个人信息保护领域检察民事公益诉讼制度研究

吴兴亥

(江苏省宜兴市人民检察院 江苏无锡 214200)

2020年9月,最高人民检察院印发《关于积极稳妥拓展公益诉讼案件范围的指导意见》,明确将“个人信息保护”作为网络侵害领域的办案重点[1].2021年8月,十三届全国人大常委会第三十次会议表决通过《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》),该法第70条明确将个人信息保护纳入检察公益诉讼的法定领域[2].为了推进个人信息保护领域公益诉讼检察工作,最高人民检察院发布《关于贯彻执行〈中华人民共和国个人信息保护法〉推进个人信息保护公益诉讼检察工作的通知》(以下简称《贯彻执行通知》),规范相关公益诉讼案件办理[3].2022年10月,中共二十大报告提出“加强个人信息保护”,并强调“完善公益诉讼制度”.在此背景下,对个人信息保护检察公益诉讼制度进行深入研究具有重要的理论及现实意义.

个人信息保护检察民事公益诉讼是个人信息保护公益诉讼法治体系的重要组成部分,但在司法实践中存在诸多问题,本文以2起侵犯公民个人信息案件为切入点,分析办理案件过程中的难点,并提出完善路径.

1 个人信息保护领域检察民事公益诉讼实务样态

1.1 现有制度规范及其分析

2021年8月20日颁布的《个人信息保护法》第70条正式明确了个人信息保护公益诉讼制度,但仅作出原则性规定,对实体性内容的规定比较粗疏,大体分为违法处理个人信息行为以及侵害众多个人权益的损害后果2类.

1) 违法处理个人信息行为.

根据《个人信息保护法》第70条的规定,“违反本法规定处理个人信息”是提起个人信息保护刑事附带民事公益诉讼的行为要件.《个人信息保护法》构建了以“告知-知情-同意”为核心的个人信息处理规则,并且对具体违法处理个人信息的行为进行了列举,涵盖了收集、存储、使用、加工、传输、提供、公开等个人信息处理全流程.第6条规定:不得过度收集个人信息;第13条、第14条、第27条规定:处理个人信息应获得个人同意;第24条明确“大数据杀熟”“算法推荐”等为不当个人信息自动化决策方式;第23条、第25条规定:个人信息处理者向他人分享个人信息的,应当取得个人的单独同意;第28～32条对违法处理敏感个人信息作出规定等.个人信息处理者存在《个人信息保护法》所列举的违法处理个人信息行为,就符合提起个人信息保护刑事附带民事公益诉讼的行为要件.

2) 侵害众多个人权益的损害后果.

侵害众多个人的权益是提起个人信息保护民事公益诉讼的损害要件.“众多个人权益”绝非多个信息权利人利益的简单集合,而是个人信息公共利益.公共利益本身是一个非常抽象的名词,现有法律中也没有对其给出明确的定义和内涵,属于不确定法律概念[4].个人信息在传统观念中是典型的个人私益,正是随着大数据时代的到来个人信息才有了公益属性[5].本文认为,侵犯公民个人信息的行为导致公民个人信息处于危险状态,轻则致使相关公民收到广告、推销等信息骚扰,重则会使相关公民的人身和财产利益受到损害.个人信息保护领域的公共利益应当是使社会公众免于因个人信息被侵害而导致物质或精神损失的抽象利益.《贯彻执行通知》(对个人信息保护领域的公共利益进行了一定程度的罗列)规定对敏感信息、涉及特殊群体、重点领域、特定对象的信息以及100万人大规模信息进行重点保护.

1.2 案件办理现状

以2起侵犯公民个人信息刑事附带民事公益诉讼案件为例,分析目前该类案件的现状.

案例1:谢某等人侵犯公民个人信息案.

2021年6月,谢某等人利用工作便利,盗用民警的数字证书登录公安交通管理应用平台,查询包含车辆基本信息、车辆所有人信息、抵押情况的车辆档案信息,用手机拍照的形式将查询到的车辆信息出售.检察机关依法提起刑事附带民事公益诉讼,诉请法院判令侵权人永久删除其非法获取的公民个人信息,并在国家级媒体上就其侵犯公民个人信息的行为赔礼道歉,得到法院判决支持.

