摘 要：在個人信息侵權(quán)領(lǐng)域，極個別情況下按照差額說可以計算出受害人遭受的財產(chǎn)損害。更為普遍和常見的情形是，個人信息被他人大規(guī)模非法收集和處理，極少伴隨著身體傷害或財產(chǎn)損失。傳統(tǒng)侵權(quán)法中損害的內(nèi)涵和確定方法在個人信息侵權(quán)領(lǐng)域受到嚴重挑戰(zhàn)。可能的解決路徑是建立雙層賠償機制：在人身或財產(chǎn)損害能夠確定場合遵循完全賠償原則；在受害人所受損害與侵權(quán)人所獲利益不能確定場合時，可考慮建立法定賠償機制，但懲罰性賠償機制不宜引入。

關(guān)鍵詞：個人信息；法定賠償；補償性賠償；懲罰性賠償

中圖分類號：D913 文獻標識碼：A 文章編號：1674-5450（2024）05-0075-08

一、問題的提出

2021年8月20日，第十三屆全國人大常委會第三十次會議審議通過了《中華人民共和國個人信息保護法》（以下簡稱《個人信息保護法》），自2021年11月1日開始施行。該法的出臺對于保護個人信息權(quán)益、平衡個人信息保護與合理利用，具有重大而深遠的意義。誠如學者所言，該法的亮點與特色頗多[1]。其中，引起學術(shù)界特別關(guān)注的是該法第69條與《中華人民共和國民法典》（以下簡稱《民法典》）第1 165條相銜接，正式確立了個人信息侵權(quán)損害賠償制度。從規(guī)范內(nèi)容來看，《個人信息保護法》第69條第2款就損害賠償數(shù)額的確定，創(chuàng)立了獨具特色的兩階段模式，即原告提起個人信息侵權(quán)之訴時，可以先按照因侵害行為受到的損失（簡稱所受損失）或者處理者獲得的利益（簡稱所獲利益）計算損害賠償數(shù)額；所受損失和所獲利益難以確定時，由法官根據(jù)實際情況自由裁量，最終酌定損害賠償數(shù)額?！秱€人信息保護法》施行已近三年，兩階段計算模式在司法實務中的適用狀態(tài)如何？能否切實擔負起保護個人信息的重任？有無進一步完善的空間？目前，鮮有學者以實務運作為邏輯起點，全面系統(tǒng)評估《個人信息保護法》第69條的立法成效。有鑒于此，筆者擬從個人信息侵權(quán)訴訟特別是證明責任分配的視角，對該條予以檢討，進而提出進一步完善個人信息侵權(quán)責任規(guī)范的立法建議，以期為強化個人信息保護貢獻綿薄之力。

二、個人信息侵權(quán)損害賠償?shù)膶崉諜z視

（一）傳統(tǒng)民法上的損害概念

損害賠償是針對損害的賠償，損害后果是侵權(quán)損害賠償責任的必備要件。無損害則無賠償，是損害賠償責任的核心要義。受害人如果未遭受損害，要求加害人承擔損害賠償責任也就無從談起。但何謂損害，傳統(tǒng)大陸法系國家民法典，如《德國民法典》《瑞士民法典》《日本民法典》都未對損害的含義作出立法規(guī)定。在理論上，德國學者創(chuàng)立了損害認定的差額說，即將受害人在損害事件發(fā)生前后的財產(chǎn)狀況進行比較，若存在差額則受害人存在損害，反之則不存在損害[2]211。差額說對后世立法與理論研究影響深遠?！兜聡穹ǖ洹返?49條規(guī)定，損害賠償應回到假設引起賠償義務的情況未發(fā)生時的狀況，即對侵害發(fā)生前后的權(quán)益狀況進行對比。如果通過對比得出了負面的差額，則該差額作為損害應當?shù)玫劫r償。瑞士學術(shù)界通說也認為，損害等于現(xiàn)存財產(chǎn)狀況與未來發(fā)生侵害事件時，財產(chǎn)狀況的差額[3]48。就我國而言，《民法典》也沒有界定損害的含義。我國學術(shù)界通常認為，所謂損害是指受害人因他人的加害行為所遭受的人身或財產(chǎn)上的不利后果[4]312。民法上的損害應具有客觀性、確定性與可救濟性，主要采用德國學者提出的OUz++O6i4TptR7IoUT6qn4t3roanzKQN3HXbrcKAJlI=差額說進行計算。按照差額說，應比較沒有侵權(quán)事件發(fā)生時受害人應處的利益狀態(tài)與侵權(quán)事件發(fā)生時所處的利益狀態(tài)，二者的差額即為受害人遭受的財產(chǎn)損失[5]。

（二）所受損失賠償規(guī)則空轉(zhuǎn)

