侵害个人信息权的民事责任
——以《个人信息保护法》与《民法典》的解释为中心

杨显滨 王秉昌

内容提要 侵害个人信息权可能造成妨害、损害及妨害与损害并存三种法律后果，民事责任承担因行为人、法律适用、归责原则、计算规则等的不同存在差异，学界对此争论不断，亟待厘清与完善。在个人信息权妨害层面，个人信息处理者妨害个人信息权行使的，应优先适用《个人信息保护法》第44 条至50条，无法充分救济的，适用《民法典》第995 条；非个人信息处理者妨害个人信息权行使的，适用《民法典》第995 条。在侵害个人信息（包括私密信息）构成侵权层面，个人信息处理者的侵权损害赔偿责任适用《个人信息保护法》第69 条第1 款的过错推定责任原则，非个人信息处理者的侵权损害赔偿责任适用《民法典》第1165 条第1 款的过错责任原则。在损害赔偿数额计算规则层面，个人信息处理者侵害个人信息权造成财产损失的，直接适用《个人信息保护法》第69 条第2 款；造成精神损害的，只能以个人信息处理者获得的利益为依据计算赔偿数额；两种境遇下，损失与利益或利益难以确定的，根据实际情况确定赔偿数额。非个人信息处理者侵害个人信息权造成损害的，损害赔偿数额参照《民法典》第1182 条、第1183 条及相关司法解释确定。

一、侵害个人信息权的民事责任承担的困境

1.个人信息权妨害救济条款适用的三重困境

《中华人民共和国民法典》（以下简称《民法典》）出台前，人格权请求权与侵权损害赔偿请求权未实现分离，“过错责任广泛适用于一般的侵权责任形态”[1]王利明：《侵权责任法研究》（上卷），中国人民大学出版社2016年版，第234页。。行为人侵害人格权构成侵权的，受害人依原《侵权责任法》第6条第1款适用过错责任原则主张侵权责任。人格权可能或正遭受持续妨害，未构成侵权的，受害人无法通过侵权责任寻求救济，遭受诟病颇多[1]多数学者批判原《侵权责任法》第6条、第7条和第15条，如魏振瀛教授主张“停止侵害、排除妨碍、消除危险与返还财物适用无过错责任（不问侵权人有无过错）”。参见魏振瀛：《侵权责任方式与归责事由、归责原则的关系》，《中国法学》2011年第2期。杨立新认为“只有在损害赔偿责任中，才适用过错责任原则”，人格权受到威胁、妨害的，受害人主张返还原物、排除妨碍等民事责任，过错不是必须具备的要件。参见杨立新：《侵权责任法：条文背后的故事与难题（第二版）》，法律出版社2018年版，第44页。程啸提出“绝对权请求权的成立与行使与归责无关”，人格权是绝对权，其受到妨害，受害人可直接要求停止侵害、排除妨碍、消除危险，不适用过错责任原则。参见程啸：《中国民法典侵权责任编的创新与发展》，《中国法律评论》2020年第3期。。《民法典》第1165条第1款最终做出回应，在原《侵权责任法》第6条第1款的基础上增加“损害”措辞，损害赔偿责任适用过错责任原则。《民法典》第995 条规定了人格权请求权，损害赔偿请求权与人格权请求权得以分离，且不以过错为要件。个人信息权属于人格权，其遭受妨害的，受害人（信息主体）依据《民法典》第995 条主张停止侵害、排除妨碍、消除危险、赔礼道歉等民事责任的，无须考量行为人是否存在过错。然而，有学者提出，《民法典》第1037条规定的查阅权、复制权、异议权、更正权、删除权是人格权请求权的具体表现，个人信息权受到妨害的，信息主体可直接行使上述权利[2]Schiopu, Silviu-Dorin, "General Consideration on the Right to the Erasure of Personal Data", Revista Universul Juridic,2019（9）,p.47.，无须依《民法典》第995条主张个人信息权妨害责任。在“杨志胜、湖南沅江农村商业银行股份有限公司名誉权纠纷案”[3]湖南省沅江市人民法院〔2021〕湘0981民初1326号民事判决书。中，法院认为，生效再审判决已确认杨志胜不再对王伟文使用的10万元贷款承担责任，因而支持原告要求消除不良记录的诉求。在“梁吉辉与中国农业银行股份有限公司宝泉岭支行名誉权纠纷案”[4]黑龙江省宝泉岭农垦法院〔2021〕黑8101民初139号民事判决书。中，法院认为，中国人民银行征信中心出具的个人信用报告存在信息错误，原告有权提出异议并请求及时采取更正等必要措施。上述案件中，当事人均主张适用《民法典》第1037条。《民法典》第995条处于人格权编一般规定章节，是一般条款，第1037条位于人格权编隐私权和个人信息保护章节，是特别条款[5]汪全胜：《“特别法”与“一般法”之关系及适用问题探讨》，《法律科学（西北政法大学学报）》2006年第6期。，第1037条具有适用上的优先性。上述主张存在合理之处，美中不足的是：信息主体依《民法典》第1037条行使查阅权、复制权、异议权、更正权、删除权，个人信息权妨害未必得到完全救济，如侵害正在进行、存在实际妨害或危险等，这恰是第995条可能达到的救济效果。第995条与第1037条具体如何适用，信息主体根据具体的侵权形态享有选择权。个人信息权未遭受妨害，仅存在个人信息错误、违规处理等情势，适用第1037条似乎更好。信息主体主张适用第995条而行为人主张适用第1037条者，法院可能遵循“特别法优于一般法”原则适用第1037条，则会出现上述得不到完全救济的困境，反之亦然。这构成个人信息权妨害救济条款适用的第一重困境。若存在个人信息错误、违规处理等情势，个人信息处理者的行为也构成对信息主体个人信息权行使的妨害，作为受害人的信息主体是否可以同时主张第1037条和第995条项下的权利，构成个人信息权妨害救济条款适用的第二重困境。

卡尔·拉伦茨提出：“人身权根据他的实质是一种受尊重的权利，一种人身不可侵犯的权利。”[6]卡尔·拉伦茨：《德国民法通论》（上册），王晓晔译，法律出版社2003年版，第379页。个人信息权是一项具体人格权，具有排除他人非法侵害的防御权能。查阅权、复制权、异议权、更正权、删除权是个人信息权的原权请求权[7]郭明瑞：《论侵权请求权》，《烟台大学学报（哲学社会科学版）》2013年第3期。，义务主体为信息主体以外的所有人。信息主体有权要求他人在处理其个人信息时，不对其权利造成实际损害或妨害[8]Laurel J. Harbour, Ian D. MacDonald & Eleni Gill, "Protection of Personal Data: The United Kingdom Perspective",DEF.Counsel.J,2003,70(1),p.104.。《民法典》是民事权益保护的基本法，该法第1037条是个人信息权救济的基础规则，“信息处理者”理应为一切义务主体，而不论是否为个人信息处理者。有学者却主张，“在概念术语之选择、个人信息的权属定位和保护模式、个人信息处理原则及具体规则等诸多领域”[1]郑晓剑：《论〈个人信息保护法〉与〈民法典〉之关系定位及规范协调》，《苏州大学学报（法学版）》2021年第4期。，《民法典》与《个人信息保护法》存在密切协同，《民法典》规定的“信息处理者”意即《个人信息保护法》规定的“个人信息处理者”，该观点得到广泛认可。但《民法典》第1037条查阅权、复制权、异议权、更正权、删除权排除适用非个人信息处理者的妨害行为，恐有违人格权之绝对权特性。此等争锋下，《民法典》规定的“信息处理者”与《个人信息保护法》规定的“个人信息处理者”语义是否相同，后续出台的司法解释应予以特别说明。“信息处理者”与“个人信息处理者”为同一语义，且非个人信息处理者的行为对个人信息权构成妨害的，适用《民法典》第995条；语义不同者，适用第1037条。故此，“信息处理者”与“个人信息处理者”的语义衔接问题构成个人信息权妨害救济条款适用的第三重困境。

