引言:公益诉讼——作为个人信息权益保护的理论工具与制度实践
对一项法律上有必要保护的权益,究竟应依据哪些理论以及通过何种制度方式实现,是一个关乎价值选择与结果导向的综合问题。世界范围内对个人信息保护均是通过多领域立法实现。个体赋权、行政监管、刑事制裁与公益诉讼制度的运用,为个人信息保护提供了较为全面系统的理论工具和实践路径。因应现代民法中法律人格发生的“从抽象的法律人格向具体的人”的转变,自然人的法律人格在“抽象化”(戴面具)与“具体化”(穿衣服)之间徘徊。在个人信息保护领域,就微观层面而言,个人信息之所以与自然人的人格权益建立起紧密联系,主要是指在不应知晓自然人主体身份的情形下,信息处理者不当利用个人信息的“可识别性”特征而识别出特定自然人,从而侵害了自然人的人身自由与人格尊严;在中观与宏观层面,个人信息保护也包括侵害众多个人权益或不特定多数人利益的风险,乃至更广泛意义上的信息安全等等。
通常而言,对主体权利的根本性质的判断通常遵循私权与公权二分的思路,进而与传统上的公法与私法等法律部门的划分产生关联。从最终实现私权保护的法律效果而言,私法与公法之间形成一定协同关系。这就导致在逻辑上,就可能会出现以下三种理论区分:一是私法足以实现个体权益的全部法律效果;二是私法不足以实现全部或大部分的法律效果,因而在私法的基础上,需要进一步启动公法制度,比如监管、刑事制裁等等;三是跳脱出私权本身,而将个体权益的法律效果的实现转化为对公共利益、不特定的他人利益的保护与救济,进而反射性地、间接地保护个体权益,比如公益诉讼等等。这些理论以及相关制度构成了保护个体权益的“理论工具箱”。在第三种情形中,个人信息保护可能以维护不特定多数人的共同利益即公共利益为依托,通过公益诉讼等形式,反射性、间接地保护个人信息权益。故此,通过公益诉讼方式保护个人信息权益具有正当性和合理性,也是本文探讨后续问题的立足点和出发点。本文拟聚焦于个人信息保护检察民事公益诉讼,通过系统分析现有法律规范,论证如何界定公益诉讼中的“公共利益”,进而探讨该制度的实施进路,以期全维度观察个人信息保护领域中的检察民事公益诉讼的制度目的与制度效果。
一、个人信息保护检察民事公益诉讼:法律定位与规范体系
检察民事公益诉讼在理论上证成和实践中确立经历了一定过程。不同学说之间的争论成为其证成的理论基础,相关法律法规和政策文件的制定,形成了较为系统的法律规范体系。个人信息保护检察民事公益诉讼的规范体系由民事公益诉讼的一般规范、检察民事公益诉讼的特别规范以及个人信息保护民事公益诉讼规范等多重规范构成。
(一)检察民事公益诉讼的法律定位
罗马法上,公益诉讼(Actiones Publicae Populares)乃保护社会公共利益的诉讼,除法律有特别规定者外,凡市民均可提起;而私益诉讼(Actiones Privatae)乃保护个人所有权利的诉讼,仅特定人才可提起。对于一些利益,比如享受洁净空气的利益、获得真实广告的利益以及获得安全产品的利益等,这些利益属于社会上的每一个人,都不属于特定的个人或机构,其中实际上包含着一种社会公益的性质。针对这些公共利益的诉讼被称为扩散性利益的诉讼,其本身属于私益诉讼与公益诉讼的交叉,是可以上升为公益保护的私益诉讼的类型。申言之,私益诉讼与公益诉讼既有交叉、相向而行,同时又可能存在一定转换。进而,哪一主体有权提起公益诉讼才能真正体现公益诉讼之实质,或者说,是否由公共利益代表的国家机关提起公益诉讼才更符合公益诉讼之本质,实则是讨论前提。即作为公共利益代表的检察机关或行政机关,在私权滥用可能侵害社会公共利益、危及公法秩序安宁时,其能否代表国家追诉并提起民事公益诉讼,学说上素存争论。18至19世纪以洪博(Wilhelm v. Humboldt)、密尔(J. St. Mill)和斯宾塞(Herbert Spencer)为代表的“国家无为而治论”认为,国家的任务主要限于国防及治安两大方面,再无其他基于人民公益需求而有所作为之必要。20世纪以来,以魏玛宪法为代表的“国家积极作为论”和以彼得斯(Hans Peters)、美克(W. Merk)和依什热(J. Isensee)为代表的“国家辅助性理论”,更加强调国家在实现公共利益上的广泛责任。尤其是“国家辅助性理论”在公益需求方面,予以一种阻抑性的效果,其与当代基于保障人民财产及财产行使(营业、经济自由权)基本权利之观点,限制国家“独占制度”的滥用方面,实相契合。这两个理论不同于前者否定国家主动追求公益的国家无为而治论,更强调国家在实现公共利益上应当积极作为或有所作为,同时也为相关国家代表主体参与实现公共利益诸事宜提供了理论基础。后两种理论逐渐在学说竞争之中取得重要地位,从理论辐射的具体面向而言,其也为作为国家代表的检察机关或行政机关提起公益诉讼提供了理论根据。
