上政学报 | 肖新喜：论网络安全的公益诉讼保护

本文刊登于《上海政法学院学报》2022年第3期

我国现行立法以“列举具体事项+等字兜底”的示例型一般条款模式规定公益诉讼保护的对象范围。在立法列举的公益诉讼保护对象中，未包括网络安全。因之，其并未明确纳入公益诉讼的保护范围。党的十九届四中全会的决定提出要“拓展公益诉讼案件范围”。由此引发如下思考，侵害网络安全的案件是否在公益诉讼案件的拓展范围内。基于“没有网络安全就没有国家安全”的特性，网络安全涉及多种公共利益，因而可以适用公益诉讼予以保护。本文从论述网络安全公益诉讼的意义着手，继而探讨在现行立法下，通过解释论阐述适用已有公益诉讼规则的理由，然后，通过立法论讨论如何构建网络安全公益诉讼规则体系。希望本文的探讨能对提升我国网络安全保护的制度效能有所裨益。

根据主体的利益及所涉范围不同，可以将利益分为私人利益与公共利益。“法律的主要作用之一就是调整及调和种种相互冲突的利益，无论是个人的利益还是社会的利益。在某种程度上必须通过颁布一些评价各种利益的重要性和提供调整这种利益冲突标准的一般性规则方能实现。如果没有某些具有规范性质的一般性标准，那么有组织的社会就会在作出诸如什么样的利益应当被视为值得保护的利益，对于利益予以保障的范围和限度应当是什么以及对于各种主张和要求应当赋予何种相应的等级和位阶等决策时出错。”该论断揭示：法律制度的核心功能在于调和相冲突的利益，保护合法利益，并针对不同的利益类型（“个人的利益”与“”社会的利益）提供与之相适应的保护方法。此论述中的“个人的利益”即为私人利益，“社会的利益”即为公共利益。以此为标准，衍生出两种不同的诉讼手段保护这两种利益。保护私人利益的诉讼称之为私益诉讼，保护公共利益的诉讼称之为公益诉讼。“公益诉讼的核心和本质在于对公共利益的保护。公益诉讼所保护的对象是社会公共利益，而非私人利益。”“根据《布莱克法律大辞典》的解释，公益诉讼可大致被定义为为了公共利益或者全体利益的实施而在法院提起的一种法律诉讼。”网络安全保护能否适用公益诉讼，关键在于网络安全是否关涉公共利益。若网络安全关涉公共利益，侵害网络安全就损害了公共利益，因而可以适用公益诉讼保护网络安全。如果网络安全不涉及公共利益，则无法适用公益诉讼以保护网络安全。毫无疑问，网络安全关涉公共利益。具体理由如下。

网络安全事关国家安全，国家安全与国家利益具有统一性，国家安全利益不仅属于公共利益，而且在公共利益中居于核心位置。其一，网络安全关涉国家安全，而国家安全则关涉公共利益。“没有网络安全就没有国家安全。”“网络空间国家安全保障，关乎国家的利益和民族的前途。”国家安全所涉及的国家利益毫无疑问属于公共利益。“公益应该有两层次的含义，第一层为社会公共利益，即为社会全部或部分成员所享有的利益；第二层含义是指国家利益。”其二，国家安全利益不仅属于公共利益，而且是最核心的公共利益。“公共利益包含三个层次，一为国家利益，此乃公共利益的核心；二为不特定多数人的利益，此乃公共利益常态化的存在形式；三为须特殊保护界别的利益，此乃公共利益的特殊存在形式。”公益诉讼保护各种公共利益，对非属于公共利益核心的其他公益，都可以受公益诉讼保护，而对于国家安全这种核心性公共利益，自然没有理由将其排除在公益诉讼保护的范围之外。

作为网络安全有机构成的关键信息基础设施关涉公共利益。《中华人民共和国网络安全法》第31条将关键信息基础设施界定为“一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施”。由此可知，关键信息基础设施直接关涉公共利益。因为，国家安全、国计民生属于公共安全，而公共安全是公共利益的重要内容。“公共利益的范围远远大于公共安全的范围，公共安全仅限于不特定的、多数人的健康、生命以及财产的安全。”“作为一旦遭到破坏、丧失功能或者数据泄露，可能产生严重危害的信息社会基本要素，关键信息基础设施在当下的经济-技术图景下关乎国家安全、国计民生以及公共利益。”“关键信息基础设施安全带有的公共属性对国家的职能和任务提出了新要求。关键信息基础设施安全具有公共属性，这就使关键信息基础设施保护成为网络时代行政的重要任务。”由此可知，关键信息基础设施关涉国家安全、国计民生等公共利益以及其他类型的公共利益。侵害、破坏关键信息基础设施无疑会损害其所承载的诸种公共利益。

网络安全关涉构成“众益”的自然人信息安全。在互联网空间中，个人信息属于“小额分散性权利”，由小额分散性个人网络信息权益组成的“众益”是公共利益的表现形式之一。以网络形式侵害公民信息安全往往是大规模的，此种大规模侵害公民网络信息权益的行为即侵害了作为“多数人利益”的“众益”。“对于小额分散性权利之救济，客观上已经超出了对个人利益的保护，具有明显的公益性。”实践中，已有将网络个人信息权益纳入公益诉讼保护的典型案例。比如，2019年10月10日上午，最高人民检察院召开“坚持以人民为中心全面推进公益诉讼检察工作”新闻发布会，通报2017年7月以来全国检察机关公益诉讼工作情况。在通报的26件典型公益诉讼案件中，就有一起个人信息保护相关案件：浙江省诸暨市房地产、装修行业侵犯消费者个人信息公益诉讼案。

网络安全事关儿童权益保护。儿童是祖国的花朵，是民族的希望与未来，因之儿童权益关涉公益。信息时代，网络已成为严重侵害儿童权益的新手段。在互联网中，儿童主要面对以下新型侵害：“联系性伤害、内容性伤害和商业性伤害三类。”这些以互联网为手段的加害行为不仅侵害儿童个体合法权益，还侵害了以儿童权益为载体的公共利益。

