陈奇伟，聂琳峰

(1.南昌大学 法学院，江西 南昌 330031;2.中国政法大学 民商经济法学院，北京 100088)

一、生成机理:“双轮治理”失灵与“公益诉讼”之需

个人信息是数字经济的核心生产要素。随着数字技术的推广，信息流转通道扩大，一方面，个人信息的“聚通用”释放了数据价值，发挥了资源禀赋效应;另一方面，个人信息的“开源性”也导致安全敞口扩大、信息违规收集、非法使用等事件频发，信息侵权开始由单一化异化为规模化，同时侵害了特定主体的私有权利和不特定对象的公共利益[1](P119)。基于违法行为的双重性，各国均采取“私益救济”+“公法保护”的“双轮治理”路径[2](P139)。前者是指为信息侵权行为的受害者提供民事救济;后者包括相关行政部门对违法行为的执法惩戒和司法部门对犯罪行为的刑事责罚。然而，囿于单一的制度设计，当面对日趋复杂的信息侵权行为时，“双轮治理”难免左支右绌。从逻辑上来看，“双轮治理”导致“双重失灵”，进而引发“公益诉讼”之需。

(一)失灵之一:“私益救济”乏力

《民法典》规定了“个人信息保护”，包括信息的处理原则、责任豁免情形，信息主体的查阅、复制等权限，信息处理者的安全保障义务、补救义务等。以此为基础，《个人信息保护法》又新增了个人信息处理的一般规则、敏感信息处理的特别规则等。另外，我国《民事诉讼法》《消费者权益保护法》等相关规范中也散见“私益救济”的条款。即使如此，现行的“私益救济”制度仍难以适配当前大量信息处理者越界获取并滥用个人信息引发的系统性风险[3](P195)。具体表现为:

1.“私益救济”客观不能

“私益救济”源于理性人假设。该假设以知情同意为原则，预设个体能理性、独立地管理个人信息，强调信息主体对个人信息的自我控制、自主决断和责任自担。以知情同意原则为圆心，目的明确原则、最小必要原则等应运而生。以上述原则为指引，个人信息查阅权、复制权等为核心的权利体系基本形成。然而，权利体系与权利保障程度并不能划上等号，原因如下。(1)信息主体理性不足。一是信息处理者为规避法律风险，经常设置晦涩难懂的隐私政策条款，信息主体若想理解条款内容需投入大量的时间成本、学习成本;二是信息风险具备潜在性、累积性和不可逆性，对单个主体而言多数信息风险的可识别性弱、损害程度低，信息主体容易产生认识偏差，常常高估自身风险预见、应对能力，低估风险发生概率、危害等。所以，信息主体经过简单利弊衡量，经常以个人信息为对价向信息主体换取服务，漠视隐私政策可能附随的潜在风险。(2)数字鸿沟难以弥合[2](P86)。信息处理者的技术优势显著，能通过数据挖掘技术窃取海量的个人信息，并凭借数据分析技术勾勒出信息主体人格画像，监测、预判个体行为，而信息主体对此要么毫不知情，要么无能为力[4](P86)。因此，寄希望于羸弱的信息个体理性运用个人信息权利体系去对抗强势的信息处理者几无可能，只会加剧“马太效应”。

2.“私益救济”效果欠佳

“私益救济”主要指民事私益诉讼，其制度初衷在于维护私权，难以涵摄公益。(1)规模化的信息侵权行为同时损害私权和公益，决定了信息侵权行为的治理需要综合施策。但多数“私益救济”的诉讼请求仅局限于向特定受害人赔礼道歉、赔偿实际损失和精神损失，极少涉及具有威慑功能的预防性诉讼请求和惩罚性赔偿请求[1](P140)。例如，以聚法案例数据库为检索渠道(案由为“个人信息保护纠纷”、文书为“判决书”、程序为“一审”，同时屏蔽“公益诉讼”)，共检索出案例11件，诉讼请求为向特定受害人赔礼道歉的11件、赔偿实际损失的9件、赔偿精神损失的9件、消除影响的4件、停止侵害的5件，而惩罚性赔偿仅1件，最终判决仅有2例支持了原告的部分诉讼请求(1)(2020)京0113民初16062号，本案判决由被告向原告赔礼道歉、赔偿原告维权实际支出及精神抚慰金，驳回原告其他诉讼请求;(2021)京0106民初12640号，本案判决由被告向原告赔礼道歉，驳回原告其他诉讼请求。，其余均以驳回原告全部诉讼请求告终。可见“私益救济”对私益保护尚且不足，更难涵摄公益。(2)个体损害不明显，救济程序启动难。一是信息侵权以非物质损害为主且单次损害较轻，维权收益与成本不匹配，同时基于“搭便车”心理，个体维权主动性差;二是信息侵权波及面广，受害人不特定，个体难以知晓侵权行为的发生，权利行使存在天然障碍[5](P95)。其实私益诉讼与公益诉讼的制度初衷本就不同，二者难以相互映射，即使法院支持了原告全部诉讼请求，也不等于维护了公共利益。

