刘艺,中国政法大学法治政府研究院教授,主要研究方向为行政法学。
摘要:我国个人信息保护检察公益诉讼制度既是由《中华人民共和国个人信息保护法》创立的新型司法机制,也是中国特色检察公益诉讼制度自然发展的产物。个人信息保护问题因受到个人信息保护与经济产业发展之间内在冲突的影响,客观上存在行政监管不足、传统司法救济机制不力等问题。个人信息保护公益诉讼制度的确立在一定程度上织密了行政监管、私益救济之间的缝隙,强化了刑事保护手段、民事保护手段之间的合力,既从末端回溯弥补个人信息监管的立法空白与执法漏洞,又彰显了公法保护机制中检察机关履职的能动优势,全面提升了国家对公民个人信息的保护能力。我国个人信息保护公益诉讼制度并非只授权给检察机关诉权,消费者协会和国家网信部门确定的组织也享有民事公益诉权。但个人信息保护检察公益诉讼具有补充执法与罚责均衡的功能,且不会只依赖于诉讼制度,还可以借助其他程序发挥其独特的治理作用,因此具有了个人信息保护的独特优势。自2021年11月1日《中华人民共和国个人信息保护法》实施以来,我国检察机关采取刑事附带民事公益诉讼、行政公益诉讼或者民事公益诉讼等方式办理了大量的个人信息保护公益诉讼案件。通过对办案数据的分析,可知我国个人信息保护检察公益诉讼的案件类型比重、案件管辖变化、涉事主体的构成等要素,从而进一步了解这项制度运行的规律和趋势。
关键词:《中华人民共和国个人信息保护法》; 个人信息保护公益诉讼;个人信息保护检察公益诉讼
一、我国个人信息保护检察公益诉讼制度的确立
“检察公益诉讼”是“检察机关提起公益诉讼”的简称。该称谓最早由学者提出。2018年3月1日公布的《最高人民法院、最高人民检察院关于检察公益诉讼案件适用法律若干问题的解释》(以下简称《两高司法解释》)中正式采用此称谓。检察公益诉讼制度在设立之初包括检察行政公益诉讼和检察民事公益诉讼两大类型,但在实践中发展出了刑事附带民事公益诉讼这一重要类型,同时行政公益诉讼附带民事公益诉讼也被我国最高人民检察院公布的指导性案例予以确立。2017年7月1日修订的《中华人民共和国行政诉讼法》《中华人民共和国民事诉讼法》正式建立了检察行政公益诉讼、检察民事公益诉讼制度。随后,诸多法律都增加了专门的检察公益诉讼条款,标志着我国检察公益诉讼制度的内涵逐渐充实。我国目前已有25部法律规定了公益诉讼条款,其中22部单行法律中规定了检察公益诉讼条款。公益诉讼按诉权主体分为社会组织提起公益诉讼、检察机关提起公益诉讼、政府及其部门提起公益诉讼。公益诉讼案件办案范围已扩展到15个领域。这些领域包括:消费者权益保护、生态环境和资源保护、食药安全(包括农产品质量)、国有财产保护、国有土地使用权出让、英雄烈士保护、未成年人保护、军人地位和权益保障、安全生产、个人信息保护、反垄断、反电信网络诈骗、妇女权益保障、无障碍环境建设、证券领域中小投资人权益保护。
2021年11月1日起施行的《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)第70条规定:“个人信息处理者违反本法规定处理个人信息,侵害众多个人的权益的,人民检察院、法律规定的消费者组织和由国家网信部门确定的组织可以依法向人民法院提起诉讼。”这标志着我国个人信息保护领域的公益诉讼制度正式建立。个人信息保护检察公益诉讼制度的建立并不是检察公益诉讼办案领域的简单扩展,而是基于某些现实的矛盾进行的制度创新,主要表现在以下几个方面。
(一)个人信息保护领域的监管存在短板
