丁宇翔：侵害个人金融信息权益的非物质损害赔偿 | 前沿

作者简介：丁宇翔，北京金融法院审判第二庭庭长，二级高级法官，中国社会科学院研究生院民商法学博士。

文章来源：《人民司法》2024年第25期，转载自“人民司法杂志社”公众号。为方便阅读，注释从略，建议阅读原文。

摘  要：个人金融信息具有极易被重复性侵害，侵害所导致的财产性损害更为严重，侵害引发次生损害的可能性更大，大规模侵害可能导致系统性金融风险等特点。对个人金融信息的侵害，可能产生积极的和消极的非物质损害，原生的和次生的非物质损害。仅仅是未来风险增加，不宜认定为非物质损害。一般性侵犯个人金融信息权益产生的非物质损害，原则上都应予以赔偿，并且通过侵权责任请求权的进路予以落实。但在赔偿要件方面，依据个人信息保护法，不要求信息处理者造成严重精神损害。非物质损害赔偿金额的确定，需要综合考虑行为人过错程度、个人金融信息的敏感程度、可否合理预见等因素进行酌定。在赔偿义务的具体分配上，应区分起诉时是否有次生损害发生的不同情况，分别予以确定。

根据全国金融标准化技术委员会审查通过的金融行业标准，个人金融信息是金融业机构通过提供金融产品和服务或者其他渠道获取、加工和保存的个人信息。具体包括账户信息11、鉴别信息、金融交易信息、个人身份信息、财产信息、借贷信息和其他反映特定个人金融信息主体某些情况的信息（中华人民共和国金融行业标准《个人金融信息保护技术规范》（JR/T 0171-2020）第3.2条、第4.1条）。个人金融信息是个人信息在金融场景下的具象和细化，既具有个人信息的共性特征，也有基于金融场景而生的特质。其中最为明显的特质就是，个人金融信息与金融乃至金钱密切关联，而金钱又是人民所拥有的财产的重要形式。职是之故，侵害个人金融信息，如果产生损失则首先可能与人民的金钱财产相关。典型者如，申某与携程、支付宝侵权责任纠纷案中，申某银行账户信息被窃取而发生的账户财产被转移的财产性损害。于是，对于侵害个人金融信息权益所生损失的研究，也会较多关注其财产性损害（物质性损害）。然而，侵害个人金融信息在很多情况下并不仅仅产生物质性损害。在个人金融信息泄露或其他侵害个人金融信息权益的场合，信息主体因其个人金融信息被侵害而产生的焦虑、惊吓以及其他严重精神压力，尽管没有显性的物质损害，但也是一种实质性的损害，须给予足够重视。需要关注的问题至少有：对个人金融信息权益的侵害有哪些特质？侵害个人金融信息的非物质损害的样态是什么？非物质损害与赔偿之间是否存在需要跨越的鸿沟？如果存在，如何跨越这一鸿沟？以及侵害个人金融信息权益非物质损害赔偿的范围等等。以下将对上述问题逐一进行分析。

民法典第一百一十一条虽然明确规定自然人的个人信息受法律保护，但并未将个人信息作为一项民事权利予以规定。不过，从体系解释的角度分析，民法典在第一百一十条（各种具体人格权）和第一百一十二条（因婚姻、家庭关系等产P11生的人身权利）之间，规定对个人信息的法律保护，显然是将其作为一种民事权益进行保护的。相应地，个人金融信息也作为一种民事权益而受到法律保护。然而，个人金融信息权益的保护却有不同于一般个人信息保护的特殊性，这种特殊性首先就在于个人金融信息权益侵害的特殊性。

（一）极易产生重复性的侵害

在大数据背景下，信息化技术对金融的加持，深刻地重塑了金融的面相。线上化、远程化、场景化、便捷化，成为现代金融的典型图景。而上述“四化”的实现，无一不以个人金融信息的让渡作为代价。在此过程中，信息主体对个人金融信息处理的“一次同意”，在根本来不及详加审视的隐私政策之下，直接演化为“重复使用”。这种情况在金融的几乎所有场景中都广泛存在。比如，投资者在发行阶段的账户、身份信息等个人信息，在证券交易中也会被证券公司、证券登记结算机构、证券交易所、交易结算资金账户银行等信息处理者多次处理。再如，在支付领域，以银行卡网络支付为底层工具的快捷支付，往往也是经过初始认证即可反复使用。在大多数情况下，这种反复使用表面上经过了个人信息保护法第十三条要求的“同意”。但在很多情况下却并未实际符合个人信息保护法第十四条第一款所要求的“基于个人同意处理个人信息的，该同意应当由个人在充分知情的前提下自愿、明确作出”。因为个人的所谓“同意”，大多不是在充分知情前提下自愿、明确作出的。即使是在充分知情前提下自愿、明确作出，作为金融机构的信息处理者也会基于锁定客户、精准营销、统一集团内部风险管理等目的，对该条第二款“个人信息的处理目的、处理方式和处理的个人信息种类发生变更的，应当重新取得个人同意”的要求予以变通。于是，在很多处理个人金融信息的场景中，产生了违反知情同意规则的重复性侵害。

