第一千零三十六条

第一千零三十六条

处理个人信息，有下列情形之一的，行为人不承担民事责任：

（一）在该自然人或者其监护人同意的范围内合理实施的行为；

（二）合理处理该自然人自行公开的或者其他已经合法公开的信息，但是该自然人明确拒绝或者处理该信息侵害其重大利益的除外；

（三）为维护公共利益或者该自然人合法权益，合理实施的其他行为。

【条文主旨】

本条是关于处理自然人个人信息免责事由的规定。

【条文理解】

本条及三审稿第1项相比于一、二审稿，增加了“监护人”作为同意个人信息收集、处理的主体。本条及二、三审稿将一审稿中的共5项免责事由删改为3项，首先，去除了兜底条款，减少了对个人信息权益的不当限制；其次，将“为学术研究、课堂教学或者统计目的在合理范围内实施的行为”以及“为维护公序良俗而实施的必要行为”删去，增设“为维护公共利益或者该自然人合法权益，合理实施的其他行为”。在最后的修改中，在第1项、第2项中增加了“合理”实施和“合理处理”的要求，将“自然人个人信息”修改为“自然人”表述更加严谨。现将本条内容说明如下：

一、个人信息侵权责任的构成

本条从免责事由角度对个人信息侵权责任作出了规定，从逻辑体系上讲，对本条的适用首先要厘清个人信息侵权责任的构成。而这又离不开有关归责原则的确定。目前，《民法典》及现行法律尚未对此作出明确的规定。

（一）关于归责原则

目前，学界对个人信息侵权行为多主张过错推定原则，适用举证责任倒置规则，即在法律对个人信息保护有特别规定的情况下，基于损害事实的客观存在，推定信息处理者行为存在过错并由其对自身没有过错承担举证责任。适用过错推定原则主要理由在于，网络环境的技术性较强，让信息主体举证信息控制者在信息收集、加工、存储、利用过程中存在过错，难度较大。另有观点认为，侵害个人信息的侵权责任应当适用过错责任原则。其主要理由在于，任何侵权责任类型适用过错推定责任或无过错责任，必须以法律有明确规定为前提，但是个人信息保护领域尚无此类特别规定。而且侵害个人信息侵权行为的基本性质是侵害隐私权，属于一般侵权行为，因此必然适用过错责任原则。上述观点都有相应道理，在目前法律和司法解释对此并未作出明确规定的情况下，有必要在实践中进一步总结经验提炼相关规则。当前实务中比较可行的做法就是根据双方对证据的掌握情况和举证能力，对双方当事人都分配相应的举证责任，对此做一相对平衡的规则处理，不可否认，信息控制者一方应负有更重的举证责任。

（二）关于侵权责任构成要件

关于侵害个人信息侵权责任构成，通常也包括四要件，即违法行为、损害后果、因果关系和主观过错。在此要注意的是，这里的过错要件要采取客观化标准，对相应注意义务的违反，就应当认定为有过错。某种意义上讲，此主观过错要件与侵权行为要件在个人信息侵权责任构成上，更加呈现趋同或者合一的特点。

1.关于违法行为。以行为表征的不同为标准划分，侵害个人信息的具体行为类型主要包括：非法获取个人电子信息、非法出售个人电子信息、非法向他人提供个人电子信息、非法泄露个人电子信息、非法篡改个人电子信息、非法毁损个人电子信息、丢失个人电子信息和违法发送电子信息侵扰生活安宁、对泄露公民个人电子信息或侵扰他人的电子信息未采取补救措施的行为。这一概况具有可参考性。侵害个人信息的行为在本质上必须具有违法性，即违反法律、行政法规的规定，并不限于《民法典》人格权编的规定。

