如何判定个人信息处理者对他人个人信息处理具有过错，构成侵权？

  根据《个人信息保护法》第一条确立的立法目的，可知《个人信息保护法》意在平衡保护个人信息权益和促进个人信息合理利用，既要求强化对个人信息吗处理活动中的个体救济，更突出对个人信息处理者处理行为的规制和公共治理，在司法上既要切实保障个案中个体的个人信息权益，抓后端，治已病，也要督促、激励个人信息处理者规范、合规处理个人信息，抓前端，治未病。在具体过错责任的认定标准方面，首先要考虑个人信息处理者个案中是否存在违法、违规处理行为，再行考虑个人信息处理者采取的合规保护措施，以及是否尽到了合理的与个案具体相关的安全保障义务。故个人信息处理者在个人信息处理活动中是否具有过错，应从其是否违反“行为规制”，即违反侵害个人信息权益的消极义务，以及是否尽到应尽的安全保障义务，两个方面进行判定。个人信息处理者应尽的安全保障义务，在性质上属于危险防免义务，义务人应当积极采取适当与合理的措施对个人信息处理活动中的危险予以控制或尽可能地降低危险发生的可能性，具体可分为以下两个层次：

  在宏观层面，个人信息处理者应采取与案涉处理行为相关联的个人信息保护必要合规措施，尽到保障其处理的个人信息安全的一般性保护义务，着重对整体风险进行防控。个人信息处理者尽到了与案涉处理行为相关联的关于个人信息处理者保护个人信息安全的义务的法律规范和关于个人信息保护影响评估义务的法律规范等法律保护性规范要求，例如，事前在宏观上是否尽到了《个人信息保护法》第五十一条与案涉处理行为相关联的个人信息处理者合规保障义务、保护影响评估情况，是否具有数据信息安全的等保证书、ISO安全认证等等，事中、事后是否尽到了个人信息安全事件补救和通知义务等等。

  在微观层面，个人信息处理者个案中应尽到与具体处理行为直接相关的必要、可行、合理的安全技术措施和其他措施，包括在必要、合理、可能的范围内防范其处理的个人信息免受第三人滥用致害的具体安全保障措施等。必要，是指对于控制风险必须要做到的措施；可行，是指安保措施对于场景、技术、经济上是可期待的；合理，是指风险概率和安保措施的合比例性。换而言之，个人信息处理者已经尽到了与其专业能力相匹配的合理谨慎的人在特定情形下（与具体信息处理行为直接相关联的）所应尽到的安全保障注意义务。因为，《个人信息保护法》第五章及其关于个人信息处理者保护个人信息安全的义务的法律规范和关于个人信息保护影响评估义务的法律规范等法律保护性规范，这些规范注重从宏观层面上对个人信息处理提出较客观、统一和易实施的保护性要求，在很大程度上只是对个人信息处理者的注意义务和注意程度的基本要求。所以，个人信息处理者在具体的处理活动中，针对具体的场景、处理行为还需要尽到合理谨慎的人在特定情形下所应尽到的注意义务，采取了必要的技术措施和其他措施。

  同时，个人信息处理者侵权责任适用过错推定原则。所谓个人信息处理者过错推定原则是指，个人信息处理行为侵害个人信息权益造成个人损害的，推定个人信息处理者具有过错，应当承担侵权责任，除非个人信息处理者能够举证证明自己没有过错，方可不承担责任。对于个人信息处理者过错推定原则的内涵亦应进一步明确：

  1）从过错推定原则的适用范围上看，只有《个人信息保护法》第六十九条第一款确定的个人信息处理者侵权责任方可适用过错推定原则，当行为人不属于个人信息处理者或者不适用《个人信息保护法》的情形时，不应适用过错推定原则。

  2） 从过错推定原则的法律效果上看，过错推定原则表明法律推定个人信息处理者具有过错，个人无需举证证明个人信息处理者存在过错，应由个人信息处理者举证证明其不具有过错，个人信息处理者不能举证证明其没有过错，或其举证仅能达到有无过错这一事实的真相不明状态时，仍应由个人信息处理者承担不利后果即败诉的风险。

  具体可从以下方面进行认定考量：

  1、对信息处理者侵权责任中的过错应采客观过错标准。

  所谓客观过失标准是指认定过失标准的客观化，即在认定是否具有过失时不再探究特定行为人主观心理状态，而是统一基于社会生活共同需要提出某种的客观标准即“合理的人”或“善良管理人”的标准，将合理的人放在与行为人相同的情形之下，判断这个合理的人对于损害的发生是否可以预见、是否可以避免。

  2、在具体的步骤和标准上，个人信息处理者要证明其信息处理行为无过错：

  首先，需要举证证明个人信息处理者没有违反个人信息处理规则的法律规范，主要包括《个性信息保护法》第二章中的相关处理规则，即个人信息处理者处理个人信息因具有合法性基础，没有违反侵害个人信息权益的消极义务。若个人信息处理者不具有合法性基础，就对他人个人信息进行处理，当然属于侵害个人信息权益的非法处理行为，具有违法性，应认定具有过错。

  其次，需要举证证明个人信息处理者已在宏观、微观两个层面均尽到了相应的安全保障义务，若个人信息处理者不能证明其已尽到了与特定处理活动相关的安全保障义务，则应认定其具有过错。