苏和生 | 个人信息保护公益诉讼的程序构造——从损害救济模式向风险防控模式的转向
CSSCI来源期刊 中文核心期刊 中国人文社会科学核心期刊
作者简介
●苏和生,复旦大学法学院博士研究生
原文刊登于《华中科技大学学报(社科版)》2023年第四期第98至第110页
个人信息保护公益诉讼的程序构造
——从损害救济模式向风险防控模式的转向
摘要
Abstract
由于制度设计的先天性局限与司法运行的实践理性,当前个人信息保护公益诉讼的程序构造采取事后损害救济模式。个人信息保护公益诉讼对损害救济模式泛化性适用的根源在于:案件线索发现的“刑事化”、公益诉讼运行的谦抑性、侵权责任认定的依赖性。然而,损害救济模式不足以实现公益的全面、全过程保护,个人信息保护公益诉讼的程序构造遭遇理论正当性与实践危机性的拷问。以风险预防原则为理论分析工具,可以发现损害救济模式未遵循《个人信息保护法》的制度理念,亦未审酌个人信息公共利益损害不可逆转的特征。为有效预防个人信息风险,及时制止个人信息公共利益损害,有必要适时转换公益诉讼模式,对个人信息保护公益诉讼进行风险化改造(风险防控模式),以适应该制度体系化发展的需求。
关键词
Key words
个人信息;公益诉讼;损害救济;风险预防原则;预防性诉讼
引 言
互联网时代,数字技术的社会风险常常以侵害私人权利的形式展现,然而个人信息并非仅涉及单一的私人利益,还牵涉社会的基础性资源。个人信息并非属于纯“私权”领域,个人信息权益本身也具有公共权利的特点。损害个人信息权益的后果既有个别性又有整体性。个人信息是数字时代的社会性资源与生产性要素,它不但是政府实现社会治理数字化、科学化、现代化的重要支撑,而且也关涉公共安全管理与国家数据安全治理,其本身具有公共利益的属性。为了保护个人信息公共利益,2021年最高人民法院《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》(简称《人脸识别个人信息规定》)第14条规定了涉及处理人脸信息的民事公益诉讼制度。之后,新出台的《个人信息保护法》第70条为个人信息保护公益诉讼提供了正式的法律依据。数字技术的风险社会中,大部分人的个人信息受到算法操控,仅依托私法层面的救济是杯水车薪,不但难以挽回公民个人尊严、保障个人信息基本权益,而且也无法有效应对、预防这类新兴风险。在生态环境法治体系中,发展较为完善的环境公益诉讼制度构建了损害救济与风险防控并重的二元治理模式;与之相比,个人信息保护公益诉讼领域目前倾向于采用传统损害救济模式,其在风险防控层面则缺乏对个人信息公益保护的审思。据此,为有效应对个人信息风险,学界有必要结合个人信息风险之特征,对个人信息保护公益诉讼的程序构造予以审慎检视,以程序法理为基础,探索个人信息保护公益诉讼程序规则的优化路径。
一、损害救济模式解构:
当前个人信息保护公益诉讼的程序构造
由于制度设计的先天性局限与司法运行的实践理性,当前个人信息保护公益诉讼的程序构造采用损害救济模式。损害救济模式强调程序的启动以公益损害结果为前置条件,通过事后的司法介入进行补偿性救济。从制度设计与司法实践两个层面来透析当前个人信息保护公益诉讼的程序构造,可以对损害救济模式进行深层次解构,以探寻个人信息保护公益诉讼的发展脉络和运行逻辑。
(一)制度设计彰显损害救济的特质
我国公益诉讼制度呈现民事公益诉讼与行政公益诉讼的二元结构。就民事公益诉讼而言,《民事诉讼法》第58条规定,具有“污染环境、侵害众多消费者合法权益等损害社会公共利益的行为”是公益诉讼启动的前提条件,“损害社会公共利益”作为前置要件,体现了损害救济的特点。行政公益诉讼的立法框架中,《行政诉讼法》第25条第4款及最高人民法院、最高人民检察院发布的《关于检察公益诉讼案件适用法律若干问题的解释》(简称《两高解释》)第21条规定,“行政机关违法行使职权或者不作为,致使国家利益或者社会公共利益受到侵害”是行政公益诉讼启动的前提条件。《两高解释》第22条规定,提起行政公益诉讼需要由检察机关提交“致使国家利益或者社会公共利益受到侵害的证明材料”。据此可知,“侵害公共利益”是提起公益诉讼的要件之一,如果没有证据证明有实际的公益损害发生,公益诉讼程序将无法开启。
我国公益诉讼整体上建构了以事后损害救济为主的制度框架,背后彰显的是通过司法介入制止现实性损害的制度逻辑。然而,不同领域公益诉讼的程序模式呈现不同的发展态势(表1)。在生态环境保护领域,环境公益诉讼兴起的初期,制度设计倾向于以损害救济模式为主,随着理论迭新与实践探索,环境公益诉讼在法律规范层面突破损害救济模式的捆绑,逐步实现公益诉讼理念突破与制度革新,最终以风险防控模式为理论基础,确立了预防性环境公益诉讼制度。消费者权益保护领域中,最高人民法院《关于审理消费民事公益诉讼案件适用法律若干问题的解释》(简称《消费公益诉讼解释》)第1条规定,对于“侵害众多不特定消费者合法权益或者具有危及消费者人身、财产安全危险等损害社会公共利益的行为”可以提起公益诉讼,“具有危及消费者人身、财产安全危险”彰显了消费者权益保护公益诉讼中风险防控模式的雏形。如学者所言,消费者权益保护民事公益诉讼应当发挥预防性保护功能,其首要目标是制止损害和预防风险。
