为了切实落实中共中央宣传部等部门《关于推动学术期刊繁荣发展的意见》,创新期刊传播形式和方法手段,有效发挥期刊在学术质量等方面的引领作用,加快融合发展、提升国内国际传播能力,推动学术期刊在数字经济时代的转型升级,《政法论坛》将秉持创新发展与严格把关并重的原则,探索实施网络首发制度,从2022年第1期于中国知网陆续推出网络首发文章,并于政法论坛微信公众号同步推出,敬请关注!
张振宇 太原理工大学文法与外语学院副教授
本文将发表于《政法论坛》2024年第5期
党的二十大报告明确提出,加快发展数字经济,这标志着我国正式进入数字经济时代。在数字经济时代,数据成为新的生产要素,对新型工业化、数字化、信息化的实现具有重要价值。其中,个人信息是数据要素的基础,其不仅涉及权利主体的人格利益,对于保障数字经济的发展和维护数据交易市场的秩序也至关重要。如何平衡个人信息所承载的公私利益,是数字经济高质量发展的前提。实践中,基于个人信息的公共性、交互性、动态性等特征,个人信息侵害案件的数量逐年上升,对公共信息安全造成了威胁,也阻碍了数字经济的发展。加上个人信息保护私益诉讼规模较小,权利主体的信息权益维护难度较大,传统的个人信息保护路径已经无法适应数字经济时代的发展,故民事公益诉讼制度范围向个人信息保护领域扩展,其化解了个人信息保护私益诉讼的结构性难题,保护了社会公众的信息安全利益,具有重要的制度价值。此外,个人信息保护型民事公益诉讼在解决个人信息安全问题的同时,也保障了个人信息的自由流动和合法使用,为数字产业的建设提供了制度支持。
自2012年《民事诉讼法》修改时增加民事公益诉讼条款,我国的民事公益诉讼制度便得以实施。党的二十大报告对公益诉讼制度的完善提出要求,为民事公益诉讼制度的创新发展提供了动力。十多年来,民事公益诉讼制度研究积累了丰富的研究成果。总体来看,研究内容主要集中于民事公益诉讼的法律依据、法律原则、诉讼性质、受案范围、诉讼程序、责任承担方式、检察机关的诉讼地位、民事公益诉讼与其他公益诉讼的关系等方面。一般而言,检察机关可以对侵害国家利益和社会公共利益的行为提起民事公益诉讼,且检察机关处于补充性地位。随着民事公益诉讼的受案范围向个人信息保护领域扩展,传统的民事公益诉讼理论与实践也受到了挑战,个人信息保护型的民事公益诉讼彰显出检察机关诉讼的优先顺位、个人信息保护的公益属性、创新性的责任承担方式等特性。
个人信息保护民事公益诉讼制度作为一项创新性的制度成果,自实施以来,便在理论界和实务界引发了诸多争议,争议主要集中在个人信息保护民事公益诉讼的案件范围、诉讼主体、责任方式、衔接机制等方面。目前,个人信息保护民事公益诉讼相关规定具有原则性和程序性的特点,实体性内容规定较少,导致司法实践中相关案件的办理标准不一,法律适用情况不同,制度实施缺乏统一的规范指导。鉴于此,本文从立法、实践和技术三个方面探索民事公益诉讼在个人信息保护中的运行机理,试图论证该项制度的独立价值,结合相关理论和实践,从诉讼主体、救济客体、诉讼保障、衔接关系四个层面分析个人信息保护民事公益诉讼制度所面临的挑战,并探讨民事公益诉讼在个人信息保护中的实现路径,以期构建新型民事公益诉讼制度。
一般而言,个人信息保护民事公益诉讼制度涉及三个基本问题:一是民事公益诉讼制度适用范围扩展到个人信息保护领域的法律依据是否充足?二是侵害个人信息权益的主体应当承担哪些责任以及如何承担责任?三是针对个人信息保护领域的侵权事件提起民事公益诉讼的主体是否有客观的条件支持?这些都值得进一步审视与探讨。虽民事公益诉讼在个人信息保护中的实施时间较短,但其运行遵循一定的作用机理,主要体现在法律法规的明确规定、司法实践的不断探索和大数据技术的飞速发展。
(一)法律机理
首先,《个人信息保护法》第70条是个人信息保护民事公益诉讼制度的直接体现。该条款从立法上解决了对个人信息侵权行为采取民事公益诉讼方式的合法性问题,即规范性基础问题。根据该条规定,个人信息保护领域的侵权行为适用民事公益诉讼机制的条件有四个:一是侵权行为属于违法行为,二是侵权人为个人信息处理者,三是侵权行为损害众多个人的信息权益,四是产生众多个人权益受到侵害的损害后果。从个人信息保护法的内容来看,个人信息侵权行为认定采取列举加兜底的立法模式,即只要行为人的行为属于该法列举的违法行为,就满足制度适用的行为要件,包括“算法推荐”“大数据杀熟”“地下数据交易”等类型,或者行为虽不属于列举的类型但违反了该法“告知—知情—同意”的个人信息处理规则。而对于侵权人的主体限定,意指能够自主决定个人信息处理目的、处理方式的组织或者个人。基于民事公益诉讼制度自身特性,被侵害的权益也应具有公共属性,在该法中使用“众多”一词进行了量化规定,以众多个人的信息权益遭到侵害作为损害要件,对违法的个人信息处理行为进行规制。
其次,《民事诉讼法》第58条是我国民事公益诉讼制度确立和适用的法律依据。该条款赋予了检察机关和其他法定机关及组织在环境保护、食药品安全、消费者权益保护等领域提起民事公益诉讼的权利。从民事诉讼法理论看,民事公益诉讼属于集体诉讼的一种,与普通的个体民事诉讼相对,兼具法律监督和纠纷解决的双重功能。随着数字经济的发展,民事公益诉讼制度的适用范围逐渐扩展到未成年人保护、个人信息保护等新兴领域,个人信息保护民事公益诉讼制度就是新型公益诉讼规范的例证。依据两部法律的施行时间、调整范畴、性质定位,结合特别法优于一般法、新法优于旧法的原则,个人信息保护民事公益诉讼制度应当优先适用《个人信息保护法》第70条的规定,对于该法没有规定的内容,可以适用民事诉讼法及相关配套规定进行处理。
