数据隐私侵权群体性诉讼是大规模侵权诉讼的一种,其当事人往往数量庞大、分布地理范围广、诉求庞杂,常常让法院处理起来颇为棘手,但相比环境、医疗、产品责任等传统大规模侵权纠纷,数据隐私侵权纠纷的受害人多为互联网产品使用者,对信息有着更高的敏感度,企业在收集用户信息时也往往将用户联系方式作为最重要的个人数据,这为企业及时全面地向受害用户通报数据隐私侵权事件奠定了良好的基础。同时,互联网产品的迭代性也让企业有了长期监测用户偏好和使用习惯的需求,而产品的持续变动又让用户之间有了共享信息、交流使用策略和心得感受的需求,这些发展态势在相关侵权行为发生时,不仅能更好地保证受害用户第一时间知晓侵权行为的发生,还让受害用户呈现出更高程度的组织性。但同时,也应注意到,数据隐私侵权纠纷由于其侵权行为的高科技性、隐蔽性,以及当下企业普遍过度收集用户个人数据导致数据泄漏源头过多,受害人不仅在举证上面临极大困难,还在定位侵权人上面临困境。这也进一步加剧了数据隐私侵权纠纷的救济难问题。群体性诉讼包括我国代表人诉讼,英美法系的集团诉讼以及大陆法系的团体诉讼、示范诉讼等多种诉讼机制,由于大陆法系的团体诉讼、示范诉讼等诉讼机制与我国代表人诉讼的设计理念存在根本不同,因而本论文主要从借鉴意义更大、相关诉讼实践更丰富的英美法系国家的判例出发,从原告资格审查和被告范围认定两个角度,对数据隐私侵权群体性诉讼中五个重要问题进行探讨。首先是事实损害审查问题,美国最高法院在2016年Spokeo案中确立了事实损害审查标准,要求原告提出的损害必须是真实存在的,而不能是猜测的、假设的,这将受害人因个人数据泄漏所面临的风险排除在外,该判例并未得到所有美国法院的遵从。本论文认为考虑到受害人为应对个人数据泄漏而进行的修改账号密码、购买账户监测服务等行为,受害人的确付出了时间、精力和金钱,也承受了巨大的心理压力,因而应当将风险纳入事实损害范畴。本论文将数据隐私侵权案件中的风险损害分为两类:一是时间浪费,通过借鉴我国台湾地区司法实践,本论文认为时间浪费属于非财产损害,具有请求赔偿的合理性;二是心理压力等精神损害,本论文认为需结合受害人被泄漏的个人数据的敏感度谨慎判断。其次是共同性审查问题。加拿大安大略最高法院在2019年的Kalplan案中认为原告集团所提诉讼请求在共同性上出现整体崩塌,即原告集团成员之间在损害事实以及可救济的法益上存在明显差异,成员被曝光的个人信息在类型和数量上各有不同,被告对不同原告所负有的注意义务也不尽相同,因此安大略最高法院认为若允许原告启动集团诉讼,则法院将被庞大的个人调查所淹没,因而集团诉讼不是最优程序,最终驳回了原告起诉。这种在诉前对原告诉求进行的共同性审查正是我国代表人诉讼制度所缺失的,我国代表人诉讼相比普通的共同诉讼,可谓几乎没有门槛,二者唯一区别仅在于代表人诉讼的人数可能更多,这就导致代表人诉讼的制度功能与共同诉讼高度重合,完全无法体现代表人诉讼提高诉讼效率的立法目的。因此有必要设置代表人诉讼前置审查程序,要求原告集团必须具有在案件中占据主导地位的共同争议,且用于初步证明该争议的决定性证据应当能够适用集团内所有成员,同时还应要求原告集团所有成员适用的准据法相同。只有设置严格的前置审查程序,提高代表人诉讼门槛,才能倒逼原告集团自发整合诉讼请求,帮助法院筛选出高同质性案件,真正发挥代表人诉讼提高司法效率的立法目的。接着是既判力审查问题。早在2007年的Vivendi案中,美国法院便对参加集团诉讼的非居民原告提出了既判力审查的要求。为了防止重复诉讼的发生,美国法院要求非居民原告证明本院判决在其本国可能得到承认与执行。但美国的既判力审查更多是基于其特殊的选择退出式集团诉讼制度,这种制度默认既未参与诉讼、也未明示退出诉讼的受害人也受到判决约束,这一点并不被所有国家接受。正是基于此,Vivendi案中德国、奥地利原告便不被允许参加诉讼。由于互联网侵权的无国界性,可以预见未来跨国数据隐私侵权群体性诉讼将不断增长,此时防止重复诉讼、减轻被告诉讼负担便显得格外重要,因此本论文认为有必要将既判力审查也纳入代表人诉讼前置审查程序,即对于有境外原告参与的代表人诉讼,应要求该原告提交其本国或本地区法院愿意承认与执行我国境内法院判决的证明材料,更进一步地,可要求该原告作出不对被告进行重复起诉的承诺,最大限度减轻被告诉讼负担。再次是侵权人不明情况下的市场份额理论。由于现代社会,公民需要在不同场合下提供个人数据,导致数据泄漏源头过多,在侵权行为发生时,受害人往往难以精确定位侵权人。美国加州法院早在1980年的Sindell案中便遇到这一问题,导致原告病痛的药品生产商有多家,但无从确定是其中哪一家,加州法院以生产商所占市场份额来分配赔偿责任。这一理论创新尽管遭到诸多反对,但本论文认为该理论在数据隐私侵权纠纷中存在适用空间,通过要求收集了受害人相关个人数据又不能自证清白的数据收集者承担相应责任,不仅极大减轻受害人举证负担,让受害人得到及时救济,也能促使企业知晓每多收集一份数据便代表一份责任,从而缓解个人数据过度收集、超期存储的情况。最后是第三方侵权时的危险竞合理论。本论文分析了关联型第三方侵权和无关联型第三方侵权的情形,前者讨论的是企业下游数据商或员工侵权时企业自身的责任,后者讨论的是黑客等网络攻击下企业的责任。本论文认为企业收集存储数据这一行为本身,便是在制造危险源,为黑客攻击、下游数据商及员工侵权创造了条件,具有高度客观可责难性,需要对受害人承担责任。同时,本论文认为互联网平台与宾馆、商场等我国《侵权责任法》第37条规定的安全保障义务主体一样,都是公共场所管理者,只不过互联网企业是在虚拟世界为公众提供服务,因此应当明确将它们纳入安全保障义务主体,进而通过明确安全保障义务内容为受害人提供明晰的救济路径。本论文认为互联网企业的安全保障义务应包括个人信息保护相关法律规定的法定义务、积极主动建设网络安全系统和消除安全隐患的作为义务,以及针对儿童等群体的特殊义务。但总的说来,第三方侵权客观上对用户和企业都带来损害,因而本论文认为应通过鼓励纯受益型代表人诉讼构建用户对企业的监督机制,即允许不涉及金钱损害赔偿、仅旨在纠正企业违法数据行为的数据隐私侵权代表人诉讼扩大适用范围,默认适用全体用户,在客观上形成用户对企业数据行为的监督接力。