文/陶国中朱怀平何志文高华
江苏省南京市人民检察院
一、我国公民个人信息安全保护现状分析
(一)侵犯公民个人信息安全事件频发
身处大数据时代,在享受网络技术给我们生活带来便利的同时,也面临着个人信息的泄露,公民个人对其信息泄露问题防不胜防,却又无可奈何。在互联网潮流中,个人信息处于近乎“裸奔”状态。保护公民个人信息是一个不可回避的问题,也是大势所趋,如何才能有效地保护公民个人信息成为了当务之急。
从南京检察机关近年来办理的涉及侵害公民个人信息安全的刑事案件中可以发现,被窃取倒卖的公民个人信息涉及银行、民航、快递、保险等10余个行业。此类犯罪组织严密、分工明确、相互呼应,形成了跨行业、跨领域、跨地域的完整犯罪链条。且此类案件行为人多承担自由刑和罚金的处罚,但对侵害后果尚缺乏有效弥补手段,整体而言,侵害公民个人信息安全的违法犯罪违法成本低、刑事处罚较轻,对当事人产生的威慑力不足,刑罚的一般预防效果不明显,在高额的利益诱惑面前,选择铤而走险的可能性较大。
针对日益严重的公民个人信息安全保护问题,南京市栖霞区检察院、浦口区检察院联合首次试水公民个人信息保护领域,通过微信平台发送调查问卷的方式,向社会公众开展调查。经调查分析,98.7%的人群接到过广告推销等骚乱电话,98.2%的人群认为广告推销电话侵犯了公众利益,但是向行政管理部门举报、投诉过此类问题的只占20%,99.5%的人群希望相关行政管理部门应该进行约束和监管。“被骚扰”仅是个人信息安全问题的一角,个人信息“越界”不是个别现象,而是常态化,公民个人信息安全保护不力引发的一系列问题需要全社会高度关注。
(二)公民个人信息安全保护法律体系不健全
《刑法修正案(九)》加重了对出售、非法提供公民个人信息和非法获取公民个人信息犯罪的惩处力度。《网络安全法》《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》对“公民个人信息”做了具体阐释,但目前现有的法律法规对个人信息的保护虽然有所涉及,但这些规定都还只是零散地分布在各个法律体系,而且没有一部明确保护个人信息的专门法律。立法保护个人信息,不仅突出了公民的信息自由权,彰显出以人为本的理念,保护广大公民的个人信息安全,更是对社会大众对加强个人信息安全迫切诉求的积极回应。
二、将个人的信息安全保护纳入公益诉讼范畴具有可行性
(一)保护公民个人信息安全具有公益属性
据不完全统计,我国个人信息泄露数已达到55.3亿条左右,平均每人就有四条个人信息被泄露,侵害公民信息安全行为已经趋于集群化、产业化、规模化和专业化,问题触目惊心,危害十分突出。快递、网购、物业、教育等机构成为信息泄露的重灾区。侵害个人信息安全行为在大数据时代已成为社会发展的“毒瘤”,身处大数据时代,保护公民个人信息是一个不可回避的问题,也大势所趋。显然,这已经不是一个仅靠公民个人的“小心谨慎”所能解决的问题,它需要的制度和法律层面的有力干预。在个人信息安全保护体系尚不健全的情况下,每个人都是潜在的被泄露对象。侵害个人信息安全案件中侵害范围辐射面广泛,涉及各个行业领域,在具体的侵害公民个人信息安全的案件中,被侵害主体虽为具体特定个人,但兜售、贩卖的公民个人信息可能被其他犯罪分子所利用,其行为极易引发多种“下游”犯罪,成为电信诈骗、网络诈骗以及滋扰型“软暴力”等新型犯罪的根源。众多不特定多数人合法权益面临巨大危险,涉及社会公共利益,公民个人信息安全亟需保障,故保护个人信息安全具有公益属性。
(二)侵害公民个人信息行为难以通过私益诉讼解决
虽然法律规定了保护个人信息安全的制度,公民个人信息一旦受到侵害,可以通过法律途径来维护自身的合法权益,但是由于维权成本高、专业性强、诉讼标的低、赔偿数额小、举证艰难等问题,不愿起诉、不会起诉、难以胜诉现象普遍存在。对公民个人信息的安全保护,始终面临着违法成本低与维权成本高的困境。致使目前个人信息保护的诉讼案件少之又少,个人信息安全的保护力度不够,信息泄露的情况屡禁不止。在这种情况下,确保公民个人信息的安全,显然不能寄希望于单个公民个人依法维权。且针对该种受害人众多的案件中,若单个受害人逐个起诉,也增加了诉讼成本,对有限的司法资源也是一种浪费。当众多个人信息泄露,可能对社会大众的人身和财产带来重大风险的情况下,社会公共利益受到损害,检察机关作为法律监督机关,肩负公益保护法定职责,在探索公益诉讼“等外”领域时,应当将个人信息安全保护纳入公益诉讼保护范畴,防止因侵害个人信息安全造成社会公共利益的损失。在目前境况下,由检察机关提起公益诉讼或许是破解侵害公民个人信息行为维权的最佳途径。
(三)现行公益诉讼保护领域范围具有弹性,为个人信息保护“等”外探索提供空间
