個人信息泄露風險損害的賠償責任

摘 要：《個人信息保護法》第69 條確立了侵害個人信息權益損害賠償的請求權基礎，但并未明確規(guī)定應予救濟的損害類型。當個人信息泄露并未實際造成次生損害時，其侵害后果具有無形性、不確定性、風險導向性，統一損害概念難以完全涵蓋，有必要重構原生損害概念及其賠償責任。個人信息泄露原生損害賠償對象并非計算差額或個人信息的市場價值減損，而是面向未來的實質性風險。風險損害應采用動態(tài)體系的評價方法，落實于第三人動機、信息敏感性、安全技術措施、濫用證據等要素，其結論取決于諸要素協動后的綜合權衡。風險損害的賠償范圍包括風險預防費用、使用利益喪失、內心焦慮損害、維權合理開支等，應建立其數額量化的酌定因素和區(qū)間。

關鍵詞：個人信息;數據泄露;風險損害;動態(tài)體系;酌定

中圖分類號：DF523.9 文獻標志碼：A

DOI：10.3969/ j. issn.1001-2397.2024.02.09 開放科學（資源服務）標識碼（OSID）：

個人信息權益作為自然人享有的重要人格權益，為數字社會中的每個人構筑起一道堅實的保護屏障，使之免受因泄露或非法處理個人信息所帶來的人身、財產安全的損害威脅。個人信息泄露是實踐中最常見的個人信息侵權行為，其侵害后果通常不以即時的人身傷害、財產減損等傳統損害形式表現出來，而更多地體現在三個方面：一是第三人實際濫用被泄露的個人信息，導致受害人遭受歧視、身份盜竊或欺詐、信譽受損等次生或下游損害;二是盡管個人信息泄露尚未造成次生損害，但致使受害人在未來受到上述損害的風險陡增，顯著提高身份盜竊或欺詐等的發(fā)生概率;三是受害人對個人信息的用途去向概不知情，因而陷于恐懼、焦慮、不安等負面情緒之中。在前述三種情形中，受害人能否以及如何主張損害賠償？ 《中華人民共和國個人信息保護法》（以下簡稱《個人信息保護法》）第69 條雖確立了侵害個人信息權益損害賠償的請求權基礎，但并未明確上述后果是否屬于應予救濟的損害之列。從既有理論和實踐來看，因個人信息泄露所生之次生損害，無論是財產損136害抑或精神損害，人民法院通常都會支持賠償;而在尚未發(fā)生次生損害的場合，個人信息泄露的侵害后果具有無形性、風險導向性、擴散性，人們對于是否存在原生損害、賠償對象為何、如何予以救濟等存在明顯爭議，其制度設計頗值深究。①

有鑒于此，本文以構建個人信息泄露原生損害賠償責任制度為目標，試圖回答：當個人信息泄露并未導致次生損害時，是否還存在某種應予救濟的原生損害？ 個人信息泄露引發(fā)的風險能否成為損害？ 如何評價損害是否發(fā)生？ 又應如何計算賠償數額？

一、傳統損害理論與個人信息泄露原生損害的不兼容性

在傳統理論上，統一損害概念是觀察和認識損害的邏輯起點。個人信息泄露的侵害后果能否以及如何成為損害，取決于統一損害概念的評價結論。

（一）差額說

差額說將損害界定為受害人的實際財產狀況與假設致害事件未曾發(fā)生時相比較之差額。根據該說，個人信息泄露事件發(fā)生后，損害主要產生于兩種情形：一是受害人實際遭受歧視、身份盜竊或欺詐等次生侵害，由此造成計算上的差額;二是盡管次生侵害后果尚未發(fā)生，但個人信息泄露導致的損害風險已然迫在眉睫，且受害人為規(guī)避風險而支出了必要費用，由此造成財產差額。至于受害人遭受的個人信息控制狀態(tài)之喪失，以及尚不構成迫在眉睫的損害風險，則因無法體現于計算差額而不成立損害。

由于差額說長期占據通說地位，國內外司法實踐均傾向于認可個人信息泄露導致的次生、有形、現實損害，而忽視原生、無形、風險損害。在德國，當數據泄露造成信用卡欺詐等次生損害時，法院認為損害賠償是合理的;但如果僅僅是賬號封鎖或數據丟失，只要不存在計算差額，通常就不承認損害的存在。② 在勞埃德訴谷歌案（Lloyd v. Google）中，英國最高法院認為，用戶對個人信息失去控制權本身不足以構成損害，只有其實際遭受經濟損失或精神痛苦時，才有權請求賠償。③ 我國也有人民法院以“對于其個人信息因可能泄露給他人而造成的損害事實，包括損害的范圍、程度，未能明確舉證證明”④為由，不支持個人信息泄露原生損害賠償請求權。

差額說完全不考慮泄露事件對個人自決權的影響，難免令人疑竇：其一，將損害本體與損害計算完全混同，忽視了在確定賠償數額前應先評價是否存在損害，從而容易遺漏無法體現于財產差額的個人信息泄露原生損害。其二，要求損害風險在已經或將要轉化為現實時才能賠償，不合理地否認了風險本身成為損害的可能性，因為泄露事件的發(fā)生時間與個人信息被濫用的時間可能存在較長間隔，即便受害人屆時能夠證實次生損害，通常也難以證明其與泄露行為的因果關系，這顯然不利于為受害人提供周全保護。其三，雖認可受害人為規(guī)避風險所支出的必要費用賠償請求權，但其須以次生損害即將發(fā)生和實際支付費用為要件，徒增求償難度。試想，同樣是規(guī)避風險，為何受害人在采取更換賬戶等措施實際產生必要費用時，有權主張損害賠償;而花費時間和精力定期監(jiān)測賬戶的，就不存在損害？