最后,民法典和消费者权益保护法为消费者个人信息的保护提供了法律依据。数字经济时代,经营者的数据交易行为往往涉及到消费者的个人信息,尤其是互联网平台掌握着大量消费者的个人信息,包括基本身份信息、资金信息等,这些信息一旦泄露,将对公共信息安全秩序造成损害。同时由于个人信息保护法采用知情同意机制来进行个人信息的处理,经营者一般会提前制定好信息处理规则,消费者在使用互联网平台时只需选择同意《数据使用协议》的格式条款即可。因此,法律对互联网平台等经营者使用《数据使用协议》的内容进行了合理干预,具体表现在数据使用格式条款的法律规制上。我国消费者权益保护法第26条和《民法典》第496至498条对数据使用协议中大量收集消费者个人信息的格式条款进行了规制,相关条款在形式和内容上违反“合法、正当、必要”原则的,则可能符合个人信息保护民事公益诉讼的适用条件,依照该制度的具体规定予以办理。
(二)实践机理
一方面,最高人民法院、最高人民检察院(以下简称“两高”)的司法解释、指导意见和典型案例对个人信息保护民事公益诉讼的案件办理提供了指引。第一,“两高”《关于检察公益诉讼案件适用法律若干问题的解释》规定了在民事公益诉讼中检察机关的身份地位、案件管辖、公益诉讼适用范围等。依据该司法解释,生态环境保护、消费者权益维护等属于社会公共利益的范畴,在这些领域侵害相关主体的利益即损害社会公共利益,检察机关享有相应的起诉权。该司法解释是在个人信息保护法施行之前颁布的,案件适用范围中并未指明是否包括个人信息保护领域的侵权行为,但按照该司法解释列举加兜底的立法模式,检察机关可以对损害社会公共利益的行为提起民事公益诉讼,故个人信息保护领域的民事公益诉讼规则也适用该司法解释。第二,2020年最高人民检察院颁布了《关于积极稳妥拓展公益诉讼案件范围的指导意见》,将个人信息保护归入网络侵权案件的范畴。在个人信息保护法施行以后,最高人民检察院发布《关于贯彻执行〈中华人民共和国个人信息保护法〉推进个人信息保护公益诉讼检察工作的通知》规范了相关公益诉讼案件的办理,该“通知”主要集中在对特定类型个人信息的界定和保护方面。根据该“通知”,检察机关应当特殊保护列举的五类个人信息,这也厘清了民事公益诉讼在个人信息保护中的适用范围。第三,2021年和2023年最高人民检察院发布19件检察公益诉讼在个人信息保护中的适用案例,从行政、民事和刑事附带民事三个方面明确了相关制度内容,涵盖个人信息公开、信息收集等违法行为类型。在网络空间法治建设的大背景下,依托检察民事公益诉讼,针对互联网平台的信息收集和获取行为进行专门规制,有助于形成完善的公益诉讼制度体系。
另一方面,地方机关办理个人信息保护领域的民事公益诉讼案件时所积累的诸多经验和提出的责任创新方式能够为此项制度的完善提供实践来源。自个人信息保护法施行后,相关案件数量便不断增加,检察机关也被赋予“调查核实权”,在调查个人信息侵权行为过程中履行法律监督职责。值得注意的是,检察机关在公益诉讼介入个人信息保护领域时具有优势,即法律监督职能的行使、专业能力和资源的掌握、独立性和公正性的处理以及与其他相关部门的协同合作。随着实践中该项制度运行逐渐完善,各地检察机关也总结了一些案件办理的经验,如《天津公益诉讼检察工作白皮书(2017年7月至2024年6月)》的发布,就为公益诉讼检察现代化的理论和实践提供了参考。总之,司法实践中,检察机关基于个人信息保护提起民事公益诉讼所遵循的相关规范,以及未制定规则指引时办理此类案件积累的制度经验,均为民事公益诉讼在个人信息保护中的运行提供了实践基础。
(三)技术机理
除法律机理和实践机理外,依托大数据智能应用的技术机理也为民事公益诉讼在个人信息保护中的运行提供了依据。由于互联网技术的发展,个人信息多以电子化形式呈现,侵害个人信息权益也多以技术手段进行,故个人信息保护民事公益诉讼制度的运行离不开数字技术的应用。虽然检察机关对个人信息权益受到侵害的行为享有“调查核实权”,但检察机关调查核实权的保障,即他人不履行配合检察机关义务的有关罚则或责任条款却并未制定,导致司法实践中检察机关调查取证难的问题一直存在。随着数字化技术的发展,检察机关传统的调查取证方式已经无法满足当下个人信息电子化发展的需求。
以个人信息侵权行为发生时间为临界点,在侵权行为发生前,数据监测与预警技术能够实时监测个人信息收集、获取与使用、流通的全过程,及时发现可能存在的违规行为或违法风险,通过数据分析,有效预防大规模个人信息泄露事件的发生。同时,互联网企业和相关机构在网络环境中的行为也受该技术监督,企业违反个人信息保护法律法规的行为,也会得到相应处罚;在侵权行为发生时,数据溯源与追踪技术为案件的成功办理提供了支持。当发生大规模个人信息泄露事件时,该技术能够精准定位侵权时间、侵权地点、侵权环节等,确定是企业内部员工操作不当、发生系统漏洞,还是由其他人员的外部攻击所导致的,相关责任的承担就能够采取针对性的措施进行处理;在侵权行为发生后,相关人员通过数据分析与处理进行证据的收集与固定,如提取电脑内数据和服务器内的操作数据、调取相关主体的聊天记录、分析个人信息泄露路径等,这些都是个人信息保护领域检察公益诉讼案件办理的关键证据。
另一方面,大数据智能化应用与检察工作深度融合是数字检察战略实施与国家数字治理体系和治理能力现代化的应有之义。除依靠检察机关自身的数据处理技术进行证据收集外,更多的应当以大数据智能化应用为基础,多渠道收集和获取有关外部数据,切实发挥好数字平台赋能公益诉讼办案的重要作用。当前,广义的大数据智能化应用主要体现在三个方面:一是AI、云计算、区块链等高新技术在检察机关办案过程中的应用,如运用卫星遥感技术进行识别与追溯,能够为证据获取提供导向指引;二是检察业务应用系统在办案质效可视化方面的作用发挥,通过对公益诉讼案件立案、起诉、审判阶段的数量和各领域、地域案件的分布情况进行实时展示,提高办案数据的透明性和真实性,为检察机关的后续工作提供数据支撑;三是检察云平台的搭建在扩展证据收集渠道的应用,通过多样化采集互联网数据、对接行政机关数据、收集群众提供数据等,呈现完整的案件线索,从而提升检察机关的办案效率。此外,依托隐私计算技术驱动的个人信息保护制度与公益诉讼制度目标一致。从隐私计算技术的基本内涵和法律属性来看,其能够在保护数据本身不对外泄露的前提下实现数据的分析计算,达到数据价值的流动,本质上是实现个人信息隐私保护的安全保障技术体系。
