程啸：侵害个人信息权益的侵权责任

清华大学法学院教授

侵害个人信息权益的侵权责任，是指个人信息处理者处理个人信息侵害自然人的个人信息权益，依法应当承担的损害赔偿等侵权责任。在我国侵权法中，过错责任原则是基本的归责原则（《民法典》第1165条第1款），过错推定责任以及无过错责任以有法律规定为适用前提（《民法典》第1165条第2款、第1166条）。故此，原则上，侵权行为都适用过错责任原则。

侵害个人信息权益的侵权责任也不例外。2021年8月20日，第十三届全国人大常委会第三十次会议审议通过了《个人信息保护法》。该法第69条对侵害个人信息权益的侵权责任作出规定。该条第1款是对归责原则的规定，即“处理个人信息侵害个人信息权益造成损害，个人信息处理者不能证明自己没有过错的，应当承担损害赔偿等侵权责任”。第2款明确了损害赔偿的计算方法，即“前款规定的损害赔偿责任按照个人因此受到的损失或者个人信息处理者因此获得的利益确定;个人因此受到的损失和个人信息处理者因此获得的利益难以确定的，根据实际情况确定赔偿数额”。

无论是在个人信息侵权纠纷的司法实践中，还是在《个人信息保护法》的起草过程中，就侵害个人信息权益的侵权责任应当适用何种归责原则、侵权赔偿责任的构成要件、财产损害与精神损害赔偿数额的确定等问题，都有不少争论。即便在《个人信息保护法》颁布后，这些争论仍在持续进行。鉴于此，本文将以《个人信息保护法》第69条为核心，系统分析讨论上述问题，以期推动对侵害个人信息权益侵权责任的研究，从而正确处理此类侵权纠纷。

（一）归责原则是损害赔偿责任的归责原则

侵权法上，归责就是归咎或追究侵权损害赔偿责任，即依法律上的价值判断决定由谁来承担损害。归责事由，就是追究侵权损害赔偿责任的理由，或者说决定将已发生的损害施加给某人承担的法律上的原因。因此，归责事由与损害密切相连，没有损害，就没有归责，归责事由决定了损害的承担主体。由于以往民法学界曾对于归责存在错误的理解，将归责中的“责”等同于所有的侵权责任承担方式，既包括损害赔偿责任，也包括停止侵害、排除妨碍、消除危险等性质上属于绝对权请求权的侵权责任承担方式。故此，《侵权责任法》第6条和第7条没有正确地区分侵害与损害，在规定归责原则时未明确“损害”这一核心要件。

我国民法典修正了这一规定，其明确了归责原则是损害赔偿责任的归责原则，正确区分了侵害与损害、绝对权请求权与侵权赔偿请求权。在规定过错责任原则和无过错责任原则时，《民法典》第1165条第1款将《侵权责任法》第6条第1款的“行为人因过错侵害他人民事权益”修改为“行为人因过错侵害他人民事权益造成损害的”；《民法典》第1166条将《侵权责任法》第7条的“行为人损害他人民事权益”修改为“行为人造成他人民事权益损害”。

如此一来，就非常清晰地区分了“侵害”与“损害”，并以损害作为过错责任和无过错责任的必备要件之一，使人们清楚了：过错责任原则是侵权损害赔偿责任的基本归责原则，而法律规定无过错也要承担赔偿责任属于例外的情形。

在《个人信息保护法》的起草过程中，对于侵害个人信息权益的侵权责任的规定也经历了一个从不区分侵害与损害，将归责原则等同于所有侵权责任承担方式的归责原则，到正确区分侵害与损害，明确了归责原则仅仅是损害赔偿责任的归责原则的一个演变过程。

《个人信息保护法草案（第一次审议稿）》（以下简称《一审稿》）第65条规定：“因个人信息处理活动侵害个人信息权益的，按照个人因此受到的损失或者个人信息处理者因此获得的利益承担赔偿责任；个人因此受到的损失和个人信息处理者因此获得的利益难以确定的，由人民法院根据实际情况确定赔偿数额。个人信息处理者能够证明自己没有过错的，可以减轻或者免除责任。”

《个人信息保护法草案（第二次审议稿）》（以下简称《二审稿》）第68条第1款规定：“个人信息权益因个人信息处理活动受到侵害，个人信息处理者不能证明自己没有过错的，应当承担损害赔偿等侵权责任。”

显然，相比于《一审稿》，《二审稿》的规定在逻辑条理上更加清晰，明确了根据过错推定责任所确定的侵害个人信息权益的损害赔偿责任。但是，《二审稿》第68条第1款中依然未区分“侵害”与“损害”，没有将“造成损害”作为承担侵害个人信息权益的损害赔偿责任的必备要件。这样就等于将过错推定责任作为所有侵权责任的归责原则，混淆了损害赔偿责任与其他侵权责任承担方式。