2.《个人信息保护法》第69条第1款的适用困局：侵权主体&侵权客体

个人信息权侵权损害赔偿责任适用何种归责原则，学界争议由来已久，主要存在“过错责任说”[2]杨立新：《侵害公民个人电子信息的侵权行为及其责任》，《法律科学（西北政法大学学报）》2013年第3期。、“无过错责任说”[3]程啸：《论侵害个人信息的民事责任》，《暨南学报（哲学社会科学版）》2020年第2期。和“区分说”[4]程啸：《论我国个人信息保护法中的个人信息处理规则》，《清华法学》2021年第3期。。《个人信息保护法》第69条第1款规定，个人信息处理者侵害个人信息权造成损害的，适用过错推定责任原则。言外之意，非个人信息处理者为侵权主体的，《个人信息保护法》第69条第1款无适用空间，此时应适用《民法典》第1165条第1款过错责任原则。在“北京兰世达光电科技有限公司、黄晓兰诉赵敏名誉权纠纷案”[5]北京市第三中级人民法院〔2018〕京03民终725号民事判决书。中，法院认为，赵敏将不当言论发至有众多该小区住户的两个微信群，主观过错明显，应当承担侵权责任。在“潘某与聂某名誉权纠纷上诉案”[6]四川省成都市中级人民法院〔2006〕成民终字1423号民事判决书。中，法院认为，聂某侵害隐私权具备主观过错，应承担民事责任。个人信息的收集、存储、使用、加工、传输、提供、公开、删除等处理行为由个人信息处理者（特别是法人、非法人组织）实施时，其相对于信息主体优势明显。因此，侵权主体为个人信息处理者时，损害赔偿责任适用《个人信息保护法》第69条第1款，得到多数学者的认可。然而，在《民法典》与《个人信息保护法》协同构建的个人信息权侵权损害救济的“象牙塔”下，《个人信息保护法》第69条第1款的准确适用却面临现实困局。《个人信息保护法》第73条第1项将个人信息处理者界定为，个人信息处理活动中，自主决定处理目的、处理方式的组织、个人。有学者指出，“信息处理者是单独或与其他主体共同决定个人信息使用目的、途径的自然人、法人、其他组织”[7]Bainbridge, DavidI, "Processing Personal Data and the Data Protection Directive", Information & Communications Technology Law,1997,6(1),p.20.。但是，皆未限定处理目的。遵循文义解释，出于自身需要[8]汉典网，https://www.zdic.net/hans/目的，2022年1月25日访问。，自主决定采纳某种方式处理个人信息的，即为个人信息处理者，与非个人信息处理者界限模糊。此等境遇下，侵害个人信息权造成损害的，侵权主体是否为个人信息处理者，取决于法院的自由裁量。处于劣势地位的信息主体事先难以确定应否适用《个人信息保护法》第69条第1款，损害无法得到及时救济。“举证之所在，败诉之所在。”[9]陈永生：《论刑事诉讼中控方举证责任之例外》，《政法论坛》2021年第5期。参照域外立法，韩国《个人信息保护法》第2条第5项规定，“‘个人信息处理者’是指为官方或商业目的操作个人信息档案，直接或间接处理个人信息的公共机构、法人、组织、个人等”，处理目的限定为“官方或商业目的”[1]李爱君、苏桂梅：《国际数据保护规则要览》，法律出版社2018年版，第446页。。为保障个人信息权，划定侵权主体范畴，我国未来是出台司法解释限定《个人信息保护法》第73条第1项的“处理目的”，抑或由法院自由裁量，构成《个人信息保护法》第69条第1款的适用困局之一。

此外，个人信息与隐私存在交叉，尤其是属于隐私的私密信息与敏感个人信息[2]敏感个人信息是指与个人种族、政治倾向、宗教信仰、健康信息等相关的信息。See Rebecca Wong, "Data Protection Online:Alternative Approaches to Sensitive Data",J.Int'l Com.L.&Tech.,2007,1(1),p.10.存在重合[3]王利明：《敏感个人信息保护的基本问题——以〈民法典〉和〈个人信息保护法〉的解释为背景》，《当代法学》2022年第1期。。《民法典》第1034条第3款规定：“个人信息中的私密信息，适用有关隐私权的规定；没有规定的，适用有关个人信息保护的规定。”在“凌某某诉北京微播视界科技有限公司隐私权、个人信息权益网络侵权责任纠纷案”[4]北京互联网法院〔2019〕京0491民初6694号民事判决书。“王某、上海万某小额贷款有限公司隐私权纠纷案”[5]广东省深圳市中级人民法院〔2020〕粤03民终6646号民事判决书。“陆某、广州弟诚商贸有限公司隐私权纠纷案”[6]广东省广州市白云区人民法院〔2021〕粤0111民初20124号民事判决书。等案件的判决中，法院认为，个人信息处理者违法处理私密信息，构成隐私权侵权，未造成损害的无须考虑过错问题；造成损害的，适用《民法典》第1165条第1款中的过错责任原则。但《个人信息保护法》作为特别法，该法第69条第1款应优先适用于侵权客体为个人信息的情势；侵权客体为私密信息时，适用《民法典》第1165条第1款。此种划分旨在强化个人信息保护，实现个人信息保护与利用、流通的衡平。然而，在这个过程中，《个人信息保护法》第69条第1款限定侵权客体为个人信息，与《民法典》1032条第2款、第1034条第3款力图通过隐私权“强保护”私密信息的立法初衷背道而驰。具体而言，私密信息纳入隐私的立法目的在于为私密信息提供“强保护”。故此，有学者认为，隐私信息保护的基本规则是个人信息保护的“黄金规则”[7]Cooper, David M., "Transborder Data Flow and the Protection of Privacy: The Harmonization of Data Protection Law",Fletcher Forum,1984,8(2),p.344.。该规则在一定程度上弱化其他个人信息的保护，促进个人信息的利用与流动。王利明教授认为“隐私信息重在保护个人的私密空间，也就是说，重在‘隐’”[8]王利明：《王利明学术文集·人格权编》，北京大学出版社2020年版，第663页。，正是此意。事实上，《个人信息保护法》第69条第1款限定适用个人信息为侵权客体，立法者的梦想化为泡影，一对矛盾开始浮出水面。侵权客体为个人信息且信息主体遭受损害的，适用《个人信息保护法》第69条第1款过错推定责任原则。“举证倒置”规则加重了个人信息处理者的举证责任，强化了个人信息保护。侵权客体为私密信息且受害人遭受损害的，适用《民法典》第1165条第1款过错责任原则。“谁主张谁举证”规则减轻了个人信息处理者的举证责任，弱化了私密信息的保护。据此，仍然依循《个人信息保护法》在过错推定原则的主导下对私密信息以外的个人信息实施“强保护”，毁灭《民法典》立法者对私密信息进行“强保护”的“美梦”，抑或回到立法者的初心，构成《个人信息保护法》第69条第1款适用的第二个困局。

