侵权责任视角下的个人信息安全保障义务探究

高争志

摘要：因个人信息泄漏导致信息主体的财产权或人身权遭受第三人侵害的案例屡见不鲜。个人信息安全保障义务是理顺当事人之间权责关系的关键。个人信息安全保障义务是一种结果义务，其责任主体应当限定在经营领域的个人信息控制者。应当区分对个人信息本身财产价值的保护和以“预防故意侵权”为目的的个人信息保护，后者是民法上个人信息安全保障义务的保护内容。建立违反个人信息安全保障义务的侵权责任制度，应确立以下规则：相关损害赔偿范围应限定在第三人即直接侵权人非法获取个人信息。进而对信息主体造成的财产权或人身权损害;应当适用无过错责任;直接侵权人的介入不构成个人信息保障义务人与损害之间因果关系的阻断;在个人信息安全保障义务人与直接侵权人之间的损害赔偿分担上，应当适用“补充责任”分担形态。

关键词：个人信息;安全保障义务;第三人侵权;侵权责任构成

中图分类号：D923;G203 文献标识码：A 文章编号：1673-8268（2020）01-0037-10

我国《民法总则》第111条包括三层含义：一是申明了自然人的个人信息受法律保护;二是明确了获取他人个人信息的方式和要求，即要依法取得并确保信息安全;三是列举了针对个人信息的禁止行为，即不得非法收集、使用、加工、传输、买卖、提供或者公开他人个人信息。该条规定“结束了个人信息保护规定散落于公法或司法解释中零碎条文的现状，成为个人信息民事保护领域的基本规范依据”。但从“应当依法”“不得非法”的表述看，该规定在立法技术上属于转介性条款，即概括保留了从其他法律乃至社会道德行为标准中引入裁判因素的条款。这种立法技术便于沟通私法与公法、成文法与善良风俗，有利于保障法律与社会发展的同步，克服成文法的僵化和封闭，但是同时也使得该规定无法独立成为当事人请求权利救济的规范基础。为准确把握该规定的内涵和适用，需要结合其他制度规范以及政策导向，对其进行体系性解读。与此同时，当前司法实践中因个人信息控制者泄漏个人信息导致个人信息主体的财产权或人身权遭受第三人侵害的案例屡见不鲜。为此，准确理解个人信息安全保障义务的内涵，准确把握未恰当履行个人信息安全保障义务的侵权责任构成，对个人信息保护的理论完善和司法实践具有重要意义。

一、个人信息安全保障义务的价值

自人类能自由交流时起，个人信息便成为一个客观的事实存在，但在法学领域对个人信息予以关注是相当晚近的事情。个人信息最早是包含在隐私权范畴之内的。通常认为，隐私权益的起源肇始于1890年美国学者沃伦与布兰代斯所著的《隐私权》一书，并逐渐被美国司法实践认同。1967年，美国学者阿兰·威斯丁在其所著的《隐私与自由》中提出，隐私权应当定义为“个人、群体或机构对自身信息在何时、以何种方式以及何种程度与他人沟通的主张”。这一论述被认为推动实现了美国法上隐私权益保护的重大转折，即从隐私权保护转向个人信息权保护。在20世纪七八十年代，德国和欧盟一些国家也才开始出现个人信息权、个人信息自决权等概念。在我国，直到2003年颁布的《居民身份证法》，才在立法上首次出现个人信息概念。2014年，《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》首次在司法解释中明确了个人信息权益的侵权法保护。不难看出，法律对个人信息的关注，与计算机和现代科学技术的兴起是同步的。

随着信息采集、存储、检索、分析等技术的迭代发展，传统的信息流通方式被极大改变，而新的信息流通方式却未必是公平合理的。“人类生活信息化”“个人信息商品化”“个人信息公用化”，带来相关领域侵权手段的高科技化、侵权可能性增加、侵权后果更为严重、侵权救济更为困难，甚至对伦理道德带来冲击。个人信息乃至个人自由均受到前所未有的威胁。这是个人信息保护或隐私保护话题成为当前社会热点的重要原因。面对上述关系的公平性失衡，民法需要解决的问题是，如何兼顾个人权益保护与民事主体行为自由之间的平衡，并推动保障数字经济发展。为此，将个人信息“权利化”，设想一种对抗不特定第三人的个人信息自决权或财产权，成为一种常见的研究进路。但是，个人信息“权利化”进路在回答上述问题时遇到了困境，具体表现在以下两方面。

