1. 问题的提出
在电子信息尚未普及的时代,对于个人信息的传播范围和途径,个人信息归属者都能对其有一定的预期,其传播范围和途径也具有可视性。信息电子化后,个人信息采集和传播更加隐蔽化和快速化,人们的个人信息甚至在不知不觉中已经被非法传送到千里之外,而他们却对此毫无察觉。个人信息贩卖、大数据杀熟、欺诈信息横溢现象俯拾皆是,给许多人们造成许多难以挽回的损失。如今,每个人的个人信息不仅有其自身的人身价值和财产价值,而且随着个人信息如个人账户的绑定,这些账户信息的绑定使得个人信息附加了更多的财产利益 [1]。是时,国家和社会逐渐开始对个人信息的保护给予充分的关注。
2020年5月28日全国人民代表大会通过了中国第一部现代意义上的民法典——《中华人民共和国民法典》(以下简称《民法典》),《民法典》第一百六十一条以及第四编第六章都对个人信息的保护进行了较为细致的规定。此后,2021年8月20日,全国人大常委会正式颁布了专门规范个人信息处理行为和保护个人信息的《个人信息保护法》,这两部法律的颁布,赋予了社会公众以个人信息权,让人们拥有了维护个人信息权益的请求权基础。正如前文所言,有着现代科技加持的个人信息处理者能够十分隐蔽地非法处理个人信息,个人缺乏个人信息权维权的专业性和自主维权意识,一旦受害者过多时,该侵权行为所侵害的就是公共利益,故而《个人信息保护法》对个人信息保护检察公益诉讼进行了明确规定 [2]。然而个人信息检察民事公益诉讼作为新生事物,缺乏配套程序,检察机关的主体资格及顺位也存在争议 [3];同时,因我国诉前程序规范过于粗略,导致检察机关诉前准备工作进展困难;此外,由于行政监管主体过于分散,推诿现象横行,检察机关与其相关配合工作展开困难 [4]。因此,本文将以分析个人信息保护检察民事公益诉讼的现实需求和运行基础为起点,检视我国个人信息检察民事公益诉讼现有内容,针对检察机关在个人信息民事公益诉讼中出现的前述问题提出建议,以期对相关实务和立法有所帮助。
2. 个人信息保护检察民事公益诉讼的现实必要性
《个人信息保护法》之所以明确规定个人信息保护的公益诉讼,就在于现今的个人信息侵权现象过于众多,极大的威胁了社会公众的信息数据安全、人身和财产安全,同时,由于个人信息的附带价值的提升,增强了不法分子的非法处理他人个人信息的动机。此外,在移动通讯终端平台上,个人信息的获取更加趋于隐蔽性,对于缺乏专业知识以及相关信息不对等的信息主体来说,要想进行自我保护可以说举步维艰。虽然如今国家网信部门或者相关监督机构已经开始重视网络使用者和网络服务提供者对个人信息获取行为的监督,但是由于执法信息共享机制不完善,公示警告效果有限,行政机关相关部门对于个人信息主体的保护也就力度不足。故而亟需将检察公益诉讼制度接入个人信息保护体系中,发挥国家公权力优势,让个人信息保护体系更加立体和完整。
(一) 个人信息非法处理事件屡禁不止
如今,个人信息获取极为容易,主要有三方面缘因由:其一,移动互联网和信息电子化的出现。个人信息主体个人信息的处理行为大多是在互联网移动终端进行的,当个人信息主体需要使用安装于移动互联网终端的应用时,因其对该程序所提供的服务已经不可或缺,而有些应用程序的运行需要用户的部分个人信息,这就使得应用程序制造者能够轻而易举的获得用户的个人信息。其二,个人信息主体个人信息保护意识缺乏。之所以出现如此之多的个人信息贩卖案件,一方面是由于不法分子恶意获取他人信息,另一方面个人信息主体自身保护意识的缺乏也让不法分子有机可乘。例如,人们随意丢弃含有自己个人信息的资料,随意访问非法应用程序和网站,随意向他人提供重要的个人信息,这些行为让个人信息暴露于野,进而损害众多人员权益,甚至对公众信息安全有所致害。其三,个人信息获取渠道各异且兼具极强的隐蔽性,对之管制和监督困难。管制的困难就容易不断滋生出非法处理个人信息渠道,进而导致个人信息遭受各个非法渠道的迫害,最终危及到信息主体的人身和财产利益。
