1. 引言
在人工智能、数字经济、数据赋能交汇的时代背景下,类Chat GPT产品的问世,无疑是对当下新人工智能技术的革新。2022年11月,美国OpenAI公司发布了一款基于超大规模人工智能模型的人机对话应用程序Chat GPT,作为人工智能技术驱动的自然语言处理工具,具有深度抓取信息的能力。2023年3月16日,百度正式推出大语言模型“文心一言”,4月7日阿里云也发布人工智能大模型“通义千问”。类Chat GPT人工智能的快速发展引发人们对隐私、数据安全、个人信息保护的深度忧虑,《个人信息保护法》颁布实施已有一年之余,对个人信息安全和利用提供了规范指引。
《个人信息保护法》第七十条创设个人信息保护民事公益诉讼制度,对利用信息技术大规模非法收集、存储、使用、加工、传输、提供、公开、删除个人信息,制止侵害个人信息公共利益的违法行为提供了有力的制度支撑。《个人信息保护法》第七十条作为一般性规范,原则上确立了个人信息保护民事公益诉讼的基本构成要件,赋予检察机关、消费者组织等合法的公益诉讼资格。但鉴于该条款原则性、概括性的规定,存在个人信息保护民事公益诉讼要件之一的“众多”个人权益是否等同于社会公共利益,检察机关、消费者组织等主体提起诉讼是否存在顺位、侵害个人信息权益造成“损害”是否包含风险状态、个人信息保护民事公益诉讼是否适用惩罚性赔偿责任等疑问。透过对《个人信息保护法》施行以来的司法实践典型案例作实证观察,可以更好地明晰对个人信息民事公益诉讼的规范理解,同时更好地为司法实践提供借鉴。
2. 《个人信息保护法》对个人信息保护民事公益诉讼的现有规范解读
我国立法上之前已经构建了消费者权益保护和生态环境保护两大公益诉讼,随着《个人信息保护法》颁布实施之后,又新增设个人信息保护民事公益诉讼,共同构成了当下民事公益诉讼体系。《个人信息保护法》第七十条规定了可提起个人信息民事公益诉讼的构成要件与具备合法性的诉讼主体资格 [1] 。无论是一般侵害个人信息,还是侵害“众多”个人信息权益,在构成要件上都满足一般侵权的构成要件,而个人信息保护民事公益诉讼特殊在其构成要件多了侵害“众多”个人信息权益,以至损害社会公共利益,下面对《个人信息保护法》第七十条规定的个人信息民事公益诉讼的规范进行解读 [2] 。
2.1. 侵权主体:个人信息处理者
首先,个人信息处理者是实施侵害个人信息行为的主体,也是个人信息保护民事公益诉讼的被诉主体。凡是在个人信息处理活动中居于自主决定处理目的、处理方式,皆是个人信息处理者,具体包括组织或者个人。我国民法典对民事主体制度采三分法,具体包括自然人、法人、非法人组织,所以《个人信息保护法》第七十条规定的组织是指法人、非法人组织两大类。
2.2. 违法行为:违法处理个人信息
《个人信息保护法》第七章侵害个人信息的法律责任中,多次在规范表达上使用“违反本法规定处理个人信息”,违反本法规定处理个人信息是提起民事公益诉讼的前提 [3] 。违反本法规定处理个人信息的情形具体多样,涉及违反《个人信息保护法》规定的个人信息保护的各项基本原则、侵害个人信息权利束下的各种权益、违反《个人信息保护法》第十条的禁止性规范,如非法收集、使用、加工、传输、非法买卖、出售、提供或者公开他人个人信息。总之,个人信息处理者违法处理个人信息的形态多样,其核心特征即具有违法性。
2.3. 侵权对象:侵害众多个人的权益
《个人信息保护法》规定了“损害众多个人利益”是提起民事公益诉讼的构成要件,但未对“众多”的内涵作出明确规定。“损害众多个人信息利益”在于契合民事公益诉讼的内在要求,符合司法救济的谦抑性,只要侵权人违法处理个人信息损害众多个人信息利益,等同于损害社会公共利益,发动司法救济体系中的个人信息保护民事公益诉讼才具有正当性。
2.4. 后果形态:侵害个人信息权益造成损害
个人信息处理者侵害个人信息权益造成损害,是个人信息侵权的后果形态。侵害个人信息造成的具体后果形态,内容上包括财产损失和非财产损失,形态上包括了实际损失和危险状态,个人信息利益侧重于体现非财产性内容的人格权利益,但在商业性使用下可体现出一定的财产利益。
