張陳果

引言

《個人信息保護(hù)法》(以下簡稱《個信法》)已于2021年8月正式審議通過?！秱€信法》頒布是我國數(shù)字時代保護(hù)公民個人信息權(quán)益的劃時代宣言，其重大意義不言而喻?！秱€信法》頒布的前十年，我國電信媒體和相關(guān)機(jī)構(gòu)對個人信息保護(hù)的規(guī)定逐步形成了基本框架，不可謂無法可循(1)《民法典》第111條規(guī)定：“自然人的個人信息受法律保護(hù)。任何組織和個人需要獲取他人個人信息的，應(yīng)當(dāng)依法取得并確保信息安全，不得非法收集、使用、加工、傳輸他人個人信息，不得非法買賣、提供或者公開他人個人信息”?！断M(fèi)者權(quán)益保護(hù)法》第29條規(guī)定：“經(jīng)營者收集、使用消費(fèi)者個人信息，應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則，明示收集、使用信息的目的、方式和范圍，并經(jīng)消費(fèi)者同意。經(jīng)營者收集、使用消費(fèi)者個人信息，應(yīng)當(dāng)公開其收集、使用規(guī)則，不得違反法律、法規(guī)的規(guī)定和雙方的約定收集、使用信息”?！毒W(wǎng)絡(luò)安全法》第41條規(guī)定：“網(wǎng)絡(luò)運(yùn)營者收集、使用個人信息，應(yīng)當(dāng)遵守合法、正當(dāng)、必要的原則，公開收集、使用規(guī)則，明示收集、使用信息的目的、方式和范圍，并經(jīng)被收集者同意。”2012年《全國人民代表大會常務(wù)委員會關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》也采同樣的措辭?？梢哉J(rèn)為，上述四項(xiàng)規(guī)范性文件的相關(guān)規(guī)定，確立了個人信息的收集和使用需以數(shù)據(jù)主體“知情同意”為前提的規(guī)則。2012年《全國人民代表大會常務(wù)委員會關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》第8條規(guī)定，公民發(fā)現(xiàn)泄露個人身份、散布個人隱私等侵害其合法權(quán)益的網(wǎng)絡(luò)信息，有權(quán)要求網(wǎng)絡(luò)服務(wù)提供者刪除其信息。2017年《網(wǎng)絡(luò)安全法》第43條規(guī)定：“個人發(fā)現(xiàn)網(wǎng)絡(luò)運(yùn)營者違反法律、行政法規(guī)的規(guī)定或雙方的約定收集、使用其個人信息的，有權(quán)要求網(wǎng)絡(luò)運(yùn)營者刪除其個人信息；發(fā)現(xiàn)網(wǎng)絡(luò)運(yùn)營者收集、存儲的其個人信息有錯誤的，有權(quán)要求網(wǎng)絡(luò)運(yùn)營者予以更正。網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)采取措施予以刪除或者更正?！保欢髷?shù)據(jù)殺熟、平臺對個人信息過度收集、濫用、買賣、網(wǎng)絡(luò)個人隱私泄露等公共事件卻不斷見諸報(bào)端，顯示相關(guān)領(lǐng)域權(quán)益保護(hù)現(xiàn)狀堪憂。2019年中國電信用戶信息倒賣案、2020年新浪微博用戶個人信息泄露案、2021年騰訊訴抖音違規(guī)獲取用戶個人信息案等案件讓社會逐漸認(rèn)識到，如不能有效地落實(shí)程序法救濟(jì)，個人信息保護(hù)將如同空中樓閣，數(shù)據(jù)黑產(chǎn)業(yè)鏈將繼續(xù)肆虐，公民的生命財(cái)產(chǎn)安全將毫無保障，數(shù)字人權(quán)將成為泡影。(2)參見章然：《“動物園有權(quán)采集我的臉？”杭州野生動物世界年卡檢票刷指紋改為刷臉，有用戶質(zhì)疑》，載《錢江晚報(bào)》2019年11月2日。另一方面，經(jīng)營者、研發(fā)者對個人信息資源利用的合理需求也因制度保障不明確而無法滿足。法律的正義不能止于規(guī)范本身，只有當(dāng)其得到有效的適用與解釋時才能獲得生命。個人信息保護(hù)法的權(quán)益救濟(jì)規(guī)則是該部法律能否落地生根并發(fā)揮實(shí)效的關(guān)鍵所在，迄今卻鮮有討論，因此這一議題值得法學(xué)研究予以認(rèn)真對待。本文致力于此。在概述我國個人信息法相關(guān)的權(quán)益救濟(jì)機(jī)制框架(第一部分)的基礎(chǔ)上，厘定相關(guān)規(guī)范解釋適用需要參看和學(xué)習(xí)比較法資源的空間，以此為基礎(chǔ)考察大陸法系代表性個人信息保護(hù)程序救濟(jì)機(jī)制的新一輪改革重點(diǎn)(第二部分)，進(jìn)而以解釋論視角回歸到我國相關(guān)公益訴訟制度發(fā)展的幾個問題(第三部分)，最后結(jié)論與展望(第四部分)。

一、個人信息保護(hù)法救濟(jì)規(guī)則框架概覽

《個信法》第七章規(guī)定了行政機(jī)關(guān)和司法部門對違反個人信息保護(hù)法的個人信息處理人予以追責(zé)、對受侵害的個人信息主體權(quán)益予以救濟(jì)的程序規(guī)則體系。第七章“法律責(zé)任”共六個條文，基本保留草案兩稿的框架和內(nèi)容，其中兩個條文規(guī)定了民事救濟(jì)，第69條規(guī)定了損害賠償民事責(zé)任，第70條規(guī)定了個人信息保護(hù)公益訴訟。(3)最高人民法院近兩年已將制定“關(guān)于個人信息保護(hù)法律適用與訴訟程序的司法解釋”納入工作計(jì)劃。

上述權(quán)利救濟(jì)制度聚焦個人信息的司法保護(hù)，以保障實(shí)體規(guī)范的施行。我們知道，個人信息保護(hù)落地的規(guī)范框架依托監(jiān)管、行業(yè)自律和司法保護(hù)三種機(jī)制，各自對應(yīng)著數(shù)據(jù)活動相關(guān)的三類“主體”：一是政府機(jī)構(gòu)職能部門以“看不見的手”進(jìn)行監(jiān)管；二是信息處理人(經(jīng)營者)“自律”；三是信息主體及其代表自己起訴。個人信息的司法保護(hù)可以分為個體保護(hù)和集體保護(hù)兩種路徑。侵害個人信息本身嚴(yán)重到造成自然人名譽(yù)權(quán)、隱私權(quán)和其他人身權(quán)益蒙受損害的，自然人個體可以按照《個信法》第62條、第65條向個人信息保護(hù)職能部門投訴，并可以就相關(guān)爭議向法院提起個體民事訴訟，請求信息處理人承擔(dān)損害賠償責(zé)任。這是個人信息個體保護(hù)的規(guī)范意涵。不過判決文書實(shí)證研究顯示，個人信息相關(guān)的個體民事訴訟多年來非常罕見，存在訴訟動力不足、獲賠率極低的問題。(4)葉名怡：《個人信息的侵權(quán)法保護(hù)》，載《法學(xué)研究》2018年第4期，第86頁；張新寶：《〈民法總則〉個人信息保護(hù)條文研究》，載《中外法學(xué)》2019年第1期，第71-73頁。個人信息權(quán)益本身的特性決定：要實(shí)現(xiàn)此種權(quán)益的有效救濟(jì)，則制度建構(gòu)應(yīng)以集體保護(hù)模式為主導(dǎo)。(5)歐盟《一般數(shù)據(jù)保護(hù)條例》(General Data Protection Regulation, GDPR)第80條規(guī)定了個體權(quán)益集體保護(hù)的救濟(jì)模式，為團(tuán)體訴訟、集團(tuán)訴訟等救濟(jì)方法留下空間。

