本文系清华大学自主科研计划项目“个人信息权益研究（2021THZWYY02）”的阶段性成果。

个人信息处理者侵害个人信息权益并造成严重精神损害后，个人才有权请求处理者承担精神损害赔偿责任。违反个人信息保护法的行为不等于侵害个人信息权益的行为，而侵害个人信息权益也不等于就造成了财产损害或非财产损害。我国民法典以严重精神损害作为精神损害赔偿责任的法定条件，旨在防止该制度被滥用。对于个人因个人信息权益被侵害而遭受一般的或轻微的精神损害的情形，可以通过责令侵权人承担赔礼道歉、恢复名誉、消除影响等侵权责任予以填补。个人因为个人信息泄露而增加的安全风险或损害风险过于不确定且因果关系极为遥远，因此不能认定为法律上可赔偿的非财产损害。

我国个人信息保护法第六十九条第一款规定，处理个人信息侵害个人信息权益造成损害，个人信息处理者不能证明自己没有过错的，应当承担损害赔偿等侵权责任。

个人信息处理行为侵害个人信息权益所造成的损害可以分为两类：财产损害与非财产损害。

所谓财产损害（Vermögensschaden），也称“物质损害”（materieller Schaden / material damages）或“金钱损失”（pecuniary loss），其表现为既有财产的减少或应增加的财产未增加，此类损害具有客观性，可以通过金钱或有价值的物品予以计算衡量。例如，诈骗犯张某非法购买个人信息后诈骗了李某账户上的10万元，该10万元金钱损失就是财产性损害。

而非财产损害（Nichtvermögensschaden），也称“精神损害（moral damages）”“非物质损害”（immaterieller Schaden / non-material damages）或“非金钱损失”（non-pecuniary loss），其主要表现为身体的疼痛、心理的痛苦、名誉的降低等，与财产的增减变动无关，无法以金钱予以衡量计算。例如，甲将乙罹患艾滋病的信息在网上加以披露，致使乙受到同事的歧视和疏远，乙感到非常痛苦，该痛苦就是非财产损害。

损害赔偿法具有的功能是补偿，遵循完全赔偿（Alles oder nichts-Prinzip）与恢复原状的原则（Herstellungsprinzip）。通过损害赔偿，应当使受害人处于假如损害事件没有发生时其本应处的状态。由于财产损害原则上都是可以用实物或金钱加以赔偿的，故此，只要通过比较系争损害事件发生前受害人的财产状态与发生后受害人的财产状态之间的差距（即所谓差额说），就可以确定受害人的财产损害是多少，判令侵权人予以赔偿，从而恢复原状。

但是，非财产损害无法以金钱或有价值的物品衡量或计算，不能适用“差额说”来确定损害，所谓的非财产损害的赔偿金也只是一种替代性的赔偿方法而已。加之，个体间生理与心理上的差异，赔偿数额也不易确定。如果法律上对于非财产损害的赔偿责任不加限制的话，难免出现赔偿范围漫无边际，损害合理的行为自由等不利后果。有鉴于此，我国民法典第一千一百八十三条从3个方面对精神损害赔偿责任作出了限制：（1）请求权主体方面的限制，只有自然人才享有精神损害赔偿请求权，至于法人、非法人组织等均不得请求赔偿非财产损害；（2）被侵害的权利范围的限制，即只有当自然人的人身权益被侵害，或者自然人具有人身意义的特定物因行为人的故意或者重大过失而被侵害的，才能产生精神损害赔偿请求权；（3）后果方面的限制，即只有造成严重精神损害，才能产生精神损害赔偿请求权。

个人信息权益是自然人享有的性质上为人格权的一类新型民事权益（理论界对于个人信息权益的性质还存在一定的争议，主要有民事权益说与权益集合说两种观点），当然受到侵权法的保护。因此，倘若个人信息处理者处理个人信息的行为侵害个人信息权益而给个人造成了严重精神损害的，依据民法典第一千一百八十三条第一款，受害人当然有权请求个人信息处理者承担精神损害赔偿责任。

