摘 要：在个人信息侵权领域，极个别情况下按照差额说可以计算出受害人遭受的财产损害。更为普遍和常见的情形是，个人信息被他人大规模非法收集和处理，极少伴随着身体伤害或财产损失。传统侵权法中损害的内涵和确定方法在个人信息侵权领域受到严重挑战。可能的解决路径是建立双层赔偿机制：在人身或财产损害能够确定场合遵循完全赔偿原则；在受害人所受损害与侵权人所获利益不能确定场合时，可考虑建立法定赔偿机制，但惩罚性赔偿机制不宜引入。

关键词：个人信息；法定赔偿；补偿性赔偿；惩罚性赔偿

中图分类号：D913 文献标识码：A 文章编号：1674-5450（2024）05-0075-08

一、问题的提出

2021年8月20日，第十三届全国人大常委会第三十次会议审议通过了《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》），自2021年11月1日开始施行。该法的出台对于保护个人信息权益、平衡个人信息保护与合理利用，具有重大而深远的意义。诚如学者所言，该法的亮点与特色颇多[1]。其中，引起学术界特别关注的是该法第69条与《中华人民共和国民法典》（以下简称《民法典》）第1 165条相衔接，正式确立了个人信息侵权损害赔偿制度。从规范内容来看，《个人信息保护法》第69条第2款就损害赔偿数额的确定，创立了独具特色的两阶段模式，即原告提起个人信息侵权之诉时，可以先按照因侵害行为受到的损失（简称所受损失）或者处理者获得的利益（简称所获利益）计算损害赔偿数额；所受损失和所获利益难以确定时，由法官根据实际情况自由裁量，最终酌定损害赔偿数额。《个人信息保护法》施行已近三年，两阶段计算模式在司法实务中的适用状态如何？能否切实担负起保护个人信息的重任？有无进一步完善的空间？目前，鲜有学者以实务运作为逻辑起点，全面系统评估《个人信息保护法》第69条的立法成效。有鉴于此，笔者拟从个人信息侵权诉讼特别是证明责任分配的视角，对该条予以检讨，进而提出进一步完善个人信息侵权责任规范的立法建议，以期为强化个人信息保护贡献绵薄之力。

二、个人信息侵权损害赔偿的实务检视

（一）传统民法上的损害概念

损害赔偿是针对损害的赔偿，损害后果是侵权损害赔偿责任的必备要件。无损害则无赔偿，是损害赔偿责任的核心要义。受害人如果未遭受损害，要求加害人承担损害赔偿责任也就无从谈起。但何谓损害，传统大陆法系国家民法典，如《德国民法典》《瑞士民法典》《日本民法典》都未对损害的含义作出立法规定。在理论上，德国学者创立了损害认定的差额说，即将受害人在损害事件发生前后的财产状况进行比较，若存在差额则受害人存在损害，反之则不存在损害[2]211。差额说对后世立法与理论研究影响深远。《德国民法典》第249条规定，损害赔偿应回到假设引起赔偿义务的情况未发生时的状况，即对侵害发生前后的权益状况进行对比。如果通过对比得出了负面的差额，则该差额作为损害应当得到赔偿。瑞士学术界通说也认为，损害等于现存财产状况与未来发生侵害事件时，财产状况的差额[3]48。就我国而言，《民法典》也没有界定损害的含义。我国学术界通常认为，所谓损害是指受害人因他人的加害行为所遭受的人身或财产上的不利后果[4]312。民法上的损害应具有客观性、确定性与可救济性，主要采用德国学者提出的OUz++O6i4TptR7IoUT6qn4t3roanzKQN3HXbrcKAJlI=差额说进行计算。按照差额说，应比较没有侵权事件发生时受害人应处的利益状态与侵权事件发生时所处的利益状态，二者的差额即为受害人遭受的财产损失[5]。

