中文

解读个人信息保护公益诉讼，以青岛首起公民个人信息公益诉讼案为例

2021-11-30

数据合规解读个人信息保护公益诉讼，以青岛首起公民个人信息公益诉讼案为例

作者马清泉 ,王译萱

作者：马清泉 ,王译萱

根据中国互联网协会公布的《中国网民权益保护调查报告（2021）》显示：“近一年来，因个人信息泄露、垃圾信息、诈骗信息等原因，导致网民总体损失约805亿元。82.3%的网民亲身感受到了由于个人信息泄露对日常生活造成的影响。”

在互联网产业为大家的生活和工作带来便利的同时，因个人信息泄露导致权益受到侵害的情况也层出不穷，谁动了我的个人信息，成了每个人的烦恼和不安。更有甚者遭遇诈骗而蒙受财产损失，个人信息侵权已然成为社会顽疾，加强个人信息保护也成为全社会共同的呼声。

2021年11月23日，由青岛市人民检察院提起的青岛首起侵犯公民个人信息民事公益诉讼案开庭，再次让“个人信息保护公益诉讼”引发大众关注。

看到该新闻后可能会引发一些思考和疑问，比如什么是“个人信息保护公益诉讼”，与我们公民个人是否相关，为何要设立“个人信息保护公益诉讼”，除了检察院是否还有其他主体可以提起“个人信息保护公益诉讼”等问题。

对此，我们将在本文中，以青岛市首起侵犯公民个人信息保护公益诉讼案为背景进行展开，就前述问题进行全面解答。

本文目录

一、青岛市首起公民个人信息公益诉讼案背景引入

（一）基本案情

（二）检察院的调查与履职

二、个人信息保护公益诉讼的必要性与其法律基础

（一）个人信息保护公益诉讼的必要性

（二）个人信息保护公益诉讼的法律基础

三、《个人信息保护法》第70条规定解读

（一）提起个人信息保护公益诉讼的条件

（二）个人信息保护公益诉讼中的主体

（三）个人信息公益保护诉讼中的法律责任

四、公益诉讼中的“过错推定”与“举证责任”分配

五、推进青岛市企业合规改革试点工作

六、企业如何应对个人信息保护公益诉讼

一、青岛市首起公民个人信息公益诉讼案背景引入

（一）基本案情

2018年11月，吴某某在青岛市黄岛区开了一家未正式注册的公司，从事网络授课、股民交流等业务。在公司筹备期间，吴某某的丈夫找来董某某负责一些管理日常工作。为拓展客户源，吴某某就指使董某某从网上寻找出售股民信息资源的卖家。购买股民信息资源后，由员工通过打电话加上客户微信，把客户微信拉进公司微信群进行推销。

董某某遂找到一个微信号为“网络爬虫大数据”的卖家，多次从其手中购买公民个人信息至少8000条。在此过程中，董某某还对公司内增加每条信息的报价，并从中赚取约1400余元的差价。

2019年3月，吴某某准备自己联系卖家。为继续赚取差价，董某某先是通过网络搜索找到另一个可靠的QQ用户，然后用妻子王某某的QQ号添加卖家，并让妻子通过微信扫码的方式付款，以每条0.15元从对方手中购买30000条股民个人信息，因为量大，卖家还同时附送7002条股民个人信息。

信息到手后，如何才能倒卖出去呢。董某某就让妻子冒充原来那个可靠的大卖家“网络爬虫大数据”，直接跟吴某某联系，向吴某某开价：股民个人信息每条0.55元，一共三万条，一次成交的话，再多送你7002条股民个人信息。吴某某答应后，董、王夫妻二人从中获利12000元人民币。

夫妻二人本以为“双兔傍地走，安能辨我是雄雌？”却不想被公安机关掌握了线索。2019年8月27日，青岛市公安局青岛经济技术开发区分局进行立案侦查。8月30日，夫妻二人来到派出所接受传唤，10月14日吴某某被抓获。

