摘要:大数据时代,无论是商业应用抑或行政管理,都在不断地挖掘着个人信息的公共价值。《个人信息保护法》第70条规定了公益诉讼制度,为个人信息行政公益诉讼提供了规范依据。个人信息行政公益诉讼的正当性基础在于,行政机关具有个人信息处理者和履行个人信息保护监管职责主体两重身份,其违法处理个人信息的行为可能会导致社会利益和国家利益等公共利益的损害。基于现有个人信息保护手段的局限性,引入行政公益诉讼十分必要。应当进一步围绕主体关系、受案标准、诉前程序设计以及举证责任等方面对这一制度进行建构,如此方能真正达成个人信息保护的公益治理目标。
关键词:个人信息保护;行政公益诉讼;检察机关;行政机关
一、问题的提出
2021年《中华人民共和国个人信息保护法》(下称《个人信息保护法》)颁布实施,构建起个人信息保护领域的基本规范框架。《个人信息保护法》第70条规定,个人信息处理者违反本法规定处理个人信息,侵害众多个人的权益的,人民检察院、法律规定的消费者组织和由国家网信部门确定的组织可以依法向人民法院提起诉讼。以这一公益诉讼制度的确立为标志,个人信息保护多元、多维的治理格局正在形成。
事实上,在《个人信息保护法》生效前,个人信息保护公益诉讼已有诸多实践探索。2021年4月,最高人民检察院发布《检察机关个人信息保护公益诉讼典型案例》,彰显了最高人民检察院对个人信息保护公益诉讼制度的重视。同年6月,中共中央又发布《中共中央关于加强新时代检察机关法律监督工作的意见》,提出要积极稳妥拓展公益诉讼案件的范围,探索办理包括个人信息保护在内的诸多社会领域的公益损害案件。这充分体现了国家在顶层制度设计层面对个人信息保护公益诉讼制度的高度重视。
尤其值得关注的是,行政机关在个人信息处理中扮演着十分独特的角色。一方面,个人信息已成为行政机关开展日常工作和进行社会治理的重要依托;另一方面,行政机关又基于《个人信息保护法》和其他法律法规的规定承担着个人信息保护的义务。这使得行政机关在个人信息保护领域兼具了个人信息处理者和个人信息保护者的双重面向。此种特殊角色定位下,行政机关违法行使职权或不作为将极大地影响到个人信息保护法律价值的实现。通过行政公益诉讼来督促行政机关依法履责是一个重要的制度方案。
目前,个人信息保护领域公法视角的研究大多集中于个人信息保护的公私法之争,而对行政公益诉讼制度设计和运行的研究较少。《个人信息保护法》第70条虽然明确规定了公益诉讼制度,但内容相对原则,需要进一步予以解释和填补。基于此,有必要在《个人信息保护法》第70条的指引下,对个人信息保护行政公益诉讼制度的基本逻辑和作用机理进行充分论证;同时坚持问题导向,对《个人信息保护法》第70条进行内容上的补充供给,进而对个人信息保护行政公益诉讼制度进行系统的规范建构。
二、个人信息保护行政公益诉讼制度的理论证成
行政公益诉讼是检察机关为维护公共利益免受或停止侵害向违法行使职权或不作为的行政机关提起的诉讼。在这一诉讼模式中,被告被限定于在特定领域“负有监督管理职责”的行政机关,提起诉讼的前提也必须是国家或社会公共利益受到侵害。基于上述要件展开,可以厘清在个人信息保护中引入行政公益诉讼制度的正当性,同时也能体现行政公益诉讼制度在个人信息保护中的独特价值。
(一)个人信息保护的公益属性
1.保护范畴的扩张:个人信息公益属性的显现
在《个人信息保护法》颁布实施前,《中华人民共和国民法典》(下称《民法典》)第四编第六章规定了“隐私权和个人信息保护”,个人隐私和个人信息被置于人格权的保护范围中。人格权规范语境下,基于维护人格尊严和人格平等的要求,需要法律对个人信息予以保护。同时,由于人格权下的个人信息权益更多被理解为一种私益,在保护方式上也就更强调理性人对自身信息的选择和控制,这使得个人信息被固定在一种私密性和防御性的状态。
但是,在大数据时代,个人信息的保护和利用都处于更为开放的状态。在大规模的个人信息商业化利用面前,所谓“理性人的自我控制”只是一种理想化的状态。由于个人信息权益主体高度依赖平台等大型个人信息处理者所提供的服务,导致其无法通过隐私条款和用户协议实现对个人信息处理活动的选择和控制。而个人信息处理的聚合性、动态性特征也使个人信息不仅承载个人利益,同时还涉及一般性的社会利益。所谓聚合性,是指单独一个人或一项信息可能形成不了财产价值,但是众多个人信息进行收集、分析和处理后,可以在技术应用和创新能力建设方面衍生出巨大的商业价值,达到“聚沙成塔”的效果。而动态性则体现在个人信息一直处于被处理、加工和利用的过程中,互联网企业和平台得到的个人信息越多,它们描绘的“用户画像”就越准确。而基于这种“用户画像”,企业和平台就可以很容易地形成各种个性化推送,进而通过商业营销产出最大化的利益。随着信息主体行为上的转变和兴趣使然,画像也在不断更新,个人信息被二次利用、多次利用,所谓的“大数据杀熟”也正是产生于这种循环往复之中。
