摘　要　　信息技术发展对个人信息保护带来了极大的挑战，囿于传统侵权损害赔偿范围的局限性，近年来个人信息权益维护陷入困境，个人信息侵权损害赔偿范围亟须进行调整。美国个人信息损害赔偿立法经验可以总结为：以公开权保护个人信息财产利益、实际损害与惩罚性赔偿并存、对于风险损害的保守态度以及接纳个人信息财产价值损失。今后我国的个人信息侵权损害赔偿规则构建应在其基础上有所扬弃和创新，在立法中接纳个人信息商品化利益，扩张人格权保护路径，设置最低额赔偿制度。同时，还应支持个人信息风险损害赔偿，通过引入规范损害说理论，构建风险损害酌定体系。

关键词　　个人信息权益；损害赔偿；风险性损害；酌定

一、导语

当前的信息社会生活中无时无刻不存在着个人信息的传递、处理与交互。随着《中华人民共和国民法典》（以下简称《民法典》）和《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）陆续颁布施行，个人信息权益在我国被正式确认为一种人格法益。在先进信息技术的推动下，个人信息处理规模与处理效率远胜于前。个人信息权益内容与保护范围亦愈加充实，不再局限于人格利益、精神利益，还兼具财产属性和经济价值。如今个人信息非法泄露、窃取、滥用等情况颇为常见，传统的损害赔偿范围已无法适应现阶段个人信息侵权案件的损害特征。个人信息权益人主张损害赔偿的前提是侵权责任成立。损害作为侵权责任成立的重要构成要件，权益人若不举证相关损害，其损害赔偿诉求往往无法得到法院支持，损害赔偿范围设定是否合理直接关乎到个人信息权益能否有效保护。目前由个人信息侵权造成的财产损害范围尚未明确，且财产损害更多是基于差额说，强调损害的现实性，限缩了个人信息权益损害赔偿范围，与个人信息侵权案件呈现的损害特征不符，阻碍了侵权责任的证成和损害赔偿的主张。此外，由于个人信息处理者在技术和资源上占据绝对优势，司法实践中受害人存在主张侵权难、请求赔偿难的困境。有鉴于此，本文以个人信息侵权行为构成中的损害要件为切入点，通过对国内相关理论研究的梳理及域外相关立法经验的借鉴，进而提出完善个人信息侵权损害赔偿范围的理论构想，以期更好地构建我国的个人信息保护制度。

二、国内个人信息保护理论研究梳理

个人信息保护的理论发展自起步之初就伴随着各类学说，理论之“树”每发展到关键处便分叉出“树枝”，譬如个人信息权益的法律属性、权益内容、侵权责任构成、侵权损害范围等。总体而言，学者所追求的个人信息权益保护理想状态是统一的，即既保护个人信息主体权益，又促进个人信息社会流动。本文以此为逻辑，对国内学界关于个人信息权益法律属性和侵权保护的相关研究进行了梳理。

（一）个人信息权益之法律属性

第一，民事权利还是民事权益。王利明指出，虽然公法对个人信息采取了保护机制，但不能改变个人信息权以人格利益内容为主的民事权利属性，唯有确认个人信息权是一种民事权利，才能够为个人信息提供充分保护。[1]杨芳则认为，个人信息权的客体范围过于广泛，权利人无法有效行使自决权和控制权，将权利边界尚未明确的权益上升为绝对权不合时宜；[2]第二，私法权利还是公法权利。持私法权利说的学者在梳理欧洲与美国个人信息权保护历程后，认为个人信息权经历了与隐私权界限逐渐明确的过程，并指出个人信息权属于一种私法权利。[3]持公法权利说的学者则主要从个人信息客体的社会属性导致权利人无法排他控制、私法保护路径存在较大障碍等角度展开论述。例如，高富平认为，个人信息具有公共性和社会性，应构建以公法规制为主的个人信息权保证制度；[4]第三，人格权、财产权与双重保护说。程啸指出，个人信息涉及自然人人格尊严和人格自由，无论将个人信息界定为权利还是利益，都不影响法律将其确定为自然人的人格权益，并适用人格权一元模式覆盖保护。[5]劳伦斯·莱斯格认为，确认个人信息的财产权能够赋予权利人议价的权利，便于在侵权案件中客观衡量和计算侵权损害。[6]彭诚信则主张，个人信息权本质上是包含财产利益的人格权，应认可个人信息的价值双重性、权益双重性与权益归属双重性。[7]

