余凌云
(清华大学法学院教授、博士生导师)
郑志行
(清华大学法学院博士研究生)
[摘 要] 在个人信息的处理中,部分行政机关体现为双重身份:个人信息处理者和在职责范围内相应个人信息处理者的监管者。为了确保行政机关依法履行法定职责,个人信息保护法规定了内部法律责任,但没有就行政公益诉讼作出单独规范。当行政机关作为监管者时,行政机关可能存在不履行、不完全履行职责的情形,个人难以提起行政诉讼。行政公益诉讼具备的预防性特征可以弥补主观诉讼的缺陷,因此有必要引入行政公益诉讼。公益诉讼单独立法,有助于理顺公益诉讼作为客观诉讼的制度逻辑,有效填补个人信息等领域的单行法存在的漏洞。在个人信息保护领域引入行政公益诉讼后,有必要就线索发现、检察建议制度作出专门规定
[关键词] 个人信息保护;行政公益诉讼;客观诉讼;救济机制
随着信息技术的发展,行政机关、互联网平台等个人信息处理者处理个人信息愈加频繁,违法收集、利用个人信息的行为也广泛出现。个人信息处理者主要包括大型的互联网平台公司与国家行政机关为代表的国家机关。平台公司作为个人信息处理者,利用向用户提供商品服务的机会,处理个人信息,从而可能引发个人信息侵权行为。国家机关,尤其是国家行政机关,也需要在履行职责的过程中大量处理个人信息。国务院发布的《促进大数据发展行动纲要》指出,“建立‘用数据说话、用数据决策、用数据管理、用数据创新’的管理机制,实现基于数据的科学决策,将推动政府管理理念和社会治理模式进步”。行政机关通过处理个人信息,能够更好地履行实现行政任务、维护公共利益的职能。然而,行政机关处理个人信息也可能面临着合法性问题。以健康码为例,行政机关可能在自动化处理个人信息的基础上作出决策,也可能忽视对算法的解释,从而因算法的不透明性和非公开性影响行政公正。此外,行政机关还有可能过量收集个人信息,在超过必要的限度内处理和储存个人信息,违反比例原则。
一、个人信息保护的规制手段
为了对个人信息处理者的行为进行有效规范,2021年11月1日个人信息保护法正式施行。个人信息保护法不仅对互联网平台公司等信息处理者的义务作出了详细规定,还在第二章第三节对国家机关处理个人信息作出了特别规定,在没有特别规定时,应当适用个人信息保护法的其他规定。在个人信息保护法中,行政机关在实现行政任务的不同场景中,可能具有不同的身份,有时直接作为个人信息处理者,有时则可能在职责范围内作为相应个人信息处理者的监管者。一方面,行政机关在处理个人信息时,具备个人信息处理者的身份,在进行诸如根据收集的个人信息作出自动化决策等处理个人信息等信息处理行为时,应当遵守关于信息收集的合法性基础,自动化决策程序要求等规定。另一方面,包括公安、税务、市场监管等具有行政管理职责的部门,在各自的职责范围内,负有对其他个人信息处理者的监管责任,包括对敏感个人信息的处理颁发许可,制定标准,以及处理具体的投诉举报等。具体来看,个人信息保护法第六十条第一款规定“国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作。国务院有关部门依照本法和有关法律、行政法规的规定,在各自职责范围内负责个人信息保护和监督管理工作”,从而将履行个人信息保护职责的部门分为直接负责的有关部门和统筹协调的网信部门两类。
救济机制和法律责任是保障个人信息处理者义务得到有效履行和信息主体权利得以实现的手段。对于非国家机关个人信息处理者,个人信息保护法在第六十六条、第六十七条、第六十九条至第七十一条中规定了相关责任,具体包括罚款、暂停相关业务或者停业整顿、吊销相关业务许可或者吊销营业执照,记入信用档案并予以公示,给予治安管理处罚等行政监管手段,依法追究刑事责任的刑事手段,以及个人追究侵权损害赔偿责任和侵害众多个人权益时检察机关、法律规定的消费者组织和由国家网信部门确定的组织提起的民事私益诉讼与公益诉讼手段。然而,对于国家机关不履行个人信息保护义务的情形,只规定了内部的责令改正、给予处分的政务责任(第六十八条)。国家行政机关同时具备个人信息处理者和个人信息处理者监管者双重身份时,单一的内部法律责任不免略显单薄,是否能够对行政机关实现有效控制也存在疑问。