3.个人信息权侵权精神损害赔偿责任的归责原则：过错责任VS 过错推定

个人信息上承载着人格利益和财产利益，个人信息处理者违法处理个人信息造成损害的，信息主体常遭受财产损失和精神损害[9]杨显滨：《网络平台个人信息处理格式条款的效力认定》，《政治与法律》2021年第4期。。审视《个人信息保护法》第69条第1款，财产损失赔偿责任适用过错推定责任原则，当无异议。但是，对于精神损害赔偿责任适用何种归责原则，学界则存在争议。杨立新提出：“《个人信息保护法》没有规定侵害个人信息权益的精神利益的精神损害赔偿……应当依照《民法典》第1183条第1款规定确定精神损害赔偿责任。”[1]杨立新：《个人信息处理者侵害个人信息权益的民事责任》，《国家检察官学院学报》2021年第5期。言外之意，《个人信息保护法》第69条第2款是财产损失的赔偿规则，财产损失赔偿责任适用过错推定责任原则；精神损害赔偿责任以“造成严重精神损害”为前提[2]杨立新：《侵害个人信息权益损害赔偿的规则与适用——〈个人信息保护法〉第69条的关键词释评》，《上海政法学院学报（法治论丛）》2022年第1期。，采用过错责任原则。在“梁某某与上海山讯网络科技有限公司人格权纠纷案”[3]山东省济南市历城区人民法院（2015）历城民初字第1641号民事判决书。中，法院提出，被告披露了梁某某的港澳通行证上的个人信息，存在过错，且损害后果严重，判决被告支付精神损害抚慰金。事实上，《个人信息保护法》第69条第2款源自《民法典》第1182条，后者是侵害人身权益造成财产损失的赔偿数额计算规则，前者的赔偿数额计算规则与后者表述相似。对此，王利明等曾提出，《民法典》第1182条的适用范围扩展至个人信息保护，《个人信息保护法》第69条第2款是对《民法典》第1182条的细化[4]王利明、丁晓东：《论〈个人信息保护法〉的亮点、特色与适用》，《法学家》2021年第6期。。遵循体系解释，明确《个人信息保护法》第69条第2款仅为个人信息权侵权中财产损失赔偿数额的计算规则，进而排除过错推定责任原则对精神损害赔偿责任的适用，转而诉诸《民法典》第1183条第1款适用过错责任原则具有合理性。然而，财产损害赔偿责任和精神损害赔偿责任适用不同的归责原则不利于损害救济，上述主张是否可行值得推敲。彭诚信教授则认为，“个人信息财产利益与人格利益一体救济亦有适用上的特殊性”[5]彭诚信：《论个人信息的双重法律属性》，《清华法学》2021年第6期。，财产损害赔偿责任和精神损害赔偿责任应统一适用过错推定责任原则，且精神损害无须达致严重程度。立足个人信息权侵权案件，损害赔偿责任统一适用过错推定责任原则，精神损害和财产损失能获得一体救济，亦可以减轻诉累。但此种主张的依据是什么，《个人信息保护法》第69条第2款与第《民法典》第1182条之间的关系如何界定及何以协调适用，有待进一步诠释。另外，也有学者提出个人信息权侵权责任应采用无过错责任原则（敏感个人信息）或过错推定责任原则（非敏感个人信息）[6]程啸：《论我国个人信息保护法中的个人信息处理规则》，《清华法学》2021年第3期。，但此种主张随着《个人信息保护法》的落地，已无太大意义。程啸指出，《个人信息保护法》第69条第2款是对《民法典》第1182条的创新，该款规定的“损失”包括“财产损失”和“精神损害”[7]程啸：《侵害个人信息权益的侵权责任》，《中国法律评论》2021年第5期。。《民法典》第1182条适用于任何人身权益侵权案件，《个人信息保护法》第69条第2款只适用于个人信息权侵权案件，这是由《个人信息保护法》的特别法地位决定的。据此，《个人信息保护法》第69条第2款作为《民法典》第1182条规定的特别条款，可以对“损失”的内涵作出不同界定，精神损害赔偿责任适用过错推定责任原则是说得通的。然而，肆意扩张《个人信息保护法》第69条第2款的“损失”范围至精神损害，有混淆侵权法中“损失”与“损害”的语义之虞，有进一步讨论的空间。

此等境遇下，个人信息权侵权中，信息主体遭受精神损害，适用过错责任抑或过错推定责任原则，事关个人信息的保护、利用与流通，亟待寻求消解之法。追根溯源，采用何种归责原则取决于如何对《个人信息保护法》第69条第2款中的“损失”进行解释，即是限缩解释为财产损失，抑或其本意就是财产损失，还是扩大解释为财产损失和精神损害。解释为财产损失，则与《民法典》第1182条保持一致，损失等于财产损失。个人信息侵权造成精神损害的，只能委诸《民法典》第1183条第1款，财产损失赔偿责任与精神损害赔偿责任的归责原则出现二分现象。解释为财产损失与精神损害，则与《民法典》第1182条存在冲突与协调适用问题，优点是财产损失赔偿责任与精神损害赔偿责任的归责原则实现了统一。

二、《民法典》与《个人信息保护法》个人信息权妨害救济条款的适用机制

1.个人信息处理者妨害个人信息权行使：《个人信息保护法》的优先适用规则

个人信息权与隐私权皆为人格权，对个人信息的保护却泾渭分明。隐私权保护私密信息不被公开、泄露，重在“隐”，注重消极防御；个人信息权着重保障个人信息自决，是信息主体控制自身信息的权利，重在“识别”，强调利用与流通[1]杨立新：《侵权法热点问题法律应用》，人民法院出版社2000年版，第419页。。隐私权是精神性人格权，主要体现人格利益，而个人信息权是一种综合性人格权，既具有可识别性的人格属性，也具有财产属性，坚持保护与利用并重。因而，《民法典》第1037条专款规定个人信息权的主要权能，包括查阅权、复制权、异议权、更正权、删除权[2]申卫星：《论个人信息权的构建及其体系化》，《比较法研究》2021年第5期。。王利明教授认为，更正权和删除权是人格权请求权的具体表现[3]王利明：《论人格权请求权与侵权损害赔偿请求权的分离》，《中国法学》2019年第1期。，个人信息权受到妨害的，信息主体可直接行使上述权利。目的在于规制个人信息处理活动，实现个人信息处理者与信息主体之间的利益均衡，达致公平正义。莫里斯·奥里乌认为，“法是一种行为准则，旨在同时实现社会秩序和正义”[4]莫里斯·奥里乌：《法源：权力、秩序和自由》，鲁仁译，商务印书馆2015年版，第62页。。《民法典》颁布之前，人格权请求权与侵权损害赔偿请求权尚未分离，导致“侵害”和“损害”混淆不清。《民法典》第1165条第1款相对于原《侵权责任法》第6条第1款，增加了“造成损害的”的表达，以区别于“侵害”。即人格权请求权不以损害为要件，无须考虑过错，况且“只有过错的确认尚不足以构成损害赔偿义务”[5]克默雷尔：《侵权行为法的变迁（下）》，王洪亮、李静译，《中德私法研究》2009年第5卷。，而在过错责任原则和过错推定责任原则下，损害赔偿请求权以过错为要件。《民法典》第995条关于“人格权受到侵害的”的措辞，在一定程度上也佐证了以上论述。在“绵阳农村商业银行股份有限公司文胜路支行、绵阳农村商业银行股份有限公司等一般人格权纠纷案”[6]四川省绵阳市中级人民法院〔2021〕川07民终3138号民事判决书。中，法院认为，名誉权和其他人格权受到侵害的，受害人有权要求停止侵害，便是对人格权请求权的肯定。法谚云：“无损害即无责任。”“损害事实的有无，是认定侵权行为的逻辑起点。”[7]张俊浩、刘心稳、姚新华：《民法学原理（下册）》（修订第三版），中国政法大学出版社2000年版，第908页。《民法典》第1165条第1款对原《侵权责任法》第6条第1款的调整也说明了这一点，是立法的一大进步。然，《民法典》第1037条置于人格权编，是个人信息权妨害的救济条款，其与同位于人格权编的第995条及《个人信息保护法》第44条至第50条之间是什么关系，如何协调适用，有待理清，否则个人信息权的妨害救济问题难以从根本上得到消解。

个人信息经利用和流通产生财产利益[8]Hazel,S.H.,"Personal Data as Property",Syracuse Law Review,2020,70(4),p.1076.，信息主体为自然人，实际掌控者却是个人信息处理者。个人信息处理者主要是国家机关或实力雄厚的企业，其设定个人信息的用途、目的、具体处理方案，把控个人信息的处理过程，相对于信息主体优势明显[9]杨显滨、麻晋源：《个人信息的民事法律保护与限度》，《江海学刊》2021年第4期。。个人信息权受到妨害的，信息主体可依据《民法典》第1037条寻求救济，但各种权利具体该如何行使及在什么情况下行使不甚明了。在“韩俊与重庆皇昊钢管有限公司人格权纠纷案”[10]重庆市江津区（县）人民法院〔2020〕渝0116民初9138号民事判决书。中，法院认为，被告采取虚构方式使韩俊的个人信息发生错误变化，破坏了其对个人信息正确性的合理期待，损害了韩俊与其个人信息之间的真实关联，原告有权请求更正。在“王刚、东无棣农村商业银行股份有限公司等名誉权纠纷案”[11]山东省滨州地区（市）中级人民法院〔2021〕鲁16民终3549号民事判决书。中，法院认为，当事人发现信用评价不当的，有权提出异议并请求采取更正、删除等必要措施。《个人信息保护法》第44至50条在《民法典》第1037条赋予信息主体查阅权、复制权、异议权、更正权、删除权的基础上，增加了知情权、决定权、拒绝权和解释权。信息主体对个人信息处理享有知情权，如知悉个人信息处理的目的、方式、保存期限等。现有立法“实际上是通过以查阅、抄录或者复制等具体行为为切入点确认了学理上所谓的访问权和知情权”[1]吕炳斌：《个人信息权作为民事权利之证成：以知识产权为参照》，《中国法学》2019年第4期。。个人信息权“常常被称为‘个人信息自决权’”[2]王利明：《论个人信息权在人格权法中的地位》，《苏州大学学报（哲学社会科学版）》2012年第6期。，是指“个人依照法律控制自己的个人信息并决定是否被收集和利用的权利”[3]Gola/Schomerus，Bundesdatenschutzgesetz（BDSG）Kommentar，11.Auflage，Verlag C.H.Beck München 2012，Rn.9.。因此信息主体对个人信息有决定权。有学者认为，“认定个人信息处理者的关键是判断其是否对信息处理享有决定权”[4]Fielding,R.,"The Concept of Controller and Processor Data Entities", Int'l J.Data Protection Officer,Privacy Officer&Privacy Couns.,2018,2(8),p.8.。“而决定权则实际上‘被吸收’于知情权之中。”[5]姚佳：《论个人信息处理者的民事责任》，《清华法学》2021年第3期。刘士国教授认为，“资料控制者违法使用个人信息或者管理个人资料不当侵犯个人信息控制权的，应当承担民事责任”[6]刘士国：《中华人民共和国人格权法律条文建议附理由》，中国政法大学出版社2017年版，第13页。。个人信息处理前，收集、存储、使用、加工等行为可能妨害个人信息权的，信息主体可依据《个人信息保护法》第44条行使拒绝权，拒绝个人信息处理者处理个人信息。这与欧盟《通用数据保护条例》（GDPR）第21条有相通之处。GDPR第21条第1项规定，信息主体有权拒绝个人信息处理者的处理行为。信息主体行使拒绝权后，除非存在正当化事由，个人信息处理者不得处理个人信息。该条第2款确立信息主体有权拒绝个人信息处理者在任何时间为商业目的处理个人信息。此外，个人信息处理过程中，个人信息权受到妨害的，信息主体亦有权行使拒绝权。《个人信息保护法》第46条第1款规定：“个人发现其个人信息不准确或者不完整的，有权请求个人信息处理者更正、补充。”这是对《民法典》第1037条第1款关于“发现信息有错误的，有权提出异议并请求及时采取更正等必要措施”规定的细化，使异议权和更正权的行使更具可操作性。“个人信息不准确或不完整的”，信息主体的真实情况无法得到全面、正确地展示，个人信息权亦可能受到妨害[7]申卫星：《论个人信息权的构建及其体系化》，《比较法研究》2021年第5期。，如网络服务的产品和质量因个人信息（身高、体重、年龄等）错误得不到保障。在这种情况下，信息主体依据《个人信息保护法》第46条，有权主张异议权和更正权，要求个人信息处理者更正、补充个人信息。

