个人信息保护框架下检察公益诉讼的定位与适用
赵精武
(北京航空航天大学法学院副教授、硕士生导师)
唐浩隆
(工业和信息化法治战略与管理重点实验室助理研究员)
个人信息保护法第70条明确赋予检察机关在个人信息保护领域公益诉讼中独立的诉讼主体地位,个人信息保护正式迎来公益救济的新路径。2022年4月,最高人民检察院发布了10件打击治理电信网络诈骗及关联犯罪典型案例,其中“徐某等6人侵犯公民个人信息案”(以下简称“徐某案”)是利用公民个人信息犯罪之典型。该案中,电信部门代理商和劳务公司内部人员相互勾结,利用工作便利,非法采集务工人员身份证、人脸识别信息,通过非法收集的个人信息激活手机卡并用于电信网络诈骗犯罪。检察机关主动出击,在遏制犯罪的同时通过刑事附带民事公益诉讼形成双向合力,对上下游民事侵权行为进行多元治理,加强对公民个人信息的全面司法保护。检察机关通过公益诉讼的方式参与个人信息保护有其独特的体系价值,但并非所有的个人信息侵权案件皆可适用公益诉讼制度,需要在个人信息保护框架下,明确检察公益诉讼的功能定位及具体的适用情形和诉讼程序。
一、检察公益诉讼在个人信息保护体系中的功能定位
(一)单一转合力:个人信息保护的新支撑
统计资料显示,2021年检察机关共起诉电信网络诈骗犯罪4万人,总体仍在高位运行;起诉侵犯公民个人信息犯罪9800余人,同比上升64%。而电信网络诈骗犯罪与其上下游关联犯罪行为的多发性和个人信息泄露的风险恰恰呈正相关,个人信息的泄露使得犯罪行为人能够精准掌握被害人的基本情况,轻易地以伪造的身份和虚构的事实诱使被害人产生错误认识。因此,倘若能在互联网黑灰产业链上游切断侵犯公民个人信息的犯罪行为,一定程度上能够使公民免遭犯罪的威胁与侵害。
然而,在个人信息被众多平台同时掌握的情况下,自然人个人往往难以举证证明被告存在泄露个人信息的事实,如若按照“谁主张谁举证”的逻辑,自然人个人信息权利无法得到充分救济。更重要的是,个人信息泄露并不总是能够被自然人发现,自身缺乏足够的能力和动力去投入大量的时间和精力提起个人信息侵权诉讼。这种对个体诉讼呈现的“冷漠样态”以及“躺在权利上睡眠”的消极态度助长了个人信息侵权甚至犯罪行为的嚣张气焰。即便少部分的自然人寄希望于诉讼程序来维护自身利益,随之而来的便是繁琐的诉讼程序,由于个人信息处理本身的技术特性以及“算法黑箱”的存在,个体的孱弱力量无力承担繁重复杂的证明责任。
综上,为解决自然人与信息处理者之间的权利救济失衡状态,检察机关提出了源头治理与全链条打击个人信息违法犯罪行为的理念,将公益诉讼引入个人信息保护领域。在徐某案中,检察机关在查办相关侵犯公民个人信息犯罪之外,将劳务公司员工时某华、耿某军等人非法获取个人信息的行为纳入公益诉讼案件范围,通过提起附带民事公益诉讼加强对自然人个人信息的全面司法保护。
(二)补充转向:检察机关的新定位
检察机关在行使公诉权时具有主动性,其在刑事诉讼活动中承担着推动诉讼进程这一职责。但在公益诉讼领域,受限于民事诉讼法第58条规定的检察机关提起公益诉讼的前置条件,即法律规定的机关或有关组织不存在或不提起诉讼时,检察机关才可以提起公益诉讼。这样的程序设计突出了检察机关在民事公益诉讼中处于辅助与补充性的地位。民事诉讼法第58条规定的公益诉讼案件范围采取了“具体+一般”的方式,以损害社会公共利益为原则性判断标准,主要包括破坏生态环境和资源保护、侵害众多消费者合法权益等行为,这也为司法实践中可能出现的新型损害社会公共利益的事实预留足够的解释空间。尽管检察公益诉讼的适用存在严格的前置条件,但在司法实践中,该项制度并未被束之高阁:2021年4月,最高检发布检察机关个人信息保护公益诉讼典型案例,其中涉及4起民事公益诉讼、1起刑事附带民事公益诉讼案件,检察机关皆在公告后以没有法律规定的机关和有关组织提起诉讼为前置条件提起诉讼。积极履职的背后体现出检察公益诉讼的功能定位本质上是相应权益保护组织不存在或不作为的一种补充。
