内容提要:理解与适用《个人信息保护法》第70条规定的个人信息保护公益诉讼,既要以我国现行的公益治理体系为基础,又要充分考虑个人信息保护的实体特殊性。个人信息保护公益诉讼中有关受案范围、起诉顺位和诉讼请求的争议,均需置于个人信息治理的框架内进行体系化解释。首先,确定个人信息保护公益诉讼的受案范围,应把握“个人信息处理者违反本法规定处理个人信息”和公益受到损害两个标准。其次,鉴于公益治理向诉前倾斜以及诉前治理的多元协同性,检察机关起诉继续恪守第二顺位的现实意义已然不显著。最后,个人信息保护公益诉讼的损害赔偿请求不包括惩罚性赔偿,但在公益遭受实际损失时可以请求公益损害赔偿金。 关键词:个人信息保护公益诉讼;个人信息保护法;公益治理;检察公益诉讼;诉前程序 目次 一、严格或扩张:个人信息保护公益诉讼的两种解释取向 二、共性与个性:个人信息保护公益诉讼的双重建构逻辑 三、个人信息保护公益诉讼的体系化解释 正文 一、严格或扩张:个人信息保护公益诉讼的两种解释取向 2021年11月1日起施行的《个人信息保护法》,涵盖个人信息处理者、行政主管机关、检察机关、审判机关等多个主体的权责问题,构建了我国个人信息治理的基本框架。其中,个人信息保护公益诉讼是个人信息治理的重要环节,其效果被理论界与实务界寄予了较高的期待。《个人信息保护法》第70条从规范上明确,“个人信息处理者违反本法规定处理个人信息,侵害众多个人的权益的,人民检察院、法律规定的消费者组织和由国家网信部门确定的组织可以依法向人民法院提起诉讼。”在理论解读与司法实践中,围绕个人信息保护公益诉讼的受案范围、起诉顺位、诉讼请求等方面,仍有一些分歧。在当前强化个人信息保护的现实需要下,对个人信息保护公益诉讼的适用存在扩大化解释的倾向,这与规范视角下的严格解释立场产生了一定的紧张关系,故有必要对其中的分歧进行梳理和解释,进而作出评价和选择。鉴于公益保护是一个综合性的治理课题,公益诉讼的内部构架问题往往需置于整体的公益保护体系内考察,其中既涉及到公益诉讼与私益诉讼的定位,又涉及到行政权与司法权的分工合作,还需考虑民事公益诉讼、行政公益诉讼与刑事附带民事公益诉讼的关系协调。或扩张:个人信息保护公益诉讼的两种解释取向
当下对个人信息保护公益诉讼的受案范围、起诉顺位和诉讼请求的解读,总体上存在两种取向——严格型解释立场与扩张型解释立场。严格型立场倾向于坚守公益诉讼的一般法理,认为个人信息保护公益诉讼不能突破公益诉讼的既定规范,故以既定的理论与规范对个人信息保护公益诉讼的未明之处采取严格解释。而扩张型立场则强调个人信息保护公益诉讼的特殊性、紧迫性,从如何强化保护的角度来切入,其结果往往是鼓励个人信息保护公益诉讼的扩张运用。
(一)受案范围是“众益”还是“公益”
按照《民事诉讼法》第58条对公益诉讼的范围界定,提起公益诉讼针对的是“损害社会公共利益的行为”,“社会公共利益”通常被理解为“不特定多数人的权益”。而《个人信息保护法》第70条将个人信息保护公益诉讼的原因表述为“侵害众多个人的权益”,是否意味着个人信息保护公益诉讼的原因有别于一般公益诉讼,也即用“众益”替代了“公益”呢?
