公益訴訟保護個人信息路徑研究

■錢宇欣

（中共泰興市委黨校，江蘇 泰興 225400）

大數據時代的人們為了獲取便利，“甘愿”向各類信息收集主體提供私人信息，再加之個人信息遭受非法竊取、泄露和販賣等，使得信息安全岌岌可危。中國青年政治學院互聯網法治研究中心發布的《個人信息安全和隱私報告》稱“當前人們對個人信息保護的社會現狀安全感不高，超七成參與調研者認為個人信息泄露安全問題嚴重”，個人信息安全事件頻發，個人信息保護亟待加強。

訴訟作為司法保障權利的一道重要屏障，在傳統的法治體系中扮演著重要的角色。根據“當事人適格理論”，往往要求原被告是直接利害人。但個人信息侵權中呈現出受害人數多、被侵害法益相似、侵權者隱蔽等特點，個人信息保護中所要保護的個人信息的法益往往是一個群體的利益，僅僅采用傳統的訴訟體系進行救濟很難獲得有效的法律保護。大數據的到來加速了法律糾紛解決機制的多元化，公益訴訟作為一種保護社會公益的重要手段，可以有效解決單一訴訟保護個人信息的乏力與不足。

一、個人信息保護路徑陷入困境

（一）受害者認知能力和地位的不對等

《網絡安全法》明文規定網絡運營者不得泄露、篡改、毀損其收集的個人信息，從法律層面上規定了網絡運營者對公民個人的信息負有安全保障義務。然而事與愿違，隨著大數據時代的進一步發展，人們對智能設備的依賴使得公眾在與網絡運營者的合作、服務關系中逐漸落入下風地位。2018年，支付寶作為收集信息方在公布用戶年度個人賬單的時候，在用戶不知情的情形下，默示用戶同意《芝麻服務協議》，允許芝麻信用收集用戶的一系列信息[1]，事后雖然支付寶進行了公開道歉，但是也未見實質性的賠償或者處罰。知情同意和個人自決權在網絡運營者的申請授權行為面前形同虛設，如若民眾不給予軟件授權，公民個體將無法正常使用此類軟件，但事實層面上公民很難離開諸如支付寶、微信的日常應用，公眾在潛移默化中被不得以“綁架”，只得無奈按下“同意”的按鈕。

除此之外，由于網絡空間的虛擬性、高速傳輸等特性，民眾的認知程度有限，公眾在授權軟件收集信息時并不清楚第三方主體收集個人信息需要遵循合法、正當、必要的原則；大數據時代的網絡技術具有隱秘性，公眾也很難察覺信息被泄露、盜取等二次使用的不法行為，更使得個人信息安全深陷危機之中。與信息侵權者地位的不對等使得個人信息侵權與傳統的環境、消費者公益訴訟中受害者所處地位并無二樣——以往公民面對的是資本雄厚的企業公司，如今民眾面對著科技實力頂尖的互聯網運營者，同樣處在下風。

（二）受害者人數較多且更為分散，維權難、違法成本低

公民個體的日常生活涉及多方面，無論是訂餐、求職、入學等等都會留下個人信息，當個人信息被泄露時，源頭難以追蹤。作為個體的消費者個人信息權益受到侵犯時，時間精力投入多、訴訟成本高、取證技術困難等成為了個體維權的桎梏，個人維權成本過高，投入產出不成正比，即使最終僥幸獲得了訴訟的勝利，個體與侵權者現實地位的不對等也導致很難從根本上懲治侵權者，普通的信息侵權最后的結局可能也僅僅是停止侵害，侵犯個人信息的違法成本始終過于低廉。作為受害者的公民個體，面對個人信息侵權時顯得尤為無助。一方面，個人信息侵害往往較為隱蔽，受害一方沒有足夠的反饋而得知自己的信息權益已經遭受侵害；另一方面，公眾的維權意識淡薄，個人信息侵害的一大特點便是“大規模小微侵害”[2]，加之以中國傳統文化中的“厭訟”思維，民眾維權意識淡薄，很難有足夠的動力去起訴侵權者。

