【www.zhangdahai.com--其他范文】
■李西泠
金融账户信息,又称为个人金融信息,在2021年11月施行的《个人信息保护法》中被划入典型的敏感个人信息范畴。2020年,《中国人民银行金融消费者权益保护实施办法》对消费者金融信息做出了详细的界定,即指“银行、支付机构通过开展业务或者其他合法渠道处理的消费者信息,包括个人身份信息、财产信息、账户信息、信用信息、金融交易信息及其他与特定消费者购买、使用金融产品或者服务相关的信息”。网络时代,信息的频繁流通推动了数据的流通和发展,但也使得个人信息的泄露以及非法处理行为越来越泛滥。金融账户信息作为典型的个人敏感信息,一旦被非法处理,不仅会造成个人财产损失,还可能导致人身伤亡。对此,如何在保护信息主体权益的同时,不对数据的流通造成阻碍,成为立法者需要平衡的问题。
在《个人信息保护法》颁布之前,侵害个人信息的侵权责任适用的是《民法典》第1165条第1款所规定的过错责任原则。按照一般侵权行为的构成,损害赔偿请求权包含侵权行为、损害后果、因果关系和过错。然而在实践中,如果适用过错责任,那受害人就必须证明加害人存在过错,但个人信息侵权行为的隐蔽性和技术性使得原告举证困难重重。《个人信息保护法(草案)》第65 条规定“个人信息处理者能够证明自己没有过错的,可以减轻或者免除责任”。由于表述含糊不清,在《个人信息保护法(草案二次审议稿)》中调整为“个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任”。最后施行的《个人信息保护法》第69条沿用了这一表述,明确了侵害个人信息权益的损害赔偿责任的归责原则是过错推定责任。这无疑是一个进步,但不区分敏感个人信息与非敏感个人信息,统一适用过错推定责任是否合适?遭遇个人信息侵权的受害者是否就此能够获得充分救济?针对上述问题,本文从危险理论和法经济学的角度,对个人信息,尤其是金融账户等敏感个人信息应适用的归责原则进行探讨,试图在信息的流通和信息主体的权益中寻求平衡。
(一)归责原则的本质
默认被害人自担损害,是损害赔偿法中最基本的一条原则。一方面,已经产生的损害是无法恢复的。加害人对遭受损害的人予以补偿,从后者的单方视角来看,其减少的利益确实以另一种方式得到了一定程度的弥补,但法律提供救济的本身将再次耗费资源并产生额外的交易成本。因此,从避免增加损失的角度出发,良好的政策应让损失停留在其所发生之处。另一方面,风险难以被完全规避,有些后果是不能转嫁给他人的。在各种社会生产活动中,行为人原则上都要考虑代价,自担风险。
而所谓“归责”,就是确认和追究侵权行为人的民事责任[1,2]。归责原则,就是在默认被害人需要自己承担所受损害的前提下,却要求损害应该由加害人承担的特殊理由[3]。无论以什么作为归责原则,侵权赔偿责任都是建立在“使得受害人更容易获得侵权损害赔偿或者鼓励企业提高其活动安全性的愿望基础之上的”[4]。在侵权法的归责原则中,无过错责任、危险责任、严格责任这几个概念经常混用。对于其含义,有学者认为只是说法不同,内涵是一样的。本文无意对这些概念进行辩驳与区分,统一以无过错责任指代。
(二)比较法视域下的立法例分析
从比较法来看,不同国家地区对于个人信息或者数据保护的规定存在较大差异。主要的立法模式有以下几种:
1.以欧盟为代表的无过错归责原则
1995年通过的意图规范欧盟境内个人数据处理行为的《数据保护指令》第23 条规定,“成员国应做出规定,对于任何因非法处理或违反依照本指令制定的国内规定的行为而遭受损害的人,有权从数据控制者处获得损害赔偿。如果控制者证明自己对导致损害的事件不承担责任,则可以全部或部分地免责”。再结合序言部分第55 条“鉴于个人因非法处理而可能遭受的任何损害必须由控制者赔偿,如果控制者证明其对损害不负责任,特别是在他能够证明数据主体存在过错或者有不可抗力的情形,则可以免除责任。”
