杭州余杭办案组:以检察公益诉讼促进个人信息长效保护

一、基本案情与诉讼过程

（一）基本案情

2019 年 5 月，杭州市余杭区人民检察院（以下简称“余杭区院”）在履职中发现 APP 强制授权、过度索权、超范围收集个人信息等问题突出，随即开展个人信息保护专项监督行动，针对辖区内企业开发经营的10 余款 APP 存在违法违规收集用户个人信息的行为， 向相关行政机关发出诉前检察建议，督促行政机关依法整治并开展专项治理。在跟进督促过程中，余杭区院发现，个人信息被 APP 违法收集后，众多受侵害用户的合法权益无法通过行政公益诉讼得到维护，遂决定通过民事公益诉讼的路径解决这一问题。为进一步确定公益损害的后果，余杭区院委托第三方机构开展社会调查，结果显示：近九成受访者认为个人信息被侵犯对其正常生活和工作造成影响。为更有力惩治APP 违法违规收集个人信息的行为，2019 年 10 月 16 日，余杭区院对某网络科技有限公司开发经营的一款音乐视频教学类 APP 侵犯个人信息的违法行为决定立案审查。通过走访询问、提取电子数据、同步录像固证等方式，余杭区院调查发现，该款 APP 存在未公开收集使用个人信息的目的、规则、方式和范围，存在未经用户同意收集使用个人信息、违反必要原则收集与其提供的服务无关的个人信息等情形，侵犯了不特定对象的合法权益，致使社会公共利益受到侵害。

（二）诉讼过程

经诉前公告，期满无适格主体提起诉讼。2020 年6 月 23 日，余杭区院依法向杭州互联网法院提起民事公益诉讼，提出涉案 APP 企业停止侵权暨停止违法违规收集、储存、使用个人信息，并赔礼道歉等诉讼请求。同年 9 月 9 日，本案公开开庭审理，公益诉讼起诉人出示了案涉 APP 违法违规收集个人信息的电子数据等证据，充分阐述了社会公共利益受损的情况，被告同意履行全部诉讼请求，双方当庭达成调解协议：被告立即删除违法违规收集、储存的全部用户个人信息 1100 万余条；在法治日报及案涉 APP 首页公开赔礼道歉；承诺今后合法合规经营，若存在违反协议约定的行为，将自愿支付 50 万元违约金用于全国性个人信息保护公益基金的公益支出。后余杭区院积极引进第三方代表评估机制，由当地网信部门认可的有资质的第三方检测机构对涉案企业整改情况进行合规检测， 确保调解协议执行到位。2020 年 11 月 18 日，调解协议内容全部履行到位。

二、我国法律体系对个人信息保护现状及存在的不足

目前，我国民法、行政法、刑法等法律法规对个人信息提供了多角度的保护。如 2020 年 5 月 28 日颁布的民法典人格权编设置专章对隐私权和个人信息进行规定，构筑了个人信息保护防火墙。网络安全法规定了网络运营者负有保护用户信息安全的义务，同时明确了侵犯个人信息的法律责任。刑法规定了侵犯公民个人信息罪等罪名并根据情节的不同分别判处不同的刑罚。此外，近年来为了应对互联网尤其是移动互联网领域对个人信息的侵犯，国家有关部门制定了一批行业规范、指导意见、国家标准等，也对个人信息保护作了规定。如国家市场监督管理总局、国家标准化管理委员会发布的《信息安全技术个人信息安全规范》（GB/T 35273-2020，2020年10月1日施行，并替代GB/T 35273-2017版本国标，以下简称《个人信息安全规范》）、国家互联网信息办公室秘书局、工业和信息化部办公厅、公安部办公厅、国家市场监管总局办公厅于2019年11月28日印发的《APP 违法违规收集使用个人信息行为认定方法》（国信办秘字［2019］ 191号，以下简称《认定方法》）。

随着社会的发展尤其是在互联网大数据时代的当下，现有的法律体系对个人信息保护仍存在诸多不足。尤其是随着移动互联网应用程序（APP）的广泛应用， 强制授权、过度索权、超范围收集个人信息、隐私政策不规范的现象不断涌现。中国消费者协会在其官网上发布的《100 款 APP 个人信息收集与隐私政策测评报告》揭示了这一严峻问题：大多数 APP 仅达及格水平甚至低于及格水平，暴露出我国个人信息保护的脆弱局面。

