个人信息保护领域检察公益诉讼的适用
2021-08-09龙徐文瑶
张 龙徐文瑶
( 1.2.烟台大学 法学院,山东 烟台264005)
随着全球范围内新一轮技术革命来袭,传统互联网正在向大数据以及人工智能的方向转变。数据收集与应用的规模空前庞大,方式亦日趋多样,网络经营者非法收集个人信息的现象已十分普遍,个人信息安全在大数据时代的洪流中面临着严峻的考验与挑战。公民的个人信息被网络经营者大规模侵犯会损害社会公共利益,个人信息因此具备了公益属性。恰值《中华人民共和国个人信息保护法( 草案) 》( 下称《个人信息保护法( 草案) 》) 公布之际,以私益保护为目的建构的诉讼规范体系短时间内无法通过小修小补的方式合理兼顾社会公共利益,此时为保护社会公共利益而构建的公益诉讼制度在个人信息保护领域显现出其制度优势。
一、个人信息保护领域适用消费公益诉讼的实践尝试
( 一) 案情简介
2017 年,江苏省消费者权益保护委员会针对公众反映的北京百度网讯科技有限公司( 下称百度公司) 旗下部分APP 侵犯用户隐私的情况开展了调查,并结合其调查情况对百度公司进行了约谈。江苏省消费者权益保护委员会调查后发现,百度公司在用户安装“手机百度”“百度浏览器”两款APP 前,需要获得“读取联系人”等隐私权限,而这已超出了其所需要获取的必要权限的范围,遂令百度公司提出整改或解决方案。但百度公司最终提交的整改方案却拒绝对“手机百度”“百度浏览器”中“监听电话”“读取短彩信”“读取联系人”等涉及用户个人信息安全的相关权限进行整改,也未明确告知用户其APP 获取上述权限的目的、方式与范围。江苏省消费者权益保护委员会认为,百度公司此举无法有效保障消费者的知情权和选择权。据此,江苏省消费者权益保护委员会认为百度涉嫌违法获取消费者个人信息,遂向人民法院提起消费公益诉讼。
百度公司坚称,百度旗下的手机应用“没有能力,也从来不会”监听用户。百度公司还表示,在保护公民个人信息方面,百度公司与消费者权益保护委员会的“立场和根本出发点是一致的”。后续几个月间,百度公司与江苏省消费者权益保护委员会就手机应用产品的隐私保护和用户权限管理机制问题进行了多轮沟通,对江苏省消费者权益保护委员会提出的疑问进行了说明和澄清。百度公司同时承诺,将继续与江苏省消费者权益保护委员会积极沟通,一起让个人信息安全得到更广泛的重视,在互联网及其他行业得到更规范的保护。此案最终以江苏省消费者权益保护委员会向南京市中级人民法院撤诉而结案(1)江苏省南京市中级人民法院( 2018) 苏01 民初1 号民事裁定书。。
( 二) 个人信息保护领域适用消费公益诉讼的局限性
1.消费公益诉讼适用现状。在本案中,江苏省消费者权益保护委员会以百度公司违反《消费者权益保护法》《网络安全法》《江苏省消费者权益保护条例》为由起诉百度公司。其中,《消费者权益保护法》第二十九条规定:“经营者收集、使用消费者个人信息,应当遵循合法、正当、必要的原则,明示收集和使用信息的目的、方式和范围,并经消费者同意。”该规定实际上是《消费者权益保护法》中的个人信息保护条款,在我国尚未出现与个人信息保护有关的公益诉讼活动之前,其可暂代个人信息保护公益诉讼发挥保护公民个人信息的作用,但消费公益诉讼对于保护公民个人信息来说弊端是显而易见的(2)消费公益诉讼所根据的《消费者权益保护法》第二条规定:“消费者为生活消费需要购买、使用商品或者接受服务,其权益受本法保护。”即消费公益诉讼的保护主体仅限于“消费者”。。近些年,个人信息侵权的案件在我国屡见不鲜,但各社会组织所提起的公益诉讼却仍以消费公益诉讼为主。这说明在实践中,社会组织仍将本应属于新类型的公益诉讼案件生搬硬套进《民事诉讼法》所规定的环境、资源、食药品、国有资产等典型公益诉讼案件之中。长此以往,会因案件类型的局限而使公益诉讼难以适应社会的发展需求。对于公益诉讼的适用范围,我国《民事诉讼法》做出了“枚举法+等”的开放式规定,这使得探索新的公益诉讼案件类型成为可能。
2.公益诉讼原告主体资格的思考。在本案中,江苏省消费者权益保护委员会提起的公益诉讼最终以百度公司同意整改,江苏省消费者权益保护委员会撤诉的方式结案。但在2020 年9 月北京互联网法院公开审理的一起“百度被判赔偿1 元”的案件中,百度公司仍在利用其隐蔽性、专业性的技术优势不当地获取用户个人信息(3)本案中法院认为:“被告( 百度) 的搜索行为使得涉案信息可被全网不特定用户检索获取,在客观上导致该信息在原告授权范围之外被公开,违反了立法关于个人信息使用的相关规定,属于违法使用个人信息的行为。”详见“孙长宝与北京搜狐互联网信息服务有限公司等人格权纠纷案”,北京互联网法院( 2019) 京0491 民初10989 号民事判决书。。
在司法实践中,面对跨区域、跨行业的大型互联网企业,地方性公益组织对其提出的整改方案是否真的具有约束力,这值得商榷。公益诉讼制度在不能保证公共利益得到合理保护的情况下,自然无法充分发挥其自身价值,因此应重新思考此类案件的适格原告。对于社会影响较大、新类型以及涉及行政机关履职不当的公益诉讼的案件需要检察机关作为原告提起公益诉讼才能有效保障公共利益,如果由地方社会公益组织提起公益诉讼,很可能会造成“案结事不了”的悲观结果。