由此可见,根据1995年的《数据保护指令》,数据控制者承担的为无过错责任,成员国实施免责条款仅限于被告无法控制的事件,例如不可抗力或被侵权人故意。由于欧盟指令是针对其成员国的,原则上对个人没有法律约束力,成员国必须将该指令转化为国内法。于2016年4月通过的《通用数据保护条例》(GDPR)取代了《数据保护指令》,第82条可被视为《数据保护指令》第23条的延续,第1款规定了获得赔偿的权利,“任何因违反本条例而遭受物质或非物质损失的人,都有权从控制者或处理者那里获得所受损失的赔偿”。仅根据GDPR 第82 条第1款的字面含义,责任的法律性质并不明晰:究竟是无过错责任,即在构成要件中完全脱离过错的责任;
还是仅导致举证责任倒置,即过错推定责任[7]?目前的通用说法是将该条解释为无过错责任,即侵权行为人不能因为没有过错而免责[8]。但数据控制者和数据处理者的责任承担有所不同,根据第82 条第2款,控制者应当为违反条例的处理行为所导致的损害负责,而处理者只有在未遵守条例对处理者特别规定的义务或者超出了控制者指示的情况下,才对损害负有责任。
2.以德国为代表的二元归责原则
二元归责原则这一立法模式以德国为典型代表。最初,为了执行1995年的欧盟《数据保护指令》,德国于2002年制定了《联邦数据保护法》(BDSG)。立法者将侵权主体区分为一般的数据控制者和采用自动化技术处理数据的公共机关,前者适用过错推定责任,后者使用无过错责任。即如果一般的数据控制者违法或者使用了不正当方式处理个人数据并给数据主体造成了伤害,除非能够证明自己已经尽到了应尽的注意义务,否则就应当对损失进行赔偿。对于采取自动化方式收集、处理或使用个人数据的公共机关,即使没有过错,只要给数据主体造成了损害就应当承担赔偿责任。GDPR通过后,德国于2017年6月30日更新了本国的《联邦数据保护法》。该法第83条第1款规定,“当责任人违反本法或违反其他数据处理相关规定处理个人数据,导致数据主体受到损害时,责任人应向数据主体承担赔偿责任。在非自动化处理的情况下,如果损害不是由责任人的过错造成的,则赔偿义务不适用”。从该条规定可以看出,德国在区分自动化和非自动化处理数据的情况下,要求以自动化方式处理数据的责任人承担无过错责任,对非自动化方式处理所造成的损害,如果数据控制者没有过错,则无须承担责任[9]。
与此相似的是,我国台湾地区将处理者以是否为公务机关为界分,规定不同的归责原则。根据台湾地区《个人资料保护法》第28 条,“如果公务机关违反规定,导致个人资料遭不法搜集、处理、利用或其他侵害当事人权利者,负损害赔偿责任。但损害因天灾、事变或其他不可抗力所致者,不在此限”。第29条规定,“非公务机关违反本法规定,致个人资料遭不法搜集、处理、利用或其他侵害当事人权利者,负损害赔偿责任。但能证明其无故意或过失者,不在此限”。从公务机关的免责事由只有不可抗力,非公务机关可以通过证明自身没有故意或过失而免责可以看出,在我国台湾地区的个人信息侵权责任中,对公务机关适用无过错责任,非公务机关适用过错推定责任。
3.美国自律模式下的归责原则
美国目前没有联邦性数据保护法典,其数据保护散见于医疗、金融、就业、儿童保护等不同行业,呈现出以领域为界的分散性立法特征。鉴于传统理念及实用主义的影响,美国多数行业凭借行业自律即可达成自我管控。在个人信息保护中起到主要作用的是市场本身,立法偏向于对可能出现的信息不对称或不公平现象进行调整。在此意义上可以认为,美国大多数个人信息保护立法的本质仍然属于市场监管法或市场调节法的范畴[10]。且从严格程度而言,美国立法对个人信息侵权责任所采取的归责原则较松,主要对公务机关进行规制。
