1. 绪论
1.1. 研究背景
随着数字时代的迅速发展,区块链、大数据、人工智能已经成为人们耳熟能详的词语,信息网络技术的应用也已经深入了现代社会生产生活的各个环节,成为人们生活中一个必不可少的工具。信息网络技术的应用给人们带来了大量的便利,但是人们为了使用信息网络而向网络服务提供者不断地让渡个人信息的行为,给人们的个人信息保护带来了大量的风险。特别是如今随着信息采集和分析的技术不断进步,使得网络服务提供者对于个人信息的收集和利用速度越来越快,规模也越来越大,一旦泄露就会造成非常严重的后果。且围绕个人信息的各种非法交易的规模也已经越来越大,各种因为个人信息泄露而接收到的骚扰信息充斥着人们的日常生活,严重影响到了人们的正常生活,为人民的幸福生活带来了极大的困扰。个人信息侵权问题已经由个人的私益问题成为了一个非常严峻的社会公益问题。
1.2. 研究意义
1.2.1. 理论意义
我国的个人信息保护的公益诉讼制度,由于该制度起步较晚,社会实践较少,现行法律并没有对于个人信息保护的公益诉讼制度的适用主体、适用范围以及具体的程序规则做出详细的规定,相关的法律制度并不完善。因此本文旨在通过研究分析现行个人信息保护公益诉讼制度,针对上述问题提出有效的意见,为进一步完善个人信息保护民事公益诉讼理论出一份力。
1.2.2. 现实意义
过去对于个人信息的保护依赖于三种手段:刑事手段、行政手段以及个人的民事私益诉讼,但是三者都不同程度具有某些缺点,无法全地的保护个人信息。刑事手段具有较强的惩罚性,可以有效遏制止侵犯个人信息的犯罪行为,但是刑事手段对于案件的要求较为严格,只适用于情节严重的犯罪行为,立案较为困难,对于行为较为轻微的个人信息侵权行为无法覆盖;行政手段主要通过行政执法机关对于侵犯个人信息的主体进行监管与处罚。行政手段的优势在于可以快速响应,但是由于法律规定的不够明确导致的权力的交叉,使得行政手段存在多头管理、踢皮球以及执法力度不一的问题。而对于个人的民事私益诉讼行为,由于单个个人信息的价值较低,并且存在诉讼的成本高、时间长、举证难度大等问题,即使最后胜诉了,获得的赔偿也难以弥补损失,使得人们望而却步。因此民事私益诉讼救济手段也难以解决个人信息侵权问题。
但是个人信息保护民事公益诉讼制度的建立,为解决上述问题提供了一个新的方向。民事公益诉讼制度以维护公共利益为目的,但是相对于刑事手段与行政手段,它的立案门槛低,执法力度强,并且同时具有极强的教育警示法律作用,对于制止侵犯个人信息的行为,预防个人信息的泄露具有良好的作用。同时民事公益诉讼由法律规定的机关和有关组织提起诉讼,比起个人具有更强的经济实力以及证据收集能力能够更好地制止侵权行为。同时公益诉讼是以不特定的多数人的利益受到损害为诉由而提起的诉讼可以有效地解决个人信息保护中个人诉讼成本高、效率低的问题。故个人信息保护民事公益诉讼制度是保护个人信息安全,维护个人信息利益的一个优秀制度,该研究对于推进个人信息保护领域的法治进步具有卓越的现实意义。
2. 个人信息保护民事公益诉讼制度的法理基础
随着通信技术以及网络技术的迅速发展,网络服务的提供者与处理者具备了收集个人信息与处理个人信息的能力。又因为他们具有巨大的平台优势与极强的数据处理能力,使得它们可以快速而又隐蔽地处理个人信息,极难被监管机关发现。并且又因为技术上的先进,即使违法行为被发现,他们也能够很快地的处理掉证据,使得它们极难被处置。刑事手段具有国家力量能够与其抗衡,但是很难启动。行政手段又因为规定得不明确,导致有关行政机关行动力不足。个人的自我保护就更不必再提。而与个人信息保护相似的环境领域、消费者保护领域都已经被纳入了公益诉讼制度,有效地抑制了相关侵权行为的发生。因此个人信息保护民事公益诉讼制度的优势就显而易见了。
