朱晓峰：论行政机关处理个人信息致损的赔偿责任

　　大数据时代的个人信息成为驱动经济发展与社会进步的重要资源，与此相关的个人信息处理成为各行各业关注的重点。为保护个人信息并实现个人信息的合理利用，我国民法典、个人信息保护法、刑法等对处理个人信息应遵守的基本原则、具体规则及其违反之后的法律责任等作了相对明确的规定。这有助于个人信息保护和合理利用二者关系的平衡处理，但也存在问题。其中最突出的问题之一是行政机关及其工作人员处理个人信息致损害发生时，相应的损害如何赔偿。对此，学理上与实务中存在较大分歧。例如，有观点认为行政机关及其工作人员处理个人信息所致损害属于《中华人民共和国个人信息保护法》（以下简称“《个人信息保护法》”）第69条的调整范畴，受害人有权依据该条主张财产损失赔偿请求权和精神损害赔偿请求权；也有观点认为，于此的损害属于《中华人民共和国国家赔偿法》（《以下简称“《国家赔偿法》”》）的范畴而应依据该法处理，因此受害人只能主张财产损失赔偿而不能主张精神损害赔偿；还有观点认为，由于《个人信息保护法》对其适用范围作了明确规定，因此应依据该规定而将部分行政机关及其工作人员的致害行为纳入特别法的调整范畴，对此之外的则依据《个人信息保护法》调整。这种对行政机关及其工作人员处理个人信息致损赔偿规范基础的不同认识，导致实务中在具体认定相应赔偿责任成立和承担时也存在疑问，影响现行损害赔偿规范体系的理解与适用。在此背景下，本文从解释论视角出发，拟在厘清行政机关及其工作人员处理个人信息致损赔偿责任的性质及规范基础上，明确赔偿责任成立和承担认定中疑难问题的解决思路，为《个人信息保护法》追求的个人信息保护与合理利用二者平衡协调目的的实现，提供解释路径。

　　虽然《个人信息保护法》第33条规定国家机关处理个人信息的活动适用《个人信息保护法》规定，但该法第72条第2款同时又规定，若法律对于政府及其有关部门组织实施的统计、档案管理活动中的个人信息处理有规定的，则适用该规定。这一规定将该领域的个人信息处理问题引致到其他法律如《中华人民共和国统计法》（以下简称“《统计法》”）、《中华人民共和国档案法》（以下简称“《档案法》”）等上，从而使相应处理行为所致损害的赔偿问题不在《个人信息保护法》的调整范畴。例如，依据《档案法》第51条结合第48条规定，当单位或个人违反法律规定擅自提供、抄录、复制、公布属于国家所有的档案，造成财产损失或其他损害的，依法承担民事责任，从而将相应损害赔偿责任与《中华人民共和国民法典》（以下简称“《民法典》”）第1165条第1款结合第1182条、第1183条第1款及第1184条联系起来，不再通过《个人信息保护法》的相关规定（如第69条）进行调整。另外，虽然《国家赔偿法》对纳入其调整范围的违法行为及保护范围的合法权益类型作了严格限制，但由于该法第2条第1款及第4条第4项这样的概括条款的存在，行政机关处理个人信息致损行为亦存在经由《国家赔偿法》进行调整的解释空间。由此显现出来的关于行政机关及其工作人员处理个人信息致损赔偿问题的法律调整图景是：由《民法典》《个人信息保护法》《国家赔偿法》等分别确立的彼此存在显著差异的损害赔偿规则皆存在适用的可能，但具体究应如何适用则不清晰，影响现行法秩序下损害赔偿规范目的的实现。

　　事实上，行政机关及其工作人员处理个人信息致损行为究竟应依何种损害赔偿规则进行调整，首先取决于于此情形下的损害赔偿责任的性质。对此，学理上与实务中基于不同视角而有不同观点，主要有“国家赔偿责任说”与“民事赔偿责任说”两种，后者内部又因规范基础不同而区分为“个人信息保护法说”、“特别法与一般法结合说”。下文即以对这些学说的分析为基础来厘定行政机关及其工作人员处理个人信息致损场合的赔偿责任的性质，确定行政机关及其工作人员处理个人信息损害赔偿责任的规范基础。

　　（一）学说上的主要观点与分歧

　　“国家赔偿责任说”认为，行政机关及其工作人员处理个人信息的权力基础是履行法定职责，因此形成的法律关系是纵向管理性的行政法律关系；若行政机关的个人信息处理行为导致个人信息权人损害发生，则该损害属于《国家赔偿法》确立的损害赔偿规则的涵摄对象，相应的损害赔偿责任性质即为国家赔偿责任。虽然《国家赔偿法》未明确将个人信息权益纳入保护范围，但由于该法第2条第1款属于概括性规定，可以将国家机关及其工作人员因行使职权而处理个人信息的行为纳入调整范畴，据此，相应侵害行为所致损害纳入该法确立的损害赔偿规则调整范围，自无疑义。当然，《国家赔偿法》第35条严格限制精神损害赔偿规则的适用范围，依据该条规定，除该法第3条规定的人身自由、身体健康和生命权受损场合的严重精神损害之外，其他人身权益侵害场合的精神损害并不具有可赔性。这就导致行政机关及其工作人员处理个人信息所致精神损害在现行国家赔偿法体系内不能获得救济。

　　“民事赔偿责任说”依赔偿责任规范基础的不同，可进一步区分为“个人信息保护法说”与“特别法与一般法结合说”两种。其中，个人信息保护法说认为行政机关及其工作人员处理个人信息致损的赔偿责任是民事赔偿责任的原因有二：一方面，我国对个人信息权益一直都采一元主义保护模式，并没有区分国家机关和非国家机关个人信息处理行为而分别加以规范。无论是《民法典》《中华人民共和国网络安全法》，还是《个人信息保护法》都采取这一模式。例如，《民法典》规定的是关于平等民事主体之间法律关系的调整规范，但是，该法第1039条为强化对个人信息的保护而明确规定国家机关及其工作人员在个人信息处理活动中的保密义务；《个人信息保护法》第33条更是明确规定，国家机关处理个人信息的活动适用该法，并且基于国家处理个人信息活动的特殊性而在该法第二章第三节作了特别规定。另一方面，《国家赔偿法》第3条、第4条对行政机关及其工作人员行使职权侵害人身权、财产权的情形和具体权利类型作了明确限定，而个人信息权益既不属于第3条规定的人身自由、身体健康和生命权，也不属于第4条规定的财产权，因此亦不适用《国家赔偿法》。据此，行政机关及其工作人员个人信息处理活动中侵害个人信息权益的损害赔偿问题由《个人信息保护法》第69条调整，属于民事赔偿责任范畴，而非国家赔偿责任。