综上,可以得出个人信息保护民事公益诉讼制度运行的技术机理:一是通过对服务器镜像文件和电脑数据进行深度分析,以确立是否侵权的证据以及涉案个人信息条数;二是运用大数据智能化手段获取更多的有效数据;三是充分运用隐私计算技术确保数据分析过程的安全性。
数字经济时代,个人信息侵权事件时有发生,个人信息保护民事公益诉讼制度成为新的规制路径。尽管《个人信息保护法》第70条就个人信息保护领域的民事公益诉讼制度作了基本规定,该项制度也有一定的立法、实践和技术基础,但无论是从法律规定的内容,还是从司法实践的情况来看,由于一些根本性问题未能厘清,该项制度运行仍面临诸多挑战。
(一)诉讼主体不明确
个人信息保护民事公益诉讼的主体主要包括起诉主体和应诉主体。根据《个人信息保护法》第70条的规定,起诉主体包括检察机关、法律规定的消费者组织和由国家网信部门确定的组织,应诉主体则限定在个人信息处理者。而诉讼主体的范围不明确,是在个人信息保护领域实现民事公益诉讼的一大挑战。
第一,关于检察机关的起诉顺位争议最多,主要存在三种观点:一种根据个人信息保护法第70条的规定,按照文义解释的方法,将检察机关作为提起个人信息保护民事公益诉讼的第一顺位,认为检察机关在诉权主体中享有优先起诉的权利;一种根据《民事诉讼法》第58条提出,检察机关在个人信息保护民事公益诉讼的起诉主体中应处于第二顺位,“法律规定的机关和有关组织”处于第一顺位,即检察机关起着兜底补充性的作用;还有一种观点认为,检察机关不受既有起诉顺位的限制,与其他两类起诉主体为并列关系,在起诉顺位上没有先后限制。有学者提出,从时间上,检察机关提起公益诉讼经历了原告身份、督促起诉和公益诉讼起诉人的探索历程。究其原因,之所以会产生上述争议,是因为个人信息保护法将检察机关在民事公益诉讼中原有的补充性地位提升到可以直接起诉甚至优先起诉的位置,这对既有的民事公益诉讼理论是一种极大的挑战。
第二,消费者组织范围的确定存在理论争议。在个人信息保护法起草过程中,“消费者组织”在一审稿和二审稿中并未提及,而是在三审稿中才将其加入起诉主体的行列。这种增设“消费者组织”为起诉主体的设计并非是起到“补位”作用,更多地体现出对消费者的倾斜性保护。消费者的个人信息权在个人信息保护法律体系中居于重要地位,对消费者信息权益的综合实现有着重要意义。从《个人信息保护法》第70条对消费者组织的限定来看,该条属于指引性规范,通过“转介条款”的设定将消费者组织的范围限定在“法律规定范围内”,由此就产生了如何确定适格消费者组织的问题。当前与之相关的法律规定是《消费者权益保护法》第47条,该条将消费者权益保护方面的民事公益诉讼起诉主体限定在省级以上消费者协会,这在理论界产生了不同理解,支持者认为此种限定符合我国消费者组织的实际情况,有助于提高公益诉讼的可操作性;反对者认为此种限定排除了其他消费者组织和省级以下的消费者协会,不利于发挥社会团体的优势。
第三,国家网信部门确定的组织在理论和实践中都缺乏规则指引。在理论层面,国家网信部门确定起诉主体的法律依据不明确。根据《个人信息保护法》第62条的规定,国家网信部门履行个人信息保护的统筹协调职责,其是否享有确定个人信息保护民事公益诉讼起诉主体中社会组织的权力,以及该权力是否有法律依据,都是正当性来源需要解决的问题。对此,存在两种对立态度:一种认为此种规定虽指向不明,但体现了立法者的适度开放性;另一种观点认为,起诉主体的设定属于诉讼制度相关事项,根据《立法法》第8条第10项规定,该类事项只能通过制定法律予以规制,《网络安全法》《数据安全法》等法律均未授权国家网信部门确定起诉组织,因此法律依据不明确。在实践层面,国家网信部门一般被认为是国家互联网信息办公室,其本质上具有行政机关属性,但由行政机关确定民事公益诉讼的起诉组织并未有法律的明确规定,加上个人信息保护法终稿中删除了将“履行个人信息保护职责的行政机关”作为适格原告的表述,国家网信部门的该类授权面临着制度运行方面的挑战。若国家网信部门“确定”的程序与标准不明确,“有关组织”的介入门槛设定不当,就很可能会造成该项制度利用率低,制度运行达不到预期效果的局面。
最后,个人信息处理者的确定规则缺乏进一步细化。一般而言,个人信息处理者是指侵害个人信息权益,造成个人信息权益受损的自然人和组织,但目前并未有法律对二者的范围作出明确规定。司法实践中,民法典和个人信息保护法关于自然人和组织的概念厘定与类型划分是案件认定的主要依据。数字经济时代,大规模个人信息侵权事件多由“组织”实施,对组织资格的确定关系到被告的认定。作为个人信息处理者的“组织”分为法人和非法人组织,前者体现为提供网络服务的互联网企业,后者体现为进行个人信息处理活动的行政机关。从个人信息保护民事公益诉讼制度的性质来看,被告应当限定在特定的互联网企业中。除被告的资格限定外,侵权行为规则也缺乏细化规定,如个人信息处理活动的每个环节中侵权行为有哪些类型,该种侵权行为与一般侵权行为有何特殊之处等。只有明确了被告的资格与行为认定规则,个人信息保护民事公益诉讼制度才能够更加完善。
(二)救济客体难认定
由于《个人信息保护法》第70条并未对救济客体的内涵与外延作出界定,因此司法实践中对救济客体的认定存在分歧,主要体现在对个人信息数量“众多”的界定和对受侵害权益与社会公共利益的关系方面。
