個人信息侵權損害賠償范圍之理論探討與完善

一、導語

當前的信息社會生活中無時無刻不存在著個人信息的傳遞、處理與交互。隨著《中華人民共和國民法典》（以下簡稱《民法典》和《中華人民共和國個人信息保護法》（以下簡稱《個人信息保護法》）陸續頒布施行，個人信息權益在我國被正式確認為一種人格法益。在先進信息技術的推動下，個人信息處理規模與處理效率遠勝于前。個人信息權益內容與保護范圍亦愈加充實，不再局限于人格利益、精神利益，還兼具財產屬性和經濟價值。如今個人信息非法泄露、竊取、濫用等情況頗為常見，傳統的損害賠償范圍已無法適應現階段個人信息侵權案件的損害特征。個人信息權益人主張損害賠償的前提是侵權責任成立。損害作為侵權責任成立的重要構成要件，權益人若不舉證相關損害，其損害賠償訴求往往無法得到法院支持，損害賠償范圍設定是否合理直接關乎到個人信息權益能否有效保護。目前由個人信息侵權造成的財產損害范圍尚未明確，且財產損害更多是基于差額說，強調損害的現實性，限縮了個人信息權益損害賠償范圍，與個人信息侵權案件呈現的損害特征不符，阻礙了侵權責任的證成和損害賠償的主張。此外，由于個人信息處理者在技術和資源上占據絕對優勢，司法實踐中受害人存在主張侵權難、請求賠償難的困境。有鑒于此，本文以個人信息侵權行為構成中的損害要件為切入點，通過對國內相關理論研究的梳理及域外相關立法經驗的借鑒，進而提出完善個人信息侵權損害賠償范圍的理論構想，以期更好地構建我國的個人信息保護制度。

二、國內個人信息保護理論研究梳理

個人信息保護的理論發展自起步之初就伴隨著各類學說，理論之“樹”每發展到關鍵處便分叉出“樹枝”，譬如個人信息權益的法律屬性、權益內容、侵權責任構成、侵權損害范圍等。總體而言，學者所追求的個人信息權益保護理想狀態是統一的，即既保護個人信息主體權益，又促進個人信息社會流動。本文以此為邏輯，對國內學界關于個人信息權益法律屬性和侵權保護的相關研究進行了梳理。

（一）個人信息權益之法律屬性

第一，民事權利還是民事權益。王利明指出，雖然公法對個人信息采取了保護機制，但不能改變個人信息權以人格利益內容為主的民事權利屬性，唯有確認個人信息權是一種民事權利，才能夠為個人信息提供充分保護。[楊芳則認為，個人信息權的客體范圍過于廣泛，權利人無法有效行使自決權和控制權，將權利邊界尚未明確的權益上升為絕對權不合時宜；[2]第二，私法權利還是公法權利。持私法權利說的學者在梳理歐洲與美國個人信息權保護歷程后，認為個人信息權經歷了與隱私權界限逐漸明確的過程，并指出個人信息權屬于一種私法權利。[3]持公法權利說的學者則主要從個人信息客體的社會屬性導致權利人無法排他控制、私法保護路徑存在較大障礙等角度展開論述。例如，高富平認為，個人信息具有公共性和社會性，應構建以公法規制為主的個人信息權保證制度；4第三，人格權、財產權與雙重保護說。程嘯指出，個人信息涉及自然人人格尊嚴和人格自由，無論將個人信息界定為權利還是利益，都不影響法律將其確定為自然人的人格權益，并適用人格權一元模式覆蓋保護。[5勞倫斯·萊斯格認為，確認個人信息的財產權能夠賦予權利人議價的權利，便于在侵權案件中客觀衡量和計算侵權損害。[6彭誠信則主張，個人信息權本質上是包含財產利益的人格權，應認可個人信息的價值雙重性、權益雙重性與權益歸屬雙重性。[7]