除了上述商业场景的利用之外,个人信息在社会治理中的功能和作用也在逐渐增强。因行政机关需要全面、实时和准确的信息源和统计数据,个人信息作为政府治理创新的重要因素在提供社会公共服务或作出公共决策等方面发挥着极其重要的作用,同时行政机关在这种治理过程中也可能对个人信息产生侵害,对个人信息利用和保护的平衡直接关涉公共治理目标的实现。
2.公共利益的趋向:个人信息保护规范的新生
个人信息保护行政公益诉讼中诉的利益正是源于这种个人信息价值背后所产出的国家利益和社会公共利益。在国家层面,公共利益的背后是国家对公共事项的支配与保护,个人信息是国家实行精准管理和治理现代化的重要数据来源,而数据安全又是国家安全的重要组成部分,因此个人信息保护不当可能会对国家安全带来一定的风险。此时,个人信息背后就会衍生出行政公益诉讼中保护利益之来源——公共利益中的国家利益。在社会层面,社会利益则是社会每个成员个人利益的价值集合,在个人信息保护范畴内可解读为所有社会成员的个人信息为自身和他人利用、处理的需要都有受保护的权利,因其也表露于社会公共视野之中,故行政公益诉讼中权利束的来源——社会公共利益也在个人信息的保护规范中产生。
不管是国家利益抑或社会公共利益,都是广义的公共利益的一部分。而行政公益诉讼保护的利益来源正是公共利益,这种公共利益是可以在个人信息的公益属性中进行充分挖掘的,这也是为什么对个人信息的“保护之手”可以触及公共利益。因此,“公共利益”为个人信息保护与行政公益诉讼制度之间提供了联结的纽带。但值得注意的是,并不是所有的个人信息都会受到行政公益诉讼制度的保护,能否选择行政公益诉讼制度对个人信息进行保护要看这种侵害个人信息的行为是否构成对公共利益的侵犯,而对此处公共利益的识别仍然需要借助个人信息的利用方式和现实场景进行综合判断。
(二)行政机关在个人信息保护中的双重面向
与以往的传统行政活动不同的是,在现代化的行政法治发展趋势下,行政机关不仅作为监管者履行对公民个人信息的保护义务,还更多地以个人信息处理者的身份参与到日常的行政事务当中。因此,个人信息保护中的行政机关若只被认定为“负有监督管理职责”的行政机关,那么对个人信息的保护范围在外延上将大打折扣,行政公益诉讼受案范围的拓展也会受到局限。应当重新梳理行政机关参与个人信息保护中的双重面向,才能发现行政公益诉讼介入个人信息保护活动的题中应有之义。
1.作为个人信息处理者的行政机关
首先,《个人信息保护法》第2条指出任何组织、个人不得侵害自然人的个人信息权益。此处的任何组织应当包括行政机关在内的国家公权力机关。这种理解在《个人信息保护法》第二章第三节中亦被充分体现,该节对国家机关处理个人信息提出了特别的规定。可见,立法者从应然的角度将以行政机关为主的国家机关对个人信息进行收集、处理时的行为给予了特别的规范。从实践来看,部分行政机关批量处理个人信息时只以达成公共治理需要为目标,并不重视个人信息权益的保护。例如近两年来,基于新冠肺炎疫情防控需要,各地行政机关在个人信息处理问题上常常引发争议,个人信息遭受泄露的风险也大大增加。将作为个人信息处理者的行政机关纳入规范视野中,也是新时期个人信息保护的必然要求。
其次,由于行政权行使的各个方面都可能涉及个人信息,除《个人信息保护法》之外的各单行立法也为行政机关设定了个人信息保护义务。例如,2011年《中华人民共和国居民身份证法》第6条第3款规定了公安机关及其人民警察对因制作、发放、查验、扣押居民身份证而知悉的公民的个人信息,应当予以保密。在这种状态下,个人信息保护的要求更多地体现为行政机关的消极不侵犯义务,强调的是个人对国家不当干预其个人信息时所产生的对抗性。这种消极不侵犯的义务要求行政机关应予以克制,防止在行政管理活动中对个人信息无限收集和不当使用,将信息主体排除妨害的请求权对象延展至国家一方,代表国家的行政机关就有负责不得侵犯信息主体个人信息的禁止作为义务。
