个人信息侵权责任
现行基准: 《民法典》第1034-1039条、第1182-1183条 + 《个人信息保护法》(2021年11月1日施行)+ 最高法个人信息保护民事公益诉讼司法解释(2023年)
最后更新:2026-04-06 | 由 LLM 基于知识库原始资料编译
关联概念:网络侵权 | 侵犯人格权责任 | 精神损害赔偿
核心法条
- 《民法典》第1034条:个人信息的定义与保护范围——个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息 [现行有效]
- 《民法典》第1035条:处理个人信息应当遵循合法、正当、必要原则,不得过度处理 [现行有效]
- 《民法典》第1182条:侵害他人人身权益造成财产损失的,按被侵权人受到的损失或侵权人获得的利益赔偿 [现行有效]
- 《民法典》第1183条:侵害自然人人身权益造成严重精神损害的,被侵权人有权请求精神损害赔偿 [现行有效]
- 《个人信息保护法》第69条:处理个人信息侵害个人信息权益造成损害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任 [现行有效,过错推定责任] [现行有效]
- 《个人信息保护法》第50条:个人信息处理者应当建立便捷的个人行使权利的申请受理和处理机制 [现行有效]
- 《最高人民法院关于审理个人信息保护民事公益诉讼案件适用法律若干问题的解释》(法释〔2023〕5号):公益诉讼中的个人信息保护规则 [现行有效]
规则沿革
| 时间节点 | 变化内容 | 依据来源 |
|---|---|---|
| 2017-06-01 | 《网络安全法》确立了个人信息保护基本框架 | 现行有效 |
| 2021-01-01 | 《民法典》人格权编确立个人信息民法保护地位,明确处理规则与侵权救济 | 【现行有效】 |
| 2021-11-01 | 《个人信息保护法》施行,确立过错推定责任与全面保护框架("告知-同意"核心规则) | 【现行有效】 |
| 2023-05-01 | 最高法发布个人信息保护民事公益诉讼司法解释,强化公益诉讼路径 | 【现行有效】 |
重大变革说明
个人信息侵权责任经历了从分散保护到体系化的演进:
- 《民法典》之前:仅在隐私权、名誉权等框架下保护个人信息,缺乏独立请求权基础
- 《民法典》:首次在人格权编中以专节规定个人信息保护,确立独立法律地位
- 《个人信息保护法》:进一步明确归责原则(过错推定)和举证责任分配,解决了司法适用中归责不清的问题
一、个人信息侵权责任的基本框架
(一)法律适用关系
个人信息侵权责任同时受《民法典》和《个人信息保护法》规范,两者关系为一般法与特别法:
- 《个人信息保护法》第69条为归责特别规定(过错推定),优先适用
- 《民法典》第1034-1039条提供人格权保护基础,补充适用
- 两者交叉时,应优先适用《个人信息保护法》的归责原则
(二)归责原则:过错推定责任
《个人信息保护法》第69条确立了个人信息侵权的过错推定责任:
- 个人信息处理者不能证明自己没有过错的,应承担损害赔偿责任
- 举证责任倒置于信息处理者一方
- 这是对网络侵权和信息不对称的现实回应——个体难以证明信息处理者的内部过错
(三)构成要件
- 处理个人信息的行为:包括收集、存储、使用、加工、传输、提供、公开、删除等环节
- 个人信息权益受损:包括人格利益(隐私、名誉等)和财产利益的损害
- 因果关系:信息处理行为与损害之间的因果关系
- 过错推定:信息处理者不能证明无过错即认定有过错
(四)个人信息的定义与分类
《民法典》第1034条:个人信息是"以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息"。
敏感个人信息(需单独同意):生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。
