摘 要
个人信息具有保护和利用的双重需求,实践中侵害个人信息安全的违法行为多发频发,个人信息保护法设立公益诉讼条款,有利于更好保障公民个人信息安全,促进数字经济健康发展。个人信息违法行为具有隐蔽性、专业性、流动性,司法实践中存在民事责任认定和损害赔偿标准不明确、调查取证难、制度供给和理论支撑不足、多元共治合力不够等难题,检察机关应当切实发挥检察公益诉讼制度优势,积极探索个人信息保护民事公益诉讼责任认定规则,加强对公益赔偿金的管理使用,促推个人信息保护法各方责任主体衔接协作,为个人信息保护法统一正确实施提供有力法治保障。
党的二十大报告在提高公共安全治理水平部分提出加强个人信息保护。在大数据时代,加强个人信息保护不仅与个人利益密切相关,还涉及公共安全、国家安全,对统筹发展和安全,促进数字经济健康发展等具有重要意义。个人信息保护法第70条专门授权检察机关以公益诉讼的方式加强对个人信息的司法保护。本文拟就检察公益诉讼在个人信息保护领域的运行情况和路径优化作一简要分析。
一、个人信息保护和利用的双重需求为检察公益诉讼提供了正当性基础
民法典施行之前,消费者权益保护法、电子商务法、网络安全法、商业银行法,国务院《电信条例》、国务院《快递暂行条例》等多部法律法规对个人信息保护作出规定。由于个人信息鲜明的私益性质,不少学者认为,应当从私权角度解决个人信息保护问题,对检察机关提起个人信息保护公益诉讼的正当性提出质疑。但是,随着数据经济的兴起,个人信息的价值功能不断被重新认识。个人信息保护法第1条立法宗旨规定了“保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用”,突出了个人信息“保护”和“利用”的双重需求。无论是保护还是利用,都会涉及违法主体滥用地位和技术优势侵害公民个人信息安全的问题,个人信息所具有的公共性不断凸显。实践中,个人信息侵权的违法主体相对于受害者具有天然的优势地位,违法行为具有隐蔽性、流动性、不可确定性,受害者尽管人数众多,但存在知情难、维权难、救济难等困境。理论研究多从私权角度强调个人信息保护,但对于如何借助私益救济制度解决各类个人信息侵权问题却没有提供切实可行的方案,对于如何兼顾个人信息保护与数字经济发展,也未从私权维度提出有效解决路径。鉴于个人信息侵权行为具有大规模、轻损害的特点,美国、韩国等国家和我国台湾地区在私益诉讼之外,形成了各具特色的民事公益诉讼模式,用以解决互联网环境下个人信息被大规模非法盗取利用问题。我国也有部分学者认为,对于大规模个人信息侵害事件,可以尝试通过公益诉讼来解决。如,有学者主张,对于集合性的、针对众多人的大规模个人信息侵害,单个受害人往往势单力薄,存在诉讼动力不足的问题。对此,需要由国家公权力机关作为公共利益的代理人去追究侵害人的责任,保护公共利益。有学者指出,在个人信息保护这类亟待有人主张权益、激活制度使用率的公益保护领域,由检察机关作为引领性的主体提起公益诉讼制度,具有合理性。在大数据时代,个人信息所具有的公共性构成了检察公益诉讼引入个人信息保护的正当性基础,契合检察公益诉讼保护公共利益的核心目标。对于检察机关而言,公益诉讼的引入为检察机关在个人信息保护领域综合发挥作用提供了可能。
早在2019年,浙江省诸暨市检察院办理了首例消费者个人信息保护行政公益诉讼案。针对违法行为人非法获取、出售10万余条业主个人信息的情形,该院在追究相关人员刑事责任的同时,督促市场监管部门对泄露信息的源头某房地产公司和装修装饰公司予以行政处罚,并推动行业内部规范整治。该案的成功办理,使检察机关在个人信息保护领域提起公益诉讼有了良好开端,体现了刑事检察和公益诉讼检察在惩治个人信息违法黑灰产中的不同制度价值,可以在保护公民个人信息权益的同时,督促企业依法合规经营,促进数字经济健康发展。
