论个人信息大规模微额损害的私法救济路径完善

郭明龙，杨孝康

（天津师范大学 法学院，天津 300387）

大数据时代，数据成为数字经济中的生产要素渐被重视，而在法学界，“数据所承载的经济利益被确认为物权、知识产权之后产生的新型财产权”。[1]大数据时代的信息收集、算法和算力一方面催生数字生产力，另一方面也给个人信息保护带来更大挑战。理论界认为，数据和个人信息并不相同，只有“匿名化的不具可识别特征”的个人信息才能够成为数据，“作为财产权客体的只能是数据而非个人信息”。[2]但实践中，未经去标识化或匿名化的个人信息却被某些信息处理者不法收集、存储、使用、加工、传输、提供、公开，往往对众多主体的个人信息权益造成侵害。对于大规模的个人信息侵权，《个人信息保护法》分别规定了三种不同的救济路径：其一，公法救济路径，即第66条、67条、68条以及第71条的行政处罚和刑事处罚；其二，私法救济路径，即第69条的侵权损害赔偿；其三，第70条的公益诉讼路径。以上三条路径都不可或缺，但研究发现适用频率却差异较大，公法救济和公益诉讼适用频次明显高于侵权损害赔偿这种私法救济路径。个人信息权益的大规模受损，损失数额小且不易确定，导致受害人因维权成本高、收益低而不愿维权或无力维权，如何进一步完善私法救济路径，通过提高侵权人违法成本内化侵权人给众多主体造成的“外部不经济”，实现惩戒与预防目标，是当下亟待解决的问题。[3]

一、个人信息大规模微额损害救济路径的适用对比

（一）公法救济路径之适用

1. 刑事救济路径

《个人信息保护法》第71条规定侵害个人信息权益可能要承担刑事责任，该条为引致条款，引致的内容主要为《刑法》第253条之一所规定的侵犯公民个人信息罪。为了解个人信息保护的刑事救济路径运行状况，笔者在“北大法宝”数据库进行了检索分析。在案例库中以“个人信息侵权”和“公司”“犯罪”为共同关键词，时间跨度选为2019年1月1日至2023年5月31日，共获得侵犯个人信息的刑事制裁案例83例，其中侵犯公民个人信息罪75例，出售、非法提供公民个人信息罪4例，妨害社会管理秩序罪3例，破坏社会主义市场经济秩序罪1例。其中4例出售、非法提供公民个人信息罪实为刑法第253条之一的第三款规定，以“侵犯公民个人信息罪”定罪处罚更为准确；而3例妨害社会管理秩序罪以及1例破坏社会主义市场经济秩序罪则以刑法分则中“节”的类罪定罪量刑，属于定性不当。在67例当中，通过在文中检索“罚金”这一关键词，得出对企业的罚金数额在500万元以上的有1例为750万元，100万到500万之间6例，50万元到100万元之间6例，其余为50万以下，其中最小的罚金额仅为0.1万元。侵犯公民个人信息罪可以由单位构成，依法实行双罚制，单位承担罚金刑，负责人或直接责任人承担主刑外，还可以并处罚金附加刑，67例案件中对个人所处最高罚金为130万元，最低罚金额为0.5万元。

经检索，笔者并未找到与该83则案例相对应的侵权损害赔偿纠纷案件，在此时间段仅有27例侵害个人信息权益案例涉及私法救济。相比而言，刑事救济路径的适用次数明显高于私法救济路径。原因大致有二：首先，刑事救济路径具有效率优势，根据《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》（法释〔2017〕10号）第1条规定，本罪的犯罪主体包括个人和单位，实行单位犯罪的双罚制，相较私法救济，刑事救济有着“快”“准”“狠”的特点；其次，刑事救济路径中司法机关具有侦查上的力量优势，启动刑事侦查可以减轻损害范围与因果关系不易认定的难题，不过此举使得本来作为“高配”的刑事救济路径成为“标配”。

