作者简介：王康，1989年生，男，河南郑州人，民商法学博士，郑州大学公共管理博士后，郑州大学法学院讲师，郑州大学检察公益诉讼研究院研究员，研究方向：民商法学、民事公益诉讼。

摘要：个人信息保护民事公益诉讼实践中，存在损害赔偿计算方式单一、损害赔偿与没收违法所得适用混乱、惩罚性赔偿适用态度不明等问题。传统的“差额说”损害论存在局限性，以违法所得计算损害赔偿的方法不具有普适性。以恢复完整公共利益为目标，损害赔偿的范围应包括经济利益与秩序利益、现实利益与未来利益，但不包括民事主体的个体损失。适用惩罚性赔偿具有正当性，但应处理好其与刑事、行政责任之关系。在损害赔偿规则适用中，应引入“动态系统论”这一理论工具，将侵害人主观状态、具体情节、影响后果、获利数额、恢复公共秩序的合理开支、侵害人经济和生活状况作为考量因素，合理计算损害赔偿数额；应平衡罚金、罚款和惩罚性赔偿的数额，明确没收违法所得与损害赔偿的折抵关系；此外还应加强损害赔偿金的管理，保证其用于填补、修复个人信息保护相关的公共利益损害。

关键词：个人信息保护民事公益诉讼；损害赔偿；规则适用；动态系统论；惩罚性赔偿

一、问题缘起

在大数据、云计算蓬勃发展的数字经济背景下，个人信息在生成机制、外在功能和内在价值等方面具有明显的公共属性。有学者提出，传统的以个人控制为主导的个人信息保护理论忽视了个人信息所具有的社会性、公共性等属性，难以适应大数据时代个人信息保护和使用的新形势，应当以个人信息的社会控制范式来重塑个人信息保护立法及监管机制。个人信息保护民事公益诉讼，是我国对于社会保护模式的重要探索。《个人信息保护法》第70条为个人信息保护民事公益诉讼提供了明确法律依据，最高人民检察院发布的《关于积极稳妥拓展公益诉讼案件范围的指导意见》指出，个人信息保护是公益诉讼新领域的办案重点，鼓励各地检察机关积极探索个人信息保护领域的公益诉讼可为之处。在蓬勃发展的同时，个人信息保护民事公益诉讼也面临着诸多亟待解决的问题。其中，关于损害赔偿规则的理解与适用，理论和司法实践观点存在较大分歧。

首先，是民事损害赔偿的计算问题。《个人信息保护法》第69条第2款规定：“前款规定的损害赔偿责任按照个人因此受到的损失或者个人信息处理者因此获得的利益确定；个人因此受到的损失和个人信息处理者因此获得的利益难以确定的，根据实际情况确定赔偿数额。”《民法典》第1182条规定：“侵害他人人身权益造成财产损失的，按照被侵权人因此受到的损失或者侵权人因此获得的利益赔偿；被侵权人因此受到的损失以及侵权人因此获得的利益难以确定，被侵权人和侵权人就赔偿数额协商不一致，向人民法院提起诉讼的，由人民法院根据实际情况确定赔偿数额。”由于个人信息侵权造成的公共利益损失难以用金钱量化，实践中法官通常以违法所得确定损害赔偿数额，然而单一化地适用此计算方法是否合理，是一个值得研究的问题。

其次，是民事损害赔偿与罚金、没收违法所得等法律责任的适用关系问题。在实践中，刑事附带民事个人信息保护公益诉讼数量较多，个人信息侵权人也可能受到行政处罚，由此产生民事责任、行政责任和刑事责任相交织的问题。个人信息的侵权人在被没收违法所得且缴纳罚金后，是否还应承担民事损害赔偿责任？若继续要求其承担损害赔偿责任，是否违反了“禁止重复评价”的原则？司法实践在这一问题上存在分歧：有法院认为，应当在损害赔偿时将退缴的违法所得予以折抵；也有法院认为，没收违法所得并处以罚款不能代替赔偿责任。

最后，是惩罚性赔偿的适用问题。《民法典》第179条第2款规定：“法律规定惩罚性赔偿的，依照其规定。”基于该条款，惩罚性赔偿只有在法律明确规定的前提下才得以适用。与消费者权益保护、生态环境保护、知识产权保护不同，当前立法并未明确规定个人信息保护中的惩罚性赔偿规则。有学者从政策层面，认为个人信息保护显然属于“关系群众切身利益的重点领域”与“直接涉及公共安全和人民群众生命财产安全的领域”，从而在党和国家探索适用惩罚性赔偿范围之内。在司法实践中，亦存在明确支持惩罚性赔偿的个人信息保护民事公益诉讼案例。关于个人信息保护民事公益诉讼适用惩罚性赔偿的合法性、正当性问题，仍有待进一步研究。

针对上述问题，首先，应从损害赔偿规则司法适用的实践状况出发，探索问题的具体表现及其成因；其次，通过分析个人信息保护民事公益诉讼损害赔偿的本质特征，破除损害赔偿计算与惩罚性赔偿适用的理论难题；最后，对个人信息保护民事公益诉讼损害赔偿规则适用提出针对性建议。