（一）个人信息民事保护的不足

民法典及已经废止的民法总则等法律均明确了个人信息受法律保护，但同时我们也应当看到失衡的举证责任、较低维权意识和违法成本都使得个人信息民事保护效果大打折扣。

1. 失衡的举证责任。在侵犯个人信息案件中，受害者处于弱势地位，与之对应的侵权行为人往往更具有技术上、数据上的优势。受害人即使知道自己的个人信息被侵犯，但由于信息不对称，往往难以有充分的证据举证维权。

2. 较低的维权意识和违法成本。目前我国公民对个人信息保护意识普遍不高，当个人信息被侵犯时的维权意识较低。即使受害者选择提起损害赔偿诉讼，但对网络运营者来说也是微不足道的损失。

（二）个人信息行政保护的不足

个人信息的行政保护虽具有灵活性、高效性及覆盖范围广的优势，但同时也因为一些先天的不足导致在实践中对个人信息的行政保护往往难以达到预期。

1. 法律法规的笼统性和其他规范的非强制性。如在本文系列案件的办理过程中，办案人员发现，网络安全法、消费者权益保护法等法律法规的有关条款均规定了我国个人信息保护的基本框架，但大多都是一些原则性的规定，无具体化的指引和规范，缺乏可操作性。而《个人信息安全规范》《网络安全实践指南》以及《认定方法》等其他规范则对侵犯个人信息的情形和标准进行了较为细化的规定。但《个人信息安全规范》属于国家推荐性标准，《网络安全实践指南》和《认定方法》仅为参考性规则，三者均无强制适用效力，本案办案人员长时间在案件的法律依据上一筹莫展。

2. “九龙治水”导致职权混乱。根据有关规定，对于个人信息保护，网信办、通信管理局、市场监管局、公安机关等部门分别在各自的管辖范围内行使职权，但现实情况是上述行政主管部门管辖范围往往存在着交叉和重叠，而又没有一个统一指挥协调部门，使得个人信息得不到有效保护。以本文案例为例，余杭区院在办案前期，竟然找不到“适格”的行政主管机关， 如网信部门侧重于涉意识形态和内容等网络信息的管理，且区网信办缺乏行政执法力量，通信管理局虽然具有个人信息保护相关职权，但是其机构仅设置在省一级，区（县）、市没有通信管理部门，至于公安机关，其仅能对违反治安管理处罚法的侵犯个人信息的行为进行执法或者对于构成犯罪的侵犯公民个人信息的行为立案侦查。

3. 个人信息的侵权范围不易确定。［1］大数据时代，常有形式合法而实质侵权的现象，有些数据与个人可能没有直接关系，但是大量无关数据相互结合时，却可以挖掘出相关个人诸多信息。对个人信息是否被侵犯以及被侵犯的内容、程度辨别和认定往往很困难，行政机关在对个人信息保护上往往克制使用行政处罚甚至监管缺位。

（三）个人信息刑事保护的不足

在本文案例办理之初，办案人员对余杭区院近三年办理的侵犯公民个人信息犯罪案件作了梳理。2017 年至2019年，余杭区院共受理侵犯公民个人信息犯罪案件9件11人，起诉8件9人，受理被害人因公民个人信息泄露而被电信网络诈骗的案件 81 件 258 人。此类案件中，非法获取、出售、提供的公民个人信息数量一般以万条为计算单位，涉及电话号码、身份信息、财产信息等个人敏感信息，部分刑事案件的犯罪嫌疑人系通过网络收集、购买、出售公民个人信息，严重危及公民生活财产安全，通过对上述案件的梳理分析， 暴露出刑事处罚对个人信息保护的不足。一方面，刑罚的适用具有较高的门槛，导致个人信息刑事保护的范围有限。另一方面，我国刑事司法实践主要侧重对违法向他人出售或者提供个人信息等下游和末端行为进行打击，而对个人信息被侵犯的源头和上游违法行为惩处乏力。

三、个人信息保护引入公益诉讼之可行性和必要性

在本案办理中，余杭区院先后两次邀请人大代表、政协委员、相关行政职能部门、互联网行业代表、技术专家以及高校教授等就个人信息保护引入公益诉讼的可行性、法律规范的适用及诉讼请求等问题进行研讨论证。参会的代表都谈到日常生活中被电话骚扰、被垃圾短信轰炸等都只是表象，其本质问题是个人信息的泄露并被非法收集和使用。因此，保护个人信息安全才是治理根本。

