风险社会是现代社会的一种结构性特征，其产生的根源不是单一线性的，而是多个错综复杂的要素交织发挥作用的结果。德国社会学家乌尔里希·贝克发表了一系列关于风险社会的理论著作，其中蕴含的理论思想和思维方法成为研究现代风险问题的主导性理论范式。他将风险定义为以系统的方式应对由现代化引发的危险和不安，是现代化的威胁力量和令人怀疑的全球化所引发的后果。众所周知，当今社会的现代化是多个层面的现代化，在人为的干预下，风险逐渐从由传统自然因素主导转向由人为因素主导。此时，现代风险的产生不是基于人们的无知或鲁莽行为和人们对自然的控制，而是基于理性的规定或判断所进行的决策和实践。因此，现代风险的运行逻辑都被贴上“人为性”的标签，即“人造风险”。美国电信巨头Verizon发布的《2023年数据泄露调查报告》显示，74%的数据泄露事件涉及人为因素，“人造风险”成为影响数据安全的最大威胁。我国立法关注个人信息保护稍晚，《个人信息保护法》的立法理念和结构体系均侧重于“个人信息权益保护”。同时，从国内外的主流理论以及立法体例来看，尽管出现场景化保护、公法优位保护等不同立场、观点和方法，以及个人信息私益保护始终是个人信息保护理论和相关立法的基调，但仍然难以全面应对风险社会的严峻挑战。值得庆幸的是，我国《个人信息保护法》第70条开辟了个人信息保护民事公益诉讼的重要路径，其为后续在“私益诉讼”与“公益诉讼”之间转换以及风险防范措施留存了制度空间。

随着大数据与移动互联网技术的快速发展，人类的行为和社会活动日益转化为网络空间中的信息流，因此个人信息成为了重要的生产要素与核心资源。在这样的前提和基础之上，个人信息不仅承载了主体的人格权利属性，还具有明显的公共属性和社会价值。但并非个人乃至公众的个人信息就必然会涉及社会公共利益，判断处理个人信息的违法行为是否侵害社会公共利益，关键要看是否达到实质标准。由于社会公共利益概念本身的抽象性，使其成为一个“罗生门”式的概念，所以至今尚未形成一个公认的权威概念。按照保护对象的类型划分，笔者认为个人信息社会公共利益至少应包括以下三个层面的内容：第一，公众的个人信息权益向社会公共利益的转化，这是基于保护公众的个人信息自决权的需要。人数众多只是形式要件，当被侵害的主体是不特定的多数人时，亦即被侵害的主体具有开放性、不确定性的特征，侵害个人信息权益就会转化为侵害社会公共利益。第二，为了维护社会公共目的，对个人信息进行适当收集与利用，这是基于保护社会管理秩序和社会公共秩序不受侵害的需要。如为了公共卫生等特定目的开展未达到“去标识化”程度的大规模个人信息处理活动，因为这种“违反合法利益豁免规则”的个人信息处理行为超出了社会公共利益所允许的范围，所以可能引发社会层面的公众恐慌、市场动荡。第三，将国家在个人信息领域的权益视为社会公共利益，这是基于保护国家数据主权与信息安全的需要。例如，在跨境流通领域，对于大量的人口健康、生物识别等敏感性、关键性信息，国家往往从数据主权的高度对个人信息进行保护，对该类信息的“境外存储”和“境外流通”予以限制，防止因泄露带来的国家安全隐患。

《个人信息保护法》规定了“保护个人信息权益”与“促进个人信息合理利用”的立法目的，这奠定了该部法律以保护个人信息权益为主、以促进个人信息合理利用为辅的治理模式。然而，日趋复杂的现实问题给个人信息社会公共利益的保护带来了严峻挑战。一方面，在大多数情况下，个人信息处理者对个人信息的侵害是一个大规模的侵权，会形成一种集合性的、针对不特定多数人的大规模损害。但对于个体来说，损害可能是轻微的，因此个体难以通过侵权法进行自我救济，即便极少数的个体获得了损害赔偿，这一赔偿对于解决个人信息社会公共利益的大规模侵权问题也无济于事。另一方面，更棘手的问题是，公共执法面临执法效能未能充分发挥和大数据时代数字执法能力不足等问题，进而导致大规模的个人信息被过度收集、泄露、滥用等事件的发生。在损害现实化之后，数据流动与共享造成的个人信息侵权主体的不确定性，以及个人信息泄露造成的社会公众情绪紧张和焦虑等无形损害具有继发性、无形性和不易计量性的特点，常常让法院陷入左右为难的窘境，犹如在“流沙上跳踢踏舞”，法院认定这些侵权损害的困境又进一步妨碍了社会公众获得救济。

补偿性个人信息保护民事公益诉讼对个人信息保护的重要意义不言而喻。但值得反思的是，我国目前的个人信息保护民事公益诉讼在实践中具有非常明显的事后救济特征，未能很好地起到规避风险的作用。个人信息保护所面临的实际难题是：如何锁定侵权主体并顺利追偿？如何将社会公共利益的损失量化为精确数额以及如何完全填平损害？解决这些难题要面对以现实损害作为提起诉讼的前提条件的制度设计是不合理的。因为个人信息泄露或滥用具有不可逆性，现有规范层面的事后补救措施难以救济，所以应该注重风险预防，而非事后补救。然而，目前学界对个人信息社会公共利益保护的研究主要集中在，以事后救济为视角，对《个人信息保护法》第70条进行规范解读，以及对补偿性个人信息保护民事公益诉讼制度进行规范建构。少数学者意识到了对个人信息社会公共利益进行预防性保护的重要性，进而提出预防性公益诉讼模式，主张构建预防性个人信息保护行政公益诉讼制度。然而，预防性个人信息保护行政公益诉讼制度主要是为了督促行政机关履行职责，以间接的方式保护个人信息社会公共利益，并且存在某领域尚未配置负有监管职责的行政机关或行政机关未被授予监管职权的问题。相比而言，个人信息保护民事公益诉讼制度能以直接的方式规制信息处理者，但缺乏关于风险治理的具体制度架构。因此，学界应探索预防性个人信息保护民事公益诉讼制度，使其服务于个人信息公共安全风险治理体系。

基于大数据时代的风险社会背景，为促进数字经济的健康发展，应将公共安全作为个人信息社会公共利益保护的价值取向。考虑个人信息社会公共利益保护的早期化和预防损害的现实化，尤其是对因个人信息社会公共利益遭受大规模的泄露或滥用而引发的社会稳定问题，预防性个人信息保护民事公益诉讼制度应该“未雨绸缪”，为现实服务，替未来着想。

二、现状分析：个人信息社会公共利益保护模式及其主要局限

（一）行政机关公共执法模式及其局限

行政执法的目的是实现社会公共利益和维持社会公共秩序。从比较法来看，确立个人信息控制权是个人信息保护制度运行的基石。但在大数据时代，单独依靠私人救济模式难以实现对个人信息社会公共利益的保护。行政监管的“权力保护”机制与赋予信息主体权利的“自我控制”机制是同等重要的个人信息保护机制。行政机关公共执法模式虽然在维护和修复个人信息社会公共利益上存在规模效应，但并非毫无瑕疵。

