中国检察官 | 桂阳 缪慧琴 江朋:涉信息网络侵权民事公益诉讼的办案思考
涉信息网络侵权民事公益诉讼的办案思考
作 者
桂阳
浙江省杭州市人民检察院
第八检察部二级检察官助理
缪慧琴
浙江省杭州市钱塘区人民检察院
第五检察部主任、一级检察官
江朋
浙江省杭州市钱塘区人民检察院
第五检察部四级检察官助理
本文发表于《中国检察官》2024年7月(下),第14期
摘 要:对网购个人信息用于推销有毒、有害食品等利用信息网络侵害人身权益案件,检察机关提起刑事附带民事公益诉讼往往存在个人信息损害赔偿金额认定难、个人信息侵权和食品安全侵权行为损害赔偿责任评价难的情况。检察机关认为,应坚持法益全面保护原则,两行为应分别评价,相应的损害赔偿数额应当累加。在侵犯公民个人信息获利额和损失额均难以计算的情况,检察机关运用法定赔偿制度,根据侵权时间、规模、对象等案情要素在法定范围内确定赔偿数额。
关键词:个人信息 销售有毒、有害食品 法定赔偿 法益保护
一
基本案情及办理过程
2017年至2021年,余某为销售保健品,以4000多元价格网购和通过原任职的A公司电脑窃取的方式非法获取包括姓名、电话号码、地址、年龄、健康信息等老年人相关个人信息共计115万余条。2018年10月,余某注册成立有保健品销售资质的B公司,其任法定代表人并实际管理,从事保健品等零售业务。其后,余某招募吾某、梁某、张某为员工,将非法获取的老年人个人信息分发给三人,用于电话推销“某降糖胶囊”“某活肾素”“某锁精丸”等保健产品。2021年2月至12月,该B公司全国销售金额达390余万元,其中销售添加西地那非的有毒、有害保健食品5万余元。
公安机关移送审查起诉后,检察机关启动“刑事+公益”的一体化办案机制,对刑事犯罪事实和损害社会公共利益的事实同步引导侦查。经审查,涉案有毒、有害保健品销售流向遍布全国,涉及上千名老年人。检察机关认为,在对余某等人追究刑事责任之外,还应追究其民事责任。检察机关以涉嫌侵犯公民个人信息罪,销售有毒、有害食品罪,妨害药品管理罪对涉案公司、余某等4人提起公诉的同时,还就销售有毒、有害食品和侵犯个人信息的侵权行为提起刑事附带民事诉讼,诉请法院判决相关侵权人删除非法获取的公民个人信息,在国家级媒体上赔礼道歉,承担侵犯公民个人信息法定公益赔偿金30万元,销售有毒、有害食品惩罚性赔偿金50余万元。相关诉请全部获法院判决支持。
二
公益损害赔偿责任的认定难点
(一)侵权主体认定难
在侵犯公民个人信息刑事附带民事公益诉讼案件中,通常情况下侵权主体是侵权行为人个人。但当侵权行为人是公司法定代表人或实际控制人,且侵犯公民个人信息行为与公司业务存在关联时,存在是单位和个人共同侵权还是个人侵权的争议,侵权主体认定难。本案办理过程中,检察官联席会议中存在两种观点。第一种观点认为,余某窃取A公司相关个人信息的行为发生在B公司成立前,该部分个人信息的侵权主体应当认定为余某个人。在B公司成立后,余某作为有限责任公司的法定代表人和唯一股东,为拓展公司业务,通过互联网购买并使用相关个人信息的行为应当认定为公司行为。同时,在B公司运行期间,余某将窃取A公司的个人信息用于B公司业务拓展,同理也应当定性为B公司行为。故侵犯公民个人信息行为的侵权主体应当认定为余某和B公司。第二种观点认为,余某窃取A公司相关个人信息的行为发生在B公司成立前,该部分个人信息的侵权主体应当认定为余某个人。在B公司成立后,余某在互联网上以个人名义而非B公司名义购买个人信息,余某和QQ好友“清风明月”的聊天记录显示,对方要求查看公司营业执照,被余某拒绝。此外,购买个人信息部分支付的资金由余某个人通过QQ转账而非公司账户转账,故侵犯公民个人信息的行为主体应当认定为余某个人。
