个人信息领域公益诉讼制度建构探索

摘要：新颁布的《民法典》按照“总则+个人信息+侵权责任”的体例结构规定了涉及“个人信息”的内容，回应了公众对于“个人信息保护”的关注，体现了私法保护路径对于个人信息保护的积极探索。但在互联网时代，由于个人信息的属性、“知情—同意”保护模式不足、侵权行为的复杂性等问题使得建构个人信息领域公益诉讼制度有其必要性。《人民检察院公益诉讼办案规则》的颁布为制度建构提供了规范依据，以保护公共利益为出发点弥补民法典保护路径理论不足，各地的探索表明该制度可行有效并为制度完善积累了经验。

关键词：个人信息;公共利益;民法典;公益诉讼

中图分类号：D922.16;D925.1文献标识码：A文章编号：2095-6916（2022）03-0056-04

2021年3月7日，十三届全国人大第四次会议有代表建议制定“检察公益诉讼法”，根据拓展公益诉讼办案范围的检察实践，将八个领域明确写入检察公益诉讼法，其中明确包括“网络侵害（个人信息保护）”。2021年8月20日，第十三届全国人大常委会第三十次会议通过了《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》），该法第七十条专门设立公益诉讼条款，这标志着个人信息保护纳入检察公益诉讼法定领域，个人信息保护迎来了新的时代，基于个人信息保护而建构的公益诉讼制度探讨有了更强有力的依据支撑;将公益诉讼的办案范围拓展至“个人信息保护”有其必要性和可行性，这是对《民法典》保护保护路径的补强;同时也为公权力量保护公民个人信息安全提供了制度供给。目前，个人信息领域公益诉讼的规范、建构逻辑仍需梳理，现就依据《个人信息保护法》《人民检察院公益诉讼办案规则》（以下简称《规则》）落实细化有关制度建构作一分析。

一、个人信息领域民法典保护路径的窠臼

从体例结构上看，《民法典》第一编总则第一百一十一条中明确规定了自然人的个人信息受到法律保护，在其他部分涉及“个人信息”有九处，其中有十一处集中于人格权编之下;一处置于侵权责任编之下，侵权责任编涉及“个人信息”的是第一千二百二十六条，规定医疗机构及其医务人员应当对患者的隐私和个人信息的保密义务。人格权编第一千零三十四条（共3款）明确了“个人信息”的定义，第一款表明“个人信息”受法律保护，明确了“个人信息”属于人格权益的保护范围;第二款沿袭了网络安全法的第七十六条，以“可识别性”为核心确立了“个人信息”的定义;第3款对于个人信息中的“私密信息”进行了特别保护，主要适用隐私权的规定;在立法上有意区分“个人信息”与“私密信息”，这无疑具有进步意义。

更重要的是，《民法典》规定了处理个人信息的原则及免责事由，处理个人信息的原则规定在《民法典》第一千零三十五条，一种观点认为其主要借鉴2014年版的《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》（以下简称《规定》）第十二条（在2020年版的《规定》中，此条已被删去），具体概括为“知情—同意”原则。依照《民法典》释义，个人信息处理的原则可概况为“知情同意”，第一千零三十五条第一款第一项，延伸了知情同意的主体，照顾到了无民事行为能力人和限制民事行为能力人的特殊情况，有关主体的信息收集要征得监护人的同意;该条第一款第二项和第三项规定了自然人有效同意的前提条件，要求有关主体履行告知义务，同时从内容上看，要了解知悉收集和使用的规则、目的、方式和范围;该条第一款第四项属于兜底性规定，由于现代科技的发展，很难判断现有的法律规定是否能够有效地规制个人信息处理的行为，于是在前三项的基础之上，增加了个人信息处理两个层面的限制，第一个层面是个人信息处理不违反当事人的约定，按照释义的说明，当事人的约定必须是合法的;第二个层面是不违反法律和行政法规的禁止性规定[1]372-379。