（二）客觀損害說

該說將損害界定為被侵害權益在客觀狀態(tài)上的不利變化。依此見解，個人信息泄露損害賠償對象不在于計算差額，而在于個人自決權或控制權的狀態(tài)惡化，且須通過個人信息的金錢價值予以客觀衡量。該說將損害的概念一分為二，其中依附于個人信息權益受侵害的損害（如原生損害）為直接損害，構成了損害賠償的最低數額;而作為個人信息權益附加侵害后果的損害（如次生損害）為間接損害，當次生損害數額高于原生損害時，超出的部分也應予以救濟。

司法實踐中，部分人民法院將個人信息財產權理論與客觀損害說相結合，將個人信息的價值剝奪作為確定原生損害的依據。例如，有的人民法院通過對個人信息的市場價值或生產成本進行估價，支持了個人信息價值減損的賠償。① 還有人民法院從個人信息的資源價值出發(fā)，認為“個人信息同時體現著人格利益和財產價值，對個人信息的侵害必然帶來承擔相應經濟賠償責任的后果”②，其論證也帶有客觀損害說的印記。

客觀損害說在個人信息泄露中的應用障礙主要包括：一是個人信息具有規(guī)模聚集效應，如將信息集合的整體價值分散于個體層面，單個信息的價值將會被嚴重稀釋，其原生損害幾乎可忽略不計。二是客觀損害說依賴于權益客體在交易市場上的客觀評價，但目前實踐中尚缺乏合法的個人信息交易市場。“除非原告有能力出售個人信息，而這些信息卻被被告出售，否則，根據該理論提出的索賠是不成立的?！雹廴莻€人信息具有非競爭性，即便未來出現信息交易市場，被告的泄露行為也不會阻止原告以相同價格出售信息，因此，個人信息泄露并不構成價值剝奪。

之所以客觀損害說存在上述不足，根源于其將個人信息純化為財產。而個人信息權益是一種人格權益，其目的不在于防止個人信息市場價值減損，而在于避免因個人信息泄露或非法處理而對自然人的人身、財產安全造成威脅。

（三）規(guī)范說

規(guī)范說意在于損害概念中摻雜規(guī)范目的，將損害界定為受法律保護權益遭受的侵害。依此見解，個人信息泄露原生損害取決于規(guī)范目的是否為受害人創(chuàng)設了某種應受保護的權利，其允許法院進行價值衡量，能夠涵蓋受害人為抵御風險而花費的時間和精力等無形損害，從而實現個案妥當性。

鑒于差額說和客觀損害說存在弊端，有的法院又轉采規(guī)范說評價原生損害。德國勞工法院認為，損害須以完全符合歐盟《通用數據保護條例》（GDPR）目標的方式進行寬泛解釋，其不僅產生于違反數據保護導致歧視、機密性喪失、聲譽受損或其他社會損害的嚴重情形中，而且發(fā)生在數據主體被剝奪權利和自由或被阻止控制其個人數據等場合。④ 我國有的人民法院根據《中華人民共和國民法典》（以下簡稱《民法典》）第1034 條第3 款的規(guī)范目的，區(qū)分侵害私密信息與非私密信息的損害評價標準?！澳承┨囟ㄩ喿x信息落入了共識的私密信息范疇”，或“信息組合可以達到對信息主體人格刻畫的程度，則一經泄露可能造成其人格利益損害。”“而非私密信息的個人信息，僅在被過度處理的情形下才可能使信息主體受到人格或財產損害。”①

規(guī)范說的不足：一是該說過分倚重個案公平衡量，無法為原生損害提供系統抽象的評價標準，導致其難以成為與差額說、客觀損害說相抗衡的學說。二是該說試圖根據規(guī)范目的化解紛繁復雜的損害評價難題，但規(guī)范目的具有較高程度的不確定性，從而無法保障裁判結論的統一性。三是為克服該說的不確定性，遂有學者提出應從狹義視角理解規(guī)范損害，將其限定于“起初導致的損害已轉移至第三人，但根據規(guī)范評價應忽略此種轉移” ②的場景。然而，除受害人近親屬花費時間和精力代其監(jiān)測賬戶等特殊情形外，個人信息泄露并不涉及損害的轉移，狹義規(guī)范說難以適用于原生損害評價。

（四）傳統損害理論無法完全涵蓋個人信息泄露原生損害

之所以個人信息泄露原生損害與統一損害概念難以兼容，既與原生損害的特點密切相關，又是統一損害概念固有的局限性所致。

1. 原生損害的特點與評價難題

與一般類型的損害相比，個人信息泄露原生損害后果具有以下特點，這些特點造成了損害的評價難題。一是無形性。作為對個人自主權的侵害，個人信息泄露原生損害具備無形性，不如人身傷害、財產損失那樣直觀或明顯，難以被觀察和測量。二是風險導向性。在次生損害發(fā)生前，個人信息泄露侵害后果通常不會立刻顯現，而是帶有強烈的風險色彩，體現為對人身、財產安全的損害威脅。三是不確定性。一旦個人信息發(fā)生泄露，后續(xù)是否導致次生損害、損害數額有多大、損害會何時顯現等，將遠超受害人的合理預期?；谏鲜鎏攸c，在傳統理論強調損害有形、現實、確定的框架內，個人信息泄露原生損害更像是對損害的假設或猜測，從而致使其救濟困難重重。

2. 統一損害概念的局限性

統一損害概念的初衷是通過歸納直接和間接、普通和特別、積極和消極等具體損害的共性，構建各種損害項目的上位概念，進而通過演繹推理確定損害的有無及大小。但損害賠償的本質在于損失分擔，“其背后涉及的是對不同價值利益的保護;不同價值之間取舍的立場可能因個案的情況不同而發(fā)生變化?！雹蹅€人信息承載著個人人格權益、信息處理者利益和公共利益等多方利益，受害人在具體場景中是否遭受原生損害，并非純粹的邏輯演繹問題，而是與個人信息泄露導致的風險現實化的概率及嚴重程度密切相關，取決于個人信息保護與數字產業(yè)發(fā)展的動態(tài)平衡。統一損害概念難以全面涵蓋不同價值之間取舍的立場，也就無力解決原生損害的評價難題。

