廖丽环，俞 程

（福州大学 法学院，福建 福州 350108）

一 问题的提出

2021年8月20日颁布的《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）第70条规定：个人信息处理者违反本法规定处理个人信息，侵害众多个人信息权益的，人民检察院、法律规定的消费者组织和由国家网信部门确定的组织可以依法向人民法院提起诉讼。该条款为个人信息保护公益诉讼制度，为规制不法处理不特定多数人的信息从而侵犯权利的行为提供了公益诉讼的支撑［1］。但该条文只是比较粗糙的规定，与当下其他领域如环境公益诉讼、消费者保护公益诉讼的规定相比而言略显简陋，在司法实务中易产生不同方面的制度适用争议。如在“保定市人民检察院诉李某公益诉讼案件”中，法院基于不法的信息处理行为判被告人李某支付三倍的惩罚性赔偿金就引得学界轩然大波，从而导致个人信息公益诉讼能否适用惩罚性赔偿一度成为学界争议的焦点。有学者认为，违法成本和利润的不对称，网络运营者等组织常铤而走险采取非法手段，是故有必要建立侵犯个人信息权利的惩罚性赔偿制度［2］。而另有学者认为，如果允许在个人信息保护公益诉讼中适用惩罚性赔偿，那么被告有可能因一个违法行为受到多次处罚［3］。

法律的生命在于实施，法律的权威在于执行［4］。我国在立法上从未明确个人信息权能够适用惩罚性赔偿，但惩罚性赔偿并不是一个封锁或紧闭的体系，我国一直在理性地、合理地拓宽其适用范围［5］。2021年8月，中共中央、国务院发布的《法治政府建设实施纲要（2021—2025年）》提出通过惩罚性赔偿增强关键领域的执法活动，加强公共卫生、生态环境等关系群众切身利益的关键领域执法力度，构筑完善严重违法惩罚性赔偿制度。无独有偶，2021 年11 月，国务院印发的《关于开展营商环境创新试点工作的意见》提出，在直接涉及公共安全与人民群众生命财产安全的领域，探索惩罚性赔偿制度。显而易见，不特定多数人信息权利属于“关系群众切身利益的领域”以及“涉及人民群众生命财产安全的领域”范畴，而为维护不特定多数人的个人信息权利的公益诉讼，应当在国家探索适用惩罚性赔偿的范围之内。因此，在目前探索适用的初期，应解决的问题是，如何厘清个人信息公益诉讼适用惩罚性赔偿的合理性。同时，作为一种责任形式的惩罚性赔偿与个人信息公益诉讼都有着维护个人信息公益的作用，且惩罚赔偿已经超越了传统民事损害所应用的“损害填平原则”，是故，二者相结合的过程中，应对其各要素进行严格限定，才能在响应国家政策号召的同时衡平个人信息保护与经济协同发展，以期实现人民群众对信息安全的殷切期盼。

二 个人信息保护公益诉讼适用惩罚性赔偿的法理支撑

个人信息公益诉讼与惩罚性赔偿在价值、功能、目的上都具有较高的契合度，而这决定了二者能够相互结合。

（一）个人信息公益诉讼与惩罚性赔偿的价值一致

在利益多元化、复杂化，利益主体多元化的当今社会，除了环境保护、食品药品保护等领域外，大数据技术快速发展下的个人信息保护领域，也出现了既影响个人权益，又侵害公共利益的行为，也就是个人信息侵权的二元性，即侵权人在对信息主体造成人身、财产上的损害以外，还可能同时通过数据技术媒介对不特定多数人的信息权益造成损害，从而造成“普遍性侵权”和“分散性侵害”［6］。是故，由于个人信息侵权问题的日益增多，个人信息公益诉讼与私益诉讼的交集也日益明显，为了解决此种公益与私益边界逐渐不清晰的难题，借助司法手段以弥合行政执法的缺陷成为“民事诉讼社会化”的关键内容［7］。根据《个人信息保护法》第70 条的规定，在民事公益诉讼中，拥有请求权主体资格的是与侵权行为不存在直接利害关系的检察机关、社会团体等，这些主体可以对信息不法行为人提起公益诉讼，以此保护不特定多数人个人信息权益。是故，可以看出，个人信息公益诉讼的模式是以私法途径实现公共利益保护目标。

