·法学专论·


内容摘要：个人信息司法保护的重心应从个体救济转向公共治理。在没有明确损害的案件中，个人信息权利之诉并非绝对权之诉，其性质类似执法举报，法院应承担专业化监管职能。在造成损害或实质性风险的个人信息侵权之诉中，法院应从个体赔偿救济转向合理威慑与公共治理。个人信息侵权具有大规模微型侵权的特征，以赔偿为主要目标不仅面临损害不确定、因果关系复杂等问题，而且无法实现风险预防与群体保护。个人信息侵权的损害界定、归责原则、因果关系、救济措施应根据合理威慑目标而重构。侵权法也应与其他制度互动，个人信息侵权终审胜诉应自动触发检察公益诉讼。个人信息侵权揭示了领域法中的部门法关系，领域法治理应坚持部门法的制度演化与协同。
关键词：个人信息侵权；损害；威慑；归责原则；因果关系；司法保护
中图分类号：D926.2　　文献标识码：A　　文章编号：1004-9428（2022）05-0103-18
　　个人信息的侵权救济与司法保护存在众多难题。曾几何时，侵权法在隐私权保护中扮演了毫无争议的关键角色。无论是美国普通法体系下的隐私保护，〔1〕 还是大陆法系以人格权为基础的隐私保护，〔2〕 都依赖法院进行侵权法保护。但到了个人信息保护，一系列争议性问题开始出现。
　　其一，如何理解和适用基于个人信息权利的诉讼？在我国《个人信息保护法》的立法过程中，一二审稿并未规定个人可以基于知情权、决定权、查阅复制权、转移权、更正补充权、删除权、解释说明权、死者亲属信息权等权利而提起个人信息诉讼。但终稿第50条第2款增加规定：“个人信息处理者拒绝个人行使权利的请求的，个人可以依法向人民法院提起诉讼”，这打开了个体向法院寻求信息权利救济的大门。如何理解这类权利诉讼的性质与诉讼规则？这类诉讼是否为人格权的侵权诉讼，可以适用人格权禁令，还是一般侵权诉讼，适用一般过错原则，抑或因拒绝个人行使权利而造成了“损害”，从而应当适用《个人信息保护法》第69条规定的过错推定原则？又或者，此类信息权利诉讼是一种具有公益性质的私人诉讼，因此其适用原则应更类似向监管机构提起的举报与申诉？
　　其二，如何理解和适用造成损害的个人信息侵权之诉？我国《个人信息保护法》第69条规定：“处理个人信息侵害个人信息权益造成损害，个人信息处理者不能证明自己没有过错的，应当承担损害赔偿等侵权责任”。在个人信息处理所导致的损害中，这一规定面临若干挑战。首先，如何界定损害？一方面，损害可以做非常宽泛的界定，将违反法定个人信息权利与信息处理者义务的各种行为均视为损害，例如当信息处理者没有设置隐私政策，未提供查阅复制权、转移权、更正补充权、删除权等各项权利均视为损害；另一方面，损害也可以做狭义界定，仅仅认可具体损害，而将各类违规行为、风险与焦虑排除在侵权损害之外。不同界定将导致个人信息侵权救济的范围不同。其次，如何理解与适用归责原则？《个人信息保护法》第69条确立了过错推定原则，但在规制与侵权交错的背景下，如何理解过错仍是一个难题：信息处理者违法违规，是否就意味着存在过错？反之，信息处理者合法合规，是否等同于不存在过错，或者可以作为免责抗辩？再次，由个人信息引发的侵权案件中，常常存在因果关系复杂的特征，法律应当如何确定侵权与损害之间的关系？ 最后，如何确定个人获得的救济与赔偿？在人身财产损失中，个人的损失额度相对容易确定，但大量案件给个人造成的损害都属于微型侵权或个人信息泄漏造成的风险性损害。
　　这些问题环环相扣，密切交融，例如不存在明确损害的个人信息权利之诉与存在明确损害的个人信息侵权之诉的关系，就与“损害”的界定密切相关。如果损害做宽泛界定，则二者就可能合二为一；相反，则二者可能应适用完全不同的制度。同时，上述问题也与不同国家和地区的法律制度密切相关，例如在美国背景下，个人信息侵权的司法救济门槛较高，其立法只赋予了个人有限的诉权，同时法院又进一步限缩了个人的诉权；欧盟则设置了独立监管机构与法院的二元救济途径。我国在实体法层面更接近欧盟模式，但在机构设置上并未仿效欧盟设立独立监管机构，反而与美国的多元救济模式有一定相似性。