2019年安全研究專家特洛伊·亨特（TroyHunt）在博客中稱，在云存儲服務平臺MEGA上，被黑客公開竊取7.73億個電子郵件地址和近2200萬個密碼。這些文件一共超過1.2萬份，數據超過87 GB[3]。大數據時代個人信息侵權案件的涉案受害者人數之龐大已經遠遠超過傳統的公益訴訟，多諾拉煙霧事件致損的民眾相比卻僅有6000余人，不處在一個數量級。大數據時代運用信息技術收集個人信息帶來了巨大的經濟價值，同時也帶來了數量更為龐大的受害者，這對維權模式提出了新的挑戰——個人信息安全保護違法成本低與維權成本高雙重困境亟待破解，提起個人信息安全保護公益訴訟或可成為目前應對個人信息侵權案件的較善之策[4]。

（三）現有法律保護存在局限

2017年通過的《民法總則》第五章確立了民法對于個人信息的保護，侵權責任法第36條規定的網絡侵權責任也可以適用于網絡服務提供者對公民個體的個人信息保護。但正如前文所述，公民個體由于自身實力相對弱小、認知能力不足，提起一般性民事訴訟成本投入和收獲占比嚴重不符，耗時耗力，很難有動力以個體名義提起民事訴訟以維護自身信息權益，所以民事法律對公民個人信息權益的保護十分有限，但是我們可以將目光轉移，尋求第三方和公權力的幫助，從而更好地規制信息收集者、使用者收集、處理信息的行為。

公權力規制個人信息主要依靠刑事法律和行政法律。2009年《刑法修正案（七）》首次將個人信息納入刑事法律保護范疇，《刑法修正案（十）》中正式規定了侵犯公民個人信息罪的罪名，取消了身份限制，降低了入罪門檻，對打擊個人信息相關犯罪起到了重要作用。然而刑法作為最為嚴厲的法律，有著嚴格的證明標準和舉證責任，入罪門檻較高，小而微信息侵權案件數目龐雜，社會危害性有限，這使得大量的有關信息的違法行為不宜當作犯罪行為處理，同時執法者遵循刑法的必要性原則，會適度克減不必要的犯罪認定或抑制不必要的重刑主義傾向，刑法不適宜成為維護大數據時代公民信息權益的主要手段。

有關個人信息保護的行政法律則較為零散地分布于不同條文中，現今較為完善的保護公民個人信息的法律為2017年實施的《網絡安全法》，《網絡安全法》第64條明確了侵害個人信息行為應當承擔的法律責任，是公安機關行使網絡安全監管職能、維護國家網絡安全、保障公民信息權益的主要法律依據，對個人信息安全規制具有導向作用。然而《網絡安全法》作為網絡安全的專門性綜合性立法，公民個人信息安全僅僅是《網絡安全法》的一部分內容，《網絡安全法》更為側重國家信息安全，這意味著網安機關大量注意力聚焦于國家、社會網絡安全事件的監管，對公民個人信息安全的保障所起作用有限。有學者基于《網絡安全法》對我國500家網站進行實證分析，結果發現我國大部分網站合規程度較低，不同類別網站的合規程度也存在差異，并且發現70%的敏感信息類網站存在中級及以上的數據安全漏洞。研究證實大部分受檢網站并沒有按照《網絡安全法》的要求，將個人信息保護政策落到實處，為用戶的個人信息安全提供實質性保護[5]，公安機關也無力監管、發現并勒令其改正。《中國經濟周刊》針對40款App違規收集個人信息被點名批評的現象也發出呼聲，保護個人信息和隱私，僅有《網絡安全法》是不夠的[6]。質言之，《網絡安全法》在保護個人信息所扮演的角色上目前看來較為有限。擴大公益訴訟范圍，積極探索公益訴訟保護個人信息安全的新模式，形成多維度保護合力或許將成為大數據時代保護公民個人信息安全的較好出路，值得研究和探討。

二、公益訴訟保護個人信息可行性分析

訴訟作為傳統意義上司法手段保護公民權利的最后一道防線，在以往的法治理念中往往堅守著“當事人適格理論”，要求原告方必須是本案的直接利害關系人。隨著時代變化，社會矛盾多元化，消費糾紛、環境糾紛等新型群體利益的訴求愈發明顯，單純強調“當事人適格”有違法律糾紛解決機制多元化的現代法治趨勢，于是新的訴訟模式即公益訴訟應運而生。