然而，关于侵害个人信息权益的精神损害赔偿或者说非财产损害赔偿责任仍然存在一些争议，主要就是以下2个问题：

其一，如何认定受害人因个人信息权益被侵害而遭受的精神损害属于严重的精神损害？

其二，除了严重的精神损害外，受害人因个人信息被非法收集、公开或泄露等非法处理行为而产生的焦虑、不安、恐惧、愤怒等不良情绪，以及因此而在未来遭受人身财产损害的风险的增加等，是否也可以作为非财产损害而予以赔偿？

笔者将对这两个问题进行讨论，以供理论界与实务界参考。

要解决侵害个人信息权益中严重精神损害的认定问题，首先须正确地界定侵害与损害的关系，在此基础上才能进一步明确认定严重精神损害时需要考虑的各种因素。

（一）个人信息权益被侵害不等于个人遭受了损害

个人信息权益是以保护自然人对于其个人信息处理享有的自主决定的利益为核心的民事权益，性质上属于精神性的人格权益，具有绝对效力和排他效力。任何组织或个人未告知并取得个人同意或者不具备法律、行政法规规定的情形而处理自然人的个人信息的，该行为当然属于违法的个人信息处理行为，同时也构成了侵害个人信息权益的侵权行为。

但是，一方面，并非所有的个人信息处理者违反了个人信息保护法规定的行为，都可以被直接认定为侵害个人信息权益的侵权行为。这是因为，只有违反以保护个人信息权益为目的的保护性规范的行为，才可以被认定侵害个人信息权益的行为。在我国个人信息保护法中，此类保护性规范主要有4类，即：关于个人信息处理规则的规范、关于个人在个人信息处理活动中权利的规范、关于个人信息处理者保护个人信息安全的规范、关于个人信息保护影响评估的法律规范。除此之外的法律规范不属于保护性规范，个人信息处理者违反并非保护性规范的行为当然也是非法的，却并未侵害个人信息权益。例如，依据个人信息保护法第五十二条规定，处理个人信息达到国家网信部门规定数量P5的个人信息处理者应当指定个人信息保护负责人，如果处理者没有按照法律规定指定个人信息保护负责人，当然是违法的，却并未侵害任何特定的自然人的个人信息权益。

另一方面，即便个人信息处理者的行为侵害了个人信息权益，也并不等于就造成了损害。侵害（verletzen）不等于损害（Schaden），前者强调的是行为的非法性或违法性，后者是任何损害赔偿责任的必备要件。我国民法典第一千一百六十五条第一款以及个人信息保护法第六十九条第一款都明确区分了侵害与损害。处理者处理个人信息的行为侵害了个人信息权益并造成了财产损害或者非财产损害，处理者才可能需要承担损害赔偿责任。如果处理个人信息的行为虽然侵害了个人信息权益，却没有造成财产或非财产损害的话，那么只可能产生停止侵害、排除妨碍、消除危险等性质上属于人格权请求权的侵权责任，绝不可能产生损害赔偿责任。简言之，“没有损害就没有赔偿”。