由以上论述可知，网络安全关涉多种形态的公共利益。侵害网络安全，就会侵害以其作为载体的不同形式之公共利益。公益诉讼作为专门维护公共利益的诉讼形式，当然可以适用于网络安全的保护。

私法与公法是法治社会中法律体系划分的基本方式。网络安全保护据此可分为私法保护与公法保护。私法保护的基本方式是要求侵害私人网络权益的行为人承担民事责任，公法保护以行政责任、刑事责任惩罚危害网络安全的违法者，威慑潜在违法者。然而，以私法上的民事责任与公法上的行政责任、刑事责任保护网络安全存在不足，需要公益诉讼补强以增进对网络安全的保护：

网络安全的重要使命之一在于保护个人网络信息权益。个人网络信息权益有双重属性，一是涉及个人的私人权益；二是众多私人网络信息权益叠加构成网络安全公益。个人网络信息所蕴含的上述两种利益如采取私法保护模式，则主要通过协商或民事诉讼，请求加害人承担民事责任。这两种救济手段存在以下弊端，而网络安全公益诉讼却可以克服该弊端，有效保护网络安全中的信息公益。

第一，公益诉讼可助力私人救济受侵害的网络个人信息权益。协商、诉请承担民事责任这两种救济手段的本质均在于受害人依靠自己力量或主要依靠自身力量借助于国家权力救济。它们能有效发挥作用的前提是当事人实力相当。然而，在网络运营者侵犯个人网络信息权益案件中，受害人与加害人的地位事实上不平等，这就导致受害人难以依靠自身力量有效维护其权益。“在网络运营者与使用者之间形成了一种不平等地位，从而导致公民的个人信息自决权与删除、修正权难以得到保障。”“实践中，大多公民即使发现其个人信息被违法收集和使用，但由于复杂的网络技术与隐秘的信息收集、使用方式以及个人力量的不足，常常选择容忍而放弃维护自身权利。”由此可知，基于自然人个体与网络运营商之间事实上的不平等地位，通过私法救济难以充分保护公民的网络个人信息权益。网络安全公益诉讼可以借助于受害人之外的力量救济网络信息权益遭受侵害的主体。提起网络安全公益诉讼的往往是社会组织与国家机关，其实力基本上与加害人相同，这不仅可以有效保护遭受侵害的个人网络信息权益，而且可通过有效救济降低个人信息网络侵权的发生几率。

第二，私法救济难以保护网络个人信息、儿童权益承载的公共利益损害，而公益诉讼却可以有效救济该损害。网络个人信息权益，不仅仅是一种私法权益，还是一种事关国家数据主权与数据安全的法益，因而具有国家安全属性与公共利益属性。“个人数据具有国家利益属性。个人数据不仅具有用户权利属性和企业利益属性，还具有国家安全属性，关乎国家的数据主权和数据安全。”“个人信息天然具有社会公共属性，并非一种具有固定边界的私人权利。”儿童是祖国的花朵，其权利既关涉私益又关涉公益。无论是私人协商抑或是民事诉讼，只能以个别化方式单独救济网络私人信息权益和儿童权益所遭受的侵害，对于因私人网络权益、儿童权益遭受损害的网络安全公共利益，私法方式无法予以有效救济。这是因为，私法以调整私人关系、保护私人利益为己任，私法救济方式自然无法保护个人网络信息以及儿童私益所承载的公共利益。另外，私法救济主要依赖于自身权益遭受损失的个人，基于理性人立场，其没有动力积极主动采取措施救济因个人网络信息权益以及儿童权益遭受侵害而受损的公共利益。此种公共利益的救济只能通过公益诉讼。公益诉讼的原告主体资格由法律规定，因之其具有提起公益诉讼的法定职责。基于有职则有责的法理以及制度设计，其有动力提起公益诉讼。不仅如此，网络安全公益起诉主体还能够通过多种诉讼请求，预防网络安全侵权行为或防止损失扩大或使遭受损失的公共利益得到完全填补。

网络安全的公法保护，是指以行政法规定的行政责任与刑法规定的刑事责任保护网络安全。行政责任与刑事责任保护网络安全存在如下问题。一是着重于事后救济，对网络安全的事前保护不足。对于网络安全的保护，不能仅依靠事后救济，更应该注重事前预防，即防患于未然。无论是行政责任还是刑事责任，均只能在行政违法或犯罪行为发生后适用。然而，一旦行政违法行为或犯罪行为发生，往往也意味着损害网络安全的结果已经出现。由此可知，无论是行政责任还是刑事责任，均注重于网络安全的事后保护，而不能有效实现网络安全的事前保护。公益诉讼则可以实现网络安全的事前保护。因为公益诉讼所要求的责任承担形式有事前预防型与事后救济型。事前预防型包括排除妨害、停止侵害、消除危险等。在网络安全公益诉讼中，原告可以提出排除妨碍、消除危险、停止侵害等不作为诉讼请求，通过此等诉讼请求，可以防止实际损害网络安全的结果发生，实现网络安全保护的事前预防。

