Exploring the Personal Information Protection from the Perspective of Prosecutorial Public Interest Litigation
-
摘要: 《中华人民共和国个人信息保护法》明确了个人信息保护公益诉讼制度。检察机关在办理个人信息保护公益诉讼案件中存在案件线索选择、证据收集等诉前办案难题,以及起诉法律依据、起诉标准“社会公共利益”的内涵界定、起诉主体顺位等起诉相关问题。产生上述难题的主观原因,一是未及时调整观念、没有充分借助外部力量,二是自身素能尚需提升、能动履职不足;客观原因主要包括立法粗疏、公益诉讼的特殊性等。为解决上述难题,检察机关应当注意借助公安机关、法院、其他行政机关之力获取证据;检察机关不能根据个人信息保护法提起行政公益诉讼,而只能提起民事公益诉讼,但可以根据行政诉讼法第二十五条第四款规定提起行政公益诉讼;检察机关不应作为消费者组织或者其他组织的后置起诉主体;如果检察机关既可提起民事公益诉讼,又可提起行政公益诉讼,那么一般情况下先选择行政公益诉讼;对于财产损害赔偿,建议探索适用法定损害赔偿数额标准;精神损害赔偿数额应考虑侵权人的过错性质及其程度,侵权行为的动机、手段或方式,个人信息的隐私性等因素。Abstract: The Law of the People’s Republic of China on the Protection of Personal Information clarifies the system of public interest litigation for the protection of personal information. Procuratorial authorities in the handling of public interest litigation cases related to personal information protection, face difficulties in pre-litigation handling problems, as well as issues related to the legal basis for prosecution, the definition of the connotation of “social public interest” in prosecution standards, and the order of prosecution subjects. The subjective reasons for the above-mentioned difficulties are twofold: firstly, failure to adjust concepts in a timely manner and insufficient utilization of external forces, and secondly, the need to improve one’s own abilities and insufficient initiative in fulfilling duties. The objective reasons mainly include careless legislation and the particularity of public interest litigation. To solve the above difficulties, procuratorial authorities should pay attention to the power of public security organs, courts, and other administrative organs to obtain evidence. The procuratorial authorities cannot file administrative public interest litigation in accordance with the Personal Information Protection Law, but can only file civil public interest litigation and file administrative public interest litigation in accordance with Article 25 (4) of the Administrative Litigation Law. The procuratorial authorities should not be the subject of post litigation for consumer organizations or other organizations. If the procuratorial authorities can file both civil public interest litigation and administrative public interest litigation, then it generally chooses administrative public interest litigation first. For property damage compensation, it is recommended to explore the application of legal compensation standards. The amount of compensation for moral damages should take into account the nature of the infringer’s fault and its degree, the motivation, means or ways of the infringing behavior, and the privacy of personal information.
