杨雅妮
摘要:为保障个人信息保护民事公益诉讼制度的正确实施,应当通过规范解读、实证考察、理论分析等多种手段,综合运用价值分析法、实证研究法等具体研究方法,对该类诉讼的案件范围进行研究。研究认为,《个人信息保护法》第70条虽然从被诉行为、适格被告、救济客体以及损害后果等方面对该类诉讼的案件范围进行了初步界定,但在规范、实践及理论三重视角下,个人信息保护民事公益诉讼案件范围仍呈现出对被诉行为的违法性要求过于严苛、对适格被告范围的理解与立法规定的诉讼类型不符、将“众多”个人利益简单等同于社会公共利益,以及尚未将侵害“众多”个人权益的“风险”纳入救济范围等诸多问题。在此背景下,要科学界定该类诉讼的案件范围,应当遵循法定性、必要性及合政策性标准,一是只有个人信息处理者的违法行为在实质上侵害社会公共利益时,才属于该类诉讼的案件范围;二是只有当受侵害利益无法通过共同诉讼、代表人诉讼等私益诉讼机制获得司法救济时,才有必要将其纳入该类诉讼的案件范围;三是应当充分发挥政策的引导作用,留意政策倾向的价值维度,以积极、稳妥的态度对待政策对社会公共利益的指引,避免对案件范围的盲目扩大或不当缩减。具体而言,一是应将被诉行为的范围拓展为“违反国家规定”的行为,即仅就被诉行为而言,只要是“违反国家规定”的行为,就属于该类诉讼的案件范围;二是《个人信息保护法》第70条规定的诉讼类型属于民事公益诉讼,行政机关不能成为该类诉讼的适格被告,以行政机关为被告的诉讼不属于该类诉讼的案件范围;三是不能仅因受侵害对象人数“众多”就将其纳入该类诉讼的案件范围,应将是否侵害“社会公共利益”作为判断救济范围的实质性标准;四是为提前规避“实害”的发生,应当构建预防性个人信息保护民事公益诉讼制度,将那些给社会公共利益带来现实威胁的、紧迫的、严重的、不及时制止可能产生难以弥补损害的“风险”纳入该类诉讼的救济范围。
关键词:个人信息保护;民事公益訴讼;行为违法性;“众多”;社会公共利益;损害
中图分类号:D925.1;D922.16
文献标志码:A
文章编号:1008-5831(2023)04-0216-14
自《中华人民共和国个人信息保护法》(简称《个人信息保护法》)第70条明确规定个人信息保护民事公益诉讼制度以来,该类诉讼就迅速成为保护“众多”个人信息权益的一把“利器”,不仅案件数量迅速增长,而且救济客体不断扩大。但仔细审视该条规定,其对案件范围的界定并不明确,给制度运行带来了障碍。近年来,学界虽然围绕个人信息保护民事公益诉讼进行了广泛研讨参见:李晓倩《个人信息保护民事公益诉讼的原告适格——以<个人信息保护法>第70条的解释论为中心》(《吉林大学社会科学学报》,2022年第5期20-29页);张建文《个人信息保护民事公益诉讼的规范解读与司法实践》(《郑州大学学报(哲学社会科学版)》,2022年第3期31-35页);张陈果《个人信息保护民事公益诉讼的程序逻辑与规范解释——兼论个人信息保护的“消费者化”》(《国家检察官学院学报》,2021年第6期72-84页)。,但专门针对案件范围的成果并不多见。迄今为止,对于被诉行为的违法性要件、适格被告范围、“众多”个人权益与社会公共利益的关系以及“损害”应否包含损害“风险”等影响案件范围界定的重要因素,学者之间仍存在不同认识,给如何科学界定该类诉讼的案件范围造成了困惑。
实务中,在消费者协会和检察机关的共同推动下,我国的个人信息保护民事公益诉讼取得了重大进展,保护对象也从最初的消费者扩大为普通公民。但遗憾的是,该类诉讼在我国虽已开展多年,但司法人员对于何种纠纷应属于该类诉讼的案件范围,仍见仁见智、做法不一,尤其是在对受侵害利益是否为社会公共利益进行判断时,意见分歧较大。例如,在“贵州省毕节市七星关区人民检察院诉成某某等侵犯公民个人信息刑事附带民事公益诉讼案”案号:(2020)黔0502刑初724号。中,对于成某某等非法买卖个人信息13 895条的行为是否侵害了社会公共利益,两级法院就存在不同认识。在一审中,贵州省毕节市七星关区人民法院(原贵州省毕节市人民法院)以“涉案行为侵犯的主体特定,不涉及公共利益”为由,驳回了检察机关提出的附带民事公益诉讼;而在二审中,贵州省毕节市(地区)中级人民法院却以被告人“向不特定社会公众召集兼职人员,并收集个人信息,上传给上家个人信息13 895条,获利人民币3 966.8元,损害社会公共利益”为由,认为“原审法院驳回公益诉讼起诉人毕节市七星关区人民检察院的诉讼请求的理由不能成立”,并判决撤销了(2020)黔0502刑初724号刑事附带民事判决主文第六项案号:(2021)黔05刑终265号。。
