个人信息保护的公益诉讼化研究

胡天昊

（华东政法大学 法律学院，上海 200050）

信息时代来临前，个人信息处理的目的、方式等较为单一，形成了“个人信息具有极强的私益属性，主要由信息主体在遭受侵害时提起私益诉讼加以保护”的基本共识；然信息时代下，个人信息处理频繁，涉及个人信息权益的纠纷日益增多。个人信息侵权呈现出“小额分散性侵害”①的特质。如何解决由此引发的社会公益性问题引起了学界的关注。

个人信息侵权行为已经使个人信息保护逐渐突破其私权属性，呈现出社会和公共属性；保护模式也从原来的个人保护演变为“公共社会+个人”协同保护。以个人信息被侵害所造成的后果为区分标准，可以将个人信息侵权事件分为两类：损害个体私益和损害社会公共利益。随着损害社会公共利益的个人信息侵害事件的频发和损害程度的加深，通过私益诉讼间接保护社会公共利益愈显乏力。质言之，私益救济因力度和及时性等方面的局限性使得立法者在《中华人民共和国个人信息保护法》（简称《个人信息保护法》）第70 条首次规定了个人信息保护公益诉讼制度。该制度是一项新的法律规定与司法实践，目前的研究主要集中在实体法领域，较少从程序法维度审视个人信息保护私益诉讼，更无须提个人信息保护公益诉讼了，个人信息保护公益诉讼的起诉条件、适格主体、举证责任和损害赔偿等诸多学理与实践问题还存有争议。

一、规范之维：个人信息保护的法律体系

《个人信息保护法》的出台标志着我国实体法层面的个人信息保护框架已经基本建成，但如何处理法律冲突与法律适用成为“烫手山芋”。个人信息保护法律体系中最为核心的是《中华人民共和国民法典》（简称《民法典》）和《个人信息保护法》。《民法典》第四编第六章（隐私权和个人信息保护）不仅强化了个人信息的保护，而且为《个人信息保护法》确立了最基础的规则。那么在司法和执法中究竟该如何适用《民法典》与《个人信息保护法》呢？

（一）《民法典》与《个人信息保护法》的关系定位及规范协调

关于《民法典》和《个人信息保护法》的关系问题，学者们各持己见。一种观点认为《个人信息保护法》是一部保护个人信息的综合性立法，其所包含的个人信息的私法规则，与《民法典》构成特别法与一般法的关系[1]。但另一种观点认为《个人信息保护法》和《民法典》都是基本法。虽然《个人信息保护法》与《民法典》存在一定的交叉，但两者的任务和性质存在根本不同，前者是旨在保护新型权利的公法，后者是确立民事基本制度的私法，故不能将《个人信息保护法》视为民法特别法[2]。

实际上，上述观点都有失妥当。一方面，《民法典》作为民事权利的“宣言书”，其保护个人信息的基本目的是保障人民群众在数字化时代所享有的各项民事权益，这与《个人信息保护法》保护个人信息权益的立法目的有着异曲同工之妙。但另一方面，二者在调整方法和范围上存在根本不同：《民法典》侧重于从侵权责任角度调整平等主体之间的个人信息处理关系；《个人信息保护法》则主要站在预防角度作出全过程、全方位的规范以调整信息能力不平等的主体间的个人信息处理活动[3]191。据此，无论是将《个人信息保护法》视为《民法典》的特别法抑或是二者均为基本法的观点都是有失偏颇的，是片面的，采取类型化的思考方式系理性之选[4]。具言之，《民法典》与《个人信息保护法》的关系至少可分为下述若干类型：《个人信息保护法》对《民法典》相关规定进行了充实与丰富发展；《个人信息保护法》的规定相对于《民法典》的规定是特别规定而应当优先适用；《个人信息保护法》通过转介条款或相关规定指向《民法典》的相关规定；《个人信息保护法》与《民法典》有不同的规范目的而分别适用于不同的情形等。

