【法寶引證碼】CLI.A.4124600、
【學科類別】民法總則
【出處】《新疆社會科學》2023年第2期
【寫作時間】2023年
【中文摘要】面對多元的個人信息保護機制,宜遵循融合性、互補性和優劣順位的基本路徑構建銜接方案。針對刑事制裁與民事公益訴訟并行適用的實踐亂象,應修正民事公益訴訟的適用邏輯并限縮其適用范圍。針對違法處理信息與違反安全保護義務兩種情形配置不同的行刑銜接方案,對于前者構建多層次規制體系,對于后者限縮適用刑事責任。根據信息侵害危險是否具有緊迫性、持續性選擇適用行政監管或行政公益訴訟制度。消費者組織或者國家網信部門確定的組織宜通過與檢察機關或者行政機關建立聯動機制發揮作用。應區分個人信息民事公益訴訟與一般侵權訴訟的適用情形與責任配置,采用行為規制進路的行政監管可以補足以損害或者風險為導向的侵權保護模式。
【中文關鍵字】侵犯公民個人信息罪;個人信息公益訴訟;行政監管;侵權責任;銜接路徑
【全文】
我國現行法體系中規定了侵犯公民個人信息罪、行政監管措施、人格權和侵權法保護規則、民事及行政公益訴訟等多項個人信息保護機制。“機制越多,就越需要相互協調與整體制度設計,處理不好可能導致不同機制之間的沖突或相互抵消。”[1]是故,在個人信息保護機制的理論構造與實踐執行中,不僅需要注意《個人信息保護法》規定的多種保護機制的銜接,還要關注整個法體系中個人信息保護措施的銜接與協同。當前,個人信息保護機制呈現“碎片化”現象,尤其是不同保護措施之間存在銜接不暢的問題,這在客觀上抑制了體系功能的發揮。[2]我國個人信息保護機制的實際運行存在如下不合理現象:刑事制裁機制直接觸發公益訴訟機制;行政監管機制與刑事制裁機制之間銜接不暢;民事公益訴訟與行政監管機制的錯位;同等規制平等主體之間與不平等主體之間的個人信息侵權行為;一般侵權保護與民事公益訴訟保護以及行政保護之間的界限不明,等等。既有研究更多地從部門法角度關注個人信息權益的法益屬性、構造、配套責任以及保護模式等具體議題,但是對于各項保護措施的價值基礎、功能定位缺乏跨越部門法的體系化的審視。我國采取了不同于比較法的全方位、多元化的保護機制,正是在這一現實背景之下,需要回答基于本土立法及實踐的中國問題:如何構建不同個人信息保護機制的銜接方案?為解決這一問題,須結合實踐中呈現的突出問題,[3]明確銜接路徑方案的基本立場,并結合個人信息保護機制各自的規范目的、功能和范圍展開。
一、個人信息保護機制銜接的基本路徑
個人信息保護的理論研究欲破除部門法壁壘勢必會面臨學科差異性的阻礙。或許正因為如此,盡管論者都意識到個人信息保護屬于領域法的范疇,僅依靠任何一個部門法規范或者理論供給都無法實現對個人信息的充分保護,但是論者要么止步于此,要么以某一部門法為中心作出有限的跨越努力。實際上,構建個人信息保護機制的銜接路徑不宜執著于某一特定機制,而是需要關注體系協同的面向,遵循融合性、互補性以及優劣順位,具體包括如下基本路徑:
(一)公私融合
個人信息保護在多個維度呈現出公私法融合特征,通過公私法的融合保護而非簡單地疊加保護可以更好地實現制度目標。[4]其一,在《個人信息保護法》立法過程中,關于個人信息私法保護的局限已多有論述。[5]盡管《個人信息保護法》第69條規定了過錯推定原則,但是在侵權行為、損害、因果關系方面仍然都面臨著證明難題。在解釋論立場下,除了內部的教義學構造努力之外,更應當注意銜接外部機制,如此才能實現周延保護。其二,《個人信息保護法》中累計20個條文設置了“法律、行政法規”的引致性規定,這表明盡管《個人信息保護法》作為一項體系完備的個人信息保護方面的基礎性法律,但是仍然需要通過大量的引致規定進行體系銜接和具體規定,從而形成了個人信息保護法律規范體系上的公私融合。其三,在價值體系上,個人信息保護也不必嚴格遵循私法自治與公權力限制的公私法區分。例如,作為個人信息保護民事公益訴訟適格主體的檢察機關、消費者組織以及其他組織一方面直接行使國家權力或者代替行政機關行使相應職責,但另一方面提起的公益訴訟在性質上屬于侵權訴訟。故,若將其落入“公私法二元論”的窠臼之中可能無法解釋個人信息保護的相應機制。實際上,即便是作為典型私法的《民法典》也包含了豐富的行政主體元素,客觀上發揮著公法功能。[6]超越公私法二元對立的個人信息保護立法模式也已經成為世界潮流。[7]
(二)實體法與程序法融合
實體救濟與程序支持是個人信息保護體系的重要特點。自2020年9月18日最高人民檢察院發布的《關于積極穩妥拓展公益訴訟案件范圍的指導意見》傳遞出將個人信息保護納入公益訴訟檢察工作新領域的信號以來,最高人民檢察院陸續通過發布典型案例和出臺司法解釋的方式對此予以明確。檢察機關作為維護社會公共利益的重要國家機關,通過建立個人信息保護的檢察公益訴訟制度及時回應國家和社會對個人信息安全的實際需求,正在成為個人信息保護的有力武器。[8]《個人信息保護法》第70條規定的個人信息保護民事公益訴訟制度也提供了法律層面的直接依據。盡管公益訴訟制度提供了程序支持力量,但是若無法將其與行政監管措施、刑事懲治等機制有效銜接,則可能無法實現其制度目標。一方面,個人信息保護民事公益訴訟規范概念不清晰可能導致其與實體法上的救濟路徑發生重合甚至沖突,實踐中便存在符合侵犯公民個人信息罪的入罪標準但選擇通過民事公益訴訟的方式實現懲治目標的情形;[9]另一方面,個人信息保護公益訴訟機制缺乏充分的經驗積累以及與其他救濟機制的銜接方案,這與其不斷強化的功能不相適應。例如,被告人給付的賠償款項歸誰所有、如何使用和管理均不明確,形成裁判不一的司法現象:將賠償款支付給檢察機關、上繳國庫、法院和檢察院共同指定賬戶、去向不明確,等等。在尚未構建完善的個人信息公益訴訟機制的當下,仍須尋求其他救濟機制的支持。
