楊顯濱 王秉昌

內容提要 侵害個人信息權可能造成妨害、損害及妨害與損害并存三種法律后果，民事責任承擔因行為人、法律適用、歸責原則、計算規(guī)則等的不同存在差異，學界對此爭論不斷，亟待厘清與完善。在個人信息權妨害層面，個人信息處理者妨害個人信息權行使的，應優(yōu)先適用《個人信息保護法》第44 條至50條，無法充分救濟的，適用《民法典》第995 條；非個人信息處理者妨害個人信息權行使的，適用《民法典》第995 條。在侵害個人信息（包括私密信息）構成侵權層面，個人信息處理者的侵權損害賠償責任適用《個人信息保護法》第69 條第1 款的過錯推定責任原則，非個人信息處理者的侵權損害賠償責任適用《民法典》第1165 條第1 款的過錯責任原則。在損害賠償數(shù)額計算規(guī)則層面，個人信息處理者侵害個人信息權造成財產損失的，直接適用《個人信息保護法》第69 條第2 款；造成精神損害的，只能以個人信息處理者獲得的利益為依據(jù)計算賠償數(shù)額；兩種境遇下，損失與利益或利益難以確定的，根據(jù)實際情況確定賠償數(shù)額。非個人信息處理者侵害個人信息權造成損害的，損害賠償數(shù)額參照《民法典》第1182 條、第1183 條及相關司法解釋確定。

一、侵害個人信息權的民事責任承擔的困境

1.個人信息權妨害救濟條款適用的三重困境

《中華人民共和國民法典》（以下簡稱《民法典》）出臺前，人格權請求權與侵權損害賠償請求權未實現(xiàn)分離，“過錯責任廣泛適用于一般的侵權責任形態(tài)”[1]王利明：《侵權責任法研究》（上卷），中國人民大學出版社2016年版，第234頁。。行為人侵害人格權構成侵權的，受害人依原《侵權責任法》第6條第1款適用過錯責任原則主張侵權責任。人格權可能或正遭受持續(xù)妨害，未構成侵權的，受害人無法通過侵權責任尋求救濟，遭受詬病頗多[1]多數(shù)學者批判原《侵權責任法》第6條、第7條和第15條，如魏振瀛教授主張“停止侵害、排除妨礙、消除危險與返還財物適用無過錯責任（不問侵權人有無過錯）”。參見魏振瀛：《侵權責任方式與歸責事由、歸責原則的關系》，《中國法學》2011年第2期。楊立新認為“只有在損害賠償責任中，才適用過錯責任原則”，人格權受到威脅、妨害的，受害人主張返還原物、排除妨礙等民事責任，過錯不是必須具備的要件。參見楊立新：《侵權責任法：條文背后的故事與難題（第二版）》，法律出版社2018年版，第44頁。程嘯提出“絕對權請求權的成立與行使與歸責無關”，人格權是絕對權，其受到妨害，受害人可直接要求停止侵害、排除妨礙、消除危險，不適用過錯責任原則。參見程嘯：《中國民法典侵權責任編的創(chuàng)新與發(fā)展》，《中國法律評論》2020年第3期。?！睹穹ǖ洹返?165條第1款最終做出回應，在原《侵權責任法》第6條第1款的基礎上增加“損害”措辭，損害賠償責任適用過錯責任原則?！睹穹ǖ洹返?95 條規(guī)定了人格權請求權，損害賠償請求權與人格權請求權得以分離，且不以過錯為要件。個人信息權屬于人格權，其遭受妨害的，受害人（信息主體）依據(jù)《民法典》第995 條主張停止侵害、排除妨礙、消除危險、賠禮道歉等民事責任的，無須考量行為人是否存在過錯。然而，有學者提出，《民法典》第1037條規(guī)定的查閱權、復制權、異議權、更正權、刪除權是人格權請求權的具體表現(xiàn)，個人信息權受到妨害的，信息主體可直接行使上述權利[2]Schiopu, Silviu-Dorin, "General Consideration on the Right to the Erasure of Personal Data", Revista Universul Juridic,2019（9）,p.47.，無須依《民法典》第995條主張個人信息權妨害責任。在“楊志勝、湖南沅江農村商業(yè)銀行股份有限公司名譽權糾紛案”[3]湖南省沅江市人民法院〔2021〕湘0981民初1326號民事判決書。中，法院認為，生效再審判決已確認楊志勝不再對王偉文使用的10萬元貸款承擔責任，因而支持原告要求消除不良記錄的訴求。在“梁吉輝與中國農業(yè)銀行股份有限公司寶泉嶺支行名譽權糾紛案”[4]黑龍江省寶泉嶺農墾法院〔2021〕黑8101民初139號民事判決書。中，法院認為，中國人民銀行征信中心出具的個人信用報告存在信息錯誤，原告有權提出異議并請求及時采取更正等必要措施。上述案件中，當事人均主張適用《民法典》第1037條。《民法典》第995條處于人格權編一般規(guī)定章節(jié)，是一般條款，第1037條位于人格權編隱私權和個人信息保護章節(jié)，是特別條款[5]汪全勝：《“特別法”與“一般法”之關系及適用問題探討》，《法律科學（西北政法大學學報）》2006年第6期。，第1037條具有適用上的優(yōu)先性。上述主張存在合理之處，美中不足的是：信息主體依《民法典》第1037條行使查閱權、復制權、異議權、更正權、刪除權，個人信息權妨害未必得到完全救濟，如侵害正在進行、存在實際妨害或危險等，這恰是第995條可能達到的救濟效果。第995條與第1037條具體如何適用，信息主體根據(jù)具體的侵權形態(tài)享有選擇權。個人信息權未遭受妨害，僅存在個人信息錯誤、違規(guī)處理等情勢，適用第1037條似乎更好。信息主體主張適用第995條而行為人主張適用第1037條者，法院可能遵循“特別法優(yōu)于一般法”原則適用第1037條，則會出現(xiàn)上述得不到完全救濟的困境，反之亦然。這構成個人信息權妨害救濟條款適用的第一重困境。若存在個人信息錯誤、違規(guī)處理等情勢，個人信息處理者的行為也構成對信息主體個人信息權行使的妨害，作為受害人的信息主體是否可以同時主張第1037條和第995條項下的權利，構成個人信息權妨害救濟條款適用的第二重困境。

卡爾·拉倫茨提出：“人身權根據(jù)他的實質是一種受尊重的權利，一種人身不可侵犯的權利?！盵6]卡爾·拉倫茨：《德國民法通論》（上冊），王曉曄譯，法律出版社2003年版，第379頁。個人信息權是一項具體人格權，具有排除他人非法侵害的防御權能。查閱權、復制權、異議權、更正權、刪除權是個人信息權的原權請求權[7]郭明瑞：《論侵權請求權》，《煙臺大學學報（哲學社會科學版）》2013年第3期。，義務主體為信息主體以外的所有人。信息主體有權要求他人在處理其個人信息時，不對其權利造成實際損害或妨害[8]Laurel J. Harbour, Ian D. MacDonald & Eleni Gill, "Protection of Personal Data: The United Kingdom Perspective",DEF.Counsel.J,2003,70(1),p.104.?！睹穹ǖ洹肥敲袷聶嘁姹Ｗo的基本法，該法第1037條是個人信息權救濟的基礎規(guī)則，“信息處理者”理應為一切義務主體，而不論是否為個人信息處理者。有學者卻主張，“在概念術語之選擇、個人信息的權屬定位和保護模式、個人信息處理原則及具體規(guī)則等諸多領域”[1]鄭曉劍：《論〈個人信息保護法〉與〈民法典〉之關系定位及規(guī)范協(xié)調》，《蘇州大學學報（法學版）》2021年第4期。，《民法典》與《個人信息保護法》存在密切協(xié)同，《民法典》規(guī)定的“信息處理者”意即《個人信息保護法》規(guī)定的“個人信息處理者”，該觀點得到廣泛認可。但《民法典》第1037條查閱權、復制權、異議權、更正權、刪除權排除適用非個人信息處理者的妨害行為，恐有違人格權之絕對權特性。此等爭鋒下，《民法典》規(guī)定的“信息處理者”與《個人信息保護法》規(guī)定的“個人信息處理者”語義是否相同，后續(xù)出臺的司法解釋應予以特別說明?！靶畔⑻幚碚摺迸c“個人信息處理者”為同一語義，且非個人信息處理者的行為對個人信息權構成妨害的，適用《民法典》第995條；語義不同者，適用第1037條。故此，“信息處理者”與“個人信息處理者”的語義銜接問題構成個人信息權妨害救濟條款適用的第三重困境。

