一、问题的提出
数字社会和数字经济语境下的个人信息处理者,动辄处理数千万条个人信息,一旦发生数据泄露或信息滥用,可能导致数以万亿计的经济损失。“大数据杀熟”、地下数据交易、定向广告等商业模式对单个的个人信息主体造成的损害或许并不十分严重,但此种微小侵害不断积累至数以亿计后,则可能危及大量消费者的个人信息安全,造成广泛的影响,损害或威胁公共利益。1鉴于行政监管往往难以及时处理且常常难以弥补大规模侵害的损失,必要时应当启动个人信息保护公益诉讼制度。
鉴此,2021年施行的《个人信息保护法》(以下简称“《个信法》”)第70条在我国正式确立了个人信息保护公益诉讼,2《个信法》最终稿对草案二次审议稿的诉权主体范围进行大幅修改,删除了行政机关可以作为个人信息保护公益诉讼原告的规定,并将检察机关置于有资格起诉的主体的第一顺位;其次可以提起诉讼的是“法律规定的消费者组织和由国家网信部门确定的组织”。与《民事诉讼法》(2021)第58条第2款“检察权谦抑”3的思路不同,《个信法》规定的可以提起公益诉讼的主体首先是检察机关,其次是法定组织。4在我国既有的民事公益诉讼实践中,检察机关通常被冠以诉讼的“协助者”和起诉的“兜底者”。5而《个信法》对公益诉讼原告的顺位安排,则突显对检察机关的特别倚重和自上而下的规范逻辑。《个信法》第70条开创的“特定领域检察机关提起民事公益诉讼为引领”的制度,和《民事诉讼法》中的检察监督、案件受理条件两大条款,以及对人民检察院自身作为国家监督机关的性质进行明确的其他法律法规,这些规范之间的逻辑关系如何理清,涉及到检察民事公益诉讼的诸多面向,在一定程度上成为检察机关介入个人信息保护公益诉讼的制度起点,将深刻影响此种特别公益诉讼程序的规范构建与制度落地。迄今,学者对这一问题的研究并未形成共识,6《民事诉讼法》和《个信法》也仅仅规定了一个原则性的规范框架,检察机关可以作为个人信息保护公益诉讼主体的论证依据仍需要进一步挖掘。由于检察机关在我国具有较强的特殊性,其权能的不同,针对的主体、客体、运行方式等核心问题就有所不同,这涉及到关于检察权的深度讨论。检察机关引领之外,如何激励社会组织起诉、建构个人信息保护公益诉讼多元主体制度,也有待讨论。鉴此,个人信息保护公益诉讼主体制度的优劣将决定制度的使用率,将要决定一种新的公益诉讼制度能否在法律续造基础上良性发展。这是通过司法来救济个人信息大规模侵害要解决的重大问题,本文致力于此。
下文首先探讨公益诉讼这一制度背后以“恢复性司法”为核心的公共政策选择、历史渊源以及我国实践,重点探讨检察机关在恢复性司法中的特定主体地位与多重角色(第二部分),再从“主体合宪性”出发探讨《个信法》第70条规定的检察机关直接提起公益诉讼与其自身作为“法律监督机关”的性质二者之间的关系(第三部分)。在此基础上,第四部分讨论《民事诉讼法》(2021)第58条与《个人信息保护法》第70条之间或有轩轾的规范结构,厘清规范适用顺序。最后得出结论(第五部分)。
二、恢复性司法与检察公益诉讼
恢复性司法的概念起源于20世纪60年代,目前多在刑事领域加以运用。但我国现有的以行政与刑事责任并重的个人信息保护体系中,民事救济在实践中的冷遇,也使得恢复性司法的理论重新进入视野。而检察院提起个人信息保护的公益诉讼,就借由此理念,实现其对于已造成的损害进行补救的初衷。
(一)理论发展:从刑事程序到民事公益诉讼的“恢复性司法”
