摘 要:《个人信息保护法》第70条规定的个人信息公益诉讼的受案范围应包含对数据使用协议中格式条款违反相关法律、数据画像、地下数据交易等大规模侵权和分散性侵权等情形,可以按照“列举+兜底”对诉由予以类型化并适当予以限定以实现抽象层面的利益平衡。《个人信息保护法》第70条和《民事诉讼法》第55条构成特别规范和一般规范的关系,应优先适用。在适格主体顺位上,各级检察机关列于引领位置。消费者组织仅能就与市场活动和消费行为相关的损害个人信息的行为提起公益诉讼,检察机关提起的相关公益诉讼之实体有理由的范围远超前者。应在完善配套制度的前提下逐步放开个人信息保护公益诉讼的损害赔偿请求权,以激励起诉并补偿受损的个人信息主体。
关键词:公益诉讼;个人信息;受案范围;检察机关
一、问题的提出
数字时代个人信息违规收集、滥用、买卖造成的隐私泄露等大规模侵害事件不断见诸报端,保护个人信息已经成为重要的时代议题。《个人信息保护法》(以下简称《个信法》)2021年正式通过。《个信法》第69条规定了相关的损害赔偿制度,第70条规定了个人信息保护公益诉讼,但个人信息民事救济机制仍较为粗疏,尤其个人信息保护公益诉讼制度,亟待程序逻辑和规范解释的澄清。《个信法》第70条体现的规范内涵,从条文本身来看,一是个人信息保护民事救济的基本形式确立为公益诉讼并以此提高权利救济的效率。二是该条规定的公益诉讼诉权主体顺位是检察机关、法律规定的消费者组织和国家网信部门规定的有关组织。检察机关在民事检察公益诉讼中的定位是公共利益的代表者、诉讼的协助者、起诉的兜底者。三是“职能部门”(行政机关)不再列为个人信息保护公益诉讼的主体。最后,个人信息保护司法阀门启动的社会力量包含“法律规定的消费者组织”和其他“有关组织”,后者的准入口径和门槛条件由网信部予以划定。
公益诉讼是传统大陆法系国家诉讼法学说上的群体诉讼、集体诉讼、团体诉讼在我国诉讼制度中的一个样本。我国的定义方式着眼于诉的客体(公共利益)而非诉的主体(集团、团体、群体)。我国民事诉讼法引入的公益诉讼制度十余年来在各地各领域的实践形式尽管丰富各样,但从诉讼学说的总体类别上将公益诉讼划归到集体诉讼的一种,属于超越普通个体民事诉讼的特殊诉讼形态,认为其具有诉讼利益多元性、诉讼主体法定性等特点,应无疑义。从规范解释的角度,有必要围绕上述规范探讨个人信息保护公益诉讼中各诉讼主体的地位。而规范解释的前提是程序逻辑的厘清。我们知道,我国学界对民事公益诉讼及其主体顺位近年来并未形成通说。学者认为,公益诉讼是为弥补行政执法在社会公益保障方面的不足而创制的一种特殊司法机制,不是传统意义上的民事诉讼,不能照搬一般意义上的民事诉讼规则。有的学者指出我国的民事公益诉讼有法律依据不足、混同“代位执法”诉讼与损害填补诉讼、公众参与不足等弊端。也有学者看到检察机关提起的公益诉讼是以法治思维和法治方式推进国家治理体系和治理能力现代化的重要制度设计,有其契合国家治理要求的独特优势。在社会转型期,民事检察监督制度针对传统民事程序救济无能为力的问题,或能提供具有本土优越性的法学智慧。但实现民事检察权的司法化改造,使其嵌入我国民事诉讼的程序构造却是一个重要前提,一直为我国诉讼法学者探索和追求。对于公益诉讼主体彼此的位相和各自的权能这一问题,学者们观点各异。这成为本文追溯相关程序法学说源头的问题意识。而《个信法》明确规定检察机关提起个人信息保护公益诉讼且将其置于法定主体的第一顺位,则成为一个探讨新型公益诉讼相关规范解释的绝好时机。期待能由此推进新类型公益诉讼的规则与既有规范架构在整体上的和谐与体系化。
