个人信息公益诉讼适用惩罚性赔偿的体系构建.pdf

资源描述

1、理论探索 2023年第5期（总第263期）法治建设个人信息公益诉讼适用惩罚性赔偿的体系构建毋爱斌（西南政法大学，重庆401120）摘要个人信息保护法第70条确立了个人信息公益诉讼，但没有明确具体的诉讼请求类型，面临着个人信息公益诉讼能否提起惩罚性赔偿诉讼请求的追问。从个人信息强调预防性保护、个人信息的公益性、惩罚性赔偿的预防功能、个人信息权利受损的特殊性等方面进行分析，应允许个人信息公益诉讼的原告诉请惩罚性赔偿。由于个人信息公益诉讼并不排斥公法层面的保护，为避免重复处罚，在适用惩罚性赔偿时应当保持审慎和谦抑，惩罚性赔偿责任宜定位为对公法责任体系的补充。在惩罚性赔偿金的使用上，则宜实行权利人

2、认领赔偿金并由基金会管理余额的方式。关键词个人信息保护，公益诉讼，惩罚性赔偿，预防治理，审慎谦抑中图分类号 D923.8 文献标识码 A 文章编号 1004-4175（2023）05-0111-102021年11月1日起生效的个人信息保护法第70条规定：“个人信息处理者违反本法规定处理个人信息，侵害众多个人的权益的，人民检察院、法律规定的消费者组织和由国家网信部门确定的组织可以依法向人民法院提起诉讼。”自此拉开了我国个人信息公益诉讼的序幕。个人信息公益诉讼在立法上的确立是保障个人信息安全、维护民事主体在网络空间合法权益的必然要求。然而，个人信息保护法仅赋予了检察机关、法律规定的消费者组织

3、和国家网信部门确定的组织以诉权，并未明确个人信息公益诉讼的诉讼请求类型。根据公益诉讼的一般原理，个人信息公益诉讼原告有权向法院提出要求被告停止侵害、排除妨碍、消除危险、恢复名誉、赔礼道歉和赔偿损失等诉讼请求。但是，个人信息公益诉讼能否适用以及如何适用已在破坏生态环境和资源保护领域的案件、食品药品安全领域的案件中实行的惩罚性赔偿，悬而未决。就此，有必要从学理上对以下问题加以探讨：个人信息公益诉讼是否具有适用惩罚性赔偿的必要？如果确有必要在个人信息公益诉讼中建立惩罚性赔偿制度，那么适用惩罚性赔偿的条件是什么？个人信息公益惩罚性赔偿的制度定位是怎样的？个人信息公益惩罚性赔偿金应当如何进行确定和使用？

4、下文将首先证成惩罚性赔偿在个人信息公益诉讼中的适用可能，其次分析个人信息公益惩罚性赔偿的适用条件，然后明确个人信息公益诉讼适用惩罚性赔偿的限制因素，最后在具体应用上明确个人信息公益惩罚赔偿金的确定和使用规则。一、个人信息公益诉讼适用惩罚性赔偿的理论证成对于个人信息公益诉讼能否适用惩罚性赔偿的问题，支持与反对者均有。但或许是基于破坏收稿日期 2023-07-14 基金项目国家社会科学基金后期资助项目“公益诉讼发展进路的团体诉讼程序法理检视”（22FFXB053），主持人丁宝同；西南政法大学校级重大科研项目“对第三人到期债权执行程序的立法研究”（2021XZNDZD-01），主持人毋爱斌。作者简

5、介毋爱斌（1983-），男，河南焦作人，西南政法大学人民法庭研究中心教授、博士生导师，主要研究方向为民事诉讼法学。111理论探索 2023年第5期（总第263期）法治建设生态环境和资源保护领域的案件、食品药品安全领域的案件已然实行惩罚性赔偿，支持者即使认为个人信息公益诉讼可以适用惩罚性赔偿，也并未围绕个人信息的独特品质对个人信息公益惩罚性赔偿进行理论证成。个人信息公益诉讼能否适用惩罚性赔偿，不能简单地以其他领域的公益诉讼作为制度依据，而应结合个人信息保护的现实需要进行分析。（一）补偿性赔偿难以实现对个人信息的预防性保护从个人信息的权益属性和特征来看，个人信息不仅涉及个人利益，而且关涉他人和整

6、个社会的利益，因而个人信息本质上是具有公共性的，客观上无法为个人单独支配，其并非是一项由个人享有的绝对性权利1，2。虽然个人信息的公共属性能够推动信息流动，促进信息利用和发展，但这也导致个人信息处理对个人利益的侵害事前不易防范、事中无法制止、事后难以查找1，3。即使是在大规模侵害个人信息的活动中，权利人遭受的损害也具有不确定性和不可预期性。所谓损害不确定，是指损害大小、损害内容、损害何时发生不确定，个人信息权益人既有可能只是受到微小的损害，也可能遭受巨额财产损失或严重精神伤害；损害不可预期强调的是个人信息权益人在主动或被动交出信息后，对于个人信息处理者对个人信息的使用、传输、买卖、提供、公开、