二、个人信息侵权的责任主体
(一)个人信息处理者
个人信息控制者(决定处理目的和方式的主体)是主要的侵权责任承担者,包括:
- 互联网平台企业
- 金融机构、医疗机构、教育机构
- 政府部门和其他组织
- 雇主在处理员工个人信息时
(二)受托处理者
受托人(如云服务提供商、数据处理外包商):
- 按照委托人的指示处理信息
- 如超出委托范围或违反法定义务独立处理,也应承担侵权责任
- 委托人(处理者)对受托人行为承担连带责任
(三)多个处理者的责任
两个以上个人信息处理者共同处理信息的,构成共同侵权的,承担连带责任。各自独立处理的,在各自处理范围内承担责任。
三、损害赔偿的范围与计算
(一)财产损失的计算
依据《民法典》第1182条及《个人信息保护法》第69条:
1. 按被侵权人的实际损失计算:如因信息泄露导致的资金损失、信用损失、身份盗用损失等
2. 按侵权人获得的利益计算:信息处理者的非法收益(如非法买卖个人信息的收入)
3. 损失和利益均难以确定的:参照同类信息处理的市场价格、信息处理者的规模和影响等因素综合酌定
(二)精神损害赔偿
依据《民法典》第1183条:
- 侵害个人信息权益造成严重精神损害的,可请求精神损害赔偿
- 司法实践中,"严重精神损害"的认定标准包括:大规模信息泄露、涉及敏感个人信息、造成受害人社会评价降低、持续骚扰等
- 个人信息侵权中的精神损害赔偿门槛相对较高,需要具体举证
(三)《个人信息保护法》下的公益诉讼
依据最高法司法解释(法释〔2023〕5号):
- 检察机关、消费者组织等可提起个人信息保护民事公益诉讼
- 可主张停止侵权、赔礼道歉、赔偿损失等
- 公益诉讼不影响个人另行提起私益诉讼
四、免责与减轻责任事由
(一)法定免责情形(《个人信息保护法》)
- 为订立、履行个人作为一方当事人的合同所必需
- 为履行法定职责或法定义务所必需
- 应对突发公共卫生事件或紧急情况下为保护自然人生命健康和财产安全
- 为公共利益实施新闻报道、舆论监督
- 已在合理范围内公开的个人信息,个人明确拒绝的除外
在上述情形中处理个人信息,不构成侵权。
(二)已尽合理注意义务的抗辩
信息处理者证明自己已尽到合理的注意义务(如建立了完善的信息安全制度、采取了适当的技术保护措施等),可以减轻或免除责任。
(三)受害人同意
如果个人信息处理者已取得个人信息的单独同意(特别是敏感信息),可以作为免责事由,但须证明:
- 同意是自愿、明确的
- 告知了处理目的、方式、范围、保存期限等
- 个人有权随时撤回同意
五、实务要点与裁判规则
(一)网络服务提供者的双重身份
网络服务提供者既是个人信息处理者(直接责任),又可能对平台用户的个人信息侵权行为承担平台责任(《民法典》第1195-1197条的通知删除规则)。
(二)数据泄露事件中的责任认定
数据泄露事件中,个人信息处理者的责任判断要点:
1. 是否建立了信息安全管理制度
2. 是否采取了加密、备份、访问控制等技术措施
3. 发现泄露后是否及时采取补救措施并通知受影响个人和监管部门
4. 泄露规模、涉及信息类型与严重程度
(三)用人单位处理员工个人信息
用人单位在招聘、管理、考核等过程中处理员工个人信息:
- 限于与劳动合同相关的合理范围
- 不应超出劳动合同履行所必需的范围
- 不当监控、过度收集可能构成侵权
六、与网络侵权规则的交叉适用
个人信息侵权与网络侵权存在交叉适用关系:
- 个人信息通过互联网传播侵害的,同时适用《民法典》第1194-1197条网络侵权规则
- 平台接到个人信息侵权通知后未及时采取措施的,对损害扩大部分承担连带责任
- 个人信息侵权中网络服务提供者注意义务的判断,可参考网络侵权中"知道或应当知道"的标准
知识库原始资料索引
学术文章
- 人格权编个人信息保护的理解与适用
- 医疗损害责任中的患者个人信息保护
法条汇编
- 《中华人民共和国民法典》第1034-1039条、第1182-1183条
数据合规参考
- 个人信息保护
- 敏感个人信息处理规则