个人信息保护领域公益诉讼与刑事检察衔接问题研究
2024-03-11黄星任
摘 要:为全面保障公民个人信息安全,个人信息保护领域公益诉讼与刑事检察必须做到有机衔接。衔接可以从实体和程序两方面进行优化。实体上,应当加强刑事检察与公益诉讼的正反向衔接,完善刑事犯罪与损害公益的责任衔接;程序上,应当健全完善案件线索发现和共享机制,提出多元化诉讼请求,注重统筹“恢复性司法”与“风险预防”。
关键词:个人信息保护 刑事检察 公益诉讼
相较于传统领域的公益诉讼类型,个人信息保护案件在管辖权界定、调查核实权行使、线索搜集、证据转化等方面仍有未善之处。进一步深化刑事检察和公益诉讼检察的衔接,既有利于拓宽个人信息违法案件的线索来源,也有利于统筹发挥、综合运用不同检察职能,最大限度保障公共利益和公民信息、财产安全。
一、个人信息保护领域公益诉讼与刑事检察衔接的必要性
(一)私益诉讼和刑事手段应对个人信息侵权力有不逮
大数据时代,个人信息侵权涉及面广、隐秘性高、专业性强、违法收益显著高于违法成本,这些特点决定了针对个人信息侵权的救济难度远超一般侵权行为,私益诉讼力有不逮。因应传统的个人信息个人控制论向社会控制论转变的形势,近年来个人信息保护立法迅速发展,且呈现出“刑法先行”的特点。但刑法的谦抑性和保障性决定了只有少数符合刑法及相关司法解释规定的个人信息违法行为才能进入刑事打击的视野。因此,立法机关一方面相继出台《网络安全法》《数据安全法》《个人信息保护法》等,不断强化行政主导;另一方面,检察机关在个人信息保护领域的公益诉讼探索进入立法者和公众的视野,经由《个人信息保护法》得到确认。
(二)有利于发挥不同诉讼制度的优势
在个人信息保护领域,检察机关以提起刑事附带民事公益诉讼为主的做法相较其他领域更为突出,其中固然有办案效率的考量,但此种做法有消解检察公益诉讼独立性之嫌[1],少有见到对不构成侵犯公民个人信息罪或者检察机关作出不起诉决定的个人信息侵权案件单独提起民事公益诉讼。而行政公益诉讼案件量相对较少,制度潜力也未能充分挖掘。伴随“刑法先行”这一立法特点,司法领域同样“刑事先行”,民事、行政存在不同程度的缺位现象。加强刑事检察与公益诉讼检察的衔接协作,不仅能进一步提高办案效率,有利于在维护公益诉讼的独立性的前提下更加彰显制度价值。
(三)有利于加强治罪与治理
个人信息侵权不仅关涉侵犯公民个人信息犯罪,往往还伴随诈骗、敲诈勒索等下游犯罪。在电信网络诈骗中,购买、窃取公民个人信息常作为手段行为,因而具体案件中可能出现重视下游犯罪不重视上游犯罪,构成此罪但不构成彼罪,或者侵犯公民个人信息犯罪被诈骗罪所竞合吸收等情形。一方面,应当通过完善责任制度的衔接,厘清侵权损害赔偿责任的承担主体,探索将下游犯罪销售者的获利认定为赔偿数额由个人信息侵权者共同承担。另一方面,有必要通过全链条打击、提出预防举措、堵塞监管漏洞,既加大对电信网络诈骗犯罪的震慑力度,又实现更为良好的治理效果。
二、个人信息保护领域公益诉讼与刑事检察实体问题的衔接
(一)加强刑事检察与公益诉讼的“双向衔接”
当前刑事检察与公益诉讼检察之间的衔接多为刑事检察为公益诉讼提供线索与调查协助,以公益诉讼推动刑事检察的案例较少。而且刑事检察与公益诉讼检察的反向衔接也略显不足,在一定程度上影响个人信息侵权案件的处置。
1.加强刑事检察与行政公益诉讼“反向衔接”
