個人信息公益訴訟適用懲罰性賠償的體系構建

〔摘要〕《個人信息保護法》第70條確立了個人信息公益訴訟，但沒有明確具體的訴訟請求類型，面臨著個人信息公益訴訟能否提起懲罰性賠償訴訟請求的追問。從個人信息強調預防性保護、個人信息的公益性、懲罰性賠償的預防功能、個人信息權利受損的特殊性等方面進行分析，應允許個人信息公益訴訟的原告訴請懲罰性賠償。由于個人信息公益訴訟并不排斥公法層面的保護，為避免重復處罰，在適用懲罰性賠償時應當保持審慎和謙抑，懲罰性賠償責任宜定位為對公法責任體系的補充。在懲罰性賠償金的使用上，則宜實行權利人認領賠償金并由基金會管理余額的方式。

〔關鍵詞〕個人信息保護，公益訴訟，懲罰性賠償，預防治理，審慎謙抑

〔中圖分類號〕D923.8 〔文獻標識碼〕A 〔文章編號〕1004- 4175（2023）05-0111-10

2021年11月1日起生效的《個人信息保護法》第70條規定：“個人信息處理者違反本法規定處理個人信息，侵害眾多個人的權益的，人民檢察院、法律規定的消費者組織和由國家網信部門確定的組織可以依法向人民法院提起訴訟?！弊源死_了我國個人信息公益訴訟的序幕。個人信息公益訴訟在立法上的確立是保障個人信息安全、維護民事主體在網絡空間合法權益的必然要求。然而，《個人信息保護法》僅賦予了檢察機關、法律規定的消費者組織和國家網信部門確定的組織以訴權，并未明確個人信息公益訴訟的訴訟請求類型。根據公益訴訟的一般原理，個人信息公益訴訟原告有權向法院提出要求被告停止侵害、排除妨礙、消除危險、恢復名譽、賠禮道歉和賠償損失等訴訟請求。但是，個人信息公益訴訟能否適用以及如何適用已在破壞生態環境和資源保護領域的案件、食品藥品安全領域的案件中實行的懲罰性賠償，懸而未決。就此，有必要從學理上對以下問題加以探討：個人信息公益訴訟是否具有適用懲罰性賠償的必要？如果確有必要在個人信息公益訴訟中建立懲罰性賠償制度，那么適用懲罰性賠償的條件是什么？個人信息公益懲罰性賠償的制度定位是怎樣的？個人信息公益懲罰性賠償金應當如何進行確定和使用？下文將首先證成懲罰性賠償在個人信息公益訴訟中的適用可能，其次分析個人信息公益懲罰性賠償的適用條件，然后明確個人信息公益訴訟適用懲罰性賠償的限制因素，最后在具體應用上明確個人信息公益懲罰賠償金的確定和使用規則。

一、個人信息公益訴訟適用懲罰性賠償的理論證成

對于個人信息公益訴訟能否適用懲罰性賠償的問題，支持與反對者均有①。但或許是基于破壞生態環境和資源保護領域的案件、食品藥品安全領域的案件已然實行懲罰性賠償，支持者即使認為個人信息公益訴訟可以適用懲罰性賠償，也并未圍繞個人信息的獨特品質對個人信息公益懲罰性賠償進行理論證成。個人信息公益訴訟能否適用懲罰性賠償，不能簡單地以其他領域的公益訴訟作為制度依據，而應結合個人信息保護的現實需要進行分析。

（一）補償性賠償難以實現對個人信息的預防性保護

從個人信息的權益屬性和特征來看，個人信息不僅涉及個人利益，而且關涉他人和整個社會的利益，因而個人信息本質上是具有公共性的，客觀上無法為個人單獨支配，其并非是一項由個人享有的絕對性權利〔1，2〕。雖然個人信息的公共屬性能夠推動信息流動，促進信息利用和發展，但這也導致個人信息處理對個人利益的侵害事前不易防范、事中無法制止、事后難以查找〔1，3〕。即使是在大規模侵害個人信息的活動中，權利人遭受的損害也具有不確定性和不可預期性。所謂損害不確定，是指損害大小、損害內容、損害何時發生不確定，個人信息權益人既有可能只是受到微小的損害，也可能遭受巨額財產損失或嚴重精神傷害；損害不可預期強調的是個人信息權益人在主動或被動交出信息后，對于個人信息處理者對個人信息的使用、傳輸、買賣、提供、公開、修改等處理活動可能造成的損害無法預期〔4〕。因此，與名譽權、隱私權等傳統民事權利側重事后救濟性保護不同，個人信息更加強調預防性保護，關注將來可能遭受破壞的法秩序〔5，6〕。個人信息公益訴訟雖因個人信息處理者侵害眾多個人的權益而啟動，但也同樣需要避免不法行為再次發生。個人信息公益訴訟的最優策略應是“通過公益訴訟產生的法律責任震懾違法行為人及其他潛在的違法者”〔7〕，“國家不能僅僅停留在對侵犯個人信息的事后救濟，在出現社會難以容忍的風險時即可采取預防治理措施”〔5〕。個人信息公益訴訟一方面旨在補償受損信息主體，另一方面對未來不遵守個人信息保護法律的行為加以警示或引導，并對于違法的個人信息處理者施加懲罰〔8〕。

然而在《個人信息保護法》第69條確定的補償性損害賠償追責機制下，即使是在個人信息公益訴訟當中也難言威懾、遏制同一或不同個人信息處理者再次實施相同或相似的違法行為。補償性賠償對于提高侵犯個人信息違法犯罪成本的作用并不明朗，很難實現對個人信息的預防性保護。這是因為對個人信息權益人施加的損害賠償僅僅是一種補償性賠償，主要在于填補個人信息權益人實際遭受的損害，“使其權益恢復到沒有受到損害之前的樣貌”〔9〕。但在不特定主體的個人信息權益遭受侵害時，個人信息受侵害的主體卻往往呈現出規模性，單個主體受到的損害相較于個人信息處理者所獲整體利益實際微乎其微〔10〕。因此，在個人信息處理者付出的違法成本與獲得的利益當中，個人信息權益人獲得的損害賠償大多低于個人信息處理者從個人信息中所獲取的利益，個人信息處理者往往只需要付出較低的違法成本就能夠獲得高額收益。甚至有觀點認為，個人信息公益訴訟中的損害賠償僅僅是對起訴主體提起公益訴訟的合理支出費用的賠償，包括律師費、交通費等〔11〕。低廉違法成本與可觀收益的不對稱更會“激勵”網絡運營者等個人信息處理者鋌而走險采取非法手段，甚至不惜事后賠償、不遺余力地去收集使用眾多個人信息權益人的信息權益〔7〕。單純的補償性賠償所施加的經濟制裁基本不足以威懾遏制個人信息處理者，無法擔負起震懾個人信息處理者的重任，其功能僅在于填補損害，而不具有“嚇阻”與“設立典范”的功能〔12〕。實證研究表明，在大多數案件中，補償性賠償雖然能夠從物質層面對社會公共利益進行修復，但由于賠償金額與可能造成的潛在危害之間不對等，遠遠達不到填補損害、釋放威懾信號的效果〔13〕。