(三)我国理论界的争议
不管是在立法征求意见的过程中,还是在《个人信息保护法》颁布后,我国学界对于个人信息侵权损害赔偿应当适用的归责原则一直未达成共识,归纳起来有以下几类。
1.一分法
在《个人信息保护法》出台前,统一适用过错责任原则为主流观点,即坚持只有侵权人具有主观上的故意或者过失才需承担个人信息侵权责任。持有此种观点的学者将侵害个人信息的侵权责任划为一般侵权责任的范畴,认为这种侵权行为的本质是对隐私权的侵害,与侵害名誉权、肖像权等人格权属于同一种性质[11]。在《个人信息保护法》出台确立了过错推定的主观归责原则后,有学者指出证明责任倒置方式仍然救济乏力,难以扭转受害人的弱势地位,采用无过错责任原则符合成本收益原则和社会公益原则,能更好地维持当事人之间的利益平衡[12]。
2.二分法
个人信息侵权损害赔偿责任原则二分法通常基于某种特定的分类标准。如果将侵权主体作为分类标准,则普遍认为公务机关应适用无过错责任,非公务机关适用过错推定原则[13]。理由为国家机关对于信息的收集和使用占据绝对优势,也应承担更加严格的责任,才能更好地保护信息主体的安全。如果以处理行为进行区分,则坚持对以自动化方式处理个人信息而导致的侵权行为采过错推定责任,非自动化采过错责任[14]。还有学者早期认为个人信息的侵权责任不应该区分数据处理者,应统一适用无过错责任原则[15],在《个人信息保护法》出台后转为敏感个人信息适用无过错归责原则,非敏感个人信息则适用过错推定原则的立场[16]。理由在于敏感个人信息的处理行为属于法律上的高度危险行为,基于危险开启理论与危险控制理论的要求,处理者承担危险责任无可厚非。
3.三分法
三分法的划分标准角度有两类:一类区分损害赔偿和非损害赔偿,认为事前事中的行为防控类责任适用无过错原则,非赔偿损失责任中的事后行为补偿责任适用过错推定原则,赔偿损失类责任适用过错责任原则[17]。另一类认为应当在区分公、私处理者的情况下,针对不同类型的个人信息处理行为分别确定相应的归责原则。对于既是公务机关,又采取了自动化处理技术的侵权行为人,应适用无过错责任。采用自动化处理技术的非公务机关适用过错推定责任。既未采用自动化处理技术,又是非公务机关的侵权行为人则适用过错责任原则[18]。
从以上学术观点能够看出,除了存在主观归责原则总体分类形态的不同,具体的划分标准也存在差异。
由上文可以看出,个人信息领域存在多重分类方法,如是否自动化处理,处理者是公务机关还是非公务机关。但在个人信息保护法中,最重要且最无可替代的当属敏感信息与非敏感信息的区分。
(一)区分敏感与非敏感信息的意义
作为“特殊的个人信息”,敏感个人信息在比较法中有着不同的界定,但不管范围如何细分,总体来看核心都不超过一旦被非法处理就容易危及或损害个人的基本权利和自由、人格尊严的范围。在《个人信息保护法》颁布之前,我国《民法典》《网络安全法》等法律、行政法规对个人信息已经进行了界定,但并未划分出特殊的个人信息。《个人信息保护法》第28条首次在法律上以概括加列举的方式对敏感个人信息进行了界定,并对处理敏感信息提出了特别要求。在该条第一款中,敏感个人信息的定义为“一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害”。由此可见,“敏感”指的是造成侵害或者危害后果上的容易性。具体而言:一是人格尊严受到侵害,如病史、政治观点等被泄露而受到不公正的对待。二是自然人的人身、财产安全受到危害,如银行用户的金融账户信息被盗用,某app 搜集自然人的行踪轨迹信息后出售给广告商等。
