王振涛 秦胜男
摘 要:个人信息侵权类案件中,信息传播链条长、受侵害人数众多,且涉及多个行政主管部门,当检察机关以行政公益诉讼切入公民个人信息保护领域时,应当围绕行政机关法定职责准确把握被监督主体,沿着信息传播链条全面调查公益受侵害的情况,并提出针对性、可操作性、可诉性的建议,但又不僭越行政机关的“首次判断权”。检察建议发出后持续跟进监督,充分运用调查问卷、走访群众等方式客观、全面评估公益修复效果,形成检察机关牵头、社会监督与群众监督参与的成效评价机制。
关键词:行政公益诉讼 公民个人信息保护 诉前检察建议
一、基本案情及办案过程
董某某等三人系某市房地产管理交易中心、房地产公司和装修公司工作人员。该三人相互勾结,利用职务便利,非法获取公民个人信息3万余条并进行买卖。上述个人信息被非法泄露后,业主频繁受到装饰装修企业电话骚扰,引起群众强烈不满,严重影响人民群众的正常工作和生活。
河南省濮阳市华龙区人民检察院(以下简称“华龙区院”)在审查起诉董某某等三人侵犯公民个人信息罪一案时发现其可能侵害社会公共利益,遂将该线索移交公益诉讼部门审查,经初查后于2019年11月21日立案调查。办案人员通过发放问卷、走访群众等方式,查明房地产管理交易中心存在个人信息保护管理漏洞,致使房地产及装饰装修等行业泄露消费者个人信息事件频发多发,骚扰电话、骚扰短信已严重影响群众工作和生活。华龙区院审查认为,根据《消费者权益保护法》《河南省建筑装修装饰管理办法》的有关规定,房地产管理中心对其管理的个人信息负有依法保护职责;市场监督管理局负有保护消费者个人信息安全的职责;市装饰装修行业管理办公室和区住房和城乡建设局(以下简称“区住建局”)对辖区装饰装修从业者负有监督管理职责,均存在对消费者个人信息保护监管不到位的问题。华龙区院向市场监督管理局发出诉前检察建议,要求其对企业经营中非法获取公民个人信息,以骚扰信息、骚扰电话等形式进行推销的行为,依法予以行政处罚;向市房地产管理中心发出诉前检察建议,要求加强信息安全管理,督促有关部门、企业建章立制,堵塞漏洞;向市装饰装修行业管理办公室和区住建局发出诉前检察建议,建议切实加强对装饰装修企业监管和宣传教育,引导其合法规范经营,加强行业自律。同时,向市室内装饰业协会发出工作函,建议依法加强行业自律,规范行业经营行为,切实加强公民个人信息保护。检察建议发出后,市场监督管理局组织辖区内商户开展公民个人信息保护集中宣传,并对有关企业约谈,督促其加强公民个人信息保护工作。市房地产管理中心加强职工教育,建立完善信息保护机制,并建议上级房产管理部门更新系统,增设个人信息保护模块,做到信息查询权责分明、全程留痕、动态预警。2019年12月10日,濮阳市、华龙区有关行政机关和装饰行业协会专门召开“濮阳市建筑装饰行业保护公民信息安全规范经营行为”会议,参会的20多家装饰装修企业作了表态发言并当场签订“加强信息安全、合法开展经营”承诺书。2020年5月,华龙区院跟进监督,针对公民个人信息安全保护情况进行“回头看”,电话回访120人次,调查问卷回访200份。受回访人普遍认为辖区内房产装饰装修等领域电话推销明显减少。
二、提升检察建议效果需关注的问题
(一)精准确定监督对象
检察机关综合考量司法效率、办案效果等因素,在本案中选择以行政公益诉讼路径切入,在信息泄露的传播链条上精准锁定监督对象,通过督促作为信息处理者的行政机关堵塞管理漏洞,从根源上控制信息泄露风险;通过督促行业主管部门履职,加强行业治理;同时,延伸监督触角,向行业协会发出提醒函,助推行业自律。如此,检察机关借助个案办理构建了检察监督、行政监管、行业自律的多元共治格局,实现了溯源治理、系统治理。
从个人信息泄露的源头来看,房地产管理交易中心进行房产交易登记时收集、存储房屋产权人的信息系出于履职之必要。2012年,《全国人民代表大会常务委员会关于加强网络信息保护的决定》(以下简称《网络信息保护决定》)第10条第2款明确规定,“国家机关及其工作人员对在履行职责中知悉的公民个人电子信息应当予以保密,不得泄露、篡改、毁损,不得出售或者非法向他人提供”。房地产管理交易中心作为信息处理者,对于所收集到的个人信息负有安全保障义务和保密义务,出售公民个人信息显然违反了该项义务。
