個人信息保護立法理念的嬗變
——基于個人信息分類的分析

張友連 厲健強

一、問題的提出

2021年11月1日，《中華人民共和國個人信息保護法》(以下簡稱《個人信息保護法》)正式生效，標志著我國公民的個人信息有了專門的法律保護。個人對自身信息的自決權與救濟權得到了切實保障，人們終于不必再擔心在信息時代“裸泳”了。《個人信息保護法》在借鑒歐盟《一般數據保護條例》等經驗的基礎上，形成了諸多亮點和創新。比如，在個人信息的分類上，《個人信息保護法》改變了《中華人民共和國民法典》(以下簡稱《民法典》)中私密信息與一般個人信息的二分，采取了敏感信息與非敏感信息劃分。如果將時間維度放寬，可以發現中國早期涉及個人信息保護的立法中并未對個人信息加以分類，僅以“個人信息”或“用戶信息”等概念予以整體概括。2012年出臺的《全國人民代表大會常務委員會關于加強網絡信息保護的決定》(以下簡稱《網信保護決定》)開始對個人信息進行分類，但其側重點僅在形式意義上進行，并未涉及實質性內容。《中華人民共和國未成年人保護法》(以下簡稱《未成年人保護法》)和《民法典》中雖進行了實質分類，但多采用“隱私信息”“私密信息”等與隱私權在形式上難以明確區分的概念。在《個人信息保護法》中，形成了兼具形式與實質特征的分類——敏感信息與非敏感信息。由此產生的問題是，分類的背后促進個人信息保護立法發展的法理念是什么？如何在新的法理念下優化個人信息治理？

二、個人信息保護立法中的安全理念

“個人信息”概念首次出現于2003年的《居民身份證法》，該法第6條規定，公安機關及其人民警察對因制作、發放、查驗、扣押居民身份證而知悉的公民的個人信息有保密義務。此時對于個人信息的保護依附于公職人員履職的義務之下，也就無所謂分類之說。此后各類涉及個人信息保護的法律、行政法規多沿此慣例，未對個人信息進行分類，而是以一個統一的概念概而論之。并且對這一“統一概念”的表述也沒有做到真正的統一，“個人信息”“個人電子信息”“用戶信息”等各異的概念均有出現。直到《全國人民代表大會常務委員會關于加強網絡信息保護的決定》出臺后，“個人信息”的表述才基本穩定，并且開始出現對于個人信息分類的嘗試，這種嘗試的出現與當時頻發的網絡安全事件密切相關。

由于之前缺乏必要的法律規制，網絡安全問題在2011年前后集中爆發。2011年12月21日下午，有網友反映稱，CSDN的用戶數據庫被黑，600余萬用戶資料被泄露。CSDN在官方微博上證實這一消息，并表示已經報案。此后，越來越多的網站賬戶信息在網上流傳，越來越多的網絡平臺被曝賬戶信息泄露，最終席卷全網20多個平臺，造成四千七百多萬賬戶信息及其他大量文件泄露。除了上述的“互聯網賬戶信息泄露事件”外，還有“安卓市場惡意軟件”“IE篡改木馬病毒”“蠕蟲病毒”“網絡釣魚”等互聯網安全事件不斷發生，挑戰著公眾的安全神經。

“問題是時代的聲音”，為了因應層出不窮的網絡安全問題，2012年起一系列保護網絡安全、保護電子個人信息的法律、法規相繼出臺，拉開了中國個人信息保護立法飛速發展的大幕。正是在應對層出不窮的網絡安全問題的過程中，立法體現了“加強網絡社會管理，推進網絡依法規范有序進行”的“安全理念”。這在2012年頒行《網信保護決定》的立法目的和適用范圍條款中可見端倪。《網信保護決定》開宗明義地指出：“為了保護網絡信息安全，保障公民、法人和其他組織的合法權益，維護國家安全和社會公共利益，特此決定。”在這里“保護網絡信息安全”是居于所有目的之首并統領其他目的的。《網信保護決定》的適用范圍主要集中于互聯網商業服務領域，主要規制“網絡服務提供者”的活動，這正是對2011年以來所出現的一系列網絡安全問題的回應。對公民權利的保護僅有第8條規定的“要求刪除”和“其他必要措施予以制止”，兩相對比，輕重立見。

