周一 谷莺|人脸信息识别视阈下个人信息安全行政公益诉讼的实践与发展
周一
上海市黄浦区人民检察院副检察长
谷莺
上海市黄浦区人民检察院公益检察室主任、检察官
要目
一、人脸信息安全行政公益诉讼的规范演进和实践探索二、人脸信息安全行政公益诉讼制度探索所面临的困境三、个人信息安全行政公益诉讼制度的建构与发展我国目前已形成个人信息保护基本法律框架,检察机关提起人脸信息安全行政公益诉讼具有充足的依据支撑,并具有一定实践经验。但人脸信息保护法律规范分散且不明确、行政机关监管权限界定不清,部分行政机关“心结”难以打开、配合度有待提高,行政公益诉讼立案条件等规定不明确、各方认识存在巨大分歧等问题也让检察机关在开展个人信息安全行政公益诉讼时遭遇了一定阻力。因此,要进一步推动人脸信息公益保护顶层设计的完善,细化人脸信息保护的具体标准和规则以及出台专门的公益诉讼法,贯彻落实“双赢多赢共赢”理念,消除各方分歧,达成法律适用上的认识统一,不断丰富和发展个人信息安全行政公益诉讼制度,充分保护人脸信息在内的个人信息安全。
随着人脸识别技术的发展和成熟,其应用越来越广泛,例如机场车站的安检和检票、医院银行的身份认证、支付宝和微信等的刷脸支付、小区门禁、公司打卡等等,产业规模越来越大,成为数字经济的重要组成部分。但其无节制的扩张和滥用在给社会带来便利、效率和财富的同时,也给社会带来了隐私、人格尊严被侵犯、伪造冒用、财产损失、人身安全隐患等风险和不利后果。2019年,某动物园年卡用户的入园验证方式变更为人脸识别,年卡用户认为这属于变相强制收集敏感个人信息,诉至法院,被认为是我国“人脸识别第一案”,引起社会公众对商家是否有权收集人脸信息以及人脸信息被收集后的安全问题的高度关注。
2021年3月15日,央视“3·15”晚会上曝光了部分商家使用人脸识别摄像头在顾客不知情的情况下采集个人信息的违法行为,更是引起了社会的广泛关注和担忧。上海检察机关和江苏省苏州市检察机关针对涉事企业侵害公益的线索展开调查,将实务界和理论界的关注再次聚焦在检察机关如何积极作为,通过公益诉讼保护人脸信息安全,以及如何构建和发展个人信息安全行政公益诉讼制度上面。
个人信息安全是检察机关行政公益诉讼等外领域的探索之一,然而人脸信息法律规定分散且不明确、行政机关监管权限界定不清,行政机关“心结”难以打开、配合度有待提高,立案标准的规定不清晰、实践中存在较大认识分歧等问题使得检察机关行政公益诉讼的开展遭遇了一定的阻力和困境,因此有必要统一认识、化解争议、消除理论分歧并完善相关立法,构建符合大数据时代技术发展和信息安全平衡需求的行政公益诉讼制度,这也是检察机关积极履职、坚持“以人民为中心”的有力体现和助力推进国家治理体系和治理能力现代化建设的重要内容。
一、人脸信息安全行政公益诉讼的规范演进和实践探索
人脸信息安全行政公益诉讼的规范可以分为两个部分:一是有关人脸信息方面的规范;二是个人信息安全行政公益诉讼方面的规范。
我国个人信息保护的实践早期主要在刑事领域展开,2009年刑法修正案(七)规定了出售、非法提供公民个人信息罪和非法获取公民个人信息罪,2015年刑法修正案(九)扩展了本罪的犯罪主体,罪名也相应统一为侵犯公民个人信息罪。根据2017年最高人民法院、最高人民检察院联合颁布的《关于侵犯公民个人信息刑事案件适用法律若干问题的解释》第1条规定,“公民个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等”,第5条对侵犯公民个人信息罪的起刑点作出了具体规定,将个人信息划分为三类,即(1)行踪轨迹信息、通信内容、征信信息、财产信息;(2)住宿信息、通信记录、健康生理信息、交易信息等可能影响人身、财产安全的公民个人信息;(3)其他个人信息。根据上述规定,人脸信息属于公民个人信息,但被归类为第三档次的个人信息,说明刑法领域没有充分体现出人脸信息的重要性和特殊性。