7、修改等处理活动可能造成的损害无法预期4。因此，与名誉权、隐私权等传统民事权利侧重事后救济性保护不同，个人信息更加强调预防性保护，关注将来可能遭受破坏的法秩序5，6。个人信息公益诉讼虽因个人信息处理者侵害众多个人的权益而启动，但也同样需要避免不法行为再次发生。个人信息公益诉讼的最优策略应是“通过公益诉讼产生的法律责任震慑违法行为人及其他潜在的违法者”7，“国家不能仅仅停留在对侵犯个人信息的事后救济，在出现社会难以容忍的风险时即可采取预防治理措施”5。个人信息公益诉讼一方面旨在补偿受损信息主体，另一方面对未来不遵守个人信息保护法律的行为加以警示或引导，并对于违法的个人信息处理者施加惩罚8。然而在

8、个人信息保护法第69条确定的补偿性损害赔偿追责机制下，即使是在个人信息公益诉讼当中也难言威慑、遏制同一或不同个人信息处理者再次实施相同或相似的违法行为。补偿性赔偿对于提高侵犯个人信息违法犯罪成本的作用并不明朗，很难实现对个人信息的预防性保护。这是因为对个人信息权益人施加的损害赔偿仅仅是一种补偿性赔偿，主要在于填补个人信息权益人实际遭受的损害，“使其权益恢复到没有受到损害之前的样貌”9。但在不特定主体的个人信息权益遭受侵害时，个人信息受侵害的主体却往往呈现出规模性，单个主体受到的损害相较于个人信息处理者所获整体利益实际微乎其微10。因此，在个人信息处理者付出的违法成本与获得的利益当中，个人信息

9、权益人获得的损害赔偿大多低于个人信息处理者从个人信息中所获取的利益，个人信息处理者往往只需要付出较低的违法成本就能够获得高额收益。甚至有观点认为，个人信息公益诉讼中的损害赔偿仅仅是对起诉主体提起公益诉讼的合理支出费用的赔偿，包括律师费、交通费等11。低廉违法成本与可观收益的不对称更会“激励”网络运营者等个人信息处理者铤而走险采取非法手段，甚至不惜事后赔偿、不遗余力地去收集使用众多个人信息权益人的信息权益7。单纯的补偿性赔偿所施加的经济制裁基本不足以威慑遏制个人信息处理者，无法担负起震慑个人信息处理者的重任，其功能仅在于填补损害，而不具有“吓阻”与“设立典范”的功能12。实证研究表明，在大多数案

10、件中，补偿性赔偿虽然能够从物质层面对社会公共利益进行修复，但由于赔偿金额与可能造成的潜在危害之间不对等，远远达不到填补损害、释放威慑信号的效果13。具有震慑潜在违法行为人的损害赔偿责任实际是惩罚性赔偿。所谓惩罚性赔偿，指的是法院所作出的赔偿数额超出实际损害数额的赔偿，其功能不仅在于弥补受害人的损害，而且在于惩罚和制裁严重过错行为14。通过高额的惩罚性赔偿使违法成本和收益相对称，对违法处理个人信息的行为进行负面评价，向潜在的违法行为人展示实施不法行为的严重后果，能够威慑遏制类似不法行为的发生，从而真正防止个人信息处理者继续或重复实施相同的不法行为/违法行为，敦促个人信息处理者实施合法、正当、必要

11、的个人信息处理行为。然而，个人信息保护法并没有赋予个人信息公益诉讼原告以惩罚性赔偿请求权，欠缺惩罚性赔偿请求权的个人信息公益诉讼是无法对侵害人产生实质上的威慑力的15。事实上，在个人信息保护法生效之 112理论探索 2023年第5期（总第263期）法治建设前，最高人民检察院在2021年4月22日发布的检察机关个人信息保护公益诉讼典型案例“河北省保定市人民检察院诉李某侵害公民个人信息民事公益诉讼案”已明确个人信息公益诉讼可以适用惩罚性赔偿。该案的典型意义就在于通过惩罚性赔偿惩治和预防个人信息保护领域的损害公益行为、真正实现“让违法者痛到不敢再犯”的目的。地方各级法院亦在努力探索惩罚性赔偿

12、在个人信息公益诉讼中的适用可能。这意味着在个人信息公益诉讼中适用惩罚性赔偿是具有实践适用的现实价值的，“公益诉讼在个人信息保护工作中可以发挥预防性功能和惩罚性功能”16。总而言之，“由于大数据时代个人信息的侵害结果具有潜伏性、隐蔽性、持续性等特点，仅仅依赖于补偿性责任方式难以实现侵权法的损害预防功能”6。在个人信息的公益保护领域建立惩罚性赔偿制度能够通过其特有功能，充分救济个人信息权利人、惩罚实施严重不法行为的个人信息处理者、警示其他个人信息处理者不得实施类似行为，实现风险社会的预防治理，进而增强个人信息公益诉讼的执法效果。（二）个人信息保护的特殊性需要惩罚性赔偿个人信息实际上是个人在社会关系