惩罚性赔偿以补偿性赔偿为适用前提条件，通过考察个案不法行为人的主观恶性、危害程度等各种情节，以高于实际补偿数额的金额震慑、阻遏不法行为人，进而实现维护社会公共利益的目标。从我国法律体系来看，具有惩罚性质的权力几乎已经被公法领域的刑法、行政法所占据，私法上的被侵权人只能以“填补损害”的原则要求侵权人进行补偿。当下，我国在环境保护、知识产权等领域中已设置了惩罚性赔偿的规则，旨在通过该制度的适用保护补偿性赔偿制度未囊括的那部分利益，从而规范刑法、行政法等公法领域尚未制裁到的不法行为。是故，惩罚性赔偿属于利用私法机制实现本应由公法承担的威慑功能的特殊制度［8］，其最终目标在于实现公共利益。所以，二者本质上都是带着浓厚公法色彩的私法规定，价值取向都在于维护社会公共利益，这就决定了二者相结合的正当性。

（二）个人信息公益诉讼与惩罚性赔偿的功能契合

如上文所述，个人信息公益诉讼以私法途径实现公共保护目标，其适用价值高度同质的惩罚性赔偿制度不仅具有理论上的正当性支撑，更是具有阻遏、震慑潜在损害信息权利的行为、制裁恶意损害信息权利的行为、打破“同质补偿原则”的制约等多种实务作用，进而实现个人信息权利保护的公共目标。

第一，有利于阻遏、震慑潜在损害信息权利的行为。所谓阻遏、震慑主要是指惩罚性赔偿所具备的“示范”作用，即通过案件的判决以明确显示某些特定的危害行为所应承担的法律后果［9］。通过对惩罚性赔偿条款的运用，使社会群体从判决中吸取教训，从而震慑潜在的不法行为人想犯而不敢犯，消弭以侵害个人信息权利换取高额利润的主观心理。除此之外，我国不少学者更是将惩罚性赔偿视作一种激励，例如将其称作“激励性报偿”［10］，实践过程中，高额的诉讼成本往往让被侵权人望而却步，而惩罚性赔偿在个人信息公益诉讼中的运用将能够激励被侵权人在人身、财产遭受危害时起诉的主观意愿，从而能够进一步对潜在不法行为人施压。

第二，有利于制裁恶意损害信息权利的行为。惩罚性赔偿主要适用于恶意侵害、故意无视他人合法权益的严重不法行为，惩罚是其最基本、最主要的功能［11］。具体来讲，惩罚性赔偿在补偿性赔偿的基础之上，以额外的赔偿数额救济人身、财产损害之外的损失部分，从而加剧不法行为人的经济负担，给予其更大程度的谴责与惩罚。信息侵权行为是不法信息处理者在处理或利用信息时对信息权益造成的直接损害，通常表现为巨大利润的诱惑使得信息处理者罔顾法律非法利用或泄露个人信息，甚至基于违法成本的低廉多次遭受行政处罚而无动于衷［12］。个人信息公益诉讼在面对这种侵权行为时，既可以针对信息权益的损失判处承担补偿性赔偿责任，也可以综合考虑行为人的主观恶意程度、损害结果大小等情节作出专门的惩罚赔偿，充分制裁损害信息权益而又非法获益的处理者。