鉴于金融数据、生物识别等敏感个人信息与自然人的人格尊严、人格自由等基本权利以及人身、财产安全都有密切的联系,对于这类个人信息的处理,无论是否基于合法的理由,都会给自然人的基本权利以及人身财产安全带来风险,因此对之应当比一般个人信息予以更强的保护力度,以此区分作为侵害个人信息权益的侵权赔偿责任的标准,进而辅以不同的归责原则,才能体现对敏感个人信息的特殊保护。
(二)危险源的开启与控制
过错责任作为侵权法的基本归责原则,要求只有在行为人存在过错的情况下才需承担责任。随着社会日新月异的变化,新设施和新技术大量涌现,催生了侵权法上无过错责任的发展,其中1868年英国“Rylands v.Flechter”案具有重要地位。该案判决指出“一个人如果为他自己的目的将某物带入自己的土地,并收集与管理它们,但这些物件很可能在逸出时会造成伤害,则该人必须自己承担保管好这些物件的责任。如果该人没能这样做,应当对其逸出造成的自然后果即损害承担责任”[19]。可以看出,裁判者将关注点从行为背后的主观意图转移到行为本身的性质之上。依据这一理论,从事危险活动的人需要承担无过错责任的原因之一是其创造出了本来不存在的危险。Rylands案中,原告索赔成功的重要原因是有危险物品“从被告占有或控制的领域逃到其占有或控制之外的地方”[20]。再进一步分析可知,涉案物并不一定是具有危险性的,危险还体现在其“逃匿”行为带来的附加伤害。例如在Rylands 案中,该物品是水,其他类似案例还有天然气、烟雾以及电力等。除了物品的类型,数量也可以被考虑在内。
虽说“能力越强,责任越大”,但具有控制事物的能力并不是要求控制者承担责任的原因。“当某人是具有很大危险性的土地或动产的控制者时(当他排他性的使用时),如果他未能照料好这些财产而使得他人受到伤害,那么侵权责任便产生了”[21]。危险控制理论的观点在于,既然选择持有危险物品以及从事危险活动,那么该持有人或行为人就应该对危险具有控制责任。
在大数据时代之前,无过错责任的适用范围往往集中在产品的制造与流通等具有潜在高度危险性的行为或活动。就个人信息而言,典型的敏感个人信息,如自然人的基因、指纹、脸部图像等,通常来说是不可更改的,一旦被收集、处理,对信息本体会造成的影响难以预测和把控。因此从原则上说,敏感个人信息属于潜在高风险物,应该是禁止被处理的,除非有更高位阶的权益值得被保护。鉴于此,处理者应该承担更为严格的责任。与此同时,敏感个人信息本身虽然并不属于危险物品,但自然生长或产生的东西与人工积累的东西是有区别的。由于处理者大量收集、存储、使用个人信息的行为,使得敏感个人信息被聚集,某种程度上由量变引起了质变,成为危险源。可以预见的是,如果它们脱离了处理者的掌控,存在极大的给信息主体造成损害的可能。在这种情形下,“事故损失是命运或厄运所致,这种较为陈旧的观念,逐渐被将因果责任归于个人行为的观念取代,其中也包括为损害的发生制造条件的商业性企业的行为”[22]。
例如《个人信息保护法》第58 条专门规定了作为大型互联网平台经营者的个人信息处理者的特别义务。之所以在《个人信息保护法》第5章规定的其他义务外,这类特殊的个人信息处理者还负有特别义务,一个重要原因就是基于危险控制理论。个人信息的处理,尤其是数量巨大、种类繁多的活动,对个人权益产生的潜在威胁和风险也是非常巨大且难以预测的。从事此类活动的处理者对于利用其网络服务的用户具有强技术性及信息等方面的强控制力,应该对自己所从事的活动及危险性有着最直接的认识,也最有能力去降低风险具象化的可能性。在这种情况下,如果只让他们承担过错责任,不仅对受害者而言不公平,还会使得行为人缺乏足够的控制危险、使危险免于具象化的动力。以《民法典》第1202条为例,产品的制造缺陷往往是由于生产者的原因导致的,除非有明显的外观表现,消费者往往难以知晓产品存在问题,但生产者知道内情并可以通过提高技术或工艺流程来消除这一缺陷。因此《民法典》第1202条规定生产者就缺陷产品给他人造成的损害负无过错责任。这也可以让达不到要求的人考量自身承担责任的可能性,从而为这些具有潜在高风险活动的行业提高准入门槛,这在一定程度上避免了让没有资质的人随意入行,从而给他人权益造成风险。