2012年全国人大常委会颁布《关于加强网络信息保护的决定》,其第1条规定“国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息,任何组织和个人不得窃取或者以其他非法方法获取公民个人电子信息,不得出售或非法向他人提供公民个人电子信息”。从该规定来看,人脸信息属于公民个人电子信息。该决定还规定了网络服务提供者和其他企事业单位收集和使用公民个人信息的“合法、正当、必要”原则、“知情-同意”条件以及有关监管部门的监管职责和违法者的法律责任。2021年施行的民法典规定了个人信息的定义,明确了生物识别信息属于个人信息,重申了处理个人信息应当遵循的“合法、正当、必要”原则,“知情-同意”条件,处理个人信息免责事由,个人信息主体享有的查阅、复制、更正、删除权,信息处理者的信息安全保障义务以及国家机关、法定机构及其工作人员的保密义务。2021年1月最高人民检察院印发的《人民检察院办理网络犯罪案件规定》给出了生物识别信息的定义,即“计算机利用人体所固有的生理特征(人脸、指纹、声纹、虹膜、DNA等)或者行为特征(步态、击键习惯等)来进行个人身份识别的信息。”2021年8月1日施行的《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》明确人脸信息系利用人脸识别技术而生成以及人脸信息属于生物识别信息,并重申个人信息处理的“合法、正当、必要”原则、“知情”条件以及信息处理者的信息安全保障义务外,还规定了人脸信息的单独同意和书面同意原则,细化了处理人脸信息的免责事由,同时明确违法违约使用人脸识别技术以及处理人脸信息构成侵害自然人人格权益的行为。此外,我国网络安全法、数据安全法、消费者权益保护法、电子商务法等也对各自领域内涉及到的个人信息保护问题作出类似规定。有的地方性规范也规定了特定领域的信息处理者禁止采集生物识别信息,例如2021年起施行的天津市社会信用条例第16条就规定,市场信用信息提供单位不得采集自然人的宗教信仰、血型、疾病和病史、生物识别信息以及法律、行政法规规定禁止采集的其他个人信息。
2021年8月20日,个人信息保护法通过,这是我国个人信息保护的第一部专门性立法,该法规定了个人信息的定义、个人信息处理的条件,细化了知情的内容和要求、个人信息主体的权利、个人信息处理者的义务,明确履行个人信息保护职责的部门以及违法者的法律责任。该法将个人生物特征归类为敏感个人信息,并规定了处理敏感个人信息的特别要求,还特别规定了“在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,并设置显著的提示标识。所收集的个人图像、个人身份特征信息只能用于维护公共安全的目的,不得公开或者向他人提供,取得个人单独同意的除外。”这意味着在公共场所原则上不得安装图像采集、个人身份识别设备,除非是为维护公共安全所必须。另外,该法第62条规定,“国家网信部门统筹协调有关部门依据本法推进下列个人信息保护工作:针对小型个人信息处理者、处理敏感个人信息以及人脸识别、人工智能等新技术、新应用,制定专门的个人信息保护规则、标准”。可见,对人脸信息的保护以及人脸识别技术的应用还有待进一步的规则和标准予以规制。