通常而言,信息主体对自己的个人信息被违规收集或者泄露的事实往往不知情。相比于消费者“理性的不关心”,信息主体更加缺乏诉讼动力。因此,个体民事诉讼实现有效救济的可能性很低。公益诉讼制度的引入不仅是必要的,而且是急迫的。《个信法》第七章规定的救济制度层次清晰,并无疑义。我国学者主张将个人信息保护“消费者法化”并指出,“为重新激活个人信息私法保护的活力,寻求个人信息私法保护的出路,应当将个人信息保护纳入消费者法的框架,在特定场景下对个体进行倾斜保护,确保具体场景中的信息流通满足消费者的合理期待”。但我们知道,消费者公益诉讼在《民事诉讼法》和《消费者权益保护法》修改以后很长一段时间内都存在“落地难”的问题,至今从起诉的数量和诉讼的规模上来看制度使用率相当有限。因此,如何激发个人信息保护公益诉讼的活力,值得研究。规范的解释需要程序的逻辑。回到理论学说本源探讨集体诉讼机制,辨析个人信息公益诉讼的理论基础,才能有序推进现有制度的解释与适用。下文首先在诉讼程序适用前提与基础的维度上讨论个人信息保护集体诉讼的受案范围(第二部分);继而辨析公益诉讼大陆法系诉权主体合法性来源的学说(第三部分)和诉讼提起的主体形式要件及实质要件(第四部分);最后讨论个人信息保护公益诉讼诉讼标的相关问题(第五部分)。
二、受案范围
个人信息保护民事公益诉讼的司法落地需要首先明确受案范围。个人信息保护的民事救济路径根据《个信法》第70条是公益诉讼。但该条引入的实现司法落地的制度架构,仍需要重点讨论,受案范围是第一个要点。应稳妥有序地坚持严格限定、逐步发展来建构个人信息保护公益诉讼受案范围相关制度。因此,对公益诉讼受案范围的划定应秉持类型化、多发性的原则。数字化市场活动中的经营者行为常态性的涉及不特定大多数自然人的群体的个人信息,极易造成广泛的影响并触及公共利益。根据《个信法》第70条,公益诉讼应作为涉及群体性个人信息纠纷的典型救济程序。需要探讨的是:这一新型公益诉讼得以适用的情形、种类以及适用的限制。值得注意的是,德国通过修改法律,扩充了消费者团体诉讼主体的诉权,覆盖到个人信息保护领域的大规模与分散性侵害及与之相关的行为规制。德国通过修改《联邦数据保护法》(BDSG)明确将保护个人信息的规范列为广义上的“消费者保护法律”,并明确:个人信息保护法属于消费者保护法的范围,所有根据消费者保护法可以提起的团体诉讼,都适用于个人信息保护。
反对在数据保护法中引入消费者保护性质的集体诉讼,认为集体诉讼原则上不适用于行使个人信息的自决权,认为个人信息自决权是一项非常个人化的权利,应始终需要做到以个别判断为前提的利益均衡——这样的观点值得商榷。个人信息保护相关公益诉讼在下列情形中有必要予以启动。其一,数字平台等个人信息处理者大规模侵权和分散性侵权的;其二,对个人信息处理者使用《数据使用协议》的合法性有必要进行法律干预的情形。相关条款在形式上和内容上违反“合法、正当、必要”原则的,可能落入个人信息保护公益诉讼的受案范围。这涉及数字平台等主体一次拟定、多次使用的个人信息使用协议构成“一般交易约款”的合法性控制。我国《民法典》第496至498条,《消费者权益保护法》第26条关于格式条款形式与内容合法性控制的规定,均涉及一般交易约款对批量收集消费者个人信息的合法性控制。值得注意的是,对此种一般交易约款的司法控制涉及个人信息保护相关的利益平衡,殊为重要。尤其在经营者适用不透明不公平的一般交易条款违法取得信息主体同意声明的情形,应适用上述规范。个人信息处理者的《数据使用协议》违反《个信法》和其他个人信息保护相关法律的规定,检察机关、法律规定的消费者组织和网信部门规定的其他组织可以提起公益诉讼。
