我國民法典中“信息處理者”的內涵界定及司法應對

陳金金

(貴州貴達律師事務所,貴州 貴陽 550000)

一、背景綜述：信息糾紛解決難的困境

對主體的區分是相應法律權利和義務得以認定的前提，也是主體本身合規責任得以履行的基礎，信息保護中亦是如此。當下我國相繼頒布各類法律、規范性文件及行業技術標準對信息保護作出規定，如《網絡安全法》《APP違法違規收集使用個人信息行為認定方法》《信息安全技術個人信息安全規范(2020年版)》等。在特別法《個人信息保護法》尚未正式施行的背景下，《民法典》以市場經濟基本法的視角明確規定信息保護原則、個人信息處理者的義務和責任，為特別法的制定奠定法律基礎，具有重要的指導意義和現實意義。但反觀《民法典》及其他規范性文件，與其他國家立法中將信息利用主體劃分為信息控制者和信息處理者不同，《民法典》對信息利用主體采用統一、一元“信息處理者”的概念，在此背景下，以信息處理者為主要信息保護義務和責任主體的體系逐漸成型，司法如何在遵循立法原意的基礎上對復雜的信息實踐糾紛作出回應，是司法的應有之意和時代要求。

實踐中，信息侵權案件頻發，信息侵權行為屢禁不止。根據《第45次中國互聯網絡發展狀況統計報告》統計，至2020年3月我國網絡安全事件中信息安全問題凸顯——位居第一(見表1)。[1]但與此同時，信息侵權糾紛得以解決的較少，進入司法程序則更少。究其緣由，主要有以下三個原因：首先，信息侵權行為的發生較為隱匿，加之信息主體習慣“以隱私換便利”，缺乏信息保護意識，加劇了主體自身的弱勢地位；其次，與信息處理者相比，信息主體在信息處理技術和信息利用周期的控制上均處于弱勢地位，主體在侵權發生后往往難以固定證據，而現有舉證責任對個體來說難度較大；最后，信息侵權行為發生以后往往會給信息主體帶來不可逆轉的影響，但在其進行舉證的過程中被侵權人不能有效通過法律對自身進行保護，在進入司法程序后該影響也沒有統一的衡量標準，在當下對信息保護的立法體系中缺乏對精神損害的規定，如傳統民法中的“損害差額說”理論中受害人甚至連所遭受的損害究竟是什么都無法證明。[2]有鑒于此，司法機關應作出有效應對，發揮司法機關的能動性，為妥善實現信息保護的法治目標提供可能路徑。

二、立法審視：民法典關于信息處理者的立法定位

(一)信息處理者與信息控制者的概念梳理

1.信息控制者。從概念發展的歷程看，數據控制者的概念最早源于1981年歐洲理事會的《108號公約》(1)1981年，歐洲理事會(Council of Europe，非歐盟的European Council)發布了《關于個人數據自動化處理的個人保護公約》(Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data，下稱“108號公約”)之中，表現形式為“文檔控制者”(controller of the file)。之后在歐盟《數據保護指令》(以下簡稱《指令》)中確立了數據控制者(controller)的概念，《一般數據保護條例》出臺后沿襲《指令》關于數據控制者的界定。對信息控制者的理解可以從其控制力來理解，具體而言，其控制力可通過兩種形式表現出來：其一，法律條文的規定，不論是在歐盟的“權力話語”視域下的賦權模式還是美國“市場話語”視域下的實用主義，(2)歐盟在“比信息自由流動更重要的還是維護歐洲權利制度中人的尊嚴與隱私”的價值取向下，區分數據控制者和數據處理者的義務以實現“個人數據保護權”；美國“隱私控制論”則認為在法律承認個人數據為財產的情形下，財產法規則能更好地保護個人利益與社會整體利益。因此，他們鼓勵人們將“個人數據/隱私視為商品”并倡導通過財產法規則而非侵權規則保護個人數據。部分國家的法律或規范性文件會直接對信息控制者進行規定；其二，在沒有任何法律規定的情況下可通過事實判斷推定信息控制者，但需要結合個案進行分析，如某金融平臺將其營銷推送的廣告業務與不同的組織簽訂合同，即明確需要投放的廣告、客戶群體等，各公司有一定的裁量權，但最終的數據控制者仍然是該金融平臺，但若其中A公司為了生成附加值而對個人信息進行處理，則A公司因該行為成為新的信息控制者。

2.信息處理者。信息處理者的產生依賴于信息控制者。歐盟在《指令》中第一次在數據保護法律中適用該概念。信息控制者可決定由哪些人對信息進行加工處理，可以是自然人、法人、公共權力機關或外部代理機構。由此觀之，信息處理者的主體廣泛，但信息處理的方式由信息控制者決定，具體而言，信息處理者基本特點之一即為相對信息控制者而言具有法律上獨立的實體(separate legal entity with respect to the controller)，特點之二即為其代表信息控制者具體處理個人信息，此處的“代表”意味著為了他人的利益而服務，與委托法律關系相似。對于各信息利用者而言，其在個人信息的收集、使用、處理的各個階段中均有可能是信息控制者，也可能被認定為信息處理者，主要依其心理利用的行為而改變，如當信息主體在銀行開立賬戶時銀行對其進行金融信息的收集，并決定這些金融信息的處理方式，若信息處理者的信息利用方式超出與控制者的預先約定，則其有可能會成為新的信息控制者，甚至有可能出現共同控制者的情況。