2021年7月21日，黄岛区检察院对三人以侵犯公民个人信息罪提起公诉。8月5日，被告人董某某犯侵犯公民个人信息罪判处有期徒刑一年，王某某、吴某某被判处有期徒刑八个月，缓刑一年。三人同时被并处罚金，没收非法所得。

至此，三人均受到应有的刑罚，但那些被他们买卖信息的人的权益又该怎样维护呢？

（二）检察院的调查与履职

公安机关曾经对照董某某买卖的三万余条信息，查访到数位在青岛本地的股民，他们均表示自己经常不胜其扰。

可见三人的行为已然导致众多公民个人信息被泄露，致使社会公共利益受到损害，产生了不可逆转的损害后果。虽然侵权行为发生在2018年和2019年，但损害持续到《民法典》实施以后，应当适用于《民法典》的相关规定，属于民事公益诉讼管辖范围。

因此，黄岛区检察院刑事检察部门第一时间将线索移交给公益诉讼部门，经过初步审查，线索被报送至青岛市人民检察院。

经审查，青岛市检察院认为吴某某未经他人同意非法获取个人信息用于违法经营，董某某、王某某未经他人同意非法获取公民个人信息并出售获利，上述行为已侵害不特定多数个人信息权益，导致众多不特定公民个人信息被泄露，致使社会公共利益受到损害。董、王二人买卖公民个人信息共获利12000元，应当按照其非法获利的金额承担共同侵权连带民事赔偿责任。三人还应当停止对公民隐私权的继续侵害，采取有效措施永久删除其非法获取的公民个人信息，并公开赔礼道歉提高警示教育意义。

目前，法院在庭审后将择日宣判，笔者推断法院将支持检察机关全部诉讼请求。

二、个人信息保护公益诉讼的必要性与其法律基础

（一）个人信息保护公益诉讼的必要性

结合前述案例，我们知晓了公安机关曾经对照董某某买卖的三万余条信息，查访到数位在青岛本地的股民，他们均表示自己经常不胜其扰。

虽然82.3%的网民都有亲身感受到由于个人信息泄露对日常生活造成的影响，但实际上极少有人对此诉诸法律途径解决。在青岛首起侵犯公民个人信息保护公益诉讼案中的受害者也并没有对自己遭受的“不胜其扰”的伤害诉诸法律途径解决。

背后的原因也不难理解，先进算法技术的研发和应用使得侵害个人信息的行为更具隐蔽性，公民个人往往难以察觉，或虽有察觉，但存在诉讼成本高、举证困难等阻碍因素。面对大规模侵害个人信息侵权行为，传统私益诉讼相较难以全面保护个人信息权益。

然而，若考虑公法保护，也存在相应的问题。在个人信息的公法保护方面，主要包括行政法保护与刑法保护，但行政法与刑法的谦抑性理念要求侵害行为必须是造成严重后果。在大规模侵害个人信息案件中，尽管受害人数可能颇为众多，但每一受害人自身受到的损害却往往难以达到法律要求的“造成严重后果”，也就导致公法保护的效果较为有限。

基于此，建立我国个人信息保护公益诉制度也就具有了充分的必要性。

（二）个人信息保护公益诉讼的法律基础

为了解决前述提到的个人信息保护问题，目前美国、韩国、欧盟等国家和地区已分别建立了自身的个人信息保护公益诉讼制度，该制度也已成为一个具有一定国际共识性的制度。

比如在具有“最严格的个人信息保护法案”之称的欧盟《通用数据保护条例》（General Data Protection Regulation，GDPR）的第80条第2款规定，依法设立的、以公共利益为法定目标并且活跃于保护数据主体权利与自由领域的非营利性机构、组织或协会，如果认为数据主体基于本条例而享有的权利因为个人数据处理行为而遭受侵害的，其有权不经数据主体授权依照第77条（向监管机构投诉的权利）规定向该成员国有权监管机构提出投诉，并行使第78（针对监管机构的有效司法救济权）、79条（针对数据控制者或处理者的有效司法救济权）所赋予的权利。