恢复性司法是指通过公法和私法协同运作实现赔偿与制裁的理论,作为一种重要思潮,它最早发端于20世纪60-70年代。7以瑞典为代表的北欧模式是“恢复性司法”的典型,瑞典法律也将法律监督机关规定为公益诉讼的第一顺位主体。瑞典根据1970年《市场法院法》设置了消费者监察专员,其任消费者总署(Konsumentverket)的总干事,8完全独立于政府,代表消费者在瑞典市场法院起诉是其最重要的履行法律监督职能的渠道,且其在有资格起诉的多个主体中居于第一顺位。在市场法院具有诉权的主体还包括消费者组织、经营者自治组织和工会的组织,但只有当消费者监察专员不行使其诉权时,这些组织才能起诉。9瑞典消费者监察专员作为一个履行法律监督职能的公共机构,首先具有诉权,可以直接提起公益诉讼诉请损害赔偿,还可以施加禁令,发布矫正通告、罚款、10甚至进行刑事制裁。11
最早拓展“恢复性司法”运用领域的是英国的马可罗尼教授(Richard Macrory),他将相关理论从对抗犯罪拓展到其他法律领域,提出通过剥夺违法者经济获益的方式为商业部门和其他市场主体提供公平的竞争环境。为了发挥抑制违法的作用,同时鼓励守法行为的选择,马可罗尼确立了六个惩罚原则:①1改变违法者的行为;②2清除违法者的获益;③3恰当时恢复违法行为引起的损害;④4抑制未来的违法行为;⑤5与违法犯罪行为的本质相适应;⑥6抑制未来的违法行为。可以明显看出,其中第①1-④4项也是公益诉讼制度的功能。
按照马可罗尼的理论,大规模侵害发生时公共机构开始介入,公共机构在案件管制以及实施方法上具有裁量权。如果符合一定识别标准的侵害行为发生,管制者通常要以公共执法的形式介入。公共执法的手段包含多种,其中将制裁和补偿缝合起来的一项制度——即在大陆法系国家获得学者们反复推崇的制度——就是公益诉讼。12通过公益诉讼,受侵害者能够获得相应的救济,且同时无需承担费用。恢复性司法和公共执法之间的契合性使得通过公法和私法相融合的救济理论在公益诉讼领域获得实践。北欧模式——尤其是瑞典的消费者监察专员制度是这一实践的典型。消费者监察专员依法可以提起诉讼并实施行政处罚,制度运行过程中常常激活协商对话机制,以避免周期冗长的诉讼程序。13
(二)公益诉讼:解决个人信息群体性侵害的救济困境
我国的《个信法》中虽然对于个人在个人信息处理活动中的权利与个人信息处理者的义务都有明确的规定,这些规定的主体部分属于私法领域,14但侵害这些权利、违反这些义务将要承担何种法律责任,却是相当模糊的,也因此遭到学者诟病。其中,关于民事责任的规范,更是与其对权利义务关系进行的详细规定不相匹配,目前学者往往通过将之与《民法典》的条文加以联系,从而确定侵权具体的民事责任。15
产生这种问题,并不应当归结为我国对于个人信息保护的立法技术落后,实际上,即便是有着成熟体系的欧洲大陆,也往往只是详细地规范了对于侵权数据处理者的行政处罚、刑事处罚,而对于民事责任的规定也是寥寥几笔。例如,《德国联邦数据保护法》(Bundesdatenschutzgesetz, 以下简称“BDSG”)在第41-43条中对于刑事责任的量刑、行政处罚的金额都有着明确规定,但对于民事方面的补救措施,仅仅在第44条规定了诉讼程序的特殊要求。而在欧盟《一般数据保护条例》(General Data Protection Regulation, 以下简称“GDPR”)中,对于违反规范也往往是通过高额的罚款加以规制,例如违反“数据保护法的原则”,也可能会被处以最高2000万欧元或最高占全球公司年总营业额的4%的罚款(GDPR第58Va条)。16
