本文为作者向无讼阅读独家供稿，转载请联系无讼阅读小秘书（wusongyueduxms）

本文从个人信息侵权案件的构成要件损害事实的争议出发，比较了美国在个人信息侵权判例中对损害事实的认定，从而得出对中国的启示。

一、个人信息侵权的构成要件

个人信息侵权的构成要件，关乎于诉讼当事人须举证的证明对象。一般侵权行为的四个构成要件：侵权行为、损害事实、侵权行为和损害事实之间的因果关系、主观故意或者过失。

个人信息侵权的构成要件的主要争议在于是否应当包括损害事实。有的观点认为个人信息侵权案件中原告无须证明损害事实，凡是以非法手段征集、使用他人信息，或者毁损他人信息，非法侵害他人合法权益的行为，无论是否造成了实然损害，也无论侵权人是否从中获利，均不影响侵权行为的构成，都可以要求侵权人承担侵权损害赔偿责任。[1] 这种观点显然加重了被告的责任，在当前中国《个人信息保护法》尚未建立之前，对于很多领域中如何准确界定个人信息侵权事实尚是疑问，如果支持原告仅证明侵权事实，无须证明损害事实，则会产生滥诉等问题。

笔者认为个人信息侵权行为的构成要件须有损害事实，即原告需要证明其因被告的侵权行为造成了一定的损害，并且这种损害与被告的侵权行为存在因果关系。个人信息侵权侵害的损害后果主要表现为信息主体在个人信息上的精神利益和物质利益受到损害，对隐私、姓名、名誉等个人信息的传统侵权中，其损害主要表现在精神层面；而个人信息权益被侵害，则经常包括精神利益和物质利益两个层面。如果仅存在侵权行为，而原告不能证明其损害后果，法院一般会作出确认判决，即确认被告的行为系侵权行为，但不能支持原告主张的赔偿请求。

在美国，原告拥有诉讼主体的资格通常须主张其存在可以被审理的损害，以作为联邦法院主张可行的诉讼理由，从这个意义上来说，在美国损害事实是构成个人信息侵权行为的必须的构成要件之一。下文比较法研究部分会重点介绍美国在个人信息侵权损害事实认定上的判例。

二、美国个人信息泄露损害界定以及可诉性判断

笔者阅读了美国最近的一个案例 CareFirst， Inc. v. Attais，再次触发对个人信息泄露侵权案件中损害的界定以及原告诉讼主体资格的判断标准问题。

Carefirst是一家美国医疗保险公司，2015年4月遭到黑客袭击，众多客户的个人信息遭到泄露，原告组成集体诉讼起诉Carefirst，地方法院认为原告没能举证其遭受了具体的损失或者未来极大可能遭受损失，缺乏ArticleIII的诉讼资格，因此驳回起诉。上诉法院：首先论证其对该案有管辖权。其次，论证本案的争议焦点，即whether the plaintiffs have standing to bring their action against CareFirst. 上诉法院的意见是认可原告已经阐明了其未来可能遭受损害的危险，并且引用了第七巡回法院的观点，这些黑客攻击数据库并窃取个人信息终是一种危险，其必有不正当目的。[2] 因此，本案被发回重审，因不能超越审理范围，故未讨论个人信息泄露在何种程度上构成损害满足诉讼条件的问题。

关于个人信息泄露所受损害应达到什么程度方具有诉讼主体资格，美国联邦上诉法院间有不同的观点，联邦第六、第七、第九和华盛顿巡回法院认为只要证明存在信息盗窃的基本风险便可以提起诉请，而第三和第四巡回法院认为这样的损害属于投机性风险（speculative）。此前Clapper v. Amnesty International案中法院指出原告具有诉讼资格须证明其受到实际损害（injury in fact，injury that is concrete， particularized，and actual or imminent），2016年，Spokeo， Inc. v. Robins [3] 一案确定了一个重要的标准：个人信息遭受损害的程度须是已存在的或者具有紧迫性的，而非推测或假设的（“actual or imminent， not conjectural or hypothetical”），方可构成诉讼的条件。为了满足宪法第三条的规定，原告获得诉讼资格，必须证明三个要件：1.事实上受到的损害，它是（1）具体和特定的（concrete and particularized）（2）事实已存在的或者具有紧迫性的，而非推测或假设的（actual or imminent， not conjectural or hypothetical）；2.导致受害人的损害的行为可以追溯到被告的被控诉行为上；3.与仅仅是推测性的相比，这种损害有可能通过有利的法院判决得到判决。

Daniel Solove教授在Privacy and data security violations：what‘s the Harm？一文中称法院通常会寻求认定损害具备“visceral and vested”的特征：损害必须是visceral——它们必须涉及一些明显的身体损害或经济损失；损害必须是vested——它们一定已经发生了。Daniel Solove教授列举了三种法院通常会驳回的损害主张及理由：1.个人信息泄露造成的精神损害，因为人们很容易说自己受到了情绪损害，精神损害很难证明；2.个人信息泄露增加了他们个人身份被窃、欺诈和其他损害的未来危险，对于未来的损害风险，法院则通常希望看到实际表现出的损害，而不是正在孵化的损害；3.个人信息泄露导致他们花费时间和金钱避免欺诈等发生，这是你自愿的支出，此前的In re Hannaford Bros. Data Security Breach Litigation？(Maine Supreme Court， 2010)，法院称法律并未规定时间和金钱的支出是一种损害。[4]

