1. 个人信息保护检察公益诉讼的现实必要性
在现代科技飞速发展的背景下,个人信息的保护面临前所未有的挑战。技术进步使得个人信息的快速传播和大规模集中成为可能,从而便利了对个人数据的深入分析。随着信息收集者数量的增加和应用场景的扩大,信息在传输和处理阶段的安全风险也相应提高。因此,为了维护个人隐私和安全,必须从多个角度出发,实施综合性的个人信息保护措施是十分必要的。
1.1. 信息侵权现象的复杂性
个人信息处理者侵害个人利益事前难防、事中难止、事后难找[1]。互联网环境下,个人信息的侵权行为呈现出多样性和复杂性,如缺乏隐私保护措施、未经同意的信息获取、无法执行账户注销、个人资料的过度搜集、以及未经允许的信息保存等,这些都是当前需要紧急解决的突出问题。
近年来,个人信息泄露事件不断增多,呈现出新的发展趋势,其中包括犯罪分子在技术上的专业化和精细化;他们利用先进的黑客和大数据技术,精确地获取和分析公民的个人信息,创建详细的用户分析档案。信息处理平台与用户之间的信息不对称性导致用户常常对自己的信息被收集和使用的细节一无所知。个人信息的电子化存储方式使得一旦信息被泄露,就几乎不可能完全找回。因此,当侵权行为发生时,许多用户像无助的羔羊一样面临风险。此外,个人信息的泄露还可能助长刑事犯罪。2023年,检察机关共处理了9109起侵害个人信息的公益诉讼案件[2]。个人信息的泄漏让犯罪分子能够轻松了解受害者的详细资料,从而误导受害者,使其面临犯罪侵害的风险。在网络犯罪的黑灰产业链中,个人信息的泄露起着极其关键的作用[3]。而且,信息侵权事件发生后,由于缺少统一的个人信息价值评估标准,对于信息泄露的处罚和赔偿执行起来也显得困难。
1.2. 信息主体维权的低效性
首先,个人发现违法事实存在困难。由于个人信息泄露通常不易被发现,且信息处理者有时会在合法的操作中夹带非法活动,信息主体由于技术限制,难以迅速识别这些违法行为。因此,可能出现以下情况:信息主体往往未察觉到自身权利遭受侵害;即使感知到信息权益被侵害,也难以确定侵权者的身份;或者虽然能够识别侵权者,但无法追踪具体的违法行为细节,导致了解侵权者的确切侵权手段变得困难,从而使得采取相应的保护措施和救济途径变得更加复杂。
其次,个人举证存在困难。实际上,在侵权诉讼中,个人往往因证据不充分而难以证实对方的错误行为,这是因为每个人的情况不同,可获取的证据也不一样。这导致受害者在提起诉讼时面临困难,使得损害的影响可能持续甚至加剧。当多个平台共有个人信息时,证明被告非法处理数据尤其困难。信息处理者可能会声称他们收集和使用信息是为了提升服务质量,这使得信息主体在寻求法律救济时感到无助和失望。因此,遵循传统的证明责任规则并不利于有效地救济和保护个人信息权利。此外,由于个人信息处理本身的技术特性以及“算法黑箱”的存在[4],个人举证面临着极大的困难。
再次,个人固定证据存在困难。在信息侵权案件中,证据通常与技术密切相关,且信息处理者拥有处理信息的优势地位,这为他们在操作过程中提供了极大的方便。当信息主体试图确保证据时,他们可能会发现证据已经被信息管理者事先隐藏或者销毁。即便侵权受害者寻求网络技术专家的帮助来搜集证据,也往往难以保证证据的完整性和稳定性。鉴于此,实施公益诉讼制度的必要性和紧迫性不言而喻[5]。
最后,退一步讲,即便个人在面对侵权行为时成功克服了种种障碍,根据现行法律体系,他们在法律上能够追求的通常只限于道歉和赔偿。但这样的法律制裁对于那些非法处理个人信息的处理者来说,往往不足以起到有效的震慑作用,因为这些制裁对他们而言可能微不足道。
1.3. 现有救济机制渐显乏力
