个人信息保护公益诉讼制度的检视与完善

何金海

（广西民族大学 广西知识产权发展研究院，广西南宁 530006）

随着信息的电子数据化，人民群众对个人信息安全问题的反映日益强烈，“仅依靠既有的私益民事诉讼机制，无法适应我国个人信息保护的实践和发展”[1]。为满足社会需求，维护社会公共利益并营造有利于个人信息保护的社会整体氛围，2021年11月1日起实施的《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）第七十条正式确立了个人信息保护民事公益诉讼制度①《个人信息保护法》第七十条规定：个人信息处理者违反本法规定处理个人信息，侵害众多个人的权益的，人民检察院、法律规定的消费者组织和由国家网信部门确定的组织可以依法向人民法院提起诉讼。，以强化对非法处理个人信息侵害众多个人权益行为的规制，为个人信息保护公益诉讼制度的体系化构建提供了关键性的规范支撑。然而，该条规定并未创设行政公益诉讼机制[2]，且内容表述较为原则化，其中诸多实体及程序问题仍待理论与实践的回应。有鉴于此，笔者拟结合近200 个涉及“个人信息保护公益诉讼”的司法案例，对个人信息保护公益诉讼制度进行全面检视，以查找制度适用和运行的困境，并就此提出完善措施。

一、个人信息保护公益诉讼制度的立法回顾与司法图景

当下，个人信息保护困境尚未完全得到纾解，究其原因，与“个人信息权利缺失顶层设计与基本制度的建构”存在莫大的关联[3]。在实践中，由于侵害行为的隐蔽性、受害人员的分散性、诉讼成本高于维权成效、举证困难等阻碍因素，个人信息遭受侵害后，个体通常不诉诸法律，面对大规模侵害个人信息的行为，传统私益诉讼难以发挥其效用。又鉴于行政法保护与刑法保护的谦抑性要求，导致公法保护效果有限，侵害者的法律责任缺失，受损的个体权益与公共利益均未能恢复到圆满状态。在此情况下，我国个人信息保护公益诉讼制度的建立拓展了个人信息保护的基础性法律制度。

（一）个人信息保护公益诉讼制度的立法回顾

公益诉讼制度的确立为个人信息保护领域的引入提供了可能和丰富的参考样本。公益诉讼制度，为维护国家利益或社会公共利益而立。从历史视角考察，公益诉讼制度最早可追溯至古罗马时期授权市民代表社会集体进行的起诉，但其在我国受到诉讼法学界的广泛关注却是在近十年左右。2012 年8月，《中华人民共和国民事诉讼法》（以下简称《民事诉讼法》）修订，第五十五条增设了“民事公益诉讼”条款，成为我国现代公益诉讼制度的雏形。而后，公益诉讼制度历经多次调整和拓宽，探索适用于生态环境和资源保护、食品药品安全、国有财产保护及国有土地使用权出让、英烈人格权保护、安全生产、公共卫生、未成年人权益保护、妇女和残疾人权益保护、文物和文化遗产保护、国防和军事利益等多个领域。大数据时代，个人信息遭受侵害后，若在立法上无公益诉讼辅助，则权益保护效果将大打折扣。为突破民事私益诉讼应对个人信息公益侵害中的窘境，学者们开始论证在个人信息保护领域引入公益诉讼制度的可行性。个人信息保护公益诉讼已成为具有国际共识性的制度，我国公益诉讼法定领域的扩展具备立法空间，个人信息具有鲜明的公共属性品质，将其纳入公益诉讼法定领域，符合公益诉讼制度保护国家利益和社会公共利益的立法目的[4-6]。此后，个人信息保护领域公益诉讼立法探索逐步推进①主要规范有：《关于检察公益诉讼案件适用法律若干问题的解释》（2020-08）、《关于积极稳妥拓展公益诉讼案件范围的指导意见》（2020-09）、《人民检察院公益诉讼办案规则》（2020-09）、《个人信息保护法》（2021-08）、《关于贯彻执行个人信息保护法推进个人信息保护公益诉讼检察工作的通知》（2021-08）。。