在个人信息保护法实施之前,我国对个人信息保护的监管依据效力位阶较低。个人信息保护在立法端和执法端均存在一定的问题,导致个人信息公权力主导保护机制,主要是行政保护机制的效率不高。另外,基于促进数据产业发展、执法资源稀缺、执法技术难度等考量,行政主体对个人信息保护的执法意愿较低。我国在数据产业领域推行公私合作模式,政府、企业和行业都对信息技术产业发展寄予希望并投入大量资金。因此,在个人信息保护方面,行政监管部门很难既当运动员又当裁判员。从行政监管的结构来看,市场监管部门、工信部门、公安部门等行政主管部门对不同行业都有个人信息保护的监管权,但个人信息保护并不会局限于某个领域,在全行业、全链条产业布局中都有可能出现,行政执法主体多元反而容易出现各部门需要相互协同却又相互推诿的情况。
(二)个人信息保护领域原有的司法救济机制力度不足
《中华人民共和国民法典》“侵权责任编”未对个人信息侵权作出特别的安排,仅根据一般侵权的“过错责任原则”“结果责任原则”,受害者往往在私益诉讼中因举证不能而陷入无法胜诉的囧境。在大数据时代,个人信息利益规范内容具有高度不确定性,私法机制无法胜任个人信息保护的主要任务。因此,欧盟以及很多国家虽然要求数据保护机构是中立的机构,但其运用的仍然是公法机制对个人信息进行保护。而在公法救济机制方面,2015年8月29日通过的《中华人民共和国刑法修正案(九)》增设了“侵犯公民个人信息罪”(第253条之一)《中华人民共和国刑法》第253条:“违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。窃取或者以其他方法非法获取公民个人信息的,依照第一款的规定处罚。单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。”。借助具有严厉性的刑法保护机制对个人信息进行保护,保护力度明显加大。但鉴于其严厉性,其必然也会有谦抑性。受到范围限制的刑法之保护力度有限,仅追究“违反国家有关规定出售或提供”“窃取或者以其他方法非法获取”个人信息行为,并要求达到“情节严重”程度。在个人信息公法保护机制中,刑法只处于补充性地位说明其不能成为公法保护的核心内容。
(三)个人信息保护的权利性与保护性之间存在矛盾
目前以欧盟《通用数据保护条例》(GDPR)为代表的个人信息保护立法都存在一个基本矛盾,即在设置大量个人信息保护权利的同时却预设了个人信息主体缺乏自力保护和救济能力的立场。个人信息保护法的“保护法”定位是符合在大数据条件下信息主体相对弱势的现实。实践中,无论是欧美国家还是我国,由自然人提出诉讼保护个人信息的成功案例都是非常有限的。“保护法”本来就是基于公共的立场对特定主体的特殊利益的特别保护。这实际上提示了从公益角度加强个人信息保护的可能性。
个人信息保护检察行政公益诉讼是化解上述矛盾的创新机制。检察机关可基于法律秩序维护(法律监督)的立场,通过公益诉讼有效提升个人信息保护质效。个人信息保护立法中将检察机关作为第一顺位的诉权主权既是基于对检察机关是宪法规定的法律监督机关定位的尊重,也是对检察机关办理个人信息保护公益诉讼案件中探索出来的司法规律的吸纳,更是在个人信息保护行政管理体制初建仍然存在诸多体制的困境时采取的让司法机关发挥补充执法功能的策略。作为法律监督机关的检察机关具有明显的职能优势和实践优势,由其提起公益诉讼既能彰显司法保护力度,又能凸显人权保障的法治精神。
二、我国个人信息保护检察公益诉讼的独特功能
诉讼的首要功能是定分止争,但检察公益诉讼的性质决定了个人信息保护检察公益诉讼并非只能依赖于诉讼制度,还可以借助其他程序发挥其独特的功能。
(一)补充执法功能
