个人信息保护公益诉讼制度的理解与适用

个人信息保护公益诉讼制度的理解与适用

2021年8月20日我国颁布的《中华人

民共和国个人信息保护法》（以下简称《个

人信息保护法》）第70条规定：“个人信息

处理者违反本法规定处理个人信息，侵害众

多个人的权益的，人民检察院、法律规定的

消费者组织和由国家网信部门确定的组织可

以依法向人民法院提起诉讼。”本条规定确

立了个人信息保护公益诉讼制度，为规范非

法处理个人信息侵害众多个人权益的行为提

供公益诉讼法律依据。但是法律条文本身仅

作出了原则性规定，与既有的消费者保护公

益诉讼、环境生态保护公益诉讼制度的规定

相比较为简咯，对于个人信息保护公益诉讼

主体的范围、适用的条件及相关法律责任等

问题还需要进行研究和阐释，以利于正确理

解和适用。由于个人信息保护公益诉讼制度

并未在《民事诉讼法》第55条的不完全列举

规定中，是否属于该条“等”的范围，还需

要做进一步的解释。最高人民检察院发布《关

于贯彻执行个人信息保护法推进个人信息保

护公益诉讼检察工作的通知》指出：“力口强

个人信息公益保护，是贯彻落实习近平法治

思想，推进国家治理，强化法律监督的必然

要求，要深刻领会个人信息保护法设置公益

诉讼条款的重要意义，进一步增强检察履职

的责任感和紧迫感，切实加大办案力度，推

动公益诉讼条款落地落实。”因此，本文主

要立足于法律条文与相关司法解释的规定，

对该制度进行解释论证，为个人信息保护公

益诉讼条款落地落实提供必要理论支撑。

一、建立个人信息保护公益诉讼制度强化个人

信息保护

(-)个人信息私益救济的局限性

中国互联网协会公布的《中国网民权益

保护调查报告(2021)》显示：“近一年来，

因个人信息泄露、垃圾信息、诈骗信息等原

因，导致网民总体损失约805亿元。82.3%

的网民亲身感受到了由于个人信息泄露对日

常生活造成的影响。”进入信息化社会，公

民个人信息安全面临前所未有的挑战，一方

面，人工智能、算法技术的开发和广泛应用

使得侵害个人信息的行为更具隐蔽性，个人

难以察觉权利受损；另一方面，诉讼成本高

昂、举证困难使个人维权受阻。面对大规模

侵害个人信息侵权行为，传统私益诉讼难以

全面保护个人信息权益。

（二）个人信息公法保护的局限性

个人信息公法保护主要包括行政法保护

与刑法保护。侵权规模大、损害后果严重的

情形，行政和刑事法律责任是保护个人之个

人信息权益的强有力手段。但是，行政法与

刑法的谦抑性理念要求侵害行为必须是造成

严重后果，通常情况下，大规模侵害个人信

息的损害后果并不严重，难以达到启动公法

保护程序的要求。在大规模侵害个人信息案

件中，尽管受害人数众多，单个受害人受到

的损害却很小，难以达到法律要求的造成严

重后果，因此公力救济功能的发挥就很有限。

即便侵害个人信息的行为造成比较恶劣的后

果，构成行政处罚或刑事责任，也达不到从

数据处理行为而遭受侵害的，其有权不经数

据主体授权依照第77条（向监管机构投诉的

权利）规定向该成员国有权监管机构提出投

诉，并行使第78（针对监管机构的有效司法

救济权）、79条（针对数据控制者或处理者

的有效司法救济权）所赋予的权利。可见，

个人信息保护公益诉讼制是一个具有广泛国

际共识性的制度。鉴于此，我国学者此前纷

纷呼吁在大规模的个人信息侵害事件中，可

以尝试构建个人信息保护公益诉讼制度来解

决实践中的难题。

《个人信息保护法》第70条规定个人信

息保护公益诉讼制度回应了社会需求，与世

界法治潮流相符合、吸收了法学研究的最新

成果，着力于强化个人信息保护。

（四）个人信息保护公益诉讼制度与其

他公益诉讼制度的共通性

我国《民事诉讼法》第55条第1款规定：

“对污染环境、侵害众多消费者合法权益等

损害社会公共利益的行为，法律规定的机关

和有关组织可以向人民法院提起诉讼。”从

规定内容上看，我国《民事诉讼法》通过不

完全列举的方式将污染环境、侵害众多消费

者合法权益，这两类具有损害社会公共利益

的典型侵权行为列入公益诉讼的起诉范围。

在两种典型的公益诉讼类型后，则以“等”