党的二十大报告明确指出,要“加强个人信息保护”,“完善公益诉讼制度”。在此背景下,为贯彻落实党的二十大精神,保障个人信息保护民事公益诉讼制度的正确实施,本文立足于社会公共利益的基本特征和现行立法规定,以典型案例和样本数据为实证考察对象,在规范、实践及理论三重视角下,遵循法定性、必要性与合政策性标准,从被诉行为的违法性要件、适格被告的范围、受侵害利益的判断以及损害后果等方面,对个人信息保护民事公益诉讼的案件范围进行了反思与重塑。
一、现行立法对个人信息保护民事公益诉讼案件范围的规定
现行立法对个人信息保护民事公益诉讼案件范围的规定主要体现在《中华人民共和国民事诉讼法》(简称《民事诉讼法》)第58条、《中华人民共和国消费者权益保护法》(简称《消费者权益保护法》)第47条以及《个人信息保护法》第70条。以上述规范为依据,一个案件若能被纳入个人信息保护民事公益诉讼的案件范围,应同时满足以下要件。
(一)被诉行为为“违反本法规定”的行为
被诉行为的范围对案件范围有着直接影响。根据《个人信息保护法》第70条的规定,只有针对“违反本法规定”的个人信息处理行为,相关主体才能提起个人信息保护民事公益诉讼。而从《个人信息保护法》的内容看,立法者已经从事前、事中、事后三个阶段对个人信息处理者的违法行为作了非常全面的规定,几乎囊括了所有可能侵害个人信息的行为类型。这意味着,个人信息处理者在收集、存储、使用、传输、公开、删除等任何一个环节所实施的侵害众多个人权益的行为,只要属于《个人信息保护法》所规定的违法行为,就可能被纳入个人信息保护民事公益诉讼的案件范围。
(二)适格被告为“个人信息处理者”
适格被告的范围是影响案件范围的又一重要因素。根据《个人信息保护法》第70条、第73条的规定,个人信息保护民事公益诉讼的适格被告是“个人信息处理者”,具体指在个人信息处理活动中自主决定处理目的、处理方式的组织或者个人。由于《个人信息保护法》尚未对个人信息处理者中的“组织”作出明确规定,实务中主要以《中华人民共和国民法典》第1039条、《个人信息保护法》第2章第3节和第6章的相关规定为依据,将此处的“组织”理解为法人和非法人组织两种类型。
在以上两类“组织”当中,以网络服务提供者为代表的营利法人以及以国家行政机关等为代表的特别法人在个人信息处理活动中往往表现出更高的专业性和更强的信息收集能力,这种技术和资源方面的特殊优势使其在对个人信息拥有超凡处理能力的同时,也极易成为“众多”个人信息权益的侵害者。
(三)救济客体为“众多”个人的信息权益
为表达该类诉讼在救济客体方面的公益属性,《个人信息保护法》第70条使用了“众多”一词对受侵害利益进行规范。就该条的文义来看,其对救济客体的要求仅“包含着量的衡量”[1]。虽然该条将“众多”一词规定为识别受侵害利益是否为社会公共利益的依据,但放眼我国现行规范,并未有相关立法或司法解释对该条中的“众多”进行过量化规定。在立法层面,《民事诉讼法》第58条和《消费者权益保护法》第47条仅在规范消费民事公益诉讼时曾使用过“众多”一词,但未对“众多”给出具体的量化标准。在司法解释层面,《最高人民法院关于适用<中华人民共和国民事诉讼法>的解释》虽然在第75条中对《民事诉讼法》第56条、第57条以及第206条中的“众多”进行过量化《最高人民法院关于适用<中华人民共和国民事诉讼法>的解释》第75条规定:“民事诉讼法第五十六条、第五十七条和第二百零六条规定的人数众多,一般指十人以上。”,但该规定与《个人信息保护法》第70条中的“众多”无关。
(四)损害后果为众多个人权益受到“侵害”
根据《个人信息保护法》第70条的规定,只有众多个人权益遭受“侵害”时,才属于该类诉讼的案件范围。由于我国目前尚未构建起独立的公益损害认定规则,理论界往往将对社会公共利益的侵害视为侵权行为的一种特殊表现,从传统侵权责任理论中寻找解释依据。基于此,对于《个人信息保护法》第70条所规定的“侵害”,可结合《个人信息保护法》第69条第1款规定的侵权行为构成要件进行理解。根据该款规定,个人信息处理者要承担侵权责任,应以其行为给个人信息权益造成“损害”为前提条件。虽然该款规定的是个人信息侵权行为构成要件中的结果要件,但在我国公益诉讼规则不健全的现实背景下,个人信息保护民事公益诉讼的提起往往以“众多”个人信息受到“损害”为前提。根据传统侵权责任理论,损害必须是真实的、实际发生的,即“实害”,也就是说,只有违法行为给“众多”个人权益造成“实害”时,才属于该类诉讼的案件范围。
二、对个人信息保护民事公益诉讼案件范围的实证考察
本部分主要以最高人民检察院和杭州互联网法院发布的典型案例以及笔者在“威科先行·法律信息库”检索到的样本数据为分析对象,对个人信息保护民事公益诉讼的案件范围进行实证考察。
(一)基于典型案例的案件范围考察
1.最高人民检察院发布的典型案例