二、个人信息保护领域适用公益诉讼的必要性
( 一) 个人信息具有公益属性
1.APP 对个人信息过度收集。随着全球范围内新一轮技术革命来袭,传统互联网正在向大数据以及人工智能的方向转变,数据收集与应用的规模空前庞大,方式亦日趋多样,网络经营者非法收集个人信息的现象十分普遍。现实生活中几乎所有的手机APP 都需要获取用户个人信息,而这些信息中有很多并非是为提供公众服务所收集的。有研究指出,2016 年Android 手机APP 利用《隐私协议》越权获取“通话记录”[1]。2018 年,上海网信办对23 个最常用APP 的《用户协议》授权内容进行抽查,结果发现几乎每个APP 都存在不同程度的“隐形授权”条款以及滥用个人信息的问题[2]。2018 年底,中国消费者协会发布其对100 款APP 个人信息收集的评测,该评测表明几乎所有APP 都存在过度收集公民个人信息的现象。在对《隐私协议》的评测中,调查人员发现有47 款APP 的《隐私协议》不达标,34 款APP 根本没有《隐私协议》[3]。这些足以表明,在大数据时代网络经营者利用立法滞后性非法获取个人信息的情况十分严重,已然侵害了公共利益。
2.“大数据杀熟”。互联网企业利用用户的个人信息并根据用户消费习惯、支付能力等对用户进行分类,使企业可以掌握每个用户对商品愿意支付的最高价格,再以此为依据为每位用户制定不同的销售价格,从而获取所有的消费者剩余,达到企业自身商业利益的最大化[4]。这种利用大数据损害用户合法权益的行为便是“大数据杀熟”,此种行为侵害了消费者的知情权和公平交易权。如淘宝对“88VIP”的价格歧视情况曾在2020 年下半年引起全社会的热议[5]。会员用户基于会员权益所获取到的商品价格与非会员用户的购买价格是相同的,这无疑是互联网企业不当利用用户个人信息从而侵害用户合法权益的行为。
3.信息滥用导致“悲剧”频发。我国最新发布的《个人信息保护法( 草案) 》中将个人信息定义为“以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息(4)本文对个人信息的定义来自《个人信息保护法( 草案) 》第四条第一款:“个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,不包括匿名化处理后的信息。”。”这一规定表明,个人信息存在两种类型:一种是可以单独识别特定自然人的信息,这类信息与公民个人隐私的联系往往更为紧密,事关公民的人格权益。另一种是可以间接识别特定自然人的个人信息,法律给予此种信息合理使用的空间[6]。由于企业的逐利本性,加之其所收集到的都是用户的敏感个人信息,这些信息往往与公民的个人隐私、个人安全密切相关,一旦泄露就会对公民人身、财产安全造成威胁。例如,2016 年发生的徐玉玉电信诈骗案(5)山东省临沂市罗庄区人民法院( 2019) 鲁1311 刑初250 号刑事判决书。和2021 年4 月发生的特斯拉公布用户个人刹车数据侵犯公民个人信息案等[7]。此外,使用个人信息从事违法犯罪活动不仅会侵害信息主体的个人信息权利,带来司法上的纠纷甚至是财产上的损失,还会给信息主体带来个人征信方面的隐患[8]。
( 二) 个人信息保护领域私力救济存在困境
《个人信息保护法( 草案) 》系统规定了个人信息处理规则、个人信息处理者的义务以及个人信息保护部门的职责,弥补了个人信息立法零散的缺陷,规制了除权利人外的其他主体使用其个人信息的行为,个人信息保护的法律框架初步形成,但此后具体适用《个人信息保护法( 草案) 》时还需要通过司法解释对其进行完善。立法上保护个人信息的突破仅仅是第一步。虽然对处理者的义务及责任进行了立法建构,但该草案并未涉及个人信息保护公益诉讼问题,公民个人信息受到损害后只能采取私力救济的方式保护自己的合法权益。然而,仅靠私力救济并不能实现对公众个人信息的有效保护。公民的个人信息往往被掌控在互联网企业等手中,公民与企业之间存在认知上的不对等性,公民的认知能力与维权意识也较为低下,维权成功率较低,这导致私力救济保护公民个人信息的能力被严重削弱。
1.双方当事人认知不对等。现如今,网络经营者建立起了“用个人信息换取其所提供的服务”的商业模式,用户并不介意为了免费获得服务而丧失对一部分信息的控制权,相反,他们更看重的是如果不勾选网络经营者提供的协议进行注册、登录,他们将享受不到所期待的服务。起初用户会认真阅读该软件所提供的《用户协议》,但相关协议的内容大多都含糊其辞或晦涩难懂,用“必要时”“努力确保”等模糊性用语来扰乱视听。用户在授权获取服务一段时间后发现这种采集行为并不会对自己的利益产生直接的影响,之后也不再对《协议》进行审查,同时网络经营者也相应地增加了默认同意、授权或隐蔽提示等模式。用户在网络平台注册时只能被动“勾选”而无法对网络经营者单方面给出的协议进行协商或者选择,网络经营者将同意《用户协议》与提供软件服务相绑定的行为实质上侵害了公民对个人信息利用的知情权[9]。由此,在网络经营者与公众之间产生了实质上的认知不对等现象。