字为公益诉讼范围的扩大预留制度空间。通

过对我国环境公益诉讼与消费者公益诉讼制

度特点进行对比可以发现，环境公益诉讼中

的受害人主要是不特定的多数人，而消费者

公益诉讼的受害人主要是特定的多数人。具

体来说，在侵害众多消费者的案件中，受害

人大多是某类商品或者服务的购买者或者使

用者，受害人的具体范围是可以确定的，具

有特定性。我国《民事诉讼法》第55条第1

款将特定的多数消费者受到侵害也视为公共

利益受到侵害，因此众多人受到侵害可以视

为公共利益受到侵害，而无所谓受害人是否

不特定。后来建立的英雄烈士人格权保护与

未成年人权益保护公益诉讼制度也证实了这

一点，即后两类公益诉讼案件中的受害人也

是具有特定性的人群。在大规模侵害个人信

息案件中，受侵害的是众多特定的人，这就

能很好地理解个人信息保护公益诉讼属于

《民事诉讼法》第55条第1款规定中“等”

的内容，即个人信息保护公益诉讼在《民事

诉讼法》第55条管辖事项内，与其他公益诉

讼制度具有共通性。此外，个人信息保护公

益诉讼在保护的具体对象上还与其他公益诉

讼存在共通性(如图一所示)，即个人信息

保护公益诉讼制度、消费者保护公益诉讼制

度以及未成年人权益保护公益诉讼制度存在

一些交叉地带，交叉的内容是与个人信息保

护相关的内容。既然保护对象存在共通性，

那么规则的构建也会具有一定的共通性。也

就是说，在解释个人信息保护公益诉讼制度

规则时，也可以利用制度的共通性更好地解

释个人信息保护公益诉讼制度。

二、提起个人信息保护公益诉讼的条件

(-)违法处理个人信息

《个人信息保护法》第70条规定，个人

信息处理者“违反本法规定处理个人信息”是

相关主体提起个人信息保护公益诉讼的条件

之一。“本法”指《个人信息保护法》。需要

指出的是，其他一些法律对违法处理个人信息

的行为也有规定，如《网络安全法》《电子商

务法》《消费者权益保护法》《未成年人权益

保护法》等，但是这些违法处理个人信息的行

为均被《个人信息保护法》的相关规定所吸收。

因此，法律规定“违反本法规定处理个人信息”

