International Open Access Journal Platform

1 问题的提出

在科技日益发达的今天，互联网与各种经济生态的有机叠加促成了社会生活中新经济关系的诞生。在互联网高度渗透各行各业生产消费的环境下，也对经济主体间的法益保障提出了挑战。在互联网时代语境下，个人信息借助大数据与算法技术，已成为具有商业价值的核心资源，各类信息技术设备对个人信息进行广泛收集、存储、修改与传输。在这一过程中，往往因个人信息共同处理者不当或恶意使用个人信息，引发了严重的个人信息侵权。

在互联网语境下，个人信息侵权纠纷时有发生。尽管我国《民法典》第一百一十一条明确规定“自然人的个人信息受法律保护”，并在人格权编第六章进一步细化了个人信息保护的相关内容如个人信息的概念、处理的含义、私密信息与非私密信息的法律适用、个人信息的合理使用、个人信息权益的内容、信息处理者的义务等。就互联网个人信息侵权而言，处理该类侵权仍应遵循我国《民法典》侵权编的相关规定。然而，互联网经济更迭速度可谓日新月异，其发展方向也具有多变性特点。而《民法典》侵权编的相关之规定往往难以周延互联网侵权关系的各方各面，这一问题也造成了司法实践中受侵害主体维权困难与司法裁判中“类案不同判”现象的发生，对于维护法律的同一性以及稳定性不利。鉴此，本文将从《民法典》侵权编的条文切入，对于互联网个人信息侵权责任认定中遇到的困难予以分析探讨，希望对实践中互联网个人信息侵权案件的解决提供一些不成熟的意见与思路。

2 我国现行法对于互联网个人信息侵权案件之规定

在互联网语境下，个人信息所蕴含的价值自不待言。我国已构建起一套层次分明、体系化的个人信息保护法律框架。《民法典》与《个人信息保护法》共同构成了这一体系的核心法律基石。与此同时，以《互联网信息服务管理办法》《关键信息基础设施安全保护条例》为代表的行政法规，以及最高人民法院发布的一系列涉及人脸识别、网络人身权益侵害的司法解释，共同细化了操作规则与裁判标准。此外，部门规章（如《儿童个人信息网络保护规定》）与国家标准进一步填补了特定场景与技术要求层面的空白。在这一多层次规范体系中，涉及互联网个人信息侵权的核心法律为《民法典》与《个人信息保护法》。就处理互联网个人信息侵权案件而言，宜认定《民法典》与《个人信息保护法》为一般法与特殊法之关系。原因在于《民法典》作为调整平等主体间法律关系的法律依据，侧重于对民事主体的法益保护进行一般性规定。作为该领域的综合性立法，《个人信息保护法》的规制方法横跨民法、行政法乃至刑法等多个部门法，对个人信息处理活动进行全方位调整。这些独特的民事规范，是《个人信息保护法》在民事领域作为《民法典》特别法的实质体现。而《民法典》第十一条“其他法律对民事关系有特别规定的，依照其规定”则从法律适用程序上确立了“特别法优于一般法”的基本原则，从而在逻辑与体系上完整地证成了两法之间的关系。[1]

归责原则是侵权法的重中之重，原因在于侵权法的规则构建于归责原则的基础之上。因此，对于互联网个人信息侵权责任，首先需要明确个人信息侵权责任的归责原则。[2]根据我国《民法典》一千一百六十五条第一款、第二款与一千一百六十六条之规定，我国的侵权责任赔偿最基本规则责任为过错责任，并将过错推定责任与无过错责任限制在法律有规定的情形。a《个人信息保护法》第六十九条第一款规定：“处理个人信息侵害个人信息权益造成损害，个人信息处理者不能证明自己没有过错的，应当承担损害赔偿等侵权责任。”根据前述《民法典》与《个人信息保护法》之关系，以及《个人信息保护法》六十九条之规定，侵害个人信息权益的侵权责任适用过错推定原则。[3]

3 司法实践中对于互联网个人信息侵权责任认定之困境

依照侵权法学理，一般侵权责任的构成要件包括如下四点。（1）行为人从事了民事违法行为；（2）造成了他人财产或人身损害的事实；（3）违法行为与损害后果之间具有因果关系；（4）行为人主观上有故意或过失的过错。 互联网个人信息侵权在表象上虽有特殊之处，但在法理上并未脱离一般侵权责任的构成范式，其特殊性并未动摇四大构成要件的共同适用。换言之，个人信息受侵害者需要证明自身法益受到侵害，即是要证明上述四点的存在。