3. 重構原生損害概念的必要性

為掙脫統一損害概念的桎梏，有必要根據個人信息泄露原生損害的特點，重構原生損害概念。重構原生損害概念并非是對統一損害概念的完全否認，而是在整體損害觀的基礎上進行的個別化補充或修正。統一損害概念與個別化損害的關系是：前者著眼于損害本體論，主要回答損害是什么，其目的是統領具體損害項目并為符合標準的新型損害奠定教義學基礎①;而后者立足于損害認識論，其針對統一損害概念難以涵蓋，而不予賠償卻又有違公平正義的損害類型，通過重構損害概念將其固定下來。因此，個別化損害不僅需要回答損害是什么，更重要的是通過建立個性化的損害評價或計量方法確定損害的有無及大小。損害的無形性、不確定性越高，越有建立個別化損害評價體系之必要。對于個人信息泄露造成的損害類型而言，身份盜竊或欺詐等次生損害的不確定性明顯低于原生損害，人們只需要根據統一損害概念確定損害本體，通常就足以為損害賠償奠定基礎;而原生損害具有極強的不確定性，離開法律評價就不足以確定其發(fā)生或存在，只有重構原生損害概念，才能更好地確定損害賠償對象、損害是否存在以及損害數額計算等問題。

二、個人信息泄露風險損害概念的提出

個人信息泄露原生損害概念的重構，首先應探索損害賠償對象為何。對此，將個人信息泄露引發(fā)的實質性風險確認為可賠償性損害是一條切實可行的路徑，既符合個人信息安全風險分配理念，又有法教義學上的正當性基礎。

（一）大數據時代個人信息安全風險分配

損害概念無法僅憑其內在體系自給自足，而須依存于特定的技術和社會環(huán)境并回應其變化。作為損害界定的經典學說，統一損害概念發(fā)軔于19 世紀中期，已經或即將發(fā)生的損害是威脅人類活動的主要來源。侵權法的目標在于填補確定發(fā)生的現實損害，以實現矯正正義。20 世紀以來，電子、醫(yī)學、交通、能源等技術的創(chuàng)新使人類進入風險社會，許多侵害后果化身于對人身、財產安全的“潛在副作用”，體現為雖未發(fā)生但已初具威脅的風險。② 以矯正“過去”為原型的統一損害概念難以決定面向未來的風險分配，現代侵權法率先在生態(tài)破壞、毒物致害等領域突破現實損害的限制，發(fā)展出以面向未來的風險為賠償對象的新型損害概念。

21 世紀以來，大數據、人工智能、區(qū)塊鏈等新興技術迅速發(fā)展，個人信息處理日趨常態(tài)化、復雜化。如何在盡可能地滿足個人信息處理需求的同時，將信息安全風險控制在合理范圍，是追求信息安全秩序價值的應有之義。風險控制的原理是：個人信息保護不應以阻止處理活動的全部不利后果為目標，而須重點觀測不利后果的發(fā)生概率與社會影響。風險控制理論既催生了個人信息安全風險的事前規(guī)制，又影響了個人信息泄露的事后救濟。對于前者而言，風險控制表現為基于風險的合規(guī)管理，要求個人信息處理者將風險管理和評估作為合規(guī)的重要手段，識別一系列針對個人信息權益的風險。對于后者而言，風險控制表現為基于風險的損害分配，其將風險作為侵權法的核心概念，個人信息泄露侵權責任不僅需要“向后看”，填補已經發(fā)生的損害，還應“向前看”，主動參與到風險控制與消解之中，將個人信息泄露導致的潛在風險納入分配范圍。

問題是，因個人信息泄露導致的風險應由受害人還是個人信息處理者承擔？ 一般認為，風險分配以實現正義為目標，須遵循與生產風險的責任、獲取風險的收益、抵御風險的能力相適應的原則。① 在信息處理關系中，個人與個人信息處理者具有信息能力的不平等性，后者在知識、信息、技術等方面占據絕對優(yōu)勢地位，其既是安全風險的制造者，又是處理活動的獲益者，擁有更強的風險抵御和規(guī)避能力。因此，在個人信息泄露侵害后果轉化為現實的身份盜竊或欺詐等次生損害之前，令個人信息處理者而非受害人承擔潛在風險，有利于將侵權成本內部化，迫使個人信息處理者形成注重風險合規(guī)的行事方式，從而使風險對公眾的總體傷害最小化，實現利益共同體的最大善。

（二）從風險到損害的爭議與澄清

風險分配只是在法政策上大致劃定責任關系，至于個人信息泄露導致的風險能否成為損害，則尚需探尋從風險到損害的法教義學基礎。在理論上，有觀點否認風險損害的存在，其理由包括：一是與現實損害相比，個人信息泄露導致的潛在風險或多或少地帶有猜測性意蘊，具有不真實性?！艾F實的隱私損害是實實在在的損害，而潛在的隱私泄露損害僅為損害發(fā)生的可能性。如果僅僅因為有人認為自己在信息泄露中更易受損而認可隱私損害，就如同某人因擔心可能遭受人身攻擊而認可人身損害一樣，是極其不合理的。”②二是損害與風險在底層邏輯上存在差異，只有當個人信息泄露的危害后果迫在眉睫或造成實際損失時，損害才應交由民法上的私人執(zhí)行;而純粹的風險應圍繞公法上的公共執(zhí)行機制展開。③ 三是在民法上，風險可通過消除危險等預防性責任起到預防效果，而無須訴諸損害賠償。