不过,个人信息保护领域公益诉讼的适用范围应当予以类型化并适当加以限定,体现的是一种抽象层面上利益平衡的需要。因此,应将公益诉讼机制的适用限定于信息处理人为特定目的收集和处理个人信息的情况。例如,此种公益诉讼针对的个人信息处理行为可以包括:个人信息地下交易(例如买卖用户手机号)、消费习惯数据画像、个人征信记录滥用、经营者未经许可向第三方提供消费者个人信息的商业性质的行为等四类。考虑未来新兴商业模式的规制需要,类型化的规定可采列举加开放式兜底的模式。确定受案范围类型时应考虑到,个人信息集群在何种情形下面临大规模侵害等较大风险,例如,何种情形下经营者以相同或类似的方法损害大量消费者的权益。
此种特定类型公益诉讼的适用范围和诉由相关制度,可以在总结司法实践的基础上,先由司法解释予以规定,待法律续造发展到一个较为成熟的时间点,再考虑由法律予以规定。
三、个人信息保护公益诉讼的适格主体顺位
《个信法》第70条的规定将检察机关置于个人信息保护公益诉讼诉权主体的首位。而《民事诉讼法》则规定了检察机关介入公益诉讼相对的谦抑性。两项规范如何协调,有必要界定个人信息保护公益诉讼几个法定主体的适格主体顺位。《民事诉讼法》第55条第1款规定的公益诉讼主体是机关和有关组织;第2款规定检察机关在履行职务的过程中可以提起公益诉讼,体现立法时对检察院公益诉讼担当在整个救济体系中放置于补充、保障与兜底的位置。《个信法》第70条规定的公益诉讼主体制度体现了对检察公益诉讼的强调、对既有实践的依赖。《个信法》规定的公益诉讼诉权主体顺位与《民事诉讼法》第55条并不相同。个人信息保护公益诉讼体现了由国家力量(检察机关)引领、其次由社会力量(有资质的组织)予以提起的力量组合。其诉权主体顺位是检察机关——消费者组织——有关组织。在适用上述规范时,根据新法优于旧法、特别法优于一般法的原则,《个信法》第70条优先《民事诉讼法》第55条适用。
一个较为现实的考量是,如果缺乏配套制度改革,消费者组织开展个人信息保护公益诉讼在短时间内可能存在不太积极的现象。国家网信部划定其他有诉权的组织并将名单落实需要时间,相关的配套制度也需要时间来酝酿和落实。另外,各地涌现的相关案例又使得个人信息保护诉讼的制度夯实已经变成较为迫切的现实问题。至少在这个过渡时期内由检察机关对相关公益诉讼起到引领作用是合理的。况且检察机关在我国是最先开展这一新型公益诉讼实践的主体。从组织架构、人力物力保障、动机纯化等各个角度考虑,都没有比检察机关更合适的第一顺位主体。值得注意的是,检察机关与其他主体提起公益诉讼和展开工作之间不是对立的。在最佳的状态下,“组织”提起的公益诉讼可以在法律设定的框架内形成对滥用个人信息行为的规模性司法制约而检察机关在个人信息保护领域应发挥自己的优势,托举和支持它们开展相关公益诉讼。根据《个信法》第70条,国家网信部将是其他有关组织提起个人信息保护公益诉讼社会力量门槛条件的规定人,这类组织可能包括专门成立的个人信息保护组织、行业组织、第三方机构等。此一门槛条件的划定将影响未来由“有关组织”提起公益诉讼的制度使用率,以及以检察机关为代表的国家力量和以组织、协会、团体为代表的社会力量在制度启用中的力量组合。
相关制度安排不能简单比附国外先进经验,也不能仅凭地方经验摸索,而是应当在夯实理论基础的前提下作科学的探索。我国的公益诉讼制度和德国民事诉讼法上的团体诉讼制度有较大的相似性。梳理集体诉讼诉权合法性理论学说将为我们讨论检察机关提起公益诉讼具体制度安排提供一个程序逻辑上的启迪。因此,相关公益诉讼诉权理论学说的逻辑澄清在此殊为必要。依循检察机关作为“法律监督机关”的宪法定位,检察院有义务而不仅仅是权利,在监督法律施行的过程中必要时提起公益诉讼。下文将梳理诉讼法学说就提起集体诉讼的法定主体在民事诉讼中的功能定位的相关理论,以期为下文的论述奠定理论基础。