相較于前期對個人信息的不做分類，《網信保護決定》開始了對個人信息分類的嘗試。《網信保護決定》第一條中規定了“國家保護能夠識別公民個人身份和涉及公民個人隱私的電子信息”，從形式上看，將“公民個人電子信息”分成了“識別公民個人身份的電子信息”與“涉及公民隱私的電子信息”，似乎開“個人信息”分類之先，但是考察全文可以發現《網信保護決定》保護的對象仍然是“個人電子信息”，并且也缺乏對不同信息分類的配套保護。因此，《網信保護決定》只能說出現了對個人信息的形式分類，與之后的《民法典》《個人信息保護法》中對“個人信息”的分類和對私密信息、敏感信息的特殊保護有本質區別。這樣的形式分類與其說是為了保護個人信息，不如說是為規制“網絡服務提供者”的活動提供依據，是“安全理念”的另一個體現。《網信保護決定》之后的一系列立法基本上延續了“安全理念”，著力推進網絡社會管理，保障網絡安全。例如2017年施行的《網絡安全法》與《網信保護決定》一脈相承，其中關于個人信息保護的條款內容，幾乎就是《網信保護決定》的發展和細化，只是改變了《網信保護決定》中對“個人信息”的形式分類，形成以“個人信息”概念整體概括，外加具體信息列舉的概括+列舉模式。

三、個人信息保護立法中的賦權理念

“安全理念”指導下的一系列立法對維護網絡環境、規制網絡服務提供者的活動起到了積極作用。同時，由于“安全理念”以加強網絡管理為導向，對個人信息的保護重視不足，現實中仍面臨著個人信息遭泄露、濫用的風險，以及受侵害后難以得到有效救濟的困境。這樣的困局要求進一步轉變個人信息保護的法理念，尤其是要賦予個體保障個人信息的權能。

與“安全理念”的網絡社會管理導向不同，學界多主張將個人信息納入現有權利體系中，由此形成權利保護導向的“賦權理念”。不過，由于最初涉及個人信息保護的立法是為了規制網絡安全問題，“安全理念”長期在立法工作中處于主導地位，“賦權理念”一時難以落地。在《網信保護決定(專家建議稿)》中，學者曾嘗試構建對個人信息的權利保護體系。比如，建議稿的立法目的以個人信息保護的核心價值——隱私權保護為主導；其適用范圍也涵蓋了一般的公共和私人領域，為個人的信息利益提供保障；在執法機制方面，規定了相對獨立和完善的執法機構和機制，體現了對個人信息的綜合保護。但在正式頒行的《網信保護決定》中，立法目的仍然以“保護網絡信息安全”為統領，適用范圍僅限于互聯網商業服務領域，執法主體上僅規定了“有關主管部門”，《網信保護決定(專家建議稿)》中諸多建議均未被采納。“賦權理念”面臨的困境可見一斑。

盡管面臨許多困難，學界相關研究仍在推進，對“個人信息”性質以及如何將“個人信息”整合進法定權利體系的研究不斷深入，并最終在立法中得以實踐。《消費者權益保護法》中關于“享有個人信息依法得到保護的權利”的規定，可以算作對個人信息概括賦權，是“賦權理念”在立法中的初步探索。在2020年修訂的《未成年人保護法》中，“賦權理念”的相關主張得到進一步落實。其一，第72條第1款規定，信息處理者處理未成年人個人信息的，應當遵循合法、正當和必要的原則，對處理個人信息做了基本規定。其二，第72條第2款賦予未成年人、父母或者其他監護人以知情、更正、刪除權，個人真正享有了保護自己信息的權利，這無疑也是“賦權理念”的重要實踐。其三，對未成年人的個人信息做了實質性的分類。結合72條與73條的規定，《未成年人保護法》對個人信息做了兩種類型的分類：依據年齡，分為14周歲以上未成年人的個人信息與不滿14周歲未成年人個人信息；依據私密程度，分為私密信息與非私密信息。對不滿14周歲未成年人個人信息與私密信息加以“征得未成年人的父母或者其他監護人同意”和“及時提示，并采取必要的保護措施”的特殊保護。之所以將《未成年人保護法》對個人信息的分類視為實質分類，正是因為對不滿14周歲未成年人個人信息與私密信息加以特別保護，形成了個人信息的保護體系。個人信息的分類愈是明確，對個人信息的保護愈是周密，個人獲得的保護其個人信息的權利便愈加周詳，這正是“賦權理念”的體現。