個人信息泄露損害風險的產生，縱然摻雜推測性因素，但這并不意味著風險損害是虛假或不真實的，更不意味著公法保護或預防性責任能夠代替風險損害賠償。

其一，風險損害具有真實性。真實性要求損害須為真實或實際存在的，而不能是主觀臆想或假設性的。盡管并非所有個人信息泄露導致的風險都會轉化為現實，但受害人面臨的損害威脅卻是真實、具體、持續(xù)性的：一是“每個人都遭受了精算（保險計算）意義的損失，因為他們避免損害的機會已然減少”④;二是為人身、財產安全埋下隱患，受害人普遍擔心泄露的個人信息會遭濫用，并花費時間和金錢保護自己免受影響;三是實質性地增加了次生損害的發(fā)生概率，損害風險最終會在部分受害人中轉化為現實。可見，風險損害絕非主觀臆想或假設性的。

其二，公法保護不能代替民事救濟。面對與日俱增的個人信息泄露事件，以《中華人民共和國刑法》第253 條之一規(guī)定的侵犯公民個人信息罪和《個人信息保護法》第66 條規(guī)定的行政處罰制度為代表的公法保護的確發(fā)揮著重要作用。但一概依賴公法對風險進行管控難免存在反應遲緩、資源匱乏、執(zhí)行僵化等弊端，而且即便對個人信息處理者進行刑事制裁或高額罰款，也不能徹底消除個人信息在未來可能遭到濫用的風險，更無法培養(yǎng)人們積極保護個人信息的權利意識。因此，公法與私法的協同治理是個人信息泄露風險規(guī)制的重要趨勢。我國司法實踐也不排斥風險構成具體、真實的損害。例如，有的人民法院將“被他人議論、登門打擾的可能性增加”⑤作為確定個人信息泄露原生損害的依據，足以說明將風險界定為損害具備現實可行性。

其三，預防性責任難以取代損害賠償。根據《個人信息保護法》第57 條，個人信息處理者在信息泄露后負有補救和通知義務，此義務可謂消除危險責任在個人信息泄露中的具體應用，有利于預防未來發(fā)生次生損害的風險。然而，正如車輛經修理后仍可能存在價值貶損一樣，個人信息一經泄露，即便個人信息處理者采取斷開鏈接等補救措施，個人信息權益也難以恢復到泄露事件未曾發(fā)生時的狀態(tài)，因此，仍可能存在技術上無法消除的剩余風險。當該剩余風險在未來轉化為現實的概率較高或一旦現實化便具有較強的嚴重性時，就有必要通過損害賠償消解剩余風險，保護受害人的個人信息權益。

（三）風險損害的判斷標準

認可風險具有轉化為損害的可能性并不意味著風險在任何場合都能獲得救濟，通常只有構成緊迫性的風險才能構成法律上的損害。在克拉珀訴國際特赦組織·美國案（Clapper v. AmnestyIntern. USA） 中，美國聯邦最高法院確立了風險損害緊迫性判斷的確實迫在眉睫（ certainlyimpending）標準。原告主張其境外通信在未來具有被截獲的客觀合理可能性，但法院認為此風險建立在高度猜測性的恐懼之上，未能證明其確實迫在眉睫。①

之所以將確實迫在眉睫作為風險損害的判斷標準，其無非是限制風險損害賠償的手段運用。然而，這一要求不僅會令受害人難以舉證，還會進一步強化對風險現實化的要求。在大數據時代，個人信息泄露往往涉及數以萬計的受害人，即便受害人尚未遭受身份盜竊或欺詐，這些次生損害也會伴隨時間推移而在相當比例的人群中實際發(fā)生。而且個人信息泄露的發(fā)生時點與風險現實化的時點可能存在較長時間間隔，一旦受害人錯過請求風險損害賠償的最佳時機，例如，未能獲賠信貸監(jiān)控或防盜保險的費用等，就很可能會在未來遭受巨額損失。鑒于為防止風險現實化的總成本通常低于次生損害實現后的救濟費用，一概強調損害須確實迫在眉睫既不利于維護個人信息權益，又提高了信息安全維護成本。有鑒于此，有學者主張采納客觀合理可能性標準從寬認定風險損害。②但幾乎任何個人信息侵害事件都具有引發(fā)次生損害的可能性，該標準無法剔除潛在風險不夠緊迫或過分倚重猜測的損害索賠。

為實現個人信息保護與數字產業(yè)發(fā)展的平衡，應在客觀合理可能性與確實迫在眉睫之間探尋折中路線，將實質性風險（substantial risk）作為風險損害的判斷標準。實質性風險標準不僅具有堅實的理論基礎，而且也被部分判決所采納。美國聯邦第六巡回上訴法院認為，當個人信息已掌握在惡意的犯罪分子手中時，未來損害的實質性風險足以確立訴訟資格。③ 我國也有人民法院將“個人生命健康、人格尊嚴或經濟利益可能遭受嚴重損害或極易遭受損害”④作為風險損害的判斷依據，與實質性風險異曲同工。實質性風險的要義是：當個人信息泄露導致的風險在未來轉化為現實損害的概率較高，或者一旦被泄露的個人信息遭非法處理，就容易對受害人的人身、財產權益造成嚴重后果時，承認風險損害的存在。實質性意味著風險的緊迫性或確定性程度要高于損害發(fā)生的可能性，但又不要求風險達到確實迫在眉睫的程度。如此，具有較高發(fā)生概率或嚴重程度的風險在次生損害發(fā)生前就能得到預防或管控，這樣，既有利于救濟個人信息權益，又可及時糾正個人信息泄露行為，從而在整體上減少訴訟成本。

三、個人信息泄露風險損害的評價方法

在確定個人信息泄露原生損害賠償對象為實質性風險后，采用何種評價方法將滿足實質性風險的損害從個案中篩選出來，便成為構建其賠償責任的關鍵。實踐中個人信息泄露場景千差萬別，風險損害無法依據“全有或全無”的要件評價簡明得出結論，而須考量個人信息保護與利用的動態(tài)平衡。這就決定了構筑實質性風險的內在價值體系，并非支離破碎的要素疊加，而是由數個基礎原理相互協調構成的動態(tài)體系。風險損害的評價結論取決于不同場景中評價要素的形態(tài)差異和相互作用。