13、的形成过程中产生的，它既来源于个人的自我呈现，也来源于他人的寻求信息。个人信息产生并存在于公共领域，其生成过程融入了相当多的公共因素，已经不完全是一种存在于私主体之间的法律问题13。对于个人信息处理者而言，单个信息权益人的个人信息对于其产生的价值一般较为有限，只有在汇聚和分析海量个人信息并对其加以处理和使用后方能产生较为明显的收益。基于个人信息的此种特性，很多时候都会出现个人信息处理行为对于单个信息权益人并未产生实际的人身、财产与精神损害的情况。比如，“对个人信息自决权的侵害仅仅是侵犯了公民个人对其信息的决定权、排他控制权及独占使用权，而未必会涉及现实的经济或精神损失”7。但是，由于个人信息具

14、有明显的公益属性，此时就有可能出现单个信息权益人未受财产损害，但社会公共利益最终受损的情况。个人信息处理者聚合与分析后的个人信息甚至可能严重危害公共安全和社会秩序，损害公共政策利益等17。例如在“剑桥分析”事件中，个人信息处理者就借助算法模型精准推送新闻广告，进而左右选民投票15。之所以会在个人信息的防范治理中出现这种情况，是因为个人信息权益并非绝对权，无法适用“权利被侵害即存在损害”规则18。随着信息自决权的正式确立，加上不以受害人财产状况出现差额为必要的新型损害的出现，致使传统意义上的差额损害赔偿判定方法捉襟见肘6。然而，个人信息保护法第69条明确规定，“造成损害”是承担侵害个人信息权益

15、损害赔偿责任的必备条件19。在这种情况下，针对差额损害进行补救的补偿性损害赔偿就达不到侵害防止的作用，因为公共利益的可赔偿性损害大小是很难进行具体衡量和计算的。这样一来，补偿性赔偿就无法实现威慑个人信息侵权行为的目的，个人信息公益诉讼也无法完成维护社会公共利益的执法效果。与之相对，惩罚性赔偿则是对损害社会公共利益的违法行为所规定的惩罚和制裁措施，其目的在于通过对严重不法行为的惩罚和制裁，维护社会公共利益20。也就是说，惩罚性赔偿并不完全以单个民事主体的实际损害发生为必要前提，更加侧重的是不法行为导致社会公共利益严重受损，以保障社会公共利益为己任。从这个方面看，惩罚性赔偿的公益保护功能与个人信息

16、的公益属性具有天然的适配性，二者在性质和功能价值上是高度契合的。二、个人信息公益诉讼适用惩罚性赔偿的构成要件在个人信息公益诉讼中，对惩罚性赔偿的适用可以参照知识产权（民法典第1185条）、产品缺陷（民法典第1207条）、环境侵权（民法典第1232条）惩罚性赔偿的立法精神进行确定。简言之，故意侵害个人信息权益，情节严重的，法院可以判决适用惩罚性赔偿21。具体来说，可以比照一般侵权责任的构成要件将个人信息公益惩罚性赔偿的构成要件划分为四个方面：主观上个人信息处理者具有恶意，行为上个人信息处理者实施了严重的不法行为，结果上个人信息处理者的行为导致众多个人信息权益严重受损，前述行为与结果之间具有

17、因果关系。（一）个人信息处理者恶意侵害个人信息权益个人信息处理者主观上具有恶意或者说主观上具有可非难性是适用惩罚性赔偿的前提条件。如果个人信息处理者已经尽到了可能的注意义务，但损害仍旧不可避免地发生，则不宜适用惩罚性赔偿。即便此时适用惩罚性赔偿也无法实现对个人 113理论探索 2023年第5期（总第263期）法治建设信息处理者的震慑功能，因为个人信息处理者主观上并无恶意，没有惩罚的必要。如果行为人主观上故意实施违法行为，不论对损害个人信息权益的结果持追求还是放任态度，都只有直接故意和间接故意的区别，二者都属于恶意的一种类型。如果行为人对损害个人信息权益的结果持反对态度，并且达到了一般理性人的注

18、意标准，但最终未能避免持较高注意义务才能避免发生的损失，个人信息处理者的主观状态就宜被认定为一般过失而非恶意。值得讨论的是，在轻过失和故意之间还存在一个过渡区间，也就是重大过失。重大过失和间接故意的区分十分困难，而且需要确定“恶意”本身是否包含重大过失。所谓重大过失，指的是一种行为人在认识上对行为风险、损害后果有所认知的过失，基于行为人有所认识而有避免的可能性，并因对行为风险、损害后果的认知以及避免风险与损害后果的可能性产生道德可责性的过失22。这种道德可责性正好赋予了适用惩罚性赔偿、惩罚行为人的正当性。因而个人信息公益惩罚性赔偿的主观要件除了故意之外，还包括重大过失。如果立法上将重大过失作为

19、惩罚性赔偿的主观要件，则宜在惩罚性赔偿金的确定上将具体的过错类型（故意还是重大过失）作为裁量因素。在主观要件包括故意和重大过失的前提下，个人信息保护法第 69条规定了过错推定原则。存在争议的是公益诉讼中能否适用过错推定，尤其是其能否作为推定惩罚性赔偿责任成立的主观要件。有观点认为，在公益诉讼中，对互联网平台以及涉及跨境业务的互联网处理者，需要“运用过错推定的原则，增加侵权人的违法成本与举证责任”10。需要指出的是，减轻当事人的证明负担以实现实体正义不只有过错推定一种方式。过错推定一般指的是证明责任倒置，要求侵权人证明无过错方可免责。但证明责任倒置需要法律明确规定方可成行。私益诉讼与公益诉讼中

