■錢宇欣

（中共泰興市委黨校，江蘇 泰興 225400）

大數(shù)據(jù)時代的人們?yōu)榱双@取便利，“甘愿”向各類信息收集主體提供私人信息，再加之個人信息遭受非法竊取、泄露和販賣等，使得信息安全岌岌可危。中國青年政治學(xué)院互聯(lián)網(wǎng)法治研究中心發(fā)布的《個人信息安全和隱私報告》稱“當(dāng)前人們對個人信息保護(hù)的社會現(xiàn)狀安全感不高，超七成參與調(diào)研者認(rèn)為個人信息泄露安全問題嚴(yán)重”，個人信息安全事件頻發(fā)，個人信息保護(hù)亟待加強(qiáng)。

訴訟作為司法保障權(quán)利的一道重要屏障，在傳統(tǒng)的法治體系中扮演著重要的角色。根據(jù)“當(dāng)事人適格理論”，往往要求原被告是直接利害人。但個人信息侵權(quán)中呈現(xiàn)出受害人數(shù)多、被侵害法益相似、侵權(quán)者隱蔽等特點，個人信息保護(hù)中所要保護(hù)的個人信息的法益往往是一個群體的利益，僅僅采用傳統(tǒng)的訴訟體系進(jìn)行救濟(jì)很難獲得有效的法律保護(hù)。大數(shù)據(jù)的到來加速了法律糾紛解決機(jī)制的多元化，公益訴訟作為一種保護(hù)社會公益的重要手段，可以有效解決單一訴訟保護(hù)個人信息的乏力與不足。

一、個人信息保護(hù)路徑陷入困境

（一）受害者認(rèn)知能力和地位的不對等

《網(wǎng)絡(luò)安全法》明文規(guī)定網(wǎng)絡(luò)運營者不得泄露、篡改、毀損其收集的個人信息，從法律層面上規(guī)定了網(wǎng)絡(luò)運營者對公民個人的信息負(fù)有安全保障義務(wù)。然而事與愿違，隨著大數(shù)據(jù)時代的進(jìn)一步發(fā)展，人們對智能設(shè)備的依賴使得公眾在與網(wǎng)絡(luò)運營者的合作、服務(wù)關(guān)系中逐漸落入下風(fēng)地位。2018年，支付寶作為收集信息方在公布用戶年度個人賬單的時候，在用戶不知情的情形下，默示用戶同意《芝麻服務(wù)協(xié)議》，允許芝麻信用收集用戶的一系列信息[1]，事后雖然支付寶進(jìn)行了公開道歉，但是也未見實質(zhì)性的賠償或者處罰。知情同意和個人自決權(quán)在網(wǎng)絡(luò)運營者的申請授權(quán)行為面前形同虛設(shè)，如若民眾不給予軟件授權(quán)，公民個體將無法正常使用此類軟件，但事實層面上公民很難離開諸如支付寶、微信的日常應(yīng)用，公眾在潛移默化中被不得以“綁架”，只得無奈按下“同意”的按鈕。

除此之外，由于網(wǎng)絡(luò)空間的虛擬性、高速傳輸?shù)忍匦?，民眾的認(rèn)知程度有限，公眾在授權(quán)軟件收集信息時并不清楚第三方主體收集個人信息需要遵循合法、正當(dāng)、必要的原則；大數(shù)據(jù)時代的網(wǎng)絡(luò)技術(shù)具有隱秘性，公眾也很難察覺信息被泄露、盜取等二次使用的不法行為，更使得個人信息安全深陷危機(jī)之中。與信息侵權(quán)者地位的不對等使得個人信息侵權(quán)與傳統(tǒng)的環(huán)境、消費者公益訴訟中受害者所處地位并無二樣——以往公民面對的是資本雄厚的企業(yè)公司，如今民眾面對著科技實力頂尖的互聯(lián)網(wǎng)運營者，同樣處在下風(fēng)。