此外，信息主体有权随时删除与其有关的个人信息，欧盟法院在“西班牙谷歌案”[8]Google Spain SL, Google Inc v. Agencia Espandola de Protection de Datos and Mario Costeja Gonzalez, E.C.R.317(2014).中明确此项权利为“被遗忘权”（the right to be forgotten），称信息主体有权要求西班牙谷歌公司删除与其有关的个人信息，保护个人信息权免受妨害，而后GDPR第17条正式确立此项权利。有学者认为，“被遗忘权”正逐渐被确立为一项道德性质、承载社会价值的政策取向[9]Forde, Aidan, "Implications of the Right to Be Forgotten", Tulane Journal of Technology and Intellectual Property,2015,18(1),p.84.。无独有偶，在“任甲玉诉北京百度网讯科技有限公司名誉权、姓名权、一般人格权纠纷案”[10]北京市海淀区人民法院〔2015〕海民初字第17417号民事判决书。中，百度搜索引擎“相关搜索”出现与任甲玉有关的词条，任甲玉亦要求北京百度网讯科技有限公司采取删除措施，法院却未予以认可。作为对此类社会问题的回应，《个人信息保护法》第47 条在《民法典》第1037 条的基础上，通过第1 款5 种具体情形的罗列，细化了删除权的具体内容。个人信息处理者妨害个人信息权的，信息主体可行使删除权。《个人信息保护法》第48条规定：“个人有权要求个人信息处理者对其个人信息处理规则进行解释说明”，赋予信息主体解释权。

综上所述，个人信息处理者违法处理个人信息造成个人信息权妨害的，信息主体依据《个人信息保护法》第44条至第50条行使知情权、决定权、拒绝权、查阅权、复制权、异议权、更正权、删除权、解释权即可能实现救济[1]王利明：《论个人信息权的法律保护——以个人信息权与隐私权的界分为中心》，《现代法学》2013年第4期。，而《民法典》第995条的适用空间较小。不过，个人信息权妨害对信息主体造成侵害，如名誉减损（existimationisminutio），《民法典》第995 条获得适用空间，因为“名誉减损和人格变更一样，也影响一人对权利的享有。包括不作证，丧廉耻和污名等”[2]周枏：《罗马法提要》，北京大学出版社2008年版，第25页。。妨害行为给信息主体带来负面社会影响，导致现实危险、潜在危险或妨碍个人信息权行使，行使《个人信息保护法》第44条至第50条项下权利无法消除妨害的，可以适用《民法典》第995条进行救济，实现《个人信息保护法》与《民法典》的互动与协调适用。反之，行使知情权、决定权、拒绝权、查阅权、复制权、异议权、更正权、删除权、解释权等足以救济个人信息权妨害的，《民法典》第995条应呈现潜伏状态。另外，《个人信息保护法》相对于《民法典》属于特别法，在具体适用上具有优位性，故相对于《民法典》第995条，优先适用《个人信息保护法》第44条至第50条是正当的。

2.非个人信息处理者妨害个人信息权行使：《民法典》的单独适用规则

《个人信息保护法》旨在规制个人信息处理者的处理行为，非个人信息处理者的处理行为不受其统摄。非个人信息处理者妨害个人信息权的，信息主体无法适用《个人信息保护法》第44条至第50条行使知情权、决定权、拒绝权、查阅权、复制权、异议权、更正权、删除权、解释权，此时应回归《民法典》第1037条。然而，《民法典》第1037条规定的查阅权、复制权、异议权、更正权、删除权，虽为人格权请求权的具体形式，非个人信息处理者妨害个人信息权的，信息主体却不应适用此款寻求救济。原因在于，《个人信息保护法》第44条至第50条规定的知情权、决定权、拒绝权、查阅权、复制权、异议权、更正权、删除权、解释权等个人信息权能，是对《民法典》第1037条信息主体权利的细化和进一步扩充，皆是《民法典》第995条人格权请求权的具体形式，适用情形理应保持一致。非个人信息处理者妨害个人信息权境遇下，信息主体既不能适用《个人信息保护法》第44条至第50条寻求救济，也不能适用《民法典》第1037条[3]王利明：《论个人信息删除权》，《东方法学》2022年第1期。。在“覃广豪诉桂平市郊区农村信用合作社名誉权侵权案”[4]广西壮族自治区贵港市中级人民法院〔2008〕贵民一终字第37号民事判决书。中，法院认为，上诉人非信息处理者，无权删除征信中心的信息。因而，《民法典》第1037 条规定的“信息处理者”，应作限缩解释，限于“个人信息处理者”，与《个人信息保护法》保持一致，实现《民法典》人格权编与《个人信息保护法》术语使用的统一。

另外，《个人信息保护法》第72条第1款规定“自然人因个人或者家庭事务处理个人信息的，不适用本法”，是对GDPR的参考与借鉴。GDPR导言部分第18条指出，“该条例‘不适用于自然人在不涉及任何职业或商业的纯个人或家庭活动中对个人数据的处理活动’”[5]程啸：《个人信息保护法理解与适用》，中国法制出版社2021年版，第537页。。该条例第2条第2款（c）项亦规定“当自然人在纯粹个人或家庭活动过程时”[6]任虎：《欧盟一般数据保护条例》，华东理工大学出版社2018年版，第2页。处理个人数据的，不适用本条例。程啸教授认为，“自然人之间因为个人或家庭事务而处理个人信息的行为，属于平等主体之间的个人信息利用或由此发生的侵害行为……故此，根本没有将自然人因个人或家庭事务处理个人信息的活动也纳入《个人信息保护法》的调整范围”[1]程啸：《个人信息保护法理解与适用》，中国法制出版社2021年版，第537页。。依据文义解释，《个人信息保护法》第72条第1款中的“自然人”包括个人信息处理者和非个人信息处理者。“因个人或者家庭事务处理个人信息”的“自然人”应理解为非个人信息处理者，不适用《个人信息保护法》。非“因个人或者家庭事务处理个人信息”的“自然人”应理解为个人信息处理者，适用于《个人信息保护法》。据此，非个人信息处理者处理个人信息不适用《个人信息保护法》，非个人信息处理者妨害个人信息权的亦是如此。体系解释下，《个人信息保护法》第44条至第50条置于第四章“个人在个人信息处理活动中的权利”项下，第72条置于第八章附则项下，不存在特别条款相对于一般条款的优先适用问题，相关规则应当保持一致。该法第72条第1款排除了其对非个人信息处理者的适用，第44条至第50条应当与之统一。非个人信息处理者妨害信息主体个人信息权行使的，信息主体不能适用《个人信息保护法》第44条至第50条行使知情权、决定权、拒绝权、查阅权、复制权、异议权、更正权、删除权、解释权等排除妨害。《个人信息保护法》第44条至第50条是对《民法典》第1037条的细化和扩充，两者的适用对象具有统一性，《民法典》第1037条也不能作为非个人信息处理者妨害个人信息权的救济路径。