值得注意的是,消费者权益保护与个人信息权益保护在规范阐释和法律续造层面具有相通性,二者共同构建了不特定多数群体个人信息权益受侵害的救济体系。有学者指出,为了寻求个人信息保护的新出路,激活个人信息保护的私法运行活力,可以尝试将个人信息保护融入《消费者权益保护法》的制度架构中,对消费者个体实施倾斜性保护,以实现个人信息的良性流通。实践中,个人信息公共利益也常常借助消费者权益保护公益诉讼制度来加以保护,这使得个人信息保护公益诉讼的制度运行呈现“消费者化”的倾向。然而,两个领域的公益诉讼在构造本质上存在显著差异,《个人信息保护法》与《消费者权益保护法》保护的法益并不等同,消费者主体与个人信息主体存在交叉,但并不同一。依附于消费者权益保护公益诉讼的治理逻辑固然对个人信息保护具有镜鉴意义,但完全冀望于消费者权益保护公益诉讼制度来维护个人信息公益终究是治标而不治本。个人信息保护公益诉讼保护的实质法益及程序运行具有自身的特殊性,需要从个人信息权益本身着手对公益诉讼模式进行理性解构。从法解释学角度视之,《个人信息保护法》第70条规定,个人信息保护公益诉讼启动需具备“违反本法规定处理个人信息”“侵害众多个人的权益”这两个要件。“违反本法规定处理个人信息”意指,个人信息处理者在收集、保存、利用、加工、传播、公开等层面违反《个人信息保护法》所保护的规范法益而非法处理个人信息;“侵害众多个人的权益”要件中,“侵害”一词强调公益损害后果之判定,反映出典型的事后救济特征。此外,最高人民检察院发布《关于贯彻执行个人信息保护法推进个人信息保护公益诉讼检察工作的通知》(简称《个人信息公益诉讼通知》)第1条规定,处理者处理100万人以上的大规模个人信息应当予以重点保护。此处以精确的数据量化作为“侵害个人信息公益”的判断标准,也进一步印证了个人信息保护公益诉讼注重事后损害救济的特征。概言之,通过法规范层面的解读,我国公益诉讼立法框架中,生态环境保护与消费者权益保护公益诉讼领域均确立了损害救济与风险防控的二元模式,而个人信息保护公益诉讼领域则仅呈现损害救济模式的单一立法态势。此种以损害行为为起点、以损害结果为中心的立法模式忽视了公益诉讼的预防性救济功能,阻碍了个人信息保护公益诉讼制度的精细化、体系化构建。
(二)司法实践映射损害救济的现状
个人信息保护公益诉讼司法实践正如火如荼开展,2021年各级检察机关共办理个人信息保护公益诉讼案件2000余件,同比上升近3倍。2021年4月,最高人民检察院发布11例个人信息保护公益诉讼典型案例。通过对典型案例的梳理与解读可提炼出损害救济模式的两个重要特征。第一,个人信息保护公益诉讼的程序启动具有滞后性。在起诉受理阶段,法院要求原告提出具有个人信息公共利益受损的初步证据。民事公益诉讼中,个人信息处理者违法处理个人信息的行为对个人信息公共利益造成了现实性侵害,才符合公益诉讼的起诉要件。行政公益诉讼中,履行个人信息监管职责的行政机关(如通信管理局、互联网信息网络管理局、市场监督管理局等)未依法履行信息数据监管义务,导致信息数据泄露而侵害公益之后,检察机关才能发出诉前检察建议,督促行政机关依法履职。履行个人信息保护职责的行政机关或个人信息处理者承担着维护个人信息公共利益的结果性责任。这类案件在司法实践中展露出偏离风险预防而以损害救济为重心的发展态势。第二,个人信息保护公益诉讼的诉讼主张与裁判方式具有事后性。以民事公益诉讼为例,原告的诉讼主张及法院最终判决的法律责任通常表现为损害赔偿。由于个人信息交易的特殊性,未经技术性筛选整理的零散信息的交易价格较低,侵害不特定公众个人信息权益而产生的利益损失则难以估算,实践中法院常常将“个人信息处理者的违法所得利润”作为替代性赔偿标准。对于收集、加工、公开信息等环节中违法处理行为存在恶劣、严重情节的,还可以适用惩罚性赔偿予以惩戒、威慑。除损害赔偿外,个人信息保护公益诉讼的法律责任还表现为强制个人信息处理者履行法律规定的其他义务,这些义务仍然以损害结果为依托而具有事后性特征,例如,公开赔礼道歉、删除违法处理的信息数据、采取隐匿性技术处理等。实践中,法官通常借助侵权责任理论展开法律释析,论证个人信息处理者的加害行为与损害后果之间的因果关系,计算、评估个人信息权益的损失大小。法院判决个人信息处理者的责任承担方式主要是损害赔偿,作为典型的事后补救措施,损害赔偿方式无法预防个人信息公益事前遭遇侵害的风险。概言之,目前个人信息保护公益诉讼实践中贯穿着以损害救济为中心的办案立场,而风险防控的基本理念与程序架构则付之阙如。
(三)损害救济模式适用的根源探析
1.案件线索发掘的“刑事化”
公益诉讼的启动需要由案件线索作为指引,案件线索的缺失将阻断诉讼程序的启动。个人信息保护公益诉讼司法实践中,大部分案件以刑事附带民事公益诉讼的形式展开,大约90%的被告被追究过刑事责任或行政责任,而纯粹的民事公益诉讼案件与行政公益诉讼案件的数量寥寥可数。在为期两年的检察公益诉讼试点期间,民事检察公益诉讼案件中约96%的案件都是先追究过刑事责任之后,再通过公益诉讼程序来救济民事权益,这使得公益诉讼的线索来源呈现“刑事化”的特征。由于个人信息侵权的隐秘性、复杂性与多变性,公益诉讼线索于事前或事中的挖掘难度较大,个人信息公益救济大都以刑事附带民事公益诉讼的程序形式展开。案件线索一方面来源于公安机关在侦查程序中发现可能存在侵害个人信息公共利益的情形,遂将线索移送公益诉讼部门;另一方面源于检察机关在侦查监督、刑事检察、公益监督过程中获取的个人信息公益受侵害的情形,检察机关据此线索展开调查、收集证据材料。司法者更加青睐于损害救济模式,究其原因,个人信息保护公益诉讼的线索发掘渠道极为有限,且时常依附于刑事检察,而刑事检察对犯罪行为的揭露以存在个人信息公益受损结果为前提,这肇致案件线索的发掘呈现出事后性特征,也致使损害救济模式在实践中得以泛化性适用。
2.公益诉讼运行的谦抑性