需要注意的是,尽管危险理论在世界范围内已经成为决定无过错责任适用范围最主要的依据,但符合危险理论只是无过错责任的必要条件,并非充分条件。一种行为是否具有危险性并不能成为支持或否定无过错责任的唯一依据。对某类侵权责任课以无过错责任,还应从该行为的风险、成本、效益和社会价值等诸多因素来权衡考量。而这种“风险-效用”的权衡与比较正是法经济学的研究方法。因此,本文接下来试图借助法经济学的分析范式,为无过错责任在个人信息侵权中的适用提供更强的支柱。
法经济学分析侵权法归责原则的基本思路是:第一步,判断事故最佳避免方避免事故发生所需要的成本和预计效益;
第二步,分析事故最佳避免方的行为水平与法律所规定的行为水平是否符合;
第三步,选择事故发生成本更低的一方承担损失。就此以效益作为价值取向,通过对过错责任原则和严格责任各自的效益进行分析,探寻两者的适用范围。
(一)对归责原则的法经济学分析
无论何种侵权行为,都会对经济引致一定程度的影响,要么是受害人效用的减损要么是预期收益的降低。传统法学的立法目标侧重于侵权法的补偿功能,也就是在侵权行为发生后对受害人损失进行填补,力图使其回到损害尚未发生时的状态。法经济学分析通常从事故的预防出发,即避免潜在事故的发生应成为侵权法更优先的目标,也就是将重点偏向于避免事故的发生。预防,指的是试图对将来可能会出现的风险进行规避,力图降低其发生概率的行为。如果行为人是理性人,就会采取各种措施缩减行为成本、扩大效益。由于损害他人利益也会增加自身成本,因此也会尽量避免侵权行为的产生。
1.对过错责任原则的法经济学分析
由于在侵权行为中,主体有侵权人和被侵权人两方,因此可以先将侵权事故分为单方性事故和双方性事故。前者指的是仅仅侵权人的行为能够对事故的发生概率产生影响的事故[23]。与此相对应的是,预防也可分为单方预防和双方预防。
在过错责任中,损害责任由具有过错的一方承担,可以借助汉德公式从经济学的角度进行分析。假设预防事故的发生所要支出的成本为B,事故发生的概率为P,事故造成的损失为L。若B>PL,则说明行为人为预防事故的发生所支出的成本大于预期的损失,因此对于事故的发生已经没有过错。若B<PL,则意味着行为人的预防措施不够到位,存在主观上的过错,需要承担责任。简单来说,如果预防成本低于预防收益,说明行为人未尽到应尽的注意义务,需要承担预防成本和受害人损失。为了避免因为自身的过错而承担事故成本,任何一方行为人都会选择成本较低的预防措施。而在预防成本超过收益时,出于经济利益的考虑,行为人会偏向选择承担事故的损失而不是花更高代价去采取预防措施。
2.对无过错责任原则的法经济学分析
在无过错责任下,侵权人需要对其行为造成的全部损害承担责任。在这种制度下,潜在的侵权人必然会加大安全措施的投入或降低事故的发生概率,以减少自己的社会成本。此时侵权人在严格责任下的总成本等于社会总成本。
