一、檢察公益訴訟在個人信息保護體系中的功能定位

　　(一)單一轉(zhuǎn)合力:個人信息保護的新支撐

　　統(tǒng)計資料顯示,2021年檢察機關共起訴電信網(wǎng)絡詐騙犯罪4萬人,總體仍在高位運行;起訴侵犯公民個人信息犯罪9800余人,同比上升64%。而電信網(wǎng)絡詐騙犯罪與其上下游關聯(lián)犯罪行為的多發(fā)性和個人信息泄露的風險恰恰呈正相關,個人信息的泄露使得犯罪行為人能夠精準掌握被害人的基本情況,輕易地以偽造的身份和虛構的事實誘使被害人產(chǎn)生錯誤認識。因此,倘若能在互聯(lián)網(wǎng)黑灰產(chǎn)業(yè)鏈上游切斷侵犯公民個人信息的犯罪行為,一定程度上能夠使公民免遭犯罪的威脅與侵害。

　　然而,在個人信息被眾多平臺同時掌握的情況下,自然人個人往往難以舉證證明被告存在泄露個人信息的事實,如若按照“誰主張誰舉證”的邏輯,自然人個人信息權利無法得到充分救濟。更重要的是,個人信息泄露并不總是能夠被自然人發(fā)現(xiàn),自身缺乏足夠的能力和動力去投入大量的時間和精力提起個人信息侵權訴訟。這種對個體訴訟呈現(xiàn)的“冷漠樣態(tài)”以及“躺在權利上睡眠”的消極態(tài)度助長了個人信息侵權甚至犯罪行為的囂張氣焰。即便少部分的自然人寄希望于訴訟程序來維護自身利益,隨之而來的便是繁瑣的訴訟程序,由于個人信息處理本身的技術特性以及“算法黑箱”的存在,個體的孱弱力量無力承擔繁重復雜的證明責任。

　　綜上,為解決自然人與信息處理者之間的權利救濟失衡狀態(tài),檢察機關提出了源頭治理與全鏈條打擊個人信息違法犯罪行為的理念,將公益訴訟引入個人信息保護領域。在徐某案中,檢察機關在查辦相關侵犯公民個人信息犯罪之外,將勞務公司員工時某華、耿某軍等人非法獲取個人信息的行為納入公益訴訟案件范圍,通過提起附帶民事公益訴訟加強對自然人個人信息的全面司法保護。

　　(二)補充轉(zhuǎn)向:檢察機關的新定位

　　檢察機關在行使公訴權時具有主動性,其在刑事訴訟活動中承擔著推動訴訟進程這一職責。但在公益訴訟領域,受限于民事訴訟法第58條規(guī)定的檢察機關提起公益訴訟的前置條件,即法律規(guī)定的機關或有關組織不存在或不提起訴訟時,檢察機關才可以提起公益訴訟。這樣的程序設計突出了檢察機關在民事公益訴訟中處于輔助與補充性的地位。民事訴訟法第58條規(guī)定的公益訴訟案件范圍采取了“具體+一般”的方式,以損害社會公共利益為原則性判斷標準,主要包括破壞生態(tài)環(huán)境和資源保護、侵害眾多消費者合法權益等行為,這也為司法實踐中可能出現(xiàn)的新型損害社會公共利益的事實預留足夠的解釋空間。盡管檢察公益訴訟的適用存在嚴格的前置條件,但在司法實踐中,該項制度并未被束之高閣:2021年4月,最高檢發(fā)布檢察機關個人信息保護公益訴訟典型案例,其中涉及4起民事公益訴訟、1起刑事附帶民事公益訴訟案件,檢察機關皆在公告后以沒有法律規(guī)定的機關和有關組織提起訴訟為前置條件提起訴訟。積極履職的背后體現(xiàn)出檢察公益訴訟的功能定位本質(zhì)上是相應權益保護組織不存在或不作為的一種補充。

　　2018年最高法、最高檢《關于檢察公益訴訟案件適用法律若干問題的解釋》(以下簡稱《解釋》)第20條正式規(guī)定了刑事附帶民事公益訴訟,檢察機關在提起刑事公訴時可一并提起附帶民事公益訴訟。在徐某案中,檢察機關正是依照該規(guī)定提起刑事附帶民事公益訴訟。個人信息保護法第70條則是突出了檢察機關在個人信息保護公益訴訟中的獨立訴訟主體地位,有權就個人信息處理者侵害眾多個人權益的行為向法院提起訴訟。不過,囿于該條表述與民事訴訟法第58條存在明顯差異,學界對個人信息保護法第70條的規(guī)定存有爭議:

　　一種觀點認為,檢察機關仍居于公益訴訟起訴主體的補充地位,僅在未設置相關組織或相關組織不作為的情況下才可以向法院提起訴訟,理由為個人信息保護法第70條明確寫明“依法”二字,對于民事訴訟法順位規(guī)則的遵守不言自明。

　　另一種觀點則認為,檢察機關與其他相關組織之間為并列關系,并無先后之分。環(huán)境保護與消費者權益保護問題由來已久,其對應的公益組織亦發(fā)展出完善的架構,而個人信息保護作為人類邁入信息化社會的新興問題,目前尚無相對應的組織對其進行專門關注。