上已论及，《民法典》第1037条相较于第995条是特殊条款，具有适用上的优位性。非个人信息处理者妨害个人信息权行使的，不适用于《个人信息保护法》，也不适用于《民法典》第1037条这一特殊条款，但可以适用该法第995条这一一般条款。《民法典》第995条规定“人格权受到侵害的，受害人有权依照本法和其他法律的规定请求行为人承担民事责任”。“人格权”包括一般人格权和具体人格权，其中，具体人格权包括个人信息权，因而《民法典》第995条可以作为非个人信息处理者妨害个人信息权行使的救济路径。该条适用的前提是“人格权受到侵害的”，援引到个人信息权可以理解为“个人信息权受到侵害的”，未将个人信息处理者和非个人信息处理者分而视之，可以直接适用。非个人信息处理者妨害个人信息权的，法院亦支持信息主体的一般人格权请求权。在“刘某与沈某1隐私权纠纷案”[2]北京市第二中级人民法院〔2020〕京02民终1641号二审民事判决书。中，沈某1非个人信息处理者，其在公共楼道安装带有摄像头的门铃防盗，记录刘某及其家人出行规律等个人信息，对个人信息权构成妨害。法院判决沈某1拆除智能门铃，驳回删除摄像头视频资料的请求，事实上支持了受害人的一般人格权请求权。故而，非个人信息处理者妨害个人信息权行使的，信息主体可以依循《民法典》第995条主张人格权请求权，要求非个人信息处理者停止侵害、排除妨害、消除危险、消除影响、恢复名誉、赔礼道歉。

三、《民法典》与《个人信息保护法》侵权损害赔偿责任归责条款的二元架构

1.个人信息处理者侵权损害赔偿责任：过错推定责任

个人信息处理者是个人信息的实际掌控者，其以专业技术违法处理个人信息，造成信息主体损害的，信息主体证明具体损害及个人信息处理者存在过错的难度较大。另，“知情同意”规则本身存在结构性问题无法克服、内在悖论无法解决、受害人的认知问题不可避免等缺陷[3]吕炳斌：《个人信息保护的“同意”困境及其出路》，《法商研究》2021年第2期。，易沦为个人信息处理者侵权责任的免责事由，信息主体的损害赔偿请求权恐难实现。高富平就曾提到，GDPR在实施过程中的“同意泛化”[4]高富平：《论个人信息处理中的个人权益保护——“个保法”立法定位》，《学术月刊》2021年第2期。问题。有效的“知情同意”应是信息主体自由的意思，并应明确做出[5]Misek, Jakub, "Consent to Personal Data Processing — The Panacea or the Dead End", Masaryk University Journal of Law and Technology,2014,8(1),pp.73-74.。在此境遇下，相关国家和地区率先适用过错推定责任原则，保障个人信息利用与流通的同时，平衡信息主体与个人信息处理者之间的利益关系，损害难以获得赔偿的紧张局势得到缓和。韩国《个人信息保护法》第39条第1 款规定“除非该个人信息处理者能够证明其不存在故意或过失，否则不得免除其损害赔偿责任”[1]李爱君、苏桂梅：《国际数据保护规则要览》，法律出版社2018年版，第464页。，即过错推定责任原则。我国台湾地区“个人资料保护法”第29条第1款规定“非公务机关违反本法规定致个人资料遭不法收集、处理、利用或其他侵害当事人权利者，负损害赔偿责任。但能证明其无故意或过失者，不在此限”，奉行的就是过错推定责任原则。德国2017 年《联邦数据保护法》（BDSG）第83条第1款规定“非自动化处理的情形下，如果损害不是控制人因过错造成的结果，则其无须承担赔偿义务”，也是过错推定责任原则。我国《个人信息保护法》第69条第1款规定，“处理个人信息侵害个人信息权益造成损害，个人信息处理者不能证明自己没有过错的，应当承担损害赔偿等侵权责任”，大大减轻了信息主体的举证责任，信息主体和个人信息处理者之间因实力悬殊导致的诉讼能力差距得以缩减，损害获得赔偿的可能性增大。过错推定责任实行“举证责任倒置”，倒逼个人信息处理者依法依规处理个人信息，降低个人信息权侵权的发生概率，一定程度上弥补了“知情同意”规则的内在缺陷。但是，过错推定“仍然以加害人的过错为责任的根据与标准”[2]王利民、郭明龙：《民事责任归责原则新论——过错推定规则的演进：现代归责原则的发展》，《法学论坛》2006年第6期。，没有过分加重个人信息处理者的举证责任。

在个人信息权侵权中，基于个人信息的双重属性，损害涵盖财产损失和精神损害，就此学界已达成共识[3]高富平：《个人信息处理：我国个人信息保护法的规范对象》，《法商研究》2021年第2期。。约翰·尼特林教授认为，“损害是一个十分广泛或者全面的概念，由财产损害和非财产损害作为其两个组成部分”[4]约翰·尼特林：《南非侵权法：一般与特殊的混合》，王仰光译，载金福海：《侵权法的比较与发展》，北京大学出版社2013年版，第72页。。为实现损害的完全救济，《个人信息保护法》第69条第1款中的“损害”应包括财产损失和精神损害，损害赔偿责任理应涵盖财产损失赔偿责任和精神损害赔偿责任，实现一体救济。在“举证责任倒置”的情势下，杨立新教授认为，“如果侵权人不能证明自己对损害的发生没有过错，就从损害事实的本身推定侵权人在致人损害的行为中有过错，并就此承担赔偿责任”[5]杨立新：《侵权责任法》，北京大学出版社2014年版，第54页。。譬如，在“殷虹诉北京百度网讯科技有限公司名誉权案”[6]上海市第二中级人民法院〔2010〕沪民终字第1593号民事判决书。中，法院认为，百度公司作为网络服务提供者，在知道网络用户利用网络服务实施名誉、隐私侵权行为后，未证明及时采取了合理、必要的措施，导致损害后果的扩大，应当承担民事责任。反之，精神损害和财产损失分开救济[7]杨立新：《侵害个人信息权益损害赔偿的规则与适用——〈个人信息保护法〉第69条的关键词释评》，《上海政法学院学报（法治论丛）》2022年第1期。，信息主体主张精神损害赔偿责任，须遵照《民法典》第1183条第1款证明个人信息处理者存在过错。可有时信息主体连个人信息处理者都难以确定，举证责任之重可见一斑[8]阮神裕：《民法典视角下个人信息的侵权法保护——以事实不确定性及其解决为中心》，《法学家》2020年第4期。，适用过错责任原则显然与全面保护个人信息之宗旨背道而驰[9]彭诚信：《论个人信息的双重法律属性》，《清华法学》2021年第6期。。田山辉明认为，“考虑到证据存在的不均衡，从公正的角度来说，需要对举证责任进行事实上的倒置”[10]田山辉明：《日本侵权行为法》，顾祝轩、丁相顺译，北京大学出版社2011年版，第134页。。因而，适用过错推定责任原则可实现财产损失和精神损害的“一体救济”，至于精神损害赔偿应否以“严重”程度为前提，可由法官个案自由裁量。在“王菲诉北京凌云互动信息技术有限公司侵犯隐私权、名誉权纠纷案”[1]北京市朝阳区人民法院〔2008〕朝民初字第29276号民事判决书。中，法院认为，网民从发表谴责性言论逐渐发展到对王菲进行密集的、长时间的、指名道姓的谩骂，原告因此事遭受舆论压力，承受较大精神痛苦，应适当考虑由凌云公司赔偿精神抚慰金。在“罗某诉某保险公司隐私权纠纷案”[2]湖南省郴州市北湖区人民法院〔2014〕郴北民二初字第947号民事判决书。中，法院认为，被告非法利用原告个人信息，多次致电原告推销车辆保险，侵扰了原告的正常生活，造成原告精神损害，且该案经媒体报道后在社会上造成了较大影响，支持了原告提出的赔偿精神损害抚慰金的诉讼请求。从比较法视野来看，多国采用过错推定责任原则，以“一体救济”方式填补信息主体的财产损失和精神损害。GDPR 第82条第1款规定，“任何由于本规则中规定的侵权行为而遭受物质或非物质损害的人有权接受数据控制者或者处理者的赔偿”[3]李爱君、苏桂梅：《国际数据保护规则要览》，法律出版社2018年版，第394页。。该条第3款规定，“如果数据控制者或者处理者能够证明其在引起损害的期间不应承担责任，则其应该免于承担本条第2款规定的责任”[4]GDPR第82条第2款规定，“依据本条例，任何进行数据处理的数据控制者应该对其处理数据所造成的损害承担责任。如果其没有遵守本条例的规定或者其行为超出法律规定，则应该对造成的损害承担责任。”。有学者则认为，该条第3款“责任”的表述所包含的范围很广，并不能直接认定数据控制者或处理者存在过错[5]Cordeiro, A. B. Menezes, "Civil Liability for Processing of Personal Data in the GDPR", European Data Protection Law Review(EDPL),2019,5(4),p.498.。显然，财产损害赔偿责任和精神损害赔偿责任统一适用过错推定责任原则。英国2017年《数据保护法（草案）》第160条第5项、BDSG第7节等亦有类似规定。