一是借用人格权、财产权理论解决个人信息保护问题存在理论欠缺，而且不利于数字经济发展。无论是采用人格权保护理论还是采用财产权保护理论，均是采用将个人信息纳入民事权利框架的方式，强调个人对其信息的全面的、绝对的支配，用以实现“人的尊严”“个人自决”等基本权利。这种“个人控制”的理论进路存在以下问题：首先，个人信息是个人进入社会和社会了解个人的必要手段，赋予个人对个人信息的绝对控制，必然导致忽视其他民事主体的“表达自由”“知情”等权益，也不符合信息所具有的“识别性”“流通性”等公共性、社会性特征;其次，该思路在个人信息保护定位上混淆了“工具”与“目的”的关系，个人信息保护具有工具性，其目的是保护个人基本权利不因个人信息的使用而受侵犯，而不是让个人控制其个人信息;最后，“个人控制”理论还会限制个人信息的有效流通，将每个人都变成一座信息孤島，在当前信息社会下必然会提升社会交易成本，阻碍社会经济发展。

二是基于信息流通方式的改变，当前个人人身权益、财产权益所面临的威胁具有复杂性、系统性，个人在管理个人信息时，往往面临卡夫卡式的困境，很难对伴随而来的相关风险进行分析和判断。在这种背景下，即使赋予个人管理个人信息的全面、绝对支配权，仍然不具有操作性。以我国《关于加强网络信息保护的决定》第2条所明确的“收集个人信息应当取得被收集人同意”为例，在制度执行层面，同意原则所承担的责任已经超越了其所能，它并没给人们提供控制自己数据的有实际意义的方式。一方面，适用同意原则特别是权利人做出同意或不同意选择的时间成本（阅读文本的时间）和知识成本（正确理解文本内容的知识储备）太高。另一方面，即使权利人付出了时间成本，权利人做出同意选择的有效性仍然值得怀疑：个人对同意后果的认知能力是有限的，各类同意场景下“理性人假设失灵”现象普遍存在;权利人面对“不同意”就不能获得“免费服务”的即时“惩罚”，往往会忽视个人信息滥用的潜在风险，形成“现实偏见”，进而“知情同意”往往就被虚化为无意识的“点击”与“滑动”操作了。

基于上述原因，《民法总则》第111条针对个人信息仅仅规定“自然人的个人信息受法律保护”，并未将此明确定义为一种可以对抗不特定第三人的个人信息自决权或财产权。学者评价《民法总则》的上述规定是具有智慧的。换言之，鉴于个人信息保护的“权利化”进路遇到窘境，《民法总则》第111条未正面规定如何保护个人信息，因此，将个人信息定位为一种民事权益，并给予侵权法上的保护，成为一种更为可行的个人信息民法保护进路。这两种保护思路的关键区别在于，“权利化”进路赋予个人信息主体对个人信息的控制权，可以事前保护，而“权益化”进路允许个人信息的先获取再赔偿，即只能事后追偿。当然，这种不强调个人信息的事前控制，却重视个人信息的事后保障的“权益化”保护思路，虽然能够最大限度地促进个人信息的流通，符合信息经济发展的大趋势，但同时也可能会给个人信息主体带来潜在的权利被侵害的危险。这种潜在危险能否得到有效控制，进而实现“促进个人信息合理流动”“防范个人信息主体免于利益受到侵犯”的双重价值目标，与个人信息安全保障义务制度是否被合理设计息息相关。这也是提出个人信息安全保障义务的现实意义和价值所在。