于是，为对社会需求进行回应，进一步加大对个人信息的保护，我国在《个人信息保护法》第70条确立了个人信息保护公益诉讼制度，为规范非法处理个人信息侵害众多个人权益的行为提供了公益诉讼的法律依据。

三、《个人信息保护法》第70条规定解读

根据我国《个人信息保护法》第70条的规定，个人信息处理者违反本法规定处理个人信息，侵害众多个人的权益的，人民检察院、法律规定的消费者组织和由国家网信部门确定的组织可以依法向人民法院提起诉讼。

该条规定的内容更多是原则性规定，对于提起个人信息保护公益诉讼的条件、主体及相关法律责任等问题需要进一步研究和分析。

（一）提起个人信息保护公益诉讼的条件

根据《个人信息保护法》第70条的规定可知，提起个人信息保护公益诉讼需要满足两个条件，一个是个人信息处理者违反本法规定处理个人信息，另一个是侵害众多个人的权益。

1.个人信息处理者违反本法规定处理个人信息

首先，关于个人信息处理者违反本法规定处理个人信息。其中的“本法”即是指《个人信息保护法》。根据《个人信息保护法》第四条第二款的规定，个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。《个人信息保护法》已经对个人信息处理者违法处理个人信息的行为进行了全面的列举，覆盖了处理个人信息的各个环节。

虽然其他相关法律法规中对于违法处理个人信息的行为也有监管规定，但这些规定均被《个人信息保护法》所吸收。此时，如果个人信息处理者在收集、存储、使用、加工、传输、提供、公开、删除等任一环节存在违法处理个人信息，侵害众多个人的权益的行为，则有关主体即可有权提起个人信息保护公益诉讼。

2.侵害众多个人的权益

关于“侵害众多个人的权益”这一条件中的“权益”是比较容易理解的。因为《个人信息保护法》对公民在个人信息保护方面的权利进行了较为明确的规定。包括知情权、决定权、删除权等内容。但对于“众多”的判断，并未有具体的界定标准。关于“众多”的含义，实践中多由法院在个案中运用法律解释方法加以具体化。

对此，有观点认为在缺乏法律明确规定的情况下，仅依靠法官运用法律解释方法对案件予以释明，容易产生法官的自由裁量范围不确定的问题，不利于案件审判的公证和统一。

当然，也有观点认为不应对“众多”进行量化。从司法实践看，在大部分个人信息保护公益诉讼案件中，法官在认定被告是否侵害了众多个人的合法权益时，并未对受害人的人数进行量化。在大部分公益诉讼案件中的保护对象不仅包括受到实际侵害特定的受害者，还包括潜在的不特定的受害人群，显然也几乎不可能对该部分人群进行量化。

综合目前的司法实践案例，法官在认定被告的行为是否构成对众多个人的合法权益的侵害时，通常会结合相关主体的分布情况、实际受害人数、潜在不特定的受害人群等因素综合考虑，采用抽象的认定方式认定被告是否侵害众多不特定的人群的合法权益。

（二）个人信息保护公益诉讼中的主体

《个人信息保护法》第70条明确了个人信息保护公益诉讼的适格主体，具有起诉资格的主体包括三类，分别是人民检察院、法律规定的消费者组织，以及由国家网信部门确定的组织，而具有被起诉资格的主体则是违法处理个人信息的个人信息处理者。

1.适格的起诉主体

（1）人民检察院

2021年8月2日，中共中央发布了《中共中央关于加强新时代检察机关法律监督工作的意见》，在第三则第十一条指出：“积极稳妥推进公益诉讼检察，就要积极稳妥拓展公益诉讼案件范围，探索办理安全生产、公共卫生、妇女及残疾人权益保护、个人信息保护、文物和文化遗产保护等领域公益损害案件，总结实践经验，完善相关立法。”其中，特别把“个人信息保护”作为拓展公益诉讼案件，探索办理公益损害案件的领域之一。

