王益强

目 次

一、问题的提出

二、现有数据侵权损害认定方案的检视与反思

三、裁判视角下数据侵权损害的确定及其类型

四、数据侵权损害的认定规则构建

五、结语

一、问题的提出

大数据时代，数据收集与处理具有全时空性，数据因而常成为被侵权的对象，违规进行数据收集与处理的情况尤其多发。〔1〕《国家互联网信息办公室有关负责人就对滴滴全球股份有限公司依法作出网络安全审查相关行政处罚的决定答记者问》，来源：http://www.cac.gov.cn/2022-07/21/c_1660021534364976.htm，2022 年8 月11 日访问。一旦涉诉，如何确定损害赔偿的金额无疑是核心问题。《个人信息保护法》第69 条第2 款以“损失”和“利益”为计算损害赔偿的根据，该规则遵循传统的损害认定标准，要求信息主体举证证明自己遭受实质性损害。此外，依《数据安全法》第52 条第1 款，违反规定给他人造成损害的，侵权人应依法承担民事责任，该规则也强调民事责任的承担应以损害为前提。由此可见，数据被侵害时，不论采取何种保护路径，“损害”均系救济型侵权责任的共同要件。

传统的侵权责任认定要求损害确定且现实化，能在司法裁判中予以明确。但在数据侵权领域，损害的认定常存在困难。从逻辑上说，数据侵权的损害为数据主体就其财产、人身或相应权益所遭受的不利益，是假设未发生损害的利益状态与实际利益状态之间的差额。但在实践层面，数据侵权的特殊性造成损害认定困难。首先，数据侵权的损害具有较大的不确定性和未来性。在数据受到侵害时，除所造成的财产或精神损害可以依照差额说进行认定外，其他伴有无形性和潜伏性特点的损害难以被认定。其次，数据侵权往往会衍生很多新型损害，数据本身的无形性使这些新型损害难以通过传统的损害认定规则准确认定。最后，由于受害人并不具备算法技术，其在诉讼中很难充分举证证明实质性损害。基于上述原因，司法实践中对数据主体权益的救济和保护并不充分。

为解决上述难题，学理上提出了多种损害认定模式。但统一固定的模式在适用时常不尽如人意，主要缺陷为认定方式脱离实际，未从司法裁判出发，未能完全考虑数据与数据侵权的特殊性。因传统的损害认定规则与数据侵权具体实际不能完全契合，损害识别易出现纰漏，难以实现数据权益的充分保护。本文的主要任务是在梳理现有认定模式的基础上，考察司法实践中数据侵权损害的不同类型，并以此为根据，建构数据侵权损害认定的具体规则。进而结合数据的特点及数据侵权的未来性和不确定性，对数据侵权的“损害”进行科学认定，以应对大数据时代的数据侵权形势，实现数据保护与数据产业发展之协调。

二、现有数据侵权损害认定方案的检视与反思

（一）认定数据侵权损害的现有方案

学者们在反思传统侵权法损害概念的基础上，借鉴比较法并考察现行立法，提出了三种较有代表性的观点：数据性质区分说、风险作为损害说和动态系统评价说。

数据性质区分说认为，认定损害应区分秘密数据和敏感数据。以数据泄露为例，秘密数据泄露适用隐私权侵权的规定。若秘密数据泄露导致下游损害，下游损害吸收了数据泄露本身所造成的权益损害的，数据侵权者对权益损害依照一般侵权规则承担责任。敏感数据泄露较为特殊，即使尚未造成下游损害，受害人也可以请求赔偿所造成的精神损害和风险损害，包括为预防损害而支出的费用。判断数据收集、处理者是否对损害承担责任时，数据类型和下游损害是确定责任的重要因素。〔2〕参见谢鸿飞：《个人信息处理者对信息侵权下游损害的侵权责任》，载《法律适用》2022 年第1 期，第23 页。

风险作为损害说认为，为适应风险社会和大数据时代，应对损害概念进行扩张和革新，将风险作为数据侵权的损害，并支持预期侵权制度。〔3〕参见谢鸿飞：《个人信息泄露侵权责任构成中的“损害”——兼论风险社会中损害的观念化》，载《国家检察官学院学报》2021 年第5 期，第35 页。该说具体内容包括三方面：一是损害范围扩张，考虑损害概念从宽解释和精神损害的程度要求，将未来损害风险和焦虑作为新型损害类型。〔4〕参见解正山：《数据泄露损害问题研究》，载《清华法学》2020 年第4 期，第142-147 页。损害确定性并不要求损害已经发生，实质性的将来损害风险也符合确定性的要求，但应排除过于遥远的风险；二是风险界定，风险作为损害的认定应坚持差额说，利益差额主要体现为暴露所带来的风险升高、预防风险的支出及风险所带来的焦虑三类；三是具体认定方式，应将损害风险的认定在个案中交由司法裁判者，以场景化为基本进路，综合数据的类型、处理方式等要素进行判断。〔5〕参见田野：《风险作为损害：大数据时代侵权损害概念的革新》，载《政治与法律》2021 年第10 期，第36-38 页。

动态系统评价说认为，数据侵权损害的认定应从损害本体论向动态系统论推进，以规范损害说修正差额说，以动态系统的评价方式认定数据侵权损害，同时将风险纳入损害范畴。具体个案中认定损害时，由裁判者参照利益权衡的考量因素，通过动态体系评价的方法确定。至于具体的考量因素，有的观点主张包括被侵害的数据类型、风险发生的盖然性、风险可能导致的危害及其影响范围，〔6〕参见朱晓峰、夏爽：《论个人信息侵权中的损害》，载《财经法学》2022 年第4 期，第63-65 页。有的观点认为应通过职业、行为目的、行为方式、行为影响及私密性程度，建立多元化和层次性的数据侵权损害认定体系。〔7〕参见张建文、时诚：《个人信息的新型侵权形态及其救济》，载《法学杂志》2021 年第4 期，第42-43 页。