二、个人信息安全保障义务的内涵

立足我国的制度实践，个人信息安全保障义务应当从现行法律的实然层面和基于利益判断的应然层面，分别分析该义务的属性、主体和对象。

（一）作为结果义务的个人信息安全保障义务

我国《民法总则》《消费者权益保护法》《网络安全法》《电子商务法》等均提及个人信息安全保障义务，梳理如下（见表1）。

正确理解上述条文表述中的“确保信息安全”，首先需要界分个人信息安全保障义务属于手段义务还是结果义务。手段义务和结果义务的区分缘起于法国债法，后亦扩展应用于侵权法。手段义务是指义务人并无义务实现某种特定而精确的结果，而仅仅负有采取适当手段的勤勉义务。就个人信息安全保障义务而言，如其性质上属于手段义务，义务人只要采取了技术措施和其他必要措施，就尽到了安全保障义务，不再因发生的信息安全事件对权利人造成损失承担责任。结果义务是指义务人负有某种实现确定结果的义务。就个人信息安全保障义务而言，如其性质上属于结果义务，只要发生了危害个人信息安全的事件，造成权利人损害，义务人即需要承担责任。手段义务和结果义务区分的重要标准之一是：在受害人能够发挥积极作用的场合，即当他拥有一定的操作自由，他的积极参与构成整个活动的背景时，不可能承认存在一个结果安全义务，此时的安全保障义务为手段义务。只有当权利人存在一项正当信赖，相信自身不会遭受到任何特别的危险时，才存在一项结果安全义务。

从上述法律及相关理论的梳理中不难看出.我国法律对个人信息安全保障义务的规定非常原则.难以从法律条文的文义上对该义务属于手段义务还是结果义务做出直接判断。从应然角度看，对个人信息安全保障义务属于手段义务还是结果义务的判断，仍属于权益平衡问题，即法律衡平时是偏向受害人的利益保护（风险分担）还是安全保障义务人的行为自由。如果说数据的有效流通是当前信息社会得以有效运作和发展的前提，那么个人信息主体与个人信息收集控制者之间的信任关系的建立，就成为数据有效流通的基础。若不能对个人信息收集、控制者施以严格的安全保障义务，信任关系则难以在个人信息主体与个人信息收集控制者之间建立，进而阻碍数据主体产生、提供数据的积极性。为了促进数据自由流通能够形成良性循环，切实挖掘数据价值，提升数据主体对个人信息安全的信心，对数据控制者施以严格的安全保障义务是恰当和必要的。基于此，在我国民事法律制度中，将个人信息安全保障义务作为结果义务予以定位，应属妥当。但这并不意味着，法律不要求个人信息控制者采取具体明确的技术措施和其他必要措施保障个人信息安全。只是这些要求，应当纳入行政法的规制范畴，怠于履行的应当承担行政责任。将个人信息安全保障义务定位為结果义务的意义在于，个人信息控制者落实了行政法上的安全措施，仍然发生个人信息安全事件造成个人信息主体人身权、财产权损失的，个人信息控制者仍然负有民法上的怠于履行个人信息安全保障义务的赔偿责任。行政法上安全措施的落实，只是个人信息安全保障的最低要求，不能成为免于民事责任的抗辩理由。

（二）作为特别主体的个人信息安全保障义务

《民法总则》与涉及个人信息保护的专门法律所明确的个人信息安全保障义务主体并不相同，相关专门法律将个人信息安全保障义务主体限定在“经营者”或“企事业单位”，而《民法总则》并未强调个人与组织之间的区分，任何组织和个人均可能成为个人信息安全保障的责任主体（见表2）。

但是从社会背景、利益衡平、国外经验等视角分析，个人信息安全保障义务的确定，应当区分经营领域的个人数据收集处理者和日常生活中的一般个体。

一是从个人信息权益发展的社会背景看，个人信息权益保护问题的凸显，主要集中在网络、服务等具有大规模收集个人信息能力的经营领域。生活领域与经营领域的个人信息安全保障义务策略应与相应场景相适应，不宜一刀切。个人信息在自然人之间的流通，完全可以纳入传统隐私权、人格权保护框架。例如，个人信息中所包含的私密信息，是隐私权保护的重要内容。任何未经权利人同意就披露或使用其私密性个人信息的行为即构成隐私侵权。而对于私密信息之外的个人信息，不宜在自然人之间流通时再科以额外的安全保障义务，这是信息作为社会交往的“识别性”媒介的必然要求。

