法学论文哪里有?本文通过对过去三年个人信息保护相关司法实践的分析,发现了与个人信息保护有关的公益诉讼中的一些问题,包括当事人范围有限、优先顺序不明确、线索来源单一、缺乏针对性的主张以及裁判标准不一致。
第一章个人信息保护公益诉讼制度概述
一、个人信息保护公益诉讼制度的基本内涵
(一)个人信息的内涵和属性
个人信息作为大数据背景下各种信息资源中的核心内容,对于经济社会的发展具有十分重要的作用,但是随着近年来侵害个人信息现象日益严重,个人信息保护面临着巨大的挑战。当前,以欧盟、美国为代表的西方国家和以日本、印度、菲律宾为代表的亚洲国家普遍采取的分类方式是将个人信息划分为敏感个人信息与一般个人信息,并对前者进行特殊保护[32],受上述分类影响,有学者提出构建以“两头强化、三方平衡”为理论基础的个人信息保护法律制度[33]。个人信息的概念是探讨个人信息保护公益诉讼制度的逻辑起点,因此有必要对其概念进行厘清。纵观国内外立法与研究,对个人信息的概念内涵已达成较高共识,如采取个人信息保护统一立法模式的欧盟国家把与一个身份已识别或可识别的自然人相关的所有信息界定为个人数据[34],而采取个人信息保护分散立法模式的美国等国家则采用个人可识别信息的概念[35]。我国关于个人信息的规定散见于法律、行政法规、地方性法规、司法解释和部门规章之中,但由于法律规范的立法目的不尽相同,对个人信息的定义也有所差异。如工信部基于保护电信和互联网用户合法权益,维护网络信息安全将能够单独或与其他信息结合能够识别用户的信息定义为用户个人信息;最高人民法院关于《审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》中则认为人脸信息属于自然人的生物识别信息即个人信息,受司法解释保护;随着理论认识的不断深化,《民法典》第1034条不再采用《网络安全法》所规定的识别自然人个人身份的标准,而采用识别自然人说,将能够单独或者与其他信息结合识别特定自然人作为判断个人信息的标准[36]。因而,我国与域外国家均将可识别性作为个人信息的核心特征。
第二章个人信息保护公益诉讼现状
一、个人信息保护公益诉讼实施样态
掌握个人信息保护公益诉讼实施样态是完善个人信息保护公益诉讼制度的前提。个人信息保护公益诉讼按照类型划分,分为民事公益诉讼和行政公益诉讼两种,司法实践中以民事公益诉讼为主。关于个人信息保护民事公益诉讼,《个人信息保护法》第70条从诉权主体、责任主体、诉讼事由、法律后果四方面进行明确规定。关于诉权主体,该法规定人民检察院、法律规定的消费者组织和由国家网信部门确定的组织这三类主体可以依法提起民事公益诉讼;关于责任主体,该法概括性的规定为信息处理者,而实践中的信息处理者可能既包括党政机关、企事业单位及个人等;关于诉讼事由,该法规定为违规处理个人信息并侵害众多个人权益的;关于法律后果,该法规定视信息处理者违法的情形,既可以由三类有权主体提起个人信息保护民事公益诉讼,也可以对信息处理者进行治安管理处罚,甚至追究信息处理者的刑事责任。在个人信息保护民事公益诉讼中,诉讼请求主要集中在赔礼道歉、赔偿损失、消除危险、消除影响等四个方面,根据不同侵害个人信息造成的影响范围,赔礼道歉范围遍布全国/互联网庭审直播、省/直辖市、地级市、县区级之中;而赔偿损失主要是根据信息处理者获益的范围或由法院根据个案具体情况进行自由裁量,赔偿的去向主要为人民检察院、国库、消协等;而消除危险的样态一般是判令侵权人删除存储在设备中的个人信息、注销侵权软件等方面。
二、个人信息保护公益诉讼立法现状
(一)个人信息保护公益诉讼的制度流变
“公益诉讼”这一概念正式出现在社会和公众视野肇始于2012年全国人大常委会关于修改<中华人民共和国民事诉讼法>的决定,随后《民事诉讼法》(2012年修正)第55条正式新增对污染环境、侵害众多消费者合法权益等损害社会公共利益的行为,有关机关和组织可以向法院提起诉讼,具有里程碑意义。