五、高校侵害学生个人信息的法律责任
在中国,高等院校作为事业单位法人在从事高等教育活动中所形成的法律关系,既包括教育行政法律关系,也包括教育民事法律关系。其中教育法律关系是指作为法律主体的学校和受教育者围绕权力和义务而在日常展开的教育行为中的法律关系。它是根据教育法规而产生的以在教育活动中各方主体之间的教育权利和教育义务为内容的社会关系。包括国家教育管理法律关系、学校管理法律关系和平权型教育法律关系。因此在中国,一直倾向于认为高等院校是双重法律关系的主体性质,既有行政权能又有民事主体的权利义务。因此,个人信息侵权的法律责任既包括民事责任,又包括行政责任,在侵权后果比较严重的情形下,还要承担相应的刑事责任。
(一)民事责任
当学生的个人信息权利受到侵害时,其可以自行直接请求侵权行为人承担民事责任,也可采取向法院提起民事诉讼的方式解决。
1.责任形式
《民法通则》第134条规定了民事责任的十种方式,即:(1)停止损害;(2)排除妨碍;(3)消除危险;(4)返还财产;(5)恢复原状;(6)修理、重做、更换:(7)赔偿损失:(8)支付违约金:(9)消除影响:(10)赔礼道歉。在十种方式中,除支付违约金和修理、重作、更换形式属于典型的合同责任承担形式,以及返还财产、恢复原状方式依其性质不能成为个人信息侵权行为责任承担方式外,其他各种形式均可适用于个人信息侵权行为。即:停止侵害、排除妨碍、消除危险、赔偿损失、消除影响、恢复名誉、赔礼道歉。返还财产、恢复原状这两种侵权责任承担方式之所以不适用于个人信息侵权行为,是因为个人信息侵权行为不以取得或破坏他人财产为目的,而是通过非法收集、处理、使用、转让他人个人信息牟利或达到其他目的,导致了受害人精神的痛苦,人格的贬损以及财产的损失;而且个人信息具有无形性,一旦被非法收集、使用或被泄露,即不再发生返还财产、恢复原状之问题。在具体个人信息侵权民事诉讼中,个人信息侵权民事责任的承担应根据侵权行为的性质、损害结果以及受害人的诉讼请求,使用具体的责任承担方式。
在这里需要注意的是,在理论上,个人信息侵权行为侵犯的客体是信息主体于个人信息上的精神性人格利益,对于个人信息精神性人格利益的侵害可能引起信息主体的财产性利益损失和人身利益的损害。因此,对信息主体遭受损害的补偿,不仅要补偿财产方面的损失,还应补偿其精神方面的损失,对此,各国立法也有明文规定。德国1990年《联邦资料保护法》第7条第2款规定:“在人格受到严重侵犯的情况下,信息主体可以获得适当的对非物质损害的金钱赔偿。”英国1998年《资料保护法》第13条第2款规定:“符合下列条件之一时,如因信息控制者违反本法要求而遭受精神痛苦,个人有权要求信息控制者对其精神痛苦进行赔偿:(a)个人因违法而遭受损害,(b)违反特殊目的的处理个人资料。”我国台湾地区《电脑处理个人资料保护法》第27条第2款规定:“被害人虽非财产上之损害,亦得请求赔偿之相当金额;其名誉权被侵害者,并得请求为回复名誉之适当处分。”
需要特别指出的是,根据大陆法系人格权立法和理论,请求精神抚慰金需要有法律上的明文规定。由于德国与我国台湾地区的立法并不承认信息主体可向非公务机关请求精神损害赔偿,因此,在非公务机关侵权的情形下,信息主体不得主张精神损害赔偿。英国立法虽然没有否定向非公务机关主张精神损害赔偿,然而其请求精神损害赔偿的构成要件却较德国和我国台湾更为严格,其立法规定信息主体仅在几种特殊情形下才能主张精神损害赔偿。
2.责任范围