自動化處理、大數(shù)據(jù)時代的個人信息呈現(xiàn)“主體性弱化”的典型特征。首先，個人信息極易遭受大規(guī)模微小損害。對每個個體而言，這一損害如此微小，使得任何一個權(quán)利主體都因理性的不關(guān)心而“懶得”訴諸侵權(quán)法上的個體訴訟。例如，自然人電話號碼等孤立的個人信息經(jīng)濟(jì)價值有限，但大量個人信息組成的龐大數(shù)據(jù)集合卻有如數(shù)字世界的石油，是巨大的商業(yè)資源。自然人的手機(jī)號碼被地下數(shù)據(jù)黑產(chǎn)鏈販?zhǔn)蹖?dǎo)致電話騷擾頻仍，即使無涉電話詐騙也沒有財(cái)產(chǎn)損失，騷擾本身即構(gòu)成一種程度輕微但總量可觀的侵害；數(shù)據(jù)處理人由此獲得的不當(dāng)利益也可能數(shù)額巨大。(6)我國法院在數(shù)字競爭的判決文書強(qiáng)調(diào)了數(shù)據(jù)對互聯(lián)網(wǎng)時代經(jīng)營者的商業(yè)價值。參見北京淘友天下技術(shù)有限公司等與北京威猛創(chuàng)科網(wǎng)絡(luò)技術(shù)有限公司不正當(dāng)競爭糾紛案(“微博訴脈脈案”)，北京知識產(chǎn)權(quán)法院(2016)京73民終588號民事判決書，第65-67頁。讓那些受電話騷擾的個體去投訴甚至提起民事侵權(quán)訴訟，不僅不切實(shí)際，而且強(qiáng)人所難，因?yàn)槊袷聜€體連個人信息被誰泄露的都可能無從知曉。但如果缺乏恰當(dāng)?shù)木葷?jì)，則眾多個體蒙受不利、行為人不當(dāng)獲利的不公結(jié)果有違正義，而且這一局面一旦形成，對數(shù)字經(jīng)濟(jì)的社會治理也有破壞作用。

其次，“主體性弱化”的群體性權(quán)益似乎與治安、環(huán)保等典型的公共利益十分相似，救濟(jì)渠道似乎也有共通性，但兩者卻有顯著區(qū)別。(7)為保護(hù)“不論其主體的公共利益”(nicht personifizierte Allgemeininteressen)，也可以提起團(tuán)體訴訟，詳見Klaus H. Hopt und Dietmar Baegte, “Rechtsvergleichung und Reform des deutschen Rechts-Verbandsklage und Gruppenklage”, in Jürgen Basedow, Klaus J. Hopt, Hein K?tz und Dietmar Baegte (Hrsg.), Die Bündelung gleichgericheter Interessen im Proze?, Mor Siebeck 1999，第43-44頁。一方面，個人信息群體性權(quán)益有時難以歸于某個民事個體的排他性控制之下(例如電商平臺收集的可以識別眾多自然人的海量交易信息)，但仍舊和大量的自然人緊密相聯(lián)。即使這種關(guān)聯(lián)單獨(dú)來看十分微小，但一旦被濫用，對其主體的侵害卻可能造成嚴(yán)重后果。例如，病史、基因信息等敏感型個人信息在網(wǎng)絡(luò)上被泄露和濫用，可能在短時間內(nèi)極廣的空間范圍內(nèi)對大量信息主體造成損害，無論這些主體身在何處。而一般的環(huán)境損害則難以達(dá)到這種散播程度。另一方面，相較于環(huán)境、治安等公共利益而言，個人信息具有更強(qiáng)的“多棲性”和“外部性”。網(wǎng)絡(luò)平臺、電信運(yùn)營商和物流等多個信息處理人在提供服務(wù)的同時也在平行地多頭獲取終端的海量的用戶個人信息。多棲性特點(diǎn)意味著個人信息保護(hù)的責(zé)任主體也有多重性。他們使用個人信息的目的和方式不同，其相應(yīng)的義務(wù)類型和責(zé)任程度也就不同。(8)以美團(tuán)外賣為例，僅點(diǎn)餐服務(wù)一項(xiàng)，獲取個人信息的主體就包括電信服務(wù)提供商、網(wǎng)絡(luò)平臺、餐廳、送餐員工等。與此緊密相關(guān)的另一特點(diǎn)是：個人信息具有很強(qiáng)的外部性(externality)。一旦脫離主體被收集使用，它就遠(yuǎn)離主體控制，迅速擴(kuò)散至虛擬網(wǎng)絡(luò)、延伸到現(xiàn)實(shí)社會并造成廣泛影響。

基于上述特點(diǎn)，確定散播型權(quán)益的侵權(quán)責(zé)任，在理論和實(shí)踐中都殊為不易。侵權(quán)法保護(hù)的是具有排他性的私權(quán)利(控制)，而大數(shù)據(jù)語境下的“個人信息權(quán)益”本身存在“主體性弱化”的典型特征，使其難以滿足傳統(tǒng)侵權(quán)法上“法益的確定性”要求(Bestimmtheit des Rechtsgutes)。(9)Hans-Juergen Puttfarken/Nicole Franke, Die action civile der Verbaende in Frankreich, in Jürgen Basedow, Klaus J. Hopt, Hein K?tz und Dietmar Baegte (Hrsg.), Die Bündelung gleichgericheter Interessen im Proze?, Mor Siebeck 1999，第167-170頁。如按照“消極定義”法，散播型群體權(quán)益既不是個體權(quán)益的簡單相加，也不是諸如國防、外交一類的公共利益，而是介于兩者之間?？紤]到此種權(quán)益主體弱化特征，要實(shí)現(xiàn)其有效保護(hù)，現(xiàn)有規(guī)范的三種機(jī)制“投訴—個體訴訟—集體訴訟”的規(guī)定較為粗疏，仍需在考察個人信息權(quán)益特性的基礎(chǔ)上吸取比較法營養(yǎng)，再從解釋學(xué)視角細(xì)化規(guī)則以便解釋適用。

二、比較法視角的考察

(一)布魯塞爾模式：全局型強(qiáng)保護(hù)

如果說美國對數(shù)據(jù)隱私的保護(hù)是理解為自由，則歐盟對隱私保護(hù)更強(qiáng)調(diào)人的尊嚴(yán)。《通用數(shù)據(jù)保護(hù)條例》(General Data Protection Regulation，簡稱GDPR)的一個重要立法目標(biāo)是加強(qiáng)數(shù)據(jù)權(quán)利程序性保護(hù)、統(tǒng)一各國執(zhí)行救濟(jì)層面原本參差不齊的實(shí)踐，后者一度造成經(jīng)營者投機(jī)選定營業(yè)地的弊病，飽受學(xué)界批評。(10)Jochen Bittner/Derek Scally, Vertrauen ist besser, Zeit online v. 14.8.2013, http://www.zeit.de/2013/34/datenschutzbehoerde-irland-facebook-nsa (2021)[accessed 20 March, 2021].加強(qiáng)監(jiān)管、企業(yè)自律和集體訴訟的“多維并進(jìn)的程序救濟(jì)”在歐盟新一輪改革中共同塑造了“布魯塞爾模式”的特征。這里單論布魯塞爾模式的此種特點(diǎn)，邏輯上統(tǒng)攝下文論及單個的歐盟國家及受到布魯塞爾模式輻射的其他大陸法系國家。分別論述歐盟國家特點(diǎn)時，則聚焦各國在布魯塞爾模式之外各自最新一輪改革的重點(diǎn)與亮點(diǎn)。

