個人信息保護公益訴訟的邏輯證成與程序建構

王寧

（浙江工商大學 浙江杭州 310018）

在大數據時代，人們樂享于信息自由流通的便捷，同時也困頓于個人信息安全的隱憂。大數據不斷積聚著個人信息的安全風險，過度收集、非法買賣等信息濫用行為觸發大規模公益侵害，對個人信息保護提出了嚴峻挑戰。個人信息保護是公民信息權益得以充分保障的必然要求，應當在個人權利保障和信息經濟效用之間尋求合理平衡。《個人信息保護法》第70條初步搭建了個人信息保護公益訴訟的法律框架，沿襲了《民事訴訟法》（以下簡稱《民訴法》）第58條規定的公益訴訟基本邏輯，但相關程序規制尚付闕如。基于此，本文結合大數據時代個人信息的公益屬性，在厘定個人信息保護公益訴訟的邏輯基礎上，通過對法律規范的省思，探賾個人信息保護公益訴訟的規范建構，以期為我國個人信息保護公益訴訟的優勢發揮和功能實現提供助益。

一、個人信息保護公益訴訟的邏輯證成

（一）大數據時代下個人信息的公益屬性

個人信息是私益與公益價值的集合體。大數據時代下，個人信息逐漸突破其單一的私益屬性，更多地呈現公益屬性。在產生方式上，個人信息可分為個人固有信息和個人衍生信息。[1]個人衍生信息孕育于社會交互關系之中，數據的流通共享使得個人信息流入公有領域，信息的獲取與利用不再受限于信息主體的控制和支配，而逐漸關涉信息交互中不特定多數社會群體的行為抉擇。在功能定位上，個人信息是大數據分析的基礎性資料，具有標識身份、促進交往的工具價值，當海量信息的收集形成大數據的聚合效應，個人信息的公益屬性得以展現。[2]

（二）個人信息保護私益訴訟的實踐困境

其一，主體認知能力不足。盡管《民法典》明確個人信息處理的合法、正當和必要原則，并賦予信息主體以知情同意權和刪除權。但是進入大數據時代以來，個人信息利用場景發生巨大變化，信息權益損害的鏈條愈加隱蔽化，信息主體對個人信息泄露的侵害事實缺乏應有認知，個人信息自決權的邏輯基礎將有削弱之虞。囿于對網絡服務的高度依賴，許多信息主體在“不知情”的情況下被動同意格式條款而缺乏協商之可能性，實質上在網絡運營者與公眾之間產生了認知不對等和信息不對稱的窘況，使得兩造平等博弈的訴訟構造難以保障。

其二，兩造舉證能力失衡。公益屬性的強化使個人信息的保護與利用之間充滿張力，弱化了個人信息自決權，大數據的聚合分析在帶來信息紅利的同時也暗藏著侵權風險。依托新興技術和專業人才，網絡運營者得以迅速處理并輕易刪改海量信息，相較于個人權利主體，網絡運營者具有無法比擬的舉證能力優勢，受損公眾難以與處于信息產業鏈上游的信息處理者相抗衡，信息技術地位的懸殊造成了公民個人的舉證困境，私益訴訟的司法保護模式無力調和兩造舉證能力的失衡狀況，個人信息主體在收集固定證據過程中難免受到巨大梗阻。

其三，私益訴訟動力受限。數據的共享流通使得個人信息侵權行為呈現受害主體廣泛性、單次損失細微性的特征，個人可能因為訴訟成本過高而陷入“提起不能”的困境，導致單個信息主體怠于行使訴權，缺乏提起私益訴訟的直接動力。由此，個人私益保護的維權動力受限，進而導致個人信息私益救濟的“公地悲劇”。[3]即使有權利主體積極維護個體權益并獲得最終的勝訴判決，但獲得的賠償金額卻與實際的受損利益相去甚遠，如此一來，維權成本與勝訴收益之間無法形成正比，進一步消減了個人尋求司法救濟的訴訟動力。

綜上，私益訴訟已然難以有效調和大數據時代下個人信息保護與信息自由流通之間的張力，個人信息保護的現實之需呼喚更強有力的司法救濟機制，以有效補足信息主體在個人信息保護私益訴訟中的弱勢地位。

（三）民事公益訴訟適用范圍的合理拓展

公益訴訟是指在公共利益遭致不合理損害時，法律規定的機關或組織為恢復受損的公共利益向法院提起訴訟的現代型訴訟模式。黨的十九屆四中全會明確提出公益訴訟案件范圍拓展的必要性，妥適延伸公益訴訟的適用領域實乃時代之需。我國《民訴法》第58條對公益訴訟的適用范圍采取了不完全列舉的立法模式，在明文列舉公益訴訟典型領域后以“等”字作開放式規定，并輔之以“損害社會公共利益的行為”作兜底式的概括補充，這實質上為公益訴訟適用范圍的合理外延預留了制度空間。