二、个人信息保护公益诉讼损害赔偿适用案例分析

（一）个人信息保护民事公益诉讼整体状况分析

基于个人信息保护民事公益诉讼损害赔偿规则适用这一研究范围，笔者以《个人信息保护法》生效时间为起点，在中国裁判文书网检索个人信息保护民事公益诉讼及刑事附带民事公益诉讼文书。以“个人信息”“公益诉讼”为关键词检索刑事附带民事案件，并将时间限定为2021年11月1日至2023年11月1日，共得出131个结果，在剔除无关和重复结果后，得出115份刑事附带民事公益诉讼裁判文书，其中106份文书刑事案由为“侵犯公民个人信息罪”，6份文书刑事案由为“帮助信息网络犯罪活动罪”，3份文书刑事案由为“诈骗罪”。以“个人信息”“公益诉讼”为关键词检索民事案件，时间同样限定为2021年11月1日至2023年11月1日，在剔除无关、重复结果后，得出34个结果，去除5个无关结果后，得到29份民事公益诉讼裁判文书。其中判决书5份，裁定书17份，调解书7份（详见表1）。

表1  个人信息保护民事公益诉讼类型统计

在样本范围内的个人信息保护公益诉讼当中，刑事附带民事公益诉讼的数量要明显多于民事公益诉讼的数量。不仅如此，在民事公益诉讼的判决书和调解书中，有4起案件（包括1份判决书和3份调解书）已经经过了刑事案件程序审理。这在一定程度上反映了个人信息保护民事公益诉讼的“刑事化”特征。有学者认为，检察公益诉讼在实践运行中呈现明显的“刑事化”，是其制度建设不完备、工作惯性思维以及对胜诉率的追求等现实原因所致，会导致量刑轻刑化、增加检察机关的负担以及不利于公益诉讼部门成长等隐患。亦有学者认为，刑事附带民事公益诉讼案件范围的拓展加剧了公益诉讼法规范的紊乱，扭曲了公益诉讼良性发展的路径，造成了刑事附带民事公益诉讼的内生性障碍，并减损了公益诉讼提起的必要性。笔者认为，正是由于个人信息保护领域存在大量民事案件与刑事案件的交织，使得司法实践对民事公益诉讼损害赔偿的功能和性质理解存在一定偏差。从样本案例来看，损害赔偿规则的适用主要存在三方面问题，即损害赔偿计算方式单一、损害赔偿与没收违法所得适用关系模糊、惩罚性赔偿适用态度不明。

（二）损害赔偿计算方式单一

在87份涉及个人信息保护的刑事附带民事判决书中，有68份判决被告承担损害赔偿责任，5份民事判决书则全部判决被告承担损害赔偿责任，共计有73份判决涉及损害赔偿的计算。其中，有71份判决采用“侵权人获益”的计算标准，即直接以侵权人获益（违法所得）数额作为损害赔偿的数额。例如在沈阳市人民检察院、宁某等个人信息保护民事公益诉讼案中，法院认为：“根据《中华人民共和国民法典》第一千一百八十二条规定，被告宁某等人侵害的是众多自然人个人信息，造成的财产损失难以确定，可以按照被告宁某等人因侵权行为获得利益赔偿。”在马某某侵犯公民个人信息罪刑事附带民事公益诉讼案中，法院认为：“被告人马某某的犯罪行为损害了不特定公民的个人信息安全，除应受到刑事处罚外，还应承担赔偿损失、赔礼道歉等民事侵权责任……刑事附带民事公益诉讼起诉人请求判令被告马某某按照其获利承担赔偿公共利益损失3973.16元以及在隆安县县级新闻媒体上向社会公开赔礼道歉的诉讼请求，有事实和法律依据，本院予以支持。”

样本案例中，判决被告承担损害赔偿数额与违法所得不一致的判决书仅有2份。在郭某侵犯公民个人信息罪刑事附带民事公益诉讼案中，附带民事公益诉讼被告人郭某非法出售业主信息20余万条，获利2000元。最终，郭某被判处有期徒刑三年，并处罚金2000元。此外作为附带民事公益诉讼被告，郭某需支付赔偿金10 000元，该数额五倍于其违法所得。在江某某、张某帮助信息网络犯罪活动罪一审刑事附带民事公益诉讼案中，张某和江某某二人共计违法所得23 600元，公益诉讼起诉人请求张某支付赔偿金4000元，江某某负连带赔偿责任，该诉讼请求得到了法院的支持，该案中损害赔偿少于违法所得数额。

根据样本案例显示，在个人信息保护民事公益诉讼实践中，检察机关通常直接以违法所得为标准提出损害赔偿诉讼请求，而绝大多数法院亦选择以“侵权人获益”为标准对损害赔偿作出判决。这一计算方式回避了个人信息侵权损失认定的难点，降低了举证难度。然而，“侵权人获益”绝非解决损害赔偿计算难题的“万能钥匙”，其存在明显的局限性。首先，该计算方法显然无法适用于侵权人没有实际获利的情况。在样本案例中有19份判决书没有判令被告承担损害赔偿责任，其中2起案件中被告没有实际获利，其承担民事责任的方式是赔礼道歉、删除信息、消除影响等。然而，没有实际获利并不等于侵权人没有造成公共利益损失，一概排除损害赔偿的适用难谓合理。其次，违法获利的数额大小并不一定能够体现侵权人所造成的损害。例如在郭某侵犯公民个人信息罪刑事附带民事诉讼中，郭某出售数以十万计的个人信息，但违法所得却仅有2000元。该案件中检察机关显然是考虑到被告获利数额与其行为造成的损害并不相符，从而提出10 000元的损害赔偿请求，且得到法院的支持。