20、，原告提出的是不同的请求，主张的是不同的请求权，私益诉讼中进行过错推定不等于在公益诉讼中亦可进行过错推定。并且，在公益诉讼中是否要采取证明责任倒置这种最为有力的减轻证明负担的方式尚存疑虑。公益诉讼原告在资金、技术、诉讼能力等方面并不明显弱于被告，没有特别必要设置特别规定保障双方武器平等。国家机关提起公益诉讼具有天然优势，完全有能力应对公益诉讼23。比如环境公益诉讼的原告基本具备专业技术知识和法律运用水平、资金力量、技术支持等优越条件，较之私益诉讼中作为原告的公民个人，环境公益诉讼主体在举证能力上并不处于劣势地位，不具有通过证明责任倒置来平衡双方当事人证明负担的必要性24。消费公益诉讼中的惩罚性

21、赔偿请求“大多由检察机关以刑事附带民事公益诉讼的形式提出”25。在司法实践中，检察机关对侵犯公民个人信息违法犯罪也多采用“一案三查”模式，打击刑事犯罪的证据可以直接用以民事公益诉讼。因此，很难认为个人信息保护的公益诉讼中双方当事人存在较为严重的举证能力不平等。同时，个人信息公益诉讼中的惩罚性赔偿仅适用于主观故意和重大过失的情形，以惩罚当事人的主观恶意。证明没有疏忽大意或过于自信的过失较为困难，因为这意味着互联网企业等个人信息处理者要证明自身的安全管理工作完善等。事实上，证明主观上有无故意更为容易，因为现实中更多的情形是企业的保护手段落后于法律要求和技术更新，导致存在安全隐患继而发生信息安全事件

22、26。也就是说，不论要求企业证明还是要求公益诉讼原告证明都不会影响当事人的实体利益，没有必要实行证明责任倒置。当然必须承认的是，虽然主观上有无故意较为容易证明，证明主观上有无重大过失则意味着要证明侵权人对行为风险、损害后果有无认知，这相对于证明有无故意更为困难。因此，有必要通过较为温和的方式减轻原告的证明负担，比如规定基于特定间接事实乃至辅助事实的存在推定具有过错或恶意。也就是说，对个人信息公益惩罚性赔偿的主观要件可以实行附条件的证明责任倒置，在证明一定间接事实或辅助事实的条件下由法律明确证明责任转换，而不是无条件的证明责任倒置。（二）个人信息处理者实施严重不法行为个人信息保护法规定个人信息

23、权益受法律保护，并在具体章节规定了个人信息处理者的职责。如果个人信息处理者违反个人信息保护法规定的信息处理行为规范，就属于实施不法行为，例如个人信息处理者侵害个人信息权益人的知情权、决定权、删除权等。问题是，如果个人信息处理者实施的信息处理行为并未违反个人信息保护 114理论探索 2023年第5期（总第263期）法治建设法的具体规范，但仍旧导致个人信息权益受损，此时能否纳入侵权行为的范畴？如果行为人并未违反具体的行为规范，但法院认为个人信息处理者的信息处理行为违反了个人信息处理的合法、正当、必要原则，此种行为是否可以适用惩罚性赔偿？在一般责任的构成上，上述问题尚有讨论余地，但惩罚性赔偿适

24、用要件中的严重不法行为则应视为违反了个人信息保护法下具体行为规范的行为。对于个人信息保护，我国民法典将之规定在总则篇第五章的具体人格权之后，因而一般将个人信息视为一种法律保护利益而不是一种独立的民事权利。民法典第110条规定了具体人格权，第111条规定了个人信息保护，但民法典第990条列举的具体人格权并没有个人信息。据此，理论上一般认为立法者有意将个人信息视作一种独立的人格利益，而不属于绝对权的人格权。因为人格权是具有可支配性的，个人信息并不具有支配性，也不具有支配的可能。因此，对个人信息的保护，应以保护人格利益的方式进行，而不宜采取泛化的处理方式。既要“为了保护个人信息权益”，

25、也要“规范个人信息处理活动，促进个人信息合理利用”。采取泛化的、人格权化的个人信息权益保护方式，与立法本意并不契合。个人信息保护应当偏向“具体规范模式，避免将个人信息理解为抽象的人权或人格权益，滥用人格权请求权”27。也就是说，如果个人信息处理行为符合个人信息保护法的具体规范，就不宜认为其侵犯了法律所要保护的个人信息权益。比如在欧盟法院的判决中，欧盟法院将个人数据处理行为拆分为“个人数据”和“数据处理行为”两部分进行处理，前者是对个人数据处理行为的内容，后者是对个人数据处理行为的过程，侵犯个人数据必然意味着处理行为不规范，不规范的行为也必然侵犯了数据隐私利益在欧盟法院的判决中，两个权利总是