公益诉讼具有弥补行政执法、私法保护机制缺陷的功能。检察机关作为分散利益的代表者,一方面整合利益,改变具体受害人因成本考量或“搭便车”考量而不积极起诉的现状,提升司法资源集约化的水平;另一方面,整合“私益”需求,授权特定机关代位提起诉讼,让更有诉讼能力的主体来保护公共权益。检察机关的诉讼能力优势主要表现在举证能力方面,甚至直接体现在个人信息侵害事实的认识、发现方面。一旦取证全面,在法定损害填补、责任追究方面,检察机关都具有更强的能力。对于由立法原因导致的行政法保护机制不完善,仍然存在法律未覆盖的保护领域,可以通过行政公益诉讼督促行政机关履行保护职责。行政机关的执法权限与手段、执法标准均需有较为明确、高位阶的规范依据。而公益诉讼采取一种后果考量模式,即有公益损害现实或损害风险时才能启动。所以,检察公益诉讼相较于行政执法,对法律规范的依赖性较弱。从公共利益保护角度出发,由检察机关、社会组织等提起公益诉讼,可以有效化解主观权利自保无力问题,也符合个人信息保护法的定位。而民事公益诉讼主要是原有公法保护机制不完善下的替代性方案,特别是当刑法保护范围具有局限性时。例如当刑事责任中的罚金或行政责任中的罚款等措施无法很好地弥补侵害个人信息造成的公益损害时,就会出现手段的缺失或机制的漏洞。在行政保护机制完善之前,可借助检察民事公益诉讼的赔偿诉讼,甚至是惩罚性赔偿请求来弥补损失、填补空缺。与域外将民事公益诉讼视为“代位执法”或“私人执法”略有不同,我国检察公益诉讼不仅具有补充执法功能,发挥作用的时机也不同。检察民事公益诉讼是在已经存在相关行政执法机制的前提下,使本无执法权的主体获得通过起诉追究违法者责任的执法“权力”,属于在相关行政执法主体不执法或者无法执法的情况下,检察机关借助司法程序去发挥补充执法的功能。检察民事公益诉讼的办案量逐年增长,其中个人信息保护领域中民事公益诉讼案件占比8889%,位列第二位(见图1,略)。
我国的现实情况决定了在大多数情况下,依靠社会组织提起公益诉讼的方式无法解决一些深层次的根本性难题。从我国公共利益的保护机制来看,一般由行政机关代表国家利益和社会公共利益履行保护职责,当某些社会公共利益与国家利益混杂在一起时,行政机关就很难客观地兼顾两项权益的保护职责。在这种情况下司法机关从治理末端进行溯源,以“国之大者”的责任感,对社会进行适度调节,对行政进行适度监督,借助司法力量矫正“两益”保护误区,填补“两益”保护漏洞与空白,从而全面提升公益保护效果与国家治理能力。
(二)实现罚责均衡
在个人信息保护体制中存在刑事、行政、民事机制交织,司法治理先行的现象。在追究侵害个人信息的违法行为时,通常会采取刑事手段,先由刑事司法部门办理案件。但个人信息检察公益诉讼制度确立之后,在个人信息保护领域,我国建立了刑事责任与民事侵权一并追究的责任机制,既包括刑事领域未起诉之后承担责任的情形,也包括已追究刑事责任仍然承担民事责任的情形。前者如被告伙同他人,非法收集、使用公民个人信息制作电话卡,涉及人数众多,从中获得一定的经济利益,符合不起诉条件未被起诉。虽然已将非法所得退回,但检察机关以被告主观上存在明显过错,依据《中华人民共和国民法总则》第111条、《中华人民共和国侵权责任法》第6条第1款,认为被告不能免除赔偿损失、赔礼道歉的民事侵权赔偿责任。后者如某人采用不当手段获取包括姓名、联系方式、购房地址、房屋信息等在内的近十万条自然人个人信息,并出售给他人获取非法利益。检察机关依据《中华人民共和国民法典》第995条、《个人信息保护法》第70条的规定,请求被告公开赔礼道歉,并赔偿损失。