王晓光 崔倩如
摘 要:2021年8月20日,全国人民代表大会常委会正式审议通过《中华人民共和国个人信息保护法》,该法第70条明确了检察机关可以对个人信息保护提起公益诉讼。而在具体办理侵犯未成年人个人信息领域的民事公益诉讼案件时,事实认定还存在难点,案件数量和线索来源少。对此,可引入惩罚性损害赔偿,探索“公益+技术”部门协作机制,并建立常态化标准化新路径。
关键词:公益诉讼 个人信息保护 惩罚性赔偿
一、基本案情
2020年5月,肖某伙同他人设立“五六七发卡”平台,为犯罪分子在该网站上出售个人信息提供服务并收取手续费,包含肖某在内的八名犯罪分子通过在该网站上开设店铺,累计出售和购买个人信息128万余条,均为未成年人的姓名和对应身份证号。其中,肖某累计出售未成年人个人信息379525条,违法所得共计15.2万余元。2021年1月26日,公安机关以侵犯公民个人信息罪向浙江省杭州市拱墅区人民检察院移送起诉。同年2月25日,检察院认定肖某违反国家规定,向他人出售公民个人信息,情节特别严重,以侵犯公民个人信息罪向法院提起公诉,并建议法院判处肖某有期徒刑四年三个月,并处罚金15.5万元,获得法院判决支持。在办理刑事案件的同时,检察机关发现,当下的黑灰产业链中,由于成年人的信息大多已经注册了支付宝、微信等软件,犯罪分子将目标慢慢投向未成年人。本案中被泄露的未成年人出生日期分布在2005年至2010年之间,犯罪嫌疑人在相关群组和网站均以“出售未成年人个人信息”作为招牌发布广告,在肖某等人建立的违法网站上开设有几十家店铺,大多以贩卖未成年人信息为主。买家在购买未成年人的姓名和身份证号之后,会继续购买国外的空白手机号并绑定支付宝,之后注册抖音、快手等软件进行批量“薅羊毛”行为,或是高价转卖给犯罪团伙进行电信网络诈骗。这些未成年人还未步入社会,身份信息已经被滥用,类似“徐玉玉案”常见诸报端,对孩子身心造成巨大影响,侵犯了社会上不特定未成年人的合法权益,严重扰乱个人信息正常的收集、使用、流通秩序,损害社会公共利益,行为人应当承担相应的民事责任。于是检察机关于2021年2月23日立案审查,利用调查核实权,协同技术部门固定了相关证据,并报省检察院批准向杭州互联网法院提起民事公益诉讼,诉讼请求包括判令肖某承担损害赔偿金并在国家级媒体上公开赔礼道歉。
二、办理难点
(一)惩罚性赔偿的适用争议
一方面是刑法关于罚金的规定。刑法对侵害未成年人的行为大多以“从重处罚”为原则[1],侵犯公民个人信息罪的罚金数额可在违法所得的1倍以上5倍以下判处。[2]但法院在实际判案时,常常仅判处1倍罚金数额。另一方面是民法典关于损害赔偿的规定。根据现有的实践判例,检察机关对侵犯成年人个人信息的行为提起民事公益诉讼,一般是按照其获利金额来支付损害赔偿款。那么,侵害未成年人的行为是否应当从严适用惩罚性的赔偿措施呢?尤其是在大数据时代下,个人信息商业化使用收益十分可观,信息泄露具有不可逆转性,可被二次、三次使用。如本案肖某自己供述仅花了2万元人民币就从上家处购买了100万条未成年人的个人信息,每条个人信息的价格为2分钱,最贵的收购价格也仅为1毛钱,但一经其转手卖出,就能获得每条0.5-0.9元的收益,收益是成本价的45倍。而另一名嫌疑人庄某将一些低价购买来的个人信息进行加工,整合成一套含有身份证、姓名、手机号、银行卡的集合,打包卖给电信网络诈骗团伙,每一套公民个人信息能卖出100余元人民币,获利高达成本价的5000倍。可见,侵害公民个人信息案中涉及的公民信息数量巨大,每条信息的成本和交易价格相对来说比较低廉,与信息泄露可能造成的潜在危害相比不对等,这种情况下根据被告的获利金额来衡量赔偿数额显然不尽合理,同时也难以在社会上形成震慑效果。
(二)事实认定的难点问题