二是从个人信息权利义务主体之间的关系平衡看，赋予信息收集、处理者严格的个人信息安全保障义务，主要是基于其在安全保障能力上相对于信息主体具有绝对优势，由其履行相关义务，更具操作性，更能节约社会整体成本，也符合权利义务相一致原则。比如，经营者从个人信息中直接或间接获取利益理应承担相应社会责任;经营者在安全保障方面具有更加强大的力量，更容易获得相关方面的专业知识和能力;强化安全保障义务有利于建立经营者与信息主体之间的信任关系，推动数据良性流转等。

三是从国外立法例来看，美国个人信息安全保障義务所规制的对象是政府、学校、医院等大型机构及企业的大规模个人信息收集行为。对于普通民事主体收集与处理个人信息的行为相关立法并不适用。德国相关法律针对的对象同美国保持了高度一致，其针对的亦是个人信息的收集者或处理者，而不是日常生活中的一般个体。

综上，传统的隐私权、人格权等权利框架，可以为自然人之间的个人信息流转提供规则，无需强调一般自然人对其获取的个人信息具有特别的安全保障义务。而对经营领域的个人信息收集、处理者，基于利益平衡的理由，赋予严格的个人信息安全保障义务，更有利于保障个人信息主体的相关权益，更利于推动数字经济发展。

（三）作为复合客体的个人信息安全保障义务

最高人民法院《关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》第12条，试图将侵犯个人信息作为独立的侵权类型，构建公开个人信息致人损害即构成侵权的规则。以公开作为侵犯个人信息的加害行为，暗示着将个人信息保护等同于隐私保护。鉴于在我国语境下，个人信息外延远远大于隐私外延，将全部个人信息保护均纳入隐私权保护范畴，乃是回到了个人信息“权利化”进路，如前所述，会面临理论和操作上难以圆通的窘境。故而，个人信息的保护，应区分作为隐私信息的个人信息保护，以及非私密的一般个人信息的保护。对于前者，自然应纳入隐私权保护框架，强调个人对隐私信息的控制，适用公开（扩散）即侵害的规则。对于后者，即非私密的一般个人信息，才属于个人信息安全保障义务所要讨论的个人信息范围。从传统大陆法系国家的立法例来看，欧洲的个人数据保护法区分了个人信息权益和隐私利益，并分别在不同的法律体系下加以规范。但这并不能排除隐私信息成为个人信息安全保障义务所保护的对象。隐私信息作为个人信息的下位概念，当个人信息主体的隐私信息受到侵害，其可以“隐私权”作为请求权基础寻求救济，也可以个人信息控制者违反“个人信息安全保障”作为请求权基础寻求救济。个人信息主体可以综合评判举证责任、证明标准、赔偿范围等因素，选择对自己最有利的权利主张。从这个角度看，个人信息安全保障义务的客体包括“个人隐私信息”和“个人一般信息”。

就个人一般信息而言，个人信息安全保障义务所保护的也不仅仅是“个人信息”本身。对一般个人信息的安全保障，更多的是一种法律上的保护手段，而不是保护的最终目标。虽然个人信息本身具有一定价值，保护个人信息一定程度上是保护个人信息本身的财产价值，但个人信息保护的更重要的目的却是为了预防第三人非法获取个人信息，并利用该信息对信息主体的其他民事权利造成侵害。换言之，个人信息安全保障义务所保护的客体逻辑上应当包括两类：一是个人信息本身，即个人信息本身所具有的财产价值。随着大数据技术的发展，个人数据汇聚成数据库后的价值巨大，大数据分析可以产生额外的新价值，在聚沙成塔的效应下，数据已经成为战略资源。但是，除公众人物外，个人信息对于信息主体的财产价值仍然极小。二是因个人信息泄漏导致受损害的个人财产权、人身权。例如，因出行航班信息泄漏，遭遇诈骗所造成的财产损失，该类损失往往是由第三人的行为直接导致，但从受害人的利益保护（风险分担）的立场，强调个人信息控制者的安全保障义务，是前述价值考量的结果。