　　与个人信息保护法说不同，特别法与一般法结合说认为，虽然《个人信息保护法》第33条规定国家机关处理个人信息的活动适用该法，但《个人信息保护法》第72条明确规定，若法律对各级政府及其有关部门组织实施的统计、档案管理活动中的个人信息处理有规定的，应适用该特别规定。依据该款引致的《档案法》第51条结合第48条所确定的国家机关及其工作人员处理个人信息致个人信息权人受损的，应依法承担民事责任，此时的民事赔偿责任应根据个案具体情形确定。对此之外的的其他个人信息处理行为致害的赔偿责任认定，则应依据《个人信息保护法》第33条而由该法第69条认定。

　　（二）对学理观点的评析及本文的立场

　　前述学理上与实务中关于行政机关及其工作人员致损场合的损害赔偿责任性质的讨论，决定了相应损害赔偿责任的规范基础。无论是“国家赔偿责任说”还是“民事赔偿责任说”，皆采一元主义立场，即二者仅从《国家赔偿法》或《个人信息保护法》的视角来认定于此场合的损害赔偿责任性质。尽管“民事赔偿责任说”内部的“特别法与一般法结合说”承认行政机关及其工作人员处理个人信息致损时的赔偿责任应区分处理，但无论是特别法规定，还是一般法规定，二者确立的损害赔偿责任皆是民事赔偿责任，其并未认识到于此场合的赔偿责任性质亦应采区分处理的方法来认定。

　　事实上，从《国家赔偿法》第2条规定的文义看，纳入该法调整范畴的损害以国家机关及其工作人员行使职权为前提，非因行使职权所致之损害并未在该法的调整范畴，受害人不能依据该法主张损害赔偿。行政机关及其工作人员因行使职权处理个人信息而致损害发生的，该损害当然属于该法第2条涵摄的损害而可以适用《国家赔偿法》确立的损害赔偿规则救济，此时的损害赔偿责任性质应是国家赔偿责任而无疑问。但是，实践中国家机关及其工作人员处理个人信息的行为显然并非全都是发生在行使职权过程中，如行政机关及其工作人员擅自提供、复制、抄录、公布其在行使职权活动中获取的个人信息，即不是行使职权过程中所为的侵害行为，因此所导致的损害也不是《国家赔偿法》第2条涵摄的对象，自然不能依据该法规定的损害赔偿规则认定相应损害的赔偿责任。对于这些非因行使职权致损害发生的个人信息处理行为，依据《个人信息保护法》第33条结合第69条，可以纳入该法确立的损害赔偿规则调整范围，该赔偿责任性质应是民事赔偿责任而非国家赔偿责任。

　　也就是说，行政机关及其工作人员处理个人信息所致损害的赔偿责任性质应区分情形而具体判断。不考虑行政机关及其工作人员是否依职权处理个人信息而直接将相应侵害行为所致损害的赔偿责任统一定性，无论是国家赔偿责任还是民事赔偿责任，皆不周延。而以区分处理的方法来认定于此的损害赔偿责任的性质的核心意义即在于，既考虑到了《国家赔偿法》所确立的国家赔偿责任在行政机关及其工作人员行使职权致个人损害时的可适用性，也兼顾了《个人信息保护法》及其特别法在认定行政机关及其工作人员处理个人信息致损赔偿问题上的立场，协调了现行损害赔偿规范体系内国家赔偿责任规范和民事赔偿责任规范的适用关系，有助于行政机关及其工作人员处理个人信息致损赔偿责任规范基础的厘定。

　　如前所述，可以以行政机关及其工作人员是否在行使职权时处理个人信息为标准而将相应处理行为所致损害的赔偿问题分别置于《个人信息保护法》等确立的民事赔偿责任体系与《国家赔偿法》等确立的国家赔偿责任体系进行调整。

　　（一）民事赔偿责任的规范基础

　　行政机关及其工作人员处理个人信息并非完全基于行使职权而为，其在行使职权之外处理个人信息致损害发生的，因为该侵害行为不在《国家赔偿法》第2条结合其他规定确立的国家赔偿责任规范的调整范畴，受害人难以依据《国家赔偿法》第2条等主张财产损失和精神损害赔偿请求权。但若此时完全拒绝对受害人遭受的损害给予救济，则可能违背现行法律体系下个人信息权益应获得平等保护的基本原则，难言合理。于此情形下，依据《个人信息保护法》第33条，受害人可以通过该法第69条等向行政机关主张相应的损害赔偿责任。但问题是，在《个人信息保护法》第33条已明确规定国家机关处理个人信息的适用该法规定，且该法第72条第2款亦明确将政府及其有关部门组织实施的统计、档案管理活动中的个人信息处理活动引致到其他法律如《统计法》《档案法》的调整范围的背景下，此时何以适用《国家赔偿法》的损害赔偿规定调整行政机关及其工作人员行使职权处理个人信息致损的赔偿问题，而不是依据《个人信息保护法》第33条将之全部交由该法处理，并且依其他法律的损害赔偿规定处理前述统计、档案管理活动中的个人信息处理活动引致的损害赔偿问题而非统一经由《个人信息保护法》第33条适用该法第69条确立的损害赔偿规则？对此问题的回答，涉及现行损害赔偿规范体系内不同法律规则的体系协调问题，应审慎处理。

