侵权法全文,个人信息泄露问题

作者：林洹民

作者单位：浙江大学光华法学院

责任编辑：洪 玉

全文已略去注释，如需查看，请订阅《法学》

【内容摘要】　行政法上关于“瑕疵”的理解存在狭义与广义之分。能被补救的行政行为瑕疵，限于“行政上微小的缺点”，且仅限于行政行为在实施程序方面的瑕疵（即程序瑕疵），及在事实与证据方面、规范依据方面的瑕疵（属实体瑕疵）。面向程序瑕疵与实体瑕疵的补救机制，分别为补正制度与理由之替换，二者均产生治愈行政行为违法性的效果。但行为意义上的替换理由不等于结果意义上的理由之替换：前者仅在一定范围内才产生治愈违法性的效果。在我国，补正行政行为程序瑕疵的时点被限于提起行政诉讼前，一旦进入诉讼阶段，补正的效果将被推翻。事实与证据、规范依据都属于可以为行政行为合法性提供支持的“理由”，适用理由之替换将面临三项限制：用作替换的证据必须在行政行为作出时就已被收集；不得因替换证据而架空法定的陈述意见程序或听证程序；不得因替换证据或规范依据而改变行政行为的同一性。

【内容摘要】 当发生个人信息泄露时，个人信息主体多因泄露源头不清而难以有效证明侵权责任的成立。对此司法机关或利用表见证据规则，或利用因果关系倒置，平衡两造在诉讼中的力量关系，但也存在合法性欠缺、混淆行为与损害等问题。破题之策在于借助《个人信息保护法》第 9 条规定的问责原则与安全原则，柔化《民法典》一般侵权规范的适用。根据问责原则，个人信息处理者应自证个人信息处理行为的合规性，证明已经履行必要的作为义务。与之配合，安全原则要求个人信息处理者承担特殊的安全管理义务，义务内容包括但不限于《个人信息保护法》第 51 条的相关规定。就因果关系证明而言，问责原则要求个人信息处理者对民事损害负责，当存在不法个人信息处理行为时，可以依据法规目的说判定因果关系的成立；鉴于个人信息处理者承担特殊的安全管理义务，即便个人信息是从第三人处泄露或存在第三人故意介入的因素，因果关系也并非当然中断。

【关键词】 个人信息泄露 问责原则 安全原则 安全管理义务 因果关系

◐

一、泄露型个人信息侵权认定难题

2021 年 11 月 1 日，《个人信息保护法》正式生效，表明我国已全面规范个人信息处理活动，强化对个人信息的保护。个人信息保护目标的实现，既依赖于监管部门自上而下的管控，也依赖于个人信息主体能够有效地提起个人信息侵权诉讼。个人信息侵权场景众多，包括个人信息被非法收集、泄露、篡改，不当禁止查阅和复制等。在诸多类型中，泄露型个人信息侵权是司法机关的审判难点。

个人信息发生泄露的，个人信息权益遭受损害，但个人信息主体却多难以实现自己的诉讼请求。《民法典》第 1165 条第 1 款是过错侵权的一般条款，由《最高人民法院关于适用〈中华人民共和国民事诉讼法〉的解释》（法释〔2015〕5 号，法释〔2022〕11 号修改）第 91 条推导可知，个人信息主体应当举证证明过错侵权一般要件的成立。但源于个人信息处理活动的高度技术性以及个人信息处理链条的绵长，个人信息主体必须深潜赛博空间内部，深度调查个人信息被收集和被处理的具体过程，才有可能证明个人信息是如何被泄露的。一个普通的个人信息主体根本无法完成如此高强度的调查。尽管《个人信息保护法》第 69 条第 1 款规定的过错推定制度在一定程度上减轻了个人信息主体的证明负担，但泄露源头不清仍然会影响加害行为与因果关系要件的证明。例如，一些法院会要求个人信息主体证明个人信息是从特定个人信息处理者处泄露的，如果个人信息主体没有查清泄露源头，即认定被告没有加害行为；也有法院认为泄露源头问题应在因果关系层面予以讨论，如果原告不能证明个人信息是从被告处泄露的，就没有完成对因果关系的举证，应承担不利后果。上述两个要件的举证困难致使个人信息主体在侵权诉讼中进退维谷。当然，侵犯个人信息的损害认定与数额确定问题，同样是审判实践中的重点和难点。但考虑到损害认定是个人信息侵权的一般性问题，并非泄露型个人信息侵权的专有问题，且该问题与安全原则、问责原则的关系也不大，因此不在本文的框架内予以讨论。

源于上述结构性难题，国外有学者甚至指出，民事问责形同虚设，个人信息泄露导致的赔偿，并非司法意义上的损害赔偿，而是类似食品和药品安全罚金的公法意义上的处罚。我国也有学者总结认为，目前的个人信息保护以公法责任为主，公法保护义务是个人信息保护的主要义务。上述观点固然有其合理性，但《民法典》人格权编已经将个人信息界定为人格权益，从体系角度而言，在个人信息受到侵害时，行为人应当依据《民法典》侵权责任编的相关规定承担损害赔偿责任。更为重要的是，若忽视私权路径，个人将无法有效地参与对数据活动的治理。果真如此，个人信息保护将沦为监管机关和互联网公司之间的博弈，这并不利于数据良治目标的实现。