在個人信息侵權(quán)領(lǐng)域，某些情形下按照差額說確實可以計算出受害人所遭受的財產(chǎn)損害。例如，甲的銀行卡號與身份證號被乙非法竊取，乙對甲實施電信詐騙，騙取了甲銀行卡中的巨額資金。在此情形，甲在提起損害賠償之訴時，按照差額說很容易計算出自己所受的財產(chǎn)損失。又如，甲使用百度地圖行蹤信息被乙非法收集，乙循此信息跟蹤甲并將甲打傷。甲為治療支付了手術(shù)費、醫(yī)療費等合理費用。上述費用作為甲遭受的財產(chǎn)損失，按照差額說也可以較為容易證明。不過，根據(jù)日常生活經(jīng)驗，更為普遍和常見的場景是，個人信息被他人大規(guī)模非法處理、泄露，但極少伴隨著身體傷害或者財產(chǎn)受損。這是因為社會公眾普遍沒有接受過大數(shù)據(jù)技術(shù)與信息技術(shù)的教育或培訓，在數(shù)字素養(yǎng)未得到有效提升的情況下，迅疾被時代潮流裹挾進入數(shù)字社會。面對猝不及防的社會轉(zhuǎn)型，對信息技術(shù)所知甚少的單個自然人缺乏與精通信息技術(shù)的互聯(lián)網(wǎng)企業(yè)對抗的有效武器。在數(shù)字鴻溝加深背景之下，個人的主體地位被極大貶損，事實上已經(jīng)淪落為任由處理者肆意宰制的客體。與此形成鮮明反差的是處理者往往通過大數(shù)據(jù)技術(shù)和算法運作，操控個人信息處理全過程，更為清楚個人信息處理過程中存在的漏洞，也更有能力建立風險防范機制。在雙方地位差異懸殊、技術(shù)手段嚴重不對等的背景下，受害人提起個人信息侵權(quán)之訴，根據(jù)誰主張誰舉證的原則，需要舉證證明自己遭受的實際損失。按照差額說的計算方法，受害人須證明侵權(quán)事件發(fā)生前后自己的財產(chǎn)狀況變化。但通常情況下，除上述電信詐騙等少數(shù)情形外，個人信息泄露后短期內(nèi)并不會造成信息主體人身損害或者財產(chǎn)毀損，而只是為未來某個時刻引發(fā)人身或財產(chǎn)損害埋下了“不定時炸彈”。它可能在某個時刻引爆，可能在信息主體的一生中也不會引爆，還可能在信息主體死后某個時刻引爆。個人提起個人信息侵權(quán)之訴時，若個人信息泄露的損害尚未發(fā)生，受害人的財產(chǎn)狀況在侵害事件發(fā)生前后，并不會發(fā)生何種變化。按照差額說的計算方法，這意味著個人信息侵權(quán)前后，原告的財產(chǎn)變動情況為零，其主張財產(chǎn)損害賠償?shù)脑V訟請求將被法院駁回。司法實踐中的做法也印證了上述推理。在王某與騰訊公司個人信息保護糾紛一案中，二審法院認為，王某沒有提供證據(jù)證明《個人信息保護法》要求的損害存在，故對其主張騰訊公司造成其個人權(quán)益損害要求賠償?shù)脑V訟請求不予支持[6]。

為破解個人信息侵權(quán)賠償數(shù)額確定的困境，有學者將問題的癥結(jié)歸咎于差額說的缺陷，提出以規(guī)范損害說修正差額說，主張從寬解釋損害概念，認為現(xiàn)實損害固然屬于損害，但個人信息泄露后，信息主體遭受下游損害的風險增加，并且通常伴有擔憂未來會遭受欺詐的焦慮情緒，也可以視為損害（風險損害說）。在評價風險性損害時，由法官在個案中考慮各種因素進行利益衡量后確定[7]。該學說的可取之處是，注意到了大數(shù)據(jù)時代個人信息侵權(quán)損害確定的特殊性，深化了學術(shù)界對損害這一基本范疇的認識。不過，該學說亦有其不足之處。一方面，該學說對傳統(tǒng)損害概念內(nèi)涵的沖擊過大，目前僅有個別學者主張該學說，其尚未被主流學說所認可；另一方面，風險損害說面臨的最大難題，在于如何在具體案件中予以量化和厘定。風險的本質(zhì)特征是，未來損害發(fā)生與否目前難以確定，而民法上的損害概念要求確定性，故風險與傳統(tǒng)損害概念的內(nèi)涵恰恰背道而馳。即使在大數(shù)據(jù)時代為強化個人信息保護，理論上將損害概念的外延進行擴大，使之將風險包含在內(nèi)，實踐中也難以通過可操作的技術(shù)方案，將風險的實際數(shù)額予以量化，原告的訴訟請求仍然可能被駁回。質(zhì)言之，風險損害說看上去很圓滿，但對于確定當事人損害賠償數(shù)額而言，實際意義非常有限。

綜上所述，無論信息主體的社會地位，抑或其對抗武器，與處理者相比均處于嚴重不對等的局面。在此情況下，缺乏技術(shù)手段的信息主體提起個人信息侵權(quán)訴訟，舉證證明自己遭受的經(jīng)濟損失難度很大，幾乎是不可能完成的任務。行文至此，論者可能提出疑問，原告雖然不能證明自己遭受的損害，不是還可以選擇請求賠償處理者因此獲得的利益嗎？事實并非如此。

