摘    要  

2021年8月20日我国颁布的《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）第70条规定：“个人信息处理者违反本法规定处理个人信息，侵害众多个人的权益的，人民检察院、法律规定的消费者组织和由国家网信部门确定的组织可以依法向人民法院提起诉讼。”本条规定确立了个人信息保护公益诉讼制度，为规范非法处理个人信息侵害众多个人权益的行为提供公益诉讼法律依据。但是法律条文本身仅作出了原则性规定，与既有的消费者保护公益诉讼、环境生态保护公益诉讼制度的规定相比较为简略，对于个人信息保护公益诉讼主体的范围、适用的条件及相关法律责任等问题还需要进行研究和阐释，以利于正确理解和适用。由于个人信息保护公益诉讼制度并未在《民事诉讼法》第55条的不完全列举规定中，是否属于该条“等”的范围，还需要做进一步的解释。最高人民检察院发布《关于贯彻执行个人信息保护法推进个人信息保护公益诉讼检察工作的通知》指出：“加强个人信息公益保护，是贯彻落实习近平法治思想，推进国家治理，强化法律监督的必然要求，要深刻领会个人信息保护法设置公益诉讼条款的重要意义，进一步增强检察履职的责任感和紧迫感，切实加大办案力度，推动公益诉讼条款落地落实。”因此，本文主要立足于法律条文与相关司法解释的规定，对该制度进行解释论证，为个人信息保护公益诉讼条款落地落实提供必要理论支撑。

（一）个人信息私益救济的局限性

中国互联网协会公布的《中国网民权益保护调查报告（2021）》显示：“近一年来，因个人信息泄露、垃圾信息、诈骗信息等原因，导致网民总体损失约805亿元。82.3%的网民亲身感受到了由于个人信息泄露对日常生活造成的影响。”进入信息化社会，公民个人信息安全面临前所未有的挑战，一方面，人工智能、算法技术的开发和广泛应用使得侵害个人信息的行为更具隐蔽性，个人难以察觉权利受损；另一方面，诉讼成本高昂、举证困难使个人维权受阻。面对大规模侵害个人信息侵权行为，传统私益诉讼难以全面保护个人信息权益。

（二）个人信息公法保护的局限性

个人信息公法保护主要包括行政法保护与刑法保护。侵权规模大、损害后果严重的情形，行政和刑事法律责任是保护个人之个人信息权益的强有力手段。但是，行政法与刑法的谦抑性理念要求侵害行为必须是造成严重后果，通常情况下，大规模侵害个人信息的损害后果并不严重，难以达到启动公法保护程序的要求。在大规模侵害个人信息案件中，尽管受害人数众多，单个受害人受到的损害却很小，难以达到法律要求的造成严重后果，因此公力救济功能的发挥就很有限。即便侵害个人信息的行为造成比较恶劣的后果，构成行政处罚或刑事责任，也达不到从社会层面救济受害人的效果，因为承担行政或者刑事责任的罚金通常是上缴国家。如此，这些逐案裁判的传统方法以及可资适用的实体法原则，主要立足于“矫正正义”的个人主义哲学，无力应对这类大规模信息侵权的挑战。

（三）我国建立个人信息保护公益诉讼制度符合国际立法趋势

比较法上，鉴于侵害个人信息具有大规模、损害轻微的特点，欧盟、美国、韩国等国家和我国台湾地区在私益诉讼之外，分别形成了各具特色的民事公益诉讼模式，用以解决互联网环境下个人信息被大规模非法盗取利用等问题。以素来有着“最严格的个人信息保护规则”之称的欧盟《一般个人信息保护条例》（GDPR）为例，该条例第80条第2款规定：依法设立的、以公共利益为法定目标并且活跃于保护数据主体权利与自由领域的非营利性机构、组织或协会，如果认为数据主体基于本条例而享有的权利因为个人数据处理行为而遭受侵害的，其有权不经数据主体授权依照第77条（向监管机构投诉的权利）规定向该成员国有权监管机构提出投诉，并行使第78（针对监管机构的有效司法救济权）、79条（针对数据控制者或处理者的有效司法救济权）所赋予的权利。可见，个人信息保护公益诉讼制是一个具有广泛国际共识性的制度。鉴于此，我国学者此前纷纷呼吁在大规模的个人信息侵害事件中，可以尝试构建个人信息保护公益诉讼制度来解决实践中的难题。

《个人信息保护法》第70条规定个人信息保护公益诉讼制度回应了社会需求，与世界法治潮流相符合、吸收了法学研究的最新成果，着力于强化个人信息保护。

（四）个人信息保护公益诉讼制度与其他公益诉讼制度的共通性

我国《民事诉讼法》第55条第1款规定：“对污染环境、侵害众多消费者合法权益等损害社会公共利益的行为，法律规定的机关和有关组织可以向人民法院提起诉讼。”从规定内容上看，我国《民事诉讼法》通过不完全列举的方式将污染环境、侵害众多消费者合法权益，这两类具有损害社会公共利益的典型侵权行为列入公益诉讼的起诉范围。在两种典型的公益诉讼类型后，则以“等”字为公益诉讼范围的扩大预留制度空间。通过对我国环境公益诉讼与消费者公益诉讼制度特点进行对比可以发现，环境公益诉讼中的受害人主要是不特定的多数人，而消费者公益诉讼的受害人主要是特定的多数人。具体来说，在侵害众多消费者的案件中，受害人大多是某类商品或者服务的购买者或者使用者，受害人的具体范围是可以确定的，具有特定性。我国《民事诉讼法》第55条第1款将特定的多数消费者受到侵害也视为公共利益受到侵害，因此众多人受到侵害可以视为公共利益受到侵害，而无所谓受害人是否不特定。后来建立的英雄烈士人格权保护与未成年人权益保护公益诉讼制度也证实了这一点，即后两类公益诉讼案件中的受害人也是具有特定性的人群。在大规模侵害个人信息案件中，受侵害的是众多特定的人，这就能很好地理解个人信息保护公益诉讼属于《民事诉讼法》第55条第1款规定中“等”的内容，即个人信息保护公益诉讼在《民事诉讼法》第55条管辖事项内，与其他公益诉讼制度具有共通性。此外，个人信息保护公益诉讼在保护的具体对象上还与其他公益诉讼存在共通性（如图一所示），即个人信息保护公益诉讼制度、消费者保护公益诉讼制度以及未成年人权益保护公益诉讼制度存在一些交叉地带，交叉的内容是与个人信息保护相关的内容。既然保护对象存在共通性，那么规则的构建也会具有一定的共通性。也就是说，在解释个人信息保护公益诉讼制度规则时，也可以利用制度的共通性更好地解释个人信息保护公益诉讼制度。