具有震懾潛在違法行為人的損害賠償責任實際是懲罰性賠償。所謂懲罰性賠償，指的是法院所作出的賠償數額超出實際損害數額的賠償，其功能不僅在于彌補受害人的損害，而且在于懲罰和制裁嚴重過錯行為〔14〕。通過高額的懲罰性賠償使違法成本和收益相對稱，對違法處理個人信息的行為進行負面評價，向潛在的違法行為人展示實施不法行為的嚴重后果，能夠威懾遏制類似不法行為的發生，從而真正防止個人信息處理者繼續或重復實施相同的不法行為/違法行為，敦促個人信息處理者實施合法、正當、必要的個人信息處理行為。然而，《個人信息保護法》并沒有賦予個人信息公益訴訟原告以懲罰性賠償請求權，欠缺懲罰性賠償請求權的個人信息公益訴訟是無法對侵害人產生實質上的威懾力的〔15〕。事實上，在《個人信息保護法》生效之前，最高人民檢察院在2021年4月22日發布的《檢察機關個人信息保護公益訴訟典型案例》“河北省保定市人民檢察院訴李某侵害公民個人信息民事公益訴訟案”已明確個人信息公益訴訟可以適用懲罰性賠償。該案的典型意義就在于通過懲罰性賠償懲治和預防個人信息保護領域的損害公益行為、真正實現“讓違法者痛到不敢再犯”的目的。地方各級法院亦在努力探索懲罰性賠償在個人信息公益訴訟中的適用可能②。這意味著在個人信息公益訴訟中適用懲罰性賠償是具有實踐適用的現實價值的，“公益訴訟在個人信息保護工作中可以發揮預防性功能和懲罰性功能”〔16〕?？偠灾?，“由于大數據時代個人信息的侵害結果具有潛伏性、隱蔽性、持續性等特點，僅僅依賴于補償性責任方式難以實現侵權法的損害預防功能”〔6〕。在個人信息的公益保護領域建立懲罰性賠償制度能夠通過其特有功能，充分救濟個人信息權利人、懲罰實施嚴重不法行為的個人信息處理者、警示其他個人信息處理者不得實施類似行為，實現風險社會的預防治理，進而增強個人信息公益訴訟的執法效果。

（二）個人信息保護的特殊性需要懲罰性賠償

個人信息實際上是個人在社會關系的形成過程中產生的，它既來源于個人的自我呈現，也來源于他人的尋求信息。個人信息產生并存在于公共領域，其生成過程融入了相當多的公共因素，已經不完全是一種存在于私主體之間的法律問題〔13〕。對于個人信息處理者而言，單個信息權益人的個人信息對于其產生的價值一般較為有限，只有在匯聚和分析海量個人信息并對其加以處理和使用后方能產生較為明顯的收益?；趥€人信息的此種特性，很多時候都會出現個人信息處理行為對于單個信息權益人并未產生實際的人身、財產與精神損害的情況。比如，“對個人信息自決權的侵害僅僅是侵犯了公民個人對其信息的決定權、排他控制權及獨占使用權，而未必會涉及現實的經濟或精神損失”〔7〕。但是，由于個人信息具有明顯的公益屬性，此時就有可能出現單個信息權益人未受財產損害，但社會公共利益最終受損的情況。個人信息處理者聚合與分析后的個人信息甚至可能嚴重危害公共安全和社會秩序，損害公共政策利益等〔17〕。例如在“劍橋分析”事件中，個人信息處理者就借助算法模型精準推送新聞廣告，進而左右選民投票〔15〕。之所以會在個人信息的防范治理中出現這種情況，是因為個人信息權益并非絕對權，無法適用“權利被侵害即存在損害”規則〔18〕。隨著信息自決權的正式確立，加上不以受害人財產狀況出現差額為必要的新型損害的出現，致使傳統意義上的差額損害賠償判定方法捉襟見肘〔6〕。然而，《個人信息保護法》第69條明確規定，“造成損害”是承擔侵害個人信息權益損害賠償責任的必備條件〔19〕。在這種情況下，針對差額損害進行補救的補償性損害賠償就達不到侵害防止的作用，因為公共利益的可賠償性損害大小是很難進行具體衡量和計算的。這樣一來，補償性賠償就無法實現威懾個人信息侵權行為的目的，個人信息公益訴訟也無法完成維護社會公共利益的執法效果。與之相對，懲罰性賠償則是對損害社會公共利益的違法行為所規定的懲罰和制裁措施，其目的在于通過對嚴重不法行為的懲罰和制裁，維護社會公共利益〔20〕。也就是說，懲罰性賠償并不完全以單個民事主體的實際損害發生為必要前提，更加側重的是不法行為導致社會公共利益嚴重受損，以保障社會公共利益為己任。從這個方面看，懲罰性賠償的公益保護功能與個人信息的公益屬性具有天然的適配性，二者在性質和功能價值上是高度契合的。

二、個人信息公益訴訟適用懲罰性賠償的構成要件

在個人信息公益訴訟中，對懲罰性賠償的適用可以參照知識產權（《民法典》第1185條）、產品缺陷（《民法典》第1207條）、環境侵權（《民法典》第1232條）懲罰性賠償的立法精神進行確定。簡言之，故意侵害個人信息權益，情節嚴重的，法院可以判決適用懲罰性賠償〔21〕。具體來說，可以比照一般侵權責任的構成要件將個人信息公益懲罰性賠償的構成要件劃分為四個方面：主觀上個人信息處理者具有惡意，行為上個人信息處理者實施了嚴重的不法行為，結果上個人信息處理者的行為導致眾多個人信息權益嚴重受損，前述行為與結果之間具有因果關系。

