网络个人信息侵权公益诉讼研究

邢力丹 董 倩 余广俊

（陕西理工大学，陕西 汉中 723001）

大数据时代下，个人信息侵权案件频发，不但侵犯了公民个人信息权利，也对信息网络安全造成严重威胁。现有法律对个人信息保护的缺陷在司法实践中已日益突显，探索个人信息保护纳入公益诉讼已势在必行。

一、现行法律对个人网络信息保护的局限性

近些年，我国对公民个人信息的保护通过立法进行了救济，为公民个人信息保护提供了法治基础。但是，个人信息保护的法律由于缺乏统一的规制，过于分散。首先《刑法》中虽有侵犯公民个人信息的条款规定，但法律要求侵犯公民个人信息只有达到“情节严重”或者“情节特别严重”的后果，才能受到刑罚的制裁。［1］在司法实践中，大多数个人信息侵权案件难以被界定为“情节严重”，但是个人信息的泄露极易催生如诈骗罪、绑架罪等一系列刑事犯罪活动，使得刑法对个人信息的保护流于形式，无法有效打击犯罪。其次，《民法典》第一千零三十四条对个人信息保护进行了界定，通过列举的方式明确了九种应当涵盖在个人信息范畴内的信息，但对其法律属性没有予以明确界定，规定模糊。再次，《网络安全法》虽对行政法领域个人信息保护进行了规定，明确公民享有信息删除权、更正权和自决权，但当侵权行为人是网络运营商为时，权利无疑难以保障，若相关行政部门再不作为，个人信息受侵害公民将求助无门。

二、个人信息公益诉讼的法律依据

关于公益诉讼的起诉范围，《民事诉讼法》第五十五条和《行政诉讼法》第二十五条用不完全列举的方式进行了表述，并对其进行了概括补充，规定凡是“损害社会公共利益的行为”均属公益诉讼的范围。可见，对公益诉讼的起诉范围，除了法条明文列举的具体起诉范围外，还可拓展到别的领域，这就需要对不完全列举中的“等”字进行解读。大多数学者和专家认为可对“等”理解为“等外”，即公益诉讼的可诉范围不应受限于法条已经如数列明的范畴，理应囊括一些与条文中列明的侵权事件具有同等属性的案件。最高人民法院也作出司法解释，表明“等”字包含了其他与条文中列举的事项类似的事项。［2］笔者认为，对“等”应作扩大解释，只要案件涉及社会公共利益，符合公益诉讼的起诉要件，就可以通过公益诉讼的方式进行法律救济。由于个人信息的涉众性以及个人信息遭到侵犯和泄露后对社会公众的广泛影响，都说明个人信息侵权案件具有公益属性，可以纳入公益诉讼的起诉范围。

三、个人信息保护纳入公益诉讼的必要性

个人信息保护纳入公益诉讼，可以克服现有法律对个人信息保护的缺陷，为个人信息保护提供有效的法律救济。

（一）强化了公民个人信息的保护

将个人信息纳入公益诉讼，可以消除双方在诉讼中地位的不平等，提高公民维权率。个人信息侵权案件中，侵权者和公民之间的地位、技术能力和认知能等力是不平等的，由此使得公民难以察觉到信息被非法收集和使用，但是，相关专业人员和组织却极易发现这些违法行为。因此，在公民个人信息侵权案件中，公益诉讼的原告若由具有相关专业的组织和人员担任，那么就能及时制止犯罪行为，充分保护公民个人信息权利。

（二）弥补现行法律的不足

将个人信息保护纳入公益诉讼，可以弥补现行法律对个人信息保护存在的缺陷，有效保护公民的信息权利。一是对违法者在经济上予以惩罚和制裁。二是对行政机关不作为或者乱作为时，可以通过提起公益诉讼进行权利救济，并通过法律来督促行政机关履行职责，保护个人信息。

四、完善个人信息公益诉讼制度的几点建议

（一）拓宽个人信息公益诉讼起诉主体

随着网络技术的迅速发展，具有个人信息公益诉讼的主体必须具有一定的网络技术认识能力。因此除了现行法律规定的诉讼主体，即检察机关和其他组织与机关具有起诉资格外，还应赋予网络运营者起诉主体资格。一是网络运营者拥有网络技术识别能力，对个人信息侵权有甄别能力，便于发现网络运营中的违法行为；二是可以促使网络运营者相互之间相互监督，在打击违法行为的同时规范市场活动。三是可以促进行业自律。因此，个人信息公益诉讼的主体范围不能局限于现有法律规定，可以适当拓宽。

（二）在证明责任方面，采用适当的举证责任倒置

“谁主张谁举证”是现行诉讼法的一般规定，按照这一规定，个人信息侵权案件中，原告方负有举证责任。由于个人信息侵权案中双方地位的不平等，侵权的一方对信息收集使用拥有控制和存储的优势，受害人由于技术、信息控制权的劣势很难采集证据，更难以胜诉。即使原告可以申请法院调查取证，但是法院未必具备足够的专业技术能力，同时大部分信息都为收集者所控制，若都申请法院调查取证，可能会造成法院的资源紧张和诉累。［3］因此，针对个人信息公益诉讼中被告与原告极为不平等的诉讼地位，应根据法律的公平原则，实行举证责任倒置，公正合理地分配举证责任，以最大限度地实现公平正义。

（三）完善个人信息权利损害制度

个人信息侵权造成的损害，往往达不到造成公民人身、财产、精神的损害后果，若按照现行法律的损害认定标准，难以提起公益诉讼。因此，个人信息公益诉讼应根据其特征，对传统的损害理论进行拓宽和深化，对“损害”的界定予以放宽，只要侵权行为人侵犯了公民的个人信息自决权等并造成了一定损害，均可提起公益诉讼来进行维权。因为在大数据时代下，信息侵害带来的损失大多为间接损害，比如公民个人信息泄露后，不法分子利用非法获取的信息进行诈骗犯罪，造成公民财产损失乃至精神损害，随着数据分析、处理和挖掘能力的增强，这种损害后果更具直接性，制止侵权行为，不能等到具体的、现实的损害后果出现时才采取行动，只要行为人的违法收集、存储行为达到一定程度时，就应允许受害人提起侵权之诉予以制止。

（四）建立个人信息侵权的惩罚性赔偿制度

按照我国现行法律相关规定，个人信息被侵犯后难以确定具体损失，使得被害人的诉讼请求无法获得法院的支持，就算可以明确具体损失，一般也是直接损失，而个人信息背后蕴含着丰富的价值和可能带来的利益，驱使着众多网络运营者去深层挖掘背后的经济价值，公民个人信息泄露后可能遭受的间接损失是无法衡量的，这时法院如果仅仅按照受害人遭受的直接损失计算损害赔偿是不公平的，正如郭凯认为：对于造成严重后果的个人信息侵权行为，在承担受害人所受损失之外，可以考虑对侵权人额外适用惩罚性赔偿规则。［4］因此，笔者建议应建立惩罚性赔偿机制使得违法成本大于违法收益，达到有效震慑违法行为人的目的，使信息公益诉讼发挥应有的威慑力。

五、结语

网络背景下个人信息的保护急迫又重要，实现个人信息保护公益诉讼，是一项重要的法律救济措施，在个人信息保护公益诉讼司法实践基础上进一步完善个人信息保护公益诉讼相关配套制度，有利于实现对社会公共利益的保护，提高社会治理的法治化水平。