（二）个人信息权益之侵权法保护

第一，侵权法功能之辨。侵权法要解决的主要问题即利益平衡，包括个体之间的利益关系以及个体利益与公共利益间的利益关系。张新宝指出，侵权法的利益平衡表现为民事权益保护与他人行为自由间的平衡。[8]王利明和丁晓东提出，应积极利用侵权责任法保护数据权益，从事后过错认定转变为事前风险预防，同时注重赔偿救济功能的多样化；[9]第二，侵权责任归责原则。杨立新认为，个人信息侵权属于一般侵权行为，应适用过错推定责任。[10]陈吉栋指出，应区分不同个人信息侵权情形，分别适用过错责任与过错推定责任。[11]叶名怡则认为，以信息处理者身份和处理方式为区分的“三分法”较为适宜；[12]第三，损害赔偿理论。王利明认为，侵权责任法应定位于救济法，损害赔偿制度应在救济法思维下进行体系建构。[13]李承亮指出，《民法典》中的“损失”即受害人财产在未受损害时与受到损害后的差额，“损害”可以解释为受害人在未受损害时与受到损害后的权益状态差异。[14]在损害范围层面，程啸认为，侵害个人信息权益造成的损害包括财产损失与精神损害，因个人信息泄露而增加的未来遭受不法侵害的风险不属于损害。[15]谢鸿飞提出，肯定个人信息预期侵权风险构成“损害”，能更好地使侵权责任法动态适应现代风险社会之需求。[16]种种观点，不一而足。

通过对现有研究的梳理总结，可以发现在个人信息权益的性质界定、侵权责任、赔偿范围等方面尚存在探讨空间。不同损害观点导致个人信息损害范围不同，对个人信息侵权责任的构成及最终赔偿责任影响较大，具有进一步深入研究价值。

三、美国个人信息侵权损害赔偿立法经验之扬弃

美国在信息技术领域保持着全球领先地位，其在个人信息侵权损害赔偿立法方面体现出普通法传统与成文法创新之结合，同时也反映了对隐私权、数据安全与公共利益平衡的考量。下文试提炼美国相关立法中的核心经验，为我国个人信息侵权损害赔偿规则之构建提供借鉴。

（一）保护个人信息财产利益

美国在个人信息的人格利益和财产利益上采取了二元保护模式，以隐私权保护人格利益，以公开权保护财产利益。针对个人信息财产利益，美国法中使用了“公开权”予以保护，即每个人所享有的控制其人格要素商业使用的固有权利。公开权是从隐私权中发展而来的一项独立权利，其设置目的是保护自然人姓名、肖像等人格权益上的财产利益。1953年的“Haelanv. ToppsChewing Gum”案中首次确认了公开权，判决认为，隐私权保护范围除了当事人的肖像，还包括肖像照片的形象宣传价值，当事人可以就侵犯其公开权的行为要求财产损害赔偿。公开权经历了权利主体及客体的扩张，即权利主体从人格要素市场价值较高的名人扩展至一般民众，权利客体则从最初仅限于个人姓名、肖像扩展到涵盖包括扮演形象中的虚拟身份标识，即一切足以使受众唤起与主体身份联系的人格标识。[17]随着信息化技术的发展，个人信息也逐渐被认可为包含权利人的财产利益，应受公开权保护。

（二）实际损害与惩罚性赔偿并存

美国侵权法中关于个人信息侵权的赔偿范围，主要是基于实际损害赔偿和惩罚性赔偿两种理论展开。在实际损害赔偿方面，包括经济损失和精神损害，惩罚性赔偿则需要根据案件具体情况决定适用与否。其中“实际损害赔偿”是指侵权人应就侵权行为造成的权利人实际损害承担赔偿责任。这种损害可以是人身损害费用、财产权利损失、修复损失等直接损害，也可以是预期利润损失、商誉减值等间接损害；“惩罚性赔偿”则是指当侵权行为特别恶劣或严重时，法院可以根据法律规定要求侵权人支付实际损害之外的额外赔偿金，以惩罚其侵权行为。惩罚性赔偿金额通常远高于实际损失，其适用范围和使用情形受到严格限制。两种赔偿理论的功能和目的存在明显差异。实际损失赔偿是为了让权利人得到经济补偿，使其恢复到侵权行为发生前的经济状况；惩罚性赔偿则希望通过高额的赔偿金额以达到震慑、预防之目的，向全社会传递明确的警示信号，避免类似侵权行为再次发生。