2.《個人信息保護法》第69條第1款的適用困局：侵權主體&侵權客體

個人信息權侵權損害賠償責任適用何種歸責原則，學界爭議由來已久，主要存在“過錯責任說”[2]楊立新：《侵害公民個人電子信息的侵權行為及其責任》，《法律科學（西北政法大學學報）》2013年第3期。、“無過錯責任說”[3]程嘯：《論侵害個人信息的民事責任》，《暨南學報（哲學社會科學版）》2020年第2期。和“區(qū)分說”[4]程嘯：《論我國個人信息保護法中的個人信息處理規(guī)則》，《清華法學》2021年第3期。?！秱€人信息保護法》第69條第1款規(guī)定，個人信息處理者侵害個人信息權造成損害的，適用過錯推定責任原則。言外之意，非個人信息處理者為侵權主體的，《個人信息保護法》第69條第1款無適用空間，此時應適用《民法典》第1165條第1款過錯責任原則。在“北京蘭世達光電科技有限公司、黃曉蘭訴趙敏名譽權糾紛案”[5]北京市第三中級人民法院〔2018〕京03民終725號民事判決書。中，法院認為，趙敏將不當言論發(fā)至有眾多該小區(qū)住戶的兩個微信群，主觀過錯明顯，應當承擔侵權責任。在“潘某與聶某名譽權糾紛上訴案”[6]四川省成都市中級人民法院〔2006〕成民終字1423號民事判決書。中，法院認為，聶某侵害隱私權具備主觀過錯，應承擔民事責任。個人信息的收集、存儲、使用、加工、傳輸、提供、公開、刪除等處理行為由個人信息處理者（特別是法人、非法人組織）實施時，其相對于信息主體優(yōu)勢明顯。因此，侵權主體為個人信息處理者時，損害賠償責任適用《個人信息保護法》第69條第1款，得到多數(shù)學者的認可。然而，在《民法典》與《個人信息保護法》協(xié)同構建的個人信息權侵權損害救濟的“象牙塔”下，《個人信息保護法》第69條第1款的準確適用卻面臨現(xiàn)實困局?！秱€人信息保護法》第73條第1項將個人信息處理者界定為，個人信息處理活動中，自主決定處理目的、處理方式的組織、個人。有學者指出，“信息處理者是單獨或與其他主體共同決定個人信息使用目的、途徑的自然人、法人、其他組織”[7]Bainbridge, DavidI, "Processing Personal Data and the Data Protection Directive", Information & Communications Technology Law,1997,6(1),p.20.。但是，皆未限定處理目的。遵循文義解釋，出于自身需要[8]漢典網(wǎng)，https://www.zdic.net/hans/目的，2022年1月25日訪問。，自主決定采納某種方式處理個人信息的，即為個人信息處理者，與非個人信息處理者界限模糊。此等境遇下，侵害個人信息權造成損害的，侵權主體是否為個人信息處理者，取決于法院的自由裁量。處于劣勢地位的信息主體事先難以確定應否適用《個人信息保護法》第69條第1款，損害無法得到及時救濟?！芭e證之所在，敗訴之所在?！盵9]陳永生：《論刑事訴訟中控方舉證責任之例外》，《政法論壇》2021年第5期。參照域外立法，韓國《個人信息保護法》第2條第5項規(guī)定，“‘個人信息處理者’是指為官方或商業(yè)目的操作個人信息檔案，直接或間接處理個人信息的公共機構、法人、組織、個人等”，處理目的限定為“官方或商業(yè)目的”[1]李愛君、蘇桂梅：《國際數(shù)據(jù)保護規(guī)則要覽》，法律出版社2018年版，第446頁。。為保障個人信息權，劃定侵權主體范疇，我國未來是出臺司法解釋限定《個人信息保護法》第73條第1項的“處理目的”，抑或由法院自由裁量，構成《個人信息保護法》第69條第1款的適用困局之一。

此外，個人信息與隱私存在交叉，尤其是屬于隱私的私密信息與敏感個人信息[2]敏感個人信息是指與個人種族、政治傾向、宗教信仰、健康信息等相關的信息。See Rebecca Wong, "Data Protection Online:Alternative Approaches to Sensitive Data",J.Int'l Com.L.&Tech.,2007,1(1),p.10.存在重合[3]王利明：《敏感個人信息保護的基本問題——以〈民法典〉和〈個人信息保護法〉的解釋為背景》，《當代法學》2022年第1期。。《民法典》第1034條第3款規(guī)定：“個人信息中的私密信息，適用有關隱私權的規(guī)定；沒有規(guī)定的，適用有關個人信息保護的規(guī)定?！痹凇傲枘衬吃V北京微播視界科技有限公司隱私權、個人信息權益網(wǎng)絡侵權責任糾紛案”[4]北京互聯(lián)網(wǎng)法院〔2019〕京0491民初6694號民事判決書?！巴跄?、上海萬某小額貸款有限公司隱私權糾紛案”[5]廣東省深圳市中級人民法院〔2020〕粵03民終6646號民事判決書?！瓣懩?、廣州弟誠商貿有限公司隱私權糾紛案”[6]廣東省廣州市白云區(qū)人民法院〔2021〕粵0111民初20124號民事判決書。等案件的判決中，法院認為，個人信息處理者違法處理私密信息，構成隱私權侵權，未造成損害的無須考慮過錯問題；造成損害的，適用《民法典》第1165條第1款中的過錯責任原則。但《個人信息保護法》作為特別法，該法第69條第1款應優(yōu)先適用于侵權客體為個人信息的情勢；侵權客體為私密信息時，適用《民法典》第1165條第1款。此種劃分旨在強化個人信息保護，實現(xiàn)個人信息保護與利用、流通的衡平。然而，在這個過程中，《個人信息保護法》第69條第1款限定侵權客體為個人信息，與《民法典》1032條第2款、第1034條第3款力圖通過隱私權“強保護”私密信息的立法初衷背道而馳。具體而言，私密信息納入隱私的立法目的在于為私密信息提供“強保護”。故此，有學者認為，隱私信息保護的基本規(guī)則是個人信息保護的“黃金規(guī)則”[7]Cooper, David M., "Transborder Data Flow and the Protection of Privacy: The Harmonization of Data Protection Law",Fletcher Forum,1984,8(2),p.344.。該規(guī)則在一定程度上弱化其他個人信息的保護，促進個人信息的利用與流動。王利明教授認為“隱私信息重在保護個人的私密空間，也就是說，重在‘隱’”[8]王利明：《王利明學術文集·人格權編》，北京大學出版社2020年版，第663頁。，正是此意。事實上，《個人信息保護法》第69條第1款限定適用個人信息為侵權客體，立法者的夢想化為泡影，一對矛盾開始浮出水面。侵權客體為個人信息且信息主體遭受損害的，適用《個人信息保護法》第69條第1款過錯推定責任原則?！芭e證倒置”規(guī)則加重了個人信息處理者的舉證責任，強化了個人信息保護。侵權客體為私密信息且受害人遭受損害的，適用《民法典》第1165條第1款過錯責任原則。“誰主張誰舉證”規(guī)則減輕了個人信息處理者的舉證責任，弱化了私密信息的保護。據(jù)此，仍然依循《個人信息保護法》在過錯推定原則的主導下對私密信息以外的個人信息實施“強保護”，毀滅《民法典》立法者對私密信息進行“強保護”的“美夢”，抑或回到立法者的初心，構成《個人信息保護法》第69條第1款適用的第二個困局。

3.個人信息權侵權精神損害賠償責任的歸責原則：過錯責任VS 過錯推定

個人信息上承載著人格利益和財產利益，個人信息處理者違法處理個人信息造成損害的，信息主體常遭受財產損失和精神損害[9]楊顯濱：《網(wǎng)絡平臺個人信息處理格式條款的效力認定》，《政治與法律》2021年第4期。。審視《個人信息保護法》第69條第1款，財產損失賠償責任適用過錯推定責任原則，當無異議。但是，對于精神損害賠償責任適用何種歸責原則，學界則存在爭議。楊立新提出：“《個人信息保護法》沒有規(guī)定侵害個人信息權益的精神利益的精神損害賠償……應當依照《民法典》第1183條第1款規(guī)定確定精神損害賠償責任?！盵1]楊立新：《個人信息處理者侵害個人信息權益的民事責任》，《國家檢察官學院學報》2021年第5期。言外之意，《個人信息保護法》第69條第2款是財產損失的賠償規(guī)則，財產損失賠償責任適用過錯推定責任原則；精神損害賠償責任以“造成嚴重精神損害”為前提[2]楊立新：《侵害個人信息權益損害賠償?shù)囊?guī)則與適用——〈個人信息保護法〉第69條的關鍵詞釋評》，《上海政法學院學報（法治論叢）》2022年第1期。，采用過錯責任原則。在“梁某某與上海山訊網(wǎng)絡科技有限公司人格權糾紛案”[3]山東省濟南市歷城區(qū)人民法院（2015）歷城民初字第1641號民事判決書。中，法院提出，被告披露了梁某某的港澳通行證上的個人信息，存在過錯，且損害后果嚴重，判決被告支付精神損害撫慰金。事實上，《個人信息保護法》第69條第2款源自《民法典》第1182條，后者是侵害人身權益造成財產損失的賠償數(shù)額計算規(guī)則，前者的賠償數(shù)額計算規(guī)則與后者表述相似。對此，王利明等曾提出，《民法典》第1182條的適用范圍擴展至個人信息保護，《個人信息保護法》第69條第2款是對《民法典》第1182條的細化[4]王利明、丁曉東：《論〈個人信息保護法〉的亮點、特色與適用》，《法學家》2021年第6期。。遵循體系解釋，明確《個人信息保護法》第69條第2款僅為個人信息權侵權中財產損失賠償數(shù)額的計算規(guī)則，進而排除過錯推定責任原則對精神損害賠償責任的適用，轉而訴諸《民法典》第1183條第1款適用過錯責任原則具有合理性。然而，財產損害賠償責任和精神損害賠償責任適用不同的歸責原則不利于損害救濟，上述主張是否可行值得推敲。彭誠信教授則認為，“個人信息財產利益與人格利益一體救濟亦有適用上的特殊性”[5]彭誠信：《論個人信息的雙重法律屬性》，《清華法學》2021年第6期。，財產損害賠償責任和精神損害賠償責任應統(tǒng)一適用過錯推定責任原則，且精神損害無須達致嚴重程度。立足個人信息權侵權案件，損害賠償責任統(tǒng)一適用過錯推定責任原則，精神損害和財產損失能獲得一體救濟，亦可以減輕訴累。但此種主張的依據(jù)是什么，《個人信息保護法》第69條第2款與第《民法典》第1182條之間的關系如何界定及何以協(xié)調適用，有待進一步詮釋。另外，也有學者提出個人信息權侵權責任應采用無過錯責任原則（敏感個人信息）或過錯推定責任原則（非敏感個人信息）[6]程嘯：《論我國個人信息保護法中的個人信息處理規(guī)則》，《清華法學》2021年第3期。，但此種主張隨著《個人信息保護法》的落地，已無太大意義。程嘯指出，《個人信息保護法》第69條第2款是對《民法典》第1182條的創(chuàng)新，該款規(guī)定的“損失”包括“財產損失”和“精神損害”[7]程嘯：《侵害個人信息權益的侵權責任》，《中國法律評論》2021年第5期。?！睹穹ǖ洹返?182條適用于任何人身權益侵權案件，《個人信息保護法》第69條第2款只適用于個人信息權侵權案件，這是由《個人信息保護法》的特別法地位決定的。據(jù)此，《個人信息保護法》第69條第2款作為《民法典》第1182條規(guī)定的特別條款，可以對“損失”的內涵作出不同界定，精神損害賠償責任適用過錯推定責任原則是說得通的。然而，肆意擴張《個人信息保護法》第69條第2款的“損失”范圍至精神損害，有混淆侵權法中“損失”與“損害”的語義之虞，有進一步討論的空間。

