摘要：在数字经济时代，随着信息技术的迅猛发展，个人信息处理者泄露或不当使用个人信息导致侵权的案件不断增多。而不同司法机关在审理个人信息处理者侵权是否承担精神损害赔偿案件时，并未形成统一标准，致使个人信息主体的合法权益难以获得有效保护。个人信息作为一种法益具有人格利益属性，个人信息权益与个人信息主体的人格尊严和人格自由紧密联系，因此个人信息权益被侵害时，应协调适用《民法典》和《个人信息保护法》，以确保被侵权人获得精神损害赔偿，而在认定被侵权人的精神损害赔偿制度时应综合考量多种因素。

　　关键词：个人信息；精神损害赔偿；人格尊严；人格自由

　　党的二十大报告中专门强调“加强个人信息保护”，这从党和国家的层面为个人信息保护提供了最坚实的保障。现今，个人信息不仅仅是个人的事，更关乎一个群体甚至国家的公共安全。数据显示，截至2022年6月，我国互联网普及率达74．4%，网民人数超10亿。随着网民数量的增长，涉及的个人信息安全的案件也与日俱增。个人信息的非法泄露带给个人信息主体的伤害是持续性的，即使个人信息主体获得了物质损害赔偿金，但由之造成的精神损害却持续存在，难以获得救济[1]。

　　2022年7月21日，国家互联网信息办公室对某滴公司做出罚款人民币80．26亿元的决定，这是全球数据隐私保护领域迄今为止的最高罚单。罚款事由是某滴公司违法收集大量用户的敏感个人信息，数量高达647．09亿条，严重侵害用户个人信息权益，个人信息侵权问题再次被推上风口浪尖。随着人工智能等技术的发展，个人信息被非法收集、泄露的方式呈现普遍化、多样化。某滴公司属于个人信息处理者，个人信息权益遭受侵害是否应获得精神损害赔偿，学界主要参考《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)第六十九条第二款和《中华人民共和国民法典》(以下简称《民法典》)第一千一百八十二、一千一百八十三条规定。

　　一、侵害个人信息权益的精神损害赔偿制度之争议

　　《个人信息保护法》第六十九条第二款规定的侵权损害赔偿性质一直存在争议。有学者认为，该款使用的是“损失”一词，包括财产损害，也包括精神损害[2]。也有学者认为，该款规定的损害赔偿指侵害个人信息权益造成财产性损失赔偿，不包括精神损害赔偿。《民法典》第一千一百八十三条对精神损害赔偿做了明确规定，当人格权受到侵害时，具备事实(人身权益侵害)和后果(严重精神损害)两个构成要件，权利人也可以依照此条的规定，确定行为人的精神损害赔偿责任[3]。

　　由于没有明确的法律规定，在司法实践中，不同法院间未能达成统一的裁判规则，因此判决结果不尽相同。例如，在“罗某诉某汽车销售商和某保险公司侵害隐私权案”中，法院确认了原告的隐私权遭到保险公司侵害，责令该保险公司赔礼道歉并赔偿其相关通话费用4．54元以及精神损害抚慰金1元[4]。而在“庞某诉某航空公司案”中，因原告不能证明自己实际遭受精神损害，因此一审法院并未支持其诉讼请求，但法院在二审时改判支持了庞某要求航空公司赔礼道歉的诉讼请求①。可见，在个人信息处理者侵权案件中，不同法院间甚至同一法院一审二审时对于被侵权者的精神损害赔偿是具有相当的支持空间的。

　　个人信息保护虽然在《民法典》和《个人信息保护法》中均有规定，但对于个人信息处理者侵权是否需要承担精神损害赔偿责任，两部法律均未进行直接规定，由此导致司法实践中，不同地区法院乃至同一法院之间仍未达成统一的裁判规则。笔者认为，个人信息被侵害后会产生财产损害赔偿，也可能会产生精神损害赔偿责任，精神损害赔偿正当性可以通过《民法典》第一千一百八十二条与《个人信息保护法》第六十九条协调适用来解决，因为两者并不冲突，《个人信息保护法》的适用应结合《民法典》中规定的人格权保护一般规则，并在《民法典》的框架下展开。