3.差異之思辨。特定的法律概念表征著立法的法律保護對象及其法律關系。由信息控制者和信息處理者的概念差異可窺見兩者的差異：其一，作為核心詞語，“控制”意味著主體能自主決定信息處理的目的、方式、信息處理的用途，并能自主決定收集哪類信息、由誰收集、是否告知個人信息主體或重新征求其同意，以及信息利用之后的保存時間等，“處理”則蘊含著該主體能決定信息的進一步加工處理的環節，可決定信息將如何存儲、以何種方式共享等；其二，主體概念的不同決定其義務的不同，該點主要體現在法律或規范性文件對兩者進行界分的情況下，如我國在《個人信息規范》中規定了信息控制者應承擔全面的義務和責任，其中包括原則性、一般性義務、風險管理等，[3]而信息處理者的義務主要是合同義務，又如歐盟《一般數據保護條例》中對處理者規定了合同義務，也規定了需承擔與其權限、處理行為相匹配的合規義務及責任。

(二)民法典對信息處理者規定的立法選擇

1.“處理行為”的內涵。法律若要安定，概念的構成與特征就應盡可能被精確地確定，因為不確定的法律概念及概括性條款易生歧見，進而危害法律的安定性。[4]承前所述，對信息利用主體存在信息控制者與信息處理者之說，但我國民法典中采用了一元的信息處理者的概念，對該概念的理解決定了信息利用主體的義務和責任，同時也將影響司法對信息糾紛的處理。而對該概念的理解又將基于對“處理行為”的理解。首先，應明確的是信息處理的“原料”是數據、信息、知識，也即信息是處理行為的客體和基本資源，是之后業務得以創新、共享的基礎；其次，處理行為的合理性和合法性的判斷需要基于特定的事實，如企業通過爬蟲的方式爬取網頁自行公開或其他合法公開的信息，則對于個體的信息主體而言應當屬于合理處理，但對于公開信息的網頁而言則有可能構成不正當競爭行為；最后，《民法典》吸收學者意見，對處理行為作出了擴展，參照GDPR的規定，(3)General Data Protection Regulation, Article 4(2)：‘processing’ means any operation or set of operations which is performed on personal data or on sets of personal data, whether or not by automated means, such as collection, recording, organisation, structuring, storage, adaptation or alteration, retrieval, consultation, use, disclosure by transmission, dissemination or otherwise making available, alignment or combination, restriction, erasure or destruction;將對信息的收集、存儲、使用、加工、傳輸、提供、公開等包含在“處理”行為之中。

2.信息處理者的界定。根據《民法典》第一千零三十七條、第一千零三十八條的表述來看，我國《民法典》籠統的賦予信息利用主體義務，采用“信息處理者”這一概念，未區分“信息處理者”“信息控制者”“受委托者”等概念。作為對信息負有安全保障義務的主體，信息處理者涵蓋了信息收集者、信息控制者的概念。根據《民法典》的規定，可進一步對信息處理者的義務體系和責任進行細化理解，即《民法典》第一千零三十五條同樣適用于信息控制者。實踐中“處理者”一般對應的概念是受信息控制者委托處理個人信息的主體，部分行業中甚至已經形成“處理者”和“控制者”的實質分工，[5]“控制者”和“處理者”的行為所受規制不同，信息控制者往往承擔更多的義務，義務源于要在個人信息控制者約定范圍內處理信息。由此可見，實踐中的信息控制者對信息有著重要的決定權，不僅會處理信息，更影響著信息處理的方法和目的。這種決定權或控制權可能源于明示或默示的法律職責，但不作為其排除對《民法典》規定義務履行的事由。此外，應客觀的看到，不論《民法典》采取何種概念界定，“信息控制者”與“信息處理者”的概念區分在立法選擇與司法實踐中更為重要的是明確各概念客體的內涵與外延，以期實現對信息侵權事件或信息權益糾紛作出回應，提供可操作的指引。

三、策略選擇：信息糾紛案件中司法機關的應對

(一)發揮司法定分止爭的作用

1.堅持信息糾紛處理中的基本原則。信息利用的原則是信息利用“法規精神所生之原則”。[6]《民法典》第一千零三十五條明確規定了處理個人信息應遵循合法、正當、必要的原則。根據立法可窺見在處理復雜信息糾紛案件時，若無明確法律依據，可根據以上原則進行判決，這也是司法發揮其職能的應有之義。根據現有規定可從以下三點對信息保護原則進行理解：其一，合法性原則，合法性是信息處理者進行信息利用行為的前提，合法性的基礎一方面源于信息主體的知情同意，另一方面源于法律明文規定；其二，正當性原則，即信息收集和處理過程中手段和目的正當，手段、目的的正當性不僅要求其不違法，更要求手段、目的應符合誠實信用原則，以個體易于理解的、透明的方式進行告知；[7]其三，必要性原則，必要即處理者所收集和處理的信息僅限于實現正當目所必須。此外，《民法典》中還新增“不得過度處理”個人信息的要求，也是對“必要原則”的深化。