（一）违法处理个人信息

《个人信息保护法》第70条规定，个人信息处理者“违反本法规定处理个人信息”是相关主体提起个人信息保护公益诉讼的条件之一。“本法”指《个人信息保护法》。需要指出的是，其他一些法律对违法处理个人信息的行为也有规定，如《网络安全法》《电子商务法》《消费者权益保护法》《未成年人权益保护法》等，但是这些违法处理个人信息的行为均被《个人信息保护法》的相关规定所吸收。因此，法律规定“违反本法规定处理个人信息”对违法行为之概括是周延的，无需检索是否违反其他法律规定处理个人信息的情形。

《个人信息保护法》对个人信息处理者违法处理个人信息的行为作了全面的列举，覆盖了处理个人信息的各个环节。归纳而言，处理个人信息主要包括事前、事中、事后三个环节。在事前环节，个人信息处理者违法处理个人信息的行为主要包括：在处理个人信息前，个人信息处理者未获得个人或者其监护人的明确同意（第13条、第14条、第27条）；特殊情况下，个人信息处理者处理敏感个人信息未取得个人或者其监护人的单独同意或者书面同意（第29条、第31条第1款）；个人明确拒绝信息处理者处理个人信息时，个人信息处理者拒绝提供产品或者服务，且处理个人信息并不属于提供该产品或者服务所必需（第16条）；个人信息处理者未以显著方式、清晰易懂的语言向个人如实告知个人信息的处理目的、方式、种类、保存期限等相关事项（第17条第1款、第30条）；应向个人公开处理个人信息的规则而未公开的（第17条第2款、第31条第2款）；当涉及处理敏感个人信息、利用个人信息进行自动化决策等对个人有重大影响的个人信息处理活动时，个人信息处理者未在事前进行风险评估（第55条）；提供基础性互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者，未制定平台内规则（第58条第2款）。

在事中环节，个人信息处理者违法处理个人信息的行为主要包括：个人信息处理者利用个人信息进行自动化决策时，对个人实行不合理的价格差别对待，也就是“大数据杀熟”（第24条第1款）；通过自动化决策方式进行商业营销、信息推送，未能提供不针对个人特征的选项或者未能向个人提供拒绝的方式（第24条第2款）；当个人提出要求时，个人信息处理者未能对使用自动化决策对个人造成的影响后果予以说明（第24条第3款）；个人信息处理者处理个人信息时未能确保个人信息的准确性与完整性，当个人请求更正、补充其个人信息的，个人信息处理者未能对其个人信息予以核实并及时更正、补充（第8条、第46条）；个人信息处理者向他人分享个人信息的，未取得个人的单独同意（第23条、第25条）；提供基础性互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者，未建立主要由外部成员组成的独立机构，对个人信息处理活动进行监督（第58条第1款）；未及时停止为严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者提供服务（第58条第3款）；未定期发布个人信息保护社会责任报告，未接受社会监督（第58条第4款）；未采取必要措施保障所处理的个人信息的安全，未能防止未经授权的访问以及个人信息泄露或者被窃取、篡改、删除（第9条、第51条、第57条）。

在事后环节，个人信息处理者违法处理个人信息的行为主要包括：个人信息处理者保存个人信息的期限超出处理目的所必要的最短时间（第19条、第21条）；处理个人信息达到国家网信部门规定数量后，个人信息处理者未指定负责人对处理活动以及采取的保护措施等进行监督（第52条第1款）；未公开前款规定的负责人的联系方式，也未将负责人的具体信息报送至履行个人信息保护职责的部门备案（第52条第2款）；个人信息处理者未定期对其个人信息处理活动情况进行合规审计（第54条）；当处理目的已实现或者为实现处理目的不再必要、个人信息处理者停止提供产品或者服务，或者保存期限已届满等条件成就时，个人信息处理者未主动删除个人信息（第47条）；个人信息处理者未建立个人行使权利的申请受理和处理机制。拒绝个人行使权利的请求的，未说明理由（第50条）。

也就是说，个人信息处理者一旦在收集、存储、使用、加工、传输、提供、公开等任一环节存在上述违法处理个人信息，侵害众多个人的权益的行为，相关主体有权依据《民事诉讼法》第55条、《个人信息保护法》第70条的规定提起个人信息保护公益诉讼。

（二）侵害众多个人的信息权益

侵害众多个人的信息权益是个人信息保护公益诉讼制度设计的重要出发点。关于“众多”的含义，《最高人民法院关于适用〈中华人民共和国民事诉讼法〉的解释》（以下简称《民事诉讼法司法解释》）对《民事诉讼法》中很多条款里的“众多”都进行了细化，例如对《民事诉讼法》第53条、第54条和第199条规定中的“众多”都进行了细化规定，，但唯独未对《民事诉讼法》第55条规定中的“众多”作出解释。从《民事诉讼法》第55条的立法本质来看，该条实际上是对社会公共利益的保护。由于公共利益高度抽象性与多样性的特点，无法穷尽，更无法一一列举，所以《民事诉讼法司法解释》并未对公共利益进行解释，而是保留《民事诉讼法》第55条开放列举的方式定义公共利益的内涵，实践中多由法院运用法律解释方法于个案中加以具体化。但是这又容易引发新的问题，即在缺乏法律明确规定的情况下，单纯依靠法官运用法律解释方法对案件予以释明，会过度扩大法官的自由裁量范围，不利于案件的公正审判。鉴于《个人信息保护法》第70条、《民事诉讼法》第55条并未对“众多”作出具体的规定，那么“众多”具体需要达到多少受害人，才能达到提起个人信息保护公益诉讼的要求，之后将由最高人民法院出具相关司法解释或者由国家网信部门出台相关文件予以确定。

