個人信息保護公益訴訟懲罰性賠償的適用及規制研究

廖麗環，俞 程

（福州大學 法學院，福建 福州 350108）

一 問題的提出

2021年8月20日頒布的《中華人民共和國個人信息保護法》（以下簡稱《個人信息保護法》）第70條規定：個人信息處理者違反本法規定處理個人信息，侵害眾多個人信息權益的，人民檢察院、法律規定的消費者組織和由國家網信部門確定的組織可以依法向人民法院提起訴訟。該條款為個人信息保護公益訴訟制度，為規制不法處理不特定多數人的信息從而侵犯權利的行為提供了公益訴訟的支撐［1］。但該條文只是比較粗糙的規定，與當下其他領域如環境公益訴訟、消費者保護公益訴訟的規定相比而言略顯簡陋，在司法實務中易產生不同方面的制度適用爭議。如在“保定市人民檢察院訴李某公益訴訟案件”中，法院基于不法的信息處理行為判被告人李某支付三倍的懲罰性賠償金就引得學界軒然大波，從而導致個人信息公益訴訟能否適用懲罰性賠償一度成為學界爭議的焦點。有學者認為，違法成本和利潤的不對稱，網絡運營者等組織常鋌而走險采取非法手段，是故有必要建立侵犯個人信息權利的懲罰性賠償制度［2］。而另有學者認為，如果允許在個人信息保護公益訴訟中適用懲罰性賠償，那么被告有可能因一個違法行為受到多次處罰［3］。

法律的生命在于實施，法律的權威在于執行［4］。我國在立法上從未明確個人信息權能夠適用懲罰性賠償，但懲罰性賠償并不是一個封鎖或緊閉的體系，我國一直在理性地、合理地拓寬其適用范圍［5］。2021年8月，中共中央、國務院發布的《法治政府建設實施綱要（2021—2025年）》提出通過懲罰性賠償增強關鍵領域的執法活動，加強公共衛生、生態環境等關系群眾切身利益的關鍵領域執法力度，構筑完善嚴重違法懲罰性賠償制度。無獨有偶，2021 年11 月，國務院印發的《關于開展營商環境創新試點工作的意見》提出，在直接涉及公共安全與人民群眾生命財產安全的領域，探索懲罰性賠償制度。顯而易見，不特定多數人信息權利屬于“關系群眾切身利益的領域”以及“涉及人民群眾生命財產安全的領域”范疇，而為維護不特定多數人的個人信息權利的公益訴訟，應當在國家探索適用懲罰性賠償的范圍之內。因此，在目前探索適用的初期，應解決的問題是，如何厘清個人信息公益訴訟適用懲罰性賠償的合理性。同時，作為一種責任形式的懲罰性賠償與個人信息公益訴訟都有著維護個人信息公益的作用，且懲罰賠償已經超越了傳統民事損害所應用的“損害填平原則”，是故，二者相結合的過程中，應對其各要素進行嚴格限定，才能在響應國家政策號召的同時衡平個人信息保護與經濟協同發展，以期實現人民群眾對信息安全的殷切期盼。

二 個人信息保護公益訴訟適用懲罰性賠償的法理支撐

個人信息公益訴訟與懲罰性賠償在價值、功能、目的上都具有較高的契合度，而這決定了二者能夠相互結合。

（一）個人信息公益訴訟與懲罰性賠償的價值一致

在利益多元化、復雜化，利益主體多元化的當今社會，除了環境保護、食品藥品保護等領域外，大數據技術快速發展下的個人信息保護領域，也出現了既影響個人權益，又侵害公共利益的行為，也就是個人信息侵權的二元性，即侵權人在對信息主體造成人身、財產上的損害以外，還可能同時通過數據技術媒介對不特定多數人的信息權益造成損害，從而造成“普遍性侵權”和“分散性侵害”［6］。是故，由于個人信息侵權問題的日益增多，個人信息公益訴訟與私益訴訟的交集也日益明顯，為了解決此種公益與私益邊界逐漸不清晰的難題，借助司法手段以彌合行政執法的缺陷成為“民事訴訟社會化”的關鍵內容［7］。根據《個人信息保護法》第70 條的規定，在民事公益訴訟中，擁有請求權主體資格的是與侵權行為不存在直接利害關系的檢察機關、社會團體等，這些主體可以對信息不法行為人提起公益訴訟，以此保護不特定多數人個人信息權益。是故，可以看出，個人信息公益訴訟的模式是以私法途徑實現公共利益保護目標。