有学者提出,按照个人信息法律保护体系的设定,其基本目标为通过保障个体的匿名性存在而确保私域与公域之间的界分。结合个人信息保护法的立法目的,运用到个人信息保护民事公益诉讼制度上,该制度的建立是通过规范个人信息处理活动以保障个人信息的匿名性。因此,此处的客体应当涵盖个体的匿名性特征。当然,随着数字技术的飞速发展,个人信息法律保护不再局限于传统的私域范畴,个人信息的获取与传播突破了空间与时间的限制,个人信息侵权行为也不再仅仅针对单一的个体信息和个人隐私,而是逐渐向不特定群体的信息权益转变,尤其是互联网平台的用户数量规模巨大,一旦发生个人信息泄露事件,所损害的信息权益也是面向大多数群众的,从而使得个体匿名性的保护转向公域范畴,这也就能解释个人信息保护法兼具私法与公法的双重性质,这也是救济客体设置为“众多”个人权益的原因。
按照文义解释,个人信息保护民事公益诉讼的救济客体包含对个人信息数量的规定,但却并未对具体的个人信息数量作出界定。纵观现有民事公益诉讼的规范,民事诉讼法、消费者权益保护法均有“众多”的文字表述,但没有具体的量化标准,而最高人民法院《关于适用〈中华人民共和国民事诉讼法〉的解释》虽在第75条将民事诉讼法中的“众多”解释为十人以上,但其限定的是个人的数量,与众多个人信息的数量无关,对该制度的救济客体缺乏适用性。同时,众多个人的权益内容不明确。一般认为,此处的“权益”指的是信息权益,但对信息权益的内涵缺乏明确界定。根据个人信息保护法的内容,无论是从事前、事中、事后的角度,还是从信息的收集、获取、使用、流通等阶段进行划分,众多个人信息权益都应当有系统性的内涵界分,其中不仅应当涵盖个人信息的人格权利属性,更应当体现众多个人信息承载的社会价值。
关于救济客体争议最大的还是众多个人的信息权益是否等同于社会公共利益,这在司法实务界存在分歧。一方面,关于社会公共利益的内涵、范围和具体判断标准至今没有形成统一的观点。通说认为,社会公共利益是独立于国家利益和个人利益之外的存在,其源于个体利益,是从每个主体利益中抽象而成的共同利益,蕴含着全社会成员共同追求的价值与目标。基于此,在私益公益化的个人信息公益诉讼制度语境中,应将“社会公共利益”作为基本原则,贯穿于立法规范条文的内容当中。而个人信息保护法却并未借鉴民事诉讼法“损害社会公共利益”的表述,因而这两个概念的界定存在分歧。另一方面,众多个人的信息权益受损并不等于社会公共利益受损。按照民法典规定,个人信息属于特殊的人格权保护范畴,侵害众多个人的信息权益相当于侵害了众多主体的共同利益,但该共同利益是否就等同于社会公共利益,以及众多个人信息是否强调主体的不特定性,这些在司法实践中存在不同的处理方式:大多数案件在对受侵害利益作出判断时,往往既要关注信息主体的数量和受侵害主体的不特定性,又要强调侵权行为实质上对社会公共利益的损害;少数案件在处理时仅仅依照条文的字面含义,对受侵害主体的人数众多进行判断,而未关注个人的不特定性。传统民事公益诉讼将不特定主体所享有的社会公共利益所引发的纠纷纳入受案范围,若不关注个人信息的不特定性,众多受侵害主体人数确定,则可以通过代表人诉讼制度解决问题,而无须设置个人信息保护领域的民事公益诉讼制度来解决。上述分歧之所以会产生,本质上是个人信息保护民事公益诉讼制度是否适用一般的民事公益诉讼制度规则,即前者的救济客体“众多”个人的权益是否等同于或者归属于后者“社会公共利益”的客体,以及在案件起诉和审理阶段是否要将其作为诉讼的实质性要件,这些都是需要进一步明确的问题。
(三)制度保障争议大
从民事公益诉讼的全过程来看,侵权责任的构成和承担属于制度保障的两个方面。针对侵权责任的构成,“个人信息处理者”侵权主体、“众多个人的权益”侵害客体以及实施违反个人信息保护法的侵权行为在上述内容中均已论述,故不再过多赘述,此处论述的重点是损害要件的构成;对于侵权责任的承担,损害赔偿责任是目前争议最大的责任承担方式。
根据《个人信息保护法》第70条的规定,只有“众多”个人信息权益受到“侵害”时,法定主体才能提起民事公益诉讼。按照传统的侵权责任理论,个人信息权益受到侵害是侵权责任认定的损害要件或者结果要件。根据条文字面含义,此处的侵害是指实际发生的损害后果,也就是“实害”。结合制度设立目标,只有大规模个人信息侵权事件实际发生时,起诉主体才可提起民事公益诉讼,这就排除了“风险”的影响因素。针对“风险”是否属于“损害”的范畴,理论界形成了三种观点。“否定说”提出侵权责任的损害要件必须是可确定的,而个人信息侵权的风险本身是无法明确的,因而相应的个人信息侵权风险不宜纳入损害要件范围;“肯定说”提出,立足数字经济发展的大背景,个人信息侵权“风险”在一定条件下满足“损害”要件对个人信息的保护需求,可以通过扩张解释将“风险”纳入“损害”的调整范畴;“折中说”认为,大规模的个人信息泄露风险会带来财产和人身的双重损害,这些损害与事件实际发生所造成的实害性质相当,对于损害程度相当的个人信息侵权风险与侵权损害都应给予相应的救济。在司法实务中,大多数案件都要求“实害”的损害后果,但也有部分案件审理采取“风险”“危险”救济的表述,甚至在食品安全、生态环境保护等民事公益诉讼案件中,已经出现了“风险即损害”的观点。