(二)失灵之二:“公法保护”不足

“公法保护”分为行政法保护和刑法保护，对于大规模或情节严重的信息侵权行为，“公法保护”能有效打击违法行为，保护信息权益[6](P141)。当然，两者优劣势同样明显。(1)行政执法优势在于能动性强。劣势之一是管理事务繁多，行政资源有限，执法重点往往聚焦于危害国家和社会的重大信息安全事件，对个人信息保护关注不足;劣势之二是服务型政府理念指导下的执法部门对个人信息保护较为克制，顾忌不当执法招致社会非议，故而“投鼠忌器”;劣势之三是我国大力鼓励科技创新，对企业相关信息行为采取宽松态度，监管力度难免有所松弛[7](P110)；劣势之四是个人信息领域多头执法现象严重，《个人信息保护法》第六十条规定由网信部门统筹个人信息保护工作，其他有关部门在各自职权范围内负责个人信息保护工作，权限分散导致部门间职权交叉、定位不清，存在“九龙治水”难题。(2)刑事惩处优势在于预防功能显著，威慑作用强大；既能惩罚犯罪人，安抚被害人，又能威慑其他潜在犯罪人，同时肯定一般守法者。劣势之一是刑法的谦抑性限制了刑罚的发动，只能规制“情节严重”的信息违法行为，而多数不法行为未能达到入罪条件;劣势之二是刑事诉讼的严格证明责任弱化了刑法的个人信息保护功能，入罪需证明主客观方面均达到刑事标准，并排除一切合理怀疑，而数字时代的信息犯罪行为具有隐蔽性、智能性等特征，导致举证能力与待证事实形成巨大落差，难以发挥“公力救济”功能;劣势之三是刑事责任的归属主体主要是国家，所判罚金需要上缴国家，难以从社会层面救济受害人[8](P56)。

(三)另辟蹊径:“公益诉讼”之需

由上述可见，“私益救济”难以顾及公益，“公法保护”常常力有未逮，两者之间场景割裂，缺乏联通，均无法摆脱制度预设的路径依赖，单纯依靠其一难以维护公益，类似于永不相交的两条平行线，中间空白就是制度空缺之处。而公益诉讼的功能在于填补制度空白，通过赋予检察机关和其他社会组织维护公共利益的权利来解决“双重失灵”问题，以维持个人信息公共秩序和敦促相关行政部门依法履职[9](P174)。

从应然角度来看，公益诉讼重在保护公共利益，若想对接个人信息与公益诉讼，还需证明个人信息内含社会属性[10](P358)，相关证成如下：(1)信息属性社会化。个人信息可分为原生信息与派生信息。前者是指指纹、虹膜等生物识别信息，人身依附性强，具有相对恒定性;后者是指社会交互中派生的社群信息，包括行踪轨迹、消费记录和通讯记录等，财产属性强、人身依附性稍弱，具有实时更新性。个人信息兼具个人属性和社会属性，只是数字经济下具备潜在经济价值的社会属性更为明显。(2)信息利用社会化。随着数字技术与实体经济的集成融合，在数字技术带来的收集便利性和信息产品迸发的经济价值利益的双驱动之下，信息逐渐蜕变为准公共基础设施，信息结构开始由离散型向关联集合型转变，个人信息利益呈现彼此关联、相互依存的关系，形成群体维度的信息形态，信息的正当使用能创造巨大的社会效益，不当使用会导致严重的社会危机。可见，信息边界弱化导致社会属性增强，公共风险外溢引致公益诉讼介入。