在《二审稿》公开征求意见以及相关内部讨论征求意见时，笔者反复向立法机关提出，应当增加“造成损害”这一要件，从而与我国《民法典》第1165条的规定保持一致，明确过错推定责任是侵权损害赔偿责任而非所有的侵权责任的归责原则。立法机关最终接受了这一意见，《个人信息保护法》第69条第1款增加了“造成损害”的要求。

（二）我国理论界对侵害个人信息权益的归责原则的争议

在《个人信息保护法》起草中，就侵害个人信息权益的侵权责任采取何种归责原则，争议很大，主要有以下三大类观点：

1.过错责任说。认为侵害个人信息的侵权责任应当适用过错责任原则，因为此种侵权行为的基本性质是侵害隐私权，与侵害名誉权、肖像权等侵权行为一样，属于一般侵权行为，应当适用过错推定责任。

2.无过错责任说。认为对于侵害个人信息的侵权责任不应当适用过错责任，而应当统一适用无过错责任，即受害人在针对信息控制者提起侵害个人信息的侵权之诉时，无须证明信息控制者存在过错，信息控制者只有在符合法定的免责事由时，才能免除责任。一方面，统一适用无过错责任能够更好地保护自然人的合法权益，使得自然人无须证明加害人的过错，同时也避免了实践中自动化数据处理与非自动化数据处理适用不同的归责原则而造成的麻烦。另一方面，虽然适用无过错责任，但是，可以在适用范围和免责事由上针对各种主体从事的活动的差异性而作出不同的规定，以便协调个人信息保护与合理自由(言论自由、信息自由等)维护之间的关系。

3. 区分说。认为应当区分不同类型的个人信息处理行为，分别确定相应的归责原则。具体又分为以下四种观点：

第一种观点认为，应当区分个人信息处理者是国家机关还是非国家机关分别规定不同的归责原则，如果是国家机关违反个人信息保护法给信息主体造成人身或财产上的损失的，应当适用无过错责任原则；如果是非国家机关违反该法给信息主体造成人身或财产上的损失的，应当适用过错推定责任。这是因为，国家机关在收集个人信息的时候更多是为了履行管理职责，信息主体往往不得拒绝国家机关对自己信息的收集与合理使用。为了保护个人信息主体的利益，对国家机关应当适用无过错归责原则。但是，非国家机关向个人收集和使用公民个人信息时，往往征得了个人信息主体的书面同意，双方建立了平等的合同关系。在这种平等的法律关系下，个人数据主体有权决定自己的信息是否被收集以及在何种范围内进行使用。因此，针对非国家机关侵害公民个人信息的行为宜采取过错推定，避免受害人因为举证困难而无法得到救济，同时也不妨碍信息自由和互联网产业的发展。

第二种观点认为，应当对自动化处理和非自动化处理中的个人信息的侵权行为分别适用过错推定责任与过错责任。因为，个人信息侵权归责的困难源于自动化技术的广泛采用，信息处理的过程难以预料，从而导致当事人之间的举证和诉讼能力存在差别。通过对于自动化处理实施的个人信息侵权，采取过错推定责任，可以很好地减轻个人的举证责任，保护其合法权益。至于非自动化处理实施的个人信息侵权，由于消除了大数据技术对受害人举证能力的障碍，所以其归责原则应与侵害隐私权的侵权责任保持一致，即采取过错责任原则。此外，个人信息处理者不仅包括企业，也包括公务机关，公务机关即便采取自动化技术处理个人信息，其所拥有的数据资源和技术力量也并非强于非公务机关的企业公司，故此，对于公务机关处理个人信息，也应当依据是否是自动化处理，而分别适用过错推定责任与过错责任，不能对于公务机关自动化处理个人信息采取无过错责任，否则过于苛刻，不利于依法履行职责。

第三种观点是在上述第一种和第二种观点基础上融合而成的，认为我国对于个人信息侵权责任应当采取三元归责体系，即公务机关以自动化处理技术实施的个人信息侵权适用无过错责任，采取自动化处理系统的非公务机关的个人信息侵权适用过错推定责任；至于那些没有采取自动化数据处理系统的数据处理者，适用过错责任。

