唐墨华 苏昊 胡贤君

大数据时代的到来能够将人的行为、选择及特征信息化，为人类的生产生活提供便利。同时随着个人信息的数据化和网络化，个人信息被泄露、篡改、丢失的风险也随之增加，威胁着信息权利人的人身、财产安全。司法实践中信息权利人因发现个人信息遭到泄露而起诉信息处理者要求承担侵权责任的案件屡见不鲜。因缺乏相应的法律规范，法官在处理该类案件时呈现出尺度不一和说理不清等问题。《民法典》第1038条规定了信息处理者的安全保障义务，但条文仅为概念性的规定，对于该义务的具体内涵、侵权构成要件、证明责任、证明标准、责任形态等问题均未提及。本文通过对近十年相关案例的梳理，结合《民法典》以及《网络安全法》等法律法规的相关规定，对《民法典》第1038条的司法适用规则如何完善进行研究，以期为相关立法和司法提供一些参考。

一、信息处理者安全保障义务的实证考察

对于信息处理者安全保障义务的实证考察，应以数据分析为中心的经验性归纳作为方法上的指引，本文借助“无讼案例”搜索软件，以“个人信息”“信息泄露”“民事判决书”为共同关键词，①将关键词“信息泄露”替换为“信息篡改”或“信息丢失”，未找到相关民事案件。以2010年至2019年为时间区间进行搜索，在结果中排除无相关性的案例后，共搜索到1007份民事判决书。通过对1007份民事判决书进行统计分析，相关案件的司法裁判呈现如下特征：

（一）案件类型多元化

根据个人信息侵权行为的具体表现形式可大致区分为两种情形：一是信息处理者因故意或过失导致个人信息泄露，即信息处理者的积极侵权；②典型案例如周某诉广州快客电子商务有限公司网络侵权责任纠纷案，该案的基本案情为：周某在快客公司及经营的APP上购买某品牌香水后申请退货。次日一自称该APP客服人员的人向周某发送其购物详细信息截图及退款链接，周某点击链接后，银行卡内5万元被转走。快客公司承认周某购物信息是公司一并打包给供应商、快递公司等第三方时可能被泄露的。周某起诉快客公司要求承担赔偿责任。二是第三人利用信息处理者的技术或管理漏洞窃取个人信息，导致个人信息泄露，即信息处理者的消极侵权。③典型案例如王某诉汉庭星空（上海）酒店管理有限公司隐私权纠纷案件，该案的基本案情为：王某称汉庭酒店的无线门户系统存在安全加密等级较低的问题，存在信息泄露的安全隐患，包括王某在内的两千万条在酒店入住信息在网上被人窃取后打包放在网上下载，王某起诉汉庭酒店承担侵权责任。在数量上，第一类案件相对较少，约占案件总量的30%；后者则相对较多，约占70%。从信息权利人提起诉讼的请求权基础来看，除以侵害隐私权、名誉权、个人信息等人格权为由要求信息处理者承担侵权责任的案件之外，在信息权利人与信息处理者存在合同关系的情况下，信息权利人也有以信息处理者违反合同附随义务为由提起合同之诉，主张信息处理者承担赔偿责任。

（二）诉讼主体复杂化

个人信息侵权纠纷中，原告通常是个人信息受到侵犯的自然人，而囿于有责性及因果关系等要件事实方面的证据原因，诉讼中被告多呈现复杂性。

1.被诉主体范围广泛

信息处理包括信息的收集、储存、使用、加工、传输、提供、公开，从案例样本来看，被诉信息处理者范围广泛，既有个人信息较为集中的传统行业领域的运输企业、医疗机构等，也有创新2.0时代的网络科技公司、金融机构等网络平台。因信息处理手段和场域的差异性，对传统行业与网络平台信息处理者的分别考察也就有了规范上的重要意义。在过去十年的个人信息侵权纠纷中，被告来自未采取自动化处理技术的传统行业的比例为25%，采取自动化处理技术的被告占比为75%。并且随着互联网发展战略在国家层面得以确立，2015年以后网络平台作为信息处理者的案件量呈上升趋势。

2.被诉主体数量不一

被告作为单一侵权行为主体的情形仅占全部案件的12%。而绝大多数案件中侵权行为的信息处理者并不唯一，其中，占比38%的案件原告虽然仅起诉一个信息处理者，但损害却是由被告及第三人共同引起的，只是因为原告限于侦查能力的欠缺，无从查证第三人，仅选择向某一信息处理者主张权利。另有约50%的案件，被告并不唯一，其为可能留存过原告个人信息的多个信息处理者。