（二）所獲利益賠償規(guī)則失靈

大數(shù)據(jù)的特征之一是價值密度低。這意味著個人信息聚集形成海量數(shù)據(jù)時，才能發(fā)揮規(guī)模效應，促進數(shù)字經(jīng)濟發(fā)展。有美國學者對個人信息的價值進行了測算，得出的結(jié)論是單個普通人貢獻的個人信息價值為0.007美元，經(jīng)常出差的富人的價值為1.78美元[8]，單個的個人信息的價值實際上并不高。從我國侵犯公民個人信息罪的刑事判決來看，行為人從每條個人信息侵權(quán)中獲得的收益極其低微。李某某多次向他人出售公民個人信息共計80 000萬余條，得款7 000元，平均每條0.09元[9]；王某某出售公民個人信息9 957條，獲利193 603.93元，平均每條19.4元[10]；曾某某出售個人信息共計97 000余條，獲利共計人民幣10 000元，平均每條0.1元[11]；王某、孫某某向他人出售152 875條公民個人信息，獲利11 500元，平均每條0.075元[12]；任某某、陳某非法獲取公民信息130 000余條，并以人民幣3 250元的價格向他人出售，平均每條0.025元[13]；李某某、肖某某非法出售公民個人信息124 000余條，獲利人民幣178 922元，平均每條1.44元[14]。受害人提起民事訴訟時，往往需要支出訴訟費、律師費、保全費等合理費用。將侵權(quán)人單條個人信息侵權(quán)所獲利益與受害人支出的合理費用相比，后者顯然大于原告勝訴后可能獲得的賠償數(shù)額。在訴訟維權(quán)成本遠遠高于收益的情況下，理性的個體勢必缺乏積極維權(quán)的動力，最終不得不放棄訴訟維權(quán)，任由侵權(quán)人違法處理個人信息。

更有論者認為，為便于原告了解被告侵權(quán)獲利情況，不妨賦予原告查閱被告賬簿的權(quán)利。不過，一方面，依《個人信息保護法》第44條規(guī)定，信息主體享有知情權(quán)，包括處理個人信息前的告知、要求處理者公開處理規(guī)則、查閱復制權(quán)與規(guī)則解釋說明權(quán)等權(quán)利[15]113。從文義解釋來看，信息主體的查賬權(quán)尚不包含在知情權(quán)的范疇內(nèi)；另一方面，處理者侵害個人信息所獲利益的絕對數(shù)值或許很高，但對具體個人而言所獲得的利益卻極其低微，即使賦予原告查賬權(quán)，其所能獲得的賠償數(shù)額也極為有限?？紤]到需要支出的交通費、訴訟費、律師費等合理維權(quán)成本，對比可能的收益與必要成本支出后，理性的信息主體勢必喪失行使查賬權(quán)的動力。不僅如此，如果賦予信息主體查賬權(quán)，不排除某些不誠信的個人出于刺探企業(yè)商業(yè)秘密的動機，以行使法定權(quán)利為借口，干擾甚至侵害企業(yè)的正常經(jīng)營活動。在案多人少的司法現(xiàn)狀下，賦予信息主體查賬權(quán)可能打開個人濫訴的閘門，導致法官的辦案壓力急劇增加，不僅拖延案件的審理周期，而且倉促辦案也難以保障案件審判質(zhì)效?？梢?，賦予信息主體查賬權(quán)對于優(yōu)化原告訴訟請求并沒有實際意義，也不符合我國現(xiàn)階段的國情。

（三）法官酌定賠償無力

如前所述，個人信息侵權(quán)發(fā)生時，原告通常難以證明自己遭受的實際損失，也難以證明處理者因此獲得的利益。剩下的唯一救濟手段，是《個人信息保護法》第69條第2款后半段規(guī)定，即由法官根據(jù)實際情況確定賠償數(shù)額。不過，該規(guī)定的不足之處在于，未給法官提供參考因素，賦予法官的自由裁量權(quán)過大，可能出現(xiàn)賠償數(shù)額過高或過低的判決。由此衍生的后果是，要么不能體現(xiàn)出“罰當其罪”，對信息主體的保護力度不夠；要么“罰過其罪”，對處理者造成過大的經(jīng)濟壓力，不利于數(shù)字經(jīng)濟的發(fā)展。

綜上，《個人信息保護法》第69條第2款雖然創(chuàng)立了兩階段三小種損害賠償計算方法，但可操作性都不強，難以為受害人提供有效救濟。筆者以“《個人信息保護法》第69條”為關(guān)鍵詞，在中國裁判文書網(wǎng)檢索，顯示僅有10則案例。其中，法官援引該條支持原告損害賠償訴訟請求的判決稀少，僅有3例且賠償數(shù)額不高。在賈某某、青島遠海教育服務有限公司等個人信息保護糾紛一案中，法院判決被告賠償原告實際損失500元，精神損害撫慰金3 000元[16]。在龐某某、山東健罡項目管理有限公司個人信息保護糾紛一案中，法院判決被告賠償原告侵權(quán)損害賠償金2 000元[17]。其余案例，要么被法院駁回訴訟請求，要么依附于民事檢察公益訴訟。由此可見，第69條第2款基本上處于“休眠”狀態(tài)。盡管個人信息侵權(quán)事件在生活中很常見，但鮮見信息主體提起侵權(quán)損害賠償之訴。究其根源，在于個人信息存在于網(wǎng)絡空間中，具有無形性、隱秘性和非競爭性等特征。傳統(tǒng)差額說自19世紀德國學者蒙森創(chuàng)立以來，主要適用于物理空間、線下社會，對網(wǎng)絡空間中的侵權(quán)責任則“水土不服”，難以適應并發(fā)揮應有的作用。

