王邦铃,彭晓颖,陈傲群
(杭州师范大学,浙江 杭州 311121)
尽管个人信息的定义存在细微的差异[1],但是在信息化时代,不可否认的是个人信息不仅是一种资源,而且是一种财富。随着大数据和人工智能等信息技术的飞速发展,个人信息的产生、收集、存储和利用等方面发生了翻天覆地的变化,在社会经济活动中公民个人信息的地位越来越重要,个人信息的财富属性越来越明显,更被认为是黄金般的珍贵。同时,个人信息与每个人都息息相关,个人信息中的私密信息更是涉及个人隐私,一旦被违法者泄露或不当使用,将损害个人声誉和隐私。然而,大规模、自动地收集和存储个人信息已越来越普遍,个人信息的滥用甚至侵权案件也越来越多,各种信息泄漏事件更是层出不穷。
根据中华人民共和国公安部的统计,自2021年全国公安机关深入推进“净网2021”专项行动以来,针对个人信息保护问题,共破获侵犯公民个人信息案件9800 余起。抓获犯罪嫌疑人1.7 万余名。[2]相较于公安部去年发布的有关于个人信息保护案件侦破信息来说,2021 年破获的案件以及抓获的犯罪嫌疑人数量明显上升。通过对裁判文书网中侵犯公民个人信息案件的统计,发现在早些年间,一次侵权行为并不会给侵权者带来多大收益,但是从最近发生的几起相关案件来看,这一特点有所改变。在2021 年公安部公布的十大案例中,可以明显看出,目前侵犯个人信息的案件的典型特征是涉及人数众多、信息数量巨大以及获益颇多,其中获益最多的甚至高达1.9 亿元。与此同时,当下的侵权方式更是随着互联网技术的发展而变得五花八门,技术性和隐蔽性也有所提升。然而,违法犯罪分子却没有得到与其侵犯利益相对等的惩罚。个人信息权益遭受侵害,却很少有受到打扰的受害人站出来维护自己的权益,这与受害人举证难、赔偿金额计算困难等有关。
同时,虽然我国法律并没有禁止侵害个人信息可以提起个体诉讼,但是从实际情况来看,当前仍是以公益诉讼等集体救济模式为主导[3]。通过在法信系统内部,输入“侵犯公民个人信息罪”进行检索后发现,2021 年至2022 年初,全国共有610 个与公民个人信息相关的案件。其中,刑事案件多达597例,然而民事案件却仅有12 例。与此同时,在人民检察院提起的侵害公民个人信息罪的刑事案件均有一个共性,即被告获刑年数低,并且大多数都判处缓刑,所受罚金数额也偏低。我们对上述刑事案件进行了一个统计,其中情节特别严重的共231例,占比38%;但被判处有期徒刑的仅有191 例案件,占比31%,并且在被判处有期徒刑的案件中,被判处三年以下有期徒刑的案件就有63 例。而在这些案件中,判处罚金的却仅有126 件,占比仅有21%。通过上述数据不难发现,当前我国个人信息保护中存在受害主体自身维权积极性不高、侵权主体所受惩罚力度低、罚金少等困境。上述数据令人震惊,网络信息时代公民个人信息保护不仅涉及自然人个人权益保障的问题,而且具有很高的社会公共利益属性,从我国个人信息保护的时间表上来看,我国有关个人信息保护的立法发展相对较晚,但是,随着国家素质教育和人权事业的发展,在近五年内我国与公民个人信息相关的立法工作发展也相当迅速。①2000 年12 月28 日,第九届全国人民代表大会常务委员会第十九次会议通过了《维持互联网安全的决定》,其中第4 条第2款规定“非法截取,更改和删除电子设备如果邮件或其他数据材料侵犯了公民的通讯自由和通讯秘密,并构成犯罪,则应根据刑法的有关规定追究刑事责任。”2009 年2 月28 日,中华人民共和国全国人民代表大会常务委员会《刑法修正案(7)》第7 条增补了《刑法》第253 条,明确规定了侵犯公民个人信息罪。2015 年8 月29 日,全国人民代表大会常务委员会《中华人民共和国刑法修正案(九)》第17 条得到进一步澄清和修订,增加了加重处罚和从重处罚的情形。2016 年8 月21 日,全国著名的“徐雨雨案”发生(一名大学生被电信诈骗,导致心脏骤停,在医院抢救后死亡)。该案被选为“2017 年促进法治十大案件”之一。2016 年11 月7 日,全国人民代表大会常务委员会《网络安全法》第76 条第(5)款以法律规定的形式明确规定了个人信息的定义。2021 年11 月1 日,中国第一部个人信息保护法《中华人民共和国个人信息保护法》正式施行。但是,正如前文数据显示,侵害公民个人信息的案件数量仍在增加,在《个人信息保护法》制定施行后,相关的难题依旧阻碍着个人信息保护的落实。鉴于此,我们尝试在个人信息保护中引入惩罚性赔偿制度。