持严格解释立场者认为,个人信息保护公益诉讼条款在诉讼原因上并没有特殊的立法用意,仍应从公益的含义来把握“侵害众多个人的权益”。因为公益才是公益诉讼的直接目的,人数是否众多只是外观表象,损害社会公共利益的情况中往往存在众多被侵害人,但被侵权人的人数众多不能当然等同于公益受损。换言之,《个人信息保护法》第70条所指的“众多个人”必须具有不特定性,如果受害者是特定的(如某企业的员工),即便人数较多也不能解释为该条款下的“众多个人”。与此相对,扩张型解释立场认为,个人信息保护公益诉讼只要求侵害行为达到了“众多”的标准,这已经突破了传统意义上的“公益”。因为“众益”在某种程度上仍属于私益诉讼的作用范围,个人信息侵权的受害者即便人数众多,也往往具有特定性,实际不符合“不特定多数人”这一“公益”的内涵。只是被侵害人的显著弱势地位和高度分散的特点使得公益诉讼有介入的必要,于是将众多特定私益主体的聚合性利益纳入公益诉讼的范围,便具有了合理性。
实践中,个人信息保护公益诉讼的受案范围也引起了一定的困惑,尤其在检察机关提起的部分刑事附带民事公益诉讼中,侵犯公民个人信息犯罪行为的损害对象较少、损害程度不明确,其是否能作为个人信息保护公益诉讼案件而受理,尚未达成司法共识。综合现有的裁判文书,判断个人信息保护公益诉讼的受案范围至少存在四种不同的看法:一是用“构成对不特定对象侵权”来推出社会公共利益受损;二是将众多人的权益等同于社会公共利益;三是以“众多并且不特定”作为界定标准;四是由法官综合情形、自由判定。
(二)诉讼主体上检察机关是否保持第二顺位
《民事诉讼法》第58条第2款赋予检察机关以民事公益诉讼的诉权时,也确定了检察机关相对于社会组织的第二位的起诉顺位。这种第二起诉顺位在《个人信息保护法》第70条中未得到明文表达,由此带来的疑问是,个人信息保护公益诉讼是否对检察机关的起诉顺位作出了不同于一般民事公益诉讼的安排。
严格型的解释认为,《个人信息保护法》第70条的性质只是“诉权条款”,未从语义上突破《民事诉讼法》第58条第2款的规定,无法推断出检察机关与其他起诉主体处于同一顺位之含义。《个人信息保护法》第70条规定检察机关“依法向人民法院提起诉讼”,其依据的法律就是《民事诉讼法》第58条第2款,因此需要遵循民事公益诉讼中有关检察机关第二起诉顺位的规定。而扩张型的解释认为,《个人信息保护法》既然将检察机关与法律规定的消费者组织、国家网信部门确定的组织并列,就改变了《民事诉讼法》第58条第2款将检察机关置于第二顺位起诉主体的规定。这种制度安排缘于检察机关拥有组织保障、证据收集运用、出庭应诉等专业能力,充分发挥检察机关的优势,亦是为了促进公共利益的最大化。
实践中,最高人民检察院在《个人信息保护法》施行之前后,分别于2021年和2023年发布了两批次、十九个个人信息保护的检察公益诉讼典型案例,两个批次的典型案例中对于检察机关是否要按照《民事诉讼法》第58条第2款履行诉前公告程序,似有不同态度。在《个人信息保护法》施行前发布的典型案例中,不管是民事公益诉讼还是刑事附带民事公益诉讼,均明确表示检察机关履行了诉前公告程序,是在没有法定机关和组织起诉时才提起了民事公益诉讼或刑事附带民事公益诉讼。而2023年发布的典型案例中,一项民事公益诉讼和三项刑事附带民事公益诉讼案例均未表明检察机关发布了督促其他主体起诉的诉前公告。
(三)诉讼请求上是否包括惩罚性赔偿
检察机关提起的民事公益诉讼,在特定情形下可以提起惩罚性赔偿的诉讼请求。根据《人民检察院公益诉讼办案规则》第98条的规定,检察机关可以向法院提出要求被告停止侵害、排除妨碍、消除危险、恢复原状、赔偿损失等诉讼请求,针对两类案件(食品药品安全领域案件以及违反法律规定故意污染环境、破坏生态造成严重后果的)可以提出惩罚性赔偿的诉讼请求。那么,惩罚性赔偿是否可以扩张适用于个人信息保护公益诉讼呢?