（ 一）評價要素的選取

風險損害評價的核心原理是風險現實化的概率及嚴重程度，取決于未經授權訪問信息的第三人是否具有濫用個人信息的主觀意圖和客觀條件，前者體現為第三人訪問個人信息的動機和信息濫用證據，而后者則包括信息敏感性和安全技術措施。

1. 第三人動機

動機反映了第三人訪問個人信息的心理傾向和內部驅力，第三人通過訪問個人信息實施身份盜竊等侵權行為的動機越明確，就越容易推斷風險損害的成立。

第三人動機具有主觀性、難以確證性，須借助客觀標準化的技術予以推定，具體考量以下因素：（1）信息泄露原因。外部入侵和內部因素是泄露事件的主要原因。外部入侵是黑客精心組織設計的攻擊活動，其瞄準對象即為個人信息本身，可以合理地推測黑客訪問個人信息的目的“遲早是要實施欺詐或冒用消費者的身份”。① 而在因員工操作失誤等內部因素造成的信息泄露事件中，須借助額外證據才能推斷個人信息訪問是第三人蓄謀已久還是偶然點擊的結果，風險損害的緊迫性明顯低于外部入侵的情形。（2）信息擴散范圍。個人信息的擴散范圍越廣，越容易推斷潛在訪問者具有濫用信息的意圖，風險損害的緊迫性也就越高。如果個人信息尚未向不特定的人群傳播，則只要有限的訪問者不具有濫用動機，就不存在風險損害。② （3）信息存儲載體。信息存儲載體包括電子設備、數據庫、紙質文檔等。在電子設備（如筆記本電腦）被盜導致的泄露中，個人信息僅為盜竊行為的間接對象，在缺乏充分證據的情況下，人民法院不愿接受盜竊電子設備的動機在于濫用存儲于其中的個人信息這一推論，風險的推測性較為明顯。而在竊取紙質文檔和入侵數據庫的場合，由于這兩種信息載體不像電子設備那樣自帶高昂價值，能夠合理地推斷盜竊者的目標是個人信息本身，其濫用信息的動機比較明確，因此，更容易造成風險損害。③

2. 信息敏感性

個人信息敏感性程度越高，一旦泄露被他人濫用的可能性和危害性就越大，也就越容易被認定風險損害存在。

根據《個人信息保護法》第28 條第1 款，敏感個人信息一經泄露，就容易導致受害人的人身、財產安全受到威脅，發(fā)生次生損害的風險相當明顯。① 例如，在銀行卡、健康信息和行蹤信息泄露案中，人民法院認為：“六被告實施的侵權行為，既造成受害人的財產安全陷入巨大風險，也造成受害人因喪失對個人信息的控制力而陷入不安，精神遭受損害?！雹诙瑯邮敲舾袀€人信息，其泄露后的風險程度也不盡相同。生物識別和醫(yī)療健康信息兼具可識別性與私密性，一經泄露就打破了受害人的合理隱私期待，風險損害的緊迫性程度極高。而在金融賬戶信息泄露后，受害人可通過更換、注銷信用卡的方式切斷個人信息與身份盜竊的關聯。③ 除非有證據表明受害人采取上述措施后仍存在剩余風險，否則，只要個人信息處理者支付注銷、更換信用卡的費用就足以消除個人信息泄露的潛在影響，而無須另行賠償風險損害。

對于非敏感個人信息，有學者認為，“針對一般個人信息的風險暫不宜認可其成立損害?！雹苷\然，單獨泄露非敏感個人信息引發(fā)的風險較小，原則上不應認可構成風險損害。但個人信息并非孤立存在。第三人在未經授權訪問非敏感個人信息后，可能會將其與已掌握的其他信息相結合，以揭示或推斷未知信息，從而對受害人的人身、財產安全造成實質性威脅。例如，泄露興趣愛好、出生時期等，孤立來看是瑣碎無害的，但如果這些信息被受害人用于設置密保，則第三人很可能會借此破解賬戶密碼，危及財產安全。因此，如果有證據證明第三人有意聚合不同來源的個人信息以形成用戶畫像，則應例外地認可非敏感個人信息泄露的風險損害。

3. 安全技術措施

個人信息處理者采取的信息安全技術措施越嚴密，未經授權訪問的第三人就越難解密個人信息，風險損害也就越不易獲得認可。當個人信息處理者泄露未加密、未去標識的個人信息時，未經授權訪問的第三人無須解密環(huán)節(jié)即可讀取信息內容，法院容易認可風險損害的存在。有疑問的是，當個人信息處理者泄露已加密或去標識化的個人信息時，是否還存在風險損害？ 美國加利福尼亞州《消費者隱私法案》（CCPA）將私人訴訟的保護對象限定于“未加密和未編校的個人信息”。本文不贊同此觀點。盡管安全技術措施能夠在一定程度上確保個人信息的機密性和完整性，卻無法阻止去標識化信息的重新標識。如果第三人竊取了加密信息的密鑰或安全憑證，或者精通去標識化信息的解密技術，則受害人仍可能面臨實質性風險。

4. 濫用證據

同一泄露事件中，第三人利用被泄露的個人信息實施侵權行為的頻次越高，個人信息濫用證據或跡象越明顯，越容易發(fā)現并證成風險損害。

濫用證據主要包括兩類：其一，受害人遭受侵權未遂，即第三人未經授權訪問受害人的個人信息并已著手實施濫用行為，只是由于意志以外的原因未得逞。此時除非當前技術條件下被泄露的個人信息不具備單獨或結合其他信息威脅人身、財產安全的可能性，否則，能夠合理地推斷第三人在未來還會實施類似行為，此時，風險損害已然迫在眉睫。例如，龐某在個人信息泄露后多次收到詐騙短信，只是由于其防詐意識較強導致詐騙未得逞，人民法院支持了其個人信息泄露的侵權救濟請求。①