二是威慑有余而补偿不足。行政责任、刑事责任均无法填补已经遭受损害的网络安全公共利益，而公益诉讼却可以填补该损失。网络公益遭受损害时，救济的首要任务在于使遭受损害的网络安全公益得以填补。在民事责任、行政责任与刑事责任三种责任形式中，只有民事责任的主要作用在于填补损害，而行政责任、刑事责任的主要作用在于惩罚。“民事责任重在对受害人权利的恢复，赔偿或补偿当事人所受到的损失，其更主要的体现为补偿功能和救济功能。”“行政责任一方面和刑事责任一样，以惩罚和预防违法行为的发生为目的。”基于民事责任的“损害填补”功能，其能够填补公共利益所遭受的损害，而行政责任、刑事责任的承担难以填补遭受损害的公共利益。公益诉讼包括民事公益诉讼与行政公益诉讼，前者的原告可以诉请法院判令被告填补损害。具体而言，原告向被告通过民事公益诉讼，请求法院判令加害人承担恢复原状、赔偿损失等责任，充分填补已经遭受损害的网络安全公益。行政责任、刑事责任则无法达成以上目标。“民事责任一般以弥补受害人所受利益损失为内容，具有补偿性质；行政责任和刑事责任以制裁行政违法行为、刑事违法行为，惩罚犯罪行为为内容，具有惩罚性质。”概言之，行政责任、刑事责任的惩罚性质决定了其不具有损害填补特质，以其保护网络安全，无法填补因侵害网络安全行为所导致的公共利益损失，而能够提起填补损害请求的民事公益诉讼则可以弥补遭受损失的网络安全公共利益。

前文的要义在于论述为何需以公益诉讼保护网络安全。要以公益诉讼保护网络安全，还需要探究其实现路径。该路径主要包括解释论和立法论。解释论旨在解决在现有立法框架下，通过教义学方法的运用，将网络安全纳入已有的公益诉讼保护范围中，适用目前的相关规则予以保护。立法论的任务则在于为将来修改法律完善网络安全公益诉讼保护制度、构建体系化的网络安全公益诉讼保护规则提供合理化建议，以强化对网络安全的保护。以下分别就这两条路径展开论述。

前已述及，网络安全应该受到公益诉讼制度的保护。然而，现行的公益诉讼立法，无论是民事公益诉讼还是行政公益诉讼关于其保护范围的规定，并未明确将网络安全纳入其中。《民事诉讼法》第55条规定：“对污染环境、侵害众多消费者合法权益等损害社会公共利益的行为，法律规定的机关和有关组织可以向人民法院提起诉讼。”2017年修订的《行政诉讼法》第25条增加了第4款，其内容为：“人民检察院在履行职责中发现生态环境和资源保护、食品药品安全、国有财产保护、国有土地使用权出让等领域负有监督管理职责的行政机关违法行使职权或者不作为，致使国家利益或者社会公共利益受到侵害的，应当向行政机关提出检察建议，督促其依法履行职责。行政机关不依法履行职责的，人民检察院依法向人民法院提起诉讼。”为贯彻民事诉讼法、行政诉讼法关于公益诉讼的的规定，最高人民法院、最高人民检察院于2018年发布了《最高人民法院、最高人民检察院关于检察公益诉讼案件适用法律若干问题的解释》。其第13条、第21条分别是关于民事公益诉讼受案范围与行政公益诉讼受案范围的规定，但依然未规定网络安全公益诉讼。

由此可知，现行立法并未明确将网络安全纳入公益诉讼的保护范围。在未通过修法明确规定网络安全公益诉讼之前，可行的路径在于通过解释法律，将其纳入公益诉讼的保护范围。关于民事公益诉讼的适用范围，现行立法规定为“污染环境、侵害众多消费者合法权益等损害社会公共利益的行为”；关于行政公益诉讼的适用范围，现行立法规定为“生态环境和资源保护、食品药品安全、国有财产保护、国有土地使用权出让等领域”。以解释论将网络安全纳入公益诉讼保护范围的关键在于对上述规定中的“等”字以及以此为特征的兜底型一般条款进行教义学分析，通过法律解释将网络安全纳入“等损害社会公共利益的行为”与“等领域”的保护范围，然后适用现行相关规则展开网络安全公益诉讼实践。

关于公益诉讼的保护对象，现行法律采取了具体列举，并以“等”字兜底的一般条款模式。因具体列举事项不包括网络安全，其能否适用公益诉讼的保护方式，关键在于对“等”字的解释。

法律解释学认为，任何法律条文之解释，均须从文义(文理)解释入手。“文字之意义，为法律之精神。”“法律解释必须从文字开始，文义解释是法律解释的开始，同时也是法律解释的终点。”因此，要以公益诉讼保护网络安全，需先对现行公益诉讼保护范围立法中的“等”字作文义解释。如果文义解释的结果将网络安全排除在公益诉讼保护的范围外，则自无进一步解释的必要。如果文义解释的结果不能将网络安全排除在公益诉讼保护范围之外，当进行下一步的解释，看“等”字所囊括的公益诉讼之保护范围应否包括网络安全。

查阅我国权威的汉语词典可知，法律规定中“等”字的含义有两种，包括等内等和等外等。所谓等内等就是在法律规定的列举事项之外，不再包含其它事项，即外延确定。《辞海》将等内等解释为：“列举尽后用以煞尾。如：张、王、李、赵等四人。”《现代汉语词典》将等内等界定为：“表示列举后煞尾，例如长江、黄河、黑龙江、珠江等四大河流。”所谓等外等，是指在法律规定所列举的事项之外，还包括其他事项，即外延不确定。对于等外等，《辞海》将其解释为：“亦以表示同等物列举未尽。如：北京、天津等大城市。”《现代汉语词典》将其界定为：“表示列举未尽（可以叠用），如北京、天津等地，纸张文具等等。”既然“等”字的文义既包括等内等，又包括等外等。那么，公益诉讼保护范围之相关规定中的“等”字，可以解释为等内等，也可以解释为等外等。如果解释为等内等，网络安全便无法包括在公益诉讼的保护范围内，如果解释为等外等，则网络安全可以包括在公益诉讼保护范围内。对此到底应解释为等外等还是等内等，对于该问题的解决至关重要。