对违法行为之概括是周延的，无需检索是否违

反其他法律规定处理个人信息的情形。

《个人信息保护法》对个人信息处理者违

法处理个人信息的行为作了全面的列举，覆盖

了处理个人信息的各个环节。归纳而言，处理

个人信息主要包括事前、事中、事后三个环节。

在事前环节，个人信息处理者违法处理个人信

息的行为主要包括：在处理个人信息前，个人

信息处理者未获得个人或者其监护人的明确

同意（第13条、第14条、第27条）；特殊

情况下，个人信息处理者处理敏感个人信息未

取得个人或者其监护人的单独同意或者书面

同意（第29条、第31条第1款）；个人明确

拒绝信息处理者处理个人信息时，个人信息处

理者拒绝提供产品或者服务，且处理个人信息

并不属于提供该产品或者服务所必需（第16

条）；个人信息处理者未以显著方式、清晰易

懂的语言向个人如实告知个人信息的处理目

的、方式、种类、保存期限等相关事项（第17

条第1款、第30条）；应向个人公开处理个

人信息的规贝」而未公开的（第17条第2款、

第31条第2款）；当涉及处理敏感个人信息、

利用个人信息进行自动化决策等对个人有重

大影响的个人信息处理活动对，个人信息处理

者未在事前进行风险评估（第55条）；提供

基础性互联网平台服务、用户数量巨大、业务

类型复杂的个人信息处理者，未制定平台内规

则（第58条第2款）。

在事中环节，个人信息处理者违法处理个

人信息的行为主要包括：个人信息处理者利用

个人信息进行自动化决策时，对个人实行不合

理的价格差用对待，也就是“大数据杀熟”（第

24条第1款）；通过自动化决策方式进行商业

营销、信息推送，未能提供不针对个人特征的

选项或者未能向个人提供拒绝的方式（第24

条第2款）；当个人提出要求时，个人信息处

理者未能对使用自动化决策对个人造成的影

响后果予以说明（第24条第3款）；个人信

息处理者处理个人信息时未能确保个人信息

的准确性与完整性，当个人请求更正、补充其

个人信息的，个人信息处埋者未能对其个人信

息予以核实并及时更正、补充（第8条、第46

条）；个人信息处理者向他人分享个人信息的，

未取得个人的单独同意（第23条、第25条）；

提供基础性互联网平台服务、用户数量巨大、

业务类型复杂的个人信息处理者，未建立主要

由外部成员组成的独立机构，对个人信息处理

活动进行监督（第58条第1款）；未及时停

止为严重违反法律、行政法规处理个人信息的

平台内的产品或者服务提供者提供服务（第58

条第3款）；未定期发布个人信息保护社会责

任报告，未接受社会监督（第58条第4款）；

未采取必要措施保障所处理的个人信息的安

全，未能防止未经授权的访问以及个人信息泄

露或者被窃取、篡改、删除（第9条、第51

条、第57条）。

在事后环节，个人信息处理者违法处理个

人信息的行为主要包括：个人信息处理者保存

个人信息的期限超出处理目的所必要的最短

时间（第19条、第21条）；处理个人信息达

到国家网信部门规定数量后，个人信息处理者

未指定负责人对处理活动以及采取的保护措

施等进行监督（第52条第1款）；未公开前

款规定的负责人的联系方式，也未将负责人的

具体信息报送至履行个人信息保护职责的部

门备案（第52条第2款）；个人信息处理者

未定期对其个人信息处理活动情况进行合规

审计（第54条）；当处理目的已实现或者为

实现处理目的不再必要、个人信息处理者停止

提供产品或者服务，或者保存期限已届满等条

件成就时，个人信息处理者未主动删除个人信

息（第47条）；个人信息处理者未建立个人

行使权利的申请受理和处理机制。拒绝个人行

使权利的请求的，未说明理由（第50条）。

也就是说，个人信息处理者一旦在收集、

存储、使用、加工、传输、提供、公开等任一

环节存在上述违法处理个人信息，侵害众多个

人的权益的行为，相关主体有权依据《民事诉

讼法》第55条、《个人信息保护法》第70条

的规定提起个人信息保护公益诉讼。

（二）侵害众多个人的信息权益

侵害众多个人的信息权益是个人信息保

护公益诉讼制度设计的重要出发点。关于“众

多”的含义，《最高人民法院关于适用〈中华

人民共和国民事诉讼法〉的解释》（以下简称

《民事诉讼法司法解释》）对《民事诉讼法》

中很多条款里的“众多”都进行了细化，例如

对《民事诉讼法》第53条、第54条和第199

条规定中的“众多”都进行了细化规定，但唯

独未对《民事诉讼法》第55条规定中的“众

多”作出解释。从《民事诉讼法》第55条的

立法本质来看，该条实际上是对社会公共利益

的保护。由于公共利益高度抽象性与多样性的

特点，无法穷尽，更无法一一列举，所以《民

事诉讼法司法解释》并未对公共利益进行解释,

而是保留《民事诉讼法》第55条开放列举的

方式定义公共利益的内涵，实践中多由法院运

用法律解释方法于个案中加以具体化。但是这

又容易引发新的问题，即在缺乏法律明确规定

的情况下，单纯依靠法官运用法律解释方法对

案件予以释明，会过度扩大法官的自由裁量范

围，不利于案件的公正审判。鉴于《个人信息

保护法》第70条、《民事诉讼法》第55条并

未对“众多”作出具体的规定，那么“众多”

具体需要达到多少受害人，才能达到提起个人

信息保护公益诉讼的要求，之后将由最高人民

法院出具相关司法解释或者由国家网信部门

出台相关文件予以确定。

有权作出解释的机关在确定众多受害人

时，可以考虑以下因素：

其一，可以参考消费者权益保护公益诉讼

的启动标准。《消费者权益保护法》第47条

规定：”对侵害众多消费者合法权益的行为，

中国消费者协会以及在省、自治区、直辖市设

立的消费者协会，可以向人民法院提起诉讼。”