懲罰性賠償以補償性賠償為適用前提條件，通過考察個案不法行為人的主觀惡性、危害程度等各種情節，以高于實際補償數額的金額震懾、阻遏不法行為人，進而實現維護社會公共利益的目標。從我國法律體系來看，具有懲罰性質的權力幾乎已經被公法領域的刑法、行政法所占據，私法上的被侵權人只能以“填補損害”的原則要求侵權人進行補償。當下，我國在環境保護、知識產權等領域中已設置了懲罰性賠償的規則，旨在通過該制度的適用保護補償性賠償制度未囊括的那部分利益，從而規范刑法、行政法等公法領域尚未制裁到的不法行為。是故，懲罰性賠償屬于利用私法機制實現本應由公法承擔的威懾功能的特殊制度［8］，其最終目標在于實現公共利益。所以，二者本質上都是帶著濃厚公法色彩的私法規定，價值取向都在于維護社會公共利益，這就決定了二者相結合的正當性。

（二）個人信息公益訴訟與懲罰性賠償的功能契合

如上文所述，個人信息公益訴訟以私法途徑實現公共保護目標，其適用價值高度同質的懲罰性賠償制度不僅具有理論上的正當性支撐，更是具有阻遏、震懾潛在損害信息權利的行為、制裁惡意損害信息權利的行為、打破“同質補償原則”的制約等多種實務作用，進而實現個人信息權利保護的公共目標。

第一，有利于阻遏、震懾潛在損害信息權利的行為。所謂阻遏、震懾主要是指懲罰性賠償所具備的“示范”作用，即通過案件的判決以明確顯示某些特定的危害行為所應承擔的法律后果［9］。通過對懲罰性賠償條款的運用，使社會群體從判決中吸取教訓，從而震懾潛在的不法行為人想犯而不敢犯，消弭以侵害個人信息權利換取高額利潤的主觀心理。除此之外，我國不少學者更是將懲罰性賠償視作一種激勵，例如將其稱作“激勵性報償”［10］，實踐過程中，高額的訴訟成本往往讓被侵權人望而卻步，而懲罰性賠償在個人信息公益訴訟中的運用將能夠激勵被侵權人在人身、財產遭受危害時起訴的主觀意愿，從而能夠進一步對潛在不法行為人施壓。

第二，有利于制裁惡意損害信息權利的行為。懲罰性賠償主要適用于惡意侵害、故意無視他人合法權益的嚴重不法行為，懲罰是其最基本、最主要的功能［11］。具體來講，懲罰性賠償在補償性賠償的基礎之上，以額外的賠償數額救濟人身、財產損害之外的損失部分，從而加劇不法行為人的經濟負擔，給予其更大程度的譴責與懲罰。信息侵權行為是不法信息處理者在處理或利用信息時對信息權益造成的直接損害，通常表現為巨大利潤的誘惑使得信息處理者罔顧法律非法利用或泄露個人信息，甚至基于違法成本的低廉多次遭受行政處罰而無動于衷［12］。個人信息公益訴訟在面對這種侵權行為時，既可以針對信息權益的損失判處承擔補償性賠償責任，也可以綜合考慮行為人的主觀惡意程度、損害結果大小等情節作出專門的懲罰賠償，充分制裁損害信息權益而又非法獲益的處理者。