就文义解释而言，我国公益诉讼保护范围立法中的“等”字为等外等已成为学界通说。其一，就民事公益诉讼而言，通说认为其保护范围规定中的“等”字应理解为等外等。“在我国，民事公益诉讼中检察机关有必要且可以起诉的行为不能仅仅限定在第55条规定的两类行为中，第55条中的‘等’应作‘等外等’解释。也就是说，检察机关可以针对其他种类损害公共利益的行为提起诉讼。”“‘等损害社会公共利益的行为’这样的限定词，说明立法者并不认为事关公益的诉讼仅限于此。”“检察机关提起公益诉讼的范围仅仅局于法律明确规定的公益领域已经远远不能满足实践之需，因为损害公益的行为有诸多表现，如民众反映强烈的安全生产、互联网、妇女儿童权益保护、扶贫以及国防、军事等领域的损害问题都涉及公益。”其二，就行政公益诉讼而言，规定其保护对象法条中的“等”字，应作等外等理解也已成为学界通说。“《行政诉讼法》第25条第4款中的‘等’作‘等外’解释，无论是理论界还是实务界，也已形成基本共识。”“所以上述受案范围规定中的‘等’应当作‘等外等’的理解，应以行政行为是否侵害公共利益为界定标准。”“对行政公益诉讼范围中的‘等’应作‘等外等’解释，这是由检察机关作为法律监督机关的法律定位以及行政公益诉讼‘保护国家利益和社会公共利益’的目的决定的。”最后，将“等”字作等外等的解释，还有最高人民法院的司法解释支持。《最高人民法院关于审理行政案件适用法律规范问题的座谈会纪要》（以下简称“《座谈会纪要》”）中明确了以下解释规则即：法律规范在列举其适用的典型事项后，又以“等”“其他”等词语进行表述的，属于不完全列举的例示性规定。以“等”“其他”等概括性用语表示的事项，均为明文列举的事项以外的事项，且其所概括的情形应为与列举事项类似的事项。

公益诉讼保护范围立法中的“等”字采取等外等解释，是由公益诉讼保护对象的特性决定的。公益诉讼保护的对象为公共利益。公共利益外延的不确定性必然使得作为其保护手段之“公益诉讼保护范围”具有开放性。因之，公益诉讼保护范围的“等”字采取等外等的解释结果，契合公益诉讼制度之目的。只要公益诉讼的保护对象“公共利益”具有开放性而难以精确界定，公益诉讼保护范围的“等”字必然应作等外等解释。

既然公益诉讼保护范围立法规定中的“等”字均应作等外等解释。接下来需要探讨的是，此种等外等可否将网络安全纳入其中。这需要进一步采用论理解释的方法予以证成。

第一，将网络安全纳入公益诉讼的保护范围契合其制度目的。“当立法者对特定行为方式作出了有约束力的的规定，他是要以此实现特定目的。因此，对法律的解释应当服务于法律的目的。”“每种立法行为—对法律公理的确证—如果要有意义，就都要预设它是合乎目的的。”“探求立法目的，是阐释法律疑义的关键。”法律适用“原本就不是形式逻辑，而是实质的目的。”由此可知，法律解释的过程及其结果，均应考虑目的因素，并应使解释结果合乎立法目的。不仅法律解释结果应符合立法目的，而且，目的因素考量在法律解释中还应居于优先地位。“当出现两种相反的解释意见的时候，应当采纳其中符合立法目的的那一种解释意见：这就是目的解释方法。”“事实上，相对于所有至今被提到的解释方法，现代的法律者甘愿置所谓的‘目的的’解释方式于一定的优先地位。”对公益诉讼保护范围立法中“等”字的解释，应首先使用目的解释方法。将网络安全纳入公益诉讼保护范围，符合公益诉讼的立法目的。首先，公益诉讼制度的目的在于保护公共利益。“公益诉讼制度的根本目的在于保护公益。公共利益包含国家利益和社会公共利益，涵盖的内容广泛，具有公共性。”“从公益诉讼制度设置的目的看，主要是为了维护国家利益和社会公共利益。”公益诉讼“其制度旨趣在于吸收不特定多数人参与到诉讼过程中来，平等实现当事人的起诉权，维护公共利益。”其次，网络安全事关公益，因而可以将其纳入公益诉讼的保护范围中。既然公益诉讼制度的立法目的在于保护公益，前已述及，网络安全涉及国家利益与社会公共利益。因此，从目的解释的角度分析，将网络安全纳入公益诉讼的保护范围不存在问题。

第二，将网络安全纳入公益诉讼的保护范围能产生较好的社会结果。“社会学解释，是指在法律文本出现复数解释的情况下，将社会效果等因素的考量引入到法律解释中，以解释文本在当前社会生活中应具有的含义，从而阐释法律文本的意义。”“运用社会学解释方法，重点在于对每一种解释可能产生的社会效果加以预测，然后以社会目的衡量，何种解释所生社会效果更符合社会目的。”据此可知，社会学解释的核心要义在于，对法律条文的理解有疑义时，应采取能够产生较好社会效果的解释结果。将网络安全纳入公益诉讼保护范围，能更有效的保护网络安全。其一，网络安全公益诉讼是贯彻党和国家领导人关于网络安全保护指示的重要举措，能更好的保护网络安全。习近平总书记强调：“网络安全为人民，网络安全靠人民，维护网络安全是全社会共同责任，需要政府、企业、社会组织、广大网民共同参与，共筑网络安全防线。”由此可知，有效保护网络安全保护有赖于“政府、企业、社会组织、广大网民共同参与”。公益诉讼则为其共同参与网络安全保护提供了重要途径，有利于推进“共同参与”的保护策略，保护网络安全。其二，网络安全公益诉讼是落实“拓展公益诉讼案件范围”的重要手段。党的十九届四中全会的决定提出要“拓展公益诉讼案件范围”。这表明，国家政策已将公益诉讼作为保护公共利益的重要举措，以公益诉讼保护公共利益，是公共利益保护方式的重要发展趋势。这也意味着，蕴含最重要公益——“国家安全”的网络安全，毫无疑问属于“拓展公益诉讼案件范围”之列。其三，如前所述，网络安全公益诉讼可以对现有公法、私法保护手段起到补强作用，能更好维护网络安全。

