电子商务个人信息保护民事公益诉讼案

（一）电子 商务 个人信息保护民事公益诉讼案

1．全国首例电子商务个人信息安全消费民事公益诉讼案

2017年12月11日，江苏省消费者权益保护委员会就北京百度网讯科技有限公司涉嫌违规获取消费者个人信息且未及时回应提起消费民事公益诉讼。南京市中级人民法院立案受理后，百度公司提交了正式升级改造方案，从取消不必要敏感权限、增设权限使用提示框、优化隐私政策等方面对软件进行升级。新版APP全部更新上线后，经实测，问题已整改到位，省消保委依法提交了《撤诉申请书》。2018年3月12日，南京市中级人民法院裁定，准予省消保委撤回起诉。该案是全国首例个人信息安全消费民事公益诉讼，通过该起案件的曝光，让我们意识到在大数据时代，随着网络技术的发展，基于手机APP端消费者个人信息的获取呈爆炸式增长，由此产生的个人信息泄露的风险陡升。这对于习惯于网上交易的消费者来说，无疑还增加了财产损失的风险。因此，在互联网时代，消费者权益受损往往呈现群体性、爆炸性的特点。2014年新修订的《消费者权益保护法》赋予省级以上消协组织提起公益诉讼的职责。这是第一次以立法的形式确立了消费民事公益诉讼。2016年最高人民法院出台《关于审理消费民事公益诉讼案件适用法律若干问题的解释》，进一步明确消费民事公益诉讼原告资格、适用范围、公益诉讼与私益诉讼的关系等问题，为公益诉讼落地实施奠定了坚实基础。从2012年公益诉讼第一次出现在修改后民事诉讼法条文至2018年3月，全国消协组织一共提起7例消费公益诉讼，消费公益诉讼已经是打击和遏制不法经营行为的重要武器和维护众多不特定消费者合法权益和社会公共利益的有效途径。但是当前，我国消费公益诉讼还存在立法不够完善、消协起诉权缺乏监督、起诉主体存在局限性等问题，导致消费公益诉讼的应用尚不广泛，对消费者权益的保护未达到理想程度。因此，应当加强消费类公益诉讼制度设计，一方面拓宽消费公益诉讼原告主体范围，不局限于省级消协组织，可拓展到具有维护消费者合法权益法定职责的工商局等行政职能部门；另一方面完善消费者公益性法律援助制度，如建立“消费者公益诉讼法律援助专项基金”、完善律师援助制度等。最后，还要加强对公益诉讼审判指导，破解公益诉讼司法实践难题，为更好发挥公益诉讼司法制度维护消费者合法权益和社会公共利益的法律作用奠定基础。^[1]

消费维权公益诉讼是指法定的机关和组织针对侵害众多消费者合法权益等损害社会公共利益的行为，向人民法院提起的民事公益诉讼。提起消费维权公益诉讼的机关和组织有人民检察院和省级以上的消费者协会。

2014年3月15日，全国人大修订后的新版《中华人民共和国消费者权益保护法》开始实施，该法在第四十七条规定了省级以上消费者协会提起消费维权公益诉讼的主体资格：即“对侵害众多消费者合法权益的行为，中国消费者协会以及在省、自治区、直辖市设立的消费者协会，可以向人民法院提起诉讼。”可见，消费者协会提起消费维权公益诉讼应当符合以下条件：一是仅限侵害众多消费者合法权益的行为。二是须有经营者侵害众多不特定消费者合法权益或者具有危及消费者人身、财产安全危险等损害社会公共利益的初步证据。三是仅限省级以上消费者协会提起诉讼，即由中国消费者协会以及在省、自治区、直辖市设立的消费者协会提起诉讼。