第三，有利于打破“同质补偿原则”的制约。“同质补偿原则”意指施加民事责任时，应注重对被侵权人的直接救济，其强调的是“补偿损害”［13］，即救济是以被侵权人实际遭致的损害为基础，从而达到基本填补损害而又避免让被侵权人因赔偿而获益的目的。个人信息公益诉讼仍是以传统民事诉讼框架为基准，同样受到“同质补偿原则”的深刻影响，往往以“损害多少就赔偿多少”的原则进行信息权益的救济［14］，例如删除违法泄露的信息、纠正错误的信息内容等都体现出同质补偿的思想。但数据时代背景下，与一般的侵权损害相比，个人信息损害具有延时性与累积性，即基于信息的电子化特征，能够跨越时间、空间进行处理、使用，因此与当下传统的人身、财产损害相比，信息损害一般不会及时显露出来，通常随着损害的累积或者时间的推移才缓慢显现［15］。是故，若单单采用“同质补偿原则”进行损害救济，容易产生个人信息损害往往难以计算而面临着保护目的难以实现的状况，而惩罚性赔偿通过额外的赔偿数额能够使信息权益得以充分的救济。

（三）个人信息保护公益诉讼与惩罚性赔偿的目的相同

当下，为保护不特定多数人个人信息权益，我国就个人信息保护领域形成了一套较为完善的以刑法、行政法为主的公法保护体系。然而，这些看似健全的公法规范，实则存在不同程度的“失灵”状况。

近年来，刑法新增了非法获取、出售或者提供公民个人信息罪等罪名，在一定程度上有力地阻遏了信息违法行为，然而只有在情节严重或特别严重的情况下才能适用刑法保护个人信息权益，但是个人信息通常以电子数据的形式存在，其损害与传统人身、财产损害大不相同，具有无形性特征，这意味着损害并不会立即显现或并不明显，是故多数个人信息侵权行为难以被认定为“情节严重或特别严重”。此外，在数据时代背景下信息作为社会发展的“驱动力”，在未来信息将会越来越与社会生活耦合，这意味着信息侵权相比于过去越来越频繁，而刑法谦抑性作为法治国家最基本的操守［16］，我们并不能将任何的信息侵权救济都依靠刑法，大范围的适用刑法救济个人信息权益是绝无可能的。而相较于刑法，行政保护的适用范围和频次更加广阔，但仍存在部分“失灵”状况。《个人信息保护法》第60条规定：国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作。这意味着我国个人信息行政监管组织继续延续了过去的“条块分割”的组织样式［17］，即在国家网信部门的统筹下，其他相关部门在各自职权范围内履行信息保护职责。质言之，当下并未形成独立、统一的个人信息保护专责机构，而人工智能、数据技术的发展使得个人信息侵权总是伴随着跨地域性、涉及场景多样性等特征，这增加了各部门之间的协调成本，衍生出更加繁杂冗长的行政决策流程，并无利于个人信息保护效率的最大发挥［18］。综上所述，公法总是不可避免存在着“失灵”的状况，使这些规则都成了无用的马其诺防线［19］，而属于“私人执法”的个人信息保护公益诉讼应运而生。

“私人执法”的概念来自英美法，意指个人或相关组织发现违法行为，并对其起诉的制度［20］，主要强调当刑法、行政法退让时，相关主体可以提起公益诉讼以实现法律追求的目标。在个人信息保护语境下，私人执法具体指的是个人信息保护公益诉讼。是故，可以认为个人信息保护公益诉讼是指，当刑法、行政法不足以维护信息公益或行政管理机关怠慢不履行信息保护职责时，相关机关、团体可以通过提起诉讼的方式维护信息公共利益。个人信息保护公益诉讼是“私人执法”在个人信息保护领域的重要体现［21］。然而，其仍然适用传统的民事“损害填平原则”，无法适应当下个人信息损害的延时性、累积性特征，侵权人所造成的损害大大超过了其所承担的责任，因此检察机关、社会组织等对侵权人提起公益诉讼的“私人执法”效果并不理想［22］。惩罚性赔偿能够恰到好处地增强个人信息公益诉讼的“私人执法”效果，其能够对侵权人主张超过实际损失的赔偿金额［23］，从而能够对潜在的、尚未行动的个人信息侵权行为进行有效的阻遏与震慑，有效缓解公权力有限造成的信息侵权行为不能扼杀在“摇篮”的问题。另外，惩罚赔偿的适用，也同时可以反向督促行政执法机关加快提高执法效率、更新执法设备，时刻制止侵权行为的发生［24］。