26、同时被侵犯或同时未被侵犯28。与此不同的是信息处理行为违反法律原则。处理个人信息的原则由法律和其他规范文件进行直接规定，在具体规范存在空白的时候可以参酌适用法律原则进行裁判。因此，对于一般侵权责任而言，适用法律原则认定行为违法性并无不妥。但法律原则的内涵和外延具有天然的模糊性，如何准确界定并适用这一原则往往缺乏法律的直接规定。在个人信息处理的合法、正当、必要原则中，合法原则属于形式合法范畴，它指的是个人信息处理符合法律的明确规定，但正当、必要原则属于实质合法范畴，“是对信息处理目的与手段的合理性评价”29。违反合法原则属于违反法律明文规定的行为规范，足以说明行为的恶劣性，此时直接适用惩罚性赔偿

27、并无不当；但对于正当、必要原则，则不宜等同视之，因为正当、必要原则的内涵与外延并不清晰，对个人信息处理者的信息处理行为提出了较为模糊的要求。违反正当、必要原则，要求个人信息处理者改正相应行为是正当的，但行为仅违反正当、必要原则不宜在公益诉讼中适用惩罚性赔偿，否则将对个人信息处理者课以过高的注意义务。因此，惩罚性赔偿应当适用于违反行为规范的行为，而不是只要信息处理行为对个人信息权益人造成权益侵害就直接适用惩罚性赔偿责任。按照法律实施行为不应该认为造成了损害或者引起了风险，“如果从规范图式来观察，风险仅仅存在于对规范的违背之中。为了强调这一点，规范配有外部（法律的）与内部（道德的）约束力规范自身被

28、预设为无风险的结构如果其缺点被证实或优先性发生改变，规范也会被改变。但只要它仍然生效，顺着它走就没有风险”30 86-87。个人信息权益涉及多方利益和公共利益，绝对化的保护尚存疑虑，在惩罚性赔偿责任的适用上更不宜采取绝对化的理解。不能仅因信息处理行为造成权益侵害就直接适用惩罚性赔偿，而必须明确个人信息处理者的信息处理行为违反了法律规定的行为规则方可适用。这与知识产权、环境、产品领域侵权不同，后者侵犯的权利多为明确的“权利”，而非“权益”，比如产品损害人身健康，不必违反特定的行为规范即可构成侵权。但基于侵犯对象的特殊性，个人信息公益惩罚性赔偿的客观行为要件应限定在严重违反行为规范的行为，当然这并

29、不影响一般侵权责任的适用。（三）不法行为导致众多个人信息权益严重受损因果关系连接着违法行为与损害后果，如果没有因果关系，不能要求被告承担赔偿责任。惩罚性赔偿要求侵权结果必须是严重的损害，公益诉讼原告必须证明因果关系成立，而不是基于行为违法即断定存在抽象意义上的风险。因果关系证明中存在较为复杂的问题是，某一案件涉及不同的个人信息处理者，如果发生信息泄露等类似行为，数个个 115理论探索 2023年第5期（总第263期）法治建设人信息处理者都存在违法行为时，如何确定造成损害后果的行为人，是否可以根据民法典第1170条规定的“共同危险行为”主张侵权责任，值得进一步讨论31。对于惩罚性赔偿责任而言

30、，如果可以适用共同危险行为的择一因果关系或者适用特殊的推定规则，意味着多个行为人可以同时承担惩罚性赔偿责任，但事实上并非全部个人信息处理者都恶意实施了导致严重损害结果的不法行为。因此，个人信息公益性惩罚性赔偿构成要件中的因果关系有必要实行严格证明。欧盟通用数据保护条例（GDPR）第83条第2款同时从客观层面、主观层面和损害结果等方面规定了作出行政处罚的诸多参考因素。个人信息保护中的公益惩罚性赔偿可以参考这一规则的评估要素作为判断侵权行为是否严重的要素。可供考虑的要素一般包括：第一，受害人数量多少；第二，对受害人造成的损害的大小，法院应当分析受害人的经济损失、精神损害和企业违法所得；第三，侵害

31、的公共利益的严重程度；等等。立法机关可以考虑明确以受害人数量、受害程度以及侵害公共利益的严重程度三个要素作为评估损害后果的根据，但不宜由法律法规或者司法解释进行限定。例如，法院认可个人信息公益诉讼请求的前提是个人信息处理者的信息处理行为损害众多个人信息权益人的信息权益。如果信息处理行为只是侵害了个人或少数人的权益，不涉及众多个人的权益，则不能提起公益诉讼。然而，究竟什么是“众多个人”，并没有一个清晰的标准。有观点认为，对于众多个人的解释，可以参照最高人民法院关于适用中华人民共和国民事诉讼法的解释第75条的规定，一般是指十人以上32。但对公共利益的损害大小是需要综合衡量的，而不是通过简单

32、的人数相加就可以得出结论。与此类似的是，精神损害也可以折算为金钱加以赔偿，对受害人造成的损害大小可以通过金钱加以计算。然而，精神损害的大小本身就难以衡量，精神损害的赔偿与其说是填平精神上的痛苦，不如说是给予受害人精神抚慰，相对于财产保护，法律本就不适于用以对人格进行保护33 36。法律不能基于评估的受害人所受损害的总量，径行得出损害后果是否严重的结论。例如重要信息、隐私信息的泄露可能导致受害人难以正常生活或带来其他严重后果，如此带来的损害恰恰是难以充分评估的。因此，对于是否符合客观结果要件的要求，应当允许法院进行一定裁量，法院也有必要在裁判文书中进行说理，就具体案件是否符合惩罚性赔偿责任的情况

