随着数字时代发展,个人信息对社会生活进行重塑、成为一种战略性资源,但也面临过度采集、泄露滥用并存、公共利益受损、损害不可逆转等“四重风险”。我国确立的“三重保护”机制,为应对信息安全风险奠定了基础,但也存在信息安全保护不周的问题。个人信息保护法第70条将个人信息纳入公益诉讼,有利于实现被动救济与主动预防的优势互补,补足公法保护与私益保护的短板。但制度设计的天然局限性和司法实践所选择的客观理性,使其在实践中陷入困境。当前有必要从厘清起诉主体的范围和顺位方面消解启动“刑事化”困境,从适用与其运行特征相适应的规则方面消解运行“消费者化”困境,从构建损害救济与风险防控并重模式消解责任承担“私权化”困境。伴随信息科技与产业转型的深度融合,当前最具价值的资源不再是石油,而是数据。由此作为数据重要组成部分的个人信息得到了前所未有的开发利用,其在数字时代显得愈发珍贵,但也愈发脆弱,信息处理者违法获取、利用个人信息现象层出不穷。据中国消费者协会公布的数据,截至2022年2月遭遇个人信息泄露的网民达19.6%。如何在合理使用的基础上,全方位保障个人信息安全成为这个时代亟需解决的实践难题。为加强个人信息保护,我国近年来从刑事惩处、行政执法和民事救济等方面打出系列“组合拳”,2021年8月更是专门出台个人信息保护法,其中第70条增设个人信息民事公益诉讼,并从起诉条件、主体方面进行框架设计。在刑事、行政和民事保护规范较为齐全的背景下,增设民事公益诉讼救济程序有何独特价值;在寄予较高期待下,其实践运行是否发挥预期效用;若未能完全实现其应有价值,如何进行完善优化,成为当前理论和实践共同关注的重要问题。一、生成逻辑:“四重风险”“三重困境”与“双重价值”个人信息民事公益诉讼在立法层面已然得到确立,但学理层面更多侧重研究个人信息保护立法实体问题,实践层面对民事公益诉讼实施进路和程序规则争议较大,为实现精准阐释和规范适用,仍有必要对其生成逻辑进行深入探讨。
个人信息依附于主体而存在,体现人格特征,因此传统理论将其定义为人格权益。在数字时代,通过技术手段对个人信息进行分析、使用,让个人信息实现数字化、资源化,从而获得流通的商业价值,成为珍贵的战略资源,因而不但彰显其财产属性,同时跨越私人属性,从而催生社会公共属性的新内涵。当前社会各行业都表现出对个人信息的强烈“渴望”,安全风险因此面临更多挑战。1.基于信息自决预设产生的过度采集风险。基于个人信息的人格属性,预设信息主体能够自主管理个人信息,强调信息主体对自身信息的自我控制和担责。但无论是风险意识,还是技术能力,信息处理者均处于强势地位,寄希望于信息主体以信息自决对抗信息处理者的采集不切实际。一方面,信息处理者为规避违法采集风险,常设置晦涩难懂的同意条款,信息主体难以总是意识到风险,即使意识到风险也难以甄别和克服,为获取服务不得不同意。另一方面,在采集信息时不存在风险或者风险很小,信息主体经过简单利弊衡量同意提供信息,但信息风险具有潜在性和积累性,很多风险在经过信息处理者的分析加工后才显现,此时信息主体对此毫不知情,也无能为力。2.数据资源化利用造成的信息滥用风险。当个人信息作为核心生产要素后,使用个人信息不可避免地成为一把“双刃剑”,可感知的收益与不可预测的风险相互竞逐。基于理性人预设,信息处理者应坚持合理使用与预防风险并重。然而遗憾的是,信息处理者往往遵循资本逻辑,无节制追求信息处理价值增值和利润最大化,漠视由此产生的风险,不但未合理保护个人信息,甚至故意滥用个人信息,让个人信息资源化利用产生的风险呈爆炸式增长态势。3.信息侵权规模化引发的公益受损风险。在信息收集便利化和价值经济社会化的双重驱动下,大量交往中的个人信息成为市场主体和社会政府运行的基础,可以说个人信息不但在公共领域不可或缺,更成为社会发展进步的蓄水池,正当使用能创造巨大社会效益,若不当使用将造成严重信息安全,侵害社会公益。