論個人信息大規模微額損害的私法救濟路徑完善

郭明龍，楊孝康

（天津師范大學 法學院，天津 300387）

大數據時代，數據成為數字經濟中的生產要素漸被重視，而在法學界，“數據所承載的經濟利益被確認為物權、知識產權之后產生的新型財產權”。[1]大數據時代的信息收集、算法和算力一方面催生數字生產力，另一方面也給個人信息保護帶來更大挑戰。理論界認為，數據和個人信息并不相同，只有“匿名化的不具可識別特征”的個人信息才能夠成為數據，“作為財產權客體的只能是數據而非個人信息”。[2]但實踐中，未經去標識化或匿名化的個人信息卻被某些信息處理者不法收集、存儲、使用、加工、傳輸、提供、公開，往往對眾多主體的個人信息權益造成侵害。對于大規模的個人信息侵權，《個人信息保護法》分別規定了三種不同的救濟路徑：其一，公法救濟路徑，即第66條、67條、68條以及第71條的行政處罰和刑事處罰；其二，私法救濟路徑，即第69條的侵權損害賠償；其三，第70條的公益訴訟路徑。以上三條路徑都不可或缺，但研究發現適用頻率卻差異較大，公法救濟和公益訴訟適用頻次明顯高于侵權損害賠償這種私法救濟路徑。個人信息權益的大規模受損，損失數額小且不易確定，導致受害人因維權成本高、收益低而不愿維權或無力維權，如何進一步完善私法救濟路徑，通過提高侵權人違法成本內化侵權人給眾多主體造成的“外部不經濟”，實現懲戒與預防目標，是當下亟待解決的問題。[3]

一、個人信息大規模微額損害救濟路徑的適用對比

（一）公法救濟路徑之適用

1. 刑事救濟路徑

《個人信息保護法》第71條規定侵害個人信息權益可能要承擔刑事責任，該條為引致條款，引致的內容主要為《刑法》第253條之一所規定的侵犯公民個人信息罪。為了解個人信息保護的刑事救濟路徑運行狀況，筆者在“北大法寶”數據庫進行了檢索分析。在案例庫中以“個人信息侵權”和“公司”“犯罪”為共同關鍵詞，時間跨度選為2019年1月1日至2023年5月31日，共獲得侵犯個人信息的刑事制裁案例83例，其中侵犯公民個人信息罪75例，出售、非法提供公民個人信息罪4例，妨害社會管理秩序罪3例，破壞社會主義市場經濟秩序罪1例。其中4例出售、非法提供公民個人信息罪實為刑法第253條之一的第三款規定，以“侵犯公民個人信息罪”定罪處罰更為準確；而3例妨害社會管理秩序罪以及1例破壞社會主義市場經濟秩序罪則以刑法分則中“節”的類罪定罪量刑，屬于定性不當。在67例當中，通過在文中檢索“罰金”這一關鍵詞，得出對企業的罰金數額在500萬元以上的有1例為750萬元，100萬到500萬之間6例，50萬元到100萬元之間6例，其余為50萬以下，其中最小的罰金額僅為0.1萬元。侵犯公民個人信息罪可以由單位構成，依法實行雙罰制，單位承擔罰金刑，負責人或直接責任人承擔主刑外，還可以并處罰金附加刑，67例案件中對個人所處最高罰金為130萬元，最低罰金額為0.5萬元。

經檢索，筆者并未找到與該83則案例相對應的侵權損害賠償糾紛案件，在此時間段僅有27例侵害個人信息權益案例涉及私法救濟。相比而言，刑事救濟路徑的適用次數明顯高于私法救濟路徑。原因大致有二：首先，刑事救濟路徑具有效率優勢，根據《最高人民法院、最高人民檢察院關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》（法釋〔2017〕10號）第1條規定，本罪的犯罪主體包括個人和單位，實行單位犯罪的雙罰制，相較私法救濟，刑事救濟有著“快”“準”“狠”的特點；其次，刑事救濟路徑中司法機關具有偵查上的力量優勢，啟動刑事偵查可以減輕損害范圍與因果關系不易認定的難題，不過此舉使得本來作為“高配”的刑事救濟路徑成為“標配”。