（二）所受损失赔偿规则空转

在个人信息侵权领域，某些情形下按照差额说确实可以计算出受害人所遭受的财产损害。例如，甲的银行卡号与身份证号被乙非法窃取，乙对甲实施电信诈骗，骗取了甲银行卡中的巨额资金。在此情形，甲在提起损害赔偿之诉时，按照差额说很容易计算出自己所受的财产损失。又如，甲使用百度地图行踪信息被乙非法收集，乙循此信息跟踪甲并将甲打伤。甲为治疗支付了手术费、医疗费等合理费用。上述费用作为甲遭受的财产损失，按照差额说也可以较为容易证明。不过，根据日常生活经验，更为普遍和常见的场景是，个人信息被他人大规模非法处理、泄露，但极少伴随着身体伤害或者财产受损。这是因为社会公众普遍没有接受过大数据技术与信息技术的教育或培训，在数字素养未得到有效提升的情况下，迅疾被时代潮流裹挟进入数字社会。面对猝不及防的社会转型，对信息技术所知甚少的单个自然人缺乏与精通信息技术的互联网企业对抗的有效武器。在数字鸿沟加深背景之下，个人的主体地位被极大贬损，事实上已经沦落为任由处理者肆意宰制的客体。与此形成鲜明反差的是处理者往往通过大数据技术和算法运作，操控个人信息处理全过程，更为清楚个人信息处理过程中存在的漏洞，也更有能力建立风险防范机制。在双方地位差异悬殊、技术手段严重不对等的背景下，受害人提起个人信息侵权之诉，根据谁主张谁举证的原则，需要举证证明自己遭受的实际损失。按照差额说的计算方法，受害人须证明侵权事件发生前后自己的财产状况变化。但通常情况下，除上述电信诈骗等少数情形外，个人信息泄露后短期内并不会造成信息主体人身损害或者财产毁损，而只是为未来某个时刻引发人身或财产损害埋下了“不定时炸弹”。它可能在某个时刻引爆，可能在信息主体的一生中也不会引爆，还可能在信息主体死后某个时刻引爆。个人提起个人信息侵权之诉时，若个人信息泄露的损害尚未发生，受害人的财产状况在侵害事件发生前后，并不会发生何种变化。按照差额说的计算方法，这意味着个人信息侵权前后，原告的财产变动情况为零，其主张财产损害赔偿的诉讼请求将被法院驳回。司法实践中的做法也印证了上述推理。在王某与腾讯公司个人信息保护纠纷一案中，二审法院认为，王某没有提供证据证明《个人信息保护法》要求的损害存在，故对其主张腾讯公司造成其个人权益损害要求赔偿的诉讼请求不予支持[6]。

为破解个人信息侵权赔偿数额确定的困境，有学者将问题的症结归咎于差额说的缺陷，提出以规范损害说修正差额说，主张从宽解释损害概念，认为现实损害固然属于损害，但个人信息泄露后，信息主体遭受下游损害的风险增加，并且通常伴有担忧未来会遭受欺诈的焦虑情绪，也可以视为损害（风险损害说）。在评价风险性损害时，由法官在个案中考虑各种因素进行利益衡量后确定[7]。该学说的可取之处是，注意到了大数据时代个人信息侵权损害确定的特殊性，深化了学术界对损害这一基本范畴的认识。不过，该学说亦有其不足之处。一方面，该学说对传统损害概念内涵的冲击过大，目前仅有个别学者主张该学说，其尚未被主流学说所认可；另一方面，风险损害说面临的最大难题，在于如何在具体案件中予以量化和厘定。风险的本质特征是，未来损害发生与否目前难以确定，而民法上的损害概念要求确定性，故风险与传统损害概念的内涵恰恰背道而驰。即使在大数据时代为强化个人信息保护，理论上将损害概念的外延进行扩大，使之将风险包含在内，实践中也难以通过可操作的技术方案，将风险的实际数额予以量化，原告的诉讼请求仍然可能被驳回。质言之，风险损害说看上去很圆满，但对于确定当事人损害赔偿数额而言，实际意义非常有限。

综上所述，无论信息主体的社会地位，抑或其对抗武器，与处理者相比均处于严重不对等的局面。在此情况下，缺乏技术手段的信息主体提起个人信息侵权诉讼，举证证明自己遭受的经济损失难度很大，几乎是不可能完成的任务。行文至此，论者可能提出疑问，原告虽然不能证明自己遭受的损害，不是还可以选择请求赔偿处理者因此获得的利益吗？事实并非如此。