实践中信息侵权往往呈现规模化特征,而规模化侵权容易上升为侵害社会公益甚至涉及国家利益。4.侵权结果难控制催生的不可逆转风险。个人信息被不当使用的风险不可预测,而不当使用产生的危害结果同样难以控制。对单个信息主体而言,其行踪信息、个人习惯被暴露,财产安全受到严重挑战,如通过“大数据杀熟”风险扩大,同时个人尊严受到侵害,承担的焦虑、担忧等无形精神压力加大。对社会而言,个人信息大规模泄露或者滥用,不但侵害众多特不特定对象的包括物质损害在内的各种利益,更是让社会公共安全和利益处于危险之中,引起社会公众的不安,影响社会秩序。而上述影响,特别是精神上受到的侵害、公共安全所遭受的危险和对社会公益造成的损害,更是具有不可逆性。
面对日益严峻的风险挑战,我国近年来从刑事惩处、行政执法和私益救济多方面强化个人信息保护,但从实践运行来看,在个人信息保护方面仍存在多重困境。1.刑事保护“功能有限”。2009年我国刑法将侵犯个人信息犯罪行为纳入保护范围,但由于刑事保护的固有特征决定了其保护“功能有限”。一是刑事保护的谦抑性使其“作用范围”有限。根据罪刑法定原则,侵害个人信息行为只有达到情节严重标准才能介入。刑法手段主要运用于补充其他手段的不足,对于尚未达到情节严重标准的侵害个人信息行为,刑事保护显然无能为力。二是刑事证明标准让其不能成为保护的主要手段。对于侵犯个人信息行为的入罪需要达到主观相统一,并排除一切合理怀疑的标准,但实践中由于信息处理者的规避追责风险意识以及技术能力,使其处理具有专业性、隐蔽性、智能化特征,在侵害个人信息事件中,其主观过错和客观行为等犯罪构成要件经常很难得到证明,这让客观存在的侵犯个人信息犯罪行为也难以全部得到追责。三是刑事保护手段难以弥补个人和社会公益损失。在惩处侵犯个人信息犯罪方面,往往附加判处罚金和追缴违法所得,罚金用于上缴国库,对于违法所得由于侵害对象的不特定性,往往不能明确具体受害者,因此也是上缴国库,这导致难以对个人利益和社会公益进行有效救济。2.行政保护“疲态尽显”。个人信息保护第60条确立了由国家网信部门负责统筹协调与监督管理,公安、工信等行业主管部门各自监督管理的“分工共管”模式,对预防、控制个人信息风险和惩处不当使用个人信息行为发挥了积极作用,但通过行政手段保护个人信息同样劣势明显。一是“信息处理者”身份让行政执法饱受质疑。当前行政机关兼具“信息处理者”和“信息规制者”双重身份,履行信息处理和监管双重职能。在公权力行使和维护信息公共安全的双重加持下,行政机关自身就是当前最大的信息处理者。行政机关采集、开发和利用个人信息系履行社会管理职责所需,然而“信息处理者”身份决定了不可避免产生“负外部性”,内部自查自纠不符合自然正义要求,因而陷入“既当运动员又当裁判员”的悖论。二是在建设服务型政府理念下,对相关行业创新强调履行好“守夜人”角色,在保持必要监督下,尽量持鼓励和支持态度。为避免不当执法招致非议,行政机关对个人信息领域执法尽量保持克制。三是个人信息行政执法资源非常有限,执法重点常在于重大信息安全事件,对一般个人信息关注度不高。四是“分工共管”执法结构不但让执法标准、尺度难以统一,也容易滋生各自为战、互相推诿、效率低下问题,在个人信息保护领域难免产生“公地悲剧”。3.私益保护“效果欠佳”。民法典明确信息主体的查阅权、更正删除权等人格权益内容,个人信息保护法规定信息主体通过民事诉讼救济的条件、程序和损失确定方式等内容。然从实践运行来看,通过私益救济维护个人权益上尚“力有不逮”,更别说维护社会公益。一是侵权行为的隐蔽性,让个人难以知晓信息被侵害。个人信息经过多层次技术化处理,常以数字、代码等方式出现,个人难以知晓信息被侵害,即使知晓也难以判断在哪个阶段、被哪个主体侵权,进行私益救济存在天然障碍。二是个人损失不明显,信息主体单独救济意愿不强、动力不足。规模化信息侵权中单个损失不大,而进行私益救济的时间成本、人力成本较高,基于损失填平原则,个人能获得的赔偿有限,因此单个信息主体即使知晓信息被侵害,往往也不愿意启动私益救济。