董史统 林爽
摘 要:以孕产妇、学生等特殊群体个人信息保护公益诉讼实践为切入点,以点带面进行检视,发现个人信息保护存在治理效果与群众要求有差距、协同治理推进不足、侵权成本与维权收益不匹配等问题。基于推进协同治理符合时代要求、自然人个人信息蕴含公共利益、公益诉讼拓展具备潜在空间等因素考量,有必要将自然人个人信息纳入公益诉讼范畴。探索“公益诉讼+跟进监督+专题调研+治理建议+协作机制”的闭环管理模式,实现对个人信息的有效保护。
关键词:个人信息 公益诉讼 协同治理 源头监管 保护路径
当前,随着我国经济社会的高速发展和信息网络的广泛普及,个人信息被泄露、出售、利用等现象时有发生,垃圾短信轰炸、不明电话骚扰等问题日益增多,消费者不胜其烦甚而深受其害,个人隐私保护迫在眉睫。传统的民事起诉、行政追责、刑事处罚等手段具有一定的局限性,往往难以“标本兼治”或是实现“以点带面”领域性治理,而公益诉讼具有延伸性的社会治理张力,可以调动民事、行政、刑事等诸多手段,为个人信息保护提供一条卓有成效的最佳路径。
一、案例切入:基于两起典型性侵犯个人信息案件的思考
[案例一]孕产妇个人信息保护案
2019年7月,L区人民检察院在主动排查已办理的侵犯公民个人信息刑事案件时发现,张某某、卢某某等人身为儿童摄影公司、儿童培训公司员工,因公司商业营销需要,通过购买、收受、交换等方式从多家医院非法获取大量孕产妇、新生儿及其家属个人信息,部分人员还向他們出售或者非法提供消费者个人信息,侵犯个人信息,侵害妇女合法权益,损害社会公共利益。张某某等人因涉嫌刑事犯罪被追究刑事责任,但张某某等人所在的儿童摄影公司、儿童培训公司对其员工基于公司营销需要而非法收集、使用消费者个人信息以及泄露消费者个人信息的违法犯罪行为并未尽到应有的管理职责,应依法承担相应责任。
[案例二]学生个人信息保护案
2019年8月,L区人民检察院在履职中发现,某教育培训公司及其从业人员在英语培训业务推广过程中,与其他培训机构或者兼职人员相互交换各自掌握的学生信息,其中向他人提供的学生信息多达9000余条,侵犯自然人个人信息,侵害未成年人合法权益,损害社会公共利益。该教育培训公司因犯罪情节轻微、认罪认罚,检察机关依法作出相对不起诉决定,但是公司非法收集、使用、泄露消费者个人信息行为仍应受到相应的行政处罚。
检察机关在履职中发现上述公益受损线索后,立即调阅刑事案卷、对接刑事经办人、检索行政监管依据、搜集类似处罚案例、查询工商登记信息等,找准监督对象、明确监督依据、核定事实证据,经层报省检察院批准,先后向辖区市场监管部门发出督促依法履行职责的检察建议,建议市监管部门对涉案公司违法行为予以查处,并采取有效措施,加强对辖区内侵害消费者个人信息违法行为的打击力度。市监管部门收到检察建议后,经调查核实,先后对涉案教育培训公司、儿童摄影公司等作出责令改正,并处罚款的行政处罚。同时,市监管部门以检察建议为契机,在辖区开展打击侵害消费者个人信息违法行为专项行动,面向重点领域和经营单位开展“送法上门”宣传活动,督促经营者严格履行消费者个人信息保护义务。
通过检视上述两起典型性侵犯个人信息案件,查询相关案件办理和理论研究资料,我们发现侵犯个人信息的违法、犯罪行为具有以下特点:(1)侵犯个人信息密集于敏感人群。官方数据显示,侵犯个人信息案件数量逐年攀升,甚至逐步与电信诈骗、绑架勒索等高危犯罪呈合流态势。这些关联犯罪无不涉及到老年人、孕产妇、学生等特殊群体。这些群体都是需要为社会所重点关注、加以保护的人群,而这些群体一旦沦为受害方就会牵动社会敏感神经。(2)侵犯个人信息的手段越发现代化。从发展趋势来看,目前侵犯个人信息案件的数量逐年攀升,且犯罪呈现出侵害方式隐蔽化和多样化、涉案信息电子化和海量化、买卖信息产业化和趋利化等特点。