（三）损害赔偿与没收违法所得适用关系模糊

民事损害赔偿与没收违法所得等法律责任的适用关系问题，主要存在于刑事附带民事公益诉讼中。由于调解书、裁定书显示信息不够全面，故此主要针对87份刑事附带民事判决书进行分析。87份判决书中被告全部被判处了罚金，主要区别在于民事损害赔偿与没收（追缴）违法所得之间的适用，根据二者适用关系的区别具体分为三种情况。第一种情况，是同时判决被告退缴违法所得和支付损害赔偿金，具体又分为没收违法所得与支付损害赔偿金相互独立，以及没收违法所得与支付损害赔偿金互相折抵两种类型。第二种情况，是被告承担退缴违法所得或民事损害赔偿其中一种责任，具体又分为被告退缴违法所得但无需支付损害赔偿金，以及支付损害赔偿金但未涉及没收违法所得两种类型。第三种情况，是被告既没有退缴违法所得，也没有支付损害赔偿金（见表2）。

表2  刑事附带民事判决书损害赔偿与没收违法所得的适用关系

在样本案例中，有2份判决中被告并没有实际获利，故此既没有追缴违法所得也没有判决损害赔偿金。有59份判决书中被告在退缴违法所得的同时还需支付损害赔偿金，26份判决书中被告仅承担退缴违法所得和支付损害赔偿金的其中一种法律责任。

在上述59份同时判决没收违法所得与民事损害赔偿的判决书中，有55份判决认为没收违法所得和支付赔偿金相互独立，应分别进行。此类判决占样本案例的63.22%，一定程度上体现了当前司法实践的主流态度。例如在施某某等侵犯公民个人信息罪刑事附带民事公益诉讼案中，施某某的违法所得9145.5元由公安机关追缴并依法处置，此外被告还需支付损害赔偿金9145.5元并上缴国库。有4份判决书中虽然同时出现了追缴违法所得与支付赔偿金的内容，但法院认为追缴违法所得与支付赔偿金可互相折抵。例如在宋某某侵犯公民个人信息刑事附带民事公益诉讼案中，被告宋某某违法获利12 860.85元，法院判决宋某某支付赔偿金12 860.85元，但应由其退缴的违法所得予以折抵。

在26份判决书中，仅出现了被告退缴违法所得或支付损害赔偿金其中一项内容。有17份判决书显示，被告被没收违法所得但无需支付损害赔偿金，此类案件中多数被告已退缴或愿意退缴违法所得，民事公益诉讼起诉人也未提出损害赔偿的请求。例如在袁某某侵犯公民个人信息罪刑事附带民事公益诉讼案中，袁某某已退缴违法所得人民币14 779元，检察机关在附带民事公益诉讼中提出被告删除信息、公开道歉和发送风险提示短信的诉讼请求，但并未要求其支付损害赔偿金，并得到了法院的支持。其中，亦存在公益诉讼起诉人的损害赔偿诉讼请求未获法院支持的情形。例如在刘某某等诈骗罪、侵犯公民个人信息罪、帮助信息网络犯罪活动罪刑事附带民事公益诉讼案中，检察机关提出了支付赔偿金的诉讼请求，但一审法院仅判决追缴违法所得而未支持赔偿金请求；在检察机关提出上诉后，二审法院认为原判在判处刑罚时已责令被告人退赔诈骗所得并追缴侵犯公民个人信息的违法所得，上诉人参考被告人的诈骗所得确定公益诉讼的赔偿金额无事实和法律依据。有9份判决书支持了赔偿金的诉讼请求，但未追缴或没收被告的违法所得。此类判决中法院一般认为，损害赔偿金和没收违法所得具有实质同一性，无需重复适用。例如在黄某某、王某等侵犯公民个人信息罪刑事附带民事公益诉讼案中，法院并未判决没收被告的违法所得，而是按照被告各自的违法所得数额判决黄某某、王某、莫某某分别赔偿20 000元、8000元和5065元，并将上述赔偿款“予以没收，上缴国库”。

在一些个人信息保护公益诉讼案件中，被告对同时承担退缴违法所得和损害赔偿责任的合理性明确提出了质疑。例如曹某某、王某某等侵犯公民个人信息罪刑事附带民事公益诉讼案中，被告辩护人认为被告张某已上缴违法所得，不应重复承担民事责任，但法院判决追缴张某违法所得10 292元，罚金15 000元，并且按照违法所得赔偿10 292元。也有法院明确认为公益诉讼损害赔偿不得和没收违法所得重复，例如陈某、梁某某等侵犯公民个人信息罪刑事附带民事公益诉讼案中，法院认为被告人梁某某等同意将已退缴的违法所得用于向公益诉讼起诉人赔偿，该请求符合“禁止重复评价”原则，予以准许，并判决几位被告将退缴的违法所得201 399.5元用于支付侵权损害赔偿。

