《个人信息保护法》第70条将个人信息保护纳入检察公益诉讼法定领域,为检察机关提起个人信息保护公益诉讼提供了法律依据。但该条仅作原则性规定,内容较为笼统,难以给司法实践提供具体指引。通过对中国裁判文书网公布的个人信息保护公益诉讼案件和最高人民检察院发布的个人信息保护检察公益诉讼典型案例进行分析,对《个人信息保护法》施行后的个人信息保护检察公益诉讼的起诉主体、案件类型、诉讼请求及结案方式进行实证分析,并对检察机关提起个人信息保护公益诉讼进行理论分析,发现我国个人信息保护检察公益诉讼制度在适用标准、诉讼顺位、保护路径以及责任承担主体和承担方式等方面都有待完善。
2021年8月20日,第十三届全国人大常委会表决通过了《个人信息保护法》,自2021年11月1日起施行。该法第70条明确规定:“个人信息处理者违反本法规定处理个人信息,侵害众多个人的权益的,人民检察院、法律规定的消费者组织和由国家网信部门确定的组织可以依法向人民法院提起诉讼。”标志着我国正式以立法形式确立了个人信息保护公益诉讼制度。但该条仅作原则性规定,个人信息保护检察公益诉讼仍然存在着一些理论和实践问题亟待破解。
一、检察机关提起个人信息保护公益诉讼的实践观察
为了能够对《个人信息保护法》施行后的个人信息保护检察公益诉讼实践现状有更加直观和深入的了解,笔者以中国裁判文书网为主要样本来源,裁判日期为2021年11月1日至2023年7月30日,共检索到174篇裁判文书及案例,最后通过人工梳理和筛选得到114件符合条件的案例。同时,笔者以最高人民检察院2023年3月30日发布的8件个人信息保护检察公益诉讼典型案例为补充,通过对上述共计122个案例进行实证研究,并在此基础上展开理论反思与研讨。
《个人信息保护法》第70条明确了提起个人信息保护公益诉讼的适格主体是人民检察院、法律规定的消费者组织和由国家网信部门确定的组织,但该条仅作原则性规定,实际操作仍然存在障碍。以本文检索到的122个关于个人信息保护公益诉讼案例进行分析,其中121件是由检察机关直接提起诉讼,仅有一例是由消费者组织提起的检察机关支持起诉的消费民事公益诉讼,国家网信部门确定组织提起的诉讼为零。可见,实践中提起个人信息保护公益诉讼的权利几乎全部由人民检察院行使,法律规定的另外两类主体却几乎不见踪迹。究其原因在于该条虽对个人信息保护公益诉讼的起诉主体作出专门规定,但该规定较为原则、笼统,在实践中,检察机关在提起个人信息保护公益诉讼中的顺位、法律规定的消费者组织和国家网信部门确定组织的具体范围和认定标准等问题尚不明确,严重制约了个人信息保护公益诉讼制度功能的发挥,亟需立足现有规范对上述问题予以探讨论证。
依据最高人民法院、最高人民检察院《关于检察公益诉讼案件适用法律若干问题的解释》第4条规定,人民检察院可以提起的公益诉讼案件类型包括民事公益诉讼和行政公益诉讼,其中民事公益诉讼既包括单独民事公益诉讼,又包括刑事附带民事公益诉讼。
通过对检察机关选择的个人信息保护公益诉讼案件类型进行分析,一定程度上能够展现检察机关在个人信息保护方面的介入程度、发挥的作用情况。为此,笔者对收集的121件检察机关提起的个人信息保护公益诉讼案件进行分析发现,检察机关提起民事公益诉讼的案件为117件,其中单独提起民事公益诉讼14件,占比11.57%,提起刑事附带民事公益诉讼103件,占比85.12%;提起行政公益诉讼4件,占比3.31%。
通过上述分析可知,在个人信息保护领域,超过96%的案件检察机关都是选择提起民事公益诉讼,其中又以刑事附带民事公益诉讼占主导,而行政公益诉讼案件极少,且几乎都止步于诉前阶段,仅在检察机关作为典型案例予以公布才能了解,否则很难进入统计范围,这也就解释了为何在裁判文书网中未能筛选到符合条件的个人信息保护行政公益诉讼案件。
