张 睿 舒瑶芝

（浙江工商大学 法学院，浙江 杭州 310018）

互联网、云计算、物联网、大数据和元宇宙等新技术正在深刻地改变着现代社会的运作形态和法律发展。在信息高速发展的新时代，人们不但享受着信息社会所带来的多重便利，也在承受着诸如大数据杀熟、信息泄露等一系列附随的不确定风险。基于此，《中华人民共和国个人信息保护法》 （以下简称《个人信息保护法》）在维续以往采用私益诉讼保护个人利益的基础上，在第七十条规定“个人信息处理者违反本法规定处理个人信息，侵害众多个人的权益的，人民检察院、法律规定的消费者组织和由国家网信部门确定的组织可以依法向人民法院提起诉讼”，准许检察机关、特定社会组织提起个人信息保护公益诉讼，大大丰富和拓展了公益诉讼的案件范围。个人信息保护公益诉讼，是指特定的主体根据法律的授权对个人信息处理者违法处理个人信息、损害社会公共利益的行为向法院提起的现代型诉讼。作为防止个人信息被泄露、被非法利用以及其他不当行为的制度装置，个人信息保护公益诉讼对于维护不特定多数人正当权益、保护社会公共利益起着至为关键的作用，故准确理解和合理适用个人信息保护公益诉讼条文就成为一项不可或缺的课题。为此，笔者通过梳理《个人信息保护法》第七十条的规范结构，从该条款的语义着手，对个人信息保护公益诉讼条款的违法行为、所涉法益与诉权主体三部分内容进行深入分析，以期为个人信息保护公益诉讼法律条款的实践运用提供参考。

一、个人信息处理者违法行为的类型化分析

根据《个人信息保护法》第七十条，提起公益诉讼的前提是“个人信息处理者违反本法规定处理个人信息”。该前提涉及两方面内容：第一，违法的主体是“个人信息处理者”，即有权利且有能力在个人信息处理活动中自主决定处理目的、方式的组织和个人。从《个人信息保护法》的章节编排来看，该法将国家机关处理个人信息活动进行专节规定，与其他个人信息处理者予以区分，针对国家机关的个人信息处理活动是否属于该法第七十条公益诉讼条款的规制对象的问题，笔者认为应当属于。根据《个人信息保护法》第三十三条规定，国家机关处理个人信息的活动，适用本法；本节有特别规定的，适用本节规定。从该条规定可以看出，国家机关属于《个人信息保护法》的规制对象，是特殊的个人信息处理者，处理个人信息须遵循特殊的规则。第二，公益诉讼调整的是个人信息处理者违反《个人信息保护法》关于处理个人信息行为的规定。《个人信息保护法》的规定涵盖了个人信息处理者在处理前需取得信息权益者同意、处理中需要遵守的规则、取得信息后对个人信息负有的安全保障义务的全过程，按时间顺序划分为事前、事中、事后三个环节。相应地，个人信息处理者的违法行为也划分为三个环节。

（一）事前环节：个人信息处理者无合法依据的处理行为

个人信息作为自然人的一种合法权益，交由个人信息处理者进行处理实质上是一种“权利让渡”，该“让渡”必须由个人授权或者法律明文规定，个人信息处理者方可享有处理个人信息的权限。

一方面，个人信息处理者经个人的同意可以处理个人信息。个人信息权益的内容之一是个人的信息自主权，因此除法律特别规定外，取得个人同意是个人信息处理者处理个人信息的基础。《中华人民共和国民法典》（以下简称《民法典》）确立了取得同意规则，在此基础上《个人信息保护法》进一步细化，构建了以“告知—同意”①为核心的个人信息处理规则。[1]另一方面，具有法定事由的，个人信息处理者无需取得个人同意即可处理个人信息。《个人信息保护法》第十三条第二项至第七项规定了无需经个人同意即可处理个人信息的情形，该内容是在《民法典》第一千零三十六条基础上进一步细化规定，不同的是《民法典》以责任豁免的方式规定处理个人信息的合法情形，而《个人信息保护法》则以规定合法处理事由的形式作出规定，并且增加了兜底条款，使得该条法律成为非限定性列举规定。