（二）个人信息保护公益诉讼制度的司法图景

《个人信息保护法》颁布之前，司法实践已对个人信息保护公益诉讼展开探索。人们最初是将目光转向消费者权益保护公益诉讼制度，期待以此破解常规法律手段对个人信息保护的局限。2017年12月11日，江苏省消费者权益保护委员会就北京百度网讯科技有限公司涉嫌非法获取消费者个人信息及相关问题提起消费民事公益诉讼②参见江苏省南京市中级人民法院（2018）苏01民初1号民事裁定书。，成为首例以消费民事公益诉讼类型提起的个人信息维权公益诉讼。然而，此模式存在两大缺陷——“制度利用率低”且“适用范围受市场活动和消费行为限制”[7]。因而单纯以消费民事公益诉讼保护个人信息终归只是权宜之计。为弥补个人信息保护的不足，2019年，各省市开始在个人信息保护领域探索适用公益诉讼制度。2021年4月22日，最高人民检察院发布11起检察机关个人信息保护公益诉讼典型案例。2021年7月30日，广东省检察院发布4起个人信息保护检察公益诉讼典型案例③江门市江海区人民检察院督促保护住宅小区业主信息安全行政公益诉讼案、湛江经济技术开发区人民检察院督促保护银行客户信息安全行政公益诉讼案、惠州市人民检察院督促整治售楼场所违法采集消费者生物信息行政公益诉讼案、云浮市新兴县人民检察院诉梁某某等人侵犯公民个人信息刑事附带民事公益诉讼案。。《个人信息保护法》公布后，最高人民检察院于2021年8月25日发布检察机关办理个人信息保护公益诉讼案件情况，附有5个案例④广东省湛江经济技术开发区人民检察院督促保护银行客户信息行政公益诉讼案、广东省惠州市人民检察院督促整治违法采集消费者生物识别信息行政公益诉讼案、河南省固始县人民检察院督促保护公民个人信息行政公益诉讼案、河北省保定市人民检察院诉张某东等65人侵害公民隐私权民事公益诉讼案、江苏省泰州市高港区人民检察院诉钟某某等11人侵犯公民个人信息刑事附带民事公益诉讼案。。2021年10月28日，苏州市检察院《发布个人信息保护检察公益诉讼白皮书》及5个典型案例⑤曾某某侵犯公民个人信息民事公益诉讼案、督促企业强化公民个人信息保护民事公益诉讼案、督促规范政府信息公开行为行政公益诉讼案、督促保护就诊者个人信息行政公益诉讼案、督促整治教育培训行业侵犯个人信息行为行政公益诉讼案。。

笔者另通过“北大法宝”及网络资讯检索，经筛选得到，2021年11月1日前已审结的个人信息保护公益诉讼案件近200例（系列案除外）。从案件类型考察，以刑事附带民事公益诉讼案件为主，纯粹的民事公益诉讼仅有5件，进入审理程序的行政公益诉讼案件数为零。行政公益诉讼诉前检察建议虽无法统计确切数据，但从各地公布数据来看，其数量在办理的案件数中占比通常较高。从起诉主体考察，除3件公益诉讼案件由消费者组织提起外，其余案件均以检察机关为原告。从办理的案件数量可知，检察机关2021 年办理个人信息保护领域公益诉讼案件2 000 余件，与其他检察公益诉讼案件相比偏少。2021年12月31日前，全国各省级地区提起或审理了全国或地方辖区内的首例个人信息保护公益诉讼，对其后类似案件具有较大的参考意义①例如，全国首例未成年人网络信息保护民事公益诉讼案件：余杭区检察院诉某网络科技公司侵害公民个人信息民事公益诉讼案（2021-02-07判决）；重庆首例消费者个人信息保护民事公益诉讼案件：重庆市消委诉扬启公司消费者个人信息保护民事公益诉讼案（2021-09-02调解）。。