（三）对于风险损害的保守态度

美国判例法中对于个人信息侵权的风险性损害持保守态度，少数法院在严格条件下承认风险损害，大部分法院则认为风险损害属于尚未发生的事实，因其过于抽象且带有推测性，不应得到法院支持。1992年的“Lujan v.Defenders of Wildlife”案中确立了事实损害与紧迫性标准。具体规则为：第一，原告遭受了事实上的损害，且必须是一种具体的、实际的、受法律保护而非推测或假定的利益遭受侵犯；第二，事实损害与侵犯行为之间存在因果关系；第三，原告的伤害有可能通过在诉讼中寻求的救济得到补救。只有同时满足上述三点要求，原告才可以获得诉讼主体地位，概言之，美国法要求原告主张的损害是已经发生的事实损害，或是尚未发生的损害但具备紧迫性。在此后的“Clapper v. Amnesty International USA.”案中，法官指出，原告所主张的损害应是具体、特定且实际的。紧迫的损害虽然是一个弹性概念，但必须是肯定即将发生的、能通过因果关系溯源至侵权行为的损害。

（四）接纳个人信息财产价值损失

此前司法实践中美国法官对于个人信息的财产价值观点较为保守，随着信息技术的发展，个人信息的商业价值和个人支配逐步得到认可和支持。在2011年的“LaCourt v. Specific Media, Inc”案中，法官否定了原告提出的个人信息交换价值减值主张，并认为相关损害不能被认定为财产损害；随后的“In re iPhone Application Litig.”案中，用户向法院主张苹果公司的侵权行为造成其个人信息的财产价值损失，同样未获法院支持；在2015年的“Remijas v. Neiman Marcus Group. LLC”案中，法院指出，黑客盗取个人信息是因为其可交易属性，间接体现了个人信息是一种有价值的商品；2016年的“In re Anthem, Inc. Data Breach Litig.”案进一步确立了上述观点。法官指出，个人信息泄露会造成个人信息财产价值减少，且无需原告证明个人信息存在可交易市场。2016年的“Fraley v. Facebook,Inc.”案则从个人信息处理者角度论证了财产价值属性。法官认为，权利人主张的个人信息财产价值在商业活动中是具体、可量化的，充分证明了原告主张的财产价值损失。

四、我国个人信息侵权损害赔偿规则完善建议

大数据时代背景下，目前狭窄的个人信息损害赔偿范围给被害人设置了过高的举证难度，使侵权责任与损害赔偿的证成相对困难。为更好地保护信息主体权益，今后应兼顾侵权法的补偿功能与预防功能，适当扩充个人信息侵害损害赔偿范围。下文从接纳个人信息商品化利益，支持个人信息风险损害赔偿两方面出发，试提出完善我国个人信息侵权损害赔偿范围之建议。

（一）接纳个人信息商品化利益

第一，扩张人格权保护路径。个人信息不仅彰显了信息主体的人格利益，其经济价值也不容忽视。个人信息经收集、分选、定向商业推广等行为，已经构成一定程度的商品化。结合平台型商业组织的推动，个人信息在社会中存在广泛的交易行为。个人信息权益是包含财产属性的人格权益，实践中平台与用户之间的信息“许可—使用”模式充分体现了个人信息的经济价值，其财产权属性足以支撑起个人信息商品化的合理性。首先，大数据时代个人信息是一种稀缺的无形财产，稀缺性体现为其中蕴含的商业价值具有稀缺性；[18]其次，如无明确的财产利益归属，在个人信息商业使用时，个人信息处理者通常会凭借优势地位攫取大部分商业价值；最后，个人信息商品化是个人信息内在财产属性的外部化表现。在个人信息商业利用领域，企业获取和使用个人信息的成本极为低廉，认可个人信息商品化价值可以增加侵权赔偿成本，提高企业合规主动性。[19]

明确个人信息侵权中被害人的商品化收益损失，能够有效保护个人信息的财产属性。今后应将个人信息的商品价值保护固定为法律规定，扩张《民法典》中的人格权许可使用制度，将个人信息纳入其保护范围。明确个人信息侵权案件中，法院应考虑被害人的收益损失。个人信息的商业化价值主要源自人身指向性，否定信息主体对其信息商业价值的权益不利于个人信息保护。一方面，根据洛克的劳动财产理论，自然人排他性地享有其劳动结果具备正当性。个人信息由权利人行为所产生，其价值也理应由权利人享有；另一方面，美国法上为突出人格权商品化利用时的财产属性，分离了财产属性并单独规定为公开权。我国人格权立法采用的则是不分离人格利益和财产利益的一元保护模式，若将财产利益单独分离，会冲击人格权法律体系的整体性。《民法典》中规定了肖像、姓名和声音的许可使用制度，人格利益的商品化已有先例。同时，立法者也预留了充足的解释空间。《民法典》中保留了人格权商品化外延的开放性，可以根据发展需要融入新的可商品化人格权。综上所述，以扩张人格权保护路径肯定个人信息商品化价值，具备理论和制度层面的可行性。