2.公民的认知水平和维权意识低。第一,2020 年10 月15 日出台的《个人信息保护法( 草案) 》确立了以“事前同意规则”(6)本文所指的事前同意规则是指个人信息的获得和利用,要经过数据主体的明示或者默示同意。为核心的个人信息保护模式,明确行政机关行使职权时所收集的个人信息由国家网信部门统一进行监管(7)《个人信息保护法( 草案) 》第五十六条:“国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作,国务院有关部门依照本法和有关法律、行政法规的规定,在各自职责范围内负责个人信息保护和监督管理工作。”。这表明我国保护公民个人信息的意识正逐步加强,但《个人信息保护法( 草案) 》所确立的知情同意模式不可避免地存在缺陷。就网络经营者而言,若采用此种模式将极大地损害其商业利益,使“通知消费者以征求消费者同意的成本有时会超过消费者个人信息所含的潜在价值”[10]。这与《德国商法典》中“容忍代理”的规则相吻合,即在商事代理采取概括授权的模式下,本人指导行为人以其名义实施代理行为而保持沉默,这一规则之后演变为“本人沉默即为同意”原则[11]。
第二,网络经营者常常会故意降低隐私条款或个人信息使用条款的“存在感”,此类条款往往以格式条款的形式呈现,其在拟定隐私条款时对个人信息使用界限的用语大多较为模糊。例如,“在用户注册及使用本服务时,音乐魔方需要搜集能识别用户身份的个人信息以便为用户提供更好的使用体验”[12]。用户处于网络经营者所设定的“授权才能享受服务”的模式下也不会仔细阅读隐私条款,种种现象都表明知情同意模式“名存实亡”,并不能较好地保护公民个人信息[13]。
第三,进入大数据时代后,个人信息保护的内容在保护个人对其信息的控制权基础上又增加了财产权保护。“如果个人信息已经能够为人们创造价值,那就应当被定义为一种新型财产权”[14]。也有学者认为,将人格权与财产权完全分开是没有必要的,完全可以将个人信息表述为“商品化人格权”“作为财产权的人格权”,以反映人格权与财产权的交融[15]。随着互联网技术的不断发展,个人信息的经济价值日趋明显,此时个人信息即具有了财产权属性。大数据巨大的二次利用价值与无处不在的数据收集技术和专业多样的信息处理技术使用户丧失了其对自己个人信息利用的知情权[16]。此外,由于个人信息的收集和使用手段具有隐蔽性,同时网络运营者常以商业秘密和知识产权保密为由拒绝公开其个人信息收集行为,导致除专业技术人员以及其他具有网络专业知识的相关人员之外,一般公民无法发现网络经营者的信息滥用行为。加之被侵犯的个人信息往往是公民对其信息的独占使用权、知情权,因此,在发生危害结果之前普通民众往往不能正确认识、评估泄露其个人信息所可能带来的后果。
3.个人维权概率低。在《民法典》和《个人信息保护法( 草案) 》正式公布之前,由于个人信息保护条文的缺乏,学界对于个人信息究竟是法益还是权利一直存在着争议,虽然多位学者都对此提出了相应观点,如杨立新教授做了关于个人信息权的论证[17];王利明教授认为《民法典》并没有使用个人信息权这一表述,其仅为自然人的个人信息保护提供了法律依据[18]; 张新宝教授则持近似人格权说,认为明确对个人信息的保护,对保护公民的人格尊严具有现实意义[19]。但由于法律并没有对此给出明确界定,法官始终无法直接依据相应条文做出裁判。
《个人信息保护法( 草案) 》涵盖了大数据时代个人信息保护的核心内容,包括个人信息的界定、处理原则、信息主体权利、处理者义务以及处罚措施,这些规定将为法官将来裁判案件提供直接依据。但关于个人信息侵权案件的救济途径,该草案并没有特殊规定,因此,实践中个人对信息数据的保护只有提起民事私益诉讼这一种方式。但现实情况是即使提起诉讼,个人的权利也难以维护。其一,互联网企业通常会将公民个人信息利益最大化,其不仅会自己利用,还会出售给其他企业,而个人信息经过多次流转后很难判断其中的过错方。其二,在法律无特殊规定的情况下,对个人信息侵权事实的证明只能依照“谁主张谁举证”的一般原则进行举证责任的分配,而个人往往无法收集到网络运营者所掌握的证据,很难证明侵权行为与损害后果之间存在因果关系。由于网络运营者处理数据的便利性,被侵权人即使委托网络专业技术人员收集到证据,也很难固定证据[20]。
三、个人信息保护领域适用检察公益诉讼的可行性
( 一) 个人信息保护属于检察监督的范畴