值得注意的是，个人信息处理者违法处理私密信息造成损害的，损害赔偿责任亦应适用过错推定责任原则。主要原因在于：一是《民法典》第1032条第2款虽将私密信息纳入隐私，但其基本属性是具有可识别性的个人信息，同时受到个人信息权的保护。《民法典》第1034 条第3 款规定“个人信息中的私密信息，适用有关隐私权的规定；没有规定的，适用有关个人信息保护的规定”，这表明私密信息优先受到隐私权的保护，个人信息权对其具有兜底保护功能。张勇教授认为，“‘私密信息’的范畴较为宽泛，可涵盖所有未公开的个人信息，而‘敏感信息’的对象范围更为明确具体”[6]张勇：《敏感个人信息的公私法一体化保护》，《东方法学》2022年第1期。。可见私密信息与敏感个人信息存在交叉，侵害私密信息造成损害的，存在适用过错推定责任原则的空间[7]杨立新：《个人信息处理者侵害个人信息权益的民事责任》，《国家检察官学院学报》2021年第5期。，也契合《民法典》第1034条3款的立法目的。在“庞理鹏诉中国东方航空股份有限公司、北京趣拿信息技术有限公司隐私权纠纷案”[8]北京市第一中级人民法院〔2017〕京01民终509号民事判决书。中，法院提出，二被告未举证证明其在媒体报道后迅速采取了专门的、有针对性的有效措施，以加强其信息安全保护，认定趣拿公司和东航具有过错，应承担侵权责任。二是《个人信息保护法》旨在规制个人信息处理者的个人信息处理活动，违法处理私密信息造成损害的，可以适用该法第69 条第1 款的过错推定责任原则。另外，《民法典》第1032条第2款将私密信息纳入隐私及第1034条第3款要求优先适用隐私权的相关规定保护私密信息的初衷是，隐私权是“一种消极的、排他的权利，但是资讯自决权则赋予了权利人一种排他的、积极的、能动的控制权和利用权”[9]任晓红：《数据隐私权》，载杨立新《侵权法热点问题法律应用》，人民法院出版社2000年版，第419页。。有学者认为，隐私权以“禁止侵犯”的方式保护私人生活安宁，而个人信息权同时强调对信息的保护和利用[10]Pedic, Zana, "Interconnectivity and Differences of the (Information) Privacy Right and Personal Data Protection Right in the European Union",Review of Comparative Law,2017,30,p.134.。比较而言，隐私权为私密信息提供的是一种“强保护”，个人信息权提供的是一种“弱保护”[1]王利明：《人格尊严：民法典人格权编的首要价值》，《当代法学》2021年第1期。，这与隐私重在“隐”、个人信息重在“识别”的属性是相符的[2]王利明：《论个人信息权在人格权法中的地位》，《苏州大学学报（哲学社会科学版）》2012年第6期。。然，侵害隐私权造成损害的，依照《民法典》第1165条第1款，适用过错责任原则，实行“谁主张，谁举证”规则；侵害个人信息权造成损害的，遵循《个人信息保护法》第69条第1款，适用过错推定责任原则，实行“举证责任倒置”[3]杨立新：《侵权法论（上）》（第五版），人民法院出版社2013年版，第185页。规则。结果是对个人信息权进行“强保护”，对隐私权进行“弱保护”，背离了《民法典》第1032条第2款和第1034条第3款的立法宗旨。因此，侵害私密信息造成信息主体损害的，不应适用《民法典》第1165条第1 款的过错责任原则，而应适用《个人信息保护法》第69 条第1 款的过错推定责任原则，亦是对“特别法优于一般法”规则的遵从。

2.非个人信息处理者侵权损害赔偿责任：过错责任

基于前文构建的《个人信息保护法》第44条至第50条与《民法典》第1037条的协调适用规则，非个人信息处理者侵害个人信息权的，不适用《个人信息保护法》第44条至第50条和《民法典》第1037条。且，《民法典》第995条规定的是人格权请求权，适用于人格权妨害的情形，非侵害人格权造成损害情形。因此，非个人信息处理者侵害个人信息权造成损害的，应回归《民法典》第1165条第1款，适用过错责任原则认定个人信息处理者的损害赔偿责任。在“聂某诉张某名誉权纠纷案”[4]辽宁省沈阳市中级人民法院〔2018〕辽01民终12562号民事判决书。中，法院提出，被告将原告的照片、手机号、新浪微博ID等个人信息及家庭信息公布在网上，同时投诉至原告的工作单位，侵犯原告的名誉权、隐私权，判令被告承担与其主观过错相当的责任，采用的便是过错责任原则。《个人信息保护法》第73条第1项规定“个人信息处理者，是指在个人信息处理活动中自主决定处理目的、处理方式的组织、个人”。任何组织或个人在个人信息处理活动中，只要能够自主决定处理目的、处理方式，均可视为个人信息处理者。反之，则为非个人信息处理者。巡视现有立法、理论与司法实践，非个人信息处理者主要有以下两类，其侵害个人信息权造成损害的，损害赔偿责任皆适用过错责任原则。

一类是雇员（工作人员）与受托人。参照《个人信息保护法》第21条和第59条，第一类非个人信息处理者通常为个人信息处理者的雇员（工作人员）或接受委托处理个人信息的受托人。程啸认为，“如果是雇员为履行向雇主所负担的义务而进行的数据处理活动，那么该活动就是雇主本身的活动，雇主而非雇员是处理者”[5]程啸：《论个人信息共同处理者的民事责任》，《法学家》2021年第6期。。据此，个人信息处理者为用人单位，其工作人员处理个人信息侵害个人信息权造成损害的，属于执行工作任务致人损害，应由用人单位承担替代责任。个人信息处理者承担损害赔偿责任后，可以向有故意或重大过失的工作人员追偿。在“孙某、中国移动通信集团山东有限公司滨州分公司等隐私权纠纷案”中[6]山东省滨州地区（市）中级人民法院〔2021〕鲁16民终2594号民事判书。，法院认为，实施电话推销的营销人员自称为被告的工作人员，推销的内容与被告经营业务密切相关，认定向原告进行电话推销的行为系被告移动滨州分公司的行为，判决被告承担民事责任。营销人员存在故意或重大过失的，移动滨州分公司可以行使追偿权。程啸教授指出，“真正不属于处理者的主体就是委托处理个人信息中的受托人”[7]程啸：《论个人信息共同处理者的民事责任》，《法学家》2021年第6期。。受托人与个人信息处理者（委托人）订立委托合同，受托人按照个人信息处理者自主决定的目的、方式，以个人信息处理者的名义处理个人信息，对个人信息处理者发生法律效力。崔建远教授强调，“合同订立后，受托人在委托的权限内所实施的行为，等同于委托人自己的行为”[8]崔建远：《合同法》（第五版），法律出版社2010年版，第507页。。故而，受托人按照约定处理个人信息，侵害个人信息权造成损害的，个人信息处理者承担侵权责任。在“邹某诉交通银行股份有限公司安徽省分行等信用卡纠纷案”[1]安徽省合肥市庐阳区人民法院〔2016〕皖0103民初7946-1号民事判决书。中，法院认为，被告作为受托人，对转账消费是否为原告（委托人）实施已尽到审查义务，不承担民事责任。依据《民法典》第929条，在有偿的委托合同中，个人信息处理者作为委托人，因受托人的过错造成其损失的，个人信息处理者可以请求赔偿损失，即适用过错责任原则。无偿的委托合同，因受托人的故意或重大过失造成个人信息处理者损失的，个人信息处理者可以请求赔偿损失。