（二）所获利益赔偿规则失灵

大数据的特征之一是价值密度低。这意味着个人信息聚集形成海量数据时，才能发挥规模效应，促进数字经济发展。有美国学者对个人信息的价值进行了测算，得出的结论是单个普通人贡献的个人信息价值为0.007美元，经常出差的富人的价值为1.78美元[8]，单个的个人信息的价值实际上并不高。从我国侵犯公民个人信息罪的刑事判决来看，行为人从每条个人信息侵权中获得的收益极其低微。李某某多次向他人出售公民个人信息共计80 000万余条，得款7 000元，平均每条0.09元[9]；王某某出售公民个人信息9 957条，获利193 603.93元，平均每条19.4元[10]；曾某某出售个人信息共计97 000余条，获利共计人民币10 000元，平均每条0.1元[11]；王某、孙某某向他人出售152 875条公民个人信息，获利11 500元，平均每条0.075元[12]；任某某、陈某非法获取公民信息130 000余条，并以人民币3 250元的价格向他人出售，平均每条0.025元[13]；李某某、肖某某非法出售公民个人信息124 000余条，获利人民币178 922元，平均每条1.44元[14]。受害人提起民事诉讼时，往往需要支出诉讼费、律师费、保全费等合理费用。将侵权人单条个人信息侵权所获利益与受害人支出的合理费用相比，后者显然大于原告胜诉后可能获得的赔偿数额。在诉讼维权成本远远高于收益的情况下，理性的个体势必缺乏积极维权的动力，最终不得不放弃诉讼维权，任由侵权人违法处理个人信息。

更有论者认为，为便于原告了解被告侵权获利情况，不妨赋予原告查阅被告账簿的权利。不过，一方面，依《个人信息保护法》第44条规定，信息主体享有知情权，包括处理个人信息前的告知、要求处理者公开处理规则、查阅复制权与规则解释说明权等权利[15]113。从文义解释来看，信息主体的查账权尚不包含在知情权的范畴内；另一方面，处理者侵害个人信息所获利益的绝对数值或许很高，但对具体个人而言所获得的利益却极其低微，即使赋予原告查账权，其所能获得的赔偿数额也极为有限。考虑到需要支出的交通费、诉讼费、律师费等合理维权成本，对比可能的收益与必要成本支出后，理性的信息主体势必丧失行使查账权的动力。不仅如此，如果赋予信息主体查账权，不排除某些不诚信的个人出于刺探企业商业秘密的动机，以行使法定权利为借口，干扰甚至侵害企业的正常经营活动。在案多人少的司法现状下，赋予信息主体查账权可能打开个人滥诉的闸门，导致法官的办案压力急剧增加，不仅拖延案件的审理周期，而且仓促办案也难以保障案件审判质效。可见，赋予信息主体查账权对于优化原告诉讼请求并没有实际意义，也不符合我国现阶段的国情。

（三）法官酌定赔偿无力

如前所述，个人信息侵权发生时，原告通常难以证明自己遭受的实际损失，也难以证明处理者因此获得的利益。剩下的唯一救济手段，是《个人信息保护法》第69条第2款后半段规定，即由法官根据实际情况确定赔偿数额。不过，该规定的不足之处在于，未给法官提供参考因素，赋予法官的自由裁量权过大，可能出现赔偿数额过高或过低的判决。由此衍生的后果是，要么不能体现出“罚当其罪”，对信息主体的保护力度不够；要么“罚过其罪”，对处理者造成过大的经济压力，不利于数字经济的发展。

综上，《个人信息保护法》第69条第2款虽然创立了两阶段三小种损害赔偿计算方法，但可操作性都不强，难以为受害人提供有效救济。笔者以“《个人信息保护法》第69条”为关键词，在中国裁判文书网检索，显示仅有10则案例。其中，法官援引该条支持原告损害赔偿诉讼请求的判决稀少，仅有3例且赔偿数额不高。在贾某某、青岛远海教育服务有限公司等个人信息保护纠纷一案中，法院判决被告赔偿原告实际损失500元，精神损害抚慰金3 000元[16]。在庞某某、山东健罡项目管理有限公司个人信息保护纠纷一案中，法院判决被告赔偿原告侵权损害赔偿金2 000元[17]。其余案例，要么被法院驳回诉讼请求，要么依附于民事检察公益诉讼。由此可见，第69条第2款基本上处于“休眠”状态。尽管个人信息侵权事件在生活中很常见，但鲜见信息主体提起侵权损害赔偿之诉。究其根源，在于个人信息存在于网络空间中，具有无形性、隐秘性和非竞争性等特征。传统差额说自19世纪德国学者蒙森创立以来，主要适用于物理空间、线下社会，对网络空间中的侵权责任则“水土不服”，难以适应并发挥应有的作用。