三、违反个人信息安全保障义务的侵权责任构成

侵权责任构成在理论和立法例上，一直存在“三要件说”和“四要件说”的争论。争议的焦点在于，是否将“行为违法性”作为侵权责任构成的独立要件。该争论更多的是方法论层面对分析框架利弊的判断，无论采用“三要件说”还是“四要件说”，对违反个人信息安全保障义务的侵权责任构成并不产生影响。因为，如前文所述，个人信息安全保障义务是结果义务而非手段义务，结果义务的定位回答了行为“违法性”的判定标准问题。换言之，只要是在个人信息安全保障义务人所控制的领域，发生了危害个人信息安全的事件，无论个人信息安全保障义务人是否存在“作为”或“不作为”，在不存在法律明文规定的违法行为阻却事由时，“违法性”均能够得以成立。故下文重点讨论违反个人信息安全保障义务侵权构成中的“损害事实”“主观过错”“因果关系”判断等问题。

（一）损害事实——非个人信息本身

从违反安全保障义务主体的具体行为特征分析，违反安全保障义务的侵权行为可以分为三种类型：“设施、设备未尽安全保护义务的侵权行为”“管理、服务未尽安全保障义务的侵权行为”“防范、制止他人侵权行为没有尽到安全保障义务的侵权行为”。个人信息安全保障义务中的“设施、设备安全保障义务”“管理、服务安全保障义务”均是以“个人信息本身”作为安全保障对象。鉴于单个个人信息对于信息主体的财产价值极小，而大量个人数据汇聚成数据库后的价值巨大，法律保护个人信息及其流转秩序的必要性、合理性毋庸置疑，但是采用私法保护路径还是公法保护路径，实在值得讨论。例如，对当前媒体报道的“酒店信息泄漏”“人脸识别信息泄漏”事件，当事人能否基于个人信息的泄漏主张侵权法保护，特别是所遭受损害的价值如何判断，成为权利主张难点，甚至会出现当事人主张权利的预期收益将无法覆盖主张权利的诉讼成本的情况。故将个人信息“设施、设备安全保障义务”“管理、服务安全保障义务”采用民法保护路径难有操作性。而采用行政法、刑法等公法保护路径，则能有效减少信息主体（个人）的维权成本，进而节约社会资源，更加有效地推动形成规范有序的数据流转秩序。

对此，国外司法实践亦有例证。欧盟法院将个人信息理解为保护隐私权益的工具，认为并不存在一种私法上的个人信息权，在私法上，只有行为侵犯了具有人格利益的隐私权益时，才能被判定为侵犯个人信息，相关信息主体才有可能得到私法上的法律救济。

综上，侵权法视角下的个人信息安全保障义务，关注的要点应当是“防范、制止他人侵权行为没有尽到安全保障义务”的侵权行为，即经营领域的个人信息控制者，应当防范、制止第三人非法获取个人信息进而对信息主体的财产权、人身权实施侵害。

（二）主观过错一适用无过错责任

我國《侵权责任法》第6条、第7条明确规定，侵权责任认定适用“推定过错”和“无过错责任”的，必须以法律的明确规定为前提。就个人信息安全保障义务而言，尚无“推定行为人有过错”的相关法律规定，也没有“不论行为人有无过错，均应当承担侵权责任”的法律规定。因此，基于现行法律规定，违反个人信息安全保障义务的侵权责任认定应当坚持“过错责任”，但这显然不符合“个人信息安全保障义务”的制度目标。