2.行政救濟路徑

行政救濟路徑主要通過行政處罰實現，《個人信息保護法》第66條的行政責任可引致到我國《行政處罰法》。根據《行政處罰法》第9條關于行政處罰種類的規定，違規企業可被處以罰款、警告、責令停產停業等處罰，但是在大規模個人信息侵權案件中，對相關企業違法處理個人信息的行政罰款最值得研究。以蘇州某房地產售樓處人臉識別系統侵害消費者個人信息被行政處罰案為例，其中由于蘇州某房產公司在售樓處安裝人臉信息采集識別系統，未經客戶同意采集人臉信息，吳江區市場監管局依法責令某房產公司立即停止違法行為，并對其處罰款10萬元。①本起大規模的個人信息侵權案件僅僅涉及行政處罰，并未檢索到對受害人進行侵權損害賠償的相關民事案件，究其原因是行政處罰比起私人損害賠償救濟路徑，更能夠一步到位對相關違法單位進行懲處，在實踐中運行之功效優于私法損害賠償救濟路徑。

綜上，兩種公法的救濟路徑都忽略了最重要的一方主體——作為受害者的眾多信息主體，無論是刑法救濟的罰金還是行政救濟處罰的罰款，最終都被上繳國庫。此舉不僅導致個人民事權益受損未能得到相應的賠償，而且還可能導致被處罰的信息處理者將罰款或罰金通過變相轉嫁導致個人遭受二次傷害的弊端，故公法救濟的功效并不能很好地彌補信息主體所遭受的損失。

（二）公益訴訟救濟路徑之適用

1.公益訴訟中能否主張損害賠償的爭議

個人信息微額損害案件中，檢察機關或其他組織提起公益訴訟可否對加害人提出損害賠償并不明確?！秱€人信息保護法》第70條并未涉及公益訴訟中的損害賠償問題。

有學者認為，由于在公益訴訟中不涉及具體的受害人，故不涉及精神損害賠償，損害賠償也不是主要的法律責任，而個人信息保護公益訴訟中的損害賠償的主要內容是對起訴主體提起公益訴訟的合理支出費用的賠償，也不適用懲罰性賠償。②涉及個人信息保護的公益訴訟可否提出損害賠償請求，北大法寶有一則浙江省溫州市鹿城區人民檢察院督促保護就診者個人信息行政公益訴訟案，不過似是而非。該案的判決結果為：通過檢察建議的監督，區市監局對攝影公司作出責令改正、沒收違法所得4000元、罰款34000元的行政處罰，對培訓公司作出責令改正、罰款30000元的行政處罰。在本案中作為訴訟主體的區檢察院并未對加害人提出損害賠償的主張，而是通過檢察建議督促相應行政主管部門履行行政處罰職責而結案。③通過檢索“個人信息”這一關鍵詞，查閱北大法寶司法案例庫中2022年1月至2023年5月時間段內的686件案例，其中涉及公益訴訟71例，且多以行政公益訴訟為主，均未涉及損害賠償。

對此，筆者的初步結論是，民事或行政公益訴訟中可能并不適宜提出損害賠償的主張，與實踐中已經依照《民法典》第1135條運行的環境公益訴訟生態修復賠償并不具可比性。

2.公益訴訟中損害賠償額能否分配難題

公益訴訟中即使可以主張損害賠償，該損害賠償能否分配也不明朗。有觀點認為，發生在2019年5月的浙江省杭州市余杭區人民檢察院訴某網絡科技有限公司侵害公民個人信息民事公益訴訟案中涉及損害賠償并有分配的設計，其實也屬似是而非。本案中雙方當事人最終調解結案：被告立即刪除違法違規收集、儲存的全部用戶個人信息1100萬余條；在《法治日報》及案涉APP首頁公開賠禮道歉；承諾今后合法合規經營，若存在違反協議約定的行為，將自愿支付50萬元違約金用于全國性個人信息保護公益基金的公益支出。④

該案件并不能視為對損害賠償的支持，也不能認為損害賠償額在受害人中做了相應分配。首先，本案并未提及就受害人損失進行賠償，而是支持了停止侵害和賠禮道歉；其次，本案結果為調解而非判決，且調解的依據為有條件違約，并未說明法院支持該賠償；最后，被告違約后需要支付的違約金很難歸受害人所有。所以對于公益訴訟中民事公益訴訟的損害賠償額的分配問題也恰恰印證了私法損害賠償救濟中的難題，正因如此，在上述的案例檢索所涉及公益訴訟的案件71例中，民事公益訴訟的案例僅占5例，說明在制度走向上仍有很多未解難題。

（三）私法救濟路徑之適用

1.損害賠償額確定困境

在北大法寶司法案例庫，通過檢索“個人信息”這一關鍵詞，選取2022年1月至2023年5月這一時間段，僅有17例涉及民事侵權損害賠償路徑解決的糾紛，占在此期間總共收集案例的2%左右?？梢姰斦嬲l生大規模的個人信息侵權，《個人信息保護法》第69條規定的私法救濟路徑適用范圍較為狹窄。

