《民商法争鸣》｜郭宏璟、杨芳：违反个人信息保护规则损害赔偿问题研究

郭宏璟、杨芳：《违反个人信息保护规则损害赔偿问题研究》，载王竹主编：《民商法争鸣》（第23辑），四川大学出版社2024年10月版，第120-139页。

摘要：《个人信息保护法》第69条明确个人信息损害赔偿的过错推定原则，但其无法澄清损害赔偿请求权在个人信息领域适用的其他问题，该条文不足以作为独立的请求权基础。其一，侵害个人信息权益行为的识别，依体系解释脉络，个人信息处理行为缺乏“准入”的合法性依据或个人信息处理者未能遵守行为义务即属侵害行为。但侵害行为并不当然造成损害，认定损害方有损害赔偿请求权适用的空间。其二，在损害认定中，贯彻差额补足的物质性损害无法突破侵权法上的桎梏，难以救济个人信息主体，平衡各方利益。对此，可宽松解释精神损害认定，结合敏感个人信息的优位保护，确立侵害敏感个人信息的行为势必会造成个人信息主体的精神损害，从而为损害赔偿请求权创设救济空间。其三，在因果关系层面，通过条件说判断责任成立的因果关系，当有多个主体处理个人信息时，应遵循共同危险行为的因果关系认定路径予以确认。对于责任范围的因果关系认定，应以相当因果关系作为认定基准。

关键词：损害赔偿请求权  侵害行为  损害结果  因果关系

一、提出问题

《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）的出台标志着我国的个人信息保护规范体系已基本成型，实证法上，规范体系采取公私交融的模式为个人信息提供周延保护。其中，公法保护措施以“侵犯公民个人信息罪”为核心，辅以罚款、责令改正等具体行政行为，通过公权力机关等行政主体保护个人信息权益。而私法保护体系则主要依赖于《中华人民共和国民法典》（以下简称《民法典》）《中华人民共和国反不正当竞争法》等提供的救济路径。《个人信息保护法》兼采二者，是为个人信息保护领域的基本法。

在个人信息权益私法保护的视域下，基于合同产生的债权请求权因举证责任过重以及救济方式较弱而较少出现在司法实践中。司法实践中的纠纷样态更多表现为侵权纠纷。在争讼中，个人信息主体常以“损害赔偿”为其核心诉求，但损害赔偿请求权的适用却并不理想。《个人信息保护法》第69条明确“处理个人信息侵害个人信息权益”并“造成损害”，方有损害赔偿的适用空间。但其并未对“侵害行为”与“损害结果”作出进一步符合个人信息领域适用的解释。通过对现有司法裁判的筛查梳理，可以发现当前损害赔偿请求权的适用阻碍主要由侵害行为的识别、损害结果以及因果关系的认定所造成，如不能一一对此作出回应，损害赔偿请求权恐被束之高阁。

首先，何为侵害个人信息权益的行为。在《个人信息保护法》生效之前，司法实践中通过既有的人格权救济路径为个人信息权益提供私法保护。因为人格权清晰的权利边界，通过人格权保护路径对个人信息予以保护，并不存在侵害行为的识别困难。但以“可识别性”为标准划分的个人信息，其所涵括的范围远远超过隐私权、名誉权等人格权的内涵，仅靠人格权救济路径终究无法妥适地保护个人信息权益。需重视个人信息单独保护的价值和特殊性。同时在当前的司法实践中，法院也通过“可识别性”确定侵害行为。即只要信息具有可识别性，就可以基本判定侵害个人信息权益的行为，从而根据当事人的诉求进行利益衡量。但是随着个人信息处理技术的发展，识别个人信息的技术手段愈发多样，即使完成去标识化，“撞库”之后仍可准确识别个人信息主体，因此单一的“可识别性”标准将不可避免地过分限制个人信息处理者的行为自由。由此，如何在不妨碍数据信息自由流通的前提下界定侵害个人信息权益的处理行为，为个人信息处理者提供行为指引就是《个人信息保护法》施行下凸显而出的首要问题。

其次，法谚“无损害，无救济”彰显了损害在救济制度中的核心地位，但损害的观念并非一成不变，如何界定损害是损害赔偿请求权在个人信息领域发挥作用的关键因素。“损害赔偿之最高指导原则在于赔偿被害人所受之损害，俾于损害之结果，有如损害事故未曾发生者然。”“于侵权行为而发生损害赔偿者，赔偿义务人应填补赔偿权利人所受之损害，以至于如同侵权行为未曾发生一样。”但在个人信息侵权纠纷中，损害认定异常困难。最为直接的原因是个人信息的侵害行为与损害结果之发生往往相隔甚远，损害范围难以确定。部分案件甚至并不会产生具有经济价值的损害结果。如果在损害结果尚未发生或其并不具有经济价值时，损害赔偿法将无法适用。因而，如何界定侵害个人信息权益产生的损害是最为关键的课题。

