个人信息保护法实施半年，各地公益诉讼如何判决？

2021年8月通过的《个人信息保护法》专设公益诉讼条款，明确将个人信息保护纳入公益诉讼法定领域。同年11月1日，《个人信息保护法》正式实施，多地加大公益诉讼办案力度，推动个人信息保护落地。

半年过去，各地个人信息保护公益诉讼案如何判决？南方财经合规科技研究院梳理了《个人信息保护法》实施后公开的14件个人信息保护公益诉讼典型案例，分析判决案件的省份、所涉行业、侵权信息类别与数量、处罚情况、裁判规则等方面，一窥国内个人信息保护公益诉讼现状。

14起个人信息公益诉讼案件涉及多个行业，部分案件侵权信息量巨大，且案情复杂，受害群体广泛。其中既有涉及利用职务之便非法获取及买卖明星航班信息、车辆违章信息、未成年人个人信息的，还有案件揭开了非法获取公民个人信息的黑灰产业链。

这些案件适用《个人信息保护法》，确立了由违法行为人全面承担法律责任、过错推定以及公益损害赔偿金按照非法获利金额进行计算、共同侵害个人信息者承担连带责任等裁判规则。

个人信息保护成公益诉讼新领域

个人信息保护具有网信安全、公共秩序及众多个人生活安宁等合法权益保护的社会公共利益属性。但在个人信息维权案件中，由于案件的专业性、举证能力等限制，用户维权难度很高。

通过将个人信息保护纳入检察公益诉讼范围，能够让用户摆脱维权中的弱势地位，对保护个人信息具有重要意义。

2021年8月通过的《个人信息保护法》专设公益诉讼条款，明确将个人信息保护纳入检察公益诉讼法定领域。第七十条规定，个人信息处理者违反本法规定处理个人信息，侵害众多个人的权益的，人民检察院、法律规定的消费者组织和由国家网信部门确定的组织可以依法向人民法院提起诉讼。在法律层面明确了个人信息保护公益诉讼制度。

最高人民检察院披露，2021年共办理个人信息保护领域公益诉讼案件2000余件，同比上升近3倍。当前个人信息保护面临四个突出问题，须加强综合治理：

数据显示，今年1至3月，全国检察机关立案办理个人信息保护领域民事公益诉讼案件近700件。结合司法办案中发现的社会治理问题，制发检察建议，督促相关部门加强监管。如广东东莞检察机关针对某通信公司工作人员非法出售客户资料的问题制发检察建议，要求加大监督管理力度。

14起案件超三成涉手机通讯业

近年来，各省市已开展个人信息保护案在公益诉讼中的运用，让公益诉讼再次走进公众视线。

浙江省杭州市下城区人民检察院2021年1月对一起个人信息保护案提起了公益诉讼，该案是《民法典》实施后，全国首例个人信息保护公益诉讼案件。同年4月，最高人民检察院发布检察机关个人信息保护公益诉讼典型案例，透露将突出办理全国性、有影响力的个人信息保护公益诉讼案件。截至2021年5月，有19个省份明确要求检方积极稳妥开展个人信息保护领域公益诉讼。

2021年11月1日，《个人信息保护法》正式实施，多地通过该法加大公益诉讼办案力度，推动个人信息保护落地。南方财经合规科技研究院梳理了《个人信息保护法》实施后公开的14件个人信息保护公益诉讼典型案例，分析判决案件的省份、所涉行业、侵权信息类别与数量、处罚情况、裁判规则等方面，一窥国内个人信息保护公益诉讼现状。

这些个人信息公益诉讼案件涉及多个行业，部分案件侵权信息量巨大，且案情复杂，受害群体广泛。其中既有涉及利用职务之便非法获取及买卖明星航班信息、车辆违章信息、未成年人个人信息的，还有案件揭开了非法获取公民个人信息的黑灰产业链。

就在个人信息保护法实施当日，上海市奉贤区人民检察院就对犯罪嫌疑人房产中介刘某提起刑事附带民事公益诉讼，这也是奉贤区首例侵犯公民个人信息刑事附带民事公益诉讼案。此后，江苏南京、辽宁沈阳均由检察机关提起首例个人信息保护民事公益诉讼案件。

此次分析的14起个人信息保护公益诉讼案例主要涉及6个省份，其中在江苏省审判的案件数量最多，有3起；辽宁省、浙江省次之，均为2起。具体来看，江苏省的案例是在扬州市、启东市、淮安市淮阴区提起公益诉讼并审判。