2.厘清信息處理者的責任及其例外。信息處理者對信息的處理有條件要求和例外。是否滿足條件或例外是司法機關判斷其責任及其責任輕重的重要依據，若不能滿足條件的則應承擔責任，符合例外情形則可成為其免責事由。其一，同意是信息得以處理的合法性基礎，但同意之外存在“法律、行政法規另有規定的除外”的情形，這一看似兜底式的規定，為司法實踐中處理個人信息權益與衡平其他合法利益提供了法律依據。當然，應辯證的看到，例外的出現應遵循必要性原則。例如，新冠肺炎疫情嚴控期間根據《中華人民共和國傳染病防治法》《突發公共衛生事件應急條例》等法律、行政法規的規定，有關單位可收集信息主體的信息，該例外僅限于法律和行政法規的規定。其二，在利用《民法典》第一千零三十六條時，需要考量個人利益的保護和信息流轉的價值，在解決信息糾紛過程中應兼顧個人利益的保護和社會發展對個人信息合理使用的需求。

3.明晰信息糾紛案件中的舉證責任問題?！睹穹ǖ洹穼π畔⒓m紛解決中舉證責任的規定仍適用一般侵權的路徑。故對于信息糾紛中的舉證責任，仍適用“誰主張、誰舉證”的原則，也即原告需對侵權責任的構成要件(侵權行為、損害后果、因果聯系以及侵權人存在過錯)承擔舉證責任。在司法實踐過程中，第一批最高人民法院發布互聯網典型案例將“去哪兒網案”列入個人信息保護領域的典型案例，該案中法院沒有突破“誰主張、誰舉證”原則，但侵權事實的認定層面，將具有“高度蓋然性”即認定為原告完成舉證責任。但“高度蓋然性”的認定不論在學理層面還是司法實踐層面都極為復雜，難以得出統一認定標準?！叭ツ膬壕W案”發生前后，很多法院在裁判過程中都是按照傳統的“誰主張、誰舉證”的原則分配舉證責任，諸如“蘇寧易購案”“京東案”等。法院根據誠實信用和公平原則要求被告企業承擔自己旅行信息安全保障義務的舉證責任，但這種方式在法律規則上可能會存在問題。若大量推行這種規則可能增加企業的訴訟壓力和合規成本。如何降低起訴難度，同時又不給信息處理者帶來過重的壓力，是《個人信息保護法》及《最高人民法院關于審理個人信息權糾紛案件適用法律若干問題的解釋》理應明確的問題，也是司法機關在個案審判中應不斷探索的重任。

(二)強化司法價值引導效應

1.為信息安全劃定利用底線。信息安全底線的遵循是一切信息處理行為得以開展的基礎。任何信息利用活動的進行均不能突破信息安全底線，信息安全底線可具體劃分為國家安全底線、行業發展底線、個人信息安全底線。在具體的案件處理過程中，國家安全層面可遵循《數據安全法》中構架的國家層面的數據安全制度進行判斷，其中可能包括信息跨境等問題；在行業層面上的信息安全，應以保障行業安全發展，避免信息風險的傳遞，如金融信息安全事件的發生，不僅關系金融行業的穩定，也涉及國家經濟民生等的安全；在個人信息安全層面，主要從信息處理行為是否違反法定或約定的利用事由。對任何打破上述信息安全底線的利用行為，都將失去其利用信息的合法性基礎，也將成為其承擔法律責任的事實依據。當然，信息利用安全底線的劃定，也為各主體的信息利用行為提供了反向的合規指引，避免出現“數據堂”等信息安全事件。

2.為信息利用行為預留空間。與傳統訴訟中的某些標的物不同，信息價值具有不確定性。一方面，信息價值的確定沒有統一標準，各主體對統一信息的價值存在感知差異，某些主體認為視為“廢物”的信息或信息集可能在另一主體眼中視為“寶藏”和“金礦”；[8]另一方面，信息具有增值的不確定性，其他案件中涉及的物品可能只出售一次，便完成了所有權的移轉，但信息除約定可獨家利用的情形，往往可多次、反復使用，甚至存在越用越升值的現象。在此背景下，對信息糾紛的處理應為信息價值的發揮預留空間，在規則不甚明晰的情況下，應遵循信息利用的客觀規律和市場對信息資源的調配。具體而言，在遵循信息安全底線的基礎上，可考量信息在哪個主體控制下能避免碎片化發揮應有的價值，可考量主體為信息或信息集形成所付出的精力和成本，其權利的厚度能否與其訴求相匹配。