（一）個人信息處理者惡意侵害個人信息權益

個人信息處理者主觀上具有惡意或者說主觀上具有可非難性是適用懲罰性賠償的前提條件。如果個人信息處理者已經盡到了可能的注意義務，但損害仍舊不可避免地發生，則不宜適用懲罰性賠償。即便此時適用懲罰性賠償也無法實現對個人信息處理者的震懾功能，因為個人信息處理者主觀上并無惡意，沒有懲罰的必要。如果行為人主觀上故意實施違法行為，不論對損害個人信息權益的結果持追求還是放任態度，都只有直接故意和間接故意的區別，二者都屬于惡意的一種類型。如果行為人對損害個人信息權益的結果持反對態度，并且達到了一般理性人的注意標準，但最終未能避免持較高注意義務才能避免發生的損失，個人信息處理者的主觀狀態就宜被認定為一般過失而非惡意。

值得討論的是，在輕過失和故意之間還存在一個過渡區間，也就是重大過失。重大過失和間接故意的區分十分困難，而且需要確定“惡意”本身是否包含重大過失。所謂重大過失，指的是一種行為人在認識上對行為風險、損害后果有所認知的過失，基于行為人有所認識而有避免的可能性，并因對行為風險、損害后果的認知以及避免風險與損害后果的可能性產生道德可責性的過失〔22〕。這種道德可責性正好賦予了適用懲罰性賠償、懲罰行為人的正當性。因而個人信息公益懲罰性賠償的主觀要件除了故意之外，還包括重大過失。如果立法上將重大過失作為懲罰性賠償的主觀要件，則宜在懲罰性賠償金的確定上將具體的過錯類型（故意還是重大過失）作為裁量因素。

在主觀要件包括故意和重大過失的前提下，《個人信息保護法》第69條規定了過錯推定原則。存在爭議的是公益訴訟中能否適用過錯推定，尤其是其能否作為推定懲罰性賠償責任成立的主觀要件。有觀點認為，在公益訴訟中，對互聯網平臺以及涉及跨境業務的互聯網處理者，需要“運用過錯推定的原則，增加侵權人的違法成本與舉證責任”〔10〕。需要指出的是，減輕當事人的證明負擔以實現實體正義不只有過錯推定一種方式。過錯推定一般指的是證明責任倒置，要求侵權人證明無過錯方可免責。但證明責任倒置需要法律明確規定方可成行。私益訴訟與公益訴訟中，原告提出的是不同的請求，主張的是不同的請求權，私益訴訟中進行過錯推定不等于在公益訴訟中亦可進行過錯推定。并且，在公益訴訟中是否要采取證明責任倒置這種最為有力的減輕證明負擔的方式尚存疑慮。公益訴訟原告在資金、技術、訴訟能力等方面并不明顯弱于被告，沒有特別必要設置特別規定保障雙方武器平等。國家機關提起公益訴訟具有天然優勢，完全有能力應對公益訴訟〔23〕。比如環境公益訴訟的原告基本具備專業技術知識和法律運用水平、資金力量、技術支持等優越條件，較之私益訴訟中作為原告的公民個人，環境公益訴訟主體在舉證能力上并不處于劣勢地位，不具有通過證明責任倒置來平衡雙方當事人證明負擔的必要性〔24〕。消費公益訴訟中的懲罰性賠償請求“大多由檢察機關以刑事附帶民事公益訴訟的形式提出”〔25〕。在司法實踐中，檢察機關對侵犯公民個人信息違法犯罪也多采用“一案三查”模式，打擊刑事犯罪的證據可以直接用以民事公益訴訟③。因此，很難認為個人信息保護的公益訴訟中雙方當事人存在較為嚴重的舉證能力不平等。

同時，個人信息公益訴訟中的懲罰性賠償僅適用于主觀故意和重大過失的情形，以懲罰當事人的主觀惡意。證明沒有疏忽大意或過于自信的過失較為困難，因為這意味著互聯網企業等個人信息處理者要證明自身的安全管理工作完善等。事實上，證明主觀上有無故意更為容易，因為現實中更多的情形是企業的保護手段落后于法律要求和技術更新，導致存在安全隱患繼而發生信息安全事件〔26〕。也就是說，不論要求企業證明還是要求公益訴訟原告證明都不會影響當事人的實體利益，沒有必要實行證明責任倒置。當然必須承認的是，雖然主觀上有無故意較為容易證明，證明主觀上有無重大過失則意味著要證明侵權人對行為風險、損害后果有無認知，這相對于證明有無故意更為困難。因此，有必要通過較為溫和的方式減輕原告的證明負擔，比如規定基于特定間接事實乃至輔助事實的存在推定具有過錯或惡意。也就是說，對個人信息公益懲罰性賠償的主觀要件可以實行附條件的證明責任倒置，在證明一定間接事實或輔助事實的條件下由法律明確證明責任轉換，而不是無條件的證明責任倒置。

（二）個人信息處理者實施嚴重不法行為

《個人信息保護法》規定個人信息權益受法律保護，并在具體章節規定了個人信息處理者的職責。如果個人信息處理者違反《個人信息保護法》規定的信息處理行為規范，就屬于實施不法行為，例如個人信息處理者侵害個人信息權益人的知情權、決定權、刪除權等。問題是，如果個人信息處理者實施的信息處理行為并未違反《個人信息保護法》的具體規范，但仍舊導致個人信息權益受損，此時能否納入侵權行為的范疇？如果行為人并未違反具體的行為規范，但法院認為個人信息處理者的信息處理行為違反了個人信息處理的合法、正當、必要原則，此種行為是否可以適用懲罰性賠償？