（二）事中环节

1.自动化决策的违法处理行为

自动化决策是指通过大数据、人工智能和算法等持续追踪并捕捉到海量个人信息，利用计算机程序进行自动分析、评估后得出一定的结论，并依此作出决策的行为。在信息化时代，自动化决策作为一种高效率的手段被广泛利用，但在实践中，因其具有极强的技术性、专业性使得一般人对其决策过程难以知悉，极易导致算法黑箱，平台方可以利用信息差以及优势地位，只提供能够更好满足其自身利益的信息，导致用户丧失对信息处理的知情权和决策权，个人合法权益受到侵害。因自动化决策导致个人权益受侵害的案例屡见不鲜，如外卖平台上会员的点餐配送费比非会员更高、出行平台上高等级用户的酒店价格比低等级用户更贵等。

针对这些情况，《个人信息保护法》全面规范了个人信息的自动化决策。具体内容包括：第一，个人信息处理者应当保证自动化决策的透明度和结果的公平、公正。第二，个人享有拒绝权，包括对信息推送、商业营销的拒绝权以及对于仅通过自动化决策的方式作出的关于个人信息处理决定的拒绝权。第三，当自动化决策对个人权益造成重大影响时，个人有权要求个人信息处理者作出说明。该条款有利于增加决策的透明度和结果的公平、公正，更好地保障个人的信息自主权。

2.敏感个人信息的非法处理行为

《个人信息保护法》将敏感个人信息定义为三种类型：一类是易损害人格尊严的个人信息；第二类是易对自然人的人身、财产安全造成危害的个人信息；第三类是不满14 周岁的未成年人的个人信息。敏感个人信息相较于一般个人信息，与个人权益更为紧密相关，因此在对其进行处理时须遵循更为严格的规则，具体表现为以下几个方面。

首先，个人信息处理者处理敏感个人信息须满足以下前提：一是须有特定的目的，且该目的应当具体、明确；二是须具有充分的必要性，即不处理敏感个人信息则无法实现前述特定目的；三是须采取严格的保护措施，在程度上应当甚于对一般个人信息的保护。其次，须遵循特殊的“告知—同意”规则。特殊体现在两个方面：一是告知内容特殊，在履行一般个人信息告知义务的基础上，敏感个人信息处理者还须告知处理的必要性以及对个人权益的影响；二是特殊的同意规则，区别于一般个人信息的概括同意，敏感个人信息须取得个人的单独同意，且当信息主体为未满14 周岁的未成年人时还须取得其父母或者其他监护人的同意。

3.个人信息违法跨境提供行为

随着经济全球化、数字化的不断推进以及我国对外开放进程的不断演进，个人信息的跨境流动日益频繁，但由于不同国家之间对于个人信息的保护程度以及价值观念、法治水平等方面的差异，需要更加重视个人信息跨境流动的风险防范。

具体的防范规则包括：第一，满足合目的性和必要性，且须达到包括通过安全评估、经专业机构的保护认证以及与境外接收方签订标准合同等法定条件。第二，个人信息处理者应当采取必要措施，保障境外接收方的处理活动达到《个人信息保护法》规定的个人信息保护标准，即比较法上的“同等保护水平”[1]。第三，个人信息处理者须履行特定内容的告知义务，并取得个人的单独同意。第四，关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的特定个人信息处理者原则上应将个人信息储存在境内，确需向境外提供的，应当经过安全评估。由于关键信息基础设施领域个人信息一经泄露可能严重危害国家安全、国计民生、公共利益，因此法律需要特别规制其向境外流出。