严格解释的立场对此持反对意见,其首先指出惩罚性赔偿是具有法定性的,不宜在实践中随意突破。此外,公益诉讼起诉人请求惩罚性赔偿的法理基础不充分,惩罚性赔偿金的归属也不明晰,惩罚性赔偿的适用还可能导致行为主体因为一个违法行为而受到多次、重复的惩罚。因此,个人信息保护公益诉讼中的损害赔偿请求,仅仅包括相关主体提起公益诉讼支出的必要费用。另一方面,肯定惩罚性赔偿适用者多是采用一种现实性的功能视角,认为补偿性的赔偿制度对于侵权者的震慑作用和被侵权者的救济作用恐有不足,惩罚性赔偿的加入将凸显个人信息保护公益诉讼的震慑功能和惩治作用。
实践中,最高人民检察院在2021年发布的典型案例“河北省保定市人民检察院诉李某侵害消费者个人信息和权益民事公益诉讼案”中,明确肯定了惩罚性赔偿的适用,检察机关请求被告支付三倍惩罚性赔偿金,得到了人民法院的支持。检察机关认为,“对非法获取、出售公民个人信息,并利用个人信息进行消费欺诈的行为提起惩罚性赔偿公益诉讼,对充分运用公益诉讼职能惩治和预防个人信息保护领域的损害公益行为、真正实现‘让违法者痛到不敢再犯’的目的,具有积极的引领、示范和指导作用。”
二、共性与个性:个人信息保护公益诉讼的双重建构逻辑
在个人信息保护公益诉讼领域,扩张对公益的范围界定、提升检察机关的起诉顺位以及增加适用惩罚性赔偿,主要是检察权积极发挥引领作用的结果。考虑到我国的检察公益诉讼有着实践先行探索的特点,相关规范的形成与完善往往依赖于司法经验的积累,所以就新的公益诉讼领域是否采取扩张性的解释,难以仅从是否合乎现行规范的本意来评价。不过,扩张型的解释立场是否成立,能否产生实效,依然需要进一步的检视。在个人信息保护公益诉讼的建构中,首先应完成对既有公益诉讼法理的套用,继而在传统的惯性和共性的框架中,代入个人信息保护自身的特殊化要求。
(一)我国公益治理体系的发展革新
我国公益诉讼制度的发展脉络非常清晰,不同阶段围绕不同的关键词展开:第一阶段的重点是区分私益诉讼与民事公益诉讼,从而廓清“公益”的含义;第二阶段着力于协调民事公益诉讼与行政公益诉讼的适用,以理顺司法权与行政权的关系;第三阶段是调整对诉前程序与诉讼程序的关系的认识,以落实审判权的定位;第四阶段是在公益多元共治的新形势下探索多主体的协同合作。
在第一阶段,公益的保护是否采用诉讼,采用诉抑或彼诉,本质上还要从公益诉讼的立意来考察。之所以在一般的私益诉讼之外建立民事公益诉讼,是为了促进公益保护体系之完备。通常来说,诉讼是由直接利害关系人提起,为维护其私人利益而提出停止侵害、排除妨碍、消除危险、恢复原状等请求时,可同时产生有益于不特定多数人的溢出效应。但借由私益诉讼达到公益保护的目标,可能在两类情形中难以实现:一是不存在直接利害关系人,也即此时私人利益没有受到直接的损害,但侵害行为依然影响到不特定多数人的权益。比如在大气污染类的案件中,即使尚未出现居民的人身损害、财产损失,污染物持续超标的状况仍将减损不特定多数人的权益。第二类情形,是存在直接利害关系人但其缺乏维权动力的情况。典型的是消费领域的小额分散型损害,遭受直接损失的消费者面对强势的商业机构,维权的性价比往往阻碍其积极行使诉权。所以在这两类情况中,鉴于不告不理的诉讼原则,私人主体的不起诉导致了公益的诉讼保护出现一个真空地带。为填补这一空白,民事公益诉讼制度通过法定的诉讼担当,赋予特定主体以诉讼实施权,直接对公益侵权者提出请求。
在第二阶段,行政公益诉讼的建立及其与民事公益诉讼的协调,都依赖于对行政权与司法权的关系的理解。因为不管是哪种类型的公益,都有相应的行政主管机关承担着公益保护职责,并且作为维护公益的最主要力量,行政机关享有全面、多样且灵活的治理权力。只不过由于种种因素,行政执法未必总如外界期望的那般及时有力,公益诉讼则可以弥合行政失灵留下的权利保护空隙,因此公益诉讼相比于行政执法总是处于后补位置。在某种程度上,正是为了尊重“行政首次判断权”,也是为了维持公益诉讼的补充性定位,避免司法的行政化,实践中才一度出现行政公益诉讼的适用率远远超过民事公益诉讼的现象。因为行政公益诉讼直接面向行政机关,有针对类型化案件督促行政执法的效果,而一般认为,行政机关依法充分行使权力,就能使公益得到最大程度的保护。