最后，个人信息侵权纠纷中，侵害行为与损害之间的因果关系往往难以被证实。一方面，当存在多数个人信息处理者参与同一个人信息的处理活动而发生侵害个人信息时，受害人往往无法证明哪一主体是具体加害人，从而难以证明侵权责任成立的因果关系，导致受害人无法获得赔偿。另一方面，侵害行为对损害结果的贡献度难以确定，即责任范围的因果关系没有明确的证明标准。故因果关系的认定路径有待进一步明确。

综上，针对多重因素叠加而致的适用难题，本文的破题逻辑如下：立足司法实践和实证法规范设计，对侵害行为、损害后果以及二者间的因果关系认定进行检视，以体系解释、目的解释为依托提出损害赔偿请求权得以在《个人信息保护法》背景下适用的具体方案。

二、侵害行为认定标准之体系建构

侵权行为法旨在权衡行为自由与权益保护。在侵害行为的识别问题上，以“可识别性”为标准的个人信息涵盖范围十分广泛，只有当个人信息处理行为切实侵害了个人信息权益，才构成侵害行为，才可能产生相应的侵权责任。因此，仅通过“可识别性”标准认定侵害行为将过分限制个人信息处理者的行为自由，需要重构个人信息侵害行为的识别标准。《个人信息保护法》第69条并未明确侵害行为的识别标准，为保持侵权责任构成要件的法律评价一致性，应对实证法进行体系解释，其中以《民法典》人格权编和侵权责任编的体系解释为主。对此，也得到了比较法上之印证，例如我国台湾地区“个人资料保护法”第31条规定“损害赔偿，除依本法规定外，公务机关适用国家赔偿法之规定，非公务机关适用民法之规定。”《个人信息保护法》第69条虽未能指明侵害行为的内涵，但随后的第70条个人信息公益诉讼条款明令其构成要件为“个人信息处理者违反本法规定处理个人信息”。为保持法律体系内在的统一性，第69条也应作此理解，即“个人信息处理活动侵害个人权益”可被解释为“个人信息处理行为违反本法中的个人信息处理规则”。而这一解读同样也和欧盟《通用数据保护条例》（General Data Protection Regulation，以下简称GDPR）第82条第1款“因违反本法的信息处理行为，遭受物质和非物质损害的，任何自然人有权向信息控制者或者信息处理者主张损害赔偿。”的措辞相一致。

因此，《个人信息保护法》第70条所述的违反个人信息处理规则的行为，即属侵害个人信息权益的行为。当前个人信息处理规则以“合法性依据+行为义务”双层脉络推进，在划定个人信息权益保护范围的同时明确个人信息处理行为的禁区。因此，个人信息处理行为不具备合法性依据或个人信息处理者未能遵守行为义务，均属侵害个人信息权益的行为。

（一）个人信息处理行为的合法性依据

个人信息源于个人，且构成个人人格、自我认同和生活的一部分，个人对其当然享有以自决为中心的各项权能，以实现其在现时代的尊严。基于个人对其自身信息的控制，个人信息权益保护的立足点即为“信息自决”。最先使用个人“信息自决权”（das Recht auf informationelle Selbststimmung）这一表述的是德国学者施泰姆勒（Steinmüller）。根据他的描述，这项权利的内容是，人们有权自由决定周遭的世界在何种程度上获知自己的所思所想以及行动。个人信息对于人格构建和发展具有决定性的意义，“信息自决”是实现个人自由发展的重要方式。此种信息自决观念将个人信息与人格权有效联系起来，并进而影响了个人信息保护的法律建构。这在我国实证法上也有所体现，个人信息处理行为的合法性依据以信息主体的“信息自决”为核心进行构建，区分以同意为基础和不以同意为基础的合法性依据，即以知情同意规则这一最能体现个人信息主体意愿的方式为核心并辅以部分例外的无需同意情形构建个人信息处理行为的合法性依据体系。并由此建立识别侵害个人信息权益行为的第一层标准：个人信息处理行为若不具备“准入”的合法性依据，即属侵害个人信息权益的行为。

在个人信息自决权理论盛行之时，主流观点认为侵害信息主体的“信息自决”即属侵害个人信息权益的行为。但若仅以此为标准认定侵害行为，一方面不具有现实可操作性，信息主体之内心真意除非经外在表现形式予以固定，否则其真意难以探寻；另一方面仅以“信息自决”为认定标准，忽略了实践中交易地位对个人信息主体表意自由的影响。虽然在法律主体层面，个人与大数据企业处于平等法律地位，但实际上，随着大数据技术的发展，“平台市场”的市场格局得以进一步加深，在个人信息处理活动中二者处于极为不平等的地位，信息自决恐难切实落地。同时信息主体难以掌握何种处理行为需经由其认可，何种处理行为属豁免同意之情形。因此，将“信息自决”理念贯彻于“合法性依据”的构建中，既能够避免将“信息自决权”视为受侵权法保护的具体权利，并以偏概全地将个人信息保护的重心统统置于“自决”之上的窘境。