2.关于损害后果。在理论和实务中，侵害个人信息的损害事实如何认定是一个难点问题。特别是对敏感信息，如果非要等到这些泄露的敏感信息被他人恶意利用，造成现实的物质损害时才可认定为权益侵害，则未免太过机械。并且，这样的观念也没有考虑到信息主体个人因其敏感信息被泄露而产生的恐惧、焦虑等非物质损害。因此，确认敏感信息的泄露本身即构成权益侵害，无疑是法律顺应信息科技和大数据社会到来的一种有效选择。另有观点认为，侵害个人信息侵权可以分为财产损失和个人信息权受到侵害但没有财产损失或者难以证明财产损失两种情况。这一见解较有道理。具体包括：（1）侵害个人信息权导致财产损失，即利用非法取得个人信息实施电信诈骗等侵害受害人的财产权益，如“申某与上海某某商务有限公司等侵权责任纠纷案”，原告因个人的手机号和航班信息被他人泄露而被犯罪分子实施电信诈骗，损失了118900元。此外，有关财产损害又包括直接财产损害和间接财产损害，如司法实践中，因个人信息被泄露导致后续被诈骗导致的财产损失属于直接的财产损害；个人信息被非法使用或进行交易买卖，为了维护个人信息权而花费的费用属于间接成本，包括更换账号密码、挂失银行卡等花费的时间与金钱成本。（2）个人信息权受到侵害但没有财产损失或者难以证明财产损失。例如，被告未经原告的同意，将原告的房产信息和身份证信息为另一个被告办理了居住证，导致原告在为其亲戚办理居住证时无法办理，该案原告虽然要求被告承担10万元的经济损失，但其并未能提出相关的证据加以证明。

我们认为，关于侵害个人信息的损害如何确定的问题，应当区分财产损害和精神损害两个方面进行，而这两个方面都要以符合各自相应的构成要件为限定条件。特别是就财产损害而言，必须受到因果关系条件的限定，对此应以相当因果关系的标准进行判断，不可随意扩大财产损害的赔偿范围，否则也容易引起滥诉。至于精神损害赔偿，《信息网络规定》第17条也规定：“网络用户或者网络服务提供者侵害他人人身权益，造成财产损失或者严重精神损害，被侵权人依据侵权责任法第二十条和第二十二条的规定请求其承担赔偿责任的，人民法院应予支持”。因此，在个人信息侵权案件中，原告无法证明自己遭受了严重的精神损害，则不得请求侵权人承担精神损害赔偿责任。

在此需要特别说明的是，利用信息网络侵害人身权益的案件有几个特点：（1）维权成本比较高。维权成本高体现在确定侵权人的成本高、取证成本高、律师费用高等几个方面。（2）通过诉讼维护个人权益具有一定的外部性，这些诉讼尤其是原告胜诉的案件，在倡导正确的网络观念、确立良好的网络行为规范、建立规范的网络秩序等方面有重要作用。因此，合理分配维权成本有利于促进网络秩序的良性循环。（3）在侵害隐私权、名誉权等人身权益的案件中，被侵权人往往并无具体的财产损失或者不能证明具体的财产损失，结果造成维权成本过高、违法成本过低的不平衡状态。有鉴于此，《信息网络规定》在财产损失的赔偿方面作出了如下规定：（1）将维权成本，包括调查取证的合理费用和合理的律师费用作为侵害人身权益的财产损失，由侵权人予以赔偿；（2）参照相关规定，在被侵权人的财产损失或侵权人获益无法确定的情况下，人民法院可在50万元以下根据具体案情作出裁量。

3.关于因果关系的认定。个人信息泄露造成信息主体被他人诈骗而遭受损害的案件类型，在这类案件中，往往存在着因果关系证明的难题。例如，在“庞某与北京某某信息技术有限公司等隐私权纠纷案”和“孙某某诉上海联通侵犯隐私权纠纷”中，受害人往往难以证明网络平台真的泄露了个人信息，以及受害人遭受的损害与网络平台之间存在因果关系。有学者也指出，个人信息侵权案件中的因果关系存在两方面的难题：（1）在责任成立的因果关系层面，在有多个信息控制者时，受害人往往难以证明谁是真正的加害行为人。如在数据收集、处理、转移以及使用等多个环节中，参与的信息控制者太多，每个环节都可能发生数据不当泄露，从而导致受害者难以确定侵权行为人的范围，无法准确获知谁是侵权行为人。（2）在责任范围的因果关系层面，由于信息控制者可能存在的泄露行为并不是直接侵权行为，而是为下游他人的侵权创造了条件：所涉及的个人信息的传播过程中可能介入第三人的行为，该信息也有可能通过该信息控制者之外的其他途径获得，他们不是掌握这些信息的唯一介体；此外，也无法排除可能遭到不可预料的黑客攻击或信息主体自身所为的可能。因此，即使证明了信息控制者的平台系统存在漏洞，或信息控制者实施了与信息主体的个人信息有关的一定行为（比如经信息主体同意进行了信息披露），也无法确切证明其泄露行为正是损害结果发生的原因。（3）在责任承担方面，目前争议较大的问题是，因信息泄露、公开等导致当事人被骗巨额财产，或者导致当事人死亡等严重后果时，是认定侵害个人信息行为与此后果有因果关系并按照原因力规则确定责任，还是认定为没有因果关系而仅作为法定损害赔偿时的一个酌定损害赔偿金额的因素来适用。