（一）個人信息兼有公私屬性

個人信息是公民作為信息主體的產物，在“信息自決權”理論的影響下，信息主體具有對自身信息的控制、選擇、自我決定的權利，毫無疑問個人信息具有私法屬性。個人信息同時也衍生出公共權利的特性。古代為了實現中央集權鞏固統治，充分詳細的子民信息必不可少，《史記·蕭相國世家》就記載：“漢王所以具知天下塞，戶口多少，強弱之處，民所疾苦者，以何具得秦圖書也。”現今社會個人信息的收集更多地為了國家活動，服務于社會公共利益，政府依職權主動收集并處理公民個人信息，行政效率不斷提高，社會生產水平飛速發展，又比如2020新春新冠肺炎肆虐，各地政府依法依職權進行行政登記，收集人員信息、管控流動人口，要求任何單位和個人要主動如實報告病情、旅居史、密切接觸人員等相關情況，不得遲報、漏報、瞞報、謊報[7]，從而更好地控制疫情蔓延，維護社會穩定。可見個人信息一旦進入公共領域，對個人信息的利用和保護自然不僅僅是為了私人利益，同時也在于保護社會公共利益，個人信息的公共屬性逐漸呈現。

公益訴訟要求訴訟標的具有公共屬性，符合社會公共利益，個人信息在大數據時代下衍生出的公共屬性恰好滿足了這一需求。本文認為，明確區分個人信息的公私屬性并不重要，公益訴訟中公益和私益并沒有明顯的界限，當個人信息侵害案件發生的時候，眾多受害者的個人利益訴求趨于相似或者相同，成為了公共利益的一部分，侵權者承擔的不僅僅是對某一單一個體的侵權責任，同時背負著包含若干侵權責任組成的社會責任即符合社會公共利益。

（二）現有法律體系為公益訴訟保護個人信息留有可能

縱觀我國現行法律中有關公益訴訟的規定，我國《民事訴訟法》第55條、《消費者權益保護法》第47條，以及《環境保護法》第58條均對公益訴訟的提出主體、方式等有所規定，基本上確立了我國現有的公益訴訟框架：以《民事訴訟法》的規定為基礎，并且以《消費者權益保護法》《環境保護法》等專門法的內容加以細化，仔細研讀這些法條可以歸納出傳統公益訴訟的三個特征——強調對社會公共利益的保護，追求公共利益的最大化；受保護方往往所處地位較弱，需要受害群體聘請第三方專業人士協助或者第三方主動提供幫助完成訴訟進程；波及面廣，涉案人數多，案件具有較強的示范和教育作用，可以推進社會輿論的發酵及某些公共政策的推廣。

2012年8月全國人大常委會通過修改后的《民事訴訟法》正式確立了民事公益訴訟制度，細讀舊版《民事訴訟法》第55條可知，法條中僅明文規定了污染環境、侵害消費者權益等兩種情形，使用“等”字結尾并無再多列舉，使得公益訴訟的操作范圍較為狹隘，實踐中消費維權和環境保護作為公益訴訟的主要案件類型存在，其他類型案件則寥寥無幾。2017年《民事訴訟法》和《行政訴訟法》新修，創新式地將破壞生態環境和資源保護、食品藥品安全領域侵害眾多消費者合法權益等情形加入公益訴訟中，同時也確立了人民檢察院的公益訴訟主體地位，檢察機關在環境行政公益訴訟中具有原告資格，自此公益訴訟的范疇和內涵進一步擴大。2018年兩高出臺的《關于檢察公益訴訟案件適用法律若干問題的解釋》明確公益訴訟的目的在于維護社會公平正義,維護國家利益和社會公共利益，同時也啟示司法者，在理解公益訴訟相關法條時不能過于拘泥，由于法條列舉條目不可能窮盡，對案件范圍列舉后的“等”字應當視具體情況靈活把握，合理拓展。

（三）已有實踐經驗可供借鑒

2017年12月11日，江蘇省消費者權益保護委員會就百度公司涉嫌違法獲取消費者個人信息及相關問題提起消費民事公益訴訟。2018年1月2日，南京市中級人民法院已正式立案。法院審理后認為：本案系消費民事公益訴訟，針對的是眾多不特定消費者的合法權益，亦包括南京市轄區內的不特定消費者。2019年7月，浙江諸暨檢察院在審查某房產中介公司的銷售人員侵犯公民個人信息的案件中發現，房產公司對此事知情卻并沒有采取措施干涉、阻止。根據消費者權益保護法，經營者有保障消費者個人信息安全的義務。然而在銷售人員被法院判處刑罰后，房產公司卻并未因此受到行政處罰。于是諸暨市檢察院啟動了行政公益訴訟程序，向市場監管局發出了檢察建議[8]。除此之外，還有寧波海曙檢察院因為電話擾民事件主動提起的行政監督，此案2018年已被列入最高檢“檢察公益訴訟十大典型案例”。除以上提及的案件以外，其余與個人信息相關的公益訴訟案件乏善可陳，如何進一步完善個人信息保護下的公益訴訟以促使個人信息權益能夠更好地維護值得進一步研究。