第二，设置最低额赔偿制度。《民法典》第1182条规定了确定人身权益财产损失赔偿金额的三种方法：实际损失、侵权人获利和法院酌定，当事人主张信息商品化价值赔偿时也应依此思路。一般而言，财产损害计算应按照市场价格标准来确定。但是，如今我国尚无统一的个人信息交易平台和估价机构，且不同主体个人信息价值差异极大；若以实际损失确定赔偿金额，则要求当事人证明所受损失；若以侵权人获利来确定赔偿金额，同样存在举证困难，信息处理者可以隐匿所获利益来减少赔偿。有鉴于此，由法院酌定赔偿金额是更合适的方案。面对我国个人信息侵权的严峻现状，肯定并支持个人信息商品化价值，建立最低额赔偿制度，是弥补个人信息主体所受损害、破解个人信息损害赔偿困境的可行之道。美国法上设置了100美元至500美元的法院酌定赔偿范围，由法官根据案件情况酌定赔偿金额。我国的个人信息侵权案件裁判可以参考上述思路，设置个人信息最低额赔偿制度，在个人信息侵权案件中明确法定最低赔偿金额。若被侵权人能举证实际损害超过法定最低金额，则以实际损害为准。若难以举证，则由法院依据最低额赔偿标准确定具体赔偿金额。

（二）支持个人信息风险损害赔偿

第一，引入规范损害说理论。传统损害概念以差额说为主要内容，从损害本体出发，对比个人信息侵权发生前后受害人财产状况存在的差额。个人信息侵权中不仅存在财产损害，还有无形和不确定的非物质性风险损害，强调损害现实性的差额说无法进行有效解释，需要引入规范损害说予以修正。规范损害说认为应从责任规范目的理解损害，受害人权利或法律保护利益被侵害即构成损害。该理论突破了损害的现实性要求，认为损害不仅是客观上的自然事实，还强调应当是一种法律上的事实。

规范损害说的引入对于解释个人信息侵权案件中潜在的社会歧视、身份盗窃等风险损害有重要意义。侵权法追求的补偿目标是使权益恢复到未受侵权时的状态，就个人信息而言是一种自我控制状态。尽管《个人信息保护法》规定了决定、删除、更正等保护性权利，由于司法保护的滞后性，个人信息被侵犯后其潜在风险就已随着网络传播迅速扩散，难以恢复个人信息权益的原本状态。因此，将引发特定风险发生的不利益由受害人转移给信息处理者承受具有正当性。首先，信息处理者相较于受害人风险规避能力更强；其次，个人信息泄露的风险后果源于信息处理者的行为，相应的责任也应由信息处理者承担；最后，根据报偿理论，信息处理者从收集个人信息行为中获取了高额利益回报，应由信息处理者承担相应风险。对侵权损害赔偿理论进行调整，让加害人对其造成的损害进行赔偿，实质上是将侵权带来的成本内部化，既能预防损害发生，又能发挥震慑作用，使行为符合社会预期。

第二，构建风险损害酌定体系。理论上引入风险损害不等同于实践中支持所有风险损害，为避免司法实践中的滥诉风险，平衡行为自由与个人权利，毫无证明的风险主张应予以否定。考虑到现代社会损害观呈现出的无形化、抽象化演变趋势，构建个人信息风险损害酌定体系有其必要性。［20］风险损害酌定体系应回答两个问题：是否成立风险损害以及应承担多少风险损害赔偿。风险损害分为预防未来侵权行为的合理支出和当事人因潜在风险产生的精神痛苦。关于预防性支出，制止侵权行为的合理开支可作为财产损失获得损害赔偿，但现有规定未明确合理支出是否包括预防性支出。[21]若主张精神损害，我国要求精神损害达到严重程度才能获得赔偿，实践中因举证难度过高往往难以得到法院支持。