相较于其他主体，由检察机关提起公益诉讼，一方面属于依法履行职责，另一方面则是具有专业人员，熟悉诉讼程序，具有较强的诉讼能力。

（2）法律规定的消费者组织

在关于法律规定的消费者组织的界定上，根据《消费者权益保护法》第47条的规定，对侵害众多消费者合法权益的行为，中国消费者协会以及在省、自治区、直辖市设立的消费者协会，可以向人民法院提起诉讼。

据此，有权提起个人信息保护公益诉讼的消费者保护组织应是指“中国消费者协会以及在省、自治区、直辖市设立的消费者协会”。

（3）由国家网信部门确定的组织

根据《个人信息保护法》第70条的规定，由国家网信部门确定的组织也可以成为个人信息保护公益诉讼的起诉主体。目前我国在关于“由国家网信部门确定的组织”的界定上尚未明确规定，需要进一步规范和细化。

对此，具体范围和认定标准可以参考已有的类似法律规定，如参照《环境保护法》第58条规定，结合我国开展个人信息保护的立法动态，对于“由国家网信部门确定的组织”的界定标准上，可以考虑需要具备以下要件：（一）依法在设区的市级以上人民政府民政部门登记；（二）专门从事个人信息保护公益活动连续三年以上且无违法记录。（三）经由国家网信部门认定并公布。符合前款规定的社会组织向人民法院提起诉讼，人民法院应当依法受理。提起诉讼的社会组织不得通过诉讼牟取经济利益。

2.适格的被告

根据《个人信息保护法》第70条的规定，个人信息保护公益诉讼的适格被告是指违反该法处理个人信息、侵害众多个人权益的个人信息处理者。因此，只要满足提起个人信息保护公益诉讼的条件，所有的个人信息处理者都可以成为适格被告。

通过青岛首起侵犯公民个人信息保护公益诉讼案即可知，适格的被告并不一定都是公司法人，也可能是自然人个人。

（三）个人信息保护公益诉讼中的法律责任

在《个人信息保护法》第70条以及其他条款中，并没有对个人信息保护公益诉讼中被告所需承担的法律责任进行规定。

但可以结合青岛首起侵犯公民个人信息保护公益诉讼案进行初步了解。在该案中，青岛市检察院认为吴某某未经他人同意非法获取个人信息用于违法经营，董某某、王某某未经他人同意非法获取公民个人信息并出售获利，上述行为已侵害不特定多数个人信息权益，导致众多不特定公民个人信息被泄露，致使社会公共利益受到损害。董、王二人买卖公民个人信息共获利12000元，应当按照其非法获利的金额承担共同侵权连带民事赔偿责任。三人还应当停止对公民隐私权的继续侵害，采取有效措施永久删除其非法获取的公民个人信息，并公开赔礼道歉提高警示教育意义。

另外，2021年4月22日，最高人民检察院发布了检察机关个人信息保护公益诉讼典型案例，共计11起案例。在最高人民检察院公布的11起典型案例中，检察机关行提起个人信息保护公益诉讼的方式共有3种，分别是行政公益诉讼、民事公益诉讼，以及刑事附带民事公益诉讼。

我们可以根据以上三种方式，结合11起典型案例的处理结果进行分析。

1.行政公益诉讼的法律责任

在前述的11起典型案例中，共有6起属于行政公益诉讼案例，且均是止步于诉前检察建议阶段，即行政机关在接收检察建议后在内部进行专项整改，对侵害个人信息的违法行为加以行政处罚，所有案件均未进入后续的诉讼程序。

由此可见，行政公益诉讼中个人信息处理者主要承担的也是行政处罚，且并未进行诉讼程序，通过诉前程序即可解决。

2.民事公益诉讼的法律责任

在前述的11起典型案例中，仅有2起属于民事公益诉讼案例，分别是浙江省杭州市余杭区人民检察院诉某网络科技有限公司侵害公民个人信息民事公益诉讼案，以及河北省保定市人民检察院诉李某侵害消费者个人信息和权益民事公益诉讼案。