1. 行政机关基于“个人信息处理者”身份执法的局限

当行政机关作为“个人信息处理者”执法时，难免会产生“负外部性”影响。《个人信息保护法》并未遵循学界所倡导的“排除行政执法中的个人信息处理”的保护框架，而是把行政机关也纳入《个人信息保护法》的调整范围，要求行政机关在对个人信息社会公共利益进行预防性保护过程中，也应严格遵守法律处理个人信息，体现出“将监管者纳入监管”的规制特点。但《个人信息保护法》并未设置统一、独立的监管机构，当行政机关因履行法定职责而成为个人信息处理者时，仅仅依靠行政机关进行自我监管，既是不现实的，也是不可行的。因为行政机关在执法中处理个人信息时将面临“任何人不得做自己案件的法官”之质疑，其组织内部开展自查自纠并不符合普适性的自然正义理念，所以产生了“既当裁判员又当运动员”的自我监管悖论。此时，个人信息社会公共利益难以得到周全保障。此外，行政机关在履职过程中处理个人信息时，原则上应当按照《个人信息保护法》第35条的规定履行告知义务，这是在行政执法中处理个人信息的正当性基础。但实际上，行政机关往往倾向于追求部门利益最大化，而非组织的整体效益，在履行法定职责处理个人信息的过程中，鲜有通过告知程序对执法的目的正当性和手段必要性进行具体说明。总之，对于个人信息社会公共利益的预防性保护而言，行政机关在行政监管法律关系中的天然局限性是由其“个人信息处理者”的身份所决定的。

行政机关在强大的公权力加持和维护“公共利益”目的的配合下，自身就是最大的个人信息处理者、持有者。在数据权力（data power）时代，“收集和整理个人信息都是获取权力的手段，它通常以牺牲信息主体的利益为代价”。行政机关在履行法定职责过程中处理大量的个人信息，如果未尽到安全保障义务，则会存在处理失控、信息泄露等特殊风险，因此个人信息社会公共利益又将遭受更大的损害，该异化行为便会遭受社会的质疑和批判。即便行政机关在处理个人信息的风险规制问题上采取了制定规则的特殊策略，但多为抽象性的原则或宣示性的条款，缺乏有实际约束力的实体性规范，结果有效性的保障色彩过于淡薄，呈现出明显的制度供给不足的特点。质言之，行政机关公共执法与算法技术的融合虽然强化了行政机关的执法能力，但是无法从根本上消解公共执法的内在缺陷，反而在一定程度上弱化了对个人信息社会公共利益的预防性保护。

2. 行政机关基于“个人信息规制者”身份执法的局限

当行政机关作为“个人信息规制者”执法时，“分工共管”的组织设置和侧重处理对个人信息社会公共利益造成现实损害的违法行为非但难以实现全面保护，而且阻碍治理效能的输出。

一方面，“分工共管”的公共监管和执法机制可能导致执法部门之间的配合协作不足，既容易形成监管“空地”，又可能形成差异化的执法尺度。尽管行政机关的公共执法对个人信息社会公共利益的预防性保护还体现在事先的“规则制定”，即制定各类专业性、技术性、细化性的个人信息处理规则和标准，但公共执法的重要职能在于执法监督和对违法行为的责任追究。有论者侧重于公法保护路径，从宪法层面要求行政机关履行个人信息社会公共利益的国家保护义务。在“客观法”的面向下，法律要求行政机关积极作为，转变“守夜人”的消极角色，支援社会公众抵御个人信息被侵害的风险，保障社会公众在实现基本权利的过程中免受侵害，维护有利于个人信息保护的社会秩序。《个人信息保护法》第60条没有设立专门行使个人信息保护职能的独立主体，而采取“国家网信部门统筹协调与监督管理+行业主管部门分工监管”的多主体公共监管和执法架构。当然，我们也应该看到，“分工共管”的组织关系在实际执法过程中存在配合协作难与选择性执法的问题。由网信及市场监管、工信、公安、司法、金融、教育、卫生、邮政、文旅等有关部门形成“1+N”的组织局面，“九龙治水”导致的行政执法冲突时有发生，不但可能增加各部门之间的决策流程、协作成本，还可能导致各部门监管执法尺度的紊乱。此外，对个人信息的监管并非部分行政机关的核心职能，由于缺乏科学化的监管决策机制，易受外部政策的影响，因而不得不在一定程度上依赖各种类型的专项整治行动。

另一方面，行政机关的执法方式多采取“重事后惩处、轻事前预防”的模式。《个人信息保护法》在规范配置上呈现出以私法规范为主体、以公法规范为补充的特征。为实现目标与手段的有效匹配，通过强化公共执法机制对个人信息处理者予以制裁和纠偏，具有正当性基础和现实必要性。尽管行政机关公共执法规制风险的优势明显，但是受传统行政法制文化和机构功能分散性配置之影响，也将伴生公共执法侧重事后惩处的局限。具体而言，在现阶段行政机关对个人信息社会公共利益的保护中，一些个人信息的收集标准、个人信息自动化处理标准等事前风险监管规定仍旧付之阙如，行政机关主要是依靠行政处罚等事后措施履行保护职责。行政处罚措施以《个人信息保护法》第66条为中心，针对违法行为科以“双罚制”的行政责任。当然，通过大幅提高罚款数额的上限，可以从罚款数额中衍生出附带的心理威慑效应，进而对个人信息社会公共利益起到预防性的保护作用。目前，我国对大规模侵害个人信息行为的行政处罚规定仍是“粗线条”的，没能将罚款的有效性、成比例性和劝诫性这三个原则转化为具体可量化的规定。并且，从法律效果上看，行政处罚的重心是对已经发生的违法事件进行事后惩罚，而非防止违法行为的发生，这难以满足风险社会下个人信息社会公共利益的事前预防保护需要。

此外，执法方式基于规则形成了稳定的执法实践，难以契合个人信息保护个案的灵活性要求。目前，我国个人信息保护公共执法中的相关制定法规范过于原则，现实中的执法场景又复杂多样，难以制定场景化、精细化的执法标准。由于个人信息的分享、流通往往与公共安全风险共存，因此也导致了个人信息处理活动中的公共安全风险存在风险源不特定、风险指向群体不特定、风险危害后果不确定等问题。对于在个人信息处理活动中存在的不同程度的风险，行政机关在履职中如何采取约谈、合规审计、警示、告诫等具有事先预防功能的柔性措施来预防，有待未来进一步的探究。在具体个案的行政执法场景中，行政机关更多情况下会实施罚款、没收违法所得等刚性措施。总之，行政机关公共执法虽略有涉及个人信息社会公共利益的预防性保护，但未重点关注，并且执法标准难以兼顾统一性和灵活性，因此无法满足个人信息保护在不同场景中的需求。

（二）补偿性个人信息保护民事公益诉讼模式及其局限

《个人信息保护法》第70条规定了个人信息保护民事公益诉讼制度。一般来说，按功能划分标准，可以将个人信息保护民事公益诉讼分为补偿性个人信息保护民事公益诉讼和预防性个人信息保护民事公益诉讼。基于规范解释与实践逻辑，补偿性个人信息保护民事公益诉讼制度更关注社会公共利益遭受现实损害后的补偿问题，《个人信息保护法》第69条与第70条在法律制度的体系化设计上存在明显的共通性，主要呈现出事后救济型司法保护模式的特性。这种模式无法满足对个人信息进行事前保护的要求，主要面临以下两方面的局限：