-
在互联网时代,随着各种智能信息技术的迅速发展与广泛使用,人们从中得到极大便利的同时,也面临个人信息泄露的风险,因而个人信息保护问题越来越受到重视。《中华人民共和国个人信息保护法》(以下简称个人信息保护法)于2021年11月1日施行,其第七十条明确规定个人信息保护公益诉讼制度
1 。人民检察院和其他组织可以对侵犯个人信息的信息处理者提起公益诉讼,有效应对个人信息侵权行为。在个人信息保护领域引入公益诉讼制度,既是为了保障个人信息安全,也是推动国家治理体系和治理能力现代化的应有之义。但是,个人信息保护法对个人信息保护公益诉讼仅作出原则性规定[1],司法实践中仍有很多问题需要研究解决。本文以检察机关办案为视角,针对个人信息保护法施行后检察机关在诉前及起诉中遇到的主要问题进行探讨,以期发挥检察公益诉讼在推动国家治理体系和治理能力现代化中的应有作用。一. 检察机关办理个人信息保护公益诉讼案件难题之检视
个人信息保护法施行后,检察机关办理个人信息保护公益诉讼案件遇到的主要问题可以分为两类,即起诉前办案难题和起诉相关难题。检察机关在诉前程序中需要为起诉做准备,诉前工作质量直接影响起诉质量,而且很多行政公益诉讼案件会在诉前程序中获得解决,所以对诉前问题与起诉问题应同样予以重视。
一 诉前办案难题分析
办理个人信息保护公益诉讼案件,首先是要发现此类案件线索、选择成案线索,然后收集获取足够的证据,从而为提出诉前检察建议或者起诉打好基础。
1. 案件线索的选择。个人信息保护公益诉讼案件线索来源非常广泛,比如从刑事案件或者行政处罚信息、新闻报道以及网络信息中均可能发现相关线索,有的网站或者网上聊天群组内甚至公开售卖大量个人信息。比如,2021年4月,最高人民检察院发布个人信息保护公益诉讼典型案例,其中就包括手机APP违规收集或使用个人信息、政府信息公开泄露公民信息,快递、医疗机构、校外培训机构等泄露个人信息[2]。信息来源过于广泛,会造成信息庞杂,线索质量参差不齐、难以判断,甚至连确定被告身份都可能存在诸多困难[3]。在这种线索来源广泛的情形下,对于行政公益诉讼线索来说,若检察机关不加研判,发现线索即给行政机关制发行政公益诉讼诉前检察建议,会导致行政机关疲于应付,很可能达不到应有的办案效果;对于民事公益诉讼案件线索来说,检察机关也会由于自身司法资源不足而难以高质效地办好此类案件。因而,检察机关如何从大量信息中查找有价值的线索成为实践中的一道难题。
2. 证据收集。检察机关在履职过程中发现侵害个人信息行为,首先要认定此行为是否属于侵害社会公共利益的行为,进而评估是否需要提起公益诉讼。检察人员只有收集到充分的证据才能认定相关事实,而这些证据往往只能从信息处理者处获取。但实践中,一些信息处理者并不配合,由此造成证据收集难。
二 起诉相关难题分析
1. 检察机关起诉的法律依据。依据个人信息保护法规定,检察机关是否既可以提起民事公益诉讼,也可以提起行政公益诉讼,在学界和实务界均存在不同认识[4]。比如,有的检察人员认为,该规定没有明确是否包括行政公益诉讼,检察机关仅可提起民事公益诉讼[5]。那么,检察机关能否提起行政公益诉讼?对上述争议如不予以厘清,必然导致实践中出现各行其是的情况。
2. 起诉标准“社会公共利益”的内涵界定。个人信息保护法第七十条与消费者权益保护法第四十七条
2 的规定保持一致,即只有针对“侵害众多个人的权益的”行为,才能提起公益诉讼。何谓“众多”,实践中存在不同认识。另外,根据行政诉讼法第二十五条第四款的规定3 ,检察机关如果提起个人信息保护行政公益诉讼,需要具备“致使国家利益或者社会公共利益受到侵害的”条件,那么如何认定“社会公共利益”,其内涵是否与“众多个人信息的权益”的内涵一致,两者之间是什么关系?这涉及民事公益诉讼与行政公益诉讼起诉条件中的公共利益(公益)标准问题。3. 起诉主体顺位设置。为了防止滥诉的发生和侵权企业法律责任的过分扩大,相较于民事诉讼法将检察机关作为兜底起诉主体的规定
4 ,个人信息保护法第七十条明确规定提起个人信息保护公益诉讼的适格主体为人民检察院、法律规定的消费者组织和由国家网信部门确定的组织。由于上述两部法律的规定不同,所以对于个人信息保护法第七十条的理解存在如下困惑:该法将检察机关作为公益诉讼起诉主体排列在第一位,是否意味着检察机关在提起个人信息保护公益诉讼时属于第一顺位?或者说,检察机关是否可以在提起个人信息保护公益诉讼前不必发出公告,确认有无相关组织愿意起诉?这一问题不解决,会严重影响检察机关办理此类案件的主体性。[3,6]4. 不同类型诉讼的优先选择。查询中国裁判文书网可知,2021年12月31日前已审结的个人信息保护公益诉讼案件为235件。其中,以刑事附带民事公益诉讼案件为主,单独民事公益诉讼案件仅有5件,行政公益诉讼案件数量为零。而根据最高人民检察院公布的数据可知,2021年检察机关办理个人信息保护领域公益诉讼案件达2 000余件[7]。上述数据中的检察机关办理案件数量远远超过审判后终结的案件数量,充分说明检察机关办理的个人信息保护公益诉讼案件大部分是在诉前环节获得解决。同时,鉴于检察机关办理的民事公益诉讼案件在诉前获得解决的较少,这也表明,检察机关办理的大部分个人信息保护公益诉讼案件案件是行政公益诉讼案件。那么,检察机关为何更多地提起行政公益诉讼而非民事公益诉讼?这一问题值得研究。实践中,检察机关办理民事公益诉讼案件,更愿意提起刑事附带民事公益诉讼,以“借用”刑事办案的诸多便利;而行政公益诉讼通过诉前程序,往往能督促行政机关较快地解决相关问题。两类公益诉讼可以说各有优势。如果检察机关既可以提起民事公益诉讼,又可以提起行政公益诉讼,那么应当优先提起哪种诉讼将是实践中需要斟酌的问题。[8−9]