从法哲学上看，安全保障义务的确立是以“收益与风险相一致”“危险控制”“节省社会总成本”“企业社会责任”“实质平等”等原理为基础的。其更多体现的是分配正义，所内含的矫正正义的成分较淡。换言之，安全保障义务所确立的更多是风险分担规则，而非仅仅是权利救济规则。这决定了安全保障义务内容界定时，义务主体主观因素情况（即是否存在故意或过失，该故意或过失与损害发生的比例关系）并非主要考量要素。个人信息安全保障义务的设定是为了合理分配个人信息流通过程中的可能的风险，推动建立信息主体与信息收集、处理者之间的信任关系，进而促进信息流通和信息经济发展。基于此，违反个人信息安全保障义务的侵权责任归责原则，逻辑上应当采用“无过错责任”。即：在行为人所控制领域发生个人信息泄漏事件，导致个人信息主体出现损失，无论行为人有无过错，均应当承担侵权责任。为了与《侵权责任法》相衔接，该归责原则应当在纳入全国人大立法规划的《个人信息保护法》中予以明确。

从司法实践中看，在我国当前规范体系下，司法机关对相关案件的判决，虽明确此类案件为一般侵权纠纷应当坚持“过错原则”，但其论证过程中多体现出明显的政策考量、价值判断因素，实质是以“过错责任”的瓶，装了“无过错责任”的酒。例如，庞理鹏与北京趣拿信息技术有限公司等隐私权纠纷一案中，法院对涉诉公司的“过错”认定逻辑如下：大前提是，法律规定了公司的安全保障义务（《消费者权益保护法》第29条第2款），公司违反法律即具有过错;小前提是，本案公司曾被媒体报道过“涉嫌”泄漏其他乘客隐私，公司未针对相关报告采取针对性的措施，加强信息安全保护，因此公司未尽到安全保障义务，违反了法律;结论是，公司具有过错。从判决说理的文义上看，法院似乎将个人信息安全保障义务定位为“手段义务”，而非“结果义务”。但无论是法律规定，还是该案法院判决，均未明确该类安全保障义务的具体安全保障措施是什么。因此，也不可能给当事人指出“安全保障措施”的行为边界。只要当事人出现信息泄漏情况，均可以推论出其安全保障措施不够，进而违反法律。所谓违反法律即具有过错，实质就成为出现信息泄漏即有过错。该判决以“涉嫌泄漏信息”的媒体报道，以及公司未对媒体报道做出技术措施上的回应，推论出“过错”的存在。实则是在“实质正义”与现有规范体系的冲突的背景下，以法律实用主义立场作的“技术处理”，相关说理只是一种修辞、一种装饰、一种“正当化”过程。客观上，判决所坚持的价值选择，仍然是“无过错责任”，判决关于“过错”的说理仅是基于“预先决定”予以的论证。

（三）因果关系——他因介入不构成阻断

违反个人信息安全保障义务的侵权行为，应当归类于“防范、制止他人侵权行为没有尽到安全保障义务的侵权行为”，即一种“故意侵权预防义务”。其所要解决的是“个人信息控制者”“非法获取个人信息，并利用个人信息侵犯个人信息主体权益的行为人即直接侵权人”“个人信息主体”之间的侵权责任分配关系。换言之，个人信息控制者合法获取个人信息后，直接侵权人从个人信息控制者处获取个人信息，进而基于该信息，故意侵犯个人的财产权益、人身权的，此时需要借助个人信息安全保障义务，使得失衡的法律关系重新获得平衡。

在上述法律关系中，直接侵权人与个人信息主体的损失之间具有直接因果关系，而个人信息控制者与个人信息主体的损失之间仅具有间接因果关系。按照传统的侵权法理论，直接侵权人直接原因的介入，能够阻断个人信息控制者与损失之间的因果关系，故个人信息控制者对损失的发生不应承担责任，个人信息主体的损失应当由直接侵权人予以填补。但是，安全保障义务理论和实践的发展，客观上改变了“只有直接造成损害才负赔偿责任”的传统侵权责任法观念，形成了“在社会交往中为他人引致风险，行为人亦应当承担责任”的侵权法规则。安全保障义务所确立的更多是风险分担规则，而非仅仅是权利救济规则。在这一思路下，个人信息安全保障义务是为了平衡个人信息主体与个人信息控制者之间的力量失衡而建立的风险分担规则。从保护个人信息主体权益、建立信任关系、推动信息流通、促进数字经济发展的价值选择看，直接侵权人直接原因的介入，不应成为阻断个人信息控制者与损害发生之间的因果关系的理由。