2021年頒行的《民法典》繼承并發展了《未成年人保護法》對個人信息的分類與保護，更是“賦權理念”的生動實踐。首先，《民法典》第111條宣告了“自然人的個人信息受法律保護”，對個人信息負有不得侵犯義務的主體涵蓋了“任何組織或者個人”，為個人信息保護奠定了基調。其次，在《民法典》人格權編中專設“隱私權和個人信息保護”一章，盡管個人信息與隱私權共享一章，盡管相較于隱私權個人信息只能視為權益，但對個人信息保護的意義依然十分重大。再次，《民法典》構建了對個人信息保護的規范體系。第1034條第1款宣示了對個人信息的法律保護，第2款以概括+列舉的方式定義了個人信息的內涵，第3款又強調了對“私密信息”的特殊保護。之后的第1035—1039條分別規定了信息處理的原則，免責事由，自然人的查閱、復制、異議、更正等權利，個人信息處理者的義務，國家機關及其工作人員的保密義務等內容，基本構建起了個人信息保護體系。由此可知，《民法典》對個人信息保護的最終目的不只是關注公共利益，更是為了維護自然人的合法權益。最后，《民法典》將個人信息分為私密信息與非私密信息，并對私密信息予以特別保護。《民法典》第1034條第3款規定：“個人信息中的私密信息，適用有關隱私權的規定；沒有規定的，適用有關個人信息保護的規定。”據此，私密信息得到了隱私權與個人信息的雙重保護。私密信息與非私密信息的分類是從隱私權與個人信息的關系入手的，之所以專門界分私密信息，不但是因為其具有私密性、私人性，與自然人的生活安寧密切相關，需要特別的保護，而且是為了界定個人信息與隱私權的邊界，以便將個人信息納入權利體系中，這正是“賦權理念”的直接表現。如此，既可以強化對私密信息的保護，為信息處理者合理利用非私密信息留下空間，也可以盡可能減輕個人信息對原有權利體系的沖擊。

“賦權理念”指導下的《未成年人保護法》《民法典》等法律的頒行使得個人信息權益融入到法定權利體系中，在個人信息保護事業上意義深遠。但是，個人信息問題就此妥善解決了嗎？私法的賦權保護能夠臻于完善嗎？

首先，“賦權理念”造成了體系銜接不暢的弊病。《未成年人保護法》中依據年齡將個人信息分為14周歲以上未成年人的個人信息與未滿14周歲未成年人個人信息，依據私密程度分為私密信息與非私密信息。私密信息事關私生活安寧自然有特別保護的需要，未滿14周歲的未成年人由于經驗、能力的不足，對其個人信息也有特別保護的必要。但問題是依據兩種不同的標準界分的個人信息體系之間應當如何銜接呢？以不同標準界分個人信息，固然擴大了個人信息的保護范圍，卻也造成了體系上的不和諧。《民法典》沒有采取以年齡為標準的個人信息分類方式，只保留了私密信息與非私密信息的分類，在個人信息內部避免了體系復雜。但是，在個人信息以外，“私密信息”同時屬于隱私權的保護范疇，隱私與個人信息由此形成了一種交叉、嵌套關系。這也就形成了一個邏輯悖論，立法者為了界分隱私權與個人信息，規定私密信息為隱私權與個人信息的交集，如此隱私權與個人信息的其他部分就可以被區分。但是，私密信息作為隱私權與個人信息的交集，又使得隱私權與個人信息交叉，難解難分。

其次，“賦權理念”指導下的立法限制了對個人信息的合理利用。所謂“賦權”自然是賦予個人信息的產生者自然人以保護其個人信息的權利，側重點是保護個人利益。個人信息盡管產生于個人，卻流通于社會，社會各主體都有合理利用個人信息的需求。企業需要信息分析行業前景，滿足顧客需求。政府需要信息制定公共政策，更好地為人民服務。社會需要信息制定社會規范，協調各方利益。片面強化個體賦權可能抬升社會活動成本，限制社會活力，并導致個體無法獲取有效服務、制定良好公共政策、實現合理信息流通，因此，在保護個人信息的同時，也要為個人信息的合理利用留足空間。如果認為《未成年人保護法》與《民法典》等法律完全忽視對個人信息的合理利用也是不準確的，比如，《未成年人保護法》與《民法典》都規定了處理個人信息應遵循合法、正當、必要等原則，《民法典》第1036條還規定了處理個人信息的免責事由。這些規定為個人信息的合理利用留出了一定的空間，但能夠真正解決問題嗎？由于“賦權理念”的核心在于賦予個人保護個人信息的權能，對信息的合理利用只能做一些原則性的規定，這些原則固然可以指導個人信息的利用，但過于概括。比如，處理個人信息應遵循合法、正當、必要、適度等原則，那么何為合法，何為正當，何為必要，何為適度？這樣的規范的指引功能是不確定的，很大程度上依賴于規范的解釋。如對原則解釋過寬，則有礙于個人信息的保護，有悖“賦權理念”；如對原則解釋過窄，則不利于個人信息的合理利用。此外，囿于《民法典》的私法性質，對于身為重要的信息處理者的政府的信息利用行為，也存在難以有效規范的問題。因此，“賦權理念”指導下的立法對個人信息的合理利用的規范事實上處于一種模糊狀態，將會限制個人信息的合理利用。