近年来对个人信息的侵犯时有发生，社会对个人信息保护的呼声愈来愈高，将个人信息保护纳入公益诉讼的范畴，正是公益诉讼制度的应有之义和必然结果。在本案中余杭区院回应民生诉求，发挥行政机关守护社会公共利益的第一顺位作用，通过行政公益诉讼督促行政机关履行监管职责。与此同时，为弥补行政公益诉讼保护个人信息的不足，对企业违法违规收集个人信息的处置问题提起民事公益诉讼，提出删除违法违规收集的个人信息、赔礼道歉等诉讼请求，捍卫公民信息“被遗忘权”。该案的探索也从司法实践的角度证明了个人信息保护引入公益诉讼具有较强的可行性和必要性。

（一）个人信息保护公益诉讼的法理基础

从传统观点看，个人信息属于个人的“私权”范畴。然而，在互联网大数据时代，个人信息越来越多地呈现出公共权利的特性。个人信息内容包罗万象， 从姓名、住址等个人一般信息到电话号码、身份证号码、精确定位、财产账号等个人敏感信息均有涉及， 通过个人信息不仅能精准定位某一个体的身份信息， 甚至还能据此判断出该个体的社会关系等。大量的个人信息被违法违规获取后一旦被用于非法用途，将对个人的生活安宁、财产安全乃至生命安全造成极大隐患，并危及社会稳定。以本文案例为例，某网络科技公司开发经营的 APP 在小米应用商店和华为应用市场等第三方应用平台的下载安装量分别达到了 800 余万和 900 余万。案涉 APP 及其开发经营者违法违规收集用户个人信息达 1100 万余条，该行为涉及不特定主体信息安全，这不仅侵犯了个人信息受保护的权益，而且使得这些被违法违规收集的信息面临着被违法使用、泄露等风险，从而给个人人身和财产权利带来进一步的侵害，甚至危及整个社会的安定，并已经构成对社会公共利益的侵害。只要是保护社会公共利益的需要， 在切实论证检察监督必要性及可行性的基础上，检察机关均应积极探索、主动作为。

（二）个人信息保护公益诉讼的政策依据

全国人大代表、政协委员多次在2019年、2020 年全国“两会”期间提出加强公民个人信息保护应列入公益诉讼范畴。张军检察长在2018年11 月举办的“大数据时代个人信息保护论坛”上指出，“要探索个人信息保护领域的民事、行政、公益诉讼检察工作，促进全方位司法保护。”［2］ 中央、全国各地的党委人大政府部门也纷纷出台相关决定和意见，支持和加强检察公益诉讼工作，鼓励、支持检察机关拓展公益诉讼案件范围，加强对个人信息保护领域公益诉讼的探索。2019年11月5 日，十九届四中全会审议通过的《中共中央关于坚持和完善中国特色社会主义制度 推进国家治理体系和治理能力现代化若干重大问题的决定》明确指出“拓展公益诉讼案件范围”。上海市委《关于支持检察机关依法开展公益诉讼工作的意见》指出“要加大个人信息安全等方面公益保护力度”。湖北省人大常委会《关于加强检察公益诉讼工作的决定》要求检察机关“依法在涉及众多公民个人信息保护等领域探索开展公益诉讼工作”。浙江省人大常委会、杭州市人大常委会也先后出台《关于加强检察公益诉讼工作的决定》，明确要求检察机关“积极稳妥探索个人信息保护等领域公益诉讼工作”。

（三）个人信息保护公益诉讼的社会基础

为了深入了解公民个人信息被非法收集、滥用、泄露内容范围、表现形式、可能途径、社会影响、是否侵犯公益以及是否需要检察机关通过公益诉讼的形式予以保护等相关情况，余杭区院还委托第三方统计师事务所通过设点随访及网络问卷调查等方式开展社会调查，经过对调查数据进行分析显示：

1. 超九成受访者认为个人信息应当受到法律保护。根据调查结果，在2019个有效样本中，认为个人信息应当受到法律保护的有1965人，占比97.3%；54人认为个人信息无需受到法律保护，占比2.7%。在大数据时代，个人信息更容易被获取的情况下，绝大部分市民认为需要相关的法律来保护个人信息安全。