数字经济时代的个人信息侵权与传统意义上的人格侵权不同，后者通常发生在平等主体之间，而前者则主要发生于强大的个人信息处理者与普通的个人信息主体之间。这就导致有关个人信息侵权的规范应置于特殊的保护体系中。《个人信息保护法》以不平等主体之间的个人信息处理活动为规范对象。个人信息处理者和个人信息主体之间力量关系的不对等性，使得《个人信息保护法》有意识地偏重对个人信息主体的保护。例如，《民法典》强调缔约自由，但《个人信息保护法》第 16 条前半句却规定，个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由，拒绝提供产品或者服务。又如，依据《民法典》第 485 条，撤回承诺的意思表示不能晚于承诺到达，但根据《个人信息保护法》第 15 条第 1 款，个人可以随时撤回同意。《个人信息保护法》由此体现出与《民法典》明显不同的精神气质。《个人信息保护法》第 9 条规定的问责原则与安全原则，同样旨在贯彻“保护法”的宗旨，致力于强化个人信息处理者的义务，更好地保障个人信息主体的权益。借助问责原则与安全原则，可以柔化民法规范，修正侵权规则在个人信息处理领域的适用。目前的相关司法困境在很大程度上是源于未能准确理解问责原则与安全原则的内涵与功能，未能灵活借助《民法典》与《个人信息保护法》相关规则的联动，回应个人信息泄露源头不清带来的挑战。

二、个人信息泄露侵权

证明障碍的化解尝试

当个人信息泄露源头不确定时，个人信息处理者通常以不存在加害行为或因果关系为由进行抗辩，即个人信息自他方处泄露，损害不应由自己承担。为了救济个人信息主体，司法机关尝试通过表见证据、因果关系推定等方式回应新型侵权带来的挑战。遗憾的是，这些论证路径均难以自洽。

（一）加害行为的确定

在个人信息泄露源头不清的情况下，部分法院围绕加害行为的认定分析个人信息处理者的责任承担问题。如果个人信息主体不能证明个人信息是从被告处泄露的，即不存在“加害行为”，法院就会驳回原告的起诉。例如，在“王某诉汉庭星空（上海）酒店管理有限公司隐私权纠纷案”中，法院指出，原告并无其他证据证明被告泄露了其入住酒店的信息，因此不能证明被告存在不法行为；在“季某 诉江苏苏宁易购电子商务有限公司隐私权纠纷案”中，法院认为，原告提供的证据不足以证明被告有侵害原告隐私权的行为，因此被告不应承担侵权责任；在“李哲希与广东业和房地产开发有限公司等纠纷案”中，法院同样认为，原告所提供的证据均无法明确被告泄漏、出售其个人信息，以此否定存在加害行为。

然而，个人信息主体几乎没有可能查清泄露源头。首先，源于个人信息处理活动的高度复杂性，个人信息主体只有深入数据处理活动内部，才可能发现数据处理中的安全漏洞。这对普通的个人信息主体而言明显强人所难。其次，数字经济的核心特征之一便是委托处理数据业务的推广。目前的个人信息处理活动往往依赖于多个机构或平台之间的数据共享和数据处理，企业借助委托他方处理个人信息的方式降低成本，因此数据共享越来越成为互联网经济的普遍现象。数据共享、委托处理拉长了个人信息处理链条，个人信息处理者欲探明泄露源头势必更为艰难。在著名的“庞理鹏与北京趣拿信息技术有限公司等隐私权纠纷上诉案”（以下简称“庞理鹏案”）中，庞理鹏的个人信息在“去哪儿网”、中航信公司和东航公司之间流转，其就很难判断个人信息是在哪个环节泄露的。

为了缓解个人信息主体的举证压力，司法实践创造性地运用表见证据规则判断加害行为的存在与否。表见证据规则是指在自由评价框架内形成确信时合乎逻辑地使用生活经验法则，其实质在于将证明对象从要件事实转化为更易证明的典型关联事实，通常以“典型事实经过”为前提。在法院认定原告完成举证责任后，根据“提供证据责任转移理论”，被告应当就同一事实举证证明符合其利益的观点。在“申瑾与支付宝（中国）网络技术有限公司等侵权责任纠纷案”（以下简称“申瑾案”）中，法院指出，诈骗分子在个人信息提供后的较短时间内就获得涉案个人信息，这一特殊的时空背景表明被告存在泄露涉案个人信息的高度可能。换言之，法院认为个人信息提供后很快泄露这一事实构成表见证据，足以表明被告泄露了个人信息。在“庞理鹏案”中，法院也指出原告提供的证据结合生活经验足以构成表见证据：“第三人即便已经获知庞理鹏姓名和手机号，也很难将庞理鹏的订单号、身份证号都掌握在手，从而很难查询到庞理鹏的航班信息。而与普通的第三人相比，恰恰是趣拿公司、东航、中航信已经把上述信息掌握在手。”据此，法院认定原告已完成举证义务，被告应证明对自己有利的事实。被告在未能举证证明个人信息并非是从己方泄露时就应当承担举证不利的法律后果。

司法机关通过表见证据规则解决加害行为的判断问题，有力地救济了个人信息主体的合法权益，值得肯定。但表见证据理论以“典型事实经过”为前提，能否认为在个人信息注册后较短时间内收到诈骗信息，个人信息就是从注册网站上泄露的？在互联网时代，用户可能在各种平台上留下个人信息，恐怕不能认为泄露发生前登录的平台就是泄露源头。也有法院就明确否定时空关联的证明力，“虽然快递丢失与诈骗发生的时间非常接近，但原告提供的证据不足以证明诈骗分子是从被告处知晓原告信息的，因此被告的行为与原告所受损害并无相当因果关系”。当然，考虑到个人信息处理活动的复杂性，司法机关应综合运用表见证据规则、证明妨碍推定规则和提供证据责任转移理论降低当事人的负担。只是上述学说的合理运用皆有赖于充分的说理和论证。

