郭明龙 杨孝康｜数字化经济发展中个人信息微额损害的法治保障研究

转自：上观新闻

大数据时代，数据成为生产要素被赋予了巨大的经济价值。数据与个人信息存在差异，未经匿名化的个人信息被作为数据进行大规模处理，侵权主体收益巨大，但落实到单条个人信息则侵害轻微，二者存在矛盾。面临个人信息大规模微额损害，公法救济与公益诉讼救济路径不能回应受害人利益的个性化需求。个人信息保护法第69条虽然设定了私法救济，但面临损害与举证责任、证明标准的认定困难。对于私法救济所面临的困境，采用财产赔偿和精神损害赔偿算定“二择一”的方式来确定赔偿额，并以精神损害赔偿保底。关于举证责任和归责原则，在诉讼中可以采三元论的归责原则并引入违法推定过失规则；在证明标准上加强法官主动依职权调查证据权力，并采因果关系证明倒置的证明责任来减轻因证据偏在困境导致的原告举证难问题。

随着数字化经济的高速发展，数据成为数字经济中的生产要素渐被重视，而在法学界，“数据所承载的经济利益被确认为物权、知识产权之后产生的新型财产权”。大数据时代的信息收集、算法和算力一方面催生数字生产力，另一方面也对个人信息保护带来更大挑战。理论界认为，数据和个人信息并不相同，只有“匿名化的不具可识别特征”的个人信息才能够成为数据，“作为财产权客体的只能是数据而非个人信息”。但实践中，未经去标识化或匿名化的个人信息却被某些信息处理者不法进行收集、存储、使用、加工、传输、提供、公开，往往对众多主体的个人信息权益造成侵害。对于大规模的个人信息侵权，个人信息保护法分别规定了三种不同的救济路径：其一，公法救济路径，即第66、67、68条以及第71条的行政处罚和刑事处罚；其二，私法救济路径，即第69条的侵权损害赔偿；其三，第70条的公益诉讼路径。以上三条路径都不可或缺，但适用频率却差异较大，公法救济和公益诉讼适用频次明显高于侵权损害赔偿这种私法救济路径。个人信息权益的大规模受损，损失数额小且不易确定，导致受害人维权成本高、收益低而不愿维权或无力维权，如何进一步完善私法救济路径，通过提高侵权人违法成本内化侵权人给众多主体造成的“外部不经济”，实现惩戒与预防目标，是当下亟待解决的问题。

个人信息保护法第71条规定侵害个人信息权益可能要承担刑事责任，该条为引致条款，引致的内容主要为刑法第253条之一所规定的侵犯公民个人信息罪。为了解个人信息保护的刑事救济路径运行状况，笔者在“北大法宝”数据库进行了检索分析。在案例库中以“个人信息侵权”和“公司”“犯罪”为共同关键词，时间跨度选为2019年1月1日至2021年12月31日，共获得侵犯个人信息的刑事制裁案例71例，其中侵犯公民个人信息罪67例，非法获取公民个人信息罪1例，扰乱公共秩序罪3例。其中的1例非法获取公民个人信息罪实为刑法第253条之一的第三款规定，以“侵犯公民个人信息罪”定罪处罚更为准确，而3例扰乱公共秩序罪则以刑法分则中“节”的类罪定罪量刑，属于定性不当。在67例当中，通过在文中检索“罚金”这一关键词，得出对企业的罚金数额在500万以上的有1例750万元，在100万到500万之间6例，50万到100万之间6例，其余为50万以下，其中最小的罚金额仅为0.1万。侵犯公民个人信息罪可以由单位构成，依法实行双罚制，单位承担罚金刑，负责人或直接责任人须承担主刑外，还可以并处罚金附加刑，67例案件中对个人所处最高罚金为130万元，最低罚金额为0.5万。