在这一点上，比较法如欧盟法也是采取相同的观点。在欧盟，人们曾就《通用数据保护条例（GDPR）》第82条第1款规定的非财产损害赔偿请求权是否必须以损害为要件存在争议。但是，在2023年5月4日欧洲法院针对“C-300/21奥地利邮政案（Österreichische Post）”作出判决后，该争议就不存在了。“奥地利邮政案”的主要事实为：2017年以来，奥地利邮政公司（Österreichische Post AG）一直在收集数百万奥地利人的个人信息，其通过基于某些社会人口特征的算法预测个人与不同政党的亲和力，从而生成所谓的“目标群体地址”，使第三方能够发送定向广告。原告UI发现，被告奥地利邮政公司未经其同意而将其个人数据以前述处理目的而加以处理。原告认为，自己被错误地与一个政党联系在一起，而这样的错误推断被保留在被告奥地利邮政公司，使他感到沮丧和羞愧，并且他的名誉也受到了损害。原告UI向维也纳民事法庭提起诉讼，要求法院向奥地利邮政公司发布禁令，停止处理其个人数据并赔偿1000欧元的非财产损害。法院发布了禁令，但拒绝了原告非财产损害的赔偿请求。原告UI向维也纳高等地方法院提起上诉。二审法院认为，奥地利邮政公司仅仅是违反《通用数据保护条例》，这并不自动导致非财产损害。况且，即使存在损害，根据奥地利法律，要对非财产损害进行赔偿，还需要达到一定的“严重程度门槛”，上诉人UI声称的负面情绪如痛苦和羞愧，不符合这一标准。故此，维持了一审判决。UI继续上诉到奥地利最高法院，奥地利最高法院决定暂停诉讼，提请欧洲法院对涉及《通用数据保护条例》第82条第1款涉及的3个问题作出初步裁定。其中，第一个问题是：仅仅是违反《通用数据保护条例》规定的行为，是否足以使得个人数据主体有权获得赔偿？对此问题，欧洲法院认为，从《通用数据保护条例》第82条的措辞可以看出，遭受“损害”构成了该条款所规定的赔偿权的一项条件，该条件与违反《通用数据保护条例》的行为以及该损害与该违反条例的行为之间的因果关系是累积的，也就是说，必须同时满足这3个条件才享有赔偿的权利。从《通用数据保护条例》序言部分的第75条、第85条和第146条也可以看出支持上述解释。其中，第146条专门涉及了《通用数据保护条例》第82条第1款规定的赔偿权利，在其首句提到“一个人可能遭受因违反本条例的处理行为而产生的损害”。其次，第75条和第85条分别指出“风险……可能源自导致……损害的个人数据处理”以及“个人数据泄露可能导致……损害”。由此可见，首先，在这种处理的背景下，损害的发生仅是潜在的；其次，违反《通用数据保护条例》并不一定导致损害；最后，在违反条例的行为与数据主体遭受的损害之间必须存在因果关系，以确定赔偿权。故此，欧洲法院针对第一个问题的裁定是：“《通用数据保护条例》第82条第1款必须被解释为：仅仅违反该条例的规定本身并不足以产生赔偿的权利。”此后，欧洲法院又通过对“C-340/21 Natsionalna agentsia za prihodite案”“C-456/22 Gemeinde Ummendorf案”“C-667/21 Krankenversicherung Nordrhein案”“C-687/21 MediaMarktSaturn案”作出的判决，进一步明确界定了非财产损害赔偿请求权的3个必备要件：（1）违反《通用数据保护条例》的行为（Infringement of the GDPR）；（2）存在损害（Damage）；（3）违反条例的行为与损害之间的因果联系（A causal link between the infringement and damage）。

（二）严重精神损害的认定标准

按照程度的从重到轻，精神损害可被分为：严重精神损害、一般精神损害与轻微精神损害。民法典第一千一百八十三条将精神损害赔偿责任的适用限制于受害人遭受了严重精神损害。这一规定来自于侵权责任法第二十二条。立法机关作此规定的目的在于防止精神损害赔偿制度被滥用，故此以“严重精神损害”作为构成精神损害赔偿的法定条件，“偶尔的痛苦和不高兴不能认定为严重精神损害”。问题是，究竟如何认定民法典第一千一百八十三条中的“严重精神损害”？对此，有的观点认为，应当采取容忍限度理论，即超出了社会一般人的容忍限度就应当认定为是严重的精神损害。有的观点认为，在认定精神损害是否严重时，应当综合考虑以下因素，即侵权人的过错程度，侵害的手段、场合、行为方式等具体情节，侵权行为所造成的后果等加以判断。

笔者认为，作为法律概念的“精神损害”兼具主观性与客观性。精神损害赔偿责任主要具有的是补偿功能，因此要从受害人的角度出发，通过考察特定受害人的主观认知和感受来认定精神损害的有无及严重与否。虽然每个个体都是不同的，但人类还是具有很多共同的特点，所以，认定精神赔偿严重与否也需要比较客观的标准。

结合精神损害的这两个特性，在认定精神损害是否严重时，首先应当区分被侵害的人格权是物质性人格权还是精神性人格权。就侵害生命权、身体权和健康权等物质性人格权而言，只要侵权行为造成受害人死亡或残疾的，就可以直接认定造成了严重的精神损害（这也是目前司法实践中的通行观点）。这既是基于对生命的尊重和保障人身安全的需要，也符合人性常理。当然，在有些情形下，虽然没有构成伤残，但是毁损了受害人的容貌，影响其正常生活工作的，也会构成严重精神损害。