此等境遇下，個人信息權侵權中，信息主體遭受精神損害，適用過錯責任抑或過錯推定責任原則，事關個人信息的保護、利用與流通，亟待尋求消解之法。追根溯源，采用何種歸責原則取決于如何對《個人信息保護法》第69條第2款中的“損失”進行解釋，即是限縮解釋為財產損失，抑或其本意就是財產損失，還是擴大解釋為財產損失和精神損害。解釋為財產損失，則與《民法典》第1182條保持一致，損失等于財產損失。個人信息侵權造成精神損害的，只能委諸《民法典》第1183條第1款，財產損失賠償責任與精神損害賠償責任的歸責原則出現(xiàn)二分現(xiàn)象。解釋為財產損失與精神損害，則與《民法典》第1182條存在沖突與協(xié)調適用問題，優(yōu)點是財產損失賠償責任與精神損害賠償責任的歸責原則實現(xiàn)了統(tǒng)一。

二、《民法典》與《個人信息保護法》個人信息權妨害救濟條款的適用機制

1.個人信息處理者妨害個人信息權行使：《個人信息保護法》的優(yōu)先適用規(guī)則

個人信息權與隱私權皆為人格權，對個人信息的保護卻涇渭分明。隱私權保護私密信息不被公開、泄露，重在“隱”，注重消極防御；個人信息權著重保障個人信息自決，是信息主體控制自身信息的權利，重在“識別”，強調利用與流通[1]楊立新：《侵權法熱點問題法律應用》，人民法院出版社2000年版，第419頁。。隱私權是精神性人格權，主要體現(xiàn)人格利益，而個人信息權是一種綜合性人格權，既具有可識別性的人格屬性，也具有財產屬性，堅持保護與利用并重。因而，《民法典》第1037條?？钜?guī)定個人信息權的主要權能，包括查閱權、復制權、異議權、更正權、刪除權[2]申衛(wèi)星：《論個人信息權的構建及其體系化》，《比較法研究》2021年第5期。。王利明教授認為，更正權和刪除權是人格權請求權的具體表現(xiàn)[3]王利明：《論人格權請求權與侵權損害賠償請求權的分離》，《中國法學》2019年第1期。，個人信息權受到妨害的，信息主體可直接行使上述權利。目的在于規(guī)制個人信息處理活動，實現(xiàn)個人信息處理者與信息主體之間的利益均衡，達致公平正義。莫里斯·奧里烏認為，“法是一種行為準則，旨在同時實現(xiàn)社會秩序和正義”[4]莫里斯·奧里烏：《法源：權力、秩序和自由》，魯仁譯，商務印書館2015年版，第62頁。。《民法典》頒布之前，人格權請求權與侵權損害賠償請求權尚未分離，導致“侵害”和“損害”混淆不清?！睹穹ǖ洹返?165條第1款相對于原《侵權責任法》第6條第1款，增加了“造成損害的”的表達，以區(qū)別于“侵害”。即人格權請求權不以損害為要件，無須考慮過錯，況且“只有過錯的確認尚不足以構成損害賠償義務”[5]克默雷爾：《侵權行為法的變遷（下）》，王洪亮、李靜譯，《中德私法研究》2009年第5卷。，而在過錯責任原則和過錯推定責任原則下，損害賠償請求權以過錯為要件?！睹穹ǖ洹返?95條關于“人格權受到侵害的”的措辭，在一定程度上也佐證了以上論述。在“綿陽農村商業(yè)銀行股份有限公司文勝路支行、綿陽農村商業(yè)銀行股份有限公司等一般人格權糾紛案”[6]四川省綿陽市中級人民法院〔2021〕川07民終3138號民事判決書。中，法院認為，名譽權和其他人格權受到侵害的，受害人有權要求停止侵害，便是對人格權請求權的肯定。法諺云：“無損害即無責任?！薄皳p害事實的有無，是認定侵權行為的邏輯起點。”[7]張俊浩、劉心穩(wěn)、姚新華：《民法學原理（下冊）》（修訂第三版），中國政法大學出版社2000年版，第908頁?！睹穹ǖ洹返?165條第1款對原《侵權責任法》第6條第1款的調整也說明了這一點，是立法的一大進步。然，《民法典》第1037條置于人格權編，是個人信息權妨害的救濟條款，其與同位于人格權編的第995條及《個人信息保護法》第44條至第50條之間是什么關系，如何協(xié)調適用，有待理清，否則個人信息權的妨害救濟問題難以從根本上得到消解。

個人信息經(jīng)利用和流通產生財產利益[8]Hazel,S.H.,"Personal Data as Property",Syracuse Law Review,2020,70(4),p.1076.，信息主體為自然人，實際掌控者卻是個人信息處理者。個人信息處理者主要是國家機關或實力雄厚的企業(yè)，其設定個人信息的用途、目的、具體處理方案，把控個人信息的處理過程，相對于信息主體優(yōu)勢明顯[9]楊顯濱、麻晉源：《個人信息的民事法律保護與限度》，《江海學刊》2021年第4期。。個人信息權受到妨害的，信息主體可依據(jù)《民法典》第1037條尋求救濟，但各種權利具體該如何行使及在什么情況下行使不甚明了。在“韓俊與重慶皇昊鋼管有限公司人格權糾紛案”[10]重慶市江津區(qū)（縣）人民法院〔2020〕渝0116民初9138號民事判決書。中，法院認為，被告采取虛構方式使韓俊的個人信息發(fā)生錯誤變化，破壞了其對個人信息正確性的合理期待，損害了韓俊與其個人信息之間的真實關聯(lián)，原告有權請求更正。在“王剛、東無棣農村商業(yè)銀行股份有限公司等名譽權糾紛案”[11]山東省濱州地區(qū)（市）中級人民法院〔2021〕魯16民終3549號民事判決書。中，法院認為，當事人發(fā)現(xiàn)信用評價不當?shù)?，有權提出異議并請求采取更正、刪除等必要措施?！秱€人信息保護法》第44至50條在《民法典》第1037條賦予信息主體查閱權、復制權、異議權、更正權、刪除權的基礎上，增加了知情權、決定權、拒絕權和解釋權。信息主體對個人信息處理享有知情權，如知悉個人信息處理的目的、方式、保存期限等?，F(xiàn)有立法“實際上是通過以查閱、抄錄或者復制等具體行為為切入點確認了學理上所謂的訪問權和知情權”[1]呂炳斌：《個人信息權作為民事權利之證成：以知識產權為參照》，《中國法學》2019年第4期。。個人信息權“常常被稱為‘個人信息自決權’”[2]王利明：《論個人信息權在人格權法中的地位》，《蘇州大學學報（哲學社會科學版）》2012年第6期。，是指“個人依照法律控制自己的個人信息并決定是否被收集和利用的權利”[3]Gola/Schomerus，Bundesdatenschutzgesetz（BDSG）Kommentar，11.Auflage，Verlag C.H.Beck München 2012，Rn.9.。因此信息主體對個人信息有決定權。有學者認為，“認定個人信息處理者的關鍵是判斷其是否對信息處理享有決定權”[4]Fielding,R.,"The Concept of Controller and Processor Data Entities", Int'l J.Data Protection Officer,Privacy Officer&Privacy Couns.,2018,2(8),p.8.?！岸鴽Q定權則實際上‘被吸收’于知情權之中?！盵5]姚佳：《論個人信息處理者的民事責任》，《清華法學》2021年第3期。劉士國教授認為，“資料控制者違法使用個人信息或者管理個人資料不當侵犯個人信息控制權的，應當承擔民事責任”[6]劉士國：《中華人民共和國人格權法律條文建議附理由》，中國政法大學出版社2017年版，第13頁。。個人信息處理前，收集、存儲、使用、加工等行為可能妨害個人信息權的，信息主體可依據(jù)《個人信息保護法》第44條行使拒絕權，拒絕個人信息處理者處理個人信息。這與歐盟《通用數(shù)據(jù)保護條例》（GDPR）第21條有相通之處。GDPR第21條第1項規(guī)定，信息主體有權拒絕個人信息處理者的處理行為。信息主體行使拒絕權后，除非存在正當化事由，個人信息處理者不得處理個人信息。該條第2款確立信息主體有權拒絕個人信息處理者在任何時間為商業(yè)目的處理個人信息。此外，個人信息處理過程中，個人信息權受到妨害的，信息主體亦有權行使拒絕權?！秱€人信息保護法》第46條第1款規(guī)定：“個人發(fā)現(xiàn)其個人信息不準確或者不完整的，有權請求個人信息處理者更正、補充?！边@是對《民法典》第1037條第1款關于“發(fā)現(xiàn)信息有錯誤的，有權提出異議并請求及時采取更正等必要措施”規(guī)定的細化，使異議權和更正權的行使更具可操作性?！皞€人信息不準確或不完整的”，信息主體的真實情況無法得到全面、正確地展示，個人信息權亦可能受到妨害[7]申衛(wèi)星：《論個人信息權的構建及其體系化》，《比較法研究》2021年第5期。，如網(wǎng)絡服務的產品和質量因個人信息（身高、體重、年齡等）錯誤得不到保障。在這種情況下，信息主體依據(jù)《個人信息保護法》第46條，有權主張異議權和更正權，要求個人信息處理者更正、補充個人信息。

