網絡時代個人信息保護的公益訴訟模式構建

摘? ? ? 要：網絡時代，個人信息的“裸奔”不僅侵犯個人私權，也對社會安全治理構成了威脅。實踐中，個人信息保護實體法律規范的碎片化以及保護模式的體系性欠缺致使其保護機制存在掣肘。針對個人信息網絡侵權頻發的現狀，應基于訴訟主體與權利主體互相分離的邏輯起點，圍繞起訴主體范圍、證明責任分配以及責任承擔方式等多維面向構建個人信息保護的公益訴訟模式，以提高社會治理法治化水平。

關? 鍵? 詞：網絡侵權;個人信息;公益訴訟;專家輔助人

中圖分類號：D923? ? ? ? 文獻標識碼：A? ? ? ? 文章編號：1007-8207（2021）01-0095-08

收稿日期：2020-11-02

作者簡介：唐守東，天津市人民檢察院第一分院檢察官，天津市人民檢察院案例研究中心研究員，法學博士，研究方向為訴訟法學、司法制度。

基金項目：本文系天津市人民檢察院2020年重點研究課題“公益訴訟案件范圍拓展研究”的階段性成果，項目編號：20TJJY0502。

個人信息是以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人的各種信息，包括自然人的姓名、出生日期、身份證件號碼、生物識別信息、住址、電話號碼、電子郵箱、健康信息、行蹤信息等。在我國，對個人信息的法律保護經歷了一個逐漸拓展的過程。2015年，《中華人民共和國刑法修正案（九）》確立了非法獲取、出售或者提供公民個人信息罪和拒不履行信息網絡安全管理義務罪。2017年，《最高人民法院、最高人民檢察院關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》（以下簡稱《個人信息刑事解釋》）依照刑法、刑事訴訟法的規定，對侵犯公民個人信息罪的定罪量刑標準和相關法律適用問題作了全面、系統的規定。[1]關于個人信息保護的相關行政法規散見于《中華人民共和國消費者權益保護法》《中華人民共和國居民身份證法》《中華人民共和國網絡安全法》（以下簡稱《網絡安全法》）等單行法律法規中，其中《網絡安全法》對個人信息保護作了較為全面的規定，極具代表性。自2021年1月1日起施行的《中華人民共和國民法典》（以下簡稱《民法典》）第一千零三十四條明確規定自然人的個人信息受法律保護。可以看出，我國對公民個人信息的保護是卓有成效的，形成了一套覆蓋刑法、民法、行政法等領域的法律制度。然而，上述關于個人信息保護的法律基本上都是在特定適用領域的個別保護，且以實體法為主，缺乏程序法層面的有效指引。網絡時代，電子信息轉移的即時性和不可控性迅速放大了個人信息遭受非法侵害的風險，[2]非法獲取、侵害公民個人信息的案件時有發生，對微觀層面的公民個人信息保護以及宏觀層面的社會和諧穩定荼毒日甚。[3]個人在網絡空間上的零散信息基于物聯網的智能識別和計算能力可以被輕易拼湊成完整的、足以反映具體人格表征的數字身份，一旦處理不當，不僅僅是個體，城市治理、社會穩定、國家安全都將受到威脅。畢竟個人信息具有公共性和社會性，不僅關涉到個人利益，而且關涉到他人和整個社會利益。[4]如何構建個人信息安全的救濟體系，在社會公益層面保護個人信息，已成為亟待解決的社會治理難題。

一、現狀梳理：網絡時代個人信息的司法保護

網絡時代的個人信息具備兩大特征：一是從分散化到集聚化。隨著現代科技的發展，看似分散的信息不再凌亂，看似匿名的信息難以“隱身”，在分散、匿名的背后暗藏著聚合信息。2019年，一款名為“ZAO”的換臉軟件強制要求用戶授予其全球范圍內完全免費、不可撤銷、永久、可轉授權和可再許可的權利，以收集用戶信息為注冊前提，以收集用戶頭像照片為服務基礎，將分散于各地的用戶個人信息存儲起來。[5]最為可憂的是，該軟件只是海量數據信息存儲平臺中的滄海一粟。二是從個體性到社會性。尖端技術超乎想象的數據信息的處理分析能力在給個體帶來極大便捷的同時也為侵害隱私打開了方便之門，此時個人信息的社會性特征更為明顯。[6]個人信息往往是大規模侵權的對象，海量的個人信息受到侵害勢必會帶來巨大的社會風險。故此，對個人信息的法律保護已經從對個體權益的保護上升為對社會公益的保護。