二、个人信息保护公益诉讼制度的全面检视

可以预见，随着《个人信息保护法》的实施，个人信息保护公益诉讼因其优势将会在侵害众多个人权益的案件中被重点适用。然而，在个人信息公益诉讼制度运行前期，应从制度形式与内容、实体与程序等维度进行全面检视以利于制度的调适。

（一）适用条件与主体范围检视

1.个人信息保护公益诉讼适用条件偏笼统

从法律规范上看，民事公益诉讼与行政公益诉讼作为不同的诉讼种类，其适用条件存在差异。民事公益诉讼中，对侵犯个人信息案件客观起诉条件的主要依据为《民事诉讼法》第五十八条及《个人信息保护法》第七十条，前者要求“侵害众多消费者合法权益，损害社会公共利益”，后者要求“违反本法规定处理个人信息，侵害众多个人权益”，二者为借鉴关系。按照特别法优于一般法的法律适用规则，对个人信息民事公益诉讼的适用条件宜采用《个人信息保护法》的规定。然而，随之而来的问题是，内容中的“本法”可否扩张解释？非法处理个人信息行为这一诉讼事由有哪些典型样态？如何理解“侵害众多个人的权益”？对个人信息条数、违法所得金额是否有要求？是否要求侵犯不特定个人的权益？②有法院认为，“公益诉讼所针对的法益对象为犯罪行为所侵犯不特定公民个人隐私和财产安全，但本案中的涉案行为所侵犯的主体特定，并不属于公益诉讼的范畴。”参见：贵州省毕节市七星关区人民法院（2020)黔0502刑初724号刑事判决书。如何区分个人信息保护中的公益侵害与私益侵害？行政公益诉讼中，提起诉讼的主要依据为《中华人民共和国行政诉讼法》（以下简称《行政诉讼法》）第二十五条，其以“负有监督管理职责的行政机关违法行使职权或者不作为，致使国家利益或者社会公共利益受到侵害”为重要前提。但具体到个人信息保护领域，如何提升“行政机关违法行使职权或者不作为”及“侵害国家利益或者社会公共利益”认定的可操作性？在风险社会中，如何准确评价社会公共利益遭受的减损程度？这些问题均未有清晰的边界和明确的指向。

2.个人信息保护公益诉讼主体规则欠明确

第一，个人信息保护公益诉讼制度的原告主体范围有争议。何者能成为适格原告或被告，是公益诉讼制度的重要问题，关乎制度使用率与制度力量组合的实现。在行政公益诉讼中，《行政诉讼法》明确规定诉权主体为人民检察院。而民事公益诉讼中，《民事诉讼法》规定诉权主体为“法律规定的机关和有关组织”及“人民检察院”，但对前者未作出界定。另外，《个人信息保护法》第七十条规定“人民检察院、法律规定的消费者组织和由国家网信部门确定的组织”享有诉权，但仍面临着上述组织如何确定的问题。这些组织需要满足何种条件？是否可以参照环境公益诉讼及消费者保护公益诉讼有关规定？可否建立个人信息保护相关组织，并赋予其提起个人信息保护公益诉讼的权利？除上述三类法定诉权主体外，还有学者主张在此基础上进行突破——个人信息保护公益诉讼中“应该赋予网络运营者以原告资格”[4]，或“可将公民个人与信息处理者纳入个人信息保护公益诉讼原告主体体系范围之中”[5]，这反映了学理讨论对个人信息保护公益诉讼原告主体范围的争议。

