個人信息侵權責任的規范構造*

李昊

在2021年8月20日通過的《個人信息保護法》中，個人信息侵權責任的請求權基礎體現為第69條第1款，與之配套的還有第20條第2款規定的個人信息共同處理者的連帶責任（但限于法律規定的情形，屬于引致性條款）和第70條規定的大規模個人信息侵權的群體訴訟規范。其他章節的條文或者涉及個人信息處理者的義務或者涉及個人信息權益的內容，關聯著第69條第1款規定的責任構成中的侵權行為樣態、過錯的判斷、抗辯事由（如告知同意）和救濟方式（更正、刪除等），形成請求權基礎的規范體系。

與2020年10月的“一審稿”和2021年4月的“二審稿”相比，《個人信息保護法》第69條第1款在表述方式上銜接了《民法典·侵權責任編》第1165條第1款，區分了“侵害個人信息權益”和“造成損害”，并延續“二審稿”第68條第1款的規定，明確采用了過錯推定責任。第69條第2款除刪去了當事人協商的表述外，基本延續了《民法典·侵權責任編》第1182條的規范內容，將個人信息權益享有者遭受的損失和個人信息處理者的獲益并列作為損害賠償數額計算的選擇項，并在賠償數額難以確定的情形，賦予法院最終的裁量權。

除了關聯《民法典·侵權責任編》關于侵權責任的一般規定外，《個人信息保護法》在個人信息侵權責任上還與《民法典·總則編》《民法典·人格權編》中的個人信息責任規范有著密切關聯。特別是《個人信息保護法》第13條涵括了《民法典·人格權編》第1035條規定的個人信息侵權的抗辯事由并進行了擴充，第44-47條細化了《民法典·人格權編》第1037條規定的個人信息權益的內容，第49條則呼應《民法典·人格權編》第994條關于死者人格利益保護的規定。

雖然在個人信息侵權責任規范上，《個人信息保護法》較之《民法典》更趨完善，但圍繞個人信息的權益屬性，其侵權責任構成仍存在著需要進一步明確的問題：（1）《個人信息保護法》保護的個人信息權益是公權益，還是私權益？區分個人信息權利和個人信息利益對其侵權責任構成是否有影響？（2）個人信息權益和其他民事權益在侵權責任上如何界分？（3）個人信息權益侵害和損害是否應當區分？各自的規范內容是什么？這些問題既涉及《個人信息保護法》和《民法典》中的個人信息侵權責任規定之間的關系，也涉及《個人信息保護法》個人信息侵權責任的規范構成，本文將圍繞上述問題對個人信息侵權責任的規范構造展開分析。

一、個人信息侵權責任保護的法益——個人信息的民法屬性

（一）基于《民法典》編纂的理論爭議

《民法典》第111條延續了《民法總則》第111條的規定，同時又在人格權編第6章（隱私權與個人信息保護）對個人信息保護作了更為具體的規定，但始終沒有明確受保護的是自然人的個人信息權利，還是自然人的個人信息利益。這種立法表述上的模糊，不僅引發了民法學者關于個人信息法律屬性的討論，還引發了公法學者與民法學者之間的爭議，但這種爭議是否影響在民法范圍內構建個人信息侵權責任的規范體系，值得討論。

學界關于個人信息侵權的保護對象的討論，主要存在民事權利說、民事利益說和公法權利說三種不同的觀點。但這三種觀點之間的分歧并非絕對的不可調和，而是存在一定的共識，并且這種學理共識也已經被最新通過的《個人信息保護法》所接納。

民事權利說認為，自然人對個人信息享有個人信息權，其屬于一種新型的具體人格權。其主要理由在于：（1）隱私信息與個人信息之間存在諸多差別，無法將對個人信息的保護附屬于隱私權之下；①參見王利明：《論個人信息權在人格權法中的地位》，《蘇州大學學報（哲學社會科學版）》2012年第6期，第68頁；王利明：《論個人信息權的法律保護——以個人信息權與隱私權的界分為中心》，《現代法學》2013年第4期，第62頁。（2）既有的人格權保護范圍也無法涵蓋對個人信息的保護；②參見王成：《個人信息民法保護的模式選擇》，《中國社會科學》2019年第6期，第137頁。（3）在比較法上也沒有對個人信息進行法益保護的先例。③參見楊立新：《個人信息：法益抑或民事權利——對〈民法總則〉第111條規定的“個人信息”之解讀》，《法學論壇》2018年第1期，第39—40頁。故應當對個人信息采取權利模式的保護，承認自然人對個人信息享有個人信息權。民事權利說對民事利益說的批判在于：“合法利益”的范圍和內容本身非常模糊，而我國既有法律體系也沒有為“合法利益”提供配套的獨立責任規范。①參見王成：《個人信息民法保護的模式選擇》，第137—139頁。在司法實踐中，受害人常常會因為無法舉證“損害事實”這一侵權責任的構成要件而導致維權不能。②參見楊立新：《私法保護個人信息存在的問題及對策》，《社會科學戰線》2021年第1期，第198—199頁。

