1、信息安全研究第10 卷第2 期2 0 2 4年2 月Journalot information Security ResearchVol.10No.2Feb.2024DOl:10.12379/j.issn.2096-1057.2024.02.13个人信息侵权中损害认定标准研究王大志(杭州师范大学沈钧儒法学院()Research on the Standard for Damages Assessment in PersonalInformation InfringementWang Dazhi and Zhang Ting(Shen Junru Law School of Hangzhou N
2、ormal University,Hangzhou 311121)Abstract With the development of digital technology and the acceleration of the process of bigdata,the dissemination channels and modes of personal information have become more and morecomplex,and infringement of personal information is frequent,which seriously affec
3、ts thelegitimate rights and interests of personal information subjects.An empirical analysis of therelevant case database in the past three years has revealed that,due to the nature of personalinformation,there are difficulties in determining the damage in personal information infringementcases,and
4、difficulties in proving the infringed persons case.The introduction of risk damage intothe field of tort liability law,the adoption of dynamic standards for the determination of damage topersonal information infringement,the lowering of the threshold for the determination of damageto personal inform
5、ation under certain standards,the improvement of the personal informationinfringement law protection system,the determination of a reasonable scope of compensable riskdamage to personal information,so that the legitimate rights and interests of personal informationof information subjects are duly pr
6、otected.Keywordss personal information;tort liability;determination of damage;risk-based damage;social risks摘要随着数字技术的发展与大数据进程的加快,个人信息的传播途径和模式愈加复杂,个人信息侵权行为频发,严重影响个人信息主体的合法权益.通过对相关案例数据库过去3年已生效的以个人信息纠纷为案由的裁判文书进行实证分析发现,因个人信息的特性,个人信息侵权案件中存在损害认定困难、被侵权人举证困难等问题.将风险损害引入侵权责任法领域,采取损害认定动态标准对个人信息侵权损害进行认定,在一定标准下降
