个人信息保护检察民事公益诉讼的困境及解决路径
作者: 夏超[摘 要]个人信息侵权案件具有隐蔽性与可删除性,私益诉讼无法实现对社会公共利益的有效保护,因此个人信息保护领域引入检察民事公益诉讼制度的现实紧迫性日益增强。《个保法》第70条规定了个人信息保护检察民事公益诉讼制度,但该规定较为笼统,司法实践仍面临起诉条件认定标准不清晰、诉讼请求适用规范实效差、检察机关起诉顺位不明确,以及依赖刑事附带民事公益诉讼等诸多困境。为此,应当在厘清个人信息保护检察民事公益诉讼理论基础上,根据社会公共利益的实质特征,制定权益损害认定规则,完善侵权人责任承担方式,明确公益诉讼检察机关起诉顺位,优化个人信息民事公益诉讼起诉类型选择,以期构建一个更加公正、透明和高效的个人信息保护检察民事公益诉讼制度。
[关键词]个人信息保护;社会公共利益;检察民事公益诉讼;权益损害认定
[中图分类号]D925.1 [文献标志码]A [文章编号]2096-1308(2025)01-0046-10
党的二十大报告将“加快构建促进数字经济发展体制机制”确立为现代化产业体系建设的关键路径,标志着我国数字经济发展从规模扩张转向质量提升的新阶段。在数据要素被正式纳入生产要素制度性框架的背景下,数据安全治理已成为关乎数字经济健康发展的基础性工程。其中,个人信息安全作为数据安全的基础,已然成为重大时代课题。随着人工智能、区块链等技术的迭代突破,个人信息的交互性与动态性不断增强,个人信息的泄露、滥用和非法交易等现象屡见不鲜。工业和信息化部2023年数据显示,我国数字经济领域个人信息泄露事件年均增长率达37.6%,由此衍生的黑灰产业链规模已突破千亿元,数字经济发展受到严重威胁。
在此背景下,《中华人民共和国个人信息保护法》(以下简称《个保法》)第70条将检察民事公益诉讼扩展至个人信息保护领域,通过赋予检察机关程序启动权,构建起公私法协同的个人信息保护屏障。最高检2022—2023年法律监督报告显示,该制度实施首年即促成个人信息侵权案件查处效率提升42%,彰显出制度创新的实践价值。但相较于消费者权益领域与环境保护领域成熟的公益诉讼制度,个人信息领域检察民事公益诉讼规定多为原则性规定。法律规范的模糊性必然导致司法适用问题层出不穷,从而降低个人信息检察民事公益诉讼有效性。为防止个人信息检察民事公益诉讼功能偏离,应在辨析个人信息检察民事公益诉讼相关理念的基础上,明确其法理依据和实践功能,深入剖析当前所面临的适用困境,探索个人信息检察民事公益诉讼的新路径,在社会经济发展与个人信息社会公共利益保护之间实现动态平衡。
一、个人信息保护检察民事公益诉讼理念及功能
在深入检视个人信息保护检察民事公益诉讼困境之前,必须从理论层面厘清个人信息保护检察民事公益诉讼的理论基础,明确其法理依据和实践功能。
(一)个人信息与公共利益
1.个人信息内涵与属性
1995年欧盟《一般数据保护条例》(GDPR)将个人数据定义为与已识别或可识别的自然人相关的信息。从《中华人民共和国民法典》(以下简称《民法典》)第1034条的规定知悉,个人信息是指通过电子或其他类似方式记录的且能够识别特定自然人的各种数据。随后2021年施行的《个保法》第4条特别指出,个人信息不包括经匿名化处理后的信息。由此可以看出,个人信息与非个人信息最大的区别在于“可识别性”,即是否能够依据现有的个人信息,结合相关技术识别并关联至特定的自然人。
个人信息的权利归属,在我国学术界具有较大的争议,支持度较高的学说有隐私权说、新型人格权说、财产权说等。周汉华认为,个人信息权本质上是一种新型的公法权利,应当与人格权区别对待。[1]王利明认为,个人信息权并非传统的隐私权,应当将其看作一种新型的人格权。[2]除了以上观点外,有的学者还认识到单一的权利归属无法涵盖个人信息保护范围,提出了个人信息权利混合说。刘德良教授认为个人信息权同时具有财产权与人格权双重属性,是人格权的财产化,应当具体情况具体对待。[3]本文赞同混合说的观点,认为个人信息权主体对于其个人数据具有限制他人的控制权。个人数据记载了不同个体所特有的身份以及财产信息,具有极强的人权和特殊的财产属性,个人信息主体当然地对其个人信息享有控制、处分的权利。但值得注意的是,此处控制、处分的权利只能理解为限制他人使用的权利,并非完全排除他人使用的权利,例如出于公共利益处理个人信息等例外情况。