（二）侵害所导致的财产性损害更为严重

个人金融信息与信息主体的可支配财产中的储蓄资产、证券资产、保险资产等金融资产密切关联。银行卡密码、网络支付交易密码等鉴别性的个人金融信息一旦泄露而被恶意利用，将可能直接导致银行存款被转移。证券账户信息的泄露，将可能导致信息主体的证券被不法分子操纵买卖。而当证券账户信息、证券交易结算资金账户信息以及客户交易结算资金第三方存管信息共同被泄露时，则信息主体的证券资产可能直接被变现和转移。保险账户信息和银行账户信息叠加泄露时，可能产生不法分子冒领信息主体名下保单的累积红利，直接造成信息主体的财产损失。更有甚者，不法分子利用其窃取的信息主体金融信息，以信息主体的保单违法办理保单质押贷款，给信息主体造成巨大的财产损害风险。上述侵犯个人金融信息权益的损失都是显性和实质的财产损失。有研究成果表明，个人信息中的财务信息最可能被侵害，因为这类信息一旦被获取，将可能为不法分子带来巨大的非法财产收益。相应地，信息主体个人则会遭受巨大的财产性损害。因此，与一般性的个人信息相比，个人金融信息侵害所导致的财产性损害更为明显，更为剧烈，也更为严重。

（三）侵害引发次生损害的可能性更大

个人金融信息的泄露，是最常见的权益侵害行为。与泄露相当的侵害行为如未经信息主体同意的提供、共享，以及更为严重的窃取等，也是较为典型的个人金融信息权益侵害行为。在存储于计算机上的客户记录越来越多的情况下，上述侵害行为更为消极的后果在于其次生损害。最常见的次生损害就是个人金融信息被泄露或窃取之后，不法分子实施电信诈骗给信息主体造成的损害。由于电信诈骗往往可以带来巨大的非法财产利益，这就催生了各种收集、贩卖个人金融信息的黑灰产业，从而使侵害个人金融信息引发次生损害的可能性进一步加大。另外的次生损害是，基于个人金融信息进行数据画像后，对信息主体实施的消费操纵或决策诱导等损害。大数据时代背景下，数据的价值堪比工业时代的“石油”。在数据价值的利导下，并不是所有的网络服务提供者都尊重个人金融信息。不少信息处理者会存储用户的IP地址，以及使用过的搜索词。在客户使用这些搜索引擎后会发现他在网页和社交媒体网站上看到的广告突然与他的搜P12索词密切关联。信息处理者通过cookie追踪用户的浏览行为，从而掌握客户的个人偏好和所有的网络行为习惯。在此基础上，通过向客户推送有针对性的、符合其非理性偏好但未必实质有利的要约邀请，悄无声息地诱使客户作出未必符合其实际利益的要约决定。这种决策诱导或消费操纵下，信息主体的交易是不自由的，其人格尊严和人格自由已经被贬损。

（四）大规模侵害可能导致系统性金融风险

个人金融信息的共享可以为信息处理者带来巨大的利益。同时，这种数据共享商业模式对隐私的潜在危害也可能会造成巨大的福利损失。这种巨大的福利损失，有时可以上升到国家金融安全的高度。因为，目前迅速发展的数据共享经济，已经从用户之间的单纯口头交流发展到物理特征的共享（经过信息主体同意的共享），个人金融数据更是如此。在这一共享化的过程中，信息处理者可以集成海量的个人金融信息。比如，金融控股公司往往控股或实际控制两个或两个以上不同类型金融机构，可以包括银行、证券、保险、信托等金融机构的全产业链，其内部往往会有客户个人金融信息的共享机制。一个囊括金融全产业链的大型金融控股公司，可以归集其旗下银行、证券、保险以及信托等所有客户的所有个人金融信息，这是一个海量的个人金融信息集群。这些海量的个人金融信息一旦发生泄露或被黑客攻击，则特定的金融服务用户群体画像、金融特定领域乃至全领域的产业画像、金融监管风格及结构性画像都会通过算法技术，精准地呈现到敌对势力面前，为其针对我国金融体系薄弱环节的打击和制裁，打开方便之门。这样的风险，即使仅仅发生在一个金融控股集团，也往往可能外溢为区域性乃至系统性的金融风险。

（一）个人金融信息权益侵害的特殊性对其非物质损害的影响

非物质损害是受害人遭受的除财产价值减损、费用支出、经济收益降低之外的其他不利益，也称“无形损害”或“精神损害”。上文分析的个人金融信息侵害的特点，看似更多地与物质性损害相关联，实则不然。个人金融信息权益侵害的前3个特点，都会直接或间接给信息主体带来除财产价值减损、费用支出、经济收益降低之外的其他不利益，增加非物质损害的机率和强度。