处理者侵害个人信息的行为往往造成的是群体性的损害,但从实践来看,我国尚无个人信息受到大规模侵犯时信息主体或有关组织提起公益诉讼的实例。在“新浪诉脉脉反不正当竞争案”中,被告未经新浪用户同意,大量获取和使用用户相关信息,显然侵犯了诸多用户的知情同意权,同时新浪公司作为数据处理者也没有尽到相应的义务“防止未经授权的访问”,二审法院也在判决书中指出了这一点。17但是此案所产生的判决结果仅仅实现了经济法上对于侵害个人信息的规制,并无机构对此案件进行后续跟进,以通过民法保护新浪用户(具体的个人信息主体)的权益。
虽然科以严格的行政和刑事处罚在预防个人信息处理者侵权方面存在一定威慑作用,但是对于已经产生的侵害而言,仅仅这些措施显然是不充分的。对于受到侵害的个体而言,切实的补偿,无论是精神上的赔礼道歉,还是尚存争议的损害赔偿,才真正能够抚慰其受到的侵害。尤其是,侵害个人信息对个人造成的损失,往往是不可逆的,仅仅面向未来的公法举措并不能救济个人所遭受的持续性损害。
在恢复性司法的理念中,被害人作为自治性的主体被纳入,这一点对于现有的个人信息保护救济体系是一种启示。长期以来,传统刑事司法围绕着犯罪人建立,在这种司法模式下,坚持发现真相、控制犯罪的观点,所强调的主要是国家利益的实现;而权利保障、正当程序等理念,则不过是对被告人利益附带性的侧重而已。18在国内外的数据处理领域,数据处理者由于其自身体量以及对于经济、科技发展的重大影响,成为了数据立法建构所规制的核心对象。可以认为,侵权的个人信息处理者,收获了与“前恢复性司法”时代与“犯罪人”同等的关注。虽然这样一种立法趋向有助于敦促个人信息处理者走上正轨,鼓励它们在实现自身利益的同时服务社会,更好地推动数据产业的发展并保障国家层面的数据安全。但旧有模式忽略了个人信息主体在大数据时代下的需求。作为个人信息的产生者,他们往往陷入了一种无从救济的困境,成为“沉默的大多数”。如同传统刑事司法中被害人一样,他们的切身感受被忽视,利益诉求也被淹没在对“国家利益”的追求之中。19个人信息的自决无法受到制度性保障,也无法获得实质性的救济,这实际上是对于以“知情权”与“决定权”为基础的个人信息权利保护体系的破坏。20零星个体提起的个人信息保护之诉,对个人信息遭遇大规模侵害却无从救济的事实,无异于杯水车薪,此时群体性的公益诉讼显然有益于有针对性地高效保护个人信息集体权益。
恢复性司法的一个核心内涵是:被害人在诉讼中的自主意愿应当被尊重,其自主处理权得以扩张。实质上,恢复性司法对于被害人的物质赔偿和精神慰藉,成为刑事司法的重要关怀,构成他们的基本权利;被害人对自己的利益有更加充分的表述,甚至主导程序的基本进程。21这种救济进程可能会导致刑事诉讼的终止,也可能与刑事诉讼是平行关系;同样地,个人信息公益诉讼的提起也与个人信息处理者受到的刑事、行政处罚并行不悖,但对于被侵权者的补偿,可能也会影响公权力对于违法个人信息处理者的处罚力度。
“公益诉讼”是我国2012年《民事诉讼法》引入第55条(2021年《民事诉讼法》修改后的第58条)以后逐渐统一使用的诉讼法术语,是指由特定的机关、社会团体或个人提起的旨在维护社会公共利益的诉讼活动。22根据起诉对象和适用法律的不同,公益诉讼分为民事公益诉讼和行政公益诉讼,前者针对的是侵害社会公共利益的民事主体,后者针对的是未履行法定职责或做出了损害社会公共利益的行政行为的行政机关。23