“国家的请求权”说认为群体诉讼原告诉权来源于国家的民事请求权;诉权主体拥有的是某种“国家请求权”的法定代理权。其反对者认为:该说混淆了国家作为公法上主体与私法上主体的角色。只有当国家对某一法益——例如群体个人信息权益,确实能支配、控制和占有时,国家才有相应的民事请求权。但此时国家的角色是维持相关秩序的“公主体”,其对该种秩序下大量民事主体的权益,是义务主体而不是权利主体,因为此时国家对公民所承担的是职责和义务。因此,认为国家对环境保护、消费者权益这些公益享有支配和占有地位从而享有“国家请求权”,可以委派公权机关提起民事诉讼,在逻辑上讲不通。
“诉讼担当说”认为,诉权主体获得的是抽象公共利益群体在诉讼上的代理权。对该学说的批评强调:提起诉讼的主体往往是因自己的意愿、以自己的名义来起诉并参与诉讼过程的,从外观上看来并不存在所谓代理关系。况且,群体诉讼的原告和“原初利益主体”之间并不存在真正的法定或意定代理关系。“诉讼担当”的前提是实体权利的主体——即“被代理人”的具体界定,而后者在公益诉讼中本身就较为抽象、难以界定。
对团体诉讼的法律分类问题进行最广泛的分析与审视的是莱纳尔教授。莱纳尔提出:团体诉讼的适格主体获得的法律地位应当被理解为是一种对法律是否被遵守的监督权,这个意义上的公益诉讼甚至可以称为“市场警察的工具”,是一种贯行监督功能的诉讼。法定主体履行公共职能,并被赋予了特定的权力,这些权力应当以诉讼资格形式得以体现。例如,平台公司使用违反《个信法》的《数据使用协议》可能引起团体诉讼。这类团体诉讼的保护对象是个人信息权益被尊重的一种良善的市场秩序。其保护的不仅仅是一种主观权利,也更加是一种客观法权秩序,或称客观规则秩序。利用违反知情同意原则的《数据使用协议》违规收取大量用户个人信息,或者通过地下交易违法购买大量自然人个人信息的,行为一经作出,受此种行为影响的主体权利受到侵害而产生的诉权则由法律赋予了相关的团体和机构,令后者发挥其“监督能力”,以确保交易的公平自由、保护不特定大多数信息主体的信息安全以及平衡各方利益。
根据高尔教授的观点,团体诉讼的主体的监督权有“公私结合的特征”。大陆法系国家团体诉讼可以提起的诉讼请求更像是在法权设立的根据问题这一法律层面上来进行制度建构的。
四、个人信息保护的“消费者化”及其局限性
上文讨论了个人信息保护领域公益诉讼的受案范围之类型化、个人信息保护公益诉讼适格原告的合法性渊源,大抵依照“何种情形适用此种公益诉讼”“此种公益诉讼的诉权主体凭何起诉”的逻辑论述。下文讨论,个人信息保护公益诉讼的起诉何时满足形式合法性要件、从实质要件上何时应当可以受到法院的支持,以及此种公益诉讼诉讼标的可能涉及的诉讼请求。
“诉”的合法性要件和实质性要件分别对应民事诉讼法学上诉讼资格(诉权)的两分:诉讼实施权和实体适格。有必要从规范解释层面讨论法定主体提起个人信息保护公益诉讼的形式要件和实质要件。
团体、机关和有关组织可以获得诉讼实施权。我国民事诉讼法学对诉讼实施权的研究已有所触及。缺乏诉讼实施权提起公益诉讼的主体不具备诉的程序合法性要件,诉讼不进入实体审理即应驳回。在“诉讼实施权”的层面我国学者提出“程序当事人”理论。根据这一理论与诉讼标的之间不具有法律上直接利害关系的人可以根据法律规定,有条件的为他人或公共利益向法院提起诉讼。在诉的合法性审查阶段,集体诉讼由此降低了受案门槛、扩大了受案范围。但在诉的实质性审查阶段,尚需讨论起诉主体适格实质性要件。
当诉讼提起的请求权在法律上属于原告时,可以认为其满足实质性要件。