第四种观点认为，应当对侵害敏感个人信息与非敏感个人信息规定不同的归责原则。因处理敏感信息的侵权赔偿责任应适用危险责任即无过错责任，处理非敏感的个人信息的侵权赔偿责任则适用过错推定责任。首先，敏感信息的处理行为本身就属于法律上的高度危险的行为，故此，该处理行为原则上应予禁止，但考虑到其他利益需求（如科学研究等公共利益、国家利益），法律上例外允许处理。故此，处理者应当承担更严格的责任。其次，对敏感个人信息的处理行为客观上开启了危险源且处理者对于处理行为具有控制力，依据危险开启理论与危险控制理论，处理者应当承担危险责任。再次，对侵害敏感信息适用危险责任会显著提高处理敏感个人信息的成本，形成经济上的壁垒，使一般的没有足够能力的处理者不敢轻易去处理此等信息，从而可以更好地保护个人信息权益。

（三）《个人信息保护法》第69条第1款采取过错推定责任

1.个人信息保护法历次草案规定的变化

我国民法典人格权编只是对个人信息保护的基本原则和规则作出了规定，至于侵害个人信息的侵权责任的问题，没有作出具体的规定。故此，在个人信息保护法颁布之前，侵害个人信息的侵权责任，统一适用的是《民法典》第1165条第1款规定的过错责任原则。然而，就侵害个人信息的侵权责任而言，如果适用过错责任，就势必要求受害人证明作为加害人的个人信息处理者的过错，这显然是很困难的。

《一审稿》第65条规定：“因个人信息处理活动侵害个人信息权益的，按照个人因此受到的损失或者个人信息处理者因此获得的利益承担赔偿责任；个人因此受到的损失和个人信息处理者因此获得的利益难以确定的，由人民法院根据实际情况确定赔偿数额。个人信息处理者能够证明自己没有过错的，可以减轻或者免除责任。”

显然，该条采取的是过错推定责任，但它存在的问题是：其一，就侵权赔偿责任而言，应当先规定责任的成立即归责原则，再规定如何确定损害赔偿即侵权赔偿责任的承担。但是，该条先规定损害赔偿的计算，再规定侵权赔偿责任的归责原则，显然不合逻辑。其二，过错推定责任意味着法律先推定侵权人存在过错，侵权人“不能够证明自己没有过错”的，就要承担责任。

《民法典》第1165条第2款规定：“依照法律规定推定行为人有过错，其不能证明自己没有过错的，应当承担侵权责任。”但是，《一审稿》第65条第2句却规定“个人信息处理者能够证明自己没有过错的，可以减轻或者免除责任”。既然能够证明自己没有过错，就应当免除责任，而不是减轻责任。如果在个人信息处理者能够证明自己没有过错的情况下，仍然只是减轻或免除责任，就意味着侵害个人信息权益的民事责任可能是无过错责任，也可能是过错推定责任。

鉴于此，立法机关在《二审稿》中进行了修改。首先，《二审稿》第68条分为两款，依次对侵权责任的成立与侵权赔偿责任的承担作出了规定，逻辑上更加科学。其次，第68条第1款规定：“个人信息权益因个人信息处理活动受到侵害，个人信息处理者不能证明自己没有过错的，应当承担损害赔偿等侵权责任。”从这一规定可以看出，立法机关进一步明确了过错推定责任，即只要个人信息权益因个人信息处理活动受到侵害，那么就推定个人信息处理者具有过错，如果个人信息处理者不能反证推翻，即不能证明自己没有过错的，就应当承担损害赔偿等侵权责任。应当说，《二审稿》第68条更加科学。

在二审稿的基础上，正式颁布的《个人信息保护法》第69条第1款规定：“处理个人信息侵害个人信息权益造成损害，个人信息处理者不能证明自己没有过错的，应当承担损害赔偿等侵权责任。”从这一规定可以看出，我国法律中侵害个人信息权益的侵权责任实行的是过错推定责任。

2.采取过错推定责任的理由

笔者认为，《个人信息保护法》对于侵害个人信息权益的侵权赔偿责任采取了过错推定责任是妥当的。

就侵害个人信息权益的侵权赔偿责任而言，如果适用过错责任原则，就意味着被侵权人即个人需要证明侵权人即个人信息处理者存在过错，而这非常困难。因为个人信息处理活动具有很强的专业性和技术性，个人与个人信息处理者存在信息、技术、资金等能力上的不对等地位，无法了解个人信息处理者在处理活动中具有什么过错，更无法提出证据加以证明。故此，不应当采取过错责任。

有论者认为，履行个人信息保护职责的部门会对违法处理个人信息的行为进行处罚，受害人可以以这种处罚作为证据。问题是，任何监管机关都不可能对所有的个人信息违法行为及时作出处罚，如果没有处罚，受害人就无法举证要求侵权人承担侵权责任，显然是荒唐的。如果对于侵害个人信息权益的侵权赔偿责任一律采取无过错责任，似乎又过于严厉。