然而,检察机关如何提起公益诉讼,其是否当然有权提起公益诉讼,还是应基于国家授权而须由法律规定而提起诉讼,这一关键实现路径也曾存在争论。2000年左右,我国在立法上并未确立检察院可以原告身份提起民事公益诉讼之时,司法实践中也出现了检察院以原告身份直接提起民事诉讼的情形,但是法院并不认可检察院有权提起公益诉讼。随着社会不断发展,近年来在生态环境和资源保护、食品药品安全、未成年人保护、安全生产、妇女权益保障等领域,不特定多数人的利益受到侵害的风险与问题不断凸显,这也对作为公共利益代表的国家机关除监管外应以何种形式进一步介入提出了要求,由检察机关提起公益诉讼便成为可选项之一。
公益诉讼与社会发展需求相适应,逐渐在法律和政策之中确立了由检察机关提起公益诉讼的制度。首先在党的十八届四中全会文件中确立了“探索建立检察机关提起公益诉讼制度”,即检察公益诉讼制度。在此基础上,通过检察机关试点先行,包括检察民事公益诉讼制度等得以进一步建构。在2017年《民事诉讼法》修订之时,正式确立检察机关有权提起民事公益诉讼。党的十九届四中全会文件中进一步明确要求“拓展公益诉讼案件范围”。在个人信息保护领域,2021年《个人信息保护法》立法之时,特别规定了个人信息保护公益诉讼制度。另外,相关机关同时颁布司法解释和各类规范性文件。这些法律、规章政策文件等共同构成了个人信息保护检察民事公益诉讼的规范体系。
(二)民事公益诉讼的一般规范
自2012年修正的《民事诉讼法》新增民事公益诉讼制度以来,在该法几次修订过程中,都针对民事公益诉讼制度予以完善和讨论。其中第55条规定,“对污染环境、侵害众多消费者合法权益等损害社会公共利益的行为,法律规定的机关和有关组织可以向人民法院提起诉讼。”后在2015年最高人民检察院发布的《检察机关提起公益诉讼改革试点方案》中规定检察机关有权提起民事公益诉讼和行政公益诉讼。2017年第三次修正的《民事诉讼法》第55条第1款延续了2012年《民事诉讼法》第55条的规定,同时在前述《检察机关提起公益诉讼改革试点方案》等相关内容的基础上,进一步在第55条中增加了第2款,即“人民检察院在履行职责中发现破坏生态环境和资源保护、食品药品安全领域侵害众多消费者合法权益等损害社会公共利益的行为,在没有前款规定的机关和组织或者前款规定的机关和组织不提起诉讼的情况下,可以向人民法院提起诉讼。前款规定的机关或者组织提起诉讼的,人民检察院可以支持起诉”。2021年第四次修正的《民事诉讼法》第58条延续了2017年《民事诉讼法》第55条的规定。对于该条第1款中的“法律规定的机关”,是指对于提起公益诉讼的机关,应有明确的法律依据。2022年3月最高人民法院《关于适用〈中华人民共和国民事诉讼法〉的解释(2022年修正)》(以下简称《民诉解释(2022年修正)》)第十三部分第282条至第289条对公益诉讼进行了进一步的规定。鉴于《民事诉讼法》对公益诉讼的起诉条件未作出明确规定,《民诉解释(2022年修正)》第282条进一步规定了提起公益诉讼的条件。另外,最高人民法院2021年还颁布了《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》,规范人脸识别等特殊领域的民事公益诉讼。
综上,以民事诉讼法关于公益诉讼的法律规定为基础,以《民诉解释(2022年修正)》和相关特殊领域民事公益诉讼的司法解释为司法适用路径,这些规范共同构成了检察机关提起民事公益诉讼的一般意义上的法规范依据。
(三)检察民事公益诉讼的特别规范
检察机关基于国家授权或法定情形,代表国家利益或社会公共利益对某些民事公益案件向法院起诉或参与诉讼的权力,即民事公诉权。这一民事公诉权系我国确立的检察机关提起公益诉讼制度的核心。检察民事公益诉讼制度,在价值追求上,兼顾“护权”和“督政”的双重制度价值。故此,检察机关提起公益诉讼制度能够与我国已有行政制度、检察制度相协调融合,进而发挥公益诉讼的更大作用。
在检察民事公益诉讼制度中,检察机关的角色是否属于法律监督,学界亦有争论。有论者指出,在民事公益诉讼中,检察机关乃是代表某一具体利益,应作为普通原告提起诉讼,而非依据其官方身份与法律职权。但是民事诉讼法规定检察机关提起公益诉讼必须是“在履行职责中”发现违法行为,似乎又表明检察公益诉讼的提起,根源于法律监督的启动。可见,检察公益诉讼条款的安排与其规范意涵在法理逻辑上存在抵牾,也会影响检察机关提起公益诉讼的身份属性的认识。亦有论者认为,从法律监督的视角来看,检察机关提起民事公益诉讼与行政公益诉讼有着性质上的不同。尽管检察机关可以提起民事公益诉讼,但这并不是法律监督的组成部分。