为了实现保护个人信息权益的立法目的，有必要改弦更张，另辟蹊径，重构个人信息损害赔偿数额确定机制。

三、个人信息侵权损害能够确定：遵循完全赔偿原则

个人信息的固有特征是可识别性，即能够直接或与其他个人信息结合，识别出特定的信息主体。个人信息一旦被他人非法收集，可能被处理者滥用，如实施营销、跟踪、杀害等违法犯罪行为。该类侵权行为的特点是，侵权人首先非法收集和处理个人信息，然后实施加害行为，产生损害后果。非法收集和处理个人信息与线下侵权之间，是手段与目的关系，类似于刑法上的牵连犯。在损害赔偿数额的量化上，以受害人遭受的实际损失为标准进行计算，侵害个人信息的损害赔偿包含于人身或财产损害之中，不必单独计算。例如，在电信诈骗情形，受害人的人脸信息被窃取后，不法分子利用该人脸信息通过支付宝验证，窃取受害人100万元，法院即可据此判决侵权人承担100万元的赔偿责任。

需要注意的是，个人信息侵权场合，受害人遭受的精神损害也应予以赔偿。这是因为，个人信息属于人身权益的范畴。个人信息侵权事件发生后，个人遭受精神痛苦在所难免。例如，个人信息泄露后，通常信息主体都会担忧未来某个时刻，个人信息被不法分子利用发生诈骗或隐私泄露等风险。特别是银行卡号、身份证号等敏感信息泄露后，信息主体通常会产生焦虑、恐惧等不良情绪。上述不良情绪虽然客观上难以量化和计算，但可以作为确定精神损害赔偿的考量因素，由法官确定精神损害抚慰金数额，从而激发信息主体维权的积极性，切实保护个人信息权益。例如，在蔡某某、山东培森人力资源开发有限责任公司等个人信息保护纠纷一案中，原告蔡某某与被告公司不存在劳动关系，被告公司在填写单位职工社保信息时，误写为蔡某某的个人信息，导致蔡某某个人社保号码被他人占用多年无法缴纳社保。蔡某某起诉请求赔偿15万余元的损失。法院认为被告公司存在过错，但蔡某某早在2007年即知道上述情形但未尽早行使权利，放任损失进一步扩大亦有过错。法院综合考虑双方的过错程度在损害发生中的原因力大小，判令被告赔偿原告2万元[18]。

四、个人信息侵权损害不能确定：引入法定赔偿制度

（一）知识产权法定赔偿制度的借鉴

法定赔偿，是指不需要举证证明而是直接按照制定法规定的数额给予的赔偿。法定赔偿制度主要起源于英美国家，在知识产权保护领域广泛适用。据统计，目前美国、加拿大、澳大利亚、韩国和新加坡等几十个国家，已经在知识产权法中实行了这一制度[19]。例如，按照《美国法典》第17编第504条（c）规定，在终局判决做出前的任何时候，针对任何一部作品，版权所有人可以就诉讼所涉一切侵权，选择要求判付法定损害赔偿，以代替实际损害赔偿和利润，由一个侵权人单独，或由两个或多个侵权人连带承担，赔偿金额不低于750美元、不超过3万美元，由法院酌定[20]445。如果侵权人故意侵权，法定赔偿金可增至每部作品15万美元。如果侵权人能证明其没有意识到或没有理由相信其行为构成版权侵权，则法院可以酌情将法定赔偿金降低至每部作品200美元。美国《兰姆法》规定，若原告选择法定赔偿，则法院有权就每类商品或服务商的每个仿冒商标判决给予100美元至20万美元之间的赔偿金。如果对仿冒商标的使用为故意侵权，则法院有权就每类商标或服务的每个商标判决给予200万美元以下的赔偿金。

就我国著作权保护而言，由于著作权的对象具有无形性，实践中侵权人究竟给权利人造成多大损失难以准确计算[21]140，我国知识产权侵权损害赔偿也引入了法定赔偿制度①。与著作权、专利权客体的无形性相同，个人信息作为数据载体呈现的内容存在于网络空间，也具有无形性的特征，同样存在着受害人所受损害与侵权人所获利益难以计算的困境。基于相同事物相同处理的类比思想，在个人信息侵权领域，不妨也引入法定赔偿制度。诚如学者所言，这种同时规定最高赔偿额与最低赔偿额的赔偿模式，具有对法官的自由裁量权进行授权与限制的双重属性，有利于在合理期间内确定妥当的赔偿数额[22]。

