個人信息保護公益訴訟制度的理解與適用

個人信息保護公益訴訟制度的理解與適用

2021年8月20日我國頒布的《中華人

民共和國個人信息保護法》（以下簡稱《個

人信息保護法》）第70條規(guī)定：“個人信息

處理者違反本法規(guī)定處理個人信息，侵害眾

多個人的權益的，人民檢察院、法律規(guī)定的

消費者組織和由國家網信部門確定的組織可

以依法向人民法院提起訴訟?！北緱l規(guī)定確

立了個人信息保護公益訴訟制度，為規(guī)范非

法處理個人信息侵害眾多個人權益的行為提

供公益訴訟法律依據(jù)。但是法律條文本身僅

作出了原則性規(guī)定，與既有的消費者保護公

益訴訟、環(huán)境生態(tài)保護公益訴訟制度的規(guī)定

相比較為簡咯，對于個人信息保護公益訴訟

主體的范圍、適用的條件及相關法律責任等

問題還需要進行研究和闡釋，以利于正確理

解和適用。由于個人信息保護公益訴訟制度

并未在《民事訴訟法》第55條的不完全列舉

規(guī)定中，是否屬于該條“等”的范圍，還需

要做進一步的解釋。最高人民檢察院發(fā)布《關

于貫徹執(zhí)行個人信息保護法推進個人信息保

護公益訴訟檢察工作的通知》指出：“力口強

個人信息公益保護，是貫徹落實習近平法治

思想，推進國家治理，強化法律監(jiān)督的必然

要求，要深刻領會個人信息保護法設置公益

訴訟條款的重要意義，進一步增強檢察履職

的責任感和緊迫感，切實加大辦案力度，推

動公益訴訟條款落地落實。”因此，本文主

要立足于法律條文與相關司法解釋的規(guī)定，

對該制度進行解釋論證，為個人信息保護公

益訴訟條款落地落實提供必要理論支撐。

一、建立個人信息保護公益訴訟制度強化個人

信息保護

(-)個人信息私益救濟的局限性

中國互聯(lián)網協(xié)會公布的《中國網民權益

保護調查報告(2021)》顯示：“近一年來，

因個人信息泄露、垃圾信息、詐騙信息等原

因，導致網民總體損失約805億元。82.3%

的網民親身感受到了由于個人信息泄露對日

常生活造成的影響?！边M入信息化社會，公

民個人信息安全面臨前所未有的挑戰(zhàn)，一方

面，人工智能、算法技術的開發(fā)和廣泛應用

使得侵害個人信息的行為更具隱蔽性，個人

難以察覺權利受損；另一方面，訴訟成本高

昂、舉證困難使個人維權受阻。面對大規(guī)模

侵害個人信息侵權行為，傳統(tǒng)私益訴訟難以

全面保護個人信息權益。

（二）個人信息公法保護的局限性

個人信息公法保護主要包括行政法保護

與刑法保護。侵權規(guī)模大、損害后果嚴重的

情形，行政和刑事法律責任是保護個人之個

人信息權益的強有力手段。但是，行政法與

刑法的謙抑性理念要求侵害行為必須是造成

嚴重后果，通常情況下，大規(guī)模侵害個人信

息的損害后果并不嚴重，難以達到啟動公法

保護程序的要求。在大規(guī)模侵害個人信息案

件中，盡管受害人數(shù)眾多，單個受害人受到

的損害卻很小，難以達到法律要求的造成嚴

重后果，因此公力救濟功能的發(fā)揮就很有限。

即便侵害個人信息的行為造成比較惡劣的后

果，構成行政處罰或刑事責任，也達不到從

數(shù)據(jù)處理行為而遭受侵害的，其有權不經數(shù)

據(jù)主體授權依照第77條（向監(jiān)管機構投訴的

權利）規(guī)定向該成員國有權監(jiān)管機構提出投

訴，并行使第78（針對監(jiān)管機構的有效司法

救濟權）、79條（針對數(shù)據(jù)控制者或處理者

的有效司法救濟權）所賦予的權利。可見，

個人信息保護公益訴訟制是一個具有廣泛國

際共識性的制度。鑒于此，我國學者此前紛

紛呼吁在大規(guī)模的個人信息侵害事件中，可

以嘗試構建個人信息保護公益訴訟制度來解

決實踐中的難題。

《個人信息保護法》第70條規(guī)定個人信

息保護公益訴訟制度回應了社會需求，與世

界法治潮流相符合、吸收了法學研究的最新

成果，著力于強化個人信息保護。

（四）個人信息保護公益訴訟制度與其

他公益訴訟制度的共通性

我國《民事訴訟法》第55條第1款規(guī)定：

“對污染環(huán)境、侵害眾多消費者合法權益等

損害社會公共利益的行為，法律規(guī)定的機關

和有關組織可以向人民法院提起訴訟?！睆?/p>

規(guī)定內容上看，我國《民事訴訟法》通過不

完全列舉的方式將污染環(huán)境、侵害眾多消費

者合法權益，這兩類具有損害社會公共利益

的典型侵權行為列入公益訴訟的起訴范圍。

在兩種典型的公益訴訟類型后，則以“等”