然而,无论如何,检察机关的法律监督职能都是其基本职能,并在日常活动中履职。客观讲,对于违法行为的发现多发生于检察机关的日常履职之中,事实上很难将法律监督与日常履职进行完全意义上的时空区隔。当其基于国家授权或法定情形,作为代表国家利益或社会公共利益提起民事公益诉讼之时,其角色发生了一定转换,此时其身份为公益诉讼人。这一角色转换与法律监督职责的履行,二者并不矛盾。特别是,检察民事公益诉讼制度的确立和完善,也是随着近年来检察制度改革的不断深化而逐步实现的,并形成一定规范体系。主要包括以下文件:
一是2015年7月最高人民检察院《检察机关提起公益诉讼改革试点方案》。该试点方案规定了提起检察机关提起民事公益诉讼的试点案件范围、诉讼参加人、诉前程序、提起诉讼和诉讼请求等内容,其中提出检察机关为“公益诉讼人”。
二是2018年3月最高人民法院和最高人民检察院《关于检察公益诉讼案件适用法律若干问题的解释》。该司法解释第2条首次提出“公益诉权”这一术语,第4条规定了人民检察院系以公益诉讼起诉人的身份提起公益诉讼,公益诉权不仅仅指起诉权,而是包含诉讼权利和诉讼义务。
三是2020年9月最高人民检察院《关于积极稳妥拓展公益诉讼案件范围的指导意见》。2019年11月,党的十九届四中全会文件中进一步明确要求“拓展公益诉讼案件范围”。在此基础上,该指导意见于次年发布,意见中针对新领域案件的重点范围、立案条件以及办理新领域案件的程序等问题进行了规定,强调重点发布安全生产、文物和文化遗产保护、网络侵害(个人信息保护)等新型领域典型案例等等。
四是2021年6月最高人民检察院《人民检察院公益诉讼办案规则》。该办案规则于第四章专章规定了民事公益诉讼,其中针对公益诉讼案件的立案与调查、公告、提起诉讼和支持起诉等内容进行了规定。
(四)个人信息保护领域的民事公益诉讼规范
公益诉讼作为个人信息保护的理论工具之一,有其正当性和合理性。同时,随着检察公益诉讼实践和制度建构不断深化,检察公益诉讼的具体领域和案件范围亦不断拓展。个人信息保护本身需求与检察公益诉讼之功用二者相契合,为了充分救济“损害社会公共利益”“侵害众多个人的权益”等情形,《个人信息保护法》第70条规定,“个人信息处理者违反本法规定处理个人信息,侵害众多个人的权益的,人民检察院、法律规定的消费者组织和由国家网信部门确定的组织可以依法向人民法院提起诉讼。”该条规定的是个人信息保护的民事公益诉讼。
从立法者角度而言,其再次重申了《个人信息保护法》第70条的立法基础和体系解释。即《个人信息保护法》第70条是在《民事诉讼法》第58条和《消费者权益保护法》第47条的基础上,明确了可以提起侵害个人信息权益公益诉讼的几类主体。另外,最高人民检察院于2021年8月发布了《关于贯彻执行个人信息保护法推进个人信息保护公益诉讼检察工作的通知》,针对特殊信息类型、特殊群体和特殊领域的个人信息保护进行了强调。综上,个人信息保护检察民事公益诉讼具有明确的法律依据,其也居于现行民事公益诉讼的体系之中,并进行相应体系解释及适用。
二、个人信息保护检察民事公益诉讼中的公共利益考量
公益诉讼,即如何基于公益而提起相应诉讼。故此,界定何为“公益”就成为首要任务。就法律规范内容而言;《民事诉讼法》第58条第2款将损害公共利益界定为“侵害众多消费者合法权益等损害社会公共利益”;《民诉解释(2022年修订)》第282条第(三)项表达为“社会公共利益受到损害”;最高人民法院、最高人民检察院《关于检察公益诉讼案件适用法律若干问题的解释》第14条第(二)项表达为“被告的行为已经损害社会公共利益”;最高人民法院《关于审理环境民事公益诉讼案件适用法律若干问题的解释》第8条第(二)项规定为“被告的行为已经损害社会公共利益或者具有损害社会公共利益重大风险”;最高人民法院《关于审理消费民事公益诉讼案件适用法律若干问题的解释》第2条第(五)项规定为“侵害众多不特定消费者合法权益或者具有危及消费者人身、财产安全危险等损害社会公共利益的行为”;2023年9月最高人民法院《关于生态环境侵权民事诉讼证据的若干规定》第3条第(二)项规定为“生态环境受到损害或者有遭受损害的重大风险”等等。可见,无论是在理论上还是制定法等层面,对于公益诉讼,基本上均首先指向具体领域和具体行为所涉及的公共利益及其界定,这也是提起公益诉讼的前提和基础。
(一)公共利益的界定与具体面向