另外,我国涉及个人信息保护的刑事罪名没有全部设置包含单位罚在内的双罚制。因此,检察机关在不能办理刑事附带民事公益诉讼时,常常会在追究完涉及侵犯个人信息的相关刑事犯罪之后,针对涉案单位或者其他侵权行为人单独提起民事公益诉讼。我国刑事诉讼程序中针对被告人非法占有或者造成的国家财产、集体财产损失追回制度存在一定的缺漏。依据法律和司法解释的规定,被告人非法占有、处置被害人财产的,应当依法予以追缴或者责令退赔。被害人提起附带民事诉讼的,人民法院不予受理。当然,实践中的确存在刑事被告人非法占有、处置受害人财产致使财产无法追回、退赔的情形,也存在追缴、责令赔偿的财物仍然无法弥补被害人损失的情形。但在检察公益诉讼机制中,则授权检察机关按侵权责任单独或者附带对侵权行为人进行全面追责。如在河北省保定市人民检察院诉李某侵害消费者个人信息和权益民事公益诉讼案中,保定市中级人民法院支持了检察机关的请求,依法判令被告李某支付三倍惩罚性赔偿金;责令李某采取有效措施删除所有非法持有的公民个人信息数据,并在国家级媒体上公开赔礼道歉。河北省保定市人民检察院诉李某侵害消费者个人信息和权益民事公益诉讼案,为最高人民检察院发布的检察机关个人信息保护公益诉讼典型案例之一,据统计,2016年1月至2021年12月,在民事公益诉讼案件原告胜诉判决中,判决赔礼道歉的案件最多,占比为48.52%;判决恢复原状与赔偿损失的案件占胜诉判决的比例相近,分别为34.74%与34.25%;判决停止侵害的案件数量则较少,仅占0.89%。自《个人信息保护法》实施以来至2023年4月30日,在检察机关个人信息保护民事公益诉讼案件中,诉讼请求全部或部分获法院判决支持的案例为1463件个人信息保护民事公益诉讼共1688件,其中调解结案的222件,社会组织提起的两件民事公益诉讼案件均以调解的方式结案,检察机关撤回起诉3件,人民法院作出判决的1463件。其中,人民法院判决被告承担赔礼道歉责任的共有1069件,占73.06%,判决承担损害赔偿责任的有1003件,占68.55%,要求被告人消除危险,如永久删除各种介质中非法获取的个人信息、注销相关App账号的共203件,占13.87%。
个人信息检察公益诉讼制度的罚责均衡还表现在,被告受到公安机关依据《中华人民共和国网络安全法》第64条第2款作出的行政处罚之后,仍然需要承担民事侵权责任。《民法典》将个人信息权益归为人格权益,这并不意味着个人信息权益不会产生财产方面的收益。而且,个人信息保护检察公益诉讼制度的确立就是在立法上表明侵害不特定多数人的个人信息属于损害公共利益,其违法行为不仅侵害了相应自然人的个人信息权益,也侵害了社会公共利益和国家对个人信息保护的秩序。这样的机制通过扩大声誉惩戒,告知社会公众个人信息保护的重要性;提高经济惩罚,在于引导社会公众严格依法保护自然人的个人信息,共同营造健康文明的生活环境。个人信息保护检察公益诉讼,既实现了刑事责任与民事责任的衔接,也实现了行政责任与民事责任的协同,超越了单一诉讼类型或者责任追究的效果。其增强刑事诉讼和民事公益诉讼的协作效能,降低了诉讼成本,促进法益和公益保护功能协同发挥;疏通了行政处罚与刑事司法之间的衔接关系,提高了特定领域违法犯罪成本,增强了司法综合治理效能。
三、我国个人信息保护检察公益诉讼制度的基本形态与办案成效
尽管《个人信息保护法》实施时间并不长,但我国个人信息保护检察公益诉讼已取得明显的实践效果。在现有制度框架下,可以依据以下几种形态对办案成效进行梳理。
(一)检察机关单独提起行政公益诉讼或者民事公益诉讼