一般意义上,个人信息保护民事公益诉讼中侵权人的责任承担方式应当适用民法典的相关规定。但这种照搬式的法律适用方式会使得民事公益诉讼与私益诉讼之间的差异无从体现,个人信息保护民事公益诉讼责任承担方式的特殊性也未被阐释。在司法实践中,个人信息侵权者主要是通过停止侵害、赔礼道歉、赔偿损失、恢复原状等方式来承担自己的侵权责任的,但由于缺乏统一的责任承担规则,所以各地的实践做法不一,被告所承担的责任也有所不同。以司法案例为基础,理论界关于损害赔偿方式产生了诸多争议:一是损害赔偿的计算与使用问题。按照侵权责任理论,损害赔偿应当以所造成的损失为基础进行计算,但由于个人信息侵权的损失难以认定,故实践中采取“违法所得”或者“侵权人所获利益”为标准进行计算,但该种计算方式单一,在适用上也存在局限性。同时,对于损害赔偿款的使用,实践中通常要求侵权人向国家财政缴付专项赔款,并将该损害赔偿款用于公益事业支出,但就会产生这笔损害赔偿款给谁用、怎么用等后续问题。二是惩罚性赔偿是否适用的问题。对此存在两种观点:肯定说从司法实践出发,提出在消费者权益保护、食品安全等领域的民事公益诉讼中,惩罚性赔偿已经开始适用,若认为没收违法所得与损害赔偿的同时适用具有惩罚性,那么多数案件已经默许了惩罚性赔偿的适用,否定说认为,惩罚性赔偿的适用可能会造成在民事私益诉讼外针对个人信息处理者的同一侵权行为重复要求赔偿的后果,从而使得个人信息保护领域的民事公益诉讼制度运行产生异化的结果。因此,惩罚性赔偿的适用值得深思。三是损害赔偿与其他法律责任的协调问题。目前,损害赔偿责任与没收违法所得的适用关系较为模糊,这主要存在于刑事附带民事公益诉讼当中。根据相关判决书内容,这二者的适用分为三种关系:一是二者相互独立,判决被告承担损害赔偿责任或没收违法所得;二是二者不冲突,可以同时适用,即判决没收被告违法所得的同时要求被告承担个人信息侵权损害赔偿责任;三是被告没有因个人信息侵权行为获益的,这两个责任方式被告都不承担。由此可见,个人信息保护民事公益诉讼中的损害赔偿与没收违法所得两种方式的适用关系在司法实践中存在明显分歧,有待配套规则进一步明确。此外,司法判决中也不断提出新的责任承担方式,对于这些责任承担方式的合理性,也需要予以论证。
(四)诉讼关系衔接弱
从《个人信息保护法》第70条的规定来看,学界大多将其作为个人信息保护领域民事公益诉讼制度确立的法律依据,其与行政公益诉讼和刑事附带民事公益诉讼的区别是什么,以及这三者在衔接时应当注意哪些要点,这是亟需解决的问题。
第一,个人信息保护领域的行政公益诉讼制度实施的法律依据不足。按照《行政诉讼法》第25条关于行政公益诉讼的规定来看,其构成要件包括以下几个:一是起诉主体仅仅限定在检察机关,二是被诉行为是指行政机关不作为或者不当作为从而违反行政机关相应职责的行为,三是受侵害客体为国家利益或社会公共利益,四是行政机关的违法行为与相关利益受损具有因果关系。尽管根据《民法典》《数据安全法》等法律,行政机关应当承担保护公民个人信息的责任,其在行使行政职权过程中也涉及到个人信息的收集与使用,但行政公益诉讼能否扩展到个人信息保护领域仍存在争议。一方面,是否能将《个人信息保护法》第70条的规定适用于行政公益诉讼。尽管行政机关属于“个人信息处理者”中的非法人组织,也能够决定个人信息处理的目的和方式等,但其对个人信息的处理活动属于行政行为,与其他主体基于自身的意思自治违法收集、获取、使用和流通个人信息的民事法律行为不同。但也有学者指出,该条为行政公益诉讼制度运行预留了制度空间。另一方面,《行政诉讼法》第25条并未将个人信息保护纳入行政公益诉讼的范围,那么该条能否作为制度构建的规范基础?有学者通过解析该条规定,将其作为个人信息保护行政公益诉讼制度的规范基础,当然司法实践中也是依据该条款办理的,但与民事公益诉讼制度不同,没有个人信息保护法的授权规定,此种实践做法是否与规范冲突,值得深入探究。
第二,个人信息保护领域的刑事附带民事公益诉讼制度规范性依据少,存在诸多理论争议。从刑事附带民事公益诉讼制度本身来看,起诉只能由检察机关提起,受案范围仅限于环境资源保护、食药品安全中的消费者权益保护等领域,且只能在提起刑事诉讼的同时一并提出。司法实践中,运用刑事附带民事公益诉讼处理个人信息大规模侵权事件的案例较多,相关争议主要集中在适用条件、诉讼主体、责任交叉方面。在适用条件上,由于个人信息犯罪对法益的侵害与侵权行为对信息权益的侵害具有同源性,刑事诉讼与附带民事公益诉讼的界限并不清晰,有些侵害众多个人信息权益的行为并不构成犯罪,这就使得刑事诉讼的结果有时并不能作为附带民事公益诉讼的判断基础,同时,有些个人信息犯罪无须损害结果的发生作为构成要件,这就造成符合刑事犯罪入罪条件的行为并不适用附带民事公益诉讼的规则;在诉讼主体上,以检察机关为唯一的起诉主体是否妥当存在争议。肯定说认为个人信息案件专业技术性强,由检察机关作为唯一的起诉主体并不违反法律规定,也符合立法意旨。否定说则主张多元化的起诉主体模式,指出司法实务中已有行政机关作为起诉主体的先例;在责任交叉方面,主要是关于刑事责任和民事责任的交叉问题,实践中的争议主要体现在:一是消除危险、排除妨害、停止侵害等预防性质的诉讼请求是否可以提出,二是损害赔偿的性质是否是一种惩罚性赔偿,三是民事损害赔偿可否与罚金、行政赔偿同时适用。
第三,这三类公益诉讼制度可能存在交叉适用的现象。一方面是管辖规定不同。按照级别管辖,行政公益诉讼和民事公益诉讼分别由基层法院和中级法院管辖,而刑事附带民事公益诉讼的管辖与刑事案件的管辖相同;从地域管辖看,行政公益诉讼由被诉行政机关所在地的法院管辖,而民事公益诉讼由被告住所地或侵权行为地的法院管辖。另一方面是适用关系不明。在个人信息大规模泄露事件同时满足刑事犯罪、行政违法和民事侵权的情况下,检察机关应当如何选择诉讼类型,三种公益诉讼可否并行适用,在三类制度交叉适用的过程中如何区分检察机关的地位与角色,检察机关可否以“一案三查”为由突破传统的补充性地位一并提起相关公益诉讼,这些都是需要进一步明确的问题。
个人信息保护型民事公益诉讼制度运行时间较短,法律规定较为原则性,导致在理论和实践层面都面临着诸多挑战。积极推进个人信息保护民事公益诉讼制度的系统性构建,是破解目前民事公益诉讼制度在个人信息保护领域中所面临挑战的关键。
(一)明确诉讼主体的权利义务