7、低个人信息损害认定门槛,完善个人信息侵权法保障体系,确定合理的个人信息风险损害的可赔范围,使信息主体的个人信息合法权益得到应有的保护。关键词个人信息;侵权责任;损害认定;风险性损害;社会风险中图法分类号TP309.2;D 92 2.16收稿日期:2 0 2 3-0 2-2 6引用格式:王大志,张挺.个人信息侵权中损害认定标准研究.信息安全研究,2 0 2 4,10(2):18 4-18 9184张挺杭州311121)学术论文.ResearchPapers在数字化转型时代,随着个人信息价值的不断提高,个人信息的安全风险也与日俱增 1,个人信息逐渐以数字化的形式呈现,个人信息保护也面临新的风险与挑
8、战 2 .在此背景下,个人信息侵权行为会造成更大的个人信息安全风险.在我国现行侵权法的赔偿模式下,个人信息泄露造成的损害难以科学量化,并难以得到完全弥补,即使个人信息主体的损害赔偿请求得到法院的支持,但因个人信息泄露所造成的个人信息高风险状态也无法恢复至原态.鉴于此,对如何将个人信息风险纳入我国侵权法保护体系以及对个人信息风险损害进行识别进行讨论具有必要性.传统语境下的损害以“确定性”为基础.然而,个人信息泄露所造成的损害风险具有复杂性、难预测性、潜在性.在司法实践中若不能正确认识损害“确定性”之本质,则不能有效保护信息主体的个人信息权益.故如何将个人信息风险损害引入我国的侵权损害评价体系,需
9、要合理利用法律解释的方法加以讨论。1个人信息风险作为损害的困境及转向本文收集了聚法案例网中2 0 2 1 年1 月至2023年1 2 月生效的以个人信息保护纠纷为案由的民事判决文书1 55份,并对其进行实证分析.其中:2 0 2 1 年的案件共6 4 件,占比4 1.2 9%;2 0 2 2 年的案件共7 3 件,占比4 7.1%;2 0 2 3 年共1 8 件,占比1 1.6 1%.进一步对1 55个案件进行筛选,其中有1个案件庭前达成和解,故得到1 54 份有效的民事判决书.从程序来看:一审案件1 1 4 件,占比7 4.0 3%;二审案件4 0 件,占比2 5.9 7%.1.1判决结果一
10、审裁判中,被法院驳回诉讼请求的案件共89件,占比7 8.0 7%,法院判决全部或部分支持当事人诉讼请求的共2 1 件,占比1 8.4 2%,撤销的共4件,占比3.51%.二审裁判中,法院判决驳回上诉,维持原判决的共2 9 件,占比7 2.5%;判决撤销其裁判结果的共6 件,占比1 7.5%;法院变更一审裁判结果改判或部分改判的共5件,占比1 2.5%.1.2个人信息损害认定情况本文通过对该1 54 件案件判决中的具体损害认定情况进行统计分析,得出以下结论:1)精神损害认定困难。“精神损害是指受害人在人格权或者其他权利受到侵害后,所遭受的精神、生理痛苦以及其他负面情绪 3 1 以当事人是否提出精
11、神损害赔偿请求来划分:1 54 个样本案件中,共有7 7 件案件涉及精神损害赔偿,占比50%.以当事人是否获得精神损害赔偿为划分标准:7 7 件案件中,获得法院支持或部分支持的共1 2 件,占比1 5.58%,法院不予支持的共6 5件,占比8 4.4 2%.通过分析未获得精神损害赔偿的原因可以发现,在6 5件精神损害未得到支持的案件中,法院认为其精神损害未达到严重性标准的共1 6 件,占比2 4.6 1%;认为其证据不足以证明其精神受到损害的共3 9 件,占比6 0%;认为被告行为不构成侵权的有8 件,占比1 2.3 1%;认为原告对所受精神损害与有过失的1 件,占比1.54%;认为实际损害未
12、产生的1 件,占比1.54%.2)财产损害认定困难。以当事人是否提起财产损害赔偿为划分标准:1 54 件个人信息纠纷案件中,当事人提起财产损害赔偿诉讼请求的共6 3 件,占比4 1%.以当事人提起的财产损害是否得到法院支持为划分标准:6 3 件案件中,当事人的财产损害赔偿诉讼请求得到法院支持的共2 4 件,占比3 8.1%.财产诉讼请求未得到法院支持的共3 9 件,占比6 1.9%.通过分析未获得财产损害赔偿支持的原因可以发现:在3 9 件财产损害未得到支持的案件中,因证据不足,原告无法承担证明的共3 0 件,占比76.93%.法院认为原告财产损害与被告侵权行为之间无因果关系的1 件,占比2.