今后应尝试构建个人信息权益损害赔偿中的风险损害酌定体系，授权法官在个案中参考一定的衡量体系，决定是否支持当事人提出的风险损害及赔偿金额。在人格权领域，根据《民法典》第1182条之规定，人格权益受侵害导致财产损失时，可以由法院根据实际情况确定是否支持损害赔偿请求。法官酌定制度是对传统损害赔偿规则的一种突破，在处理案情复杂或当事人举证困难的案件时能避免当事人承担举证不能的不利后果。美国判例中的紧迫性标准要求原告主张的风险损害将来有较大可能性会发生，若仅是一种推测不足以支撑其损害主张。我国应在此基础上扩大适用范围，使之能应用至个人信息侵权案件中的风险损害判定。具言之，风险损害酌定体系应以可能性为锚，把风险发生可能性作为核心评价要素，从而限缩风险损害范围、避免风险无限扩大。

五、结语

个人信息不仅是数字时代推动云计算、人工智能等前沿科技发展的重要战略资源，也是自然人享有的重要人格权益。如何实现个人信息侵权损害之救济是当下数字社会建设中亟待解决的关键问题。尽管《民法典》和《个人信息保护法》中已经对个人信息保护规则作出全面规定，但因个人信息侵权认定规则与损害特点的特殊性，通过侵权法既有理论保护个人信息无法达到预期效果。立法中不应过于坚持客观损害的认定标准，而应承认个人信息之商业化价值，通过损害赔偿责任对信息主体的风险损害进行补偿。

参考文献：

[1]王利明.论个人信息权在人格权法中的地位[J].苏州大学学报(哲学社会科学版),2012,33(6):68-75.

[2]杨芳.个人信息自决权理论及其检讨——兼论个人信息保护法之保护客体[J].比较法研究,2015(06):22-33.

[3]王利明.论个人信息权的法律保护——以个人信息权与隐私权的界分为中心[J].现代法学,2013,35(04):62-72.

[4]高富平.个人信息保护:从个人控制到社会控制[J].法学研究,2018,40(03):84-101.

[5]程啸.论我国民法典中个人信息权益的性质[J].政治与法律,2020(08):2-14.

[6][美]劳伦斯·莱斯格.代码2.0:网络空间中的法律[M].北京:清华大学出版社,2018:81.

[7]彭诚信.论个人信息的双重法律属性[J].清华法学,2021,15(06):78-97.

[8]张新宝.侵权责任法立法的利益衡量[J].中国法学,2009(04):176-190.

[9]王利明,丁晓东.数字时代民法的发展与完善[J].华东政法大学学报,2023,26(02):6-21.

[10]杨立新.侵害公民个人电子信息的侵权行为及其责任[J].法律科学(西北政法大学学报),2013,31(03):147.

[11]陈吉栋.个人信息的侵权救济[J].交大学,2019(04):40-53.

[12]叶名怡.个人信息的侵权法保护[J].法学研究,2018,40(04):83-102.

[13]王利明.我国侵权责任法的体系构建——以救济法为中心的思考[J].中国法学,2008(04):3-15.

[14]李承亮.《民法典》损害赔偿责任体系论纲[J].荆楚法学,2022(06):16-32.

[15]程啸,曾俊刚.个人信息侵权的损害赔偿责任[J].云南社会科学,2023(02):99-110.

[16]谢鸿飞.个人信息泄露侵权责任构成中的“损害”——兼论风险社会中损害的观念化[J].国家检察官学院学报,2021,29(5):21-37.

[17]Sheldon W. Halpern.The Right of Publicity: Maturation of an Independent Right Protecting the Associative Value of Personality[J].Hastings Law Journal,1995,46(3):853-856.

[18]谢琳,李旭婷.个人信息财产权之证成[J].电子知识产权,2018(6):54-61.

[19]严驰.IP属地的法律性质证成及平台责任评析[J].网络安全与数据治理,2022,41(11):59-65.

[20]时诚.个人信息泄露风险损害的赔偿责任[J].现代法学,2024,46(2):136-150.

[21]杨立新.侵害个人信息权益损害赔偿的规则与适用——《个人信息保护法》第69条的关键词释评[J].上海政法学院学报(法治论丛),2022,37(1):1-15.

本文系浙江省高校重大人文社科攻关计划项目“数字经济视域下区域算力竞争的法治保障研究”（编号2024QN009）和河南省法学会民法学研究会2024年度研究课题“我国数据确权的法理解析与规范路径研究”（编号HNCLS2024083）的阶段性成果。

（严驰系同济大学法学院博士研究生；陈汉钟 武汉理工大学法学与人文社会学院）

【责任编辑：张卓】