　　1.《个人信息保护法》与《国家赔偿法》的适用关系

　　对于第一个问题的回答，实质上涉及对《个人信息保护法》性质的认定。对此，学理上与实务中存在不同观点，主要存在“综合性法律说”、“基本法说”与“特别法说”的分歧。其中，依据“综合性法律说”的观点，《个人信息保护法》既非纯粹的私法亦非纯粹的公法，其与其他法律的关系应区分类型确定：第一种是该法对其他法律的相关规定进行了充实和发展；第二种是通过该法的转介条款或相关规定指向其他法律的规定；第三种是该法的规定相对于其他法律的规定是特别规定而应优先适用；第四种是该法与其他法律有不同的规范目的而分别适用于不同的情形。据此，虽然《个人信息保护法》第33条明确规定国家机关处理个人信息的行为应适用该法，但在损害赔偿问题上，却应在考虑其他法律与《个人信息保护法》的不同规范目的的基础上，确定究竟应依据何种损害赔偿规范评价相应处理行为的法律效果。与此不同，“基本法说”认为，《个人信息保护法》是关于个人信息保护与利用的基本法，其在现行法秩序下与我国民法典、刑法等基本法处于同一位阶。但考虑到数字时代个人信息保护问题前所未有的复杂性，为强化个人信息的保护，应在必要范围内引入有强度的积极管理和严厉的特殊法律责任等外部治理新机制。“特别法说”认为，《个人信息保护法》是关于个人信息保护的综合性立法，其包含的关于个人信息保护的规则与其他制定法关于个人信息保护的规则构成特别法与一般法的关系。因此，在法律规则的适用上应在特别法与一般法体系协调的视角下展开，通过特别规定反映并实现一般规定所欲实现的价值与目标。

　　基于这三种观点，关于行政机关及其工作人员行使职权处理个人信息致损的赔偿责任规范基础，会因《个人信息保护法》与《国家赔偿法》之间的不同关系而有不同。其中，“综合性法律说”与“基本法说”虽然在认定《个人信息保护法》的基本属性问题上存在分歧，但二者都为《国家赔偿法》确立的损害赔偿责任优先适用提供了解释空间，因为“综合性法律说”会基于不同法规范目的而确定何种赔偿规则应优先适用，“基本法说”亦强调为强化个人信息的保护可以在必要时引入更严厉的特殊法律责任而不必囿于《个人信息保护法》。有疑义的是“特别法说”，依据该说，《个人信息保护法》与其他制定法特别是《民法典》在个人信息保护问题上是特别法与一般法的关系，在法律适用上应当遵循特别规定优先于一般规定适用的原理。然而，问题是，在行政机关及其工作人员处理个人信息致损导致的赔偿问题上，《个人信息保护法》和《国家赔偿法》二者究竟谁为一般法，谁为特别法？对此可以从三方面进行判断：

　　第一，从调整对象看，《个人信息保护法》与《国家赔偿法》存在包含与被包含的关系。其中，前者主要调整事实上因经济、技术、信息等能力不对称的处理者与个人信息权人之间因个人信息处理行为所引发的法律关系，而后者调整法律地位并不平等且处于纵向法律关系中的国家机关及其工作人员因行使职权致相对人受损场合的赔偿问题。行使职权处理个人信息致损的国家机关只是具有这种优势地位的一种个人信息处理者，属于受《个人信息保护法》调整的诸多处理者中的一种。

　　第二，从调整内容看，《个人信息保护法》与《国家赔偿法》存在包含与被包含的关系。其中，前者对个人信息处理行为进行全面调整，包括个人信息处理规则、个人信息跨境提供的规则、个人在个人信息处理活动中的权利、个人信息处理者的义务、履行个人信息保护职责的部门以及前述规则违反的责任，而后者只调整国家机关及其工作人员行使职权致损的国家赔偿问题，只是《个人信息保护法》规定的诸多法律责任中的一种类型。

　　第三，从损害赔偿规则的具体内容看，《个人信息保护法》与《国家赔偿法》之间存在一般与具体的关系。其中，《个人信息保护法》确立了调整个人信息侵害损害赔偿问题的一般条款即第69条，该条在第1款规定了损害赔偿责任的成立要件并明确了有利于个人信息权人的过错推定规则，在第2款规定了损害赔偿数额的计算方法，以保护个人信息处理活动中事实上通常处于不利地位的自然人，其他的则无涉及。而《国家赔偿法》不仅规定了国家赔偿的赔偿方法、赔偿请求权人、赔偿义务机关、赔偿程序，还规定了赔偿方式和计算标准，相较于《个人信息保护法》第69条，这些规定更具体详细而具有可操作性。

　　总结来看，在国家机关及其工作人员行使职权处理个人信息的相关法律问题的调整上，《国家赔偿法》与《个人信息保护法》之间是一种特别法与一般法的关系。相应地，在行政机关及其工作人员处理个人信息致损的赔偿问题上，《国家赔偿法》与《个人信息保护法》在损害赔偿问题上的相关规定之间呈现出来的则是一种特别规定与一般规定的关系。依据我国立法法第103条确立的法律适用的一般规则，同一机关制定的法律新法优于旧法，特别规定优先于一般规定。问题是，作为旧法和特别法的《国家赔偿法》与作为新法和一般法的《个人信息保护法》在国家机关及其工作人员行使职权处理个人信息致损赔偿问题上的规定存在不一致时，应当如何适用法律？对此，依据我国立法法第105条第1款的规定，若不能确定如何适用时，应由全国人民代表大会常务委员会决定。在有权国家机关对此作出裁决之前，从法律适用的视角看，《个人信息保护法》第69条规定的损害赔偿规则与《国家赔偿法》的相关规则之间存在的冲突，可以在现行法秩序下通过法律解释方法解决。

　　如前所述，《个人信息保护法》关于个人信息侵权损害赔偿责任一般条款的第69条第1款规定了责任成立的构成要件并就过错的证明问题明确规定了过错推定，第2款规定了财产损害赔偿数额的计算方法。其与《国家赔偿法》的相关规定之间的不一致主要体现在两方面：一是过错问题；二是财产损害赔偿数额额计算问题。就过错问题而言，《个人信息保护法》第69条第1款规定过错推定旨在保护事实上处于不利地位的个人信息权人。对此，有观点认为，为实现个人信息的充分保护，应采取更严格的无过错归责原则。而《国家赔偿法》在损害赔偿责任问题上采违法归责，行为人只要行为不法，违反了法律的保护性规定，即应承担责任。其意欲通过对侵害行为的违法性认定来解决过错认定导致的法律效果评价不确定问题，是客观归责的一种表现形式。就违法归责的本质来看，由于行为不法本身事实上亦可推定行为人具有过错，与过错推定的效果并无本质区分。就损害赔偿数额计算问题而言，《个人信息保护法》第69条第2款规定了自由竞合式＋检索递进式的计算方法，以填补损害、恢复原状为目的，并且兼具惩戒的功能，以强化对受害人的保护。对此，《国家赔偿法》第32条、第36条第8项结合《最高人民法院关于审理行政赔偿案件若干问题的规定》（以下简称“《行政赔偿解释》”）第29条第4项亦确定了赔偿受害人遭受的实际损失以恢复原状的目的。至于具体赔偿数额的计算方法，《国家赔偿法》并未明确规定，此时可回溯至作为一般规定的《个人信息保护法》第69条第2款，以实现体系上的协调。