传统诉讼理论框架下,在纠纷形成之前或之中,司法权并不直接参与社会生活,只有当纠纷产生之后,当事人才有权通过司法介入纠纷。无纠纷则无裁判,纠纷的产生常常以损害结果的呈现作为证据材料,有了损害结果才满足纠纷的可诉性,才符合司法救济的前提条件。有学者主张,将公共利益损害作为公益诉讼启动条件,原因在于公益诉讼程序本质上属于事后性纠纷解决方式,事后性的特征也有助于规制当事人的滥诉行为。个人信息公共利益受损线索发掘的事后性是公益诉讼遵循谦抑性原理的逻辑基础。个人信息保护公益诉讼运行的谦抑性脱胎于制度的纯粹理性而根植于司法的实践理性,公益诉讼介入的滞后性也使得损害控制模式在实践的运行中得以合理化。民事公益诉讼中,个人信息处理者实施违法行为而损害个人信息公益之后,公益诉讼起诉者才有权提出诉讼主张,开启公益诉讼的大门。在行政公益诉讼中,当个人信息监管机关怠于履职或履职不恰当而导致个人信息公益遭受侵害时,检察机关提起公益诉讼才是正当的。行政公益诉讼的启动与行政行为的成熟性原则紧密联系。成熟性原则重点关注行政行为是否发展到适宜由法院展开司法审查的阶段,这有助于保证行政机关依法履职并妥善维护公共利益。通常情况下,成熟性原则的标准是“正常行政程序的最后阶段已经完成”,设定此标准的目的在于贯彻司法权与行政权分立制衡的基本原理,防止司法权过多、过早地介入行政权的作用领域。在行政权运行完毕之前,司法应当秉持适度克制、妥协与宽容的立场。本着事后救济的原理,司法通常不宜过早地对行政行为合法与否作出审查判断,而应充分尊重行政机关的专业判断。
3.侵权责任认定的依赖性
个人信息保护公益诉讼制度依托个人信息损害赔偿请求权得以运转,其将《民法典》“侵权责任编”作为主要的法律适用依据。侵权责任认定对损害救济模式下的个人信息保护公益诉讼制度主要产生如下两个方面的约束:一方面,无损害则无救济,侵权法律关系的发生与成立依赖于实际损害的出现。在当前的立法架构之下,结果性责任是适用侵权责任规范的最终归宿,然而对于个人信息公益面临侵害风险的情形,侵权行为的构成无从谈起,侵权责任规范的适用更是难有余地。侵权责任规范体系为损害救济模式提供了适宜运行的土壤,而对预防性公益诉讼所提倡的预防与控制风险的目标力有未逮。另一方面,个人信息公益侵权因果性的判断难度较大,这在构成要件适用层面阻却了风险防控型公益诉讼的开展。因果性对法律关系的判断与定性具有关键作用,个人信息公益侵权案件的特殊性(个人信息法益的多样性、权利的复杂性、权益的社会性、利益的公共性)导致其因果关系证明的难度较大。因果关系的证明俨然成为个人信息侵权救济中最困难的一个环节,个人信息在收集、传输、加工、公开等环节中都有遭遇被入侵、泄露的风险。侵权行为人的范围难以准确定位,尽管确定特定侵权人之后,也难以证明某种行为正是个人信息受到侵害的原因。损害救济模式的运行立足于实践中显性化的损害结果,该损害结果归因于个人信息处理者的加害行为,“主体行为—损害结果”之间存在符合逻辑推理的因果关系。公益诉讼起诉人需提交证据材料证明个人信息处理者的侵害行为与个人信息公共利益受损结果之间存在相当的因果关系,即个人信息公益侵权因果关系的成立呈现出“主体行为—损害结果”之线性架构形式。仅有加害行为而无损害结果则无法构成侵权法律关系,这无疑排除了“主体行为—潜在风险”的诉讼形式,仅救济损害结果而忽视防控风险的诉讼模式将使得个人信息保护公益诉讼救济的客观范围呈现不周延的趋势。
二、损害救济模式评析:以风险预防理论切入
个人信息风险伴随现代信息技术的发展应运而生,个人信息权益受侵害的结果具有确定性,而个人信息风险具有流动性、不稳定性、技术性、延展性等特征。虽然损害救济模式以事后补救的方法为个人信息公共治理贡献了司法能量,但是个人信息公共利益的前瞻性、事前性救济路径不应被忽视。本文以风险预防原则为理论分析工具,对损害救济模式予以理性检视,尝试着为个人信息保护公益诉讼制度的体系化建构提供智识性思路。
(一)风险社会视野中个人信息公益治理的罅隙之处
社会学家贝克以“风险社会”概念为起点审慎检视了后工业时代的文明社会危机。风险可被定义为以系统的方式应对由现代化自身引发的危险和不安。从现代化进程的自反性角度来看,技术—经济“进步”带来的力量,日益为风险生产的阴影所笼罩。就个人信息保护领域而言,“个人信息公益安全”遭遇的风险呈现扩张化趋势。实践中,个人信息处理者违法处理个人信息、个人信息监管机关怠于履职的情形时有发生。这些行为背后往往隐藏着更大的风险——大规模的个人信息流入商业市场,后续的危害极大且可能扩展到不特定公众,个人信息公共利益遭受侵害的风险也会由此增大。此外,信息技术的多元化与规模化运用容易使政策制定者忽视对个人信息安全的充分观照。诸多信息化、智能化技术,在并未被验证是否会对公民个人信息权益产生重大影响的前提下便被推广到商业化应用中,加之信息数据天然的不可控性与不稳定性,个人信息公共利益逐渐陷入风险化困境之中。
(二)风险预防原则视域下损害救济模式的固有局限
为了应对生态环境侵害的不确定性、扩张性等难题,1987年《北海宣言》明文规定“为了防止污染损害发生,应当采取必要的预防措施”,至此风险预防原则于环境法领域的阐释与运用方兴未艾。依此原则为蓝本,我国2014年修订的《环境保护法》首次确立了环境与健康风险评估制度,2018 年颁布的《土壤污染防治法》对土壤污染的风险管理和控制做了专章规定,这些均体现了风险预防原则对环境法治的推动作用。信息时代触发社会风险的比例较高,风险预防原则的适用范围也愈发广泛,从预防环境侵害延伸至保护公民健康与消费者安全,并且革新了损害风险的法律属性及证据规定。从比较法角度视之,为有效应对数据风险,欧盟《通用数据保护条例》(GDPR)以“数据风险防控”为规范目标构建了体系性的数据保护立法框架。然而,我国《个人信息保护法》中缺乏明确的风险预防机制,诉讼法层面预防性公益诉讼制度的实施规则力所未及,实体维度与程序维度的双重张力加剧了个人信息保护公益诉讼制度的修缮难度,预防性保护请求权遭遇着难以接近司法的困局。风险预防原则作为事前风险防范的理论工具,在个人信息保护领域也具有可适用的空间,通过借鉴该理论的原理内核能够为个人信息的公共化治理提供科学指引。
