个人信息保护领域的检察公益诉讼

来源:汉坤律师事务所

文章摘要
随着互联网技术大踏步地迈入大数据和人工智能时代,个人信息安全及其保护成为了新热点。

随着互联网技术大踏步地迈入大数据和人工智能时代,个人信息安全及其保护成为了新热点。在传统的个人民事诉讼救济之外,刚刚通过的《中华人民共和国个人信息保护法》(“《个保法》”)进一步强调了众多个人信息权益受到侵害时的公益诉讼救济。作为响应,最高人民检察院(“最高检”)于《个保法》通过次日发文明确个人信息保护为公益诉讼办案重点[1]。此前,最高检已通过发布典型案例等手段强势介入个人信息公益诉讼领域[2]。立法和司法动态都昭示着检察机关正在并将持续以公益诉讼为手段加强个人信息保护。
作为汉坤数据争议解决系列文章的开篇,本文将分析个人信息被侵害时传统救济路径的不足,并结合最高检的公益诉讼典型案例,就实务中关心的检察公益诉讼各阶段的相关程序、举证责任分配和惩罚性赔偿等问题进行讨论,以期给企业相关合规工作一定启示。
一、公地悲剧:传统救济路径无法充分保障个人信息权益
(一) 个人民事诉讼的救济不足
与传统的民事侵权案件相比,个人信息侵害案件通常具有如下特点:
侵害行为隐蔽性高。例如,许多APP基于《用户协议》、《隐私政策》向用户索取较为宽泛的个人信息授权,在后续出现敏感信息泄露、个人信息被不当利用时,用户往往难以精准定位侵权主体,以致控诉无门。
私人主动维权的难度大、收益低。信息网络时代,个人信息侵害手段也呈现出科技化、现代化。在诉讼能力方面,自然人无论是对电子证据的搜集固定,还是对网络侵权行为的举证证明,都存在一定的局限性。另外,个人所受的损害仅仅是大量个人信息受到侵害的其中一环,在个人仅能就其有证据支持的损害进行索赔时,面对高昂的诉讼成本,私人提起民事诉讼的概率很低。
基于前述分析,个人信息侵害案件案情复杂,侵权成本与个人维权支出严重失衡,因此由个人提起的真正进入民事侵权诉讼程序的案件少之又少。同时,多个用户个人利益的被侵害也会逐步聚集为群体利益/公共利益的损失,而传统的个人民事侵权诉讼无法充分救济个人信息侵害案件所涉及的社会利益。
(二) 行政机关的监管交叉、尺度不一
一般而言,在私力救济难以对个人及社会利益进行完善保护的情况下,行政机关的监管可以克服相应的局限性。然而,在数据合规和个人信息权益保护监管上,包括网信办、工信部、市场监管总局、公安机关在内的不同监管部门依据各自标准对互联网领域同时执法,其执法尺度的不一在一定程度上加重了互联网企业的合规成本,加剧了合规困境。尤其是各部门基于同一产品服务多维度不同尺度的执法,使得企业在实践中顾此失彼,难以做到合规的一步到位。
另一方面,行政监管也不是个人权益保护的最佳路径。虽然在数据监管初期,较之于谦抑的、被动的司法程序,行政监管有便捷、高效的优势,但是个人信息保护过多依赖于行政监管易造成“运动式合规”,即企业在内部制度搭建和产品开发设计中完全迎合当时监管的重点、热点,忽略了对用户个人信息的体系化、实质化保护。随着《个保法》、《数据安全法》的出台及后续实施,个人信息保护在立法层面已较为完善,行政机关应与其他主体协力合作,共同落实个人信息保护。
二、应运而生:检察公益诉讼日益成为个人信息保护的重头戏
在个人维权动因不足,行政执法缺乏完善体系的情况下,检察机构通过行使法律监督职能对个人信息保护将成为体系化数据监管的有益补充。实践中,检察机关通过多种方式履行信息安全保护职责,在最高检公布的11起典型案例中,检察机关行使职权的方式包括向行政机关发出督促履行职责检察建议(行政检察公益诉讼的前置程序)以及向侵害个人信息的民事主体提起民事公益诉讼,其中诉前检察建议最为常见,民事诉讼案件也有增多趋势。
(一) 民事检察公益诉讼
对于民事检察公益诉讼案件,当前检察机关主要根据《民事诉讼法》第五十五条关于检察公益诉讼案件范围的弹性条款,通过将大量个人信息被侵害的案件事实认定为侵害“社会公共利益”,从而获得公益起诉人资格。
值得注意的是,《个保法》第七十条已明确将个人信息保护纳入检察公益诉讼法定领域。近期出台并将于2022年1月1日生效的《深圳经济特区数据条例》首次在地方立法中确立了数据领域的检察公益诉讼制度,明确赋予了当地人民检察院民事公益诉讼和行政公益诉讼双重职能。
在诉讼程序上,民事检察公益诉讼包括诉前公告程序和诉讼程序两个阶段。在一般的民事检察公益诉讼案件中,检察机关需先依法督促法定机关或组织提起诉讼,在前述机关和组织不作为致使公共利益被侵害而无从救济时,人民检察院方可启动民事诉讼程序。实践中,检察机关往往通过公告的方式确定没有有关组织提起诉讼。例如,在典型案例7中,余杭区人民检察院以公告的方式确定没有法律规定的机关和有关组织提起诉讼后,依法向杭州互联网法院起诉。在典型案例8中,在经公告并函询河北省消费者权益保护委员会意见后,保定市人民检察院才提起诉讼。