2021年4月22日与2023年3月30日,最高人民检察院分两次发布了检察机关办理的个人信息保护公益诉讼典型案例。其中,2021年4月22日发布的11件案例中有5件为民事公益诉讼案件(含刑事附带民事公益诉讼,下同),2023年3月30日发布的8件案例中有4件为民事公益诉讼案件(如表1所示)。
2.杭州互联网法院发布的典型案例
2022年8月22日,杭州互联网法院在成立5周年之际发布了10大个人信息保护典型案例,其中4件为民事公益诉讼案件。除去1件与最高人民檢察院发布的典型案例——(2020)浙0192民初4252号案件重复的外,共有3件民事公益诉讼案件(如表2所示)。
从上述案例所呈现的案件范围看,一是被诉行为的表现形式非常广泛,涵盖了违法收集、获取、利用、出售、购买、交换个人信息等多种行为类型,既包括互联网企业违法违规收集和非法获取个人信息并进行消费欺诈的行为,也包括网络运营者、物业服务者通过技术软件、物业服务等手段非法获取个人信息并进行非法交易的行为。二是适格被告均属于有权决定处理目的、处理方式的个人信息处理者,既包括互联网企业,也包括个人,还有以组织与个人为共同被告的,但尚未发现以国家机关(尤其是行政机关)为被告的案件。三是受侵害对象往往人数“众多”,受侵害个人信息数量庞大,有的甚至达到千万条,案件影响范围相对较大。四是司法人员在对受侵害利益是否属于社会公共利益进行判断时,标准并不一致。有的仅以受侵害对象数量“众多”就将其作为民事公益诉讼案件处理,如“广东省广宁县人民检察院诉谭某某等人侵犯公民个人信息刑事附带民事公益诉讼案”;有的既要求受侵害利益为“众多”个人的权益、又要求受侵害利益主体具有不特定性参见:(2020)浙0192民初10605号;(2020)浙0192民初10993号;(2021)浙0192民初9214号判决书。;还有的抛开对“众多”一词的数量要求,只以受侵害利益属于不特定主体为由,就认定被告侵害了社会公共利益,如“贵州省安顺市西秀区人民检察院诉熊某某等人侵犯公民个人信息刑事附带民事公益诉讼案”。
(二)基于样本数据的案件范围考察
为全面了解司法实务,笔者在“威科先行·法律信息库”以“个人信息”“民事公益诉讼”为关键词,将审级限定为一审程序,将文书类型限定为判决书、裁定书、调解书进行了检索。截至2022年9月30日,共检索到裁判文书288份,去除重复案例和不相关案例之后,共得到有效样本193份。本部分主要以样本数据为基础,从被诉行为的违法性、适格被告范围、受侵害利益的判断以及损害后果等方面对该类诉讼的案件范围进行分析,以求客观呈现司法现状。
1.被诉行为不限于“违反本法规定”的行为
在193份裁判文书中,僅有17份载明了被诉行为的违法性要件,且表述并不完全一致。其中,表述为“违反国家规定”案号:(2022)皖1324刑初180号;(2021)苏0804刑初476号;(2021)湘0602刑初285号;(2021)湘0602刑初309号;(2021)沪0109刑初278号;(2020)鲁1702刑初590号;(2021)闽0125刑初19号;(2020)湘0603刑初126号;(2020)皖1024刑初100号。的9份,表述为“违反法律规定”案号:(2022)冀0929民初1770号;(2022)赣1102刑初93号;(2021)川03民初102号;(2021)渝01民初308号;(2020)粤0303刑初452号。的5份,表述为“违反国家侵权法规定”案号:(2020)沪0109刑初912号。“违反国家民事法律规定”案号:(2021)沪0109刑初261号。“违反《中华人民共和国民法总则》第111条、《中华人民共和国网络安全法》第44条、《中华人民共和国侵权责任法》第2条、20条之规定”案号:(2020)鄂2801刑初331号。的各1份。可以看出,司法人员对被诉行为违法性要件的理解存在差异。之所以如此,应与《个人信息保护法》实施之前我国立法尚未对该类诉讼被诉行为的违法性要件作出明确规定有一定关系,但在《个人信息保护法》实施后,司法人员对被诉行为违法性的理解也未完全统一,个别裁判文书继续使用了“违反国家规定”案号:(2022)皖1324刑初180号;(2021)苏0804刑初476号。的表述。
“违反本法规定”与“违反国家规定”并不相同,二者的内涵和外延均存在明显差异。“国家规定”是指“那些效力辐射范围为全国的法律规范”[2],既包括全国人民代表大会及其常务委员会制定的法律和决定,也包括国务院制定的行政法规、规定的行政措施、发布的决定和命令。显然,“国家规定”的范围要大于“法律规定”的范围,相应地,“违反国家规定”的行为也广于“违反本法规定”的行为。《个人信息保护法》实施之后,在该法第70条明确将被诉行为的违法性规定为“违反本法规定”的前提下,司法人员仍将被诉行为理解为“违反国家规定”的行为,与《个人信息保护法》第70条规定的违法性要件存在冲突。