就第一个特点而言，重复性侵害意味着其个人金融信息权益可能被多次反复侵害，这会带来信息主体的消极预期和消极情绪。重复性侵害越容易，其后对信息主体产生的精神压力将越大越持久。

就第二个特点而言，看似只是产生了明显的物质性损害，但却大概率会延伸到非物质损害。一方面，个人金融信息权益与一些具体的人格权益存在交叉重叠。比如，C3类个人金融信息具有高敏感度性，其本身就属于财产隐私，从而属于隐私权的客体范围。此时，侵犯个人金融信息权益，同时也侵犯了信息主体的隐私权。而侵犯隐私权等人格权，常常会产生非物质损害。另一方面，个人金融信息权益的侵害本身，也可能产生不依赖于隐私权等其他人格权益的独立的非物质损害。比如，证券客户交易流水信息的灭失，使得其无法在证券欺诈案件中证明自己的交易时间，从而无法证明自己的投资损失与被诉欺诈行为存在因果关系，导致信息主体对无法获得欺诈赔偿的强烈担忧，引发焦虑、惊吓、失眠等明显的精神损害。

就第三个特点而言，个人金融信息权益侵害引发次生损害是大概率事件。如果引发了电信诈骗的次生损害，基本都会对信息主体产生较大甚至巨大的精神打击，在曾经广受关注的徐某案中，犯罪分子窃取徐某个人信息后骗取徐某上大P13学的学费，导致徐某伤心欲绝，郁结于心，最终导致心脏骤停而亡。如果引发了消费操纵或决策诱导，在信息主体未觉察时，一般不会有非物质损害。但是，一旦信息主体发现自己被诱导或操纵，就会产生被羞辱、愤怒、后悔等消极的精神变化，从而产生非物质损害。以上3个特点实质上表明，个人金融信息侵权更容易产生非物质损害。

第四个特点是众多个人金融信息集合可能产生的负效应，其中每个信息主体的非物质损害也都客观存在。不过，在大规模侵权情形下，由于受害人众多，每个受害人倾向于认为自己并不是唯一的不幸者，这就可以适度消减其精神压力。因此，个人金融信息的大规模侵权本身不会增加非物质损害的机率和强度。

（二）非物质损害的样态

1.积极的非物质损害与消极的非物质损害

所谓积极的非物质损害，即信息主体从生理或心理上可以感知的精神痛苦，典型者如焦虑、担忧、惊吓、绝望、耻辱、愤懑、不甘、悲伤等。从现实的情况看，个人金融信息直接涉及信息主体的“钱袋子”，在信息被泄露、窃取后可能使信息主体的全部积蓄灭失，这就会对信息主体形成强大的精神压力，产生担忧、焦虑等可以感知的精神痛苦。尤其是焦虑，美国的研究者甚至认为法院应将焦虑视为“数据泄露危害的关键维度”。在信息主体的信用信息被不当泄露的场合，尤其是对不佳的信用信息的泄露或扩散，将直接导致信息主体的社会评价降低，引发信息主体担忧、绝望、耻辱等精神痛苦。更为严重者，可能引发信息主体的自杀。此外，全球范围内广泛存在通过对老年人相关金融信息窃取后实施诈骗的“奶奶骗局”的犯罪活动。这会导致老年人信息主体在知晓其个人金融信息泄漏后产生相应的精神压力，考虑到老年人本身的承受能力，这种精神压力所导致的精神痛苦，在感知上可能更为剧烈。

所谓消极的非物质损害，即信息主体从生理上和心理上没有感知的精神痛苦，典型者如心智丧失，信息主体因侵权行为而成为无行为能力人的情况。个人金融信息的侵权行为常常会危及信息主体个人的大额财产，对于承受能力不强的信息主体而言，可能产生心智丧失的严重非物质损害后果。

2.原生的非物质损害与次生的非物质损害

原生的非物质损害是指，未经信息主体同意而基于个人金融信息本身的处理或泄露所导致的非物质损害。原生的非物质损害主要有3种情形：一是信息处理者未经信息主体同意而处理其个人金融信息导致的非物质损害。比如，未经用户明示同意，APP擅自收集用户在终端设备上输入的银行账号密码，导致用户的紧张、焦虑等（中华人民共和国金融行业标准《个人金融信息保护技术规范》（JR/T 0171-2020）第6.1.1条）。二是信息处理者将信息主体个人金融信息泄露所导致的非物质损害。如某证券公司因安全管理漏洞而导致在其公司注册客户的证券账户信息、持仓信息、交易信息等被泄露所导致的信息主体的焦虑、紧张等。三是纯粹私域自然人未经信息主体同意处理或泄露个人金融信息导致的非物质损害。比如，好友不慎将信息主体的银行账号和密码泄露，导致信息主体焦虑不安。我国个人信息保护法主要规范商业和公共领域的个人信息处理活动，但对于纯粹私人领域的个人信息处理也不能漠视，对私域个人信息处理所导致的信息主体的非物质损害也需予以关注。原生的非物质损害强调损害基于个人信息的处理和泄露而生，这意味着产生损害的时空进程中，主要是信息主体和信息处理者（或私域领域的自然人）在参与，赔偿权利主体和赔偿义务主体的对应关系更容易建立。