　　亦即，“特别法说”与“综合性法律说”“基本法说”一样，皆可以为《国家赔偿法》在行政机关及其工作人员处理个人信息致损赔偿问题上优先于《个人信息保护法》适用提供解释空间，但其优先适用的前提是行政机关及其工作人员致损行为系发生在行使职权过程中，此外的其他致损行为则应依据《个人信息保护法》第69条认定相应的赔偿责任。

　　2.《个人信息保护法》与经该法第72条第2款引致的法律的适用关系

　　与《个人信息保护法》第33条一样，该法第72条第2款亦是引致条款，将政府及有关部门组织实施的统计、档案管理活动中的个人信息处理引致到其他法律规定（如《统计法》《档案法》），由这些法律调整相关个人信息处理活动。依据该规定，对于此种情形下的个人信息处理行为所致损害的赔偿认定，自应依据这些被引致的法律处理。但问题是，在《个人信息保护法》第33条已经明确规定国家机关处理个人信息活动的行为适用该法规定调整的前提下，尚可依据《个人信息保护法》与《国家赔偿法》之间的特殊关系而在损害赔偿问题上依据后者调整行政机关及其工作人员行使职权处理个人信息致损时的赔偿问题，那么，依据《个人信息保护法》第72条第2款所引致的法律，在涉及相关损害赔偿问题时，是否亦应考虑该法与《国家赔偿法》的关系，而在法律适用上作特殊考虑？对此，本文认为，应在区分该被引致的法律是否就相应的损害赔偿作了规定的基础上进行处理。

　　第一种情形是被引致的法律如《档案法》对损害赔偿问题作了规定，此时应依据该规定认定相应的损害赔偿责任。依据《档案法》第51条的规定，单位或个人违反该法规定造成财产损失或其他损害的，应依法承担民事责任。该条是引致规范，将相应损害赔偿责任的认定引致到该法之外的其他民事法律上，适用其他民事法律的损害赔偿规则认定违反《档案法》规定导致的损害的赔偿责任。对于各级政府及其有关部门组织实施的档案管理活动中的个人信息处理所致损害的赔偿责任，依据《档案法》第51条的规定可以明确以下两点：一是损害赔偿责任的性质，由于《档案法》已经明确规定于此情形下的损害赔偿责任是民事责任性质，因此，毋需再考虑《国家赔偿法》确立的国家赔偿责任规则的适用。二是民事赔偿责任可以根据具体的损害情形确定相应的规范基础。其中，损害赔偿责任的成立应当依据《个人信息保护法》第69条第1款认定，毋需回溯至以《民法典》第1165条第1款这一一般侵权条款作为请求权基础；财产损失赔偿数额的认定应依据该法第69条第2款认定，而精神损害赔偿则应依据《民法典》第1183条第1款认定，因为《个人信息保护法》第69条第2款仅规定了财产损失赔偿数额的认定方法。

　　第二种情形是被引致的法律如《统计法》未对损害赔偿问题作出规定，于此情形下各级政府及其有关部门组织实施的统计管理活动中的个人信息处理所致损害的赔偿责任应回溯至关于个人信息处理一般法的《个人信息保护法》，即依据《个人信息保护法》第69条第1款认定损害赔偿责任的成立，依据《个人信息保护法》第69条第2款认定财产损失赔偿数额，依据《民法典》第1183条第1款认定精神损害赔偿。但如果于此的损害是各级政府及其有关部门行使职权所致，此时应依《个人信息保护法》与《国家赔偿法》之间的一般与特殊的关系，而优先适用《国家赔偿法》的损害赔偿规则认定相应损害赔偿责任。只有在《国家赔偿法》未就相关具体赔偿问题作出规定时，可以回溯至作为一般法的《个人信息保护法》第69条，如财产损失赔偿数额的具体认定方法。

　　（二）国家赔偿责任的规范基础

　　依据《国家赔偿法》第2条的规定，对于行政机关及其工作人员处理个人信息所致损害的调整，只有在符合如下条件时，才可以纳入现行国家赔偿责任规范体系内：一是主体要求。只有国家机关及其工作人员所致之损害，才可以纳入《国家赔偿法》的涵摄范畴。二是损害发生的原因。只有《国家赔偿法》规定的主体在行使职权时所致之损害才属于该法调整的损害，非因行使职权所致之损害不在该法确立的国家赔偿责任规范的调整范围。三是可归责行为的范围，即相应侵犯合法权益的情形法定，通常应当存在《国家赔偿法》规定的侵犯公民、法人和其他组织合法权益的情形，否则，不在该法确立的国家赔偿责任规范的调整范围。四是受保护的合法权益类型限定。依据《国家赔偿法》第3条、第4条的规定，只有在行政机关及其工作人员行使职权侵犯了受害人的人身自由、身体健康、生命等及财产权时，受害人才有权就其遭受的损害依据该法规定的损害赔偿规则主张赔偿请求权。由于个人信息权益既不属于前述第3条规定的人格权益范畴，也不属于第4条规定的财产权范畴，因此不在《国家赔偿法》保护之列。就此而言，关于行政机关及其工作人员处理个人信息致损的国家赔偿问题的讨论到此几乎就终结了。