对于侵害众多消费者合法权益的行为的理解，

当前理论界存在两种主要的观点。一种观点认

为，只要被侵害合法权益的消费者人数“众多”,

消费者团体即具备提起公益诉讼条件；持此观

点的学者还提出了具体量化的标准，他们认为

如果被侵害合法权益的消费者达到200人以上,

就构成了侵害众多消费者合法权益，可以作为

公益诉讼受理。另一种观点则认为，判断消费

者团体是否具备提起公益诉讼的条件，不仅应

以被侵害合法权益的消费者是否“众多”作为

形式标准，而且应以“损害社会公共利益”作

为实质标准。持此观点的学者主要从立法目的

的角度来解释“众多”的含义，他们认为公益

诉讼的立法目的是为了防止社会公共利益受

到损害，人数“众多”不过是社会公共利益认

定的形式标嗜。也就是说，在把握消费者团体

提起公益诉讼的条件时，应从是否体现社会公

共利益的角度来理解“众多消费者”，不能简

单以人数作为标准。两种观点争议的焦点在于

是否应该对“众多”进行量化，后一种观点由

于更契合公益利益抽象化的特点，因此成为了

主流学说观点，该观点也对司法实践产生了直

接影响。从司法实践看，在大多数案件中，法

官在认定被告是否侵害了众多消费者合法权

益时，并未对受害人的人数进行量化。因为在

消费者保护公益诉讼案件中，对消费者人群进

行量化是极其困难并且不切实际的。大多数公

益诉讼案件中的保护对象不仅包括受到实际

侵害特定的消费者或者商品使用者，还包括了

潜在的不特定的受害人群。这些潜在的受害人

群分布的广泛性及不特定性使得对其量化几

乎成为不可能。因此，法官在认定被告的行为

是否构成对众多消费者合法权益的侵害时，通

常会结合消费者的分布情况、实际受害人数、

潜在不特定的受害人群等因素综合考虑，采用

抽象的认定方式认定被告是否侵害众多不特

定的人群的合法权益。例如，在“张琴、安徽

省消费者权益保护委员会侵权责任纠纷案”中，

安徽省滁州市中级人民法院认为刑事判决认

定被告销售对象有9人，但9名假酒购买者将

购买的假酒用于宴请他人，消费者既包括假酒

购买者，也包括假酒饮用者，人数具有众多不

特定性，因此认定被告的行为已经侵害了众多

消费者合法权益。又如，在“四川省保护消费

者权益委员会、闫攀、唐斌等侵权责任纠纷案”

中，四川省成都市中级人民法院认为被告伪造

知名品牌鞋类、服装在二十多家商超以特卖方

式进行销售，虽有销售记录，但难以确定具体

销售对象名称，客观上已难以对全部受侵害主

体进行特定化，故本案中消费者的损害具有分

散性、不特定性。可见，在消费者保护公益诉

讼领域，判断是否侵害众多消费者合法权益，

并不是简单从文意上作人数“众多”的理解，

而是综合考虑各方面客观因素，从是否体现社

会公共利益的角度来认定消费者公益诉讼的

起诉条件。

其二，可以参考比较法上的经验。比较法

上，大多设立个人信息保护公益诉讼的国家和

地区都将侵害受害人数众多作为提起公益诉

讼的重要要件之一。如美国《联邦民事诉讼规

则》第23条a项规定了提起集团诉讼的四项

前提之一项便是“集团人数众多，以至于所有

集团成员共同进行诉讼成为不可能。”又如我

国台湾地区“个人资料保护法”第34条规定

“对于同一原因事实造成多数当事人权利受

侵害之事件，财团法人或公益社团法人经受有

损害之当事人二十人以上以书面授与诉讼实

施权者，得以自己之名义，提起损害赔偿诉讼。”

