信息處理者安全保障義務的實踐檢視與規則續造
——以《民法典》第1038條為中心展開

唐墨華 蘇昊 胡賢君

大數據時代的到來能夠將人的行為、選擇及特征信息化，為人類的生產生活提供便利。同時隨著個人信息的數據化和網絡化，個人信息被泄露、篡改、丟失的風險也隨之增加，威脅著信息權利人的人身、財產安全。司法實踐中信息權利人因發現個人信息遭到泄露而起訴信息處理者要求承擔侵權責任的案件屢見不鮮。因缺乏相應的法律規范，法官在處理該類案件時呈現出尺度不一和說理不清等問題。《民法典》第1038條規定了信息處理者的安全保障義務，但條文僅為概念性的規定，對于該義務的具體內涵、侵權構成要件、證明責任、證明標準、責任形態等問題均未提及。本文通過對近十年相關案例的梳理，結合《民法典》以及《網絡安全法》等法律法規的相關規定，對《民法典》第1038條的司法適用規則如何完善進行研究，以期為相關立法和司法提供一些參考。

一、信息處理者安全保障義務的實證考察

對于信息處理者安全保障義務的實證考察，應以數據分析為中心的經驗性歸納作為方法上的指引，本文借助“無訟案例”搜索軟件，以“個人信息”“信息泄露”“民事判決書”為共同關鍵詞，①將關鍵詞“信息泄露”替換為“信息篡改”或“信息丟失”，未找到相關民事案件。以2010年至2019年為時間區間進行搜索，在結果中排除無相關性的案例后，共搜索到1007份民事判決書。通過對1007份民事判決書進行統計分析，相關案件的司法裁判呈現如下特征：

（一）案件類型多元化

根據個人信息侵權行為的具體表現形式可大致區分為兩種情形：一是信息處理者因故意或過失導致個人信息泄露，即信息處理者的積極侵權；②典型案例如周某訴廣州快客電子商務有限公司網絡侵權責任糾紛案，該案的基本案情為：周某在快客公司及經營的APP上購買某品牌香水后申請退貨。次日一自稱該APP客服人員的人向周某發送其購物詳細信息截圖及退款鏈接，周某點擊鏈接后，銀行卡內5萬元被轉走。快客公司承認周某購物信息是公司一并打包給供應商、快遞公司等第三方時可能被泄露的。周某起訴快客公司要求承擔賠償責任。二是第三人利用信息處理者的技術或管理漏洞竊取個人信息，導致個人信息泄露，即信息處理者的消極侵權。③典型案例如王某訴漢庭星空（上海）酒店管理有限公司隱私權糾紛案件，該案的基本案情為：王某稱漢庭酒店的無線門戶系統存在安全加密等級較低的問題，存在信息泄露的安全隱患，包括王某在內的兩千萬條在酒店入住信息在網上被人竊取后打包放在網上下載，王某起訴漢庭酒店承擔侵權責任。在數量上，第一類案件相對較少，約占案件總量的30%；后者則相對較多，約占70%。從信息權利人提起訴訟的請求權基礎來看，除以侵害隱私權、名譽權、個人信息等人格權為由要求信息處理者承擔侵權責任的案件之外，在信息權利人與信息處理者存在合同關系的情況下，信息權利人也有以信息處理者違反合同附隨義務為由提起合同之訴，主張信息處理者承擔賠償責任。

（二）訴訟主體復雜化

個人信息侵權糾紛中，原告通常是個人信息受到侵犯的自然人，而囿于有責性及因果關系等要件事實方面的證據原因，訴訟中被告多呈現復雜性。

1.被訴主體范圍廣泛

信息處理包括信息的收集、儲存、使用、加工、傳輸、提供、公開，從案例樣本來看，被訴信息處理者范圍廣泛，既有個人信息較為集中的傳統行業領域的運輸企業、醫療機構等，也有創新2.0時代的網絡科技公司、金融機構等網絡平臺。因信息處理手段和場域的差異性，對傳統行業與網絡平臺信息處理者的分別考察也就有了規范上的重要意義。在過去十年的個人信息侵權糾紛中，被告來自未采取自動化處理技術的傳統行業的比例為25%，采取自動化處理技術的被告占比為75%。并且隨著互聯網發展戰略在國家層面得以確立，2015年以后網絡平臺作為信息處理者的案件量呈上升趨勢。

