◇杨立新 中国人民大学法学院 教授

　　关键词: 决定 公民个人电子信息 侵权行为 侵权责任 一般侵权行为
　　内容提要: 全国人大常委会《关于加强网络信息保护的决定》规定了保护网络信息安全，制裁侵害公民个人电子信息侵权行为的原则，对于侵害公民个人电子信息“侵害他人民事权益的，依法承担侵权责任”。这种侵权行为是一般侵权行为，《决定》列举的侵害公民个人电子信息的不同表现形式，应当根据《侵权责任法》第 6 条第 1 款关于过错责任原则的规定，确定构成要件、举证责任以及相应的责任承担方式。


2012 年 12 月 28 日，第 11 届全国人大常委会第30 次会议通过了《关于加强网络信息保护的决定》( 以下简称《决定》) ，于当天公布，立即生效施行。《决定》关于加强保护网络信息，特别是关于制裁侵害公民个人电子信息的侵权行为的规定，具有重要意义，需要进行解读和深入研究，以便更好地制裁侵权行为，保护好个人信息和隐私权。
一、确定加强网络信息保护制裁侵权行为的原则
《决定》第 1 条开宗明义，规定了保护网络信息安全、制裁侵害公民个人电子信息侵权行为的一般原则，即“国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息”。《决定》确立这一原则是十分重要的。在实践中落实这一原则，保护公民个人电子信息，制裁侵权行为，应当着重把握以下几个要点:
第一，《决定》的立法宗旨是保护公民个人身份信息和个人隐私信息，同时也要强调保护公民的表达自由，不能因为强调保护个人信息和隐私权而对公民的表达自由进行非法限制。对此，最明确的界限是《宪法》第 51 条规定，即公民在行使自由和权利的时候，不得侵犯他人的自由和权利。凡是没有侵害他人自由和权利的行为，就是合法的行为，就在保护之列。违反这一规定的行为，才是应当制裁的违法行为。例如，在网络上揭露“表哥”、“表叔”等腐败分子的罪行，并且最后通过司法程序将其绳之以法，不属于侵害个人信息的侵权行为，而属于表达自由、促进廉政建设的正当行为，应当予以鼓励。为了社会公共利益的目的，在网络以及任何场合对违法犯罪行为进行揭露，或者以其他方法表达自己的意见，都不属于侵权行为，都应当受到法律的鼓励。
第二，应当加强对侵害公民个人电子信息侵权行为制裁的力度。近年来，社会生活中之所以侵害公民个人电子信息的行为十分猖獗，其主要原因就是对这些侵权行为制裁不力。虽说在刑法、民法、行政法等方面都有针对侵害公民个人信息行为的制裁规定，但这些规定都不是特别明确和具体。同时，对于侵害个人信息刑事犯罪的起刑点过高，很难运用刑罚手段对这种行为进行制裁。在民法方面，尽管《侵权责任法》第 2 条第 2 款规定了保护隐私权、第 6 条第 1 款规定了过错责任原则，司法机关可以依照这些规定制裁这类侵权行为，但普通群众无法看出这些规定与制裁个人信息侵权行为的关联，况且法院处理这类案件确定侵权责任要件的要求过高，仍然是制裁不力。贯彻执行《决定》规定的上述原则，应当依照《决定》的规定，特别重视制裁侵害公民个人电子信息的侵权行为，责令侵权人承担损害赔偿责任，以更好地保护公民个人电子信息。将侵权责任与刑事责任、行政责任配合起来，三种法律责任三管齐下，就能够遏制侵害公民个人电子信息的严重势头，保护好网络安全，保护好公民个人电子信息。
第三，要特别制裁那些有权收集公民个人电子信息而侵权的网络服务提供者、其他企业事业单位，那些无权收集公民个人电子信息而侵权的任何组织或个人，以及那些在履行职责中知悉公民个人电子信息而侵权的国家机关及其工作人员。《决定》规定，任何组织和个人不得窃取或者以其他非法方式获取公民个人电子信息，不得出售或者非法向他人提供公民个人电子信息。对于有权收集公民个人电子信息的网络服务提供者、其他企业事业单位，如果对依法获得的公民个人电子信息非法使用、非法出售、非法提供，以及泄露、毁损、丢失，都构成侵权责任。即使国家机关及其工作人员在履行职责中知悉的公民个人电子信息，未尽保密职责，非法泄露、篡改、毁损或者出售以及向他人非法提供的行为，也属于侵权行为，应当予以制裁。对于这些机构及其工作人员必须加强管束，防止他们利用职权侵害公民个人电子信息。网络服务提供者、其他企业事业单位以及有关国家机关及其工作人员，包括网站、银行、电信、医院、邮政等，都是重点单位，都应当加强防范，防止侵害公民个人电子信息。
二、侵害公民个人电子信息侵权责任的归责原则与构成要件
( 一) 侵害公民个人电子信息侵权责任的归责原则