《个人信息保护法》第70条未规定法律责任,仅在第69条以“不完全列举”的方式规定“应当承担损害赔偿等侵权责任”,因此,在个人信息保护公益诉讼中,检察机关多是参照民法典规定的侵权责任承担方式确定诉讼请求,主要包括停止侵害、消除危险、赔偿损失、赔礼道歉等,如下表所示。
本文共检索到122个关于个人信息保护公益诉讼案例,除去1件庭审中调解结案的案件和5件提起诉前检察建议的行政公益诉讼案件,对剩余116个案件的诉讼请求进行分析,可以发现在个人信息保护公益诉讼领域,检察机关提出的诉讼请求具有以下几个特点:
第一,在个人信息保护公益诉讼案件中,检察机关诉请“停止侵害”主要表现为要求被告人注销侵权使用的通信软件、账号等,这一诉讼请求均能获得法院支持。行为人对公民个人信息安全的侵犯是一种持续性的状态,不切断侵犯个人信息的“链条”,公民个人信息随时可能继续泄露,进而被其他人违法收集、储存、处理,诉请停止侵害,能够及时制止侵害行为,防止侵害后果进一步扩大。如北京市顺义区人民检察院诉被告人李某犯侵犯公民个人信息刑事附带民事公益诉讼案件中,李某通过手机通信软件联络,从他人处购买公民个人信息下载到自己手机中,并出售获利,检察机关诉请被告注销侵权使用的通信软件,获得法院支持。
第二,在个人信息保护公益诉讼案件中,“消除危险”主要是要求永久性地删除、销毁其违法收集、储存的公民个人信息,这一诉讼请求也都能获得法院支持。行为人违法收集、储存公民个人信息,不仅会对个人信息安全造成威胁,还可能会进一步危及信息主体的人身和财产安全,检察机关诉请被告人永久性地删除、销毁其违法收集、储存公民个人信息,可以避免个人信息被继续倒卖,有效遏制公民个人信息被用于电信诈骗、敲诈勒索等下游犯罪。
第三,“赔偿损失”是《个人信息保护法》第69条明确列明的一项责任承担方式,且明确了损害赔偿责任的确定标准。基本上存在违法所得的案件,检察机关在提起个人信息保护公益诉讼时都会诉请被告人“赔偿损失”,数额主要是根据被告人因此获得的利益确定。对于检察机关的这一诉请,法院基本上都会支持,但也有例外情况,如江门市新会区人民检察院诉陈某、梁某俊、曾某明、左某、李某剑犯侵犯公民个人信息刑事附带民事公益诉讼案件中,法院以被告人同意将已退出的违法所得用于向公益诉讼起诉人赔偿,而侵犯公民个人信息保护公益诉讼不属于法定惩罚性赔偿范围为由,认为检察院诉请赔偿损失属于“重复评价”,判决驳回检察院的这一诉讼请求。笔者认为,该判决混淆了民事责任和刑事责任这两种责任形式,存在问题。本案中,被告人陈某、梁某俊等人利用其提供电信服务工作的便利,擅自获取客户实名制手机号码及验证码,用于出售获利,其行为构成侵犯公民个人信息罪,应当承担刑事责任,而各被告人的行为,同时侵犯了公民个人信息,损害了社会公共利益,根据《民法典》及《个人信息保护法》规定,被告应承担赔偿损失的民事责任。《民法典》第187条规定了责任聚合情况下的责任承担方式,被告人侵犯公民个人信息的行为应当承担民事责任和刑事责任,承担刑事责任不影响承担民事责任,被告人在犯罪后积极退清赃款,确有悔罪表现,属于量刑时可从轻处罚的情节,该行为并不影响其承担民事赔偿责任,更不能直接用退缴的违法所得予以折抵侵权损害赔偿,该判决混淆了两种不同的责任类型。