字為公益訴訟范圍的擴大預留制度空間。通

過對我國環(huán)境公益訴訟與消費者公益訴訟制

度特點進行對比可以發(fā)現(xiàn)，環(huán)境公益訴訟中

的受害人主要是不特定的多數(shù)人，而消費者

公益訴訟的受害人主要是特定的多數(shù)人。具

體來說，在侵害眾多消費者的案件中，受害

人大多是某類商品或者服務的購買者或者使

用者，受害人的具體范圍是可以確定的，具

有特定性。我國《民事訴訟法》第55條第1

款將特定的多數(shù)消費者受到侵害也視為公共

利益受到侵害，因此眾多人受到侵害可以視

為公共利益受到侵害，而無所謂受害人是否

不特定。后來建立的英雄烈士人格權保護與

未成年人權益保護公益訴訟制度也證實了這

一點，即后兩類公益訴訟案件中的受害人也

是具有特定性的人群。在大規(guī)模侵害個人信

息案件中，受侵害的是眾多特定的人，這就

能很好地理解個人信息保護公益訴訟屬于

《民事訴訟法》第55條第1款規(guī)定中“等”

的內容，即個人信息保護公益訴訟在《民事

訴訟法》第55條管轄事項內，與其他公益訴

訟制度具有共通性。此外，個人信息保護公

益訴訟在保護的具體對象上還與其他公益訴

訟存在共通性(如圖一所示)，即個人信息

保護公益訴訟制度、消費者保護公益訴訟制

度以及未成年人權益保護公益訴訟制度存在

一些交叉地帶，交叉的內容是與個人信息保

護相關的內容。既然保護對象存在共通性，

那么規(guī)則的構建也會具有一定的共通性。也

就是說，在解釋個人信息保護公益訴訟制度

規(guī)則時，也可以利用制度的共通性更好地解

釋個人信息保護公益訴訟制度。

二、提起個人信息保護公益訴訟的條件

(-)違法處理個人信息

《個人信息保護法》第70條規(guī)定，個人

信息處理者“違反本法規(guī)定處理個人信息”是

相關主體提起個人信息保護公益訴訟的條件

之一?！氨痉ā敝浮秱€人信息保護法》。需要

指出的是，其他一些法律對違法處理個人信息

的行為也有規(guī)定，如《網絡安全法》《電子商

務法》《消費者權益保護法》《未成年人權益

保護法》等，但是這些違法處理個人信息的行

為均被《個人信息保護法》的相關規(guī)定所吸收。

因此，法律規(guī)定“違反本法規(guī)定處理個人信息”

對違法行為之概括是周延的，無需檢索是否違

反其他法律規(guī)定處理個人信息的情形。

《個人信息保護法》對個人信息處理者違

法處理個人信息的行為作了全面的列舉，覆蓋

了處理個人信息的各個環(huán)節(jié)。歸納而言，處理

個人信息主要包括事前、事中、事后三個環(huán)節(jié)。

在事前環(huán)節(jié)，個人信息處理者違法處理個人信

息的行為主要包括：在處理個人信息前，個人

信息處理者未獲得個人或者其監(jiān)護人的明確

同意（第13條、第14條、第27條）；特殊

情況下，個人信息處理者處理敏感個人信息未

取得個人或者其監(jiān)護人的單獨同意或者書面

同意（第29條、第31條第1款）；個人明確

拒絕信息處理者處理個人信息時，個人信息處

理者拒絕提供產品或者服務，且處理個人信息

并不屬于提供該產品或者服務所必需（第16

條）；個人信息處理者未以顯著方式、清晰易

懂的語言向個人如實告知個人信息的處理目

的、方式、種類、保存期限等相關事項（第17

條第1款、第30條）；應向個人公開處理個

人信息的規(guī)貝」而未公開的（第17條第2款、

第31條第2款）；當涉及處理敏感個人信息、

利用個人信息進行自動化決策等對個人有重

大影響的個人信息處理活動對，個人信息處理

者未在事前進行風險評估（第55條）；提供

基礎性互聯(lián)網平臺服務、用戶數(shù)量巨大、業(yè)務

類型復雜的個人信息處理者，未制定平臺內規(guī)

則（第58條第2款）。

在事中環(huán)節(jié)，個人信息處理者違法處理個

人信息的行為主要包括：個人信息處理者利用

個人信息進行自動化決策時，對個人實行不合

理的價格差用對待，也就是“大數(shù)據(jù)殺熟”（第

24條第1款）；通過自動化決策方式進行商業(yè)