毕竟个人信息处理者的类型很多，处理的场景也千差万别，个人信息处理活动也是现代社会生活须臾不可或缺的活动，因此，不应当采取无过错责任。只有过错推定责任既有利于保护个人信息权益，减轻受害人的举证责任，同时对于个人信息处理者而言也不过于苛刻，其仍有机会通过证明自己没有过错而免除责任，显然更为合适。

至于区分说，也不合理。一方面，现代社会中的个人信息处理活动基本上都是利用计算机技术进行的自动化处理，个人信息保护法也是为了应对利用现代网络信息科技处理个人信息带来对个人权利和自由的风险而生的，因此，区分自动化处理和非自动化处理从而区分不同的归责原则，缺乏实际意义，不符合信息社会的发展趋势。另一方面，区分国家机关与非国家机关而规定不同的归责原则，也不妥当。因为，国家机关履行法定职责而处理个人信息属于行使职权的行为，如果该行为侵犯公民的个人信息权益等合法权益，要适用国家赔偿法的规定。

《国家赔偿法》第2条第1款规定：“国家机关和国家机关工作人员行使职权，有本法规定的侵犯公民、法人和其他组织合法权益的情形，造成损害的，受害人有依照本法取得国家赔偿的权利。”该法第3条和第4条对行政赔偿的具体情形，第17条和第18条对刑事赔偿的具体情形分别作出了规定。从上述规定可知，国家赔偿责任主要适用的是违法归责原则，个别情形（刑事赔偿中的错误羁押和错误裁判）适用结果归责原则。所谓违法归责原则是指，国家机关承担国家赔偿责任以行使职权的行为违反法律、法规、规章和其他规范性文件等实定法的规定为要件。故此，在侵害个人信息权益的侵权责任中区分公务机关和非公务机关，并对公务机关适用无过错责任的观点不符合国家赔偿法的违法归责原则。

3.为何侵害个人信息权益与侵害隐私权的归责原则存在差异

在个人信息保护法的起草过程中，有观点认为，《民法典》第1034条第3款规定：“个人信息中的私密信息，适用有关隐私权的规定；没有规定的，适用有关个人信息保护的规定。”由此可见，民法典对于隐私权保护的程度要高于对于（非私密的）个人信息的保护程度。既然民法典对侵害隐私权的侵权责任都只是适用过错责任原则，对于受保护程度低于隐私权的个人信息，个人信息保护法却适用过错推定责任，显然是不合理的，也有违民法典的规定。笔者认为，这种观点是对民法典的误读误解，并不妥当。

首先，《民法典》第1034条第3款规定于第四编“人格权”中，人格权编的规范重点在于确认和明确各项具体人格权益的内容、边界和特殊的保护规则，至于侵害个人权益的侵权责任，应当适用的是民法典侵权责任编和其他法律的规定。《民法典》第995条第1句规定：“人格权受到侵害的，受害人有权依照本法和其他法律的规定请求行为人承担民事责任。”这就是说，无论是侵害隐私权等具体人格权抑或侵害个人信息权益的侵权责任，都应当依据民法典侵权责任编和其他法律的规定。

正因如此，在民法典编纂过程中，立法机关没有接受在人格权编第六章“隐私权和个人信息保护”中规定侵害个人信息的民事责任的观点。显然，并非只有民法典侵权责任编可以对侵权责任作出规定，作为法律的个人信息保护法当然可以对侵害个人信息权益的侵权责任作出特别的规定，这不存在与民法典不一致的问题。

其次，民法典人格权编对于隐私权保护的强度确实高于非私密信息，如《民法典》第1033条规定，除非“法律另有规定或者权利人明确同意外”，任何组织和个人不得侵害他人的隐私权，包括处理他人的私密信息。但是，对于个人信息，《民法典》第1035条第1款则规定，只要有法律、行政法规的规定，就可以无须征得自然人或其监护人的同意而处理个人信息。再如，依据《民法典》第999条，为公共利益实施新闻报道、舆论监督等行为的，可以合理使用民事主体的姓名、名称、肖像、个人信息等。

但是，民法典不允许对隐私进行所谓的合理使用。这些差异确实体现了民法典更注重保护隐私权的立法宗旨。因为，隐私权与人格尊严息息相关，维护的是人格利益，不存在足以与隐私权的保护相抗衡的其他利益。然而，在个人信息的保护中，则始终需要注意协调保护与利用的关系，过度保护个人信息不利于信息的自由流动，妨害数字经济与网络科技的发展。也正是在这一认识的基础上，《民法典》第1034条第3款才规定：“个人信息中的私密信息，适用有关隐私权的规定；没有规定的，适用有关个人信息保护的规定。”