2.被訴主體數量不一

被告作為單一侵權行為主體的情形僅占全部案件的12%。而絕大多數案件中侵權行為的信息處理者并不唯一，其中，占比38%的案件原告雖然僅起訴一個信息處理者，但損害卻是由被告及第三人共同引起的，只是因為原告限于偵查能力的欠缺，無從查證第三人，僅選擇向某一信息處理者主張權利。另有約50%的案件，被告并不唯一，其為可能留存過原告個人信息的多個信息處理者。

3.被訴主體類型多樣

在個人信息泄露案件中，一般存在四類被訴主體：一是信息處理者。二是直接侵權的第三人。在一些個人信息泄露案件中，經公安機關查明信息泄露是第三人所為，原告將信息處理者和直接侵權的第三人作為共同被告起訴。三是與信息處理者存在委托等合同關系進行信息處理的組織或個人。實踐中因信息權利人無法確定信息由誰處理，原告將委托人和受托人等作為共同被告起訴，或者委托人申請追加受托人為共同被告。四是接入信息處理者平臺的第三方應用提供者。為了完成交易，航空公司、電商平臺等需要與第三方平臺進行合作，在涉及第三方支付的信息泄露案件中，信息權利人往往將該支付平臺作為泄露環節的責任人一并起訴。

（三）責任方式集中化

在原告選擇侵權之訴的案件中，訴訟請求的主張比較相似，主要有以下幾種：停止侵害，如刪除個人信息；賠禮道歉、消除影響；賠償因信息泄露遭詐騙導致的經濟損失及其他費用；賠償精神損害撫慰金。在勝訴案件中，責任承擔方式以停止侵害、賠禮道歉、消除影響為主，經濟損失的支持率為63%，但一般僅限于公證費與律師費，其他經濟損失絕大多數案件均未支持。精神損害撫慰金的支持率為52%，支持金額基本僅為訴請主張金額的10%左右。

（四）司法態度模糊化

從樣本來看，在個人信息泄露導致的侵權案件中，具體的裁判尺度并不統一。其一，侵權主觀要件裁判標準不一。在被告過錯的認定上，同樣是信息泄露行為，不同法院采取不同的歸責原則。有的案件中法院采一般過錯歸責原則，以原告未能舉證證明被告存在過錯為由直接駁回原告訴請；有的法院則采用過錯推定歸責原則，認為被告負有維護在其控制之下的信息安全的義務，如被告無法證明其對個人信息盡到妥善安全保護義務，即存在過錯。其二，侵權客觀要件裁判標準不一。在侵權事實的認定上，有的法院認為應由原告完成對侵權要件的舉證，有的法院采取高度蓋然性的證明標準，顧及雙方當事人之間實質公平正義進行舉證責任的分配。此外，法官在裁判說理上還存在沒有說理、說理和結論脫節、說理不清等情況。

二、法律規范缺失下信息處理者安全保障義務的現實困境

我國規定信息處理者安全保障義務的法律規范主要包括：一是關于網絡信息保護的法律和行政法規；①如《電信和互聯網用戶個人信息保護規定》第14條，《關于加強網絡信息保護的決定》第3條和第4條，《網絡安全法》第21條、第25條和第42條。二是關于消費者權益保護的法律；②如《消費者權益保護法》第29條，《電子商務法》第30條。三是《民法典》第1038條。整體而言，這些法律規范較為原則，缺少具體適用性的條文。法官在現有法律框架下借助類推適用、法益衡量等方法進行了大膽的探索，但仍存在裁判標準不一、說理不清等問題。信息處理者安全保障義務的內涵、違反義務的侵權構成要件、責任形態等具體規則的缺失，是司法實踐面臨的困境。