最后,行政机关的处理行为不仅要求其在静态层面达到消极不侵犯的效果,还要求其在个人信息处理活动中主动担负起权力正当行使的内部责任。故作为个人信息处理者的行政机关具有消极不侵犯和积极保护的双重义务。行政机关处理个人信息时的积极保护义务主要体现在,行政机关收集个人信息时要求具有明确的目的,不能随意改变或扩大使用范围,以达到治理要求为限。行政机关收集信息时的手段和方式也要合法、适当,尽量将对信息主体的权利约束降到最小。因此,这种行政机关收集个人信息的行为可能是一种抽象的、内部的行政行为,需要借助上级行政机关或检察机关对其予以监督。而上级行政机关往往基于同一治理需要或对侵权行政机关给予“庇护”而不能对个人信息进行及时性的保护,故须引入行政公益诉讼制度,由检察机关“担当重任”。
2.作为履行个人信息保护职责主体的行政机关
行政机关作为履行个人信息保护法定职责的部门,将回归行政机关作为行政监管者的传统面向。行政机关作为监管者的身份主要涉及行政机关与个人信息处理者——主要是互联网平台企业的关系,强化的是行政机关的外部责任。此时,行政机关在个人信息保护中的职责指向对违法个人信息处理者(私主体)的监管,并同时对处于弱势地位的信息主体提供保护。作为履行个人信息保护职责部门的行政机关,负担的主要是积极介入个人信息处理活动和为个人信息提供保护的义务。
这种履职的展开主要分为以下两方面的内容:一方面,面对个人信息处理者(私主体)对个人信息的收集和利用,行政机关要进行动态化、复杂化的监控,以弥补和代替信息主体对个人信息的控制和选择之不足。可以说,行政机关在个人信息处理者(私主体)的内部个人信息合规治理体系之上,搭建了一个外围的安全维护监督屏障,以实现对个人信息的常态化保护。另一方面,一旦个人信息处理者(私主体)出现对个人信息处理的恣意和滥用,将承担《个人信息保护法》第七章规定的法律责任,而行政机关就是这种法律责任的具体实施者,充分发挥其全链条式的制裁和追责机制。
综上,当作为个人信息处理者的行政机关违反消极不侵犯的义务和权力正当行使的责任时,就需要引入行政公益诉讼制度对个人信息权益进行“后置保护”,防止行政机关对个人信息的直接侵害。当作为履职个人信息保护职责部门的行政机关违反法定职责或对个人信息处理者(私主体)怠于监管或不当监管时,就需要引入行政公益诉讼制度对行政机关的行为进行监督,防止行政机关对个人信息的间接侵害。
三、个人信息保护引入行政公益诉讼制度的现实必要
目前,我国的民法、行政法和刑法领域都明确加强对个人信息的保护,相关规定散见于《民法典》《中华人民共和国行政处罚法》《中华人民共和国网络安全法》《中华人民共和国刑法》以及各种标准和行业规范中。上述规范看似已经构成了较为全面的个人信息保护“防火墙”,但实施运行效果并不是很理想,这为个人信息保护引入行政公益诉讼制度预留了空间。
(一)民事私益诉讼保护效果不够理想
1.信息主体与个人信息处理者的不平等地位
在民事实体法和诉讼法中,信息主体与大型互联网平台的诉讼地位在理论上是平等的,但实践中却并非如此。二者的不平等地位更多体现在市场地位、技术优势以及控制能力上。对个人信息实施侵权的往往是较大的企业或互联网平台,它们拥有充沛的资金来源,在某个领域内占有相当大的市场份额或具有显著的影响力,单一个体无法与它们抗衡。而且,它们大都具有收集、使用和删改个人信息的强大技术优势,可以利用高科技手段让侵权行为更加隐蔽。此外,技术上的优势还体现在它们可以随时便利地对个人信息进行二次利用和去匿名化,这让个人信息主体根本没有能力对个人信息侵权行为进行阻断。
随着互联网平台企业在经济活动中的地位和技术能力越来越强,可以认为这些个人信息处理者(私主体)已经有了一定的“准数据权力”。它们不仅可以控制信息主体的个人信息,还能在前端影响信息主体对其网络产品和服务的使用。平台凭借着用户对其网络产品的依赖,在网络产品中设置带有格式条款的隐私政策,用户不同意就将无法使用该网络产品。平台和企业的这种做法实质上“架空”了个人信息保护中的“知情同意”规则,用户的个人信息或将任由它们进行“宰割”。
2.信息主体维权难度大
信息主体起诉侵权的个人信息处理者后,法院即按照侵权责任体系的一般过错原则要求原告(信息主体)进行举证,但面对拥有强大市场地位、技术优势的平台企业,原告的举证能力严重不足。有学者对2021年6月前发生的12例个人信息泄露的民事侵权一/二审案件进行了统计,其中只有1例得到了法院支持。其余11例中,有5例是由于原告不能证明被告作出了侵犯其个人信息的事实行为而败诉,有3例因未能证明侵权行为与损害结果之间有因果关系而败诉,另有1例是因为原告不能证明被告对个人信息泄露的行为具有主观上的过错。可见,传统私权救济上的举证责任分配使得信息主体的维权难度极高。此外,个人信息处理者依托技术能力和对个人信息的支配地位,它们在处理和删除侵权信息时将更具快捷性和隐蔽性,信息主体想找到损害结果也会“难上加难”。