2.适格被告以“个人”为主,包含少量“组织”
在193份裁判文书中,适格被告均限于个人信息处理者的范围,其中,以“个人”为被告的有188份,以“组织”为被告的有4份,以“个人”和“组织”为共同被告的有1份(如图1所示)。
需要注意的是,在全部样本数据中,并未发现以国家机关为被告的案件,这也说明,虽然国家机关(尤其是行政机关)已经广泛参与到个人信息处理活动中,成为了名副其实的个人信息处理者,但由于其在个人信息处理活动中主要行使的是行政职权,起诉主体一般不会以其为被告提起民事公益诉讼。
3.司法人员对受侵害利益的理解存在分歧
实务中多由司法人员对个案中的受侵害利益是否为社会公共利益进行具体判断,在缺乏明确法律依据的情况下,司法人员对受侵害利益的理解并不一致,分歧主要在于“众多”个人利益应否同时满足构成社会公共利益的实质性要件。在193份样本数据中,有141份明确强调了受侵害利益为社会公共利益;剩余52份未对受侵害利益应否为社会公共利益作出明确表述(如图2所示)。
进一步分析发现,多数司法人员在对受侵害利益进行判断时,往往既关注受侵害对象的“量”,又强调受侵害利益主体的“不特定性”或违法行为在实质上侵害了社会公共利益。例如,在“迭某侵犯公民个人信息刑事附带民事公益诉讼案”案号:(2020)苏0411刑初521号。中,江苏省常州市新北区人民法院就既强调受侵害对象的“量”,即被告人买卖7 000余条个人信息的行为侵害了“众多”个人权益,又强调违法行为对社会公共利益的损害,即该行为“有损公共利益”。但也有法院仅以受侵害对象人数“众多”为由认定被告行为侵害了社会公共利益,而未关注“众多”个人是否为不特定主体,如“福州市仓山区人民检察院诉陈某、张某某、任某某侵犯公民个人信息案”案号:(2020)闽0104刑初273号。。
4.损害后果以“实害”为主要表现形式
在193份裁判文书中,去除7份没有明确表明损害后果为“实害”抑或“危险”的外,在剩余186份裁判文书中,以“实害”为救济对象的有180份,以“危险”为救济对象的有6份。可见,在该类诉讼中,行为人对众多个人信息的“侵害”主要表现为“实害”(如图3所示)。
值得注意的是,虽然样本数据中绝大多数都要求损害后果为“实害”,但实践中已经出现了将“严重威胁”等损害“风险”纳入救济范围的案例。例如,在“兰州新区人民检察院诉周某某网络侵权责任纠纷案”案号:(2021)甘0191民初3353号。中,公益诉讼起诉人兰州新区检察院认为,“周某某的行为……对不特定社会公众的信息安全、财产安全等合法权益产生‘严重威胁,‘危害社会公共利益”;兰州新区法院也认为,“周某某的行为对不特定多数互联网使用者的信息安全、财产安全‘造成危害和严重威胁……侵害了社会公共利益”。
三、个人信息保护民事公益诉讼案件范围之理论反思
基于前文的规范分析与实证考察,本部分主要从行为违法性要件、适格被告范围、救济客体以及损害后果等层面,对影响个人信息保护民事公益诉讼案件范围的主要因素进行理论反思。
(一)将被诉行为限于“违反本法规定”的行为不利于实现诉讼目的
前已述及,《个人信息保护法》第70条将被诉行为规定为“违反本法规定”的行为,该规定虽然有利于明确被诉违法行为的范围、类型和具体表现形式,但其具有成文法的不周延性,与社会公共利益的开放性、动态性、发展性特征不符,不利于实现维护社会公共利益的诉讼目的。
一方面,该规定难以涵盖那些尚未被《个人信息保护法》所规范,但未来有可能出现的侵害“众多”個人信息权益行为。这是因为,与所有的成文法一样,《个人信息保护法》是立法者“根据‘过去的资料,为‘未来的行为制定的行为规范”[3],我们既无法保证被《个人信息保护法》所规制的违法行为在立法当时已经穷尽,也无法保证其在此后再无任何变化。这意味着,即使立法者在制定《个人信息保护法》时已经竭尽全力、集思广益,其对个人信息处理者违法行为的规定也难以完全应对未来社会的发展趋势,基于此,如果将被诉行为严格限定为“违反本法规定”的行为,显然难以将那些尚未被立法所规制的违法行为纳入该类诉讼的救济范围。
另一方面,该规定与社会公共利益的开放性、动态性、发展性特征不符。众所周知,社会公共利益是一个“罗生门”式的概念,尽管不同领域的研究者都试图对其进行界定,但至今仍未形成一个公认的可操作性定义[4]。从已有的研究看,虽然学界难以对社会公共利益进行准确界定,但其概念的宽泛性、层次的复杂性以及内容的抽象性、不确定性、开放性、动态性等基本特征,已经得到了多数学者的认同。在这种背景下,如果将被诉行为严格限定为“违反本法规定”的行为,也与社会公共利益的开放性、动态性、发展性特征不符,难以将新出现的侵害“众多”个人信息权益行为纳入救济范围,不利于实现维护社会公共利益的诉讼目的。