在第三阶段,在行政权优先的理念下,行政公益诉讼设置了“诉前+诉讼”的二阶化模式,司法实践表明,行政机关往往在诉前就接受了检察机关的检察建议,很少有案件实际进入到诉讼程序。伴随诉前化解率的提升,公益的治理更加前端,而诉讼程序真正成为“最后一道防线”。原本,诉讼程序的意义就在于法院居中裁判争议,只有相关主体之间的争议无法自行解决时,公益案件才应转入诉讼程序,在两造对抗的诉讼结构中寻求权威的、终局的裁判。法院虽为公益的治理者之一,但具体扮演的是裁判者角色,所以经由诉前阶段与诉讼程序的区分,诉讼程序回归于“后盾”的定位,符合审判权的作用规律。
在第四阶段,检察机关通过创新公益诉讼形式,开拓了多元共治的公益治理思路,其制度性的转变主要有:第一,行政公益诉讼的诉前程序逐渐走向了综合治理的方向。检察机关拓展了诉前工作的内涵,其不限于向行政机关发送诉前检察建议,并且可以向民事主体发送社会治理检察建议。检察机关与行政机关的关系,也从督促与被督促关系转向了协商合作关系。第二,“诉前+诉讼”的二阶化模式被引入民事公益诉讼,民事公益诉讼的诉前阶段也被注入了治理的权能。检察机关的民事诉前治理,既包括在诉前督促行政机关履职,又包括在诉前向民事主体发送检察建议——最高人民检察院在《关于积极稳妥拓展公益诉讼案件范围的指导意见》中明确,“对于承担一定公共管理职能和重要社会责任的网络运营者、电子商务平台经营者,可以探索提出民事公益诉讼诉前检察建议,督促其整改。”第三,刑事附带民事公益诉讼的出现,改变了实践中过度倚重行政公益诉讼的状况,而借由刑事附带民事公益诉讼,检察机关可以采取一案多查的方式,综合运用刑事检察、民事和行政公益诉讼检察职能,以打击违法犯罪行为和规范行政执法。比如在“广东省广宁县人民检察院诉谭某某等人侵犯公民个人信息刑事附带民事公益诉讼案”中,除了刑事处罚,检察机关还通过附带的民事公益诉讼要求被告人承担公益损害责任、向市场监督管理部门发出诉前检察建议、向当地住建部门发出综合治理类检察建议。
(二)个人信息保护的特殊化要求
1.保护客体范围的限定性
《个人信息保护法》是一种倾斜保护型法律,调整的是特定行业或领域内的不平等关系,保护的客体是数据控制者在信息处理活动中涉及的个人信息。“对个人信息的大规模与自动化处理导致了处理者与个人之间的信息、技术能力等方面的不对等,才产生了专门规范个人信息处理活动的个人信息保护法或个人数据保护法。”具体来说,首先,个人信息保护领域的不平等关系不同于一般的不平等关系,其首先具有行业性与功能性的特征,所以调整此类关系对特定行业和领域的发展非常关键,往往产生较强的外部意义与公共意义,而不仅仅是强弱主体之间的内部问题。反之,如果对个人信息的侵害不是发生在个人信息处理的关系中,双方之间的不平等地位是偶然性的或非功能性的,对于行业监管与社会治理并无太大意义,不需要借助倾斜保护模式进行社会治理。其次,特定行业领域的不平等关系往往兼具合作性与侵害性,双方的关系呈现互惠与侵害相融合的特点。反之,如果侵害而非互惠占据主导地位,双方关系主要为防范救济关系时,就不适宜采用倾斜保护型法律,而宜采取严格的公法规制。
2.保护与利用并重的原则