(三)優勢互補
從我國個人信息保護的發展歷程來看,呈現“刑先民后”的不合理現象。在民法上的基礎范疇尚未清楚厘定之際便進行嚴苛的刑法評價,可能造成刑法不堪重負。我國《刑法》對于個人信息保護的規定較為單薄,僅第253條之一作出直接規定,但卻積累了豐富的裁判經驗,并通過《最高人民法院、最高人民檢察院關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》(法釋〔2017〕10號,以下簡稱《兩高解釋》)形成了具體的裁判規則。反觀民法層面,雖然形成了較為完備的規范體系和理論供給,但裁判經驗積累明顯不足。法官的慣性裁判思維和刑法與民法體系的天然割裂,加劇了二者的鴻溝。但“刑事的歸刑事,民事的歸民事”的裁判邏輯并非無懈可擊的真理,遵循法秩序統一性原理,將二者在個人信息保護實踐中形成的優勢予以融合能夠產生有益效果,從而構建科學統一的個人信息保護法律適用體系。比如,個人信息保護的刑事裁判經驗為民事裁判提供可以借鑒參考的內容。刑法上通過《兩高解釋》將公民個人信息進行分級、分類厘定,最大限度地擴張到具有身份可識別性的個人信息、可能影響人身和財產安全的公民個人信息以及其他個人信息。[10]舉重以明輕,私法保護對個人信息的范圍更應當進行適當擴張。借鑒刑法分類處理與區別對待的方法處理個人信息侵權案件,實際上意味著民事案件的裁判需要進行自由裁量和綜合判斷,不宜一刀切地進行責任認定和分配。盡管這些刑事裁判經驗無法直接約束民事案件的法官并產生私法效果,但是影響基于法秩序統一視閾下的私法評價未嘗不可,甚或是有益的嘗試。總之,無論是在規范適用還是經驗互換上二者都是相輔相成的關系,不宜割裂開來。
(四)優先順序
各項保護機制的適用應當遵循“民先行后”或者“民先刑后”的思路,在滿足侵害個人信息侵權法上的違法性之后,再進行刑法或者行政法的違法評價。一方面,從《刑法修正案(七)》到《刑法修正案(九)》的立法變化已經表明刑事立法對個人信息保護呈現擴張態勢。這種擴張現象無疑契合現實需求,但是也可能隨之引發個人信息保護理念上的異化,即運用刑法手段擴大打擊面。在《民法典》《個人信息保護法》等法律已經相繼出臺的當下,刑事懲治則理應退居幕后。當然,刑事責任的豁免并不意味著侵權責任的免除,符合因信息侵權造成下游損害的侵權模式時,按照侵權規則處理即可。[11]實踐中還存在大量個人信息被用于詐騙的案件,若循前案裁判邏輯,此種情形中提供個人信息的行為人無一例外地需要承擔刑事責任,這顯然會導致打擊面過寬的問題。另一方面,行政規制措施可能過于嚴厲。《個人信息保護法》第67條規定了信用懲戒措施,但是并未明確此種行政監管措施究竟是選擇適用還是直接適用,企業即使實施了輕微的違法行為也可能會面臨信用懲罰,有違比例原則之嫌。實際上,通過個案訴訟卻可以對個人信息處理者規模化的違法行為產生威懾效應,從而激勵或者促進信息處理者的合規。[12]這一點或能從個人信息保護糾紛中呈現的大量撤訴現象得到印證。在選定的85件民事樣本案例中,51份裁定書中有43份是原告申請撤訴或者法院按撤訴處理(占比84%)。一言以蔽之,如若違背民事先行的原則,可能會產生入罪要件松動、行政規制過度等負面效應。
二、刑事制裁機制與公益訴訟制度的銜接
(一)刑事制裁與公益訴訟的實踐亂象
我國的民事公益訴訟和行政公益訴訟已經成為個人信息保護的重要機制,尤其是個人信息保護的檢察公益訴訟成為檢察院發揮維護公共利益職能的重要內容。僅2021年檢察機關提起的個人信息保護公益訴訟案件就超過2000件,[13]同時在“北大法寶”數據庫中檢索發現,2021年審結的侵犯公民個人信息罪的案件數量為1727件,兩項數據相互印證:幾乎全部侵犯公民個人信息的刑事案件均啟動了公益訴訟制度。產生此種現象的裁判邏輯在于觸犯侵犯公民個人信息罪必然侵犯社會公共利益,盡管刑事公訴案件都符合侵犯社會公共利益的要件,但若均附帶提起公益訴訟顯然違背制度初衷。
兩種機制并行適用的方式也會導致具體措施產生重合問題。申言之,一是刑事制裁中的沒收等措施與民事公益訴訟中的停止侵害、排除妨害或者消除危險等侵權責任承擔方式的重復適用。例如法院在刑事判項中作出扣押作案工具并沒收、格式化手機內容的處罰,同時在民事公益訴訟判項中要求被告人永久性刪除其通過非法手段獲取的公民個人信息。盡管法院已經意識到兩項措施的重復(“如本判決第二項已執行完畢,則本判項不再重復執行”),但是并沒有擇一適用。[14]二是刑事制裁中的追繳或者退賠與民事公益訴訟中的損害賠償重合。例如,法院將收繳違法所得與民事公益訴訟中的損害賠償并行適用,即收繳違法所得之后還要進行公益訴訟的損害賠償。[15]但是不同判決則認為二者只能擇一適用,否則違背“禁止重復評價”原則,故有的法院選擇個人信息保護民事公益訴訟中的損害賠償,有的法院則選擇追繳違法所得而放棄了公益訴訟的損害賠償。刑事制裁措施與公益訴訟之間的亂象可見一斑。