从个人信息的传播链条看,房地产企业、装饰装修企业从业人员贩卖个人信息、定向电话营销已然形成了所谓“行业潜规则”,这暴露出行业治理、市场监管的缺位。现阶段,我国尚无独立的个人信息保护专门机构,行业主管部门分头监管的架构仍有现实必要性。《网络信息保护决定》第10条第1款确立了“有关主管部门应当在各自职权范围内依法履行职责”,之后,《网络安全法》第8条第1款延续此规定,采用国家网信办为统筹协调机构和行业主管部门分头监管的复合式监管体系。因而,本案将主管装饰装修行业的住建部门及负有消费者权益保护职责的市场监管部门作为监督对象。
此外,行业协会在规范经营者行为、维护行业秩序中的作用亦不容忽视,行业协会与企业有着密切联系,其获取信息直接、便捷,监管方式灵活,是行政监管的重要补充。因此,检察机关主动延伸监督触角,创新监督方式,向室内装饰业协会发出工作提醒函,强化行业自律。
(二)结合行政职权针对性制发检察建议
案件办理过程中,检察机关聚焦信息传播链条,锁定关键环节,剖析违法原因,寻找管理漏洞,厘清行政职权,有的放矢制发检察建议,将精准监督理念落到实处。
房地产管理交易中心作为信息处理者,对于所收集到的个人信息负有安全保障义务和保密义务,其作为公法主体,相较于作为私法主体的经营者,理应对个人信息保护负有更高的注意义务。个人信息具有无体性、流动性、非消耗性,自然人作为个人信息主体难以对其个人信息进行事实上的管领和控制,信息处理者是信息的实际控制者同时也是风险的制造者,因而从源头上完善系统漏洞对于预防信息泄露具有根本意义。检察机关就此对房地产管理中心提出了加强信息安全管理,建章立制,堵塞漏洞的建议,督促其更新信息平台、规范日志操作、明确系统权限、完善导出功能,建立系统安全等级测评机制。房地产管理中心积极整改落实,切实担起了“守门人”責任,实现溯源治理。
房地产、装饰装修行业从业人员贩卖个人信息的行为侵害了消费者个人信息权益,对此,《消费者权益保护法》第56条赋予工商行政管理部门以行政处罚的权力,工商行政管理部门的职责并入市场监管部门后,该条的行政处罚权由市场监管部门行使,因此,检察机关向市场监管部门提出对经营者非法获取、买卖消费者个人信息的行为依法予以行政处罚的建议。住建部门作为房地产、装饰装修的行业主管部门,负有对本行业、本领域的个人信息保护情况进行监督管理的职责,虽然当时《个人信息保护法》尚未颁布实施,住建部门并无具体的行政处罚权,但是行政指导作为行政机关管理的重要手段,对于实现管理目标具有积极意义,因而,检察机关向住建部门提出了开展个人信息保护警示教育、引导辖区企业合规经营等建议,住建部门通过召开专项会议、宣讲个人信息保护知识、与建筑装饰企业签署服务告知书等方式对企业及其从业人员进行引导,积极营造保护公民个人信息的良好氛围。
(三)锚定公益修复目标客观评估整改效果
公益诉讼是客观之诉,其客体是公共利益,公共利益是否得到修复是检验公益诉讼办案效果的“试金石”,也是认定行政机关是否依法全面履职的关键考量因素,但公共利益具备抽象性和不可分性,这导致难以直接对其修复效果予以证明和评价。个人信息保护领域公益诉讼的保护对象是个人信息权益,濮阳市检察机关创造性地从首尾两端分别把握修复效果,一方面,在信息处理的源头,督促房产管理部门通过在系统中增设个人信息保护模块,规范日志操作、明确系统权限、完善导出功能,确保信息查询权责分明、全程留痕、动态预警,建立系统安全等级测评机制,从源头上控制信息泄露的风险;另一方面,充分发挥主观能动性,运用调查问卷、上门走访、电话访谈等方式对办案前后信息征集者是否遵循“告知-同意”规则、个人是否遭遇信息泄露事件、是否受到垃圾短信、骚扰电话、精准诈骗的滋扰等情况进行调研,通过把控抽样调查的随机性、样本覆盖的广泛性、问题设计的精准性有效保障评估的客观性、准确性、科学性,既达到了评估修复效果的目的,也提高了受害人、潜在受害人在公益诉讼中的参与度,建立起有效的沟通反馈模式。此外,检察机关还对人大代表、政协委员进行问卷调研、电话访谈,充分借助“外脑”评价个人信息保护领域公共利益的修复效果,科学认定行政机关是否依法全面履职,增强评估的中立性、客观性。
三、办案引发的思考
制发行政公益诉讼诉前检察建议是检察机关履行法律监督职能的重要手段,行政公益诉讼中诉前程序的案件数远超诉讼程序的案件数,因而,将诉前检察建议“做到刚性,做成刚性”成为公益诉讼检察工作的重中之重。2021年11月1日生效的《个人信息保护法》作为全面系统规定个人信息保护规则的单行立法,第70条明确授权检察机关在个人信息保护领域提起公益诉讼。笔者认为,检察机关应围绕以下几个方面提升个人信息保护行政公益诉讼诉前检察建议的质效。
(一)准确认定行政机关法定职责