次生的非物质损害是指，以未经信息主体同意而获取的个人金融信息为工具另行积极实施故意侵权行为所导致的非物质损害，因个人金融信息泄露而导致的金融诈骗是P14其典型。次生的非物质损害主要有两种情形：其一，第三人直接从信息主体处非法获取个人金融信息后实施故意侵权行为。比如，犯罪分子直接窃取（原生的侵害）个人银行账号和登录密码、交易密码后转账（次生的侵害）而产生的信息主体的非物质损害。其二，信息处理者泄露信息主体个人金融信息后被第三人利用而实施故意侵权行为。比如，证券公司因安全漏洞泄露（原生的侵害）客户证券账户、资金账户、存管账户信息及鉴别信息后，不法分子使用上述金融信息卖出受害人的股票套现并转移（次生的侵害）至自己控制的账户，导致信息主体巨大财产损失的同时产生非物质损害。次生的非物质损害强调个人金融信息只是实现第三人违法行为的工具。这意味着产生损害的时空进程中，除了信息主体和信息处理者（或私域领域的自然人）在参与，另行积极实施侵权行为的第三人也介入其中，这就使得赔偿权利主体和赔偿义务主体的对应关系较为复杂，很难建立完全一一对应关系。

（三）未来风险是否属于非物质损害

大数据信息技术的日新月异，引发了个人信息收集、利用、整合的普遍化，从而深刻改变了社会的损害观念。

近来的研究越来越认同将未来损害或风险增加作为一种新型的损害纳入救济范围，其中一种观点就是，将风险损害作为非物质损害进行救济。

必须承认，在经典的损害赔偿法理上，德国学者蒙森于1885年提出的“差额说”（损害乃被害人之总财产状况，于有损害事故之发生与无损害事故下所生之差额），一直被看作认定是否存在损害的圭臬。并且，这一学说早已超出大陆法系而波及英美法中关于损害的概念。之所以能有如此大的影响，一方面是因为该学说符合人们的日常认知和逻辑认知；另一方面也因为该学说在注入实定法肌体时已经被调适和改良，加入了非财产损害的情形，因而具有极强的延展性。在此情况下，要对关于损害的“差额说”进行彻底改革，需要非常充分的法理支撑。或许正是因为这一原因，美国联邦法院系统对于因个人信息泄露导致的未来损害风险增加的情形是否属于“损害”，才会有互不一致的裁判。

现实情况是，在许多涉及数据泄露的案件中，原告无法证明黑客已经滥用了他们的数据，这往往使原告只能声称未来身份盗窃的危害风险增加。在Clapper v. Amnesty International USA案中，法院认为，原告的“未来损害理论”推测的成分过高，无法满足威胁伤害必须“确定地迫在眉睫”的要求。这也意味着，只要原告可以证明未来损害是“确定地迫在眉睫”的，则可以基于未来风险增加的情况而提出损害赔偿请求。不过，整体而言，美国的理论与实务中关于是否可以基于身份盗窃风险增加的情况而确立原告的诉讼地位的问题，仍然是有分歧的,上述美国联邦法院系统裁判不一致的情况已经为此作了很好的注脚。从解决问题的角度分析，美国法院在最近的TransUnion LLC v. Ramirez案中提出来的3点意见必须予以正视：（1）未来损害的风险不太可能是寻求损害赔偿的“具体”风险；（2）斯波克的“亲密关系”的具体性检验不利于正在发展着的数据泄露事件的现代观念；（3）在原告没有受到具体伤害的情况下，法院将不承认其具有国会授予的诉讼权。因此，美国的研究者认为，要将未来风险增加纳入损害，至少需要以下3方面努力：首先，数据泄露的风险比TransUnion声称的风险更大。其次，数据泄露情况下需要证明原告往往会遭受独立的伤害，即情绪困扰和缓解成本。第三，数据泄露受害者所经历的伤害，与隐私信息受到侵犯的普通法伤害密切相P15关。

鉴于上述讨论，笔者认为，未经同意的个人金融信息的处理或泄露本身可以引发非物质损害。但泄露之后引发的未来风险增加，比如次生损害的风险增加能否也作为损害，进而作为非物质损害予以救济，可以从两个方面予以考虑：

其一，如果起诉时该未来风险已然现实化为次生侵害，次生侵害可能会产生物质损害或非物质损害，此种情况交由次生损害中的法律关系解决即可，不再需要考虑风险损害的问题。

其二，如果起诉时该未来风险尚未现实化，则信息处理或泄露侵害本身可以交由原生损害中的法律关系解决。此时，为避免因信息处理或泄露而遭受以该信息为侵权工具的次生损害（如电信诈骗），信息主体所支出的挂失或更换银行卡、购买金融信息保护和信用监控服务的费用，属于原生损害中的物质损害；导致的焦虑等精神痛苦属于原生损害中的非物质损害，原则上均应予以赔偿。在此过程中，所谓“未来风险损害”，其实通过“预防费用赔偿+非物质损害赔偿”已经得到填补。因此，仅仅是“未来风险增加”这个单一元素，尚不足以确立为独立的、新型的损害，亦不宜认定为独立的非物质损害。