贯穿《个人信息保护法》的知情同意规则，是个人信息处理行为准入的最重要、最核心的合法性依据，有效地告知并取得个人信息主体同意是处理行为合法化的重要因素。要求个人信息处理者在处理个人信息时，必须事先告知个人并获得其明确、自愿地同意。《个人信息保护法》第13条第1项第1款明确规定了处理一般个人信息的知情同意规则，“第29条”确立了处理敏感个人信息的特殊知情同意规则。均突出对个人信息主体自决的尊重，强调权益保护的价值取向。例如，在“黄某诉腾讯科技（深圳）有限公司、腾讯科技（北京）有限公司等隐私权、个人信息保护纠纷案”（以下简称“微信读书案”）中，法院就认为“被告并未以合理的‘透明度’告知原告并获得原告的同意”，在未取得信息主体的有效授权下，即收集、使用原告个人信息的行为违法。本案中，法院立足于“告知同意规则”，保护信息主体的“信息自决”。信息主体享有对个人信息的控制权，并可排除他人对个人信息权益的侵害。在不具备其他法定处理前提下，个人信息处理行为未获得个人信息主体的授权同意即属侵害个人信息主体权益的行为。

除知情同意规则外，《个人信息保护法》第 13条第1款第2项至第6项也为个人信息处理行为创设了无需个人信息主体同意的合法性依据。第2项订立、履行合同所必需规则，体现约定义务的践行，是个人信息主体自决权能的体现，旨在平衡个人信息权益与合同自由之间的关系；第3项规定的“为履行法定职责或者法定义务所必需”，公权力机关履行法定职责，父母等监护人在履行法定义务的过程中处理个人信息可以豁免个人信息主体的同意要件；第4项事实上体现了个人信息主体人格权、财产权与个人信息权益二者之间的位阶差异，参考民事权益位阶理论，个人信息主体的自决权并不具有保护上的优先性；第5、6项所述“合理的范围”包含利益衡量的价值取向，对特定情形下个人信息处理行为的正当性进行判断，遵循个人信息处理的必要性原则，在不超出合理的范围内对个人信息进行处理即属合法处理行为。

此外，个人信息处理行为的合法性依据还应包含个人信息的合理使用制度。例如在“伊某诉江苏苏州某公司个人信息权纠纷案”中，法院认为“被告的行为属于对已合法公开信息的合理使用”，但“信息主体对信息传播控制的人格权益显然高于已经合法公开的个人信息流通所产生的潜在财产权益，信息主体对其个人信息传播控制的权利更不因个人信息已经合法公开而被当然剥夺。在原告要求删除文书之后，被告仍以中国裁判文书网已公开诉争文书为由拒绝删除涉案文书，则构成对个人信息的非法公开使用。”在这一案件中，法院在认可合理使用时，也为其框定了边界，即：合理使用虽可作为个人信息处理行为的合法性依据，但也应在适当限度之内发挥作用。当超越合理使用或者信息主体撤回同意时，基于合理使用的处理行为不再具备正当性，此时的处理行为也属侵害个人信息的行为。但不同于域外立法实践，《个人信息保护法》并没有明文规定合理使用条款，因此需从外部引入。当前我国法秩序上个人信息的合理使用制度的规定主要见于《民法典》第998条、第999条规定的人格权合理使用制度，1020条规定的肖像权合理使用制度，1023条规定的声音法益合理使用制度以及第1036条的规定。故应充分发挥《个保法》第13条第1款第7项的规范作用链接外部法律规范，扩大了处理个人信息的合法性依据来源，构建个人信息的合理使用制度。

综上所述，个人信息处理行为不具备合法性依据应属侵害个人信息权益行为。但《个人信息保护法》中的合法性依据旨在规制个人信息处理行为实施前的“准入”阶段，其难以监管嗣后的个人信息处理全流程。因此仅有“合法性依据”尚且不足以准确识别侵害行为，还需其他规范予以补足。

（二）个人信息处理者的行为义务

个人信息处理行为具备合法性依据仅是获得了处理个人信息的准入“许可”，在嗣后处理个人信息的全流程中仍应严格遵守行为义务。以《个人信息保护法》为核心的规范体系，采取了行为规制的方式为个人信息提供保护。而这一方面是个人信息并未达到权利分配的密度，难以为其提供类似所有权、人格权等绝对权的赋权式保护模式；另一方面即意欲通过行为义务明文确定个人信息保护范围的方式为个人信息处理者建立行为边界，划定行为禁区，从而明确“违反行为义务即属侵害个人信息权益”。虽然此种立法模式偏向“刑法”“行政法”等公法模式，但毋庸讳言此种立法模式在认定侵害行为时具有极大的便利性。同时因《个人信息保护法》公私交融的特点，其被广泛认为是领域法。因而处理行为对应的行为义务有诸多面向，虽然违反行为义务均属侵害行为，但其所能引起的法律效果却不尽相同。私主体并不能就某些违反行为义务的处理行为主张私法救济。例如在数据跨境传输方面，因违反行为义务所能引起的是行政责任乃至刑事责任，在此情景下，私主体并无请求救济的余地。相同的还有《个人信息保护法》第58条为大型互联网平台所设置的专项义务。