总而言之，惩罚性赔偿通过突破“损害填平原则”，能够对公共执法进行有益的补充，其最终目的是在增强“私人执法”的效果，这与个人信息保护公益诉讼所要追求的目标不谋而合，这无疑是给二者的相互结合提供了理论正当性。

三 个人信息保护公益诉讼泛化适用惩罚性赔偿的弊端

虽然上文证明了两种制度相结合的正当性，但这并不意味着在任何情况下、案件中都毫无限制地适用惩罚性赔偿，而这种泛化适用也违反了其内在价值。

（一）泛化适用惩罚性赔偿易导致多种法律责任的累加

泛化适用惩罚性赔偿极易产生危害影响。若个人信息侵权行为同时满足了行政违法，甚至构成了刑事犯罪，那么就出现了公、私益的相融合，且并存着民事、行政、刑事多重法律关系，当不法行为人面对补偿性、惩罚性赔偿、行政罚款、刑事罚金多重累加的财产性负担时，将极易超出其责任承担能力的范围，极大影响其行为自由。

救济受害人所受的损害与兼顾侵权人行为自由是不可偏废的“天平两端”。如上文所述，可以将惩罚性赔偿视作一种“私人执法”，其是存在于平等地位之间的一方当事人向另一方当事人进行的惩罚，起着与行政罚款、刑事罚金一样的惩罚、威慑作用。是故，在考量是否需要适用惩罚性赔偿时，应准确厘清它与补偿性赔偿、行政罚款、刑事罚金的顺位问题、适用条件，等等，防止侵权人承担过于沉重的责任。譬如，补偿性赔偿应当具有先决性的作用［25］，不能舍本逐末地认为侵权人不承担补偿性赔偿责任，却泛化地适用惩罚性赔偿。换句话说，对惩罚性赔偿的使用，不能仅从经济角度出发“消亡”被侵权人，不能单纯从经济思维追求诉讼效益［26］。当然，由于规范目的与归属不同，当几者共同存在时，不能当然地认为它们之间可以进行互相抵扣。但审判机关在考虑是否适用惩罚性赔偿或者其具体数额时，可以将其他几项责任作为考量因素。譬如，在最高检等关于《探索建立食品安全民事公益诉讼惩罚性赔偿制度座谈会会议纪要》中，行政、刑事处罚被作为考量惩罚性赔偿是否适用的关键因素。

惩罚性赔偿具备“公法私法化”特征，即最终目标是实现公法目的，而实施的方法与渠道又倾向于私法，即通过司法手段对不法行为人施加惩罚，以实现公共利益［27］。其具备公法的威厉性却缺少公法上较为严苛的实体法与程序法的多重规制。是故，适用该项制度时应着力注重不法行为人所面对的“一事多罚”的风险［28］。因此，既要充分发挥该项制度的震慑、惩罚功能，又要重视该种功能的适度性与科学性［29］，而由于其拥有私法机制的灵活性，可以从适用条件、适用该制度的考量情节等多角度进行规制，以防止泛化适用的情形。

（二）泛化适用惩罚性赔偿与诉讼启动的个案性发生冲突

个人信息惩罚性赔偿以民事责任的形式显现，这意味着该制度的适用依赖于公益诉讼人对诉讼的启动以及诉讼请求的提出。检察机关《公益诉讼办案规则》虽规定了“对于符合起诉条件的公益诉讼案件，应当依法向人民法院提起诉讼”，但事实是在诉讼审查以前，要通过立案与调查两个程序。由于大规模的个人信息侵权十分复杂，牵涉范围面广，跨时间、地域程度较大，牵涉行政机关人员众多，同时检察机关考虑案件还应增加对当下政策的具体考量。调查后所产生的《起诉审查报告》也需要在集体讨论以后由检察长决定，若是遇到重大疑难问题时，则应请示最高人民检察院以及向上级党组织汇报［30］。是故，个人信息保护公益诉讼的提起都具备了自身所独有的特征，即个案特征，由复杂、多元化的程序构成，并未形成反复如一的统一内在标准，而这与泛化适用惩罚赔偿有着极大的冲突。不同的公益诉讼启动程序，能够成为案件是否复杂、严重的个案参考标准，应当成为是否适用惩罚性赔偿的考量因素。依赖于公益诉讼的启动，却不顾及程序的推进构造，泛化、“甚至有滥用之虞”的适用惩罚赔偿［31］，无利于实现法律公平的最终目标。