第三，有利于打破“同質補償原則”的制約?！巴|補償原則”意指施加民事責任時，應注重對被侵權人的直接救濟，其強調的是“補償損害”［13］，即救濟是以被侵權人實際遭致的損害為基礎，從而達到基本填補損害而又避免讓被侵權人因賠償而獲益的目的。個人信息公益訴訟仍是以傳統民事訴訟框架為基準，同樣受到“同質補償原則”的深刻影響，往往以“損害多少就賠償多少”的原則進行信息權益的救濟［14］，例如刪除違法泄露的信息、糾正錯誤的信息內容等都體現出同質補償的思想。但數據時代背景下，與一般的侵權損害相比，個人信息損害具有延時性與累積性，即基于信息的電子化特征，能夠跨越時間、空間進行處理、使用，因此與當下傳統的人身、財產損害相比，信息損害一般不會及時顯露出來，通常隨著損害的累積或者時間的推移才緩慢顯現［15］。是故，若單單采用“同質補償原則”進行損害救濟，容易產生個人信息損害往往難以計算而面臨著保護目的難以實現的狀況，而懲罰性賠償通過額外的賠償數額能夠使信息權益得以充分的救濟。

（三）個人信息保護公益訴訟與懲罰性賠償的目的相同

當下，為保護不特定多數人個人信息權益，我國就個人信息保護領域形成了一套較為完善的以刑法、行政法為主的公法保護體系。然而，這些看似健全的公法規范，實則存在不同程度的“失靈”狀況。

近年來，刑法新增了非法獲取、出售或者提供公民個人信息罪等罪名，在一定程度上有力地阻遏了信息違法行為，然而只有在情節嚴重或特別嚴重的情況下才能適用刑法保護個人信息權益，但是個人信息通常以電子數據的形式存在，其損害與傳統人身、財產損害大不相同，具有無形性特征，這意味著損害并不會立即顯現或并不明顯，是故多數個人信息侵權行為難以被認定為“情節嚴重或特別嚴重”。此外，在數據時代背景下信息作為社會發展的“驅動力”，在未來信息將會越來越與社會生活耦合，這意味著信息侵權相比于過去越來越頻繁，而刑法謙抑性作為法治國家最基本的操守［16］，我們并不能將任何的信息侵權救濟都依靠刑法，大范圍的適用刑法救濟個人信息權益是絕無可能的。而相較于刑法，行政保護的適用范圍和頻次更加廣闊，但仍存在部分“失靈”狀況?！秱€人信息保護法》第60條規定：國家網信部門負責統籌協調個人信息保護工作和相關監督管理工作。這意味著我國個人信息行政監管組織繼續延續了過去的“條塊分割”的組織樣式［17］，即在國家網信部門的統籌下，其他相關部門在各自職權范圍內履行信息保護職責。質言之，當下并未形成獨立、統一的個人信息保護專責機構，而人工智能、數據技術的發展使得個人信息侵權總是伴隨著跨地域性、涉及場景多樣性等特征，這增加了各部門之間的協調成本，衍生出更加繁雜冗長的行政決策流程，并無利于個人信息保護效率的最大發揮［18］。綜上所述，公法總是不可避免存在著“失靈”的狀況，使這些規則都成了無用的馬其諾防線［19］，而屬于“私人執法”的個人信息保護公益訴訟應運而生。

“私人執法”的概念來自英美法，意指個人或相關組織發現違法行為，并對其起訴的制度［20］，主要強調當刑法、行政法退讓時，相關主體可以提起公益訴訟以實現法律追求的目標。在個人信息保護語境下，私人執法具體指的是個人信息保護公益訴訟。是故，可以認為個人信息保護公益訴訟是指，當刑法、行政法不足以維護信息公益或行政管理機關怠慢不履行信息保護職責時，相關機關、團體可以通過提起訴訟的方式維護信息公共利益。個人信息保護公益訴訟是“私人執法”在個人信息保護領域的重要體現［21］。然而，其仍然適用傳統的民事“損害填平原則”，無法適應當下個人信息損害的延時性、累積性特征，侵權人所造成的損害大大超過了其所承擔的責任，因此檢察機關、社會組織等對侵權人提起公益訴訟的“私人執法”效果并不理想［22］。懲罰性賠償能夠恰到好處地增強個人信息公益訴訟的“私人執法”效果，其能夠對侵權人主張超過實際損失的賠償金額［23］，從而能夠對潛在的、尚未行動的個人信息侵權行為進行有效的阻遏與震懾，有效緩解公權力有限造成的信息侵權行為不能扼殺在“搖籃”的問題。另外，懲罰賠償的適用，也同時可以反向督促行政執法機關加快提高執法效率、更新執法設備，時刻制止侵權行為的發生［24］。