然而，在认定侵害姓名权、肖像权、名誉权、荣誉权、隐私权等精神性人格权时，则应当依据民法典第九百九十八条的规定，综合考虑多种因素，如加害行为的性质、程度和方式（如披露他人的隐私还是诽谤他人），侵权人的过错程度（故意还是轻微过失），影响范围（如在少数人的范围内还是社交媒体平台上公开实施侵害行为）、行为的后果（如出现失眠、学习成绩下降、企图自杀）等，认定是否构成严重精神损害。

个人信息权益属于人格权中精神性人格权，因此，依据上述标准，在认定处理个人信息侵害个人信息权益是否给受害人造成精神损害以及损害严重与否时，需要考虑个人信息处理者的类型、受害的个人的类型、个人信息的种类、处理的目的、处理的方式、处理行为的违法性、处理者的过错，影响范围等多种因素后予以确定。例如，A医院非法收集张某、李某等自然人的生物识别信息、医疗健康信息并为了牟利而非法提供给B、C、D等不同的公司。在该案中，由于被收集的信息是敏感的个人信息，且该等信息又被非法提供给了多家不同的公司，被扩散出去，A医院主观上又是为了牟利而故意为之。此时，就可以认定侵害个人信息权益给受害人造成了严重精神。再如，甲百货商场与张某签订销售合同并收集了张某的姓名、联系电话、地址等信息，因为甲商场的过失而将该包含张某个人信息的合同错误地交给了李某，但是10分钟后，甲商场就发现并纠正了这个错误。显然，甲商场存在过失并且可能导致了张某的个人信息被李某知道了，但由于很快发现并纠正了这个错误，第三人李某也并非就是企图利用个人信息进行非法活动的犯罪分子，从处理者的过错程度、影响范围、违法性等因素来看，都不足以认定存在严重精神损害。从目前我国法院审理的个人信息侵权纠纷案件来看，除非侵害个人信息权益与侵害其他人格权发生聚合的情形，如泄露的个人信息是私密信息，处理者既侵害了受害人的个人信息权益，也侵害了隐私权甚至名誉权等，在单纯的侵害个人信息权益的案件中，几乎很少有认定受害人遭受了严重精神损害的情形。

从目前我国理论界的讨论来看，所谓严重精神损害之外的非财产损害赔偿问题主要涉及的就是以下两类损害：一是，受害人轻微的或一般的精神损害，如因个人信息被泄露或公开而感到的焦虑、恐惧、不安、不适、压力等；二是，受害人因为个人信息泄露而在未来可能遭受人身财产侵害的风险增加。对此，下面逐一加以分析讨论。

（一）非严重的精神损害的赔偿问题

违反个人信息保护法造成的非财产损害或者精神损害是否以达到严重的程度作为赔偿的要件？这个问题在我国已经被民法典第一千一百八十三条作出了非常肯定的回答。

从比较法来看，关于这个问题还是存在很大的争议的。在欧洲法院就“C-300/21奥地利邮政案（Österreichische Post）”作出判决之前，欧盟各国对该问题有不同的看法。德国的司法实践认为，在确定侵害一般人格权的非财产损害赔偿责任时，侵权行为必须是严重的，而这取决于侵害的性质及程度、被侵害的人身领域的类型、过错程度、侵犯的原因和动机等。在违反《通用数据保护条例》而支持非财产损害赔偿的案件中，德国的民事法院往往采取比劳工法院更严格的方法。例如，德累斯顿高等地方法院于2019年6月的一项判决中认为，《通用数据保护条例》第82条第1款不应被解释为对每一项导致有限损害的个人不便或轻微的违规行为都可以提出索赔。但是，在2020年3月的一项裁决中，杜塞尔多夫劳动法院则给与了原告5000欧元的赔偿，该法院认为，不仅应在“明显情况下”非法处理导致歧视、失去保密性、声誉受损或其他社会不利影响时给予非财产损害赔偿，还应在数据主体被剥夺其权利和自由或无法控制其个人数据的情况下给予非财产损害赔偿。奥地利法院在实践中采取的也是和德国相同的做法，要求原告的非财产损害必须达到一定的程度。但是，也有国家的法院不以非财产损害的严重性作限制条件。例如，爱尔兰巡回法院在“Kaminski诉Ballymaguire Foods案”的判决中认为，受害人提出非财产损害赔偿的请求时并没有所谓最低严重性阈值的要求，但也不能“仅仅是烦恼”。该案中，原告Kaminski先生在Ballymaguire Foods公司担任监督职位。在一次关于食品安全不良行为的会议期间，公司将Kaminski先生的闭路电视录像展示给其他监督者看。会议结束后，Kaminski的同事开始取笑他，使得他感到被羞辱和嘲笑。Kaminski先生称，事件发生后自己的睡眠出现问题，每天上班时的压力加剧。于是，他起诉了Ballymaguire Foods公司。但是，被告认为原告要求获得赔偿的非财产损害只不过是“烦恼、焦虑和尴尬”，不能获得赔偿。法院支持了原告，认定被告违反《通用数据保护条例》而应当向原告赔偿2000欧元的非财产损害。因为原告不仅仅是烦恼，还遭受了一段短时间内的焦虑。