3.侵权主体违法成本小
即使原告获得了法院的支持,但是因个人信息的价值难以得到具体量化,信息主体获得的损害赔偿也是“杯水车薪”。较少的赔偿金额相比于个人信息处理者通过低成本手段获得的巨大经济价值来说,简直是微不足道。也有学者提出可在个人信息保护诉讼中引入惩罚性赔偿,但是在目前追求个人信息利用和保护二者平衡的情况下,引入惩罚性赔偿存在矫枉过正之嫌,将对冲个人信息利用产生的经济红利所形成的行业发展势头。而且,惩罚性赔偿的震慑覆盖力强,在惩罚个人信息处理者中头部企业的同时,也会对其他非头部企业造成损害,不利于互联网企业和信息产业的蓬勃发展。
(二)刑事公诉惩治路径力有不逮
1.刑罚适用条件的严苛
我国在刑事保护方面对个人信息犯罪给予了足够的重视和打击,但是刑事公诉案件的门槛较高,不利于常态化保护。我国刑法中专门就个人信息保护设置了“侵犯公民个人信息罪”和“拒不履行信息网络安全管理义务罪”,体现了国家对个人信息相关犯罪的打击力度之强。但是分析相关条文可以发现,其要求相关违法行为必须达到“情节严重”“情节特别严重”或者“严重后果”的标准和程度,这让个人信息保护的刑罚适用门槛变得极高,难以迅速回应现实需要。而且刑罚适用的前提要求具有严格的证明标准,许多个人信息泄露和违反管理义务的事实细节不易挖掘和固定,较难达到入罪的标准。
2.刑法定位上的谦抑性
刑法的定位在于对犯罪行为进行事后惩戒,因此其侧重于对侵犯个人信息的犯罪行为进行末端打击。这种末端打击还要求刑法必须保持其谦抑性,只能适用于极为严重的个人信息犯罪行为,并克制惩罚的烈度。所以,面对大数据时代侵犯个人信息的洪流,刑法所能覆盖的只占很小一部分,无法满足对侵犯个人信息的行为进行有效规制的目的。此外,刑法定位上的谦抑性衍生出规制上的后置性,注定刑法对侵犯个人信息的源头行为惩处乏力,因而其也就不具备对侵犯个人信息行为的预防性作用。所以,刑法的谦抑性表明刑法不是治理社会问题的主渠道,而只能是最后的底线。
(三)行政机关执法监管和个人信息处理行为亟须督促监管
我们应当肯定行政机关在个人信息保护方面具有显著的优势。首先,不像个人信息民事侵权案件一样遵循“不告不理”原则,行政机关可以主动介入关于个人信息泄露的相关案件中展开调查和处理,具有快捷、高效的优势。其次,行政机关进行个人信息保护所带来的价值效果是双重的,它不仅能够在信息主体的个人信息受到侵犯时予以回应,还能因应个人信息泄露带来的社会风险,重视个人信息保护的社会效果。最后,行政机关参与个人信息保护还具有系统性和灵活性。针对公众的举报或行政机关自身发现线索,可以贯穿个人信息保护事前预防、事中监督和事后处理的全过程。然而,目前行政机关对个人信息保护进行执法监管的工作实效并不理想,亟须引入行政公益诉讼制度对其执法监管工作和个人信息处理行为进行督促。
一方面,就行政机关作为个人信息保护执法部门的履职情况来看,其虽然相较于普通民事诉讼存在一定优势,但监管实效不佳,行政机关错为、不为或不完全为的现象仍然较多。究其原因,既包括个人信息保护监管职权比较分散,也包括个人信息监管难度较大,易导致监管懈怠。《个人信息保护法》第六章第60条对履职部门的分工协调进行了具体规定,但是在实践中各部门的职责界限仍然不够清晰。以最高人民检察院发布的《检察机关个人信息保护公益诉讼典型案例》中案例1为例,该案明确对App违法违规收集使用个人信息具有监督管理职责的机关包括了江西省通信管理局,又包括了南昌市网信办、南昌市公安局。可见,在监管机关设置上,既受监管部门层级不同的影响,又有职能交叉、多头监管等问题,存在“九龙治水”的弊端,个人信息保护的主管部门往往存在交叉或重叠,缺乏统一协调,影响到个人信息的有效保护。此外,侵害个人信息的行为和范围难以确定,侵害的内容和程度往往不易辨别和认定,行政机关在对个人信息保护上往往克制使用行政处罚甚至监管缺位。