在浙江省杭州市余杭区人民检察院诉某网络科技有限公司侵害公民个人信息民事公益诉讼案庭审中，公益诉讼起诉人出示案涉APP违法违规收集个人信息的电子数据等证据，充分阐述社会公共利益受损的情况，被告同意履行检察机关提出的全部诉讼请求。双方当庭达成调解协议：被告立即删除违法违规收集、储存的全部用户个人信息1100万余条；在《法治日报》及案涉APP首页公开赔礼道歉；承诺今后合法合规经营，若存在违反协议约定的行为，将自愿支付50万元违约金用于全国性个人信息保护公益基金的公益支出。

在河北省保定市人民检察院诉李某侵害消费者个人信息和权益民事公益诉讼案中，河北省保定市人民检察院向保定市中级人民法院提起民事公益诉讼，请求依法判令被告李某支付三倍惩罚性赔偿金共计人民币166.3815万元；采取有效措施删除所有非法持有的公民个人信息数据；在国家级媒体上公开赔礼道歉。

综合前述案例，在个人信息保护民事公益诉讼中，被告可能承担的法律责任包括删除个人信息，公开赔礼道歉，支付惩罚性赔偿金等内容。

另一方面，虽然在案例中，检察机关提出惩罚性赔偿的诉讼请求获得了法院的支持，但如张新宝教授所言，检察机关并非受害的消费者或者受害的消费者的直接利害关系人，公益诉讼起诉人请求被告进行惩罚性赔偿是否有正当的法理基础值得进一步讨论，并且针对这些惩罚性赔偿金的归属如何确定也会是一个棘手的问题。

3.刑事附带民事公益诉讼的法律责任

在前述的11起典型案例中，共有3起属于民事公益诉讼案例，如在贵州省安顺市西秀区人民检察院诉熊某某等人侵犯公民个人信息刑事附带民事公益诉讼案中，贵州省安顺市西秀区人民检察院向西秀区人民法院提起刑事附带民事公益诉讼，请求依法判令刑事附带民事公益诉讼被告人熊某某等3人：

（1）自行彻底删除所有非法获取的公民个人信息；

（2）支付赔偿金共计人民币70余万元；

（3）在国家级媒体上公开赔礼道歉。

在广东省广宁县人民检察院诉谭某某等人侵犯公民个人信息刑事附带民事公益诉讼案中，广东省广宁县人民检察院向人民法院提起刑事附带民事公益诉讼，请求判令谭某某等5名被告：

（1）解散用于收集、买卖公民个人信息的微信群；

（2）删除保存在微信的公民个人信息数据；

（3）在媒体上赔礼道歉；

（4）委托电信部门向被侵权人发送风险提示短信。

由此可知，刑事附带民事诉讼属于在不必然免除刑事责任的前提下，同时承担相应的民事责任，而青岛首起侵犯公民个人信息保护公益诉讼也是属于刑事附带民事公益诉讼类型。

四、公益诉讼中的“过错推定”与“举证责任”分配

根据《个人信息保护法》第69条第1款的规定，处理个人信息侵害个人信息权益造成损害，个人信息处理者不能证明自己没有过错的，应当承担损害赔偿等侵权责任。

据此可知，个人信息侵权行为的归责原则为过错推定，个人信息处理者需要为自己不存在过错的事实承担举证责任。

虽然个人信息处理者需要为自己不存在过错的事实承担举证责任，但检察机关提起公益诉讼仍然需要开展充分的调查，获取足够的证据。

对此，可以参照前述提到的11起典型案例中的第8起河北省保定市人民检察院诉李某侵害消费者个人信息和权益民事公益诉讼案。在该案的调查期间，河北省保定市人民检察院采取了多种调查方式，包括：