（二）个人信息的民法定位：一般人格权

有关个人信息性质的争议仍“不绝于耳”，个人信息模糊的民法定位②有碍其私法救济路径。人格利益保护的私法定位成为主流认识，学界的讨论也主要集中在人格权体系[5]。但当前对个人信息法律性质这一基础性问题的研究尚未终结，仍存在权利说（具体人格权）与法益说之争。遵循现行法的相关规定，宜将个人信息定位为一项人格权益而非独立的人格权。个人信息保护规范被纳入《民法典（人格权编）》，表明其已被立法者所关注，是社会利益诉求多发的种类，亦是审判实践经常面临的诉求[6]160。但这并非将个人信息权益上升为了一项新兴的具体人格权。《民法典》第111条、第1034条未采用“个人信息权”的概念；第六章章节名——“隐私‘权’和个人信息‘保护’”③也足以说明个人信息仅仅是一项人格权益。可见，《民法典（人格权编）》延续了《民法典（总则编）》第五章的民事权利体系，将个人信息规置为“其他人格权益”，即一般人格权④；《个人信息保护法》亦遵循上述制度模式，将“保护个人信息‘权益’”作为其立法目标。此外，《民法典》之所以未将个人信息确认为一项具体人格权，是由于个人信息兼具个人与公共属性。申言之，个人信息“权利说”可能会妨碍数据的共享、利用以及大数据产业在我国的发展，而“权益说”则适当地平衡了信息主体的利益与数据共享、利用的关系[7]213。

二、私益之维：个人信息保护的人格权请求权救济路径

研判个人信息的法律性质不仅是个人信息保护亟须解决的首要问题，而且直接关系到个人信息的私法保护路径。

（一）个人信息权益受侵害适用人格权请求权救济

个人信息权益能否适用一般性人格权保护规则存疑。《民法典》第989 条规定人格权编调整的是因“人格权”的享有和保护产生的民事关系，故“个人信息权益”究竟能否适用《民法典（人格权编）》即人格权请求权存在一定的争议。但主流观点认为人格权编的诸多一般性规范同样适用于个人信息保护。

个人信息权益适用《民法典（人格权编）》的一般性规范。法律解释方法可以消除法律内部的不协调乃至矛盾现象。从文义解释角度出发，《民法典》第990 条第1 款列举了人格权的具体类型，第2 款规定了人格权益的一般条款，因此人格权编关于人格权的一般规定中所出现的“人格权”不仅包括具体列举的人格权，也包括基于人身自由、人格尊严产生的其他人格权益[7]18；从体系解释角度出发，《民法典（人格权编）》采取了“总—分”的体系结构：第一章为总则；第二章至第六章为分则。虽然不论是总则抑或分则都包含了人格权益积极行使与利用的规则，但总则无疑是将共通性规则集中起来作为一般规则加以规定的，故总则关于人格权的一般规则适用于各分则；从客观目的解释角度出发，人格权的客体是人格利益，人格权编立足于互联网、高科技和大数据时代，具有鲜明的实践特色和时代特色[6]155，既保护包括生命、身体、健康、姓名、名誉、隐私、肖像等特别人格利益，也要保护“人身自由+人格尊严”的一般人格利益。物质性人格权即生命权、身体权和健康权的最高利益位阶已得到普遍的认同，其优于一般人格权乃至所有民事权利，实行最严格的保护[8]。但法律对其他人格权益的保护并没有明显的层次区别，至少不能从《民法典》中看出个人信息与其他权益的位阶。既然肖像权、名誉权、隐私权等人格权益都适用人格权编的相关规定，个人信息权益又有何不可呢？另外，从法律漏洞填补层面来看，即便个人信息在性质上不属于一项权利，亦即个人信息难以被“人格权”所涵盖，但可以考虑通过目的性扩张的方式从而适用人格权编的相关规范[9]。

