协同理论视域下个人信息法治保护的优化进路

徐培颖

（杭州师范大学，浙江 杭州 310000）

科技给人类带来巨大福祉的同时也带来了新型社会风险，其中个人信息广泛存在的泄露风险尤为突出[1]。现行的《中华人民共和国个人信息保护法》（以下称《个人信息保护法》）为数据经济时代的个人信息穿上了“安全的外衣”，成为我国个人信息法治进程上的重要转折点。在《个人信息保护法》的出台过程中，我国陆续制定并修改了多部法律，以确保个人信息保护在各个领域都能实施到位。从宏观层面来看，我国个人信息法治保护已经建立了以《中华人民共和国民法典》（以下称《民法典》）为引领，以《个人信息保护法》《中华人民共和国刑法》（以下称《刑法》）、《中华人民共和国网络安全法》（以下称《网络安全法》）等配套法律为重要组成部分的法治体系。然而，从微观层面审视便会发现各个部门法仍局限于自身框架内运行，存在错位不协同的情况，这无疑弱化了实践中个人信息保护的法律效果与社会效果。因此，改变各个法律子系统各自为政的现状，增强法律系统内及系统间的协同效应，不失为一个解决当前问题的新思路。

一、问题的提出

（一）实体法：刑先民后治理模式下的规制错位

回溯我国个人信息保护的立法进程，个人信息保护是最先在刑法中得到规制的，其次是民法，最后才是专门立法。刑事立法与一般立法先行的做法虽有一定的合理性，但也导致了目前个人信息法治保护中实体法的立法衔接与司法适用的重重困难。

在立法衔接上，2009年颁布的《刑法修正案（七）》率先将特定领域严重侵犯个人信息的行为犯罪化。2015年颁布的《刑法修正案（九）》则基于打击上游犯罪的需要，对原罪主体进行了扩张，增加了加重处罚情节，扩大了前置性规定的范围，形成了目前的侵犯公民个人信息罪[2]。然而直到2017年，《民法总则》才明确规定了个人信息的概念。在民法规则缺位的过程中，刑法为有效保护个人信息而独立创设了个人信息犯罪判断标准。因此，即便民法的后续增设了规定，也无法对既定的刑法产生实体制约。2017年出台的《个人信息刑事案件适用解释》（下文称《解释》）第五条为此罪设置了极低的入罪门槛[3]，这虽有利于严厉打击相关违法犯罪行为，但也被民法学者认为是“刑法提前介入民事领域”[4]32。

如今，《个人信息保护法》的生效意味着对于“违反国家有关规定”的判断将集中于该法，这也使得刑法与其他法律规定之间的矛盾更加突出。例如，《个人信息保护法》将个人信息分为一般和敏感两个类别，而《解释》将个人信息分为一般、特别敏感和相对敏感三个类别，并设置了不同的入罪标准。从个人信息分类的角度看，《解释》中的各个类别之间存在交叉、融合，且与《个人信息保护法》之间的协同性不足，因此这种分类有待商榷[5]。

值得注意的是，立法上的割裂、不协同直接导致了在司法实践中出现入罪思维以及刑法的过度介入。从宏观的裁判数量上看，“北大法宝”上显示，2018年至2020年审结的侵犯个人信息犯罪刑事文书共计8 045份，而个人信息民事纠纷文书仅9份。刑事文书与民事文书在数量上出现“刑民倒挂”的样态，正是司法实践过多依赖刑法来规制侵犯公民个人信息行为的直接体现，亦从侧面反映了刑法在个人信息保护领域形成的入罪思维。截至2021年12月1日，2021年全年已审结的涉及侵犯个人信息犯罪的刑事文书共计819份，而个人信息民事纠纷文书仅37份。2021年，《民法典》已经生效，但裁判数量依然呈现出“刑民倒挂”的样态，这也进一步证实了前述结论。

另外，入罪思维与刑法的过度介入从具体司法判决中也可窥见一二。侵犯公民个人信息罪在互联网时代出现了进一步的扩张趋势，例如，2018年，经他人同意后出售电子商铺注册人身份信息被判侵犯公民个人信息案，这在当时引发了学界内的广泛讨论。此案的“有罪论”支持者主张侵犯公民个人信息罪保护法益的“超个人属性”，且出售他人个人信息的行为不因信息主体的同意而阻却犯罪的成立[6]。然而，知情同意原则是民法中个人信息保护中的黄金规则。根据知情同意原则，个人信息主体对其个人信息的处理享有自决权，即知情同意应当被视为侵犯公民个人信息行为的免责事由之一。