《宪法》第一百二十九条“中华人民共和国人民检察院是国家的法律监督机关”的规定既是检察院成为公益诉讼适格主体的前提,也是确定其在公益诉讼中所处地位及诉讼权利义务的制度起点[21]。检察机关作为适格主体提起公益诉讼,基本符合学理上的“诉讼管理学说”(8)诉讼管理学说是指公益诉讼中的诉权主体是否为请求权主体,并非最为关键的问题;特定条件下给特定主体赋权,是出于公共秩序和执法效率的考虑;群体诉讼实为一种客观规则控制手段,旨在公共治理。。一方面,虽然检察机关和法定的行政机关以及社会组织都是基于法律规定而被赋予了提起公益诉讼的权利,但检察机关的诉权来自不允许被处分的法律监督权,更好地体现了检察机关作为公共利益代理人的角色[22]。对此部分学者也认为由检察机关提起公益诉讼可使法律监督权与审判权相互配合制衡过于强大的行政权[23]。另一方面,虽然检察机关的诉讼地位在学界仍有争议,但《民事诉讼法》明确规定检察机关可以提起民事公益诉讼。赋予检察机关提起公益诉讼的权利,实质上是宪法中检察机关“检察监督权”的具体化,是对检察监督权外延的扩大。
侵犯公民个人信息的行为可以分为两类: 一类是行政机关滥用职权侵害公民个人信息权利的行为;另一类是其他社会主体以各种形式侵害公民个人信息权利的行为。我们可以合理预见到,以私益保护为目的建构的原有诉讼规范体系,无法通过短时间内小修小补兼容社会公共利益保护[24]。检察机关基于法律监督职能所衍生出的公益诉讼职能,已使得其成为维护我国公共利益的实质主管机关。对于前者,检察机关负有监督行政机关依法履行保护义务和监管职能的职责;对于后者,检察机关负有最终进行保护的法定义务,检察机关是公共利益保护的最后一道防线。
( 二) 检察公益诉讼政策法规具备可扩张性
作为整个国家法律规范体系的顶层设计,宪法规范具有最高的法律效力,并具有普遍性和实效性,通过建立健全宪法规范的实施路径可以切实维护宪法规范的效力。我们可以从宪法规范与部门法规范二元关系的角度去拓宽《宪法》第一百二十九条的实施路径。从《民事诉讼法》的历史沿革来看,增设检察机关提起公益诉讼的条款,是通过解释宪法所赋予的检察机关的法律监督职能而释放出的制度。对《宪法》第一百二十九条的规范分析不应当仅局限于条文本身,还应当关注该条款产生的历史条件、在宪法文本中的结构位置及其规范属性,甚至需要考虑其他条款对该条款的规范供给来进一步探索该条款的可扩张性[25],以此为强化检察机关公益诉权提供强有力的支撑。
《民事诉讼法》第五十五条第二款、《行政诉讼法》第二十五条第四款和《最高人民法院最高人民检察院关于检察公益诉讼案件适用法律若干问题的解释》均规定了公益诉讼适用范围。行政公益诉讼适用范围主要为生态环境和资源保护、国有资产保护、国有土地使用权出让三个领域,民事公益诉讼的适用范围主要为环境污染、食品药品安全领域。考虑到法律的滞后性,立法者均将“损害社会公共利益”作为兜底条款,这种立法模式为司法机关在法律实施过程中不断完善公益诉讼制度留有余地[26]。此前在最高人民检察院新闻发布会中,检察机关表示其会坚持作“等”内的理解和掌握,对个别“等内”“等外”理解有分歧,又严重侵害公益、群众反映强烈、普通诉讼又缺乏适格主体的情况,进行积极的适用范围探索[27]( 例如,在试点中检察机关已经将公益诉讼适用范围拓展到侵害劳动者权益、行业不正当竞争等领域) 。因此,有必要对立法作目的解释,对于严重侵害公益的行为,即使法律没有规定,检察机关亦可以实践的方式拓宽检察公益诉讼适用范围。
( 三) 检察公益诉讼具有成熟的实践积累
据统计,自2017 年7 月检察公益诉讼开始试点到2019 年11 月,检察公益诉讼在案件数量、办案范围等方面都呈现增加的趋势,具体数据见下图:
图1 2017 年7 月至2019 年11 月检察公益诉讼案件数量
据查,2017 年检察机关共办理公益诉讼案件10 925件,主要涉及生态环境和资源保护、国有资产保护、国有土地使用权出让、食品药品安全等法律明确规定的领域。法院审结公益诉讼案件1 112件,其中有985 件为检察公益诉讼案件,占全年审结公益诉讼案件的89%[28]。2018 年检察机关共办理民事公益诉讼4 393件、行政公益诉讼108 767件。其中涉及生态环境和资源保护59 312件、食品药品安全41 118件、国有财产保护10 025件、国有土地使用权出让2 648件、英烈权益保护57 件;法院审结公益诉讼案件2 138件,其中有2 020件是检察公益诉讼案件,占比94%[29]。2019 年1 月至11 月检察机关共办理民事公益诉讼7 125件、行政公益诉讼119 787件,与2018 年相比分别上升62.2%和10.1%,同时办理其他严重损害公共利益的案件7 950件;人民法院审结公益诉讼案件1 105件,其中有842 件检察公益诉讼案件,占比76%[30]。
根据上述图表与相关数据可知,在全面推行检察公益诉讼制度之后的两年时间内,检察公益诉讼案件的数量和范围大幅增加,案件审结率大幅提升。从结案方式以及裁判结果来看,除了常见的判决方式结案,部分案件采用调解方式结案,并且通常能够在短期内履行完毕。数据显示,检察机关提起的公益诉讼胜诉率极高,不少地方检察机关的胜诉率达到了100%,这体现出了检察机关丰富的实践经验[31]。随着试点的推进,检察机关对公益诉讼制度不断进行尝试性探索,并逐渐形成了一套关于诉前程序、案件来源、调查核证和诉讼费用等程序的可操作性规则,推动我国公益诉讼制度不断完善。结合当前最高人民检察院制定的内设机构改革方案,检察机关内设的业务部门对应四大检察监督的职能配置,基本形成了融合发展的检察监督科学分类态势,打破了过去检察监督部门利益化的壁垒,通过内设机构的分类协同设置,实现刑事检察、民事检察、行政检察与公益诉讼工作质效的最大化[32]。