營銷、信息推送，未能提供不針對個人特征的

選項或者未能向個人提供拒絕的方式（第24

條第2款）；當個人提出要求時，個人信息處

理者未能對使用自動化決策對個人造成的影

響后果予以說明（第24條第3款）；個人信

息處理者處理個人信息時未能確保個人信息

的準確性與完整性，當個人請求更正、補充其

個人信息的，個人信息處埋者未能對其個人信

息予以核實并及時更正、補充（第8條、第46

條）；個人信息處理者向他人分享個人信息的，

未取得個人的單獨同意（第23條、第25條）；

提供基礎性互聯(lián)網平臺服務、用戶數(shù)量巨大、

業(yè)務類型復雜的個人信息處理者，未建立主要

由外部成員組成的獨立機構，對個人信息處理

活動進行監(jiān)督（第58條第1款）；未及時停

止為嚴重違反法律、行政法規(guī)處理個人信息的

平臺內的產品或者服務提供者提供服務（第58

條第3款）；未定期發(fā)布個人信息保護社會責

任報告，未接受社會監(jiān)督（第58條第4款）；

未采取必要措施保障所處理的個人信息的安

全，未能防止未經授權的訪問以及個人信息泄

露或者被竊取、篡改、刪除（第9條、第51

條、第57條）。

在事后環(huán)節(jié)，個人信息處理者違法處理個

人信息的行為主要包括：個人信息處理者保存

個人信息的期限超出處理目的所必要的最短

時間（第19條、第21條）；處理個人信息達

到國家網信部門規(guī)定數(shù)量后，個人信息處理者

未指定負責人對處理活動以及采取的保護措

施等進行監(jiān)督（第52條第1款）；未公開前

款規(guī)定的負責人的聯(lián)系方式，也未將負責人的

具體信息報送至履行個人信息保護職責的部

門備案（第52條第2款）；個人信息處理者

未定期對其個人信息處理活動情況進行合規(guī)

審計（第54條）；當處理目的已實現(xiàn)或者為

實現(xiàn)處理目的不再必要、個人信息處理者停止

提供產品或者服務，或者保存期限已屆滿等條

件成就時，個人信息處理者未主動刪除個人信

息（第47條）；個人信息處理者未建立個人

行使權利的申請受理和處理機制。拒絕個人行

使權利的請求的，未說明理由（第50條）。

也就是說，個人信息處理者一旦在收集、

存儲、使用、加工、傳輸、提供、公開等任一

環(huán)節(jié)存在上述違法處理個人信息，侵害眾多個

人的權益的行為，相關主體有權依據(jù)《民事訴

訟法》第55條、《個人信息保護法》第70條

的規(guī)定提起個人信息保護公益訴訟。

（二）侵害眾多個人的信息權益

侵害眾多個人的信息權益是個人信息保

護公益訴訟制度設計的重要出發(fā)點。關于“眾

多”的含義，《最高人民法院關于適用〈中華

人民共和國民事訴訟法〉的解釋》（以下簡稱

《民事訴訟法司法解釋》）對《民事訴訟法》

中很多條款里的“眾多”都進行了細化，例如

對《民事訴訟法》第53條、第54條和第199

條規(guī)定中的“眾多”都進行了細化規(guī)定，但唯

獨未對《民事訴訟法》第55條規(guī)定中的“眾

多”作出解釋。從《民事訴訟法》第55條的

立法本質來看，該條實際上是對社會公共利益

的保護。由于公共利益高度抽象性與多樣性的

特點，無法窮盡，更無法一一列舉，所以《民

事訴訟法司法解釋》并未對公共利益進行解釋,

而是保留《民事訴訟法》第55條開放列舉的

方式定義公共利益的內涵，實踐中多由法院運

用法律解釋方法于個案中加以具體化。但是這

又容易引發(fā)新的問題，即在缺乏法律明確規(guī)定

的情況下，單純依靠法官運用法律解釋方法對

案件予以釋明，會過度擴大法官的自由裁量范

圍，不利于案件的公正審判。鑒于《個人信息

保護法》第70條、《民事訴訟法》第55條并

未對“眾多”作出具體的規(guī)定，那么“眾多”