2018年最高法、最高检《关于检察公益诉讼案件适用法律若干问题的解释》(以下简称《解释》)第20条正式规定了刑事附带民事公益诉讼,检察机关在提起刑事公诉时可一并提起附带民事公益诉讼。在徐某案中,检察机关正是依照该规定提起刑事附带民事公益诉讼。个人信息保护法第70条则是突出了检察机关在个人信息保护公益诉讼中的独立诉讼主体地位,有权就个人信息处理者侵害众多个人权益的行为向法院提起诉讼。不过,囿于该条表述与民事诉讼法第58条存在明显差异,学界对个人信息保护法第70条的规定存有争议:
一种观点认为,检察机关仍居于公益诉讼起诉主体的补充地位,仅在未设置相关组织或相关组织不作为的情况下才可以向法院提起诉讼,理由为个人信息保护法第70条明确写明“依法”二字,对于民事诉讼法顺位规则的遵守不言自明。
另一种观点则认为,检察机关与其他相关组织之间为并列关系,并无先后之分。环境保护与消费者权益保护问题由来已久,其对应的公益组织亦发展出完善的架构,而个人信息保护作为人类迈入信息化社会的新兴问题,目前尚无相对应的组织对其进行专门关注。
因此,适格主体的顺位规定常在实践操作中被“架空”,而个人信息保护法的规定正确审视了个人信息保护公益诉讼中相关组织缺位这一客观因素,将检察机关与其他组织并列,从规范上赋予检察机关优先主体地位。
二、个人信息保护检察公益诉讼的适用条件
(一)个人信息侵权的判断
民法典第111条规定,自然人的个人信息受法律保护。任何组织或者个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。个人信息保护法第10条规定,任何组织、个人不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息;不得从事危害国家安全、公共利益的个人信息处理活动。实践中,对于个人信息处理行为是否构成侵权的判断,应以民法典、个人信息保护法的规定为基础。该案中,徐某等人购买公民个人信息400余条以及非法采集身份证信息及人脸识别信息,明显违反了个人信息保护法中不得非法买卖他人个人信息以及知情同意的规定,属于个人信息侵权行为,此时若满足了损害社会公共利益的条件,检察机关即可提起公益诉讼。
(二)损害社会公共利益的判断
若上述行为构成个人信息侵权,则需进一步判断该行为是否损害社会公共利益。虽然个人信息保护法第70条中并未提及“损害社会公共利益”,而表述为“侵害众多个人的权益”,但结合该条的功能定位,侵害众多个人的权益与损害社会公共利益在法益保护层面具有内容的一致性。个人信息公共利益的判断可能陷入唯数量论的误区,因为个人信息侵权案件中个人信息数量的多少并非衡量社会公共利益受损与否的唯一标准。
