摘要: 个人信息处理者违法处理个人信息的行为可能同时引发行政责任与民事责任,有必要构建两种责任的衔接机制展开建构。在我国《个人信息保护法》的框架下,应将违法处理个人信息的民事责任限定在对个人民事权益的恢复与补救上,以此为基础展开行政监管与民事诉讼的衔接。为了促进个人信息保护水平的一致性、有效统筹公共执行与私人执行的资源与工具、吸纳信息主体协力参与数据治理,应推进“行政监管结论—民事诉讼结论”的前后衔接。在落实方式上,应当采用“引导行政先行”而非“强制行政前置”的整体方案:一方面,应在源头衔接维度运用制度激励与信息提示手段,推动个人信息主体选择“后继诉讼”;另一方面,在监管部门未得出处理结论而个人信息主体直接提起“独立诉讼”时,应在过程衔接维度促进行政监管与民事诉讼间的信息交互与程序协调。
关键词: 公共执行 私人执行 国家保护义务 个人信息保护
一、问题的提出
个人信息保护法属于典型的“领域法”,面对“个人—个人信息处理者”之间高度不对称的权力结构关系,个人信息权益的保障需要行政监管与民事诉讼、刑事追责等多元制度之间的合力,这已经成为学界的基本共识。[1]在我国《个人信息保护法》规定的行政责任与民事责任机制并存的二元实施机制下,针对个人信息处理者(以下简称“信息处理者”)违法处理个人信息、侵害个人信息权益的行为,个人信息主体在满足法律规定条件时既可以通过向监管部门提出投诉举报而激活行政责任,也可以在自身权益遭受侵害的情况下,通过直接向法院提起民事诉讼而追究信息处理者的民事责任。[2]实际上,这类二元责任衔接协调的情形已经在同样具备“受害者—违法行为人”不对称权力结构的证券投资者保护、反垄断等领域有了诸多实践。其中,违法行为的受害人提起的诉讼主要可以分为“后继诉讼”和“独立诉讼”两种类型。后继诉讼,即受害人在执法机构对涉嫌违法行为作出行政决定后,以执法机构的决定为依据提起损害赔偿之诉的案件类型;独立诉讼,即受害人无须等待监管部门的处理结论而径直向法院提起民事诉讼的案件类型。[3]与之类似,信息处理者违法处理个人信息的活动在违反公法上的合规义务的同时,也会对个人信息主体的民事权益造成侵害,处于弱势地位的个人信息主体同样可能选择后继诉讼或独立诉讼模式:后继诉讼方面,在监管部门接受投诉举报或主动发现线索,经过调查处理明确信息处理者的行政责任后,个人信息主体可以据此提起民事诉讼、主张信息处理者违法处理信息的行为侵害了个人的民事权益。独立诉讼方面,个人信息主体可以既向监管部门投诉举报,同时在法院提起民事诉讼,在监管部门得出处理结论前便单独在民事审判中主张对方承担侵权责任,此时监管调查程序与法院诉讼程序是并行的;或者,在未向监管部门投诉举报、监管部门尚未启动相关程序的情况下,个人信息主体可以直接选择向法院提起侵权之诉。此时监管部门的处理结论可能在法院裁判生效后才能得出。那么,在上述情形中,违法处理个人信息行为的行政责任与民事责任究竟应该如何统筹与衔接?民事审判法官和监管者相互之间如何看待对方所运行的责任机制中的事实认定与法律解释?不同责任机制法律适用结论之间如何实现程序与实体方面的协调与互补,从而在“总体法律后果”[4]的视角下实现系统性法律效益?这是《个人信息保护法》实施中所必须处理的关键问题。对此,国内既有讨论往往仅就行政责任或民事责任各自的制度体系展开论述,或是对行政责任与民事责任机制的协调统筹提出原则性、抽象化的要求,缺乏对两种责任衔接的专门分析与制度设想,这已成为当下研究亟需补足的短板。基于此,本文尝试为这一问题提供一个整体性、规范性的分析框架:首先,从“分工”的视角出发,分析信息处理者因违法处理个人信息行为而承担行政责任与民事责任时,两种责任各自所对应的适用条件与责任形式。其次,在明确违法处理个人信息行政责任与民事责任的功能分工关系的基础上,分析两种责任为什么需要展开衔接,衔接的制度目标是什么。再次,尝试分析两种责任之间应当依照何种路径展开衔接的问题。最后,就两种责任的衔接如何得到有效落实提出基本构想。
二、行政责任与民事责任的功能分工
违法处理个人信息行政责任与民事责任的功能分工,主要体现在各自适用条件与责任形式的差异化构造上。行政责任适用于信息处理者违反合规义务的情形,监管部门主要通过施加公法制裁、威慑违法行为来维护个人信息处理规则的实效。民事责任适用于信息处理者侵害个人信息主体民事权益的情形,法院通过判令被告承担损害赔偿、赔礼道歉、消除影响等责任来恢复与补救受侵害的民事权益。
(一)适用条件:违反行政合规义务—侵害民事权益
我国《个人信息保护法》确立了个人信息处理的基本规则,信息处理者必须按照个人信息处理规则所规定的方式处理个人信息,同时履行安全保护、风险评估等处理者的保护义务。其中,信息处理者违反个人信息处理规则或是不履行个人信息保护义务的,都属于违反合规义务的情形,可以直接引起行政责任。不过,违法处理个人信息应承担民事责任的适用条件,在理论和实务中都出现了与行政责任适用条件的认识“混同”,因此,《个人信息保护法》规定的“个人在个人信息处理活动中的权利”(以下简称“个人信息主体权利”)的保障机制仍有待进一步明晰。与欧盟《一般数据保护条例》(General Data Protection Regulation,简称GDPR)在第三章专章规定“数据主体权利”的立法模式类似,我国《个人信息保护法》在第四章对个人信息处理全周期中由个人行使的知情、决定、查询、更正等权利做了体系化表达。从保障机制上看,信息处理者违反这些规则将直接引起行政责任。例如,信息处理者没有履行告知义务、未经同意获取个人信息、未依法提供更正和删除个人信息的渠道,都属于违反合规义务的情形,监管部门自然可以介入处理。而在民事责任的适用条件上,《个人信息保护法》第69条规定,信息处理者侵害个人信息权益造成损害时应承担损害赔偿等侵权责任,这体现了侵害民事权益造成损害时应依法承担民事责任的基本法理。争议点在于,信息处理者若仅仅是违反了告知、取得同意、配合查询、配合更正等义务,但并没有造成实际损害,此时是否属于侵害个人信息民事权益而应承担民事责任的情形?对此,不少学者将个人信息主体权利理解为个人所享有民事权益的组成部分,进而认为只要违背个人信息主体权利规则的要求,便可以直接引起相应的民事责任,个人信息主体可以请求法院对个人信息主体权利提供司法保障和救济。[5]例如,未经个人知情同意擅自收集个人信息,侵犯了个人信息主体的知情权、决定权等权利,信息处理者应承担停止处理、删除信息的民事责任。又如,个人信息主体主张查阅、复制其个人信息受阻的,信息处理者应承担配合查询、复制的民事责任。不过,上述关于侵害个人信息主体权利之责任属性的观点,忽视了这些权利的法理基础与性质定位,会带来负面的实践效果。从法理基础上看,上述观点之所以主张侵害个人信息主体权利可激活民事责任,本质上是认为个人对于其个人信息应当享有一定的控制、支配或自主决定的权利,这种“控制”便是个人信息主体权利的基础。进而,侵害个人信息主体权利意味着个人对其信息“失去控制”,构成了对个人信息主体权益的侵害。但实际上,《个人信息保护法》第44条规定的是“个人对其个人信息的处理享有(权利)”,而非“个人对其个人信息享有权利”,这在概念限定上体现了立法者的深意,即这些权利并不是个人对其信息的支配权,而是广泛的、不特定的个人对个人信息处理者及其处理行为进行监督和制约的工具。在2022年的用户界面诉奥地利邮政股份公司案中,欧盟法院法官总顾问(Advocates General)在法律意见中强调:第一,无论从文本解释还是历史解释来看,GDPR赋予数据主体的其实是监督数据处理活动的权利,而不是个人对其数据的实体性控制权,更不是所谓的“信息自决权”;第二,在GDPR中,民事责任具有的是“私人补偿”功能,而公共机构的执法具有威慑和惩罚功能,两者不能混同;第三,从合法性监督的视角看,确保数据处理者遵守这些处理规则,保障个人信息主体的参与性权利得到落实,应当主要是监管部门的责任。[6]因此,这种所谓的“控制权”更多只是一种类比的说法,本质上指的是国家在大规模、持续性、主体关系失衡的个人信息处理活动中向弱势一方的个人赋权,其目的是使个人参与到国家所建构的个人信息保护法秩序中,监督与制衡信息处理者的处理活动。
