个人信息保护民事公益诉讼理念及实施研究*

田海鑫

(华北电力大学人文与社会科学学院，北京 102206)

《民法典》人格权编中对个人信息保护的相关规定为构建个人信息保护的救济制度奠定了实体法基础，除此之外，消费者权益保护法、网络安全法、数据安全法、刑法等诸多法律法规中，都有关于个人信息保护的条款，然而，法律条款过于分散、缺乏统一操作标准。2021年8月20日，十三届全国人大常委会第三十次会议通过《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)，自2021年11月1日起施行，其中第70条规定，个人信息处理者违反本法规定处理个人信息，侵害众多个人的权益的，人民检察院、法律规定的消费者组织和由国家网信部门确定的组织可以依法向人民法院提起诉讼。由此可见，在立法层面，个人信息保护的救济方式包含公益诉讼。但仅此一个条文势必无法构建个人信息保护公益诉讼制度，未来应出台相关司法解释进行细化规定。在实践层面，2021年1月8日，全国首例适用民法典的个人信息保护民事公益诉讼案宣判，在这起案件中被告孙某将自己从网络购买、互换得到的4万余条含自然人姓名、电话号码、电子邮箱等的个人信息，通过微信、QQ等方式贩卖给案外人刘某，案外人刘某在获取相关信息后用于虚假的外汇业务推广，公益诉讼起诉人杭州市下城区人民检察院据此提起民事公益诉讼。2021年4月22日，最高人民检察院发布11件检察机关个人信息保护公益诉讼典型案例(以下简称“典型案例”)，其中6件行政公益诉讼案件，均是检察机关通过制发诉前检察建议，依法督促行政机关履职整改；其余2件民事公益诉讼案件以及3件刑事附带民事公益诉讼案件法院均进行了审理和裁判。虽然司法实践先于立法进行了探索，但客观上也存在着操作不统一的问题，正因为如此，最高人民检察院才发布典型案例以起到示范作用。在学理层面，过往学者们更多侧重对个人信息保护立法中相关实体问题展开研究，对个人信息保护公益诉讼救济方式的研究甚少，纵观现有文献，会发现甚至对这一新型公益诉讼制度的界定仍未形成较为统一的意见，可以说缺乏足够的理论准备(1)关于个人信息保护民事公益诉讼的主要论文有：张陈果.个人信息保护民事公益诉讼的程序逻辑与规范解释——兼论个人信息保护的“消费者化”[J].国家检察官学院学报,2021,(6)；邵俊.个人信息的检察公益诉讼保护路径研究[J].法治研究,2021,(5)；薛天涵.个人信息保护公益诉讼制度的法理展开[J].法律适用,2021,(8)；张新宝,赖成宇.个人信息保护公益诉讼制度的理解与适用[J].国家检察官学院学报,2021,(5)；张龙,徐文瑶.个人信息保护领域检察公益诉讼的适用[J].河南财经政法大学学报,2021,(4)；蒋都都,杨解君.大数据时代的信息公益诉讼探讨——以公众的个人信息保护为聚焦[J].广西社会科学,2019,(5).。鉴于此，笔者认为有必要系统地对个人信息保护民事公益诉讼的基本理念、实施程序等问题进行研究。诚然，《民事诉讼法》及相关司法解释中关于公益诉讼的制度规定能够发挥着基本的规范作用，在一定程度上使得司法先行，但毕竟个人信息保护公益诉讼具有独特性，与其他领域中的公益诉讼存在差异，其实际运行仍面临着诸多问题，因此既需要在理论上进行探讨，探究将个人信息保护纳入公益诉讼的理论基础，同时又要在现有公益诉讼的框架下进行相应的独特程序设计。

一、个人信息保护民事公益诉讼的公益理念

个人信息保护民事公益诉讼，属于个人信息保护公益诉讼的范畴，正如典型案例所示，个人信息保护公益诉讼既包括民事公益诉讼也包括行政公益诉讼，限于本文的研究旨趣，仅就个人信息保护民事公益诉讼展开论述。笔者将个人信息保护民事公益诉讼定义为：特定的机关和组织根据法律规定，为了保护众多个人信息权益，对违反法律法规、侵犯个人信息权益的个人信息处理者向人民法院提起并要求其承担民事责任，由法院按照民事诉讼程序依法审判的诉讼。

(一)维护公共利益的诉讼目的

《民法典》采用“个人信息保护”的表述，而未独立设置个人信息权，主要是因为目前理论界和实务界还缺乏深入研究，尚未形成基本共识(2)黄薇.中华人民共和国民法典人格权编解读[M].北京:中国法制出版社,2020.213.。但个人信息属于“私益”这一点并无争议，“私益”如何能上升为“公益”，从而与仅直接保护自身利益的私益诉讼相区别是首先要明确的问题。第一，随着互联网、大数据、人工智能等科学技术的发展，个人信息呈爆炸式增长。个人信息总量增长的来源主要为社交网络、电子商务平台和移动智能终端(3)王忠.大数据时代个人数据隐私规制[M].北京:社会科学文献出版社,2014.32-33.。社交网络平台收集用户姓名、年龄、性别、音频、视频等信息，电子商务平台记录着大量的交易信息，普及率显著提高的手机等移动智能终端也是个人信息的重要来源。根据中国互联网络信息中心(CNNIC)发布的第49次《中国互联网络发展状况统计报告》显示，截至2021年12月，我国网民规模达10.32亿，其中手机网民规模达10.29亿，互联网普及率达73%，我国网络购物用户规模达8.42亿，占网民整体的81.6%。腾讯公司在2016年就披露其数据中心存储总量超过1000PB(1PB≈100万GB)，超过15000个全世界最大图书馆的总量，而且每天以500TB的数据上升。从数据上看，个人信息在互联网时代无疑呈现巨大的规模特征，而大规模的个人信息在实践中往往上升为社会公共利益甚至在国际传播中涉及国家利益。第二，个人信息案件中通常体现为大量个人信息的侵犯，例如上文提到的全国首例适用民法典的个人信息保护民事公益诉讼案中涉及4万余条个人信息，在典型案例7中，被告某网络科技有限公司违法违规收集、储存用户个人信息更是达到了1100万余条。庞大数量的个人信息涉及不特定多数个人信息权益，应属于社会公共利益的范畴。第三，个人信息除了具有私人属性，还具有公共属性，关涉他人和社会利益(4)高富平.个人信息保护:从个人控制到社会控制[J].法学研究,2018,(3):93.。因为个人信息不是封闭状态，为了社会交往，各个个人信息处理者对个人信息进行收集、使用，这是个人信息应用的基本场景；而在大量的社会交往中形成的个人信息，组成了企业、社会、政府运行的基础，也是创新进步的蓄水池，可以说个人信息是公共领域的一部分，在法律上和实践中都能够被广泛应用(5)CorienPrins，Property and Privacy:European Perspectives and the Commodification of Our Identity，16 Information LawSeries 223-257 (2006).。