可见，侵害众多受害人信息权益成为个人信息

保护公益诉讼的提起要件在国内外已经形成

共识。在如何定义众多受害人上，大多数国家

采用的是抽象方式，即认为众多是指不特定的

受害公众群体。但也有少数国家认为对于“众

多”的含义，应该明确规定具体的受害人人数，

一方面是为司法裁判确定明确依据，另一方面

是禁止滥诉浪费司法资源。但是，此种方式容

易忽略个人信息保护公益诉讼案件的特殊性，

在实施过程中遇到了重重困难。实践中侵害个

人信息往往涉及信息类型与数量繁多，单个人

可能被侵害的信息数量和种类又不尽一致，因

此不宜仅从人数上界定量化标准。这也是大多

数设立个人信息保护公益诉讼的国家更倾向

于从抽象的角度定义众多受害人的原因。

总之，有权作出解释的机关在确定个人信

息保护公益诉讼中“众多”含义时，不妨参考

消费者权益保护公益诉讼的启动标准及比较

法上的经验来对其含义予以具体化，以此为司

法实践提供明确的裁判依据。值得注意的是，

2021年8月最高人民检察院下发《关于贯彻执

行个人信息保护法推进个人信息保护公益诉

讼检察工作的通知》指出：“各级检察机关在

履行公益诉讼检察职责时应当突出重点、从严

把握以下方面：生物识别、宗教信仰、特殊身

份、医疗健康、金融账号、行踪轨迹等敏感个

人信息应当严格保护；儿童、妇女、残疾人、

老年人、军人等特殊群体的个人信息需要特别

保护；教育、医疗、就业、养老、消费等重点

领域处理的个人信息，以及处理100万人以上

的大规模个人信息应当重点保护；对因时间、

空间等联结形成的特定对象的个人信息加强

精准保护。”该通知为实践中检察机关办理公

益诉讼案件提供必要的指引，同时，该通知也

为实践中司法机关正确把握“侵害众多个人的

信息权益”释放出重要信号。即在判断个人信

息处理者是否实施侵害众多个人的信息权益

时，还应当着重考虑是否涉及侵害敏感的、特

殊群体的、重点领域的、达到100万人以上大

规模的个人信息以及因时间、空间等联结形成

的特定对象的个人信息等因素。

三、个人信息保护公益诉讼中的主体

《个人信息保护法》第70条明确了个人

信息保护公益诉讼的适格主体。即在大规膜

侵害个人信息权益的案件中，具有起诉资格

的主体是人民检察院、法律规定的消费者组

织和由国家网信部门确定的组织；被起诉主

体是违法处理个人信息的个人信息处理者。

但是本条对个人信息保护公益诉讼的适格主

体只是做了概括性、指引性的规定，正确适

用本条规定还需要进一步厘清和明确这些主

体范围。

(-)适格的起诉主体

1.人民检察院

《中共中央关于加强新时代检察机关法

律监督工作的意见》指出：“积极稳妥推进

公益诉讼检察，就要积极稳妥拓展公益诉讼

案件范围，探索办理安全生产、公共卫生、

妇女及残疾人权益保护、个人信息保护、文

物和文化遗产保护等领域公益损害案件，总

结实践经验，完善相关立法。”新时期，检

察机关坚持以习近平新时代中国特色社会主

义思想为指导，认真贯彻中共中央部署和全

国人大常委会授权决定，现已在探索拓展个

人信息保护公益诉讼方面取得了巨大成效。

实践中，本文检索到有关个人信息保护公益

诉讼案件为191例，人民检察院作为这类型

案件起诉主体为179例，占比高达94%。从

案件的裁判结果来看，法院的判决基本是完

全支持检察院的诉讼请求，仅有个别案件是

人民检察院与被告调解结案。在“实践先行，

立法紧跟其后”的情境下，检察机关成为个

人信息民事公益诉讼的主要起诉主体，并在

司法实践中取得良好的实施效果。之所以如

此，一方面，检察机关代表社会公共利益，

当众多社会公民个人信息遭受损害时，检察

机关提起公益诉讼，属于依法履行职责。另

一方面，检察机关熟悉诉讼程序，有专业人

员且具备充裕的资源，相比其他机关、组织

和个人更有诉讼能力。基于此，2021年8月

颁布《个人信息保护法》将人民检察院作为

个人信息保护公益诉讼的起诉主体之一以法

律的形式固定下来，为实践中个人信息保护

公益诉讼提供直接的法律依据。

比较法上也有许多国家赋予检察机关提

起公益诉讼的职能。如《法国民事诉讼法》

规定：“于法律规定之情形，检察院代表社

会”，“除法律有特别规定之情形外，在事

实妨害公共秩序时，检察院得为维护公共秩

序，进行诉讼。”《德国民事诉讼法》规定，

检察机关作为社会公共利益的代表，对涉及

国家、社会公共利益的重大案件可提起民事

诉讼。可见，检察机关代表公共利益，作为

个人信息保护公益诉讼的起诉主体，不仅具

有客观必然性，也具有相当的合法性。

2.法律规定的消费者组织

在《个人信息保护法》立法过程中，关

于消费者组织是否能被认定为个人信息保护

公益诉讼起诉主体存在较多争议。此前提交

全国人民代表大会常务委员会审议的所有

《个人信息保护法（草案）》中均未出现将

消费者组织列为起诉主体的规定，但是后来

公布的《个人信息保护法》还是采纳了中国

消费者协会与部分专家的建议，明确规定‘'法

律规定的消费者组织”可以对违法处理个人

信息侵害众多个人权益的行为提起诉讼。

将消费者组织确定为个人信息保护公益

诉讼起诉主体存在以下解释路径：其一，作

为合法成立且长期从事消费者权益保护的公

益组织，保护消费者个人信息权益是消费者

组织的职责之一，即履行保护消费者个人信

息权益本就是其份内之事。《消费者权益保

护法》第47条规定了消费者组织提起公益诉

讼的权利，对该条文进行解释，消费者组织

当然就具有提起个人信息公益诉讼的资格。

其二，在现有的公益诉讼体系之下，部分消

费者协会的公益诉讼起诉权已经获得了相关

单行法的认可，司法实践中也释放出了消费

者组织提起个人信息保护公益诉讼的积极信

号。例如在“江苏省消费者权益保护委员会

与北京百度网讯科技有限公司侵权纠纷案”