1. 以侵权损害结果为救济对象

个人信息保护民事公益诉讼的救济对象关系到该诉讼程序的受案范围和启动标准。从法律规范层面上来看，在我国提起民事公益诉讼要符合《民事诉讼法》第58条规定的“损害社会公共利益的行为”要件，这彰显了“损害”要件在民事公益诉讼制度中的核心地位。之所以民事公益诉讼将损害事实规定为提起条件，一方面是由于司法手段属于社会冲突的“最后”救济途径，另一方面是为了控制恶意诉讼和无理缠诉等滥诉行为。司法实践也秉持了这一基调，有权主体提起补偿性个人信息保护民事公益诉讼往往以个人信息社会公共利益发生实际损害为前提。从逻辑上讲，对侵权损害结果的司法救济乃是先有社会公共利益受到实际损害的“事实”发生，而后才基于发生的“事实”经由诉讼程序向外释放追究法律责任的信息。因此，当大规模收集、泄露或滥用个人信息行为已经对个人信息社会公共利益造成扩散性和不可逆性的损害后果时，有权主体提起补偿性个人信息保护民事公益诉讼无疑“为时已晚”，难以消除对社会公共利益圆满状态损害的影响。显然，目前我国个人信息保护民事公益诉讼的司法实践仍然倾向于以个人信息处理者侵害个人信息社会公共利益并造成实际损害后果为提起诉讼的前提，具有明显的事后救济特征。“无损害即无救济”的诉讼救济理念正是补偿性个人信息保护民事公益诉讼的基本立场，其无法将存在侵害个人信息社会公共利益的风险的行为扼杀在萌芽状态。

2. 以损害赔偿责任为救济手段

个人信息保护民事公益诉讼的救济手段涉及侵害个人信息社会公共利益的个人信息处理者应当承担何种责任的问题。公益诉讼主要涉及民事责任与行政责任两种责任类型，但《个人信息保护法》第70条的重心显然在规制个人信息保护民事公益诉讼上，而不是个人信息保护行政公益诉讼。任何损害赔偿法的出发点都是填平受害人的全部损害，个人信息保护领域概莫能外，补偿性个人信息保护民事公益诉讼同样是以填平个人信息社会公共利益受到的损害为出发点。在个人信息保护民事公益诉讼的司法实践中，主要有支付惩罚性赔偿、删除涉案个人信息、赔礼道歉、支付公益诉讼赔偿金等承担责任的方式。例如，在2021年最高人民检察院发布的检察机关个人信息保护公益诉讼典型案例中，有法院支持了公益诉讼起诉人提出的支付三倍惩罚性赔偿金、删除所有非法持有的公民个人信息数据、在国家级媒体上公开赔礼道歉等全部请求。再如，在2022年最高人民检察院发布的检察机关落实“七号检察建议”典型案例中，公益诉讼起诉人要求被告支付公益诉讼赔偿金。在司法实践中，法官普遍运用侵权法理论对社会公共利益受到的损害进行财产化评估，甚至以违法者侵权获利的数额为标准，计算赔偿金的数额，并试图通过惩罚性赔偿“让违法者痛到不敢再犯”。但以损害赔偿责任为基础的诉讼制度主要围绕侵权法的补偿功能和惩罚功能展开，这一局限性直接导致了补偿性个人信息保护民事公益诉讼的预防侵害风险发生的功能不足。归纳可见，补偿性个人信息保护民事公益诉讼固守传统侵权损害赔偿理念，以补偿遭受现实损害的个人信息社会公共利益为己任，损害赔偿在事实上是一种事后救济手段，难以起到预防作用。

三、理论逻辑：设立预防性个人信息保护民事公益诉讼的学理依据

在大数据时代，为解决公共执法治理路径带来的个人信息保护“公地悲剧”问题，补偿性个人信息保护民事公益诉讼制度得以确立，成为对个人信息社会公共利益损害结果进行救济的“第二种路径”，但其仍然无法从根本上防止个人信息社会公共利益损害后果的出现。预防性个人信息保护民事公益诉讼强调个人信息社会公共利益前置性保护制度的风险预防功能，有助于完善个人信息公共安全风险规制体系，并回应公众对个人信息社会公共利益侵害风险的预防需求。

（一）设立预防性个人信息保护民事公益诉讼的必要性

个人信息社会公共利益侵害风险源自数字信息技术突飞猛进的现代风险社会所引发的技术风险与决策风险。风险社会塑造了个人信息风险治理体系的系统性、复杂性特征，也产生了对大数据释放红利秩序和数字经济市场安全进行前置性保护的时代需求，凸显建立以预防为导向的个人信息保护民事公益诉讼制度的现实必要性。

伴随着自然风险逐渐向人为的不确定性风险演变，并取而代之占据主导地位，由此标志着当代社会进入到风险社会。风险社会是现代社会发展的一个阶段，在这个阶段，不断发展的数字信息技术取代自然，从而主导生活的方方面面。有异于前数据时代形式简单、层级分明的传统责任承担情境，大数据时代的风险社会是现代社会结构变迁与人类利用科技干预自然和社会的结果。风险社会的空间秩序不再是等级制、垂直式的，而是网络型、几何非线性的。在此环境下，个人信息社会公共利益保护呈现出较强的系统性和复杂性：一方面，个人信息借助数字信息技术突破地域限制，超越民族和国家疆界，向全球蔓延。突飞猛进的大数据技术促使个人信息处理者对个人信息的大规模收集、处理、分析和应用极为便捷，而大规模违法处理个人信息不仅涉及个人利益，还影响了社会公共利益。另一方面，大数据与移动互联网技术在处理大规模个人信息时被代码语言掩盖，由一系列计算机代码和数学建模组成的个人信息侵害行为难以被识别和解释。例如，虽然欧盟的《通用数据保护条例》（GDPR）和我国的《个人信息保护法》均规定对“用户画像”要严格限制，但在现实中，自动化数据处理、决策系统既存的“算法歧视”(algorithmic discrimination)仍难以被消除，这就无法避免算法嵌入和数据输入的偏见。在代码语言的包裹下，既没有计算解，也无法计算，无法像金钱损失或财产毁坏等现实损害易于被发现、评估与量化。同时，社会风险的扩散还存在“飞去来器效应”（boomerang effect），个人信息处理者尽管在采集、储存、处理以及传输个人信息的过程中制造风险并获利，但其最终也无法逃避风险带来的伤害，如数据平台因未尽到个人信息保护“守门人”的安全保障义务，易受到不正当竞争第三人的侵犯，而导致自身数据利益的减损。如果个人信息处理者不负责任地隐匿风险，那么同样会成为风险现实化的侵害对象，即“风险面前人人平等”。