三是个人举证能力有限,成功获得救济存在客观困难。个人信息私益救济以存在损失和损失与侵权行为存在因果关系为前提,鉴于个人举证能力的限制和信息侵权行为发生的复杂性,极难完成损失确定和因果关系证明责任,因而单个信息主体提起的侵权诉讼败诉风险较大。据学者对现有部分个人信息民事侵权诉讼的分析统计,民事侵权诉讼请求得到支持的比例极低。四是民事私益诉讼无法实现对社会公益的救济。即使民事私益诉讼成功实现单个信息主体的人格和财产损害救济,也仅限于私益得到维护,无法实现维护社会公益之目的。然而信息侵权往往以规模化的形式呈现,涉及众多不特定受害者,侵害社会公益,对社会公益的救济显然已超出私益救济的范畴。
为预防社会公益遭受损害风险和实现公益受损的救济,蕴含实现被动救济与主动预防的优势互补和补足公法保护与私益保护短板不足双重价值的个人信息民事公益诉讼,介入个人信息保护具有正当性基础。1.实现被动救济与主动预防的优势互补。“三重保护”机制对救济个人信息损失发挥了重要作用,却在预防、规避信息风险方面发挥作用有限。个人信息公益诉讼旨在维护个人信息社会公益,既包括对个人信息社会公益损害进行救济,也包括对个人信息社会公益受损风险进行预防,从而补齐了我国“三重保护”机制对个人信息社会公益风险预防不足的短板。主要体现为:一是有利于监督个人信息行政执法。检察机关作为个人信息民事公益诉讼主体之一,能利用检察建议督促行政机关依法履行信息监管职责,这比个别惩治更有意义。二是有利于补充个人信息行政执法。将预防信息风险的主体从行政机关延伸到特定社会组织,吸纳社会力量作为监督主体,能一定程度上缓解行政机关执法资源有限的困境。三是有利于促进信息处理者回归理性人角色。不可否认,由于“三重保护”机制在个人信息保护方面的局限,不少侵权行为未得到应有惩罚,特别是未构成刑事犯罪但又侵害了众多个人信息的行为,被追究责任的风险极低,这在一定程度上纵容了信息处理者非法处理行为。而民事公益诉讼专门针对众多个人信息侵权行为进行救济,让侵害众多个人信息行为不再是“法外之地”,且让信息处理者在承担刑事、行政处罚和私益侵权责任外,还需承担民事公益责任。违法处理个人信息成本的增加,促使其不得不审慎处理个人信息。2.补足公法保护与私益保护的短板不足。新增民事公益诉讼,契合了保护社会公益的现实需要,又可在发挥“三重保护”机制作用的基础上,克服其在个人信息保护方面的劣势与不足。一是补足个人信息社会公益保护的“留白”。个人信息私益救济无法涵盖公益保护的内容,刑事、行政保护因其本身局限,在保护个人信息社会公益方面难以“有所作为”,因此“三重保护”机制在保护个人信息社会公益方面出现“真空地带”,民事公益诉讼恰好予以补齐。二是补足刑事保护的功能局限。一方面,扩展刑事保护个人信息社会公益的范围,将未达到情节严重的个人信息侵权行为纳入公益诉讼范畴;另一方面,通过民事公益诉讼获得的相应赔偿,不再上缴国库或者支付给个人,而是专门用于弥补遭受损失的社会公益,用于个人信息保护公益事业。三是一定程度上缓解行政机关作为“信息处理者”带来执法“负外部性”困境。由检察机关提起民事公益诉讼,为司法机关介入个人信息行政执法提供了平台,行政机关执法监督也不再仅限于内部自查自纠。四是打破个人信息私益救济难的困境。无论是在发现线索、收集证据方面,还是法律素养、专业能力方面,具备民事公益诉讼资格的三类主体与个人相较而言,具有无可比拟的优势。二、实践图景:“刑事化”“消费者化”与“私权化”并存在个人信息保护法出台之前,个人信息民事公益诉讼已依托民事诉讼法第58条之规定试点开展,为全面考察个人信息民事公益诉讼实践图景,本文以中国裁判文书网公开的相关裁判文书作为分析样本。以“个人信息”和“公益诉讼”进行全文搜索,共有2016至2024年6月3日的相关文书540份,通过逐份核查,剔除指定管辖、撤回上诉、补正裁定、行政裁定等无关文书,属于个人信息民事公益诉讼裁判文书共381份。