一般来说，《民法典》第一千零三十五条会被理解为个人信息处理免责的依据，因为如果信息处理的主体遵循了“知情—同意”的原则就可作为免责事由[1]378。除了“知情—同意”这一免责事由外，《民法典》第一千零三十六条规定了“权利人的同意”“合法公开的信息”“为了维护公共利益或者该自然人的合法权益”等其他情形。从权利救济的角度来说，《民法典》第一千零三十七条规定了自然人对其信息的查阅、复制权以及更正、删除权。《民法典》第一千零三十八条和一千零三十九条规定了信息处理者需要承担的义务，以及国家机关以及工作人员的信息保密义务。以上几点，无疑是对于“个人信息保护”的具体细化，《民法典》以较为集中的立法体例编排回应了公众对于个人信息安全的关注，对于其正面意义应予以肯定，但是这样的保护路径存在私益保护框架所带来的局限。

首先是“公地悲剧”。个人信息是否具有公共属性？是否蕴含着公共利益？如何看待公共利益与私人利益之间的关系？“滴滴赴美上市事件”后，国家有关部门成立联合小组对于“滴滴”展开调查，2021年7月，网络安全审查办公室发布了针对“滴滴”的安全审查公告，其依据是《中华人民共和国国家安全法》《中华人民共和国网络安全法》[2]。滴滴公司作为目前出行市场的巨头企业，掌握大量的位置、地理环境等重要信息，不仅涉及个人的隐私保护、财产及人身安全等问题，成为关键信息基础设施运作的重要部分。这一事件引起了公众对个人信息保护的关注和思考。

按照《民法典》的定义，个人信息具有“可识别性”的特点，而目前出现的“去识别化技术”，即采取特定措施对个人信息进行加工处理，使其达到无法识别特定当事人之程度所产生的相关个人信息，而且无法被回复为原始状态[3]。目前的互联网平台企业完全有能力采取对于个人信息进行去身份处理，且不影响其所包含的巨大经济价值。在此种条件下，个人信息的经济利益值得重视，而“去识别化技术”是否让《民法典》的保护地带出现真空值得研究。

其次是“知情—同意”保护模式的局限。《民法典》“知情—同意”保护模式充分考虑到了民法的自愿原则，信息主体同意他人收集、处理其个人信息，旨在践行个人的行动自由和信息自决，实现的是其所欲实现的法律效果[4]。但是否会存在伪“知情—同意”的情况？在传统的现实场域，“知情—同意”有很好的执行效果，但是在虚拟网络时代，信息的离散性以及专业门槛等因素的存在，使用户与平台企业无法处于同等地位。用户在使用平台企业开发的软件时，会遇到许多格式化的协议，弹出是否允许向软件开放用户的位置、录音、文件等权限的条款，如果用户不同意，将无法或者限制性地使用该软件，因而不能通过该协议“已被勾选”获知用户内心真实意愿。更有甚者，企业在用户不知情的情况下，违规收集和使用個人信息。根据国家互联网信息办公室2021年5月发布的通告，就有短视频、浏览器、求职招聘等105款App违法违规收集使用个人信息，其中不乏未经用户同意收集使用个人信息的情形[5]。

最后是民事个体在“个人信息”侵权主体集体化和技术化的非法侵害时，自身的维权能力有限。近年来，各地警方均破获了不少侵犯公民个人信息的案件，打掉了相关侵犯公民个人信息的犯罪团伙。这其中侵犯公民个人信息的手段多样，借助互联网等技术，使得受害者难以辨别真伪，不了解自己的个人信息已经受到侵害。2021年1月，连云港赣榆警方在“断卡”行动中打掉了一个侵犯公民个人信息的犯罪团伙，该犯罪团伙内部存在细密分工，有人负责编写爬虫软件窃取个人信息;有人负责买卖个人信息;有人购买个人信息推送诈骗链接等[6]。遇到这样的情况，公民个人自我保护能力不足，其维权成本与赔偿数额不成正比，因而导致民事主体没有能力也没有意愿去进行积极维权。而在传统场域内，个人信息保护多为特定对象与特定对象之間的私益诉讼。在查找的涉及个人信息保护案件中，涉案双方多因工作和生活社交而产生联系，如发生在邻居之间、员工与公司之间、消费者与平台商家之间。这反映出公民针对团体化、专业化的侵害公民个人信息行为维权能力不足，很难从私益诉讼框架下获得保护。