2017年6月27日第十二届全国人民代表大会常务委员会第二十八次会议《关于修改〈中华人民共和国民事诉讼法〉和〈中华人民共和国行政诉讼法〉的决定》第三次修正的《中华人民共和国民事诉讼法》，在第五十五条规定了消费者权益保护公益诉讼制度：“对污染环境、侵害众多消费者合法权益等损害社会公共利益的行为，法律规定的机关和有关组织可以向人民法院提起诉讼。人民检察院在履行职责中发现破坏生态环境和资源保护、食品药品安全领域侵害众多消费者合法权益等损害社会公共利益的行为，在没有前款规定的机关和组织或者前款规定的机关和组织不提起诉讼的情况下，可以向人民法院提起诉讼。前款规定的机关或者组织提起诉讼的，人民检察院可以支持起诉。”该规定赋予了人民检察院在一定条件下提起消费维权公益诉讼的资格。再结合《消费者权益保护法》第四十七条的规定，检察院提起消费维权公益诉讼的前提条件应当包括：一是实体性条件，即须有侵害众多消费者合法权益损害社会公共利益的行为。二是程序性条件，即没有省级以上的消费者协会提起消费维权公益诉讼，如果有的话人民检察院可以支持起诉，但是不能越俎代庖。

2．全国首例适用民法典的电子商务个人信息保护民事公益诉讼案

2021年6月1日，杭州互联网法院召开新闻发布会，介绍电子商务案件特征与趋势，并发布十大典型案例。其中有两个案例，属于典型的电子商务消费者权益保护案例，即（2020）浙0192民初10605号和（2020）浙0192民初6370号案件案件。

案例（2020）浙0192民初10605号，承办人：熊俊丽。本案被人民日报、新华社、央视等媒体纷纷报道，引起广泛关注。

基本案情：2019年2月起，被告孙某以3.4万元的价格，将自己从网络购买、互换得到的4万余条含自然人姓名、电话号码、电子邮箱等的个人信息，通过微信、QQ等方式贩卖给案外人刘某。案外人刘某在获取相关信息后用于虚假的外汇业务推广。下城区检察院认为，被告孙某该行为严重侵害社会众多不特定主体的个人信息权益，致使社会公共利益受到侵害，应当依法承担赔偿损失、赔礼道歉等民事责任。经审理，杭州互联网法院判决孙某支付侵害社会公共利益的损害赔偿款3.4万元，专门用于信息安全保护或个人信息保护等公益事项，并在《浙江法制报》向社会公众刊发赔礼道歉声明。

典型意义：本案系全国首例适用民法典的个人信息保护民事公益诉讼案。个人信息保护已成为广大人民群众最关心最直接最现实的利益问题之一。本案明确个人信息保护不仅涉及自然人个人的权益保障，同时也具有社会公共利益的属性。对于公益诉讼起诉人依法对侵害众多不特定自然人个人信息的行为提起民事公益诉讼，人民法院应当依法受理，充分体现对涉及公共利益的社会不特定民事主体人格尊严和人格自由的保护和尊重。^[2]

由于本案涉及不特定自然人的公共利益，经过诉前公告没有适格主体，杭州市下城区人民检察院作为公益诉讼起诉人对被告孙某提起了民事公益诉讼。办案检察官表示，保护公民个人信息安全具有公益属性。本案中被告非法买卖提供个人信息4万多条，导致众多不特定自然人的合法权益受到侵害，客观上损害了社会公共利益。将个人信息安全保护纳入公益诉讼保护范畴，具有法律支撑，同时也是检察院发挥法律监督职能作用，维护社会公共利益的体现。^[3]

相对于旧的《消费者权益保护法》在第十四条规定，“消费者在购买、使用商品和接受服务时，享有其人格尊严、民族风俗习惯得到尊重的权利。”新的《消费者权益保护法》在第十四条规定，“消费者在购买、使用商品和接受服务时，享有其人格尊严、民族风俗习惯得到尊重的权利，享有个人信息依法得到保护的权利。”相比之下，新消法新增了一项消费者权益，那就是个人信息受保护权。关于何为个人信息，2021年11月1日正式施行的《中华人民共和国个人信息保护法》第四条规定，“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。”这里“识别”二字对个人信息进行了高度凝练的界定，便于人们对个人信息与个人隐私进行区别，即个人信息强调的是“识别”功能，系主要起“识别”作用的信息，具有身份识别性，是一种主动性的权利；而个人“隐私”强调的是“隐私”性，个人隐私主要不起识别作用，是一种被动性的权利。