在最高人民检察院公布的个人信息保护检察公益诉讼典型案例中，有判决直接回应了没收违法所得与民事损害赔偿的关系问题。该案一审法院认为刑事没收违法所得与民事公益损害赔偿金属于双罚，同时适用加重对被告的惩罚，未支持损害赔偿金请求，检察机关认为该判决混淆了民事责任与刑事责任的界限并提出上诉。二审法院认为，追缴各被上诉人违法所得与附带民事公益诉讼起诉人要求承担民事赔偿责任并不矛盾，各被上诉人被追缴违法所得，再行承担民事赔偿责任，不属于重复赔偿，一审判决适用法律错误，应予纠正。

可见，目前司法实践对于个人信息保护公益诉讼损害赔偿与没收违法所得之间的关系认识存在明显分歧。虽然主流观点认为民事损害赔偿与没收违法所得并不矛盾，可同时适用；但亦有一些判决认为二者之间存在冲突，只能选择其一或允许相互折抵。

（四）惩罚性赔偿的适用态度不明

关于个人信息保护民事公益诉讼实践中惩罚性赔偿的适用问题，需要根据案例从两个层面进行分析。

第一层面，是罚金、罚款与惩罚性民事损害赔偿的适用关系问题。如前所述，对于罚金与民事损害赔偿可以同时适用，刑事附带民事公益诉讼实践持一致认同态度。在单独的民事公益诉讼中，法院也表达了行政罚款与民事损害赔偿不冲突的观点。罚金、罚款和民事损害赔偿分属不同性质的法律责任且可以同时适用，也符合《民法典》第187条的立法意旨。问题在于，罚金和罚款本身即具有惩罚性，在被告已经基于刑法或行政法受到惩罚后，是否还能够适用民事惩罚性赔偿？对于该问题，样本案例并未展现出明确的态度。

第二层面，是仅就民事责任而言，司法实践是否认可惩罚性赔偿。根据损害赔偿计算方式的司法实践状况的分析，绝大多数法院采用了违法所得数额计算方法，即将违法所得视为被告所造成的损害，并基于此计算赔偿数额。该计算方式下的损害赔偿并不具有惩罚性，而是以填补损害为目的的补偿性赔偿。然而，若在判决被告退缴违法所得的同时，再要求其按照违法所得支付损害赔偿金，则可能在实质上构成惩罚性赔偿。样本案例中，有63.22%的刑事附带民事公益诉讼同时适用没收违法所得与损害赔偿金，但也有34.48%的判决仅出现了没收违法所得与支付赔偿金其中一项法律责任，或允许二者相互折抵。其中，更有法院对个人信息惩罚性赔偿问题表达了明确态度，认为被告同意将已退缴的违法所得用于向公益诉讼起诉人赔偿，考虑到侵犯公民个人信息公益诉讼不属于法定惩罚性赔偿范围，被告人关于“禁止重复评价”的主张应得到支持。样本案例中，也有法院在明确退缴违法所得可折抵损害赔偿金的前提下，判决被告承担五倍于其违法所得的损害赔偿责任。

总体来看，若认为没收违法所得与损害赔偿的同时适用具有惩罚性，则多数判决实际上已承认了惩罚性赔偿的适用。然而由于没收违法所得与民事损害赔偿之间的适用关系不清晰，使得司法实践对于个人信息保护民事公益诉讼中惩罚性赔偿的适用态度体现得不够明确。

三、个人信息保护民事公益诉讼中损害赔偿的理论检视

面对个人信息保护民事公益诉讼中存在的损害赔偿计算方式单一、损害赔偿与没收违法所得适用关系模糊以及惩罚性赔偿适用态度不明的问题，有必要对民事公益诉讼损害赔偿相关理论进行检视，分析损害的本质特征，厘清民事公益诉讼损害赔偿的功能和范围，为解决规则适用难题寻求理论依据。

（一）“差额说”损害论及“以违法所得计算损害赔偿”的局限性

关于民法中的损害，以德国法为代表的传统大陆法系理论在自然损害观念的基础上发展出“差额说”，即将损害视为受害人现在的财产状况和假设没有损害事件所应有的状况而得出的差额。在此基础上，民事损害赔偿的基本逻辑，是通过填补差额使受害人重新处于其权益未受损害的完满状态。我国《民法典》第1182条人身损害赔偿计算规则就体现了“差额说”的基本逻辑，司法实践也将该理论作为民事损害赔偿的主要计算工具。对于传统私权尤其是财产权保护而言，以“恢复原状”为目的的“差额说”能够较为准确地界定损害赔偿的范围，例如：甲有一辆价值10万元的汽车被他人毁损，作为废品变卖后仅得5000元，则甲的损害就是其中9.5万元的差额。