在司法实践中，互联网个人信息侵权责任证明存在困难，原因在于能够证明侵权的证据往往具有偏在性。[4]即能够证明互联网个人信息侵权责任的侵权主体进行了侵权行为的证据往往由直接侵权的互联网平台主体控制或是储存于第三方互联网公司的数据库中。受侵权方往往难以直接采集相关证据。此外，在互联网个人信息侵权的证据采集过程中，证据本身因其无形性和技术性，使得证据的发现也存在困难。而在司法裁判过程中，互联网个人信息侵权责任证明困难还体现在举证责任分配不明确以及特定类型的互联网信息侵权缺乏明确的法条依据。上述因素导致互联网个人信息侵权案件的司法裁判路径不同一，对于法律稳定性的维持造成了影响。

（1）互联网个人信息侵权责任缺乏具体的法律裁判依据

我国民事法律体系针对证明责任分配，构建了以一般规则为原则、特殊规则为例外的规范结构。《民诉法司法解释》第九十一条在确立“谁主张，谁举证”这一基本原则的同时，亦以“法律另有规定的除外”为特殊证明规则的适用预留了空间。根据该规定，若其他实体法对特定民事关系的要件事实证明责任作出特别安排，则应排除一般规则的适用。

然而，在互联网个人信息侵权这一新兴领域，上述规范框架面临适用上的显著困境。尽管《个人信息保护法》第六十九条明确了侵害个人信息权益适用过错推定原则，将“过错”要件的举证责任转移至信息处理者，但该规定仅部分缓解了原告的举证压力。对于侵权责任构成中的其他关键要件——包括信息处理行为是否具有违法性、是否存在实质损害事实，以及行为与损害之间是否具有因果关系——其举证责任应如何在当事人之间分配，现行法律并未作出体系化安排。尤其在诉讼程序中，如何将实体法上的过错推定原则与程序法上的举证责任分配有机衔接，尚缺乏具有可操作性的细化指引。

这一立法空白进一步引发了司法实践中的定性争议：个人信息侵权案件究竟应整体纳入特殊证明责任范畴，抑或仅在“过错”要件上适用倒置规则，其余要件仍回归一般证明规则？检视现有法律及司法解释，我国并未像对待医疗损害责任或环境污染责任那样，对个人信息侵权设置独立的证明责任分配规范。

“庞理鹏诉趣拿公司、东航公司案”正是这一困境的典型体现。在该案一审中，法院以原告庞理鹏未能完成其个人信息由被告泄露的举证责任为由，判决其败诉。原告上诉后，二审法院支持了其关于“举证责任分配严重超出其证明能力”及“双方证据地位极不对等”的主张，通过转移“信息安全保护义务履行”的举证责任，缓解原告举证压力，要求被告公司证明自身不存在泄露行为且已履行信息安全保护义务。这一裁判思路实质上是对《个人信息保护法》过错推定精神的延伸适用，旨在通过程序规则的调整实现实质正义，但也恰恰反映出成文法在个人信息侵权证明责任分配问题上的模糊与滞后。a

利用具体与抽象的思维方法，分析“庞理鹏诉趣拿公司、东航公司案”一案一审法院以及二审法院对案件判决结果。一审法院严格遵循了一般侵权责任的举证规则，要求原告承担全部的举证不能之后果，这在一定程度上忽视了互联网侵权中证据偏在性的结构性困境。而二审法院则进行了司法能动主义的尝试，通过将部分举证责任转移给被告，实质上更贴近《个人信息保护法》过错推定原则的保护宗旨，试图矫正诉讼当事人在举证能力上的巨大失衡。上述一二审对于案件举证责任分配立场完全不同，可见缺乏对个人信息侵权民事诉讼的证明责任分配的具体规定的现状确实对司法裁判以及实际问题的解决造成了巨大影响。该问题的解决主要是立法与司法上的进路予以解决。于立法上，应当及时对法律空白予以填补，使得裁判时无法可依的情形减少。而司法上，应统一司法裁判路径，尽量减少同案不同判的情形发生。

（2）互联网个人信息侵权责任存在特殊的侵权模型

互联网经济作为新兴的经济形式，具有发展速度快，发展方向多样的特点。互联网经济关系更迭可谓日新月异，全新的经济关系也在不断创设。而法律囿于自身特性，往往难以周延事物的各方各面，对于个人信息侵权的情形往往难以全面涵盖。在具体司法实践中，数个个人信息处理者“共同”侵权的情形就是一个典型的困境。