（二）对现有认定方案的评价

数据性质区分说将数据区分为秘密数据和敏感数据，为不同数据类型设定损害认定规则，但该观点值得商榷。一方面，“秘密—敏感”的数据类型划分并不符合司法裁判现状，实践中多采用“秘密—普通—合法公开”的界分方式。另一方面，将预防损害的支出纳入损害范畴值得肯定，但应与为维护权益的支出相区分。〔8〕参见李昊：《个人信息侵权责任的规范构造》，载《广东社会科学》2022 年第1 期，第258 页。在数据侵权领域，损害赔偿同时具有补偿和预防功能，〔9〕Vgl.Hartmut Oetker, in: Münchener Kommentar BGB, Band 2, 9.Aufl., 2022,§249 Rn.8-9.例如依照《德国联邦数据保护法》第83 条，数据主体遭受的金钱损失得到补偿，违反数据保护规定的行为受到制裁，进一步的违反行为得到防止，并对采取保护措施产生激励作用。〔10〕Vgl.Quaas, in: Beck Datenschutzrecht Kommentar, 41.Aufl., 2021,§83, Rn.5-7.3.在侵害人格领域，司法裁判也特别重视损害赔偿的预防作用。〔11〕Vgl.BGH NJW 1995, 861 （865）.BGH NJW 1996, 984 （985）.虽然为维护权益的支出与为预防损害的支出都可作为财产损害得到赔偿，但两者所体现的价值和发挥的功能不同，前者体现为损害填补，后者体现为损害预防。

风险作为损害说适应风险社会和大数据时代数据侵权的实际。作为现代化和科学技术进步的产物，风险社会中的风险具有人为性特征。〔12〕参见刘水林：《风险社会大规模损害责任法的范式重构——从侵权赔偿到成本分担》，载《法学研究》2014 年第3 期，第110 页。风险社会中制度设计的主要任务是风险分配与损害救济。数据侵权损害赔偿制度除了规范数据处理者的行为，还需分配风险。数据处理者从收集和处理行为中获益的同时，还制造了风险，其更有能力控制、分散和降低风险，由其承担风险责任更为妥当。将符合一定条件的风险纳入损害范畴，数据主体的权益将得到充分保护。〔13〕参见田野：《风险作为损害：大数据时代侵权损害概念的革新》，载《政治与法律》2021 年第10 期，第307 页。然而，这也可能导致损害的内涵更加模糊，增加适用的难度。风险并非法律概念，未经法律规范明确界定，在范围认定上带来新的难题：“将来损害的风险”毕竟不等同于现实损害，存在一定的发生概率，也不是所有风险均会导致实际损害，如不会导致实际损害自不应纳入损害范畴。此外，风险作为损害实际上并未减轻证明责任的负担。被侵害人不仅要证明侵权行为与损害之间的因果关系，还要证明风险与损害之间的因果关系，即使采用“社会一般认识”标准，此证明也殊为困难。由此，风险作为损害的认定规则需要进一步细化，明确标准，排除无关情形。

动态系统评价说从数据侵权损害领域提取某些要素，根据要素的满足度和凑整程度进行法律效果评价。法律效果的说明和正当化依赖要素数量和强度以及利益衡量的协动作用。损害认定存在困难时，这不失为一种较好的解决方案。学者们提取的认定要素虽有差异，但总体集中于被侵害的数据类型、范围等方面。动态系统评价舍弃固定的构成要件，赋予法官选择判断要素时的裁量权，法律效果会随选定要素的强度而浮动。〔14〕参见解亘、班天可：《被误解和高估的动态体系论》，载《法学研究》2017 年第2 期，第54 页。但因裁判者拥有极大的权限，选定的要素具有不确定性，基础评价原则也存在不确定性，结果便是对损害的认定可能会因标准不同而出现结果的偏差。

上述关于数据侵权损害认定的各学说并不完全独立，而是互相包含。首先，这些学说均承认将风险纳入损害的范畴，原因在于数据侵权除了造成现实损害，也极有可能造成后续损害。对这种将来损害的风险，法律应当积极应对，将风险纳入损害的范畴便是妥当的。其次，这些学说或多或少，或明确表示，或暗含动态系统评价的观点。动态系统评价无疑在克服概念法学的僵化、避免法官恣意裁判方面具有自身优势。风险作为损害说和数据性质区分说对损害的认定，实际上也体现动态系统评价的思想，都有明确的认定要素和评价原则，只是在要素和原则的选取方面存在差别。最后，数据侵权的本质，究竟是损害个人数据本身还是个人人格权、财产权，这一问题值得思考。

（三）认定数据侵权损害的要点

1.扩张数据侵权损害的范围

损害是指利益的任何损失，即财产或其他法益所受的不利益。〔15〕Vgl.Nils Jansen, in: Historisch-kritischer Kommentar BGB, Band 2, 2007,§255 Rn.38.根据差额说，损害事件发生前后的利益状态不一致，两者之间的差额被视为损害。从差额角度理解损害，不仅旨在明确是否存在损害，也旨在确定损害赔偿的数额。损害是一个功能性概念，应当在具体的适用范围内理解。理解数据损害时，关键在于确定法律上被认可的、应予赔偿的程度，也就是被承认的损害的范围。

在数据侵权情形下，损害的范围应予以扩张。虽然《数据安全法》和《个人信息保护法》未就损害的范围做出特别规定，但学理上对于损害范围扩张的方案多有讨论。有观点主张侵权本身就是损害；〔16〕See Maxwell E.Loos, “Exposure as Distortion: Deciphering Substantial Injury for FTC Data Security Actions”, 87 George Washington Law Review Arguendo 42, 42 （2019）.有观点主张将数据侵权所造成的损害风险升高理解为损害；〔17〕See Jennifer Wilt, “Cancelled Credit Cards: Substantial Risk of Future Injury as a Basis for Standing in Data Breach Cases”, 71 SMU Law Review 615, 615 （2018）.有观点主张应当推定无形损害存在，将期待利益纳入经济损害的范围，并扩大人身损害的范围；〔18〕参见徐明：《大数据时代的隐私危机及其侵权法应对》，载《中国法学》2017 年第1 期，第145-146 页。还有观点主张对新型损害采取部分认可的立场。〔19〕参见叶名怡：《个人信息的侵权法保护》，载《法学研究》2018 年第4 期，第88 页。总之，对损害要件采宽松解释，已逐渐成为大数据时代数据侵权损害认定的趋势。

