企业大规模侵害个人信息权益的司法认定 | 至正-案例分析|侵权人|司法认定|民事纠纷案件|法院|赔偿|起诉人

本期主笔：姜英超

民庭法官助理

（更多风采见文末）

企业存在大规模个人信息侵权行为，虽然对应的被侵权主体数量是特定的，但相应经营模式对潜在不特定公众的个人信息安全构成威胁，从民事责任角度，企业应承担何种责任，承担损害赔偿责任的范围又该如何确定？本文结合一则案例对这一问题进行具体分析。

案情

公益诉讼起诉人上海市检二分院诉称：2020年4月起，被告某文化传播公司招募辛某成为兼职医美咨询师。辛某将其擅自从案外公司获取的顾客个人信息录入至某文化传播公司系统并在系统内派单，顾客成功消费后，医美机构向某文化传播公司支付总成交金额约30%的信息服务费，某文化传播公司按总成交金额约10%-20%向辛某支付费用。截至辛某案发时，某文化传播公司实际获利共计37万余元。某文化传播公司在不具备法定许可情形，且未取得个人同意情况下，非法处理个人信息，侵害了众多个人的权益，损害了社会公共利益。请求法院判令某文化传播公司：停止采用侵害公民个人信息的方式开展经营活动；永久删除非法获取的公民个人信息；赔偿损失37万余元；在国家级新闻媒体上公开赔礼道歉。

被告某文化传播公司辩称，公司系统中的涉案信息已经在起诉人起诉后删除，但另外进行了备份。被告只是个人信息间接获得者，对于辛某非法获得的个人信息，被告不知情。且被告曾经询问过辛某，其告知被告涉案信息是其个人从小红书、微博上获得。赔偿金额无依据。被告从医美机构获取的费用有两个来源，一是按照医美机构使用某文化传播公司系统的计时费用，二是消费提成，而被告没有收到过医美机构的消费提成。

上海二中院经审理查明：被告某文化传播公司的经营模式是与医美机构合作，由被告向医美机构提供有整容意向的客户信息，客户成功消费后，医美机构向被告按照客户消费金额的30%比例返利。被告获取客户个人信息分为直接获取和间接获取，间接获取信息由兼职代理提供。被告登记的客户信息包括姓名、电话号码、消费预算、预手术项目、预约时间等，少部分登记信息记载客户所在城市。

杨浦区法院审理辛某犯侵犯公民个人信息罪一案，该判决认定：2020年4月起，被告人辛某为牟利，利用其在某公司担任网络客服、为顾客提供咨询服务等便利条件获取了包含电话、整容意向等在内的顾客信息，并私自将上述信息提供给某文化传播公司运营的网络平台，由平台再将信息派发给与平台合作的医美机构招揽顾客。辛某在顾客成功消费后获取某文化传播公司给予的消费额一定比例的佣金返利。经核查，辛某提供给某文化传播公司的公民个人信息为6263条，某文化传播公司获返点佣金金额为37万余元。判决：被告人辛某犯侵犯公民个人信息罪，判处有期徒刑四年，罚金人民币四十万元。

裁判

上海二中院生效裁判认为，本案的争议焦点有如下几点：

一、被告某文化传播公司是否存在侵犯众多公民个人信息权益的行为

个人信息保护立法的重要目的在于保障个人信息主体有效掌控与自身密切相关、影响个人人身以及财产安全的信息，在个人信息主体与个人信息处理者之间达到一种利益平衡，既保障个人信息、数据安全，又促进个人信息、数据等的合法流转。本案中，被告某文化传播公司所从事的间接获取个人信息的经营模式，从辛某案件可见，绝大部分均是违法获取的案外公司的客户信息。从本案证据分析，被告某文化传播公司在信息来源的合法性确认、授权同意范围、个人信息主体的明示同意等三个方面，均未履行民法典以及个人信息保护法规定的个人信息保护义务，违反了法律规定的处理个人信息的合法、正当、必要原则以及具体的法定义务。因此，被告某文化传播公司在涉案个人信息收集、存储、使用、传输、提供方面均存在违法行为，已经侵犯了众多个人的权益，起诉人主张的侵权事实成立。同时，涉案个人信息数量多、范围广、规模大，被告某文化传播公司的涉案经营模式潜在侵权危害性极为明显，起诉人诉请要求判令被告某文化传播公司停止采用侵害公民个人信息的方式开展经营活动，具有合法性和正当性，依法予以支持。