（三）事后环节：未履行法定个人信息处理者义务的行为

个人信息处理者除应在处理个人信息时遵守法定具体规则外，还须在取得个人信息后履行特定义务，全方位实现保障个人信息权益的目的。主要有四个方面的义务：

一是安全保障义务。《个人信息保护法》在总则中规定了个人信息处理者负有安全保障义务，第五十一条又对安全保障义务从六个方面进行了细化，要求个人信息处理者建立相关的制度措施以防止未经授权的访问以及个人信息泄露、篡改、丢失等情况的发生。二是建立个人信息保护人制度的义务。对于处理个人信息达到规定数量的个人信息处理者，应当制定个人信息保护负责人，对处理活动进行监督、合规审计。三是建立个人信息保护影响评估制度的义务。个人信息保护影响评估属于事前进行的预防性保护措施，对于《个人信息保护法》第五十五条规定的几种对个人权益有重大影响的个人信息处理活动，个人信息处理者应建立影响评估制度，评估人应当根据评估结果，考量所采取的保护措施是否合法、有效并与风险程度相适应，并作出及时调整。四是提供重要互联网平台服务的个人信息处理者还负有特殊的保护义务。该个人信息处理者因其用户数量巨大、业务类型复杂，用户对其有更高的依赖性，同时也相应地面临更高的法律风险，需要建立更严格的风险防范措施，因此其除遵守一般义务外还须履行特定义务。

在个人信息处理者对个人信息进行收集、存储、使用、加工、传输、提供、公开、删除等过程中，若在事前、事中或事后存在上述违法行为，侵害众多个人的权益，相关主体便可依据《中华人民共和国民事诉讼法》(以下简称《民事诉讼法》)第五十八条和《个人信息保护法》第七十条的规定提起公益诉讼。

二、“侵害众多个人的权益”与“损害社会公共利益”的关系

提起个人信息保护公益诉讼要求有“个人信息处理者违反本法规定处理个人信息”“侵害众多个人的权益”的行为，该侵害众多个人的权益的行为是否损害到社会公共利益，是区分适用私益诉讼还是公益诉讼的关键。

（一）公益诉讼的保护范围：社会公共利益

公益诉讼起源于罗马法，是相对于私益诉讼设立的制度。罗马法中私益诉讼保护的是个人所有的权利，只有特定的人才能提起，而公益诉讼保护的是社会公共利益，除法律有特别规定外，市民均可提起。正因如此，我国《民事诉讼法》第五十八条将公益诉讼规制的对象规定为“污染环境、侵害众多消费者合法权益等损害社会公共利益的行为”，公益诉讼的核心是所涉纠纷具有公益性，以抽象的公共利益关联为依据，超越纠纷具体而直接的利害关系。[2]

通说观点认为，公共利益是一个不确定概念。在德国公法学上，公共利益属于典型的不确定概念和规范性概念，即必须通过带有主观因素的评价才能阐明其意义的概念。[3]陈新民[4]234认为公共利益的不确定性主要体现在两个方面：第一，受益对象的不确定性，即对“公共”的范围界定具有不确定性。德国学者纽曼提出了“不确定多数人理论”，指出公共的概念是指利益效果所及的范围，是由受益人的数量所决定，公共利益存在的前提是具有大多数不确定数量的受益人。该理论强调数量上的特征，同时也符合民主少数服从多数的理念，成为“公共”的标准之通论。[4]234王利民[5]也认为公共利益本身在受益人的范围上具有不特定性，该不特定性是指公共利益的受益人不是具体的某个人或组织，而是不特定的大多数人。社会公共利益以其主体上的整体性，区别于只存在于局部的个人利益。[6]

第二，利益内容的不确定性。“利益与利益主体的价值观念密切相关，而价值是人类的精神行为，具有极强的主观性，利益‘是被主体所获得或肯定的积极的价值’，利益概念与价值概念都是人类评价、选择后得到的积极结果”[4]230。随着社会的发展和人们观念的变化，利益的形式不断扩张，利益和价值的认定也在不断发生变化[4]231；受社会的客观物质条件所决定，客观物质属性的多样性也决定了利益的多样性，利益并不是一成不变的，而是一个浮动的概念，具有不确定性和多面性。由于公共利益属于利益的一种，一般利益内容具有的不确定性同样也存在于公共利益，并且从我国《民事诉讼法》第五十八条的语义来看，“损害社会公共利益的行为”除了列举的两项外还有一个“等”字，体现了立法者对社会公共利益内容不确定性的认可，预设了公益诉讼适用范围的无限外延性。