　　基于这一主题的重要性与复杂性，本文对侵害个人信息的司法救济进行整体性思考。首先从比较法的视野分析侵害个人信息的司法救济，借此厘清域外和我国个人信息司法救济的整体图景。其后，依次分析不存在明确损害的个人信息权利之诉与存在明确损害的个人信息侵权之诉。本文认为，二者的重心都应从个体补偿救济转向公共治理。其中，个人信息权利具有程序性与工具性特征，个人信息权利之诉应当被视为一种申诉与举报，法院应当在此类诉讼中发挥独立监管机构的角色；而个人信息侵权之诉的制度目标则应从个体损害赔偿救济转向合理威慑。在两种诉讼制度下，法院也都应该和行政机关、检察机关协调互动。综合而言，侵害个人信息的司法救济应当服务于个人信息治理的总体目标，侵权法与司法制度都应根据这一目标而进行制度升级与功能定位。
一、比较法视野下的个人信息司法保护
（一）欧盟
　　在比较法上，欧盟的个人信息司法保护采取了权利救济与侵权赔偿的二元模式。就权利救济而言，《一般数据保护条例》第79条规定了“针对控制者或处理者的有效司法救济权”，该条第（1）款规定：“任何数据主体认为，由于违反本条例而处理其个人数据，导致其被本条例所赋予的权利被侵犯，在这些情形下其都有获取司法救济的权利”。从性质上看，这一条款并非传统侵权救济，而是提供了对个人信息被保护权这一基本权利救济，具有私人触发公共执法的特征。〔3〕
　　这是因为，欧盟将个人数据被保护权视为一种源自《欧盟基本权利宪章》的宪法性权利，〔4〕正如《一般数据保护条例》第1条第2款所言：“本条例保护自然人的基本权利和自由，特别是其个人数据被保护的权利”。在这种个人信息权利定位下，数据主体向法院提起权利请求，本质上是请求法院对个人信息权利进行确认与执法，而非对传统侵权法意义上的“损害”进行赔偿。
　　也正因为如此，《一般数据保护条例》在第79条之前设置了个人向监管机构提起个人信息权利申诉的规定。第77条规定：“在不影响任何其他行政或司法救济的前提下，每个数据主体都有向监管机构进行申诉的权利”。如果个人信息权利之诉为传统侵权损害之诉，则监管机构不应具有此类权力，因为传统侵权损害之诉一般只能为法院救济，监管机构不应对此类侵权进行救济。
　　此外，也正是因为个人信息权利之诉是一种私人执法机制，《一般数据保护条例》引入了“数据主体代表制度”，第80条第2款规定：“不论数据主体是否委托”，符合条件的“任何机构、组织或协会如果认为本条例所规定的数据主体的权利已经因为处理而受到侵犯，都有权在成员国向第77条规定的有权监管机构提起申诉，行使第78条和第79条规定的权利”。如果个人信息权利之诉为传统侵权损害之诉，此类申诉或诉讼将无权提起。
　　个人信息权利之诉还有若干问题需要注意。其一，个人信息权利并非绝对性权利，而是一种工具性权利或程序性权利。正如《一般数据保护条例》“重述”所言：“个人数据保护权不是一项绝对权利；必须结合其在社会中的作用加以考虑，并与其他基本权利相平衡”。这就意味着监管机构或法院在确定个人信息权利边界时，必须考虑与言论自由、信息自由、商业自由等多种价值相平衡。〔5〕 其二，在个人信息权利之诉中，欧盟法院实际上扮演独立监管机构的角色，发挥和欧洲数据保护监管局（European Data Protection Supervisor）类似的功能。在此类诉讼中，法院不仅需要理解技术类专业知识，而且其适用的规则也不同于传统侵权诉讼。
　　就造成损害的侵权赔偿之诉而言，欧盟法院采取了传统的侵权法模式。第82条规定了“获取赔偿的权利与责任”，该条第（1）款规定：“任何因为违反本条例而受到物质或非物质性伤害的人都有权从控制者或数据者那里获得对损害的赔偿”。第（2）款和第（3）款进一步规定：“任何涉及到处理的控制者都应当对因为违反本条例的处理而受到的损害承担责任。对于处理者，当其没有遵守本条例明确规定的对处理者的要求，或者当其违反控制者的合法指示时，其应当对处理所造成的损失负责”“控制者或处理者如果证明自己对引起损失的事件没有任何责任，那么其第2段所规定的责任可以免除”。