（一）信息處理者安全保障義務的內涵不明確

1.義務內容不明確

由于信息處理過程的科技性、專業性和潛在的風險性，信息處理者的安全保障義務與傳統的經營場所的安全保障義務有顯著的差異，故其內涵需要進行重新界定。《民法典》第1038條對于這種新型的安全保障義務的規定較為原則，該義務的具體內容以及信息處理者采取何種措施才算盡到安全保障義務等問題均未明確。理論界和實務界也缺少對于該項義務具體內容的類型化梳理，為司法實踐提供裁判標準，導致法官只能采取較為籠統的表述，含糊其辭地闡述信息處理者未盡到安全保障義務而存在主觀過錯，影響了裁判的可接受性。

2.義務標準不明確

信息處理者安全保障義務的履行標準是指信息處理者需盡到何種程度的注意義務才能免責。在信息處理者是否盡到安全保障義務的判斷標準上，主要困境在于：如何尋找到合適的法律規定作為法定標準，并對法定標準進行民事侵權構成要件話語體系下的解讀；在沒有法定標準的情況下，應采取何種判斷標準？傳統的善良管理人義務在信息處理者安全保障義務中是否適用？鑒于信息處理與傳統經營環境的不同，即使適用善良管理人標準也應采用新的內涵。上述問題在立法上未予明確，理論界也鮮有研究，導致司法實踐中信息處理者安全保障義務缺少合理的界限，信息處理者是否承擔侵權責任的隨意性變大。

（二）信息處理者違反安全保障義務的侵權行為難認定

1.歸責原則之惑

在大數據時代，信息收集、保管以及其他流轉，信息權利人的參與性均極弱，科技黑洞背景下普通信息權利人對于專業信息處理流程和管理制度一無所知，信息權利人舉證證明信息處理者存在過錯的難度極大。因此采用一般過錯責任將導致信息權利人和信息處理者雙方利益的失衡。《民法典》第1038條對于違反信息安全保障義務侵權的歸責原則未作規定。司法實踐中主要存在三種做法：一是適用一般過錯責任；二是名為過錯責任實為過錯推定責任；三是名為過錯責任實為無過錯責任。理論界對于該問題也多有探討，主要存在如下觀點：一種觀點是采用無過錯原則；①參見程嘯：《論侵害個人信息的民事責任》，載《暨南學報（哲學社會科學版）》2002年第2期。第二種觀點是根據信息處理者的信息掌控能力分別適用無過錯、過錯推定和過錯原則。②參見葉名怡：《個人信息的侵權法保護》，載《法學研究》2018年第4期。類似觀點參見陳吉棟：《個人信息的侵權救濟》，載《交大法學》2019年第4期。上述觀點均有其合理性，但具體采何種歸責原則，需要立法予以明確，以避免實踐混亂。

2.因果關系之惑

在信息處理者未盡安全保障義務的侵權案件中，因果關系的證明存在兩個難點：一是數據處理的各個環節中，都存在數據泄露的可能，信息權利人根本無法確定哪個環節出現了泄露，誰是真正的侵權人，即使通過公安機關介入等方式可能確定了侵權人也可能無法證明行為和損害結果之間的因果關系。針對信息泄露因果關系難以證明的問題，現有法律規范并未規定采取何種證明標準以及是否可以采取特定的推定規則來破解證明難題，以平衡信息權利人和信息處理者在證明能力上的天然不平衡。二是在第三人竊取信息并對信息權利人實施犯罪的情況下，信息權利人向第三人主張權利最為順暢。但實踐中信息權利人為了更好的獲得救濟，往往直接起訴更有保障的信息處理者，此時信息處理者的行為與信息權利人造成的損害之間的因果關系以及因果關系的范圍如何確定，也是實踐中的難題。