（二）个人信息处理者的违法行为侵害不特定多数人的权益时会损害社会公共利益

《民法典》正式将个人信息纳入法律保护范围，并将个人信息保护与隐私权并列作为一章内容纳入人格权一编中，这意味着个人信息同隐私权等法定权益一样被作为私益诉讼的保护对象。但在网络时代，以电子信息为主要表现形式的个人信息因其具有即时转移性和不可控性，很容易使少数的个人受害对象扩大到不特定多数人的群体范围，从而危害社会公共利益，因此需要设立公益诉讼制度加以保护。《个人信息保护法》第七十条没有直接表明“社会公共利益”为该条的保护范围，而以违法行为“侵害众多个人的权益”作为该条的适用前提。“众多个人”是从数量上所做的分类，既可能指特定的多数人，也可能指不特定的多数人。笔者认为，只有当“众多个人”指不特定的多数人时，“侵害众多个人的权益”的违法行为才会损害社会公共利益，才符合公益诉讼的本质。

当违法处理个人信息的行为侵害到特定多数人的权益时，虽然受害人人数众多，但由于数量确定，受侵害的权益被固定在一个相对较小的范围内，没有超出私益范围或者没有达到损害社会公共利益的程度，且诉讼利益归属于具体的个人，因此不符合公益诉讼的本质。当受害人特定时，可以通过私益诉讼如共同诉讼等手段来解决，相较于私益诉讼，公益诉讼需动用特定主体介入，程序较为严格繁琐，容易浪费司法资源并且降低维权效率。

当“众多个人”指不特定的多数人时，符合公益诉讼保护的“公共”范围，应适用公益诉讼制度。网络时代个人信息的一大特点是从个体性转为社会性，[7]数据信息处理分析能力在转变商业运作模式的同时，也为信息处理者大开侵害个人信息权益的方便之门。最典型的例子是大数据的应用，它能在极短时间里筛选、分类、访问大量的数据信息，过程涉及到数据挖掘、提取、储存、预测分析与对分析结果的应用等。在大数据面前，个体特征消失，大数据不针对特定的人，只针对特定的数据，即此时个人信息侵权对象为不特定的人；同时，大数据建立在海量信息的基础上运作的这一特点，决定了这种情况下个人信息的侵权对象为不特定的多数人，符合公益诉讼受益对象不特定性这一特点。从立法方式上来看，《个人信息保护法》第七十条与《民事诉讼法》第五十八条一脉相承：根据《最高人民法院关于审理消费民事公益诉讼案件适用法律若干问题的解释》第二条，《中华人民共和国消费者权益保护法》（以下简称《消费者权益保护法》）第四十七条规定的“侵害众多消费者合法权益的行为”指的是“侵害众多不特定消费者合法权益或者具有危及消费者人身、财产安全危险等损害社会公共利益的行为”，《消费者权益保护法》第四十七条是对《民事诉讼法》第五十八条中消费公益诉讼的细化规定，因此《民事诉讼法》第五十八条规定的“侵害众多消费者合法权益等损害社会公共利益的行为”中的“众多”也是指“不特定的多数人”，这种情况下才符合公益诉讼制度所保护的“公共”范围，才能提起公益诉讼。

（三）损害社会公共利益的情形应包括具有侵害众多个人权益的危险之情形

如前文所述，公益诉讼的规制对象为损害社会公共利益的行为，在该前提下，笔者认为《个人信息保护法》第七十条所规定的“侵害众多个人的权益”的行为包括已经损害众多个人的权益的行为以及具有侵害众多个人的权益的危险行为。