　　二、个人信息侵权之精神损害赔偿正当性

　　(一)《民法典》与《个人信息保护法》协调适用

　　从生效时间来看，《民法典》于2021年1月1日施行，之后同年11月1日《个人信息保护法》才开始施行，因此，《民法典》与《个人信息保护法》属于旧法与新法的关系。从法律适用范围来看，《民法典》确立了基本的民事法律制度，是普通法，适用于平等主体之间，涉及生活的各个方面；而《个人信息保护法》则属于特别法，能够进一步规范个人信息处理活动，保护个人信息主体的合法权益。《个人信息保护法》虽然对个人信息侵权责任作了特别规定，但对于个人信息损害的认定以及损害赔偿等方面仍应依据《民法典》关于民事责任归责原则的相关规定。在司法实践中，要想形成完备的个人信息保护的原则和规则体系，就需要将两部法律的相关规定结合起来适用[5]。例如个人信息侵权损害赔偿问题，尽管《个人信息保护法》中并未规定个人信息处理者侵害个人信息权益时是否承担精神损害赔偿，但个人信息主体能够证明自己受到精神损害的，可依据《民法典》第一千一百八十三条第一款规定，请求个人信息处理者承担精神损害赔偿责任，两部法律的结合适用可使个人信息主体的权利得到更加全面的保护。

　　(二)个人信息与人格尊严、人格自由联系紧密

　　1．个人信息与人格尊严联系紧密

　　传统的侵权救济理念为“无损害即无救济”。损害包括物质性损害和非物质性损害，其中非物质性损害主要来自外部风险的损害和内心焦虑的损害[6]。首先，个人健康生理等敏感个人信息往往会涉及人格尊严，当这些敏感个人信息被侵害时，可能会产生诈骗或勒索等风险，这些风险让个人信息主体产生内心焦虑并遭受严重精神痛苦，此时通过精神损害赔偿对受害人进行救济就显得尤为重要；其次，在数字社会，个人信息具有可复制性强的新特点，不法分子可以永久性地获得个人信息的相关数据，持续对个人信息主体造成精神损害；最后，个人信息处理者最初收集的个人信息也许并非私密信息，但通过算法能够形成描述个人信息主体私密特征的信息，这些信息被特定化则会构成隐私[7]。而隐私与人格尊严犹如一枚硬币的两面，从这个意义来讲，个人信息与人格尊严是紧密联系的，侵害敏感个人信息可能侵害信息主体的人格尊严，使信息主体遭受精神损害。

　　2．个人信息与人格自由联系紧密

　　在下载手机软件时，很多软件要求开放读取通讯录、允许访问媒体内容等多个手机权限，一些软件开发者可获取到软件用户的各类个人信息，包括隐私信息。软件平台通常会利用所收集的个人信息，分析个人信息主体的喜好，根据个体喜好向其推送个性化广告，由此获取经济利益。这种精准营销模式往往将个人信息主体置于监控中，干扰其消费方式，使其失去真正的人格自由。同理，用户在使用“某滴出行”APP时，其出行都记录在某滴公司的大数据下，其中部分信息已经属于敏感信息的范畴。某滴公司收集的这些信息一旦被不法分子获得，用户可能遇到各种不法侵害，轻者可能收到骚扰电话、骚扰短信，严重的甚至可能遭受网络诈骗或者网络盗窃，侵犯用户的生活安宁权。

　　生活安宁权是《民法典》新增加的内容，《民法典》第一千零三十二条明确将私人生活安宁纳入隐私的范畴，频繁的骚扰电话、骚扰短信，狗皮膏药一样的弹窗广告，打扰了我们生活的安宁，而自然人在其居住场所享受生活安宁、不受他人侵扰的合法权益，这种权益应归于人格权的范畴。根据《最高人民法院关于确定民事侵权精神损害赔偿责任若干问题的解释》第一条的规定，当违反社会公共利益、社会公德侵害他人隐私或者其他人格利益时，受害人通过诉讼方式请求精神损害赔偿的，人民法院应当依法予以受理。而生活安宁权亦属于人格权范畴，因此，当侵害他人人格权时，受害人可以要求侵权人承担精神损害赔偿责任。

　　三、侵害个人信息权益精神损害之认定

　　(一)境外精神损害赔偿制度的适用扩张

　　关于个人信息处理者侵权产生的损害的认定，国外法律一直有明确规定。如，欧盟《通用数据保护条例》(以下简称“GDPR”)第八十二条第一项就规定了：“任何因为违反本条例而受到物质或非物质性损害的人都可以主张从控制者或处理者处获得损害赔偿。”而德国在欧盟GDPR生效之前就已经明确将损害的显著性或者严重性作为可赔偿性的必备条件，即只有“严重侵犯人格权”的个人信息违法行为，个人信息主体才有权要求赔偿[8]。在司法实践中，德国法院认为，因个人感觉不适而造成的痛苦，仅属于轻微侵害，并不构成严重损害，因此不会构成欧盟GDPR第八十二条规定的非物质损害赔偿要求。

