显然,对于因侵害个人信息权益承担的侵权责任而言,无论其是过错推定责任还是过错责任,过错都是侵权责任的核心构成要件。无非适用过错推定责任时,由个人信息处理者举证证明自己没有过错,而适用过错责任时,须由个人证明个人信息处理者具有过错。目前,理论界对个人信息侵权责任中的过错及违法性研究较少,不少问题尚未得到深入之探讨。例如,个人信息处理者因侵害个人信息权益承担的侵权责任是否以非法处理个人信息或违反《个人信息保护法》为要件个人信息处理者与其他侵害个人信息权益的主体在过错认定上有无区别过错推定责任与违法推定过失能否并用适用违法推定过失是否意味着,个人信息处理者可以通过证明自己不存在违法行为推翻对其存在过错的推定是否任何违反个人信息保护法律规范的行为都产生违法推定过失的效果本文将对这些问题进行系统的研究,以供理论界与实务界参考。
从《个人信息保护法》第69条来看,个人信息处理者因侵害个人信息权益承担的侵权责任的构成要件可被分解为四项:一是处理个人信息;二是侵害个人信息权益;三是造成损害;四是个人信息处理者不能证明自己没有过错。《个人信息保护法》该条中并未出现“非法处理个人信息”或“违反本法规定处理个人信息”的表述。然而,对于是否应当以“非法处理个人信息”为个人信息处理者因侵害个人信息权益承担的侵权责任的构成要件,存在不同的看法。
《个人信息保护法》并未采取上述观点,笔者认为,这是非常正确的。不应将“非法处理个人信息”或“违反本法规定处理个人信息”作为个人信息处理者因侵害个人信息权益承担的侵权责任的构成要件,理由在于以下几点。
然而,在《个人信息保护法》颁行后,就不能再采取统一的标准来认定个人信息侵权纠纷中被告的过错,而有必要对以下两种不同情形中的过错加以区分,并相应采取不同的认定标准:一是个人信息处理者处理个人信息侵害个人信息权益造成损害的情形;二是自然人因个人或者家庭事务处理个人信息侵害个人信息权益造成损害的情形。在前一种情形中,判断个人信息处理者的过错时,当然要适用《个人信息保护法》的规定,尤其要依据该法所确立的个人信息处理规则、个人信息处理者的义务等来认定过错。然而,在后一种情形中,不能将《个人信息保护法》中的对个人信息处理者的规定用于对被告有无过错的认定上。之所以作此区分,主要就是因为《民法典》与《个人信息保护法》在调整范围和调整方法上存在差异。
如前所述,过错推定责任仅适用于个人信息处理者侵害个人信息权益造成损害的情形。如果侵权人非个人信息处理者(如委托处理个人信息中的受托人)或者不适用《个人信息保护法》的个人信息处理情形中发生了侵害个人信息权益的纠纷,则仍需适用过错责任原则,也就是说,还是要由原告来承担举证责任。此时,违法推定过失依然具有重要的作用。
我国已经建立了以《个人信息保护法》《民法典》等法律为核心的个人信息保护法律规范体系,但并非所有的个人信息保护法律都属于保护性规范,违反它们也并非都能够产生侵权责任。只有个人信息处理者违反了个人信息保护法律中的保护性规范时,才可能对该处理者适用违法推定过失。另外,个人信息处理者违反个人信息处理规则的行为就是过失行为,而非推定的过失行为。尽管《个人信息保护法》第69条第1款规定,在个人信息侵权案件中对个人信息处理者适用过错推定责任,但这并不影响对违法推定过失的适用。相信随着我国个人信息保护司法实践的开展,理论界与实务界对于个人信息侵权责任中的过错认定以及违法性与过错之间的关系将会有更深入的认识。