個人信息侵權雙層賠償機制構想

摘 要：在個人信息侵權領域，極個別情況下按照差額說可以計算出受害人遭受的財產損害。更為普遍和常見的情形是，個人信息被他人大規模非法收集和處理，極少伴隨著身體傷害或財產損失。傳統侵權法中損害的內涵和確定方法在個人信息侵權領域受到嚴重挑戰。可能的解決路徑是建立雙層賠償機制：在人身或財產損害能夠確定場合遵循完全賠償原則；在受害人所受損害與侵權人所獲利益不能確定場合時，可考慮建立法定賠償機制，但懲罰性賠償機制不宜引入。

關鍵詞：個人信息；法定賠償；補償性賠償；懲罰性賠償

中圖分類號：D913 文獻標識碼：A 文章編號：1674-5450（2024）05-0075-08

一、問題的提出

2021年8月20日，第十三屆全國人大常委會第三十次會議審議通過了《中華人民共和國個人信息保護法》（以下簡稱《個人信息保護法》），自2021年11月1日開始施行。該法的出臺對于保護個人信息權益、平衡個人信息保護與合理利用，具有重大而深遠的意義。誠如學者所言，該法的亮點與特色頗多[1]。其中，引起學術界特別關注的是該法第69條與《中華人民共和國民法典》（以下簡稱《民法典》）第1 165條相銜接，正式確立了個人信息侵權損害賠償制度。從規范內容來看，《個人信息保護法》第69條第2款就損害賠償數額的確定，創立了獨具特色的兩階段模式，即原告提起個人信息侵權之訴時，可以先按照因侵害行為受到的損失（簡稱所受損失）或者處理者獲得的利益（簡稱所獲利益）計算損害賠償數額；所受損失和所獲利益難以確定時，由法官根據實際情況自由裁量，最終酌定損害賠償數額。《個人信息保護法》施行已近三年，兩階段計算模式在司法實務中的適用狀態如何？能否切實擔負起保護個人信息的重任？有無進一步完善的空間？目前，鮮有學者以實務運作為邏輯起點，全面系統評估《個人信息保護法》第69條的立法成效。有鑒于此，筆者擬從個人信息侵權訴訟特別是證明責任分配的視角，對該條予以檢討，進而提出進一步完善個人信息侵權責任規范的立法建議，以期為強化個人信息保護貢獻綿薄之力。

二、個人信息侵權損害賠償的實務檢視

（一）傳統民法上的損害概念

損害賠償是針對損害的賠償，損害后果是侵權損害賠償責任的必備要件。無損害則無賠償，是損害賠償責任的核心要義。受害人如果未遭受損害，要求加害人承擔損害賠償責任也就無從談起。但何謂損害，傳統大陸法系國家民法典，如《德國民法典》《瑞士民法典》《日本民法典》都未對損害的含義作出立法規定。在理論上，德國學者創立了損害認定的差額說，即將受害人在損害事件發生前后的財產狀況進行比較，若存在差額則受害人存在損害，反之則不存在損害[2]211。差額說對后世立法與理論研究影響深遠。《德國民法典》第249條規定，損害賠償應回到假設引起賠償義務的情況未發生時的狀況，即對侵害發生前后的權益狀況進行對比。如果通過對比得出了負面的差額，則該差額作為損害應當得到賠償。瑞士學術界通說也認為，損害等于現存財產狀況與未來發生侵害事件時，財產狀況的差額[3]48。就我國而言，《民法典》也沒有界定損害的含義。我國學術界通常認為，所謂損害是指受害人因他人的加害行為所遭受的人身或財產上的不利后果[4]312。民法上的損害應具有客觀性、確定性與可救濟性，主要采用德國學者提出的OUz++O6i4TptR7IoUT6qn4t3roanzKQN3HXbrcKAJlI=差額說進行計算。按照差額說，應比較沒有侵權事件發生時受害人應處的利益狀態與侵權事件發生時所處的利益狀態，二者的差額即為受害人遭受的財產損失[5]。

