个人信息侵权中损害赔偿认定标准研究

引言

在个人信息侵权案件中，受害人主张侵权损害赔偿非常不容易。司法实践中，因原告无法举证证明实际损失而被驳回诉讼请求，并不鲜见。导致这一悖论出现的重要因素之一是损害赔偿标准认定难。虽然理论界和实务界都对个人信息侵权损害赔偿认定作出了新的探索和尝试，但关于个人信息侵权损害认定的相关讨论仍然个人信息侵权损害如何认定、个人信息侵权损害认定标准是什么、金额如何计算等方面难以实现逻辑自洽，在司法实务之认定上也存在分歧，尚未形成具有说服力的统一性规则和普适性裁判路径。

一、个人信息侵权中损害赔偿认定标准不统一

目前，我国在意识到个人信息侵权损害的认定困境后，通过《个人信息保护法》第69 条第 2 款设置过错推定的归责原则减少了受害人的证明责任，但对个人信息无形损害的计量问题却鲜有规定。尽管该条款规定了损害数额计算方法，即以“所受损失—所得利益—按实际情况确定”这一顺序为计算标准，但在司法实践中，因个人损失与个人信息处理者获利均难以确定，多需法官根据实际情况使用自由裁量权确定赔偿数额，个人信息无形损害难以被计量的问题仍悬而未决。

除此之外，个人信息权益的性质亦决定了其损害的不易计量。学界对个人信息权益的性质仍存在理论争议，有部分学者认为其属于民事权益，是民事权益中的人格权益； ① 有部分学者认为，个人信息权益概念包含范围广泛，不是单一权利； ② 还有学者从三个层次去理解个人信息权益的性质，分别是宪法层面、民法层面、行政法层面。 ③ 但无论对个人信息权益的性质作何理解，个人信息权益包含人格权益这一点不存在争议。也正因如此，个人信息侵权所引发的损害更会因为人格权益的存在而更加难以转化为对应的数额。因而，由于法院面临计量难题，出于实用主义考量，司法案例对个人信息侵权的损害赔偿倾向于不予认可或仅做出象征性意义的酌定赔偿。

二、个人信息侵权中损害赔偿标准认定的逻辑正成

（一）认可预防性支出的可赔偿性符合现行法律内在逻辑

所谓预防性支出，便是在信息主体的个人信息已经泄露但未遭受进一步侵权损害时，信息主体为避免自身遭遇损害而主动采取的一系列预防措施所支出的成本。这些预防性措施的成本在个人信息被泄露之前是不需要支出的，在泄露发生之后则成为必要，对于信息主体来说利益差额较为明显。针对这一问题，在市场上有专门的提供风险监控和管理的商业服务如保险、信用状况监督等等，购买这些服务需要花费金钱。此外，信息主体采取更换银行卡或者服务商等预防性措施也可能会产生变动成本，如定期存款的利息损失、利率变化带来的损失。这些风险预防性支出本质上是财产损失，数额易于计算。现行法律体系并不缺乏认可预防性支出思想基础，认可合理的个人信息侵权预防性支出的可赔偿性，符合现行法律体系内在逻辑。当然，对于预防性支出的认可应当限于合理范围内，具体应结合个案情景予以判断。换言之，关于预防性支出只要没有超出合理的范围，侵权人理应承担赔偿责任。

（二）认可预防性支出可赔偿性需以比例原则为限制

认可信息主体的预防性支出符合现行法律内在逻辑，具有一定的合理性，但也不能一味的肯定，否则易造成信息主体故意“制造”风险或信息主体基于“被害妄想”而请求支付损害赔偿的情形。故此应对该种赔偿施加限制。在考量过程中，是否符合比例原则应以以下几点为标准：第一，必要性。信息泄露后只有该信息确实会损害到信息主体的权益时才能予以预防，此处的损害不要求明确发生，但确会对其合法权益造成威胁。第二，适当性。是指信息主体采取的预防措施应当适当，不能超出保护其合法权益的范围。过于宽泛的个人信息权益侵权损害赔偿范围将导致个人信息处理者动辄承担损害赔偿责任，造成不合理的经济负担。第三，最小“损害”方式。此处的损害不同于普通损害的概念，是指信息主体在采取预防未来风险的措施时，应采用既可以防止自身权益受损又能对侵权人最有利的措施，避免信息主体在损害中获益。