(二)民事公益訴訟的邏輯修正與適用限縮
循法院裁判邏輯,無論是刑事懲治還是公益訴訟均旨在維護社會共同利益,但是民事公益訴訟救濟措施與刑事制裁措施具有相當的重合性,若對行為人的雙重懲罰將違反“不得重復評價”的基本法理。故,有必要重新梳理二者各自的規范目的與適用范圍。
首先,侵犯公民個人信息罪侵犯的法益與民事公益訴訟的法益并不完全相同。盡管前者在相當程度上損害了社會公共利益,但是此種意義上的社會公共利益損害并不足以構成民事公益訴訟中的社會公共利益。《個人信息保護法》第70條將違法處理個人信息的行為和侵害眾多個人權益的后果作為民事公益訴訟的實質構成要件,因此在個人信息被侵害領域,需要圍繞“侵害眾多個人的權益”判斷民事公益訴訟制度適用與否。結合《民事訴訟法》第58條的規定可以認為,侵害社會公共利益是提起民事公益訴訟的核心要件。同樣地,按照立法意旨和體系解釋,《個人信息保護法》第70條“侵害眾多個人的權益”的后果要件并非簡單地解釋為存在多個受害者,而是應當采取實質解釋的進路,即侵害眾多個人的權益并達到侵害社會公共利益的標準。否則,民事公益訴訟制度不僅無法與多主體訴訟(代表人訴訟或者集團訴訟等)區分,也可能導致適用的恣意性。對社會公共利益的判斷既不能簡單以個體利益的累加進行判斷,也不能以行為人獲益的大小進行判斷,個人信息的公共利益損害有其獨立構造。結合信息損害的特殊性,可以將侵害社會公共利益具體化為引發社會風險,該社會風險與個人權利被侵害的風險不同,主要表現為公共安全、公共秩序和數據壟斷等方面。[16]因此,在侵犯公民個人信息罪案件中,需要將僅侵犯特定主體個人信息的情形排除在公益訴訟制度之外,即便侵犯多個主體的個人信息也并不意味著當然適用公益訴訟。
其次,個人信息民事公益訴訟僅適用于侵犯強公共利益的情形。《個人信息保護法》第70條規定的個人信息保護民事公益訴訟改變了《民事訴訟法》第58條規定的檢察機關提起民事公益訴訟的前置程序,《個人信息保護法》的規定意味著檢察機關無需公告可以直接提起民事公益訴訟。[17]有觀點甚至認為,提起民事公益訴訟的訴權主體順位應當確定為檢察機關—消費者組織—有關組織。[18]這意味著,與其他領域的公益訴訟不同,個人信息保護領域檢察機關應當發揮關鍵的引領作用。這同時也表明,個人信息民事公益訴訟需要進行適當限制,否則可能會導致檢察機關職權泛濫、不堪重負。因此,需要區分特殊公共利益和一般公共利益,僅僅構成侵犯公民個人信息罪只屬于對一般公共利益的損害,即便不構成侵犯公民個人信息罪也可能侵犯特殊公共利益,只有在引發社會風險或者風險具體化后侵犯特殊公共利益時才應當提起民事公益訴訟。
最后,個人信息民事公益訴訟銜接刑事制裁機制的合理空間。一方面,非刑罰性處置措施與民事公益訴訟的銜接。《刑法》第37條規定了犯罪情節輕微免予刑事處罰時的賠禮道歉、賠償損失等非刑罰性處置措施,這與個人信息民事公益訴訟通常采取的賠禮道歉和賠償損失等方式具有一致性。因此,在符合非刑罰處置措施的適用條件時,可以據此直接處理侵犯社會公共利益的不法行為,而不必另行啟動公益訴訟機制造成司法資源浪費。另一方面,刑事酌定不起訴與民事公益訴訟的銜接。盡管檢察機關對被告人作出刑事不起訴決定,但是刑事責任的免除并不意味著民事責任的豁免,此時通過民事公益訴訟的方式進行銜接是合理選擇,由此實現對社會公共利益的保護。
三、刑事制裁機制與行政監管措施的銜接
《個人信息保護法》第66條是對侵犯個人信息行為進行行政處罰的基本依據。該條表明,行政處罰規制的侵害行為包括違法處理個人信息或者處理個人信息未履行個人信息保護義務兩種情形,但無論是從規范內容還是從可罰性來看,這兩種行為在刑事制裁與行政規制措施的適用上均不宜等同。
(一)違法處理個人信息:多層次規制體系《刑法》規定的侵犯公民個人信息罪僅規范違法處理個人信息的行為,未履行安全保護義務的行為并非該罪規范對象。由此,違法處理個人信息時將可能觸發行政處罰和刑事懲治機制。《個人信息保護法》第66條根據侵害行為的嚴重性采取了分層處理的方式,即情節嚴重時直接處以高額罰款、吊銷營業執照等嚴厲懲罰。但是,對于何為“情節嚴重”立法并未予以明確,對“情節嚴重”認定不當還可能加劇行政處罰與侵犯公民個人信息罪的緊張關系,因為社會危害性超出行政管理的規范范圍則會觸發刑事處罰。這一問題在近期轟動全國的“滴滴被罰案”中凸顯出來。因滴滴公司實施違法收集用戶相冊信息、過度收集人臉識別信息等行為,國家互聯網信息辦公室對其作出高額行政處罰。根據《刑法》第253條第3款、《兩高解釋》第4條,滴滴公司的行為符合侵犯個人信息罪的犯罪構成,但卻以行政處罰的方式落幕。無獨有偶,“全省首例違反新消法侵害個人信息案”中,未經消費者同意,違法收集個人信息高達23852條,市場監督管理局作出責令改正并罰款15萬元的行政處罰。[19]此種情形也符合《兩高解釋》第5條第(五)項和《刑法》的入罪條件,但是并未啟動刑事程序。具有相似案情的最高人民檢察院第140號指導案例“柯某侵犯公民個人信息案”則采取了刑法規制的手段。[20]由此可見,刑事措施與行政處罰措施的混用現象可見一斑。