从结案方式分析,判决362件、调解19件,分别占比95.01%、4.99%。从作出裁判法院层级分析,基层人民法院298件、中级人民法院82件、高级法院1件,分别占比78.22%、21.52%、0.26%。从作出文书时间分析,个人信息民事公益诉讼案件整体呈逐年增加趋势(详见表1)。从分布地域分析,包括28个省(自治区、直辖市)法院(详见表2)。鉴于以上情况,从整体而言本文选取的分析样本具有较强代表性。基于个人信息民事公益诉讼的生成逻辑,通过对以上文书的实证分析,其实践图景呈现以下特征,反映其在司法实践中遇到的困境,并影响其价值实现。
表1 个人信息民事公益诉讼案件裁判时间情况
表2 个人信息民事公益诉讼案件分布区域情况(前10)
1.启动主体“刑事化”。司法实践中,提起个人信息民事诉讼的三类主体发展极不平衡,呈现明显“刑事化”倾向,检察机关几乎“垄断”了个人信息公益诉讼的启动。在据以研究的381个样本案例中,检察机关作为起诉主体的374件,占比98.16%,由消费者组织作为起诉主体的7件,占比1.84%,其中没有由国家网信部门确定的组织作为起诉主体案件。当前检察机关主导个人信息民事公益诉讼的启动,有多方面的原因:一是检察机关作为司法机关,可利用公权力进行调查取证,从而相对更容易掌握相关线索和证据材料。二是在检察机关在公益诉讼方面起步较早,在办案能力和经验方面,具有明显优势,且检察机关将公益诉讼作为业绩考核的重要内容,在业绩考核和排名压力下,此种优势发挥得愈发明显。三是法律规定的消费者组织和由国家网信部门确定的组织对个人信息民事公益诉讼参与度不高,特别是国家网信部门确定的组织,不但提起诉讼的组织至今未得到确定,而且对有权确定相关组织的“国家网信部门”的范围仍有争议。2.启动程序“刑事化”。三类主体可单独提起个人信息民事公益诉讼,而检察机关还可依托刑事案件提起附带民事公益诉讼。司法实践中,启动程序与启动主体一样呈现“一边倒”的“刑事化”趋势。据以分析的样本案例中,由检察机关、消费者组织单独提起的民事公益诉讼仅22件,其余均是由检察机关依托个人信息犯罪刑事案件提起的附带民事公益诉讼案件(详见表3)。除了案件类型呈现“刑事化”趋势外,民事公益诉讼线索来源更是严重依赖刑事案件,附带民事公益诉讼线索直接来源于刑事案件,通过对裁判文书的进一步分析发现,在22件单独提起的民事公益诉讼中有5件已经作出刑事判决,4件也是由公安机关先行侦查的,只是因为情节轻微或证据不足等原因未达到刑事立案条件,而由检察机关依据前期侦查掌握情况单独提起民事公益诉讼。因此,依赖刑事案件启动的民事公益诉讼案件达367件,占比96.32%(详见表4)。表3 个人信息民事公益诉讼案件类型情况
表4 个人信息民事公益诉讼线索来源情况
个人信息公益诉讼由检察机关依托刑事案件主导运行,固然可节约司法资源,发挥司法机关在救济个人信息权益方面的作用,但检察机关通过“搭便车”方式提起公益诉讼不免遭到必要性质疑,更为主要的是过度“刑事化”挤压了纯民事公益诉讼的成长空间,未发挥其他主体的应有作用,无法广泛引入社会力量共同保护个人信息,不利于个人信息民事公益诉讼的长远发展。关于个人信息民事公益诉讼的直接法律依据仅有个人信息保护法第70条,而实践中对该条规定的起诉主体和条件的理解尚有诸多争议,对于未明确的相关适用问题,如违反规定处理个人信息应承担何种公益责任、能否适用惩罚性赔偿等,只能镜鉴其他法律规定进行判断。其中个人信息民事诉讼与消费者公益诉讼在适用范围上有所交融,且在侵权特征方面也有共同之处,故此两个领域的公益诉讼规则在规范解释和续造方面多有共通之处。消费者权益保护法施行多年,最高院亦针对消费者公益诉讼出台专门司法解释,故对于个人信息民事公益诉讼的争议问题和未明确问题多借鉴消费者民事公益诉讼相关规定进行判断,因而近年来形成的有较大影响力的个人信息民事公益诉讼司法案例,多从保护消费者权益角度突破。