3.被诉主体类型多样

在个人信息泄露案件中，一般存在四类被诉主体：一是信息处理者。二是直接侵权的第三人。在一些个人信息泄露案件中，经公安机关查明信息泄露是第三人所为，原告将信息处理者和直接侵权的第三人作为共同被告起诉。三是与信息处理者存在委托等合同关系进行信息处理的组织或个人。实践中因信息权利人无法确定信息由谁处理，原告将委托人和受托人等作为共同被告起诉，或者委托人申请追加受托人为共同被告。四是接入信息处理者平台的第三方应用提供者。为了完成交易，航空公司、电商平台等需要与第三方平台进行合作，在涉及第三方支付的信息泄露案件中，信息权利人往往将该支付平台作为泄露环节的责任人一并起诉。

（三）责任方式集中化

在原告选择侵权之诉的案件中，诉讼请求的主张比较相似，主要有以下几种：停止侵害，如删除个人信息；赔礼道歉、消除影响；赔偿因信息泄露遭诈骗导致的经济损失及其他费用；赔偿精神损害抚慰金。在胜诉案件中，责任承担方式以停止侵害、赔礼道歉、消除影响为主，经济损失的支持率为63%，但一般仅限于公证费与律师费，其他经济损失绝大多数案件均未支持。精神损害抚慰金的支持率为52%，支持金额基本仅为诉请主张金额的10%左右。

（四）司法态度模糊化

从样本来看，在个人信息泄露导致的侵权案件中，具体的裁判尺度并不统一。其一，侵权主观要件裁判标准不一。在被告过错的认定上，同样是信息泄露行为，不同法院采取不同的归责原则。有的案件中法院采一般过错归责原则，以原告未能举证证明被告存在过错为由直接驳回原告诉请；有的法院则采用过错推定归责原则，认为被告负有维护在其控制之下的信息安全的义务，如被告无法证明其对个人信息尽到妥善安全保护义务，即存在过错。其二，侵权客观要件裁判标准不一。在侵权事实的认定上，有的法院认为应由原告完成对侵权要件的举证，有的法院采取高度盖然性的证明标准，顾及双方当事人之间实质公平正义进行举证责任的分配。此外，法官在裁判说理上还存在没有说理、说理和结论脱节、说理不清等情况。

二、法律规范缺失下信息处理者安全保障义务的现实困境

我国规定信息处理者安全保障义务的法律规范主要包括：一是关于网络信息保护的法律和行政法规；①如《电信和互联网用户个人信息保护规定》第14条，《关于加强网络信息保护的决定》第3条和第4条，《网络安全法》第21条、第25条和第42条。二是关于消费者权益保护的法律；②如《消费者权益保护法》第29条，《电子商务法》第30条。三是《民法典》第1038条。整体而言，这些法律规范较为原则，缺少具体适用性的条文。法官在现有法律框架下借助类推适用、法益衡量等方法进行了大胆的探索，但仍存在裁判标准不一、说理不清等问题。信息处理者安全保障义务的内涵、违反义务的侵权构成要件、责任形态等具体规则的缺失，是司法实践面临的困境。

（一）信息处理者安全保障义务的内涵不明确

1.义务内容不明确

由于信息处理过程的科技性、专业性和潜在的风险性，信息处理者的安全保障义务与传统的经营场所的安全保障义务有显著的差异，故其内涵需要进行重新界定。《民法典》第1038条对于这种新型的安全保障义务的规定较为原则，该义务的具体内容以及信息处理者采取何种措施才算尽到安全保障义务等问题均未明确。理论界和实务界也缺少对于该项义务具体内容的类型化梳理，为司法实践提供裁判标准，导致法官只能采取较为笼统的表述，含糊其辞地阐述信息处理者未尽到安全保障义务而存在主观过错，影响了裁判的可接受性。