为方便后文展开，试举一例。甲公司与乙公司均为互联网公司，其中甲公司提供基础性信息服务，为网络用户提供社交平台。而乙公司提供应用性信息服务，在甲公司创设平台内提供旅游信息服务。一日用户丙发现其用于注册甲公司社交平台与乙公司旅游信息平台之个人信息泄露而遭受电信诈骗。（假设是乙或丙或乙丙一起实施了侵权）那么丙如何向甲与乙公司主张救济，若甲乙公司需承担责任，甲乙内部责任又应当如何明确。通过对于上述案例相关法律规定之检索，可以发现并不存在直接规制“可能存在数个个人信息处理者‘共同’侵权”之法条。然而，可能类推适用之法条却存在多种可能性。

以上述案例进一步展开，假设甲、乙互联网公司都曾处理自然人丙的个人信息。如今，丙排除了甲、乙公司外其他主体侵权的可能性。但仍无法明确甲、乙谁是真正的侵权主体。这就给可能侵权的甲、乙留下了互相推诿的空间。双方都可以非自身，可能是处理信息的另一方造成了信息侵权进行责任承担的逃脱。通过对该例的考察，在个人信息被多个信息处理者共享或共同处理的场合下，被侵害人确定具体的加害人，即多个信息处理者中的哪一个或多个造成了损害是存在困难的。该案例中，司法裁判的难点在于对于该案例中个人信息共同处理者与侵害间的因果联系以及如何类推适用法律规范对该问题进行解决。

在具体实践中与学理讨论中，“市场份额责任理论”与“共同危险行为理论”有较多学者支持。

（1）“市场份额责任理论”之证否

该理论的核心在于，将被告的责任与其市场份额相绑定。即使在个案中无法证明具体制造者的产品导致了损害，但只要原告能证明其损害由同类缺陷产品引起，所有市场参与者便需按其市场占有率比例对外承担赔偿责任。而在处理该类信息侵权中，可以直接适用，以维护受侵害方的利益。虽然不可否认“市场份额责任理论”的适用背景与数个信息共同处理者造成侵权的情况存有相似之处，但是笔者认为“市场份额责任理论”的适用背景与互联网中数个信息共同处理者造成侵权的情形本质在纵向与横向两个维度上存在不同。

纵向而言，在具体、同一的信息处理产业内个人信息侵权中损害风险边际的增加并不必然与市场份额成正比。在数据处理过程中，一些市场占有率较小的处理者仍有可能处理大量个人信息。就这一特性而言，互联网信息处理产业与传统实业完全不同。机械适用“市场份额责任理论”，无差别地将责任承担与所占市场份额挂钩可能导致责任分配失衡，不利于实现市场公平与法律正义。

横向而言，在数个个人信息共同处理者侵权的语境下，可能存在数个跨行业的信息共同处理者。即多个信息处理者虽然是对同一内容的个人信息进行处理却多来自不同的行业领域。可见，数个个人信息共同处理者侵权往往并不存在单一的市场之中，因此对于“市场份额责任理论”的适用也是存在困境的。综上所述，笔者认为“市场份额责任理论”虽然有可取之处，但是在可能存在具体的个人信息共同处理者的信息侵权场合并不能直接的适用。

因此，将该理论移植至互联网个人信息侵权领域存在两大缺陷：其一，互联网产业具有网络效应和平台效应，市场份额与数据处理量并非简单的线性关系，一家初创公司可能处理海量敏感数据，而一家大型公司可能只处理少量非敏感数据，以市场份额划定责任有失公允；其二，个人信息处理活动常跨行业、跨领域进行，难以界定统一的“市场份额”计算市场，缺乏可操作性。

（2）“共同危险行为理论”之证否

笔者认为“共同危险行为理论”也不可取。从法教义学角度出发，根据我国通说，共同危险行为的成立需要满足五个构成要件，包括：①二人以上实施危及他人人身、财产安全行为；②行为主体之间没有意思联络；③在行为性质上，数人实施了危险行为；④其中一人或者部分人的行为造成了他人损害；⑤无法确定具体侵权行为人，如果能够确定具体的加害人，则不能适用该条的有关规定。

首先，个人信息共同处理者处理信息的行为很难别认为是“危及他人人身、财产安全行为”。根据信息社会运行之需要以及社会一般人的观念，很难将正常语境下的信息处理与存在侵害信息所有人权益的高度可能性相联系。退一步而言，即便将具体案件中的信息处理认定存有存在侵害信息所有人权益的高度可能性，在诉讼过程中原告也无法保障取证申请能够获得法庭的支持，同时也不利于保障总体的诉讼效率。其次，个人信息共同处理者处理信息的行为在时空间上的不一致并不符合共同危险理论中行为实施须具有的“时空共同性”要求。即便认可个人信息共同处理者处理信息的行为可能构成抽象性的危险。由于个人信息共同处理者在获取个人信息后，可能各自在不同的场所和时间对个人信息进行处理。原因在于，多个信息处理者通常是在不同时间、不同地点，依据不同的合法目的独立处理信息，其行为本身是中性的，不具备“共同危险行为”所要求的“危险性”要件。将正常的数据处理活动定性为危险行为，会不当扩大侵权法的打击面，抑制数据产业的健康发展。因此，直接类推适用共同危险行为理论亦不妥当。