（三）信息處理者違反安全保障義務的責任形態不定

1.信息權利人與侵權人之間關系不確定

根據《民法典》第1038條第1、2款的規定信息處理者直接侵權和第三人介入侵權兩種侵權形態。對于信息處理者直接侵權的情形，如果信息處理者為單個主體，責任形態較為清晰，但如果信息處理者是復數的情況下，信息權利人在無法確認哪個或哪幾個是侵權人的情況下，權利人是否可以起訴選擇其中一個或幾個信息處理者作為被告主張權利，存在分歧。對于第三人介入侵權的情形，信息處理者承擔的是何種責任，并不明確，實踐中對于是參照適用第1198條第2款規定的經營者的補充責任，還是參照適用第1195條第2款規定的網絡服務提供者的連帶責任存在爭議，需要明確。

2.數個侵權人之間的關系不確定

數個侵權人在信息處理者違反安全保障義務的案件中并不少見，數個侵權人的情況比較復雜，可以區分為如下類型：一是數個可能的信息控制人為共同被告，此時被告之間可能存在委托、合作等多種合同關系。如在航空旅客信息遭泄露的案件中，旅客將航空公司、票務代理公司、訂票系統的技術服務公司作為共同被告要求承擔侵權責任。①參見林某與四川航空公司侵權責任糾紛案，成都市中級人民法院（2015）成民終字第1634號民事判決書。二是信息控制人與其他負有安全保障義務的義務人為共同被告。如在消費者在網絡平臺購物后信息遭到泄露致使遭到詐騙的案件中，消費者將該網絡平臺、提供支付寶服務的公司作為共同被告要求承擔侵權責任。②參見申瑾訴支付寶（中國）網絡技術有限公司侵權責任糾紛案，北京市朝陽區人民法院（2018）京0105民初36658號民事判決書。三是信息控制人與實施直接侵權的第三人為共同被告。在上述三種情形下，數個侵權人之間的責任如何分配，有無追償權等問題，都不無疑惑。

（四）信息處理者違反安全保障義務的責任形式存疑

1.精神損害賠償的適用存疑

《民法典》第1183條繼續沿用了《關于精神損害賠償的司法解釋》第8條的規定，將精神損害賠償的條件限定為造成“嚴重精神損害”的情形。但個人信息發生泄露、篡改、丟失等侵權行為，其損害后果具有滯后性和潛在不確定性，如果一律要求證明已造成“嚴重精神損害”，往往有失公允，因此對于精神損害賠償的條件如何解讀，有待進一步研究。在精神損害賠償的金額方面，司法實踐中呈現出欠缺說理，隨意性大等問題，應進一步完善規則。

2.財產損害賠償的適用存疑

財產損害賠償的請求在信息處理者違反安全保障義務的案件中較為常見，但該請求得到支持的比例較低，就其原因在于：一則個人信息侵權的損害后果很難衡量，很多為信息泄露后導致名譽、信用受損的間接損失，這些間接損失能否獲賠不無爭議；二則個人信息遭到泄露的情況下很難找到直接侵權人，即使找到直接侵權人其獲取個人信息也并非為了獲利或者已經獲利，故在權利人遭受的損失無法確定，侵權人的獲利也無法確定的情況下，法院如何酌定賠償金額，成為司法實踐中適用法律的一個難題。

