我国个人信息民事公益诉讼受案范围的界定
我国个人信息民事公益诉讼
受案范围的界定
◎ 李 楠
个人信息民事公益诉讼作为富有实践价值的司法制度,是对信息主体维权难度大、信息理性不足的补强,其价值集中通过受案范围的厘清来承载。然而,“公共利益”作为典型的不确定性概念,囿于语言的局限性和法律调整范围的有限性,立法对民事公益诉讼受案范围的规定较为粗泛、模糊,无法为司法实践提供明确指引,目前我国个人信息民事公益诉讼的实践效果难谓显著。本文尝试对“个人信息公益”的范畴予以廓清,并以此为基础探讨个人信息民事公益诉讼受案范围的界定脉络。
一、实证考察:
个人信息民事公益诉讼受案范围的现状
(一)个人信息民事公益诉讼受案范围的立法架构
《中华人民共和国民事诉讼法》第58条对民事公益诉讼案件类型采用了“列举+概括”式规定。党的十九届四中全会高度重视公益诉讼工作,明确提出“拓展公益诉讼案件范围”的要求。2020年9月,最高人民检察院出台《关于积极稳妥拓展公益诉讼案件范围的指导意见》,明确将个人信息保护纳入公益诉讼检察工作新领域,展现出个人信息保护已上升至国家战略高度。而从实践角度而言,这仅仅解决了个人信息保护领域“能否公益诉讼”的问题,对于“何为公益”及“如何公益诉讼”,仍然无据可循。《中华人民共和国个人信息保护法》第70条拟通过立法构建个人信息公益诉讼制度,但实用价值仍然欠缺:一方面,对“公共利益”的界定采用了“众多个人的权益”的表述,对于如何界定“众多个人”及个人信息承载的“权益”留下悬而未决的问题;另一方面,从对三类起诉主体的列举来看,该条文似乎更侧重于对原告资格的界定。制度供给的泛化和虚化,使我国个人信息民事公益诉讼受案范围在理论和实践层面分歧颇多。
(二)个人信息民事公益诉讼受案范围的实践样态
民事公益诉讼受案范围的实践状况可透过被诉行为、起诉主体、诉之利益三要素进行考察。笔者于2022年2月10日在中国裁判文书网进行检索,共检索到7份个人信息民事公益诉讼裁判文书和132份个人信息刑事附带民事公益诉讼裁判文书。以此为样本分析,发现受案范围呈现以下特点。
1.被诉行为:以普通自然人非法获取、出售、使用个人信息为主
从案由观察,在132件刑事附带民事公益诉讼案件中,侵犯公民个人信息罪128件、帮助信息网络犯罪活动罪3件、非法利用信息网络罪1件;在7件民事公益诉讼案件中,人格权纠纷1件,侵权责任纠纷6件。被诉行为主要有以下两类:一是普通自然人违法获取、出售、使用个人信息;二是网络平台运营商违法获取消费者个人信息。我国个人信息保护采刑法先行的立法模式,该领域民事公益诉讼在起步阶段多依附于刑事案件,侵权主体多表现为作为刑事被告人的自然人。但于实然角度而言,在危害程度和辐射范围上,网络平台运营商应为个人信息公益的主要侵害主体。
2.起诉主体:检察院占绝对比重
在起诉主体上,检察院占绝对比重,案件线索基本由检察院在办理刑事案件或开展专项监督行动过程中获得,这直接关涉个人信息公益侵权进入诉讼阶段的案件数量。该现象虽可说明检察院在个人信息保护领域积极履行公益检察职责,但也侧面折射出该领域案件线索来源的拓展已不容忽视。
3.诉之利益:多数裁判文书中缺乏阐释和区分
样本裁判文书对案件所涉利益作出说明的不到五成,大多在罗列案件事实后直接得出“损害社会公共利益”的结论;在对所涉利益作出说明的裁判文书中,法院将其主要描述为:不特定多数人的合法权益、公民个人信息安全、不特定公民的隐私权;另有不在少数的判决书对支持公益诉请采用较为含糊的说理表述,如符合法律规定等。其成因存在两种可能:一是法官对于公共利益的界定无法找到法律依据,难以进行条分缕析的阐释;二是法官将公益诉请的支持与否作为政策性问题,忽视了个人信息公共利益的法理界定。