第四,“赔礼道歉”几乎是所有的案件都会提出的诉讼请求,而法院也都会予以支持,只是“赔礼道歉”责任的具体承担方式有所差别。一是对赔礼道歉公开范围的要求存在差异,有的案件检察机关对公开道歉平台的等级有要求,要求被告在国家级或者省级、市级、县级以上新闻媒体上公开赔礼道歉;有的案件明确要求被告在《中国商报》《新疆法制报》、庭审直播等特定平台或场所公开道歉或者要求通过电信部门向被侵权人发送道歉短信,还有的检察机关进一步要求庭审道歉视频在指定公共场合滚动播放。二是对赔礼道歉内容的要求不同,部分案件明确要求赔礼道歉的内容必须经法院或检察院审核确定。
第五,其他责任主要是检察机关基于个人信息保护案件特殊性而做出的责任承担方式的积极探索,主要表现为要求被告人“以行为填补或者预防公共利益损害”,如责令被告人在判决书或调解书生效后的一定期限内通过电信部门向被侵权人发送道歉及风险提示短信等。
通过对本文检索到的案件进行分析整理,除吴忠市人民检察院诉被告杨某公益诉讼一案,是检察院因其诉讼请求全部实现而申请撤诉外,个人信息保护检察公益诉讼案件主要的结案方式是判决和调解,且近八成的案件是以判决结案,两成的案件是以调解结案。
从诉讼结果来看,绝大多数案件中检察机关提出的诉讼请求均获得人民法院判决支持或以调解书的形式对达成的调解协议内容予以确认,少数案件还会对如何履行“赔偿损失”义务予以细化,如赔偿金的缴纳方式和缴纳账户等,但因相关法律对这些问题缺乏统一规定,使得司法实践中判决或调解较为混乱。例如有的案件法院要求被告人向法院或检察院支付赔偿款,再由法检负责上缴国库;也有的案件直接判决被告人赔偿损失并依法上缴国库;还有的案件要求被告人将赔偿款预先缴纳至法院或检察院指定账户;更多的案件只判令被告人支付公益损害赔偿金,但未对缴纳方式、账户等予以明确;此外,对于赔偿金的管理、使用等问题也无配套规范。以上种种使得判决书或调解书在实际履行过程中存在困难。
实践中,调解结案相较于判决结案多了一个公告环节,即在调解协议达成后,法院须将调解协议的内容在人民法院公告网、《人民法院报》或者互联网上进行为期三十日的公告,以保障公众知情权及参与权,只有公告期满未收到异议,且经审查调解协议不违反法律规定,未损害社会公共利益的情况下,法院才予以确认,案件了结。
二、检察机关提起个人信息保护公益诉讼的理论分析
最高人民检察院发布的《人民检察院公益诉讼办案规则》第2条明确规定,维护国家利益和社会公共利益是人民检察院办理公益诉讼案件的任务,第28条也明确:“人民检察院经过评估,认为国家利益或者社会公共利益受到侵害,可能存在违法行为的,应当立案调查。”可见,检察机关提起公益诉讼的目的是维护国家利益和社会公共利益,也即具备公共利益属性的法益,才是公益诉讼的救济对象。检察机关有权提起个人信息保护公益诉讼的正当性基础在于个人信息具有公共利益属性。
在《个人信息保护法》颁布之前,《民法典》人格权编第六章规定了“隐私权和个人信息保护”,也即在民事权益体系中,个人信息属于人格权范畴,更多地被理解为一种私益。但在大数据时代,个人信息是大数据的重要组成部分,也是重要的社会资源。大规模的个人信息被应用于商业和行政管理领域,使个人信息不但具有人格权和财产权益的内容,还在政府治理、公共服务等方面发挥重要作用,从这一角度来讲,个人信息作为数字经济时代的重要社会资源,关乎国家安全,具有公共利益属性。在此情形下,为维护国家利益和社会公共利益,检察机关有权以“公益诉讼起诉人”的身份对违法处理个人信息侵害众多个人权益的个人信息处理者提起诉讼,请求司法救济。
大数据时代来临,信息技术快速发展,互联网应用、在线政务服务的发展给人们的生活和政府管理带来了极大的便利,但也带来了一些监管和维权难题,个人信息安全也面临更多新的风险和挑战。