在一般責任的構成上，上述問題尚有討論余地，但懲罰性賠償適用要件中的嚴重不法行為則應視為違反了《個人信息保護法》下具體行為規范的行為。對于個人信息保護，我國《民法典》將之規定在總則篇第五章的具體人格權之后，因而一般將個人信息視為一種法律保護利益而不是一種獨立的民事權利?！睹穹ǖ洹返?10條規定了具體人格權，第111條規定了個人信息保護，但《民法典》第990條列舉的具體人格權并沒有個人信息。據此，理論上一般認為立法者有意將個人信息視作一種獨立的人格利益，而不屬于絕對權的人格權。因為人格權是具有可支配性的，個人信息并不具有支配性，也不具有支配的可能。因此，對個人信息的保護，應以保護人格利益的方式進行，而不宜采取泛化的處理方式。既要“為了保護個人信息權益”，也要“規范個人信息處理活動，促進個人信息合理利用”④。采取泛化的、人格權化的個人信息權益保護方式，與立法本意并不契合。個人信息保護應當偏向“具體規范模式，避免將個人信息理解為抽象的人權或人格權益，濫用人格權請求權”〔27〕。也就是說，如果個人信息處理行為符合《個人信息保護法》的具體規范，就不宜認為其侵犯了法律所要保護的個人信息權益。比如在歐盟法院的判決中，歐盟法院將個人數據處理行為拆分為“個人數據”和“數據處理行為”兩部分進行處理，前者是對個人數據處理行為的內容，后者是對個人數據處理行為的過程，侵犯個人數據必然意味著處理行為不規范，不規范的行為也必然侵犯了數據隱私利益——在歐盟法院的判決中，兩個權利總是同時被侵犯或同時未被侵犯〔28〕。

與此不同的是信息處理行為違反法律原則。處理個人信息的原則由法律和其他規范文件進行直接規定⑤，在具體規范存在空白的時候可以參酌適用法律原則進行裁判。因此，對于一般侵權責任而言，適用法律原則認定行為違法性并無不妥。但法律原則的內涵和外延具有天然的模糊性，如何準確界定并適用這一原則往往缺乏法律的直接規定。在個人信息處理的合法、正當、必要原則中，合法原則屬于形式合法范疇，它指的是個人信息處理符合法律的明確規定，但正當、必要原則屬于實質合法范疇，“是對信息處理目的與手段的合理性評價”〔29〕。違反合法原則屬于違反法律明文規定的行為規范，足以說明行為的惡劣性，此時直接適用懲罰性賠償并無不當；但對于正當、必要原則，則不宜等同視之，因為正當、必要原則的內涵與外延并不清晰，對個人信息處理者的信息處理行為提出了較為模糊的要求。違反正當、必要原則，要求個人信息處理者改正相應行為是正當的，但行為僅違反正當、必要原則不宜在公益訴訟中適用懲罰性賠償，否則將對個人信息處理者課以過高的注意義務。因此，懲罰性賠償應當適用于違反行為規范的行為，而不是只要信息處理行為對個人信息權益人造成權益侵害就直接適用懲罰性賠償責任。按照法律實施行為不應該認為造成了損害或者引起了風險，“如果從規范圖式來觀察，風險僅僅存在于對規范的違背之中。為了強調這一點，規范配有外部（法律的）與內部（道德的）約束力……規范自身被預設為無風險的結構……如果其缺點被證實或優先性發生改變，規范也會被改變。但只要它仍然生效，順著它走就沒有風險”〔30〕86-87。個人信息權益涉及多方利益和公共利益，絕對化的保護尚存疑慮，在懲罰性賠償責任的適用上更不宜采取絕對化的理解。不能僅因信息處理行為造成權益侵害就直接適用懲罰性賠償，而必須明確個人信息處理者的信息處理行為違反了法律規定的行為規則方可適用。這與知識產權、環境、產品領域侵權不同，后者侵犯的權利多為明確的“權利”，而非“權益”，比如產品損害人身健康，不必違反特定的行為規范即可構成侵權。但基于侵犯對象的特殊性，個人信息公益懲罰性賠償的客觀行為要件應限定在嚴重違反行為規范的行為，當然這并不影響一般侵權責任的適用。

（三）不法行為導致眾多個人信息權益嚴重受損

因果關系連接著違法行為與損害后果，如果沒有因果關系，不能要求被告承擔賠償責任。懲罰性賠償要求侵權結果必須是嚴重的損害，公益訴訟原告必須證明因果關系成立，而不是基于行為違法即斷定存在抽象意義上的風險。因果關系證明中存在較為復雜的問題是，某一案件涉及不同的個人信息處理者，如果發生信息泄露等類似行為，數個個人信息處理者都存在違法行為時，如何確定造成損害后果的行為人，是否可以根據《民法典》第1170條規定的“共同危險行為”主張侵權責任，值得進一步討論〔31〕。對于懲罰性賠償責任而言，如果可以適用共同危險行為的擇一因果關系或者適用特殊的推定規則，意味著多個行為人可以同時承擔懲罰性賠償責任，但事實上并非全部個人信息處理者都惡意實施了導致嚴重損害結果的不法行為。因此，個人信息公益性懲罰性賠償構成要件中的因果關系有必要實行嚴格證明。

歐盟《通用數據保護條例》（GDPR）第83條第2款同時從客觀層面、主觀層面和損害結果等方面規定了作出行政處罰的諸多參考因素。個人信息保護中的公益懲罰性賠償可以參考這一規則的評估要素作為判斷侵權行為是否嚴重的要素?？晒┛紤]的要素一般包括：第一，受害人數量多少；第二，對受害人造成的損害的大小，法院應當分析受害人的經濟損失、精神損害和企業違法所得；第三，侵害的公共利益的嚴重程度；等等。立法機關可以考慮明確以受害人數量、受害程度以及侵害公共利益的嚴重程度三個要素作為評估損害后果的根據，但不宜由法律法規或者司法解釋進行限定。例如，法院認可個人信息公益訴訟請求的前提是個人信息處理者的信息處理行為損害眾多個人信息權益人的信息權益。如果信息處理行為只是侵害了個人或少數人的權益，不涉及眾多個人的權益，則不能提起公益訴訟。然而，究竟什么是“眾多個人”，并沒有一個清晰的標準。有觀點認為，對于眾多個人的解釋，可以參照最高人民法院《關于適用〈中華人民共和國民事訴訟法〉的解釋》第75條的規定，一般是指十人以上〔32〕。但對公共利益的損害大小是需要綜合衡量的，而不是通過簡單的人數相加就可以得出結論。與此類似的是，精神損害也可以折算為金錢加以賠償，對受害人造成的損害大小可以通過金錢加以計算。然而，精神損害的大小本身就難以衡量，精神損害的賠償與其說是填平精神上的痛苦，不如說是給予受害人精神撫慰，相對于財產保護，法律本就不適于用以對人格進行保護〔33〕36。法律不能基于評估的受害人所受損害的總量，徑行得出損害后果是否嚴重的結論。例如重要信息、隱私信息的泄露可能導致受害人難以正常生活或帶來其他嚴重后果，如此帶來的損害恰恰是難以充分評估的。因此，對于是否符合客觀結果要件的要求，應當允許法院進行一定裁量，法院也有必要在裁判文書中進行說理，就具體案件是否符合懲罰性賠償責任的情況進行論證和說明。