二、个人信息领域公益诉讼制度建构逻辑

从概念上分析，公益诉讼意即国家、社会组织及公民对侵害公共利益的行为提起的诉讼，其核心在于维护公共利益。按照诉讼的性质，基于民事请求权而启动的公益诉讼为民事公益诉讼;针对行政机关进行公益诉讼的为行政公益诉讼。在我国，由于有的犯罪行为不仅侵犯了个人和社会利益，还侵犯到了国家利益，因而属于刑事公诉案件[7]。个人信息领域的公益诉讼，主要是按照公益诉讼保护的利益角度而做的范围界定。也就是说，与环境领域的公益诉讼一样，在个人信息领域也存在值得保护的公共利益。

在理论层面，首先要解决的问题是个人信息这一私益在何种条件下成为公益。相关的思考在上文主要以数据跨境流动、去识别化技术为例做了一定分析。从更为抽象的角度来看，在数字化时代，个人信息扮演着不同角色，进入流通领域的个人信息有凸显其社会公共属性的可能;个人信息具有多种使用用途，因而不同的公私主体均具有使用个人信息的需求;基于使用用途的不同而影响个人信息所代表的利益。所以，看待个人信息不能仅从“个人信息由民事主体生产就一定只有私人利益”的静态角度出发，个人信息利益已扩展到了公共领域。申言之，个人信息上附着多重利益。从一般的公共利益与私人利益之间的关系来看，零散的“个体法益”在某些特定事件中会产生联系，在评估该事件时，不能机械地区分个体法益，而应在整体层面予以评价，此时在案涉事件中便会出现包含“公共利益”的“超个人法益”[8]。在互联网时代，涉嫌违法主体侵害多个不特定的个人信息利益的可能性是存在的。在出现前述情形时，民事主体困扰于“个人信息是否属于一项独立的人格权益？”“当出现了利用‘去识别化技术’而进行的个人信息侵害该如何寻求帮助？”借助公益诉讼制度，可探索出个人信息新的保护路径。

在实践层面，有关机关也在积极探索，并积累了相关的工作经验。2021年北京市房山区人民检察院办理了北京市首例侵犯公民个人信息刑事附带民事公益诉讼案，检察机关基于案件中有公共利益损害、民事主体维权难度大、成本高等考虑，作为公共利益的代表，对于侵权人提出了三项请求，要求犯罪嫌疑人承担赔礼道歉、消除危险、赔偿损失等责任[9]。2020年浙江省杭州市下城区人民检察院诉孙某个人信息保护民事公益诉讼案，是《民法典》出台后，全国首例适用《民法典》的个人信息保护民事公益诉讼案。在该案件中，明确了个人信息保护不仅涉及自然人个人的权益保障，同时具有社会公共利益的属性[10]。2020年浙江省杭州市余杭区检察院发现某知名公司在所开发的App中，存在未尽到合理的告知义务且没有相关措施手段对儿童信息进行保护等情形，故诉至法院，经法院出具调解书后结案。该案是全国首例未成年人网络保护民事公益诉讼案[11]。最早的全国首例个人信息保护的公益诉讼案例，是2017年江苏省消费者权益保护委员会关于北京百度网讯科技有限公司消费民事公益诉讼，该案由民事公益主体提起，以消费者公益诉讼作为案由，最后虽以撤案而告终，但促使百度公司就收集个人信息措施积极进行整改。通过近年来的实践，个人信息领域的公益诉讼在主体上既有民事主体提起的私诉公益诉讼，也有国家机关提起的公诉公益诉讼，从法益保护范围来看，个人信息被作为单独值得保护的法益从消费者公益诉讼中剥离出来。