（四）责任分担——次级顺位和追偿权

明确直接侵权人与安全保障义务人之间的损害赔偿责任分担规则，是确定个人信息安全保障义务人所需承担的最终损害赔偿份额的前提。为此，需要分析个人信息安全保障义务人因未尽到个人信息安全保障义务而承担损害赔偿责任，应当适用“连带责任”“不真正连带责任”“按份责任”还是“补充责任”？从相关责任分担规则所导致的法律后果来分析，违反个人信息安全保障义务的侵权责任应当适用“补充责任”分担规则。即，相关损害赔偿应当首先由直接侵权人承担，直接侵权人赔偿不能或无法查找时，再由个人信息安全保障义务人补充赔偿。换言之，个人信息安全保障义务人应当处于损害赔偿责任的次级顺位，理由如下。

首先，适用“连带责任”或“按份责任”会陷入最终份额分担困境。从个人信息主体的权益保护角度看，由于个人信息安全保障义务人相较于直接侵权人而言，往往更具备赔偿能力，要求个人信息安全保障义务人承担连带责任，能最大限度地保障个人信息权利人获得全额赔偿。但是，依据《侵权责任法》第14条的规定，适用连带责任意味着个人信息安全保障义务人必然需要承担一定的最终责任，进而减轻了直接侵权人的部分赔偿责任，这缺乏合理性。因为，直接侵权人对损害的发生具有全部的原因力，理应承担全部最终责任。举例而言，甲窃取航空公司的旅客出行信息，并对旅客实施诈骗。旅客因信息泄漏而轻信甲，遭受财产损失。后甲被公安机关抓获，退赔了赃款。此时，如果按照连带责任的规则，甲因先行承担了全部赔偿责任（退赔赃款），便可以向个人信息安全保障义务人追偿部分赔偿，实在有悖常理常情。同理，这种分担最终责任份额的困境在按份责任中同样存在。因此，个人信息安全保障义务人在赔偿责任承担上，不宜适用连带责任形态或按份责任形态。

其次，“补充责任”比“不真正连带责任”具有程序优势，能有效节约社会成本。就责任主体而言，承担补充责任或者不真正连带责任，基于追偿权的行使，均可能不承担最终赔偿责任，因此可以解决前述“分担最终责任份额”的困境。补充责任与不真正连带责任的区别主要体现在责任承担的顺序上。适用补充责任，赔偿权利人只能先向直接责任人（即最终责任人）主张权利，在直接责任人不明或无力全部赔偿时，才可以起诉补充责任人。而适用不真正连带责任，受害人可以选择任意法定责任人主张权利。基于上述区别，补充责任的适用能够合理限制赔偿权利人的求偿选择权，避免赔偿权利人先选择非最终责任人进行求偿所带来的不必要的追偿，能够更合理分配程序利益，节约社会和司法成本。

此外，应区分“补充责任”和“相应的补充责任”。相应的补充责任是对补充责任的一种限制，是有限的补充责任。并不是直接责任人不能承担的赔偿责任全部由补充责任人补充承担，而是仅承担与其过错程度以及行为的原因力相适应的责任。个人信息安全保障义务人未尽个人信息安全保障义务承担损害赔偿责任，应当适用“补充责任”而非“相应的补充责任”。一方面，相应的补充责任限缩了个人信息安全保障义务人先行给付赔偿的范围，不利于建立个人信息主体与个人信息安全保障义务人之间的信任关系，进而影响个人信息的流转，不利于信息价值的发挥。另一方面，个人信息安全保障义务人作为具有一定赔偿能力的机构，其可以通过商业保险等方式分散相关风险，适用“补充责任”规则，能够切实保障个人信息主体的权益，切实发挥个人信息安全保障义务的风险分担功能。