（三）泛化适用惩罚性赔偿易增加滥诉的风险

惩罚性赔偿制度与“不得因被侵权而获利”的原则背道而驰，是故，该制度的泛化适用可能会造成过度激励，增加滥诉的风险［32］。正如有学者认为：受害人因为受到损害，而使自己的财产利益实现了“增值”，由于自己受到损害而使自己增加了财富，因而会鼓励贪念思想［33］。甚至，某些没有遭致损害的民事主体，出于“贪念”，将该制度异化为自己赚钱的工具，对司法秩序造成破坏。譬如，《中华人民共和国消费者权益保护法》第55条对惩罚性赔偿的规定，以及最高院指导案例“孙银山诉南京欧尚超市有限公司江宁店买卖合同纠纷案”确定了“知假买假”可获得相应赔偿，是故出现了许多“知假买假”的行为并从中获利，加剧了司法环境的不稳定。又如，在2015 年《中华人民共和国食品安全法》尚未修订之前，一些打着“职业打假人”称号的群体以商品装潢、成分列表不满足国家标准为由向经销商主张十倍赔偿，其自身未受损失的同时还从中获利，而这种做法的出现在当时已被许多人效仿［34］。是故，在后续2015年修订中，法条将“食品的标签、说明书存在不影响食品安全且不会对消费者造成误导的瑕疵”视为不可请求惩罚性赔偿的情况。可以见得，该制度的泛化适用导致的滥诉问题，一方面容易将财富分配给恶意诉讼人，另一方面将污染司法环境，消耗司法资源以解决“滥诉”问题，难以实现立法者对惩罚性赔偿制度的预期效果。映射于个人信息保护公益诉讼中，以不特定个人信息权损害为基数适用的惩罚性赔偿，其金额之高，容易吸引原告主体滥诉，而审判机关还要浪费精力、财力、物力对该恶意索赔进行审查。

总之，惩罚性赔偿制度的泛化适用，有可能导致诉讼的土壤之中衍生贪利理念，从而产生“钓鱼执法”等多种恶意索赔模式，助推滥诉的不良风气，而这并非惩罚性赔偿的立法本意。

四 个人信息保护公益诉讼适用惩罚性赔偿的规制

为防止泛化适用惩罚性赔偿制度，有必要对该制度的适用条件、数额确定的考量因素、应遵循过罚相当原则进行梳理。

（一）个人信息公益诉讼适用惩罚性赔偿的条件

1.行为人主观方面体现为“故意”

故意侵权体现为行为人内心实施侵权行为的意志较强、人为性更加明显，因此相较于过失侵权来说，故意侵权有较高的可规避性与预防性，法律也应构建特别的制度以实现故意侵权的预防［35］。而《中华人民共和国民法典》（以下简称《民法典》）在第1185条、第1207条、第1232条也正意识到故意侵权行为人主观恶性较大而适用补偿性赔偿制度之外的惩罚性赔偿制度才有利于实现震慑与阻遏效果，是故以“故意”作为惩罚性赔偿适用的主观要件。而从预算开支的角度出发，过失侵权行为发生的情形相对而言更具情景多样性与难以预测性，是故也难以实施有效的针对性预防措施，并且行为人主观方面也并不存在积极追求危害结果的发生，是故，补偿性赔偿就已能够实现威慑作用，不需要再适用惩罚性赔偿制度进行阻遏。