（二）因果关系的判断

个人信息泄露侵权的难点之二在于，个人信息主体必须证明个人信息处理者的不法行为与己方损害之间存在因果关系。面对个人信息主体的诉请，个人信息处理者多以他方介入为由主张因果关系不存在。例如，在“周裕婵、广东快客电子商务有限公司网络侵权责任纠纷案”（以下简称“快客案”）中，快客公司就主张可能是供应商、快递公司等第三方泄露的个人信息，快客公司不应承担责任。如果个人信息从第三人处泄露，因果关系可能因第三人行为而中断，个人信息处理者可因此免责。

法院尝试通过举证责任倒置的方法解决因果关系判断难题。在“快客案”中，法院强调“快客公司未能举证开机键信息泄露归因于供应商、快递公司等第三方”，以此主张因果关系未被排除。在“庞理鹏案”中，法院实质上也要求被告承担因果关系不存在的证明责任。法院认为，被告并未举证证明 个人信息泄露的确是归因于他人，并未举证证明信息泄露可能是因为难以预料的黑客攻击，应承担不利后果。借助因果关系推定，法院让个人信息处理者承担对未知事件的证明责任。

但举证责任倒置路径同样存在弊端。首先，因果关系推定或举证责任倒置应有法律的明确规定。在制定《个人信息保护法》的过程中，有学者指出应规定因果关系推定制度，但为立法者所明确拒绝。在缺乏明确法律规定的情况下，令个人信息处理者举证证明行为与损害之间不存在因果关系，缺乏必要的合法性基础。其次，即便采用因果关系倒置的方式要求个人信息处理者证明因果关系不存在，如何应对个人信息处理者的合法替代行为抗辩？合法替代行为抗辩是指行为人主张，如果行为人不从事系争不法行为，而是从事合法的行为，依然会发生侵害受害人民事权益的不利后果。如果个人信息处理者证明即便采用《个人信息保护法》第 51 条规定的安全管理措施，仍然不足以防范新型个人信息安全风险，其是否还要承担法律责任？如果个人信息处理者证明即便有所作为，损害还是会发生，则根据因果关系理论，个人信息处理者似乎就无需承担法律责任。

（三）《民法典》侵权规则的柔化需求

为了救济个人信息主体，法院尝试运用表见证据规则、因果关系推定等手段解决个人信息泄露侵权中的证明难题。然而，表见证据依赖于对典型生活事实的判断，不同于日常生活中的过失侵权行为，个人信息处理活动具有高度复杂性与专业性，典型事实的判断并不容易；因果关系推定或举证责任倒置之路径依赖于法律的明确规定，在缺乏法律规定时该路径的合法性问题尚有进一步讨论的必要。

为解决个人信息侵权“举证难”问题，或可借由《民法典》第 1170 条规定的共同危险行为规则减轻个人信息主体的负担。《民法典》第1170 条规定：“二人以上实施危及他人人身、财产安全的行为，其中一人或者数人的行为造成他人损害，能够确定具体侵权人的，由侵权人承担责任；不能确定具体侵权人的，行为人承担连带责任。”该条旨在化解事实不清的难题，似乎也可适用于个人信息泄露源头不清的场景。但共同危险责任的适用条件极为严格，个人信息处理活动未必能够满足其构成要件。

首先，共同危险责任要求行为人皆为危险行为，此为法秩序严厉对待行为人的法理基础。换言之，多个行为人都制造了值得法律谴责的风险，只不过其中一人的风险最终转变为损害。典型例子是，多人向马路方向射击，其中一发子弹击中路人。行为人向马路方向射击，均有造成击中路人的危险，行为均具备法律上的可谴责性。但在个人信息侵权中，个人信息处理者处理个人信息的行为本身并不必然具备可谴责性。只有不法的个人信息处理活动才是值得谴责的，合规的个人信息处理活动反倒是法律鼓励的。《个人信息保护法》第 1 条就明确将“促进个人信息合理利用”列为立法目的之一。因此，不能径自将个人信息处理行为与向马路射击的行为等同视之。

其次，不作为侵权通常不能构成共同危险责任的适用基础。共同危险责任以行为强烈的可谴责性为适用前提。只有行为在客观上具有“导致人身、财产损害的高度可能性”，才能构成共同危险行为规则的适用前提。相较于向马路方向射击这种积极制造风险的行为而言，即使个人信息处理者疏于采取必要措施保障个人信息安全，该不作为似不具备强烈的可谴责性。

最后，共同危险责任要求数个行为人对损害承担连带责任，如果在个人信息处理领域适用共同危险责任，将过分加重个人信息处理者的负担。根据《民法典》第 1170 条，多个行为人之间应当承担连带责任。但即便能确定个人信息泄露源头，被侵权人也要承担无法获得 100% 赔付的风险。在不能确定加害人的情况下，被侵权人反而获得更为优渥的地位，即多个个人信息处理者承担连带责任，每个人都对被侵权人承担 100% 的责任。如果借助《民法典》第 1170 条分配责任，价值判断将有所失衡。

《民法典》规范平等主体之间的法律关系，强调民事主体之间的私法自治。在侵权责任领域，民法规则致力于实现两种利益之间的平衡：对受害人最大可能的保护与行为人最大范围的活动自由与人格发展自由。“谁主张，谁举证”的举证责任分配原则即是该实体法理念的逻辑必然。但在个人信息处理活动中，个人信息处理者与个人信息主体之间的力量关系并不对等，若直接适用一般侵权规则，将会出现扞格不入的情况。有鉴于此，虽然《民法典》人格权编将个人信息保护纳入其规范射程，但立法者又专门制定了《个人信息保护法》，以应对个人信息处理领域的特殊性。根据《个人信息保护法》第 72 条第 1 款，自然人因个人或者家庭事务处理个人信息的，不适用该法。可见，该法的定位即是规范发生在信息、技术、经济等能力不对称的个人信息处理者与个人之间的个人信息处理活动。也正是因为力量的不对等性，《个人信息保护法》有意识地加重了个人信息处理者的义务和责任。在个人信息侵权领域，《民法典》中的一般侵权规则应被《个人信息保护法》中的相关规范适当柔化。目前的审判障碍在很大程度上是源于司法机关对《个人信息保护法》尚不熟悉，尤其是未能准确把握问责原则与安全原则对一般侵权规则的柔化效果。