(二)提起诉讼的主体广泛

根据《民事诉讼法》的相关规定，针对损害社会公共利益的行为，检察机关、法律规定的机关和有关组织可以向人民法院提起诉讼。《个人信息保护法》中也规定了人民检察院、法律规定的消费者组织和由国家网信部门确定的组织有权提起公益诉讼。这就意味着原告并不是个人信息保护案件中受到损害的个人，公益诉讼的起诉主体并无直接的利益损失，主要是考虑到其在资质上与公共利益相关，故允许其提起诉讼。如果提起诉讼的主体是受害人个人，则不属于民事公益诉讼而应归于一般的私益诉讼。

之所以需要特定机关或组织而非公民个人提起诉讼，在于个人的损害赔偿权，或者因为难以计算个人信息的价值，或者由于难以举证，不得不沦为 “纸面上的权利”。同时，成千上万的个人信息受害者必然令法院不堪重负，难以完成司法使命(6)张新宝.我国个人信息保护法立法主要矛盾研讨[J].吉林大学社会科学学报,2018,(5):49.。在美国，个人信息的保护也多由美国贸易委员会(FTC)或检察长承担，在英国，也由英国信息委员会(ICO)担当类似的角色，例如在2016年美国大选时，多达5000万的脸书(Facebook)用户的数据被剑桥分析公司泄露，并用于为特朗普团队定向投放政治广告，对此ICO的调查员专门进入剑桥分析公司位于伦敦的办公室进行调查，同时，美国马萨诸塞州总检察长也就脸书与剑桥分析公司的关系展开调查。

二、个人信息保护民事公益诉讼的前提理念

(一)民事私益诉讼救济的困境

尽管《民法典》第1037条规定了个人对于信息查阅复制和更正删除等权利，根据《个人信息保护法》第69条的规定，个人信息权益受到损害，按照个人因此受到的损失或者个人信息处理者因此获得的利益确定；个人因此受到的损失和个人信息处理者因此获得的利益难以确定的，根据实际情况确定赔偿数额。但是公民个人要想在权利受到侵害时得到实体救济，却并非易事，传统的私益诉讼往往不能起到很好的效果。

首先，个人与信息处理者实力不对等。2021年5月21日，国家互联网信息办公室发布105款App违法违规收集使用个人信息情况的通报(7)中国网信网.关于抖音等105款App违法违规收集使用个人信息情况的通报[EB/OL].(2021-05-21)[2021-08-16].中国网信网,http://www.cac.gov.cn/2021-05/20/c_1623091083320667.htm.，大量日常生活中使用的App存在着非法获取、超范围收集、过度索权等侵害个人信息的现象。由于信息处理者的优势甚至垄断地位和个人有限的认知能力，在信息收集和处理上个人总处于被动的地位，依赖网络生活的个人对于信息收集或者授权只能选择同意或允许，自主权实际上很难获得保障。并且，由于技术壁垒，个人也很难认识和了解到信息处理者如何收集以及收集到何种形式的信息，以及信息被收集和使用所带来的后果。更值得注意的是，信息处理者如果是通过后台以秘密方式取得信息，就更难以察觉，这就使违法行为难以被个人甄别，进而难以提出相应的诉求进行救济，同时在举证上私益诉讼也存在相当的困难。

其次，私益诉讼维权成本高，效果不理想。基于个人信息保护的私益诉讼在实践中数量较少，就已有的案件来看，原告的诉讼请求较难获得支持或者未能得到充分救济，例如在顾某诉某房地产开发有限公司一案中，某公司向顾某拨打推销电话，顾某表示反感此类骚扰电话，询问从何渠道获知自己的电话号码遭到拒绝，法院认为现有证据不能证明拨打电话的行为给顾某本人带来了人身或心理上的损害后果，也无法证明公司侵犯顾某的主观过错。如果顾某认为公司非法获取其电话号码，可以向公安等相关机关进行报案，法院不予处理，同时因为顾某主张的交通费、打印费、电话费等维权费用，由于于法无据，也不予支持(8)辽宁省沈阳市中级人民法院民事判决书(2021)辽01民终1687号。。再如在郭某诉某资本管理公司一案中，由于收到涉案公司发送获奖短信，郭某主张侵犯个人信息，请求该公司赔礼道歉并赔偿损失，最终法院支持了赔礼道歉的请求，但精神损害以及维权材料打印费、邮寄费、误工费等损失，因缺乏必要的证据佐证，未予支持。郭某表示一年间接受几百条骚扰短信，由近百家公司发送，因受诉讼规则限制，无法同时起诉所有公司，维权难度极大(9)北京市第二中级人民法院民事判决书(2021)京02民终10830号。。由上述案例可见，私益诉讼对于受害人而言在取证上存在较大难度，同时案件标的额较小却造成受害人较大讼累。

(二)行政救济的有限性

行政手段具有主动、高效的优势，《网络安全法》规定国家网信部门、国务院电信主管部门、公安部门和其他有关机关、县级以上地方人民政府有关部门负有网络安全保护和监督管理职责。《个人信息保护法》规定国家网信部门、国务院有关部门、县级以上地方人民政府有关部门履行个人信息保护和监督管理职责。对于相关违法行为，上述有关机关可以采取责令改正、给予警告、没收违法所得、罚款、责令暂停相关业务、停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照等处罚措施。然而在实践中，行政机关能否有效保护个人信息不受侵犯呢？笔者认为不能抱有过高的期望。一方面，在资源有限的情况下行政机关更侧重于涉及国家利益和社会利益的监管，对于个人信息保护监管力度并不足，而且在互联网+、大数据产业不断发展的今天，有关机关持较为宽松的执法标准，对相关个人信息处理者的违法行为没有严厉打击，甚至行政机关对垄断企业和组织采取纵容态度。2017年12月24日，全国人大常委会副委员长王胜俊作关于网络安全法、全国人大常委会关于加强网络信息保护的决定实施情况的报告时表示，“网络安全监管‘九龙治水’现象仍然存在，权责不清、各自为战、执法推诿、效率低下等问题尚未有效解决，法律赋予网信部门的统筹协调职能履行不够顺畅。”(10)任文岱.个人信息权利保护 公益诉讼值得推广[N].民主与法制时报,2018-01-28(002).而如果一味加强监管，则也会加重所有纳税人的负担；另一方面，行政机关的监管并不能对个人救济产生直接的效益，例如行政机关的罚款并不直接用于受害个人的经济赔偿，所以行政机关的监管并不能直接弥补民事侵权造成的损失。