2. 近七成受访者遇到过个人信息被侵犯的情形。根据调查结果，在2019个有效样本中，有1407人认为其或其身边的人遇到过个人信息被侵犯的情形，占比 69.7%；有 612 人选择没遇到过个人信息被侵犯的情形，占比 30.3%。基于网络问卷调查受访者对个人信息被侵犯的情形理解较为模糊，存在无法辨别的情况， 调查结果向下偏离，实际受访者中遇到过个人信息被侵犯的情形比例应当大于统计结果的 69.7%，个人信息被侵犯情况较为严重。

3. 近九成受访者认为个人信息被侵犯对其正常生活和工作造成影响。根据调查结果，在1407个有效样本中，46.1% 的受访者认为个人信息被侵犯对其正常生活和工作影响很大；43.5% 的受访者认为影响较大；仅有10.4% 的受访者认为影响不大或没影响。

4. APP安装使用过程中，违法违规收集个人信息情形严重。在2019个有效样本中，46.3% 的受访者在APP安装过程中遇到过未公开收集使用规则（如隐私政策）；54.4% 的受访者在 APP安装过程中遇到过未经用户同意收集使用个人信息；53.8% 的受访者在APP安装过程中遇到过未明示收集使用个人信息的目的、方式和范围（如未明确说明收集某项权限的目的）；41.6% 的受访者在 APP 安装过程中遇到过违反必要原则，收集与其提供服务无关的个人信息（如购物类APP 要求收集通讯录信息）；40.7% 的受访者在 APP 安装过程中遇到过未经同意向他人泄露个人信息（如未经同意，将个人信息提供给第三方）；23.6% 的受访者在 APP安装过程中遇到过未提供删除或更正个人信息的功能；15.8% 的受访者在 APP安装过程中遇到过未公布投诉举报方式等信息；9.0% 的受访者表示不知道或没遇到。

5. 绝大部分受访者认为APP违法违规收集使用个人信息等问题侵犯了公众利益。在2019个有效样本中，96.1% 的受访者认为 APP违法违规收集使用个人信息等问题侵犯了公众利益；仅有3.9% 的受访者认为此举并未侵犯公众利益。

6. 八成受访者认为对于APP等侵犯个人信息的违法行为需检察机关提起公益诉讼对公民个人信息予以保护。在2019个有效样本中，80.2% 的受访者认为需检察机关提起行政公益诉讼，监督行政职能部门依法监管；71.6% 的受访者认为需检察机关提起民事公益诉讼，要求 APP 开发经营者承担民事责任。仅有 1.0% 的受访者认为不要要检察机关做什么。

（四）个人信息保护公益诉讼的优势

如前文所述，个人信息之刑事、民事和行政保护都存在着诸多不足，难以满足互联网信息社会的发展背景下对个人信息保护的要求。而公益诉讼的特性决定了其在个人信息保护上更具优势。

一方面，相较于个人，公益诉讼对个人信息的保护更具专业性、权威性和便利性。尤其是检察公益诉讼中，检察机关作为国家司法机关，拥有专门人才和专业法律知识、诉讼技能，检察机关法定的调查核实权也为调查取证提供了强大的支撑，在维护公共利益方面具有显而易见的优势，更能够实现三个效果的统一。另一方面，检察机关还可以根据不同情况，灵活启动公益诉讼程序，以达到精准和高效的诉讼效果：在有相关组织提起公益诉讼的情形下，通过支持有关组织起诉的方式，形成保护个人信息合力；对于因行政机关违法行使职权或不作为导致个人信息被侵犯、损害社会公共利益的情形，依法启动行政公益诉讼， 督促行政机关依法履职；对于需要承担民事侵权责任的个人信息侵权案件，依法启动民事公益诉讼，追究侵权人损害赔偿、停止侵害、赔礼道歉等民事责任。

四、个人信息保护的再思考：相关法律制度的完善

（一）加快个人信息保护立法

如上所述，随着数字产业和互联网相关行业的迅速发展， 现有的个人信息保护法律制度难以发挥出对个人信息强有力的保护作用，维护信息安全依然任重道远。因此，促进出台保护个人信息安全的专门法律已经迫在眉睫。全国人大常委会法工委发言人岳仲明在2019年12月20日对外宣称：“中国明年将制定个人信息保护法、数据安全法等。”2020年10月13 日，个人信息保护法草案提请十三届全国人大常委会第二十二次会议审议，2020年10月21日，全国人大法工委公开就《中华人民共和国个人信息保护法（草案）》征求意见，2021年4月27日，十三届全国人大常委会第二十八次会议对个人信息保护法草案二审稿（以下简称“草案”）进行了分组审议，这些对个人信息保护无疑都是重磅利好。