一是个人信息过度采集引发的隐私侵犯、信息泄露风险。一方面互联网平台企业利用其在经济活动中优势地位,过度索权、超范围收集个人信息;另一方面政府部门基于社会治理和公共服务需要可能会强制收集个人信息。二是个人信息过度分析引发的数据安全风险。平台企业利用云计算、人工智能技术对个人信息展开分析进行自动化决策,实施个性化推送、差别化定价等大数据杀熟行为,如分析的个人数据达到一定规模,可能会危及公共安全乃至国家安全。三是个人信息泄露及因此引发下游犯罪风险,如平台企业对收集的个人信息存储不当或受利益驱使出卖个人信息数据,都可能导致大规模的个人信息流入黑色产业链,进而引发诈骗、勒索、伤害等下游犯罪,危害公民个人的人身、财产安全,破坏社会秩序和经济秩序,严重侵害社会公共利益。
大数据时代,个人信息安全面临前所未有的风险和挑战,仅依靠个体力量很难与拥有强势市场地位和强大技术优势的个人信息处理者相抗衡,亟需借助检察机关依靠强大的国家力量对个人信息进行保护。
(1)私益救济动力不足。“由于个人信息获取、储存和利用的环节众多,高技术手段使得侵权隐秘、处理迅速、极易删改,个人存在举证能力有限、维权成本高等困境,而公益诉讼制度恰好能够有效弥补这一不足。”大数据时代,个人信息侵权往往借助信息技术手段,隐蔽性强,信息主体往往难以察觉到侵权行为的发生,即使发现,也会因为专业技术欠缺、调查取证困难、维权成本高、成功率低等原因而怠于维权。与此相对的是侵权主体违法成本小,即使信息主体取得胜诉判决,获得的损害赔偿数额也极为有限,较少的赔偿数额相较于个人信息处理者通过个人信息侵权所获得的巨大经济价值相比,简直微不足道。且个案的制裁效果和社会影响力十分有限,对个人信息侵权者的震慑作用较小,对个人信息侵权行为的预防效果甚微。
相对而言,个人信息保护检察公益诉讼容易形成规模优势,引发社会关注,震慑潜在的侵权者。检察机关是国家《宪法》规定的法律监督机关,统一行使法律监督权,熟悉诉讼程序,配备专业人员,拥有法定调查权,维权能力远强于个人,可以组织协调不同部门,有效整合各种专业技术资源,填补个案当事人“有心无力”的缺陷。
(2)行政监管不力,个人信息保护意识不足。行政机关在个人信息领域具有双重地位,一是个人信息保护执法部门,二是个人信息处理者。
行政机关作为个人信息保护执法部门虽较个体提起私益诉讼存在一定的优势,但目前行政机关在个人信息保护领域进行执法监管的工作实效欠佳。一是因为个人信息保护监管机关缺乏体系,职责不清。《个人信息保护法》第六章对履行个人信息保护职责的部门进行规定,但实践中各部门的职责界限仍然不够清晰,存在监管空白、多头监管等问题,缺乏统一协调,影响到个人信息的有效保护。二是因为个人信息监管难度较大,面对复杂的大数据技术和海量的信息数据,行政机关缺乏应对能力,难以辨别和认定侵害个人信息的行为和范围,保护效果具有滞后性。
行政机关对个人信息保护意识不足,缺乏有效的外部监督,“一旦滥用这种公权力,给信息主体造成的威胁或危害更大”。以2023年3月最高人民检察院发布的“辽宁省沈阳市大东区人民检察院督促规范政务公开个人信息保护行政公益诉讼案”为例,沈阳市保障房行政主管部门在政务公开过程中,在“沈阳市住房保障网”公示了2013年至2022年期间多个公租房项目申请公租房保障人员的摇号结果、配租结果等信息,公开的87000余条包含有公民个人的姓名、身份证号等足以确定公民身份的个人敏感信息均未依法进行去标识化、匿名化处理,存在严重安全隐患,社会公共利益持续受到侵害。接到群众举报反映后,检察院开展立案调查,后向沈阳市保障房行政主管部门发出行政公益诉讼诉前检察建议,该部门收到检察建议后高度重视,第一时间与检察院座谈会商、达成整改共识并及时开展系统整改工作,检察院也及时跟进监督。近年来,公民个人信息保护问题在诸多政府部门的政务公开过程中普遍存在,行政机关在政务公开活动中没有兼顾平衡公民个人信息保护,体现出行政机关对个人信息保护意识不足,同时也暴露出行政机关处理个人信息活动监督机制缺乏等问题。
