我国个人信息保护法于2021年11月1日施行,其第70条明确规定了个人信息保护公益诉讼制度。人民检察院和其他相关组织可以对侵犯个人信息权益的信息处理者提起公益诉讼,有效应对个人信息侵权行为。引入公益诉讼制度保护个人信息,既是为了保障个人信息安全,也是社会治理体系现代化的应有之义。但是,个人信息保护法仅对个人信息保护公益诉讼作出了原则性规定,仍有很多理论和实践问题需要进一步研究。
“众多”的内涵
公共利益是一个抽象概念,主流学说认为,公共利益是指涉及不特定多数人的利益。实际上对“不特定多数人”的概念作出解释是一项非常困难的任务。个人信息保护法第70条与消费者权益保护法第47条规定保持一致,只有侵害众多个人权益的,才能提起公益诉讼。那么,何谓“众多”?笔者认为,对于不特定多数人权益受到侵害的情况,当然可以认为是公共利益受到侵犯,但个人信息保护法中的“众多”也包含特定多数人的情况。因个人信息保护法中的个人信息处理者意指处理巨大规模的个人信息的主体,所以对“众多”的具体数量没有必要实体化。但是,在侵害特定多数人个人信息权益情况下,有必要对“众多”进行细化。在司法解释作出明确规定前,可以参考最高人民法院、最高人民检察院《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第5条的规定。笔者认为,当非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等可能影响人身、财产安全的公民个人信息涉及人数达到500人以上,或者侵犯普通公民个人信息所涉及的人员达到5000人以上的,应当认为属于个人信息保护法所规定的“侵害众多个人权益”的情形。
起诉主体顺位与资格要求
个人信息保护法第70条明确了提起个人信息保护公益诉讼的适格主体为人民检察院、法律规定的消费者组织和由国家网信部门确定的组织。但此条规定过于原则性和概括性,在司法实践中需进一步明确。
检察机关提起个人信息保护公益诉讼的情形。个人信息保护法将检察机关作为公益诉讼起诉主体排列在最前,是否意味着检察机关在提起个人信息保护公益诉讼时属于第一顺位?根据民事诉讼法第58条、“两高”《关于检察公益诉讼案件适用法律若干问题的解释》第13条规定,检察机关经公告30天后在没有法定机关和有关组织起诉的前提下才可以提起诉讼。诉前程序制度设计意指检察机关在公益诉讼中应居于兜底与补充的地位,这也是由司法资源的有限性与保障性所决定的,因此,检察机关提起个人信息保护公益诉讼也应遵照这一原则。
消费者组织提起个人信息保护公益诉讼的情形。消费者组织提起个人信息保护公益诉讼需满足两个要件:其一,根据消费者权益保护法第47条规定,消费者组织限定为中国消费者协会以及在省、自治区、直辖市设立的消费者协会。其二,受案范围受到限定。只有当众多个人由于与消费相关的原因遭受个人信息被侵犯,省级以上消费者协会才能提起公益诉讼。
国家网信部门确定的其他组织提起个人信息保护公益诉讼的情形。其他组织参与个人信息保护公益诉讼能充分发挥社会监督和多元主体作用。为了使数字经济发展和个人信息保护两者之间保持平衡,防止滥诉发生,确有必要对其他组织的认定标准进行细化。参照环境保护法第58条规定,建议对社会组织作如下限定:(1)依法在设区的市级以上人民政府民政部门登记。(2)专门从事个人信息保护公益活动连续二年以上且无违法记录。只有符合上述前提条件,才可能被国家网信部门确定为有权起诉的主体。
个人信息侵权损害赔偿必要性及标准
在个人信息保护领域引入公益诉讼必然面临的问题是:如何通过公益诉讼促进实现行业自律?在民事公益诉讼中,因损失很难量化,难以提出具体赔偿数额。但是,如果在个人信息保护公益诉讼中不能提出损害赔偿,则很难威慑相关主体,更无法促进行业自我规制以实现源头治理,个人信息保护公益诉讼的社会效果、法律效果就会大打折扣。