為了實現(xiàn)保護個人信息權(quán)益的立法目的，有必要改弦更張，另辟蹊徑，重構(gòu)個人信息損害賠償數(shù)額確定機制。

三、個人信息侵權(quán)損害能夠確定：遵循完全賠償原則

個人信息的固有特征是可識別性，即能夠直接或與其他個人信息結(jié)合，識別出特定的信息主體。個人信息一旦被他人非法收集，可能被處理者濫用，如實施營銷、跟蹤、殺害等違法犯罪行為。該類侵權(quán)行為的特點是，侵權(quán)人首先非法收集和處理個人信息，然后實施加害行為，產(chǎn)生損害后果。非法收集和處理個人信息與線下侵權(quán)之間，是手段與目的關(guān)系，類似于刑法上的牽連犯。在損害賠償數(shù)額的量化上，以受害人遭受的實際損失為標準進行計算，侵害個人信息的損害賠償包含于人身或財產(chǎn)損害之中，不必單獨計算。例如，在電信詐騙情形，受害人的人臉信息被竊取后，不法分子利用該人臉信息通過支付寶驗證，竊取受害人100萬元，法院即可據(jù)此判決侵權(quán)人承擔100萬元的賠償責任。

需要注意的是，個人信息侵權(quán)場合，受害人遭受的精神損害也應予以賠償。這是因為，個人信息屬于人身權(quán)益的范疇。個人信息侵權(quán)事件發(fā)生后，個人遭受精神痛苦在所難免。例如，個人信息泄露后，通常信息主體都會擔憂未來某個時刻，個人信息被不法分子利用發(fā)生詐騙或隱私泄露等風險。特別是銀行卡號、身份證號等敏感信息泄露后，信息主體通常會產(chǎn)生焦慮、恐懼等不良情緒。上述不良情緒雖然客觀上難以量化和計算，但可以作為確定精神損害賠償?shù)目剂恳蛩兀煞ü俅_定精神損害撫慰金數(shù)額，從而激發(fā)信息主體維權(quán)的積極性，切實保護個人信息權(quán)益。例如，在蔡某某、山東培森人力資源開發(fā)有限責任公司等個人信息保護糾紛一案中，原告蔡某某與被告公司不存在勞動關(guān)系，被告公司在填寫單位職工社保信息時，誤寫為蔡某某的個人信息，導致蔡某某個人社保號碼被他人占用多年無法繳納社保。蔡某某起訴請求賠償15萬余元的損失。法院認為被告公司存在過錯，但蔡某某早在2007年即知道上述情形但未盡早行使權(quán)利，放任損失進一步擴大亦有過錯。法院綜合考慮雙方的過錯程度在損害發(fā)生中的原因力大小，判令被告賠償原告2萬元[18]。

四、個人信息侵權(quán)損害不能確定：引入法定賠償制度

（一）知識產(chǎn)權(quán)法定賠償制度的借鑒

法定賠償，是指不需要舉證證明而是直接按照制定法規(guī)定的數(shù)額給予的賠償。法定賠償制度主要起源于英美國家，在知識產(chǎn)權(quán)保護領(lǐng)域廣泛適用。據(jù)統(tǒng)計，目前美國、加拿大、澳大利亞、韓國和新加坡等幾十個國家，已經(jīng)在知識產(chǎn)權(quán)法中實行了這一制度[19]。例如，按照《美國法典》第17編第504條（c）規(guī)定，在終局判決做出前的任何時候，針對任何一部作品，版權(quán)所有人可以就訴訟所涉一切侵權(quán)，選擇要求判付法定損害賠償，以代替實際損害賠償和利潤，由一個侵權(quán)人單獨，或由兩個或多個侵權(quán)人連帶承擔，賠償金額不低于750美元、不超過3萬美元，由法院酌定[20]445。如果侵權(quán)人故意侵權(quán)，法定賠償金可增至每部作品15萬美元。如果侵權(quán)人能證明其沒有意識到或沒有理由相信其行為構(gòu)成版權(quán)侵權(quán)，則法院可以酌情將法定賠償金降低至每部作品200美元。美國《蘭姆法》規(guī)定，若原告選擇法定賠償，則法院有權(quán)就每類商品或服務商的每個仿冒商標判決給予100美元至20萬美元之間的賠償金。如果對仿冒商標的使用為故意侵權(quán)，則法院有權(quán)就每類商標或服務的每個商標判決給予200萬美元以下的賠償金。

就我國著作權(quán)保護而言，由于著作權(quán)的對象具有無形性，實踐中侵權(quán)人究竟給權(quán)利人造成多大損失難以準確計算[21]140，我國知識產(chǎn)權(quán)侵權(quán)損害賠償也引入了法定賠償制度①。與著作權(quán)、專利權(quán)客體的無形性相同，個人信息作為數(shù)據(jù)載體呈現(xiàn)的內(nèi)容存在于網(wǎng)絡空間，也具有無形性的特征，同樣存在著受害人所受損害與侵權(quán)人所獲利益難以計算的困境?；谙嗤挛锵嗤幚淼念惐人枷耄趥€人信息侵權(quán)領(lǐng)域，不妨也引入法定賠償制度。誠如學者所言，這種同時規(guī)定最高賠償額與最低賠償額的賠償模式，具有對法官的自由裁量權(quán)進行授權(quán)與限制的雙重屬性，有利于在合理期間內(nèi)確定妥當?shù)馁r償數(shù)額[22]。