(三)刑事保护的谦抑性不能使其成为主要救济路径

2009 年我国就将侵犯公民个人信息行为纳入刑法保护，2013年最高人民法院、最高人民检察院和公安部联合发布《关于依法惩处侵害公民个人信息犯罪活动的通知》，2015年《中华人民共和国刑法修正案(九) 》又进行了修订。由于刑法的谦抑性，只有侵犯公民个人信息的行为达到严重侵害或威胁程度才应受到刑罚处罚，并且有学者主张应当将犯罪目的作为必要要件，因为如果出于正当目的，例如企业间合法进行信息共享，因保护措施不当对个人信息造成侵害无需动用刑法来保护信息主体(11)高富平,王文祥.出售或提供公民个人信息入罪的边界——以侵犯公民个人信息罪所保护的法益为视角[J].政治与法律,2017,(2):53-54.。刑事保护手段虽然能够起到强大的震慑和教育作用，但也具有明确的边界，从而才能平衡惩罚犯罪与信息产业发展之间的关系。

(四)现有公益诉讼存在缺陷

增设个人信息保护作为民事公益诉讼的单独类型进行规范，立法上已经体现出其必要性。现行民事公益诉讼制度以环境公益诉讼和消费公益诉讼为典型代表，且均出台了相应的司法解释进行规范。随着实践的需要，近年来在英烈保护、个人信息保护、未成年人保护等领域也出现了民事公益诉讼的典型案件。可以说公益诉讼成为私益诉讼、行政监管和刑事处罚之外的一种有益的救济方式，能够克服私益诉讼中当事人弱势，行政资源不足、监管不力，刑事处罚打击范围较窄的局限。但在目前没有专门针对个人信息保护公益诉讼进行细化规范的情况下，现有的公益诉讼制度并不能完全适应个人信息保护公益诉讼的需求，其一，起诉主体上具有特殊性，如何界定国家网信部门确定的组织需要进行明确；其二，个人信息保护案件通常涉及互联网等信息技术，在法院管辖、事实调查和证据收集、认定上存在特殊性；其三，基于个人信息权益的侵害而提起的诉讼在诉讼请求和裁判效力上也与其他类型的公益诉讼不尽相同，对此本文第四部分将展开论述。

(五)立法与司法实践的积极探索

除了《民事诉讼法》第58条的规定和《个人信息保护法》第70条的规定，为正确审理使用人脸识别技术处理个人信息相关民事案件，2021年7月最高人民法院专门发布《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》(以下简称《人脸识别适用规定》)，其中第14条规定，信息处理者处理人脸信息的行为符合关于民事公益诉讼的相关规定，人民法院应予受理法律规定的机关和有关组织提起的民事公益诉讼。从以上法律依据可以看出，个人信息保护的司法救济方式已经具备了实施民事公益诉讼的制度基础，使个人信息保护民事公益诉讼具备了基本的可行性。

在司法实践上，可以说个人信息保护公益诉讼在《个人信息保护法》实施前后已经进行了初步的探索，尤其在检察机关提起民事公益诉讼上已经有了一定的实践经验和典型案例，例如2018年以来，上海市检察机关公益诉讼检察部门组成专案组集中办案，调查分析近30款APP在个人信息收集、使用方面的问题(12)屠春含,吴礼勤. 探索公益诉讼多维度保护App所涉个人信息[N]. 检察日报,2019-08-04(003).。在典型案例7中，2019年5月，浙江省杭州市余杭区人民检察院在开展公民个人信息保护专项监督行动中发现APP强制授权、过度索权、超范围收集个人信息等问题突出，进而提起公益诉讼。除了来源于检察机关的主动监督，还有相当一部分案件源于侵犯公民个人信息罪，以刑事附带民事公益诉讼的方式进行(13)顺义法院顺利审结北京法院首例侵犯公民个人信息罪刑事附带民事公益诉讼案件[EB/OL].(2022-03-03)[2022-03-05].顺义法院网,https://bjsyfy.chinacourt.gov.cn/article/detail/2022/03/id/6571603.shtml.。购买、出售公民个人信息的犯罪行为同时也是侵权行为，并且损害了众多不特定公众的人身权益和财产权益，因而损害了社会公共利益，故除应受到刑事处罚，还应依法承担民事侵权责任(14)江苏省泰州市高港区人民法院刑事附带民事公益诉讼判决书(2020)苏1203刑初123号。。除了检察机关的实践，消费者权益保护协会通过提起消费公益诉讼实现消费者信息保护，例如2017年12月江苏省消费者权益保护委员会对百度公司提起了消费民事公益诉讼，在这起案件中，南京市消费者投诉“手机百度”“百度浏览器”两款手机APP在用户安装前未告知用户所获取 “监听电话”“读取短彩信”“读取联系人”等涉及消费者个人信息安全的相关权限。针对百度公司涉嫌违法获取消费者个人信息等相关问题，江苏省消费者权益保护委员会提起了消费民事公益诉讼，后来被告提交了整改方案，撤销了APP中部分敏感权限，优化了权限获取的方式并对有关权限的获取目的进行说明。整改完成后，2018年3月原告撤回起诉。这一实践对于个人信息保护也起到了较好的效果，但此类实践所遇到的疑问在于对于使用手机APP的用户如果不存在消费行为是否能认定为消费者进而适用消费者权益保护法；在非消费领域，消费者协会对于个人信息保护则不具有起诉的主体资格。尽管司法实践存在诸多要解决的问题，但总的来说，我国个人信息保护公益诉讼在司法实践层面已经有了前期探索，为构建独立的个人信息保护民事公益诉讼体系积累了经验。

三、个人信息保护民事公益诉讼的价值理念

(一)个人信息保护民事公益诉讼的功能

公益诉讼，旨在维护社会公共利益，既包括预防不特定多数的个人信息所代表的社会公共利益遭受侵害，也包括对已经造成的公益采取积极有效的补救措施，前者属于预防功能，后者体现为救济功能。同时，在全社会对个人信息保护日趋重视的背景下，构建个人信息保护民事公益诉讼还具有以下功能：