13、56%.法院认为损害后果未发生,不予支持财产损害赔偿请求的1 件,占比2.56%.法院认为被告行为不构成侵权或其信息处理行为不构成侵权或未超过合理限度的共6件,占比1 5.3 9%.法院认为原告与被告之间未约定损害赔偿事项不支持原告损害赔偿请求的1 件,占比2.56%.1.3#损害赔偿认定困难的原因通过实证分析得知,法院在对个人信息侵权损害赔偿作出支持与否的判决时,首先考虑的是个人信息主体是否遭受实际损害.在损害后果未发生的情况下,法院则以损害仍未发生为理由驳回原告损害赔偿的诉讼请求 4 .即便法院肯定个人信网址http:/1185信息安全研究第1 0 卷第2 期2 0 2 4 年2 月Jou
14、rnalot Informatien Security ResearchVol.10No.2Feb.2024息泄露后会对被侵权人的人格尊严、财产安全产生损害风险,被侵权人也难以提供相应的证据证明其损害.在精神损害方面,证据不足亦是阻碍被侵权人权利救济的主要成因,原告提出证据无法证明损害客观存在,法院难以支持其诉讼请求.另外,不满足“严重性”之标准也是被侵权人精神损害未得到支持的阻碍之一,下文将对造成此类司法现状的成因进行分析.1.3.1个人信息损害的特性司法实务中个人信息纠纷案件会产生损害认定困难的原因之一是个人信息损害具有潜在性、难预测性、复杂性 5,3 个特征呈递进关系互为因果.个人信息风
15、险损害的潜在性是指其风险损害本身难以被信息主体所察觉.难预测性则体现在风险损害所产生的后果在何时发生、以何种形式发生,以及其后果的严重程度难以进行科学量化.若受害人以权利损害的未来风险为由提出损害赔偿请求,通常情况下难以得到法院支持.因其潜在性,个人信息损害具有难预测性,损害的潜在性与其后果的难预测性也决定了个人信息案件中损害认定的复杂性,因个人信息损害的潜在性与其损害后果的难预测性决定了对个人信息损害的认定是一个复杂的过程.因此,我国法院在司法实践中对个人信息风险损害大多持否定态度.1.3.2#损害确定性之栓楷1)损害概念未明确.损害作为风险损害的上位概念,极少有法典对其定义作出明确解释.司
16、法实践中,我国以具体分散的法定损害项目作为损害额的裁判标准,即法院在判断侵权案件的损害赔偿时只需要参照民法典中具体的责任类型作出相应的评价6 .这种损害评价体系虽然在司法实践中具有便利性,但是对于尚未被类型化的损害就会产生适用不能和损害难以认定等问题.中华人民共和国个人信息保护法(以下简称个人信息保护法第6 9 条将损失作为个人信息侵权的前提,故在要解决个人信息风险构成损害这一问题时,仍需要对损害概念之构成进行解释.2)个人信息风险损害与损害确定性之间的矛盾.传统损害理论视角下,损害应当具有客观真实性与确定性,而风险损害作为一种无形的、潜在的损害,难以通过财产差额等形式表现出来,个人信息泄露后
17、、下游损害发生之前,信息主体往往无法1861认知到信息泄露的事实,对个人信息的泄露范围及影响也处于未知状态,风险损害也因此遭到了诸如是信息主体臆想的、虚构的等声音质疑.信息主体在向法院提起诉讼时,法院往往以证据不足、损害尚未确定等原因驳回其诉讼请求.因此,如何调节个人信息风险损害与损害确定性之间的矛盾,理解损害确定性之内涵是下文将要探讨的一个重要问题.1.3.3严苛的精神损害标准主张精神损害赔偿应当具备事实和后果2 个构成要件.在个人信息纠纷案件中,原告往往很难证明自己遭受精神损害,更难以证明造成严重精神损害.司法实践中,证明“严重精神损害”需要证明有严重后果的产生.而在个人信息权益侵权案件中
18、,被侵权人的精神损害通常表现为精神上的焦虑、担心、害怕、恐惧等,或者由于骚扰电话等造成生活上的不便,往往达不到“严重后果”的程度,很难被法院认定为精神损害的子类型7,无法满足“严重精神损害”的构成要件,因此,以中华人民共和国民法典(以下简称民法典)第1 1 8 3 条为请求权基础主张精神损害赔偿在司法实践中诉求很难被满足。2个人信息风险损害之论争及基础2.1否定说否定说认为,损害必须具有“确定性”,损害未发生则不能产生损害赔偿责任,即赔偿责任只有在个人信息遭到非法利用、实际损害已经发生时才会产生,具有个人信息侵权所产生的未来风险并不具有“确定性”,故不能被认定为损害 8 .2.2肯定说肯定说认