（二）个人信息保护的人格权请求权规范体系

作为救济损害的基本责任方式的侵权请求权系统⑤并非万能，所以需要通过《民法典》和《个人信息保护法》建立特殊的救济机制以保护个人信息权益。

1.人格权请求权

个人信息权益受侵害适用“人格权请求权+侵权请求权”的双层保护模式。传统民法对物权的保护采取“绝对权请求权+侵权请求权”。相比于物权，人格权亦属于典型的绝对权，在权利价值上更具基础性[6]162，故《民法典》第995 条确立了对人格权的特殊保护规则——人格权请求权⑥。《民法典》第995 条规定的是“人格权受到侵害”，前已述及，即便将个人信息定位为一项人格权益也并不影响个人信息保护适用《民法典（人格权编）》的一般规则。将其援引到个人信息保护时，可以理解为个人信息权益受到侵害或有侵害之虞时，信息主体可以主张人格权请求权进行相应的救济。实际上，《中华人民共和国消费者权益保护法》第50 条早就规定了：经营者侵害消费者个人信息权益的，应当停止侵害、恢复名誉、消除影响、赔礼道歉，并赔偿损失。同时，《民法典》第995 条前款是连接人格权请求权与侵权请求权的引致条款，其将侵害人格权的法律适用“引致”《民法典（侵权责任编）》。与侵权损害赔偿请求权相比，人格权请求权的构成要件相对宽松。前者出现在人格权益受到侵害并且造成损害后果发生后，对所有权益损害的后果一视同仁加以事后救济；而后者是积极防御权，作用于人格权益有被妨害之虞以及正在遭受不法妨害之时，以防范人格权益受损。

《个人信息保护法》第44-50 条规定的个人信息权能不仅是对《民法典》规定的信息主体权利的扩充，更是人格权请求权的具体形式，应当优先适用。《民法典（人格权编）》第六章规定了个人在个人信息的处理活动中的诸多权利或职能：知情同意权、查阅权、更正权和删除权。前已述及，《个人信息保护法》对《民法典》相关规定进行了充实与丰富发展。具言之，《个人信息保护法》第44-50条丰富、发展了上述权利，在《民法典》第1037 条基础上增加了四项权利：知情权与决定权、个人信息的可携带权、补充权、解释说明权。既然《民法典（人格权编）》总则和分则都包含了人格权积极行使与利用的规则，而更正权、删除权等可以说是人格权请求权的具体表现形式[10]。那么个人信息处理者违法处理个人信息致使个人信息受到妨害时，信息主体可直接、优先适用《民法典（人格权编）》分则以及《个人信息保护法》;而当《个人信息保护法》的规定相对于《民法典》的规定是特别规定时，应当优先适用前者。缘于此，《个人信息保护法》第44-50 条规定的权利在具体适用上具有优位性，而《民法典》第995 条保持“潜伏状态”——不应适用此条寻求救济；当上述列举的权利不足以实现救济、无法消除妨害时，方可适用《民法典》第995 条人格权请求权，以实现《个人信息保护法》和《民法典》的良性互动[11]。

2.禁令请求权

“权利的存在和得到保护的程度，只有诉诸民法和刑法的一般规则才能得到保障”[12]41。我国《民法典》对人格权的保护方法，同样也可以适用于《个人信息保护法》，例如人格权侵害禁令制度。该制度是人格权请求权的独立实现程序，亦是《民法典（人格权编）》的一大亮点。这是因为《个人信息保护法》并未包含个人信息保护的全部私法规范，只有将《个人信息保护法》与《民法典》的相关规定相结合，才能形成完备的个人信息保护规则体系。信息主体因个人信息权益受到侵害向人民法院申请上述禁令时，人民法院应按照《民法典》第997条规定的具体条件进行审查。

三、起承转合：个人信息保护公益诉讼制度的生成机理

民事法律对个人信息保护作了很大的贡献，立法也较为周密，单纯围绕个体私益的案件完全可以通过民事私益诉讼进行维权。但“小额分散性侵害”信息侵权行为可能涉及公益与私益的交织，这意味着纯粹的私益救济模式——“人格权请求权+侵权请求权”可能力有不逮，故保护“个人信息权益+社会公共利益”有必要另辟蹊径，而公益诉讼的生成机理与程序逻辑正契合这一要求。

（一）个人信息保护公益诉讼制度的必要性

对公共利益的保护并不能通过单一渠道加以完成和实现，多元的公共利益保护途径是完善的公共利益保护机制的必然选择[13]1。

1.个人信息私益诉讼“心余力绌”