损害范围扩张主要体现在损害内容的扩张以及损害要件的宽松解释。针对数据侵权，首先，应将后续损害的风险和预防风险支出的费用纳入损害。数据侵权往往具有损害再发生的风险，如果该风险与侵权行为关系紧密，且必将现实化为损害，则应被纳入损害的范畴。如果后续损害的风险能够满足实质性标准，也应当支持数据主体损害预防费用的偿还请求。其次，应对损害要件作宽泛理解，存疑时应作广义解释。欧盟《通用数据保护条例》（GDPR）第82 条第1 款对存疑时作广义解释的精神，较旧版第7 条是一个重大创新，〔20〕Vgl.Mattihas Bergt, in: Kühling/Buchner Kommentar DS-GVO, 3.Aufl., 2020,§82, Rn.17.既满足GDPR 的立法目标，也符合序言第146 条第3 句“损害概念应按照立法目标进行广义解释”的规定。再次，损害应包括物质性损害和精神性损害。比较法上，欧盟理事会第2016/680 号指令第56 条要求成员国对物质和精神损害的赔偿作出平等规定，《德国联邦数据保护法》第83 条也规定“数据主体可以就非财产损害要求充分的金钱赔偿”。最后，损害赔偿的数额也应扩张。例如，《德国联邦数据保护法》第83 条规定的损害赔偿不再限制赔偿金额，〔21〕Vgl.Peter Gola, in: Gola/Heckmann Kommentar BDSG, 13.Aufl., 2019,§83, Rn.9.精神损害赔偿也不再以自动数据处理造成损害为条件。

在损害范围扩张的前提下，关于精神损害及其他新型损害的认定，许多问题仍需思考，如“精神损害是否必须达到实质性门槛？轻微损害是否应被赔偿？数据泄露本身或不安的感受是否为损害？”换言之，既然扩张了损害的范围，那么在损害认定过程中，是否还要坚持确定性标准？

2.损害认定坚持确定性标准

（1）损害确定性在数据侵权认定中的困境

侵权责任须以确定的损害为前提，损害确定性包括具体性和特定性。具体性要求损害现实化，而非停留在被侵害人的主观感受或尚未表现的利益减损。特定性要求包含两方面：一方面表现为已经发生的客观损害事实，即业已出现的数据主体利益的真实减少；另一方面表现为有充分证据证明后续肯定会发生的事实。现实侵害的损害易确定，但未发生现实损害时，因存在数据内容和法律保护范围的不确定性、损害的无形性和潜伏性，数据侵权损害的认定面临挑战。

第一，因数据内容和保护范围不确定，损害确定性要求在数据侵权场合难以满足。首先，数据的内容未完全明确。异于财产、身体等有形民事权益，数据以电子形式为常态，不具备有形形态，可能包含财产权益和身份权益的内容，这些内容存在不确定性和模糊性。其次，数据保护的范围亦未完全明确。编码信息意义上的数据显然不应该被定性为物理物体，〔22〕Vgl.Herbert Zech, Information als Schutzgegenstand, 2012, S.326 あ.无法像有形物一样确定具体的保护范围。在数据侵权场合，被侵害的数据内容和范围均不明晰，难以确定损害。

第二，损害的无形性和潜伏性特征，使“将来确定会发生”要求也难以满足。不同于侵害财产权或物质性人格权造成的有形性损害，数据侵权造成的损害通常是无形的，具有隐蔽性，难以被确定。也不同于已经发生的现实损害，数据侵权往往伴随后续损害的潜在威胁，这种潜在威胁是否属于损害也存在疑问。大数据时代，数据被以惊人的频次和数量处理，数据共享更是将数据流通的范围进一步扩大。数据被侵害后流向何方，被何方获得，获得后如何使用，会给数据主体造成何种损害，都是未知的。由于数据损害的无形性、潜伏性，后续损害的风险很可能只是推测，不必然成为现实，这也导致损害难以认定。

（2）损害确定性标准的坚持

数据侵权的特殊性和损害范围的扩大，给损害认定的确定性标准带来冲击，但若损害认定标准过于随意，数据处理者将对更多的损害负责，负担过重，有失公允。考虑到数据主体权益保护与数据产业发展的平衡，必须坚持将确定性作为损害认定的标准。确定性标准将在两个方面发挥作用：其一，要将后续损害的风险认定为损害，必须有将来发生损害的必然性。虽然后续损害的风险具有无形性，但仍有部分风险可满足损害“具体而特定”的要求。其二，精神损害认定时，确定性标准要求被侵权人的精神痛苦实际存在，即依照一般观念，数据侵权行为对数据主体的精神权益造成实质性损害，而非被夸大的主观臆想。

数据侵权损害的认定坚持确定性标准，几乎是比较法上的通行做法。德国法要求数据侵权中的损害应实际发生。欧盟GDPR 序言第146 条要求损害必须是数据主体所实际遭受的，而非仅是内心所担心的。可得充分有效赔偿的是遭受的实际损害，单纯的不便或微不足道的损害应予以排除。〔23〕Vgl.Susanne Klein, Immaterieller Schadensersatz nach der DS-GVO, GRUR-Prax 2020, S.434.美国法上，确定性标准表述为“事实上的损害”（injury in fact），原告须证明其遭受了“受法律保护利益的侵害”，这种侵害是“具体和特定的”（concrete and particularized），是“实际或迫在眉睫的”（actual or imminent），而非“猜想或假设的”（conjectural or hypothetical）。〔24〕See Friends of the Earth, Inc.v.Laidlaw Environmental Services （TOC）, Inc., 528 U.S.167, 180-181 （2000）.

事实上，虽然存在诸多困难，但在数据侵权损害认定中坚持确定性标准并非毫无支撑。一方面，数据的内容和法律保护的范围日臻明确。《数据安全法》《个人信息保护法》等数据保护规范的目的在于加强个人对其数据的权利，数据主体在某些条件下可以使用、纠正、限制处理、删除和转让其数据，此种权利接近于绝对地位。〔25〕See Duch-Brown/Martens/Mueller-Langer, “The Economics of Ownership, Access and Trade in Digital Data”, JRC Digital Economy Working Paper, 2017, p.17.在保护范围上，损害赔偿责任的重点正在从对物质的保护转向对数据使用和实用价值的保护。另一方面，数据损害的无形性、潜伏性也在一定程度上得到克服。数据本身虽具有无形性，但也在法律规范中被规定了大致的轮廓。随着技术进步，数据侵权可能造成何种损害，甚至损害的程度，都将在一定程度上被确定。判断无形的、潜伏的损害能否满足“将来确定会发生”的要求，在处理过众多类似案件后，司法实践也会有经验可循。

三、裁判视角下数据侵权损害的确定及其类型

以“数据”“个人信息”“损害”等为关键词，检索数据库与中国裁判文书网的裁判案例并进行类案分析，概括出司法实践中数据侵权损害的基本类型包括后续损害的风险、精神损害及社会评价降低，而数据泄露应被认定为数据侵害方式。