公共利益是一个典型的不确定法律概念。这一概念最特别之处,在于其概念内容的不确定性,这种内容的不确定性,可以表现在其利益内容的不确定性及受益对象的不确定性两个主要方面。但是,只强调公共利益的不确定性,显然无法完成对于以公益为目标或核心价值的制度的构建和实施。因此,此种不确定概念就面对具体化的任务。就不确定法律概念的具体化而言,应“在语义空间内,通过析出价值冲突、确认价值位序、与根据规范的价值判断相整合地追加价值判断,来决断是否将某不确定法律概念适用于某对象”。对公益诉讼中的公共利益的界定,亦应循此思路。有论者进一步认为,公共利益是针对某一共同体内的少数人而言的。共同体的规模大到整个国家、社会,小到某一个集体。公共利益的关键并不在于共同体的不确定性,而在于谁来主张公共利益。德国学者诺依曼(Franz J. Neumann)的观点算是一种总结,其认为,“公益”可分为主观的公益和客观的公益。主观的公益是基于文化关系(Kulturverhältnis)之下,“一个不确定之多数(成员)”所涉及的利益;客观的公益,则是基于国家、社会所需要的重要之目的及目标,多以信赖国家机关或地方自治团体之方式,以合乎目的性考虑即可达成公益之需求。公益诉讼中的“公益”,显然是兼具主观的公益与客观的公益两个方面——不确定多数人之利益以及哪些主体以何种方式能够实现国家和社会之利益。然而,有论者对于正面界定公益诉讼中的“公共利益”有所质疑。其对比美国公益诉讼之后认为,公益诉讼概念实际上包含三个要素,即“公益诉讼=公益+诉讼+诉讼目的或功能”,而“诉讼目的或功能”恰恰是定义公益诉讼概念的关键。然而,尽管不同国家的公益诉讼的制度构造及其侧重、实现路径等方面可能有所不同,但从公益诉讼目的和总体目标而言,实则殊途同归,制度目标基本一致。
就公共利益的具象化而言,庞德对此问题进行了更为细致的提炼与归纳。庞德将公共利益和社会利益予以区分讨论。即公共利益分为:作为法人的国家利益(国格、财产)和作为社会利益监护者的国家利益。进而又将社会利益分为:(1)公共安全。(2)社会制度安全。即文明社会保护它的基本制度免受那些威胁其存在或削弱其有效机能的行为方式及行为过程侵犯的主张、需求或要求,比如家庭制度安全中的利益等等。(3)公共道德。这一利益在保护善良风俗(Boni Mores)的罗马法中得到认可。(4)保护社会资源。比如天然气、石油等资源不被过度开发和使用等等。(5)公共发展。主要包括经济发展、政治发展和文化发展的利益。(6)个人生活。主要包括个人自我主张、个人机会和个人生活条件。这些相对比较具体的利益的抽象,可以涵盖社会公共利益的大部分内容,也为之后分析具体领域的公共利益奠定了理论基础。
进一步而言,只有不特定主体所享有的社会公共利益所引发的纠纷才能纳入公益诉讼的客观范围。正是因为社会公共利益主体的不特定性,才使得社会公共利益的维护无法通过直接关系主体启动诉讼程序,从而借助司法的力量加以实现。比如,在消费公益诉讼领域,只有在广义消费事实中,因经营者不当经营行为存续而可能遭受损失的消费者,才满足“众多不特定”之限定。又如,未成年人群体公益诉讼,只要行为的侵害不是限于某个特定未成年人,即可构成涉及公共利益。再如,检察公益诉讼也应针对个人、企业和社会组织缺少意愿和动机提起民事诉讼的领域,比如知识产权反垄断领域等等。这些具体领域的公共利益界定和实践,对于较为直观地认识和解释公共利益,具有较为重要的作用和意义。
通过上述对于公共利益的概念界定以及公益诉讼制度功能的不同角度的分析与阐释,也将问题进一步聚焦到公共利益如何实现以及应由哪一主体实现公益诉讼的目的等重要问题之上。有论者认为,分散性社会公益受到损害时,很难找到利益代表者,即便有利益代表者也会出现不愿被搭便车等现象,其既无动力也无能力提起诉讼。而恰是这种“搭便车”和主张者缺位等问题,对于公共机构或组织代表“不确定多数人”主张公共利益似更易实施。实际上,由检察机关提起公益诉讼,是增设了一种通过法律监督权和审判权协调配合来制衡过于强大行政权的机制,同时又弥补了公益诉讼主体缺位等不足。至此,在界定公共利益的基础上,检察机关提起公益诉讼也仍应依循公共利益界定的基础理论,通过对具体领域的公共利益的发现与识别,进而承担提起公益诉讼以维护不特定多数人之利益的重要任务。
(二)公共利益的识别:个人信息保护检察民事公益诉讼实践