公益訴訟要求訴訟標的具有公共性，是為社會公共利益而提起的訴訟。大數據時代的個人信息不僅關涉個人利益，而且觸及社會利益，符合公益訴訟標的之法理基礎，公共利益之損害補償是個人信息保護公益訴訟得以適用的邏輯起點，[4]為有效修復個人信息保護領域的受損公益，公益訴訟的重要裝置由此折射出鮮明的制度價值。

（四）個人信息保護公益訴訟的制度優勢

其一，主體認知能力的補強。大數據時代下，公民個人信息保護面臨著“事實不確定性”的風險，[5]侵權行為的隱蔽性、信息收集的間接性和二次利用的聚合性引致公民對個人權益侵害的認知不足。公益訴訟將個人信息保護利益從私有利益擴張至公共利益，嘗試排除不特定多數人所受之擴散性侵害。以公共利益為衡量標準，公益訴訟在相當程度上能夠彌合信息處理者與個人信息主體之間的認知落差，將“事實不確定性”的可能性藉由國家力量和社會力量得以有效降低，使個人信息侵權行為可以及時準確地予以歸責。

其二，兩造舉證能力的平衡。檢察機關作為憲法賦權的法律監督機關，擁有豐裕的法律人員和專業資源，為舉證能力的補強提供法律的后盾支持；而作為適格主體的相關組織可以有效地整合社會資源，強化損害賠償請求權的力度與公益訴訟的社會影響力，對侵犯個人信息責任主體的法律震懾功能也遠遠大于公民個人的單兵作戰，一定程度上緩和訴訟兩造之間舉證能力的失衡張力，在協調雙方利益的基礎上突出對受損公共利益的傾斜保護。

其三，公益訴訟動力的提升。當個人信息受損主體呈現規模化，單個主體的賠償填補對于違法者所獲整體利益而言微乎其微，并不能達致維護公共利益之目的。較之私人維權力量的不足，通過法律配置國家力量和社會力量以訴訟實施權，藉由公益訴訟的保護形式以聚集各方訴訟力量，既有助于維護規模化的信息公益，彌補實體權利義務歸屬主體訴訟動力之不足，也有利于克服私益救濟的窘困之境，最大限度地發揮監督與預防保護之理想功用，切實預防“公地悲劇”的出現。

由此可見，公益訴訟契合大數據時代下個人信息權益的保護要求，將個人信息保護納入公益訴訟的規制范疇，不僅是個人信息充分保護的必然選擇，也是推進公益訴訟發展的應有之義。

二、個人信息保護公益訴訟的法律檢視

（一）訴權主體存在競合

《個人信息保護法》第70條明確人民檢察院、法律規定的消費者組織和由國家網信部門確定的組織為個人信息保護公益訴訟的訴權主體，其中檢察機關居于訴權的第一順位，消費者組織之訴權有賴于法律的明文規定，而其他組織的訴權則仰仗于國家網信部的門檻劃定，這表明檢察機關承擔著啟用個人信息保護公益訴訟制度閥門的主要角色。而《民訴法》第58條第2款則闡釋了檢察機關介入公益訴訟的相對謙抑性，更多地強調檢察機關作為訴訟協助者和起訴兜底者的角色功能。[6]由此可見，《個人信息保護法》規定的公益訴訟的訴權主體順位與《民訴法》之規定大相徑庭。對于兩項規范的碰撞，訴權主體的適格順位如何協調，訴權配置競合問題如何化解，仍需進一步的厘清。

（二）受案范圍有待細化

依據《個人信息保護法》第70條之規定，個人信息非法處理及大規模侵害是為公益訴訟的可訴范圍，但僅此作出概括性規定，如此一來，立法的模糊性極易引致公益訴訟的濫用險境，一味地追求個人信息的保護要求而漠視信息自由流通的價值考量，并不利于公益訴訟實際效能的發揮。在司法實踐中，囿于缺乏明確的指引性規范，在確定個人信息保護公益訴訟的受案范圍時，公益受損的嚴重程度往往凌駕于公益保護的緊迫性，容易引致個人信息保護公益訴訟的泛化適用。對此，根據信息主體的不同利益需求，個人信息集群在何種情形下面臨大規模侵害的較大風險，何種類型的個人信息侵權案件適于公益訴訟的范疇，都有待于立法規范的細化及適當限制，以更好地協調個人信息保護與利用之間的利益沖突。

（三）起訴標準籠統泛化

公益訴訟作為涉及群體性個人信息糾紛的特殊司法救濟途徑，眾多個人信息權益的侵害是公益訴訟程序的適用前提，其中包含著對侵害對象之量的規模要求。當個人信息被大規模違法收集利用，致使多數人的人身財產安全處于危險狀態時，檢察機關及其他法定適格組織才得以行使訴訟實施權，啟動公益訴訟的閥門。但解釋公共利益不能僅靠量的堆砌，公益訴訟的合法提起應當理性考察相應的形式性和合法性要件，信息公益的實際減損與否應當結合個人信息保護的具體語境加以分析。[7]個人信息保護公益訴訟如何與私益訴訟進行妥當界分，個人信息領域內的風險達到何種程度之時方能提起公益訴訟，如何科學判定信息公益的受損狀態，這些起訴標準的法律依據仍有待健全。