从实然角度来看，2012年修订的《民事诉讼法》首次确立了民事公益诉讼制度，第五十五条规定:“对污染环境、侵害众多消费者合法权益等损害社会公共利益的行为，法律规定的机关和有关组织可以向人民法院提起诉讼。”2013年修订的《消费者权益保护法》第47条规定，消费者协会是提起消费者权益保护公益诉讼的适格主体。2014年修订的《环境保护法》第五十八条则对环境公益诉讼的适格主体设置了资格条件。2017年《民事诉讼法》《行政诉讼法》同时大修，《民事诉讼法》赋权检察机关启动民事公益诉讼，《行政诉讼法》首次确立了行政公益诉讼制度。2021年，《个人信息保护法》出台，第七十条规定:“个人信息处理者违反本法规定处理个人信息，侵害众多个人的权益的，人民检察机关、法律规定的消费者组织和由国家网信部门确定的组织可以依法向人民法院提起诉讼。”为了补齐制度短板、维护社会公益，诸多领域纷纷引入公益诉讼制度，这彰显了公益诉讼范围的可延展性，因此将关涉公共利益的个人信息纳入公益诉讼范围并予以类型化具有必然性和可行性。

二、运行现状:样本分析与成因诠释

为更好地检视个人信息公益诉讼制度的运行现状和设计瑕疵，及时出清落后制度设计，发挥优势制度牵引功能，以促进个人信息保护与公益诉讼制度双向触达，降低制度性摩擦成本，本文以中国裁判文书网和威科先行法律信息库为检索渠道，以“个人信息”为标题，以“公益诉讼”为关键词，以“判决书”“裁定书”“调解书”为文书类型，时间截至2022年3月30日，共检索出案例285件，剔除无关案例和重复案例后，共有适格案例203件，以此作为本文分析样本。

(一)时空分布:稳步上升与区际差异

从时间分布来看(图1)，个人信息公益诉讼的裁判数量呈现显著的递增趋势，具体而言:2018年以前，我国从未出现过与个人信息相关的公益诉讼;2018年，个人信息公益诉讼初次问世，原因可能是2017年修订后的《民事诉讼法》《行政诉讼法》首次赋予了检察机关启动公益诉讼的权限，开启了司法保护公共利益的闸门，全国首例(2)(2018)苏01民初1号。个人信息公益诉讼由消费者组织提出，最后以被告积极整改、原告撤回起诉告终。第二例(3)(2018)冀0130刑初134号。中检察机关根据《消费者权益保护法》第十四条中“消费者……，享有个人信息依法得到保护的权利”，要求被告人公开赔礼道歉并缴纳惩罚性赔偿金。第三例(4)(2019)苏0381刑初538号。中检察机关则直接对“公共利益”进行目的解释，将众多主体的个人信息界定为公共利益，最后公益诉讼起诉人与被告人就民事公益责任部分达成调解协议，虽然当时个人信息并非法定的公益诉讼受案范围，但基于对公益诉讼本质的理解和适用，司法部门积极探索“等外”(5)详见《民事诉讼法》第58条第1款。受案范围，扩大了公共利益的保护范围;2019年、2020年，个人信息公益诉讼的案件数量节节攀升;2021年，案件数量稳中有增;由于裁判文书网的迟延性，2022年部分裁判文书还未公布，所以本年仅有6例相关案件。考虑到《个人信息保护法》已于2021年11月1日起正式施行，预测2022年相关案例数量仍会呈现上行趋势。个人信息公益诉讼的案件数量从无到有，从少到多，既体现出社会更加重视维护公共利益，也反映出我国相关法律制度更加健全。

图1 个人信息公益诉讼的时间分布

从空间分布来看，根据国家统计局公布的经济区域划分标准，按照数量排序，分别是东部多(110件，占54.19%)，中部(53件，占26.11%)居中，西部少(21件，占10.34%)，东北少(19件，占9.36%)。不难发现，案件空间分布特征与经济发展水平呈正相关性，部分体现出我国法治建设程度和公益保护水平存在一定的区域差异，需弥合区际间法治建设差距，增强区际间司法适用的统一性。