行業(yè)自律方面，GPPR引入的行業(yè)認(rèn)證、自愿認(rèn)證等措施以軟法形式從中間產(chǎn)生減震效應(yīng)，既有利于信息主體有意識地對數(shù)據(jù)合規(guī)方面著力較多的企業(yè)進(jìn)行辨別與篩選，也有利于行政監(jiān)管有的放矢，在集體訴訟中還可能提供證據(jù)資料來源。正如食品原料與安全生產(chǎn)等相關(guān)信息對一般消費(fèi)者而言屬于信息不對稱的范疇一樣，技術(shù)精進(jìn)和算法日新造成信息處理人與信息主體兩端能力的嚴(yán)重失衡——個人信息收集與處理的方法、范圍和程度，對廣大信息主體而言越來越瞬息萬變，無從知曉?；谧栽冈瓌t，企業(yè)在數(shù)據(jù)合規(guī)、遵守個人信息保護(hù)方面做到盡責(zé)的，可以依照GDPR第42條第3款接受行業(yè)認(rèn)證，并在產(chǎn)品上標(biāo)識個人信息保護(hù)合規(guī)的封印。(11)Wolff, in Schantz/Wolff, Das neue Datenschutzrecht, 2017, Rn. 1307.標(biāo)識封印的產(chǎn)品和經(jīng)營者并不因此而豁免遵守個人信息保護(hù)法律法規(guī)的實(shí)體法義務(wù)，但依法獲得數(shù)據(jù)合規(guī)認(rèn)證標(biāo)識的企業(yè)，公眾可以推定其數(shù)據(jù)行為合法合規(guī)。數(shù)據(jù)合規(guī)認(rèn)證標(biāo)志具有社會公信力。(12)General Data Protection Regulation (GDPR) article 42 paragraph 4.被授權(quán)標(biāo)識此種封印的第三方中立機(jī)構(gòu)依照專門程序和標(biāo)準(zhǔn)對企業(yè)按期進(jìn)行檢測和認(rèn)證，德國此類實(shí)踐的成功經(jīng)驗(yàn)例如企業(yè)資格認(rèn)證機(jī)關(guān)TüV，在全德甚至全球范圍內(nèi)認(rèn)可度都極高。TüV封印甚至成為一種資質(zhì)商標(biāo)。此種認(rèn)證機(jī)關(guān)的資質(zhì)須經(jīng)專門的信用機(jī)構(gòu)依照數(shù)據(jù)監(jiān)管機(jī)關(guān)擬定的專門標(biāo)準(zhǔn)予以審批。(13)Kuehling/Sackmann, in Kuehling?buchner (Hrsg.), DS-GVO/BDSG, 2. Aufl. 2018, § 39 BDSG, Rn. 5.

GDPR對訴訟救濟(jì)方面的制度框架可以視為個人信息保護(hù)程序法的一次劃時代改革。GDPR第80條為個人數(shù)據(jù)保護(hù)的群體性救濟(jì)預(yù)留了原則性條款。數(shù)據(jù)主體認(rèn)為數(shù)據(jù)控制人、數(shù)據(jù)處理人使用其個人信息侵犯其合法權(quán)益的，各成員國的法律承認(rèn)的有資格的團(tuán)體可以對數(shù)據(jù)處理人和控制人提起訴訟。這類團(tuán)體須是非營利性的，要以維護(hù)公共利益為目標(biāo)，且在保護(hù)個人信息領(lǐng)域較為活躍。他們提起訴訟，代為行使信息主體第77、78、79和82條規(guī)定的權(quán)利。其中GDPR第82條規(guī)定了這類團(tuán)體根據(jù)成員國法律代為請求損害賠償?shù)臋?quán)利。(14)General Data Protection Regulation (GDPR) article 80 paragraph 1.GDPR第78條規(guī)定了信息主體向監(jiān)管機(jī)構(gòu)提起申訴、后者不予受理或者三個月內(nèi)不予答復(fù)(行政不作為)時，前者可以行使向法院提起行政訴訟的權(quán)利。第79條規(guī)定了數(shù)據(jù)主體可以行使對數(shù)據(jù)控制人和數(shù)據(jù)處理人(經(jīng)營者)直接提起民事訴訟的權(quán)利。

(二)德國、瑞典、荷蘭的程序機(jī)制發(fā)展

集體訴訟方面，德國《不作為之訴法》從幾個方面規(guī)定了集體訴訟(15)Unterlassungsklagengesetz-UklaG，也譯為《不作為之訴法》。本文將“集體訴訟”作為“團(tuán)體訴訟”和“公益訴訟”在學(xué)理上的上位概念。。第一類，是針對濫用一般交易條款(allgemeine Gesch?ftsbedingungen-AGB)的經(jīng)營者，可以提起團(tuán)體訴訟。(16)祁春軼：《德國一般交易條款內(nèi)容控制的制度經(jīng)驗(yàn)及其啟示》，載《中外法學(xué)》2013年第3期，第644-659頁。例如，格式合同(電信、信用卡、網(wǎng)絡(luò)服務(wù)等行業(yè))中大規(guī)模反復(fù)使用的一般交易條款有違法或不當(dāng)情形的，可以提起團(tuán)體訴訟。(17)對“德國電信案”體現(xiàn)出兩造民事訴訟不能解決群體性糾紛的分析參見吳澤勇：《群體性糾紛解決機(jī)制的建構(gòu)原理》，載《法學(xué)家》2010年第5期，第83頁。當(dāng)經(jīng)營者在合同中使用不當(dāng)?shù)囊话憬灰讞l款時，團(tuán)體可以訴請其排除妨礙、停止侵權(quán)、撇去不法收益。(18)Burkhard He?, in Wolfgang Ernst/Reinhard Zimmermann (Hrsg.), Zivilrechtswissenschaft und Schuldrechtsreform, 2001, 第527頁下。第二類，違反電子商務(wù)、線上服務(wù)等新興領(lǐng)域中各類保護(hù)消費(fèi)者單行法的，可以對責(zé)任人提起團(tuán)體訴訟。(19)《不作為之訴法》第2條第2款第11項(xiàng)規(guī)定了針對違規(guī)調(diào)取、使用消費(fèi)者個人數(shù)據(jù)的違法行為，可以提起團(tuán)體訴訟。參見評注Palandt Kommentar zum UKlaG § 2, Rn. 7, SS. 2963. (76.Aufl.)。不過，這里團(tuán)體訴訟僅僅針對違反“消費(fèi)者”權(quán)益保護(hù)法，而數(shù)據(jù)主體的概念遠(yuǎn)遠(yuǎn)超過消費(fèi)者保護(hù)的范疇，因此這一條只能在少數(shù)情況下作為數(shù)據(jù)權(quán)益群體訴訟的請求權(quán)基礎(chǔ)。第三類，《反不正當(dāng)競爭法》第13條規(guī)定的經(jīng)營者、經(jīng)營者團(tuán)體、工商業(yè)聯(lián)合會、消費(fèi)者協(xié)會等適格團(tuán)體，對違反該法第3條、第7條，進(jìn)行不正當(dāng)競爭、損害消費(fèi)者權(quán)益的，可以提起團(tuán)體訴訟。