（二）受害者人數(shù)較多且更為分散，維權(quán)難、違法成本低

公民個體的日常生活涉及多方面，無論是訂餐、求職、入學(xué)等等都會留下個人信息，當(dāng)個人信息被泄露時，源頭難以追蹤。作為個體的消費者個人信息權(quán)益受到侵犯時，時間精力投入多、訴訟成本高、取證技術(shù)困難等成為了個體維權(quán)的桎梏，個人維權(quán)成本過高，投入產(chǎn)出不成正比，即使最終僥幸獲得了訴訟的勝利，個體與侵權(quán)者現(xiàn)實地位的不對等也導(dǎo)致很難從根本上懲治侵權(quán)者，普通的信息侵權(quán)最后的結(jié)局可能也僅僅是停止侵害，侵犯個人信息的違法成本始終過于低廉。作為受害者的公民個體，面對個人信息侵權(quán)時顯得尤為無助。一方面，個人信息侵害往往較為隱蔽，受害一方?jīng)]有足夠的反饋而得知自己的信息權(quán)益已經(jīng)遭受侵害；另一方面，公眾的維權(quán)意識淡薄，個人信息侵害的一大特點便是“大規(guī)模小微侵害”[2]，加之以中國傳統(tǒng)文化中的“厭訟”思維，民眾維權(quán)意識淡薄，很難有足夠的動力去起訴侵權(quán)者。

2019年安全研究專家特洛伊·亨特（TroyHunt）在博客中稱，在云存儲服務(wù)平臺MEGA上，被黑客公開竊取7.73億個電子郵件地址和近2200萬個密碼。這些文件一共超過1.2萬份，數(shù)據(jù)超過87 GB[3]。大數(shù)據(jù)時代個人信息侵權(quán)案件的涉案受害者人數(shù)之龐大已經(jīng)遠(yuǎn)遠(yuǎn)超過傳統(tǒng)的公益訴訟，多諾拉煙霧事件致?lián)p的民眾相比卻僅有6000余人，不處在一個數(shù)量級。大數(shù)據(jù)時代運用信息技術(shù)收集個人信息帶來了巨大的經(jīng)濟(jì)價值，同時也帶來了數(shù)量更為龐大的受害者，這對維權(quán)模式提出了新的挑戰(zhàn)——個人信息安全保護(hù)違法成本低與維權(quán)成本高雙重困境亟待破解，提起個人信息安全保護(hù)公益訴訟或可成為目前應(yīng)對個人信息侵權(quán)案件的較善之策[4]。

（三）現(xiàn)有法律保護(hù)存在局限

2017年通過的《民法總則》第五章確立了民法對于個人信息的保護(hù)，侵權(quán)責(zé)任法第36條規(guī)定的網(wǎng)絡(luò)侵權(quán)責(zé)任也可以適用于網(wǎng)絡(luò)服務(wù)提供者對公民個體的個人信息保護(hù)。但正如前文所述，公民個體由于自身實力相對弱小、認(rèn)知能力不足，提起一般性民事訴訟成本投入和收獲占比嚴(yán)重不符，耗時耗力，很難有動力以個體名義提起民事訴訟以維護(hù)自身信息權(quán)益，所以民事法律對公民個人信息權(quán)益的保護(hù)十分有限，但是我們可以將目光轉(zhuǎn)移，尋求第三方和公權(quán)力的幫助，從而更好地規(guī)制信息收集者、使用者收集、處理信息的行為。