民事利益說對民事權利說的觀點持否定態度，該觀點認為自然人對個人信息并非享有民事權利，而只是享有民事利益。理由主要有：（1）個人信息的內涵及外延并不明確，無法達到權利客體所應具有的具體特定要求，而且與其他人格權客體存在交叉重合。③參見鄭曉劍：《個人信息的民法定位及保護模式》，《法學》2021年第3期，第120—121頁。（2）個人信息權益具有場景性特征，即個人信息權益并不是絕對的，其還應當受到社會利益及公共利益的限制，個人信息規范應當視具體的場景而定，故不宜設置絕對權性質的個人信息權。④參見金耀：《個人信息私法規制路徑的反思與轉進》，《華東政法大學學報》2020年第5期，第85—86頁。（3）《民法典》第111條雖被規定在總則編第五章“民事權利”中，但并未將個人信息明確規定為個人信息權，而該條在具體人格權的規定（第110條）之后，身份權、財產權（第112條以下）之前，更傾向于是將其作為人格利益進行保護。⑤參見程嘯：《民法典編纂視野下的個人信息保護》，《中國法學》2019年第4期，第26頁。

公法權利說則認為，個人信息受保護的權利并非一項私法上的權利，而是一項公法權利。周漢華教授認為，不同于人格權這一傳統的民事權利，個人信息權則是完全獨立的一項新型公法權利，后者的保護客體及義務主體應分別是數據處理活動中涉及的個人信息和數據控制者，而非按照傳統隱私權觀念將保護客體及義務主體泛化為全部個人信息及任何組織和個人，個人信息究竟是權利還是權益的爭議正是由此導致。⑥參見周漢華：《個人信息保護的法律定位》，《法商研究》2020年第3期，第50—51頁。王錫鋅教授進一步認為，應以“個人信息受保護權——國家保護義務”框架建構個人信息的權力保護模式，⑦參見王錫鋅：《個人信息國家保護義務及展開》，《中國法學》2021年第1期，第149頁。而《民法典》確立的個人信息受保護權，只是憲法上的個人信息受保護權在具體法律中的表述。⑧參見王錫鋅：《個人信息國家保護義務及展開》，第149頁；王錫鋅、彭錞：《個人信息保護法律體系的憲法基礎》，《清華法學》2021年第3期，第11頁。

（二）理論爭議中的共識

民事權利說與民事利益說的觀點分歧只是存在于民法范疇內，而公法權利說則是站在公法的立場上，認為個人信息的法律屬性并非是一項民事權利或民事利益。公法權利說的擔憂在于，如果承認自然人對個人信息享有的是一項民事權利，便意味著個人信息成為絕對、排他、對世的權利對象，個人信息的流通價值會因此被抹殺，而且對個人信息的私權保護無法對抗公權力，也無法導出對個人信息來自多部門法的多重保護。⑨參見王錫鋅、彭錞：《個人信息保護法律體系的憲法基礎》，第9—10頁。盡管民事利益說也不認同自然人對個人信息享有絕對、排他、對世的民事權利，但公法權利說對民事權利說的其他批評也同樣適用于民事利益說。不過，公法權利說的上述批評值得討論。

首先，即使是持民事權利說的學者，也并未認可自然人對個人信息的絕對控制，也在強調自然人對個人信息享有的權利是受到限制的，其對個人信息的支配主要表現為對信息的使用，而權利的排他性也只有當外界的介入損害到主體尊嚴時才會發揮作用，并不會對信息的流通造成不利影響。①參見王利明：《論個人信息權的法律保護——以個人信息權與隱私權的界分為中心》，第66頁；葉名怡：《個人信息的侵權法保護》，《法學研究》2018年第4期，第85頁。其次，持民事權利說的學者也并未否認其他部門法介入對個人信息的保護，反而也在提倡民法與各部門法之間對個人信息的協同保護。②王利明：《論個人信息權的法律保護——以個人信息權與隱私權的界分為中心》，第71頁。同時，值得注意的是，持公法權利說的學者所欲表達的只是自然人在民法領域內對個人信息享有的民事權利或民事利益源自更高層次的憲法上的權利，而未對民法中的個人信息保護持否定態度。③參見王錫鋅、彭錞：《個人信息保護法律體系的憲法基礎》，第11頁。既然公法權利說認可民法對個人信息的保護，必然要承認自然人對個人信息享有民事權利或民事利益，因為只有民事權利或民事利益才會受到民法的保護。因此，公法權利說與民事權利說或民事利益說對于個人信息應受到民法保護這點，是存在共識的。

在民事權利說與民事利益說的內部爭議中，二者對于個人信息應受民法保護更是沒有爭議，只不過是應通過民事權利還是應通過民事利益進行保護的問題。對于個人信息的民法保護，當下采取民事權益說的觀點或許更容易為各方所接受。具體而言，《民法典》第126條規定“民事主體享有法律規定的其他民事權利和利益”，這是關于民事主體享有的民事權益的兜底性規定。④參見黃薇主編：《中華人民共和國民法典總則編解讀》，北京：中國法制出版社，2020年，第403頁。因此，在民法語境下，“權益”一詞既可能指民事權利，也可能指民事利益。民事權益說正是在此基礎上展開，其無意于糾結個人信息究竟是作為民事權利保護，還是作為民事利益保護，而更關注如何對個人信息進行具體保護。雖然對于個人信息的性質究屬權利抑或利益仍有爭論，但是都不妨礙法律將其確定為自然人的人身非財產性質的人格權（權益），⑤參見張新寶：《〈民法總則〉個人信息保護條文研究》，《中外法學》2019年第1期，第74頁。該權益的具體名稱如何對于自然人并不重要，重要的是對于其內容和保護方式加以明確。⑥參見程嘯：《我國〈民法典〉個人信息保護制度的創新與發展》，《財經法學》2020年第4期，第35頁。