在实践中,除刑事检察与个人信息民事公益诉讼的衔接外,还需注重与行政公益诉讼的衔接。例如,侵犯公民个人信息罪的行为类型包括违反国家规定出售、提供、获取个人信息三大类,因此构成本罪的一般为自然人或者小微企业,少有大型企业成为单位犯罪主体。涉大型企业侵犯公民个人信息罪多表现为企业员工利用职务之便获取个人信息进行出售,此情形企业虽不构成刑事犯罪,但是往往能反映其内部管理存在漏洞。发现此类犯罪时,在无法适用刑事企业合规制度的情形下,可通过制发民事公益诉讼诉前检察建议督促企业依法规范用户信息管理,全面维护用户个人信息安全。也可发挥民事公益诉讼独特的制度价值,综合个人信息保护领域行政管理法律法规,分析研判案件中个人信息处理企业的过失责任,及时对因违反管理性法律法规致使个人信息泄漏企业提起民事公益诉讼。此外,该类情形亦可衔接行政公益诉讼,例如,针对案件暴露出的行业监管薄弱环节,检察机关可向有关行政机关和市场监督管理部门发出行政公益诉讼诉前检察建议,督促有关部门履职,完善全行业监管制度,实现源头治理。
2.加强刑事检察与公益诉讼的“正向衔接”
目前公益诉讼向刑事检察输送线索提起侦查的案件较少。原因在于公益诉讼调查取证能力有限,难以发现潜在的犯罪线索。面对该现状,实践中有检察机关通过引入科技手段、数据赋能的方式加强检察公益诉讼与刑事检察的正向衔接。例如广东检察机关曾发现健康证办理的流程存在监管漏洞,公益诉讼办案干警通过调取数据建立了大数据法律监督模型。不仅监督行政机关及时完善相关流程,还通过大数据的筛查确定了犯罪线索,并及时移送刑事检察部门,利用两法衔接平台,督促了公安机关立案偵查。
(二)完善刑事犯罪与损害公益的责任衔接
基于办案效果与制度价值的考虑,当前除针对英雄烈士领域的侵权之外,其他领域民事公益诉讼案件不宜仅提出赔礼道歉的诉讼请求已成为办案的共识。故检察机关在办理侵犯公民个人信息民事公益诉讼案件或者刑事附带民事检察公益诉讼案件时,通常将公益诉讼赔偿金和赔礼道歉一并列为诉讼请求,并以非法获利的数额作为赔偿标准。但是关于公益诉讼赔偿金与没收犯罪所得、刑事罚金之间的关系争议较大。有学者认为公益诉讼赔偿金与刑事罚金同为公法债权,应当择一重处,否则违背责罚相当原则;也有学者认为公益诉讼赔偿金仅以非法获利的数额为计算标准,实际上有重复没收犯罪所得之嫌。这一问题的解决涉及对公益诉讼赔偿金性质的界定。首先,公益诉讼赔偿金在性质上与没收犯罪有着根本不同。公益诉讼赔偿金的目的在于弥补受损的公共利益,是由众多受害个体抽象形成的群体利益,虽其计算标准可以参照非法获利,但其本质在于挽损而非“追赃”。其次,对于公益诉讼赔偿金是否具有惩罚性的问题。虽然有学者认为,在个人信息保护民事公益诉讼中,暂无补偿性赔偿请求权之适用基础,并且在侵犯个人信息领域的案件中,罚金、没收以及赔偿损失的流向均是国库,很难进行功能上的区分,因此从整体上看具有惩罚性赔偿的意味。[2]但是目前的司法实践倾向于认为个人信息保护公益诉讼损害赔偿金属于侵权责任中的赔偿损失,即具有填补性。笔者认为后者更具有合理性。一是,从法律适用上看,目前法院判决被告支付公益赔偿金均援引民法典第1182条或《个人信息保护法》第69条,确定赔偿数额依据是受害者因此受到的损失或者行为人因此获得的非法利益。