本报简介个人信息保护公益诉讼研究
编者按:检察公益诉讼法(公益诉讼法)已被十四届全国人大常委会立法规划列入一类项目。截至目前,我国已有十四种公益诉讼类型。相较于其他群体性纠纷解决方式而言,公益诉讼有独特的优越性。本报刊发专家学者文章对个人信息保护公益诉讼、安全生产行政公益诉讼有关问题进行探讨。
2023年9月7日,检察公益诉讼法(公益诉讼法),被列入十四届全国人大常委会立法规划一类项目。截至目前,我国已有十四种公益诉讼类型。相较于其他群体性纠纷解决方式而言,公益诉讼有独特的优越性,也符合我国国情。基于个人信息的公共属性,采用公益诉讼的救济方式可以有效消解双方主体地位的不平等,且在政策和立法支持下,原有的公益诉讼路径也具有拓展的可能性,也可以有效回应司法实践需求。但个人信息保护公益诉讼作为一种新型诉讼,相较于生态环境和资源保护、消费者权益保护、食品药品安全等公益诉讼类型而言,其纠纷多、发展时间短,在大数据技术快速发展背景下更受关注、争议可能更大,故亟须完善。从类型上来看,个人信息保护公益诉讼可分为个人信息保护民事公益诉讼、个人信息保护行政公益诉讼,以及个人信息刑事附带民事公益诉讼三种类型,本文试结合司法现状和理论争议分别进行探讨。
个人信息保护民事公益诉讼
《中华人民共和国民事诉讼法》(以下简称《民事诉讼法》)第五十八条规定:“对污染环境、侵害众多消费者合法权益等损害社会公共利益的行为,法律规定的机关和有关组织可以向人民法院提起诉讼。人民检察院在履行职责中发现破坏生态环境和资源保护、食品药品安全领域侵害众多消费者合法权益等损害社会公共利益的行为,在没有前款规定的机关和组织或者前款规定的机关和组织不提起诉讼的情况下,可以向人民法院提起诉讼。前款规定的机关或者组织提起诉讼的,人民检察院可以支持起诉。”《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)第七十条规定:“个人信息处理者违反本法规定处理个人信息,侵害众多个人的权益的,人民检察院、法律规定的消费者组织和由国家网信部门确定的组织可以依法向人民法院提起诉讼。”即,我国个人信息保护民事公益诉讼,经历了从民事诉讼法的司法适用探索到个人信息保护法立法明文规范的发展过程。但《个人信息保护法》第七十条只是对个人信息保护民事公益诉讼作了原则性规定。通过分析、检索司法实践中积累的案例,个人信息保护民事公益诉讼尚存下列问题:例如,《最高人民法院关于适用〈中华人民共和国民事诉讼法〉的解释》第二百八十三条第一款规定,民事公益诉讼案件由中级人民法院管辖,《最高人民法院关于互联网法院审理案件若干问题的规定》第二条明确,涉及互联网的民事公益诉讼案件由相当于基层法院的互联网法院管辖。这使得除互联网法院以外的普通基层法院管辖个人信息保护民事公益诉讼案件缺乏正当性依据。又如,《最高人民法院关于审理环境民事公益诉讼案件适用法律若干问题的解释》第十八条将损害赔偿列为民事公益诉讼的起诉人可以请求被告承担的民事责任,而《最高人民法院关于审理消费民事公益诉讼案件适用法律若干问题的解释》则未将损害赔偿列为民事公益诉讼的起诉人可以请求被告承担的民事责任。因此,在现有法律、司法解释均未明确规定前提下,个人信息保护民事公益诉讼中,起诉人能否向被告提出损害赔偿的诉讼请求?此外,依照《个人信息保护法》第七十条的规定,检察院与消费者组织、由国家网信部门确定的组织同为第一顺位起诉人,还是像在其他类型的民事公益诉讼中那样为第二顺位起诉人,以及“法律规定的消费者组织”与“由国家网信部门确定的组织”的资质和范围各是什么?应进一步明确。
针对上述问题,笔者建议:第一,通过分析个人信息侵权纠纷的特点和县(市、区)级检察院与基层法院的职责分工、业务能力及分布状况,对个人信息保护民事公益诉讼案件的管辖范围进行明确,即以基层法院管辖为原则、以中级人民法院管辖为例外。第二,通过对损害赔偿、停止侵害、排除妨碍、消除危险、赔礼道歉等诉讼请求的适用进行探讨,论证损害赔偿请求和惩罚性赔偿请求的正当性。第三,对《个人信息保护法》第七十条与《民事诉讼法》第五十八条分别将检察院规定为同一顺位起诉人与第二顺位起诉人这一立法差异,根据实践和案件来源,建议对检察院的起诉人顺位进行确定,即应为第一顺位起诉人。第四,建议通过司法解释对《个人信息保护法》第七十条中“法律规定的消费者组织”进行限定,即与消费者公益诉讼中的起诉主体保持一致;《个人信息保护法》第七十条中规定的“由国家网信部门确定的组织”,应当为依法在设区的市级以上人民政府民政部门登记、专门从事个人信息保护公益活动连续3年以上、无违法记录的组织。
个人信息保护行政公益诉讼
目前,《个人信息保护法》第七十条作为个人信息保护公益诉讼的立法依据,其中对于检察院提起的公益诉讼仅是个人信息保护民事公益诉讼还是包含个人信息保护行政公益诉讼尚有争议。有的观点认为,该条并不包含个人信息保护行政公益诉讼,但实践中亦存在行政机关作为“个人信息处理者”侵害不特定多数个人信息的案例。在数字经济时代,个人信息是重要的生产要素,带有社会公共属性,通过个人信息的“可识别性”这一根本特征,个人信息处理者将大量的个人信息转化为大数据加以分析后产生经济价值和管理价值,但对于“国家机关”作为“个人信息处理者”侵害不特定多数社会主体个人信息的行为,尚未有明文规定的司法救济途径。笔者认为,可以从请求权基础、制度优越性及实践需要三个角度对个人信息保护行政公益诉讼的正当性进行证成,且在诉前程序中通过明确行政机关的责任及从横向和纵向两个角度对同一级别的不同部门,以及不同级别的同一部门之间的责任进行划定,从而帮助检察院精准确定检察监督对象。在诉讼主体上,“个人信息处理者”包括自然人、法人和其他组织及国家机关,但行政机关仅能作为个人信息保护行政公益诉讼的被告,不宜作为个人信息保护民事公益诉讼的被告。
个人信息保护刑事附带民事公益诉讼
鉴于刑事附带民事公益诉讼在实质上的独立性和在形式上的附带性所引发的各种特殊性问题,可以说其在类型上独立于纯粹的民事公益诉讼。刑事附带民事公益诉讼的管辖、起诉主体法律都有明文规定,并无争议,诉讼程序亦无特殊之处,而个人信息保护行政公益诉讼在诉讼主体、诉讼程序上与二者相差较大。但考虑到当前个人信息保护民事公益诉讼的案件线索主要来源于先行的刑事案件,故需要厘清先行的刑事诉讼对后续的民事公益诉讼的影响,从而促进两者的协同处理。例如,刑事诉讼与民事公益诉讼的证据和证明标准可以进行转化,但刑事罚金并不必然地能够折抵惩罚性赔偿金,不过法院在民事公益诉讼中判处惩罚性赔偿金时,可以将被告是否已被判处刑事罚金作为一个决定惩罚性赔偿金数额的考量因素。
(作者单位:司法部中国司法杂志社)