在人脸信息保护方面值得关注的规范还有2020年3月国家市场监督管理总局和国家标准化管理委员会公布的《信息安全技术个人信息安全规范》,这是一部软法规范,给出了个人信息的定义,明确了个人生物识别信息是个人信息的一种,并且进一步将个人生物识别信息划归类为个人敏感信息,规定了个人信息安全基本原则、个人信息的收集、个人信息的存储、个人信息的使用、个人信息主体的权利、个人信息的委托处理、共享、转让、公开披露、个人信息安全事件处置、组织的个人信息安全管理要求等内容。该规范对个人生物识别信息的保护可以说是目前最为全面的,适用于规范各类组织的个人信息处理活动,也适用于主管监管机关部门、第三方评估机构等组织对个人信息处理活动进行监督、管理和评估,但该规范目前不具有强制约束力。
检察机关提起行政公益诉讼制度经过若干年的探索与试点后,于2017年正式为立法所确认。行政诉讼法第25条将检察机关提起行政公益诉讼的范围限定为生态环境和资源保护、食品药品安全、国有财产保护、国有土地使用权出让等领域。关于“等”的含义有“等内”和“等外”两种理解,前者主张应当将行政公益诉讼的范围严格限制在法条所列举的领域内;后者则认为“等”代表的是一种列举上的省略,法条所明确列举的领域外的案件也属于行政公益诉讼的范围。
正是由于对“等内”“等外”理解上的争议,从地方到中央陆续出台有关公益诉讼案件范围拓展和探索的规定。例如,2020年5月上海市人大常委会颁布《关于加强检察公益诉讼工作的决定》,将个人信息安全领域纳入公益诉讼探索的范围;2020年9月最高人民检察院出台《关于积极稳妥拓展公益诉讼案件范围的指导意见》,强调要“认真贯彻落实《第十三届全国人民代表大会第三次会议关于最高人民检察院工作报告的决议》批准的下一阶段工作安排中明确提出的‘积极、稳妥办理安全生产、公共卫生、生物安全、妇女儿童及残疾人权益保护、网络侵害、扶贫、文物和文化遗产保护等领域公益损害案’”,同时明确将个人信息保护归入网络侵害领域。2021年6月,中共中央出台《关于加强新时代检察机关法律监督工作的意见》,第11条指出要“积极稳妥拓展公益诉讼案件范围,探索办理安全生产、公共卫生、妇女及残疾人权益保护、个人信息保护、文物和文化遗产保护等领域公益损害案件,总结实践经验,完善相关立法”。可见,我国现阶段检察机关提起人脸信息安全行政公益诉讼具有十分充足的法律逻辑支撑、规范基础和政策支持。
此外,2018年3月,最高人民法院和最高人民检察院联合颁布《关于检察公益诉讼案件适用法律若干问题的解释》,对行政公益诉讼的任务、行政公益诉讼的诉前程序、人民检察院在公益诉讼中的地位、权利和和义务、行政公益诉讼案件的管辖、起诉、立案、人民陪审制的适用、检察人员的出庭、判决和裁定的作出及执行、检察院的上诉等内容作出了规定。2021年6月29日,最高人民检察院颁布《人民检察院公益诉讼办案规则》,对检察机关办理公益诉讼案件的任务、公益诉讼案件的管辖、立案、回避、等内容作出了规定,细化了行政公益诉讼在立案条件、磋商调查、案件终结决定、检察建议、等方面的内容。这些规定为规范人民检察院履行公益诉讼检察职责,加强对国家利益和社会公共利益的保护具有十分重要的程序意义。2021年8月20日个人信息保护法通过后,最高检下发了《关于贯彻执行个人信息保护法推进个人信息保护公益诉讼检察工作的通知》。虽然个人信息保护法中的规定仅涉及民事公益诉讼,但最高检通知中所强调的个人信息公益保护的重要意义、检察机关履行公益诉讼检察职责的重点领域、个人信息保护办案流程机制的构建完善以及公益诉讼检察职能的延伸拓展对个人信息行政公益诉讼有着十分重要的指导和规范意义。
正如上文所言,在中央至地方各层级的支持下,各地检察机关积极稳妥探索试点人脸信息安全公益保护。例如,2020年11月,江苏省相城区人民检察院办理的售楼处,看房人被‘无感抓拍’检察公益诉讼剑指非法采集人脸信息案;2021年3月,广东省惠州市办理的“全省首例:‘人脸信息识别系统’安全监管行政公益诉讼案”;2021年3月,广东省江门市江海区人民检察院针对住宅小区违规安装人脸识别门禁系统办理的“督促整治保护个人信息安全行政公益诉讼案”;以及2021年7月,黄浦区人民检察院就超市不当使用人脸识别技术启动行政公益诉讼诉前程序,制发检察建议。这些实践探索为人脸信息安全公益诉讼制度的构建和发展打下了坚实基础。