《行政處罰法》第8條第2款明確規定“違法行為構成犯罪,應當依法追究刑事責任的,不得以行政處罰代替刑事處罰。”《兩高解釋》對侵犯公民個人信息罪的“情節嚴重”、“情節特別嚴重”通過列舉加概括的方式進行了詳細規定。對于如何區分適用《個人信息保護法》第66條的兩款規定是較為復雜的另一議題,需要司法解釋進行完善,本文對此不過多著墨。但需明確的是,應結合《刑法》第253條之一、《兩高解釋》與《個人信息保護法》第66條構建違法處理個人信息的多層次規制體系。也即,需要在違法處理個人信息的一般情形、情節嚴重情形、侵害公民個人信息罪的情節嚴重情形與特別嚴重情形四種情形之中形成基于同一評價標準的差別認定秩序。在不符合“情節嚴重”的犯罪構成要件時,可能落入行政處罰或者侵權救濟的范疇,但無論適用何種救濟機制,均應當參照《刑法》第253條之一第2款的“從重處罰”的方式進行確定責任,以契合法秩序的統一性。
國家機關和履行個人信息保護職責的部門的工作人員違法處理個人信息具有特殊性。與《日本個人信息保護法》第2條明確將國家機關、地方公共團體、獨立行政法人等排除在外不同,[21]我國法明確規定國家機關及其工作人員的信息保護義務。首先,國家機關違法處理個人信息的無法適用《個人信息保護法》第66條的行政處罰規定,但是可以參照適用第68條第1款規定的未履行個人信息安全保護義務的行政內部責任。但由于國家機關的特殊性,其無法作為刑事犯罪的主體。其次,相較于未履行安全保護義務的行為,履行相應職責的工作人員違法處理個人信息可罰性更加明確,因此按照舉重以明輕的解釋方法,《個人信息保護法》第68條第2款規定的行政處分責任也應當適用于違法處理信息的工作人員。此外,違法處理個人信息的行為還違反《民法典》第1039條規定的國家機關、承擔行政職能的法定機構及其工作人員對信息的保密義務,因此可能需要承擔私法責任。事實上,在私法中規定的國家機關及其工作人員的個人信息保護義務兼具公法屬性和私法屬性。當“所負責的工作沒有法律上的強制力,并非行政機關在行使行政管理職權過程中對特定公民、法人或其他組織作出的影響其權利義務的行為”時,侵害個人信息權益的行為屬于平等民事主體之間的民事法律關系,屬于人民法院受理民事訴訟的范圍。[22]
(二)未履行安全保護義務:刑事責任限縮
未履行個人信息安全保護義務屬于《個人信息保護法》第66條規定的行政處罰適用范圍,責令改正、警告、責令暫停或者終止提供服務等是監督信息處理者依法履行信息安全保護義務的有力措施。《個人信息保護法》第71條并沒有區分違法處理個人信息行為和未履行安全保護義務的行為,意味著針對未履行安全保護義務的行為并不排斥刑事責任。實際上并非如此,《個人信息保護法》第5章規定的“個人信息處理者義務”雖然具有強制性,但是將其中的安全保護義務納入刑法評價范疇并不符合比例原則。《治安管理處罰法》中有關個人信息保護的第29條、第42條也僅針對積極實施的違法處理行為。故,應排除一般信息處理者未履行安全保護義務的刑事責任,轉由《個人信息保護法》第66—67條的行政監管機制予以規制,這也符合立法意旨。[23]一個例外是,依照《個人信息保護法》第68條的規定,履行個人信息保護職責的工作人員未依法履行個人信息安全保護義務時,可能觸發刑事制裁機制。即除了行政處分之外,可能構成玩忽職守罪、濫用職權罪以及徇私舞弊罪。
四、公益訴訟制度與行政監管措施的銜接
個人信息保護公益訴訟制度應當著力解決社會公益方面的問題,不能忽視其他維權途徑。[24]但行政監管措施與公益訴訟制度均致力于保護社會公益,如何銜接二者成為一項難題。
(一)行政公益訴訟與行政監管
《中共中央關于全面推進依法治國若干重大問題的決定》中提出檢察公益訴訟制度的初衷在于“彌補缺失行政違法侵害公共利益的司法監管的治理漏洞”[25]。通過監督行政的方式維護公共利益乃公益訴訟的制度源頭。有學者認為,針對個人信息保護適用行政公益訴訟并不合適,[26]《個人信息保護法》第70條也僅規定了個人信息保護的民事公益訴訟而沒有規定行政公益訴訟,似乎也已經表明了立法的選擇。盡管《個人信息保護法》未作出行政公益訴訟的直接規定,但是卻并非缺失法律依據。立法沉默并不意味著對某一制度的否定,也可能是保留規定留待實踐進行經驗積累,此種立法考量也契合我國個人信息公益訴訟經驗尚不充分的實際國情。由于國家機關無法成為侵犯公民個人信息犯罪的主體,因此無法適用《刑法》第253條之一第4款的單位犯罪規定,作為個人信息保護重要機制的行政監管缺乏有力的激勵機制。若缺乏有力的監督機制,《個人信息保護法》專設“國家機關處理個人信息的特別規定”一節可能成為一紙具文。從《個人信息保護法》第68條來看,立法者對行政機關及其工作人員的責任規定也較為委婉,體現了立法折衷主義。此時,通過檢察行政訴訟敦促行政機關積極履行職能更加具有現實必要性。實踐中也創制了個人信息行政公益訴訟的樣本。例如,在“農機購置補貼信息公開案”中,某政府官方網站公布了涉及身份證號碼、家庭住址、銀行賬戶、手機號碼等個人信息的農機購置補貼情況,檢察機關通過提起行政公益訴訟敦促該行政機關立即刪除該信息。[27]總之,行政公益訴訟在監督涉個人信息行政執法上具有適用空間。