2.义务标准不明确

信息处理者安全保障义务的履行标准是指信息处理者需尽到何种程度的注意义务才能免责。在信息处理者是否尽到安全保障义务的判断标准上，主要困境在于：如何寻找到合适的法律规定作为法定标准，并对法定标准进行民事侵权构成要件话语体系下的解读；在没有法定标准的情况下，应采取何种判断标准？传统的善良管理人义务在信息处理者安全保障义务中是否适用？鉴于信息处理与传统经营环境的不同，即使适用善良管理人标准也应采用新的内涵。上述问题在立法上未予明确，理论界也鲜有研究，导致司法实践中信息处理者安全保障义务缺少合理的界限，信息处理者是否承担侵权责任的随意性变大。

（二）信息处理者违反安全保障义务的侵权行为难认定

1.归责原则之惑

在大数据时代，信息收集、保管以及其他流转，信息权利人的参与性均极弱，科技黑洞背景下普通信息权利人对于专业信息处理流程和管理制度一无所知，信息权利人举证证明信息处理者存在过错的难度极大。因此采用一般过错责任将导致信息权利人和信息处理者双方利益的失衡。《民法典》第1038条对于违反信息安全保障义务侵权的归责原则未作规定。司法实践中主要存在三种做法：一是适用一般过错责任；二是名为过错责任实为过错推定责任；三是名为过错责任实为无过错责任。理论界对于该问题也多有探讨，主要存在如下观点：一种观点是采用无过错原则；①参见程啸：《论侵害个人信息的民事责任》，载《暨南学报（哲学社会科学版）》2002年第2期。第二种观点是根据信息处理者的信息掌控能力分别适用无过错、过错推定和过错原则。②参见叶名怡：《个人信息的侵权法保护》，载《法学研究》2018年第4期。类似观点参见陈吉栋：《个人信息的侵权救济》，载《交大法学》2019年第4期。上述观点均有其合理性，但具体采何种归责原则，需要立法予以明确，以避免实践混乱。

2.因果关系之惑

在信息处理者未尽安全保障义务的侵权案件中，因果关系的证明存在两个难点：一是数据处理的各个环节中，都存在数据泄露的可能，信息权利人根本无法确定哪个环节出现了泄露，谁是真正的侵权人，即使通过公安机关介入等方式可能确定了侵权人也可能无法证明行为和损害结果之间的因果关系。针对信息泄露因果关系难以证明的问题，现有法律规范并未规定采取何种证明标准以及是否可以采取特定的推定规则来破解证明难题，以平衡信息权利人和信息处理者在证明能力上的天然不平衡。二是在第三人窃取信息并对信息权利人实施犯罪的情况下，信息权利人向第三人主张权利最为顺畅。但实践中信息权利人为了更好的获得救济，往往直接起诉更有保障的信息处理者，此时信息处理者的行为与信息权利人造成的损害之间的因果关系以及因果关系的范围如何确定，也是实践中的难题。

（三）信息处理者违反安全保障义务的责任形态不定

1.信息权利人与侵权人之间关系不确定

根据《民法典》第1038条第1、2款的规定信息处理者直接侵权和第三人介入侵权两种侵权形态。对于信息处理者直接侵权的情形，如果信息处理者为单个主体，责任形态较为清晰，但如果信息处理者是复数的情况下，信息权利人在无法确认哪个或哪几个是侵权人的情况下，权利人是否可以起诉选择其中一个或几个信息处理者作为被告主张权利，存在分歧。对于第三人介入侵权的情形，信息处理者承担的是何种责任，并不明确，实践中对于是参照适用第1198条第2款规定的经营者的补充责任，还是参照适用第1195条第2款规定的网络服务提供者的连带责任存在争议，需要明确。

2.数个侵权人之间的关系不确定

数个侵权人在信息处理者违反安全保障义务的案件中并不少见，数个侵权人的情况比较复杂，可以区分为如下类型：一是数个可能的信息控制人为共同被告，此时被告之间可能存在委托、合作等多种合同关系。如在航空旅客信息遭泄露的案件中，旅客将航空公司、票务代理公司、订票系统的技术服务公司作为共同被告要求承担侵权责任。①参见林某与四川航空公司侵权责任纠纷案，成都市中级人民法院（2015）成民终字第1634号民事判决书。二是信息控制人与其他负有安全保障义务的义务人为共同被告。如在消费者在网络平台购物后信息遭到泄露致使遭到诈骗的案件中，消费者将该网络平台、提供支付宝服务的公司作为共同被告要求承担侵权责任。②参见申瑾诉支付宝（中国）网络技术有限公司侵权责任纠纷案，北京市朝阳区人民法院（2018）京0105民初36658号民事判决书。三是信息控制人与实施直接侵权的第三人为共同被告。在上述三种情形下，数个侵权人之间的责任如何分配，有无追偿权等问题，都不无疑惑。