然而在个人信息保护民事公益诉讼中，“差额说”却难以充分发挥作用，其主要原因有二。第一个原因，是公共利益的不确定性。个人信息保护民事公益诉讼所保护的利益，并非多数个人信息权益的简单相加，而是具有广泛性、普遍性和社会性的利益。在特定情况下，还存在个人信息保护与公共利益的冲突与平衡之问题。《民事诉讼法》第58条在界定公益诉讼的对象范围时，使用了“损害社会公共利益”的表述，故此公益诉讼最主要的目标，就是确认、恢复与实现公共利益。公共利益的一大特征，就在于概念内容的“不确定性”，主要表现为利益内容的不确定以及受益对象的不确定两方面。“差额说”以价值的可确定性为其预设前提，在面对价值难以衡量的公共利益时，自然显得有些“无能为力”。第二个原因，是个人信息侵权的复杂性。在大数据时代的个人信息侵权案件中，除受害人的个人信息被非法获取、转卖、披露所造成的直接损害之外，信息泄露与丢失还可能造成算法歧视、身份盗用等新的损害形式，这些新型损害难以用受害人的财产状况变化来衡量。此外，个人信息侵权还存在损害发生时点和实现时点的分离问题，其致害风险发生于个人信息被侵害之时，却在未来的诈骗、敲诈勒索等违法活动中才能体现出来。“差额说”对于损害的界定方法，是以损害行为的发生为时间节点，比较同一受害人在损害发生前后的利益变化之间的差额。而在个人信息侵权中，损害的方式、对象、时间及后果等皆具有不确定性，作为传统理论工具的“差额说”显然难以应对这一复杂问题。

由于“差额说”的上述局限性，使其在个人信息保护民事公益诉讼中适用难度极高，以致于司法实践普遍选择以侵权获益数额计算损害赔偿金。以“得利”衡量“损害”的计算方式，原本属于不当得利法之规则：基于不当得利规则，只要因侵害他人权益而“得利”，无论有无现实利益减损皆可认定“损害”，侵害行为人需要将这部分基于“得利”造成的损害返还给受害人，只是返还范围因善意、恶意侵害人而有所不同。在侵权领域，可以借助推定思维使用这一不当得利规则作为损害证明的替代机制，在侵犯知识产权、人格权等权利时，实际上妨碍主体通过自由交易转让权利获利，导致权益的“许可费丧失”，这种丧失可依“得利”计算。例如，乙未经授权使用甲的专利技术获利10万元，此时可以省略“原有价值减去现有价值等于财产损失”的计算过程，直接以10万元认定为甲所遭受的损失。

以侵权人获利数额衡量损害的内在逻辑，是将加害人增加的财产等同于受害人减少的财产，质言之，该方法是“差额说”的一种“简化算法”。故此，“差额说”所存在的局限性，必然也存在于“以获利计算损害赔偿”这一具体方式中。此外，以获利衡量损害的合理化前提，是被损害的利益存在相对明确的市场价值。但在个人信息侵权中，被损害的公共秩序利益显然不能用所谓的“市场价值”加以衡量，个人信息被违法出售或使用的获利数额并不能被视为其“市场价值”。综合上述分析，在个人信息保护民事公益诉讼中，不加区分地使用违法所得数额计算公共利益损失，并不具有合理性。

（二）“完整利益”视角下损害赔偿的范围界定

民事损害赔偿的目的在于填补损害，补偿不仅意味着恢复受害人被减少的财产额，更意味着使受害人回到“倘若损害事件没有发生时应处的状态”，此乃各国损害赔偿法共通的、最高的指导原则。损害赔偿法的正义价值基础，在于实现完全填补受害人所遭受的损害，但也应避免超出在损害填补之外给受害人带来利益。德国民法典第249条第1款规定，“损害赔偿义务人必须恢复假如没有发生引起赔偿义务的情事所会存在的状态”，该条款确立了以“恢复原状”为原则的损害赔偿规则。德国民法中将恢复原状作为损害赔偿的首选方式，而价值赔偿作为一种补充的赔偿方式。我国《民法典》第179条第1款将“恢复原状”与“赔偿损失”并列作为民事责任的承担方式，此处“恢复原状”指的是物理意义上的修复被损害财产的责任承担方式，“赔偿损失”则是金钱价值意义上的补偿，二者在功能意义上都指向恢复民事主体权益“原状”的价值目标。

在“恢复原状”这一基本目标下，存在恢复“价值利益”和“完整利益”这两种面向。“价值利益”的减少，可以通过市场价格调查或评估报告等抽象计算方法，或可归责于侵害事件的相关金钱支出等具体计算方法得出，此即“差额说”的观点。“完整利益”则是指权利主体对于自己具体的权益乃至实际生活目的所拥有的利益，对其造成的损害并不能简单通过市场价格计算。基于“完整利益”的损害赔偿所关注的不仅仅是受害人财产的减少，而是更全面地关注受害人实际生活状态的恢复。对于个人信息保护民事公益诉讼的损害赔偿而言，以恢复价值利益为目标的“差额说”难以发挥作用，故此应回归“恢复原状”这一本质目标，从“完整利益”的视角认识损害赔偿问题。个人信息保护民事公益诉讼损害赔偿的目的，是使公共利益恢复至其未受到侵害前的状态。基于这一思路，可对该类公益诉讼中损害赔偿的范围作出如下界定。

首先，应厘清公共利益损害和个体损害之间的界限，将个人信息保护民事公益诉讼损害赔偿限制在公共利益范围内。《个人信息保护法》第70条所规定的“侵害众多个人”所指的“公共利益”，应当理解为侵害“众多不特定”个人信息权益的集合。侵害个人信息权益造成具体民事主体的直接损失，不应纳入公益诉讼的损害赔偿范围。例如利用个人信息进行网络诈骗的案件，具体受害人被骗取财产的损失应当按照一般侵权损害进行赔偿，而不属于民事公益诉讼损害赔偿的范围。对于个体信息权益损害，民事主体可以自己提起诉讼并请求赔偿，不受民事公益诉讼的影响。