在责任范围的确定上,存在两种法制。一种以英国为代表,不区分行政侵权和民事侵权,一律实行全额赔偿原则。另一种以德国为代表,德国1990年《联邦资料保护法》对基于行政侵权行为发生的损害赔偿和基于民事侵权行为发生的损害赔偿进行了明确区分,对后者实行全额赔偿原则,对前者则设定了最高限额。德国1990年《联邦资料保护法》第7条第3款规定,“同一个人资料遭受侵害的最高赔偿额为二十五万马克。”我国台湾《电脑处理个人资料保护法》对行政侵权也设定了最高限额。学校作为管理者一方,行使的是公权利,与学生的地位是不平等的,因此,应借鉴国外立法中区分公务机关与非公务机关的规定,设定赔偿最高限额,这样既可以使学生个人信息权利受到侵害时得到相应的赔偿,也可以高校个人信息侵权行为起到一个预防作用。
(二)刑事责任
从国外的个人信息保护法立法与执法的情况看,对违反个人信息保护法的行为追究刑事责任是普遍的做法,否则,对个人信息权利的保护就只会停留在字面上。例如,欧盟95指令第24条规定:各成员国应采取适当的措施以确保该指令的全面实施,特别应该制裁违反根据该指令所采取的规定的行为。2009年2月28日十一届全国人大常委会第七次会议表决通过的《刑法修正案(七)》是我国在个人信息保护立法方面迈出的极其重要的一步,其明确规定:将本单位在履行职责或者提供服务过程中获得的公民个人信息,出售或者非法提供给他人,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金。对单位犯罪的,判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照该款的规定处罚。根据此条规定,如果高校泄露出卖或非法提供学生个人信息的,严重造成了被害人人身危害,财产重大损失等后果的,则可能构成侵犯个人信息罪,依法应当承担相应的刑事责任。但在中国社会科学院法学研究所于2009年3月2日发布的该年度《法治蓝皮书》中指出:“对非法侵犯和泄露个人信息的行为课以刑责,本身不是为了处罚,而是为了保护个人信息”;“刑罚虽然能够在一定程度上威慑潜在的泄露个人信息者,但它本身并不是最佳的救济手段”。因此,对个人信息的保护,其必然要依靠一系列的配套法律法规及相关部门的配合,而作为掌握着学生个人信息的学校,不仅肩负着保护个人信息的任务,而且也应作为宣传教育者,将个人信息保护更好的贯彻执行。
(三)行政责任
我国台湾《电脑处理个人资料保护法》第27条第1项规定:公务机关违反本法规定,致当事人权益受损害者,应负损害赔偿责任。第30条规定:损害赔偿,除依本法规定外,公务机关适用国家赔偿法之规定,非公务机关适用民法之规定。也就是说,在台湾公务机关与非公务机关由于其性质不同,承担的责任也不相同,公务机关要承担国家赔偿责任,而非公务机关仅承担民事责任。我国个人信息保护法专家建议稿也作了类似规定,在行政救济方式上,规定:信息主体认为政府机关的个人信息处理行为违反法律规定,侵犯其合法权益的,应首先向同级人民政府信息资源主管部门申请行政复议;信息主体不服行政复议决定的,可以依法向人民法院提起行政诉讼。对其他个人信息处理者违法处理个人信息的行为,政府信息资源主管部门有权责令限期改正;逾期未改的,或者其行为严重侵犯信息主体合法权益的,政府信息资源主管部门有权没收违法所得、予以罚款或吊销个人信息处理登记证或许可证。
教育是公益事业,高等学校作为教育的主体,为了实现国家法律法规以及教育行政部门赋予的教育职能,需要对其内部的人员、事务、财物等进行组织、安排,学生虽然此时已经成年,但出于管理的需要,也必须进行面面俱到的管理,因此,高校可以在法律、法规的范围内制定自己的校规校纪,对学生进行处分,其行使的管理权也就带有公权力的性质。因此,基于高校的这种准行政主体的性质,对于高校违法收集、处理和利用学生个人信息的行为导致学生遭受损害时,学生可以到政府信息主管部门申诉,也可以到法院起诉,法院应当支持要求学校给予行政赔偿请求。具体的赔偿数额可以参照《国家赔偿法》实行。只有这样,才能使学生的权利得到切实的保障,同时也有利于学校依法治校,尊重保护学生的基本权利。
