《个人信息保护法》中公益诉讼条款的理解与适用
摘要:为了更全面地保护个人信息权益,维护社会公共利益,顺应社会主义法制建设要求,在2021年11月1日生效实施的《中华人民共和国个人信息保护法》中明确了人民检察院作为诉讼主体的个人信息保护公益诉讼路径。但与既有的消费者权益保护公益诉讼及生态环境保护公益诉讼相关法律规定比较,个人信息保护公益诉讼的法律规定太显原则。遵循个人信息保护公益诉讼法律规定条款进行展开分析、探讨,并参照典型案例对该条款进行解读,分析公益诉讼制度可能面临的困境及障碍,以期充分理解个人信息保护公益诉讼制度提供帮助。
关键词:个人信息保护;公益诉讼;法律责任
一、检察公益诉讼在个人信息保护领域的新定位
互联网、大数据等新兴产业正在改变人们的生活方式,也在改变现代社会的运行模式。这些新兴的科学技术深深地嵌入到每个人的生活方式当中。人们在享受互联网、大数据带来便利的同时,也承受着新技术所伴随的不确定风险:以数据为形式的个人信息正面临各种觊觎。在使用互联网的过程中,互联网活动参与人相互识别的个人信息、参与互联网活动所产生的“痕迹”信息等已经被贴注了强烈的个人属性,而这些信息随时面临被泄露、被滥用的困境。加强个人信息保护,既与个人利益密切相关,更关系到数字经济健康发展,是推进国家治理体系和治理能力现代化必须破解的难题。为了适应个人信息保护的现实需求,《个人信息保护法》应运而生;为了更好地保障个人信息安全,维护社会利益,法律中确定了检察公益诉讼的保护路径,将个人信息保护工作纳入检察公益诉讼制度的框架内,以国家公权力来保障个人信息所涵射的公共利益。
(一)设置检察公益诉讼的必要性
信息技术浪潮、大数据时代等先进技术理念已经深入普罗大众的意识当中。“拥抱互联网”的理念已经产生了重大的社会效应,互联网给千万人的生活带来了便捷,同时也提出了新的问题:天量的数据信息该如何保护、利用?2021年12月12日,国务院印发了《“十四五”数字经济发展规划》,规划要求加快以数字化转型驱动生产方式、生活方式和治理方式变革。据《国家数据资源调查报告(2021)》,2021年我国数据产量达到6.6ZB,同比增加29.4%。在大数据时代,健全个人信息保护制度,强化数据安全措施是促进数字经济健康发展的内在需要。数据的海量增加,对于如何维护数据安全提出了更高的要求。这些海量的数据信息所代表的个人信息权益不仅需要保护,而且需要一个全新的制度来加以保护,因为信息的规模已经超越了个人权益所能覆盖的范畴。显然,这些由一个个独立的社会活动参与主体所产生的数据已经超越了个体利益,上升到了代表社会不特定多数人的公共利益,而社会公共利益须施以与私益所不同的力度来保护。保护社会公共利益的需求催生了个人信息由个人控制走向社会化保护。据相关报告数据显示,我国个人信息保护的形势仍旧严峻:2022年11月10日《检察日报》的报道,2018 年以来全国检察机关以侵犯公民个人信息罪批捕16459 人、起诉33417 人,其中,2022年1 月至9 月批捕1199 人、起诉6223 人,较2018 年同期分别下降47.2%、上升87.9%。逐年递增的起诉人数表明在公民个人信息领域的犯罪呈现愈演愈烈的态势,侵犯个人信息权益的犯罪趋势并未得到有效遏制。一方面是打击犯罪的常态化,另一方面是个人信息屡遭侵犯的局面。新形式下面临的众多个人信息保护的困境,凸显了创新个人信息保护路径的必要性。个人信息保护范式应当在“个人信息受保护权—国家保护义务”框架下进行重塑,一方面,国家应当保持克制和谨慎,履行其消极义务;另一方面,国家还应当通过制度性保障、组织与程序保障等措施为个人提供积极保护,支援个人对抗大规模数据处理活动。
