基金/课题：本文系 2021年度山东省人文社会科学课题 “侵害数据权益的责任研究”（项目批准号：2021-JCFX-3）的阶段性成果。

一、问题的提出

大数据时代下，信息主体权益屡遭侵害，信息泄露、滥用等侵权现象叠出不穷，如Facebook用户数据泄露事件、抖音APP擅用个人信息事件等。然损害的认定成为个人信息侵权责任承担的一大难题，原因在于：个人信息侵权导致的风险性损害具有无形性，预测性、分散性以及难以量化的特征，法院难以将此类风险性损害与适当的补偿性补救措施相匹配。此外，传统侵权损害无法涵摄风险性损害，损害必须是“具体的、特定的、实际的”，不是假设的或抽象的。司法实践中，许多法院以原告无法证明实际损失为由驳回起诉。鉴于此，文章通过评析个人信息侵权损害认定的精神损害路径，进而探讨能否将风险性损害纳入传统侵权损害范畴以及如何具体认定风险性损害。

二、个人信息侵权损害认定的精神损害路径评析

（一）个人信息侵权精神损害路径的请求权基础

个人信息侵权损害能否被认定为精神损害？通常来说，其涉及的请求权基础是《民法典》第1183条和《个人信息保护法》第 69 条。依据《民法典》第1183条第1款，原告基于人身权益遭受严重精神损害，则有权请求精神损害赔偿。个人信息包含人身权益，因此，个人信息侵权造成精神损害在理论上是成立的。但《个人信息保护法》第69条能否成为个人信息侵权精神损害赔偿的请求权基础，却存在较大争议，学者对该条中“损害”有不同的理解。目前学界存在以下两种截然对立的观点：

第一种观点认为，《个人信息保护法》第69条不能作为个人信息侵权精神损害赔偿的请求权基础。杨立新教授认为，《个人信息保护法》第 69 条是《民法典》第 1182 条的具体化，该条第2款所规定的损害赔偿计算方法凸显出个人信息权益中的财产权益，个人信息权益中的人格尊严等精神利益不在该条款的保护之内。因为精神利益只有损害而没有损失，精神损害不能用受到的损失和获得的利益作为计算依据。

但多数学者认为，《个人信息保护法》第69条可以作为个人信息侵权精神损害赔偿的请求权基础。理由在于：第一，该条第2款使用“损失”一词，而非《民法典》第1182条使用的“财产损失”表述，这意味着“损失”既包括财产损失或财产损害，也包括精神损失或精神损害。因此，依据《个人信息保护法》第69条第2款，只要侵害个人信息权益造成损害的，无论是财产损失还是精神损失，都可以按照这一规定确定损害赔偿责任。第二，个人信息侵权导致的损害多数体现为精神恐惧、焦虑或忐忑不安，直接的财产损害相对较少，故《个人信息保护法》第69条第２款提供的计算方式应指向精神损害赔偿。也就是说，个人信息侵权造成的精神损害通常呈现“轻微性”，其损害程度无法达到《民法典》第1183条第1款“严重性”标准，这不利于保护个人信息权益遭受损害的被侵权人。基于此，理应将《个人信息保护法》第69条中规定的“损失”理解为财产损害和精神损害，以避免《民法典》第1183条的适用。

（三）个人信息侵权精神损害路径的不合理性

笔者认为，将个人信息侵权损害认定难题置于精神损害赔偿路径之下并不可取。理由在于：

第一，不能简单的将个人信息侵权可能造成的情感伤害等同于精神损害。个人信息侵权中情感伤害指被侵权人对未来损害的恐惧、担忧，即对未来伤害不确定的忧虑，其本质在于因合理担心未来会受到伤害而遭受目前的精神压力及痛苦。依据《民法典》第1183条，精神损害是基于自然人人身权益遭受侵害产生的，即自然人因自身人身权益损害而感知的精神痛苦。尽管两者都呈现为精神上的痛苦，但存在本质的不同：精神损害是自然人因人身损害直接感知独立于人身损害的情感损害，而前者侧重于自然人因对未来损害的恐惧产生的精神痛苦，此精神痛苦依赖于未来损害风险，不具有独立性。在“周某诉广东快客公司网络侵权案”中，原告因电信诈骗造成近五万余元损失，法院支持了原告的财产损失赔偿请求，但法院认为，原告无法证明其遭受到“实质性”精神损害，不支持其精神损害赔偿请求。由此可见，个人信息侵权导致的情感伤害本身就是一种风险性损害，而精神损害应当是一种现实的“实质性损害”。