33、进行论证和说明。三、个人信息公益诉讼适用惩罚性赔偿的限制条件（一）惩罚性赔偿是对公法责任体系的补充对于一般的民事责任来说，其与刑事责任、行政责任是无法割裂的责任承担方式，同一行为损害个人权利或利益的，依法承担民事责任；违反行政规范则应承担行政责任；构成犯罪则应承担刑事责任4。因此，个人信息权益受损即应填补损害，行政责任、刑事责任是否承担或承担多少都不影响个人信息权益受损的填补大小。即使个人信息权益受损而需惩罚性赔偿，惩罚性赔偿也是以填补的损害为基数计算或者设置上下限加以规制的，其与行政责任、刑事责任并没有直接的联系。但必须承认的是，个人信息权益属于一种特殊的民事权益，“个人信息本权权益兼具

34、公法与私法双重性质”1。个人信息保护法规定的个人信息权益涉及个人、信息业者和国家三方，个人信息公益诉讼所保护的利益是个人信息的公益层面。个人信息公益诉讼中的惩罚性赔偿是因公益损害而设定的，这种惩罚性赔偿所保护的利益具有公共性。如此，惩罚性赔偿就与公法（行政法或刑法）所保护的对象有重合。在这种情况下，如果要求实施不法行为的个人信息处理者既承担惩罚性赔偿责任，也承担行政罚款、刑事罚金等公法责任，就有重复处罚之嫌。尽管我国民法典第179条规定惩罚性赔偿是一种法定的民事责任承担方式，但在民事公益诉讼领域，惩罚性赔偿的责任属性并不明确，与行政责任、刑事责任始终“暧昧不清”。惩罚性赔偿与公法意义上的

35、罚金（刑事罚金或行政罚款）极有可能存在一事再罚的情况34。司法实践中也经常出现以公法罚金抵扣公益诉讼惩罚性赔偿的情况，例如广州首例涉惩罚性损害赔偿民事公益诉讼案。在该案中，被告构成犯罪被追究刑事责任，被判处8万元罚金，在事后的消费公益诉讼中，法院认定被告须承担总价款10倍的惩罚性赔偿金120万元，但是被判处的8万元刑事罚金应在民事公益诉讼惩罚性赔偿金中抵扣，最后被判处支付惩罚性赔偿金112万元。基于这种重复追偿的风险，公诉机关（检察机 116理论探索 2023年第5期（总第263期）法治建设关）对同一行为主张罚金和惩罚性赔偿时，“两者并处的法理空间似乎并不存在，要么可能违反一事不再罚原则，要么

36、可能与罪刑相适应原则相悖”34。因此，在个人信息公益惩罚性赔偿的适用上，将其视为对公法责任的补充可能更为合理。检察机关或其他组织主张个人信息处理者承担惩罚性赔偿责任的，就应以公法责任尚未完全实现为前提。当公法责任的惩罚效果已然足够时，再追究惩罚性赔偿责任显然缺乏实益。具体而言，被告已经缴纳的刑事罚金或行政罚款可以抵扣惩罚性赔偿金，刑事罚金或行政罚款已经充分追究当事人责任的，就不宜另行要求其承担惩罚性赔偿责任。（二）惩罚性赔偿应当保持审慎谦抑个人信息保护法第1条明确指出，该法不仅要保护个人信息权益，还具有促进个人信息合理利用的目的，对个人信息的保护不是单纯限制个人信息的使用，还要“规范个人信息

37、处理活动”，从而实现个体利益和公共利益的平衡35。个人信息保护不是保护信息主体的绝对控制权，不是要禁绝个人信息的处理或使个人可以完全掌控信息处理，而是针对个人信息自动处理带来的损害风险的预防机制。同时，与一般财产不同，个人信息自决的例外本身就有很多，“自决/控制本来既不现实，也无必要个人就其信息如何处理有一定发言权，但不是最终发言权”36。在补偿性赔偿中，赔偿数额与权益受损的价值相当，行为人可能存在侥幸心理尝试逃脱责任，不会积极遵守行为规则。惩罚性赔偿与补偿性赔偿不同，其具有典型的惩罚和震慑功能。但过高的惩罚性赔偿则有可能走向反面，也就是“在侵害人对于权益估价高的情况下，也不会通过交易取得权益

38、”37。过高的惩罚性赔偿会抑制信息处理活动本身，使个人信息处理者不愿、不想处理个人信息，从而与个人信息保护法的立法目的相悖。虽然更高的惩罚性赔偿看起来有利于规范信息利用行为，但也有可能阻碍信息的正常流动，惩罚性赔偿可以提高也可以损害资源的配置效率。从惩罚性赔偿的实践来看，既有妨碍经济发展、刺激诉讼活动的效果14，也有阻碍信息合理利用的风险。惩罚性赔偿的实质是利用私法机制实现公法上惩罚目的的惩罚38，惩罚性赔偿责任的适用需要实现公法上的惩罚目的。在消费公益诉讼中，惩罚性赔偿制度原本是用作在经营者进攻时消费者进行的自卫39。但惩罚性赔偿极具攻击性，如果责任认定标准宽松，赔偿数额巨大，不考虑对象