中。江苏省消费者权益保护委员会作为本案

的起诉主体，针对北京百度网讯科技有限公

司利用APP权限违法获取用户个人信息的

行为，向江苏省南京市中级人民法院提起个

人信息保护公益诉讼。在该案审理过程中，

北京百度网讯科技有限公司向江苏省消费者

权益保护委员会提交了整改方案，撤销了

APP中部分敏感权限，优化了权限获取的方

式并对有关权限的获取目的进行说明。目前

上述整改已在更新后的APP中生效，涉案

APP已基本符合法律法规对于个人信息保护

的要求。可见，消费者组织作为个人信息保

护公益诉讼的起诉主体已经具备一定的实践

基础。此外，赋予消费者组织在个人信息保

护公益诉讼中的起诉主体资格，还可以实现

与《消费者权益保护法》中有关消费者保护

公益诉讼规则的衔接，实现法律体系内在的

协调性。

结合《消费者权益保护法》第47条的规

定，有权提起个人信息保护公益诉讼的消费

者保护组织是指“中国消费者协会以及在省、

自治区、直辖市设立的消费者协会”。之所

以将消费者组织级别限定在省级以上，原因

在于侵害个人信息的案件往往波及范围较广，

案件较为复杂，社会影响力较大，由有较高

级别的消费者组织进行起诉能发挥协会统筹

的优势。从专业能力看，省级以上消费者组

织专业能力更强，作为个人信息保护公益诉

讼中的起诉主体更为妥当。此外，保持法律

体系内在的协调性也是立法机关在本次立法

过程中的重要考虑因素。

3.由国家网信部门确定的组织

依据《个人信息保护法》第70条的规定，

由国家网信部门确定的组织也可以成为个人

信息保护公益诉讼的起诉主体。通过社会组

织来执行个人信息保护具有天然的优势：较

之公权监管，其成本更低；较之私人维权，

其更集中有力，因此以社会组织执行来补充

公权监管、私人维权，符合功能适当原则。

但是现有规定过于简略，有必要进一步细化。

细化个人信息保护公益诉讼中的有关组

织的具体范围和认定标准，一方面是为了对

相关组织范围进行必要限制，避免多种组织

同时起诉造成滥诉，浪费司法资源；另一方

面更是为了避免在实践环节中增加对有关组

织的辨识成本。在界定个人信息保护公益诉

讼中有关组织的具体范围和认定标准时，不

妨借鉴已有的类似法律规定。目前《环境保

护法》对符合环境保护公益诉讼条件的社会

组织作了较为详细的认定。尽管个人信息保

护公益诉讼与环境公益诉讼中的有关组织职

能会有所不同，但是这并不妨碍认定两类组

织的共通性。因为不管是在个人信息保护公

益诉讼中的有关组织还是环境保护公益诉讼

中的有关组织，它们的共通目标是保护社会

公共利益，因此在性质上，它们都需要具备

价值中立性，即非营利性；在保护能力上，

需满足一定的形式要件，具体表现为具备一

定的组织规噗、具备承担风险基本能力；此

外，还要在履行责任的业务能力和专业水平

上与其他社会组织区别开来。因此在如何细

化个人信息保护公益诉讼中有关组织范围这

个问题上，可以参照《环境保护法》第58条

的规定。

比较法上，一些国家和我国部分地区为

了避免发生滥诉，对公益诉讼（国外多称为

“集体诉讼”或者“集团诉讼”）组织的资

格作出了明确规定。例如，欧盟GDPR第80

条第1款规定：”对按照成员国国内法依法

设立、以公共利益为法定目标并且活跃于保

护数据主体权利与自由领域的非营利性机尚、

组织或协会，数据主体有权委托其代表自己