有权作出解释的机关在确定众多受害人时，可以考虑以下因素：

其一，可以参考消费者权益保护公益诉讼的启动标准。《消费者权益保护法》第47条规定：“对侵害众多消费者合法权益的行为，中国消费者协会以及在省、自治区、直辖市设立的消费者协会，可以向人民法院提起诉讼。”对于侵害众多消费者合法权益的行为的理解，当前理论界存在两种主要的观点。一种观点认为，只要被侵害合法权益的消费者人数“众多”，消费者团体即具备提起公益诉讼条件；持此观点的学者还提出了具体量化的标准，他们认为如果被侵害合法权益的消费者达到200人以上，就构成了侵害众多消费者合法权益，可以作为公益诉讼受理。另一种观点则认为，判断消费者团体是否具备提起公益诉讼的条件，不仅应以被侵害合法权益的消费者是否“众多”作为形式标准，而且应以“损害社会公共利益”作为实质标准。持此观点的学者主要从立法目的的角度来解释“众多”的含义，他们认为公益诉讼的立法目的是为了防止社会公共利益受到损害，人数“众多”不过是社会公共利益认定的形式标准。也就是说，在把握消费者团体提起公益诉讼的条件时，应从是否体现社会公共利益的角度来理解“众多消费者”，不能简单以人数作为标准。两种观点争议的焦点在于是否应该对“众多”进行量化，后一种观点由于更契合公益利益抽象化的特点，因此成为了主流学说观点，该观点也对司法实践产生了直接影响。从司法实践看，在大多数案件中，法官在认定被告是否侵害了众多消费者合法权益时，并未对受害人的人数进行量化。因为在消费者保护公益诉讼案件中，对消费者人群进行量化是极其困难并且不切实际的。大多数公益诉讼案件中的保护对象不仅包括受到实际侵害特定的消费者或者商品使用者，还包括了潜在的不特定的受害人群。这些潜在的受害人群分布的广泛性及不特定性使得对其量化几乎成为不可能。因此，法官在认定被告的行为是否构成对众多消费者合法权益的侵害时，通常会结合消费者的分布情况、实际受害人数、潜在不特定的受害人群等因素综合考虑，采用抽象的认定方式认定被告是否侵害众多不特定的人群的合法权益。例如，在“张琴、安徽省消费者权益保护委员会侵权责任纠纷案”中，安徽省滁州市中级人民法院认为刑事判决认定被告销售对象有9人，但9名假酒购买者将购买的假酒用于宴请他人，消费者既包括假酒购买者，也包括假酒饮用者，人数具有众多不特定性，因此认定被告的行为已经侵害了众多消费者合法权益。又如，在“四川省保护消费者权益委员会、闫攀、唐斌等侵权责任纠纷案”中，四川省成都市中级人民法院认为被告伪造知名品牌鞋类、服装在二十多家商超以特卖方式进行销售，虽有销售记录，但难以确定具体销售对象名称，客观上已难以对全部受侵害主体进行特定化，故本案中消费者的损害具有分散性、不特定性。可见，在消费者保护公益诉讼领域，判断是否侵害众多消费者合法权益，并不是简单从文意上作人数“众多”的理解，而是综合考虑各方面客观因素，从是否体现社会公共利益的角度来认定消费者公益诉讼的起诉条件。

其二，可以参考比较法上的经验。比较法上，大多设立个人信息保护公益诉讼的国家和地区都将侵害受害人数众多作为提起公益诉讼的重要要件之一。如美国《联邦民事诉讼规则》第23条a项规定了提起集团诉讼的四项前提之一项便是“集团人数众多，以至于所有集团成员共同进行诉讼成为不可能。”又如我国台湾地区“个人资料保护法”第34条规定“对于同一原因事实造成多数当事人权利受侵害之事件，财团法人或公益社团法人经受有损害之当事人二十人以上以书面授与诉讼实施权者，得以自己之名义，提起损害赔偿诉讼。”可见，侵害众多受害人信息权益成为个人信息保护公益诉讼的提起要件在国内外已经形成共识。在如何定义众多受害人上，大多数国家采用的是抽象方式，即认为众多是指不特定的受害公众群体。但也有少数国家认为对于“众多”的含义，应该明确规定具体的受害人人数，一方面是为司法裁判确定明确依据，另一方面是禁止滥诉浪费司法资源。但是，此种方式容易忽略个人信息保护公益诉讼案件的特殊性，在实施过程中遇到了重重困难。实践中侵害个人信息往往涉及信息类型与数量繁多，单个人可能被侵害的信息数量和种类又不尽一致，因此不宜仅从人数上界定量化标准。这也是大多数设立个人信息保护公益诉讼的国家更倾向于从抽象的角度定义众多受害人的原因。

总之，有权作出解释的机关在确定个人信息保护公益诉讼中“众多”含义时，不妨参考消费者权益保护公益诉讼的启动标准及比较法上的经验来对其含义予以具体化，以此为司法实践提供明确的裁判依据。值得注意的是，2021年8月最高人民检察院下发《关于贯彻执行个人信息保护法推进个人信息保护公益诉讼检察工作的通知》指出：“各级检察机关在履行公益诉讼检察职责时应当突出重点、从严把握以下方面：生物识别、宗教信仰、特殊身份、医疗健康、金融账号、行踪轨迹等敏感个人信息应当严格保护；儿童、妇女、残疾人、老年人、军人等特殊群体的个人信息需要特别保护；教育、医疗、就业、养老、消费等重点领域处理的个人信息，以及处理100万人以上的大规模个人信息应当重点保护；对因时间、空间等联结形成的特定对象的个人信息加强精准保护。”该通知为实践中检察机关办理公益诉讼案件提供必要的指引。同时，该通知也为实践中司法机关正确把握“侵害众多个人的信息权益”释放出重要信号。即在判断个人信息处理者是否实施侵害众多个人的信息权益时，还应当着重考虑是否涉及侵害敏感的、特殊群体的、重点领域的、达到100万人以上大规模的个人信息以及因时间、空间等联结形成的特定对象的个人信息等因素。

《个人信息保护法》第70条明确了个人信息保护公益诉讼的适格主体。即在大规模侵害个人信息权益的案件中，具有起诉资格的主体是人民检察院、法律规定的消费者组织和由国家网信部门确定的组织；被起诉主体是违法处理个人信息的个人信息处理者。但是本条对个人信息保护公益诉讼的适格主体只是做了概括性、指引性的规定，正确适用本条规定还需要进一步厘清和明确这些主体范围。