检察机关绝大多数案件也未设置赔偿倍数,可见其主要目的是为了填补公益损失而非惩罚侵权人。二是,从诉讼类型上看,个人信息保护民事公益诉讼在性质上更倾向于消费民事公益诉讼,即其为以维护公共利益和保护私人权益为共同目的的混合型诉讼目的之类型,而非纯粹以维护公共利益为目的环境类侵权民事公益诉讼,公益诉讼赔偿金自然也更倾向于赔偿损失。三是,从适用条件上看,惩罚性赔偿应与其他民事责任承担方式合并适用,将赔偿损失的确定作为适用惩罚性赔偿的前提条件;同时,惩罚性赔偿是补偿性赔偿之外的一种额外赔偿,不具备单独适用的法律依据。[3]有鉴于此,应将个人信息保护公益诉讼损害赔偿金认定为侵权责任中的赔偿损失。
但是,不能据此直接认为个人信息保护公益诉讼损害赔偿金与刑事罚金可简单地叠加适用。个人信息保护公益诉讼损害赔偿金虽为恢复性补偿私法责任,却又在某种程度上具备了公法惩戒性质,所以不能将其完全等同于普通的侵权性补偿,因此从该角度分析主张公益诉讼赔償金可折抵刑事罚金的观点具有一定合理性。不过,鉴于公益诉讼赔偿金仍属于私法性债权[4],因而也不宜直接根据公益诉讼赔偿金的数额直接扣减刑事罚金,司法实务中对于生态环境侵权惩罚性赔偿中也存在类似做法,应从责罚相当原则综合考虑行为人和受害人的职业、影响范围、过错程度,以及行为的目的、方式、后果等因素确定刑事和民事责任。
三、个人信息保护领域公益诉讼与刑事检察衔接程序的优化
(一)建立健全案件线索发现和共享机制
当下打击侵犯公民个人信息犯罪呈扩大化趋势,但该罪的低门槛似乎没有显著提升其社会威慑效果。[5]主要存在两方面原因:一是司法机关更加注重打击下游诈骗、敲诈勒索等犯罪,容易忽视作为手段行为的侵犯公民个人信息犯罪,导致存在一定的“犯罪黑数”。二是未被刑事追诉的侵犯个人信息违法行为没有及时被追究其他法律责任,导致震慑力度被削弱。
对此,应当建立健全案件侵犯公民个人信息案件线索发现和共享机制。对内进一步加强刑事检察和公益诉讼检察的跨部门线索移送,对于刑事不起诉、监督撤案但可能构成公益诉讼线索的,以及诈骗、敲诈勒索等刑事案件中发现个人信息保护公益诉讼线索的,应当及时移送公益诉讼检察部门。对外通过畅通举报渠道、与行政执法机关建立线索移送机制等,特别是大力加强公益诉讼发现线索的能动性,将涉嫌犯罪的线索移送刑事检察部门进行立案监督,将不构成犯罪但可以单独提起公益诉讼的线索,依法立案调查。此外,对于特定个体、群体的个人信息被侵害事件,检察机关对其中有个人信息保护示范意义的私益诉讼可探索支持起诉。[6]
(二)提出多元化诉讼请求
检察机关在提起民事公益诉讼时,可以结合具体案情提出停止侵害、赔偿损失、赔礼道歉、消除危险等多元化诉讼请求,避免诉讼请求过于单一。
关于赔偿数额的确定问题,根据民法典第1182条,赔偿数额的确定以被侵权人的损失为第一顺位,如无法计算,则按照侵权人获利数额为第一顺位。有必要结合具体案情界定个人信息直接侵权人与下游诈骗等犯罪的行为人是否构成共同侵权,在此基础上探索合并计算赔偿数额。此外,特别有必要在个人信息保护领域民事公益诉讼中探索惩罚性赔偿,加强对个人信息侵权行为的威慑,提高违法犯罪成本。
关于民事公益诉讼与与非刑罚处置措施的协调适用问题,在个人信息保护领域,非刑罚处置措施仅适用于被免予刑事处罚且自愿赔礼道歉、赔偿损失的犯罪嫌疑人,对于赔礼道歉、赔偿损失等事项存在争议,可以提起民事公益诉讼。但在犯罪嫌疑人自愿赔礼道歉、赔偿损失的情况下,基于节约司法资源的考虑,不宜再提起民事公益诉讼,避免程序空转。