總而言之，懲罰性賠償通過突破“損害填平原則”，能夠對公共執法進行有益的補充，其最終目的是在增強“私人執法”的效果，這與個人信息保護公益訴訟所要追求的目標不謀而合，這無疑是給二者的相互結合提供了理論正當性。

三 個人信息保護公益訴訟泛化適用懲罰性賠償的弊端

雖然上文證明了兩種制度相結合的正當性，但這并不意味著在任何情況下、案件中都毫無限制地適用懲罰性賠償，而這種泛化適用也違反了其內在價值。

（一）泛化適用懲罰性賠償易導致多種法律責任的累加

泛化適用懲罰性賠償極易產生危害影響。若個人信息侵權行為同時滿足了行政違法，甚至構成了刑事犯罪，那么就出現了公、私益的相融合，且并存著民事、行政、刑事多重法律關系，當不法行為人面對補償性、懲罰性賠償、行政罰款、刑事罰金多重累加的財產性負擔時，將極易超出其責任承擔能力的范圍，極大影響其行為自由。

救濟受害人所受的損害與兼顧侵權人行為自由是不可偏廢的“天平兩端”。如上文所述，可以將懲罰性賠償視作一種“私人執法”，其是存在于平等地位之間的一方當事人向另一方當事人進行的懲罰，起著與行政罰款、刑事罰金一樣的懲罰、威懾作用。是故，在考量是否需要適用懲罰性賠償時，應準確厘清它與補償性賠償、行政罰款、刑事罰金的順位問題、適用條件，等等，防止侵權人承擔過于沉重的責任。譬如，補償性賠償應當具有先決性的作用［25］，不能舍本逐末地認為侵權人不承擔補償性賠償責任，卻泛化地適用懲罰性賠償。換句話說，對懲罰性賠償的使用，不能僅從經濟角度出發“消亡”被侵權人，不能單純從經濟思維追求訴訟效益［26］。當然，由于規范目的與歸屬不同，當幾者共同存在時，不能當然地認為它們之間可以進行互相抵扣。但審判機關在考慮是否適用懲罰性賠償或者其具體數額時，可以將其他幾項責任作為考量因素。譬如，在最高檢等關于《探索建立食品安全民事公益訴訟懲罰性賠償制度座談會會議紀要》中，行政、刑事處罰被作為考量懲罰性賠償是否適用的關鍵因素。

懲罰性賠償具備“公法私法化”特征，即最終目標是實現公法目的，而實施的方法與渠道又傾向于私法，即通過司法手段對不法行為人施加懲罰，以實現公共利益［27］。其具備公法的威厲性卻缺少公法上較為嚴苛的實體法與程序法的多重規制。是故，適用該項制度時應著力注重不法行為人所面對的“一事多罰”的風險［28］。因此，既要充分發揮該項制度的震懾、懲罰功能，又要重視該種功能的適度性與科學性［29］，而由于其擁有私法機制的靈活性，可以從適用條件、適用該制度的考量情節等多角度進行規制，以防止泛化適用的情形。