針對個人信息的司法保護是借鑒美國的信息隱私權模式還是借鑒德國的個人信息控制權模式，我國學界并未達成共識，實務界對此亦認識不一。[7]近年來，一些刑事判決書中也出現了“侵害個人信息權”的描述，但對該項權利具體屬性的闡釋卻付之闕如。總體而言，我國目前對于公民個人信息受侵害雖有司法救濟途徑，但在保護范式上存在重疊與混淆，不僅在處理單個主體個人信息被侵害時存在諸多障礙，更無法解決涉及海量主體的個人信息保護問題。其一，《中華人民共和國刑法》及《個人信息刑事解釋》針對侵犯公民個人信息罪的定罪量刑標準和相關法律適用問題作了全面、系統的規定，但“侵犯公民個人信息罪”中的“公民個人信息”在實務中被非常狹窄地限制為公民的“身份認證信息”和“可能影響人身、財產安全的信息”，[8]且刑罰的適用條件與謙抑性較為嚴苛。其二，目前在民事審判領域尚未有個人信息的專屬案由，但這并不代表公民無個人信息民事救濟的需求，實務中多被納入“隱私權”“名譽權”“一般人格權”及網絡侵權責任糾紛中加以保護。在個人信息判定上，《網絡安全法》第七十六條第五項將個人信息定義為“以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別自然人個人身份的各種信息，包括但不限于自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等”，《民法典》第一千零三十四條將能夠識別自然人的各種信息均認定為個人信息。理論界以“可識別性”為主流觀點，強調信息與信息主體之間存在被直接或間接“認出來”的可能性。[9]實務界亦普遍認可“可識別性”這一核心要素，如在北京市門頭溝區人民法院（2017）京0109民初4626號民事判決書中，人民法院認為“自然人個人信息主要指據以識別特定自然人身份的任何生物性、物理性的數據、文件”;在北京市海淀區人民法院（2017）京0108民初30593號民事判決書中，人民法院認為“與特定姓名對應的身份證號碼屬于個人信息范疇，為自然人身份識別的基礎性信息”。然而，隨著科學技術的飛速發展，對于信息的匿名處理已不再是“安全島”，通過數據分析可以輕而易舉地恢復數據的身份屬性，信息“可識別性”的“技術含量”越來越低，一些看似不被識別的多重數據信息通過新型分析技術被有效關聯和聚合，從而模糊了個人信息與非個人信息的邊界。其三，行政管理實務的繁雜性及行政執法的局限性一定程度上限制了對個人信息的行政保護。一方面，網絡行政管理機關負責網絡安全的方方面面，由于資源有限，往往更側重于國家和重大安全網絡事件的監管，對相對次要的個人信息安全監管有所忽視;另一方面，因個人信息的侵權范圍不易確定，行政機關在執法中不易發現或不易判斷公民個人信息是否被侵犯，故在公民個人信息保護上往往克制使用行政處罰權甚至存在監管缺位的情況。[10]其四，實務中雖已有關于個人信息保護的公益訴訟探索，但在起訴類型上多集中在刑事附帶民事公益訴訟，鮮有其他類型的公益訴訟，保護力度較弱，保護方式較為單一。如在上海市寶山區人民法院（2019）滬0113刑初2482號刑事判決書中，針對上海市寶山區人民檢察院提起的一起刑事附帶民事公益訴訟，人民法院認定附帶民事公益訴訟被告單位××公司及其工作人員被告人韓××、楊××等的行為侵害了眾多消費者的合法權益，損害了社會公共利益，依法應當承擔民事侵權責任，判定附帶民事公益訴訟被告單位及被告人承擔賠償損失、關閉網站、注銷號碼、刪除公民個人信息以及賠禮道歉的責任。

