论侵害个人信息的民事责任

程 啸

一、引 言

个人信息保护已经成为现代社会越来越重要的法律问题，各国对个人信息的保护都是公法与私法并重的。私法上保护个人信息的主要方式就是民事责任制度，即在自然人的个人信息遭受侵害时，被侵权人有权请求侵权人承担停止侵害、排除妨碍、赔偿损失、赔礼道歉等民事责任。我国《民法总则》第111条对个人信息保护作出了规定。当前正在编纂的民法典人格权编草案更是在第六章对个人信息保护作出了详细的规定。然而，无论是《民法总则》、民法典人格权编草案，还是现行的涉及个人信息保护的《网络安全法》《消费者权益保护法》《电子商务法》等法律，均缺乏对侵害个人信息民事责任的具体规定。例如，在《民法典草案》中，尽管有八个条文来规定个人信息保护，可涉及民事责任的却只有第999条和第1037条两条。

当前司法实践中，侵害个人信息的民事纠纷日益增多，(1)笔者带领的课题组于2019年6月在北京市第一中级人民法院、朝阳区法院和海淀区法院进行调研时了解到，近五年来北京市辖区法院的个人信息纠纷案件数量都在呈现明显增长的趋势，如北京市第一中级人民法院近五年来审理的涉及个人信息案件共121件。朝阳区人民法院近五年来审理的涉及侵害个人信息权益的民事案件总量为35件，主要案由以人格权纠纷为主，占比达到全部案件的62.9%。此外，由于现行的民事案件案由中并未单列个人信息纠纷作为案由，故而许多个人信息纠纷的案件被纳入其他案由，未能统计进来为更好地发挥私法保护个人信息的功能，立法上有必要对侵害个人信息的民事责任作出更明确具体的规范。从比较法来看，德国、日本、我国台湾地区等成文法系国家和地区的民法典均编纂于20世纪工业文明时代，故此，它们的民法典中显然不可能规定侵害个人信息的民事责任，只能交由个人信息保护法或数据保护法等单行立法加以规定。但是，我国当前正在编纂民法典，我国的民法典是诞生于数字文明和信息时代的新型民法典。因此，我国完全可以发挥后发优势，在民法典中就侵害个人信息的民事责任问题作出具体的规定，将个人信息保护义务的具体内容交由个人信息保护法等单行立法规定，从而使二者相互配合，协力实现保护个人信息、促进信息流动与合理使用的立法目的。

鉴于理论界对侵害个人信息民事责任的研究尚不深入，故此，本文将就其中的几个重大问题如责任主体的界定、归责原则、加害行为的证明以及损害等进行研究，以供我国民法典编纂及最高人民法院起草个人信息权纠纷司法解释之参考。

二、侵害个人信息的主体的界定

侵害个人信息的民事纠纷主要就是侵权纠纷。(2)实践中，只有极个别的侵害个人信息案件中的当事人提起违约之诉。参见“赵俊艳、中国南方航空股份有限公司航空旅客运输合同纠纷案”，广州铁路运输中级法院(2017)粤71民终11号民事判决书。在因侵权纠纷形成的侵权法律关系中，主体一般就是加害人与受害人、侵权人与被侵权人或者赔偿权利人与赔偿义务人。(3)程啸：《侵权责任法》(第二版)，北京：法律出版社2015年版，第651页。具体到侵害个人信息的案件，受害人、被侵权人或者赔偿权利人就是个人信息遭受侵害的自然人，也称“信息被收集者”或者“个人信息主体”。但是，侵害个人信息的加害人或者侵权人的类型则较为复杂。这是因为，在个人信息的收集、存储、传输、转让、使用等各个环节都会出现加害行为，不同环节的加害行为类型不同，实施该行为的加害人也有所不同。具体来说，在个人信息的收集环节，如果自然人、法人或者非法人组织未经信息被收集者的同意收集个人信息的，其行为属于非法收集个人信息的行为，从事该行为的加害人就是“信息收集者”；如果合法收集了个人信息的主体，未经信息被收集者的同意非法出售个人信息，或者违反约定或超越法定的范围处理个人信息的，则从事这两类加害行为的主体，就是所谓的“信息处分者”与“信息使用者”。至于那些因没有妥善保管依法收集的个人信息而导致信息被泄露的主体，一般称为“信息保管者”。此外，侵害个人信息的主体还有“信息传输者”和“信息存储者”等其他主体。

