跨平台共享下个人信息侵权责任认定问题研究

　　张悦言

　　【摘 要】个人信息的跨平台共享已经成为一种常见现象，但其中最为突出的是个人信息侵权责任认定问题。虽然《个人信息保护法》规定了过错推定的责任承担方式，但并没有个人信息侵权责任认定的细化规定，个人信息控制者和信息共享主体之间的权责关系存在不确定性，使得个人信息的合法性难以得到有效的保障。以跨平台个人信息共享的基本要件入手，深入探讨个人信息侵权举证责任分配不均的现状，应在坚持过错推定原则的基础上，减轻个人信息主体损害行为要件证明责任、区分一般与特殊损害要件以及因果关系要件，为个人信息侵权问题提供更加合理的解决方案。

　　【关键词】个人信息保护；互联网平台；侵权责任；过错推定

　　随着信息技术的不断发展，个人信息作为重要的数据资源，蕴涵巨大大的经济价值。企业跨平台共享个人信息已成为数据经济中的重要组成部分。这种共享模式为企业挖掘和分析大数据提供了丰富的资源，然而，随之而来的是对个人信息权和隐私权的潜在侵害风险。

　　目前对个人信息的共享仍缺乏具体的法律约束和规范。[1]《个人信息保护法》虽然规定了过错推定的责任承担方式，但并没有个人信息侵权举证责任分配的细化规定，这就意味着，在侵犯个人信息的情况下，仍然采用“谁主张、谁举证”的举证责任分配方式，而跨平台共享下的个人信息往往涉及多个信息处理主体，这对于处于弱势的被侵权人来说难上加难。在这一背景下，本研究重点探究个人信息共享模式下的法律问题，特别是个人信息侵权责任认定的相关法律规定和实践问题。从个人信息侵权责任的构成要件出发，结合实际对个人信息侵权责任的构成要件进行细化和完善，在《民法典》侵权责任编相关规定与《个人信息保护法》中探寻恰当衔接，从而实现个人信息权益的更好保护。

　　一、跨平台个人信息共享的基本要件

　　（一）用户授权是个人信息共享的前提

　　企业在跨平台对个人信息共享时，首先需要取得用户的授权。个人信息处理者不仅需要取得用户的事先同意，而且需要告知用户信息接收方的基本情况。主要通过以下三种方式：第一种，个人信息共享授权书。如银行等金融机构与用户签订的个人信息共享授权书，用户在共享其个人信息的基础上，同意接受银行等金融机构提供的相应服务。用户可以通过银行网站查询信息共享的具体细则包括共享信息的范围和共享机构目录。[2]第二种，隐私政策。许多平台通过其隐私政策声明对用户的个人信息进行共享，但这些声明大多晦涩难懂，或者对信息共享的细节缺乏详尽介绍，因此用户难以透彻了解其个人信息的具体共享情况。第三种，第三方共享个人信息清单。第三方共享清单通常包含接收方公司的名称、产品类型、共享个人信息的具体名称、使用目的，以及接收方信息处理规则。分享方通常将隐私政策与第三方共享清单捆绑在一起，用户只需在设备上进行勾选，即可同时同意隐私政策和第三方共享清单的内容。

　　（二）多方式协调是个人信息共享的途径

　　大部分被共享的个人信息都是没有经过匿名化处理的与用户具有直接关联的个人信息。平台间主要通过提供、传输、委托的方式对个人信息进行共享。一种个人信息共享方式是提供行为，“提供”强调将个人信息交付给特定主体的行为。《民法典》第 111 条、第 1038 条明确规定，任何组织或者个人不得给他人非法提供用户的个人信息。另一种是传输行为。传输指的是个人信息在不同处理程序之间移动和流转的过程。个人信息跨平台共享，通常涉及多个处理者和环节。信息处理者在传输过程中，有责任审查接收方的信息处理和存储条件，并清楚地告知其信息处理的目的、范围和具体内容，以防止在传输过程中对用户信息利益造成损害。

　　在信息共享中，共享方并未完全失去对个人信息的控制权，而是将部分控制权分享给接收方。考虑到共享形式的特殊需求和所涉及个人信息的敏感性，双方均应采取合理措施来保护用户的个人信息。

　　（三）限制原则是个人信息共享的保障

　　《个人信息保护法》中明确规定了目的限制原则，该原则贯穿于个人信息的全部处理活动。在个人信息的跨平台共享下，无论个人信息处理者为分享方还是接收方，无论涉及何种类型的个人信息处理活动，包括信息共享行为，都必须受到该原则的约束。作为个人信息保护法的基本原则，目的限制原则旨在要求个人信息处理者在处理个人信息时，目的必须明确而合理，应在最小的影响范围内处理个人信息，并且处理行为应直接与处理目的相关。目的限制原则的衍生原则还包括个人信息收集必要性原则，即接收方所收集的个人信息也必须符合收集的必要性原则。个人信息处理者应加强对个人信息共享过程的管理和监督，确保个人信息的共享行为符合法律法规的规定。