（3）“高空抛物侵权行为”相关理论或成为借鉴路径

有学者提出可适用“高空抛物侵权行为”相关理论。[4]高空抛物侵权行为，是指物品被侵权人从高空中抛下，造成他人财产或人身损害的侵权行为。针对多个信息处理者情形下的责任认定难题，有学者借鉴了《民法典》第一千二百五十四条所确立的“高空抛物”规则。该规则的核心要义在于，当难以确定具体加害人时，为弥补举证困境并体现公平，由可能造成损害的建筑物使用人在自证清白前共同承担补偿责任。此种在特定条件下将举证责任转移给潜在行为人的思路，为破解信息侵权中“具体侵权人无法确定”的僵局提供了程序法上的重要参考。笔者认为“高空抛物说”可资赞同，原因在于“高空抛物说”与互联网个人信息共同处理者共同侵权的案例存在高度重合。高空抛物责任由于受害人难以证明加害人的行为、加害人的过错及因果关系，因此无法适用过错责任原则，同时由于欠缺过错推定或者无过错责任类型相应的理论基础，亦无法适用这两种归责原则。此外，高空抛物案件中，由于受害人往往会遭受较为严重的损害，依据受害人自我负担风险的理论，将严重违反民法公平原则，违背实质正义理念。引人深思的是，在可能存在数个信息共同处理者侵害公民信息权的案例模型中，似乎也存有受害人难以证明加害人的行为、加害人的过错及因果关系之情形。且由受害人自我负担风险也违背民法公平原则以及群众朴素之法感情。两者模型的高度相似与对可能存在数个信息共同处理者侵权规定法律之空缺给高空抛物侵权责任理论的类推适用留下了空间。

4 结语

互联网、大数据与算法技术构成了现代社会发展的关键驱动力，但同时也埋下了个人信息控制权弱化的伏笔。信息以前所未有的规模与效率被数字化，并通过各类信息设备进行着收集、存储、修改与分发的循环，其使用边界变得日益模糊。我国《民法典》与《个人信息保护法》虽然对互联网个人信息侵权作出了规定，但实践中个人信息侵权的问题在实践中并没有被完全的解决。在司法实践中，互联网个人信息侵权案件的解决存在困难，主要体现为互联网个人信息侵权责任缺乏具体的法律裁判依据与互联网个人信息侵权可能存在的大量特殊模型。就互联网个人信息侵权责任的具体法律裁判依据而言，就有关法律规定及司法解释看，我国并未有任何条文对个人信息侵权民事诉讼的证明责任分配作出特殊规定。该问题的解决主要是立法与司法上的进路予以解决。于立法上，应当及时对法律空白予以填补，使得裁判时无法可依的情形减少。而司法上，应统一司法裁判路径，尽量减少同案不同判的情形发生。

除此之外，互联网个人信息侵权案件的解决存在困难。其中，可能存在数个个人信息处理者“共同”侵权的情形就是一个典型困境。由于互联网经济关系更迭日新月异，我国现行法律对于可能存在数个个人信息处理者“共同”侵权并没有作出直接规定，该问题的解决仍有待探讨。其中，“市场份额责任理论”与“共同危险行为理论”有较多学者支持。但由于“市场份额责任理论”并不适用于互联网信息相关产业，而可能存在数个个人信息处理者“共同”侵权之内涵较“共同危险行为理论”相距甚远，即处理信息行为难以认定为具有危险性，多方处理信息未必有时间与空间上的同一性。如上所述，上述理论难以直接类推适用。在此情况下， “高空抛物侵权行为”相关理论或成为借鉴路径。其优势在于平衡了各方利益，节约了诉讼中的司法成本，提升了司法效率，同时该理论的适用也符合民法之精神。

参考文献

[1] 程啸．论《民法典》与《个人信息保护法》的关系［J］．法律科学（西北政法大学学报），2022（3）：19-30．

[2] 杨立新．个人信息处理者侵害个人信息权益的民事责任［J］．国家检察官学院学报，2021（5）：38-54．

[3] 程啸．侵害个人信息权益的侵权责任［J］．中国法律评论，2021（5）：59-69．

[4] 张舒琳．个人信息侵权证明责任研究［D］．湘潭大学，2020（3）．