在“C-300/21奥地利邮政案（Österreichische Post）”中，奥地利最高法院决定将非财产损害是否设置限制门槛的问题提交欧洲法院裁决，其提请欧洲法院针对《通用数据保护条例》第82条第1款裁决的第3个问题就是：“关于非财产损害的赔偿应以违法行为造成的后果（或影响）至少在某种程度上超出由该违法行为引起的不快为前提的观点是否符合欧盟法律？”对于该问题，欧洲法院的总检察长卡姆波斯·桑切斯-博尔多纳（Campos Sánchez-Bordona）认为，这种观点是符合欧盟法律的，在决定非财产损害的可赔偿性时应当考虑严重性的要求，微不足道的不利如仅仅是痛苦和不便，不应获得赔偿。然而，欧洲法院没有采取总检察长的观点，其认为，《通用数据保护条例》第82条第1款必须被解释为：“排除一项国家规则或惯例，该规则或惯例使得根据该条款的含义，对于非财产损害的赔偿受到数据主体遭受的损害已达到一定程度的严重性这一条件的限制。”换言之，在欧洲法院看来，不应当为《通用数据保护条例》第82条第1款下的非财产损害赔偿请求权设置严重性的门槛限制，无论是严重的精神损害，还是微不足道的情绪上的不安、不适等，都可以获得赔偿。

欧洲法院用于支持其观点理由主要包括：首先，《通用数据保护条例》未对“损害”的概念进行定义，该条例第82条第1款仅明确规定，不仅是“财产损害”而且“非财产损害”也可能引起赔偿权，却没有提到任何严重性门槛的要求。其次，《通用数据保护条例》序言的第146条中提到“损害的概念应根据法院的判例法，以充分反映本条例的目标的方式做广泛解释”。如果将该概念仅限于一定程度的严重损害，这将违背欧盟立法者所青睐的“损害”概念的广泛设想。最后，将非财产损害的赔偿条件设定为达到一定的严重程度可能会阻止《通用数据保护条例》在欧盟范围内的一致应用，并阻碍数据主体在实际行使他们的权利时获得完全和有效的保护，因为个人在向法院提出赔偿请求时可能会遇到难以跨越的障碍。因此，将对非财产损害的赔偿权设定为达到某一严重性要求的条件，将违背《通用数据保护条例》所追求的目标。

虽然我国民法典第一千一百八十三条已经明确将严重精神损害作为精神损害赔偿责任的法定条件，但是，近年来也有一些学者主张，我国应当借鉴比较法的做法，逐步放宽侵害个人信息权益的精神损害赔偿的要件，对于个人因为敏感个人信息遭受侵害而出现的心烦意乱、沮丧、羞辱、悲伤和愤怒等焦虑的精神损害也应当给予赔偿。理由在于：一方面，比较法尤其是欧盟法上已经逐渐放宽了非财产损害赔偿的要求；另一方面，个人信息权益是人格权益，与个人的人格尊严和人格自由息息相关，故此侵害个人信息权益所造成的精神损害是显而易见的，如果以严重性作为门槛，则无法对于此类损害予以有效救济。

笔者不赞同上述观点。

首先，我国民法典基于防止精神损害赔偿制度滥用的考虑，已经明确将严重精神损害作为精神损害赔偿责任的法定适用要件，固然人们可以对何为严重性作出更宽泛的解释，但在法律没有修改之前，不能直接取消该要件。