然而在很多案件中法院都支持了原告的未来可能遭受的损害赔偿的请求，为何在个人信息案件中却不能支持呢？Daniel Solove教授认为有几个原因：第一，现在无论大小公司都掌握了大量的个人信息，承认损害即可能意味着大量公司面临破产；第二，个人信息泄露之后要过很久才会显现出损害，甚至在诉讼时效之内都未显现；第三，即使未来损害可能发生了，也不能就此确定该损害是由目前的信息泄露导致，不能特定性；第四，碎片化的信息很难形成证据链，需要前后间隔一定时间段组合的信息才能判断损害发生的来源。[5] 也正是因为个人信息泄露案件的特殊性，法院通常不支持尚未造成的未来的损害赔偿的请求。

三、对中国的启示

美国关于个人信息泄露损害程度的可诉性问题，与我国的个人信息侵权案件中的证明对象问题一致。个人信息泄露侵权行为的构成要件是否应当包含损害事实，以及损害事实应当达到什么样的程度。从我国目前的个人信息侵权案件来看，基本都要求原告举证其已遭受的损失，若原告未能举证证明其因被告的信息泄露而遭受损失，法院是不支持原告的诉讼请求的。《民事诉讼法》第119条规定了起诉的条件，其中之一是原告须与本案有直接利害关系，而侵权案件起诉需要有相应的请求权基础，即被告的行为侵犯了原告的什么民事权益，原告需要证明自己的某一项民事权益遭受损害。

但在个人信息侵权案件中，其特殊性在于个人信息泄露之后，尚未造成损害之前，个人可否以个人信息权、隐私权等民事权利在未来可能遭受损失为由提起诉讼。对这种个人信息泄露后未来才会可能显露损害的特点，Daniel Solove教授举了一个生动的例子：假设你感染了一种在你的血液中默默等待10年然后突然有一天可能会杀死你的病毒，法院不会受理直到你有了实际损害，然而这时可能损害已经很严重了，因此，你只有放任自己的信息暴露，等着损害的实际发生，法院才会受理并支持你的请求，而且你还要祈祷在诉讼时效内实现。[6]

我国学界有一派观点认为当前个人信息泄露状况严重，原告只要证明其个人信息遭泄露，不需要证明实际损害，就可以提起诉讼，并且适用举证责任倒置，加重被告的举证证明责任，以此来督促掌握个人信息的机构和组织妥善保管个人信息和从合法渠道获得个人信息。

但笔者认为这样的个人信息侵权法律制度构造存在很大问题，第一，只要证明被告与本人联系这一事实就可以被告非法获得身份提起诉讼，很容易引起当事人滥诉。原告还应该继续举证这种联系侵犯了自己的隐私权等民事权利，因此而遭受了一定的损害。第二，当事人滥诉会给司法带来沉重负担，浪费司法资源，在当前法院案件激增而人手紧张的情况下，无异于雪上加霜。司法权应当保持克制和自律，司法作为解决冲突的工具，但不是唯一的工具，在任何一个社会，纠纷的解决机制应当是多元的，可以依靠其他方式来救济，比如行政上的救济，成本会更低。退一万步，如果社会个人信息泄露侵权到了无可复加的程度，可以由国家相关行政机关设立专业性更强的纠纷解决机构，专门受理此类问题。如欧盟《一般数据保护条例》规定的救济途径之一为每个数据主体都有向监管机构进行申诉的权利，监管机构往往具有更强的专业性，掌握更多信息，能够更有效处理纠纷。第三，这种制度设计使被告的举证责任负担过重，采用了过错推定原则，被告要对自己知晓原告的信息正当进行举证，这使得社会上的每个个人和组织在获取他人信息的时候都要格外留意，注意留存证据。个人信息侵权案件中体现了信息自由流通和隐私保护之间的价值平衡，隐私属于信息，不仅承载了个人人身权利，也具有消除交易成本的作用，未来的社会必将是信用的社会，信用社会的建立基础是对个人信息的搜集和分析。被告举证责任负担过重无疑加大了社会互联互通的成本和负担，也不利于信用社会和诚信社会的建设。

[1] 刘永祥：《论个人信息侵权责任制度之构建》，载《商品与质量》2011年10月。

[2] As the Seventh Circuit asked， in another data breach case where the court found standing， “Why else would hackers break into a . . . database and steal consumers‘ private information？ Presumably， the purpose of the hack is， sooner [*629] or later， to make fraudulent charges or assume those consumers’ identities.”

[3] 该案介绍详见Daniel Solove ：When is a person harmed by a privacy violation？http：//www.teachprivacy.com/thoughts-on-spokeo-v-robins/。

[4] Daniel Solove， Privacy and data security violations：what’s the Harm， linkedin， June 25， 2014.

[5] Daniel Solove， why the law often doesn’t recognise privacy and data security harms？ https：//teachprivacy.com/law-often-doesnt-recognize-privacy-data-security-harms/.

[6] Daniel Solove， Privacy and data security violations：what‘s the Harm， linkedin， June 25， 2014.

责编/孙亚超  微信号：elesun724