（一）适格的起诉主体

1.人民检察院

《中共中央关于加强新时代检察机关法律监督工作的意见》指出：“积极稳妥推进公益诉讼检察，就要积极稳妥拓展公益诉讼案件范围，探索办理安全生产、公共卫生、妇女及残疾人权益保护、个人信息保护、文物和文化遗产保护等领域公益损害案件，总结实践经验，完善相关立法。”新时期，检察机关坚持以习近平新时代中国特色社会主义思想为指导，认真贯彻中共中央部署和全国人大常委会授权决定，现已在探索拓展个人信息保护公益诉讼方面取得了巨大成效。实践中，本文检索到有关个人信息保护公益诉讼案件为191例，人民检察院作为这类型案件起诉主体为179 例，占比高达94%。从案件的裁判结果来看，法院的判决基本是完全支持检察院的诉讼请求，仅有个别案件是人民检察院与被告调解结案。在“实践先行，立法紧跟其后”的情境下，检察机关成为个人信息民事公益诉讼的主要起诉主体，并在司法实践中取得良好的实施效果。之所以如此，一方面，检察机关代表社会公共利益，当众多社会公民个人信息遭受损害时，检察机关提起公益诉讼，属于依法履行职责。另一方面，检察机关熟悉诉讼程序，有专业人员且具备充裕的资源，相比其他机关、组织和个人更有诉讼能力。基于此，2021年8月颁布《个人信息保护法》将人民检察院作为个人信息保护公益诉讼的起诉主体之一以法律的形式固定下来，为实践中个人信息保护公益诉讼提供直接的法律依据。

比较法上也有许多国家赋予检察机关提起公益诉讼的职能。如《法国民事诉讼法》规定：“于法律规定之情形，检察院代表社会”，“除法律有特别规定之情形外，在事实妨害公共秩序时，检察院得为维护公共秩序，进行诉讼。”《德国民事诉讼法》规定，检察机关作为社会公共利益的代表，对涉及国家、社会公共利益的重大案件可提起民事诉讼。可见，检察机关代表公共利益，作为个人信息保护公益诉讼的起诉主体，不仅具有客观必然性，也具有相当的合法性。

2.法律规定的消费者组织

在《个人信息保护法》立法过程中，关于消费者组织是否能被认定为个人信息保护公益诉讼起诉主体存在较多争议。此前提交全国人民代表大会常务委员会审议的所有《个人信息保护法（草案）》中均未出现将消费者组织列为起诉主体的规定，但是后来公布的《个人信息保护法》还是采纳了中国消费者协会与部分专家的建议，明确规定“法律规定的消费者组织”可以对违法处理个人信息侵害众多个人权益的行为提起诉讼。

将消费者组织确定为个人信息保护公益诉讼起诉主体存在以下解释路径：其一，作为合法成立且长期从事消费者权益保护的公益组织，保护消费者个人信息权益是消费者组织的职责之一，即履行保护消费者个人信息权益本就是其份内之事。《消费者权益保护法》第47条规定了消费者组织提起公益诉讼的权利，对该条文进行解释，消费者组织当然就具有提起个人信息公益诉讼的资格。其二，在现有的公益诉讼体系之下，部分消费者协会的公益诉讼起诉权已经获得了相关单行法的认可，司法实践中也释放出了消费者组织提起个人信息保护公益诉讼的积极信号。例如在“江苏省消费者权益保护委员会与北京百度网讯科技有限公司侵权纠纷案”中。江苏省消费者权益保护委员会作为本案的起诉主体，针对北京百度网讯科技有限公司利用APP权限违法获取用户个人信息的行为，向江苏省南京市中级人民法院提起个人信息保护公益诉讼。在该案审理过程中，北京百度网讯科技有限公司向江苏省消费者权益保护委员会提交了整改方案，撤销了APP中部分敏感权限，优化了权限获取的方式并对有关权限的获取目的进行说明。目前上述整改已在更新后的APP中生效，涉案APP已基本符合法律法规对于个人信息保护的要求。可见，消费者组织作为个人信息保护公益诉讼的起诉主体已经具备一定的实践基础。此外，赋予消费者组织在个人信息保护公益诉讼中的起诉主体资格，还可以实现与《消费者权益保护法》中有关消费者保护公益诉讼规则的衔接，实现法律体系内在的协调性。

结合《消费者权益保护法》第47条的规定，有权提起个人信息保护公益诉讼的消费者保护组织是指“中国消费者协会以及在省、自治区、直辖市设立的消费者协会”。之所以将消费者组织级别限定在省级以上，原因在于侵害个人信息的案件往往波及范围较广，案件较为复杂，社会影响力较大，由有较高级别的消费者组织进行起诉能发挥协会统筹的优势。从专业能力看，省级以上消费者组织专业能力更强，作为个人信息保护公益诉讼中的起诉主体更为妥当。此外，保持法律体系内在的协调性也是立法机关在本次立法过程中的重要考虑因素。

3.由国家网信部门确定的组织

依据《个人信息保护法》第70条的规定，由国家网信部门确定的组织也可以成为个人信息保护公益诉讼的起诉主体。通过社会组织来执行个人信息保护具有天然的优势：较之公权监管，其成本更低；较之私人维权，其更集中有力，因此以社会组织执行来补充公权监管、私人维权，符合功能适当原则。但是现有规定过于简略，有必要进一步细化。

细化个人信息保护公益诉讼中的有关组织的具体范围和认定标准，一方面是为了对相关组织范围进行必要限制，避免多种组织同时起诉造成滥诉，浪费司法资源；另一方面更是为了避免在实践环节中增加对有关组织的辨识成本。在界定个人信息保护公益诉讼中有关组织的具体范围和认定标准时，不妨借鉴已有的类似法律规定。目前《环境保护法》对符合环境保护公益诉讼条件的社会组织作了较为详细的认定。尽管个人信息保护公益诉讼与环境公益诉讼中的有关组织职能会有所不同，但是这并不妨碍认定两类组织的共通性。因为不管是在个人信息保护公益诉讼中的有关组织还是环境保护公益诉讼中的有关组织，它们的共通目标是保护社会公共利益，因此在性质上，它们都需要具备价值中立性，即非营利性；在保护能力上，需满足一定的形式要件，具体表现为具备一定的组织规模、具备承担风险基本能力；此外，还要在履行责任的业务能力和专业水平上与其他社会组织区别开来。因此在如何细化个人信息保护公益诉讼中有关组织范围这个问题上，可以参照《环境保护法》第58条的规定。