其次，个人信息保护民事公益诉讼损害赔偿的范围，既包括经济利益损害也包括秩序利益损害。其中，秩序利益损害主要体现为侵权人对个人信息相关的公共管理秩序、法律秩序及道德秩序的损害。虽然难以直接用金钱衡量，但从国家与社会运行成本增加的角度进行分析，侵害个人信息对秩序利益的损害是固然存在的。在制止、调查和追诉侵害个人信息违法行为的过程中，国家势必要付出相应的执法和司法成本。为了恢复被破坏的社会秩序，消除侵权影响，国家与社会也必然需要付出相应的成本。此外，侵害个人信息所造成的生活秩序和道德秩序的破坏也会增加社会成本，例如大规模个人信息侵权造成民事主体对信息泄露的恐慌，从而增加民事活动和市场交易的成本，降低市场运行效率。

再次，个人信息保护民事公益诉讼损害赔偿的范围，既包括已发生的现实利益损害也包括未来利益损害。如前所述，个人信息侵权存在行为发生时点和损害产生时点的分离问题，损害结果经常在未来某一时间以某种难以预见的方式发生。虽然在个人信息保护民事公益诉讼中，法院通常会判决被告承担赔礼道歉、删除信息、消除影响等民事责任，但大数据时代的信息具有快速传播且易于获取的特征，个人信息侵权行为也呈现出隐蔽化、异地化和多样化趋势，这意味着个人信息一经泄露，未来损害风险就不可能被完全消除。个人信息保护民事公益诉讼的损害赔偿，不能仅着眼于对已发生损害的补偿，还应关注到未来可能遭受的公共利益损失。

综上，以恢复被损害的完整公共利益为目标，个人信息保护民事公益诉讼损害赔偿的范围，应包括基于侵权发生的公共经济利益及秩序利益损失，以及现实利益和未来利益损失，但不包括侵害个人信息权益造成民事主体的个体损失。

（三）关于惩罚性赔偿的理论分析

关于惩罚性赔偿的适用问题，理论上存在争议。有学者对此提出反对观点，认为在个人信息保护民事公益诉讼适用惩罚性赔偿缺乏法律依据和法理基础，且被告有可能因为实施一个违法行为受到多次惩罚。即使搁置是否有权提出惩罚性赔偿请求的争议，检察机关也不能不分对象、不论情节地向弱势被告主张公法化的巨额赔偿。也有学者持赞同态度，认为应引入惩罚性赔偿加强对个人信息保护违法行为的威慑，该制度可以扭转个人信息司法保护中“高成本、低收益”的困境，推进个人信息处理者积极履行数据合规义务，且具备可供参考的制度经验。笔者认为，基于个人信息侵权的特殊性，以及当前积极探索公益诉讼惩罚性赔偿的政策导向，在个人信息保护民事公益诉讼中适用损害性赔偿有其合理性，但需要解决以下问题。

首先，是惩罚性赔偿的法律依据问题。《民法典》第179条第2款规定，只有在法律规定的前提下才可适用惩罚性赔偿。该条款确立了我国民事责任以补偿性为原则，以惩罚性赔偿为法定例外情形的基本规则。当前立法并未明确个人信息保护惩罚性赔偿的依据，这也成为了反对适用惩罚性赔偿的主要理由。在个人信息保护民事公益诉讼实践中，可以借助个人信息保护与其他民事公益诉讼的重合性，适用已有明确规定的惩罚性赔偿，例如《消费者权益保护法》的规则。然而实践中个人信息收集、处理者与被侵权人之间，并不一定构成商家与消费者的关系。为彻底解决这一问题，仍需要制定明确的法律依据。

其次，是惩罚性赔偿的正当性问题。笔者认为，在缺乏明确法律依据的情况下，从功能正当性的角度可以为适用惩罚性赔偿提供法理基础。民事损害赔偿的主要功能在于填补损害，但在个人信息侵权中，公共利益中的秩序利益以及未来可能发生的损害难以被估量计算，若仅依据可被证明的“现实损害”进行赔偿，则难以恢复完整的公共利益。故此，在个人信息保护民事公益诉讼中，被告承担的多于“现实损害”的赔偿金，虽然在形式上属于惩罚性赔偿，但其实质上仍未脱离填补损害这一基本功能。基于“形式惩罚、实质补偿”的功能理解，可以适当消解个人信息保护民事公益诉讼惩罚性赔偿适用的理论龃龉。