二、被告某文化传播公司应承担何种民事责任

民事主体依照法律规定或者按照当事人约定，履行民事义务，承担民事责任。行为人因过错侵害他人民事权益造成损害的，应当承担侵权责任。本案中，被告某文化传播公司在处理众多个人信息时存在违法行为，侵犯了众多公民的权益，应承担侵权责任。结合本案在案证据以及实际情况，被告某文化传播公司应承担如下民事责任：第一，停止侵害，被告某文化传播公司对于涉案6000余条个人信息在公司系统中是否彻底删除的陈述前后不一，也未提供确切充分的证据证明涉案个人信息在其公司掌握的存储系统中已经删除，因此，被告某文化传播公司仍然负有删除义务，应采取措施将涉案个人信息彻底删除。第二，赔偿损失。处理个人信息侵害个人信息权益造成损害，个人信息处理者不能证明自己没有过错的，应当承担损害赔偿等侵权责任。本案中，被告某文化传播公司侵害了众多个人信息主体的权益，同时将该行为作为其重要经营模式，应依法承担损害赔偿责任。第三，赔礼道歉。本案中，被告某文化传播公司的行为侵害了众多个人信息主体的个人信息权益，其行为具有持续性，规模较大，影响面较广，造成了社会公共利益在一定程度上的损害。起诉人作为法律规定的诉讼主体，有权要求被告某文化传播公司赔礼道歉。

三、被告某文化传播公司承担损害赔偿责任的范围

本案中，起诉人提供的证据可以证明被告某文化传播公司存在获益情况以及具体的获益金额，故对被告某文化传播公司违法获益金额37万余元予以认定。被告某文化传播公司的行为侵害了众多个人信息主体权益，对社会公共利益造成了损害，根据个人信息保护法第六十九条第二款规定，被告某文化传播公司存在可确定的获益金额，考虑到本案实际案情，可以作为被告某文化传播公司承担赔偿责任的具体标准。因此，起诉人以被告某文化传播公司获益具体金额为基础，主张被告某文化传播公司赔偿损失37万余元有相应依据，依法予以支持。

综上，法院依法判决某文化传播公司停止采用侵害公民个人信息的方式开展经营活动、永久删除非法获取的公民个人信息、公开赔礼道歉、赔偿损失人民币37万余元。

评析

企业大规模个人信息侵权行为通常借助信息技术手段，带有规模性、隐蔽性特征，个人通过诉讼活动取证和维权难度大、成本高，故法律规定有关机关可以提起民事公益诉讼。此类案件中，侵权行为是否具有公益侵害性、责任承担及赔偿标准，均是审判实践中争议较大的问题。以下结合本案案情，针对相关问题进行分析。

一、侵权行为公益侵害性之辨析

企业大规模个人信息侵权案件中，被侵权主体在数量上通常呈现两个特征，一是人数众多，例如本案中某文化传播公司仅从案外人辛某一个代理处获取的个人信息就达6000余条；二是数量特定，即便涉案个人信息所指向的公民数量众多，但通过电子鉴定等技术手段，在多数案件中均能够对涉案信息数量、被侵权主体数量加以统计固定。此类被侵权主体数量众多但特定的情形，是否能够符合公益诉讼的起诉条件，在实践中存有争议。原则上来说，只有不特定多数人的利益才能称之为公共利益。公益诉讼出于保护公益之目的，原告起诉应当以侵权行为侵害的是公共利益为前提。因此，对于个人信息保护法第七十条“众多个人的权益”应当进一步阐释其内涵和外延，使其与公益诉讼制度目的和立法原意协调适应，便于司法实践中对此类案件侵权行为公益侵害性进行辨析。

（一）“众多个人”内涵的形式认定

从形式要件来看，权益受损的个人应当达到“众多”标准，是公民个人信息保护民事公益诉讼法定的形式要件。从立法体系来看，民事诉讼法中除了公益诉讼制度涉及“众多”的要件外，共同诉讼制度中也存在“众多”的要件，且通过司法解释的形式明确了共同诉讼制度中的“人数众多”一般指十人以上。公益诉讼制度与共同诉讼制度均规定在民事诉讼法第五章，但现行法律均未对公益诉讼制度中“众多”在人数上的理解进行回应。在公益诉讼制度趋于完善的立法背景下，此举不应理解为立法机关对此有所疏漏，而是立法对于公益诉讼制度目的的隐性回应，即对于个人信息保护公益诉讼制度中“众多”这一形式要件的理解，应从公共利益角度出发将其内涵理解为包含特定多数人为宜，不能将被侵权主体数量特定的大规模侵权情形排除在公益诉讼制度保护范围之外，由此才可使公益诉讼的制度目的得以实效化。

（二）“众多个人权益”外延的实质把握

从权益实质来看，公共利益不是简单个体利益的叠加，而是个体利益之上的抽象利益。企业侵害众多公民个人信息的行为，通常对应着非法牟利的商业模式，如在本案中，某文化传播公司的经营模式即是通过非法处理大量公民个人信息的方式获取利益，其侵权行为除了对涉案的公民个人信息造成实然侵害外，由于其侵权对象、范围、方式、手段具有明显的开放性和随机性，故其经营模式也对潜在不特定的公民个人信息权益造成威胁。因此，对于个人信息保护法第七十条“众多个人权益”的理解，应将社会公众中潜在受害者的个人信息权益纳入其外延，方能达到通过公益诉讼制度对个人信息权益进行周延保护的效果。