比较法上，一些国家和我国部分地区为了避免发生滥诉，对公益诉讼（国外多称为“集体诉讼”或者“集团诉讼”）组织的资格作出了明确规定。例如，欧盟GDPR第80条第1款规定：“对按照成员国国内法依法设立、以公共利益为法定目标并且活跃于保护数据主体权利与自由领域的非营利性机构、组织或协会，数据主体有权委托其代表自己提出投诉。”又如韩国《个人信息保护法》第51条规定了两类组织可以提起公益诉讼，第一类是在公平交易委员会登记、平时以促进权利增进为目的、团体的定员为1000名以上、登记后经过３年的组织。第二类是最近三年以上有相应的活动实绩的、团体的组成人员为5000名以上的、在中央行政机关登记的非营利民间团体。再如我国台湾地区“个人资料保护法”第32条对公益社团法人的规定是：社团法人之社员人数达一百人、保护个人资料事项于其章程所定目的范围内（具备个人信息保护的专业能力）、许可设立三年以上。

通过归纳对比国内外法律对社会组织的定义，总结出公益诉讼中的社会组织需要具备三个主要特征：其一是这类组织不以营利为目的，具有公益性；其二是这些组织是长期从事相关公益活动且聚积一定数量的专业人才，能较好地开展公益活动的专业性组织；其三是具有合法开展公益活动的主体身份，这使它区别于各种非法组织。本文认为，对个人信息保护公益诉讼中社会组织的认定，可以参照上述标准，即需要具备以下要件：（1）依法在设区的市级以上人民政府民政部门登记；（2）专门从事个人信息保护公益活动连续五年以上且无违法记录。（3）经由国家网信部门认定并公布。同时具备这些条件的非营利性组织可以向人民法院提起个人信息保护公益诉讼。当然，在提起公益诉讼的过程中，社会组织不得通过诉讼牟取任何经济利益。在认定程序上，本文认为需要由省级以上的网信部门来制定具体的认定标准，并及时向社会公布明确的社会组织名单。关于社会组织的具体类型，本文倾向于将从事个人信息研究保护的专业机构或者学术研究机构列为保护个人信息的社会组织。从事个人信息研究保护的专业机构如中国法学会网络信息法学会、网络信息研究院；从事个人信息研究保护的学术机构，比如北京大学信息化与信息管理研究中心，清华大学网络科学与网络空间研究院，中国人民大学网络空间发展与战略研究院、未来法治研究院等各所高校里专门从事个人信息保护的科研机构。这两类专门从事个人信息保护研究的机构，具有较高的信息技术监测与保护能力，拥有众多专业技术人员，能较好地履行保护个人信息的任务。

4.不适格起诉主体

（1）履行个人信息保护职责的部门

在制定《个人信息保护法》的过程中，一审稿及二审稿都将履行个人信息保护职责的部门列入起诉主体的范围内，但是考虑到履行个人信息保护职责的部门主体身份的特殊性，在三审稿中将其删除掉了，后来颁布的《个人信息保护法》保留了三审稿的规定。履行个人信息保护职责的部门不宜代表公共利益提起个人信息保护公益诉讼。一方面，是因为法律已经赋予了这些行政机构行使行政处罚的权利，行政管理手段与司法途径相比，通过行政管理手段能达到有效、有力地遏制侵害个人信息的违法行为的作用，自然就不必再提起公益诉讼。另一方面，如果履行个人信息保护职责的部门在实践中既是个人信息的管理者，享有行政处罚权，同时又是公共利益的代表者，可以提起公益诉讼，那么两种不同的身份交织在一起难免有叠床架屋之嫌，还会造成行政资源的浪费。况且行使处罚权保护个人信息安全本就是这些行政机构基本职责，过分强调和突出行政机关启动公益诉讼的作用，容易造成行政机关的角色错位。此外，现行已经规定了公益诉讼规则的单行法如《消费者权益保护法》《环境保护法》同样未赋予行政机关提起公益诉讼的主体资格，这其中的职能重叠问题正是立法者的重要考量因素，因此行政机关并不具备提起公益诉讼的先验性。尽管，行政机关不宜代表公共利益提起个人信息保护公益诉讼，但行政机关还是可以在个人信息保护公益诉讼中发挥支持起诉的作用，即通过提供相关法律咨询、提交书面意见、协助调查取证等方式支持人民检察院、相关社会组织依法提起个人信息保护公益诉讼。

（2）个人

有学者提出，除了人民检察院、有关组织可以提起个人信息保护公益诉讼外，在很多国家个人也具有代表他人提起公益诉讼的资格，并且起诉主体的多元化成为了近现代民事公益诉讼的一个重要趋势。至于公民个人，本文认为不宜成为个人信息保护公益诉讼的适格起诉主体。一方面，人性的本能中天然含有对自身利益的最大化追逐，因而很难确保诉讼的公益性。另一方面，公民个人在收集、调查证据、担负诉讼成本和专业素养等方面均存在一定弱势，个人作为公益诉讼起诉主体不具备客观可行性。公众在一定程度上确实能发挥低成本，高效率的社会监督优势，但是这种潜在的优势并不足以抵消个人提起公益诉讼的弊端，因此并不可取。尽管个人不能代表公共利益提起个人信息保护公益诉讼，但是在实践中依然可以发挥个人的力量推动公益诉讼活动，例如个人可以向有关机关或者组织检举、投诉侵害个人信息的违法行为，或者提供基础性材料请求人民检察院或者相应的组织提起公益诉讼。