1.执行、解释法律，生成新型权利

公益诉讼的构建和实施适应了个人信息保护的需要，成为政府监管的补充措施，为个人信息保护法的实施提供了有效的路径，同时也有助于政府遵守、落实个人信息保护法。通过诉讼，尤其是以公益诉讼的方式实施法律，强调通过诉讼活动对侵害个人信息的行为进行制裁和抑制，促进政府完善执法，比个别打击、治理、整改更有意义。因为政府基于资源和信息的有限，无法对所有的侵害个人信息的行为及时治理，而公益诉讼的实施，尤其是检察机关提起公益诉讼，则能够提示行政机关应当采取行政行为，不能怠于执法。在这种互动中，保障了个人信息保护法律法规的实施，也节约了行政资源，规范了行政行为。同时，个人信息保护这类新型公益诉讼的实施，主张实体法并没有明确规定的个人信息权，要求法院确认，就迈出了生成权利的第一步，为后续修法奠定基础，从这个意义上来说，公益诉讼将成为个人信息保护的权利运动，当大量案件出现的时候，促使司法提供救济，立法予以回应，确立相应的实体权利义务，进而对未来可能产生的纠纷形成裁判根据。

2.支持私益诉讼，完善救济途径

公益诉讼与私益诉讼并不冲突，二者相辅相成，提倡构建公益诉讼绝非排斥私益诉讼，而应当使二者协调发展。在公益诉讼中，公益诉讼中原告在经济能力、知识水平和调查取证方面优于私益诉讼的受害人，公益诉讼的进行能够为后续私益诉讼的进行提供动力支持，同时公益诉讼的经验，也能够为私益诉讼节约诉讼成本，降低诉讼难度。个人信息保护公益诉讼的裁判的扩张效力，及于众多的受害人，实现对公民个人的赋能，公民个人在私益诉讼中可以援引公益诉讼的裁判，从而增强私益诉讼的效用，进而完善各类司法救济途径，最大程度推动个人信息保护。

3.形成公共政策，推动社会变革

公益诉讼案件的处理结果不仅与原告而且与原告之外的众多社会成员，即某个或某些社会集团或社会群体的地位、生存状况的改变直接相关(15)陈虹.环境公益诉讼功能研究[J].法商研究,2009,(1):30.。这就是公益诉讼的拓展功能，即公共政策导向功能，案件的处理结果常常与潜藏在案件背后的公共政策调整、现行立法的修改和完善等社会问题密切相关(16)[美] H.盖茨.公共利益诉讼的比较法鸟瞰. [A]//[意] 奥诺·卡佩莱蒂.福利国家与接近正义.北京:法律出版社,2000.65.。在个人信息保护的案件作出裁决后，也将成为行政机关、个人信息处理者和社会公众的行动指引，促进公共政策的完善。当然，法院在审理个人信息保护公益诉讼案件中，既要注重解决当事人之间的纠纷，也要综合考虑政治、经济、社会及个人信息保护相关等政策因素。将个人利益诉求转变为公益的救济方式，公益诉讼营造了公众参与机制，公益诉讼也就不仅仅是目的，而是形成良法善治的一个契机。“诉讼追求的与其说是这些个人得到社会保障的权利, 还不如说是改变社会福利制度本身。”(17)[日]谷口安平.程序的正义与诉讼(增补本)[M].王亚新,刘荣军译.北京:中国政法大学出版社,2002.257.在公益诉讼中，法官不是被动的，法院为弱势群体寻求正义，为行政机关和个人信息处理者明确义务，以司法的方式将法治触角延伸至个人信息保护领域，回应社会需求，即便法院的裁判不能产生直接的社会治理效果，但至少也具有示范意义，能够起到推动社会变革的作用，因为其可以弘扬个人信息保护的价值，推动观念革新，成为全体社会成员的行动指引。

(二)个人信息保护与数据产业发展的平衡

数据开发、共享、交易带来数据产业蓬勃发展，但随之带来的与个人信息保护之间的冲突也越来越明显，个人信息保护与扶持数据产业发展之间应当力求平衡，既要强化个人信息保护，又不能妨碍数据流通，限制个人信息的经济效用。平衡二者之间的关系，也是个人信息保护公益诉讼所应秉持的基本理念。法院在裁判案件中，在强化个人信息保护层面，一是要坚持处理个人信息应当遵循合法、正当、必要和诚信原则，个人信息的收集、存储、利用各个环节都应当遵循这些基本原则；二是要把握处理个人信息应当以充分告知并取得个人同意为前提，概括授权或者模糊授权中未能明确收集哪些个人信息、是否可以利用个人信息以及在何种范围以何种方式利用个人信息均应明确，否则将侵害个人对信息的决定权和知情权；三是对于不同种类的个人信息区分对待，尤其是敏感个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息应当予以严格保护，处理这些信息要取得特别授权。在处理个人信息保护和支持数据产业发展的冲突关系上，最大限度使法律保障的利益得以实现，最大限度地减少利益的损失，是法院在处理利益冲突时应遵循的基本原则(18)王利明.数据共享与个人信息保护[J].现代法学,2019,(1):55.。我国数据产业作为新兴产业，应当鼓励数据共享，但又不能完全脱离个人信息保护，使其野蛮生长，只有维护好个人信息保护的底线，才能使保障产业长久平稳发展。

同时也要注意到，在具体的个人信息保护公益诉讼的案件审理中，公民个人与信息处理者作为矛盾双方，审判者要正确区分数据合理使用与损害社会公共利益之间的界限，要平衡双方的利益，不可偏废，绝不可以维护社会公共利益为名，实则侵犯企业、组织的利益，在竞争的市场环境中，公民具有相当的选择权，市场具有其自身的优胜劣汰的能力，司法要掌握好尺度，过度的司法干预会破坏市场的规律和信息技术的发展。

四、个人信息保护公益诉讼的实施程序

随着《个人信息保护法》的通过，个人信息保护公益诉讼具备了明确的法律根据，但具体的诉讼如何实施，还缺乏更为细致的规则，笔者在此就个人信息保护民事公益诉讼应依照何种进路展开进行探讨并提出相关对策建议。

(一)当事人

1.适格原告

何者能够提起公益诉讼，是诉讼启动阶段必须考虑的问题。《个人信息保护法》第70条明确规定人民检察院、法律规定的消费者组织和由国家网信部门确定的组织可以依法向人民法院提起诉讼。结合《民事诉讼法》第58条“法律规定的机关和组织”的界定，可以看出，个人信息保护法将法律规定的机关界定为检察机关，将组织界定为消费者组织和国家网信部门确定的组织。