2.行政救济路径

行政救济路径主要通过行政处罚实现，《个人信息保护法》第66条的行政责任可引致到我国《行政处罚法》。根据《行政处罚法》第9条关于行政处罚种类的规定，违规企业可被处以罚款、警告、责令停产停业等处罚，但是在大规模个人信息侵权案件中，对相关企业违法处理个人信息的行政罚款最值得研究。以苏州某房地产售楼处人脸识别系统侵害消费者个人信息被行政处罚案为例，其中由于苏州某房产公司在售楼处安装人脸信息采集识别系统，未经客户同意采集人脸信息，吴江区市场监管局依法责令某房产公司立即停止违法行为，并对其处罚款10万元。①本起大规模的个人信息侵权案件仅仅涉及行政处罚，并未检索到对受害人进行侵权损害赔偿的相关民事案件，究其原因是行政处罚比起私人损害赔偿救济路径，更能够一步到位对相关违法单位进行惩处，在实践中运行之功效优于私法损害赔偿救济路径。

综上，两种公法的救济路径都忽略了最重要的一方主体——作为受害者的众多信息主体，无论是刑法救济的罚金还是行政救济处罚的罚款，最终都被上缴国库。此举不仅导致个人民事权益受损未能得到相应的赔偿，而且还可能导致被处罚的信息处理者将罚款或罚金通过变相转嫁导致个人遭受二次伤害的弊端，故公法救济的功效并不能很好地弥补信息主体所遭受的损失。

（二）公益诉讼救济路径之适用

1.公益诉讼中能否主张损害赔偿的争议

个人信息微额损害案件中，检察机关或其他组织提起公益诉讼可否对加害人提出损害赔偿并不明确。《个人信息保护法》第70条并未涉及公益诉讼中的损害赔偿问题。

有学者认为，由于在公益诉讼中不涉及具体的受害人，故不涉及精神损害赔偿，损害赔偿也不是主要的法律责任，而个人信息保护公益诉讼中的损害赔偿的主要内容是对起诉主体提起公益诉讼的合理支出费用的赔偿，也不适用惩罚性赔偿。②涉及个人信息保护的公益诉讼可否提出损害赔偿请求，北大法宝有一则浙江省温州市鹿城区人民检察院督促保护就诊者个人信息行政公益诉讼案，不过似是而非。该案的判决结果为：通过检察建议的监督，区市监局对摄影公司作出责令改正、没收违法所得4000元、罚款34000元的行政处罚，对培训公司作出责令改正、罚款30000元的行政处罚。在本案中作为诉讼主体的区检察院并未对加害人提出损害赔偿的主张，而是通过检察建议督促相应行政主管部门履行行政处罚职责而结案。③通过检索“个人信息”这一关键词，查阅北大法宝司法案例库中2022年1月至2023年5月时间段内的686件案例，其中涉及公益诉讼71例，且多以行政公益诉讼为主，均未涉及损害赔偿。

对此，笔者的初步结论是，民事或行政公益诉讼中可能并不适宜提出损害赔偿的主张，与实践中已经依照《民法典》第1135条运行的环境公益诉讼生态修复赔偿并不具可比性。

2.公益诉讼中损害赔偿额能否分配难题

公益诉讼中即使可以主张损害赔偿，该损害赔偿能否分配也不明朗。有观点认为，发生在2019年5月的浙江省杭州市余杭区人民检察院诉某网络科技有限公司侵害公民个人信息民事公益诉讼案中涉及损害赔偿并有分配的设计，其实也属似是而非。本案中双方当事人最终调解结案：被告立即删除违法违规收集、储存的全部用户个人信息1100万余条；在《法治日报》及案涉APP首页公开赔礼道歉；承诺今后合法合规经营，若存在违反协议约定的行为，将自愿支付50万元违约金用于全国性个人信息保护公益基金的公益支出。④

该案件并不能视为对损害赔偿的支持，也不能认为损害赔偿额在受害人中做了相应分配。首先，本案并未提及就受害人损失进行赔偿，而是支持了停止侵害和赔礼道歉；其次，本案结果为调解而非判决，且调解的依据为有条件违约，并未说明法院支持该赔偿；最后，被告违约后需要支付的违约金很难归受害人所有。所以对于公益诉讼中民事公益诉讼的损害赔偿额的分配问题也恰恰印证了私法损害赔偿救济中的难题，正因如此，在上述的案例检索所涉及公益诉讼的案件71例中，民事公益诉讼的案例仅占5例，说明在制度走向上仍有很多未解难题。

（三）私法救济路径之适用

1.损害赔偿额确定困境

在北大法宝司法案例库，通过检索“个人信息”这一关键词，选取2022年1月至2023年5月这一时间段，仅有17例涉及民事侵权损害赔偿路径解决的纠纷，占在此期间总共收集案例的2%左右。可见当真正发生大规模的个人信息侵权，《个人信息保护法》第69条规定的私法救济路径适用范围较为狭窄。