進一步而言,在個人信息行政公益訴訟與行政監管的銜接上,應當遵循如下方式:首先,對于需要行政機關立即采取停止侵害、消除危險等救濟方式的情形,不宜通過訴訟方式進行,發現線索的有關機關或者個人通過線索移交或者民主監督的方式可以實現對個人信息權益的及時救濟。前述“農機購置補貼信息公開案”即不應適用行政公益訴訟模式。其次,在不具有緊迫危險而是體現為持續性侵害的情形下,則通過行政公益訴訟可以強化司法機關對行政活動的監督。依據《行政訴訟法》第25條第4款的規定,檢察機關提起行政公益訴訟的前置程序是行政機關在收到檢察建議后仍未依法履行職責。實踐中,約98%的行政公益訴訟檢察建議在訴前都得到了有效整改。[28]例如,在最高人民檢察院發布11件檢察機關個人信息保護公益訴訟典型案例中,[29]甘肅省平涼市轄區內多家快遞企業的快遞單未對用戶個人信息采取隱匿化等有效保護措施,存在泄露公民個人信息重大隱患。在另一則典型案例中,檢察機關要求行政機關依法對案涉手機APP違法收集使用個人信息行為進行監管及處罰,并加強對本市轄區內APP收集使用個人信息等行為的監管,強化網絡執法督查相關工作。[30]此類個人信息違法現象的治理具有持續性,而且違法事實尚需充分論證,因此應當通過行政公益訴訟的方式敦促相關監管部門持續跟蹤整改情況。
(二)民事公益訴訟與行政監管
有觀點提出,對個人信息處理行為進行行政規制的必要性在于,除了個人信息私法保護固有的缺陷之外,成千上萬的民事侵權案件涌入法院可能導致司法機關不堪重負,因此即便在以法院為中心的美國也多由美國貿易委員會(FTC)承擔個人信息保護和救濟任務。[31]為解決前述問題,我國公益訴訟制度發揮了重要作用,這同時引發我們思考民事公益訴訟與行政規制的關系。民事公益訴訟既屬于私法訴訟機制的方式,也與行政監管機制的利益面向具有類似性,故需要對兩種機制進行合理銜接。
第一,消費者組織和國家網信部門確定的組織的職能轉向。與個人信息保護中提起行政公益訴訟的主體不同,《個人信息保護法》第70條規定提起民事公益訴訟的適格原告包括檢察機關、消費者組織和國家網信部門確定的組織,但是實踐中,鮮見消費者組織或者國家網信部門確定的組織作為個人信息保護公益訴訟的原告。[32]與檢察公益訴訟不同,消費者組織或者國家網信部門確定的組織在配套機制和資金支持等方面尚不完善,在應對繁瑣、復雜的公益訴訟中,可能顯得力不從心。但是,消費者組織與國家網信部門確定的組織在特定領域的專業性和事實查證方面卻具有明顯優勢。在這兩種主體提起公益訴訟的配套機制完善之前,可以考慮將其職能重點轉為與檢察機關或行政機關的聯動。具體而言,消費者組織等主體在發現相應違法線索之后,及時向檢察機關或者行政機關報告案件,由行政機關通過行政監管、檢察機關通過公益訴訟等方式實現對個人信息違法處理行為的整治;行政機關等主體在治理個人信息違法現象時,主動與前述主體協同調查、論證與實施懲戒,充分發揮各自優勢。
第二,檢察民事公益訴訟適用范圍的限制。個人信息保護的民事公益訴訟呈現為刑事附帶民事公益訴訟(占絕大多數)和單獨提起民事公益訴訟兩種形式。兩種情形與行政監管機制的銜接應當區別處理。一方面,在刑事訴訟程序已經啟動的情形下,利用偵查機關和檢察機關的證據收集優勢和起訴主體同一的便利優勢,適用附帶民事公益訴訟符合節約司法資源的目的,但是此時應當關注刑事制裁措施與民事公益訴訟的責任承當方式之間的銜接適用;另一方面,在單獨提起民事公益訴訟的情形下,則應當予以嚴格限制,這既符合節約司法資源的原則,也契合當前消費者組織或者國家網信部門確定的其他組織提起民事公益訴訟欠缺充分的保障措施的現實情況。此時,交由行政規制或許是更為經濟合理的選擇。正如有學者指出的“對公共利益之維護,我國應主要依賴行政機關履行職責……檢察機關提起民事公益訴訟的空間極其有限。”[33]
五、私法保護的合理定位與制度銜接
(一)個人信息侵權保護的兩種路徑及其區分
個人信息民事公益訴訟與一般侵權訴訟屬于侵權保護的兩種方式,二者運行的邏輯差異決定了無法對二者進行統一的責任構建。有觀點認為,《個人信息保護法》主要調整具有專業性或商業性收集能力的主體與信息主體之間的不平等關系,日常活動與國家執法活動中的個人信息收集與處理均不在個人信息保護法調整范圍。[34]循此觀點,平等主體之間的侵害行為無法適用《個人信息保護法》中的民事公益訴訟制度。但是平等主體實施的侵害公民個人信息犯罪案件中卻在大量適用該制度。可見,當事人地位平等與否并非區分適用一般侵權保護與公益訴訟保護的核心要點,回到公益訴訟制度本身才是合理選擇。