三、《个人信息保护法》中

问责原则与安全原则的私法功能

考察《个人信息保护法》第 9 条的文义，该条似乎只是要求个人信息处理者对违规行为负责，而且应当保障个人信息安全。果真如此，该条并无规定的必要。个人信息处理者对个人信息处理活动负责，此为当然之理；个人信息处理者在未采取必要措施保障个人信息安全时，也理应承担法律上的不利后果。这种简单的解读将使该条徒为具文。该条的真正意义在于确立个人信息保护中的问责原则与安全原则。问责原则旨在强化问责制度，要求个人信息处理者对不法行为负责，当然也包括承担民事损害赔偿责任。安全原则要求个人信息处理者采取包括但不限于法律、行政法规规定的措施，降低个人信息处理活动带来的安全风险。问责原则与安全原则共同实现对个人信息主体的充分救济。

（一）问责原则与过错推定

为了实现个人信息安全，有必要严厉追责，要求个人信息处理者对不合规的行为负责。个人信息处理者往往具有极强的逐利需求，同时处于数字权力和信息不对称的绝对优势地位，容易因巨大利益诱惑而背离信息保护的要求。《个人信息保护法》因应这一需求规定行政、刑事、公益诉讼等多元化的问责机制。例如，该法第 66 条规定相应行政处罚，第 68 条第 2 款规定相应刑事问责，第 70 条规定检察院、消费者组织或其他组织可以提起个人信息保护公益诉讼等。个人信息主体提起的民事诉讼，同样是问责制度重要的组成部分。如果没有民事责任，最有能力保障数据安全的主体将缺乏足够的动力防止数据泄露损害。更何况相较于其他手段，自下而上的民事问责可能是问责原则最主要的实现机制：囿于个人信息处理的大规模应用以及监管机关的人员、经费限制，监管机关恐怕没有能力全面监管个人信息处理活动。以德国为例，德国数据监管机构的能力虽然在《德国联邦数据保护法》生效之后扩张了三倍，但源于数据活动的复杂性和普遍性，其在数据活动管理中只能扮演配角。

但在民事诉讼中，源于个人信息处理活动的复杂性以及两造力量的不对等，个人恐怕没有力量充分举证证明侵权责任的成立。在比较法上，欧盟 1995 年颁布的《个人信息保护指令》（Data Protection Directive，已失效）也曾规定侵犯个人信息的损害赔偿制度，但基本上没有发挥作用，因为第 6 条第 2款仅要求数据控制者确保符合各项个人信息处理原则。换言之，欧盟《个人信息保护指令》要求个人信息主体证明个人信息处理活动有违法律规定，而这几乎无法实现。有鉴于此，2018 年生效的欧盟《通用数据保护条例》（General Data Protection Regulation，简称 GDPR）第 5 条第 2 款规定了问责原则，要求数据控制者应自证数据活动符合各项个人信息处理原则。只有要求个人信息处理者自证合规，风险管理的目标才能实现，受影响的个人才能有效地减轻提供证据的负担，数据才不会一直隐藏在关闭的门内被处理。我国并没有采纳 GDPR 的规范进路，而是通过《个人信息保护法》第 69 条第 1 款规定了过错推定规则。该款规定，个人信息处理者处理个人信息造成侵权损害，不能证明自己没有过错的，应当承担损害赔偿等侵权责任。按照“谁主张，谁举证”的举证责任分配原则，个人信息主体本应证明个人信息处理者的过错，但《个人信息保护法》却推定后者具有过错，以此纾解前者的举证困难，确保问责原则的实现。

（二）安全原则与安全管理义务

《个人信息保护法》同时存在强化个人对个人信息的控制和防范数据活动的社会风险两种理念。前者突出表现为该法第四章规定的个人信息主体的权利和第五章规定的个人信息处理者的义务，后者则集中体现于该法总则规定的个人信息处理原则与第二章关于个人信息的行为规范。个人信息处理活动必然带来个人信息滥用与泄露的风险，因此关于个人信息处理活动的规范应侧重于防范风险，强化对个人信息处理活动的安全管理。《个人信息保护法》因应这一需要规定了安全原则。

安全原则意味着个人信息处理者应承担特殊的安全管理义务，有义务对个人信息处理活动进行事前、事中和事后的全流程风险控制。风险评估是典型的事前安全管理规则，记录义务、个人信息保护负责人制度以及合规审计侧重于对个人信息处理活动事中的陪同性控制，最小存储期限、目的实现后及时删除个人信息则是一种事后的安全管理策略。以合规审计为例说明之。良好的合规审计能够推动安全系统不断更新，为系统提供新的机会以进行更广泛的思考和感知以前被忽视的漏洞。如果公司的内部安全管理制度能够根据审计报告不断调整，安全管理将变成一个完整的循环，即“风险评估—规则设计和完善（记录义务、个人信息保护负责人等）—合规审计”。我国《个人信息保护法》第 54 条明确要求个人信息处理者定期进行合规审计。美国纽约州的要求则更为具体，个人信息处理者要么持续性监测数据活动，要么至少每年进行一次渗透测试和一年两次的脆弱性审计。如果个人信息处理者没有履行合规审计义务，将会增加个人信息泄露风险，也将被认定违反了安全原则。