有观点主张，应当在个人信息侵权案件中，降低证明标准，以便对受害人提供充分的救济，缓和证明标准，由“高度可能性”降低为“较大可能性”，即证明被告泄露信息的较大可能性即可。这一观点较有道理，值得参考。在个人信息保护案件中，缓和“相当性”的证明负担，意味着从宽理解“若有该行为，通常是否会产生该损害”，只要原告证明侵权行为与侵害结果存在引起和被引起的条件关系，即应认定存在因果关系。同时，在证明标准上，在当前法律司法解释规定框架下，有必要用足、用好《民事诉讼法司法解释》关于民事诉讼证明标准的规定。其第108条确立了盖然性证明标准，即“确信待证事实的存在具有高度可能性”。在现代发达信息技术的背景下，侵害个人信息的主体，比如泄露主体、侵权行为样态、因果关系等都存在难以认定的问题，这时更有必要强调适用有关民事诉讼证据认定标准的基本规则，即高度盖然性规则，同时也有必要强调日常生活经验法则的运用。其实，在上述庞某与北京某某信息技术有限公司等隐私权纠纷案中，庞某被泄露的信息包括姓名、手机号、行程安排等，其行程安排无疑属于私人活动信息。从收集证据的资金、技术等成本上看，作为普通人的庞某根本不具备对某航空公司和该信息技术公司内部数据信息管理是否存在漏洞等情况进行举证证明的能力。因此，客观上，法律不能也不应要求庞某证明必定是此两公司泄露了其私密信息。两公司均未证明涉案信息泄漏归因于他人或黑客攻击，抑或是庞某本人。法院在排除其他泄露隐私信息可能性的前提下，结合本案证据认定上述两公司存在过错。此裁判规则也体现了民事诉讼证明标准并结合日常经验法则的运用。

从本条规定看，侵害个人信息的民事责任不仅包括侵权责任，还包括违约责任，此二者存在竞合。关于违约责任的适用，应当适用合同编的有关规则，有关举证责任也要适用合同履行有关的举证责任规则。

二、个人信息民事责任的免责事由

《信息网络规定》第12条规定：“网络用户或者网络服务提供者利用网络公开自然人基因信息、病历资料、健康检查资料、犯罪记录、家庭住址、私人活动等个人隐私和其他个人信息，造成他人损害，被侵权人请求其承担侵权责任的，人民法院应予支持。但下列情形除外：（一）经自然人书面同意且在约定范围内公开；（二）为促进社会公共利益且在必要范围内；（三）学校、科研机构等基于公共利益为学术研究或者统计的目的，经自然人书面同意，且公开的方式不足以识别特定自然人；（四）自然人自行在网络上公开的信息或者其他已合法公开的个人信息；（五）以合法渠道获取的个人信息；（六）法律或者行政法规另有规定。网络用户或者网络服务提供者以违反社会公共利益、社会公德的方式公开前款第四项、第五项规定的个人信息，或者公开该信息侵害权利人值得保护的重大利益，权利人请求网络用户或者网络服务提供者承担侵权责任的，人民法院应予支持。国家机关行使职权公开个人信息的，不适用本条规定。”本条规定也是充分参考和吸收了该司法解释的上述规定内容。非法利用他人个人信息，影响个人对其个人信息进行控制的行为，只要不存在相关的免责事由，都构成对他人个人信息权的侵害。根据本条的规定，侵害个人信息权相关责任的免责事由主要有如下几种：

（一）权利人的同意

权利人的同意是信息利用的基本依据，若权利人属于无民事行为能力人或限制民事行为能力人，在得到其监护人同意的情况下也可以处理权利人的个人信息。若信息处理者能够证明在权利人授权同意的范围内使用个人信息，则不应当承担侵权责任。需要注意的是，对未成年人而言，未成年人信息通常属于敏感信息，一旦泄露、非法提供或滥用可能危害人身和财产安全，极易导致未成年人的个人名誉、身心健康受到损害或歧视性待遇。而根据《民法典》总则编中的第26条的规定，“父母对未成年人子女负有抚养、教育和保护的义务”，监护人负有保护未成年人信息的义务，在同意授权时需要谨慎考量与保护未成年人权益。