第二，个人信息保护民事公益诉讼起诉主体顺位有争议。从文义对《个人信息保护法》第七十条进行考察，其内容表述不同于《民事诉讼法》第五十五条①依照《民事诉讼法》第五十五条的规定，公益诉讼主体的启动顺位为“行政机关／法定组织－检察机关”。，并未体现出三类诉讼主体“检察机关”“消费者组织”“有关组织”的先后关系，甚至透露出立法机关倚重检察机关之境态，因此该三者的关系需做进一步研判。对此有学者提出，为更好发挥民事公益诉讼保护个人信息之作用，可提升检察机关的起诉资格顺位，检察机关与社会组织的起诉资格顺位至少应当是持平的[8]，可见个人信息保护民事公益诉讼主体顺位问题有其特殊性，还需由网信部结合实践探索予以调整。

（二）诉讼路径与诉前程序检视

1.个人信息保护的公益诉讼路径偏向化

个人信息保护的公益诉讼可分别以民事公益诉讼、行政公益诉讼或刑事附带民事公益诉讼三种主要路径进行，三者各具特点。民事公益诉讼诉讼标的是网络运营者或个人等私权主体的个人信息处理者违法侵犯个人信息的行为，行政公益诉讼标的则是行政机关的违法行使职权或不作为。刑事附带民事公益诉讼则是形式与民事的有机结合。对于以上三类个人信息公益诉讼，理应根据具体个案而选择。但问题的症结在于，如何根据个案而选择最适合的诉讼类型？实务中，虽然个人信息保护领域以行政公益诉讼居多，但均为诉前程序，起诉类型上“多集中在刑事附带民事公益诉讼，鲜有其他类型的公益诉讼”[9]，这也体现出了诉权主体在诉讼路径选择上的偏向态度。然而此种保护方式较为单一，保护力度较弱，仍需理顺三类公益诉讼的关系，对个人信息保护诉讼模式进行类型划分以发挥该制度的最大效能。

2.个人信息保护公益诉讼诉前程序设置不周全

诉前程序可分为行政公益诉讼诉前程序和民事公益诉讼诉前程序，二者的启动主体通常为检察机关。行政公益诉讼中，诉前程序具有案件分流功能，通过检察建议的方式依法督促行政机关履职、纠正违法行政行为，提高检察机关提起行政公益诉讼效益。民事公益诉讼中，诉前程序重在鼓励和支持法律规定的机关和符合法律规定条件的有关组织提起诉讼，督促法律规定的机关履职、告知社会组织提起诉讼。然而，当前诉前程序相关法律规范仍不完善，诉前程序操作不统一。对于行政公益诉讼诉前程序而言，相关规定缺乏系统性，标准不清。例如，检察建议整改落实环节容易产生分歧，对检察建议发出后行政机关不履行法定职责的认定及履职程度缺乏统一、明确的标准，增加了检察机关决定是否启动诉讼程序的难度。另外，行政机关监管职权交叉、界定不清也增加了检察机关的工作难度。对于民事公益诉讼诉前程序而言，《公益诉讼解释》仅规定符合法定条件可启动诉前程序，对启动门槛与时间未做明确规定。例如，是否需所收集的证据足以支撑起诉时才启动诉前程序？另外，诉前程序与诉中程序的衔接亦不协调、不通畅。