这样一来产生的问题就是，在规范侵害个人信息民事责任的法律或者司法解释中，是否应根据加害行为的不同而对加害人采取不同的称谓，从而有所区别，分别规范？在我国，由于尚未制定专门的个人信息保护法，故此对于那些负有个人信息保护义务并在违反义务时需要承担法律责任的主体，并无统一的称谓，基本上是由各个法律从自身调整范围出发分别使用不同的名称。《全国人民代表大会常务委员会关于加强网络信息保护的决定》采取的是“网络服务提供者和其他企业事业单位”的表述。《网络安全法》则使用了“网络运营者”的概念(第40条至第43条)。依据该法第76条第3项，所谓网络运营者，是指网络的所有者、管理者和网络服务提供者。至于《消费者权益保护法》与《电子商务法》，又分别采取了“经营者”和“电子商务平台经营者”的表述。

在比较法上，欧盟《一般数据保护条例》(GDPR)使用的是“控制者(controller)”与“处理者(processor)”这两个概念。依据该条例第4条第7项与第8项的定义，控制者是指能够单独或者与他人联合决定个人数据的处理目的与处理方法的自然人、法人、公共机构、代理人或者其他组织；所谓处理者，是指为控制者处理个人数据的自然人、法人、公共机构、代理人或者其他组织。作此区分的理由在于：数据的控制者决定的是数据处理的目的和方法等重大问题，而数据的处理只是技术行为，数据控制者可以自行处理，也可以委托他人处理。在后者的情形中就发生了数据控制者与处理者的分离，当然，对于数据控制者的规范在很大程度上也都适用于数据处理者。(4)京东法律研究院：《欧盟数据宪章：〈一般数据保护条例〉(GDPR)评述及实务指引》，北京：法律出版社2018年版，第93页。日本法上使用的是“个人信息处理业者”的概念，依据2017年新修订的日本《个人信息保护法》的规定，“个人信息处理业者”是指，已经将个人信息数据库等供业务使用者，但是不包括国家机关、地方公共团体、独立行政法人以及地方独立行政法人等。我国台湾地区的“个人资料保护法”也没有使用专门的概念来称呼个人信息保护的义务主体，而是将侵害个人信息的主体分为两类，即“公务机关”(即依法行使公权力之中央或地方机关或行政法人)与“非公务机关”(即公务机关之外的自然人、法人或其他团体)，并分别对这两类主体对个人资料的收集、处理、使用作出了规范，施加了不同的法律责任。

在我国民法典编纂过程中，多数说认为，无须根据不同的加害环节来对侵害个人信息的责任主体使用不同的称谓，而应采取统一的概念。但是，究竟使用何种概念，又有不同的看法。一种观点主张借鉴欧盟的做法，采取“信息控制者”或者“数据控制者”的表述，例如，全国信息安全标准化技术委员会起草的《个人信息安全规范》就使用了“个人信息控制者”的概念，并将之界定为“有权决定个人信息处理目的、方式等的组织或个人”(第3.4条)，该观点被民法典人格权编草案第三次审议稿及民法典草案所接受(民法典草案第1036条，第1038条)。另一种观点则主张采取“个人信息持有者”的表述，公安部网络安全保卫局、北京网络行业协会、公安部第三研究所制定的《互联网个人信息安全保护指南》第3.3条将“个人信息持有”界定为“对个人信息及相关资源、环境、管理体系等进行计划、组织、协调、控制的相关活动或行为”。第3.4条将“个人信息持有者”界定为：“对个人信息进行控制和处理的组织或个人。”该观点为民法典人格权编草案所接受。《民法典人格权编草案(二审稿)》在第六章“隐私权和个人信息保护”中，使用了 “信息持有者”的表述(第815、817条)。

笔者认为，我国民法典以及未来的个人信息保护立法应当借鉴欧盟《一般数据保护条例》(GDPR)的做法，统一采取“信息控制者”的概念来涵盖在信息的收集、记录、存储、修改、删除、运输、转让、使用、披露、传播等涉及个人信息的全部过程中，对于个人信息具有控制力的各类主体(包括自然人、法人或者非法人组织)。所谓信息控制者是指，对个人信息具有法律上或者事实上控制力的自然人、法人或者非法人组织。首先，使用“信息控制者”这一概念可以避免根据不同的信息处理的方法采取不同的称呼，以致法律规范的义务主体类型过多，产生各种交叉重叠、重复冲突的问题。其次，信息控制者的概念揭示了对于信息所具有的控制力这一核心要素，无论该控制力是法律上的还是事实上的。这也正是信息控制者被法律施加各种个人信息保护义务的根本原因所在。再次，对于信息的控制者与处理者没有必要加以区分。无论信息控制者与信息处理者是否为同一主体，二者都负有相同的个人信息保护的法定义务，即便信息控制者与信息处理者之间存在合同的约定，也无法改变此种义务，只是二者内部的法律关系而已。