在规范层面，党的十九届四中全会提出“拓展公益诉讼案件范围”，其中就包含公民个人信息安全这一领域。《法治中国建设规划（2020-2025年）》对公益诉讼的“等外”探索予以再次强调。《民法典》所建立的个人信息保护规范体系为其提供了实定法依据。2021年8月《个人信息保护法》出台，明确将个人信息保护纳入检察公益诉讼法定领域。2021年7月正式施行的《人民检察院公益诉讼办案规则》（以下简称《办案规则》），提出构建公益诉讼一体化办案机制。传统以来，公益诉讼制度按照“民事公益诉讼”和“行政公益诉讼”两种类型划分，散见在民事诉讼法和行政诉讼法等有关规定中，不便于操作，此次《办案规则》的出台，是结合各地方公益诉讼做法的经验和实践的提炼总结，对于办案中的人员参与、管辖、诉前程序、参与诉讼程序等操作程序进行了细化规定[11]。随着《办案规则》的落实，相信个人信息领域的公益诉讼有关工作会更加畅通。

三、结语

《民法典》体系化地配置了公民个人保护的规定，对于个人信息保护做出重要的贡献。同时，要反思此种私法保护的不足，探索另外的保护路径。在互联网大背景下，由于专业门槛的存在、侵权行为难以发现等原因导致自然人的个体维权能力较弱。基于《规则》《个人信息保护法》出台以及各地对于个人信息领域公益诉讼的探索，网络侵害公益诉讼制度会愈加完善，为公民拓展出新的个人信息保护路径，为《民法典》保驾护航。借助国家力量建构个人信息保护领域的公益诉讼制度无疑具有现实意义。采取主客观兼顾的公益诉讼路径能够更好地保障公民的个人信息权益，这与《民法典》保护路径是互为补充、互相配合的。要继续在线索发现、调查取证、非诉手段运用等方面继续着力，这也是未来研究该制度的重要方向。

参考文献：

[1]最高人民法院民法典贯彻实施工作领导小组.中华人民共和国民法典人格权编理解与适用[M].北京：人民法院出版社，2020.

[2]网络安全审查办公室关于对“滴滴出行”启动网络安全审查的公告[EB/OL].

http：//www.cac.gov.cn/2021-07/02/c_1626811521011934.htm.

[3]张勇.个人信息去识别化的刑法应对[J].国家检察官学院学报，2018（4）.

[4]陆青.个人信息保护中“同意”规则的规范构造[J].武汉大学学报（哲学社会科学版），2019（5）.

[5]网络安全审查办公室关于对“滴滴出行”启动网络安全审查的公告[EB/OL].

http：//www.cac.gov.cn/2021-05/20/c_1623091083320667.htm.

[6]10人落网！连云港赣榆警方打掉一侵犯公民個人信息犯罪团伙[EB/OL].

https：//baijiahao.baidu.com/s？id=1709587462533001386&wfr=spider&for=pc.

[7]宋朝武.论公益诉讼的十大基本问题[J].中国政法大学学报，2010（1）.

[8]王永茜.论集体法益的刑法保护[J].环球法律评论，2013（4）.

[9]简洁，于剑.向非法获取公民个人信息亮剑[N].检察日报，2021-08-12（008）.

[10]范跃红，胡涛.全国首例未成年人网络保护民事公益诉讼案办结[EB/OL].

http：//news.jcrb.com/jsxw/2021/202103/t20210318_2262338.html.

[11]王东.最高检公布《人民检察院公益诉讼办案规则》[EB/OL].

http：//news.jcrb.com/jsxw/2021/202107/t20210714_2298557.html.

作者简介：曾彬彬（1996—），男，汉族，海南文昌人，单位为中央民族大学，研究方向为行政法学。

（责任编辑：王宝林）

基金项目：本文系2018年国家社科基金项目“基于环境权的环境公益诉讼法理难点研究”（编号：18BFX175）有关成果