《个信法》第70条规定的机关和组织,在符合“法定”要求时,满足个人信息保护公益诉讼实施权的要求。如要胜诉,则按照实质性要件的要求,原告提出的请求权必须归属于自己。
依照《个信法》第70条,法定第二顺位诉权主体引入了“消费者组织”。消费者组织提起个人信息保护公益诉讼的,分两步分析,依次考察“诉”的形式性要件和实质性要件。消费者组织依法成立、登记并符合法定形式要件的,满足公益诉讼的诉讼实施权之要求,“诉”的形式性要件即获满足。要满足诉的实质合法性要件,则应考虑:行为人(个人信息处理人)的数据处理行为是否在市场活动的语境下展开,是否违反了含有个人信息保护功能的消费者保护法之规范体系,相关法律规定的构成要件是否为案件事实所满足。如果也满足,则可以支持原告的公益诉讼诉求。
根据《民事诉讼法》第55条和《个信法》第70条,检察机关对市场活动中侵害不特定大多数消费者个人信息的经营者提起公益诉讼,其诉讼实施权当无疑义。检察机关提起的侵权责任框架内的请求权是否满足实质性合法要件,则要看请求权基础指向的构成要件是否为案件事实所满足。与消费者组织提起个人信息保护公益诉讼不同的是,凡被告(个人信息处理人)的数据行为违反个人信息保护相关的法律、法规、部门规章的私法规范的,都应支持原告的公益诉讼诉求。相比于消费者组织,检察机关可以提起的个人信息保护公益诉讼范围更广。因为消费者组织取得诉讼实施权,是根据其成立与登记以及活动要符合法定性要件,这一点通常限定了消费者组织针对的是市场活动中的个人信息处理人行为,其目的是为了保护消费者利益。但检察机关由公共财政支持,其监督法律实施的权能是宪法赋予的,诉讼实施权直接源于法律规定。检察机关提起的个人信息保护公益诉讼的实质性合法要件的满足,不限于针对市场活动中对消费者的个人信息处理行为。申言之,其所保护的对象,远远超出“为了消费需要、购买某种产品或服务并支付一定价金的自然人”。机场、码头、社交网络平台、正常使用手机应用等语境下尚未缔结任何合同、进行任何消费的不特定大多数自然人,其个人信息被违规收集、倒卖和滥用的,检察机关都可以提起个人信息保护公益诉讼。
近年来在个人信息保护议题上形成较大影响的司法判决,多从消费者权益保护法领域着力。分析典型案例可以发现,消费者保护和个人信息保护这两个领域的规范解释与法律续造彼此相通,共同构成对不特定大多数个人信息侵害行为的救济规范体系。有学者主张应将个人信息保护“消费者法化”并提出:“为重新激活个人信息私法保护的活力,寻求个人信息私法保护的出路,应当将个人信息保护纳入消费者法的框架,在特定场景下对个体进行倾斜保护,确保具体场景中的信息流通满足消费者的合理期待”。但二者之间的理论脉络如何梳理并统合、消费者保护诉讼如何接入个人信息集体保护,仍有条分缕析的必要。
按照我国《消费者权益保护法》第2条对消费者定义,“本法(消费者权益保护法)未作规定的,受其他有关法律、法规保护”。该条强调消费者权益的法定性,但同时赋予此概念弹性和周延性。消费者权利并不以其实际进行了“消费”为前提,它是“消费者主权”这一概念被引入法律体系后被上升为保护消费者基本理念并引申而来的一个概念。大陆法系国家的消费者保护法通常是一个庞杂的范畴,而不仅仅是某一部法律。具有个人信息保护功能的规范,在一定场景下应划入消保法的范畴。例如,专门调整消费者身份识别信息之收集、处理和使用之商业行为的规范,不论其规定在《民法典》还是《网络安全法》等单行法、或者规定在诸多庞杂的地方性法规中,只要规范的功能和目的满足条件,在具体情境中都可以予以认定。这使得含有个人信息保护功能的消费者保护法成为一个“动态参考系”。因此,在涉及消费者个人信息的场景中,《民法典》《网络安全法》等个人信息保护相关的一系列规范都归于消费者保护法。它们与《消费者权益保护法》第29条共同构成消费者个人信息保护的规制性规范。违反这些规制性规范的,即侵害《消费者权益保护法》——“受其他有关法律、法规保护”的消费者利益。