(二)检察公益诉讼的可行性
检察公益诉讼是实现上述个人信息保护路径“国家保护主义”的重要方式,是检察机关参与个人信息保护的重要途径。检察机关是符合法律规定的、能够依职权提起公益诉讼的主体。在个人信息保护领域设置检察公益诉讼是强化检察机关法律监督职责的必然要求,也是确立中国特色检察公益诉讼制度的发展趋势。2014年10月,党的十八届四中全会通过了《中共中央关于全面推进依法治国若干重大问题的决定》,明确提出“探索建立检察机关提起公益诉讼制度”;2017年在修订《民事诉讼法》《行政诉讼法》中明确检察机关提起公益诉讼的规定;2019年10月,党的十九届四中全会进一步提出“拓展公益诉讼案件范围,完善生态环境公益诉讼制度”的要求;2020年9月,最高人民检察院印发《关于积极稳妥拓展公益诉讼案件范围的指导意见》,将“个人信息保护”作为互联网领域侵害个人民事权益的办案重点;2021年11月,《中华人民共和国个人信息保护法》生效实施,明确检察机关是提起个人信息保护公益诉讼的法定主体之一。上述决定、意见、法律等规范文件的发布过程就是中国特色检察公益诉讼制度的发展轨迹:由党中央的决定逐步落实到相关主体机构(检察机关)的履职过程,将落实经验结合理论研究上升为体现国家意志的实体法律。这正说明在党中央领导下的检察公益诉讼制度是符合中国国情的,是能够有效保护社会公共利益的司法制度。在体现社会公共利益的个人信息领域设置检察公益诉讼,由检察机关充当个人信息保护公共利益的守护者,是检察机关发挥新时代中国特色公益诉讼职能的必然路径。
二、检察公益诉讼在个人信息保护领域的适用条件
根据《个人信息保护法》第七十条规定,就个人信息领域提起公益诉讼有三个特定的前提要素:一是针对特定主体,即个人信息处理者;二是针对特定行为,即个人信息处理者违法处理个人信息的行为;三是要有后果,即产生侵害众多个人权益的结果,因违法行为已经造成了侵害众多个人权益的实害后果或对众多个人权益造成一定的现实危险。只有符合上述条件的违法行为方能成为提起公益诉讼的对象。以下将逐个说明上述前提要素。
(一)特定主体
即个人信息处理者,是在个人信息处理活动中能够自主决定处理个人信息目的及方式的组织、个人。《民法典》第六章内容首先使用个人信息保护、信息处理者的概念,但现有法律规定并没有明确将个人信息处理者进行分类。结合现有法律规定及最高司法机关颁布的个人信息保护诉讼案例,个人信息处理者大致可以分为两类:一类是国家机关以及行使行政职责的相关机构(含工作人员);一类是提供服务的经营者(含工作人员)。对于作为信息处理者的国家机关以及行使行政职责的相关机构,《民法典》《个人信息保护法》均规定了处理信息时应尽的义务,如知悉信息后的保密义务等。《个人信息保护法》的规定延续了民法典关于个人信息保护的内容,同时就国家机关在处理个人信息方面的一般处理规则、敏感个人信息处理规则等内容做出了与其他处理主体一致的规定。2023年3月最高人民检察院发布的8件个人信息保护检察公益诉讼典型案例,其中的辽宁省沈阳市大东区人民检察院督促规范政务公开个人信息保护行政公益诉讼一案就是针对行政机关在处理个人敏感信息时并没有进行去标识化、匿名化处理而引发个人敏感信息泄露隐患。对于作为信息处理者的经营者,《消费者权益保护法》第二十九条的内容是就经营者在提供服务过程中收集、使用等处理消费者个人信息时应当注意的义务。在最高人民检察院发布的个人信息保护检察公益诉讼典型案例当中,亦有互联网公司、快递单位、培训机构等经营单位泄露个人信息的案件。其中浙江省湖州市检察机关诉浙江G旅游发展有限公司侵害公民个人信息民事公益诉讼一案就是针对服务提供者未经他人同意采集敏感个人信息、采集信息后处置不当等行为导致侵害不特定的个人信息权益,有酿成社会公共利益受损的现实危险。