通过对保护范围中的“等”字作为单个字进行文义解释、论理解释将网络安全可以纳入公益诉讼的保护范围。另外，现行立法以具体列举+等的方式规定公益诉讼保护范围，此种立法模式属于兜底型一般条款。“作为兜底条款的一般条款，通常是与具体类型的列举相联系的一般条款，这种一般条款一定是以具体列举作为基础的。”对一般条款的具体化，应使用价值补充方法。“不确定概念和一般条款的具体化，学理上多称为‘价值补充’。”网络安全能否包括在公益诉讼的保护范围内，有赖于对规定其对象范围的一般条款予以具体化，此种具体化的方法即为价值补充。价值补充的重要手段是类型化或类型思维。“一般条款的开放性特点决定了无法通过法律解释穷尽其含义，这与不确定概念类似，必须借助于类型思维的方式，通过类型化进行具体化的操作。”还有学者认为，带有“等”字的法律条文属于例示式模式。而关于此类模式的具体化，应遵循同类规则。“对例示式规范进行解释时，适用最广泛、最普遍的规则就是同类规则。所谓同类规则，是指一个类概念或集合概念中列举了一些种类的事项，其未尽事项的扩大解释应当限于与所列举的事项属于同类，即使类概念可能有更加宽泛的含义也不能只从其字义解释。”从教义学的视角分析，包含“等”（等外等）字的例示式法律条文属于兜底型一般条款。解释其所用的“同类规则”与前述价值补充所用的类型思维并无区别。

网络安全能否适用公益诉讼保护的关键在于，使用同类思维或同类规则这一价值补充方式，能否将网络安全纳入公益诉讼适用的对象之中。如果能，则网络安全公益诉讼在教义学上可以成立；如果不能，则网络安全公益诉讼在教义学上无法成立。“民事案件与法律规定或者判例往往不完全相同，但只要主要特征相同，即属于同一类型，就可依该法律规定或者判例解决新的纠纷，这是司法活动中类型化思维的基本含义。”“类型即是我们常说的‘种类’‘分类’以及‘典型’；属于某一类型的事物，应当具有共同的特征。”同类规则与类型思维这种价值补充方法运用的核心在于：判断列举事项和预纳入“等”字的未列举事项是否属于同类。如果两者属于同类，则示例性规定当然可以适用于未列举的事项；如果两者并非同类，则示例性规定无法适用于未列举的事项。因之，此处的关键在于，网络安全是否与法律明确列举的公益诉讼保护对象属于“同类”。同类的判断标准在于两种事物是否具有相同的本质特征。关于公益诉讼保护范围的立法所明确列举的事项，其特征为均涉及公共利益。就此而言，公益诉讼的保护范围能否扩张至网络安全，取决于网络安全是否关涉公益。通过前文论述可知，网络安全关涉公益。因此，网络安全与公益诉讼立法所明确列举的保护对象具有共同特征或主要特征相同。按照同类思维或同类规则的价值补充方法，可以将网络安全纳入公益诉讼的保护范围。

需要强调的是，网络安全不仅关涉公共利益，而且其所关涉的公共利益还具于较高位阶。也即网络安全所涉及的公益在利益衡量中比现行立法所列举的公共利益应优先考量和保护。理由在于：首先，网络安全涉及国家安全利益，而国家安全利益明显属于公共利益。“公共利益分为两个层次：第一层为社会公共利益；第二层为国家利益。”“通常而言，公共利益是国家利益的上位概念，国家利益属于公共利益的一部分。”其次，以国家安全利益为核心的网络安全在公共利益中居于较高位阶。习近平总书记强调：“没有网络安全就没有国家安全。”“网络安全出问题，损害个人利益、企业利益，损害公共利益，损害国家利益，甚至挑战国际和平。”据此可知，网络安全代表着国家安全利益。“从字面上讲，国家的生存利益……在某种意义上可以等同于国家安全利益。”基于“国家生存利益绝对优先”的要求，公益诉讼制度“应当把国家安全作为绝对优先的考虑因素”。既然在位阶上低于国家安全的公共利益都受到公益诉讼的保护，而以国家安全利益为核心的网络安全，自然更应当受公益诉讼的保护。

如前所述，网络安全关涉国家安全公益、关键基础设施公共利益、个人网络信息保护公益以及儿童权益保护公益等诸多内容。对于不同的公共利益，原告提起诉讼的条件有所不同。

对危害网络安全中国家安全利益的行为，应无条件起诉，也即只要以网络形式危害国家安全，负有提起公益诉讼职责的主体就必须起诉。网络安全中的国家安全利益主要涉及以下方面：网络政治安全、网络军事安全、网络经济安全。“国家安全包括诸多领域，但政治安全是根本，是国家安全的重中之重。”因此，网络国家安全的首要内容是网络政治安全，也即网络行为不能损害我国政治安全。网络政治安全的核心为网络意识形态安全。“意识形态与政治安全密切相关。在和平时期，抓好意识形态工作至关重要。”“在网络安全观中，网络意识形态安全居于首要地位。”由此可知，政治安全的关键是意识形态安全，凡是以网络形式危害我国意识形态安全的，均可以提起公益诉讼。军事安全是国家安全的重要内容。“军事安全有非常广泛的内容，主要包括军队安全、军人安全、军纪安全、军备安全、军事设施安全、军事秘密安全、军事信息安全、军事工业安全、军事活动安全等。”网络危害军事安全的行为主要包括网络攻击、电子干扰、电子摧毁、无线电子谍报等网络战。凡是以这些行为（但不限于这些行为）危害军事安全的，均可以提起公益诉讼。并非所有危害经济的行为均能够提起公益诉讼。只有以网络行为危害我国国有资产、造成其损失或有损失可能的，才属于危害公共利益，能够提起公益诉讼。“国有财产具有典型的公共利益属性，因而它的司法救济途径应该采用与其相契合的公益诉讼制度。”因之，凡是以网络形式损害国有资产的行为，均可以提起民事公益诉讼。