最后，“賦權理念”對社會風險預估不足。盡管在《民法典》中“個人信息”只是被規定為一種權益，卻賦予了個人信息主體由知情同意權，查閱、復制權，更正權和刪除權，信息安全保障權等組成的完整權利束。并且在個人信息受侵犯后也能請求救濟。如此看來，《民法典》對于“個人信息”的保護似乎十分完善。問題是，個人信息主體能否切實地行使這些權利呢？《民法典》對個人信息主體“賦權”集中體現在第1037條，本條設置的查閱、復制、更正和刪除等權利本質上是為了維護個人的信息自決權。自決是建立在信息主體對個人信息的充分認知與把握之上的，需要考慮的是達到這樣的要求是否存在障礙。個人信息受到侵害固然可以請求救濟，但其可行性是建立在事后救濟足以填平損失的基礎上的，如果個人信息傷害造成了難以逆轉的損失，又該如何填平呢？事實上，《民法典》關于個人信息的規定是建立在傳統民法“有限風險”理論的基礎之上的。傳統私法立基于簡單商品經濟，權利義務關系相對明確，交易風險較小，因而存在忽視風險乃至鼓勵風險的傾向。比如，通過授予當事人大量權利，使其在意思自治主導下自由交易，促進效率，對于遭受損失的當事人則通過侵權責任法予以事后救濟，因為風險有限，所以損失可以通過事后救濟填平。“賦權理念”無疑繼承了對“有限風險”的認識，所以出現了上述賦予事先權利與事后救濟的模式。問題是，進入信息社會后，交易風險急劇提升。個人信息具有“雪球效應”，自然人此刻授權信息處理者處理的信息或許尚無風險，但下一刻各種信息匯聚可能就會產生損害，當事人往往不能事先預估風險，而事后救濟也未必能彌補損失。因此，“賦權理念”指導下的立法存在對風險預估不足的問題。

基于以上分析，對于個人信息的保護涉及主體眾多，利益重大，不能僅從“安全理念”入手規制信息處理主體，也不能僅從“賦權理念”入手保護個人信息權益。正確的做法應當是通盤考慮，協調各方利益，實現整體效益的最大化，這就需要推動個人信息保護立法理念由“安全”“賦權”向“治理”的轉變。

四、個人信息保護立法中的治理理念

“治理理念”意味著我們要思考如何引導經濟和社會，以及如何達成集體目標。《個人信息保護法》正是在“治理理念”的指導下，協調個人信息保護與信息產業發展關系、追求集體目標的產物。從立法目的分析，《個人信息保護法》是“為了保護個人信息權益，規范個人信息處理活動，促進個人信息合理利用”。這一表述不同于“安全理念”強調網絡社會管理，而是明確了“保護個人信息權益”的首要地位，并且是通過“規范個人信息處理活動”來實現的。而“促進個人信息合理利用”的規定也為信息產業發展提供了保障，協調了個人信息保護和利用之間的矛盾。從適用對象上看，《個人信息保護法》規定“任何組織、個人不得侵害自然人的個人信息權益”，其適用對象不再局限于“網絡服務提供者”，而包括了一切涉及個人信息處理的個人、市場主體與國家機關，有效地彌補了《民法典》囿于私法屬性難以詳盡規制政府處理個人信息活動的缺陷。從保護規定上看，《個人信息保護法》不但構建了完整的“告知—同意”規則，而且建立了與之配套的個人權利與信息處理者義務，加強了對個人信息處理風險的防范。此外，還明確了政府部門履行個人信息保護的職責與侵害個人信息的法律責任，使得對個人信息的保護更加切實可行。