同时,对于侵害公民个人信息影响公共利益的案件,检察机关也会主动行使权力。例如,宁波海曙区检察院对该区内发生的“骚扰电话”严重影响公众正常生活的现象进行调查分析后,认为该情况是行政机关监管不力导致,遂主动向该区行政机关通信管理部门发出检察建议,最终达到了监督行政机关依法履行职责的效果(9)该案名为“浙江省宁波市‘骚扰电话’整治公益诉讼案”。2018 年12 月,该公益诉讼案件也成功入选为最高人民检察院发布的检察公益诉讼十大典型案例之一,详见https: //www.spp.gov.cn/zdgz/201812/t20181225_403407.shtml,访问日期:2021 年4 月25 日。。
四、个人信息保护领域适用检察公益诉讼的困境
( 一) 诉前程序与诉中程序的相关法律规范缺失
最高人民法院和最高人民检察院联合发布的《最高人民法院、最高人民检察院关于检察公益诉讼案件适用法律若干问题的解释》( 下称《解释》) 中,对民事公益诉讼诉前程序启动条件与时间未做明确规定,仅规定符合法定条件可启动诉前程序。这一立法空白导致检察机关在司法实践中往往会选择先行收集大量证据材料,待其认为所收集的证据足以支撑起诉并赢得诉讼时,方才启动诉前程序[33]。这种做法不仅要付出巨大的人力物力成本,还会因起诉不及时而使公共利益遭受较大损害。
行政公益诉讼诉前程序的具体规定大都散见于最高人民法院和最高人民检察院的司法解释中,缺乏系统性,这导致检察机关行使职权无法可依或权源不清,实践中也的确出现了诉前程序与诉中程序衔接不当的问题。例如,《解释》第二十一条规定人民检察院在发现行政公益诉讼案件后,应当向案件所指向的不作为或违法作为的行政机关提出检察建议,行政机关应当在两个月内依法履职并予以书面回复。实践中,检察机关收到的回复大多仅为已经开始履职,但对于行政机关履职到何种程度或是否已完全履职的情况,检察机关则无从得知。在此情形下是否应当启动诉讼程序,也缺乏统一、明确的标准。
从诉前程序的立案环节到检察建议的发出以及最终决定是否提起公益诉讼等制度设计,都呈现出检察机关唱独角戏的特点[34]。此种模式下,检察机关需要在个案情境下筛选出何种信息属于公益诉讼范围,这直接关系到公益诉讼能否被提起。而检察机关往往缺少甄别此种案件的专业素养,我国法律也缺少对专业论证程序的相关规定,这使得大部分个人信息侵权案件被排除在公益诉讼范围之外。另外,《解释》规定无其他适格主体提起公益诉讼时,检察机关可以提起公益诉讼。虽然按照文义解释,检察机关似乎被赋予了可自由选择是否提起公益诉讼的权力,但这容易导致公益诉讼的诉前程序与诉中程序的衔接断层,无疑与公益诉讼制度的目的相悖。有学者认为可以通过修改《检察院组织法》以及对《民事诉讼法》第二百一十条进行客观解释,来赋予检察机关提起民事公益诉讼诉前程序以合法性[35]。立法者在2017 年增订公益诉讼条款时采纳了这一观点。但如今我国公益诉讼诉前程序仅仅停留在处理公益诉讼诉权配置竞合问题上,还应通过进一步修改或解释法律来完善公益诉讼诉前程序。
《民事诉讼法》仅对诉中程序的第一审程序进行了明确的规定。自检察公益诉讼全面推行以来,公益诉讼进入第二审甚至审判监督程序的案件数量呈现逐年升高的趋势,但对公益诉讼中检察机关如何启动第二审和公益诉讼中审判监督程序的问题,法律未明确规定。关于检察机关启动第二审程序的方式究竟是上诉还是抗诉的争论,实质上是法律对检察机关民事公诉权的界定较为模糊造成的[36]。此外,若适用《民事诉讼法》中关于审判监督程序中当事人一方可以提起再审的规定,又会引发检察院自己作为另一方当事人时,其所拥有的抗诉权是否可以继续行使的问题,最终虚化诉讼监督程序。
( 二) 检察机关调查取证受碍
第一,检察机关调查取证权难以行使。检察机关调查取证权来源于2015 年最高人民检察院发布的《人民检察院提起公益诉讼试点工作实施办法》( 下称《实施办法》) 第三十三条的规定,即检察机关在调查核实证据时行政机关及其他有关单位和个人应当予以配合。2018 年两高发布《检察公益诉讼案件适用法律若干问题的解释》,其第六条规定与《实施办法》第三十三条内容大致相同,但并未为检察机关行使调查取证权提供具体可行的制度规范。2019 年检察机关发布了《民事公益诉讼案件办案指南( 试行) 》和《行政公益诉讼案件办案指南( 试行) 》对调查取证权进行细化,但从其效力位阶上看,其是检察机关自行制定的内部业务指导文件,规范层级较低,无法强制行政机关履行义务,更无法要求行政机关为不履行义务的行为承担相应责任,这使该条文的作用甚微,也制约了公益诉讼制度的推进。针对个人信息保护案件,由于行政机关违法行使职权、不履行职责导致个人信息泄露甚至被滥用的案件类型占大部分,对于此类案件检察机关若无强制调查取证权,其检察监督职能也就形同虚设。