与过错责任不同的是,预防成本在无过错责任中不被考虑,因为侵权人无论在何种情况下,都要承担损害成本,所以预防成本也是由侵权人承担,但行为人在一定程度上可提出抗辩。此时可以分为两种情形:一种是无抗辩事由的责任,指侵权人对受害人进行完全的赔偿,不能以受害人的过错进行抗辩。在没有激励机制的情况下,受害人通常难以增加自己的成本来采取预防措施。受害人的单方行为会让侵权人的预防成本起不到应有效果,因此在双方性事故中无过错责任不是最佳的选择。能达到社会最优预防效果的理想情形应是单边预防的侵权方作为最佳预防者、互补单边预防的侵权方是成本最低的预防者[24]。另一种则是可以以严重过错作为抗辩理由的无过错责任,即如果受害人对损害结果的发生存在严重的过错,侵权方可以免除或减轻责任。由于受害人具有过错无法证明的情况下侵权人仍然需要承担责任,因此并不会减损其采取预防措施的动力。同时,受害人也会采取积极措施去降低事故发生的概率和减轻损害程度,避免侵权人提出抗辩事由来减免责任。
由以上分析可知,适合无过错责任的侵权行为范围较窄,有如下几个特点:一是在该领域中,不是靠受害方投入预防成本来降低侵权事故的发生概率。要求受害方提高预防成本没有意义,还会使侵权方属于防范,反而提高了事故的发生概率。在这种情况下采取无过错责任,不仅可以加强对受害方的保护力度,还能对侵权方投入合理的预防成本起到促进作用,双管齐下以达到帕累托最优。二是在该领域中,侵权方单方投入预防成本的情况下就能有效降低事故发生概率。从宏观角度考虑,适用无过错责任可以对侵权方提高预防成本产生激励作用,从而达到降低整体社会成本的目的。
(二)无过错责任的优势
1.激励潜在侵权人降低事故发生率
从前文的分析可知,过错责任原则在双方性事故中是最佳选择,而无过错责任更适合侵权方提高单方预防成本就能降低事故发生概率的单方性事故。换言之,如果在某类侵权事故中,双方行为人都可以采取有效的预防措施,那么过错责任原则对双方都能起到激励作用,较无过错责任更行之有效。因为在过错责任原则下,如果侵权方在预防事故的发生上所付出的成本低于最优注意水平,就要承担事前预防和事故责任的双重成本。如果其投入的成本达到了最优注意水平,则可以免去事故成本,因此侵权人会受到过错责任原则的激励作用。对受害人而言,但凡侵权人达到了最优注意水平,事故成本就会向受害人转移,也会变相激励受害人投入预防成本。两两相加,自然会降低事故的发生率。综上可得,过错原则可以为事故双方都提供适当的激励。但如果该事故是单方性事故,即受害方无论支出什么成本都难以避免事故的发生,侵权人却可以通过投入预防成本采取有效的措施来避免事故的发生,那么无过错责任既能引导侵权人施加最优水平的注意,又能使其按照社会最优水平行事[25]。因为侵权人会内部化其边际成本和边际收益,将自己的行为水平控制在有效行为水平的区间内,以实现社会成本的最小化。
2.节约交易成本
在单方性事故中,选择交易成本较低的无过错责任更符合效率目标。根据波斯纳的观点,执行成本可分为信息成本和请求成本[26]。信息成本是在过错责任原则下,用来确定最优注意水平和当事人的实际注意水平的成本。请求成本则是处理及搜集一项法定请求权的成本。在无过错归责原则下,可以节约交易成本。交易成本包含两类:一是信息成本。无论是法院还是受害者,都难以对事故损害的信息有所掌握,更是不清楚侵权人的预防成本或收益情况。由于这些信息的缺失或者收集成本的代价高昂,对侵权人承担的赔偿责任很有可能产生一定程度的偏差。而在成本—收益的分析模式下,由于侵权人在无过错责任原则中,一旦发生损害不仅要承担赔偿责任,还需要为自己的侵权行为承担举证责任。这些都会促进潜在侵权人积极提供有效信息,对易造成风险的行为提高注意义务。二是节约请求成本。由于既不需要对侵权人的行为是否具有过错开展讨论,也不需要对受害人是否存在一般过失进行论证,明确侵权行为和损害结果之间有着因果联系即可,不仅能够在一定程度上降低诉讼的成本,还有助于法院结案效率的提升。