在个人信息保护法出台前,个人信息保护领域一直是检察公益诉讼探索拓展的重点。河北、河南、湖北、云南等21个省级人大常委会通过决定授权检察机关将公民个人信息纳入检察公益诉讼范围。2020年9月,最高人民检察院印发《关于积极稳妥拓展公益诉讼案件范围的指导意见》,将个人信息保护作为网络侵害领域的办案重点,指导各地检察机关实践探索。2021年1月1日,民法典正式施行,其关于隐私权和个人信息的相关规定,为个人信息保护公益诉讼案件办理补强了实体法依据。2021年4月,最高检发布11件检察机关个人信息保护公益诉讼典型案例,为各地探索提供有效指引。2021年6月,党中央印发《中共中央关于加强新时代检察机关法律监督工作的意见》,要求积极稳妥拓展公益诉讼案件范围,探索办理安全生产、公共卫生、妇女及残疾人权益保护、个人信息保护、文物和文化遗产保护等领域公益损害案件,总结实践经验,完善相关立法。2021年8月,国务院新闻办公室发表《全面建成小康社会:中国人权事业发展的光辉篇章》白皮书载明:“检察机关将个人信息保护作为拓展公益诉讼案件范围的新领域重点部署推进”,对这项司法实践成效予以肯定。
与民事诉讼法的表述不同,个人信息保护法第70条在专门授权三类主体对违反相关规定处理个人信息、侵害众多个人权益的行为提起公益诉讼中,将检察机关列在首位,这是对近年来检察机关在公益诉讼实践中发挥主导作用的肯定,相对于法律规定的消费者组织和国家网信部门确定的组织,检察机关作为法律监督机关,积累了大量的公益诉讼办案经验,具有明显的职能优势和实践优势,由其提起公益诉讼,能更好凸显司法保护力度和人权保障法治精神。
二、检察公益诉讼在个人信息保护中的制度优势与实践成效
个人信息保护法实施以来,全国检察机关聚焦重点领域、重点行业、特定群体办理个人信息保护公益诉讼案件,涉及网站、App、微信小程序等违法违规收集处理公民个人信息,部分商超、景点、物业违法违规收集公民敏感个人信息,行为人违法收集公民个人信息实施电信网络诈骗,国家机关超范围收集公民个人信息,通信、金融、快递、医疗、教育等行业违法泄露公民个人信息等领域,以实实在在的办案成效凸显检察公益诉讼在个人信息保护领域治理的独特制度价值。
(一)行政公益诉讼在源头治理和风险预防方面具有独特优势
行政机关是行业或产业领域的监管机关,其自身在履职过程中进行大量个人信息处理。这种角色的多元性和耦合性,更彰显出在不对等的个人信息处理领域行政公益诉讼的功能价值。有学者指出,一方面,个人信息已成为行政机关开展日常工作和进行社会治理的重要依托;另一方面,行政机关基于个人信息保护法和其他法律法规的规定承担个人信息保护义务。此种特殊角色定位下,行政机关违法行使职权或不作为将影响个人信息保护法律价值的实现。通过行政公益诉讼来督促行政机关依法履行职责是一个重要的制度方案。根据个人信息保护法第60条的规定,履行个人信息保护职责的部门,除网信部门外,还包括依照法律、行政法规和国家有关规定在各自职责范围内负责个人信息保护和监督管理工作的其他行政机关,据此,个人信息保护行政公益诉讼,可大体分为三种监督类型。
1.针对行政机关作为行业监管部门履行监管职责不到位的情况开展监督。如,江苏省无锡市新吴区检察院针对服务场所强制采集、非加密传输、违法存储、未定期删除消费者敏感个人信息,造成信息泄露导致安全隐患的行为,制发诉前检察建议督促市场监督管理部门依法履行职责,维护消费者个人信息安全。上海市检察院第二分院就快递行业个人信息违法问题督促邮政部门对涉案快递公司依法查处、强化监管。
2.针对多个行政机关对同一违法行为负有不同监管职责的情形,督促多部门协同履职。如,重庆市检察院针对全市App运营中的违规收集使用个人信息问题由市检察院直接立案办理,督促通信部门强化监管,并推动市互联网信息办公室、市通信管理局、市公安局、市市场监督管理局联合出台《关于加强App违法违规收集使用个人信息协同治理工作的意见》,强化协同共治。湖南省长沙市望城区检察院督促保护个人生物识别信息行政公益诉讼案中,针对医疗卫生机构信息化建设中对指纹和人脸识别等个人生物识别信息过度收集、未落实网络安全等级保护制度等问题,厘清区卫健局和区公安分局各自监管职责,分别制发检察建议,督促整改落实。
3.针对行政机关作为个人信息处理者侵害公民个人信息安全的情形开展监督。如,辽宁省沈阳市大东区检察院在督促纠正行政部门在保障性住房信息公开中未能对公民个人信息进行有效保护问题的同时,推动形成信息公开的标准化方案。
(二)民事公益诉讼在恢复性司法中的独特价值