19、为,损害是否已经发生不能作为判断损害确定性的唯一标准,在大数据时代背景下,应当将满足一定条件的风险认定为损害,此观点的核心内容为“实际性风险”说,即只有未来损害必将发生或者具有可能发生的高度盖然性时,才能构成损害。2.3折中说折中说认为,个人信息风险本身就产生了一些实际性的损害,比如,个人信息主体因为个人信息泄露所产生的精神焦虑以及为了预防风险而产学术论文.ResearchPapers生的支出等.对此类损害进行救济应当是无争议的 9 .但在关于能否将风险本身视为一种损害问题上,折中说态度模糊。本文赞同肯定说之观点,个人信息风险损害作为一种尚未发生的损害,具有作为损害之合理性.司法实践中应当有条
20、件地对个人信息风险损害进行认定,结合具体情况降低个人信息侵权案件的损害确定性标准,从而更好地发挥司法对个人信息合法权益的保护作用。2.4个人信息风险作为损害的合理性2.4.1理论基础利益说认为,损害是指被害人因该特定损害事故所损害之利益,该项利益是指被害人之总财产状况,于有损害事故之发生与无损害事故下所生之差额,故也被称为差额说 1 0 .差额说实质上是为损害的认定提供了一种计算方法,将损害作为一个计算数额上的大小,从而构建统一的损害概念.因差额说缺乏规范目的的法律评价,在依据差额未能确定损害的情况下,会造成不公正的后果,无法对受害人的合法权益进行合理的损害赔偿.本文认为损害的本质是指被害人受
21、法律保护的合法利益所遭受的不利益.在个人信息泄露案件中,除被害人的财产损失与精神损害之外,其所面临的风险扩大的状态也应该被评价为一种不利益,此种不利益并没有表现为特定的财产损害后果,而是某种造成损害后果或者再次发生损害的可能性.2.4.2现实基础“风险社会”理论由德国社会学家乌尔里希贝克 1 1 1(Ulrichbeck)提出.工业时代,风险常伴随着环境损害概念出现,在大数据的时代背景下,个人信息安全无疑面临着同样的问题.个人信息侵权案件中的被告多为具有专业个人信息处理技术的企业和组织,而原告作为一个具有有限理性的个人,个人信息一旦被收集便完全脱离了个人信息主体的控制.原被告双方地位和力量的悬
22、殊,导致原告在个人信息民事诉讼中处于弱势地位,很难承担个人信息损害的举证责任.传统的侵权责任体系已经难以平衡当事人之间的地位差距,有必要引人风险责任分配理论以完善侵权责任承担制度.首先,个人信息的安全风险来源于信息处理者的信息处理活动,是产生风险的根源所在.其次,相较于信息个体,信息处理者拥有更多的自愿、技术、手段来控制风险.再者,信息处理者在个人信息处理活动中获得了更多利益,甚至依靠信息处理活动来获益,理应承担更多的风险责任 1 2 .比较法上,欧盟的一般数据条例中存在很多体现风险观念的条款(第2 4 条、第3 0 条等).我国的个人信息保护立法活动已经朝着基于风险的方向进行探索与尝试.在侵
23、权责任法方面亦应该将重点从事后保护转移到事前保护上。2.4.3矛盾化解:损害确定性理论之突破风险损害实质上是一种未来损害.未来损害(futuredamages)这一概念起源于英美法系,首次使用于美国科罗拉多州法院Brafford诉Susque-hanna公司一案 1 3 中.该案法院支持了原告“未来患癌风险”的损害赔偿诉求,在一定程度上突破了损害确定性理论。在个人信息侵权案件中,关于损害确定性标准的学说大致可以分成以下 4 种:其一,传统的主流学说认为损害必须已经发生,损害必须是真实存在的,不能是主观臆想的、虚构的、尚未发生的现象,未发生的损害事实不具有可赔偿性.其二,损害发生的必然性说认为,
24、损害同像实际损害一样未来必然发生的损害才具有确定性,可以获得法律上的救济,该学说在2 0 2 2 年最高人民法院关于审理人身损害赔偿案件适用法律若干问题的解释第1 9 条第2 款中被采用,在人身损害医疗费用赔偿方面,我国最高人民法院司法解释采用“必然性”之标准对“未来损害”进行认定.其三,损害发生的高度盖然性说认为,损害之发生应具有高度可能性,最高人民法院关于适用中华人民共和国民事诉讼法 的解释第1 0 8 条第1 款便是典型代表.比较法上,德国、奥地利、法国、希腊、比利时等很多国家都采纳了“高度盖然性”标准 1 4 .其四,损害发生的可能性说认为,损害无须是确定的,只要有损害的可能性就应当得
