唐守东 天津市人民检察院第一分院检察官。
内容摘要:
网络时代,个人信息的“裸奔”状态不仅侵犯个人私权,也对社会安全治理构成威胁。实践中个人信息内涵概念的模糊,法律规制的粗疏、龃龉以及个人信息权利保护的混乱致使其保护机制存在掣肘。而网络时代,个人信息亦面临从个体权益到社会公益的演变。为提高社会治理能力的法治化水平,针对个人信息网络侵权频发的现状,应构建个人信息公益诉讼制度,基于诉讼主体与权利主体互相分离的逻辑起点,围绕起诉主体范围、证明责任以及责任承担方式等多维面向构建个人信息公益诉讼的前端、中端和终端机制。
关键词:网络侵权 个人信息 法律保护 公益诉讼
随着我国刑法、网络安全法以及关涉个人信息保护的司法解释的出台和实施以及2020年5月28日通过的民法典第1034条规定了自然人的个人信息受法律保护。我国公民个人信息保护制度的建设卓有成效,一套覆盖刑法、民法、行政法等领域的法律制度初步建立,对公民个人信息形成了全方位多维度的保护。但是网络时代个人信息的保护面临新的挑战。例如个人在网络空间上的零散信息,通过技术手段可以被轻易拼凑成完整的、足以反映人格的数字身份。基于物联网的智能识别和计算能力,一旦处理不当,将引发海量的个人信息受到侵害,此时,受到威胁的便不仅仅是个体,更是城市治理、社会稳定、国家安全。毕竟个人信息不仅关涉个人利益,而且关涉他人和整个社会利益,个人信息具有公共性和社会性。有鉴于此,如何构建个人信息安全的救济体系?如何探索数据流通与个人信息保护的衡平?是当前亟待解决的社会治理难题。
一、现状梳理:个人信息保护的掣肘与困境
(一)掣肘——个人信息的法律多维面孔
明确何谓个人信息,这不仅是个人信息保护的核心命题,也是个人信息保护法律适用的前提和基础。当前理论界基本以“可识别性”为主流观点,强调信息与信息主体之间被直接或间接“认出来”的可能性。我国网络安全法第76条第5项中将个人信息定义为“以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息”。在我国司法实践中,大量的判例表明实务界亦普遍认可个人信息可识别性这一核心要素,如在北京市门头沟区人民法院(2017)京0109民初4626号民事判决书中,法院认为“自然人个人信息主要指,据以识别特定自然人身份的任何生物性、物理性的数据、文件”,在北京市海淀区人民法院(2017)京0108民初30593号民事判决书中,法院认为“与特定姓名对应的身份证号码属于个人信息范畴,为自然人身份识别的基础性信息”。然而,随着科学技术的飞速发展,信息的可识别变得越来越方便和“低技术含量”,一些看似不被识别的多重数据信息通过新型分析技术被有效地关联和聚合,从而模糊了个人信息与非个人信息的边界。而传统对信息的匿名处理早已不再是“安全岛”,通过数据分析可以轻而易举地恢复数据的身份属性,从而具备数字人格,网络时代的迅速发展对个人信息的“可识别性”造成了冲击。
有关个人信息的保护,无论是美国的信息隐私权还是德国的个人信息控制权两种主流保护模式,学界均未达成共识,司法实践中亦对此认识不一。在众多刑事判决书中,法院均采取“侵害了个人信息权”的描述,但对该项权利具体属性的阐释尚付阙如。相较于“个人信息”,当前司法实务中法官对“个人信息权”的使用较为审慎,体现出当前个人信息权属的模糊样态。实务中,以隐私权、名誉权纠纷为处理涉个人信息纠纷的最常见方式,但也有相当比例的案件将个人信息纳入一般人格权中进行保护。总体而言,对该项权益的保护范式存在着重叠与混淆,不仅在处理单个主体个人信息被侵害时存在诸多障碍,更加无法解决涉及海量主体的个人信息保护问题,而后者对于现代城市治理特别是大城市治理来说显得尤为重要,因此,有必要构建一种化解涉众利益的成熟机制。