目前來看，我國針對個人信息的法律保護尚存在局限性。一是碎片化嚴重，缺乏整體性和協同性。二是覆蓋面不廣，主要集中于銀行、保險、電信等傳統領域，對新興領域個人信息的法律保護不足。三是侵害個人信息行為所應承擔的法律責任較為模糊。四是囿于個人信息保護私益訴訟程序啟動難、啟動后舉證難等原因，個人一般不會選擇私益訴訟。

二、理論探索：公益訴訟對個人信息保護的補強

個人信息帶有明顯的私益屬性，無論英美法系將個人信息納入“隱私權”還是大陸法系將個人信息納入“一般人格權”都體現了私法領域對個人信息的保護。[11]從某種程度上說，公民對個人信息可以“自主控制”，通過傳統的民法保護方式依賴個案解決即可保障其權益。但網絡時代，大量的信息存儲平臺及海量的數據處理使得公民每時每刻都面臨著算法歧視、信息泄露的危機，成為潛在的受害者，個案已然不能解決個人信息受侵這一社會性問題。個人信息當然是公民的私益，但其在某些情形下關涉到公共利益，公益與私益之間的界限不再那么清晰，保護個人信息權益也不再僅僅是滿足個體或組織的個性化需求，而且要滿足國家治理與社會治理的公共目標價值訴求。

黨的十九屆四中全會強調要“拓展公益訴訟案件范圍”。公益訴訟是指在公共利益受到非法侵害或出現減損時為保護公共利益或恢復、補償受到減損的公共利益抑或保護特定的公共秩序，由一定主體根據法律規定向法院起訴，由法院進行審理并作出判決的特別程序制度。[12]既然公益訴訟事關公共利益，那么個人信息亦可通過公益訴訟來保護。在網絡領域采用“公法”對個人信息進行保護，同時注重實體法和程序法的銜接，全方位對侵犯個人信息行為進行打擊是個人信息保護的新視角。[13]

網絡時代，公民個人信息的私人性開始減弱，社會性與公共性逐漸增加，個人信息從“私域”中“溢出”，人際交往更為頻繁，信息傳遞更為快捷，信息交互的公益性日益凸顯。而且，實務中并未要求就個人信息權益提起公益訴訟的原告是實際權益的“私有者”，權利處分實無障礙，但鑒于公益處分權的獨有特性，對訴訟構造還需進行更精細化的探討。2017年12月11日，江蘇省消費者權益保護委員會（以下簡稱江蘇省消保委）就百度涉嫌違規獲取消費者個人信息且未及時回應提起民事公益訴訟，該案是我國首例針對個人信息安全提起的公益訴訟。2018年1月2日，南京市中級人民法院正式立案。2018年1月26日，百度提交了正式升級改造方案，從取消不必要敏感權限、增設權限使用提示框、增設專門模塊供權限選擇、優化隱私政策等方面對軟件進行升級。2018年2月8日，新版APP全部更新上線。江蘇省消保委認為提起消費民事公益訴訟的目的已經達到，本著節約訴訟成本和司法資源的原則依法向南京市中級人民法院提交了《撤訴申請書》。2018年3月12日，南京市中級人民法院裁定，準予江蘇省消保委撤回起訴。[14]雖然此案最終以原告撤訴結案，未能實現我國有關公民個人信息保護公益訴訟的首例判決，但其對個人信息保護公益訴訟模式的構建極具指導意義。