三、信息處理者安全保障義務司法適用規則的完善建議

（一）內涵完善：二元義務內容的框定

1.信息處理者安全保障義務的內容

圖1 信息處理者安全保障義務的內容展示

《民法典》第1038條第1、2款分別規定了信息處理者安全保障義務的兩個大的類型，一是處理者不得通過積極行為侵犯個人信息，此為禁止性義務；二是處理者應采取適當措施保護個人信息安全，此系強制性義務，旨在防止處理者消極不作為侵犯個人信息權。強制性義務包括三方面內容：（1）技術安全義務。信息處理者應當采取技術措施防止個人信息被篡改、泄露或丟失。（2）管理安全義務。除技術性措施外，信息處理者負有管理安全義務，強化內部制度與流程管理，防止個人信息安全事件。（3）事后補救義務。信息處理者的補救義務分為兩方面：應急處置義務和告知、報告義務。①根據《信息安全技術個人信息安全規范》第10.1條，在應急處置義務方面，信息處理者應記錄事件的內容、評估事件可能造成的影響，并采取必要措施控制事態，消除隱患。在報告義務方面，信息處理者需將泄漏或丟失的個人信息的總體情況，事件可能造成的影響，已采取或將要采取的處置措施等報告主管部門，防止損失的進一步擴大。在告知義務方面，信息處理者應及時將事件相關情況告知受影響的個人信息主體，難以逐一告知個人信息主體時，應采取合理、有效的方式發布與公眾有關的警示信息。告知的內容應包含安全事件的內容和影響、已采取或將要采取的處置措施、個人信息主體自主防范和降低風險的建議等。GDPR第4章同樣對處理者的安全保護義務予以體系化規范，重點包括安全處理、數據泄露的告知報告義務、處理記錄義務等，由此形成了事前、事中、事后的全方位義務體系。對于上述義務的具體內涵，需要結合《網絡安全法》《電信和互聯網用戶個人信息保護規定》《兒童個人信息網絡保護規定》等相關法律規范和《信息安全技術個人信息安全規范》等行業標準予以確定。①GDPR第4章同樣對處理者的安全保護義務予以體系化規范，重點包括安全處理、數據泄露的告知報告義務、處理記錄義務等，由此形成了事前、事中、事后的全方位義務體系。

2.信息處理安全保障義務的標準

信息處理安全保障義務的具體標準，首先應依據法律、法規予以確定；若無相應法律、法規，則可依行業規范、國家標準等充實義務內涵；在法律、法規、行業規范、國家標準缺位的情況下，可以通過指導性案例、公報案例方式豐富義務的內容。在個案中，應根據善良管理人的注意標準為信息處理者的行為自由劃定邊界。具體而言，即根據個人信息處理者采取防范措施所負擔的成本與個人信息受到侵害的危險及嚴重性程度，確定信息處理者采取的措施是否盡到安全保障義務。

（二）構成要件完善：差別化要件體系的構建

1.主觀要件：過錯推定原則的確立②主觀構成要件僅針對侵犯個人信息的損害賠償責任，對于賠禮道歉、消除影響、恢復名譽等人格權請求權，不以主觀過錯為構成要件。

對于信息處理者的主觀要件，司法實踐和學理上存在不同的判斷路徑。③參見刁勝先：《論個人信息網絡侵權責任多元歸責原則之確立基礎》，載《重慶郵電大學學報》2015年第3期；葉名怡：《個人信息的侵權法保護》，載《法學研究》2018年第4期；德國《聯邦數據保護法》第83條；我國臺灣地區“個人資料保護法”第28、29條。筆者認為，過錯推定是較為合理的歸責原則。首先，權利人無法知曉和掌控信息處理過程。因此，堅持過錯責任無異于剝奪了受害人獲得救濟的權利。其次，無過錯責任雖然利于個人信息權保護，但開放與共享是數字社會的必然要求，采用無過錯責任會極大增加信息處理者的運營成本，阻礙數據的流通與利用。其三，以是否運用自動化處理技術為區分標準構建多元歸責體系，看似能夠平衡信息主體與信息處理者的利益，但在實際效果上限制了個人信息權的救濟。因為自動化處理技術外延并不清晰，且被害人需對是否采用自動化處理技術進行證明，這與填補損害的現代歸責原則相悖離。④參見彭誠信：《民事責任現代歸責原則的確立》，載《法制與社會發展》2001年第2期。其四，過錯推定根據個人信息的控制事實，一方面免去了加害人對過錯的證明負擔，增加其獲得救濟的可能；另一方面給與信息處理者自證清白的機會，緩和了雙方在信息控制能力上失衡。⑤在比較法上GDPR也采取相同的態度，其第5條第2款規定，數據控制者應當對第5條第1款（其中包含保護個人信息完整性和保密性義務等，筆者注）的落實情況承擔責任并予以證明。