经检索，笔者并未找到与该67则案例相对应的侵权损害赔偿纠纷案件，在此时间段仅有7例侵害个人信息权益案例涉及私法救济。相比而言，刑事救济的适用次数明显高于私法救济路径。原因大致有二：首先，刑事救济路径具有效率优势，根据《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》（法释［2017］10号）第一条规定，本罪的犯罪主体包括个人和单位，实行单位犯罪的双罚制，相较私法救济，刑事救济有着“快”“准”“狠”的特点；其次，刑事救济路径中司法机关具有侦查上的力量优势，启动刑事侦查可以减轻损害范围与因果关系不易认定的难题，不过此举使得本来作为“高配”的刑事救济路径成为“标配”。

行政救济路径主要通过行政处罚实现，个人信息保护法第66条的行政责任被引致到我国行政处罚法。根据行政处罚法第9条关于行政处罚种类的规定，违规企业可被处以罚款、警告、责令停产停业等处罚，但是在大规模个人信息侵权案件中，对相关企业违法处理个人信息的行政罚款最值得研究。以苏州某房地产售楼处人脸识别系统侵害消费者个人信息被行政处罚案为例，其中由于苏州某房产公司在售楼处安装人脸信息采集识别系统，未经客户同意采集人脸信息，最终的判决结果为吴江区市场监管局依法责令某房产公司立即停止违法行为，并对其处罚款10万元。本起大规模的个人信息侵权案件仅仅涉及行政处罚，并未检索到对受害人进行侵权损害赔偿的相关民事案件，究其原因大概也是由于行政处罚比起私人损害赔偿救济路径，更能够一步到位对相关违法单位进行惩处个人信息保护法个人信息保护法，在实践中运行之功效优于私法损害赔偿救济路径。

综上，两种公法的救济路径都忽略了最重要的一方主体——作为受害者的众多信息主体，无论是刑法救济的罚金还是行政救济处罚的罚款，最终都被上缴国库。此举不仅导致个人民事权益受损未能得到相应的赔偿，而且还可能导致被处罚的信息处理者将罚款或罚金通过变相转嫁导致个人遭受二次伤害的弊端，故公法救济的功效并不能很好地弥补信息主体所遭受的损失。

个人信息微额损害案件中，检察机关或其他组织提起公益诉讼可否对加害人提出损害赔偿并不明确。公益诉讼源于罗马法，它相对于私益诉讼而言，又被称为公众利益诉讼、民众诉讼、罚金诉讼等。公益诉讼具有与传统诉权不同的内涵，公益诉权是诉权发展的新阶段，是上层建筑适应生产力发展的具体体现，是与法律的现代化导致的新部门法的产生一一对应的。如果“以私人资格发生的诉讼，以保护私人利益为目的的称为私益诉讼，那么以保护公益为目的的，就叫做公益诉讼”。个人信息保护法第70条并未涉及公益诉讼中的损害赔偿问题。

有学者认为，由于在公益诉讼中不涉及具体的受害人，故不涉及精神损害赔偿，损害赔偿也不是主要的法律责任，而个人信息保护公益诉讼中的损害赔偿的主要内容是对起诉主体提起公益诉讼的合理支出费用的赔偿，也不适用惩罚性赔偿。涉及个人信息保护的公益诉讼可否提出损害赔偿请求，北大法宝有一则浙江省温州市鹿城区人民检察院督促保护就诊者个人信息行政公益诉讼案，不过似是而非。该案的判决结果为：通过检察建议的发出，区市监局对摄影公司作出责令改正、没收违法所得4000元、罚款34000元的行政处罚，对培训公司作出责令改正、罚款30000元的行政处罚。在本案中作为诉讼主体的区检察院并未对加害人提出损害赔偿的主张，而是通过检察建议督促相应行政主管部门履行行政处罚职责而结案。通过检索“个人信息”这一关键词，查阅北大法宝司法案例库中2022年1月至2023年5月时间段的686件案例，其中涉及公益诉讼71例，且多以行政公益诉讼为主，均未涉及损害赔偿。