此類案件的出現，事實上肯定了實踐中個人信息保護公益訴訟的需求，在我國未曾確立消費者集體訴訟制度的前提下，引入公益訴訟保護個人信息是創新也是機遇。

三、構建大數據時代下的個人信息保護公益訴訟制度

（一）建立個人信息保護多元化公益訴訟制度

以往的公益訴訟案件中，消費者協會作為主體發揮著重要的作用，前文提到的首例有關個人信息的案件提出主體便是江蘇省消費者協會。消費者協會在目前缺少專項個人信息公益訴訟團體下依舊扮演著重要角色。但是由于消費者協會由政府財政撥款設立，又可以接受企業的合法捐贈，其維權時中立態度可能會受影響。加之個人信息侵權案件類型較新，并非是傳統意義上的消費糾紛，消費者協會的介入保護公民個人信息權益有限，并不能涵蓋如“知情同意”“信息自決”等新型權利內容。

可以將信息主體自發組織的個人信息安全社會團體納入公益訴訟的原告范疇，并對此類社會團隊成立的資質、所要承擔的權利責任加以規定以防濫訴案件的發生，形成多元化的個人信息公益訴訟主體，同時也可以設立專門的數據保護機構。值得肯定的是，設立消費者協會的目的是最大程度上維護消費者權益，消費者協會的重要作用不可被否認，在目前缺乏有關個人信息安全的社會團體的情形下，消協依舊是個人信息公益訴訟的生力軍。

（二）民事、行政公益訴訟應并行不悖

檢察機關立足檢察職能，針對侵害不特定對象工作和生活環境的行為，積極探索開展公益訴訟工作，切實維護公共利益提起的公益訴訟或者行政監督值得肯定，同時也將存在以消費者協會等社會團體為主提起的民事公益訴訟，二者似乎存在選擇的前后。本文認為民事、行政公益訴訟的選擇僅僅是個案選擇問題，實踐中二者應結合進行，各有側重：如公權力主體侵犯個人信息權益便可由檢察機關提出監督建議，加以改正。互聯網企業等網絡運營商作為加害者時可以由社會團體接管，是為民事訴訟。總之，二者的選擇應該根據個案結合實際進行，沒有絕對的分界。

（三）出臺規定、司法解釋、指導案例拓寬公益訴訟范圍

前文提到法條有關適用公益訴訟的情形列舉有限，致使實踐中的公益訴訟案件以消費糾紛、環境保護為主。本文認為可以采取出臺規定、司法解釋、指導案例等方法直接或間接認可公益訴訟可應用于個人信息保護，給已經嶄露頭角的個人信息公益訴訟制度打上一劑強心針，也為社會團體、檢察機關開展公益訴訟活動提供法律依據。

（四）更改訴訟中部分舉證責任分配

傳統的“誰主張，誰舉證”的舉證方式在公民個體信息被侵犯的案件中使用顯得不公正。公民個體本身占有資源的有限，無法提供充分的證據來證明自身的主張。我國并沒有對這種新興現象進行舉證倒置的設置，也加重了這種舉證困境和不公正。網絡運營商等主體掌握著收集信息的主動權，當信息侵犯案件發生時，可以由收集者承擔自身過錯、因果關系的證明，合理說明其處理信息的依據和方式用途。公民個體難以對自身的損害進行舉證，平衡原被告雙方力量能夠更好地維護公民個人信息權益。

維護個人信息安全已經刻不容緩，而公益訴訟作為維護國家和社會公共利益的重要制度，可以深度挖掘以使得其應用于個人信息保護。借鑒已有的公益訴訟案件類型，擴大公益訴訟的適用范圍、完善配套機制，建立信息領域的懲罰賠償機制，可以推動構建大數據時代下的個人信息保護公益訴訟制度進一步建立。