三、侵害个人信息民事责任的归责原则

(一)现行法上适用的是过错责任原则

在我国侵权法中，过错责任是最基本的损害赔偿责任的归责原则(《侵权责任法》第6条第1款)。至于过错推定责任或无过错责任，都必须以法律有明确规定为前提(《侵权责任法》第6条第2款、第7条第1款)。由于我国现行的法律并没有就侵害个人信息的侵权责任规定无过错责任或者过错推定责任，因此，从解释论的角度出发，现行法上侵害个人信息的侵权责任适用的是过错责任，换言之，《侵权责任法》第6条第1款是个人信息遭受侵害的被侵权人的请求权基础。

有学者认为，我国《网络安全法》第74条第1款规定：“违反本法规定，给他人造成损害的，依法承担民事责任”。由此可见，该款规定的是无过错责任，即“基于违法性的无过错责任”。(5)叶名怡：《个人信息的侵权法保护》，《法学研究》2018年第4期。笔者不赞同此种看法，因为《网络安全法》该款并非独立的请求权基础，更未确立无过错责任，该款只是依据我国立法惯例所做的一个衔接性的规定。在我国，很多行政管制性的法律均会在“法律责任”一章中作出类似的规定。事实上，这一点从该款中“依法承担承担民事责任”中“依法”一词即可看出。也就是说，即便违反本法规定给他人造成损害，如何承担民事责任还是要依法(即依据《侵权责任法》等法律)来认定。故此，不能认为《网络安全法》第74条第1款确立了侵害个人信息的无过错责任。

(二)未来立法上对侵害个人信息的民事责任应适用无过错责任

从立法论的角度来看，我国法上是否应当对于侵害个人信息的侵权责任规定无过错责任或者过错推定责任呢？有学者认为，未来我国的个人信息侵权责任应当采取三元归责体系，即公务机关以数据自动处理技术实施的信息侵权适用无过错责任，采取自动化处理系统的非公务机关的信息侵权则适用过错推定责任；至于那些没有采取自动数据处理系统的数据处理者，其信息侵权应当适用一般的过错责任。(6)叶名怡：《个人信息的侵权法保护》，《法学研究》2018年第4期。

从比较法来看，确实有不少国家或地区对侵害个人信息的侵权责任规定了过错推定责任或无过错责任。欧盟的《一般数据保护条例》(GDPR)第82条第2款规定：“参与处理的任何控制者应当为违反本条例的数据处理所导致的损害负责。任何处理者，仅在其未遵守本条例对于处理者义务的特别规定或采取超出控制者的合法指令或者与控制者的指令相反的处理行为时，应为数据处理导致的损害负责。”该条第3款规定了控制者和处理者的免责事由，即如果能够证明其无论如何都不应对造成损害的事件负责时(it is not in any way responsible for the event giving rise to the damage)，才能免除第2款的责任。显然这一免责事由比之前的欧盟《数据保护指令》的要求更高了。(7)按照欧盟《数据保护指令》(Data Protection Directive)第23条第2款的规定，如果数据的控制者能够证明其无须对造成损害的事件负责，即可全部或部分免除责任。因为数据的控制者和处理者基本上很难证明这一点，其即便证明了自己已经完全按照《一般数据保护条例》(GDPR)的要求履行了全部的义务，也依然无法阻止损害的发生，前述免责事由也不会被适用。(8)Paul Voigt & Axel von dem Bussche, The EU General Data Protection Regulation(GDPR),Springer,2017,at 208.因此，欧盟《一般数据保护条例》(GDPR)第82条对侵害个人信息的民事责任采取的是极为严格的责任，仅仅证明没有过错或者履行了法定的义务等，都不足以免责。在德国，《联邦数据保护法》第83条区分自动化数据处理与非自动化数据处理分别规定了无过错责任与过错推定。具体来说，对于自动化的数据处理所产生的损害适用无过错责任，即只要数据控制者处理他人数据的行为违反了《联邦数据保护法》或其他法律并导致他人损害的，控制人或者其法人就负有损害赔偿义务。但是，在非自动化的数据处理的情形下，如果损害并不是由于控制人的过错所致，则其不负有赔偿义务。(9)Vgl. Paal & Pauly, DS-GVO BDSG,2. Auflage 2018,Rn. 4-9.我国台湾地区的“个人资料保护法”区分公务机关与非公务机关的信息侵权行为，分别规定了不同的责任。依据该法第28条，公务机关违反本法规定致个人资料遭不法收集、处理、利用或者其他侵害当事人权利的情形的，但是损害因为天灾、事变或者其他不可抗力所致者除外。同法第29条规定，非公务机关违反本法规定致个人资料遭不法收集、处理、利用或者其他侵害当事人权利的情形的，负损害赔偿责任，但是可以证明没有故意或者过失的除外。由此可见，台湾地区的公务机关与非公务机关侵害个人信息的侵权责任分别适用的是无过错责任与过错推定责任。(10)在我国台湾地区，针对公务机关违反“个人资料保护法”而不法收集、处理、利用个人信息或其他侵害当事人权利的行为，受害人请求公务机关承担赔偿责任时，程序上应当先适用“国家赔偿法”的规定。参见林洲富：《个人资料保护法之理论与实务》，台北：台湾元照出版公司2019年版，第99页。