对此，笔者的初步结论是，民事或行政公益诉讼可能并不适宜提出损害赔偿的主张，与实践中已经依照民法典第1135条运行的环境公益诉讼生态修复赔偿，可能并不具可比性。

公益诉讼中即使可以主张损害赔偿，该损害赔偿能否分配也不明朗。有观点认为，发生在2019年5月的浙江省杭州市余杭区人民检察院诉某网络科技有限公司侵害公民个人信息民事公益诉讼案中涉及损害赔偿并有分配的设计，其实也属似是而非。本案中双方当事人最终调解结案：被告立即删除违法违规收集、储存的全部用户个人信息1100万余条；在《法治日报》及案涉App首页公开赔礼道歉；承诺今后合法合规经营，若存在违反协议约定的行为，将自愿支付50万元违约金用于全国性个人信息保护公益基金的公益支出。

然而，该案件并不能视为对损害赔偿的支持，也不能认为损害赔偿额在受害人中做了相应分配。首先，本案并未提及就受害人损失进行赔偿，而是支持了停止侵害和赔礼道歉；其次，本案结果为调解而非判决，且调解的依据为有条件违约，并未说明法院支持该赔偿；最后，被告违约后需要支付的违约金很难归受害人所有。所以对于公益诉讼尤为民事公益诉讼中的损害赔偿额的分配问题也恰恰印证了私法损害赔偿救济中的难题，正因如此，在上述的案例检索中涉及公益诉讼的案件71例中，民事公益诉讼的案例仅占5例，说明制度走向上仍有很多未解难题。

在北大法宝司法案例库，通过检索“个人信息”这一关键词，选取2022年1月至2023年5月这一时间段，仅有7例涉及民事侵权损害赔偿路径解决的纠纷，占在此期间总共收集案例的百分之一左右。可见在真正发生大规模的个人信息侵权后，个人信息保护法第69条规定的私法救济路径适用范围较为狭窄。

受害人通过私法路径实现权利救济往往面临困境，即如何确定损害赔偿额的标准。尽管个人信息保护法第69条第2款延续原侵权责任法第20条、民法典第1183条，以被侵权人因此受到的损失、侵权人因此获得的利益或者法院酌定作为侵害人身权益造成财产损失赔偿数额的确定方法，但是在司法实践中，仍然存在受害人损失难以认定最终落入法院酌定难题，因其极大不确定性不仅当事人不敢主张，法院也不愿支持较高数额，使得侵害个人信息损害赔偿的路径适用范围狭窄。

受害人请求损害赔偿还面临举证责任和归责原则困境。

在归责原则上，个人信息保护法第69条第1款并未延续民法典第1065条第1款的过错责任原则，而是采纳了1065条第2款的过错推定。但在适用上，过错推定责任存在适用范围狭窄的可能，如果侵权人非个人信息处理者（如委托处理个人信息中的委托人）或者不适用个人信息保护法中的个人信息处理情形中发生了侵害个人信息权益的纠纷，则还是适用过错原则。

在举证责任方面，由于个人信息者受举证偏在困境的影响，导致其不仅证明自己遭受的实际损失困难，还使得证明自己实际遭受损失和对方的侵权行为之间的因果关系困难重重，侵害个人信息微额损害的获赔成功率进一步降低，影响了制度适用积极性。

对于微额侵权应否获得救济，学界之前的观点往往是否定的。比如曾有我国台湾地区学者指出：人类社会中纠纷时时刻刻都在发生，存在一些微额损害再正常不过了，没必要将微额损害在内的所有损害都诉诸法律保护救济。也有学者认为对微额损害建立损害赔偿制度势必会出现过多的个人信息损害赔偿的诉讼案件，司法资源成本过大，不能实现法律资源的最优配置。显然，以上观点往往立足于诉讼效益和成本的分析。

笔者认为以上观点确有合理之处，但如果过于刚性就会走向反面，无异于鼓励侵权。首先，微额损害虽然给单个个人所带来的损害是微小的，但它所带来的范围是广泛的，便由此所带来的社会恶劣影响也是深远的，而且作为信息业者最终获益方来说它的商业盈利性也巨大，对此对于信息业者所获得巨大利益和微额损害涉及个人人格权的损害来说，此处运用司法资源不能说是浪费。二是信息业者作为信息的收集者所处强势地位与普通个人信息“贡献者”所处弱势地位本身具有不对称性，理应通过民法的损害赔偿救济机制加以弥补改善，否则助长其滥用行为，易造成行业的滥用成风。其三，站在弥补立法漏洞与完善立法机制的角度，也应该完善立法在此方面的空白问题来应对现实实践的需求。