由此，本文将提出以下三个问题：刑法是否可以对此进行不同于其他法秩序的评价？刑法侵犯公民个人信息罪中“违反国家有关规定”这一前置条件应当如何理解？侵犯公民个人信息罪的成立是否需要指明“违反国家有关规定”的具体内容？前两个问题将在下文进行具体的讨论，而对于第三个问题，目前已有的实证研究可表明，大部分判决书都不指明被告人究竟违反哪一条“国家有关规定”，且除刑法及相关司法解释之外从不提及其他规定[7]。简言之，司法实务已经忽略了对“违反国家有关规定”的说明义务，这种怠于找法的裁判习惯使得“违反国家有关规定”这一前置条件“形同虚设”。

（二）程序法：个人信息保护公益诉讼价值待彰

公益诉讼制度作为《民事诉讼法》特别程序中的典型制度，是对民事程序法具有独立价值的生动诠释。如今，作为“四大检察”之一的检察公益诉讼工作已然发展至全面开展阶段，检察公益诉讼的浪潮也呼之欲出。个人信息具有人格权益与财产权益的双重样态，在外延上又包括了身份信息与行为信息，并试图在利用与保护之间寻求平衡。因此，个人信息的这些二元特征决定了个人信息的社会性与公益性。公益诉讼是个人信息保护的应有之义。《个人信息保护法》第69条明确授权检察机关可提起个人信息保护公益诉讼。2021年，最高人民检察院公布了《检察机关个人信息保护公益诉讼典型案例》（下称《典型案例》），里面涵盖了行政、民事、刑事附带民事等多种类型，共计11个公益诉讼案例。可以说，将公益诉讼的触角伸至个人信息保护领域已经成为共识。然而，个人信息保护公益诉讼在理论层面被激烈讨论的同时，在实践中却“遇冷”。笔者通过对相关司法判例的检视，发现主要存在以下两个问题。

首先，检察机关在现实中主动提起个人信息保护民事公益诉讼的意愿较弱，司法实践落后于理论和立法层面。事实上，单独提起的民事公益诉讼，较之于行政公益诉讼和刑事附带民事公益诉讼，更能凸显公益本色。一方面，检察机关不是以打击犯罪之初衷介入，而是主动行使检察调查核实权，一旦发现公益受损的客观事实，就会积极回应群众关切；另一方面，民事公益诉讼的法律治理效果更加直接。

另外，单独提起的民事公益诉讼在司法实践中占比较少。从宏观角度来看，2019年，最高人民检察院发布的专项工作报告中显示，在检察公益诉讼起诉案件中，民事公益诉讼仅占6.52%[8]；2020年，检察机关共立案办理公益诉讼案件共计151 260件，其中民事公益诉讼约1.4万件，占比约9.26%[9]。从微观角度来看，截至2021年12月1日，以“公益诉讼”和“个人信息”为标题关键词在“北大法宝”中检索司法案例，共得裁判文书36份，其中刑事附带民事公益诉讼25件、民事公益诉讼3件、行政公益诉讼8件；在《典型案例》的11个公益诉讼案例中，民事公益诉讼案例仅2件。囿于统计工具的局限，上述数据或许无法全面、准确地反映实际的办案情况，但以上数据可作为一个样本帮助我们一窥当下个人信息保护民事公益诉讼的现实样貌。