三、進路選擇：個人信息保護公益訴訟模式之構建

（一）訴訟主體與權利主體分離

公益訴訟之訴的利益是保護公共利益或者恢復、補償受到減損的公共利益。[15]公益訴訟與傳統民事訴訟的區別在于原告訴訟主體資格來源于法律技術之擬制，在實體上并非公共利益的私有者，即“訴訟主體與權利主體的分離”，這是構建個人信息保護公益訴訟制度的邏輯原點。就個人信息保護公益訴訟而言，權利主體屬于公民個人已毋庸置疑，但因網絡空間、網絡技術具有隱秘性的特點，普通公民不易發現其個人信息在何時何地以及何種程度上被收集和使用，故將訴訟主體賦予專業的公益訴訟起訴人實為最佳選擇。需要注意的是，一方面，公益訴訟賦予特殊主體對保護公共利益的訴權（即公益處分權），為避免個人信息保護訴訟主體對公共利益的恣意處分，必須通過程序設計將公益處分權予以合理限縮。申言之，如何在規則層面上限縮公益處分權實質上已關涉到個人信息保護公益訴訟制度的核心，具體涉及到撤訴調解制度的設置、公眾介入權的保障、責任承擔機制的完善等;另一方面，個人信息保護訴訟主體缺乏對實體權利的享有，亦非訴訟救濟的直接對象，因而并不享有真正意義上的“勝訴權”①。如何在訴訟主體參訴并取得勝訴判決的情況下由權利主體真正享有“勝訴權”，破解個人信息保護公益訴訟案件的“執行困局”，是構建個人信息保護公益訴訟制度時應重點關注的問題。

（二）明確個人信息保護公益訴訟的啟動主體及具體案由

⒈啟動主體。公益訴訟啟動主體即訴訟原告。《中華人民共和國民事訴訟法（2017修正）》第五十五條第一款規定“對污染環境、侵害眾多消費者合法權益等損害社會公共利益的行為，法律規定的機關和有關組織可以向人民法院提起訴訟”，有學者認為該條文規定過于原則，不利于司法實踐掌握。[16]筆者則認為，公益訴訟的法益在于公共利益，而公共利益的覆蓋范圍幾乎涉及社會所有領域且互有交叉，法律既無法作窮盡式表達亦不應作羅列式歸納。具體到個人信息保護公益訴訟，法律規定②的原告有兩種：一是檢察院作為原告提起檢察民事公益訴訟，二是有關組織如消協、未成年人保護協會、婦女保護協會等提起民事公益訴訟。應以人民檢察院為主，有關組織為輔。一方面，檢察機關作為憲法規定的法律監督機關在刑事、民事以及行政訴訟上都可以行使法律監督職責;另一方面，檢察機關具有相對的獨立性、較強的取證能力及專業化隊伍，相較于其他適格主體具有公共利益司法保護的天然優勢且對于提起公益訴訟具有豐富的經驗。當下，上海、江蘇等地的檢察機關已開始探索運用公益訴訟對APP所涉個人信息進行多維度的司法保護，這也為個人信息保護檢察公益訴訟提供了實踐范本。[17]

⒉確立具體案由。從個人信息的權利屬性考量言，敏感性的個人信息（如性取向等）本身即為隱私，置于隱私權糾紛中解決并無不當;非敏感性的個人信息基于其商業價值而被不當利用時則應被置于名譽權或一般人格權項下予以保護，這在《民法典》第四編第六章“隱私權和個人信息保護”中已有體現。但從公益訴訟的制度價值考量，隱私權、名譽權及一般人格權等仍屬私益訴訟范疇，而不特定多數人的個人信息已遠超私益范疇，成為一種公共利益，故個人信息保護民事公益訴訟的案由無法簡單在隱私權或名譽權糾紛中作出選擇，應使用“網絡侵權責任糾紛”這一新型案由;個人信息保護行政公益訴訟則應以信息安全監管部門不依法履行職責為具體案由。