其二，大規(guī)模泄露事件中，第三人已濫用部分受害人的個人信息造成次生損害的，對于其他尚未遭受次生損害的受害人而言，可以合理地推斷其在未來有相當大的概率也會遭受類似損害。例如，在35 萬條信用卡信息泄露案中，其中9200 條信息已被黑客用于實施欺詐活動，人民法院推斷其他信息遲早會被濫用，受害人已然遭受欺詐的實質性風險。② 如果大規(guī)模泄露事件發(fā)生后，幾乎沒有受害人遭受現實損害或侵權未遂，那么隨著時間推移，個人信息被濫用的概率就會越來越低，風險損害也就越難獲得支持。

（二）評價要素的協動

風險損害的評價要素不是零散無序的，而是相互之間具備位階權重和協動作用，如此動態(tài)體系的綜合權衡方能開展。

1. 評價要素的位階權重

風險損害的評價要素具有價值上的先后次序，從高到低依次是“濫用證據———信息敏感性、安全技術措施———第三人動機”。首先，濫用證據是最具決定性的評價要素，甚至可以單獨決定風險損害的成立。無論其他要素的充足度如何，同一泄露事件中其他受害人的個人信息遭濫用的證據就足以支持風險損害賠償。其次，信息敏感性和安全技術措施集中反映了第三人在客觀上實施信息濫用的難易程度，其中任一要素的低充足度都會降低風險的緊迫性，須借助其他要素進行補充。

最后，之所以動機要素位居權重末位，是因為如果第三人僅有濫用個人信息的動機，而缺乏閱讀、復制和理解信息內容的客觀條件，則不足以制造實質性風險。③

2. 評價要素的協動作用

協動意味著不同要素之間具備相互制約、互為補充的功能，其能夠將不同強度或力量的評價要素組合起來，共同決定風險損害的評價結論。風險損害評價要素的協動大致可分為三類：一是基礎性或決定性。個人信息濫用證據在評價要素中具備基礎性或決定性地位，一旦該要素充足度較高，例如，受害人數次遭受欺詐未遂或大規(guī)模泄露事件中其他數名受害人的個人信息遭濫用，則很容易證成或補足其他要素的充足度，而其他要素則難以反向補充濫用證據要素。二是雙向互補性。信息敏感性和安全技術措施具備雙向互補性，如果其中某個要素的充足度很高，而另一要素的充足度低于平均基準的，二者在綜合權衡中可以實現互補，風險損害仍可能成立。三是單向補充性。信息敏感性和安全技術措施作為第三人實施信息濫用的客觀條件，能夠在綜合權衡中補充第三人動機要素的短板;而第三人動機卻難以對信息敏感性或安全技術措施要素的低充足度進行補足，從而容易使風險損害在評價中趨于失敗。

（三）評價示例的引入

既然風險損害評價由四個要素的協動作用所決定，那么只有引入“當要素A 的充足度為a1，要素B 的充足度為b1 時，就應導出法律效果R1”①的示例，才能演繹富含動態(tài)品質的評價效果。

1. 認可風險損害的評價示例

（1）受害人數次遭受侵權未遂，或者大規(guī)模泄露事件中其他數名受害人的個人信息遭濫用。其協動公式是：當具備決定性作用的濫用證據要素具有較高充足度時，即便其他要素的充足度較低，也足以發(fā)現并證成風險損害。例如，在記錄員工信息的電腦盜竊案中，盜竊者曾試圖利用員工信息開設銀行賬戶，其濫用個人信息的前景足以構成風險損害。② （2）未加密的敏感個人信息遭泄露。當信息敏感性和安全技術措施的充足度較高時，盡管第三人訪問個人信息的動機不得而知，發(fā)生次生損害的風險也會相當明顯?！袄钅城鍖悄臣t的清晰身份證照片發(fā)布于自己的朋友圈，客觀上會增加吳某紅的個人信息被竊取、盜用或者被他人滋擾的風險”③，故應承擔侵權責任。（3）因黑客入侵或紙質文檔失竊，致使加密的敏感個人信息或未加密的非敏感個人信息遭泄露。當第三人動機具有較高充足度時，只要信息敏感性和安全技術措施中任一要素的充足度較高，即可在后兩個要素的互補作用下成立風險損害。例如，盡管公司已采取個人信息加密處理，但既有證據表明黑客入侵服務器的目標在于利用零售商的解密軟件破解用戶信用卡號，這足以證明風險損害的緊迫性。④

2. 否定風險損害的評價示例

（1）大規(guī)模泄露事件中，在很長時間內沒有受害人的個人信息遭濫用。當濫用證據要素的充足度很低時，即便其他要素具有較高充足度，經綜合權衡后也不構成風險損害。例如，在黑客入侵導致用戶敏感個人信息泄露的三年內，沒有任何個人信息濫用的跡象，由此導致的身份盜竊風險不足以構成損害。⑤ （2）加密的非敏感個人信息遭泄露。當信息敏感性和安全技術措施同時具有較低充足度時，除非個人信息濫用證據或跡象較為明顯，否則不發(fā)生風險損害。例如，教育平臺泄露的學生信息是加密的非敏感個人信息，其難以被用于實施欺詐交易，不足以顯著增加身份盜竊的風險。⑥（3）加密的敏感個人信息或未加密的非敏感個人信息遭泄露，且第三人訪問信息的動機不甚明確。第三人動機要素充足度較低的，盡管信息敏感性和安全技術措施中某一要素的充足度較高，在綜合權衡中也不發(fā)生風險損害。例如，在數據磁盤盜竊案中，倘若發(fā)生身份盜竊，須假設盜竊者采取一系列行動：識別數據磁盤真?zhèn)?找到讀取器和軟件訪問磁盤;解密加密數據;濫用特定個人的姓名和社會保障號碼。可見，本案原告的身份盜竊風險極具推測性。⑦