最后，在惩罚性赔偿适用时，还需要厘清民事损害赔偿和刑事责任、行政责任以及没收违法所得之间的关系问题，这决定了损害赔偿是否具有实质惩罚性及其惩罚性的程度。关于民事损害赔偿和罚金之间的关系，《民法典》第 187 条规定：“民事主体因同一行为应当承担民事责任、行政责任和刑事责任的，承担行政责任或者刑事责任不影响承担民事责任；民事主体的财产不足以支付的，优先用于承担民事责任。”罚金、罚款和损害赔偿属于不同性质的法律责任，可以同时适用，但前提是将损害赔偿的功能限定于补偿，因为惩罚性的民事损害赔偿，与同样具有惩罚性的罚金、罚款在功能上是存在冲突的。有学者就此提出，作为维护公共利益的消费民事公益诉讼应当允许提出惩罚性赔偿诉讼请求，但在计算时应将之前的行政处罚、刑事罚金与之折抵或扣除。 民事损害赔偿和没收违法所得的同时适用，也可能构成隐蔽性的惩罚性赔偿。从填补损害的角度，将违法所得视为侵权所造成的损害，并由侵权人将这部分所得利益返还给权利主体，是“以违法所得计算损害赔偿”的作用机理。故此，由公益诉讼主体没收个人信息侵权人的违法所得，本身就发挥着填补公共利益损害的功能，若在此基础上由侵权人支付同等数额的损害赔偿金，其实际负担的损害赔偿是违法所得的两倍，可能已经超过填补损害的程度而构成惩罚性赔偿。

综合上述分析，笔者认为，在个人信息保护民事公益诉讼中适用惩罚性赔偿虽然缺乏法律依据，但可以从其发挥的实质性补偿功能说明其正当性。承担刑事责任的罚金和行政处罚中的罚款与惩罚性损害赔偿存在功能重复，没收违法所得与民事损害赔偿同样具有填补损害的效果,在适用惩罚性赔偿时应处理好它们之间的平衡与折抵关系。

四、个人信息保护民事公益诉讼损害赔偿规则的适用建议

（一）“动态系统论”下的损害赔偿计算

在个人信息保护民事公益诉讼中，“差额说”损害理论及依据“侵权人获益”计算损害赔偿数额的方法均存在局限性。根据前文对于个人信息侵权中公共利益损害的特征及范围分析，笔者认为应引入“动态系统论”作为损害赔偿计算的理论工具。

奥地利学者维尔伯格基于比较法的基础，发展出具有说服力的动态系统论基本思想，该理论认为，规范通常无法直接规定规范自身立足的各种价值评价，法律适用者应当尽可能地针对各种相关的利益加以裁量，并提炼相关所有事实构成要件，并结合其他特征得出法律结论。动态系统论下，实体法规范由细致而固定的各个构成要件（A+B 式）规范变成了相互关联的多“因素”（A×B 式）规范。《欧洲侵权法基本原则》第 2: 102条、《奥地利损害赔偿法学者建议稿草案》第 1293 条以动态系统论为理论基础对侵权责任法保护的民事权益作了明确规定。动态系统论已经为我国法学界所熟悉，并对侵权法相关理论研究和司法实践产生了重要影响。例如《精神损害赔偿司法解释》第5条所列举的精神损害赔偿数额判断的各种因素，就体现了“动态系统论”的思想。“动态系统论”的运用为法官提供了据以判断的标准，一定程度上缓解了精神损害赔偿标准统一的状况。精神损害赔偿数额不再是僵化的统一标准，而是动态浮动体系，法官需要就此种浮动负担说理的义务。

在个人信息保护民事公益诉讼中，可以参考《精神损害赔偿司法解释》第5条，运用“动态系统论”计算损害赔偿，为裁判者提供利益衡量的标准和空间。《个人信息保护法》第69条第2款规定，个人受到的损失和个人信息处理者获利难以确定的，根据实际情况确定赔偿数额。该条款中的“根据实际情况”为“动态系统论”的适用提供了依据。法官在进行损害赔偿计算时，可以对相关的考量因素进行综合把握。

具体而言，个人信息保护民事公益诉讼的损害赔偿计算应考虑如下评价因素：第一，侵害人主观状态，主要考虑故意或过失及相应程度。显而易见的是，故意违法收集和出售个人信息，与因过失泄露个人信息所造成的社会影响及对公共秩序的破坏是不同的，主观状态应作为损害赔偿数额的考量因素。第二，具体情节，主要是指侵害人侵犯个人信息的目的、手段和方式。侵害个人信息是出于盈利或其他目的，是有组织、有预谋地主动收集个人信息还是利用已掌握的个人信息，会影响到其损害公共利益的程度。第三，影响后果，主要从侵害个人信息的数量、范围、重要程度等方面进行判断，此外由于侵害个人信息权益造成的直接财产损害以及可能的经济损失也应考虑在内。第四，侵害人获利状况，即违法所得的多少也是损害赔偿计算的重要因素之一。第五，维护和恢复公共利益的合理开支，包括公益诉讼起诉人为停止侵害、排除妨碍、消除危险采取合理预防、处置措施而发生的费用，以及对侵权行为调查取证的合理费用、鉴定费用、合理的律师代理费用（即公益诉讼经济负担的转移）。第六，侵害人经济和生活状况。“动态系统论”中的损害酌减制度，主要考虑到若严格贯彻完全赔偿原则，可能会导致部分加害人陷入生存困难，同时也会偏离社会公平之理念。故此在确定损害赔偿数额时，还应考虑到个人信息侵权人维持基本生活所需，适度限缩损害赔偿数额。