三、個人信息公益訴訟適用懲罰性賠償的限制條件

（一）懲罰性賠償是對公法責任體系的補充

對于一般的民事責任來說，其與刑事責任、行政責任是無法割裂的責任承擔方式，同一行為損害個人權利或利益的，依法承擔民事責任；違反行政規范則應承擔行政責任；構成犯罪則應承擔刑事責任〔4〕。因此，個人信息權益受損即應填補損害，行政責任、刑事責任是否承擔或承擔多少都不影響個人信息權益受損的填補大小。即使個人信息權益受損而需懲罰性賠償，懲罰性賠償也是以填補的損害為基數計算或者設置上下限加以規制的，其與行政責任、刑事責任并沒有直接的聯系。但必須承認的是，個人信息權益屬于一種特殊的民事權益，“個人信息‘本權權益’兼具公法與私法雙重性質”〔1〕?！秱€人信息保護法》規定的個人信息權益涉及個人、信息業者和國家三方，個人信息公益訴訟所保護的利益是個人信息的公益層面。個人信息公益訴訟中的懲罰性賠償是因公益損害而設定的，這種懲罰性賠償所保護的利益具有公共性。如此，懲罰性賠償就與公法（行政法或刑法）所保護的對象有重合。在這種情況下，如果要求實施不法行為的個人信息處理者既承擔懲罰性賠償責任，也承擔行政罰款、刑事罰金等公法責任，就有重復處罰之嫌。

盡管我國《民法典》第179條規定懲罰性賠償是一種法定的民事責任承擔方式，但在民事公益訴訟領域，懲罰性賠償的責任屬性并不明確，與行政責任、刑事責任始終“曖昧不清”。懲罰性賠償與公法意義上的罰金（刑事罰金或行政罰款）極有可能存在一事再罰的情況〔34〕。司法實踐中也經常出現以公法罰金抵扣公益訴訟懲罰性賠償的情況，例如廣州首例涉懲罰性損害賠償民事公益訴訟案⑥。在該案中，被告構成犯罪被追究刑事責任，被判處8萬元罰金，在事后的消費公益訴訟中，法院認定被告須承擔總價款10倍的懲罰性賠償金120萬元，但是被判處的8萬元刑事罰金應在民事公益訴訟懲罰性賠償金中抵扣，最后被判處支付懲罰性賠償金112萬元?；谶@種重復追償的風險，公訴機關（檢察機關）對同一行為主張罰金和懲罰性賠償時，“兩者并處的法理空間似乎并不存在，要么可能違反一事不再罰原則，要么可能與罪刑相適應原則相?！薄?4〕。因此，在個人信息公益懲罰性賠償的適用上，將其視為對公法責任的補充可能更為合理。檢察機關或其他組織主張個人信息處理者承擔懲罰性賠償責任的，就應以公法責任尚未完全實現為前提。當公法責任的懲罰效果已然足夠時，再追究懲罰性賠償責任顯然缺乏實益。具體而言，被告已經繳納的刑事罰金或行政罰款可以抵扣懲罰性賠償金，刑事罰金或行政罰款已經充分追究當事人責任的，就不宜另行要求其承擔懲罰性賠償責任。

（二）懲罰性賠償應當保持審慎謙抑

《個人信息保護法》第1條明確指出，該法不僅要保護個人信息權益，還具有促進個人信息合理利用的目的，對個人信息的保護不是單純限制個人信息的使用，還要“規范個人信息處理活動”，從而實現個體利益和公共利益的平衡〔35〕。個人信息保護不是保護信息主體的絕對控制權，不是要禁絕個人信息的處理或使個人可以完全掌控信息處理，而是針對個人信息自動處理帶來的損害風險的預防機制。同時，與一般財產不同，個人信息自決的例外本身就有很多，“自決/控制本來既不現實，也無必要——個人就其信息如何處理有一定發言權，但不是最終發言權”〔36〕。在補償性賠償中，賠償數額與權益受損的價值相當，行為人可能存在僥幸心理嘗試逃脫責任，不會積極遵守行為規則。懲罰性賠償與補償性賠償不同，其具有典型的懲罰和震懾功能。但過高的懲罰性賠償則有可能走向反面，也就是“在侵害人對于權益估價高的情況下，也不會通過交易取得權益”〔37〕。過高的懲罰性賠償會抑制信息處理活動本身，使個人信息處理者不愿、不想處理個人信息，從而與《個人信息保護法》的立法目的相悖。雖然更高的懲罰性賠償看起來有利于規范信息利用行為，但也有可能阻礙信息的正常流動，懲罰性賠償可以提高也可以損害資源的配置效率。從懲罰性賠償的實踐來看，既有妨礙經濟發展、刺激訴訟活動的效果〔14〕，也有阻礙信息合理利用的風險。

懲罰性賠償的實質是利用私法機制實現公法上懲罰目的的懲罰〔38〕，懲罰性賠償責任的適用需要實現公法上的懲罰目的。在消費公益訴訟中，懲罰性賠償制度原本是用作在經營者進攻時消費者進行的自衛〔39〕。但懲罰性賠償極具攻擊性，如果責任認定標準寬松，賠償數額巨大，不考慮對象與情節，被告就會承擔過于嚴苛的責任，不利于經濟發展的同時也不利于社會整體利益。個人信息保護與消費公益訴訟存在密切關系，“經營者是消費者個人信息的直接處理者”〔10〕。因此，個人信息保護公益訴訟有必要吸取消費公益訴訟的實踐經驗，謹慎適用懲罰性賠償。一言以蔽之，適用懲罰性賠償應當慎重、保持克制，或者說應當保持謙抑性，對懲罰性賠償責任的適用要受到限縮和抑制。這一觀念在刑法等公法領域較為常見。刑法謙抑性指的是“立法者應當力求以最小的支出——少用甚至不用刑罰而用其他刑罰替代措施，獲取最大的社會效益”〔40〕。對刑法而言，其最大的收益是預防和控制犯罪。對個人信息保護來說，應當是規范個人信息處理的行為，避免類似行為再犯。換言之，在實現規范個人信息處理目的的前提下，對于懲罰性賠償應當謹慎適用，能不用則不用，能少用則少用，在最小化社會成本的同時最大化社會收益，提高社會效益。個人信息公益懲罰性賠償要通過懲罰促進個人信息的合理利用，就要使責任與行為相當。如果不加限制地適用懲罰性賠償，就有可能導致懲罰性賠償適用泛化，導致行為人實施不必要的防范措施，造成資源浪費，甚至存在放任損害發生的社會風險。