侵害公民个人电子信息侵权责任的归责原则，应当适用《侵权责任法》第 6 条第 1 款规定的过错责任原则。有疑问的是，严肃制裁侵害公民个人电子信息的侵权行为，是否就要提高确定这种侵权责任的归责原则，对其改变过错责任原则而适用过错推定原则呢? 笔者认为，侵害公民个人电子信息侵权行为仍然应当适用过错责任原则，理由是:
第一，按照《侵权责任法》第 6 条第 2 款的规定，任何侵权责任类型适用过错推定原则，须具备“法律规定”的要件，即“根据法律规定推定行为人有过错的，行为人不能证明自己没有过错的，应当承担侵权责任”中的“法律规定”，其含义是，必须有法律的特别规定，方可适用过错推定原则。例如，该法第 88 条规定: “堆放物倒塌造成他人损害，堆放人不能证明自己没有过错的，应当承担侵权责任。”这就是适用过错推定原则的“法律规定”。
第二，侵害公民个人电子信息的侵权行为多数属于网络服务提供者的侵权行为，以及在网络或者通过网络发生的侵权行为，多数情形与《侵权责任法》第36 条第 1 款规定的网络侵权行为类似，有的就属于网络侵权行为。该条规定对网络侵权行为适用过错责任原则，不适用过错推定原则。[1]124[2]169[3]243
第三，侵害公民个人电子信息侵权行为属于一般侵权行为，并不属于应当适用过错推定原则的特殊侵权行为。尽管侵害公民个人电子信息侵权责任是《决定》规定的，但并非法律作出特别规定的侵权行为都是特殊侵权行为。侵害公民个人电子信息侵权行为的基本性质是侵害隐私权，与侵害名誉权、肖像权等侵权行为一样都属于一般侵权行为，必然适用过错责任原则。
( 二) 构成侵害公民个人电子信息侵权责任的一般要件
依照《侵权责任法》第 6 条第 1 款规定，侵害公民个人电子信息侵权行为的构成要件是:
1． 加害行为及违法性
侵害公民个人电子信息的加害行为的主要表现形式是作为，例如非法出售，非法获取等。也包括不作为的行为方式，例如负有保密义务的组织和个人将公民个人电子信息丢失; 网络服务提供者对于网络上发现的泄露公民个人身份、散布个人隐私等侵害其合法权益的网络信息，以及受到商业性电子信息侵扰，没有尽到及时删除有关信息或者采取必要措施予以制止的行为，都是不作为的行为方式。行为的违法性，是上述行为违反《决定》的规定，同时也是违反了隐私权义务人的不可侵义务，属于形式违法。
2． 损害后果
侵害公民个人电子信息侵权行为的损害后果，是自然人的电子信息被非法处分，主要表现是被非法搜集或者被非法使用，造成隐私权的损害。违法发送垃圾信息的侵权行为造成的损害后果，是被侵权人生活安宁的损害，也属于隐私权损害的后果，即个人为了自由发展其人格而要求所必须的安宁与平静的权利[4]599受到侵害，也是侵害了隐私权。故侵害公民个人电子信息的侵害客体是隐私权。
值得研究的问题是，构成侵权责任，公民个人电子信息被侵害是否必须达到严重损害的程度。目前我国侵害公民个人电子信息的侵权行为猖獗的原因之一，就是认为侵权责任构成需要达到相当的“门槛”，否则不认为侵权。很多人认为，《侵权责任法》第 22 条规定，承担精神损害赔偿责任须造成严重精神损害，不达到严重精神损害的就不能承担精神损害赔偿责任。我认为: 第一，存在对严重精神损害正确理解的问题，即达到何种程度方为严重精神损害。应当看到的是，精神损害赔偿责任并不是非常严重的责任方式，如果要求精神损害赔偿 100 元或者 1000 元，这样的损害应当是多严重呢? 很多法官审判这类案件，通常是按照刑事案件的标准掌握，未达到一定程度就不认为构成侵权责任。这种思路是不正确的，放纵侵害公民个人电子信息的侵权行为正是由于这种思路酿成的。第二，即使没有达到严重精神损害的后果，尽管可以不承担精神损害赔偿的责任，但还可以承担其他侵权责任方式。因此，掌握侵害公民个人电子信息的损害事实的标准是，公民个人电子信息被侵害，达到一定的程度，就构成损害事实的要件。
3． 因果关系
侵害公民个人电子信息侵权行为的因果关系有两种类型: 一是行为与损害结果之间具有相当因果关系，即行为是损害结果发生的原因或者适当条件，而不是必然的条件。二是行为与损害结果之间属于助成的共同因果关系，即他人的行为已经造成了损害结果的发生，行为人的行为对于损害结果的扩大发生了助成的作用，扩大了损害结果，同样也构成因果关系。例如，网络服务提供者没有及时采取必要措施，造成泄漏个人身份、散布个人隐私的网络信息侵害被侵权人合法权益的后果继续存在，或者受到商业性电子信息侵扰没有及时采取必要措施，都是该行为与直接侵权人的行为结合起来，造成损害后果的扩大。这样的行为也构成因果关系要件。
4． 行为人的过错
侵害公民个人电子信息的主观要件主要是故意，是明知自己负有对他人的个人信息不可侵义务而故意为之。当然也有过失的行为。不论故意或者过失，凡是由于过错侵害公民个人电子信息造成民事权益损害的，就构成侵权责任。