理论界与实务界对于侵害个人信息权益的损害赔偿责任已有一些研究，但针对微额损害的研究还需要继续深入。作为重要的人格权益，民法典与个人信息保护法对微额损害并未排除。

首先，个人信息作为重要的人格权益被规定在民法典中。根据民法典总则编第111条、第四编人格权编第1034条至1038条，个人信息都是一项重要的人格权益。

其次，民法典和个人信息保护法均规定了对人格权益受损的私法救济。民法典第1182条明确规定了人身权益受到损害后损害赔偿额的确定问题，个人信息大规模微额损害符合这里关于人身权益的规定，理应受到侵权责任法的保护。个人信息保护法第69条第2款对个人信息的保护做了专门规定，承接民法典第1182条的立法精神，为个人信息侵权提供了损害赔偿依据。个人信息的大规模微额侵权损害相较于个人信息侵权损害，只是在侵权范围和侵权程度上与后者不同，但是在性质上仍属于个人信息的侵权损害，在救济上仍可以借助上述法条的规定加以适用。

综上，民法典与个人信息保护法均规定了个人信息损害赔偿救济，即使大规模侵权也不例外。

比较法上，有学者所提出的私人在法实现中的作用，颇具启发。“利益”是当事人资格的基础，随着“利益”概念的扩大，即利益不仅包括法律上的利益还包括事实上的利益，私人的利益实现程度与维权积极性正相关，从而间接促进法的实现。可资镜鉴的是，为了激发个人维权积极性，美国法在程序上规定允许私人作为相关人以州或州属机构名义起诉的相关人诉讼、市民提起的职务履行令、请求诉讼、纳税人提起的禁止令请求诉讼等几种制度，承认私人作为一名市民从公共立场提起诉讼，并可以请求损害赔偿。当然，“利益相关者”持续扩容也可能引发社会滥诉问题，故各国基本在诉权理论上采纳较为严格“利害关系”理论的同时并适度扩展，此举有利于促进法的实现。

损害赔偿对于提高私人维权积极性，提升在法实现中的作用有重要意义。作为私法效果的填平原则是维系受害人维权积极性的最低限度保障。为提高维权积极性，有观点认为应当超越填平原则，让维权者除了损害填平外更有额外所得，实现遏制与预防目标。根据此种观点，公法救济之罚金刑的短板之处即对于巨型企业，特定的罚金额不能够使其起到“痛定思痛”的效果，故建议引入私法上的损害赔偿的救济方式并以法定的形式将赔偿额定为金融费用的两倍，同时规定对每个债务人的赔偿不得少于100美元，不得高于1000美元，这样一来，根据企业的人数和消费者的人数不同，能够很好地给予相应规模企业很好的制裁。

损害赔偿救济的效果能够制裁和抑制违法现象、填补当事人的损害。此外，损害救济赔偿相较于公法上的罚金刑，还有助于激发其余未诉受害人群的积极性，间接达到提高社会治理效果的作用。

个人信息保护法中关于69条第2款的规定“受到的损失”，是否包括精神损害，学界存在一定争论，但主流意见主张个人信息保护法上第69条第2款所规定的“损失”，只是财产上损失，而不能扩张解释其为精神上的“损害”。对此观点，笔者赞同。

首先，从文义解释上来说，“损失”一般指财产上的损害，而“损害”包括财产上的“损害”和精神上的“损害”，立法者在此处用“损失”一词而不用“损害”，已经表明“损失”仅限定在财产之上。

其次，从比较法上来看，精神损害条款如有规定，应当是单独规定并附加解释说明，不应该和财产的损害相混杂。比如爱尔兰数据保护法第7条在GDPR还未颁布之前一直将非物质性损害排除在外，但是随着GDPR的出台，2018年爱尔兰数据保护法详细规定了个人信息权益侵害的损害赔偿责任，并在第117条第10款明确损害包括物质损害和非物质损害。在美国的个人信息权益侵害案件中，原告证明存在事实上的损害的主要理由之一是个人信息权益侵害造成精神困扰，以及美国法学会2020年发布的《数据隐私法律原则》也将情感损害和情感上的寒蝉效应都列为可以认定的损害。