危害关键信息基础设施以及损害儿童权益的网络侵权行为，均可以提起公益诉讼。“所谓的‘关键’就是指事关国家安全和公共安全，考虑到与国际接轨的需要以及范围过宽对企业造成的不利影响，关键信息基础设施的‘关键’应理解为事关国家安全、国计民生和公共安全。”无论是关键信息基础设施涉及的是国家安全、国计民生还是公共安全，都属于公共利益甚至是最为核心的公共利益。因之，危害关键信息基础设施的行为就是损害公共利益的行为，均可以提起民事公益诉讼。儿童是祖国的花朵，是民族的未来。因此，以网络方式侵害儿童权益的，都构成对公共利益的侵害，可以提起民事公益诉讼。

公共利益包括以下三种类型：国家利益、社会利益以及由多数人利益构成的“众益”。前两种属于当然的典型公共利益，而后者则是由私人利益集合转化而来的公共利益，具有非典型性。前述的网络安全中的国家安全利益、关键信息基础设施安全利益，均属于典型公共利益，而个人的网络信息权益则属于非典型的公共利益。个人网络信息权益有两种属性：一是每个单独民事主体个人的网络信息权益；一是由单个私人信息权益累积叠加构成的网络信息公共利益。“众多单个主体事件集合会因涉及了大范围的个体利益而演变成具有社会影响和示范效应的公众事件，在符合私益转化的三个条件时，抽离出另一类型的公共利益，即多数人利益，也称众益。”因此，单个人或者少数人的网络个人信息遭受侵害的，不适用网络安全公益诉讼。因为人数有限的个人信息尚不构成“众益”型公共利益，只能适用民事私益诉讼予以救济。只有大规模的网络个人信息遭受侵害时，才适用网络安全公益诉讼，因为人数众多的个人网络信息权益构成了公共利益。以前文最高检26个典型公益诉讼案例中的个人信息公益诉讼为例，该案中，将近有10万余条业主的个人信息，遭受到陈某某、杨某、骆某某等人的侵害。他们将这些信息非法出售、转让，造成消费者个人信息泄露的同时，也侵害了公共利益。我国民事诉讼法规定的消费公益诉讼的起诉条件为“侵害众多消费者合法权益”。根据相似或相同事项同样处理的法律适用规则，对侵害个人信息权益的网络行为，提起民事公益诉讼的条件为：侵害众多人的个人信息权益。由此可知，个人网络信息侵害公益诉讼的关键在于遭受侵害的人数能否因众多而构成“众益”。那么，到底多少人的网络信息权益遭受侵害，才可以损害由“众益”构成的公共利益？可以采用排除法解决此问题。受害主体为多数人的网络信息侵权案件，能够通过民事诉讼的“团体诉讼”或代表人诉讼解决，就无需通过网络安全公益诉讼解决。只有那些受害人人数众多，无法通过民事诉讼程序中的团体诉讼解决的，才能适用网络安全公益诉讼。

综上所涉，并非所有侵害网络安全所蕴含合法权益的行为均可以无条件提起网络安全民事公益诉讼。对于损害国家安全、关键基础设施安全以及儿童权益的网络侵权行为，可无条件提起网络安全民事公益诉讼。对于侵犯网络个人信息权益的行为，只有达到损害“众益”的程度时，才能提起网络安全民事公益诉讼。

我国2017年修正后的《行政诉讼法》在其第25条增加第4款规定：“人民检察院在履行职责中发现生态环境和资源保护、食品药品安全、国有财产保护、国有土地使用权出让等领域负有监督管理职责的行政机关违法行使职权或者不作为，致使国家利益或者社会公共利益受到侵害的，应当向行政机关提出检察建议，督促其依法履行职责。行政机关不依法履行职责的，人民检察院依法向人民法院提起诉讼。”由此可知，网络安全行政公益诉讼的起诉条件包括：其一，负有网络安全监管职权的监管部门“违法行使职权或者不作为”。根据我国《网络安全法》第8条的规定，国家网信部门、国务院电信主管部门、公安部门以及其他有关机关负责网络监管。因之，其“违法行使职权或者不作为”是检察机关提起行政公益诉讼的条件之一。其二，检察机关向不履行网络安全监管职责的机构提出检察建议，督促不履行职权的网络安全监管机构履行职责。其三，负有网络安全监管职责的机构经检察建议督促依然不履行职责。符合以上三个条件时，检察机关有权提起网络安全行政公益诉讼。

关于民事公益诉讼的起诉主体，我国民诉法以不确定法律概念方式笼统模糊的规定为“法律规定的机关和有关组织”。由此带来的疑问则是：在网络安全公益诉讼中，法律规定的机关是指哪些机关？法律规定的有关组织是指哪些组织？要解决该问题，必须依据“职能相关性原则”确定网络安全民事公益诉讼的原告。

作为起诉主体的“法律规定的机关与有关组织”必须符合“职能相关性原则”。“职能相关性原则要求可以担当公益诉讼的国家机关和社会组织必须是与公益诉讼的诉讼标的具有在其职能和组织宗旨方面的联系性。”根据我国《网络安全法》第8条的规定，网信部门、电信主管部门、公安部门以及其他部门是依照法律、行政法规在其各自职权范围内行使网络安全监管职权的机构。因此，当网络安全侵权行为落入上述机关的监管职权范围时，其可以提起民事公益诉讼，以填补遭受损害的网络安全公益。我国《网络安全法》第11条规定，网络相关行业组织是网络安全监管与网络行业健康运行的自律社会组织。根据“职能相关性原则”，网络相关行业组织也有权提起网络安全民事公益诉讼。另外，根据《网络安全法》第78条的规定，军事网络安全事项，由中央军委另行规定。因此，关于军事网络安全的民事公益诉讼，应由中央军委确定的负有保障军事网络安全职责的专门部门提起。