这些样态的背后,潜在的推手即是手段的现代化,从传统的获取方式,到互联网方式窃取,再到现在的数据爬虫、拖库撞库等技术,不断更新换代、转型升级。(3)侵犯个人信息的危害后果日趋严重。目前,侵犯个人信息案件暴露出背后存在越来越多“黑灰产业链”的趋势,直接导致侵害后果严重化和扩大化。正如相关通报显示的,侵犯公民个人信息犯罪不仅严重危害个人信息安全,而且与电信网络诈骗等犯罪存在密切关联,甚至与绑架、敲诈勒索等犯罪活动相结合,社会危害日益突出。[1]
二、实践检视:当前个人信息保护存在的问题
(一)个人信息治理效果与群众要求有差距
1.办案社会效果略有偏差。在办理侵犯个人信息案件过程中,办案社会效果日趋多元,有更多需要在办案中关注和解决的问题。如,社会治理方面,从赔偿损失、息诉罢访等转向源头监管、系统治理,即在办案过程中发现信息监管治理漏洞,有效进行风险防控,降低个人信息泄露风险。又如,企业治理方面,从单一打击、回馈企业需求转向携手共进、协作共赢,即与涉案企业紧密携手强化对个人信息保护,注重企业数据安全。但在实践中,办案社会效果因人而异、因时不同等情形仍存在,部分办案人员因关注点存在差异或是就案办案而很少顾及后续的风险防控、面上治理,处于拮抗分散而非同向而行的状态。
2.案内向案外延伸稍显不够。当前,侵犯个人信息案件的治理,多以个案办结为终点,办案向前向后延伸做得不够。某段时间内高发多发的侵犯个人信息案件,往往会折射出苗头性、倾向性和普遍性问题,需要强化案件横向(类型上)和纵向(时间上)对比,先从单一个案出发,强化相似案件关联论证,提出以点带面的治理建议。
3.案件治理效果与群众预期还有落差。进入新时代,人民群众在民主、法治、公平、正义、安全、环境等方面有了新的更高需求。人民群众对个人信息治理效果的预期也更高了。传统司法的行政追责、民事赔偿等方式,已不能满足尚处于个案处置等“点”上的个人信息治理效果,急切需要拓展新路径,把“点”上效果放大为“面”上效果。
(二)个人信息协同治理推进不足
1.治理主体对治理系统性认识不足。社会治理是一项系统性的综合工程,由此决定加强和创新社会治理必须强化顶层设计、体系构建、技术支撑、队伍建设、资源整合等方面的整体性联动。[2]理论和实践中,法律责任主要按照民事、行政、刑事等三种责任进行划分,对号入座确定对应的监管或处置部门,具体到个人信息治理中,就容易因治理主体不同而产生各管一方的现象,究其原因还是没有一体推进、综合整治的意识。
2.不同部门间缺乏必要联动。实践中,一些办案人员即使发现相关制度存在社会治理方面的缺陷,但是考虑到以一家辦案单位甚至以办案人员一己之力来推动制度完善“独木难支”,因而缺乏应有的积极性和主动性。且各部门之间若缺乏统一的认识和有力的领导,往往容易陷入各自为战的境地,很难产生明显的效果。[3]
3.办案机关与企业缺乏协同治理机制。大数据时代,个人信息数据作为企业数据的“重中之重”,不仅是企业的“无形资产”,还是企业赖以保持竞争力和发展潜力的重要依托。但是,目前企业数据安全防范意识不强,也未及时应对、系统梳理个人信息泄露的态势、手段、特征等变化情况以及未来可能对企业带来的潜在影响。虽然“亲”“清”政商关系处于推进过程中,但办案机关与企业互通消息较少的情况尚未扭转,未能做到共同研究、应对新问题,大部分治理仍处于企业提出要求、办案机关被动回应的阶段,双方在协同推进个人信息风险防控方面做得不够。
(三)个人信息侵权成本与维权收益不匹配
