公益诉讼保护个人信息路径研究

■钱宇欣

（中共泰兴市委党校，江苏 泰兴 225400）

大数据时代的人们为了获取便利，“甘愿”向各类信息收集主体提供私人信息，再加之个人信息遭受非法窃取、泄露和贩卖等，使得信息安全岌岌可危。中国青年政治学院互联网法治研究中心发布的《个人信息安全和隐私报告》称“当前人们对个人信息保护的社会现状安全感不高，超七成参与调研者认为个人信息泄露安全问题严重”，个人信息安全事件频发，个人信息保护亟待加强。

诉讼作为司法保障权利的一道重要屏障，在传统的法治体系中扮演着重要的角色。根据“当事人适格理论”，往往要求原被告是直接利害人。但个人信息侵权中呈现出受害人数多、被侵害法益相似、侵权者隐蔽等特点，个人信息保护中所要保护的个人信息的法益往往是一个群体的利益，仅仅采用传统的诉讼体系进行救济很难获得有效的法律保护。大数据的到来加速了法律纠纷解决机制的多元化，公益诉讼作为一种保护社会公益的重要手段，可以有效解决单一诉讼保护个人信息的乏力与不足。

一、个人信息保护路径陷入困境

（一）受害者认知能力和地位的不对等

《网络安全法》明文规定网络运营者不得泄露、篡改、毁损其收集的个人信息，从法律层面上规定了网络运营者对公民个人的信息负有安全保障义务。然而事与愿违，随着大数据时代的进一步发展，人们对智能设备的依赖使得公众在与网络运营者的合作、服务关系中逐渐落入下风地位。2018年，支付宝作为收集信息方在公布用户年度个人账单的时候，在用户不知情的情形下，默示用户同意《芝麻服务协议》，允许芝麻信用收集用户的一系列信息[1]，事后虽然支付宝进行了公开道歉，但是也未见实质性的赔偿或者处罚。知情同意和个人自决权在网络运营者的申请授权行为面前形同虚设，如若民众不给予软件授权，公民个体将无法正常使用此类软件，但事实层面上公民很难离开诸如支付宝、微信的日常应用，公众在潜移默化中被不得以“绑架”，只得无奈按下“同意”的按钮。

除此之外，由于网络空间的虚拟性、高速传输等特性，民众的认知程度有限，公众在授权软件收集信息时并不清楚第三方主体收集个人信息需要遵循合法、正当、必要的原则；大数据时代的网络技术具有隐秘性，公众也很难察觉信息被泄露、盗取等二次使用的不法行为，更使得个人信息安全深陷危机之中。与信息侵权者地位的不对等使得个人信息侵权与传统的环境、消费者公益诉讼中受害者所处地位并无二样——以往公民面对的是资本雄厚的企业公司，如今民众面对着科技实力顶尖的互联网运营者，同样处在下风。

（二）受害者人数较多且更为分散，维权难、违法成本低

公民个体的日常生活涉及多方面，无论是订餐、求职、入学等等都会留下个人信息，当个人信息被泄露时，源头难以追踪。作为个体的消费者个人信息权益受到侵犯时，时间精力投入多、诉讼成本高、取证技术困难等成为了个体维权的桎梏，个人维权成本过高，投入产出不成正比，即使最终侥幸获得了诉讼的胜利，个体与侵权者现实地位的不对等也导致很难从根本上惩治侵权者，普通的信息侵权最后的结局可能也仅仅是停止侵害，侵犯个人信息的违法成本始终过于低廉。作为受害者的公民个体，面对个人信息侵权时显得尤为无助。一方面，个人信息侵害往往较为隐蔽，受害一方没有足够的反馈而得知自己的信息权益已经遭受侵害；另一方面，公众的维权意识淡薄，个人信息侵害的一大特点便是“大规模小微侵害”[2]，加之以中国传统文化中的“厌讼”思维，民众维权意识淡薄，很难有足够的动力去起诉侵权者。