1.界定相关组织“消费者化”。个人信息保护法第70条并未对“法律规定的消费者组织”进行直接界定,而是采用转接其他法律规定的方式来界定。此处的“法律”为消费者权益保护法当无疑义,然而对于此处的“消费者组织”是指第36条明确的消费者组织,还是第47条明确的省级以上消费者协会则存在争议。前者认为只要是第36条明确的消费者组织均可提起个人信息民事公益诉讼,而后者认为第47条明确消费者公益诉讼由省级以上消费者协会提起,个人信息民事公益诉讼也应由省级以上消费者协会提起。从司法实践来看,当前非检察机关提起的个人信息公益诉讼均由省级消费者协会提起。2.适用惩罚赔偿“消费者化”。无论是理论界还是实践中,对惩罚性赔偿适用于个人信息民事公益诉讼均有较大争议。有观点认为,适用惩罚性赔偿能严厉打击非法处理个人信息行为,产生重大震慑,从而减少信息侵权行为发生,在侵犯信息行为频发的当前,适用惩罚性赔偿确有必要。有观点认为,惩罚性赔偿的适用应遵循法定原则,而个人信息民事公益诉讼领域并无相关规定,因而适用惩罚性赔偿于法无据。在理论界对此问题持续争议的情形下,司法实践已悄然“借道”消费者权益保护规定,对非法处理个人信息行为适用惩罚性赔偿。在据以研究的样本案例中,有2件检察机关提起的个人信息公益诉讼案件提出了惩罚性赔偿请求,且其惩罚性请求都得到实现。其中在河北省保定市人民检察院诉李某侵害消费者个人信息和权益民事公益诉讼案中,李某通过非法处理个人信息获利55.45万元,河北省保定市检察院诉请李某承担惩罚性赔偿金,生效判决通过适用消费者权益保护法规定,支持三倍惩罚性赔偿。如前所述,个人信息民事公益诉讼规则供给严重不足,在具体运行过程中,多参照其他相关规定进行处理。在侵害个人信息私益救济方面,我国民法典在人格权篇和侵权篇均有相对具体明确的规定,而且个人信息保护法第69条明确个人信息侵权损害责任认定的具体规则。由于制度设计和实践理性的双重影响,个人信息民事公益诉讼实体运行呈现以侵权损害结果为救济条件、以损害赔偿责任为救济手段的“私权化”特征。1.承担责任条件“私权化”。个人信息民事公益诉讼的救济对象直接关系受案条件和裁判标准,分析当前受理、裁判的个人信息民事公益诉讼案件可以发现,司法实践普遍借助个人信息保护法和民法典相关规定以“利益受到实质损害”为前提和标准来决定是否受理案件及是否支持诉讼请求。一方面,在起诉受理阶段,法院要求起诉主体提供信息公益受损初步证据。从现有以判决、裁定方式结案的个人信息民事公益诉讼案件中均提供相应证据用于初步说明个人信息权益受到损害,这反映侵权损害结果实际发生才符合个人信息公益诉讼起诉条件。另一方面,个人信息公益诉讼赔偿金支付以侵害损害结果为前提,且依据个人信息处理者获利金额认定其应承担的个人信息公益诉讼赔偿金。在上述381件案件中,个人信息处理者承担公益赔偿金的案件257件,254件均已查明个人信息处理者获利情况,并以获利情况为基础判断应承担的公益赔偿金,只有3件未查明个人信息处理者获利情况,由审理法院根据实际情况确定应承担公益赔偿金。司法实践明显阐明“无损害即无救济”的理念和基本立场,彰显了实际损害在个人信息公益诉讼案件认定中的核心地位。实践中个人信息民事公益诉讼以实际损害为前提,既是出于司法作为最后救济手段的考虑,也是为防止恶意诉讼和无理缠诉的现实需要,但无法实现在萌芽状态消除重大信息侵权风险。2.承担责任方式“私权化”。个人信息处理者对侵害社会公益行为如何承担以及承担何种责任,相关法律并无直接明确,司法实践主要依据民事侵权责任提出诉讼请求。从本文据以研究案例分析,个人信息处理者承担责任方式主要有赔礼道歉、承担公益赔偿金(损失)、停止侵害、消除危险、其他替代责任,适用责任方式具有以下特征:一是赔礼道歉成为“标配”,由个人信息处理者登报公开赔礼道歉的案例355件,占比93.17%。