符 颖

（湖南师范大学法学院，湖南 长沙410006）

一、大数据时代下个人信息保护现状

（一）个人信息实体法律保护不足

我国对个人信息保护的立法仍然处于初步探索阶段，有关个信息保护的规定呈碎片化分布在各部法律法规中。例如现行《刑法》第二百三十五条以及《民法典》第一千零三十五条就分别对公民个人信息权益作出了相关规定，区别在于一个是站在防范个人信息侵权和打击违法犯罪的角度，一个是从私法角度将个人信息保护纳入人格权编中所作的专门性规定。《网络安全法》也在专章中规定了严格的用户个人信息保护制度；《消费者权益保护法》规定侵犯个人信息的需承担停止侵害、赔礼道歉和赔偿损失等责任，但对于赔偿损失却并没有作出具体规定；其他部门规章如《规范互联网信息服务市场秩序若干规定》等也在电子市场等领域对个人信息保护作出了规定。这种情况也就导致个人信息的保护缺乏全面整体与相互协同，地方政府或法院在具体适用时也面临着各个领域法律规定不一的困境。由上述实体法梳理可知，涉及大数据时代新兴领域个人信息保护还是缺位的，也即法律对个人信息的保护领域并不全面，需要一部专门性法律对个人信息进行直接保护。同时，部分相关法律规定粗泛、模糊，虽然有法律对个人信息保护作出了相关规定，但对于行为人需要承担的赔偿损失具体并没有规定。法律对个人信息保护的概括性规定出现了相关部门在判断一些收集、处理信息的行为是否合法时缺乏明确依据，以及法院在审判时适用标准不一的问题。

（二）执法部门缺乏有效监督制约

相关行政部门收集个人信息数据主要是为了更好地提供公共服务和完善社会治理，这也是其作为公权力主体应当承担的社会责任，公民提供个人信息也是作为社会成员需要服从社会治理应尽的义务。大数据时代的信息数据比传统经济时代更加利益化，这也导致公民在提供信息数据的时候，部分相关工作人员因受到利益因素影响进而利用其职务便利实施牟利行为的出现。公安部出于防止个人信息犯罪的目的而明确要求地方公安机关不得联合相关行政部门直接收集和处理公民相关个人信息。我国法律对行政部门之间收集和处理个人信息的界限缺乏统一明确的规定，另外，根据相关法律规定，行政机关对网络经营者通过非法途径获取和利用个人信息的行为应当责令其改正，对行为人的行政处罚应当根据情节轻重程度作出决定。但是相关行政部门之间在个人信息保护中存在监管界限模糊的情况，易使行政部门之间互相推脱监管责任。在裁判文书网搜索有关侵犯公民个人信息的案例，关于相关行政部门作出侵犯个人信息行为的行政处罚很少。这也反映了公民在遭受个人信息侵权而寻找行政司法诉讼或行政复议等途径维权时，难以及时获得公共权利救济维护的现象。

（三）民事诉讼对个人信息保护的局限

由于网络经营者于信息用户之间处于不平等的地位，也就导致公民难以发现其个人信息遭受侵权时而错失收集证据的最佳时机，有的公民可能因为维权成本过高或耗费时间太长而不选择通过私益诉讼途径寻求保护。究其原因发现：首先，要想得到有效的数据证据需要收集和处理庞大数据信息后再进行系统性分析，这些信息数据意味着大量公民的信息且单个公民的信息价值并不高，以至于信息遭受侵权的公民不愿花费大量时间和经济成本去寻求私益诉讼途径进行维权。其次，网络运营者通过网络的便利性收集信息数据具有隐蔽性特点，往往不容易被信息权利主体发现。网络信息的收集、利用与处理都需要专业人员的技术支持，且容易被修改或删除，因此很难收集到确实有效的证据信息。而网络平台经营者的信息技术和经济实力相较于网络平台的信息用户个人来说都处于优势地位，也就造成网民在个人信息遭受侵权时取证困难的局面。可能会有少数权益受损的网民积极向法院主张其信息权益并获得了法院对侵权损害的认定与相关赔偿，但往往信息权益受损的网民维权成本与收益并不成正比，其所获赔偿金额与实际受损相差甚远，从而消磨了权利主体寻求司法救济的积极性。