2.客觀要件：獨立因果關系的構建

依侵權法通說，若因第三人介入引發異常風險，因果關系將發生中斷，第三人是確定且唯一的侵權主體。⑥參見史尚寬：《債法總論》，中國政法大學出版社2000年版，第171-172頁。然而從引致損害的原因力而言，信息處理者未盡安全保障義務開啟了信息不當利用的風險，為直接侵權行為提供了行動前提、貢獻了原因力。從責任的合理分配而言，直接侵權人往往難以查明，即使查明也未必擁有充分的責任能力，判斷責任歸屬不宜固守直接參與者的教條，而需在更廣泛的社會關系上對損害配置進行考察。因此，針對個人信息的新型侵權，即使第三人介入是損害發生的直接原因，也不應阻斷信息處理與損害結果之間的因果關系，信息處理者仍需在相應范圍內承擔責任。

3.證明責任和標準：利益平衡原則下的分配

根據承擔責任類型的不同，證明責任的分配也大相徑庭。若信息權利人主張停止侵害、賠禮道歉等人格權請求權，其僅需對存在加害行為承擔證明責任。若信息權利人主張侵權損害賠償，過錯推定僅解決過錯要件的證明責任歸屬，信息權利人仍需對損害結果和因果關系負有證明責任。實踐中，因信息處理具有高度復雜性和隱蔽性，信息主體在技術、人力等資源方面的有限性，信息主體在訴訟中的證明能力明顯不足，這也正是目前侵權案件多發而維權艱難的最主要原因。因此，在證明標準上應采高度可能性標準，以平衡雙方的證明能力。高度蓋然性內涵的確定應考量以下諸要素；（1）信息處理者控制個人信息的范圍與程度；（2）其他主體掌握和泄露個人信息的可能性，（3）信息處理者履行安全保障義務的過往記錄，如信息處理者曾被媒體報道或被主管部門警告、處罰，其泄露信息的可能性更高。

（三）侵權責任完善：復合性責任形態的構筑

1.直接侵權情形下的責任形態

信息處理者承擔直接侵權責任的情形包含以下四類。其一，信息處理者擅自泄露或篡改其收集、儲存的個人信息；其二，處理者未經同意，向他人非法提供個人信息；其三，因信息處理者未盡安全保障義務，個人信息遭泄露、篡改或丟失，但未被第三人不法利用。在前兩種情形下，信息處理者應根據《民法典》第1038條第1款承擔直接侵權責任，在第三種情形，信息處理者應依《民法典》第1038條第2款承擔直接侵權責任。實踐中，除前述三種情形外，還存在第三人利用被泄露的個人信息侵害信息主體，但無法查明第三人具體身份的情形。信息處理行為引發了個人信息被不當利用的風險，安全事件的發生悖離了信息主體的正常期待，導致的損害結果具有不可容忍性，因此同樣屬于直接侵權形態。在直接侵權的情形，因缺乏明確的第三人介入，信息處理者應對因果關系范圍內的損害承擔全部的賠償責任。