二是支付公益赔偿金(损失)成为承担责任的主要方式,共257件,占比64.56%。三是停止侵害、消除危险成为承担责任的重要方式,共有139件案件要求个人信息处理者删除个人信息、停止网站运行等,占比36.48%。四是承担播放公益公告、进行公益宣传等替代责任有所适用,共有12件,占比3.14%。依据功能差异,责任方式可分为补偿类责任和预防类责任。赔礼道歉主要用于侵害人格权场合,赔偿损失主要用于补偿损害,此两种方式系补偿类责任,系个人信息民事公益诉讼中最常用的责任方式。而停止侵害、消除危险和相关替代责任,具有一定的修复和预防功能,属于预防类责任,在个人信息民事公益诉讼中已有所适用,但仍是补充适用。三、优化路径:“刑事化”“消费者化”与“私权化”消解个人信息民事公益诉讼在发展初期呈现“刑事化”“消费者化”与“私权化”倾向,与其制度设计的局限性和司法实践的客观理性密切相关,尽管有其存在的现实土壤,但这已引发或蕴含一系列的负面效果,影响其应有效能和价值的实现,从其长远发展而言,有必要对“刑事化”“消费者化”与“私权化”倾向进行消解。在发展初期,检察机关发挥其职能作用和优势特长,引领个人信息民事公益诉讼具有必然性和合理性。然而要突破个人信息公益保护的瓶颈,发挥其保护合理使用与规制滥用行为的“制衡器”作用,依赖检察机关的案源和力量并不是长久之计,更需要其他社会力量的支持。1.起诉主体多元化。从社会治理角度来看,社会组织参与社会治理是现代民主发展的必然要求,作为积极性建设力量对社会治理起促进作用。个人信息民事公益诉讼作为治理信息滥用的重要手段,社会组织的参与同样不可或缺,个人信息保护法明确将两类社会组织纳入起诉主体。因而要克服个人信息民事公益诉讼“刑事化”困境,亟需激发社会组织活力,推动个人信息公益诉讼起诉主体多元化发展。当前激活社会组织活力的首要任务,是推动国家网信部门确定的组织从“纸面”走上“实践”,而这主要需要解决三个指向不明的问题。一是由国家网信办和省一级网信办确定具备提起个人信息公益诉讼的组织,解决由谁来确定的问题。二是明确申请作为提起个人信息民事公益诉讼组织应具备的条件,解决什么组织可以确定为具备起诉主体资格的问题。对此问题,可以参照环境保护法第58条规定,明确申请作为提起个人信息公益诉讼组织应具备两方面的条件:一方面是在设区的市以上民政部门登记的社会组织;另一方面是登记业务主要为个人信息安全维护,且连续五年无违法记录。三是由省级以上网信办确定该类组织的程序,如申请、认定、公布等,解决该类组织为社会知晓的问题。2.参与动力激励化。在确定了社会组织起诉的资格和门槛条件后,激活社会组织参与个人信息民事公益诉讼活力的另一措施,是构建激励机制。维护社会公益的职责归根到底应回归社会,如果不能激活社会组织提起民事公益诉讼维护社会公益,不为其从制度上提供保障,社会公益事务很难走出国家担责的怪圈。个人信息民事公益诉讼本质上是一种“利他诉讼”,而非“利己诉讼”。从经济理性主义分析,“利他诉讼”是非理性行为,这与理性人预设相悖。社会组织很难被认定为是纯粹的“利他组织”,若没有充分的激励保障,社会组织难免会对个人信息民事公益诉讼产生“冷漠”。在构建激励机制方面,从单独设立个人信息民事公益基金着手,因有环保基金先例可供参考,具有可行性,同时这也是改变个人信息民事公益赔偿金上缴国库而不是专款专用于个人信息公益事业现状的需要。3.起诉顺位有序化。关于个人信息保护法第70条明确的三类主体提起个人信息民事公益诉讼是否存在顺序先后之分,理论界和实践中多有争议。其一,主要基于法条表述中检察机关位于最前列、检察机关在资源和能力方面最有优势以及实践中检察机关发挥了中坚、引领作用,认为检察机关处于第一顺位。其二,主要基于民事诉讼法第58条确立的环境、消费者公益诉讼检察机关处于补充顺位,认为个人信息民事公益诉讼中只有其他组织经公告督促仍未起诉,才能起诉。其三,认为三类主体是并列顺序,并无先后之分,而且最高检公布的典型案例中多起案例未经督促公告程序直接起诉,印证了检察机关并不是补充顺位。