个人信息保护检察民事公益诉讼中,社会公共利益受到损害是能够提起公益诉讼的最核心条件。对“社会公共利益受到损害”的判断,应与个人信息保护本身的特性紧密相联。就侵害个人信息的社会公共利益而言,其往往是分散的、局部的、不特定的,主体(信息)数量多寡、信息本身的重要程度、信息泄露的场域等皆可能成为判断是否损害社会公共利益的因素。“不特定”“发散性”等特征性表述已逐渐成为衡量公共利益的主流观点。同时,社会公共利益受到损害不但包括现实的已经存在的“不利后果”(现实损害),还包括构成现实威胁的“不利后果”(损害的重大风险、具有危及人身或者财产安全的危险)。上述这些衡量社会公共利益的标准虽然切入角度不同,但抽象提炼之后实则具有高度一致性,即针对不特定主体的现实损害与可能产生损害的重大风险等一系列潜在的严重风险。
从目前来看,对于“社会公共利益受到损害”的判断和案件类型大致包括以下情形:
第一,个人信息的违法收集、处理和非法提供等行为。个人信息保护法旨在“保护个人信息权益,规范个人信息处理活动”。依此,信息处理者应合法收集、处理个人信息,对于违规收集和处理行为,依法应承担相应法律责任。在目前的检察民事公益诉讼实践中,检察机关针对一般意义上的个人信息违规收集、处理等行为,可能提起相应民事公益诉讼。在最高人民检察院2021年4月发布的《检察机关个人信息保护公益诉讼典型案例》以及相关案例中,检察机关针对未经个人同意收集、超限收集、违法存储和使用、非法提供等行为,均认定为“损害社会公共利益”,经过一定程序之后,提起相应民事公益诉讼。
第二,敏感个人信息的违法收集与处理等行为。《个人信息保护法》第28条特别规定了敏感个人信息的定义。敏感个人信息之于个人信息权益十分重要,大规模敏感个人信息的不当收集、使用与处理,都可能涉及社会公共利益中所包含的公共安全等内容。最高人民检察院于2023年3月发布《个人信息保护检察公益诉讼典型案例保护个人生物识别信息》,这些案例分别涉及人脸、指纹、医疗健康、房产、户籍等多项敏感个人信息的违法违规收集和处理等。可见,违法违规收集、处理不特定多数人的敏感个人信息,存在损害社会公共利益之虞,也是检察民事公益诉讼之中应当予以针对的重点领域之一。
第三,侵害公民个人信息罪刑事附带民事公益诉讼。实践中,提起民事公益诉讼的情形之一还包括刑事附带民事公益诉讼。在个人信息保护领域,多为侵害公民个人信息罪刑事附带民事公益诉讼。在最高人民检察院2023年3月发布的典型案例中,有的案件中的被告涉及侵犯公民个人信息犯罪,该犯罪严重危害公民个人信息安全,社会危害性较大。有的案件中,因客户交易信息泄露,众多消费者面临诈骗风险,公共利益处于持续受损状态。另在有的案件中,快递企业内部员工泄露用户个人信息,危害公民个人信息安全。上述刑事附带民事公益诉讼中,检察机关均认为相关主体的行为已经损害社会公共利益,或具有损害社会公共利益的重大风险,就此提起公益诉讼。
关于责任承担,主要包括损害赔偿以及履行相应行为义务。就侵害个人信息权益的民事侵权责任而言,法院应根据个人信息处理活动以及被侵害的个人权益的具体情况,如个人信息处理目的、处理行为的类型、被侵害的个人信息的种类、被侵害人的个人信息权益的类型、程度等具体情况确定赔偿数额。在个人信息保护民事公益诉讼中,相应民事责任的承担实则与侵害个人信息权益的民事责任基本相同,只不过由于公益诉讼中,一般不涉及具体的受害人,故此一般不涉及精神损害赔偿,而主要包括调查取证费、鉴定费等必要合理支出。被告主要应履行相应的行为义务,包括停止侵害、删除个人信息、赔礼道歉、采取必要措施确保信息安全等义务。对于是否应承担惩罚性赔偿责任,有论者认为,惩罚性赔偿是以私益诉讼为规制对象,并不适用于公益诉讼领域,而公益诉讼主要应着眼于解决社会公益方面的问题。
上述这些类型的案件体现出公益诉讼可以有效弥补个人不知诉、不愿诉以及行政机关执法不到位等情形,但是目前这些案型有必要进一步反思。一方面,对于一般性的违法处理个人信息的行为,即便经公告没有法律规定的机关和有关组织提起诉讼,但应否进一步督促行政机关履行个人信息保护职责,而并非直接提起检察民事公益诉讼,这一点有必要进一步思考。即应防止“公权遁入私法”的现象,避免公权力机关可能逃避公法上的责任以及不受公法上的一些约束。另一方面,若民事公益诉讼的实现仰赖刑事附带民事诉讼机制,这也会大大削弱民事公益诉讼应当由检察机关、消费者组织等社会组织主动提起的意愿和空间,不利于民事公益诉讼的推进。故此,有必要进一步探讨如何针对个人信息保护的特性而更妥洽地提起检察民事公益诉讼,以更好地实现个人信息保护检察民事公益诉讼的制度初衷与功能目的。
(三)个人信息保护中“社会公共利益受到损害”的领域拓展