《个人信息保护法》第69 条规定了过错推定原则,即推定被告具有过错,原告对此不负担举证责任,但如果被告能提供自己没有过错的证据,就无须承担责任。因此究其实质,过错推定没有离开过错责任原则的范畴,只是在证据方面举证责任倒置。
鉴于侵害个人信息权益的行为通常有非法收集个人信息、非法使用个人信息、非法提供个人信息和泄露个人信息等,由前文的分析可知,作为典型的单方性侵权,由于信息主体采取预防措施难以起到避免损害的效果,如果要求其去增加预防成本,不仅对降低事故发生率的效果不佳,还提高了总体成本。而潜在的侵权方,即个人信息处理者,相对于信息主体而言在个人信息处理活动中占据着绝对的主动地位,尤其是处理行为往往技术性较强,不易被行业之外的人所知悉。在这种背景之下,由个人信息处理者投入预防成本来降低事故的发生率更加合理。
值得强调的是,由个人信息处理者承担无过错责任,并不是为了剥削其从事危险活动获得的利益,而是通过由其承担损害成本,从而实现包含所有成本在内的“成本—收益—分析”模式,从而形成扩大或改进安全措施的投入,或者是降低其行为水平以实现净利润的路径。
同时,虽然避免产生危险事故行为的最好方式是实行“一刀切”的无过错责任,但这一方式将导致个人信息处理行为的减少甚至消失。在大数据不断促进商业模式创新、个人信息价值与日俱增的当下,要想与信息的分享和使用相脱离,几乎不可能。在合理的限度对个人信息进行处理,无论是对于个人、社会还是国家而言都是有利的。况且同域外发达国家相比,我国信息行业萌芽发展相对落后,如果不区分主体对无过错责任原则加以适用,会从某种程度上对个人信息流通造成制约,同时也不利于我国信息行业的进一步发展。在这种情况下全面适用无过错归责原则并不现实。
《个人信息保护法》第28 条对敏感信息与非敏感信息进行了划分。在法律上,对于更高价值位阶的法益应当予以强度更高的保护。与此相应的,对于与自然人的基本权利及人身财产安全密切相关的敏感个人信息,法律的天平也应当向其倾斜。敏感个人信息的处理对自然人而言意味着极高的风险,但同时也可能带来益处。因此,无论什么阶段的任何一国立法,都没有完全禁止处理敏感个人信息的规定。但为了强化对敏感个人信息的保护,处理规则应该有别与非敏感个人信息,以体现其特殊性和重要性。结合危险理论并辅以法经济学视角的分析,以敏感、非敏感个人信息作为分类基础,对于前者适用无过错责任,后者延续已有规定适用过错推定责任的归责原则构建具有较强的实用性,不仅能够规避一刀切归责原则所具有的不合理性,同时也能有效防范归责原则过于严苛带来的负面影响。■
猜你喜欢侵权人保护法个人信息我国将加快制定耕地保护法今日农业(2022年13期)2022-11-10如何保护劳动者的个人信息?工会博览(2022年16期)2022-07-16个人信息保护进入“法时代”今日农业(2022年1期)2022-06-01——以《民法典》第1182条前半段规定为分析对象">“获益剥夺”规范意义的再审视——以《民法典》第1182条前半段规定为分析对象现代法学(2022年5期)2022-03-15未成年人保护法 大幅修订亮点多海峡姐妹(2020年11期)2021-01-18警惕个人信息泄露绿色中国(2019年14期)2019-11-26高空抛物,谁来担责?中国工人(2019年7期)2019-09-10侵权责任法的过失相抵规则及其适用福建开放大学学报(2019年4期)2019-03-25聚众淫乱罪的保护法益及处罚限定证券法律评论(2018年0期)2018-08-31支付被侵权人合理费用者的直接求偿权探究河南司法警官职业学院学报(2017年2期)2017-03-07本文来源:http://www.zhangdahai.com/shiyongfanwen/qitafanwen/2023/0917/655712.html
