【摘要】面对多元的个人信息保护机制,宜遵循融合性、互补性和优劣顺位的基本路径构建衔接方案。针对刑事制裁与民事公益诉讼并行适用的实践乱象,应修正民事公益诉讼的适用逻辑并限缩其适用范围。针对违法处理信息与违反安全保护义务两种情形配置不同的行刑衔接方案,对于前者构建多层次规制体系,对于后者限缩适用刑事责任。根据信息侵害危险是否具有紧迫性、持续性选择适用行政监管或行政公益诉讼制度。消费者组织或者国家网信部门确定的组织宜通过与检察机关或者行政机关建立联动机制发挥作用。应区分个人信息民事公益诉讼与一般侵权诉讼的适用情形与责任配置,采用行为规制进路的行政监管可以补足以损害或者风险为导向的侵权保护模式。
【关键字】侵犯公民个人信息罪;个人信息公益诉讼;行政监管;侵权责任;衔接路径
我国现行法体系中规定了侵犯公民个人信息罪、行政监管措施、人格权和侵权法保护规则、民事及行政公益诉讼等多项个人信息保护机制。“机制越多,就越需要相互协调与整体制度设计,处理不好可能导致不同机制之间的冲突或相互抵消。”[1]是故,在个人信息保护机制的理论构造与实践执行中,不仅需要注意《个人信息保护法》规定的多种保护机制的衔接,还要关注整个法体系中个人信息保护措施的衔接与协同。当前,个人信息保护机制呈现“碎片化”现象,尤其是不同保护措施之间存在衔接不畅的问题,这在客观上抑制了体系功能的发挥。[2]我国个人信息保护机制的实际运行存在如下不合理现象:刑事制裁机制直接触发公益诉讼机制;行政监管机制与刑事制裁机制之间衔接不畅;民事公益诉讼与行政监管机制的错位;同等规制平等主体之间与不平等主体之间的个人信息侵权行为;一般侵权保护与民事公益诉讼保护以及行政保护之间的界限不明,等等。既有研究更多地从部门法角度关注个人信息权益的法益属性、构造、配套责任以及保护模式等具体议题,但是对于各项保护措施的价值基础、功能定位缺乏跨越部门法的体系化的审视。我国采取了不同于比较法的全方位、多元化的保护机制,正是在这一现实背景之下,需要回答基于本土立法及实践的中国问题:如何构建不同个人信息保护机制的衔接方案?为解决这一问题,须结合实践中呈现的突出问题,[3]明确衔接路径方案的基本立场,并结合个人信息保护机制各自的规范目的、功能和范围展开。
一、个人信息保护机制衔接的基本路径
个人信息保护的理论研究欲破除部门法壁垒势必会面临学科差异性的阻碍。或许正因为如此,尽管论者都意识到个人信息保护属于领域法的范畴,仅依靠任何一个部门法规范或者理论供给都无法实现对个人信息的充分保护,但是论者要么止步于此,要么以某一部门法为中心作出有限的跨越努力。实际上,构建个人信息保护机制的衔接路径不宜执着于某一特定机制,而是需要关注体系协同的面向,遵循融合性、互补性以及优劣顺位,具体包括如下基本路径:
(一)公私融合
个人信息保护在多个维度呈现出公私法融合特征,通过公私法的融合保护而非简单地叠加保护可以更好地实现制度目标。[4]其一,在《个人信息保护法》立法过程中,关于个人信息私法保护的局限已多有论述。[5]尽管《个人信息保护法》第69条规定了过错推定原则,但是在侵权行为、损害、因果关系方面仍然都面临着证明难题。在解释论立场下,除了内部的教义学构造努力之外,更应当注意衔接外部机制,如此才能实现周延保护。其二,《个人信息保护法》中累计20个条文设置了“法律、行政法规”的引致性规定,这表明尽管《个人信息保护法》作为一项体系完备的个人信息保护方面的基础性法律,但是仍然需要通过大量的引致规定进行体系衔接和具体规定,从而形成了个人信息保护法律规范体系上的公私融合。其三,在价值体系上,个人信息保护也不必严格遵循私法自治与公权力限制的公私法区分。例如,作为个人信息保护民事公益诉讼适格主体的检察机关、消费者组织以及其他组织一方面直接行使国家权力或者代替行政机关行使相应职责,但另一方面提起的公益诉讼在性质上属于侵权诉讼。故,若将其落入“公私法二元论”的窠臼之中可能无法解释个人信息保护的相应机制。实际上,即便是作为典型私法的《民法典》也包含了丰富的行政主体元素,客观上发挥着公法功能。[6]超越公私法二元对立的个人信息保护立法模式也已经成为世界潮流。[7]
(二)实体法与程序法融合
实体救济与程序支持是个人信息保护体系的重要特点。自2020年9月18日最高人民检察院发布的《关于积极稳妥拓展公益诉讼案件范围的指导意见》传递出将个人信息保护纳入公益诉讼检察工作新领域的信号以来,最高人民检察院陆续通过发布典型案例和出台司法解释的方式对此予以明确。检察机关作为维护社会公共利益的重要国家机关,通过建立个人信息保护的检察公益诉讼制度及时回应国家和社会对个人信息安全的实际需求,正在成为个人信息保护的有力武器。[8]《个人信息保护法》第70条规定的个人信息保护民事公益诉讼制度也提供了法律层面的直接依据。尽管公益诉讼制度提供了程序支持力量,但是若无法将其与行政监管措施、刑事惩治等机制有效衔接,则可能无法实现其制度目标。一方面,个人信息保护民事公益诉讼规范概念不清晰可能导致其与实体法上的救济路径发生重合甚至冲突,实践中便存在符合侵犯公民个人信息罪的入罪标准但选择通过民事公益诉讼的方式实现惩治目标的情形;[9]另一方面,个人信息保护公益诉讼机制缺乏充分的经验积累以及与其他救济机制的衔接方案,这与其不断强化的功能不相适应。例如,被告人给付的赔偿款项归谁所有、如何使用和管理均不明确,形成裁判不一的司法现象:将赔偿款支付给检察机关、上缴国库、法院和检察院共同指定账户、去向不明确,等等。在尚未构建完善的个人信息公益诉讼机制的当下,仍须寻求其他救济机制的支持。