首先，诉讼程序启动受限，难以发挥人格权请求权预防损害抑或是侵权请求权赔偿损害的功能。个人信息侵权行为往往具有隐蔽性、复杂性、规模性、专业性等，信息主体难以发现个人信息权益受损。即便发现了，大规模的个人信息侵权突破了一般民事侵害的界限，侵权人与被侵权人具有间接性，侵害对象不特定，侵权行为与结果不一定存在实体上的利害关系[14]。根据传统“利害关系人”理论，个人可能无法提起诉讼。其次，当事人理性漠然。面对“小额分散性侵害”的信息侵权行为，私权的私益救济鉴于高昂的行权，尤其是诉讼成本而惨遭所谓的“理性的漠然”。个人信息处理者需要处理、分析数以亿计条信息以得出其需要的数据，这涉及众多权利主体，相对应的单条信息的价值并不高[15]74。就算能够证明自己是利害关系人，考虑到维权成本和收益之间的悬殊差距，信息主体往往不愿大费周章地提起个人私益诉讼，但出于“搭便车”的心理其往往期待他人提起诉讼制止此类侵犯社会公共利益的侵权行为。信息主体自甘放弃行权，个人信息处理者的违法行为自然也就得不到相应的“惩戒”，继而无法发挥实体规范的威慑和预防功能。最后，两造的不平衡性。个人信息侵权私益诉讼中双方当事人的不平等性不仅表现在双方经济实力上的悬殊差异、有无律师代理等因素造成难以平等行使诉讼权利，而且还体现在因距离证据的远近、接近证据的难易程度、举证手段和举证能力的差异所致的事实上的不平等[16]。个体在个人信息权益受损时往往选择沉默，即便诉之于讼，信息主体的诉求难以获得支持，少数维权成功的个例亦难以震慑侵权主体。更谈何遏制此类社会性问题？相较于信息主体，以网络运营者为代表的个人信息处理者在资金、技术等方面都具有优势；实力地位的悬殊造成证据在双方当事人之间的分布是极其不平衡的，用于证明要件事实的证据材料往往处在个人信息处理者的控制领域内，而信息主体则可能无从知晓有关证据材料的信息，即难以获取证据。即便是侵权认定成功，法官更倾向于做出较轻的判决，损害赔偿金额与实际损失相差甚远[17]。传统私益诉讼不仅难以震慑侵权主体，而且直接作用的范围和影响范围基本上限定于个案，社会效果微弱。可见，私益诉讼无法救济众多个人受损的利益，就算能够提供相应的救济，也无法产生超越个案的意义。

2.个人信息公法保护“力有不逮”

既有的公力救济的局限性愈渐凸显。当民法典不能有效保障个人信息权益时，刑事司法、行政司法则及时跟进，通过惩罚和救济，充分全面保护法益[18]。目前“二次规范”主要包括了刑法与行政法保护，但同为公权力的刑罚权与行政权理应具备谦抑性[19]，这就要求启动公法保护程序的前提是侵权行为造成严重的后果。此外，行政机关“失范”不足为奇，甚至频发“监守自盗”。作为信息行业监管者之一的行政机关本应对侵害个人信息的行为加以行政处罚，但实践中相关主管部门极少对企业处理用户个人信息的失范行为施以行政处罚，甚至还出现政府部门公职人员在信息资源化、商业化利诱下利用公权力私利寻租，侵犯公民个人信息的情况[20]195。

