个人信息保护检察民事公益诉讼难点与优化

摘 要：《个人信息保护法》对个人信息保护公益诉讼作出了明确的规定，检察机关提起个人信息保护民事公益诉讼是数字时代背景下个人信息国家保护主义的有效司法路径，可以起到预防和推动源头治理的作用。实践中仍然存在着案件范围界定不科学、调查取证和举证质证难度高等难点问题。对此，应把风险预防列为该项制度的一个重要功能，从科学界定案件范围、完善调查取证和举证质证程序等方面推动个人信息保护检察民事公益诉讼制度的健全和完善，全面推动数字时代个人信息保护治理迈向新的维度。

关键词：个人信息保护 检察民事公益诉讼 风险预防 惩罚性赔偿

在大数据与信息时代的背景下，个人信息被泄漏和滥用的风险加大，传统个人信息保护机制的局限性逐渐凸显。个人信息保护检察公益诉讼作为国家从公益保护角度介入个人信息保护领域的创新性方式之一，正在起到日益重要的作用。

一、个人信息保护检察民事公益诉讼现状

（一）立法现状分析

通过对相关法律和司法解释、规范性文件和地方性法规的梳理与分析，从整体上讲，我国对个人信息保护的民事公益诉讼立法起步比较晚，立法数目不多，主要是以地方性法规为主，现行法律、司法解释的数量极其有限，且在内容上也过于原则。与此同时，我国的地方性法规大多只有检察公益诉讼的规定，并没有全面阐述个人信息保护检察民事公益诉讼制度，在司法实践中还需要进一步摸索，积累相关经验，促进立法的健全完善。

（二）司法实践考察

一是对最高检公布的两批19起保护个人信息公益诉讼典型案例进行分析，发现该领域案件存在涉案领域广、创新办案机制方式如公开听证和诉前磋商、更多关注源头治理、探索适用惩罚性赔偿、以调解协议方式结案、检察一体化办案等特点。二是以个人信息、公益诉讼等关键词，搜索分析中国裁判文书网公布的2016年至2024年有效案例文书80份，从受案范围界定、诉前公告程序运行、责任承担方式及公益损害赔偿金去向等实践现状，反映出个人信息保护检察民事公益诉讼案件范围界定不科学等难点问题，亟需优化明确。

二、个人信息保护检察民事公益诉讼的难点问题

（一）案件范围界定不科学

一是对“公共利益”的界定不明确。我国《个人信息保护法》第70条把救济客体界定为“侵害众多个人的权益”，但其与《人民检察院公益诉讼办案规则》规定的“公益仍处于受损害的状态”起诉条件是否一致，尚无明确规定。在实务界，法院裁判文书通过“侵害众多个人权益”“侵害不特定个人权益”“侵害众多不特定个人权益”等不同表述来推导出损害社会公共利益，使得在界定“损害社会公共利益”上有不同的做法。“众多”只能作为确定救济客体的形式要件，缺乏实质性认定标准。二是损害限于“实害”难以实现全面救济。在个人信息保护方面，我国民事公益诉讼仍采取了传统的侵权赔偿方式，对其预防作用认识不足。第一，《民事诉讼法》第58条“损害社会公益”前置要件，《个人信息保护法》第70条“侵害众多个人权益”构成要件，都体现了事后救济的特点。第二，从司法实践出发，在诉讼请求和责任承担上也都存在着事后救济的特点。在公开的判决中，对公益损害的认定也更加注重对“实害”认定，这种偏重“实害”而忽视“风险”的救济方式，并不符合《个人信息保护法》第11条规定的“预防和惩治侵害个人信息权益的行为”的制度理念，在风险预防层面自是达不到效果。

（二）诉前公告程序有虚置倾向

一是公告平台规范不足。在履行公告程序的样本案例中，有明确提及检察机关在正义网公告的，在《检察日报》上发布公告的，还有在省级、市级媒体上发布的等，在不同等级媒体平台上发布诉前公告，很可能被淹没在大量的广告中［1］，另公告内容缺乏针对性和详实性，其他适格主体提起诉讼的积极性不高。二是公告期间缺乏弹性。民事公益诉讼公告期为30日，实践中公告后几乎没有适格社会组织提起民事公益诉讼。个人信息的特点及附着利益的复合性决定了个人信息保护检察民事公益诉讼在公告期间方面应不同于其他检察民事公益诉讼，规定较为弹性灵活的公告期间。