(二)特定行为
提起检察公益诉讼所针对的违法行为是“违反本法规定处理个人信息”,即违反个人信息保护法中关于信息处理者在处理个人信息时所禁止的行为。根据《民法典》第一百一十一条规定,违法的行为表现为:非法收集、使用、加工、传输他人个人信息,非法买卖、提供或者公开以上信息。信息处理者发生上述情况的即构成民事侵权。《个人信息保护法》的规定内容与《民法典》的内容具有一定的重合,同时还进行了一定的扩展,将“从事危害国家安全、公共利益的个人信息处理活动”纳入违法范畴。这说明个人信息所蕴含的公共利益属性,对个人信息的侵害行为可能上升到危害国家安全及社会公共利益的程度。
(三)侵害众多个人权益的结果
根据《个人信息保护法》第七十条的规定,提起个人信息保护公益诉讼的违法行为应当达到“侵害众多个人的权益的”程度。关于个人信息权益,《民法典》和《个人信息保护法》均没有明确提出所谓的“个人信息权”,但在法律适用时赋予个人信息具体的保护内容。2020年12月,最高人民法院发布关于修改《民事案件案由规定的决定》,在决定中将原来的“隐私权纠纷”变更为“隐私权、个人信息保护纠纷”,明确了个人信息侵权的诉讼事由,也就认可了个人信息所代表的利益,在该利益受到侵犯时法律会予以保护。何为“众多”?个人信息保护法没有给出明确规定。“众多”的表述不应陷入唯数量论的思维。不能将个人信息数量的多寡来作为提起公益诉讼的唯一判断标准。诚然,当个人信息积累到一定“量”时,即可产生“质”变,侵害个人信息的“量”变一定会引起公共利益损害的“质”变。实践中,侵害个人信息权益的行为多发生在消费领域,经营者向不特定的消费者提供服务。而公共利益就是不特定的多数人的利益。法条中“侵害众多个人权益”的表述与《民事诉讼法》第五十八条“侵害众多消费者合法权益”的表述类似,可以借鉴消费者权益保护领域中“众多”的认定规范。在启动公益诉讼程序前,对于造成社会公共利益受损的结果,除了应当考虑个人信息在“量”上的条件外,还应当将个人信息本身的内容、重要程度、是否涉及隐私或敏感信息、泄露信息场景等内容纳入侵害社会公共利益的考量范畴,树立“量”、“质”双标准的判断模式,发挥检察公益诉讼最大的社会效用。
三、检察公益诉讼在个人信息保护领域的适用现状
最高人民检察院于2021年4月、2022年12月、2023年3月共计发布了三个批次、24个与公民信息保护相关的典型案例,涵盖了多个社会领域、涉及多种诉讼主题。典型案例中,有的明确了个人信息的内涵、有的提出了协同治理的举措,有的表明了公益损害赔偿金的适用。典型案例的发布,说明检察机关在个人信息保护领域是能够有所作为的。各级检察机关切实履行法律赋予的监督职能,履行公共利益的代表者、公益诉讼的协助者、公益诉讼起诉的兜底者,以公共利益保护为核心出发点,不断织密个人信息的保护网,通过办案为抓手,切实推动个人信息保护工作更加深入、协调发展。在看到检察机关在个人信息保护领域取得成绩的同时,也应当认识到检察公益诉讼在个人信息保护方面所面临的困境,毕竟这是我国检察公益诉讼制度推向纵深的摸索,有创新,也有不足。
(一)典型案例所反映出来的个人信息保护检察公益诉讼特点
1、案件种类多样,适用多种途径、方法来保护个人信息。24个典型案例包括行政公益诉讼、民事公益诉讼、刑事诉讼(含刑事附带民事公益诉讼),内容涵盖了社会生活多个不同方面。检察机关通过督促相关行政职能部门积极履职、接力刑事诉讼检察职能主动提出刑事附带民事公益诉讼、积极主动承担民事公益诉讼起诉者等形式,提出保护个人信息公益诉讼主张。典型案例的发布,确立了个人信息保护领域检察机关可以提起公益诉讼的范畴,明确了检察机关作为个人信息保护公益诉讼起诉者的地位,指导基层检察机关积极发挥个人信息保护者的作用。