在个人信息保护领域中,当行政机关存在不作为或违法作为的情形时,检察机关可以单独提起行政公益诉讼;在相对人违反行政法律规范造成社会公共利益受损时,检察机关可以单独提起民事公益诉讼,而且无须履行诉前公告程序。原则上,检察机关应优先办理个人信息保护行政公益诉讼案件督促行政机关积极履职,突出行政机关保护个人信息的优先地位,发挥行政机关保护公益的优势。如果行政机关在检察机关的督促之下,纠正和制裁了行政相对人或者民事侵权行为,检察机关则不需要再提起民事公益诉讼,否则检察机关仍需提起民事公益诉讼。因此在检察公益诉讼制度体系中,检察民事公益诉讼被视为行政执法的补充。这时检察机关单独提起民事公益诉讼主要是针对行政执法仍然未能阻止公益继续受损或者行政处罚不足以填平公益所受损害等情形。检察机关提出的赔偿请求或者惩罚性赔偿请求,可以弥补行政法律规范罚款金额设置过低无法形成对违法行为威慑作用的不足,赔礼道歉的判决可以弥补行政法律规范缺乏恢复名誉责任形式的不足。
特别需要指出的是,我国个人信息保护民事公益诉讼的诉权主体并非只有检察机关,还有法律规定的消费者组织和由国家网信部门确定的组织。但立法机关没有明确国家网信部门确定的组织具体需要何种条件。由于检察机关的诉权位于第一顺位,因此其无须与其他社会组织进行诉权衔接。
(二)刑事附带民事公益诉讼
刑事附带民事公益诉讼类型最早规定于《两高司法解释》中。该文件明确了“由人民法院同一审判组织审理”和“由审理刑事案件的人民法院管辖”等规范内容。我国的刑事附带民事公益诉讼是基于刑法本身的不足以及现实的刚性需求而建立起来的。《中华人民共和国刑事诉讼法》(2018年修正)第101条第2款规定:“如果是国家财产、集体财产遭受损失的,人民检察院在提起公诉的时候,可以提起附带民事诉讼。”这一规定在中华人民共和国第一部刑法,即1979年《刑法》中就存在,即便经过多次刑法修改仍然予以保留。在刑事司法实践中,依据此条也办理了大量的案件。但是该条的适用不具强制性,而且适用范围过窄。在检察公益诉讼制度确立之后,国家利益或者社会公共利益受损当然也包括国家财产、集体财产受损,因此,检察机关借助刑事附带民事诉讼机制发展出刑事附带民事公益诉讼机制,并获得《两高司法解释》《检察机关办理公益诉讼案件规则》的确认。在个人信息保护领域,一共有16个涉及公民个人信息保护的刑事罪名。因涉嫌侵犯公民个人信息犯罪而一并附带办理民事公益诉讼的案件最多,其次是帮助信息网络犯罪活动罪和非法获取计算机信息系统数据、非法控制计算机信息系统罪,其他罪名较少办理附带民事公益诉讼案件。
(三)行政公益诉讼附带民事公益诉讼
虽然行政公益诉讼与民事公益诉讼在受案范围、诉讼顺序、诉权性质、诉讼标的、证明责任等方面存在一定的差异,但公益保护是两项制度的共同初衷和统一依归,二者存在协同融合的可能性。在个人信息保护领域,民事侵权往往也伴随着行政违法行为。因为行政监管常常是民事责任的先决性因素。当发现违法行为造成国家利益或者社会公共利益受损时,检察机关提起行政公益诉讼附带民事公益诉讼,一方面可以纠正行政机关的违法行为,另一方面可以解决民事损害赔偿问题,从而更加全面彻底地保护公益。但我国检察机关较少办理行政公益诉讼附带民事公益诉讼案件。“吉林省长白山市检察院诉长白山市江源区卫生和计划生育局及江源县中医院行政附带民事公益诉讼案”作为我国最高人民检察院公布的首例行政公益诉讼附带民事公益诉讼指导性案件,在环境保护领域发挥了示范效应。
四、我国个人信息保护检察公益诉讼的发展趋势
经过数年发展,我国个人信息保护检察公益诉讼呈现如下发展趋势。
(一)案件类型发展趋势