　　二、跨平台个人信息共享的侵权责任认定困境

　　（一）个人信息侵权主体多样

　　与一般侵权相比，跨平台个人信息共享模式下侵权主体更加多样。由于个人信息处理者的多样性以及个人信息侵权行为的隐蔽性，使得在多个平台间找到实施侵权行为的具体信息处理者十分困难。

　　随着科技的进步，个人信息共享的层级逐渐增多，用户难以掌控各个信息处理者之间的相互关系及其合作方式。以网上购物为例，购买商品的整个流程中涉及多次个人信息共享，比如下单、发货、中转、派送等环节。一旦个人信息脱离卖方的控制范围，就有可能面临危险，比如可能被快递公司所出售。由于个人信息的跨平台共享，使得更多的信息处理者和信息处理方式出现，个人信息已经不再是简单一对一的侵权行为，用户很难确定个人信息侵害的源头来自哪个环节及哪个信息处理方。

　　（二）个人信息侵权中双方当事人地位存在差距

　　在个人信息侵权案件中，双方当事人往往处于不完全平等的地位。个人信息处理者拥有更为强势的地位，而用户则处于相对弱势。这种不平等主要源于“知情同意”规则的不足。目前，用户通常通过使用前的“隐私协议”来获得知情同意，然而大多数应用软件要求用户必须注册登录并同意隐私协议后才能使用基本服务。在这种情况下，许多行业正在被各个互联网巨头所垄断，用户如果想进行后续操作，便只能同意其规定的隐私政策，大多数用户只能被迫接受并妥协。[3]

　　并且，个人信息受害人的证据控制能力较弱，这一问题主要源于信息主体相对个人信息处理者在技术知识和能力方面的明显差距。个人信息主体在提供证据方面往往只能完成最基本的证明。尤其在当前情景下，许多大型企业为了更好地研发产品和精准化营销，通过共享方式大范围获取个人信息数据。个人信息主体在这种平台经济共享行为中大多处于信息不对称的地位，难以有效地控制自己的信息流动并保护自身的合法权益。

　　三、跨平台个人信息共享中过错推定原则的适用

　　鉴于我国《个人信息保护法》中规定了个人信息侵权责任的认定适用过错推定原则。因此，在具体的司法实践中，需要准确理解个人信息侵权构成要件，准确运用过错推定原则，对跨平台信息共享下个人信息侵权责任的认定进行更加细致全面的审查。保障个人信息主体在信息共享环境中的合法权益，避免信息主体因信息共享而受到侵害的情况发生。

　　（一）过错要件适用举证责任倒置

　　《个人信息保护法》中的过错推定原则，要求信息处理者在个人信息侵权行为中存在过错时应当承担相应的法律责任。这意味着，一旦个人信息主体遭受侵害，信息处理者需要证明其在个人信息处理过程中尽到了合理的注意义务，否则便负有侵权责任。信息处理者应从以下内容证明自己无过错。

　　一方面，各平台在信息共享的过程中必须遵守相关法律法规，特别是《民法典》和《个人信息保护法》等法律规定。这些法律明确规定了信息处理者在存储、收集、处理个人信息时的行为规范，以及其应当承担的最低限度义务。各信息处理平台有责任证明自身没有违反相关法律规定，从而免除自身可能存在的侵权责任。另一方面，各信息处理平台需要对尽到法律规定的安全管理义务承担证明责任。[4]《个人信息保护法》明确规定，信息处理者在收集处理个人信息时必须采取一定措施以确保个人信息的安全。若信息处理者违反了法律规定的义务，应被认定存在过失。信息处理者可以将上述已尽的义务以证据的方式提供，以供法院判定。

　　（二）减轻损害行为要件证明责任

　　根据行为方式的不同，可以将跨平台个人信息侵权行为划分为积极作为和消极不作为。积极作为指的是信息处理者在法律明确禁止的情况下仍然积极从事可能损害信息主体个人信息利益的行为，例如违规收集和处理个人信息；而消极不作为则是指信息处理者未履行相关法定义务，包括未履行安全管理义务或告知义务等。

　　根据一般的举证责任分配规则，原告需要证明被告的行为已发生，且属于违法行为。在涉及跨平台个人信息侵权的案件中，虽然信息处理者主动进行的非法收集和个人信息的处理是积极作为行为，但与这些行为“非法性”相关的其他行为却属于消极不作为行为。此外，一旦信息收集完成，个人信息的存储、处理、传输、使用其中任何一个步骤违反了法律规定或信息主体意愿，都将被视为违法行为。而不作为的加害行为则指的是个人信息处理者未依照法律履行义务，由此导致信息主体的个人信息受到不应有的损害。这实际上是一种消极事实，在诉讼过程中，负有证明责任的一方需要证明损失是由于信息处理者的不作为导致的。[5]