　　因此,適格主體的順位規(guī)定常在實踐操作中被“架空”,而個人信息保護法的規(guī)定正確審視了個人信息保護公益訴訟中相關組織缺位這一客觀因素,將檢察機關與其他組織并列,從規(guī)范上賦予檢察機關優(yōu)先主體地位。

　　二、個人信息保護檢察公益訴訟的適用條件

　　(一)個人信息侵權的判斷

　　民法典第111條規(guī)定,自然人的個人信息受法律保護。任何組織或者個人需要獲取他人個人信息的,應當依法取得并確保信息安全,不得非法收集、使用、加工、傳輸他人個人信息,不得非法買賣、提供或者公開他人個人信息。個人信息保護法第10條規(guī)定,任何組織、個人不得非法收集、使用、加工、傳輸他人個人信息,不得非法買賣、提供或者公開他人個人信息;不得從事危害國家安全、公共利益的個人信息處理活動。實踐中,對于個人信息處理行為是否構成侵權的判斷,應以民法典、個人信息保護法的規(guī)定為基礎。該案中,徐某等人購買公民個人信息400余條以及非法采集身份證信息及人臉識別信息,明顯違反了個人信息保護法中不得非法買賣他人個人信息以及知情同意的規(guī)定,屬于個人信息侵權行為,此時若滿足了損害社會公共利益的條件,檢察機關即可提起公益訴訟。

　　(二)損害社會公共利益的判斷

　　若上述行為構成個人信息侵權,則需進一步判斷該行為是否損害社會公共利益。雖然個人信息保護法第70條中并未提及“損害社會公共利益”,而表述為“侵害眾多個人的權益”,但結合該條的功能定位,侵害眾多個人的權益與損害社會公共利益在法益保護層面具有內(nèi)容的一致性。個人信息公共利益的判斷可能陷入唯數(shù)量論的誤區(qū),因為個人信息侵權案件中個人信息數(shù)量的多少并非衡量社會公共利益受損與否的唯一標準。

　　誠然,當承載個體利益的個人信息積累到一定的“量”時,可能會引發(fā)“質(zhì)”的改變,從而影響社會公共利益,但前者僅是后者的必要不充分條件,信息本身的重要程度、信息泄露的場域等皆可能對判斷是否損害社會公共利益造成影響。雖然關于社會公共利益的判斷存在不同標準,但“不特定”“發(fā)散性”等特征性表述已經(jīng)逐漸成為衡量公共利益的主流觀點。若個人信息侵權行為將對社會中不特定多數(shù)人造成影響,則屬于侵害社會公共利益,信息本身的數(shù)量多少在所不問。檢察機關在徐某案中明確指出,提起刑事附帶民事公益訴訟的原因在于徐某等人的行為侵犯了不特定公民的隱私權,損害了社會公共利益,亦是遵循了上述思路,個人信息收集、使用的過程皆指向社會中的不特定人群,該信息處理行為并無針對性,任何具體個體都可能因其行為遭受損失。

　　三、個人信息保護檢察公益訴訟的規(guī)范路徑

　　徐某案是檢察機關全鏈條介入個人信息治理的集中體現(xiàn),其通過刑事檢察與公益訴訟檢察的有序配合,既實現(xiàn)了對犯罪活動的威懾和懲處,也有效補充了個人信息保護體系的具體規(guī)則。個人信息犯罪的源頭治理與全鏈條治理無法回避刑事檢察與公益訴訟檢察之間的規(guī)則協(xié)調(diào)與程序銜接,個人信息保護公益訴訟在損害賠償、訴訟程序等方面有待進一步明確。

　　(一)刑民交叉下個人信息損害認定與賠償制度的完善

　　個人信息保護法第69條明確規(guī)定個人信息侵權行為的損害認定應優(yōu)先考慮“受到的損失”和“獲得的利益”,在前述要素無法確定的情況下,再行考量個人信息受到侵害的實際情況。然而,這種看似標準明確的規(guī)定在實施過程中卻存在一些不確定問題:

　　其一,群體性的損害賠償數(shù)額難以確定。在公益訴訟的語境下,被侵權人的范圍關系到公益訴訟的適用條件“不特定多數(shù)人”是否滿足,并且個人信息泄露的“牽連性損害”特征使得被侵害對象的具體數(shù)量難以明確。此外,公益訴訟作為超然于私益訴訟的存在,其所代表的利益并非個體利益的簡單疊加,而是具有社會屬性的利益考量,是否應將對社會所造成的負面影響納入賠償?shù)目剂糠秶�仍有待厘清�?/span>

　　其二,懲罰性賠償是否必要。個人信息侵權行為中,違法者所承擔的責任與其實際獲取的收益通常不平衡,而懲罰性賠償恰好能夠克服一般賠償在個人信息保護公益訴訟中的失衡現(xiàn)象,起到制裁、遏制的功能。但懲罰性賠償制度的構建也面臨著懲罰性賠償金的計算、歸屬以及能否與刑事罰金折抵等一系列問題,其之于個人信息保護公益訴訟的可行性與具體框架需進一步考量。

　　作者:趙精武,北京航空航天大學法學院副教授,工業(yè)和信息化法治戰(zhàn)略與管理重點實驗室研究員;唐浩隆,工業(yè)和信息化法治戰(zhàn)略與管理重點實驗室助理研究員。

　　本文節(jié)選自《人民檢察》2022年第14期