此外，违反行为义务的个人信息处理行为不仅侵害个人信息权益，而且会侵犯个人信息主体的合理信赖利益。除个别情形下合法性依据不体现信息主体的自决意志外，个人信息处理行为多以信息主体的同意、信赖为基础。而信息主体对个人信息处理者的信赖不仅仅是单纯地对其自身资质的肯认，同时也是在制度加持下的对其信息处理行为及能力的信赖。因此，个人信息主体对信息处理者的信赖并不建立在其所阅读的隐私协议之上，而是基于对个人信息的处理标准的统一适用，换言之，其信赖从根本而言是出于信息主体对国家治理能力的信任。由此，个人信息处理者违背行为义务的个人信息处理行为，毋庸置疑地侵害了信息主体的信赖利益，而无论其信赖的对象为何。在对个人信息侵权行为进行判断之时，不仅要注意到综合考量相关因素，亦要避免主观认定是否构成侵权。应仅就行为、相关客观因素进行综合考量。

因此，个人信息处理者违反行为义务的个人信息处理行为属侵害个人信息权益的侵害行为应得以确认。同时应予明确的是，合法性依据与行为义务在侵害行为的识别上应属递进关系，而非并列关系，“合法性依据”在个人信息处理行为的准入阶段发挥作用，“行为义务”贯穿个人信息处理行为的全过程。据此，个人信息处理者的侵害行为表现为行为“合法性依据”的缺失或“行为义务”的违反，侵害行为得以识别，侵权责任方有适用的空间。同时为更加直观地展示侵害行为识别这一问题，本文基于样本案例分析，得出侵害个人信息权益的行为样态主要包括如下情形。（见表1）

表1 侵害行为样态及典型案例

三、损害认定之困境破解

我国大陆侵权法发展初期，“侵害”与“损害”的概念并未予以区分，二者的使用场景常予以混淆，这直接导致损害赔偿请求权的适用在很长一段时间内处于十分混乱的状态。损害要件作为损害赔偿请求权的适用前提在《民法典》时代方才得以明确。因此仅在侵害行为造成损害后果的前提下，方有损害赔偿的适用空间。倘若个人信息处理行为侵害个人信息权益，但权益受损并未进一步造成其他损害或当前损害无法证明，则将限制侵权之诉的适用范围。于此情景下，个人信息主体仅能取道其他侵权责任来维护自身权益，即通过性质上属于绝对权保护请求权的侵权责任来使得权利受到保护。因此，个人信息侵权中如何确定损害要件的成立是损害赔偿请求权适用的关键性问题。

（一）物质性损害认定的局限

个人信息所具有的经济价值更多地体现为集合性，孤立个人数据的经济价值并不高。如若仅是个人信息权益受到侵害，而并未进一步产生下游损害，被侵权人往往难以证明财产性损害的数额，并且个人信息处理者的加害行为所致个人信息权益受侵害与损害结果的发生往往相隔甚远，在诉讼流程终结前可能并不存在现实可非难或紧迫发生的损害，所受的财产损失难以认定并计算。因此，法院往往无法对当事人的赔偿经济损失请求予以支持。

并且按照侵犯个人信息权益行为原因的不同，在损害认定中亦有难易区分：第一类违反个人信息保护规则的个人信息处理行为以侵犯个人信息为手段。此种行为产生的民事责任以其终局性的行为样态为标准进行衡量。如为了诈骗等而获得所涉主体的姓名、家庭住址、电话号码等，并以之谋取其他不当或者非法利益。第二类为侵犯个人信息并以之为目的的违反个人信息保护规则的个人信息处理行为。此种行为包括但不限于收集数据进行形象摹刻、自动化决策、个人信息被泄露给多方而饱受骚扰、个人信息的过度收集、非必要收集、个人信息的非“告知同意”而转移、个人信息的非法利用等，这些侵犯个人信息的行为所涉及的个人信息多是非传统的诸如购物记录、阅读记录、购物喜好、半公开的个人信息（如电话号码等）。

对于第一类案件，证明存在物质损失并非难事。例如在“申某诉支付宝（中国）网络技术有限公司等侵权责任纠纷案”中，原告因个人信息泄露遭受电信诈骗，损失了118900元。法院酌情确定携程公司在5万元赔偿数额的范围内对申某承担补充责任。第二类案件在并未产生下游损害的情形时，被侵权人往往难以证明存在物质性损害。此类案件中，个人信息处理者的加害行为同损害结果的发生往往相隔甚远，甚至在诉讼流程终结前可能并不存在现实可非难或紧迫发生的损害，所受的财产损害难以认定或计算。在此情形下，法院自然无法对当事人提出的赔偿经济损失的请求予以支持。例如在“唐敏诉湖南汨罗农村商业银行股份有限公司名誉权纠纷案”中，法院就认为“原告唐敏并未提交其实际产生损失的证据，对其诉称可能存在的损失不予支持或由唐敏本人承担并无不妥。”又如在Melissa Alleruzzo v. Supervalu案中，美国联邦第八巡回上诉法院认为私人诉讼的实际损害要素要求原告遭受'实际金钱损失'，纯粹推测性的损害不是“真实的和可衡量的”，不能构成实际损害。