二、逻辑起点:
“个人信息公益”范畴的廓清
(一)“个人信息公益”的分类——以“主客观利益说”为分析工具
德国学者纽曼将“公共利益”概念分为“公共”和“利益”,又对“利益”作主观和客观的区分,主观利益是团体内成员之直接利益,客观利益则是超乎个人利益所具有之重大意义的事务、目的及目标。因循此分析架构,尝试将个人信息所承载的公共利益提炼为以下两种类型。
1.不特定信息主体之集体价值
《中华人民共和国民法典》和《中华人民共和国个人信息保护法》规定信息主体对个人信息处理享有知情权、决定权、查阅复制权、更正补充权、删除权、反对自动化决策权等权利,这些权利可体现为人格性权益、财产性权益、安全性权益。在实践中的多数情况下,体现的是信息主体多种不同属性权益的聚合。如收集个人信息时,赋予信息主体知情权和决定权,体现对平等、自由人格的尊重,允许信息主体对个人信息的财产化利用,实现其财产性权益;在行使个人信息的更正补充权、删除权中,通过纠正和删除处理,保护人格尊严,防范安全风险,实现人格性权益和安全性权益。网络服务提供者实施的个人信息侵权往往波及众人,个体信息权益虽然“微小”,但将汇聚为庞大的权益集合,此时诉讼目的已脱离私益救济的范畴。
2.社会发展需要之共同价值
个人信息的共同价值涵盖由社会整体享有的作为重要社会资源的利益,体现为通过合理利用个人信息,保障个人信息有序流通,为社会治理、公共安全等领域超乎个人权益的目标助力。通过公益诉讼的救济,促进和保障个人信息的合理收集、使用和流通,为政府数字化决策、提升公共管理能力、维护公共秩序提供信息资源支撑,具有明显的公益属性。
(二)利益类型的排除——基于民事公益诉讼制度定位的限缩
有观点认为,公共利益应包含国家利益和社会公共利益两个层面。本文认为,在实体法已设置诉讼实施主体的情况下,则不必按照公益诉讼架构,另寻主体代为诉讼。国家利益受损的影响虽可延伸至全体公民,但可通过检察院行使公诉权、行政机关行使执法权来救济;对于特定群体利益,如开发商出售业主信息,虽然受侵害人数众多,但可通过代表人诉讼制度予以救济,则无需纳入公益诉讼范畴。信息处理行为最为广泛地体现为商业机构对个人信息的控制和使用。那么,商业机构的信息处理行为可否纳入公益诉讼保护范畴呢?本文认为,承认商业机构对个人信息享有经济利益是必要的,但民事公益诉讼的主要制度价值是维护公共利益而非商业机构的利益,补强单个信息主体诉讼能力不足的缺陷,故宜将商业主体的经济利益排除在个人信息民事公益诉讼的范畴之外。
三、必要性论证:
受案范围不明确导致个人信息保护效果受限
(一)公益判断脱离法定,难成共识
跟随《中华人民共和国民法典》出台掀起的个人信息公益诉讼潮流虽可体现司法保护个人信息的积极能动,依附于刑事案件的民事公益诉讼亦能减少制度创新和诉讼的成本,却不能消弭由立法不足导致的利益类型、原告资格、诉讼请求等方面的实践困惑。于公益起诉人而言,受案范围确定了公益诉权的行使范围;于被告而言,受案范围体现司法权制约公益侵害行为的程度;于法院而言,受案范围则限制了审判权介入的边界。样本分析发现,对受案范围作出界定的必要性在诉讼中已有所显现,如检察院诉讼请求不全面,不足以修复受损利益;自然人作为原告向法院提起公益诉讼;不少判决书中出现“公共利益赔偿金”概念,这直接关乎赔偿之源头即“个人信息公益”的范畴。当受案范围并非绝对明晰时,相关主体之间极易出现公共利益是否受到应有保护以及应保护到何种程度的争议,这一本应由立法抉择的问题,在实践中几乎由检察院和法院判断,动摇司法权威。
(二)遮蔽问题根源,削弱制度价值