（一）后续损害的风险作为损害

1.后续损害风险的裁判现状

数据侵权常会导致后续损害，也就伴有发生后续损害的风险。后续损害是滞后发生的其他损害，区别于直接现实损害。司法裁判中，数据侵权的后续损害包括以侵害隐私权为代表的侵害精神权益类型和以电信诈骗为代表的侵害财产权益类型。侵害精神权益包括侵害隐私权，例如传播裸照或不雅视频、〔26〕参见上海市第二中级人民法院（2010）沪二中民一（民）终字第1593 号民事判决书。发送垃圾短信或邮件，〔27〕参见贵州省毕节市中级人民法院（2020）黔05 民终3113 号民事判决书。电话、短信骚扰等情形；〔28〕参见山东省淄博市临淄区人民法院（2014）临民初字第2429 号民事判决书。以及侵害其他人格权，例如造成名誉权后续侵害，〔29〕参见北京市朝阳区人民法院（2008）朝民初字第29276 号民事判决书。侵害个人信息权等情形。〔30〕参见北京市门头沟区人民法院（2017）京0109 民初4611 号民事判决书。侵害财产权益在司法实践中最常见的表现为数据侵权导致的后续电信诈骗，数量上几乎占后续损害请求总数的一半。

后续损害风险作为损害的难点在于：首先，后续损害是否会发生不得而知。获得数据的动机是未知的，持有和使用这些数据的目的也均不明确，如果数据主体尚未因此遭受欺诈，也就无法预测损害是否会发生。其次，证明损害“肯定即将发生”具有挑战。传统的损害赔偿制度要求损害是直观或既得的，或迫在眉睫的，这种理解可追溯到普通法早期，〔31〕See Gregory C.Keating, “The Priority of Respect Over Repair”, 18 Legal Theory 293, 294 （2012）.并成为司法实践的通行标准。但在数据侵权领域，部分损害既未立即发生，也无法确认其肯定会发生，损害发生的时间有时甚至会超过数据侵权的诉讼时效期间。最后，后续损害的发生，以及后续损害与数据侵权行为之间的因果关系难以证明。

2.风险作为损害的必要性

在大数据时代，数据后续损害的风险具有特殊性：第一，某些数据一旦受侵害，造成的损失无可挽回。例如，侵害隐私权的后果不可逆转，因而涉及个人隐私的数据一经泄露便无法救济或者弥补。第二，由于损害的潜伏性，预测损害何时何地发生的难度较大。例如，账号、密码等敏感信息被泄露时，财产诈骗是否会发生、损害后果如何均无法预测。第三，数据的传播范围广、速度快，尤其是数据共享显著提高了后续损害的发生概率。基于上述特性，法律若对后续损害的风险置之不理，坐等损害实际发生后再救济，既无法实现保护数据主体合法权益的功能，还会凸显权益救济的滞后性。对于后续损害最有效的规制路径应是将其纳入损害赔偿的范畴，通过侵权责任机制，将风险转移由数据处理者最终承担。这样可以救济数据主体的权益，也能督促数据处理者采取措施，防范数据侵权后续损害的发生。

3.风险作为损害的可能性

后续损害的风险具有可控性、具体性和特定性，并且风险性损害在其他侵权领域亦得到承认。将后续损害的风险作为损害，并以“客观合理的可能性”为判断标准是恰当且准确的方式。

首先，这些风险都是人为的，具有可控性，例如，可降低损害发生的概率或将风险控制在合理范围内。其次，虽然损害赔偿仅针对事实、具体的损害，但并不意味着风险不能满足具体性的要求。如“Spokeo Inc.v.Robins”案中，美国第九巡回上诉法院认为，损害必须是具体的，只要足够具体，即构成法院承认的“事实上的损害”。〔32〕See Spokeo, Inc.v.Robins, 578 U.S.330 （2016）.“具体”并不等于“有形”，虽然有形的损害更容易识别，但很多案例已经表明，无形的损害或者损害风险也可以是具体的。〔33〕See Pleasant Grove City v.Summum, 555 U.S.460 （2009）.Church of Lukumi Babalu Aye, Inc.v.Hialeah, 508 U.S.520 （1993）.最后，在众多场合，损害风险增加或机会丧失已被认定为损害。例如医疗侵权领域，“风险是损害”的概念早被接纳，〔34〕See Joseph H.King,“Reduction of Likelihood Reformulation and Other Retrofitting of the Loss-of-a-Chance Doctrine”, 28 University of Memphis Law Review 491, 504-505 （1998）.即使损害可能难以被证明或衡量，惯例上也应赔偿。又如，侵害某些由法律赋予的程序性权利，本身就构成事实上的损害，被侵权人无须证明损害即可获得赔偿。〔35〕如美国判例法上认定无法获得公开的信息构成宪法第三条规定的事实损害，See Federal Election Comm’n v.Akins, 524 U.S.11, 20-25 （1998）.Public Citizen v.Department of Justice, 491 U.S.440, 449 （1989）.再如环境侵权领域，侵权行为造成的生态环境损害没有立马出现，但一旦发生便不可逆转，因而也要将未来损害的风险作为损害。〔36〕参见四川省甘孜藏族自治州中级人民法院（2015）甘民初字第45 号民事判决书；云南省高级人民法院（2020）云民终824号民事判决书。

（二）精神损害

在数据侵权损害赔偿诉讼中，数据主体要求精神损害赔偿的诉求最为常见，司法裁判对此存在不同观点（见表1）。支持精神损害赔偿的裁判大多认可数据侵权对数据主体的精神权益产生了影响；不支持者，有的理由是数据主体未能举证证明其遭受了精神损害，有的理由是并未造成严重后果。

表1 数据侵权精神损害的裁判观点及理由

在个人数据被公开曝光引发社会歧视，因数据保护漏洞、身份信息失窃或欺诈而受到心理影响等数据泄露、数据非法利用场合，数据主体均会要求精神损害赔偿，但司法裁判支持此请求的比例不高。

若数据主体因数据侵权而达到医学上心理疾病或精神疾病的程度，认定精神损害较为容易。但数据主体仅产生焦虑或不安全感时，认定则存在疑问。因焦虑或不安全感难以以明确的方式呈现，也就难以被发现、量化和评估。数据侵权时，数据主体因自身人身、财产权益的不确定状态，容易因不安全感陷入精神焦虑，但此种焦虑情绪并非基于人身、财产权益的现实损害，而是源于对损害潜伏性、未来不确定状态及损害风险的担忧，在精神损害层面如何认定需要进一步考察。