（二）个人信息保护公益诉讼制度的可行性

1.个人信息的公共属性

个人信息具备公共属性，关涉社会利益，这为公益诉讼介入个人信息保护领域奠定了正当性基础。个人信息作为公共领域的公共素材、材料，其不仅是社会治理、企业管理创新和改善的资源，也是科学文化艺术创新进步的资源池[21]。以社会治理为例，“健康码”是我国应对新冠疫情下社会流动的重要尝试，是个人信息权益等个体权利与疫情防控等公共利益的集合体[22]。这也就意味着信息主体的个人信息权益是可以适度让渡于更加迫切、现实的公共利益。个人信息的公共性和社会性决定了个人信息保护的公共性和社会性，相应地个人信息保护的责任主体也要以社会为主。当前对传统个人信息控制理论的反思和批判旨在促使个人信息保护的基本理论从个人本位转变到社会本位、个人控制转变到社会控制，而个人信息的社会本位或社会控制要求保护个人信息的责任主体由以个人为主转向以社会为主。有鉴于此，《个人信息保护》第70 条首次确立了个人信息保护公益诉讼制度，将“个人信息保护”划定为公益诉讼的新领域，为我国个人信息保护“以个人为主转向以社会为主”提供了治理新思路。

2.公益诉讼的比较优势

公益诉讼满足信息时代下个人信息保护的特殊要求；同时，附随的规模效应能超越个案样本的局限性、产生广泛的社会影响，继而增强对侵权主体的震慑作用以维护个人权益和社会公益[23]41。具言之，其一，公益诉讼的介入有利于形成全方位的个人信息保护屏障，有效破解“较低的察觉率和维权率使得个人信息得不到及时、有效的保护”这一现实困境。理想状态是法律规定的国家机关、社会公共组织和信息主体协同发力，共同保护个人信息。以检察机关为例，其作为宪法赋权的国家的法律监督机关无疑是维护公共利益的代表，充当个人信息保护的“守夜人”是其义不容辞的职责。其二，公益诉讼原告能“补强”私益诉讼主体在程序启动动力、诉讼能力等方面的不足以保持两造平衡。侵害个人信息行为造成单个权利人的损害甚微，几乎可以忽略不计抑或是难以计算，这也就抑制了信息主体提起私益诉讼的意愿[20]197。不同的是，提起公益诉讼是《个人信息保护法》赋予人民检察院、法律规定的消费者组织和由国家网信部门确定的组织的职权。此外，公益诉讼原告能弥补私益诉讼原告在搜集证据、诉讼等方面的不足。私益诉讼主体很难获取与固定证据，甚至无法辨析具体侵害主体与侵权环节，无法证明信息处理者行为与损害之间的因果关系[24]。但检察人员等具备专业的法律知识，熟谙诉讼技巧；退一步而言，即便其匮乏个人信息领域的专业知识，但亦可整合社会资源、寻求外脑帮助，例如邀请互联网专家抑或专业公司协助办理案件。

四、公益之维：个人信息保护公益诉讼的程序逻辑

《个人信息保护法》第70 条对个人信息保护公益诉讼仅作出原则性、简略性规定，这给具体制度化留下研讨空间。

（一）个人信息保护公益诉讼的起诉条件

个人信息保护公益诉讼的起诉条件可拆分为两大要件：一是“违反本法规定处理个人信息”；二是“侵害众多个人的权益”。要件一较好判断，之所以能够将违法行为限定在《个人信息保护法》，是因为该法已经涵盖了其他法律规定的违法处理个人信息的行为。简言之，《个人信息保护法》对违法行为的概括是周延的。问题在于如何理解要件二，该要件在文义上包含着对“量”的衡量，多少受害人才能称得上“众多”？实际上，要件二借鉴了《中华人民共和国民事诉讼法》（简称《民事诉讼法》）第58 条“侵害众多消费者合法权益”的表达方式。《最高人民法院关于适用〈中华人民共和国民事诉讼法〉的解释》第75 条解释了《民事诉讼法》第56 条、第57 条和第206 条规定的人数“众多”（一般指十人以上），但有意回避了第58条。

为有效弥补私益救济的“不可为、不能为和不便为”[25]162，个人信息保护公益诉讼的起点必须是“宽口径”的，以保证适格原告能够顺利提起公益诉讼。虽然尚无法把握“众多”的含义，但公益诉讼之目的在于维护社会公共利益，“众多”仅作为认定社会公共利益的形式标准。质言之，个人信息保护公益诉讼起诉条件应该以是否体现社会公共利益为衡量标准，而不能简单以“量”为标准或者严格限制“量”。实际上，最高人民检察院下发的《关于贯彻执行个人信息保护法推进个人信息保护公益诉讼检察工作的通知》为“宽口径”的起点指明了方向⑦。