就条文释义而言,笔者赞同个人信息保护法第70条确定的三类主体并不存在顺位先后之分的观点,但从促进个人信息民事公益诉讼的长远发展而言,三类主体的起诉顺位应有先后之分,具体而言:其一,消费者组织在消费者信息民事公益诉讼领域最具专业性,对此类公益诉讼消费者处于第一顺位。其二,在网信部门确定的组织实质化运行后,检察机关应保持谦益性,让其在个人信息民事公益诉讼中的顺位与其在环保、消费者民事公益诉讼中的顺位保持一致,即补充顺位。在个人信息民事公益诉讼规则供给不足的情况下,镜鉴消费者民事公益诉讼规则也是迫不得已的无奈选择,然而两类公益诉讼虽有共通之处,但确属不同类型的公益诉讼,有其各自运行规则,故而有必要对过度“借鉴”行为进行规制。1.合理界定消费者组织。司法实践对“法律规定的消费者组织”限定为中国消费者协会及省一级消费者协会,源于套用消费者权益保护法第47条。从解释论而言,司法实践参照消费者民事公益诉讼提起主体来界定个人信息民事公益诉讼主体,系类推解释。根据消费者权益保护法第36条规定,消费者组织系指县级以上消费者协会,因而将“法律规定的消费者组织”界定为消费者权益保护法第36条规定的消费者组织,更符合文义解释的要求。从现实需要而言,具备提起诉讼资格的消费者组织不宜作过于狭窄的理解。实际上自消费者民事公益诉讼确立以来,适用情况一直不太理想,其中重要原因就是将具备提起诉讼主体资格的消费者组织限定为省级以上消费者协会,而省级以上消费者协会数量本身就极其有限,且受经费和人员限制,制约了消费者民事公益诉讼价值的实现。因此在消费者民事公益诉讼领域,理论界和实践中建议进一步放宽主体限制的呼声越来越多。基于此,个人信息民事公益诉讼有必要汲取消费者权益公益诉讼的教训,适当放宽对消费者组织的条件要求。2.不宜适用惩罚性赔偿。司法实践“借道”消费者权益保护法之规定,在个人信息民事公益诉讼中适用惩罚性赔偿,从遏制违法处理个人信息行为角度考虑似乎存在可取之处,理论上和实践中也不乏支持的观点,认为可以扭转个人信息侵权低成本、高收益的现状,促进信息处理者审慎处理个人信息。但在于法无据的情况下,在个人信息民事公益诉讼框架内适用惩罚性赔偿,既偏离了惩罚性赔偿的适用原则,亦会引发一定负面影响。一是惩罚性赔偿适用主要限于私益救济领域,且我国民法对于私益领域适用惩罚性赔偿也进行了严格限制,即应遵循法定性原则。二是消费者民事公益诉讼适用惩罚性赔偿也无直接法律依据,对于将消费者维护自身合法权益时适用的惩罚性赔偿规则扩张适用于消费者组织提起的民事公益诉讼,在消费者民事公益诉讼领域至今仍未形成共识。三是适用惩罚性赔偿易导致多种法律责任的叠加。个人信息公益诉讼并不影响其他救济途径的行使,不适用惩罚性赔偿一样可以达到“双倍”处罚个人信息处理者之效用,实际上在据以研究的样本案例中,超过半数的案例同时适用了退赔违法所得和支付公益赔偿金两种不同性质的法律责任,实际上让信息处理者承担了“双倍”赔偿责任。在此情形下,再让个人信息处理者承担惩罚性赔偿责任,难免产生重复处罚的现象,容易造成罚过其当。四是适用惩罚性赔偿易造成滥诉风险。适用惩罚性赔偿是激发社会组织参与个人信息民事公益诉讼的有效措施,但在个人信息公益诉讼制度得到常态化落实贯彻后,过度激励容易增加滥诉的风险,对司法秩序造成破坏。补偿性个人信息民事公益诉讼对填补社会公益损失的重要性不言而喻,但因突出事后救济和损害补偿,造成诉讼“私权化”困境,不利于信息风险防范和信息公益维护。为此有必要从制度设计和实践适用方面同时着手,适时修正诉讼“私权化”运行模式,形成损害救济与风险防控并重的运行模式。1.将重大风险纳入保护对象。信息侵权损害结果具有确定性,而信息风险则难于预测、损害结果不可逆转,因而当前以实际受侵害为前提条件的个人信息民事公益诉讼损害救济模式,忽视个人信息风险,特别是重大风险的客观存在,对个人信息保护难言完整、有效。