1. 问题的提出

2021年9月，我国正式施行《数据安全法》和《个人信息保护法》。两部法律共同构成了我国数据法治的基础。实施至今的将近一年的时间中，司法与行政在实践中对个人信息保护和数据安全日渐重视。2022年7月21日，国家互联网信息办公室对滴滴全球股份有限公司处以80.26亿元的罚款，属于《个人信息保护法》的最顶格处罚，是我国《个人信息保护法》实施以来首次对企业侵害个人信息的行为进行处罚。对企业而言，掌握并利用数据与信息有助于取得市场领先，迈向新的风口，《个人信息保护法》可以避免企业无节制的使用个人信息。

但同时，正如张新宝教授在谈及《个人信息保护法》的落地实施时所指出的：要想在治理个人信息乱象得到改善的基础上进一步提高《个人信息保护法》的执法水平，要抓大放小，由点及面。首要关注较为大规模的正在侵害个人信息的主体。除去大型企业及平台，还有公权力。¹相关研究表明，在2019年1月~2020年8月，全球政企机构重大数据安全事件中，19.3%为互联网行业；14.0%为IT信息技术行业；10.7%为政府机构事业单位。²在数字时代，“数字政府”的建设成为提高政府治理能力和改善服务水平的重要环节，政府对个人数据的使用需求量也随之水涨船高。从国家的角度来看，数字治理能够有效的提升决策、监管、执法等一系列治理能力，起到有力的“赋能”作用。而从个人和社会的角度出发，除去享受到数字治理能力提升带来的效率、透明等公共福祉，也不得不面对政府机关有意或无意的对个人信息及隐私的侵害。可见，在数字时代，政府作为数据的主要拥有者、处理者，亟需重视数据安全，避免泄露公民的个人信息，侵害公民权益。

2. 私益救济和公法保护的局限性

2.1. 私益救济的局限性

中国互联网协会公布的《中国网民权益保护调查报告(2021)》显示：“近一年来，因个人信息泄露、垃圾信息、诈骗信息等原因，导致网民总体损失约805亿元。82.3%的网民亲身感受到了由于个人信息泄露对日常生活造成的影响。”在数据时代，对于个人信息的侵害具有隐秘性、专业性和规模性。隐秘性是指侵害个人信息权的方式较为隐秘，普通民众平时难以察觉，这导致个人难以知晓侵权的发生，多为模糊感受到自己的个人信息权遭到了侵害，但不清楚具体侵权人，在取证上更存在困难，使得权利行使存在天然的阻碍。专业性则是信息处理者相对强势，能够提供难以替代的服务，同时为了规避风险，在冗长的条款中设置晦涩的隐私政策条款，这导致个人想要理解内容需要耗费过多的学习成本及时间成本，只能以放弃部分个人信息的方式来获取信息处理者提供的服务。规模性则是指信息处理者基于数据分析的需求，往往是大规模收集众多个体的个人信息。而具体到个人来分析的时候，一般的单次损害较轻且为非物质损害，导致维权收益和成本不匹配，而且被侵权的个体数量多，都存在期待其他个体起诉的心理。这些因素综合起来导致个体维权积极性差，而且私益救济主要重视的是个体利益，小规模的赔偿并不能阻止信息处理者侵害个体个人信息的脚步 [1] 。

2.2. 公法保护的局限性

个人信息的公法保护主要分为刑法保护和行政法保护。刑法保护的优点在于威慑作用大、预防效果显著，我国《刑法》第二百五十三条规定的侵犯公民个人信息罪构成了刑法保护的基础，但是该罪的入罪标准为“情节严重”和“情节特别严重”，这是由刑法本身的谦抑性所决定的，然而多数的不法行为并不能达到入罪标准。而且刑法对于证据完善程度要求排除合理怀疑，对公诉机关的举证能力提出了更高的要求。在数字时代中具有隐秘性、专业性的个人信息侵权背景下，举证能力和待证事实存在非常大的落差 [2] 。

行政执法灵活性强，但是行政资源有限，执法部门存在考核要求。个人信息侵权取证困难，而个体对侵权感知不强，往往不会向行政机关求助，导致行政机关的直接收益少。此外，我国鼓励科技创新，地方政府也负有扶持科技创新企业、招商引资的任务，对于科技企业的信息侵权行为采取较为宽松的监管态度。因此导致面对繁多的事务，行政机关不太可能去“吃力不讨好”，主动履行个人信息保护义务。同时，依照我国《个人信息保护法》第六十条规定，网信部门负责统筹协调个人信息保护工作和相关监督管理工作。其他有关部门依法律、行政法规在各自职责范围内负责个人信息保护和监督管理工作 [3] 。这虽然构成了全方面的保护体系，减少各部门的但正如前文所说，个人信息的行政保护，取证难度大、直接收益少，行政机关缺乏积极性，很难愿意主动承担个人信息保护职责。反而会造成各部门互相推诿、拖延，最终不利于个人信息的行政法保护。