(二)类型分布:案件集中与线索单一

从诉讼类型来看(表1)，个人信息公益诉讼包括行政公益诉讼、普通民事公益诉讼和刑事附带民事公益诉讼，前者只能由检察机关提出，后两者同属民事公益诉讼，只是基于设计的差异性和数据的可比性将其分别列示，后两者均可由检察机关或法律规定的组织提起诉讼。

表1 个人信息公益诉讼的类型及占比

具体而言:(1)行政公益诉讼占比偏低，原因是行政机关的职能定位是管理社会事务，维护公共利益，同时行政机关执法效率高，当行政权能有效维护公共利益时，司法权无介入空间。从微观数据来看，在行政公益诉讼案件中，诉讼阶段均止步于诉前阶段(检察建议)，这也表明司法权尊重行政权优先原则，当行政机关怠于履行信息监管职责时，应当先督促其积极履行职责，督促无果时才启动诉讼程序;当然，节约司法资源也是考虑因素之一，因为检察建议与诉讼程序本意均是督促行政机关主动执法，相同目的下，前者较之后者明显更加灵活且高效。(2)民事公益诉讼占比很高，其中刑事附带民事公益诉讼占比高达89.16%。一方面，很多信息犯罪行为侵犯众多主体的个人信息利益的同时，也损害了社会公共利益，应当承担民事公益责任;另一方面，相比于消费者协会等社会组织，检察机关线索搜集能力更强，专业素养更高，能及时发现信息侵权行为，并行使诉权以维护公共利益。从微观数据来看，11例普通民事公益诉讼案件中，6例由检察机关提起诉讼，5例由消费者组织提起诉讼;181例刑事附带民事公益诉讼案件中，全部由检察机关提起诉讼;整体上由检察机关提起诉讼的比例高达97.4%。

另外，公益诉讼案件的线索来源也值得关注，行政公益诉讼和普通民事公益诉讼的线索来源较为丰富，包括检察机关自行发现(约占5成)、其他行政机关移交(约占3成)、其他社会组织或公民个人举报(约占2成);刑事附带民事公益诉讼的线索来源单一，几乎都来自公安机关，这与刑事案件的性质有关。

(三)责任形式:类型齐全与各具特色

从类型来看，裁判主要有刑事裁判、行政裁判和民事裁判。由于刑事附带民事公益诉讼中的刑事裁判内容单一，行政公益诉讼均止步于诉前阶段，未进入诉讼阶段，当然不涉及行政裁判问题，因此本文重点分析民事裁判。从民事裁判结果来看，主要分为以下几类:支持原告诉讼请求(160件，占83.33%)、调解结案(28件，占14.58%)、原告撤回起诉(2件，占1.04%)、中止审理(1件，占0.52%)、驳回原告诉讼请求(1件，占0.52%)。由于调解结案均以被告履行民事公益责任结尾，公益诉讼起诉方的实际胜诉率高达97.65%。从民事责任形式来看(表2)，民事公益责任的类型齐全，由于部分调解书未对外公布具体细节，责任承担的实际比例可能更高。

表2 个人信息公益诉讼的责任形式

具体而言:(1)赔礼道歉成为民事公益责任的标准配置(177件，占92.19%)[11](P115)，除了1例法院驳回检方诉讼请求外(6)(2020)黔0502刑初724号。，其余赔礼道歉的请求要么由侵权人主动履行,要么由法院依法裁判，实际支持率为99.43%;同时，根据侵权行为的影响范围，道歉渠道也有所差别，依次为国家级媒体(76件，占42.94%)，省级以上媒体(50件，占28.25%)，市级以上媒体(35件，占19.77%)，县级以上媒体(3件，占1.69%)，未明确途径(8件，占4.52%)和庭审直播(5件，占2.82%)，这符合责任相当原则。(2)赔偿损失成为民事公益责任的主要形式(117件，占60.94%)。有学者认为，公益诉讼中损害赔偿请求权应有所限制，当私有利益受损时，公民作为权利主体可以提起私益诉讼，公民是当然的受偿主体;当国家利益受损时，国家作为权利主体可以提起公权诉讼，国家是当然的受偿主体;当社会利益受损时，权利主体并不特定，所以受偿主体也不特定，即使认为国家可以请求损害赔偿，也仅由国家代为受偿。按照这种观点，个人信息兼具个体利益与社会利益，个人就个体利益受损部分可以向法院提起民事私益诉讼，请求侵权人向其赔偿损失;相关组织或检察机关就公共利益受损部分同样可以向法院提起民事公益诉讼，只是其介入诉讼并非基于权利主体地位，而是基于公益管理职能，由其代表国家代为受偿侵权人的公益赔偿责任[5](P362)。(3)停止侵害、消除危险的责任形式类似，例如永久删除所储存的个人信息，可以同时认定为停止侵害和消除危险，多数法院对此也不作严格区分，大多数侵权人在诉前就已履行此项责任，因此责任承担的实际比例也非常高。