从权利性质来看,个人信息主体权利实际上是公民在宪法上享有的受保护权利的具体表现,在“个人信息受保护权—国家保护义务”框架下理解个人信息主体权利更加准确。[7]从“个人—信息处理者”间的权利义务关系来看,个人信息主体权利是其制约信息处理者、监督其处理行为的公法权利,对应的是信息处理者相应的公法义务。[8]在大规模、持续性处理个人信息的情境中,信息处理者侵害个人信息主体权利的法律后果并不能简单地特定化到提出诉求的某个自然人身上,而是意味着信息处理者对众多用户没有履行相应的公法义务,带来了对不特定多数人的“公共风险”,而应承担行政责任。实际上,个人信息主体权利关涉数字经济时代公民个人、企业的利益与公共福祉的增进,应当基于整体性视角对侵害这些权利的行为进行规制。从制度功能的视角观察,对于法秩序的维护,行政监管部门在信息收集与专业判断上占据优势,享有形塑一般性规则的权力,因而能更高效地规制个人信息处理活动带来的系统性风险。[9]因此,在处理侵害个人信息主体权利的案件时,应当以行政监管作为权利保障的“主渠道”。如果将侵害个人信息主体权利的行为仅仅纳入民事责任框架处理,无疑会造成制度的错配,使得原本着眼于特定个人权益救济的民事责任制度直接承担风险规制、政策调整与法秩序维护的功能。基于个人信息主体权利的性质与功能,我国《个人信息保护法》第50条第2款规定的“个人信息处理者拒绝个人行使权利的请求的,个人可以依法向人民法院提起诉讼”,其实并非指向个人信息处理者的民事责任。从立法动因来看,这一规定是该法草案在进行第三次审议时,基于部分全国人大常委会委员提出“应当明确个人向人民法院起诉寻求救济的权利,以更好保障个人行使个人信息查询、复制等权利”[10]而增设的,其核心意旨在于“防止权利落空”,[11]是对公民获取司法救济权利的强调。在比较法上,与我国规定类似,GDPR第79条规定了数据主体对数据处理者违反数据保护法处理其个人数据的行为“提起诉讼”的权利。根据欧盟法院的解释,这主要是一种关于司法救济权利的原则性规定,而不一定指向个人基于个人信息侵权的直接起诉机制。 GDPR第79条允许成员国基于本国情况作出如下规定:针对行政机关拒绝数据主体权利请求的行为,数据主体应当先通过投诉、举报等方式,请求监管机构进行处理;如果数据主体对监管机构作出的处理决定不服,或者监管机构对数据主体的请求未进行处理,数据主体有权提起行政诉讼寻求及时的救济。[12]再如,法国的数据保护立法规定,针对数据主体权利受侵害的现象,可以由监管部门向法院提出纠偏违法行为、发布法律保护措施的诉求,这也被认为是对GDPR第79条的落实。[13]除此之外,意大利等少数欧盟成员国规定了数据主体可以针对权利受侵害而直接向法院起诉;但这主要是基于对意大利监管部门的执法公正性与效率存在现实疑虑而进行的制度变通;进而,在意大利的司法体制下,这部分案件被分流到了民事诉讼当中。[14]即便如此,这一机制依然是基于保障公法权利、维护个人信息处理的法秩序的目的而展开——《意大利数据保护法》第140II条专门规定“替代性的法律机制”:如果数据主体已经向行政监管部门投诉举报,就不得再向法院直接提起诉讼。这表明该类诉讼并不是一种基于民事权益受侵害而必然引发的民事责任机制,而是一种对监管执法的功能替代机制。需要看到,这种机制的实践效果仍是较为有限的,个体诉讼往往只能就特定个案提出主张,无法实现社会整体性治理目标。同时,个人往往受限于自身的经济理性,可能因较高额的和解或赔偿费用而放弃诉讼,难以对数据处理者尤其是大型平台的经营策略与数据处理模式产生实质性影响。[15]
在具有较强的司法能动性、规制能力与广泛的私主体诉讼实践的美国,一些州立法中也规定了公民基于个人信息主体权利受侵害的直接诉权。例如,在伊利诺伊州的罗森巴赫诉六旗娱乐公司案中,该州最高法院认定,由于该州信息隐私法除了私人诉讼权外,没有规定其他执法机制,因此需要允许个人信息主体就侵害其信息隐私权利的行为直接向法院起诉,从而监督信息处理者遵守法律规定的处理要求。[16]这类制度实践与美国在证券发行交易、反垄断、劳动者权益保障等不对称法律关系规制中“诉讼国家”而非“监管国家”的现实运作有关——由于监管部门的资源和可用工具往往较为有限,法律的实施较为倚赖私人执法与法院裁判。[17]此时,个人信息主体直接诉讼是在公共监管存在缺位或不足时的一项替代制度,旨在增强执法力度。[18]直接起诉与监管部门执法这两套机制具有一定的同质性,在个案中应当择一而非重叠适用。相较而言,在预设“强监管”与有力公共执行的制度架构中,如果监管部门能够高效、公正履责,便没有必要再激活私人直接起诉机制。
上述经验充分表明,即便基于一些监管部门存在的反应迟缓、缺乏履职动力、规制措施僵化等问题而允许个人信息主体就其权利受侵害直接起诉,其目的依然在于实现个人信息主体在宪法上的个人信息保护权利。这一制度设计旨在对违法行为展开及时、有效地纠偏,但并不意味着对个人信息主体权利的侵害主要属于民事责任机制调整的范畴。在我国个人信息保护实践中,行政监管处于起步阶段,在职权配置、能力、经验和资源上仍存在不足,针对监管决定进行监督的行政复议、行政诉讼、检察建议等机制也尚未得到充分完善,[19]一些法院尝试在民事审判中运用《民法典》《个人信息保护法》直接审理个人信息保护纠纷案件,在特定阶段有一定的现实合理性。[20]但从长远的制度建构来看,仍应当根据功能适当原理,以监管部门的公共执法为中心来保障个人信息主体权利,辅助性地规定个人信息主体通过民事诉讼来补充公共执法的范围与形式。[21]
(二)责任形式:威慑制裁违法行为—补救受侵害的民事权益
违法处理个人信息行政责任的具体形式包括罚款、责令改正、信用惩戒等强制性的纠偏手段,这些手段以维护个人信息处理规则的实效性为目标,以制裁和威慑违法行为作为主要方法。而在民事责任方面,《个人信息保护法》第69条依循《民法典》第1182条的模式,对个人信息侵权中的民事救济作了原则性规定。同时,《民法典》对于民事责任承担方式的规定也可适用,例如《民法典》第179条规定的停止侵害、排除妨碍、消除危险等多种方式。这也体现了民事责任机制的基本运作目标——恢复被扭曲的私法关系。按照侵权责任法的原理,侵权行为侵害的是受害人现有权益(人格、身份和财产等),最终会损害整个社会秩序,因此民事责任机制应当使受害人的权益回到侵权行为或利益不当变动产生之前的利益状态,以保障社会已有的秩序,体现“矫正正义”的要求。民法学界主流观点认为,侵权责任法律规范应当贯彻禁止得利的要求,即法律原则上不允许“受害人因侵害行为而获利”,以避免受害人为了获利而主动寻求或放任被侵权的道德风险。[22]在此意义上,虽然损害赔偿在客观上可能会收到附随性的威慑效果,但这不应成为法院选择民事责任承担方式的直接目标。
不过,相反的观点认为,违法处理个人信息的民事责任应当具有惩罚性功能,法院对于个人信息民事侵权案件的审理方式与目标,应从个体赔偿救济转向合理威慑违法行为与改进公共治理。在此类观点看来,在损害数额较小但社会危害和影响范围较大的个人信息侵权案件中,个人往往难有起诉的动力,为了提升个人信息保护水平,此时法院应当扮演监管者的角色,通过惩罚性赔偿机制来代替行政监管部门的罚款机制。如果行政机关尚未启动执法程序,法院可以设计理想的行政罚款额度除以潜在诉讼人数的赔偿方案,基于实际情况动态调控诉讼人数和惩罚性赔偿的数额。[23]这一观点在实践进路上更加偏向美国的私人民事诉讼制度模式,即同时侧重于威慑和赔偿两个目标。例如伊利诺伊州的《生物识别信息隐私法》(Biometric Information Privacy Act)第20条就规定,如果数据处理者故意或者鲁莽地违反数据处理规则,个人可以主张5000美元赔偿金或是其实际损失,以较高者为准。实际上,这一观点完全将法院视作另一套监管执法系统,试图将分散化、个案化的民事诉讼整合成类似于履行保护职责的行政监管部门的执法过程。然而,对于我国个人信息保护领域来说,这种进路不论是在法律依据还是制度功能上都存在一定的不足。在法律依据层面,无论是《个人信息保护法》还是《民法典》,强调的都是对侵犯民事权益造成“损害”的救济,“损害”参考了GDPR的做法,包括物质性损失和非物质性损失,[24]但并无任何规则赋予法院对违法者施加惩罚的职权。在《个人信息保护法》第69条的规定中,无论“实际损害”“违法所得”还是“根据实际情况确认”都并非指向一种惩罚性的赔偿,而是聚焦于对既有利益的救济和维权成本的填补,立法者没有选择惩罚性赔偿而是坚持一般民事责任的补偿性功能。并且,我国《法院组织法》和《民事诉讼法》在对民事审判与民事权益救济进行功能定位时,均强调个案中的个体救济与自主权衡。[25]实际上,基于我国民事审判机构对自身职能定位与裁判依据的理解,当下关于个人信息侵权损害赔偿的民事裁判也均着眼于对“损害”的界定,没有关注和提及威慑与惩戒违法行为的制度目标。[26]