　　2021年12月，在德国慕尼黑第一地区法院审理一个客户(原告)与金融服务公司(被告)之间就被告的服务提供商造成数据泄露发生的纠纷。在判决中，法院根据欧盟GDPR第八十二条对物质损失和非物质损失均给予了认可，对第三方未经授权访问个人数据给予了数据主体精神损害赔偿。这一判决与之前德国一些地区法院针对欧盟GDPR下的损害赔偿所采取的相当严格的做法不同，该案属于德国法院根据欧盟GDPR向遭受数据泄露影响的信息主体给予损害赔偿的代表性判决。

　　(二)我国精神损失赔偿制度的认定标准

　　在我国《个人信息保护法》中并没有明确损害赔偿的认定标准，而《民法典》第一千一百八十三条第一款规定了被侵权人主张精神损害赔偿的前提是遭受的精神损害需达到严重的程度，由于精神损害本身就具有一定的伸缩性，在实践中较难认定，如果认定标准过于宽泛，则会导致侵权行为认定的泛滥，而对于“严重”的认定并没有明确的规定，因此该认定带有很强的主观性，不能完全适用“完全损害赔偿”原则，因此需要结合客观的标准对具体案件进行具体分析。在具体实践中，应该结合侵权行为的性质、方式以及程度进行综合判断，侵权人是否存在主观过错，损害后果的类型以及因侵权导致的一系列连锁问题等多方面[9]。所以，个人信息侵权案件需要综合考量多种因素才能对严重与否做出判定，至于《民法典》第一千一百八十三条第一款规定的精神损害“严重”程度，笔者认为，“严重”是为了排除明显轻微的侵害，例如偶尔收到垃圾邮件给个人造成的不适，“严重程度”可由法官根据具体案件自由裁量。在《中国法院2022年度案例》之精选案例分析中，法官认为可以通过以下三步进行考量：其一，精神损害的产生超出日常生活经验法则；其二，精神损害超出一般人的容忍限度；其三，停止侵害、消除影响、赔礼道歉等方式明显不足以救济被侵权人。

　　四、结语

　　对于某滴公司的重罚，显示了国家治理个人信息安全问题的态度，也表明了国家对于个人信息安全和隐私的充分尊重，是以人为本治国理念的重要体现。对于个人信息被侵害的精神损害赔偿，需将《个人信息保护法》的规则与《民法典》的规则结合适用，同时将《个人信息保护法》放在《民法典》的框架下展开，能够缓解个人信息处理者侵权精神损害赔偿空缺等问题。而实务与理论对精神损害赔偿是否要达到“严重后果”认定并不统一，可由法官根据精神损害的产生是否超出日常生活经验法则，是否超出一般人的容忍限度，以及停止侵害、消除影响、赔礼道歉等方式是否明显不足以救济被侵权人这三个方面综合考量，从而实现个人信息主体被损害的全面救济。

参考文献

　　[1]张红．提升公共安全治理水平加强个人信息保护[N]．人民公安报，2022-11-22(6)．

　　[2]程啸．侵害个人信息权益的侵权责任[J]．中国法律评论，2021(5)：59-69．

　　[3]杨立新．侵害个人信息权益损害赔偿的规则与适用——《个人信息保护法》第69条的关键词释评[J]．上海政法学院学报(法治论丛)，2022，37(1)：1-15．

　　[4]陈建华．侵害公民个人信息的赔偿责任[J]．人民司法(案例)，2016(29)：67-70．

　　[5]姚佳．《民法典》与《个人信息保护法》的适用逻辑[N]．中国社会科学报，2022-07-06(4)．

　　[6]刘云．论个人信息非物质性损害的认定规则[J]．经贸法律评论，2021(1)：60-72．

　　[7]彭诚信，许素敏．侵害个人信息权益精神损害赔偿的制度建构[J]．南京社会科学，2022(3)：84-95．

　　[8]姚佳．个人信息主体的权利体系——基于数字时代个体权利的多维观察[J]．华东政法大学学报，2022，25(2)：87-99．

　　[9]程啸．侵权责任法教程[M]．北京：中国人民大学出版社，2020：408．