三、适用困境:程序层面与实体层面

上述实证研究表明，个人信息公益诉讼在司法适用中存在一定程度的非统一性；虽然《个人信息保护法》等相关规范为司法裁判提供了规则指引，但是规则本身也面临着供给错配的难题。具体而言，个人信息公益诉讼面临程序层面的适用困境与实体层面的适用困境，前述困境亟待解决[12](P87-89)。

(一)程序层面的适用困境

程序公正是结果公正的重要保证，是形式正义的主要表现。样本案例中，程序层面的适用困境主要指权力制约不足、程序意识偏弱等问题。具体而言，不同的诉讼类型面临不同的程序适用困境。(1)行政公益诉讼的案件数量畸少。一方面，案件量少凸显了相关部门执法主动性强，依法行政水平高;另一方面，案件量少也可能意味着检察机关监督力度不足，权力制约较差，并且《行政诉讼法》仅赋予了检察机关行政公益诉讼权，却忽视了公民和其他组织的执法监督作用。从数据来看，以“个人信息”为标题在威科先行数据库搜索行政处罚书，共检索出1 450份，而同期相同类型的行政公益诉讼案件共11件，仅占行政处罚书的0.76%。另外，行政机关内部的权力分布也不均衡。从处罚机关来看，公安部门900件，占62.07%；市场监管部门510件，占35.17%；其他部门32件，占2.21%。(2)刑事附带民事公益诉讼占比很高，普通民事公益诉讼占比很低。刑事附带民事公益诉讼占比高反映了检察机关可能对普通信息侵权的关注不足，而其他社会组织由于法律地位模糊和诉讼能力受限等因素，启动诉讼意愿不强。另外，民事公益诉讼还面临着法定程序意识不足的问题。根据有关规定(7)详见《民事诉讼法》第58条第2款、《最高人民法院、最高人民检察院关于检察公益诉讼案件适用法律若干问题的解释》第13条第1款和《最高人民法院、最高人民检察院关于人民检察院提起刑事附带民事公益诉讼应否履行诉前公告程序问题的批复》。，只有相关组织不存在或不起诉时，检察机关才能行使补充起诉权。在本文192件民事诉讼样本中，刑事附带民事公益诉讼共181件，有101件检察机关发布了诉前公告;普通民事公益诉讼共11件，有9件由检察机关调查并发布了诉前公告，有1件直接由消费者组织起诉。综合来看，除消费者组织直接起诉的1例无须额外公告外，192件案例中仅有110件履行了法定程序(占57.29%)，所占比例明显偏低。