受害人通过私法路径实现权利救济往往面临困境，即如何确定损害赔偿额的标准。尽管《个人信息保护法》第69条第2款延续原《侵权责任法》第20条、现《民法典》第1183条，以被侵权人因此受到的损失、侵权人因此获得的利益或者法院酌定作为侵害人身权益造成财产损失赔偿数额的确定方法，但是在司法实践中，仍然存在因受害人损失难以认定而最终落入法院酌定难题，因其极大不确定性，不仅当事人不敢主张，法院也不愿支持较高数额的损害赔偿，使得侵害个人信息损害赔偿的路径适用范围狭窄。

2.举证责任和归责原则困境

受害人请求损害赔偿还面临举证责任和归责原则困境。

在归责原则上，《个人信息保护法》第69条第1款并未延续《民法典》第1065条第1款的过错责任原则，而是采纳了1065条第2款的过错推定。但在适用上，过错推定责任存在适用范围狭窄的可能，如果侵权人非个人信息处理者（如委托处理个人信息中的委托人）或者不适用《个人信息保护法》中的个人信息处理情形，当发生侵害个人信息权益的纠纷，还是应适用过错责任原则。[4]

在举证责任方面，由于个人信息侵权受害人受举证偏在困境的影响，导致其不仅证明自己遭受的实际损失困难，还使得证明自己实际遭受损失和对方的侵权行为之间的因果关系困难重重，侵害个人信息微额损害的获赔成功率进一步降低，影响了制度适用积极性。

二、损害赔偿制度在个人信息大规模侵权救济中的必要性

（一）应对个人信息大规模微额侵权的实践需要

1.个人信息微额侵权的可救济性

对于微额侵权应否获得救济，学界之前的观点往往是否定的。比如曾有我国台湾地区学者指出：人类社会中纠纷时时刻刻都在发生，存在一些微额损害再正常不过了，没必要将微额损害在内的所有损害都诉诸于法律保护救济。[5]也有学者认为对微额损害建立损害赔偿制度势必会出现过多的个人信息损害赔偿的诉讼案件，司法资源成本过大，不能实现法律资源的最优配置。[6]显然，以上观点均立足于诉讼效益和成本的分析。

笔者认为以上观点确有合理之处，但如果过于刚性就无异于鼓励侵权。首先，微额损害虽然给个人带来的损害是微小的，但它影响的范围是广泛的，由此所带来的社会恶劣影响也是深远的，而且信息业者作为最终获益方来说，它的商业盈利性也巨大，对于信息业者所获得巨大利益和微额损害涉及到个人人格权的损害来说，此处运用司法资源不能说是浪费。其次，信息业者作为信息的收集者所处强势地位与普通个人信息“贡献者”所处弱势地位本身具有不对称性，理应通过民法的损害赔偿救济机制加以弥补改善，如果助长其侵权行为，易造成行业的滥用成风。最后，站在弥补立法漏洞与完善立法机制的角度，也应该完善立法在此方面的空白应对现实实践的需求。

2.我国既有立法并未否定对微额损害的救济

理论界与实务界对于侵害个人信息权益的损害赔偿责任已有一些研究，[7]但针对微额损害的研究还需要继续深入。作为重要的人格权益，《民法典》与《个人信息保护法》对微额损害并未排除。

首先，个人信息作为重要的人格权益被规定在《民法典》中。根据《民法典》总则编第111条、第四编人格权编第1034条至1038条，个人信息都是一项重要的人格权益。

其次，《民法典》和《个人信息保护法》均规定了对人格权益受损的私法救济。《民法典》第1182条明确规定了人身权益受到损害后损害赔偿额的确定问题，个人信息大规模微额损害符合这里关于人身权益的规定，理应受到侵权责任法的保护。《个人信息保护法》第69条第2款对个人信息的保护做了专门规定，承接《民法典》第1182条的立法精神，为个人信息侵权提供了损害赔偿依据。个人信息的大规模微额侵权损害相较于个人信息侵权损害，只是在侵权范围和侵权程度上与后者不同，但是在性质上仍属于个人信息的侵权损害，在救济上仍可以适用上述法条的规定。