值得注意的是，《個人信息保護法》改變了《民法典》中私密信息與非私密信息的劃分，而代之以敏感信息與非敏感信息。盡管有觀點認為，“個人敏感信息是指關涉個人隱私核心領域、具有高度私密性、對其公開或利用將會對個人造成重大影響的個人信息”， 敏感信息就是私密信息，但是綜合對比《民法典》與《個人信息保護法》的相關規定，可以發現敏感與非敏感信息、私密與非私密信息的區分是各有其規范目的與意義的。不同于私密信息與一般個人信息從界分隱私權與個人信息的角度劃分個人信息的類別，敏感信息和非敏感信息的分類是從規范個人信息處理行為的角度來進行的。個人信息不僅涉及人格利益，還具有財產利益性質，對個人信息的組織分析可以產生附加利益。對個人信息的合理處理可以產生直接的經濟利益，促進信息產業的發展，也可以用于智慧安防，維護社會穩定。因而，對個人信息的保護要兼顧個人利益與企業利益、社會利益。這就要求在對個人利益分類時，為個人信息的合理利用留足空間。《個人信息保護法》從個人信息處理入手，將在處理中對個人利害影響重大或者不當處理會造成重大損失的涉及人格尊嚴、人身安全、財產安全與未滿十四周歲未成年人的個人信息界定為“敏感信息”，并提高了敏感信息處理者的法定義務。“敏感信息”的分類是建立在規制“泄露或者非法使用”產生的風險之上的，在對“敏感信息”的處理嚴格規制、提供特殊保護的同時，也確保其他非敏感個人信息得以合理、有效的利用，體現了“治理理念”對社會整體效益的追求。

五、治理理念下個人信息保護立法的優化

《個人信息保護法》無疑為實現個人信息相關效益最大化提供了有效路徑與有益啟示，但是僅靠一部《個人信息保護法》就能妥善處理好個人、企業與國家的利益糾葛嗎？筆者認為，應當在“治理理念”指導下，對個人信息保護加以優化。也就是說，綜合所有可用的方法、策略和工具，建立一個協調風險治理中各種要素和參與者的“個人信息治理和個人信息保護系統”，將“個人信息保護”進一步發展為“個人信息治理”以實現整體效益的最大化。為了實現“個人信息治理”的目標，需要從以下四個方面優化個人信息保護立法。

(一)明晰個人信息利益格局

“我國社會正在發生深刻變革，利益關系日益復雜，利益訴求日益多樣，社會矛盾日益凸顯。”體現在個人信息方面，就是不同主體對個人信息利用有著不同的利益、存在著不同的訴求。從“治理理念”分析，個人信息保護最核心的問題就需要對個人、政府、企業三類主體現實和潛在的利益進行合理分類，通過利益的類型化來實現法律上權利 / 權力的規范化。如圖所示，在個人信息的流通和利用過程中，個人、政府、企業三方主體形成了相互交錯的利益格局，每一方主體都有自己的核心利益，又都有與其他主體相交錯的共同利益，需要相互協調。就個人而言，區域1是涉及個人隱私的私密信息，這無疑是其核心利益，需要排他保護；區域4、5、7 部分表示對個人重要程度相對次之的信息，可以經過個人同意由政府、企業采集、使用、流轉或者公開。例如，對就學、就業、消費、旅游等具有一定的身份識別性，但不太涉及隱私的信息，如果合理利用不但不會侵害個人權益，還有助于個人享受更好的公共服務與商業服務。就政府而言，其核心利益是依據法定職責或為公共利益而必須收集的個人信息。比如，為調查犯罪、維持基本社會秩序所必須的信息等。區域4、6、7 是政府為了提供公共服務產品，經由個人與企業同意得收集、適用的信息，其構成了政府履行特定服務職能的依據。就企業而言，在對大量個人信息進行“去識別化”并通過商業研發形成的具有商業價值的數據，可以享有排他的財產權利，這也是促進信息產業發展的題中應有之義。區域5、6、7則是企業在商業利用過程中涉及個人、政府利益，需要個人與政府同意的信息。通過對各種涉及個人信息利益的合理安排，形成“三位一體”、層次分明的利益格局，再針對各主體利益提供相應的法律規制與保障，才能有效促進個人信息治理。