五、个人信息保护公益诉讼请求的相关问题
个人信息保护公益诉讼大抵在侵权责任的范畴内讨论民事责任。诉权主体可以请求相对人停止侵害、撇去不法利益、赔礼道歉等等。尽管具体范围有一定争议,但整体的分析框架出入并不大。但损害赔偿请求权的存废与界定,则因其属于公益诉讼的规范架构之内,诉权主体和受侵害之权益客体又有其特殊性,因此有澄清与讨论之必要。《人民法院审理人民检察院提起公益诉讼案件试点工作实施办法》第3条规定,检察院提起民事公益诉讼时可以提出要求被告赔偿损失的诉讼请求。本文预设:法定诉权机关应当可以在个人信息保护公益诉讼中提起损害赔偿请求权。以下分部探讨此一预设的合理性、可行性和实操性。
(一)合理性
传统上的民事诉讼法学学说对公益诉讼损害赔偿请求权的引入相对来说较为拒斥。这以德国民事诉讼的影响力而造成诸多大陆法系国家曾经的通例。我国民事诉讼法理论学说对公益诉讼中损害赔偿请求权是否应当引入这一问题,在一定时期内保持谨慎。例如张卫平教授认为公益诉讼中损害赔偿的适用应当受到限制并指出,对直接损失的赔偿,只有在采取特殊的方法能够解决赔偿金的具体分配或使用,受偿主体又能相对确定时,才能主张损害赔偿请求。随着公益诉讼诉讼请求相关理论的发展,德国民事诉讼法学界对此种限制的反思和深思,开始有越来越多的学者提出公益诉讼的诉讼结果,除停止侵害、排除妨碍、消除危险等禁止性诉讼请求内容之外,还应当考虑允许损害赔偿的诉讼请求等补偿型请求内容。学者提出的理由包括:消费公益诉讼制度是为了弥补传统民事诉讼制度难以应对现代社会大规模和分散性消费者损害现象的缺陷而建立的,其目的是保护公共利益。此种公共利益的保护的目的,固然需要面向未来的停止侵害等诉讼效果,但同样需要面向过去的弥补损害的实际效应。此前集体诉讼在大陆法系国家不放开损害赔偿请求,大抵因为担心其被诉权团体滥用,造成诉讼结束阶段的道德风险,也有考虑到损害赔偿在公共利益之损害的计算较为困难。我国有学者提出对公益诉讼中损害赔偿请求权的各种顾虑,或者是基于对外国法的误读,或者是没有必要的担忧。因此,在未来的消费公益诉讼中,法院应当支持此类损害赔偿请求。此种观点或有其合理性,因为民事公益诉讼制度功能应定位为“威慑——补偿”二元结构。在“威慑”与“补偿”功能实现路径中,单维度的、仅以面向未来的、禁止性的“不作为之诉”恐怕还难以胜任,而损害赔偿请求权的制度设计,在较为理想的状态下,或能较好的担当这一角色。
在此基础上,学者还提出公益诉讼中在一定条件下可以引入惩罚性赔偿的诉讼请求。即:应当在禁止性的不作为之诉基础上,加上支持原告提出惩罚性赔偿的诉权。学者认为,惩罚性赔偿型消费公益诉讼具有内部化生产经营者外部成本、内在化消费者私人执法正外部性、利用消费者及其保护组织的隐性收益降低私人执法激励成本等多重价值。
(二)可行性
单就个人信息侵害能否作为独立的请求权基础来提出损害赔偿,有一个新型权利(权益)与传统的名誉权、隐私权等人格权之间的独立性问题。
本文认为,当个人信息处理人的不当行为导致信息被泄露或违法交易致使单个或一部分自然人遭受名誉权和隐私权损害的,其提起基于人格权的个体民事诉讼,应支持并尊重自然人的此种维护自身权利的诉求与努力。同一事件可能提起的公益诉讼之保护客体与上述人格权客体却不尽相同。《个信法》和《民法典》已经将个人信息列为一种独立的需要法律保护的权益。虽然在因果链条上可能导致其他人格权的损害或危险,但当个人信息已经发生大规模泄露和滥用的情形下,不以名誉权、隐私权等其他人格权受损害为前提,应有个人信息权益损害赔偿请求权之必要。《个信法》第69条的立法意图即是如此。