2019年安全研究专家特洛伊·亨特（TroyHunt）在博客中称，在云存储服务平台MEGA上，被黑客公开窃取7.73亿个电子邮件地址和近2200万个密码。这些文件一共超过1.2万份，数据超过87 GB[3]。大数据时代个人信息侵权案件的涉案受害者人数之庞大已经远远超过传统的公益诉讼，多诺拉烟雾事件致损的民众相比却仅有6000余人，不处在一个数量级。大数据时代运用信息技术收集个人信息带来了巨大的经济价值，同时也带来了数量更为庞大的受害者，这对维权模式提出了新的挑战——个人信息安全保护违法成本低与维权成本高双重困境亟待破解，提起个人信息安全保护公益诉讼或可成为目前应对个人信息侵权案件的较善之策[4]。

（三）现有法律保护存在局限

2017年通过的《民法总则》第五章确立了民法对于个人信息的保护，侵权责任法第36条规定的网络侵权责任也可以适用于网络服务提供者对公民个体的个人信息保护。但正如前文所述，公民个体由于自身实力相对弱小、认知能力不足，提起一般性民事诉讼成本投入和收获占比严重不符，耗时耗力，很难有动力以个体名义提起民事诉讼以维护自身信息权益，所以民事法律对公民个人信息权益的保护十分有限，但是我们可以将目光转移，寻求第三方和公权力的帮助，从而更好地规制信息收集者、使用者收集、处理信息的行为。

公权力规制个人信息主要依靠刑事法律和行政法律。2009年《刑法修正案（七）》首次将个人信息纳入刑事法律保护范畴，《刑法修正案（十）》中正式规定了侵犯公民个人信息罪的罪名，取消了身份限制，降低了入罪门槛，对打击个人信息相关犯罪起到了重要作用。然而刑法作为最为严厉的法律，有着严格的证明标准和举证责任，入罪门槛较高，小而微信息侵权案件数目庞杂，社会危害性有限，这使得大量的有关信息的违法行为不宜当作犯罪行为处理，同时执法者遵循刑法的必要性原则，会适度克减不必要的犯罪认定或抑制不必要的重刑主义倾向，刑法不适宜成为维护大数据时代公民信息权益的主要手段。

有关个人信息保护的行政法律则较为零散地分布于不同条文中，现今较为完善的保护公民个人信息的法律为2017年实施的《网络安全法》，《网络安全法》第64条明确了侵害个人信息行为应当承担的法律责任，是公安机关行使网络安全监管职能、维护国家网络安全、保障公民信息权益的主要法律依据，对个人信息安全规制具有导向作用。然而《网络安全法》作为网络安全的专门性综合性立法，公民个人信息安全仅仅是《网络安全法》的一部分内容，《网络安全法》更为侧重国家信息安全，这意味着网安机关大量注意力聚焦于国家、社会网络安全事件的监管，对公民个人信息安全的保障所起作用有限。有学者基于《网络安全法》对我国500家网站进行实证分析，结果发现我国大部分网站合规程度较低，不同类别网站的合规程度也存在差异，并且发现70%的敏感信息类网站存在中级及以上的数据安全漏洞。研究证实大部分受检网站并没有按照《网络安全法》的要求，将个人信息保护政策落到实处，为用户的个人信息安全提供实质性保护[5]，公安机关也无力监管、发现并勒令其改正。《中国经济周刊》针对40款App违规收集个人信息被点名批评的现象也发出呼声，保护个人信息和隐私，仅有《网络安全法》是不够的[6]。质言之，《网络安全法》在保护个人信息所扮演的角色上目前看来较为有限。扩大公益诉讼范围，积极探索公益诉讼保护个人信息安全的新模式，形成多维度保护合力或许将成为大数据时代保护公民个人信息安全的较好出路，值得研究和探讨。

二、公益诉讼保护个人信息可行性分析

诉讼作为传统意义上司法手段保护公民权利的最后一道防线，在以往的法治理念中往往坚守着“当事人适格理论”，要求原告方必须是本案的直接利害关系人。随着时代变化，社会矛盾多元化，消费纠纷、环境纠纷等新型群体利益的诉求愈发明显，单纯强调“当事人适格”有违法律纠纷解决机制多元化的现代法治趋势，于是新的诉讼模式即公益诉讼应运而生。

