比如,根据1995年欧盟《个人数据保护指南》第23条[3],各成员国应该规定损害赔偿责任和免责要求,并以“非法处理操作和违反根据该指示所采取的国家法律”为归责基础,考虑了受害人的弱势地位,较为合理,被多数立法所借鉴。荷兰《个人数据保护法》第49条将归责基础确立为“违反本法规定之行为”、“引起损失或伤害”,减免事由为“责任方或数据管理者能够证明其伤害不是本人造成的,可全部或部分免除责任”[3]。葡萄牙《个人数据保护法》[3]、比利时《关于个人数据处理的隐私权利保护法》的规定与此区别不大[3]。意大利《有关个人和其他主体的个人数据处理的保护法》并无特别具体的规定,而通过链接立法方式,把数据主体的权利纳入民法典统一保护,并将个人数据的侵权责任纳入高危险民事侵权,作为特殊侵权并采用过错推定归责原则,赔偿范围明确包括金钱与非金钱损失,这对权利人较为有利[3]。匈牙利《个人数据保护与公共利益数据公开法》第18条确立了数据控制者的无过错责任,包括:(1)自己责任:对因处理数据造成的损失或因违反数据保护的技术性要求而给数据主体造成的损失负责。(2)替代责任:对数据处理者造成的所有损失承担责任,包括精神与财产的损害赔偿;但是,数据控制者“如果能够证明损失是由超出数据处理所能控制的并且不可避免的原因造成的,则应当免除责任”,或“因受害方故意或重大过失行为造成的那部分损失不受赔偿”[3]。
(二)多元归责原则
在分工越来越细、侵权情形越来越复杂多样的社会背景下,靠简单笼统的规定来解决侵权纠纷已不现实。与多数国家将责任主体笼统限为个人信息管理者、控制者或处理者不同,德国《联邦个人资料保护法》根据侵权主体不同,区分行政侵权行为与民事侵权行为发生的损害赔偿,分别规定归责原则与赔偿范围:前者适用无过错责任原则,放弃全额赔偿,明确最高限额;而后者适用过错责任原则,实行全额赔偿,不设最高限额,以体现主体地位的平等[1]。根据冰岛《有关个人数据的保护法》第43节规定[3],其赔偿责任也因主体不同而分两种:一是个人数据管理者的自己责任和对处理者没有过错致损的替代责任,并以违法为归责基础,属无过错性质;二是个人数据处理者的过错损害责任,由自己承担,属于过错责任。奥地利《联邦个人数据保护法》则强调过失或故意侵权等过错责任,第33条第1段规定:恶意以与该联邦法律的规定相悖的方式使用数据的管理员或处理员,应根据民法的一般条款赔偿所有人的损失;第3段规定:在受害者本身或他对别人的行为有责任而造成疏忽的情形中,应适用奥地利民法典§1304的规定[3]。该条确立数据管理员与处理员的赔偿责任以恶意为要件,并特别强调隐私利益和名誉的保护,是民法过错责任原则的具体体现。但是,该条第2段规定:管理员或处理员应对他们的雇员造成的损害承担责任,条件是其雇员行为与损害有因果关系;管理员和处理员能够证明引发损害的情形不能归责于他或他的雇员,则可免责。可见,管理员或处理员对其雇员的替代责任属于无过错性质。这种与不同责任主体相适应的多元归责之确立,体现出一种立法精细化的思路,合理可行,保护全面,值得借鉴。