(1)人民检察院

随着2017年《民事诉讼法》修订将检察机关确定为公益诉讼的适格原告，检察机关提起民事公益诉讼目前几无争议，个人信息保护明确纳入检察公益诉讼法定领域后，2021年8月21日最高人民检察院下发《关于贯彻执行个人信息保护法推进个人信息保护公益诉讼检察工作的通知》，特别指出要进一步增强检察履职的责任感和紧迫感，切实加大办案力度，推动公益诉讼条款落地落实。检察机关能够提起公益诉讼的基础在于，首先，在我国长期奉行“家国一体”的政治结构的背景下(19)费孝通.乡土中国[M].北京:北京出版社,2004.29-40.，国家利益与社会公共利益一直以来并非泾渭分明，虽然随着社会发展，国家与社会逐渐分野，国家与社会有着各自的利益代表机制，对于法律明确规定由国家独占的公益，应该首先由国家机关作为公益代表机关；而涉及既有公益也有私益的群体性或分散性社会公益领域，应该建构公益保护与私益保护并行不悖的机制(20)刘艺.检察公益诉讼的司法实践与理论探索[J].国家检察官学院学报,2017,(2):8.。个人信息保护领域属于私益与公益兼而有之，从民事诉讼实施的可行性上讲，当社会公共利益遭到损害，国家虽然负有维护责任，但因其是抽象主体不能在诉讼中担任角色，因而通常要求具体的国家机关作为代表，为维护国家和社会的公共利益担当原告，提起诉讼。而在我国所有的国家机关中，检察机关是最适合的代表国家利益和社会公共利益的诉讼主体(21)蔡彦敏.中国环境民事公益诉讼的检察担当[J].中外法学,2011,(1):165.。因为检察机关是法律监督机关，维护国家利益和社会公共利益是其职责所在。其次，虽然行政机关也代表国家利益和社会公共利益，并且能够履行利益保护的职责，但行政机关并不是较好的公益诉讼起诉主体，其一，行政机关本身就有着高效实施监管措施的职能，公益诉讼并非第一选择或者说没有必要采用诉讼手段，考虑到产业发展、大规模平台和企业的市场地位，行政机关也并没有动力进行诉讼；其二，行政机关如果提起诉讼，会破坏原被告之间平等的攻击防御地位，因为行政机关本身是监管主体，与个人信息处理者地位不平等，会成为过于强势的原告，甚至会侵犯法院的审判权，并且每一个行政机关均有其职权范围，行政机关作为原告相当于扩张了行政权力，违背现代行政法中限制权力的基本理念；其三，在公益诉讼案件中，往往同时存在行政机关监管疏漏的问题，如果行政机关作为原告则容易掩盖政府责任，将全部责任转嫁于被告，使被告处于更加不利的地位，也会打击产业发展积极性。

在民事公益诉讼领域，人民检察院的公益诉讼实施权与有关组织的公益性诉讼实施权构成竞合关系(22)黄忠顺.完善程序规范强化检察公益诉讼协作[N].检察日报,2021-09-27(003).，基于司法资源有限和检察监督权谦抑性的考虑，人民检察院应当在有关组织经通知或公告仍不起诉的情形下提起民事公益诉讼。

(2)消费者组织

从《个人信息保护法》的规定和目前的司法实践来看，消费者组织是提起个人信息保护公益诉讼的法定“组织”，可以预见保障消费者个人信息安全将成为新形势下消协组织加强消费者权益保护的着力点。中消协也明确表示希望各级消协组织以《个人信息保护法》颁布和实施为契机，创新履职方式，打出维权“组合拳”，积极推动消费者个人信息保护工作迈上新台阶(23)中消协支持重庆市消费者权益保护委员会提起个人信息保护公益诉讼[EB/OL].(2021-09-03)[2021-09-16].中国消费者协会网,http://www.cca.org.cn/zxsd/detail/30172.html.。《个人信息保护法》颁布后，全国开庭审理的第一例有关个人信息保护的民事公益诉讼案件就是由重庆市消费者权益保护委员会提起，该案被告重庆某公司通过其微信公众号发布文章《重庆已购进口白虾顾客名单》，涉及10979名消费者的住址、电话、姓名、身份证号等个人信息，涉嫌非法泄露众多消费者个人信息的行为。笔者认为，虽然目前消费者组织能够提起个人信息保护民事公益诉讼，但应属于过渡性措施，只能暂时弥补检察机关以外适格原告的欠缺的现实境况，长远来看笔者并不看好消费者组织提起个人信息保护民事公益诉讼。首先，消费者组织主要根据《消费者权益保护法》的规定，就损害消费者合法权益的行为履行相关公益性职责，根据《消费者权益保护法》第29条的规定，经营者对消费者的个人信息的收集、使用应当合法、正当、必要，不得泄露、出售或者非法向他人提供。除此之外并没有赋予经营者更多的义务，消费者的个人信息删除权等未在《消费者权益保护法》中得到明确保护，也就意味着消费者组织的请求权基础并不全面；其次，消费者组织只能为消费关系中的消费者维权，即仅能就与市场活动和消费行为相关的损害个人信息的行为提起公益诉讼(24)张陈果.个人信息保护民事公益诉讼的程序逻辑与规范解释——兼论个人信息保护的“消费者化”[J].国家检察官学院学报,2021,(6):72.，对于非消费法律关系以及非消费者，例如大量公民电话信息泄露导致经常接听骚扰或推销电话，此时消费者组织提起公益诉讼则会力所不及；在上述重庆市消费者权益保护委员提起的公益诉讼中，被告重庆某公司实际为一家营销策划公司，并非进口白虾的销售者或生产者，原告按消费公益诉讼提起诉讼似有越权之嫌；最后，个人信息保护民事公益诉讼的目的与消费民事公益诉讼的目的不同，前者侧重人身安全的保障而后者侧重公平交易的维护，同时个人信息处理者基于网络平台等处理时通常体现为免费，并没有直接购买商品和服务的交易，在这一意义上《消费者权益保护法》规定的诸多赔偿性规则无法产生实际效用，消费者组织也就丧失了提起公益诉讼的优势和武器。总而言之，消费民事公益诉讼与个人信息保护民事公益诉讼在消费领域存在竞合，现阶段允许消费者组织提起诉讼确有其现实必要性，但在个人信息保护的专业领域，未来应当由国家网信部门确定的组织提起相关诉讼更为妥当。