公權(quán)力規(guī)制個人信息主要依靠刑事法律和行政法律。2009年《刑法修正案（七）》首次將個人信息納入刑事法律保護(hù)范疇，《刑法修正案（十）》中正式規(guī)定了侵犯公民個人信息罪的罪名，取消了身份限制，降低了入罪門檻，對打擊個人信息相關(guān)犯罪起到了重要作用。然而刑法作為最為嚴(yán)厲的法律，有著嚴(yán)格的證明標(biāo)準(zhǔn)和舉證責(zé)任，入罪門檻較高，小而微信息侵權(quán)案件數(shù)目龐雜，社會危害性有限，這使得大量的有關(guān)信息的違法行為不宜當(dāng)作犯罪行為處理，同時執(zhí)法者遵循刑法的必要性原則，會適度克減不必要的犯罪認(rèn)定或抑制不必要的重刑主義傾向，刑法不適宜成為維護(hù)大數(shù)據(jù)時代公民信息權(quán)益的主要手段。

有關(guān)個人信息保護(hù)的行政法律則較為零散地分布于不同條文中，現(xiàn)今較為完善的保護(hù)公民個人信息的法律為2017年實施的《網(wǎng)絡(luò)安全法》，《網(wǎng)絡(luò)安全法》第64條明確了侵害個人信息行為應(yīng)當(dāng)承擔(dān)的法律責(zé)任，是公安機(jī)關(guān)行使網(wǎng)絡(luò)安全監(jiān)管職能、維護(hù)國家網(wǎng)絡(luò)安全、保障公民信息權(quán)益的主要法律依據(jù)，對個人信息安全規(guī)制具有導(dǎo)向作用。然而《網(wǎng)絡(luò)安全法》作為網(wǎng)絡(luò)安全的專門性綜合性立法，公民個人信息安全僅僅是《網(wǎng)絡(luò)安全法》的一部分內(nèi)容，《網(wǎng)絡(luò)安全法》更為側(cè)重國家信息安全，這意味著網(wǎng)安機(jī)關(guān)大量注意力聚焦于國家、社會網(wǎng)絡(luò)安全事件的監(jiān)管，對公民個人信息安全的保障所起作用有限。有學(xué)者基于《網(wǎng)絡(luò)安全法》對我國500家網(wǎng)站進(jìn)行實證分析，結(jié)果發(fā)現(xiàn)我國大部分網(wǎng)站合規(guī)程度較低，不同類別網(wǎng)站的合規(guī)程度也存在差異，并且發(fā)現(xiàn)70%的敏感信息類網(wǎng)站存在中級及以上的數(shù)據(jù)安全漏洞。研究證實大部分受檢網(wǎng)站并沒有按照《網(wǎng)絡(luò)安全法》的要求，將個人信息保護(hù)政策落到實處，為用戶的個人信息安全提供實質(zhì)性保護(hù)[5]，公安機(jī)關(guān)也無力監(jiān)管、發(fā)現(xiàn)并勒令其改正?！吨袊?jīng)濟(jì)周刊》針對40款A(yù)pp違規(guī)收集個人信息被點名批評的現(xiàn)象也發(fā)出呼聲，保護(hù)個人信息和隱私，僅有《網(wǎng)絡(luò)安全法》是不夠的[6]。質(zhì)言之，《網(wǎng)絡(luò)安全法》在保護(hù)個人信息所扮演的角色上目前看來較為有限。擴(kuò)大公益訴訟范圍，積極探索公益訴訟保護(hù)個人信息安全的新模式，形成多維度保護(hù)合力或許將成為大數(shù)據(jù)時代保護(hù)公民個人信息安全的較好出路，值得研究和探討。

二、公益訴訟保護(hù)個人信息可行性分析

訴訟作為傳統(tǒng)意義上司法手段保護(hù)公民權(quán)利的最后一道防線，在以往的法治理念中往往堅守著“當(dāng)事人適格理論”，要求原告方必須是本案的直接利害關(guān)系人。隨著時代變化，社會矛盾多元化，消費糾紛、環(huán)境糾紛等新型群體利益的訴求愈發(fā)明顯，單純強(qiáng)調(diào)“當(dāng)事人適格”有違法律糾紛解決機(jī)制多元化的現(xiàn)代法治趨勢，于是新的訴訟模式即公益訴訟應(yīng)運而生。