诚然,当承载个体利益的个人信息积累到一定的“量”时,可能会引发“质”的改变,从而影响社会公共利益,但前者仅是后者的必要不充分条件,信息本身的重要程度、信息泄露的场域等皆可能对判断是否损害社会公共利益造成影响。虽然关于社会公共利益的判断存在不同标准,但“不特定”“发散性”等特征性表述已经逐渐成为衡量公共利益的主流观点。若个人信息侵权行为将对社会中不特定多数人造成影响,则属于侵害社会公共利益,信息本身的数量多少在所不问。检察机关在徐某案中明确指出,提起刑事附带民事公益诉讼的原因在于徐某等人的行为侵犯了不特定公民的隐私权,损害了社会公共利益,亦是遵循了上述思路,个人信息收集、使用的过程皆指向社会中的不特定人群,该信息处理行为并无针对性,任何具体个体都可能因其行为遭受损失。
三、个人信息保护检察公益诉讼的规范路径
徐某案是检察机关全链条介入个人信息治理的集中体现,其通过刑事检察与公益诉讼检察的有序配合,既实现了对犯罪活动的威慑和惩处,也有效补充了个人信息保护体系的具体规则。个人信息犯罪的源头治理与全链条治理无法回避刑事检察与公益诉讼检察之间的规则协调与程序衔接,个人信息保护公益诉讼在损害赔偿、诉讼程序等方面有待进一步明确。
(一)刑民交叉下个人信息损害认定与赔偿制度的完善
个人信息保护法第69条明确规定个人信息侵权行为的损害认定应优先考虑“受到的损失”和“获得的利益”,在前述要素无法确定的情况下,再行考量个人信息受到侵害的实际情况。然而,这种看似标准明确的规定在实施过程中却存在一些不确定问题:
其一,群体性的损害赔偿数额难以确定。在公益诉讼的语境下,被侵权人的范围关系到公益诉讼的适用条件“不特定多数人”是否满足,并且个人信息泄露的“牵连性损害”特征使得被侵害对象的具体数量难以明确。此外,公益诉讼作为超然于私益诉讼的存在,其所代表的利益并非个体利益的简单叠加,而是具有社会属性的利益考量,是否应将对社会所造成的负面影响纳入赔偿的考量范围仍有待厘清。
其二,惩罚性赔偿是否必要。个人信息侵权行为中,违法者所承担的责任与其实际获取的收益通常不平衡,而惩罚性赔偿恰好能够克服一般赔偿在个人信息保护公益诉讼中的失衡现象,起到制裁、遏制的功能。但惩罚性赔偿制度的构建也面临着惩罚性赔偿金的计算、归属以及能否与刑事罚金折抵等一系列问题,其之于个人信息保护公益诉讼的可行性与具体框架需进一步考量。
(二)个人信息保护公益诉讼程序的内容细化
目前检察机关办理个人信息保护公益诉讼案件的立案标准、起诉条件、诉求请求等实体和程序条件均未有明确规定,虽然个人信息保护法赋予了检察机关在个人信息保护公益诉讼中的独立主体地位,但配套程序的缺位导致检察机关仍主要通过刑事附带民事公益诉讼的方式介入个人信息保护,其缘由在于可依靠以公权力为基础的刑事检察体系,有效解决在侵权诉讼中举证困难的现实问题。实践中,自然人个人在注册各类网络平台账号时,需要同意被收集各类个人信息,在证明特定平台运营者是造成个人信息泄露的侵害主体方面存在举证不能的困境。但如果按照全链条治理模式,检察机关在刑事诉讼过程中有足够的能力且有义务确认电信网络诈骗等犯罪中是否存在侵害公民个人信息的上游犯罪行为。刑事附带民事公益诉讼在个人信息全链条治理体系中有其积极地位,但其在程序的启动上依赖于刑事追诉程序,对于未涉及刑事犯罪且损害社会公共利益的个人信息侵权行为检察机关则需要单独提起民事公益诉讼。
对此,一方面,个人信息保护公益诉讼的立案标准、起诉条件、诉讼请求等需要全方位厘清,使检察机关在办理个人信息保护公益诉讼案件时有法可依;另一方面,由设计专业人员为检察人员办案提供咨询和技术支持的程序,消除技术壁垒,减轻检察机关在个人信息保护公益诉讼领域调查取证的负担。