(二)公益损害赔偿金额计算难
公益损害赔偿金额的计算一直是公民个人信息民事公益诉讼案件的办理难点。根据《民法典》第1182条关于人身损害赔偿的规定,损害赔偿责任一般按照损失额或者获利额确定。个人信息属于人身权,侵害后果主要表现为对个人安宁生活的侵扰,其损失很难以数额进行量化。而实践中利用个人信息的获利亦存在计算难的情况,特别是使用个人信息获得的间接利益难以计算。除了直接买卖个人信息的获利较为直观之外,在非法使用个人信息获得商业利益的情形下,信息价值和最终获利之间的因果关系不具有排他性,往往出现信息购买数额与最终获利数额差异巨大的情况。本案中,余某等人利用非法获得的个人信息销售案涉保健品期间,B公司总销售金额达390余万元,即便扣除成本,最终获利金额与个人信息购买价格也相差过大。同时余某供述除了电话营销还存在现场推销、回头客介绍等销售形式,非法获得的个人信息与最终销售的完成并不存在唯一的因果关系。除此之外,本案余某等侵权人非法使用公民个人信息的同时,又销售有毒、有害保健食品,存在侵犯公民个人信息和销售有毒、有害食品赔偿金额是否重复计算的争议。
三
办案思考与启示
(一) 准确区分公民个人信息侵权中的单位侵权和个人侵权
公民个人信息单位侵权和个人侵权的区分核心在于当事人实施的侵权行为是单位行为还是个人行为。公民个人信息侵权中单位行为和个人行为的区分与刑法单位犯罪和个人犯罪的区分具有内在的逻辑一致性,可以参照法律关于单位犯罪的规定进行体系解释。根据《刑法》第30条、第31条的规定,公司、企业等主体实施的危害行为,法律规定有单位犯罪的,实行单位和相关责任人员双罚制度。根据《最高人民法院关于审理单位犯罪案件具体应用法律有关问题的解释》(以下简称《解释》)第2条、第3条的规定,个人为违法犯罪而设立单位实施相关活动的,或者单位成立后以违法犯罪为主要活动的,不认定为单位犯罪;盗用单位名义实施犯罪,违法所得由实施犯罪的个人私分的,依照刑法有关自然人犯罪的规定定罪处罚。由此可见,单位行为区分个人行为需考量三个要素:一是行为的名义。通俗的来讲,行为以单位的名义即是单位行为,行为以个人的名义即是个人行为。行为是否以单位的名义不仅要看行为人实施行为时的主观方面,还要看行为人的行为是否体现单位意志。单位意志的形成需要通过单位决策体系中自然人的意志来体现,通常是一种集体意志。二是行为维护的利益。单位犯罪中单位行为的直接目的是维护单位整体利益,而个人行为的目的是为了个人利益。[1]三是单位是否以违法犯罪作为主要活动。《解释》第3条明确规定个人为违法犯罪成立的单位或者单位成立后以违法犯罪为主要活动的不认定为单位行为。
本案中,非法收集公民个人信息的行为均由余某一人完成,其意图通过非法获得的老年人电话等个人信息实现保健品的精准推销而牟取私利。余某在A公司任职时,未经公司允许私自拷贝公司电脑有关客户信息的数据,该部分个人信息侵权行为并非为了单位的利益。成立B公司后,余某在网购个人信息时并非以公司名义而是以个人名义。余某在向贩卖个人信息的违法中介购买个人信息时,对方要求看其公司营业执照,被其拒绝。同时,购买公民个人信息的资金亦是其使用个人账户通过个人QQ进行转账。关于B公司的客户来源问题,虽然余某本人提出除了非法购买个人信息还有实地宣传、发传单等合法途径获取客户信息,但是吾某、张某等公司多名员工的证言显示并未发现公司通过以上合法形式获取客户信息。根据证据优势原则,B公司通过非法手段获取信息占全部客户信息的比例更大,其销售保健品的先行为违法。综合以上三个要素,本案侵犯公民个人信息的行为定性为个人侵权更为适宜。
