个人信息保护民事公益诉讼制度存在的争议主要集中在个人信息保护民事公益诉讼的案件范围、诉讼主体、责任方式、衔接机制等方面。笔者从立法、实践和技术三个方面探索民事公益诉讼在个人信息保护中的运行机理,从诉讼主体、救济客体、诉讼保障、衔接关系四个层面分析该制度所面临的挑战,并探讨民事公益诉讼在个人信息保护中的实现路径。
民事公益诉讼在个人信息保护中的运行机理
民事公益诉讼在个人信息保护中的运行机理主要体现在法律机理、实践机理与技术机理三个方面。
(一)法律机理
首先,个人信息保护法第七十条从立法上解决了对个人信息侵权行为采取民事公益诉讼方式的合法性问题,即规范性基础问题。其次,民事诉讼法第五十八条赋予了检察机关和其他法定机关及组织在环境保护、食品药品安全、消费者权益保护等领域提起民事公益诉讼的权利。个人信息保护民事公益诉讼制度就是典型例证。最后,消费者权益保护法第二十六条和民法典第四百九十六条至第四百九十八条对数据使用协议中大量收集消费者个人信息的格式条款进行了规制。
(二)实践机理
“两高”的司法解释、指导意见和典型案例对个人信息保护民事公益诉讼的案件办理提供了指引。“两高”《关于检察公益诉讼案件适用法律若干问题的解释》规定了在民事公益诉讼中检察机关的身份地位、案件管辖、公益诉讼适用范围等。2020年最高人民检察院颁布的《关于积极稳妥拓展公益诉讼案件范围的指导意见》将个人信息保护归入网络侵害案件的范畴。最高人民检察院发布《关于贯彻执行〈中华人民共和国个人信息保护法〉推进个人信息保护公益诉讼检察工作的通知》集中在对特定类型个人信息的界定和保护方面。2021年和2023年最高人民检察院发布19件检察公益诉讼在个人信息保护中的适用案例,涵盖个人信息公开、信息收集等违法行为类型。同时,检察机关被赋予“调查核实权”,在公益诉讼介入个人信息保护领域时具有优势。
(三)技术机理
以个人信息侵权行为发生时间为临界点,在侵权行为发生前,数据监测与预警技术能够实时监测个人信息收集、获取与使用、流通的全过程,通过数据分析,有效预防大规模个人信息泄露事件的发生。在侵权行为发生时,数据溯源与追踪技术为案件的成功办理提供了支持。在侵权行为发生后,相关人员通过数据分析与处理进行证据的收集与固定。除此以外,应当以大数据智能化应用为基础,多渠道收集和获取有关外部数据。综上,个人信息保护民事公益诉讼制度运行的技术机理包括:一是通过对服务器镜像文件和电脑数据进行深度分析,以确立是否侵权的证据以及涉案个人信息条数;二是运用大数据智能化手段获取更多的有效数据;三是充分运用隐私计算技术确保数据分析过程的安全性。
民事公益诉讼在个人信息保护中面临的挑战
数字经济时代,个人信息保护民事公益诉讼制度的运行仍面临诸多挑战。
(一)诉讼主体不明确
个人信息保护法第七十条规定,起诉主体包括人民检察院、法律规定的消费者组织和由国家网信部门确定的组织,应诉主体则限定在个人信息处理者。第一,关于检察机关的起诉顺位存在检察机关在诉权主体中享有优先起诉的权利、兜底补充性作用、检察机关在起诉顺位上没有先后限制等观点。第二,消费者组织范围的确定存在消费者组织的范围是否限定在省级以上消费者协会的问题。第三,国家网信部门确定的组织在理论和实践中都缺乏规则指引。第四,个人信息处理者的确定规则缺乏进一步细化。
(二)救济客体难认定
司法实践中对救济客体的认定存在分歧,主要体现在对个人信息数量“众多”的界定和对受侵害权益与社会公共利益的关系方面。民事诉讼法、消费者权益保护法对“众多”没有具体的量化标准,最高人民法院《关于适用〈中华人民共和国民事诉讼法〉的解释》第七十五条将民事诉讼法中的“众多”解释为十人以上,与众多个人信息的数量无关。众多个人的信息权益是否等同于社会公共利益也存在分歧。