将风险预防原则作为观察个人信息公共治理的分析工具,损害救济模式遭受着如下质疑:一方面,损害救济模式未遵循《个人信息保护法》的制度理念。诸多大规模的个人信息侵权具有群体性和扩散性的特征,侵权行为在侵害公民个人信息权益时,往往裹挟着将损害后果扩张至公民其他人身、财产权益之风险,个人信息侵权风险由此也渗透到个人信息公共利益之中。《个人信息保护法》第11条规定了“预防和惩治侵害个人信息权益的行为”的理念,由个人信息处理者承担停止侵害、损害赔偿等传统民事责任固然是个人信息法治化、公共化治理的题中之义,但值得反思的是,损害救济模式是否应当被界定为个人信息保护公益诉讼的主导性范式?诚然,事后救济模式发挥着“惩罚违法、救济损害”的制度功效,但是在公益受损事实既定之后才开启诉讼,这或许只能实现对公益诉讼制度目标的“次层次解读”。在个人信息公益受损之前便引入公益诉讼,则能在风险预防层面实现对公益诉讼制度功能的“主层次解读”。另一方面,损害救济模式未审酌个人信息公益损害具有不可逆转的特征。个人信息保护公益诉讼的救济范围不只拘泥于公民个人信息权益、人身财产安全,也包含着人格尊严、公民隐私、个人信息公共管理秩序等难以预测且无法逆转的风险要素。大多数域外学者主张,侵害个人信息权益的行为本质上会侵犯公民个人自由,通过保护个人信息权益能够实现维护公民人格自由与人格尊严的目标。《信息安全技术个人信息安全规范》第6.3条规定:“传输和存储个人敏感信息时,应采用加密等安全措施。摘要信息通常具有不可逆特点,无法回溯到原始信息。”个人信息公益具有显著的公共性与人格权属性,多数情况下,其一旦遭受侵害则难以修复、弥补。由于互联网记忆的不可磨灭性,个人信息被非法处理之后,即使权利人行使个人信息被遗忘权也难以达到“恢复原状”的理想状态。实践中,非法提供、处理、传输个人信息的行为通常裹挟着公益损害的风险,当潜在的风险逐渐趋于显性化时,随之而来的便是事后的危害事实与难以恢复的损害结果。据此,损害救济模式作为后位性的救济方式,无法将存在侵害个人信息公益风险的情形扼杀在萌芽状态,难以有效应对个人信息公益受损后不可逆转的危机,无法实现对个人信息公益的原生态化保护。
三、程序构造正当性重构:
损害救济模式向风险防控模式的转型
单一的损害救济模式不足以实现个人信息公益的全面性、全过程保护,个人信息保护公益诉讼的程序构造需要由事后救济模式转向损害救济与风险防控并存的二元模式。风险防控模式的崛起有其自身的规范基础及实践意义,该模式的引入能够弥补损害救济模式的诸多劣势。
(一)风险防控模式的规范意蕴
损害救济模式最大弊端在于,其提倡的事后性救济理念不能预防潜在的、突发的风险,只能作为保护公益的“次优化安排”。对此,风险防控模式的注入将有助于消解个人信息公益损害的不可逆转性危机,该模式试图通过前瞻性的司法介入以防控重大风险,实现个人信息公益保护的“最优化安排”。通过对当前的法律规范予以解析,可以找到风险防控模式的正当法源。《个人信息保护法》第11条规定:“国家建立健全个人信息保护制度,预防和惩治侵害个人信息权益的行为”,这要求在个人信息治理中应当注重采用事前预防的措施;第55条规定:“个人信息处理者应当事前进行个人信息保护影响评估。”第56条规定:“个人信息保护影响评估应当包括下列内容:……(二)对个人权益的影响及安全风险;(三)所采取的保护措施是否合法、有效并与风险程度相适应。”《信息安全技术个人信息安全规范》第3.9条规定:“针对个人信息处理活动……判断其对个人信息主体合法权益造成损害的各种风险。”第9.2条规定:“个人信息控制者共享、转让个人信息时,应充分重视风险。”第11.4条规定,“对个人信息控制者的要求包括:应建立个人信息安全影响评估制度,评估并处置个人信息处理活动存在的安全风险”。
以上条文为个人信息权益的预防性保护提供了合法性基础,也为风险防控模式在个人信息公益保护领域的引入提供了规范性基础。当个人信息公益面临侵害的重大风险时,我们应当“面向未知而审慎地作出决策”,此时风险预防原则的运用成为值得讨论的一个方案。我国是司法能动型国家,司法制度映射着国家政策导向的底色。公益诉讼是“政策实施型程序”的代表性制度,其核心目标是于司法审判中贯彻国家顶层政策,通过修缮法律秩序来协同国家政策的实施与公共利益的维护。个人信息保护公益诉讼作为《个人信息保护法》所规定的“政策实施型程序”,应当遵循风险防控机制的结构性布局,肩负起预防个人信息公益风险、维护个人信息安全的使命。
(二)风险防控模式的实践理性