（二）适格的被告

从《个人信息保护法》的规定看，个人信息保护公益诉讼的适格被告是指违反该法处理个人信息、侵害众多个人权益的个人信息处理者。对于个人信息处理者的含义，《个人信息保护法》第73条第1款给出的定义是：“在个人信息处理活动中自主决定处理目的、处理方式的组织、个人。”结合《个人信息保护法》第70条规定来看，法律并没有限制被告的范围，而是规定了所有个人信息处理者都可以成为适格被告。但是从个人信息保护公益诉讼的本质来看，个人信息保护公益诉讼主要解决侵害众多受害人个人信息权益的问题，而通常符合侵权要件的是具有大量个人信息处理需求和能力的头部（大型）企业。例如美国谷歌公司曾因未经用户同意将用户个人信息透露给第三方，侵犯了众多用户隐私，于2010年遭集体诉讼；苹果公司因涉嫌以违法的形式收集用户个人信息并出售第三方，遭到美国波士顿的多名用户发起集体诉讼；Facebook因其使用的面部识别技术违反了伊利诺伊州的《生物信息隐私法案》（BIPA）而面临集体诉讼；万豪旗下的喜达屋酒店曾因泄露3.39亿客人开房信息，仅在2018年就受到个人和律所提起至少2起集体诉讼，索赔超过百亿美元。及至国内，我国开始探索个人信息保护公益诉讼的时间较短，个人信息保护公益诉讼案件还较少，但是从已有的个人信息保护公益诉讼案件来看，个人信息保护公益诉讼案件主要发生在物流快递、装饰装修、医疗、教育、网络科技等领域，这些涉诉被告无一例外都是各领域的知名头部企业。从国内与国外的实践经验来看，大规模侵害个人信息权益案件中的被告通常是某些领域内的头部企业，因此，个人信息保护公益诉讼中的被告大多数情况下应该是指大型企业。需要注意的是，我国《个人信息保护法》并未对被告类型或者规模加以区分，在认定被告时也不应将中小规模企业排除在外。从目前既有的公益诉讼实践来看，部分中小企业存在合规性较差的问题，这部分企业如果存在违法处理个人信息，大规模侵害个人信息权益以致于损害了社会公共利益的情形，相关主体也可以对其提起个人信息保护公益诉讼。

《个人信息保护法》规定的被告范围仅限于相关组织和个人，国家行政机关不宜成为个人信息保护公益诉讼的适格被告。国家行政机关也是处理个人信息的重要主体之一，在处理个人信息时也可能侵害公民的个人信息权益，但是针对国家行政机关作为或者不作为侵害众多个人信息权益的，《个人信息保护法》及相关法律已经规定了公益诉讼外的解决路径。如《个人信息保护法》第68条规定：“国家机关不履行本法规定的个人信息保护义务的，由其上级机关或者履行个人信息保护职责的部门责令改正；对直接负责的主管人员和其他直接责任人员依法给予处分。履行个人信息保护职责的部门的工作人员玩忽职守、滥用职权、徇私舞弊，尚不构成犯罪的，依法给予处分。”此外，包括《民法典》第1039条、《刑法》第253条第2款、第4款、《行政诉讼法》第25条第4款、《网络安全法》第72条、第73条、《电子商务法》第87条、《消费者权益保护法》第61条等都对国家行政机关违法侵害公民个人信息权益设置了相应的法律责任。需要指出的是，《行政诉讼法》第25条第4款规定：“人民检察院在履行职责中发现生态环境和资源保护、食品药品安全、国有财产保护、国有土地使用权出让等领域负有监督管理职责的行政机关违法行使职权或者不作为，致使国家利益或者社会公共利益受到侵害的，应当向行政机关提出检察建议，督促其依法履行职责。行政机关不依法履行职责的，人民检察院依法向人民法院提起诉讼。”本条为行政机关违法行使职权或者不作为，致使国家利益或者社会公共利益受到侵害的情形，设置了行政公益诉讼制度。行政机关存在上述违法或者不作为行为就需要受到《行政诉讼法》第25条第4款的约束，即由人民检察院对其提出检察建议或者提起诉讼的方式来解决。适用《行政诉讼法》第25条第4款存在前置条件，由于《个人信息保护法》中并未提及类似的前置条件，因此行政机关违法行使职权或者不作为不适用《个人信息保护法》第70条的规定。也就是说，在个人信息保护领域，应当理解为法律仅规定了民事公益诉讼，没有规定行政公益诉讼。对于行政机关大规模侵权行为，目前我国已存在特别的法律规则对其进行有效的制约，就应该遵从原有特别的解决路径，而不宜突破现有的行政法规则。

《个人信息保护法》第70条并没有规定法律责任，本文认为公益诉讼的法律责任既应包括赔偿相关主体提起公益诉讼支出的必要费用，同时也应包括履行法律规定的满足受害人的相关权利的其他义务。

（一）损害赔偿

在个人信息保护公益诉讼中，由于不涉及具体的受害人，损害赔偿并不是主要的法律责任。也不涉及精神损害赔偿，因为精神损害赔偿一定是针对个人的损害填补，受害人可以通过私益诉讼来解决。个人信息保护公益诉讼中的损害赔偿的内容主要是对起诉主体提起公益诉讼的合理支出费用的赔偿，具体可以参照消费者公益诉讼的规定予以明确。即个人信息保护公益诉讼的损害赔偿项目内容主要为：律师费、调查取证费、鉴定费、专家咨询费、交通费等必要合理支出费用。从成本效益的角度考虑，潜在的适格起诉主体或许会放弃提起个人信息保护公益诉讼，为了鼓励更多相关主体通过诉讼促进公共利益，适格起诉主体提起公益诉讼的经济负担的转移就成为了合乎逻辑的经济刺激选择，并且公益诉讼经济负担的转移在环境保护、消费者保护公益诉讼领域已经积累了丰富的实践经验。可以说，通过转移负担的方式，减轻适格的起诉主体在提起个人信息保护公益诉讼中所面临的经济压力，有利于充分调动相关主体开展公益诉讼活动的积极性，也符合当前的现实需要。

（二）强制履行法律规定的其他义务

在个人信息保护公益诉讼中败诉的被告方，除了应承担损害赔偿责任外，还应当强制履行起诉主体请求的《个人信息保护法》规定的义务。如强制删除相关个人信息的义务、强制准许查阅、复制相关个人信息的义务、强制更正、补充相关个人信息的义务、强制解释说明其处理个人信息规则的义务、强制采取必要措施确保个人信息安全的义务、强制定期进行合规审计的义务，如此等等。除了上述法律规定的强制义务外，实践中还总结出其他强制义务。从节选最高人民检察院发布的8件公益诉讼典型案例来看（如表一），败诉的被告方承担的其他强制义务主要包括：登报赔礼道歉、关闭网站、注销涉案APP、采取隐匿化技术处理等措施保护个人信息以及对存在的问题逐一开展对照整改及优化等。

关于履行责任产生的费用以及验收评估费用，应该由败诉被告方自己承担。如在“杭州市余杭区人民检察院诉某网络科技有限公司侵害公民个人信息民事公益诉讼案”中，双方达成调解协议后，余杭区院引入第三方代表评估，由网信部门认可的检测机构对整改情况进行合规检测，确保调解协议执行到位。对于法院引入第三方评估机构发生的费用也应该列入履行费用之中，由败诉被告方承担。败诉被告方拒绝履行或者怠于履行相关义务的，具有个人信息保护职能的人民检察院或者相关公益组织可以代为履行，代为履行所发生的费用最终应该由败诉的被告方承担。