（二）所受損失賠償規則空轉

在個人信息侵權領域，某些情形下按照差額說確實可以計算出受害人所遭受的財產損害。例如，甲的銀行卡號與身份證號被乙非法竊取，乙對甲實施電信詐騙，騙取了甲銀行卡中的巨額資金。在此情形，甲在提起損害賠償之訴時，按照差額說很容易計算出自己所受的財產損失。又如，甲使用百度地圖行蹤信息被乙非法收集，乙循此信息跟蹤甲并將甲打傷。甲為治療支付了手術費、醫療費等合理費用。上述費用作為甲遭受的財產損失，按照差額說也可以較為容易證明。不過，根據日常生活經驗，更為普遍和常見的場景是，個人信息被他人大規模非法處理、泄露，但極少伴隨著身體傷害或者財產受損。這是因為社會公眾普遍沒有接受過大數據技術與信息技術的教育或培訓，在數字素養未得到有效提升的情況下，迅疾被時代潮流裹挾進入數字社會。面對猝不及防的社會轉型，對信息技術所知甚少的單個自然人缺乏與精通信息技術的互聯網企業對抗的有效武器。在數字鴻溝加深背景之下，個人的主體地位被極大貶損，事實上已經淪落為任由處理者肆意宰制的客體。與此形成鮮明反差的是處理者往往通過大數據技術和算法運作，操控個人信息處理全過程，更為清楚個人信息處理過程中存在的漏洞，也更有能力建立風險防范機制。在雙方地位差異懸殊、技術手段嚴重不對等的背景下，受害人提起個人信息侵權之訴，根據誰主張誰舉證的原則，需要舉證證明自己遭受的實際損失。按照差額說的計算方法，受害人須證明侵權事件發生前后自己的財產狀況變化。但通常情況下，除上述電信詐騙等少數情形外，個人信息泄露后短期內并不會造成信息主體人身損害或者財產毀損，而只是為未來某個時刻引發人身或財產損害埋下了“不定時炸彈”。它可能在某個時刻引爆，可能在信息主體的一生中也不會引爆，還可能在信息主體死后某個時刻引爆。個人提起個人信息侵權之訴時，若個人信息泄露的損害尚未發生，受害人的財產狀況在侵害事件發生前后，并不會發生何種變化。按照差額說的計算方法，這意味著個人信息侵權前后，原告的財產變動情況為零，其主張財產損害賠償的訴訟請求將被法院駁回。司法實踐中的做法也印證了上述推理。在王某與騰訊公司個人信息保護糾紛一案中，二審法院認為，王某沒有提供證據證明《個人信息保護法》要求的損害存在，故對其主張騰訊公司造成其個人權益損害要求賠償的訴訟請求不予支持[6]。

為破解個人信息侵權賠償數額確定的困境，有學者將問題的癥結歸咎于差額說的缺陷，提出以規范損害說修正差額說，主張從寬解釋損害概念，認為現實損害固然屬于損害，但個人信息泄露后，信息主體遭受下游損害的風險增加，并且通常伴有擔憂未來會遭受欺詐的焦慮情緒，也可以視為損害（風險損害說）。在評價風險性損害時，由法官在個案中考慮各種因素進行利益衡量后確定[7]。該學說的可取之處是，注意到了大數據時代個人信息侵權損害確定的特殊性，深化了學術界對損害這一基本范疇的認識。不過，該學說亦有其不足之處。一方面，該學說對傳統損害概念內涵的沖擊過大，目前僅有個別學者主張該學說，其尚未被主流學說所認可；另一方面，風險損害說面臨的最大難題，在于如何在具體案件中予以量化和厘定。風險的本質特征是，未來損害發生與否目前難以確定，而民法上的損害概念要求確定性，故風險與傳統損害概念的內涵恰恰背道而馳。即使在大數據時代為強化個人信息保護，理論上將損害概念的外延進行擴大，使之將風險包含在內，實踐中也難以通過可操作的技術方案，將風險的實際數額予以量化，原告的訴訟請求仍然可能被駁回。質言之，風險損害說看上去很圓滿，但對于確定當事人損害賠償數額而言，實際意義非常有限。

綜上所述，無論信息主體的社會地位，抑或其對抗武器，與處理者相比均處于嚴重不對等的局面。在此情況下，缺乏技術手段的信息主體提起個人信息侵權訴訟，舉證證明自己遭受的經濟損失難度很大，幾乎是不可能完成的任務。行文至此，論者可能提出疑問，原告雖然不能證明自己遭受的損害，不是還可以選擇請求賠償處理者因此獲得的利益嗎？事實并非如此。