2.个人信息公共利益界定
“公共利益”作为学术领域中最为模糊和多变的概念之一,其定义和内涵往往因不同的理论视角和实践背景而有所差异。[4]“公共利益”的不确定性表现为概念的宽泛性、内容的时代性,以及受益对象的不特定性。在“公共利益”内涵的域外研究中,“正义说”认为,“公共利益”具有正义性,表现为个别利益的一致性,其实现有利于实现公共幸福。[5]“个人利益总和说”认为,“公共利益”就是公共体内若干个体利益的总和。[6]“多数人说”认为,“公共利益”应当是一种不确定多数人的利益,强调数量上需要达到多数的标准。[7]与之相应的“地域说”则认为,“公共利益”应当是一定空间内大多数人的利益。对此,我国学者也提出了不同观点,梁慧星通过列举的方式阐述“公共利益”,如公共交通、公共卫生及文化教育事业保护等。[8]刘连泰认为,反向排除实体法已经设置诉讼主体的其他利益,即可无限地接近“公共利益”的内涵。[9]
本文认为个人信息中的“公共利益”的概念主要体现在个人信息的内在价值与社会功能上。个人信息的内在价值涉及社会公众普遍的利益。《个保法》等法律法规赋予了个人信息主体对其个人信息的知情权、确定权、删除权等各项权利——涵盖了人格性权益和财产性权益。在实践中,个人信息的内在价值蕴含以下几个方面:一是意思自治的价值,即为对抗个人信息处理者可能造成的风险,赋予个人信息主体在充分知晓处理行为的基础上,参与到个人信息的处理事务之中;二是平等对待的价值,即在个人信息不正确或者缺失的情况下,赋予个人信息主体更正、补充个人信息的权利,避免可能造成的信誉侵害;三是安全价值,即为防止信息泄露以及非法处理个人信息的行为,赋予个人信息主体删除权;四是财产价值,即赋予个人信息主体对个人信息的财产进行使用,实现个人信息的财产利益。个人信息的社会功能在于满足社会发展的需要,具体表现为两个方面:一方面,个人信息具有极强的个体识别性,是个人参与社会生活识别身份与建立联系的工具,社会也对流通中的个人信息有共享的权利;另一方面,随着大数据技术的进步与发展,海量个人信息在经过整合与分析后,被赋予了巨大的社会价值,已然成为推动社会发展的重要基础资源。例如,大数据分析可以为打击犯罪、疫情防控、预防灾害发生等社会治理工作提供智力支持。
(二)个人信息保护检察民事公益诉讼功能
党的十八届四中全会首次提出“探索建立检察公益诉讼”,为全面促进生态环境可持续发展作出了突出贡献。2017年,《中华人民共和国民事诉讼法》(以下简称《民诉法》)进一步强调了检察机关民事公益诉讼的职权。在此背景下,结合《个保法》第70条的规定,我国个人信息检察民事公益诉讼可以定义为:在履行职责过程中,检察机关若发现信息处理者存在违法处理个人信息、侵害众多信息主体合法权益、危害社会公共利益,可依法向人民法院提起民事公益诉讼。
个人信息保护检察民事公益诉讼特征主要体现在以下两个方面:一方面,诉讼主体更具有优势地位。检察机关具有丰富的办案经验,在举证能力与法律职业素养上都远胜其他主体,其作为个人信息民事公益诉讼主体,能够最大程度地保护个人信息领域中的“公共利益”。另一方面,诉讼客体的公益性,如前文所述,随着大数据技术的发展,个人信息的价值不仅局限在私益价值中,而且严重侵犯个人信息的行为可能会威胁社会管理秩序,危害社会信息安全。
此外,个人信息保护检察民事公益诉讼还具有事前预防与事后救济的功能。私益诉讼多贯彻“无损害即无救济”的理念,但此种理念在个人信息保护领域显然是不合适的。个人信息的人格属性和财产属性注定了侵害结果的不可控性与不可逆性,即使被侵害人得到充分救济,侵害行为造成的损害也难以消除。公益诉讼除具有一般私益诉讼的事后救济功能外,更注重事先的预防作用,能够有效地预防个人信息侵害案件的产生。
二、个人信息保护检察民事公益诉讼困境
相较于消费者权益保护领域与环境保护领域成熟的公益诉讼制度,个人信息保护检察民事公益诉讼的规定较为笼统,缺乏针对性规范,导致实践中个人信息保护检察民事公益诉讼制度的适用出现诸多问题。
(一)起诉条件认定标准不清晰