首先,個人信息民事公益訴訟的啟動必須以滿足社會公眾的普遍性需求為目的。但何為社會公眾的普遍性需求尚需結合社會一般觀念進行具體判斷。如果信息處理行為僅違背特定人的期待或者利益,此時進行一般民事訴訟即可,不宜啟動公益訴訟程序。例如,在“微信讀書案”中,將使用微信讀書軟件生成的信息向共同使用微信讀書的微信好友展示的行為,盡管侵犯原告人格利益,但是卻并不必然侵犯其他用戶的人格利益。實際上,隨著現代社會價值的多元化,信息主體對信息處理活動具有不同的期待和需求。不可否認的是,不少個體愿意以犧牲個人信息權益為代價來換取其他利益。因此,對于不具有嚴重侵害個體信息權益的信息處理行為,公益訴訟理應保持謙抑,不宜越俎代庖直接代替個體進行公益訴訟。這就要求對《個人信息保護法》第70條“眾多”的解釋應當以一般理性人的立場判斷信息侵害行為是否使信息個體普遍受到侵害或者引發社會風險。
其次,民事公益訴訟制度無法滿足個體的特定訴求。有學者認為,法院判決個人信息侵權案件中的個體勝訴后,應考慮自動觸發公益訴訟機制。[35]此種方案實際上擴張了公益訴訟的適用范圍。誠然,相較于私益訴訟面臨的舉證困難、損害輕微、激勵不足等問題,民事公益訴訟具有明顯的制度優勢。但是它卻未必能滿足受害個體的實際訴求或期待。因為不同個體遭受的損害或者訴求可能并不相同,有的側重精神損害賠償,有的側重賠禮道歉,有的則側重消除危險或者停止侵害,如果一味啟動民事公益訴訟,可能無法實現對個人信息的充分且合理的救濟。當然,已經形成的共識是:民事公益訴訟與一般民事訴訟雖然指向共同的侵權行為,但是由于二者分別保護不同的法益,故可以并行不悖。
最后,民事公益訴訟中不宜適用懲罰性賠償制度。在一則典型案例中,法院認為被告存在利用非法獲取的公民個人信息進行消費欺詐的行為,支持了檢察院在民事公益訴訟中提起的三倍懲罰性賠償的主張。[36]也有學者極力主張在個人信息保護中引入懲罰性賠償制度。[37]但是,懲罰性賠償的正當性基礎之一在于,在特定領域并非所有的受害者都會提起訴訟主張損害賠償,因此受害者提起個案訴訟主張獲得懲罰性賠償在實現自身權利救濟的同時,使加害人不至于因違法行為而獲益。但是,如果檢察院不限于按照違法獲益所得主張懲罰性賠償,而擴張至每位受害者的實際損害,則與懲罰性賠償制度的保護目的相違背,不符合懲罰性賠償的實體正義。在尊重現行立法的立場下,懲罰性賠償制度符合《消費者保護法》等法律規定的懲罰性賠償制度適用條件時,可以有限地適用于個體提起的一般侵權訴訟,在民事公益訴訟中則應予以限制。
(二)刑民銜接機制
1.侵害法益的刑民銜接
侵犯公民個人信息罪的保護法益是我國刑法理論上極具爭議性的問題。我國刑事司法實踐中采取了以保護超個人法益為原則、以保護個人信息自決權為例外的規制思路。《兩高解釋》第5條、第6條通過設置定量要素來確定是否構成侵犯公民個人信息犯罪的方式表明了本罪的保護法益并非僅僅是保護個人信息自決權這一明顯具有個體性的法益,而是更加側重對損及社會管理秩序、引發社會風險等社會危害性的防范。相反地,民法上個人信息保護的對象實質上是一種私益,只有在例外情形下侵犯社會公共利益,此時則通過公益訴訟制度進行救濟。《個人信息保護法》第70條規定的個人信息民事公益訴訟制度中“侵害眾多個人的權益”與《兩高解釋》確立的數量標準具有相同之處:在侵害信息主體個人信息達到一定數量實際上可能意味著已經造成了對社會公共利益的損害,應當受到國家公權力的保護。在二者的銜接機制上,一方面公益訴訟可以參考《兩高解釋》確定的數量標準作為提起公益訴訟的條件;另一方面也應當注意到二者在規范上的不同之處,前者側重受害主體數量之多,而后者并無此限制,這意味著如果僅侵犯少數主體的大量信息且達到了相應的數量標準時僅具有刑法評價的空間。實際上并非如此,刑法保護與公益訴訟保護的價值立場具有一致性,即維護社會公共利益。因此,不宜對侵犯少數主體的大量信息與侵犯多數主體的少量信息進行區別對待,二者應當受到同等評價。所以,在解釋論上,應當將《個人信息保護法》第70條“侵害眾多個人的權益”進行目的性擴張,將侵犯少數主體的大量信息權益納入公益訴訟的救濟范圍。
2.免責事由與出罪事由
《民法典》第1036條規定了處理個人信息的三種免責事由:信息主體或監護人同意、處理已公開信息以及為維護公共利益或信息主體合法權益的處理行為。理論界已有刑法學者開始探索將民法上的免責事由或者權益內容納入侵犯個人信息罪構罪或者出罪事由的合理路徑。當前,盡管在構建法秩序統一性原理的過程中仍然存在緩和的違法一元論、違法相對論以及違法多元論等不同理論學說,但可以形成共識的是,符合民法上侵權行為免責事由的情形必然符合刑法出罪事由(是否構成犯罪在所不問),而被評價為侵犯公民個人信息罪的行為必然具有民事違法性。將個人信息保護機制置于法秩序統一性原理框架之下,能夠解決法律評價上的部分難題。例如,對未經信息主體同意,獲取部分已公開的企業登記信息、征信信息并出售或者提供給他人的情形存在有罪說、無罪說等對立觀點,但是若結合《民法典》第1036條第2款規定并作反面解釋,即可得出不合理處理已公開個人信息即應受到否定評價。[38]這一思路在入罪判斷上也有適用空間。比如,姓名、身份證號碼、電話號碼等與健康信息、行蹤信息等隱私信息或者敏感信息無法受到同等保護,對前者信息的處理的目的正當性可以補正其違法性。