（四）信息处理者违反安全保障义务的责任形式存疑

1.精神损害赔偿的适用存疑

《民法典》第1183条继续沿用了《关于精神损害赔偿的司法解释》第8条的规定，将精神损害赔偿的条件限定为造成“严重精神损害”的情形。但个人信息发生泄露、篡改、丢失等侵权行为，其损害后果具有滞后性和潜在不确定性，如果一律要求证明已造成“严重精神损害”，往往有失公允，因此对于精神损害赔偿的条件如何解读，有待进一步研究。在精神损害赔偿的金额方面，司法实践中呈现出欠缺说理，随意性大等问题，应进一步完善规则。

2.财产损害赔偿的适用存疑

财产损害赔偿的请求在信息处理者违反安全保障义务的案件中较为常见，但该请求得到支持的比例较低，就其原因在于：一则个人信息侵权的损害后果很难衡量，很多为信息泄露后导致名誉、信用受损的间接损失，这些间接损失能否获赔不无争议；二则个人信息遭到泄露的情况下很难找到直接侵权人，即使找到直接侵权人其获取个人信息也并非为了获利或者已经获利，故在权利人遭受的损失无法确定，侵权人的获利也无法确定的情况下，法院如何酌定赔偿金额，成为司法实践中适用法律的一个难题。

三、信息处理者安全保障义务司法适用规则的完善建议

（一）内涵完善：二元义务内容的框定

1.信息处理者安全保障义务的内容

图1 信息处理者安全保障义务的内容展示

《民法典》第1038条第1、2款分别规定了信息处理者安全保障义务的两个大的类型，一是处理者不得通过积极行为侵犯个人信息，此为禁止性义务；二是处理者应采取适当措施保护个人信息安全，此系强制性义务，旨在防止处理者消极不作为侵犯个人信息权。强制性义务包括三方面内容：（1）技术安全义务。信息处理者应当采取技术措施防止个人信息被篡改、泄露或丢失。（2）管理安全义务。除技术性措施外，信息处理者负有管理安全义务，强化内部制度与流程管理，防止个人信息安全事件。（3）事后补救义务。信息处理者的补救义务分为两方面：应急处置义务和告知、报告义务。①根据《信息安全技术个人信息安全规范》第10.1条，在应急处置义务方面，信息处理者应记录事件的内容、评估事件可能造成的影响，并采取必要措施控制事态，消除隐患。在报告义务方面，信息处理者需将泄漏或丢失的个人信息的总体情况，事件可能造成的影响，已采取或将要采取的处置措施等报告主管部门，防止损失的进一步扩大。在告知义务方面，信息处理者应及时将事件相关情况告知受影响的个人信息主体，难以逐一告知个人信息主体时，应采取合理、有效的方式发布与公众有关的警示信息。告知的内容应包含安全事件的内容和影响、已采取或将要采取的处置措施、个人信息主体自主防范和降低风险的建议等。GDPR第4章同样对处理者的安全保护义务予以体系化规范，重点包括安全处理、数据泄露的告知报告义务、处理记录义务等，由此形成了事前、事中、事后的全方位义务体系。对于上述义务的具体内涵，需要结合《网络安全法》《电信和互联网用户个人信息保护规定》《儿童个人信息网络保护规定》等相关法律规范和《信息安全技术个人信息安全规范》等行业标准予以确定。①GDPR第4章同样对处理者的安全保护义务予以体系化规范，重点包括安全处理、数据泄露的告知报告义务、处理记录义务等，由此形成了事前、事中、事后的全方位义务体系。

2.信息处理安全保障义务的标准

信息处理安全保障义务的具体标准，首先应依据法律、法规予以确定；若无相应法律、法规，则可依行业规范、国家标准等充实义务内涵；在法律、法规、行业规范、国家标准缺位的情况下，可以通过指导性案例、公报案例方式丰富义务的内容。在个案中，应根据善良管理人的注意标准为信息处理者的行为自由划定边界。具体而言，即根据个人信息处理者采取防范措施所负担的成本与个人信息受到侵害的危险及严重性程度，确定信息处理者采取的措施是否尽到安全保障义务。