上述缘由也进一步表明了个人信息权侵害严重,风险林立,个人信息处理监督机制急需完善。
(二) 个人信息主体自我救济力有不逮
绝大部分信息主体作为普通大众,缺乏网络专业知识,对于网络背后的个人信息非法处理行为无法察觉,导致自我救济能力不足,同时也有以下原因:
1) 个人信息主体获取服务目的明显
截至2021年6月底,正在国内处于正常运行状态的App数量巨大,且增长迅速 [5]。这些应用涉及社会民众生活的各个角落,关系着人们物质世界和精神世界,充斥着信息主体生活的方方面面,为公众的生活提供各种网络服务。而公众之所以使用这些应用,就在于他们看中了互联网应用服务为生活带来了便捷性,正因如此,信息主体已将注意力全程贯注于服务舒适度问题上,而没有对应用是否非法处理自己的个人信息问题进行深究。
2) 个人信息网络处理行为过于隐蔽
在移动互联网应用的使用过程中,应用运营者会要求信息主体对于是否提供个人信息进行选择,但是对于需要提供个人信息才能提供服务的应用来说,使用者其实并没有选择一说。此外,在信息主体同意之后,其很难知晓应用运营者获取了自己哪些信息以及如何使用,即使被用来进行非法盈利也无从知晓。这是因为移动互联网应用所使用的技术有其专门的计算机语言,如果不具备相关专业知识,就无法将应用获取以及使用个人信息的轨迹用我们能理解的语言表现出来。同时,由于应用所使用的语言与我们的生活语言不通,应用运营者在提供服务时会尽量删繁就简,尽量转换成我们大众能够理解的语言,这就容易出现信息鸿沟,信息主体和应用运营者双方所看到的数据不对等,而应用运营者就会利用这种不对等来营造个人信息处理行为的隐蔽性。这种隐蔽性虽说有为便利使用者之说,正常情况下并无危害,但是一旦运营者利用这种隐蔽性进行个人信息非法处理时,信息主体就可能处于完全被动的地位,无法进行自我维权。
3) 移动互联网应用运行机制的专业性
移动互联网应用有其自身通用的计算机语言和运行程序,这些东西对于不具有相关专业知识的社会大众来讲,理解成本过高。当信息主体的个人信息侵害之余,由于运行机制的专业性,其无法进行自我取证以及保全证据 [6],这将导致信息主体最终因为维权无据而自吞苦果。
个人信息主体对自身信息非法处理的忽视、个人信息处理行为的隐蔽性以及移动互联网运行机制的专业性,这些事由共同导致了信息主体无法制止侵害自身个人信息权的个人信息非法处理行为,不能进行有效的自我救济。这也是《个人信息保护法》明确规定个人信息公益诉讼的原因之一,相对于普罗大众来说,人民检察院、国家网信部门确定的组织、法律规定的消费者组织有着更多的维权优势,特别是人民检察院,由于其作为司法权力机关,代表国家,对于不法分子有着天然的震慑力。故而个人信息检察公益诉讼的出现可谓是恰逢时机。
(三) 行政机关执法监管作用有限
我国行政机关对互联网经营者的监管呈现出“条块化”的监管模式,但如今大数据技术的发展使网络经营者的经营活动可以横跨全国范围以及各个领域。对互联网企业地域化、部门化的监管方式使得部门与部门、地域与地域之间出台的政策存在着相互矛盾的可能 [7]。这种监管模式极大的降低了行政机关对非法处理个人信息行为的管制效果,一是这种方式不利于行政机关办理跨行政区域个人信息侵权案件,各区域之间联动性削弱;二是由于现行行政机关执法信息共享机制还有待完善,执法信息共享的缺失更加遏制了行政机关进行互联网经营者的监管效率的提升。因此,在行政机关监管模式完善以前,必须构建另一个监管主体和模式来制止互联网经营者的非法处理个人信息行为。