公益诉讼涉及到复杂的法政策问题,规范体系本身就体现了一种价值取向。美国集团诉讼的发展历史表明,其背后潜存着关系到经济、政治和政策的许多重要问题,例如成为集团诉讼诉因的种族歧视、妇女权益保护等事由,本身就构成宪法秩序形成进程的界碑式问题。24因此,公益诉讼的处理结果是对社会公共利益的分配与调整,判决的结果本身就可能形成了一项公共政策。而传统的民事诉讼根本无法解决这些本属于立法分配社会利益时遗留下来的重要问题。因此,“多方当事人问题中的部分分支问题常被人们作为重大政策性问题来议论”。25我国检察民事公益诉讼的兴起,带来了关于检察权边界及其在民事诉讼中角色正当性的讨论,这种讨论可以视作一种对公共政策的检视,它关心的是“数字社会的中国由谁来代表沉默大多数接近正义”。诚如卡佩莱蒂(Capelletti)所述,公共诉讼的本质不在于其提起诉讼所保护的客体范围,而在于起诉的主体为公共机构、行政机关。“这类机关可以是司法长官府中一个特别的部、局,也可以是分离出来相对独立的一个机关,形态多种多样。”26
(三)检察机关:恢复性司法中多重角色的延续
目前我国恢复性司法的主要运用领域在于未成年人犯罪和生态刑事案件中,而其中后者往往也是集体损害的多发领域。有学者统计,仅从2015年1月1日至2017年12月31日短短三年时间,就有2004份破坏环境资源保护罪判决结果涉及到了“恢复性措施”,其中刑事案件1906件,刑事附带民事诉讼案件98件。27而无论是否包含民事诉讼,在这个过程中,检察院不再代表公权力对犯罪者进行追责,而是代表环境犯罪的被害人请求赔偿。赔偿损失包括“财”与“物”两方面的损失,实践中的补植复绿协议通常要求被告人补植一定数量的林木或者付出一定数额的金钱作为补偿形式,抑或两者兼施,抑或两者选其一。28这也意味着,我国恢复性司法实践已经取得了较大进展,而检察院在其中也扮演了重要角色。
当然,在生态刑事案件中,由于检察院自身本就肩负着提起刑事诉讼的职权,代表受到侵害的集体请求犯罪人赔偿,可能是出于司法效率的考量。但也从侧面反映出,检察机关作为公权力机构,在面对侵害集体利益的情形下,自发提起公益诉讼,也是履行其法律监督职权的重要表现。而目前《个信法》将检察机关列为可以直接提起诉讼的主体,不过是延续其在恢复性司法中已经承担的职责,进一步明确其可以作为原告,参与到涉及集体利益、公共利益的民事诉讼中来。
任何一部法律都蕴含着立法者意欲达到的目的。大陆法系国家在讨论何种标准应当被确立以评估各种群体救济模式时,首先预设了相关法律采取群体诉讼进行救济所必须达成的目标,例如提升经济、提供接近正义的机会、促进守法的行为等。29《个信法》也设定了多元的预设目标。这构成对《个信法》第70条解释与适用的基本语境。30《个信法》第69条、第70条表明我国在既有的公益诉讼规范架构上接引北欧模式,突显恢复性司法的理论及其优势,这主要体现在“行政公益诉讼与民事公益诉讼相结合”、惩罚、赔偿与预防等多个制度目标通过检察公益诉讼一次性达成。例如,2021年最高人民检察院发布的11件个人信息保护公益诉讼典型案件中,检察院在对其中10起案件启动民事公益诉讼时也提起行政公益诉讼,诉请不履行职务的职能机关承担责任、依法履责。其中大部分典型案件检察机关在提起公益诉讼时都诉请被告承担损害赔偿责任。31实证研究显示,检察机关提起的刑事附带民事公益诉讼中,损害赔偿也是常见的诉讼请求。32上述检察机关公益诉讼呈现的多元目标可以在“恢复性司法”的理论框架下获得解释——诉讼程序的结果一次性地能促成多个规范目标的实现,包括履职和行政追责(公主体),惩罚责任人(私主体),警示其他潜在行为人,并通过损害赔偿安抚权益受到损害的主体。