(三)优势互补
从我国个人信息保护的发展历程来看,呈现“刑先民后”的不合理现象。在民法上的基础范畴尚未清楚厘定之际便进行严苛的刑法评价,可能造成刑法不堪重负。我国《刑法》对于个人信息保护的规定较为单薄,仅第253条之一作出直接规定,但却积累了丰富的裁判经验,并通过《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(法释〔2017〕10号,以下简称《两高解释》)形成了具体的裁判规则。反观民法层面,虽然形成了较为完备的规范体系和理论供给,但裁判经验积累明显不足。法官的惯性裁判思维和刑法与民法体系的天然割裂,加剧了二者的鸿沟。但“刑事的归刑事,民事的归民事”的裁判逻辑并非无懈可击的真理,遵循法秩序统一性原理,将二者在个人信息保护实践中形成的优势予以融合能够产生有益效果,从而构建科学统一的个人信息保护法律适用体系。比如,个人信息保护的刑事裁判经验为民事裁判提供可以借鉴参考的内容。刑法上通过《两高解释》将公民个人信息进行分级、分类厘定,最大限度地扩张到具有身份可识别性的个人信息、可能影响人身和财产安全的公民个人信息以及其他个人信息。[10]举重以明轻,私法保护对个人信息的范围更应当进行适当扩张。借鉴刑法分类处理与区别对待的方法处理个人信息侵权案件,实际上意味着民事案件的裁判需要进行自由裁量和综合判断,不宜一刀切地进行责任认定和分配。尽管这些刑事裁判经验无法直接约束民事案件的法官并产生私法效果,但是影响基于法秩序统一视阈下的私法评价未尝不可,甚或是有益的尝试。总之,无论是在规范适用还是经验互换上二者都是相辅相成的关系,不宜割裂开来。
(四)优先顺序
各项保护机制的适用应当遵循“民先行后”或者“民先刑后”的思路,在满足侵害个人信息侵权法上的违法性之后,再进行刑法或者行政法的违法评价。一方面,从《刑法修正案(七)》到《刑法修正案(九)》的立法变化已经表明刑事立法对个人信息保护呈现扩张态势。这种扩张现象无疑契合现实需求,但是也可能随之引发个人信息保护理念上的异化,即运用刑法手段扩大打击面。在《民法典》《个人信息保护法》等法律已经相继出台的当下,刑事惩治则理应退居幕后。当然,刑事责任的豁免并不意味着侵权责任的免除,符合因信息侵权造成下游损害的侵权模式时,按照侵权规则处理即可。[11]实践中还存在大量个人信息被用于诈骗的案件,若循前案裁判逻辑,此种情形中提供个人信息的行为人无一例外地需要承担刑事责任,这显然会导致打击面过宽的问题。另一方面,行政规制措施可能过于严厉。《个人信息保护法》第67条规定了信用惩戒措施,但是并未明确此种行政监管措施究竟是选择适用还是直接适用,企业即使实施了轻微的违法行为也可能会面临信用惩罚,有违比例原则之嫌。实际上,通过个案诉讼却可以对个人信息处理者规模化的违法行为产生威慑效应,从而激励或者促进信息处理者的合规。[12]这一点或能从个人信息保护纠纷中呈现的大量撤诉现象得到印证。在选定的85件民事样本案例中,51份裁定书中有43份是原告申请撤诉或者法院按撤诉处理(占比84%)。一言以蔽之,如若违背民事先行的原则,可能会产生入罪要件松动、行政规制过度等负面效应。
二、刑事制裁机制与公益诉讼制度的衔接
(一)刑事制裁与公益诉讼的实践乱象
我国的民事公益诉讼和行政公益诉讼已经成为个人信息保护的重要机制,尤其是个人信息保护的检察公益诉讼成为检察院发挥维护公共利益职能的重要内容。仅2021年检察机关提起的个人信息保护公益诉讼案件就超过2000件,[13]同时在“北大法宝”数据库中检索发现,2021年审结的侵犯公民个人信息罪的案件数量为1727件,两项数据相互印证:几乎全部侵犯公民个人信息的刑事案件均启动了公益诉讼制度。产生此种现象的裁判逻辑在于触犯侵犯公民个人信息罪必然侵犯社会公共利益,尽管刑事公诉案件都符合侵犯社会公共利益的要件,但若均附带提起公益诉讼显然违背制度初衷。
两种机制并行适用的方式也会导致具体措施产生重合问题。申言之,一是刑事制裁中的没收等措施与民事公益诉讼中的停止侵害、排除妨害或者消除危险等侵权责任承担方式的重复适用。例如法院在刑事判项中作出扣押作案工具并没收、格式化手机内容的处罚,同时在民事公益诉讼判项中要求被告人永久性删除其通过非法手段获取的公民个人信息。尽管法院已经意识到两项措施的重复(“如本判决第二项已执行完毕,则本判项不再重复执行”),但是并没有择一适用。[14]二是刑事制裁中的追缴或者退赔与民事公益诉讼中的损害赔偿重合。例如,法院将收缴违法所得与民事公益诉讼中的损害赔偿并行适用,即收缴违法所得之后还要进行公益诉讼的损害赔偿。[15]但是不同判决则认为二者只能择一适用,否则违背“禁止重复评价”原则,故有的法院选择个人信息保护民事公益诉讼中的损害赔偿,有的法院则选择追缴违法所得而放弃了公益诉讼的损害赔偿。刑事制裁措施与公益诉讼之间的乱象可见一斑。