根据《个人信息保护法》第4 条，个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等，结合实务经验可以将故意侵犯信息的行为归纳为两类。第一类，以个人信息为侵犯对象的行为，该行为的主要实施目的以及后果都直接指向个人信息，主要体现为侵犯信息主体信息自决权的行为，即行为人尚未经过信息主体的同意收集其个人信息并进行处理的行为［36］。这类行为主要包括非法使用、公开、泄露信息而拒不改正等行为。第二类，将侵害个人信息作为侵权手段的行为，即损害个人信息权利并不是最终目的，最终目的在于通过侵害个人信息而实现侵害其他个人权益的目标。例如，通过披露他人个人信息而侵害他人名誉权的行为、使用非法获取的个人信息进行电信诈骗等等［37］。

2.危害信息的行为造成“严重后果”

借鉴《民法典》第1207条、第1232条和《中华人民共和国消费者权益保护法》第55条的规定可以见得，当下侵权行为造成后果的严重性应是适用惩罚性赔偿的前提要件。映射到个人信息公益诉讼中，主要体现为“侵犯个人信息造成严重后果”。

“后果的严重性”应当如何进行界定？对此，可以根据信息侵权行为所持续的时间、辐射的范围、破坏程度的大小、后续救济的费用成本等进行综合考量。个人信息损害的衡量对数据技术、计算机技术等技能的要求非常高，往往需要从专业技术角度进行评判，必要时可以由专门技术机构对其进行鉴定，由审判机关在个案中进行判定。此外，惩罚性赔偿应遵守无损害不救济的观念［38］，意味着这种严重的后果只能是客观发生，而不能是将要发生而尚未发生的状态。

3.危害信息的行为具有“违法性”

这里信息行为的违法性，指的是对《个人信息保护法》相关规定的违反。这和补偿性损害赔偿是不同的，后者并不要求具备行为的违法性要件。这是因为二者所具有的不同制度机理。若信息处理者依据合法且有效的隐私政策所作出的信息处理行为，但仍然造成损害的，那么行为人仍然应当承担补偿性损害赔偿责任，而这并不能适用惩罚性赔偿，因为行为具备合法性。可以看出，惩罚性赔偿主要突出对非法行为的谴责，其根源在于对这类行为的惩罚，而补偿性赔偿强调的是对损害结果的填补与救济。

4.原告应对惩罚性赔偿的要件负举证责任

个人信息公益诉讼适用惩罚性赔偿应当坚持“谁主张，谁举证”这一原理。而根据《个人信息保护法》第69 条，处理个人信息侵害个人信息权益造成损害，个人信息处理者不能证明自己没有过错的，应当承担损害赔偿等侵权责任。即信息保护领域采用的是“过错推定责任”，应由被告证明自己没有过错。而这种对原告具有倾向保护性的规定在个人信息公益诉讼惩罚性赔偿的适用过程中有失公允。在个人信息私益诉讼中所延伸出的“原告弱势、被告强势”以及所配套的举证责任，已经无法囊括公益诉讼适用惩罚性赔偿时的场景，极易导致当事人地位失衡。因此，根据收益和风险的综合考量，在提出惩罚性赔偿的情况下，由受害人承担过错的证明责任较为符合公平责任［39］。

是故，个人信息公益诉讼中原告请求适用惩罚性赔偿时，一般需要证明以下事实：其一，证明侵权人主观具有过错方面的故意；其二，证明侵权人所实施的行为具有不法性；其三，所造成的结果具有严重性。而这应当在将来立法中进行明确，使私益与公益诉讼所适用的规则得以区分。

（二）个人信息公益诉讼惩罚性赔偿金额的具体确定

1.个人信息公益诉讼惩罚性数额的考量因素

惩罚性赔偿的金额一般交由审判机关综合考量具体案件情节予以裁量，但不能把这种裁量权毫无基准或毫无限制地交由法官任其发挥，毕竟，若惩罚数额过高，那么会过分增加侵权人负担，导致社会生产积极性降低，而数额过低，那么惩罚效能不够则无法达至震慑的效果。诸如食品安全法对违反食品安全标准的惩罚性赔偿、消费者权益保护法规定的惩罚性赔偿等都设置了倍数与金额的限制。