以江苏省扬州市检察院提起诉讼的一案为例，该案中被告非法销售个人信息并被院以侵犯公民个人信息罪判处缓刑，并处以罚金。之后，江苏省扬州市检察院公益诉讼部门发现本案线索并立案。而由于该类案件具有受害群体广泛、证据链较难形成闭环等特点，该院检察官甚至远赴广东就违法行为人的主观故意及危害有无消除等开展取证调查。

最终，江苏省扬州市检察院提起公益诉讼后，其要求的被告承担3.4万余元公益损害赔偿金、公开赔礼道歉及立即彻底删除存储信息的三项诉求得到法院判决支持。

案件被诉方涉及的行业可大致分为6类，其中涉及手机通讯行业的案件数最多，共有5起；涉及教育行业的有2起；涉及政府部门、航空行业及互联网行业的各有1起。此外，还有4起涉及其他行业。

个人信息种类及信息泄露方式行业特点鲜明。以手机通讯行业为例，多起案例中出现了相关人员利用工作便利获取他人手机号码和验证码等个人信息，并用于注册其他APP账号获取利益。

例如在江苏启东的案例中，有被告人为手机通讯门市经营者，其利用自己为客户办理通讯业务的便利条件，私自或以帮忙完成任务为由获取客户的手机号码、验证码等个人信息，这些信息被用于注册一些App的用户。

在目前已经公开详细案情的案例中，包含四类个人信息，即航班舱单信息、车辆信息、楼盘业主信息及应聘信息。

以航班舱单信息为例，涉案舱单信息主要包括乘机人拼音姓名、航班号、舱位号、航班日期、订票日期等内容，对于购买者而言，上述信息可以单独反映，或可与其他信息结合反映特定自然人在具体时间点的行踪轨迹，属于刑法所保护的公民个人信息。

值得注意的是，在上述四类信息中，除了楼盘业主信息是被无业人员曹某某非法获取的以外，其余三类信息的收集者即被诉方，均从事与该类信息相关工作。经比对发现，姓名是被收集最频繁的个人信息，在三个信息种类中均有涉及。

在14起案件中，有10起案件中提到了具体的侵权信息量。

其中，江西上饶市首例侵犯公民个人信息刑事附带民事公益诉讼案件中涉及的侵权信息量最大。该案中，被告人共售卖公民个人信息100万余条，非法获利20余万元。

此外，在浙江温州首例个人信息保护民事公益诉讼案件中，侵权信息量同样巨大。据了解，本案被告通过公司电脑系统后台盗取包含姓名、电话号码的公民个人信息共计46.9732万条(去重后44.2241万条)，以56787元的价格出售。

在收集案件中，罚金金额最高的是上文中提及的航空行业案件。该案中，被告人直接或间接利用工作便利，查询航班信息并向他人出售。经查两位被告人出售他人航班行踪轨迹信息1964条、其他公民个人信息370条，非法获利共计40975.5元，此外两位被告人还单独出售他人航班轨迹信息及其他公民个人信息多条。在朝阳法院一审判决中，两位被告人被判处有期徒刑三年，罚金4万元。

对比来看，在侵权信息量最大的案件，即江西上饶售卖公民个人信息100万余条案例中，两位被告被判令各支付赔偿金70000元。公益诉讼赔偿最高的是浙江杭州钱塘区办理的一起侵犯公民个人信息案。在该案中，被告人以牟利为目的，未经他人许可，非法获取公民个人信息用于手机卡开卡等业务，严重侵害公民个人信息安全，致使社会公共利益受损。最终，钱塘区法院判令被告人赔偿14万余元。

1. 承担刑责后，还应担民事责任

在此次分析的14起案件中，多数案件均是违法行为人已经承担刑事责任后，还就其损害公益的侵权行为再承担了相应民事责任。

刑法第36条规定，“承担民事赔偿责任的犯罪分子，同时被判处罚金，其财产不足以全部支付的，或者被判处没收财产的，应当先承担对被害人的民事赔偿责任”。民法典第187条规定，“民事主体因同一行为应当承担民事责任、行政责任和刑事责任的，承担行政责任或者刑事责任不影响承担民事责任；民事主体的财产不足以支付的，优先用于承担民事责任”。

因此，不少被告人因侵犯公民个人信息犯罪已受到刑事追究（退缴获利及缴纳罚金等），但仍应承担赔偿损失、消除危险及赔礼道歉的民事责任。检察机关提起的民事公益诉讼，保障公益损害赔偿金专款专用，实现预防并制裁侵权行为。