（三）请求类型与诉讼程序检视

1.个人信息保护民事公益诉讼诉讼请求待探索

第一，诉讼请求类型单一。从已有裁判案例考察，个人信息保护民事公益诉讼或刑事附带民事公益诉讼中的民事部分诉讼请求类型单一，诉讼请求多为停止侵权、赔礼道歉、消除危险和赔偿损失。从保护公益的客观需要来看，个人信息保护公益诉讼的诉讼请求需逐步多元化。第二，传统诉讼请求类型中，涉及侵权责任的主体分配问题。例如赔礼道歉诉请中，是以公司的名义还是所有主体均需赔礼道歉？第三，诉讼请求类型有争议。当前，学界对个人信息保护民事公益诉讼中的赔偿问题争议激烈。笔者将其归结为两大问题：一是能否提出金钱损害赔偿？二是能否提出惩罚性赔偿。立法的缺位直接导致了司法实践差异，在查清非法获利的基础上，有的未提出赔偿损失的诉讼请求。第四，在适用赔偿责任的前提下，赔偿金额难以确定，且获利金额与违法造成的潜在危害并不对等，以获利金额来衡量赔偿数额在某些案件中并不合理①例如，13万余条个人信息的交易价格仅为200元，参见（2019）沪0109刑初1030号刑事判决书。。第五，在适用赔偿责任的前提下，赔偿资金管理规则不明。赔偿金存入方面，司法实践做法不一，例如直接判决赔偿金转入检察机关指定账户②参见河南省洛阳市老城区人民法院（2020）豫0302刑初69号刑事判决书。，或要求被告“支付损害社会公共利益赔偿款，（赔偿款）由公益诉讼起诉人代领后上缴国库”③参见辽宁省沈阳市铁西区人民法院（2021)辽0106刑初332号事判决书。，又或要求赔偿金存入检察机关与财政部门共同建立的公益诉讼专项资金账户中④参见最高人民检察院发布11件检察机关个人信息保护公益诉讼典型案例之十。。此外，赔偿资金管理、资金用途、使用方式等问题也无规范，这些赔偿金能否赔付到个人？如何判断个人损失的具体额度及应赔偿的金额？有待实践中进一步探索。

2.个人信息保护公益诉讼诉讼程序设计显单薄

当前，个人信息保护公益诉讼制度是在承袭公益诉讼基本逻辑的基础上建构起来的，其具体安排和设计略显单薄，对个人信息领域的特殊性回应不足。第一，案件管辖有难度。各类公益诉讼的管辖规定并不一致，案件移送相关规范不足，跨区域案件管辖问题突出。互联网环境下，案件横跨多个省份，其管辖权确认是实践难点。第二，举证责任分配规则不明朗。个人信息保护民事公益诉讼中，网络运营者具有技术优势，是否还需要坚持私益诉讼“谁主张谁举证”一般举证原理？如何重新合理、公正地分配举证责任，实现实质公平？在《民事诉讼法》没有对公益诉讼举证责任分配做出特殊规定的情况下，个人信息保护民事公益诉讼可否突破一般举证规则？行政公益诉讼中，检察机关需要承担何种程度的证明责任？相关诸多问题有待立法回应。第三，一审后程序缺乏。对于个人信息保护公益诉讼中检察机关如何启动第二审和审判监督程序，尚未见明确规定，若适用《民事诉讼法》中的普适性规定，检察机关的“当事人”与“监督机关”双重身份将会引发“上诉”与“抗诉”的冲突。第四，对于公益诉讼中的其他规则，如诉讼时效、调解和解、案件撤诉、案件执行、诉讼费用等子制度仍应进行“量体裁衣”[10]。

三、个人信息保护公益诉讼制度的完善建议

虽然个人信息保护公益诉讼制度立法规范在近两年来得到不断充实和加强，但法律供给不足的现实问题仍然存在。一方面，《个人信息保护法》关于个人信息保护公益诉讼之规定偏原则化，诸多实体与程序规范有待进一步探索和明确。另一方面，《个人信息保护法》第七十条并未提供健全的制度设计，司法适用中还需援引《民事诉讼法》《行政诉讼法》及《中华人民共和国消费者权益保护法》（以下简称《消费者权益保护法》）等法律及司法解释，不同部门法及不同效力层级的法律规范分布，使得个人信息保护公益诉讼制度呈现碎片化特征，整体协同性欠缺，易引发实践争议。对此，应推动立法，着力加强个人信息保护公益诉讼的法律供给。将较为模糊、抽象的条文规定通过司法解释予以进一步细化和明确，以使“静态的法律制度在最大程度上适应客观司法实践的动态变化”[11]。