《个保法》仅规定了个人信息保护民事公益诉讼制度,但并未规定案件的起诉标准,导致实践中操作难度较大。一方面,将“违反本法规定”作为案件的认定标准之一,严格限定的起诉条件与个人信息保护不断产生的新型侵权行为相矛盾;另一方面,该条将“侵害众多个人的权益”定义为公益诉讼救济的客体,但关于公共利益是否等价于“众多”个人信息权益,学术界仍存在较大争议。有的学者认为只要侵害了“众多”个人信息权益,就意味着侵害主体通过信息技术的加持对不特定人产生威胁。[10]也有的学者认为“众多”个人信息权益并非等价于公共利益,除非“众多”个人信息指向不特定多数人的个人信息权益。[11]正如前文所述,公共利益具有不确定性、动态性等特征,主要指多数人的利益,将“众多”的概念代替“多数”的概念似乎并无问题,但实际中判断是否应用个人信息保护检察民事公益诉讼,关键在于是否侵犯了社会公共利益,而非单纯依据涉及个体的广泛性。若仅以“众多”为判定标准,则可能导致公益诉讼的适用范围无限制地扩张,这对于本应适用公益诉讼的个人信息案件而言,实为不利。
此外,将有关个人信息案件中损害的理解局限在“实质损害”不利于个人信息权益的保护。有的学者认为,只有个人信息权益损害实质上已经发生,才能够得到司法救济,而仅仅具有受到损害的风险,不足以纳入民事公益诉讼保护的范围。但更多的学者主张对损害进行扩张解释,即应当将“潜在风险”纳入个人信息受到损害的范围中。[12]在司法实践中,司法人员也逐渐认同将“风险等同于损害”的做法,将“潜在的风险”纳入民事公益诉讼保护的范围。个人信息具有极强的人格与财产属性,个人信息一旦受到侵害就会产生严重且不可逆的损失,仅关注“实质损害”势必会严重威胁社会公共利益。
(二)检察机关起诉顺位不明确
检察机关主要依据《民诉法》第58条和《个保法》第70条规定,提起个人信息公益诉讼,然而,这两部法律对于检察机关在公益诉讼中作为起诉主体的优先顺序有着不同的规定。《民诉法》明确规定只有在第一顺位起诉主体不提起诉讼或不存在第一顺位起诉主体的情况下,检察机关才能作为第二顺位的起诉主体提起民事公益诉讼,发挥兜底性作用。相比之下,《个保法》将检察机关置于可依法提起个人信息民事公益诉讼的三大起诉主体之首,更加强调检察机关作为首要起诉主体的地位。有观点认为,《个保法》将检察机关位列首位起诉主体,并非意味着其可作为首位起诉主体,而是应当遵循《民诉法》第58条规定,起兜底性作用。但也有观点认为,检察机关作为个人信息保护民事公益诉讼起诉主体更能够保护社会公共利益,在此种情况下,不应当局限于《民诉法》相关规定,不应当限制检察机关的起诉顺序。
无论何种观点,不可否认的是,立法上的差异势必会阻碍个人信息保护检察民事公益诉讼实践中的有效性。因此,有关个人信息保护民事公益诉讼的起诉顺位问题亟待厘清。
(三)诉讼请求适用规范实效差
《民诉法》与《个保法》并未明确规定侵权者应当承担何种民事责任,立法机关倾向于采取《民法典》的相关规定。《人民法院审理人民检察院提起公益诉讼案件试点工作实施办法》规定:“人民检察院提起民事公益诉讼,可以向人民法院提出要求被告停止侵害、排除妨碍、消除危险、恢复原状、赔偿损失、赔礼道歉等诉讼请求。”《个保法》第69条赋予了受害人主张侵权损害赔偿的权利——侵权损害赔偿责任以个人因侵权行为受到的损失或者以侵权人因此获得的经济利益为限,若损失或者可能带来的收益无法计算,则根据案件具体情况确定民事赔偿数额。但《个保法》并未明确规定在个人信息保护民事公益诉讼中,诉讼主体是否有权提出侵权损害赔偿,以及哪些主体可以提出侵权损害赔偿。
在个人信息保护民事公益诉讼中,由于侵害行为的隐蔽性与特殊性,其造成的损失往往难以计算,可能导致诉讼请求不被法院支持,诉讼效果不尽如人意。在司法实践中,检察机关主张侵权损害赔偿存在以下几种情况:一是面对无法查明非法获利数额或者造成实际公共利益损失的案件,最终赔偿数额的确定为司法裁量留有较大的空间。二是面对非法侵害个人信息,但未获得经济利益的情形,检察机关一般不会主张侵权损害赔偿,而是主张停止侵害,赔礼道歉。此种诉讼结果使得此类行为的违法成本变得极低,变相纵容了个人信息侵权案件的发生。三是面对多个侵权主体同一侵权行为违法收益不同的案件,倘若检察机关仍根据违法获利实际情况提起侵权损害赔偿,则会造成“同案不同判”,破坏个人信息检察民事公益诉讼的公正性。