应当说，侵害个人信息的侵权责任是随着网络信息科技的发展而产生的新型侵权行为，并非一般侵权责任。如果对之适用过错责任，要求受害人证明加害人的过错，显然是很困难的。即便在我国当前的司法实践中，法院审理个人信息侵权纠纷时，对于侵权人过错的认定基本上也都采取了客观化的判断标准，即依据法律关于个人信息保护的义务性规范直接将侵权人违反此等法定义务之行为视作有过错的行为，即违法视为过失。例如，在“庞理鹏与北京趣拿信息技术有限公司等隐私权纠纷”中，法院认为，《消费者权益保护法》第29条第2款“在立法层面上对消费者个人隐私和信息的保护，也是对经营者保护消费者个人信息的强制性规定。经营者违反了该条规定，即视为其存在过错。”“从本院现有证据看，东航和趣拿公司在被媒体多次报道涉嫌泄露乘客隐私后，即应知晓其在信息安全管理方面存在漏洞，但是，该两家公司却并未举证证明其在媒体报道后迅速采取了专门的、有针对性的有效措施，以加强其信息安全保护。而本案泄露事件的发生，正是其疏于防范导致的结果，因而可以认定趣拿公司和东航具有过错，理应承担侵权责任。”(11)北京市第一中级人民法院(2017)京01民终509号民事判决书。类似的判决还可参见，“王艳春与王茹香、李春香等隐私权纠纷案”，北京市门头沟区人民法院(2017)京0109民初4611号民事判决书。

笔者认为，对于侵害个人信息的侵权责任不应当适用过错责任，而应当统一适用无过错责任，即受害人在针对信息控制者提起侵害个人信息的侵权之诉时，无须证明信息控制者存在过错，信息控制者只有在符合法定的免责事由时，才能免除责任。首先，统一适用无过错责任能够更好地保护自然人的合法权益，使得自然人无须证明加害人的过错，同时也避免了实践中自动化数据处理与非自动化数据处理而适用不同的归责原则造成的麻烦。其次，虽然适用无过错责任，但是，可以在适用范围和免责事由上针对各种主体从事的活动的差异性而作出不同的规定，以便协调个人信息保护与合理自由(言论自由、信息自由等)的维护之间的关系。具体而言，一方面，如果被告从事的信息的收集和处理是纯粹的个人或者家庭生活中进行的活动，则不适用无过错责任，(12)参见欧盟《一般数据保护条例(GDPR)》第2条第2款第C项的规定。如果产生侵权纠纷，仍然适用过错责任；另一方面，被告在证明存在以下事由之一的，可以免除侵权责任：(1)被告是在原告或者其监护人同意的范围内实施的收集、使用或者公开个人信息的行为；(2)被告所使用的信息是原告自行公开的或者其他已合法公开的信息，除非使用该信息侵害该自然人重大利益或者自然人明确拒绝他人使用；(3)被告是为了实施新闻报道、维护公共利益或者为了维护原告的人身财产权益而合理实施的收集、使用或者公开个人信息的行为；(4)法律、行政法规规定的其他可以不经原告同意而收集、使用或者公开个人信息的情形。