2.适用过错推定责任原则

根据《个人信息保护法》第69条的规定，“处理个人信息侵害个人信息权益造成损害，个人信息处理者不能证明自己没有过错的，应当承担损害赔偿等侵权责任”。过错推定是过错责任原则的一种特殊表现形式，即无须举证证明，直接从损害事实推定行为人具有过错。如行为人不能证明自己没有过错的，应当承担侵权责任。

江苏省扬州市检察院提到，之所以采取过错推定原则，很大程度上是因为在实践中，由个人信息受侵害者进行举证专业性较强，举证的成本和难度较大。因此，采用过错推定有利于减轻起诉人的举证负担，强化信息处理者的举证义务，从而提供有效的救济。

在上述检察院提起的民事公益诉讼中，当地法院结合二位被告人谋取不当利益的动机、未经个人信息主体同意的事实以及对销售个人信息性质认识的常识，在不能举证证明无过错的情况下，直接认定被告二人存在过错，构成民事侵权。

3.公益损害赔偿按非法获利金额计算

多个法院公开提到，对公益损害赔偿的裁判规则按照非法获利金额计算。《个人信息保护法》第69条规定，侵害个人信息的损害赔偿责任按照个人因此受到的损失或者个人信息处理者因此获得的利益确定；个人因此受到的损失和个人信息处理者因此获得的利益难以确定的，根据实际情况确定赔偿数额。

在温州首例个人信息保护领域民事公益诉讼案一审判决中，因肖某因其侵害众多自然人的个人信息权益获利56787元，因此法院判决肖某承担赔偿损失56787元和在国家级媒体上赔礼道歉的民事侵权责任。

4.共同侵害个人信息者应承担公益损害赔偿责任

《个人信息保护法》第20条第2款规定，“个人信息处理者共同处理个人信息，侵害个人信息权益造成损害的，应当依法承担连带责任”。在公益损害赔偿中，共同侵害个人信息应承担连带责任。

上述江苏省扬州市检察院提起的民事公益诉讼中，由于被告人张某甲明知被告人张某乙意图售卖获利，仍无偿提供其掌握的案涉个人信息给张某乙非法出售，因此法院判令张某甲对张某乙1.2万余元损害赔偿金额依法承担连带责任。

1.公益诉讼应突出保护重点人员与领域

严格保护生物识别、宗教信仰、特殊身份、医疗健康、金融账号、行踪轨迹等敏感个人信息；特别保护儿童、妇女、残疾人、老年人、军人等特定群体的个人信息；重点保护教育、医疗、就业、养老、消费等领域处理的个人信息以及涉100万人以上的大规模个人信息；精准保护因时间、空间等联结形成的特定对象的个人信息。

2.各方应形成个人信息保护监管合力

对于非法销售个人信息者，承担刑责后还需跟进追责。网信、工信、公安、市场监管、教育等职能部门与检察院、法院在线索移送、信息共享、专业咨询、办案辅助等方面应加强协作配合，健全刑事制裁、行政执法与公益诉讼检察衔接机制，深化个人信息保护公益诉讼制度探索。各地检察院可以通过提出检察建议等方式，督促相关单位或部门采取有效防范措施。消费者组织可以依据个人信息保护法、消费者权益保护法及民事诉讼法提起个人信息公益诉讼。中国消费者协会可以在各地实践的基础上，适时发布指导性文件、指导性案例、推荐案例或典型案例等。

3.企业应完善个人信息保护制度

随着《民法典》《数据安全法》《个人信息保护法》的施行，企业对于做好个人信息保护、数据保护势在必行，也是企业必须履行的责任。每个企业都应该完善个人信息保护制度，按照相关法律法规加强个人信息与数据的防护各项措施，内部做好政策法规的学习以及安全教育和培训。同时，企业应建立良好的用户沟通机制，企业面对公益诉讼的压力比个人发起的诉讼更大，几乎很难胜诉，最好的结果是和解。企业应及时排查用户可能面临的各项风险，注意到可能或已有不法分子利用企业产品或服务企图侵害用户权益的情况下，对用户进行明确的风险提示，提供投诉与举报机制，完善客服体系，健全反馈机制。《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》对举证责任的明确，也为企业开展合规工作时需要固定的证据提供了目录。在前期的合规工作中就应当考量相关措施能否作为证据在法庭上进行使用。

（制图：徐晖）

本期编辑 啊同木 实习生 林曦莹