（三）个人信息保护公益诉讼不适用惩罚性赔偿

在《个人信息保护法》起草过程中，有些学者提出了个人信息保护公益诉讼中应该增加惩罚性赔偿的建议，理由是一般的损害赔偿责任并不能预防和威慑大规模侵害个人信息行为，亦不能填补受害人因此而受到的损害。个人信息保护公益诉讼中惩罚性赔偿在司法实务中已经得到肯定。例如在“河北省保定市人民检察院诉李某侵害消费者个人信息和权益民事公益诉讼案”中，法院依法判令被告李某支付三倍惩罚性赔偿金共计人民币166.3815万元。此案是我国在个人公益诉讼中适用惩罚性赔偿规则的第一案，被认为是具有典型创新型案件。因此，在制定《个人信息保护法》的过程中，应该将司法成果用法律形式固定下来。

本文认为这一观点缺乏事实与法律依据。首先，惩罚性赔偿的严厉性高于一般损害赔偿责任，《民法典》第179条对其适用进行了严格限制，即适用惩罚性赔偿需要有法律的明确规定，学理解释上不宜突破。依据法律规定，目前惩罚性赔偿仅能在特定类型的案件中提起，如仅能在消费者、环境生态、知识产权保护领域的案件中适用，须受诉讼担当原理的严格限制，并要经由严格的程序安排，因此惩罚性赔偿的规定可适用范围非常有限。个人信息保护公益诉讼案件中的起诉人若是主张这类赔偿，在现行法律中找不到依据，属于无法可依。

其次，我国现有法律关于惩罚性赔偿的规定，是以私益诉讼为规制对象，并不适用于公益诉讼领域。在私益诉讼中适用惩罚性赔偿金制度是为了达到鼓励受害人积极维权、遏制侵权人的效果。具体来说，在大多数侵害消费者权益或者污染环境破坏生态的案件中，受害人众多，且多数受害人受到损失小，加之诉讼成本高，受害人缺乏提起诉讼的动力，侵权人得以逃脱责任，并继续实施侵权行为。为了鼓励受害人积极维权，并以较低社会成本发现并惩处违法者，立法者创设了惩罚性赔偿金制度。但是在公益诉讼中，由人民检察院或者相关组织代为起诉，就不存在受害人起诉困难的问题，并且公益诉讼同样能起到遏制侵权人的效果，因此我国并未在公益诉讼领域里引入惩罚性赔偿金制度。此种做法与比较法上的经验相类似。对于能否在公益诉讼中适用惩罚性赔偿金制度的问题，大陆法系国家持否定态度。理由是，在存在或者应当存在多个受害人的情况下，适用惩罚性赔偿金制度可能会造成分配上的混乱，尤其在无法确定有多少原告时，针对这些原告如何确定具体数额也是一个棘手的问题。即使是在英美法系国家，惩罚性赔偿金制度在集体诉讼中的适用也是被严格限制的。因为惩罚性赔偿金很大程度上是为了抚慰受害人由此受到的精神损害，而在受害人不特定的集体诉讼中，惩罚性赔偿金制度就难以发挥其抚慰功能。这也是为什么在英国，代表人诉讼（集团诉讼）中一般不适用惩罚性赔偿。因此，惩罚性赔偿金制度主要适用于私益诉讼领域，在个人信息保护公益诉讼领域适用惩罚性赔偿金制度并未有可寻先例。

复次，尽管目前已有检察机关在个人信息保护公益诉讼案件中提出惩罚性赔偿的诉讼请求，并获得法院的支持，但检察机关并非受害的消费者或者受害的消费者的直接利害关系人，公益诉讼起诉人请求惩罚性赔偿是否有正当的法理基础值得进一步讨论，并且针对这些惩罚性赔偿金的归属如何确定也会是一个棘手的问题。

最后，如果允许在个人信息保护公益诉讼中适用惩罚性赔偿金，那么被告就有可能因为实施一个违法行为受到多次惩罚。当前，个人信息保护公益诉讼案件主要是经过刑事立案审判后再提起的附带性民事公益诉讼案件。在北大法宝上检索到有关个人信息保护公益诉讼案件为191例，其中刑事附带民事公益诉讼案件为171例，行政附带民事公益诉讼案件为1例，也就是说，在个人信息保护公益诉讼案件中，此前约90% 的被告都是被追究过相应的刑事责任或者行政责任，如果在附带的民事公益诉讼中再次对被告科以严格的惩罚，则会造成对被告罚过其当。信息社会，数据的运用与保护这两辆马车应该是并驾齐驱，不可偏废其一。对数据的保护如果超过必要的限度则会戳伤技术开发与创新者的积极性。Facebook泄露数据案中，美国联邦贸易委员会与Facebook达成的和解协议表明保护个人信息的同时也要兼顾企业的发展，要为企业生存、发展、创新腾出合理的空间。因此，本文认为个人信息保护公益诉讼中不宜适用惩罚性赔偿。

值得注意的是，由于我国当前已规定了保护个人信息的多种维权途径，既包括个人信息私益诉讼，也包括刑事制裁与行政处罚，因此不能指望公益诉讼的法律责任能够解决所有问题，它主要着眼于解决社会公益方面的问题。

（一）个人信息保护公益诉讼与私益诉讼的关系

1.个人信息保护公益诉讼并不影响私益诉讼当事人维护自身利益

有学者提出：“从根本上讲，一切诉讼无不以对公益的保护为目的，公益诉讼不过是传统私益诉讼对公益保护的深化，两者在本质上具有一致性。”又有持类似观点的学者提出，如果个人信息公共利益的实现足以预防或者救济私人利益，那么是否另行提起个人信息私益诉讼的利益就不复存在了。应该看到，个人信息保护公益诉讼的法律效果并不等于私益诉讼的法律效果的总和。个人信息保护公益诉讼与私益诉讼在其所要保护的实体利益和程序利益，在制度设计上都有着不同的表现。