2.5. 诉讼主体:检察院、法律规定的消费者组织和由国家网信部门确定的组织
《个人信息保护法》第七十条规定提起个人信息保护公益诉讼的主体有三个,包括检察机关、法定的消费者组织、国家网信部门确定的组织。在《个人信息保护法》尚未出台之前,司法实践中人民检察院已经作为诉讼主体提起个人信息民事公益诉讼,司法实践先于立法而行。通过立法规定,赋予人民检察院等主体提起个人信息保护民事公益诉讼的合法性。
3. 对个人信息保护民事公益诉讼典型案件实践检视
本部分主要以最高人民检察院和最高人民法院发布的典型案例、指导案例对司法实践中的个人信息保护民事公益诉讼进行案件检视。
3.1. 最高人民检察院发布的典型案例
2023年3月30日,最高检发布最新一批个人信息保护检察公益诉讼典型案例1,其中有4件是民事公益诉讼案件(如表1)。
Table 1. Typical cases published by the Supreme People’s Procuratorate
表1. 最高人民检察院发布的典型案例
3.2. 最高人民法院发布的典型案例
2022年12月26日,最高人民法院发布了第35批指导性案例的通知(法〔2022〕265号)2,其中有2个民事附刑事的个人信息公益诉讼指导性案例(如表2所示)。2022年4月11日最高院发布了9件人格权典型民事案例3,其中有1个关于个人信息公益诉讼典型案例(如表2所示)。
Table 2. Guiding cases issued by the Supreme People’s Court
表2. 最高人民法院发布的指导性案例
3.3. 最高人民检察院发布的典型案例
2022年3月2日,最高人民检察院关于印发《最高人民检察院第三十五批指导性案例的通知》4,其中关于个人信息公益诉讼的案例有1个,2021年4月22日,最高检发布了11件个人信息保护公益诉讼典型案例5,其中5件为个人信息保护民事公益诉讼案件(如表3所示)。
Table 3. Typical cases published by the Supreme People’s Procuratorate
表3. 最高人民检察院发布的典型案例
3.4. 典型案例的特征考察
从上述案例呈现来看,有如下特征,一是个人信息侵权的违法行为形态多样,涉及违反《个人信息保护法》对个人信息保护的基本原则、侵害个人信息权利束下的各种权益、违反《个人信息保护法》第十条的禁止性规范,如非法获取、处理或者公开他人个人信息。二是受侵害个人信息的权利主体众多,牵涉成千上万的民众。三是侵害个人信息权益的对象各异,涉及各种信息内容,四是侵害个人信息造成的损害既包括实际损失,也包括造成的风险。五是人民检察院作为提起个人信息保护民事公益诉讼的主体之一,有些地方的人民检察院会履行诉前公告程序,如没有其他主体提起公益诉讼,人民检察院才后位提起民事公益诉讼。六是个人信息民事公益诉讼中侵权主体承担的民事责任既有传统的如停止侵害、赔礼道歉、赔偿损失,也有如组织作为侵权主体承担业务整改、制定整改计划书、合规、接受监管部门的监管等责任形式。
4. 个人信息保护民事公益诉讼的理论反思
对上文表中司法实践对个人信息公益诉讼呈现出来的案例数据进行实证分析观察,主要发现以下问题:一是提起个人信息民事公益诉讼构成要件之一的侵害“众多”个人权益是否等同于侵害社会公共利益、二是侵害个人信息权益造成“损害”是否包含风险、三是检察机关等主体提起个人信息民事公益诉讼是否存在顺位、四是个人信息保护民事公益诉讼是否承担惩罚性赔偿责任,通过对相关问题进行理论反思,以更好发挥民事公益诉讼在个人信息保护中的实效。
4.1. “众多”个人权益是否等同于社会公共利益
《个人信息保护法》第七十条将侵害“众多”个人信息权益作为提起公益诉讼的要件之一,但从文义解释上,无法明确侵害众多个人信息权益是否等同于损害个人信息公共利益 [4] ,《个人信息保护法》立法宗旨,是在确保个人信息安全的前提下,依法促进个人信息的合理利用。在一定意义上,由个人信息安全和不特定私主体个人信息权益束共同构成个人信息社会公共利益。侵害“众多”个人信息权益不一定构成侵害个人信息公共利益,提起民事公益诉讼的构成要件之一就是要满足社会公共利益遭受侵害造成损害,如果不满足损害社会公共利益,则显然不符合民事公益诉讼的本质和制度价值。