四、侵害个人信息的行为类型与加害人的证明

(一)侵害个人信息的行为类型

由于个人信息是能够单独或者与其他信息结合识别特定自然人的各种信息，故此，侵害个人信息的加害行为可以分为两大类：其一，虽然侵害了个人信息，但加害人不以此为目的，而只是利用或借助个人信息来实现对受害人其他民事权益的侵害并造成损害。例如，犯罪分子非法窃取或购买个人信息来实施电信诈骗或杀害受害人；(13)在美国发生的一起案件中，由于信息中介将一名妇女的社会保险号和雇佣信息出售给了跟踪者，结果导致该女士被找到并被枪杀。参见，Remsburg v. Docusearch,Inc, 149 N.H. 148, 816 A.2d 1001 (2003).再如，加害人公开披露某人的家庭住址信息、工作场所信息、银行存款信息等，从而损害受害人的隐私权、名誉权等人格权。由于这一类侵害个人信息行为的目的和后果是侵害受害人除个人信息之外的其他人身权益和财产权益，所以由此引发的侵权责任也主要表现为侵害生命权、隐私权、名誉权等的侵权责任。

其二，单纯的侵害个人信息的加害行为，也就是说，该加害行为的目的和主要后果就是侵害受害人的个人信息。其中，最典型的一类就是《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》第12条所规定的网络用户或者网络服务提供者利用网络“公开自然人基因信息、病历资料、健康检查资料、犯罪记录、家庭住址、私人活动等个人隐私和其他个人信息”。(14)由于现行的《民事案件案由规定》中并没有“个人信息纠纷”这一案由，故此类案件即便不构成隐私权纠纷或名誉权纠纷，也基本上会以这两类案由立案审理。例如，“王金龙与汉庭星空(上海)酒店管理有限公司、浙江慧某驿站网络有限公司隐私权纠纷案”，上海市浦东新区人民法院(2014)浦民一(民)初字第501号民事判决书。从司法实践来看，这一类案件的数量也占侵害个人信息侵权案件的大多数，且主要是以隐私权纠纷出现。(15)根据北京市朝阳区人民法院的统计资料，此类侵害个人信息的侵权行为占整个案件数量的比例高达56%。参见，北京市朝阳区人民法院编：《个人信息保护类民事案件研讨会参考资料》，2018年，第29页。此外，从实践来看，除了非法披露或公开个人信息的加害行为之外，单纯的侵害个人信息的行为至少还包括以下几类：

(1)非法收集个人信息，如未经被收集者的同意即收集个人信息，或者虽经同意但是未依法明示收集、使用信息的目的、方式和范围或超越目的、方式和范围过度收集个人信息。(16)比较典型的案例就是“朱烨与北京百度网讯科技公司隐私权纠纷案”，南京市中级人民法院(2014)宁民终字第5028号民事判决书。

(2)泄露、毁损、丢失个人信息，即收集个人信息者违反法律规定和当事人的约定，未采取应有的技术措施和其他必要措施，确保其收集的个人信息安全，导致个人信息泄露、毁损、丢失。实践中这一类案件主要表现为医疗机构保管病历不当导致信息丢失、单位的人事部门或人力资源部门保管人事档案不当导致的信息缺损、电子设备维修不当错误删除记录等，其诉由主要是合同纠纷。(17)北京市朝阳区人民法院编：《个人信息保护类民事案件研讨会参考资料》，2018年，第29页。

(3)非法利用个人信息，即虽然个人信息的收集是符合法律规定，经过被收集人的同意，但是收集者没有经过被收集者的同意，违反法律、行政法规的规定或者双方的约定使用个人信息的。目前比较常见的有：利用他人的身份信息将他人登记为公司的股东、法定代表人或者董事、监事等；房产中介将客户的身份证信息以及房源信息伪造固定住所进而取得北京市居住证等。(18)相关案例参见，“赵鹏与被告北京链家房地产经纪有限公司、宋英华、杨喜东，第三人宋金友一般人格权纠纷案”，北京市朝阳区人民法院(2018)京0105民初9840号民事判决书。