私人能否提起网络安全民事公益诉讼，殊值探讨。根据民诉法的规定，只有法律规定的机关与有关组织才能提起民事公益诉讼。据此，私人（自然人与非属于有关组织的法人、非法人组织）不能提起网络安全民事公益诉讼。然而，从切实保护网络安全的实效性观之，有必要依法确认私人的网络安全公益起诉权。其一，确立公民个体的网络安全民事公益诉讼起诉权具有历史依据。公益诉讼源起古罗马，“早在古罗马时期就己规定‘凡市民均可提起公益诉讼’”。其二，私人拥有网络安全民事公益诉讼起诉权符合公益诉讼起诉主体理论的发展趋势。关于公益诉讼起诉主体确定的理论标准先后有两个，产生在前的是“法律权利标准”，发展在后的是“利益范围标准”。根据“利益范围标准”，凡是因公益受损而导致利益减损的私人均享有民事公益诉讼起诉权。其三，法律认可私人的网络安全民事公益诉讼起诉权，有利于维护网络安全。“从信息经济学与公共选择理论来看，与单靠规制主体揭发违法行为和规制主体垄断法律实施的体制相比，通过私人拓宽法律实施的渠道更具有效性和经济性。”其四，私人享有网络安全民事公益诉讼起诉权与我国逐步扩张公益诉讼起诉主体范围的立法政策相吻合。国务院办公厅2014年出台的《关于加强环境监管执法的通知》提出：“鼓励社会组织、公民依法提起公益诉讼和民事诉讼。”国务院出2015年台的《关于积极发挥新消费引领作用加快培育形成新供给新动力的指导意见》提出要：“适当扩大公益诉讼主体范围。”由此可知，从我国立法政策看，民事公益诉讼起诉主体范围呈现逐渐扩张的趋势。私人享有网络安全民事公益诉讼起诉权符合法政策的要求与发展趋势。

为有效发挥公益诉讼制度维护公共利益的功能，党的十八届四中全会提出“探索建立检察机关提起公益诉讼制度”。据此，2015年，在北京、内蒙古、吉林等13个省区市，全国人大常委会授权最高人民检察院开展为期两年的行政公益诉讼试点工作。试点工作获得成功后，全国人大常委会2017年修改的《行政诉讼法》第25条增加第4款专门规定以检察机关作为原告的行政公益诉讼制度。据此规定，网络安全行政公益诉讼的原告是各级检察机关。

需要探讨的是，网络安全公益组织能否作为行政公益诉讼的起诉主体。虽然我国《行政诉讼法》明确规定的行政公益诉讼起诉主体是检察机关，不包括网络安全公益组织，但未来立法或网络安全行政公益诉讼司法实践中，应认可网络安全公益组织能够作为网络安全行政公益诉讼的起诉主体资格。理由在于：其一，行政公益诉讼是为了维护公共利益，网络安全公益组织作为依法成立的、专门维护网络安全的社会组织，应有权提起网络安全公益诉讼。这既契合其成立目的，又是行使其应有权限的必然要求。其二，这是公益诉讼制度体系化的必然要求。法律体系化要求，对相同事情应作出相同价值评价。网络安全民事公益诉讼的原告可以是社会公益组织，网络安全行政公益诉讼的原告也应包括社会公益组织。这样才能落实法律对两种公益诉讼一视同仁，予以相同价值评价的体系化要求。其三，这是落实“共同参与”网络安全治理的重要举措。前已述及，维护网络安全，“需要政府、企业、社会组织、广大网民共同参与”，赋予网络安全公益组织以行政公益诉讼起诉权无疑是贯彻该要求的有效措施。

第一，请求停止侵害、排除妨碍、消除危险等禁止性诉讼请求。当侵害或可能侵害网络安全公益的行为正在进行，民事公益诉讼原告可以请求法院判令被告停止侵害，以终止危害网络安全的侵害行为。当主体的行为有侵害网络安全公益的可能时，原告可以请求法院判令被告消除危险、排除妨碍，以将损害消灭在萌芽状态。

第二，请求赔礼道歉。赔礼道歉最早是适用于因人身权受到侵害，导致受害人遭受精神损害的民事责任方式。正因为如此，早期的民事公益诉讼中法院一般不支持原告请求判令被告赔礼道歉的诉讼请求。“赔礼道歉的适用对象为包括精神利益的人格权和著作权，而生态破坏和环境污染侵害的主要对象是生命权和健康权，不赞同在环境民事公益诉讼中适用赔礼道歉。”然而，随着我国进入风险社会，侵害公益的行为不断增加，后果也趋于严重，司法实践也随之改变立场，2015年、2016年最高人民法院先后颁行的《关于审理环境民事公益诉讼案件适用法律若干问题的解释》《关于审理消费民事公益诉讼案件适用法律若干问题的解释》等两部司法解释均承认在民事公益诉讼中，原告可以提出赔礼道歉的诉讼请求。因此，在网络安全民事公益诉讼中，可以适用赔礼道歉的责任形式，原告可以请求法院判令被告赔礼道歉。法院应根据案件事实作出是否支持原告诉请的裁判。

第三，确认请求。确认请求即公益诉讼原告请求法院依法确认涉及网络安全公共利益的法律关系存在或不存在。确认请求与确认之诉密切相关，是诉讼法中确认之诉在网络安全民事公益诉讼中的具体应用或体现。诉讼中的确认之诉是指：“原告要求法院确认其主张的法律关系存在或不存在的诉讼。”根据原告请求确认的对象，可以将确认请求分为：一是行为效力型确认请求，比如，请求确认合同无效、请求确认公司决议行为效力的诉讼等。二是权利或资格归属型确认请求，比如，请求确认所有权归属的诉讼，请求确认股东资格的诉讼等。三是人身关系确认请求，比如，请求确认收养关系的诉讼等。网络安全民事公益诉讼中，最重要的确认请求是行为效力或行为违法的请求。即原告可以提起确认请求，要求确认损害网络安全公共利益的合同无效，确认损害或可能损害网络安全公共利益的行为违法等。