(二)困境——网络时代个人信息保护面临的风险与挑战
第一,从分散化到集聚化。现代科技的发展已经使得看似分散的信息不再凌乱,看似匿名的信息难以“隐身”,而是在分散、匿名的背后暗藏着聚合信息。如当前倍受欢迎的换脸APP,以收集用户信息为注册前提,以收集用户头像照片为服务基础,在运营商与用户之间达成的协议中有“您同意或者确保实际权利人同意授予ZAO及其关联公司以及ZAO用户全球范围内完全免费、不可撤销、永久、可转授权和可再许可的权利”的条款,看似分散于各地用户的个人信息被存储于该平台上,而上述软件只是海量数据信息存储平台沧海之一粟。
第二,从个体权益到社会公益。诸如上述先进科技的不断开发和使用,给用户个体带来极大便捷的同时也让我们不由得“脊背发凉”,因为在物联网时代,尖端技术对于数据信息的处理分析能力已经超乎想象。侵害隐私往往是对个体的侵害,而个人信息则常常是大规模侵权的对象,当海量的个人信息受到侵害时会导致巨大的社会危机甚至是给城市治理、国家安全造成威胁。因此,个人信息的保护已经从个体权益上升为社会公益的保护。
第三,从扁平救济到立体防护。尽管目前对公民个人信息受侵害有司法救济途径,但对于大规模个人信息或关涉海量主体的个人信息欠缺体系性的防护。物联网环境下的个人信息保护涉及商业利益、社会治理以及国家安全层面的诸多问题,在当前立法存在空缺、行业缺乏监管的背景下,能否构建个人信息立体防护机制是对社会治理提出的严峻考验。
二、理论探索:公益诉讼对个人信息保护的补强
(一)个人信息公益保护的司法初探
第一,我国刑法以及两高《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》对侵犯公民个人信息罪的定罪量刑标准和相关法律适用问题作了全面、系统的规定。但是“侵犯公民个人信息罪”中的“公民个人信息”,在司法实践中被非常狭窄地限制为公民的“身份认证信息”和“可能影响人身、财产安全的信息”。而且刑罚严苛的适用条件与谦抑性限制了个人信息的刑事保护力度。
第二,当前在民事审判领域尽管未有个人信息的专属案由,但并不代表公众无个人信息民事救济的需求,实践中多以隐私权、名誉权、一般人格权以及网络侵权责任纠纷“曲线救国”。但上述司法保护至多只能解决单一主体个人信息受侵害的事实,无法实现对大规模侵权的救济。江苏省消费者权益保护委员会就针对手机软件侵犯消费者个人信息安全的情况展开了调查,对北京百度网讯科技有限公司提起公益诉讼,南京市中级人民法院已于2018年1月2日正式立案。虽然该案最终以原告撤诉结案,未能实现我国有关公民个人信息公益诉讼的首例判决,但该案本身对个人信息的民法保护已经具有巨大的指导意义与深远的影响力。
第三,虽然网络安全法对个人信息作了较为全面的规定,但是行政管理实务的繁杂性及行政执法的局限性限制了个人信息行政保护。一方面,网络行政管理机关事务繁多,需要负责网络安全的各个方面,在资源有限的情况下,行政机关往往侧重于国家和社会重大安全网络事件的监管,而相对次要的个人信息保护则容易疏于监管。另一方面,大数据时代的个人信息的侵权范围不易确定,使得行政机关在执法中不易发现或不易判断公民个人信息是否被侵犯,因此行政机关在对公民个人信息保护上往往克制使用行政处罚权甚至存在监管缺位的情况。