1.侵害行为频发而责任追究难。侵犯个人信息的情况较为零散,往往是随着网络发展覆盖全国各地或是某一区域,加之线索来源渠道不畅、人力物力受限等原因,部分侵犯个人信息的行为根本没有纳入追责范围的现实可能性。实践中,对侵害个人信息的行为追究行政责任的关键是违法行为是否造成严重后果或者违法情节是否严重,但是目前缺乏认定的必要机构、标准、规定,实践中追责较为困难。此外,个人信息价值难以评估,也影响责任追究。
2.行为人侵害成本和受害人损失不成比例。侵犯个人信息类案件不仅仅涉及到众多受害人,信息泄露还具有不可逆转性。侵犯个人信息造成的损害难以量化,而且单个受害人能证明的损害范围、数额与行为人因侵害行为所可能获得利益或者付出的成本相比完全不成比例。[4]行为人可能获取巨额的非法所得,而受害人却只能主张有证据支持的部分。
3.受害人单独维权成本高而效果不佳。跟一般的民事侵权一样,公民个人信息诉讼面临取证、举证等困扰,面临受害人众多但集体诉讼又难以集齐人员的困难。从受害人角度来说,个人信息被侵犯后,单独提起诉讼由于取证难度大、成本高,维权难以实现预期的目标。较高的维权成本和较低的侵权成本,使得个人信息保护面临危机,亟需寻找一种合适而有效的方式,弥补自然人个人单独起诉的不足和缺憾,强化对公民个人信息的保护。
三、关联论证:个人信息保护纳入公益诉讼范畴的依据
(一)推进协同治理符合时代要求
个人信息领域的有效治理,实际上是社会治理的一个维度。进入大数据时代,涉及家庭住址、收入状况、财产情况等重要内容的个人信息,与个人的人身和财产安全息息相关。个人信息的泄露,极可能导致个人人身、财产安全遭受严重侵害。徐玉玉电信诈骗案悲剧、久治不绝的“骚扰电话”等难点痛点,根源都在于个人信息的泄露。如在浙江省宁波市“骚扰电话”整治公益诉讼案中,“骚扰电话”就源自手机号码等个人信息的泄露,检察机关把“骚扰电话”治理作为一项系统工程,完善部门之间的配合、联动机制,通过法律监督、行政监管多管齐下,共同推动解决难题,回应民生关切。[5]民法典作为推进国家治理现代化的基本法律,适应现代社会的发展趋势,体现法律的与时俱进,充分保证人民群众的基本权益,较为显著的特色即是人格权独立成编,在该编第六章专门规定“隐私权和个人信息保护”,明确对个人信息保护与隐私权作出区分,同时将“电子邮箱、健康信息、行踪信息”纳入个人信息范畴,进一步强化对个人信息的保护。显而易见的是,单纯的个人信息治理可能会“按下葫芦浮起瓢”或是起到“扬汤止沸”的效果,真正有效的治理方式还应以民意征询为依归,主动借助公益诉讼新职能,强化传统的行政监管、刑事处罚等手段的介入,多管齐下,协同推进个人信息领域治理。
(二)个人信息蕴含公共利益
从权益侵害的分属领域来看,个人信息兼具个体性和公共性,容易产生受损害权益是个人利益还是公共利益的争议。一方面,个人信息由个体信息组成,权利的直接受损归属于个人;另一方面,个人信息被收集、使用、泄露等行为,往往伴随着单一群体或是多个群体利益的侵害,权利受损结果由群体承担。一种观点认为,从案件反映的本身情况来看,行为人侵犯的是自然人的“个人”信息,权利受侵犯的是个人而非社会公众,即该类行为侵犯的是单独个人利益,而不是社会公共利益。如案例二,行为人虽然非法收集个人信息多达9000余条,但被侵犯权益的主体较为明确,为学生群体。另一种观点认为,从案件背后的折射情形来看,行为人的行为已实质侵害群体性利益,而群体性利益就是社会公共利益的外在表现和集中缩影,与此同时还伴随着潜在的公共利益受损风险。如案例一,行为人的侵害行为是动态、持续的过程,侵害对象虽然都是孕产妇,但对象为不特定多数人,具有公共利益属性。“公共利益”概念是一个典型的不确定法律概念,概念本身的涵义显得相当丰富。[6]通常将不特定多数主体利益受损认定为公共利益受损。在侵犯孕产妇、学生信息案中,行为人不加区分,购买、交换、出售信息,虽然受到侵害的主体特定,但潜在的受害者是不特定的,应当认定行为人对公共利益造成损害[7],符合公益损害条件。