有鉴于此，比较法上为解决个人信息侵权成本过低以及损害认定难的问题，部分采取最低限额赔偿的做法为个人信息主体提供救济，例如，我国台湾地区“个人资料保护法”第28条第3项即明确了法定赔偿的最低限额“如被害人不易或不能证明其实际损害额时，得请求法院依侵害情节，以每人每一事件新台币五百元以上二万元以下计算。”这种同时规定最高赔偿额和最低赔偿额的立法模式，具有对法官自由裁量进行授权和限制的双重属性，有利于在一定区间内确定合理的赔偿数额。在《个人信息保护法（草案）》出台之后，我国学界也有增设最低限额法定赔偿的呼声，但最终出台的《个人信息保护法》中并未规定民事损害赔偿的最低限额，探究立法者的内心真意此时已无实益，唯有在解释论上寻求损害赔偿的恰当路径方才有所裨益。

对此，有学者指出损害认定在历史发展的各个时期均有其特性，在数字经济时代，损害的概念应随时代发展而予以变革，可通过将“风险”视为损害进而扩大损害赔偿责任的适用范围，以此解决现有的损害赔偿责任的适用困境。然而损害的变革事关损害赔偿法、侵权责任法乃至整个私法的根基，任意进行解释扩张，恐动摇私法根基。看似仅是将“风险”纳入损害的范畴，意欲化解个人信息损害认定的难题，实则必将引起整个侵权法变革的“蝴蝶效应”，宜慎之又慎。当前司法实践中对于“风险”的赔偿适用也是如此，在“孙国燕诉被告移动滨州分公司等隐私权、个人信息保护纠纷案”中，法院虽明确指出被告的电话推销行为直接侵犯了个人信息主体的知情权与拒绝处理权等信息权利，但并未支持原告以未来存在的损害风险为由所主张的财产损失赔偿。但仅因损失难以计算就不予赔偿，任由侵权人从侵害他人人格权益中获益，显然是不公平的，同时也不利于预防和制止侵权行为。当前我国已有部分法院注意到了个人信息损害赔偿中存在的利益衡量失准问题。例如，在“袁某诉廖某人格权纠纷案”、“微信读书案”、“赵鹏诉杨喜东等隐私权纠纷案”、“戴森、李玉梅诉敖馨月隐私权纠纷案”、“孙友田诉孙晶名誉权纠纷案”等案件中，法院通过将被侵权人为制止侵权行为所支付的合理开支等附带性支出认定为个人信息权益遭受侵害后产生的财产损失，从而判决被告酌情对原告进行必要的赔偿，进而在一定程度上化解个人信息损害赔偿中存在的利益衡量失准或无法确定的问题。

但酌情予以经济损失赔偿系充分发挥法官自由裁量权之举，法官内心所持价值不同，裁决结果也会大相径庭，司法正义的普遍实现绝不能寄托于可变因素之上。在“唐爽诉张睿一般人格权纠纷”案中，法院虽对原告取证维权的合理费用予以支持，但却认为律师费非属必要支出未予支持。虽然律师费用是否认定为经济损失是法官裁量的范围，但该案与“孙友田案”同属浙江省辖区，同地区的法院对经济损失的裁量尚存在差异，也侧面反映了当前个人信息保护中物质性损失认定的不确定性。遑论在个人信息主体无法证明现实物质损失存在的情况下，法院能做的仅是将必要的维权费用作为个人信息主体的经济损失予以赔偿。虽然侵权法的主要功能不在于惩罚，但若赔偿结果仅是类似上述的“适当补偿式”赔偿，势必出现侵权成本过低而受害人维权费用畸高的不公正局面。

之所以在当前的实践中呈现出这样的局面，实则是由于现行的法秩序下，关于个人信息的损害赔偿规则，尚无法突破现有人格权以及财产权损害赔偿的推理模式。这意味着，在当前的法律框架内，对于个人信息受到侵害所导致的物质性损害，仍需要采用一般侵权规范的推理模式来进行判定。这导致在实践中往往只能依赖于传统的侵权法理论，而无法直接、有效地保护个人信息权益。

然而，就目前的司法实践来看，除非确立侵害个人信息权益即产生物质性损害的类“绝对权”观念，否则在大多数情况下，个人信息侵权往往只是产生其他下游损害的手段。亦即多数情况下，个人信息受到侵害本身并不足以直接导致物质性损害，在其他不法行为的作用下，才能产生实际的损害后果。因此，在个人信息侵权领域，物质性损害的认定存在法理与制度的窠臼。在强化信息流通的背景下，个人信息权益无法成为“绝对权”，寄希望于物质性损害的扩张以破除损害认定的困境不具有现实可操作性。