（一）個人信息兼有公私屬性

個人信息是公民作為信息主體的產(chǎn)物，在“信息自決權(quán)”理論的影響下，信息主體具有對自身信息的控制、選擇、自我決定的權(quán)利，毫無疑問個人信息具有私法屬性。個人信息同時也衍生出公共權(quán)利的特性。古代為了實現(xiàn)中央集權(quán)鞏固統(tǒng)治，充分詳細(xì)的子民信息必不可少，《史記·蕭相國世家》就記載：“漢王所以具知天下塞，戶口多少，強(qiáng)弱之處，民所疾苦者，以何具得秦圖書也?！爆F(xiàn)今社會個人信息的收集更多地為了國家活動，服務(wù)于社會公共利益，政府依職權(quán)主動收集并處理公民個人信息，行政效率不斷提高，社會生產(chǎn)水平飛速發(fā)展，又比如2020新春新冠肺炎肆虐，各地政府依法依職權(quán)進(jìn)行行政登記，收集人員信息、管控流動人口，要求任何單位和個人要主動如實報告病情、旅居史、密切接觸人員等相關(guān)情況，不得遲報、漏報、瞞報、謊報[7]，從而更好地控制疫情蔓延，維護(hù)社會穩(wěn)定。可見個人信息一旦進(jìn)入公共領(lǐng)域，對個人信息的利用和保護(hù)自然不僅僅是為了私人利益，同時也在于保護(hù)社會公共利益，個人信息的公共屬性逐漸呈現(xiàn)。

公益訴訟要求訴訟標(biāo)的具有公共屬性，符合社會公共利益，個人信息在大數(shù)據(jù)時代下衍生出的公共屬性恰好滿足了這一需求。本文認(rèn)為，明確區(qū)分個人信息的公私屬性并不重要，公益訴訟中公益和私益并沒有明顯的界限，當(dāng)個人信息侵害案件發(fā)生的時候，眾多受害者的個人利益訴求趨于相似或者相同，成為了公共利益的一部分，侵權(quán)者承擔(dān)的不僅僅是對某一單一個體的侵權(quán)責(zé)任，同時背負(fù)著包含若干侵權(quán)責(zé)任組成的社會責(zé)任即符合社會公共利益。

（二）現(xiàn)有法律體系為公益訴訟保護(hù)個人信息留有可能

縱觀我國現(xiàn)行法律中有關(guān)公益訴訟的規(guī)定，我國《民事訴訟法》第55條、《消費者權(quán)益保護(hù)法》第47條，以及《環(huán)境保護(hù)法》第58條均對公益訴訟的提出主體、方式等有所規(guī)定，基本上確立了我國現(xiàn)有的公益訴訟框架：以《民事訴訟法》的規(guī)定為基礎(chǔ)，并且以《消費者權(quán)益保護(hù)法》《環(huán)境保護(hù)法》等專門法的內(nèi)容加以細(xì)化，仔細(xì)研讀這些法條可以歸納出傳統(tǒng)公益訴訟的三個特征——強(qiáng)調(diào)對社會公共利益的保護(hù)，追求公共利益的最大化；受保護(hù)方往往所處地位較弱，需要受害群體聘請第三方專業(yè)人士協(xié)助或者第三方主動提供幫助完成訴訟進(jìn)程；波及面廣，涉案人數(shù)多，案件具有較強(qiáng)的示范和教育作用，可以推進(jìn)社會輿論的發(fā)酵及某些公共政策的推廣。