四、個人信息泄露風險損害賠償的計算

在篩選出應予救濟的風險損害后，應如何計算個人信息泄露風險損害賠償數額？

（一）風險損害賠償的范圍

1. 風險預防費用

風險預防費用是為防止?jié)撛陲L險現實化而采取預防措施所支出的費用，包括購買信用監(jiān)測產品和防盜保險、關閉或注銷金融賬戶、更換銀行卡或服務提供商、實施或解除信貸凍結、購買和審查信用報告或銀行財務報表的費用等。風險預防費用并非個人信息泄露造成的現實損害，而是對尚未發(fā)生的損害之預防。有的人民法院擔憂，預防費用的支出源于用戶對未來損害的感知風險，是原告為獲得賠償或轉移風險而故意制造的損害。①

事實上，風險預防費用作為具體地理解和計算風險損害的指南，能夠幫助受害人管控風險并及時發(fā)現信息濫用跡象，屬于個人信息泄露導致的當然結果。在受害人明知可能遭受欺詐、身份盜竊等次生損害的情況下，可以合理地預見其會采取購買保險、更換信用卡等風險預防措施。鑒于規(guī)避風險的總成本通常低于次生損害實現后的救濟費用，認可風險預防費用將有利于發(fā)揮侵權法的預防功能，實現帕累托最優(yōu)。如果受害人并未因抵御風險實際支付費用而僅僅是花費時間和精力的，是否還有權請求賠償？ 實務上大多持否定態(tài)度，認為除非時間損失能直觀反映于收入機會的喪失，否則，不應予以救濟。② 但這既會使個人信息處理者因受害人的額外努力而獲益，又會剝奪受害人對損害賠償金的處置權，不符合損害賠償的規(guī)范目的。為保障公平合理，風險預防費用應以理性人在此情形下通常支付的費用為基準進行計算。當受害人并未實際支付風險預防費用或支出的費用不合理時，人民法院可依據理性人標準酌定賠償數額。

2. 使用利益喪失

在受害人為抵御風險而采取預防措施的過程中，其可能還會因無法使用相關產品或服務而遭受使用利益喪失。例如，在賬戶凍結期間導致生活成本提高;因網絡服務中斷造成經濟損失或生活不便;更換賬戶致使服務費增加或獎勵積分喪失;更換銀行卡導致定期存款利息損失等。

與風險預防費用不同，使用利益喪失不是對個人信息權益直接造成的損害，而是作為附加侵害后果的間接損害，不少人民法院以此為由拒絕賠償。③ 然而，直接損害與間接損害的區(qū)分實意不在于限制賠償范圍，而僅僅意味著后者與個人信息權益受侵害的因果關系結合度較遠，兩種損害原則上都應予以賠償。據此，使用利益喪失賠償應回歸相當性理論，判斷其能否被理性人所預見。個人信息泄露事件發(fā)生后，采取預防措施屬于理性人試圖規(guī)避風險的通常反應，而此過程將不可避免地產生成本或不便，這是金融服務業(yè)的市場規(guī)律使然，并未超出理性人的預見能力?？梢?，盡管使用利益喪失與個人信息權益受侵害之間存在介入因素，但其仍處于相當性射程之內，應納入風險損害賠償范圍。

3. 內心焦慮損害

一旦個人信息失去控制，受害人常擔心個人信息未來被他人利用，進而遭受焦慮、恐懼、尷尬、失去信任、羞辱、緊張、擔心、失眠等內心焦慮損害。

與傳統精神損害相比，個人信息泄露導致的內心焦慮不以具體人格權的現實侵害為基礎，而僅僅源于對將來不確定事件的擔憂，有的人民法院據此否認其真實性。① 然而，正如財產損害包括現實損害和即將發(fā)生的損害，是否產生現實侵害后果并非評價精神損害的唯一基準，具有實質性風險的損害威脅也可能成為內心焦慮的源頭。據調查，個人信息泄露造成的焦慮程度要比靜息態(tài)焦慮更嚴重，可能致使受害人的心理和軀體出現不良癥狀，甚至身患抑郁癥、焦慮癥和創(chuàng)傷后應激障礙。② 因此，只要理性人在個人信息泄露的相同處境下能夠感受到內心焦慮或痛苦，就應認可損害的真實性。

在明確內心焦慮損害的真實性后，根據《民法典》第1183 條第1 款，其賠償還須滿足精神損害嚴重性要件。實踐中，除個人信息泄露“可能導致原告無法以應屆畢業(yè)生身份擇業(yè)”③等特殊情形外，在受害人受到生活困擾④、感到憂慮和心情緊張⑤等案例中，人民法院均以內心焦慮未達到法定嚴重程度為由拒絕賠償。

之所以強調精神損害的嚴重性，主要是為了貫徹微害不予救濟原則，以防止將其擴張至純粹主觀感知上的不便。然令人疑惑的是，同樣應遵守微害不予救濟，法律并未限制財產損害賠償的嚴重程度，卻為具有兜底功能且更難舉證的精神損害增設救濟門檻，這不僅在價值上有失均衡，而且可能造成受害人受有內心焦慮卻無法獲得救濟的不公平結果。為實現價值平衡，一方面應根據內心焦慮損害的微型特點，適當降低其賠償門檻;另一方面又應排除影響方式及頻率尚屬輕微的風險，避免個人信息處理者陷于動輒賠償的境地。對此，人民法院可以從寬解釋《個人信息保護法》第69條第2 款中的“損失”，使之包含財產損害和精神損害，兩種損害的賠償都無須滿足嚴重要件;而即便認為“損失”不包括精神損害，人民法院也可以將《民法典》第1183 條第1 款中的嚴重要件視為微害不予救濟的具體規(guī)定，只要個人信息泄露足以使受害人遭受非輕微性的內心焦慮即可獲得賠償。例如，在“史某、賈某個人信息保護糾紛”案中，人民法院認定“史某英未提供嚴重后果的相關證據，但考慮給史某英造成的內在精神損害，故酌定賈某應賠償史某英精神損害撫慰金300 元?！雹?/p>