此外，信息主體有權隨時刪除與其有關的個人信息，歐盟法院在“西班牙谷歌案”[8]Google Spain SL, Google Inc v. Agencia Espandola de Protection de Datos and Mario Costeja Gonzalez, E.C.R.317(2014).中明確此項權利為“被遺忘權”（the right to be forgotten），稱信息主體有權要求西班牙谷歌公司刪除與其有關的個人信息，保護個人信息權免受妨害，而后GDPR第17條正式確立此項權利。有學者認為，“被遺忘權”正逐漸被確立為一項道德性質、承載社會價值的政策取向[9]Forde, Aidan, "Implications of the Right to Be Forgotten", Tulane Journal of Technology and Intellectual Property,2015,18(1),p.84.。無獨有偶，在“任甲玉訴北京百度網(wǎng)訊科技有限公司名譽權、姓名權、一般人格權糾紛案”[10]北京市海淀區(qū)人民法院〔2015〕海民初字第17417號民事判決書。中，百度搜索引擎“相關搜索”出現(xiàn)與任甲玉有關的詞條，任甲玉亦要求北京百度網(wǎng)訊科技有限公司采取刪除措施，法院卻未予以認可。作為對此類社會問題的回應，《個人信息保護法》第47 條在《民法典》第1037 條的基礎上，通過第1 款5 種具體情形的羅列，細化了刪除權的具體內容。個人信息處理者妨害個人信息權的，信息主體可行使刪除權。《個人信息保護法》第48條規(guī)定：“個人有權要求個人信息處理者對其個人信息處理規(guī)則進行解釋說明”，賦予信息主體解釋權。

綜上所述，個人信息處理者違法處理個人信息造成個人信息權妨害的，信息主體依據(jù)《個人信息保護法》第44條至第50條行使知情權、決定權、拒絕權、查閱權、復制權、異議權、更正權、刪除權、解釋權即可能實現(xiàn)救濟[1]王利明：《論個人信息權的法律保護——以個人信息權與隱私權的界分為中心》，《現(xiàn)代法學》2013年第4期。，而《民法典》第995條的適用空間較小。不過，個人信息權妨害對信息主體造成侵害，如名譽減損（existimationisminutio），《民法典》第995 條獲得適用空間，因為“名譽減損和人格變更一樣，也影響一人對權利的享有。包括不作證，喪廉恥和污名等”[2]周枏：《羅馬法提要》，北京大學出版社2008年版，第25頁。。妨害行為給信息主體帶來負面社會影響，導致現(xiàn)實危險、潛在危險或妨礙個人信息權行使，行使《個人信息保護法》第44條至第50條項下權利無法消除妨害的，可以適用《民法典》第995條進行救濟，實現(xiàn)《個人信息保護法》與《民法典》的互動與協(xié)調適用。反之，行使知情權、決定權、拒絕權、查閱權、復制權、異議權、更正權、刪除權、解釋權等足以救濟個人信息權妨害的，《民法典》第995條應呈現(xiàn)潛伏狀態(tài)。另外，《個人信息保護法》相對于《民法典》屬于特別法，在具體適用上具有優(yōu)位性，故相對于《民法典》第995條，優(yōu)先適用《個人信息保護法》第44條至第50條是正當?shù)摹?/p>

2.非個人信息處理者妨害個人信息權行使：《民法典》的單獨適用規(guī)則

《個人信息保護法》旨在規(guī)制個人信息處理者的處理行為，非個人信息處理者的處理行為不受其統(tǒng)攝。非個人信息處理者妨害個人信息權的，信息主體無法適用《個人信息保護法》第44條至第50條行使知情權、決定權、拒絕權、查閱權、復制權、異議權、更正權、刪除權、解釋權，此時應回歸《民法典》第1037條。然而，《民法典》第1037條規(guī)定的查閱權、復制權、異議權、更正權、刪除權，雖為人格權請求權的具體形式，非個人信息處理者妨害個人信息權的，信息主體卻不應適用此款尋求救濟。原因在于，《個人信息保護法》第44條至第50條規(guī)定的知情權、決定權、拒絕權、查閱權、復制權、異議權、更正權、刪除權、解釋權等個人信息權能，是對《民法典》第1037條信息主體權利的細化和進一步擴充，皆是《民法典》第995條人格權請求權的具體形式，適用情形理應保持一致。非個人信息處理者妨害個人信息權境遇下，信息主體既不能適用《個人信息保護法》第44條至第50條尋求救濟，也不能適用《民法典》第1037條[3]王利明：《論個人信息刪除權》，《東方法學》2022年第1期。。在“覃廣豪訴桂平市郊區(qū)農村信用合作社名譽權侵權案”[4]廣西壯族自治區(qū)貴港市中級人民法院〔2008〕貴民一終字第37號民事判決書。中，法院認為，上訴人非信息處理者，無權刪除征信中心的信息。因而，《民法典》第1037 條規(guī)定的“信息處理者”，應作限縮解釋，限于“個人信息處理者”，與《個人信息保護法》保持一致，實現(xiàn)《民法典》人格權編與《個人信息保護法》術語使用的統(tǒng)一。

另外，《個人信息保護法》第72條第1款規(guī)定“自然人因個人或者家庭事務處理個人信息的，不適用本法”，是對GDPR的參考與借鑒。GDPR導言部分第18條指出，“該條例‘不適用于自然人在不涉及任何職業(yè)或商業(yè)的純個人或家庭活動中對個人數(shù)據(jù)的處理活動’”[5]程嘯：《個人信息保護法理解與適用》，中國法制出版社2021年版，第537頁。。該條例第2條第2款（c）項亦規(guī)定“當自然人在純粹個人或家庭活動過程時”[6]任虎：《歐盟一般數(shù)據(jù)保護條例》，華東理工大學出版社2018年版，第2頁。處理個人數(shù)據(jù)的，不適用本條例。程嘯教授認為，“自然人之間因為個人或家庭事務而處理個人信息的行為，屬于平等主體之間的個人信息利用或由此發(fā)生的侵害行為……故此，根本沒有將自然人因個人或家庭事務處理個人信息的活動也納入《個人信息保護法》的調整范圍”[1]程嘯：《個人信息保護法理解與適用》，中國法制出版社2021年版，第537頁。。依據(jù)文義解釋，《個人信息保護法》第72條第1款中的“自然人”包括個人信息處理者和非個人信息處理者?！耙騻€人或者家庭事務處理個人信息”的“自然人”應理解為非個人信息處理者，不適用《個人信息保護法》。非“因個人或者家庭事務處理個人信息”的“自然人”應理解為個人信息處理者，適用于《個人信息保護法》。據(jù)此，非個人信息處理者處理個人信息不適用《個人信息保護法》，非個人信息處理者妨害個人信息權的亦是如此。體系解釋下，《個人信息保護法》第44條至第50條置于第四章“個人在個人信息處理活動中的權利”項下，第72條置于第八章附則項下，不存在特別條款相對于一般條款的優(yōu)先適用問題，相關規(guī)則應當保持一致。該法第72條第1款排除了其對非個人信息處理者的適用，第44條至第50條應當與之統(tǒng)一。非個人信息處理者妨害信息主體個人信息權行使的，信息主體不能適用《個人信息保護法》第44條至第50條行使知情權、決定權、拒絕權、查閱權、復制權、異議權、更正權、刪除權、解釋權等排除妨害?！秱€人信息保護法》第44條至第50條是對《民法典》第1037條的細化和擴充，兩者的適用對象具有統(tǒng)一性，《民法典》第1037條也不能作為非個人信息處理者妨害個人信息權的救濟路徑。