2.1. 构建个人信息保护民事公益诉讼制度的可行性
公益诉讼目的是为了维护社会公共利益。故个人信息保护检察民事公益诉讼中,社会公共利益受到损害是能够提起公益诉讼的最核心条件[1]。个人信息是指以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息[2]。《中华人民共和国个人信息保护法》中也设置了私法性的条款,如告知同意规则、过错推定侵权责任等保障私法权益实现的规定[3]。因此个人信息的私益属性在我国早已经成为共识。
同时个人信息又具有公益属性。首先个人信息具有识别功能,个人信息是作为社会识别个体以及表达交流而产生的,人们对于个人的识别往往是通过交换个人信息进行。因此当个人信息从个人流入社会时,个人就很难对自己的信息进行控制,个人信息就具有了独立性,摆脱了个人的存在成为了社会的一部分。个人信息作为数字社会的重要资源,被滥用的情况日益严重,个人信息的侵权行为频发,使得公共利益遭受到了大量损害,公众迫切地需要一个更有效的制度来维护公众个人信息的合法权益。且个人信息不仅关乎着社会公众利益,还关乎着国家安全,个人信息中包含着个人的生物信息、住址信息等信息,一旦大规模泄露被其他国家或者境外势力获得,便可以通过技术软件分析国计民生情况,不利于我国的国家发展和国家安全。公益性是公益诉讼介入的根据。从个人信息的属性来看,个人信息私益属性与公益属性兼具。故以个人信息保护为诉由提起民事公益诉讼是完全可行的。
2.2. 构建个人信息保护民事公益诉讼制度的必要性
群体性个人信息侵权日益严重的今天,刑事手段难以启动,行政手段行动力不足,个人信息自我保护难以维权,因此为了维护社会公众的个人信息安全,建立个人信息保护民事公益诉讼制度是必要的。
2.2.1. 私益救济已经难以保护个人信息
虽然《中华人民共和国民法典》以及《个人信息保护法》针对个人信息处理、使用、储存规则做出了完善的规定,但是在如今的情况下,私益救济已经难以保护个人信息。
随着信息网络技术的进步,互联网已经成为人们使用个人信息最频繁的地方。而作为信息的收集者与处理者的平台利用其与个人之间的认知差异,设置了大量人们难以阅读和理解的格式条款,这些格式条款的目的往往是为了让用户向平台让渡自己的个人信息权益,为了享受完整的平台服务,用户对这些格式条款一般都是采取默认的态度,这使得用户向平台让渡了大量的个人信息,大量收集处理个人信息得到的巨额利润使得平台对此行为乐此不疲,但是如今大平台的数据处理能力以及数据处理速度远超以往,平台储存的个人信息一旦违法使用就会导致严重的社会安全事故。近年来,已经出现了多例群体性的个人信息侵权事件,可是个体的维权意愿却都不高。
(一) 个人难以感受到侵害。因为群体性的个人信息侵权事件虽然是极为严重的社会安全事故,但是由于波及面太广,使得受害者往往是不特定的人群,平摊在个人身上,损害却往往并不明显,个人难以感受到同感,导致个人维权的意愿较低。
(二) 维权之路十分艰难。根据举证责任中的一般举证原则,需要个人对于平台的侵权行为进行举证。由于个人能量和平台能量的巨大差异,平台可以轻易地篡改数据以及删除痕迹,导致个人极难取证,即使固定证据,诉讼的高门槛也会把人卡在外面。种种障碍使得维权之路漫长而艰难。
(三) 私益救济成本和收益不成比例。信息收集者与处理者所存储的信息可能是数以亿条计,但是这数以亿条计的信息平摊到个人,其中蕴含的价值却极为有限。受害者诉讼的金钱成本和时间成本加一起和胜诉可能获得的收益难以匹配。而对于信息收集者与处理者而言,所支付微小赔偿远远低于所获得的巨大利益,这些足以支撑信息收集者与处理者继续进行违法行为。