2012年8月全國人大常委會通過修改后的《民事訴訟法》正式確立了民事公益訴訟制度，細(xì)讀舊版《民事訴訟法》第55條可知，法條中僅明文規(guī)定了污染環(huán)境、侵害消費者權(quán)益等兩種情形，使用“等”字結(jié)尾并無再多列舉，使得公益訴訟的操作范圍較為狹隘，實踐中消費維權(quán)和環(huán)境保護(hù)作為公益訴訟的主要案件類型存在，其他類型案件則寥寥無幾。2017年《民事訴訟法》和《行政訴訟法》新修，創(chuàng)新式地將破壞生態(tài)環(huán)境和資源保護(hù)、食品藥品安全領(lǐng)域侵害眾多消費者合法權(quán)益等情形加入公益訴訟中，同時也確立了人民檢察院的公益訴訟主體地位，檢察機(jī)關(guān)在環(huán)境行政公益訴訟中具有原告資格，自此公益訴訟的范疇和內(nèi)涵進(jìn)一步擴(kuò)大。2018年兩高出臺的《關(guān)于檢察公益訴訟案件適用法律若干問題的解釋》明確公益訴訟的目的在于維護(hù)社會公平正義,維護(hù)國家利益和社會公共利益，同時也啟示司法者，在理解公益訴訟相關(guān)法條時不能過于拘泥，由于法條列舉條目不可能窮盡，對案件范圍列舉后的“等”字應(yīng)當(dāng)視具體情況靈活把握，合理拓展。

（三）已有實踐經(jīng)驗可供借鑒

2017年12月11日，江蘇省消費者權(quán)益保護(hù)委員會就百度公司涉嫌違法獲取消費者個人信息及相關(guān)問題提起消費民事公益訴訟。2018年1月2日，南京市中級人民法院已正式立案。法院審理后認(rèn)為：本案系消費民事公益訴訟，針對的是眾多不特定消費者的合法權(quán)益，亦包括南京市轄區(qū)內(nèi)的不特定消費者。2019年7月，浙江諸暨檢察院在審查某房產(chǎn)中介公司的銷售人員侵犯公民個人信息的案件中發(fā)現(xiàn)，房產(chǎn)公司對此事知情卻并沒有采取措施干涉、阻止。根據(jù)消費者權(quán)益保護(hù)法，經(jīng)營者有保障消費者個人信息安全的義務(wù)。然而在銷售人員被法院判處刑罰后，房產(chǎn)公司卻并未因此受到行政處罰。于是諸暨市檢察院啟動了行政公益訴訟程序，向市場監(jiān)管局發(fā)出了檢察建議[8]。除此之外，還有寧波海曙檢察院因為電話擾民事件主動提起的行政監(jiān)督，此案2018年已被列入最高檢“檢察公益訴訟十大典型案例”。除以上提及的案件以外，其余與個人信息相關(guān)的公益訴訟案件乏善可陳，如何進(jìn)一步完善個人信息保護(hù)下的公益訴訟以促使個人信息權(quán)益能夠更好地維護(hù)值得進(jìn)一步研究。

此類案件的出現(xiàn)，事實上肯定了實踐中個人信息保護(hù)公益訴訟的需求，在我國未曾確立消費者集體訴訟制度的前提下，引入公益訴訟保護(hù)個人信息是創(chuàng)新也是機(jī)遇。

三、構(gòu)建大數(shù)據(jù)時代下的個人信息保護(hù)公益訴訟制度

（一）建立個人信息保護(hù)多元化公益訴訟制度

以往的公益訴訟案件中，消費者協(xié)會作為主體發(fā)揮著重要的作用，前文提到的首例有關(guān)個人信息的案件提出主體便是江蘇省消費者協(xié)會。消費者協(xié)會在目前缺少專項個人信息公益訴訟團(tuán)體下依舊扮演著重要角色。但是由于消費者協(xié)會由政府財政撥款設(shè)立，又可以接受企業(yè)的合法捐贈，其維權(quán)時中立態(tài)度可能會受影響。加之個人信息侵權(quán)案件類型較新，并非是傳統(tǒng)意義上的消費糾紛，消費者協(xié)會的介入保護(hù)公民個人信息權(quán)益有限，并不能涵蓋如“知情同意”“信息自決”等新型權(quán)利內(nèi)容。