因此，無論是公法權利說，還是民事權利說或民事利益說，達成的共識是：自然人對個人信息是享有民事權益的，并且這種民事權益應受到民法的保護。

（三）《個人信息保護法》的立場

《個人信息保護法》無疑尊重并體現了上述共識。該法中共有15個條文出現“權益”一詞，尤其是第69條第1款表明，如果個人信息處理者處理個人信息侵害個人信息權益造成損害，應根據過錯推定原則承擔侵權責任。這便意味著《個人信息保護法》中的“權益”至少是包含民事權益的，而第69條有關侵權責任承擔的規定更進一步明確了這種民事權益是如何受到民法保護的。

其實，即使將該“權益”理解為利益，也不意味著對其保護力度不強。正如有學者所言，盡管某種利益并沒有上升到運用權利工具進行保護的程度，但只要有法律明確規定應該予以保護，其在責任構成要件上與對權利的保護就不存在本質的區別。⑦參見方新軍：《權益區分保護的合理性證明——〈侵權責任法〉第6條第一款的解釋論前提》，《清華法學》2013年第1期，第156頁。在《民法典》等法律已經規定自然人的個人信息應受法律保護，并且《個人信息保護法》第69條第1款又明確了個人信息侵權責任的構成要件的情況下，更是如此，無論是將“權益”理解為民事權利，還是理解為民事利益，二者在侵權責任的構成要件上并無不同。就此而言，《個人信息保護法》的做法無疑是非常務實的，值得肯定。

不過，相較于生命權、身體權和健康權等物質性人格權，個人信息權益作為一項非物質性人格權益，更容易與其他權益產生沖突，是否對其進行保護，需要綜合考慮各種因素進行權衡。為此，《民法典》第998條引入了動態體系論的觀點，對于侵害非物質性人格權是否應承擔民事責任，應綜合考慮行為人和受害人的職業、影響范圍、過錯程度，以及行為的目的、方式、后果等因素。①參見王利明：《民法典人格權編中動態系統論的采納與運用》，《法學家》2020年第4期，第5頁。②參見朱曉峰：《人格權侵害民事責任認定條款適用論》，《中國法學》2021年第4期，第62頁。有觀點認為，《民法典》第998條作為不完全法條，其并非獨立的請求權基礎，而是在《民法典》第1165條第1款的框架內作為輔助性規范發揮作用。②該觀點過于片面。《民法典》第1165條第2款規定的過錯推定責任也是在第1款規定的過錯責任的基礎上展開的，第998條同樣可以在過錯推定責任的框架內發揮輔助性規范的作用。《個人信息保護法》第69條第1款已明確個人信息侵權適用過錯推定責任，其實際上是《民法典》第1165條第2款在個人信息保護領域中的具體體現，《民法典》第998條當然可以在《個人信息保護法》第69條第1款的框架內發揮輔助性規范的作用。不過，由于《個人信息保護法》第69條第1款為了強化對個人信息權益的保護而采取了過錯推定責任，在判斷侵害個人信息權益是否應承擔侵權責任時，無需特別考慮過錯因素。此外，由于個人信息的私密性程度與是否更容易遭受侵害呈正相關的關系，③參見張建文、時誠：《個人信息的新型侵權形態及其救濟》，《法學雜志》2021年第4期，第43頁。需要將個人信息的私密程度同剩余的其他幾項因素一并作為個人信息權益是否遭受侵害的考慮因素。

二、個人信息侵權責任規范的體系關聯

（一）個人信息侵權責任規范的獨立性

《個人信息保護法》中確立的個人信息侵權責任規范的目的顯然是為了保護個人信息權益。從《民法典》中的條文規定來看，第110條和第990條第1款對具體人格權的類型進行了列舉，第109條和第990條第2款則是對一般人格權的規定，屬于前兩項規定的兜底性條款。但第109條和第990條第2款中并未列舉個人信息，個人信息保護是由第111條和人格權編第六章“隱私權和個人信息保護”來專門規定的，這似乎意味著自然人享有的個人信息權益既非具體人格權，也無須通過一般人格權來加以保護，自然人享有的個人信息權益體現為介于一般人格權與具體人格權之間的一項人格權益，其自身存在著不同于一般人格權和具體人格權的獨特法律價值，應當單獨受到法律保護。