其次，我国法上用于填补受害人精神损害的方法并非只有精神损害赔偿责任（即支付精神损害抚慰金），赔礼道歉、消除影响、恢复名誉也可以用于填补受害人的精神损害，从而维护人格尊严与人格自由。这也是我国司法实践的一贯做法，例如，2001年最高人民法院《关于确定民事侵权精神损害赔偿责任若干问题的解释》第8条第1款就曾明确规定：“因侵权致人精神损害，但未造成严重后果，受害人请求赔偿精神损害的，一般不予支持，人民法院可以根据情形判令侵权人停止侵害、恢复名誉、消除影响、赔礼道歉。”（2020年12月23日最高人民法院修订该司法解释时，将第8条删除）最高人民法院《关于审理国家赔偿案件确定精神损害赔偿责任适用法律若干问题的解释》第4条也规定：“侵权行为致人精神损害，应当为受害人消除影响、恢复名誉或者赔礼道歉；侵权行为致人精神损害并造成严重后果，应当在支付精神损害抚慰金的同时，视案件具体情形，为受害人消除影响、恢复名誉或者赔礼道歉。消除影响、恢复名誉与赔礼道歉，可以单独适用，也可以合并适用，并应当与侵权行为的具体方式和造成的影响范围相当。”故此，受害人因个人信息权益遭受的一般精神损害或轻微精神损害，也不是无法得到任何救济的。

再次，如果取消严重精神损害的要求，由于精神损害本身的无形性和主观性，必将出现任何侵害个人信息权益的行为都会被原告主张造成了精神损害，如此一来，则侵害与损害无法区分。

最后，将精神损害赔偿责任的适用限定于严重精神损害，也可以防止诉讼爆炸，节约司法资源。因为，在个人信息泄露案件中，可能被泄露个人信息的自然人的人数成百上千万，如果仅仅因为一般的甚至轻微的精神损害就到法院起诉要求赔偿精神损害，很可能导致法院的案件量剧增，耗费大量司法资源，这也使得个人信息处理者承担范围漫无边际的赔偿责任。

（二）未来损害风险的赔偿问题

如果个人信息处理者并未因非法处理个人信息的行为而给个人造成确定的财产损害或精神损害，那么，能否将个人因为个人信息泄露而增加的安全风险或损害风险认定为法律上可赔偿的损害呢？在前述“C-300/21奥地利邮政案（Österreichische Post）”中，奥地利最高法院提请欧洲法院裁决的第一个问题的核心就在于：风险本身是否可以被视为可赔偿的损害？《通用数据保护条例》并未界定何为“损害”，因此，何谓因非法处理个人数据而造成的财产损害和非财产损害，交由成员国来定义。对此，欧洲法院认为，《通用数据保护条例》第82条第1款必须解释为：单纯地违反该条例的规定本身并不足以产生赔偿的权利。也就是说，单纯违反《通用数据保护条例》的行为只是会造成风险，但风险仅仅是一种可能发生损害的概率，还不是损害。故此，从个人信息保护监管的层面说，目标不是消除风险，而是控制风险的水平。而一旦特定风险在现实中转化为实际损害，主要的问题就是如何有效补救人们遭受的损害。