（二）個人信息權益之侵權法保護

第一，侵權法功能之辨。侵權法要解決的主要問題即利益平衡，包括個體之間的利益關系以及個體利益與公共利益間的利益關系。張新寶指出，侵權法的利益平衡表現為民事權益保護與他人行為自由間的平衡。[8王利明和丁曉東提出，應積極利用侵權責任法保護數據權益，從事后過錯認定轉變為事前風險預防，同時注重賠償救濟功能的多樣化；[9第二，侵權責任歸責原則。楊立新認為，個人信息侵權屬于一般侵權行為，應適用過錯推定責任。[10]陳吉棟指出，應區分不同個人信息侵權情形，分別適用過錯責任與過錯推定責任。葉名怡則認為，以信息處理者身份和處理方式為區分的“三分法\"較為適宜；[2]第三，損害賠償理論。王利明認為，侵權責任法應定位于救濟法，損害賠償制度應在救濟法思維下進行體系建構。[13]李承亮指出，《民法典》中的“損失\"即受害人財產在未受損害時與受到損害后的差額，“損害”可以解釋為受害人在未受損害時與受到損害后的權益狀態差異。[14]在損害范圍層面，程嘯認為，侵害個人信息權益造成的損害包括財產損失與精神損害，因個人信息泄露而增加的未來遭受不法侵害的風險不屬于損害。[15]謝鴻飛提出，肯定個人信息預期侵權風險構成“損害”，能更好地使侵權責任法動態適應現代風險社會之需求。[16]種種觀點，不一而足。

通過對現有研究的梳理總結，可以發現在個人信息權益的性質界定、侵權責任、賠償范圍等方面尚存在探討空間。不同損害觀點導致個人信息損害范圍不同，對個人信息侵權責任的構成及最終賠償責任影響較大，具有進一步深人研究價值。

三、美國個人信息侵權損害賠償立法經驗之揚棄

美國在信息技術領域保持著全球領先地位，其在個人信息侵權損害賠償立法方面體現出普通法傳統與成文法創新之結合，同時也反映了對隱私權、數據安全與公共利益平衡的考量。下文試提煉美國相關立法中的核心經驗，為我國個人信息侵權損害賠償規則之構建提供借鑒。

（一）保護個人信息財產利益

美國在個人信息的人格利益和財產利益上采取了二元保護模式，以隱私權保護人格利益，以公開權保護財產利益。針對個人信息財產利益，美國法中使用了“公開權”予以保護，即每個人所享有的控制其人格要素商業使用的固有權利。公開權是從隱私權中發展而來的一項獨立權利，其設置目的是保護自然人姓名、肖像等人格權益上的財產利益。1953年的“Haelanv.ToppsChewingGum”案中首次確認了公開權，判決認為，隱私權保護范圍除了當事人的肖像，還包括肖像照片的形象宣傳價值，當事人可以就侵犯其公開權的行為要求財產損害賠償。公開權經歷了權利主體及客體的擴張，即權利主體從人格要素市場價值較高的名人擴展至一般民眾，權利客體則從最初僅限于個人姓名、肖像擴展到涵蓋包括扮演形象中的虛擬身份標識，即一切足以使受眾喚起與主體身份聯系的人格標識。[17]隨著信息化技術的發展，個人信息也逐漸被認可為包含權利人的財產利益，應受公開權保護。

（二）實際損害與懲罰性賠償并存

美國侵權法中關于個人信息侵權的賠償范圍，主要是基于實際損害賠償和懲罰性賠償兩種理論展開。在實際損害賠償方面，包括經濟損失和精神損害，懲罰性賠償則需要根據案件具體情況決定適用與否。其中“實際損害賠償”是指侵權人應就侵權行為造成的權利人實際損害承擔賠償責任。這種損害可以是人身損害費用、財產權利損失、修復損失等直接損害，也可以是預期利潤損失、商譽減值等間接損害；“懲罰性賠償”則是指當侵權行為特別惡劣或嚴重時，法院可以根據法律規定要求侵權人支付實際損害之外的額外賠償金，以懲罰其侵權行為。懲罰性賠償金額通常遠高于實際損失，其適用范圍和使用情形受到嚴格限制。兩種賠償理論的功能和目的存在明顯差異。實際損失賠償是為了讓權利人得到經濟補償，使其恢復到侵權行為發生前的經濟狀況；懲罰性賠償則希望通過高額的賠償金額以達到震慢、預防之目的，向全社會傳遞明確的警示信號，避免類似侵權行為再次發生。