诚然，数字信息技术的“双刃性”使得个人信息的风险与收益交织并存。可感知的财富与不可感知的风险相互竞逐。遗憾的是，人们时常屈从于资本逻辑，无限制地追求对个人信息开发利用的资本增值与无节制地追逐利润最大化。哪里有对风险的掩饰，哪里就会酝酿和生成诸多不同于以往的风险。人们掩饰风险带来的“安慰”将会使风险呈爆炸式增长态势，由此催生社会公众的焦虑感和危机感，如浮萍四处漂移，波及全球。此外，人们等待新的数据技术进步来消解原有的数据技术创新的负面后果，在循环往复中，“自反性”现代化又不断地加深个人信息公共安全风险的防御难度，使得人们试图从赋予权利的思维中寻求解决风险社会“自反性”现代化路径的努力终将归于失败。与之相应，信息主体无法通过自身获取的知识来定位风险、消灭风险，处于风险社会的任何个体都无法得到与其能力相对应的“确定性”回报。在这种情况下，我们不得不放弃对“自我控制”的不切实际的幻想，转而承认信息主体的理性有限，单一的事后填补模式面向的风险抵御防线也将因此溃败。于是，竞逐结果将发生根本性的翻转，过去的“虚幻”变成一种更高程度的危险现实，不仅可能造成个人信息保护系统崩溃、社会公共秩序混乱，而且造成的后果一般是不可逆的伤害。个人信息社会公共利益风险预防机制的缺位可能使我国成为全世界的个人信息保护“洼地”，并导致我国在国际数据规则的制定中处于不利地位。可见，在风险社会中寻找一种合理可行的治理之道，才是应对风险社会问题的必由之路，亟须在集体层面上建构并运行具备风险防范能力和理性应对能力的风险控制机制，以满足对现实风险环境的治理需求。从提升个人信息公共安全风险的司法治理效能出发，真正意义上的预防应当从“后端损害救济”延伸到“前端风险预防”。预防性个人信息保护民事公益诉讼作为预防性司法制度的重要组成部分，其具有事前矫正功能，可以预防、阻止个人信息公共安全风险的产生和扩散，是健全个人信息公共安全风险司法预防机制的一种重要手段。就我国目前的情况而言，检察机关优先提起行政公益诉讼的主导性模式存在公益保护滞后且不周延等问题，民事公益诉讼在一定意义上是为弥补行政公益诉讼的缺陷和不足而存在的。因此，未来的公益诉讼无论是采取“双轨并行制”，还是采取“一体融合制”，为了更好地对个人信息社会公共利益进行保护，预防性个人信息保护民事公益诉讼确有存在的现实必要性。

（二）设立预防性个人信息保护民事公益诉讼的合理性

在个人信息保护制度中，行政机关公共执法和补偿性民事公益诉讼是保护社会公共利益的重要组成部分，但并非唯一部分。基于个人信息具有风险特征的考虑，个人信息社会公共利益保护架构的健全应当注重从事后的损害填补延伸到事前的风险预防，以提升个人信息社会公共利益风险治理能力。

1. 规范溯源

根据调整目的（保护私人利益或公共利益）的不同，个人信息保护机制具有公法规范与私法规范的交叉混合构造。在此情形下，我国能否确立预防性个人信息保护民事公益诉讼，需要在规范层面思考以下问题：一是在私法规范层面，私益诉讼能否承担个人信息公共安全风险的防控义务？二是在公法规范层面，现有的公法保护机制能否实现对个人信息公共安全风险的治理？拓宽个人信息社会公共利益保护的预防性司法制度有无规范基础？回答上述问题便需要厘清现有保护机制在个人信息公共安全风险规制中的优劣，合理确定预防性个人信息保护民事公益诉讼适用的法律规范。

一方面，采取私法规制手段保护个人信息是非常重要的。随着大数据与移动互联网技术应用对个人信息权益保护的挑战，立法者将个人信息规定为基本权利予以保护。《民法典》第四编以及《个人信息保护法》第四章规定，信息主体对个人信息享有利用、呈现方式的支配和决定权利，强调私法在个人信息保护法律体系中的基础性作用，以防科技和商业对个人信息的滥用或侵害。然而，在大数据时代，不特定多数人的个人信息遭到大规模侵害的风险随之加大，风险再经由社会系统持续扩散、转移，此时单纯依靠个体独自采取侵权责任认定规则等私法机制来间接实现对个人信息社会公共利益的救济，在客观上显然无法达到预期的目标。从技术层面上来看，私人救济主要以损害的现实发生为前提，难以规制个人信息处理者的风险行为，且个别的私人救济无法及时有效地回应系统性、规模性的个人信息公共安全风险防控需求。尤其是针对大规模、连续性、非接触式个人信息收集技术（如网络爬虫）所形成的个人信息被泄露或滥用风险，信息主体对个人信息的自主控制能力急剧下降，无力单独承担个人信息公共安全风险的防控义务。因此，将保护个人信息社会公共利益的期望完全寄托于个人信息主体与个人信息处理者力量失衡下的对抗是不切实际的，而预防性民事公益诉讼的前置性保护、集体保护机制正好可以回应个人信息公共安全风险防控需求。

另一方面，个人信息保护上升到了宪法权利保护的高度。有论者提出，“数字人权”是对传统人权的更新与升级，将引领“第四代人权”。在风险社会和数字科技的双重影响下，信息主体的生存权与发展权的脆弱性明显加剧，信息阻隔和边缘化效应形塑了显性和隐性的“数字弱势群体”，对此应当确保此类群体获得合理的救济，以改变其过度边缘化的地位。具体而言，基于《宪法》第38条人格尊严条款衍生出个人信息受保护权，《个人信息保护法》从公法面向展开国家履行个人信息保护义务的规定，需要国家积极建构“个人信息受保护权—国家保护义务”的框架。因此，在公法保护的路径下，保护个人信息社会公共利益的行政机关公共执法模式应运而生，而补偿性个人信息保护民事公益诉讼制度是弥补行政机关公共执法在社会公共利益保护方面的不足的一种司法机制。遗憾的是，两种模式都存在局限性。但相对而言，《个人信息保护法》第11条规定的“预防和惩治”、第38条规定的“安全评估”、第56条规定的“保护影响评估”等从法律规范层面将风险预防原则注入到国家履行个人信息保护义务的制度中。通过对法律规范的分析可以发现，立法赋予了风险预防原则在个人信息保护中的合法性地位，以上条文为预防性保护模式之下的个人信息保护民事公益诉讼制度的引入提供了规范基础。故而，预防性个人信息保护民事公益诉讼制度作为“政策实施型程序”的代表性制度，其运行逻辑也要延续着在公益诉讼中贯彻国家政策的脉络，并通过遵循风险预防原则形成前置性保护的程序构造，肩负起预防个人信息公共安全风险的使命，该制度也是落实个人信息国家保护义务的具体体现。

2. 法益确证

个人信息法益具有公益与私益相互交织的融合性特征，既有以个人权利为基础的个人利益，又涉及社会秩序、公共安全和国家安全等社会公共利益。私法领域下的个人信息权利指向的法益被视为一项新型的人格权益，具有明显的个人属性特征，其理论基础归因于个人信息自决权理论。其中，告知同意原则作为保障个人信息权益的基础性机制，在效果上相当于赋予个人信息自决权。个人信息具有私权属性的内涵，这就使个人信息在原则上应免受不法侵害，法律要保护信息主体对自身信息的控制，以维护自身的利益。此外，个人信息还承载着各种公共管理价值，将被更广泛地应用在数字市场和社会，服务于与社会公共利益相关的公共法益。因为个人信息的公共性、可共享性决定了个人信息的公共属性特征，所以其承载着人类文化传承和社会运行发展的公共元素。因此，当对个人信息的侵害涉及到不特定个体的个人利益、个人信息公共安全与数据市场竞争秩序等时，实则侵害了《个人信息保护法》所保护的社会公共利益。