39、与情节，被告就会承担过于严苛的责任，不利于经济发展的同时也不利于社会整体利益。个人信息保护与消费公益诉讼存在密切关系，“经营者是消费者个人信息的直接处理者”10。因此，个人信息保护公益诉讼有必要吸取消费公益诉讼的实践经验，谨慎适用惩罚性赔偿。一言以蔽之，适用惩罚性赔偿应当慎重、保持克制，或者说应当保持谦抑性，对惩罚性赔偿责任的适用要受到限缩和抑制。这一观念在刑法等公法领域较为常见。刑法谦抑性指的是“立法者应当力求以最小的支出少用甚至不用刑罚而用其他刑罚替代措施，获取最大的社会效益”40。对刑法而言，其最大的收益是预防和控制犯罪。对个人信息保护来说，应当是规范个人信息处理的行为，避免类似行为再犯

40、。换言之，在实现规范个人信息处理目的的前提下，对于惩罚性赔偿应当谨慎适用，能不用则不用，能少用则少用，在最小化社会成本的同时最大化社会收益，提高社会效益。个人信息公益惩罚性赔偿要通过惩罚促进个人信息的合理利用，就要使责任与行为相当。如果不加限制地适用惩罚性赔偿，就有可能导致惩罚性赔偿适用泛化，导致行为人实施不必要的防范措施，造成资源浪费，甚至存在放任损害发生的社会风险。四、个人信息公益诉讼惩罚性赔偿金的确定与使用（一）惩罚性赔偿金的确定惩罚性赔偿金的计算方式一般包括法定计算和裁量性计算两种。前者如消费者权益保护法第55条第1款、食品安全法第148条第2款以特定基数乘以特定倍率的方式确定具体

41、惩罚金额，后者则是在无法证明特定基数为多少的情况下，由法官综合案件情况酌情计算惩罚性赔偿金。个人信息保护法第69条第2款规定：“前款规定的损害赔偿责任按照个人因此受到的损失或者个人信息处理者因此获得的利益确定；个人因此受到的损失和个人信息处理者因此获得的利益难以确定的，根据实际情况确定赔偿数额。”虽然这是对补偿性损害赔偿责任的规定，但“惩罚性赔偿是以补偿性赔偿的存在为前提的，只有符合补偿性赔偿的构成要件，才能请求惩罚性赔偿”14。因此，个人信息公益惩罚性赔偿金的确定也应当采取以损失或利益为 117理论探索 2023年第5期（总第263期）法治建设先，次之用自由裁量的计算方式。司法实践中，虽然

42、多数法院是在刑事附带民事公益诉讼中对个人信息的损害赔偿数额进行确定，但在损害赔偿金的计算上仍然以“损失和获利”作为损害赔偿数额的特定基数，只有在“损失和获利”难以证明时，法官才会根据案件情况酌情裁量赔偿数额。公益诉讼是对被告行为整体的“可非难性”进行评价，进而与私益诉讼区别开来。因此，在对被告行为进行整体评价时，公益诉讼毋庸过多关注单个权利人所受损害。原因在于，如果以单个权利人所受损害确定最终的损害赔偿数额，公益诉讼原告就不得不向每一权利人进行调查和询问，这不仅与公益诉讼涉及的是不特定主体的权益相悖，无法完成权利损害的准确总和，更有可能导致公益诉讼陷入显著的迟延状态，无法及时实现维护社会公共利

43、益的目的。据此，在对个人信息公益惩罚性赔偿金额的确定上，宜使用整体估算方法对个人信息处理者违法行为的“可非难性”进行衡量。一般来讲，行为“可非难性”的评价因素包括过错程度、财产状况和获利情况41。“过错程度”主要表现在被告将所掌握的个人信息用于何处，以及交易对象将这些个人信息用于何处，若其行为结果严重影响个人信息权益人的信息权益（如某一群体权利人经常收到推销信息、电话），则宜对行为人加重惩罚。“财产状况”主要体现在行为人的责任财产上，若法官确定的赔偿金额明显会导致行为人“资不抵债”，难以在强制执行程序中实现赔偿金的收缴，由此将使惩罚性赔偿难以发挥其本有的“吓阻”功能。“获利情况”宜指经过开庭审

44、理无法查明具体的数额，只能根据诉讼资料大体得知个人信息出售的范围、数量（批次）等，否则即应适用“特定基数乘以特定倍率”的计算方式。普通法上，已有法律对惩罚性赔偿实行最高额限制。惩罚性赔偿的目的与功能在于促使行为人及其他主体将来不再作出类似行为，而非于一案中判决过高数额使行为人濒临“破产”。虽然也有论者对最高限额持怀疑态度，认为由于不法行为的可预测性，被告将自甘风险、攫取相关利润，进而挫败惩罚性赔偿的“吓阻”效力42。然而这种观点忽视了执行程序能否现实地促进债权实现的问题，无上限地赋予法官裁量空间对于权利实现并无实益。一项公益诉讼给付判决也不旨在使个人信息处理者彻底退出市场，惩罚性赔偿主要的功能