对于群体性的个人信息侵权纠纷,仅仅通过传统的私益诉讼无法实现对个人信息群体利益和公共利益的及时保护,为了弥补损害救济模式的局限,实践中有些检察机关推陈出新,率先适用风险防控模式来办理个人信息公益诉讼案件。例如,在甘肃省平凉市检察院督促整治快递单泄露公民个人信息公益诉讼案中,检察机关认定,多家快递企业的快递单未对用户个人信息采取隐匿化保护措施,存在泄露公民个人信息的重大隐患,随后,检察机关向市邮政局发出诉前检察建议,建议其履行快递市场安全监督管理职责,督促快递企业采取有效手段保护用户个人信息安全。湖北省随州市随县财政局在政府门户网站上发布的“随县2021年度耕地地力保护补贴资金发放情况”中,擅自公开群众的身份证号码和银行账户信息,使众多公民个人秘密信息处于泄露状态,为维护社会公共利益,降低个人信息泄露风险,随县检察院随即向县财政局发出检察建议,建议其依法履行个人信息保护职责。由前述两案可知,初露头角的风险防控模式已在实践中有了一些探索性的尝试,在个人信息公益仅呈现“泄露风险”而未遭受实际损害的情形下,检察机关便发布检察建议,督促行政机关依法整治。然而,以上案件的法律文书说理中并未提炼出判定个人信息公益“重大风险”的实质标准,预防性公益诉讼的介入时间及程序规则也语焉不详,这些问题有待进一步探索与解决。
(三)风险防控模式的优势释析
作为推进个人信息保护公益诉讼制度运行的“最优化方案”,风险防控模式具有诸多优势。首先,风险防控模式通过弥补损害救济模式程序启动的滞后性、诉讼主张与裁判方式的事后性、对传统侵权责任承担的依赖性等缺陷,推动个人信息保护公益诉讼制度的体系发展与全面建构。引入风险防控模式,并非试图贬损损害救济模式的功能与价值,而是清醒地正视损害救济模式的功能局限。单一化的损害救济模式不能对个人信息公益重大风险展开有效防控,而风险防控模式则能实现对公益风险的妥善消除。风险防控型公益诉讼的理性嵌入,适当扩张了个人信息保护公益诉讼救济的客观范围,有助于化解个人信息公益损害不可逆转的危机。其次,风险防控模式的建构是对《个人信息保护法》中预防性理念的贯彻,即以风险预防原则为指导,在个人信息保护公益诉讼中注入预防性理念,对公益风险产生事前的“顾虑”。该模式打破了“无损害则无救济”的传统理念,而将预防个人信息公益风险作为首要任务,其供给的预防性公益诉讼制度是救济公益的一项可行方案。基于对个人信息公益损害不可逆性、扩散性等特征的考量,在确定的因果关系与损害后果呈现之前,保护“风险法益”更能从源头上化解纠纷,彰显个人信息保护公益诉讼的制度功效。再次,从诉讼经济角度来看,大规模的个人信息侵权纠纷通常涉及较强的技术性,法院对侵权因果关系的认定需耗费大量的司法资源,甚至需要专业的数据技术人员的协助,对此,通过采用风险防控模式能有效规避事后的侵权证明等难题,进而对司法资源的分配及司法效益的提升也有所裨益。最后,风险防控模式尝试从源头出发来构建一种前瞻性的司法保护机制,该模式提供了一种让个人信息风险防控过程合理化的解释框架,促进了个人信息保护公益诉讼制度研究从“损害—反应与救济”范式向“风险—预防与控制”范式的科学转型。
四、风险防控模式搭建:
预防性公益诉讼的制度回应
预防个人信息公益侵害是风险防控模式的规范目标,个人信息保护公益诉讼只有在穷尽预防可能性的前提下,才可将救济公益损害作为核心目的。事前预防与事后救济相结合的程序构造有助于推动公益诉讼制度的有效实施。当前损害救济模式的制度设置比较健全,而风险防控模式的法理基础与程序规则却相对欠缺,由此需要补强其理论基础,搭建其应有的程序框架。
(一)预防性个人信息保护公益诉讼的引入逻辑
作为风险社会中的公共难题,个人信息侵权问题呈现出多发性、技术性、动态性、不确定性等特征。个人信息保护的综合治理不但依赖于司法权与立法权,而且应贯穿于行政权的运行中。行政机关具有维护个人信息公益的基本义务,其应当具备风险防控的预测机能与防治能力,这是搭建风险防控模式的内在要求。行政权于个人信息保护领域的事前防控性介入,具有现实层面及专业层面的优越性。为实现个人信息公益的有效保护,行政权应当充分运用其公益性、系统性、完整性、积极性、主动性的优势,通过事前介入以完成对个人信息重大风险的适时预防。风险社会中,行政权并不能只是单纯地“执行”法律,更要在某些时候实作出及时的“决策”。在行政权运行的范围内,排除或降低公民人身财产危险是政府的基本任务。由于公民个人对技术风险存在较大的认知局限,难以准确评估数据风险的紧急性,风险防控的任务交由行政机关执行更为稳妥。
风险预防原则于个人信息保护领域适用的功能表征,不仅要体现出对信息数据风险的防控,而且也应彰显对数据产业的治理。风险防控功能可从行为意义和结果意义两个层面上解读,行为意义层面的防控功能面向的是侵害个人信息公益的风险,其目标在于有效预防与控制损害风险演变为损害结果;结果意义层面的防控功能面向的是侵害行为致使侵害结果进一步扩大的情形。传统侵权责任法层面的排除妨害、消除危险等责任承担方式只能发挥结果层面的防控功能,行为意义层面的防控功效则无所涉及。据此,预防性公益诉讼的核心目标在于,通过风险预防发挥行为意义层面的防控功效。个人信息权益保护的新范式需要从个人对个人信息处理的自我控制转向由行政机关对个人信息处理行为进行管理,由行政权来评估个人信息处理行为是否符合个人信息权益保护的价值追求。作为公共利益维护者、公共事务管理者,行政机关有履行个人信息风险防控的义务。预防性公益诉讼制度的兴起并未颠覆行政权在信息治理中的核心作用,行政权在风险防控模式中具有适用的优先性。然而,行政机关在风险决策中所掌控的“判断场域”并非绝对自由之地,即行政权运行本身也应接受司法监督,具体行政行为的合法性与正当性需要接受司法审查的拷问。