受害人通過私法路徑實現權利救濟往往面臨困境，即如何確定損害賠償額的標準。盡管《個人信息保護法》第69條第2款延續原《侵權責任法》第20條、現《民法典》第1183條，以被侵權人因此受到的損失、侵權人因此獲得的利益或者法院酌定作為侵害人身權益造成財產損失賠償數額的確定方法，但是在司法實踐中，仍然存在因受害人損失難以認定而最終落入法院酌定難題，因其極大不確定性，不僅當事人不敢主張，法院也不愿支持較高數額的損害賠償，使得侵害個人信息損害賠償的路徑適用范圍狹窄。

2.舉證責任和歸責原則困境

受害人請求損害賠償還面臨舉證責任和歸責原則困境。

在歸責原則上，《個人信息保護法》第69條第1款并未延續《民法典》第1065條第1款的過錯責任原則，而是采納了1065條第2款的過錯推定。但在適用上，過錯推定責任存在適用范圍狹窄的可能，如果侵權人非個人信息處理者（如委托處理個人信息中的委托人）或者不適用《個人信息保護法》中的個人信息處理情形，當發生侵害個人信息權益的糾紛，還是應適用過錯責任原則。[4]

在舉證責任方面，由于個人信息侵權受害人受舉證偏在困境的影響，導致其不僅證明自己遭受的實際損失困難，還使得證明自己實際遭受損失和對方的侵權行為之間的因果關系困難重重，侵害個人信息微額損害的獲賠成功率進一步降低，影響了制度適用積極性。

二、損害賠償制度在個人信息大規模侵權救濟中的必要性

（一）應對個人信息大規模微額侵權的實踐需要

1.個人信息微額侵權的可救濟性

對于微額侵權應否獲得救濟，學界之前的觀點往往是否定的。比如曾有我國臺灣地區學者指出：人類社會中糾紛時時刻刻都在發生，存在一些微額損害再正常不過了，沒必要將微額損害在內的所有損害都訴諸于法律保護救濟。[5]也有學者認為對微額損害建立損害賠償制度勢必會出現過多的個人信息損害賠償的訴訟案件，司法資源成本過大，不能實現法律資源的最優配置。[6]顯然，以上觀點均立足于訴訟效益和成本的分析。

筆者認為以上觀點確有合理之處，但如果過于剛性就無異于鼓勵侵權。首先，微額損害雖然給個人帶來的損害是微小的，但它影響的范圍是廣泛的，由此所帶來的社會惡劣影響也是深遠的，而且信息業者作為最終獲益方來說，它的商業盈利性也巨大，對于信息業者所獲得巨大利益和微額損害涉及到個人人格權的損害來說，此處運用司法資源不能說是浪費。其次，信息業者作為信息的收集者所處強勢地位與普通個人信息“貢獻者”所處弱勢地位本身具有不對稱性，理應通過民法的損害賠償救濟機制加以彌補改善，如果助長其侵權行為，易造成行業的濫用成風。最后，站在彌補立法漏洞與完善立法機制的角度，也應該完善立法在此方面的空白應對現實實踐的需求。

2.我國既有立法并未否定對微額損害的救濟

理論界與實務界對于侵害個人信息權益的損害賠償責任已有一些研究，[7]但針對微額損害的研究還需要繼續深入。作為重要的人格權益，《民法典》與《個人信息保護法》對微額損害并未排除。

首先，個人信息作為重要的人格權益被規定在《民法典》中。根據《民法典》總則編第111條、第四編人格權編第1034條至1038條，個人信息都是一項重要的人格權益。

其次，《民法典》和《個人信息保護法》均規定了對人格權益受損的私法救濟?！睹穹ǖ洹返?182條明確規定了人身權益受到損害后損害賠償額的確定問題，個人信息大規模微額損害符合這里關于人身權益的規定，理應受到侵權責任法的保護?！秱€人信息保護法》第69條第2款對個人信息的保護做了專門規定，承接《民法典》第1182條的立法精神，為個人信息侵權提供了損害賠償依據。個人信息的大規模微額侵權損害相較于個人信息侵權損害，只是在侵權范圍和侵權程度上與后者不同，但是在性質上仍屬于個人信息的侵權損害，在救濟上仍可以適用上述法條的規定。

