在理论和实务中,侵害个人信息的损害事实如何认定是一个难点问题。特别是对敏感个人信息,如果非要等到这些泄露的敏感个人信息被他人恶意利用,造成现实的物质损害时才可认定为权益侵害,则会显得过于机械。并且,这样的观念也没有考虑到信息主体因其敏感个人信息被泄露而产生的恐惧、焦虑等非物质损害。因此,确认敏感个人信息的泄露本身即构成权益侵害,无疑是法律应对信息科技和大数据社会到来的一种有效选择。另有观点认为,侵害个人信息侵权可以分为财产损失和个人信息权益受到侵害但没有财产损失或者难以证明财产损失两种情况。这一见解较有道理。具体包括:其一,侵害个人信息权益导致财产损失,即利用非法取得个人信息实施电信诈骗等侵害受害人的财产权益,如“申某与上海某某商务有限公司等侵权责任纠纷案”,原告因个人的手机号码和航班信息被他人泄露而被犯罪分子实施电信诈骗,损失了118900元。此外,有关财产损害又包括直接财产损害和间接财产损害,如司法实践中,因个人信息泄露后续被诈骗导致的财产损失属于直接的财产损害;个人信息被非法使用或进行交易买卖,为了维护个人信息权而花费的费用,包括更换账号密码、挂失银行卡等花费的时间与金钱成本属于间接的财产损害。其二,个人信息权益受到侵害但没有财产损失或者难以证明财产损失。例如,被告未经原告同意利用原告的房产信息和身份证件信息为另一个被告办理了居住证,导致原告在为其亲戚办理居住证时无法办理,该案原告虽然要求被告承担10万元的经济损失,但其并未能提出相关的证据加以证明。
在侵害人格权益以及知识产权领域都一定程度上存在损害后果认定难的问题。为此,原《侵权责任法》第20条规定:“侵害他人人身权益造成财产损失的,按照被侵权人因此受到的损失赔偿;被侵权人的损失难以确定,侵权人因此获得利益的,按照其获得的利益赔偿;侵权人因此获得的利益难以确定,被侵权人和侵权人就赔偿数额协商不一致,向人民法院提起诉讼的,由人民法院根据实际情况确定赔偿数额。”《民法典