（二）构成要件完善：差别化要件体系的构建

1.主观要件：过错推定原则的确立②主观构成要件仅针对侵犯个人信息的损害赔偿责任，对于赔礼道歉、消除影响、恢复名誉等人格权请求权，不以主观过错为构成要件。

对于信息处理者的主观要件，司法实践和学理上存在不同的判断路径。③参见刁胜先：《论个人信息网络侵权责任多元归责原则之确立基础》，载《重庆邮电大学学报》2015年第3期；叶名怡：《个人信息的侵权法保护》，载《法学研究》2018年第4期；德国《联邦数据保护法》第83条；我国台湾地区“个人资料保护法”第28、29条。笔者认为，过错推定是较为合理的归责原则。首先，权利人无法知晓和掌控信息处理过程。因此，坚持过错责任无异于剥夺了受害人获得救济的权利。其次，无过错责任虽然利于个人信息权保护，但开放与共享是数字社会的必然要求，采用无过错责任会极大增加信息处理者的运营成本，阻碍数据的流通与利用。其三，以是否运用自动化处理技术为区分标准构建多元归责体系，看似能够平衡信息主体与信息处理者的利益，但在实际效果上限制了个人信息权的救济。因为自动化处理技术外延并不清晰，且被害人需对是否采用自动化处理技术进行证明，这与填补损害的现代归责原则相悖离。④参见彭诚信：《民事责任现代归责原则的确立》，载《法制与社会发展》2001年第2期。其四，过错推定根据个人信息的控制事实，一方面免去了加害人对过错的证明负担，增加其获得救济的可能；另一方面给与信息处理者自证清白的机会，缓和了双方在信息控制能力上失衡。⑤在比较法上GDPR也采取相同的态度，其第5条第2款规定，数据控制者应当对第5条第1款（其中包含保护个人信息完整性和保密性义务等，笔者注）的落实情况承担责任并予以证明。

2.客观要件：独立因果关系的构建

依侵权法通说，若因第三人介入引发异常风险，因果关系将发生中断，第三人是确定且唯一的侵权主体。⑥参见史尚宽：《债法总论》，中国政法大学出版社2000年版，第171-172页。然而从引致损害的原因力而言，信息处理者未尽安全保障义务开启了信息不当利用的风险，为直接侵权行为提供了行动前提、贡献了原因力。从责任的合理分配而言，直接侵权人往往难以查明，即使查明也未必拥有充分的责任能力，判断责任归属不宜固守直接参与者的教条，而需在更广泛的社会关系上对损害配置进行考察。因此，针对个人信息的新型侵权，即使第三人介入是损害发生的直接原因，也不应阻断信息处理与损害结果之间的因果关系，信息处理者仍需在相应范围内承担责任。

3.证明责任和标准：利益平衡原则下的分配

根据承担责任类型的不同，证明责任的分配也大相径庭。若信息权利人主张停止侵害、赔礼道歉等人格权请求权，其仅需对存在加害行为承担证明责任。若信息权利人主张侵权损害赔偿，过错推定仅解决过错要件的证明责任归属，信息权利人仍需对损害结果和因果关系负有证明责任。实践中，因信息处理具有高度复杂性和隐蔽性，信息主体在技术、人力等资源方面的有限性，信息主体在诉讼中的证明能力明显不足，这也正是目前侵权案件多发而维权艰难的最主要原因。因此，在证明标准上应采高度可能性标准，以平衡双方的证明能力。高度盖然性内涵的确定应考量以下诸要素；（1）信息处理者控制个人信息的范围与程度；（2）其他主体掌握和泄露个人信息的可能性，（3）信息处理者履行安全保障义务的过往记录，如信息处理者曾被媒体报道或被主管部门警告、处罚，其泄露信息的可能性更高。

（三）侵权责任完善：复合性责任形态的构筑

1.直接侵权情形下的责任形态

信息处理者承担直接侵权责任的情形包含以下四类。其一，信息处理者擅自泄露或篡改其收集、储存的个人信息；其二，处理者未经同意，向他人非法提供个人信息；其三，因信息处理者未尽安全保障义务，个人信息遭泄露、篡改或丢失，但未被第三人不法利用。在前两种情形下，信息处理者应根据《民法典》第1038条第1款承担直接侵权责任，在第三种情形，信息处理者应依《民法典》第1038条第2款承担直接侵权责任。实践中，除前述三种情形外，还存在第三人利用被泄露的个人信息侵害信息主体，但无法查明第三人具体身份的情形。信息处理行为引发了个人信息被不当利用的风险，安全事件的发生悖离了信息主体的正常期待，导致的损害结果具有不可容忍性，因此同样属于直接侵权形态。在直接侵权的情形，因缺乏明确的第三人介入，信息处理者应对因果关系范围内的损害承担全部的赔偿责任。