(二)民事公益诉讼的逻辑修正与适用限缩
循法院裁判逻辑,无论是刑事惩治还是公益诉讼均旨在维护社会共同利益,但是民事公益诉讼救济措施与刑事制裁措施具有相当的重合性,若对行为人的双重惩罚将违反“不得重复评价”的基本法理。故,有必要重新梳理二者各自的规范目的与适用范围。
首先,侵犯公民个人信息罪侵犯的法益与民事公益诉讼的法益并不完全相同。尽管前者在相当程度上损害了社会公共利益,但是此种意义上的社会公共利益损害并不足以构成民事公益诉讼中的社会公共利益。《个人信息保护法》第70条将违法处理个人信息的行为和侵害众多个人权益的后果作为民事公益诉讼的实质构成要件,因此在个人信息被侵害领域,需要围绕“侵害众多个人的权益”判断民事公益诉讼制度适用与否。结合《民事诉讼法》第58条的规定可以认为,侵害社会公共利益是提起民事公益诉讼的核心要件。同样地,按照立法意旨和体系解释,《个人信息保护法》第70条“侵害众多个人的权益”的后果要件并非简单地解释为存在多个受害者,而是应当采取实质解释的进路,即侵害众多个人的权益并达到侵害社会公共利益的标准。否则,民事公益诉讼制度不仅无法与多主体诉讼(代表人诉讼或者集团诉讼等)区分,也可能导致适用的恣意性。对社会公共利益的判断既不能简单以个体利益的累加进行判断,也不能以行为人获益的大小进行判断,个人信息的公共利益损害有其独立构造。结合信息损害的特殊性,可以将侵害社会公共利益具体化为引发社会风险,该社会风险与个人权利被侵害的风险不同,主要表现为公共安全、公共秩序和数据垄断等方面。[16]因此,在侵犯公民个人信息罪案件中,需要将仅侵犯特定主体个人信息的情形排除在公益诉讼制度之外,即便侵犯多个主体的个人信息也并不意味着当然适用公益诉讼。
其次,个人信息民事公益诉讼仅适用于侵犯强公共利益的情形。《个人信息保护法》第70条规定的个人信息保护民事公益诉讼改变了《民事诉讼法》第58条规定的检察机关提起民事公益诉讼的前置程序,《个人信息保护法》的规定意味着检察机关无需公告可以直接提起民事公益诉讼。[17]有观点甚至认为,提起民事公益诉讼的诉权主体顺位应当确定为检察机关—消费者组织—有关组织。[18]这意味着,与其他领域的公益诉讼不同,个人信息保护领域检察机关应当发挥关键的引领作用。这同时也表明,个人信息民事公益诉讼需要进行适当限制,否则可能会导致检察机关职权泛滥、不堪重负。因此,需要区分特殊公共利益和一般公共利益,仅仅构成侵犯公民个人信息罪只属于对一般公共利益的损害,即便不构成侵犯公民个人信息罪也可能侵犯特殊公共利益,只有在引发社会风险或者风险具体化后侵犯特殊公共利益时才应当提起民事公益诉讼。
最后,个人信息民事公益诉讼衔接刑事制裁机制的合理空间。一方面,非刑罚性处置措施与民事公益诉讼的衔接。《刑法》第37条规定了犯罪情节轻微免予刑事处罚时的赔礼道歉、赔偿损失等非刑罚性处置措施,这与个人信息民事公益诉讼通常采取的赔礼道歉和赔偿损失等方式具有一致性。因此,在符合非刑罚处置措施的适用条件时,可以据此直接处理侵犯社会公共利益的不法行为,而不必另行启动公益诉讼机制造成司法资源浪费。另一方面,刑事酌定不起诉与民事公益诉讼的衔接。尽管检察机关对被告人作出刑事不起诉决定,但是刑事责任的免除并不意味着民事责任的豁免,此时通过民事公益诉讼的方式进行衔接是合理选择,由此实现对社会公共利益的保护。
三、刑事制裁机制与行政监管措施的衔接
《个人信息保护法》第66条是对侵犯个人信息行为进行行政处罚的基本依据。该条表明,行政处罚规制的侵害行为包括违法处理个人信息或者处理个人信息未履行个人信息保护义务两种情形,但无论是从规范内容还是从可罚性来看,这两种行为在刑事制裁与行政规制措施的适用上均不宜等同。
(一)违法处理个人信息:多层次规制体系《刑法》规定的侵犯公民个人信息罪仅规范违法处理个人信息的行为,未履行安全保护义务的行为并非该罪规范对象。由此,违法处理个人信息时将可能触发行政处罚和刑事惩治机制。《个人信息保护法》第66条根据侵害行为的严重性采取了分层处理的方式,即情节严重时直接处以高额罚款、吊销营业执照等严厉惩罚。但是,对于何为“情节严重”立法并未予以明确,对“情节严重”认定不当还可能加剧行政处罚与侵犯公民个人信息罪的紧张关系,因为社会危害性超出行政管理的规范范围则会触发刑事处罚。这一问题在近期轰动全国的“滴滴被罚案”中凸显出来。因滴滴公司实施违法收集用户相册信息、过度收集人脸识别信息等行为,国家互联网信息办公室对其作出高额行政处罚。根据《刑法》第253条第3款、《两高解释》第4条,滴滴公司的行为符合侵犯个人信息罪的犯罪构成,但却以行政处罚的方式落幕。无独有偶,“全省首例违反新消法侵害个人信息案”中,未经消费者同意,违法收集个人信息高达23852条,市场监督管理局作出责令改正并罚款15万元的行政处罚。[19]此种情形也符合《两高解释》第5条第(五)项和《刑法》的入罪条件,但是并未启动刑事程序。具有相似案情的最高人民检察院第140号指导案例“柯某侵犯公民个人信息案”则采取了刑法规制的手段。[20]由此可见,刑事措施与行政处罚措施的混用现象可见一斑。