综上，《民法典》与《个人信息保护法》均规定了个人信息损害赔偿救济，即使大规模侵权也不例外。

（二）提高个人在法律实现中作用的需要

1.个人维权积极性有赖于自身利益的实现

比较法上，有学者所提出的私人在法实现中的作用，颇具启发。[8]“利益”是当事人资格的基础，“利益”概念不断扩大，不仅包括法律上的利益还包括事实上的利益，私人的利益实现程度与维权积极性正相关，从而间接促进法的实现。可资借鉴的是，为了激发个人维权积极性，美国法在程序上规定允许私人作为相关人（relator）以州或州属机构名义起诉的相关人诉讼、市民提起的职务履行令（mandamus）、请求诉讼、纳税人提起的禁止令（injunction）请求诉讼等几种制度，承认私人作为一名市民从公的立场提起诉讼，并可以请求损害赔偿。当然，“利益相关者”持续扩容也可能引发社会滥诉问题，故各国基本在诉权理论上采纳较为严格“利害关系”理论的同时并适度扩展，此举有利于促进法的实现。

2.损害赔偿的填平原则是个人维权积极性的最低限度保障

损害赔偿对于提高私人维权积极性，提升在法实现中的作用有重要意义。作为私法效果的填平原则是维系受害人维权积极性的最低限度保障。为提高维权积极性，有观点认为应当超越填平原则，让维权者除了损害填平外更有额外所得，实现遏制与预防目标。根据此种观点，公法救济之罚金刑的短板之处即对于巨型企业，特定的罚金额不能够使其起到“痛定思痛”的效果，故建议引入私法上的损害赔偿救济方式，并以法定的形式将赔偿额定为金融费用的两倍，同时规定对每一个受害人的赔偿额度最低不得少于100元、最高不得高于1000元，这样一来，根据企业的人数和消费者的人数不同，能够给予相应规模企业恰当的制裁[9]。

损害赔偿救济的效果能够制裁和抑制违法现象、填补当事人的损害。此外，损害救济赔偿相较于公法上的罚金刑，还有助于激发其余未诉受害人群的积极性，间接达到提高社会治理效果的作用。

三、个人信息私法救济困境之克服

（一）个人信息侵权微额损害认定困难之克服

1. 个人信息侵权受害人“受到的损失”认定

《个人信息保护法》中关于69条第2款的规定“受到的损失”，是否包括精神损害，对此学界存在争论，但主流意见主张《个人信息保护法》第69条第2款所规定的“损失”，只是财产上损失，而不能扩张解释其为精神上的“损害”。[10]对此观点，笔者赞同。

首先，从文义解释上来说，“损失”一般指财产上的损害，而“损害”包括财产上的“损害”和精神上的“损害”，立法者在此处用“损失”一词而不用“损害”，已经表明“损失”仅限定在财产之上。

其次，从比较法上来看，精神损害条款如有规定，应当是单独规定并附加解释说明，不应该和财产的损害相混杂。比如《爱尔兰数据保护法》第7条在欧盟GDPR还未颁布之前一直将非物质性损害排除在外，但是随着GDPR的出台，2018年《爱尔兰数据保护法》详细规定了个人信息权益侵害的损害赔偿责任，并在第117条第10款明确损害包括物质损害和非物质损害。[11]在美国的个人信息权益侵害案件中，原告证明存在事实上的损害的主要理由之一是个人信息权益侵害造成精神困扰( emotional distress)，[12]以及美国法学会2020年发布的《数据隐私法律原则》也将情感损害( emotional harm)和情感上的寒蝉效应(chilling effect)都列为可以认定的损害。[13]美国经济激励机制下要求企业公开说明个人信息的经济价值及其计算方式，可为个人信息的非法收集、滥用、转让行为提供赔偿参照。

