一、个人信息泄露的事实不确定性现象及其风险
数据共享会产生“事实不确定性”的风险,即信息主体对于其哪些个人信息将被收集、收集之后如何处理,以及这些数据将在哪些机构与平台间共享等情形往往难以知悉。在自然人和信息控制者之间存在明显的信息不对称。这是因为一方面,在收集与处理个人信息时,由于告知同意原则缺乏实效性,信息控制者并未真正保障信息主体的知情权。另一方面,信息安全技术标准的专业性与科学性使得自然人客观上也不具备分析信息控制者是否满足相关标准的能力。当潜在损害的风险现实化之后,关于信息处理行为的事实不确定性又进一步妨碍了信息主体获得法律救济。如果坚持证明责任分配的基本规则,自然人将因无法证明侵权责任的成立要件而无法获得救济;如果为了救济受害人,在其无法证明责任成立的要件事实的情况下,也要求信息控制者承担责任,又势必妨碍信息控制者的营业自由。是否以及如何为个人信息提供侵权法保护,本质上就是协调信息主体的权益保护与信息控制者的行为自由之间的紧张关系的问题。
二、司法实践中减轻信息主体证明责任的方法及其弊端
(一)转换证明责任欠缺法律依据
由于自然人对个人信息的收集、处理的实际情况和相关技术知识的掌握程度非常有限,证据以及必要的科学技术知识往往掌握在信息控制者手中,所以有观点认为,在个人信息泄露的案件中应当转换当事人的证明责任。然而,无论是法院根据具体个案进行裁量,还是通过法律加以明文规定,两种转换证明责任的做法均存在缺陷。
第一,由法院根据具体个案裁量转换当事人的证明责任欠缺合法依据。根据《民事证据规定》第7条的规定,法院根据自由裁量权确定证明责任分配的前提条件是“在法律没有具体规定,依本规定及其他司法解释无法确定举证责任承担”。而根据《民法典》第1165条第2款和第1166条的规定,如果法律没有明确规定,则均属于第1165条第1款的过错责任。故此,法院不享有将过错要件的证明责任转换给被告的自由裁量权。
其二,采用法律明文规定的方式转换证明责任的观点本身也欠缺合理性。一方面,该观点只讨论了因果关系要件的证明责任转换,却没有说明泄露行为与过错这两个要件的事实不确定性应如何处理。另一方面,个人信息泄露的案件有不同的类型。有一些个人信息泄露案件中存在数个信息控制者,涉及侵权法上“择一的因果关系”的证明难题;还有一些个人信息泄露案件中只有一个信息控制者,只是单纯的原告难以完成其证明责任。但前述观点没有对前述两种案件类型进行必要的区分。
(二)降低证明标准不具合理性
证明标准降低说的支持者认为,在信息主体已经提出相当的证据,证明其主张事实具有“较大可能性”,但是因为客观条件限制无法继续举证时,就可以认为信息主体已经完成了证明责任。
证明标准降低说在信息主体起诉某个唯一收集了其个人信息的信息控制者的场合具有适用的余地。但在存在多个信息控制者的情况下,会出现大幅度地降低证明标准的不合理现象。如在庞理鹏与北京趣拿信息技术有限公司等隐私权纠纷上诉案的裁判理由中,将曾经收集了涉案个人信息的三家公司视为一个整体,来与第三人进行比较。可问题在于,这三家公司是三个独立的民事主体,不能当然地将它们作为一个整体来分析整体泄露个人信息所具有的高度可能性。倘若剥离掉将三家公司作为一个整体的预设,那么由于信息主体没有提供额外的证据,故而在抽象概率上,三家公司泄露个人信息的可能性各为33.3%。将证明标准大幅度地降低至33.3%以下,显然是不合理的。
三、共同危险行为的类推适用
(一)《民法典》第1170条语义范围与理论基础的限制
由于个人信息泄露案件中的事实不确定性超出《民法典》第1170条的规定所涵摄的语义范围,因此,直接适用共同危险行为的路径存在一定的障碍。