第二,检察机关缺少专业知识人员和专业技术人员。由于公益诉讼案件事实鉴定以及调查取证十分复杂,往往需要专业人士发表专业意见才能认定案件事实。例如,在个人信息保护案件中,由于被侵权信息均在网络经营者支配之下,并且此类收集具有隐蔽性、专业性和难以固定性等特征,这往往需要专业人员对个人信息的侵权程度进行认定。而检察机关往往缺少该行业的专业人才,这不仅使检察机关另行调取证据需要花费高额的费用,且若由其自行调查取证,法院往往会对该证据的证明力产生质疑。
( 三) 检察机关的举证义务难以履行
举证责任分配是关系到公益诉讼制度作用发挥的重点问题。司法实践中,举证责任分配不合理也是检察机关提起公益诉讼时必须面对的问题,由于我国《民事诉讼法》没有对公益诉讼举证责任分配做出特殊规定,因此检察机关提起公益诉讼基本还是沿袭传统民事诉讼的“过错责任原则”[37]。适用该原则意味着原告需要对网络运营者对信息的违法收集、使用行为、损害结果、行为与损害结果之间的因果关系以及网络运营者主观存在过错进行举证,具体法律依据为《民事诉讼法》第六十四条和《最高人民法院关于民事诉讼证据的若干规定》第一条、第二条。
但需要注意的是,个人信息保护公益诉讼案件与传统的公益诉讼案件不同,由于网络技术的专业性,网络运营者使用网络技术对个人信息的收集具有高度的隐秘性,使非专业人士难以证明个人信息收集过程中的违法行为。并且网络运营者一旦发现自己所收集的数据将要或正在被调查取证,就很有可能利用其对信息的支配地位,轻易地将违法信息予以更改或删除。这使得检察机关调取证据变得更加困难。同时,《关于检察公益诉讼案件适用若干问题的解释》并没有规定检察机关作为原告提起诉讼时提交的用以证明损害社会公共利益的证明材料需要达到何种程度才能被认为是尽到了证明责任。并且由于公民个人信息的损害结果大多是间接损害结果,即行为人对公民个人信息知情权、支配权进行侵害,因此检察机关难以证明被告的行为直接损害了社会公共利益。
( 四) 行政执法信息利用成效甚微
1.个人信息滥用的行政监管力度较低。我国行政机关对互联网经营者的监管呈现出“条块化”的监管模式,但如今大数据技术的发展使网络经营者的经营活动可以横跨全国范围以及各个领域。对互联网企业地域化、部门化的监管方式使得部门与部门、地域与地域之间出台的政策存在着相互矛盾的可能。在网络经营者违法利用、收集个人信息时,一定地域的行政机关制定的条例在适用时会因为具有地域局限性而使经营者提出异议,使得行政机关难以对个人信息的滥用行为进行有力监管。我国正处于经济发展的关键时期,政府对互联网行业以及新兴企业的发展持“鼓励态度”,存在“以批代管”的现象。互联网的迅速发展也带动了数据收集技术的专业化发展,这使得网络经营者可以轻而易举地收集到大量的公民个人信息。但行政机关各部门之间并没有对公民个人信息使用与收集活动的监管进行职责划分,如此导致个人信息滥用行为处于监管空白的状态,极大地损害了公民的利益。
2.部分行政机关不当利用公民个人信息。我国法律虽然赋予行政机关收集公民个人信息的权力,但由于对公民个人信息保护力度不够,导致行政机关的权力无法得到有效制约,寻租行为(10)有时人们会通过一些非生产性的行为来追求利益( 往往是经济利益) ,这种行为即本文所指的“寻租行为”,如政府部门通过设置一些收费项目来为本部门谋求好处等。不断上演。此外,行政机关在收集个人信息时往往会出现“重复采集”的现象,公民需要在不同的信息采集部门之间来回周转。不仅如此,在信息管理过程中甚至会出现行政机关滥用个人信息的现象,如为获得高额利润而滥用其收集到的个人信息的事件频频发生。例如,2017 年最高人民检察院发布的涉及国家工作人员非法获取新生婴儿信息的典型案例中,上海疾控中心的负责人就不断利用工作便利获取大量公民信息并出售给非法收集信息营利的第三方,以赚取高额利润[38]。
3.行政执法信息无法共享。从负有监管职责的行政机关处调取的行政执法卷宗材料是检察公益诉讼案件中极为重要的证据材料。但由于我国行政系统和检察系统的相互独立性,当检察机关试图从行政机关处调取证据时,往往要经历一道道繁琐的程序,这实际上加大了检察机关调查取证的难度。
五、个人信息保护领域适用检察公益诉讼的可行路径
( 一) 立法层面拓宽公益诉讼适用范围
随着社会的不断发展,公共利益的范围也越来越广泛,此时若仍将公益诉讼的适用范围限制在寥寥几个方面,将会严重制约公益诉讼制度在我国的适用。2019 年党的十九届四中全会审议通过的《中共中央关于坚持和完善中国特色社会主义制度推进国家治理体系和治理能力现代化若干重大问题的决定》明确提出要拓宽公益诉讼适用范围。具体举措可以尝试从转变立法模式、发布司法解释、发布指导案例等方面探求拓宽公益诉讼适用范围的合理途径。