在检察机关推动个人信息保护民事公益诉讼实践的基础上,如何进一步针对个人信息保护的本质特性,体现个人信息保护内生性的及其所联接的社会公共利益,是当下亟需思考的重要问题。有论者指出,检察公益诉讼的案件范围拓展,应特别关注对于威胁我国国家安全和深层次核心发展利益与广泛社会公共利益但相应社会组织缺失、行政监管“失灵”风险较高的损害公共利益行为。同时,个人信息保护领域公益诉讼案件则应突出保护重点群体、重点领域以及敏感类型的个人信息等等。当然,也必须承认,检察公益诉讼“等外”领域案件范围的拓展仍需有所限制,无边界地拓展案件范围可能会产生使得公益诉讼囊括到公权力不必要介入场域的风险。概括而言,个人信息保护检察民事公益诉讼可着重拓展以下领域的社会公共利益保护。
第一,敏感个人信息的潜在大规模侵害。敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息。实际上,敏感个人信息除法律规定列举的类型之外,还存在诸多可能由一般信息可能转化为敏感个人信息的情形。比如,因网络活动而产生的行为数据、从社交网站上搜集的数据、生活智能设备收集用户行为而产生的数据、人工智能技术的运用而可能产生的可以关联至个人的数据以及基于数据分析技术(比如撞库)等,可能会不断再现敏感个人信息,进而识别、关联至具体个人。故此,检察民事公益诉讼更应着力发现一些可能具有较强隐蔽性、不易被一般消费者所察觉的侵害敏感个人信息的行为。对于这些领域,检察机关应发挥其所具有的技术优势、地位优势等,更准确地发现可能受到损害的社会公共利益,从而更好地保护个人信息权益。
第二,违法处理、泄露个人信息引发的严重的数据安全风险。我国网络安全治理的法律规范主要包括《网络安全法》《数据安全法》《个人信息保护法》《关键信息基础设施安全保障条例》等法律法规。数据安全风险基于数据分类分级和数据承载的内容的重要性而呈“梯度”展现。最高人民检察院《关于贯彻执行个人信息保护法推进个人信息保护公益诉讼检察工作的通知》中规定处理100万人以上的大规模个人信息应当重点保护,但单纯的量化标准也不足以代表问题的严重性。比如,人类遗传资源信息,特定民族、特定地域的人群特征信息等等,一旦这些信息被大规模采集甚至出境,则会对数据安全乃至国家安全造成严重危害和巨大威胁。检察机关应针对这些民众难以发现甚至无法发现的领域提起民事公益诉讼,通过技术运用、线索征集、深入调查等方式,发现相应事实和证据。故此,检察机关等公权力机关应尤其关注违法处理、泄露个人信息引发的数据安全风险。
第三,未成年人、老年人等重点群体的个人信息的违法收集与处理。近年来,学校、培训机构等超限收集、泄露、倒卖未成年人的个人信息,侵害未成年人信息权益的事件屡有发生。在有的案件中,法院认定某公司开发的APP历史版本在收集、存储、使用、共享、披露儿童个人信息等多个环节中,存在危及社会众多不特定儿童个人信息权益和隐私权的行为,不利于儿童网络保护,已对儿童人身安全以及生活安宁造成隐患。该案在全社会具有较强的示范效应和良好的社会效果。故此,如何进一步更好保护未成年人的个人信息权益,应成为检察机关提起公益诉讼的重点。在最高人民检察院《关于贯彻执行个人信息保护法推进个人信息保护公益诉讼检察工作的通知》对保护儿童、妇女、残疾人、老年人、军人等特殊群体的个人信息有所规定,但可能在具体情形和场景等方面需要再增加和具体甄别。另外,如何从源头上遏制非法获取信息以及更前端的信息泄露、倒卖等活动,更好地保护老年人的个人信息权益,也应成为检察机关提起公益诉讼的重点。这也是公益诉讼中“公益”的真正体现。
三、个人信息保护检察民事公益诉讼的程序实现
(一)检察机关的起诉顺位
个人信息保护检察公益诉讼中,检察机关的起诉顺位是目前争论的焦点之一。《民事诉讼法》第58条第2款规定,人民检察院在没有该条第1款规定的机关和组织或者相关机关和组织不提起诉讼的情况下,可以向人民法院提起诉讼。相关机关或者组织提起诉讼的,人民检察院可以支持起诉。根据该款规定,检察院提起公益诉讼的前提系没有相关机关和组织或者相关机关和组织不提起诉讼,其方可提起公益诉讼。同时,直接规定检察院有权提起个人信息保护公益诉讼的条款,系《个人信息保护法》第70条,该条后半句规定“人民检察院、法律规定的消费者组织和由国家网信部门确定的组织可以依法向人民法院提起诉讼”。该规定将人民检察院与其他组织并列,并在起诉主体的列举上居于第一位。如此规定就带来一个问题,即《民事诉讼法》第58条与《个人信息保护法》第70条之间究竟是何种关系,人民检察院提起个人信息保护公益诉讼的起诉顺位究竟应如何解释。这一问题不仅关系到民事公益诉讼的基本理论、法解释的基本逻辑,同时也关系到个人信息保护公益诉讼的作用与效果等问题。
以《民事诉讼法》第58条与《个人信息保护法》第70条之间的关系为解释的出发点,关于检察机关的起诉顺位,大致可包括以下两种分析路径:
第一,《个人信息保护法》第70条应在《民事诉讼法》第58条的辐射范围内,即应依据民事公益诉讼的体系解释,按照《民事诉讼法》第58条规定的主体、程序等提起诉讼,而不存在更改或者突破检察机关的起诉顺位等问题。有论者认为,在2011年10月《民事诉讼法修正案(草案)》中规定的“有关机关”包括检察机关。但是至于检察机关的起诉顺位,仍然需要另外解释。同时,就《个人信息保护法》第70条的基本构造来看,其是一个不完全法条,并未就相应主体提起民事公益诉讼的顺序进行规定,检察机关提起公益诉讼的顺序和程序自无法断论。如有论者认为,虽然个人信息保护公益诉讼有利于弥补既有的行政规制模式与私权救济模式之不足,但还存在起诉顺位混乱、起诉主体单一、赔偿责任适用混乱等问题。可见,就检察机关的起诉顺位,并未有较大共识。
第二,一般法与特别法的关系。检察民事公益诉讼属于民事公益诉讼,民事诉讼法是规定民事公益诉讼的一般法。有论者认为,目前民事公益诉讼的起诉主体采用“二元”模式,包括检察机关和社会组织,这种模式更接近于一种诉讼资格的法律配置,而非起诉权的法律设定。实践中,在检察机关提起诉讼后,有的社会组织还要求由其起诉,要求检察机关向其移送证据,这种现象并不利于民事公益诉讼的功能实现。由于检察机关具有法律监督能力和资源优势,二者的起诉资格至少应当是持平的。这一观点虽然并未就检察机关的起诉顺位进行评价,但是至少认为,民事公益诉讼不一定非要由相关机关和组织提起,检察机关可以提起公益诉讼并可以排斥其他主体提起诉讼。这种观点某种程度上也松动了《民事诉讼法》第58条关于检察院提起公益诉讼的前提系没有相关机关和组织或者相关机关和组织不提起诉讼的情形。有论者认为,检察机关在我国经《个人信息保护法》第70条被立法者列为相关公益诉讼的第一顺位原告。另外,在实践中,检察机关等也认为因为侵害个人信息权益案件往往存在较强的时效性,有的当事人可能会删除相关证据等,而由于检察机关具有较强的资源优势,故此由检察机关作为第一顺位起诉更能实现个人信息保护的效果和目标。可见,这些观点都认为,《民事诉讼法》第58条与《个人信息保护法》第70条之间应是一般法与特别法的关系。
尽管上述观点均有其道理,但是就法解释的基本逻辑而言,检察机关确实无法直接依据《个人信息保护法》第70条而认定在起诉时为第一顺位。因为从法条的基本表述来看,人民检察院、法律规定的消费者组织和由国家网信部门确定的组织等几者之间实为并列关系。就法律规定的表达方式来看,若欲规定主体的先后顺位,则一般均会在法律中明确规定,比如抵押权的顺位、法定继承顺序等等。而《个人信息保护法》第70条显然并未就提起诉讼的主体顺序作明确规定,根据法解释的一般原理,也不能直接将其解释为具有先后起诉顺位。至于检察机关提起民事公益诉讼对于保护个人信息权益具有独特优势,能否考虑将其作为第一顺位进行起诉,则可考虑通过其他立法,比如未来的检察公益诉讼法等进一步规定,目前则只能按照《民事诉讼法》第58条的规定予以解释和适用。
(二)诉前程序
公益诉讼旨在充分激发社会力量更好维护社会公共利益。社会力量则包括各种社会组织和相关机关。有论者认为,当公益诉讼的诉权发生竞合时,应优先提倡通过民事诉讼中的私人执法来实现法律的目标。对于身份和角色较为特殊的检察机关而言,在现行法下,其提起民事公益诉讼之前需进行公告程序。根据《关于检察公益诉讼案件适用法律若干问题的解释》第13条规定,拟提起公益诉讼的,应当依法公告,公告期为30日。这一公告程序可以保障社会组织起诉主体的优先顺位,提升社会组织提起诉讼的积极性。实践中,在最高人民检察院发布的检察机关个人信息保护公益诉讼典型案例中,检察机关皆在公告期满后,以没有法律规定的机关和有关组织提起诉讼为前置条件提起诉讼。
在民事诉讼法司法解释的起草过程中,也曾讨论过提起公益诉讼是否设置行政前置程序的问题。但后来有关部门也认为,鉴于立法时争议很大,法律中没有明确规定行政前置程序,司法解释作出规定则有超越权限设定起诉条件和诉讼义务的嫌疑。故此,因此司法解释最终没有规定行政前置程序。《民诉解释(2022年修正)》第284条规定,人民法院受理公益诉讼案件后,应当在十日内书面告知相关行政主管部门。这一规定系人民法院受理案件后告知相关行政主管部门,是向相关行政主管部门进行通报的制度,而非诉前告知。司法机关也认为,这一制度有利于实现行政机关和司法机关共享案件信息和相互配合,形成良性互动,并督促行政主管部门依法及时行使职权,共同促进社会公共利益的保护。故此,至少在现行法下,不存在提起公益诉讼的行政前置程序,仅依据诉前公告程序督促相关主体提起公益诉讼。