(二)个人信息公益保护的法理意蕴
1.个人信息的私益属性
个人信息本属于公民的个体利益,带有明显的私益属性。无论是英美法系将个人信息纳入隐私权项下进行保护,还是大陆法系以一般人格权进行一体保护,都体现了私法领域对该项权益的保护。在一定程度上来讲,公民对个人信息有着绝对的自治,可以“自主控制”,虽然其私域属性相较隐私有所减弱,但仍然带有权利主体意志表达的特点。通过传统的民法保护方式,依赖个案解决,也许能够保障特定公民的个人信息权益,但如上所言,个人信息异于隐私之处在于其常常是大规模侵权的对象,面对大量的信息存储平台及海量的数据处理,我们人人可能都是潜在的受害者。从每个主体对个人信息的主动利用包括各类软件、平台、小程序个人信息(姓名、性别、身份证号、住址、银行账号、健康信息……)的提供,到平台运营商、软件维护、数据分析处理中心等不当存储、利用、泄露等使得公民个人信息的“被动受害”,大规模数据泄露所导致的信息危机、算法歧视等极不利于城市的有效治理甚至会威胁到国家安全,因此,个案已然不能满足社会的现实需要。
2.公益诉讼的公益性
公益诉讼是指在公共利益受到非法侵害或出现减损时,为保护公共利益或恢复、补偿受到减损的公共利益,或为了保护特定公共秩序,由一定主体根据法律规定向法院起诉,由法院进行审理并作出判决的特别程序制度。我国公益诉讼制度从无到有符合历史发展的必然趋势,其对于党依法治国方略下的国家治理模式的创新,对于包括消费者权益保护在内的公共利益治理方式的探究,作为司法机关对于公共利益持续保护观念的确立都极具有现代性价值。既然公益诉讼事关公共利益,而“公共利益论假设存在一种对与社会全体成员而言普遍存在的利益”,那么公民个人信息的公益保护势必要回答下面的问题:个人信息是否能够通过公益诉讼来进行保护?
3.个人信息从私益到公益的延伸与交融
在大数据时代,公民个人信息的私人性开始减弱,而社会性与公共性逐渐增加,这意味着个人信息从“私域”中“溢出”,由此引发传统纠纷解决机制与现实状态的不匹配与不和谐。人与人之间的交往更为频繁,信息的传递更为快捷,尽管人民越来越重视个人信息的保护,但信息交互的公益性与社会性已成为不可逆的历史趋势,基于此,公民的个人信息权益也展现出社会化的表象,个人信息早已开始从私益延伸至公益。众所周知,公益诉讼区别传统民事诉讼,在于原告诉讼主体资格来源于法律技术之拟制,其在实体上并非公共利益的“私有者”,原告和实体权利本身存在分离。因此针对公民个人信息权益提起公益诉讼的原告,并不要求是实际权益的“私有者”,因此从权利处分上并无障碍,但鉴于公益处分权的独有特性,在诉讼构造中还需要更精细化的探讨。
诚如上述,公民个人信息当然是公民的私益,但在某些情形下关涉到公共利益,公益与私益之间的界限不再那么清晰而是出现交融。保护个人信息权益不再仅仅是满足个体与组织的个性化需求,而是满足社会的公共需求,成为国家治理、城市治理的公共目标价值诉求。物联网时代之下,个人信息的公共利益是普遍性私益的集合,通过公益诉讼诉求公益就是在维护和保障公民私益。
三、破解之路:个人信息公益诉讼制度的构建
(一)逻辑原点——基于诉讼主体与权利主体的分离