( 三) 构成侵害公民个人电子信息侵权责任的特别要件
1． 侵权行为主体
按照《决定》的规定，侵害公民个人电子信息侵权行为的主体是:
( 1) 网络服务提供者
《决定》规定的侵权行为主体，首当其冲的是网络服务提供者。这是因为，受到侵害的公民个人电子信息主要是网络信息，或者是个人信息在网络上被侵权等。对网络服务提供者的界定，应当按照《侵权责任法》第 36 条规定，是指网络技术服务提供者和网络内容服务提供者。[5]189网络服务提供者对于自己收集的，或者对于他人在网络上传播的，以及自己发布的公民个人电子信息，都应当遵守《决定》的规定，保护好公民个人电子信息。违反规定，造成公民个人电子信息损害的，应当承担侵权责任。
( 2) 其他企业事业单位
《决定》规定其他企业事业单位作为侵害公民个人电子信息侵权行为主体，主要是指有权获取或者非法获取公民个人电子信息的其他企业事业单位。这个行为主体是除了网络服务提供者之外，凡是有权收集公民个人电子信息的企业事业单位，或者非法获取公民个人电子信息的企事业单位，都可以成为这种行为主体，其中前者主要是指电信、医院、邮政、银行以及类似的企业事业单位。
( 3) 国家机关及其工作人员
《决定》规定国家机关及其工作人员作为侵害公民个人电子信息的行为主体，是国家机关及其工作人员在履行职责中知悉公民个人电子信息，应当善尽保密义务和谨慎注意义务，没有尽到这种义务，实施了泄露、篡改、毁损以及出售或者非法向他人提供的行为，国家机关及其工作人员就构成侵权行为主体。
( 4) 任何组织或者个人
《决定》规定任何组织或者个人作为侵害公民个人电子信息侵权行为的主体，是指非法获取以及非法使用公民个人电子信息的任何法人和自然人。既然侵害公民个人电子信息侵权行为是一般侵权行为，其实所有的民事主体都可能是侵权行为主体。
2． 侵害公民个人电子信息侵权行为的侵害客体
《决定》第 1 条规定，侵害公民个人电子信息侵权行为的客体是“能够识别公民个人身份和涉及公民个人隐私的电子信息”，这也是《决定》对公民个人电子信息概念的界定。
依照这一界定，公民个人电子信息作为侵权行为的侵害客体，特点是:
第一，公民个人电子信息的内容有两种，一是能够识别公民个人身份的信息，二是涉及公民个人隐私的信息。能够识别公民个人身份的信息，是基于自然人的人身属性、人格要素发生的个人信息，例如姓名、性别、年龄、特点、住所、通信、电话号码、电子邮箱等皆是。凡是基于某个具体信息能够识别公民个人的身份，就是个人身份信息。涉及公民个人隐私的信息，是有关自然人隐私的信息。按照隐私权保护的内容区别，凡属于私人资讯的信息，就是个人身份信息;除此之外的隐私内容，例如私人活动和私人空间的信息，都是涉及公民个人隐私的信息。
第二，公民个人电子信息的属性是电子化的个人信息。按照《决定》规定，受到特别保护的是公民个人的电子信息。这里突出的是“电子”信息。如何理解，应当认为是上述两种自然人的个人信息被电子化，成为电子化的个人信息。存在疑问的是，是不是只有电子化的公民个人信息法律才予以保护，非电子化的公民个人信息法律就不予保护呢? 其实不是，之所以特别强调公民的电子信息，是因为电子化的个人信息更容易被侵害，且在网络中被侵害的可能性更大。
第三，公民个人电子信息包含在隐私权之内。隐私权保护的内容包括与公共利益无关的个人信息、个人活动与个人空间。无论是能够识别公民个人身份的信息，还是涉及公民隐私的个人信息，都在隐私权的保护之中。因此，侵害公民个人电子信息的侵权行为，就是侵害隐私权的侵权行为。
( 四) 侵害公民个人电子信息侵权行为的举证责任
由于侵害公民个人电子信息侵权行为是一般侵权行为，其举证责任均由原告负担。这种规则对被侵权人当然不利，但这是《民事诉讼法》规定的举证责任一般规则，必须遵守。法院应当注意的是: 第一，适当运用举证责任缓和规则，适当放宽原告证明的标准，在原告已经提出相当的证据证明其主张事实具有较大可能性，因客观条件限制无法继续举证，应当转换举证责任，让被告举证证明; 被告不能证明自己的否定主张的，认定原告的主张成立。第二，适当运用法官职权调查，在原告无法举证，符合法院调查的情形，应当主动调查证明。
三、侵害公民个人电子信息侵权行为的基本类型
《决定》与众不同的是，采用一项一项逐一规定侵害公民个人电子信息侵权行为的类型，以便于司法机关依照《决定》的规定，确认侵权行为，正确适用法律，保护好公民个人电子信息。我仔细归纳，认为《决定》规定了九种侵害公民个人电子信息的侵权行为，再加上其他行为方式，共有十种。