个人信息保护公益诉讼中可以提出损害赔偿请求。个人信息被侵害后造成的损害分为两种类型:财产损害和精神损害。其中,精神损害是指个人担心未来损害发生而产生的焦虑和不安。有观点认为,侵犯个人信息权益所产生的损害达不到民法典第1183条第1款规定的“严重精神损害”的程度,不支持提出精神损害赔偿请求。笔者认为,公益诉讼本身就是基于受害人数众多,为维护社会公共利益,实现诉源治理而提出的,在某种程度上其严重程度自不待言。
构建法定损害赔偿制度。在国外,有的国家明确规定消费者诉讼的法定损害赔偿额为每位消费者每次事件100美元至750美元或实际损害赔偿额,以较高者为准;同时规定,在评估法定损害赔偿金时,法院应考虑侵权行为的性质和严重性、违规次数、侵权行为的持续性、侵权发生的时间长短、被告是否故意,以及被告的资产、负债和净值等。在个人信息侵权案中,证明和量化损害非常困难,私人即使起诉后也很难获得金钱赔偿。通过规定法定损害赔偿,可以免除证明损害的责任以解决这一难题。
在公益诉讼中,由于涉及人员“众多”,在证明个人财产损害或者精神损害数额方面将会遇到更大的困难,建议在未来立法时可以借鉴域外经验,建立法定损害赔偿制度,以解决证明难题。另外,由于精神损害赔偿救济制度设立之初的价值目标就具有弥补法律漏洞的作用,功能定位上就蕴含灵活适用以适应法律制度革故鼎新需要的功能,使应当保护的非物质性损害都可以通过精神损害赔偿制度得到救济。具体而言,似无必要细分个人信息造成的损害为财产损害或者精神损害。所以,公益诉讼中的法定损害赔偿可以仅规定损害赔偿的数额幅度,而不必具体区分财产损害或者精神损害。
当然,对于有证据证明损害数额的,在公益诉讼中应当根据可以确定的具体损害数额作为赔偿标准。对于有证据证明财产损害具体数额的被侵权人来说,其也可以与法定损害赔偿数额进行比较,选择对其有利的方式提起个人诉讼。
法定损害赔偿有一定的数额幅度,具体数额的确定要考虑多种因素,其中侵权人的过错程度越严重,侵权行为的动机、手段越恶劣,侵害个人信息的数量越多、隐私性越强,赔偿数额就应当越大。最高人民法院《关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》第12条规定:被侵权人因人身权益受侵害造成的财产损失以及侵权人因此获得的利益难以确定的,人民法院可以根据具体案情在50万元以下的范围内确定赔偿数额,以每条1元为基数请求被告承担相应赔偿。因此,在建立法定损害赔偿制度时,建议参考上述司法解释的规定,每条个人信息的损害赔偿数额可设置为1元至50元,作为法定损害赔偿的幅度范围。随着经济社会的发展,再逐渐相应改变法定损害赔偿的数额标准。
构建惩罚性赔偿制度
囿于填平原则在公益诉讼领域体现的缺陷已经愈发明显,不足以遏制和预防个人信息侵权行为,因此有必要在个人信息保护公益诉讼领域引入惩罚性赔偿制度。
确定个人信息保护公益诉讼的惩罚性赔偿数额要考虑两个因素:首先是明确赔偿金额基数。其次是综合确定惩罚性赔偿倍数。在个人信息保护公益诉讼领域,惩罚性赔偿倍数宜设置1至3倍的弹性区间,并综合考虑以下因素确定合理倍数:一是侵权人主观过错;二是侵权人所获利益;三是侵害的信息是否为个人敏感信息;四是是否造成严重危害后果或者恶劣社会影响;五是侵权人的经济状况;六是是否采取补救措施;七是考虑被发现查处的事实与可能发生的事实的差距程度;等等。
(作者单位:人民检察杂志社、江苏省扬州市江都区人民检察院。本文为国家检察官学院2021年度科研基金资助项目《公益诉讼视野下的个人信息保护》的部分成果。课题组其他成员:王旭、郝洪伟、董佳文)