美国经济激励机制下要求企业公开说明个人信息的经济价值及其计算方式，可为个人信息的非法收集、滥用、转让行为提供赔偿参照。关于个人信息侵权后对财产性权利的损害的认定问题，目前只在个人信息保护法第69条第二款做了模糊规定，其中该条款之一为以“受到的损失”或“获得的利益”来确定对个人信息侵权后的损害赔偿，该条款之二为“在既不存在实际损失也不存在侵权人获益的情况下，法院根据实际情况确定侵害个人信息的损害赔偿金额”。将上述规定带入到个人信息的大规模的微额侵权损害赔偿中来，显然前者以“受到的损失”和“获得的利益”作为赔偿标准更像是法定赔偿模式，而后者更像是酌定赔偿模式，故由此引申出二者赔偿模式的路径走向问题，前者需要依靠具体的损失计算标准和获益的具体分配计算标准来达到由法定赔偿到法定赔偿额的转变，而后者需依靠法官自由裁量之时所虑及行为人的主观心态及损害后果的严重程度来确定赔偿额，酌定赔偿模式超出了其固有的补偿性质，使其具有了惩罚性质，其最终走向便是惩罚性赔偿模式。个人信息保护法第69条第二款之一，由法定赔偿模式向法定赔偿额模式的路径走向，对此站在比较法的角度，不少学者认为美国加利福尼亚消费者隐私法（以下简称CCPA）及其配套的《CCPA行政规则（征求意见稿）》所构筑的经济激励机制引入个人信息保护模式值得借鉴，笔者认为，同样可以将其引入确定财产性权利受侵害的确定上来，因为在经济激励机制下要求企业公开说明个人信息的经济价值及其计算方式，这为激励机制内所明确标价的个人信息提供经济损失计算依据，也为个人信息的非法收集、滥用、转让行为提供赔偿参照。

具体损害赔偿请求制度构建图如下图1所示：

其中CCPA的经济激励机制主要的运作方式便是，通过大型信息业者在进行收集使用用户的个人信息时进行充分的告知，用户也拥有自由选择加入和退出权，企业通过公开说明个人信息的经济价值及计算方式来给自愿加入的用户提供直接的经济补偿或者提供差异化的服务和个别项目的收费标准。在这里，对大规模的用户个人信息的微额侵害加以收集和利用，放到大型信息业者的市场利益上面来。当用户意识到数据价值和市场的存在但却被排除于市场外时，这种被剥夺感和失控感会导致用户的态度变得更具有攻击性。从而与之前的免费模式相比，经济激励制度则为用户提供了更直观地进入市场的通道，并允许用户直接、即时分享数据处理收益，由此一来，不仅增强了用户对个人信息的自决权，更能将前面提到的“攻击性”通过合理的方式运用到自诉权上面来，由此以来可以对个人信息大规模的微额侵权中，关于财产性利益的损害部分进行有效的认定。

如前所述，笔者并不赞同个人信息保护法第69条第2款所规定的“损失”包括“精神损害”，但实践中的确可能出现借助于精神损害赔偿制度实现受害人的利益诉求。

关于精神损害赔偿额的确定，最高人民法院相关司法解释曾专门规定。根据《最高人民法院关于确定民事侵权精神损害赔偿责任若干问题的解释》（法释〔2001〕7号）第10条，精神损害的赔偿数额确定因素中，“侵权人的获利情况”被单独列出，该规定在2020年的修订中得以延续，由此与民法典第1182条侵害人身权益造成财产损失赔偿数额的确定方法产生了很大关联。