（一）个人信息兼有公私属性

个人信息是公民作为信息主体的产物，在“信息自决权”理论的影响下，信息主体具有对自身信息的控制、选择、自我决定的权利，毫无疑问个人信息具有私法属性。个人信息同时也衍生出公共权利的特性。古代为了实现中央集权巩固统治，充分详细的子民信息必不可少，《史记·萧相国世家》就记载：“汉王所以具知天下塞，户口多少，强弱之处，民所疾苦者，以何具得秦图书也。”现今社会个人信息的收集更多地为了国家活动，服务于社会公共利益，政府依职权主动收集并处理公民个人信息，行政效率不断提高，社会生产水平飞速发展，又比如2020新春新冠肺炎肆虐，各地政府依法依职权进行行政登记，收集人员信息、管控流动人口，要求任何单位和个人要主动如实报告病情、旅居史、密切接触人员等相关情况，不得迟报、漏报、瞒报、谎报[7]，从而更好地控制疫情蔓延，维护社会稳定。可见个人信息一旦进入公共领域，对个人信息的利用和保护自然不仅仅是为了私人利益，同时也在于保护社会公共利益，个人信息的公共属性逐渐呈现。

公益诉讼要求诉讼标的具有公共属性，符合社会公共利益，个人信息在大数据时代下衍生出的公共属性恰好满足了这一需求。本文认为，明确区分个人信息的公私属性并不重要，公益诉讼中公益和私益并没有明显的界限，当个人信息侵害案件发生的时候，众多受害者的个人利益诉求趋于相似或者相同，成为了公共利益的一部分，侵权者承担的不仅仅是对某一单一个体的侵权责任，同时背负着包含若干侵权责任组成的社会责任即符合社会公共利益。

（二）现有法律体系为公益诉讼保护个人信息留有可能

纵观我国现行法律中有关公益诉讼的规定，我国《民事诉讼法》第55条、《消费者权益保护法》第47条，以及《环境保护法》第58条均对公益诉讼的提出主体、方式等有所规定，基本上确立了我国现有的公益诉讼框架：以《民事诉讼法》的规定为基础，并且以《消费者权益保护法》《环境保护法》等专门法的内容加以细化，仔细研读这些法条可以归纳出传统公益诉讼的三个特征——强调对社会公共利益的保护，追求公共利益的最大化；受保护方往往所处地位较弱，需要受害群体聘请第三方专业人士协助或者第三方主动提供帮助完成诉讼进程；波及面广，涉案人数多，案件具有较强的示范和教育作用，可以推进社会舆论的发酵及某些公共政策的推广。

2012年8月全国人大常委会通过修改后的《民事诉讼法》正式确立了民事公益诉讼制度，细读旧版《民事诉讼法》第55条可知，法条中仅明文规定了污染环境、侵害消费者权益等两种情形，使用“等”字结尾并无再多列举，使得公益诉讼的操作范围较为狭隘，实践中消费维权和环境保护作为公益诉讼的主要案件类型存在，其他类型案件则寥寥无几。2017年《民事诉讼法》和《行政诉讼法》新修，创新式地将破坏生态环境和资源保护、食品药品安全领域侵害众多消费者合法权益等情形加入公益诉讼中，同时也确立了人民检察院的公益诉讼主体地位，检察机关在环境行政公益诉讼中具有原告资格，自此公益诉讼的范畴和内涵进一步扩大。2018年两高出台的《关于检察公益诉讼案件适用法律若干问题的解释》明确公益诉讼的目的在于维护社会公平正义,维护国家利益和社会公共利益，同时也启示司法者，在理解公益诉讼相关法条时不能过于拘泥，由于法条列举条目不可能穷尽，对案件范围列举后的“等”字应当视具体情况灵活把握，合理拓展。

（三）已有实践经验可供借鉴

2017年12月11日，江苏省消费者权益保护委员会就百度公司涉嫌违法获取消费者个人信息及相关问题提起消费民事公益诉讼。2018年1月2日，南京市中级人民法院已正式立案。法院审理后认为：本案系消费民事公益诉讼，针对的是众多不特定消费者的合法权益，亦包括南京市辖区内的不特定消费者。2019年7月，浙江诸暨检察院在审查某房产中介公司的销售人员侵犯公民个人信息的案件中发现，房产公司对此事知情却并没有采取措施干涉、阻止。根据消费者权益保护法，经营者有保障消费者个人信息安全的义务。然而在销售人员被法院判处刑罚后，房产公司却并未因此受到行政处罚。于是诸暨市检察院启动了行政公益诉讼程序，向市场监管局发出了检察建议[8]。除此之外，还有宁波海曙检察院因为电话扰民事件主动提起的行政监督，此案2018年已被列入最高检“检察公益诉讼十大典型案例”。除以上提及的案件以外，其余与个人信息相关的公益诉讼案件乏善可陈，如何进一步完善个人信息保护下的公益诉讼以促使个人信息权益能够更好地维护值得进一步研究。