关于个人信息侵权后对财产性权利的损害的认定问题，目前只在《个人信息保护法》第69条第2款做了模糊规定，其中该条款之前段以“受到的损失”或“获得的利益”来确定对个人信息侵权后的损害赔偿，该条款之后段规定在既不存在实际损失也不存在侵权人获益的情况下，法院根据实际情况确定侵害个人信息的损害赔偿金额。将上述规定带入到个人信息的大规模的微额侵权损害赔偿中来，不难发现前者以“受到的损失”和“获得的利益”作为赔偿标准更像是法定赔偿模式，而后者更像是酌定赔偿模式，故由此引申出二者赔偿模式的路径走向问题，前者需要依靠具体的损失计算标准和获益的具体分配计算标准来达到由法定赔偿到法定赔偿额的转变，而后者需依靠法官自由裁量之时所虑及到的行为人的主观心态及损害后果的严重程度来确定赔偿额，酌定赔偿模式超出了其固有的补偿性质，使其具有了惩罚性质，其最终走向便是惩罚性赔偿模式。[14]《个人信息保护法》第69条第2款之前段，由法定赔偿模式向法定赔偿额模式的路径走向，对此站在比较法的角度，不少学者认为应借鉴美国《加利福尼亚消费者隐私法》（California Consumer Privacy Act，CCPA）及其配套的《CCPA行政规则（征求意见稿）》[California Consumer Privacy Act Regulations (Proposed Text of Regulations)]所构筑的经济激励机制引入个人信息保护模式，笔者认为，同样可以将其引入确定财产性权利受侵害的赔偿上来，因为在经济激励机制下要求企业公开说明个人信息的经济价值及其计算方式，可以为激励机制内所明确标价的个人信息提供经济损失计算依据，也为个人信息的非法收集、滥用、转让行为提供赔偿参照。[15]

具体损害赔偿请求制度构建如图1所示：

图1 财产性权利损害赔偿路径图

其中CCPA的经济激励机制主要的运作方式便是，通过大型信息业者在收集使用用户的个人信息时进行充分的告知，用户也拥有自由选择加入和退出权，企业通过公开说明个人信息的经济价值及计算方式来给自愿加入的用户提供直接的经济补偿或者提供差异化的服务和个别项目的收费标准。[16]在这里，对大规模的用户个人信息的微额侵害加以收集和利用，放到大型信息业者的市场利益上面来。当用户意识到数据价值和市场的存在但却被排除于市场外时，这种被剥夺感和失控感会导致用户的态度变得更具有攻击性。与之前的免费模式相比，经济激励制度可以为用户提供更直观地进入市场的通道，并允许用户直接、即时分享数据处理收益，由此一来，不仅增强了用户对个人信息的自决权，更能将前面提到的“攻击性”通过合理的方式运用到自诉权上面来，由此以来，可以对个人信息大规模微额侵权中的财产性利益损害部分进行有效的认定。

2.个人信息侵权导致的精神损害赔偿

如前所述，笔者并不赞同《个人信息保护法》第69条第2款所规定的“损失”包括“精神损害”，但实践中的确可能出现借助于精神损害赔偿制度实现受害人的利益诉求。

关于精神损害赔偿额的确定，最高人民法院相关司法解释曾专门规定。根据《最高人民法院关于确定民事侵权精神损害赔偿责任若干问题的解释》（法释〔2001〕7号）第10条，精神损害的赔偿数额确定因素中，“侵权人的获利情况”被单独列出，该规定在2020年的修订时得以延续，由此与《民法典》第1182条侵害人身权益造成财产损失赔偿数额的确定方法产生了很大关联。

对于个人信息大规模侵权，明确侵害的对象是选择进行损害赔偿的关键所在。有学者主张损害对象应当为财产性损害，而财产性损害的基础为个人信息可以商品化，但是对于损害赔偿数额建立最低额的损害赔偿制度持保留态度，而对于精神性人格权是否可以作为被侵害的对象，可以以加害行为的性质、程度和方式（如披露他人的隐私、诽谤他人、在发行量巨大或读者众多的媒体上实施侵害行为等），侵权人的主观过错程度（故意还是重大过失抑或轻微过失），损害后果的类型以及被侵权人因侵权而引起的连锁反应（如出现失眠、学习成绩下降、企图自杀）等来作为认定的标准，而不以《民法典》第1183条第1款所规定的“严重”作为标准。[17]还有学者认为个人信息的损害，特别是大规模个人信息的损害应当以精神损害人格权作为主要的损害赔偿对象，并且强调不以“严重”程度作为损害赔偿基础。[18]依照《民法典》相关规定，个人信息属于人格权编所保护的人格权益，在第1182条中侵害人身权益造成财产损失赔偿可以获得财产损害赔偿，而在第1183条第1款中，侵害自然人人身权益造成“严重精神损害”的，有权请求精神损害赔偿，两条规定中涉及的赔偿似乎为聚合关系，但由于精神损害赔偿中对“侵权人的获利情况”的考量，对个人信息大规模微额损害赔偿中“选择性”竞合更为合理。