（1）通过调取刑事侦查卷宗、审查电子数据、询问被调查人和证人，查清李某非法获取、出售个人信息事实；

（2）通过委托公安机关依托异地协查平台调取46名消费者陈述，审查电话客服证言、话术音频、商品检测报告，证实李某利用个人信息批量、随机进行电话滋扰和欺诈的事实；

（3）通过调取快递公司快递收发记录、资金结算书证和李某银行账户流水资料，并委托出具会计专业分析报告，查清李某消费欺诈金额。

而在“过错推定”原则和“举证责任”分配下，对于个人信息处理者提出了更高的合规要求，更需要在日常业务经营过程中做好数据全生命周期的留存、记录、保密等举措以及相应的个人信息安全制度和体系建设，以应对将来的个人信息保护公益诉讼，减少和规避自身的风险。

五、推进青岛市企业合规改革试点工作

在前述提到的11起典型案例中的第7起浙江省杭州市余杭区人民检察院诉某网络科技有限公司侵害公民个人信息民事公益诉讼案中，检察机关立足企业发展利益，在征询网信部门意见引入第三方合规检测的前提下，以调解方式实现全部诉讼目的，以最小成本获得最大效益的办案效果。

近日，深圳企业合规第三方监控人首批入库名单审议已经通过，并就第一批企业合规第三方监控人拟任名单进行公示。

同时，青岛市李沧区检察院也已邀请青岛市检察院等相关主体共同商议建立李沧区涉案企业合规第三方监督评估机制以及第三方监督评估组织专业人员名录库等相关事宜。

鉴于青岛首起侵犯公民个人信息保护公益诉讼案已开庭审理，笔者在此建议进一步推进青岛市企业合规改革试点工作，建立健全企业合规第三方监督评估机制，特别是将个人信息保护及数据合规领域纳入第三方监督评估工作，组织相关专业人员，规范青岛涉个人信息及大数据企业的合规工作，提升青岛市数据产业营商环境。

六、企业如何应对个人信息保护公益诉讼

在最高检发布的11件典型案例中，行政公益诉讼案件涉及教育、市场监管、公安、网信、农业农村等行政机关个人信息监管、政府信息公开问题；涉及快递、医疗机构、校外培训机构等泄露个人信息问题。民事公益诉讼案件包括互联网企业违法违规收集个人信息和非法获取个人信息并进行消费欺诈等问题。

刑事附带民事公益诉讼案件涉及通过技术软件、物业服务等不同手段非法获取并交易个人信息问题，除了依法打击行为人侵犯公民个人信息的犯罪行为，检察机关还将网络运营者作为共同被告要求承担公益损害责任。

接下来，检察机关将密切关注立法进展及相关行政监管措施的落地落实，持续跟进监督个人信息保护领域严重损害公共利益的突出问题。对此，面临当下持续的强监管态势，企业需要尽快学习如何应对个人信息保护公益诉讼。

综合全文可知，关于个人信息保护公益诉讼的法律基础来自《个人信息保护法》第70条的规定，以及提起个人信息保护公益诉讼的条件之一也是违反《个人信息保护法》的规定处理个人信息。

因此，作为个人信息处理者的企业和个人在应对个人信息保护公益诉讼时，都需要切实了解《个人信息保护法》的内容，从而依法处理个人信息，规避自身的合规风险。

限于篇幅，本文不在此进行展开，详情请阅读笔者撰写的另一篇专业文章——《企业如何应对<个人信息保护法>的出台》。

本文作者

专栏文章

显示更多

解读个人信息保护公益诉讼，以青岛首起公民个人信息公益诉讼案为例

本文作者

专栏文章

企业开展个人信息保护合规的“三驾马车”

协助执法部门处置罚没虚拟货币业务研究

个人信息保护的主要合规议题

数据资产“入表”，所涉法律合规问题探讨

数据合规的发展与业务实践（下）

数据合规的发展与业务实践（上）

Web3.0合规监管浅析

8月个人信息保护之新规梳理与解读