5. 跨区域案件管辖问题。由于互联网传播具有开放性,不受地域限制,因而通过互联网实施的个人信息侵权行为及其后果也会打破地域限制,即可能发生在多个区域甚至互联网涉及的所有区域。如果数个检察院均可以提起民事公益诉讼,那么应当由哪个检察院进行管辖?即使确定了管辖检察院,但是办案过程中基于调查核实案情等需求,管辖检察院往往仍需要其他检察院进行配合,那么如何发挥非管辖检察院的工作积极性、加强协调配合?上述问题均需要进一步研究。
6. 损害赔偿诉讼请求相关问题。检察机关在办理民事公益诉讼案件中,可以提出停止侵害、排除妨碍、消除危险以及赔礼道歉等诉讼请求,一般来说,对此不存在争议。但是,对于检察机关能否提出损害赔偿诉讼请求,则存在不同认识。由此会出现对相同情形的公益诉讼案件提出不同诉讼请求的现象,容易受到社会质疑。
二. 个人信息保护检察公益诉讼难题成因解析
个人信息保护公益诉讼案件之所以存在上述难题,从检察机关、公益诉讼检察人员的视角来分析,既包括主观方面的原因,也存在客观方面的因素。
一 主观原因分析
1. 未及时调整观念,没有充分借助外部力量。比如,有些检察人员存在以监督者自居的意识,不愿在调查核实证据方面借助于法院。民事诉讼法第六十七条第二款规定:“当事人及其诉讼代理人因客观原因不能自行收集的证据,或者人民法院认为审理案件需要的证据,人民法院应当调查收集。”由于法院对妨碍调查收集证据的行为具有采取强制性措施的权力,因此在民事公益诉讼中,检察机关可以根据该条规定申请法院调查收集检察机关自身难以调查核实的证据。但是,检察人员往往认为,申请法院调查收集证据的做法将“矮化”检察机关作为法律监督机关的地位,因此不愿采取此种方式。
2. 自身素能尚需提升,能动履职不足。一是从2015年7月全国人大常委会授权检察机关开展公益诉讼试点工作开始到现在,检察机关虽然办理了一定数量的公益诉讼案件,但是办案人员在经验积累、业务素养方面仍显不足。特别是,公益诉讼领域近年来不断拓展,让这一问题更为凸显。二是能动履职意识不足。由于检察公益诉讼是一项较新的制度,实践中不断出现新问题、新情况,但是有些检察人员缺乏能动履职意识,坐等立法修改,没有积极采取措施加以解决。比如,个人信息保护法第七十条以“众多个人的权益”作为公共利益的标准。那么,如何具体理解、把握“众多个人的权益”这一标准?办案人员应当根据具体案情、参考相关规定进行独立思考,作出相应的判断,而不是因为缺乏相关规定就一律请示上级机关,甚至仅仅等待出台更明确的规定。三是调查取证等办案行为不规范。比如,2016年2月24日《关于印发人民检察院提起公益诉讼试点工作相关法律文书的通知》未提到调查类文书,最高人民检察院也没有对调查核实类法律文书作出统一规定,导致实践中各地做法不一。有的检察机关向被调查核实单位开具商请函,有的则是开具单位介绍信。2021年10月12日最高人民检察院发布的《关于印发<人民检察院公益诉讼法律文书格式样本(2021年版)>的通知》,增加规定了调查核实时出具的法律文书格式样本,包括权利义务通知书、调取证据通知书、调取证据清单、询问笔录、勘验笔录、财产(证据、行为)保全建议书、协助查询金融财产通知书、委托协助调查函。但是,由于办案思维惯性作祟,有些办案人员还沿袭之前的做法,在法律文书制作上未能做到严格规范。又如,有的办案人员调查核实时着装、询问方式较为随意,也容易使被调查核实对象不重视、不配合。
二 客观原因分析
1. 立法层面的原因。由于检察公益诉讼制度建立时间较短,相关法律规定较为粗疏,因而实践中容易出现一些争议或者难题。
(1)调查取证方面。调查核实时,若相关单位或者人员不配合甚至进行严重阻碍,由于法律没有赋予检察机关采取相应强制措施的权力,检察机关往往束手无策。这是造成证据收集困难的一个重要原因。比如,最高人民检察院《人民检察院公益诉讼办案规则》第三十五条规定的调查手段主要是询问当事人和调阅卷宗、勘验等,还明确规定调查核实不得采取限制人身自由以及查封、扣押、冻结财产等强制性措施。最高人民法院、最高人民检察院《关于检察公益诉讼案件适用法律若干问题的解释》也只是概括规定有关行政机关以及其他组织、公民应当配合检察机关的调查取证工作,但对于其不予配合应当承担何种后果则没有作出相应规定。缺乏相应的强制性措施规定,显然不利于检察机关进行调查取证。
(2)起诉法律依据方面。从个人信息保护法第七十条规定看,消费者组织可以提起公益诉讼。由于行政诉讼法将检察机关规定为唯一的公益诉讼起诉主体,因此消费者组织只能提起民事公益诉讼。然而个人信息保护法第七十条中的起诉主体包括检察机关,那么该规定是否隐含着检察机关可以提起行政公益诉讼?由于法律没有写明,因而不可避免地造成认识分歧。而且,即使不能根据个人信息保护法的规定提起民事公益诉讼,检察机关能否依据其他法律规定提起个人信息保护方面的行政公益诉讼?对此,个人信息保护法以及其他法律都没有作出明确规定,因而学术界和实务界也会产生争议。
(3)起诉主体顺位方面。民事诉讼法第五十八条第二款将检察机关作为公益诉讼中法律规定的机关和有关组织之后的兜底起诉主体,但是个人信息保护法只规定检察机关和消费者组织等社会组织为起诉主体,没有规定检察机关之外的其他机关(包括行政执法机关)为起诉主体。那么,检察机关在提起个人信息保护民事公益诉讼时是否属于兜底的起诉主体?有人可能认为,民事诉讼法属于基本法律,个人信息保护法属于一般法律,民事诉讼法的效力高于个人信息保护法,因此个人信息保护法的规定应当服从于民事诉讼法的起诉主体顺位规定,在个人信息保护民事公益诉讼中检察机关仍应当作为兜底的起诉主体。也有人会认为,个人信息保护法出台于民事诉讼法之后,而且相对于民事诉讼法而言,其应属于特殊法,按照新法优于旧法、特殊法优于一般法的原则,检察机关提起个人信息保护民事公益诉讼时应优先适用个人信息保护法的规定,不必按照民事诉讼法的规定作为兜底起诉主体[10]。由于个人信息保护法规定起诉主体时把检察机关与社会组织并列,又没有明确顺位,因而不可避免出现争议。