綜上，《民法典》與《個人信息保護法》均規定了個人信息損害賠償救濟，即使大規模侵權也不例外。

（二）提高個人在法律實現中作用的需要

1.個人維權積極性有賴于自身利益的實現

比較法上，有學者所提出的私人在法實現中的作用，頗具啟發。[8]“利益”是當事人資格的基礎，“利益”概念不斷擴大，不僅包括法律上的利益還包括事實上的利益，私人的利益實現程度與維權積極性正相關，從而間接促進法的實現?？少Y借鑒的是，為了激發個人維權積極性，美國法在程序上規定允許私人作為相關人（relator）以州或州屬機構名義起訴的相關人訴訟、市民提起的職務履行令（mandamus）、請求訴訟、納稅人提起的禁止令（injunction）請求訴訟等幾種制度，承認私人作為一名市民從公的立場提起訴訟，并可以請求損害賠償。當然，“利益相關者”持續擴容也可能引發社會濫訴問題，故各國基本在訴權理論上采納較為嚴格“利害關系”理論的同時并適度擴展，此舉有利于促進法的實現。

2.損害賠償的填平原則是個人維權積極性的最低限度保障

損害賠償對于提高私人維權積極性，提升在法實現中的作用有重要意義。作為私法效果的填平原則是維系受害人維權積極性的最低限度保障。為提高維權積極性，有觀點認為應當超越填平原則，讓維權者除了損害填平外更有額外所得，實現遏制與預防目標。根據此種觀點，公法救濟之罰金刑的短板之處即對于巨型企業，特定的罰金額不能夠使其起到“痛定思痛”的效果，故建議引入私法上的損害賠償救濟方式，并以法定的形式將賠償額定為金融費用的兩倍，同時規定對每一個受害人的賠償額度最低不得少于100元、最高不得高于1000元，這樣一來，根據企業的人數和消費者的人數不同，能夠給予相應規模企業恰當的制裁[9]。

損害賠償救濟的效果能夠制裁和抑制違法現象、填補當事人的損害。此外，損害救濟賠償相較于公法上的罰金刑，還有助于激發其余未訴受害人群的積極性，間接達到提高社會治理效果的作用。

三、個人信息私法救濟困境之克服

（一）個人信息侵權微額損害認定困難之克服

1. 個人信息侵權受害人“受到的損失”認定

《個人信息保護法》中關于69條第2款的規定“受到的損失”，是否包括精神損害，對此學界存在爭論，但主流意見主張《個人信息保護法》第69條第2款所規定的“損失”，只是財產上損失，而不能擴張解釋其為精神上的“損害”。[10]對此觀點，筆者贊同。

首先，從文義解釋上來說，“損失”一般指財產上的損害，而“損害”包括財產上的“損害”和精神上的“損害”，立法者在此處用“損失”一詞而不用“損害”，已經表明“損失”僅限定在財產之上。

其次，從比較法上來看，精神損害條款如有規定，應當是單獨規定并附加解釋說明，不應該和財產的損害相混雜。比如《愛爾蘭數據保護法》第7條在歐盟GDPR還未頒布之前一直將非物質性損害排除在外，但是隨著GDPR的出臺，2018年《愛爾蘭數據保護法》詳細規定了個人信息權益侵害的損害賠償責任，并在第117條第10款明確損害包括物質損害和非物質損害。[11]在美國的個人信息權益侵害案件中，原告證明存在事實上的損害的主要理由之一是個人信息權益侵害造成精神困擾( emotional distress)，[12]以及美國法學會2020年發布的《數據隱私法律原則》也將情感損害( emotional harm)和情感上的寒蟬效應(chilling effect)都列為可以認定的損害。[13]美國經濟激勵機制下要求企業公開說明個人信息的經濟價值及其計算方式，可為個人信息的非法收集、濫用、轉讓行為提供賠償參照。

