时间:2021-11-11 点击: 次 来源:检察日报 作者:杨慧妍 - 小 + 大
要点提读 ◎目前,检察机关对于个人信息的程序性保护,主要包括民事公益诉讼、行政公益诉讼、刑事附带民事公益诉讼以及对侵犯公民个人信息企业的数据合规监督。理论上讲,前三种程序性保护属于权利救济,而第四种合规监督则属于程序性预防。救济与预防相结合,对于个人信息的程序性保护,检察机关有多重路径选择。 ◎随着大数据时代的到来,数据合规治理是未来检察机关在个人信息保护领域的新方向。检察机关在处理企业合规不诉的案件过程中,应当将企业数据资源,尤其是涉及个人信息的数据资源纳入合规计划的范畴,并在之后的监管活动中作为重点方向加以考察。 今年11月1日实施的个人信息保护法第70条规定:“个人信息处理者违反本法规定处理个人信息,侵害众多个人权益,人民检察院、法律规定的消费者组织可以依法向人民法院提起诉讼。”此条明确了公民个人信息保护的诉讼救济途径,也拓宽了检察公益诉讼的客体范围。鉴于个人信息的权利属性具有特殊性,检察机关在公益诉讼工作中应当注意以下三点:明确公民个人信息涉公益性的判断标准,完善公益诉讼保护路径的选择,优化该类公益诉讼中的制度性问题。 公民个人信息的涉公益性与隐私性大不相同 对公民个人信息的程序法保护,基于个人信息的私权属性和公益外延而产生。检察机关在判断个人信息是否具有可诉性时,应当首先判断该保护对象属于私权还是公益,以及公益所涉及的范围。 个人信息的公益性,可以从其与隐私权的区别方面进行考察。民法典人格权编章对隐私权和个人信息作出原则性规定,两者虽然在一定程度上存在交叉重合,但在内涵与外延、权利载体、权利损害方式、损害后果等方面都大不相同。首先,个人信息不一定具有私密性,而个人隐私一定具有私密性。如,手机号码、车牌号码等都属于个人信息,但不具有私密性,从这一点看,个人信息的范围是广于个人隐私的。其次,个人信息的流通性强于个人隐私。个人信息多以数据为载体,数据的可流通性使得个人信息具有较强的流通性,个人信息数据流通产生了无法量化的社会价值。再次,与个人隐私的单一性不同,个人信息批量化程度高且多以集合形式出现,一旦出现数据泄露,波及范围甚广。最后,自动化算法能够自动处理个人信息,并根据处理结果进一步推算出个人信息主体的其他信息,而后或作商业化利用,或作犯罪目标。相比而言,个人隐私再分析、再利用的可能性较小。 基于上述区别,个人信息在其内涵范围、流通属性、呈现形式和自动化处理方面都呈现出私权属性和公益外延的权利特性。当侵犯个人信息行为超越私权而涉及到公益领域,该行为便具备了检察公益诉讼的可诉性。 个人信息的公益诉讼检察保护路径解析 无救济则无权利,个人信息保护法中最大的亮点就是确定了多种救济途径,既发挥私法治理的制度优势,又推进了公法治理的进程。目前,检察机关对于个人信息的程序性保护,主要包括民事公益诉讼、行政公益诉讼、刑事附带民事公益诉讼以及对侵犯公民个人信息企业的数据合规监督。理论上讲,前三种程序性保护属于权利救济,而第四种合规监督则属于程序性预防。救济与预防相结合,对于个人信息的程序性保护,检察机关有多重路径选择。 民事公益诉讼的起诉主体除检察机关外,还有符合条件的社会组织。根据法律规定,检察机关在提起民事公益诉讼前应发出公告,公告期满后无社会组织起诉,检察机关才具备起诉资格。因此,实践中涉及个人信息保护的民事检察公益诉讼案例较少,但不可否认兜底性的民事公益诉讼有其制度优势。在民事公益诉讼中,检察机关可以直接向被诉方提出特定的诉讼请求,有利于社会公益的修复。如重庆首例消费者个人信息保护民事公益诉讼案,以行为补偿损失的公益保护诉求,在我国消费民事公益诉讼中尚属首次。 