有觀點認為，個人信息權益是一項受保護的防御性權益，可為自然人既有的人格權和財產權樹立起保護屏障。④參見程嘯：《民法典編纂視野下的個人信息保護》，第37頁；程嘯：《論大數據時代的個人數據權利》，《中國社會科學》2018年第3期，第116頁；楊芳：《個人信息自決權理論及其檢討——兼論個人信息保護法之保護客體》，《比較法研究》2015年第6期，第22頁。此時，個人信息侵權責任規范可被理解為一種前置性保護規范，有效防范因個人信息被非法利用而可能產生的抽象危險以及這種抽象危險可能現實化后的人格或財產受損。⑤參見楊芳：《個人信息保護法保護客體之辨——兼論個人信息保護法和民法適用上之關系》，《比較法研究》2017年第5期，第81頁。因此，個人信息權益應單獨受到法律保護。但另有觀點對此表示質疑稱，既然個人信息權益的法律價值僅僅止于此，為何不直接以這些人身、財產權利尋求防御性救濟，反而舍近求遠尋求個人信息的法律保護？①參見陸青：《數字時代的身份構建及其法律保障：以個人信息保護為中心的思考》，《法學研究》2021年第5期，第7頁。該質疑確屬有力。無可否認的是，法律強調對個人信息自主控制的保護，確實可以有效避免自然人既有的人格權和財產權遭受侵害，但這只是法律保護個人信息自主控制的溢出效應，而并非個人信息權益應受保護的核心理由。實際上，個人信息權益在價值上的獨立性，首先體現在法律對個人信息自主控制的認可。在信息化時代，自然人的個人信息面臨著被過度搜集的威脅，這種過度搜集已經遠遠超過正常社會交往的必要限度，打破了個人信息自主控制與個人信息流動之間的平衡。因此，為維系這種平衡，除非存在法定事由，未經自然人同意，不得隨意搜集自然人的個人信息，自然人對個人信息能否被搜集、能夠在多大限度內被搜集以及能夠在多大限度內被使用都享有自主決定的權利。有學者將之進一步總結為法律對個人信息的自主價值和使用價值的保護，前者的主要內容是通過對個人信息的自主使用實現人格自由發展，后者則是指個人信息以通過在社會交往過程中公開并流轉的方式為本人帶來各種利益。②參見謝遠揚：《個人信息的私法保護》，北京：中國法制出版社，2016年，第43—46頁。還有學者認為，保護個人信息的目的在于使個人身份在自主性、完整性層面得到正確的定位。③參見陸青：《數字時代的身份構建及其法律保障：以個人信息保護為中心的思考》，第14頁。但這種觀點顯然是僅注意到了個人信息的自主價值，而忽略了個人信息的使用價值。

（二）個人信息侵權責任規范的關聯性

如上文所述，個人信息權益有著與既有人格權不同的獨立價值，這便意味著各自的侵權責任規范應當相互獨立，但個人信息的內容十分豐富，包含私密信息、肖像信息、姓名信息等內容，而這些個人信息內容同時也屬于隱私權、肖像權、姓名權等具體人格權的保護對象，因此《個人信息保護法》中的個人信息侵權不可避免會和《民法典》規定的具體人格權侵權發生保護上的競合問題。

關于對私密信息可能產生的重疊保護的處理，《民法典》第1034條第3款規定：“個人信息中的私密信息，適用有關隱私權的規定；沒有規定的，適用有關個人信息保護的規定。”立法機關釋義書及權威學者均認為，之所以如此規定，是因為法律對權利的保護程度要高于權益，對私密信息優先用隱私權的保護方式進行保護，可以實現更高程度的保護。④參見黃薇主編：《中華人民共和國民法典人格權編解讀》，北京：中國法制出版社，2020年，第212頁；王利明：《和而不同：隱私權與個人信息的規則界分和適用》，《法學評論》2021年第2期，第19頁。但結合《個人信息保護法》第69條的規定來看，這種解釋理由現在就有待商榷了。根據第69條第1款的規定，私密信息遭受侵害并產生損害時，信息主體向個人信息處理者主張損害賠償責任，適用的是過錯責任推定原則，信息主體無須證明個人信息處理者存在過錯。但如果是采取隱私權的保護方式，隱私權作為一項具體權利，在其遭受侵害并產生損害時，適用的是《民法典》第1165條第1款規定的過錯責任原則，信息主體主張損害賠償責任時仍需證明個人信息處理者存在過錯。相比之下，對私密信息采取個人信息保護的方式其實力度更強，更有利于信息主體向個人信息處理者主張侵權責任。

盡管《個人信息保護法》第69條的規定對私密信息保護更具優勢，但鑒于《民法典》第1034條第3款已明確隱私權規則的優先適用，當私密信息遭受個人信息處理者的侵害時，也只能進一步援引《民法典》第1165條第1款規定的過錯責任進行保護。不過，為最大程度上化解這種立法上的明顯沖突，可寄希望于在實踐中盡量降低信息主體對過錯要件的證明標準。例如，在《民法典》及《個人信息保護法》出臺前的龐理鵬訴中國東方航空股份有限公司、北京趣拿信息技術有限公司隱私權糾紛案中，原告僅被要求對過錯要件承擔較低的證明標準。①參見北京市第一中級人民法院（2017）京01民終509號民事判決書。

而對于肖像、姓名等個人信息的保護，便并不會出現上述解釋上的困境。當含有肖像、姓名等內容的個人信息遭受侵害并產生損害時，信息主體享有兩種請求權，既可基于《個人信息保護法》第69條第1款的規定向個人信息處理者主張損害賠償責任，也可基于《民法典》第1165條第1款的規定向個人信息處理者主張損害賠償責任。二者構成請求權的競合，權利人可以擇一主張。但如果在信息主體無法證明個人信息處理者的過錯的情況下，僅可以依據《個人信息保護法》第69條的規定向個人信息處理者主張個人信息侵權的損害賠償責任。