(二)实体层面的适用困境

在样本案例中，个人信息公益诉讼的实体层面适用困境主要表现为规则层面困境和责任层面困境。

1.规则层面困境

规则层面困境主要是指规则供给不足、供给错位等问题，规则供给会通过镜像效应作用于裁判文书，也会通过倍增效应放大制度效能。规则供给适当会形成良性循环，规则供给偏差会导致错误叠加。《个人信息保护法》第70条规定:“个人信息处理者违反本法规定处理个人信息，侵害众多个人的权益的，人民检察院、法律规定的消费者组织和由国家网信部门确定的组织可以依法向人民法院提起诉讼。”由此延伸出几点疑问:(1)“众多个人的权益”是不是等同于“公共利益”？有学者认为，为不特定公众共同享有的利益属于公共利益，可以启动公益诉讼;而众多个人的权益存在特定的利益主体，要么属于公权(国家利益)诉讼，要么属于私权诉讼，可以适用诉讼代表人制度，与公益诉讼无关[13](P20)。法院对众多个人的权益是否属于公共利益也存在分歧。在“成忠富等人侵犯公民个人信息罪”(8)(2020)黔0502刑初724号。一案中，被告人买卖个人信息共计13 895条。就刑事案件部分，法院认定被告人已构成侵犯个人信息罪;就附带民事案件部分，法院认为涉案行为侵犯的主体特定，不涉及公共利益，于是驳回检方对于公益诉讼的起诉。在“迭明侵犯公民个人信息罪”(9)(2020)苏0411刑初521号。一案中，被告人买卖个人信息共计7 000余条。法院认为涉案行为侵害众多主体的个人信息权益，有损公共利益，应当承担相应的民事公益责任，判决被告人销毁储存的个人信息、公开赔礼道歉并支付赔偿金。(2)按照《民事诉讼法》的规定，检察机关在公益诉讼中处于补充诉讼地位，只有法律规定的组织不存在或不起诉时，检察机关才能行使公益诉权，而《个人信息保护法》径直规定检察机关、消费者组织和由网信部门确定的组织可以向法院起诉，是否暗指检察机关处于优先诉讼地位，又或说三者诉讼顺位相同？(3)由国家网信部门确定的组织具体包括哪些组织，有没有资质限制？从数据来看，203件案例中，198件由检察机关启动，5件由消费者组织启动，由网信部门确定的组织从未介入公益诉讼，可能是《个人信息保护法》施行时间较短，相关组织并未筹备完成。

2.责任层面困境

在样本案例中，责任层面困境主要表现为民事责任的适用混乱。根据信托理论[5](P362)，公共利益受损时，国家仅是民事公益责任的代为受偿主体，这是民事责任混乱产生的根源。具体而言，不同的民事责任形式内含不同的结果适用困境。(1)赔礼道歉由国家代为受偿，但具体接受部门不明确。从接受主体来看，法院(43件，占24.29%)、检察院(6件，占比3.39%)、法院+检察院(2件，占1.13%)、庭审直播(5件，占2.82%)和接受主体不明(121件，占68.36%)，接受主体五花八门，超过2/3未确定由谁接受并审核道歉内容。(2)赔偿损失的问题类似，具体受偿部门也不确定。从公益赔偿金的去向来看(图2)，赔偿去向为未明确去向(67件，占57.26%)、上缴国库(18件，占15.38%)、检察院指定账户(21件，占17.95%)以及其他零散去向(11件，占9.4%)。不同的赔偿去向体现了各地司法机关对于公益诉讼赔偿金的性质存在认识偏差：一是上缴国库通常是罚金或罚款的去向，将民事公益诉讼赔偿金定性为公法责任似乎不妥，并且基于信托理论，国家并非公益诉讼赔偿金的当然继受主体，仅代为受偿，直接上缴国库有欠考虑，交由公安机关扣押处理;二是交由特定被害人(10)(2021)湘01刑终979号。则混淆了私益诉讼与公益诉讼的差异，两者保护的法益存在部分重合，但诉讼制度设计存在本质区别，无法相互替代，根据《最高人民法院关于适用〈民事诉讼法〉的解释》，特定被害人可以就赔偿金额另行起诉;三是放弃赔偿违反了信托理论，公益诉讼不同于普通民事诉讼，赋予特定机关公益诉权是为了维护公共利益，因此公益诉讼中的处分原则、辩论原则并不能完全适用，需受到一定限制，从实体法角度也能侧面印证，例如《最高人民法院关于审理消费民事公益诉讼案件适用法律若干问题的解释》第十二条规定，原告自认可能损害社会公共利益的，法院不予确认，《最高人民法院、最高人民检察院关于检察公益诉讼案件适用法律若干问题的解释》第19条规定，检察机关诉讼请求全部实现而撤回起诉的，法院应予准许。可见，公益诉讼的制度初衷在于维护公共利益，直接放弃赔偿不符合保护公共利益的制度内核。

图2 公益赔偿金的去向

四、路径优化:功能定位、主体定位与责任定位

为防止个人信息公益诉讼制度出现路径分化与功能异化，应当加强公共利益载体建设，夯实公共利益保护底座，具体包括:确立公益诉讼功能定位、丰富公益诉讼主体设计、具化公益诉讼责任内容。