《个人信息保护法》以保护与利用并重的原则,只要遵循合法、正当、必要和诚信原则,符合法律规定的相应条件,就可以对个人信息加以使用或许可使用。保护与利用并重的原则,意味着不仅保护个人信息权益是符合社会公共利益的,促进信息的合理利用亦符合社会公共利益,这使得个人信息保护路径区别于单向度的“控制—惩戒”路径。传统的多元治理通常表现为多个治理主体针对公益侵害者来确定其民事、行政或刑事方面的责任,但在个人信息保护领域,特别需要明确个人信息处理者也是协同共治的主体之一,而不是被动地接受治理的客体。对于个人信息处理的技术标准、市场逻辑、整改效果乃至合规成本等等问题,既有规则也很难导出清晰、完美的答案。在对个人信息的持续性风险评估中,个人信息处理者与监管者、监督者有广泛的合作基础,同时,个人信息处理者享有一定的试错空间。在公益诉讼的场景下,重要的依然是如何划分出合理利用的法律范围,只是针对部分已经产生严重后果的违规行为才存在惩治的必要。就此而言,个人信息保护公益诉讼的功能应以预防与恢复为主,不宜将惩罚与震慑作为其直接追求。
3.治理过程的开放性
个人信息治理需要以开放性的商谈过程提升公共理性,这是源于个人信息权益自身的复杂性以及保护方式的复杂性。首先,个人信息权益不是排他性、绝对性的权利,信息保护不同于隐私保护那般注意私密性,而是要尊重个人信息权益者的知情决定权,并且可干预的程度与数据处理场景紧密联系。其次,私密信息与非私密信息、敏感个人信息与一般个人信息遵守不同的处理规则,但是几种信息类别之间难言有明确的界限,须得结合信息处理目的、信息主体情况等作出区分。于是如何区分不同的个人信息类型、如何根据信息类型适用不同的处理规则以及对处理规则的具体合目的性解释,或多或少都带有一定的不确定性。正因为需要平衡多种价值,《个人信息保护法》虽然着眼于设计实质性的要求,但大量的条款是原则性、甚至是愿景性的,也可以说,立法者希望社会、行业、企业自行发现如何最好地执行这些原则。
为了应对个人信息治理问题的复杂性,契合保护与利用并重原则的精神,个人信息保护公益诉讼中的判断作出过程,应包含多个治理主体之间的沟通以及与公众意见的互通。比如处理个人信息应遵循的正当原则与必要原则(《个人信息保护法》第5条),对于“正当”与“必要”往往是一种关乎“可接受度”的评价,通常诉诸社会一般共识标准,而开放性的商谈判断有益于提升治理内容和结果的公共理性。司法实践中,检察机关在提起个人信息保护民事公益诉讼之前,借助检察建议来督促民事主体合乎规范的行为,期间会同行政主管机关、社会组织、行业协会、人大代表、人民监督员等多方主体制定方案并检查成效。比如在“浙江省湖州市检察机关诉浙江G旅游发展有限公司侵害公民个人信息民事公益诉讼案”中,检察院会同当地旅游度假区管委会、G公司等景区运营主体,同时邀请了浙江省消费者权益保护委员会相关工作人员和法律专家,围绕涉案人脸信息被侵害问题召开磋商会,就G公司删除景区前期采集储存的人脸信息数据,规范人脸信息的收集和使用等事项达成共识。之后检察院不仅与湖州市网信办开展磋商,由网信部门对G公司提出整改要求,同时检察院也向G公司制发检察建议,督促G公司积极整改。
三、个人信息保护公益诉讼的体系化解释
《个人信息保护法》实施未满三年,在该法律框架下实现多元协同的个人信息治理,各方主体都仍在探索中。对于个人信息保护公益诉讼中焦点问题的解释,理当是一种体系化的解释。
(一)受案范围上的两个标准
有关个人信息保护公益诉讼的受案范围,首先可以明确的是,其立法并未偏离公益的基本定位,因为公益诉讼的作用领域原本就包括私主体不能起诉(没有直接利害关系)或私主体不愿起诉(分散型损害)两种情形。也就是说,“众益”与“公益”看似性质不同,但“众益”既可能引起私益诉讼,又可能触发公益诉讼,并且两种诉讼可以平行存在,只不过公益诉讼不解决对私人损害的填补问题。由此可见,法律规定个人信息保护公益诉讼面向“侵害众多个人的权益”的情况,不等同于将公益的内涵直接向私益领域扩张。所以把握个人信息保护公益诉讼的受案范围,重点不在于对“公益”与“众益”作前端意义的概念区分,而在于众益引发的公益诉讼与众益引发的私益诉讼,须在结果意义上保持泾渭分明。我国学理与实践就此已有基本共识,即个人信息保护公益诉讼与群体性或个别性的私益诉讼,在诉讼标的、诉讼请求等方面均有显著不同。