在立法未作出明确界定的背景下,若公益诉讼适格原告超出公益诉讼制度设计的预设,对个人信息公共利益进行扩大解释,其适用范围将更加宽泛。在公益诉讼制度定位下,利益归属主体与有起诉资格的主体之间无直接利害关系,容易导致诉讼应有的对抗性及真实公益保护动机无从保障。由此衍生的情形是,适格原告在起诉上拥有广泛自由,从该领域刑事附带民事公益诉讼高企,而其他类型公益诉讼鲜有问津的实践中,或可窥得端倪。同时,在利益导向下,适格原告以公益之名守护私益的情况亦可能出现。如行业组织为经济利益,选择公益诉讼这一社会关注度较高的途径来实现利益救济。凡此种种,将威胁民事公益诉讼的制度根基,使其制度价值消泯于符号功能。
(三)公益话语权分配单一,案源受限
在何种价值形态应纳入公益诉讼救济的判断上,从目前司法实践来看,检察院起到主导作用。而相对于屡见报端的侵害个人信息事例,检察院在履行职责中发现的线索可能仅为极少数。由于刑事案件的严格证明标准,依附于刑事案件的民事公益诉讼无法承载有效保护公共利益的使命。在行政公益诉讼领域,《中华人民共和国行政诉讼法》第25条采“人民检察院在履行职责中发现”的表述,这虽可促进检察院积极履职,但也隐含了公益诉讼决定权和启动权的预设,或将导致多数案件无法得到公益诉讼救济。
四、进路探寻:
界定个人信息民事公益诉讼受案范围的构想
(一)立法明确的进路
尽管不可能在立法中穷尽个人信息公益案件类型,但仍应尽量避免立法疏漏,可采取“肯定式列举+概括式兜底+否定式概括”的立法技术。为保证上位法的稳定性,不宜通过《中华人民共和国民事诉讼法》的频繁修订逐一列举,但可在单行法中对常见案件类型以肯定式列举方式予以规定,同时采用兜底条款弥补局限。《中华人民共和国个人信息保护法》对信息处理规则、信息主体的权利及信息处理者的义务作了详细规定,并在第70条将个人信息公益诉讼受案范围规定为“个人信息处理者违反本法规定处理个人信息,侵害众多个人的权益的”,可为把握侵害个人信息公益的行为类型提供参照。结合本文第二部分论证的个人信息公共利益的类型,并对实践中侵害个人信息的常见类型进行归纳,本文认为,可在司法解释中将提起个人信息民事公益诉讼的案件范围界定为“个人信息处理者违法收集、存储、使用、加工、传输、提供、公开个人信息,侵害不特定公众的人格权益、财产权益、安全权益,损害社会公共利益的行为”,在具体行为判断上,可参照《中华人民共和国个人信息保护法》对个人信息处理者的义务性规定。同时,还应引入否定式概括方式。结合上文分析,国家利益、特定群体利益及商业主体的经济利益应在个人信息公共利益范畴中予以排除,这在受案范围的规定中也应具体化,可将上述情形对应的常见行为形态通过司法解释或指导性案例予以明确。
(二)理性拓宽个人信息公益判定路径的进路
由检察院主导的单路径案件线索来源是公益诉讼案件数量有限的成因之一,亟需拓展案件线索来源,让多元主体介入公益诉讼。
1.行政机关提起民事公益诉讼的暂时限制
有观点认为,行政主管部门作为公益诉讼起诉主体较为合适,既可以促进其依法行政,也可以有效弥补行政手段的不足。笔者认为,与诉讼行为相比,行政处理更为便捷高效,不强调行政先行处理而允许行政机关直接提起公益诉讼,于各方而言均为资源浪费。《中华人民共和国网络安全法》和《中华人民共和国个人信息保护法》中已有对违法处理个人信息行为的行政处罚条款。样本分析可见,目前该领域行政公益诉讼均体现为检察院通过检察建议督促行政机关依法履职的诉前程序。从侧面说明,当前个人信息侵害行为的猖獗在一定程度上与有关部门未恪尽管理职责有关。强调行政机关提起民事公益诉讼的主体地位,难免产生将公益诉讼作为行政机关实施社会管理手段的不当导向。在行政不作为屡受诟病的当下,对行政机关提起民事公益诉讼应予以限制。