提出投诉。”又如韩国《个人信息保护法》

第51条规定了两类组织可以提起公益诉讼，

第一类是在公平交易委员会登记、平时以促

进权利增进为目的、团体的定员为1000名以

上、登记后经过3年的组织。第二类是最近

三年以上有相应的活动实绩的、团体的组成

人员为5000名以上的、在中央行政机关登记

的非营利民间团体。再如我国台湾地区“个

人资料保护法”第32条对公益社团法人的规

定是：社团法人之社员人数达一百人、保护

个人资料事项于其章程所定目的范围内（具

备个人信息保护的专业能力）、许可设立三

年以上。

通过归纳对比国内外法律对社会组织的

定义，总结出公益诉讼中的社会组织需要具

备三个主要特征：其一是这类组织不以营利

为目的，具有公益性；其二是这些组织是长

期从事相关公益活动且聚积一定数量的专业

人才，能较好地开展公益活动的专业性组织；

其三是具有合法开展公益活动的主体身份，

这使它区别于各种非法组织。本文认为，对

个人信息保护公益诉讼中社会组织的认定，

可以参照上述标准，即需要具备以下要件：

（1）依法在设区的市级以上人民政府民政部

门登记；（2）专门从事个人信息保护公益活

动连续五年以上且无违法记录。（3）经由国

家网信部门认定并公布。同时具备这些条件

的非营利性组织可以向人民法院提起个人信

息保护公益诉讼。当然，在提起公益诉讼的

过程中，社会组织不得通过诉讼牟取任何经

济利益。在认定程序上，本文认为需要由省

级以上的网管部门来制定具体的认定标准，

并及时向社会公布明确的社会组织名单。关

于社会组织的具体类型，本文倾向于将从事

个人信息研究保护的专业机构或者学术研究

机构列为保护个人信息的社会组织。从事个

人信息研究保护的专业机构如中国法学会网

络信息法学会、网络信息研究院；从事个人

信息研究保护的学术机构，比如北京大学信

息化与信息管理研究中心，清华大学网络科

学与网络空间研究院，中国人民大学网络空

间发展与战略研究院、未来法治研究院等各

所高校里专门从事个人信息保护的科研机阂。

这两类专门从事个人信息保护研究的机构，

具有较高的信息技术监测与保护能力，拥有

众多专业技术人员，能较好地履行保护个人

信息的任务C

4.不适格起诉主体

(1)履行个人信息保护职责的部门

在制定《个人信息保护法》的过程中，

一审稿及二审稿都将履行个人信息保护职责

的部门列入起诉主体的范围内，但是考虑到

履行个人信息保护职责的部门主体身份的特

殊性，在三审稿中将其删除掉了，后来颁布

的《个人信息保护法》保留了三审稿的规定。

履行个人信息保护职责的部门不宜代表公共

利益提起个人信息保护公益诉讼。一方面，

是因为法律已经赋予了这些行政机构行使行

政处罚的权利，行政管理手段与司法途径相

比，通过行政管理手段能达到有效、有力地

遏制侵害个人信息的违法行为的作用，自然

就不必再提起公益诉讼。另一方面，如果履

行个人信息保护职责的部门在实践中既是个

人信息的管浬者，享有行政处罚权，同时又

是公共利益的代表者，可以提起公益诉讼，

那么两种不同的身份交织在一起难免有叠床

架屋之嫌，还会造成行政资源的浪费。况且

行使处罚权保护个人信息安全本就是这些行

政机构基本职责，过分强调和突出行政机关

启动公益诉讼的作用，容易造成行政机关的

角色错位。此外，现行已经规定了公益诉讼

规则的单行法如《消费者权益保护法》《环