（三）對于風險損害的保守態度

美國判例法中對于個人信息侵權的風險性損害持保守態度，少數法院在嚴格條件下承認風險損害，大部分法院則認為風險損害屬于尚未發生的事實，因其過于抽象且帶有推測性，不應得到法院支持。1992年的“Lujanv.DefendersofWildlife”案中確立了事實損害與緊迫性標準。具體規則為：第一，原告遭受了事實上的損害，且必須是一種具體的、實際的、受法律保護而非推測或假定的利益遭受侵犯；第二，事實損害與侵犯行為之間存在因果關系；第三，原告的傷害有可能通過在訴訟中尋求的救濟得到補救。只有同時滿足上述三點要求，原告才可以獲得訴訟主體地位，概言之，美國法要求原告主張的損害是已經發生的事實損害，或是尚未發生的損害但具備緊迫性。在此后的\"Clapperv.AmnestyInternationalUSA.”案中，法官指出，原告所主張的損害應是具體、特定且實際的。緊迫的損害雖然是一個彈性概念，但必須是肯定即將發生的、能通過因果關系溯源至侵權行為的損害。

（四）接納個人信息財產價值損失

此前司法實踐中美國法官對于個人信息的財產價值觀點較為保守，隨著信息技術的發展，個人信息的商業價值和個人支配逐步得到認可和支持。在2011年的“LaCourtv.SpecificMedia，Inc\"案中，法官否定了原告提出的個人信息交換價值減值主張，并認為相關損害不能被認定為財產損害；隨后的“InreiPhoneApplicationLitig.\"案中，用戶向法院主張蘋果公司的侵權行為造成其個人信息的財產價值損失，同樣未獲法院支持；在2015年的“Remi jas v. Neiman Marcus Group. LLC\"案中，法院指出，黑客盜取個人信息是因為其可交易屬性，間接體現了個人信息是一種有價值的商品;2016 年的“In re Anthem，Inc．DataBreachLitig.\"案進一步確立了上述觀點。法官指出，個人信息泄露會造成個人信息財產價值減少，且無需原告證明個人信息存在可交易市場。2016年的“Fraleyv．Facebook，Inc.\"案則從個人信息處理者角度論證了財產價值屬性。法官認為，權利人主張的個人信息財產價值在商業活動中是具體、可量化的，充分證明了原告主張的財產價值損失。

四、我國個人信息侵權損害賠償規則完善建議

大數據時代背景下，目前狹窄的個人信息損害賠償范圍給被害人設置了過高的舉證難度，使侵權責任與損害賠償的證成相對困難。為更好地保護信息主體權益，今后應兼顧侵權法的補償功能與預防功能，適當擴充個人信息侵害損害賠償范圍。下文從接納個人信息商品化利益，支持個人信息風險損害賠償兩方面出發，試提出完善我國個人信息侵權損害賠償范圍之建議。

（一）接納個人信息商品化利益

第一，擴張人格權保護路徑。個人信息不僅彰顯了信息主體的人格利益，其經濟價值也不容忽視。個人信息經收集、分選、定向商業推廣等行為，已經構成一定程度的商品化。結合平臺型商業組織的推動，個人信息在社會中存在廣泛的交易行為。個人信息權益是包含財產屬性的人格權益，實踐中平臺與用戶之間的信息“許可一使用”模式充分體現了個人信息的經濟價值，其財產權屬性足以支撐起個人信息商品化的合理性。首先，大數據時代個人信息是一種稀缺的無形財產，稀缺性體現為其中蘊含的商業價值具有稀缺性；[18]其次，如無明確的財產利益歸屬，在個人信息商業使用時，個人信息處理者通常會憑借優勢地位攫取大部分商業價值；最后，個人信息商品化是個人信息內在財產屬性的外部化表現。在個人信息商業利用領域，企業獲取和使用個人信息的成本極為低廉，認可個人信息商品化價值可以增加侵權賠償成本，提高企業合規主動性。[19]

明確個人信息侵權中被害人的商品化收益損失，能夠有效保護個人信息的財產屬性。今后應將個人信息的商品價值保護固定為法律規定，擴張《民法典》中的人格權許可使用制度，將個人信息納人其保護范圍。明確個人信息侵權案件中，法院應考慮被害人的收益損失。個人信息的商業化價值主要源自人身指向性，否定信息主體對其信息商業價值的權益不利于個人信息保護。一方面，根據洛克的勞動財產理論，自然人排他性地享有其勞動結果具備正當性。個人信息由權利人行為所產生，其價值也理應由權利人享有；另一方面，美國法上為突出人格權商品化利用時的財產屬性，分離了財產屬性并單獨規定為公開權。我國人格權立法采用的則是不分離人格利益和財產利益的一元保護模式，若將財產利益單獨分離，會沖擊人格權法律體系的整體性。《民法典》中規定了肖像、姓名和聲音的許可使用制度，人格利益的商品化已有先例。同時，立法者也預留了充足的解釋空間。《民法典》中保留了人格權商品化外延的開放性，可以根據發展需要融人新的可商品化人格權。綜上所述，以擴張人格權保護路徑肯定個人信息商品化價值，具備理論和制度層面的可行性。