瑞典和荷蘭此輪的改革努力集中在群體性糾紛解決機(jī)制的調(diào)整。兩國專門就數(shù)據(jù)權(quán)益的集體保護(hù)規(guī)定了群體調(diào)解的非訴程序(Gruppenvergleichsverfahren)。(20)Jan D. Lüttringhaus, Das internationale Datenprivatrecht: Baustein des Wirtschaftskollisionsrecht des 21. Jahrhunderts, ZVglRWiss 1/2018 S. 70.此外值得關(guān)注的是瑞士法律對防御型請求權(quán)和補(bǔ)償型請求權(quán)的區(qū)別規(guī)定：數(shù)據(jù)處理行為(21)瑞士數(shù)據(jù)保護(hù)法上的“數(shù)據(jù)處理行為”規(guī)定，無論其方法也無論其程序，所有對個人數(shù)據(jù)的收集、儲存、保存、使用、更改、公開、存檔、刪除、銷毀，都在其列，參見《瑞士數(shù)據(jù)保護(hù)條例》(DSG)第3條第e項(xiàng)。侵害數(shù)據(jù)主體權(quán)益的，對于數(shù)據(jù)主體的防御型請求權(quán)(例如刪除和更改數(shù)據(jù)的請求)，個人數(shù)據(jù)保護(hù)團(tuán)體可以不經(jīng)單個數(shù)據(jù)主體的授權(quán)直接向法院提起團(tuán)體訴訟。但提起損害賠償請求權(quán)的，團(tuán)體須經(jīng)數(shù)據(jù)主體的專門授權(quán)。(22)Regina Meier, Das ideelle Verbandsbeschwerderecht, 2015, S. 7, 135 f.瑞士數(shù)據(jù)權(quán)益集體救濟(jì)的立法《瑞士個人數(shù)據(jù)保護(hù)法》(DSG)第34條第3款規(guī)定：“確立一個或多個全國或者地方性組織，其章程規(guī)定和具體活動都須致力于數(shù)據(jù)保護(hù)，代表數(shù)據(jù)主體進(jìn)行訴訟”(23)即《瑞士數(shù)據(jù)保護(hù)條例》(DSG)第34條第3款，參見立法意見報(bào)告書“Normkonzept zur Revision des Datenschutzgesetzes”, https://perma.cc/D85H-TAKF,最后訪問2018年7月3日,第36頁。。這一代表數(shù)據(jù)主體進(jìn)行團(tuán)體訴訟的組織，既可以是專門的公權(quán)職能部門，也可以是保護(hù)個人信息的團(tuán)體；既可以提起GDPR第78條規(guī)定的行政訴訟，也可以提起GDPR第79條規(guī)定的民事訴訟。(24)Alexandre Flückiger/Charles-Albert Morand/Thierry Tanquerel, Evaluation du droit de recours des organisations de protection de l’environnement, SRU Nr. 314, Bern 2000.

(三)日本個人信息保護(hù)機(jī)制協(xié)同化改革

日本區(qū)分民間個人信息處理者和政府部門機(jī)構(gòu)作為個人信息處理者，并分別進(jìn)行立法。前者規(guī)定在《個人信息保護(hù)法》中，后者規(guī)定在《行政機(jī)關(guān)個人信息保護(hù)法》和《獨(dú)立行政法人個人信息保護(hù)法》中。兩者監(jiān)管機(jī)制不同。2015年日本修改《個人信息保護(hù)法》體現(xiàn)了“協(xié)同化”的特征。這種協(xié)同化改革，體現(xiàn)在數(shù)據(jù)行政監(jiān)管主體的簡化統(tǒng)一，也包括救濟(jì)層面非訴糾紛解決層次的豐富。行政監(jiān)管上，將原本歸屬于各領(lǐng)域分管的各主務(wù)大臣的數(shù)據(jù)監(jiān)督權(quán)收回并予以“一元化”——設(shè)立個人信息保護(hù)委員會，統(tǒng)一對數(shù)據(jù)企業(yè)行使監(jiān)督權(quán)。具體職能包括制定相關(guān)政策、國際合作、監(jiān)管與監(jiān)督、投訴處理等。(25)「改正個人情報(bào)保護(hù)法の基本」4頁による。日本《個人信息保護(hù)法》規(guī)定，個人信息保護(hù)委員會對于個人信息處理者違反該法的行為，認(rèn)為有必要時，可以勸告或命令其中止該行為，或直接采取必要措施予以糾正。個人信息保護(hù)委員會認(rèn)為有必要對企業(yè)進(jìn)行勸誡或命令時，可以要求該企業(yè)數(shù)據(jù)顧問提交報(bào)告或進(jìn)入企業(yè)內(nèi)部現(xiàn)場指導(dǎo)。(26)「個人情報(bào)の保護(hù)に関する基本方針」5頁による。為了確保對消費(fèi)者權(quán)益保護(hù)的有效性，新修訂的《個人信息保護(hù)法》以企業(yè)自身采取措施盡早處理數(shù)據(jù)法相關(guān)矛盾為基礎(chǔ)，引入了(經(jīng)認(rèn)證的)個人信息保護(hù)團(tuán)體、地方公共團(tuán)體為主體的多層次投訴處理機(jī)制，從而形成了三階投訴處理機(jī)制，即：企業(yè)處理投訴—個人信息保護(hù)團(tuán)體處理投訴—地方公共團(tuán)體介入投訴。首先，新法明確規(guī)定：企業(yè)有義務(wù)勤勉且迅速地處理信息主體的投訴。為了履行這些責(zé)任，企業(yè)應(yīng)設(shè)置接受投訴的窗口，制定投訴處理流程等。其次，新法確定(經(jīng)認(rèn)證的)個人信息保護(hù)團(tuán)體也處理投訴，作為對各企業(yè)投訴處理機(jī)制的補(bǔ)充。個人信息保護(hù)團(tuán)體須以中立立場迅速處理信息主體本人和其他相關(guān)人員的投訴。再次，地方公共團(tuán)體是處理投訴的協(xié)調(diào)者，前述機(jī)制失效時，其作為跨領(lǐng)域的投訴處理主體，發(fā)揮協(xié)調(diào)、建議、指導(dǎo)等功能。為方便其展開工作，此種地方公共團(tuán)體可以將既有的消費(fèi)者保護(hù)中心和消費(fèi)者咨詢窗口作為信息主體投訴窗口，協(xié)調(diào)各部門開展實(shí)效性合作。(27)「個人情報(bào)の保護(hù)に関する基本方針」11頁による。另外，新法規(guī)定應(yīng)通過互聯(lián)網(wǎng)適時公布上述與投訴相關(guān)的信息，以促成信息公開、政務(wù)透明，保證公眾的知情權(quán)與監(jiān)督權(quán)。