具體需要達到多少受害人，才能達到提起個人

信息保護公益訴訟的要求，之后將由最高人民

法院出具相關司法解釋或者由國家網信部門

出臺相關文件予以確定。

有權作出解釋的機關在確定眾多受害人

時，可以考慮以下因素：

其一，可以參考消費者權益保護公益訴訟

的啟動標準?！断M者權益保護法》第47條

規(guī)定：”對侵害眾多消費者合法權益的行為，

中國消費者協(xié)會以及在省、自治區(qū)、直轄市設

立的消費者協(xié)會，可以向人民法院提起訴訟?！?/p>

對于侵害眾多消費者合法權益的行為的理解，

當前理論界存在兩種主要的觀點。一種觀點認

為，只要被侵害合法權益的消費者人數(shù)“眾多”,

消費者團體即具備提起公益訴訟條件；持此觀

點的學者還提出了具體量化的標準，他們認為

如果被侵害合法權益的消費者達到200人以上,

就構成了侵害眾多消費者合法權益，可以作為

公益訴訟受理。另一種觀點則認為，判斷消費

者團體是否具備提起公益訴訟的條件，不僅應

以被侵害合法權益的消費者是否“眾多”作為

形式標準，而且應以“損害社會公共利益”作

為實質標準。持此觀點的學者主要從立法目的

的角度來解釋“眾多”的含義，他們認為公益

訴訟的立法目的是為了防止社會公共利益受

到損害，人數(shù)“眾多”不過是社會公共利益認

定的形式標嗜。也就是說，在把握消費者團體

提起公益訴訟的條件時，應從是否體現(xiàn)社會公

共利益的角度來理解“眾多消費者”，不能簡

單以人數(shù)作為標準。兩種觀點爭議的焦點在于

是否應該對“眾多”進行量化，后一種觀點由

于更契合公益利益抽象化的特點，因此成為了

主流學說觀點，該觀點也對司法實踐產生了直

接影響。從司法實踐看，在大多數(shù)案件中，法

官在認定被告是否侵害了眾多消費者合法權

益時，并未對受害人的人數(shù)進行量化。因為在

消費者保護公益訴訟案件中，對消費者人群進

行量化是極其困難并且不切實際的。大多數(shù)公

益訴訟案件中的保護對象不僅包括受到實際

侵害特定的消費者或者商品使用者，還包括了

潛在的不特定的受害人群。這些潛在的受害人

群分布的廣泛性及不特定性使得對其量化幾

乎成為不可能。因此，法官在認定被告的行為

是否構成對眾多消費者合法權益的侵害時，通

常會結合消費者的分布情況、實際受害人數(shù)、

潛在不特定的受害人群等因素綜合考慮，采用

抽象的認定方式認定被告是否侵害眾多不特

定的人群的合法權益。例如，在“張琴、安徽

省消費者權益保護委員會侵權責任糾紛案”中，

安徽省滁州市中級人民法院認為刑事判決認

定被告銷售對象有9人，但9名假酒購買者將

購買的假酒用于宴請他人，消費者既包括假酒

購買者，也包括假酒飲用者，人數(shù)具有眾多不

特定性，因此認定被告的行為已經侵害了眾多

消費者合法權益。又如，在“四川省保護消費

者權益委員會、閆攀、唐斌等侵權責任糾紛案”

中，四川省成都市中級人民法院認為被告?zhèn)卧?/p>

知名品牌鞋類、服裝在二十多家商超以特賣方

式進行銷售，雖有銷售記錄，但難以確定具體

銷售對象名稱，客觀上已難以對全部受侵害主

體進行特定化，故本案中消費者的損害具有分

散性、不特定性。可見，在消費者保護公益訴

訟領域，判斷是否侵害眾多消費者合法權益，

并不是簡單從文意上作人數(shù)“眾多”的理解，

而是綜合考慮各方面客觀因素，從是否體現(xiàn)社

會公共利益的角度來認定消費者公益訴訟的

起訴條件。

其二，可以參考比較法上的經驗。比較法

上，大多設立個人信息保護公益訴訟的國家和

地區(qū)都將侵害受害人數(shù)眾多作為提起公益訴

訟的重要要件之一。如美國《聯(lián)邦民事訴訟規(guī)