(3)国家网信部门确定的组织

虽然国家网信部门确定的组织目前仍未“落地”，但就专业的个人信息保护领域而言，一些组织具有较强的专业优势和组织优势，会成为未来个人信息保护民事公益诉讼战场的活跃角色。2016年，国家发展改革委等十部门发布《关于全面推开行业协会商会与行政机关脱钩改革的实施意见》(发改体改〔2019〕1063号)中以工信部为业务主管单位的中国计算机用户协会，中国信息产业协会、中国移动通信联合会、中国通信工业协会、中国通信标准化协会、中国通信企业协会、中国无线电协会、中国互联网协会等相关通信领域协会都在已脱钩或者拟脱钩名单内，以中国互联网协会为例，其基本任务之一为“维护国家网络与信息安全，保护公民的信息安全，维护行业整体利益和用户合法权益”(25)中国互联网协会简介[EB/OL].(2021-09-09)[2021-09-13].中国互联网协会网,https://www.isc.org.cn/article/9661083678273536.html.。并且，协会在组织机构中就专门设立了个人信息保护工作委员会。可见我国目前存在着以个人信息保护为职能的专业组织，国家网信部门在确定时，应当设定条件，例如依法在设区的市级以上人民政府民政部门登记，专门从事个人信息保护活动连续五年以上且无违法记录等。同时，有学者认为应当借鉴域外，例如澳大利亚的网络产业联盟(IIA)，考虑在主管部门的指导和监督下成立行业自律组织(26)周汉华.个人信息保护前沿问题研究[M].北京:法律出版社,2006.242.，由行业自律组织承担起提起民事公益诉讼的职责。

(4)起诉顺位

尽管目前由检察机关提起的个人信息保护公益诉讼数量占据绝对优势，可以说检察机关是个人信息保护公益诉讼战场的“急先锋”。在《个人信息保护法》实施后，在杭州、扬州、常州等各地法院宣判个人信息保护民事公益诉讼中，基本上由检察机关提起诉讼(27)蒲晓磊.个人信息保护法施行两个多月 公益诉讼成为个人信息保护利器[N].法制日报,2022-01-11(005).。虽然检察机关代表公益是天然的、法定的(28)谢鹏程.论法律监督与公益代表——兼论检察机关在公益诉讼中的主体地位[J].国家检察官学院学报,2021,(1):104.，但不能违背检察监督谦抑性的法理，因此检察机关仍应履行提起诉讼之前的公告环节，提示其他适格主体提起公益诉讼，当没有适格主体、适格主体不提起诉讼或者私益诉讼也未提起的情况下，检察机关才应当提起公益诉讼，在前置环节有相应主体起诉的情况下，检察机关可以通过提供法律咨询、提交意见书、协助调查取证、出席法庭等方式支持起诉。

2.适格被告

个人信息保护民事公益诉讼的被告为行政机关以外的个人信息处理者，如果将行政机关作为被告则为行政公益诉讼。通常情况下，被告为直接实施加害行为的个人信息处理者，这里的个人信息处理者既包括一般的个人信息处理者，例如某App的开发运营者，也包括《个人信息保护法》第58条规定的“提供重要互联网平台服务、用户数量巨大、业务类型复杂的”特殊的个人信息处理者。一般的个人信息处理者接入互联网和处理个人信息的能力受制于技术环境和运营环境，而互联网平台对个人信息的处理活动潜在的威胁和损害是难以估量的，更容易造成公共利益的损害，因此必然不能忽视平台的责任。如果个人信息处理者因合并、分立、解散、被宣告破产等原因转移个人信息，则接收方为被告。除了单一被告，在实务中还可能出现共同责任的情况，其一，如果多个个人信息处理者共同处理个人信息，则构成共同侵权，为必要共同被告；其二，如果多个个人信息处理者无意思联络，但对于相同内容的信息进行处理，为普通共同被告；其三，在一些案件中，除了存在直接侵权的个人信息处理者，还可能存在《民法典》第1195条、第1197条规定的非直接侵权的“网络服务提供者”，例如互联网服务提供商(ISP)和网络内容服务商(ICP)(29)鞠晔,凌学东.大数据背景下网络消费者个人信息侵权问题及法律救济[J].河北法学,2016,(11):56.，未及时采取必要措施的，对损害承担连带责任。参考最高人民法院《关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》第2条的规定，原告可以起诉个人信息处理者或者网络服务提供者，原告仅起诉网络服务提供者，网络服务提供者请求追加可以确定的个人信息处理者为共同被告或者第三人的，人民法院应予准许。原告仅起诉个人信息处理者，个人信息处理者请求追加涉嫌侵权的网络服务提供者为共同被告或者第三人的，人民法院应予准许。

(二)诉讼请求

《个人信息保护法》第69条规定，处理个人信息侵害个人信息权益造成损害，个人信息处理者不能证明自己没有过错的，应当承担损害赔偿等侵权责任。除了损害赔偿，对于人格权请求权对应的责任还包括停止侵害、排除妨碍、消除危险、恢复名誉、赔礼道歉。针对公益诉讼而言，主要争议在于是否能提起损害赔偿的诉讼请求，杨立新教授认为原则上应当局限在非损害赔偿的责任方式(30)杨立新.个人信息处理者侵害个人信息权益的民事责任[J].国家检察官学院学报,2021,(5):53.，因为公益诉讼的主体不能在诉讼中将损害赔偿作为收益。张新宝教授同样认为包括精神损害赔偿的损害赔偿并不是公益诉讼的主要法律责任，个人损害受害人可以通过提起私益诉讼解决。并且，在公益诉讼中也不宜适用惩罚性赔偿，因为在刑事制裁和行政处罚之后如果再对同一违法行为适用惩罚性赔偿金，就可能使被告遭受多次惩罚(31)张新宝,赖成宇.个人信息保护公益诉讼制度的理解与适用[J].国家检察官学院学报,2021,(5):68-70.；但也有学者认为可以适用一般补偿性赔偿和惩罚性赔偿(32)杨晓娇.网络实名制环境下个人信息权的合同法保护[M].北京:金城出版社,2019.161-191.。类似的问题在美国的个人信息保护集体诉讼中也存在，法官通常认为在过失的情况下，如果原告不能证明损害或者威胁是直接的(direct)、具体的(concrete and particularized)、实际的(actual)或迫在眉睫的(imminent)，经济赔偿这一请求就难以获得支持(33)Monsanto Co. v. Geertson Seed Farms, 561 U.S. 139, 149 (2010).。虽然上述观点有合理性，但笔者认为在个人信息保护民事公益诉讼中可以适用损害赔偿及惩罚性赔偿，其一，在美国的集体诉讼中，在例外情况下，对于故意行为或造成人身损害的案件，可以适用损害赔偿。在典型案例8中，法院支持了原告的惩罚性赔偿诉讼请求，这说明在司法实践中损害赔偿或惩罚性赔偿并非绝对禁止；其二，客观上损害赔偿之外的责任方式在个人信息保护案件中往往不能起到有效的作用，因为个人信息蕴含的价值巨大，如果不苛以损害赔偿或惩罚性赔偿，就不能对侵害行为起到有效威慑和预防的作用；其三，刑事责任、行政责任与民事责任分属不同的责任领域，并行不悖，美国集体诉讼中虽然损害赔偿的请求在很多判决中遭到驳回，但其实际上却成为和解的重要筹码，因此，损害赔偿或惩罚性赔偿的实际意义往往体现在原告可以凭此与被告进行平等谈判，从而达成调解或和解，更加有利于彻底解决纠纷。故有必要允许原告提起惩罚性赔偿的诉讼请求，使违法成本大于收益，才能发挥公益诉讼的威慑力。当然，在诉讼实施上，损害赔偿或者惩罚性赔偿面临着举证繁杂，赔偿金确定、计算和分配等程序难题，这可以通过确定金额计算标准及上限、设立基金及监管措施、设置赔偿金发放或个人利益补偿机制等配套措施予以完善(34)杜乐其.消费民事公益诉讼损害赔偿请求权研究[J].法律科学(西北政法大学学报),2017,(6):168-180.。