二、构建大数据时代个人信息行政公益诉讼制度的思考

从实践来看，由检察机关保护社会公益是符合现实要求的，其作为公权力部门正好可以弥补个人力量的不足。自行政公益诉讼设立以来，虽然《民事诉讼法》第五十五条规定了破坏环境资源和消费者权益保护两类行为可以通过公益诉讼途径来维权，但随着社会的发展，大数据时代背景下的公益诉讼保护范围已不能只局限于这两类领域。虽然《行政诉讼法》第二十五条规定了行政公益诉讼案件范围，但从实证案例情况来看，因行政部门的不作为导致其他领域公共权益受损的情形依然存在，《行政诉讼法》也以“等”字兜底条款应对社会发展带来的新趋势。既然有兜底条款，那么在对检察机关提起公益诉讼的范围进行解释时应当注意适度性和必要性，在法理上严格依照法律规定以及遵循立法精神来探索论证公益诉讼保护的“等”外领域，[1]既不随意扩大理解，又要保护公共利益和满足社会实际需要。大数据时代背景下的个人信息安全问题是关乎社会公益维护的重要问题，网络运营者收集和整理的信息数据并不是对特定公民的信息进行分析，而是对大量随机信息数据进行整合与分析，庞大的信息数据反映的是社会公益问题。通过信息整合与分析还能造福社会公共利益，例如谷歌利用大数据环境下的数据信息预测疾病传播。综上，行政公益诉讼制度引入个人信息保护领域是有益于完善制度的探索，并且在信息公益诉讼制度建立后，检察机关可以通过诉前程序处理相关信息权益纠纷，也能够尽量减轻部分案件进入诉讼程序后法院的压力，还能及时维护受损的公益。

（一）拓宽行政公益诉讼范围

大数据时代背景下信息数据的便利性与实效性，降低了网络运营者的违法成本，且网络平台经营者的技术和资金成本远强于用户个人，用户个人难以及时发现信息权益受损或者即使发现也不愿维权。行政机关作为行业监管者，相关行政部门缺少专业的信息技术人员，缺乏对信息领域的专业认识，这些因素是造成权利救济不及时和信息侵权普遍存在的原因。从公益诉讼的“等”字条款可以看出通过司法诉讼途径解决公益受损的对象不应局限为行政诉讼法中明确规定的四种情形。至于能够适用哪些公益诉讼案件类型还需要结合实践具体分析。就大数据时代背景下的个人信息保护领域来说，行政公益诉讼制度可以制约行政机关的不作为或不当履职行为，因此确有必要将公益诉讼受案范围拓展至个人信息安全领域。首先在实体法缺位问题上，可以考虑通过司法解释对行政公益诉讼个案范围囊括至个人信息保护领域，还可以通过“两高”发布的典型案例及指导案例来推动行政公益诉讼在个人信息安全领域的广泛适用。近年来检察院也有了将行政公益诉讼制度引入个人信息保护领域的个案实践。2019年的“两会”也有关于检察机关拓展受案范围和加大保护公共利益力度的提案，这是对检察机关公益诉讼职能的关注。

（二）明确行政公益诉讼起诉条件

首先，关于问题线索方面，检察机关作为能够提起行政公益诉讼的唯一主体，其只有在履行职责过程中发现问题线索时才会启动行政公益诉讼程序，而这种只能在办案过程中才能掌握问题线索的规定会有排除网络经营者或用户个人主动提供线索的可能，也就导致检察机关搜寻线索出现遗漏，在此种制度模式下并不利于对信息安全的全方位保护。为了突破此种困境，在网络运营者和用户个人提供线索方式缺位情况下可以考虑拓宽司法解释中关于检察机关履职过程的理解，将有关单位或者个人举报或巡查等更具有主动性的方式获得线索的情况囊括至履职范围。例如公民可以投递举报信的方式向检察机关提供线索，检察机关可以对线索进行归纳整理后按照时间紧迫性等因素决定处理顺序。其次，检察机关在对相关行政部门提出整改建议后，可以先考察行政部门回复的整改方案的可行性，对切实可行的方案可以不提起行政公益诉讼，但仍需要做好监督工作，对缺乏可操作性的方案可以提起行政公益诉讼。最后，关于公益诉讼起诉标准的问题，关键是对“侵害”状态的认定。以往是以直接损害状态为判断标准，但在大数据时代背景下公民所承担的信息损失具有间接性的特点，对于网络运营者非法收集或利用公民个人信息行为并造成间接损害时，行政机关应当积极履职纠正违法行为。因时代变化确有需要拓宽对受损害状态的认定，所以检察机关提起信息公益诉讼的诉讼标准为行为主体已经实施了侵犯信息权益行为并造成一定程度的损害。