(4)非法泄露或者买卖个人信息，即个人信息收集者泄露个人信息或者未经被收集者同意将个人信息非法出售或者其他方式传输给他人的行为。这类加害行为主要表现为非法买卖公民个人信息的犯罪行为。例如，电信部门、金融机构、房地产中介等利用职务之便，将获取的客户信息非法出售给他人牟利。

(5)其他侵害个人信息的行为，如因收集者的原因而致所收集的个人信息是错误的，最典型的就是征信系统中记载的他人的信用信息是错误的。

(二)加害行为的证明

由于信息具有很强的流动性，而信息的收集、存储、保管、使用等环节众多，涉及的主体复杂，故此，一旦发生侵害个人信息给受害人造成损害的情形，受害人往往很难证明被告实施了侵害个人信息的加害行为。这种情形在个人信息被泄露，为犯罪分子所利用而实施电信诈骗的场合最为常见。此时，被告常以信息并非自己所泄露为由进行抗辩，而原告要提出证据证明被告实施了泄露其个人信息的行为(作为或不作为)，十分困难。故此，一些法院只能以原告未能证明被告实施了加害行为为由驳回其诉讼请求。(19)相关案例参见，“孙旭东与平安银行股份有限公司、深圳市鑫富源投资咨询有限公司隐私权纠纷案”，广东省深圳市中级人民法院(2017)粤03民终7378号民事判决书；“季海红与被告江苏苏宁易购电子商务有限公司隐私权纠纷案”，江苏省南京市玄武区人民法院(2016)苏0102民初1120号民事判决书。为了更好地保护个人信息，减轻原告在此类案件中的举证负担，在“庞理鹏与北京趣拿信息技术有限公司等隐私权纠纷案”中，法院提出了证明加害人的高度可能性的判断标准，即只要原告提供的证据能够表明被告存在泄露原告个人隐私信息的高度可能，而被告又不能反证推翻这种高度可能，就可以认为被告实施了泄露个人信息的加害行为。(20)参见北京市第一中级人民法院(2017)京01民终509号民事判决书。该标准一经提出，即在司法实践中产生了很大的影响，一些法院在处理个人信息侵权案件时采取了该标准。(21)“申瑾与上海携程商务有限公司，支付宝(中国)网络技术有限公司侵权责任纠纷案”，北京市朝阳区人民法院(2018)京0105民初36658号民事判决书。

笔者认为，以高度可能性的判断标准来确认被告是否实施了加害行为，是非常合理的，值得赞同。一方面，该标准并未改变民事诉讼法规定的举证责任的分配，原告依然需要提出各种证据来证明被告存在泄露个人信息的高度可能；另一方面，考虑到现代信息社会中个人信息可能被很多主体所收集、存储和利用，信息的传递本身也具有极大的隐蔽性，要求原告确切无疑地证明究竟泄露个人信息的主体是谁，显然强人所难。故此，只需要证明被告存在泄露个人信息的高度可能性就行。原告的举证是否达到了证明被告存在泄露个人信息的高度可能，应由法官结合案件的具体事实综合判断。一旦认可了原告的证明达到了这种高度的可能，就应当由被告提供各种证据来推翻这种高度可能。

笔者认为，在适用高度可能性的证明标准时，法院无论是在认定原告对被告加害行为的举证是否达到了高度的可能，还是在认定被告的举证是否足以推翻这种高度可能时，都需要综合考虑以下几个因素：(1)被告掌握原告被泄露的个人信息的范围与程度。个人信息的类型众多，被告掌握原告被泄露的个人信息的范围越大，程度越深，则其泄露原告个人信息的可能性越大。(2)其他单位或个人掌握被泄露的个人信息的可能性。尽管现代社会中任何自然人的个人信息可能都被很多单位或个人所掌握，但每个单位或个人所掌握的个人信息是不同的，例如，航班信息往往是被航空公司以及票务公司所掌握，如果被泄露了，航空公司、票务公司泄露的可能性肯定要大于那些掌握自然人财务信息的银行等金融机构。(3)被告是否曾经存在泄露自然人个人信息的情形。如果被告曾经存在泄露自然人个人信息的情形，如被媒体披露过或者被相关政府主管部门进行过批评、警告甚至处罚的，其泄露个人信息的可能性就更大。(4)被告已经采取的个人信息的保护机制和具体措施。被告如果能够举证证明自己已经采取了非常充分的个人信息的保护机制和具体措施，履行法律法规等规定的各种个人信息保护的义务，就可以在很大程度上推翻其泄露原告个人信息的高度可能性，至少将这种可能性降得比较低了。(5)信息收集者、信息存储者、信息使用者对接入其平台的第三方应用是否建立准入等相应的管理机制和履行管理义务的情形。这主要涉及泄露个人信息究竟是平台的提供者还是接入平台的第三方应用的问题。