传统上,侵害个人信息的行为被视作对隐私权的侵犯,并以私法中的意思自治为原则为保护模式,是实践中的主要运行样式。这种做法是基于“理性人”的假设,法律期待信息主体都能够理性、自主地维护自身的权益。然而,随着信息社会的迅猛发展和个人信息的独特性,依赖私法保护的传统方法面临了严峻挑战。此外,监管机构的分散性和监管措施的局限性,在应对各种各样的侵权问题时,显得力不从心。尽管将侵犯公民个人信息定罪作为刑事手段能在一定程度上保障公民信息安全,但刑事救济的局限性和其自我限制的特点意味着它不能经常干预社会事务。而且,只有那些严重侵犯个人信息的案件才会受到刑法的制裁,对于那些日常的、较轻微的侵权行为,刑事处罚往往束手无策。具体表现如下:
1) 私益救济的局限。在互联网时代,随着大数据和云计算的迅猛发展,信息社会面临的新问题不断增多,这些问题正在逐步削弱传统民法在保护公民个人信息方面的救济效力。与此同时,相关的权利和义务规则也变得模糊不清。除了信息主体难以解决的认知障碍外,结构性的问题也日益明显[6]。现有私法的保护模式已经不足以面对信息化社会中的多元风险。为了全方位保障公民的个人信息全面,“单纯依赖现行的私益民事诉讼机制,已经无法适应我国在个人信息保护方面的实际需求和发展趋势”[7]。
2) 行政监管的缺位。行政手段在保护个人信息安全方面展现出其独特的优势,能够迅速主动地进行有效干预。尽管如此,《个人信息保护法》中规定,国家网信部门负责统筹协调职能,而国务院相关部门和县级以上的地方政府机构,根据各自的职责和业务范围,以及相应的工作权限,都有可能成为履行个人信息保护职能的部门。1在这种“多头管理”的情况下,恐怕依然难以得到有效遏制。
3) 刑事救济的狭隘。刑事救济在个人信息保护领域的适用性受到限制。面对频繁发生的个人信息侵权行为,仅仅依赖刑事手段已不足以有效遏制。一方面,虽然刑法中有侵犯公民个人信息的相关罪名,但其对于预防和打击侵犯个人信息的行为的实际效力是有限的,尤其是对那些源头上的侵权活动。另一方面,个人信息的保护需求与网络犯罪的发展是相互交织的,很难明确界定它们之间的优先顺序。
2. 个人信息保护检察公益诉讼制度的实施现状
自2021年颁布实施《个人信息保护法》以来,为了解个人信息保护公益诉讼的实践现状,从而深入把握这项制度,进而灵活运用,使个人信息保护公益诉讼制度在实践中的重要性日益凸显。此外,司法实践的成效在很大程度上依赖于立法的支持,这也促进了相关法律的制定和实施。截止2024年4月,通过在北大法宝和科威先行法律信息库中以“个人信息、公益诉讼、检察院”作为搜索关键词,共检索到452个有效的裁决文件。这些几乎包含了所有可公开查询到的个人信息保护的检察公益诉讼案例,能够反映目前真实的现状。通过对这些案例的分析,可以总结出该制度实施现状主要特点。
2.1. 案件类型以刑事附带民事公益诉讼为主
在当前个人信息保护的案件类型中,刑事附带民事公益诉讼的案例占据了绝大多数。以452个案例为样本进行分析,其中刑事附带民事公益诉讼的案例有384件,大约占总数的85%,其余的案例中,民事案件有43件,行政案件仅25件,执行和管辖案件的数量极少。这种情况的形成主要有三个原因:首先,在行政公益诉讼方面,检察建议通常被高度重视,很多案件在诉讼阶段之前就已经被终止,因此实际进入诉讼的案件数量要少于统计数字。其次,司法实践中,检察机关对私人主体在个人信息处理上的监督力度较大,而对行政机关的监督相对不足,这反映了对国家公权力的一种信任。最后,当刑事检察部门在处理侵犯公民个人信息的刑事案件时,如果发现被告行为损害了公共利益,就会把相关的民事责任线索转给公益诉讼检察部门,由其提起附带民事公益诉讼。
2.2. 刑事案件是主要线索来源