另一类是因个人或家庭事务处理个人信息的自然人。《个人信息保护法》第72条第1款规定，因个人或家庭事务处理个人信息的自然人，是自主决定处理目的、处理方式的主体，但不纳入个人信息处理者范畴，是第二类非个人信息处理者。原因在于，自然人因个人或家庭事务处理个人信息，虽体现个人信息权的“重利用”特性，却不以获取财产利益为主要目的。另外，信息主体与信息处理者皆为一般的自然人，二者实力相当，甚至为同一主体。信息主体举证相对简单，无适用过错推定责任原则的必要。张新宝认为，过错推定“相较于由受害人证明行为人的过错显然更有利于受害人一方”[2]张新宝：《侵权责任法》（第五版），中国人民大学出版社2020年版，第17页。，目的在于平衡行为人与受害人的利益。当个人信息处理者与信息主体皆为自然人，乃至为同一自然人时，利益失衡问题不复存在，适用过错责任原则足矣。自然人因个人事务处理自身信息的，属于信息自决，损害自担。因个人或家庭事务处理个人信息，侵害家庭成员的个人信息权造成损害的，适用过错责任原则即可实现救济。新加坡2012年《个人数据保护法》第4条第（1）款（a）项规定，以个人或家庭身份行事的自然人，不承担此法规定的任何义务。韩国、加拿大等国家采取类似做法。我国《个人信息保护法》第72条第1款亦排除因个人或家庭事务处理个人信息的自然人适用本法。“自然人因个人或家庭事务处理个人信息的，自然人不被视为个人信息处理者”[3]张新宝：《〈中华人民共和国个人信息保护法〉释义》，人民出版社2021年版，第561页。，其处理个人信息造成信息主体个人信息权损害的，无《个人信息保护法》第69条第1款过错推定责任的适用余地，适用《民法典》第1165条第1款的过错责任原则主张损害赔偿责任权是唯一可行路径。

四、《民法典》与《个人信息保护法》损害赔偿数额计算规则条款的协调适用

1.个人信息处理者侵权损害赔偿数额计算规则：参照《个人信息保护法》第69条第2款

个人信息权遭受侵害的，信息主体依《个人信息保护法》第69条第1款，适用过错推定责任原则，可实现财产损失和精神损害的一体救济。第69条第2款规定了损害赔偿数额的计算方法，包括信息主体受到的损失、个人信息处理者因此获得的利益以及实际情况酌定方式。可通过明确“损害”“损失”和“利益”的内涵，细化损害赔偿数额的具体计算规则。依文义解释和体系解释，第69条第1款规定的“损害”包括财产损失和精神损害，第2款中的“损害赔偿责任”理应涵盖财产损失赔偿责任和精神损害赔偿责任。第2款中的“损失”应解释为财产损失，不应包括精神损害。与之相应，第2款中的“利益”意指个人信息处理者侵害个人信息权获得的财产利益，不包括任何的情感利益或精神利益。有学者提出，第69条第2款中的“损失”可以解释为财产损失和精神损害，精神损害赔偿数额的确定方式与财产损失赔偿一致[4]程啸：《侵害个人信息权益的侵权责任》，《中国法律评论》2021年第5期。，确实可以实现损害的一体救济。然而，《个人信息保护法》第69条第2款中的“损失”是个人信息权侵权导致的损失，属于财产损失[5]王利明：《民法（下册）》（第八版），中国人民大学出版社2020年版，第532页。，不宜肆意扩张至精神损害。杨立新教授持相同观点，称“《民法典》第1182条是《个人信息保护法》第69条第2款的上位法。后者规定的损害赔偿计算方法的侧重点和突出保护的，是个人信息权益的财产利益”[1]杨立新：《侵害个人信息权益损害赔偿的规则与适用——〈个人信息保护法〉第69条的关键词释评》，《上海政法学院学报（法治论丛）》2022年第1期。。《个人信息保护法》第69条第2款中的“损失”和“利益”分别解释为财产损失和财产利益，亦能保持《民法典》侵权责任编[2]《民法典》侵权责任编第1182条、第1184条、第1186条和第1235条中规定的“损失”均指财产损失。与《个人信息保护法》“损失”语义内涵的一致。值得注意的是，《个人信息保护法》第69条第2款强调个人信息承载的财产利益的保护，并不意味着精神损害不能据此获得救济。过错推定责任原则下，通过明确《个人信息保护法》第69条第2款的适用规则，信息主体的财产损失和精神损害均可得到救济。

信息主体仅遭受财产损失的，遵循“填平原则”[3]黄薇：《中华人民共和国民法典侵权责任编释义》，法律出版社2020年版，第76页。，由其考量所受损失或个人信息处理者因此获得的利益，自由选择损害赔偿数额；二者皆难以确定的，根据实际情况确定赔偿数额。在Clapper v.Amnesty International 案[4]568 U.S.398(2013).中，法院亦认为,当事人只得对“实际损害”而非“推测损害”提出诉讼请求。如前所述，依《个人信息保护法》第69条第2款“损害赔偿责任”的文义解释及该款与第1款的体系解释，“损害”包括财产损失和精神损害，“损害赔偿责任”包括财产损失赔偿责任和精神损害赔偿责任。有学者认为，由于认定损害手段是多样的，并且认定损害本是复杂的，损害赔偿责任的最终认定存在多种可能[5]Knetsch,Jonas,"The Compensation of Non-Pecuniary Loss in GDPR Infringement Cases", European Journal of Privacy Law&Technologies(EJPLT),2020,(Special Issue),pp.63-70.。损害赔偿责任的落实依赖于损害赔偿数额的计算规则——信息主体受到的损失、个人信息处理者因此获得的利益以及实际情况酌定。实际情况酌定规则的考量基础依然是前两个规则，在考虑精神损害赔偿责任“花落谁家”时可以忽略。既然前文限定“损失”为财产损失，则无精神损害赔偿责任得以落地的空间，只能诉诸“利益”，即“利益”可以发挥救济财产损失和精神损害的双重功效。信息主体遭受精神损害的，直接按照个人信息处理者获得的利益确定赔偿数额即可。在“孙某诉北京搜狐互联网信息服务有限公司等人格权纠纷案”[6]北京互联网法院〔2019〕京0491民初10989号民事判决书。中，法院就遵循了这一原则，将个人信息处理者付出的成本对冲其因违法行为所得的利益，以遏制个人信息侵权。获得的利益难以确定的，根据实际情况确定赔偿数额。胡雪梅认为，“非金钱损害赔偿系指本质上无法用金钱量化但在司法实践中不得不用金钱表示的损害”[7]胡雪梅：《英国侵权法》，中国政法大学出版社2008年版，第348页。。精神损害赔偿责任最终体现为支付精神损害抚慰金，以个人信息处理者获得的利益确定具体数额，统一适用过错推定责任原则，能较好地实现财产损失和精神损害的一体救济。按照个人信息处理者获得的利益确定赔偿数额，精神损害难以量化之难题亦得以解决，类似“李志刚与上海商数信息科技有限公司网络侵权责任纠纷案”[8]河北省石家庄市中级人民法院〔2019〕冀01民终10531号民事判决书。“邓立荣与北京顺丰速运有限公司侵权责任纠纷案”[9]北京市第三中级人民法院〔2020〕京03民终2049号民事判决书。“付全贵与北京三快信息科技有限公司等网络侵权责任纠纷案”[10]北京互联网法院〔2018〕京0491民初1905号民事判决书。等诉讼中精神损害难以得到赔偿的困境有望突破。杨立新教授则持反对意见，认为精神损害赔偿应回归《民法典》第1183条第1款，结合《解释》第5条确定具体赔偿数额[11]杨立新：《侵害个人信息权益损害赔偿的规则与适用——〈个人信息保护法〉第69条的关键词释评》，《上海政法学院学报（法治论丛）》2022年第1期。。此种做法符合精神损害赔偿的一般规则，但财产损失赔偿和精神损害赔偿适用不同的归责原则，与《个人信息保护法》第69条第1款存在冲突，且精神损害赔偿存在量化难题，难以得到全面救济。信息主体同时遭受财产损失和精神损害的，适用过错推定责任原则，自由选择依其所受损失或个人信息处理者所得利益确定赔偿数额；损失和利益难以确定的，根据实际情况确定赔偿数额。至于个人信息权侵权引发的下游损害，信息主体主张个人信息处理者承担财产损失赔偿责任和精神损害赔偿责任的[1]谢鸿飞：《个人信息泄露侵权责任构成中的“损害”——兼论风险社会中损害的观念化》，《国家检察官学院学报》2021年第5期。，则分别回归《民法典》第1182条和第1183条。其中，精神损害赔偿须以精神损害的“严重性”为前提，两者在归责原则上统一适用过错责任原则即可。在“马春平、中粮可口可乐饮料（河北）有限公司名誉权纠纷案”[2]天津市第一中级人民法院〔2020〕津01民终5911号民事判决书。中，法院综合考量侵权的实际情况与精神损害的严重性等因素，确定精神损害的赔偿数额。综上，依据《个人信息保护法》第69条，处理个人信息侵害个人信息权造成损害的归责原则的适用规则可以表述为：个人信息处理者侵害个人信息权同时造成财产损失和精神损害的，信息主体统一适用过错推定责任原则，据此条款确定损害赔偿的具体数额。相应地，个人信息处理者侵权损害赔偿数额计算规则可以表述为：个人信息处理者侵害个人信息权造成财产损失的，可以选择前两种计算规则中的任何一种；造成精神损害的，只能选择第二种计算规则。两种境遇下，损失和利益或利益难以确定的，根据实际情况确定赔偿数额。