2.2.2. 传统的司法手段难以救济
刑事手段具有较强的惩罚性,可以有效地遏制侵犯个人信息的犯罪行为。但是由于刑法惩罚的严厉性,使得刑法只对个人信息侵权行为中情节严重并造成严重后果的行为进行处罚。并且刑事手段对于案件的要求较为严格,只适用于情节严重的犯罪行为,立案较为困难,对于数量最大的行为较为轻微的个人信息侵权行为无法覆盖。
行政手段主要通过行政执法机关对于侵犯个人信息的主体进行监管与处罚。行政手段的优势在于可以快速响应,但是由于个人信息领域的法律规定不够明确,导致各个行政机关存在着权力范围交叉的现象。目前在个人信息保护领域,网信部门、工信部门、市场监管部门、公安机关等均可在各自的职权范围内发挥个人信息保护职能[4]。但是为了推脱责任,减轻负担,对于个人信息管理各行政机关之间不履职,踢皮球等行政管理乱象十分突出,这极不利于保护个人信息安全。
故构建个人信息保护民事公益诉讼制度从现实角度来说具有必要性
3. 个人信息保护民事公益诉讼制度的适用困境
个人信息保护民事公益诉讼制度虽然是保护个人信息的重要制度,但是在实践中仍然存在着诸多的不足,需要通过不断地改进去克服。本章主旨在于通过对该制度的适用现状与适用过程中所存在的困难进行分析,为个人信息保护民事公益诉讼制度的改进提供方向。
3.1. 个人信息保护民事公益诉讼受案范围困境
《个人信息保护法》虽然将个人信息纳入了公益诉讼,但是却没有出台其他针对个人信息公益诉讼制度的配套规定,导致个人信息保护民事公益诉讼的受案范围模糊,案件类型受到限制。在早期出台的的几种民事公益诉讼中,均规定把侵犯社会公共利益作为其民事公益诉讼的受案依据。但是在《个人信息保护法》中,却没有具体规定个人信息保护民事公益诉讼的受案范围,仅规定侵害“众多个人的权益的”,可以由法定的组织依法向人民法院提起诉讼,对于“众多个人的权益”的具体定义却没有具体说明。由于难以厘清“众多个人的权益”与社会公共利益之间的关系,导致学界以及在司法实践中都对此争论不休,引起了许多司法问题。
其次由于“众多个人的权益”中的“权益”没有做出具体规定,导致了不同法院对“众多个人的权益”的中的“权益”的不同理解,有的法院以遭受实害作为“权益”受到侵害的标准,而又有法院“权益”具有受到侵害的“风险”作为“权益”受到侵害的标准。有的学者认为,信息者的处理行为必须在导致实际的损害发生时才能对个人信息权益进行救济,当信息处理者的处理行为所引发的“风险”是不确定时,不能纳入救济范围[5]。也有学者表示可对损害的“确定性”作开放性解释,规定风险性损害的前提条件,当满足特定条件时将此风险认定为侵权法上的损害[6]。由于二者的标准不同,使得在司法中出现了同案不同判的现象,这严重损害了司法公信力。
3.2. 个人信息保护民事公益诉讼起诉主体及其顺位不够明确
《个人信息保护法》第七十条规定,人民检察院、法律规定的消费者组织和由国家网信部门确定的组织可以依法向人民法院提起诉讼。
检察院作为国家利益和社会利益的代表,拥有着专业的法律队伍以及丰富的司法资源优势,对于提起公益诉讼有着天然的优势。大部分与个人信息有关的公益诉讼都是由人民检察院在侦查案件的时候发现了其他侵害了个人信息公共利益的线索而提出的。因此无论从保护法益角度还是提高司法效率角度,检察院毫无疑问地具有公益诉讼起诉主体的资格。