（二）所獲利益賠償規則失靈

大數據的特征之一是價值密度低。這意味著個人信息聚集形成海量數據時，才能發揮規模效應，促進數字經濟發展。有美國學者對個人信息的價值進行了測算，得出的結論是單個普通人貢獻的個人信息價值為0.007美元，經常出差的富人的價值為1.78美元[8]，單個的個人信息的價值實際上并不高。從我國侵犯公民個人信息罪的刑事判決來看，行為人從每條個人信息侵權中獲得的收益極其低微。李某某多次向他人出售公民個人信息共計80 000萬余條，得款7 000元，平均每條0.09元[9]；王某某出售公民個人信息9 957條，獲利193 603.93元，平均每條19.4元[10]；曾某某出售個人信息共計97 000余條，獲利共計人民幣10 000元，平均每條0.1元[11]；王某、孫某某向他人出售152 875條公民個人信息，獲利11 500元，平均每條0.075元[12]；任某某、陳某非法獲取公民信息130 000余條，并以人民幣3 250元的價格向他人出售，平均每條0.025元[13]；李某某、肖某某非法出售公民個人信息124 000余條，獲利人民幣178 922元，平均每條1.44元[14]。受害人提起民事訴訟時，往往需要支出訴訟費、律師費、保全費等合理費用。將侵權人單條個人信息侵權所獲利益與受害人支出的合理費用相比，后者顯然大于原告勝訴后可能獲得的賠償數額。在訴訟維權成本遠遠高于收益的情況下，理性的個體勢必缺乏積極維權的動力，最終不得不放棄訴訟維權，任由侵權人違法處理個人信息。

更有論者認為，為便于原告了解被告侵權獲利情況，不妨賦予原告查閱被告賬簿的權利。不過，一方面，依《個人信息保護法》第44條規定，信息主體享有知情權，包括處理個人信息前的告知、要求處理者公開處理規則、查閱復制權與規則解釋說明權等權利[15]113。從文義解釋來看，信息主體的查賬權尚不包含在知情權的范疇內；另一方面，處理者侵害個人信息所獲利益的絕對數值或許很高，但對具體個人而言所獲得的利益卻極其低微，即使賦予原告查賬權，其所能獲得的賠償數額也極為有限。考慮到需要支出的交通費、訴訟費、律師費等合理維權成本，對比可能的收益與必要成本支出后，理性的信息主體勢必喪失行使查賬權的動力。不僅如此，如果賦予信息主體查賬權，不排除某些不誠信的個人出于刺探企業商業秘密的動機，以行使法定權利為借口，干擾甚至侵害企業的正常經營活動。在案多人少的司法現狀下，賦予信息主體查賬權可能打開個人濫訴的閘門，導致法官的辦案壓力急劇增加，不僅拖延案件的審理周期，而且倉促辦案也難以保障案件審判質效。可見，賦予信息主體查賬權對于優化原告訴訟請求并沒有實際意義，也不符合我國現階段的國情。

（三）法官酌定賠償無力

如前所述，個人信息侵權發生時，原告通常難以證明自己遭受的實際損失，也難以證明處理者因此獲得的利益。剩下的唯一救濟手段，是《個人信息保護法》第69條第2款后半段規定，即由法官根據實際情況確定賠償數額。不過，該規定的不足之處在于，未給法官提供參考因素，賦予法官的自由裁量權過大，可能出現賠償數額過高或過低的判決。由此衍生的后果是，要么不能體現出“罰當其罪”，對信息主體的保護力度不夠；要么“罰過其罪”，對處理者造成過大的經濟壓力，不利于數字經濟的發展。

綜上，《個人信息保護法》第69條第2款雖然創立了兩階段三小種損害賠償計算方法，但可操作性都不強，難以為受害人提供有效救濟。筆者以“《個人信息保護法》第69條”為關鍵詞，在中國裁判文書網檢索，顯示僅有10則案例。其中，法官援引該條支持原告損害賠償訴訟請求的判決稀少，僅有3例且賠償數額不高。在賈某某、青島遠海教育服務有限公司等個人信息保護糾紛一案中，法院判決被告賠償原告實際損失500元，精神損害撫慰金3 000元[16]。在龐某某、山東健罡項目管理有限公司個人信息保護糾紛一案中，法院判決被告賠償原告侵權損害賠償金2 000元[17]。其余案例，要么被法院駁回訴訟請求，要么依附于民事檢察公益訴訟。由此可見，第69條第2款基本上處于“休眠”狀態。盡管個人信息侵權事件在生活中很常見，但鮮見信息主體提起侵權損害賠償之訴。究其根源，在于個人信息存在于網絡空間中，具有無形性、隱秘性和非競爭性等特征。傳統差額說自19世紀德國學者蒙森創立以來，主要適用于物理空間、線下社會，對網絡空間中的侵權責任則“水土不服”，難以適應并發揮應有的作用。