　　欧盟的侵权损害之诉也有若干要点值得关注。其一，其对损害赔偿的界定仍然较为狭窄，违法并不等于损害。《一般数据保护条例》的“重述”规定：“损害的概念应根据法院的判例法进行广义解释”，〔6〕 这一规定曾经引起疑惑，是否违反《一般数据保护条例》，即构成对个人的损害？欧盟委员会对此给出了明确否定的回答，要求必须提供额外证明来证明损害的存在。〔7〕 在司法实践中，欧盟各国法院也作出判决，对于没有造成损害的违法行为，原告无法获得赔偿。〔8〕 区别主要在于对于非物质性损害的解释，有的欧洲国家对损害采取了较为宽泛的解释，将个人尊严、自主权丧失、焦虑和痛苦都视为损害，〔9〕 而有的国家则解释较窄，只承认引起精神疾病的损害。〔10〕 其二，在归责原则方面，《一般数据保护条例》留下了解释空间与紧张关系，一方面第82条第（2）款将“违反本条例”作为侵权的前提；但另一方面第82条第（3）款又引入了证明自己“没有任何责任”的抗辩，这就可能导致合规与侵权的紧张：例如当信息处理者进行了完全合规的操作，但却导致了本应可预见的损害，此时信息处理者是否可以以合规作为不存在责任的抗辩？反之，当信息处理者存在违规之处，是否这必然意味着其对侵权损害存在责任？
（二）美国
　　美国对于个人信息的司法救济较为有限。在已进行联邦层面个人信息立法的领域和若干已经进行消费者隐私法立法的州，〔11〕 美国法院对个人信息仅提供侵权法保护，但不提供类似欧盟的纯粹基于个人信息权利的诉讼。在立法上，美国法对于诉讼权利的规定就较为谨慎，从联邦层面的《健康保险可携性和责任法案》（HIPPA）《儿童在线隐私法案》（COPPA）到州层面的《加州消费者隐私法案》（CCPA），美国的个人信息保护法并不允许个人针对信息权利向法院寻求救济，救济的权利主要被赋予了监管机构或州检察长。〔12〕 只有在涉及个人信息泄漏等情形下，个人才可以像法院提起诉讼，寻求司法救济。〔13〕
　　使得司法救济更为困难的是，即使某些个人信息立法赋予了个人向法院寻求救济的权利，法院也不予支持。美国法院从《美国宪法》第3条出发，认为个人不能仅仅依据法定权利而提起诉讼，法院只能受理“案例”（cases）或“争议”（controversies），且必须以损害作为前提。〔14〕 在2013年的Clapper v.Amnesty International案中，美国最高法院认为，针对美国国家安全局的大规模监视，原告仅推测可能存在监视，未能证明存在“实质性风险（substantial risk）”的伤害，因此不具有诉权。〔15〕 在2016年的Spokeo，Inc.v.Robins案中，一家提供个人信用与背景调查的网站Spokeo收集了当事人Robins的信息，但其信息存在错误，误将当事人的资料填为富有、已婚以及具有专业背景的人员，当事人依据美国的《联邦公平信用报告法案》提起更正请求，但遭到了网站的拒绝。当事人于是向法院提起诉讼，认为网站的错误信息损害了其就业机会，使得一般企业不敢雇佣当事人。但在此案中，美国最高法院认为，侵权法的救济要求损害必须是“具体的（concrete）”，“无形的伤害（intangible harm）”只有在满足“真实的损害风险（real risk of harm）”的情形下，才可能得到救济，法院据此将案件发回下级法院重审。〔16〕 其后，在2021年的TransUnion LLC v.Ramirez案中，美国联邦最高法院又再次确认，企业没有向消费者披露其收集的个人信息或个人信息收集存在错误，并不构成对个人的“具体伤害”（concrete harm）。〔17〕