不过，公共法益并非个体法益的简单集合，这意味着前者并不能通过保护后者而获得，前者所具有的整体性利益需要强行性规范的专门保护。相应地，在个人信息保护中，需要对不同类型、不同维度的法益分别运用不同的保护手段，以实现目标和手段之间的有效匹配。一方面，对于侵害个人信息已造成的现实损害，由于其是对民事实体权益的确定侵害，所以可以匹配《民法典》规定的侵权责任承担等私益诉讼机制。若个人信息社会公共利益出现了现实损害，则可以直接激活补偿性民事公益诉讼制度来填补公共利益的损失。另一方面，在个人信息侵害风险并未产生现实损害之前，私益诉讼在实践中难以启动，此时的个人信息保护应围绕公共治理模式展开。在大数据时代，互联网平台大规模地收集并利用个人信息，成为最主要的侵害风险源，缺乏制衡能力的个体难以依靠私益诉讼机制对个人信息处理风险进行防御。况且，这种大规模、持续化的个人信息处理风险并非完全属于纯粹的个人风险，而是超越个人控制范围的公共风险，因此需要从公共维度予以考量。因而，在规范设定的逻辑上，对个人信息公共安全风险的预防，应主要通过以公共治理模式为中心展开。但如前文所述，行政机关在个人信息保护的执法场域存在局限性，故而需要发挥以预防性民事公益诉讼为代表的社会本位型制度对公共治理模式的补强作用。

需要强调的是，倘若法律把个人信息绝对私权化，信息主体对个人信息进行排他性支配，必然会导致个人信息自由流通基础的瓦解。因为强调对个人信息私权属性的严格保护，会限制对个人信息公共价值的有效利用，所以不符合社会福利最大化的要求。个人信息具有财产性“基因”，使其成为数字经济时代最为重要的资源与生产要素。但严格的私益保护以信息主体对个人信息的自我控制为逻辑起点，在客观上会限制个人信息的可流通性与可获取性，使大量的个人信息沉淀，加剧信息壁垒和孤岛效应，无法满足数字经济高质量发展对个人信息资源整合共享和开发利用的客观需要。因此，在对个人信息自决权的具体权能予以相应限缩的同时，应引入预防性民事公益诉讼这种前置性风险预防机制，弥补公共执法模式和传统民事公益诉讼补救模式的缺陷，预防承载于个人信息之上的公共安全风险。当然，重视预防性个人信息保护民事公益诉讼并不意味着以之取代私法对个人信息的保护功能与适用空间，而是在法益交叉融合的背景下选择折衷地带——建构公私法一体化保护模式。

（三）设立预防性个人信息保护民事公益诉讼的可行性

数字化信息是当今社会的映射，标志着人类世界正在进入信息驱动时代或数字经济时代。个人信息公共安全风险往往隐藏于数字经济繁荣景象的背后，这是由于个人信息处理者在开发利用个人信息的过程中忽视了对个人信息权益的保护。就我国个人信息社会公共利益保护的现状而言，为完善和提升个人信息公共安全风险的治理体系与治理能力，设立预防性民事公益诉讼是切实可行的。

首先，预防性个人信息保护民事公益诉讼符合风险预防原则的触发条件。风险预防原则起源于环境法领域，逐渐被扩展应用到其他风险治理场景，成为风险社会治理中重要的法律原则之一。一方面，风险预防原则通常要求存在不确定性风险，即未来可能发生某种不利后果，预计可能危及人格权、国家安全等重大法益。预防性个人信息保护民事公益诉讼因应数字科技下个人信息社会公共利益可能遭受严重损害的不确定性风险挑战。另一方面，风险预防原则主要应用在可能导致大规模侵害的人为风险情形。人为风险与自然风险不同，且其本身必须是灾难性的（catastrophic）。个人信息处理活动的规模性、广泛性和持续性导致个人信息社会公共利益被侵害的风险难以被信息主体感知、防御。在数字科技的加持下，收集追踪、传播公开、聚合分析个人信息等行为将导致个人信息被泄露、滥用的风险指数升高，因而容易引发个人信息被大规模侵害的现象。此时，预防性个人信息保护民事公益诉讼符合风险预防原则的不确定性要件和人为性要件，根据《个人信息保护法》第11条等规定的风险预防原则，可以提前干预风险，防止损害后果的发生，防范因对个人信息处理不当而造成的社会公共利益受到侵害的风险。

其次，预防性个人信息保护民事公益诉讼可以补强个人信息社会公共利益救济体系的风险预防功能。风险预防与损害填补的侧重点有所不同：前者着重于事前阻却或防御个人信息被非法处理的风险，后者侧重于以事后救济的方式对个人信息遭受的现实损害作出补偿或救助。近年来，我国预防性环境民事公益诉讼实践已积累了较为丰富的司法经验，其与预防性个人信息保护民事公益诉讼在承担责任的方式上存在一定的共通性，或能为我国设立预防性个人信息保护民事公益诉讼制度提供经验参考。我国现行法律框架对个人信息社会公共利益的保护倾向于事后的行为处置和损害填补，缺乏有效的事前风险预防。预防性个人信息保护民事公益诉讼则贯彻落实风险预防原则，强调事前的风险预防功能，展现前置性保护制度的新前景。申言之，个人信息社会公共利益保护的新范式必须履行更为重要的风险管理义务，在风险源锁定个人信息处理者，并及时制止风险行为，以防其对社会公共利益造成现实损害，避免发生难以恢复的、不可逆转的严重后果。补偿性民事公益诉讼在风险预防方面具有局限性，个人信息保护救济体系将为预防性民事公益诉讼的“登场”提供空间，二者共同构建起前端预防与后端填补的周全性救济体系。因此，预防性个人信息保护民事公益诉讼实现从填补型诉讼向预防型诉讼的转变，这既是对信息主体有限理性的接受，也是对公共执法的事后行为处置和补偿性民事公益诉讼的损害填补最多只能有限地减轻损害后果的承认。

最后，预防性个人信息保护民事公益诉讼处于补充地位更具有实用性。有学者认为，未来的个人信息保护检察公益诉讼应当以风险预防作为其主要功能。笔者认为，该观点值得商榷。尽管个人信息社会公共利益保护的事后救济机制在大数据时代面临困境，事前风险预防机制是应对事后规制局限性、提升个人信息公共安全风险治理效能、维护数字经济秩序的应然之举，但也不应对事后救济机制全盘否定。未来个人信息保护制度的重要课题应是，如何将事前预防机制与事后救济机制进行更好的融合？个人信息作为当今社会的基础性资源，其共享和流动是数据产业得以蓬勃发展的根本原因，过度的干预反而会限制数字经济的发展。一方面，预防性个人信息保护民事公益诉讼作为风险预防机制存在固有的功能局限。在个人信息社会公共利益侵害风险的识别以及风险阈值的评估方面，预防性个人信息保护民事公益诉讼难以确保准确性和有效性，有赖于法官在个案的具体场景中进行利益衡量，当风险累积导致损害现实化后，便进入事后规制范畴，故仍需要事后救济机制。另一方面，个人信息社会公共利益的事后救济仍然是当前主流的规制选择，其损害填补的规制地位未受到根本动摇。明确损害填补与风险预防的二元协作以及主次地位，可以避免因过度对风险预防而陷入激进风险防控的误区。质言之，预防性个人信息保护民事公益诉讼作为一种诉讼技术上的补强措施，具有现实可行性。