可以將信息主體自發(fā)組織的個人信息安全社會團(tuán)體納入公益訴訟的原告范疇，并對此類社會團(tuán)隊成立的資質(zhì)、所要承擔(dān)的權(quán)利責(zé)任加以規(guī)定以防濫訴案件的發(fā)生，形成多元化的個人信息公益訴訟主體，同時也可以設(shè)立專門的數(shù)據(jù)保護(hù)機(jī)構(gòu)。值得肯定的是，設(shè)立消費者協(xié)會的目的是最大程度上維護(hù)消費者權(quán)益，消費者協(xié)會的重要作用不可被否認(rèn)，在目前缺乏有關(guān)個人信息安全的社會團(tuán)體的情形下，消協(xié)依舊是個人信息公益訴訟的生力軍。

（二）民事、行政公益訴訟應(yīng)并行不悖

檢察機(jī)關(guān)立足檢察職能，針對侵害不特定對象工作和生活環(huán)境的行為，積極探索開展公益訴訟工作，切實維護(hù)公共利益提起的公益訴訟或者行政監(jiān)督值得肯定，同時也將存在以消費者協(xié)會等社會團(tuán)體為主提起的民事公益訴訟，二者似乎存在選擇的前后。本文認(rèn)為民事、行政公益訴訟的選擇僅僅是個案選擇問題，實踐中二者應(yīng)結(jié)合進(jìn)行，各有側(cè)重：如公權(quán)力主體侵犯個人信息權(quán)益便可由檢察機(jī)關(guān)提出監(jiān)督建議，加以改正?；ヂ?lián)網(wǎng)企業(yè)等網(wǎng)絡(luò)運營商作為加害者時可以由社會團(tuán)體接管，是為民事訴訟?？傊?，二者的選擇應(yīng)該根據(jù)個案結(jié)合實際進(jìn)行，沒有絕對的分界。

（三）出臺規(guī)定、司法解釋、指導(dǎo)案例拓寬公益訴訟范圍

前文提到法條有關(guān)適用公益訴訟的情形列舉有限，致使實踐中的公益訴訟案件以消費糾紛、環(huán)境保護(hù)為主。本文認(rèn)為可以采取出臺規(guī)定、司法解釋、指導(dǎo)案例等方法直接或間接認(rèn)可公益訴訟可應(yīng)用于個人信息保護(hù)，給已經(jīng)嶄露頭角的個人信息公益訴訟制度打上一劑強(qiáng)心針，也為社會團(tuán)體、檢察機(jī)關(guān)開展公益訴訟活動提供法律依據(jù)。

（四）更改訴訟中部分舉證責(zé)任分配

傳統(tǒng)的“誰主張，誰舉證”的舉證方式在公民個體信息被侵犯的案件中使用顯得不公正。公民個體本身占有資源的有限，無法提供充分的證據(jù)來證明自身的主張。我國并沒有對這種新興現(xiàn)象進(jìn)行舉證倒置的設(shè)置，也加重了這種舉證困境和不公正。網(wǎng)絡(luò)運營商等主體掌握著收集信息的主動權(quán)，當(dāng)信息侵犯案件發(fā)生時，可以由收集者承擔(dān)自身過錯、因果關(guān)系的證明，合理說明其處理信息的依據(jù)和方式用途。公民個體難以對自身的損害進(jìn)行舉證，平衡原被告雙方力量能夠更好地維護(hù)公民個人信息權(quán)益。

維護(hù)個人信息安全已經(jīng)刻不容緩，而公益訴訟作為維護(hù)國家和社會公共利益的重要制度，可以深度挖掘以使得其應(yīng)用于個人信息保護(hù)。借鑒已有的公益訴訟案件類型，擴(kuò)大公益訴訟的適用范圍、完善配套機(jī)制，建立信息領(lǐng)域的懲罰賠償機(jī)制，可以推動構(gòu)建大數(shù)據(jù)時代下的個人信息保護(hù)公益訴訟制度進(jìn)一步建立。