另一方面,在行政机关作为个人信息处理者时,其对个人信息的处理活动同样需要外部主体督促。其中最典型的例子是政府信息公开中的个人信息保护。虽然《民法典》将隐私权和个人信息保护置于同一规范层面,但个人隐私与个人信息中的敏感个人信息存在交叉,政府信息中包含了大量的个人隐私与敏感个人信息。《中华人民共和国政府信息公开条例》第15条虽对涉及个人隐私的政府信息确立了公开豁免制度,却又在但书中设置了较为宽泛的可以公开的例外。这实质上体现了政府信息公开中对个人信息保护的不充分,导致该豁免条款规范表达下的审核机制基本处于“闲置”状态。以最高人民检察院发布的《检察机关个人信息保护公益诉讼典型案例》中案例5为例,江西省乐安县农业农村局在政府官方网站公开购机农户的农机购置补贴情况时未对农户的个人信息进行去标识化处理,侵害了农户的个人信息安全。近些年,这类案例屡见不鲜,行政机关为了增加授益行政行为的公正性,为了确保疫情防控应对公共应急处理的及时性,频频出现侵犯公民个人信息权益的问题。究其原因,除了行政机关对个人信息保护意识不足外,更主要的是在行政执法的外围还缺少一层对行政机关的监督机制。
(四)行政公益诉讼相较于民事公益诉讼的路径优势
通过以上三部分的分析,可以看到个人信息现有保护路径中存在的问题。这不是为了对以上规制手段进行否定,而是为了在此基础上选择更适宜的规制方法对其进行补充。摒弃个人信息保护的公私法之争,探索公私领域多元治理、多法协同的保护模式才是未来个人信息保护发展的新趋势。各部门法应找准自身的角色定位,才能进而避免冲突与内耗,将更多合力投入个人信息保护的实效中。引入公益诉讼机制,也需要讨论将重点放在行政公益诉讼还是民事公益诉讼才能更好地实现目的,这需要我们对现阶段民事公益诉讼和行政公益诉讼中检察机关处理案件的特点、与前端争议解决的承接方式以及不同诉讼模式与个人信息属性的契合度有一个全面的了解和对比。
民事公益诉讼和行政公益诉讼二者在介入路径的初端均有发现线索和调查核实等环节,这也本属于检察机关前期的基本能力,在此不作对比。两种公益诉讼路径出现区分的节点应从发出公告和制发检察建议开始。在民事公益诉讼中,检察机关的起诉顺序处于后置位,只有当发出公告后法律规定的组织和个人不提起诉讼时,检察机关才可直接提起诉讼。因此,从以上起诉方式中,可以看出民事公益诉讼有以下特点:首先,直接性,若法律规定的组织和个人不提起诉讼,检察机关则在规定期限届满后直接提起诉讼,不存在其他解决方式,因而这也牵涉出其单一性的特点。此外,检察机关能否起诉还要看法律规定的组织和个人是否会提起诉讼,因而这种方式也存在从属性特点,不利于对个人信息形成及时的保护。而在行政公益诉讼中,检察机关可在诉前向作为个人信息处理者的行政机关或负有监管职责的行政机关制发检察建议,亦可加入磋商程序,或通过圆桌会谈、座谈以及函告等形式要求行政机关履行个人信息保护的职责,因而有很强的灵活性与能动性。并且检察机关在行政公益诉讼中兼具推动者和合作者的角色,治理和保护的“主角”仍然是行政机关,故此时检察机关对个人信息的保护具有间接性的特点。
在与前端争议的承接方式上,二者也存在不同。民事公益诉讼能够适用的个人信息保护规范依据不够明确,大多依靠消费公益诉讼已有的规则进行解决,但是大数据时代的信息主体不一定均为消费者。此外,民事公益诉讼的“输出路径”单一,其必须承接民事私益诉讼和消费公益诉讼的已有路径进行探索和程序搭建,容易在诉讼阶段继续陷入民事私益诉讼的“老问题”中。而行政公益诉讼则完全不同。检察机关在个人信息处理与保护中承担的更多是“最外层监督者”和合作者的角色,其只须与行政监管做好承接即可,而行政监管又具有加强对个人信息全过程、全链条的保护,做到预防和处罚并重,达到规制效果和社会效果统一等优势,行政公益诉讼则旨在督促这些优势的发挥。
从以上分析可以发现,行政公益诉讼在对个人信息保护的介入上有其独特的优势。尽管目前实践中检察公益诉讼介入个人信息保护的路径既存在民事公益诉讼路径,也存在行政公益诉讼路径,但是对现阶段的介入方式和特点进行综合对比来看,行政公益诉讼路径更契合目前的个人信息保护态势,也更容易发挥长效作用。此外,《个人信息保护法》第70条的公益诉讼条款亦是一个在解释上较为开放的条款,以行政公益诉讼为主,民事与行政公益诉讼并行亦是可选择的方案。
四、个人信息保护行政公益诉讼制度的展开
2020年9月,最高人民检察院第八检察厅出台了《关于积极稳妥拓展公益诉讼案件范围的指导意见》,其中就提到了要准确把握涉及个人信息保护领域的公益损害案件。2021年出台的《个人信息保护法》在第70条确立了个人信息保护的公益诉讼机制。但是,以上规范更多只是对个人信息保护公益诉讼探索提供规范指引,缺少具体的操作规则,这在一定程度上制约了公益诉讼的开展。因此,应当适时出台专门的个人信息保护行政公益诉讼规则,就以下几个方面问题作出专门规定,以构建系统完善的行政公益诉讼制度。