民事公益诉讼针对的是损害社会公共利益的民事主体。检察公益诉讼在个人信息保护领域的价值,既有别于传统民事诉讼中个人信息民事侵权的私益救济,也有别于行政处罚和刑罚在惩治打击方面的功能设置,其制度功能更体现恢复性、预防性司法理念,侧重对受损公共利益的修复,注重对个人信息泄露导致的现实危险和潜在风险进行监督,对公民人格权和人身财产权进行保护,通过检察监督最大化消除个人信息泄露后的次生风险。
有学者认为,个人信息保护公益诉讼的规范框架蕴含了恢复性司法的精神内涵,力图通过公法和私法协同运作实现赔偿与制裁的多个制度目标。在一些侵犯公民个人信息犯罪案件中,检察一体化办案机制有助于检察官发现个人信息保护公益诉讼案件线索,刑事证据的转化运用也减少了民事违法行为调查的工作量。检察机关在惩处侵犯公民个人信息犯罪的同时,通过提起附带民事公益诉讼的方式,积极维护社会公共利益,保护公民个人信息权益,这一做法值得肯定。刑事附带民事公益诉讼也有利于统筹考量刑事责任和公益赔偿责任的承担情况,违法者积极承担公益损害赔偿的,可以依法从轻或者减轻处罚。通常情况下,侵权人通过非法收集、买卖个人信息,实行大规模侵权行为,侵害了承载在不特定社会主体个人信息之上的公共信息安全这一公共利益,构成对公共信息安全领域的社会公共利益的侵害。检察机关立足公益修复,在停止侵害、消除危险、赔偿损失等诉讼请求的基础上,积极研究创新侵害个人信息违法行为的责任承担方式,探索提出行为补偿、惩罚性赔偿等诉讼请求,强化对个人信息保护的监督力度。目前,民事公益诉讼的诉讼请求主要有以下几类:
1.消除个人信息再次泄露或扩散的危险。如,上海市奉贤区检察院对非法获取并通过网络、微信等方式出售600多万条公民个人信息的犯罪嫌疑人刘某提起刑事附带民事公益诉讼,法院判决刘某赔偿损失人民币2.4万元,在新闻媒体上公开道歉,删除其个人电脑中储存的侵害公民个人信息数据,注销侵权所用微信号。浙江省杭州市余杭区检察院发现某公司开发的音乐视频教学类App存在违法违规收集、储存、使用个人信息等情形,依法向法院提起民事公益诉讼。经依法监督,该公司对App进行全面整改,删除违法违规收集、储存的全部用户个人信息,公开赔礼道歉,并承诺不再侵害用户个人信息。对该App后续整改情况,检察机关引入第三方代表评估机制,通过合规检测后才允许其重新上架。
2.赔偿公益损失。依据个人信息保护法第69条规定,损害赔偿责任按照个人因此受到的损失或者个人信息处理者因此获得的利益确定。如,宁夏回族自治区青铜峡市检察院诉张某某等人侵犯公民个人信息刑事附带民事公益诉讼案中,一审法院未支持检察机关公益损害赔偿金的诉讼请求,二审法院改判支持,确认了个人信息保护公益损害赔偿金区别于刑事罚金的独立价值。还有的案件中检察机关对利用个人信息实施消费欺诈的违法者提出惩罚性赔偿诉讼请求,获得法院判决支持。如,河北省保定市检察院诉李某侵害消费者个人信息和权益民事公益诉讼案,检察机关针对利用个人信息进行消费欺诈的行为提出惩罚性赔偿请求,获得法院判决支持。
3.行为补偿等替代性修复。如,广东省广州市越秀区检察院办理的人脸识别民事公益诉讼案中,对于非法利用人脸信息制作动态视频以通过App人脸识别身份验证牟利的违法行为人,法院根据检察机关提出的诉讼请求,判决被告郑某等4人于判决生效之日起一年内,通过与个人信息保护相关的警示教育、公益宣传、志愿服务等方式进行行为补偿。此外,个人信息保护民事公益诉讼请求普遍要求被告公开赔礼道歉,能够使行为人更加深刻地认识到侵害公民个人信息行为的社会危害性,发挥司法的威慑和警示作用。
三、个人信息保护检察公益诉讼实践中面临的困难和问题
(一)民事责任认定和损害赔偿标准不明确
个人信息公益受损的认定与违法行为人是否需要承担相关违法责任直接相关。因个人信息交易的特殊性,非经技术整合、分析的孤立信息交易价格极低,但其泄露对不特定公众的生活以及社会管理秩序所造成的损害却难以估量。实践中,由于难以确认个人信息违法行为所导致的实际损失,民事公益诉讼请求中一般只能参考违法行为人的获利金额作为赔偿标准,缺乏与其主观过错、损害后果等要素的关联性,无法客观全面认定其赔偿责任。此外,关于上下游之间民事赔偿责任的划分,个人信息往往经过多层流转、倒卖最终进入被违法利用的环节,对于不同层级的违法者之间如何承担民事损害赔偿责任,存在一定争议。信息购入方尚未销售或获得的利益难以确定的,尚无确定损害赔偿责任的方法。