(二)将行政机关纳入适格被告范围不符合立法规定的诉讼类型
虽然在上述典型案例和样本数据中,均未出现过以行政机关为被告的案件,但互联网的虚拟性使个人信息可能面临国家公权力的“不当干涉”[5]。但是,行政机关在个人信息处理活动中主要行使的是行政管理职权,受侵害主体可以以“行政机关”“国家网信部门”等为被告提起行政诉讼,人民检察院也可以提起行政公益诉讼,不能将其纳入民事公益诉讼的救济范围。
更重要的是,从《个人信息保护法》第70条的内容来看,其是以《民事诉讼法》第58条为依据的,因此应将该条所规定的诉讼定性为民事公益诉讼。作为民事公益诉讼的一种特殊类型,该诉讼的适格原告是多元的,既包括人民检察院,也包括法律规定的消费者组织以及由国家网信部门确定的组织;适格被告则“仅限于相关组织和个人,国家行政机关不宜成为个人信息保护公益诉讼的适格被告”[6]。如果将行政机关强行纳入该类诉讼的适格被告范围,显然与《个人信息保护法》第70条规定的诉讼类型不符。
(三)将“众多”个人权益作为救济客体不符合民事公益诉讼的本质
《个人信息保护法》第70条将“众多”个人权益规定为该类诉讼的救济客体,并“没有明确要求侵害众多个人的权益的损害性要件达到损害社会公共利益的程度”[7]。在学界,学者们对于“众多”个人权益是否必然等同于社会公共利益,一直存在争议。一种观点认为,在数字技术背景下,个人信息处理者所拥有的跨越时空的信息处理能力“足以覆盖不特定对象;即使并未实际控制全部信息,技术运用本身也已经对不特定对象形成威胁”[8],因此,只要受侵害利益为“众多”个人的信息权益,就属于社会公共利益,无需再强调不特定性。另一种观点则认为,“众多”个人权益未必一定属于社会公共利益,只有“当‘众多个人指不特定的多数人时,‘侵害众多个人的权益的违法行为才会损害社会公共利益”[9]。
笔者认为,社会公共利益是某一特定时空范围内不特定多数人的利益,单纯以受侵害对象是否人数“众多”作为判断标准,进而以此为据决定该案件属于私益诉讼还是公益诉讼,与民事公益诉讼的救济客体不符。在判断一个具体案件是否属于个人信息保护民事公益诉讼案件时,应结合个人信息保护的具体语境,以被告行为是否真正侵害社会公共利益作为实质性判断标准。《个人信息保护法》第70条规定的“众多”是判断一项利益是否为社会公共利益的形式要件,如果仅以受侵害利益为“众多”个人权益为由认定其为社会公共利益,可能将一些不属于社会公共利益的“众多”个人权益侵害纳入救济范围,既不当扩大了公益司法救济的范围,又背离了民事公益诉讼的本质。
(四)将损害限于“实害”不利于发挥公益诉讼的预防功能
互联网时代和大数据时代的到来使得一些具有无形化、不确定性及量化困难等特点的新型损害开始出现,这既给损害要件的缓和提出了要求,同时也使人们开始重新思考“损害”一词的内涵和外延。从已有的研究看,分歧主要集中在应否将“风险”纳入“损害”的范围,对此,形成了“否定说”“肯定说”和“折中说”三种观点。“否定说”以损害必须具有“确定性”为由,认为只有在个人信息被非法利用导致现实的人身、财产侵害时,赔偿责任才会发生[10],而个人信息被泄露只会带来损害发生的“风险”,这种风险本身不具有“确定性”,不能被作为侵权法上的损害纳入救济范围。“肯定说”立足于数字与风险时代的特定社会背景,认为可通过对损害“确定性”的开放性解释,来调和其与风险性损害之间的矛盾,从而将满足一定条件的风险认定为侵权法上的损害[11]。“折中说”虽然在根本上反对将风险本身视为一种损害,但同时认为个人信息泄露造成的风险不仅会带来现实的财产减损,而且在某些情况下会造成严重的精神损害,对于这些不利益,应将其纳入损害范畴并给予相应的救济[12]。
目前,随着学界对“损害”一词的研究不断深入,将“风险”纳入侵权法的损害范围已成为主流认识。在这种背景下,如果仍将损害限定于“实害”,明显不利于发挥公益诉讼的预防功能,这在我国其他领域民事公益诉讼中已经得到了证实。近年来,为有效预防“实害”的发生,在环境、食品安全等民事公益诉讼中,司法人员已经承认了“风险即损害”参见:《最高人民法院关于审理环境民事公益诉讼案件适用法律若干问题的解释》第8条以及2021年3月30日《最高人民检察院 最高人民法院 农业农村部等关于印发〈探索建立食品安全民事公益诉讼惩罚性赔偿制度座谈会会议纪要〉的通知》。的观点,将“风险”纳入“损害”范围予以救济。与其他领域的民事公益诉讼相比,个人信息保护领域显得更为特殊,个人信息处理者的违法行为往往会带来下游犯罪剧增、社会分选与歧视、消费操纵和关系控制等风险,对此,若法律非要坐等风险转化为“实害”才给予救济,可能会给社会公共利益造成无法弥补的损害。