為了實現保護個人信息權益的立法目的，有必要改弦更張，另辟蹊徑，重構個人信息損害賠償數額確定機制。

三、個人信息侵權損害能夠確定：遵循完全賠償原則

個人信息的固有特征是可識別性，即能夠直接或與其他個人信息結合，識別出特定的信息主體。個人信息一旦被他人非法收集，可能被處理者濫用，如實施營銷、跟蹤、殺害等違法犯罪行為。該類侵權行為的特點是，侵權人首先非法收集和處理個人信息，然后實施加害行為，產生損害后果。非法收集和處理個人信息與線下侵權之間，是手段與目的關系，類似于刑法上的牽連犯。在損害賠償數額的量化上，以受害人遭受的實際損失為標準進行計算，侵害個人信息的損害賠償包含于人身或財產損害之中，不必單獨計算。例如，在電信詐騙情形，受害人的人臉信息被竊取后，不法分子利用該人臉信息通過支付寶驗證，竊取受害人100萬元，法院即可據此判決侵權人承擔100萬元的賠償責任。

需要注意的是，個人信息侵權場合，受害人遭受的精神損害也應予以賠償。這是因為，個人信息屬于人身權益的范疇。個人信息侵權事件發生后，個人遭受精神痛苦在所難免。例如，個人信息泄露后，通常信息主體都會擔憂未來某個時刻，個人信息被不法分子利用發生詐騙或隱私泄露等風險。特別是銀行卡號、身份證號等敏感信息泄露后，信息主體通常會產生焦慮、恐懼等不良情緒。上述不良情緒雖然客觀上難以量化和計算，但可以作為確定精神損害賠償的考量因素，由法官確定精神損害撫慰金數額，從而激發信息主體維權的積極性，切實保護個人信息權益。例如，在蔡某某、山東培森人力資源開發有限責任公司等個人信息保護糾紛一案中，原告蔡某某與被告公司不存在勞動關系，被告公司在填寫單位職工社保信息時，誤寫為蔡某某的個人信息，導致蔡某某個人社保號碼被他人占用多年無法繳納社保。蔡某某起訴請求賠償15萬余元的損失。法院認為被告公司存在過錯，但蔡某某早在2007年即知道上述情形但未盡早行使權利，放任損失進一步擴大亦有過錯。法院綜合考慮雙方的過錯程度在損害發生中的原因力大小，判令被告賠償原告2萬元[18]。

四、個人信息侵權損害不能確定：引入法定賠償制度

（一）知識產權法定賠償制度的借鑒

法定賠償，是指不需要舉證證明而是直接按照制定法規定的數額給予的賠償。法定賠償制度主要起源于英美國家，在知識產權保護領域廣泛適用。據統計，目前美國、加拿大、澳大利亞、韓國和新加坡等幾十個國家，已經在知識產權法中實行了這一制度[19]。例如，按照《美國法典》第17編第504條（c）規定，在終局判決做出前的任何時候，針對任何一部作品，版權所有人可以就訴訟所涉一切侵權，選擇要求判付法定損害賠償，以代替實際損害賠償和利潤，由一個侵權人單獨，或由兩個或多個侵權人連帶承擔，賠償金額不低于750美元、不超過3萬美元，由法院酌定[20]445。如果侵權人故意侵權，法定賠償金可增至每部作品15萬美元。如果侵權人能證明其沒有意識到或沒有理由相信其行為構成版權侵權，則法院可以酌情將法定賠償金降低至每部作品200美元。美國《蘭姆法》規定，若原告選擇法定賠償，則法院有權就每類商品或服務商的每個仿冒商標判決給予100美元至20萬美元之間的賠償金。如果對仿冒商標的使用為故意侵權，則法院有權就每類商標或服務的每個商標判決給予200萬美元以下的賠償金。

就我國著作權保護而言，由于著作權的對象具有無形性，實踐中侵權人究竟給權利人造成多大損失難以準確計算[21]140，我國知識產權侵權損害賠償也引入了法定賠償制度①。與著作權、專利權客體的無形性相同，個人信息作為數據載體呈現的內容存在于網絡空間，也具有無形性的特征，同樣存在著受害人所受損害與侵權人所獲利益難以計算的困境。基于相同事物相同處理的類比思想，在個人信息侵權領域，不妨也引入法定賠償制度。誠如學者所言，這種同時規定最高賠償額與最低賠償額的賠償模式，具有對法官的自由裁量權進行授權與限制的雙重屬性，有利于在合理期間內確定妥當的賠償數額[22]。