为此，应当有以下几点考量因素。第一，基于惩罚性赔偿的惩罚性、谴责性，应考量侵权人的主观恶意程度，使具体金额与主观恶意、不法行为相匹配。第二，具体的金额数应当综合考量个案事实、侵权行为的种类、侵权行为违法的性质、破坏信息权益的情节、损害信息权益的程度、信息权益恢复需要的成本、侵权人因此而获得的收益、侵权人承担责任的能力、是否采取一定的补救措施，等等。第三，要特别重视与行政罚款、刑事罚金之间的衔接。在个案中应当将行政罚款、刑事罚金作为考量因素，既不能以惩罚性赔偿作为替代行政罚款、刑事罚金的变相手段，也不能重复追责给予侵权人过度责任。通常情况下，只有在适用行政罚款、刑事罚金后仍然不能维护不特定多数人的信息权益或者没有适用行政罚款、刑事罚金的情况下，才能够适用惩罚性赔偿对责任予以补充。最后，借鉴当下消费者保护领域、环境侵权领域等惩罚性赔偿的主流做法，应以侵权人造成的损害作为基数，同时根据信息损害的无形性、延时性的特征，当损害数额难以确定时，可以侵权人非法获利作为衡量的基数，以此来限制审判机关裁量权。

2.个人信息公益诉讼惩罚性赔偿的计算基数及承担方式

在确定惩罚性赔偿金数额时，应先计算出相对明确的基数，应先主要限定于对不特定多数人信息权益带来的损害或侵权人因侵权行为所获得的收益。而这需要准确区分私益诉讼与公益诉讼的交织部分。在个人信息侵权中，往往会产生同时涉及公益诉讼与私益诉讼的情况，如何正确厘定惩罚性赔偿的范围，成为无法回避的问题。例如，在黑客侵犯信息权益的案件中，往往有因黑客盗取并利用个人信息从事非法犯罪活动提起损害赔偿的私益诉讼，又有基于黑客贩卖广大不特定群众信息而提起的公益诉讼［40］。此时，应当将个人信息公益诉讼惩罚性赔偿与私益诉讼进行区分，后者的惩罚性赔偿应当以非法行为造成其个人人身损害、财产损害作为基数，而前者属于个人信息权益的公益损害，应当以不特定多数人单条个人信息价值加起来的总额或者侵权人贩卖信息所获得的收益作为惩罚性赔偿的基准。

实践中还会出现侵权人因经济不允许难以支付高额的惩罚性赔偿的情况，那么这时惩罚的目的就难以实现。环境侵权领域中侵权人对惩罚性赔偿不能及时支付时，可以公益劳动替代履行生态修复的责任或替代惩罚性赔偿金，这种做法值得借鉴。譬如，可以由信息侵权人提供信息安全保障服务等公益劳动以抵消全部或者部分的惩罚性赔偿，从而发挥惩罚、震慑的功能。

3.设立个人信息公益诉讼惩罚性赔偿的区间倍数

为防止法官肆意行使裁量权，在惩罚性赔偿金基数确定的基础上，应明确合理的区间倍数。当下各制定法中的具体惩罚性赔偿倍数的确定，主要以阻遏、惩罚力度与相应侵权行为被抑制的紧急程度联系起来［41］。是故，不应设置统一的惩罚性赔偿区间倍数，而应考量个人信息的具体情况以选择不同的区间倍数。

个人信息保护公益诉讼是一个上位概念（属概念），其下还包括了一般个人信息、敏感个人信息、私密信息、未成年人个人信息等下位概念（种概念）。在确定区间倍数时，应综合考量被侵害客体的具体种类，通常而言，对敏感个人信息、私密信息与未成年人个人信息的侵害更为严重，应采用较高的倍数。在此基础之上，根据案件类型、侵权人恶意程度、实施手段的恶劣程度、违法次数等进一步确定区间倍数［42］。譬如，产品责任领域的惩罚性赔偿，对于普通商品或者服务商品设置商品价款或服务费用的3 倍，而对于食品这类涉及生命安全健康的特殊产品则设置价款的10倍或损失的3倍。