(二) 行政检察公益诉讼
行政检察公益诉讼,是指由于行政机关违法行使职权或不作为、致使国家或社会公共利益遭受侵害,由检察机关提起的公益诉讼。检察机关依据《行政诉讼法》第二十五条第四款,通过“等外”解释,将个人信息保护纳入行政检察公益诉讼的范畴。
在诉讼程序上,根据《人民检察院公益诉讼办案规则》的相关规定,检察机关需在提起行政诉讼之前履行法定的检察建议程序,通过诉前检察建议的方式督促相关行政部门依法履行行政监管职责,并在行政机关怠于履行法定职责时,提起行政诉讼。
在前述典型案例中,全部行政诉讼案件(共6起)均止于检察建议阶段,行政机关接收检察建议后积极地在内部进行专项整改,对侵害个人信息的违法行为加以行政处罚,案件未进入后续的诉讼程序。由此可见,诉前程序可有效督促监管机构依法履职,促使行政机关纠正违法行为并降低司法成本。
(三) 检察公益诉讼的实践和探索:以民事公益诉讼为例
个人信息保护目前属于检察公益诉讼新领域,相关的实体和程序性问题,如立案标准、证据收集与固定的方式,诉讼请求等都尚未有具体规定,各地检察机关正在通过一件件检察监督司法实践进行有益探索。
根据《中华人民共和国民事诉讼法》《最高人民法院、最高人民检察院关于检察公益诉讼案件适用法律若干问题的解释》、《检察机关民事公益诉讼案件办案指南(试行)》、《人民检察院公益诉讼办案规则》中的相关规定,以现有案例为研究范本,民事检察公益诉讼可抽象概括为以下几个环节:(1)线索发现及评估 ;(2)调查和审查;(3)公告;(4)提起诉讼和结案。
01线索发现及评估阶段
对于检察机关,民事公益诉讼案件线索限于检察机关在履行职责中发现的情形。“履行职责”包括履行批准或者决定逮捕、审查起诉、控告检察、诉讼监督、公益监督等职责。
例如,在典型案例7中,余杭区人民检察院在开展公民个人信息保护公益监督行动中发现辖区内企业经营的APP存在强制授权、过度索权、超范围收集个人信息等问题。典型案例8是一个刑事附带民事案件,保定市人民检察院在行使审查起诉职能时发现,某侵犯公民个人信息刑事附带民事公益诉讼请示案件时中存在利用非法获取的公民个人信息进行消费欺诈的行为。在典型案例9中,上海市人民检察院在日常职务履行过程中从办案系统中获知上海公安机关破获一起特大贩卖个人信息案。
02调查和审查 (多主体协力参与)
在检察公益诉讼中,检察机关采取各种手段开展调查工作,确定违法事实,包括(1)与行政机关及行业协会协力配合,借助公安、工信等部门的专业技术力量增强办案优势,(2)就专门性的技术或法律问题咨询专家、开展专家论证会等。对于电子数据取证困难的问题,地方检察机关可选择委托鉴定、评估,例如请求第三方检测公司提供技术支持,并邀请人民监督员监督取证过程以增强取证证明能力。特别地,对于刑事附带民事案件,检察机关还可能会相应地调取刑事侦查案卷并委托公安协查事实。
在典型案例8中,保定市人民检察院通过委托公安机关依托异地协查平台调取消费者陈述,审查电话客服证言、话术音频、商品检测报告;通过调取快递公司快递收发记录、资金结算书证和李某银行账户流水资料,并委托出具会计专业分析报告,查清被告消费欺诈金额。同时,保定市人民检察院还邀请河北大学公益诉讼研究基地的专家对该案进行论证。
03公告
检察机关在提起民事公益诉讼之前,会在全国范围发行的媒体上公告30日,向社会公布公共利益受到损害的事实,并告知适格主体可以向人民法院提起诉讼。
04提起诉讼和结案
在公告期满无人起诉后,检察机关向人民法院提起民事检察公益诉讼,法院对此进行居中裁判做出民事判决或以双方达成调解协议结案。实践中,检察机关的诉讼请求一般为要求被告停止侵害、赔偿损失、赔礼道歉,例如,(1)要求被告停止违法违规收集、储存、使用个人信息,(2)要求被告采取有效措施删除所有非法持有的公民个人信息数据。对于损害赔偿问题,在案例8中法院支持了检察机关提出的三倍惩罚性赔偿金共计约166万元的诉讼请求。
检察机关在个人信息行政公益诉讼案件中的介入路径与民事诉讼类似。行政案件中,检察机关在线索发现、调查核实后会向负有监督职责的行政机关发出诉前检察建议、并根据行政机关后续履行情况决定是否提起行政公益诉讼。
需要说明的是,行政公益诉讼与民事公益诉讼有着很强的互动性,检察机关在发出检察建议后,若认为个人信息侵害行为持续进行具有紧迫,也可选择通过民事公益诉讼路径,对违法行为人提起民事公益诉讼,将法律监督重心转向民事诉讼程序。
三、个人信息保护领域公益诉讼的特殊问题
(一)检察院提起民事公益诉讼是否需要相关组织的不作为为前提?