《个人信息保护法》第七十条将侵害“众多”个人信息权益作为提起公益诉讼的要件之一,侵害“众多”个人信息权益在认定侵害社会公共利益应将其作为形式要件,结合个人信息保护的具体情形,将个人信息安全和不特定私主体个人信息权益束,作为判断侵害社会公共利益的实质性标准,合理界定侵害“众多”个人信息权益损害社会公共利益 [5] ,既不扩大公益司法救济的范围,又符合民事公益诉讼的本质。
4.2. 侵害个人信息权益造成“损害”是否包含风险
《个人信息保护法》第六十九条是关于个人信息权益损害的侵权责任,是否存在损害是侵害个人信息权益承担责任的要件之一,侵害个人信息以权益受到损害为前提。在典型案例中,通过非法买卖、出售、提供或者公开、泄露等方式侵害个人信息权益造成损失,也有个人信息处理者不当处理导致个人信息面临损害风险,给自然人信息权益主体带来威胁。在司法实践中,侵害个人信息权益的行为造成的损害既有实际损失,又包括利益危险、损害风险,因此在司法实践中不宜将侵害个人信息权益造成损害仅限制于实际损失,而应把侵害个人信息导致危险,也作为认定侵害个人信息的后果形态。
4.3. 检察机关提起诉讼是否存在顺位
在民事公益诉讼中,检察机关作为司法机关,为遵循司法的谦抑性、保障性、补充性地位,应履行诉前公告程序,同时遵循谦抑性原则的要求,不得轻易提起诉讼,严格遵循《民事诉讼法》58条由“法律规定的组织第一顺位、检察院第二顺位的起诉主体顺位”的一般规则 [6] 。在上述典型案例中,有些检察院遵循司法谦抑性原则的要求,适法履行诉前公告程序,若没有其他相关组织提起诉讼,再由其提起民事公益诉讼。但在其他的一些案例中,部分检察机关在个人信息公益诉讼中没有履行诉前告知程序,导致检察机关、法定的消费者组织等主体在提起民事公益诉讼的顺位混乱 [7] ,可能会出现不同的组织就同一案件分别起诉,从而导致司法资源的浪费。
4.4. 个人信息保护民事公益诉讼民事责任的承担是否适用惩罚性赔偿责任
《民法典》第一百七十几条规定了侵权惩罚性赔偿的一般规则,第一千一百八十五、第一千二百零七条以及第一千二百三十二条规定了侵害他人知识产权、产品缺陷、污染环境破坏生态的惩罚性赔偿责任。在我国民事领域,惩罚性赔偿责任具有法定性,适用的前提是有法律明确规定。在典型案例中,有个别侵权人被判定承担三倍惩罚性赔偿金,但在其他典型案例中,侵权者大都承担的是一般的民事责任,如停止侵害、排除妨碍、消除危险、赔偿损失等,不承担惩罚性赔偿责任。《个人信息保护法》第七章法律责任中没有规定侵害个人信息权益造成严重损失需承担惩罚性赔偿责任 [8] ,因此,对于个人信息民事公益诉讼司法实践中检察机关诉请惩罚性赔偿责任且得到法院判决的支持,在法律依据上缺失。
5. 个人信息保护民事公益诉讼的规范重释
5.1. 将“社会公共利益”作为判断救济客体的实质性标准
《个人信息保护法》第七十条将侵害“众多”个人权益作为提起民事公益诉讼的要件之一,从字面理解“众多”个人权益指的是量的意义上的人数众多,与社会公共利益作为质的意义上比较,显然感觉“众多”个人权益无法等同于社会公共利益,但社会公共利益是由“众多”个人权益组合而成,社会公共利益在一定程度上也反哺于“众多”个人权益的保护。在司法实践中,侵害“众多”个人信息权益的表示形式多样,非法获取并出售100份含有个人信息的照片、非法传播、泄露业主个人信息共13,784条、过度强制索取用户个人信息1100万余条等形态,《民法典》一千零三十四条第一款对个人信息采用概括 + 具体列举的方式进行了定义,可以把个人信息的具体内容作为社会公共利益质的衡量标准,辅之实践中出现的具体数量作为社会公共利益量的衡量标准,对具有不确定性与非排他性的个人信息,就认为属于形式规范表达上的“众多”个人信息权益,实质上属于社会公共利益。