根据《消费者侵权保护法》、《电子商务法》、《个人信息保护法》、《网络安全法》等法律的规定，电子商务消费者个人信息保护权主要包括以下三个方面，反过来看也就是经营者的义务：

一是电子商务经营者须合法收集消费者的个人信息。对于一项重要的权利，仅有笼统的规定还是不够的，因此《中华人民共和国消费者权益保护法》在第二十九条第一款明确规定了经营者收集、使用消费者个人信息的“合法收集”原则和“明示”“经消费者同意”等义务，规定“经营者收集、使用消费者个人信息，应当遵循合法、正当、必要的原则，明示收集、使用信息的目的、方式和范围，并经消费者同意。经营者收集、使用消费者个人信息，应当公开其收集、使用规则，不得违反法律、法规的规定和双方的约定收集、使用信息。”《中华人民共和国个人信息保护法》第六条第二款规定，“收集个人信息，应当限于实现处理目的的最小范围，不得过度收集个人信息。”《中华人民共和国网络安全法》第二十二条第三款规定，“网络产品、服务具有收集用户信息功能的，其提供者应当向用户明示并取得同意；涉及用户个人信息的，还应当遵守本法和有关法律、行政法规关于个人信息保护的规定。”《中华人民共和国电子商务法》也多处提到了对消费者个人信息权的保护，例如第五条明确规定，“电子商务经营者从事经营活动，应当遵循自愿、平等、公平、诚信的原则，遵守法律和商业道德，公平参与市场竞争，履行消费者权益保护、环境保护、知识产权保护、网络安全与个人信息保护等方面的义务，承担产品和服务质量责任，接受政府和社会的监督。”第二十三条明确规定，“电子商务经营者收集、使用其用户的个人信息，应当遵守法律、行政法规有关个人信息保护的规定。”

二是电子商务经营者须谨慎保管消费者个人信息。《中华人民共和国消费者权益保护法》第二十九条第二款明确规定了经营者对消费者个人信息的“谨慎保管”义务，规定“经营者及其工作人员对收集的消费者个人信息必须严格保密，不得泄露、出售或者非法向他人提供。经营者应当采取技术措施和其他必要措施，确保信息安全，防止消费者个人信息泄露、丢失。在发生或者可能发生信息泄露、丢失的情况时，应当立即采取补救措施。”《中华人民共和国个人信息保护法》第六条第一款规定，“处理个人信息应当具有明确、合理的目的，并应当与处理目的直接相关，采取对个人权益影响最小的方式。”

三是电子商务经营者不得向消费者违法发送商业信息。《中华人民共和国消费者权益保护法》第二十九条第三款明确规定了经营者不得利用获得的消费者的信息渠道向消费者发送广告等商业性信息，规定，“经营者未经消费者同意或者请求，或者消费者明确表示拒绝的，不得向其发送商业性信息。”

关于侵犯电子商务消费者个人信息的法律责任，《中华人民共和国电子商务法》第七十九条规定，“电子商务经营者违反法律、行政法规有关个人信息保护的规定，或者不履行本法第三十条和有关法律、行政法规规定的网络安全保障义务的，依照《中华人民共和国网络安全法》等法律、行政法规的规定处罚。”2021年11月1日正式施行的《中华人民共和国个人信息保护法》，第五十八条还规定了电子商务平台等互联网平台保护个人信息的特殊义务，即特殊情形下的“作为”义务：“提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者，应当履行下列义务：（一）按照国家规定建立健全个人信息保护合规制度体系，成立主要由外部成员组成的独立机构对个人信息保护情况进行监督；（二）遵循公开、公平、公正的原则，制定平台规则，明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务；（三）对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者，停止提供服务；（四）定期发布个人信息保护社会责任报告，接受社会监督。”