如前所述,检察机关提起民事检察公益诉讼往往包括诉前公告程序和诉讼程序两个阶段。然而,《个保法》第七十条关于公益诉讼的条款中并未提及“诉前公告程序”,而是概要地规定“个人信息处理者违反本法规定处理个人信息,侵害众多个人的权益的,人民检察院、法律规定的消费者组织和由国家网信部门确定的组织可以依法向人民法院提起诉讼。”
对此我们认为,《个保法》第七十条为将来检察机关依据该条款,在不公告请求其他主体起诉的情况下,径行对违法行为提起诉讼留下了法律空间,该条款的后续司法动态值得持续关注。
在文义解释下,第七十条中的“人民检察院、法律规定的消费者组织和由国家网信部门确定的组织”为并列的起诉主体,各方诉权的行使不存在文义上的制约关系。此外,未成年人保护与个人信息保护同属民事公益诉讼案件范围,但《未成年人保护法》中明确规定“相关组织和个人未代为提起诉讼的,人民检察院可以督促、支持其提起诉讼;涉及公共利益的,人民检察院有权提起公益诉讼”,即在未成年人公益诉讼案件中检察院诉权的行使次之于“相关组织和个人”。考虑到在《民事诉讼法》已规定了检察院在相关组织不作为情况下方可提起公益诉讼,立法者舍近求远,模糊了检察机关与其他组织的诉讼顺位,似乎有意通过直接授权的方式赋予检察机关在个人信息侵害案件中直接起诉的权利。
(二)“过错推定”原则和“举证责任”分配
《个保法》第六十九条第一款明确个人信息侵权行为的归责原则为过错推定,个人信息处理者需要为自己不存在过错的事实承担举证责任。
虽然在检察公益诉讼的语境下,检察机关比一般的诉讼请求人具有更强的调查取证能力,但在个人信息侵权纠纷中,网络运营者基于网络的隐秘性依然具有隐匿证据的优势,双方举证能力仍差别较大。例如,对于掌握数据及相关算法的个人信息处理者,一般用户难以获得其个人信息被违法处理的具体证据,即使获得此类证据,一般用户限于其专业知识匮乏也难以进行恰当举证。
为克服上述举证困难,如上述典型案例8所示,检察院可能综合采用多种手段展开证据搜集,如就专门性的技术或法律问题咨询专家、开展专家论证会、委托鉴定、评估等。
对于个人信息处理者,过错推定原则意味着被告在日常个人信息收集处理过程中,需要采取额外措施,例如,在对个人信息的收集、加工等流程中尽量全程留痕,以应对将来的民事诉讼程序。这对相关企业运营中的合规提出了新的挑战。
(三) 惩罚性赔偿的探索和适用
在典型案例8中,保定市中级人民法院支持了检察院要求被告支付三倍惩罚性赔偿金共计人民币166.3815万元的诉讼请求,是所发布的11个典型案例中唯一要求被告承担惩罚性赔偿的案件。惩罚性赔偿相比以填平原则为核心的传统损害赔偿模式,被认为具有惩罚和威慑的功能。
当前,虽然《个保法》尚无明确适用惩罚性赔偿的规范基础,但《中华人民共和国消费者权益保护法》中已明确的欺诈性惩罚性赔偿制度或可为个人信息领域的惩罚性赔偿提供可行路径。正如在典型案例8中,被告非法获取消费者个人信息并构成欺诈从而向消费者承担惩罚性赔偿责任。
此外,考虑到在个人信息侵害案件中,法益的损失不仅来自于个人民事权利被侵犯也来自于公共利益的折损,且通常的取证证明难以涵盖被告所有的侵权行为,所以恰当地选用惩罚性赔偿不仅可以对同类侵权达到最佳的威慑效果,以减少个人信息侵害案件的发生,也可从事实上填补公共利益所受之损害。
参照消费者保护领域[3]、知识产权领域有关惩罚性赔偿的司法实践[4],侵权人的主观恶意和情节是否严重也可能是确定是否适用惩罚性赔偿的考量因素。而判断主观恶意或情节严重的参考因素可能包括个人信息处理者侵害用户个人信息的方式、是否侵权被行政处罚或者法院裁判承担责任后,再次实施相同或者类似侵权行为、是否以侵害个人信息为业等。