个人信息的保护刻不容缓,借鉴其他国家的保护模式和立足于中国现实国情,公法与私法的保护路径都不能忽视[4]。有必要从公法的角度阐明各类主体处理个人信息时应当遵守的法定义务,还必须从私法的角度承认自然人就个人信息享有的民事权利。要及时对侵害公民个人信息的违法犯罪行为给予惩罚,并且也应允许受害群体通过司法程序要求相应的损害赔偿。但从当前从实务角度来看,个人信息的法律保护并没有取得明显的效果,侵犯个人信息的案件仍然大量存在,受害群众的数量仍然在增长[5]。此外,从理论角度来说,在个人信息保护中适用惩罚性赔偿制度也具有必要性和可操作性。
本文认为在个人信息保护中适用惩罚性赔偿,有助于上述困境的解决。主要是因为在个人信息保护中适用惩罚性赔偿具有以下优势:
1.弥补受害主体所受损害
在提起的民事侵权案件中,尤其在适用惩罚性赔偿制度的领域内,受害主体往往能得到相较于补偿性赔偿更为充足的物质补偿。但是在大多数有关个人信息的侵权案件中,受害主体往往不止一人,由于涉及公共利益,通常由检察机关提起民事公益诉讼,那么在此类的民事公益诉讼中是否能够继续适用惩罚性赔偿呢?以食品药品领域民事公益诉讼为例,相关部门就食品药品领域中的民事公益诉讼探索提出惩罚性赔偿诉讼请求达成了共识。②参见2020 年7 月由最高人民检察院与中央网信办、国务院食品安全办等部门共同印发的《关于在检察公益诉讼中加强协作配合依法保障食品药品安全的意见》。由检察机关提起的食品安全领域内民事公益诉讼惩罚性赔偿诉讼请求在全国大多数地方也得到了法院的判决支持[6]。公民个人信息保护与食品药品领域的安全都在公民个人的生活起着重要的作用,二者在性质上、保护的方式上都具有相似之处,相信在个人信息保护的民事公益诉讼中,适用惩罚性赔偿制度会得到支持。而一旦承认在民事公益诉讼领域内适用惩罚性赔偿制度,无论惩罚性赔偿金额的用途与流向是如何制定的(下文详述),但对于受害主体而言,总归是具有一定的心理安慰作用。
2.弥补公力救济惩罚不足的缺陷,惩罚不法行为人的恶劣行为
我国个人信息保护实行公法与私法两条并行的保护路径。前者包括刑事和行政处罚,但是我国个人信息保护的公力救济存在着诸如救济时间较长、惩罚力度较弱等不足之处。而适用惩罚性赔偿,权利人则可以直接利用私力救济对侵权行为进行处罚。获得超额的惩罚性赔偿,这不仅维护了自己的合法权益,同时也惩罚了侵权行为人,弥补了公力救济的不足之处。首先,有助于解决公力救济存在的诉讼程序繁琐、效率低下的问题。公力救济程序繁琐,严格遵守办案期限,被侵权人权益往往很难在较短地时间内得到救济。而适用惩罚性赔偿,被侵权人可以在普通的民事诉讼中提起惩罚性赔偿,可以在较短的时间内使被侵权人及时获得救济。其次,有助于解决在公力救济中存在的惩罚力度不足、犯罪成本较低的难题。惩罚性赔偿通过超过收益所得的赔偿来最大限度限制犯罪人的再犯罪的能力和机会,同时通过适用惩罚性赔偿,也可以威慑其他还没有被司法机关查获犯罪分子。
3.教育社会公众,减少诉讼成本
与补偿性赔偿向后的视角不同,惩罚性赔偿是一种向前的视角,其通过对侵权主体的制裁,可以到达对其他社会大众起到威慑的目的。同时,立足于经济角度,对故意且频繁侵犯公民个人信息,或者因故意侵犯公民个人信息且对个人造成严重损害的人,对其课以惩罚性赔偿符合效益原则。成本与收益的考量自始自终都是人类趋利避害的本能[7]。立足于诉讼成本的视角,在惩罚性赔偿案件的审判中,法院遵循诉讼程序,在原告主张了被告也即侵权行为人的主观故意、客观损害的前提下,依据原被告双方提供的证据做出惩罚性赔偿的判决结果。在这样的模式下,既没有额外增加司法成本,又能最大限度保障了原告获得赔偿的权利。