此外，在确定具体的惩罚数额时，应同时考量侵权人基于同一行为是否遭致行政罚款与刑事罚金，以防止过罚失当的情况发生。毕竟，公益诉讼的胜率一直很高，甚至在某些地方检察院提出的公益诉讼，能够达至100%的胜率［43］。惩罚性赔偿应当作为一种公法手段的补充，因为这几个制度强调的同样是惩戒作用并非补偿损害的作用，若侵权人已经遭致行政处罚或者刑事罚金且数额较大，那么就应适用相对较低的惩罚赔偿，反之，应适用相对较高的惩罚赔偿。

（三）个人信息公益诉讼适用惩罚性赔偿应遵循过罚相当原则

认定的赔偿数额大于所造成的损害数额，这就决定了惩罚性赔偿的适用涉及较多的不确定因素，过高或者过低的数额既影响企业的发展，也影响个人信息的保护。由于个人信息损害的无形性与难以测量性，在适用惩罚性赔偿时容易造成过度保护个人信息权益而导致不法行为人承担过重责任的情形，甚至导致市场占比份额较小的企业因为巨额赔偿而破产，不利于经济平稳发展与个人信息保护的携手并进。相反，若惩罚性赔偿过低，那么该制度在个人信息保护领域势必会沦为摆设，不利于个人信息的保护，因此，探究惩罚性赔偿的限制适用乃重中之重。

过罚相当原则作为一种限制公法手段的原则，对于同样具备公法性质的惩罚性赔偿，能够提供适用思路。过罚相当原则是指判令处罚时应以事实为根据，与违法行为情节和社会危害程度基本相当［44］。将该原则适用于惩罚性赔偿中，可以体现为以下三方面内容。

第一，非必要情况下不得适用惩罚性赔偿。在个人信息保护公益诉讼中，只有在违法行为人主观恶性大、施加侵害的范围广或者补偿性赔偿无法实现公共利益的补救等严重情形时，才可以适用惩罚性赔偿。该赔偿金的功能在于补强个人信息保护公益诉讼的惩罚与威慑水平，从而阻遏潜在侵害信息的行为，实现预防效果，如果惩罚与威慑水平超过必要限度，会产生过度的震慑效果，降低社会生产积极性和整体效率。换句话说，应当综合考量个案中侵权过程的各个情节，阻遏因普通的不法行为而要求信息侵权人承担过重的惩罚，从而杜绝滥用惩罚性赔偿的做法。

第二，惩罚性赔偿需要结合刑法等公法保护手段进行考虑。个人信息保护公益诉讼作为“私人执法”诉讼，其主要目的在于弥补公法规制手段执行动力的不足，而惩罚性赔偿金的适用正是为了更好地促进“私人执法”效果。因此，对于个案来说，若刑法或者行政保护已经足够实现信息公益救济时，那么就不应当适用惩罚性赔偿金。同样对于公法规制手段执行动力的补充而言，惩罚性赔偿仅是在对现有公法措施未能涵盖的非法利益进行惩罚，其惩罚的数额不宜超过刑事罚金、行政罚款所认定的数额。

第三，惩罚性赔偿应当以最小必要数额为限制。一般情况下，在确定具体的额度之前，应当考虑行为人责任能力的范围。对于贫富不同的行为人而言，惩罚性赔偿的效果也有差异。同样的赔偿数额对于富人而言威慑力往往欠缺，而对于穷人而言可能过度［45］。只有将惩罚数额置于行为人责任承担能力范畴内，预防、阻遏的作用才能达到最大值，如果超过必要限度，将造成行为人过重的责任，失去惩罚作用的同时，也危害到经济发展。因此法院在实行自由裁量权时，应当将不法行为人的财富状况、个人承受能力作为惩罚性赔偿数额大小的考量因素［46］。