据此,以风险防控模式的规范目标为指引,个人信息保护公益诉讼应当构建以预防性行政公益诉讼制度为主轴的运行机制。当司法裁判不再拘泥于以往的过错,而是尝试调整未来的行为,预防性公益诉讼便有了适用的空间。与损害救济型公益诉讼相比,预防性公益诉讼突破了传统司法审查的路径依赖,更有助于囊括行政行为作用的全过程。风险防控型诉讼更专注于法律秩序的重建和修复,通过司法的力量逐渐建筑起保护公益的大厦。司法权适度地提前介入有利于协同风险防控模式的顺利开展,保障行政权的规范化运行。对于个人信息监管机关不依法履职而致使个人信息公益呈现重大风险的情形,检察机关通过诉前程序提出检察建议,督促行政机关依法履职。如果行政机关不依法履职,检察机关有权向法院提起预防性公益诉讼,以司法权的理性介入来纠正行政不法行为,促进个人信息公益风险的事前性消除。
(二)预防性个人信息保护公益诉讼的作用区间
检察机关提起行政公益诉讼的前提是行政机关“违法履职或不作为”且“社会公益受到侵害”,然而实践中“违法履职或不作为”与“社会公益受到侵害”发生的时刻并非一一对应。据经验法则可知,某一违法行为具有危害公共利益重大风险时,受制于地域差距或时间因素的影响,损害后果往往会在违法行为作出一段时间之后才会呈现。行政过程的阶段性构造可以分为标准阶段、行为阶段、执行阶段与救济阶段。预防性公益诉讼可贯穿行政行为的全过程,其于个人信息收集、使用、存储、转让、披露等各类环节都有介入的可能性,在每个阶段都可适当发挥“预防性”功能。
在标准阶段,于抽象行政违法行为落实成具体行政违法行为之前,检察机关开启预防性公益诉讼而“提出异议”,可将抽象的风险阻却于个人信息行政规范性文件发布阶段。在行为阶段和执行阶段,根据违法行政行为作出的不同时间点,可将违法行政行为划分为即期作出的行为、作出后而尚未执行的行为以及已经执行的行为。针对即期作出的行为,此时公益风险处于萌芽而未表征的状态,应当采用“实际损害必然产生”的识别标准。此标准要求,通过先行行为来分析行政机关作出某一具体行政行为的可能性后果,判断该行为的发生是否将诱发不可逆转的公益损害。比如,行政机关许可的信息技术项目有招致个人信息公益风险时,检察机关督促行政机关停止违法行为的实施。针对作出后但尚未执行的违法行为,在此情形下风险已表征为具象化的场景,呈现出可视化的状态,此时适用“最大限度接近成熟”标准较为妥当。具体而言,行政机关在履行个人信息保护评估或认证职责的过程中违法通过评估或认证的,对此情形,预防性公益诉讼的介入可以缓和个人信息公益风险的扩张。针对已经执行的行政行为,若具体行政行为将导致不可逆转的、扩散性的个人信息公益损害的,检察机关可提起预防性撤销之诉,从根源上阻却个人信息公益风险。违法行政行为执行后,即便是在救济环节,面向未来的预防性机制也能有所作为。为了防止一错再错,司法机关可以发出纠正性检察建议,要求行政机关制定羁束性、反思性的规范性文件。
预防性公益诉讼对行政行为的全过程规制貌似有阻碍行政权自主发挥与高效运行的嫌疑,但这是遵循司法原理与行政规律而科学建构行政法律监督体系的必经之路,即司法机关对行政权的有效监督和及时制约并非单纯地限制行政机关的行为,同时也在帮助行政机关实现其本来的意志。
(三)预防性个人信息保护公益诉讼的程序构造
1.重大风险的判断标准
《环境民事公益诉讼司法解释》中已率先确立了预防性公益诉讼“重大风险”的判断标准,虽然仅为原则性的规定且“重大风险”的内涵与外延还语焉不详,但预防性理念于环境公益诉讼中的贯彻是显而易见的。相对而言,《个人信息保护法》中关于风险防控的立法规范则是捉襟见肘,其对个人信息公益“重大风险”的判定缺乏指导性标准。考虑个人信息公益损害不可逆转的特性,本着防止滥用预防性公益诉权之目的,可以借鉴环境公益诉讼的程序构造,当存在“重大风险”之时才能开启预防性公益诉讼的大门。“重大风险”的判断需要以“风险阈值”作为参考。“风险阈值”的功能是评价公益损害风险大小的程度,据此考量启动预防性公益诉讼的必要性与实效性,进而妥善把控预防性公益诉讼的适用范围。
尽管实践中不乏预防性个人信息保护公益诉讼的案例,但是“重大风险”判定标准的缺失使得风险防控模式的推广遭遇着正当性危机,预防性公益诉讼的实践运行举步维艰。例如,广东省江门市江海区人民检察院督促整治保护个人信息安全行政公益诉讼案中,检察机关组织公开听证后认定,由于人脸数据、虹膜等生物信息无法更改,一旦泄露则终身泄露,物管公司均在未向行政主管部门申请并审核验收的情况下,擅自安装并投入使用“人脸信息识别”门禁系统,该系统存在泄露众多不特定公民个人信息的风险。案件中,检察机关主要通过诉前磋商、公开听证及社情民意调查来判定个人信息公益是否处于“重大风险”的状态,但并未在法解释层面建构出规范且可复制的判定标准与操作指南,不利于风险防控模式的常态化、可视化运行。此外,司法机关也并未对危险与风险进行合理区分,检察机关将“存在泄露众多公民个人信息风险”直接解读为“侵害了公共利益”,缺乏对风险与损害可能性因果关系的有效论证与妥善说理,也未对“一般风险”与“重大风险”作类型化区分。究其根源,在缺乏预防性公益诉讼制度的情形下,将“风险呈现”与“公共利益受损”简单勾连是实践理性与便捷操作之所需。这或许可以在客观上保护公共利益,但在法规范层面的正当性却是欠缺的。诚如学者所言,当前立法并未将“公益有受到侵害的可能”作为公益诉讼的救济范围,实践中直接将风险规制作为启动预防性公益诉讼的前置条件,这无疑在法规范依据层面缺乏正当性。