从整体层面来看,检察机关在公益诉讼中的线索来源较为广泛。但是在个人信息保护领域,这些线索的来源相对有限。以452份案例为例,在384起刑事附带民事公益诉讼案中,近300件案例是检察机关在履行侦查和审查起诉职责时发现的,占案件总数的78%以上;而在开展公民个人信息保护专项监督行动中,检察机关发现线索的案例有56件,仅占15%,其余28起案件是由公众举报、控告和新闻媒体的实时报道,占比约为7%。
在检察机关的内部结构中,负责公益诉讼检察部门在处理个人信息保护案件时,主要依赖于刑事犯罪检察部门所提供的查办案件线索。这种依靠系统内部“自己找”的方式所获得的案件线索来源的方法与其他类型的公益诉讼相似。这主要是出于以下两个原因:一方面“捕诉一体”的办案机制使得公益诉讼部门能够轻松地从公安和刑事检察部门获取线索;另一方面,刑事案件中对事实的认定需要“排除合理怀疑”,这一标准比民事案件的证据要求更为严格,因此,在个人信息保护领域,刑事案件的证据能够有效地应用于刑事附带的民事公益诉讼及行政公益诉讼中,从而提升了证据的效率。
2.3. 责任承担方式民事私法化
关于检察公益诉讼的诉讼请求,《人民检察院公益诉讼办案规则》有明确的规定,2具体来讲:首先,在赔礼道歉方面,从样本案例来看,共有261起案件提出了这一要求。主要形式包括在全国性、省级、地方级媒体上公开道歉,以及在法庭审理过程中直接道歉。重要的是要认识到,赔礼道歉不只是对那些个人信息被侵犯者的补偿,更是一种对社会公众的广泛悔悟和歉意,体现了对公共利益的重视。其次,在索赔方面,案例中有162起案件提出了赔偿损失的请求。赔偿损失是针对公益受损的结果而提出,并非针对特定信息主体,这类赔偿主要是为了弥补公共利益的损害,而不是针对某一特定的信息主体。这种做法与公益诉讼的宗旨相符,因为它涉及受害者身份的不确定性和胜诉利益的分配问题。受损的信息主体有权通过私人诉讼来寻求单独的赔偿。当公共利益遭受损害时,检察机关代表公众和国家接受赔偿,同时管理相应款项用于弥补受损的公益也具有合理性。最后,就停止侵害、消除危险而言,样本案例中122例有相类似的表述,但是类似的表述似乎不能严格归入该种请求类型里。在传统侵权法中,提出“停止侵害、消除危险”的请求主要是预防对人身权利受损的结果的发生。然而,在个人信息保护的领域,侵权行为往往在造成损害后才被注意到,由于技术手段的隐蔽性和秘密性,事前的预防措施很难实施。
3. 个人信息保护检察公益诉讼制度的现实困境
3.1. 检察机关线索收集渠道单一
检察机关在处理个人信息侵权案件时,面临案件线索来源较为有限的问题,这限制了公益诉讼的进展,使其难以迅速回应社会对个人信息保护的紧迫需求。当前,App由于获取信息的不平衡和处理的隐秘性,而经常越界收集和滥用用户个人信息的情况。用户作为直接受影响的一方,通常无法意识到企业的非法信息侵权行为,而检察机关作为外部监管者,要想及时发现和追踪到个人信息侵权的违法犯罪线索也极具挑战。此外,我国公民对个人信息保护的意识薄弱,加之考虑到诉讼的成本和难度,受害者追求法律救济的积极性不高。
通过上述分析,检察机关想要依赖受害者举报、指控等方式来获取案件线索面临较大的挑战。在诉讼救济的成效方面,由检察机关发起的个人信息保护的民事公益诉讼具有较高的法律效力,但其劣势在于保护的范围受限,并且诉讼过程较为漫长;相对地,在行政公益诉讼案件中,通常来说被告方是明确的,而且检察官在诉讼前提出的建议有助于缩短诉讼时间。实践中,行政机关有时会不尽职或违法行政的现象偶有发生,面对复杂且隐蔽的非法行为以及大量的个人信息,行政机关往往力不从心。检察机关的建议并不能从根本上促使行政机关主动履行职责[8],而且救济措施往往滞后,无法及时解决问题。