在制度功能层面,此类观点尝试以最大程度提升个人信息保护水平为目标,让法院直接承担专业化监管与风险规制职能,将直接的威慑功能赋予侵权之诉判决。这一做法虽然具有合理的现实关切,但却可能在实践中导致两套实质性监管体系的叠床架屋乃至规则适用冲突。从功能主义视角观察,在公共执法与私人执法相协调的实践中,只有在补偿性赔偿与公共执法相结合仍不足以剥夺违法行为人的非法收益时,立法机关才有必要创设充分彰显私人执法性质的惩罚性赔偿请求权,即允许惩罚性赔偿金显著超越实际损失。[27]在此意义上,与监管部门威慑工具受到很大限制的美国不同,[28]欧盟和我国立法都细致规定了履行个人信息保护职责部门的执法工具,尤其是设定了大额罚款这一威慑工具,以便于监管部门集中进行威慑,这一工具的引入已经能够较好地回应“威慑不足”的问题。对个人信息处理风险的规制应当注重监管的一体性、规模性与效率性优势,如果要求法院承担类似于行政机构大额罚款的威慑与监管职能,意味着要在组织层面按照“一体化”的思路改造法院审判系统,确保个案处理方式的高度统一,保证法院系统能够统筹分散化的诉讼,同时还要赋予法院相应的技术能力与资源,提升审判人员的成本收益分析能力,使其能够持续性地根据政策目标调整惩罚性赔偿的金额。在立法已经规定履行个人信息保护职责的部门及其统筹协调机制的情况下,与其如此迂回地将法院改造为监管系统,不如将注意力与资源投入在行政监管机制的完善上,避免设置两套并行的、叠床架屋的监管威慑体系。[29]进一步来看,这种方案的可操作性也值得商榷:第一,提起诉讼是个人自主选择的结果,法院如何精确地控制民事诉讼的数量?赋予法院威慑职能、允许高额惩罚性赔偿,还可能诱发个人的逐利动机,引发过度诉讼。[30]并且,若是依照处分原则而允许个人基于私人利益进行和解、撤诉,显然会与公共监管的威慑目标和制度预设产生矛盾。第二,法院的威慑效果需要大量个案来形成,相较于监管决定,单独、分散的诉讼可能带来重复、无谓的额外社会成本。第三,我国法院系统对于民事案件的管辖权是高度分散化的,法官的裁判考量因素可能受制于地域管辖和层级管辖,[31]但违法处理个人信息活动往往影响的是跨地域、大规模市场下的消费者与用户,很难确保法院始终在我国数据治理的整体性视野中准确认定惩罚性赔偿的数额。可以说,这一方案不仅将耗费巨大的制度成本,在现实中也很难具备相应的可行性。
综上而言,违法处理个人信息的民事责任应避免与行政责任发生混同,在我国《个人信息保护法》的框架下,应将民事责任限定在对个人民事权益的侵害之恢复与补救上,以此分工为基础进行两种责任的衔接,使行政监管与民事诉讼得以更好地配合。
三、行政责任与民事责任衔接的目标与路径
构建违法处理个人信息行政责任与民事责任的衔接机制,需要将促进个人信息保护水平的一致性、有效统筹公共执行与私人执行的资源与工具、积极吸纳个人参与并营造良好治理环境等作为制度目标。
(一)行政责任与民事责任相衔接的三重制度目标
1.促进个人信息保护水平的一致性
违法处理个人信息行政责任与民事责任的衔接,首先需要注重个人信息保护水平的一致性,即避免行政执法和民事司法对同类案件中的相同事项作出不同裁决,还包括事实认定的不同与法律解释的不同。一方面,这是宪法上个人信息受保护权利的基本要求,如果行政监管与民事诉讼二元机制的判断结论存在差异,公民的权利保障将处于一个高度不确定的状态,违反了法的安定性要求。另一方面,从促进个人信息合理利用的角度来看,如果法律实施机制过于分散化,信息处理者必然会面临大量的权利请求以及各行其是的监管部门与法院的处置结论,会陷入负担过重而难以应付的境地。[32]不同机制之间法律判断可能存在的相互抵触也会给个人信息流通利用带来很大的不确定性,无法保障个人信息处理者的稳定预期,不利于维护市场环境的统一。当然,这种一致性要求并不是“为了一致而一致”,而是具有动态性、反思性,更多是倡导决策者之间充分沟通信息,将个人信息上承载的多元利益、技术创新政策及市场机制健全程度等要素纳入综合考量范围,[33]尽可能避免因信息不足、沟通不当或视角偏颇而作出矛盾决定,但并不排斥特定个案当中监管部门与法院修正已经作出的不适当判断。在比较法上,个人信息保护水平的一致性目标在欧盟得到了高度强调。 GDPR特别重视在数据处理方面保护自然人的基本权利和自由的规则能够得到一致和统一适用,并消除欧盟内部个人数据流动的障碍。[34]在欧盟立法者看来,如果缺少一套保障GDPR执行和解释一致性的合作性程序机制,GDPR所追求的有效保护数据主体权益的目标便无法完全实现。[35]实际上,由于缺乏清晰的衔接框架,欧盟数据保护实践中已经出现了不少监管部门与法院判断结论不一致的案例,给数据保护带来了很大的混乱。[36]针对这一难题,欧盟正在尝试积极引导成员国建立相应的程序协调与信息交流机制,最大程度上减少冲突和不一致,[37]这一现象无疑值得我国警惕。正如英国牛津大学学者维克托·迈尔—舍恩伯格(Viktor Mayer-Sch?nberger)所指出的,分散化的个人起诉往往存在不相协调、相互独立的问题,司法系统对相关判决的融贯性难以保证;数据保护法律的实施应当依靠于监管部门、专业组织在治理系统中展开统筹协调,以对个人信息权益进行一体性、全面性的保护,促进数据保护法律执行的融贯性与实效性。[38]整体而言,如果缺少相应的责任衔接机制,受侵害的个人信息主体将难以获得明确的法律答案,国家机关之间也可能通过任意性机制进行个案协调,这会削减个人信息保护法适用的可预期性。在此意义上,国家应该对原本并行的两套法律责任机制进行专门化设计,由在数据保护领域更具有统筹性的机构主导法律的解释和实施,促进法律适用的融贯性,并在程序上确立相应的协调机制,从而尽可能促进两套裁决机制达成一致的判断结论。
2.在国家保护义务下有效统筹资源
在个人信息国家保护的框架下,国家需要统筹各类法律责任机制与资源,支援个人制衡数据处理者。[39]具体来看,无论是公共执行下监管部门查处违法活动,还是私人执行下司法场域的侵权行为认定与处理,都涉及大量的信息收集、事实认定、法律判断、责任认定等工作,彼此之间缺乏协调的局面极易导致社会整体资源的浪费,也不利于在最大程度上优化对个人信息处理行为的规范效果。可以说,促进对以行政监管为代表的公共执行机制与以损害赔偿为代表的私人执行机制之间的合作性安排,将成为个人信息保护制度结构转型与功能优化的关键所在。在民事诉讼方面,应该看到,个人信息主体通过民事诉讼要求获得损害赔偿,是民事权益救济的应有之义,也是民事权利主体自主性地位的当然体现。通过私人执行与赔偿追责,法院的判决能够对信息处理者的违法活动产生一定的遏制效果,间接维护个人信息处理的制度生态,成为公共执行机制的一项有效助力途径。不过,如果个人信息侵权赔偿之诉仅仅在民事诉讼框架内部进行运作,未必能取得良好的实际效果。在个体侵权之诉逻辑下,来自不同地域的受害者需要单独、分散地向处理者起诉,自行承担相应的程序性成本,法院也需要在个案中重复进行证据筛选、事实认定与法律判断工作,这加重了侵权赔偿诉讼制度运行的负担。在行政监管机制下,个人信息主体也是发现违法行为、提供违法线索的重要力量,在监管部门作出实质性处理之前,信息主体可以基于自身民事权益受损而直接提起损害赔偿之诉。私人执法可以补充公共监管的空白,为公共监管提供重要的线索,尤其是在监管部门缺乏资源、重视不足或反应缓慢而未及时进行公共规制的情形中。[40]但是,在民事诉讼与行政监管高度分隔的情况下,个人信息主体对违法行为的调查活动无法推动两套制度系统间展开有效的信息交流,监管部门的专业意见也无法对侵权之诉的运作起到支持作用,这显然不利于提升个人信息保护的整体制度功效。例如,监管部门忽视了法院已经作出的损害赔偿判决,对信息处理者施加的处罚金额负担可能超出最优威慑水平,从而激发更多的策略性应对与法律规避行为,妨碍个人信息保护法有效落实与数字经济发展。[41]在此意义上,行政责任与民事责任的衔接,应当有利于相关资源、信息、工具的最优化统筹,使得两者各自的制度功能都得到充分实现。