　　当然，美国法院仍然允许对少部分个人信息违规行为进行侵权救济。其一为造成具体伤害或一定预期伤害的信息处理行为。这类侵害行为可能是身体或经济伤害，例如信息处理者将个人信息贩卖给犯罪分子，用以伤害个人或盗取存款，也可能是名誉伤害、歧视伤害等人格性伤害。其二，对于可能造成实质性风险的数据泄露或数据违规披露等行为，美国法院也允许提起侵权之诉。美国在州层面大都制定了数据泄露法，并且允许提起侵权之诉。〔18〕例如《加州消费者隐私法案》规定，企业违反安全程序，而致使消费者的个人信息受到未经授权的“访问和泄漏、盗窃，或披露的”，消费者可以提起民事诉讼。〔19〕上文提到的2021年的Ramirez案，美国最高法院虽然否定了一部分群体基于个人信息知情权与更正权而提起诉讼的资格，但认为未经当事人同意向第三方提供信息构成了具体伤害，因而这部分群体仍然具备诉权。〔20〕
　　美国的个人信息司法救济也有若干点需要注意。其一，美国收紧侵权法司法救济的做法受到了很多隐私法学者的批判。例如在Spokeo案的法庭之友意见中，多位著名的信息隐私法学者指出，国会制定《公平信用法案》明确授予了个人以访问权、更正权等消费者权利，违反这些权利并“不意味着没有伤害”，恰巧相反，这说明“国会认识到记录这种伤害的难度”，因此以一种法定损害和赔偿的方式在成文法里进行规定。〔21〕 其二，虽然美国联邦层面的侵权法救济门槛较高，但美国规制机构在个人信息执法中扮演了重要角色；特别是联邦贸易委员会（FTC），在个人信息保护中发挥了关键性作用。美国的个人信息保护整体上采取市场规制的路径，联邦贸易委员会对“不正当与欺诈性贸易行为”（unfair and deceptive trade practices）进行监管。此类监管的目的在于确保市场秩序的公平竞争，并对个体进行损害救济。〔22〕 其三，联邦贸易委员会虽然在性质上为规制机构，但这类规制机构也具有典型的司法特征，包括联邦贸易委员会在内的很多机构在执法时，实际上采取了基于案例的执法，并且赋予被执法者抗辩、和解、诉讼等诸多权利，而非通过发布规制或命令进行执法。也因此，美国联邦贸易委员会的执法有时也被称为普通法（common law）保护。〔23〕
二、迈向治理的个人信息权利之诉
　　在实体法规定方面，我国《个人信息保护法》采取了与欧盟《一般数据保护条例》近似的立法模式。二者都将个人信息权利的渊源追溯到宪法层面，同时二者都规定了知情同意权、决定权、查阅复制权、转移权、更正补充权、删除权、解释说明权等个人信息权利。只不过我国《个人信息保护法》的表述略有区别，例如我国采用了“决定权”“更正补充权”“转移权”的表述，这与欧盟中的相关信息权利构成细微区别。〔24〕 如果仅从《个人信息保护法》看，则我国的个人信息权利诉讼应该与欧盟类似，也应该是一种公法基本权利在民事领域的直接适用。〔25〕
　　但《民法典》对于个人信息权益的相关规定使问题较为复杂。在制定《个人信息保护法》之前，《民法典》人格权编第1035-1039条就规定，自然人可以向信息处理者查询复制、更正、删除信息。在这一背景下，个人信息权利之诉到底是民事权利之诉，还是公法基本权利之诉？如果是民事权利之诉，是否可以说，个人信息权利是一种人格权，因此适用人格权侵权的一般规定，甚至可以适用人格权禁令制度？〔26〕 又或者，当个人依据《民法典》相关规定提起个人信息权利诉讼时为人格权侵权之诉，而依据《个人信息保护法》时为公法基本权利之诉？〔27〕
　　首先，无论个人依据《民法典》个人信息条款还是《个人信息保护法》提起的诉讼，都应当被视为同一性质的法律行为。如果个人依据这两部法律所进行的同一行为性质不同，将造成司法适用的混乱与法律体系的冲突。其次，我国的个人信息权利之诉应当被定位为公私法高度融合的权利之诉。原因在于，无论是《民法典》个人信息条款还是《个人信息保护法》，实际上都以“处理关系”为核心，都不是传统意义上针对国家的诉讼或针对平等主体的民事诉讼。〔28〕《个人信息保护法》自不必说，其所有规定都围绕“处理关系”展开；需要强调的是，即使是《民法典》个人信息保护条款，在其条款里也明确将“处理关系”作为前提。就此而言，《民法典》中的个人信息保护条款，从性质上应理解为一种融合了公法价值的新民事权利。如此，《民法典》中的个人信息保护条款将和《个人信息保护法》高度协调，为个人信息权利诉讼提供融贯一致的法律基础。〔29〕