第二，《个人信息保护法》第69条作为个人信息侵权精神损害赔偿的请求权基础在理论上难以自洽。尽管该条在文义上并未完全排除个人信息侵权精神损害赔偿的可能，但将精神损害纳入该条“损失”含义中，以规避《民法典》第1183条“严重性”程度的适用的解释恰恰违背了精神损害赔偿制度的初衷。 

第三，即使将个人信息侵权损害纳入精神损害的范畴，情感伤害难以适用“严重性”程度标准。严重性程度标准本身是不确定概念，大多数情感伤害的轻微性不足以“严重”。有学者虑及精神上的痛苦难以量化和举证，提出放弃对主张精神损害赔偿的“严重”程度要求，对全部的精神损害予以赔偿。但降低精神损害认定标准的方法并不可取，因为精神损害概念本身具有不明确性。精神损害的认定允许适当考虑个人之间的差异，以及可能合理地影响所要求的行为的所有特殊情况，但更为重要的是应当考虑一般标准，即一个通情达理的人在权益遭受侵害时的容忍度。因此，精神损害赔偿应当具备一个相对统一的标准，而“严重性”标准能够体现社会群体对于行为人自由的容忍度。

综上，个人信息侵权损害不同于精神损害，不能将风险性损害纳入精神损害。《个人信息保护法》第69条难以为个人信息侵权精神损害路径提供请求权基础，而依据《民法典》第1183条，风险性损害难以满足“严重性”标准。

三、个人信息侵权中风险性损害的认定标准

由上文，个人信息侵权中风险性损害不同于精神损害，利用精神损害路径解决风险性损害于事无补，认可风险性损害才是个人信息侵权损害赔偿问题解决的关键。风险性损害在何种程度下才可被认定为损害？如何设定风险性损害标准？通常来讲，影响风险性损害的因素有：原告个人信息资料被泄露的重要性和程度，被泄露信息的敏感性，以及如果没有发生信息泄露，原告身份被盗用的几率及造成的后果的严重性等。可见，个人信息的类型及信息泄露的合理性对于风险性损害的认定至关重要。

（一）“迫在眉睫”标准

目前，学界对风险性损害被纳入传统侵权损害范畴已基本达成共识。只是何种程度的风险构成损害仍处于探讨中。美国第七巡回法院、第九巡回法院等采取“迫在眉睫”的标准，即风险性损害应当是“即将发生的、迫近的”，例如在Remijas v. Neiman Marcus Group案中，第七巡回法院认为，黑客闯入一家商店的数据库并窃取消费者的私人信息的目的迟早是进行欺诈性收费或冒用这些消费者的身份，因此，如果被盗数据被张贴在身份窃贼的文件共享网站上，原告面临着实质性的伤害风险。换言之，风险构成损害也应当是“实质性的、迫近的”，而非无根据假设的。

（二）个人信息类型标准

“迫在眉睫”标准只能为风险性损害的认定提供基本的判断原则，而个人信息的类型能够为“迫在眉睫”标准提供具体的判断依据。

1.敏感信息与非敏感信息

依据《个人信息保护法》第28条，敏感信息是“一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息”。相比非敏感信息，敏感信息更容易被观察到并被用来损害个人利益，应该是一种可认知的情感伤害，即使没有任何伴随的身体、财产或经济损失。

显然敏感信息中蕴含的风险远远高于非敏感信息。如果个人信息揭示了一个有理智的人希望向他人隐瞒的令人尴尬或损害名誉的事情，那么它就可能是敏感信息。此类信息一旦被他人获悉并利用，就有可能造成权利人不可逆的损害。这意味着敏感信息一旦被侵害或泄露，权利人遭遇未来损害风险的概率将被极大增加，即权利人的风险性损害具有“实质性、迫近性”，而非单纯的推测。相反，非敏感信息通常是权利人获得生活的便利而自愿公开或可以预见到被收集、利用的，并且一般理性人在网络空间中不会因信息的泄露而感到严重不安。