当侵害对象的财产损失难以确定，选择精神损害作为赔偿的路径更为合理。对于上述的状况是比较理想化的状态，即个人用户在受到信息业者损害的情境下，财产损失能够被精确的确定或者通过一些物质（诸如个人数据的流失）损失可以参考数据流通的市场价值来进行模糊确定。当财产性损害赔偿难以算定时，精神损害赔偿路径可能就成为次优方案。对此，学界存在不同的看法，有学者呼吁效仿我国台湾地区的做法，建立最低额损害赔偿制度；[19]也有学者不赞同此种做法，理由为，若作此规定，可能对个人信息处理者造成过重的赔偿负担。例如，若是泄露100万人的个人信息，即便按照每个人500元计算，也意味着要赔偿5亿元。[20]在笔者看来，最终立法未采用最低赔偿额规定，并非出于个人信息处理者责任过重这一理由，从2021年7月滴滴被罚80.26亿案件⑤中我们可以看出，公法救济要比私法损害赔偿救济处罚“凶”得多，所以究其原因是背后有没有赔偿依据做支撑，欧美国家立法将非物质损害或者情感损害（emotional harm）作为明确的赔偿依据，而我国立法无论是《民法典》第1183条还是《个人信息保护法》第69条第2款都未有明确规定，所以要想让其落地需要将大规模个人信息侵权划归到精神损害赔偿中“严重”的标准当中。

由于《民法典》第1183条第1款所规定的精神损害赔偿中以“造成严重后果”为条件，导致适用门槛较高，笔者建议通过解释论构造适当降低门槛。

首先，借鉴《最高人民法院关于审理国家赔偿案件确定精神损害赔偿责任适用法律的若干问题的解释》（法释〔2021〕3号），（以下简称《解释》）中的关于精神损害赔偿规定来解释“造成严重后果”,在《解释》的第7条中详细规定了关于“造成严重后果”的情形，其中包括第3款受害人经诊断、鉴定为精神障碍或者精神残疾，且与侵权行为存在关联。第4款的受害人名誉、荣誉、家庭、职业、教育等方面遭受到严重损害，且与侵权行为存在关联。

其次，关于大规模个人信息侵权造成的损害，往往会给受害者带来上述第4款所规定的严重的精神损害，尤其敏感个人信息的损害，轻则给受害人的名誉、家庭等带来严重的负面影响，重则造成受害者的精神阴影乃至造成精神障碍，尤其是带有知名度的一类人群，更易遭受因个人信息的侵害而致精神伤害，例如2023年发生的红发女孩郑某某因个人信息泄露遭受网暴致郁最后选择自杀的事件。⑥以及同年因个人信息的肆意被扒致传播最终选择自杀的刘某某事件。⑦这些案例都值得我们深思，即可怕的不是个人信息被侵害或者被泄露的这一行为，而是个人信息被侵害或者被泄露所带来的一系列严重的后果，所以要想在源头上遏制这一类悲剧的发生，就必须采取源头治理的方式，即将大规模的个人信息的侵害界定为“造成严重后果”并允许请求必要的精神损害赔偿。

关于精神损害赔偿的数额，应当与酌定的财产损失大致均衡，可以考虑每个受害人所获精神损害抚慰金的数额一般不少于一千元。这里的一千元同样也可以作为对大规模个人信息侵权后由于财产上的损害赔偿不能满足，而作出的精神上的损害赔偿的兜底性赔偿，对于侵害个人信息的对象不同（即敏感个人信息和一般个人信息）进行上下浮动确定赔偿额。

（二）个人信息微额损害中归责原则和证明标准困境克服

对于个人信息侵权的归责原则，在《个人信息保护法》第69条规定之初有三种理论，分别为一元论、二元论、三元论。其中一元论主张不区分侵权主体，只要侵权人主观上有过错便承担过错推定责任；二元论主张区分侵权主体，公务机关主体采取违法收集、买卖等方式侵害个人信息权益的承担无过错责任，而非公务机关主体实施上述行为侵害个人信息权益的承担过错推定责任；三元论则认为还应将对大数据的自动化处理作为分类依据，即在吸收二元论的基础上，令在数据技术处理和资金支持上具有天然优势的政府主体承担无过错责任，根据是否拥有大数据自动化处理技术和资金支持将非政府主体又分为自动化数据处理主体和非自动化数据处理主体，对于前者适用过错推定责任，后者适用一般过错责任。随着《个人信息保护法》的颁布，一元论的理论应用得到了明确。那么在面对信息业者的大规模的轻微侵权之下一元论的采用是否存在有瑕疵的地方呢？在此笔者想要指出现行的一元论的过错推定归责原则的不足之处，并提出相应的完善建议。