（二）個人信息侵權(quán)法定賠償數(shù)額的確定

1.最低賠償數(shù)額的確定

從比較法看，域外已有個人信息侵權(quán)法定賠償制度的立法例子。例如，美國2018年《加州消費者隱私法案》規(guī)定，為每個消費者每次事件賠償不少于100美元且不超過750美元的損害賠償金或?qū)嶋H損害賠償金，以數(shù)額較大者為準。實際上，在《個人信息保護法》起草過程中，有學者提出借鑒域外規(guī)定，采取一個相對幅度更小的范圍確定賠償數(shù)額，如對每個受害人賠償500元至1 000元。不過，立法機關(guān)考慮到個人信息侵權(quán)往往涉及人數(shù)眾多，若作出此類規(guī)定可能對處理者造成過大賠償責任，最終沒有采納該觀點[23]。立法機關(guān)的顧慮有其道理，因為大規(guī)模侵權(quán)勢必造成大規(guī)模損害，賠償數(shù)額過高可能導致涉事企業(yè)破產(chǎn)，不利于數(shù)字經(jīng)濟的發(fā)展。但立法機構(gòu)的做法顯然不利于保護個人信息權(quán)益，從一個極端走向了另一個極端。有學者建議，可以按照每人每事件500元至1萬元的區(qū)間標準來確定，并結(jié)合責任減免規(guī)則實施[24]。該觀點的不足之處在于，一方面，設計的法定賠償幅度過大，難以與個人信息的分類以及侵權(quán)人的主觀狀態(tài)契合；另一方面，法官自由裁量空間過大，有可能誘發(fā)權(quán)力尋租，滋生司法腐敗。筆者認為，不妨區(qū)分個人信息的類型與侵權(quán)人的主觀狀態(tài)，分別確定不同的賠償數(shù)額。例如：處理者過失侵害一般個人信息的，可以按照最低每人每事件1 000元賠償；過失侵害敏感個人信息的，可以提高至最低每人每事件2 000元賠償。處理者故意侵害一般個人信息的，可以按照最低每人每事件

2 000元賠償；故意侵害敏感個人信息的，可以提高至最低每人每事件4 000元賠償。一方面，該做法貫徹了“過罰相當”，符合分配正義；另一方面，也能激勵受害人積極維權(quán)，符合矯正正義，合理平衡了雙方當事人利益，是一個相對妥適的處理方案。

2.最高賠償數(shù)額的確定

與傳統(tǒng)線下社會侵權(quán)不同，個人信息侵權(quán)通常屬于大規(guī)模侵權(quán)，受害人動輒成百上千人，個人信息泄露場合可能達到數(shù)百萬人甚至更多。例如，某醫(yī)護人員利用在婦幼保健院工作的便利，倒賣新生兒和產(chǎn)婦的個人信息8萬條，以每人最低賠償1 000元計算，侵權(quán)人共需承擔8 000萬元的賠償責任，這對于自然人處理者而言無異于“滅頂之災”。又如，某酒店1億條個人信息泄露，以每人最低賠償1 000元計算，侵權(quán)人共需賠償1 000億。損害賠償數(shù)額的確定，不僅關(guān)乎受害人的法律救濟，而且關(guān)涉網(wǎng)絡產(chǎn)業(yè)、數(shù)字經(jīng)濟的發(fā)展。處理者實施侵權(quán)行為固然需要承擔賠償責任，但過大的賠償額可能遠遠超出其賠償能力，危及侵權(quán)人的生存，甚至造成互聯(lián)網(wǎng)企業(yè)瀕臨破產(chǎn)。正是出于這一考慮，《個人信息保護法》起草過程中，立法機構(gòu)最終沒有引入法定賠償機制。為協(xié)調(diào)個人信息權(quán)益保護與數(shù)字經(jīng)濟發(fā)展之間的關(guān)系，可考慮為處理者設定最高賠償限額。在比較法上，根據(jù)美國伊利諾伊州《生物信息隱私法》的規(guī)定，被告每實施一次違法行為，需向原告支付最高1 000美元的賠償金；若被告故意侵權(quán)或魯莽為之，則需向原告支付最高5 000美元的賠償金?！独眯畔⒕W(wǎng)絡侵害人身權(quán)益司法解釋》第12條第2款規(guī)定，侵害個人人身權(quán)益造成財產(chǎn)損失，如果無法確定被侵權(quán)人因此所受財產(chǎn)損失或侵權(quán)人因此所獲利益，法院可按照具體案件情況于50萬元以內(nèi)酌定賠償額。借鑒這一規(guī)定，可區(qū)分一般信息與敏感信息侵權(quán)，分別設計最高賠償限額。具言之，處理者過失侵害一般個人信息時，最高賠償限額可以設定為50萬元；過失侵害敏感個人信息時，最高賠償限額可設定為100萬元；處理者故意侵害一般個人信息時，最高賠償限額可設定為100萬元；故意侵害敏感個人信息時，最高賠償限額可設定為200萬元。若受害人能夠舉證證明自己遭受的實際損失或侵權(quán)人所獲利益超過法定最高限額，則允許受害人選擇以所受損失或者所獲利益為準計算賠償數(shù)額，不受法定最高數(shù)額的限制。