我国现行《民事诉讼法》第五十五条规定民事公益诉讼的范围为破坏生态环境和资源保护、食品药品安全领域侵害众多消费者合法权益等损害社会公共利益的行为。《行政诉讼法》第二十五条规定行政公益诉讼为生态环境和资源保护、食品药品安全、国有财产保护、国有土地用权出让等领域。《中华人民共和国英雄烈士保护法》后续确立了英烈保护民事公益诉讼制度。关于现行的民事公益诉讼和行政公益诉讼的领域范围,法条表述中非常谨慎的表述为“等”领域,表明该有关公益诉讼领域范围规定是弹性的规定,是可以扩充的规定,社会发展会赋予“等”字新的内涵。
在司法实践中,也一直在不断探索将个人信息安全保护纳入公益诉讼保护范畴。2018年江苏省消费者权益保护委员会就北京百度网讯科技有效公司涉嫌违规获取消费者个人信息且未及时回应提起消费民事公益诉讼,该案是全国首例针对个人信息安全提起的民事公益诉讼案件。2019年6月,南京市人大常务委员会出台《关于加强检察公益诉讼工作的决定》,其第二条规定在上级检察机关领导下,对上述“五大领域”之外的安全生产、历史文化古迹和文物保护、个人信息保护、大数据安全、互联网侵害公益、损害国家尊严或民族情感等领域,可以稳妥积极开展公益诉讼。最高人民检察院副检察长张雪樵对该决定高度肯定,并批示指出:南京市人大常委会决议的意义不仅仅在公益诉讼范围,在调查手段、部门配合以及相关保障方面都有创新。”该决定先行、先创,推动完善检察公益诉讼制度,积极回应、满足人民群众加强公益诉讼保护的司法需求。在公益诉讼“等”外领域探索公民个人信息安全保护在理论上具有依据,在实务上具有现实可操作性
三、个人信息安全保护纳入公益诉讼模式的构想
(一)个人信息安全保护应涵盖民事和行政两大公益诉讼
行政公益诉讼通过发送诉前检察建议,要求负有监管职责的行政机关履行监管职责,从源头上破解监管不到位,堵塞监管漏洞。民事公益诉讼则是从侵权角度对众多被侵害人权益最大限度的保护。检察机关提起个人信息安全保护公益诉讼的范围理应涵盖民事公益诉讼和行政公益诉讼两大领域。但在具体个人信息安全保护公益诉讼制度设计上应以督促相关行政机关履行职责的行政公益诉讼为主,以支持符合条件公益诉讼组织提起民事公益诉讼为辅,通过民事诉前公告程序,没有相关主体提起诉讼,检察机关可以对侵害个人信息安全的个人或组织提起民事公益诉讼。当侵害不特定多数人的个人信息安全事件发生后,检察机关应当厘清各行政机关的职能,通过发送诉前检察建议督促行政机关履行监管职责,推动行业自律。鉴于对社会公众个人信息安全的全方位保护,检察建议不仅要重点关注已经出现的严重后果,对可能侵害个人信息安全的隐患问题也要加以重视,建议监管机关采取有效措施,从而实现对公民个人信息安全保护开展有效的前置性预防。
(二)侵害个人信息安全案件建议适用举证责任倒置原则
在公民个人信息泄露相关的侵权案件中,被侵害人很难在损害后果和泄露事件中找到确定的因果关系,也很难证明到底是哪一个渠道泄露了个人信息,这也是制约侵害个人信息安全民事公益诉讼的一大难题。尽管可以探索性地适用高度盖然性理论来解决一部分问题,此类问题面临的挑战,仍需要在侵权法上找到新的思路。依据民法理论,一般侵权案件的构成要件有四项,侵权行为、损害结果、因果关系和过错。这四项一般需要原告举证证明,但由于侵权案件的特殊性,某种侵权构成要件事实对权利主张者证明难度比较大,由被告承担举证责任。根据举证责任倒置原则,针对侵害公民个人信息安全民事公益诉讼案件可以探索性适用举证倒置原则,检察机关举证证明个人信息安全泄露发生了损害后果,被告需举证证明其行为与损害结果之间不存在因果关系,有效化解因举证难而承担不利后果问题。
(三)构建侵害公民个人信息惩罚性赔偿机制
自然人依法享有姓名权、隐私权等民事权利,自然人的个人信息受法律保护,任何组织和个人不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。侵害公民个人信息行为从本质上来说是一种侵权行为,根据《中华人民共和国侵权责任法》第十五条规定了停止侵害、排除妨碍、消除危险、返还财产、恢复原状、赔偿损失、赔礼道歉、消除影响、恢复名誉共八种侵权责任承担方式。对于侵害个人信息安全公益诉讼案件如果诉请仅仅要求停止侵害,通过新闻媒体公开赔礼道歉,对侵害人而言违法成本过于低廉,法律效果和社会效果均不理想。
现行法律体系对侵害公民个人信息安全案件要求侵害人给予受害人经济上的赔偿,但没有具体的法律条文可以引用、支撑。尤其是网络诈骗或者是网络垃圾短信骚扰等,仅对侵害人予以刑事处罚,且刑罚幅度相对较轻,违法犯罪成本较低,受害人则很难得到经济上的赔偿。针对该类民事公益诉讼案件建议借鉴《食品安全法》第一百四十八条惩罚性规定,生产不符合食品安全标准的食品或者经营明知是不符合食品安全标准的食品,消费者有权求赔偿损失外,还可以像生产者或者经营者要求支付价款十倍或者损失三倍的赔偿金。具体侵害公民个人信息安全司法实践中,应该加大对非法使用公民个人信息行为的处罚,引入惩罚性赔偿机制,可以要求判令侵害人给予高额的惩罚性赔偿金,提高其违法犯罪的成本,迫使其不敢为,不能为。
个人信息保护任重而道远,将公民个人信息安全保护纳入公益诉讼保护范畴已是现实的迫切要求,此外还需各行政机关协同配合,共同为个人信息安全“加密”。