《行政处罚法》第8条第2款明确规定“违法行为构成犯罪,应当依法追究刑事责任的,不得以行政处罚代替刑事处罚。”《两高解释》对侵犯公民个人信息罪的“情节严重”、“情节特别严重”通过列举加概括的方式进行了详细规定。对于如何区分适用《个人信息保护法》第66条的两款规定是较为复杂的另一议题,需要司法解释进行完善,本文对此不过多着墨。但需明确的是,应结合《刑法》第253条之一、《两高解释》与《个人信息保护法》第66条构建违法处理个人信息的多层次规制体系。也即,需要在违法处理个人信息的一般情形、情节严重情形、侵害公民个人信息罪的情节严重情形与特别严重情形四种情形之中形成基于同一评价标准的差别认定秩序。在不符合“情节严重”的犯罪构成要件时,可能落入行政处罚或者侵权救济的范畴,但无论适用何种救济机制,均应当参照《刑法》第253条之一第2款的“从重处罚”的方式进行确定责任,以契合法秩序的统一性。
国家机关和履行个人信息保护职责的部门的工作人员违法处理个人信息具有特殊性。与《日本个人信息保护法》第2条明确将国家机关、地方公共团体、独立行政法人等排除在外不同,[21]我国法明确规定国家机关及其工作人员的信息保护义务。首先,国家机关违法处理个人信息的无法适用《个人信息保护法》第66条的行政处罚规定,但是可以参照适用第68条第1款规定的未履行个人信息安全保护义务的行政内部责任。但由于国家机关的特殊性,其无法作为刑事犯罪的主体。其次,相较于未履行安全保护义务的行为,履行相应职责的工作人员违法处理个人信息可罚性更加明确,因此按照举重以明轻的解释方法,《个人信息保护法》第68条第2款规定的行政处分责任也应当适用于违法处理信息的工作人员。此外,违法处理个人信息的行为还违反《民法典》第1039条规定的国家机关、承担行政职能的法定机构及其工作人员对信息的保密义务,因此可能需要承担私法责任。事实上,在私法中规定的国家机关及其工作人员的个人信息保护义务兼具公法属性和私法属性。当“所负责的工作没有法律上的强制力,并非行政机关在行使行政管理职权过程中对特定公民、法人或其他组织作出的影响其权利义务的行为”时,侵害个人信息权益的行为属于平等民事主体之间的民事法律关系,属于人民法院受理民事诉讼的范围。[22]
(二)未履行安全保护义务:刑事责任限缩
未履行个人信息安全保护义务属于《个人信息保护法》第66条规定的行政处罚适用范围,责令改正、警告、责令暂停或者终止提供服务等是监督信息处理者依法履行信息安全保护义务的有力措施。《个人信息保护法》第71条并没有区分违法处理个人信息行为和未履行安全保护义务的行为,意味着针对未履行安全保护义务的行为并不排斥刑事责任。实际上并非如此,《个人信息保护法》第5章规定的“个人信息处理者义务”虽然具有强制性,但是将其中的安全保护义务纳入刑法评价范畴并不符合比例原则。《治安管理处罚法》中有关个人信息保护的第29条、第42条也仅针对积极实施的违法处理行为。故,应排除一般信息处理者未履行安全保护义务的刑事责任,转由《个人信息保护法》第66—67条的行政监管机制予以规制,这也符合立法意旨。[23]一个例外是,依照《个人信息保护法》第68条的规定,履行个人信息保护职责的工作人员未依法履行个人信息安全保护义务时,可能触发刑事制裁机制。即除了行政处分之外,可能构成玩忽职守罪、滥用职权罪以及徇私舞弊罪。
四、公益诉讼制度与行政监管措施的衔接
个人信息保护公益诉讼制度应当着力解决社会公益方面的问题,不能忽视其他维权途径。[24]但行政监管措施与公益诉讼制度均致力于保护社会公益,如何衔接二者成为一项难题。
(一)行政公益诉讼与行政监管
《中共中央关于全面推进依法治国若干重大问题的决定》中提出检察公益诉讼制度的初衷在于“弥补缺失行政违法侵害公共利益的司法监管的治理漏洞”[25]。通过监督行政的方式维护公共利益乃公益诉讼的制度源头。有学者认为,针对个人信息保护适用行政公益诉讼并不合适,[26]《个人信息保护法》第70条也仅规定了个人信息保护的民事公益诉讼而没有规定行政公益诉讼,似乎也已经表明了立法的选择。尽管《个人信息保护法》未作出行政公益诉讼的直接规定,但是却并非缺失法律依据。立法沉默并不意味着对某一制度的否定,也可能是保留规定留待实践进行经验积累,此种立法考量也契合我国个人信息公益诉讼经验尚不充分的实际国情。由于国家机关无法成为侵犯公民个人信息犯罪的主体,因此无法适用《刑法》第253条之一第4款的单位犯罪规定,作为个人信息保护重要机制的行政监管缺乏有力的激励机制。若缺乏有力的监督机制,《个人信息保护法》专设“国家机关处理个人信息的特别规定”一节可能成为一纸具文。从《个人信息保护法》第68条来看,立法者对行政机关及其工作人员的责任规定也较为委婉,体现了立法折衷主义。此时,通过检察行政诉讼敦促行政机关积极履行职能更加具有现实必要性。实践中也创制了个人信息行政公益诉讼的样本。例如,在“农机购置补贴信息公开案”中,某政府官方网站公布了涉及身份证号码、家庭住址、银行账户、手机号码等个人信息的农机购置补贴情况,检察机关通过提起行政公益诉讼敦促该行政机关立即删除该信息。[27]总之,行政公益诉讼在监督涉个人信息行政执法上具有适用空间。