關于個人信息侵權后對財產性權利的損害的認定問題，目前只在《個人信息保護法》第69條第2款做了模糊規定，其中該條款之前段以“受到的損失”或“獲得的利益”來確定對個人信息侵權后的損害賠償，該條款之后段規定在既不存在實際損失也不存在侵權人獲益的情況下，法院根據實際情況確定侵害個人信息的損害賠償金額。將上述規定帶入到個人信息的大規模的微額侵權損害賠償中來，不難發現前者以“受到的損失”和“獲得的利益”作為賠償標準更像是法定賠償模式，而后者更像是酌定賠償模式，故由此引申出二者賠償模式的路徑走向問題，前者需要依靠具體的損失計算標準和獲益的具體分配計算標準來達到由法定賠償到法定賠償額的轉變，而后者需依靠法官自由裁量之時所慮及到的行為人的主觀心態及損害后果的嚴重程度來確定賠償額，酌定賠償模式超出了其固有的補償性質，使其具有了懲罰性質，其最終走向便是懲罰性賠償模式。[14]《個人信息保護法》第69條第2款之前段，由法定賠償模式向法定賠償額模式的路徑走向，對此站在比較法的角度，不少學者認為應借鑒美國《加利福尼亞消費者隱私法》（California Consumer Privacy Act，CCPA）及其配套的《CCPA行政規則（征求意見稿）》[California Consumer Privacy Act Regulations (Proposed Text of Regulations)]所構筑的經濟激勵機制引入個人信息保護模式，筆者認為，同樣可以將其引入確定財產性權利受侵害的賠償上來，因為在經濟激勵機制下要求企業公開說明個人信息的經濟價值及其計算方式，可以為激勵機制內所明確標價的個人信息提供經濟損失計算依據，也為個人信息的非法收集、濫用、轉讓行為提供賠償參照。[15]

具體損害賠償請求制度構建如圖1所示：

圖1 財產性權利損害賠償路徑圖

其中CCPA的經濟激勵機制主要的運作方式便是，通過大型信息業者在收集使用用戶的個人信息時進行充分的告知，用戶也擁有自由選擇加入和退出權，企業通過公開說明個人信息的經濟價值及計算方式來給自愿加入的用戶提供直接的經濟補償或者提供差異化的服務和個別項目的收費標準。[16]在這里，對大規模的用戶個人信息的微額侵害加以收集和利用，放到大型信息業者的市場利益上面來。當用戶意識到數據價值和市場的存在但卻被排除于市場外時，這種被剝奪感和失控感會導致用戶的態度變得更具有攻擊性。與之前的免費模式相比，經濟激勵制度可以為用戶提供更直觀地進入市場的通道，并允許用戶直接、即時分享數據處理收益，由此一來，不僅增強了用戶對個人信息的自決權，更能將前面提到的“攻擊性”通過合理的方式運用到自訴權上面來，由此以來，可以對個人信息大規模微額侵權中的財產性利益損害部分進行有效的認定。

2.個人信息侵權導致的精神損害賠償

如前所述，筆者并不贊同《個人信息保護法》第69條第2款所規定的“損失”包括“精神損害”，但實踐中的確可能出現借助于精神損害賠償制度實現受害人的利益訴求。

關于精神損害賠償額的確定，最高人民法院相關司法解釋曾專門規定。根據《最高人民法院關于確定民事侵權精神損害賠償責任若干問題的解釋》（法釋〔2001〕7號）第10條，精神損害的賠償數額確定因素中，“侵權人的獲利情況”被單獨列出，該規定在2020年的修訂時得以延續，由此與《民法典》第1182條侵害人身權益造成財產損失賠償數額的確定方法產生了很大關聯。

對于個人信息大規模侵權，明確侵害的對象是選擇進行損害賠償的關鍵所在。有學者主張損害對象應當為財產性損害，而財產性損害的基礎為個人信息可以商品化，但是對于損害賠償數額建立最低額的損害賠償制度持保留態度，而對于精神性人格權是否可以作為被侵害的對象，可以以加害行為的性質、程度和方式（如披露他人的隱私、誹謗他人、在發行量巨大或讀者眾多的媒體上實施侵害行為等），侵權人的主觀過錯程度（故意還是重大過失抑或輕微過失），損害后果的類型以及被侵權人因侵權而引起的連鎖反應（如出現失眠、學習成績下降、企圖自殺）等來作為認定的標準，而不以《民法典》第1183條第1款所規定的“嚴重”作為標準。[17]還有學者認為個人信息的損害，特別是大規模個人信息的損害應當以精神損害人格權作為主要的損害賠償對象，并且強調不以“嚴重”程度作為損害賠償基礎。[18]依照《民法典》相關規定，個人信息屬于人格權編所保護的人格權益，在第1182條中侵害人身權益造成財產損失賠償可以獲得財產損害賠償，而在第1183條第1款中，侵害自然人人身權益造成“嚴重精神損害”的，有權請求精神損害賠償，兩條規定中涉及的賠償似乎為聚合關系，但由于精神損害賠償中對“侵權人的獲利情況”的考量，對個人信息大規模微額損害賠償中“選擇性”競合更為合理。