五、权益侵害与损害赔偿

在《民法总则》《侵权责任法》规定的承担侵权责任的八种方式中，有相当一部分侵权责任的承担方式性质上属于绝对权保护请求权，例如，停止侵害、排除妨碍、消除危险等。这些侵权责任的承担方式，在物权法上体现为物权请求权，在人格权法上就是人格权请求权。我国现行法虽未确认个人信息是一种具体的人格权，但是，在认定侵害个人信息的侵权责任时，个人信息被侵害的自然人也可以行使停业侵害、消除危险等人格权请求权。

就损害赔偿责任而言，侵害个人信息而给受害人造成损害多为财产损失的情形，即利用非法取得个人信息实施电信诈骗等侵害受害人的财产权益。此时，受害人要证明其损害还是比较容易的。例如，在“申瑾与上海携程商务有限公司，支付宝(中国)网络技术有限公司侵权责任纠纷案”中，原告因个人的手机号和航班信息被他人泄露而被犯罪分子实施电信诈骗，损失了118 900元。(22)北京市朝阳区人民法院(2018)京0105民初36658号民事判决书。但是，在不少情形下，加害人虽然实施了侵害个人信息的行为，受害人却没有财产损失或者难以证明财产损失。例如，被告未经原告的同意，使用原告的房产信息和身份证信息为另一个被告办理了居住证，导致原告在为其亲戚办理居住证时无法办理，该案原告虽然要求被告承担10万元的经济损失，但其并未能提出相关的证据加以证明。(23)“赵鹏与被告北京链家房地产经纪有限公司、宋英华、杨喜东，第三人宋金友一般人格权纠纷案”，北京市朝阳区人民法院(2018)京0105民初9840号民事判决书。

对此，《侵权责任法》第20条规定：“侵害他人人身权益造成财产损失的，按照被侵权人因此受到的损失赔偿；被侵权人的损失难以确定，侵权人因此获得利益的，按照其获得的利益赔偿；侵权人因此获得的利益难以确定，被侵权人和侵权人就赔偿数额协商不一致，向人民法院提起诉讼的，由人民法院根据实际情况确定赔偿数额。”此外，《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》第18条第2款：“被侵权人因人身权益受侵害造成的财产损失或者侵权人因此获得的利益无法确定的，人民法院可以根据具体案情在50万元以下的范围内确定赔偿数额。”故此，在上述案件中，虽然原告没有能够证明其因个人信息被侵害而遭受财产损失的数额，但是，法院认为：“针对赵鹏主张的经济损失，随着社会的进步和信息经济的发展，个人信息作为一种愈益重要的资源，其财产价值日益凸显，个人信息处理业已形成产业链。个人信息同时体现着人格利益和财产价值，对个人信息的侵害必然带来承担相应经济赔偿责任。对于判定的经济损失数额，本院针对案件情况和侵权情节，确定经济损失赔偿金额为10万元。”(24)“赵鹏与被告北京链家房地产经纪有限公司、宋英华、杨喜东，第三人宋金友一般人格权纠纷案”，北京市朝阳区人民法院(2018)京0105民初9840号民事判决书。

侵害个人信息如果造成了对受害人的隐私权、名誉权甚至生命权等人格权的侵害，常常会产生精神损害赔偿责任的问题。但是，单纯侵害个人信息而并未造成对受害人某一具体人格权的侵害的，受害人可否请求精神损害赔偿，值得研究。从我国《侵权责任法》第22条的规定来看，精神损害赔偿责任适用的前提除了要求侵害人身权益之外，还要求造成严重精神损害。《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》第17条也规定：“网络用户或者网络服务提供者侵害他人人身权益，造成财产损失或者严重精神损害，被侵权人依据侵权责任法第二十条和第二十二条的规定请求其承担赔偿责任的，人民法院应予支持。”故此，如果在侵害个人信息的案件中，原告无法证明自己遭受了严重的精神损害，则不得请求侵权人承担精神损害赔偿责任。