　　但要注意的是，《国家赔偿法》第2条第1款是概括性条款，其本身并未对该法保护的合法权益的内涵外延作出限制；并且，虽然该款规定适用国家赔偿责任规则调整的必须是该法规定的可归责行为，但由于该法规定行政赔偿可归责行为的第3条、第4条采具体列举＋概括规定的立法模式，相应的概括规定即第3条第5项与第4条第4项，为《国家赔偿法》行政赔偿责任适用范围的扩大提供了解释空间。以此为基础，《行政赔偿解释》第1条与第2条分别对《国家赔偿法》第2条这一一般性规定保护的合法权益的范围及第3条第5项、第4条第4项的概括规定即“其他违法行为”涵摄的可归责行为范围作了扩展。其中，依据该解释第1条，行政机关及其工作人员应履行而不履行法定职责的行为及在履职过程中作出的不产生法律效果但事实上损害行政相对人合法权益的行为，属于前述“其他违反行为”概念可以涵摄的可归责行为；依据该解释第2条，行政机关及其工作人员违法行使职权侵害行政相对人劳动权、相邻权等合法权益造成人身、财产损害的，受害人有权主张行政赔偿，丰富了“合法权益”的内涵。从该解释第2条的制定依据及保护范围来看，其为将个人信息权益侵害所致损害纳入《国家赔偿法》的保护范畴提供了规范基础：

　　第一，该条的制定依据是《中华人民共和国行政诉讼法》（以下简称“《行政诉讼法》”）第1条、第12条第1款第12项和《国家赔偿法》第2条。其中，《行政诉讼法》第1条以及《国家赔偿法》第2条都概括规定公民、法人和其他组织的“合法权益”受法律保护而未对“合法权益”进行特别限制。相比较而言，《行政诉讼法》第12条第1款第12项虽然亦采概括规定的立法模式，但其对前述“合法权益”的内涵外延作了明确，规定公民、法人和其他组织的“人身权、财产权等合法权益”受法律保护。个人信息权益是自然人内含财产利益的人格权益，在前述“合法权益”的涵摄范畴。这表明，通过司法解释将个人信息权益纳入《国家赔偿法》的保护范围，存在合法性基础。

　　第二，该条对受保护的合法权益采列举＋概括规定的模式。无论是其具体列举的劳动权这样的人身权，还是相邻权这样的财产权，抑或是概括规定的“合法权益”，都超出了《国家赔偿法》第3条、第4条具体规定的权益范畴，实质性地扩展了《国家赔偿法》的保护范围，为将个人信息权益纳入《国家赔偿法》的保护范畴提供了直接的规范依据。

　　个人信息权益经由《行政赔偿解释》第2条而作为受《国家赔偿法》第2条保护的合法权益类型，在适用《国家赔偿法》确立的损害赔偿规则调整时，还应具备该法规定的可归责情形。如前所述，《行政赔偿解释》第1条经由《国家赔偿法》第3条第5项与第4条第4项“其他违法行为”的规定而将行政机关及其工作人员不履行法定职责以及在履行职责过程中虽不产生法律效果但事实上侵害行政相对人合法权益的行为纳入到《国家赔偿法》第2条规定的侵害情形中来，使行政机关及其工作人员在个人信息处理活动中的相关违法处理行为也可以符合《国家赔偿法》第2条规定的关于侵害情形的要求，从而适用该法规定的国家损害赔偿规则调整。

　　总结来说，对于行政机关及其工作人员在行使职权时处理个人信息并侵害个人信息权益致财产损失和精神损害发生的，受害人可以依据《国家赔偿法》第2条、第3条第5项、第32条、第35条及《行政赔偿解释》第1条、第2条向行为人主张损害赔偿请求权。

　　如前所述，现行损害赔偿规范体系内，行政机关及其工作人员处理个人信息致损的赔偿问题，因为处理行为是否是行使职权而区分为两部分进行调整：对于行使职权致损的赔偿责任认定，由于此时的赔偿责任性质依《国家赔偿法》第2条第1款是国家赔偿责任，所以相应的赔偿主要依据《国家赔偿法》展开；只有在《国家赔偿法》未对该问题作特别规定时，才可以回到作为一般法的《个人信息保护法》及作为《个人信息保护法》之一般法的《民法典》当中来，为相应的损害赔偿责任认定提供规范基础；对于非因行使职权致损的赔偿责任认定，由于此时的赔偿责任性质是民事赔偿责任，因此，相应的赔偿应依据《个人信息保护法》第33条之规定而由该法第69条及《民法典》的相关规定认定。至于《个人信息保护法》第72条规定的各级政府及其有关部门组织实施的统计、档案管理活动中的个人信息处理活动致损的赔偿问题，亦可依据《统计法》《档案法》对损害赔偿问题有无规定而将相应的损害赔偿责任分别纳入国家赔偿责任与民事赔偿责任的规范体系内调整。由此显现出来的关于行政机关及其工作人员处理个人信息损害赔偿责任规范的是一种国家赔偿责任与民事赔偿责任二元分割的体系，因此引发的问题是：第一，将行政机关及其工作人员个人信息处理致损赔偿责任因处理行为是否为行使职权而区分为国家赔偿责任与民事赔偿责任，是否会导致相应损害赔偿责任的认定存在实质差异，特别是对个人信息权益遭受侵害的受害人而言，同一侵害行为仅仅是分别被纳入不同的损害赔偿规范调整体系，就可能在赔偿范围、赔偿类型等方面大相径庭，这种差异是否存在正当基础？第二，相较于《个人信息保护法》第33条所引致的国家机关处理个人信息致损赔偿责任依据该法第69条确认的一元赔偿责任体系，相应的二元赔偿责任体系是否会导致现行法秩序下个人信息权益较之其他人格权益获得更充分的保护？如何理解现行法秩序下的此种权利保护体系结构？这些问题的回答，涉及行政机关及其工作人员处理个人信息致损二元赔偿责任规范体系的正当基础，应予审慎处理。

　　（一）二元损害赔偿规范体系的内在冲突与协调

　　如前所述，现行法秩序下，行政机关及其工作人员处理个人信息致损的赔偿责任因处理行为是否为行使职权而区分为国家赔偿责任与民事赔偿责任所导致的规范基础的不同，引发损害赔偿在责任成立和责任承担认定上存在的不同，主要表现为如下两方面：

　　一是责任成立要件中的过错。行政机关及其工作人员处理个人信息致损的国家赔偿责任采违法归责原则，在责任成立上通过违法性吸收过错，即行为违反法律规定本身即内含着行为人具有过错的判断。若存在违法抗辩事由且成立，则违法性可以被推翻，此时被其吸收的过错亦不复存在。民事赔偿责任则采过错归责原则，但考虑到个人信息处理场合处理者相对于个人所具有的优势地位，《个人信息保护法》第69条第1款在过错证明问题上采过错推定，即法律预先推定处理者有过错，由其证明自己没有过错；若不能证明，则推定的过错成立。