然而，民法典对隐私权和个人信息保护强度的差异并不意味着，侵害个人信息权益就不能适用过错推定责任而必须如同侵害隐私权那样适用过错责任，更不是说《个人信息保护法》第69条规定的过错推定责任违反了民法典。因为，这两部法律本身的调整对象是不同的。个人信息保护法规范的是个人信息处理活动，确切地说是发生在信息、技术、经济等能力不对称的个人信息处理者与个人之间的（往往是大规模的、自动化的）个人信息处理活动。民法典调整的是平等的民事主体之间的人身关系和财产关系。

隐私权抑或个人信息权益被侵害，如果只是发生在个人之间或因家庭事务而产生的信息处理活动中，那么依据《个人信息保护法》第72条第1款，不适用个人信息保护法，而应当适用民法典。此时，无论侵害隐私权还是个人信息权益的侵权责任都适用过错责任。但是，在个人信息保护法所规范的个人信息处理活动中，发生了侵害个人信息权益的以及侵害隐私权的行为的，都应适用《个人信息保护法》第69条规定的过错推定责任。

也就是说，第69条规定的处理个人信息侵害个人信息权益的情形，包括处理个人信息侵害个人信息上所承载的各种人身财产权益，如姓名权、肖像权、隐私权等具体人格权以及狭义的个人信息权益的情形。由此可见，并不存在对个人信息权益的保护程度高于对隐私权的保护程度的问题。

事实上，随着个人信息保护法的颁行，以往司法实践中存在的只要发生个人信息侵权纠纷，法官首先要判断该个人信息是否为私密信息，从而决定该侵权行为究竟侵害的是隐私权还是个人信息的难题，将迎刃而解。因为，只要是个人信息处理者的处理活动侵害了个人信息权益造成损害的，就可以适用该条规定，根本无须判断个人信息是私密信息还是非私密信息，从而分别认定是侵害隐私权还是侵害个人信息利益。只有在自然人因个人或者家庭事务处理个人信息的活动发生侵权纠纷时，才需要考虑侵害的是隐私权还是个人信息权益。

（一）侵害个人信息权益

1.个人信息处理行为侵害了个人信息权益

首先，侵害个人信息权益的加害行为必须是个人信息处理行为，即个人信息的收集、存储、使用、加工、传输、提供、公开等行为。这些行为既包括作为，也包括不作为。所谓作为，如未取得个人同意而收集个人信息的行为。不作为，如处理者没有依法采取必要措施保护个人信息的安全，导致个人信息被他人窃取、篡改或丢失；再如，个人信息泄露后，个人处理者没有立即采取补救措施等。

其次，《个人信息保护法》第72条第1款明确排除了“自然人因个人或者家庭事务处理个人信息的”对个人信息保护法的适用，故此，自然人因个人或者家庭事务处理个人信息的行为侵害个人信息权益的，不适用《个人信息保护法》第68条的规定，而是适用《民法典》第1165条第1款的过错责任原则。

2.侵害个人信息权益的个人信息处理行为的性质

作为侵权责任事实构成的基本表现形式的行为，即受侵权法评价的行为应当是侵害他人民事权益的（Rechtsgutsverletzung）行为，也称“加害行为”。如果某一行为，并未侵害他人的任何民事权益，不应当被评价为加害行为，更无从产生侵权责任。因此，只有当个人信息处理行为侵害了个人信息权益，才构成加害行为，才可能由此产生相应的侵权责任。《个人信息保护法》第2条明确规定：“自然人的个人信息受法律保护，任何组织、个人不得侵害自然人的个人信息权益。”

故此，侵害个人信息权益的个人信息处理行为属于加害行为。一方面，侵害个人信息的个人信息处理行为往往违反了个人信息保护法、民法典、电子商务法、网络安全法等法律关于个人信息保护的法律规定，属于违法行为；另一方面，非法的个人信息处理行为并非都侵害个人信息权益，例如，违反《个人信息保护法》第55条的规定，没有对应当事前进行风险评估的个人信息处理活动进行风险评估；再如，在不符合《个人信息保护法》第38条规定的条件时，就向境外提供个人信息。这些个人信息处理活动都是违法的，但是，它们可能并没有直接侵害任何个人的信息权益。然而，一旦某个处理行为侵害了个人信息权益，则该处理行为都是非法行为。

3.个人信息处理行为与个人信息权益被侵害之间存在因果关系

个人针对个人信息处理者提起侵害个人信息权益的侵权责任之诉时，应当证明个人信息处理者实施的处理行为与其个人信息权益被侵害之间存在因果关系，即具有“责任成立的因果关系”（haftungsbegründende Kausalität）。

责任成立的因果关系是加害行为与权益遭受侵害（Rechtsgutsverletzung）之间的关联。也就是说，只有当加害行为与权益被侵害的结果存在关联时，侵权责任方可能成立。因此，责任成立的因果关系属于事实构成要件，解决的是侵权责任成立与否的问题。具体而言，个人应当举证证明：其一，其个人信息被处理者所处理，即个人信息处理者针对其个人信息进行了收集、存储、使用、加工、传输、提供、公开等行为。其二，其个人信息权益遭受了侵害。

