检察机关提起个人信息保护民事公益诉讼的困境与破解

王志民 张纳 张亚峰

摘 要：随着信息化社会发展，我国明确规定了个人信息保护的公益诉讼制度，赋予了检察机关提起个人信息保护公益诉讼的诉讼资格。但在个人信息保护实践中，检察机关提起民事公益诉讼仍然存在许多问题，如受案范围模糊、起诉主体范围与顺位不明确、诉讼请求适用不完善等。对此，应当进一步完善个人信息保护公益诉讼制度，合理拓宽个人信息保护公益诉讼受案范围。检察机关应当积极能动履职，高质效办理个人信息保护民事公益诉讼案件，在案件办理中合理探索适用惩罚性赔偿等诉讼请求。

关键词：个人信息保护 检察公益诉讼 民事公益诉讼

一、问题的提出

在数字化时代，违法收集、获取、使用、买卖个人信息的侵权现象并不罕见，其中以互联网为载体所产生的个人信息侵权问题则更为突出。［1］为切实应对这一问题，我国出台了《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》），并在第70条明确将个人信息保护纳入检察公益诉讼法定领域，即“个人信息处理者违反本法规定处理个人信息，侵害众多个人的权益的，人民检察院、法律规定的消费者组织和由国家网信部门确定的组织可以依法向人民法院提起诉讼”。

不过，《个人信息保护法》相关配套规范性文件数量并不多，而个人信息的存储、使用等行为衍生的相关社会关系愈加复杂，使得个人信息保护检察公益诉讼“实践先行”与法律固有滞后性之间的张力进一步突显，检察机关提起个人信息保护民事公益诉讼面临诸多困境，急需予以破解。

二、检察机关提起个人信息保护民事公益诉讼的困境

相较于传统领域，《个人信息保护法》第70条并未对相关实质性、程序性问题作出具体规定，使得在个人信息保护领域，检察机关提起民事公益诉讼仍面对许多困难。

（一）受案范围不清晰

首先，從文义解释角度出发，第70条中规定的“违反本法规定”为检察机关提起民事公益诉讼附加了一个基本前提，即违法行为“违反本法规定”，这实际上对相关案件类型造成了限缩。其次，社会公共利益与“众多个人的权益”之间还不能直接等同。第70条将个人信息保护公益诉讼的救济客体确定为“侵害众多个人的权益”，但其是否与《人民检察院公益诉讼办案规则》（以下简称《办案规则》）规定的“社会公共利益仍然处于受损害状态”这一起诉条件的程度相一致，却并未明确规定。最后，现有规定的预防性功能发挥不明显。第70条将众多个人的权益已受到侵害作为诉求前提之一。从这一表述直接理解，若相关权益未受到实际侵害，则检察机关很难提起公益诉讼。这就需要明确许多问题，如怎样明确社会公共利益受到损害的程度？个人信息保护刑事案件中的“侵害”与此处的“损害”是否有所不同？如何将“风险”纳入提起公益诉讼的考量范围内以达到预防性效果？

（二）起诉顺位不明确

虽然第70条规定了可以向审判机关提起诉讼的主体，但是该条与民事诉讼法规定的公益诉讼起诉顺位存在一定差别。在民事诉讼法的公益诉讼制度相关规定中，检察机关扮演着“兜底”角色。［2］然而，第70条却将检察机关放置在前，并规定由网信部门来确定“有关组织”的具体主体，且现有列举很难说是并列列举或依次列举。这也为检察机关履职增加了难度。例如，检察机关在公告阶段如何确定适格主体及其起诉顺位？

（三）诉讼请求适用规范不完善

《办案规则》第98条第1款规定了检察机关可以提出的诉讼请求，包括“停止侵害、排除妨碍、消除危险、恢复原状、赔偿损失等”，并在第2款规定针对不同领域案件，还可以提出特定诉讼请求。但该条亦没有提及个人信息保护领域案件。由于个人信息经济价值的不确定性，当公民个人信息的合法权益遭受侵害后有时难以计算具体损失，甚至十分容易产生极高或极低的极端情况。在这种情况下，检察机关也尚无提出赔偿损失诉讼请求的适用规范，使得检察机关更加难以精准且科学地提出具体诉讼请求。

三、检察机关提起个人信息保护民事公益诉讼的困境破解

针对上述问题，结合现有法律规定、司法实践，可以尝试从以下方面进行针对性完善：

（一）进一步拓宽受案范围

第一，拓宽个人信息侵害被诉行为的范围。正如前文所言，社会背景不同，“社会公共利益”具体内容也会产生变化。这也要求该领域民事公益诉讼的受案范围不可过于僵硬，而应当是一个开放的、动态调整的体系。基于此，为切实维护公益，应当将个人信息侵权行为的违法性要件，由“违反本法规定”通过司法实践、司法解释或其他方式实际定位至“违反国家规定”，以此避免成文法的局限性，拓宽未来公益诉讼案件类型的发展空间。