25、到赔偿.2.5出路及转向:损害确定性标准动态评价体系在个人信息风险是否能作为损害这个问题上,应当结合不同案件类型和严重程度进行动态分析.个人信息侵权案件与传统损害类型相比,对其损害确定性不能作传统上已发生的判断,将部分具有实际性条件的个人信息风险认定为损害,符合我国的司法现状,也有利于大数据背景下的个人信息保护观念的转变,为此本文认为应当建网址http:/ 1 187信息安全研究第1 0 卷第2 期2 0 2 4 年2 月Journalot Informatien Security ResearchVol.10No.2Feb.2024立个人信息损害认定的动态评价标准,附条件地将个人风险损害纳人
26、到损害认定体系之中。3个人信息损害认定的动态评价标准3.1个人信息的类型个人信息侵权案件中,被侵害的个人信息类型是判断个人信息处理者责任的首要标准.个人信息的私密程度越深,其损害就越容易得到认定.首先,对涉及隐私的个人信息可以直接适用隐私权的保护进路进行救济.其次,我国个人信息保护法将一般个人信息与敏感个人信息进行了分类保护.就一般个人信息而言,其私密程度不高,通常这些信息的泄露产生的风险不大,所以对于侵害一般个人信息的行为其损害确定性标准不能随意降低,应当继续适用损害已经实际发生的标准.就敏感个人信息而言,其一旦遭到泄露或者非法使用,便容易导致自然人的人格尊严和财产安全受到严重侵害,故应适当
27、放宽其损害认定门槛,3.2信息处理者处理个人信息的主观目的、处理方式个人信息保护法设专章规定了个人信息处理者的义务.根据个人信息保护法第51 条的规定,个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等,采取措施确保个人信息处理活动符合法律、行政法规的规定,并防止未经授权的访问以及个人信息泄露、篡改、丢失.在处理目的与处理方式层面:信息处理者在收集个人信息时要通过合法程序,取得信息主体同意,在处理和利用个人信息的过程中要出于正当目的,且采取必要的信息安全保障措施.若信息处理者未采取合理措施保障个人信息安全,导致个人信息泄露的风险增大,法
28、院在进行损害认定时可以结合其具体过错程度确定其应当承担的侵权责任大小。3.3损害评价要素多元化损害评价应当考虑以下要素:其一,影响范围.侵害个人信息所造成的影响范围越广,损害就越容易得到法院的认定 1 5.例如,在网络个人信息侵权案件中,其个人信息在网络中的浏览量和转发量都是个人信息侵权行为的直接评价标准.浏览量转发量越高意味着其个人信1881息泄露的范围愈广,对信息主体所产生的影响也就越大其二,侵权行为次数.侵权行为次数越多,持续时间越长,对信息主体所造成的后果就越严重,对信息主体造成损害的可能性也就越大,其风险程度也就越高.其三,就个人信息主体而言,其身份(职业)的私密程度及特殊性等信息的
29、泄露也会影响其损害程度.在个人信息侵权案件中,应当不限于以上3 种标准综合对个人信息损害进行评价,不能将其割裂,作出单一的判断.我国首例儿童个人信息、网络安全保护民事公益诉讼1 6 体现了这种方法,杭州互联网法院综合侵权行为所侵害的个人信息类型、收集个人信息的方式与目的、是否采取了合理的个人信息安全保障措施等方面作出了损害认定.4个人信息可赔风险的范围具有可赔偿性的损害应当符合2 个条件:一是能够通过侵权人承担赔偿责任得到赔偿;二是基于法律价值上的考量,该损害应当由侵权人承担 1 7.确定个人信息风险损害应当按照寻求利益差额的方法将其具体化。4.1个人信息风险损害本身个人信息权益作为一种独立的
30、人格权益不仅承载着权利主体的精神利益,还承载着财产利益 1 8 .当个人信息权益受侵害时,其本身的财产价值可能发生减损因而产生财产损失,这种财产损失是因个人信息权益作为一种人身权益被侵害而导致的,有别于财产权益直接受损而导致的财产损失.这种损失表现为一种潜在财产价值的丧失,但在目前的司法实践中难以对其进行科学量化,故在个人信息侵权案件损害评价中常常被忽略.4.2信息主体为预防风险所产生的支出信息主体为避免二次损害所采取一系列预防措施,为此所花费的金钱、时间、精力等支出,可视为一种特殊类型的损害.信息主体为预防风险所产生的支出主要表现为:为预防个人信息风险上诉的差旅费、律师代理费;为取证而产生的