案例2:蒲某等人侵犯公民个人信息案.

2022年4月,蒲某等人作为“信息掮客”,在一些“违章”微信群中购买汽车档案信息(包含车辆基本信息、车辆所有人信息、车辆抵押信息)等公民个人信息后,出售给下游买家,从中牟利.检察机关依法提起刑事附带民事公益诉讼,经济院组织调解,侵权人按销售金额进行赔偿,永久删除其非法获取的公民个人信息,并在国家级媒体上就其侵犯公民个人信息行为赔礼道歉.

2案体现出基层办理个人信息保护民事公益诉讼案件的现状:

1) 公益诉讼请求权基础的法律依据不足.《个人信息保护法》第69条规定了相关的损害赔偿制度,与《中华人民共和国民法典》(以下简称《民法典》)第1182条的规定保持一致,均以被侵权人的损失或者侵权人的获利加以确定,但在有多名当事人的侵犯公民个人信息案中,无论是损失还是获利均难以准确计算.在金额无法计算的情况下只剩下赔礼道歉一项诉讼请求.无法真正体现侵犯公民个人信息行为损害社会公共利益的危害性.

2) 案件范围标准不明确.对公民个人信息的侵害是一种间接侵害,并不会直接对公民人身、财产权益造成损失.这种间接侵害的特性导致公共利益损害的认定标准更为复杂,相比于刑事案件较为明确的入罪标准,民事公益诉讼案件范围目前没有统一的认定标准,侵犯公民个人信息的行为达到何种程度才构成对公共利益的侵害,是检察机关在办理此类案件时面临的现实困惑.

3) 与刑事处罚衔接不顺畅.刑事处罚与民事诉讼请求衔接尚不明确,是否适用刑民双重处罚仍不明确.民事诉讼请求赔偿损失的金额仅仅依据非法获利来确定也存在不足,上述案件中,往往数百元就能买到数万条信息,侵权行为人获利情况与公共利益受损状况并不相符.同时,刑事部分计算的违法所得与公益诉讼中赔偿损失的诉讼请求的关系尚未厘清.谢某等人侵犯公民个人信息案中,由于涉案当事人多,信息被反复倒卖,购买人和销售者可能重合,出现同一信息卖给不同的人价格不同的情况,无法理清完整的销售链而不能主张连带责任.刑事部分所确定的违法所得系不考虑信息是否重复,也不考虑合理成本的金额.但民事部分的“赔偿损失”是否与刑事违法所得计算标准一致尚未达成统一标准.

1.3 案件办理特点

通过检视2起案件,结合相关典型案件和理论研究资料,个人信息保护领域公益诉讼案件具有以下特点:

1) 利益需求滋生违法.

大数据时代,个人信息涉及公众生活的方方面面,成为不法分子新的目标,2起案件均涉及汽车档案信息,办案过程中不乏二手车商参与其中,二手车商通过对车档信息梳理分析,精准定位目标用户.正是由于下游群体对个人信息的巨大需求,才导致大量侵犯个人信息违法行为的产生.

2) 侵犯个人信息的危害后果日趋严重.

个人信息往往牵涉到网络犯罪“黑灰产业链”,直接导致侵害后果严重化和扩大化.侵犯个人信息案件属于“黑灰产业链”的上游,不法分子通过所获取的个人信息进行其他犯罪的趋势越来越明显,侵犯个人信息成为滋生电信诈骗、养老诈骗的温床,给群众财产利益造成巨大损失.

3) 涉案人数众多.

侵害公民个人信息案件具有信息化、网络化的特点,给犯罪提供了便利条件,许多侵权行为人抱着“赚外快”的目的加入倒卖公民个人信息的侵权行为中.公民个人信息往往经过多次倒手,通过不同的聊天软件、交友平台,涉及个人信息数量大,而大量的信息通过不同的平台被不同的人经手,1条信息的销售链可能有十几甚至二十几个环节,该类案件往往是窝案,犯罪嫌疑人有三四十人.

