【侵害个人信息权益的侵权责任】

第六十九条 【侵害 个人信息权益的侵权责任】

【条文主旨】

本条是关于侵害个人信息权益承担损害赔偿责任的规定。

【条文理解】

一、明确侵害个人信息权益属于特殊侵权，适用过错推定责任原则

关于侵害个人信息权益责任的归责原则经历了两次修改，个人信息保护法草案第六十五条规定：“因个人信息处理活动侵害个人信息权益的，按照个人因此受到的损失或者个人信息处理者因此获得的利益承担赔偿责任；个人因此受到的损失和个人信息处理者因此获得的利益难以确定的，由人民法院根据实际情况确定赔偿数额。个人信息处理者能够证明自己没有过错的，可以减轻或者免除责任。”从该条前半部分表述来看，似乎初步确定了侵害个人信息权益适用无过错责任原则，因为行为人承担赔偿责任并不论行为人是否有过错；但后半部分将“个人信息处理者能够证明自己没有过错”规定为减轻或免除责任的事由，又与无过错责任原则需严格限制免责事由的要求相矛盾，且要求行为人证明自己没有过错，一般适用于过错推定责任。对此，一些常委委员和地方、部门、专家、企业建议，根据过错推定责任原则确定侵害个人信息权益的损害赔偿责任。因此，个人信息保护法草案二次审议稿第六十八条第一款规定：“个人信息权益因个人信息处理活动受到侵害，个人信息处理者不能证明自己没有过错的，应当承担损害赔偿等侵权责任。”个人信息保护法第六十九条在此基础上作了一些文字修改，最终确定了侵害个人信息权益适用过错推定责任原则。

二、侵害个人信息权益造成财产损失的赔偿数额的确定

个人信息具有人身属性，对个人信息的收集、使用、加工、提供、公开等关系个人人格尊严，故个人信息权益属于人格权范畴。民法典第九百九十条第一款列举了具体人格权：“人格权是民事主体享有的生命权、身体权、健康权、姓名权、名称权、肖像权、名誉权、荣誉权、隐私权等权利。”该条第二款规定了其他人格权益：“除前款规定的人格权外，自然人享有基于人身自由、人格尊严产生的其他人格权益。”个人信息权益当属该条第二款规定的其他人格权益范畴。本法第四章规定了个人在个人信息处理活动中的权利，主要有：个人对个人信息的处理享有知情权、决定权；个人有权向个人信息处理者查阅、复制其个人信息；有权请求将个人信息转移至其指定的个人信息处理者（可携带权）；有权请求个人信息处理者更正、补充不准确或不完整的信息；有权请求删除；有权要求对规则进行解释说明等。相较其他具体人格权而言，名誉是公众对民事主体的社会评价，此等评价本身不具有财产利益；而个人信息可以通过大数据分析，为企业带来商业利益，具有可交易性，由此产生财产利益。个人有权请求查阅、复制其个人信息，但名誉无从查阅、复制。又如姓名权，侵害姓名权主要表现为干涉、盗用、假冒他人姓名，受害人得以请求行为人停止前述行为；但侵害个人信息权益的形态复杂多样，除停止违法行为外，还包括积极行为，如对不准确、不完整的个人信息进行更正、补充等。由此可见，较上述具体人格权而言，个人信息权益有其独特的丰富内涵。