从过往实践来看,我国个人信息保护领域的行政监管体系中权责交叉现象较为普遍,网信、工信、市场监管等相关领域的管理部门都有监管职能,这给行政公益诉讼中确定监督对象增加了难度。《个人信息保护法》第60条沿袭了《网络安全法》《数据安全法》的职权分配架构,仍采用国家网信办为统筹协调机构和行业主管部门分头监管的复合式监管体系,这既是对现状的延续,也是监管精准化的体现。[1]检察机关在办理个人信息保护领域行政公益诉讼案件时,应当依据法律、法规、规章的规定,结合“三定”方案准确认定行政机关的职责,确保监督对象的准确。需要特别注意的是,依据《个人信息保护法》第60条,国家网信部门在个人信息保护方面主要承担两方面职责,一是统筹协调有关部门开展个人信息保护工作;二是对个人信息处理行为负有直接的监督管理职责。对于前者,即国家网信部门仅承担统筹协调职责时,原则上不属于行政法意义上的可诉行政行为,不具有可诉性[2],因而,此时不宜将网信部门作为检察公益诉讼的监督对象。对于后者,比如,《个人信息保护法》第38条、第40条规定了网信部门的组织安全评估具体职责,网信部门怠于履职造成国家利益或社会公共利益受到侵害时,便可作为检察公益诉讼的监督对象。
(二)全面把握公益损害事实
国家利益或社会公共利益受到侵害是行政公益诉讼案件调查的重要事项,构成诉前检察建议书的主体内容,包括损害事实已经发生和具有侵害危险两类情形。当前,算法正深刻改变着人类社会,人们在享受红利的同时也承担了更多的个人信息受侵害风险。算法、数据挖掘等技术衍生出新型侵权样态,譬如本案的信息泄露以及“大数据杀熟”算法歧视等,这类侵权样态下的损害往往具有无形性和不确定性。在损害的判断上,传统判定方法遵循“差额说”,即个人信息侵权发生后,受害人的财产状况与假设未曾发生时相比有所减少而造成的损失。[3]但无论是民法典还是《个人信息保护法》,其条文规范中并未出现“个人信息权”的相关表述,立法并未将个人信息上升为绝对权,仅将其作为权益加以保护,因而个人信息侵权无法适用“权利被侵害即存在损害”规则,此时,如何判断损害的有无面临法律解释困境。我国民法典第998条在认定物质性人格权以外的人格权侵害责任时,降低对损害的确定性要求,摒弃了“全有全无”的传统评价方式,将行为人、受害人的职业、影响范围、行为目的、方式、后果等作为损害评价要素,这一规定也可以适用于个人信息侵权案件,该领域的损害呈现观念化、抽象化和风险化特征,损害或有发生之虞的风险本身即构成损害。因而,检察机关应当充分运用调查核实权固定证据,证明损害已经发生或者具备现实危险性。
(三)精准确定建议的具体内容
《人民检察院公益诉讼办案规则》第75条第3款规定,“《检察建议书》的建议内容应当与可能提起的行政公益诉讼请求相衔接”,即建议内容要涵盖此后可能提出的诉讼请求,这就要求检察机关在查明违法事实、行政机关的法定职权的基础上提出具备针对性、可操作性、可诉性的建议。一方面,提出的检察建议内容应当对应行政机关的法定职责,能够督促引导行政机关根据建议内容依法履职。另一方面,也应体现检察权的谦抑性,尤其在个人信息保护领域的技术复杂性现实之下,相应领域、行业的主管行政机关对其所负职责、执法程序等方面更具有专业性,检察机关应当尊重行政机关的首次判断权,做到补位而不越位。对于羁束行政行为,法律、法规明确规定了权限范围、幅度、行为方式、数量界限,因而,检察机关在建议内容中可以列明具体措施;但對于裁量性行政行为,检察机关不宜作过于详细的建议,宜给予行政机关依合理原则自由裁量的空间。
(四)健全检察建议落实效果评估机制
诉前检察建议不能一发了之,要落实公益修复效果评价程序,确保监督效果。在办理个人信息保护领域公益诉讼案件中,宜引入第三方专业机构技术测试与公共利益修复成效评价相结合的评估制度。对于信息系统平台或应用软件,宜委托专业机构详细检测系统是否违规收集、传输、使用公民个人信息及筛查相关风险漏洞,由个人信息处理者对照整改优化。对于公共利益修复成效评价,宜采取听证、调研等多元方式,形成检察机关牵头、社会监督与群众监督参与的成效评价机制。
*河南省濮阳市人民检察院第七检察部主任、一级检察官 [457000]
**河南省濮阳市人民检察院第七检察部检察官助理[457000]
[1] 参见蒋红珍:《〈个人信息保护法〉中的行政监管》,《中国法律评论》2021年第5期。
[2] 参见江必新、郭锋:《〈中华人民共和国个人信息保护法〉条文理解与适用》,人民法院出版社2021年版,第541页。
[3] 参见张建文、时诚:《个人信息的新型侵权形态及其救济》,《法学杂志》2021年第4期。