4) 犯罪嫌疑人具有特殊身份,利用工作便利侵犯公民个人信息.

公民个人信息的来源渠道基本上是存在信息需求的相关产业,譬如快递、银行、通信公司等,甚至是部分行政机关.这就导致相关从业人员利用工作便利获取公民个人信息为自己谋求私利,如谢某等人侵犯公民个人信息案,他们利用工作上的便利条件,轻易获取公民信息进行售卖从中牟利.

5) 诉讼请求较为单一.

检察机关提起侵害公民个人信息刑事附带民事案件的诉讼请求多为赔礼道歉和赔偿损失.由于被侵权人的损失难以评估,赔偿损失的数额又以侵权行为人实际获利来确定.实际获利与违法所得之间又存在争议,违法所得是否要扣除实际成本来计算目前尚未形成统一意见.并且,同一信息传播链上不同环节的获利如何计算,即A将1条个人信息销售给B,再销售给C,D,E,F,G等数个下家,每道环节的销售价格都不一样,这样如何计算诉讼请求,一旦涉及到三四十名犯罪嫌疑人,诉讼请求便只有赔礼道歉一种.

2 个人信息保护领域检察民事公益诉讼案件办理难点

2.1 办案难点

1) 损害要件难以界定.

损害是侵权责任构成的一个重要要件,在公益诉讼领域亦然.在公益诉讼领域,损害要件的表现形式即是损害社会公共利益.公共利益属于不确定法律概念[6],很难通过法律明确界定,大多时候只能通过列举来明确具体情形,但《个人信息保护法》第70条并未对此作出具体规定,那么具体需要达到多少受害人、个人信息达到何种规模、非法获利达到多少才能符合提起个人信息保护公益诉讼的要求,在司法实践中存在争议.

2) 调查取证缺乏刚性.

虽然“两高”《关于检察公益诉讼案件适用法律若干问题的解释》(以下简称《解释》)第6条[7]、《中华人民共和国人民检察院组织法》第21条[8]均赋予检察机关在履行法律监督职责过程中的“调查核实权”,但都未规定不配合检察机关调查核实的相应罚则,实践中调查取证难的问题一直存在.随着大数据和人工智能技术的运用,信息的采集、运输、使用更加专业和智能,传统的调查取证手段已经无法满足当下信息化的证据.个人信息违法、犯罪行为大多依托计算机和互联网平台,检察机关缺乏在计算机技术和网络应用领域的专门信息技术人员,识别、获取、固定、评估关键证据都面临问题.司法实践中,个人信息保护刑事附带民事公益诉讼案件调查取证非常依赖公安机关的力量,如提取侵权人电脑、手机里的信息、调取当事人的聊天记录等,这些证据单靠检察机关不太可能独立获取.

3) 法律责任难以明确.

对于个人信息保护刑事附带民事公益诉讼,常见的法律责任除了消除危险、赔礼道歉外,最重要的当属赔偿损失.对于公益诉讼来说,自然不能主张精神损害赔偿,因此赔偿损失就只能是赔偿财产损失.

在最高人民检察院于2021年4月发布的5件个人信息保护民事公益诉讼典型案例中,检察机关仅在2起案件中提出赔偿损失的诉讼请求[9].可见,对于是否主张侵权人赔偿损失,各地检察机关做法不一.根据《民法典》第179条之规定,赔偿损失是民事主体承担民事责任的主要方式之一.《民法典》明确自然人对其个人信息享有人格权益.第1182条对侵害个人信息提出损失赔偿作出规定,应遵循次序明确损害赔偿数额.对于个人信息保护刑事附带民事公益诉讼来说,要适用该条提出财产损失赔偿请求,前提就是要明确侵害个人信息行为造成权利人的财产损失或侵权人的非法获利.但是司法实践中,个人信息保护刑事附带民事公益诉讼案件最通常情形就是侵权人仅实施了违法处理个人信息行为,尚未造成被侵权人权利受损,非法获利也难以准确计算.同时被侵权人数量庞大,协商赔偿数额也不符合实际,这给检察机关请求侵权人承担赔偿损失责任带来了实践困难,也导致各地司法实践不一.