结合上述阐述可以发现,建立个人信息保护检察民事公益诉讼制度是具有充分的现实必要性的,并非空谈。
3. 个人信息检察民事公益诉讼的运行基础
在肯定个人信息检察民事公益诉讼的构建具有现实必要性后,需要进一步研究的即是个人信息检察民事公益诉讼建立的运行基础,换句话说,是否具有可行性。笔者意从以下几方面论证其可行性:
(一) 个人信息具有公共利益属性
公共利益一词本身便带有界定的不确定性,就“公共”一词的含义,主要有两种界定理论,即德国学者洛德厚的“地域基础理论” [8] 和纽曼的“不特定多数人理论”,由于前者因为受制于地域的限制而不符合现实故而逐渐被抛弃,而后者强调公共即是指多数不特定受益人,这一定义符合民主要求,故被大多数国家采纳。但是由于“不特定多数”也带有不确定性,具体实践困难,比如涉及多少人才是不特定多数。因此,关于公共利益一词的定义,依然是各执其说:纽曼主张主观和客观共同利益说,主观公益是根据利益获得者数量来判断的,客观公益则是依据国家目的而判断;边沁认为公共利益应是共同体成员若干利益的总和 [9];英国学者哈耶克主张公共利益属于一种抽象秩序 [10];美国学者博登海默则持公共利益乃是权利主体行使权利时不可以突破的外部界限 [11]。但是公共利益概念的使用依然需要在具体实践中结合各方面因素进行判断,而不是单从一方面就能对某一利益进行即刻定性的。
就《民法典》中有关个人信息权的规定而言,个人信息权民事私益色彩浓重,但这并不是对个人信息暗含的公共利益属性进行直接否定。当非法处理个人信息行为人的行为涉及到多数不特定社会成员的个人信息时,也许该行为有可能并不会对特定社会成员带来明显的损害,但是却给社会大众的个人信息安全带来了严重的危险,破坏了社会秩序。无论是依据主客观公共利益说,亦或是抽象秩序说、利益总和说,由于互联网技术的存在,极易形成信息网络和数据库,这些事物的出现更加显化了个人信息的公共利益属性。
《中华人民共和国民事诉讼法》(以下简称《民事诉讼法》)第五十五条第二款明确规定,人民检察院对于侵害社会公共利益的行为,享有顺位限制的民事公益诉讼起诉权。而根据前文分析,个人信息是附有公共利益属性的,故而当个人信息权侵害人的侵害对象涉及到不特定多数人的信息安全和信息秩序时,人民检察院有权提起个人信息检察民事公益诉讼。
(二) 现行规范和政策的加速推进
除了《民事诉讼法》第五十五条第二款的规定,《个人信息保护法》第七十条更是明确指出人民检察院对于违反本法规定的侵害众多个人权益的非法处理个人信息行为可以向人民法院提起诉讼。2021年8月21日最高人民检察院下发《关于贯彻执行个人信息保护法推进个人信息保护公益诉讼检察工作的通知》(以下简称《通知》),该通知指出检察机关在履行检察公益诉讼职责时,应当重点关注涉及敏感个人信息、特殊群体个人信息、重点领域个人信息以及100万人以上大规模个人信息侵权。这些规范和政策规定都赋予和强调了人民检察院的个人信息公益诉讼职责,为人民检察院进行个人信息检察民事公益诉讼的展开提供了规范和政策基础。
(三) 人民检察院公益诉讼经验丰富