（二）個人信息侵權法定賠償數額的確定

1.最低賠償數額的確定

從比較法看，域外已有個人信息侵權法定賠償制度的立法例子。例如，美國2018年《加州消費者隱私法案》規定，為每個消費者每次事件賠償不少于100美元且不超過750美元的損害賠償金或實際損害賠償金，以數額較大者為準。實際上，在《個人信息保護法》起草過程中，有學者提出借鑒域外規定，采取一個相對幅度更小的范圍確定賠償數額，如對每個受害人賠償500元至1 000元。不過，立法機關考慮到個人信息侵權往往涉及人數眾多，若作出此類規定可能對處理者造成過大賠償責任，最終沒有采納該觀點[23]。立法機關的顧慮有其道理，因為大規模侵權勢必造成大規模損害，賠償數額過高可能導致涉事企業破產，不利于數字經濟的發展。但立法機構的做法顯然不利于保護個人信息權益，從一個極端走向了另一個極端。有學者建議，可以按照每人每事件500元至1萬元的區間標準來確定，并結合責任減免規則實施[24]。該觀點的不足之處在于，一方面，設計的法定賠償幅度過大，難以與個人信息的分類以及侵權人的主觀狀態契合；另一方面，法官自由裁量空間過大，有可能誘發權力尋租，滋生司法腐敗。筆者認為，不妨區分個人信息的類型與侵權人的主觀狀態，分別確定不同的賠償數額。例如：處理者過失侵害一般個人信息的，可以按照最低每人每事件1 000元賠償；過失侵害敏感個人信息的，可以提高至最低每人每事件2 000元賠償。處理者故意侵害一般個人信息的，可以按照最低每人每事件

2 000元賠償；故意侵害敏感個人信息的，可以提高至最低每人每事件4 000元賠償。一方面，該做法貫徹了“過罰相當”，符合分配正義；另一方面，也能激勵受害人積極維權，符合矯正正義，合理平衡了雙方當事人利益，是一個相對妥適的處理方案。

2.最高賠償數額的確定

與傳統線下社會侵權不同，個人信息侵權通常屬于大規模侵權，受害人動輒成百上千人，個人信息泄露場合可能達到數百萬人甚至更多。例如，某醫護人員利用在婦幼保健院工作的便利，倒賣新生兒和產婦的個人信息8萬條，以每人最低賠償1 000元計算，侵權人共需承擔8 000萬元的賠償責任，這對于自然人處理者而言無異于“滅頂之災”。又如，某酒店1億條個人信息泄露，以每人最低賠償1 000元計算，侵權人共需賠償1 000億。損害賠償數額的確定，不僅關乎受害人的法律救濟，而且關涉網絡產業、數字經濟的發展。處理者實施侵權行為固然需要承擔賠償責任，但過大的賠償額可能遠遠超出其賠償能力，危及侵權人的生存，甚至造成互聯網企業瀕臨破產。正是出于這一考慮，《個人信息保護法》起草過程中，立法機構最終沒有引入法定賠償機制。為協調個人信息權益保護與數字經濟發展之間的關系，可考慮為處理者設定最高賠償限額。在比較法上，根據美國伊利諾伊州《生物信息隱私法》的規定，被告每實施一次違法行為，需向原告支付最高1 000美元的賠償金；若被告故意侵權或魯莽為之，則需向原告支付最高5 000美元的賠償金。《利用信息網絡侵害人身權益司法解釋》第12條第2款規定，侵害個人人身權益造成財產損失，如果無法確定被侵權人因此所受財產損失或侵權人因此所獲利益，法院可按照具體案件情況于50萬元以內酌定賠償額。借鑒這一規定，可區分一般信息與敏感信息侵權，分別設計最高賠償限額。具言之，處理者過失侵害一般個人信息時，最高賠償限額可以設定為50萬元；過失侵害敏感個人信息時，最高賠償限額可設定為100萬元；處理者故意侵害一般個人信息時，最高賠償限額可設定為100萬元；故意侵害敏感個人信息時，最高賠償限額可設定為200萬元。若受害人能夠舉證證明自己遭受的實際損失或侵權人所獲利益超過法定最高限額，則允許受害人選擇以所受損失或者所獲利益為準計算賠償數額，不受法定最高數額的限制。