2.第三人介入侵權情形下的責任形態

第三人利用信息處理者未盡安全保障義務所產生的技術和管理漏洞，實施侵犯個人信息的行為，構成了“第三人介入＋處理者未盡保障義務”的侵權類型，對此存在兩種處理意見：一是《民法典》第1197條的連帶責任模式；二是《民法典》第1198條的補充責任模式。①參見解正山：《數據泄露損害問題研究》，載《清華法學》2020年第4期；高爭志：《侵權責任視角下的個人信息安全保障義務探究》，載《重慶郵電大學學報》2020年第1期。筆者認為，后者更為契合信息安全保障義務的規范特征。現實中信息處理者往往處于提供信息處理服務的消極中立地位，與直接侵權人之間缺少共同加害行為的主觀可責性。因此，信息處理者與直接侵權人間不宜承擔連帶責任。對信息處理者科以補充責任，維護了信息主體的救濟權，其可要求具有直接因果關系的侵權人承擔全部責任，也可要求信息處理者承擔相應責任。同時，補充責任亦不會過分“縱容”信息處理者，因為處理者面臨承擔責任的風險，其事實上無法期待直接侵權人有清償能力而怠于履行義務，仍會積極履行安全保障義務以避免損害發生。在責任范圍上，信息處理者應承擔相應的補充責任，即通過對過錯程度的考量來確定責任大小。在責任順位上，信息處理者承擔“補充”責任，僅須在直接侵權人先行承擔責任后，對于其無力承擔部分再行補充承擔，并可向直接侵權人追償。

3.復數侵權主體的責任形態

（1）復數信息處理者之間的責任形態。因為個人信息的處理具有高度復雜性、協同性，權利人對個人信息的處理缺乏相應的認知、控制能力，要求其查明各信息處理者與損害的因果關系不免“強人所難”。②參見徐明：《大數據時代的隱私危機及其侵權法應對》，載《中國法學》2017年第1期。當復數信息處理者均存在侵犯個人信息的可能性，且無法確定具體侵權主體時，構成了擇一因果關系，③參見王澤鑒：《侵權行為》，北京大學出版社2009年版，第189頁。應適用《民法典》第1170條由復數信息處理者承擔共同危險的連帶責任。④在域外立法例上，GDPR第82條第4款和《德國聯邦數據保護法》第83條第3款也采用了相同的調整方式。信息主體可以起訴數個信息處理者之一，也可以將全部信息處理者作為共同被告。信息處理者唯有舉證確定實際侵權人，才能免除責任。

（2）信息處理者與其他侵權人之間的責任。信息處理者與其他侵權人之間的責任形態，應根據其他侵權人的身份予以區分：

其一，信息處理者允許第三方應用接入平臺，因第三方應用原因引發信息安全事件。自信息主體而言，其因信賴信息處理者恪盡安全保障義務，授權同意第三方平臺獲取個人信息，處理者的謹慎義務也隨之相應提高。信息處理者應通過服務協議、平臺規則，明確接入的第三方應用所負擔的安全保障義務，并負有持續監督、加強安全管理的責任。第三方應用發生安全事件造成用戶損失，未盡監督義務的信息處理者應與第三方應用承擔連帶責任。由于兩者承擔連帶責任基于不同的法律原因，僅因法律關系偶然競合所致，系不真正連帶責任，承擔責任的信息處理者有權向第三方應用追償。

其二，信息處理者委托第三方處理個人信息，因第三方原因引發信息安全事件。第三方并非信息處理者的雇員，而系基于委托法律關系獨立于信息處理者的主體。在認定侵權責任時，應區分不同的情況：一是受托第三方單獨實施侵害他人個人信息的侵權行為，信息處理者對受托第三方不存在指示、幫助等行為的，應由受托第三方承擔侵權責任；①違法行為不得適用代理，違法行為之法律效果，不由當事人意思決定，而是基于法律直接規定而發生。即使違法行為人表示系代理他人為之，甚至該他人承認是其授意行為人為之，亦不能免除行為人的法律責任。參見梁慧星：《民法總論》，法律出版社2001年版，第251頁。二是信息處理者與受托第三方存在侵害他人個人信息的共同故意的，雖然由受托第三方直接實施侵權行為，信息處理者和受托第三方也應作為共同侵權人，連帶承擔侵權責任；三是信息處理者知道或應當知道受托第三方的行為違法未表示反對的，根據《民法典》第167條的規定，信息處理者和受托第三方應當承擔連帶責任。