此外,笔者以“人脸识别、检察、公益”作为关键词在北大法宝司法案例库进行搜索,只搜索到上述广东省江门市江海区督促整治保护个人信息安全行政公益诉讼案,其作为最高人民检察院2021年7月21日发布的12起公益诉讼检察听证典型案例之一被收录,而没有搜索到任何进入行政公益诉讼审判阶段的案件。以“个人信息、检察、行政公益”为关键词进行搜索,同样也只搜索到最高人民检察院2021年7月21日发布的公益诉讼检察听证典型案例中的七起公民个人信息行政公益诉讼案,所有案件都在诉前程序中得到解决,未搜索到任何进入行政公益诉讼审判阶段的案件。
可以看到,目前人脸信息检察公益保护正在初步探索之中,因此整体数量都比较少,散见于媒体报道和典型案例的发布中,尚未查到进入司法审判程序的案件。究其原因,在一定程度上与人脸信息相关法律法规分散且不明确,行政机关监管权限界定不清,为保险起见不主动作为,对检察机关提起人脸信息安全公益诉讼存在一定的排斥心理,各方对行政公益诉讼相关规定的具体适用存在理解和认识上的分歧,检察机关调查核实手段欠缺等检察机关提起人脸信息安全公益诉讼所面临的困境具有直接的关系。
二、人脸信息安全行政公益诉讼制度探索所面临的困境
检察机关提起人脸信息安全行政公益诉讼目前还存在不少困境,既有来自外部的人脸信息保护法律规范不完善、行政机关配合度低、各方法律适用存在分歧等原因,也有来自内部的调查核实手段欠缺等因素。
我国目前虽然已经出台了专门的个人信息保护法,但该法没有对人脸信息和生物识别信息进行清晰的界定,人脸信息的保护以及人脸识别技术的应用还有待进一步的规则和标准予以规制。同时,侵害公民人脸信息的违法行为可能涉及多个法律领域,例如民法典、消费者权益保护法、网络安全法和电子商务法等等,导致检察机关在办理相关案件时针对特定的侵犯公民人脸信息的行为查找明确的法律依据面临一定的挑战。
正如上文所述,除了最高人民检察院印发的《人民检察院办理网络犯罪案件规定》给出了生物识别信息的定义,其他法律法规都没有对人脸信息进行明确的定义,导致实践中有可能会存在人脸图像(照片或视频)与人脸信息的理解上的混同。同时,由于人脸本身的公开性、人脸图像向人脸信息的可转化性、人脸信息获取的未被感知性以及现行立法没有明确人脸信息同意的形式及其与其他个人信息在同意或知情条件上的区别,也给检察机关判断是否存在侵犯人脸信息安全的事实及相应的法律责任带来了困难。例如,国外个人信息的相关立法一般都规定,信息由个人自行公开或者因为其他原因已经合法公开属于个人信息处理的免责事由,但人脸是暴露在社会环境下的,因此立法都特别注明已公开信息不包括企业在消费者不知情的情况下收集的生物识别信息(人脸信息),但我国立法目前没有此种强调性规定,在实践中有可能会导致对法条理解上的争议。
人脸信息规范的点阵分布以及人脸信息使用场景横跨多个领域的另一个问题就是涉及的行政监管部门众多。例如,网络购物环境中涉及的人脸信息安全问题涉及到的行政监管部门就可能包括网信部门、工信部门、市场监督管理局、通讯管理局等等。从最高人民法院颁布的个人信息安全行政公益诉讼的典型案例中也可以看到,涉及到的行政监管部门包括公安局、网信办、通信管理局、邮政局、住房和城乡建设局、教育局、农业农村局等等。这一点在个人信息保护法的条文中也可以看到。该法明确了网信部门在个人信息保护和监督管理上的协调统筹职责,但在实际监管和执法过程中,行政机关之间监管权限存在的职能交叉和真空等问题,导致其人脸信息安全监管效果不佳,也给检察机关精确确定有关行政机关的监管职责和找准公益诉讼提起的对象增加了难度。