（一）细化适用的前提条件

个人信息保护公益诉讼的适用条件可作如下细化：第一，依法界定个人信息违法处理行为，明确《个人信息保护法》与《中华人民共和国民法典》第一百一十一条在规制范围上的衔接适用。学理上，已有学者对个人信息处理者违法处理个人信息的行为从“事前、事中、事后”环节作了全面归纳[12]，也有学者在“七种行为模式”外提出了新的违法处理情形[13]。第二，对受到侵害的权利人人数作出原则性规定。对于民事公益诉讼而言，维护公共利益是启动公益诉讼的核心要件，《个人信息保护法》第七十条“侵害众多个人的权益”应予以解释，可以参照《最高人民法院关于适用〈中华人民共和国民事诉讼法〉的解释》（以下简称《民事诉讼法解释》）第七十五条关于“人数众多，一般指十人以上”的规定，对于“十人及其以下的权利人受到侵害，不采用公益诉讼方式保护”[14]。第三，对是否要求“不特定的众多个人的权益”受到侵害予以定论。本文认为，公共利益关涉大多数人的期待利益，对其判断逐步走向多元化，不以特定或不特定主体权益受损为要件，侵害众多个人的信息权益的，亦会造成公益损害，故而对此不宜作出过多限制，实践中亦存在检察机关针对十多位个人的信息权益侵害事件启动公益诉讼程序[15]。第四，定位好行政权和检察权的关系。行政公益诉讼中，检察机关公益诉讼履职具有谦抑性，在公共利益受损害时，应首先由行政机关依法履职。同时，细化行政机关怠于履职或不作为的情形，把握个人信息行政公益诉讼起诉节点，对检察建议落实、公益受损状态建立审查机制，统一起诉标准，必要时可咨询专家意见。

（二）明确起诉的诉权主体

《个人信息保护法》确定的三类诉权主体中，人民检察院作为宪法规定的国家法律监督机关享有公益诉讼的起诉权，并可提起民事公益诉讼或行政公益诉讼；对于“法律规定的消费者组织”“国家网信部门确定的组织”两类主体仅享有民事公益诉讼诉权。此三类诉权主体均超越了直接利害关系并代表社会公益，而个人因不具备此条件而被排除在公益诉讼主观范围之外。对于职能部门是否可以起诉问题，因《个人信息保护法》正式文本删除了“职能部门”，且其充当诉权主体缺乏现实可能性，本文不再讨论。民事公益诉讼中，应以检察机关为主，有关组织为辅。但为了激励有关组织起诉，可在一定程度上放宽诉权门槛。为保证有关组织的适格性，管理部门可对有资质者进行筛选、统计、公布与更新，将其纳入人民法院资质审查机制和信誉档案机制。此外，可以设立类似消费者协会的“个人信息保护组织”，并对其进行审查和赋予公益诉讼诉权。

在此种设定基础上，还应对三类主体提起诉讼的顺位作出具体规定。在公益诉讼的其他法定领域中，基于检察机关的谦抑性，通常只有在有关组织没有起诉的前提下，检察机关才可替补性提起公益诉讼。但本文认为，个人信息侵害的危害后果具有迅速扩大性特征，在行政上诉前督促效果不佳时，其他组织因缺乏强制性保障无法及时有效实现阻止违法行为继续实施的目的，检察机关若不及时通过民事公益诉讼方式介入，将可能产生无法挽回的严重后果，此时若继续通过诉前公告方式推进诉讼程序，将会耽误阻止违法行为和及时调查取证的时机，故而此时不宜再对社会组织优先顺位做出限制。