(一)功能定位:有益补充与不同面向

在现代法律语境下，公益诉讼是指以保护公共利益为宗旨的非传统诉讼，旨在弥补“双轮治理”引发的“双重失灵”[14](P56)。需要注意的是，外观上，公益诉讼并非公益保护的唯一方式，公益诉讼是私益救济和公法保护的有益补充，相关制度安排需结合公益保护制度的整体框架;内在上，不同的公益诉讼类型决定了不同的公共利益保护面向，需要分类探讨[15](P61)。

第一，公益诉讼是私益救济与公法保护的有益补充。(1)公益诉讼与私益救济两者之间为交叉关系：在私益领域，侵权行为仅涉及特定少数个体的权利，受损害个体的维权动力强，此时公益诉讼主体可采取支持起诉等方式帮助维权;在公益领域，侵权行为涉及众多主体的权利，公共利益面临危险之虞，此时需由相关组织或检察机关发挥民事公益诉讼功能。至于众多个体的权益是否构成公共利益，本文认为，在数字技术背景下，信息处理者拥有跨越时间、地域的信息挖掘、分析能力，并足以覆盖不特定对象；即使并未实际控制全部信息，技术运用本身也已经对不特定对象形成威胁，因此特定的受损害主体并不排除不特定的受威胁主体，众多个体的信息权利影射不特定对象的信息权益，即公共利益[16](P46)。从实证法来看，《民事诉讼法》第五十八条将侵害“众多”消费者权益的行为视为损害公共利益，这与《个人信息保护法》第七十条侵害“众多”个人权益的规定不谋而合。(2)公益诉讼与公法保护两者之间为递补关系。基于权利保护的必要性和有效性，原则上行政权应当处于维护公共利益的最前沿，仅当监管机关不存在或不作为时，公益诉讼才存在制度空间，权力谱系为“行政权负责治理、司法权负责监督”，否则会违背权力分工的内在规律和制度设计的内置逻辑，导致消极行政与越位司法的恶性循环[17](P61)。

第二，民事公益诉讼与行政公益诉讼维护公共利益的不同面向。(1)民事公益诉讼与行政公益诉讼的顺位关系如何？本文认为，行政公益诉讼应当优先于民事公益诉讼，行政公益诉讼旨在督促行政机关履行职责，尊重了行政权力优于司法权力的制度逻辑和行政效率优于司法效率的现实逻辑，结合上文，维护公共利益的总顺位应当是:行政机关执法→行政公益诉讼→民事公益诉讼，由左往右行政权力逐渐弱化、司法色彩逐渐强化[18](P80)。(2)民事公益诉讼与行政公益诉讼中的公共利益是否一致？本文认为，民事公共利益表现为众多个体权益应当没有疑问，行政公共利益则不同，否则无单独规定之必要。行政公益诉讼旨在督促行政机关履行职责，只要行政机关积极履行监管职能，诉讼目的就已实现，所以行政公共利益是指行政机关依法履行职责的法秩序，至于民事公共利益是否得到维护，交由民事公益诉讼[19](P79-81)。