(三)公益诉讼拓展具备潜在空间
在法律规定层面,我国民事诉讼法第55条和行政诉讼法第25条均在明文列举检察公益诉讼案件范围后,以“等”字收尾,从理论研究和实践发展趋势来看,在法律明确赋权的领域之外,检察机关可以就更多损害公共利益的行为提起公益诉讼。[8]在政策规定方面,党的十九届四中全会通过的《中共中央关于坚持和完善中国特色社会主义制度 推进国家治理体系和治理能力现代化若干重大问题的决定》,在“加强对法律实施的监督”分项下,明确要求“拓展公益诉讼案件范围”,为公益诉讼新领域拓展指明方向。从行政公益诉讼设立初衷判断,立法者并非将公益诉讼的案件范围局限于“四大领域”,而只是因为这些领域公益受损的情况在当时比较突出,所以着重列举进行强调。因此,将“四大领域”以外侵害公益的案件纳入公益诉讼案件范围,符合立法的原意。[9]如所周知,教育培训是侵害消费者个人信息违法行为多发高发的行业和领域,同时儿童权益保护也是社会普遍关注的重点问题。这些相关领域的公司和人员侵害消费者个人信息违法行为不仅侵犯广大消费者的合法权益,更直接威胁少年儿童的人身安全,也影响经济社会的健康发展,而相关职能部门存在监管缺失,需要检察机关依法启动新领域行政公益诉讼程序,推动行业专项治理。
四、应然方向:个人信息的公益诉讼保护路径
检察机关积极因应新时代人民群众对公益保护的新需求、新期待,紧盯社会反映强烈的个人信息保护问题,发挥公益诉讼职能作用,通过办理孕产妇、学生等个人信息保护行政公益诉讼系列案件,探索建立“公益诉讼+跟进监督+专题调研+治理建议+协作机制”的治理路径,实现个人信息保护闭环管理。
(一)以公益诉讼为抓手,主动回应社会关切
在办理上述非法获取孕产妇个人信息、学生个人信息用于商业营销的刑事案件,暴露出儿童摄影、教育培训等行业侵犯公民个人信息违法犯罪行为多发高发,消费者深受各种垃圾短信、不明电话骚扰,不胜其烦,更严重的是,相关信息的传播使广大妇女、儿童人身安全也有遭受侵犯之虞,牵动千万家庭的敏感神经,更不利于相关行业的健康发展,严重损害社会公共利益。为切实维护妇女、儿童等特殊群体的合法权益,依法保护个人信息安全,有效治理非法获取个人信息用于商业营销乱象,经Z省人民检察院批复,先后调查启动孕产妇个人信息保护、学生个人信息保护等新领域行政公益诉讼,督促市监部门依法查处涉案机构违法行为,直面社会痛点,回应群众关切。
(二)以跟进监督为保障,提升公益保护质效
受突如其来的新冠肺炎疫情影响,职能部门疫情防控任务繁重,而涉案教育培训、儿童摄影机构也面临现实的经营困难,这些因素的聚集,给检察建议的后续落实造成一定的影响。有基于此,L区人民检察院从实际情况出发,持续跟进监督案件进展,在做好自身疫情防控工作的同时,理解和支持市监部门依法履职,主动上门沟通,牵头相关部门开展协商,合力解决在查办侵犯消费者个人信息案件过程中遇到的困难和问题。公益诉讼作为新时代检察工作发展的着力点之一,主导作用不可或缺。在案件办理方式上,不以提起诉讼为目标,严格执行诉前程序,充分发挥检察建议作用。[10]一方面,发挥职能作用,引导涉案教育培训、儿童摄影机构合法合规经营,助力复工复产;另一方面,强化法律刚性惩戒,推动市监部门作出辖区首例针对侵犯消费者个人信息违法行为的行政处罚决定,实现惩前毖后。
(三)以专题调研为支撑,助力破解执法难题