(二)強化個人信息收益共享

由于個人信息內容豐富，屬性多元，對個人信息的處理、利用可以產生增值收益。比如，企業通過對龐雜的消費者信息的整理、分析，可以推測出消費者的購物偏好、經濟實力、產品需求。基于此進行針對性推銷，可以提高產品銷量，獲得經濟收益。信息處理者往往傾向于獨享增值收益，甚至出現個別企業為了獲得增值收益逾越法律界限、濫用甚至是侵犯個人信息的情形。信息主體不能享受到個人信息處理的增值效益，反而面臨個人信息受侵害的風險，由此就產生了個人信息主體與信息處理者之間的矛盾。個體對個人信息的被利用愈加謹慎乃至排斥，反之信息處理者因難以獲得個人信息，可能傾向于鋌而走險，違反法律。為了解決這一矛盾，應當從“治理理念”出發，堅持以人為本，協調個人信息主體與信息處理者的利益，促進個人信息增值收益的共享。個人信息治理要求信息處理者在處理個人信息、獲得增值利益時要注重收益的回饋與共享。例如，政府機關對個人信息處理后，可以利用個人信息的識別性，建設智慧安防系統，提升識別效率，排除危險分子，建設和諧、穩定的社會秩序，使全體民眾共享社會治理紅利。企業通過對個人信息的處理、應用，可以針對客戶的需求，提供定制服務，滿足不同客戶獨特需求，提高服務水平。以收益共享協調雙方關系，化解矛盾，促進個人信息綜合效益的最大化，符合治理理念的要求。

(三)加強個人信息監管合作

個人信息的治理不但需要完善法律、法規，更需要監管部門切實履職，加強監管。《個人信息保護法》專設第六章“履行個人信息保護職責的部門”，用于明確監管部門的保護、監管職能。不過，《個人信息保護法》并沒有設立專門機關來統管個人信息的保護與監管，而是采取了縣級以上部門各司其職，國家網信部門負責統籌協調的分工協作模式。在此模式下，如何優化政府監管部門的協調合作就變得尤為重要。優化個人信息治理，加強個人信息監管合作應致力完成三個方面的工作：首先，制定實施個人信息保護的具體規則、標準，尤其是制定履行個人信息保護職責部門的規則、章程，界定不同機關之間的權責范圍。其次，建立不同監管部門之間協助執法機制。主要集中于：建立上級監管部門對下級監管部門工作的指導機制，加強法律適用統一性；建立調查、處理違法個人信息處理活動的跨部門、跨地域協作機制，提升執法效果；建立對拒絕配合、阻撓執法的個人、組織的聯合懲戒機制，強化對侵害個人信息權益不法分子的震懾。最后，探索監管部門信息共享機制。通過重大案件情報協助、示范案例通報、定期交流工作經驗等方式，加強個人信息監管部門之間的信息交流，增強監管能力。

(四)完善個人信息裁判規則

以“治理理念”為指導，實施個人信息保護，不僅需要宣傳守法、加強監督，更需要發揮司法裁判的引導作用，為個人信息利用劃定安全底線。個人信息利用的安全底線，是個人信息利用機制形成的基石，如果突破了安全底線，將會導致整個個人信息利用秩序的整體崩潰。因此，對于違背合法利用原則、違反法定或約定的利用事由、侵害個人信息權益的行為必須嚴厲制裁。個人信息司法裁判需要協調好各方主體利益關系，必須確定個人信息損害賠償標準，以事后規制彌補損失，緩和各方主體之間的矛盾。《個人信息保護法》確定了“按照個人因此受到的損失或者個人信息處理者因此獲得的利益確定”與“根據實際情況確定賠償數額”的賠償標準。依據此標準，有助于保障信息主體的利益，即便個人損失難以確定，也可以依據信息處理者的獲益確定賠償，何況還有“根據實際情況確定”的兜底。在司法適用中確定個人損失時，應當同時關注對信息處理者的利益保護。個人信息收益中的一大部分是因信息處理者處理信息而產生的增值收益，對于其中信息處理者的勞動貢獻應予承認與保護。所以，此處“個人信息處理者因此獲得的利益”應當理解為去除信息處理者基本勞動報酬后的利益。此外，如果受失和獲利難以確定，那么“根據實際情況確定賠償數額”似乎也難以實現。因此，可以考慮設置個人信息侵權最低司法賠償標準，在不能確定賠償數額的情形下，則依據最低賠償標準賠付。如此，既有利于維護個人信息侵權受害人的利益，也可以規范信息處理者的處理行為。由于《個人信息保護法》的規定未盡完善，司法裁判在遵循信息安全底線的基礎上，可以綜合考量個人信息在哪個主體(個人、企業、政府)控制下能避免碎片化并能發揮應有的價值、各主體為信息或信息集形成所付出的精力和成本、其權利范圍能否與其訴求相匹配，從而實現個人信息利用效益是最優配置。