3.法定賠償與懲罰性賠償?shù)年P(guān)系

值得注意的是，在個人信息侵權(quán)領(lǐng)域，不少學者主張引入懲罰性賠償制度，認為該制度既能夠彌補信息主體的財產(chǎn)損害，又能對個人信息侵權(quán)行為予以懲罰與遏制，有利于預防侵權(quán)行為的再次發(fā)生[25]。筆者認為，在引入法定賠償制度后，不宜再創(chuàng)設懲罰性賠償制度。一方面，懲罰性賠償是對加害人科處超過受害人所受損害額度的賠償制度，其目的在于懲罰加害人與預防將來的違法行為，具有與刑罰相同的制度目的[26]212。從刑事訴訟實踐來看，被告構(gòu)成侵犯公民個人信息罪時，法院在判處其有期徒刑的同時，往往判處數(shù)額不等的罰金。例如，金某犯侵犯公民個人信息罪，判處有期徒刑1年10個月，并處罰金11萬元[27]；汪某侵犯公民個人信息罪，判處有期徒刑3年并處罰金2萬元[28]；楊某某犯侵犯公民個人信息罪，判處有期徒刑3年，并處罰金人民幣0.5萬元[29]。上述數(shù)額的確定不是沒有根據(jù)的任性決定，而是在綜合考慮諸多因素，如加害人的主觀狀態(tài)、侵權(quán)持續(xù)的時間、獲利的數(shù)額以及損害后果等情節(jié)后，由法官自由裁量判定。上述因素在法官確定罰金數(shù)額時已經(jīng)有所考慮，本身已經(jīng)具有懲罰色彩，如果再依據(jù)上述因素算定懲罰性賠償數(shù)額，無異于對同一法律事實進行二次評價，對加害人施加兩次不同程度的懲罰。如此處理不僅背離罪刑責相適應原則，而且對被告也不夠公平。另一方面，我國在侵犯公民個人信息罪罰金刑之外，還設立了高額罰款行政處罰措施，成為維護公共利益為目的的獨特制裁措施[30]。罰款的數(shù)額在參考受害人數(shù)量、損害大小及侵害公共利益嚴重程度等因素的基礎上，根據(jù)大、中、小、微規(guī)模企業(yè)的年度平均營業(yè)收入計算[31]。例如，根據(jù)《個人信息保護法》第66條規(guī)定，違反本法規(guī)定處理個人信息，情節(jié)嚴重的處以5 000萬元以下或者上一年度營業(yè)額5%以下罰款。從成立基礎來看，懲罰性賠償制度與行政罰款制度都建立在懲罰與威懾之上，且兩者都以維護社會公共利益為宗旨。主管部門對個人信息侵權(quán)人施以高額處罰，已經(jīng)對被告的侵害個人信息的行為給予了適當?shù)膽土P。因此，如果嚴格執(zhí)行罰款制度，懲罰性賠償制度所要解決的問題，實際上能夠被高額罰款制度取代。目前，個人信息侵權(quán)引入懲罰性賠償制度尚處于理論研討層面，僅有少數(shù)學者主張，尚未納入立法機構(gòu)的視野。在此情況下，我國不宜貿(mào)然引入個人信息懲罰性賠償制度。

五、結(jié)語

與物理空間中的侵權(quán)行為不同，個人信息侵權(quán)存在于網(wǎng)絡空間，具有潛伏性、持續(xù)性、隱蔽性和損害微小性等特征，通常屬于大規(guī)模微型侵權(quán)。傳統(tǒng)侵權(quán)法上的損害概念與損害認定的差額說，在新的社會背景下面臨嚴重挑戰(zhàn)。《個人信息保護法》第69條第2款確立的損害賠償計算規(guī)則不敷適用，受害人與侵權(quán)人的利益狀態(tài)嚴重失衡。為貫徹落實保護個人信息權(quán)益與促進個人信息合理利用的立法目的，有必要對失衡的利益狀態(tài)進行再平衡?？尚械穆窂绞牵谑芎θ嗽馐艿膶嶋H損害與侵權(quán)人獲得的利益難以確定時，引入個人信息侵權(quán)法定賠償機制，從而激發(fā)個人信息主體維權(quán)動力，切實保護自然人的人格尊嚴。

參考文獻：

［1］ 王利明，丁曉東.論《個人信息保護法》的亮點、特色與適用［J］.法學家，2021（6）：1-16.

［2］ 埃爾溫·多伊奇，漢斯-于爾根·阿倫斯.德國侵權(quán)法［M］.葉名怡，溫大軍，譯.北京：中國人民大學出版社，2022.

［3］ 海因茨·雷伊.瑞士侵權(quán)責任法［M］.賀栩栩，譯.北京：中國政法大學出版社，2015.

［4］ 王利明.侵權(quán)責任法研究：上卷［M］.北京：中國人民大學出版社，2016.