第一,明确检察机关的起诉顺位,强化检察机关的调查核实权。从《个人信息保护法》第70条规定看,检察机关确实突破了传统民事公益诉讼的补充性顺位,享有直接向法院提起公益诉讼的权利。此种权利的创新性设置,并未违反法律的明确规定,且与检察机关公益诉讼的制度建设具有同一性。从这个角度来说,检察机关作为第一顺位主体具有正当性,至少在制度建设的初期由检察机关起到个人信息保护的引领作用是合理的。同时,检察机关公益诉讼的诉权来源也应当明确,从集体诉讼的相关理论来看,集体诉讼原告的诉权来源于“国家的请求权”或者“抽象社会公共利益的代理权”,结合民事公益诉讼理论,检察机关来自社会公共利益代理权的诉权应在相关法律中予以确定。另一方面,检察机关调查核实权的权利内容是其调查取证的重要保障。实践中,检察机关调查核实权的行使往往遇到他人不配合、技术难度大的问题。对此,应当在立法中明确不配合检察机关调查取证的罚则,完善调查核实权的权利内容,同时还应当注重对其他力量的借助,如公安机关、专业技术人才等,通过与其他部门的沟通,加强对个人信息侵权数据的全面检索,实现全过程的法律监督。
第二,确定消费者组织的范围,厘清消费者权益保护与个人信息保护领域民事公益诉讼制度的关系。对于消费者组织的范围,应从形式要件和实质要件两方面进行界定,只要是具备法律规定的构成要件的消费者组织,即满足形式要件,关键在于实质性要件的认定。从消费者组织的成立目的与保护法益来看,只有在数据交易市场实行的侵害消费者信息权益的数据处理行为才可以由法定的消费者组织提起民事公益诉讼。同时,基于消费者组织的实际情况和民事公益诉讼的可操作性考虑,应当将“法律规定的消费者组织”限定在省级以上消费者协会。此外,从德国团体诉讼与我国公益诉讼的相似性看,个人信息保护确实存在“消费者法化”的倾向,涉及消费者个人信息保护的法律能够纳入消费者保护法律体系的调整范畴。因此,在一定程度上,个人信息保护领域的民事公益诉讼与消费者权益保护方面的民事公益诉讼应当是从属关系,二者共同构成消费者个人信息保护的制度基础。
第三,制定国家网信部门确定起诉组织的细化规则,明确所涉基本问题。首先,应当明确国家网信部门的层级。有学者指出,此处是指省级以上网信部门,但从条文表述和立法目的来看,此处应指国家层级的网信部门。其次,“确定”的标准、程序和方式应当明确。对于有关组织的认定标准,可以借鉴《环境保护法》第58条关于环境保护公益诉讼组织的规定,从保护社会公共利益的设立目标、具备组织人员规模和登记的形式要件等方面考虑;针对确定的程序,应当采取公开听证的程序,在合理采纳相关主体的建议后公开社会组织的名单,保障社会公众的知情权,同时,社会组织的名单应当是动态流动的,相关组织应当按照规定公开年度社会责任报告,接受国家网信部门和社会公众的监督,若出现怠于行使民事公益诉讼起诉权,或违反法律规定的情形,应当将相关组织从名单中剔除;针对“确定”的方式,有依职权和依协商两种方式,有学者提出,国家网信部门无法决定社会组织的起诉意愿,因此只能通过与社会组织协商来确定名单,笔者认为,两种“确定”方式都应当纳入细化规则,若只设定依协商一种确定方式,可能会产生协商不到位而使得此类起诉主体提起民事公益诉讼的制度形同虚设,降低该制度的利用率。最后,应明确社会组织的类型。社会组织是指与自然人相对,除行政机关、事业单位等机关外的组织。有学者提出,基于网络运营商的技术优势和竞争监督的效力,应当将网络运营商作为适格原告,但社会组织所发挥的社会力量不应当包含网络运营商主体,否则会产生监督主体与监督客体混同的现象。
第四,制定个人信息处理者的确定规则,细化个人信息侵权行为规则。个人信息处理者的确定是起诉主体启动民事公益诉讼程序的前提,只有明确了具体的个人信息处理者作为被告,才能推进后续的民事公益诉讼工作。个人信息处理者包括个人和组织。从形式上看,个人须满足民法典关于自然人权利能力和行为能力的规定,而组织一般是指互联网企业等营利法人,非营利法人和特别法人不包括在内;从实质上看,只有从事个人信息的收集、获取、使用和交易活动的自然人和营利法人才能满足个人信息处理者的实质要件。此外,应在民法典一般侵权行为规则的基础上,结合个人信息保护民事公益诉讼的特点,细化个人信息侵权行为规则,包括归责原则、主观状态、行为类型等,尤其是随着数字技术的发展,个人信息侵权行为类型多样,难以通过列举的方式予以明确,因此,应当采取列举加兜底的立法模式,明确个人信息侵权行为的典型类型,并对侵害众多个人信息权益的行为予以规制,增强该侵权行为规则的确定性和可适用性。
(二)制定信息权益损害认定规则
一方面,将社会公共利益作为判断救济客体的实质性标准。针对个人信息权益与社会公共利益关系的争议,在个人信息权益认定规则中应当予以明确。笔者认为,应当从形式和实质两个层面来认定个人的信息权益。在形式上,侵权人所侵害的客体应当是《个人信息保护法》第70条所规定的众多个人的权益,其包括以下几个要件:第一,个人信息处理者所侵害的客体应当是个人信息权益,其兼具人身和财产的双重属性,个人享有自身信息的人格权益和财产权益,并有权决定相关信息的使用,这也是个人信息保护法知情同意机制的体现。若侵害的是其它类型的人身或者财产权利,仅仅只是因为被告的身份特殊,而将其作为民事公益诉讼案件处理,不符合民事公益诉讼制度设立的目的;第二,侵权人所侵害的是“众多”个人的权益,不仅强调受侵害的人数较多,而且强调受侵害主体的不特定性,即受侵害主体为不特定的多数人或整个社会公众,若受侵害个体虽人数众多,但数量是特定的,则不符合此处对人数“众多”的理解。尽管有学者提出通过司法解释或者规范性文件的形式对此处的人数“众多”作出具体规定,但这种观点不符合民事公益诉讼制度的设立目标,也不具有现实可操作性;第三,众多个人信息权益的实现方式多样,包括查阅、复制、删除、使用、流转等。