(三)行政規制和侵權訴訟的銜接
行政法學者與民法學者從不同學科視角為解決個人信息保護的現實困境提供了多種解決方案,但是受學科思維的桎梏可能會不同程度地忽視了行政規制與侵權訴訟的銜接問題。
首先,保護范圍的差異。對比《個人信息保護法》第66條和第70條的規定可以發現,在“違反本法規定處理個人信息,或者處理個人信息未履行本法規定的個人信息保護義務”時產生行政責任,僅在“違反本法規定處理個人信息”時可以提起民事公益訴訟。由此可見,盡管民事公益訴訟與行政監管具有保護目的指向的同一性和保護價值的同位階性,但二者規制的行為范圍存在差異,民事公益訴訟僅保障個人信息依法處理義務,而行政監管除此之外還保障個人信息安全保護義務。
其次,具有個案性的一般侵權訴訟向行政監管機制履行個人信息安全保護職責轉移。個案撤訴系當事人處分自己的民事權利,法院應當予以尊重。但是法院在處理個人信息保護侵權糾紛時,發現信息處理者牽涉多起類似案件,則須查明是否存在關涉公共利益的合規風險。原因在于,并非所有受害者均知悉信息侵害行為且有能力提起訴訟,而且個人信息本身就具有公共性,尤其是當眾多個人信息被侵犯時則可能直接關涉公共利益。例如,裁判文書顯示,某銀行涉及大量個人信息保護糾紛,[39]盡管案件多以撤訴結案,但是司法機關作為國家權力機關,同樣發揮著社會治理的積極功能,故不宜對銀行是否存在個人信息安全隱患置之不理,而是應當通過司法建議或者線索移送的方式與行政主管部門銜接,這也符合我國司法體制下的司法能動主義理念。
最后,在違法處理個人信息場合協調行政監管與侵權訴訟。其一,采用行為規制進路的行政監管機制具有優勢。裁判文書統計數據顯示,郭某累計提起的28件個人信息保護侵權案件盡管針對不同被告但事實具有類似性,法院僅在一起案件中支持其賠禮道歉的請求,其余案件均以證據不足或者未造成損害為由駁回或者由當事人撤訴。該系列案中,無論是公益訴訟還是個案侵權訴訟均不甚合理。原因在于,無論是民事公益訴訟還是個案訴訟,均屬于民事侵權的訴訟方式,民事侵權責任以“損害”為構成要件,但是系列案中被告行為主要表現為向原告發送數量較少的商業推廣短信,結合該行為以及過錯程度,尚不足以達到構成精神損害的程度。可以說,這種侵害行為不僅對個體損害輕微,而且對社會公共利益的損害也并不顯著,因此無法適用以損害或者風險為導向的侵權保護模式。但是,行政監管模式則是采取行為規制進路,只要信息處理者違反《個人信息保護法》等法律規定即具有不法性,對是否造成達到侵權責任標準的損害在所不問,故此時采取行政保護措施是合理選擇。其二,在一般侵權訴訟中,法院通過個案裁判實際上承載了法政策的執行功能。例如,在“賈友寶、青島遠海教育服務有限公司等個人信息保護糾紛案”中,被告在獲取個人信息后僅向原告撥打過一次電話以及添加微信,但是法院判決被告承擔3000元的精神損害賠償金。[40]實際上,我國立法上對精神損害賠償制度的適用作出了嚴格限制,前案的精神損害數額與侵權嚴重程度并不相符,可能的解釋在于法院通過確立精神損害賠償或者提高賠償數額實現懲罰目的。此種路徑雖然在個案的法理邏輯上有所欠缺,但是從法秩序的整體觀之,則未為不可。原因在于,通過在個案民事訴訟中的酌定范圍內適當提高體現懲罰性的相應數額,對違法行為以司法評價代替行政評價,既能實現司法資源的有效利用,也有利于及時解決糾紛。
雖然個人信息保護立法在比較法上已經呈現統一趨勢,但是各國國情、制度設計與配套卻并不盡然相同,因此探索符合我國個人信息保護法律體系的銜接機制是一項具有重大意義的議題。應當摒棄中心主義思維,構建關注不同機制之間的交融性和互補性的銜接路徑。當然,此種路徑也將生發出系列具體問題亟待解決,突出表現為兩個方面的問題:一是各項機制之間的重合交叉適用;二是各項機制之間的先后順序。本文嘗試秉持教義學立場回答個人信息保護機制之間如何區分、銜接與協同,但執著于教義學的構建有其固有的局限性。未來還需關注到個人信息保護的規范完善,具體而言:一方面,《個人信息保護法》中尚包含諸多不確定法律概念需要不斷積累實踐經驗,并通過司法解釋的方式進行細化規定;另一方面,法律、行政法規需要通過修訂法律的方式與《個人信息保護法》《刑法》《民法典》進行銜接,例如施行逾十年的《治安管理處罰法》已經無法適應個人信息保護的需求。
【作者簡介】
譚佐財,武漢大學法學院博士生;冉克平,武漢大學法學院{教授、博士生導師。
【注釋】
[1]周漢華:《平行還是交叉——個人信息保護與隱私權的關系》,《中外法學》2021年第5期。
[2]張勇:《公民個人信息刑法保護的碎片化與體系解釋》,《社會科學輯刊》2018年第2期。