首先，从立法目的来看，公益诉讼以保护社会公共利益为目的，基于预防原则，应当对潜在的侵害个人信息权益的危险进行规制，以提起公益诉讼的方式来阻止正在进行的可能导致侵害个人信息权益的行为，将大规模侵权结果扼杀在摇篮中。其次，目前对个人信息保护公益诉讼尚未出台相关司法解释，参照消费公益诉讼和环境公益诉讼的司法解释，均将公益诉讼的规制对象界定为已损害社会公共利益的行为以及具有损害社会公共利益风险的行为，将潜在的侵权行为也纳入规制范围，因此笔者认为，《个人信息保护法》第七十条的“侵害众多个人的权益”并不局限于已造成实际损害，还应包括具有侵害众多个人权益的危险之情形。

个人信息权益是《中华人民共和国宪法》（以下简称《宪法》）规定的人格尊严权利的衍生，《民法总则》将个人信息作为民事权利予以保护，《民法典》也将个人信息权益作为人格权加以保障，均表明了立法者捍卫个人信息的价值取向，也确认了《宪法》之人格尊严、民法之人格权利与个人信息保护权之间的逻辑联系。[8]因此，当个人信息处理者的违法处理行为侵害了不特定多数人的权益或者具有侵害不特定多数人的权益的危险，损害了社会公共利益或者具有损害社会公共利益风险时，应当被纳入公益诉讼的保护范围。

三、个人信息保护公益诉权主体构成

《个人信息保护法》第七十条将人民检察院、法律规定的消费者组织和由国家网信部门确定的组织作为公益诉讼的诉权主体，既有国家机关也有相关的社会组织，具有多元性；但同时排除了公民个人等主体的诉权，将诉权限制在一定范围内，具有有限性。《中华人民共和国个人信息保护法草案（一次审议稿）》第六十六条、《中华人民共和国个人信息保护法草案（二次审议稿）》第六十九条均将“人民检察院、履行个人信息保护职责的部门和国家网信部门确定的组织”规定为个人信息保护公益诉讼的诉权主体，但最终颁布的《个人信息保护法》却删去了“履行个人信息保护职责的部门”。

笔者认为，删除的原因有以下两点：第一，履行个人信息保护职责的部门具有包括行政处罚权在内的法定行政管理权，其可以通过行使行政管理权，而不必通过提起公益诉讼的方式来监管违法处理个人信息的行为，前者门槛更低且便捷高效，可以避免因权力叠加而导致的资源浪费；第二，《民法典》第一千零三十九条规定：“国家机关、承担行政职能的法定机构及其工作人员对于履行职责过程中知悉的自然人的隐私和个人信息，应当予以保密，不得泄露或者向他人非法提供。”《个人信息保护法》吸收了《民法典》的上述规定，对国家网信部门、县级以上地方人民政府有关部门这些履行个人信息保护职责的部门作了特别规定，说明国家法定机构是个人信息的重要处理者之一，[9]其日常行政管理工作内容可能涉及到个人信息处理活动。例如最高人民检察院发布的典型案例中的“江西省乐安县人民检察院督促规范政府信息公开行政公益诉讼案”，乐安县农业农村局在履行政府信息公开职能时，大量泄露不应公开的公民个人信息，侵害了社会公共利益。在这种情况下，若履行个人信息保护职责的部门既是个人信息处理者，又是个人信息保护公益诉讼的诉权主体，便容易发生角色冲突而无法实现公益诉讼制度保护社会公共利益的目的。因此履行个人信息保护职责的部门不是适格的个人信息保护公益诉讼诉权主体。

《个人信息保护法》在立法上肯定了有关机关和组织提起个人信息保护公益诉讼的原告资格，但对于有关机关和组织的确定、职权等尚无相关细化规定出台，因此笔者将对这三类主体是否适格、如何具体确定以及有何职权等方面进行阐述。