（三）“众多个人权益”的立法原意考察

立法原意上，要类比考察“众多个人权益”与“公共利益”的关系。民事诉讼法第五十八条规定，对污染环境、侵害众多消费者合法权益等损害社会公共利益的行为，法律规定的机关和有关组织可以向人民法院提起诉讼。该条是对民事公益诉讼的基础性规定。其中，“侵害众多消费者合法权益”显然包括消费者数量特定的情形，法条直接将其定性为“损害社会公共利益”，对于公民个人信息保护民事公益诉讼具有类比参照效果。不难看出，立法原意对于“公共利益”与“众多个人权益”理解为包含与被包含的关系，侵害众多个人权益显然属于侵害公共利益，但公共利益远非众多个人权益可以概括，还包括其他情形。该理解符合民事诉讼法第五十八条“等损害社会公共利益”的表述结构，也符合理论和实务界对该条的“等”字是“等内等”还是“等外等”进行讨论的基本逻辑。

二、民事责任及损害赔偿之认定

（一）民事责任承担方式的适用

我国民法典明确规定了承担民事责任的方式。具体到公民个人信息保护民事公益诉讼中，公益诉讼起诉人通常诉请停止侵权、赔礼道歉、赔偿损失等民事责任承担方式。其中，此类案件中是否应适用赔偿损失这一民事责任承担方式，实践中存在争议。

实践中有观点主张否定此类案件中赔偿损失的适用，理由在于：第一，公益诉讼起诉人不是直接的被侵权人，接受赔偿缺乏法理的正当性基础，有违侵权法填平原则；第二，个人信息侵权后果主要集中在精神权益，难以通过金钱量化，侵权后果产生后难以使用金钱修复，赔偿资金的管理和使用亦尚在探索阶段。尤其此类案件中，赔偿资金仅能用于公益宣教等用途，并不能如环境民事公益诉讼一样使用赔偿资金修复环境，使得受损害的权益得到真正修复；第三，从比较法来看，在域外公益诉讼又称“不作为诉讼”，公益诉讼起诉人仅可请求停止侵害，不能请求金钱赔偿，我国对此亦应谨慎适用。

笔者持肯定说观点，理由在于：第一，赔偿损失是个人信息侵权类案件的法定赔偿方式，法律依据为个人信息保护法第六十九条，该条同样应当在民事公益诉讼中加以适用。即便侵权后果难以通过科学评估的方式进行量化和计算，亦可以根据个人信息保护法第六十九条规定依据侵权人获益标准来认定赔偿数额，此举亦符合“任何人不能从违法行为中获益”的基本法理。第二，公民个人信息保护民事公益诉讼是2021年11月经个人信息保护法新设的公益诉讼领域，法律仅对其进行原则性规定，尚处在制度发展的初级探索阶段。在今后立法和出台司法解释过程中，通过细化损害认定规则、规范赔偿金管理制度等方式，可以消解否定说中对于赔偿损失适用的种种顾虑。例如，部分地区的公益诉讼起诉人通过与有关公益组织签署合作协议，探索建立公益诉讼专项基金，就是赔偿资金使用的有益尝试。第三，企业大规模侵害个人信息权益具有隐蔽性、违法成本低的特点，但其社会危害性强，严重影响民众生活安宁和公众安全感，阻碍个人信息数据正常流通，增加政府进行个人信息安全治理的成本。在风险和成本两相比较之下，判令侵权人赔偿损失可以达到提高侵权成本、遏制侵权现象的效果。在个人信息侵权治理的初级阶段，判令赔偿损失更能达到良好的社会治理效果。

（二）侵权损害赔偿标准的确定

赔偿标准的确定一直是人格权益侵权领域的重要争议问题。从侵权责任法第二十条可见，侵害他人人身权益造成的财产损失，按照“被侵权人所受损失-侵权人所获利益-人民法院酌情确定”的递进关系，逐一对应适用赔偿标准。民法典第一千一百八十二条将被“侵权人所受损失”和“侵权人所获利益”修正为并列关系，不再强调前两类赔偿标准适用的先后顺序。个人信息保护法第六十九条延续了民法典的立法思路，只有在被侵权人所受损失或侵权人所获利益不能确定时，方可由人民法院酌情赔偿。针对个人信息保护法这一规定，实践中进行法律适用时应注意如下问题。