在恢复性司法的理论基础上来审视检察机关引领公益诉讼的主体制度可以发现,检察机关起诉相比于社会组织起诉能最大程度上的实现“一个程序、多个效果”的效果。检察机关由于其特殊的宪法地位,最有可能承担起打破制度使用瓶颈、推动个人信息保护法律续造的功能角色,这对于亟待行政监管和司法干预的数字市场环境具有重大的规范意义。因此《个信法》第70条倚重检察机关起诉,在法政策学的考虑上具有合理性。这并不代表要否认社会组织起诉、抑制公益诉讼形成多元主体制度,容后详述。
有观点依托“辅助原则”指出检察院作为民事公益诉讼的原告不妥,33在公益诉讼制度设置之初或许不失为一种有益的理论探索,但站在公益诉讼实践十余年之后的时间点上,或许还应考虑到:除检察机关之外,《个信法》第70条规定的其他主体(包括法律规定的消费者组织和国家网信部门规定的其他组织)都不可能实现以一次程序达成多个目标,这是公共机构引领的恢复性司法所独有的制度优势。个人信息保护公益诉讼一方面旨在补偿受损信息主体,另一方面对未来不遵守个人信息保护法律的行为施加警示或引导,并对于违规的个人信息处理者施加惩罚。而这样的处罚是以回应性以及恢复性的方法为基础的。如果一种个人信息处理行为,例如数据画像、定向广告、地下个人信息交易等行为具有典型性和可复制性,则检察机关提起公益诉讼可以通过惩罚、威慑和补偿等多种手段遏止此种惯常性的信息处理行为,维护信息主体的合法权益。此时的个人信息保护公益诉讼也是一种对数字市场公平秩序的保护措施。
检察机关作为公益诉讼原告的另一个优势在于,检察机关有刑事侦查权,便于收集对行为人侵害公益的相关证据,且调查取证活动由国家财政负担,相比于公益组织起诉而言投入低、效果好。34当有可能确定具体的受损主体以及每个主体的具体损失时,对各个主体的救济就不存在无法逾越的困难。因此,在个人信息保护这类亟待有人主张权益、激活制度使用率的公益保护领域,由检察机关作为引领性的主体提起公益诉讼制度,具有合理性。在此意义上认为公益诉讼毋宁是一种服务于公共利益的“市场警察工具”,具有解释力。35因此可以认为,法定主体通过公益诉讼这一机制予以救济的并非一种主观权利(subjektives Recht)而毋宁是一种客观法权秩序(objektive Rechtsordnung),本质上是一种机制性的保护措施。36
另外,作为恢复性司法主要救济手段的刑事和解中,司法机构仍然彰显其权威与独特优势。和解协议虽然由双方当事人自由协商达成,但是,协议最终必须由国家司法机关审查确认其是否是在合法、自愿的框架内形成,且不能违背国家强行法的规定,此即“司法最终审查原则”。37在刑事案件的司法调解过程中,检察机关不仅是调解的参与者,还会对调解协议进行确认,并作出撤诉处理。38这表明检察机关在恢复性司法中还扮演着审查与兜底的角色。而在欧盟新对于集体诉讼的指令(EU2020/1828)的第11条第2款规定,和解应接受法院或行政机关的审查。法院或行政机关应当评估相关和解方案是否违反国家法律的强制性规定,或包括了无法执行的条件,并且应当考虑到各方的权利和利益,特别是与消费者有关的利益。成员国可以制定规则,允许法院或行政机关以和解不公平为由拒绝批准和解。39这种审查的职责如果分配给提起诉讼的检察机关,同样有助于多个司法目标的同时实现。
来源:《清华法学》(本文为文章摘录版,如需引用,参阅原文)