从案件数量来看,涉个人信息保护行政公益诉讼案件6627件,明显多于民事公益诉讼案件(3814件),在三类诉讼中的占比达到57%(见图2,略)。但是,2021年11月1日至2023年4月30日,检察机关提起的行政公益诉讼案件只有2件。因此,在个人信息保护行政公益诉讼案件中,诉前案件占全部办案总量的比重为99.97%。这一数据表明检察机关通过诉前检察建议、磋商、会谈等方式就能推动行政机关履行监管职责,纠正违法行为。
个人信息保护类案件的实施部门专业技术强,调查取证程序十分复杂,呈刑事犯罪与公益侵权交叉、行政违法与刑事犯罪并存的趋势。据统计,侵犯公民个人信息罪通常与帮助信息网络犯罪活动罪、信用卡诈骗罪、妨害信用卡管理罪、破坏计算机信息系统罪、合同诈骗罪、非法获取计算机信息数据罪、买卖国家机关印章罪、使用虚假身份证件、盗用身份证件罪等罪名一并出现。但检察机关在办理涉及侵犯个人信息的相关犯罪时,并不都会提起附带个人信息保护的民事公益诉讼。检察机关在办理侵犯公民个人信息犯罪案件时,一并办理了1387年附带民事公益诉讼案件。自《个人信息保护法》实施至2023年4月30日,检察机关办理了侵犯个人信息犯罪的案件8823件,其中附带提起民事公益诉讼的案件量占比为15.72%(见图3,略)。
(二)涉案主体发展趋势
在个人信息保护检察公益诉讼案件中,违法犯罪主体众多,既有单位犯罪,也有个人犯罪。其中,网络购物、教育培训、房地产、网贷、博彩领域为侵犯公民个人信息犯罪重灾区,侵权人既有个体从业者,也有从事相关行业的公司,其隐秘地组织聘用人员从事非法获取并侵犯公民个人信息权益的活动。而受侵权或者受害主体中,未成年人、老年人、妇女等群体占比较大。这些群体防范意识薄弱,缺乏个人信息保护观念。虽然《中华人民共和国民法典》授权代表其利益的群团组织有代表人诉权,但群团组织的诉讼能力非常弱,较少提起民事公益诉讼。办案数据表明,主要是由检察机关代为履行向被告(被告人)提起诉讼主张。
(三)案件管辖发展趋势
个人信息的违法犯罪行为多数与大数据、人工智能等高新技术相关联,呈现跨行政区划、匿名化、涉众型、全链条、侵权方式隐蔽等特点。我国的行政管辖仍然属于“条块”划分模式,而司法管辖有集中管辖、交叉管辖、指定管辖等灵活机制。因此,司法管辖治理可以打破行政监管的条块划分,克服行政监管受区划、级别、产业管辖模式限制的局限性,形成整体性的保护模式。比如,检察机关办理个人信息保护行政公益诉讼案件,可将涉及个人信息保护的众多行政主管部门放在一个案件进行监督,以一个案件带动一个行业,以司法案件推动提升个人信息保护所涉领域的行政监管与行业合规水平。
结语
我国的信息与通信技术在近二十年里高速发展,推动了人工智能与大数据产业的蓬勃发展,但也带来了人们对个人信息安全的担忧。骚扰电话、骚扰短信、广告邮件等“垃圾信息”泛滥已经是普遍存在的社会现象,我国的人民群众或多或少都受到了“垃圾信息”的侵扰。近年来,针对未成年人、老年人、失业人群的电信网络诈骗、广告营销骚扰暴露了个人信息泄露的危害性。个人信息安全问题已经成为我国民众最关切的现实问题之一。我国政府将保护个人信息视为国家治理的重要内容之一。作为人口规模巨大的发展中国家,我国的国家治理具有复杂巨系统的特征,相关风险和影响容易叠加、扩展。《个人信息保护法》实施之后,我国的个人信息保护公法框架运行良好,取得显著的治理成效。而个人信息保护公益诉讼制度的确立在一定程度上织密了行政监管、私益救济之间的缝隙,强化了刑事保护手段、民事保护手段之间的合力,既从末端回溯弥补了个人信息监管的立法空白与执法漏洞,又彰显了公法保护机制中检察机关履职的能动优势,全面提升了国家对公民个人信息的保护能力。