综上，个人信息安全保障义务人与直接侵权人应按照以下规则确定赔偿责任的分配：一是直接责任人承担全部最终赔偿责任;二是个人信息安全保障义务人承担补充责任，对直接责任人未偿付部分负有补充赔偿义务;三是个人信息安全保障义务人承担补充责任后，享有对直接侵权人的追偿权;四是个人信息主体应当先行向直接侵權人主张损害赔偿，只有在直接侵权人赔偿不能或无法查找时，才得向个人信息安全保障义务人主张权利。

四、结语

随着大数据、云计算、人工智能等现代科技的发展，获取个人信息的手段越来越丰富、成本越来越低，相关侵权可能性越来越大、侵权后果也更为严重、侵权救济更为困难。在此背景下，法律必须对个人信息保护问题予以回应。在民法视域下，个人信息保护的“权利化”进路遇到窘境，从侵权法角度研究个人信息权益的保护，就显得尤为重要和迫切，个人信息安全保障义务概念的提出就应时而生。

个人信息安全保障义务的性质和内容，涉及权益平衡和价值判断，应当坚持保障个人信息主体权益、平衡当事人行为自由、促进个人信息流通、推动数字经济发展等基本价值立场，进而建构个人信息安全保障义务的具体制度规范。

第一，为了建立个人信息主体与个人信息控制者之间的信任关系，应将个人信息安全保障义务界定为结果义务，发生因个人信息泄漏造成权利人损害的，个人信息控制者即需承担责任。为此，有必要区分行政法上的个人信息安全保障措施与民法上的个人信息安全保障义务。行政法上安全保障措施的落实，只是个人信息安全保障的最低要求，不能成为民事上的抗辩理由。

第二，为了平衡自然人的行为自由，避免干扰正常生活秩序，自然人之间的个人信息流转规则，应当由传统的隐私权、人格权等权利框架予以规制，个人信息安全保障义务的责任主体，应当限定在经营领域的个人信息收集、处理者等个人信息控制者。

第三，个人信息安全保障义务的保障对象具有复合性，个人信息应当区分为隐私信息和一般信息，隐私信息既可以采用“隐私权”保护规范予以保护，也可以纳入个人信息安全保障义务的保护范围予以保护，个人信息主体可以择一主张权利救济。一般信息的安全保障义务对象既包括个人信息本身即个人信息财产价值的保护，又包括第三人非法获取个人信息，进而对信息主体造成的财产权或人身权损害，即以“预防故意侵权”为目的的保护。从社会整体效率角度考虑，前者应纳入行政法、刑法等公法保护范围，后者才是民法上个人信息安全保障义务的保护内容。

第四，在我国司法实践中，受限于《侵权责任法》的规定，虽然有些判决对个人信息安全保障义务的归责原则适用了“过错原则”，但分析其论证过程，本质上却是采用了“无过错原则”。适用“无过错原则”符合个人信息安全保障义务的制度目的。因此，在《个人信息保护法》中明确个人信息安全保障义务的归责原则为“无过错责任”，显得尤为迫切。

第五，个人信息安全保障义务本质上属于“故意侵权预防义务”，所确立的更多是风险分担规则，而非仅仅是权利救济规则。因此，应当明确直接侵权人的介入行为不能阻断个人信息安全保障义务人的不作为与损害发生之间的因果关系，以实现“个人信息控制者”“直接侵权人”“个人信息主体”之间的力量平衡。

第六，个人信息安全保障义务人与直接侵权人在损害赔偿的分担上，应当明确个人信息安全保障义务人承担“补充责任”，强调个人信息安全保障义务人在赔偿顺序上的次级顺位，以及在先行赔偿后向直接侵权人的追偿权利。以避免适用“连带责任”或“按份责任”带来的最终份额分担困境;以避免适用“不真正连带责任”带来的社会成本浪费;以避免适用“相应的补充责任”带来的个人信息主体与个人信息控制者之间信任关系的消蚀。