四、個人信息公益訴訟懲罰性賠償金的確定與使用

（一）懲罰性賠償金的確定

懲罰性賠償金的計算方式一般包括法定計算和裁量性計算兩種。前者如《消費者權益保護法》第55條第1款、《食品安全法》第148條第2款以特定基數乘以特定倍率的方式確定具體懲罰金額，后者則是在無法證明特定基數為多少的情況下，由法官綜合案件情況酌情計算懲罰性賠償金?！秱€人信息保護法》第69條第2款規定：“前款規定的損害賠償責任按照個人因此受到的損失或者個人信息處理者因此獲得的利益確定；個人因此受到的損失和個人信息處理者因此獲得的利益難以確定的，根據實際情況確定賠償數額?！彪m然這是對補償性損害賠償責任的規定，但“懲罰性賠償是以補償性賠償的存在為前提的，只有符合補償性賠償的構成要件，才能請求懲罰性賠償”〔14〕。因此，個人信息公益懲罰性賠償金的確定也應當采取以損失或利益為先，次之用自由裁量的計算方式。司法實踐中，雖然多數法院是在刑事附帶民事公益訴訟中對個人信息的損害賠償數額進行確定，但在損害賠償金的計算上仍然以“損失和獲利”作為損害賠償數額的特定基數，只有在“損失和獲利”難以證明時，法官才會根據案件情況酌情裁量賠償數額⑦。公益訴訟是對被告行為整體的“可非難性”進行評價，進而與私益訴訟區別開來。因此，在對被告行為進行整體評價時，公益訴訟毋庸過多關注單個權利人所受損害。原因在于，如果以單個權利人所受損害確定最終的損害賠償數額，公益訴訟原告就不得不向每一權利人進行調查和詢問，這不僅與公益訴訟涉及的是不特定主體的權益相悖，無法完成權利損害的準確總和，更有可能導致公益訴訟陷入顯著的遲延狀態，無法及時實現維護社會公共利益的目的。據此，在對個人信息公益懲罰性賠償金額的確定上，宜使用整體估算方法⑧對個人信息處理者違法行為的“可非難性”進行衡量。

一般來講，行為“可非難性”的評價因素包括過錯程度、財產狀況和獲利情況〔41〕?！斑^錯程度”主要表現在被告將所掌握的個人信息用于何處，以及交易對象將這些個人信息用于何處，若其行為結果嚴重影響個人信息權益人的信息權益（如某一群體權利人經常收到推銷信息、電話），則宜對行為人加重懲罰?！柏敭a狀況”主要體現在行為人的責任財產上，若法官確定的賠償金額明顯會導致行為人“資不抵債”，難以在強制執行程序中實現賠償金的收繳，由此將使懲罰性賠償難以發揮其本有的“嚇阻”功能?！矮@利情況”宜指經過開庭審理無法查明具體的數額，只能根據訴訟資料大體得知個人信息出售的范圍、數量（批次）等，否則即應適用“特定基數乘以特定倍率”的計算方式。普通法上，已有法律對懲罰性賠償實行最高額限制⑨。懲罰性賠償的目的與功能在于促使行為人及其他主體將來不再作出類似行為，而非于一案中判決過高數額使行為人瀕臨“破產”。雖然也有論者對最高限額持懷疑態度，認為由于不法行為的可預測性，被告將自甘風險、攫取相關利潤，進而挫敗懲罰性賠償的“嚇阻”效力〔42〕。然而這種觀點忽視了執行程序能否現實地促進債權實現的問題，無上限地賦予法官裁量空間對于權利實現并無實益。一項公益訴訟給付判決也不旨在使個人信息處理者徹底退出市場，懲罰性賠償主要的功能價值還是在填補權利人所受損害的基礎上，震懾相關行為人以避免再次實施相同或相似的違法行為，因此，懲罰性賠償的適用需要保持謙抑性。

（二）懲罰性賠償金的使用

賠償金究竟由何種主體管理使用，目前并未形成統一見解。實務中有的將賠償金支付至國庫，有的將賠償金交由公益訴訟起訴人代管，專用于個人信息或信息安全等公益事項⑩。多數觀點認為應設立基金會，由該基金會管理使用懲罰性賠償金，實務中則有法院將懲罰性賠償金直接上繳國庫的做法。在生態環境保護領域，《生態環境損害賠償金管理辦法（試行）》第6條第2款將生態環境損害賠償金作為政府非稅收入，實行國庫集中管理。由于受害人并非都集中于某一地區，逐一發放賠償金可能會產生困難，因而實踐中很多法院都選擇直接將懲罰性賠償金上繳國庫，但這種做法的合理性值得討論。事實上，公益訴訟原告只是享有形式上的懲罰性賠償請求權，由其收繳賠償金后不向單個權利人分配將超出法律授權的范圍。退一步而言，即便采取上繳國庫的做法，也應先向個體權利人發放相應款項，具體流程應為：代管機構公示→公示期內權利人可登記在冊→公示結束發放款項。然而依照《生態環境損害賠償金管理辦法（試行）》的精神，懲罰性賠償金主要用于專項工作，對于向個人救濟性的資金分配程序則缺乏規定。因此，歸入國庫的模式在實踐中可能難以產生實益。此外，還有的法院直接將賠償金認定為無主財產后上繳國庫，這種做法則有超越原告訴訟請求，違反“不告不理”原則的風險〔43〕。