公益诉讼之诉的利益是保护公共利益或者恢复、补偿受到减损的公共利益。众所周知,公益诉讼区别于传统民事诉讼之大不同,在于原告诉讼主体资格来源于法律技术之拟制,其在实体上并非公共利益的私有者,此即“诉讼主体与权利主体的分离”。基于两个主体的分离,在个人信息公益诉讼的制度安排上至少存在两方面特殊考量,此即构建个人信息公益诉讼制度的逻辑原点。
一是公益诉讼的制度框架在于赋予特殊主体对保护公共利益的诉权,即赋予“公益处分权”。然而基于主体的分离,为了避免诉讼主体对公共利益的恣意处分,必须通过程序设计将公益处分权予以合理限缩。可以说,如何在规则层面上限缩公益处分权实质上已关切到公益诉讼制度的“心脏”,其又具体涉及撤诉调解制度的设置、公众介入权的保障等。二是基于上述主体的分离,诉讼主体缺乏对实体权利的享有,亦非诉讼救济的直接对象,因而其并不享有真正意义上的“胜诉权”。这一问题直接导致公益诉讼案件的“执行困局”,即如何在诉讼主体参诉并取得胜诉判决的情况下,由权利主体真正取得“胜诉权”。
(二)以个人信息权利属性为前提确立“启动键”
1.启动主体的范围。公益诉讼的启动主体即诉讼原告。依照我国民事诉讼法第55条的规定,我国公益诉讼的原告范围为“法律规定的机关和有关组织”。部分学者认为,该条文规定过于原则,不利于司法实践掌握。然笔者观点不同。具言之,公益诉讼的法益在于公共利益,而公共利益的覆盖范围几乎涉及社会所有领域且尚有交叉。如学校外包的食堂餐食不符合卫生标准的问题,可能涉及未成年人保护、食品安全等多方面公共利益。法律无法作穷尽式表达,亦不应作罗列式归纳。具体到个人信息公益诉讼,按照法律规定应有两类原告:一是检察院作为原告,提起检察民事公益诉讼;二是有关组织如消协、未成年人保护协会、妇女保护协会等。基于检察院以法律监督为主要职能,对纯粹性公益,如环境污染等理应重点监督,而对于集合型公益,如消费维权、个人信息遭泄露等领域,检察院仍应保持谦抑的态度。故笔者认为,应以有关组织起诉为主,以检察院提起诉讼为辅。而对“有关组织”的界定,目前司法实践掌握过于严格,致使大量公益诉讼被置于司法之外。私以为我国目前公益诉讼尚处于探索阶段,对“有关组织”的严格把握不利于该制度的落地,应以“为公共利益目的”为原则适度把握。
笔者认为,个人信息保护的公益诉讼应由检察机关提起。检察机关作为宪法规定的法律监督机关,在刑事、民事以及行政诉讼上都可以行使法律监督职责。而且实践中,检察机关在公益诉讼提起上具有丰富的经验,尤其是上海、江苏等地检察机关已探索公益诉讼多维度保护APP所涉个人信息,这也为个人信息保护的检察公益诉讼提供了实践基础。在个人信息保护公益诉讼领域检察机关的职能发挥应以行政公益诉讼为主,以民事公益诉讼为辅。在制度设计上应以监督相关行政机关履行职责的行政公益诉讼为主要手段,以支持符合条件的组织提起民事公益诉讼为辅助手段。
2.个人信息公益诉讼的案由确立。依照前文分析,基于个人信息权利属性的模糊,司法实践对于个人信息侵权之诉(私益诉讼)的案由确立存在明显不统一,主要有隐私权纠纷、名誉权、一般人格权纠纷和网络侵权责任纠纷。这直接导致个人信息公益诉讼案由确立的难题,而这一难题的破解应从个人信息的权利属性和公益诉讼的制度价值两方面出发考量。从个人信息的权利属性而言,对于敏感性的个人信息,如性取向其本身就是一种隐私权,置于隐私权纠纷中解决并无不当,对于非敏感性的一般个人信息,基于其商业价值而被不当利用时,依照现有法律框架,则应被置于名誉权或一般人格权项下予以保护。从公益诉讼的制度价值考量,无论何种个人信息,采取公益诉讼制度保护的前提是基于侵犯公共利益。隐私权和名誉权等仍属私益诉讼范畴,不特定多数人的隐私权或名誉权已远超私益范畴,而成为一种公共利益,甚至国家利益。因此个人信息公益诉讼的案由无法简单在隐私权或名誉权纠纷中作出选择,基于个人信息公益诉讼的可能性基于存在于物联网环境下的大数据平台,笔者以为应使用“网络侵权责任纠纷”这一新型案由。