检察机关针对部分行政机关不注重个人信息保护、监管缺位等问题,通过提出检察建议、提起公益诉讼等方式督促履职,有利于增强行政机关的个人信息保护意识,提升行政治理效能。
(3)刑法制裁滞后。刑法是保障法,是最后一道防线,要求刑法要保持谦抑性,这就导致刑法在个人信息保护领域存在后置性和被动性,且刑罚适用条件严苛,刑事证明标准高,加之个人信息犯罪具有技术性、隐蔽性等特点,加大了刑事侦查、证据收集的难度,使得个人信息的刑事保护门槛较高,不利于个人信息的保护。相较而言,检察机关提起公益诉讼能够较早介入,对较轻的违法行为进行惩处,以维护个人信息安全。
三、检察机关提起个人信息保护公益诉讼的检视
《个人信息保护法》对个人信息处理规则做了较为全面的列举,要求个人信息处理者在收集、存储、使用、加工、传输、提供、公开、删除等信息处理活动中都要遵循法律规定,在任何环节存在侵权行为,诉权主体都有权依法提起个人信息保护公益诉讼。
提起检察公益诉讼还要求“侵害众多个人的权益”,即要有“侵害结果”,但“侵害众多个人的权益”的认定标准有待细化。本条的立法本意是强调检察机关提起个人信息保护公益诉讼以对社会公共利益进行保护,可见此条中侵害众多个人的权益与损害社会公共利益在法益保护层面具有内容的一致性。公共利益是一个抽象概念,是指涉及不特定多数人的利益,检察机关可以代表公众行使公共利益保障功能。《个人信息保护法》中的信息处理者利用信息技术手段对大规模的个人信息进行违法处理,可以认为是公共利益受到侵犯,此时对“众多”的数量没有必要具体化。但信息处理者侵害特定多数人个人信息权益时,也可能侵犯公共利益,此时有必要对“众多”进行细化,有待立法或者司法解释予以进一步明确。
司法实践中,检察机关提起个人信息保护公益诉讼的主要原因是行为人已经触犯刑事法律,符合侵犯公民个人信息罪、帮助信息网络犯罪活动罪等犯罪的构成要件,但刑事犯罪的证明标准远远高于民事侵权的证明标准,存在相当大的一部分已经构成民事侵权但尚未达到刑事犯罪的个人信息侵权行为无法进入诉讼领域,导致个人信息保护存在实践中的真空。明确检察机关提起个人信息保护公益诉讼的条件是正确理解和适用个人信息保护公益诉讼制度的核心问题,为防止把个人信息侵权简单地与侵犯个人信息犯罪相对等,有必要在总结司法实践经验的基础上,通过立法或司法解释对个人信息保护检察公益诉讼制度的适用范围予以细化。
《个人信息保护法》明确了诉权主体,但未对诉讼顺位进行明确。《民事诉讼法》第58条、《行政诉讼法》第25条都将检察机关规定为第二顺位诉权主体,即检察机关在公益诉讼各诉权主体中处于补充地位。《个人信息保护法》第70条明确规定人民检察院、法律规定的消费者组织和由国家网信部门确定的组织三类主体均具有起诉资格,且将检察机关放在所有起诉主体的首位,是否意味着在提起个人信息保护检察公益诉讼领域,检察机关在三大诉权主体中处于引领地位,或者至少与其他两类组织处于并列地位,不受起诉顺位的限制。对该问题的不同理解将直接影响个人信息保护相关程序的开展,即检察机关在提起公益诉讼之前是否需要履行相关公告或通知程序。