对于个人信息大规模侵权，明确侵害的对象是选择进行损害赔偿的关键所在。有学者主张损害对象应当为财产性损害，而财产性损害的基础为个人信息可以商品化，但是对于损害赔偿数额是否以单个个人信息损害还是建立最低额的损害赔偿制度，持保留态度，而对于精神性人格权是否可以作为被侵害的对象，可以以加害行为的性质、程度和方式（如披露他人的隐私、诽谤他人、在发行量巨大或读者众多的媒体上实施侵害行为等），侵权人的主观过错程度（故意还是重大过失抑或轻微过失），损害后果的类型以及被侵权人因侵权而引起的连锁反应（如出现失眠、学习成绩下降、企图自杀）等来作为认定的标准，而不以民法典第1183条第一款所规定的“严重”作为标准。还有学者认为个人信息的损害，尤为大规模个人信息的损害应当以精神损害人格权作为主要的损害赔偿对象，并且强调不以“严重”程度作为损害赔偿基础。依照民法典相关规定，个人信息属于人格权编所保护的人格权益，在第1182条中侵害人身权益造成财产损失赔偿可以获得财产损害赔偿，而在第1183条第1款中，侵害自然人人身权益造成“严重精神损害”的，有权请求精神损害赔偿，两条规定中涉及的赔偿似乎为聚合关系，但由于精神损害赔偿中对“侵权人的获利情况”的考量，对个人信息大规模微额损害赔偿中“选择性”竞合更为合理。

当侵害对象的财产损失难以确定，精神损害作为赔偿的路径更为合理。对于上述的状况是比较理想化的状态，即个人用户在受到信息业者损害的情境下，财产损失能够被精确的确定或者通过一些物质（诸如个人数据的流失）损失可以参考数据流通的市场价值来进行测量确定赔偿额，当财产性损害赔偿难以算定时，精神损害赔偿路径可能就成为次优方案。对此，学界存在不同的看法，有学者呼吁效仿我国台湾地区的做法，建立最低额损害赔偿制度；也有学者不赞同此种做法，理由为，若作此规定，可能对个人信息处理者造成过大的赔偿责任。例如，若是泄露100万人的个人信息，即便按照每个人500元计算，也意味着要赔偿5亿元。在笔者看来，最终立法未采用最低赔偿额规定，并非出于个人信息处理者责任过重这一理由，从2021年7月，滴滴被罚80.26亿案件的公布中我们可以看出，公法救济要比私法损害赔偿救济处罚“凶”得多，所以究其原因是背后没有赔偿依据做支撑，即由于不像比较法上欧美国家将非物质损害或者情感损害作为明确的赔偿依据规定在立法当中，我国立法中无论是民法典第1183条还是个人信息保护法第69条第2款都未有明确规定，所以要想让其落地需要将大规模个人信息侵权划归到精神损害赔偿中“严重”的标准当中。

不过由于民法典第1183条第1款所规定的精神损害赔偿中以“造成严重后果”为条件，导致适用门槛较高，笔者建议通过解释论构造适当减低门槛。

首先，借鉴（《最高人民法院关于审理国家赔偿案件确定精神损害赔偿责任适用法律的若干问题的解释》法释〔2021〕3号，以下简称《解释》）中的关于精神损害赔偿规定来解释“造成严重后果”，在《解释》的第7条中详细规定了关于“造成严重后果”的情形，其中包括第三款受害人经诊断、鉴定为精神障碍或者精神残疾，且与侵权行为存在关联。第四款的受害人名誉、荣誉、家庭、职业、教育等方面遭受到严重损害，且与侵权行为存在关联。

其次，关于大规模个人信息侵权造成的损害，往往会给受侵害者带来上述第四款所规定的严重的精神损害，尤其为敏感个人信息的损害，轻则给受害人的名誉、家庭等带来严重的负面影响，重则造成受害者的精神阴影乃至造成精神障碍，尤其是带有知名度的一类人群，更易遭受因个人信息的侵害而致精神伤害，例如2023年发生的红发女孩郑灵华因个人信息泄露遭受网暴致郁最后选择自杀的事件。以及同年因个人信息的肆意被扒致传播最终选择自杀的刘学州事件。这些案例都值得我们深思即可怕的不是个人信息被侵害或者被泄露的这一行为这么简单，更值得重视的是个人信息被侵害或者被泄露所带来的一系列严重的后果，所以要想在源头上遏制这一类悲剧的发生我们应当想到源头治理的方式，即将大规模的个人信息的侵害界定为“造成严重后果”并加以必要的精神损害赔偿是可行之策。