安全原则还有扩张作为义务内容的功用。源于技术的不断发展，目前有效的安全管理制度将来就可能被证明存在漏洞。安全原则的宽泛性则要求个人信息处理者不断采用新的技术手段和管理手段实现数据安全的目标。《个人信息保护法》第 9 条规定的安全原则要求个人信息处理者采取必要措施保障个人信息安全。必要措施不等于“法律规定的措施”。个人信息处理者除了原则上应遵守《个人信息保护法》《数据安全法》等法律规定之外，还应当遵守与个人信息保护相关的其他法规范文件。在个人信息保护领域，个人信息保护的标准化文件［如《信息安全技术 个人信息安全规范》（GB/T 35273-2020）］以及监管部门出台的管理性文件［如《常见类型移动互联网应用程序必要个人信息范围规定》（国信办秘字〔2021〕14 号）］同样发挥极为重要的作用。除此之外，平台作为互联网活动的重要支撑，其自治性规范文件也值得法秩序给予充分关注。《个人信息保护法》第 58 条第 2 项对超大型平台经营者施加更重的义务，要求其制定保护个人信息的平台规则。在平台经济时代，平台经营者扮演“守门人角色”，其可以通过不断更新的公司内部数据安全管理文件，持续地提高个人信息保护的技术水平和管理水平。例如，平台可以要求采用内部访问限制、数据加密与多重身份验证等措施强化数据安全。

四、问责原则与安全原则

对个人信息泄露侵权认定的影响

《民法典》与《个人信息保护法》先天存在内在关联，盖二者均强调保护人格尊严和人格发展自由。但《个人信息保护法》以不平等主体之间的个人信息处理活动为规范对象。因此，如果纠纷发生在个人信息处理者与个人信息主体之间，而非平等的个人信息主体之间，《个人信息保护法》规定的问责原则和安全原则将充分体现自身特殊的调整特点，柔化侵权规则的适用。

（一）个人信息泄露之义务违反判断

1.从违法性之行为到过错之证明

个人信息从何处泄露，是个人信息侵权诉讼中的难点问题。司法机关往往要求个人信息主体证明个人信息是由个人信息处理者或其内部人员违规泄露的，以此证明“加害行为”的存在。司法机关似乎混淆了损害与行为的关系，即误将个人信息的泄露解读为不法行为。侵权法意义上的行为是指侵害他人民事权益的受意思支配、有意识之人的活动。泄露个人信息并非侵权法意义上的行为，因为个人信息的泄露并非是出于个人信息处理者的意愿。如果个人信息处理者故意“泄露”个人信息，实质上是非法传输个人信息，此时并不存在泄露源头不清的问题。个人信息泄露是行为的后果而非行为本身。因此，加害行为只能是个人信息处理活动，而非个人信息泄露。个人信息处理者无合法依据处理个人信息的，其通过“作为”侵犯个人信息；个人信息处理者未采取必要措施保障个人信息安全的，其通过“不作为”侵犯个人信息。部分司法机关执着于确定个人信息泄露源头，以此确定加害行为，实则混淆了行为与后果之间的关系，不仅无助于问题的解决，反而会增加说理困难。

鉴于个人信息泄露是行为的后果，而非加害行为本身，问题就转变为如何确定加害行为。但对于加害行为（行为的违法性）是否属于侵权责任的构成要件，学界并未达成共识。围绕侵权责任的构成要件至少存在两种主张：一种强调行为的不法性，即必须是具有违法性之行为（四要件说）；另一种则主张保持行为要件本身的纯粹性，以过错吸收违法性判断（三要件说）。我国《民法典》第 1165 条第 1 款规定，行为人因过错侵害他人民事权益造成损害的，应当承担侵权责任。从文义观之，行为必须“侵害他人民事权益”，似乎蕴含违法性的要求。据此，侵权责任意义上的行为应是不法行为，或曰加害行为。这种理解具备一定的合理性，也为一些司法判决所采纳。唯需注意的是，构成要件的设计暗含诉讼便利层面上的考量。德国侵权法理论虽然强调违法性的独立地位，但并非首先检索是否存在“违法性之行为”或“加害行为”。依据“该当性—违法性—有责性”的检索顺序，法官是在检索行为、损害、因果关系之后再判断行为的违法性。盖违法性之判断涉及对法律规范的理解，较之行为、损害和因果关系的判断更为困难。秉持“先易后难”的逻辑，首先应判断行为是否符合一般要求， 然后再判断行为是否应受到法秩序的否定评价。因此，即便采取四要件说，也应先判断损害与因果关系是否存在，然后判断是否满足加害行为这一要件。但若如此，个人信息泄露源头的问题将在因果关系层面被检视。一旦认定存在因果关系，将再无判断是否存在加害行为的必要。

本文认为，在个人信息侵权领域，“三要件说”相较于“四要件说”更能减轻个人信息主体的举证负担。本文无意于论争“三要件说”和“四要件说”孰优孰劣，仅试图指出若在个人信息侵权中将违法性要求划入对过错要件的检视，将更有助于救济个人信息主体的损害。按照“三要件说”，个人信息主体仅需证明损害、因果关系与过错。现代侵权法的发展趋势之一是过错的客观化，即不是从单个行为人的主观状态认定其过失，而是主要依据是否违反法定义务或理性人的注意义务判断其有无过失。因此，个人信息主体欲证明个人信息处理者具有过错，仅需证明后者违反合理的注意义务即可。问责原则要求个人信息处理者对不法行为负责，《个人信息保护法》第 69 条第 1 款要求个人信息处理者自证无过错。据此，个人信息处理者应当自证已经履行义务。于是，义务履行之证明责任转由个人信息处理者承担。具言之，个人信息处理者将有义务证明个人信息处理活动已经满足合规要求。可见，若将违法性证明纳入过错范畴将极大地缓解个人信息主体的举证难度。

