”是适用于个人信息侵权的，即侵害了个人信息上的权利即可，而不必以后果和损害为基础。因此，将侵权行为划分为一般的侵权行为和承担损害赔偿责任的侵权行为。一般的侵权行为的构成要件不需要“过错”和“实际损害”;而需要承担侵权损害赔偿责任的侵权行为的构成有四个要件，包括:“致害行为”、“过错”、“损害事实”以及“违法行为和实际损害之间的因果关系”。

(三)个人信息侵权行为的构成要件

1.一般的侵权行为的构成要件

个人信息一般侵权行为，只要有侵权行为的事实即可，不需要“过错”和“损害”两个构成要件，自然也就不存在“因果关系”要件。《欧盟指令》导言第(55)条指出:“如果管理者没有尊重资料主体的权利，国家法律必须规定相应的司法救济;管理者必须赔偿因非法处理给本人造成的损失，但是如果管理者能够证明他对此不负责任，特别是在他能够找出资料主体的错误或有不可抗力的情形下，可以免除管理者的责任;任何违反根据本指令所采取的国家措施的个人，无论是受私法还是受公法调整，都必须受到制裁。”第(55)条前段规定的，没有尊重信息主体的权利，就应该提供司法救济，主要是指在没有损害情况下，应承担的责任的情形。

2.承担损害赔偿责任的侵权行为的构成要件

承担损害赔偿责任的侵权行为的构成要件包括:“违法行为”、“过错”、“实际损害”以及“致害行为和实际损害之间的因果关系”。《欧盟指令》对承担损害赔偿责任的侵权行为有明确的规定。《欧盟指令》第23条规定:任何人因非法处理操作和任何违反根据本指令通过的内国法的行为而受到损害，有权向管理者要求损害赔偿。对承担损害赔偿责任的侵权行为的四要件详述如下。

(1)个人信息致害行为。致害行为是指行为人实施的致人损害的行为。致害行为有合法行为和违法行为之分。有的致害行为，本身合法，但也造成了他人的损害，应当承担责任，如排污人在排污指标范围内(合法)的排污行为造成的邻人损害等。而致害行为大多因违法行为引起，如侵犯名誉权的行为等。个人信息致害行为是指行为人实施的侵害信息主体的个人信息权的行为。个人信息致害行为一般发生在个人信息的收集、处理和利用等环节中。违法行为包括作为和不作为两种，作为的违法行为是指积极实施的违法行为，如非法收集、处理和利用他人个人信息;不作为的违法行为是指以不作为表现出来的侵害个人信息的行为，如信息管理者违反安全原则，未提供安全可靠的保存措施和建立相关制度等。若行为人实施了为法律所不禁止的行为，但侵害了信息主体的权利，虽然行为不具有违法性，但也构成侵权。若行为人仅仅违反了约定义务，则不构成侵权，应该以违约责任追究。

(2)过错。此处的过错认定，采过错推定原则。如果行为人自己不能证明自己无过错，则应推定其有过错。若行为人能证明自己并无过错，则不承担损害赔偿责任。《欧盟指令》第23条规定:如果管理者能够证明他不对产生损害的事件负责，可以全部或部分免除他的责任。

(3)损害事实。违法行为是引起损害的主要原因，从广义上说，损害是指民事主体的合法权益的任何不利益状态。损害包括财产损失和精神损害;直接损害和间接损害。

(4)因果关系。侵害个人信息的违法行为与损害结果之间具有因果关系。法律上的因果关系与哲学上的因果关系不同。哲学上把现象和现象之间的“引起”和“被引起”的关系叫做因果关系，其中引起某种现象产生的现象叫做原因，被某种现象引起的现象叫做结果。而侵权行为构成要件中的因果关系渗透着法律的价值判断，有着明确的目的性，通常以一个普通人的理性判断为标准。这种方法，在德国被称为相当因果关系说。这种学说认为，根据一般人的经验能判断一致害行为是引起损害发生的原因的，此种致害行为和损害结果之间的因果关系就被认为是法律上的相当的因果关系。致害行为和损害结果之间相当的因果关系成立，行为人须承担损害赔偿责任，否则行为人无须承担赔偿责任。

只有当一个行为同时满足承担损害赔偿责任的侵权行为的四个要件时，行为人才承担侵权损害赔偿责任。

(四)个人信息侵权责任

1.个人信息侵权责任的概念

侵权责任是指行为人由于实施了侵害他人的财产权和人身权的行为，而应承担的民事法律责任。个人信息侵权责任是指非国家机关由于过错违反法定义务，实施个人信息侵权行为，而应承担的民事法律责任。