笔者通过对检索到的121件个人信息保护检察公益诉讼案件进行实证分析发现,检察机关在提起诉讼之前都会发布公告,公告案件相关情况,等待有权组织提起民事公益诉讼,对于消费者领域的个人信息侵权案件,检察机关还会专门告知地方市场监督管理局,但从公告结果看,仅有1个案件是在检察机关履行诉前公告程序后,由市消费者权益保护委员会提起的消费民事公益诉讼。由此可见,《个人信息保护法》的规定基本上未能对检察机关的诉讼顺位产生影响,司法实践中,检察机关在个人信息保护公益诉讼领域仍然处于第二顺位诉权主体,甚至部分法院还会对检察机关提起公益诉讼前是否履行公告程序进行审查,以此认定案件程序合法与否。明确检察机关在个人信息保护公益诉讼领域的诉讼顺位,有利于理顺个人信息保护公益诉讼程序,确保个人信息保护检察公益诉讼制度能切实发挥作用,使制度更有活力和生命力。
法律规定的检察公益诉讼类型分为民事公益诉讼(包括附带民事公益诉讼)和行政公益诉讼。实践中,检察机关在个人信息保护公益诉讼的路径选择以刑事附带民事公益诉讼占主导,行政公益诉讼案件极少,需进一步加强行政公益诉讼在个人信息保护领域的作用。
在个人信息保护领域,对个人信息处理行为负有监管职责的行政机关没有依法履职,或者行政机关作为个人信息处理者时违法处理个人信息,导致公共利益受到严重侵害的,检察机关有权提起行政公益诉讼。“违法行政行为缺乏有效司法监督,不利于促进依法行政、严格执法,加强对公共利益的保护。由检察机关提起公益诉讼,有利于优化司法职权配置、完善行政诉讼制度,也有利于推进法治政府建设。”对于个人信息保护领域损害社会公共利益的行政不作为或行政行为违法行为提出行政公益诉讼,督促行政机关履行行政管理职能或纠正行政执法方式,有利于维护社会公共利益,提升治理效能。
从《个人信息保护法》第70条规定看,个人信息保护检察公益诉讼适格被告是违反《个人信息保护法》规定处理个人信息,侵害众多个人权益的信息处理者。第73条第1款对个人信息处理者的含义予以明确,指在个人信息处理活动中自主决定处理目的、处理方式的组织、个人。因而,《个人信息保护法》规定的检察公益诉讼的被告是违法处理个人信息、侵害众多个人权益的信息处理者,包括相关组织和个人。
通过对121件个人信息保护公益诉讼案件进行分析,发现检察机关在提起个人信息保护公益诉讼时对责任承担主体的确定存在两大问题。其一,在个人信息保护刑事附带民事公益诉讼案件中,检察机关并未对刑事犯罪被告人和附带民事诉讼被告进行区分,而是简单地将二者等同,被告人暨附带民事公益诉讼被告,检察机关的此种操作可能会遗漏部分不构成刑事犯罪但其行为已构成民事侵权的行为人,使得部分行为人未被追究法律责任,影响侵权责任的承担,个人信息不能得到更为全面的保护。其二,个人信息保护检察公益诉讼案件的被告或附带民事诉讼被告人多是个人,只有一个案件的被告是组织,但“在大数据时代,以互联网企业为首的网络服务提供者在数据业务运营过程中,理所当然地成为数据处理与利用的重要主体”,也即收集大量个人信息的是公司、企业,具有大量个人信息处理需求和能力的也是公司、企业,公司、企业才是数据侵权或数据犯罪的主要阵地,且我国刑法也明文规定侵犯公民个人信息罪、帮助信息网络犯罪活动罪、非法利用信息网络罪等犯罪可以由单位构成,但从公开的裁判文书中,却鲜少看到公司、企业作为个人信息保护公益诉讼案件的被告或附带民事被告人,与现实情况存在巨大的差异,需引起高度重视。
《个人信息保护法》第七章是对违法处理个人信息需要承担的法律责任所作的规定,但对于个人信息保护检察诉讼中损害个人信息权益的行为应如何承担法律责任,该法仅在第69条规定“应当承担损害赔偿等侵权责任”,其他未完全列举的责任承担方式有待进一步探索完善。在实践中,检察机关往往围绕民事侵权责任提出诉讼请求,主要包括停止侵害、消除危险、赔偿损失、赔礼道歉等责任,也有极少数案件开始基于个人信息侵权的特殊性,探索更具针对性的责任承担方式,如责令以一定的行为来预防或者填补公共利益的损害等。检察机关的这一做法符合法律规定也具有合理性,且在一定程度上能够达到“预防”和“恢复”功能。由于现有的责任承担方式无法对其他可能实施个人信息侵权者起到威慑作用,因而很难更有效预防和遏制个人信息侵权行为。为更好地发挥个人信息保护检察公益诉讼的制度优势,需进一步探索更为有效的责任承担方式。
