个人信息保护是当前的热点问题，民法典专章规定了隐私权与个人信息保护，个人信息保护法也呼之欲出，预计将对个人信息保护工作产生巨大影响，个人信息保护纠纷案件很有可能迅速增长。人民法院要提前研判应对，做到充分保护个人信息权益和有效预防案件滥诉的有机统一。

　　一、个人信息保护案件的特殊性
　　同一般的侵权案件相比，个人信息保护案件的特殊性在于个人信息收集或泄露只是侵权链条上的一环，自身难以构成完整的侵权要件，而且有的行为已经造成了实质性损害，有的尚没有实质性损害，但已使被侵权人处于一种不稳定的状态之中。对于前者，主要涉及归责原则和举证责任分配问题，目前司法实践中已经出现了很多很好的案例，比如庞理鹏上诉北京趣拿信息技术有限公司、中国东方航空股份有限公司隐私权纠纷案；但对于后者，属社会生活中普遍的样态，即尚未造成损害之前，个人是否以个人信息权益、隐私权等未来可能遭受损害为由要求对方承担侵权责任，这还是有较大争议的。《个人信息保护法（草案）》规定了行政规制、个人诉讼、公益诉讼等救济方式，但对各种救济方式之间的关系和衔接问题并未进行进一步的明确，需要根据案件特点进行不断探索、构建和完善。一般来说，个人信息保护案件中未发生实质性损害的纠纷具有以下特点：
　　一是从发生主体来看，由于通常信息收集、使用、处理都是成规模的，因此被泄露信息者也是众多的不特定主体，具有群体性的特点。一旦某个主体提起诉讼并得到有利结果后，容易诱发群体性纠纷。此外，由于每个主体防范意识、防范能力和主观认识不同，造成实质损害的概率也不同。

　　二是从现实危害来看，虽然没有产生实质的财产性、人格性权益的损害，但往往对被泄露信息者造成一种心理强制或者心理暗示。这种心理上的影响和潜在的危害能否得到司法的救济，得到什么样的救济，是需要进一步明确的。

　　三是从诉讼策略来看，未受到实质损害的被泄露信息者多以侵犯隐私权为由，要求精神损害赔偿，可见权利主体注重个体的利益保护，总体上还没有上升到从社会整体和公共利益保护的高度来看待这个问题。
　　二、个人信息保护的路径分析
　　公法领域对个人信息的保护主要通过事先设定预防性规则，与之相比，个人信息民事保护的关键不在于民法对民事主体的赋权性规范，而在于个人信息被侵害时法律能够提供相应的救济，使得信息处理者在违反个人信息保护义务造成他人损害时，须承担相应的民事责任。按照现行的侵权责任归责体系及构成要件，原告应举证证明其因对方原因而遭受损害或损失，如果不能证明，法院通常难以支持其诉求。但这种思路仍然是传统的思路，虽然基本符合实际和朴素正义观，但未充分考虑此类纠纷的特点。对此，《个人信息保护法（草案）》第六十五条规定，个人因此受到的损失或个人处理者因此获得的利益难以确定的，由人民法院根据实际情况确定赔偿数额，但该条在可操作性上仍有不足。
　　有观点认为，在个人信息泄露情况严重的情况下，原告只要证明其个人信息被泄露，不需要证明实质损害，并且通过举证责任倒置，加重被告的举证责任，以督促掌握个人信息的机构或组织妥善合法获取个人信息。笔者认为，该观点值得商榷。可从以下三个方面看待个人信息保护问题：
　　一是从个人信息保护的方式来看，目前行政监管仍然是最有效的手段，也是平衡个人权利和产业发展的最佳方式。行政监管机构更具有专业性，掌握更多的监管资源，能够更为及时有效地处置纠纷。《个人信息保护法（草案）》第六章规定了履行个人信息保护职责的部门的具体职责，第七章规定了相应的责任，建立了比较完备的风险防范和损失救济机制，故应充分发挥行政监管的力量。从域外比较来看，欧美国家采取的是将严格的政府执法、公共压力之下的行业自律与法院的诉讼机制相结合的模式，个人信息的实际损害赔偿的诉讼门槛较高，一般都选择了以行政执法监管处罚为主的规制模式，私人诉权受到某种程度的限制和弱化，以避免产生过度诉讼。在行政救济方面，如欧盟《一般数据保护》规定的救济途径之一为每个数据主体都有向监管机构进行申诉的权利。而美国在程序性机制上设置了改正期制度，将之作为行政罚款和民事诉讼的前置程序，以提高个人信息保护违规行为的纠正效率。