四、制度图景：预防性个人信息保护民事公益诉讼的实现路径

确立预防性个人信息保护民事公益诉讼制度的目的不是消除事后已经造成的损害，而是专注于对风险源的干预，进而从源头上实现对个人信息社会公共利益的保护。由于现行个人信息保护法律体系缺乏对“具有侵害社会公共利益的高风险行为”可以提起民事公益诉讼的规定，因此立法或司法解释应当为预防性个人信息保护民事公益诉讼提供原则性的法律依据。基于现实需要，有必要设计相关的程序架构，为预防性个人信息保护民事公益诉讼提供更加精细化的制度供给。

（一）预防性个人信息保护民事公益诉讼的适用条件

预防性个人信息保护民事公益诉讼所预防的是个人信息社会公共利益被侵害的风险。该风险转化为现实损害的可能性，以及转化为现实损害所造成的严重后果，通常是量的问题，而非质的问题。风险门槛作为启动预防性个人信息保护民事公益诉讼的一项基础要件，既不能要求仅达到低风险引发公众心里的模糊不安感、危惧感，因为风险的早期阶段必然导致法益保护内容的不确定性，所以容易导致司法恣意，违反比例原则，有科以被告过重负担的嫌疑，也不能要求达到损害发生可能性最高的风险，此时稍有不慎，风险即转化为现实性损害，而存在为时已晚的嫌疑。因此，预防性个人信息保护民事公益诉讼的适用条件需要在风险预防理论的基础上展开。

预防性个人信息保护民事公益诉讼的适用条件宜采取“高风险”的法律基准。何为“高风险”？这涉及到对风险程度的判断。由此可借由划分风险等级，避免滥用风险规制手段限制数字经济发展。在2021年欧盟发布的首个AI法律框架提案中，风险被精细划分为不可接受的风险、高风险、有限制的风险、最小的风险等四种类型，其中，如果AI技术存在不可接受的风险，那么一般都会被禁用，而高风险必须受到严格监管。我国法律没有对侵害个人信息社会公共利益的风险情形作出解释，不妨可以参考欧盟第29条数据保护工作组（The EU's Article 29 Data Protection Working Party）在WP248 rev.01中的规定，个人信息处理活动可能产生的“高风险”是“根据严重性和可能性进行估计后描述事件及其后果的情景”。因此，“高风险”的认定标准应当同时具备两方面的内容：一是风险造成未来损害后果的程度——严重性；二是风险造成未来损害后果发生的可能性——高度盖然性。一方面，个人信息社会公共利益风险预防应强调防止风险在未来造成“严重性”的损害后果，表明并非对所有风险都可以适用预防性个人信息保护民事公益诉讼。“严重性”主要表现为个人信息处理活动将个人信息社会公共利益置于现实而紧迫的风险状态，不及时制止或者排除将可能造成重大损失。尤其是风险现实化后的大规模个人信息泄露所造成的损害，与传统侵权行为相比，往往具有不可控、不可逆等特点，即便事后采取补救措施，也终究难以恢复到泄露之前的状况。另一方面，风险造成严重损害后果的发生具有高度盖然性。风险现实化导致的损害后果的严重性要求，在风险现实化的可能性方面要达到高度的危险，即风险现实化的概率要达到或超过75%的实质性条件，而非合理或微小的概率。该实质性条件在Attias v. CareFirst, Inc.案中的推理逻辑颇有启示意义，其涉及到对风险发生的概率因素及不确定性范围的限定。

为了给司法实践提供具有可操作性的指引，我们可以尝试将个人信息处理行为、个人信息类型和个人信息数量作为指标要素，综合判断是否达到“高风险”的必要限度。根据个人信息保护的场景化分析，“高风险”的个人信息处理活动及场景主要包括：其一，数据处理涉及对信息主体的偏好、经济及健康状况等个人信息的评估或预测；其二，数据处理涉及未成年人、病人等弱势群体的个人信息；其三，收集敏感个人信息数量的比重较多、频率较高；其四，系统性的监控、分析个人信息；其五，利用生物识别、人工智能等创新型技术处理个人信息。《个人信息保护法》将个人信息分为一般个人信息和敏感个人信息两种类型。由于两种类型的个人信息的适用环境与考量因素不同，所以应对受侵害风险较高的敏感个人信息进行更严格的保护。对此，要设置预防性个人信息保护民事公益诉讼关于“高风险”标准的适用规范，可以借鉴《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第5条关于“情节严重”的规定，以及《信息安全技术 个人信息安全规范》（GB/T 35273-2020）关于个人信息安全的国家标准，综合考量上述情形对“高风险”的标准进行设定。

综合上述分析，具有下列情形之一的，笔者认为可以启动预防性个人信息保护民事公益诉讼：一是个人信息处理者准备非法收集、存储、使用、加工、传输、提供、公开不特定公民一般个人信息一千条以上或者不特定公民敏感个人信息五百条以上的；二是个人信息处理者未履行信息安全保障义务，将导致未经授权的访问以及泄露、篡改、丢失不特定公民一般个人信息一千条以上或者不特定公民敏感个人信息五百条以上的；三是虽然未达到第一项和第二项规定的数量标准，但是按照相应比例合计达到有关数量标准的；四是具有高风险的其他情形。

在具体的诉讼过程中，双方当事人需要围绕上述条件及标准进行主张和抗辩。其中，对于个人信息社会公共利益被侵害的“高风险”的风险阈值确定，原告需要提供可靠的科学数据和逻辑说理。换言之，预防性个人信息保护民事公益诉讼需要有效的风险评估作为证据支持。在个人信息保护领域，风险评估体系从传统的“隐私影响评估”发展到“个人信息安全影响评估”，再到“个人信息保护影响评估”，已经成为风险管理控制的关键组成部分。《个人信息保护法》分别在第55条、第56条对个人信息保护影响评估制度规定了适用范围和具体内容，初步回答了“何种情形应当进行个人信息保护影响评估”和“个人信息保护影响评估应当涉及何种内容”等问题。但不可否认的是，相比于我国的环境影响评估制度和欧盟的数据保护影响评估制度（DPIA），我国的个人信息保护影响评估制度仍然较为笼统和粗疏，其在实践中的预期效果有待检验。但当前的个人信息保护影响评估制度至少能为预防性个人信息保护民事公益诉讼提供风险评估的基本框架、方法和流程，系统性地研判可能给个人信息社会公共利益带来“高风险”的情形，并确定潜在的风险来源以及可能的损害后果。需要指出的是，《个人信息保护法》第56条规定个人信息保护评估报告和处理情况记录要至少保存三年，这些都有助于对“高风险”的判定。