（二）将个人信息保护纳入民事公益诉讼案件范围

党的十九届四中全会通过的《中共中央关于坚持和完善中国特色社会主义制度  推进国家治理体系和治理能力现代化若干重大问题的决定》，在“加强对法律实施的监督”中明确要求“拓展公益诉讼案件范围”，为此，最高人民检察院专门印发了《关于积极稳妥拓展公益诉讼案件范围的指导意见》。近年来，在最高人民检察院关于“积极稳妥拓展公益诉讼案件范围”的理念指引下，各地检察机关积极回应社会关切，在英烈保护、未成年人保护、安全生产、文物保护等领域开展了诸多有益的探索，尤其是英烈保护、未成年人保护民事公益诉讼目前已经被新颁布（修订）的《英雄烈士保护法》《未成年人保护法》及《关于检察公益诉讼案件适用法律若干问题的解释》所确认。按照上述思路，再结合此前公布的《个人信息保护法（草案）》，可将个人信息保护也纳入民事公益诉讼案件范围。

（三）实行举证责任倒置

根据民事诉讼法有关规定，举证责任原则是谁提出主张谁就负有举证责任。也就是说，在有关个人信息保护的民事诉讼中，如果用户起诉网络运营者，那么用户就负有举证证明其存在违法收集存储使用个人信息的责任。但是网络运营者一般都会对收集存储用户信息的服务器“严防死守”，外人根本无法接近，即使能接触到数据，普通人也无法识别数据的内容，更没有能力提取和固定。而且在整个过程中，网络运营者完全有能力随时对其存储的信息和数据进行修正或删除。由此可见，网络运营者收集证据能力显然比用户和检察机关更具优势，因此在对个人信息保护公益诉讼分配举证责任时，应由检察机关或有关组织证明存在信息侵权的基本事实后，对于侵权涉及信息的内容、数量等应由运营者等侵权行为人进行举证。以本文案例为例，在案件办理过程中，办案人员面临的主要问题，一是事前取证难，二是事后监督整改落实难。就网络信息技术及相关证据提取固定而言，检察办案人员无疑是“门外汉”。为此，一方面，在事前调查取证环节，余杭区院公益诉讼部门联合本院电子数据实验室，利用检察区块链取证设备，通过在线提取电子数据的方式对案涉 APP 违法违规收集个人信息的侵权行为进行证据固定；另一方面，在事后督促整改落实环节，余杭区院积极引进第三方代表评估机制，由当地网信部门认可的有资质的第三方检测机构对涉案企业整改情况进行合规检测，确保调解协议执行到位。

（四）构建侵害个人信息的惩罚性赔偿制度

因对个人信息侵权行为造成的财产损失或精神损害往往难以确定，在司法实践中，个人信息侵权法律责任中的“赔偿损失”很难获得支持。即使损害赔偿能够确定，并获得支持，也难以震慑到网络运营者等违法行为主体。反观在当今信息社会中，各方主体对信息和数据的需求可以说到了如饥似渴的程度，信息更是数据中间商赖以生存的基础。显然，信息的潜在价值和可带来的利润，远大于一次诉讼中可能认定的损害赔偿。［3］ 由于社会公共利益的基本性、整体性、层次性、发展性等特性，某一特定侵害行为对公共利益造成的损失难以进行量化确定。在目前法律对个人信息领域公共利益损失金额计算未作出明确规定的情况下，可以参照适用惩罚性赔偿规定，以实现对违法经营者的惩戒和震慑。因此，有必要建立侵犯个人信息的惩罚性赔偿制度，加大对侵权行为人的惩治和威慑力度。

注释：

［1］参见［英］维克托·迈尔- 舍恩伯格、肯尼思·库克耶：《大数据时代 ：生活、工作与思维的大变革》，盛杨燕、周涛等译，浙江人民出版社2013年版，第200页。

［2］姜洪：《携手加强大数据时代个人信息司法保护 积极提供全球互联网发展治中国方案》，《检察日报》2018年11月9日。

［3］参见蒋都都、杨解君：《大数据时代的信息公益诉讼探讨》，《广西社会科学》2019年第5期。

*本文刊登于《中国检察官》杂志2021年6月（经典案例版）