［5］ 謝鴻飛.個人信息泄露侵權(quán)責任構(gòu)成中的損害［J］.國家檢察官學院學報，2021（5）：21-37.

［6］ 王某、深圳市騰訊計算機系統(tǒng)有限公司個人信息保護糾紛民事二審民事判決書［EB/OL］.（2022-07-29）

［2024-03-18］.https：//wenshu.court.gov.cn/website/wenshu/181107ANFZ0BXSK4/index.html？docId=nOE3NrYf+UY

9Vxe7htQ76wMhfWd6gNiwhs8FUNMtpa3cJc0S6XLKoGI3IS1ZgB82B9C9VtlCtVAx7BHc0O22Tr5Leu9g8C4Eq5o

KNZTTuHq5K8pu2HIIETVDT/SCZ1rN.

［7］ 田野.風險作為損害：大數(shù)據(jù)時代侵權(quán)“損害”概念的革新［J］.政治與法律，2021（10）：25-39.

［8］ 申衛(wèi)星. 論數(shù)據(jù)用益權(quán)［J］.中國社會科學，2020（11）：110-131.

［9］ 李某某侵犯公民個人信息二審刑事判決書［EB/OL］.（2020-10-21）［2024-03-18］.https：//wenshu.court.gov.cn/

website/wenshu/181217BMTKHNT2W0/index.html？pageId=4ce46e12a823acba2249e9d27c9b886f&s8=03.

［10］ 陳立鵬、王海濤侵犯公民個人信息罪二審刑事判決書［EB/OL］.（2020-09-25）［2024-03-18］.https：//wenshu.court.

gov.cn/website/wenshu/181107ANFZ0BXSK4/index.html？docId=9F7s0sQN9hbAxhbxrnfUl7a25HgdN2XWs/pMd/l

GRzuBV8jTyEWR4WI3IS1ZgB82B9C9VtlCtVAx7BHc0O22Tr5Leu9g8C4Eq5oKNZTTuHoUI8RdFrS4FXwkuRgv1

ns7.

［11］ 曾葉楓侵犯公民個人信息罪一審刑事判決書［EB/OL］.（2020-04-09）［2024-03-18］.https：//wenshu.court.gov.cn/

website/wenshu/181107ANFZ0BXSK4/index.html？docId=MK+xUnmVnDMkVrzdmPS4u1fIB-P-MSOU901zH8O7

RO5P62/sZk6witoGI3IS1ZgB82B9C9VtlCtVAx7BHc0O22Tr5Leu9g8C4Eq5oKNZTTuHq7momVw0C1UMwX1SCjp

Fe3.

［12］ 王坤、孫德傳侵犯公民個人信息二審刑事判決書［EB/OL］.（2020-06-01）［2024-03-18］. https：//wenshu.court.gov.cn/website/wenshu/181107ANFZ0BXSK4/index.html？docId=d+dwNdGDyb+2iaAU2HLtqWef1+ZKtqisVHZR6

xI68RDZUsK8k9Jg4WI3IS1ZgB82B9C9VtlCtVAx7BHc0O22Tr5Leu9g8C4Eq5oKNZTTuHpd+UacFqcc2nzakUym

AgMA.

［13］ 任星光、陳源侵犯公民個人信息罪二審刑事判決書［EB/OL］.（2020-05-12）［2024-03-18］.https：//wenshu.

court.gov.cn/website/wenshu/181107ANFZ0BXSK4/index.html？docId=MPLip4EWDjgyeSueCRTwEuvWUxNLS+4D

szQCJUNSCqaTNqujmOh++GI3IS1ZgB82B9C9VtlCtVAx7BHc0O22Tr5Leu9g8C4Eq5oKNZTTuHqe3IqObSwrLPK

ri0M92Wxb.

［14］ 李世璽、肖一峰侵犯公民個人信息罪二審刑事判決書［EB/OL］.（2020-04-17）［2024-03-18］.https：//wenshu.

court.gov.cn/website/wenshu/181107ANFZ0BXSK4/index.html？docId=aiiSJMJpIAD7eYb/GUZoo3i9cdGSGVDzz6p

QhJl9/nh0xScbzNFJFGI3IS1ZgB82B9C9VtlCtVAx7BHc0O22Tr5Leu9g8C4Eq5oKNZTTuHq3O1dMMsMVXN1jYK

SxN9SX.

［15］ 楊合慶.中華人民共和國個人信息保護法釋義［M］.北京：法律出版社，2021.

［16］ 賈友寶、青島遠海教育服務有限公司等個人信息保護糾紛民事一審民事判決書［EBeO/8D0rxUnmsk0oRtlxsmw==/OL］.（2020-09-20）

［2024-03-18］.https：//wenshu.court.gov.cn/website/wenshu/181107ANFZ0BXSK4/index.ht`ml？docId=JseWE2JCpa

cP55OSGoPgMIOdswV44Nc/CZkjEhwSSa8T4r2q061rwGI3IS1ZgB82B9C9VtlCVAx7BHc0O22Tr5Leu9g8C4Eq5o

KNZTTuHruursdTQI5yWHtkHrU07ph.