（二）预防性个人信息保护民事公益诉讼的诉权主体

《个人信息保护法》第70条规定了个人信息保护民事公益诉讼的诉权主体，即检察机关、法律规定的消费者组织和由国家网信部门确定的组织。如前文所述，《个人信息保护法》第70条更关注个人信息社会公共利益受到损害后的补偿问题，由此确立了补偿性个人信息保护民事公益诉讼制度。《个人信息保护法》第70条关于诉权主体的规定也应当适用于预防性个人信息保护民事公益诉讼制度，但其既对诉权主体范围的界定不够清晰，也未对诉权主体的顺位作出具体、明确的规定，因此还需要结合预防性个人信息保护民事公益诉讼的特殊性明确诉权主体的范围和顺位。

诉权主体资格的判定是启动预防性个人信息保护民事公益诉讼的“桥头堡”。首先，检察机关兼具法律监督者和公益代表人两种身份。在此背景下，赋予检察机关诉权主体资格，以风险预防为手段，对个人信息公共利益进行前置性保护的预防性个人信息保护民事公益诉讼，能够实现检察机关以法律监督者的身份提起诉讼来落实个人信息公共安全风险预防的检察监督职责与检察机关以公益代表人的身份提起诉讼来防范个人信息公共安全风险的有机结合。其次，“法律规定的消费者组织”能够作为诉权主体。在数字经济和信息社会的环境下，由于在市场消费场景中个人信息权容易被收集、处理和使用个人信息等商业行为侵犯，因此消费者的个人信息权要逐渐从获取信息权扩展到信息受保护权，如此才能满足数字化市场活动中消费者的合理期待。此外，《个人信息保护法（草案三次审议稿）》采纳了中国消费者协会的建议，将“履行个人信息保护职责的部门”替换为“法律规定的消费者组织”。无独有偶，《德国联邦数据保护法》（BDSG）将个人信息保护规范纳入“消费者保护法律”，美国《加利福尼亚州消费者隐私法案》（CCPA）和《弗吉尼亚州消费者数据保护法案》（VCDPA）均重视对消费者个人信息权益的保护。当然，诉权主体范围的确定还需要通过《个人信息保护法》第70条这一“转介条款”衔接《消费者权益保护法》第47条和《最高人民法院关于审理消费民事公益诉讼案件适用法律若干问题的解释》第1条第1款的规定。因此，当消费领域出现个人信息社会公共利益被侵害的“高风险”情形时，应限定省级及以上消费者协会可以提起预防性个人信息保护民事公益诉讼。最后，关于“由国家网信部门确定的组织”的范围，虽然《个人信息保护法》第70条以“授权”的方式限制了“组织”范围，但仍有待立法和司法解释作出具体规定。为了防止预防性个人信息保护民事公益诉讼被滥用，国家网信部门应特指国家互联网信息办公室，若国家网信部门涵盖省级及以下的网信部门，则会导致国家网信部门统筹协调和监督管理格局的破坏。只有将“组织”范围限定在专门以个人信息保护为目的的社会组织，才能保持诉权主体的社会性、民间性，符合设置民事公益诉讼的理念。

在诉权主体的顺位上，不同于《民事诉讼法》第58条相对谦抑的规定，《个人信息保护法》第70条规定了“检察机关—法律规定的消费者组织—由国家网信部门确定的组织”的位阶。有学者认为，社会组织在诉权主体的顺位上优于检察机关。笔者认为，基于预防性保护模式的特殊面向，检察机关应当作为第一顺位的诉权主体，可以不履行诉前公告程序径直提起诉讼。理由在于：首先，从法律冲突时的适用原则来说，根据新法优于旧法、特别法优于一般法的原则，《个人信息保护法》第70条应优先于《民事诉讼法》第58条进行适用。这种观点也得到了既有研究的认可。其次，如果要求检察机关须履行诉前公告程序，则与预防性个人信息保护民事公益诉讼注重追求及时制止现实紧迫的侵害风险的目标相背离。最后，在我国的司法实践中，个人信息保护公益诉讼最早由检察机关提起，且检察机关已经拥有了丰富的办案经验和专业能力方面的优势。此外，绝大部分案件在检察机关履行诉前公告程序后存在提起公益诉讼的主体缺位的客观现象，即检察机关积极履职的同时相关组织不存在或不作为。因此，需要正确审视预防性个人信息保护民事公益诉讼中诉权主体顺位的妥当性，让检察机关处于诉权主体的优先顺位。

（三）预防性个人信息保护民事公益诉讼的程序规则

基于个人信息的风险性与公共性特征，除了补偿性民事公益诉讼通用的程序规则外，应对预防性个人信息保护民事公益诉讼的其他程序规则进行相应的调整或更新。具体而言，预防性个人信息保护民事公益诉讼的程序规则应当在个人信息公共安全风险治理的框架中予以综合把握。

1. 诉前程序的调整

在个人信息保护民事公益诉讼中，检察机关作为第一顺位的诉权主体，体现出立法者对检察公益诉讼改革成效和制度优势的认可，以及对既有实践的依赖。尽管督促起诉与预防性个人信息保护民事公益诉讼不相契合，但是支持起诉仍然是检察机关履行诉前程序的另一种方式。学界曾对支持起诉原则有存废之争，但随着公益诉讼的发展，支持起诉原则被赋予了新的意蕴，即其“是我国民事诉讼法对社会干预主义的具体化和本土化”。迄今，个人信息权益保护组织的发展尚不成熟，且能力有限，绝大多数组织在提起个人信息保护民事公益诉讼方面依然无所作为，这些组织所享有的社会治理公益诉权一直处于“沉睡”状态。但鉴于司法资源的有限性，当有关个人信息权益保护组织提起预防性个人信息保护民事公益诉讼时，检察机关支持起诉是补强其诉讼能力的有效方式。

此外，我国目前的磋商程序主要集中在行政公益诉讼和生态环境损害赔偿诉讼中，未来可以在预防性个人信息保护检察民事公益诉讼中探索设置诉前磋商程序。通过诉前磋商程序，可以使个人信息处理者深刻认识到，其对个人信息社会公共利益的侵害风险已经达到一定阈值，积极消除风险将有助于预防个人信息社会公共利益受损。如果双方当事人没有达到磋商的目的，那么该磋商程序就要与检察建议程序紧密衔接。2019年最高人民检察院发布的《人民检察院检察建议工作规定》将社会治理类检察建议纳为五种检察建议之一，让检察机关将法律监督职权延伸到社会治理领域。当企事业单位、人民团体、社会组织等主体对个人信息公共利益的保护存在风险防控不到位等问题时，检察机关可以向其制发社会治理类检察建议。个人信息保护作为数字经济和社会治理的重要内容，当检察机关在个人信息保护领域履行职责的过程中发现有关单位和部门的行为存在侵害个人信息社会公共利益的“高风险”时，可以在提起公益诉讼前制发改进工作、完善治理、及时消除风险等检察建议，这也反映了检察理念与法律监督机制在数字时代的调整。

2. 证明责任的确立

尽管预防性个人信息保护民事公益诉讼与个人信息保护私益诉讼具有一定程度的共性，但是其也具有特殊性，廓清该类诉讼中的证明责任问题实乃当务之急。《个人信息保护法》第69条第1款规定了过错推定原则，但该原则仅适用于侵害个人信息权益并造成现实损害的情形。在一定意义上，损害赔偿责任可以通过威慑发挥预防作用，但预防并非其核心功能。实际上，《民法典》第1167条对预防性责任形式的规定并没有要求过错要件。可见，《个人信息保护法》第69条第1款是个人信息保护私益诉讼中侵权损害赔偿的归责原则，以实际损害的发生为前提，而不属于预防性责任形式的归责原则。