[3]在Alpha數據庫中,以“標題:個人信息”、“文書公開情況:全文公開”、“案由:民事或刑事或行政”、“審理程序:一審或二審或再審或其他”為檢索條件進行裁判文書檢索,截至2022年10月9日,共獲得11621條檢索結果,注釋3標黃部分改為“民事案件、行政案件和刑事案件分別為138件、12件、11471件,對民事案件和行政案件合并裁判結果相同的系列案件、不同審級的同一案件、剔除無效案件后剩余民事案件85件,對刑事案件采取全樣本分析和抽樣分析相結合的統計分析方法累計選取229份樣本”。
[4]丁曉東:《個人信息公私法融合保護的多維解讀》,《法治研究》2022年第5期。
[5]丁曉東:《個人信息私法保護的困境與出路》,《法學研究》2018年第6期。
[6]冉克平、譚佐財:《〈民法典〉發揮公法功能的法理邏輯與基本路徑——以〈民法典〉中行政主體規范為中心》,《浙江學刊》2022年第1期。
[7]張新寶:《我國個人信息保護法立法主要矛盾探討》,《吉林大學社會科學報》2018年第5期。
[8]最高人民檢察院:《檢察機關積極維護個人信息安全,2021年辦理個人信息保護領域公益訴訟案件2000余件》,https://www.spp.gov.cn/spp/xwfbh/wsfbh/202202/t20220227_545967.shtml,最后訪問時間:2022年10月25日。
[9]參見(2021)遼01民初3574號。
[10]于沖:《侵犯公民個人信息罪中“公民個人信息”的法益屬性與入罪邊界》,《政治與法律》2018年第4期。
[11]謝鴻飛:《個人信息處理者對信息侵權下游損害的侵權責任》,《法律適用》2022年第1期。
[12]王錫鋅:《重思個人信息權利束的保障機制:行政監管還是民事訴訟》,《法學研究》2022年第5期。
[13]最高人民檢察院:《檢察機關積極維護個人信息安全,2021年辦理個人信息保護領域公益訴訟案件2000余件》,https://www.spp.gov.cn/spp/xwfbh/wsfbh/202202/t20220227_545967.shtml,最后訪問時間:2022年10月25日。
[14]參見(2022)粵0705刑初17號。
[15]參見(2022)黑0422刑初28號、(2022)贛1102刑初93號。
[16]梅夏英:《社會風險控制抑或個人權益保護——理解個人信息保護法的兩個維度》,《環球法律評論》2022年第1期。
[17]周漢華:《〈個人信息保護法〉條文精解與適用指引》,北京:法律出版社,2022年,第398頁。
[18]張陳果:《個人信息保護救濟機制的比較法分析與解釋論展開》,《蘇州大學學報》2021年第4期。
[19]陳麗莎:《溫嶺查處首例侵害消費者個人信息案》,《臺州日報》2021年3月30日第04版。
[20]最高人民檢察院第三十四批指導性案例(檢例第140號)。
[21]「個人情報の保護に関する法律」參照。
[22]參見(2022)京02民終6656號。
[23]楊合慶:《中華人民共和國個人信息保護法釋義》,北京:法律出版社,2022年,第171頁。
[24]張新寶、賴成宇:《個人信息保護公益訴訟制度的理解與適用》,《國家檢察官學院學報》2021年第5期。
[25]胡衛列:《國家治理視野下的公益訴訟監察制度》,《國家檢察官學院學報》2020年第2期。
[26]程嘯:《個人信息保護法理解與適用》,北京:中國法制出版社,2021年,第531頁。
[27]最高人民檢察院發布11件檢察機關個人信息保護公益訴訟典型案例之五:江西省樂安縣人民檢察院督促規范政府信息公開行政公益訴訟案。
[28]徐日丹:《形成獨具特色公益司法保護“中國方案”》,正義網,http://news.jcrb.com/jszx/202210/t20221019_2455280.html,最后訪問時間:2022年10月25日。
[29]甘肅省平涼市人民檢察院督促整治快遞單泄露公民個人信息行政公益訴訟案。
[30]江西省南昌市人民檢察院督促整治手機APP侵害公民個人信息行政公益訴訟案。
[31]張新寶:《我國個人信息保護法立法主要矛盾探討》。
[32]陳奇偉、聶琳峰:《個人信息公益訴訟:生成機理、適用困境與路徑優化——基于203份裁判文書的實證分析》,《南昌大學學報》2022年第3期。
[33]林莉紅:《論檢察機關提起民事公益訴訟的制度空間》,《行政法學研究》2018年第6期。
[34]丁曉東:《個人信息權利的反思與重塑:論個人信息保護的適用前提與法益基礎》,《中外法學》2020年第2期。
[35]丁曉東:《從個體救濟到公共治理:論侵害個人信息的司法應對》,《國家檢察官學院學報》2022年第5期。
[36]最高人民檢察院發布11件檢察機關個人信息保護公益訴訟典型案例之八:河北省保定市人民檢察院訴李某侵害消費者個人信息和權益民事公益訴訟案。
[37]楊志航:《〈個人信息保護法〉賠償機制的不足與完善》,《澳門法學》2022年第1期。
[38]周光權:《侵犯公民個人信息罪的行為對象》,《清華法學》2021年第3期。
[39]樣本案例中,該銀行涉及個人信息保護糾紛累計10件,約占個人信息民事糾紛的14%。
[40]參見(2022)魯0283民初1447號。