（二）泛化適用懲罰性賠償與訴訟啟動的個案性發生沖突

個人信息懲罰性賠償以民事責任的形式顯現，這意味著該制度的適用依賴于公益訴訟人對訴訟的啟動以及訴訟請求的提出。檢察機關《公益訴訟辦案規則》雖規定了“對于符合起訴條件的公益訴訟案件，應當依法向人民法院提起訴訟”，但事實是在訴訟審查以前，要通過立案與調查兩個程序。由于大規模的個人信息侵權十分復雜，牽涉范圍面廣，跨時間、地域程度較大，牽涉行政機關人員眾多，同時檢察機關考慮案件還應增加對當下政策的具體考量。調查后所產生的《起訴審查報告》也需要在集體討論以后由檢察長決定，若是遇到重大疑難問題時，則應請示最高人民檢察院以及向上級黨組織匯報［30］。是故，個人信息保護公益訴訟的提起都具備了自身所獨有的特征，即個案特征，由復雜、多元化的程序構成，并未形成反復如一的統一內在標準，而這與泛化適用懲罰賠償有著極大的沖突。不同的公益訴訟啟動程序，能夠成為案件是否復雜、嚴重的個案參考標準，應當成為是否適用懲罰性賠償的考量因素。依賴于公益訴訟的啟動，卻不顧及程序的推進構造，泛化、“甚至有濫用之虞”的適用懲罰賠償［31］，無利于實現法律公平的最終目標。

（三）泛化適用懲罰性賠償易增加濫訴的風險

懲罰性賠償制度與“不得因被侵權而獲利”的原則背道而馳，是故，該制度的泛化適用可能會造成過度激勵，增加濫訴的風險［32］。正如有學者認為：受害人因為受到損害，而使自己的財產利益實現了“增值”，由于自己受到損害而使自己增加了財富，因而會鼓勵貪念思想［33］。甚至，某些沒有遭致損害的民事主體，出于“貪念”，將該制度異化為自己賺錢的工具，對司法秩序造成破壞。譬如，《中華人民共和國消費者權益保護法》第55條對懲罰性賠償的規定，以及最高院指導案例“孫銀山訴南京歐尚超市有限公司江寧店買賣合同糾紛案”確定了“知假買假”可獲得相應賠償，是故出現了許多“知假買假”的行為并從中獲利，加劇了司法環境的不穩定。又如，在2015 年《中華人民共和國食品安全法》尚未修訂之前，一些打著“職業打假人”稱號的群體以商品裝潢、成分列表不滿足國家標準為由向經銷商主張十倍賠償，其自身未受損失的同時還從中獲利，而這種做法的出現在當時已被許多人效仿［34］。是故，在后續2015年修訂中，法條將“食品的標簽、說明書存在不影響食品安全且不會對消費者造成誤導的瑕疵”視為不可請求懲罰性賠償的情況?？梢砸姷?，該制度的泛化適用導致的濫訴問題，一方面容易將財富分配給惡意訴訟人，另一方面將污染司法環境，消耗司法資源以解決“濫訴”問題，難以實現立法者對懲罰性賠償制度的預期效果。映射于個人信息保護公益訴訟中，以不特定個人信息權損害為基數適用的懲罰性賠償，其金額之高，容易吸引原告主體濫訴，而審判機關還要浪費精力、財力、物力對該惡意索賠進行審查。

總之，懲罰性賠償制度的泛化適用，有可能導致訴訟的土壤之中衍生貪利理念，從而產生“釣魚執法”等多種惡意索賠模式，助推濫訴的不良風氣，而這并非懲罰性賠償的立法本意。

四 個人信息保護公益訴訟適用懲罰性賠償的規制

為防止泛化適用懲罰性賠償制度，有必要對該制度的適用條件、數額確定的考量因素、應遵循過罰相當原則進行梳理。

（一）個人信息公益訴訟適用懲罰性賠償的條件

1.行為人主觀方面體現為“故意”

故意侵權體現為行為人內心實施侵權行為的意志較強、人為性更加明顯，因此相較于過失侵權來說，故意侵權有較高的可規避性與預防性，法律也應構建特別的制度以實現故意侵權的預防［35］。而《中華人民共和國民法典》（以下簡稱《民法典》）在第1185條、第1207條、第1232條也正意識到故意侵權行為人主觀惡性較大而適用補償性賠償制度之外的懲罰性賠償制度才有利于實現震懾與阻遏效果，是故以“故意”作為懲罰性賠償適用的主觀要件。而從預算開支的角度出發，過失侵權行為發生的情形相對而言更具情景多樣性與難以預測性，是故也難以實施有效的針對性預防措施，并且行為人主觀方面也并不存在積極追求危害結果的發生，是故，補償性賠償就已能夠實現威懾作用，不需要再適用懲罰性賠償制度進行阻遏。