第一，对于侵权人所获利益这一标准的适用。个人信息保护法不再将侵权人所受损失列为赔偿标准仅有的第一顺位，符合个人信息权益所受损失难以通过金钱数额加以衡量、难以举证的现实特点，体现出立法注重对侵权行为加以惩治和预防的价值取向。本案中，法院考虑到某文化传播公司存在可确定的获益金额，故将其作为某文化传播公司承担赔偿责任的参照标准。实践中公益诉讼起诉人多以侵权人所获利益这一标准主张赔偿，鉴于法律对此赔偿标准有明确规定，人民法院对此应予支持。

第二，对于人民法院酌定赔偿时的考量因素。当被侵权人所受损失或侵权人所获利益不能确定时，需要由人民法院根据实际情况酌定赔偿数额。《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》（以下简称信息网络侵害人身权益规定）《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》等司法解释对此都进行了有益探索。例如，信息网络侵害人身权益规定第十二条将包括调查取证的合理费用和合理的律师费用等维权成本作为侵害人身权益的财产损失，同时明确了法定赔偿最高限额50万元。笔者认为，在酌定赔偿数额时，应当根据现有司法解释规定，结合侵权行为、过错程度、社会影响范围、维权成本等情况，对赔偿金额加以确定。

第三，惩罚性赔偿制度具有法定性，在个人信息保护民事公益诉讼中应当谨慎适用。惩罚性赔偿是赔偿损失的一种特别形式，在适用时应以法律有明确规定为前提。目前我国民法典仅对故意侵害知识产权、产品责任以及环境污染、生态破坏侵权规定了惩罚性赔偿制度，在个人信息侵权领域并无相关规定。对于环境污染、生态破坏侵权领域的侵权，法律并未将惩罚性赔偿制度的适用范围仅局限于环境私益侵权，在环境公益诉讼中亦可适用该项规定。实践中不乏在个人信息公益诉讼中参照适用惩罚性赔偿的做法。但是，环境公益诉讼之所以能够适用惩罚性赔偿制度，归根结底是由于民法典第一千二百三十二条为其赋予了法律依据。另考虑到根据侵权人所获利益确定经济赔偿已经具有一定惩罚性，足以达到惩戒侵权效果，故而笔者认为，在个人信息侵权领域并无相关法律依据的前提下，个人信息公益诉讼案件中仍应谨慎适用惩罚性赔偿。

三、法院进行企业营商提示思路

持续优化民营经济发展法治环境，以审判工作现代化保障民营经济发展壮大，是人民法院的重要职能。通过公益诉讼制度加大个人信息保护力度，整治行业乱象，是人民法院的重要职责。笔者认为，法院在审理民事公益诉讼案件中，可以进行以下几个方面的有益探索，共同助力民营经济的规范经营、发展壮大。

第一，行为折抵，提升企业参与修复公共利益损害积极性。此举在部分地区的民事公益诉讼案件中已有尝试，例如在广州市越秀区人民检察院诉郑某等人个人信息保护公益诉讼案件中，法院判令被告通过参加警示教育、公益宣传、志愿服务等方式进行行为补偿，视行为修复效果对公益损害赔偿金进行折抵。此举同样可适用于企业大规模侵害个人信息的民事公益诉讼案件中，法院可视企业参与公共利益修复行为的积极性和修复效果，依法对其赔偿责任进行扣减。

第二，法检联动，敦促企业经营模式规范化。例如，在全国首例针对个人信息安全提起的公益诉讼案件中，被告主动就其APP中涉及侵害个人信息权益的内容进行优化整改，整改到位后起诉人向法院申请撤诉；再如，在浙江省杭州市余杭区人民检察院诉某网络科技有限公司侵害公民个人信息民事公益诉讼案中，双方当庭达成调解协议，约定被告做出删除侵权信息、赔礼道歉等整改措施，并承诺今后合法合规经营，否则将自愿支付50万元违约金用于公益支出。

第三，判后提示，发送司法建议助力企业依法经营实效化。民事公益诉讼案件的判决仅能就企业已有侵权行为及损害后果进行相应处理，判决后制发司法建议可以起到警示作用，警示企业优化经营模式，杜绝企业日后潜在侵权行为发生。

企业出现大规模个人信息侵权行为往往系因企业经营模式不符合法定要求所致，对潜在不特定公众的个人信息安全构成威胁，故应认定其具有公益侵害性。在此基础上，由公益诉讼起诉人接受侵权人经济赔偿便符合逻辑和法定要求。由于被侵权人所受损失难以客观量化，可以参照侵权人所获利益作为赔偿标准，必要时由人民法院在法定最高赔偿限额内予以酌定。

更多风采

姜英超

山东大学全日制法学硕士

更多作品链接：

责任编辑 | 翟珺

人像摄影 | 施蕾

版面编辑 | 周彦雨