投訴處理機(jī)制的精細(xì)化可以視為日本個人信息保護(hù)救濟(jì)程序機(jī)制方面的最新進(jìn)展。不過，日本此輪改革并未涉及相關(guān)集體訴訟制度的調(diào)整。與德國的團(tuán)體訴訟在個人信息保護(hù)開拓適用領(lǐng)域的立法不同，日本采取了相對保守和單一的路徑來解決相關(guān)糾紛。日本《個人信息保護(hù)法》第34條規(guī)定可以依據(jù)該法第28條第1款、第29條第1款或者第30條第1款、第3款或第5款的規(guī)定提起訴訟。但有一個前置程序，即須對擬作為被告的主體此前已經(jīng)提出過相關(guān)請求，否則不得起訴。2018年內(nèi)閣通過的《個人信息保護(hù)基本方針》指出，法律規(guī)定的僅是各行業(yè)企業(yè)共通的最低要求，“根據(jù)事案的性質(zhì)，從迅速性、經(jīng)濟(jì)性來考量，還是通過投訴處理制度解決較為合適?！?28)「個人情報(bào)の保護(hù)に関する基本方針」10頁による。律師代表認(rèn)為：如果當(dāng)事人因個人信息權(quán)益受損欲提起訴訟，在侵權(quán)人未違反《個人信息保護(hù)法》的情形下，可以從消費(fèi)者保護(hù)法、合同法和侵權(quán)法的角度主張權(quán)利。(29)參見板倉陽一郎「プライバシーに関する契約についての考察(3)」情報(bào)法制研究1號(2018年)73頁以下。

可見日本的個人信息保護(hù)法救濟(jì)機(jī)制改革并未把訴訟作為重點(diǎn)關(guān)注對象，毋寧側(cè)重投訴、質(zhì)詢、調(diào)解等非訴糾紛解決程序。訴訟作為終局糾紛解決程序雖然也規(guī)定在日本的《個人信息保護(hù)法》中，但其并未借新一輪的改革發(fā)展出專門的集體救濟(jì)模式及其相關(guān)制度。新法對損害賠償數(shù)額的計(jì)算辦法也沒有專門規(guī)定，只規(guī)定了處罰的形式和金額。因此，日本法對我國《個信法》最新引入的個人信息保護(hù)公益訴訟的制度建構(gòu)的借鑒內(nèi)容有限，而在非訴糾紛解決方面的一系列新規(guī)對我們相關(guān)制度建設(shè)則有所啟發(fā)。

三、比較法資源對我國現(xiàn)有規(guī)范解釋的借鑒意義

歐盟和德國都倚重團(tuán)體訴訟作為信息主體及其利益代表維護(hù)自身權(quán)益的程序救濟(jì)機(jī)制，而我國的公益訴訟等群體權(quán)益保護(hù)制度與德國法有相當(dāng)?shù)挠H緣性，在此意義上，布魯塞爾模式和德國新一輪改革值得參看。擇取比較法資源時應(yīng)慮及各國立法動態(tài)和司法實(shí)踐本身也處在變動和發(fā)展之中，且每個改革舉措都與其特定的制度歷史和實(shí)踐經(jīng)驗(yàn)息息相關(guān)，因此比較法研究也應(yīng)動態(tài)地、具體地、全方位地進(jìn)行考察。例如，日本最新的個人信息保護(hù)重點(diǎn)關(guān)注非訴多元糾紛解決機(jī)制。日本在程序間協(xié)調(diào)機(jī)制(投訴程序與監(jiān)督程序、投訴程序與訴訟程序)與主體間協(xié)調(diào)機(jī)制(企業(yè)、個人信息保護(hù)團(tuán)體、監(jiān)督機(jī)構(gòu)、中立第三方機(jī)構(gòu)、消費(fèi)者權(quán)益保護(hù)機(jī)構(gòu))兩方面的上述改革均值得我國在細(xì)化個人信息保護(hù)投訴程序制度時予以借鑒?？紤]到中日兩國均有亞洲國家“息訟”傳統(tǒng)，個人信息保護(hù)的非訴糾紛解決制度應(yīng)當(dāng)成為我國個人信息保護(hù)的權(quán)益救濟(jì)的訴前程序部分。

在參看德國經(jīng)驗(yàn)時應(yīng)考慮，德國的團(tuán)體訴訟依靠消費(fèi)者團(tuán)體和其他適格團(tuán)體、行會等蓬勃的社會力量，引入示范確認(rèn)之訴機(jī)制，已經(jīng)在制度變革中積累了較為成功的司法經(jīng)驗(yàn)。這和德國的結(jié)社傳統(tǒng)，較為有序、平緩的社會組織結(jié)構(gòu)及其特有的憲政環(huán)境有關(guān)。而我國由于各種原因迄今并未生發(fā)出由組織和團(tuán)體普遍提起公益訴訟的傳統(tǒng)。迄今公益訴訟主要由檢察機(jī)關(guān)提起，且在環(huán)境保護(hù)、自然資源保護(hù)領(lǐng)域相對活躍，但消費(fèi)者公益訴訟幾乎一直處于休眠的狀態(tài)。德國改革個人信息保護(hù)程序法時體現(xiàn)了一定的路徑依賴，新法將“濫用個人信息”的行為解釋為“違反消費(fèi)者權(quán)益保護(hù)法”，等于將現(xiàn)有的有起訴資格的消費(fèi)者團(tuán)體的訴權(quán)擴(kuò)充至個人信息保護(hù)領(lǐng)域，制度改革的成本最低。而我國消費(fèi)者公益訴訟本身的制度利用率很低。如果一種制度本身存在使用率低下的問題，缺乏“路徑”可憑“依賴”，或應(yīng)另辟蹊徑。例如，我國在個人信息保護(hù)領(lǐng)域相對比較活躍的是反不正當(dāng)競爭法和反壟斷法的相關(guān)訴訟。廣義上，如果一個訴訟程序能解決不特定多數(shù)信息主體遭受侵害的糾紛，應(yīng)當(dāng)認(rèn)為這就是個人信息集體保護(hù)的程序機(jī)制，而不會因?yàn)檫@兩類訴訟常常發(fā)生在競爭者(作為數(shù)據(jù)處理人與使用的經(jīng)營者)之間就以“形式上的訴訟主體并非多數(shù)”否認(rèn)了此類訴訟的“集體保護(hù)”的功能與性質(zhì)。(30)反不正當(dāng)競爭訴訟和消費(fèi)者團(tuán)體訴訟在個人信息集體保護(hù)上成為重要的制度抓手，應(yīng)歸為廣義上的個人信息集體保護(hù)的重要子集。相反，個人信息保護(hù)集體訴訟的理論應(yīng)當(dāng)直面此類訴訟，并從訴訟理論層面加以發(fā)展，以統(tǒng)攝制度多元且融合的理論脈絡(luò)。此中最關(guān)鍵的問題則是《個信法》第70條擬引入的專門的個人信息保護(hù)公益訴訟，如何設(shè)計(jì)訴訟激勵機(jī)制，提高制度利用率，避免此類新型公益訴訟一經(jīng)制度建構(gòu)就進(jìn)入休眠的困境，下文詳述。

(一)個人信息保護(hù)公益訴訟的主體制度

依照《個信法》第70條結(jié)合《民事訴訟法》第55條，我國確立了專門的個人信息保護(hù)公益訴訟，在既有的環(huán)境資源保護(hù)、消費(fèi)者保護(hù)、國有資產(chǎn)保護(hù)和烈士名譽(yù)保護(hù)等公益訴訟領(lǐng)域之外，開辟專門的公益訴訟種類。