(一)个人信息保护行政公益诉讼中的主体关系
基于行政机关在个人信息保护行政公益诉讼中的双重面向,个人信息保护行政公益诉讼中的主体关系相较于传统行政公益诉讼存在一定的特殊性。当行政机关作为履行法定职责的监管部门时,其主体关系回归于传统的行政公益诉讼(见图1),即行政机关承担对个人信息处理者(主要是私主体)的监管职责,在违法行使职权或怠于履职时由检察机关发动行政公益诉讼。此外,在这一情形下,从强化社会共治的角度出发,检察机关还可以向个人信息处理者的行业自律组织发出治理类检察建议。治理类检察建议的制发对象包括涉案行政机关、行业主管部门、行业自律组织和其他相关部门,以便更好地发挥行政机关与行业自律组织的协作治理作用。
图1 行政机关作为履职部门时各主体关系示意图
当行政机关作为个人信息处理者时,其可能因为直接违反个人信息保护相关规则,侵害公共利益而引发行政公益诉讼。但需要注意的是,《个人信息保护法》第68条第1款规定,国家机关不履行本法规定的个人信息保护义务的,由其上级机关或者履行个人信息保护职责的部门责令改正。这意味着此类案件中除了涉及检察机关与违法处理个人信息的行政机关之间外,还涉及对该违法机关个人信息处理行为负有监督管理职责的行政机关。按照行政公益诉讼督促行政机关依法履责的制度目的,此时亦应当允许对这一特殊的监管主体提起行政公益诉讼。可见,当行政机关作为个人信息处理者时,检察机关既可以向作为个人信息处理者的行政机关发起行政公益诉讼,也可以向作为监管者的行政机关发起行政公益诉讼,从而形成“双重被建议对象”和“共同被告”的情况(见图2)。
图2 行政机关作为个人信息处理者时各主体关系示意图
(二)个人信息保护行政诉讼案件选择的标准
检察机关发动行政公益诉讼,本质上是在运用检察权对行政权进行监督。基于司法权力对行政权的尊让,这种监督应当保持一定的谦抑性。这就要求检察机关在积极开展个人信息保护行政公益诉讼的同时,也要对行政公益诉讼介入个人信息保护的方式作出谨慎选择。
1.起诉对象的确定
考虑个人信息保护行政公益诉讼起诉对象时,应结合行政机关在个人信息保护中的身份展开。这样考虑,不仅能够保证检察机关不遗漏违法行为或不作为的对象,也便于对行政机关进行全方位的监督。因此,在起诉对象的确定上,可参考适用“连带责任说”,即只要该行政机关对个人信息保护负有特定的法定义务和监管责任,就应当作为被告共同承担责任。连带责任一般会划分内外部关系,即连带责任人对外全体承担责任,之后再进行对内责任分担。具体到行政诉讼中即当责任人为多个行政机关时,各行政机关之间有连带关系,每个行政机关对外均应承担个人信息处理侵权或履职责任,对内则为行政内部追责。譬如在最高人民检察院发布的《检察机关个人信息保护公益诉讼典型案例》案例1中,江西省通信管理局、南昌市网信办和南昌市公安局都对App违法违规收集使用个人信息具有监管职责,遂南昌市检察院对以上行政机关均提出了诉前检察建议。
此外,检察机关还应结合“外观主义说”确定起诉对象。“外观主义说”最早来源于权利外观法则,即“以当事人行为外观之准,以认定产生之效果”。又因对方当事人对此种外观事实产生信赖,进而作出相应的行为,此时若外观事实与作出行为不一致,则依照外观来确定作出行为的法律效力。因此,“外观主义说”秉持的原则是当外观事实与作出行为不一致时则会产生这两方的利益冲突,从保护个人信息安全、维护社会治理实效的角度出发,作为法律监督机关的检察机关应当保护公众的信赖。当某些行政机关与行政机关之间、内部部门之间还存在着对个人信息保护监管的内部协调和责任划分时,应运用“外观主义说”对其进行检视,以该行政机关外部公示的职责作为其承担责任的依据。这样做不仅方便确定起诉对象,还能应对提出检察建议期间和诉讼阶段行政机关“逃责”的抗辩。
2.侵害行为和后果的确定
之所以要将侵害行为与侵害后果放在同一范畴内进行考虑,不仅在于二者之间在诉讼要件成立的前提下具有因果关系,还因为二者的构成要件事实应当保持一致性。个人信息保护行政公益诉讼开展的一大难点就在于“公共利益”的不确定性,这让检察机关对公益保护的形成条件很难作出统一的判断。这种不确定性既包括利益内容的不确定,还包括受益对象的不确定。因此,有必要对“公共利益”中的相关内容进行解释以便更好地为明确个人信息保护案件的受案标准服务。