2.相对固定信息与非固定信息

相对固定信息是指很难更改而相对固定的个人信息，如个人基因信息、个人声纹信息和个人虹膜信息等专属性强的个人信息。随着网络技术的发展，这些个人信息开始广泛运用，如个人指纹手机解锁及支付、个人声纹解锁等。因此，此类信息被泄露或滥用所造成的损害是不可逆的。

相对固定信息被泄露后，权利人面临的未来风险性损害将大大提高，通常被认为损害是“实质性的”，因为权利人几乎无法减轻损害，权利人无法通过改变信息来避免未来的损害。但可更改的非固定信息被泄露或利用时，权利人通常不会面临损害或者损害是“轻微的”，例如手机号码被泄露时，权利人完全可以通过改变手机号码避免未来损害。

可见，个人信息越敏感，风险性损害程度越高，无法改变的固定信息会导致权利人无法减轻损害，遭遇风险性损害的可能性更大。

（二）信息泄露的合理性

1.信息泄露的程度

信息泄露的程度即为信息被他人知悉的范围。一般而言，信息泄露程度越高，权利人面临的风险性损害可能性越高，风险性损害被认可的可能性越大。

在网络时代下，信息泄露的程度通常呈现为信息的点击率、转载率、信息的传播速度与时间等。如果被泄露的信息点击率、转载率低，传播速度慢、传播时间短，信息接收人群少，则权利人未来遭受损害的风险较低，此时风险性损害不易被认定。

2．被泄露信息的性质与泄露行为

被泄露的信息性质也会直接影响风险性损害的认定。如果被泄露的信息属于公众知情权范畴，则信息泄露行为具有合理性，无所谓损害。通常情况下，法律对公众人物的个人信息与非公众任务的个人信息利用与保护是不同的。公众人物的个人信息泄露较难被认定为个人信息侵权，而对于非公众人物的非公开信息泄露则容易被认定为侵权，风险性损害较容易被认可。例如，在新闻报道中使用姓名、职业、行踪轨迹等个人信息，尽管可能将信息主体置于风险中，但只要行为人的行为处于合理使用的范畴，风险性损害就不能成立。

此外，如果信息的泄露是由有权访问私人信息的人员无意中披露的，且个人或企业合理地确定这种泄露不会导致此信息的滥用，或不会对权利人造成经济损失或情感伤害，则不构成风险性损害。

3．个人信息的合理使用

《民法典》第999条、第1036条以及《个人信息保护法》第13条规定了个人信息合理使用规则。如果信息处理者基于公共利益的目的而使用个人信息则不构成侵权，此时无所谓风险性损害，即使造成损害，也可能因抗辩事由而免责。例如在“凌某某诉北京微播视界科技有限公司隐私权、个人信息权益网络侵权责任纠纷案”中，法院认为“虽然读取手机通讯录时不可避免地会读取原告的手机号码，但读取和匹配行为并不会对原告产生打扰，通常也不会不合理地损害原告利益，且有利于满足其他有社交需求用户的利用及行业和社会发展的需要，属于对该信息的合理使用”。

此外，个人信息的利用方式也影响个人信息的合理使用，进而影响风险性损害的认定。如果信息处理者采用符合大众可预见的方式使用个人信息，则信息处理者的侵权行为难以被认定，风险性损害难以成立。反之，侵权行为与损害认定越容易。比如在“人肉开盒”行为中，行为人利用其掌握的信息进行人肉搜索引导网络暴力，这显然超出了一般大众的合理预见。因“人肉开盒”行为引起的风险性损害具有“实质性”，容易被认可为损害。但如果只是为了利用大数据算法进行个性化和兴趣化的推送，符合公众的一般预期且一般不对公众造成风险性损害，因此在认定风险能否转化为损害更加严格。