三、個人信息權益的侵害樣態

有觀點認為，關于個人信息權益遭受的侵害，應劃分為信息安全遭受的侵害與信息權利遭受的侵害，前者可能引發下游的人身或財產權益遭受侵害，而后者則會導致個人信息失去控制或違背自決意愿。②參見商希雪：《侵害公民個人信息民事歸責路徑的類型化分析——以信息安全與信息權利的“二分法”規范體系為視角》，《法學論壇》2021年第4期，第100頁。該觀點顯然擴大了個人信息權益的內涵，盡管對于個人信息權益進行保護可對既有的人身或財產權益避免遭受侵害有所助益，但這只是法律對個人信息權益的自主控制進行保護的溢出效應，而并非意味著信息安全本身屬于個人信息權益的規范內容。如上文所述，個人信息權益的規范內容體現在自主價值和使用價值兩個方面，在個人信息的收集、存儲、使用、加工、傳輸、提供、公開、刪除等個人信息處理活動中，非法的個人信息處理行為對個人信息權益的侵害本質上應是對其自主價值和使用價值的侵害。

《民法典》及《個人信息保護法》基于對個人信息自主控制的保護，確立了知情同意原則，即個人信息處理者進行個人信息處理原則上應令個人知情并征得其同意。正因如此，《個人信息保護法》在第四章“個人在個人信息處理活動中的權利”中首先規定的便是個人的知情權、決定權（第44條），此兩項權利是該章規定的其他權利的前提和基礎。換言之，第45條第1款規定的查閱權與復制權、第48條規定的要求解釋和說明權、第45條第3款規定的可攜帶權、第46條規定的更正權與補充權、第47條規定的刪除權都是知情權、決定權的延伸。此外，通過《民法典》第993條還可以解釋出許可他人使用個人信息的權利，同樣也是知情權、決定權的延伸。上述個人在個人信息處理活動中的權利，又可以區分為原權利和救濟權，前者包括知情權、決定權、查詢權、復制權、要求解釋和說明權、可攜帶權，而后者則包括更正權、補充權和刪除權，后者是在前者遭受侵害時賦予權利主體的救濟性權利，其本身不再發生再次被侵害的問題。

原權利遭受侵害的樣態在實踐中主要體現為如下幾種類型：

第一，未經個人同意擅自收集個人信息。個人信息的收集為個人信息處理活動的首要環節，其后的各種信息處理活動都以此為開端。從國家互聯網信息辦公室對公眾常用的部分App的個人信息收集使用情況進行的檢測來看，大量的互聯網企業存在未經用戶同意擅自收集個人信息、收集與提供服務無關的個人信息、未公開收集使用規則等嚴重侵害個人信息權益的現象。③參見《關于抖音等105款App違法違規收集使用個人信息情況的通報》，http://www.cac.gov.cn/2021-05/20/c_1623091083320667.htm，2021年9月11日。此外，在日常生活中也經常出現一些擅自收集他人個人信息的情況。例如，某居民在自家門上安裝攝像裝置以防止大門遭受破壞，但該攝像裝置還可以完整獲悉相鄰住戶日常進出的全部信息，并具備收集、存儲功能，這種行為無疑屬于擅自收集、存儲他人個人信息的情形。①參見廣東省高級人民法院（2016）粵民再464號民事判決書。更有甚者，售樓處會設置人臉識別設備對購房者的個人信息進行識別，以判斷其是自訪客戶抑或是中介渠道客戶，②參見《售樓處安裝人臉識別系統對看房者“無感抓拍”！究竟是何目的？》，微信公眾號“新華每日電訊”，2020年11月24日。也屬于擅自收集個人信息的情形。

第二，個人信息泄露。這實際上是非法公開個人信息的行為，在類型上可分為不定向泄露和定向泄露兩種。前者在主觀上多表現為個人信息處理者疏忽大意的過失，在客觀上則表現為個人信息處理者將他人的個人信息公開給不特定的第三方。后者的主觀狀態多表現為個人信息處理者的故意，在客觀上多表現為個人信息處理者將他人的個人信息提供給特定的第三方。例如，某銀行未獲得客戶授權以及有權機關的合法調查手續，就將客戶的個人賬戶交易明細提供給第三方。③參見《非法提供個人信息要擔責》，http://epaper.tianjinwe.com/tjrb/html/2021-09/02/content_173_4973163.htm，2021年9月11日。再如，學校工作人員將利用職務之便拿到的學生信息提供給校外培訓機構、培訓機構之間將掌握的學生信息進行互換。④參見《江蘇鹽城：10萬余條學生信息遭泄露！鹽城警方揪出幕后黑手！》，https://baijiahao.baidu.com/s?id=1709264733904502609&wfr=spider&for=pc，2021年9月11日。個人信息泄露的危害在于，信息主體將長時間處于精神焦慮狀態，時刻擔憂自己的個人信息被他人掌握后用于侵害自己既有的人身或財產權益。從司法實踐中的裁判案例來看，因個人信息泄露導致個人既有人身或財產權益遭受侵害的情況確實也時有發生。⑤參見北京市第一中級人民法院（2017）京01民終509號民事判決書；北京市朝陽區人民法院（2018）京0105民初36658號民事判決書；廣東省深圳市中級人民法院（2019）粵03民終3954號民事判決書。