在上述法律责任中,公益诉讼手段尤为值得关注。公益诉讼制度作为客观诉讼,有助于应对受害人范围广、人数众多的侵犯权利的情形,是实现公共利益保护的重要手段。个人信息保护法第七十条为非国家机关个人信息处理者的侵权行为创设了民事公益诉讼制度,与民事诉讼法第五十八条规定的民事公益诉讼相衔接。行政机关违法处理个人信息的行为,以及行政机关不履行、不完全履行个人信息保护义务的行为,可能会侵犯公共利益,但是个人信息保护法中并未就行政公益诉讼作出规定。行政公益诉讼制度主要规定在行政诉讼法第二十五条第四款,“人民检察院在履行职责中发现生态环境和资源保护、食品药品安全、国有财产保护、国有土地使用权出让等领域负有监督管理职责的行政机关违法行使职权或者不作为,致使国家利益或者社会公共利益受到侵害的,应当向行政机关提出检察建议,督促其依法履行职责。行政机关不依法履行职责的,人民检察院依法向人民法院提起诉讼”。
个人信息保护法是否有必要引入行政公益诉讼,从而保障行政机关有效履行个人信息保护法规定的法律义务?如有必要,行政公益诉讼又应当如何建构?这两个问题有必要在个人信息保护制度以及公益诉讼制度的立法中予以回应。
二、个人信息保护领域行政公益诉讼的引入
在个人信息保护领域中引入行政公益诉讼需要具备理论正当性。具体而言,需要回应两个问题:个人信息保护领域引入行政公益诉讼的必要性,以及个人信息保护领域引入行政公益诉讼的可行性。首先,对于引入的必要性,奥卡姆剃刀定律指出,“如无必要,勿增实体”。因此需要回答的是,当前的个人信息保护制度中国家机关的救济机制和法律责任配置是否存在缺失,从而有必要引入行政公益诉讼。其次,对于引入的可行性,从解释论的角度而言,行政公益诉讼的引入还需要与现行法律制度框架相契合。在缺乏公益诉讼单行立法的背景下,行政诉讼法第二十五条第四款能否作为个人信息保护行政公益诉讼的法律基础?
(一)引入行政公益诉讼的必要性
行政法保护在民法、刑法、行政法等共同构成的法律保护体系中发挥着核心功能。首先,关于权利的定位。个人信息保护不仅涉及民事权利,也涉及人格尊严、隐私权等宪法权利,需要公法手段介入。其次,关于控制手段的选择。传统的民事侵权手段与刑法手段都力有不逮。从民事诉讼视角来看,信息数量多、单个信息数量价值低、高技术手段使得侵权行为隐蔽,传统的私益诉讼无法解决起诉激励不足的问题。即便民事诉讼制度规定了代表人诉讼制度,可以在一定程度上节约诉讼成本,但权利实现仍存在程序障碍、难以直接参加诉讼、诉讼环节增加难度等问题,难以满足保护互联网空间扩散性、不特定性的公共利益要求。从刑法手段来看,刑法具有谦抑性,只能规制情节严重、特别严重或造成严重后果的违法行为,从而对一般性的个人信息违法行为缺乏控制能力。由此可见,行政机关在个人信息保护中对公共利益的维护发挥着重要作用,通过行政手段保护公共利益更具效率。
行政手段是保护个人信息权益的关键环节,因此应当配置有效的行政法责任以保障目的实现。行政机关无论是作为监管者,还是作为处理者,都需要引入行政公益诉讼弥补现有救济机制存在的不足,以下分述之。
1.行政机关作为监管者,在平台企业处理个人信息时应当合法、有效履行个人信息保护职责。为了对行政机关的不履行、不完全履行法定职责的行为予以监督,应当配置个人信息保护行政公益诉讼。主要理由如下:
其一,内部监督手段的有限性。个人信息保护法对该类情形只规定了内部处分责任和责令改正手段,内部手段往往很难充分对行政机关实现监督。因此,内部救济机制存在启动渠道缺失、法律责任有限的特征,很难实现对个人信息权益的有效保护。此时,有必要配置行政公益诉讼,发挥检察机关作为法律监督机关的职能,就行政机关的违法行为发出检察建议,或者提起行政公益诉讼,实现外部司法手段与内部行政手段相配合。
其二,利害关系的认定存在困难。行政诉讼法将原告资格界定为同行政行为有利害关系的公民、法人等,该种利害关系是否包含在行政机关不履行、不完全履行对平台企业等的监管责任,导致平台企业不能妥善处理个人信息的情形之内,不无疑问。由于个人信息存在单个信息价值低、只有大量信息聚合才能发挥价值的特征,在非国家机关个人信息处理者存在一般性信息违法行为,例如并未进行个人信息保护影响评估、并未任命数据保护官或设置由外部成员组成的独立机构时,没有直接影响特定个体信息权益的实现,较难通过保护主观权利的行政诉讼制度实现保护目的。
其三,达到起诉要件中的初步证明义务存在困难。行政不作为中利害关系的认定通常需要提交相对人申请的证据,除非是行政机关应当依职权主动履行法定职责。个人信息处理者与信息主体之间通常存在信息、资源、知识等方面的不对等性,二者处于持续不平等的信息关系中,因此信息主体很难获取到相关信息,满足行政诉讼法规定的起诉证据条件。相较而言,行政公益诉讼是具体个案式的监督,意图在于“通过法律监督权和审判权协调配合来制衡过于强大行政权的机制”。行政公益诉讼不仅可以通过法律创设的诉讼担当消解原告资格利害关系认定的困难,还可以通过检察机关的调查取证权化解信息不对称的困境,实现监督行政机关的不作为,保护公共利益的结果。
2.作为个人信息处理者的行政机关也可能违法处理个人信息,应当配置行政公益诉讼予以监督。主要理由如下:
其一,内部监督机制运作失灵。个人信息保护法第六十五条规定的投诉举报制度很难达到理想的救济效果。个人信息保护法第六十一条第二款规定,行政机关具备“接受、处理与个人信息保护有关的投诉、举报”的职责。通常情况下,投诉举报仅适用于非国家机关处理者处理个人信息的行为。行政机关违法处理个人信息时,可能面临着处理投诉举报机关难以确定的困境。从个人信息保护法第六十一条第二款的字面含义出发,就行政机关违法处理个人信息的行为进行投诉举报,应当由该机关作为处理投诉举报的机关,在缺乏提级举报制度的背景下,作为内部救济机制的投诉举报制度可能无法有效发挥作用。网信部门尽管根据个人信息保护法第六十二条第五款具有“完善个人信息保护投诉、举报工作机制”的职责,但是该职责很难直接推导出网信部门具有接受对违法处理个人信息的行政机关投诉举报的权限。网信部门即便可以直接接受投诉举报,但作为与行政机关具有相同级别的部门,也难以发挥良好的监管效果。
其二,内部监督机制有限性。个人信息保护法中只规定了内部监督机制,在内部监督机制失效时,信息主体无法通过审判权等其他国家权力对行政机关的不作为实现有效制衡。这与行政机关作为监管者时面临的问题相同。
其三,民事救济手段无法发挥作用。从行为属性上看,此类行为不同于平台企业的个人信息处理行为,具备行政属性,不属于民事法律关系的范畴,当事人无法就此类行为获得民法上的救济。
其四,行政公益诉讼具备预防性,可以弥补主观诉讼的不足。个人信息保护公益诉讼不限于损害后果发生后才能提起诉讼,应当在公共利益受损或者具有重大侵害危险的严重性和普遍性时允许提起公益诉讼,从而能够使内部监督与外部监督相配合,有效监督行政机关履行职责。
(二)引入行政公益诉讼的可行性
