【法学专论】汤维建、徐枭雄：个人信息保护公益诉讼制度研究

时间：2023-04-26

　　个人信息保护法第70条规定:“个人信息处理者违反本法规定处理个人信息,侵害众多个人的权益的,人民检察院、法律规定的消费者组织和由国家网信部门确定的组织可以依法向人民法院提起诉讼。”由此宣告作为对个人信息进行法律保护的民事私益救济、刑事制裁救济和行政公法救济之外的新型法律救济制度——个人信息保护公益诉讼制度首次在我国以立法的形式正式确立,标志着我国个人信息保护制度的体系化发展进入新的历史阶段。然而,现有个人信息保护公益诉讼制度规定较为原则,在实践中因缺乏具体的规则而未被有效激活。鉴于此,本文拟就个人信息保护公益诉讼实施机制中的若干重要问题进行探讨,以期为相应司法实践的开展提供助益。　　一、信息公益的识别标准

　　要以公益诉讼的方式对公民个人信息进行保护,首先应当明确公民个人信息在何种情形下能够形成“公益”?信息公益的识别可采用二阶结构模式进行判断。第一阶判断是个人信息的识别。就个人信息而言,个人信息具有明确的个人属性。民法典第1034条第2款规定:“个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。”受民法典该条规范调整的个人信息应当具有可识别性。尽管这样的界定标准仍可通过多重技术手段将不可识别的信息主体予以识别,从而导致可识别性标准在一定程度上被模糊化和破坏,但不可否认的是,民法典第1034条第2款确立的个人信息可识别性标准,是将公民与其个人的身份信息或行为信息进行绑定,因而公民对此享有可支配性;从外延的角度看,个人信息又与其他人格权客体,如姓名权、肖像权、隐私权等难以完全割离,而人格权是典型的具有个人属性的权利。

　　信息公益的第二阶判断标准应当是个人信息的公益化发展和演变,使之形成以个人信息为载体的公共利益。尽管公共利益在学理上仍然被认为是一个较为模糊和宽泛的法律概念,但公共利益,顾名思义,其核心应为公共性,即在特定的社会历史条件下,由广泛的私人利益抽象出来并能够代表全社会或者多数社会成员的共同利益或共同需要,经国家或社会力量共同维护而实现的公共价值。“只有维护公共秩序、公共安全、公共利益,才能有自己的利益。”个人信息利益与信息公共利益既相互联系,又相互影响。民法典将可识别性作为个人信息的重要特征,因而按照文义解释和逆否推理,在没有特别规定的情况下,不具备可识别性的信息并非民法典语境下的个人信息而受其保护。但由于“去识别化”技术在现实中已经得到了推广和运用,个人信息处理者完全有方法和能力在保留其经济价值的前提下将其收集的个人信息去识别化。对于被“去识别化”后的个人信息,应当认为其不但仍具有人格权和财产权益的内容,而且也涉及公共利益,对被“去识别化”后的个人信息达到一定的数量级或足以形成个人信息库时就进入个人信息公共利益的领域。值得关注的是,“去识别化”并非个人信息公益化的唯一判断标准。相对于“去识别化”这一盖然性判断标准而言,基于量化意义和集群效应所形成的信息库则是信息公益赖以识别和判断的实质性特征。

　　二、违法性构成要件之判断

　　与民事诉讼法第58条、消费者权益保护法第47条及环境保护法第58条不同的是,个人信息保护法第70条的结构在借鉴民事诉讼法的基础上增加了违法性构成要件,即规定公益诉讼的前提之一为存在“违反本法规定”的行为。

　　“公益”不可压倒“法定”。根据最高人民检察院《人民检察院公益诉讼办案规则》第28条的规定,“人民检察院经过评估,认为国家利益或者社会公共利益受到侵害,可能存在违法行为的,应当立案调查”。但就违法性的具体标准而言,该规则并没有规定“国家利益或者社会公共利益受到侵害的违法行为”具体指哪些。公共利益相较于个人私益范围更广,影响更深,无论是对公共利益的保障而言,抑或对公益损害的认定而言,都需要遵循合法性原则而限制自由裁量权的适用空间,而这样的具体性规范也应体现在个人信息保护法中,便于为检察机关对认为“国家利益或者社会公共利益受到侵害”的行为进行评估时提供统一化标准,实现有法可依,依法起诉。个人信息保护法在总结其他相关法律的基础上,对个人信息处理者违法处理个人信息的行为作出了较为全面的列举。从法律条文来看,“违反本法规定”的个人信息公益诉讼的适用情形主要包括以下方面:

　　第一,侵害信息主体的选择权。例如,个人信息处理者未经过信息主体的同意或超出合理的范围内处理相关个人信息;当处理者需要变更信息处理目的、方式或信息种类时,未取得信息主体的二次许可;通过自动化决策方式向信息主体推送信息、进行商业营销时,未提供不针对其特定特征的选项,或未按照规定向信息主体提供拒绝选项。

　　第二,对信息主体的意见不予尊重,在信息主体提出拒绝或相应要求后,违反法律规定采取消极或负面的行动。例如,基于信息主体同意处理其相关信息的,信息主体有权撤回,信息处理者在收到信息主体撤回同意时以此为由拒绝提供产品或者服务;在信息主体请求更正、补充其相关个人信息时,处理者未及时核实,也未及时对相关个人信息进行更正或补充;信息主体要求个人信息处理者对处理规则进行解释说明而处理者未予以解释说明。

　　第三,侵害信息主体的知情权。例如,个人信息处理者未按法律规定真实、准确、完整地向信息主体告知信息处理的目的、方式、种类、保存期限、变更等事项;对应当公开的处理规则,未对信息主体如实告知;未能对处理个人信息可能带来的重大影响及后果予以说明。

　　第四,拒绝履行或未及时履行安全保障义务,侵害信息主体的信息安全。例如,未对信息主体的个人信息采取封存、加密、保护等必要安保措施,导致相关信息被泄露、盗窃、篡改、删除;在处理信息主体敏感个人信息时,若对个人信息产生重大影响,事先未对此采取风险评估等预防措施;在提供重要互联网平台服务、信息主体数量巨大、业务类型复杂的服务时,未按照国家规定建立合规制度体系,未成立主要由第三方成员组成的监督机构。

　　第五,违反法律的程序性规定。例如,个人信息处理者在处理个人信息时,超出必要最短时间;对于指定负责人的联系方式未进行公开,也未将负责人的相关信息进行备案登记;未定期对个人信息处理情况进行合规审计。

　　将“违反本法规定”的行为进行类型化区分,既可为公益诉讼中损害赔偿权的适用标准及适用情形作基础性依据,亦有利于相关司法解释在明确公益诉讼适用对象范围的基础上可以针对不同类型的行为设计不同的认定标准及规则。当然,实践中不可避免地会出现某一行为同时具备两种甚至多种上述类型特征,个人信息保护法中的某一条文规定亦不可避免地会涉及两种甚至多种类型以上的侵权行为。因此,对于如何将案件事实中的行为认定与“违反本法规定”的行为认定有效结合,以及个人信息保护法是否已经包括所有“违反本法规定”的行为,仍是个人信息保护公益诉讼制度能否发挥保护公共利益作用的关键。

　　三、起诉主体及其顺位性之辨识

　　(一)关于行政机关的起诉主体资格问题

　　个人信息保护法曾在一审稿和二审稿中将行政机关(履行个人信息保护职责的部门)纳入起诉主体的名列,但在三审稿中,该类主体被替换为法律规定的消费者组织。行政机关是否可以作为公益诉讼的提起主体这一话题,在我国公益诉讼制度探索和确立的早期阶段,获得了部分学者的支持。但越来越多的学者意识到,让行政机关作为公益诉讼的起诉主体,可能会导致行政权和司法权两者之间的分工被混淆,并导致两者之间出现失衡。正如有学者认为,以“国家的请求权”作为原告诉权合法性基础进而主张行政机关享有公益诉讼原告资格,本质上混淆国家作为公法上主体与私法上主体的角色,只有当国家对公益享有支配、控制和占有权时,其才享有“相应的民事请求权”,但维护相关秩序是基于其对公民所承担的职责和义务;还有学者认为过分强调行政机关启动公益诉讼的作用,容易造成行政机关的角色错位,其可以通过提供相关法律咨询、提交书面意见、协助调查取证等方式支持其他具有原告资格的主体提起公益诉讼。或许是基于上述考虑,个人信息保护法在三审稿和正式文件中及时“补正”,坚持行政机关不宜作为个人信息保护公益诉讼起诉主体的观点,避免了行政权和司法权的职能重叠,妥善处理和解决行政机关在公益诉讼中面临的尴尬境遇。