而对于其他具有个人信息公益诉讼资格主体的认定却存在许多争议。《个人信息保护法》仅规定了“法律规定的消费者组织”以及“国家网信部门确定的组织”可以提起个人信息公益诉讼。但是对于具体是哪些组织以及这些组织具体的细化确认规则,该条文却没有说明。对于“消费者组织”,若继续以《中华人民共和国消费者权益保护法》第47条规定的组织范围为标准,这对于个人信息保护民事公益诉讼的发展可能会产生不利影响。原因在于《消费者权益保护法》第四十七条规定的具有公益诉讼起诉资格的主体仅包括中国消费者协会以及省、自治区、直辖市设立的消费者协会。这相对于全国三千多家消费者协会来说,具有公益诉讼条件的组织仅占总量的百分之一左右。由于对于消费者协会的起诉资格限定得较为严格,使得具有起诉资格的消费者协会太过稀少。一方面这导致了过少的具有公益诉讼资格的消费者协会面对本就复杂的个人信息公益民事诉讼案件承担了大量的诉讼压力。另一方面,由于具有公益诉讼条件的消费者协会基本为省、自治区、直辖市层级,所以对于基层的个人信息侵权案件难以发现,无法起到该规定应当起到的监察作用。而其余数量众多的消费者协会想要起诉却又不具备起诉资格,这既打击了基层消费者协会维权的积极性,又不利于打击个人信息侵权案件。因此若机械的移植第47条的规定,未免会使得个人信息公益诉讼出现与消费者权益保护公益诉讼类似窘境。
其次,对于“国家网信部门确定的组织”这一条,由于没有过往法条作为参考,且法律也没有明确规定,致使该组织的范围以及组织的标准难以确认。对于该组织是中央组织还是地方组织,是采用形式标准还是实质标准,在法律上并不明确。这使得该条规定的不确定性再次增大,无疑不利于个人信息保护民事公益诉讼制度的发展。
并且,该条规定的个人信息保护民事公益诉讼的诉讼主体的顺位也不明确,根据《个人信息保护法》第七十条的规定,人民检察院在法条陈述中在第一位,但是就三个诉讼主体之间的诉讼顺位却没有规定。若以《民事诉讼法》为标准,检察机关应当在公益诉讼中保持谦抑性,将人民检察院提起民事公益诉讼的顺位放在其他的机关社会组织之后。但是在司法实践中,绝大多数的个人信息保护民事公益诉讼主要是由检察机关提起,其他主体很少主动提起诉讼。因此有的学者认为应当根据实践将检察机关的顺位提至法律规定的其它的机关社会组织前面[7]。而又有学者依据信托理论,认为三个主体之间应当是并列关系,起诉顺序之间并无先后之分[8]。但是法律至今没有作出具体规定。
3.3. 个人信息保护民事公益诉讼的程序规则不够完整
首先个人信息保护公益诉讼的管辖规则不够完善。如今个人信息保护公益诉讼的管辖规则仍然采用的是传统的侵权行为的管辖规则,可是该管辖规则却忽视了个人信息侵权行为的特殊性。由于该侵权行为往往是随着网络信息传播,其侵权范围、侵权方式也与其它的侵权行为有所不同。网络传播的便捷性使得其侵权范围可能会扩展到全国各地,并且由于侵权方式的特殊性,使得行为往往难以被确定。若仍然在个人信息保护公益诉讼坚持传统的侵权行为的管辖规则,未免会影响其诉讼效率,造成司法资源浪费。
其次缺少损害赔偿金的管理制度。针对公益诉讼中损害赔偿金的管理制度,我国的法律仍然没有具体的规定。因此对于损害赔偿金的去向问题,也成为了一大问题。目前我国的个人信息保护民事公益诉讼的诉讼请求多以请求损害赔偿为主,而公益诉讼主体又代表的是社会公共利益,因而胜诉利益不归属于公益诉讼主体。而由于规定的缺失,导致了该赔偿金的去向问题、管理问题至今仍不明确。因此应当迅速地制定规则以确保赔偿金的正确使用,充分的保护社会公共利益。
4. 完善个人信息保护民事公益诉讼制度的具体建议
4.1. 确定个人信息保护民事公益诉讼受案范围
要想充分地保护个人信息的公共利益,首先需要做的就是明确个人信息保护民事公益诉讼受案范围,明确法律边界与责任,全面准确地保护个人信息。
4.1.1. 明确公共利益的判断标准