（一）可得赔偿的非物质损害样态

1.积极和消极非物质损害的可赔偿性分析

就积极的非物质损害与消极的非物质损害而言，积极的非物质损害具有明显的对精神和情绪的消极影响，且信息主体在主观上充分感受到了这种消极影响，产生了明显的精神痛苦，应当予以赔偿。因此，积极的非物质损害是可得赔偿的非物质损害样态。

消极的非物质损害的难点在于，信息主体本身对于传统非物质损害理论所强调的精神痛苦毫无感知，因而对于消极的非物质损害似乎可以不赔。然而，让一个健全的人成为植物人，使其失去感知快乐、愉悦的能力，彻底失去了人身幸福，本身就是对受害人精神和主观层面的沉重打击。一个精神健全的人受到个人金融信息侵权产生精神痛苦可能得到赔偿；举轻以明重，一个精神健全的人受到个人金融信息侵权产生心智丧失，是更为严重的精神伤害，更应得到赔偿。我国司法实践中也秉持了这一认识。因此，消极的非物质损害也是可得赔偿的损害样态。

2.原生和次生非物质损害的可赔偿性分析

原生的非物质损害是违反知情同意原则而基于个人金融信息本身的处理或泄露所导致的非物质损害。个人金融信息本身关涉信息主体的财务安全，被擅自处理或泄露后危及信息主体财务安全的概率较高，较易引发精神上的焦虑。但是，这一点也与个人金融信息的敏感程度密切相关。如果信息处理者擅自处理或泄露的是敏感程度不高的C1类个人金融信息，如证券账户的开立时间、开户证券公司等信息，则即使信息主体因其主观情势而产生非物质损害，但这种非物质损害是因个体的脆弱承受力而产生的，并不具有社会典型性，一般不应予以赔偿。但如果信息处理者擅自处理或泄露的是敏感程度较高的C3类和C2类个人金融信息（个人金融信息按照敏感程度从高到低可以分为C3、C2、C1三个类别，具体可参见参见中华人民共和国金融行业标准《个人金融信息保护技术规范》（JR/T 0171-2020）第4.2条），如银行账户的登录密码、交易密码和查询密码等，则会一般性地对信息主体产生精神压力，从而产生非物质损害，并且具有社会典型性，应予赔偿。

次生的非物质损害中，因第三人已经以获取的个人金融信息为工具另行积极实施侵权行为，造成了信息主体的财产损害，同时使得信息主体产生了基于财务恶化而引发的焦虑、担忧、悲伤等精神痛苦，并且这种精神痛苦的发生不是小概率事件，而具有社会典型性。因此，一般性的次生的非物质损害，是可得赔偿的损害样态。

（二）不同赔偿义务主体的赔偿要件

个人金融信息权益的侵权主体不外乎3类：个人信息处理者、个人信息处理者之外的在纯粹私人领域处理他人个人金融信息的行为人、次生侵害中以个人金融信息为工具的P16侵权行为人。3类侵权主体对受害人的非物质损害赔偿要件在我国实定法上有不同的规定，因而也引发不少争议。

个人信息处理者作为赔偿义务主体时应当适用个人信息保护法的规定。对个人信息保护法第六十九条第一款“处理个人信息侵害个人信息权益造成损害”中的“损害”，是否包括非物质损害，有不同的意见。一种意见认为，该条没有规定侵犯个人信息权益的非物质损害赔偿；另一种意见则认为，该条规定的损害既包括物质损害，也包括非物质损害。一般意义上理解，“损害”是“物质损害”和“非物质损害”的上位概念。从文义解释的角度分析，在法律条文没有将“损害”限定为“物质损害”或“非物质损害”的情况下，应当认定这里的“损害”既包括“物质损害”，也包括“非物质损害”。否则，无法建立法律概念的一致性。职是之故，应当认为个人信息保护法第六十九条中的损害，当然包括非物质损害。以此为前提，则个人信息处理者侵害信息主体个人金融信息权益的，其非物质损害的赔偿要件应该按照个人信息保护法确定。具体而言，根据个人信息保护法第六十九条第一款，信息处理者侵害个人金融信息的非物质损害赔偿的基本要件是：造成损害，不能证明自己没有过错。此外，当然还需要具备侵权损害赔偿的其他要件。需要指出，这里的非物质损害赔偿，并未要求严重的精神痛苦。信息处理者非物质损害赔偿不要求严重精神损害的这一立场，在实务中也已经有所体现。