进一步而言,在个人信息行政公益诉讼与行政监管的衔接上,应当遵循如下方式:首先,对于需要行政机关立即采取停止侵害、消除危险等救济方式的情形,不宜通过诉讼方式进行,发现线索的有关机关或者个人通过线索移交或者民主监督的方式可以实现对个人信息权益的及时救济。前述“农机购置补贴信息公开案”即不应适用行政公益诉讼模式。其次,在不具有紧迫危险而是体现为持续性侵害的情形下,则通过行政公益诉讼可以强化司法机关对行政活动的监督。依据《行政诉讼法》第25条第4款的规定,检察机关提起行政公益诉讼的前置程序是行政机关在收到检察建议后仍未依法履行职责。实践中,约98%的行政公益诉讼检察建议在诉前都得到了有效整改。[28]例如,在最高人民检察院发布11件检察机关个人信息保护公益诉讼典型案例中,[29]甘肃省平凉市辖区内多家快递企业的快递单未对用户个人信息采取隐匿化等有效保护措施,存在泄露公民个人信息重大隐患。在另一则典型案例中,检察机关要求行政机关依法对案涉手机APP违法收集使用个人信息行为进行监管及处罚,并加强对本市辖区内APP收集使用个人信息等行为的监管,强化网络执法督查相关工作。[30]此类个人信息违法现象的治理具有持续性,而且违法事实尚需充分论证,因此应当通过行政公益诉讼的方式敦促相关监管部门持续跟踪整改情况。
(二)民事公益诉讼与行政监管
有观点提出,对个人信息处理行为进行行政规制的必要性在于,除了个人信息私法保护固有的缺陷之外,成千上万的民事侵权案件涌入法院可能导致司法机关不堪重负,因此即便在以法院为中心的美国也多由美国贸易委员会(FTC)承担个人信息保护和救济任务。[31]为解决前述问题,我国公益诉讼制度发挥了重要作用,这同时引发我们思考民事公益诉讼与行政规制的关系。民事公益诉讼既属于私法诉讼机制的方式,也与行政监管机制的利益面向具有类似性,故需要对两种机制进行合理衔接。
第一,消费者组织和国家网信部门确定的组织的职能转向。与个人信息保护中提起行政公益诉讼的主体不同,《个人信息保护法》第70条规定提起民事公益诉讼的适格原告包括检察机关、消费者组织和国家网信部门确定的组织,但是实践中,鲜见消费者组织或者国家网信部门确定的组织作为个人信息保护公益诉讼的原告。[32]与检察公益诉讼不同,消费者组织或者国家网信部门确定的组织在配套机制和资金支持等方面尚不完善,在应对繁琐、复杂的公益诉讼中,可能显得力不从心。但是,消费者组织与国家网信部门确定的组织在特定领域的专业性和事实查证方面却具有明显优势。在这两种主体提起公益诉讼的配套机制完善之前,可以考虑将其职能重点转为与检察机关或行政机关的联动。具体而言,消费者组织等主体在发现相应违法线索之后,及时向检察机关或者行政机关报告案件,由行政机关通过行政监管、检察机关通过公益诉讼等方式实现对个人信息违法处理行为的整治;行政机关等主体在治理个人信息违法现象时,主动与前述主体协同调查、论证与实施惩戒,充分发挥各自优势。
第二,检察民事公益诉讼适用范围的限制。个人信息保护的民事公益诉讼呈现为刑事附带民事公益诉讼(占绝大多数)和单独提起民事公益诉讼两种形式。两种情形与行政监管机制的衔接应当区别处理。一方面,在刑事诉讼程序已经启动的情形下,利用侦查机关和检察机关的证据收集优势和起诉主体同一的便利优势,适用附带民事公益诉讼符合节约司法资源的目的,但是此时应当关注刑事制裁措施与民事公益诉讼的责任承当方式之间的衔接适用;另一方面,在单独提起民事公益诉讼的情形下,则应当予以严格限制,这既符合节约司法资源的原则,也契合当前消费者组织或者国家网信部门确定的其他组织提起民事公益诉讼欠缺充分的保障措施的现实情况。此时,交由行政规制或许是更为经济合理的选择。正如有学者指出的“对公共利益之维护,我国应主要依赖行政机关履行职责……检察机关提起民事公益诉讼的空间极其有限。”[33]
五、私法保护的合理定位与制度衔接
(一)个人信息侵权保护的两种路径及其区分
个人信息民事公益诉讼与一般侵权诉讼属于侵权保护的两种方式,二者运行的逻辑差异决定了无法对二者进行统一的责任构建。有观点认为,《个人信息保护法》主要调整具有专业性或商业性收集能力的主体与信息主体之间的不平等关系,日常活动与国家执法活动中的个人信息收集与处理均不在个人信息保护法调整范围。[34]循此观点,平等主体之间的侵害行为无法适用《个人信息保护法》中的民事公益诉讼制度。但是平等主体实施的侵害公民个人信息犯罪案件中却在大量适用该制度。可见,当事人地位平等与否并非区分适用一般侵权保护与公益诉讼保护的核心要点,回到公益诉讼制度本身才是合理选择。