（一）人民检察院

实践中，实行个人信息侵权行为的主体主要是巨型企业或互联网平台，作为被侵权人的个人主体常常因力量不够强大而难以与其抗衡。[8]330由于侵权人和被侵权人双方地位的不可互换，以及专业知识、技术垄断等引起的信息不对称，动员资源能力的巨大差异等导致的力量对比不均衡，使得被侵权人面临如举证困难等诉讼障碍，从而无法在既成的诉讼制度和程序框架内获得有效的救济。[10]为了纾解众多被侵权人因难以获得有效救济而怠于维权或即使维权也无法维护其合法权益的困局，国家应当承载起维护个人信息安全的重任。检察机关作为《宪法》规定的法律监督机关，同时担负维护国家利益和社会公共利益的职责，是天然的也是法定的公益代表，将检察机关列为个人信息保护公益诉讼诉权主体是必然选择。当不特定多数人的个人信息遭到侵害，势必会影响到全社会的公共安全和社会秩序，对社会公共利益造成严重损害，这就需要检察机关承担起检察职责，能动地运用法律所赋予的个人信息保护公益诉讼诉权，严厉制裁违法的个人信息处理行为，妥适保障社会公共利益。[11]

关于检察机关在个人信息保护公益诉讼中的起诉顺位，《民事诉讼法》第五十八条规定，公益诉讼首先应当由法律规定的机关和有关组织向法院提起诉讼，在没有上述机关和组织或上述机关和组织未提起诉讼的前提下，检察院才能向法院提起诉讼。《最高人民法院、最高人民检察院关于检察公益诉讼案件适用法律若干问题的解释》（以下简称《检察公益诉讼解释》）第十三条规定，检察院在提起公益诉讼前应当依法公告，公告期满法律规定的组织和机关不提起诉讼的，检察院才可以提起诉讼。因此检察院作为公益诉讼的补充主体，只有在法律规定的机关和有关组织不提起诉讼时才可以作为公益诉讼提起主体，居于第二顺位。《个人信息保护法》第七十条未对公益诉讼的提起主体进行顺位规定，笔者认为，程序上应当按照《民事诉讼法》以及相关司法解释的规定，在没有法律规定的消费者组织和由国家网信部门确定的组织或上述组织不提起诉讼的前提下，检察院才能作为公益诉讼起诉人提起公益诉讼。个人信息侵权往往具有隐蔽性、专业性、规模性、时效性等特点，[9]法律规定的消费者组织和国家网信部门确定的组织等履行个人信息保护的专门组织具有更强的专业技术对口性，能在较短时间内发现侵权行为，掌握线索固定证据。因此从保护效果上看，相关专业的组织作为提起公益诉讼的前置主体能更好地感知侵权行为，更及时、有效地对个人信息进行保护。

根据《检察公益诉讼解释》第十三条规定，检察机关在提起个人信息保护公益诉讼前亦应履行诉前公告程序。通过诉前程序，严格筛选能够正式进入个人信息保护公益诉讼的案件，从而防止检察机关过度干预案件。[11]最高人民检察院2021 年4 月22 日发布的11 件检察机关个人信息保护公益诉讼典型案例，其中6 件为检察机关通过诉前程序向相关部门发出检察建议，督促其履行对个人信息的保护义务，通过诉前程序解决了公益诉讼的诉求，实现了保护个人信息的目的。一方面，根据案件情况妥善地适用检察建议、公告、督促起诉意见书等诉前程序有利于减轻司法负担，使部分案件在诉前阶段得到解决，从源头上减少诉讼，在节约司法资源的同时提高效率，避免因繁琐冗长的诉讼程序导致损害进一步扩大；另一方面，因为检察机关在公益诉讼提起主体中居于第二顺位，实践中存在检察机关为了行使公益诉讼的职权而利用诉前公告程序形式化地督促法律规定的机关和有关组织提起诉讼，公告期满有关机关和组织不提起诉讼，检察机关顺理成章地成为适格的起诉主体。在这种情况下，检察机关的诉前程序只是走过场，并没有起到真正的分流作用，反而容易造成对案件的过度干预。因此，检察机关应当合理有效地运用诉前程序，发挥诉前程序的真正作用。