关于精神损害赔偿的数额，应当与酌定的财产损失大致均衡，可以考虑每个受害人所获精神损害抚慰金的数额一般不少于一千元。这里的一千元同样也可以作为对大规模个人信息侵权后由于财产上的损害赔偿不能满足，而作出的精神上的损害赔偿的兜底性赔偿，对于侵害个人信息的对象即敏感个人信息和一般个人信息进行上下浮动确定赔偿额。

对于个人信息的侵权的归责原则，在个人信息保护法第69条规定之初有三种理论，分别为一元论、二元论、三元论。其中一元论为主张不区分侵权主体，只要侵权人主观上有过错便承担过错推定责任，二元论为区分侵权主体为公务机关主体采取违法收集、买卖等方式侵害个人信息权益的承担无过错责任，而非公务机关主体实施上述行为侵害个人信息权益的承担过错推定责任，三元论则认为还应将对大数据的自动化处理作为分类依据，即在吸收二元论的基础上，将在数据技术处理和资金支持上具有天然的优势，应当承担无过错责任，而鉴于是否拥有大数据自动化处理技术和资金支持将非政府主体又分为自动化数据处理主体和非自动化数据处理主体，对于前者适用过错推定责任，后者适用一般过错责任。随着个人信息保护法的颁布，明确了理论的应用即一元论。那么在面对信息业者的大规模的轻微侵权之下一元论的采用是否存在瑕疵的地方呢？在此笔者想要对现行的一元论的过错推定归责原则指出不足之处，并提出相应的完善建议。

对于非个人信息处理者导致的大规模个人信息侵权，过错推定归责原则失灵，采过错推定过失以及三元论的归责原则的引入来弥补。个人信息保护法第69条规定的适用过错推定责任的主体即个人信息处理者，根据个人信息保护法第73条第一项的解释其仅指在个人信息处理活动中自主决定处理目的、处理方式的组织和个人。根据此规定，非个人信息处理者不能适用69条第1款规定的过错推定责任，只能适用过错责任（民法典第1165条第一款），在此，假设信息业者换一种方式实施对个人信息的大规模轻微侵权（比如找到委托人，托其进行收集、整理，自己进行回购的方式）此时如何确定归责原则，对此有不少学者主张采用无过错归责原则。针对此弥补司法实践中存在的该类问题，笔者作出以下探讨：

其一，引入之前多数学者所提的违法推定过失规则加入司法实践的应用，此规则的含义指处理者为经营者时，只要发生了个人信息的泄露或者丢失，其就要证明自己履行了采取适当的技术措施以确保信息安全的法定义务，否则其将被认定为违反了法定义务，进而认定有过错，其可以提出反证。在此规则下，只要违法推定为存在过失，可以有效地将发生诸如上述的非个人信息处理者大规模侵害个人信息权益时，在适用一般过错原则前提下，来减轻原告所承担的证明责任。

其二，将上述所说的三元论引入代替一元论，即以是否存在自动数据处理技术来处理个人信息的组织和个人来区分适用过错推定责任还是过错责任，针对信息业者的大规模的轻微个人信息侵权事件，大多都是以自动化数据处理技术来进行的个人信息的收集与整理，即便是其委托处理个人信息的中的受托人（非个人信息的处理者），也能根据该理论作为依据适用过错推定归责原则，由此一来还可以准确区分出非个人信息处理者中的不具有大规模侵害性或处罚性的一些信息处理行为，例如自然人因个人或者家庭事务处理个人信息的行为，从而做到有效精准进行归责惩处。

在证明责任上面对于侵害行为的证明困境问题中，对大型信息业者课以事案阐明义务、证据协力制度以及法院主动依职权调查制度均有不完善之处。有学者为举证责任困境指出三条出路：其一，对持有证据但不负有举证责任的一方（从事信息业者的大型企业）课以事案阐明义务；其二，采证据协力制度，即强调第三人进行证据的协助调查的义务；其三，由于该诉讼中举证责任的存在在法庭之上难以依据《民事诉讼法》第94条和96条的规范，由法院主动依职权调取证据，故应加强法院主动调取证据的力度。