从上述法律条文的表述其实也能够看出,立法者对公益诉讼的构想一开始主要集中在环境污染、侵害众多消费者合法权益这两个等内法律领域,事实上早期的个人信息保护公益诉讼也确实是从保护消费者合法权益这一领域为突破口的,如2021年广东省消费者委员会诉某公司消费民事公益诉讼纠纷案、2021年重庆市消费者权益保护委员会诉重庆某企业营销策划有限公司消费者权益保护民事公益诉讼案、2021年终审的郭某诉某野生动物世界有限公司服务合同纠纷案(该案被法律界称为“人脸识别第一案”,最终推动最高人民法院发布了“人脸识别”案件适用法律问题的司法解释)。随着众多有影响的个人信息保护案件走进公众的视野,人们逐渐认识到个人信息保护的重要性,也不断倒逼检察机关加大探索《民事诉讼法》第55条公益诉讼范围的等外领域。2021年1月8日,由杭州市望城区人民检察院提起的个人信息民事公益诉讼案件当庭宣判,该案作为民法典实施后的首例个人信息民事公益诉讼案件,有力地回应了当时非法收集、使用、买卖个人信息已经形成灰黑产业链,严重侵扰公民生活安宁、破坏社会公共秩序、损害社会公共利益,甚至成为电信网络诈骗、金融诈骗等多种犯罪源头的不利局面,警示广大网络用户和网络信息处理者增强个人信息保护意识,该案也是检察机关探索公益诉讼等外领域的又一生动司法实践。
第三章个人信息保护公益诉讼制度存在的问题
一、起诉主体范围受限、顺位不明、衔接不畅
《个人信息保护法》第70条作为个人信息保护领域的公益诉讼条款理论界和实务界已无争议,然而第70条的内容却引起了理论界和实务界较多的话题讨论。第一,关于三类起诉主体的范围,话题讨论主要集中在法律规定的消费者组织和国家网信部门确定的组织上:对于法律规定的消费者组织,《消费者权益保护法》第36条规定了消费者协会和其他消费者组织两种,而消费者协会的范围和诉权则由《消费者权益保护法》第38条做了进一步的明确说明——只有中国消费者协会以及省、自治区、直辖市设立的消费者协会可以向法院提起诉讼[70],对于其他消费者组织现行法律并不明确。笔者通过调查发现消费者组织设立的最低级别为区县级,而登录中国消费者协会官网,官网提示截止2023年底,全国共有3279个消费者组织(不含中消协),其中省级31个、地市级405个、区县级2843个。而除了按行政区划设立的消费者组织外,我国还存在中华慈善总会、中国妇女发展基金会、消费者权益保护基金等在内的其他消费者组织,从司法实践看我国目前仅有省级消费者委员会提起诉讼的情形,省级以外的其他消费者组织能否依法提起诉讼,《个人信息保护法》第70条并不明确且未有配套的司法解释予以补充。对于国家网信部门确定的组织,自2014年2月我国正式成立中央网络安全和信息化领导小组,2015年12年27日正式将“网信”写入《反恐怖主义法》以来,县级以上人民政府均设立了网信办这一组织领导地方的网络安全和信息化事业,网信部门数量与消费者组织数量基本相当。《个人信息保护法》第70条虽提出了网信部门确定的组织这一概念,但司法实践中并无相关组织提起过个人信息保护公益诉讼,其作用发挥几近于无,无法指导司法实践。第二,关于三类起诉主体的顺位,《个人信息保护法》第70条并不明确。
二、案件线索来源及诉讼类型单一
笔者通过对近三年个人信息保护公益诉讼司法实践进行检索,发现194起个人信息保护公益诉讼案件中,192起案件为人民检察院作为起诉主体起诉,另外2起案件为消费者组织作为起诉主体进行起诉,上述数据充分反映检察公益诉讼是个人信息保护公益诉讼的主要类型,发挥着重要的作用。但对人民检察院起诉的192起案件进一步分析,发现检察机关以刑事案件办理个人信息保护公益诉讼的案件达180起(见上图3),其案由均为XXX罪刑事附带民事公益诉讼,个人信息保护公益诉讼案件的来源主要为检察院在办理刑事案件中发现的线索;而人民检察院办理的12起个人信息保护公益诉讼民事案件案件中(见上图4),案件类型为消费者权益保护、未成年人权益保护、侵权责任三大类,上述现象反映出的共性问题表现为个人信息保护公益诉讼线索来源及案件类型相对集中,线索主要来源于人民检察院办理的刑事案件,其他来源相对较少;案件类型集中在刑事附带民事公益诉讼领域,民事公益诉讼领域相对较少,行政公益诉讼则无一起案件,个人信息保护公益诉讼类型单一。之所以出现上述现象,笔者认为主要有以下几个方面的原因:第一,具有信息管理职能的部门众多,个人信息保护联动机制尚未建立,当大规模的个人信息权益被侵犯时有关部门第一时间未启动响应机制,错过了收集侵权证据的最佳时间。而检察院提起的刑事附带民事诉讼均是由公安机关侦查终结再移送检察机关进行起诉,公安机关网安部门因具有打击犯罪的专门职能,对犯罪线索的收集意识较强,故而出现上述线索来源单一的现象。第二,我国公益诉讼主要包括民事和行政公益诉讼两大类,并不包括刑事公益诉讼。