　　二是责任承担中的损害认定。对此，应区分财产损失和精神损害分别讨论。在财产损失的认定问题上，《国家赔偿法》第32条、第36条第8项结合《行政赔偿解释》第29条第4项虽然确定了国家赔偿责任中财产损失的赔偿对象是受害人遭受的实际损失，目标在于填补损害以恢复原状，但受害人对其遭受的实际损失负有证明责任。若其不能证明，则相应的财产损失赔偿请求权即不能获得法院的支持。与此不同，虽然《个人信息保护法》第69条第2款亦以填补损害、恢复原状为目的，但其在受害人遭受的实际损失之外，还承认了侵权人所获利益和法院根据实际情况认定赔偿数额的方法，使受害人在不能证明实际损失时，还有其他方法为其主张的财产损失赔偿请求权提供支持，并且于此的侵权人获益与受害人遭受的实际损失处于并列状态，受害人可以选择其中一种进行证明以支持其主张的财产损失赔偿请求权。即使这两种损失赔偿数额计算方法受害人皆不能证明，法院也不能直接拒绝受害人的赔偿主张，其尚需依据《个人信息保护法》第69条第2款结合案涉实际情况认定赔偿数额，这就为个人信息权益遭受侵害的受害人提供了更为充分的保护。相较于财产损失的认定，由于精神损害本身具有难以计算性，因此，无论是《国家赔偿法》第35条，还是《民法典》第1183条第1款，都承认法院在个案中对相应的精神损害赔偿数额的认定享有自由裁量权。

　　从责任成立要件的不同可以看出，个人信息侵害的国家赔偿责任在成立的形式要件上更有利于受害人保护，因为相较于《个人信息保护法》第69条第1款规定的过错推定，在国家赔偿责任问题上毋需单独考虑过错问题。只要个人信息处理者违反法律规定，即表明其存在过错，相应赔偿责任即告成立。但在行政机关及其工作人员处理个人信息致损的赔偿责任成立与否的实际法律效果评价上，违法归责的国家赔偿责任与过错归责但采过错推定的民事赔偿责任之间的差异却不显著。这主要是因为于此场合的责任成立认定主要是在构成要件这一法律效果评价方法的框架内展开。依据构成要件的法律效果评价方法，在认定个人信息权益的侵害责任时，构成要件的阶层判断法首先要求待评价对象应具备清晰的事实构成，并满足违法性的要求。至于过错，则需区分归责原则之不同而有不同要求。具体来讲：

　　第一阶即清晰之事实构成判断，要么关注侵害本身，要么关注行为本身：对前者而言，通常只要存在内涵外延清晰且毋需经常容忍他人对之施加不利影响的绝对权被侵害事实，则相应的事实构成即会被满足；对后者而言，侵害行为只要违反了保护性法律规定，即使没有绝对权被侵害，亦会使该阶关于清晰的事实构成的要求被满足。个人信息权益虽然具有绝对权属性，但其内涵外延不像物质性人格权那样周延，并且权利人在享有和行使个人信息权益时还需经常容忍他人对之施加的影响，因此主要通过保护性法律规定的违反来满足构成要件法律效果评价方法关于第一阶清晰之事实构成的要求。对此，不论是《国家赔偿法》还是《个人信息保护法》，对个人信息权益的保护均主要采行为规制模式。也就是说，法律预先概括规定了行为人应当遵守而不能违反的行为模式，如果行为人违反了这些保护性规定，即会使第一阶关于事实构成的要求被满足，从而进入到第二阶违法性的判断上。

　　第二阶的违法性是法律对待评价之行为的否定性评价。通常情形下，若第一阶的事实构成是清晰确定的，那么该清晰确定的事实构成可以暂时性地推定行为的违法性。由于事实构成是从侵害和行为两个方面确定，因此，若存在绝对权被侵害的事实构成，则于此的违法性类型是结果不法；若通过行为违反保护性法律规定而确定事实构成，则于此的违法性类型是行为不法。此时，不论是结果不法还是行为不法，都是因为第一阶清晰确定的事实构成被满足而暂时性地推定的结果。因此，如果行为人能够证明存在违法阻却事由，则于此推定的违法性即被推翻，行为人的行为未被法律否定评价，不构成侵权，对该行为的法律效果评价到此即告结束；相反，若行为人未能证明存在违法阻却事由，那么违法性推定即成立。对此，《国家赔偿法》确立的国家赔偿责任与《个人信息保护法》确立的民事赔偿责任在该问题的认定上并无不同。

　　第三阶的过错是将被法律否定评价的行为归责于行为人，由其对相应的损害承担责任。通常而言，清晰确定的事实构成和未被推翻的违法性结合起来可以推定过错。但是，对采违法归责的国家赔偿责任而言，于此并不需要单独考虑过错，相应的过错问题及赔偿责任认定在前述第二阶违法性的认定中即已完成。对采过错归责原则的民事赔偿责任而言，由于《个人信息保护法》第69条第1款在过错证明上采推定模式，并且在个人信息行为规制模式中，行为人违反保护性法律规定本身亦可推定行为人的过错。因此，通常情形下行政机关及其工作人员违法处理个人信息本身即表明过错的客观存在，行为人事实上难以证明自己没有过错而免于承担责任。

　　就此而言，尽管《国家赔偿法》第2条等确立的违法归责下的国家赔偿责任在形式上有别于《个人信息保护法》第69条第1款确立的采过错归责原则的民事赔偿责任，但由于后者采过错归责原则的同时又规定了过错推定，并且《个人信息保护法》在个人信息保护问题上采行为规制模式，这使构成要件阶层分析框架内的国家赔偿责任与民事赔偿责任在责任成立的实际效果认定上并无显著差异，从而事实上解决了形式上存在差异并导致的二元损害赔偿规范体系内的规范适用冲突问题。