其次,个人信息保护公益诉讼的受案范围,要基于个人信息保护法的保护客体来进行限定。作为一种倾斜保护型法律,《个人信息保护法》并不是泛泛地保护所有个人信息,其立足于信息处理者与信息主体之间的不平等关系,仅仅关注个人信息处理者处理个人信息的行为。从《个人信息保护法》第70条的表述也可以看出,“侵害众多个人的权益”是发生在“个人信息处理者违反本法规定处理个人信息”的过程中。结合该法第4条、第73条,个人信息处理者,是指在个人信息处理活动中自主决定处理目的、处理方式的组织、个人,其显然不能被等同于“任何组织、个人”;个人信息的处理则包括信息的收集、存储、使用、加工、传输、提供、公开、删除等,故处理个人信息的行为也具有限定性。
现实中,个人信息保护公益诉讼的提起与受理,有时存在不当扩大。尤其在刑事附带民事公益诉讼中,行为人既然触犯刑法,在某种程度上都侵害了公共利益,但该犯罪行为是否直接触发个人信息保护民事公益诉讼,则需进一步甄别。像是某些非法获取公民个人信息的刑事案件,信息平台之外的自然人从信息平台非法窃取个人信息后倒卖,该行为人自身并非数据控制者,其直接侵害个人信息权益的行为并不具有行业性和功能性,更不具有互惠合作的空间。所以,即便该行为扰乱了公共秩序、给众多个人信息权益造成侵害或侵害风险,也不属于《个人信息保护法》第70条所说的“个人信息处理者违反本法规定处理个人信息”。在此类情况中,可能成为民事公益诉讼被告的是上游的数据控制者,如果众多个人的信息权益受损是源于其违法处理个人信息的话,例如在收集及使用信息的过程中未采取有效保护信息安全的措施,或者在发生或可能发生信息泄漏时,未履行立即采取补救措施并通知监管机构及个人的义务。
(二)起诉顺位上的突破解释
检察公益诉讼是当前公益诉讼最主要的类型,在为数不多的民事公益诉讼内,本处于第二顺位的检察机关亦是起诉的主力。在此背景下依然坚持主张检察机关在个人信息保护民事公益诉讼内恪守第二顺位,主要是基于传统上的两种考虑:一是检察权的监督属性内在地要求检察权保持谦抑性;二是国家机关应当为社会组织的生长提供制度空间。不过本文认为,公益治理新形势下针对个人信息保护公益诉讼这一新问题,就检察机关的起诉顺位可以进行突破性的解释。
相比于制度创立之初,公益诉讼的运行环境、运作方式均有所变化,尤其是公益诉讼的内涵拓展到诉前治理,给各个主体带来了深远影响。公益综合治理的体系内,检察机关虽然是法律监督者,其监督的广度与深度都经历了深刻的调适,实际在诉前治理中担当着引领者的角色;而社会组织固然是个人信息治理的重要主体,但其参与治理未必只能通过起诉的方式实现。一方面,如前所述,检察机关主导的诉前治理,往往统筹把握刑事案件犯罪情节、民事公益诉讼案件侵权情况和行政机关及有关运营主体监管履职情况等,综合运用磋商、听证、圆桌会议、诉前检察建议等办案手段。在此过程中,社会组织往往受邀参与,在行政诉前程序或者民事诉前治理中,与多个治理主体共同商定个人信息保护责任的成立问题、范围问题、整改方案及成效评价等。另一方面,公益治理的重心已经极大地向诉前阶段倾斜,而诉前阶段相比于诉讼阶段具有一定程度的不透明性,故学界有建议提出,经由实质化听证程序使检察建议具体内容向社会公开,以形成有效外部制约。公开是形成讨论、凝聚共识的前提,若是能在制度上保障诉前治理的原则性公开,那么不管社会组织有无诉权、是否实际加入早期决策,其均可就公开的治理意见发表建议,从而参与到多元共治的版图之中。
此外,考虑到绝大多数案件都能在诉前化解,如果案件未能在诉前治理化解,可能表明各方主体之间的争议较大,案件中的事实问题或法律问题也不明确。那么鉴于个人信息权益及其保护方式的复杂性、相关法律条文的原则性,检察机关发挥其专业优势,承担起这部分诉讼案件,有益于在诉讼过程内的法律适用商讨。实际上,对起诉主体排序是为了应对一个案件同时系属于检察机关与社会组织的情况。否则,如果社会组织并未掌握线索、调查取证,那么检察机关发布诉前公告,也不能起到激励社会组织行使诉权的效果,“谦让”若总是流于形式,就会产生诉前公告影响到整个公益诉讼效率的印象。