45、价值还是在填补权利人所受损害的基础上，震慑相关行为人以避免再次实施相同或相似的违法行为，因此，惩罚性赔偿的适用需要保持谦抑性。（二）惩罚性赔偿金的使用赔偿金究竟由何种主体管理使用，目前并未形成统一见解。实务中有的将赔偿金支付至国库，有的将赔偿金交由公益诉讼起诉人代管，专用于个人信息或信息安全等公益事项。多数观点认为应设立基金会，由该基金会管理使用惩罚性赔偿金，实务中则有法院将惩罚性赔偿金直接上缴国库的做法。在生态环境保护领域，生态环境损害赔偿金管理办法（试行）第6条第2款将生态环境损害赔偿金作为政府非税收入，实行国库集中管理。由于受害人并非都集中于某一地区，逐一发放赔偿金可能会产生困难，因而实

46、践中很多法院都选择直接将惩罚性赔偿金上缴国库，但这种做法的合理性值得讨论。事实上，公益诉讼原告只是享有形式上的惩罚性赔偿请求权，由其收缴赔偿金后不向单个权利人分配将超出法律授权的范围。退一步而言，即便采取上缴国库的做法，也应先向个体权利人发放相应款项，具体流程应为：代管机构公示公示期内权利人可登记在册公示结束发放款项。然而依照生态环境损害赔偿金管理办法（试行）的精神，惩罚性赔偿金主要用于专项工作，对于向个人救济性的资金分配程序则缺乏规定。因此，归入国库的模式在实践中可能难以产生实益。此外，还有的法院直接将赔偿金认定为无主财产后上缴国库，这种做法则有超越原告诉讼请求，违反“不告不理”原则的风险

47、43。设立基金会管理惩罚性赔偿金的具体路径可以分为两种，第一种是权利人认领赔偿金并由基金会管理余额，第二种路径是直接由基金会支配惩罚性赔偿金。第一种路径的基础在于，公益诉讼原告不能将赔偿金归为己有，也不能上缴国库。因为惩罚性赔偿请求权专属于权利人，公益诉讼原告只享有形式性惩罚性赔偿请求权即诉讼实施权，而不是真正的实体权利归属主体43。实质权利人应当有权认领惩罚性赔偿金，未认领部分则可以通过公益信托方式由基金会进行管理。第二种路径的依据在于，公益诉讼惩罚性赔偿金的权利并不是源自个人的惩罚性赔偿请求权，不是个体权利的简单相加，而是一种独立的惩罚性赔偿请求权。因此，权利人不能支取惩罚性赔偿金。权利人

48、只能在被告 118理论探索 2023年第5期（总第263期）法治建设没有责任财产承担补偿性赔偿责任时，才可以支取相应金额44。在个体惩罚性赔偿金的分配上，普通法系已有设立基金会分享数额的例证。不过在个体诉讼中，基金会模式将面临这种质疑，即立论基础建立在原告损害填补与分配的概念上。惩罚性赔偿金的制度目的是对公共利益的维系，并非仅考虑原告如何分配损害赔偿金额的问题42。但在公益诉讼中有所不同。首先，通过惩罚性赔偿金数额的确定实现对被告的震慑，形成公共效应；其次，设立基金会分配赔偿金亦能激励私主体主动维权，间接促使个体权利人参与到法律的“执行”中来；最后，基金会对惩罚性赔偿金进行管理、使用更具有中立

49、性，也可以推动公益事业的良性发展。因此，个人信息公益惩罚性赔偿金的管理使用可以实行路径一的做法。第一，惩罚性赔偿实行法定原则。无论对个人信息保护法第69条、第70条作何解释，都不能得出公益诉讼原告享有实体上的惩罚性赔偿请求权的结论；从第69条来看，也无法得出个人享有惩罚性赔偿请求权。但从第69条和第70条之间的衔接来看，不赋予相关主体形式上的惩罚性赔偿请求权，将极大贬损第70条的公益维护功能。举重以明轻，个人也应当享有实体上和形式上的惩罚性赔偿请求权。是故，公益诉讼原告仅享有形式上的惩罚性赔偿请求权，其自不得直接支配相关赔偿金，而宜交由基金会代管。第二，未支取赔偿金的权利人视为放弃权利，相

50、关资金可用于公益事业发展。为确保赔偿金分配的公开性、透明性，公示登记支取流程不可或缺。若在公示期内权利人并未登记，则应视为放弃权利，应由其承担自我责任，但其能说明原因的可于事后申请补领。经认领后尚余资金则可以由基金会采取专项管理的方式，专用于个人信息公益事业的发展，例如，在尚不构成公益诉讼时可拨用款项资助相关个人提起侵权之诉，为其提供法律上的援助等。注释：支持意见，参见许身健、张涛：个人信息保护检察公益诉讼的法理基础与制度完善，法学论坛 2023年第1期；蒋都都、杨解君：大数据时代的信息公益诉讼探讨以公众的个人信息保护为聚焦，广西社会科学 2019年第5期；王炜、张源：个人信息保护公益诉讼的法

展开阅读全文