因个人信息具有人身属性，本法确立损害赔偿责任按照个人因此受到的损失或者个人信息处理者因此获得的利益确定；个人因此受到的损失和个人信息处理者因此获得的利益难以确定的，根据实际情况确定赔偿数额。这与民法典第一千一百八十二条关于侵害人身权益造成财产损失的赔偿数额确定相一致。民法典第一千一百八十二条规定：“侵害他人人身权益造成财产损失的，按照被侵权人因此受到的损失或者侵权人因此获得的利益赔偿；被侵权人因此受到的损失以及侵权人因此获得的利益难以确定，被侵权人和侵权人就赔偿数额协商不一致，向人民法院提起诉讼的，由人民法院根据实际情况确定赔偿数额。”需注意的是，个人因此受到的损失与个人信息处理者的获益是并列关系，不再强调以个人受到的损失为赔偿标准。一方面，在个人信息保护纠纷中，个人要证明其个人信息权益受到侵害这一事实便具有很大难度，因为相关证据大部分掌握在个人信息处理者手中。另一方面，个人因其个人信息权益受到侵害产生的损失，除因维权支出的调查取证费、律师费等费用较易查明外，其他损失亦难以举证和查明。因此，将个人因此受到的损失与个人信息处理者的获益两个赔偿标准作为并列关系，是符合司法实践的。但因通常情况下，个人信息处理者并非就某一个自然人的信息进行单独处理，故在个案处理中，个人信息处理者因就违法处理受害人个人的信息获益情况也难以查明和确定。据此，司法实践可能更多地需要根据“实际情况”确定赔偿数额。当然，人民法院根据案件实际情况确定赔偿数额的适用亦应符合有关司法解释的规定，而不能随意确定。比如《最高人民法院关于确定民事侵权精神损害赔偿责任若干问题的解释》第五条规定：“精神损害的赔偿数额根据以下因素确定：（一）侵权人的过错程度，但是法律另有规定的除外；（二）侵权行为的目的、方式、场合等具体情节；（三）侵权行为所造成的后果；（四）侵权人的获利情况；（五）侵权人承担责任的经济能力；（六）受理诉讼法院所在地的平均生活水平。”《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》第十二条规定：“被侵权人为制止侵权行为所支付的合理开支，可以认定为民法典第一千一百八十二条规定的财产损失。合理开支包括被侵权人或者委托代理人对侵权行为进行调查、取证的合理费用。人民法院根据当事人的请求和具体案情，可以将符合国家有关部门规定的律师费用计算在赔偿范围内。被侵权人因人身权益受侵害造成的财产损失以及侵权人因此获得的利益难以确定的，人民法院可以根据具体案情在50万元以下的范围内确定赔偿数额。”

【适用指南】

本法的立法目的是保护个人信息权益，规范个人信息处理活动，促进个人信息合理利用。本法规定了个人在个人信息处理活动中的知情、查阅、复制、携带等诸多权益，但并未明确如何行使，当本法规定的个人信息权益受到侵害时，个人可能不知道采取何种方式进行救济。本条明确规定了损害赔偿请求权的路径，但损害赔偿仅适用于产生损失和个人信息处理者具有过错的情形，因此损害赔偿责任还不足以涵盖对个人信息权益的保护。审判实践中，还应注意个人信息权益保护的人格权请求权、违约赔偿请求权等救济路径。

一、人格权请求权

民法典第九百九十五条规定：“人格权受到侵害的，受害人有权依照本法和其他法律的规定请求行为人承担民事责任。受害人的停止侵害、排除妨碍、消除危险、消除影响、恢复名誉、赔礼道歉请求权，不适用诉讼时效的规定。”个人信息权益属于人格权范畴，自然人可以根据前述规定行使人格权请求权。需要注意的是，行使人格权请求权无需考虑行为人是否具有过错，只要存在对人格权的侵害这一事实，不论是已经发生还是即将发生，均可行使人格权请求权。以停止侵害为例，只要行为人实施或即将实施侵害个人信息权益的行为，不论个人信息处理者是否有过错，权利人都可以要求个人信息处理者停止侵害。比如，某网站未经同意发布个人征婚信息，不论网站经营者是否有过错，个人均可要求停止发布征婚信息。停止侵害责任方式的适用也不以诉讼为前提。也就是说，受害人可直接要求加害人停止侵害，如果加害人仍未停止侵害，受害人可以通过诉讼的方式要求法院判决加害人停止侵害。再如，个人信息更正、补充权的行使，并不以个人信息处理者主观有过错或者提起诉讼为前提，只要发现其个人信息有误，就可以要求个人信息处理者予以更正，且该请求不适用诉讼时效的规定。

关于人格权侵害禁令制度是否适用于个人信息保护的问题。民法典第九百九十七条规定：“民事主体有证据证明行为人正在实施或者即将实施侵害其人格权的违法行为，不及时制止将使其合法权益受到难以弥补的损害的，有权依法向人民法院申请采取责令行为人停止有关行为的措施。”尽管个人信息权益还未被法律确定为一项权利，但个人信息一旦遭到非法使用、泄露，极有可能导致权利人的名誉、隐私遭受侵害，甚至产生巨大财产损失，如个人信息被用于网络黑产、贷款诈骗等。从侵害人格权禁令制度的目的来看，将个人信息权益纳入适用范围，更有利于强化对人格权的保护。比如，《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》第九条就明确规定：“自然人有证据证明信息处理者使用人脸识别技术正在实施或者即将实施侵害其隐私权或者其他人格权益的行为，不及时制止将使其合法权益受到难以弥补的损害，向人民法院申请采取责令信息处理者停止有关行为的措施的，人民法院可以根据案件具体情况依法作出人格权侵害禁令。”值得注意的是，权利人行使人格权请求权时，其对象包括但不限于个人信息处理者。