(三)诉讼请求上的谨慎扩张
惩罚性赔偿的原意是将超额赔偿金归起诉人所有,从而达到激励私人起诉与替代公法制裁的目的。在个人信息保护公益诉讼中主张适用惩罚性赔偿,最主要的理由是有助于提高违法成本、加大打击力度,从而更好地发挥震慑效应。但基于前述的公益治理法理与个人信息领域的特性,本文不主张在个人信息保护公益诉讼中适用惩罚性赔偿,若违规处理个人信息实际造成了公益损害,可以在通常的成本支出型损害赔偿请求的基础上,增加公益损害赔偿的适用。
第一,从个人信息的保护体系来看,涉及个人信息的一项违法或犯罪行为,往往不只有民事公益诉讼机制在发挥作用。我国公益诉讼制度发展至今,公益诉讼弥补行政执法不足的传统含义逐渐淡化,因为不管是行政公益诉讼还是民事公益诉讼,是在诉前治理还是诉讼程序之中,行政机关都以不同的形式被拉入共同治理之局。现今基本不会出现行政机关全程缺位,而公益诉讼的审判完全替代行政执法的情况,所以惩罚性赔偿替代公法制裁的功能并不显著。在刑事附带民事公益诉讼中,惩罚性赔偿实际地与刑罚的功能发生重复,并且,惩罚性赔偿的适用标准、金额标准并不清晰,严格程序下的要件判断会阻碍附带民事公益诉讼的效率,这就动摇了刑事诉讼之所以可以附带民事公益诉讼的实践基础。
第二,在个人信息治理框架内,用诉讼程序发挥惩罚的效果,既偏离了个人信息保护公益诉讼的主要功能,亦会对诉前治理产生负面影响。个人信息治理过程的开放性,促使民事公益诉讼也将重心置于诉前治理,那么诉讼请求理当与诉前治理相统筹。如前所述,诉前程序是多主体协商方案以达到合理的整改效果,而只有当个人信息处理者的责任成立与责任大小存在分歧之时,审判权才应当介入。如果检察机关启动诉讼程序可以额外地提出惩罚性赔偿请求,似乎表明个人信息处理者若在诉前就责任问题进行争议,其争议行为本身将导致诉讼的开启,进而导致额外的惩罚。诉讼阶段的惩治效应将传导至诉前治理阶段,冲击个人信息处理者与监管者、监督者之间的良性对话,使诉前治理在公共讨论、协同治理方面的效果打折,在一定程度上有悖于保护与利用并重的原则,也偏离了个人信息保护公益诉讼以预防与恢复为主的功能定位。
第三,在违法处理个人信息已经造成了公益的实际损害时,个人信息保护公益诉讼应发挥其恢复功能,为恢复公益而要求侵权人进行行为给付或金钱给付。首先,民事公益诉讼适用公益损害赔偿,针对的是实际造成了损害的情况,而不是仅仅存在损害风险的情况,因为公益损害赔偿金本身属于对公益损失的弥补,或是作为行为给付的替代被用于修复受损的公益。比如在“宁夏回族自治区青铜峡市人民检察院诉张某某等人侵犯公民个人信息刑事附带民事公益诉讼案”中,检察机关认为,公益损害赔偿是行为人因实施民事侵权行为对社会公共利益造成损害应承担的民事赔偿责任。再者,公益损害赔偿金的数额标准相对明确,一般是比照实际损害额度或者获利大小,这也符合损害赔偿的填补性质。比如在“上海市浦东新区人民检察院诉张某侵犯公民个人信息刑事附带民事公益诉讼案”中,检察机关认为,“公益诉讼损害赔偿是建立在维护个人信息安全秩序基础上对受损公益提出的补偿。针对网络侵害的特点,相关公益损失难以直接计算的,可以按照侵权人通过网络交易获得的利益确定公益损害赔偿金额。”
总的来说,个人信息治理体系下的公益诉讼需要处理多重价值冲突,在控制与自由之间找到合理的平衡。一方面,违规处理个人信息的问题构成社会痛点,借助公益诉讼加强个人信息的治理,是对社会关切的积极回应;另一方面,数据经济处于高速发展的起步阶段,充分释放个人信息的价值,也是公益诉讼正向意义的体现。作为个人信息治理体系中的一个环节,公益诉讼亦须在准确的体系定位下进行规则设计,方能妥帖地发挥作用,达到强化个人信息保护的现实目标。
作者:欧元捷 来源:北大法宝法学期刊库《法律适用》2023年第12期 责任编辑:吕静怡 | 
