时间:2021-12-10 点击: 次 来源:网络 作者:尤一炜 - 小 + 大
过去几年间,侵犯个人信息相关案件在网络安全法出台后快速涌现。据南都·隐私护卫队不完全统计,相关案件的裁判文书数量在2016年至2019年间大幅增加,在2019年达到顶峰。随着《中华人民共和国个人信息保护法》11月起实施,相关诉讼的增加可以预见。 然而,在上述案件中被侵犯个人信息的成千上万个普通人,却通常并不是原告——凭借个人的微薄之力,不仅难以找到信息泄露源头,还耗时耗力获赔低。即便引入了公益诉讼,由于起诉人并非直接受害人,对于个人来说,也常常觉得参与度低、获赔低,甚至觉得判决结果与自己毫无关系。 受害者规模庞大,但个人维权困难 受害人难获赔,公益诉讼是“不完全救济”? 2020年9月,最高人民检察院(下称“最高检”)出台《关于积极稳妥拓展公益诉讼案件范围的指导意见》,明确将个人信息保护纳入公益诉讼检察工作新领域。 据最高检披露,截至今年4月,全国已有25个省级人大常委会作出关于加强检察公益诉讼工作的决定,其中有19个省份明确要求检察机关积极稳妥开展个人信息保护领域公益诉讼。 谈及在个人信息保护领域引入公益诉讼的目的,中国政法大学法治政府研究院教授刘艺表示,在数据时代,一些个人信息的处理已经成为基本的工作和生活条件,相关业务具有一定的公共服务和公共利益属性。由此来看,个人信息保护除具有个体权益保护的价值外,也有明显的公益保护意义。在此情况下,个人信息保护类公益诉讼具有维护社会公众利益的作用。 截至目前,许多地方已办理了多起个人信息保护领域的公益诉讼案件,积累了大量司法实践经验。 今年4月,最高检发布11起检察机关提起个人信息保护公益诉讼的典型案例,其中包括六例行政公益诉讼、两例民事公益诉讼以及三例刑事附带民事公益诉讼。在涉案个人信息数量最多的一起案件中,李某非法获取包括姓名、电话、住址等信息共计1290万余条,并伙同他人非法出售1.9万余条信息。 “与私益诉讼以补偿个人损害为目的不同,公益诉讼在某种程度上是一种司法领域的补充执法方式。”刘艺解释:在涉及个人姓名、手机号等信息被大量泄露的案件中,检察机关并不是从人格权保护的角度提起公益诉讼,而是在完成自身执法、管理社会秩序等的基础上,实现间接禁止数据再泄露等目的。 不过,也有专家直言,只靠公益诉讼也不行。中国人民大学教授张新宝在文章中指出,公益诉讼制度只能起到防御作用,并不能使具体受害人的损害得到完全的填补,因此个人信息保护公益诉讼的救济“是不完全救济”,个人信息保护私益诉讼仍有并行的必要性。 上述观点在最高检公布的典型案例中似乎可以得到证实。 六起行政公益诉讼案件的判决结果包括要求发生数据泄露的单位加强个人信息保护意识和措施、将非法买卖数据的企业列入本地异常目录、撤回未匿名化处理而公开的公民个人信息等。 在两起民事公益诉讼中,判决结果则包括删除违法收集的个人信息、企业在媒体上公开道歉。其中一起判决被告支付三倍惩罚性赔偿金,另一起要求被告承诺今后合法合规经营,若存在违反协议约定的行为,将自愿支付50万元违约金用于全国性个人信息保护公益基金的公益支出。 而三起刑事附带民事公益诉讼中,除刑事处罚外,公益诉讼的判决结果与上述两起民事公益诉讼的判决结果相似——道歉、删除数据、赔偿金。 不难看出,在上述11起典型案例中,受害人参与度低且公益诉讼的判决结果与他们并无直接关系,他们也未从中获得任何赔偿。 