（二）个人信息保护公益诉讼的主体

1.适格原告的顺位

个人信息保护公益诉讼适格原告的起诉顺位存疑。人民检察院、法律规定的消费者组织和由国家网信部门确定的组织是个人信息保护公益诉讼的三类适格主体，个人被排除在外。这种限制的理论依据是国家代表权论，即只有国家才能代表这种不可分利益，组织的代表权也是国家所委托的[26]。《个人信息保护法》第70 条对适格主体只是做了指引性规定，但值得注意的是：该法一改往常，将检察机关置于诉权主体的首位。这引起理论界关于上述主体在提起个人信息保护公益诉讼时的先后顺位之争。一种观点认为，鉴于《民事诉讼法》第58 条、《人民检察院公益诉讼试点工作办法》第13 条和《两高关于检察公益诉讼案件适用法律若干问题的解释》第13 条等规定，个人信息保护公益诉讼的起诉顺位应当遵循“行政机关/法定组织-检察机关”[25]162-163；另一种观点则认为，根据新法优于旧法、特别法优于一般法的原则，诉权主体顺位应为“检察机关—消费者组织—有关组织”[27]。

应当提升检察机关的起诉资格顺位，至少做到与消费者组织、有关组织持平。当前对个人信息保护公益诉讼的夯实已经成为急迫的现实需要，但无论是通过消费者组织抑或是由国家网信部门确定的组织在短时间内落实个人信息保护公益诉讼制度几乎不大可能。因为主观上，相关组织是否积极存疑；客观上，相关的配套制度和人员匮乏。在个人信息保护领域，虽然检察机关发现和掌握线索的能力不及国家网络部门等履行个人信息保护义务的专门组织，但鉴于检察机关在动机纯化、组织架构和人财物保障等方面的“比较优势”，现阶段由其作为主力军并无不妥。截至2021 年8 月，检察机关作为个人信息保护公益诉讼案件的起诉主体的占比高达94%，并在司法实践中取得良好的实施效果[28]539-540。可见，在公益诉讼的适格原告范围上，打破我国以往秉持的严格限制原则不仅具有合法性，也具有实践基础。同时，还应当加强各主体之间的衔接与配合。分别发挥检察机关和消费者组织、有关组织在办理公益诉讼案件和掌握线索方面的优势，通力配合，打好“信息保卫战”。

2.适格的被告

公益诉讼路径决定了适格被告之范围。个人信息保护公益诉讼的适格被告系指违反《个人信息保护法》处理个人信息、侵害众多个人权益的个人信息处理者，主要包括两类：一是经营者与服务提供者等私主体；二是履行个人信息保护职责的国家行政机关等公主体。第一类主体并无疑义，从国内外的实践经验来看，在大规模侵害个人信息权益的案件中被告通常是某些领域内的大型企业（当然并不排除中小型企业）[29]66-67。但国家行政机关能否作为个人信息保护公益诉讼的适格被告在理论界仍有争议。笔者认为该问题实质上是在讨论《个人信息保护法》是否规定了个人信息保护行政公益诉讼。

《个人信息保护法》并未将个人信息保护行政公益诉讼排除在个人信息保护公益诉讼的路径外。虽然个人信息保护民事和行政公益诉讼在诉讼对象、被诉行为、诉前程序的必要性和实现路径等方面存有差异，但二者的目的是一致的：保护个人信息公共利益[30]。作为特殊的个人信息处理者，国家行政机关在处理个人信息时，也可能存在违法行使职权或者不作为侵害众多个人权益的行为。即便《个人信息保护法》第68 条和相关法律⑧已经规定了其他的解决路径和相应的法律责任，但这构不成排除个人信息保护行政公益诉讼的理由。从司法实践来看，个人信息保护公益诉讼不局限于民事公益诉讼，例如在最高人民检察院2021 年4 月发布的11 起检察机关提起个人信息保护公益诉讼的典型案例中，个人信息保护行政公益诉讼案件就高达6 起。这表明个人信息保护行政公益诉讼在司法实务中已经得到了肯定。

