二、我国相关立法与建议稿分析
(一)台湾地区《计算机处理个人数据保护法》
该法第四章对损害赔偿及其他救济进行了详细可行的规定,与德国相似,将责任主体区分为“公务机关”与“非公务机关”,从而采取不同规则。公务机关民事责任适用无过错归责原则和法定免责事由,非公务机关的民事责任采用过错推定归责原则[3]。整体上看,台湾资料法立法宗旨明确,构建了完善的权利体系,损害赔偿与救济制度操作性强。但是,其缺陷是保护客体与适用主体受到限制,尤其是法律适用比较复杂,导致不同主体的同一性质违法行为产生的法律责任可能不同[1]。
(二)香港《个人资料(隐私)条例》
该条例第65条是关于雇主及主事人的法律责任,第66条是对补偿的规定[3],明确受害人向资料使用者申索补偿责任的构成条件,以“实施了违反本条例的行为”为基础,采取过错推定归责原则,因为其免责辩护的内容包括:(1)雇主证明自己已采取切实可行的步骤,以防止该雇员做出该作为或从事该行为或在其受雇佣过程中做出该类作为或从事该类行为;(2)资料使用人证明已采取在所有情况下属合理所需的谨慎措施,以避免有关的违反规定事项发生;(3)在因有关的个人资料不准确而发生的有关违反规定事项的个案中,资料使用人证明:该个人资料准确地记录有关自己从资料当事人或第三者处所收到或取得的资料的。
(三)专家建议稿评介
我国现在有两部个人信息保护法专家建议稿,一由周汉华教授主持草拟;二由黄进教授主持、齐爱民教授执笔(严格说,加上齐爱民教授独自草拟的建议稿,共有三个草案,但此处只讨论两个。参见齐爱民:《中华人民共和国个人信息保护法示范法草案学者建议稿》,载《河北法学》,2005年第6期。)[4]。
周汉华教授的建议稿在法律责任部分着重规定了刑事与行政责任,但在第63条与第64条规定有民事救济,以“违反本法”为基础,采用无过错责任,并确立政府机关或其他个人信息处理者对信息主体的责任形式为停止侵害、消除影响和损害赔偿[5],其归责原则、责任主体与多数国家立法相同。
黄进教授和齐爱民教授的建议稿在第五章中规定了民事责任,集中在第54条、第55条和第60条(2009年5月在重庆大学举办的“中国个人信息保护立法国际论坛”论文集(未出版)中黄进教授主持、齐爱民教授执笔的《中华人民共和国个人信息保护法专家建议稿》。)。该稿内容丰富,体系完整,用语明确清爽,结构与思路方面借鉴了台湾等立法的一些合理元素,尤其确立有完整的主体制度,涉及多方面的个人信息法律关系,与既有的民法规定衔接合理,较为可行。其中,责任主体分为两类:对国家机关、法律法规授权的组织侵权的,采取无过错归责原则,适用国家赔偿法,免责事由仅限于不可抗力;对自然人、法人或其他组织的侵权责任,采取过错推定归责原则。但二者承担的责任形式一样,包括停止侵害、消除影响、损害赔偿等民事责任。第54条第3款还规定了工作人员出售或非法传输或披露任职期间因处理个人信息所获知的个人信息造成损害的连带赔偿责任,依然是无过错性质,但国家机关、社会组织向信息主体赔偿后,有权向工作人员追偿。第60条规定,第三人窃取或者以其他方法非法获取个人信息给信息主体造成损害的,承担赔偿责任;个人信息的处理系统存在不合理的安全漏洞是造成损害的原因之一,信息管理者承担连带赔偿责任,并有权向第三人追偿。可见,第三人责任实行过错归责,而信息管理者因过错而连带。