(三)以双向规制为原则确立“进行键”
1.调撤规则的设置。纵观目前我国对环境民事公益诉讼及检察院提起公益诉讼的相关规范性文件,对调解和撤诉的制度制约占了很大篇幅。究其原因仍在于诉讼主体与权利主体的分离。因此个人信息公益诉讼的制度设置也应聚焦于调解撤诉程序,而其程序核心应体现对于公众介入权的保护。对于个人信息公益诉讼制度的撤诉程序,严格审查撤诉目的,不应采取一刀切,而应以公益维持为原则个案掌握:(1)原告的撤诉权限制不应仅限于辩论终结后,而应贯穿于整个诉讼过程。(2)根据原告诉讼请求的实现程度,决定其是否可以撤诉。如果原告的诉求通过调解或和解确已实现或者通过被告的行为已经恢复或消除危险,则不应该对撤诉予以限制。当然,从笔者角度看,这里不仅是滥用和诈诉的问题,关键在于对于公共利益不构成威胁,符合公益维持的原则。(3)原告撤回部分诉讼请求无碍公益维持原则的,也应予以准许。
民事公益诉讼的本质仍然是民事诉讼,而调解是解决民事纠纷的重要方式。通过调解亦能达到保护公益之目的,而且在环境民事公益诉讼中原告的诉权具有完整性,这其中就包括可以调解的权利。对于调解程序,为防止原告的恣意性,应健全公众介入权:(1)扩大告知范围。将个人信息受侵主体和潜在受侵主体均作为告知的对象,而不仅限于相关行政主管部门。(2)增加公告的范围。除调解协议之外,可将修复方案的选择,恢复原状或消除危险的时间及手段等向公众公告,以求得公众意见,特别是专家的权威意见。(3)增加“公告”后的异议程序。例如可以限制一定数量的公众(如三人以上)以联名方式提出异议,要求以书面形式并附理由,规定不符合条件时的法律后果。目前可以参照最高人民法院民事诉讼法司法解释第81条关于无独立请求权人在第一、二审参与诉讼的规定,将该异议人作为无独第三人纳入诉讼,并将其异议予以审查以及接受当事人的质询和辩论。
2.举证认证的特殊规则。(1)因果关系的举证责任分配。按照民事诉讼法司法解释第284条的规定,公益诉讼的原告应当在起诉时有社会公共利益受到损害的初步证据,此规定系为预防公益诉讼的滥诉,具有程序价值。笔者以为对于因果关系的证据,原告方不存在专业优势也不具备客观条件,由原告方对因果关系承担举证责任显然过于严苛。因此,对于个人信息的损害结果与被告使用个人信息的行为之间是否存在因果关系,应由被告承担举证不能的后果。(2)对侵权行为的公证。网络侵权责任纠纷的案件中,对侵权行为的公证基本成为保留证据的惯用方法。然考虑到个人信息公益诉讼中涉及不特定多数人的个人信息被侵权,笔者以为对这些侵权行为全部予以公证既不现实也无必要。公益诉讼的法益主要是社会公共利益,因而个人信息侵权纳入公益诉讼中,主要系针对个人信息的社会安全。因此笔者以为原告只需证明被告保有大量个人信息,且部分个人信息已经遭到泄露或非法利用等,而对于侵权行为本身无须采用公证能方式进行取证。