2.公益判定中民意表达渠道的适度拓展
个人信息侵权具有隐蔽性,信息主体往往较之于主管部门和有关组织更具亲历性和利益相关性,由其参与公共利益的决策过程,不仅能为检察院分担诉累,也更符合实质正义要求。目前立法未赋予公民、企业等个体公益起诉人资格,或基于规制滥诉风险的考量和诉讼能力的担忧,亦属正当。《中华人民共和国个人信息保护法》将法律规定的消费者组织和由国家网信部门确定的组织明确为起诉主体,体现了立法对原告主体资格的适度开放。应进一步畅通公民、企业等个体与以上法定主体的沟通协调渠道,为其参与公共利益决策构建理性协商论辩的程序构造。
(三)侵害行为类型化判断的进路
为进一步将抽象的利益类型具象化,尝试以个人信息公益的侵害主体为切入点,将侵害行为形态作类型化区分,进而界定不同侵害行为形态下公益减损的判断标准。
1.侵害行为的分类
(1)源自技术自身的风险。在个人信息保护领域,技术自身特性与个人信息保护之间存在一定冲突,其中Cookies技术较为典型。Cookies本是网站为了对用户的个人身份进行识别从而存储于用户本地终端上的数据,其负面问题是在用户不知情的情况下,对用户的网络行为进行跟踪记录,往往使得广告商等第三方获取足够信息从而精确介入用户的网络行为中。
(2)源自信息处理者的侵害。一是主动侵权。较为普遍的是App实时收集个人定位、通讯录等与其所提供服务不相关的个人信息,虽然也已有不少App设置了是否共享个人信息的选项,但相关条款往往字体小而篇幅长,用户对信息失控的风险难有预期。二是消极不作为。主要表现为信息控制者因未采取安全保障措施而导致的信息泄露、被第三方非法利用等。
(3)源自普通自然人的侵害。样本分析发现,行为人违法收集、使用、买卖个人信息涉及信息量较大,且涵盖车辆、房产、理财、户籍、教育、定位等多领域。虽然其损害程度一般不及平台运营商,但此类侵权却难以通过行政处罚、检察建议等方式有效处理,应成为个人信息民事公益诉讼的重要规制对象。
2.公益减损的判断标准
纽曼曾将公共利益界定为“一个不确定之多数成员所涉及的利益”,在理论界获得了广泛认同,以致在判断公益减损程度时,诸多观点认为应将受侵害人数作为主要衡量标准。本文认为,“公共利益”确实涉及多数人,但“公共利益”强调的是公共性,体现为涉及群体的不特定性和侵权风险的平等性,人数的多少不应作为公益减损程度的主要判断标准。根据所侵害公共利益类型的不同,对公益减损程度的判断标准应有所区分。
其一,对于源自技术风险和信息处理者的侵害,其特征为风险的不可控性和高度可能性。平台运营商等商业机构掌握算法分析等技术手段,可基于个人信息轻易识别公民身份,必然对公共信息安全、信息流通秩序产生影响,此种情况下提起公益诉讼,应不以实际侵害的发生为前提。在综合考虑平台规模、用户人数、社会影响的情况下,只要产生侵害风险,且信息处理者未采取必要风险防范措施,即可提起民事公益诉讼,以有效督促信息处理者履行安全保障职责。
其二,对于源自普通自然人的侵害,受其影响的利益集中体现为人格权益和财产权益,主要表现为个人信息承载的集体价值受到减损。该情况下对于公共利益减损的程度应结合侵害个人信息的数量进行判断。样本分析发现,进入民事公益诉讼救济范围的案件所涉及个人信息数量少则数千条,多则数百万条。可参照《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第五条第(四)项规定,明确对于非法采集、出售、提供、利用个人信息500条以上的,可以提起民事公益诉讼。
编者注:转载自《浙江审判》2022年第1期,略有删减。为方便阅读,已隐去注释。
点个在看,鼓励一下吧~