　　(二)“法定国家机关+社会组织”的模式

　　鉴于个人力量在公益诉讼中存在能力悬殊、主观性较强等不足,我国并未规定个人可以作为原告提起公益诉讼,对于公益诉讼起诉人的范围界定采用“法定国家机关+社会组织”的模式。首先,作为我国公益诉讼起诉主体的主力军,检察机关依据其法定监督权而具有提起公益诉讼的诉讼资格,在公益诉讼实践的探索中发挥着不可替代的作用。其次,对于法律规定的消费者组织而言,依据消费者权益保护法及相关司法解释规定,指的是中国消费者协会以及在省、自治区、直辖市设立的消费者协会。由于公民个人信息与消费者权益具有密切相关性,消费者组织应被认为具有提起个人信息保护公益诉讼的原告资格。但应当注意的是,消费者组织仅能针对行为人在市场活动的范围内侵害个人信息的行为向法院提起个人信息保护公益诉讼,消费者组织的起诉范围受到一定的限制。再次,对于国家网信部门确定的组织提起诉讼,在起诉成本、取证便利性、举证针对性、质证专业性方面都具有明显的优势,但由于网信部落实名单尚需要时间,此类主体的确定目前仅处于理论框架上。有学者建议,将专门从事学术研究机构或致力于个人信息保护研究的专业机构列入其中,原因在于其具有较高的信息技术监测与保护能力,且其拥有众多专业技术人员。这样的观点值得商榷,原因在于前述专业研究机构或学术研究机构并不具备民事诉讼法意义上的诉讼资格,专业研究机构或学术研究机构的设立目的主要是对专业领域内的问题进行理论性或实验性研究,并将研究应用于实践,在多数情况下,研究机构并不以维权作为其设立目的,因而不具备诉的实质性要件,赋予其作为公益诉讼之原告主体资格,在理论依据上支撑不足,更何况由于缺乏相应的诉讼经验,研究机构的诉讼能力也较为有限,在诉讼过程中无法与被告进行有效抗衡。笔者同意有些学者的建议,如网信部在确定名单时可以参考环境保护法的相应规定,可对长期致力于个人信息保护公益活动、具有一定人员组织和规模、经合法登记的公益性组织进行重点考查,筛选出有能力处理个人信息投诉及具有较强诉讼能力的组织,将其列入名单。

　　(三)起诉主体的顺位性问题

　　在检察机关与社会组织之间的顺位性问题上,不同公益诉讼立法之间出现了差异:第一,2017年修改的民事诉讼法规定了检察机关的起诉前置条件为“在没有前款规定的机关和组织或者前款规定的机关和组织不提起诉讼”;第二,在英雄烈士保护公益诉讼和未成年人权益保护公益诉讼中,检察机关同样秉持补充保障原则,“在英雄烈士没有近亲属或近亲属不提起诉讼”和“在相关组织和个人未代为提起诉讼”的情况下才会提起相应诉讼;第三,在消费者权益保护公益诉讼以及环境保护公益诉讼的法律规定中,均未对检察机关和相关组织之间的起诉先后顺序作出严格规定;第四,在个人信息保护公益诉讼的法律规定中,检察机关则在语义表述中被置于所有起诉主体的首位。

　　为何不同的公益诉讼制度在起诉主体的顺位上呈现多样化规定?学界观点不一,但就个人信息保护法三次审稿的历程来看,将检察机关置于首位,可见司法实践对于检察机关提起公益诉讼的依赖性。诚然,检察机关在人力物力保障、处理公益诉讼的经验以及在案源发现的渠道上具有较大优势。例如,最高人民检察院发布的11件检察机关个人信息保护公益诉讼典型案例中的5例民事公益诉讼案件,就有4例为检察机关在追查刑事案件时发现的线索,进而提起相应的刑事附带民事公益诉讼。相对于其他适格起诉主体,网信部的名单落地仍需要时间,消费者组织又有其一定的局限性,故检察机关在个人信息保护公益诉讼上发挥引领带头作用实属必要。

　　有学者认为,个人信息保护法在个人信息保护公益诉讼的主体顺位方面将检察机关作为第一顺位,体现了公益诉讼对检察机关主导作用的强调和对既有实践的依赖。然而,细观个人信息保护法第70条,立法者仅用并列的方式对此进行模糊性处理,而未在语义上明确突破民事诉讼法之安排。即便个人信息保护法第70条存在前述学者观点之考量,但个人信息保护公益诉讼作为一项公益诉讼制度,理应受民事诉讼法对于公益诉讼基本原则之约束,该“突破”合理性无法妥当归结为“新法优于旧法、特别法优于一般法”的法冲突适用原则,而仍应在解释论上恪守检察谦抑原则,检察机关只有在发出通知或公告后未出现适格起诉主体或适格起诉主体拒绝提起公益诉讼的前提下,方能作为最终的保障力量提起个人信息保护公益诉讼。

　　作者:汤维建,中国人民大学法学院教授、民商事法律科学研究中心研究员;徐枭雄,中国人民大学法学院博士研究生。

　　(全文共五部分,现摘发前三部分,全文见《人民检察》2023年第5期)