3.法定賠償與懲罰性賠償的關系

值得注意的是，在個人信息侵權領域，不少學者主張引入懲罰性賠償制度，認為該制度既能夠彌補信息主體的財產損害，又能對個人信息侵權行為予以懲罰與遏制，有利于預防侵權行為的再次發生[25]。筆者認為，在引入法定賠償制度后，不宜再創設懲罰性賠償制度。一方面，懲罰性賠償是對加害人科處超過受害人所受損害額度的賠償制度，其目的在于懲罰加害人與預防將來的違法行為，具有與刑罰相同的制度目的[26]212。從刑事訴訟實踐來看，被告構成侵犯公民個人信息罪時，法院在判處其有期徒刑的同時，往往判處數額不等的罰金。例如，金某犯侵犯公民個人信息罪，判處有期徒刑1年10個月，并處罰金11萬元[27]；汪某侵犯公民個人信息罪，判處有期徒刑3年并處罰金2萬元[28]；楊某某犯侵犯公民個人信息罪，判處有期徒刑3年，并處罰金人民幣0.5萬元[29]。上述數額的確定不是沒有根據的任性決定，而是在綜合考慮諸多因素，如加害人的主觀狀態、侵權持續的時間、獲利的數額以及損害后果等情節后，由法官自由裁量判定。上述因素在法官確定罰金數額時已經有所考慮，本身已經具有懲罰色彩，如果再依據上述因素算定懲罰性賠償數額，無異于對同一法律事實進行二次評價，對加害人施加兩次不同程度的懲罰。如此處理不僅背離罪刑責相適應原則，而且對被告也不夠公平。另一方面，我國在侵犯公民個人信息罪罰金刑之外，還設立了高額罰款行政處罰措施，成為維護公共利益為目的的獨特制裁措施[30]。罰款的數額在參考受害人數量、損害大小及侵害公共利益嚴重程度等因素的基礎上，根據大、中、小、微規模企業的年度平均營業收入計算[31]。例如，根據《個人信息保護法》第66條規定，違反本法規定處理個人信息，情節嚴重的處以5 000萬元以下或者上一年度營業額5%以下罰款。從成立基礎來看，懲罰性賠償制度與行政罰款制度都建立在懲罰與威懾之上，且兩者都以維護社會公共利益為宗旨。主管部門對個人信息侵權人施以高額處罰，已經對被告的侵害個人信息的行為給予了適當的懲罰。因此，如果嚴格執行罰款制度，懲罰性賠償制度所要解決的問題，實際上能夠被高額罰款制度取代。目前，個人信息侵權引入懲罰性賠償制度尚處于理論研討層面，僅有少數學者主張，尚未納入立法機構的視野。在此情況下，我國不宜貿然引入個人信息懲罰性賠償制度。

五、結語

與物理空間中的侵權行為不同，個人信息侵權存在于網絡空間，具有潛伏性、持續性、隱蔽性和損害微小性等特征，通常屬于大規模微型侵權。傳統侵權法上的損害概念與損害認定的差額說，在新的社會背景下面臨嚴重挑戰。《個人信息保護法》第69條第2款確立的損害賠償計算規則不敷適用，受害人與侵權人的利益狀態嚴重失衡。為貫徹落實保護個人信息權益與促進個人信息合理利用的立法目的，有必要對失衡的利益狀態進行再平衡。可行的路徑是，在受害人遭受的實際損害與侵權人獲得的利益難以確定時，引入個人信息侵權法定賠償機制，從而激發個人信息主體維權動力，切實保護自然人的人格尊嚴。

參考文獻：

［1］ 王利明，丁曉東.論《個人信息保護法》的亮點、特色與適用［J］.法學家，2021（6）：1-16.

［2］ 埃爾溫·多伊奇，漢斯-于爾根·阿倫斯.德國侵權法［M］.葉名怡，溫大軍，譯.北京：中國人民大學出版社，2022.

［3］ 海因茨·雷伊.瑞士侵權責任法［M］.賀栩栩，譯.北京：中國政法大學出版社，2015.

［4］ 王利明.侵權責任法研究：上卷［M］.北京：中國人民大學出版社，2016.

［5］ 謝鴻飛.個人信息泄露侵權責任構成中的損害［J］.國家檢察官學院學報，2021（5）：21-37.

［6］ 王某、深圳市騰訊計算機系統有限公司個人信息保護糾紛民事二審民事判決書［EB/OL］.（2022-07-29）

［2024-03-18］.https：//wenshu.court.gov.cn/website/wenshu/181107ANFZ0BXSK4/index.html？docId=nOE3NrYf+UY

9Vxe7htQ76wMhfWd6gNiwhs8FUNMtpa3cJc0S6XLKoGI3IS1ZgB82B9C9VtlCtVAx7BHc0O22Tr5Leu9g8C4Eq5o

KNZTTuHq5K8pu2HIIETVDT/SCZ1rN.

［7］ 田野.風險作為損害：大數據時代侵權“損害”概念的革新［J］.政治與法律，2021（10）：25-39.

［8］ 申衛星. 論數據用益權［J］.中國社會科學，2020（11）：110-131.