3. 行政公益诉讼的理论基础和作用

3.1. 民事公益诉讼的缺漏

我国的《民事诉讼法》规定“对污染环境、侵害众多消费者合法权益等损害社会公共利益的行为，法律规定的机关和有关组织可以向人民法院提起诉讼”。这种不完全列举的方式为公益诉讼的扩大范围提供了空间，也为之后以条文形式将个人信息保护公益诉讼写入《个人信息保护法》中保留了基础，因此《个人信息保护法》在第七十条规定了“个人信息处理者违反本法规定处理个人信息，侵害众多个人的权益的，人民检察院、法律规定的消费者组织和由国家网信部门确定的组织可以依法向人民法院提起诉讼”。引进了个人信息保护的民事公益诉讼，而公益诉讼也日渐增多，通过在北大法宝及裁判文书网上搜索，已公开的个人信息公益诉讼案件数量从19年的14件到20年的83件和21年的94件，实现了非常大的增长，并在稳步提升，可见公益诉讼确实有弥补私益救济及公法保护局限性的作用。

有学者指出，《个人信息保护法》第七十条所构建的个人信息保护公益诉讼体系“国家行政机关不宜成为个人信息保护公益诉讼的适格被告。国家行政机关也是处理个人信息的重要主体之一，在处理个人信息时也可能侵害公民的个人信息权益，但是针对国家行政机关作为或者不作为侵害众多个人信息权益的，《个人信息保护法》及相关法律已经规定了公益诉讼外的解决路径” [4] 。这样的观点造成了行政公益诉讼在个人信息保护公益诉讼中的缺位。

“公益诉讼外的解决路径”主要指的是政府机关的内部责任机制，如《个人信息保护法》第六十八条国家机关不履行本法规定的个人信息保护义务的，由其上级机关或者履行个人信息保护职责的部门责令改正；对直接负责的主管人员和其他直接责任人员依法给予处分。履行个人信息保护职责的部门的工作人员玩忽职守、滥用职权、徇私舞弊，尚不构成犯罪的，依法给予处分。但是，这样的内部处理机制全部依赖于行政机关内部的调整，一旦行政机关未能正确认识到个人信息保护义务，则缺乏一个有效的救济途径，也不利于行政系统的优化。

3.2. 个人信息的公共利益属性

从个人信息权的角度来说，既有传统私权利的一面，要求信息主体要对数据的获取、处理过程完全知情和充分参与，但在数字时代，发展数字治理和数据交易等各方面都需要对个人信息的采集，且对个人信息存在着海量的需求，对每一个个体均要求完全的充分参与，并不太实际。而从时代来看，数字经济是未来的发展趋势，要想抓住时代的红利，也确须尽可能多地鼓励数据处理者采集信息，分析识别，提取数据价值，进而推进数据流通和数据交易，最终实现社会发展，如果将个人信息作为一种排他性权利，不利于数据处理与流通的构成，导致在数据时代落后他国而最终失去红利。兼之个人信息本身就具有一定的公共性，譬如一个人的家庭住址，就算他本人不愿提供，也可以通过其相识的人来获取，而对个人信息这样的特点，主张为一个完全的排他性权利显然是不能符合一般社会观念的。有学者指出：“目前个人数据在定义上几乎被视为公共领域的组成部分，是可以广泛获得和使用的，无论是从实践还是从法律目的上，个人数据均处于公共领域。” [5] 而且，在个人信息之上所附着的不仅有自然人的私益诉求，还有公共管理、国家安全等公益属性。“如果仅因数据和个人存在联系或具有识别性，就赋予个人对个人数据的排他性控制权，为私人所专有独断，不仅与共享要求不符，也有失法律正当。其最终结果只能是产生‘数据壁垒’和‘信息孤岛’。” [6]

而当个人信息具有了公益属性，国家便负有个人信息的保护义务，具体来说，分为积极义务和消极义务，积极义务要求政府机关主动履行职责，介入信息处理者和个体之中，打击侵害个人信息的行为，消极义务则要求国家不能在数字时代下，利用自己的强势地位和数据技术，无度侵害公民的个人信息。并由此对公民的私人空间和自决能力予以削减。必须指出的是，政府机关因为其职责掌握着大量的个人信息，在数字时代下往往也是最大的数据处理者，因此在个人信息保护中，国家的消极义务更需要得到重视，而这只有行政公益诉讼可以督促国家遵守消极义务。