（二）精神损害认定的扩张

《个人信息保护法》第69条的“损害”并未言明是否包含非物质性损害，因此需要对其意旨予以探析。比较法上对个人信息侵权领域的非物质损害多持肯定态度。GDPR第82条第1项规定：“任何因为违反本条例而遭受物质或非物质性损害的人，都有权就遭受的损失获得数据控制者或者处理者的赔偿”。我国台湾地区“个人资料保护法”第28条第2项也指出：“被害人虽非财产上之损害，亦得请求赔偿相当之金额；其名誉被侵害者，并得请求为回复名誉之适当处分。”在侵害个人信息权益的处理行为中可能会引起个人信息主体遭受歧视、身份盗窃或欺诈、经济损失、声誉损害、受专业保密措施保护的个人数据失密、未经授权撤销假名或任何其他重大经济或社会不利因素；数据主体可能被剥夺其权利和自由或被阻止控制其个人数据。因此，事实上除现实存在的经济损失外，侵害个人信息权益往往还会造成个人信息主体内心的痛苦及焦虑等非物质损害。由此观之，《个人信息保护法》第69条的规范意旨应采与比较法上相同的解释立场，即：“损害”应包含非物质性损害。

“阳光下并无新鲜事”，在违反个人信息处理规则是否必然导致精神损害这一问题上，我国台湾地区与德国均采“严格解释说”，遵循人格权的判定路径对精神损害予以判定。当前，我国司法实践系采相同立场，即个人信息领域的精神损害赔偿请求权基础在于人格权侵权，对于个人信息侵权主体提出的精神性损害主张，多结合隐私权及名誉权侵权予以认定。但是违反个人信息处理规则绝不当然等于人格权侵权。因此，当前个人信息侵权纠纷中精神性损害赔偿的支持率非常低。经统计，个人信息保护中精神损害赔偿的支持率仅为27.8％（见表2）。有学者进一步认为焦虑不安难以被认定为精神损害的子类型，是个人信息精神损害赔偿认定艰难的原因之一。

表2 当前个人信息保护司法实践涉及损害赔偿责任的案件梳理

但观之《个人信息保护法》的立法目的，即在于“进一步加强个人信息保护法制保障”。在“在违反信息处理规则是否必然导致精神损害”这一问题上，宜遵循个人信息分类保护的脉络，放宽敏感个人信息的精神损害认定标准，确定违反个人信息处理规则侵害敏感个人信息即构成对个人信息主体的精神损害。首先，鉴于“可识别性”标准的泛化，当前几乎没有任何个人信息是不属于《个人信息保护法》的保护范围，又因《个人信息保护法》的严格措施影响，当前个人信息的相关保护措施也逐渐流于形式。但即便如此，也不能忽略敏感个人信息的保护价值，敏感个人信息与人格尊严息息相关，侵害敏感个人信息“容易导致人格受到侵害”“容易导致人身、财产安全受到危害”，即敏感个人信息具有“易损性”。在吴某某诉上海某信息服务有限公司等个人信息保护纠纷案中，法官认为“当敏感个人信息被违法处理，个人信息主体会产生对个人信息风险的担忧，对个人生命健康、人格尊严或经济利益可能遭受严重损害或极易遭受损害产生恐惧、焦虑等情绪。”杭州互联网法院在该案评述中指出：在尚未发生实质性损害的情况下，违法处理信息主体的个人信息是否造成人格尊严等精神损害，应充分考虑处理行为的特点、量级、违法性和个人信息类型等因素，判断信息主体是否因违法处理行为陷入可能预见的风险和焦虑中，若答案为肯定，则应认定构成对人格尊严、人格自由的精神损害。但应指出的是，该精神损害并不当然解释为能够获得精神损害抚慰金的补偿。为了防止精神损害赔偿的泛化，除法国等采纳宽泛认定损害的国家外，各国的立法均采谨慎态度。当前世界各国的主流观点仍认为“纯粹的精神损害通常不能获得赔偿。”我国也同采谨慎立场，《民法典》第1183条将精神损害赔偿的适用加之“严重”程度的限制，依此脉络，个人信息主体仅能就严重精神损害请求个人信息处理者赔偿。为保证法律体系内部的统一，个人信息当然也得适用《民法典》的相关规范。因此，个人信息侵权领域的精神损害赔偿也应适用“严重后果”的限制。但这也并不意味着确认侵害敏感个人信息对个人信息主体造成的精神损害毫无意义。

首先，确认侵害敏感个人信息的行为必然导致精神损害，属行为与结果的统合，权利人无须再行证明责任范围层面的因果关系，将更加便利损害赔偿请求权的适用。如能证明精神损害达致“严重”程度，可进一步请求精神损害抚慰金。

其次，“严重”的精神损害能够触发精神损害抚慰金，即使未能举证侵害行为构成“严重”精神损害的当事人，仍可因精神受损害获得象征性赔偿，以此宣告权利并在裁判层面确认和突出个人信息处理行为的违法性。在当前个人信息侵权司法实践中，法院对精神损害“严重”标准的适用存在差异。部分法院恪守严格的限缩解释，认为个人信息主体的内心焦虑等不足以达到“严重”的标准，不予支持精神损害赔偿。同时也有部分法院对此采宽松解释立场，根据“通常经验”以及个人信息处理者的行为是否侵害其他个人权益，对精神损害的“严重”性予以推定，进而酌定支持精神损害抚慰金。在“刘云超诉北京顺丰速运有限公司等个人信息保护纠纷案”中，法院认为“被告的行为显然会使原告因个人信息失控而产生精神困扰”，被告应就这一精神损害承担赔礼道歉及精神损害抚慰金的民事责任。此种扩张解释虽与限缩适用精神损害赔偿的立法趋势相背离，但却契合了实证法永远无法正当化法律决策，具有说服力的永远只能是规则背后的理由，而非规则本身之理。