对上述争议,笔者认为可以从实然与应然两个维度来思考。首先,从实然维度观察。民事诉讼法第五十八条第二款将检察机关作为公益诉讼中兜底的起诉主体,该法虽然没有提及个人信息保护领域,但是该法作为基本法律,上述规定在办理个人信息保护公益诉讼案件时应当被作为总体性原则予以执行[11]。另一个重要理由是,个人信息保护法仅仅列明了检察机关与消费者组织等组织的起诉主体资格,但是并没有明确起诉主体顺位,因而适用民事诉讼法的起诉主体顺位规定,并不存在两法之间冲突的问题。公益诉讼中诉前程序制度设计意指检察机关在公益诉讼中应居于兜底与补充的地位,这也与检察机关一直坚持的谦抑性原则相吻合。因此,从实然角度来看,在法律对个人信息保护民事公益诉讼起诉主体顺位作出明确规定或者修改前,检察机关在提起个人信息保护民事公益诉讼前仍应进行公告。
其次,从应然角度观察。个人信息保护领域与其他领域相比,公益诉讼起诉主体有特殊之处,即个人信息保护法没有规定检察机关之外的其他机关(包括行政执法机关)作为起诉主体。笔者认为,检察机关在公益诉讼领域的谦抑性,主要应针对行政执法机关而言,因为负有相关领域执法管理职能的行政机关,往往比检察机关更熟悉该领域的专业问题,拥有更为丰富的专业经验、人财物资源和更为灵活多样的处理措施,所以工作效率更高。而在个人信息保护领域,个人信息保护法并未赋予行政执法机关的民事公益诉讼起诉主体资格。相对于消费者组织等社会组织,检察机关则不必保持“谦抑”,而是应当积极主动履职[6]。理由如下:一是相对于社会组织,检察机关作为专门的法律监督机关,更能代表社会公共利益。二是检察机关自身的司法独立性决定了其与涉嫌侵权企业没有利益纠缠,在诉讼动机上比社会组织更为纯粹。三是在专业人员、诉讼能力、调查取证方面,检察机关也具有一定优势[12]。四是检察机关已经办理了很多个人信息保护公益诉讼案件,积累了丰富的办案经验。比如,查询中国裁判文书网可知,2021年12月31日前已审结的235件个人信息保护民事公益诉讼案件中,由消费者组织提起民事公益诉讼的仅有3件,其余案件均由检察机关提起。特别值得注意的是,近年来,检察机关耗费大量司法资源调查核实公益诉讼线索并转给社会组织起诉后,一些社会组织效率低下、未能及时维护社会公共利益,甚至出现个别社会组织与侵权企业进行“勾兑”并损害公共利益的情况。
正是由于理论上的应然与法律规定的实然两个维度的不协调,造成了这一争议,对此亟待予以研究解决。
(4)损害赔偿方面。首先,个人信息保护法对精神损害问题未作明确规定。根据民法典第一千一百八十三条第一款的规定
5 ,因个人信息侵害行为,受害人受到严重精神损害的,有权请求精神损害赔偿。由于达到“严重精神损害”的程度缺乏具有操作性的规定,所以会存在判断上的困难,也导致精神损害赔偿诉讼请求很难得到判决支持。笔者认为,原则上要对“严重精神损害”作较为宽泛的理解。随着社会发展进步,个人对自身精神需求和社会对个人尊严的重视程度日益增加,那种认为只有造成他人自杀、患上精神疾病或者给被侵权人工作、生活造成严重困扰的情形才属于“严重精神损害”的观念已经不合时宜。实际上,随着个人对精神需求的重视程度增加,同样行为造成的精神损害程度也会相应增加。所以,只要行为人的行为给受害人造成负面社会评价,给其工作或者生活造成较大影响,让其产生相当程度的焦虑不安时,就可以认定造成“严重精神损害”。其次,对未来财产损失缺乏规定。财产损害既有受害人已经因个人信息被侵害而产生的损失,也应包括受害人未来会发生的财产损失。对于未来会发生的损失,是否应当给予赔偿?对此,公益诉讼相关法律没有作出规定。笔者认为,行为人如果侵害了个人敏感信息,那么必然会给受害人造成一定财产损失或者需要其付出一定的成本去应对。因此,公益诉讼中应当承认未来利益损失。当然,由于未来利益损失数额往往难以准确确定,因而在确定赔偿数额时需要慎重考量。2. 司法层面的原因。个人信息保护检察公益诉讼难题的产生在司法层面的原因,笔者认为主要是公益诉讼的特殊性以及执法司法资源的不足。
(1)受害人众多,但单个人损失相对少。公益诉讼中往往受害人众多,比如个人信息保护法就明确规定公益诉讼针对的是“侵害众多个人的权益”的行为。人数众多,需要调取的证据数量多,因而容易造成调查取证的诸多困难。另外,如果个人信息侵害行为对个人造成较大财产损失的,受害人一般会提起个人诉讼请求损害赔偿,所以在个人信息保护公益诉讼中,损害赔偿请求往往表现为数量多但单个人受损数额小。由于损失数额小,受害人对相关证据往往不注意保存,对检察机关的相关调查核实也缺乏足够重视,因而给取证带来困难。
(2)公益诉讼的特殊性:公益性与私益性并存。当今社会关系日益纷繁复杂,“全有或全无”的传统侵权救济制度框架已无法契合个人信息权益承载的公益和私益交织的复合型利益,也无法有效应对个人信息侵权行为损害后果的多元性、潜伏性、严重性。检察机关提起个人信息保护公益诉讼,其目的不仅是弥补受损公益,还要保障个人信息权益得到尊重、救济。由此,就会产生损害赔偿问题。而实践中之所以对提出损害赔偿请求有分歧,或者说损害赔偿请求之所以成为难题,主要原因是难以证明个人受到的实际损失数额。实际损失难以证明,既与受害人众多有关,也与个人信息侵权行为造成的损失和其他因素造成的损失容易混淆有关。但是,如果检察机关在个人信息保护民事公益诉讼中不提出损害赔偿请求,仅仅提出赔礼道歉的请求,则根本无法惩戒、威慑相关侵权企业,起不到检察公益诉讼应有的社会效果、法律效果,甚至让侵权企业更加有恃无恐。