（三）个人信息保护公益诉讼适用举证责任倒置

《个人信息保护法》第69条第1款确立的个人信息侵权责任过错推定的原则同样适用于个人信息保护民事公益诉讼制度。过错推定属于可以推翻的法律上的事实推定，是法律对过错要件的推定，产生举证责任倒置的效果，本应当由原告负担的证明被告具有过错这一事实的证明责任被转移给被告[31]119-120。这是由于个人信息侵权案件的相关证据往往处于大型企业的支配之下，原被告双方形成了极其不平等的地位关系。即便是由公益诉讼原告证明个人信息处理者存在过错也较为困难，所以有必要通过错推定原则减轻原告的取证压力和举证责任；过错推定对个人信息处理者而言也非过于苛刻，为其留有免除责任的证明空间。只有个人信息处理者无法证明自己没有过错的才推定其存在过错。需要注意的是，被告可能会隐瞒、转移或删改信息而自证其行为合法，故原告有权请求人民法院或者其他诉讼参与人调查取证，此时被告应配合、协助取证，不得设置技术障碍[32]。另外，个人信息保护行政公益诉讼也应当实行举证责任倒置。由行政主体承担其未消极履职或不当履职的证明责任；检察机关则需提供证据证明信息侵权行为达到了侵害公益程度以及被告负有依法履行相应监管职责而不作为或不依法作为[15]79。

（四）个人信息保护公益诉讼适用惩罚性赔偿

个人信息保护公益诉讼作为一项新制度，惩罚性赔偿作为来源于英美法传统的外来制度，这两项制度叠加所引发的理论与实践问题愈渐凸显。《民法典》第179 条确立了惩罚性赔偿法定原则，对惩罚性赔偿的适用进行了极其严格的限制，以法律明确规定为前提；不宜通过学理解释突破。《民法典》《个人信息保护法》等尚未对个人信息侵权案件规定惩罚性赔偿；程序法方面，现有的法律和司法解释也都没有将惩罚性赔偿的诉讼实施权授予诉权主体。即便惩罚性赔偿面临上述实体和程序法层面的双重障碍，在河北省保定市人民检察院诉李某侵害消费者个人信息民事公益诉讼案中，检察机关提出了惩罚性赔偿诉讼请求并得到人民法院的支持。该案在我国个人信息保护公益诉讼中首次适用了惩罚性赔偿规则，并且得到了司法实务的肯定。事实上，消费公益诉讼惩罚性赔偿问题亦遵循上述路径。当前，惩罚性赔偿制度之所以存有争议，是因为有关该制度的细节和配套办法在公益诉讼领域付之阙如。虽然惩罚性赔偿都已经成为消费公益诉讼实践中最重要的诉讼请求，但诸如惩罚性赔偿金的计算、归属以及能否与刑事罚金抵扣等尚无理论、规范性文件予以指导[33]。此即加大了将惩罚性赔偿制度落实到个人信息保护公益诉讼的难度，然这并不能阻碍在个人信息保护公益诉讼中引入惩罚性赔偿。

结语

在大规模侵害个人信息的案件中，公益诉讼并非唯一的救济渠道。一切诉讼无不以对公益的保护为目的，公益诉讼不过是传统私益诉讼对公益保护的深化，两者在本质上具有一致性[34]。但鉴于个人信息保护公益诉讼与私益诉讼在实体利益、程序利益以及制度的设计目标上等方面的差异性，二者并不能相互抵消，各有存在的合理性。申言之，个人信息保护公益诉讼只能起到防御作用，是不完全救济，公共的个人信息合法权益可能不再遭受损害；但具体受害人的损害只能通过私益诉讼得以完全的填补[29]71-72。据此，唯有“个人信息保护公益诉讼+私益诉讼”方可构建起全方位的个人信息保护屏障。此外，还可能发生法律责任聚合（同时引发多种法律后果）的情形。根据《民法典》第187 条的规定，个人信息保护公益诉讼并不影响作为侵权人的个人信息处理者承担相关刑事与行政责任。