四、《个人信息保护法》第70条之完善
个人信息侵权具有隐蔽性、技术性、规模性、时效性等特点,检察机关需与行政、刑事等机关保持协作,拓宽线索渠道。检察机关在办理个人信息保护检察公益诉讼案件时,应做好与刑事办案机关的协作,指引办案机关做好个人信息侵权相关证据的收集工作。加强与网信、公安、市场监管等行政部门协作,完善线索移送、共同调查等机制。检察机关自身也要提升专业能力,或者加强同互联网企业等专业机构的合作,运用数据建模、风险点筛选等方式从互联网大数据平台中发现线索,积极应对大数据时代办案要求。
个人信息保护是一项系统工程,侵害众多个人权益的行为可能同时构成民事侵权、行政违法和刑事犯罪,故个人信息处理者可能需要同时承担民事责任、行政责任、刑事责任。实践中有检察机关对侵犯个人信息违法犯罪采用“一案三查”的办案模式,检察机关一方面加强刑事检察部门和公益诉讼检察部门内部协作,另一方面通过走访工信、网信、市场监督等行政部门,对个人信息民事侵权情形、行政机关履职情况、刑事案件犯罪情节进行全面调查,发挥公益诉讼综合治理优势,明确各方应当承担的责任。
《个人信息保护法》第70条规定的有权提起个人信息保护公益诉讼的主体是人民检察院、法律规定的消费者组织和国家网信部门确定的组织,这三类主体在提起公益诉讼时的顺位如何确定,对理顺个人信息保护公益诉讼程序有着重要作用。
《个人信息保护法》将人民检察院置于所有诉权主体的首位,该规定与2023修正的《民事诉讼法》存在差异。有学者认为,《个人信息保护法》第70条和《民事诉讼法》(2023修正)第58条“关于诉权主体的规定,属于特别规范与一般规范的关系,适用时应遵从特别优于一般的法律规范适用原则”。按照这一观点,检察机关在个人信息保护公益诉讼中为第一顺位原告,且在司法实践中,检察机关确实在个人信息保护领域发挥着不可忽视的作用。笔者认为该种解释具有一定的合理性,且有利于个人信息保护检察公益诉讼制度功能的发挥。
现阶段,公益诉讼已经成为检察机关的一项重要工作职责,其办案经验和能力相对更具优势,而对于有权提起个人信息保护公益诉讼的“法律规定的消费者组织”和“国家网信部门确定的组织”的具体范围和认定标准尚未明确,有必要进一步探讨和细化。现有的司法实践情况也表明即使检察机关履行诉前公告程序,也几乎没有“法律规定的消费者组织”和“国家网信部门确定的组织”出现并行使法律赋予的提起公益诉讼的权利来保护个人信息。基于这一现实,为更好地保护个人信息,避免证据毁损灭失,耽误维权时间,造成侵权损害扩大,更好地发挥检察公益诉讼在个人信息保护公益诉讼中的示范引领作用,不应当设置过多阻却性的前置程序。对于检察机关通过新闻报道、群众举报、专项行动以及办理刑事案件等过程中发现的线索,检察机关可以直接启动公益诉讼程序,无需履行诉前公告、等待有关组织提起诉讼等前置程序。
“赔偿损失”是《个人信息保护法》唯一列明的责任承担方式,且法律明确了赔偿数额的确定标准。检察机关对于存在违法所得的个人信息侵权案件几乎都会提出“赔偿损失”这一诉讼请求,且基本上都能获得法院支持,只是对于被告人如何履行“赔偿损失”这一义务,以及对于赔偿金如何管理、如何使用等一系列问题未予确定,导致在司法实践中对于相关事项的处理比较混乱或者直接忽略,在相关文书中不对该事项予以明确,导致“赔偿损失”这一法律责任的具体承担存在困难。积极探索赔偿损失相关的配套制度,明确损失赔偿金归属、管理和使用等相关内容,对个人信息保护公益诉讼制度作用的发挥至关重要。