1.转变立法模式。虽然“公共利益”的范围难以界定,但民事公益诉讼的适用范围可以做出限定[39]。立法者在公益诉讼适用范围的法律规定中采用了“枚举法+等”的开放性表述,这表明该适用范围有扩张的可能性。这一立法模式看似开放,但通过中国裁判文书网对公益诉讼案件类型的检索可以发现,从2012 年1 月到2020 年3 月,人民法院审结的公益诉讼案件共计8 111件。其中生态环境保护类案件3 926件,占比48.4%;消费者权益保护类案件2 172件,占比26.78%; 国有财产保护类案件741件,占比9.14%;国有土地使用权类案件703 件,占比8.67%;英烈保护类案件27 件,占比0.33%;其他公益诉讼案件542 件,占比6.68%。司法实践中,公益诉讼适用范围仍局限在立法明确的五大领域,基本没有予以拓展。据此可知,肯定式列举可诉适用范围的立法模式并不能完全达到保护公共利益的目的,在五大领域外的公共利益仍然亟需保护[40]。
采取肯定列举的立法模式是我国在公益诉讼试点初期所做的选择,此种立法模式解决了部分突出问题,因此具备一定的可行性。但随着我国公共利益内涵的不断扩大,肯定列举的立法模式将会限制公益诉讼制度的发展。应当采取概括肯定加列举否定式的立法模式,即对可诉范围进行概括原则性规定,对不可诉的范围采取列举式规定。如此既避免了概括立法模式过于模糊而难以操作的弊端,又避免了纯列举立法模式将案件类型僵化的缺陷,能够最大限度地拓宽公益诉讼适用范围,使公共利益得到最大程度的保护。
《个人信息保护法( 草案) 》的公布表明我国日益重视公民个人信息保护,但该法对个人信息保护体现出总纲性、模糊性的特点,这主要是由于立法者考虑到过于严格的信息保护制度将会弱化市场竞争活动,规模较大的公司将继续保持其优势地位,而中小企业却将难以为继[41]。但在网络时代,个人信息处理技术飞速发展,静态地遵循事前同意机制已经不能应对日益严峻的个人信息泄露形势所带来的挑战。我们必须转变思维模式,在个人信息保护问题上积极转变立法模式以拓宽公益诉讼的适用范围,对滥用个人信息数据的行为进行动态监管,利用立法引领司法实践。继续采取“试验性立法”(11)试验性立法是指在特殊条件下采取的临时立法措施。如本应由全国人大或其常委会制定法律,但因为时机或草案尚不成熟,而由国务院接受全国人大或其常委会的特别授权,先制定行政法规,以适应社会实际需要,同时也便于总结实施的经验,为将来制定法律作准备的一种立法选择。的方式,将个人信息保护案件纳入公益诉讼适用范围内,从而使处于探索阶段的个人信息公益诉讼于法有据。
2.发布司法解释。对于我国法律中较为模糊、抽象的条文规定,只有经过解释才能具体地加以适用。《民事诉讼法》作为民事诉讼领域的基本法,无法对公益诉讼做出详细规定。这意味着如果要切实发挥公益诉讼制度的效果,必须要对法律的内容和含义做出说明。自《民事诉讼法》颁布以来,最高人民法院针对公益诉讼制度出台了大量的司法解释,以顺应社会发展的需要,保障社会公共利益[42]。
《个人信息保护法( 草案) 》中也使用了诸如“相应”“必要”“合理”等模糊性的词汇,若不加以解释将会不当扩大法官的自由裁量权,出现“同案不同判”的情况。社会发展日新月异,在适用法律法规的过程中,最高人民法院只有不断依据社会现实做出如何适用法律的具体解释,才能使静态的法律制度在最大程度上适应客观司法实践的动态变化。因此,在适用《个人信息保护法( 草案) 》时也可以通过制定司法解释的方式将个人信息保护案件等公共利益受损的案件纳入公益诉讼的范围内。
3.遴选并发布指导性案例。自我国2010 年正式确立案例指导制度后,最高人民法院已经发布了上百个指导案例,这些指导性案例也被称为“司法法”。并且在司法实践中,越来越多的裁判文书直接援引了指导性案例作为论证与裁判的理由。党的十九届四中全会明确提出要拓展公益诉讼适用范围,但实践中人民法院常常裁定驳回检察机关提起的“五大领域”之外的公益诉讼。通过指导案例制度切实有效地将个人信息保护案件纳入公益诉讼的适用范围之内,在立法尚无规定时,将指导性案例作为补充法源来扩张公益诉讼的适用范围,这对积极探索检察公益诉讼制度的完善举措具有重要意义。
例如,2018 年5 月义乌市检察院对浙江省首例侮辱、诋毁烈士名誉案启动行政公益诉讼诉前程序,督促义乌市公安机关会同相关部门采取停止传输、消除等处置手段去除侮辱、歪曲信息,并对相关言论人员进行教育,加强对网络运营者的监督管理,督促网络运营者采取切实手段保护英雄烈士姓名、肖像、名誉、荣誉不受侵害[43]。根据《英雄烈士保护法》,检察机关没有提起行政公益诉讼的诉权,不能发出诉前检察建议[44]。该案件完全可以作为指导案例,为日后处理此类案件提供依据。
( 二) 赋予检察机关以调查取证权
有学者认为,在检察机关提起公益诉讼制度的构建中,职权配置应以调查取证为重心[45]。调查取证是检察机关在处理公益诉讼案件时最基础的工作,如果不能充分调取证据,将在很大程度上限制公益诉讼制度的有效推行。还有学者认为,仅靠检察机关对大量的数据进行检索、调查是不现实的,应当建构网络平台的数据报送制度,降低检察机关在调查取证方面的难度[46]。