當侵害對象的財產損失難以確定，選擇精神損害作為賠償的路徑更為合理。對于上述的狀況是比較理想化的狀態，即個人用戶在受到信息業者損害的情境下，財產損失能夠被精確的確定或者通過一些物質（諸如個人數據的流失）損失可以參考數據流通的市場價值來進行模糊確定。當財產性損害賠償難以算定時，精神損害賠償路徑可能就成為次優方案。對此，學界存在不同的看法，有學者呼吁效仿我國臺灣地區的做法，建立最低額損害賠償制度；[19]也有學者不贊同此種做法，理由為，若作此規定，可能對個人信息處理者造成過重的賠償負擔。例如，若是泄露100萬人的個人信息，即便按照每個人500元計算，也意味著要賠償5億元。[20]在筆者看來，最終立法未采用最低賠償額規定，并非出于個人信息處理者責任過重這一理由，從2021年7月滴滴被罰80.26億案件⑤中我們可以看出，公法救濟要比私法損害賠償救濟處罰“兇”得多，所以究其原因是背后有沒有賠償依據做支撐，歐美國家立法將非物質損害或者情感損害（emotional harm）作為明確的賠償依據，而我國立法無論是《民法典》第1183條還是《個人信息保護法》第69條第2款都未有明確規定，所以要想讓其落地需要將大規模個人信息侵權劃歸到精神損害賠償中“嚴重”的標準當中。

由于《民法典》第1183條第1款所規定的精神損害賠償中以“造成嚴重后果”為條件，導致適用門檻較高，筆者建議通過解釋論構造適當降低門檻。

首先，借鑒《最高人民法院關于審理國家賠償案件確定精神損害賠償責任適用法律的若干問題的解釋》（法釋〔2021〕3號），（以下簡稱《解釋》）中的關于精神損害賠償規定來解釋“造成嚴重后果”,在《解釋》的第7條中詳細規定了關于“造成嚴重后果”的情形，其中包括第3款受害人經診斷、鑒定為精神障礙或者精神殘疾，且與侵權行為存在關聯。第4款的受害人名譽、榮譽、家庭、職業、教育等方面遭受到嚴重損害，且與侵權行為存在關聯。

其次，關于大規模個人信息侵權造成的損害，往往會給受害者帶來上述第4款所規定的嚴重的精神損害，尤其敏感個人信息的損害，輕則給受害人的名譽、家庭等帶來嚴重的負面影響，重則造成受害者的精神陰影乃至造成精神障礙，尤其是帶有知名度的一類人群，更易遭受因個人信息的侵害而致精神傷害，例如2023年發生的紅發女孩鄭某某因個人信息泄露遭受網暴致郁最后選擇自殺的事件。⑥以及同年因個人信息的肆意被扒致傳播最終選擇自殺的劉某某事件。⑦這些案例都值得我們深思，即可怕的不是個人信息被侵害或者被泄露的這一行為，而是個人信息被侵害或者被泄露所帶來的一系列嚴重的后果，所以要想在源頭上遏制這一類悲劇的發生，就必須采取源頭治理的方式，即將大規模的個人信息的侵害界定為“造成嚴重后果”并允許請求必要的精神損害賠償。

關于精神損害賠償的數額，應當與酌定的財產損失大致均衡，可以考慮每個受害人所獲精神損害撫慰金的數額一般不少于一千元。這里的一千元同樣也可以作為對大規模個人信息侵權后由于財產上的損害賠償不能滿足，而作出的精神上的損害賠償的兜底性賠償，對于侵害個人信息的對象不同（即敏感個人信息和一般個人信息）進行上下浮動確定賠償額。

（二）個人信息微額損害中歸責原則和證明標準困境克服

對于個人信息侵權的歸責原則，在《個人信息保護法》第69條規定之初有三種理論，分別為一元論、二元論、三元論。其中一元論主張不區分侵權主體，只要侵權人主觀上有過錯便承擔過錯推定責任；二元論主張區分侵權主體，公務機關主體采取違法收集、買賣等方式侵害個人信息權益的承擔無過錯責任，而非公務機關主體實施上述行為侵害個人信息權益的承擔過錯推定責任；三元論則認為還應將對大數據的自動化處理作為分類依據，即在吸收二元論的基礎上，令在數據技術處理和資金支持上具有天然優勢的政府主體承擔無過錯責任，根據是否擁有大數據自動化處理技術和資金支持將非政府主體又分為自動化數據處理主體和非自動化數據處理主體，對于前者適用過錯推定責任，后者適用一般過錯責任。隨著《個人信息保護法》的頒布，一元論的理論應用得到了明確。那么在面對信息業者的大規模的輕微侵權之下一元論的采用是否存在有瑕疵的地方呢？在此筆者想要指出現行的一元論的過錯推定歸責原則的不足之處，并提出相應的完善建議。