（二）个人信息侵权法定赔偿数额的确定

1.最低赔偿数额的确定

从比较法看，域外已有个人信息侵权法定赔偿制度的立法例子。例如，美国2018年《加州消费者隐私法案》规定，为每个消费者每次事件赔偿不少于100美元且不超过750美元的损害赔偿金或实际损害赔偿金，以数额较大者为准。实际上，在《个人信息保护法》起草过程中，有学者提出借鉴域外规定，采取一个相对幅度更小的范围确定赔偿数额，如对每个受害人赔偿500元至1 000元。不过，立法机关考虑到个人信息侵权往往涉及人数众多，若作出此类规定可能对处理者造成过大赔偿责任，最终没有采纳该观点[23]。立法机关的顾虑有其道理，因为大规模侵权势必造成大规模损害，赔偿数额过高可能导致涉事企业破产，不利于数字经济的发展。但立法机构的做法显然不利于保护个人信息权益，从一个极端走向了另一个极端。有学者建议，可以按照每人每事件500元至1万元的区间标准来确定，并结合责任减免规则实施[24]。该观点的不足之处在于，一方面，设计的法定赔偿幅度过大，难以与个人信息的分类以及侵权人的主观状态契合；另一方面，法官自由裁量空间过大，有可能诱发权力寻租，滋生司法腐败。笔者认为，不妨区分个人信息的类型与侵权人的主观状态，分别确定不同的赔偿数额。例如：处理者过失侵害一般个人信息的，可以按照最低每人每事件1 000元赔偿；过失侵害敏感个人信息的，可以提高至最低每人每事件2 000元赔偿。处理者故意侵害一般个人信息的，可以按照最低每人每事件

2 000元赔偿；故意侵害敏感个人信息的，可以提高至最低每人每事件4 000元赔偿。一方面，该做法贯彻了“过罚相当”，符合分配正义；另一方面，也能激励受害人积极维权，符合矫正正义，合理平衡了双方当事人利益，是一个相对妥适的处理方案。

2.最高赔偿数额的确定

与传统线下社会侵权不同，个人信息侵权通常属于大规模侵权，受害人动辄成百上千人，个人信息泄露场合可能达到数百万人甚至更多。例如，某医护人员利用在妇幼保健院工作的便利，倒卖新生儿和产妇的个人信息8万条，以每人最低赔偿1 000元计算，侵权人共需承担8 000万元的赔偿责任，这对于自然人处理者而言无异于“灭顶之灾”。又如，某酒店1亿条个人信息泄露，以每人最低赔偿1 000元计算，侵权人共需赔偿1 000亿。损害赔偿数额的确定，不仅关乎受害人的法律救济，而且关涉网络产业、数字经济的发展。处理者实施侵权行为固然需要承担赔偿责任，但过大的赔偿额可能远远超出其赔偿能力，危及侵权人的生存，甚至造成互联网企业濒临破产。正是出于这一考虑，《个人信息保护法》起草过程中，立法机构最终没有引入法定赔偿机制。为协调个人信息权益保护与数字经济发展之间的关系，可考虑为处理者设定最高赔偿限额。在比较法上，根据美国伊利诺伊州《生物信息隐私法》的规定，被告每实施一次违法行为，需向原告支付最高1 000美元的赔偿金；若被告故意侵权或鲁莽为之，则需向原告支付最高5 000美元的赔偿金。《利用信息网络侵害人身权益司法解释》第12条第2款规定，侵害个人人身权益造成财产损失，如果无法确定被侵权人因此所受财产损失或侵权人因此所获利益，法院可按照具体案件情况于50万元以内酌定赔偿额。借鉴这一规定，可区分一般信息与敏感信息侵权，分别设计最高赔偿限额。具言之，处理者过失侵害一般个人信息时，最高赔偿限额可以设定为50万元；过失侵害敏感个人信息时，最高赔偿限额可设定为100万元；处理者故意侵害一般个人信息时，最高赔偿限额可设定为100万元；故意侵害敏感个人信息时，最高赔偿限额可设定为200万元。若受害人能够举证证明自己遭受的实际损失或侵权人所获利益超过法定最高限额，则允许受害人选择以所受损失或者所获利益为准计算赔偿数额，不受法定最高数额的限制。