关于检察机关提起人脸信息安全公益诉讼,部分行政机关存在一定“心结”,主要表现在四个方面:一是对行政公益诉讼本身存在片面认识,认为检察机关在提起人脸信息安全行政公益诉是来找行政机关的“茬”,是来批评和指责行政机关的,因此在案件办理的过程中存在抵触情绪,导致检察机关在提起人脸信息安全公益诉讼时存在一定阻力。二是受“等内”认识束缚,认为检察机关应该将公益诉讼受案范围严格限定在法律列举的几个领域内,既然目前没有立法明确规定和授权检察机关在人脸信息安全领域提起公益诉讼,那么检察机关就不应该提起,从而对人脸信息公益保护的开展产生抗拒心理。三是对人脸信息保护与人脸识别技术发展之间的平衡把握不到位,认为对人脸信息的保护会阻碍人脸识别技术及其产业的发展,对检察机关提出的人脸信息保护要求不予重视。四是受畏难情绪影响,不愿意作为。有的行政机关为避免行政诉讼,在没有绝对把握之前一般不会作出行政行为,加之有的法律在法律责任条款上的用词是有关主管部门“可以”采取相应措施,而不是“应该”采取相应措施,使得有的行政机关在执法上不够主动,宁愿退后。综上,这些“心结”导致部分行政机关在检察机关开展人脸信息公益保护时配合度不高,给检察机关的工作带来一定的困难。
行政公益诉讼的“全面铺开”也只有短短几年时间,有关概念尚未厘清,立法规定尚不明确,各方认识存在巨大分歧,也给检察机关提起人脸信息安全公益诉讼带来一定的阻力。
根据行政诉讼法第25条的规定,检察机关行政公益诉讼针对的是行政机关违法行使职权或者不作为“致使国家利益或者社会公共利益受到侵害的”。如何理解“侵害”?所谓“侵害”是否要求实际损失,抑或行为本身违法或违约具有造成实际损失的风险已经构成侵害?“实害说”观点认为,侵害要求实害,实际上已经遭受了财产、名誉或其他损失。比如有学者指出,最高人民检察院2015年下发的《检察机关提起公益诉讼试点方案》中规定的起诉条件之一就是行政行为已经造成了公益的实际损害,检察机关无论是提起诉前督促程序还是向法院正式起诉都必须提供公共利益受到具体损害的初步证据材料。“非实害说”观点则认为,侵害不与实际损害划等号,存在实际损害当然是侵害,但不存在实际损害的结果,只要有侵犯权益的行为存在,也属于“侵害”。正如有的学者所指出的,大数据时代对个人信息的利用仅表明存在致害风险,马上发生有形侵权损害的情形很少见。在信息处理者非法收集、利用信息行为并且对信息权利主体构成间接损害时,行政机关就应该积极履职纠正其不当行为。因此,对于行政诉讼法第25条规定的“侵害”状态的认定有必要进行适度放宽的理解,即只要相关行为主体实施了侵犯公民个人信息自决权等权利到一定程度时,检察机关就可认定信息公益受损之状态已经形成。还有的学者指出,行政公益诉讼的目的在与纠正行政机关的违法行为或不作为,诉前程序的启动以检察机关认为行政机关有违法行使职权或者不作为即可,不以实际损失已经发生为条件,因为行政违法本身就是对秩序公益的侵害,不需要增加在特定领域公共利益确实受损的证据。对“侵害”是否要求实害的认识分歧对检察机关提起人脸信息行政公益诉讼产生了不小的阻力。
人脸信息安全公益诉讼案件办理过程中涉及到的第二个认识分歧涉及到对“公共利益”的理解,即对人脸信息的侵犯是否构成对社会公共利益的侵犯?行政公益诉讼中的“社会公共利益”的认定目前没有确立相应的理论标准,法律规范中也没有明确的具体规定,实践中也缺少相对统一的做法。具体到人脸信息的问题上,“肯定说”观点认为,个人信息具有超个人的法益,对人脸等个人信息的侵犯就是对社会公共利益的侵犯;“否定说”观点认为,人脸信息属于个人信息,对其的侵犯属于个人利益的问题,不宜纳入到社会公共利益的范畴;而“折中说”则认为,要根据具体情况分析,例如社会共同领域内的人脸识别技术的使用涉及到社会公共利益,但小区、单位内使用人脸识别门禁或打卡设备则仅涉及个别群体的利益,不涉及到公共利益。对“公共利益”的不同理解也对检察机关人脸信息行政公益诉讼的展开带来了不少的质疑。