1.歸責原則困境之克服

對于非個人信息處理者導致的大規模個人信息侵權，過錯推定歸責原則失靈，可以考慮引入違法推定過失以及三元論的歸責原則來彌補?！秱€人信息保護法》第69條規定的適用過錯推定責任的主體即個人信息處理者，根據《個人信息保護法》第73條第一項的解釋其僅指在個人信息處理活動中自主決定處理目的、處理方式的組織和個人。根據此規定，非個人信息處理者不能適用69條第1款規定的過錯推定責任，只能適用過錯責任（《民法典》第1165條第1款）[21]，假設信息業者換一種方式實施對個人信息的大規模輕微侵權（比如找到委托人為其進行收集、整理，自己進行回購的方式）此時如何確定歸責原則，對此有不少學者主張采用無過錯歸責原則。[22]針對于此，為彌補司法實踐中存在的該類問題，筆者作出以下建議：

其一，在司法實踐中引入之前多數學者所提的違法推定過失規則[23]。此規則的含義是指處理者為經營者時，只要發生了個人信息的泄露或者丟失，其就要證明自己履行了采取適當的技術措施以確保信息安全的法定義務，否則其將被認定為違反了法定義務，進而認定有過錯，其可以提出反證。[24]在此規則下，只要違法推定為存在過失，就可以發生諸如上述的非個人信息處理者大規模侵害個人信息權益時，適用一般過錯原則，來減輕原告所承擔的證明責任。[25]

其二，以三元論理論代替一元論理論，即以是否存在自動數據處理技術來處理個人信息的組織和個人來區分適用過錯推定責任還是過錯責任，針對信息業者的大規模的輕微個人信息侵權事件，大多都是以自動化數據處理技術來進行的個人信息的收集與整理，即便是其委托處理個人信息中的受托人（非個人信息的處理者），也能根據該理論適用過錯推定歸責原則，由此一來還可以準確區分出非個人信息處理者中的不具有大規模侵害性或處罰性的信息處理行為，例如自然人因個人或者家庭事務處理個人信息的行為，從而做到有效精準地進行歸責懲處。

2.舉證責任困境之克服

在證明責任上，面對侵害行為的證明困境，對大型信息業者科以特別義務。有學者為舉證責任困境指出三條出路：其一，對持有證據但不負有舉證責任的一方（從事信息業者的大型企業）科以事案闡明義務；其二，采證據協力制度，即強調第三人負有證據協助調查的義務；[26]其三，由于該訴訟中舉證責任的存在，在法庭之上難以依據《民事訴訟法》第94條和96條的規范由法院主動依職權調取證據，故應加強法院主動調取證據的力度。

筆者認為，上述三條出路在適用過程中存在粘連密切和選擇遞進關系，無法達成理想狀態下舉證責任減輕的目的。從事信息業者的大型企業的主動事案闡明義務因為具有先入性和控制性，往往影響后兩種路徑的走向。法官在司法實踐中往往為了節省司法資源，在對被告信息處理者的主動事案闡明和案外第三人的參與協助調查后，法院主動調取證據便不再實施。試想，在大型信息業者發生大規模微額侵權事件之后，由于其主動事案闡明義務的先行，為了維護自己企業的根本利益或者減少損失，勢必作出有利于增加其權利和減少其義務的說明，而對于這里的第三人先不論私下里有無被“收買”的嫌疑，即使未被收買，受前者力量的施壓與先入性影響，為減少自身信息調查成本也更容易作出有利于信息業者的結論。由于此三條路徑遞進關系的存在，前兩個路徑的“成就”使得法官的主動調查往往形同虛設。故，三種路徑在司法實踐中難免出現“治標不治本”的情況。對于信息業者的大規模微額侵權行為的規制，應當深入其算法運行當中進行根本的認識與處理。信息業者與信息主人本存在能力鴻溝，可以將格式條款引用于信息業者大規模微額侵權的規制中，格式條款無效，侵權行為也相應地不證自明。