［9］ 李某某侵犯公民個人信息二審刑事判決書［EB/OL］.（2020-10-21）［2024-03-18］.https：//wenshu.court.gov.cn/

website/wenshu/181217BMTKHNT2W0/index.html？pageId=4ce46e12a823acba2249e9d27c9b886f&s8=03.

［10］ 陳立鵬、王海濤侵犯公民個人信息罪二審刑事判決書［EB/OL］.（2020-09-25）［2024-03-18］.https：//wenshu.court.

gov.cn/website/wenshu/181107ANFZ0BXSK4/index.html？docId=9F7s0sQN9hbAxhbxrnfUl7a25HgdN2XWs/pMd/l

GRzuBV8jTyEWR4WI3IS1ZgB82B9C9VtlCtVAx7BHc0O22Tr5Leu9g8C4Eq5oKNZTTuHoUI8RdFrS4FXwkuRgv1

ns7.

［11］ 曾葉楓侵犯公民個人信息罪一審刑事判決書［EB/OL］.（2020-04-09）［2024-03-18］.https：//wenshu.court.gov.cn/

website/wenshu/181107ANFZ0BXSK4/index.html？docId=MK+xUnmVnDMkVrzdmPS4u1fIB-P-MSOU901zH8O7

RO5P62/sZk6witoGI3IS1ZgB82B9C9VtlCtVAx7BHc0O22Tr5Leu9g8C4Eq5oKNZTTuHq7momVw0C1UMwX1SCjp

Fe3.

［12］ 王坤、孫德傳侵犯公民個人信息二審刑事判決書［EB/OL］.（2020-06-01）［2024-03-18］. https：//wenshu.court.gov.cn/website/wenshu/181107ANFZ0BXSK4/index.html？docId=d+dwNdGDyb+2iaAU2HLtqWef1+ZKtqisVHZR6

xI68RDZUsK8k9Jg4WI3IS1ZgB82B9C9VtlCtVAx7BHc0O22Tr5Leu9g8C4Eq5oKNZTTuHpd+UacFqcc2nzakUym

AgMA.

［13］ 任星光、陳源侵犯公民個人信息罪二審刑事判決書［EB/OL］.（2020-05-12）［2024-03-18］.https：//wenshu.

court.gov.cn/website/wenshu/181107ANFZ0BXSK4/index.html？docId=MPLip4EWDjgyeSueCRTwEuvWUxNLS+4D

szQCJUNSCqaTNqujmOh++GI3IS1ZgB82B9C9VtlCtVAx7BHc0O22Tr5Leu9g8C4Eq5oKNZTTuHqe3IqObSwrLPK

ri0M92Wxb.

［14］ 李世璽、肖一峰侵犯公民個人信息罪二審刑事判決書［EB/OL］.（2020-04-17）［2024-03-18］.https：//wenshu.

court.gov.cn/website/wenshu/181107ANFZ0BXSK4/index.html？docId=aiiSJMJpIAD7eYb/GUZoo3i9cdGSGVDzz6p

QhJl9/nh0xScbzNFJFGI3IS1ZgB82B9C9VtlCtVAx7BHc0O22Tr5Leu9g8C4Eq5oKNZTTuHq3O1dMMsMVXN1jYK

SxN9SX.

［15］ 楊合慶.中華人民共和國個人信息保護法釋義［M］.北京：法律出版社，2021.

［16］ 賈友寶、青島遠海教育服務有限公司等個人信息保護糾紛民事一審民事判決書［EBeO/8D0rxUnmsk0oRtlxsmw==/OL］.（2020-09-20）

［2024-03-18］.https：//wenshu.court.gov.cn/website/wenshu/181107ANFZ0BXSK4/index.ht`ml？docId=JseWE2JCpa

cP55OSGoPgMIOdswV44Nc/CZkjEhwSSa8T4r2q061rwGI3IS1ZgB82B9C9VtlCVAx7BHc0O22Tr5Leu9g8C4Eq5o

KNZTTuHruursdTQI5yWHtkHrU07ph.

［17］ 龐衍碩、山東健罡項目管理有限公司個人信息保護糾紛民事一審民事判決書［EB/OL］.（2020-01-19）［2024-

03-18］.https：//wenshu.court.gov.cn/website/wenshu/181107ANFZ0BXSK4/index.html？docId=EpzSMH6XnFyJNIV

PEAGB/w9XBiC1fZlWXgYJ/bhgOpTemNjAF+SirWI3IS1ZgB82B9C9VtlCtVAx7BHc0O22Tr5Leu9g8C4Eq5oKNZ

TTuHrgkiXQegS5JKEIN+GWrf6m.