美国最高法院在2013年的 “Clapper v. Amnesty International案”的判决中指出，原告要提起个人信息侵权赔偿诉讼，就必须满足美国宪法第3条的规定，具备诉讼资格。这种诉讼资格的要求意味着原告通常需要证明满足3个要件，其中的一项条件就是：事实上受到了损害。该损害必须是“具体且特定的（concrete and particularized）”，并且“是事实上存在的或迫在眉睫的，而非推测的或假设的（actual or imminent, not conjectural or hypothetical）”。在2016年的“Spokeo, Inc. v. Robins”案中，联邦最高法院进一步坚持和完善了实际损害标准，要求原告涉及个人信息遭受的损害的程度须是已存在的或者具有紧迫性的，而非推测或假设的（actual or imminent, not conjectural or hypothetical），仅仅是对程序性要求的违反，而没有实际损害的支撑，不能构成有效的诉讼资格（standing）。尽管如此，实践中提起诉讼的原告往往主张，未来伤害的风险增加即数据被泄露使得原告在未来遭受身份盗窃、欺诈或其他伤害的风险被增加了，这也是一种可以赔偿的损害。Solove等法学教授也认为，个人信息泄露后产生的风险是数据泄露危害的关键因素，这些危害绝非空想或微不足道而是真实存在的。理由在于：首先，个人信息泄露的危害是巨大且深远的。数据泄露导致个人的身份被他人盗窃的受害者可能面临经济损失甚至失去家园，此外，还会严重影响一个人参与社会生活中的重要活动的能力，例如，因为信用报告被身份窃贼所污染导致无法购房，受污染的信用报告会干扰一个人的就业机会等。其次，犯罪分子可能会获取受害者的个人数据并在数月或数年后使用。因此，泄露的个人数据被滥用可能需要较长的时间，其后果的发生可能会远远超出诉讼时效，且每个受害者遭受伤害的时间也不同。并且，受害人很难采取措施消除这种损害发生的可能性，因为许多个人数据不能像信用卡号那样轻易“取消”，如社会保障数字很难改变，出生日期和母亲的婚前姓氏无法被替换。至于那些生物特征数据如指纹、虹膜、基因信息等数据更是不可能改变。再次，评估数据泄露危害的一个很大的困难就是很难抓住身份窃贼。如果没有关于身份窃贼从何处获得数据的信息，原告就难以将损害与特定的数据泄露联系起来。由此可见，数据泄露后单纯的风险本身就是一种法律上应当认可的确定的损害。数据泄露也必定会导致受害者因为未来伤害风险的增加而感到焦虑，这也是客观存在的。现代侵权法本身也已经发展到承认“对未来发展疾病的恐惧或风险增加”和“失去避免疾病或身体伤害的机会”是可赔偿的伤害。既然如此，应当将数据泄露的风险增加也看做是一种损害。

受上述理论的启发，我国一些学者也认为，应当从宽解释损害的概念，将个人信息泄露后的风险增加认定为损害。因为，损害的确定性不等于损害已发生，实质性的未来风险可以满足损害的确定性的要求。由于信息暴露而带来的风险升高、预防风险的支出和风险引发的焦虑是侵权造成利益差额的体现,可以成立损害。至于此种未来风险增加的损害的性质，有的人将其界定为非物质性损害，有的人则界定为个人信息侵权的财产损失。目前，我国司法实践中法院都不承认因个人泄露而单纯增加的风险属于一种可赔偿的损害。

笔者认为，个人信息被泄露或未经授权的访问的确在客观上增加了个人在未来遭受第三人侵权的风险，然而，这种风险是否会变成具体的、特定的损害仍具有很大的不确定性，并且与个人信息权益被侵害之间的因果关系过于遥远。因为个人信息泄露后究竟会被哪些第三人非法使用，使用人有多强的意愿进行非法利用，非法利用时究竟会侵害哪些个人信息被泄露的主体及侵害其何种民事权益等，都具有极大的不确定性。换言之，受害人因为个人信息泄露而被侵害的风险在本质上就是：在未来的不确定的期限内遭受不特定的人实施的不特定侵害行为的风险。这种风险的不确定性极大，显然是不能简单地等同于疾病的风险的。因此，个人信息泄露后损害风险的增加并不满足损害的确定性要求，无法作为非财产损害加以赔偿。

当然，如果在个人信息泄露后，个人为了避免因个人信息泄露而遭受电信网络诈骗或者其他侵权行为，采取了相应的预防措施而支出的成本与费用，如更换银行密码、购买防止身份盗窃的保护和信用监控服务等，以及受害人本人或委托代理人对侵权行为进行调查、取证的费用如鉴定费、交通费、公证费以及支付的符合国家规定的律师费等，属于现实的、确定的损害，它们与个人信息权益被侵害存在相当因果关系，是处理者处理个人信息侵害个人信息权益给个人信息主体所造成的财产损害。依据民法典第一千一百八十二条以及个人信息保护法第六十九条第二款，这些损失属于被侵权人的财产损失，个人有权要求个人信息处理者承担赔偿责任。对此，最高人民法院《关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》第12条第1款以及最高人民法院《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》第8条第2款都有明确的规定。