2.2 成因分析

1) 制度建设快于理论成熟.

刑事附带民事公益诉讼逐渐成为司法保护公益的常态性诉讼形式,全国检察机关提起的刑事附带民事公益诉讼案件数量从2017年6月底为期2年的检察公益诉讼试点结束的25件到2018年1—8月的991件,占检察机关提起公益诉讼案件总数的比例也从2.17%上升到74.68%[10].此后,一直稳定在这个比例[11].其中,2020年9月,个人信息保护才作为“等”外领域纳入检察公益诉讼工作.

虽然这一制度的快速发展是对社会诉求的回应,是中央部署落实公共利益保护、提升社会治理效果的政策体现,但是相较于一项普通法律制度的发展,其快速发展导致相关理论的准备非常不充分.一方面,如何明确界定个人信息刑事附带民事公益诉讼损害要件,学界没有形成统一意见;另一方面,个人信息保护刑事附带民事公益诉讼是否应当要求侵权人赔偿损失,甚至要求惩罚性赔偿,缺乏学理上的充分论证.该制度的发展是制度实践快于理论发展并且逆推理论发展的典型情况.这种情况下发展起来的相关理论难免存在多种不足,再加之学界难以在短期内对其形成共识,最终导致无法指导司法实践.

2) 实践经验尚未提供成熟范本.

2020年9月,各地检察机关对个人信息保护公益诉讼展开探索.但是,各地对于该制度的实践具体内容不同.譬如在承担法律责任的方式上,各地检察机关对赔偿损失适用情况不一,杭州余杭区检察院创造性提出个人信息保护协议,要求侵权人承诺今后若违反协议约定,将自愿支付50万元违约金用于公益支出[12].全国范围内,相较于消费者权益保护以及生态环境保护领域公益诉讼,最高检还没有出台专门性的文件对个人信息保护领域公益诉讼进行统一和指导.

这一外在现象背后有一重要的隐含原因,即各地现有的实践经验尚未提供一个成熟范本.由于制度还在快速发展,本身具有许多不确定性.各地在对该制度实践时,就会发生一些变化,从而无法形成一个完善、稳定的实践范本.检察机关办理个人信息保护公益诉讼案件,还受到许多其他相关制度、本地实际情况的局限,仍旧处于摸索阶段.因此制度本身发展的短暂性,使得各地都未能为该领域案件办理提供一个比较成熟的范本.

3 完善个人信息保护领域检察民事公益诉讼制度路径建议

3.1 强化检察机关调查取证权

有学者认为,在检察机关提起公益诉讼制度的构建中,调查取证是职权配置的重点内容.调查取证权是检察机关提起公益诉讼的必要前提与保障,直接关系到公益诉讼的质量和效果,如果不能充分调取证据将在很大程度上限制公益诉讼制度的有效推行[13].还有学者认为,仅靠检察机关对大量的数据进行检索、调查是不现实的,应当建构网络平台的数据报送制度,降低检察机关在调查取证方面的难度[14].

虽然法律赋予了检察机关在公益诉讼中的调查核实权,但是效力等级较低,缺乏对外强制性.对此,检察机关应创新调查取证方法.针对刑事责任与侵权责任调查取证方向的不同,公益诉讼部门要与刑事检察部门加强沟通,释明2类证据区别,通过刑事检察部门提前介入、补充侦查,引导公安机关对相关证据进行调取和补强,尤其是涉及敏感信息的案件,应当强化对数据的全面检索,剔除重复信息,及时固定侵权责任相关证据.其次,要善于借助专家学者解决专业性难题.从检察公益诉讼的目的和价值取向来看,检察公益诉讼不仅关注侵害公共利益行为本身,更关注行为产生的原因,同时最大程度降低危害,实现全流程、全方位监督.大数据时代的个人信息,检察机关要实现全流程、全方位监督,需要具备丰富的信息技术专业知识,在缺乏专业检察人才以应对上述问题时,借助“外脑”便是必然之选.最后,应当在立法中明确不予配合检察机关调查取证的相应法律责任,赋予检察机关调查取证权刚性,保障检察公益诉讼案件办理的质量和效果.