四、个人信息保护民事公益诉讼案件范围之重塑
个人信息保护民事公益诉讼以维护社会公共利益为目的,在对其案件范围进行界定时,应当遵循法定性、必要性、合政策性等不同于私益诉讼案件范围界定的标准。一是法定性标准。该标准要求在界定该类诉讼的案件范围时,应以我国现行立法为依据,遵循《民事诉讼法》第58条、《个人信息保护法》第70条等的规定。依据此标准,既然《民事诉讼法》第58条将“社会公共利益”明确规定为民事公益诉讼的救济客体,就意味着只有个人信息处理者的违法行为在实质上侵害社会公共利益时,才能将其纳入该类诉讼的案件范围。二是必要性标准。该标准要求在界定该类诉讼的案件范围时,应以穷尽其他救济手段但仍无法有效维护社会公共利益为必要条件。当前,我国在个人信息民事司法保护领域已经构建了公私益诉讼“并行”的救济模式,依据必要性标准,只有当受侵害利益无法通过共同诉讼、代表人诉讼等私益诉讼机制获得司法救济时,才有必要将其纳入公益诉讼的案件范围。三是合政策性标准。案件范围的界定本身就是一个政策性很强的问题,合政策性标准要求在界定该类诉讼的案件范围时,应充分发挥政策的引导作用,留意政策倾向的价值维度,以积极、稳妥的态度对待政策对社会公共利益的指引,避免盲目扩大或不当缩减案件范围。遵循以上标准,本部分将从行为违法性要件、适格被告范围、救济客体以及损害范围等方面对该类诉讼的案件范围进行重塑。
(一)将被诉行为的范围拓展为“违反国家规定”的行为
社会公共利益是特定具体时空的产物[13],它不是静止不变的,而是在不断发展变化,在不同的时空条件下,社会公共利益的内涵和外延也会有所不同。基于此,为实现维护社会公共利益的诉讼目的,有效克服成文法的固有缺陷,同时体现社会公共利益的特殊性,应将该类诉讼对行为违法性要件的要求从当前的“违反本法规定”拓展为“违反国家规定”。
一方面,将被诉行为拓展为“违反国家规定”的行为,能够有效克服成文法的不周延性与滞后性,及时应对经济社会条件变化对案件范围的新要求。前已述及,“国家规定”既包括法律,也包括全国人大及其常委会发布的决定以及国务院制定的行政法规、规定的行政措施、发布的决定和命令等。通常情况下,与“法律”的制定和修改程序相比,不论是全国人大及其常委会发布其他非修法类决定,还是国务院制定行政法规、规定行政措施、发布决定和命令,其程序都要更为灵活和简便,这使其能够及时将一些新出现的、尚未被法律所规定的侵害个人信息行为纳入救济范围。
另一方面,将被诉行为拓展为“违反国家规定”的行为,更符合社会公共利益的特殊性。个人信息保护民事公益诉讼以社会公共利益为救济客体,而社会公共利益又“是一个开放的、发展的概念,具有不可穷尽性”[14],其不仅表现形式非常广泛,而且始终处于不断发展变化中。这就要求该类诉讼的案件范围应始终处于一个开放的系统,并随着经济、社会和科学技术的发展变化不断进行调整,但立法的不周延性意味着通过“列举等立法技术难以对其进行无瑕疵的设计”[15],难以将未来新出现的违法行为纳入立法规制范围。基于此,将被诉行为拓展为“违反国家规定”的行为,既充分尊重了该类诉讼在救济客体方面的特殊性,也更符合社会公共利益的开放性、动态性、发展性特征,有利于实现诉讼目的。
综上,立法者在规定该类诉讼的案件范围时,应充分尊重社会公共利益的基本特征,不应将被诉行为严格限定为“违反本法规定”的行为,而应采取“违反国家规定”这种相对灵活的表述,为案件范围的调整预留可操作空间。
(二)将以行政机关为被告的诉讼排除在案件范围之外
前已述及,个人信息保护民事公益诉讼的适格被告是实施了个人信息侵权行为的“个人信息处理者”,具体包括自然人、法人和非法人组织。行政机关虽然属于我国《个人信息保护法》规定的“个人信息处理者”,但其在个人信息处理活动中实施的行为通常属于履行行政职责的行为,具有明显的行政职权属性。对于此类行为,应当纳入行政司法救济的范围。而《个人信息保护法》第70条规定的诉讼类型属于民事公益诉讼,其适格被告不包括行政机关,应当将以行政机关为被告的诉讼排除在该类诉讼的案件范围之外。
需要注意的是,虽然实务中已经出现了不少以行政机关为被告的个人信息保护公益诉讼案件,但这些案件在性质上属于行政公益诉讼,其所针对的是行政机关在履行行政职责过程中的“不作为”或者违法行使职权行为。在现行法律框架内,有权提出这类诉讼的唯一主体是人民检察院,其法律依据是《中华人民共和国行政诉讼法》第25条第4款,而不是《个人信息保护法》第70条。
(三)将“社会公共利益”作为判断救济客体的实质性标准