(二)主体定位:多元化结构与精细化设计

不同的诉讼类型对主体设置存在差异化需求，实现参与主体的多元化结构和精细化设计有助于落实公益诉讼的制度效能[20](P254)。(1)行政公益诉讼需向外借智。作为行政公益诉讼的唯一法定主体，检察机关凭借调查取证权、刑事追责权能强化公益诉讼实施效果。不过鉴于个人信息领域的广泛性、专业性特点，检察机关能否及时发现线索、精准识别监管不当、准确提出诉讼请求有待验证[1](P145)。为强化行政公益诉讼实施效果，一是适当放宽起诉主体资格[21](P133)，允许符合条件的社会组织和公民启动行政公益诉讼程序，这是建设法治国家、法治政府、法治社会的重要一环，能提高依法行政水平和社会监督意识;二是拓展诉讼参与渠道，建立个人信息执法的监督举报平台，在个人信息执法不当和公益损害等专业问题上，检察机关可以充分咨询科研院校、第三方机构等相关组织，例如在“江西省南昌市检察院督促整治手机APP侵害公民个人信息行政公益诉讼案”(11)最高人民检察院发布的检察机关个人信息保护公益诉讼典型案例之一，详见https://www.spp.gov.cn/。中，南昌市检察院从媒体处掌握线索，委托第三方检测机构识别信息违法行为，与行政机关积极磋商，并组织听证会，邀请高校教师、律师作为听证员，邀请省通信管理局、市公安局和市委网信办参加听证会，充分发挥了群策群力的作用。(2)民事公益诉讼需明确起诉顺位和公益组织资格。根据《民事诉讼法》第五十八条规定，社会组织和检察机关均有公益诉权，前者处于优先地位，后者仅在公告期满后没有前者起诉时才可提起诉讼;而根据《个人信息保护法》第七十条规定，检察院、消费者组织和由网信部门确定的组织好像并无先后之分。从信托理论角度来看，检察机关和社会组织对涉案公益均不拥有实体处分权，都属于“代位诉讼”，在公益代表性上无显著差别，诉讼能力上前者更胜一筹，行业专长上后者毫不逊色，因此检察院、消费者组织和由网信部门确定的组织之间无须礼让，先诉者优先即可。由网信部门确定的组织则可以参照《环境保护法》，同时符合下列条件的组织可以行使公益诉权:依法在设区的市级以上人民政府民政部门登记;专门从事个人信息保护公益活动连续5年以上且无违法记录。另外，原本检察机关诉前公告旨在督促社会组织行使优先诉权，如果没有顺位要求，公告是否还有必要？本文认为仍有必要，公益诉讼旨在保护公共利益，诉前公告方使社会公众知悉和其他组织共同参与诉讼，有助于发挥社会监督功能[22](P108)。

(三)责任定位:填补作用与威慑作用

个人信息公益诉讼的刑事责任和行政责任囿于其单一性和安定性，责任形式与一般分析框架尚未脱节;而民事责任基于诉权主体和受损法益客体的特殊性，责任形式与一般分析框架存在部分出入，需要予以研究与澄清[23](P80)。一般分析框架下，民事责任发挥着对受害者的填补作用和对违法者的威慑作用，不同法律关系中两者地位并不相同。当“众多”个人信息权益被侵犯时，民事责任依然具有填补作用和威慑作用，只是填补作用主要交由民事私益诉讼负责，特定主体可以请求侵权人承担填平式民事责任;由于侵权行为的广泛性，单纯的填平式赔偿数额相较于违法者所获整体利益而言微不足道，填补作用难以震慑违法者，反而变相肯定了违法行为，为实现维护公益之目的，法律赋予相关组织公益诉权，积极保护被破坏的公共利益，此时公益诉讼主要发挥威慑作用，填补作用退居其次[24](P98)。鉴于民事公益责任的作用分工，对应的赔礼道歉和赔偿损失略有不同。(1)民事公益责任中的赔礼道歉范围应当足以覆盖不特定对象，接受并审核道歉内容的主体应当代表不特定对象，而公益诉讼起诉人属于法定公益代表人，由其接受并审核道歉内容更为合适。若道歉不符合公益诉讼起诉人要求，可以申请法院强制执行，费用由被告承担。另外，庭审直播道歉也不失为两全之策：一是庭审直播面向全国，足以覆盖不特定对象;二是可以由多方现场审核道歉的有效性。(2)民事公益责任中的损害赔偿旨在惩罚并教化侵权人，因此赔偿数额无须受限于填平规则。有学者认为，惩罚性赔偿具有内部化侵权人负外部成本的价值，足以震慑不法行为人；虽然现行法并没有规定个人信息民事公益责任包括惩罚性赔偿，但司法适用中有所涉及(12)个人信息公益诉讼涉及惩罚性赔偿的案例共5件:(2018)冀0130刑初134号;(2020)黔04刑终155号;(2020)鲁1702刑初590号;(2021)渝01民初308号;河北省保定市检察院诉李某侵害消费者个人信息和权益民事公益诉讼案，详见https://www.spp.gov.cn/。，其中1例判决“以行为赔偿损失”，要求被告积极履行固定次数的公益宣传活动，按照不履行次数赔偿损失。如此，侵权人的违法成本将陡然增加，从而达到救济众多不特定个人信息主体的目的，有效维护公共利益。至于公益赔偿金的去向，本文认为建立个人信息公益保护专项账户可能较为合适，账户资金定向用于信息安全建设或个人信息保护等公益事项(13)(2020)浙0192民初10605号。。