3.2 明确侵权人损害赔偿责任

司法实践中,个人信息违法行为大多停留于泄露但尚未造成损害的阶段,这也是各地检察机关要求被侵权人承担损害损失责任情况不一的原因.如果检察机关不提出赔偿损失的诉讼请求,仅仅要求侵权人删除信息、赔礼道歉,即便诉讼请求全部得到法院支持,但由于没有经济上的损失,对侵权人无法形成有效威慑,既不利于惩罚侵权行为,也难以达到保护个人信息公共利益的目的.因而应当明确侵权人应承担赔偿损失的责任,在侵权人的非法获利难以准确计算的情况下,可以依据违法所得来明确赔偿损失数额.不仅如此,应当按照销售个人信息次数来计算总数额,重复信息、虚假信息也应当计入违法所得.

3.3 建立协作机制,共筑信息保护屏障

就办案中发现的个人信息保护执法、司法难题,可以通过与市监部门建立消费者个人信息公益保护机制,重点规定消费者权益保护领域行政执法和公益诉讼检察衔接,凝聚工作合力.市监部门在办案中发现侵犯消费者个人信息公益损害线索的,及时移送检察机关,检察机关经审查,符合提起民事公益诉讼条件的,依法提起公益诉讼.探索个人信息保护公益损害防控新模式.检察机关和市监部门延伸法律服务触角,为企业提供个人信息保护法治体检服务,及时排查侵害个人信息风险.检察机关应当积极加强与行政机关的协作,形成保护个人信息合力,重点监管掌握大量个人信息行业,对行业性个人信息侵权问题,通过制发社会治理类检察建议督促企业依法合规经营,从源头遏制信息泄露,协同治理侵害个人信息行为,彰显公益诉讼的独特价值.

3.4 探索个人信息保护领域惩罚性赔偿,助力构建公益损害风险防控格局

构建以个人信息保护领域惩罚性赔偿为核心的公益损害风险防控机制.个人信息侵权属于大规模微型侵权,被侵权人人数众多,涉案数额小[15].有的案件中侵权人出售了数万条信息,但违法所得仅千元.这种情况下侵权人违法所得不多,但是涉案信息数量庞大,存在较大的社会危害性,仅依据违法所得来明确赔偿数额显然起不到震慑作用.目前,检察机关已经在消费者权益保护、生态环境保护刑事附带民事公益诉讼中适用惩罚性赔偿规则,大数据时代个人信息公益损害具有无形性、不确定性,对社会造成的损害也是不可估量的,本文建议在个人信息保护公益诉讼案件中积极探索适用惩罚性赔偿规则,构建公益损害风险防控格局,从源头处遏制侵犯公民个人信息违法行为.

4 结 语

个人信息保护领域检察民事公益诉讼制度是个人信息保护检察公益诉讼法治体系的重要组成部分.针对检察机关在个人信息保护领域民事公益诉讼案件办理中遇到的问题,本文认为应当完善检察调查核实权,需要立法赋予其刚性,通过提前介入、补充侦查等方式引导公安加强对敏感信息、敏感人员等取证以符合公益诉讼案件范围及证据标准.明确侵权人赔偿损失责任,依据违法所得来确定赔偿损失数额,并将重复信息、虚假信息等计入违法所得中.探索个人信息侵权惩罚性赔偿制度,加强个人信息保护检察民事公益诉讼对个人信息违法犯罪的震慑作用,实现诉源治理.加强与行政机关的协作,形成保护个人信息合力,通过制发社会治理检察建议督促解决行业性个人信息侵权问题,从源头遏制信息泄露,充分发挥检察公益诉讼在个人信息保护中的作用.