程啸 | 论侵害个人信息权益的非财产损害赔偿

要解决侵害个人信息权益中严重精神损害的认定问题，首先须正确地界定侵害与损害的关系，在此基础上才能进一步明确认定严重精神损害时需要考虑的各种因素。

（一）个人信息权益被侵害 不等于个人遭受了损害

个人信息权益是以保护自然人对于其个人信息处理享有的自主决定的利益为核心的民事权益，性质上属于精神性的人格权益，具有绝对效力和排他效力。任何组织或个人未告知并取得个人同意或者不具备法律、行政法规规定的情形而处理自然人的个人信息的，该行为当然属于违法的个人信息处理行为，同时也构成了侵害个人信息权益的侵权行为。

但是，一方面，并非所有的个人信息处理者违反了个人信息保护法规定的行为，都可以被直接认定为侵害个人信息权益的侵权行为。这是因为，只有违反以保护个人信息权益为目的的保护性规范的行为，才可以被认定侵害个人信息权益的行为。在我国个人信息保护法中，此类保护性规范主要有4类，即：关于个人信息处理规则的规范、关于个人在个人信息处理活动中权利的规范、关于个人信息处理者保护个人信息安全的规范、关于个人信息保护影响评估的法律规范。除此之外的法律规范不属于保护性规范，个人信息处理者违反并非保护性规范的行为当然也是非法的，却并未侵害个人信息权益。例如，依据个人信息保护法第五十二条规定，处理个人信息达到国家网信部门规定数量P5的个人信息处理者应当指定个人信息保护负责人，如果处理者没有按照法律规定指定个人信息保护负责人，当然是违法的，却并未侵害任何特定的自然人的个人信息权益。

另一方面，即便个人信息处理者的行为侵害了个人信息权益，也并不等于就造成了损害。侵害（verletzen）不等于损害（Schaden），前者强调的是行为的非法性或违法性，后者是任何损害赔偿责任的必备要件。我国民法典第一千一百六十五条第一款以及个人信息保护法第六十九条第一款都明确区分了侵害与损害。处理者处理个人信息的行为侵害了个人信息权益并造成了财产损害或者非财产损害，处理者才可能需要承担损害赔偿责任。如果处理个人信息的行为虽然侵害了个人信息权益，却没有造成财产或非财产损害的话，那么只可能产生停止侵害、排除妨碍、消除危险等性质上属于人格权请求权的侵权责任，绝不可能产生损害赔偿责任。简言之，“没有损害就没有赔偿”。

在这一点上，比较法如欧盟法也是采取相同的观点。在欧盟，人们曾就《通用数据保护条例（GDPR）》第82条第1款规定的非财产损害赔偿请求权是否必须以损害为要件存在争议。但是，在2023年5月4日欧洲法院针对“C-300/21奥地利邮政案（Österreichische Post）”作出判决后，该争议就不存在了。“奥地利邮政案”的主要事实为：2017年以来，奥地利邮政公司（Österreichische Post AG）一直在收集数百万奥地利人的个人信息，其通过基于某些社会人口特征的算法预测个人与不同政党的亲和力，从而生成所谓的“目标群体地址”，使第三方能够发送定向广告。原告UI发现，被告奥地利邮政公司未经其同意而将其个人数据以前述处理目的而加以处理。原告认为，自己被错误地与一个政党联系在一起，而这样的错误推断被保留在被告奥地利邮政公司，使他感到沮丧和羞愧，并且他的名誉也受到了损害。原告UI向维也纳民事法庭提起诉讼，要求法院向奥地利邮政公司发布禁令，停止处理其个人数据并赔偿1000欧元的非财产损害。法院发布了禁令，但拒绝了原告非财产损害的赔偿请求。原告UI向维也纳高等地方法院提起上诉。二审法院认为，奥地利邮政公司仅仅是违反《通用数据保护条例》，这并不自动导致非财产损害。况且，即使存在损害，根据奥地利法律，要对非财产损害进行赔偿，还需要达到一定的“严重程度门槛”，上诉人UI声称的负面情绪如痛苦和羞愧，不符合这一标准。故此，维持了一审判决。UI继续上诉到奥地利最高法院，奥地利最高法院决定暂停诉讼，提请欧洲法院对涉及《通用数据保护条例》第82条第1款涉及的3个问题作出初步裁定。其中，第一个问题是：仅仅是违反《通用数据保护条例》规定的行为，是否足以使得个人数据主体有权获得赔偿？对此问题，欧洲法院认为，从《通用数据保护条例》第82条的措辞可以看出，遭受“损害”构成了该条款所规定的赔偿权的一项条件，该条件与违反《通用数据保护条例》的行为以及该损害与该违反条例的行为之间的因果关系是累积的，也就是说，必须同时满足这3个条件才享有赔偿的权利。从《通用数据保护条例》序言部分的第75条、第85条和第146条也可以看出支持上述解释。其中，第146条专门涉及了《通用数据保护条例》第82条第1款规定的赔偿权利，在其首句提到“一个人可能遭受因违反本条例的处理行为而产生的损害”。其次，第75条和第85条分别指出“风险……可能源自导致……损害的个人数据处理”以及“个人数据泄露可能导致……损害”。由此可见，首先，在这种处理的背景下，损害的发生仅是潜在的；其次，违反《通用数据保护条例》并不一定导致损害；最后，在违反条例的行为与数据主体遭受的损害之间必须存在因果关系，以确定赔偿权。故此，欧洲法院针对第一个问题的裁定是：“《通用数据保护条例》第82条第1款必须被解释为：仅仅违反该条例的规定本身并不足以产生赔偿的权利。”此后，欧洲法院又通过对“C-340/21 Natsionalna agentsia za prihodite案”“C-456/22 Gemeinde Ummendorf案”“C-667/21 Krankenversicherung Nordrhein案”“C-687/21 MediaMarktSaturn案”作出的判决，进一步明确界定了非财产损害赔偿请求权的3个必备要件：（1）违反《通用数据保护条例》的行为（Infringement of the GDPR）；（2）存在损害（Damage）；（3）违反条例的行为与损害之间的因果联系（A causal link between the infringement and damage）。