刑事附带民事公益诉讼附随于刑事诉讼程序,以侵犯公民个人信息行为构成犯罪为前提。较民事公益诉讼而言,检察机关在启动环节有较强的能动性;较刑事附带民事诉讼而言,检察机关诉讼主张更多样,比如可以主张间接损害赔偿等。程序启动的主动性、诉讼主张的多样性以及依托于刑事程序的取证便利性,都使得刑事附带民事公益诉讼在实践中成为个人信息程序法保护主要的模式。 行政公益诉讼是检察机关对行政机关行使法律监督权的有力途径,在个人信息保护领域,检察机关直接对负有数据监管职责的行政机关提起公益诉讼,借助行政机关的专业优势,“借力打力”,精准治理涉及个人信息的违法侵权行为。在一定程度上,行政公益诉讼目的并不在于惩罚行政机关,其根本目的在于通过诉讼整合行政资源,触发行政规章和行业规范的实质性规制,从而严格高效地治理个人信息侵权。在今年4月最高检发布的个人信息保护公益诉讼典型案例中,行政公益诉讼案件占比过半。 刑事合规制度是检察机关在“六稳”“六保”政策下对涉罪企业的一种事后整治和监督,在挽救涉罪企业的同时,极大程度上预防再犯可能性。随着大数据时代的到来,数据合规治理是未来检察机关在个人信息保护领域的新方向。网络时代,个人信息多以数据为载体,个人信息处理者往往是负有个人信息保护义务的企业。检察机关在处理企业合规不诉的案件过程中,应当将企业数据资源,尤其是涉及个人信息的数据资源纳入合规计划的范畴,并在之后的监管活动中作为重点方向加以考察。 四方面优化个人信息公益诉讼保护路径 对个人信息的多重保护路径既体现了国家关于数据治理的决心,也为检察机关强化法律监督能力提供了有力契机。为更好地贯彻个人信息保护法,检察机关可从以下四方面对个人信息保护路径进行优化。 首先,明确路径选择,区分四种检察保护路径的个案适用。上述四种保护路径在程序的启动、适用、结果及司法成本上有所区别,所产生的法律效果也不尽相同。检察机关在选择适用保护路径时,应当根据个案具体情况,厘清刑事与民事的边界,厘定公益受损程度,依据比例原则,实现法律效果和社会效果的统一。 其次,解决管辖难题,以检察一体化全方位保护个人信息。由于个人信息具有数据属性和集合属性,实践中一旦出现侵犯个人信息类犯罪,相关当事人一般人数众多且遍布于不同地区。因此,几种检察保护在适用过程中容易出现地域管辖和级别管辖的交叉重叠。检察机关在处理管辖争议时,应当坚持检察一体化原则,对于影响较小的案件,可以由各检察机关协商确定管辖检察院;对于影响较大的案件,应由级别较高的检察院管辖,或经由共同上级检察机关指定有利于个人信息保护的检察机关进行管辖。 再次,协调多方合作,多领域多层次治理个人信息违法处理者。个人信息保护法和民法典体现了对个人信息治理领域的刑(行)共治。检察机关不是对个人信息提供保护的唯一主体,相关专门性社会组织以及对个人信息等数据具有监管职责的行政机关,也可以在诉前依据行政规章和行业规范对个人信息违法处理者作出精准的处理。基于此,检察机关应当在诉前诉中协调各方,在实现精准治理的同时,发挥检察机关的法律监督职能。 最后,完善诉讼制度,实质性提升个人信息公益诉讼质效。个人信息的数据属性使得电子数据成为个人信息公益诉讼中的主要证据构成,电子数据的收集、存储及采纳都应当遵循法律规定,这对检察机关调查核实工作提出了较高的要求。虽然根据举证责任分配的原则,个人信息处理者承担相应举证责任,但并不意味着检察机关的调查核实权可以被悬置。根据电子数据的可篡改性,调查核实过程中应当重点对个人信息电子数据进行验真辨伪,同时在区分程序选择、厘定损害赔偿标准等方面确保诉讼的质量。 (作者单位:华东政法大学刑事法学院) |