（三）細化具體規則

⒈設置調撤規則。《檢察機關民事公益訴訟案件辦案指南（試行）》規定，檢察機關提起民事公益訴訟在訴訟請求全部實現后可以撤回起訴。調解和撤訴不只是程序權利，其也代表著一定的實體利益，因此個人信息保護公益訴訟的制度設置應聚焦于調撤程序，體現對公眾介入權的保護。就個人信息保護公益訴訟制度的撤訴程序而言，應以公益維持為原則，嚴格審查撤訴目的。一是原告的撤訴權限制不應僅限于辯論終結后，而應貫穿于整個訴訟過程。二是根據原告訴訟請求的實現程度決定其是否可以撤訴，若原告訴求通過調解（和解）確已實現或者通過被告的行為已經恢復（消除危險）則不應對撤訴予以限制。三是原告撤回部分訴訟請求無礙公益維持原則的，應予以準許。就個人信息保護公益訴訟制度的調解程序而言，民事公益訴訟的本質仍是民事訴訟，而調解是解決民事糾紛的重要方式，通過調解亦能達到保護公益之目的。為防止原告恣意，應健全公眾介入權。一是擴大告知范圍，將個人信息受侵主體和潛在受侵主體均作為告知的對象，而不僅限于相關行政主管部門。二是明確公告的范圍，除調解協議之外，修復方案的選擇①、恢復原狀或消除危險的時間及手段亦應向公眾公開。三是增設公告后的異議程序，如可限制一定數量的公眾以書面形式提出異議并附理由，且規定不符合條件時的法律后果。具體可參照《最高人民法院關于適用〈中華人民共和國民事訴訟法〉的解釋（2020修正）》（以下簡稱《民事訴訟法解釋》）的規定②將該異議人作為無獨第三人納入訴訟，對其異議予以審查并接受當事人的質詢和辯論。

⒉舉證認證的特殊規則。一是因果關系的舉證責任分配。《民事訴訟法解釋》第二百八十四條規定：“環境保護法、消費者權益保護法等法律規定的機關和有關組織對污染環境、侵害眾多消費者合法權益等損害社會公共利益的行為，根據民事訴訟法第五十五條規定提起公益訴訟，符合下列條件的，人民法院應當受理：（一）有明確的被告;（二）有具體的訴訟請求;（三）有社會公共利益受到損害的初步證據;（四）屬于人民法院受理民事訴訟的范圍和受訴人民法院管轄。”筆者認為，對于因果關系的證據，原告方不存在專業優勢也不具備客觀條件，由其承擔舉證責任顯然過于嚴苛，故對于個人信息的損害結果與被告使用個人信息的行為之間是否存在因果關系應由被告方承擔舉證不能的后果。二是對侵權行為的公證。網絡侵權責任糾紛的案件中，對侵權行為的公證成為保留證據的慣用方法。考慮到個人信息保護公益訴訟中涉及到不特定多數人的個人信息被侵權，對侵權行為全部予以公證既不現實也無必要。公益訴訟的法益主要是社會公共利益，之所以將個人信息侵權納入公益訴訟中主要是針對個人信息的社會安全，故原告只需證明被告保有大量個人信息且部分個人信息已經遭到泄露或非法利用即可，對于侵權行為本身無須采用公證方式進行取證。三是對于行政公益訴訟中“不依法履行職責”的舉證，根據《人民檢察院提起公益訴訟試點工作實施辦法》的規定①，檢察機關需要承擔初步的證明責任，證明個人信息安全監管部門存在違法行使職權或不作為行為致使不特定多數人的個人信息受到侵害。

⒊引入專家輔助人制度。個人信息保護公益訴訟往往涉及網絡信息安全的相關知識，數據信息存儲平臺作為個人信息的保有者是否存在安全隱患或操作漏洞致使個人信息泄露是關鍵事實，但個人往往并不具備相關專業知識，法官亦難以作出判斷。因此，在個人信息保護公益訴訟中應引入專家輔助人制度。當前，專家輔助人制度已被我國民事訴訟程序所采用②。在個人信息保護公益訴訟中，專家輔助人程序的啟動應先由當事人申請，再經人民法院準許，二者缺一不可。庭審過程中，專家輔助人有發表意見、協助詢問、參與質證和進行辯論的權利，可以圍繞案件中涉及網絡信息安全專業的問題提出意見。確有必要，人民法院可準許專家輔助人進入相關平臺系統進行了解和查勘，以便準確掌握系統平臺的安全隱患或操作漏洞。