2.法定作为义务履行之证明

个人信息处理者应自证履行作为义务。根据安全原则，个人信息处理者应当采取必要措施保护个人信息安全，《个人信息保护法》第 51 条详细列举了具体的作为义务。个人信息处理者应当证明已经履行该法规定的安全管理义务。

从《个人信息保护法》第 51 条的文义来看，所有类型的个人信息处理者均须履行该条规定的作为义务，并无弹性选择的可能。但如果“一刀切”地要求所有的个人信息处理者均采取同样的风险控制措施，将过度加重中小企业负担。安全原则之所以强调措施的“必要性”，是因为网络领域不存在绝对的安全。专家们甚至建议公司要接受数据泄露几乎是不可避免的这一事实，而应该更关注如何应对数据泄露以及如何通过加密、控制访问和授权来保护自己最有价值的数据。既然绝对的安全是不存在的，个人信息处理活动的安全管理本质上只能是采取“与风险相适应”的措施。这一解读也可通过《个人信息保护法》的相关规则获得验证。例如，大型互联网企业用户数量巨大、业务类型复杂，制造的个人信息风险较之中小型互联网企业更高，因而立法者有意识地区分企业规模配置义务。《个人信息保护法》一方面加重超大型平台经营者的义务（第 58 条），另一方面也允许网信办针对小型个人信息处理者制定专门的个人信息保护规则和标准（第 62 条第 2 项）。此外，该法第 51 条也要求根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险采取措施。在考虑各种因素的基础上有针对性地采取安全管理措施，鲜明地体现出风险与手段相一致的思想。因此，应在衡量个人信息处理活动风险程度的基础上判断个人信息处理者是否履行安全管理义务，而非一概要求个人信息处理者采取《个人信息保护法》第 51 条规定的所有措施。

3.作为义务之扩张

如果个人信息处理者成功举证证明其已经履行《个人信息保护法》第 51 条及相关法律、行政法规明确规定的安全管理义务，当发生个人信息泄露时，其是否还应承担法律责任？作为义务原则上应由法律规定。其一，行为人更容易期待其禁止从事某种行为，而非负有积极从事某种作为的义务。其二，在负担不作为义务时，行为人尚享有从事其他行为的自由；负担作为义务的，行为人完全没有从事其他行为的自由。因此，法律对积极作为义务的设计持谨慎态度。我国《个人信息保护法》第 51 条采取半封闭式的规则设计，要求个人信息处理者履行制定内部管理制度和操作规程、对个人信息实行分类管理等五种义务以及法律、行政法规规定的其他措施。仅从文义上判断，个人信息处理者履行法律、行政法规规定的安全措施的，似乎就应被认定尽到作为义务。

安全原则能够突破法定义务的界限，要求个人信息处理者做得更多。源于立法周期限制，法律、行政法规未必能够及时回应新问题和新挑战。具体的规则将是一件“紧身衣”，僵硬地要求数据公司采取可能无法有效应对威胁或适当衡量危险的预防措施。《个人信息保护法》第 51 条失之过于具体，并不能有效地督促个人信息处理者不断更新技术与管理措施。该法第 9 条规定的安全原则要求个人信息处理者采取“必要措施”保障个人信息安全，而必要措施并非仅限于法律、行政法规规定的措施。个人信息处理者应当遵守与个人信息保护相关的其他法律文件，如个人信息安全保护标准与监管部门的有关规定。疑问在于，司法机关可否依据安全原则创设更多的义务。本文认为，安全原则本质上要求个人信息处理者持续地研发新技术、改进管理手段，不断提升安全水平。若仅要求个人信息处理者履行由法律文件明确规定的义务，个人信息处理者将缺乏充足的动力努力开发降低安全风险的新技术以及探索新型安全管理模式。因此，司法机关应能够借助安全原则不断创设新的作为义务。

这种理解也与民法中的交往安全义务理论相一致。侵权法中的作为义务并非仅限于法律规定，尚可因社会交往而产生。《德国民法典》第 823 条第 2 款将保护他人之法律列为作为义务之

另值得一提的是，在 GDPR 早期的委员会版本中，第 22 条第 2 款详细规定了个人信息控制者的义务。欧盟议会与欧盟理事会都拒绝了以列举的方式规定个人信息处理者的义务，因为列举式条款可能会限制义务类型的自然扩张。GDPR 最终采纳了以风险为基础的规制策略。根据 GDPR 第24 条第 1 款，数据控制者负有采取适当的技术和组织措施以及数据保护政策以确保数据处理行为符合规定的义务。GDPR 第 32 条第 1 款也通过“包括但不限于”的表达维系了义务的开放性。为了满足法律的要求，在欧盟的个人信息保护实践中，个人信息控制者经常通过“数据保护管理体系”落实安全保护义务，其安全管理手段也已经超越了 GDPR 所列举的要求。例如，个人信息控制者通过引入信息技术安全概念规范处理过程中的基础设施、数据管理和用户交互行为，通过组织章程督促内部成员遵守内部的合规要求。我国《个人信息保护法》第 51 条没有吸取 GDPR 的经验，半封闭式条文的立法设计有限制安全管理义务扩张的缺点。所幸的是，可以借助《个人信息保护法》第 9 条安全原则突破第 51 条的限制，督促个人信息处理者不断采取新型技术手段和管理方式保障个人信息安全。