則》第23條a項規(guī)定了提起集團訴訟的四項

前提之一項便是“集團人數(shù)眾多，以至于所有

集團成員共同進行訴訟成為不可能?！庇秩缥?/p>

國臺灣地區(qū)“個人資料保護法”第34條規(guī)定

“對于同一原因事實造成多數(shù)當事人權利受

侵害之事件，財團法人或公益社團法人經受有

損害之當事人二十人以上以書面授與訴訟實

施權者，得以自己之名義，提起損害賠償訴訟?！?/p>

可見，侵害眾多受害人信息權益成為個人信息

保護公益訴訟的提起要件在國內外已經形成

共識。在如何定義眾多受害人上，大多數(shù)國家

采用的是抽象方式，即認為眾多是指不特定的

受害公眾群體。但也有少數(shù)國家認為對于“眾

多”的含義，應該明確規(guī)定具體的受害人人數(shù)，

一方面是為司法裁判確定明確依據(jù)，另一方面

是禁止濫訴浪費司法資源。但是，此種方式容

易忽略個人信息保護公益訴訟案件的特殊性，

在實施過程中遇到了重重困難。實踐中侵害個

人信息往往涉及信息類型與數(shù)量繁多，單個人

可能被侵害的信息數(shù)量和種類又不盡一致，因

此不宜僅從人數(shù)上界定量化標準。這也是大多

數(shù)設立個人信息保護公益訴訟的國家更傾向

于從抽象的角度定義眾多受害人的原因。

總之，有權作出解釋的機關在確定個人信

息保護公益訴訟中“眾多”含義時，不妨參考

消費者權益保護公益訴訟的啟動標準及比較

法上的經驗來對其含義予以具體化，以此為司

法實踐提供明確的裁判依據(jù)。值得注意的是，

2021年8月最高人民檢察院下發(fā)《關于貫徹執(zhí)