(3)民事公益诉讼与行政公益诉讼的共通性。如果检察机关既可提起民事公益诉讼,又可提起行政公益诉讼,那么应当先提起哪个诉讼?从理论层面来讲,两个诉讼解决的问题并不完全相同,诉讼请求也不一样,所以可以并行不悖。但是从实践层面来看,由于停止侵害、消除不利影响等诉讼请求在两个诉讼中均能直接或者间接实现,所以往往选择其中一个诉讼即可,由此出现诉讼选择问题。即使两个诉讼均有提起的必要,由于一些侵害行为需要尽快处置以免进一步扩大损害后果,因而也需要选择能更快止损的一个诉讼先行提起。
(4)人力资源有限、经费不足。基层检察院甚至很多地级市检察院公益诉讼办案人员很少,办案经费有限,因而在收集证据方面经常力有不逮;有的案件中鉴定费用高,经费不足也会让办案人员在取证上进退维谷。在公益诉讼案件中,检察机关往往在调查取证方面需要相关行政机关的配合协助,但是由于行政机关人员、经费同样存在不足,导致行政机关可能缺乏执法能力和意愿,给检察机关办案带来困难。
三. 个人信息保护检察公益诉讼难题破解之现实路径
为了解决个人信息保护公益诉讼案件办理中的上述问题,检察机关既要准确理解、适用相关法律规定,又要能动履职,特别是应当注意借助公安机关、法院以及其他行政机关之力,实现双赢多赢共赢。
一 诉前办案难题解决之策
1. 重点线索选择之考量。由于司法资源有限,检察机关不可能对所有的公益诉讼线索均进行调查取证,需要抓住重点线索深入挖掘。多办理有影响的案件,才能更好地维护社会公共利益、体现办案效果。笔者向办理个人信息保护公益诉讼案件的检察人员了解情况、征求意见,并借鉴最高人民法院、最高人民检察院《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》中关于侵犯公民个人信息“情节严重”的规定,建议在选择重点线索时把握以下标准:(1)涉及人员数量,即优先选择受侵害人数众多的线索;(2)涉及个人信息的数量及隐私性,即优先选择侵害的个人信息数量多、涉及个人隐私程度深的线索;(3)受害人损失情况,即优先选择受害人财产损失大、精神损害严重的线索;(4)侵害人侵权次数及获利情况,即优先选择侵权人侵害个人信息保护的次数多、曾有因侵害他人个人信息而被处罚的记录、获利数额大的线索;(5)侵权单位性质,即信息泄露单位如果属于国家机关或者法定的个人信息收集组织,比如银行、医院、电信公司,则此类线索应当作为重点;(6)是否涉及特殊群体,如果涉案个人信息属于老年人、残疾人、儿童等弱势群体人员的线索,应作为重点;(7)社会影响,即优先选择社会舆论关注度高或者影响恶劣的线索;(8)具有其他严重情节,比如将个人信息向境外出售、泄露的,应当作为重点线索。
在上述标准基础上,可以根据案件线索不同类型进行具体考量。个人信息保护公益诉讼案件线索类型主要分为电话推销类、APP违规收集及处理个人信息类、可能涉及诱导消费及诈骗类。其一,对于电话推销类线索来说,既然某个人收到房地产、装修、小额信贷之类的大量推销电话,就说明其个人信息已被泄露。若仅依靠零星举报得知案件线索,但是由于侵权人给不特定人拨打推销电话的次数、侵害消费者个人信息的条数难以查明,难以证明侵权行为侵害了社会公共利益,此时检察机关就不宜贸然向相关行政机关制发诉前检察建议,而是应广泛收集多方意见,必要时进行调查核实:一是查明电话推销公司、人员侵犯个人信息的总体数量,二是查明个人信息泄露的来源,即哪个机关、组织或者企业泄露信息。在此基础上再研判选择立案线索。其二,对于APP违规收集及处理个人信息类线索,检察机关自行调查核实难度较大,因此建议以行政机关公布的违规名单或新闻报道为主选择重点线索。其三,对于涉及诱导消费及诈骗类线索,检察机关应重点选择在个人信息泄露后可能直接导致个人财产损失、身体健康损害的线索。特别是对于养老诈骗中涉及侵犯个人信息的行为,由于老年人承受风险能力偏弱,因而应当作为重点线索。
2. 诉前取证难题之破解。如果能够修改法律赋予检察机关调查核实时具有强制性措施权,当然有利于破解检察机关取证难题。但在法律未作修改前,解决这一难题应当着眼于如何充分发挥现有规定的作用,更好地运用司法办案技巧。笔者建议,公益诉讼检察人员应从内外两方面着手:
(1)善于向外部借力。一是善于向公安机关、刑事检察部门借力。个人信息保护公益诉讼案件线索很多是从刑事案件中获得的,而且通过公安机关侦查获取相关证据可以有效解决公益诉讼办案人员调查取证难题。另外,刑事诉讼中证明标准及证据标准均高于民事诉讼。虽然在刑事诉讼中认为相关证据无法证明犯罪事实,但只要符合高度盖然性的证明标准,民事公益诉讼中就可以认定相关事实;刑事诉讼中认为不适格的证据,公益诉讼中却可能属于适格证据。所以,公益诉讼检察人员首先应当加强与刑事检察部门的沟通协调,通过刑事检察部门引导公安机关侦查取证,获取公益诉讼案件所需要的证据,特别是尽量将实践中困扰公益诉讼案件办理的检验、鉴定等问题在侦查环节予以解决。其次,完善公安机关、检察机关办案联席会议制度,通过联席会议建议公安机关补充收集刑事案件与公益诉讼案件均需要的证据,从而在一定程度上解决公益诉讼中的调查核实难题。
二是善于向法院借力。检察机关可通过向法院申请证据保全的方式获取证据。证据有灭失风险或以后难以取得,是检察机关申请证据保全的前提条件。根据2020年最高人民法院、最高人民检察院《关于检察公益诉讼案件适用法律若干问题的解释》第六条的规定
6 ,检察机关办理个人信息保护公益诉讼案件,在提起诉讼前,可以向具有管辖权的法院提出诉前证据保全的申请,由法院采取查封、扣押、冻结或者法律规定的其他措施保全证据。如果个别法院人员不进行证据保全或者不及时进行证据保全,则检察机关可以对其司法行为进行监督;对于证据保全中当事人不配合的情况,检察机关也可以向法院发出检察建议,要求法院对不予配合的相关人员采取训诫、罚款、拘留等强制措施 [13]。三是善于借力其他行政机关。根据个人信息保护法第六十四条的规定