2.第三人介入侵权情形下的责任形态

第三人利用信息处理者未尽安全保障义务所产生的技术和管理漏洞，实施侵犯个人信息的行为，构成了“第三人介入＋处理者未尽保障义务”的侵权类型，对此存在两种处理意见：一是《民法典》第1197条的连带责任模式；二是《民法典》第1198条的补充责任模式。①参见解正山：《数据泄露损害问题研究》，载《清华法学》2020年第4期；高争志：《侵权责任视角下的个人信息安全保障义务探究》，载《重庆邮电大学学报》2020年第1期。笔者认为，后者更为契合信息安全保障义务的规范特征。现实中信息处理者往往处于提供信息处理服务的消极中立地位，与直接侵权人之间缺少共同加害行为的主观可责性。因此，信息处理者与直接侵权人间不宜承担连带责任。对信息处理者科以补充责任，维护了信息主体的救济权，其可要求具有直接因果关系的侵权人承担全部责任，也可要求信息处理者承担相应责任。同时，补充责任亦不会过分“纵容”信息处理者，因为处理者面临承担责任的风险，其事实上无法期待直接侵权人有清偿能力而怠于履行义务，仍会积极履行安全保障义务以避免损害发生。在责任范围上，信息处理者应承担相应的补充责任，即通过对过错程度的考量来确定责任大小。在责任顺位上，信息处理者承担“补充”责任，仅须在直接侵权人先行承担责任后，对于其无力承担部分再行补充承担，并可向直接侵权人追偿。

3.复数侵权主体的责任形态

（1）复数信息处理者之间的责任形态。因为个人信息的处理具有高度复杂性、协同性，权利人对个人信息的处理缺乏相应的认知、控制能力，要求其查明各信息处理者与损害的因果关系不免“强人所难”。②参见徐明：《大数据时代的隐私危机及其侵权法应对》，载《中国法学》2017年第1期。当复数信息处理者均存在侵犯个人信息的可能性，且无法确定具体侵权主体时，构成了择一因果关系，③参见王泽鉴：《侵权行为》，北京大学出版社2009年版，第189页。应适用《民法典》第1170条由复数信息处理者承担共同危险的连带责任。④在域外立法例上，GDPR第82条第4款和《德国联邦数据保护法》第83条第3款也采用了相同的调整方式。信息主体可以起诉数个信息处理者之一，也可以将全部信息处理者作为共同被告。信息处理者唯有举证确定实际侵权人，才能免除责任。

（2）信息处理者与其他侵权人之间的责任。信息处理者与其他侵权人之间的责任形态，应根据其他侵权人的身份予以区分：

其一，信息处理者允许第三方应用接入平台，因第三方应用原因引发信息安全事件。自信息主体而言，其因信赖信息处理者恪尽安全保障义务，授权同意第三方平台获取个人信息，处理者的谨慎义务也随之相应提高。信息处理者应通过服务协议、平台规则，明确接入的第三方应用所负担的安全保障义务，并负有持续监督、加强安全管理的责任。第三方应用发生安全事件造成用户损失，未尽监督义务的信息处理者应与第三方应用承担连带责任。由于两者承担连带责任基于不同的法律原因，仅因法律关系偶然竞合所致，系不真正连带责任，承担责任的信息处理者有权向第三方应用追偿。

其二，信息处理者委托第三方处理个人信息，因第三方原因引发信息安全事件。第三方并非信息处理者的雇员，而系基于委托法律关系独立于信息处理者的主体。在认定侵权责任时，应区分不同的情况：一是受托第三方单独实施侵害他人个人信息的侵权行为，信息处理者对受托第三方不存在指示、帮助等行为的，应由受托第三方承担侵权责任；①违法行为不得适用代理，违法行为之法律效果，不由当事人意思决定，而是基于法律直接规定而发生。即使违法行为人表示系代理他人为之，甚至该他人承认是其授意行为人为之，亦不能免除行为人的法律责任。参见梁慧星：《民法总论》，法律出版社2001年版，第251页。二是信息处理者与受托第三方存在侵害他人个人信息的共同故意的，虽然由受托第三方直接实施侵权行为，信息处理者和受托第三方也应作为共同侵权人，连带承担侵权责任；三是信息处理者知道或应当知道受托第三方的行为违法未表示反对的，根据《民法典》第167条的规定，信息处理者和受托第三方应当承担连带责任。