社会公共利益的特点之一在于其享有主体的广泛性、不确定性与非排他性,人数“众多”只是判断受侵害利益是否为社会公共利益的形式标准,不能仅以受侵害对象人数“众多”为由将其纳入该类诉讼的救济范围。最终,一个案件能否被纳入该类诉讼的案件范围,取决于“众多”个人是否为不特定的多数人或者全体社会公众,即受侵害利益是否在实质上属于社会公共利益。
针对有学者提出的由最高院发布司法解释或者由国家网信部门出台文件对“众多”一词作出具体规定的观点[16],笔者认为,对“众多”一词进行量化,既與社会公共利益的基本特征不符,也不具有现实必要性,还缺乏域外经验的支持。一方面,由社会公共利益的模糊性、抽象化及不确定性所决定,实践中侵害“众多”个人信息的行为往往不仅涉及多种信息类型,而且受侵害个人信息的数量多寡不一、差别较大。在这种情况下,要求相关机构对“众多”一词予以量化,既不符合社会公共利益的基本特征,也存在操作层面的困难。另一方面,现阶段由司法人员以人数是否“众多”作为形式标准对案件范围进行初筛,继而以是否在实质上侵害社会公共利益对案件范围进行把握的做法,基本能够准确界定该类诉讼的案件范围,要求相关机构发布司法解释或出台文件对“众多”一词进行量化,也不具有现实必要性。从比较法上看,虽然有少数国家试图对“众多”一词进行量化,但由于该做法忽略了社会公共利益的基本特征,在实施过程中遇到了重重困难;多数国家仍采用抽象方式对“众多”受害人进行界定,认为“众多”是指不特定的受害者。
综上,受侵害对象人数“众多”并不等同于受侵害利益为社会公共利益,在判断一项受侵害利益是否属于该类诉讼的救济客体时,不宜仅以受侵害对象的数量为依据,而应遵循社会公共利益的实质性标准。具体而言,当“众多”受侵害对象为不特定主体或者全体社会公众时,受侵害利益符合社会公共利益的共享性属性,应将其纳入个人信息保护民事公益诉讼案件范围;当“众多”受侵害对象为特定主体时,受侵害利益不符合社会公共利益的基本特征,应将其排除在该类诉讼的案件范围之外。除以上外,在认定受侵害利益是否为社会公共利益时,还“须平衡效率与安全、技术发展与利益保护之间的关系”[17],“在信息保护与数据共享之间实现平衡”[18],若对不特定多数人利益的保护严重阻碍了科技发展,则应谨慎将其认定为社会公共利益。
(四)将侵害“众多”个人权益的“风险”纳入救济范围
为充分发挥公益诉讼的预防功能,应“将风险预防作为该项制度的主要功能”[19],通过诉讼督促“个人信息处理者”提前规避“实害”发生,在个人信息保护领域建構预防性个人信息保护民事公益诉讼制度,将侵害“众多”个人信息权益的风险纳入该类诉讼的救济范围。但是,将“风险”纳入救济范围并不意味着任何风险都可以通过该类诉讼获得救济,“风险”仅意味着损害发生的潜在可能性,而这种可能性有大有小,因此,需要重点讨论的是,究竟何种程度的“风险”应当通过提起公益诉讼进行预防?对此,学者们通常根据导致社会公共利益受损的盖然性大小,将其划分为“危险”“危险”的盖然性最高,社会一般人通过直观经验即可感受到权益受到侵害的威胁。“风险”“风险”的盖然性相对较低,但仍在客观上对受害人带来威胁,仍有救济的必要。和“剩余风险”“剩余风险”是指侵害几乎不可能发生的状态,可直接将其予以排除。三个等级,在这些不同程度的盖然性中,“‘危险和风险因其具有较高盖然性应作为预防性公益诉讼的‘重大风险范畴”[20]。以此为据,司法人员在对何种程度的“风险”应当纳入救济范围进行判断时,应结合“众多”个人信息受侵害后的影响范围,损害结果发生的盖然性大小,个人信息处理者违法处理信息的目的、方式等因素,对被诉违法行为给社会公共利益造成损害的盖然性进行综合研判,将那些可能给社会公共利益带来现实威胁的、紧迫的、严重的、不及时制止可能产生难以弥补的损害的“危险”与“风险”纳入救济范围。
五、结语
我国的个人信息保护民事公益诉讼经历了从无到有,从仅限于消费者个人信息保护到全方位保护自然人个人信息的过程。现阶段,立法已经从被诉行为、适格被告、受侵害利益以及损害后果等方面对影响个人信息保护民事公益诉讼案件范围界定的因素进行了初步规范。但从理论上审视,个人信息保护民事公益诉讼案件范围的界定仍存在诸多问题,需要从行为违法性要件、适格被告范围、受侵害利益的判断以及损害后果等方面对其进行全面反思。除此之外,还应通过建立个人信息保护集体诉讼制度,激活私益诉讼机制在“众多”个人信息保护方面的功能。
参考文献:
[1]薛天涵.个人信息保护公益诉讼制度的法理展开[J].法律适用,2021(8):155-164.
[2]蒋昊.“违反国家有关规定”定性之刍议:以侵犯公民个人信息罪为例[J].东南大学学报(哲学社会科学版),2021(S1):50-54.