行個人信息保護法推進個人信息保護公益訴

訟檢察工作的通知》指出：“各級檢察機關在

履行公益訴訟檢察職責時應當突出重點、從嚴

把握以下方面：生物識別、宗教信仰、特殊身

份、醫(yī)療健康、金融賬號、行蹤軌跡等敏感個

人信息應當嚴格保護；兒童、婦女、殘疾人、

老年人、軍人等特殊群體的個人信息需要特別

保護；教育、醫(yī)療、就業(yè)、養(yǎng)老、消費等重點

領域處理的個人信息，以及處理100萬人以上

的大規(guī)模個人信息應當重點保護；對因時間、

空間等聯(lián)結形成的特定對象的個人信息加強

精準保護?！痹撏ㄖ獮閷嵺`中檢察機關辦理公

益訴訟案件提供必要的指引，同時，該通知也

為實踐中司法機關正確把握“侵害眾多個人的

信息權益”釋放出重要信號。即在判斷個人信

息處理者是否實施侵害眾多個人的信息權益

時，還應當著重考慮是否涉及侵害敏感的、特

殊群體的、重點領域的、達到100萬人以上大

規(guī)模的個人信息以及因時間、空間等聯(lián)結形成

的特定對象的個人信息等因素。

三、個人信息保護公益訴訟中的主體

《個人信息保護法》第70條明確了個人

信息保護公益訴訟的適格主體。即在大規(guī)膜

侵害個人信息權益的案件中，具有起訴資格

的主體是人民檢察院、法律規(guī)定的消費者組

織和由國家網信部門確定的組織；被起訴主

體是違法處理個人信息的個人信息處理者。

但是本條對個人信息保護公益訴訟的適格主

體只是做了概括性、指引性的規(guī)定，正確適

用本條規(guī)定還需要進一步厘清和明確這些主

體范圍。

(-)適格的起訴主體

1.人民檢察院

《中共中央關于加強新時代檢察機關法

律監(jiān)督工作的意見》指出：“積極穩(wěn)妥推進

公益訴訟檢察，就要積極穩(wěn)妥拓展公益訴訟

案件范圍，探索辦理安全生產、公共衛(wèi)生、

婦女及殘疾人權益保護、個人信息保護、文

物和文化遺產保護等領域公益損害案件，總

結實踐經驗，完善相關立法。”新時期，檢

察機關堅持以習近平新時代中國特色社會主

義思想為指導，認真貫徹中共中央部署和全

國人大常委會授權決定，現(xiàn)已在探索拓展個

人信息保護公益訴訟方面取得了巨大成效。

實踐中，本文檢索到有關個人信息保護公益

訴訟案件為191例，人民檢察院作為這類型

案件起訴主體為179例，占比高達94%。從

案件的裁判結果來看，法院的判決基本是完

全支持檢察院的訴訟請求，僅有個別案件是

人民檢察院與被告調解結案。在“實踐先行，

立法緊跟其后”的情境下，檢察機關成為個

人信息民事公益訴訟的主要起訴主體，并在

司法實踐中取得良好的實施效果。之所以如

此，一方面，檢察機關代表社會公共利益，

當眾多社會公民個人信息遭受損害時，檢察

機關提起公益訴訟，屬于依法履行職責。另

一方面，檢察機關熟悉訴訟程序，有專業(yè)人

員且具備充裕的資源，相比其他機關、組織

和個人更有訴訟能力?；诖?，2021年8月

頒布《個人信息保護法》將人民檢察院作為

個人信息保護公益訴訟的起訴主體之一以法

律的形式固定下來，為實踐中個人信息保護

公益訴訟提供直接的法律依據(jù)。

比較法上也有許多國家賦予檢察機關提

起公益訴訟的職能。如《法國民事訴訟法》

規(guī)定：“于法律規(guī)定之情形，檢察院代表社

會”，“除法律有特別規(guī)定之情形外，在事

實妨害公共秩序時，檢察院得為維護公共秩

序，進行訴訟?！薄兜聡袷略V訟法》規(guī)定，

檢察機關作為社會公共利益的代表，對涉及

國家、社會公共利益的重大案件可提起民事

訴訟?？梢?，檢察機關代表公共利益，作為

個人信息保護公益訴訟的起訴主體，不僅具

有客觀必然性，也具有相當?shù)暮戏ㄐ浴?/p>

2.法律規(guī)定的消費者組織

在《個人信息保護法》立法過程中，關

于消費者組織是否能被認定為個人信息保護

公益訴訟起訴主體存在較多爭議。此前提交

全國人民代表大會常務委員會審議的所有

《個人信息保護法（草案）》中均未出現(xiàn)將

消費者組織列為起訴主體的規(guī)定，但是后來

公布的《個人信息保護法》還是采納了中國

消費者協(xié)會與部分專家的建議，明確規(guī)定‘'法

律規(guī)定的消費者組織”可以對違法處理個人

信息侵害眾多個人權益的行為提起訴訟。

將消費者組織確定為個人信息保護公益

訴訟起訴主體存在以下解釋路徑：其一，作

為合法成立且長期從事消費者權益保護的公

益組織，保護消費者個人信息權益是消費者

組織的職責之一，即履行保護消費者個人信

息權益本就是其份內之事?！断M者權益保

護法》第47條規(guī)定了消費者組織提起公益訴

訟的權利，對該條文進行解釋，消費者組織

當然就具有提起個人信息公益訴訟的資格。

其二，在現(xiàn)有的公益訴訟體系之下，部分消

費者協(xié)會的公益訴訟起訴權已經獲得了相關

單行法的認可，司法實踐中也釋放出了消費

者組織提起個人信息保護公益訴訟的積極信

號。例如在“江蘇省消費者權益保護委員會

與北京百度網訊科技有限公司侵權糾紛案”

中。江蘇省消費者權益保護委員會作為本案

的起訴主體，針對北京百度網訊科技有限公

司利用APP權限違法獲取用戶個人信息的

行為，向江蘇省南京市中級人民法院提起個

人信息保護公益訴訟。在該案審理過程中，

北京百度網訊科技有限公司向江蘇省消費者

權益保護委員會提交了整改方案，撤銷了

APP中部分敏感權限，優(yōu)化了權限獲取的方

式并對有關權限的獲取目的進行說明。目前

上述整改已在更新后的APP中生效，涉案

APP已基本符合法律法規(guī)對于個人信息保護

的要求?？梢?，消費者組織作為個人信息保

護公益訴訟的起訴主體已經具備一定的實踐

基礎。此外，賦予消費者組織在個人信息保

護公益訴訟中的起訴主體資格，還可以實現(xiàn)

與《消費者權益保護法》中有關消費者保護

公益訴訟規(guī)則的銜接，實現(xiàn)法律體系內在的

協(xié)調性。

結合《消費者權益保護法》第47條的規(guī)

