随着法治化进程迈入新时代，在数字化、智能化背景下，大众的个人信息保护意识显著增强。为此，近几年国家出台的诸如《网络安全法》《民法典》《个人信息保护法》等一系列法律法规把“个人信息保护”问题纳入其中，《个人信息保护法》明确将“个人信息保护”纳入公益诉讼法定领域。最高人民检察院于2023年3月发布的典型案例中，上海市浦东新区人民检察院诉张某侵犯公民个人信息刑事附带民事公益诉讼案，为个人信息保护民事公益诉讼适用的厘定问题提供了新思路。

　　【案情简介】张某于2021年7月下旬通过网络技术手段入侵某软件公司的计算机内部信息系统，并获取了含消费者姓名、联系方式、交易记录等客户订单信息60000余条。张某在获取上述信息后将其出售给他人，并因此获利38760元。部分客户因信息泄露接到诈骗电话，受入侵的软件公司也因此被第三方交易平台索赔，众多消费者仍面临诈骗风险。2022年1月24日，浦东新区人民检察院以张某犯侵犯公民个人信息罪向浦东新区人民法院提起刑事附带民事公益诉讼，诉请判令张某删除保存在阿里云等存储介质内的公民个人信息数据，按其侵犯公民个人信息的获利赔偿38760元，并在国家级新闻媒体上对其侵犯公民个人信息的行为公开赔礼道歉。2022年6月1日，该案民事诉讼部分调解结案。2022年8月12日，浦东新区人民法院判决被告人张某犯侵犯公民个人信息罪，判处有期徒刑三年、缓刑四年，并处罚金。

　　【法律评析】本案中，被告非法窃取并转卖消费者信息，导致众多消费者陷入信息持续泄露和财产损失风险。其中涉及不特定多数人信息侵权认定、侵权救济途径等问题。该案的厘清与判决结果对于个人信息保护民事公益诉讼适用的规则建构与厘定具有重要意义。

　　《个人信息保护法》第70条规定：“个人信息处理者违反本法规定处理个人信息，侵害众多个人的权益的，人民检察院、法律规定的消费者组织和由国家网信部门确定的组织可以依法向人民法院提起诉讼。”本案是通过非法入侵计算机信息系统的方式窃取客户个人信息，尽管侵权主体并非产品销售方或服务方，但显然该软件公司员工有失职之嫌，客户因软件消费导致信息泄露，“消费者组织”应有上述诉权。检察机关公益诉权毋庸置疑，“由国家网信部门确定的组织”规定之模糊性却不利于除检察机关以外的社会组织行使权利。这便意味着当某一社会组织积极行使权利时，检察机关是优先行使诉权还是让渡诉权给社会组织优先行使，尚未可知。《民事诉讼法》第58条则将检察院列在“法律规定的机关和有关组织”之后，与《个人信息保护法》字面规定顺序冲突。显然，“其他组织”的立法考量一方面为社会组织行使公益诉权留有空间，另一方面《民事诉讼法》的顺位规定似乎也在有意抬高社会组织行使权利的地位。

　　诚然如是，法律文本的确定性、权威性与可执行性却未能得到良好贯彻，明确行使权利的组织和行使权利的顺位对于规范个人信息保护民事公益诉讼而言同样重要。尽管其他行使权利的组织在日益繁杂的现实生活中确实难以一一列举，但应有相应解释为组织行使权利指明方向，而非让此权利在法律条文中沉寂。因此，可以参照最高人民法院《关于审理环境民事公益诉讼案件适用法律若干问题的解释》第2条和第5条，对于社会组织的资格规定进一步明确范围。顺位的确定可在民事公益诉讼范畴内统一抑或专项规定，最终顺位的确定可本着“便宜行事”的原则合理放权组织优先行使权利。本案中，即可由专业从事个人信息保护的相关社会组织提起公诉。

　　2021年，最高人民检察院下发的《关于贯彻执行个人信息保护法推进个人信息保护公益诉讼检察工作的通知》指出，“教育、医疗、消费等重点领域处理的个人信息应当重点保护”。上述案例中张某侵犯消费者个人信息的行为，无疑扰乱软件消费市场秩序，构成个人信息侵权公益诉讼的基础。《民法典》《个人信息保护法》对于“个人信息侵权责任”均适用过错推定原则，但是个人信息的侵权责任构成要件尚待明确。传统四要件违法行为、损害后果、因果关系和主观过错框架下，对于个人信息公益诉讼案件分析最值得考究的为损害后果。就本案而言，损害后果认定标准究竟是从以侵权为目的获取个人信息的一刻起算，还是以致电成功并推销诈骗项目为节点，抑或上当受骗者的数量，还有待考量。考虑到潜在受害者众多、损失难以量化等实际情况，从公益诉讼维护广大人民群众权益的实际需求出发，客观上无必要查明不特定多数人的具体损失，“严重后果”非必要构成要件。从最终赔偿金额来看，侵权信息认定范围划定在张某窃取并转卖的60000余条个人信息，以交易数量为标准认定损害后果与赔偿金额是审判机关考虑案件情况酌定的结果。

　　在损失认定与侵权救济途径方面，个人信息保护权在《民法典》人格权编中当然适用人格权有关规定。《个人信息保护法》第69条则将相关责任表述为“损害赔偿等侵权责任”。本案判决结果采用了“永久删除”“赔偿损失”“赔礼道歉”等传统救济途径，这毋庸置疑。然而其难点在于损失认定，个人信息的泄露与非法使用数量庞大、侵害不特定多数人之利益，损失难以估量。本案中，法官考虑到实际侵害结果，最终赔偿金额仅以获利金额为限。检索有关案例可知，法院判决往往倾向于赔偿损失等额非法获利，赔偿金去向主要是上缴国库和公益诉讼专项资金。相较于消费者权益保护和环境保护的公益诉讼惩罚性赔偿制度，显然个人信息公益诉讼赔偿处理机制有待完善。尽管个人信息侵权的损害后果于个体而言显得“微不足道”，但个人信息侵权公益诉讼标的往往是大规模的、不易察觉的，惩治的是侵犯庞大个人信息数据的不良风气，应当建立起一套与之适配的惩罚性机制。因此，可以根据个人信息保护侵权案例实际侵权数额划定范围与标准值，低于标准值的采用固定惩罚金额，高于标准值的以损失金额的倍数关系实现惩罚效果，合理加大违法侵权成本以约束侵权者侵权行为，为个人信息保护设置一层保护屏障。

　　习近平总书记强调，“没有网络安全就没有国家安全，没有信息化就没有现代化”，要“坚持筑牢国家网络安全屏障”。法治对网络消费市场的保驾护航体现在方方面面。消费者个人信息泄露问题屡禁不止，完善个人信息保护公益诉讼机制任重而道远。个人信息保护公益诉讼制度的建立与优化并不仅仅是公益诉讼办案范围的简单扩展，更是切合民生实际需求进行的一场制度革命。在数字时代背景下，法治建设迫切需要与时俱进，个人信息保护民事公益诉讼作为其中一个重要环节不可懈怠。通过明确个人信息保护民事公益诉讼起诉主体顺位、厘定公益诉讼在个人信息保护范畴的适用问题与规则完善，推动个人信息保护法治建设行稳致远。

　　（作者系苏州大学社会公共文明研究所特聘研究员）