上已論及，《民法典》第1037條相較于第995條是特殊條款，具有適用上的優(yōu)位性。非個人信息處理者妨害個人信息權行使的，不適用于《個人信息保護法》，也不適用于《民法典》第1037條這一特殊條款，但可以適用該法第995條這一一般條款?！睹穹ǖ洹返?95條規(guī)定“人格權受到侵害的，受害人有權依照本法和其他法律的規(guī)定請求行為人承擔民事責任”。“人格權”包括一般人格權和具體人格權，其中，具體人格權包括個人信息權，因而《民法典》第995條可以作為非個人信息處理者妨害個人信息權行使的救濟路徑。該條適用的前提是“人格權受到侵害的”，援引到個人信息權可以理解為“個人信息權受到侵害的”，未將個人信息處理者和非個人信息處理者分而視之，可以直接適用。非個人信息處理者妨害個人信息權的，法院亦支持信息主體的一般人格權請求權。在“劉某與沈某1隱私權糾紛案”[2]北京市第二中級人民法院〔2020〕京02民終1641號二審民事判決書。中，沈某1非個人信息處理者，其在公共樓道安裝帶有攝像頭的門鈴防盜，記錄劉某及其家人出行規(guī)律等個人信息，對個人信息權構成妨害。法院判決沈某1拆除智能門鈴，駁回刪除攝像頭視頻資料的請求，事實上支持了受害人的一般人格權請求權。故而，非個人信息處理者妨害個人信息權行使的，信息主體可以依循《民法典》第995條主張人格權請求權，要求非個人信息處理者停止侵害、排除妨害、消除危險、消除影響、恢復名譽、賠禮道歉。

三、《民法典》與《個人信息保護法》侵權損害賠償責任歸責條款的二元架構

1.個人信息處理者侵權損害賠償責任：過錯推定責任

個人信息處理者是個人信息的實際掌控者，其以專業(yè)技術違法處理個人信息，造成信息主體損害的，信息主體證明具體損害及個人信息處理者存在過錯的難度較大。另，“知情同意”規(guī)則本身存在結構性問題無法克服、內在悖論無法解決、受害人的認知問題不可避免等缺陷[3]呂炳斌：《個人信息保護的“同意”困境及其出路》，《法商研究》2021年第2期。，易淪為個人信息處理者侵權責任的免責事由，信息主體的損害賠償請求權恐難實現(xiàn)。高富平就曾提到，GDPR在實施過程中的“同意泛化”[4]高富平：《論個人信息處理中的個人權益保護——“個保法”立法定位》，《學術月刊》2021年第2期。問題。有效的“知情同意”應是信息主體自由的意思，并應明確做出[5]Misek, Jakub, "Consent to Personal Data Processing — The Panacea or the Dead End", Masaryk University Journal of Law and Technology,2014,8(1),pp.73-74.。在此境遇下，相關國家和地區(qū)率先適用過錯推定責任原則，保障個人信息利用與流通的同時，平衡信息主體與個人信息處理者之間的利益關系，損害難以獲得賠償?shù)木o張局勢得到緩和。韓國《個人信息保護法》第39條第1 款規(guī)定“除非該個人信息處理者能夠證明其不存在故意或過失，否則不得免除其損害賠償責任”[1]李愛君、蘇桂梅：《國際數(shù)據(jù)保護規(guī)則要覽》，法律出版社2018年版，第464頁。，即過錯推定責任原則。我國臺灣地區(qū)“個人資料保護法”第29條第1款規(guī)定“非公務機關違反本法規(guī)定致個人資料遭不法收集、處理、利用或其他侵害當事人權利者，負損害賠償責任。但能證明其無故意或過失者，不在此限”，奉行的就是過錯推定責任原則。德國2017 年《聯(lián)邦數(shù)據(jù)保護法》（BDSG）第83條第1款規(guī)定“非自動化處理的情形下，如果損害不是控制人因過錯造成的結果，則其無須承擔賠償義務”，也是過錯推定責任原則。我國《個人信息保護法》第69條第1款規(guī)定，“處理個人信息侵害個人信息權益造成損害，個人信息處理者不能證明自己沒有過錯的，應當承擔損害賠償?shù)惹謾嘭熑巍保蟠鬁p輕了信息主體的舉證責任，信息主體和個人信息處理者之間因實力懸殊導致的訴訟能力差距得以縮減，損害獲得賠償?shù)目赡苄栽龃?。過錯推定責任實行“舉證責任倒置”，倒逼個人信息處理者依法依規(guī)處理個人信息，降低個人信息權侵權的發(fā)生概率，一定程度上彌補了“知情同意”規(guī)則的內在缺陷。但是，過錯推定“仍然以加害人的過錯為責任的根據(jù)與標準”[2]王利民、郭明龍：《民事責任歸責原則新論——過錯推定規(guī)則的演進：現(xiàn)代歸責原則的發(fā)展》，《法學論壇》2006年第6期。，沒有過分加重個人信息處理者的舉證責任。

在個人信息權侵權中，基于個人信息的雙重屬性，損害涵蓋財產損失和精神損害，就此學界已達成共識[3]高富平：《個人信息處理：我國個人信息保護法的規(guī)范對象》，《法商研究》2021年第2期。。約翰·尼特林教授認為，“損害是一個十分廣泛或者全面的概念，由財產損害和非財產損害作為其兩個組成部分”[4]約翰·尼特林：《南非侵權法：一般與特殊的混合》，王仰光譯，載金福海：《侵權法的比較與發(fā)展》，北京大學出版社2013年版，第72頁。。為實現(xiàn)損害的完全救濟，《個人信息保護法》第69條第1款中的“損害”應包括財產損失和精神損害，損害賠償責任理應涵蓋財產損失賠償責任和精神損害賠償責任，實現(xiàn)一體救濟。在“舉證責任倒置”的情勢下，楊立新教授認為，“如果侵權人不能證明自己對損害的發(fā)生沒有過錯，就從損害事實的本身推定侵權人在致人損害的行為中有過錯，并就此承擔賠償責任”[5]楊立新：《侵權責任法》，北京大學出版社2014年版，第54頁。。譬如，在“殷虹訴北京百度網(wǎng)訊科技有限公司名譽權案”[6]上海市第二中級人民法院〔2010〕滬民終字第1593號民事判決書。中，法院認為，百度公司作為網(wǎng)絡服務提供者，在知道網(wǎng)絡用戶利用網(wǎng)絡服務實施名譽、隱私侵權行為后，未證明及時采取了合理、必要的措施，導致?lián)p害后果的擴大，應當承擔民事責任。反之，精神損害和財產損失分開救濟[7]楊立新：《侵害個人信息權益損害賠償?shù)囊?guī)則與適用——〈個人信息保護法〉第69條的關鍵詞釋評》，《上海政法學院學報（法治論叢）》2022年第1期。，信息主體主張精神損害賠償責任，須遵照《民法典》第1183條第1款證明個人信息處理者存在過錯?？捎袝r信息主體連個人信息處理者都難以確定，舉證責任之重可見一斑[8]阮神裕：《民法典視角下個人信息的侵權法保護——以事實不確定性及其解決為中心》，《法學家》2020年第4期。，適用過錯責任原則顯然與全面保護個人信息之宗旨背道而馳[9]彭誠信：《論個人信息的雙重法律屬性》，《清華法學》2021年第6期。。田山輝明認為，“考慮到證據(jù)存在的不均衡，從公正的角度來說，需要對舉證責任進行事實上的倒置”[10]田山輝明：《日本侵權行為法》，顧祝軒、丁相順譯，北京大學出版社2011年版，第134頁。。因而，適用過錯推定責任原則可實現(xiàn)財產損失和精神損害的“一體救濟”，至于精神損害賠償應否以“嚴重”程度為前提，可由法官個案自由裁量。在“王菲訴北京凌云互動信息技術有限公司侵犯隱私權、名譽權糾紛案”[1]北京市朝陽區(qū)人民法院〔2008〕朝民初字第29276號民事判決書。中，法院認為，網(wǎng)民從發(fā)表譴責性言論逐漸發(fā)展到對王菲進行密集的、長時間的、指名道姓的謾罵，原告因此事遭受輿論壓力，承受較大精神痛苦，應適當考慮由凌云公司賠償精神撫慰金。在“羅某訴某保險公司隱私權糾紛案”[2]湖南省郴州市北湖區(qū)人民法院〔2014〕郴北民二初字第947號民事判決書。中，法院認為，被告非法利用原告?zhèn)€人信息，多次致電原告推銷車輛保險，侵擾了原告的正常生活，造成原告精神損害，且該案經(jīng)媒體報道后在社會上造成了較大影響，支持了原告提出的賠償精神損害撫慰金的訴訟請求。從比較法視野來看，多國采用過錯推定責任原則，以“一體救濟”方式填補信息主體的財產損失和精神損害。GDPR 第82條第1款規(guī)定，“任何由于本規(guī)則中規(guī)定的侵權行為而遭受物質或非物質損害的人有權接受數(shù)據(jù)控制者或者處理者的賠償”[3]李愛君、蘇桂梅：《國際數(shù)據(jù)保護規(guī)則要覽》，法律出版社2018年版，第394頁。。該條第3款規(guī)定，“如果數(shù)據(jù)控制者或者處理者能夠證明其在引起損害的期間不應承擔責任，則其應該免于承擔本條第2款規(guī)定的責任”[4]GDPR第82條第2款規(guī)定，“依據(jù)本條例，任何進行數(shù)據(jù)處理的數(shù)據(jù)控制者應該對其處理數(shù)據(jù)所造成的損害承擔責任。如果其沒有遵守本條例的規(guī)定或者其行為超出法律規(guī)定，則應該對造成的損害承擔責任?！?。有學者則認為，該條第3款“責任”的表述所包含的范圍很廣，并不能直接認定數(shù)據(jù)控制者或處理者存在過錯[5]Cordeiro, A. B. Menezes, "Civil Liability for Processing of Personal Data in the GDPR", European Data Protection Law Review(EDPL),2019,5(4),p.498.。顯然，財產損害賠償責任和精神損害賠償責任統(tǒng)一適用過錯推定責任原則。英國2017年《數(shù)據(jù)保護法（草案）》第160條第5項、BDSG第7節(jié)等亦有類似規(guī)定。