最后，精神损害的确立能够为赔礼道歉的适用提供前提条件。“关于损害的规范意旨，应认识到，损害赔偿之功能，不仅在于填补被害人之损害，或调整被害人之利益。损害赔偿请求权应属被害人本来权利或法益内容的继续，为贯彻法律认许的权利或法益之价值，损害赔偿具有权利保护的功能，必须基于权利或法益本身的规范意义，考量损害赔偿之内容。”作为弥补精神损害另一有力路径的赔礼道歉，也可作为个人信息主体精神损害的救济主张。司法实践中，相较于精神损害赔偿，个人信息侵权领域的“赔礼道歉”适用门槛更低，多数主体无需证明精神损害“严重”与否，即可获得支持。此外，在权利话语的推动下，人们对名誉权等权利日益重视，在意侵权人的赔礼道歉胜过金钱赔偿的受害人不在少数。对于个人信息主体而言，金钱赔偿在一定程度上尚有人格减等意味，而赔礼道歉会给加害人带来“羞辱感”或使其陷入“更加气愤”的心理境地。确认违反个人信息处理规则对个人信息主体造成精神损害能够为个人信息主体请求赔礼道歉弥补损害创造先决条件。

综上所述，在个人信息侵权这一特殊领域中，需要澄清这样一个事实，即任何违反个人信息保护规则的个人信息处理行为，都是对个人信息主体权益的侵害。但此种侵害并不当然产生损害，只有在侵害敏感个人信息时，个人信息主体才会必然遭受精神损害。进一步而言，精神损害并不是只有精神损害抚慰金这一赔偿措施。个人信息主体在遭受精神损害时，无需伴随其他民事权利的受损，即有权要求侵权人进行赔礼道歉，并获取象征性的赔偿。如此能够在一定程度上弥补其因侵权行为所遭受的精神痛苦。也有望打破当前个人信息侵权领域中存在的违法成本过低而维权成本过高的失衡局面。这不仅能够有效遏制个人信息侵权行为的发生，还能鼓励更多的个人信息主体积极维护自身权益，从而形成一个更为公平、有序的个人信息保护环境。

四、因果关系之区分

除侵害行为和损害的认定之外，个人信息主体援引损害赔偿请求权还需证明个人信息处理行为与其权益受损之间以及权益受损与损害结果之间存在因果关系，即“责任成立的因果关系”与“责任范围的因果关系”。责任成立的因果关系是事实构成要件，用于判断侵权责任是否成立，责任范围的因果关系蕴含有价值判断，用来在侵权责任成立后确定损害赔偿范围的因果关系。

（一）责任成立的因果关系

违反个人信息保护规则的个人信息处理行为即属侵害个人信息权益的行为，虽侵害行为并非当然导致损害产生，但侵害行为带来的风险会危及个人信息权益的安全并无疑义。所以当面对仅存在单独的个人信息处理者实施处理行为时，因果关系单一，证明侵害行为与权益受损之间的因果关系并非难事。较为复杂的是存在多个个人信息处理者处理个人信息，此时多个主体既可能分布在同一阶段个人信息处理活动中，也可能分布在不同阶段的个人信息处理活动中，个人信息主体无法证明权益受损是由何者行使的何种侵害行为所致。例如，个人信息泄漏导致被诈骗金钱、信用信息错误导致贷款被拒从而引发买卖合同定金损失、处罚信息泄漏导致工作机会丧失、个人信息泄漏导致信用卡新增债务、个人信息泄漏导致航空里程被他人兑换等。这也正是当前个人信息侵权损害赔偿案件的一大争议焦点。

对于无法确定具体侵权人的特别情形的民事责任，主要存在四种观点，第一，共同危险行为规则的类推适用，从解释论的视角论证《民法典》第1170条在个人信息侵权法保护中的关键性作用。有学者认为囿于信息主体在复数信息处理者场合下遭受来自行为人的共同危险行为所导致的证据损害现象，因此可以类推适用共同危险行为到复数处理者的场景中。第二，因果关系条件说。该观点认为以侵权的因果关系是否存在条件关系为依据，即仅认定事实的因果关系，从而只需要信息主体证明潜在侵权人就可获得救济。第三，类推适用高空抛物规则，该观点认为高空抛物与个人信息侵权形式上均具有加害人不明，但范围相对特定的特点，实质上又存在当事人双方在损失分担能力与风险控制成本的差距，因此个人信息侵权可以类推适用高空抛物规则。第四，相当因果关系说，该观点保守地坚持相当因果关系理论，认为面对复数侵权者，只需要追究直接侵权人的民事责任。四种观点除条件说已被多数观点论证无法解决多因一果的问题外，其他三个观点中的两种类推适用实际上均属于优待信息主体举证责任的规则，而相当因果关系理论在面对多数处理者的场合也认可证据损害现象，有必要加重可能并无侵权行为的处理者的举证责任，其本质与类推适用的两种规则别无二致。