2.归责原则概述

归责原则是指确定当事人承担法律责任所依据的准则。归责原则的确立是解决法律责任问题的核心。我国《民法通则》规定的侵权行为归责原则有三种:过错责任原则(包括过错推定责任原则)、无过错责任原则和公平责任原则。根据我国《民法通则》第126条的规定，过错责任原则是指以行为人的主观过错为侵权责任承担的必备要件的归责原则。过错推定原则是过错责任原则的一种，是指若行为人不能证明其无过错，应承担民事责任的归责原则。其主观上有过错，除非其能证明自己没有过错，否则应承担民事责任。根据《民法通则》第106条的规定，无过错责任原则是指行为人实施了加害行为，尽管其主观上没有过错，也应依照法律的规定承担责任的归责原则。无过错责任原则的适用范围非常有限，限于法律明确规定的四种情况，包括:(1)从事高度危险活动致人损害的行为;(2)污染环境致人损害的行为;(3)饲养动物致人损害的行为;(4)产品不合格致人损害的行为。根据《民法通则》第109条和132条的规定，公平责任原则是指对于损害的发生，双方的当事人均无过错，但损害由受害人一方承担又显失公平的，根据具体情况和公平观念，在当事人之间分担损害后果的一种归责原则。

我国《合同法》第107条、第120条的规定，确立了严格责任原则。所谓严格责任，是指无论行为人是否有过错，都应该对其行为造成的损害承担责任的归责原则。在过错责任原则下，只有在不能证明其对违约行为无过错的情况下，才承担违约责任，按照严格责任归责原则，当事人对自己的违约行为承担责任，而不问主观是否存在过错。这是符合国际惯例的，《联合国国际货物销售合同公约》、《国际商事合同通则》都确立的是严格责任原则。严格责任作为与过错责任相对的一种归责形式，不仅在理论方面完善了归责原则体系，而且在实务操作方面也呈现出很大的优势。在我国的民事责任领域，严格责任的适用范围在逐渐扩大。

3.归责原则

根据个人信息侵权行为的不同，实行不同的归责原则:针对一般的侵权行为，实行严格责任原则;针对承担损害赔偿责任的侵权行为，实行过错责任原则。严格责任和无过错责任原则不同，无过错责任原则适用于仅仅明确为法律所规定的特殊侵权行为，而严格责任则不适用于特殊侵权行为。

(1)一般的侵权行为(Infringement)的归责原则:对于一般的侵权行为，采严格责任原则，不以过错为承担责任的要件。

(2)承担损害赔偿责任的侵权行为(Tort)的归责原则:行为人承担损害赔偿责任，以过错责任为原则，只有在行为人具有主观过错的情况下，行为人才承担赔偿责任。

(五)承担民事责任的形式

非国家机关非法处理个人信息，主要有以下几种责任承担形式:

(1)赔偿损害。我国台湾地区“资料法”第28条规定:“非公务机关违反本法规定，致当事人权益受损害者，应负损害赔偿责任。但能证明其无故意或过失者，不在此限。”

(2)限期改正和罚款。根据我国台湾地区“资料法”第39条的规定，违反资料法规定的，“目的事业主管机关”应责令限期改正，逾期未改正者，予以罚款。

(3)撤销许可和登记。根据我国台湾地区“资料法”第39条的有关规定，信息管理者违法个人信息保护法，情节严重的，可以撤销根据资料法取得的许可或登记。

在个人信息侵权损害赔偿数额上，财产损失以实际损失计算，而对于每一项侵害的赔偿总额，多数国家和地区建立了法定赔偿额制度。我国台湾地区“资料法”第27条规定了国家机关侵权的赔偿数额总额，这个规定同时适用于非国家机关。该条规定:“被害人虽非财产上之损害，亦得请求赔偿相当之金额;其名誉被侵害者，并得请求为回复名誉之适当处分”，“前二项损害赔偿总额，以每人每一件新台币二万元以上十万元以下计算。但能证明其所受之损害额高于该金额者，不在此限”，“基于同一原因事实应对当事人负损害赔偿责任者，其合计总额以新台币二千万元为限”。可见，我国台湾地区“资料法”首先确立了每人每件侵权赔偿的总额，包括财产损失和精神损害，“每人每一件新台币二万元以上十万元以下计算”;其次，对于同一原因事实设立了总额，“其合计总额以新台币二千万元为限”。