值得注意的是，個人信息處理者違法處理私密信息造成損害的，損害賠償責任亦應適用過錯推定責任原則。主要原因在于：一是《民法典》第1032條第2款雖將私密信息納入隱私，但其基本屬性是具有可識別性的個人信息，同時受到個人信息權的保護?！睹穹ǖ洹返?034 條第3 款規(guī)定“個人信息中的私密信息，適用有關隱私權的規(guī)定；沒有規(guī)定的，適用有關個人信息保護的規(guī)定”，這表明私密信息優(yōu)先受到隱私權的保護，個人信息權對其具有兜底保護功能。張勇教授認為，“‘私密信息’的范疇較為寬泛，可涵蓋所有未公開的個人信息，而‘敏感信息’的對象范圍更為明確具體”[6]張勇：《敏感個人信息的公私法一體化保護》，《東方法學》2022年第1期。。可見私密信息與敏感個人信息存在交叉，侵害私密信息造成損害的，存在適用過錯推定責任原則的空間[7]楊立新：《個人信息處理者侵害個人信息權益的民事責任》，《國家檢察官學院學報》2021年第5期。，也契合《民法典》第1034條3款的立法目的。在“龐理鵬訴中國東方航空股份有限公司、北京趣拿信息技術有限公司隱私權糾紛案”[8]北京市第一中級人民法院〔2017〕京01民終509號民事判決書。中，法院提出，二被告未舉證證明其在媒體報道后迅速采取了專門的、有針對性的有效措施，以加強其信息安全保護，認定趣拿公司和東航具有過錯，應承擔侵權責任。二是《個人信息保護法》旨在規(guī)制個人信息處理者的個人信息處理活動，違法處理私密信息造成損害的，可以適用該法第69 條第1 款的過錯推定責任原則。另外，《民法典》第1032條第2款將私密信息納入隱私及第1034條第3款要求優(yōu)先適用隱私權的相關規(guī)定保護私密信息的初衷是，隱私權是“一種消極的、排他的權利，但是資訊自決權則賦予了權利人一種排他的、積極的、能動的控制權和利用權”[9]任曉紅：《數(shù)據(jù)隱私權》，載楊立新《侵權法熱點問題法律應用》，人民法院出版社2000年版，第419頁。。有學者認為，隱私權以“禁止侵犯”的方式保護私人生活安寧，而個人信息權同時強調對信息的保護和利用[10]Pedic, Zana, "Interconnectivity and Differences of the (Information) Privacy Right and Personal Data Protection Right in the European Union",Review of Comparative Law,2017,30,p.134.。比較而言，隱私權為私密信息提供的是一種“強保護”，個人信息權提供的是一種“弱保護”[1]王利明：《人格尊嚴：民法典人格權編的首要價值》，《當代法學》2021年第1期。，這與隱私重在“隱”、個人信息重在“識別”的屬性是相符的[2]王利明：《論個人信息權在人格權法中的地位》，《蘇州大學學報（哲學社會科學版）》2012年第6期。。然，侵害隱私權造成損害的，依照《民法典》第1165條第1款，適用過錯責任原則，實行“誰主張，誰舉證”規(guī)則；侵害個人信息權造成損害的，遵循《個人信息保護法》第69條第1款，適用過錯推定責任原則，實行“舉證責任倒置”[3]楊立新：《侵權法論（上）》（第五版），人民法院出版社2013年版，第185頁。規(guī)則。結果是對個人信息權進行“強保護”，對隱私權進行“弱保護”，背離了《民法典》第1032條第2款和第1034條第3款的立法宗旨。因此，侵害私密信息造成信息主體損害的，不應適用《民法典》第1165條第1 款的過錯責任原則，而應適用《個人信息保護法》第69 條第1 款的過錯推定責任原則，亦是對“特別法優(yōu)于一般法”規(guī)則的遵從。

2.非個人信息處理者侵權損害賠償責任：過錯責任

基于前文構建的《個人信息保護法》第44條至第50條與《民法典》第1037條的協(xié)調適用規(guī)則，非個人信息處理者侵害個人信息權的，不適用《個人信息保護法》第44條至第50條和《民法典》第1037條。且，《民法典》第995條規(guī)定的是人格權請求權，適用于人格權妨害的情形，非侵害人格權造成損害情形。因此，非個人信息處理者侵害個人信息權造成損害的，應回歸《民法典》第1165條第1款，適用過錯責任原則認定個人信息處理者的損害賠償責任。在“聶某訴張某名譽權糾紛案”[4]遼寧省沈陽市中級人民法院〔2018〕遼01民終12562號民事判決書。中，法院提出，被告將原告的照片、手機號、新浪微博ID等個人信息及家庭信息公布在網(wǎng)上，同時投訴至原告的工作單位，侵犯原告的名譽權、隱私權，判令被告承擔與其主觀過錯相當?shù)呢熑?，采用的便是過錯責任原則?！秱€人信息保護法》第73條第1項規(guī)定“個人信息處理者，是指在個人信息處理活動中自主決定處理目的、處理方式的組織、個人”。任何組織或個人在個人信息處理活動中，只要能夠自主決定處理目的、處理方式，均可視為個人信息處理者。反之，則為非個人信息處理者。巡視現(xiàn)有立法、理論與司法實踐，非個人信息處理者主要有以下兩類，其侵害個人信息權造成損害的，損害賠償責任皆適用過錯責任原則。

一類是雇員（工作人員）與受托人。參照《個人信息保護法》第21條和第59條，第一類非個人信息處理者通常為個人信息處理者的雇員（工作人員）或接受委托處理個人信息的受托人。程嘯認為，“如果是雇員為履行向雇主所負擔的義務而進行的數(shù)據(jù)處理活動，那么該活動就是雇主本身的活動，雇主而非雇員是處理者”[5]程嘯：《論個人信息共同處理者的民事責任》，《法學家》2021年第6期。。據(jù)此，個人信息處理者為用人單位，其工作人員處理個人信息侵害個人信息權造成損害的，屬于執(zhí)行工作任務致人損害，應由用人單位承擔替代責任。個人信息處理者承擔損害賠償責任后，可以向有故意或重大過失的工作人員追償。在“孫某、中國移動通信集團山東有限公司濱州分公司等隱私權糾紛案”中[6]山東省濱州地區(qū)（市）中級人民法院〔2021〕魯16民終2594號民事判書。，法院認為，實施電話推銷的營銷人員自稱為被告的工作人員，推銷的內容與被告經(jīng)營業(yè)務密切相關，認定向原告進行電話推銷的行為系被告移動濱州分公司的行為，判決被告承擔民事責任。營銷人員存在故意或重大過失的，移動濱州分公司可以行使追償權。程嘯教授指出，“真正不屬于處理者的主體就是委托處理個人信息中的受托人”[7]程嘯：《論個人信息共同處理者的民事責任》，《法學家》2021年第6期。。受托人與個人信息處理者（委托人）訂立委托合同，受托人按照個人信息處理者自主決定的目的、方式，以個人信息處理者的名義處理個人信息，對個人信息處理者發(fā)生法律效力。崔建遠教授強調，“合同訂立后，受托人在委托的權限內所實施的行為，等同于委托人自己的行為”[8]崔建遠：《合同法》（第五版），法律出版社2010年版，第507頁。。故而，受托人按照約定處理個人信息，侵害個人信息權造成損害的，個人信息處理者承擔侵權責任。在“鄒某訴交通銀行股份有限公司安徽省分行等信用卡糾紛案”[1]安徽省合肥市廬陽區(qū)人民法院〔2016〕皖0103民初7946-1號民事判決書。中，法院認為，被告作為受托人，對轉賬消費是否為原告（委托人）實施已盡到審查義務，不承擔民事責任。依據(jù)《民法典》第929條，在有償?shù)奈泻贤?，個人信息處理者作為委托人，因受托人的過錯造成其損失的，個人信息處理者可以請求賠償損失，即適用過錯責任原則。無償?shù)奈泻贤蚴芡腥说墓室饣蛑卮筮^失造成個人信息處理者損失的，個人信息處理者可以請求賠償損失。