个人信息处理者之外的行为人在纯粹私人领域处理他人个人金融信息时，也会产生非物质损害赔偿的问题。但这种个人金融信息的处理行为不属于个人信息保护法的调整范围，应归于一般私人领域的民事活动，由民法典调整。因此，这种情况下行为人的非物质损害赔偿要件，应该根据民法典确定。民法典中关于非物质损害侵权赔偿的规范见于第一千一百八十三条。根据该条规定，个人信息处理者之外的行为人承担非物质损害赔偿责任的要件主要是导致受害人的严重精神损害，以及其他的共通要件。这里的严重精神损害，是指超出一般人容忍限度的精神损害。于此，个人信息处理者和个人信息处理者之外的行为人虽然都是赔偿义务主体，但在赔偿要件方面产生了重大差异。前者因受个人信息保护法调整而无需受害人遭受严重精神损害，且无需证明行为人过错。后者因受民法典调整，则要求受害人遭受严重精神损害，且需要证明行为人的过错。也正是因为这一差异，在个人信息保护法实施之前，实务中多因没有造成受害人严重精神损害而未支持非物质损害赔偿。但在个人信息保护法实施之后，这一情况将发生变化。

第三类赔偿义务主体是次生侵害中以个人金融信息为工具的侵权行为人，其在个人金融信息非物质损害赔偿法律关系中的地位没有独立性，其要么被归为个人信息处理者，要么被归为个人信息处理者之外的行为人。从二者的界分看，个人信息处理者是在公域或商业领域处理个人信息的组织或个人，而个人信息处理者之外的行为人则主要是在私域的社交或家庭生活中处理个人信息的人。次生侵害中的侵权行为人非法处理个人金融信息一般都具有财产目的，这种处理虽然不是典型的商业或职业领域的个人信息处理，但在获取经济收益上堪比信息处理者的处理行为，并且显然与家庭等私域的信息处理行为相去甚远。基于此，次生侵害中的侵权第三人作为非物质损害赔偿义务主体时，其法律地位应与个人信息处理者同视，其赔偿要件亦同。

（三）个人金融信息非物质损害赔偿的请求权进路

在民法典的框架下，信息主体因个人信息保护需要而寻求救济的请求权进路主要是侵权责任请求权、合同法上的请求权和人格权请求权这3种进路。但在损害赔偿方面，人格权请求权无法有所作为，因为它旨在对受害人提供事前的预防。同时，尽管民法典第九百九十六条在某种程度上建立了违约时的非物质损害赔偿机制，但该条的文义表明，只有在违约行为与侵犯人格权益的侵权行为发生竞合P17时，或者说违约行为必须同时侵犯信息主体人格权益时，受害人方可依据该条主张非物质损害赔偿，而并非独立的违约非物质损害赔偿。同时，基于违反先合同义务或后合同义务而产生的信息主体的损害赔偿请求权，也只是针对物质损害而言。

因此，受害人主张侵害个人金融信息权益的非物质损害赔偿，实际上只剩侵权责任请求权的进路。具体有3种情况：

第一种，在侵权之诉中信息处理者（含次生侵害中的侵权行为人）因侵犯个人金融信息发生非物质损害的，受害的信息主体以个人信息保护法第六十九条第一款作为请求权基础主张赔偿。同时，因可能存在信息处理者与次生侵害中的侵权行为人共同侵权的情形，以及信息处理者未尽安全保障义务而便利了第三人侵权，进而导致信息主体发生损害，产生间接侵权的情形，于是，信息主体还需以民法典第一千一百六十八条（共同侵权）或类推适用民法典第一千一百九十八条第二款（补充责任）作为辅助规范。

第二种，在侵权之诉中信息处理者之外的行为人在私域侵犯个人金融信息发生非物质损害的，受害的信息主体以民法典第一千一百八十三条第一款作为请求权基础主张赔偿，这种情况下也存在共同侵权的可能，因而也需以民法典第一千一百六十八条作为辅助规范。但这种情况下并不存在间接侵权的可能，因为在职业或商业领域处理个人金融信息的信息处理者，其地位与信息处理者之外的行为人完全不同，后者并不具有如同信息处理者那样的安全保障义务，因而不能类推适用民法典第一千一百九十八条第二款。

第三种，在合同之诉中，作为合同相对方的信息处理者（不含次生侵害中的侵权行为人）因其违约行为而侵害个人金融信息权益，受害的信息主体以民法典第九百九十六条作为请求权基础主张赔偿。不过，实务中，以该条作为请求权基础提起所谓违约非物质损害赔偿的案例，在我国还非常少。

（一）赔偿金额的重要考虑因素与酌定赔偿金额

1.行为人的过错程度

从矫正司法的角度来看，任何金钱的支付其实都未必能“纠正”或“修复”受害人的痛苦。但对痛苦的赔偿也有一种象征性或宣示性的意义，即使疼痛和痛苦无法得到纠正或金钱补偿，非法造成疼痛和痛苦也是一种严重的错误。对于这种严重的错误，如果从客观和主观两个层面去衡量，则显然主观方面的过错程度更容易受到关注。主观方面的过错程度越深，则意味着行为人对受害人的恶意越重，对受害人的精神刺激越强烈，由此产生的非物质损害赔偿额也应更高。因此，一般意义上，行为人过错程度是非物质损害赔偿的重要考虑因素。没有过错，即不应承担非物质损害赔偿责任，甚至不应承担物质损害赔偿责任。