《个信法》第69条明确规定了对侵害个人信息的侵权人可以提出损害赔偿请求。但《个信法》第70条的个人信息保护公益诉讼的请求权范围是否包含损害赔偿,似有讨论之必要。2016年2月最高人民法院发布的《人民法院审理人民检察院提起公益诉讼案件试点工作实施办法》第3条规定,检察院提起民事公益诉讼时可以提出要求被告赔偿损失的诉讼请求。而在同年5月1日正式施行的《最高人民法院关于审理消费民事公益诉讼案件适用法律若干问题的解释》第13条第1款规定“原告在消费民事公益诉讼案件中请求被告承担停止损害、排除妨碍、消除危险、赔礼道歉等民事责任,人民法院可予支持”。从这一条款的文义来看,“赔偿损失”的责任承担方式并不包括在消费者组织提起的诉请中。与之相较的是前一年最高人民法院发布的《最高人民法院关于审理环境民事公益诉讼案件适用法律若干问题的解释》(该司法解释部分条款同于2020年12月29日被修改,但主要条款内容均未发生变动)第18条规定享有法律规定的起诉资格的原告可以提出赔偿损失的诉讼请求。前述司法解释的措辞并不相同,对不同主体提起的消费者民事公益诉讼请求加以区别对待,但就检察机关提起的公益诉讼可以请求损害赔偿大抵持支持的态度。
检察机关提起的个人信息保护公益诉讼的请求权应包含损害赔偿请求权。前述个人信息保护集体诉讼的诉权理论梳理已经得出,检察机关依照法律规定提起公益诉讼并非基于传统的团体诉讼理论提出的请求权代理或诉讼管理学说,而是一种法定监督权。检察机关提起公益诉讼不仅是一项权利,也是一项义务。即,检察机关启动法定的监督职能为权益受侵害或有受侵害之虞的人民群众以提起公益诉讼的方式伸张正义。对于大规模违规收集、利用、泄露个人信息为大量自然人的生活安宁和人身财产安全造成威胁并因此而获利的信息处理人提起损害赔偿请求,不仅是一种基于民法填平原则的请求权,而且令其偿付违法所得赔偿受害人损失也同时是对加害人的一种惩罚和警戒。此其一。其二,团体诉讼的有关组织提起损害赔偿请求权可能存在通过与被告和解进行交易从而有损沉默的信息主体群体之道德风险,这是基于有关组织的私法主体属性而来的风险。但检察机关是国家法定的履行监督职能的职能机关,不存在上述内化的道德风险。其三,损害赔偿请求权之所以有争议,也因为相关的制度细节和配套办法一直未能厘清。例如,损害赔偿款项的管理与分配,在环境公益诉讼环境修复金的使用上,各地出现了不同的实践办法,也有论者提出应当学习巴西等南美国家建立基金会专款专用确保法律制度的初衷得到遵循,但并无系统的理论指引和规范性文件予以确认。应当看到,赔偿金的去向和管理问题在做好登记与公告,确保信息内外畅通和借助基金会专门管理等相关措施妥善安排的前提下,有其解决之道,笔者就此已专门撰文,此处不再赘述;而一直困扰司法实践的公益诉讼损害赔偿金的证明和计算问题,需要法学研究予以重视、探讨并建言。
(三)实操性
损害存在的事实的证据提出责任,以信息主体能在可能的能力范围内列举与侵害行为发生相关事实而认定为初步足够;损害赔偿的计算或能依据实施侵害行为的数据处理人之违法所得、受侵害的信息主体人数、行为持续的时间长短等由法院依据法定赔偿制度进行认定。英美法系相关的消费者信息隐私集团诉讼虽然与大陆法系国家的团体诉讼和公益诉讼在诉权主体与诉讼构造上有较大差异,但就分散和不确定的数据处理行为造成的大量信息主体之“损害”如何证明,却有一定的共通性,或能为我国司法实践参考。