(四)个人信息的互联网特性可能导致案件聚拢到发达区域
检察公益诉讼涉及检察机关立案调查的“检察管辖”与司法裁判的“审判管辖”两套管辖规则。
就“检察管辖”而言,根据《人民检察院公益诉讼办案规则》相关规定,人民检察院办理民事公益诉讼案件,由违法行为发生地、损害结果地或者违法行为人住所地基层人民检察院立案管辖。对于“审判管辖”,根据《最高人民法院关于适用<中华人民共和国民事诉讼法>的解释》《最高人民法院、最高人民检察院关于检察公益诉讼案件适用法律若干问题的解释》相关规定,民事公益诉讼案件由侵权行为地或被告住所地中级人民法院管辖。实践中,依据《最高人民法院关于互联网法院审理案件若干问题的规定》,杭州互联网法院也曾审理了互联网民事公益诉讼案件[5]。
虽然“检察管辖”和“审判管辖”的相关规定都指向侵权行为地和被告住所地,但在个人信息侵害案件中,侵权主体往往利用信息网络实施违法行为,网络空间的虚拟性、无边界性削弱了侵权行为的地域边界,因此,在同一案件中不同地区的检察机关和司法机关可能都具有相应的立案管辖权和审判管辖权。如何恰当地衔接两套管辖规则在立法层面尚未有明确规定,后续司法实践中对该问题的处理方式值得关注[6]。
从企业经营角度出发,当前,大多数的互联网企业都分布在北上广深等经济发达城市,该区域内检察机关正就个人信息保护案件积极履职,且多地已先于《个保法》通过地方性法规明确将个人信息纳入检察公益诉讼范围[7]。因此,在检察机关的推动和配套立法政策的支持下,未来将会有更多的检察公益诉讼向该等区域聚拢。
四、结语
检察公益诉讼在我国仍是一项年轻的制度,该制度正日益成为监督法律实施、保护公共利益的重要手段。在个人信息保护日趋加强的大背景下,各地检察机关正积极行使法律监督职权,以检察公益诉讼的方式为切入,要求企业履行个人信息管理和保护义务。
互联网企业通过网络平台为大量用户提供基础性服务,其间涉及大量数据收集、处理相关工作。互联网企业需意识到,较之于普通民事主体,检察机关具有更强的证据收集能力、举证证明能力和丰富的诉讼经验。为避免将来的检察公益诉讼风险,互联网企业应从内部合规出发,加强企业经营中关于个人信息合规制度建设、完善数据安全组织架构。如若遇到相关检察公益诉讼,因积极寻求律师等专业人员意见,采取恰当的诉讼策略,避免因举证不力陷入被动影响企业的正常的运行。
[1] 最高检下发通知 明确个人信息保护公益诉讼办案重点,https://www.spp.gov.cn/zdgz/202108/t20210822527281.shtml。
[2] 最高检发布检察机关个人信息保护公益诉讼典型案例, https://www.spp.gov.cn/spp/xwfbh/wsfbt/202104/t20210422
516357.shtml#1。
[3] 《中华人民共和国消费者权益保护法》第五十五条
[4] 《最高人民法院关于审理侵害知识产权民事案件适用惩罚性赔偿的解释》
[5] 杭州检方提起的全国首例互联网公益诉讼案开庭,https://mp.weixin.qq.com/s/sboGLz7baVaAh2lmkV7GUQ。
[6] 最高检发布《“十四五”时期检察工作发展规划》,https://www.spp.gov.cn/spp/xwfbh/wsfbt/202104/t20210416515886.shtml#1。
[7] 马方飞《个人信息保护立法的路径与选择》,https://theory.gmw.cn/2021-04/28/content
34805156.htm。
实习生李卓霖对本文的写作亦有贡献。

技术驱动法律,专业成就未来