认定精神损害通常要求侵害人身权益造成严重后果，但在很多案件中，“严重性”难以证明。一方面，精神损害难以量化，通常只能根据侵权行为的严重程度，依照社会一般观念来推定，而被侵害者的个体差异往往被忽略。另一方面，数据主体的阐述常夸大其精神痛苦，真实情况难以判断。数据侵权精神损害的认定关键在于对待严重性标准的态度。

（三）社会评价降低型损害

数据处理者依照多重标准对数据进行分类，有时会降低数据主体的社会评价，导致数据主体权益受损。司法实践中主要有两类情形：一类针对数据主体，如盗用数据主体的个人信息后违规借贷、冒名办理信用卡等，导致数据主体不良征信记录。〔43〕参见江西省萍乡市中级人民法院（2018）赣03 民终514 号民事判决书；河南省鲁山县人民法院（2017）豫0423 民初3728号民事判决书。另一类针对数据账户，如将淘宝账号标记为“云黑”，影响账号主体的声誉；〔44〕参见河北省石家庄市中级人民法院（2019）冀01 民终10531 号民事判决书。又如滴滴系统中司机对乘客的评分和评价会被作为系统派单时的依据，评分下降影响乘客后续使用服务。认定社会评价降低的损害，需要重点关注社会评价的事实基础。

（四）数据泄露不构成数据侵权损害

1.数据泄露的本质：数据侵权方式

对数据泄露是否构成数据侵权的损害，理论及司法实践存在争议。有观点认为数据泄露是数据侵权的新型损害，〔45〕参见叶名怡：《个人信息的侵权法保护》，载《法学研究》2018 年第4 期，第88 页。司法裁判对此莫衷一是（见表2），各观点内部也存在分歧。

表2 数据泄露构成损害的裁判观点及理由

对于数据泄露是否构成损害，裁判观点各异。即使在肯定观点内部，也存在“本身即损害”和“特殊情形下构成损害”两种意见。本文认为，数据泄露本质上是数据侵害方式，而非损害后果。首先，司法裁判中“造成实质性影响”“超出合理预期”“未向不特定人群传播”以及“不能直接导致人格权益重大损害”的阐述表明，数据泄露构成损害仍需导致损害后果，而非行为本身就是损害。其次，数据泄露本身不是损害，裁判认可的可能只是后续损害，或泄露导致的间接人格或财产权益损害。这意味着，数据泄露会造成损害，但数据泄露是侵害方式，而非损害后果。数据主体要就数据泄露请求赔偿，必须存在客观的、能够确定的损害，〔50〕Vgl.Jan Spittka, Kein automatischer Schadensersatz nach Datenleck, GRUR-Prax 2020, S.489.满足确定性标准中关于损害具体性和特定性的要求。

2.数据泄露导致损害的缘由

（1）数据泄露侵害数据中的个人信息与隐私

数据可能内含个人信息的内容。数据是以电子或其他方式对信息的记录，个人信息则是通过电子或其他方式记录的、可识别特定自然人的身份或活动情况的各种信息。因此，数据和个人信息在对象、内容方面存在交叉。

数据与隐私也存在交集。数据中不可避免地包含数据主体不愿为外界所知晓的内容，或者秘密空间、秘密活动和秘密信息等内容，在本质上属于数据主体的隐私。若他人实施非法刺探、侵扰、泄露、公开等行为，使数据中的敏感内容被外界知晓，便会损害数据主体权益。

在数据侵权案件的司法裁判中，法官往往借助个人信息或隐私的相关规定。〔51〕参见北京互联网法院（2019）京0491 民初10989 号民事判决书；贵州省贵阳市中级人民法院（2021）黔01 民终975 号民事判决书；河北省承德市中级人民法院（2020）冀08 民终2665 号民事判决书等。值得说明的是，不论是否涉及数据中包含的个人信息或隐私，数据泄露构成损害的实际原因可能是侵害人格权。旧《德国联邦数据保护法》直接明定立法目的，就是为保护自然人人格权不因个人数据处理而受侵害。

（2）数据泄露侵害数据的经济价值

数据泄露是否构成损害，实际上与数据经济，特别是数据的经济价值密切相关。〔52〕Vgl.Heike Schweitzer/Martin Peitz, Ein neuer europäischer Ordnungsrahmen für Datenmärkte, NJW 2018, S.278.数据的经济价值包含三部分：对数据主体的价值、对控制者的价值和市场价值。对数据主体的价值用于对非物质损害的评估，对控制者的价值用于确定物质损害，市场价值则是应赔偿的最低物质损害。〔53〕Vgl.Hartmut Oetker, in: Münchener Kommentar BGB, Band 2, 9.Aufl., 2022,§249, Rn.25.其中，数据主体对数据商业化使用，产生对数据主体的经济价值。数据泄露时，数据主体没有收到任何关于授予他人使用其个人数据的请求，也没有同意数据外流。如果数据被未知的第三方使用，实际上数据主体已经丧失了对数据的影响。数据使用商业化推定表明，数据主体本应得到数据被使用的对价而未得，数据泄露对数据主体的经济利益造成损害。

四、数据侵权损害的认定规则构建

构建数据侵权损害的认定规则，应区分风险性损害和现实性损害。风险纳入损害须满足一定条件。预防损害发生的费用应作为现实财产损害获得赔偿。数据处理者对社会评价降低有重大过失时，社会评价降低应纳入损害范畴。认定精神损害应坚持严重性标准。

（一）风险性损害的认定

1.间接损害的排除

后续损害风险应排除间接损害，原因是：一方面，间接损害与侵权行为的关系较为遥远；另一方面，从利益平衡角度来看，若支持间接损害，会过度扩大侵权责任损害范围，使侵权者负担过重。