（三）建立诉种的选择机制

在大数据时代，侵犯公民个人信息案件类型多变，牵涉行业广泛且主体众多，同一事件同时触发三种诉讼类型的情形较为常见。为更好地发挥公益诉讼的功能，需要理顺三类公益诉讼的并立和衔接关系。对侵犯个人信息损害公共利益的案件，需根据案情有针对性地选择诉讼类型。第一，若侵犯个人信息损害公益的违法主体为私权主体，且不涉及刑事犯罪或证据不足不构成犯罪的，则三类诉权主体均可提起民事公益诉讼，检察机关还可启动行政公益诉讼程序，督促履行个人信息保护职责的部门依法履职。第二，若侵犯个人信息损害公益的行为涉及刑事犯罪，由检察机关提起刑事附带民事公益诉讼，或在刑事案件审结后提起民事公益诉讼，其中民事公益诉讼程序可合理前置，督促被告人主动认罪认罚认赔。侵权人和被告人不一致时，可选择提起刑事附带民事公益诉讼。第三，若侵犯个人信息损害公益的违法主体为公权主体，如履行个人信息保护职责的部门不作为或者违法作为损害公益的，检察机关可提出诉前检察建议并视履职情况提起行政公益诉讼。第四，对于公民就个人信息受到侵害主动维权的，可针对个案支持起诉。对于个人信息保护公益诉讼三种路径，应根据个案结合特点综合考量，择一或多选。

（四）优化诉前的程序设置

个人信息保护公益诉讼制度的完善，还需在诉前程序尤其行政公益诉讼诉前规则等方面探索创新。“诉前程序是行政公益诉讼制度优势的充分体现”[16]，行政公益诉讼诉前程序作如下完善：其一，建立启动诉前程序启动事由审查机制，就专业性问题可特邀专家学者就此研究和论证；其二，应确保检察建议的科学合理性、可操作性，其建议内容应契合有效解决问题的目的；其三，检察建议发出后，检察机关需对落实情况密切关注、积极跟进。对于涉及刑事犯罪的案件，应明确诉前检察建议的提出时间。本文认为，诉前检察建议的提出时间不以刑事诉讼程序终结为前提，刑事案件诉讼程序中即可向行政机关发出检察建议督促履职。此外，对于阻止侵害行为具有紧迫性、侵害结果难以补救的情形，探索减少诉前程序，必要时可申请法院采取措施提前进行违法纠正。

（五）丰富请求的责任类型

个人信息保护公益诉讼“保护公共利益”或“恢复、补偿受到减损的公共利益”之目的实现，有赖于实体上丰富、精准且可行的诉讼请求提出。针对个人信息保护公益诉讼中争议最大的民事诉请难题，除细化实践常见的“停止侵害、消除危险、消除影响、赔礼道歉”诉请规则外，还可从如下方面寻求突破：其一，积极拓展个人信息保护民事公益诉讼诉讼请求类型。例如，在“重庆市消费者权益保护委员会与扬啟公司消费者个人信息保护民事公益诉讼”案中，其“以行为补偿损失”的公益诉求在全国消费民事公益诉讼中尚属首次；在“宝山区检察院诉韩某某等侵犯公民个人信息刑事附带民事公益诉讼案”中，提出了“关闭涉案网站”“注销涉案QQ号”“删除公民有关个人信息”等诉讼请求并得到法院支持。理论和立法探索可以此为契机，在公民个人信息保护领域，探索新型的预防性、补偿式、恢复性公益诉求。其二，在确立损害赔偿诉请适用的正当性基础上，就损害赔偿请求权适用情形类型化。在学理上，杨立新认为，“公益诉讼的主体不得在公益诉讼中获得损害赔偿”[17]，但实际上，损害赔偿诉请在我国个人信息保护公益诉讼司法实践中已被广泛适用，用于填补损害与激励起诉，域外如《欧盟一般个人信息保护条例》（GDPR）第八十条也有就侵害个人数据公益损害获得赔偿作出明确规定。其三，积极探索个人信息保护公益诉讼惩罚性赔偿，发挥公益诉讼补充性救济和威慑功能。从惩罚性赔偿制度横向比较考察，公益诉讼其他法定领域已开始探索和实施①2021年6月，《探索建立食品安全民事公益诉讼惩罚性赔偿制度座谈会会议纪要》印发，要求在提出合适诉请、建立民事公益诉讼惩罚性赔偿制度等方面作出有益探索。，说明该问题仍具有探索可行性。检察实务领域，对惩罚性赔偿制度的态度亦以支持为主[18-19]。