风险只是表述损害后续发生或呈现出的可能性,“风险”一词本身就是较为模糊的概念。根据损害发生盖然性的高低,可将其划分为“危险、风险及剩余风险”。然而,究竟哪种类型的“风险”需要司法的提前介入?《里约环境与发展宣言》第15条规定,针对“有可能造成严重的或不可挽回的损害”需要预防性司法的介入。据欧盟立法经验,在数据风险防控的进路中,GDPR强调以“数据处理行为的性质、环境、目的和对公民的权利与自由带来风险及损害的可能性与严重性”为标准,构建了以预防为核心目标与全方位控制数据的治理模式。投射到个人信息保护公益诉讼中,预防性公益诉讼的“重大风险”标准可以解读为,加害行为将个人信息公益置于现实且紧迫的重大风险状态时,不及时消除危险或排除妨害将会造成严重或不可挽回的损害结果。详言之,第一,“严重性”主要体现在海量的信息操纵和数据泛滥干预公民的自由决策。除一般个体人为的个人信息滥用之外,算法、人工智能对公民个人信息的收集、整理、利用的力量也不容小觑,其很容易通过大数据甄别对个人选择作出精准的信息定位与偏好推荐,大众对个人信息的弱力掌控只能委屈地服从于大数据、算法的精准投递。当海量的个人信息数据能够轻易切入到不特定公民的生活世界与自由决策之中时,此时风险大小已经十分接近特定阈值,其导致的个人信息风险有演变为现实损害的可能。对于“造成严重损害风险”的判断标准,可以通过提炼司法实践经验来制定相应的司法解释,进而实现操作层面的精细化。对“严重性”的判断标准,可以借鉴《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》中对《中华人民共和国刑法》第253条规定的“情节严重”的类型化认定标准来展开。第二,“造成不可挽回损害之风险”是指损害的不可逆转性,即行政机关怠于履职行为将造成个人信息公益难以挽回损失的情形。从个人信息分类保护原理来看,越是敏感且重要的个人信息,受侵害而呈现风险状态的可能性越高。在范围广泛的个人信息中,基因信息、面部特征、生物识别信息等私密信息或敏感信息具有不可匿名性与不可更改性,关乎更高层次的人格尊严,当此类敏感个人信息被非法处理且具有扩散至不特定群体的倾向时,公民的隐私等人格权益将遭受毁灭性侵害,可以认定为符合不可逆转性的标准。
出于对理性设置“重大风险”判断标准的考量,我们可尝试将非法处理个人信息的行为类型、个人信息种类与数量作为具体参数,据此综合判定是否达到“重大风险”的阈值。非法提供、使用、公开不特定公民个人信息的行为通常会直接造成损害后果,其通过损害救济模式处理即可。然而,非法收集、存储、加工、传输不特定公民个人信息的行为发生于损害结果呈现之前,属于制造个人信息公益风险的行为,对其应当予以风险化规制。在个人信息种类层面,如前文所述,敏感个人信息相较于一般个人信息更具有不可逆转的特性,据个人信息分类保护原理的要求,应对敏感个人信息与一般个人信息区别对待。据此,笔者主张,“重大风险”的判定可将个人信息的行为类型、个人信息种类与非法处理个人信息数量作为具体参数,采用“概括式规定+类型化列举”的模式以增强司法实务的可操作性与制度的可适用性。预防性公益诉讼“重大风险”的适用范围可由司法解释具体规定,即具有以下情形之一的,可以提起预防性公益诉讼:(一)非法收集、存储、加工、传输不特定公民一般个人信息(个人基本资料、个人教育工作信息等)一千条以上的;(二)非法收集、存储、加工、传输不特定公民敏感个人信息(生物识别、宗教信仰、特定身份、金融账户、行踪轨迹、未满十四周岁未成年人的个人信息等)五百条以上的;(三)数量未达到第一项至第二项规定标准,但是按相应比例合计达到有关数量标准的;(四)其他具有重大风险的情形。
2.诉前程序的理性坚守
诉前程序是当前行政公益诉讼案件办理的主要形式,过滤分流、节省司法资源的程序机能使得诉前程序的制度优势得以充分彰显。有学者主张,对于个人信息公益的保护,当前立法已明文规定了行政公益诉讼之外的纠纷化解方式,并且《个人信息保护法》第70条并未要求检察机关需要履行公益诉讼的诉前程序,因此个人信息保护领域并不存在行政公益诉讼。笔者认为,这种说法有失偏颇。其原因如下:第一,尽管《个人信息保护法》第68条规定了行政救济方式,但这并不意味着司法救济渠道就此被堵塞,秉承司法最终解决原则,剥夺检察机关的公益诉权实属不宜之举。第二,从法理上看,检察建议是连接事前司法监督与事中诉讼参与的良性渠道。诉前程序是行政公益诉讼的法定前置程序,其在公益诉讼中具有独立的价值意义与程序机能,从保持司法的谦抑性、尊重行政判断权、节省诉讼资源、不同案件程序分流的角度来看,诉前程序缺位的立法格局不符合公益诉讼的程序法理。第三,尽管《个人信息保护法》第70条中并未明确规定需要履行诉前程序,这貌似与程序法的规定相冲突,然而从合目的性解释与文义解释的视角来看,第70条虽未指出检察机关需要履行诉前程序,但亦并未直接否定诉前程序的适用。《行政诉讼法》第25条第4款明确规定检察机关提起行政公益诉讼之前,必须依法履行诉前程序。履行诉前程序是公益诉讼运行的基本原则,不能以实体法的规定来随意解释甚至否定程序法运行的基本规律与构造原理。
此外,诉前程序在预防性公益诉讼之中具有天然的、合逻辑性的适用性,诉前阶段检察建议的引入无疑对个人信息公益损害具有“防患于未然”的功效。及时消解潜在风险是保障公益安定的必由之路,高效地治愈违法行政行为,救济公益更是诉前程序制度设置的应有之义。与损害救济型公益诉讼模式相比,预防性公益诉讼毕竟是在损害结果未出现之前就启动的,其诉前程序的规则要求也应存在一定差异。预防性公益诉讼诉前程序中检察建议的内容应当是,对于存在个人信息公益侵害重大风险的情形,检察机关应当督促行政机关采取措施阻却危害结果发生,要求行政机关积极作为或停止已作出的行政行为。