《个人信息保护法》规定的“众多个人的权益”,不应该单纯地理解为侵害了多个人的权益就侵害了社会公共利益,侵害社会公共利益应该指的是不特定多数人的利益。只有众多个人的利益能够转化为社会公共利益时,才能就该侵权行为提起个人信息保护民事公益诉讼。若侵权行为只是针对特定的多数人,其范围固定,未损害不特定的多数人的利益,则不应该认为是个人信息保护民事公益诉讼案件。有时候即使仅侵害了少数人的权益,但是其溢出行为侵害了社会公共利益,也应当认定为个人信息保护民事公益诉讼案件。
4.1.2. 将“风险”纳入救济范围
个人信息保护民事公益诉讼应当作的除了打击已经存在的侵权行为外,还应当对有损害个人信息权益的潜在风险行为进行打击。由于针对个人信息的侵害行为所造成的损失,其具有不可逆性,就难以修补。因此应当将风险性行为也纳入打击范围,扩大损害个人信息权益行为的打击范围,以求充分保护个人信息权益。
4.2. 明确个人信息保护民事公益诉讼起诉主体及其顺位
4.2.1. 明确个人信息保护民事公益诉讼起诉主体
对于检察院作为公益诉讼的起诉主体是十分明确的。但是对于消费者协会和网信组织,却十分模糊。然而如果仅由检察机关负担民事公益诉讼,将会给检察机关带来极大的负担。因此应当对消费者协会和网信组织提起个人信息保护民事公益诉讼的规则进行细化。对于哪些层级的组织可以提起诉讼,对应于“国家网信部门确定的组织”应当怎样确认,可以参照过往标准,将社会组织作为诉讼主体,禁止将行政机关、事业单位以及营利组织作为起诉主体,防止行政干扰司法权以及营利组织为了利益打击报复。
4.2.2. 明确个人信息保护民事公益诉讼起诉顺位
应当坚持《中华人民共和国民事诉讼法》规定,实行法律规定的其他组织在前,检察院在后的规则,只有在没有适格主体或适格主体不起诉的情况下,才由检察院提起诉讼,以保持检察谦抑原则,发挥检察机关的兜底作用,并减轻检察机关的压力。同时也有助于构建多元治理社会,促进社会组织积极参与社会治理,降低对国家司法资源的消耗。
4.3. 构建个人信息保护民事公益诉讼的程序规则
4.3.1. 完善个人信息保护公益诉讼管辖规则
应当将个人信息保护公益诉讼交由互联网法院管辖,以应对个人信息侵权行为的特殊性。个人信息侵权行为的特点在于侵权行为不受地理位置的限制,通常侵权行为的范围较大,管辖较为复杂。而互联网法院的各个环节一般都在线上完成,完美的符合了个人信息保护公益诉讼的侵权特点,消除地域因素对诉讼审理的影响。
4.3.2. 完善个人信息保护公益诉讼损害赔偿金的管理制度
应当制定明确的规定,建立专门的个人信息保护基金账户,明确损害赔偿金的使用方向。可将获得的个人信息损害赔偿金用于对因个人信息侵权行为遭受损害的受害者进行补偿,从而充分发挥赔偿金的补偿作用。同时也可以将获得的损害赔偿金用于个人信息保护领域,用以预防个人信息侵权事件的发生。
5. 总结
随着算力时代的到来,对于个人信息的处理速度和处理能力在可预见的将来必将大幅度的提升,个人信息的保护将会面临更为艰巨的局面。而个人信息民事公益诉讼制度是解决这个问题的有力制度之一,可以有效地规制大规模的个人信息侵权行为的发生。虽然《个人信息保护法》第70条已经正式确立了个人信息保护民事公益诉讼制度,但是由于规定较为模糊,个人信息保护民事公益诉讼制度还存在着起诉主体顺位问题、受案范围问题、程序性问题等立法问题等待解决。本文通过对于现行法律和实践困境进行研究,对于个人信息保护民事公益诉讼起诉主体及其顺位问题、受案范围问题、程序性等方面给出了自己的完善思路,以其对于个人信息民事公益诉讼制度的发展做出自己的贡献。但是要想促进个人信息民事公益诉讼制度的更进一步的发展,还需要更多的立法规范以及司法指导的出台。