(二)积极适用公民个人信息侵权中的法定赔偿制度
根据《个人信息保护法》第69条的规定,公民个人信息侵权损害赔偿金额的计算标准是被侵权人的损失或者侵权人的获利。但在实践中,依据损失额或者获利额确定赔偿标准会存在两种难以处理的情况。第一种是,侵犯个人信息数量非常大,但是可计算的损失或者获利数额较小,按照上述数额计算,存在违背全部赔偿和公平原则的情形。第二种是,损失额和获利额均难以计算,损害赔偿金额难以确定的情形。《个人信息保护法》第69条第2款规定,“个人因此受到的损失和个人信息处理者因此获得的利益难以确定的,根据实际情况确定赔偿数额”,但是该“实际情况”规定过于宽泛,实践中难以把握。
对于第一种情形,有观点提出个人信息公益损害赔偿可以设立惩罚性赔偿机制,建议个人信息侵权惩罚性赔偿的倍数在1倍到3倍之间。个人信息侵权惩罚性赔偿机制具体适用根据侵权的后果大小和侵权规模等因子进行量化。[2]个人信息侵权损害后果比较小,影响范围不大的,则不适用惩罚性赔偿机制。如果非法获取的个人信息被用于电信诈骗等违法犯罪行为,造成严重后果的,则根据情节轻重适用惩罚性赔偿的不同倍数。对于第二种情形,理论上可以按照《个人信息保护法》“实际情况”的兜底条款进行自由裁量,但司法实践中往往还是以部分认定的损失额和获利额作为自由裁量的基础,这会某种程度上导致“同案不同判”的现象。侵权人非法获取同等数量、性质个人信息的价格不一样,以交易价格计算,那么上下家之间、不同上下家之间对于同等侵权行为所承担的赔偿金额的差异会比较大,不利于法律的统一正确适用。
笔者认为,无论是第一种情形还是第二种情形,公民个人信息侵权均可设置法定赔偿制度。公民个人信息侵权领域的法定赔偿制度也有着明确的法律依据。最高法《关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》(以下简称《规定》)第12条规定,被侵权人因为人身权益受到侵犯而造成的财产损失或者侵权人因此获得的利益数额难以计算的,法院可以根据具体案情在50万元以下的范围内进行认定。该条款可视作是对《个人信息保护法》第69条“实际情况”的具象化规定,增强了法律适用的可操作性。同时,0到50万元的法定赔偿额度足以填补大多数个人信息侵权行为造成的损害。实践中,侵权者非法获取公民个人信息除了用于电信诈骗外,多用于商业推销,包括推销保健品、培训课程、贷款产品等。从损失归因角度,即便是电信诈骗领域,受害者遭受的巨额损失也不仅仅是个人信息被非法获取和使用所能造成的,一般是多个侵权人的多种侵权行为综合导致的结果。电信诈骗“黑灰产业链”较长且分工较细,非法获取公民个人信息部分只是其中一个环节,非法获利额在被骗数额中占比不高,仅仅因为侵权人实施的侵犯个人信息行为就让其承担整个被诈骗损失金额不符合过罚相当原则。非法获取公民个人信息用于商业推销的情形,除非是产品责任等人身损害和财产损害较为明确的情况,一般难以量化直接损失,侵权者因此的获利也不完全归因于非法获取的公民个人信息,在50万元以下范围确定赔偿数额符合过罚相当原则。
本案中,余某为推销保健品,通过信息网络手段非法获取老年人相关个人信息达115万余条。案涉期间,余某担任法人代表的B公司保健品可统计的销售额达390余万元。检察机关经调查核实,其中销售违法添加西地那非成分的有毒、有害保健食品有5万余元,尚未有客户因食用该有毒、有害保健食品患食源性疾病产生人身、财产损失的情况。本案无法以损失金额来计算公民个人信息侵权的公益损害赔偿,也不适宜以390余万元的全部销售金额或者5万余元的有毒、有害保健品销售额来认定获利额。