（四）舉證責任分配困局

《個人信息保護法》第69條采用舉證責任倒置規則，個人信息處理者負有證明自身無過錯的義務，否則將承擔過錯推定之責任。但該條文本質上是過錯責任的一種表現形式，公益訴訟起訴人仍需就信息侵權行為構成要件承擔舉證責任。但在司法實踐中，檢察機關的調查取證權面臨技術壁壘，信息處理者掌控信息證據的技術優勢，訴權主體極易深陷舉證不能的技術困境，訴訟雙方之間的數據鴻溝將不可避免地導致證據偏在現象，這無疑加劇了起訴人的舉證責任負擔。[8]鑒于此，過錯責任原則難以適應個人信息保護公益訴訟的發展需要，理應更加合理地分配舉證責任，以降低訴訟兩造之間的技術落差，維持民事證據武器平等的攻防構造。

三、個人信息保護公益訴訟的程序建構

（一）厘清適格主體順位

《個人信息保護法》第70條將檢察機關置于訴權主體的引領地位，而《民訴法》第58條則體現檢察機關在公益救濟體系中的兜底位置。為此，實有必要協調兩項規范的張力，厘清幾個適格主體的順位。竊以為，應當遵循新法優于舊法、特別法優于一般法的基本原則，將《個人信息保護法》第70條優先于《民訴法》第58條適用。作為國家法律監督機關，檢察機關擔任公益訴訟起訴人具有天然正當性，個人信息保護公益訴訟應當形成由國家力量引領、以社會力量作為補充的力量組合。在最佳的狀態下，適格組織主體在法定框架內形成對侵權主體的規模性司法制約，而檢察機關發揮能力補強之優勢，托舉組織主體開展訴訟活動。

（二）適當限定受案范圍

作為新型公益訴訟類型，個人信息保護公益訴訟的涵攝范圍應當進一步細化，按照“概括肯定+否定列舉”的立法模式對適用范圍予以類型化劃定并適當加以限定，以隱私敏感程度作為界分基礎，將個人信息二分為隱私信息和一般信息。具言之，將隱私信息明確納入可訴范圍，隱私信息關涉人格尊嚴，凡是信息處理者違反“合法、正當、必要”原則的隱私侵權行為，便有必要及時進行法律干預；而對于一般信息，可以對不可訴范圍予以列舉式規定，在價值權衡后的必要情形下，信息主體須作出一定的讓渡。[9]如此方能給予隱私信息以特別保護，同時將一般信息的利用松綁，以期達致公共利益保護的最佳狀態。

（三）審慎界定起訴標準

公益訴訟的社會性烙印要求其必須與私益訴訟有所區分，對于個人信息保護公益訴訟的起訴標準，應當審慎考察“訴”之形式性要件和實質性要件。是否滿足形式性要件，主要觀察是否符合訴訟實施權之法定要求；是否滿足實質性要件，則要看訴訟請求權基礎指向的構成要件是否為案件事實所滿足。法律賦予檢察機關以公益訴訟起訴人的法定資格，而組織具備設立登記手續的，應當符合訴訟實施權之要求，“訴”的形式性要件即獲滿足。對于實質性要件，應在市場活動的語境下充分考慮個人信息的非法處理行為能否納入公益訴訟的規范體系。

（四）優化舉證責任配置

為減輕訴權主體之舉證壓力，應當對侵權主體施以更為嚴格的舉證責任。其一，檢察機關承擔初步的舉證責任，即提供網絡經營者存在侵權行為的事實線索，證明公益受損狀態具有較大可能性；其二，除了承擔過錯推定之證明義務以外，個人信息處理者還須對其信息處理行為與損害結果之間不存在因果關系承擔舉證責任，并承擔舉證不能的不利后果；其三，為防止個人信息處理者在檢察機關取證前對系統存儲信息的刪除與篡改，應當規定檢察機關可派專員監督調查取證過程。唯有如此，才能克服大數據時代下的信息數據證明難題，為個人信息保護公益訴訟的舉證責任平等配置提供剛性保障。

四、結語

數據技術的飛速發展使個人信息濫用的風險驟升，公益訴訟在個人信息保護領域彰顯出制度合理性與現實必要性，維護個人信息安全有賴于公益訴訟制度的引入和完善。在厘清適格主體順位的基礎之上，應當對受案范圍類型化并加以適當限制，緩解個人信息保護與信息自由流通之間的張力，有序考察訴之形式性要件和實質性要件以審慎界定起訴標準，同時優化舉證責任配置以平衡兩造武器平等的攻防構造，唯此方能構筑行之有效的個人信息保護公益訴訟的程序規范，更好地抵御個人信息安全風險。