（二）严重精神损害的认定标准

按照程度的从重到轻，精神损害可被分为：严重精神损害、一般精神损害与轻微精神损害。民法典第一千一百八十三条将精神损害赔偿责任的适用限制于受害人遭受了严重精神损害。这一规定来自于侵权责任法第二十二条。立法机关作此规定的目的在于防止精神损害赔偿制度被滥用，故此以“严重精神损害”作为构成精神损害赔偿的法定条件，“偶尔的痛苦和不高兴不能认定为严重精神损害”。问题是，究竟如何认定民法典第一千一百八十三条中的“严重精神损害”？对此，有的观点认为，应当采取容忍限度理论，即超出了社会一般人的容忍限度就应当认定为是严重的精神损害。有的观点认为，在认定精神损害是否严重时，应当综合考虑以下因素，即侵权人的过错程度，侵害的手段、场合、行为方式等具体情节，侵权行为所造成的后果等加以判断。

笔者认为，作为法律概念的“精神损害”兼具主观性与客观性。精神损害赔偿责任主要具有的是补偿功能，因此要从受害人的角度出发，通过考察特定受害人的主观认知和感受来认定精神损害的有无及严重与否。虽然每个个体都是不同的，但人类还是具有很多共同的特点，所以，认定精神赔偿严重与否也需要比较客观的标准。

结合精神损害的这两个特性，在认定精神损害是否严重时，首先应当区分被侵害的人格权是物质性人格权还是精神性人格权。就侵害生命权、身体权和健康权等物质性人格权而言，只要侵权行为造成受害人死亡或残疾的，就可以直接认定造成了严重的精神损害（这也是目前司法实践中的通行观点）。这既是基于对生命的尊重和保障人身安全的需要，也符合人性常理。当然，在有些情形下，虽然没有构成伤残，但是毁损了受害人的容貌，影响其正常生活工作的，也会构成严重精神损害。

然而，在认定侵害姓名权、肖像权、名誉权、荣誉权、隐私权等精神性人格权时，则应当依据民法典第九百九十八条的规定，综合考虑多种因素，如加害行为的性质、程度和方式（如披露他人的隐私还是诽谤他人），侵权人的过错程度（故意还是轻微过失），影响范围（如在少数人的范围内还是社交媒体平台上公开实施侵害行为）、行为的后果（如出现失眠、学习成绩下降、企图自杀）等，认定是否构成严重精神损害。

个人信息权益属于人格权中精神性人格权，因此，依据上述标准，在认定处理个人信息侵害个人信息权益是否给受害人造成精神损害以及损害严重与否时，需要考虑个人信息处理者的类型、受害的个人的类型、个人信息的种类、处理的目的、处理的方式、处理行为的违法性、处理者的过错，影响范围等多种因素后予以确定。例如，A医院非法收集张某、李某等自然人的生物识别信息、医疗健康信息并为了牟利而非法提供给B、C、D等不同的公司。在该案中，由于被收集的信息是敏感的个人信息，且该等信息又被非法提供给了多家不同的公司，被扩散出去，A医院主观上又是为了牟利而故意为之。此时，就可以认定侵害个人信息权益给受害人造成了严重精神。再如，甲百货商场与张某签订销售合同并收集了张某的姓名、联系电话、地址等信息，因为甲商场的过失而将该包含张某个人信息的合同错误地交给了李某，但是10分钟后，甲商场就发现并纠正了这个错误。显然，甲商场存在过失并且可能导致了张某的个人信息被李某知道了，但由于很快发现并纠正了这个错误，第三人李某也并非就是企图利用个人信息进行非法活动的犯罪分子，从处理者的过错程度、影响范围、违法性等因素来看，都不足以认定存在严重精神损害。从目前我国法院审理的个人信息侵权纠纷案件来看，除非侵害个人信息权益与侵害其他人格权发生聚合的情形，如泄露的个人信息是私密信息，处理者既侵害了受害人的个人信息权益，也侵害了隐私权甚至名誉权等，在单纯的侵害个人信息权益的案件中，几乎很少有认定受害人遭受了严重精神损害的情形。