首先，两者的实体利益存在巨大差异。个人信息保护公益诉讼当事人行使权利需要受到严格的限制。在个人信息保护公益诉讼中，适格的起诉主体不能随意放弃或者变更自己的诉讼请求，不能随意通过调解或者和解解决纷争，这些行为都受到审判权的严格监督。与此不同的是，个人信息保护私益诉讼则强调当事人对私益的处分自由，原告可以任意处分自己的权利。之所以如此，是因为民事权利的客体利益归属特定主体，为其所独享，故权利人可依其意志自由处分，不受他人干涉。个人信息保护公益诉讼的利益归属于众多被侵害信息权益的主体，并非个人信息保护公益诉讼中的起诉主体。因此，作为代为起诉的主体不能作出不利于公益诉讼案件中受害人的决定，其行使权利需要受到严格的法律限制。其次，两者有着不同的程序利益。具体而言，个人信息保护公益诉讼在程序构造上体现出较强的职权主义特征，此与我国个人信息保护私益诉讼在程序构造上有着明显不同。在个人信息保护公益诉讼领域，审判权会深度介入，协助起诉主体调查取证。而在个人信息保护私益诉讼领域，则是强调对两造双方程序利益的平等保护，两造之间的平衡不被轻易打破。最后，两者的差异性还体现在制度的设计目的上。个人信息保护公益诉讼之目的在于保护社会公众的信息利益，具有整体性。而个人信息保护私益诉讼的目的在于调整平等民事主体之间因信息权益而产生的法律纠纷。

综上，两种诉讼在构造上差异，意味着个人信息保护公益诉讼并不能抵消个人信息保护私益诉讼存在的合理性。此外，个人信息保护公益诉讼效果只能起到防御作用，即公共的个人信息合法权益可能不再遭受损害，但却不能使具体受害人的损害得到完全的填补，因此个人信息保护公益诉讼的救济是不完全救济，此时个人信息保护私益诉讼仍有并行的必要性。

2. 个人信息保护公益诉讼的启动无需个人信息保护私益诉讼前置

既然个人信息保护公益诉讼并不影响私益诉讼当事人维护自身利益，那么两者的程序启动顺序是否有先后之分？《最高人民法院关于适用〈中华人民共和国民事诉讼法〉的解释》第288条规定：“人民法院受理公益诉讼案件，不影响同一侵权行为的受害人根据《民事诉讼法》第119条规定提起诉讼。”从文义上理解，公益诉讼与对应的私益诉讼并没有明确的先后顺序要求。但是从既有的公益诉讼实施效果来看，不同的公益诉讼领域有着不同的制度安排。在消费者与环境公益诉讼领域中，公益诉讼与私益诉讼程序的启动并没有严格的先后顺序。与此不同的是，在英雄烈士人格权保护领域与未成年人权益保护领域，均出现了将私益诉讼前置的安排（如表二）。私益诉讼程序的前置安排，使绝大多数问题可能在检察机关诉前得以解决，极大的节约诉讼成本，可以说私益诉讼程序的前置实现了以最小司法投入获得最佳社会效果。

通过对上述不同的公益诉讼类型进行比较分析，发现适用私益诉讼程序的前置安排的两类公益诉讼案件具有鲜明的特点。在起诉主体方面，英雄烈士人格权保护与未成年人权益保护公益诉讼案件中，具有优先起诉资格的主体往往与案件的受害人（英雄烈士、未成年人）存在特殊情感联系，这些主体与检察院相比，更具维护英雄烈士光荣形象与未成年人合法权益的情感诉求及诉讼动力。再从案件的特征来看，英雄烈士人格权保护类型的案件通常不涉及受害人分布广、单个人损失小的问题，且受害人的近亲属或者监护人通常容易被确认。相比较而言，个人信息保护公益诉讼制度的出现正是为了回应受害人众多且受害人怠于起诉的现状。因此，在大规模侵害个人信息权益的案件中，关于个人信息保护公益诉讼的启动程序，不宜参照上述私益诉讼前置的规定，即个人信息保护公益诉讼的程序启动无需个人信息私益诉讼前置。

（二）个人信息保护公益诉讼不影响侵权人承担刑事与行政责任

侵权人侵害个人信息权益有可能同时引发多种法律后果，谓之法律责任聚合。出现法律责任聚合的情况下，侵权人如何来承担责任？对此，《民法典》第187条规定：“民事主体因同一行为应当承担民事责任、行政责任和刑事责任的，承担行政责任或者刑事责任不影响承担民事责任；民事主体的财产不足以支付的，优先用于承担民事责任。”根据行为人侵害的法益不同，行为人需要承担不同的责任。关于承担责任的先后顺序，依据私权优先原则，侵权人在就同一行为应当承担民事责任和刑事责任、行政责任，侵权人的财产不足以支付的情况下，就需要优先实现民事责任请求权。在个人信息诉讼案件中，只有当侵权人是个人、组织时才有可能会发生法律责任的聚合问题，当侵权人是行政机关时，由于主体的性质决定了行政机关承担的法律后果只可能是行政处罚，因此不存在责任聚合的问题。

个人信息保护公益诉讼制度适应了大数据时代信息化发展需求，对于维护公民个人信息权益，规范个人信息处理活动，促进个人信息合理利用具有重要意义。2021年颁布的《个人信息保护法》对个人信息保护公益诉讼制度已经做了原则性的规定，本文主要立足于法律条文与相关司法解释的规定，对该制度进行解释论证，为该制度的正确适用提供必要理论支撑。个人信息保护公益诉讼的起诉条件，需要同时满足违法处理个人信息与侵害众多个人的信息权益。人民检察院、法律规定的消费者组织和由国家网信部门确定的组织有权提起个人信息保护公益诉讼。对于国家网信部门确定的组织的认定标准，可以类推适用《环境保护法》第58条规定。关于法律责任，公益诉讼的法律责任既应包括赔偿相关主体提起公益诉讼支出的必要费用，同时也应包括履行法律规定的满足受害人的相关权利的其他义务。个人信息保护公益诉讼不适用惩罚性赔偿。在个人信息保护公益诉讼与其他法律责任的关系上，个人信息保护公益诉讼不影响私益诉讼当事人维护自身利益，个人信息保护公益诉讼的启动无需个人信息私益诉讼前置。侵权人承担个人信息保护公益诉讼的法律后果不影响其承担其他法律责任。依据私权优先原则，侵权人在就同一行为应当承担民事、刑事和行政责任时，侵权人的财产不足以支付的情况下，需要优先承担民事责任。

个人信息保护公益诉讼制度从试点探索再到固化为法律的过程，体现了司法能动在个人信息保护领域的有益探索。当然，对个人信息保护的探索不应止步于此，未来理论与实务界应展开双向合作，更积极探索保护个人信息的方式，以此回应社会大众的殷切期盼。