侵害“众多”个人信息权益在认定侵害社会公共利益应将其作为形式要件,结合个人信息保护的具体情形,将个人信息安全和不特定私主体个人信息权益束,作为判断侵害社会公共利益的实质性标准,合理界定侵害“众多”个人信息权益损害社会公共利益,既不扩大公益司法救济的范围,又符合民事公益诉讼的本质。
5.2. 将侵害众多个人权益的“危险”纳入救济范围
在典型案例中,有侵权者通过非法买卖、出售、提供或者公开、泄露等方式侵害个人信息权益造成损失,也有侵权者不当处理导致个人信息面临泄露风险,给自然人信息权益主体带来威胁。在司法实践中,侵害个人信息权益的行为造成的损害既有实际损失,又包括利益危险、损害风险,因此在司法实践中不宜将侵害个人信息权益造成损害限制于实际损失,而应把侵害个人信息导致危险、风险,也作为认定侵害个人信息的后果形态。
借鉴《民法典》第九百九十七条新增了人格权禁令制度和参照预防性环境民事公益诉讼制度,增强个人信息保护公益诉讼对个人信息权益的靠前式、上一步保护,对具有现实性、紧迫性、紧急性的侵害众多个人信息的行为 [9] ,衔接人格权禁令制度,将损害风险及时制止,以防止扩大损害,同时建立预防性个人信息保护民事公益诉讼制度,有利于保护侵害社会公众个人信息权益导致的“风险”损害。
5.3. 检察机关提起个人信息公益诉讼应履行诉前公告程序、第二顺位主体
在消费者民事公益诉讼、环境民事公益诉讼等民事公益诉讼制度体系中,检察机关作为公益诉讼主体,在民事公共利益司法救济体系中起到了补充、保障的功能。在《个人信息保护法》的规范文本中虽然首先将人民检察院列出,在语序上比其他主体靠前,但从文本上无法得出检察院作为第一顺位主体的结论,以特别法优于一般法的进行适用也不妥,法理上欠缺正当性,为维护民事公益诉讼的私法属性,兼顾平衡司法能动性与司法谦抑性,检察机关在个人信息保护民事公益诉讼中应履行诉前公告程序,第二顺位主体提起诉讼。
5.4. 个人信息保护民事公益诉讼的民事责任原则上不适用惩罚性赔偿责任
《个人信息保护法》第七章规定了侵害个人信息的法律责任,第六十九条具体规定了个人信息损害的具体责任,《民法典》总则编第一百七十九条和人格权编第九百九十五条规定了侵害个人信息权益的责任形式,三个法条可构成侵害个人信息的请求权基础。惩罚性赔偿责任的适用需要法律明确规定,《个人信息保护法》第七章法律责任中没有规定侵害个人信息权益造成严重损失需承担惩罚性赔偿责任,所以,司法实践中出现的适用惩罚性赔偿责任于法无据,欠缺正当性。
但由于侵害个人信息的涉众性、损害的重大性,即使现在没有法律规定,未来探索适用惩罚性赔偿责任在个人信息保护民事公益诉讼中仍有制度空间。
6. 结语
《个人信息保护法》第七十条创设个人信息保护民事公益诉讼制度,是个人信息保护立法最具本土化和中国特色的贡献。第七十条作为一般性规范,原则上确立了个人信息保护民事公益诉讼的基本构成要件,赋予检察机关、消费者组织等主体合法的诉讼资格。但该条款的原则性、概括性规定,个人信息保护民事公益诉讼存在诸多疑问仍待解决,未来或许可以尝试将《民法典》第997条新增的人格权禁令制度程序同个人信息保护民事公益诉讼相衔接,尝试适用惩罚性赔偿责任,同时积极探索合规整改、接受监督审查等新型责任方式,以便完善个人信息保护民事公益诉讼制度。
NOTES
1https://www.spp.gov.cn/xwfbh/wsfbt/202303/t20230330_609756.shtml#,2023年4月2日访问。
2https://mp.weixin.qq.com/s/vvF86a_Thfe_3RUqIoSuKw.
3https://mp.weixin.qq.com/s/5WYcCEsCGYagU0F19TtHXw.
4https://www.spp.gov.cn/spp/jczdal/202203/t20220307_547759.shtml,2023年4月3日访问。
5https://mp.weixin.qq.com/s/oEz5b8UQlgHq98HzYhDs7w.