按照《個信法》第70條規(guī)定，檢察機(jī)關(guān)、法律規(guī)定的消費(fèi)者組織和國家網(wǎng)信部門確立的有關(guān)組織可以提起個人信息保護(hù)公益訴訟。該條從文義解釋來看，有幾層意思：第一，個人信息保護(hù)上法定的典型救濟(jì)機(jī)制公益訴訟，這與傳統(tǒng)上民事權(quán)益救濟(jì)的個體民事訴訟形成對比。第二，公益訴訟訴權(quán)主體的順位不同于《民事訴訟法》第55條。依照民事訴訟法的規(guī)定，法律規(guī)定的機(jī)關(guān)和有關(guān)組織可以提起公益訴訟，人民檢察院在沒有上述機(jī)關(guān)和組織或者上述機(jī)關(guān)和組織不提起訴訟的情況下，也可以提起公益訴訟。而個人信息保護(hù)公益訴訟的訴訟主體是檢察機(jī)關(guān)—消費(fèi)者組織—有關(guān)組織。第三，國家網(wǎng)信部門不僅是個人信息保護(hù)行政監(jiān)管的綜合執(zhí)法部門(31)學(xué)者認(rèn)為個人信息保護(hù)已突破互聯(lián)網(wǎng)行業(yè)的藩籬，作為綜合性法律的《個人信息保護(hù)法》的執(zhí)法，應(yīng)交由更具獨(dú)立性和全局視野的機(jī)關(guān)負(fù)責(zé)，國家網(wǎng)信部門顯然是不二選擇。而有關(guān)刑事、金融、醫(yī)療等特殊領(lǐng)域，其主管部門亦應(yīng)在法定職責(zé)范圍內(nèi)承擔(dān)個人信息保護(hù)職責(zé)，并接受國家網(wǎng)信部門的統(tǒng)籌、協(xié)調(diào)和指導(dǎo)。張新寶：《我國個人信息保護(hù)法立法主要矛盾研討》，載《吉林大學(xué)社會科學(xué)學(xué)報(bào)》2018年第5期，第51頁。，而且還將是公益訴訟社會力量準(zhǔn)入口徑的劃定人，應(yīng)考慮包括專門以個人信息保護(hù)為目的而成立的組織、行業(yè)組織、法律規(guī)定的消費(fèi)者組織之外的其他消費(fèi)者保護(hù)組織、第三方機(jī)構(gòu)等。

這一門檻條件的劃定，對個人信息保護(hù)的政策制定和后續(xù)相關(guān)立法都殊為重要。作為個人信息保護(hù)公益訴訟的制度杠桿，門檻條件如果劃定不當(dāng)，個人信息保護(hù)公益訴訟很可能陷入既有的公益訴訟制度在我國運(yùn)行中已經(jīng)遭遇的困境——制度利用率如果持續(xù)低下，那么程序框架一經(jīng)建構(gòu)恐怕就會淪為一紙具文。門檻條件將決定“有關(guān)組織”提起公益訴訟的制度使用率，以及以檢察機(jī)關(guān)為代表的國家力量和以組織、協(xié)會、團(tuán)體為代表的社會力量在制度啟用階段的力量組合。根據(jù)上述歐盟、德國的經(jīng)驗(yàn)來看，通常要求此類組織存續(xù)有一定時間、有一定的成員、專事信息保護(hù)類工作或業(yè)務(wù)、登記手續(xù)完整等。為了激勵“有關(guān)組織”起訴，考慮在實(shí)定法上降低這類組織獲得訴權(quán)的門檻條件，但為了篩選和控制這些團(tuán)體的設(shè)立目的與活動范圍，監(jiān)管個人信息保護(hù)的職能部門應(yīng)勤勉地對其資質(zhì)予以統(tǒng)計(jì)和公布。這一名單應(yīng)每年更新，且向法院和相關(guān)部門定向公布，以此節(jié)約成本、降低相關(guān)公益訴訟中對原告資質(zhì)審查的難度，縮減審查所需的時間。(32)張陳果：《論公益訴訟中處分原則的限制與修正——兼論〈新民訴法解釋〉第289、290條的適用》，載《中外法學(xué)》2016年第4期，第918-922頁；張陳果：《論德國示范確認(rèn)之訴改革對我國環(huán)境公益訴訟的啟示與借鑒》，載《法律適用》2019年第3期，第121頁下。

個人信息保護(hù)公益訴訟在我國實(shí)踐中最早是由檢察機(jī)關(guān)提起的。訴權(quán)主體位階上，《民事訴訟法》第55條第1款規(guī)定的公益訴訟主體是機(jī)關(guān)和有關(guān)組織；第2款才規(guī)定檢察機(jī)關(guān)在履行職務(wù)的過程中可以提起公益訴訟，體現(xiàn)立法時將檢察院公益訴訟擔(dān)當(dāng)在整個救濟(jì)體系中放置于補(bǔ)充、保障與兜底的位置?！秱€信法》第70條規(guī)定的公益訴訟主體層階則體現(xiàn)其倚重檢察機(jī)關(guān)起訴，同時明確將有關(guān)組織的訴權(quán)門檻的具體標(biāo)準(zhǔn)交由網(wǎng)信部予以調(diào)整?？梢?，《個信法》規(guī)定的公益訴訟訴權(quán)主體順位不同于《民事訴訟法》第55條。個人信息保護(hù)公益訴訟的主體制度體現(xiàn)了由上至下、由檢察機(jī)關(guān)引領(lǐng)、其次由有資質(zhì)的組織起訴的力量組合。根據(jù)《個信法》第70條，其訴權(quán)主體順位是檢察機(jī)關(guān)—消費(fèi)者組織—有關(guān)組織。這表明：其一，檢察機(jī)關(guān)作為個人信息保護(hù)公益訴訟的第一主體，是立法者經(jīng)過三審、反復(fù)討論并最終決定的制度安排。這體現(xiàn)在《個信法》第70條的條文前后幾稿反復(fù)修改卻始終將檢察機(jī)關(guān)置于訴權(quán)主體的首位——這是從文義解釋和歷史解釋的角度來分析。其二，可以預(yù)見，消費(fèi)者組織開展個人信息公益訴訟在短時間內(nèi)可能存在不太積極的現(xiàn)象，而國家網(wǎng)信部門劃定其他有訴權(quán)的組織的門檻條件并將名單落實(shí)也需要時間，相關(guān)的配套制度也需要時間來醞釀。在這個階段，個人信息保護(hù)的司法落地又因各地涌現(xiàn)相關(guān)案例而變得較為迫切，因此由檢察機(jī)關(guān)對相關(guān)公益訴訟起一個引領(lǐng)的作用是有必要的。檢察機(jī)關(guān)本來就是最先開展這一新型公益訴訟實(shí)踐的主體，在組織架構(gòu)、人力物力保障、動機(jī)純化等各個角度考慮都沒有比檢察機(jī)關(guān)更合適的第一順位主體。其三，檢察機(jī)關(guān)與其他主體提起公益訴訟和展開工作之間不是對立的，檢察機(jī)關(guān)在個人信息保護(hù)領(lǐng)域應(yīng)發(fā)揮自己的優(yōu)勢，托舉和支持有關(guān)“組織”開展相關(guān)公益訴訟。(33)張陳果：《論個人信息保護(hù)公益訴訟的程序邏輯與規(guī)范解釋——兼論個人信息保護(hù)的“消費(fèi)者化”》，載《國家檢察官學(xué)院學(xué)報(bào)》2021年第6期，第69頁下。