笔者认为,可以尝试设立个人信息保护公益诉讼专项基金制度,对胜诉后的赔偿资金进行管理和使用。对于有明确受害人且能确定具体损失数额的案件,损害赔偿金应优先用于弥补受害人损失,对于不能确定具体受害人的案件,赔偿金可交由专门设立的基金管理人管理,资金可用于奖励提供侵权线索的举报人、垫付办案费用等,为个人信息保护检察公益诉讼提供资金支持,以更好地保护个人信息。
个人信息保护检察公益诉讼的目的不应止步于制止侵权行为、补偿损失,还应该积极探索惩罚性赔偿,发挥制度的预防和威慑功能。一是建立惩罚性赔偿制度有利于提高维权积极性,有效应对个人信息保护领域的维权成本高但收益低的困境,对个人信息侵权提供有效救济。二是通过惩罚性赔偿制度增加侵权行为的违法成本,使违法成本与收益对等,以威慑侵权人,督促其做出合法行为。三是消费者、环境生态、知识产权保护等领域已经引入惩罚性赔偿规定,可以为检察机关探索个人信息保护领域的惩罚性赔偿提供借鉴。四是实务中已有相关判例,“河北省保定市人民检察院诉李某侵害消费者个人信息和权益民事公益诉讼案”中,法院依法判令被告支付三倍惩罚性赔偿金。但《民法典》179条规定,“法律规定惩罚性赔偿的,依照其规定”,惩罚性赔偿的适用必须有法律明文规定,故保定区法院判决支持惩罚性赔偿实际上是于法无据的,不利于后续司法实践的发展。《个人信息保护法》应该积极探索惩罚性赔偿制度,将其适用于个人信息保护检察公益诉讼案件中,并通过立法的形式予以完善。
结语
随着互联网和大数据技术的迅猛发展,个人信息的应用给人民生活和政府管理带来了极大的便利,但针对个人信息的侵害也日益严重。个人信息安全关乎大数据时代每一个人的切身利益,《个人信息保护法》的制定和实施为“保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用”提供了法律依据,努力在个人信息保护与数据共享之间寻求平衡。为回应社会需求、弥补现有个人信息保护机制之不足,第70条专门设立了个人信息保护公益诉讼制度,但由于法律规定较为笼统,在制度落地实施过程中尚有一些问题需要探索完善。一要进一步健全个人信息保护公益诉讼的协作机制,探索个人信息保护公益诉讼不同保护路径,充分发挥民事公益诉讼、附带民事公益诉讼、行政公益诉讼等不同路径的优点,并注重增进社会整体利益,以期更加全面的对个人信息进行保护。二要理顺三类诉权主体之间的诉讼顺位,充分发挥检察机关引领作用。还要积极探索有权提起个人信息保护公益诉讼的“法律规定的消费者组织”和“国家网信部门确定的组织”的具体范围和认定标准,明确有权提起个人信息保护公益诉讼的相关组织,以充分发挥相关组织在个人信息保护检察公益诉讼领域的作用。三要进一步探索违法信息处理者的责任承担方式及其配套制度,完善赔偿损失配套制度,探索设立惩罚性赔偿制度等,以便为个人信息保护检察公益诉讼司法实践提供指引。
张叶东|环境智理的法理基础与实现路径——以预防原则为考察中心
沈维敏|默示算法共谋的反垄断法规制
刘欣睿|论大型数字平台格式管辖条款的效力——基于“诉讼常客”现象的反思
夏纪森 王梦洁|类案检索制度的路径优化研究
王书剑|酌定量刑情节说理的困境及其破解
倪佳祎|监督行政权检察建议的法治化路径
上海市法学会官网
http://www.sls.org.cn
特别声明:本文经上观新闻客户端的“上观号”入驻单位授权发布,仅代表该入驻单位观点,“上观新闻”仅为信息发布平台,如您认为发布内容侵犯您的相关权益,请联系删除!