(三)管辖制度

由于个人信息保护公益诉讼案件往往涉及人数多、社会影响大，办案难度也较大，建议由中级人民法院管辖或最高人民法院指定的中级人民法院以及互联网法院集中管辖。在地域管辖上，可以参考侵权案件，由被告住所地或者违法处理个人信息行为地人民法院管辖。基于个人信息可以借助互联网广泛传播，可以将违法处理个人信息行为界定为实施被诉行为的计算机终端等设备或网络服务器所在地，前者是指个人信息处理者上传侵权信息时所使用的计算机终端所在地，后者是指个人信息上传至互联网后所存储的服务器所在地。同时，损害结果发生地包括被侵权人住所地。对难以确定违法处理个人信息行为地和被告住所地的，原告发现违法处理个人信息行为的计算机终端等设备所在地可以视为行为地。对同一侵权行为分别向两个以上人民法院提起公益诉讼的，由最先立案的人民法院管辖，必要时由它们的共同上级人民法院指定管辖。

(四)证明责任

有学者认为原、被告在举证能力上实力悬殊，公益诉讼的起诉权主体不易获得第一手侵权证据，应当实行证明责任倒置(35)薛天涵.个人信息保护公益诉讼制度的法理展开[J].法律适用,2021,(8):163.。但由于个人信息处理在侵权行为、归责原则甚至起诉主体等方面存在较多形态，故证明责任问题在公益诉讼中更显复杂，应当综合考虑再进行分配。从侵权的构成要件来看，首先，在侵权行为方面，侵权行为包括作为和不作为，作为包括个人信息的非法收集、存储、使用、加工、传输、提供、公开等行为，不作为包括没有采取必要措施进行保护或补救，导致个人信息被泄露、窃取、篡改或者丢失等。随着个人生产生活日益线上化、数据化，个人信息的处理也变得技术化和隐秘化，每个人的出行、消费、运动、通信等信息被采集、处理和使用，这种情况社会公众一般是不完全知情的。在商业利益驱使下，个人信息处理者可以悄然实施侵权行为，并且这些个人信息构建出的“虚拟我”如果失真，对“现实我”在信贷、就业、经商等重大事项上产生负面影响，社会公众的不知情和被操控的风险和损害更大(36)个人信息保护课题组.个人信息保护国际级比较研究[M]. 北京:中国金融出版社,2017.7-9.。因此，在侵权行为被个人信息处理者垄断情况下，有学者认为有必要将侵权行为要件倒置，个人信息处理者要证明信息来源和使用合法，否则便可判定其构成侵权(37)王硕.个人信息保护不妨实行举证责任倒置[N].中国消费者报,2014-06-13(001).。笔者认为，可以在个人信息保护私益诉讼中主张侵权行为的证明责任倒置，但不宜在公益诉讼中将该要件适用倒置，因为公益诉讼的提起必然基于已经获知的大规模个人信息侵权事件，在此情况下如果再倒置侵权行为要件则可能导致个人信息处理者证明责任过重。当然在证明标准上，可以借鉴实务中的做法，例如在“庞某某与北京趣拿信息技术有限公司等隐私权纠纷案”中，法院认为只要原告能够提供证据表明被告存在泄露个人隐私信息的高度可能，就可以认为实施了加害行为(38)北京市第一中级人民法院民事判决书(2017)京01民终509号。。甚至可以采用更为缓和的证明标准，从而降低原告的证明负担。

其次，在损害结果方面，一般产生了实际物质或精神损害结果或者构成危险才会引发诉讼，所以损害结果应当由公益诉讼的起诉主体证明。但正如前所述，由于个人信息处理的隐秘性，以及个人信息传播、复制的迅速化，在造成财产损失、精神损害等显性结果之前，个人信息已经处在非法收集、存储的状态，甚至社会公众对其危害结果毫不知情，因此应当允许公益诉讼起诉主体初步证明某种侵害公共利益的结果产生或可能产生就可以提起诉讼，具体的初步证明可以考虑是否有证据证明损害结果涉及人数较多或不确定，足以构成社会公共利益；以及是否提出各项损失的证据或评估报告。在案件进入实体审理后，符合法定情形还可以申请鉴定或者申请法院调查取证，从而进一步明确损害结果。

第三，在因果关系方面，原则上公益诉讼原告应当证明个人信息处理者实施的处理行为与个人信息被侵害之间存在因果关系，因果关系的证明可以通过证明个人信息由处理者处理并且该信息遭受了侵害得以实现。实务中的难题在于，个人信息处理者较多，可能均处理过涉案个人信息，公益诉讼原告难以证明究竟是哪些处理者的行为导致公益受到侵害，此时因果关系要件应当倒置，因为信息控制者具有更强的能力和更低的成本证明其行为与信息损害无因果关系(39)刘海安.个人信息泄露因果关系的证明责任——评庞某某与东航、趣拿公司人格权纠纷案[J].交大法学,2019,(1):187-188.。并且，被告如果能够证明其他主体有侵权的高度可能性，也不能直接否定其行为与损害之间的因果关系，因为其他主体有侵权的高度可能性，不等于被告就没有侵权的高度可能性。德国联邦数据保护法(BDSG)中也进行了类似的规定，认为在自动化数据处理场合，如果不能查明多个数据控制人中的哪一个引发了损害，则每个控制人或其权利实施者都承担责任(40)叶名怡.个人信息的侵权法保护[J].法学研究,2018,(4):93.。