2013年12月,Target公司宣布其计算机网络遭到了黑客袭击。信息泄露事件后该公司估计,在这起黑客袭击事件中有420万消费者的信用卡、借记卡信息被盗劫,610万人的个人信息被盗。受该事件影响消费者在明尼苏达州地区法院提起集团诉讼,诉由是该公司不充分的安全措施及遭遇袭击后的延迟通知造成用户的个人数据处于危险状态。2014年4月原被告达成和解协议,由被告偿付赔偿金1000万美元。能证明损失的消费者每人能获得高达一万美元的赔偿。为了获得赔偿,消费者需证明他们因消息泄露遭受了以下损失之一:信用卡或借记卡产生的未经授权且为补偿的费用;为解决费用问题花费了时间;为修改消费者信息调查报告花钱雇佣了人员;账户产生更高的利率或费用;与信用有关的花费,如购买消费者信用报告;为办理新的身份证、社保号或电话号产生的费用。
对于举证责任方面,《个信法》第69条规定,个人信息权益因个人信息处理活动受到侵害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。这表明我国对公务机关和非公务机关没有采用不同归责原则。按照该条的文义解释,发生个人信息侵害事件而产生诉讼或其他纠纷解决之场合的,首先推定平台公司、电商企业相关的数据处理行为存在过错;除非其证明自己没有过错的,否则应当承担损害赔偿责任。举证责任倒置在实践中对于保护民众的个人信息至关重要。我国《个信法》第69条采用举证责任倒置规则,考虑减轻信息主体的负担之利益平衡的需要。信息主体面临个人信息泄露的危险时,按照侵权法的基本原则和构成要件,应证明个人信息处理人具有泄露用户个人信息的故意或者过失,在实务中这并不难证明。平台公司等个人信息处理人如果无法拿出证据证明自己没有故意或者过失的,就应当负有损害赔偿责任。按照我国台湾地区团体诉讼的法定赔偿最高额,个人信息处理人在诉讼中最高可能会被处以2亿元新台币的赔偿金。
此外可能应当受到重视的是,个人信息保护公益诉讼中可能采纳相关的数据监管机关出具的调查报告或相关意见作为认定侵害行为和损害赔偿数额的证据。德国《不作为之诉法》第12a条规定:在判决前应当听取国内数据保护监管机关的意见,这一条在法律修改程序的听证中获得了多数意见的支持。当消费者保护协会提起诉讼的时候,监管机关实际上不太可能不启动调查。相反,法院将特别重视数据保护监管机关的评估。不过,“在启动诉讼之前并没有义务去咨询数据保护监管机关。”
结论
《个信法》第70条规定的个人信息公益诉讼的受案范围应包含对数据使用协议中一般交易约款违反相关法律、数据画像、地下数据交易等大规模侵权和分散性侵权等情形,可以按照“列举+兜底”对诉由予以类型化并适当予以限定以实现抽象层面的利益平衡。《个信法》第70条和《民事诉讼法》第55条构成特别规范和一般规范的关系,应优先适用。在适格主体顺位上,各级检察机关列于引领位置。消费者组织仅能就与市场活动和消费行为相关的损害个人信息的行为提起公益诉讼,检察机关提起的相关公益诉讼之实体有理由的范围远超前者。应在完善配套制度的前提下逐步放开个人信息保护公益诉讼的损害赔偿请求权,以激励起诉并补偿受损的个人信息主体。
在此共识之上,接下来的制度发展应关注个人信息保护公益诉讼立足“公共利益”受到损害之补偿,因此应当在建构相关证明责任和计算标准制度、赔偿款项分配与去向的基础上,确立个人信息保护公益诉讼的损害赔偿请求的制度构建和规则细节。公益诉讼与行政监管对个人信息的保护有共同协力、互相弥补的功能。在最佳的状态下,公益诉讼的规模效应可以对行政监管失灵起到弥合、扶助和补充的作用。而诉权主体后续的范围划定和损害赔偿请求权的引入,则可能是个人信息公益诉讼制度利用率最为关键的问题。