2.非个人信息处理者侵权损害赔偿数额计算规则：参照《民法典》第1182—1183条

《个人信息保护法》第72条第1款规定：“自然人因个人或者家庭事务处理个人信息的，不适用本法”，此处的“自然人”可称之为非个人信息处理者。非个人信息处理者侵害个人信息权造成损害的，信息主体无法援引此法第69条主张损害赔偿责任，过错推定责任原则无适用空间。个人信息权是人格权，非个人信息处理者侵害个人信息权造成财产损失的，信息主体可援引《民法典》第1165条第1款和第179条第1款第8项，适用过错责任原则要求非个人信息处理者赔偿损失。具体到损失赔偿数额的计算，则参照《民法典》第1182条确定。信息主体可自主选择自己因此受到的损失或非个人信息处理者因此获得的利益确定赔偿数额；难以确定的，双方可就赔偿数额进行协商；协商不一致的，请求人民法院根据实际情况确定。结合《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》第12条、《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》第8条第2款等规定，个人信息权侵权中，信息主体遭受的“财产损失”可进一步细化，包括信息主体预防、制止个人信息权侵权所支付的合理开支以及直接遭受的财产损失。为预防个人信息权侵权的发生，信息主体因采取预防措施而支付相关费用，侵权仍然发生的，预防费用损失是侵权行为导致的结果，应解释为信息主体遭受的“积极损失”。谢鸿飞对此予以肯定，称“为防免未来损害支付了本不应支付的费用也应作为财产损失”[3]谢鸿飞：《个人信息泄露侵权责任构成中的“损害”——兼论风险社会中损害的观念化》，《国家检察官学院学报》2021年第5期。。预防费用纳入财产损失，可以发挥填平损害之功，“使损害恢复如同损害未发前之原状”[4]邹海林、朱广新：《民法典评注：侵权责任编》，中国法制出版社2020年版，第200页。。受害人提出的预防费用数额是否合理，应否全部纳入损失赔偿数额，则由法官在个案中自由裁量。个人信息权侵权发生后，信息主体为制止侵权行为，“使被侵权行为所破坏的双方的不公平状态得到修复”[5]中国审判理论研究会民事审判理论专业委员会：《民法典侵权责任编条文理解与司法适用》，法律出版社2020年版，第89页。，所支付调查、取证等合理费用，理应纳入财产损失。信息主体遭受精神损害的，适用《民法典》第1183 条精神损害赔偿条款，精神损害赔偿责任以信息主体遭受严重精神损害为前提，以过错责任为归责原则。依据《解释》第5条综合考量非个人信息处理者的过错程度、获利情况、经济能力以及侵权行为的目的、方式等因素，法官自由裁量精神损害赔偿的数额。个人信息权侵权可能引发下游损害，如泄露个人信息导致私人生活安宁权侵权[1]谢鸿飞：《个人信息处理者对信息侵权下游损害的侵权责任》，《法律适用》2022年第1期。，信息主体因此遭受严重精神损害。为方便信息主体及时获得救济，下游损害理应在个人信息权侵权诉讼中得到一并救济，依据《民法典》第1182条、第1183条及《解释》第5条明确损害赔偿的具体数额。在美国，“有些法院规定了对肉体痛苦和精神折磨赔偿的最高限额”[2]文森特·R.约翰逊：《美国侵权法》，赵秀文译，中国人民大学出版社2004年版，第61页。，如Fein v.Permanente Medical Group 案[3]695 P.2d 665(Cal.),appeal dismissed,474 U.S.892(1985)(SATL 225).。在德国法院，有法官将受害人的精神不悦以及人格展开的商品化可能都解释为一种财产损害，而非精神损害，主要依据的是“沮丧理论”[4]“沮丧理论”，即所有因为侵权行为所造成的或者使用的机会丧失都可以作为财产损害。参见黄薇：《中华人民共和国民法典侵权责任编释义》，法律出版社2020年版，第55页。和“非财产利益的商业化”[5]非财产利益的商业化是指快乐、安慰、安逸、享受、便利等利益在通过金钱而获得时，便拥有了财产属性，违约行为对此类利益造成损害，守约方可以提请金钱赔偿。参见杨显滨：《违约精神损害赔偿制度的中国式建构》，《当代法学》2017年第1期。。

值得注意的是，有学者提出革新“损害”的概念，将风险性损害纳入个人信息权侵权损害赔偿，“于个案中综合考量信息的类型、处理行为的目的方式、信息误用的迹象等因素”[6]田野：《风险作为损害：大数据时代侵权“损害”概念的革新》，《政治与法律》2021年第10期。判断具体损害，以全面维护信息主体的合法权益。谢鸿飞指出，“有条件承认预期侵权制度，肯定未来被侵权的风险构成法律上的损害”[7]谢鸿飞：《个人信息泄露侵权责任构成中的“损害”——兼论风险社会中损害的观念化》，《国家检察官学院学报》2021年第5期。，采用精算规则确定具体赔偿数额，以满足现代风险社会的需求。遵循的是侵权责任法上的“完全赔偿原则”[8]最高人民法院民法典贯彻实施工作领导小组：《中华人民共和国民法典侵权责任编理解与适用》，人民法院出版社2020年版，第164—172页。，为全面维护信息主体的合法权益提供了可能路径。曾世雄认为，“完全赔偿原则”下，“发生于特定赔偿权利人之损害有多大，亦即赔偿义务人须对特定赔偿权利人之何种损害负赔偿责任”[9]曾世雄：《损害赔偿法原理》，中国政法大学出版社2001年版，第155页，第155页。。损害赔偿范围包括所受损害与所失利益，风险性损害（预期损害）应当属于所受损害，“即因损害事故之发生赔偿权利人现有财产所减少之数额”[10]曾世雄：《损害赔偿法原理》，中国政法大学出版社2001年版，第155页，第155页。。然而，风险性损害本身存在不确定性，可能发生也可能不发生，且风险性损害不一定表现为实质性损害，若纳入损害赔偿范畴，“受害人”或因假设的风险引发的“损害”获利，反而有违侵权责任法的救济本质。审视域外判例，以美国为代表的国家大多否认风险性损害。在Clapper v.Amnesty International USA 案122[11]568 U.S.398(2013).中，美国联邦最高法院采用“实质性风险”标准，认定被告主张的风险性损害是非必然发生或即将发生的，否认了风险性损害。Key v.DSW Inc 案[12]454 F.Supp.2d 684(S.D.0hio 2006).、Beck v.McDonald 案[13]848 F.3d 262(4th Cir.2017).和Spokeo Inc.v.Robins 案[14]136 S.Ct.1540(2016).等案件的判决持相似观点。侵害个人信息权引发的风险性损害在本质上确实属于所受损害，但如果这种损害未来没有产生，信息主体可能因此获利，有失公允。不过，应允许例外情形的存在，如风险性损害发生的可能性较大——一个普通的“理性人”可以预见，或信息主体可以举证予以充分证明。