案涉B公司是一个有保健品销售资质的公司,且该390万销售额中现有证据仅能认定5万余元的有毒、有害食品销售额。同时,B公司客户的证言显示,确实有老客户带新客户等情况出现,不能排除余某通过实地宣传等合法手段招揽客户的情况。检察机关认为,将该390万销售额全部认定为非法获取并使用公民个人信息产生的后果证据不足。根据《规定》第12条的精神,检察机关结合非法获取公民个人信息的手段、对象、数量以及查明的销售额等要素,确定了30万元的公益损害赔偿金诉讼请求。该诉讼请求获得了法院生效判决的采纳。
(三)厘清同时侵犯公民个人信息和食品安全的责任认定
同时侵犯公民个人信息和食品安全的侵权责任认定争议焦点在于两个侵权行为是否需要分别评价以及相应的损害赔偿金额是否需要累加。笔者认为,同时侵犯公民个人信息和食品安全的行为应当分别评价,相应的损害赔偿金额应当累加。理由如下:
第一,侵犯公民个人信息和侵犯食品安全的行为之间不属于典型的责任聚合,应当分别评价。责任聚合是司法实践的常见现象,普遍体现在刑民交叉、行刑交叉以及民行交叉的案件中。在责任聚合中,因同一法律事实产生多重结果,行为主体应承担多个部门法规定的责任。如果是多个法律事实或法律行为侵害了不同法律部门所保护的对象,此时不成立责任聚合,而应当分别承担责任。[3]本案中,网购老年人个人信息用于推销有毒、有害保健品的情形包含两个行为,一个是通过信息网络手段非法获取公民个人信息的行为,另一个是销售有毒、有害食品的行为,这两个行为是不同的行为并产生了不同的法律事实,因而不适用责任聚合。
第二,网购老年人个人信息用于销售有毒、有害食品属于“数行为侵犯数法益”,赔偿数额应当累加。赔偿数额是否累加的关键在于是否“数行为”侵犯了“数法益”。在本案非法获取公民个人信息用于销售有毒、有害食品的情形中,公民个人信息侵权行为侵犯的是公民的个人隐私权,而销售有毒、有害保健食品行为侵犯的是人体健康和食品监管秩序。两行为侵犯的法益不同,其侵权责任应当分别评价,损害赔偿数额应当累计计算。
第三,个人信息和食品安全所保护的法益具有等价值性,结果行为吸收手段行为不能全面修复法益。一个违法行为吸收另一个违法行为的情形主要体现在刑法理论中吸收犯和数罪并罚中的吸收原则等制度中。通说认为,吸收犯是指一个犯罪行为因为是另一个犯罪行为的必经阶段、组成部分或当然结果,而被另一个犯罪行为吸收,仅成立吸收行为一罪的情形。[4]数罪并罚中的吸收原则一般是指重罪吸收轻罪(执行最重的罪),轻罪因被重罪吸收而不执行。[5]由于隐私权和人身健康权都是公民的重大人身权益,个人信息和食品安全所保护的法益具有等价值性,且销售有毒、有害食品并非是侵犯公民个人信息行为的当然结果,侵犯公民个人信息行为也不是销售有毒、有害食品行为的必经阶段,结果行为吸收手段行为不利于法益的全面保护。
总之,在利用信息网络侵犯公民人身权益领域的公益诉讼案件中,检察机关应充分利用法定赔偿制度,探索个人信息公益损害赔偿数额的认定方法,同时坚持法益全面保护原则,对侵犯“数法益”的数行为进行分别评价,更好的守护人民群众的合法权益。
参考文献(向上滑动阅览)
[1]参见李桂红:《单位犯罪中单位行为与单位意志的认定》,载《当代法学》2006年第4期。
[2]参见卢勇、张挺、龙海莎:《个人信息公益损害赔偿金的量化与确定》,载《人民检察》2023年第12期。
[3]参见肖建国、宋春龙:《责任聚合下民刑交叉案件的诉讼程序———对“先刑后民”的反思》,载《法学杂志》2017年第3期。
[4]参见曲新久:《论吸收犯》,载《中国法学》1992年第2期。
[5]参见张明楷:《刑法学》,法律出版社2021年版,第774页。
来源:杭州检察