根據《個人信息保護法》第4 條，個人信息的處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開、刪除等，結合實務經驗可以將故意侵犯信息的行為歸納為兩類。第一類，以個人信息為侵犯對象的行為，該行為的主要實施目的以及后果都直接指向個人信息，主要體現為侵犯信息主體信息自決權的行為，即行為人尚未經過信息主體的同意收集其個人信息并進行處理的行為［36］。這類行為主要包括非法使用、公開、泄露信息而拒不改正等行為。第二類，將侵害個人信息作為侵權手段的行為，即損害個人信息權利并不是最終目的，最終目的在于通過侵害個人信息而實現侵害其他個人權益的目標。例如，通過披露他人個人信息而侵害他人名譽權的行為、使用非法獲取的個人信息進行電信詐騙等等［37］。

2.危害信息的行為造成“嚴重后果”

借鑒《民法典》第1207條、第1232條和《中華人民共和國消費者權益保護法》第55條的規定可以見得，當下侵權行為造成后果的嚴重性應是適用懲罰性賠償的前提要件。映射到個人信息公益訴訟中，主要體現為“侵犯個人信息造成嚴重后果”。

“后果的嚴重性”應當如何進行界定？對此，可以根據信息侵權行為所持續的時間、輻射的范圍、破壞程度的大小、后續救濟的費用成本等進行綜合考量。個人信息損害的衡量對數據技術、計算機技術等技能的要求非常高，往往需要從專業技術角度進行評判，必要時可以由專門技術機構對其進行鑒定，由審判機關在個案中進行判定。此外，懲罰性賠償應遵守無損害不救濟的觀念［38］，意味著這種嚴重的后果只能是客觀發生，而不能是將要發生而尚未發生的狀態。

3.危害信息的行為具有“違法性”

這里信息行為的違法性，指的是對《個人信息保護法》相關規定的違反。這和補償性損害賠償是不同的，后者并不要求具備行為的違法性要件。這是因為二者所具有的不同制度機理。若信息處理者依據合法且有效的隱私政策所作出的信息處理行為，但仍然造成損害的，那么行為人仍然應當承擔補償性損害賠償責任，而這并不能適用懲罰性賠償，因為行為具備合法性?？梢钥闯?，懲罰性賠償主要突出對非法行為的譴責，其根源在于對這類行為的懲罰，而補償性賠償強調的是對損害結果的填補與救濟。

4.原告應對懲罰性賠償的要件負舉證責任

個人信息公益訴訟適用懲罰性賠償應當堅持“誰主張，誰舉證”這一原理。而根據《個人信息保護法》第69 條，處理個人信息侵害個人信息權益造成損害，個人信息處理者不能證明自己沒有過錯的，應當承擔損害賠償等侵權責任。即信息保護領域采用的是“過錯推定責任”，應由被告證明自己沒有過錯。而這種對原告具有傾向保護性的規定在個人信息公益訴訟懲罰性賠償的適用過程中有失公允。在個人信息私益訴訟中所延伸出的“原告弱勢、被告強勢”以及所配套的舉證責任，已經無法囊括公益訴訟適用懲罰性賠償時的場景，極易導致當事人地位失衡。因此，根據收益和風險的綜合考量，在提出懲罰性賠償的情況下，由受害人承擔過錯的證明責任較為符合公平責任［39］。

是故，個人信息公益訴訟中原告請求適用懲罰性賠償時，一般需要證明以下事實：其一，證明侵權人主觀具有過錯方面的故意；其二，證明侵權人所實施的行為具有不法性；其三，所造成的結果具有嚴重性。而這應當在將來立法中進行明確，使私益與公益訴訟所適用的規則得以區分。

（二）個人信息公益訴訟懲罰性賠償金額的具體確定

1.個人信息公益訴訟懲罰性數額的考量因素

懲罰性賠償的金額一般交由審判機關綜合考量具體案件情節予以裁量，但不能把這種裁量權毫無基準或毫無限制地交由法官任其發揮，畢竟，若懲罰數額過高，那么會過分增加侵權人負擔，導致社會生產積極性降低，而數額過低，那么懲罰效能不夠則無法達至震懾的效果。諸如食品安全法對違反食品安全標準的懲罰性賠償、消費者權益保護法規定的懲罰性賠償等都設置了倍數與金額的限制。