首先,个人信息民事公益诉讼的启动必须以满足社会公众的普遍性需求为目的。但何为社会公众的普遍性需求尚需结合社会一般观念进行具体判断。如果信息处理行为仅违背特定人的期待或者利益,此时进行一般民事诉讼即可,不宜启动公益诉讼程序。例如,在“微信读书案”中,将使用微信读书软件生成的信息向共同使用微信读书的微信好友展示的行为,尽管侵犯原告人格利益,但是却并不必然侵犯其他用户的人格利益。实际上,随着现代社会价值的多元化,信息主体对信息处理活动具有不同的期待和需求。不可否认的是,不少个体愿意以牺牲个人信息权益为代价来换取其他利益。因此,对于不具有严重侵害个体信息权益的信息处理行为,公益诉讼理应保持谦抑,不宜越俎代庖直接代替个体进行公益诉讼。这就要求对《个人信息保护法》第70条“众多”的解释应当以一般理性人的立场判断信息侵害行为是否使信息个体普遍受到侵害或者引发社会风险。
其次,民事公益诉讼制度无法满足个体的特定诉求。有学者认为,法院判决个人信息侵权案件中的个体胜诉后,应考虑自动触发公益诉讼机制。[35]此种方案实际上扩张了公益诉讼的适用范围。诚然,相较于私益诉讼面临的举证困难、损害轻微、激励不足等问题,民事公益诉讼具有明显的制度优势。但是它却未必能满足受害个体的实际诉求或期待。因为不同个体遭受的损害或者诉求可能并不相同,有的侧重精神损害赔偿,有的侧重赔礼道歉,有的则侧重消除危险或者停止侵害,如果一味启动民事公益诉讼,可能无法实现对个人信息的充分且合理的救济。当然,已经形成的共识是:民事公益诉讼与一般民事诉讼虽然指向共同的侵权行为,但是由于二者分别保护不同的法益,故可以并行不悖。
最后,民事公益诉讼中不宜适用惩罚性赔偿制度。在一则典型案例中,法院认为被告存在利用非法获取的公民个人信息进行消费欺诈的行为,支持了检察院在民事公益诉讼中提起的三倍惩罚性赔偿的主张。[36]也有学者极力主张在个人信息保护中引入惩罚性赔偿制度。[37]但是,惩罚性赔偿的正当性基础之一在于,在特定领域并非所有的受害者都会提起诉讼主张损害赔偿,因此受害者提起个案诉讼主张获得惩罚性赔偿在实现自身权利救济的同时,使加害人不至于因违法行为而获益。但是,如果检察院不限于按照违法获益所得主张惩罚性赔偿,而扩张至每位受害者的实际损害,则与惩罚性赔偿制度的保护目的相违背,不符合惩罚性赔偿的实体正义。在尊重现行立法的立场下,惩罚性赔偿制度符合《消费者保护法》等法律规定的惩罚性赔偿制度适用条件时,可以有限地适用于个体提起的一般侵权诉讼,在民事公益诉讼中则应予以限制。
(二)刑民衔接机制
1.侵害法益的刑民衔接
侵犯公民个人信息罪的保护法益是我国刑法理论上极具争议性的问题。我国刑事司法实践中采取了以保护超个人法益为原则、以保护个人信息自决权为例外的规制思路。《两高解释》第5条、第6条通过设置定量要素来确定是否构成侵犯公民个人信息犯罪的方式表明了本罪的保护法益并非仅仅是保护个人信息自决权这一明显具有个体性的法益,而是更加侧重对损及社会管理秩序、引发社会风险等社会危害性的防范。相反地,民法上个人信息保护的对象实质上是一种私益,只有在例外情形下侵犯社会公共利益,此时则通过公益诉讼制度进行救济。《个人信息保护法》第70条规定的个人信息民事公益诉讼制度中“侵害众多个人的权益”与《两高解释》确立的数量标准具有相同之处:在侵害信息主体个人信息达到一定数量实际上可能意味着已经造成了对社会公共利益的损害,应当受到国家公权力的保护。在二者的衔接机制上,一方面公益诉讼可以参考《两高解释》确定的数量标准作为提起公益诉讼的条件;另一方面也应当注意到二者在规范上的不同之处,前者侧重受害主体数量之多,而后者并无此限制,这意味着如果仅侵犯少数主体的大量信息且达到了相应的数量标准时仅具有刑法评价的空间。实际上并非如此,刑法保护与公益诉讼保护的价值立场具有一致性,即维护社会公共利益。因此,不宜对侵犯少数主体的大量信息与侵犯多数主体的少量信息进行区别对待,二者应当受到同等评价。所以,在解释论上,应当将《个人信息保护法》第70条“侵害众多个人的权益”进行目的性扩张,将侵犯少数主体的大量信息权益纳入公益诉讼的救济范围。
2.免责事由与出罪事由
《民法典》第1036条规定了处理个人信息的三种免责事由:信息主体或监护人同意、处理已公开信息以及为维护公共利益或信息主体合法权益的处理行为。理论界已有刑法学者开始探索将民法上的免责事由或者权益内容纳入侵犯个人信息罪构罪或者出罪事由的合理路径。当前,尽管在构建法秩序统一性原理的过程中仍然存在缓和的违法一元论、违法相对论以及违法多元论等不同理论学说,但可以形成共识的是,符合民法上侵权行为免责事由的情形必然符合刑法出罪事由(是否构成犯罪在所不问),而被评价为侵犯公民个人信息罪的行为必然具有民事违法性。将个人信息保护机制置于法秩序统一性原理框架之下,能够解决法律评价上的部分难题。例如,对未经信息主体同意,获取部分已公开的企业登记信息、征信信息并出售或者提供给他人的情形存在有罪说、无罪说等对立观点,但是若结合《民法典》第1036条第2款规定并作反面解释,即可得出不合理处理已公开个人信息即应受到否定评价。[38]这一思路在入罪判断上也有适用空间。比如,姓名、身份证号码、电话号码等与健康信息、行踪信息等隐私信息或者敏感信息无法受到同等保护,对前者信息的处理的目的正当性可以补正其违法性。