3.3. 行政公益诉讼理论基础

《行政诉讼法》第二十五条第五款对行政公益诉讼存在有相关的规定“人民检察院在履行职责中发现生态环境和资源保护、食品药品安全、国有财产保护、国有土地使用权出让等领域负有监督管理职责的行政机关违法行使职权或者不作为，致使国家利益或者社会公共利益受到侵害的，应当向行政机关提出检察建议，督促其依法履行职责。行政机关不依法履行职责的，人民检察院依法向人民法院提起诉讼”。通过上文的分析，不难发现个人信息保护是具有一定的社会利益属性的，符合行政公益诉讼的保护法益，同时政府机关在个人信息保护中扮演的角色是多重的，既有超出职权式的作为的侵害个人信息，也有不履行公法保护职能的不作为。符合“违法行使职权或者不作为，致使国家利益或者社会公共利益受到侵害的”。由此可见，个人信息保护是有充分的理由纳入行政公益诉讼范围之中的。

4. 行政公益诉讼现状及路径优化

4.1. 行政公益诉讼实证分析

行政公益诉讼存在理论缺失、司法权应当优先尊重行政权等问题，因此在实践中占比不高，但是还是有部分检察院履行了个人信息保护职责。通过在北大法宝数据库及裁判文书网中搜索，共搜索到了10例行政公益诉讼案件，均止步于诉前检察建议，政府部门及时履行职责。其中有9例为督促有关政府部门及时履行个人信息保护职责，监管个人信息处理者，1例为则为督促政府机关规范信息公开。

通过对这些案例的分析，不难发现当检察院提起行政公益诉讼时，更倾向先通过检察建议的方式。当行政机关不积极旅行个人信息保护职能的时候，先通过检察建议使行政机关其积极履行个人信息保护义务，诉讼程序是“最后手段”；这也是行政优先权的体现。这种方式也可以节约有限的司法资源，观其根本，无论是采用检察建议还是进入诉讼程序，检察机关的本意都是发挥职能，督促行政机关履行义务，同样目的下，检察建议明显有比诉讼程序更高的效率和更灵活的运行方式 [7] 。

而督促政府机关规范信息公开的案例亦具有典型意义，浙江省桐庐县财政局在县政府信息公开平台上公示的残疾人困难生活补贴、重度护理补贴信息中，含有未经去标识化处理的残疾人身份证号码、银行卡号、残疾类型等个人信息上万余条，导致大量残疾人的个人信息被泄露，存在被电信诈骗利用的风险。政府机关在信息公开时存在不当公开的情况，侵害到了公民的个人信息，当前政府信息公开平台数量众多，个人信息泄漏的风险并不小，而多数政府未能认识到个人信息的保护者未能认识到自己的侵权行为，则公法保护就无法实现，而民事自诉和民事公益诉讼都不能在这种情况下发挥作用，因此由检察院行使监督权力是很有必要的。

4.2. 行政公益诉讼路径优化

首先，需要坚持行政公益诉讼对于政府履行个人信息保护积极保护义务的同时，推动行政公益诉讼监督政府部门遵守个人信息保护消极义务。这样才能弥补民事公益诉讼的缺漏，达到全方位的个人信息保护。对于政府机关侵害个人信息，严重损害了公民利益的，可以在行政公益诉讼之后，依照《个人信息保护法》追究相关负责人的责任，以及对被侵权人进行一定数额的国家赔偿。其次，对于行政公益诉讼本身，也需要进一步探索其他组织的执法监督作用，督促政府遵守个人信息保护的消极义务作为个人信息保护的重要一环，仅能由检察院进行行政公益诉讼，未免有些薄弱，可探索异地起诉、有利害关系单位起诉等方式，增加可提起行政公益诉讼组织的数量，但同时也要严格立案审查标准，避免无意义的诉讼过多，影响政府部门的行政效率。

5. 结语

数字时代的到来对信息化发展水平提出了更高的要求，在这种背景下，个人信息与数据的应用价值受到了大量的关注，对现有的私法保护为主的救济模式带来了巨大的冲击。因此，公益诉讼的介入是必然的。但侧重于民事公益诉讼的现有公益诉讼模式对政府主体侵害个人信息的行为规制不力。本文立足于现有法律法规和对个人信息性质、《行政诉讼法》法律条文及实践案例进行分析，为个人信息保护行政公益诉讼的正确适用提供理论支撑。限于篇幅，本文对个人信息保护行政公益诉讼制度的路径构建仅进行了有限的探讨，个人信息保护行政公益诉讼，存在有举证、法律责任确定困难等特点。是否要对个人信息保护行政公益诉讼设置不同于其他类型的行政公益诉讼的举证责任和法律责任？该问题有待于在实践中进一步补充和完善。

NOTES

¹《专访张新宝：个人信息保护法落地可先抓大带小 重点治理大型平台企业》，21世纪经济报道 https://new.qq.com/rain/a/20221103A01Z5G00.html。在他看来，个人信息乱象的治理方面已经得到了改善，不过对于《个人信息保护法》的执法仍旧任重道远。“我觉得有两只猛虎：一是公权力；第二是大型平台。”

²《中国政企机构数据安全风险研究报告》，奇安信行业安全研究中心，https://www.qianxin.com/。

参考文献