第三，個人信息被非法篡改。例如，在網絡熱議的山東某女子被他人頂替高考成績的事件中，該女子的身份、成績等個人信息都被他人篡改，直到16年后才發現，對該女子人生發展造成重大影響。⑥參見《高考成績被冒名頂替，山東理工大學刪除頂替者學歷》，https://www.sohu.com/a/403843302_120722002，2021年9月11日。再如，因虛假個人信息而未被發放貸款或被以更高的利率發放貸款，或因虛假信息而未被雇用或被解雇。⑦Spittka,Die Kommerzialisierung von Schadensersatz unter der DS-GVO,GRUR-Prax 2019,475,476.

第四，非法利用個人信息進行自動化決策。近幾年來，新聞媒體對于互聯網企業未經用戶同意擅自利用其個人信息進行“用戶畫像”然后進行“大數據殺熟”的行為多有報道。⑧參見《〈個人信息保護法草案〉最新修改出爐，互聯網平臺“自動化決策”將受限》，https://www.sohu.com/a/483279681_120011209，2021年9月11日。此外，這種非法利用個人信息進行自動化決策的行為，還會導致特定群體遭受歧視。例如，招聘網站將性別、種族等現實中的偏見性詞匯設定進入系統后與應聘者的個人信息進行匹配，從而使得這類受到歧視的群體難以獲得相應的工作機會。⑨參見王煥超：《如何讓算法解釋自己為什么“算法歧視”？》，微信公眾號“騰訊研究院”，2019年6月13日。

第五，查閱、復制個人信息受阻。查閱權、復制權為知情權的延伸，貫穿于個人信息處理全過程。即使自然人同意其個人信息被收集或進行其他處理，仍有對個人信息處理結果知情的權利，這便產生了自然人查閱個人信息的需求。在很多情況下，自然人還需要將該處理結果復制后用于其他合法目的，如為進行某筆商業交易而向對方展示自己的信用狀況，這便催生了復制權。①參見丁宇翔：《個人信息保護糾紛理論釋解與裁判實務》，北京：中國法制出版社，2021年，第93—94頁。

以上個人信息權益的侵害樣態均為基礎樣態，彼此之間存在組合的可能性。此外，隨著《個人信息保護法》的實施，還會有更多的個人信息權益受侵害的類型出現，有待根據司法實踐的發展做進一步的總結。

還需要注意的是，有學者將信息泄露、算法歧視、非法利用個人信息進行自動化決策等個人信息權益的侵害樣態直接認定為損害。②參見葉名怡：《個人信息的侵權法保護》，第88頁；張建文、時誠：《個人信息的新型侵權形態及其救濟》，第40頁。這種觀點顯然并未對權益侵害與損害進行有效區分，前者強調的是行為的違法性，旨在篩選受保護法益，后者則是損害賠償責任的必備構成要件，③參見程嘯：《侵權責任法》（第三版），北京：法律出版社，2021年，第224頁。是權益受侵害后產生的法律后果，二者之間存在責任范圍因果關系判斷的必要。

四、侵害個人信息權益的損害認定

個人信息權益作為一項受保護的民事權益，面對個人信息處理者的侵權行為，無論該侵權行為是否涉及對個人信息的非法利用，都可能存在著財產損害和非財產損害（《歐盟一般數據條例》采用的是“非物質損害”的表述，主要體現為精神損害）。

（一）侵害個人信息權益造成的財產損害

侵害個人信息權益可能導致被侵權人遭受純粹經濟損失，如前述因虛假個人信息而不被發放貸款或被以更高的利率發放貸款，或因虛假信息而不被雇用或被解雇等情形，④Spittka,Die Kommerzialisierung von Schadensersatz unter der DS-GVO,GRUR-Prax 2019,475,476.或因自動化決策而支付更高的價格等。

除上述純粹經濟損失外，非法處理個人信息還可能導致其他財產損害。如上述列舉的非法提供個人信息給他人、非法利用個人信息進行自動化決策等侵害樣態，都屬于個人信息處理者對個人信息的非法利用。在個人信息蘊含著經濟利益的情形（即存在商業化可能的情形），這種非法利用行為將可能導致信息主體直接遭受財產損害。該財產損害屬于所失利益，即如果侵權人不實施該侵權行為，則被侵權人原本可以通過人格權益的商業利用而獲得相應的經濟利益。⑤參見程嘯：《侵權責任法》（第三版），第841頁。對此，《個人信息保護法》第69條第2款直接采用了《民法典·侵權責任編》第1182條規定的侵害人身權益造成財產損失的損害計算方式，類似于德國聯邦最高法院發展出的“三層損害計算方式”（dreifache Schadensberechnung）⑥Vgl.Paal,Schadensersatzansprüche bei Datenschutzverst??en,MMR 2020,14,16.。