《個信法》草案第一稿和第二稿將“職能部門”提起公益訴訟的順位置于檢察機(jī)關(guān)提起公益訴訟之后，“有關(guān)組織”提起的公益訴訟之前。而《個信法》正式文本刪除了“職能部門”。這是考慮到在我國目前職能部門充當(dāng)個人信息保護(hù)公益訴訟的主體缺乏現(xiàn)實(shí)可能性。例如，我國在個人信息保護(hù)相關(guān)立法與政策制定以及制度執(zhí)行各方面，國家網(wǎng)信部門最具統(tǒng)籌力。(34)張新寶：《我國個人信息保護(hù)法立法主要矛盾研討》，載《吉林大學(xué)社會科學(xué)學(xué)報(bào)》2018年第5期，第45-56頁?！睹袷略V訟法》第55條雖然規(guī)定民事公益訴訟可以由行政機(jī)關(guān)提起，但實(shí)踐中行政機(jī)關(guān)幾乎不起訴，而是通過罰款、沒收違法所得等措施對個人信息處理人進(jìn)行監(jiān)管。行政機(jī)關(guān)超出本身行政權(quán)力訴諸司法程序去充當(dāng)公益訴訟原告需要更強(qiáng)理由。而行政機(jī)關(guān)針對其他行政機(jī)關(guān)、職能部門或有關(guān)組織提起個人信息保護(hù)公益訴訟的概率則更小，這和我國行政權(quán)力分配與運(yùn)行的整體結(jié)構(gòu)及其相互關(guān)系的體系邏輯有關(guān)。

(二)有關(guān)組織提起相關(guān)公益訴訟的激勵機(jī)制

有關(guān)組織提起公益訴訟的激勵機(jī)制問題直接與其訴訟動力有關(guān)。與之緊密相關(guān)也是頗有爭議的一個問題是應(yīng)否確立個人信息保護(hù)公益訴訟的損害賠償請求權(quán)。民事訴訟法學(xué)學(xué)者對既有的公益訴訟損害賠償持謹(jǐn)慎態(tài)度。由于個人信息泄露或?yàn)E用產(chǎn)生顯著、直接的物質(zhì)性損害(例如盜刷信用卡)是少數(shù)情況，多數(shù)情況下“損害”體現(xiàn)為外部風(fēng)險和內(nèi)部焦慮等非物質(zhì)性損害，其可以引起間接的非物質(zhì)性損害，往往是一種推定的、不顯著的損害。既有的司法實(shí)踐對此分兩種情形：一種大抵因?yàn)閾p害無法確認(rèn)(原告無法舉證證明實(shí)際損失)而駁回?fù)p害賠償請求權(quán)(35)例如，周儉、嘉興市乍浦鎮(zhèn)順通勞務(wù)工程隊(duì)、嘉興市國鴻出租汽車有限公司等隱私權(quán)糾紛案，浙江省嘉興市中級人民法院(2019)浙04民終3244號民事判決書；顧小東與上海你我貸互聯(lián)網(wǎng)金融信息服務(wù)有限公司名譽(yù)權(quán)糾紛上訴案，上海市第二中級人民法院(2019)滬02民終717號民事判決書；盛曉環(huán)與中國電信股份有限公司北京分公司一般人格權(quán)糾紛案，北京市第二中級人民法院(2020)京02民終10179號民事判決書，對個人信息損害賠償采否定態(tài)度。；另一種則傾向于支持原告因個人信息權(quán)益損害提出的補(bǔ)償請求權(quán)。(36)例如，北京朝陽區(qū)法院于2018年判決鏈家地產(chǎn)賠償原告趙某非物質(zhì)損害10萬元；又如美國2016年的Spokeo v. Robins一案，聯(lián)邦最高法院認(rèn)為無形損害和損害風(fēng)險達(dá)到一定程度也可以構(gòu)成個人信息損害賠償?shù)姆秶?；英?015年的Vidal-Hall v. Google案中，法院認(rèn)為無論是物質(zhì)性損害還是非物質(zhì)性損害，當(dāng)事人可以單獨(dú)主張賠償且后者的賠償請求不以前者成立為前提。

對是否支持損害賠償請求，應(yīng)區(qū)分情況。在侵害不特定大多數(shù)個人信息造成的“損害”具有顯著性和客觀性時，在完善相關(guān)程序機(jī)制的前提下，應(yīng)適度放開個人信息保護(hù)公益訴訟的損害賠償請求權(quán)。首先，盡管個人信息在《民法典》中并未在措辭上體現(xiàn)為“權(quán)利”(37)《民法典》第111條規(guī)定：“自然人的個人信息受法律保護(hù)。任何組織或者個人需要獲取他人個人信息的，應(yīng)當(dāng)依法取得并確保信息安全，不得非法收集、使用、加工、傳輸他人個人信息，不得非法買賣、提供或者公開他人個人信息。”，但損害概念發(fā)展的趨勢表明，個人信息泄露或?yàn)E用產(chǎn)生的外部風(fēng)險和內(nèi)部焦慮在很多場景下可以認(rèn)定為非物質(zhì)性損害從而構(gòu)成法律上的“損害”。(38)劉云：《論個人信息非物質(zhì)性損害的認(rèn)定規(guī)則》，載《經(jīng)貿(mào)法律評論》2021年第1期，第63-64頁。其二，我國《個信法》第69條所認(rèn)定的損害并未限制損害的程度。GDPR序言第146段指出：“數(shù)據(jù)控制人或數(shù)據(jù)處理人應(yīng)賠償任何人因違法處理個人信息而可能遭受的任何損害。損害的概念應(yīng)根據(jù)法院判例法作廣義解釋，其解釋應(yīng)充分反映本條例的目標(biāo)，數(shù)據(jù)主體所遭受的損害應(yīng)得到有效的賠償。”盡管單個的個人信息市場價值并不高，但大數(shù)據(jù)語境下的個人信息侵害常態(tài)性涉及數(shù)百萬條個人信息，大型互聯(lián)網(wǎng)企業(yè)的個人信息泄露可以造成千萬億級別的損害，每年因?yàn)閭€人信息泄露導(dǎo)致的經(jīng)濟(jì)損失可達(dá)到數(shù)萬億元。(39)劉云：《論個人信息非物質(zhì)性損害的認(rèn)定規(guī)則》，載《經(jīng)貿(mào)法律評論》2021年第1期，第65頁。因此，騷擾電話、垃圾郵件在單個情形下或許是輕微損害，但總體來看涉及的數(shù)目甚巨，完全可能符合損害的顯著性要求。其三，有學(xué)者認(rèn)為公益訴訟涉及不特定大多數(shù)導(dǎo)致“損害”數(shù)額不特定、數(shù)目不確定，故應(yīng)排除公益訴訟損害賠償請求權(quán)，但隨著制度的精細(xì)化發(fā)展，這一問題也會解決。相關(guān)制度諸如設(shè)立個人信息損害法定賠償制度、細(xì)化相關(guān)損害的類型和程度及其計(jì)算方式(40)例如，美國加州《消費(fèi)者隱私法案》(California Consumer Privacy Act, CCPA)認(rèn)定的賠償范圍是100～750美元；美國《公平和準(zhǔn)確信貸交易法》(Fair and Accurate Credit Transactions Act, FACTA)規(guī)定每次違規(guī)可獲得1000美元的法定損害賠償；我國臺灣地區(qū)對個人信息商業(yè)處理的情形，法定賠償上限為5 000元至1萬元人民幣。、調(diào)整相應(yīng)的證據(jù)規(guī)則與證明責(zé)任負(fù)擔(dān)(41)《個人信息保護(hù)法》第69條修改了證明責(zé)任的相關(guān)規(guī)則，草案第一稿第65條“個人信息處理者能夠證明自己沒有過錯的，可以減輕或者免除責(zé)任”修改成第69條的“個人信息權(quán)益因個人信息處理受到侵害，個人信息處理者不能證明自己沒有過錯的，應(yīng)當(dāng)承擔(dān)損害賠償?shù)惹謾?quán)責(zé)任”。。其四，這種需要賠償?shù)膫€人信息損害應(yīng)當(dāng)符合客觀性要求，即原告提出的非物質(zhì)性損害必須是實(shí)際的、能夠特定化到個人的(但不需要實(shí)際上特定化到個人)、已經(jīng)發(fā)生或者即將發(fā)生的，而非猜測或假設(shè)發(fā)生的結(jié)果。非物質(zhì)損害難以計(jì)算的可以通過侵權(quán)人的收益得到證明。(42)劉云：《論個人信息非物質(zhì)性損害的認(rèn)定規(guī)則》，載《經(jīng)貿(mào)法律評論》2021年第1期，第66-67頁?？傊?，與其因?yàn)閾p害賠償請求權(quán)在訴訟中難以認(rèn)定計(jì)算以及存在勾兌風(fēng)險就完全排除其適用，造成訴訟激勵機(jī)制的缺失，制度使用率持續(xù)低下，不妨選城試點(diǎn)，在防范訴訟程序道德風(fēng)險的前提和改革賠償款項(xiàng)的去向與管理配套制度的前提下適度放開個人信息保護(hù)公益訴訟的損害賠償請求權(quán)。(43)公益訴訟損害賠償金相關(guān)的道德風(fēng)險管控及其去向與管理問題，此處詳述恐超出本文篇幅所限。