行政公益诉讼立案条件之一就是行政机关可能违法行使职权或者不作为。对于“违法行使职权”的认定相对比较统一,而对“不作为”的理解却存在较多的争议,这从“违法行使职权”引起的诉讼数量远低于不作为引起的诉讼数量中也可见一斑。在行政公益诉讼实践中,“不作为”的争议主要聚焦在是以“形式合法”还是以“实质合法性”为标准。第一,当立法存在空白或行政机关职责规定不清时,行政机关认为,没有作为并不构成“不作为”;而检察机关则认为,行政机关还应当依据法律原则和精神积极作为,在可作为而不作为时构成“不作为”。例如,在“江岸区人民检察院诉武汉市国土与资源局行政公益诉讼案”中,国土部门认为,法律只授权其作出行政处罚决定,并要求其作出处罚决定后移交给同级财政部门处理,或拟订处置方案报本级人民政府批准后实施,因此其没有强制执行的权力,没有执行其行政处罚决定不属于“不作为”;而检察机关则认为,国土部门没有与财政部门协商执行行政处罚决定,也没有向法院申请强制执行,同时也没有采取其他制止侵害行为的措施,属于“不作为”。第二,行政机关认为自己已经勤勉履职,但由于其不可控的阻却因素不能完成履职任务的,不属于“不作为”;检察机关则从遭受侵害的国家利益和社会公共利益是否得到恢复的结果角度出发,认为这仍然属于行政机关的“不作为”。例如,在“庐阳区人民检察院诉合肥市排水管理办公室不履行法定职责案”中,行政机关认为其已经尽到履职义务,指示由于“等待政府审批费用”与“走政府审批程序”等原因而没有有效处置涉案污泥;检察机关则认为,这些阻却因素属于行政机关内部行政管理制度要求,不具有对抗其在行政法层面怠于履职的效力,混淆了内部监管上的履职与行政法上的履职的区别。对“不作为”的判断标准的认识分歧也是检察机关开展行政公益诉讼中面临的问题之一。
三、个人信息安全行政公益诉讼制度的建构与发展
正如中共中央《关于加强新时代检察机关法律监督工作的意见》中所指出的,要“积极稳妥拓展公益诉讼案件范围,探索办理个人信息保护领域公益损害案件,总结实践经验,完善相关立法”。个人信息安全行政公益诉讼制度的建构与发展离不开人脸信息公益保护顶层设计的完善、“双赢多赢共赢”理念的贯彻以及法律适用上的认识统一。
人脸信息公益保护顶层设计的完善包括两个方面,即人脸信息保护法律制度的完善以及个人信息安全行政公益诉讼法律制度的完善。
如前文所述,我国目前的法律制度对人脸信息保护不甚完善,没有针对人脸识别的定义或针对人脸信息(生物识别信息)的基础性规定,没有针对人脸图像和人脸信息的具体界分,人脸信息的归类尚不明确,人脸信息的“知情-同意”模式具体如何构建尚在讨论之中。人脸信息安全公益诉讼的展开是建立在人脸信息法律保护的基础之上的,因此有必要首先完善人脸信息保护的法律规范。
个人信息保护法中有关人脸识别或人脸信息的相关规定还是比较原则和笼统,但该法第61条规定,国家网信部门统筹协调有关部门依据本法推进下列个人信息保护工作:(一)制定个人信息保护具体规则、标准;(二)针对敏感个人信息以及人脸识别、人工智能等新技术、新应用,制定专门的个人信息保护规则、标准。因此,检察机关应当积极实践探索,加强理论研究,将人脸信息安全检察公益诉讼中发现的立法空白和漏洞向国家网信部门通报,推动相关规则和标准出台,促进人脸信息保护法律制度的完善。其主要内容应包括:(1)人脸识别和生物识别信息的具体定义;(2)人脸图像与人脸信息的区别与联系;(3)人脸识别技术的使用规则;(4)人脸信息的特殊保护规则;(5)明确行政监管的职能和权限等等。