（三）调查核实和举证质证难度高

一是检察机关欠缺强有力的调查核实权。《关于检察公益诉讼案件适用法律若干问题的解释》第6条明确了检察机关办理公益诉讼案件有权调查收集证据。如果拒绝配合，将产生什么样的法律后果、承担什么样的法律责任，没有作出明确规定，不具有强制执行力。虽然《检察机关民事公益诉讼案件办理指南（试行）》进一步细化了调查取证权，但其规范性程度不高，对于拒绝配合的，检察机关无法强制执行和承担相应的责任。检察机关在个人信息保护公益诉讼方面的专业技术人才储备存在一定不足，面对个人信息保护公益诉讼案件证据收集的较大压力，往往依赖于刑事案件采取刑事侦查的强制措施予以缓解。二是检察机关证明责任难落实。我国民事诉讼法没有对公益诉讼举证责任分配作出特别的规定，主要是沿用传统的“过错责任原则”。与传统的公益诉讼相比，有关个人信息保护的公益诉讼案件，因网络技术的专业性、侵权行为的高度隐秘性特点，使得非专业人员很难举证违法侵权行为，损害赔偿金额难以确定，且网络经营者易提前修改或删除，这就增加了检察机关取证的难度。［2］

（四）责任承担方式不完善

一是惩罚性赔偿诉讼请求适用与否存在争议。惩罚性赔偿属于损害赔偿的一种，与补偿性赔偿相比，更侧重于对侵权方的惩罚和制裁。当前我国还没有建立起关于个人信息保护的惩罚性赔偿制度，且《民法典》对于惩罚性赔偿的适用主要限定在产品责任、环境污染以及知识产权侵权三种情况，个人信息侵权并未被明确列入其中，目前我国只有极少数个人信息保护检察民事公益诉讼案例适用惩罚性赔偿，这表明我国各地司法机关对惩罚性赔偿制度的适用仍然持谨慎的态度。二是赔礼道歉的诉讼请求无明确标准。司法实践中，还没有一个明确、统一的标准，有在国家级、省级、地市级以及县级新闻媒体上公开赔礼道歉等方式。同时，对于赔礼道歉的履行期限也是有区别的，比如有30天、10天的，还有一些没有规定履行期限的情况［3］。通过分析发现，由于赔礼道歉的履行方式、履行期限均存在差异，使得赔礼道歉诉讼请求在司法认定中缺乏明确的依据标准，存在着一定的不确定性，从而影响到了诉讼价值的衡量与司法裁判的公平［4］。

（五）公益损害赔偿金管理制度缺失

一是针对公益损害赔偿金的处理方法，我国现行法律及司法解释尚未给出明确的规定。司法实践中，在赔偿资金的去向和管理方面，尚不明确，比如，对资金的支付账户、管理人、主要用途等问题，目前尚无统一规范。二是关于赔偿金的处置，各地法院的做法并不统一。有的法院会采取直接将赔偿金上缴国库的方式，也有些法院会选择将赔偿金支付至检察院专项账户，还有要求支付至检察院与法院共同指定的专项账户等。这种赔偿金处理方式的不统一，不仅可能引发资金管理的混乱，还可能为腐败问题提供温床。

三、个人信息保护检察民事公益诉讼的优化路径

（一）科学界定案件范围

一是明确公共利益的判断标准。社会公共利益的特征包括主体的广泛性、不确定性与非排他性［5］，判断标准应当以是否对不特定的或者所有公众的利益造成了损害为准，即应将“社会公共利益”作为判断救济客体的实质性标准，人数“众多”只能作为初步判断公益损害与否的形式标准。二是将“风险”纳入“损害”救济范围。应当构建起预防性个人信息保护民事公益诉讼制度，把侵犯“众多”的个人信息利益的风险，也纳入到这一类型的诉讼中来，适当扩大对个人信息保护公益诉讼的救济客体范围，从源头上化解纠纷。

（二）完善诉前公告程序

一是建立统一的公告平台。可以依托互联网技术打造统一公告平台，在功能上，具备多项核心操作，其中包括便捷的上传、下载以及信息的公开发布、沟通等，全国检察机关可以上传相关文书，所有符合条件的单位和组织均可在线查阅，并与相应的检察机关单独沟通，了解具体情况，以作出选择接受或不接受建议书的决定。二是设置相对灵活的公告期间。应适用《公益诉讼办案规则》规定30日的公告期间，但基于个人信息公益保护的紧迫性和特殊性，可结合个人信息侵权行为的严重程度或紧急情况，设置更加灵活的弹性期限，比如当个人信息泄漏行为引起群体事件或者网上舆情时，可以缩短公告期限，情况特别紧急的，可以参照政府舆论反应的时间限制，请社会组织在24小时之内第一次答复，并对其进行跟进。