根据最高人民检察院发布的2019以后的工作报告得知,2018年人民检察院全年共立案办理民事公益诉讼4393件、行政公益诉讼108767件 [12]。2019同比分别上升62.2%和10.1% [13]。2020年同比分别上升1倍和14.4% [14]。这些数据充分表明人民检察院对于公益诉讼有着丰富的经验,有着充足的经验资源承担起构建个人信息保护检察民事公益诉讼体系的职责。此外,2021年4月22日最高人民检察院发布11件关于个人信息公益诉讼的典型案例,由此可知,个人信息公益诉讼已经逐步进行,并且初见成效。
总得来说,个人信息检察民事公益诉讼的构建已经具备实践经验储备、法律规范条件以及法理契合度,可以借助《个人信息保护法》和《民法典》的出台,加快构建和完善个人信息检察民事公益诉讼,维护社会成员的个人信息权益和信息安全,配合行政机关,形成多层次、立体的个人信息保护体系。
4. 现行个人信息检察民事公益诉讼内容的反思与完善建议
(一) 现行个人信息检察民事公益诉讼内容的反思
如前所述,对个人信息检察民事公益诉讼有明确规定的规范屈指可数,并且大多属于政策性通知,不属于正式的法律规范文件,即使是法律文件,也要么内容过于粗略,要么层级太低。例如,《个人信息保护法》第七十条规定人民检察院有个人信息公益诉讼起诉权,但是对于如何起诉、诉前程序、检察机关的调查取证之权只字不提,当然,这不属于该法的规范任务。但这一问题如若不尽快解决,人民检察院在进行公益诉讼时就只能借鉴环境公益诉讼、消费者公益诉讼的相关规定,但是个人信息检察民事公益诉讼有其自带的特殊性,对于一些问题需要采取司法解释单独进行规定。经过笔者对个人信息公益诉讼的研究,发现相比于其他类别的公益诉讼,其主要有以下几方面的特性,在制定配套规范时应当重点考虑这些特性。其一,起诉时的保护对象范围更加不确定。在信息电子化以及互联网技术发达的现代,个人信息侵权带有联动性和隐蔽性,牵一发而动全身,一个个人信息侵权案件中的受害者范围难以确定。故而需对如何确定起诉范围进行特别规定。其二,案件调查更需专业化。个人信息侵权人往往会借助于互联网的隐蔽性,并且有可能会对侵权痕迹进行抹除,这就意味着检察院在办理个人信息公益诉讼案件时,必然需要相关专业机构或者人员的帮助。其三,更加强调与其他部门配合办案。如前所述,当非法处理者的行为构成公益侵权时,所涉及的对象往往具有跨区域、网群性特征,根据《个人信息保护法》,有保护个人信息权益职责的行政机关主要是国家网信工作部门,故而人民检察院在办理案件时,如何要求其他保护部门进行配合也是一项需明确规定的重要事项。这些特性表明相关立法部门应该就个人信息公益诉讼制度进行单独的规定。结合这些特性以及现有相关规定可以发现个人信息检察民事公益诉讼内容主要有以下问题:一是检查机关定位不明,二是诉前程序部分缺失,三是与其他机关配合制度未定。
(二) 完善建议
1) 明确检察机关在个人信息检察民事公益诉讼的身份定位和起诉顺位
《个人信息保护法》第七十条规定人民检察院可以依法向人民法院提起个人信息检察公益诉讼,并没有关于人民检察院的起诉顺位规定。然而《民事诉讼法》第五十五条却规定人民检察院在民事公益诉讼中可以作为起诉主体和支持起诉,并且对其进行了起诉顺位的限制,这是否意味着《个人信息保护法》的规定属于《民事诉讼法》第五十五条原则性规定的例外。首先,在理清这一问题前,先来研究一下关于检察机关在一般公益诉讼中的身份定位理论,主要有“公诉人说” [15]、“公益诉讼代表人说” [16]、“原告说” [17]、“双重身份说” [18],这些学说各有各的阐释角度,有着各自的论据。笔者采认“公诉人说”,因为民事公益诉讼所保护的对象是社会公共利益,本质上与刑法的保护对象一致,在刑事诉讼中,检察院就担任了公诉人的角色。此外,认可检察院在民事公益诉讼中的公诉人角色,能够强化其国家司法权力机关的背景,对侵害公共利益的不法分子有着震慑作用。