(三)行政规制和侵权诉讼的衔接
行政法学者与民法学者从不同学科视角为解决个人信息保护的现实困境提供了多种解决方案,但是受学科思维的桎梏可能会不同程度地忽视了行政规制与侵权诉讼的衔接问题。
首先,保护范围的差异。对比《个人信息保护法》第66条和第70条的规定可以发现,在“违反本法规定处理个人信息,或者处理个人信息未履行本法规定的个人信息保护义务”时产生行政责任,仅在“违反本法规定处理个人信息”时可以提起民事公益诉讼。由此可见,尽管民事公益诉讼与行政监管具有保护目的指向的同一性和保护价值的同位阶性,但二者规制的行为范围存在差异,民事公益诉讼仅保障个人信息依法处理义务,而行政监管除此之外还保障个人信息安全保护义务。
其次,具有个案性的一般侵权诉讼向行政监管机制履行个人信息安全保护职责转移。个案撤诉系当事人处分自己的民事权利,法院应当予以尊重。但是法院在处理个人信息保护侵权纠纷时,发现信息处理者牵涉多起类似案件,则须查明是否存在关涉公共利益的合规风险。原因在于,并非所有受害者均知悉信息侵害行为且有能力提起诉讼,而且个人信息本身就具有公共性,尤其是当众多个人信息被侵犯时则可能直接关涉公共利益。例如,裁判文书显示,某银行涉及大量个人信息保护纠纷,[39]尽管案件多以撤诉结案,但是司法机关作为国家权力机关,同样发挥着社会治理的积极功能,故不宜对银行是否存在个人信息安全隐患置之不理,而是应当通过司法建议或者线索移送的方式与行政主管部门衔接,这也符合我国司法体制下的司法能动主义理念。
最后,在违法处理个人信息场合协调行政监管与侵权诉讼。其一,采用行为规制进路的行政监管机制具有优势。裁判文书统计数据显示,郭某累计提起的28件个人信息保护侵权案件尽管针对不同被告但事实具有类似性,法院仅在一起案件中支持其赔礼道歉的请求,其余案件均以证据不足或者未造成损害为由驳回或者由当事人撤诉。该系列案中,无论是公益诉讼还是个案侵权诉讼均不甚合理。原因在于,无论是民事公益诉讼还是个案诉讼,均属于民事侵权的诉讼方式,民事侵权责任以“损害”为构成要件,但是系列案中被告行为主要表现为向原告发送数量较少的商业推广短信,结合该行为以及过错程度,尚不足以达到构成精神损害的程度。可以说,这种侵害行为不仅对个体损害轻微,而且对社会公共利益的损害也并不显著,因此无法适用以损害或者风险为导向的侵权保护模式。但是,行政监管模式则是采取行为规制进路,只要信息处理者违反《个人信息保护法》等法律规定即具有不法性,对是否造成达到侵权责任标准的损害在所不问,故此时采取行政保护措施是合理选择。其二,在一般侵权诉讼中,法院通过个案裁判实际上承载了法政策的执行功能。例如,在“贾友宝、青岛远海教育服务有限公司等个人信息保护纠纷案”中,被告在获取个人信息后仅向原告拨打过一次电话以及添加微信,但是法院判决被告承担3000元的精神损害赔偿金。[40]实际上,我国立法上对精神损害赔偿制度的适用作出了严格限制,前案的精神损害数额与侵权严重程度并不相符,可能的解释在于法院通过确立精神损害赔偿或者提高赔偿数额实现惩罚目的。此种路径虽然在个案的法理逻辑上有所欠缺,但是从法秩序的整体观之,则未为不可。原因在于,通过在个案民事诉讼中的酌定范围内适当提高体现惩罚性的相应数额,对违法行为以司法评价代替行政评价,既能实现司法资源的有效利用,也有利于及时解决纠纷。
虽然个人信息保护立法在比较法上已经呈现统一趋势,但是各国国情、制度设计与配套却并不尽然相同,因此探索符合我国个人信息保护法律体系的衔接机制是一项具有重大意义的议题。应当摒弃中心主义思维,构建关注不同机制之间的交融性和互补性的衔接路径。当然,此种路径也将生发出系列具体问题亟待解决,突出表现为两个方面的问题:一是各项机制之间的重合交叉适用;二是各项机制之间的先后顺序。本文尝试秉持教义学立场回答个人信息保护机制之间如何区分、衔接与协同,但执着于教义学的构建有其固有的局限性。未来还需关注到个人信息保护的规范完善,具体而言:一方面,《个人信息保护法》中尚包含诸多不确定法律概念需要不断积累实践经验,并通过司法解释的方式进行细化规定;另一方面,法律、行政法规需要通过修订法律的方式与《个人信息保护法》《刑法》《民法典》进行衔接,例如施行逾十年的《治安管理处罚法》已经无法适应个人信息保护的需求。
谭佐财,武汉大学法学院博士生;冉克平,武汉大学法学院{教授、博士生导师。
【注释】
[1]周汉华:《平行还是交叉——个人信息保护与隐私权的关系》,《中外法学》2021年第5期。
[2]张勇:《公民个人信息刑法保护的碎片化与体系解释》,《社会科学辑刊》2018年第2期。
