本文为作者向无讼阅读独家供稿，转载请联系无讼阅读小秘书（wusongyueduxms）

根据当事人人数的数量不同，我国民事诉讼主要有三种类型：单独诉讼、共同诉讼和代表人诉讼。在个人信息侵权案件中，当事人一方或双方为2人但不足10人的，可以采用共同诉讼制度；当事人一方人数众多（一般10人以上）的，可以采用代表人诉讼制度。

本文探讨行为人人数众多和被侵权人人数众多的情况下，个人信息侵权案件在我国的民事诉讼类型，再通过对比美国和欧盟的个人信息侵权的集体诉讼，作出关于我国个人信息侵权诉讼类型的思考。

一、我国人数众多的个人信息侵权案件的诉讼类型

（一）共同诉讼

1.行为人是2至10人，泄露了个人信息，构成共同侵权行为，需要承担连带责任，应适用必要共同诉讼制度；

2.当某一行为人实施了侵害他人个人信息的侵权行为，被侵权人主体为2至10人，这些被侵权人起诉时，可以选择分别起诉，也可以选择合并一同起诉，一同起诉则适用普通共同诉讼制度。

（二）代表人诉讼

在个人信息侵权案件中，如果当事人一方人数众多（超过10人），引起了多数人受害的群体性纠纷，则适宜采用代表人诉讼制度。由众多一方当事人选出代表人代表自己一方进行诉讼，其裁判效力及于代表人自己和所代表的当事人，可分为起诉时人数确定的代表人诉讼和起诉时人数不确定的代表人诉讼。

（三）案例[1]

2012年CCTV“3·15”上曝光了招商银行、工商银行、农业银行等银行内部员工泄露、出售客户信息，其中招商银行信用卡中心风险管理部贷款审核员胡斌，向朱凯华出售个人信息300多份。中国工商银行客户经理曹晓军，通过中介向朱凯华出售个人信息高达2318多份。朱凯华逐个进入网银，用猜测的密码尝试操作，造成受害人损失3000多万元。本案中，刑事上，银行工作人员构成出售、非法提供公民个人信息罪，朱凯华构成非法获取公民个人信息罪和盗窃罪。民事上，造成损失的受害人可提起民事诉讼，如果提起民事诉讼的被侵权人人数在两人以上，十人以下，法院认为可以合并审理，当事人也同意合并审理的诉讼，可以在诉讼时合并审理，适用普通共同诉讼制度；如果被侵权人的人数在十人以上，可以依据实际情况采用代表人诉讼的方式。

二、欧美个人信息侵权的集体诉讼制度

（一）美国

不同于我国的个人信息侵权诉讼类型，美国有集体（集团）诉讼制度（class suit），美国的集体诉讼制度在世界范围内产生了重要的影响和示范作用。美国有联邦和州两套法院制度和民事诉讼制度，联邦的集体诉讼制度规定在《联邦民事诉讼规则》中。集体诉讼规则采用四个方式予以救济：第一，集体代表提起的集体诉讼必须取得法院认可才能作为集体诉讼进行；第二，法院确认集体诉讼后，集体代表应向所有集体成员发出集体诉讼确认通知；第三，集体诉讼的和解和撤诉应通知集体成员，并取得法院批准；第四，除了从胜诉金额中分担诉讼费用外，集体成员不承担包括律师费在内的诉讼费。

根据一份关于美国个人信息侵权诉讼的实证分析报告，该类案件中私人型集体诉讼（private class action）比非集体诉讼多30%[2]，笔者查阅到的典型判例有：美国谷歌公司因涉嫌侵犯用户隐私于2010年10月25日遭集体诉讼，原告指认谷歌互联网搜索引擎将用户个人信息透露给第三方[3]；苹果涉嫌以违法的形式收集了用户的个人信息并向第三方渠道出售，由美国波士顿的多名用户发起集体诉讼[4]；Facebook面临一项集体诉讼——因其使用的面部识别技术违反了伊利诺伊州在2008年通过的一项法律——生物信息隐私法案（BIPA）[5] 等。

（二）欧盟

欧盟集体救济制度的建构之路比较曲折，2013年6月11日，经过长时间的工作和慎重的考虑，欧盟委员会认识到建立一个强制性的欧盟层面的集体救济指令难度较大，转而以更柔软的方式发布了《欧盟集体救济建议》（European Commission‘s Recommendation on Common Principles for Injunctive and Compensatory Collective Redress Mechanisms in the Member States），列举了在消费者、反垄断、环境保护、金融服务等集体救济机制构建中所应遵循的一系列具有普遍价值的原则性规定，但不具有强制约束力，建议成员国在两年内将上述规定融入到本国已有的或在建的群体性诉讼机制中。[6] 欧盟在集体诉讼救济制度上是否有立法权力仍是很有争议的问题。[7]