损害救济模式固然发挥了“惩罚违法、补偿损害”的制度功效,这仅是实现个人公益诉讼的“次层次价值”,在实现预防风险的“主层次价值”方面力有不逮。而且由于信息记录的不可磨灭性,个人信息被非法处理后,即使禁止处理,亦无法恢复到原状的理想状态。在诸多信息化、智能化技术推广于商业化运用中的大背景下,个人信息公益不断陷入风险困境中,因此理性检视损害救济模式的弊端,将前瞻性、事前性救济路径融入个人信息民事公益诉讼迫在眉睫。实际上我国的环境、消费者民事公益诉讼也经历了从损害救济为主的模式到损害救济与风险防控并重的模式转变,救济对象已不再限于公益实际受损。我国的环境、消费者民事公益诉讼将存在的重大风险纳入救济对象,为个人信息民事公益诉讼运行模式的转型提供了镜鉴。当然重大风险是个模糊、抽象概念,需要相应的具体判断标准,才能将其贯彻到具体实践和防止其被异化。界定重大风险的法律基准,一方面可借鉴环境、消费者民事公益诉讼中重大风险的判断标准,另一方面可围绕个人信息犯罪构成要件中情节严重的类型化来开展。2.拓展预防性责任方式的适用。个人信息处理行为通常裹挟着潜在的信息风险,当潜在风险逐渐显化后,通过事后损害救济方式不但损害事实难以完全恢复,而且无法将潜在风险、二次损害风险消除在萌芽状态。为实现个人信息民事公益诉讼的周延性保护,需要明确预防性责任方式在个人信息民事公益诉讼中的独立地位和核心作用。一是突出预防性责任方式的运用。消除危险、停止侵害和恢复原状等责任方式与损害赔偿、赔礼道歉等责任相分离,不以补偿人格权、财产权受损为目的,且能直接制止或者消除侵权行为,通常被认为是具有预防性功能的责任方式。但在个人信息民事公益诉讼中,适用频率不高,大量的违法处理个人信息行为未被判决停止侵害,违法收集的个人信息未被删除,相关侵权平台未被关闭,造成信息侵权的载体和平台仍然存在,隐患未清除,容易引发新的信息安全隐患。因而在司法实践中,应对仍未停止的行为和存在安全隐患的信息及时排查,及时禁止侵权和消除隐患。二是妥善适用人格权禁令。个人信息权益属于人格权的一种,因此民法典明确的人格权禁令在个人信息民事公益诉讼中具有适用的合法性依据。同时针对正在遭受的侵害或者正面临侵害危险,起诉主体在诉前或诉中申请法院签发个人信息侵权禁止令,要求个人信息处理者采取删除、屏蔽或者匿名化处理,有利于及时制止或预防侵权行为,避免损害扩大化或者将潜在风险转为现实风险,因而人格权禁令在个人信息民事公益诉讼中亦有适用的必要性。三是积极拓展替代性责任方式的适用。个人信息保护法未明确个人信息民事公益诉讼中的责任方式,这为拓展责任方式的适用预留了空间。司法实践基于个人信息处理者的专业性,适用由其进行个人信息公益宣传、制作宣传广告等契合个人信息公益保护的替代性责任方式,确有予以推广和拓展的价值。“个人信息保护问题是大数据时代关注度高、关涉社会公益维护的关键问题,兼具民事权益受损严重性和公益保护紧迫性特征”,个人信息保护法第70条将其纳入公益诉讼保护范畴,对于完善个人信息保护体系至关重要,应予以充分肯定。虽然制度设计的天然局限性和司法实践所选择的客观理性,使个人信息民事公益诉讼在实践中呈现启动“刑事化”、运行“消费者化”和责任承担“私权化”特征,影响了其应有效能和价值的实现,但从各类公益诉讼的发展历程来看,个人信息民事诉讼在发展初期遇到多重困境并不意外也并不能因此质疑其正当性基础和发展空间。相信随着制度设计的完善、操作规则的具体明确和司法实践经验的积累,个人信息民事公益诉讼能够成为维护日趋重要的信息安全环境的有力法律武器。往期精彩回顾
付宇航 陈瑞娟|长三角区域生态一体化的法治保障研究唐风云|暗黑模式规制:从个人信息保护到数字平台治理于弋涵|论智能产品用户生成数据的权利配置——基于不完全契约理论邢雅清|网络暴力侵害人身权益视角下人格权侵害禁令制度的理性培育上海市法学会官网
http://www.sls.org.cn