（四）強化個人信息保護公益訴訟配套機制

⒈確立懲罰性賠償規則。目前，在個人信息侵權訴訟中，個人信息被侵犯往往難以確定具體損失，致使“賠償損失”的訴求因缺乏事實依據難以被人民法院支持。即便能夠確定損失，因個人信息的商業價值被挖掘后不斷釋放呈現出疊加式的價值增值，而根據現有的損害賠償計算規則人民法院只計算直接損失，故判決無法達到震懾違法行為人的效果。筆者認為，應構建懲罰性賠償制度，使侵害個人信息權利的違法成本高于收益。

⒉設立專項基金。如何在個人信息保護公益訴訟獲得勝訴判決的情況下保證權利主體真正享有“勝訴權”，關鍵在于執行到位。目前，公益訴訟制度較為發達的國家普遍采取設立專項賠償基金制度來解決受害群眾廣泛、救濟成本高、難以實現公平受償的問題。[18]筆者認為，可將專項賠償基金制度應用于個人信息保護公益訴訟，專項基金的設立及運營交由工信部等相關行政部門負責，使用范圍包括但不限于：在一定范圍內對相對確定的受害人予以賠償，實現公益救濟向私益賠償的轉化;通過行政管理的方式監管督促被執行人使用專項基金修復維護系統漏洞，完善網絡平臺的安全治理。檢察機關可通過發送檢查建議函等方式督促相關行政機關管理并運營專項基金，確保專項基金用于滿足社會公共利益。若相關行政機關存在違規行為且不予改正，檢察機關可提起行政公益訴訟。

【參考文獻】

[1]晉濤.網絡社會中個人信息的保護——構建侵犯公民個人信息罪的規范意蘊[J].重慶郵電大學學報（社會科學版），2018，（3）：45.

[2]李川.個人信息犯罪的規制困境與對策完善——從大數據環境下濫用信息問題切入[J].中國刑事法雜志，2019，（5）：34.

[3]唐守東.個人信息保護：民刑法二元維度及其界分[N].人民法院報，2017-04-26（06）.

[4]高富平.個人信息保護：從個人控制到社會控制[J].法學研究，2018，（3）：84.

[5]換臉軟件ZAO刷屏隱私權肖像權存憂[N].新京報，2019-09-01（A12）.

[6]侯雷.大數據時代互聯網電信平臺個人信息保護機制研究[J].行政與法，2017，（12）：16.

[7]楊立新.個人信息：法益抑或民事權利——對《民法總則》第111條規定的“個人信息”之解讀[J].法學論壇，2018，（1）：39.

[8]于志剛.公民個人信息的權利屬性與刑法保護思路[J].浙江社會科學，2017，（10）：4.

[9]齊愛民.大數據時代個人信息保護法國際比較研究[M].北京：法律出版社，2015：136.

[10]鄧輝.我國個人信息保護行政監管的立法選擇[J].交大法學，2020，（2）：144.

[11]張新寶.從隱私到個人信息：利益再衡量的理論與制度安排[J].中國法學，2015，（3）：42.

[12]趙許明.公益訴訟模式比較與選擇[J].比較法研究，2003，（2）：68.

[13]刁勝先等.個人信息網絡侵權問題研[M].上海：上海三聯書店，2013：45-53.

[14]涉嫌違規獲取消費者個人信息被江蘇省消保委起訴 百度服軟！兩款APP整改了[EB/OL].中國江蘇網，http：//jsnews.jschina.com.cn/shms/201803/t20180315_1460977.shtml.

[15]宋朝武.論公益訴訟的十大基本問題[J].中國政法大學學報，2010，（1）：64.

[16]唐玉富.公益訴訟原告主體范圍之擴張[J].浙江工商大學學報，2015，（2）：67-68.

[17]屠春含，吳禮勤.探索公益訴訟多維度保護App所涉個人信息[N].檢察日報，2019-08-04（03）.

[18]張衛平.民事公益訴訟原則的制度化及實施研究[J].清華法學，2013，（4）：19.

（責任編輯：劉亞峰）