3.专家辅助人制度的引入。个人信息公益诉讼往往涉及网络信息安全的相关知识,例如在北京市第一中级人民法院(2017)京01民终509号案件中,中国东方航空股份有限公司作为庞某个人信息的保有者,其系统平台是否存在安全隐患或操作漏洞致使庞某个人信息泄露是关键事实,但作为个人往往很难具备相关专业知识,而法官对此亦难以作出判断。笔者以为在个人信息公益诉讼中应当引入专家辅助人制度。按照民事诉讼法司法解释第122条的规定,专家辅助人制度已经被我国民事诉讼程序采用。在个人信息公益诉讼中,专家辅助人程序的启动应先由当事人申请,后经过人民法院的准许,二者缺一不可。在庭审过程中,专家辅助人有发表意见、协助询问、参与质证和进行辩论的权利。具体而言,专家辅助人可以围绕案件中涉及网络信息安全专业的问题提出意见。笔者以为,如有必要,法院可准许专家辅助人进入相关平台系统进行了解和查勘,更准确掌握系统平台的安全隐患或操作漏洞,进而使得专家意见更具可信性。
(四)以诉讼效能最大释放为目的确立“终止键”
1.惩罚性赔偿规则的确立。个人信息公益诉讼之目的在于规范网络空间的信息利用。因此诉讼的最终目的不能仅止于停止现实侵权,而应达到震慑违法行为人及其他潜在违法者的效果。然而目前的个人信息侵权诉讼中,一方面个人信息被侵犯往往难以确定具体损失,使得“赔偿损失”的诉求缺乏事实依据,不宜被法院支持,另一方面在即时能够确定损失的情况下,个人信息的商业价值被挖掘后不断释放,往往呈现叠加式的价值增值,而根据现有损害赔偿计算规则,法院基本上只计算直接损失,因而在成本与收益面前,网络侵权责任纠纷的案件往往无法达到震慑的目的。笔者以为应当构建侵害个人信息权利的惩罚性赔偿制度,使违法成本与收益对等,才能真正震慑网络运营者,使其理性作出行为。
2.专项基金的设立。如何在个人信息公益诉讼获得胜诉判决的情况下,保证权利主体真正享有“胜诉权”,关键在于如何解决执行到位的问题。参考公益诉讼制度较为发达的国家,不少国家采取设立专项赔偿基金的制度来解决受害群众广泛,救济成本高,难以实现公平受偿的问题。笔者以为专项赔偿基金的制度可以被应用于个人信息公益诉讼。专项基金的成立与运营应交由负有职责的相关行政部门,如工信部等,其使用范围包括但不局限于:一是在一定范围内对相对确定的受害人予以赔偿,实现公益救济向私益赔偿的转化;二是通过行政管理的方式监管督促被执行人使用专项基金修复维护系统漏洞,完善网络平台的安全治理。
除了在启动公益诉讼时的主体作用,检察机关的监督职能在对专项基金使用的监督方面也应发挥重要作用。如前所述,为了保证专项基金的使用满足社会公共利益,专项基金的管理者和运营者应当是政府主管部门。检察机关应当通过对行政权的有效监督,发挥行政规制的优势,从而实现对公众个人信息安全的源头治理,并促进整体行业的治理。具体而言,检察机关其可通过发送检查建议函的方式督促相关行政机关管理运营专项基金,如行政机关仍不予改正,检察机关可通过提起行政公益诉讼的当时加强监督。
综上,网络环境下存在法律、社会规范、市场、代码等多种规制手段,仅凭借任何一种手段都无法完美规制个人信息的保护,因而以个人信息公益诉讼制度为牵引,以司法、行政和行业自律等方面为配套,多方力量形成合力,共同促成个人信息保护的社会治理方是解题关键。此外,大数据时代个人信息保护的重点在于平衡信息保护及个人信息开发利用之间的关系,而如何衡平这对紧张关系则考验社会治理的智慧。国家治理能力的核心是法律制度供给与实施的能力,本文通过探讨社会治理新视角下的个人信息保护的公益诉讼模式,以期对社会治理的法治化路径以及个人信息保护的理论与实践有所裨益。
|