适用共同危险行为因果关系的认定模式化解侵害行为与权益受损间因果关系问题无疑是当前最为妥适的路径。根据“证据整体化”的方法，法律只需要允许受害人通过证明数个行为人所实施的整体行为与权益受损之间的因果关系，从而即可推定个别行为人所实施的个别行为与权益遭受侵害直接存在因果关系。在此类案件中类推适用共同危险制度，自然人将参与了信息共享或共同处理的信息处理者视为一个整体，证明危险行为与权益侵害之间的因果关系，即可推定各个信息处理者的个别行为与受害人的权益遭受侵害之间的因果关系。此外，随着现代科技进步和社会发展，受害人对行为人因果关系乃至行为人的判断都可能变得愈发困难；允许受害人在只知部分行为人的情况下向其主张权利，应是共同危险行为这一法律规则在现代社会发展中的应有之义。如个人信息主体或个人信息处理者不能举证证明具体侵权人的，各实施侵害行为的个人信息处理者应承担损害赔偿的连带责任。如此不仅可以解决复合主体处理个人信息时因果关系的证明困境；还能提高个人信息处理者实施处理行为的注意义务，推动个人信息处理的合规化进程。

（二）责任范围的因果关系

因果关系的一个重要意义即在于“合理截取因果关系链条，控制责任范围，维护行为自由。”如何准确认定“责任范围的因果关系”，即如何确定损害结果中哪部分可以归因于具体的侵害行为。是一个复杂而细致的过程，需要通过价值判断筛选过滤不合理的损害赔偿请求。

如前所述，确立侵害敏感个人信息即会对个人信息主体造成精神损害，此种情形下侵害本身即是损害，无需就因果关系进行区分讨论。当然是否能够获得精神性损害赔偿，则需要根据损害是否达到“严重”程度进行判断。这需要个案衡量，综合考虑个人信息被侵害的方式、范围、持续时间以及个人信息主体的个体差异等因素，来评估精神损害的严重程度。

除此之外，对于侵害一般个人信息权益产生损害以及侵害敏感个人信息产生物质性损害的行为，均需单独对责任范围的因果关系进行讨论。针对损害的产生，如前所述，侵害个人信息权益的行为并不会直接导致物质性损害的产生，侵害一般个人信息也不会直接导致精神性损害的产生。这意味着，不能简单地将损害的产生归咎于个人信息被侵害这一行为。如果个人信息主体能够证明其所受损害与个人信息被侵害之间具有条件关系，那么个人信息主体就有权要求个人信息处理者承担相应的损害赔偿责任。但仅依据条件说势必将责任范围进行无限制扩张，是否能够获得赔偿，还需依据相当性进行判断。是否具有相当性，属于价值判断，具有法律上归责的机能，旨在合理地移转或分散因侵权行为而生的损害。对此应采客观说进行判断，是否存在相当的因果关系，由法官行为时的全部事实以及行为后可预见的事实为基础进行自由裁量。

总之，在解决责任范围因果关系的认定问题时，除却侵害敏感个人信息必然造成个人信息主体精神损害这一特殊情形，应采相当因果关系说对责任范围的因果关系进行判断。在条件说的基础之上，对相当性进行客观评价，只有权益受损与损害结果的发生具有相当的因果关系，方可肯认个人信息主体损害赔偿的请求。

五、结语

不同于传统民事权益，个人信息侵权案件具有其特殊性和复杂性。损害赔偿请求权得以在个人信息侵权中充分发挥作用，首先即应明确侵害个人信息权益的行为样态。通过“合法性依据+行为义务”的“准入+全生命周期”的双重认证标准，对侵害个人信息的行为予以识别，不具有合法性依据的个人信息处理行为当然具有违法性，而任一行为义务的缺失都会使个人信息处理行为丧失正当性。对于侵害行为产生的损害结果认定，碍于物质性损害认定的种种困境，其并不能成为损害赔偿请求权适用的突破点。而敏感个人信息因其“易损”的特殊性质，应明确侵害敏感个人信息当然会产生精神损害的观念，以在一定程度上破解个人信息主体权益保护的困境。在责任成立层面的因果关系认定中，针对个别行为主体，因果关系链条单一，条件说即可予以认定，面对数个个人信息处理者时，需适用共同危险行为中因果关系的认定路径。而在责任范围的因果关系认定中，应遵循相当因果关系说，以条件说+相当性划定责任范围，避免不当侵害行为自由。当下数字时代的诸多“怪相”对传统法律体系造成了极大的挑战，只有坚持不懈的法解释工作和与时俱进的观念变迁，才能确保损害赔偿法永葆活力，在私法保护体系中发挥应有的作用。

为阅读方便，脚注从略。如需引用，可参阅原文。

*郭宏璟，海南大学助教。杨芳，海南大学法学院教授。本文系国家社科基金一般项目“企业间数据竞争法律问题研究”（20BFX121）、河南省法学会民法学研究会课题“私法领域‘动态系统论’的适用研究”（HNCLS（2023）56）的阶段性研究成果。