3.2. 调查取证缺乏刚性
根据“两高”发布的《关于检察公益诉讼案件适用法律若干问题的解释》第6条和《中华人民共和国人民检察院组织法》第21条,检察机关在履行法律监督职责时被明确授予了“调查核实权”,但由于缺乏对不配合检察机关调查核实的具体处罚规定,实践中调查取证仍然难度较大。在大数据和人工智能技术广泛运用的今天,信息的收集、传输和使用变得更加专业和智能化,使得传统的调查取证方法不再适用于现代信息化的需求。大部分个人信息违法、犯罪行为都是通过计算机和互联网平台进行的,而检察机关在计算机技术和网络应用方面缺乏专业的信息技术人员,识别、这使得在识别、获取、固定和评估关键证据都存在难度。司法实践中,个人信息保护相关的刑事附带民事公益诉讼案件的调查取证极度依赖于公安部门的协助。例如,获取侵权者的电脑和手机内的信息,以及调取当事人的聊天记录等,这类证据很难仅由检察机关独立获取。
3.3. 检察机关证明责任过重
在公益诉讼的领域内,如果检察机关希望提起诉讼,它必须满足两个前提条件:一是当检察机关发布的公告的截止日期到期时,还没有适格主体提起公益诉讼,则检察机关可提起诉讼。二是存在确凿的证据显示非法行为已经损害了国家或社会的公共利益,并且这种损害还在继续[9]。对于检察机关提起个人信息保护公益诉讼,前者只会导致时间上的推迟,而后者的举证责任负担则是决定诉讼成功与否的关键因素。在检察机关启动个人信息保护的公益诉讼时,如果诉讼对象区分为自然人和法人两种,相对于法人,针对自然人的法律追究会更为简便。这是因为刑事案件中的事实判定标准要比民事案件严格,而且刑事案件中的证据可以被直接用来证实涉及“个人信息公共利益损害”的事实。通常情况下,网络平台开发者在收集和处理个人资料时极为隐蔽,这使得检察机关作为一个非专业实体难以证实其中的非法活动。同时,一旦违法者察觉到其信息数据可能正受到调查,他们会立即利用其控制个人信息的优势,对数据进行篡改或销毁,从而大幅提高了检察机关的证明难度。另外,由于缺乏明确的法律标准来界定个人信息侵权行为对社会公共利益的损害,检察机关在无法确立因果联系的情况下提起的诉讼,其法律依据可能会受到质疑。
4. 个人信息保护检察公益诉讼制度的完善路径
4.1. 拓宽线索来源渠道
为了扩大案件来源范围,优化检察机关的诉权行使可采取以下措施:(1) 建立检察机关内部案件线索共享机制。通过从刑事、行政、民事三个检察部门收集关于侵犯个人信息的案件信息,检察机关内部能够高效地进行信息共享。这种内部沟通的顺畅性提高了线索交换的便利性。(2) 全方位开展个人信息保护专项司法监督活动。通过专项活动迅速而准确地确定案件的关键线索,减少无关线索的筛选工作,从而避免司法资源的无谓消耗,提高案件处理的效率,这样可以快速为公民的个人信息权益提供救济,确保目标的精准打击,防止由于未能及时识别案件线索而导致的损害进一步扩散。(3) 建立公益诉讼观察员制度。我们可以动员政协委员、人大代表、行政机关人员,以及对公益活动有热情的公众人士,让他们参与到公益诉讼中。他们可以充当检察机关的“分身”,成为可靠的“情报员”,通过他们搜集关于公益损害的大量信息,及时发现案件线索。(4) 出台公益损害案件线索举报奖励办法。可以考虑将该奖励办法予以制度化和规范化,既在物质上对提供线索的人给予奖励,最大程度扩大公益诉讼案件线索来源,同时,加强对线索的筛选至关重要,以防止激励措施产生负面效果,避免举报人为了获得奖励而提供虚假或不实的信息,导致检察机关在错误的线索中浪费时间和司法资源。
4.2. 强化检察机关调查取证权