同时,在诉讼过程中,检察机关参与诉讼的方式也与原告不同,故而笔者认为人民检察院在个人信息民事公益诉讼中的身份定位应为公诉人,更有利于其借国家权力支撑进行调查取证。接下来,继续理清检察机关起诉顺位问题,作为公益诉讼的一类,个人信息公益诉讼中起诉顺位问题理应与其他公益诉讼一样,适用同样的规范。但是笔者认为个人信息公益诉讼中对于检察机关不应有顺位限制,即不遵循行政机关、法定组织先行起诉原则。主要理由如下:其一,检察机关相比其他起诉主体有着更加丰富的诉讼经验,对于诉讼程序和诉讼策略已经形成一个较为清晰地认识;其二,顺位限制不利于检察机关快速掌握诉讼时机。虽然国家网信部门作为个人信息处理行为的直接监督者,对于非法处理行为有第一手的消息,同时其对个人信息侵权人的行为模式的了解也更加专业。但是在实践中,行政机关很少提起公益诉讼,基本没有发挥其前置作用,一味地等待行政机关先行起诉,对于时效性极强的个人信息侵权来说,容易导致错失诉讼时机。
2) 补充诉前程序缺漏
一直以来,公益诉讼制度整体上都对其诉前程序的内容仅仅进行了框架性的规范。《最高人民法院、最高人民检察院关于检察公益诉讼案件适用法律若干问题的解释》(以下简称《解释》)第六条、第十三条都只是如蜻蜓点水式的对诉前公告和调查予以规定,但是这种粗略的规定对于检察机关的诉前工作的推进却缺乏实质的操作意义。就诉前调查来说,《解释》第六条虽然指出检察机关有调查取证权,行政机关、相关组织以及公民也有配合义务,但是该条并没有对违反该义务的法律后果予以规定,没有法律效果的规范都是“假”规范,故而此后相关解释应当充实该法条,规范违背该法条的法律后果,方能发挥实现该法条的制定目的。同时,由于个人信息侵权的隐蔽性、调查的专业性,应当允许检察机关加快建立专家辅助制度,并培养个人信息检察民事公益诉讼专业团队,从而更好的进行诉前准备。此外,也可以尝试性的建立诉前通知和诉前磋商规则,允许检察机关在诉前先行通知侵权人或者组织停止相关行为并予以协商相关赔偿,如若其不肯停止或不予赔偿侵权损失,再对其提起诉讼,从而节约司法成本。
3) 加强与其他负有个人信息保护职责部门的配合
与检察机关提起的行政公益诉讼不同,在其提起的民事公益诉讼中,行政机关并不是被起诉方,因而凭借其行政优势完全可以成为检察机关的得力辅助。首先,笔者认为对个人信息负有保护职责的行政机关往往成为个人信息侵权行为的最先接触者,能够获得第一手侵权资料;其次,相比于现在的检察机关,相关行政机关比检察机关更加了解个人信息侵权的运作模式,在证据的提取和保存方面更加专业;最后,国家网信部门作为专业的个人信息保护行政机关,对于提取侵权组织或者个人的侵权信息有着比较充分的权限。故而总的来说,应当建立检察机关与个人信息保护行政部门合作机制,提高个人信息检察民事公益诉讼效率。
5. 结语
互联网技术的快速发展,为我们的生活带来了更多便利,但也将我们的生活更加透明化,不法分子便利用我们追求便利的心态来侵犯我们的个人信息权益。在面对涉众广泛的个人信息侵权时,个人因其力量有限,无法自行救济,同时此时侵权行为所侵害的对象已经不局限于个人权益,而是公众的个人信息安全,属于公共利益,具有更加严重的迫害性,故而需要建立个人信息公益诉讼制度。《个人信息保护法》已经明确检察机关可以提起民事公益诉讼,但是因该制度起步较晚的同时也缺乏相关专业知识,因此需要在多方面进行自我完善,补充规范,加强与富有专业经验的国家网信部门以及相关组织和人员的沟通与合作,进一步推动个人信息检察公益诉讼的发展,更好地维护个人信息安全。