1.归责原则困境之克服

对于非个人信息处理者导致的大规模个人信息侵权，过错推定归责原则失灵，可以考虑引入违法推定过失以及三元论的归责原则来弥补。《个人信息保护法》第69条规定的适用过错推定责任的主体即个人信息处理者，根据《个人信息保护法》第73条第一项的解释其仅指在个人信息处理活动中自主决定处理目的、处理方式的组织和个人。根据此规定，非个人信息处理者不能适用69条第1款规定的过错推定责任，只能适用过错责任（《民法典》第1165条第1款）[21]，假设信息业者换一种方式实施对个人信息的大规模轻微侵权（比如找到委托人为其进行收集、整理，自己进行回购的方式）此时如何确定归责原则，对此有不少学者主张采用无过错归责原则。[22]针对于此，为弥补司法实践中存在的该类问题，笔者作出以下建议：

其一，在司法实践中引入之前多数学者所提的违法推定过失规则[23]。此规则的含义是指处理者为经营者时，只要发生了个人信息的泄露或者丢失，其就要证明自己履行了采取适当的技术措施以确保信息安全的法定义务，否则其将被认定为违反了法定义务，进而认定有过错，其可以提出反证。[24]在此规则下，只要违法推定为存在过失，就可以发生诸如上述的非个人信息处理者大规模侵害个人信息权益时，适用一般过错原则，来减轻原告所承担的证明责任。[25]

其二，以三元论理论代替一元论理论，即以是否存在自动数据处理技术来处理个人信息的组织和个人来区分适用过错推定责任还是过错责任，针对信息业者的大规模的轻微个人信息侵权事件，大多都是以自动化数据处理技术来进行的个人信息的收集与整理，即便是其委托处理个人信息中的受托人（非个人信息的处理者），也能根据该理论适用过错推定归责原则，由此一来还可以准确区分出非个人信息处理者中的不具有大规模侵害性或处罚性的信息处理行为，例如自然人因个人或者家庭事务处理个人信息的行为，从而做到有效精准地进行归责惩处。

2.举证责任困境之克服

在证明责任上，面对侵害行为的证明困境，对大型信息业者科以特别义务。有学者为举证责任困境指出三条出路：其一，对持有证据但不负有举证责任的一方（从事信息业者的大型企业）科以事案阐明义务；其二，采证据协力制度，即强调第三人负有证据协助调查的义务；[26]其三，由于该诉讼中举证责任的存在，在法庭之上难以依据《民事诉讼法》第94条和96条的规范由法院主动依职权调取证据，故应加强法院主动调取证据的力度。

笔者认为，上述三条出路在适用过程中存在粘连密切和选择递进关系，无法达成理想状态下举证责任减轻的目的。从事信息业者的大型企业的主动事案阐明义务因为具有先入性和控制性，往往影响后两种路径的走向。法官在司法实践中往往为了节省司法资源，在对被告信息处理者的主动事案阐明和案外第三人的参与协助调查后，法院主动调取证据便不再实施。试想，在大型信息业者发生大规模微额侵权事件之后，由于其主动事案阐明义务的先行，为了维护自己企业的根本利益或者减少损失，势必作出有利于增加其权利和减少其义务的说明，而对于这里的第三人先不论私下里有无被“收买”的嫌疑，即使未被收买，受前者力量的施压与先入性影响，为减少自身信息调查成本也更容易作出有利于信息业者的结论。由于此三条路径递进关系的存在，前两个路径的“成就”使得法官的主动调查往往形同虚设。故，三种路径在司法实践中难免出现“治标不治本”的情况。对于信息业者的大规模微额侵权行为的规制，应当深入其算法运行当中进行根本的认识与处理。信息业者与信息主人本存在能力鸿沟，可以将格式条款引用于信息业者大规模微额侵权的规制中，格式条款无效，侵权行为也相应地不证自明。