五、完善配套制度
(一)设立专项资金
专项资金是指国家、相关部门或上级部门下拨给行政事业单位的,具有专门指定用途或特殊用途的资金,其特征主要表现为专款专用、独立报账。在194起个人信息保护公益诉讼案件中,由法律规定的消费者组织及国家网信部门确定的组织提起诉讼的案件仅为2起,而由检察机关提起诉讼的多达192起,起诉数量的巨大差异反映出三类起诉主体履行个人信息保护公益诉讼职责的诉讼意愿差异较大,其背后的重要原因之一为三类主体诉讼资金来源不同,检察机关资金来源于财政拨款,而另外两类组织资金来源于拨款的数额较小且所拨资金还需维持自身的正常运转,间接导致立法者设计的三类主体共同构建个人信息保护公益诉讼全方位、立体化的保护目的落空。故笔者认为,为进一步激发相关组织履行个人信息保护职责,有必要设立专门的个人信息保护专项资金。资金的来源可分为两部分,一部分为拨款,另一部分则为被告支付的损害赔偿金。资金的用途主要用于除检察院以外的另外两类组织开展个人信息保护职责,包括但不限于支付诉讼费、律师费、交通费等必要费用,从而真正让个人信息保护公益诉讼制度落地生根。
(二)完善赔偿金管理使用
公益损害赔偿金的正当使用是公益诉讼制度运行的“最后一公里[86]”。但从笔者检索到的194起个人信息保护公益诉讼案件来看,法院支持起诉主体提出赔偿损失诉讼请求的为131起,裁判结果中向国库或代交国库的案件27起,向检察院赔偿的29起,向消费者协会赔偿的1起,向当地财政非税账户赔偿的2起,向个人信息保护专项账户赔偿的1起,去向不明的71起,个人信息保护公益损害赔偿金的去向五花八门,管理相当混乱。笔者认为,公益诉讼提起的前提是社会公共利益遭到侵害,《个人信息保护法》虽明确3类主体有权提起诉讼,但法律规定谁可提取诉讼仅是一种资格问题,而公益损害赔偿金涉及的是一种结果的归属问题,其最终应归属于受害主体,二者不能混为一谈。上述司法实践中,法院将损害赔偿金判决给国库、检察院等部门有失妥当,因国库资金的使用程序非常严格,且容易被地方挪作他用;将赔偿金支付给检察院因缺乏有效监管,同样正当性不足;消费者组织虽然在诉求中提出将公益损害赔偿金用于个人信息保护领域公益性支出,但缺乏监督管理也难避免“灯下黑”的道德风险。故笔者认为,为健全完善公益损害赔偿金的管理使用,设立个人信息保护专项资金账户,将公益损害赔偿金统一归集到该账户使用,由司法机关、财政部门、相关组织及社会公众共同监督管理,凡有开展个人信息保护公益诉讼等正当目的需求的可向该账户申领,并按季度公开资金使用情况,走好公益诉讼制度运行的“最后一公里”。
结语
中国互联网络高速发展的背后,大量的网络安全事件尤其是以个人信息泄露为代表引发的各类诈骗、侵权事件屡见报端,必须引起高度重视。2024年是新中国成立75周年,也是实现“十四五”规划目标任务的关键一年,个人信息保护公益诉讼制度作为全面依法治国的重要一环,必须与时俱进、不断创新。与前人的研究相比,本文通过对过去三年个人信息保护相关司法实践的分析,发现了与个人信息保护有关的公益诉讼中的一些问题,包括当事人范围有限、优先顺序不明确、线索来源单一、缺乏针对性的主张以及裁判标准不一致。针对司法实践中出现的上述问题,笔者结合当前该领域的最新理论研究成果,进一步提出选城试点、探索适用惩罚性赔偿制度等细化诉讼规则举措、设立专项资金并加大信息使用者、处理者、监管部门之间的多方联动以完善个人信息保护公益诉讼配套制度,研究有一定的新颖之处。然而受研究方法的影响,本文用以研究分析的个人信息保护公益诉讼案件样本数量、质量不能完全涵盖司法实践中的全部样态,研究结果具有局限性。在此,笔者呼吁广大人民群众关注思考个人信息保护,广大法学家、实务部门工作者充分运用人民法院案例库、威科先行、北大法宝等手段不断深化个人信息保护研究,尽早推动《检察公益诉讼法》及《个人信息保护法司法解释》等法律、司法解释的出台,不断完善和提升个人信息保护水平,有效维护众多个人信息权益,增强人民群众的获得感、幸福感和安全感。
参考文献(略)