[3]在Alpha数据库中,以“标题:个人信息”、“文书公开情况:全文公开”、“案由:民事或刑事或行政”、“审理程序:一审或二审或再审或其他”为检索条件进行裁判文书检索,截至2022年10月9日,共获得11621条检索结果,注释3标黄部分改为“民事案件、行政案件和刑事案件分别为138件、12件、11471件,对民事案件和行政案件合并裁判结果相同的系列案件、不同审级的同一案件、剔除无效案件后剩余民事案件85件,对刑事案件采取全样本分析和抽样分析相结合的统计分析方法累计选取229份样本”。
[4]丁晓东:《个人信息公私法融合保护的多维解读》,《法治研究》2022年第5期。
[5]丁晓东:《个人信息私法保护的困境与出路》,《法学研究》2018年第6期。
[6]冉克平、谭佐财:《〈民法典〉发挥公法功能的法理逻辑与基本路径——以〈民法典〉中行政主体规范为中心》,《浙江学刊》2022年第1期。
[7]张新宝:《我国个人信息保护法立法主要矛盾探讨》,《吉林大学社会科学报》2018年第5期。
[8]最高人民检察院:《检察机关积极维护个人信息安全,2021年办理个人信息保护领域公益诉讼案件2000余件》,https://www.spp.gov.cn/spp/xwfbh/wsfbh/202202/t20220227_545967.shtml,最后访问时间:2022年10月25日。
[9]参见(2021)辽01民初3574号。
[10]于冲:《侵犯公民个人信息罪中“公民个人信息”的法益属性与入罪边界》,《政治与法律》2018年第4期。
[11]谢鸿飞:《个人信息处理者对信息侵权下游损害的侵权责任》,《法律适用》2022年第1期。
[12]王锡锌:《重思个人信息权利束的保障机制:行政监管还是民事诉讼》,《法学研究》2022年第5期。
[13]最高人民检察院:《检察机关积极维护个人信息安全,2021年办理个人信息保护领域公益诉讼案件2000余件》,https://www.spp.gov.cn/spp/xwfbh/wsfbh/202202/t20220227_545967.shtml,最后访问时间:2022年10月25日。
[14]参见(2022)粤0705刑初17号。
[15]参见(2022)黑0422刑初28号、(2022)赣1102刑初93号。
[16]梅夏英:《社会风险控制抑或个人权益保护——理解个人信息保护法的两个维度》,《环球法律评论》2022年第1期。
[17]周汉华:《〈个人信息保护法〉条文精解与适用指引》,北京:法律出版社,2022年,第398页。
[18]张陈果:《个人信息保护救济机制的比较法分析与解释论展开》,《苏州大学学报》2021年第4期。
[19]陈丽莎:《温岭查处首例侵害消费者个人信息案》,《台州日报》2021年3月30日第04版。
[20]最高人民检察院第三十四批指导性案例(检例第140号)。
[21]「個人情報の保護に関する法律」参照。
[22]参见(2022)京02民终6656号。
[23]杨合庆:《中华人民共和国个人信息保护法释义》,北京:法律出版社,2022年,第171页。
[24]张新宝、赖成宇:《个人信息保护公益诉讼制度的理解与适用》,《国家检察官学院学报》2021年第5期。
[25]胡卫列:《国家治理视野下的公益诉讼监察制度》,《国家检察官学院学报》2020年第2期。
[26]程啸:《个人信息保护法理解与适用》,北京:中国法制出版社,2021年,第531页。
[27]最高人民检察院发布11件检察机关个人信息保护公益诉讼典型案例之五:江西省乐安县人民检察院督促规范政府信息公开行政公益诉讼案。
[28]徐日丹:《形成独具特色公益司法保护“中国方案”》,正义网,http://news.jcrb.com/jszx/202210/t20221019_2455280.html,最后访问时间:2022年10月25日。
[29]甘肃省平凉市人民检察院督促整治快递单泄露公民个人信息行政公益诉讼案。
[30]江西省南昌市人民检察院督促整治手机APP侵害公民个人信息行政公益诉讼案。
[31]张新宝:《我国个人信息保护法立法主要矛盾探讨》。
[32]陈奇伟、聂琳峰:《个人信息公益诉讼:生成机理、适用困境与路径优化——基于203份裁判文书的实证分析》,《南昌大学学报》2022年第3期。
[33]林莉红:《论检察机关提起民事公益诉讼的制度空间》,《行政法学研究》2018年第6期。
[34]丁晓东:《个人信息权利的反思与重塑:论个人信息保护的适用前提与法益基础》,《中外法学》2020年第2期。
[35]丁晓东:《从个体救济到公共治理:论侵害个人信息的司法应对》,《国家检察官学院学报》2022年第5期。
[36]最高人民检察院发布11件检察机关个人信息保护公益诉讼典型案例之八:河北省保定市人民检察院诉李某侵害消费者个人信息和权益民事公益诉讼案。
[37]杨志航:《〈个人信息保护法〉赔偿机制的不足与完善》,《澳门法学》2022年第1期。
[38]周光权:《侵犯公民个人信息罪的行为对象》,《清华法学》2021年第3期。
[39]样本案例中,该银行涉及个人信息保护纠纷累计10件,约占个人信息民事纠纷的14%。
[40]参见(2022)鲁0283民初1447号。