7 ,履行个人信息保护职责的部门应当将涉嫌犯罪的侵害个人信息行为移送公安机关。检察机关应当推动国家网信部门等相关部门将此类信息上传到行政执法与刑事司法衔接信息平台,由此可以通过该信息平台及时掌握侵害个人信息的行为线索,也有利于调取相关执法证据[14]。(2)强化自身能动履职。一是树立大数据战略思维,充分运用数据信息平台,将相关数据信息进行归集整理作为证据。二是规范调查取证行为,特别是规范法律文书制作。各地检察机关应当以《人民检察院公益诉讼法律文书格式样本(2021年版)》的发布为契机,既严格按照统一格式制作法律文书,更要规范调查核实行为(包括着装、出示相关法律文书和证件等等),强化调查核实规范性、严肃性,使被调查核实对象予以重视、积极配合。三是除查询、调取、复制相关证据材料,询问当事人制作笔录之外,检察人员应当主动学习、运用损失价值评估、电子证据取证、公证取证等多种调查手段。此外,由于侵犯个人信息行为大量出现在互联网上,检察人员还应当提升互联网和计算机专业技能,以便在调查取证时游刃有余。
二 起诉相关难题解决之策
1. 明确不同类型公益诉讼的起诉法律依据。笔者认为,在个人信息保护领域,检察机关既可以提起民事公益诉讼,也可以提起行政公益诉讼,但是两者起诉的法律依据并不相同。从个人信息保护法第七十条立法原意出发,此处的公益诉讼类型应当限定为民事公益诉讼,并不包括行政公益诉讼 [15]。一是因为该条表述的是针对个人信息处理者的民事侵权行为,并未提到“行政机关”的字眼;二是因为该法第七十三条规定,个人信息处理者“是指在个人信息处理活动中自主决定处理目的、处理方式的组织、个人”,显然这里的“个人信息处理者”没有包括行政机关。既然个人信息保护法中个人信息处理者的侵权行为并未包括行政机关的个人信息侵权行为,那么检察机关就不能根据个人信息保护法提起行政公益诉讼。个人信息保护法虽然仅规定了民事公益诉讼,但是其并没有对提起行政公益诉讼作出禁止性规定 [4],因此笔者认为,检察机关可以根据行政诉讼法第二十五条第四款规定,将个人信息保护作为“等”外领域,提起行政公益诉讼,督促有关机关积极履职或者纠正违法行为。
2. 社会公共利益标准“众多个人的权益”的界定。首先,“众多个人”是否限于不特定多数人。笔者认为并非如此。例如,侵权人出售小区业主个人信息,此处的小区业主实际上是特定多数人。如果对业主数量非常多的这种侵权行为不能提起公益诉讼,显然会背离公益诉讼之维护公益目的。因此,“众多个人”既包括不特定多数人,也包括特定多数人。
其次,如何判断“众多”。有学者提出,“众多”具体需要达到多少受害人,才能达到提起个人信息保护公益诉讼的要求,应当由最高人民法院出具相关司法解释或者由国家网信部门出台相关文件予以确定,可以参考消费者权益保护公益诉讼的启动标准和国外经验[12]。笔者认为,个人信息保护法中的个人信息处理者应当是指处理大规模个人信息数据的主体,所以对“众多”所要求的数量标准没有必要特别具体化。但在侵犯特定多数人个人信息权益的情况下,则有必要对“众多”作出细化规定。在司法解释作出明确规定前,可以参考2017年最高人民法院、最高人民检察院《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第五条第一款的规定:“非法获取、出售或者提供公民个人信息,具有下列情形之一的,应当认定为刑法第二百五十三条之一规定的‘情节严重’:(一)……(三)非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的;(四)非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上的;(五)非法获取、出售或者提供第三项、第四项规定以外的公民个人信息五千条以上的;(六)……”借鉴2021年8月最高人民检察院下发的《关于贯彻执行个人信息保护法推进个人信息保护公益诉讼检察工作的通知》的相关规定
8 ,笔者认为,应根据个人信息对个人权益影响的程度采取不同的判断标准,即当非法获取、出售、提供生物识别、宗教信仰、特殊身份、医疗健康、金融账号、行踪轨迹等敏感个人信息涉及人数达到500人以上,或者非法获取、出售、提供上述信息之外的普通个人信息涉及人员达到5 000人以上的,应当认定属于个人信息保护法所规定的“众多”。[16]如果属于儿童、妇女、残疾人、老年人、军人等特殊群体的,上述信息标准的人数还应当适当下调。需要注意的是,这里的受害人不限于我国公民,即也包括我国公民之外的个人,因为个人信息保护法第二条明确规定保护的对象是“自然人的个人信息”。3. 关于起诉主体的顺位选择。虽然根据法律规定,检察机关在提起民事公益诉讼前仍需进行公告,但基于前述理由,笔者建议尽快修改法律明确规定,在个人信息保护公益诉讼中,检察机关不必进行诉前公告,不应作为消费者组织或者其他组织的后置起诉主体,即检察机关与消费者组织或者其他组织处于同等起诉主体顺位。当然,即使法律作出修改,如果消费者组织或者其他组织已经准备起诉,检察机关也不能以自己具有优势为由限制社会组织的起诉,而应当将掌握的线索材料移送给社会组织,支持其起诉。
4. 不同类型诉讼的选择。由于行政机关在处理相关领域问题方面具有诸多优势与便利,所以在民事公益诉讼和行政公益诉讼均可以提起、需要选择的情形中,应当坚持发挥行政机关专业优势的原则,即检察机关一般优先选择行政公益诉讼,通过行政公益诉讼诉前建议督促行政机关积极履职。但是,行政公益诉讼并非绝对优先。如果检察机关是在办理刑事案件中发现公益诉讼线索,已经基本掌握提起民事公益诉讼的相关证据,即将提起刑事诉讼或者没有需要行政机关尽快处置以免损害扩大的急迫性,检察机关则可以先提起刑事附带民事公益诉讼或者单独提起民事公益诉讼。总之,哪一个诉讼能更快恢复公共利益、更快减少不利影响,检察机关就优先选择哪一个诉讼。如果通过一个诉讼解决了侵害社会公共利益问题,则不必提起另一个诉讼。