2、通过诉前检察建议策动不同行政部门积极履职,提高行政机关保护公民个人信息的积极性。典型案例中,有10件行政公益诉讼案中,检察机关督促相关行政机关履职;另5件案件刑事、刑附民、民事案件中,检察机关发挥能动性,通过发现案件中反映出来的相关行政部门管理漏洞,从综合治理、诉源治理角度出发,有针对性地向相关行政部门制发检察建议,督促行政机关履行保护个人信息职能,健全管理措施,从根本上堵塞制度漏洞,完善个人信息源头监管。行政机关作为个人信息处理者的监管者,及时发现个人信息处理者违规违法处理个人信息的行为并针对该行为进行规制或处罚,此乃行政机关应有职责。实践中,囿于行政机关在调查人员、调查手段等方面的短板,并不能及时发现并规制违规违法处理个人信息的行为。这也是行政机关行政执法滞后性的根源。通过检察公益诉讼,及时将漏管的违规违法行为与行政机关磋商并制发检察建议,督促行政机关履职。
3、明确提出个人信息侵权公益损害赔偿金的诉讼请求。在典型案例中,有4件案例检察机关明确要求被告人承担赔偿责任,其中3件系要求被告人支付公益损害赔偿金。关于公益损害赔偿金的金额,则依照被告人通过侵害公民个人信息权益获利的金额来确定。在“宁夏回族自治区青铜峡市人民检察院诉张某某等人侵犯公民个人信息刑事附带民事公益诉讼案”中,二审法院明确“刑事没收违法所得与民事公益损害赔偿金不属于双罚制,要求被告人承担承担民事赔偿责任与追缴违法所得并不矛盾”的主张,为检察机关在将来的个人信息保护公益诉讼案件中提出民事赔偿提供了实践支撑。通过追究违法行为人刑事及民事责任,追缴违法所得及并由其承担公益损害赔偿,能够更加有效震慑侵害个人信息的违法行为。
(二)典型案例所反映出来的个人信息保护检察公益诉讼的不足
截止目前,三批次共计24个典型案例的发布,说明我国个人信息保护检察公益诉讼仍处于探索阶段,实践经验正在逐步积累。24个典型案例肯定不能详尽列示个人信息保护领域检察公益诉讼的全貌,但从典型案例中反映出来的不足应当予以足够重视。
1、公益诉讼案件线索来源范围狭窄,刑事及刑事附带民事案件类型占多数。发现线索是启动检察公益诉讼的前提,线索的质量也影响着公益诉讼社会效果。换言之,线索的质量、价值的大小影响着检察公益诉讼案件的质量和效果。根据《宪法》《人民检察院组织法》《最高人民法院、最高人民检察院关于检察公益诉讼案件适用法律若干问题的解释》等法律及司法解释的规定,人民检察院是我国的法律监督机关,对于在履行职责中发现的损害社会公共利益的行为可以提起公益诉讼。同时《人民检察院公益诉讼办案规则》也规定了公益诉讼线索来源具有多样性:控告和举报、检察院办案中发现、行政执法信息共享平台发现、机关团体及人大代表政协委员转交、新闻舆情和社会舆论反映、其他履职过程中发现等六种。但是在典型案例中所反映出来的线索来源较为单一。在24件典型案例中,有15件案件是通过刑事诉讼或者在刑事诉讼过程中发现的公益诉讼线索,占比62.5%;有6件是通过志愿者反映、群众举报等途径发现的线索,占比25%;有2件是通过专项行动或者行政信息共享等途径发现的线索,此种途径具有检察机关发挥能动性的作用,具有一定的主动性,占比8.3%;有1件案件经过媒体报道后发现,占比4.2%。相关情况如下表:
表1:个人信息保护检察公益诉讼典型案例线索统计
表2:个人信息保护检察公益诉讼典型案例类型统计表*
(*说明:三批次典型案例中有5件案件为刑事案件,故未在表2中统计)