(三)制度保障争议大
侵权责任的构成和承担是制度保障的两个方面。此处论述重点是损害要件的构成,针对“风险”是否属于“损害”的范畴,理论界形成了“否定说”“肯定说”“折中说”等观点。对于侵权责任的承担,损害赔偿责任是目前争议最大的责任承担方式,存在损害赔偿的计算与使用问题、惩罚性赔偿是否适用和损害赔偿与其他法律责任的协调等诸多争议。
(四)诉讼关系衔接弱
个人信息保护领域民事公益诉讼制度与行政公益诉讼和刑事附带民事公益诉讼衔接问题包括:个人信息保护领域的行政公益诉讼制度实施的法律依据不足;个人信息保护领域的刑事附带民事公益诉讼制度规范性依据少且存在诸多争议;三类公益诉讼制度可能存在管辖规定不同和适用关系不明等问题。
民事公益诉讼在个人信息保护中的实现路径
推进个人信息保护民事公益诉讼制度的系统性构建,是破解目前民事公益诉讼制度在个人信息保护领域中所面临挑战的关键。
(一)明确诉讼主体的权利义务
第一,明确检察机关的起诉顺位,强化检察机关的调查核实权。检察机关享有直接向法院提起公益诉讼的权利。应当明确不配合检察机关调查取证的罚则,完善调查核实权的权利内容。第二,确定具备法律规定的构成要件的消费者组织满足形式要件,但只有在数据交易市场实行的侵害消费者信息权益的数据处理行为才可以由法定的消费者组织提起民事公益诉讼。“法律规定的消费者组织”应当限定在省级以上消费者协会。第三,明确国家网信部门的层级和“确定”的标准、程序和方式以及社会组织的类型。第四,制定个人信息处理者的确定规则,细化个人信息侵权行为规则。
(二)制定信息权益损害认定规则
一方面,将社会公共利益作为判断救济客体的实质性标准。侵权人所侵害的客体应当是个人信息保护法第七十条所规定的众多个人的权益,并明确受侵害主体为不特定多数人、必要性原则和利益衡量原则等认定标准。另一方面,在权益损害认定规则中加入风险认定标准。判断个人信息侵权风险的程度,包括损害结果发生的可能性大小、侵权行为人违法处理个人信息的原因、侵权行为方式、所涉多种利益价值等影响因素,结合制度目标和价值进行综合分析。
(三)完善侵权人的责任承担方式
一是探索个人信息保护领域的惩罚性赔偿机制。结合个人信息保护的“消费者法化”,适用相应的惩罚性赔偿法律条款。二是创新不同的责任承担方式并进行合理论证。三是协调不同的责任承担方式,建立赔偿资金专项管理规则。协调好民事责任、行政责任和刑事责任的适用关系,设立专门的资金管理账户,实现赔偿资金用途的专门化,明确该专门账户的性质、管理规则等。
(四)协同个人信息保护诉讼关系
一是制定专门的公益诉讼法。在公益诉讼法的总则确定三类公益诉讼的共同目标,即社会公共利益的维护;在其分则展开三类公益诉讼制度的内容。二是统一公益诉讼的管辖规则。以公益诉讼法的制定为契机,行政公益诉讼和民事公益诉讼的管辖规则应当保持一致,尤其是在个人信息保护领域。三是厘清公益私益诉讼关系。个人信息保护公益诉讼与私益诉讼是两个完全相对的诉讼类型,在法律构造上存在公益诉讼起诉人的权利行使受到较大限制、设立目的、诉讼程序规则、责任承担、三大责任在公益诉讼和私益诉讼的表现形式不同等差异。
结语
民事公益诉讼在个人信息保护中的实现是维护众多个人信息权益从而保护社会公共利益的制度选择。针对该制度面临着主体、客体、保障和衔接方面的诸多挑战,笔者初步提出明确诉讼主体的权利义务,制定个人信息权益损害认定规则,完善侵权人的责任承担方式,协同个人信息保护诉讼关系的实现路径。
(原文刊载于《政法论坛》2024年第5期)