第四，请求赔偿损害。损害赔偿包括填平型损害赔偿与惩罚型损害赔偿。在司法实践中，原告是否能够请求填平型损害赔偿，取决于公益诉讼的类型。比如，消费者公益诉讼，司法实践不承认原告可以提起损害赔偿请求。2016年5月1日正式施行的《最高人民法院关于审理消费民事公益诉讼案件适用法律若干问题的解释》第13条明确规定：“原告在消费民事公益诉讼案件中，请求被告承担停止侵害、排除妨碍、消除危险、赔礼道歉等民事责任的，人民法院可予支持。”根据反对解释，该规定似乎认可在消费公益诉讼中，原告不能提起损害赔偿请求。2015年1月7日施行的《最高人民法院关于审理环境民事公益诉讼案件适用法律若干问题的解释》第18条明确规定，原告在环境民事公益诉讼中，可以享有赔偿损失请求权。由此可知，司法实践对公益诉讼中的填平型损害赔偿请求权并未全部肯认。网络安全公益诉讼的原告能否要求被告赔偿损失，颇值研究。我国网络安全公益诉讼原告应具有请求赔偿的权利。理由在于：一是该做法符合有损害必有赔偿的基本法理。有损害必有填补，而赔偿是损害填补的主要措施。无论是私人利益抑或公共利益遭受损害，均应予以填补。所以，在网络安全民事公益诉讼中，依法确认原告的损害赔偿请求权，符合损害赔偿法的基本原理。二是承认网络安全民事公益诉讼中原告的损害赔偿权，正好可以发挥公益诉讼的独特优势，能有效弥补网络安全行政保护、刑事保护的不足。因为公法保护重威慑而轻填补，导致受损害的网络安全公共利益无法得以恢复。网络安全民事公益诉讼损害赔偿请求权则可以弥补公法保护的不足，填补网络安全公益所遭受的损失，为其提供严密周到的法律保护。

网络安全行政公益诉讼与行政诉讼之间，是特殊与一般的关系。因此，法律规定的行政诉讼的诉讼请求，网络安全行政公益诉讼也可以适用。我国《行政诉讼法》第49条规定原告起诉必须“有具体的诉讼请求”，但并未明确原告可以提出的诉讼请求有哪些。为此，《最高人民法院关于适用〈中华人民共和国行政诉讼法〉若干问题的解释》（以下简称“《适用行诉法若干问题的解释》”）第2条将前述第49条予以具体化，明确原告可以提起的诉讼请求包括以下情形：撤销或变更请求；履行请求；确认违法请求；确认无效请求；赔偿、补偿请求；解决行政协议争议请求；一并审查规范性文件请求；一并解决民事争议请求；其他请求。在行政公益诉讼中，《最高人民检察院关于人民检察院办理公益诉讼案件的规定（试行）（征求意见稿）》（以下简称“《检察院办理公益诉讼案件规定》”）第51条规定，作为原告的检察机关可以提出以下四项诉讼请求：撤销或者部分撤销违法行政行为；在一定期限内履行法定职责；确认行政行为违法；无效。因此，在网络安全行政公益诉讼中，原告可以根据被告的违法行为类型，相应提出以上四种诉讼请求中的一种或几种。《适用行诉法若干问题的解释》规定的诉讼请求范围大于《检察院办理公益诉讼案件规定》规定的公益诉讼请求范围，且两者构成一般与特殊的关系。由此带来的问题是，除《检察院办理公益诉讼案件规定》所确认的四项诉讼请求外，网络安全行政公益诉讼的起诉主体还能否提出《适用行诉法若干问题的解释》所规定的其他诉讼请求。为有效保护网络安全，行政公益诉讼的起诉主体可以根据受损害的权益状况，提出其他诉讼请求。

网络安全涉及公共利益，且在诸多公益类型中居于较高位阶，因之，有必要强化对它的保护。以公益诉讼保护网络安全，既有现实必要性也有制度及实践可行性。在我国立法尚未明确将网络安全纳入公益诉讼保护范围的情形下，对其保护应分为先后两条路径：解释论路径与立法论路径。解释论路径的核心在于通过对现行关于公益诉讼保护范围之法律规定中的“等”字以及以其为核心表述特征的一般条款进行教义学分析，通过解释将网络安全纳入公益诉讼保护范围之内，并适用现行其他关于公益诉讼的程序性或实体性规范予以保护。立法论的路径在于针对网络安全的特殊性，构建以其为基础的、有针对性的制度，以期在立法上建立网络安全公益诉讼保护制度。该制度与民诉法与行诉讼法中的公益诉讼条款构成特殊与一般的关系，并借此形成体系化的网络安全公益诉讼规则，切实保护我国的网络安全。

我国网络安全公益诉讼立法应完善的主要内容包括：网络安全公益诉讼的类型，包括两种：网络安全民事公益诉讼和网络安全行政公益诉讼。前者的起诉事由为侵害国家安全、侵害网络关键基础设施、儿童权益的无条件起诉，以及大规模侵害私人网络信息权益构成加害“众益”的有条件起诉；起诉主体除法律规定的网信部门、电信主管部门、公安机关以及网络相关组织外，还应包括因网络公益侵害而波及的私人。他们可以提起损害赔偿、停止侵害、赔礼道歉等诉讼请求。后者的起诉事由为网信部门、电信主管部门、公安部门等机关不履行法定职权或违法履行职权、经检察机关建议后仍不改正；起诉主体不仅包括检察机关，而且应包括网络安全公益组织。他们可以提起如下诉求：撤销或者部分撤销违法行政行为；在一定期限内履行法定职责；确认行政行为违法或无效；根据网络安全受损情况，提起的其他诉讼请求。