作为侵权的一种方式,虽然我国现行法上是否明确规定了完全赔偿原则仍然存在着争议,但是我国大多数民法学者都认为完全赔偿原则是我国损害赔偿制度的基本原则[8],惩罚性赔偿责任是完全赔偿原则的补充和有益调整。在学说中,采用惩罚性赔偿责任主要基于损害填补理论、威慑理论以及报应理论。正是基于以上理论的正当性和合理性,笔者认为在个人信息保护中适用惩罚性赔偿主要基于以下理由:
1. 首先取决于个人信息侵权的易发性和失控性
在大数据时代,公民个人难免会在相关活动或场景中填写个人信息,信息资源的无体性决定了权利主体很难像权利人那样对其他们的“物”采取“人盯物”的严格控制模式,公民个人信息交易的隐蔽性和便捷性也决定了个人信息权利主体无法像债权人那样对其享有的债权采用“人盯人”的方式严格控制其不受他人的侵犯。
2. 其次取决于个人信息侵权人的低成本性和高获利性
我们对侵犯个人信息案件进行查阅,在中国裁判文书网中依次输入“侵犯公民个人信息”“赔偿数额”关键词后,出现的33 个案例中,犯罪嫌疑人可以通过职务便利获取任职单位收集的个人信息再转卖、或与别人获得的个人信息相互交换,亦或是通过极低的价格购买以后再转卖,一条个人信息转卖价格为几毛至两元之间,具体得看购买数量和个人信息的质量。交易多通过网络直接传输个人信息,交易方式方便迅捷,犯罪嫌疑人可以在短时间内通过多次转售而获得较高利润。
3.最后取决于对信息安全的极大危害性
最新颁布的国家规定①即《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》。将公民个人信息按其重要程度划分为三类:直接影响人身、财产安全的公民个人信息、可能影响人身、财产安全的公民个人信息以及其他公民个人信息。在实务案例中,由于个人信息的价值性,贩卖或购买第一类或第二类的个人信息案件占了大部分比例,虽然这两类信息的定罪量刑标准有所降低,但从总体而言,在侵犯公民个人信息刑事犯罪案件中,其定罪量刑标准的严厉性相对较缓,犯罪分子所得到的惩罚较宽松,受害人的权益也无法得到更好保障。为此,我们认为,在刑事附带民事诉讼或是单独的民事侵权案件中,有必要增加适用惩罚性赔偿。
正如前文所述,首先,在侵犯公民个人信息案件中往往存在涉及面大、侵害人数众多的问题,但是具体到个人,其所受的损害有可能微小且难以计算,再加上时间成本、个人精力等原因,由公民个人提起的诉讼确实寥寥可数。同时,在现代社会中,许多“公益”与“个人私益”是并存的,两者往往存在牵连关系[9]。其次,在现代大数据环境中,对公民个人信息的收集具有多方面性,在侵权主体具有技术优势的前提下,仅靠公民个人应对自己信息被利用所可能存在的潜在风险,既不现实,也不符合现行国家的选择。因此对公民个人信息进行保护,不仅是对个体主义的满足,更是对国家、社会公共利益的维护。再次,正如我国《民事诉讼法》第58 条①参见《民事诉讼法》第58 条。所规定的那样,我国对公益诉讼的适用范围采取开放性的态度,即不仅局限于生态环境、消费权益保护等领域,只要损害了社会公共利益,就能对其提起公益诉讼。[10]因此侵犯公民个人信息类案件也可以突破局限,实行公益诉讼。
我国法律规定,检察院是提起公益诉讼的主要国家机关。其作为国家的法律监督机关享有宪法赋予的监督权。公民面对信息侵权案件时,具有技术、证据、诉讼资源等方面的天生弱势,因此若能够借助检察机关的公权力作为后盾,有助于实现在诉讼中的两造平衡。同时学界也存在由个人信息保护组织等提起公益诉讼的建议,实现个人信息保护公益诉讼原告主体的多元化[11]。我国《个人信息保护法》第70 条也规定了法律规定的消费者组织和由国家网信部门确定的组织具有个人信息保护的民事公益诉讼资格。因此,我们认为,在个人信息侵权案件中,惩罚性赔偿的提出主体可以为检察院以及相关的公益组织。