由于个人信息具有很强的流动性，而信息的收集、存储、使用、提供等行为类型众多，涉及的相关主体也较为复杂。故此，一旦发生侵害个人信息权益的行为时，受害人往往很难证明究竟是其中的哪个主体实施了侵害自己个人信息权益的加害行为。在我国司法实践中常见的因个人信息泄露而被诈骗的案件中，原告往往难以查明实施诈骗的直接加害行为人是谁，而只能以个人信息处理中涉及到的某个或某几个处理者为被告提起诉讼。

可是，这些被告都会以个人信息并非自己泄露为由进行抗辩。原告要提出证据证明就是这些被告泄露其个人信息，十分困难。有些法院就以原告未能证明被告实施了加害行为为由驳回其诉讼请求，有些法院为了更好地保护个人信息，减轻原告在此类案件中的举证负担，则采取了一些旨在减轻原告举证困难的做法。例如，在“庞某某与北京趣拿信息技术有限公司等隐私权纠纷案”中，二审法院法官就提出了证明加害人的高度可能性的判断标准，即只要原告提供的证据能够表明被告存在泄露原告个人隐私信息的高度可能，而被告又不能反证推翻这种高度可能，就可以认为被告实施了泄露个人信息的加害行为。该标准一经提出，即在司法实践中产生了很大的影响，一些法院在处理个人信息侵权案件时采取了该标准。

笔者认为，该标准较为合理，值得赞同。一方面，该标准并未改变民事诉讼法对证明责任分配的规定，原告依然需要提出相应的证据来证明被告存在泄露个人信息行为的高度可能性；另一方面，考虑到现代信息社会中个人信息可能被很多主体所收集、存储和利用，信息的传递本身也具有极大的隐蔽性，要求原告确切无疑地证明究竟泄露个人信息的主体是谁，显然强人所难。

故此，只需要证明被告存在泄露个人信息的高度可能性就行。原告的举证是否达到了证明被告存在泄露个人信息的高度可能，应由法官结合案件的具体事实综合判断。一旦认可了原告的证明达到了这种高度的可能，就应当由被告提供各种证据来推翻这种高度可能。

在我国个人信息保护法起草过程中，虽也有观点提出应当实行因果关系推定，但是，该意见未被立法机关所接受。也就是说，今后我国个人信息侵权纠纷中，仍然应当由原告来证明责任成立的因果关系，即个人信息处理行为与个人信息权益被侵害之间存在因果关系。在这种背景下，司法实践中提出的以高度可能性的判断标准来确认被告是否实施了加害行为，仍然会继续实行。

（二）造成了损害

损害是所有损害赔偿责任的必备要件，没有损害就没有赔偿。法律上的损害是指那些具有可赔偿性（ersatzfaehiger）的损害。依据损害能否通过金钱加以计算，可以将之分为财产性与非财产性损害。财产性损害（Vermögensschaden/ pecuniary loss），也称“有形损害”（materieller Schaden）、“物质性损害”或者“经济损失”，是指具有财产价值，能够以金钱加以计算的损害。

例如，A将B的一只贵重的花瓶摔坏；甲将乙的房屋烧毁。财产性损害不仅包括对有体物（动产、不动产）的损害，也包括对无形财产（如著作权、商标权、网络虚拟财产、数据）的损害，以及收入的丧失（误工损失）、利润的减少以及支出的费用（医疗费）等。非财产性损害（Nichtvermögensschaden），也称“无形损害”（immaterieller Schaden）、“非物质性损害”或者“精神损害”，是指没有财产价值，无法以金钱加以计算，也无法基于真实的市场交易将其物化为具体财产类型的损害。例如，甲因其近亲属乙被丙开车撞死而遭受的失去亲人的痛苦；A因被B打伤致残而遭受的身体伤残的痛苦。

在侵害个人信息权益的侵权赔偿纠纷中，原告要求被告承担侵权赔偿责任，就必须证明自己因此遭受的损害。侵害个人信息权益可能给受害人造成财产损害，例如，因为个人信息被泄露而导致受害人被诈骗而损失金钱；或者个人信息被泄露后，生命权、身体权或健康权被侵害而遭受财产损失。因个人信息泄露而遭受的财产损害，受害人往往比较容易证明。