第四，在过错方面，根据《个人信息保护法》第69条的规定，个人信息侵权适用过错推定，在证明责任上就体现为公益诉讼原告不必对过错要件承担证明责任，在倒置的情况下，个人信息处理者对自己没有过错承担证明责任。值得注意的是，过错推定的规则原则仅适用于“造成损害”的情况，也就是过错推定仅适用于损害赔偿，而非所有侵权责任的归责原则。《个人信息保护法》第2章第2节专门对敏感个人信息的处理规则进行了规定，生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等敏感个人信息更容易与重大社会利益相关，属于高度危险行为，因此有观点认为因处理敏感信息而产生的侵权赔偿责任，应当适用危险责任即无过错责任；处理非敏感的个人信息产生的侵权赔偿责任，适用过错推定责任(41)程啸.论我国个人信息保护法中的个人信息处理规则[J].清华法学,2021,(3):72-73.。笔者亦认为，在涉及敏感个人信息处理引发的公益诉讼案件中，公益诉讼原告无需对过错这一要件进行证明。当然，如果个人信息处理者能够证明已经采取了法定的或必要的措施，对个人信息进行了妥善处理，则不应当认为个人信息处理者存在过错。

综上，证明责任的分配与当事人与证据的距离、取证难度等因素均密切相关，考虑到公益诉讼的形态较为复杂，例如根据原告的不同性质，在实践中体现为检察机关的举证能力较强而社会组织的取证手段较为匮乏，可以在个案中由法官通过调整不同构成要件的证明标准，从而整体平衡当事人的证明责任负担。

(五)行为保全

如果诉讼时个人信息处理者仍在实施危害行为，则有必要适用行为保全制度，如果不能及时制止违法收集、使用、加工、传输、买卖、提供个人信息的行为，经过诉讼为时已晚。《人脸识别适用规定》第9条规定了自然人有证据证明信息处理者使用人脸识别技术侵权，可以申请法院作出人格权侵害禁令。在公益诉讼中同样可以根据原告的申请责令被告实施一定行为或者禁止实施一定行为，例如责令被告及时删除或更正有关信息，原告没有提出申请的，人民法院在必要时也可以依职权采取保全措施。

(六)判决效力

个人信息保护公益诉讼的判决在事实方面体现为，公益诉讼案件中事实的认定对于后诉具有证明效力，后诉的公益诉讼或者私益诉讼就侵害事件的违法性进行证明，只需要援引公益诉讼的判决即可(42)张卫平.民事公益诉讼原则的制度化及实施研究[J].清华法学,2013,(4):22.。对于后诉而言，已经确定的公益诉讼胜诉判决才能拘束其他尚未起诉的诉讼实施权主体，而败诉的判决则不禁止其他主体针对同一公益性请求再次向人民法院提起诉讼。同时，相关实证研究表明，信息抓取类私益诉讼中，个人信息司法救济呈现侵害规模大、胜诉比例低、诉讼动力不足的特点(43)陈晨,李思頔.个人信息的司法救济——以1383份“App越界索权”裁判文书为分析样本[J].财经法学,2018,(6):103-104.。因此，一方面，公益诉讼的提起不妨碍私益诉讼的提起，二者可以并行，同时个人信息保护公益诉讼的既判力适度扩张，能够起到弥补私益诉讼上述劣势的功能，例如公益诉讼的胜诉裁判效果及于个人，如果公益诉讼败诉，则效力不及于个人，个人仍可以在私益诉讼中提出新的事实和证据，维护自身合法权益。在司法实践中，可以考虑用先行判决的方式，对被告是否构成侵权进行判决，暂不处理赔偿的总额及如何分配(44)朱伦攀.互联网金融消费公益诉讼制度适用研究[J].中山大学法律评论,2018,(2):41.，个人可以根据先行判决的结果，再选择是否提起私益诉讼。

(七)诉讼费用

为了增强公益诉讼起诉主体的诉讼动力，减轻经济压力，应当在相关诉讼费用及其他合理支出上进行特别规定，首先，原告起诉时无需缴纳案件受理费，原告败诉时免收受理费，被告败诉则须负担受理费；其次，原告可以主张由被告负担案件调查、咨询、鉴定、评估等合理费用及合理的律师费，原告败诉时上述费用可由财政或专项基金负担；第三，原告为停止侵害、排除妨碍、消除危险采取合理预防、处置措施而发生的费用可以请求被告承担；最后，原告申请行为保全的，不要求提供担保。

五、结语

我们生活在这样的时代，许多有关我们生活的片段讯息，被新技术搜集，被公司存放在计算机数据库中，被散播在整个互联网上。甚至那些从来不上网的人，也可能有些个人信息在互联网上。一旦传播到互联网上，就可能变成永久的数字式包袱(45)[美]丹尼尔·沙勒夫.隐私不保的年代[M].林铮顗译.江苏:江苏人民出版社,2011.17.。大数据在深刻改变着人类生活，但是信息分析、挖掘也具有高度的不可预测性和模糊性，打破了自然人与信息处理者之间的利益平衡，在一定程度上颠覆了传统侵权法赖以建立的社会场景，从而致使过错责任的一般条款和网络信息的侵权责任条款难以应对大数据时代的个人信息保护危机(46)张建文,时诚.个人信息的新型侵权形态及其救济[J].法学杂志,2021,(4):40.。个人信息安全面临着前所未有的威胁，引发了新的损害，加剧了个体与信息处理者之间的强弱对比，如何通过公益诉讼为个人信息提供保护，是目前值得严肃对待的一项重要课题。在公益诉讼的实施中，由于缺乏专门的司法解释，在当事人的确定、诉讼请求的主张，判决效力的扩张等方面仍有论证和探索的空间，尤其由于侵权行为的多样性以及归责体系、因果关系认定、损害判定的复杂性导致证明责任存在较大的适用困境，需要立法层面予以回应。总体上，个人信息保护民事公益诉讼的构建，应当符合既强化个人信息保护的目的，也要强化个人信息利用的效用，以期最大限度调和个人信息保护与企业利用、社会安定的关系。