另一類是因個人或家庭事務處理個人信息的自然人?！秱€人信息保護法》第72條第1款規(guī)定，因個人或家庭事務處理個人信息的自然人，是自主決定處理目的、處理方式的主體，但不納入個人信息處理者范疇，是第二類非個人信息處理者。原因在于，自然人因個人或家庭事務處理個人信息，雖體現(xiàn)個人信息權的“重利用”特性，卻不以獲取財產利益為主要目的。另外，信息主體與信息處理者皆為一般的自然人，二者實力相當，甚至為同一主體。信息主體舉證相對簡單，無適用過錯推定責任原則的必要。張新寶認為，過錯推定“相較于由受害人證明行為人的過錯顯然更有利于受害人一方”[2]張新寶：《侵權責任法》（第五版），中國人民大學出版社2020年版，第17頁。，目的在于平衡行為人與受害人的利益。當個人信息處理者與信息主體皆為自然人，乃至為同一自然人時，利益失衡問題不復存在，適用過錯責任原則足矣。自然人因個人事務處理自身信息的，屬于信息自決，損害自擔。因個人或家庭事務處理個人信息，侵害家庭成員的個人信息權造成損害的，適用過錯責任原則即可實現(xiàn)救濟。新加坡2012年《個人數(shù)據(jù)保護法》第4條第（1）款（a）項規(guī)定，以個人或家庭身份行事的自然人，不承擔此法規(guī)定的任何義務。韓國、加拿大等國家采取類似做法。我國《個人信息保護法》第72條第1款亦排除因個人或家庭事務處理個人信息的自然人適用本法?！白匀蝗艘騻€人或家庭事務處理個人信息的，自然人不被視為個人信息處理者”[3]張新寶：《〈中華人民共和國個人信息保護法〉釋義》，人民出版社2021年版，第561頁。，其處理個人信息造成信息主體個人信息權損害的，無《個人信息保護法》第69條第1款過錯推定責任的適用余地，適用《民法典》第1165條第1款的過錯責任原則主張損害賠償責任權是唯一可行路徑。

四、《民法典》與《個人信息保護法》損害賠償數(shù)額計算規(guī)則條款的協(xié)調適用

1.個人信息處理者侵權損害賠償數(shù)額計算規(guī)則：參照《個人信息保護法》第69條第2款

個人信息權遭受侵害的，信息主體依《個人信息保護法》第69條第1款，適用過錯推定責任原則，可實現(xiàn)財產損失和精神損害的一體救濟。第69條第2款規(guī)定了損害賠償數(shù)額的計算方法，包括信息主體受到的損失、個人信息處理者因此獲得的利益以及實際情況酌定方式?？赏ㄟ^明確“損害”“損失”和“利益”的內涵，細化損害賠償數(shù)額的具體計算規(guī)則。依文義解釋和體系解釋，第69條第1款規(guī)定的“損害”包括財產損失和精神損害，第2款中的“損害賠償責任”理應涵蓋財產損失賠償責任和精神損害賠償責任。第2款中的“損失”應解釋為財產損失，不應包括精神損害。與之相應，第2款中的“利益”意指個人信息處理者侵害個人信息權獲得的財產利益，不包括任何的情感利益或精神利益。有學者提出，第69條第2款中的“損失”可以解釋為財產損失和精神損害，精神損害賠償數(shù)額的確定方式與財產損失賠償一致[4]程嘯：《侵害個人信息權益的侵權責任》，《中國法律評論》2021年第5期。，確實可以實現(xiàn)損害的一體救濟。然而，《個人信息保護法》第69條第2款中的“損失”是個人信息權侵權導致的損失，屬于財產損失[5]王利明：《民法（下冊）》（第八版），中國人民大學出版社2020年版，第532頁。，不宜肆意擴張至精神損害。楊立新教授持相同觀點，稱“《民法典》第1182條是《個人信息保護法》第69條第2款的上位法。后者規(guī)定的損害賠償計算方法的側重點和突出保護的，是個人信息權益的財產利益”[1]楊立新：《侵害個人信息權益損害賠償?shù)囊?guī)則與適用——〈個人信息保護法〉第69條的關鍵詞釋評》，《上海政法學院學報（法治論叢）》2022年第1期。?！秱€人信息保護法》第69條第2款中的“損失”和“利益”分別解釋為財產損失和財產利益，亦能保持《民法典》侵權責任編[2]《民法典》侵權責任編第1182條、第1184條、第1186條和第1235條中規(guī)定的“損失”均指財產損失。與《個人信息保護法》“損失”語義內涵的一致。值得注意的是，《個人信息保護法》第69條第2款強調個人信息承載的財產利益的保護，并不意味著精神損害不能據(jù)此獲得救濟。過錯推定責任原則下，通過明確《個人信息保護法》第69條第2款的適用規(guī)則，信息主體的財產損失和精神損害均可得到救濟。

信息主體僅遭受財產損失的，遵循“填平原則”[3]黃薇：《中華人民共和國民法典侵權責任編釋義》，法律出版社2020年版，第76頁。，由其考量所受損失或個人信息處理者因此獲得的利益，自由選擇損害賠償數(shù)額；二者皆難以確定的，根據(jù)實際情況確定賠償數(shù)額。在Clapper v.Amnesty International 案[4]568 U.S.398(2013).中，法院亦認為,當事人只得對“實際損害”而非“推測損害”提出訴訟請求。如前所述，依《個人信息保護法》第69條第2款“損害賠償責任”的文義解釋及該款與第1款的體系解釋，“損害”包括財產損失和精神損害，“損害賠償責任”包括財產損失賠償責任和精神損害賠償責任。有學者認為，由于認定損害手段是多樣的，并且認定損害本是復雜的，損害賠償責任的最終認定存在多種可能[5]Knetsch,Jonas,"The Compensation of Non-Pecuniary Loss in GDPR Infringement Cases", European Journal of Privacy Law&Technologies(EJPLT),2020,(Special Issue),pp.63-70.。損害賠償責任的落實依賴于損害賠償數(shù)額的計算規(guī)則——信息主體受到的損失、個人信息處理者因此獲得的利益以及實際情況酌定。實際情況酌定規(guī)則的考量基礎依然是前兩個規(guī)則，在考慮精神損害賠償責任“花落誰家”時可以忽略。既然前文限定“損失”為財產損失，則無精神損害賠償責任得以落地的空間，只能訴諸“利益”，即“利益”可以發(fā)揮救濟財產損失和精神損害的雙重功效。信息主體遭受精神損害的，直接按照個人信息處理者獲得的利益確定賠償數(shù)額即可。在“孫某訴北京搜狐互聯(lián)網(wǎng)信息服務有限公司等人格權糾紛案”[6]北京互聯(lián)網(wǎng)法院〔2019〕京0491民初10989號民事判決書。中，法院就遵循了這一原則，將個人信息處理者付出的成本對沖其因違法行為所得的利益，以遏制個人信息侵權。獲得的利益難以確定的，根據(jù)實際情況確定賠償數(shù)額。胡雪梅認為，“非金錢損害賠償系指本質上無法用金錢量化但在司法實踐中不得不用金錢表示的損害”[7]胡雪梅：《英國侵權法》，中國政法大學出版社2008年版，第348頁。。精神損害賠償責任最終體現(xiàn)為支付精神損害撫慰金，以個人信息處理者獲得的利益確定具體數(shù)額，統(tǒng)一適用過錯推定責任原則，能較好地實現(xiàn)財產損失和精神損害的一體救濟。按照個人信息處理者獲得的利益確定賠償數(shù)額，精神損害難以量化之難題亦得以解決，類似“李志剛與上海商數(shù)信息科技有限公司網(wǎng)絡侵權責任糾紛案”[8]河北省石家莊市中級人民法院〔2019〕冀01民終10531號民事判決書?！班嚵s與北京順豐速運有限公司侵權責任糾紛案”[9]北京市第三中級人民法院〔2020〕京03民終2049號民事判決書?！案度F與北京三快信息科技有限公司等網(wǎng)絡侵權責任糾紛案”[10]北京互聯(lián)網(wǎng)法院〔2018〕京0491民初1905號民事判決書。等訴訟中精神損害難以得到賠償?shù)睦Ь秤型黄啤盍⑿陆淌趧t持反對意見，認為精神損害賠償應回歸《民法典》第1183條第1款，結合《解釋》第5條確定具體賠償數(shù)額[11]楊立新：《侵害個人信息權益損害賠償?shù)囊?guī)則與適用——〈個人信息保護法〉第69條的關鍵詞釋評》，《上海政法學院學報（法治論叢）》2022年第1期。。此種做法符合精神損害賠償?shù)囊话阋?guī)則，但財產損失賠償和精神損害賠償適用不同的歸責原則，與《個人信息保護法》第69條第1款存在沖突，且精神損害賠償存在量化難題，難以得到全面救濟。信息主體同時遭受財產損失和精神損害的，適用過錯推定責任原則，自由選擇依其所受損失或個人信息處理者所得利益確定賠償數(shù)額；損失和利益難以確定的，根據(jù)實際情況確定賠償數(shù)額。至于個人信息權侵權引發(fā)的下游損害，信息主體主張個人信息處理者承擔財產損失賠償責任和精神損害賠償責任的[1]謝鴻飛：《個人信息泄露侵權責任構成中的“損害”——兼論風險社會中損害的觀念化》，《國家檢察官學院學報》2021年第5期。，則分別回歸《民法典》第1182條和第1183條。其中，精神損害賠償須以精神損害的“嚴重性”為前提，兩者在歸責原則上統(tǒng)一適用過錯責任原則即可。在“馬春平、中糧可口可樂飲料（河北）有限公司名譽權糾紛案”[2]天津市第一中級人民法院〔2020〕津01民終5911號民事判決書。中，法院綜合考量侵權的實際情況與精神損害的嚴重性等因素，確定精神損害的賠償數(shù)額。綜上，依據(jù)《個人信息保護法》第69條，處理個人信息侵害個人信息權造成損害的歸責原則的適用規(guī)則可以表述為：個人信息處理者侵害個人信息權同時造成財產損失和精神損害的，信息主體統(tǒng)一適用過錯推定責任原則，據(jù)此條款確定損害賠償?shù)木唧w數(shù)額。相應地，個人信息處理者侵權損害賠償數(shù)額計算規(guī)則可以表述為：個人信息處理者侵害個人信息權造成財產損失的，可以選擇前兩種計算規(guī)則中的任何一種；造成精神損害的，只能選擇第二種計算規(guī)則。兩種境遇下，損失和利益或利益難以確定的，根據(jù)實際情況確定賠償數(shù)額。