第二，設置最低額賠償制度。《民法典》第1182條規定了確定人身權益財產損失賠償金額的三種方法：實際損失、侵權人獲利和法院酌定，當事人主張信息商品化價值賠償時也應依此思路。一般而言，財產損害計算應按照市場價格標準來確定。但是，如今我國尚無統一的個人信息交易平臺和估價機構，且不同主體個人信息價值差異極大；若以實際損失確定賠償金額，則要求當事人證明所受損失；若以侵權人獲利來確定賠償金額，同樣存在舉證困難，信息處理者可以隱匿所獲利益來減少賠償。有鑒于此，由法院酌定賠償金額是更合適的方案。面對我國個人信息侵權的嚴峻現狀，肯定并支持個人信息商品化價值，建立最低額賠償制度，是彌補個人信息主體所受損害、破解個人信息損害賠償困境的可行之道。美國法上設置了100美元至500美元的法院酌定賠償范圍，由法官根據案件情況酌定賠償金額。

我國的個人信息侵權案件裁判可以參考上述思路，設置個人信息最低額賠償制度，在個人信息侵權案件中明確法定最低賠償金額。若被侵權人能舉證實際損害超過法定最低金額，則以實際損害為準。若難以舉證，則由法院依據最低額賠償標準確定具體賠償金額。

（二）支持個人信息風險損害賠償

第一，引人規范損害說理論。傳統損害概念以差額說為主要內容，從損害本體出發，對比個人信息侵權發生前后受害人財產狀況存在的差額。個人信息侵權中不僅存在財產損害，還有無形和不確定的非物質性風險損害，強調損害現實性的差額說無法進行有效解釋，需要引入規范損害說予以修正。規范損害說認為應從責任規范目的理解損害，受害人權利或法律保護利益被侵害即構成損害。該理論突破了損害的現實性要求，認為損害不僅是客觀上的自然事實，還強調應當是一種法律上的事實。

規范損害說的引人對于解釋個人信息侵權案件中潛在的社會歧視、身份盜竊等風險損害有重要意義。侵權法追求的補償目標是使權益恢復到未受侵權時的狀態，就個人信息而言是一種自我控制狀態。盡管《個人信息保護法》規定了決定、刪除、更正等保護性權利，由于司法保護的滯后性，個人信息被侵犯后其潛在風險就已隨著網絡傳播迅速擴散，難以恢復個人信息權益的原本狀態。因此，將引發特定風險發生的不利益由受害人轉移給信息處理者承受具有正當性。首先，信息處理者相較于受害人風險規避能力更強；其次，個人信息泄露的風險后果源于信息處理者的行為，相應的責任也應由信息處理者承擔；最后，根據報償理論，信息處理者從收集個人信息行為中獲取了高額利益回報，應由信息處理者承擔相應風險。對侵權損害賠償理論進行調整，讓加害人對其造成的損害進行賠償，實質上是將侵權帶來的成本內部化，既能預防損害發生，又能發揮震懾作用，使行為符合社會預期。

第二，構建風險損害酌定體系。理論上引入風險損害不等同于實踐中支持所有風險損害，為避免司法實踐中的濫訴風險，平衡行為自由與個人權利，毫無證明的風險主張應予以否定。考慮到現代社會損害觀呈現出的無形化、抽象化演變趨勢，構建個人信息風險損害酌定體系有其必要性。[20]風險損害酌定體系應回答兩個問題：是否成立風險損害以及應承擔多少風險損害賠償。風險損害分為預防未來侵權行為的合理支出和當事人因潛在風險產生的精神痛苦。關于預防性支出，制止侵權行為的合理開支可作為財產損失獲得損害賠償，但現有規定未明確合理支出是否包括預防性支出。[21]若主張精神損害，我國要求精神損害達到嚴重程度才能獲得賠償，實踐中因舉證難度過高往往難以得到法院支持。