31、鉴定费用等最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定学术论文.ResearchPapers第1 2 条第1 款对合理费用的范围作出了规定.本文认为此类损害可以得到法院的支持.4.3风险所引发的精神损害个人信息保护法没有规定侵害个人信息权益的精神损害赔偿.有学者认为,个人信息保护法第6 9 条第2 款使用的是“损失”一词,既包括了财产损失又包括精神损失 1 9,故为确保个人信息处理行为不逾越人格尊严底线,应当通过上述的个人信息损害动态评价标准,对信息主体的焦虑状态进行综合判断.比如,在敏感个人信息受到侵害时,可以适当降低民法典第1 1 8 3 条“严重性”之标
32、准,5结语个人信息安全风险的升高势必会导致个人信息交换流通秩序的混乱,将风险性损害纳人个人信息侵权损害赔偿评价体系之中已是大势所趋.传统侵权法视野下的损害与风险损害固然有一定距离,通过对损害概念的扩张解释以及损害确定性理论发展脉络的厘清,个人信息风险性损害具有纳人我国侵权法保护领域的理论基础及现实基础。在司法实践层面,通过损害认定的动态评价体系,结合个人信息的类型以及其他方面因素可以对个人信息侵权损害进行动态评价,以解决个人信息侵权损害认定困难的问题,在此基础上适当降低个人信息案件损害认定的门槛,促进个人信息保护领域的良性发展.参考文献1李准男.数字化转型背景下个人信息利用与保护的平衡与优化
33、J.信息安全研究,2 0 2 2,8(7):7 2 6-7 3 12 江书晔。个人信息保护中知情同意规则有效实施的路径选择 J.信息安全研究,2 0 2 3,9(2):1 54-1 6 13弱张新宝,侵权法原理 MI.北京:中国人民大学出版社,2005:53-534 北大法宝.北京市第二中级人民法院(2 0 2 1)民事判决书京02民终1 1 0 6 3 号民事判决书 EB/OL.2 0 2 3-0 1-0 5.https:/ 政治与法律,2 0 2 1(1 0):2 5-3 96李昊损害概念的变迁及类型建构一一以民法典侵权责任编的编纂为视角 J.法学,2 0 1 9(2):7 2-8 27赵
34、贝贝.个人信息私法救济中的“损害赔偿”困境与应对路径 JI.财经法学,2 0 2 2,4 7(5):9 5-1 0 68程啸。论大数据时代的个人数据权利.中国社会科学,2018(3):102-1229谢鸿飞.个人信息泄露侵权责任构成中的“损害”兼论风险社会中损害的观念化.国家检察官学院学报,2021,29(5):21-3710曾世雄。损害赔偿法原理MI.北京:中国政法大学出版社,,2 0 0 1:1 2 1-1 2 111乌尔里希贝克风险社会:新的现代性之路 M.张文杰,何博闻,译.南京:译林出版社,2 0 1 8:7-712张涛。探寻个人信息保护的风险控制路径之维。法学,2022(6):57
35、-7113US District Court for the District of Colorado.Braffordversus Susquehanna Corporation EB/OL.1998 2023-01-07.https:/ M.谢鸿飞,译.北京:法律出版社,2 0 0 9:1 7 8-1 7 915张建文,时诚。个人信息的新型侵权形态及其救济 J法学杂志,2 0 2 1,4 2(4):3 9-5216北大法宝.杭州互联网法院民事判决书(2 0 2 0)浙0 1 9 2 民初10993号民事判决书 EB/OL.2 0 2 3-0 1-0 8 .h ttp s:/ M.北京:法律出版社,2 0 1 5:2 1 5-2 1 618向秦,高富平.论个人信息权益的财产属性 J.南京社会科学,2 0 2 2(2):9 2-1 0 119杨立新.侵害个人信息权益损害赔偿的规则与适用个人信息保护法第6 9 条的关键词释评J.上海政法学院学报,2 0 2 2,3 7(1):1-1 5王大志硕士研究生主要研究方向为民商法、个人信息保护法张挺博士,副教授.主要研究方向为侵权法。网址http:/1189
浙ICP备2021020529号-1 | 浙B2-20240490 