2.非個人信息處理者侵權損害賠償數(shù)額計算規(guī)則：參照《民法典》第1182—1183條

《個人信息保護法》第72條第1款規(guī)定：“自然人因個人或者家庭事務處理個人信息的，不適用本法”，此處的“自然人”可稱之為非個人信息處理者。非個人信息處理者侵害個人信息權造成損害的，信息主體無法援引此法第69條主張損害賠償責任，過錯推定責任原則無適用空間。個人信息權是人格權，非個人信息處理者侵害個人信息權造成財產損失的，信息主體可援引《民法典》第1165條第1款和第179條第1款第8項，適用過錯責任原則要求非個人信息處理者賠償損失。具體到損失賠償數(shù)額的計算，則參照《民法典》第1182條確定。信息主體可自主選擇自己因此受到的損失或非個人信息處理者因此獲得的利益確定賠償數(shù)額；難以確定的，雙方可就賠償數(shù)額進行協(xié)商；協(xié)商不一致的，請求人民法院根據(jù)實際情況確定。結合《最高人民法院關于審理利用信息網(wǎng)絡侵害人身權益民事糾紛案件適用法律若干問題的規(guī)定》第12條、《最高人民法院關于審理使用人臉識別技術處理個人信息相關民事案件適用法律若干問題的規(guī)定》第8條第2款等規(guī)定，個人信息權侵權中，信息主體遭受的“財產損失”可進一步細化，包括信息主體預防、制止個人信息權侵權所支付的合理開支以及直接遭受的財產損失。為預防個人信息權侵權的發(fā)生，信息主體因采取預防措施而支付相關費用，侵權仍然發(fā)生的，預防費用損失是侵權行為導致的結果，應解釋為信息主體遭受的“積極損失”。謝鴻飛對此予以肯定，稱“為防免未來損害支付了本不應支付的費用也應作為財產損失”[3]謝鴻飛：《個人信息泄露侵權責任構成中的“損害”——兼論風險社會中損害的觀念化》，《國家檢察官學院學報》2021年第5期。。預防費用納入財產損失，可以發(fā)揮填平損害之功，“使損害恢復如同損害未發(fā)前之原狀”[4]鄒海林、朱廣新：《民法典評注：侵權責任編》，中國法制出版社2020年版，第200頁。。受害人提出的預防費用數(shù)額是否合理，應否全部納入損失賠償數(shù)額，則由法官在個案中自由裁量。個人信息權侵權發(fā)生后，信息主體為制止侵權行為，“使被侵權行為所破壞的雙方的不公平狀態(tài)得到修復”[5]中國審判理論研究會民事審判理論專業(yè)委員會：《民法典侵權責任編條文理解與司法適用》，法律出版社2020年版，第89頁。，所支付調查、取證等合理費用，理應納入財產損失。信息主體遭受精神損害的，適用《民法典》第1183 條精神損害賠償條款，精神損害賠償責任以信息主體遭受嚴重精神損害為前提，以過錯責任為歸責原則。依據(jù)《解釋》第5條綜合考量非個人信息處理者的過錯程度、獲利情況、經(jīng)濟能力以及侵權行為的目的、方式等因素，法官自由裁量精神損害賠償?shù)臄?shù)額。個人信息權侵權可能引發(fā)下游損害，如泄露個人信息導致私人生活安寧權侵權[1]謝鴻飛：《個人信息處理者對信息侵權下游損害的侵權責任》，《法律適用》2022年第1期。，信息主體因此遭受嚴重精神損害。為方便信息主體及時獲得救濟，下游損害理應在個人信息權侵權訴訟中得到一并救濟，依據(jù)《民法典》第1182條、第1183條及《解釋》第5條明確損害賠償?shù)木唧w數(shù)額。在美國，“有些法院規(guī)定了對肉體痛苦和精神折磨賠償?shù)淖罡呦揞~”[2]文森特·R.約翰遜：《美國侵權法》，趙秀文譯，中國人民大學出版社2004年版，第61頁。，如Fein v.Permanente Medical Group 案[3]695 P.2d 665(Cal.),appeal dismissed,474 U.S.892(1985)(SATL 225).。在德國法院，有法官將受害人的精神不悅以及人格展開的商品化可能都解釋為一種財產損害，而非精神損害，主要依據(jù)的是“沮喪理論”[4]“沮喪理論”，即所有因為侵權行為所造成的或者使用的機會喪失都可以作為財產損害。參見黃薇：《中華人民共和國民法典侵權責任編釋義》，法律出版社2020年版，第55頁。和“非財產利益的商業(yè)化”[5]非財產利益的商業(yè)化是指快樂、安慰、安逸、享受、便利等利益在通過金錢而獲得時，便擁有了財產屬性，違約行為對此類利益造成損害，守約方可以提請金錢賠償。參見楊顯濱：《違約精神損害賠償制度的中國式建構》，《當代法學》2017年第1期。。

值得注意的是，有學者提出革新“損害”的概念，將風險性損害納入個人信息權侵權損害賠償，“于個案中綜合考量信息的類型、處理行為的目的方式、信息誤用的跡象等因素”[6]田野：《風險作為損害：大數(shù)據(jù)時代侵權“損害”概念的革新》，《政治與法律》2021年第10期。判斷具體損害，以全面維護信息主體的合法權益。謝鴻飛指出，“有條件承認預期侵權制度，肯定未來被侵權的風險構成法律上的損害”[7]謝鴻飛：《個人信息泄露侵權責任構成中的“損害”——兼論風險社會中損害的觀念化》，《國家檢察官學院學報》2021年第5期。，采用精算規(guī)則確定具體賠償數(shù)額，以滿足現(xiàn)代風險社會的需求。遵循的是侵權責任法上的“完全賠償原則”[8]最高人民法院民法典貫徹實施工作領導小組：《中華人民共和國民法典侵權責任編理解與適用》，人民法院出版社2020年版，第164—172頁。，為全面維護信息主體的合法權益提供了可能路徑。曾世雄認為，“完全賠償原則”下，“發(fā)生于特定賠償權利人之損害有多大，亦即賠償義務人須對特定賠償權利人之何種損害負賠償責任”[9]曾世雄：《損害賠償法原理》，中國政法大學出版社2001年版，第155頁，第155頁。。損害賠償范圍包括所受損害與所失利益，風險性損害（預期損害）應當屬于所受損害，“即因損害事故之發(fā)生賠償權利人現(xiàn)有財產所減少之數(shù)額”[10]曾世雄：《損害賠償法原理》，中國政法大學出版社2001年版，第155頁，第155頁。。然而，風險性損害本身存在不確定性，可能發(fā)生也可能不發(fā)生，且風險性損害不一定表現(xiàn)為實質性損害，若納入損害賠償范疇，“受害人”或因假設的風險引發(fā)的“損害”獲利，反而有違侵權責任法的救濟本質。審視域外判例，以美國為代表的國家大多否認風險性損害。在Clapper v.Amnesty International USA 案122[11]568 U.S.398(2013).中，美國聯(lián)邦最高法院采用“實質性風險”標準，認定被告主張的風險性損害是非必然發(fā)生或即將發(fā)生的，否認了風險性損害。Key v.DSW Inc 案[12]454 F.Supp.2d 684(S.D.0hio 2006).、Beck v.McDonald 案[13]848 F.3d 262(4th Cir.2017).和Spokeo Inc.v.Robins 案[14]136 S.Ct.1540(2016).等案件的判決持相似觀點。侵害個人信息權引發(fā)的風險性損害在本質上確實屬于所受損害，但如果這種損害未來沒有產生，信息主體可能因此獲利，有失公允。不過，應允許例外情形的存在，如風險性損害發(fā)生的可能性較大——一個普通的“理性人”可以預見，或信息主體可以舉證予以充分證明。