（三）完善调查核实和举证质证程序

一是赋予检察机关强有力的调查核实权。应明确调查核实权的适用范围、行使方式和保障措施等内容，当前，可通过颁布实施细则、发布司法解释、跟进地方性立法等方式提供依据，还可参考《民事诉讼法》第114条规定，视情节轻重给予罚款、拘留等处罚。在条件成熟的情况下，可以通过专门立法来健全公益诉讼调查核实制度。二是综合利用多种调查核实和举证质证方式。第一，建立公益诉讼专家人才库，由检察官、技术人员和具备专门知识的人等组成，借助非强制性手段辅助取证，还可通过第三方的专业检验，组织专家论证等方式，对损害的影响和修复情况进行评估，在举证质证环节引入专家辅助人提供技术支持。第二，可以借鉴引入英美法系经验“证据调查令”制度，在面对调查对象拒不合作的情况下，通过向人民法院提出申请并合法地获得调查令，从而确保司法调查的顺利进行。［6］第三，积极争取党委、人大及政府的高度重视与全力支持，同时加强与监委、公安机关沟通与协作，建议对不配合的被调查人采取惩戒等措施，促进协同治理。

（四）完善责任承担方式

1.构建个人信息领域的惩罚性赔偿制度。尽管目前尚未有明确规定在个人信息保护公益诉讼中引入惩罚性赔偿，但最高检公布的河北省保定市人民检察院诉李某侵害公民个人信息案中，法院支持了3倍惩罚性赔偿请求，这一做法在全国具有一定的开拓性和指导性。一是应当明确将故意侵权作为主观要件，把情节严重作为客观要件，《民法典》第1207条和《消费者权益保护法》第55条以严重损害为适用要件，《民法典》第1232条的适用要件之一是严重后果，在发生实害的情况下，两者的价值评价是相吻合的。然而，由于个人信息侵权自身的特殊性，一些仅有侵犯个人信息的行为而没有造成现实损害的案例中，“严重后果”这一要件不宜简单地套用，应参照知识产权中的惩罚性赔偿条款，将其限定在“情节严重”范围内。二是可借鉴生态环境侵权、消费侵权和知识产权侵权中的惩罚性赔偿倍数，将其设定为1倍至3倍，具体倍数由人民法院结合案件实际情况进行裁量。

2.统一赔礼道歉诉讼请求的标准。第一，应当以赔礼道歉的实践价值为出发点来统一标准，逐渐推行庭审直播的方式进行赔礼道歉，如果没有涉及私密隐私的内容，则应当在法庭上以直播的方式公开。第二，为了达到惩戒预防的影响力和效果，新闻媒体的等级最低限度应限于省级以上。第三，如果以报刊形式向社会公布赔礼道歉的请求，则应当注意履行期间的统一，应以司法实践中的30天为最大的适用范围。逾期不道歉的，法院应对其依法强制执行［7］。

3.探索增加禁令的诉讼请求。禁令作为一种特殊的补救措施，主要是为了防止侵害的发生或者扩大。［8］我国《民法典》第997条已经明确规定了侵犯人格权禁令制度，而具有人格利益的个人信息权利也必然在禁止权的范围之内。

（五）积极探索公益损害赔偿金管理制度

一是建立个人信息保护公益诉讼专项基金账户。可以设立一个专门账户，形成由检察机关单独或者与法院、财政部门设立和管理专门账户，一旦赔偿金支付完毕，应立即将其存入公益诉讼基金账户。二是对赔偿金的管理和使用进行严格监管，形成由专业基金组织主导的公益损害赔偿金运作管理模式。其使用范围应当局限于维护社会公益目的，可考虑将资金用于完善公共事业的算法和数据监管技术等方面，也可以考虑联合多部门，积极运用听证方式召开赔偿金使用和评估会议，结合公益诉讼领域特点，实现公益诉讼赔偿金的“专款专用”［9］。另外，个人信息保护需要社会各界的广泛参与和共同努力，还应将公益损害赔偿金的使用情况，及时地向社会公开，接受社会公众和有关部门的监督。