在方法论上，应当以紧密性为标准，截断因果关系链条。〔54〕参见张红：《纯粹经济损失赔偿的可能与限度》，载《武汉科技大学学报（社会科学版）》2019 年第2 期，第211 页。风险性损害的认定本质上是对事物未来发展的预测和价值评估，而预测作为一种认知活动，有自身的原则，如延续性原则、类推原则，间接损害可通过这两项原则予以排除。首先，依据延续性原则，从时间维度上排除间接损害。事物发展有延续性，侵权行为造成的损害必定会随着时间的推移不断发展，损害结果在时间序列上是单一的。在风险损害认定过程中，为防止损害范围无限扩大，这种延续性应有必要限度，即在必要地方割断损害的发展。风险性损害的范围应以第一个结果周期为限，在纵向上割断事物发展的链条，排除衍生的间接损害。其次，直接证明确定的侵害行为与不确定的损害风险之间的紧密性十分困难，而事物的发展变化常有类似之处。应将现有损害的发展与既有的相似损害做比较，以相似损害的发展结果作为参照，来判定现有损害发展的结果。即以类推原则，根据相似损害的发展结果来排除间接损害。

2.纯粹经济损失的认定

纯粹经济损失在数据侵权领域较难认定，原因是纯粹经济损失的范围难以确定。若纯粹经济损失一律获得赔偿，意味着对数据处理自由的侵蚀，但一概否认又难以实现个案公平。恰当的方法是在保障行为自由和保护数据主体权益的前提下，确定具体案件中的纯粹经济损失。

因果关系的判断可用于确定纯粹经济损失的范围。司法实践中相当因果关系的认定包含两个层面的判断：条件关系和条件关系相当性。条件关系意味着数据处理者的侵害行为是数据主体损害的条件，“相当性”则要求侵害行为足以造成损害后果的发生。相当性判断融入了政策价值的考量，〔55〕参见王泽鉴：《损害赔偿》，北京大学出版社2017 年版，第91 页。主要的考量因素包括立法目的和法律政策。对于数据侵权，立法目的是对数据主体权益的保障，而法政策上需考虑行为自由与权益保障之间的平衡。权益保障意味着损害应当赔偿，但全面的权益保障非但不现实，还会阻碍数据技术进步，反之又会令数据主体承担过高的数据流通风险与成本。行为自由体现在数据主体和处理者是否享有行为自决权，即预见到自己行为的后果以及法律评价，从而能够对行为预先谋划。确定风险性损害的纯粹经济损失，应当从可预见性的视角判断相当因果关系，综合考察数据主体和处理者已知情事和理性人所能认知的情事，以实现行为自由与权益保障的平衡。

3.风险作为损害的认定标准

认定后续损害风险作为损害时，可参考数据的敏感度、损害可能性、数据处理者的过错和预防措施的合理性等要素。

首先，数据的敏感度。某些类型数据易被归为敏感数据，如账号、密码等，这类数据被侵害导致身份盗窃或财产欺诈的巨大风险。对于一个理性人，如果数据包含的内容是其希望隐瞒的，或令人尴尬或有损名誉的，则该数据也可能被归为敏感数据。此类数据被侵害容易导致财产欺诈、声誉损害等实质性损害。数据往往并不孤立存在，如喜欢的书籍、出生地等非敏感数据被泄露或非法利用，可能与其他数据结合并暴露出敏感信息而导致风险性损害。总体趋势是，被泄露的数据越多，经过组合导致风险性损害的可能性就越大。〔56〕See Solove Daniel J.& Danielle Keats Citron, “Risk and Anxiety: A Theory of Data-Breach Harms”, 96 Texas Law Review 737, 774-775 （2018）.

其次，后续损害的可能性。一方面可借鉴类案，评估类似案件中损害风险如何现实化为损害。另一方面可考察收集处理数据的手段和方法，不同收集处理方式所致损害的风险并不一样。当然，数据类型也会影响损害的可能性，如敏感数据较非敏感数据具有更高的损害风险。

再次，数据处理者的过错。发生数据侵权损害，意味着数据处理者并没有尽一切可能避免。也许是组织上或技术上的缺陷外部化，使产生的风险转嫁给了数据主体。由于数据处理者最接近数据，以最小的经济代价保护数据，在技术上是可能的。〔57〕Vgl.Hans-Bernd Schäfer/Claus Ott, Lehrbuch der ökonomischen Analyse des Zivilrechts, 5.Aufl., 2013, S.120 あ.从经济视角来看，处理者的过错可作为损害认定的参考。

最后，预防措施的合理性。事先的预防措施可以防范潜在风险，减少损害。考察风险预防合理性的重要方法是比较预防措施的成本和效果，再评估预防措施成本与潜在利益的关系，对后续损害风险进行投保（如果存在此保险）的成本也可作为衡量指标。

数据敏感度对于数据处理规则的影响在《个人信息保护法》中便有所体现，应优先适用；后三项指标主要是从法经济学的角度进行考察，可以参考。这些标准可作为法官自由裁量的参照。

（二）现实财产损害：预防费用的认定

为避免后续损害的风险现实化，被侵害人可能采取预防措施，如花费时间和支出费用。就预防费用作为损害而言，否定观点认为，被侵权者会因“幻想”支出费用，费用支出与损害预防之间可能不具有因果联系，不足以构成具体而特定的损害。〔58〕See Polanco v.Omnicell, Inc., 988 F.Supp.2d 451 （2013）.数据主体不能证明所担心的后续损害肯定会发生，也就不能就此费用获得赔偿。〔59〕See Clapper v.Amnesty Int’l USA, 568 U.S.398, 422 （2013）.Reilly v.Ceridian Corp., 664 F.3d 38, 46 （2011）.此外，预防支出容易“制造”，若予以支持，数据主体可能预防过度，花费多余的时间和金钱。但司法实践也存在不同观点，例如，Neiman Marcus 奢侈品公司约35000 张支付卡的信息泄露，其中9200 张被欺诈性地使用，地区法院以缺乏事实上的损害为由，驳回了支付卡所有者的赔偿请求。但巡回法院认为，足以合理地推断出存在实质性的风险，而且受害者可能产生的信用检测订阅和换卡等前期费用应被认为属于具体损害。〔60〕See Remijas v.Neiman Marcus Group, LLC, 794 F.3d 688 （2015）.