［18］ 蔡洪建、山東培森人力資源開發有限責任公司等個人信息保護糾紛民事一審民事判決書［EB/OL］.（2022-

08-08）［2024-03-18］.https：//wenshu.court.gov.cn/website/wenshu/181107ANFZ0BXSK4/index.html？docId=8+rx

cRm4OtPVXi9covDs/3uB5MSFYKByPR6DSiovZGc3W15IMauI9WI3IS1ZgB82B9C9VtlCtVAx7BHc0O22Tr5Leu9

g8C4Eq5oKNZTTuHotGyJBIhJ/SJv2UIQz/riZ.

［19］ 何育東.知識產權侵權法定賠償制度的異化與回歸［J］.清華法學，2020（2）：143-156.

［20］ 斯蒂芬·麥克約翰.威科法律譯叢：版權法案例與解析［M］.宋慧獻，譯.北京：商務印書館，2021.

［21］ 劉春田.知識產權法［M］.北京：中國人民大學出版社，2022.

［22］ 王成.《民法典》與法官自由裁量的規范［J］.清華法學，2020（3）：19-31.

［23］ 程嘯，曾俊剛.個人信息侵權的損害賠償責任［J］.云南社會科學，2023（2）：99-110.

［24］ 劉云.論個人信息非物質性損害的認定規則［J］.經貿法律評論，2021（1）：60-72.

［25］ 孫鵬，楊在會.個人信息侵權懲罰性賠償制度之構建［J］.北方法學，2022（5）：91-107.

［26］ 佐伯仁志.制裁論［M］.丁勝明，譯.北京：北京大學出版社，2018.

［27］ 金鵬侵犯公民個人信息罪刑罰與執行變更審查刑事裁定書［EB/OL］.（2020-03-04）［2024-03-18］.https：//wen

shu.court.gov.cn/website/wenshu/181107ANFZ0BXSK4/index.html？docId=DboIpCYeg3Lx0zf0v06n547j+Qm5CJug

df0AjzOEoj10itWWjpwpBWI3IS1ZgB82B9C9VtlCtVAx7BHc0O22Tr5Leu9g8C4Eq5oKNZTTuHqRJzh3QYZnZdF3

DcCmDdVu.

［28］ 汪財侵犯公民個人信息罪刑罰與執行變更審查刑事裁定書［EB/OL］.（2020-12-31）［2024-03-18］. https：//

wenshu.court.gov.cn/website/wenshu/181107ANFZ0BXSK4/index.html？docId=KdfagSZnUF85GJF0Uvk6XNcuBD

vIA7F3PMcRWmfFlVmFAlVxODJCmmI3IS1ZgB82B9C9VtlCtVAx7BHc0O22Tr5Leu9g8C4Eq5oKNZTTuHoS+Pn

0PWXkGqshGBjwZLcc.

［29］ 楊木土詐騙再審刑事判決書［EB/OL］.（2020-09-29）［2024-03-18］.https：//wenshu.court.gov.cn/website/wens-

hu/181107ANFZ0BXSK4/index.html？docId=eX0NdUhOs0M6ZdgDIXO31K2ldJY9ZtXeeMrKofyhmslVDO2e/+H9

UGI3IS1ZgB82B9C9VtlCtVAx7BHc0O22Tr5Leu9g8C4Eq5oKNZTTuHpGNbyOmgGSOtpmlj1i32YC.

［30］ 朱廣新.美國懲罰性賠償制度探究［J］.比較法研究，2022（3）：152-168.

［31］ 孫瑩.規模侵害個人信息高額罰款研究［J］.中國法學，2020（5）：106-126.

Conception of Double Layer Compensation Mechanism for Personal Information Infringement

Du Huantao1， Gao Ying2

（1.College of Law， Shenyang Normal University， Shenyang Liaoning 110034;

2.Beijing Dacheng Shenyang Law Firm， Shenyang Liaoning 110021）

Abstract：In the field of personal information infringement， in rare cases， the property damage suffered by the victim can be calculated according to the balance theory. The more common and common situation is that personal information is illegally collected and processed by others on a large scale， rarely accompanied by physical injury or property loss. The connotation and determination method of damage in traditional tort law are seriously challenged in the field of personal information infringement. The possible solution is to establish a two-tier compensation mechanism： the principle of full compensation should be followed when the personal or property damage can be determined， and the statutory compensation mechanism can be considered when the damage suffered by the victim and the interests of the infringer can not be determined. Punitive damages mechanism should not be introduced.

Key words：personal information; statutory damages; compensatory damages; punitive damages