3.法定赔偿与惩罚性赔偿的关系

值得注意的是，在个人信息侵权领域，不少学者主张引入惩罚性赔偿制度，认为该制度既能够弥补信息主体的财产损害，又能对个人信息侵权行为予以惩罚与遏制，有利于预防侵权行为的再次发生[25]。笔者认为，在引入法定赔偿制度后，不宜再创设惩罚性赔偿制度。一方面，惩罚性赔偿是对加害人科处超过受害人所受损害额度的赔偿制度，其目的在于惩罚加害人与预防将来的违法行为，具有与刑罚相同的制度目的[26]212。从刑事诉讼实践来看，被告构成侵犯公民个人信息罪时，法院在判处其有期徒刑的同时，往往判处数额不等的罚金。例如，金某犯侵犯公民个人信息罪，判处有期徒刑1年10个月，并处罚金11万元[27]；汪某侵犯公民个人信息罪，判处有期徒刑3年并处罚金2万元[28]；杨某某犯侵犯公民个人信息罪，判处有期徒刑3年，并处罚金人民币0.5万元[29]。上述数额的确定不是没有根据的任性决定，而是在综合考虑诸多因素，如加害人的主观状态、侵权持续的时间、获利的数额以及损害后果等情节后，由法官自由裁量判定。上述因素在法官确定罚金数额时已经有所考虑，本身已经具有惩罚色彩，如果再依据上述因素算定惩罚性赔偿数额，无异于对同一法律事实进行二次评价，对加害人施加两次不同程度的惩罚。如此处理不仅背离罪刑责相适应原则，而且对被告也不够公平。另一方面，我国在侵犯公民个人信息罪罚金刑之外，还设立了高额罚款行政处罚措施，成为维护公共利益为目的的独特制裁措施[30]。罚款的数额在参考受害人数量、损害大小及侵害公共利益严重程度等因素的基础上，根据大、中、小、微规模企业的年度平均营业收入计算[31]。例如，根据《个人信息保护法》第66条规定，违反本法规定处理个人信息，情节严重的处以5 000万元以下或者上一年度营业额5%以下罚款。从成立基础来看，惩罚性赔偿制度与行政罚款制度都建立在惩罚与威慑之上，且两者都以维护社会公共利益为宗旨。主管部门对个人信息侵权人施以高额处罚，已经对被告的侵害个人信息的行为给予了适当的惩罚。因此，如果严格执行罚款制度，惩罚性赔偿制度所要解决的问题，实际上能够被高额罚款制度取代。目前，个人信息侵权引入惩罚性赔偿制度尚处于理论研讨层面，仅有少数学者主张，尚未纳入立法机构的视野。在此情况下，我国不宜贸然引入个人信息惩罚性赔偿制度。

五、结语

与物理空间中的侵权行为不同，个人信息侵权存在于网络空间，具有潜伏性、持续性、隐蔽性和损害微小性等特征，通常属于大规模微型侵权。传统侵权法上的损害概念与损害认定的差额说，在新的社会背景下面临严重挑战。《个人信息保护法》第69条第2款确立的损害赔偿计算规则不敷适用，受害人与侵权人的利益状态严重失衡。为贯彻落实保护个人信息权益与促进个人信息合理利用的立法目的，有必要对失衡的利益状态进行再平衡。可行的路径是，在受害人遭受的实际损害与侵权人获得的利益难以确定时，引入个人信息侵权法定赔偿机制，从而激发个人信息主体维权动力，切实保护自然人的人格尊严。

参考文献：

［1］ 王利明，丁晓东.论《个人信息保护法》的亮点、特色与适用［J］.法学家，2021（6）：1-16.

［2］ 埃尔温·多伊奇，汉斯-于尔根·阿伦斯.德国侵权法［M］.叶名怡，温大军，译.北京：中国人民大学出版社，2022.

［3］ 海因茨·雷伊.瑞士侵权责任法［M］.贺栩栩，译.北京：中国政法大学出版社，2015.

［4］ 王利明.侵权责任法研究：上卷［M］.北京：中国人民大学出版社，2016.

［5］ 谢鸿飞.个人信息泄露侵权责任构成中的损害［J］.国家检察官学院学报，2021（5）：21-37.

［6］ 王某、深圳市腾讯计算机系统有限公司个人信息保护纠纷民事二审民事判决书［EB/OL］.（2022-07-29）

［2024-03-18］.https：//wenshu.court.gov.cn/website/wenshu/181107ANFZ0BXSK4/index.html？docId=nOE3NrYf+UY

9Vxe7htQ76wMhfWd6gNiwhs8FUNMtpa3cJc0S6XLKoGI3IS1ZgB82B9C9VtlCtVAx7BHc0O22Tr5Leu9g8C4Eq5o

KNZTTuHq5K8pu2HIIETVDT/SCZ1rN.

［7］ 田野.风险作为损害：大数据时代侵权“损害”概念的革新［J］.政治与法律，2021（10）：25-39.

［8］ 申卫星. 论数据用益权［J］.中国社会科学，2020（11）：110-131.