为预防损害支出的费用，有作为现实财产损害的可能。一方面，有关个人信息侵权的司法解释规定，基于制止侵权行为而支出的合理开支，可以认定为人身被侵害时的财产损失。〔61〕如《关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》第 18 条和《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》第8 条，都列举了调查、取证和律师费用作为财产损失。实践中也存在支持成本性支出赔偿的范例，如擅自使用他人个人信息进行税务设立登记，造成损害的，支持信息主体的维权成本诉求，其中部分维权措施便是预防性的。〔62〕参见上海市闵行区人民法院（2019）沪0112 民初26438 号民事判决书。另一方面，预防损害支出的费用是自愿性支出，虽然自愿性是区分损害和费用的标准，但若费用支出是为了排除对权益的妨害，仍可构成损害。

判断预防损害发生的费用能否作为现实损害，取决于侵权的具体情况，以及后续损害的可能性。〔63〕See Boos Eric S, Givens Chandler & Larry Nick,“Damages Theories in Data Breach Litigation”,16 Sedona Conference Journal 125, 134 （2015）.就侵权的具体情况而言，如计算机数据被攻击后安装防火墙或更换系统的费用，银行卡信息被盗后挂失并更换的费用，这些预防费用具有合理性，应当作为损害。至于后续损害的可能性，则表明预防费用只有在合理的范围内且符合比例原则，才可获得赔偿，以此限制数据主体主动“制造”损害。当然，只有当后续损害的风险满足确定性标准时，才能支持数据主体提出的预防费用损害赔偿请求。

（三）现实精神损害的认定

我国个人信息与数据方面的相关法律规范，并无精神损害赔偿的规定，司法裁判观点也不统一。对数据侵权导致精神损害的认定，关键在于应否适用一般精神损害认定的严重性标准。

1.比较法的态度：司法裁判并非从宽认定

对于数据侵权精神损害的认定，理论上存在严重性要件否定说，主张在认定精神损害时舍弃严重性标准，加大数据主体权益的保护力度。〔64〕参见彭诚信、许素敏：《侵害个人信息权益精神损害赔偿的制度建构》，载《南京社会科学》2022 年第3 期，第87-88 页。否定说认为，比较法上对数据侵权精神损害的认定持宽松态度，如欧盟GDPR 第82 条和《德国联邦数据保护法》第83 条采取从宽认定精神损害的模式，均对物质和精神损害应获赔偿作出规定，但未作限制，特别是精神损害认定没有“门槛”。我国应当借鉴此做法，舍弃严重性标准。但当选取德国司法案例进一步探究，考察司法裁判的真实态度，会发现存在限制认定和宽松认定两种意见（见表3）。主张对数据侵权精神损害限制认定的，旨在避免精神损害赔偿的滥用，但在限制认定内部还存在不同的裁判理由和见解。主张精神损害应从宽认定的裁判认为，严重性标准不能适用于数据侵权领域。根据欧盟GDPR 序言第146 条第3 项，损害应以符合立法目标的方式广义解释，而立法目标体现于序言第146 条第6 项和第82 条，要求确保数据主体享有完整的损害赔偿请求权。基于此，应对精神损害从宽认定。〔65〕Vgl.Jan Spittka, Die Kommerzialisierung von Schadensersatz unter der DS-GVO, GRUR-Prax 2019, S.475f.

表3 德国司法裁判对精神损害的裁判观点及理由

由表3 可知，德国司法实践的态度较为割裂，并非完全支持数据主体的精神损害赔偿请求。考察德国地方法院至联邦最高法院适用欧盟《通用数据保护条例》第82 条进行裁判的相关案例，可以发现各级法院总体上持从严认定的态度。〔74〕德国联邦最高法院对数据侵权精神损害完全不予支持，联邦高等法院不予支持的比例为95%，联邦地方法院不予支持的比例为80%，地区法院不予支持的比例为70%。就数据侵权精神损害的争议问题，德国法院也向欧盟法院提交了初步裁决的请求：（1）精神损害应否广义解释？担忧、恐惧和焦虑是否属于精神损害？（2）欧盟法律是否要求精神损害必须是一定分量的不利影响？（3）精神损害赔偿是否具有预防功能？（4）确定赔偿数额应否考虑收集处理者的过错？〔75〕Vgl.BAG.EuGH-Vorlage zur Verarbeitung von Gesundheitsdaten im Arbeitsverhältnis, ZD 2022, S.56.这些问题均涉及精神损害认定的标准，也从侧面表明德国司法裁判对数据侵权精神损害的认定，并不必然持宽松态度。

结合德国司法实践的裁判观点与总体现状可知，“欧盟《通用数据保护条例》生效后，欧盟各国确定数据侵权精神损害，不再如以往严格要求程度要件”的观点并不准确。仅从法律规范变化而未对司法实践进行探究就得出结论过于武断，在本质认知方面存在不足。

2.精神损害认定应坚持严重性标准

否定说还从救济损害和损害赔偿功能方面否认严重性标准。损害救济观点主张，有侵害就构成损害，有损害就应被救济，严重性只是确定赔偿数额的因素。〔76〕参见崔聪聪：《个人信息损害赔偿问题研究》，载《北京邮电大学学报》2014 年第6 期，第40 页。从损害赔偿功能的视角来看，严重性标准与填补损害的宗旨相违背，会动摇损害赔偿的惩罚性作用。〔77〕参见解正山：《数据泄露损害问题研究》，载《清华法学》2020 年第4 期，第147 页。在此应当思考，存在侵权行为是否就构成精神损害？为实现损害赔偿的威慑作用而扩张精神损害是否妥当？

其一，“侵权即造成精神损害”标准过于严苛。从构成要件的角度来看，并非只要侵权即导致精神损害。坚持“数据侵权行为本身就是损害”的观点，最具代表性的是德国联邦最高劳动法院的判决，其认为“精神损害不一定是有分量的损害后果，违反欧盟《通用数据保护条例》的行为便已导致数据主体遭受精神损害，原告无需再额外证明存在损害后果”。〔78〕Vgl.BAG ZD 2022, 56 （59-60）.此种观点实际上多受批评，被认为与欧盟《通用数据保护条例》第82条的文义矛盾。“因违反本条例，造成了物质和精神损害”的表述表明，“损害后果”和“侵权行为”是两个独立的构成要件，只有分别满足，才可请求赔偿。〔79〕Vgl.Tim Wybitul/Kevin Leibold, Risiken für Unternehmen durch neue Rechtsprechung zum DS-GVO-Schadensersatz, ZD 2022, S.207f.否则，法律规范中的“损害后果”构成要件便显多余。所以“存在侵权行为”并不满足精神损害的构成要件。