(二)个人信息违法行为的隐蔽性、专业性增加了调查取证难度
个人信息违法行为多与互联网、大数据、人工智能等高新科技相关联,呈现出跨区划、匿名化、涉众型、全链条等特点,违法行为人在交易后往往在个人设备上删除相关信息,使用暗网或者境外聊天工具,一般具有预设密信、双向不可恢复、撤回等功能,导致聊天内容等关键证据灭失。个人信息买受人多在境外实施电信网络诈骗等犯罪,取证困难,且有的违法行为通过虚拟货币转账交易,很难准确查证涉案违法所得,检察公益诉讼调查方式有限且缺乏刚性,调查取证难度较大。
(三)制度供给和理论支撑不足
一是个人信息保护配套制度仍不完善。相关法律规范缺乏具体实施细则及相配套的国家标准,行业标准也不明确,给个人信息保护公益诉讼带来一定困难。二是网络安全法、数据安全法未设置检察公益诉讼条款,衔接协同保护个人信息安全、网络安全、数据安全的法律监督立法供给有待补强。三是如何区别适用个人信息保护法、反电信网络诈骗法办理侵犯公民个人信息用于电信网络诈骗的公益诉讼案件,需要进一步厘清。
(四)多元共治合力不够
个人信息保护涉及对象多、领域广,面临多个行政部门职责交叉或职权定位不够明晰的问题。同时,个人信息保护涉及信息安全行为规范、数据算法规范、数据集中和共享机制、电子身份认证技术规范、电子数据安全应急预案等机制、网络管制规范等,需要个人信息处理者形成保护合力,需要行业主管部门、网信、工信、公安等多方积极参与。尤其是个人信息安全领域违法类型不断迭代升级,更需要各方强化协同协作,避免各自为政、单打独斗。
四、个人信息保护检察公益诉讼发展的未来展望
(一)更好发挥检察公益诉讼特别是行政公益诉讼的制度优势
个人信息保护法第70条将提起公益诉讼的三类主体规定为检察机关、法律规定的消费者组织、由国家网信部门确定的组织。在行文的表述上,将检察机关排在第一位。笔者认为,这样的规定不是简单的文字表述变化,而是立法机关基于个人信息保护的特殊性作出的特别规定,即将检察机关列为提起公益诉讼的第一顺位。基于阻断个人信息再次扩散和泄露风险的迫切性,检察机关在办理个人信息保护民事公益诉讼案件时,不需要以其他主体的不起诉作为前置条件。从检察机关办理的个人信息保护公益诉讼案件的效果看,行政公益诉讼在个人信息保护诉源治理方面具有独特优势,在司法实践中,可以进一步发挥行政公益诉讼在个人信息保护中的积极作用,从源头进行治理和防范。
(二)积极探索个人信息损害认定规则
积极探索损害认定规则。在认定损害时可探索结合违法者过错程度、所涉个人信息敏感程度、违法行为的时间空间场景以及具体情节、引发的风险或后果等,构建类型化、体系化、分层次的评价标准,形成个人信息损害的合理认定规则。针对严重侵害国家利益和社会公共利益的违法情形,探索适用惩罚性赔偿。推动建立个人信息保护公益诉讼专项基金制度。探索设立个人信息保护专项赔偿金,将赔偿损失、恢复原状、替代性修复的有关资金用于个人信息保护。
(三)促推个人信息保护法各方责任主体衔接协作
检察机关开展公益诉讼,需要与各方主体协作配合,创新治理措施,构建治理新格局。一是加强与法院协同。一方面要探索技术和司法的深度融合,另一方面应通过个案审判,明确属性、划定边界,确立适合个人信息保护的统一司法规则。二是加强与行政机关协同。加强与公安机关、行政监管部门之间的磋商协作,建立个人信息保护公益诉讼合作协同治理机制。三是加强与相关诉讼主体协同。针对符合法定条件的社会组织有意愿提起民事公益诉讼的案件,检察机关可以依申请支持起诉,鼓励社会组织发挥积极作用。同时,强化公众参与,邀请人民监督员、公益诉讼志愿者参与办案活动,增强公众个人信息保护意识。
大数据时代,个人信息保护已成为衡量一国法治文明和法治水平的重要指针,我国检察公益诉讼个人信息保护任重道远,检察机关应充分发挥检察监督职能,维护个人信息保护法、网络安全法、数据安全法、反电信网络诈骗法的统一正确实施,通过更丰富的实践探索,细化完善相关办案规则,强化专业能力建设和理论研究,为个人信息保护提供强有力的法治保障。
(作者分别为最高人民检察院第八检察厅三级高级检察官;吉林省人民检察院第八检察部四级高级检察官助理)