目前,我国人脸信息安全行政公益诉讼处于探索和拓展阶段,在立法层面尚没有直接明确规定,这也是检察机关公益诉讼工作遭受一定阻力、得不到相关部门积极配合的原因之一。因此,要完善人脸信息公益保护的顶层设计,就需要明确地将个人信息安全纳入行政公益诉讼的范围中。这一法律制度的完善在修法模式上具有三种选择:在行政诉讼法中增加相应规定;在个人信息保护法中增加相应规定;出台专门的公益诉讼法。笔者赞同适时出台公益诉讼法以构建涵盖个人信息安全领域在内的中国特色公益诉讼制度。首先,从公益诉讼的试点到制度的立法确认再到现在范围的积极稳妥拓展,公益诉讼案件所涵盖的领域越来越广,若继续沿用之前的立法确认模式(作为特别规定嵌入民事诉讼法、行政诉讼法中以及以诉权条款的宣示性规定嵌入各具体领域内的实体法中)将会导致公益诉讼立法极其分散、制度和规则之间冲突时有发生、法律规定过于原则和存在诸多立法空白等问题。而具体到个人信息安全行政公益诉讼制度的立法构建,因为个人信息保护法目前已经审议通过,短期内再修法加入公益诉讼诉权条款的可能性极低。其次,公益诉讼是与民事诉讼和行政诉讼等私益诉讼是一种并列关系,而非特别与一般的关系。在民事诉讼法和行政诉讼法框架下嵌入一整套公益诉讼的特别程序,一方面会对民事诉讼和行政诉讼观念和制度产生巨大的冲击,另一方面也很难构建属于公益诉讼特有的观念和制度,从而产生法律适用上的混乱和制度发展的偏离。因此,要探索和总结各类公益诉讼案件的共性,寻求公益诉讼体系化立法的合力,系统构建公益诉讼基本原则、基本制度和具体规则,出台公益诉讼法,构建一般性的当然涵盖个人信息安全的行政公益诉讼制度。司法实务中,最高人民检察院已经出台《公益诉讼办案规则》,为《公益诉讼法》的出台奠定了一定的文本基础。
在构建和完善个人信息安全行政公益诉讼制度时要注重“双赢多赢共赢”理念的贯彻落实,具体主要表现在以下几点:
目前,我国人脸信息安全行政公益诉讼几乎都在诉前程序结案,鲜有进入审判程序的案例。有的学者认为,争议通过诉前程序得以解决导致的履行诉前程序案件与提起诉讼案件的倒挂现象,用诉前程序履行程度高导致起诉低的理由并不具有说服力,这只能说明检察公益诉讼更关注于发挥监督职能而不是关注发挥司法保障的功能,但检察公益诉讼制度建构本来就是以“诉讼”为重点的,因此要警惕制度运行偏离初心的现象。笔者认为,这一观点是对行政公益诉讼制度重心和初心的误读。特别是对于一些容易出现‘九龙治水’疏漏,或者必须齐抓共管的‘老大难’问题,诉前程序具有统筹协调、督促多个职能部门综合治理,以最小司法投入获得最佳社会效果。因此,解决违法行为不必诉至法庭,这是公益诉讼与普通行政诉讼的重要不同之处。”由此可见,与行政机关在法庭上一争高下并不是行政公益诉讼的目的,行政公益诉讼追求的是双赢多赢共赢,因此对于整个行政公益诉讼制度的构建和完善应突出以诉前程序构建和完善为重点。
诉前程序中最能体现“双赢多赢共赢”理念的程序就是与行政机关的磋商。通过在与行政机关的磋商,检察机关可以向行政机关充分传达两者工作目标和追求效果上的一致从而赢得行政机关的配合与协作,可以进一步充分调研获取更详细的一手资料从而作出更为合理可行的检察建议,可以深入了解行政机关的履职阻力以帮助行政机关解决需要协同解决的顽疾难案,实现双赢多赢共赢。张军检察长也多次强调,要将磋商作为提出检察建议的必经程序,因此要进一步加强行政公益诉讼诉前程序中与行政机关的磋商机制建设,明确磋商程序的法定性,拓展磋商的形式多样性。
中共中央《关于加强新时代检察机关法律监督工作的意见》有关于“积极稳妥推进公益诉讼检察”中首先提到的就是要建立公益诉讼检察与行政执法信息共享机制。信息的价值在于共享,我国目前还存在“信息孤岛”的现象,检察机关与行政机关之间还没有做到信息互联互通、相互分享和整合利用。建立公益诉讼检察与行政执法信息共享机制,不仅可以在一定程度上简化检察机关调查取证程序和破解检察机关调查取证难的问题,还可以确保诉前程序有效启动,督促行政机关及时履职,形成个人信息保护工作的合力,实现监督者和被监督者的互动双赢。