与此同时,在个人信息侵权案件中,侵权主体往往不止一家。②参见“庞某某与北京趣拿信息技术有限公司等隐私权纠纷案”,北京市第一中级人民法院(2017)京01 民终509 号民事判决书。在该判决中,法院认为东航公司和趣拿公司在被媒体报道泄露顾客隐私后,并没有举证证明其在报道后迅速采取了专门的、有针对性的有效措施,其疏于防范导致泄露事件发生,因此可以认定两家公司具有过错,理应承担侵权责任。通常情况下,我们会与一些信息收集机构(如各类手机APP)签订合同,明确同意其收集我们的个人信息。一般情况下,如果该信息收集机构按照合同范围中写明的信息范围进行收集并如实履行信息保护义务则问题不大,但一旦其没有尽到保护义务,导致个人信息泄露或出现其他严重后果,在并未造成损害的情况下,个人信息处理者、收集者仍然对被侵权人造成了妨害或有妨害的危险,但此时被害人还存在制止或防御即将发生的侵害或损害的机会,此时,被侵权主体可以请求单独适用或合并使用《民法典》第179 条第1 款中的侵权责任承担方式。但在已经导致造成损害的情况下,对于没有尽到保护义务的个人信息收集者或处理者以及后续对个人信息进行滥用的主体,除了请求其承担损害赔偿责任,还可以以其为共同被告,对其提起惩罚性赔偿。这是因为,惩罚性赔偿既可以适用于侵权责任,也可以适用于合同责任[12]。同时,在责任承担上,个人信息收集者或处理者的经济实力更具有优势,不仅符合因果关系链条,也能实现惩罚性赔偿的目的。而在证明责任承担上,我国《个人信息保护法》第69 条规定了个人信息收集者或处理者的过错推定原则,我们认为,对于后续对个人信息滥用的主体,在证明责任上仍然对其适用该原则,减轻原告方的证明责任。
虽然个人信息民事公益诉讼代表被侵权人提出了民事惩罚性赔偿的诉求,但提出主体行使的仅是一种公益诉讼的权利,其无权对赔偿金的分配和使用作出决定[13],因此需要讨论赔偿金的分配与使用的问题。只有逐渐健全赔偿金的管理分配细则,努力解决在赔偿金使用分配过程中的问题,才能更好调动公民保护个人信息的积极性。
不可否认,侵犯公民个人信息案件涉及的公民信息数量往往非常庞大,涉及的被侵权人数众多,且难以统计,若将赔偿金按传统的方式,即根据被侵权人损害大小分配到个人,这种方式显然是难以执行且不现实的。因此本文认为可以借用其他领域内目前对公益诉讼赔偿金的使用方法来建立个人信息保护领域的惩罚性赔偿金的管理使用制度。而根据我国目前已有的案例来看,侵犯个人信息的惩罚性赔偿金的使用分配可以有以下两种方式。
(1)设立政府个人信息保护专项账户
目前我国部分地方政府已经在生态环境领域开展专项基金试验,将法院判决的环境污染赔偿金打入政府设立的专门账户中,利用这笔赔偿金进行环境修复、保护等。如昆明市制定的《昆明市环境公益诉讼救济专项资金管理暂行办法》,将资金专门用于生态环境修复,同时在对专项资金的使用上加强管理和监督,让资金进入市场,通过市场运营发挥其效益最大化。因此对侵犯个人信息案件获得的赔偿金可以参照昆明市的经验,设立专门独立的个人信息保护救济专项账户,该将资金账户设立在地方政府的财政管理部门,同时该基金的管理人又是从其他部门中进行选拔,使得资金的所有人和使用人分离,既可以提高资金流动性;又能让更具备专业知识的部门对资金进行运用,实现资金效益最大化。
(2)成立个人信息保护基金会,设立专项基金
目前侵犯个人信息的案件日益增多,在个人信息侵权领域可以效仿其他领域成立个人信息保护基金会,将相关的赔偿金存入该基金会的专项账户中,按照完备的资金管理办法公开透明地使用资金,这也是对赔偿金使用分配的新方式。如在“环联会诉贵州鸿盛化工有限公司水污染责任纠纷环境公益诉讼案”中,贵州省清镇市法院引入公益组织“绿发会”,并委托该组织保管环境赔偿金,成立生态环境修复专项基金并制定专门的基金管理办法,确保资金专款专用、合法使用。因此若是将来检察院在提起侵犯个人信息的公益诉讼时,受案法院也可以引入相关的社会性组织,让该组织的人根据完善的资金使用制度进行管理,这样既能够保证资金的合法透明使用,又保证资金管理的专业性。