3.吸纳个人信息主体协力参与数据治理
在现实场景中,监管者所掌握的执法工具并不是完美的,加之数据处理者实施个人信息侵权活动的隐蔽性、技术性,以行政监管为中心的公共执行机制未必能在事前全面地防范个人信息侵害风险。在监管部门发现并查处数据企业相关的违法行为时,该类行为可能已经持续了一定时间,难免已经造成信息主体在人格权、财产权等方面的实际损失。对此,监管部门通过罚款进行经济制裁,虽然能够有效地降低该企业后续违法行为发生的概率,并对社会中的潜在违法者产生一般预防的效果,但无法直接填补该违法行为对信息主体已经造成的损失。[42]而在私人执行的场景中,信息主体的赔偿目标往往面临损害不确定、因果关系复杂等问题,无论是以实际损害还是被告违法所得进行认定赔偿数额,单个主体能够获得的损害赔偿往往都较为有限。与此同时,面对封闭化、组织化、强势的信息处理者的技术、资源与经济优势,个人信息主体的诉求提起、证据调查等步骤将花费一定的程序性成本,个体需要耗费相当的精力和金钱来整理信息、提炼专业意见,尽力克服举证困难的问题。挪威学者莫娜·娜奥米·林特韦特(Mona Naomi Lintvedt)系统梳理欧盟数据侵权损害赔偿案件后发现,欧盟成员国法院判定的赔偿金整体较低,往往仅在1500欧元以下。同时,基于弱势诉讼地位与举证难度所带来的高败诉率,个人信息主体花费大量程序性成本提起诉讼的经济风险相当大,这导致侵权赔偿之诉在很大程度上仅具有象征性功能。[43]我国实践中也出现了类似的问题,个人信息保护案件的受害者往往维权动力不足,原因之一是司法成本过高,原因二是获得赔偿的路径不明确。[44]由此,对大部分个体而言,损害赔偿之诉是相当“不经济的”。如果不设置相应的辅助性措施,纯粹限定在民事诉讼的一般性逻辑来开展损害赔偿之诉,最后往往只能是少数财富和精力较为宽裕的个体有热情参与其中。这类现象会对整个个人数据治理带来很大的负面效应,缺乏良性的反馈机制会降低数据主体对数据生态的信心,不利于个人信息主体共同协力参与个人数据治理。在此意义上,通过行政监管与侵权之诉的衔接来降低个人信息保护中的受害者维权门槛与提高受害者赔付的制度预期,是对个人信息主体参与个人信息保护的正向赋能,更是对普通公民在制度面前所遇现实困难的关照,有利于营造个人信息主体积极参与个人信息保护的治理环境。[45]
因此,在实体衔接层面,应当协调公共执行与私人执行的法律后果,在不损害法律总体威慑效果的情况下提升损害赔偿制度运行的效率、给予受害群体更加充分的补偿。[46]要实现公共执行机制的社会化转向,在对企业不法行为进行惩罚和威慑的同时实现对受害群体的权利救济。[47]在个人信息侵权受害者数量众多而损害不确定、侵权赔偿额度较低的情况下,行政大额罚款的设定、归属与分配应当充分考虑受害群体的利益,建立相应的社会补偿机制。其中的关键在于,不应认为公共执行机制中的金钱制裁属于纯粹的公法债权而必须由国家垄断,可在不考虑受害人利益的情形下进行处分,而是应当基于社会共治与分配正义的理念,允许监管者为了弱势个人信息主体的损害填补而调整监管方式与制裁内容。[48]
(二)推进“行政监管结论—民事诉讼结论”前后衔接
在明确上述三重目标与制度需求后,下一步需要处理的是两种责任相衔接的路径选择问题。即行政监管中法律适用的过程与结论,与民事诉讼中法律适用的过程与结论,在衔接路径上应该如何选择?此时公私衔接的重心,应当放在私人执行结论向公共执行的“转译”,还是公共执行结论向私人执行的“转译”上?也就是要厘清,从一般性的意义上看,何者是相对前置、先行的,何者是相对后续、附随的。实际上,无论从规范逻辑、制度功能还是域外经验等维度来看,在我国已有制度框架的基础上,推进“行政监管结论—侵权之诉结论”的前后衔接,都是应然的选择。从规范逻辑来看,以风险规制为中心的行政监管与以损害填补为中心的侵权之诉在回应效率与启动节点上存在一定差异。基于控制个人信息处理风险的需要,国家的规制直接针对违反法秩序的处理活动展开,具备预防性的特征,因此在逻辑上具有更靠前的启动节点。[49]在风险控制能力上,基于监管执法机构的组织化、专业性优势,其对处理活动的调查更加具有穿透性;监管程序对违法信息的整合能力更强,启动的流程也更加迅捷。相较而言,个体民事权益的损害则是由处理风险经过一定的因果机制现实化后产生的(如个人数据泄露、个人数据错误等方面的后续效应),且需要经过前期的个体化认知、调查、交涉环节,激活救济机制的时间节点往往更加滞后。在欧盟,欧盟基本权利机构(FRA)也发现,在违法处理个人信息案件中,向DPA(欧盟数据保护监管部门)投诉比司法补救措施更受欢迎,原因包括DPA不需要较高额的程序费用、投诉程序更短、更简洁,监管启动更加迅捷等等。整体而言,基于风险规制的特性,专门化监管部门的介入相对于民事诉讼仍是靠前的。[50]从制度功能来看,面对兼具不确定性、专业性和高度技术化的数据治理政策所引发的个人信息权益侵害争议,法院往往难以通过复杂的成本收益分析作出一致的、具有高度政策引导性的解释。在民事诉讼结构中,基于辩论主义原则,私人执行中的法律适用过程和结论受到个体行为策略和诉讼能力的约束,同时受到“个人—信息处理者”博弈结构中妥协、和解、协商等机制的影响,不同法院的规制能力也存在较大差异,因而具有高度的个案性。由此,私人执行机制无法较好地将个案化的实质性结论对接到强调一致性、综合性、持续性调控的公共执行机制的后续判断当中。[51]在专门设定强力监管部门规制不对称权力关系的制度框架中,应当推进“行政监管结论—民事诉讼结论”的前后衔接。德国学者保罗·尼米兹(Paul Nemitz)在考察欧盟数字市场监管相关实践后发现,相较于公共执法,私人执法和损害赔偿诉讼即使在有专门立法的情况下发挥的实际作用也相对较小,往往只是作为公共执法的违法性判断结论的后续行动而发挥作用。[52]德国学者沃尔夫冈·沃姆内斯特(Wolfgang Wurmnest)与梅林·戈曼(Merlin G?mann)指出了反垄断案件与数据保护案件在执行机制上的类似性。他们认为,面对强大的企业力量,将行政执法结论引入到后续的损害赔偿之诉中,有利于减轻当事人的诉讼负担,并促进两种执行机制的协调。实际上,在同样存在高度不对称权力关系、专业性程度较高的反垄断案件中,欧盟法上关于监管决定对民事诉讼的约束力以及程序上的优先性,已经有了明确的制度设计并取得了良好的成果。[53]在国内研究中,邓峰在系统分析反垄断领域民事诉讼实践的现状后指出,在公共执行与私人执行的关系上,我国现有法律架构非常强调市场监管中公共执行的主渠道作用,个人提起的损害赔偿之诉主要表现为一种公共执行之后的附随民事诉讼模式,私人执行是相对辅助性、后置性的,这一点与欧盟的制度架构高度类似。[54]张占江也强调,从世界各国的实践趋势上看,个人信息保护需要融入反垄断法视角,通过竞争主管部门和数据保护机关的合作实现整体上的部署和协调,主要通过监管事前执法而非法院事后救济来形塑数据保护政策。[55]