有学者认为,在检察机关提起公益诉讼制度的构建中,调查取证是职权配置的关键。拥有调查取证的权力是检察机关提起公益诉讼的必要前提与保障,它直接影响到公益诉讼的质量和效果。如果不能有效及时调取证据,公益诉讼制度的有效推行将受到显著限制[10]。还有学者认为,仅依赖检察机关去收集和调查大量数据是不切实际的,因此应当建立一个网络平台的数据报送制度,以减轻检察机关在调查取证过程中的困难[11]。
虽然法律授予检察机关在公益诉讼中进行调查和核实的权利,但这些权利的法律效力较弱,缺少强制执行力。因此,检察机关需要创新其调查和取证的方法。由于刑事责任和侵权责任的调查取证方向存在差异,公益诉讼部门应与刑事检察部门密切合作,明确两种证据的不同之处,并通过刑事检察部门的早期参与和侦查补充,指导公安机关对证据进行收集和加强,特别是在涉及敏感信息的案件中,应加强对数据的全面搜索,消除重复信息,并及时确保侵权责任的相关证据。此外,检察机关应借助专家学者的知识来解决专业难题。从检察公益诉讼的目标和价值取向来看,它不仅关注侵害公共利益的行为本身,还关注这些行为的成因,并力求最大限度地减少损害,实现全过程、全方位的监督。最后,立法时应明确规定不配合检察机关调查取证的法律责任,赋予检察机关调查取证的刚性,以确保公益诉讼案件的处理质量和效果。
4.3. 合理分配控辩双方举证责任
在分配举证责任的过程中,诉讼法一般遵循“主张的一方负责举证”的准则。因此,在涉及个人信息保护的公益诉讼中,检察机关自然应承担起举证的职责。然而,根据司法实践,那些进行大规模个人信息侵权的通常是经济雄厚、技术先进的网络服务提供商或互联网公司,他们手中掌握着大量的证据。鉴于此,如果不对传统的举证责任分配进行调整,实质上无形中增加检察机关的举证负担,这不利于其有效行使诉讼权利,维护社会公共利益中的个人信息。因此,立法部门已经开始重新界定在个人信息保护公益诉讼中,控辩双方的举证责任,并试图在过错责任原则下,采用“高度盖然性”的标准,将举证责任转移到违法的一方。《个人信息保护法》第69条所规定的“过错推定责任”正是这种法律实践的具体表现。这意味着法官会预先确定被告有过错,并通过“举证责任倒置”的原则,要求被告证明自己并没有犯错,否则他们可能会面临败诉的危险。总结来说,在涉及个人信息保护的公益法律诉讼中,合理分配举证责任应以“主张和举证的主体”为主导,并适当采用“举证责任倒置”的策略。
5. 结论
个人信息保护检察公益诉讼已经进入了一个崭新的发展时期。检察院直接受理个人信息保护公益诉讼优势明显,鉴于检察机关处理个人信息保护方面公益诉讼案件所遭遇的困难,本文认为应当拓宽案件线索的来源,包括建立检察机关内部的信息共享系统、实施专门的个人信息保护司法监督活动,并制定奖励机制以鼓励公益损害案件线索的报告。此外,加强检察机关的调查和取证权力是必要的,这需要通过立法来确保其权力的坚定性,以及通过早期介入和侦查补充等措施,指导公安部门加强对敏感信息和人员的取证工作,以满足公益诉讼案件的要求和证据标准。同时,应合理分配控辩双方的举证责任,即检察机关在起诉过程中,根据公正原则,需首先提交证据来展示被告非法侵害了个人信息。反之,被告有责任证明其行为合法,否则可能因错误推定原则而败诉。总体而言,个人信息保护的检察公益诉讼对于确保个人信息保护法及其他相关法律的统一和正确执行至关重要,它为个人信息保护提供了坚实的法治保障。
项目基金
本课题由浙江省一般科研项目资助“个人信息保护检察公益诉讼制度研究”(项目编号:Y202353672)。
NOTES
1参见《个人信息保护法》第60条。该条确立的“互相分工、合作共管”的模式极易出现执法混乱、配合偏差的问题。
2参见《人民检察院公益诉讼办案规则》第83条、第98条。