不过，在个人金融信息侵权情况下，行为人过错程度的认定，还需有另外的考虑。在金融领域，信息的收集和阐述过程中离不开公共管理和私人经济目标的相互交织。基于反洗钱、反欺诈、投资者适当性管理、统一风险管理等同样重要的价值，个人金融信息不得不在采取有效措施的前提下被在更大范围内共享，从而呈现出比之一般个人信息更明显的公共性。在此情况下，信息主体对其个人金融信息权益的保留，需要被适当限制。作为个人金融信息处理者的金融机构、监管机关、金融基础设施乃至金融行业协会，未经信息主体同意但在职责范围内处理或泄露个人金融信息发生非物质损害的，其过错程度的认定可适当宽松。

2.个人金融信息的敏感程度

个人金融信息本身的敏感程度对于信息主体信息安全及个人财产安全关涉重大。敏感程度较低，仅仅是可能会对个人金融信息主体财产安全造成一定影响的C1类个人金融信息，一般不会产生原生的非物质损害。然而，那些可P18能对个人金融信息主体的信息安全与财产安全造成一定危害或严重危害的C2类和C3类个人金融信息，则很可能会产生非物质损害。在确定非物质损害的赔偿范围时，个人金融信息的敏感程度将成为确定赔偿金额的重要考虑因素。一般而言，涉及C3类个人金融信息权益的非物质损害赔偿金额，应高于涉及C2类个人金融信息权益的非物质损害赔偿金额。比如，仅仅是未经授权而处理或泄露个人金融账户的用户名（C2类），与擅自处理或泄露交易密码、人脸识别信息（C3类）相比，显然后者会给信息主体造成更大的精神负担，产生更为明显的非物质损害。在其他条件均相同的情况下，后者的非物质损害赔偿金额应该更高。

此外，被擅自处理或泄露的个人金融信息既有C2类又有C3类，应至少按照侵犯C3类个人金融信息权益确定非物质损害赔偿。两种或以上的C2类个人金融信息权益被侵害，比单纯一种C2类个人金融信息权益被侵犯所造成的非物质损害一般更大，其赔偿金额也相应更高。

3.可否合理预见

在传统的合同法领域，较少支持非物质损害赔偿的理由之一就是，这样的损害并非违反合同可以预见的后果。同样的逻辑在个人信息侵权领域也有适用空间。行为人在擅自处理、泄露（原生侵害）或以获取的个人金融信息作为工具实施侵权行为（次生侵害）时，可否预见以及在多大程度上预见到产生非物质损害，是确定行为人非物质损害赔偿金额的重要考虑因素。法律在为某一主体确定责任时，必须兼顾行为自由和权益保护的两种价值，偏在任何一种价值，都会导致社会失范。在行为人是否可以预见到侵害个人金融信息产生非物质损害的问题上，必须坚持一般理性人的标准，才能较好地平衡行为自由与权利保护两项价值。这里的一般理性人标准，就是如果一个理性的人在这种情况下可以承受这种精神压力，那么行为人就无法预见其行为产生非物质损害结果。反之，如果一个理性的人在这种情况下无法承受这种精神压力，则行为人就可以预见其行为会产生非物质损害的结果。当然，是否超出正常理性人的精神承压范围，是随着社会的变迁而发展变化的。20多年前，即使有人抄写了你的手机号和身份证号码，录了你的张口闭口、睁大眼睛等人脸识别信息视频，也不大可能甚至无法用到电信诈骗上。这类行为在当时不具有社会危害性，因而不会引起正常理性人的精神痛苦。但现在，通过这类行为进行电信诈骗的概率就非常高，已经具有了社会危害性，因而会引起正常人的精神痛苦。

以上3方面只是侵犯个人金融信息权益非物质损害赔偿的重点考虑因素。此外，还应根据最高人民法院《关于确定民事侵权精神损害赔偿责任若干问题的解释》第5条所列因素，综合考量确定个人金融信息侵权的非物质损害赔偿金额。