推进“行政监管结论—民事诉讼结论”的前后衔接,能够起到很好的资源整合、结论协调、引导个人积极参与的效果,这也得到了欧盟个人信息侵权之诉实践发展趋势的佐证。根据国际隐私专家协会(IAPP)官网上公布的相关调查结果,在实现行政监管结论在侵权之诉中的有效适用后,欧洲个人数据保护的整体效率得到了提升。例如在德国和英国,监管部门的处理决定对潜在索赔人的行动决定非常关键,主要的诉讼趋势是“监管后续索赔”——民事诉讼主要基于监管调查结论展开,因为这解决了个人举证成本的问题,改变了个人在诉讼中的弱势地位。数据处理者如果受到监管处罚,在后续的民事诉讼中也很难抗辩成功。从规制效果看,这改变了数据处理者在决定接受或起诉罚款决定时的风险偏好,以及数据处理者与数据保护监管部门在罚款谈判中的关系,使得数据处理者愿意给予监管部门更多的尊重,在合规与个人信息主体权益补救方面展开“深思熟虑的合作”,以减轻其所承担的法律责任。与此同时,这一模式使得关于事实问题与法律问题的争议可以集中在监管与后续可能的行政诉讼场域开展,很大程度上避免了行政与民事领域出现重复审理和结论冲突的问题。[56]除此之外,澳大利亚学者格雷厄姆·格林利夫(Graham Greenleaf)在针对全球范围内数据保护法执行机制的发展趋势的研究中发现,越来越多的国家和地区开始选择将监管判断向民事诉讼的“转译”作为预设来展开制度设计。例如,韩国个人信息保护监管部门在处理违法行为时,可以要求数据处理者向那些通过监管部门来寻求救济的个人信息主体支付一定数额的赔偿金,在保证威慑效果的同时提升个人信息主体权益补救的便利性。个人信息主体如果认为个人信息保护机构拟定的赔偿数额过低,以致无法反映某些特定损害,可以在监管判断的基础上向法院提起诉讼要求获得更高的赔偿。[57]这些经过实践检验的制度设计具有一定的参考价值,也在相当程度上印证了行政监管结论先行的路径优势。
四、行政责任与民事责任衔接的落实方式
在明确了推进“行政监管结论—民事诉讼结论”前后衔接的基本路径之后,违法处理个人信息行政责任与民事责任衔接架构的展开和落实成了综合不同法律技术与制度工具的一项系统工程,需要比照国内外实践和经验,借鉴反垄断、证券等领域法律公共执行与私人执行的成熟做法,明确行政监管与民事诉讼在实体和程序上的配合措施。
(一)整体性方案:引导行政先行而非强制行政前置
整体而言,行政监管结论先行下的责任衔接主要有两种方案:一是“强制行政前置”方案,也就是在法律上明确要求民事诉讼必须要在监管决定作出后才能提起。例如,《新西兰个人信息保护法》第98条要求个人信息主体提起民事诉讼之前必须先向个人信息保护专员投诉,侵权之诉需在监管处理的基础上展开。另一种则是“引导行政先行”,即不强制个人信息主体在监管决定后提起民事诉讼,但通过各种措施促进行政监管结论先于民事诉讼结论作出,同时尽可能协调两者的结论保持一致。应该看到,强制行政前置的做法可以解决行政监管与民事诉讼之间的顺序问题,使得民事诉讼能够基本沿着行政监管的结论向前推进。但是,这一制度显得过于刚性,并不切合我国实际:一方面,我国《个人信息保护法》第60条规定了“各部门在各自职责范围内负责个人信息保护和监督管理工作”的监管职权,如果某领域的监管机关针对特定案件的处理效率低下,强制行政前置可能会导致个案中个体权益救济被严重延误。另一方面,我国目前的市场监管体制已经基本否定了强制行政前置方案。例如,我国《反垄断法》没有规定行政前置。又如,证券法领域采取的强制行政前置方案灵活性低,在实践中饱受争议,不利于在监管迟缓而权益救济需求较为紧迫的特定场景下为个人提供权益保护,故而,最高人民法院的司法解释已经废除了这一方案。[58]基于此,否定个人信息保护领域的强制行政前置方案,转而选择更加灵活的引导行政先行方案,更契合我国当下的制度发展趋势。在此整体性方案之下,应当进一步从源头衔接与过程衔接角度完善相关制度:一是在源头上减少“独立诉讼”、促进“后继诉讼”,即引导个人信息主体在监管部门作出违法责任认定后再提起民事侵权之诉,促成“行政监管结论—民事诉讼结论”的先后序列,将相关争议与法律判断问题尽可能集中在监管场域,避免两套系统的法律判断相互冲突。二是在个人信息主体提起独立诉讼时,完善行政监管与民事诉讼间的信息交互与程序对接机制,促成行政监管结论与民事诉讼结论的协调。
(二)源头衔接的落实:制度激励与信息提示相结合
在源头衔接维度,为了促成“后继诉讼”模式,合理地引导“独立诉讼”案件的减少,突出行政监管结论先行的制度功效。对此,首先需要通过正向赋能进行制度激励,通过明确监管决定在民事诉讼中的作用来显著降低维权成本,并经由行政监管决定透明度与一致性的提升来增强监管的公信力与说服力,从而彰显监管决定在后续民事诉讼中的价值,突出“后继诉讼”模式在“成本—收益”分析上的优势。其次是通过诉讼时效中断制度消除个人信息主体的后顾之忧,为其维权提供更多的制度便利。最后则是通过信息提示提供决策启发,避免当事人产生认知偏差,促使其在全面权衡与理性思考后选择“后继诉讼”模式。
1.明确监管决定在侵权之诉中的作用
为了引导个人信息主体在监管结论作出后据此高效率、低成本地提起民事诉讼,应当明确行政监管结论在民事诉讼中的作用。根据《最高人民法院关于适用〈中华人民共和国民事诉讼法〉的解释》第114条的规定,行政监管决定作为公文书证,其记载的事项在民事诉讼中应当被推定为真实。但值得深究的问题在于行政监管决定中记载的哪些事项能够在个人信息侵权之诉中发挥作用,以及不同事项发挥的作用存在哪些区别。具体而言,监管决定的最终结论主要包括违法性判断及后续的罚款金额选择两个方面。在违法性判断方面,不论是监管决定还是损害赔偿判决的作出,都需要对信息处理者是否违反个人信息处理规则作出判断。[59]就此,民法学界普遍认为,在个人信息保护领域,基于过错客观化的趋势,行为人对保护性规范的违反对于认定民事侵权中的过错要件具有关键性作用。[60]一个随之而来的问题是,行政监管决定作出中对信息处理者合规义务履行的判断,相较于民事诉讼中对信息处理者行为违法性的判断,其中所指向的“规范”的范围是否一致。有观点认为,公法规范向私法规范“转介”之核心在于“以保护个人的权益为判断标准”,应排除专以维护国家社会秩序的法律,因此不能将《个人信息保护法》包含的一系列公法规范直接转介入私法之中。[61]不过,由于《个人信息保护法》包含保障个人信息权益的意旨,所有规定其实都反映了国家对“个人—信息处理者”之间不对称关系的约束及对弱势方的专门保护,并不存在“专以维护国家社会秩序”的情形,上述标准实则难以适用。实际上,关键的区分在于哪些规范对于保障个人信息权益、制衡“个人—信息处理者”之间的不对称关系是核心和直接的,哪些则是相对辅助性的。例如,在GDPR执法实践中,监管者往往是以处理规则的程序正义性、数据管理系统的安全性为中心进行违法性判断,主要针对数据处理的合法性基础,数据处理的最小、必要、透明、诚信等原则以及数据主体的权利等数据处理中的“程序正义”要求之违反等事项展开。因为这些事项与个人实体性权益具有直接和紧密的关联,一旦被违反很容易带来现实损害。[62]在监管部门根据这些保护性规范对信息处理者进行制裁的情况下,监管决定中的违法行为认定结论具有客观性和专业性,司法中可以推定信息处理者具有过错。相较而言,一些组织性、管理性事项,如任命数据保护官员、发布个人信息保护社会责任报告等,其实是面向监管的一般性要求,单纯违反这些事项并不会直接导致现实损害的发生,因而这些规范不属于侵权法意义上的保护性规范。[63]进一步来看,如果监管部门选择了罚款惩戒,那么罚款金额选择中的要素考量,同样可以对损害赔偿责任的范围和大小之判定产生影响。例如,在GDPR第83条关于行政罚款考量因素的规定中,第1项(相关处理的性质、范围或目的,被影响的数据主体的数量以及损害程度而确定的违法的性质、严重性与持续时间)有助于法院认定损害赔偿责任的数额大小,第6项(处理者为了减轻数据主体损失而采取的行动)有助于认定处理者民事责任承担的范围,第2项(违法的性质是基于故意还是过失)与第4项(处理者采取安全措施的完善程度)有助于认定数据处理者的责任程度的大小,尤其是在多主体共同侵权下进行责任分配之时。那么,行政罚款金额选择中对上述事项的考量在转化为民事诉讼证据后,法院应当给予何种程度的尊重呢?这需要回到法律公共执行与私人执行的一般理论上来。公共执行主要针对系统性、规模性、普遍性的问题,行政罚款决定中所考虑的要素,是相对抽象化、一般化、公共化的;私人执行中考虑的要素,相对而言是具体性、个别性的,需要结合个人信息主体自身的特定情况,尤其是个人信息主体对侵害个人信息行为的“自我理解”。因此,法院在认定行为人责任程度以及应当承担的损害赔偿金额时,所应当考虑事项的普遍性程度越高,那么行政监管中相关结论的说服力和可适用性也就越高。例如,在大规模的同类信息泄露案件中,相对每个个体而言,信息处理者应履行的组织和技术保障义务应该是无差别的,法院在认定信息处理者因此承担的责任水平时应当做统一化处理,应当对行政监管中的结论予以较高程度的尊重。相比之下,法院所应当考虑的事项如果是因人而异的,行政监管中的相关结论此时更应该被置于参照的地位,更多交由个人信息主体根据个案情况,经由诉讼两造的对抗来提出场景化的理据。例如,对于人脸识别技术滥用造成的损害大小,行政监管主体在判断“违法行为的严重程度”时需要做均质化的理解,从整体性的视角给出较为抽象性、一般性的结论。不过,人脸识别技术滥用的危害后果具体到每个个体身上造成的后果差异较大,行政监管中的相关考虑无法充分兼顾个案的细节及每位当事人的具体情况,此时应当更多交由个人信息主体提供信息和理由,提出更多的论据来说明违法处理活动造成的具体损害内容,从而更好地实现个案正义。