个人信息侵害人的主观状态、侵权的情节、影响后果、获利情况、维护和恢复公共秩序的合理开支及侵权人经济生活能力等因素之间相互联系，并影响着个人信息保护民事公益诉讼中损害赔偿数额的计算。根据“动态系统论”，其中某些要素的缺失并不能否定损害赔偿的存在，例如侵权人虽然没有获利，但是其侵害个人信息范围较广，并明显增加了维护公共秩序的开支，仍应当根据这些因素判决其承担损害赔偿责任。裁判者在运用“动态系统论”时，需要对相关要素进行分析论证，这无疑加重了裁判者在损害赔偿计算中的说理义务。但与此同时，“动态系统论”也赋予了裁判者自由裁量的空间，更契合个人信息保护民事公益诉讼损害赔偿计算的实践需求。

（二）惩罚性赔偿及其他法律责任的适用关系

在个人信息保护民事公益诉讼的损害赔偿计算中运用“动态系统论”，基本能够实现以损害赔偿恢复被损害的完整公共利益之目标。“动态系统论”并不排斥惩罚性赔偿的适用，且可以为惩罚性赔偿提供理论依据。当侵害个人信息造成的现实损失不明显，但其影响的范围较大，未来损害风险极高，或者侵权人主观状态、侵权手段较为恶劣，可以判决其承担惩罚性损害赔偿责任。在具体适用中，需要处理好民事损害赔偿与刑事责任、行政责任以及没收违法所得之间的适用关系。

作为刑事责任的罚金或行政责任的罚款，与民事损害赔偿可以同时适用。但在适用惩罚性赔偿时，应当正视罚金、罚款与惩罚性赔偿在功能上的冲突。笔者认为，此情形下不宜以简单的抵扣思路处理二者关系，而是在二者的数额上作出平衡。根据《民法典》第187条的规定，当民事主体同时承担民事责任、行政责任和刑事责任且财产不足时，应优先承担民事责任，但在实践中侵权人很可能已经预先缴纳了罚金、罚款。此种情形下，可以根据罚金或罚款的数额判断是否仍有必要进行惩罚性赔偿，或相应减少赔偿数额。

没收违法所得与民事损害赔偿同样具有填补损害的功能，故此应当将没收的违法所得视为损害赔偿的一部分，用以抵扣实际损害赔偿数额。在动态系统论计算方法下，违法所得仅是衡量损害的因素之一，惩罚性赔偿指的是多于实际损失范围的赔偿，而非高于违法所得数额的赔偿。但在以违法所得计算损害赔偿的情形下，若在没收侵权人的违法所得的同时判决其按照获利数额另外支付损害赔偿金，实际上已经构成了惩罚性赔偿，此时法官需要在判决中明确惩罚性赔偿的适用，并承担相应的说理义务。

（三）加强个人信息保护民事公益诉讼损害赔偿金的专项管理

个人信息保护民事公益诉讼中的损害赔偿，其主要功能在于恢复公共利益所遭受的损害。损害赔偿金的管理方式，在很大程度上直接决定了这一目标的实现。在实践中，对个人信息保护民事公益诉讼损害赔偿金的处理，存在上缴国库、支付法院执行款专项账户、存入检察院设立的公益诉讼专项账户、存入合作基金会专项账户等方式。笔者认为，上缴国库和支付法院执行款专项账户两种方式容易产生用途混淆，难以保证赔偿金专门用于弥补个人信息相关的公共利益损害。通过设立的公益诉讼专项账户或者合作基金会专项账户，能够更好地实现“专款专用”。实践中，由检察机关设立公益诉讼专项账户的做法已较为普遍。由具备相应监管职能的国家网信部门或其取得授权组织共同设立合作基金会专项账户，并通过具备相应资质的独立机构进行基金运作，使基金用于个人信息保护的公益支出、技术研发、弥补损害，也能起到良好的效果。

结论

关于个人信息保护民事公益诉讼的损害赔偿规则的理解和适用，直接影响到保障公共利益这一本质目标的实现。司法实践中存在的损害赔偿计算方式单一、损害赔偿与没收违法所得适用混乱、惩罚性赔偿适用态度不明等问题，根源在于对公益诉讼民事损害赔偿理论认识的偏差。在个人信息保护民事公益诉讼中，由于公共利益以及个人信息侵权的复杂性，使得传统的“差额说”损害论难以发挥作用，以“侵权人获益”计算损害赔偿数额的方法存在较大局限性。从“恢复完整公共利益”的视角，可以将经济利益与秩序利益、现实利益与未来利益纳入损害赔偿的范围，但不包括个体利益损害。在个人信息保护民事公益诉讼中适用惩罚性赔偿在目前缺乏法律依据，但可以从其发挥的实质性补偿功能说明其正当性。在损害赔偿规则的适用中，应运用“动态系统论”作为理论工具，以个人信息侵害人的主观状态、侵权的情节、影响后果、获利情况、维护和恢复公共秩序的合理开支及侵权人承担责任的能力为考量因素，合理计算损害赔偿数额。应在厘清民事损害赔偿与其他法律责任关系的基础上，合理适用惩罚性赔偿。基于罚金、罚款与惩罚性赔偿在功能上的趋同性，对二者的数额作出平衡；基于没收违法所得本身所具备的补偿性功能将其折抵为损害赔偿数额，并进一步计算损害赔偿数额或适用惩罚性赔偿。此外，还应加强损害赔偿金的管理，以保证赔偿金用于填补、修复个人信息保护相关的公共利益损害。