三、个人信息侵权中损害认定标准的优化

（一）补充法定赔偿数额标准与赔偿总数限额标准

就个人信息保护领域关于法定赔偿数额的问题最终未出现在《个人信息保护法》的正式文本中。但对设置法定赔偿数额的积极意义及其具体做法欠缺足够重视。本文认为，其一，在权益保护和行动自由的价值取舍中，设置每人每事件的个案赔偿限额标准系抑制法官自由裁量恣意的有益举措，比较法上不少立法例均在个人信息侵害领域确立了法定赔偿规则，如我国台湾地区的“个人资料保护法”第 28 条第 2 款规定按每人每事件新台币 500 元以上 2 万元以下计算。其二，法定个案限额标准并非限制法官自由裁量的唯一方法，因为这种限制并不仅限于划出每人每事件的赔偿数额范围，还可以设定赔偿总额的限额。

由此观之，若未来最高人民法院在出台《个人信息保护法》的司法解释时，完全可以参照既有司法解释的做法，并在充分调研论证的基础上，为个人信息侵权精神损害赔偿数额的总量划定上限，该做法并不会违反法秩序的一致性。

（二）优化法院酌定赔偿规则的具体考量因素

本文建议，在司法实践中，可从如下四方面来具体地确定赔偿数额。

第一，侵权人的身份。虽然法院酌定数额规则可同时适用于侵害个人信息时精神损害赔偿的两种情形，但对个人信息处理者侵权和非个人信息处理者侵权应作不同处理。与非个人信息处理者、个人信息主体等相比，个人信息处理者处理、收集信息能力在事实上更为强大，与信息主体之间存在巨大差别，故其对于损害后果的发生应具有更高程度的可预见性与防范能力，因此个人信息处理者赔偿金额应当更高。

第二，侵权行为的具体情节，包括该行为的目的、方式、场合，以及被侵害的个人信息之类型、数量等。例如，敏感个人信息直接关系到自然人人格尊严和其人身、财产安全等重大权益，而非敏感个人信息与这些权益的关联程度则较低。故在侵害敏感信息时，侵权人应当赔偿更多金额，以此彰显对于敏感个人信息的特别保护。

第三，损害后果的波及范围与持续时间。所谓波及范围的考量，应体现在因侵权行为使得个人信息被不特定的多数人所知悉的情形，应比只为特定的多数人知悉的情形赔偿更多金额。又如，侵权行为所造成的损害后果持续时间更长者，应对被侵权人赔偿更多金额。

第四，侵权人的主观状态。虽然侵害个人信息权益的精神损害赔偿责任之成立并不区分侵权人在主观上系属故意或者过失，但主观状态的不同可以影响侵权人赔偿数额的多少，故意侵权者应较过失侵权者赔偿更多金额。例如，以未取得个人同意而收集个人信息等作为方式侵权的情形，应比以未尽到安保义务而导致个人信息泄露、被他人窃取等不作为方式侵权的情形赔偿更多金额。

结语

在个人信息侵权损害认定标准不统一的难题中，需对认定的相关理论做出反思和检视，以选择有效的理论作为认定基础。同时，需对损害赔偿认定进行正当性证成，最终确定统一的损害赔偿认定标准，这样能为理论研究和司法实践认定提供统一的标准，杜绝学者们的争议以及司法判案不一致的现象。

参考文献

[1] 程啸：《个人信息保护法理解与适用》，中国法制出版社 2021 年版。

[2] 王苑：《私法视域下的个人信息权益论》，载《法治研究》2022 年第 5期。

[3] 杨合庆：《中华人民共和国个人信息保护法释义》，法律出版社 2022年版。

[4] 王锡锌：《个人信息权益的三层构造及保护机制》，载《现代法学》2021 年第 5 期。注① 王苑：《私法视域下的个人信息权益论》，载《法治研究》2022 年第 5期。② 杨合庆：《中华人民共和国个人信息保护法释义》，法律出版社 2022年版，第 112-113 页。③ 王锡锌：《个人信息权益的三层构造及保护机制》，载《现代法学》2021 年第 5 期。