　　在救济方式上，个人信息权利之诉也应进行相应设计。无论是依据《民法典》个人信息条款还是依据《个人信息保护法》提起诉讼，都应将其视为类似像独立监管机构提起的申诉，而非传统民事侵权之诉。传统民事侵权之诉要么建立在损害的基础上，要么建立在财产权、人格权等绝对性权利的基础上，但个人信息权利是一种国家赋予的积极性权利，〔30〕 在个人信息权利之诉中，个体在民事上所受的损害，如果剔除隐私权、名誉权等传统人格权，并没有其他明显损害。例如企业不提供隐私政策，不支持个体的访问权、更正权、删除权等权利请求，很难说个体就受到了明确“损害”，或者个体人格权益受到了重大侵害。〔31〕 只有当个人信息泄漏，或者信息处理者利用个人信息实施了其他侵犯个人权益的行为，此时“损害”才较为明显。
　　值得注意的是西方学界对个人信息诉讼中“损害”的讨论。正如上文所述，很多西方学者曾经对“损害”作扩大解释，例如西特鲁恩（Danielle Citron）和索洛夫（Daniel Solove）两位学者在最近发表的《隐私伤害》一文中，二位学者一口气列举侵害个人信息可能造成的十四种伤害：身体伤害、经济伤害、名誉损害、情感伤害、关系伤害、寒蝉效应伤害、歧视伤害、期望挫败伤害、控制伤害、数据质量伤害、知情选择伤害、脆弱性伤害、干扰伤害、自主性伤害。〔32〕 但这类研究主要针对美国背景下个人信息救济不足的问题。这些学者对损害做扩大化论述，其原因是如果对损害做狭窄界定，那么美国司法将在很大程度上缺席个人信息保护。例如克雷默（Seth Kreimer）认为，诉讼资格的限定将导致“在网络化、系统化、基于信息的伤害时代，司法系统将变得越来越无关紧要”。〔33〕 科恩（Julie Cohen）教授则更是从政治经济学的角度，认定法院不愿对个人信息保护中的风险进行救济，是一种经济与社会技术支配的结果，会让法院无力应对社会问题。〔34〕
　　反观我国，由于直接赋予个人信息权利的诉权，并不存在美国背景下的司法救济门槛过高的问题。相反，我国的问题在于如何使法院具备与个人信息诉讼相应的制度功能。上文已经提到，个人信息权利并非绝对性权利，这一权利与信息自由、公众知情权、企业经营自主权等很多基本权利存在冲突。进一步分析，可以发现很多权利的行使还可能面临侵犯隐私、技术不可行等难题。例如查询复制权的行使，在效果上会倒逼企业收集更多个人信息，以满足个体行使访问权的请求；删除权的行使，除非对硬盘进行物理毁灭，在技术上几乎不可能实现永久性删除；携带权的行使，则更受限于技术与场景。〔35〕 在这样的背景下，法院就必须从治理的角度对相关权利进行分析：个人信息权利之诉并不是寻求对个体损害的补偿，也并非对具有绝对权性质的人格权的确认，而是在具体场景中分析不同信息权利是否有利于信息处理关系的治理。〔36〕 法院不仅需要衡量不同信息权利所期望达到的功能与目标，而且需要具备技术与专业化知识对此进行判断。
　　综合而言，我国个人信息权利之诉是合作治理下的一种制度，其个体救济与公益保护密切融合；合作治理的研究常常将此类诉讼中的个体称为“私人总检察长”（private general attorney）。1943年，杰罗姆·弗兰克（Jerome Frank）法官首先使用了这一术语，其后，法院不时利用这一术语来表明私人诉讼的公益性质。例如在伊利诺伊州最高法院在罗森巴赫诉六旗娱乐公司案（Rosenbach v.Six Flags Entertainment Corporation）中，法院指出，立法机关制定《伊利诺伊州生物识别信息隐私法》（BIPA）并赋予个体诉权，其目的不仅是为了对原告进行救济，而且是为了发挥个体“私人总检察长”的功能，威慑与阻止相关违法行为。〔37〕我国《个人信息保护法》在终审稿中纳入了个人信息诉权，这一诉权也应同样被视为具有触发公益执法性质的诉讼。