要达到“双赢多赢共赢”的目的,法律适用上的认识统一就成为检察机关和行政机关乃至学界和整个实务界的共同目标。如前文所述,人脸信息安全检察公益诉讼涉及到的法律适用问题主要包括对“侵害”“公共利益”和“不作为”的认识分歧的统一。
关于“侵害”是否需要满足“实际损害”的要求,笔者赞同在人脸信息安全领域采纳“否定说”,即侵犯公民人脸信息的行为本身就满足侵害的要求,而无需公民已经遭受实际损害。这一理解也得到最高人民法院的认可。最高人民法院刚刚颁布的《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》第2条对“侵害自然人人格权益的行为”作出了列举+兜底的详细规定。从这一规定中可以明确看到,“侵害”只要具有违法违规或违约处理人脸信息的行为即满足要件,而无需实害结果。
关于“公共利益”的统一认识。学界虽然对公共利益的概念和范围仍然存在争论,但对于公共利益是涉及到多数人或不特定人的利益这一点还是存在共识的。因此,可以得出的结论是,侵犯不特定人或多数人的人脸信息关系到公共利益,针对个别特定人的人脸信息的行为不涉及公共利益。那么,是否如前文所述的“折中说”那样,小区、单位内使用人脸识别门禁或打卡设备则仅涉及个别群体的利益,不涉及到公共利益。笔者认为答案是否定的。小区或单位使用人脸识别门禁或打卡设备虽然主要是涉及特定的群体,但首先这个群体人数可以非常庞大,构成多数人;其次,小区或单位外的人也会进入小区和单位,其门禁系统涉及的也是不特定人,因此也同样涉及到共同利益。同时,需要注意的是,行政公益诉讼关注的重心是行政机关的违法行使职权和不作为而导致的对国家或社会公共利益的损害,在这一层面上的公共利益的理解,有学者已经作出了非常精辟的阐述:“行政权的特征之一是具有公益性,行政权的基本价值取向就是追求公共利益。因此,一旦享有行政权的主体违法行使职权或不作为,就构成了对国家利益或者社会公共利益的侵害”。
在行政公益诉讼实践中,“不作为”应以“实质合法性”为标准。检察机关的法律监督是保护国家利益和社会公共利益的重要力量,行政公益诉讼的正当性也来源于对国家和社会公共利益的保护,因此评判行政机关“不作为”的标准也应当从对国家和社会公共利益的保护角度出发,即“实质合法性”。这一标准在实践中也得到了法院的高度认可和采纳。至于行政机关提出的由于立法存在空白或行政机关职责规定不清或其不可控的阻却因素而没有履职或不能完成履职任务,这恰恰就是行政公益诉讼的重要意义之一。通过行政公益诉讼,帮助行政机关查找问题,共同解决问题。对于目前可以协调解决的,行政机关予以解决;而对于没有怠于履行监督管理职责情形,但因突发原因等客观原因不能完成履职任务的,人民检察院可以中止审查。最为重要的是,针对行政公益诉讼中发现的立法空白、职责规定不清以及其他阻却因素,人民检察院可以向相应的立法机关、上级行政部门汇报通报,以推动相关法律的修改或建章立制,更好地保护国家或社会公共利益。
当然,以上论述不能涵盖大数据时代个人信息安全行政公益诉讼制度的建构与发展的全部内容,如何加强检察机关公益诉讼职能宣传、拓展线索来源,如何借助外脑外力、整合发挥检察机关内外合力优势,如何加强检察机关调查核实能力和机制建设、充分发挥检察一体化办案优势,如何强化诉前检察建议的具体性和可操作性以及如何加强诉前程序与诉讼程序的衔接等问题还值得进一步研究,本文限于篇幅关系没有涉及,有待未来继续深入研究。
往期精彩回顾
陈帅 温雅璐|数据犯罪司法评价之困境与突破——以刑法保护与前置性立法衔接为视角
上海市法学会官网
http://www.sls.org.cn