利益内容既包括已经受到或正在受到侵害的个人信息公共利益,还应包括即将受到侵害、没有特定受害人予以保护或特定受害人保护不足的公共利益。因此,受益对象应适当延展,除国家和社会公众外,还应理解为相关领域内的多数不特定人。虽然司法实践中对公共利益损害的判断一直存在着实害性标准和危险性标准的争议,但是结合具体场景还是能够筛选出适宜的判断标准的。传统民事公益诉讼由于采侵权责任体系的举证标准,要求原告方举证出实际的损害后果,故适用实害性标准更宜。个人信息保护行政公益诉讼要对行政机关违法行为或监管失责进行全方位监督,故采用危险性标准更佳。危险性标准即个人信息保护行政公益诉讼的损害后果既包括实际受到的物理形态上的损害,还应包括潜在的、可能发生损害后果或行政机关社会评价降低的危险性情形。
3.救济必要性的确定
确定救济必要性原则是防止检察机关参与公益诉讼时权力的不当扩张。由于个人信息保护所产生的多元、多维治理格局,在提起个人信息保护行政公益诉讼时要充分考虑救济手段的便捷性和实效性。便捷性体现在若某一个人信息保护案件可满足运用民事私益、行政执法监管或刑事公诉更为便捷的渠道加以解决,就没有必要将该案纳入个人信息保护行政公益诉讼的受案范围。实效性则体现在该案中的利益内容由行政公益诉讼实现是否能够取得较好的实际效果。以上两种条件缺一不可。具体运用时,这种救济必要性的确定在法院受理前后的判断方法存在差异。法院受理前,检察机关要充分尊重行政机关的首次判断权,除具体事实已表明行政机关怠于履责外,行政机关只要没有基于监管责任作出违法行为的初次判断,检察机关就不应提起行政公益诉讼。法院受理后,检察机关已经对起诉对象、侵权行为和侵权结果有了一定的判断,这时须法院依职权对以上形成要件进行司法审查。
(三)个人信息保护案件中的诉前程序设计
诉前程序是检察机关办理公益诉讼案件的法定程序,提出检察建议也是行政公益诉讼诉前程序中的独特形式。2020年全年超过99.4%的行政公益诉讼案件因在诉前发出检察建议而得到整改。因此,在个人信息保护行政公益诉讼案件中重视诉前程序的优化,将对个人信息的公益保护起到至关重要的作用。
1.重视磋商程序的价值
《人民检察院公益诉讼办案规则》第70条第1款规定了检察机关决定立案后可以与行政机关就相关案件的损害后果以及整改方案进行磋商。立案后发出检察建议前进行磋商程序不仅可以更加准确地认定案件事实,还能用最少的检察资源快速地处理公益案件,兼顾公正和效率。由于个人信息侵害案件的事实不易被发现且网络个人信息侵害案件还涉及技术处理等问题,检察机关与行政机关对待这类案件的事实认定可能存在差异,所以应当更大程度地利用好诉前程序的价值,将磋商程序确立为个人信息保护行政公益诉讼案件的必经程序。
在具体适用上,鉴于个人信息泄露等个人信息违法行为产生影响的速度较快,潜在危害较大,应尽量将磋商程序设置在立案后3天之内。基于个人信息案件的特殊属性,检察机关只要具有线索能初步证明涉案机关的违法行为或不作为造成了公益侵害或公益损害的风险即可。磋商程序是检察机关与涉案行政机关交换意见的有效平台,在这一阶段检察机关并不能苛求涉案行政机关立即出台整改方案或完全恢复个人信息保护的公共利益。磋商程序形式上应尽量采用面对面磋商并促请涉案行政机关的主要负责人参与磋商,从而让磋商达到最佳效果。此外,磋商程序中还应增加听证制度与圆桌会议,增强检察机关与涉案行政机关交换意见时的公正性和透明度。如最高人民检察院发布的《检察机关个人信息保护公益诉讼典型案例》案例3中,平凉市检察院围绕快递收发前端和末端的个人信息泄露风险,通过随机问卷调查听取社情民意,通过诉前磋商和公开听证与行政机关和快递企业代表进行会商,共同提出切实可行的保护方案,为提升个人信息保护案件办案质量发挥了重要作用。
2.调整检察建议的适用标准
在行政公益诉讼程序中,检察建议是一种具备法律效果的非强制性弱监督行为。在这个阶段,检察机关不能凭借自己的法律监督权过于苛责行政机关,也不能因检察机关和涉案行政机关可能在未来诉讼中积极对抗而要求检察机关对相关违法行为、损害事实或风险以及二者的因果关系负有高度证明责任。在提出检察建议的过程中,应强调检察权与行政权的合作治理,作出遵循司法治理规律与符合成本收益原则并重的规则设计。