2.提升行政监管决定透明度与一致性
行政监管决定尤其是罚款制裁的透明度和一致性,也是公共执行结论与私人执行结论相衔接的基础性条件。在个人信息保护监管方面,如果没有良好的监管信息透明度,市场中其他的信息处理者将无法获得关于违规成本的市场信号,因此没有动力采取步骤提升其合规水平。此外,个人信息主体也无法获取充分的线索开展后续的维权活动。从《行政处罚法》对行政处罚决定公开设定的“一定的社会影响”要件看,大规模侵害个人信息是一种“公共风险”,有必要让社会公众尤其是广泛的受影响主体知悉。监管部门在作出行政处罚决定时,应当向社会公众澄清法律是如何被解释的,监管部门在个案中确定罚款金额的依据是什么,以及个人投诉者的相关主张在罚款决定作出中得到了哪些考量。在一致性方面,罚款决定的重大差异可能对数据保护的协调目标产生负面影响,并降低罚款中相关考量要素的说服力。目前,《个人信息保护法》第60条规定的“各部门在各自职责范围内负责个人信息保护和监督管理工作”这一模式,可能带来不同部门之间罚款标准不一致的情况,因此有必要限定高额罚款的执法主体,并由网信部门协调各执法主体制定罚款方面的基础性规则和通用标准。[64]在罚款金额的选择上,可以参考反垄断法领域的做法,如果信息处理者承诺在后继诉讼中对个人信息主体进行必要的配合,监管部门可以依法对其采取合理的减轻责任措施,从整体上避免“威慑过度”的现象发生。由此,也可以在不减少法律威慑效果的同时降低司法成本,为个人信息主体高效、充分地寻求损害赔偿救济提供便利。
3.完善损害赔偿诉讼的时效中断制度
为了推进行政监管结论先行,在程序设计上还应当通过诉讼时效中断制度避免个人信息主体因为等待监管结论而丧失提起损害赔偿之诉的机会。处理个人信息活动中的违法现象通常具有持续性。例如,《国家互联网信息办公室对滴滴全球股份有限公司依法作出网络安全审查相关行政处罚的决定》指出,滴滴在长达7年的时间里,存有违法收集或过度收集用户信息的8方面16项违法事实,违法处理多类敏感个人信息达647.09亿条,数量巨大,违法行为涉及多个手机APP,涵盖多种情形,严重侵害用户个人信息权益。在此类场景下,原有的民事诉讼时效制度也需要进行相应调整,以此来延长个体寻求损害赔偿救济的时间。目前,基于公共执行程序启动而中断侵权赔偿案件诉讼时效的做法,已经在反垄断法领域中取得了良好的成效:无论在欧盟还是我国,绝大部分的反垄断私人赔偿案件都是在监管部门处理后产生的。关于反垄断私人诉讼时效的规定中,也都强调反垄断主管部门调查同一侵权行为时,应当中断私人索赔的时效,从而确保私人可以在竞争主管部门作出处罚决定后再据此提起相应的民事诉讼。这一类规定成为推动公共执行与私人执行相衔接的重要助力,值得个人信息保护领域进行参照。[65]
4.案件受理前的信息提示与引导分流
在程序设计上,为了促使个人信息主体全面准确地评估不同维权方案的可行性与优先顺序,应当建立案件受理前的信息提示制度。法院可以在立案时为个人信息主体提供相关决策信息,如监管决定在民事诉讼中的作用、后继诉讼的步骤指南及相关典型案例等,引导其先向监管部门寻求救济。[66]尤其是对于某些损害较为轻微或是权益救济紧迫度不强的案件,有必要通过利弊分析和信息提示帮助个人信息主体慎重考虑直接提起独立诉讼的必要性。例如,对于APP违反告知同意规则设定默认共享选项进而不当公开个人信息的案件,个人信息主体可以自主或通过申诉来关闭默认选项,从而手动解除相关信息处理关系。这是因为该类行为对私人生活安宁造成的损害往往较为轻微,[67]此时民事责任的恢复与补偿功能意义较为有限,诉讼流程也较为繁琐,而个人信息主体的诉求更多在于惩戒与威慑信息处理者。就此,“独立诉讼”的必要性不强,可以引导个人信息主体向监管部门进行投诉举报,先行选择更加具有效率的救济方式。在此情形下,监管部门应当积极听取个人信息主体的诉求及其反馈的线索,建立信息主体在个人信息保护行政执法中的参与机制。同时需要注意的是,法院在运用信息提示类的助推手段时,应当平等温和地为个人信息主体提供参考建议,尊重个人信息主体的最终决定,而不能给其变相创设与增添不合理的负担,将助推手段异化为实质上的强制行政前置方案。
(三)过程衔接的落实:监管参与和诉讼中止相结合
1.增加民事诉讼过程中的监管参与
如果在独立诉讼中,行政监管程序并行于民事诉讼展开,则需要在这一过程中增进信息交互,由监管部门提供必要的信息和意见,从而降低民事诉讼中的程序性成本,提升民事诉讼结论与后续监管结论的一致性。也就是说,需要建立起监管部门对民事诉讼的过程参与制度,允许监管部门调阅私人收集的相关证据材料、听取私人诉讼的庭审过程、向法院提供建议或提出请求等。这有助于实现行政监管部门对私人执行机制的过程参与及支持。例如,我国香港地区《个人资料条例》在第66B条规定,个人在向信息处理者提起民事诉讼的过程中,可以申请个人信息保护专员的协助,以减轻个人诉讼的负担和压力。类似地,在证券法领域,我国目前已经设置了证券监管部门对法院审理的支持性机制,[68]该机制可以适度引入个人信息保护案件中。监管部门在收到案件信息后也应当及时启动监管程序,系统性地回应相关侵权问题。如果民事判决先于监管决定作出,监管部门也应将被告支付民事损害赔偿的情况(如是否及时、充分)作为选择罚款数额的裁量因素,避免过度威慑。整体而言,人民法院和监管机关均应密切关注彼此的程序推进情况,在掌握与沟通相关信息的基础上作出民事判决或行政决定,最大限度地推动民事判决与行政决定的统一。
2.基于行政监管进程中止案件审理
在法院就侵权之诉作出裁判时,行政部门的监管可能尚在处理进程中。即便监管决定已经作出,个人信息主体和处理者也可能对此不服而提起行政复议或行政诉讼。在此类情况下应当容许民事诉讼进程的中止,并设计相应的程序机制。一方面,应当容许个人信息主体主动申请中止审理。例如,欧盟一些成员国法院在实践中允许当事人提出中止审理的申请,即向法院提起的数据侵权赔偿之诉和向监管部门提出的投诉举报可以同时进行,但是,如果在监管部门可能发布制裁的情况下启动诉讼,原告在诉讼进程中则可以请求法院中止审理,直到处罚决定最终作出。[69]这是为了促进公私法律适用有效衔接、避免结论冲突而赋予原告行使的程序性权利。由此,如果信息主体在诉讼过程中发现需要监管决定来支持自身的诉求,或者监管部门已经作出的决定正面临行政争议(如信息主体对监管决定不服提起复议或诉讼),抑或是在争议解决前进行民事诉讼不利于自身,便可以向法院申请中止审理,进而由法官依据个案情况裁定是否准许中止案件审理,实现具体场景下的灵活性与权利救济效果的最大化。另一方面,在必要的情况下,法院可以依职权主动中止案件审理,借助诉讼中止来化解不同国家机关决定之间的冲突风险。但是,如果案件的复杂程度不高、法院中止审理将过度拖延民事诉讼,或者中止民事诉讼对另一方当事人明显不公,法院则不应中止审理。[70]
五、结语