2018年5月即将实施的欧盟《一般数据保护条例》第八章“救济、责任与惩罚”第80条规定：“不论数据主体是否委托，成员国都可以规定，本条第1段所规定的任何机构、组织或协会如果认为本条例所规定的数据主体的权利已经因为处理而受到侵犯，都有权在成员国向第77条规定的有权监管机构提起申诉，行使第78条和第79条规定的权利。”第80条第1段规定“非盈利机构、实体或协会应具备如下条件：按照成员国法律设立，其章程目标是实现公共利益，在为了保护数据主体的权利与自由而代表个人提起申诉方面表现积极。”这种由非营利机构、组织或者协会提起的诉讼，笔者的理解是其性质属于公益集体诉讼。

笔者查阅欧盟在个人信息侵权方面的案件并不多，仅查到2014年，欧盟区用户向Facebook提起的集体诉讼由奥地利法院正式受理，诉讼指控 Facebook侵犯用户隐私以及违反欧盟相关法律。据TechCrunch报道，超过11000人报名参与了对Facebook欧洲爱尔兰子公司的集体诉讼。法律系学生Max Schrems在奥地利发起对Facebook的集体诉讼，指控Facebook侵犯了欧盟区众多用户的隐私，并违反了欧洲数据隐私法案。

三、关于我国是否引入集体诉讼制度的思考

关于我国是否有必要引入集体诉讼制度，在法律技术层面上来讲，这并非难题，但各国都有各自不同的国情，在美国行得通未必在我国就能生根发芽。笔者认为现阶段我国不适宜引入个人信息侵权的集体诉讼制度，主要理由有两点。

第一，从审判效果上看，一例集体诉讼案件解决的问题和具有的社会影响力不是单独诉讼案件可比；从社会效果上看，集体诉讼往往针对的是大型企业，原告一方通常涉及广泛的群体，社会影响深远，关注度高。因此，集体诉讼案件中对法院的要求与普通单独诉讼案件不同，需要将法院的消极司法转变为积极，这需要落实法院的独立审判权，使之不受任何力量的干扰。集体诉讼制度的核心问题是法院的定位问题，即法院在社会中发挥什么样的作用。这个角度来讲，我国现阶段尚不适宜引入集体诉讼制度。

第二，我国现阶段有公益诉讼制度，根据《民事诉讼法》第五十五条规定：“对污染环境、侵害众多消费者合法权益等损害社会公共利益的行为，法律规定的机关和有关组织可以向人民法院提起诉讼。人民检察院在履行职责中发现破坏生态环境和资源保护、食品药品安全领域侵害众多消费者合法权益等损害社会公共利益的行为，在没有前款规定的机关和组织或者前款规定的机关和组织不提起诉讼的情况下，可以向人民法院提起诉讼。前款规定的机关或者组织提起诉讼的，人民检察院可以支持起诉。”对于损害众多消费者合法权益的损害社会公共利益的行为，有权机关可以提起公益诉讼。笔者认为在个人信息侵权案件中，如果侵犯了众多消费者的合法权益，也可以提起公益诉讼。如果在现有的诉讼制度框架内，可以有效解决信息侵权案件的诉讼问题，则无须再引入集体诉讼制度，浪费立法和司法成本。

注释：

[1] http：//jingji.cntv.cn/20120315/122436.shtml

[2] Sasha Romanosky， David Hoffman， Alessandro Acquisti，Empirical Analysis of Data Breach Litigation，the Journal of Empirical Legal Studies， Temple University Legal Studies Research Paper No. 2012-30，Electronic copy available at： http：//ssrn.com/abstract=1986461

[3] https：//news.qq.com/a/20101105/000161.htm

[4] http：//www.feng.com/apple/news/2014-01-17/Apple_to_sell_user_information_to_third_parties_due_to_the_involvement_of_a_class_action_574133.shtml

[5] http：//www.biometricupdate.com/201702/facebook-facial-recognition-lawsuit-put-on-hold

[6] 范晓亮：《群体性诉讼探索的新经验——<欧盟集体救济建议>述评》

[7] http：//roadmap2014.schoenherr.eu/ecs-recommendation-collective-redress-mechanisms/

责编/孙亚超  微信号：elesun724