一方面,按照文义解释,原告应当证明各个被告已经实施了危及他人人身、财产安全的行为。但若各个被告各自“是否泄露个人信息”属于无法查明的事实,则直接适用《民法典》第1170条存在明显的困难。
另一方面,直接认定收集与处理个人信息的行为构成第1170条的“危及他人人身、财产安全的行为”,不符合现行学说对共同危险行为制度理论基础的认识。的确,在大数据时代,个人信息的收集与处理行为带来了一定的风险,故法律有必要承认个人信息之上承载着一种防御性利益。但是,这些风险不属于“只要尽到足够的注意义务就可以预防发生的一般风险”,而是由于当前信息安全技术的限制而难以完全避免的风险。而且,如果没有第三人的不法行为,正常的个人信息收集与处理行为本身并不具有“造成损害的高度可能性”。
(二)共同危险行为理论基础的重构及个人信息侵权案件中的类推适用
共同危险行为制度之所以在举证上对受害人加以特殊的保护,根本原因在于各个行为人所实施的行为相互联结,造成了“证据损害现象”,从而使受害人陷于无法辨别谁是真正的加害人的困境。这一举证困境不能由无辜的受害人承担,而应当由造成这种困境的行为人来承担。因此,立法者允许受害人将所有行为人所实施的行为视为一个整体,只要证明各个行为人的“整体行为”与权益侵害的因果关系成立,即可推定“个别行为”与权益遭受侵害之间存在因果关系。
在这样的理论背景下,如前文所述,一旦发生个人信息泄露,自然人根本无从发现泄露发生在哪个环节。数个信息控制者共享或者共同参与同一个人信息的处理的行为,与其他典型的共同危险行为在证据损害现象上具有实质上的相似性。故在这类案件中,可以类推适用共同危险行为制度:自然人可以将共享个人信息或者共同参与同一个人信息处理的数个信息控制者视为一个整体,证明该行为整体与权益侵害之间的因果关系成立,即可推定各个信息控制者的个别行为与受害人的权益遭受侵害之间存在因果关系。
四、未来我国个人信息保护法的规定
由于通过类推适用《民法典》第1170条之规定的论证思路较为复杂,在当前的司法实践背景中,法官采用类推适用的法律解释方法可能会带来额外的“错案”风险。加之个人信息泄露引发的民事诉讼案件将会逐渐增多。因此有必要在将来我国个人信息保护立法中,在单行法“个人信息保护法”中特别规定下述条款:数个信息控制者参与同一处理行为造成损害,自然人无法查明谁具体造成损害的,各个信息控制者承担连带责任。信息控制者可以证明损害确实不是由自己引起的,不承担赔偿责任。理由在于:
首先,该规定的理论基础与共同危险行为一致,均是由于信息控制者所实施的行为造成证据损害现象,因而对此承担举证上的不利益。其次,虽然自然人不必确切地证明谁泄露了个人信息,但是必须证明数个被告曾经收集与处理其个人信息,以及其遭受的实际损害是由于这些个人信息的泄露造成的。再次,信息控制者可以通过证明自己没有泄露个人信息而免责,而不必证明谁是具体的加害人。最后,《民法典》对个人信息保护所作的规定,是对个人信息保护的原则性规定。本文所建议的条款,不仅非常具体,同时也是民事责任的一项制度,不宜规定在人格权编中,但可以交由“个人信息保护法”详细规定。
五、结论
在侵害个人信息的民事纠纷中,自然人无法证明侵权的信息控制者是谁,以至于难以获得救济。司法实践对此所采取的转换证明责任、降低证明标准等方法均无法提供妥善合理的解决方案。宜重新阐释共同危险行为的理论基础,通过类推适用共同危险行为制度,为受害人提供充分救济。未来我国的个人信息保护法应对此作出相应规定,数个信息控制者或处理者参与信息处理引发个人信息泄露的侵权责任的,应当对信息主体承担连带责任。