上述案例反映出目前个人信息保护领域公益诉讼的线索主要来源于刑事案件的审查。虽然通过反映、举报、媒体报道等途径也有线索来源,但数量较少。来源的狭窄不能足够准确地反应出个人信息保护领域的侵权现状,不能全面地反映社会大众对个人信息保护的实际需求。侵害个人信息权益的犯罪案件,犯罪行为所造成的社会公益损害后果不能及时显现出来,损害结果与案件的发生不具有同步性,可能导致社会公共利益的损害有一定的滞后性。过度依赖从刑事案件中获取线索无法准确判断个人信息损害的社会后果,以及是否造成了公共利益损害、损害的程度如何,难以满足大数据时代个人信息保护面临的严峻挑战。
2、民事检察公益诉讼责任未能突破传统民事责任的范畴。在发布的9件民事及刑事附带民事检察公益诉讼典型案件中,要求侵权主体承担的责任的方式主要有:赔礼道歉、停止侵权、删除信息、赔偿损失。赔礼道歉是多数案件的诉讼请求之一。经过审判,让法院判处侵权主体通过公共媒介就其侵权行为予以公开道歉的情形亦是主要判处方式。停止侵权、删除信息则是对于侵权主体非法收集后储存个人信息行为所承担的责任,方式有关闭网站、删除存储设备内存储的个人信息、注销账号、作出承诺等。赔偿损失,在具体案件过程中称为公益损害赔偿金,是对受损的公共利益予以弥补所支付的赔偿。在“上海市浦东区张某侵犯公民个人信息刑事附带民事公益诉讼案”中,对于如何计算公益损失提供了一个可参考的方法:公益损失难以直接计算的,可以按照侵权人通过侵权获得的利益来确定赔偿金额。典型案例中的在“河北李某侵害消费者个人信息和权益民事公益诉讼案”,检察机关要求侵权主体承担了惩罚性的赔偿。貌似检察机关有突破传统、将惩罚性赔偿扩张至检察公益诉讼当中予以使用。但实际上该案赔偿的原因是李某使用非法获取的个人信息来进行消费欺诈,赔偿基础是基于李某实施了消费欺诈行为,不是因为李某的个人信息侵权行为,且获得赔偿的主体是该案的受害人,而不是检察机关。
一、个人信息保护检察公益诉讼制度的完善建议
《个人信息保护法》第七十条是就个人信息保护领域公益诉讼做出的专门规定,结合最高人民检察院适时发布的典型案例,笔者就个人信息保护领域检察公益诉讼的进一步顺利展开提供一定的措施建议。
(一)理顺起诉主体顺位,协调发挥综合效能
根据《个人信息保护法》第七十条的规定,能够提起个人信息保护公益诉讼的主体有三类:检察机关、法律规定的消费者组织、国家网信部门确定的组织。三个主体之间没有法定的先后顺序,但在实际操作中并非如此。对于提起保护个人信息的民事公益诉讼,《民事诉讼法》第五十八条确定了先由行政机关或法定组织提起诉讼,检察机关顺位在后的规则。现有的《民事诉讼法》没有规定检察机关具有直接起诉权,而是要求由法定组织在怠于或者没有提起诉讼时,检察机关经过公告后相关组织仍没有起诉的,检察机关才能提起诉讼。在最高检发布的典型案例中,“熊某侵犯公民个人信息刑事附带民事公益诉讼案”、“谭某侵犯公民个人信息刑事附带民事公益诉讼案”都是检察机关经过与消费者权益保护组织磋商、公告后,消费者权益保护组织不提起诉讼,由检察机关提起公益诉讼。对于行政公益诉讼而言,根据《人民检察院公益诉讼办案规则》及两高司法解释的规定,行政公益诉讼规定了诉前检察建议的举措。经过阶梯式的磋商、诉前检察建议、提起诉讼等步骤,逐步提高监督力度,督促行政机关履行相应职责。上述民事、行政公益诉讼中与相关组织磋商、公告及诉前检察建议的措施都属于公益诉讼前置程序,是提起民事、行政公益诉讼必须经历的阶段。有学者认为在检察公益诉讼中设置上述程序的功能主要在于督促政府履行法定责任、补强社会组织的诉讼能力,节约检察机关办案资源、尊重适格起诉主体。