值得注意的是,行政公益诉讼诉前程序本身呈现出行政色彩过浓的态势,表现为单向性构造,即是否向行政机关发出检察建议是检察机关的单向度判断,而缺少给予其他当事人程序参与、陈述申辩的机会。特别是对于存在“个人信息公益损害重大风险”的情形,由于个人信息侵权具有较强的隐蔽性及技术性,检察机关单向度的审查判断恐怕难以保证其客观性与妥当性。对此,诉前程序的适度司法化有利于化解这一难题,其遵循司法制度的运行逻辑与基本原理,能够搭建起具有司法特性的诉前程序制度——对审听证模式。对审听证模式强调当事人的程序参与,尊重当事人的陈述申辩,强化检察建议的说理性与严谨性,有助于检察机关在预防性诉讼中作出客观、中立的判断。申言之,检察机关调查取证后,由未参与证据调查的其他检察人员担任听证主持人,调查取证的检察人员作为一方当事人、个人信息监管机关作为另一方当事人而组成对审听证结构。两造当事人围绕个人信息监管机关是否存在违法行政行为、违法行为是否诱发个人信息公益受损的重大风险展开举证质证,继而判断是否应当提出检察建议。此外,为了提升“重大风险”标准的实用性、顺应预防性公益诉讼启动的要件化趋势,可以尝试在诉前程序中引入磋商机制,即于诉前程序中,个人信息监管机关与检察机关就行政行为的合法性、公共利益受侵害的可能性风险与严重性程度交换意见、协作沟通。磋商机制可以作为诉前程序的配套措施,对检察建议予以充实,在司法实务中据实际情形与诉前听证模式灵活搭配。例如,实践中便出现过“诉前磋商+公开听证+检察建议”模式,据此既能彰显司法权对行政权的信赖与尊重,又能督促个人信息监管机关依法履职,为行政权自我纠错留出合理空间。
3.证据证明的科学配置
在举证责任分配维度,由于实际侵害结果并未呈现出来,双方当事人都不具有公共利益受侵害的实际证据,继而预防性公益诉讼案件在证据认定与证明评价等方面具有缺失性、不充分性的特征。预防性行政公益诉讼中,应当综合权衡“谁主张谁举证”和“举证责任倒置”的分配规则。检察机关和行政机关对不确定风险的对抗判定与举证责任的分配,需结合对审双方的举证能力、距离证据远近等要素来展开。由于个人信息侵权涉及数据专业性与信息科技性,证据基本都由个人信息处理者掌握,信息处理者显著的技术优势及证据偏在加剧了原告的举证难度。数据收集者与处理者手握先进的信息科学技术,旁人难以判断其是否采取了加密技术或是否存在技术上的过错。与检察机关相比,个人信息监管机关作为监督者,距离证据更近。由检察机关承担较低的举证责任更有利于兼顾当事人平等对抗原则与个人信息公益保护原则,即在预防性公益诉讼中,检察机关承担初步举证责任,提出存在重大风险的初步证据即可。鉴于侵害结果还未实际表征出来,当事人无法掌握公共利益受侵害的具体证据,继而检察机关起诉之时,不用提交关于个人信息公益受侵害的事实证明材料,只需要提交正在发生或将要呈现侵害状态的书面描述材料即可。若有个人信息领域的专家论证材料,亦可以在起诉时一并提交,但这并非是预防性公益诉讼启动的硬性条件。被告则需对行政行为的合法性予以证明,由个人信息监管机关证明其行政行为不会导致个人信息公益产生严重的损害风险或导致不可挽回的损失,或者证明重大风险与个人信息监管机关的行为之间不存在因果关系。概言之,由行政机关承担结果意义层面的证明责任更为妥当,而原告承担行为意义层面的证明责任便可。
在证明标准维度,重大风险的证成需要借助最低限度的证据作为支撑,具有“足够”的证据是风险预防原则启动的基本要求。适用风险预防原则不能仅仅停留在假设与推定的层面,还需适当借助模型选择、控制变量等评估手段来展开。判断风险的证据的证明力大小是“重大风险”标准实施的具体化程序,学界对此的观点主要有:第一,不确定性是风险防控的前提,但是此种不确定性需要适度限缩,当有证据证明可以基本锁定危害,而仅有因果关系无法直接确定的情形下,采取预防措施是有必要的;第二,对应当实施风险干预的情形未作严格的限定或限定条件较为宽松时,要求如果有损害产生的可能性便可以进行风险预防。两种观点的共同点在于,其对证据证明力度的要求明显低于传统诉讼法中关于排除危险的高度盖然性标准,仅需要达到梳明或盖然性占优势的证明标准即可。
结 语
数字技术的兴盛强化了信息流通、信息共享,却也增加了个人信息“公共价值”遭受消解与“集体利益”受到侵害的可能性。大数据时代的风险社会中,个人信息数据流通广泛,不稳定因素繁多,无疑加剧了个人信息安全的风险性与数据流动的分散性。个人信息受侵害的风险不仅包括现实的、可视化的风险,还包括难以预测的、潜在的风险。个人信息处理者作为大数据、云计算等信息技术的掌控者,通过技术手段对公民的网络信息痕迹、浏览记录等个人信息交互验证后,识别特定主体身份的概率大幅度增强,其通过积极作为或不作为的方式侵害不特定公民个人信息权益的潜在风险也相应增加。为应对个人信息公益遭受侵害的风险,风险防控模式应当有所作为。
事后的损害救济模式与事前的风险防控模式是个人信息保护公益诉讼的二元划分。单一化的损害救济模式仅仅是公益救济的“次优化安排”,无法实现个人信息公益的全面保护,兼顾两种模式是实现个人信息公益诉讼制度体系性建构的必经之路。通观立法规范与司法实践,损害救济模式的制度规范与实践运行已经较为成熟,相对而言,风险防控模式的程序构造与理论指导则极为稚嫩。个人信息保护公益诉讼的制度目标绝不能仅限于浅层次的事后补救,聚焦于事前的风险防控对于个人信息公益的保护更具有必要性和紧迫性。为合理解放数据的流动性,有效预防个人信息风险,及时制止个人信息公益损害,我们有必要结合个人信息公共利益的不可逆性与不安定性等特征来理性反思个人信息保护公益诉讼的程序构造,即在平衡合理利用个人信息与有效保护公益二者关系的前提下,对个人信息保护公益诉讼进行“风险化改造”,以妥当适应个人信息公益诉讼制度体系化发展的需求。
注:封面图片源于vcg.com
华中大社科学报
欢迎您的关注
点“阅读原文”了解更多