一是从发生主体来看，由于通常信息收集、使用、处理都是成规模的，因此被泄露信息者也是众多的不特定主体，具有群体性的特点。一旦某个主体提起诉讼并得到有利结果后，容易诱发群体性纠纷。此外，由于每个主体防范意识、防范能力和主观认识不同，造成实质损害的概率也不同。

　　二是从现实危害来看，虽然没有产生实质的财产性、人格性权益的损害，但往往对被泄露信息者造成一种心理强制或者心理暗示。这种心理上的影响和潜在的危害能否得到司法的救济，得到什么样的救济，是需要进一步明确的。

　　三是从诉讼策略来看，未受到实质损害的被泄露信息者多以侵犯隐私权为由，要求精神损害赔偿，可见权利主体注重个体的利益保护，总体上还没有上升到从社会整体和公共利益保护的高度来看待这个问题。

有观点认为，在个人信息泄露情况严重的情况下，原告只要证明其个人信息被泄露，不需要证明实质损害，并且通过举证责任倒置，加重被告的举证责任，以督促掌握个人信息的机构或组织妥善合法获取个人信息。该观点值得商榷。可从以下三个方面看待个人信息保护问题：

　　一是从个人信息保护的方式来看，目前行政监管仍然是最有效的手段，也是平衡个人权利和产业发展的最佳方式。行政监管机构更具有专业性，掌握更多的监管资源，能够更为及时有效地处置纠纷。

二是从个人信息保护的限度来看，应当统筹个人信息权益保障和信息数据依法合理有效利用，体现适度保障原则。


三是从个人信息保护的效果来看，诉讼程序是最后一道防线，法院应审慎对待此类纠纷。行政监管机关既有权限对违法者的行为进行规制，促进行业健康发展，也有途径为受害者提供必要的保护和救济，而对于法院来说，最优的做法是针对行政监管或救济中的争议问题树立规则、引领导向，而不是对个人信息保护案件无原则敞开口子。


另一方面，就将来多发的未发生实质损害的情况而言，个人精神或心理波动程度难以统一量化，既容易产生裁判风险，也容易对相关产业或从业主体造成严重冲击。实践中，不同文化程度、性格脾气和生活背景的人对个人信息的认知、感受不同，在法律上追求保护的程度和强度也不一样，而不同裁判者对个人信息也有着不同的裁判偏好，因此不同的裁判者对民事主体个人信息被侵犯后所遭受的精神损害大小以及法律能提供的保护程度认识也有差异。