第二，明确社会公共利益损害的实质判断标准。一般而言，判断“公益”的主要标准便是在于相关利益主体的广泛性、不确定性与非排他性［3］，以人数“众多”这一形式要件作为判断标准来衡量受侵害的特定利益是否属于公益稍有不妥。检察机关提起个人信息保护公益诉讼，应以不特定多数的利益受到侵害为前提。考虑相关刑事犯罪案件的实际损害后果程度是否达到第70条表述的“侵害众多个人权益”，需要综合考虑个案中的受害人实际数量及其分布、是否存在潜在不特定受害人等多种因素。

第三，发挥个人信息保护公益诉讼预防“风险”的作用，以“诉”为手段督促“信息掌握者”削减风险、尽到规避个人信息泄露的义务。但是，不能仅仅简单地将“风险”作为公益诉讼的主要目的，而是要有“筛选”意识，即进一步梳理“风险”类型及其客观危险性与紧迫性，进而判断应当借由且能够借由公益诉讼所规避的风险。当然，如果在个人信息犯罪中，行为人已经全部履行了修复受损公益所需费用，则无提起民事公益诉讼的必要。否则行为人就有可能面临仅实施一个违法行为，而承担多次法律责任的问题，既有悖于民事损害赔偿所应当遵循的损失填平原则，又造成相应的起诉主体通过诉讼获益而引发的道德风险。

（二）明确检察机关提起个人信息保护民事公益诉讼的顺位

在顺位安排上，《个人信息保护法》第70条实际形成了以检察机关为主、以其他主体为辅的诉讼力量组合。

在已有公益诉讼实践中，由消费者组织为诉讼主体提起公益诉讼的实例并不多，由其提起个人信息保护公益诉讼在短期内难以应对社会实践需要。由国家网信部门确认的组织尚不十分明确，其在可预见周期内很难说能够承担起提起个人信息保护公益诉讼的重任。因此，根据实践需要，让检察机关作为第一顺位发挥带头作用，具有合理性、必要性。检察机关应当充分意识到自身职责，在检察体系内部探索完善个人信息保护公益诉讼办案规范或指引，积极能动履职。当然，这不代表检察机关排斥其他主体依法提起公益诉讼的权利。相反，检察机关仍然需要严格遵守相关规定，积极寻找、确定并告知适格主体可提起民事公益诉讼，并支持并“托举”其他适格主体提起个人信息保护相关的民事公益诉讼。

（三）探索适用多元诉讼请求内容

个人信息本质上属于具有不可恢复性的无形财产，当其面临侵害风险时，排除妨碍、消除危险的责任方式可以在民事公益诉讼案件中适用，消除个人信息安全的潜在威胁或已有风险。但是，个人信息原有的私密性、完整性會在被非法收集、利用时就遭到破坏，且无法恢复，相应财产价值往往也无法返还。在这种情况下，不仅排除妨碍、消除危险无法适用，返还财产、恢复原状这两种责任承担方式也再难适用。在此前提下，检察机关提起个人信息保护民事公益诉讼，依据民法典能够提出的、普遍适用的责任承担方式应当为赔偿损失、停止侵害、赔礼道歉、消除影响、恢复名誉等。实际上，赔偿损失仍然是最主要、是实质的救济形式。需要说明的是，检察机关提起民事公益诉讼适用的损害赔偿请求本质上仍然属于填补式诉讼请求，旨在鼓励更多的适格主体通过司法实现公共利益保障。［4］不过，在现有技术条件下，个人信息违法行为造成的实际损害还无法得到精准鉴定，虽然可以以违法行为人收益作为标准确定损害，但在部分情况下违法行为人获得收益可能很小，而个人信息损害规模又十分巨大。对此，也有学者主张，可以在个人信息保护公益诉讼中探索、推动适用惩罚性赔偿制度，以此提升违法犯罪成本，起到有效预防、震慑作用。［5］在个人信息合法权益受损屡见不鲜的社会背景下，此观点也存在合理性。检察机关可以以食药领域公益诉讼主张惩罚性赔偿的实践为基础进行深入探索，尝试在个人信息保护领域民事公益诉讼中合理适用惩罚性赔偿机制。

当然，仅依靠特定某一主体并不能完全消除个人信息保护漏洞。因此，在强调发挥检察机关力量的同时，还需要调动司法审判、行政监管等多元主体的力量，切实形成个人信息保护合力。

*北京市人民检察院第四分院党组副书记、副检察长、一级高级检察官［100066］

**北京市人民检察院第四分院第四检察部四级高级检察官［100066］

***北京市人民检察院第四分院第四检察部检察官助理［100066］

［1］ 参见王伟洁：《我国数据安全风险、治理困境及对策建议》，《网络安全和信息化》2021年第6期。

［2］ 民事诉讼法第58条第2款列明的第一顺位主体为法律规定的机关与有关组织，而检察机关置于第二顺位。并且，在第一顺位起诉主体不起诉或不存在第一顺位主体时，检察机关才可以提起公益诉讼。

［3］ 参见杨雅妮：《个人信息保护民事公益诉讼案件范围研究》，《重庆大学学报（社会科学版）》2023年第4期。

［4］ 参见张新宝、赖成宇：《个人信息保护公益诉讼制度的理解与适用》，《国家检察官学院学报》2021年第5期。

［5］ 参见孙鹏、杨在会：《个人信息侵权惩罚性赔偿制度之构建》，《北方法学》2022年第5期。