　　在责任承担领域，《国家赔偿法》与《个人信息保护法》在行政机关及其工作人员处理个人信息致损赔偿责任所涉损害赔偿数额认定问题上的差异，事实上亦是我国现行损害赔偿规范体系内国家赔偿责任与民事赔偿责任之间的核心区别。我国现行国家损害赔偿规则一直以来即秉持一种严格限制赔偿责任成立和责任承担的立场，早期的国家赔偿责任在归责原则、具体侵害类型、权利受保护范围、可赔损害类型等问题上均进行了严格限制，严重制约了国家赔偿责任规范的适用。后虽经修改《国家赔偿法》并制定《行政赔偿解释》、《最高人民法院关于审理国家赔偿案件确定精神损害赔偿责任适用法律若干问题的解释》（以下简称“《国家精神损害赔偿解释》”）等，使国家赔偿责任的归责原则发生了变化，扩展了具体侵害类型及受保护的权益范围，并将财产损失的可赔范围由直接损失扩展至实际损失等，但与民事赔偿责任规范体系相比，国家赔偿责任规范体系仍存在限制过多的问题。就如于此的可商业化利用的人身权益（如个人信息权益）被侵害场合的财产损失赔偿数额的计算，在《民法典》《个人信息保护法》等明确引入多元损失赔偿数额计算方法以利于受害人权益保护的背景下，国家赔偿责任仍固守原有立场而未作调整。

　　我国的这种二元损害赔偿规范体系内所存在的问题，在比较法上并不多见。在个人信息权益保护问题上，比较法上有采统一立法模式的，如德国的《联邦数据保护法》与欧盟的《通用数据保护条例》，即对公私领域的个人信息处理行为加以统一规范；也有采分别立法模式的，如美国的《信息自由法》《联邦隐私法》等联邦立法都是调整政府对个人信息的处理活动，而《公平信用报告法》《儿童网上隐私保护法》则是针对民事领域的个人信息处理活动。与美国相近，日本个人信息保护法明确排除了对国家机关的个人信息处理活动的调整，将之交由《行政机关保有个人信息保护法》等进行调整。但不论是统一立法模式还是分别立法模式，因为行政机关处理个人信息导致的损害赔偿问题，却不会因为纳入不同的规范体系而存在显著不同的结果。这是因为，比较法上虽然有统一规定国家赔偿与民事赔偿的，也有分别进行规定的，但其在处理国家赔偿与民事赔偿二者的关系时所持的基本立场均无实质不同。前者如德国，其并未采分别立法模式，而是在《德国民法典》第823条规定了一般侵权条款，并在第839条规定了公务员责任；虽然其后通过《德国基本法》第34条将第839条的公务员责任与国家赔偿责任联系起来，但德国的国家赔偿责任始终是以民事赔偿的基本原理为基础，二者皆以过错责任和全部赔偿为原则。行政机关处理个人信息致损时的赔偿责任即使依据《德国民法典》第839条确定，但其与《德国民法典》第823条确立的一般民事赔偿责任在赔偿范围、类型等方面并无差异。后者如日本，其采分别立法模式而在《日本民法典》第709条以下规定了民事赔偿的一般规则，又通过《日本国家赔偿法》第1条明确规定了行使国家权力的公务员的国家赔偿责任，但相比于民事赔偿，该条确立的国家赔偿只是未如《日本民法典》第715条第1款那样规定免责事由，以强化对受害人的保护，其余部分则无差别。亦即，比较法上的立法虽有不同，但不管哪种模式，在调整行政机关处理个人信息致损场合的赔偿责任问题上，则并没有显著区别。这也反映了国家赔偿责任与民事赔偿责任二者在本质上的同源性。

　　我国现行法中的国家赔偿责任与民事赔偿责任之间的差异巨大，原因当然很复杂，但最核心的原因则可能在于，现行法实际上并未厘清国家赔偿责任的民法基础。对国家赔偿责任而言，无论是“直接责任说”，还是“代位责任说”，实质上都建立在行为人过错行为致损基础之上，因为该损害可归责于行为人的过错，因此必须给予其全部赔偿，而非限制或者拒绝赔偿。但是，在现行国家赔偿责任规范体系未就此进行调整之前，从损害赔偿规范体系内在协调一致的角度出发，解释论上可以借鉴一般法与特别法说的观点，即在国家机关及其工作人员处理个人信息致损的赔偿问题上，将《国家赔偿法》确立的损害赔偿规则作为特别规定，《个人信息保护法》确立的损害赔偿规则作为一般规定；在特别规定未作规定时，回到一般规定进行处理，实现国家赔偿责任与民事赔偿责任从特殊到一般、从分离到回归的转变。也就是说，对于行政机关及其工作人员处理个人信息致损赔偿的财产损失赔偿数额计算问题，可以回到《个人信息保护法》第69条第2款确立的计算方法中来，为实践中难以证明因侵害行为遭受实际财产损失的受害人提供其他可供选择的方法，协调现行损害赔偿规范体系内行政机关及其工作人员处理个人信息致损赔偿二元损害赔偿规范体系的内在冲突，落实《国家赔偿法》第2条规定的保护受害人合法权益的目的。

　　（二）个人信息权益与其他合法权益的价值位阶与保护强度

　　行政机关及其工作人员处理个人信息致损赔偿二元规范体系虽然在内在构造上存在紧张关系，但此种紧张关系在现行法秩序下可经由解释而部分得以消弭，从而使国家机关及其工作人员处理行为所指向的个人信息权益在国家赔偿责任规范体系与民事赔偿责任规范体系内获得基本一致且较为充分的保护。与之相比，我国现行法秩序内的那些与个人信息权益处于同一价值位阶甚至高于个人信息权益的其他合法权益如隐私权等，在被行政机关及其工作人员侵害时，能获得的救济可能相对比较有限。例如，自然人隐私权受侵害的，若该侵害行为发生在行政机关及其工作人员行使职权时，即使经由《行政赔偿解释》第2条而将隐私权纳入《国家赔偿法》第2条“合法权益”的保护范围，并将侵害该项权益造成的损害纳入国家赔偿责任规范的调整范畴，但由于隐私权不能商业化利用而不内含财产价值，对之侵害造成的损害只有严重精神损害时，才能经由《国家赔偿法》第35条并结合《行政赔偿解释》第1条第2项及《国家精神损害赔偿解释》第1条获得赔偿，其他的损害则不在国家赔偿责任规范的调整范围；若该侵害行为所致损害并非发生在行政机关及其工作人员行使职权时，则该侵害行为属于《民法典》第1165条第1款这一一般侵权条款调整的对象，受害人因此遭受的损害，只有其中的严重精神损害可以经由《民法典》第1183条第1款获得赔偿；至于财产损失，由于隐私权具有强烈的伦理性而不能商业化利用，不具有财产价值，因此受害人不能依《民法典》第1182条主张人身权侵害的财产损失赔偿请求权。这一现象与现行法秩序下民事权利依其位阶之高低而应获得与之相适应的保护的一般原理相违背，并不适当。