在提起公益诉讼之前,检察机关还可以提出检察建议和支持起诉等。最高人民检察院《关于积极稳妥拓展公益诉讼案件范围的指导意见》第11条规定了检察机关可向民事主体提出诉前检察建议,从而起到预防性作用。同时,《人民检察院公益诉讼办案规则》第101条规定,人民检察院可以采取提供法律咨询、向人民法院提交支持起诉意见书、协助调查取证、出席法庭等方式支持起诉。通过检察机关的专业支持,共同维护社会公共利益。
(三)提起诉讼
检察机关提起公益诉讼应符合《民事诉讼法》第58条、《消费者权益保护法》第47条和《个人信息保护法》第70条的规定,按照《民诉解释(2022年修正)》第282条所规定的条件提起诉讼,主要包括:有明确的被告;有具体的诉讼请求;有社会公共利益受到损害的初步证据以及属于人民法院受理民事诉讼的范围和受诉人民法院管辖。其中最为核心的即为“社会公共利益受到损害”,前文已有讨论,此处不赘述。同时,在诉讼过程中,检察机关角色的多重性以及民事诉讼的制度构造,共同决定着其提起公益诉讼应秉持谦抑性,不应影响审判机关的中立性以及其他诉讼当事人处分权的行使。
关于管辖,《民诉解释(2022年修正)》第283条规定,公益诉讼案件由侵权行为地或者被告住所地中级人民法院管辖,但法律、司法解释另有规定的除外。个人信息保护案件一般而言为侵害不特定主体的个人信息权益,通常涉及被告侵害个人信息权益的行为、侵权损害后果等问题,故此侵权行为发生地、损害结果发生地等人民法院均应有权管辖。
公益诉讼与私益诉讼并行,公益诉讼的提起不影响私益诉讼。若原告请求法院通过判决维护不确定多数人的利益,属于公益诉讼;如果原告的请求旨在实现个体性权益,即使个体是复数的,或者判决具有影响案外多数人的效果,仍属于私益诉讼。《民诉解释(2022年修正)》第286条规定,人民法院受理公益诉讼案件,不影响同一侵权行为的受害人根据民事诉讼法第122条规定提起诉讼。检察机关提起个人信息保护公益诉讼,不影响受侵害的自然人向被告就同一侵权行为提起私益意义上的民事诉讼。
余论:写在《检察公益诉讼法》呼之欲出之际
人之于社会、国家,其形象、地位以及所处问题域均在不断变化。拉德布鲁赫认为,与自由权利时代(Liberales Zeitalter)抽象的自由、自利和精明的(人)图式相比,近代的主体是一种更加接近于生活的类型,在此同时考量的是法律(权利)主体的智识的、经济的和社会的实力状态(Machtlage)。当不同主体“实力”不均与不对等之时,国家和法律如何对待,就成为一个必须面对的问题。在个人信息保护领域,有论者从刑民一体化视角出发认为,个人信息保护应以保护公民的信息自决权为核心。这是个人信息保护的基底与核心。索洛夫教授(Daniel J. Solove)认为,有效的隐私保护应同时在个人拥有控制权和数据生态系统(Data Ecosystem)处于控制之中等两种不同的“控制”之中理解和把握,同时应当使数据生态系统处于更好的控制之中,政府执法、消费者集体行动以及其他路径应综合运用和结合。无论是从个体层面对信息自决权的保护,还是更大范围对不特定多数主体权益的保护,二者实则是“一体两面”、互不矛盾、彼此支撑。
当国家参与不特定多数主体的利益保护之时,何种主体能够胜任维护社会公共利益之职,考验着应然的理论自洽与实然的现实发展。近年来,中国检察机关在公益诉讼之中发挥了较大作用,其作为法律监督机关,同时作为公共利益的代表提起真正意义上的公益诉讼,在世界范围内都可圈可点。无论是在公益诉讼理论之中,还是在个人信息保护理论之中,检察机关都可以在个人信息保护公益诉讼之中具有应然的重要地位。2023年9月,全国人大将《检察公益诉讼法》列为一类立法项目。在这一背景之下,进一步激发检察公益诉讼的功能与作用,探讨不同领域的检察公益诉讼,就成为未来立法的着力点。在个人信息保护领域,检察民事公益诉讼已有不少实践,但是也存在不少问题。单纯地提起检察公益诉讼显然并非公益诉讼的目的,如何通过检察机关提起公益诉讼,进而回归公益诉讼之本质即调动社会力量积极推动公益诉讼、促使行政机关积极履职,更多主体通过各种方式维护社会公共利益,才是重要功能和目标。故此,检察公益诉讼更应在自身定位、公共利益的识别与发现、一般主体难以取证而须依靠重要技术和资源取证的领域案件、起诉顺位、特殊群体和不特定主体的利益维护等多方面再着力,是以,才能真正实现检察民事公益的目标,才能真正保护好不特定多数人的个人信息权益和社会公共利益。
作者:姚佳 中国社会科学院大学法学院教授,中国社会科学院法学研究所编审。
来源:《政法论坛》2024年第4期。