在违法处理个人信息行政责任与民事责任的衔接路径上,应当推进“行政监管结论—民事诉讼结论”的前后衔接,促进其中的源头衔接与过程衔接。当然,这并不意味着行政法律责任机制固有地比民事法律责任机制更重要,而是表明在功能主义进路下对不同法律责任机制有必要进行统筹。完美地实现两种责任的衔接,绝对化地消除其中潜在的不一致、不协调,无论在理论上还是实践中都是难以实现的。对此,本文提供了一个规范性的分析框架,未来的研究需要坚持开放、反思的态度,不断对制度运行的具体细节及个中张力进行审视,并在对实践进行深入分析的基础上优化和改进相关的制度。
注释:
[1]王利明、丁晓东:《论〈个人信息保护法〉的亮点、特色与适用》,《法学家》2021年第6期,第9页。
[2]本文不区分个人信息与个人数据这两个概念,同时仅针对私主体违法处理个人信息的情形展开讨论,不涉及国家机关作为个人信息处理者的情形。本文语境下的民事责任指的是《个人信息保护法》“法律责任”一章规定的个人信息处理者侵害个人信息的侵权责任,不包括与个人信息流通交易相关的缔约过失责任、违约责任等责任。
[3]万宗瓒:《域外反垄断民事诉讼程序的模式及借鉴》,《人民论坛》2012年第32期,第244-246页。
[4]在理性经济人的假设条件下,任何一种性质的财产责任都是通过剥夺行为人一定数量的财产来改变其行为的成本—收益结构责任。对于责任承担者来说,各类财产性质的责任之间是可以彼此通约的。这意味着,违法行为引发的行政责任与民事责任的累积后果,在总体上应与该违法行为的危害性相匹配,在实现两种责任各自制度功能的同时应尽可能达到最优威慑水平,避免引发“威慑不足”或“威慑过度”。参见宋亚辉:《超越公私二分:风险领域的公私法合作理论》,商务印书馆2022年版,第204页。
[5]无论将个人信息主体权利作为民事权利还是利益,代表性的观点均主张“个人信息主体的民事权益—个人信息民事法律义务—个人信息民事责任”的责任认定逻辑。李昊:《个人信息侵权责任的规范构造》,《广东社会科学》2022年第1期,第251-252页。
[6]opinion of Advocate General Campos Sánchez-Bordona, Delivered on 6 October 2022, Case C 300/21, Ecli: Eu: C: 2022:756,oaras.40-82.
[7]王锡锌:《个人信息国家保护义务及展开》,《中国法学》2021年第1期,第158-159页。
[8]周汉华:《个人信息保护的法律定位》,《法商研究》2020年第3期,第52页。
[9]孔祥稳:《论个人信息保护的行政规制路径》,《行政法学研究》2022年第1期,第138-139页。
[10]《全国人民代表大会宪法和法律委员会关于〈中华人民共和国个人信息保护法(草案三次审议稿)〉修改意见的报告》,载中国人大网,http://www.npc.gov.cn/npc/c2/c30834/202108/t20210820_313091.html, 2023年7月17日访问。
[11]杨合庆主编:《中华人民共和国个人信息保护法释义》,法律出版社2022年版,第129页。
[12]Peter PuKár V. FinanNé Riadite’ Stvo Slovenskej Republiky and Kriminálny úrad FinanNej Správy, Case C-73/16, Judgment of September 2017, para.76.
[13]Bart?Omiej OrZiak & Klaudia Uniewska, New Grounds for Civil Liability Under National Law in the Light of Article 79 of the Gdpr, 46 Prawo W Dzia?Aniu 223,227(2021).
[14]The Justice Programme of the European Union, Re-Jus Casebook Effective Justice in Data Protection, Rejus, https://www.rejus.eu/sites/default/files/content/materials/rejus_casebook_effective_justice_in_data_protection_. pdf, last visited on July 17,2023.
[15]Kai Hüschelrath & Sebastian Peyer, Public and Private Enforcement of Competition Law: A Differentiated Approach, 36(4)World Competition 585,598-602(2013).
[16]Rosenbach V. Six Flags Entertainment Corp.,2019 Il 123186, para.37.
[17]Lauren Henry Scholz, Private Rights of Action in Privacy Law, 63(5) William & Mary Law Review 1639,1647(2022).
[18]Danielle Keats Citron & Daniel J. Solove, Privacy Harms, 102 Boston University Law Review 793,821(2022).
[19]例如,近年来,电信和征信领域的个人信息保护行政监管存在职权配置错乱、罚款标准不明、保护力度不足的问题,当事人通过行政监管获取有效补救的渠道受到现实条件的约束。参见中国联合网络通信有限公司荆州市分公司与荆州市工商行政管理局等案,湖北省荆州市中级人民法院(2015)鄂荆州中行终字第00063号行政判决书;高金辉诉江苏省通信管理局、工信部案,北京市西城区人民法院(2020)京0102行初127号行政判决书。
[20]代表性案例如周彦聪诉广州唯品会电子商务有限公司个人信息保护纠纷案,广东省广州市中级人民法院(2022)粤01民终3937号民事判决书。
[21]王锡锌:《重思个人信息权利束的保障机制:行政监管还是民事诉讼》,《法学研究》2022年第5期,第17页。
[22]程啸、王丹:《损害赔偿的方法》,《法学研究》2013年第3期,第55-56页。
[23]丁晓东:《从个体救济到公共治理:论侵害个人信息的司法应对》,《国家检察官学院学报》2022年第5期,第119页。
[24]杨合庆主编:《〈中华人民共和国个人信息保护法〉释义》,法律出版社2022年版,第169页。
[25]陈文曲:《我国民事诉讼基本原则的内在沟通逻辑》,《法律科学》2022年第4期,第187页。
[26]张平主编:《〈个人信息保护法〉一周年观察》,法律出版社2022年版,第137-151页。
[27]黄忠顺:《生态环境损害惩罚性赔偿请求权二元配置论》,《当代法学》2022年第6期,第56页。
[28]美国联邦和州一级的很多执法机构能够要求信息处理者承担的民事罚款数额较为有限,执法机构的预算和资源也相对薄弱,因此格外强调集体赔偿机制和私人的法定赔偿与惩罚性赔偿权利。 See Whatt the Potential Penalties/Remedies for Non– Compliance With the Key Data Privacy and Security Laws in the Jurisdiction, Baker Mckenzie’s (Dec.312022), https://resourcehub.bakermckenzie.com/en/resources/data-privacy-security/north-america/united-states/topics/penalties-for-non-compliance; Lauren Henry Scholz, Private Rights of Action in Privacy Law, 63(5) William & Mary Law Review 1639,1651(2022).