侵犯公民个人信息的案件一般受害者人数较多,单个公民去法院进行私益诉讼成本高、收集证据难、维权成功率低。而通过检察公权力提起民事公益诉讼,运用调查核实权,有利于维护公共利益,节约社会成本,真正实现公益诉讼助力社会治理的目标。但在具体办理过程中,由于侵害公民个人信息犯罪还与诈骗罪等相关罪名存在交叉,上下游链条长、黑灰产业多、地域跨度广、证据不易保存等问题导致侦查时难度大,检察机关实际提起民事公益诉讼时,也会面临一些问题:一方面是個人信息条数难查清。公安机关在分析研判海量数据方面能力仍有待强化,原始数据恢复难。另一方面是具体获利金额难查清。在民事公益诉讼中,需要确定犯罪嫌疑人的违法所得,才能确定其应当支付的损害赔偿款。但在实际办案中,由于犯罪嫌疑人常会将支付宝、微信等收款账号与平时日常支出混用,且无法分清其出售的到底是身份证号和姓名还是空白的支付宝账号,或由于平台收入和个人店铺收入无法区分,导致仅从交易流水上难以逐笔核查出具体的获利金额。
(三)案件数量和线索来源少
检察机关办理的个人信息保护公益诉讼案件总量偏少,在《个人信息保护法》审议通过前,侵犯公民个人信息的公益诉讼还属于新领域,基层检察院需要经过省院批准,才能提起民事公益诉讼。在肖某侵犯公民个人信息案立案审查前,杭州仅有三个地区提起三例个人信息保护领域的民事公益诉讼。而侵犯未成年人个人信息的民事公益诉讼数量为“零”,法律监督工作力度远远不够。线索来源上,往往只能从刑检部门办理的案件中发现线索,之后再提起民事公益诉讼,时间上具有一定的滞后性。
三、实践路径探索
(一)引入惩罚性损害赔偿
首先,从必要性来说,损害赔偿可分为救济性和惩罚性,救济性损害赔偿又分为财产损害赔偿和精神损害赔偿。[3]救济性赔偿一般就是补偿损失。未成年人个人信息保护民事公益诉讼应当在充分使用救济性损害赔偿的基础上,引入惩罚性损害赔偿,才能罚当其罪。这是因为,第一,该类行为犯罪成本低,犯罪收益高,如果不引入惩罚性赔偿,仅用一般的救济性损害赔偿无法“恫吓”同类型的侵权行为。只有增加加害人的侵权成本,才能足以使其不敢肆无忌惮地实施个人信息侵权行为。第三,信息的潜在价值和丰厚利润,远远大于一次诉讼中认定的损害金额,这才导致众多网络运营者、经营者、APP、平台等不遗余力地收集用户个人信息和数据。但目前检察机关起诉后,被告人只需要赔偿一倍实际损失和赔礼道歉,相对比较单一,同时对于被告而言负担相对较轻,也很难弥补公共利益所遭受的损失。第四,对未成年人的保护应当从严把握,未成年人信息泄露后果严重,加倍赔偿更能抚慰未成年人及法定代理人的身心损害。[4]鉴于此,有必要建立侵犯个人信息权利的惩罚性赔偿制度,预防犯罪效果将大大增强。[5]
其次,从实践和法律来说,横向对比食品领域的民事公益诉讼,檢察机关一般会采用惩罚性赔偿提起诉讼。自2019年10月截止2020年末,浙江省各级检察院提起的食品安全民事公益诉讼得到法院判决53件,其中43件支持10倍惩罚性赔偿,2件支持8倍惩罚性赔偿,8件支持3倍惩罚性赔偿。这当然是有《食品安全法》作为背书,虽然侵犯公民个人信息领域目前尚无明确的法律规定,但《网络安全法》中对侵犯个人信息的行为,规定可处违法所得1倍以上10倍以下罚款,未来在侵犯公民个人信息民事公益诉讼领域,能否尝试惩罚性赔偿是需要理论研究和探索的重要方面。[6]
最后,从具体步骤来说,惩罚性赔偿在个人信息保护民事公益诉讼中的运用要强调以下三方面内容:一是贯彻落实好民法典有关惩罚性赔偿的规定,进一步拓宽案件适用范围,规范适用标准和适用情形。二是强化与法院的沟通协调,争取在销售额确定、赔偿金倍数等问题上达成更为科学合理的共识。三是加强与财政等有关部门和组织的对接,促进赔偿金的统一规范使用和管理。
(二)探索“公益+技术”部门协作机制