此外，数据主体遭受的部分精神权益的侵害，并非都构成精神损害，或并非都要赔偿。一方面，部分精神层面的不利益，并未达到精神损害的程度，数据主体应当容忍。例如主观上的焦虑或不安，属于不良情绪或心理反应，而非精神损害。原因在于此种轻微精神不适在日常生活中十分普遍，其既不能带来财产的变动，也未达到精神损害所要求的痛苦程度，数据主体应当承受。另一方面，出于自我便利和数据产业发展的需要，数据主体需要容忍部分精神损害的存在。数据的处理与利用不仅利于数字经济发展、创造经济价值，数据主体也能从中获得利益，但前提是数据主体需让渡部分权利，如授权数据处理者获得其通信信息或位置信息，允许数据处理者分析自己的历史行为数据从而进行算法推荐等。数据主体既然享受数据处理的福利，便需要容忍合法的数据处理行为，承受由此带来的适当焦虑与担忧，此不应作为精神损害赔偿的理由。

其二，精神损害赔偿不应具有惩罚作用。数据侵权损害的认定，应符合损害赔偿的基本目的。对于数据侵权损害赔偿的目的，存在不同观点。前述德国司法裁判认为应基于损害赔偿的威慑作用，从宽认定损害，进而扩大赔偿范围。理论上有观点强调数据侵权损害赔偿具有预防功能，赔偿目的在于防止侵权行为再发生；〔80〕参见朱晓峰、夏爽：《论个人信息侵权中的损害》，载《财经法学》2022 年第4 期，第57 页。也有观点认为赔偿目的在于对数据主体的补偿，而非谴责侵害行为。〔81〕参见张建文、时诚：《个人信息的新型侵权形态及其救济》，载《法学杂志》2021 年第4 期，第51 页。

一方面，数据保护相关法规提供了众多的数据保护机制，如数据的删除、纠正，以及行政处罚等法律后果，因此没有必要为保护数据权益而滥用损害赔偿制度。以《个人信息保护法》为例，其中关于没收违法所得等行政处罚的规定，毋庸置疑具有遏制数据侵权的威慑作用。虽然民事赔偿对于数据权益的保护也具有重要作用，但可将制裁功能留给行政法或刑法，没有必要大幅扩大损害赔偿的范围。

另一方面，惩罚性赔偿并非侵权责任的一般样态，所以不应出于惩罚数据侵权者的目的而扩大损害的范围。从归责原则的角度，损害赔偿的惩罚性已从侵权责任制度中消失。多元化的归责原则目的是弥补过错责任原则在受害人权益救济方面的缺陷，更好地填补损失。从社会功能的角度，填补损害才是损害赔偿责任的功能，而非对侵权人的惩罚。〔82〕参见尹志强：《侵权行为法的社会功能》，载《政法论坛》2007 年第5 期，第153 页。要求数据处理者承担损害赔偿责任的根本目的是填补数据主体因侵权而受到的损失。即使苛以惩罚性赔偿，目的也并非惩罚，而是通过剥夺侵权所获的非法利益、增加侵权成本，产生特定的威慑效力，在经济层面遏制侵害行为的发生。

（四）现实社会评价降低损害的认定

收集处理数据后对数据进行分选的行为，本身并不违反相关数据保护法规的规定。例如征信机构根据未详细披露的计算方法确定分数，并将此分数披露给有合作关系的信贷机构，行为本身是合法的。为了避免用户过度负债，防止欺诈，出于商业目的收集和处理与公司和私人信用度相关的数据，在某些情况下甚至有利于提高效率，产生经济效益。

社会分选没有绝对标准，但当其使用的事实已经存在明显错误时，应考察此行为是否构成损害。德国联邦最高法院在判决中认为，分数是评价机构的意见陈述，本身是一种主观的价值判断。信用评级只要是正常的意见表达，一般不会导致损害。属于意见表达的信用评级如果是依据准确的事实基础做出的，则通常应排除数据主体对该正常业务行为的损害赔偿请求。〔83〕Vgl.BGH MMR 2011, 409 （410）.至于评价的准确性，只能由监督机构和法院在有限范围内审查。如原告因信用评分过低而无法签订贷款合同，起诉信用评分机构，法院认为只有在信用评分所依据的事实存在明显错误时，监督机构和法院才可进行审查。〔84〕Vgl.LG Karlsruhe ZD 2019, 511 （512）.

对社会评价的审查限制，并不意味着数据主体得不到任何保护。为了避免错误分选行为对数据主体权益的损害，数据处理者不得从明显错误的事实基础中得出结论，必须提供基于准确事实基础的意见。因此，数据主体可要求数据处理者免费提供、更正、删除和限制处理数据。当然，数据主体必须就哪些数据处理是不准确的作出解释，或指出评价行为所依据的数据哪些是不正确或不完整的。

判断社会分选行为可否导致数据侵权损害，还要考虑“知情—同意”规则。敏感数据的加工和处理，需要获得数据主体的明示同意。若未经同意即加工和处理敏感数据，显然侵害数据主体的数据权益。如《信息安全技术 个人信息安全规范》附录中示例的，“未取得个人信息主体授权时，将健康信息用于保险公司营销和确定个体保费高低”，即属于敏感数据的滥用，此分选行为便构成损害。数据处理者明知或应知该数据将被用于不当筛选或歧视的，应构成损害。若数据主体对数据加工和处理知情，数据处理者将加工和处理后的数据传输给第三方，后者以此为依据进行筛选、分组并用于企业决策，此时加工和处理行为不构成数据侵权，第三方可能存在就业歧视或消费者歧视等违法行为。〔85〕参见叶名怡：《个人信息的侵权法保护》，载《法学研究》2018 年第4 期，第91 页。

五、结语

日新月异的技术发展给数据侵权的损害认定带来了极大的挑战。回归司法裁判，对数据侵权的具体问题进行归纳总结，才能找到现实可行的解决方案。由于大数据时代的特殊性，现有法律规则应对数据侵权多有力不从心。对此，可考察司法裁判对数据侵权的认定，明确损害的本质和认定模式。

在司法实践中，数据侵权的损害表现为后续损害的风险、精神损害和社会评价降低。不同类型的损害无法通过统一的模式认定，应当分别明确具体的认定规则。认定风险性损害，应参照数据敏感度、损害可能性、侵权行为的程度、预防措施合理性等要素，并排除间接损害，通过相当因果关系确定纯粹经济损失。预防损害发生的费用应被纳入损害的范畴。精神损害的识别与认定应继续坚持严重性标准。对于社会评价降低，只有所依照的事实基础存在错误，才有被认定为损害的可能。综上，精细化的区分方可构建清晰而全面的数据侵权损害认定规则。