今后應嘗試構建個人信息權益損害賠償中的風險損害酌定體系，授權法官在個案中參考一定的衡量體系，決定是否支持當事人提出的風險損害及賠償金額。在人格權領域，根據《民法典》第1182條之規定，人格權益受侵害導致財產損失時，可以由法院根據實際情況確定是否支持損害賠償請求。法官酌定制度是對傳統損害賠償規則的一種突破，在處理案情復雜或當事人舉證困難的案件時能避免當事人承擔舉證不能的不利后果。美國判例中的緊迫性標準要求原告主張的風險損害將來有較大可能性會發生，若僅是一種推測不足以支撐其損害主張。我國應在此基礎上擴大適用范圍，使之能應用至個人信息侵權案件中的風險損害判定。具言之，風險損害酌定體系應以可能性為錨，把風險發生可能性作為核心評價要素，從而限縮風險損害范圍、避免風險無限擴大。

五、結語

個人信息不僅是數字時代推動云計算、人工智能等前沿科技發展的重要戰略資源，也是自然人享有的重要人格權益。如何實現個人信息侵權損害之救濟是當下數字社會建設中亟待解決的關鍵問題。盡管《民法典》和《個人信息保護法》中已經對個人信息保護規則作出全面規定，但因個人信息侵權認定規則與損害特點的特殊性，通過侵權法既有理論保護個人信息無法達到預期效果。立法中不應過于堅持客觀損害的認定標準，而應承認個人信息之商業化價值，通過損害賠償責任對信息主體的風險損害進行補償。

參考文獻：

[1]王利明.論個人信息權在人格權法中的地位［J].蘇州大學學報（哲學社會科學版），2012，33（6）：68-75.

[2]楊芳.個人信息自決權理論及其檢討兼論個人信息保護法之保護客體[J].比較法研究，2015（06）：22-33.

[3]王利明.論個人信息權的法律保護-以個人信息權與隱私權的界分為中心[J].現代法學，2013，35（04）：62-72.

[4]高富平.個人信息保護：從個人控制到社會控制[J].法學研究，2018，40（03）：84-101.

[5]程嘯.論我國民法典中個人信息權益的性質[J].政治與法律，2020（08）：2-14.

[6][美]勞倫斯·萊斯格.代碼2.0：網絡空間中的法律[M].北京：清華大學出版社，2018：81.

[7]彭誠信.論個人信息的雙重法律屬性[J].清華法學，2021，15（06）：78-97.

[8]張新寶.侵權責任法立法的利益衡量[J].中國法學，2009（04）：176-190.

[9]王利明，丁曉東.數字時代民法的發展與完善[J].華東政法大學學報，2023，26（02）：6-21.

[10]楊立新.侵害公民個人電子信息的侵權行為及其責任[J].法律科學（西北政法大學學報），2013，31（03） ：147.

[11]陳吉棟.個人信息的侵權救濟[J].交大學，2019（04）：40-53.

[12]葉名怡.個人信息的侵權法保護[J].法學研究，2018，40（04）：83-102.

[13]王利明.我國侵權責任法的體系構建——以救濟法為中心的思考[J].中國法學，2008（04） ：3-15.

[14]李承亮.《民法典》損害賠償責任體系論綱［J].荊楚法學，2022（06）：16-32.

[15]程嘯，曾俊剛.個人信息侵權的損害賠償責任[J].云南社會科學，2023（02）：99-110.

[16]謝鴻飛.個人信息泄露侵權責任構成中的“損害”—兼論風險社會中損害的觀念化[J].國家檢察官學院學報，2021，29（5）：21-37.

[17]Sheldon W. Halpern.The Rightof Publicity： Maturation of an Independent Right Protecting the Associative Value ofPersonality [J].Hastings Law Journal， 1995，46（3）：853-856.

[18]謝琳，李旭婷.個人信息財產權之證成[J].電子知識產權，2018（6）：54-61.

[19]嚴馳.IP屬地的法律性質證成及平臺責任評析[J].網絡安全與數據治理，2022，41（11）：59-65.

[20]時誠.個人信息泄露風險損害的賠償責任［J].現代法學，2024，46（2）：136-150.

[21]楊立新.侵害個人信息權益損害賠償的規則與適用—《個人信息保護法》第69條的關鍵詞釋評[J].上海政法學院學報（法治論叢），2022，37（1）：1-15.

本文系浙江省高校重大人文社科攻關計劃項目“數字經濟視域下區域算力競爭的法治保障研究”（編號2024QN009）和河南省法學會民法學研究會2024年度研究課題“我國數據確權的法理解析與規范路徑研究”（編號HNCLS2024083）的階段性成果。

（嚴馳系同濟大學法學院博士研究生；陳漢鐘武漢理工大學法學與人文社會學院）

【責任編輯：張卓】