其次，责任承担方式以公开道歉为主，以删除信息和进行损害赔偿为辅，欠缺实质上的惩罚性和对公共利益的强保护性，降低了案件的治理效果。在对前述36份裁判文书进行进一步整理后，可得完整判决书23份，分类统计后得到以下数据：在国家级（省级、市级）新闻媒体上，公开道歉作为诉讼请求被提出23次，占比100%；注销作案微信（QQ等）账号、永久删除非法储存的个人信息作为诉讼请求被提出10次，占比43.48%；损害赔偿作为诉讼请求被提出15次，占比65.22%。且以上几类诉讼请求的支持率为100%。相比于公开道歉，注销账号、永久删除信息，以及损害赔偿这两种责任承担方式等更具实质上的惩罚性特征和对公共利益的强保护性特征。一方面，在相关刑事附带民事公益诉讼案件中，法院几乎都会判决没收公安机关依法扣押在案的物品。此处的“物品”一般包括查获的相关电脑、手机、U盘等物证，但仅对这些物证进行没收并不能免除公益诉讼被告人“注销账号、永久删除信息”等责任的承担。在23份判决中，有17份判决提及公益诉讼被告人系使用微信、QQ等聊天平台向他人非法出售或者提供公民个人信息，但这17份判决中有7份判决竟没有提及被告需注销相关作案账号和永久删除非法获取的信息。云数据时代的信息存储不同于传统的硬盘存储，由于云数据存储更加快捷、多样且隐蔽，因此，“注销账号、永久删除信息”等责任的承担有其不可替代性。另一方面，“损害赔偿”这一责任承担方式的欠缺大大降低了相关案件的违法成本，难以实现震慑违法行为主体的目的。另外，从金额的确定来看，实践中多以非法获利金额来判断损害赔偿金额，但是个人信息的潜在价值远远超过一次诉讼中可能认定的损害赔偿[10]。

二、协同理论下的问题检视

在个人信息法治保护研究上，学者往往从单一法律部门，法内讨论个人信息保护存在的问题。但是，现代法治体系所依靠的是各个法律部门的“群策群力”而非“单打独斗”，这与协同学的理论精神不谋而合。协同学（synergetics）被誉为“协调合作之学”，是由德国功勋科学家赫尔曼·哈肯受激光理论的启发而创立，是系统科学分支之一。系统（system）一词源于古希腊，指由各元素组成的、彼此相互作用的有机整体，是协同理论的重要概念。协同理论认为，宇宙万物的本质是无数复杂系统，任何复杂系统在外来能量的作用下或当物质的聚集态达到某种临界值时，系统之间就会产生协同作用，进而发挥“1+1＞2”的协同效应[11]。协同效应能够使系统由无序变为有序，由混沌变为稳定，可以视为一种使系统从量变到质变的自我演化内驱力。协同理论的核心思想可以归纳为以下两点：一是用统一的观点协调系统内部关系；二是鼓励不同系统间的协作[12]。

首先，在个人信息法治保护研究中引入协同理论是可行且必要的。协同学以研究完全不同学科中共同存在的本质特征为目的，有一定的普适性[13]。自协同理论创立至今，已经被广泛应用于社会科学领域，并取得了丰富的研究成果。协同理论在法学研究领域也早已是硕果累累。有学者曾将协同理论应用于人民法庭，参与执行工作的实证研究[14]；有学者将协同思维运用在公共法律服务与诉讼服务体系的制度协同上[15]；有学者从协同主义出发，讨论律师在调解中的作用[16]……此外，还有学者指出，协同式地方立法为习近平法治思想的实践提供了新的路径[17]。将协同理论引入法学研究，可以为解决相关问题提供全新的思维和视角，具有极强的可行性。个人信息法治保护是一项复杂的系统工程，包含了大量性质迥异的要素和程序，如何在短期内让这些要素和程序达到协同状态是当前亟待解决的问题。因此，在这一系统命题下引入协同理论有助于提升个人信息保护实效，这具有现实必要性。以协同理论的核心思想为逻辑起点对前述问题进行思考，可将其提炼成实体法系统内协同不足以及实体法系统与程序法系统间协同不足这两个问题，进而进行法理上的检视，以期为相关问题的破解提供理论支撑。

其次，实体法系统内协同不足与“法秩序统一性”原理相悖。整体法秩序是以一定规则排列各部门法而形成的体系化规范脉络，一国的法秩序在其内部根据民法、刑法等不同，按照各自不同的原理而形成独立的法领域[18]。法秩序应是一个无矛盾且相协同的规范体系。刑民交叉现象是法秩序统一原理的典型样态。而刑法与民法的规范构造相异，但是刑法中的法益与民法中的权利原本就是在相同概念体系之下分化而来的对应概念，两者在本质上皆为法确证的利益。民法的损害填补与刑法的犯罪处罚之间具有相对独立性，由此形成的差异使得各部门法之间有了相对独立却又彼此互补的可能性，这种互补需要彼此规则的渗入和调适[19]，即法秩序统一性原理旨在包容部门法之间的差异性以及发挥部门法的互补功能。正如有学者所言，在刑法与民法规范的保护目的相一致的场合，刑法应当绝对从属于民法。如果某一个行为的选择在民商法上有争议，甚至该行为被民商法所允许，就可能成为刑法上的“出罪”理由[20]。当下“刑先民后”的治理模式过于强调各部门法的独立性，导致部门法之间的有序协同阙如，这与法秩序统一原理是相悖的。