直接赔付个人有争议,或可施行代理人诉讼 问题仿佛回到了原点——对个人而言普通的民事诉讼举证难,维权周期长、成本高,而公益诉讼的结果与受害人往往不产生直接的关联,在清华大学法学院教授劳东燕看来,这确实是目前存在的问题。 “检察机关对侵犯公民个人信息权益的企业提起公益诉讼,会更注重社会效果,有助于倒逼企业在未来更加注重合法合规收集、使用个人信息,进而对个人信息采取更完善的保护措施。”劳东燕认为,从这个角度来讲,公益诉讼对公众的个人信息保护有一定的好处。 但她也坦言,从实操层面来讲,检察机关难以通知每一位受害人——在一起数据泄露事件中,可能有成百上千万甚至数亿的受害人,如何通知、如何建立有效的沟通机制是一个难题。这也意味着,在公益诉讼中可能很难有效提高受害人的参与度。 那是否可以从改善赔偿机制入手,在公益诉讼中直接赔付受害人呢?多位专家的观点并不一致。 在上述11起典型案例中,有三起刑事附带民事公益诉讼的判决结果包括对被告作出惩罚性赔偿。如贵州省安顺市西秀区人民检察院诉熊某某等人侵犯公民个人信息案,70余万元赔偿金被存入检察机关与财政部门共同建立的公益诉讼专项资金账户中。 虽然公益诉讼赔偿款的法律属性及如何管理和使用尚无明确规定,但南都·隐私护卫队注意到,判决中出现惩罚性赔偿结果的案例在不断增加。还有地方专门发布文件对赔偿金的用途作出规定——7月8日,广西北海市检察院、法院与财政局共同协商制订了《侵犯公民信息公益诉讼惩罚性赔偿金专项账户管理办法》,对入账、支出、印鉴、账务、用途等均予以规范。上述办法规定,该账户资金的支付、管理由三方负责,资金用途主要是公民个人信息的保护,如大数据时代App的监管等。 “地方已有在个人信息保护领域的公益诉讼中提起惩罚性赔偿的实践,这些赔偿金通常是上缴国库或设立专门的账户予以监管,很难赔到个人。”陈明慧解释,一方面,这些赔偿金如何使用,能不能赔付到个人,目前是很有争议的问题。另一方面,如何判断个人损失的具体额度、每位受害人应赔偿的金额等都是难以解决的问题。 “将从企业那里获得的赔偿金直接收回国库,这样的做法并不妥当。”对于如何使用赔偿金,劳东燕建议在现有的司法救济中增加一种类型,专门用来补偿或救济那些因个人信息泄露或被滥用而造成重大损失或困扰的个人。 在她看来,相比于因个人信息泄露而接到骚扰电话,被精准诈骗而失去巨额钱财、被身份冒用而难以注销公司的受害人,遭受的损失上更加严重,有必要对其进行补偿。 “实际操作中,可考虑采取申请制的方式,受害人不需要举证表明泄露或滥用个人信息的相关单位,只要证明因个人信息泄露、滥用而受到重大损失或困扰就可以。”劳东燕补充。 张新宝则不主张在个人信息保护公益诉讼中适用惩罚性赔偿。他提到,首先,检察机关等公益诉讼起诉人并非受害人或其直接利益相关人员,起诉人请求惩罚性赔偿是否有正当的法理基础值得进一步讨论。其次,如果允许在个人信息保护公益诉讼中适用惩罚性赔偿金,那么被告就有可能因为实施一个违法行为受到多次惩罚,造成对被告罚过其当。 2021年11月1日,《中华人民共和国个人信息保护法》正式实施,其第七十条规定:“个人信息处理者违反本法规定处理个人信息,侵害众多个人的权益的,人民检察院、法律规定的消费者组织和由国家网信部门确定的组织可以依法向人民法院提起诉讼。” 在刘艺看来,该条款并不是单纯的公益诉讼条款。依据上述条款,不仅可以由人民检察院等主体提起的公益诉讼,也可以由适格主体提起代理人诉讼。在代理人诉讼中,诉讼结果与每个受害人的利益相关,法院判决的赔偿可以按照一定原则合理分配给每一位受害人。 |