提出多元化诉讼请求的前提是对案件事实和证据进行充分、细致的调查核实,对此,可以进一步发挥检察机关引导侦查的作用,通过与公安机关充分沟通,尽量在侦查环节查清提起公益诉讼所需的相关事实和证据,确保提出的诉讼请求有足够的证据支持。
(三)注重统筹“恢复性司法”和“风险预防”
在个人信息保护领域,既要注重“恢复性司法”,更要注重“风险预防”。民事公益诉讼主要通过主张赔偿损失、赔礼道歉等恢复受损公益,尽管可以探索惩罚性赔偿、制发诉前检察建议等提示风险,但总体来看,民事公益诉讼仍侧重于救济,对于“风险预防”力有不逮。行政公益诉讼通过监督行政机关执法,更能实现“抓前端,治未病”的风险预防功能。
目前对于《个人信息保护法》是否授权检察机关提起行政公益诉讼还存在争议。笔者认为,个人信息保护领域行政公益诉讼尤为必要。行政机关作为公共利益第一顺位的代表,但根据实务界人士针对打击侵害消费者个人信息违法行为的行政执法所进行的实证分析,当前存在行政追责力度偏轻、行政处罚标准不统一、违法所得认定难且标准不统一、涉案信息和工具处理不明等问题。[7]在个人信息保护领域,“仅靠传统的民事维权手段与刑法手段都力有不逮,行政手段应是保护个人信息的关键,个人信息保护公益诉讼是促进行政责任充分履行的重要保障”。[8]此外,我国并没有专门的个人信息保护机构,行政机关多部门治理存在治理效果分散的问题,个人信息保护领域事实上往往沦为监管的灰色地带,行政公益诉讼可以较好发挥督促协同履职的作用。
*本文系广东省人民检察院2023年度检察理论研究课题“个人信息保护领域刑事检察与公益诉讼检察衔接协作问题研究”(GDJC202343B)的阶段性成果。
**黄星任,广东省清远市清城区人民检察院党组成员、副检察长,一级检察官[511599]曾志才,中国政法大学博士研究生[100091]杨明辉,广东省广州市从化区人民检察院四级检察官助理[510920]王启源,广东省人民检察院三级检察官助理[510623]
[1] 有学者指出,目前的民事检察公益诉讼制度呈现出公益诉讼线索来源的刑事化、证明标准的刑事化。参见张嘉军:《论检察民事公益诉讼的“刑事化”及其消解》,《河南财经政法大学学报》2021年第3期。
[2] 参见胡铭,陈高鸣:《数字时代个人信息保护的困境与程序法回应——以刑事附带民事公益诉讼为切入点》,《浙江大学学报(人文社会科学版)》2023年第6期。
[3] 参见吴汉东:《知识产权惩罚性赔偿的私法基础与司法适用》,《法学评论》2021年第3期。
[4] 检察机关主张公益诉讼赔偿金是基于受到损害而取得请求债务人赔偿的权利。其虽并非直接厉害关系人,但为基于法律授权而拟定的诉讼参加人,因而其享有的是私法债权。
[5] 参见郭兵:《通过公益诉讼的个人信息司法保护》,《法治现代化研究》2022年第4期。
[6] 参见马方飞:《协同治理,提速公民个人信息保护》,《检察日报》2020年10月27日。
[7] 参见徐缨、张萌萌:《消费者个人信息保护公益诉讼探索研究》,《中国检察官》2021年第1期。
[8] 史绍旦、张子璇:《2019年以来检察机关办理个人信息保护领域公益诉讼案件8361件》,《检察日报》2022年11月10日。