在因果關系的證明體系中，可以考慮采用證明責任倒置以及在大型企業中引入個人信息的保護制度來化解舉證難題。關于因果關系體系存在的舉證困難問題，曾有學者主張對此要件采用證明倒置的方法來合理分配證明責任以保護處于劣勢地位的個人信息受害者。[27]以上觀點可值贊同，在諸如上述措施實施的基礎上可以在從事信息業者的大型企業中《個人信息保護法》第52條規定，建立個人信息的保護制度，由此一來，不僅使得被告人更加明晰，從而可以有效緩解發生侵害后損害義務人難以確認的阻力，且有助于損害賠償主體和侵權主體的確定與審查。比如，前面提到的滴滴被罰案，強制要求其內部設立個人信息保護人制度即信息保護部門，不僅可以快速確定具體被告，還可以依據其內部的信息保護部門的信息資料更加有利于偵查部門對其的偵查，故此部門的獨立設置具有重大意義。通過信息業者個人信息保護部門的建立，使得個人信息的商業流通渠道和買賣價值得以確定，由此有利于對被侵權人的賠償金額的認定，從而對個人信息被侵害者的財產性利益損失能夠做出相對準確的估量，也有助于上述提到的個人信息微額損害最低賠償標準制度中最低賠償基準額的確定。

具體歸責原則和證明標準路徑如圖2所示：

圖2 歸責原則和證明標準路徑圖

四、結 語

大數據信息產業的不斷發展與變革創新，帶來大規模輕微侵權，隨著《個人信息保護法》的頒布，目前我國對此類事件的救濟途徑尚更為依靠公法的處罰、公益民事訴訟或者行政訴訟來進行處罰規制，而對于私法上的個人訴訟救濟仿佛還處于“萌芽期”，由于舉證責任和損害賠償成本問題的存在，使得在司法實踐中個人要求進行損害賠償的案例少之又少。公法處罰和公益訴訟的救濟確實發揮了其應有的功效，但是如何平衡公法、公益訴訟和私法救濟之間的適用成為當下亟待解決的難題，因此有必要對《民法典》和《個人信息保護法》中的有關條文進行解釋說明，尤其是《個人信息保護法》的第69條。通過上述對大規模輕微損害賠償中的財產性權利損害賠償的認定、精神性損害賠償的認定以及證明標準和證明責任的認定標準的說明和探討，將有助于進一步完善救濟路徑，為個人信息大規模繳額損害的賠償提供有力的制度支持。

注釋：

① 北大法寶CLI.C.410381362.上海青浦、江蘇吳江、浙江嘉善三地法院及市場監督管理局聯合發布消費者權益保護十大典型案例之七：某售樓處人臉識別系統侵害消費者個人信息被行政處罰案——公共區域內個人信息的采集須經消費者同意：https://www.pkulaw.com/pfnl/a6bdb 3332ec0adc4fd16598e518433457d04687244e69ad 7bdfb.html?Keyword，最后訪問時間：2023年6月5日.

② 參見《新寶看法（十九），如何理解<個人信息保護法>新增的公益訴訟?》，資料來源于微信公眾號“教授加”[EB/OL].(2022-12-26)：https://mp.weixin.qq.com/s/dSsMw4hRuQweWhcNQ3wG4A.

③ 北大法寶CLI.C.315406566.最高人民檢察院發布11件檢察機關個人信息保護公益訴訟典型案例之二：浙江省溫州市鹿城區人民檢察院督促保護就診者個人信息行政公益訴訟案：https://www.pkulaw.com/pfnl/c05aeed05a57d b0a5ba2c8d533bd3010de1a8d361b293312bdfb.html?keyword,最后訪問時間：2022年12月26日.

④ 北大法寶CLI.C.315420076最高人民檢察院發布11件檢察機關個人信息保護公益訴訟典型案例之七：浙江省杭州市余杭區人民檢察院訴某網絡科技有限公司侵害公民個人信息民事公益訴訟案：https://www.pkulaw.com/pfnl/c05aeed05 a57db0af390395d567e5e75ff7329644fd20fb6bdfb.html?keyword，最后訪問時間：2022年12月26日.

⑤ 參見人民網評--觀點頻道：《維護網絡安全、保護個人信息，滴滴須牢記！》http://opinion.people.com.cn/n1/2022/0721/c1003-32482422.html#:～:text，最后訪問時間：2023年6月9日。

⑥ 參見《心碎消息，年僅24歲！網傳“染粉頭發被網暴女生”自殺去世》資料來源于微信公眾號“極目新聞”[EB/OL].（2023-05-20）https://mp.weixin.qq.com/s?search_click_id.=2677606063001858629-1685852330025-7610408664&__biz.

⑦ 參見《劉學周，被嫌棄的一生》資料來源于微信公眾號“虎嗅APP”[EB/OL].（2023-05-20） https://mp.weixin.qq.com/s?search_click_id=3878878334105034279-1685852826554-0226876867&__biz.