設立基金會管理懲罰性賠償金的具體路徑可以分為兩種，第一種是權利人認領賠償金并由基金會管理余額，第二種路徑是直接由基金會支配懲罰性賠償金。第一種路徑的基礎在于，公益訴訟原告不能將賠償金歸為己有，也不能上繳國庫。因為懲罰性賠償請求權專屬于權利人，公益訴訟原告只享有形式性懲罰性賠償請求權即訴訟實施權，而不是真正的實體權利歸屬主體〔43〕。實質權利人應當有權認領懲罰性賠償金，未認領部分則可以通過公益信托方式由基金會進行管理。第二種路徑的依據在于，公益訴訟懲罰性賠償金的權利并不是源自個人的懲罰性賠償請求權，不是個體權利的簡單相加，而是一種獨立的懲罰性賠償請求權。因此，權利人不能支取懲罰性賠償金。權利人只能在被告沒有責任財產承擔補償性賠償責任時，才可以支取相應金額〔44〕。

在個體懲罰性賠償金的分配上，普通法系已有設立基金會分享數額的例證。不過在個體訴訟中，基金會模式將面臨這種質疑，即立論基礎建立在原告損害填補與分配的概念上。懲罰性賠償金的制度目的是對公共利益的維系，并非僅考慮原告如何分配損害賠償金額的問題〔42〕。但在公益訴訟中有所不同。首先，通過懲罰性賠償金數額的確定實現對被告的震懾，形成公共效應；其次，設立基金會分配賠償金亦能激勵私主體主動維權，間接促使個體權利人參與到法律的“執行”中來；最后，基金會對懲罰性賠償金進行管理、使用更具有中立性，也可以推動公益事業的良性發展。因此，個人信息公益懲罰性賠償金的管理使用可以實行路徑一的做法。第一，懲罰性賠償實行法定原則。無論對《個人信息保護法》第69條、第70條作何解釋，都不能得出公益訴訟原告享有實體上的懲罰性賠償請求權的結論；從第69條來看，也無法得出個人享有懲罰性賠償請求權。但從第69條和第70條之間的銜接來看，不賦予相關主體形式上的懲罰性賠償請求權，將極大貶損第70條的公益維護功能。舉重以明輕，個人也應當享有實體上和形式上的懲罰性賠償請求權。是故，公益訴訟原告僅享有形式上的懲罰性賠償請求權，其自不得直接支配相關賠償金，而宜交由基金會代管。第二，未支取賠償金的權利人視為放棄權利，相關資金可用于公益事業發展。為確保賠償金分配的公開性、透明性，公示—登記—支取流程不可或缺。若在公示期內權利人并未登記，則應視為放棄權利，應由其承擔自我責任，但其能說明原因的可于事后申請補領。經認領后尚余資金則可以由基金會采取專項管理的方式，專用于個人信息公益事業的發展，例如，在尚不構成公益訴訟時可撥用款項資助相關個人提起侵權之訴，為其提供法律上的援助等。

注釋：

①支持意見，參見許身健、張濤：《個人信息保護檢察公益訴訟的法理基礎與制度完善》，《法學論壇》2023年第1期；蔣都都、楊解君：《大數據時代的信息公益訴訟探討——以公眾的個人信息保護為聚焦》，《廣西社會科學》2019年第5期；王煒、張源：《個人信息保護公益訴訟的法律適用》，《檢察日報》2021年9月29日第3版；馬方飛：《個人信息保護立法的路徑與選擇》，《檢察日報》2021年4月28日第3版。反對觀點，參見張新寶、賴成宇：《個人信息保護公益訴訟制度的理解與適用》，《國家檢察官學院學報》2021年第5期；孫鵬、楊在會：《個人信息侵權懲罰性賠償制度之構建》，《北方法學》2022年第5期。

②參見：山東省菏澤市牡丹區人民法院（2020）魯1702刑初590號刑事判決書，https：//www.pkulaw.com/pfnl/c05aeed05

a57db0a9b351563fc53c27855eed2f0d4707930bdfb.html。

③參見：《廣東省廣寧縣人民檢察院訴譚某某等人侵犯公民個人信息刑事附帶民事公益訴訟案》，https：//www.spp.gov.cn/spp/xwfbh/dxal/202104/t20210422_517106.shtml。

④《個人信息保護法》第1條規定：“為了保護個人信息，規范個人信息處理活動，促進個人信息合理利用，根據憲法，制定本法?！?/p>

⑤《個人信息保護法》第5條規定：“處理個人信息應當遵循合法、正當、必要和誠信原則，不得通過誤導、欺詐、脅迫等方式處理個人信息?！?/p>

⑥參見：廣東省廣州市中級人民法院（2017）粵 01 民初 383 號民事判決書，https：//www.pkulaw.com/pfnl/a25051f3312b07f3bce94def6270cbedba2c677975f2c1fbbdfb.html。

⑦參見：遼寧省沈陽市鐵西區人民法院（2021）遼0106刑初340號刑事判決書，https：//www.pkulaw.com/pfnl/c05aeed05

a57db0a6996f498099835cf3a4db062800e72a1bdfb.html；廣西壯族自治區藤縣人民法院（2021）桂0422刑初13號刑事判決書，https：//www.pkulaw.com/pfnl/c05aeed05a57db0a194592614f359a9ccbda5fdaca13da6dbdfb.html；湖北省漢川市人民法院（2020）鄂0984刑初239號刑事判決書，https：//www.pkulaw.com/pfnl/a6bdb3332ec0adc4755929431054a1598767630cc50ff5afbdfb.html。

⑧關于賠償金估算方法，普通法上有整體性估算方法和個別估算方法。參見王福華：《如何向集團賠償——以集團訴訟中的賠償估算和分配為中心》，《法律科學》2009年第1期。

⑨在美國，已有20個州在特定法領域或一般侵權行為法中制定最高限額、最高限額與補償性賠償金數額比例的規定。參見戴志杰：《美國法上大規模瑕疵產品的多重懲罰性賠償金責任研究》，《輔仁法學》2015年第50期。

⑩參見：廣東省惠東縣人民法院（2021）粵 1323 刑初 715 號刑事判決書，https：//www.pkulaw.com/pfnl/95b2ca8d4055fce16a739d5776b89692d6748ff21e84354cbdfb.html；浙江互聯網法院（2021）浙 0192 民初 9214 號民事判決書，https：//www.pkulaw.com/pfnl/95b2ca8d4055fce10d806bf4be9f996477d22ee53da9189bbdfb.html。

參考文獻：

〔1〕張新寶.論個人信息權益的構造〔J〕.中外法學，2021（05）：1144-1166.