（三）优化行政公益诉讼诉前程序

诉前程序是行政公益诉讼制度的优势，合理的诉前程序规则能够避免案件大量涌入诉讼程序，减缓法院压力从而达到事半功倍的效果。以信息泄露为例，公民会受到垃圾短信或是推销电话的困扰，而有关部门却难以对此种行为的性质是否属于公益诉讼范围作出判断，即便有通信主管部门采取一定的遏制措施也只是治标不治本，不利于保护信息公共权益，因此还需要通过优化诉前程序规则来完善公益诉讼范围的判定。具体而言，首先，可以通过特聘专家学者进行研究和论证，以及派遣工作人员前往实地考察之后再作出科学的检察建议，使诉前程序的启动更加合理化。其次，是对于信息线索交接方面的问题。以侦查机关的相关规定为例，在侦查过程中先由公安机关掌握相关线索后再集中移送至检察机关审查起诉，即检察机关在提出检察建议之前通常已经掌握了确实充分的证据。行政公益诉讼并没有关于行检之间线索移送对接的规定，所以行政机关可以先掌握好线索证据后再参照侦诉机关之间的线索移送规定进一步完善行检之间的线索移送机制。最后，为了全面保障公共权益，检察机关可以通过走访调查等方式检验当地行政部门的落实情况和实施效果，因为提出检察建议后并不意味着信息公益问题已经解决、诉前程序已经终结，检察机关还应当监督、督促行政机关根据检察建议依法解决问题期间内的具体落实情况，这也才能更好地保障公共权益。

（四）完善检察机关调查取证措施

行政机关在查处信息侵权过程中已经掌握了部分直接证据或间接证据，只是可能由于行政机关的不作为等情形没能有效制止侵权行为，因此考虑在行政公益诉讼中变通举证责任的承担方式：由检察机关承担证明信息侵权行为确实存在的证明责任，且损害事实已然达到侵害公益程度，相关行政部门承担不作为或不当履职的举证责任，并将其在行政程序中掌握的证据材料移送至检察机关，检察机关仍需证明行政机关负有依法履行相应职责却不依法履行或是没有履行。[2]在法律责任的承担方面，需要明确不配合检察机关调查取证工作的网络运营者或相关单位和人员应当承担的法律责任，比如可以要求网络运营者在检察机关进行诉前程序的调查取证时通过技术手段配合检察机关的调查工作，并给予检察机关进行调查取证的权限，否则检察机关可以向网络运营主管部门发出检察建议。由于网络信息侵权具有隐蔽性特征，检察机关往往难以发掘线索证据，可以聘请专业信息技术人员来辅助工作而提高检察机关对信息数据的技术性处理能力，并减轻检察机关调查取证的负担，只有这样才能完善检察机关对信息侵权的调查取证，形成个人信息保护工作的合力以实现对信息公共权益的有效保障。

三、结语

信息安全是涉及广泛社会影响力的公益问题，由于立法的不完善、执法标准不一以及民事私益诉讼难以实现对信息安全的全面保障等，需要构建信息行政公益诉讼制度以应对已经发生变化的社会发展需求，在依照法律适当拓宽受案范围、明确检察机关能够提起公益诉讼的条件，通过优化行政公益诉讼的诉前程序以及引入信息技术完善调查等举措，实现对个人信息安全的全面保护。