境保护法》同样未赋予行政机关提起公益诉

讼的主体资格，这其中的职能重叠问题正是

立法者的重要考量因素，因此行政机关并不

具备提起公益诉讼的先验性。尽管，行政机

关不宜代表公共利益提起个人信息保护公益

诉讼，但行政机关还是可以在个人信息保护

公益诉讼中发挥支持起诉的作用，即通过提

供相关法律咨询、提交书面意见、协助调查

取证等方式支持人民检察院、相关社会组织

依法提起个人信息保护公益诉讼。

(2)个人

有学者提出，除了人民检察院、有关组

织可以提起个人信息保护公益诉讼外，在很

多国家个人也具有代表他人提起公益诉讼的

资格，并且起诉主体的多元化成为了近现代

民事公益诉讼的一个重要趋势。至于公民个

人，本文认为不宜成为个人信息保护公益诉

讼的适格起诉主体。一方面，人性的本能中

天然含有对自身利益的最大化追逐，因而很

难确保诉讼的公益性。另一方面，公民个人

在收集、调查证据、担负诉讼成本和专业素

养等方面均存在一定弱势，个人作为公益诉

讼起诉主体不具备客观可行性。公众在一定

程度上确实能发挥低成本，高效率的社会监

督优势，但是这种潜在的优势并不足以抵消

个人提起公益诉讼的弊端，因此并不可取。

尽管个人不能代表公共利益提起个人信息保

护公益诉讼，但是在实践中依然可以发挥个

人的力量推动公益诉讼活动，例如个人可以

向有关机关或者组织检举、投诉侵害个人信

息的违法行为，或者提供基础性材料请求人

民检察院或者相应的组织提起公益诉讼。

（二）适格的被告

从《个人信息保护法》的规定看，个人

信息保护公益诉讼的适格被告是指违反该法

处理个人信息、侵害众多个人权益的个人信

息处理者。对于个人信息处理者的含义，《个

人信息保护法》第73条第1款给出的定义是：

“在个人信息处理活动中自主决定处理目的、

处理方式的组织、个人。”结合《个人信息

保护法》第70条规定来看，法律并没有限制

被告的范围，而是规定了所有个人信息处理

者都可以成为适格被告。但是从个人信息保

护公益诉讼的本质来看，个人信息保护公益

诉讼主要解决侵害众多受害人个人信息权益

的问题，而通常符合侵权要件的是具有大量

个人信息处理需求和能力的头部（大型）企

业。例如美国谷歌公司曾因未经用户同意将

用户个人信息透露给第三方，侵犯了众多用

户隐私，于2010年遭集体诉讼；苹果公司因

涉嫌以违法的形式收集用户个人信息并出售

第三方，遭到美国波士顿的多名用户发起集

体诉讼；Facebook因其使用的面部识别技术

违反了伊利诺伊州的《生物信息隐私法案》

(BIPA)而面临集体诉讼；万豪旗下的喜达

屋酒店曾因泄露3.39亿客人开房信息，仅在

2018年就受到个人和律所提起至少2起集冰

诉讼，索赔超过百亿美元。及至国内，我国

开始探索个人信息保护公益诉讼的时间较短,

个人信息保护公益诉讼案件还较少，但是从

已有的个人信息保护公益诉讼案件来看，个

人信息保护公益诉讼案件主要发生在物流快

递、装饰装修、医疗、教育、网络科技等领

域，这些涉诉被告无一例外都是各领域的知

名头部企业。从国内与国外的实践经验来看，

大规模侵害个人信息权益案件中的被告通常

是某些领域内的头部企业，因此，个人信息

保护公益诉讼中的被告大多数情况下应该是

指大型企业。需要注意的是，我国《个人信

息保护法》并未对被告类型或者规模加以区

分，在认定被告时也不