在内容上,检察建议的提出应以促进个人信息公益侵害得到治理作为根本目标。检察建议书事实清楚,观点明确,建议合理即可,重在对行政机关起到注意与提示作用。这也是执法效能优先,检察权对行政权予以补充、协调的体现。所以,检察机关在内容中的证明责任只须达到可能性或一般盖然性,略高于磋商程序的初步证明力即可。因为在提出检察建议阶段,检察机关只是附带利用证据进行程序推进,并不强调法律监督权应然实施下的救济和保障,否则容易与诉讼阶段的举证责任相混淆。
3.完善诉前转入诉讼的衔接机制
若在检察机关提出建议后,行政机关不依法履职的,案件当然地从诉前程序转入到诉讼中来,在这个转换过程中应建立法定的、健全的衔接机制。判断行政机关是否依法履职,应结合具体案件的难易程度以及行政处罚的程序设置来进行综合判断。判断行政机关是否依法履职,不能仅以治理结果作为审查标准,这不仅会加重行政机关的履职负担,也会弱化检察机关对治理效果的跟进机制;也不能仅以是否具有履职行为作为审查标准,这样也容易让行政机关产生“简单应付”的心理,被侵害的个人信息得不到长效性保护。因此,最有效的标准应是建立一种实质性审查标准。具体来讲,需要检察机关不仅在行为上判断行政机关是否依照法律规定履行责任,还要在结果上考察行政机关是否停止了侵害行为的发生,让被侵害的个人信息得到持久的保护。
另外,转换程序还应调整好衔接机制中的时间问题。《最高人民法院、最高人民检察院关于检察公益诉讼案件适用法律若干问题的解释》第21条第2款规定了行政机关2个月的整改期限,存在公益损害继续扩大的紧急情形应限于15日内作出书面回复。食品药品安全、国有财产及国有土地使用权类案件相对容易固定证据,同时也需要留出一定的整改和恢复期,因此存在普通期限与紧急期限之分。但个人信息保护案件具有较强的紧迫性,其整改期限应以15日为限。
(四)个人信息保护案件的举证责任分配标准
在行为要件上,当行政机关作为履职部门时,应由检察机关证明该行政机关存在违法履职或不作为的情况。当行政机关为个人信息处理者时,应对照《个人信息保护法》第10条规定的非法收集、使用、加工、传输以及非法买卖、提供、公开这7种行为作为认定行政机关违法的依据。只要满足这7种行为之一即可构成检察机关举证责任中的行为要件。
在结果要件上,检察机关应证明行政机关的违法行为或不作为对国家利益或社会公共利益造成损害,这种损害包括实质侵害和预防损害。因为程序已经进入了诉讼阶段,对损害的认定更应注重“结果标准”的判断,即因个人信息被侵害或存在被侵害的可能所导致的国家利益或社会公共利益受侵害的状态或风险未被消除。这里对“损害”的证明标准应适当高于诉前建议阶段,达到高度盖然性的标准,即与传统行政诉讼的证明责任保持一致,介于刑事诉讼与民事诉讼之间。这是因为,一方面,接近90%的案件已经在诉前检察建议中得以解决,检察机关应保持司法谦抑性,对抗行政机关应具备高度盖然性的违法或不作为结果;另一方面,检察机关在案件事实的搜集上已经经历了磋商程序和提出检察建议阶段,已经得到了大量结果要件中的证据,故应在诉讼阶段对其提出更高的证明责任。
在因果关系要件上,检察机关应证明行为要件与结果要件存在因果关系,证明标准仍与结果要件中的高度盖然性标准保持一致,此处不再赘述。
在责任要件上,传统行政诉讼本身并不采取过错归责原则,作为监管机关的行政机关只须证明其作出的履职行为符合法律规定或其不作为具有合法理由即可,即行政机关只承担自身行为合法性的证明责任。当行政机关作为个人信息处理者时,其应承担《个人信息保护法》第69条规定的个人信息处理者的过错推定责任,即证明自己没有过错。可以看到,作为个人信息处理者的行政机关仍是证明其个人信息处理和保护等行为符合法律规定,还是只承担行为合法性的证明责任。故行政机关无论是在个人信息保护中处于何种面向,其在举证责任的分配上是相同的,均须证明其行为的合法性。
五、结语
近年来,个人信息保护的重要性日益突出,对个人信息违法行为的治理已成为社会治理的重中之重。《个人信息保护法》中增加的公益诉讼条款和个人信息公益诉讼典型案例的陆续发布表明,个人信息保护公益诉讼在未来将担当重任。个人信息保护行政公益诉讼的理论证成产生于个人信息、行政机关的双重性质中,它们共同构成了制度的良性互动。现实层面,个人信息保护在民事、刑事以及行政方面的救济不力也在呼唤着行政公益诉讼制度的到来。理论与实践所形成的制度逻辑也在指导着制度的规范建构。由于成文法规定较为笼统,只有对相关条文进行充分的展开和补充,才能确保这一制度落地实施,发挥其在个人信息保护方面的独特优势,以实现促进个人信息保护与发展平衡,兼顾个体发展与社会关切的治理实效。