行政诉讼法第二十五条第四款规定的是“生态环境和资源保护、食品药品安全、国有财产保护、国有土地使用权出让等领域”,并不完全局限于明确列举的四大领域。理论层面上,检察机关法律监督权的职权定位要求拓宽公益诉讼的受案范围;实践层面上,司法解释和司法政策,以及行政公益诉讼实践已经将行政公益诉讼扩充到包括个人信息保护在内的其他领域。
第一,检察机关法律监督权范围与国家和社会公共利益的范围是一致的,并不限于上述四大领域。我国采取“一府两院一委”的国家结构,检察机关作为法律监督机关,应当对行政机关进行全面充分的法律监督,范围及于行政机关职权范围的各个领域。自然应当将行政机关负有监管职责的个人信息保护领域纳入行政公益诉讼的视野。
第二,从法律规范的演变来看,行政公益诉讼的范围,在检察机关和审判机关司法能力的基础上,也在前述四个领域基础上得以逐步扩展。2020年最高人民检察院《关于积极稳妥拓展公益诉讼案件范围的指导意见》中要求检察机关“积极、稳妥办理安全生产、公共卫生、生物安全、妇女儿童及残疾人权益保护、网络侵害”等领域公益损害案件,个人信息保护便属于此处规定的网络侵害。2021年党中央印发的《中共中央关于加强新时代检察机关法律监督工作的意见》指出,探索办理安全生产、公共卫生、妇女及残疾人权益保护、个人信息保护、文物和文化遗产保护等领域公益损害案件,总结实践经验,完善相关立法。同年,最高检下发《关于贯彻执行个人信息保护法推进个人信息保护公益诉讼检察工作的通知》,要求切实履行好公益诉讼检察的法定职责。
第三,实践中已经有检察机关就个人信息保护提起行政公益诉讼。以“个人信息保护”“公益诉讼”为关键词在北大法宝检索,共检索到7件案例。经研究,6个案例是行政机关不履行个人信息保护法第六十一条第四款规定的“调查、处理违法个人信息处理活动”职责,只有一个案例涉及作为个人信息处理者的行政机关处理和公布个人信息中的违法行为。其中,多件还属于最高检发布的11件“检察机关个人信息保护公益诉讼典型案例”,具备指引下级检察机关公益诉讼实践的效果。
综上所述,尽管个人信息保护法并未就行政公益诉讼作出单独规范,但是可以将行政诉讼法第二十五条第四款作为法律基础,在个人信息保护领域中引入行政公益诉讼制度。
三、行政公益诉讼的规范建构
在明确应当将行政公益诉讼引入个人信息保护领域后,如何建构行政公益诉讼的规则便成为核心命题。在现行的法律规范中,行政公益诉讼以行政诉讼法第二十五条第四款为基础。那么,是否有必要就行政公益诉讼单独立法,个人信息保护行政公益诉讼制度应当建构何种特殊规则?
(一)就公益诉讼单独立法
我国行政公益诉讼的建构一波三折,最终得以在行政诉讼法第二十五条第四款中呈现。最高检《人民检察院公益诉讼办案规则》、“两高”《关于检察公益诉讼案件适用法律若干问题的解释》等司法解释也创设了具体规则。
但是,公益诉讼和私益诉讼在定位上存在显著差异。私益诉讼以维护当事人个人权利为基础,适用于独立的、小规模的、因果关系明确的权利受到侵犯的情形。公益诉讼为维护国家和公共利益,对事不对人的诉讼种类,适用于大规模复杂性的权利受到侵犯的情形,有助于客观法秩序的整体维护。然而,当前我国行政诉讼法从法律原则、原告资格、受案范围、证明责任等并未凸显出公益诉讼的独特性。将公益诉讼条款置于其中,显得有些逻辑混乱。
对此,主要有两种解决方案:其一,通过对行政诉讼法规定的利害关系作扩大解释,逐步扩张原告资格,“从法律保护的权利受损害转向事实上的损害标准。在既有法律制度框架内通过审判实践扩充相关法律条文的内涵来实现”。其二,就公益诉讼进行个别立法,从而将现有的法律规范和司法解释予以整合,对行政公益诉讼和民事公益诉讼进行单独规定。从目前来看,为理顺公益诉讼作为客观诉讼的制度逻辑,填补个人信息领域等的单行立法存在的漏洞,甚至将公益诉讼受案范围逐步扩张到“行政活动”“抽象行政行为”,单独就公益诉讼进行立法无疑是更有效率且更有助于实现法制统一的选择。单独立法还能够就当前不同公益诉讼领域在实践中出现的个性情况予以考虑。在公益诉讼单独立法的过程中,可以考虑将不同领域出现的共性问题予以整合,也应当结合个别领域的特性作出特殊规定。这样可以在不修改众多领域立法的情况下,有效实现公益诉讼的效果。