此类案件的出现，事实上肯定了实践中个人信息保护公益诉讼的需求，在我国未曾确立消费者集体诉讼制度的前提下，引入公益诉讼保护个人信息是创新也是机遇。

三、构建大数据时代下的个人信息保护公益诉讼制度

（一）建立个人信息保护多元化公益诉讼制度

以往的公益诉讼案件中，消费者协会作为主体发挥着重要的作用，前文提到的首例有关个人信息的案件提出主体便是江苏省消费者协会。消费者协会在目前缺少专项个人信息公益诉讼团体下依旧扮演着重要角色。但是由于消费者协会由政府财政拨款设立，又可以接受企业的合法捐赠，其维权时中立态度可能会受影响。加之个人信息侵权案件类型较新，并非是传统意义上的消费纠纷，消费者协会的介入保护公民个人信息权益有限，并不能涵盖如“知情同意”“信息自决”等新型权利内容。

可以将信息主体自发组织的个人信息安全社会团体纳入公益诉讼的原告范畴，并对此类社会团队成立的资质、所要承担的权利责任加以规定以防滥诉案件的发生，形成多元化的个人信息公益诉讼主体，同时也可以设立专门的数据保护机构。值得肯定的是，设立消费者协会的目的是最大程度上维护消费者权益，消费者协会的重要作用不可被否认，在目前缺乏有关个人信息安全的社会团体的情形下，消协依旧是个人信息公益诉讼的生力军。

（二）民事、行政公益诉讼应并行不悖

检察机关立足检察职能，针对侵害不特定对象工作和生活环境的行为，积极探索开展公益诉讼工作，切实维护公共利益提起的公益诉讼或者行政监督值得肯定，同时也将存在以消费者协会等社会团体为主提起的民事公益诉讼，二者似乎存在选择的前后。本文认为民事、行政公益诉讼的选择仅仅是个案选择问题，实践中二者应结合进行，各有侧重：如公权力主体侵犯个人信息权益便可由检察机关提出监督建议，加以改正。互联网企业等网络运营商作为加害者时可以由社会团体接管，是为民事诉讼。总之，二者的选择应该根据个案结合实际进行，没有绝对的分界。

（三）出台规定、司法解释、指导案例拓宽公益诉讼范围

前文提到法条有关适用公益诉讼的情形列举有限，致使实践中的公益诉讼案件以消费纠纷、环境保护为主。本文认为可以采取出台规定、司法解释、指导案例等方法直接或间接认可公益诉讼可应用于个人信息保护，给已经崭露头角的个人信息公益诉讼制度打上一剂强心针，也为社会团体、检察机关开展公益诉讼活动提供法律依据。

（四）更改诉讼中部分举证责任分配

传统的“谁主张，谁举证”的举证方式在公民个体信息被侵犯的案件中使用显得不公正。公民个体本身占有资源的有限，无法提供充分的证据来证明自身的主张。我国并没有对这种新兴现象进行举证倒置的设置，也加重了这种举证困境和不公正。网络运营商等主体掌握着收集信息的主动权，当信息侵犯案件发生时，可以由收集者承担自身过错、因果关系的证明，合理说明其处理信息的依据和方式用途。公民个体难以对自身的损害进行举证，平衡原被告双方力量能够更好地维护公民个人信息权益。

维护个人信息安全已经刻不容缓，而公益诉讼作为维护国家和社会公共利益的重要制度，可以深度挖掘以使得其应用于个人信息保护。借鉴已有的公益诉讼案件类型，扩大公益诉讼的适用范围、完善配套机制，建立信息领域的惩罚赔偿机制，可以推动构建大数据时代下的个人信息保护公益诉讼制度进一步建立。