最后，实体法系统与程序法系统间协同不足与“实体价值与程序价值并重”原理相悖。法律是人类为满足不同的利益需求而有意识创造出来的社会规范[21]。虽然实体法与程序法分别对应不同的利益需求，其表现形式和发挥作用的机制也不尽相同，但两者间却有着非常紧密的联系。有学者曾将实体法与程序法之间的联系比喻为“难以打破的坚果的壳与肉”[22]181，192。程序法规定的各种程序性权利和规则既是为了实现实体性权利，也是为了保护除实体性权利之外的其他权利。这些特定的原则、制度和规则共同承载了其特定的价值属性。坚持“实体价值与程序价值并重”的理念，尽力追求两者同时实现的理想状态，是现代诉讼规律的客观要求。在个人信息法治保护这一系统命题中，只有实体法与程序法共同发挥效用，以法律为载体的个人信息保护网才得以织成，数字经济时代下的“数字人权”才得以维护。对于个人信息法治在实体价值与程序价值上的失衡问题，公益诉讼效能的有限发挥或难辞其咎。

三、协同理论下的问题破解

基于对前述问题的检视，只有以提升个人信息治理效能为目标进行协同理论下的法治进路优化，并着眼于疏通系统内关系和平衡系统间关系这两个方面，才能让法律在个人信息保护问题面前免于成为无用的“马奇诺防线”，进而推动个人信息法治保护发挥协同效应。

（一）系统内协同：刑民一体化治理模式构建

诚如有学者所言，在刑民交叉领域，民法不可舍刑法之保障性而规范全局，刑法亦不能弃民法之人文性而“以恶制恶”[23]162。针对个人信息保护中的刑民规制错位，应跳出刑、民部门法的单一逻辑，在整体实体法秩序的视域下进行审视，在法教义和法规范这两个维度重新构建刑民一体化的治理模式。

首先，在法教义层面，确立法益保护的“个人法益”标准。侵犯公民个人信息罪应当以《民法典》和《个人信息保护法》为参照。目前，学界对于公民个人信息的法益属性主要有“个人法益说”“超个人法益说”“复杂法益说”这三种不同主张。“超个人法益说”和“复杂法益说”认为，只要损害了公共信息安全或者社会秩序便都构成侵犯公民个人信息罪。然而，“超个人法益”的高度不确定性，模糊了合法行为与非法行为、民事违法与刑事犯罪的边界，在实质上消解了刑法的谦抑性。刑法被泛化为维护个人信息管理秩序的“社会管理法”而非“保障法”。从法秩序统一的角度出发，“个人法益说”应当被支持。

其次，在法规范层面，应将“平衡个人信息的保护和利用”这一目标内化其中，根据刑法与民法、专门立法冲突的类型及其生成路径，提倡分别通过“立”“改”“废”“释”以及刑法教义学调适加以补正，将《民法典》以及《个人信息保护法》的相关规定内嵌入刑法侵犯公民个人信息罪的相关条文以及司法解释之中，实现刑、民在功能上的良性互补。其一，将民法规范内嵌入专门立法规范中。《民法典》关于个人信息保护的规定共七条，这七条规定在《个人信息保护法》中都能找到相对应的条文，但是规定与条文之间仍存在细微差别[24]。例如，《民法典》第一千零三十六条规定，合理处理他人公开信息可免责，以及“该自然人明确拒绝或者处理该信息侵害其重大利益的”这一例外，而《个人信息保护法》并未规定此种情形。因此在具体适用《个人信息保护法》时，宜参照《民法典》这一例外规定作为禁止处理公开信息的依据。其二，将民法以及专门立法作为前置法内嵌入刑法之中。在前述“个人法益说”的基本立场下，将前置法规嵌入到刑法中有助于根据《刑法》第二百五十三条之一的指引寻找正确的“国家有关规定”，准确识别何种行为实质地侵犯了个人信息法益，还原个人信息犯罪的双重违法性判断，有效巩固刑法作为保障法的地位。就个人同意而言，个人同意应当可以成为适格的“被害人同意”，阻却行为的违法性。但要在合理范围进行合理使用，未经个人同意也并不必然构成侵犯公民个人信息罪，如对前置法的法定例外情形应当予以考虑。