（四）责任方式完善：损害赔偿责任的厘清

1.精神损害赔偿的司法适用

（1）“造成严重精神损害”的适用。信息处理者违反安全保障义务的同时若造成生命权、名誉权、隐私权的严重侵害，通常会发生精神损害赔偿问题。在单纯侵犯个人信息且未造成其他人身权益侵害的情形下，因精神损害赔偿以“严重精神损害”为要件，信息主体因无法证明损害的严重性而难以获得赔偿。但个人信息与人格尊严、自由密切相关，信息泄露或丢失所引发的精神损害具有隐蔽性和长期潜在性，信息主体可能在很长一段时期内受到精神困扰。基于个人信息侵权的特殊性，对于“严重精神损害”应采取主观认定标准，即根据个人信息侵权通常是否足以导致普通人的精神利益严重受损，以此降低精神损害赔偿门槛。②在域外立法例上，GDPR第82条第1款、《德国数据保护法》第83条第2款、我国台湾地区“个人资料保护法”第28条第3款并不以“严重精神损害”作为精神损害赔偿的要件，在信息主体无法举证损害大小时，法院得酌定精神损害赔偿数额。

（2）赔偿数额的动态考量。对于精神损害赔偿数额的确定，应当考量不同要素予以综合判断，包括个人信息的识别可能性以及与人格尊严、自由的密切程度，信息处理者的过错程度，个人信息的传播范围，信息主体人格权遭受损害的具体场合及情节，信息处理者是否因此获利，信息处理者的经济能力等。精神损害赔偿数额并无固定标准，为实现手段灵活性与裁判稳定性之间的平衡，可通过指导性案例或公报案例的方式，对损害赔偿数额予以具体化。

2.财产损害赔偿的赔偿范围

（1）损失范围的确定：间接损失的可赔性。信息处理者违反安全保障义务产生的财产损失，不仅包括直接损失，还包含间接损失。间接损失主要是指信息主体因个人信息泄露、篡改等事实，导致其社会评价下降或信用降低，使其本可获得的利益无法获得。例如，因个人信息被非法篡改导致信息主体的贷款未获审批。间接损失的范围并非毫无限制，只有根据事物通常的发展进程信息主体可以取得的利益，才属于间接损失的范围。①参见程啸：《侵权责任法》，法律出版社2015年版，第702页。若间接损失本就不确定或不合法，则不能获得救济。

（2）赔偿数额的确定：“酌定”的考量因素。在部分案件中，信息主体受到的财产损失较易确定，如第三人利用泄露的个人信息对受害人实施诈骗；但在部分案件中，信息主体并没有实际的财产损失或财产损失数额难以证明。根据《民法典》第1182条、《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》第17、18条，信息主体可以信息处理者所获利益作为赔偿范围；若信息主体既难以证明所受财产损失，又无法确定信息处理者所获得利益，则由人民法院酌定赔偿数额。“酌定”的考量因素主要包括个人信息内容以及与财产损失的关联性，信息处理者的主观过错程度、个人信息泄露的严重程度和传播范围。

3.惩罚性赔偿的探索适用

个人信息若遭大规模篡改、丢失、泄露，将会在长时期内对信息主体的民事权益造成难以估量的潜在危险，为了加强对信息主体的保护，在个人信息侵权领域可引入惩罚性赔偿制度。其一方面可以有效防止侵权行为的再次发生，敦促信息处理者履行安全保障义务；另一方面可强化信息主体行使权利的内在动力，起到维权的激励作用，从而弥补损害赔偿制度在惩罚、遏制功能方面的不足。在适用条件上，惩罚性赔偿只能针对主观恶性较重的侵权行为，在赔偿金额上，作为损害赔偿的“例外”，惩罚性赔偿不依信息主体的实际损失而定，而是根据信息处理者的主观可责性程度、不法获利数额、赔偿能力等因素而定。