［17］ 龐衍碩、山東健罡項目管理有限公司個人信息保護糾紛民事一審民事判決書［EB/OL］.（2020-01-19）［2024-

03-18］.https：//wenshu.court.gov.cn/website/wenshu/181107ANFZ0BXSK4/index.html？docId=EpzSMH6XnFyJNIV

PEAGB/w9XBiC1fZlWXgYJ/bhgOpTemNjAF+SirWI3IS1ZgB82B9C9VtlCtVAx7BHc0O22Tr5Leu9g8C4Eq5oKNZ

TTuHrgkiXQegS5JKEIN+GWrf6m.

［18］ 蔡洪建、山東培森人力資源開發(fā)有限責任公司等個人信息保護糾紛民事一審民事判決書［EB/OL］.（2022-

08-08）［2024-03-18］.https：//wenshu.court.gov.cn/website/wenshu/181107ANFZ0BXSK4/index.html？docId=8+rx

cRm4OtPVXi9covDs/3uB5MSFYKByPR6DSiovZGc3W15IMauI9WI3IS1ZgB82B9C9VtlCtVAx7BHc0O22Tr5Leu9

g8C4Eq5oKNZTTuHotGyJBIhJ/SJv2UIQz/riZ.

［19］ 何育東.知識產(chǎn)權(quán)侵權(quán)法定賠償制度的異化與回歸［J］.清華法學，2020（2）：143-156.

［20］ 斯蒂芬·麥克約翰.威科法律譯叢：版權(quán)法案例與解析［M］.宋慧獻，譯.北京：商務印書館，2021.

［21］ 劉春田.知識產(chǎn)權(quán)法［M］.北京：中國人民大學出版社，2022.

［22］ 王成.《民法典》與法官自由裁量的規(guī)范［J］.清華法學，2020（3）：19-31.

［23］ 程嘯，曾俊剛.個人信息侵權(quán)的損害賠償責任［J］.云南社會科學，2023（2）：99-110.

［24］ 劉云.論個人信息非物質(zhì)性損害的認定規(guī)則［J］.經(jīng)貿(mào)法律評論，2021（1）：60-72.

［25］ 孫鵬，楊在會.個人信息侵權(quán)懲罰性賠償制度之構(gòu)建［J］.北方法學，2022（5）：91-107.

［26］ 佐伯仁志.制裁論［M］.丁勝明，譯.北京：北京大學出版社，2018.

［27］ 金鵬侵犯公民個人信息罪刑罰與執(zhí)行變更審查刑事裁定書［EB/OL］.（2020-03-04）［2024-03-18］.https：//wen

shu.court.gov.cn/website/wenshu/181107ANFZ0BXSK4/index.html？docId=DboIpCYeg3Lx0zf0v06n547j+Qm5CJug

df0AjzOEoj10itWWjpwpBWI3IS1ZgB82B9C9VtlCtVAx7BHc0O22Tr5Leu9g8C4Eq5oKNZTTuHqRJzh3QYZnZdF3

DcCmDdVu.

［28］ 汪財侵犯公民個人信息罪刑罰與執(zhí)行變更審查刑事裁定書［EB/OL］.（2020-12-31）［2024-03-18］. https：//

wenshu.court.gov.cn/website/wenshu/181107ANFZ0BXSK4/index.html？docId=KdfagSZnUF85GJF0Uvk6XNcuBD

vIA7F3PMcRWmfFlVmFAlVxODJCmmI3IS1ZgB82B9C9VtlCtVAx7BHc0O22Tr5Leu9g8C4Eq5oKNZTTuHoS+Pn

0PWXkGqshGBjwZLcc.

［29］ 楊木土詐騙再審刑事判決書［EB/OL］.（2020-09-29）［2024-03-18］.https：//wenshu.court.gov.cn/website/wens-

hu/181107ANFZ0BXSK4/index.html？docId=eX0NdUhOs0M6ZdgDIXO31K2ldJY9ZtXeeMrKofyhmslVDO2e/+H9

UGI3IS1ZgB82B9C9VtlCtVAx7BHc0O22Tr5Leu9g8C4Eq5oKNZTTuHpGNbyOmgGSOtpmlj1i32YC.

［30］ 朱廣新.美國懲罰性賠償制度探究［J］.比較法研究，2022（3）：152-168.

［31］ 孫瑩.規(guī)模侵害個人信息高額罰款研究［J］.中國法學，2020（5）：106-126.

Conception of Double Layer Compensation Mechanism for Personal Information Infringement

Du Huantao1， Gao Ying2

（1.College of Law， Shenyang Normal University， Shenyang Liaoning 110034;

2.Beijing Dacheng Shenyang Law Firm， Shenyang Liaoning 110021）

Abstract：In the field of personal information infringement， in rare cases， the property damage suffered by the victim can be calculated according to the balance theory. The more common and common situation is that personal information is illegally collected and processed by others on a large scale， rarely accompanied by physical injury or property loss. The connotation and determination method of damage in traditional tort law are seriously challenged in the field of personal information infringement. The possible solution is to establish a two-tier compensation mechanism： the principle of full compensation should be followed when the personal or property damage can be determined， and the statutory compensation mechanism can be considered when the damage suffered by the victim and the interests of the infringer can not be determined. Punitive damages mechanism should not be introduced.

Key words：personal information; statutory damages; compensatory damages; punitive damages