我们认为在个人信息的惩罚性赔偿中,赔偿资金的管理使用应当坚持主体多元化,促进各主体平等协商,使得检察机关、行政机构以及各种社会团体有效合作,制定出合理高效的资金使用方案。同时要根据不同的案件情况在以上两种方式中择一选择,最大限度地将赔偿金用于保护个人信息权益的事业。
有观点认为①以王利明教授为代表的学者认为公益诉讼中不宜适用惩罚性赔偿。,在民事公益诉讼中,惩罚性赔偿的金额难以确定,因此暂时不应当规定惩罚性赔偿[14]。实际上,在惩罚性赔偿制度的内在构造中,赔偿数额如何量定是司法技术化趋向最明显的环节,这也决定了这一环节最难妥善配置。
美国国会1991 年最初通过的《电话用户保护法》(Telephone Consumer Protection Act,以下简称“TCPA”)规定相关实体不得在未经许可时向用户发送信息,否则除了有权请求禁制令的救济之外,可以在实际损失额与500 美元中选择一个较高的赔偿金;如果是故意违法,则受害人可索要三倍损害赔偿”②47U.S.C.227§(b)(3)。此法订立之初是为了回应大量的电话营销所造成的侵权问题,在规制商业主体与消费者沟通中发挥了重要作用,但仍存在以下问题:第一,虽然规定被侵权人可以在实际损失与最低赔偿额中进行选择,但是在现实中对于用户的实际损失额却难以计算,用户也难以收集足够的证据证明自己的直接损失,此时就算赋予了个人诉权,个人也未必积极行使;第二,在赔偿数额方面,最终赔偿的数额往往仅为法定最低赔偿的数额。即使最终法院认定侵权方为故意,赔偿金也仅为1500 美元,这对于各大商业实体来说可谓九牛一毛,难以起到制定该规定时所希望起到的警示效果。第三,该法也仅限于通信领域,并滞于技术发展,而随着时代发展,该法已无法对现代多元化的信息处理行为进行规制。
TCPA 在对被侵权人的损害赔偿方面采用了填平原则,并设置了最低赔偿数额标准;对主观故意的侵权行为设定了三倍的惩罚性赔偿计算标准。与之类似,通过对我国现行立法和司法解释进行分析,也可归纳出惩罚性赔偿金的三种计算方式和标准,分别是“倍数赔偿标准、“相应性”赔偿标准与“最低性”赔偿标准[15]。“最低性”赔偿标准具体运用在我国《消费者权益保护法》③参见《消费者权益保护法》第55 条。《食品安全法》④参见《食品安全法》第148 条。中。若将此赔偿标准运用到个人信息侵权案件中,不仅难以弥补被侵害者受到的损失,进而导致被侵害者消极维权[16],又无法对侵害者起到威慑性的处罚效果。而“相应性”赔偿的标准模糊、不确定性强,大多数情况下更依赖司法实践中裁判者的主观裁量,而无法完全具体量化标准[17]。
因此,参考上述国内外关于惩罚性赔偿计算方式的相关立法实践,并结合《个人信息保护法》第69条规定的侵犯公民个人信息的赔偿数额计算方式,我们认为在个人信息保护的民事公益诉讼中,可以采用“倍数”赔偿标准;具体可采取“惩罚性赔偿数额=基数×倍数”的方式计算个人信息保护中的惩罚性赔偿数额。“基数”的设置可以为个人因此受到的损失,若实际损失难以计算的,按照个人信息处理者因侵权所获得的利益确定。而“倍数”的设置,可以借鉴TCPA 中对于故意侵权予以三倍惩罚的规定,将其提高至五倍。由于相较于当时TCPA 对“用户信息”的定义,如今“个人信息”的内涵和外延更为广泛,并考虑到对侵权者起到足够的威慑作用的现实需要,因此将赔偿标准设置五倍准也更为合理。
不可否认,个人信息的信息处理者主体身份越来越多元化,损害发生的链条越来越隐蔽化,个人信息保护问题也愈加纷繁复杂。但信息安全是一场道高一尺魔高一丈的长期博弈,《个人信息保护法》的颁布对个人信息的保护之路添砖加瓦,但是,当前个人信息保护中出现的困境和难题并没有得到更好的解决,鉴于此,可以尝试引入惩罚性赔偿制度解决传统个人信息保护框架的不足,以此更好地保护个人信息。在个人信息保护中适用惩罚性赔偿制度具有实践上的可操作性以及理论上的支持。通过借鉴我国其他领域内惩罚性赔偿制度的适用方式,我们试图厘清惩罚性制度在个人信息保护中的具体制度细节,解决个人信息保护中存在的“隐秘的角落”。