5. 构建检察机关跨区域管辖机制。在行政公益诉讼中,一般是由被诉行政机关所在地区的检察机关提起诉讼,由于管辖机关比较明确,所以不同区域检察院管辖权竞合的问题主要存在于民事公益诉讼中。笔者建议构建检察机关跨区域管辖机制以解决管辖权竞合问题,具体包括以下内容:(1)如果公益诉讼相关事项涉及刑事案件,那么一般根据刑事案件的管辖来确定公益诉讼案件的管辖,这也有利于在调查取证、起诉、审判方面的相互协调。(2)专业性考量。个人信息保护公益诉讼关涉个人信息保护、未成年人保护、数据流通使用、网络安全、智能算法、数据垄断与公平等诸多方面。比如,由于要对电子数据进行收集、认证,办理此类案件往往需要检察人员具备较强的计算机专业知识,因此,确定管辖检察院时必须考虑该院有无符合这种能力要求的办案人员。(3)采取跨行政区划集中管辖。目前,有的地方设立了专门的互联网法院,在这些地区可以优先考虑由专门对应互联网法院的检察院办理涉及互联网的个人信息保护公益诉讼案件。在其他地区,也可以考虑选择一个检察院对此类案件进行集中管辖,或者根据侵犯个人信息案件的区域形态、社会利益损害程度合理划分地域管辖范围,具体的设置方式、数量和管辖范围则根据当地个人信息保护案件的特点和数量,进行适当调整。(4)加强检法协商沟通。不管是采取集中管辖,还是根据情况指定某个检察院管辖,检察机关和法院都应及时协商沟通,以保证诉讼程序更有效率、更为顺畅。
在确定集中管辖或者指定管辖后,其他检察院应当在上级检察机关的统一协调指挥下,做好证据收集、调取等配合工作。实践中需要注意的是,其他检察院所做的相关调查取证工作,上级检察机关应当在对其业绩考核中予以体现,做出相应的激励评价。
6. 损害赔偿问题的解决对策。如前文所述,损害赔偿问题主要是损失数额认定难。个人信息权益损害可分为财产损害和精神损害两种类型[17],损害赔偿数额的确定应当根据不同类型分别考量。
(1)财产损害赔偿数额的确定。关于损害赔偿标准,个人信息保护法第六十九条作出了相应规定
9 。实践中,笔者建议从以下几方面来解决财产损害赔偿数额认定难题:首先,借助刑事案件便利。实践中大部分严重侵犯个人信息的行为会构成犯罪,如果在刑事案件中能够确定非法买卖个人信息的交易金额或者获利金额,则可以将这一数额作为民事公益诉讼中损害赔偿的数额依据。其次,尽量收集证据以便进行推定。由于受害人众多,难以确认每个人的损失数额,检察机关应当尽量收集部分受害人的实际损失证据,以此为基础推定其他受害人的损失数额以及未来利益损失数额。另外,如果能够证实受害人损失数额和个人信息处理者获得利益数额,那么检察机关在起诉时应当选择数额较高者请求损害赔偿。再次,探索适用法定损害赔偿数额标准。2014年6月最高人民法院《关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》第十八条第二款对于财产损失难以确定的情况作出了相对弹性的规定10 ,笔者建议可细化规定,比如非法获取、出售、提供1条信息赔偿1元。由此,在难以确定受害人财产损失或者侵权人获利数额的情况下,检察机关就可以根据法定损害赔偿数额标准提出损害赔偿请求。(2)精神损害。鉴于公益诉讼中受害人众多且精神损害数额证明难度较大,笔者建议,非法获取、出售、提供1条个人信息的精神损害赔偿数额可统一设置为1元至50元。在个案中具体确定数额时,应综合考虑侵权人的过错性质及其程度,侵权行为的动机、手段或方式,个人信息的隐私性等因素。[18]
结语
个人信息保护随着网络的发展、时代的进步,越来越受到社会重视,检察机关在该领域的公益诉讼工作正当其时。检察机关在办理个人信息保护公益诉讼案件中遇到的相关难题,既是实践问题,往往也牵涉理论争议。从检察机关、公益诉讼检察人员的视角来看,上述难题具有主观和客观两方面原因,为此既需要检察机关、公益诉讼检察人员提升业务素养,能动履职、善于借力,也需要在立法、司法等不同层面细化完善相关规定、构建相应工作机制。值得关注的是,2023年12月20日,全国人大监察和司法委员会正式启动检察公益诉讼法的立法程序,这也为公益诉讼检察专业理论研究带来了最好的历史性机遇 [19]。本文仅就个人信息保护检察公益诉讼相关问题进行探讨,但是其中很多问题并非个人信息保护领域所独有,希望这些探讨能够对检察公益诉讼立法研究有所助益。
1)1 个人信息保护法第七十条规定:“个人信息处理者违反本法规定处理个人信息,侵害众多个人的权益的,人民检察院、法律规定的消费者组织和由国家网信部门确定的组织可以依法向人民法院提起诉讼。”2)2 消费者权益保护法第四十七条规定:“对侵害众多消费者合法权益的行为,中国消费者协会以及在省、自治区、直辖市设立的消费者协会,可以向人民法院提起诉讼。”3)3 行政诉讼法第二十五条第四款规定,“人民检察院在履行职责中发现生态环境和资源保护、食品药品安全、国有财产保护、国有土地使用权出让等领域负有监督管理职责的行政机关违法行使职权或者不作为,致使国家利益或者社会公共利益受到侵害的,应当向行政机关提出检察建议,督促其依法履行职责。行政机关不依法履行职责的,人民检察院依法向人民法院提起诉讼。”4)4 民事诉讼法第五十八条第二款规定:“人民检察院在履行职责中发现破坏生态环境和资源保护、食品药品安全领域侵害众多消费者合法权益等损害社会公共利益的行为,在没有前款规定的机关和组织或者前款规定的机关和组织不提起诉讼的情况下,可以向人民法院提起诉讼。前款规定的机关或者组织提起诉讼的,人民检察院可以支持起诉。”5)5 民法典第一千一百八十三条第一款规定:“侵害自然人人身权益造成严重精神损害的,被侵权人有权请求精神损害赔偿。”6)6 2020年最高人民法院、最高人民检察院《关于检察公益诉讼案件适用法律若干问题的解释》第六条规定,人民检察院办理公益诉讼案件,可以向有关行政机关以及其他组织、公民调查收集证据材料;有关行政机关以及其他组织、公民应当配合;需要采取证据保全措施的,依照民事诉讼法、行政诉讼法相关规定办理。