（二）系统间协同：促进程序法价值理性回归

针对民事公益诉讼实践“遇冷”的现状，应从多角度保障个人信息保护民事公益诉讼的适用。首先，降低个人信息保护民事公益诉讼的诉讼门槛。为了弥补私益救济的不可为、不能为和不便为，个人信息保护民事公益诉讼的起点必须是“宽口径”，即民事公益诉讼应当是能够被顺利提起的。在程序上，不应当设置过多具有阻却性的前置程序。在实体要求上，对于“侵害众多个人的权益”的事由要求不应收缩过紧，例如对侵权的要件、数量的要求应当结合具体个案妥当判断。其次，检察机关应当转变公益诉讼中“搭顺风车”式的办案理念，把提起民事公益诉讼作为个人信息保护公益诉讼案件的首要选择。在调查取证方面，不依赖刑事追诉已锁定的对象和已固定的证据，化被动为主动，拓宽公益损害信息渠道。检察机关除了直接起诉外，亦可通过支持起诉的方式来开展民事公益诉讼工作。负责个人信息监督管理的行政机关和法定组织也是法定的个人信息保护民事公益诉讼的起诉主体，且其起诉顺位是在检察机关之前。作为相关侵权行为的更直接感知者，行政机关和法定组织应当在个人信息保护民事公益诉讼中发挥更大的效用。

检察机关在公益诉讼中如何设置诉讼请求，关乎着诉讼目的的实现及监督的精准度。就预防性诉讼请求而言，永久删除非法储存的个人信息以及永久注销收集个人信息所使用的社交平台账号与传统预防性诉讼请求中的“停止侵害”“消除影响”对应，且应当在实务中得到提倡。此外，最高人民检察院发布的个人信息保护公益诉讼11号典型案例中“向被侵权人发送风险提示短信”这种新型预防性诉讼请求，能有效保障公共利益，这亦值得学习和借鉴。就赔偿性诉讼请求而言，司法实践中检察机关对于惩罚性赔偿的应用及探索相对不足。《个人信息保护法》第六十九条第二款规定了个人信息侵权诉讼中损害赔偿填平原则，但在公益诉讼中，个人信息受侵害的主体呈现规模性特征，单个主体受到的损害相比于违法者所获整体利益可谓是微乎其微，因此单纯的损害赔偿难以震慑网络运营者等侵权主体，无法达到维护公共利益的目的。此时，建议引入惩罚性赔偿的诉讼请求，以达到震慑、惩罚侵权行为、提高其违法成本的效果。在相关刑事附带民事公益诉讼中适用惩罚性赔偿时，还应考虑赔偿、惩罚性赔偿与罚金这三者之间的协同性问题。虽然惩罚性赔偿与罚金都具有惩罚性效果，但只有符合过罚相当原则，金钱义务履行才具有可执行性。因此，在确定惩罚性赔偿时，要综合考虑侵权人的违法行为、悔过情况、支付能力、获利金额等情况。

最高人民检察院发布的个人信息保护公益诉讼8号典型案例正是有关惩罚性赔偿诉讼请求的成功实践例证。典型案例作为司法实践的样本，可以帮助我们了解检察机关对个人公益诉讼惩罚性赔偿的官方态度。由此可见，在个人信息保护公益诉讼中引入惩罚性赔偿制度是未来司法实践的趋势。建议最高人民法院、最高人民检察院针对该问题达成会议纪要或者制定相关司法解释进行规范，明确提出个人信息保护领域公益诉讼可以提起惩罚性赔偿的诉讼请求，同时明确不同程度的惩罚性赔偿的具体适用情形。

法律是时代的产物，加强个人信息法治保护已成为提升信息时代下实现国家治理现代化进程不可或缺的环节。在促进各法律部门协同共进的前提下，形成一个运行畅通的个人信息保护体系亦需要实践的磨合与检验。个人信息法治保护并非个人信息治理的唯一渠道，事实上，个人信息治理还需建立行业自律和国际合作等多主体机制，实现全方位协同治理，如此方能构建出长效保护机制，让个人信息保护真正融入国家治理现代化的完善进路中。