　　二是从个人信息保护的限度来看，应当统筹个人信息权益保障和信息数据依法合理有效利用，体现适度保障原则。这也是《个人信息保护法（草案）》秉承的基本原则之一。从优化社会治理和促进数字经济发展的角度，个体在享受信息技术发展红利的同时，应当对个人信息的合理收集和利用保持适度的容忍，也即需要让渡部分权利；但从个人的情感和认识角度，又不希望自己的个人信息过分暴露，从而引发一些心理上的不适和担忧。在这种相互冲突的场景下，就需要决策部门和司法部门进行平衡，法院因此可能面临如何平衡的难题。此外，即便在这种利益权衡中能够达成一定的共识，但受制于个人信息保护案件“多因一果”特点，也需要在责任分配方面进行深入研究。

　　实践中，因个人信息泄露造成的实质性损害是“多因一果”的产物，这里存在前端信息泄露问题，有后端侵害人的手段问题，也有末端受害人的注意义务问题。就以典型的行程信息泄露遭遇诈骗的案件来说，信息泄露的途径有多种，有可能是订票方的恶意泄露、黑客的攻击，还有可能是自身不慎泄露，如果受害人有较强的防范意识和能力，损害事实可能也发生不了。因此从实质公平的角度来看，在溯源机制没有有效建立、事实难以完全查清的情况下，完全归咎于信息保存方很难说是公平的。笔者认为，可以参考公共场所安保义务进行规范。民法典第一千一百九十八条的规范价值取向在于公共秩序和公共安全的维护，而网络虚拟空间的运行和信息交互，与现实场景的社会活动具有相似性。网络服务提供者具备开启、参与社会交往服务及给他人权益带来潜在危险的特征，与现实世界的安保义务主体一样，应对针对其服务用户发生的侵权负有排除义务，并对未来的妨害负有审查和控制义务。该义务的法理基础与安保义务系属同源、法理体系一脉相承。

　　三是从个人信息保护的效果来看，诉讼程序是最后一道防线，法院应审慎对待此类纠纷。行政监管机关既有权限对违法者的行为进行规制，促进行业健康发展，也有途径为受害者提供必要的保护和救济，而对于法院来说，最优的做法是针对行政监管或救济中的争议问题树立规则、引领导向，而不是对个人信息保护案件无原则敞开口子。一方面，司法权应当保持克制和自律，司法不是解决纠纷的唯一途径，行政上的救济可能更有效，对个人信息保护更有效率。当前全国法院正开展的多元调解工作也为此类纠纷的诉前化解提供了契机。个人信息保护群体性的特征也容易引起当事人的滥诉，给司法带来不可承受之重，政府信息公开滥诉问题就是一个典型的前车之鉴。

　　另一方面，就将来多发的未发生实质损害的情况而言，个人精神或心理波动程度难以统一量化，既容易产生裁判风险，也容易对相关产业或从业主体造成严重冲击。实践中，不同文化程度、性格脾气和生活背景的人对个人信息的认知、感受不同，在法律上追求保护的程度和强度也不一样，而不同裁判者对个人信息也有着不同的裁判偏好，因此不同的裁判者对民事主体个人信息被侵犯后所遭受的精神损害大小以及法律能提供的保护程度认识也有差异。比如精准营销广告的推送（被动接收信息，对个人产生一定的影响），是可以通过行政方式解决的问题，但是否具有可诉性则有待商榷，草案虽然规定了检察院、相关部门可以提起公益诉讼，但目前来看与私人诉讼仍然缺乏有效的衔接。

　　当前，个人信息所包含的内容正在日益扩大化，信息处理者的主体身份越来越多元化，损害发生的链条越来越隐蔽化，导致个人信息保护问题纷繁复杂，有必要对纠纷处理方式选择与衔接，以及不同情形下的裁判规则进行类型化、精细化研究，建立更加符合我国国情的个人信息保护联动机制和权利救济机制。