而上述列舉的個人信息處理者擅自收集個人信息、非法泄露個人信息、拒絕信息主體查閱個人信息等侵害樣態，卻并非屬于個人信息被非法利用的情形，盡管個人信息中可能蘊含著經濟利益，但這些侵害樣態畢竟并未涉及個人信息處理者的非法利用行為，似乎并不能產生財產損害。實際上，無論是否涉及對個人信息的非法利用，信息主體所遭受的財產損害至少應包含其為維護自己權益而支出的費用（法條中常表述為制止侵權行為所支付的合理開支），即被侵權人或者委托代理人對侵權行為進行調查、取證的合理費用以及符合國家有關部門規定的律師費用。在《著作權法》第54條第3款、《最高人民法院關于審理著作權民事糾紛案件適用法律若干問題的解釋》（2020修正）第26條、《商標法》第63條第1款、《最高人民法院關于審理商標民事糾紛案件適用法律若干問題的解釋》（2020修正）第17條、《專利法》第71條第3款、《最高人民法院關于審理專利糾紛案件適用法律問題的若干規定（2020修正）》第16條、《反不正當競爭法》第17條第3款、《最高人民法院關于審理利用信息網絡侵害人身權益民事糾紛案件適用法律若干問題的規定》（2020修正）第12條第1款、《最高人民法院關于審理使用人臉識別技術處理個人信息相關民事案件適用法律若干問題的規定》第8條等條文中，都對此有明確規定。之所以如此，是為了降低被侵權人的維權成本，避免陷入被侵權人維權成本高而侵權人違法成本較小的不平衡狀態。①參見奚曉明主編：《最高人民法院利用網絡侵害人身權益司法解釋理解與適用》，北京：人民法院出版社，2014年，第244頁；焦彥、石必勝、戴怡婷：《降低維權成本提高侵權代價——北京高院關于加大知識產權司法保護力度的調研報告》，《人民法院報》2015年4月23日，第008版，第3頁；郭鋒、陳龍業、賈玉慧、張音：《〈關于審理使用人臉識別技術處理個人信息相關民事案件適用法律若干問題的規定〉的理解與適用》，《人民司法》2021年第25期，第42頁。如果沒有侵權行為，被侵權人就不會有為制止侵權行為所支付的合理開支，只有將其納入賠償范圍才可以將被侵權人的財產狀態恢復至被侵權前的狀態。②參見竇玉梅：《因制止侵權行為所支付的合理費用之確定》，《人民司法》2008年第11期，第42頁。從《歐盟一般數據保護條例》第82條第1款的規定來看，任何因為個人信息處理者違反本條例而受到物質或非物質性損害的人都有權向個人信息處理者主張損害賠償，該條例序言部分第146段也認為損害的概念應根據法院的判例法作廣義上的解釋，以充分反映該條例的目標。德國理論上也都將信息主體進行權利追索的費用，如律師費用（如通知侵權人和提出申訴的費用）和調查費用，認定為其遭受的財產損害。③Paal,Schadensersatzansprüche bei Datenschutzverst??en,MMR 2020,14,16;Neun/Lubitzsch,Die neue EUDatenschutz-Grundverordnung-Rechtsschutz und Schadensersatz,BB 2017,2563,2567.因此，基于上述理由，信息主體為制止個人信息處理者的侵權行為而支付的合理開支，應當列入財產損害賠償范圍。在我國司法實踐中，法院一般也都持此種裁判觀點，④參見北京市順義區人民法院（2020）京0113民初16062號民事判決書。值得肯定。有學者認為，基于同樣的理由，信息主體為防止未來損害發生而支出的預防費用也應被認定為財產損害。⑤參見謝鴻飛：《個人信息泄露侵權責任構成中的“損害”——兼論風險社會中損害的觀念化》，《國家檢察官學院學報》2021年第5期，第33頁。該觀點雖值得肯定，但在解釋理由上與信息主體為維護自己權益而支出的費用（所謂的制止侵權行為所支出的合理開支）并不一致。如《歐洲侵權法原則》（PETL）第2：104條規定“為預防可能發生的損害而支出的合理費用應予賠償”，其理由在于侵權法的目的不只是填補損害，還包括預防。⑥參見歐洲侵權法小組：《歐洲侵權法原則：文本與評注》，于敏、謝鴻飛譯，北京：法律出版社，2009年，第70頁。由此可見，雖然信息主體為維護自己權益而支出的費用與為防止未來損害發生而支出的預防費用都應作為財產損害得到賠償，但二者背后的理由卻不相同，前者對應侵權法的補償功能，而后者對應侵權法的預防功能。

此外，還需注意的是，信息主體的上述合理開支被認定為財產損害，并不意味著信息主體遭受的全部財產損害是確定的。如果信息主體除證明上述合理開支外，無法證明遭受的其他財產損失或者個人信息處理者因此獲得的利益的，仍需要適用《個人信息保護法》第69條第2款的規定，由法官根據實際情況確定賠償數額。