实践中,查处侵犯消费者个人信息违法行为存在线索发现难、调查取证难、行刑衔接标准不明确等困境,市监部门执法经验不足,且此类案件缺乏具体明确的处罚裁量权规则,各地市监部门作出的行政处罚决定罚款数额差异较大、标准不一。对此,公益诉讼检察部门组建专题调研组,经过充分调研,结合办案实际撰写论文,为公益诉讼案件办理和市监部门执法工作提供丰富详实的理论、实践参考。此外,对侵犯个人信息行为的追责机制进行必要研究。考虑到侵犯个人信息行为频发的原因之一就是相关追责机制不完善,为防范此类行为,完善追责机制无疑是最有效方式。从民事、行政、刑事等责任的递进态势来看,理想状态无外乎要构建“民事+行政+刑事”的“三位一体”责任追究机制,但具体协同推进方式需要大胆设想、小心求证。如在侵犯公民个人信息刑事附带民事公益诉讼案件中,刑事追诉和公益诉讼可以同步进行,已达到刑事责任和行政责任的双重约束。
(四)以治理建议为补充,协同推进源头监管
针对部分涉案孕产妇个人信息从多家知名医院泄露且屡有发生的情况,L区人民检察院经反复论证、综合权衡后,向辖区两家医院发出社会治理类检察建议,推动两家医院通报患者信息泄露的典型案例,组织医务人员观摩庭审,完善各项患者信息安全管理的配套制度和措施。就案例一、案例二暴露出的涉培训事项个人信息泄露的监管盲区,L区人民检察院主动发挥检察职能作用,以检察建议积极助力社会治理,督促教育部门向辖区中小学(幼儿园)、直属单位、民办教育培训机构下发《关于要求加强管理合法合规使用学生信息的通知》,并以培训机构复课核验工作为契机,建立动态举报信息平台,加大对校外培训机构的监督管理力度,力求从源头上杜绝教育培训领域侵犯学生个人信息违法犯罪行为。
(五)以协作机制为延伸,凝聚信息保护合力
就办案中发现的个人信息执法司法难题,L区人民检察院会同公安机关、市监部门、教育部门出台《关于加强消费领域个人信息保护执法司法协作的若干意见(试行)》,明确消费领域主要范围,重点规定行刑衔接中的线索移送和检察监督,强化司法监督制约,凝聚工作合力。市监部门在办案中发现侵犯消费者个人信息违法行为涉嫌犯罪的,及时移送公安机关,公安机关依法作出立案、不立案、撤案监督的决定,检察机关对市监部门移送涉嫌犯罪案件和公安机关的立案活动进行监督。公安机关办理消费领域侵犯公民个人信息犯罪案件,认为不符合立案条件但应行政处罚的,移交市监部门,检察机关在履职中发现消费领域侵犯个人信息违法行为符合提起民事或者行政公益诉讼条件的,依法提起公益诉讼。
*浙江省温州市鹿城区人民检察院办公室副主任,中国法学会会员[325000]
**浙江省温州市鹿城区人民检察院第六检察部(行政检察和公益诉讼检察)检察官[325000]
[1] 参见《上海检察院:侵犯公民个人信息案件数逐年攀升》,中国新闻网https://baijiahao.baidu.com/s?id=1621627806808427672,最后访问日期:2020年10月10日。
[2] 參见李冉:《打造共建共治共享的社会治理格局》,《光明日报》2017年10月23日。
[3] 参见王慰、朱亮:《涉网络侵犯公民个人信息犯罪之应对——以非法获取公民个人信息新型案例为切入点》,《人民检察》2019年第10期。
[4] 参见孙传玺、崔雪:《侵犯公民个人信息刑事附带民事公益诉讼案件难点破解》,《中国检察官》2020年第14期。
[5] 参见《检察公益诉讼十大典型案例》,《检察日报》2018年12月26日。
[6] 参见胡建淼、邢益精:《公共利益概念透析》,《法学》2004年第10期。
[7] 参见万力、刘洋:《公民个人信息保护刑事附带民事公益诉讼实践与思考》,《中国检察官》2020年第12期。
[8] 参见王辉、韩荣:《消费者个人信息保护检察民事公益诉讼相关问题探析》,《中国检察官》2020年第12期。
[9] 参见曾国东、刘洋:《行政公益诉讼案件范围拓展研究》,《中国检察官》2020年第5期。
[10] 参见《积极发挥检察机关的主导作用》,《检察日报》2018年11月19日。