（二）法律规定的消费者组织

将消费者组织列入个人信息保护公益诉讼的诉权主体，在立法过程中存在较多争议。《中华人民共和国个人信息保护法》两次草案审议稿均未将消费者组织列为诉权主体，但正式出台的《个人信息保护法》采纳了中国消费者协会和部分专家的建议，明确规定“法律规定的消费者组织”为个人信息保护公益诉讼的诉权主体。

消费者组织作为个人信息保护公益诉讼诉权主体有以下几方面的合理性：首先，根据《消费者权益保护法》规定，消费者组织的职权是对商品和服务进行社会监督以保护消费者的合法权益。在个人信息侵权案件中，个人信息处理者处理个人信息通常以提供商品或者服务为目的，受侵害者通常具有消费者这一身份，《消费者权益保护法》第五十六条也将侵害消费者个人信息的行为纳入处罚范围，立法和实践共同表明个人信息保护属于消费者组织的职权范围。其次，参照目前规定公益诉讼制度的几部单行法，②《个人信息保护法》将消费者组织作为诉权主体之一在立法上与其他单行法的公益诉讼条款保持了一致性，因此将消费者组织作为个人信息保护公益诉讼的“有关组织”在立法模式上也具有合理性。

（三）由国家网信部门确定的组织

将权利授予社会组织又将社会组织限制在国家网信部门确定的范围内，有以下几方面的原因：首先，社会组织保护个人信息权益具有天然的优势。相较于公权力监管，社会组织的管理不需要经过繁琐的程序，效率更高；相较于私人维权主体，其具有相关的专业背景和更强大的诉讼能力。因此以社会组织执行来配合公权监管、私人维权，符合功能适当原则。[12]其次，将社会组织限制在国家网信部门确定的范围内可以避免重复起诉、多头起诉等对公益诉讼程序滥用的现象。《个人信息保护法》第六十条确立了个人信息保护监管的职能划分，延续了《中华人民共和国网络安全法》第八条确立的“网信部门统筹协调”+“有关部门分散监管”的立法模式。[8]270在目前个人信息保护的实践工作中，网信部门承担着保护网络信息安全和内容安全方面的职责。笔者认为，《个人信息保护法》将能够提起个人信息保护公益诉讼的相关组织限制在国家网信部门确定的范围内，背后的价值取向为统一监管模式③，以此避免多头监管和不当干预的弊端，也避免了因滥诉导致的司法资源的浪费。

目前对于“由国家网信部门确定的组织”只是简略的规定，国家网信部门需要更细化的条例来规定组织的具体范围和认定标准。张新宝[12]认为，相关组织应当具有以下特点：一是该组织的设立应以公益为目的，具有非营利性；二是该组织需要具备与案件类型相关的专业背景与一定的诉讼能力，以应对违法个人信息处理技术性强、隐蔽性高、传播快、易转移等特点，能够及时、有效地固定并取得证据；三是该组织应具有合法性，包括但不限于成立时符合法定要求、设立过程中无违法行为以及经网信部门合法授权。目前规定有公益诉讼制度的单行法中，对有权提起公益诉讼的社会组织有较为明确具体规定的是《中华人民共和国环境保护法》，虽然因个人信息保护与环境保护内容不同使得公益诉讼中有关组织的性质、专业以及职能不同，但从上述个人信息公益诉讼相关组织的三个特点来看，两类组织具有共通性，因此在细化该组织的具体范围和认定标准时可以参照《中华人民共和国环境保护法》第五十八条规定。

注释：

①“告知—同意”规则规定于《个人信息保护法》第14-18 条。

②如《中华人民共和国环境保护法》第五十八条规定，对污染环境、破坏生态，损害社会公共利益的行为，符合条件的社会组织可以向人民法院提起诉讼。

③如1995 年《数据保护指令》要求欧盟成员国建立独立的数据监管机关并采取多种方式履行数据保护和促进数据流通职能，以及2008 年GDPR 设置的欧洲数据保护委员会，均属于统一监管模式。