　　但应注意的是，行政机关及其工作人员处理个人信息致损赔偿责任的二元规范体系构造并非导致现行法秩序下个人信息权益这一位阶较低的权益获得更充分的保护而相应的位阶更高的权益反而未能获得更优的保护的根本原因。因为如果不采取这种二元的赔偿责任体系，而是依据《个人信息保护法》第33条完全适用该法第69条确立的一元的民事损害赔偿体系，或依据《国家赔偿法》第2条并结合《行政赔偿解释》第1条而完全适用一元的国家损害赔偿体系，可能会导致更显著的差异。例如，依据《个人信息保护法》第33条而在国家机关及其工作人员处理个人信息致损时适用该法第69条认定相应损害赔偿责任，该条既在责任成立的过错证明上采推定过错，又在财产损失数额的认定方法上采实际损失＋侵权获益自由竞合式与法院根据实际情况认定检索递进式的多元规则，明显给予个人信息权益更充分的保护。与之相比，其他与个人信息权益处于同一位阶甚至更高位阶的合法权益（如隐私权）在现行损害赔偿规范体系内获得的保护，亦未能比这种一元的个人信息权益损害赔偿规范体系更严格。

　　事实上，现行法秩序中之所以出现同一位阶的权益保护力度呈现出显著差异，甚至较低位阶的权益保护力度比较高位阶的权益更高的现象，可能既有不同权益自身属性不同的影响，也与既有法律规则本身的不合理有关，甚至与不同类型的权益在不同场景下适用的保护规则不同相关。

　　首先，就权益自身的属性而言，现行损害赔偿规范体系下不同类型的权益保护并不相同，即使是居于同一位阶的权益类型，也会因不同的性质而在赔偿规则的适用上存在差异。例如，居于同一位阶的姓名权与名誉权，前者因具有可商业化利用的属性而内含财产价值，后者则只有精神利益，因此，在前者被侵害而导致损害发生时，既可以适用《民法典》第1182条赔偿相应的财产损失，亦可以适用《民法典》第1183条第1款而赔偿相应的精神损害；而后者只能适用《民法典》第1183条第1款赔偿相应的精神损害。因此，不能以二者在损害赔偿问题上存在差异，即认为这与现行法秩序中的权利价值位阶原理相违背。

　　其次，就不同类型的权益在不同的场景应适用不同的保护规则而言，比较不同类型的权益在现行法中的保护力度的强弱，应将之置于同一场景下，不能将不同场景下的保护力度与不同类型的权益在现行法秩序中所处的位阶联系起来。例如，对于隐私权和个人信息权益的保护而言，不能遽言现行法秩序为隐私权提供了更充分的保护而依据《民法典》第1034条第3款适用隐私权保护规则保护私密信息，亦不能因为《个人信息保护法》第69条第1款采过错推定规则而认为在私密信息的保护上该法更具有力度而直接适用该法确定的保护规则，而是应当考虑侵害私密信息的行为人与受害人的身份并依据《个人信息保护法》第72条第1款，将个人信息处理者处理私密信息致损的赔偿问题交由《个人信息保护法》第69条调整，将自然人因个人或家庭事务处理私密信息致损的赔偿问题依据《民法典》第1034条第3款而交由该法第1165条第1款调整。因为前者旨在调整个人信息处理活动中事实上经济、技术、信息等能力并不对等的处理者和自然人之间的关系，后者主要是调整各方面能力大致平等的主体之间的关系。如果抛开《个人信息保护法》与《民法典》二者保护规则各自的适用对象而遽言前者为个人信息权益提供了比《民法典》隐私权保护规则更有力度的保护，显然并不合理。

　　最后，在排除了上述两种原因之后，若还存在前述保护力度不一的问题，那么该问题应与相关法律规则自身的合理性相关。例如，行政机关及其工作人员处理个人信息致损的赔偿问题，在《行政赔偿解释》第1条、第2条对《国家赔偿法》第2条、第3条作出解释从而扩展了该法的调整范围之前，是不在《国家赔偿法》的调整范围的，此时依据《个人信息保护法》第33条的规定，可以适用《个人信息保护法》第69条确立的损害赔偿规则进行调整。于此情形下，与个人信息权益处于同一位阶甚至更高位阶的其他合法权益如隐私权、名誉权等，若行政机关及其工作人员在执行职务时侵害该等权益并致损害发生，此时因这些权益不在《国家赔偿法》列举规定的保护范围而难以适用该法确立的损害赔偿规范进行调整；同时于此的损害发生在具有纵向管理关系的行政法律关系中，不属于平等主体之间发生的人身、财产关系，亦不适用《民法典》确立的损害赔偿规范进行调整。此即为现行法律规则本身不合理而导致的同一位阶不同权益类型的保护力度不同的问题，对此，现行法秩序下通常应通过立法变更不合理的法律规则本身来消除这种现象。事实上，前述《国家赔偿法》适用范围有限的问题亦是通过制定《行政赔偿解释》等予以解决的。

　　总结来看，行政机关及其工作人员处理个人信息致损的赔偿问题不应直接依据《个人信息保护法》第33条而完全交由该法第69条处理，而是应综合考虑《个人信息保护法》与《国家赔偿法》在相关行为致损赔偿问题上的一般与特殊关系而将于此的赔偿责任区分为国家赔偿责任与民事赔偿责任进行处理。其中，国家赔偿责任是行政机关及其工作人员行使职权处理个人信息致损的赔偿责任，主要应依据《国家赔偿法》及其相关司法解释展开；民事赔偿责任是行政机关及其工作人员其他个人信息处理行为致损的赔偿责任，主要依据《个人信息保护法》《民法典》等确立的损害赔偿规则展开。对于这种二元损害赔偿规范体系所引发的责任成立和责任承担认定上的差异，应在现行法秩序内外在体系协调的视角下来理解和解决，从而发现那些可以通过法律解释解决的问题与难以通过解释解决的问题，以在此基础上为这些问题的最终解决提供更直接有效的途径，助益于现行法秩序下二元损害赔偿规范内外在体系的协调融贯。