如果为了平衡双方当事人的举证能力而设计证明责任倒置制度，以减轻原告方的举证负担，那么实属矫枉过正。预防性个人信息保护民事公益诉讼与个人信息保护私益诉讼在证明方面存在以下三点不同：一是诉讼主体的举证能力不同。在举证规则方面，法院要求原告证明被告实施了加害行为，但由于现代信息社会中的个人信息通常具有被反复处理以及传递方式隐蔽的特点，这种证明要求显然强人所难。因此，立法机关最终接受了个人信息处理者与个人信息权益人在诉讼能力上的不对称。在个人信息保护私益诉讼中，对举证责任的分配采取了强化保护个人信息权益的价值取向，对过错要件的证明作出了特殊安排。相反，在预防性个人信息保护民事公益诉讼中，诉权主体只能是检察机关、法律规定的消费者组织和由国家网信部门确定的组织，较之私益诉讼中作为原告的个人，上述诉权主体的举证能力并不处于劣势，即不存在诉讼两造地位失衡的问题。二是因果关系要件的证明不同。在个人信息保护私益诉讼中，最大的难题当属对因果关系的证明。法院不仅要求原告以“相当因果关系规则”证明违法行为与损害后果的关系，而且要求违法行为已经产生损害后果。在实践中，有法院考虑到原告的举证能力不足，遂采取高度可能性的标准来判断因果关系。而在预防性个人信息保护民事公益诉讼中，并不要求存在实际损害的客观事实，重在对行为进行防御，因果关系要件被淡化。只要被告实施了对个人信息社会公共利益可能带来“高风险”的行为，个人信息处理行为就具有不法性，便能够认定存在因果关系，没有必要对因果关系进行严格证明。三是行为结果的认定不同。在个人信息保护私益诉讼中，原告的个人信息权益遭受到了现实损害，即个人信息被泄露、滥用，相比于未发生现实损害的侵害风险，此时原告需要更紧迫的救济。而在预防性个人信息保护民事公益诉讼中，行为造成的是潜在的风险，损害未现实化，若采取举证责任倒置，则反而会增加滥诉的风险，抑制数据市场的有序竞争和信息产业的健康发展。因此，预防性个人信息保护民事公益诉讼不宜当然地套用个人信息保护私益诉讼中的证明责任倒置制度，而应当回归证明责任“正置”制度。

3. 责任承担方式的构建

大数据时代与现代风险社会的到来在一定程度上颠覆了传统侵权法赖以建立的特定场域，侵权损害赔偿责任难以完成救济个人信息社会公共利益的使命。为实现个人信息社会公共利益司法保护的周延性，需要从事后填补主义向事前预防主义延伸，并明确预防性个人信息保护民事公益诉讼责任承担方式的独立地位和制度框架。

为超越传统的责任承担方式，有必要厘清预防性个人信息保护民事公益诉讼的请求权基础。个人信息权益的性质不是漫无边际的“权益集合”，而应被限定为作为一种新型民事权益的人格权。当其遭受侵害或者妨碍时，无论是否出现损害后果以及个人信息处理者有无过错，都可以获得人格权的相应保护。而人格权能否上升到社会公共利益予以救济和保护的问题，现行法对此作出了肯定回答，如《英雄烈士保护法》第25条为英雄烈士的人格权保护配置了公益诉讼救济程序。另外，学界也有观点将兼具个体利益与公共利益的环境权视为一种新型的人格权，当存在损害生态环境公共利益的风险时，可以以《民法典》第997条关于人格权侵害禁令的规定作为申请环境保护禁止令的实体基础和程序依据。个人信息处理者对大规模个人信息进行数据分析后生成群体性、区域性的“用户画像”，“用户画像”上附着的整体性和类型化的人格利益是不特定公众的集体人格利益，直接关涉不特定公众的生活安宁、社会秩序与公共安全。也就是说，侵害个人信息社会公共利益的“高风险”行为往往也会对具有公益性质的人格权造成威胁，可以通过预防性个人信息保护民事公益诉讼予以救济。就此而言，当个人信息处理行为对个人信息社会公共利益的侵害风险达到“高风险”的法律基准时，提起预防性个人信息保护民事公益诉讼的请求权基础就可以被确定为公益性质的人格权。

基于以上对预防性个人信息保护民事公益诉讼的请求权基础的分析，下文可以进一步分析责任承担方式的类型。尽管《个人信息保护法》第46条、第47条、第50条规定了责任承担方式的具体措施，但这些措施的具体适用场域均指向个人信息保护私益诉讼。有学者认为，人格权请求权的责任承担方式包括停止侵害、排除妨碍、消除危险、消除影响、恢复名誉、赔礼道歉等措施。笔者认为，按照功能划分，上述责任承担方式的前三种具有事前预防功能，后三种则具有事后填补功能。此外，《民法典》第1167条也规定了停止侵害、排除妨碍、消除危险等责任承担方式，这是在未发生现实损害结果时的预防性责任承担方式。因此，预防性个人信息保护民事公益诉讼中的责任承担方式应为停止侵害、排除妨碍和消除危险，这三类责任承担方式因与损害赔偿责任相分离而具有独立地位。需要指出的是，对于个人信息社会公共利益的侵害风险能否适用《民法典》第997条规定的人格权侵害禁令这个问题，司法解释的观点持肯定态度。虽然人格权侵害禁令不是严格意义上的责任承担方式，但是法院通过签发人格权侵害禁令可能会使个人信息处理者承担相关责任，如要求个人信息处理者采取删除、屏蔽、匿名化等措施。法院在诉前和诉中均可签发人格权侵害禁令，这是扩展预防性责任承担方式内涵的一种临时性强制执行措施。综合以上分析，预防性个人信息保护民事公益诉讼中的责任承担方式应当包括停止侵害、排除妨碍和消除危险，不仅如此，法院还可以通过签发人格权侵害禁令，及时制止个人信息处理行为给社会公共利益造成难以弥补的损害。

结  语

面向现代风险社会，由于个人信息承载着公私法益，所以不能仅对现实损害进行事后救济，还应当将风险预防纳入司法程序中。这意味着，个人信息保护民事公益诉讼的功能不应当局限于对个人信息社会公共利益的事后救济，还应扩展到事前预防。预防性个人信息保护民事公益诉讼是我国公益诉讼制度向纵深发展的新面向，其并不是对个人信息社会公共利益事后救济体系的取代，而是对个人信息社会公共利益事后救济体系余留的制度空白的填补。本文对预防性个人信息保护民事公益诉讼理论逻辑与规范进路的分析，也正是基于风险预防原则的考虑，期待能推动相应的讨论和分析，更好地完善和提升个人信息公共安全风险的治理体系与治理能力。此外，在未来的发展过程中，应当进一步探索预防性个人信息保护行政公益诉讼制度的建构，促进预防性个人信息保护公益诉讼的体系化，同时强化预防性个人信息保护民事公益诉讼与补偿性个人信息保护民事公益诉讼的衔接，充分发挥公益诉讼在个人信息保护中的作用。