定，有權提起個人信息保護公益訴訟的消費

者保護組織是指“中國消費者協(xié)會以及在省、

自治區(qū)、直轄市設立的消費者協(xié)會”。之所

以將消費者組織級別限定在省級以上，原因

在于侵害個人信息的案件往往波及范圍較廣，

案件較為復雜，社會影響力較大，由有較高

級別的消費者組織進行起訴能發(fā)揮協(xié)會統(tǒng)籌

的優(yōu)勢。從專業(yè)能力看，省級以上消費者組

織專業(yè)能力更強，作為個人信息保護公益訴

訟中的起訴主體更為妥當。此外，保持法律

體系內在的協(xié)調性也是立法機關在本次立法

過程中的重要考慮因素。

3.由國家網信部門確定的組織

依據(jù)《個人信息保護法》第70條的規(guī)定，

由國家網信部門確定的組織也可以成為個人

信息保護公益訴訟的起訴主體。通過社會組

織來執(zhí)行個人信息保護具有天然的優(yōu)勢：較

之公權監(jiān)管，其成本更低；較之私人維權，

其更集中有力，因此以社會組織執(zhí)行來補充

公權監(jiān)管、私人維權，符合功能適當原則。

但是現(xiàn)有規(guī)定過于簡略，有必要進一步細化。

細化個人信息保護公益訴訟中的有關組

織的具體范圍和認定標準，一方面是為了對

相關組織范圍進行必要限制，避免多種組織

同時起訴造成濫訴，浪費司法資源；另一方

面更是為了避免在實踐環(huán)節(jié)中增加對有關組

織的辨識成本。在界定個人信息保護公益訴

訟中有關組織的具體范圍和認定標準時，不

妨借鑒已有的類似法律規(guī)定。目前《環(huán)境保

護法》對符合環(huán)境保護公益訴訟條件的社會

組織作了較為詳細的認定。盡管個人信息保

護公益訴訟與環(huán)境公益訴訟中的有關組織職

能會有所不同，但是這并不妨礙認定兩類組

織的共通性。因為不管是在個人信息保護公

益訴訟中的有關組織還是環(huán)境保護公益訴訟

中的有關組織，它們的共通目標是保護社會

公共利益，因此在性質上，它們都需要具備

價值中立性，即非營利性；在保護能力上，

需滿足一定的形式要件，具體表現(xiàn)為具備一

定的組織規(guī)噗、具備承擔風險基本能力；此

外，還要在履行責任的業(yè)務能力和專業(yè)水平

上與其他社會組織區(qū)別開來。因此在如何細

化個人信息保護公益訴訟中有關組織范圍這

個問題上，可以參照《環(huán)境保護法》第58條

的規(guī)定。

比較法上，一些國家和我國部分地區(qū)為

了避免發(fā)生濫訴，對公益訴訟（國外多稱為

“集體訴訟”或者“集團訴訟”）組織的資

格作出了明確規(guī)定。例如，歐盟GDPR第80

條第1款規(guī)定：”對按照成員國國內法依法

設立、以公共利益為法定目標并且活躍于保

護數(shù)據(jù)主體權利與自由領域的非營利性機尚、

組織或協(xié)會，數(shù)據(jù)主體有權委托其代表自己

提出投訴。”又如韓國《個人信息保護法》

第51條規(guī)定了兩類組織可以提起公益訴訟，

第一類是在公平交易委員會登記、平時以促

進權利增進為目的、團體的定員為1000名以

上、登記后經過3年的組織。第二類是最近

三年以上有相應的活動實績的、團體的組成

人員為5000名以上的、在中央行政機關登記

的非營利民間團體。再如我國臺灣地區(qū)“個

人資料保護法”第32條對公益社團法人的規(guī)

定是：社團法人之社員人數(shù)達一百人、保護

個人資料事項于其章程所定目的范圍內（具

備個人信息保護的專業(yè)能力）、許可設立三

年以上。

通過歸納對比國內外法律對社會組織的

定義，總結出公益訴訟中的社會組織需要具

備三個主要特征：其一是這類組織不以營利

為目的，具有公益性；其二是這些組織是長

期從事相關公益活動且聚積一定數(shù)量的專業(yè)

人才，能較好地開展公益活動的專業(yè)性組織；

其三是具有合法開展公益活動的主體身份，

這使它區(qū)別于各種非法組織。本文認為，對

個人信息保護公益訴訟中社會組織的認定，

可以參照上述標準，即需要具備以下要件：

（1）依法在設區(qū)的市級以上人民政府民政部

門登記；（2）專門從事個人信息保護公益活

動連續(xù)五年以上且無違法記錄。（3）經由國

家網信部門認定并公布。同時具備這些條件

的非營利性組織可以向人民法院提起個人信

息保護公益訴訟。當然，在提起公益訴訟的

過程中，社會組織不得通過訴訟牟取任何經

濟利益。在認定程序上，本文認為需要由省

級以上的網管部門來制定具體的認定標準，

并及時向社會公布明確的社會組織名單。關

于社會組織的具體類型，本文傾向于將從事

個人信息研究保護的專業(yè)機構或者學術研究

機構列為保護個人信息的社會組織。從事個

人信息研究保護的專業(yè)機構如中國法學會網

絡信息法學會、網絡信息研究院；從事個人

信息研究保護的學術機構，比如北京大學信

息化與信息管理研究中心，清華大學網絡科

學與網絡空間研究院，中國人民大學網絡空

間發(fā)展與戰(zhàn)略研究院、未來法治研究院等各

所高校里專門從事個人信息保護的科研機閡。

這兩類專門從事個人信息保護研究的機構，

具有較高的信息技術監(jiān)測與保護能力，擁有

眾多專業(yè)技術人員，能較好地履行保護個人

信息的任務C

4.不適格起訴主體

(1)履行個人信息保護職責的部門

在制定《個人信息保護法》的過程中，

一審稿及二審稿都將履行個人信息保護職責

的部門列入起訴主體的范圍內，但是考慮到

履行個人信息保護職責的部門主體身份的特

殊性，在三審稿中將其刪除掉了，后來頒布

的《個人信息保護法》保留了三審稿的規(guī)定。

履行個人信息保護職責的部門不宜代表公共

利益提起個人信息保護公益訴訟。一方面，

是因為法律已經賦予了這些行政機構行使行

政處罰的權利，行政管理手段與司法途徑相

比，通過行政管理手段能達到有效、有力地

遏制侵害個人信息的違法行為的作用，自然

就不必再提起公益訴訟。另一方面，如果履

行個人信息保護職責的部門在實踐中既是個

人信息的管浬者，享有行政處罰權，同時又

是公共利益的代表者，可以提起公益訴訟，

那么兩種不同的身份交織在一起難免有疊床

架屋之嫌，還會造成行政資源的浪費。況且

行使處罰權保護個人信息安全本就是這些行

政機構基本職責，過分強調和突出行政機關

啟動公益訴訟的作用，容易造成行政機關的

角色錯位。此外，現(xiàn)行已經規(guī)定了公益訴訟

規(guī)則的單行法如《消費者權益保護法》《環(huán)