　　在这一背景下，我国法院也应进行公益监管的制度定位。这种定位首先契合我国《个人信息保护法》的成文法规定，既然第50条纳入了个人信息权利之诉，法院就不得不承担这一责任。法院可以在个人起诉时告知，劝导其向有关机关进行个人信息违法举报，但无法拒绝对此类诉讼进行受理和裁判，实现事后的有限监管。其次也更重要的是，由法院来承担执法监管功能，在我国具有重要制度意义。如上所述，美欧等国家和地区的监管机构具有显著的司法特征，其执法往往具有听证、控辩等准司法程序，这些特征使得其对个人信息的监管可以最大限度地避免恣意与武断。目前，我国由于考虑避免政府扩编而未设立独立的个人信息专业监管机构，而个人信息的行政执法部门往往业务繁多，而且在执法中常常采取“命令—控制”（command-control）模式。此时由法院来承担我国个人信息的监管功能，就可以发挥其制度上的比较优势，为个人信息权利的落地提供基于程序与抗辩的执法机制。当然，在专业能力上，我国法院和法官也应强化学习，不断增强专业性知识。近几十年来，西方法院出现了行政监管化的部分特征，〔38〕 我国法院也在环境、金融等诸多领域进行积极探索，在个人信息保护领域也应对法院与法官作此类要求，以满足司法的监管职责。
三、个人信息侵权之诉的损害赔偿困境
　　基于损害的个人信息侵权与基于个人信息权利的诉讼不同，〔39〕在性质与制度设计上更接近传统侵权法。但出于个人信息侵权诉讼的特征，传统侵权法制度也应进行重构。简单而言，其目标应当从损害赔偿之诉转变为威慑预防的治理之诉。因为以损害赔偿为目标，不仅很难实现，而且没有意义。
（一）可行性困境
　　首先，损害赔偿面临损害不确定性的难题。在个人信息所引起的损害类型中，有的人身财产损害较为明显和确定，例如个人信息泄漏导致用户的账户被盗窃和财产损失。但在更为普遍的侵害个人信息案例中，损害并不明显。有的情形中，侵害带来的是骚扰，例如个人信息泄漏可能导致很多广告推销，给个人邮箱发送邮件，给个人打电话推销广告。有的情形可能带来的是风险，例如个人信息泄漏可能暂时没有引起任何损害，但长期来看却可能存在危险，个人在知晓后，也可能会因为感到威胁而取消很多活动，或采取额外的安保措施。其他有的情形则可能带来纯粹的焦虑，例如企业可能进行完全合法合规的个性化推荐，但个人可能因为相关个性化推荐和自身信息具有高度巧合，因而产生高度焦虑。在上述的各类情形中，从严与从宽界定损害的标准相差很大。〔40〕
　　如果对损害过宽界定，那么结果将是大量案件涌入法院，造成司法系统的崩溃；相反，如果损害界定过窄，则结果可能是大量案件得不到救济。也正是由于这个原因，很多国家都引入了法定赔偿的方案。例如《加州消费者隐私法案》规定，因企业违反合理安全程序而致使个人信息泄漏的，消费者可以提起“100美元到750美元的损害赔偿金或实际损害赔偿金”的民事诉讼。〔41〕 法定赔偿金的引入，就说明了其不再以实际损害作为唯一界定标准。
　　其次，侵害个人信息常常具有复杂的因果关系。个人信息违规所导致的相关损害链条往往非常长，一条信息泄露所导致的诈骗，往往不知道源头是在哪里泄露，期间经过了多少主体的转卖。侵害主体可能非常多，对个人造成伤害的主体不仅包括违规处理或泄露个人信息的处理者，也不仅包括实施具体伤害行为的终端加害者，而且包括各类与侵害行为相关的主体和个人。例如有的数据经纪商可能倒卖个人信息，有的大型平台可能并未完全尽到《个人信息保护法》第57条规定的安全保障义务，〔42〕 在很多情形下，损害还可能由周围的亲戚朋友疏忽造成，例如某人在社交平台分享其图片与信息，但此类信息可能被用于分析他人信息。此外，导致侵害发生的风险常常是累积的。索洛夫教授曾将个人信息侵权的这种特征概括为“聚合效应”（aggregation effeect），无论是个人信息的识别、还是个人信息泄露所导致的各类侵害，常常都由信息的汇聚与相关风险累积而成。〔43〕