笔者认可前述学者的观点,并认为检察公益诉讼应当坚持这一顺位,即坚守检察机关是法律监督机关的根本职责,适当发挥公益诉讼兜底起诉者的角色定位,坚持行政机关或法定组织的诉权在先、检察机关的诉权在后,利用职能优势做好支持起诉工作,协调发挥个人信息保护公益诉讼制度的综合效能。《个人信息保护法》已经发布生效,法条规定了个人信息处理者在处理个人信息时应当注意的义务、责任以及行政机关就信息处理者的监管职责。与网信部门相比,检察机关在人员的专业素质、设备的专业能力上存在巨大差距。国家网信部门作为履行个人信息保护的专门机构具有更强的专业能力与技术手段,能够突破个人信息侵权隐秘性、规模性、即时性等特点,能够更加准确地识别个人信息违规侵权行为。充分发挥网信部门的专业优势及能力,搜集信息处理者违法处理个人信息的技术证据,结合检察机关支持起诉的职能,能够更加有效地推进个人信息保护工作走入纵深。
(二)视情提出惩罚性赔偿诉讼请求,提高保护措施威慑力度
《个人信息保护法》第六十九条规定了信息处理者应当承担“损害赔偿”的赔偿规则,赔偿数额为“个人因此受到的损失或者个人信息处理者因此获得的利益”;对于前述损失或获利难以确定的,还确立了“根据实际情况确定”数额的灵活规定。该规定属于个人信息处理者违法处理个人信息导致权益受损而进行的赔偿,是一种对私益的赔偿,不能据此否定公益诉讼惩罚性赔偿金的适用。根据《民法典》第一百七十九条的规定,“法律规定惩罚性赔偿的,依照其规定。”结合《民法典》第一千一百八十五、一千二百零七、一千二百三十二条的规定,就惩罚性赔偿而言,需要行为人在主观上具有明知或者故意、客观上造成了严重的损害后果。以侵犯公民个人信息的刑事案件为例,行为人不论出于何种目的或动机,主观上均具有故意,客观上也确实造成了严重的损害后果(虽然个人信息侵权的侵权行为与损害后果之间存在时间间隔),追究刑事责任并不能对受损的公共利益进行弥补,且该行为完全符合提出惩罚性赔偿的条件。因此,在侵害公共利益的个人信息公益诉讼案件中,引入惩罚性赔偿制度具有一定的合理性。最高人民检察院与最高人民法院等七部门于2021年6月印发的《探索建立食品安全民事公益诉讼惩罚性赔偿制度座谈会会议纪要》,肯定地提出在涉及重大民生问题、重大公共安全问题的食品安全领域“探索建立食品安全民事公益诉讼惩罚性赔偿制度”安排,通过对侵权人提起民事公益诉讼惩罚性赔偿,加大违法成本,对侵权人及潜在违法者产生震慑和警示作用。可见,在涉及公共利益的公益诉讼中引入惩罚性赔偿制度是未来司法实践的趋势。数量庞大、蕴含公共利益的个人信息被非法处理,其实质上是对一定数量的个人信息侵权行为,这种侵权的后果给被侵害的群体造成困扰,而且这种侵权对个人造成的直接财产损失可能较少,补偿性的损害赔偿对被害人的救济不足,对侵权者的震慑作用不够。于个体而言,赔偿尚且不足;于公益来讲,弥补则无从谈起。惩罚性赔偿既有补偿受害人损失的功能,也有惩罚和遏制不法行为的功能。因此,对于符合侵害公益的个人信息侵权行为,应当视情提出较私益补偿性赔偿更高的惩罚性赔偿,提高对大规模侵害个人信息行为的威慑,筑牢一般信息侵权的预防措施;更重要的是通过惩罚性赔偿制度的引入,明示侵害公益将遭受的严重后果。
二、结语
将个人信息保护纳入公益诉讼制度框架内是完善个人信息保护机制的必要之举。检察机关作为能够提起公益诉讼的法定主体之一,在维护公共利益方面应当发挥更大的作用。在理顺适格的起诉主体的基础上,充分发挥检察机关作为司法机关的职能,一方面积极支持法定机构提起公益诉讼,另一方面与法定机构磋商后主动提起公益诉讼;在履行公益诉讼司法责任期间,适时主动提出惩罚性赔偿的诉讼请求,对侵权行为人的经济基础予以重创,从根本上发挥法律的震慑功能,多措并举,实现检察公益诉讼的效能最大化。