（二）个人信息泄露之因果关系判断

在个人信息泄露侵权中，个人信息主体需证明己方损害与个人信息处理行为之间具有因果关系。但个人通常没有能力证明因果关系的存在已如前述，不再赘言。部分司法机关为了救济无辜的个人信息主体，要求个人信息处理者举证证明因果关系不存在，但因果关系推定或举证责任倒置均应有法律的明确规定，此举易受合法性质疑。本文认为，传统的因果关系学说在个人信息侵权领域并未失灵。在个人信息侵权中，因果关系认定存在的诸多困境并非源于法理的滞后，而是由于赛博空间存在难以解释的科技黑箱、多元化的信息媒介以及信息处理人过多等因素。为了回应新的挑战，妥当的破题之策是借助问责原则、安全原则与因果关系学说的联动，灵活判断因果关系存在与否。

1.因果关系判断

如果依据因果关系判断的条件说，个人信息处理者的行为与个人信息主体的损害之间应有不可或缺的关系。具体到不作为侵权场景，如果个人信息处理者有所作为，则损害必不至于发生，应认定存在因果关系。一个未发生的作为对损害的影响是无法从自然意义上进行判断的。在未采取预防措施减少风险的情况下，无法反事实地指出如果有所作为，情况会变得不一样。当然，因果关系本就是一个法律概念，不必纠结是否具有自然的联系，可以径自从法律意义上探究是否存在相关的、可认定的因果关系。相当因果关系说与条件说不同，前者更考虑行为对损害发生概率的一般性影响，更能体现因果关系的价值判断属性，也更有利于保护被侵权人，因此为我国法院所普遍接受。

但是，相当因果关系理论在个人信息泄露情况下也难以发挥作用。相当因果关系说高度依赖于审判人员的“生活经验”乃至“案件感觉”。但个人信息泄露往往是多种因素结合的结果，如员工缺乏培训、组织程序出现纰漏、外部黑客的技术攻击等。按照瑞士奶酪模型（Swiss Cheese Model）理论，奶酪片上的洞代表了系统各个部分的弱点，它们通过打开、关闭和移动位置不断进化。当漏洞瞬间排成一行时，就形成了一个“事故机会轨迹”，让危险分子穿透防御层的所有漏洞，导致个人信息泄露。在如此复杂的侵权场景中，很难判断某一行为是否会一般地导致损害的发生。再者，若损害已经发生，通过强调行为的异常性否定因果关系并不容易。即便是拥有高度职业化法官的德国，依据相当因果关系限制损害赔偿的案例也极少。相关因果关系本质上是盖然性判断，但概率论仅在结果出现之前才有意义，结果出现后发生概率就是 100%。此时欲论证“一般不会发生”对法官而言也并不容易。

对此或可借助法规目的说，判断不合规行为与损害之间是否存在因果关系。法规目的说认为，诉争损害是否处于法律规范针对的风险范围内，才是因果关系判断的首要问题。如果损害本身是立法者所欲阻止的损害，被侵权人也属于法律的保护对象，便可认定不法行为与损害之间存在法律上的因果关系。以生存机会丧失为例说明之。除了将生存机会视为独立的法益或认为侵犯的是自主决定权等有益尝试之外，也可借助因果关系学说解决这一难题。例如，当病患因受保健品广告影响迟延就医时，虽然被侵权人及时就医也不一定能够痊愈，但夸大保健品治疗功能的行为本就为《广告法》所禁止。《广告法》第 4 条要求广告不得含有虚假或者引人误解的内容，第 18 条第 2 项尤其强调保健食品广告不得含有涉及疾病预防、治疗功能的内容。《广告法》上述规范的目的之一就在于防止保健品公司误导消费者购买保健品导致消费者不能及时就医。因此，当虚假宣传导致病患延误治疗时，应认定虚假宣传行为与损害之间存在法律上的因果关系。

在个人信息泄露场合，个人信息显然属于侵权法的保护对象，我国《民法典》人格权编明确将个人信息列为人格权益的一种；《个人信息保护法》中的问责原则当然要求对民事损害提供救济，个人信息泄露就是该法所欲防止的损害。依据法规目的说，只要违反的法律与权益保护相关，就推定违法行为与权益侵害之间存在因果关系，被告应当证明因果关系不存在。例如，德国法院明确指出，未能及时删除个人信息与个人信息泄露之间存在因果关系。即便原告未能成功证明个人信息确实是从被告处泄露的，但被告的不作为增加了个人信息泄露风险，因果关系也被推定存在（Indizwirkung）。无独有偶，美国判例法同样支持以法规目的说判断个人信息泄露侵权中的因果关系。在 2017 年的一起个人信息泄露案中，美国法院就指出，即便被告疏于保护客户信息并非原告受害的最直接原因或近因，但使原告面临重大的身份盗窃等衍生侵害风险，将损害归责于被告并无不妥。是故，如果个人信息处理活动不合规，个人信息处理行为与损害之间就应被认定具有法规目的意义上的因果关系。

2.因果关系中断

在个人信息泄露侵权纠纷中，个人信息处理者往往主张个人信息是由他方泄露的，因果关系因此发生中断。《民法典》第 1175 条规定，损害是因第三人造成的，第三人应当承担侵权责任。该条似乎表明只要有第三人介入，因果关系就发生中断。查阅《民法典》侵权责任编相关法条（如第 1192 条第 2 款、第 1198 条第 2 款和第 1201 条等），当有第三人行为介入时，行为人只有在法律有特殊规定的情况下才承担法律责任。按照这一理解，当个人信息从他方泄露时，因果关系链条就发生中断。或许正是基于这种认识，法院无论是在“快客案”“申瑾案”还是在“庞理鹏案”中，都倾向于查找真实的个人信息泄露源头，以查清因果关系是否有中断的情况。