〔2〕高富平.個人信息保護：從個人控制到社會控制〔J〕.法學研究，2018（03）：84-101.

〔3〕王 成.個人信息民法保護的模式選擇〔J〕.中國社會科學，2019（06）：124-146+207.

〔4〕孫 瑩.大規模侵害個人信息高額罰款研究〔J〕.中國法學，2020（05）：106-126.

〔5〕邵 俊.個人信息的檢察公益訴訟保護路徑研究〔J〕.法治研究，2021（05）：55-64.

〔6〕張建文，時 誠.個人信息的新型侵權形態及其救濟〔J〕.法學雜志，2021（04）：39-52.

〔7〕蔣都都，楊解君.大數據時代的信息公益訴訟探討——以公眾的個人信息保護為聚焦〔J〕.廣西社會科學，2019（05）：107-115.

〔8〕張陳果.恢復性司法：檢察機關提起的個人信息保護公益訴訟〔J〕.清華法學，2023（02）：40-53.

〔9〕楊立新.個人信息處理者侵害個人信息權益的民事責任〔J〕.國家檢察官學院學報，2021（05）：38-54.

〔10〕薛天涵.個人信息保護公益訴訟制度的法理展開〔J〕.法律適用，2021（08）：155-164.

〔11〕張新寶，賴成宇.個人信息保護公益訴訟制度的理解與適用〔J〕.國家檢察官學院學報，2021（05）：55-74.

〔12〕陳聰富.美國法上之懲罰性賠償金制度〔J〕.臺灣本土法學雜志，2001（25）：37-44.

〔13〕許身健，張 濤.個人信息保護檢察公益訴訟的法理基礎與制度完善〔J〕.法學論壇，2023（01）：95-110.

〔14〕王利明.懲罰性賠償研究〔J〕.中國社會科學，2000（04）：112-122+206-207.

〔15〕孫 瑩.大規模侵害個人信息高額罰款研究〔J〕.中國法學，2020（05）：106-126.

〔16〕馬方飛.個人信息保護立法的路徑與選擇〔N〕.檢察日報，2021-04-28（03）.

〔17〕洪 浩，趙祖斌.個人信息保護中檢察公益訴權配置的根據〔J〕.內蒙古社會科學，2020（06）：79-88+213.

〔18〕謝鴻飛.個人信息泄漏侵權責任構成中的“損害”——兼論風險社會中損害的觀念化〔J〕.國家檢察官學院學報，2021（05）：21-37.

〔19〕程 嘯.侵害個人信息權益的侵權責任〔J〕.中國法律評論，2021（05）：60-61.

〔20〕金福海.論懲罰性賠償責任的性質〔J〕.法學論壇，2004（03）：59-63.

〔21〕石佳友.個人信息保護的私法維度——兼論《民法典》與《個人信息保護法》的關系〔J〕.比較法研究，2021（05）：27-28.

〔22〕葉名怡.重大過失理論的構建〔J〕.法學研究，2009（06）：77-90.

〔23〕陳杭平，周晗雋.公益訴訟“國家化”的反思〔J〕.北方法學，2019（06）：70-79.

〔24〕毋愛斌.環境民事公益訴訟中因果關系要件的證明〔J〕.中州學刊，2022（09）：58-66.

〔25〕黃忠順，劉宏林.論檢察機關提起懲罰性賠償消費公益訴訟的謙抑性——基于990份懲罰性賠償檢察消費公益訴訟一審判決的分析〔J〕.河北法學，2021（09）：75-92.

〔26〕中國東方航空股份有限公司法律合規部課題組.個人信息司法保護的舉證責任問題〔J〕.國際經濟法學刊，2021 （04）：1-9.

〔27〕林傳琳，宋宗宇.個人信息保護的民法定位與路徑選擇〔J〕.甘肅社會科學，2021（04）：206-213.

〔28〕蔡培如.歐盟法上的個人數據受保護權研究——兼議對我國個人信息權利構建的啟示〔J〕.法學家，2021（05）：16-30+191-192.

〔29〕劉 權.論個人信息處理的合法、正當、必要原則〔J〕.法學家，2021（05）：1-15+191.

〔30〕尼克拉斯·盧曼.風險社會學〔M〕.孫一洲，譯.南寧：廣西人民出版社，2020.

〔31〕王 煒，張 源.個人信息保護公益訴訟的法律適用〔N〕.檢察日報，2021-09-29（03）.

〔32〕楊立新.如何履行好個人信息保護檢察職責〔N〕.檢察日報，2021-09-27（03）.

〔33〕羅斯科·龐德.通過法律的社會控制〔M〕.沈宗靈，譯.北京：商務印書館，2010.

〔34〕王承堂.論懲罰性賠償與罰金的司法適用關系〔J〕.法學，2021（09）：152-153+163.

〔35〕尹培培.個人信息保護中的利益平衡〔N〕.社會科學報，2021-09-16（04）.

〔36〕王錫鋅，彭 錞.個人信息保護法律體系的憲法基礎〔J〕.清華法學，2021（03）：6-24.

〔37〕于冠魁.經濟法學視野下懲罰性賠償適用問題研究〔D〕.重慶：西南政法大學，2014.

〔38〕吳漢東.知識產權懲罰性賠償的私法基礎與司法適用〔J〕.法學評論，2021（03）：21-33.

〔39〕肖順武.論消費者權益保護法的謙抑性〔J〕.法商研究，2019（05）：147-158.

〔40〕陳興良.刑法謙抑的價值蘊含〔J〕.現代法學，1996（03）：14-25.

〔41〕李華琪，潘云志.環境民事公益訴訟中懲罰性賠償的適用問題研究〔J〕.法律適用，2020（23）：124-133.

〔42〕戴志杰.美國法上大規模瑕疵產品的多重懲罰性賠償金責任研究〔J〕.輔仁法學，2015（50）：203-204+217.

〔43〕黃忠順.懲罰性賠償消費公益訴訟研究〔J〕.中國法學，2020（01）：260-282.

〔44〕楊會新.公益訴訟懲罰性賠償問題研究〔J〕.比較法研究，2021（04）：115-127.

責任編輯 楊在平