2021年8月21日,最高人民检察院下发《关于贯彻执行个人信息保护法推进个人信息保护公益诉讼检察工作的通知》(以下简称《通知》),强调要构建完善的个人信息保护办案流程机制,各级检察机关要用足用好《人民检察院公益诉讼办案规则》中关于调查核实权的有关规定,充分运用科技手段,完善检察技术人员参加公益诉讼办案机制。拱墅区检察院在办理肖某侵犯未成年人个人信息案时,为了查清侵犯公民个人信息的实际条数和获利金额,与检察技术部门深入协同办案,形成了公益诉讼部门与技术部门之间的良性协作互动机制。
首先,查清了具体的犯罪事实。我们协同技术部门将公安机关扣押到的电脑、手机、硬盘、U盘统统移交检察部门,重新进行勘验审查。通过将几百万条的个人信息进行查重、比对,最终确定了嫌疑人出售和购买的公民个人信息条数,发现除了90条信息为成年人身份外,其余128万条信息均为未成年人信息。我们还重新勘验了网站后台数据显示的平台运营时间,查清了侦查阶段较难查清的违法所得金额问题。通过对后台数据的再次勘验,发现可以直接从后台调取到每条信息的贩卖价格,加合后计算出违法所得数额,对准确提起损害赔偿金的诉讼请求起到了关键性作用。
其次,完成了追赃挽损工作。技术部门对肖某使用的7部手机重新予以电子数据勘验,调取手机数据后发现,其四个支付宝账号内仍有余额25万余元,经过我们与嫌疑人核对细节后,嫌疑人承认这是他自2020年8月至10月开设店铺贩卖公民个人信息以来所赚取的利润。针对查实的支付宝余额,我们让公安机关依照法定程序予以扣押,完成了追赃挽损工作。也保障了后续刑事上罚金的判决执行和民事公益诉讼上惩罚性损害赔偿的执行到位。
再次,发掘了追诉监督新线索。我们联合技术部门做好办案线索梳理和研判工作,在肖某被扣押的U盘中发现了其从上游卖家处购买的全部公民个人信息,经过梳理,向公安机关发出了追诉函,要求追诉本案的上游犯罪嫌疑人沈某。未来,检察机关的技术部门还可以通过各类渠道,加强与网警联系,收集更多贩卖公民个人信息的案件,并通过研判,移送到检察各部门办理。同时,与检察技术部门之间的这种良性互动,可以形成内部常态化协作机制,让“每一个案件精品化”。
(三)建立常态化标准化新路径
一是“积极为先”探索更多个人信息公益诉讼。个人信息保护法正式实施后,公民个人信息就不再是检察机关公益诉讼的新领域,未来会以更积极的态度和更大的作为推进公民个人信息领域的探索,不断增加信息公益诉讼的数量和质量,尤其是针对未成年人的民事公益诉讼应在试点办理的基础上积极推广。同时,可对各类网络平台、APP、网站进行专项整治行动。例如2020年初,余杭区院针对其辖区内10余款消费APP进行了监督,针对很多APP存在不经允许收集个人信息的行为启动了行政公益诉讼,督促市场监管局等相关部门依法履职。市场监管部门为此专门组织专项行动,集中约谈要求各平台依法整改。因此,在个人信息保护领域,不仅仅惩罚违法主体,更要强化企业责任,探索更多类型的个人信息公益诉讼。
二是刑事、行政、民事“三管齐下”。首先,刑事与民事缺一不可。对于构成犯罪的,我们可以直接提起公诉和民事公益诉讼,惩罚犯罪;对于证据不足不构成犯罪,或是未进入刑事领域的侵权行为,除了加强刑事行政衔接工作,督促行政机关做好行政处罚外,我们收到举报线索、排查线索时,只要证实确实存在侵犯公共利益的行为,也可以直接提起民事公益诉讼。但具体多少条数、违法所得多少金额才可以单独提起民事公益诉讼需要理论和实践的进一步研究试点论证,建立起统一标准。其次,民事公益诉讼要与行政公益诉讼打“组合拳”。即便是同一个案件中,只要发现网信、工信、公安、市场监管等行政主管机关存在监管职责,但未履行好职能的行为,检察机关可以同时向属地行政部门发出公益诉讼诉前检察建议,督促相关部门依法履职,共同创造和维护和谐健康的网络环境。