二、损害赔偿请求权

（一）关于损害

“损害作为一种事实状态，是指因一定的行为或事件使某人受侵权法保护的权利和利益遭受某种不利益的影响。”^[1]比如，某外卖App未经用户授权读取了用户的信息并上传至App服务器，那么不论App是否使用这些信息，均构成对用户个人信息知情、决定权的侵害，损害体现为“未经用户同意获取信息”这一事实。又如，某出行App虽然依据履行服务合同的需要处理了用户的行程信息，但App如果对外公开这些行程信息，必然造成个人隐私的泄露，此种情形也属于损害的范畴。

（二）关于侵权损害赔偿责任

侵权损害赔偿责任的范围包括财产损失、人身伤害和精神损害。人身伤害主要体现为对自然人生命、身体、健康的侵害，人身损害赔偿主要包括医疗费、护理费、交通费、营养费、住院伙食补助费等为治疗和康复支出的合理费用，以及因误工减少的收入，残疾赔偿金、丧葬费、死亡赔偿金等。

就侵害个人信息权益而言，其损害赔偿主要是财产损失和精神损害。财产损失是最常见的损害类型，该损失既包括直接损失，又包括间接损失。直接损失是已得利益之丧失，间接损失是虽受害时尚不存在，但受害人在通常情况下如果不受侵害，必然会得到的利益的丧失^[2]，是可得利益的减少。个人信息权益遭受侵害导致财产损失，如利用非法取得的个人信息实施电信诈骗等侵害受害人的财产权益，还包括因维权产生的调查取证、律师费等合理支出；间接损失如求职、晋升受到影响，从而使其经济利益受到损失。司法实践中，对影响求职、晋升等带来的损失支持的判例较少。而且，间接损失一般也限定在财产损害范围，如房屋遭受毁损导致的租金收益减少。有一些侵害具体人格权的情形下需赔偿间接损失，如侵害明星肖像权、姓名权，从而导致其基于肖像、姓名的商业化收益减少。

还需注意的是，就财产损害而言，损害与违法行为必须存在法律上的因果关系。司法实践中，受害人往往只能证明其受到损害的事实，比如钱财被犯罪分子诈骗，但很难举证证明被诈骗是因为其个人信息被泄露，或者个人信息泄露是其被诈骗的原因。也就是说，违法处理个人信息的行为与受害人钱财被诈骗之间到底有无因果关系，是审判实践中的难点问题，而且争议较大。比如，个人信息被泄露后遭受电信诈骗，因个人的学识、经历有所不同，有的人可能会被骗，而有的人不会被骗，此种情形下，如何看待损害后果与违法行为之间是否具有因果关系？对此，关键在于准确适用《最高人民法院关于适用〈中华人民共和国民事诉讼法〉的解释》第一百零八条有关民事诉讼证明标准的规定。该条规定：“对负有举证证明责任的当事人提供的证据，人民法院经审查并结合相关事实，确信待证事实的存在具有高度可能性的，应当认定该事实存在。对一方当事人为反驳负有举证证明责任的当事人所主张事实而提供的证据，人民法院经审查并结合相关事实，认为待证事实真伪不明的，应当认定该事实不存在。法律对于待证事实所应达到的证明标准另有规定的，从其规定。”该条规定了高度盖然性规则。也就是说，受害人只要举证证明违法处理个人信息具有高度盖然性，就可以认定损害事实的存在。有观点认为，应当在个人信息侵权案件中，降低证明标准，以便对受害人提供充分的救济，缓和证明标准，由“高度可能性”降低为“较大可能性”^[3]，即证明违法行为有较大可能性即可。也有观点认为，受害人只要证明侵权行为与侵害结果存在引起和被引起的条件关系，即应认定存在因果关系。^[4]司法实践中，除正确适用民事诉讼证明标准的规定外，还有必要强调日常生活经验法则的运用，即通过一般公众的认知去判断损害后果和违法行为之间是否存在因果关系。

精神损害赔偿体现为精神损害抚慰金，是指侵权行为致使他人严重精神损害的，得以金钱赔偿的方式进行弥补。一般情况下，侵害个人信息权益会造成受害人一定程度的精神困扰，对此可以判令行为人对受害人进行赔礼道歉，以消除影响；如果造成严重精神损害，才会判令行为人赔偿精神损害抚慰金。是否产生严重精神损害，一般由受害人举证证明，并结合侵权行为的具体方式加以判断。根据本条第二款的规定，财产损失和精神损害均可以根据个人因此受到的损失或者个人信息处理者因此获得的利益确定。不论是赔偿损失还是精神损害赔偿，均适用诉讼时效的规定。