4. 維權合理開支

為制止個人信息泄露侵權行為，受害人在維護其合法權益的過程中還可能產生相關開支或成本。通常情況下，因民事糾紛產生的維權開支，屬于法治國家中的一般生活風險，不得轉嫁他人。

但由于個人信息泄露造成的損失數額普遍偏低而維權開支較高，如不賠償將導致維權費用與侵權成本陷于不平衡狀態(tài)。為此，《最高人民法院關于審理使用人臉識別技術處理個人信息相關民事案件適用法律若干問題的規(guī)定》（法釋〔2021〕15 號）第8 條第2 款例外地承認了個人信息侵權中“為制止侵權行為所支付的合理開支”之賠償，并列舉了調查、取證費和律師費等賠償項目。不限于此，受害人的維權開支還包括交通費、差旅費、誤工費、打印費、公證費、保全費、通知費、申訴費等。只要這些開支符合國家有關部門規(guī)定的合理標準，無論是否發(fā)生次生損害，都應納入賠償范圍。例如，在網上發(fā)帖泄露信息案中，人民法院支持了原告為制止侵權行為而支付的公證費4100 元、律師費6000 元和交通費300 元的損害賠償。①

（二）風險損害賠償的酌定

基于風險損害的無形性、不確定性，實踐中經常出現受害人已證明產生上述賠償項目卻無法證明具體數值的情形，此時應根據《個人信息保護法》第69 條第2 款由法官依職權酌定。為確保裁量結果的公平正義，應構建風險損害賠償的酌定因素與區(qū)間。

1. 風險損害賠償的酌定因素

酌定因素是決定風險損害數額大小的原因或條件，其通過設置多元化的變量要素，簡明反應了風險損害賠償的內在邏輯結構。為統一裁判尺度、實現賠償標準的客觀化，實務上應全面列舉風險損害賠償的酌定因素。這主要包括：（1）泄露行為的性質、程度和持續(xù)時間;（2）個人信息的敏感性和數量;（3）損害風險提高的概率;（4）其他個案因素。第（1）和（2）項是數額計算的基準因素，與風險損害賠償呈正相關，二者共同決定了一旦風險轉化為現實后的損害程度。第（3）項因素可通過鑒定評估或數據統計進行量化，與第三人的侵權動機呈正相關，與個人身份識別的難易程度呈負相關，單以“損害風險提高的概率”足以涵蓋其他兩種因素的參數作用。以上三個因素具有客觀性、確定性，法官在評定中不享有過高的裁量權，具體權重可通過實務經驗積累達到標準化確定。而第（4）項則是個案中影響風險損害賠償的其他因素。例如，當受害人遭受內心焦慮損害時，個人信息處理者的過錯程度應成為酌定其賠償數額的重要因素。可見，其他個案因素具備主觀性、不確定性，法官享有一定的裁量權，須結合個案場景審慎認定。

2. 風險損害賠償的酌定區(qū)間

在建立風險損害賠償的酌定因素后，還應劃定賠償數額的酌定區(qū)間，從而形成科學系統的酌定公式。為合理限制法官裁量權，同時兼顧個人信息處理者的成本預期，風險損害賠償的酌定區(qū)間應采用雙重限制結構：第一重限制為每人每事件的酌定區(qū)間，包括酌定下限和上限，前者構成了酌定賠償的最小值，為受害人提供了無法證明損害數額時的兜底方案，有利于降低其舉證成本;而后者則為酌定賠償的最大值，意在于將個人信息處理風險控制在合理預期的范圍，適當限制個人信息處理者的賠償責任。至于酌定區(qū)間的具體數值，則應綜合考慮每個事件平均造成的損失、受害人行使請求權的意愿、防止虛假訴訟等因素確定。第二重限制為大規(guī)模泄露事件的最高酌定限額。同一泄露事件可能導致眾多受害人遭受風險損害，盡管每名受害人的損害數額較低，但累計卻可能達到相當高的程度。為避免賠償數額過巨，應設置同一事件中全部受害人累計可獲賠償的最高限額。當依酌定計算的風險損害總額溢出最高限額時，其賠償應適用最高限額標準，同時對每名受害人的賠償將不再受限于每人每事件的酌定下限。

五、余論

正如財產權客體正在經歷從有體物到無形財產的擴張，現代社會的損害觀也呈現無形化、抽象化的演變趨勢，因此，亟需構筑無形、風險損害的概念體系和賠償責任。不限于個人信息泄露，風險損害在現代社會具有普遍意義：在醫(yī)療侵權領域，當醫(yī)生誤診導致病人患腸梗阻病的概率提高時，損害表現為患病風險的顯著增加①;在毒物致害領域，施工方在鐵路維修中大量使用多氯聯苯致使受害人長期暴露于危險物質之中，損害體現為對人身健康的潛在威脅②;在生態(tài)破壞領域，當土壤、空氣、水體等環(huán)境要素受損時，損害表現為因污染物的擴散遷移而對公眾健康或生態(tài)環(huán)境造成的侵害風險。實踐中有必要全面接納面向未來的實質性風險損害，并針對不同類型的風險損害建立差別化的評價機理，從而動態(tài)地適應受害人的權利救濟需求。

本文責任編輯：林士平

青年學術編輯：孫 瑩

基金項目：國家社科基金重大項目“數字經濟治理體系法治化研究”（23amp;ZD155）