(二)明确个人信息保护公益诉讼的特殊规则
在行政公益诉讼的一般性规定之外,个人信息保护领域行政公益诉讼规则可能具备特定领域的个性特征。例如,关于民事公益诉讼的诉讼担当,民事诉讼法第五十八条规定“法律规定的机关和有关组织”具有优先提起诉讼的权利,只有在它们并未提起诉讼的情况下,检察机关才能提起诉讼;然而个人信息保护法不仅没有区分检察机关、法律规定的消费者组织和由国家网信部门确定的组织的起诉顺位,还将检察机关置于首位。这意味着检察机关成为个人信息民事公益诉讼的首要起诉主体。23行政公益诉讼与之类似,本文试从线索发现制度和检察建议制度两个方面予以论证。
1.线索发现制度。个人信息保护公益诉讼线索面临着发现困难的问题。起初,检察机关在履行职责中发现危害公共利益的案件才能提起诉讼,案件线索十分有限,而且案件线索来源单一可能导致检察机关独揽诉讼。从检索到的7件个人信息保护行政公益诉讼案例中也可以发现这一现象,这些线索分别来自刑事检察部门办理侵犯公民个人信息案件中发现(4件)、群众举报线索(1件)、媒体报道(1件)、检察机关主动发现(1件)。由此可见,刑事检察部门办理刑事案件时发现线索是个人信息保护公益诉讼线索的主要来源。然而,刑法作为处理个人信息违法最后的手段,应当保持谦抑的特性。通过刑事手段移送的通常是极其严重的个人信息违法行为,这将使得一般的个人信息违法行为溢出检察机关提起行政公益诉讼的视野。
《人民检察院公益诉讼办案规则》第二十四条对案件线索来源进行了扩张,具体包括自然人、法人和非法人组织向检察机关控告、举报的,行政执法信息共享平台上发现等情形。在行政机关作为监管者时,个人信息保护法赋予履行个人信息保护职责的行政机关处理投诉举报的职责。对于平台企业在处理个人信息中的违法行为,行政机关可能出现怠于履行职责的情形,也不会将相关线索转交检察机关。此时应当鼓励自然人、法人和非法人组织向检察机关控告、举报,畅通控告举报的渠道,保守控告人、举报人秘密,并提供奖励等,从而拓宽检察机关的线索来源。
行政机关作为处理者时,根据个人信息保护法第六十条、第六十二条第五款,国家网信部门具有“统筹协调个人信息保护工作和相关监督管理工作”“完善个人信息保护投诉、举报工作机制”的职能,应当允许网信部门通过函件等方式要求行政机关纠正违法行为;对于拒不改正的,应当在网信部门与检察机关之间建立线索转交机制。《中共中央关于加强新时代检察机关法律监督工作的意见》也明确要求,建立公益诉讼检察与行政执法信息共享机制。这可以通过网信部门与检察机关之间的线索共享落实。
2. 检察建议制度。检察建议不仅作为提起行政公益诉讼的前置手段,还发挥着独立于行政公益诉讼,督促行政机关依法履职,实现节约司法成本的作用。“行政机关接到检察建议后多数情况下基本能按照建议的内容,及时处理违法行为,防止公共利益继续受损。”比如,在江西省乐安县检察院督促规范政府信息公开行政公益诉讼案中,“收到检察建议后,乐安县农业农村局及时将相关信息从政府网站上撤回,对涉及个人信息的内容进行去标识化处理后重新公开,并于2020年7月24日向乐安县检察院作出书面回复,表示今后将依法依规进行政府信息公开,确保公民个人信息安全。”检察建议制度可以在节约司法成本的基础上实现保护公共利益,制止个人信息违法行为的目的。因此,个人信息保护行政公益诉讼应当强化检察建议的约束力,要求行政机关在一定期限内对检察建议作出回应,如果行政机关不予回应,检察机关应当提起诉讼。