在因果关系的证明体系中，可以考虑采用证明责任倒置以及在大型企业中引入个人信息的保护制度来化解举证难题。关于因果关系体系存在的举证困难问题，曾有学者主张对此要件采用证明倒置的方法来合理分配证明责任以保护处于劣势地位的个人信息受害者。[27]以上观点可值赞同，在诸如上述措施实施的基础上可以在从事信息业者的大型企业中《个人信息保护法》第52条规定，建立个人信息的保护制度，由此一来，不仅使得被告人更加明晰，从而可以有效缓解发生侵害后损害义务人难以确认的阻力，且有助于损害赔偿主体和侵权主体的确定与审查。比如，前面提到的滴滴被罚案，强制要求其内部设立个人信息保护人制度即信息保护部门，不仅可以快速确定具体被告，还可以依据其内部的信息保护部门的信息资料更加有利于侦查部门对其的侦查，故此部门的独立设置具有重大意义。通过信息业者个人信息保护部门的建立，使得个人信息的商业流通渠道和买卖价值得以确定，由此有利于对被侵权人的赔偿金额的认定，从而对个人信息被侵害者的财产性利益损失能够做出相对准确的估量，也有助于上述提到的个人信息微额损害最低赔偿标准制度中最低赔偿基准额的确定。

具体归责原则和证明标准路径如图2所示：

图2 归责原则和证明标准路径图

四、结 语

大数据信息产业的不断发展与变革创新，带来大规模轻微侵权，随着《个人信息保护法》的颁布，目前我国对此类事件的救济途径尚更为依靠公法的处罚、公益民事诉讼或者行政诉讼来进行处罚规制，而对于私法上的个人诉讼救济仿佛还处于“萌芽期”，由于举证责任和损害赔偿成本问题的存在，使得在司法实践中个人要求进行损害赔偿的案例少之又少。公法处罚和公益诉讼的救济确实发挥了其应有的功效，但是如何平衡公法、公益诉讼和私法救济之间的适用成为当下亟待解决的难题，因此有必要对《民法典》和《个人信息保护法》中的有关条文进行解释说明，尤其是《个人信息保护法》的第69条。通过上述对大规模轻微损害赔偿中的财产性权利损害赔偿的认定、精神性损害赔偿的认定以及证明标准和证明责任的认定标准的说明和探讨，将有助于进一步完善救济路径，为个人信息大规模缴额损害的赔偿提供有力的制度支持。

注释：

① 北大法宝CLI.C.410381362.上海青浦、江苏吴江、浙江嘉善三地法院及市场监督管理局联合发布消费者权益保护十大典型案例之七：某售楼处人脸识别系统侵害消费者个人信息被行政处罚案——公共区域内个人信息的采集须经消费者同意：https://www.pkulaw.com/pfnl/a6bdb 3332ec0adc4fd16598e518433457d04687244e69ad 7bdfb.html?Keyword，最后访问时间：2023年6月5日.

② 参见《新宝看法（十九），如何理解<个人信息保护法>新增的公益诉讼?》，资料来源于微信公众号“教授加”[EB/OL].(2022-12-26)：https://mp.weixin.qq.com/s/dSsMw4hRuQweWhcNQ3wG4A.

③ 北大法宝CLI.C.315406566.最高人民检察院发布11件检察机关个人信息保护公益诉讼典型案例之二：浙江省温州市鹿城区人民检察院督促保护就诊者个人信息行政公益诉讼案：https://www.pkulaw.com/pfnl/c05aeed05a57d b0a5ba2c8d533bd3010de1a8d361b293312bdfb.html?keyword,最后访问时间：2022年12月26日.

④ 北大法宝CLI.C.315420076最高人民检察院发布11件检察机关个人信息保护公益诉讼典型案例之七：浙江省杭州市余杭区人民检察院诉某网络科技有限公司侵害公民个人信息民事公益诉讼案：https://www.pkulaw.com/pfnl/c05aeed05 a57db0af390395d567e5e75ff7329644fd20fb6bdfb.html?keyword，最后访问时间：2022年12月26日.

⑤ 参见人民网评--观点频道：《维护网络安全、保护个人信息，滴滴须牢记！》http://opinion.people.com.cn/n1/2022/0721/c1003-32482422.html#:～:text，最后访问时间：2023年6月9日。

⑥ 参见《心碎消息，年仅24岁！网传“染粉头发被网暴女生”自杀去世》资料来源于微信公众号“极目新闻”[EB/OL].（2023-05-20）https://mp.weixin.qq.com/s?search_click_id.=2677606063001858629-1685852330025-7610408664&__biz.

⑦ 参见《刘学周，被嫌弃的一生》资料来源于微信公众号“虎嗅APP”[EB/OL].（2023-05-20） https://mp.weixin.qq.com/s?search_click_id=3878878334105034279-1685852826554-0226876867&__biz.