（二）合法公开的信息

已经合法公开的信息通常为权利人自行向社会公众公开，已经经过权利人对个人信息利益的权衡，或是由于涉及公共利益而为特定机构或组织公开，例如通过合法的新闻报道、政府信息公开、刑事侦查、司法判决等渠道产生的个人信息。再比如依据网络报道、企事业单位依法公示等方式获得的个人信息，再次传播或公开原则上不能认为侵害个人权益。概言之，自然人自愿公开的个人信息，通常应视为权利人放弃了对该信息的保护，一般也无保护的必要。但若非个人自愿公开的信息，则就存在非法公开和合法公开的区别，依据本条规定，只有在合法公开的情况下，才能成为免责事由。

（三）为了维护公共利益或者该自然人的合法权益

此处的公共利益主要包括国家公权力机关为了制定国家经济、社会政策的需要而处理有关公民的个人信息，或是为了国家安全、公共安全、公共卫生等处理相关个人信息，以及与刑事侦查、起诉、审判和判决执行相关等事务而需要处理的个人信息。为了该自然人的合法权益在未经授权情况下处理个人信息，则通常是基于维护个人信息主体或其他个人的生命、财产等合法权益，此合法权益原则上应以重大为要，且个人信息主体由于疾病或其他原因无法作出同意或者授权的情形。

【审判实践中应注意的问题】

一、免责事由的适用要注意的相关限制

首先，处理自然人已经合法公开的信息应当避免侵害权利人的重大利益。例如，对于个人敏感信息而言，通常情况下权利人不会主动公开，即使该信息出现在公开的环境中，基于诚信原则的要求，他人也不应当以违背个人信息主体意愿的方式直接使用或与其他信息进行关联定向分析或者使用，例如使用他人身份证复印件实名登记手机号、信用卡等。同时，基于公序良俗原则的考虑，他人也不应收集或处理可能对他人带来重大风险的信息，例如性取向、传染病史等信息的传递可能使他人遭受不必要的歧视。其次，即便是以公共利益为依据进行的个人信息处理活动，也必须满足合法、正当、必要的原则，不对实现目的必要范围之外的个人信息进行收集和处理。此外，这里要明确相应的告知义务，即将收集、处理个人信息的具体情况和理由尽快告知权利人，而且必须仅限于其处理信息的目的，在其处理目的实现之后应当尽快删除或者对相关信息进行匿名化处理。最后，根据《信息网络规定》第12条第3项的规定，“学校、科研机构等基于公共利益为学术研究或者统计的目的，经自然人书面同意，且公开的方式不足以识别特定自然人”。换言之，为学术研究、课堂教学或者统计目的在合理范围内实施的处理个人信息等行为，虽然目的是增进社会科学技术与知识的发展，但这并不足以成为知情同意原则的例外，且公开的方式不足以指向特定自然人，即该公开的资料已经不具可识别性。

二、关于侵害个人信息纠纷的举证责任问题

根据本条规定，结合有关审判经验，有关举证责任的分配问题，可以考虑适用如下规则：自然人主张其个人信息受到侵害的，应当提供以下证据：（1）个人信息受到侵害的具体情形；（2）个人信息受到侵害造成相应的损害后果；（3）信息收集者、持有者未经其同意或者未明示收集、使用信息的目的、方式、范围；（4）信息收集者、持有者违反法律、法规收集、使用信息的其他情形。同时，个人信息收集者、持有者主张其不承担侵害个人信息侵权责任的，应当就以下事实承担举证证明责任：（1）收集、使用自然人个人信息遵循了合法、正当、必要的原则；（2）明示了收集、使用信息的目的、方式和范围；（3）征得该自然人或者其监护人同意，法律、行政法规规定无须征得自然人或者其监护人同意的除外；（4）采用了确保个人信息安全的严格技术措施和其他必要措施；（5）其他已经履行法律、行政法规或者双方约定规定的合法收集、使用个人信息义务的情形。这一举证责任分配的规则遵循了举证责任缓和的规则，在现行法律规定的框架下，考虑到原被告双方经济实力、信息不对称等因素，对原被告双方的举证责任作出了适当平衡。突出了原告方在行为意义上的举证责任，明确了被告方在合法收集、使用个人信息即行为合法性方面的举证证明责任。对于双方当事人提供的证据，人民法院应当依照《民事诉讼法司法解释》第108条的规定，并结合日常生活经验法则，认定侵害个人信息侵权责任的构成要件事实是否存在。当然，这仅是目前我们的研究和考虑，有关具体举证责任规则，还需要依据《民事诉讼法》《民事诉讼法司法解释》《民事诉讼证据规定》等法律和司法解释确定，最高人民法院将在进一步总结审判实践经验的基础上，适时出台相关司法解释对这一问题予以进一步明确。