我国法律对检察机关调查取证权的规定存在诸多不合理之处。一方面,《行政公益诉讼案件办案指南( 试行) 》和《民事公益诉讼案件办案指南( 试行) 》虽然对检察机关调查取证权有所规定,然其效力等级较低,对外强制力不足。有必要建立完备的调查取证制度,加大立法供给,提升立法规范效力,在法律层面对调查取证权的适用范围、行使方式、保障手段等给予更具可操作性的规定。现阶段可以通过出台实施细则,发布针对性、操作性更强的司法解释等方式为检察机关的调查取证权提供正当性基础。条件具备时应制定专门法律,以健全公益诉讼的调查取证体系。另一方面,应完善相关配套工作机制,强化运行保障措施。法律虽然规定被调查人有配合调查取证的义务,但并未规定被调查人违反配合义务后应承担的法律责任,致使该条文没有强制力做后盾,处于柔性状态。此时,可以借鉴英美法系中“证据调查令”制度,即常规的调查取证仍由检察机关自行决定,一旦涉及被调查对象拒不配合的情况,检察机关可以向人民法院申请证据调查令,根据该令对拒不配合的当事人进行强制收集证据以及采取必要的强制措施,以确保检察机关调查取证权的有效实施[47]。此外,为保证调查取证权的有效行使,也应借助外部力量增强其强制力。如可以争取党委、人大和政府的支持,加强与监察委员会、公安机关的沟通交流,对拒不配合调查的调查对象采取惩戒等措施,增强检察机关调查取证权的权威性。
( 三) 过错推定责任原则的适当适用
如前文所述,过错责任原则已经不能适应检察公益诉讼发展的需要,应当合理分配举证责任,使双方处于平等地位,在最大限度上实现实体公正。对于检察公益诉讼来说,由于个人信息侵权案件的证据实际处于网络经营者的支配之下,检察机关取证较为困难。此时,可以适当地适用举证责任倒置规则以减轻检察机关的取证压力。其一,要求检察机关在提起该公益诉讼时承担初步的举证责任,即证明网络经营者存在非法收集、使用个人信息等行为的线索。其二,法院在审理过程中应适用过错推定原则,推定网络经营者存在过错,并要求其对自己没有违法收集、使用个人信息的行为进行举证,承担举证不能时的证明责任。其三,由于个人信息数据存在易变性与隐秘性的特征,为防止网络经营者在检察机关取证前对系统内所存储的违法信息进行删改,应当规定在网络经营者查询、调取证据时,检察机关可派专员一同调取或者允许其进入内部平台而不被阻碍。
( 四) 共享行政执法信息
信息的价值在于共享。《政府信息公开条例》是保障政府数据开放、信息共享的重要制度支撑,该条例实施10 余年来所暴露出的阻碍信息二次利用的问题恰恰是政府数据开放立法需要突破的重点领域。此前,该条例旨在“充分保障人民群众知情权”,但随着大数据时代的全面到来,知情权的内容早已不限于单纯的信息公开,而更侧重于政府信息公开之后的表达、参与、监督和再利用[48]。在我国现行的信息公开制度下,个人信息被分割存储在不同的部门,互联互通、相互分享与整合利用难以实现,“信息孤岛”的现象依然存在[49]。早期的制度设计愈来愈难以有效地满足现代社会需求,这进一步加大了跨部门合作的沟通难度和政府与检察机关之间的程序衔接难度。
数字经济的发展要求个人信息保护检察公益诉讼的调查取证活动应具备及时性与针对性的特征,相较于受侵害主体而言,检察机关的取证手段更为丰富也更为专业,更能有效地对网络经营者使用个人信息的行为进行监督。但个人信息侵权案件证据数量庞大,将全部证据线索的发现都寄希望于检察机关的努力既不符合现实情况,也会造成大量证据的遗漏,最终无益于公共利益的保护。此外,检察机关对个人信息保护公益诉讼缺乏办案经验,而行政机关在信息收集和公开过程中能够及时发现问题,更好地保障公共利益,因此完善检察机关与行政机关之间案件线索与证据的共享机制实有必要。应当建立检察机关与行政机关互通互联的专门数据库,在完善个人信息管理与储存的基础上,将该数据库中的个人信息与检察机关共享,解决检察机关调查取证难的问题。如此不仅简化了检察机关调查取证的程序,还可以确保诉前程序有效启动,能够督促行政机关及时履职,通过各机关各部门之间“零接触”,形成个人信息保护工作的合力,实现监督者与被监督者的互动双赢[50]。
六、结语
个人信息受侵害程度日益严重,这不仅涉及个人权益的保护,也涉及公共利益保护。正值《个人信息保护法( 草案) 》公布之际,以私益保护为目的建构的原有的诉讼规范体系短时间内无法通过小修小补的方式兼容社会公共利益保护,因此检察公益诉讼势在必行。由于法律没有明文规定个人信息公益诉讼案件类型,司法实践中只能以消费公益诉讼的方式来实现对个人信息的保护。现代社会公共利益范围不断拓宽,侵害公共利益的行为表现形式也日趋多样,我国对公益诉讼制度的试点推行初步确立了检察公益诉讼制度,但该制度仍不成熟。法律明确列举的传统公益诉讼的案件类型在实践中反而限制了公益诉讼的适用范围。未来可以通过转变立法模式、发布司法解释和遴选、发布指导性案例三项举措将公益诉讼适用范围拓宽至个人信息保护领域以及其他公共利益易受损害的领域,以此回应社会关切,真正发挥公益诉讼制度的实效。