［9］ 李某某侵犯公民个人信息二审刑事判决书［EB/OL］.（2020-10-21）［2024-03-18］.https：//wenshu.court.gov.cn/

website/wenshu/181217BMTKHNT2W0/index.html？pageId=4ce46e12a823acba2249e9d27c9b886f&s8=03.

［10］ 陈立鹏、王海涛侵犯公民个人信息罪二审刑事判决书［EB/OL］.（2020-09-25）［2024-03-18］.https：//wenshu.court.

gov.cn/website/wenshu/181107ANFZ0BXSK4/index.html？docId=9F7s0sQN9hbAxhbxrnfUl7a25HgdN2XWs/pMd/l

GRzuBV8jTyEWR4WI3IS1ZgB82B9C9VtlCtVAx7BHc0O22Tr5Leu9g8C4Eq5oKNZTTuHoUI8RdFrS4FXwkuRgv1

ns7.

［11］ 曾叶枫侵犯公民个人信息罪一审刑事判决书［EB/OL］.（2020-04-09）［2024-03-18］.https：//wenshu.court.gov.cn/

website/wenshu/181107ANFZ0BXSK4/index.html？docId=MK+xUnmVnDMkVrzdmPS4u1fIB-P-MSOU901zH8O7

RO5P62/sZk6witoGI3IS1ZgB82B9C9VtlCtVAx7BHc0O22Tr5Leu9g8C4Eq5oKNZTTuHq7momVw0C1UMwX1SCjp

Fe3.

［12］ 王坤、孙德传侵犯公民个人信息二审刑事判决书［EB/OL］.（2020-06-01）［2024-03-18］. https：//wenshu.court.gov.cn/website/wenshu/181107ANFZ0BXSK4/index.html？docId=d+dwNdGDyb+2iaAU2HLtqWef1+ZKtqisVHZR6

xI68RDZUsK8k9Jg4WI3IS1ZgB82B9C9VtlCtVAx7BHc0O22Tr5Leu9g8C4Eq5oKNZTTuHpd+UacFqcc2nzakUym

AgMA.

［13］ 任星光、陈源侵犯公民个人信息罪二审刑事判决书［EB/OL］.（2020-05-12）［2024-03-18］.https：//wenshu.

court.gov.cn/website/wenshu/181107ANFZ0BXSK4/index.html？docId=MPLip4EWDjgyeSueCRTwEuvWUxNLS+4D

szQCJUNSCqaTNqujmOh++GI3IS1ZgB82B9C9VtlCtVAx7BHc0O22Tr5Leu9g8C4Eq5oKNZTTuHqe3IqObSwrLPK

ri0M92Wxb.

［14］ 李世玺、肖一峰侵犯公民个人信息罪二审刑事判决书［EB/OL］.（2020-04-17）［2024-03-18］.https：//wenshu.

court.gov.cn/website/wenshu/181107ANFZ0BXSK4/index.html？docId=aiiSJMJpIAD7eYb/GUZoo3i9cdGSGVDzz6p

QhJl9/nh0xScbzNFJFGI3IS1ZgB82B9C9VtlCtVAx7BHc0O22Tr5Leu9g8C4Eq5oKNZTTuHq3O1dMMsMVXN1jYK

SxN9SX.

［15］ 杨合庆.中华人民共和国个人信息保护法释义［M］.北京：法律出版社，2021.

［16］ 贾友宝、青岛远海教育服务有限公司等个人信息保护纠纷民事一审民事判决书［EBeO/8D0rxUnmsk0oRtlxsmw==/OL］.（2020-09-20）

［2024-03-18］.https：//wenshu.court.gov.cn/website/wenshu/181107ANFZ0BXSK4/index.ht`ml？docId=JseWE2JCpa

cP55OSGoPgMIOdswV44Nc/CZkjEhwSSa8T4r2q061rwGI3IS1ZgB82B9C9VtlCVAx7BHc0O22Tr5Leu9g8C4Eq5o

KNZTTuHruursdTQI5yWHtkHrU07ph.

［17］ 庞衍硕、山东健罡项目管理有限公司个人信息保护纠纷民事一审民事判决书［EB/OL］.（2020-01-19）［2024-

03-18］.https：//wenshu.court.gov.cn/website/wenshu/181107ANFZ0BXSK4/index.html？docId=EpzSMH6XnFyJNIV

PEAGB/w9XBiC1fZlWXgYJ/bhgOpTemNjAF+SirWI3IS1ZgB82B9C9VtlCtVAx7BHc0O22Tr5Leu9g8C4Eq5oKNZ

TTuHrgkiXQegS5JKEIN+GWrf6m.