例如，在“申某与上海携程商务有限公司、支付宝（中国）网络技术有限公司侵权责任纠纷案”中，原告因个人的手机号和航班信息被他人泄露而被犯罪分子实施电信诈骗，损失了118900元。这一财产损失就是因为侵害个人信息权益所致。当然，由于该案中，被告并非是直接实施电子诈骗的加害行为人，其没有妥善保管个人信息的行为与原告的损害之间只是具有部分原因，故此，法院认为：“因携程公司违反了网络运营主体的安全保障义务，存在个人信息保护上的安全维护漏洞，导致申某遭遇诈骗形成财产损失。本院综合案情及携程公司的过错责任程度，酌情确定携程公司在5万元赔偿数额的范围内对申某承担补充责任。”侵害个人信息权益也会给受害人造成精神损害，例如，受害人的私密信息被泄露以致隐私权、名誉权被侵害，而遭受严重的精神痛苦。

（三）个人信息处理者具有过错

侵害个人信息权益的侵权责任适用的是过错推定责任，即个人信息处理行为侵害个人信息权益造成损害的，《个人信息保护法》第69条第1款推定个人信息处理者具有过错，其应当举证证明自己没有过错，方能免除责任，否则就要承担责任。法律上之所以进行这种推定是因为，如果个人信息处理者严格依据个人信息保护法、民法典等法律的规定处理个人信息，不存在非法处理个人信息的行为，不存在违反个人信息保护义务的行为，就不会侵害个人信息权益，自然没有过错。

只要其存在非法处理个人信息的行为或者没有尽到法律规定的个人信息保护义务，此种处理行为的违法性或者未尽到个人信息保护义务本身就足以认定个人信息处理者具有过错，除非其能够证明自己的处理行为不属于违法处理行为或已经尽到个人信息保护义务，从而推翻对其过错的推定。

例如，在个人信息被黑客攻击而导致泄露、侵害个人信息权益的纠纷中，个人信息处理者证明自己已经按照法律的规定采取了相应的措施防止个人信息被泄露或被篡改、丢失，同时在发生或可能发生个人信息泄露、篡改等情况时立即采取了补救措施并且通知了履行个人信息保护职责的部门和个人。在这种情况下，应当认为个人信息处理者并不存在过错，其不应承担侵权责任。

侵权责任成立后需要解决的问题就是，侵权人如何承担侵权责任。法律上对侵权责任承担方式的规定，应以最有效地消除侵权行为对被侵权人造成的不利影响为宗旨。如果侵权行为造成了被侵权人财产损失或精神损害，最有效的侵权责任方式就是损害赔偿。通过恢复原状或金钱赔偿的方式，损害赔偿责任可以使受害人恢复到倘若侵权行为没有发生其应处的状态。然而，在不少情形下，个人信息处理者的处理活动虽然侵害了个人信息权益，但是，受害人很难证明自己遭受了财产损失，更无法证明存在严重的精神损害。

例如，A公司在没有告知并取得张三同意的情况下，非法收集了张三的个人信息。这种处理行为当然是违法的，侵害了张三的个人信息权益并且A公司主观上也是故意的。但是，张三很难证明自己遭受了财产损失，虽然张三可能因为个人信息被非法收集而心存忧虑或感到不安，但远远谈不上有精神损害。

例如，在“凌某某诉北京微播视界科技有限公司隐私权、个人信息权益网络侵权责任纠纷案”中，原告主张精神损害抚慰金20000元。法院认为，“虽然原告陈述被告的侵权行为给其带来困扰，但并未提供证据证明造成严重后果，故对原告的该项诉讼请求不予支持”。因此，如何确定侵害个人信息权益的损害赔偿责任中被侵权人的财产损失和精神损害，成为我国《个人信息保护法》第69条需要解决的问题。

（一）《民法典》第1182条中的“财产损失”

在《个人信息保护法》颁布之前，如果侵害个人信息权益造成的财产损害难以确定，那么可以适用《民法典》第1182条的规定，即“侵害他人人身权益造成财产损失的，按照被侵权人因此受到的损失或者侵权人因此获得的利益赔偿；被侵权人因此受到的损失以及侵权人因此获得的利益难以确定，被侵权人和侵权人就赔偿数额协商不一致，向人民法院提起诉讼的，由人民法院根据实际情况确定赔偿数额”。

此外，《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》第12条规定：“被侵权人为制止侵权行为所支付的合理开支，可以认定为民法典第一千一百八十二条规定的财产损失。合理开支包括被侵权人或者委托代理人对侵权行为进行调查、取证的合理费用。人民法院根据当事人的请求和具体案情，可以将符合国家有关部门规定的律师费用计算在赔偿范围内。被侵权人因人身权益受侵害造成的财产损失以及侵权人因此获得的利益难以确定的，人民法院可以根据具体案情在50万元以下的范围内确定赔偿数额。”