(三)多維并進(jìn)的程序救濟(jì)

此外，“多維并進(jìn)的程序救濟(jì)”也應(yīng)配套多維并進(jìn)的程序法建構(gòu)。個人信息侵害極易涉及不特定多數(shù)人的權(quán)益，按照侵害行為及其影響范圍和造成損害大小的不同，救濟(jì)渠道也有多個維度，應(yīng)當(dāng)包括投訴、調(diào)解、協(xié)商、訴訟。侵害個人信息可以提起個體訴訟，但制度建構(gòu)應(yīng)以公益訴訟等集體救濟(jì)模式為主導(dǎo)，這一點(diǎn)在大陸法系國家存在共識，我國《個信法》也已采納。未來與此相關(guān)的立法在如下領(lǐng)域還需完成配套機(jī)制的設(shè)計(jì)，并在實(shí)踐中不斷實(shí)現(xiàn)對規(guī)范的反哺與完善：一是可以參看上述比較法(例如日本)經(jīng)驗(yàn)，發(fā)展與完善個人信息保護(hù)組織殘余的訴訟外糾紛解決的規(guī)范。迄今《個信法》僅在第62條、第65條規(guī)定了履行個人信息保護(hù)職能的公權(quán)部門可以并應(yīng)當(dāng)及時處理信息主體投訴。但受理投訴主體多元化、投訴制度體系建設(shè)和主體間銜接制度上可以借鑒日本經(jīng)驗(yàn)。“經(jīng)營者受理投訴—個人信息集體保護(hù)組織或消費(fèi)者組織處理投訴—職能部門處理投訴”的三階投訴機(jī)制，以便充分利用經(jīng)營者內(nèi)部資源和社會力量聯(lián)動化解不滿，也有利于訴調(diào)對接中的信息咨詢調(diào)取。根據(jù)《個信法》第70條，國家網(wǎng)信部門規(guī)定的個人信息集體保護(hù)組織和法律規(guī)定的消費(fèi)者組織可以提起公益訴訟。應(yīng)當(dāng)認(rèn)為，將受理信息主體投訴作為其日常工作內(nèi)容并計(jì)入章程且勤勉履行，是其獲得公益訴訟訴權(quán)主體資格的前提條件。相關(guān)組織受理投訴后，應(yīng)視情況對信息處理人和信息主體之間的糾紛居中調(diào)解，必要時提起公益訴訟。根據(jù)《個信法》第70條，國家檢察機(jī)關(guān)充當(dāng)三階投訴機(jī)制的協(xié)調(diào)者與監(jiān)督者，符合檢察機(jī)關(guān)的機(jī)構(gòu)定位，也符合個人信息保護(hù)法的規(guī)范意涵。檢察機(jī)關(guān)認(rèn)為有必要提起個人信息保護(hù)公益訴訟的，可以起訴，也可以支持前述組織提起公益訴訟。瑞典、荷蘭的集體調(diào)解制度，可以在公益訴訟前置程序和結(jié)案階段程序設(shè)計(jì)的環(huán)節(jié)上予以借鑒。

此外，應(yīng)當(dāng)發(fā)展涉及個人信息保護(hù)組織與企業(yè)內(nèi)部數(shù)據(jù)代表(或稱企業(yè)數(shù)據(jù)合規(guī))、與數(shù)據(jù)主管行政部門、與一般信息主體之間的互動模式及相關(guān)功能的規(guī)范。這制度規(guī)范如獲成功，那么個人信息保護(hù)組織對行政監(jiān)管、行業(yè)自律與公益訴訟各大機(jī)制之間的銜接與協(xié)調(diào)，都將起到重要作用；有利于捋順公益訴訟與其他內(nèi)部程序(例如相關(guān)組織、經(jīng)營者和行政機(jī)關(guān)處理的投訴、質(zhì)詢程序)的銜接機(jī)制，也有利于個人信息公益訴訟相關(guān)的調(diào)查取證等各程序性工作的開展。

四、結(jié)語

上文分析顯示，各國為增進(jìn)個人信息保護(hù)對權(quán)益救濟(jì)機(jī)制的最新一輪改革各有倚重。這種差異大抵因各國對個人信息保護(hù)問題切入的視角不同，各自制度落地的協(xié)調(diào)機(jī)制有別以及訴訟法理念傳承與制度細(xì)節(jié)也各不相同。如何從各國制度資源擇取最適合我國的比較法“營養(yǎng)”，不是簡單的“拿來”或者“比附”即可。有以下兩點(diǎn)應(yīng)加以考慮：其一，未來需從量化實(shí)證研究資料中獲得制度分析更為生動與可靠的語境。其二，吸收比較法營養(yǎng)，應(yīng)在該制度的具體語境中分析其運(yùn)行之實(shí)效及弊端，以動態(tài)視角考察比較法資源之可取程度。應(yīng)慮及各國立法動態(tài)和司法實(shí)踐本身也處在變動和發(fā)展之中，且每個改革舉措都與其特定制度歷史和實(shí)踐息息相關(guān)，因此比較法研究也應(yīng)動態(tài)地、具體地、全方位地進(jìn)行考察。歐盟和德國都倚重團(tuán)體訴訟作為信息主體及其利益代表維護(hù)自身權(quán)益的程序救濟(jì)機(jī)制，而我國的公益訴訟等群體權(quán)益保護(hù)制度與德國法有相當(dāng)?shù)挠H緣性，因此布魯塞爾模式和德國的改革經(jīng)驗(yàn)在比對中德、中歐制度歷史親緣性的基礎(chǔ)上富有啟發(fā)意義。個人信息保護(hù)公益訴訟應(yīng)當(dāng)附條件地確立損害賠償請求權(quán)，并在吸收比較法營養(yǎng)和立足我國具體語境的前提下，以防控道德風(fēng)險為前瞻，以促進(jìn)起訴為目的，通過法定賠償制度、證明責(zé)任倒置和相關(guān)的證據(jù)規(guī)則、完善登記與公告制度來解決損害賠償難以計(jì)算和分配的難題。應(yīng)致力于打開相關(guān)公益訴訟的實(shí)踐閘口，通過法律續(xù)造逐漸發(fā)展個人信息保護(hù)的訴訟規(guī)則，進(jìn)而反哺實(shí)體法的解釋、適用與整合。(44)相關(guān)規(guī)范發(fā)展與案例梳理另有專文論述。