為此，應當有以下幾點考量因素。第一，基于懲罰性賠償的懲罰性、譴責性，應考量侵權人的主觀惡意程度，使具體金額與主觀惡意、不法行為相匹配。第二，具體的金額數應當綜合考量個案事實、侵權行為的種類、侵權行為違法的性質、破壞信息權益的情節、損害信息權益的程度、信息權益恢復需要的成本、侵權人因此而獲得的收益、侵權人承擔責任的能力、是否采取一定的補救措施，等等。第三，要特別重視與行政罰款、刑事罰金之間的銜接。在個案中應當將行政罰款、刑事罰金作為考量因素，既不能以懲罰性賠償作為替代行政罰款、刑事罰金的變相手段，也不能重復追責給予侵權人過度責任。通常情況下，只有在適用行政罰款、刑事罰金后仍然不能維護不特定多數人的信息權益或者沒有適用行政罰款、刑事罰金的情況下，才能夠適用懲罰性賠償對責任予以補充。最后，借鑒當下消費者保護領域、環境侵權領域等懲罰性賠償的主流做法，應以侵權人造成的損害作為基數，同時根據信息損害的無形性、延時性的特征，當損害數額難以確定時，可以侵權人非法獲利作為衡量的基數，以此來限制審判機關裁量權。

2.個人信息公益訴訟懲罰性賠償的計算基數及承擔方式

在確定懲罰性賠償金數額時，應先計算出相對明確的基數，應先主要限定于對不特定多數人信息權益帶來的損害或侵權人因侵權行為所獲得的收益。而這需要準確區分私益訴訟與公益訴訟的交織部分。在個人信息侵權中，往往會產生同時涉及公益訴訟與私益訴訟的情況，如何正確厘定懲罰性賠償的范圍，成為無法回避的問題。例如，在黑客侵犯信息權益的案件中，往往有因黑客盜取并利用個人信息從事非法犯罪活動提起損害賠償的私益訴訟，又有基于黑客販賣廣大不特定群眾信息而提起的公益訴訟［40］。此時，應當將個人信息公益訴訟懲罰性賠償與私益訴訟進行區分，后者的懲罰性賠償應當以非法行為造成其個人人身損害、財產損害作為基數，而前者屬于個人信息權益的公益損害，應當以不特定多數人單條個人信息價值加起來的總額或者侵權人販賣信息所獲得的收益作為懲罰性賠償的基準。

實踐中還會出現侵權人因經濟不允許難以支付高額的懲罰性賠償的情況，那么這時懲罰的目的就難以實現。環境侵權領域中侵權人對懲罰性賠償不能及時支付時，可以公益勞動替代履行生態修復的責任或替代懲罰性賠償金，這種做法值得借鑒。譬如，可以由信息侵權人提供信息安全保障服務等公益勞動以抵消全部或者部分的懲罰性賠償，從而發揮懲罰、震懾的功能。

3.設立個人信息公益訴訟懲罰性賠償的區間倍數

為防止法官肆意行使裁量權，在懲罰性賠償金基數確定的基礎上，應明確合理的區間倍數。當下各制定法中的具體懲罰性賠償倍數的確定，主要以阻遏、懲罰力度與相應侵權行為被抑制的緊急程度聯系起來［41］。是故，不應設置統一的懲罰性賠償區間倍數，而應考量個人信息的具體情況以選擇不同的區間倍數。

個人信息保護公益訴訟是一個上位概念（屬概念），其下還包括了一般個人信息、敏感個人信息、私密信息、未成年人個人信息等下位概念（種概念）。在確定區間倍數時，應綜合考量被侵害客體的具體種類，通常而言，對敏感個人信息、私密信息與未成年人個人信息的侵害更為嚴重，應采用較高的倍數。在此基礎之上，根據案件類型、侵權人惡意程度、實施手段的惡劣程度、違法次數等進一步確定區間倍數［42］。譬如，產品責任領域的懲罰性賠償，對于普通商品或者服務商品設置商品價款或服務費用的3 倍，而對于食品這類涉及生命安全健康的特殊產品則設置價款的10倍或損失的3倍。