[29]对此,在用户界面诉奥地利邮政股份公司案中,欧盟法院法官总顾问也强调:“获得惩罚性利润的机会可能会导致数据主体更倾向于选择这种补救方式,而不是向监管部门投诉举报。如果这种情况变得普遍,它将削弱监管当局了解并因此调查和处罚违反GDPR行为的机会,从而破坏更适合保护公共利益的工具。” Opinion of Advocate General Campos Sánchez-Bordona, Delivered on 6 October 2022, Case C 300/21, Ecli: Eu: C: 2022:756, para.50.
[30]赵鹏:《惩罚性赔偿的行政法反思》,《法学研究》2019年第1期,第45页。
[31]例如,数据泄露案件可能涉及多个侵权行为人,民事诉讼管辖是难以统一、确定的,单次起诉亦无法完全回应原告的权利诉求。如在郭某诉某资本管理公司一案中,原告表示一年间接受几百条骚扰短信,可能涉及到多家公司发送,因受诉讼规则限制,无法同时起诉所有公司,维权难度极大。参见北京市第二中级人民法院(2021)京02民终10830号民事判决书。
[32]周汉华:《平行还是交叉——个人信息保护与隐私权的关系》,《中外法学》2021年第5期,第1186页。
[33]蔡培如:《个人信息可携带权的规范释义及制度建构》,《交大法学》2023年第2期,第71页。
[34]Facebook Ireland Ltd and Others V. Gegevensbeschermingsautoriteit, Case C 645/19, Judgments of June 2021, para.64.
[35]European Commission, Data Protection as a Pillar of Citizens’ Empowerment and the Eu’s Approach to the Digital Transition– Two Years of Application of the General Data Protection Regulation, Eur-Lex (Jun.242020), https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=Celex: 52020dc0264&From=en.
[36]Anja Gligorevic′ Supervisory Authority and Court Disagree on Freedom of Expression Vs. Data Protection, Bdk Advokati (May 20,2021), https://bdkadvokati.com/supervisory-authority-and-court-disagree-on-freedom-of-expression-vs-data-protection/.
[37]The Justice Programme of the European Union, Re-Jus Casebook Effective Justice in Data Protection, Rejus https://www.rejus.eu/sites/default/files/content/materials/rejus_casebook_effective_justice_in_data_protection_. pdf, last visited on July 17,2023.
[38]Viktor Mayer-Schdnbcrger, Beyond Privacy, Beyond Rights— Toward a Systems Theory of Information Governance, 98(6)California Law Review 1853,1878-1884(2010).
[39]王锡锌:《个人信息权益的三层构造及保护机制》,《现代法学》2021年第5期,第118页。
[40]Wolfgang Wurmnest & Merlin G?mann, Comparing Private Enforcement of Eu Competition and Data Protection Law, 13(2)Journal of European Tort Law 154,166(2022).
[41]关于“威慑过度”的危害的阐述,可参见宋亚辉:《超越公私二分:风险领域的公私法合作理论》,商务印书馆2022年版,第205页。
[42]在我国现行制度中,行政法律责任中所涉及的高额罚款需要上缴国库,而不能用于填平和弥补当事人所受损害。
[43]Mona Naomi Lintvedt, Putting a Price on Data Protection Infringement, 12(1) International Data Privacy Law 1,12-14(2022).
[44]南都数字经济治理研究中心、数据安全共同体计划等:《〈个人信息保护法〉实施两周年观察报告》,第35页,载微信公众号“数据安全共同体计划”,2023年11月14日上传。 https://mp.weixin.qq.com/s/cyqtcb_gut08zkvww610cg。
[45]个人信息主体的积极参与是形成完整的治理结构支撑、实现技术发展与个人信息保护持久平衡的必要条件。张继红:《经设计的个人信息保护机制研究》,《法律科学》2022年第3期,第41页。
[46]戴昕:《威慑补充与“赔偿减刑”》,《中国社会科学》2010年第3期,第143页。
[47]关于公共执行机制社会化转向的理论依据的分析,参见高旭:《消费公益诉讼惩罚性赔偿金的归属与分配——基于分配正义理念的跨法域研究》,《法学》2023年第12期,第130页。
[48]进一步而言,以行政监管为代表的公共执行机制也应该与消费者组织提起的公益诉讼这一社会执行机制相衔接,在更大范围内设计违法的信息处理者所缴纳全部金钱的管理模式和分配方案。碍于篇幅与主题所限,对这一问题只能另文讨论。
[49]王锡锌:《国家保护视野中的个人信息权利束》,《中国社会科学》2021年第11期,第126-127页。
[50]FRA, Access to Data Protection Remedies in Eu Member States, FRA News, https://fra.europa.eu/en/publication/2014/access-data-protection-remedies-eu-member-states, last visited on August 17,2023.
[51]王锡锌:《重思个人信息权利束的保障机制:行政监管还是民事诉讼》,《法学研究》2022年第5期,第11页。
[52]Paul Nemitz, Fines Under the Gdpr, Cpdp Conference Book, 2017, pp.3-4.
[53]Wolfgang Wurmnest & Merlin G?mann, Comparing Private Enforcement of Eu Competition and Data Protection Law, 13(2)Journal of European Tort Law 156,159(2022).
[54]邓峰:《反垄断民事诉讼机制的当下选择》,《中国应用法学》2022年第5期,第71、81-82页。
[55]张占江:《个人信息保护的反垄断法视角》,《中外法学》2022年第3期,第701-703页。
[56]Angelique Carson, Gdpr Ushers in Civil Litigation Claims Across the Eu, Iapp, https://iapp.org/news/a/gdpr-ushers-in-civil-litigation-claims-across-the-eu/, last visited on July 17,2023.
[57]Graham Greenleaf, Responsive Regulation of Data Privacy: Theory and Asian Examples, in David Wright & Paul De Hert, En-Forcing Privacy: Regulatory, Legal and Technological Approaches, Springer, 2017, p.248.
[58]林文学等:《〈关于审理证券市场虚假陈述侵权民事赔偿案件的若干规定〉的理解与适用》,《人民司法》2022年第7期,第45页。
[59]Christopher Kuner, Lee A. Bygrave & Christopher Docksey Eds., The Eu General Data Protection Regulation (Gdpr): A Commentary , Oxford Press, 2020, pp.1175,1190.
[60]程啸:《论个人信息侵权责任中的违法性与过错》,《法制与社会发展》2022年第5期,第206-208页。
[61]姚佳:《论个人信息处理者的民事责任》,《清华法学》2021年第3期,第50页。
[62]Josephine Wolff & Nicole Atallah, Early Gdpr Penalties: Analysis of Implementation and Fines Through May 2020,11(1)Journal of Information Policy 63,67-69(2021).
[63]程啸:《大型网络平台违反守门人义务的民事责任》,《法律科学》2023年第5期,第38页。
[64]孙莹:《违法处理个人信息高额罚款制度的理解与适用》,《华东政法大学学报》2022年第3期,第31-32页。
[65]Wolfgang Wurmnest & Merlin G?mann, Comparing Private Enforcement of Eu Competition and Data Protection Law, 13(2)Journal of European Tort Law 156,166-168(2022).
[66]关于信息提示类助推手段的阐释,参见翁壮壮:《国家助推法外空间的法理建构》,《时代法学》2023年第4期,第41页。
[67]代表性案例如黄某诉腾讯科技(深圳)有限公司等网络侵权责任纠纷案,北京互联网法院(2019)京0491民初16142号民事判决书。
[68]例如,《最高人民法院中国证券监督管理委员会关于适用〈最高人民法院关于审理证券市场虚假陈述侵权民事赔偿案件的若干规定〉有关问题的通知》(法〔2022〕23号)确立了案件通报机制,为了查明事实,人民法院可以依法向证监会有关部门或者派出机构调查收集有关证据,证监会有关部门或者派出机构依法依规予以协助配合。在案件审理过程中,人民法院可以就相关专业问题征求证监会及其相关派出机构、相关会管单位的意见。
[69]Enforcement, Fines, and Class Action Under Gdpr, Wrangu, https://www.wrangu.com/enforcement-fines-and-class– action-under-gdpr/, last visited on Oct.21,2023.
[70]何海波:《行政行为对民事审判的拘束力》,《中国法学》2008年第2期,第110-111页。
黄智杰,北京大学法学院博士研究生。
来源:《法律科学》2024年第3期。