（三）关于过错推定

本条第一款即确定了侵害个人信息权益的损害赔偿责任适用过错推定原则。民法典第一千一百六十五条第二款规定：“依照法律规定推定行为人有过错，其不能证明自己没有过错的，应当承担侵权责任。”过错推定原则，是指在法律有特别规定的场合，从损害事实的本身推定加害人有过错，并据此确定造成他人损害的行为人赔偿责任的归责原则。个人信息当中的私密信息属于隐私权范畴，根据民法典第一千零三十四条第三款的规定，个人信息中的私密信息，适用有关隐私权的规定；没有规定的，适用有关个人信息保护的规定。实践中，违法处理个人信息可能同时侵害隐私权或名誉权，此时需要注意，侵害隐私权、名誉权，属于一般侵权，其损害赔偿适用过错责任原则；而侵害个人信息权益是特殊侵权，其损害赔偿适用过错推定责任原则，二者在举证责任分配上有所不同。在违法处理个人信息导致隐私权、名誉权受损害的情况下，因为损害后果具有同一性，带来的问题是：受害人如果主张名誉、隐私侵权，则适用过错责任，受害人要证明加害人主观上具有过错（包括过失）；而如果主张侵害个人信息权益，则适用过错推定责任，由个人信息处理者证明其不存在过错。对此，可能需要考虑在违法处理个人信息导致侵害隐私权、名誉权等具体人格权的场景下，就侵权损害赔偿责任方面，统一适用过错推定责任原则。还应当注意的是，过错推定责任仅是对过错的推定，并不包括对因果关系的推定，因果关系的举证责任还是在受害人一方。

（四）关于侵害个人信息权益的免责事由

个人信息责任的免责事由须有法律明确规定。例如，民法典第九百九十九条规定：“为公共利益实施新闻报道、舆论监督等行为的，可以合理使用民事主体的姓名、名称、肖像、个人信息等；使用不合理侵害民事主体人格权的，应当依法承担民事责任。”根据此条规定，为公共利益实施新闻报道、舆论监督等行为合理使用民事主体个人信息的，即使未取得个人的同意，也无需承担民事责任。又如，民法典第一千零三十六条规定：“处理个人信息，有下列情形之一的，行为人不承担民事责任：（一）在该自然人或者其监护人同意的范围内合理实施的行为；（二）合理处理该自然人自行公开的或者其他已经合法公开的信息，但是该自然人明确拒绝或者处理该信息侵害其重大利益的除外；（三）为维护公共利益或者该自然人合法权益，合理实施的其他行为。”《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》第五条规定：“有下列情形之一，信息处理者主张其不承担民事责任的，人民法院依法予以支持：（一）为应对突发公共卫生事件，或者紧急情况下为保护自然人的生命健康和财产安全所必需而处理人脸信息的；（二）为维护公共安全，依据国家有关规定在公共场所使用人脸识别技术的；（三）为公共利益实施新闻报道、舆论监督等行为在合理的范围内处理人脸信息的；（四）在自然人或者其监护人同意的范围内合理处理人脸信息的；（五）符合法律、行政法规规定的其他情形。”第六条第三款同时规定信息处理者就其行为符合上述情形承担举证责任。

三、违约赔偿请求权

实践中，大部分处理个人信息的场景是发生在履行合同的过程中，故个人信息权益遭受侵害时，权利人当然可以依据合同约定主张违约责任。《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》第十二条规定：“信息处理者违反约定处理自然人的人脸信息，该自然人请求其承担违约责任的，人民法院依法予以支持。该自然人请求信息处理者承担违约责任时，请求删除人脸信息的，人民法院依法予以支持；信息处理者以双方未对人脸信息的删除作出约定为由抗辩的，人民法院不予支持。”由此可见，诸如知情权、自决权、删除权等个人信息权益的行使，可以选择违约赔偿请求权的路径进行救济。如合同中约定了违法处理个人信息的违约金或违约责任条款，只要是双方真实意思表示，未违反法律、行政法规的效力性强制性规定，各方均应严格遵守。

在具体的民事审判实践中，个人信息权益受到侵害时可能会出现多种请求权竞合的状态，权利人应当根据权利受到侵害的状况以及最有利于保护个人信息的目的主张相应的请求权。当然，个人信息权益内涵丰富，侵权形态复杂多样，现有的司法样本较少，司法审判中仍有许多问题亟待解决。

【相关规定】

《中华人民共和国民法典》第九百九十条、第九百九十七条、第九百九十九条、第一千一百六十五条第二款、第一千一百八十二条、第一千零三十四条第二款、第一千零三十六条；《最高人民法院关于适用〈中华人民共和国民事诉讼法〉的解释》第一百零八条；《最高人民法院关于确定民事侵权精神损害赔偿责任若干问题的解释》第五条；《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》第十二条。