（四）責任方式完善：損害賠償責任的厘清

1.精神損害賠償的司法適用

（1）“造成嚴重精神損害”的適用。信息處理者違反安全保障義務的同時若造成生命權、名譽權、隱私權的嚴重侵害，通常會發生精神損害賠償問題。在單純侵犯個人信息且未造成其他人身權益侵害的情形下，因精神損害賠償以“嚴重精神損害”為要件，信息主體因無法證明損害的嚴重性而難以獲得賠償。但個人信息與人格尊嚴、自由密切相關，信息泄露或丟失所引發的精神損害具有隱蔽性和長期潛在性，信息主體可能在很長一段時期內受到精神困擾。基于個人信息侵權的特殊性，對于“嚴重精神損害”應采取主觀認定標準，即根據個人信息侵權通常是否足以導致普通人的精神利益嚴重受損，以此降低精神損害賠償門檻。②在域外立法例上，GDPR第82條第1款、《德國數據保護法》第83條第2款、我國臺灣地區“個人資料保護法”第28條第3款并不以“嚴重精神損害”作為精神損害賠償的要件，在信息主體無法舉證損害大小時，法院得酌定精神損害賠償數額。

（2）賠償數額的動態考量。對于精神損害賠償數額的確定，應當考量不同要素予以綜合判斷，包括個人信息的識別可能性以及與人格尊嚴、自由的密切程度，信息處理者的過錯程度，個人信息的傳播范圍，信息主體人格權遭受損害的具體場合及情節，信息處理者是否因此獲利，信息處理者的經濟能力等。精神損害賠償數額并無固定標準，為實現手段靈活性與裁判穩定性之間的平衡，可通過指導性案例或公報案例的方式，對損害賠償數額予以具體化。

2.財產損害賠償的賠償范圍

（1）損失范圍的確定：間接損失的可賠性。信息處理者違反安全保障義務產生的財產損失，不僅包括直接損失，還包含間接損失。間接損失主要是指信息主體因個人信息泄露、篡改等事實，導致其社會評價下降或信用降低，使其本可獲得的利益無法獲得。例如，因個人信息被非法篡改導致信息主體的貸款未獲審批。間接損失的范圍并非毫無限制，只有根據事物通常的發展進程信息主體可以取得的利益，才屬于間接損失的范圍。①參見程嘯：《侵權責任法》，法律出版社2015年版，第702頁。若間接損失本就不確定或不合法，則不能獲得救濟。

（2）賠償數額的確定：“酌定”的考量因素。在部分案件中，信息主體受到的財產損失較易確定，如第三人利用泄露的個人信息對受害人實施詐騙；但在部分案件中，信息主體并沒有實際的財產損失或財產損失數額難以證明。根據《民法典》第1182條、《最高人民法院關于審理利用信息網絡侵害人身權益民事糾紛案件適用法律若干問題的規定》第17、18條，信息主體可以信息處理者所獲利益作為賠償范圍；若信息主體既難以證明所受財產損失，又無法確定信息處理者所獲得利益，則由人民法院酌定賠償數額。“酌定”的考量因素主要包括個人信息內容以及與財產損失的關聯性，信息處理者的主觀過錯程度、個人信息泄露的嚴重程度和傳播范圍。

3.懲罰性賠償的探索適用

個人信息若遭大規模篡改、丟失、泄露，將會在長時期內對信息主體的民事權益造成難以估量的潛在危險，為了加強對信息主體的保護，在個人信息侵權領域可引入懲罰性賠償制度。其一方面可以有效防止侵權行為的再次發生，敦促信息處理者履行安全保障義務；另一方面可強化信息主體行使權利的內在動力，起到維權的激勵作用，從而彌補損害賠償制度在懲罰、遏制功能方面的不足。在適用條件上，懲罰性賠償只能針對主觀惡性較重的侵權行為，在賠償金額上，作為損害賠償的“例外”，懲罰性賠償不依信息主體的實際損失而定，而是根據信息處理者的主觀可責性程度、不法獲利數額、賠償能力等因素而定。