　　因此，无论是针对积极行为还是消极不作为，个人信息主体在诉讼过程中可能都需要证明消极的事实，而这种类型的证据往往较难获取。可以采取一些方法来减轻个人信息主体的证明责任，例如合理利用事实推定和举证责任转移等手段来弥补个人信息主体在获取证据方面的不足。

　　（三）区分一般与特殊损害要件

　　在个人信息侵权案件中，受害人可能会面临个人信息可识别性降低或丧失的不利后果，从而陷入困境。此外，个人信息侵权所导致的损害不仅包括传统意义上的财产损失和精神损害，还涉及未来可能发生的损害风险和精神损害，这些损害可能导致个人信息的泄露、滥用或被非法交易。

　　由于个人信息经过多次共享，信息主体往往难以证明实际损害的发生，再加上个人信息侵权所造成的损失往往具有非即时性和隐蔽性，信息主体将会难以证明具体的赔偿金额。因此，法院在处理这类案件时应当明确区分一般损害和特殊损害，并合理规定个人信息侵权损害事实的证明责任。

　　通常原告仍需提供证据证明损害事实的存在。但在某些特殊情况下，可以减轻原告对损害赔偿具体数额的举证责任。当损害数额难以精确衡量时，刻板地应用证明责任的一般原则可能会对原告不利。当个人信息遭到非法侵犯后，可能导致信息主体遭受精神上的困扰、焦虑等损害。在法律领域，考虑到跨平台个人信息侵权行为及其带来的损害往往不是立即显现且较隐蔽，应适度降低信息主体对于难以证实的精神损害、间接损害以及未来风险的证明标准。

　　（四）区分一般与特殊因果关系要件

　　在跨平台共享的情境下，个人信息侵权责任认定中的因果关系，是指个人信息主体的个人信息受损结果能够清楚地归因于行为人的侵害行为。在侵权责任认定领域中，损害结果与侵权行为之间并非总是简单的对应关系。鉴于侵权主体、侵权行为和侵权手段的多样性，要证明个人信息侵权责任认定中的因果关系难度较大。[6]因此，单一的因果关系认定标准已经不足以适应个人信息侵权中的复杂情况。

　　当个人信息主体可以明确识别加害行为人及其侵害行为时，证明责任分配的一般规则，通常可以满足侵权责任认定中因果关系要件的证明。然而，在跨平台共享下个人信息主体可以以整体视角看待所有的信息共享参与者，证明其遭受的损害结果可以归因于该整体的加害行为。具体而言，信息主体只需使法官相信是所有信息共享参与者的整体行为导致的个人信息受到损害，而无须对每个信息处理者的具体行为进行详细证明。这种因果关系的推定是对双方证明责任的合理调整，降低了信息主体的证明难度，提高了其胜诉的可能性，同时也要求信息处理者对其是否尽到相应义务承担举证责任，从而确保了侵权责任认定的公正性。

　　结语

　　个人信息侵权问题日益成为互联网时代的关注焦点。在跨平台个人信息共享的背景下，应对个人信息侵权责任的认定进行更加细致全面的规范。这包括加强过错推定原则的统一适用，建立统一的个人信息侵权认定标准，并根据具体案情量身定制判决，在个案中兼顾双方的技术能力和侵权行为的具体情况，使个人信息主体在信息共享环境中得到充分保障。综合来看，个人信息侵权责任的认定需要立足于法律的明确规定，同时兼顾个案的具体情况，以实现对个人信息主体合法权益的全面保护。

　　参考文献：

　　[1] 蒋丽华. 无过错归责原则: 个人信息侵权损害赔偿的应然走向[J]. 财经法学,2022(1):32-44.

　　[2] 崔晓琦. 个人信息侵权的举证责任分配优化研究[D]. 江西: 江西财经大学,2022.

　　[3] 王炜炫. 跨APP 个人信息共享的法律规制[J]. 南方金融,2022(6):90-100.

　　[4] 杨立新. 侵害个人信息权益损害赔偿的规则与适用 ——《个人信息保护法》第69 条的关键词释评[J]. 上海政法学院学报,2022,37(1):1-15.

　　[5] 刘琬乔. 论共同处理个人信息的侵权损害赔偿责任[J]. 财经法学,2022(05):107-123.

　　[6] 程啸. 侵害个人信息权益的侵权责任[J]. 中国法律评论,2021(05):59-69. 术,2021,17(34):121-124.

关注读览天下微信， 100万篇深度好文， 等你来看……