［18］ 蔡洪建、山东培森人力资源开发有限责任公司等个人信息保护纠纷民事一审民事判决书［EB/OL］.（2022-

08-08）［2024-03-18］.https：//wenshu.court.gov.cn/website/wenshu/181107ANFZ0BXSK4/index.html？docId=8+rx

cRm4OtPVXi9covDs/3uB5MSFYKByPR6DSiovZGc3W15IMauI9WI3IS1ZgB82B9C9VtlCtVAx7BHc0O22Tr5Leu9

g8C4Eq5oKNZTTuHotGyJBIhJ/SJv2UIQz/riZ.

［19］ 何育东.知识产权侵权法定赔偿制度的异化与回归［J］.清华法学，2020（2）：143-156.

［20］ 斯蒂芬·麦克约翰.威科法律译丛：版权法案例与解析［M］.宋慧献，译.北京：商务印书馆，2021.

［21］ 刘春田.知识产权法［M］.北京：中国人民大学出版社，2022.

［22］ 王成.《民法典》与法官自由裁量的规范［J］.清华法学，2020（3）：19-31.

［23］ 程啸，曾俊刚.个人信息侵权的损害赔偿责任［J］.云南社会科学，2023（2）：99-110.

［24］ 刘云.论个人信息非物质性损害的认定规则［J］.经贸法律评论，2021（1）：60-72.

［25］ 孙鹏，杨在会.个人信息侵权惩罚性赔偿制度之构建［J］.北方法学，2022（5）：91-107.

［26］ 佐伯仁志.制裁论［M］.丁胜明，译.北京：北京大学出版社，2018.

［27］ 金鹏侵犯公民个人信息罪刑罚与执行变更审查刑事裁定书［EB/OL］.（2020-03-04）［2024-03-18］.https：//wen

shu.court.gov.cn/website/wenshu/181107ANFZ0BXSK4/index.html？docId=DboIpCYeg3Lx0zf0v06n547j+Qm5CJug

df0AjzOEoj10itWWjpwpBWI3IS1ZgB82B9C9VtlCtVAx7BHc0O22Tr5Leu9g8C4Eq5oKNZTTuHqRJzh3QYZnZdF3

DcCmDdVu.

［28］ 汪财侵犯公民个人信息罪刑罚与执行变更审查刑事裁定书［EB/OL］.（2020-12-31）［2024-03-18］. https：//

wenshu.court.gov.cn/website/wenshu/181107ANFZ0BXSK4/index.html？docId=KdfagSZnUF85GJF0Uvk6XNcuBD

vIA7F3PMcRWmfFlVmFAlVxODJCmmI3IS1ZgB82B9C9VtlCtVAx7BHc0O22Tr5Leu9g8C4Eq5oKNZTTuHoS+Pn

0PWXkGqshGBjwZLcc.

［29］ 杨木土诈骗再审刑事判决书［EB/OL］.（2020-09-29）［2024-03-18］.https：//wenshu.court.gov.cn/website/wens-

hu/181107ANFZ0BXSK4/index.html？docId=eX0NdUhOs0M6ZdgDIXO31K2ldJY9ZtXeeMrKofyhmslVDO2e/+H9

UGI3IS1ZgB82B9C9VtlCtVAx7BHc0O22Tr5Leu9g8C4Eq5oKNZTTuHpGNbyOmgGSOtpmlj1i32YC.

［30］ 朱广新.美国惩罚性赔偿制度探究［J］.比较法研究，2022（3）：152-168.

［31］ 孙莹.规模侵害个人信息高额罚款研究［J］.中国法学，2020（5）：106-126.

Conception of Double Layer Compensation Mechanism for Personal Information Infringement

Du Huantao1， Gao Ying2

（1.College of Law， Shenyang Normal University， Shenyang Liaoning 110034;

2.Beijing Dacheng Shenyang Law Firm， Shenyang Liaoning 110021）

Abstract：In the field of personal information infringement， in rare cases， the property damage suffered by the victim can be calculated according to the balance theory. The more common and common situation is that personal information is illegally collected and processed by others on a large scale， rarely accompanied by physical injury or property loss. The connotation and determination method of damage in traditional tort law are seriously challenged in the field of personal information infringement. The possible solution is to establish a two-tier compensation mechanism： the principle of full compensation should be followed when the personal or property damage can be determined， and the statutory compensation mechanism can be considered when the damage suffered by the victim and the interests of the infringer can not be determined. Punitive damages mechanism should not be introduced.

Key words：personal information; statutory damages; compensatory damages; punitive damages