实践中,互联网企业往往通过一些格式条款来完成个人信息的收集、使用工作,这就涉及到格式条款的合法性与违反格式条款的责任承担问题。作为形式要件的典型,格式条款的问题也应当在个人信息权益认定规则中予以阐明。在实质层面,应当遵循社会公共利益的判定标准,将受侵害利益属于社会公共利益作为案件审理的关键。从概念上看,社会公共利益是指包括国家机关、社会组织和个人在内的全体社会成员的共同利益。由于社会公共利益的抽象性和不确定性,对社会公共利益的认定标准也较难把握。结合个人信息保护的特殊性,在个人信息权益认定规则中应当明确以下认定标准:一是受侵害主体为不特定多数人;二是必要性原则,即众多个人信息权益受损由私益诉讼难以弥补所造成的损失,由特定主体提起民事公益诉讼是必要的;三是利益衡量原则,即保护不特定主体的信息权益与加强数字经济的发展之间需要予以平衡,若民事公益诉讼的保护会造成阻碍数字技术创新和经济社会发展的后果,则需要审慎考虑。
另一方面,在权益损害认定规则中加入风险认定标准。随着数字技术的发展,现代社会逐渐进入风险社会的行列,面临着多方面的安全挑战,尤其是个人信息泄露和被不当利用的风险增加,个人信息公共安全受到严重威胁。因此,为发挥公益诉讼的预防功能,应将风险认定纳入个人信息权益损害的认定规则当中,通过民事公益诉讼制度提前避免“个人信息处理者”侵权损害后果的发生,这也是风险预防原则的具体体现。有学者提出,大数据技术的介入是国家保护义务由危险防御转向风险预防的因应之策。运用到该项制度,针对个人信息公共安全的保护,民事公益诉讼制度提供了新的研究视角,是国家预防公共安全风险发生的制度体现。从“风险”本身入手,其指的是未来某段时间内可能会发生的不利后果,即实害发生的一种潜在性和不确定性。这种可能性不是一致的,有大小程度之分,因此,在加入风险认定标准时,应当划分相应的“风险”等级,只有达到一定程度的“风险”才能够获得民事公益诉讼的救济。对于“风险”等级的划分,有代表性的是环境法领域的学者们根据社会公共利益受损的盖然性大小进行的分类,“风险”盖然性由大到小的分类依次是“危险”“风险”和“剩余风险”三个等级。其中“剩余风险”是指实害基本不可能发生的情形,不宜纳入个人信息保护民事公益诉讼风险认定的范畴,而“风险”和“危险”在客观上对个人信息造成侵害的可能性较大,应将其作为预防性公益诉讼的“重大风险”范畴。基于此,在个人信息保护领域民事公益诉讼案件审理过程中,在对个人信息权益受损情况进行判断时,不仅应当以直接的实害后果为依据,在并未发生损害后果的情况下,还需判断个人信息侵权风险的程度,包括损害结果发生的可能性大小、侵权行为人违法处理个人信息的原因、侵权行为方式、所涉多种利益价值等影响因素,结合制度目标和价值进行综合分析,从而预防现实紧迫的大规模个人信息侵权风险,完善个人信息保护的利益救济体系。
(三)完善侵权人的责任承担方式
一是探索个人信息保护领域的惩罚性赔偿机制。惩罚性赔偿的基础是公益诉讼起诉人损害赔偿请求权的运用。传统民事诉讼法理论对损害赔偿方式的运用持有谨慎态度,有学者提出,公益诉讼针对的是不特定主体的社会公共利益,不满足损害赔偿所要求的特定对象和受偿主体,故在公益诉讼中无法主张赔偿金请求。在此基础上,惩罚性赔偿机制的法律适用存在争议。当前,个人信息保护型民事公益诉讼能否适用惩罚性赔偿的争议焦点主要集中于惩罚性赔偿机制的法律依据和法理基础。因此,只要能够对这两个问题予以合理回应,便可以尝试惩罚性赔偿机制的适用。关于法律依据问题,《民法典》第179条规定了惩罚性赔偿机制的适用只能由法律予以规定,但显然在个人信息保护法中并未对此作出规定。为此,可以结合个人信息保护的“消费者法化”,将个人信息保护的民事公益诉讼制度置于消费者权益保护的大背景下,适用相应的惩罚性赔偿法律条款,而对于不属于消费者个人信息的部分,可以结合制度目的之一“促进个人信息处理者的数据合规”,出台相关法律规范,明确惩罚性赔偿机制适用的法律依据。关于法理基础问题,可以从法理层面来阐释惩罚性赔偿适用的正当性。从民事侵权责任“填补损害”的功能定位出发,个人信息侵权损害赔偿以“现实损害”为基础的设置,难以实现对社会公共利益受损的补偿。若允许起诉主体,尤其是检察机关在诉讼请求中增加损害赔偿的请求,同时结合未来个人信息安全秩序恢复的实际情况,要求被告承担多于“现实损害”的惩罚性赔偿,则可以实现民事公益诉讼制度设立的目标。因此,基于个人信息权益的特殊属性,应当在民事公益诉讼扩展到个人信息保护领域时积极引入惩罚性赔偿机制的适用。
二是创新不同的责任承担方式并进行合理论证。司法实践中,个人信息侵权行为人所承担的责任方式基本都是以民法典关于民事责任的规定为法律依据的,主要包括赔礼道歉、停止侵害、赔偿损失等基本责任形式。由于缺乏上位法的明确规定,个人信息保护民事公益诉讼案件中衍生出了不同于传统责任形式的新型责任方式,或者称为替代履行责任方式,包括以行为填补个人信息公共权益损害、要求被告作出合法合规经营的承诺等。这些替代性的责任承担方式来源于司法实践,且产生了较好的影响。因此,应当将这些方式吸纳到个人信息保护民事公益诉讼的责任规则当中,并鼓励司法实践不断探索新的责任承担方式。对于已经出现的替代性履行方式或者替代性修复措施则应当进行正当性和可行性论证,如合法合规经营承诺的性质是什么,被告违反其作出的合法合规承诺将承担怎样的后果,实践中违约金条款的设置是否合理,这些都需要理论反思与实践检验。其中,“恢复性司法”理念可以作为填平受侵害方利益等恢复性措施的理论来源,在恢复性司法的理论框架下阐释相关责任承担方式的正当性。