此外，在確定具體的懲罰數額時，應同時考量侵權人基于同一行為是否遭致行政罰款與刑事罰金，以防止過罰失當的情況發生。畢竟，公益訴訟的勝率一直很高，甚至在某些地方檢察院提出的公益訴訟，能夠達至100%的勝率［43］。懲罰性賠償應當作為一種公法手段的補充，因為這幾個制度強調的同樣是懲戒作用并非補償損害的作用，若侵權人已經遭致行政處罰或者刑事罰金且數額較大，那么就應適用相對較低的懲罰賠償，反之，應適用相對較高的懲罰賠償。

（三）個人信息公益訴訟適用懲罰性賠償應遵循過罰相當原則

認定的賠償數額大于所造成的損害數額，這就決定了懲罰性賠償的適用涉及較多的不確定因素，過高或者過低的數額既影響企業的發展，也影響個人信息的保護。由于個人信息損害的無形性與難以測量性，在適用懲罰性賠償時容易造成過度保護個人信息權益而導致不法行為人承擔過重責任的情形，甚至導致市場占比份額較小的企業因為巨額賠償而破產，不利于經濟平穩發展與個人信息保護的攜手并進。相反，若懲罰性賠償過低，那么該制度在個人信息保護領域勢必會淪為擺設，不利于個人信息的保護，因此，探究懲罰性賠償的限制適用乃重中之重。

過罰相當原則作為一種限制公法手段的原則，對于同樣具備公法性質的懲罰性賠償，能夠提供適用思路。過罰相當原則是指判令處罰時應以事實為根據，與違法行為情節和社會危害程度基本相當［44］。將該原則適用于懲罰性賠償中，可以體現為以下三方面內容。

第一，非必要情況下不得適用懲罰性賠償。在個人信息保護公益訴訟中，只有在違法行為人主觀惡性大、施加侵害的范圍廣或者補償性賠償無法實現公共利益的補救等嚴重情形時，才可以適用懲罰性賠償。該賠償金的功能在于補強個人信息保護公益訴訟的懲罰與威懾水平，從而阻遏潛在侵害信息的行為，實現預防效果，如果懲罰與威懾水平超過必要限度，會產生過度的震懾效果，降低社會生產積極性和整體效率。換句話說，應當綜合考量個案中侵權過程的各個情節，阻遏因普通的不法行為而要求信息侵權人承擔過重的懲罰，從而杜絕濫用懲罰性賠償的做法。

第二，懲罰性賠償需要結合刑法等公法保護手段進行考慮。個人信息保護公益訴訟作為“私人執法”訴訟，其主要目的在于彌補公法規制手段執行動力的不足，而懲罰性賠償金的適用正是為了更好地促進“私人執法”效果。因此，對于個案來說，若刑法或者行政保護已經足夠實現信息公益救濟時，那么就不應當適用懲罰性賠償金。同樣對于公法規制手段執行動力的補充而言，懲罰性賠償僅是在對現有公法措施未能涵蓋的非法利益進行懲罰，其懲罰的數額不宜超過刑事罰金、行政罰款所認定的數額。

第三，懲罰性賠償應當以最小必要數額為限制。一般情況下，在確定具體的額度之前，應當考慮行為人責任能力的范圍。對于貧富不同的行為人而言，懲罰性賠償的效果也有差異。同樣的賠償數額對于富人而言威懾力往往欠缺，而對于窮人而言可能過度［45］。只有將懲罰數額置于行為人責任承擔能力范疇內，預防、阻遏的作用才能達到最大值，如果超過必要限度，將造成行為人過重的責任，失去懲罰作用的同時，也危害到經濟發展。因此法院在實行自由裁量權時，應當將不法行為人的財富狀況、個人承受能力作為懲罰性賠償數額大小的考量因素［46］。