笔者认为，上述三条出路在适用过程中存在粘连密切和选择递进关系，无法达成理想状态下的举证责任减轻的目的。从事信息业者的大型企业的主动事案阐明义务因为具有先入性和控制性，往往影响后两种路径的走向。法官在司法实践中往往为了节省司法资源的需要，对于被告信息处理者的主动事案阐明和案外第三人的参与协助调查后，法院主动调取证据而不予实施。试想，在大型信息业者发生大规模微额侵权事件之后，由于其主动事案阐明义务的先行，为了维护自己企业的根本利益或者减少损失，势必作出有利于其增加其权利和减少其义务的说明，而对于这里的第三人先不论私下里有无被“收买”的嫌疑，单就受前者力量的施压与先入性影响往往作出有利于信息业者的行为，而由于此三条路径递进关系的存在，前两个路径的“成就”使得法官的主动调查往往形同虚设。故，难免三种路径在司法实践中出现“治标不治本”的成效。对于信息业者的大规模微额侵权行为的规制，应该深入其算法运行当中进行根本的认识与处理。我们应当深刻把握民法典第496条中关于格式条款相关条文的解读，关于将格式条款引用于信息业者大规模微额侵权的规制中，格式条款无效，侵权行为也相应地不证自明。

在因果关系的证明体系中，可以考虑采用证明责任倒置以及在大型企业中引入个人信息的保护制度来化解举证难题。关于因果关系体系存在的举证困难问题，曾有学者主张采用对此要件采用证明倒置的方法来合理分配证明责任以保护处于劣势地位的个人信息受害者。笔者认为以上观点可值赞同，在诸如上述措施实施的基础上可以在从事信息业者的大型企业中引入个人信息保护法的第52条规定，建立个人信息的保护制度，由此一来，不仅使得被告人更加明晰，从而可以有效缓解发生侵害后损害义务人难以确认的阻力，且有助于损害赔偿主体和侵权主体的确定与审查。比如，前面提到的滴滴被罚案，可以通过在其内部设立个人信息保护人制度即信息保护部门，不仅可以快速确定具体被告，还可以依据其内部的信息保护部门的信息资料更加有利于侦查部门对其的侦查，故此部门的独立设置具有重大意义。通过信息业者个人信息保护部门的建立，使得个人信息的商业流通渠道和买卖价值得以确定，由此有利于对被侵权人的赔偿金额的认定，从而对个人信息被侵害者的财产性利益损失能够做出相对准确的估量，也有助于上述提到的个人信息微额损害最低赔偿标准制度中最低赔偿基准额的确定。

具体归责原则和证明标准路径图如下图2所示：

随着大数据信息产业的不断发展与变革创新，由此带来的大规模轻微侵权事件也屡见不鲜，随着个人信息保护法的颁布，对于目前我国对此的救济途径来说尚处于依靠公法的处罚、公益民事诉讼或者行政诉讼来进行处罚规制的适用在现实中居多，而对于私法上的个人诉讼救济仿佛还处于“萌芽期”，由其碍于举证责任和损害赔偿成本的问题的存在，使得在司法实践中个人要求进行损害赔偿的案例少之又少，当然随着个人信息保护法的颁布，公法的处罚和公益诉讼的救济确实发挥了其应有的功效，但是如何平衡公法、公益诉讼和私法救济之间的适用成为当下亟待解决的难题，因此有必要对民法典和个人信息保护法中的有关条文进行解释说明，尤其为个人信息保护法的第69条，通过上述中对大规模轻微损害赔偿中的财产性权利损害赔偿的认定、精神性损害赔偿的认定以及证明标准和证明责任的认定标准说明和探讨，针对信息业者对个人信息大规模轻微侵权的损害赔偿提供救济路径的参考。为数字化经济发展中的个人信息微额损害提供完善的法治保障对策，助推数字经济的高速健康发展。