三是协调不同的责任承担方式,建立赔偿资金专项管理规则。在责任承担方面,需要协调好民事责任、行政责任和刑事责任的适用关系,主要是涉及到损害赔偿的问题。有学者针对个人信息保护民事公益诉讼的损害赔偿规则适用进行了专门研究,提出引入“动态系统论”作为损害赔偿计算的工具,即根据侵权主体的主观状态、侵权行为的具体表现、侵权事件的损害后果等实际情况综合考虑,在赋予案件审判人员自由裁量权的同时能够实现社会公共利益填补的功能。以此为切入点,罚金、罚款和损害赔偿存在同时适用的空间,但是在所发挥的功能上可能会出现冲突,使得侵权人承担双倍的赔偿责任,因此,协调三者责任的重要内容是设置相应的赔偿抵扣条款。此外,对于收取的赔偿资金,也应当设立专门的资金管理账户,而不是采取传统的上缴国库和交付法院执行专项账户的方式,这样能够避免资金用途的混淆,实现赔偿资金用途的专门化。具体而言,需要明确该专门账户的性质、管理规则等。结合司法实践,可由检察机关或授权组织设立民事公益诉讼专项账户,主要用于支付个人信息侵权损害恢复的必要费用,资金进账和使用需要由相应机关或组织审核,同时向法院备案,尤其是替代性履行项目的开展,项目数额较大可以实施分批审核分批使用的机制,人民法院可以随时查看专项资金的使用情况,也应当实时监督管理机构的资金管理活动,必要情况下可以组织专家论证会来分析替代性履行项目实施的效果,对于未通过分析评审的,可以将相关项目转交其他机构实施,或者要求原机构整改直至项目完成。
(四)协同个人信息保护诉讼关系
一是制定专门的公益诉讼法。当前,公益诉讼的依据主要体现在行政和民事领域的诉讼法、消费者权益保护等相关法以及最高人民法院、最高人民检察院出台的相关司法解释上。作为一项国家履行维护公共安全义务和保护社会公共利益的典型制度,其法律供给相对比较匮乏,有关起诉主体的地位、案件适用范围、案件办理程序等基本问题缺乏统一性的法律规定。因此,一部关于公益诉讼制度实施的专门法亟需出台,一方面,整合现有法律有关公益诉讼的规定,并进行内容分类,另一方面,按照立法法的具体规定,从立法目的、制度价值、法律原则、诉讼范围、诉讼程序等方面制定《公益诉讼法》。尽管不同的公益诉讼特点不同,制度目标也不尽相同,但在公益诉讼法的总则部分,应当确定三类公益诉讼的共同目标,即社会公共利益的维护。以此为基础,结合普通的民事、行政、刑事诉讼法的概念和理念,在分则部分展开三类公益诉讼制度的内容。此外,由于个人信息保护法专门设置了公益诉讼条款,故在公益诉讼法的制定过程中,应当考虑该条款的内容,必要时可以创设新的概念,如司法解释中已有的“公益诉讼起诉人”就是创新性的诉讼概念。
二是统一公益诉讼的管辖规则。除刑事附带民事公益诉讼的管辖需要和相应的刑事诉讼保持一致外,行政公益诉讼和民事公益诉讼的管辖都有着自身的管辖规则。以公益诉讼法的制定为契机,这两个公益诉讼的管辖规则应当保持一致,尤其是在个人信息保护领域。从这二者的内容出发,有学者以恢复性司法理念为视角,对个人信息保护领域的行政与民事公益诉讼制度展开进行了研究,提出民事公益诉讼制度是面向过去的侵害进行补救,而行政公益诉讼制度是面向未来进行预防侵害。因而,这二者的性质不同,所涉主体不同,难以找到共同的地域管辖规则,但是对于跨区管辖的问题,可以采用集中指定管辖的路径来解决跨行政区划带来的司法碎片化和地方化的问题。在级别管辖上,由中级人民法院管辖与公益诉讼制度保护社会公共利益的目标一致,能够较好平衡案件所涉利益的问题,缓解基层法院的案件审理压力,而由基层人民法院管辖能够发挥基层法院收集一手证据的优势,也能激发基层检察机关的积极性。综合来看,在制度建设初期,相关公益诉讼案件相对较少,由中级人民法院管辖有助于解决初期法律规范不健全的问题,但从制度的常态化运行来看,由基层人民法院来管辖这两类公益诉讼案件可能更为适宜。
三是厘清公益私益诉讼关系。个人信息保护公益诉讼与私益诉讼是两个完全相对的诉讼类型,在法律构造上存在以下差异:第一,公益诉讼起诉人的权利行使受到较大限制,如调查核实权的落实、调解和解机制的运用等,而私益诉讼的原告可以合理行使自己的诉讼权利;第二,两类诉讼的设立目的不同,公益诉讼的目的是为维护信息安全的公共利益,而私益诉讼的目的是为维护信息主体自身的信息权益;第三,诉讼程序规则不同,公益诉讼需要进行前期的调查取证工作,且审判机关会介入调查工作,而私益诉讼的双方主体处于平等地位,证据收集采取一般的民事诉讼举证规则;第四,责任承担方式不同,私益诉讼适用一般民事责任的承担方式,而公益诉讼由于对社会公共利益的填平要求还应当适用特殊的责任承担方式;第五,三大责任在公益诉讼和私益诉讼的表现形式不同,公益诉讼表现为民事、行政和刑事附带民事公益诉讼,而私益诉讼表现为民事、行政和刑事诉讼,三类诉讼案件交叉适用的规则也不同。因此,个人信息保护领域的公益诉讼与私益诉讼处于相互独立的关系,二者互不影响,前者不以后者为前置程序。但是,公益诉讼中损害赔偿责任的承担,尤其是惩罚性赔偿的适用,要考虑同一案件是否进行了私益诉讼及诉讼结果。
在大数据时代,数据交易已经成为推动数字经济发展的重要内容,而个人信息的保护是数据交易的基础,只有构建完善的个人信息法律保护体系,才能应对日益复杂的数据交易市场。从公私法双重保护的视角出发,民事公益诉讼在个人信息保护中的实现是维护众多个人信息权益从而保护社会公共利益的制度选择。该制度运行遵循一定的法律机理、实践机理和技术机理。尽管该制度目前面临着主体、客体、保障和衔接方面的诸多挑战,但针对这些问题,本文提出明确诉讼主体的权利义务,制定个人信息权益损害认定规则,完善侵权人的责任承担方式,协同个人信息保护诉讼关系的的实现路径。这些是民事公益诉讼制度在个人信息保护中实现机理的重要体现,也是平衡个人信息保护与信息自由流动的重要前提。当然,本文所提出的实现路径只是针对理论和实践问题进行了初步回应与探讨,在个人信息法律保护体系发展的过程中,依然有很多问题需要进一步研究,这些都是未来数字法治发展的重点。