且不论法院是否有能力查清个人信息泄露源头，即便个人信息是由第三人泄露的，也并不当然中断行为与损害之间的因果关系。学理上倾向于认为，仅在损害完全是由第三人的过错行为造成时，因果关系才发生中断，第三人才承担全部责任。根据《民法典》第 1175 条的权威释义，只有在第三人介入是损害发生的唯一原因时，行为人才不需要承担法律责任；如果第三人过错是造成损害的部分原因，此时的责任承担应按照多数人侵权规则予以判断。相较而言，司法机关判断因果关系中断的参考因素更为多元，也更为全面，即通过衡量介入行为的合法性、介入行为的主观状态等因素，考虑第三人行为对因果关系的影响。因此，第三人介入并不一定中断个人信息处理行为与个人信息主体损害之间的因果关系。在司法实践中，第三人介入的形式主要有两种：一是个人信息遭到第三人攻击发生泄露；二是个人信息处理者将个人信息传输给第三人，个人信息在第三人处发生泄露。

第一，个人信息因遭到第三人攻击发生泄露的，因果关系不一定发生中断。诚然，第三人故意窃取个人信息，行为本身存在巨大的可谴责性。但个人信息处理者若没有积极履行安全管理义务，行为本身也具有可谴责性。安全原则已经给个人信息处理者施加了安全管理义务这一特殊的注意义务， 要求个人信息处理者采取必要措施应对个人信息泄露风险。在行为人应承担特殊注意义务的场合， 即便第三人故意介入，因果关系也不一定会中断。《美国侵权法（第二次）重述》第 448 条就规定，如果行为人知道或应当知道第三人可能利用自己的行为为故意侵权行为，因果关系就没有中断。我国审判实践也指出，负有特殊管理义务的人不因第三人故意行为而免责。例如，在“上海市高桥热力股 份有限公司等与朱子恒健康权纠纷案”中，法院就认为，被告本就负有管理维护窨井的义务，虽然原告的损害因第三人故意盗窃窨井盖而发生，但被告不能因此免责。个人信息处理者欲以因果关系中断为由进行抗辩，就不能仅仅主张发生第三人攻击。个人信息处理者欲中断因果关系，应当充分承担举证义务，例如证明外部攻击具有非典型性（Atypischeund）。《美国侵权法（第二次）重述》第 442 条则要求考虑损害种类是否相同、介入行为是否极为特殊、介入行为是作为还是不作为、介入行为是合法行为还是非法行为、非法行为的可惩罚程度等诸多因素，判断是否能够中断因果关系。

在第三人故意侵权且因果关系未中断的情况下，个人信息处理者与第三人之间的责任分配应结合《民法典》中的多数人侵权规则予以确定。二者之间并非故意串通侵害个人信息，也非难以确定具体侵权人的情况，因此不应适用《民法典》第 1168-1170 条。就个人信息非法收集带来的损害而言，个人信息处理者的非法收集行为与第三人的故意窃取行为均足以造成全部损害，二者应依据《民法典》第 1171 条承担连带责任。对非法使用个人信息造成的损害，应视个人信息处理者和第三人使用个人信息的情况而定。如果个人信息处理者仅有非法收集行为，第三人则有非法使用个人信息的行为，二者构成非充分条件的多人分别侵权，应根据《民法典》第 1172 条承担按份责任。

与此不同的意见可能是，当个人信息泄露发生在互联网平台时，应优先适用《民法典》第 1198 条第 2 款，依据违反安全保障义务的规定分配责任，即平台经营者违反作为义务的，应当承担补充责任，且可以向故意侵权的第三人追责。但是，《民法典》第 1198 条的规则在逻辑上难以自洽。一旦认定安保义务人具有过错，为什么只在第三人无力赔偿时始应担责？安保义务人在承担补偿责任后，可以通过追偿的方式最终不承担责任，这明显违反过错规则和自己责任原则。本文认为，妥当的解释路径是将《民法典》第 1198 条个殊化，尽量避免适用该规则。注意义务完全可以包含安全保障义务，《民法典》第 1165 条第 1 款内含一般性的安全保障义务，该法第1198 条和《电子商务法》第 38 条第 2 款均为特殊的安全保障义务。在这种理解之下，本文倾向于将《民法典》第 1198 条界定为针对“宾馆、商场、银行、车站、机场、体育场馆、娱乐场所等经营场所、公共场所”的特殊规定，并不能扩张适用于互联网平台上的个人信息处理活动。是故，即便侵权发生在平台与用户之间，也不宜依据《民法典》第 1198 条确定平台经营者与第三人之间的责任，而是仍然应当按照多数人侵权规则分配责任。

第二，个人信息在第三人处发生泄露的，因果关系也不当然中断。安全原则要求个人信息处理者对个人信息处理活动负责，且应采取必要措施保障个人信息安全。个人信息处理者向第三人传输个人信息的，也应履行与风险程度相适应的注意义务。诚然，《个人信息保护法》第 23 条仅要求个人信息处理者在传输个人信息时应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类，并取得个人的单独同意。但根据该法第 9 条规定的安全原则，个人信息处理者在数据传输过程中也应履行相应的作为义务，采取必要措施防范可能发生的风险。例如，当媒体曝光航空订单上的个人信息屡屡泄露时，航空公司在向他方传输个人信息时应当有一定的警觉。如果航空公司无所作为，甚至降低个人信息安全等级，应认定航空公司的行为与个人损害之间的因果关系未中断（如前述“申瑾案”）。因此，个人信息在第三人处发生泄露的，并不当然地中断因果关系。至于个人信息处理者与第三人之间的责任分配，应依据《民法典》第 1171、1172 条予以确定。

语音朗读：