此外，对于损害赔偿诉请附带产生的关键问题——赔偿金如何管理使用？本文认为，现阶段宜授权各地就此问题展开探索，待时机成熟后选取可行方案固定于立法中。一是参照其他公益诉讼法定领域的做法，拟定个人信息保护公益诉讼领域的赔偿基金适用规则，例如设立全国统一的公益诉讼损害赔偿专项基金，个人信息保护相关的公益支出；二是探索创新前提类别的赔偿基金使用规则，如上缴国库、支付至法院执行款专项账户或合作基金会专项账户等。然而，对于赔偿金的使用能否专门用来补偿或救济因个人信息侵犯造成重大损失或困扰的个人，笔者认为，如此做法将与公益诉讼目的相矛盾，因为个人信息保护诉讼的公益诉讼与私益诉讼、代表人诉讼存在根本区别，公益诉讼并非众多个人信息权利主体提起的私益诉讼的简单相加。况且，公益诉讼中的个人补偿与另行提起的私益诉讼补偿之重复与冲突如何协调亦为难点，个人信息保护公益诉讼多针对不特定众多个人，赔偿金分配不存在可操作性。

（六）探索诉讼的特别规则

个人信息保护公益诉讼有其特殊性，应探索建立相应的诉讼程序特别规则以发挥制度价值。首先，探索降低民事公益诉讼级别管辖规则，民事公益诉讼中原则上由基层法院管辖，有重大影响的公益诉讼案件除外。其次，为应对个人信息侵害案件跨区性带来的挑战，可探索跨行政区划管辖制度，对个人信息公益诉讼管辖问题作出妥善安排。再次，使得调整个人信息保护公益诉讼举证责任，对优势个人信息处理者分配较高证明责任，削弱侵权者的“技术特权”。民事公益诉讼中，原告主体承担证明“非法处理个人信息行为存在”等初步举证责任，审理过程应适用过错推定原则；行政公益诉讼中，检察机关承担“信息侵权行为确实存在且达到侵害公益程度以及被告负有依法履行相应监管职责而不作为或不依法作为”的证明责任，行政机关承担其“未消极履职或不当履职”的证明责任[20]。再次，构建个人信息保护公益诉讼调解规则，以适应司法实践的要求。关于公益诉讼中能否适用调解问题，张卫平曾指出，公益诉讼因涉及社会公共利益，体现处分原则的调解、和解在理论上均不能适用，亦不应得到政策支持[21]。但随着公益诉讼的发展，调解与和解已突破了限制，在环境保护等多个法定领域中得以适用。结合各地有关首案可见，个人信息保护公益诉讼实践中，适用调解方式结案的案件普遍存在，立法应及时作出回应。最后，还应结合个人信息保护的特殊性，就公益诉讼诉讼时效、诉讼费用、案件撤诉、案件执行、二审程序等方面依法探索特别规则。

四、结语

面对大数据的汹涌来势，需要立法及时作出应对与调整。个人信息保护公益诉讼制度的初步构建，及时回应了大数据背景下侵害众多个人信息情形的惩罚措施与救济困境，对个人信息保护领域的公共利益维护具有重要意义。通过对个人信息保护公益诉讼制度进行全面检视后发现，当前我国个人信息保护公益诉讼制度存在适用和运行困境。为使制度效能得以充分发挥，应着力实现个人信息保护公益诉讼制度的精细化，从制度适用条件、诉讼主体、诉前程序、诉讼路径、诉讼请求、诉讼程序等方面进行优化设计。我们期待，个人信息保护公益诉讼制度完善后，能与技术、行政等其他手段一同构筑个人信息的立体式保护网。