境保護法》同樣未賦予行政機關提起公益訴

訟的主體資格，這其中的職能重疊問題正是

立法者的重要考量因素，因此行政機關并不

具備提起公益訴訟的先驗性。盡管，行政機

關不宜代表公共利益提起個人信息保護公益

訴訟，但行政機關還是可以在個人信息保護

公益訴訟中發(fā)揮支持起訴的作用，即通過提

供相關法律咨詢、提交書面意見、協(xié)助調查

取證等方式支持人民檢察院、相關社會組織

依法提起個人信息保護公益訴訟。

(2)個人

有學者提出，除了人民檢察院、有關組

織可以提起個人信息保護公益訴訟外，在很

多國家個人也具有代表他人提起公益訴訟的

資格，并且起訴主體的多元化成為了近現(xiàn)代

民事公益訴訟的一個重要趨勢。至于公民個

人，本文認為不宜成為個人信息保護公益訴

訟的適格起訴主體。一方面，人性的本能中

天然含有對自身利益的最大化追逐，因而很

難確保訴訟的公益性。另一方面，公民個人

在收集、調查證據(jù)、擔負訴訟成本和專業(yè)素

養(yǎng)等方面均存在一定弱勢，個人作為公益訴

訟起訴主體不具備客觀可行性。公眾在一定

程度上確實能發(fā)揮低成本，高效率的社會監(jiān)

督優(yōu)勢，但是這種潛在的優(yōu)勢并不足以抵消

個人提起公益訴訟的弊端，因此并不可取。

盡管個人不能代表公共利益提起個人信息保

護公益訴訟，但是在實踐中依然可以發(fā)揮個

人的力量推動公益訴訟活動，例如個人可以

向有關機關或者組織檢舉、投訴侵害個人信

息的違法行為，或者提供基礎性材料請求人

民檢察院或者相應的組織提起公益訴訟。

（二）適格的被告

從《個人信息保護法》的規(guī)定看，個人

信息保護公益訴訟的適格被告是指違反該法

處理個人信息、侵害眾多個人權益的個人信

息處理者。對于個人信息處理者的含義，《個

人信息保護法》第73條第1款給出的定義是：

“在個人信息處理活動中自主決定處理目的、

處理方式的組織、個人?！苯Y合《個人信息

保護法》第70條規(guī)定來看，法律并沒有限制

被告的范圍，而是規(guī)定了所有個人信息處理

者都可以成為適格被告。但是從個人信息保

護公益訴訟的本質來看，個人信息保護公益

訴訟主要解決侵害眾多受害人個人信息權益

的問題，而通常符合侵權要件的是具有大量

個人信息處理需求和能力的頭部（大型）企

業(yè)。例如美國谷歌公司曾因未經用戶同意將

用戶個人信息透露給第三方，侵犯了眾多用

戶隱私，于2010年遭集體訴訟；蘋果公司因

涉嫌以違法的形式收集用戶個人信息并出售

第三方，遭到美國波士頓的多名用戶發(fā)起集

體訴訟；Facebook因其使用的面部識別技術

違反了伊利諾伊州的《生物信息隱私法案》

(BIPA)而面臨集體訴訟；萬豪旗下的喜達

屋酒店曾因泄露3.39億客人開房信息，僅在

2018年就受到個人和律所提起至少2起集冰

訴訟，索賠超過百億美元。及至國內，我國

開始探索個人信息保護公益訴訟的時間較短,

個人信息保護公益訴訟案件還較少，但是從

已有的個人信息保護公益訴訟案件來看，個

人信息保護公益訴訟案件主要發(fā)生在物流快

遞、裝飾裝修、醫(yī)療、教育、網絡科技等領

域，這些涉訴被告無一例外都是各領域的知

名頭部企業(yè)。從國內與國外的實踐經驗來看，

大規(guī)模侵害個人信息權益案件中的被告通常

是某些領域內的頭部企業(yè)，因此，個人信息

保護公益訴訟中的被告大多數(shù)情況下應該是

指大型企業(yè)。需要注意的是，我國《個人信

息保護法》并未對被告類型或者規(guī)模加以區(qū)

分，在認定被告時也不