[3]董玉庭,董进宇.成文法的局限及其法律价值选择[J].北方论丛,2007(6):139-144.
[4]迈克·费恩塔克.规制中的公共利益[M].戴昕,译.北京:中国人民大学出版社,2014:1.
[5]刘利平.个人信息侵权法保护的价值与理据新论:基于大数据悖论的分析视角[J].重庆大学学报(社会科学版),2022(5):221-234.
[6]张新宝,赖成宇.个人信息保护公益诉讼制度的理解与适用[J].国家检察官学院学报,2021(5):55-74.
[7]张建文.个人信息保护民事公益诉讼的规范解读与司法实践[J].郑州大学学报(哲学社会科学版),2022(3):31-35.
[8]陈奇伟,聂琳峰.个人信息公益诉讼:生成机理、适用困境与路径优化:基于203份裁判文书的实证分析[J].南昌大学学报(人文社会科学版),2022(3):54-63.
[9]张睿,舒瑶芝.个人信息保护公益诉讼条款的语义分析[J].浙江海洋大学学报(人文科学版),2022(3):43-49.
[10]程啸.论大数据时代的个人数据权利[J].中国社会科学,2018(3):102-122,207-208.
[11]田野.风险作为损害:大数据时代侵权“损害”概念的革新[J].政治与法律,2021(10):25-39.
[12]谢鸿飞.个人信息泄露侵权责任构成中的“损害”:兼论风险社会中损害的观念化[J].国家检察官学院学报,2021(5):21-37.
[13]钱弘道,吴亮.论行政征收的公共利益判断[J].法律科学(西北政法学院学报),2007(6):46-53.
[14]王利明.界定公共利益:物权法不能承受之重[N].法制日报,2006-10-21(3).
[15]陈新民.德国公法学基础理论[M].济南:山东人民出版社,2001:182.
[16]高志宏.个人信息保护的公共利益考量:以应对突发公共卫生事件为视角[J].东方法学,2022(3):17-32.
[17]王毓莹.人脸识别中个人信息保护的思考[J].法律适用,2023(2):15-24.
[18]尹彦品.疫情防控常态化中个人信息保护与公共利益的冲突和平衡[J].河北法学,2023(3):121-134.
[19]许身健,张涛.个人信息保护检察公益诉讼的法理基础与制度完善[J].法学论坛,2023(1):95-110.
[20]秦天宝,陆阳.从损害预防到风险应对:预防性环境公益诉讼的适用基准和发展方向[J].法律适用,2022(3):121-126.
Research on the scope of civil public interest litigation
on personal information protection
YANG Yani
(Law School, Lanzhou University, Lanzhou 730000, P. R. China)
Abstract: In order to guarantee the correct implementation of the civil public interest litigation system for personal information protection, the scope of such litigation cases should be studied through various means such as normative interpretation, empirical investigation and theoretical analysis, and by using a combination of specific research methods such as the value analysis method and the empirical research method. The study concluded that although Article 70 of the Personal Information Protection Law has initially defined the scope of such lawsuits in terms of the act to be sued, the eligible defendants, the object of relief and the consequences of damage, the scope of civil public interest litigation for personal information protection still presents many problems from the perspective of regulation, practice and theory, such as the requirement of the illegality of the act to be sued is too harsh, the understanding of the scope of the eligible defendants is not consistent with the type of lawsuits stipulated in the legislation, the simple equation of “numerous” personal interests with social public interests, and the “risk” of infringing “numerous” personal rights and interests has not been included in the scope of relief. In this context, to scientifically define the scope of such litigation cases, it is necessary to follow the standards of legality, necessity, and policy conformity. First, only when the illegal behavior of personal information processors substantially infringes on the social public interest does it belong to the scope of this type of litigation. Second, only when the harmed interests cannot be remedied through private litigation mechanisms such as joint litigation and representative litigation is it necessary to include them in the scope of this type of litigation. Third, the guiding role of policies should be fully utilized, and the value dimension of policy orientation should be taken into account. A positive and prudent attitude should be adopted towards policy guidance on social public interests to avoid blindly expanding or improperly reducing the scope of cases. Specifically,First, the scope of the behavior being sued should be expanded to include “violations of national regulations,” that is, as long as the behavior being sued violates national regulations, it belongs to the scope of this type of litigation. Second, the litigation type stipulated in Article 70 of the Personal Information Protection Law belongs to civil public interest litigation, and administrative agencies cannot be eligible defendants for this type of litigation, so the lawsuit in which the administrative organ is the defendant should be excluded from the scope of this type of lawsuit. Third, it should not be included in the scope of this type of litigation simply because the number of affected individuals is “numerous”, and whether it infringes on “social public interests” should be regarded as the substantive standard for determining the relief scope of this type of litigation. Fourth, to proactively avoid the occurrence of “actual harm,” a preventive civil public interest litigation system for personal information protection should be established. And the “risks” that pose a real threat to the public interest, are urgent and serious, and may cause irreparable damage if not stopped in time, should be included in the scope of the remedy of this type of litigation.
Key words:personal information protection; civil public interest litigation; the conduct with illegality; “multitudinous”; public interest; damage
(責任编辑 胡志平)