（二）侵害個人信息權益造成的精神損害

就非法處理個人信息行為導致的精神損害而言，從個人信息被非法收集伊始，信息主體就會因對搜集用途概不知情而陷于無盡的恐慌之中，精神上遭受極大痛苦，當個人信息被進一步非法利用時，其遭受的精神痛苦會被進一步加劇，因此，信息主體在個人信息被非法處理的每個階段都可能產生精神損害。從《歐盟一般數據保護條例》序言部分第146段及第82條第1款的規定來看，信息主體可獲得充分且有效的賠償，并未強調非物質損害的“嚴重性”要件。與此不同的是，我國《個人信息保護法》第69條第2款源自《民法典》第1182條，僅對侵害人身權益造成的財產損害進行了規定，而對于精神損害的賠償仍需援引《民法典》第1183條第1款。但該條款出于防止精神損害賠償制度被濫用的目的，規定精神損害須具備嚴重性才可以進行賠償。①參見黃薇主編：《中華人民共和國民法典侵權責任編解讀》，北京：中國法制出版社，2020年，第79頁。這與《歐盟一般數據保護條例》的規定存在重大不同。《歐盟一般數據保護條例》序言第146段第3句要求根據歐洲法院（Court of Justice）的判例對損害的概念做廣泛解釋，第4句則要求數據主體得到充分和有效的損害賠償。因此，條例第82條第1款規定遭受物質或非物質損害的任何人有權獲得賠償，未對非物質損害施加嚴重性的要求。②Paal,Schadensersatzansprüche bei Datenschutzverst??en,MMR 2020,14,17;Spittka,Die Kommerzialisierung von Schadensersatz unter der DS-GVO,GRUR-Prax 2019,475,476;Kohn,Der Schadensersatzanspruch nach Art.82 DSGVO,ZD 2019,498,501.

關于“嚴重性”的認定，學界也存在不同看法。有觀點認為應采納容忍限度理論，即超出了社會一般人的容忍限度，就被認為具有“嚴重性”。③參見黃薇主編：《中華人民共和國民法典侵權責任編解讀》，第79頁；王利明：《侵權責任法研究》（第二版）（上卷），北京：中國人民大學出版社，2016年，第724頁；王利明、周友軍、高圣平：《中國侵權責任法教程》，北京：人民法院出版社，2010年版，第346頁。另有觀點認為，應通過被侵害權益的位階來確定精神損害是否存在及嚴重程度，對于物質性人格權（即生命權、身體權和健康權）和精神性人格權（即名譽權和肖像權等）遭受精神損害的證明標準依次降低，前者可以被直接認定，后者則需要綜合考慮多種因素來認定。④參見程嘯：《侵權責任法》（第三版），第233、862頁。實際上，運用前一種觀點認定精神損害的嚴重性與否仍需要借助具體的考量因素，這與后一種觀點的嚴重性認定標準是存在一定共識的。至于具體的考量因素，不妨借鑒《最高人民法院關于確定民事侵權精神損害賠償責任若干問題的解釋》第5條規定的前3項標準，即侵權人的過錯程度、侵權行為的目的、方式、場合等具體情節、侵權行為所造成的后果。

（三）侵害個人信息權益造成的既有人身或財產權益損害

因個人信息權益遭受侵害而進一步導致其他人身權益（需刨除與個人信息權益重疊部分的人身權益）或財產權益遭受損害的常見類型是，個人信息處理者僅僅因疏忽防范而泄露了信息主體的個人信息，但對后續的他人利用泄露的個人信息侵害信息主體既有人身或財產權益的行為并不知情。對此，個人信息處理者未能盡到安全保障義務，應當根據《民法典》第1198條第2款的規定承擔補充責任。在我國司法實踐中，有法院在裁判思路上也采此觀點，值得肯定。①參見北京市朝陽區人民法院（2018）京0105民初36658號民事判決書；廣東省深圳市中級人民法院（2019）粵03民終3954號民事判決書。實際上，這屬于特殊的無意思聯絡的數人侵權類型，此外還存在著一些其他無意思聯絡的數人侵權類型，按照《民法典》第1171條或第1172條的規定處理即可。當然，如果個人信息處理者為他人非法提供個人信息用于侵害信息主體既有人身或財產權益的，則構成共同侵權而應對此承擔連帶責任（《民法典》第1168條）。

值得注意的是，上述情形中仍存在個人信息權益自身所遭受的損害，其不同于既有人身或財產權益所遭受的損害，二者背后的價值指向并不相同，故前一的損害并不能為后一損害所吸收，有單獨賠償之必要。而且，對于既有人身或財產權益所遭受的財產損害的賠償，應適用《民法典》第1165條第1款規定的過錯責任，而對于個人信息權益所遭受的的財產損害的賠償，則應適用《個人信息保護法》第69條第1款規定的過錯推定責任。對于既有人身或財產權益所遭受的非財產損害的賠償與個人信息權益所遭受的非財產損害的賠償，在法律適用上亦同，不過二者在賠償規則上都適用《民法典》第1183條第1款的規定。

結語

《個人信息保護法》第69條第1款沿襲《民法典·侵權責任編》第1165條第1款的規范模式為個人信息權益的侵權責任提供了請求權基礎，這一請求權基礎的特點在于明確區分了權益侵害和損害，同時《個人信息保護法》中規定的大量個人信息處理規則和個人信息處理者的義務規則也為個人信息權益侵權責任的構成提供了具體化的依據。結合《個人信息保護法》和《民法典》的相關規范，就個人信息侵權的請求權基礎規范群做如下圖示，以求簡明。