例如，在“赵某与被告北京链家房地产经纪有限公司、宋某某、杨某某，第三人宋某某一般人格权纠纷案”中，虽然原告没有能够证明其因个人信息被侵害而遭受的财产损失的数额，但是，法院确定经济损失赔偿金额为10万元。再如，在另一个侵害个人信息的案件中，法院认为，“虽然双方均未提供原告因个人信息权益受到侵害所遭受的财产损失或被告因此获得利益的相关证据，但被告对个人信息的采集和利用必然会为其商业运营带来利益。被告在未征得原告同意的情况下采集原告的个人信息并加以利用，应当进行一定的经济赔偿。同时考虑需对互联网企业依法处理个人信息的行为进行引导，根据本案具体情况，酌定赔偿数额为1000元”。

（二）《个人信息保护法》第69条第2款中的“损失”

《个人信息保护法》第69条第2款规定：“前款规定的损害赔偿责任按照个人因此受到的损失或者个人信息处理者因此获得的利益确定；个人因此受到的损失和个人信息处理者因此获得的利益难以确定的，根据实际情况确定赔偿数额。”

要特别注意的是，该款使用的是“损失”一词，而未如《民法典》第1182条那样使用“财产损失”的表述。显然，损失既包括财产损失或财产损害，也包括精神损失或精神损害。也就是说，依据《个人信息保护法》第69条第2款，只要侵害个人信息权益造成损害的，无论是财产损失还是精神损失，都可以按照个人因此受到的损失或者个人信息处理者因此获得的利益确定，如果个人因此受到的损失和个人信息处理者因此获得的利益难以确定的，根据实际情况确定赔偿数额。这一规定就与《民法典》第1182条有很大的不同了。

立法机关作此规定，理由在于：

其一，个人信息处理者的处理活动侵害个人信息权益的，如果侵害的只是单纯的个人信息，而未同时构成对隐私权、名誉权、财产权等具体权利的侵害时，受害人往往没有财产损失，因为单个的个人信息的价值并不高。有研究显示，单个普通人贡献的数据价值为0.007美元，经常出差的富人也只有1.78美元。故此，需要适用《民法典》第1182条的规定。

其二，侵害个人信息权益的精神损害通常只是某种心理上的焦虑或不安，或者生活上的些许不便，如骚扰电话或垃圾邮件。这种精神损害的程度显然没有达到《民法典》第1183条第1款要求的“严重精神损害”的程度。依据《民法典》第1183条第1款，“侵害自然人人身权益造成严重精神损害的，被侵权人有权请求精神损害赔偿”。这就是说，只有侵害个人信息权益造成被侵权人严重精神损害时，被侵权人才有权要求侵权人承担精神损害赔偿责任。这显然不利于保护个人信息权益遭受损害的被侵权人。

故此，为了既能够解决问题，又不与《民法典》相冲突，《个人信息保护法》的立法者在第68条第2款进行了创新，扩张了《民法典》第1182条的适用范围，将“按照被侵权人因此受到的损失或者侵权人因此获得的利益赔偿”的规则适用于所有的损害，既包括财产损失也包括精神损害。

（三）如何根据实际情况确定赔偿数额

在个人既无法证明受到的损失，也无法证明个人信息处理者因此获得的利益时，依据《个人信息保护法》第69条第2款，要根据实际情况确定赔偿数额。所谓根据实际情况，主要是指要综合考虑以下因素：行为人和受害人的职业与身份，侵权行为的影响范围，侵权人的过错程度，加害行为的目的、方式、后果等。《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》第12条第2款规定，被侵权人因人身权益受侵害造成的财产损失以及侵权人因此获得的利益难以确定的，人民法院可以根据具体案情在50万元以下的范围内确定赔偿数额。显然，这个幅度是非常大的。

在我国个人信息保护法的起草过程中，曾有观点主张采取一个相对幅度更小的范围来确定赔偿数额，例如，每个受害人在每一起侵害个人信息权益事件中赔偿500元至1000元。我国台湾地区“个人资料保护法”采取了这种方法，该法第28条第3项规定：“依前二项情形，如被害人不易或不能证明其实际损害额时，得请求法院依侵害情节，以每人每一事件新台币五百元以上二万元以下计算。”不过考虑到侵害个人信息案件往往涉及人数众多，如果作此规定，可能给个人信息处理者带来极大的赔偿责任。例如，泄露100万人的个人信息，即便按照500元每人，也意味着要赔偿5亿元。故此，立法机关没有采取这一观点。

因此，司法实践中，仍应由法院根据案件具体情况来确定赔偿的数额，所谓具体情况，应当包括个人信息处理活动以及被侵害的个人权益的具体情况，如个人信息处理的目的、处理行为的类型、被侵害的个人信息的种类、被侵害的个人信息权益的类型、程度等。