4.赔偿金额的酌定

关于非物质损害赔偿金额的确定，个人信息保护法第六十九条第二款规定了3种方法，第一种就是按照所受损失来确定。然而，由于非物质损害的无形性，受害人几乎不可能证明自身精神情绪状况在侵权行为发生前后的差别。因此，何谓受害人因此受到的损失，一直是摆在实务中的最大问题。虽然比较法上的判例，还有通过对将来非物质损害进行折现的方法确定被告需要赔偿的非物质损害，但被折现的非物质损害本身如何计算，仍然是未解之题。第二种方法是根据信息处理者的获利来确定。但是，这一方法同样面临着证明的难题。在绝大多数情况下，法院都无法确定通过侵害某一信息主体的个人金融信息可以给处理者带来多少获利。比较可行的是第三种方法，即由法院根据实际情况确定，这实际上就是酌定赔偿金额。实务中，也基本通过酌定方法确定侵害个人信息的损害赔偿金额，但主要见于物质损害赔偿。上文讨论的行为人过错程度等因素，是在侵犯个人金融信息非物质损害赔偿时应当重点考虑的，法院需要基于这些重点考虑因素及其他因素确定一个最终的赔偿金额。不过，这个赔偿金额如果没有一定范围，也容易造成赔偿金额的畸重畸轻，影响裁判尺度的统一。最高人民法院《关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》第12条第2款针对物质损害规定了50万元的上限，但对于非物质损害则付之阙如。比较法上，美国加州消费者隐私法案对于损害赔偿金额范围有明确规定，即每位消费者每次侵权事件或P19实际损害赔偿金额不低于100美元但不超过750美元，以金额较高者为准。可以借鉴此前司法解释及美国法上的做法，考虑在一定金额范围内（比如，1000~5000元）确定非物质损害赔偿金额。

（二）赔偿义务的分配

1.起诉时仅有原生损害的赔偿义务分配

起诉时仅有原生非物质损害的，则非物质损害的赔偿只需根据原生侵害事实进行确定。赔偿义务由擅自处理或泄露个人金融信息的行为人承担。多个信息处理者共同擅自处理或泄露个人金融信息的，由该多个信息处理者就非物质损害承担连带赔偿责任。多个信息处理者分别擅自处理或泄露个人金融信息的，由该多个信息处理者根据民法典第一千一百七十一条和第一千一百七十二条，就非物质损害承担连带赔偿责任或按份赔偿责任。

2.起诉时有次生损害的赔偿义务分配

起诉时发生次生非物质损害的，会有赔偿义务在原生侵害主体和次生侵害主体之间的分配，情况较为复杂。

一种情况是，原生侵害主体与次生侵害主体共同故意行为产生了对信息主体的非物质损害。此时，原生的非物质损害和次生的非物质损害合并计算，并应由二者承担连带赔偿责任。比如，某支付机构将自然人的支付信息提供给犯罪团伙实施电信诈骗，导致自然人的存款全部被转走。该自然人自知道其支付信息被提供时起产生的焦虑等非物质损害，与存款被转走后加重的焦虑等非物质损害应合并计算。此时，支付机构和犯罪团伙就自然人的所有非物质损害承担连带赔偿责任。

另一种情况是，原生侵害主体过失导致个人金融信息被泄露，第三人获取该个人金融信息后实施侵权行为。这种情况下，第一阶段即原生侵害阶段所产生的非物质损害，由原生侵害主体承担。次生侵害主体与此无关，不承担该部分非物质损害的赔偿责任。第二阶段即次生侵害阶段所产生的非物质损害，实际上由故意侵权的第三人所造成，应由第三人承担该部分非物质损害的赔偿责任。但是，由于原生侵害主体未能很好履行安全保障义务使得个人金融信息被泄露，为第三人实施积极侵权行为提供了便利。因而，应类推适用民法典第一千一百九十八条第二款的规定，由原生侵害主体就该部分的非物质损害，承担补充赔偿责任。当然，如果信息处理者能够证明其完全尽到安全保障义务，并未导致个人金融信息的泄露，或者证明第三人是从其他渠道获取了个人金融信息实施侵权行为，则应当认定所谓原生的侵害未发生，应由侵权的第三人就次生的非物质损害承担赔偿责任。

3.不典型次生损害之下非物质损害赔偿义务的排除

一般情况下，利用个人金融信息实施侵权行为，大多有专门针对信息主体的非法转移其财产的目的，此时大概率会引发信息主体焦虑、担心等精神痛苦，产生非物质损害。例外情况是，在次生侵害中，确有第三人借助C3类和C2类个人金融信息实施了侵权行为，但从一般社会观念考量，该侵权行为不会对信息主体产生非物质损害的情况。比如，行为人购买了信息主体的相关账户登录名（C2类）和登陆密码、人脸识别信息（C3类），但以此为工具实施的侵权行为是在电商平台进行虚假交易，赚取交易单数，从而获利。这种情况的侵权行为并未直接针对信息主体的财产，按照社会观念衡量，一般也不会引起信息主体的精神损害。此时，对于信息主体的非物质损害赔偿，就只考虑原生的非物质损害赔偿，不应再考虑次生的非物质损害赔偿。

个人金融信息的特殊性，决定了其一旦被侵害，产生物质损害可能性很大。而基于对金融信息与财富的惯性认知，人们往往对其物质损害的维度较为重视，对其非物质损害的维度则有所忽略。笔者的研究意在表明，对个人金融信息权益的侵害，同样会产生非物质损害，甚至在某种程度上，更容易产生非物质损害。而对个人金融信息权益侵害的非物质损害赔偿，需要结合个人金融信息的特殊性以及各种具体情况进行综合考虑，并需要不断积累实践样本。