7)7 个人信息保护法第六十四条规定:“履行个人信息保护职责的部门在履行职责中,发现个人信息处理活动存在较大风险或者发生个人信息安全事件的,可以按照规定的权限和程序对该个人信息处理者的法定代表人或者主要负责人进行约谈,或者要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计。个人信息处理者应当按照要求采取措施,进行整改,消除隐患。”“履行个人信息保护职责的部门在履行职责中,发现违法处理个人信息涉嫌犯罪的,应当及时移送公安机关依法处理。”8)8 最高人民检察院《关于贯彻执行个人信息保护法推进个人信息保护公益诉讼检察工作的通知》明确,根据个人信息保护法有关规定,各级检察机关在履行公益诉讼检察职责时应当突出重点、从严把握以下方面:生物识别、宗教信仰、特殊身份、医疗健康、金融账号、行踪轨迹等敏感个人信息应当严格保护;儿童、妇女、残疾人、老年人、军人等特殊群体的个人信息需要特别保护;教育、医疗、就业、养老、消费等重点领域处理的个人信息,以及处理100万人以上的大规模个人信息应当重点保护;对因时间、空间等联结形成的特定对象的个人信息加强精准保护。9)9 个人信息保护法第六十九条规定:“处理个人信息侵害个人信息权益造成损害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。”“前款规定的损害赔偿责任按照个人因此受到的损失或者个人信息处理者因此获得的利益确定;个人因此受到的损失和个人信息处理者因此获得的利益难以确定的,根据实际情况确定赔偿数额。”10)10 最高人民法院《关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》第十八条第二款规定:“被侵权人因人身权益受侵害造成的财产损失或者侵权人因此获得的利益无法确定的,人民法院可以根据具体案情在50万元以下的范围内确定赔偿数额。” -
[1] 陈奇伟,聂琳峰. 个人信息公益诉讼:生成机理、适用困境与路径优化——基于203份裁判文书的实证分析[J]. 南昌大学学报(人文社会科学版),2022(3):54-63. [2] 最高检发布检察机关个人信息保护公益诉讼典型案例——斩断个人信息侵权与电信网络诈骗之间的利益链条[EB/OL]. (2021-04-22)[2024-01-18]. https://www.spp.gov.cn/spp/xwfbh/wsfbt/202104/t20210422_516357.shtml#1. [3] 许身健,张涛. 个人信息保护检察公益诉讼的法理基础与制度完善[J]. 法学论坛,2023,38(1):95-110. [4] 蒋红珍. 个人信息保护的行政公益诉讼[J]. 上海交通大学学报(哲学社会科学版),2022,30(5):28-38. [5] 张坤. 以行政公益诉讼强化个人信息保护[N]. 检察日报,2023-05-11(3). [6] 欧元捷. 公益治理体系下的个人信息保护公益诉讼[J]. 法律适用,2023,(12):57-64. [7] 2021年检察机关办理个人信息保护领域公益诉讼2000余件[EB/OL]. (2022-03-08)[2023-08-18]. https://www.spp.gov.cn/spp/ttzgjgzbg/202203/t20220308_548027.shtml. [8] 巩固. 公益诉讼的属性及立法完善[J]. 国家检察官学院学报,2021,29(6):55-71. [9] 张嘉军. 公益诉讼授权单行立法的“民事化”及其消解[J]. 国家检察官学院学报,2023,31(3):27-42. [10] 张陈果. 个人信息保护民事公益诉讼的程序逻辑与规范解释——兼论个人信息保护的“消费者化”[J]. 国家检察官学院学报,2021,29(6):72-84. [11] 汤维建,徐枭雄. 个人信息保护公益诉讼制度研究[J]. 人民检察,2023(5):13-18. [12] 张新宝,赖成宇. 个人信息保护公益诉讼制度的理解与适用[J]. 国家检察官学院学报,2021,29(5):55-74. [13] 刘加良. 检察公益诉讼调查核实权的规则优化[J]. 政治与法律,2020(10):148-161. [14] 余凌云,郑志行. 个人信息保护行政公益诉讼的规范建构[J]. 人民检察,2022(5):31-36. [15] 邵俊. 个人信息的检察公益诉讼保护路径研究[J]. 法治研究,2021(5):55-64. [16] 雷达,郑旭江. 法秩序统一视野下“个人信息”的认定——从侵犯公民个人信息罪切入[J]. 北京科技大学学报(社会科学版),2023,39(3):310-319. [17] 程啸. 侵害个人信息权益的侵权责任[J]. 中国法律评论,2021(5):59-69. [18] 龚淋,付翠英. 隐私政策对个人信息的保护研究[J]. 北京科技大学学报(社会科学版),2023,39(1):111-119. [19] 张斌,吴睿. 检察公益诉讼法正式启动立法程序 立法领导小组已成立[DB/OL]. (2023-12-25)[2023-12-27]. http://news.cnr.cn/native/gd/20231225/t20231225_526533694.shtml. 期刊类型引用(2)
1. 王义正,刘毅. 动因、意蕴与路径:个人信息保护公益诉讼履职现代化论析. 江西警察学院学报. 2024(05): 109-115 . 
百度学术2. 陈莉. 行政公益诉讼中行政机关依法履职识别标准. 人民检察. 2024(19): 67-69 . 百度学术其他类型引用(0)
-
百度学术
点击查看大图
计量
- 文章访问数: 1048
- HTML全文浏览量: 171
- PDF下载量: 39
- 被引次数: 2
下载:
