全面协同治理手段,加快加大个人信息保护工作
作者:马方飞(上海市人民检察院检察官)
随着我国互联网的普及以及“APP”的广泛运用,电子商务、社交网络、搜索引擎等服务迅猛发展,给大众生活带来极大便利,但也产生个人信息泄露等普遍问题,滋生了大量违法行为甚至恶性犯罪,已经成为当今时代的一大顽疾。
多年来,司法机关加大了刑事打击力度,办理了大量刑事案件,取得显著成效。但刑事诉讼严格的证据证明标准、刑法的谦抑性原则要求等一定程度上天然制约了刑事法律对个人信息的保护。行政机关多部门治理发挥了积极作用,同时也分散了治理效果。
原有的刑事惩罚与行政处罚因其自身不可避免的局限性,难以实现对公共利益的充分维护,消费公益诉讼逐渐受到青睐。不过随着信息技术的迅猛发展,民事私益诉讼、刑事惩处、行政制裁、消费公益诉讼等保护手段,对个人信息保护作用的局限日益凸显,难以全面满足公众个人信息保护的现实需求。
特别是在大数据时代,个人信息的传播更快更广,个人信息的内涵、外延越来越广泛,使用价值不断提升,个人信息的公共性、社会性属性倍增,保护难度更大。
一些学者建议构建信息公益诉讼或检察公益诉讼,得到理论界和实务界的支持,进行了一些探索,也引发了一些争议。
鉴于此,在个人信息保护特别是互联网领域涉众型个人信息保护的司法实务工作中,我们有必要对几种观念进行纠正。
一是“重刑轻民论”。
一些观点认为,“刑法已明确规制,个人已受到刑事惩罚,民事上已无必要再追究责任”。其实,这是过分依赖刑法的惩罚机能造成的,实是对刑法的误解。
一般而言,一个在刑法上需要承担责任的个体,首先是违反了前置法,比如民事违约、民事侵权、行政违规等。其被追究了刑事责任、行政责任,并不必然免除民事责任。
“
《民法总则》第一百八十七条已明确规定:“民事主体因同一行为应当承担民事责任、行政责任和刑事责任的,承担行政责任或者刑事责任不影响承担民事责任;民事主体的财产不足以支付的,优先用于承担民事责任。”
《民法典》作了同样规定。
另外,法律责任的功能一般认为包括惩罚、救济、预防等功能,对个人信息的保护要全面发挥这些功能,不宜偏颇甚至缺失。
笔者认为,个人信息保护等问题,绝非单纯通过刑法的制裁所能解决的。对人的权利尤其是人格权利的保护,必须通过民事法律的扩大保护才能够实现。但囿于传统刑法规定,特别是过往刑事附带民事诉讼限于物质损失的观点,与刑事附带民事公益诉讼诉请并不协调,建议立法予以完善,或者另行提起民事公益诉讼。
二是“私益维权”和“公益诉讼”矛盾论。
一些观点认为,个人信息侵害问题是私益问题,应该由受侵害个人提起民事诉讼。一些观点还认为,受侵害者并不知道受到侵害,通过公益诉讼使个人知晓受到侵害,无法协调私益维权,影响社会稳定。
笔者认为,整体并不脱离部分而存在,公共利益与个人利益不是非此即彼的绝对对立概念,公共利益包含大量个人相同或者相近的利益。
在私益诉讼方面,因侵犯个人信息的违法行为隐蔽性强、调查取证难、法律依据存争议、个人防范意识差等实务和理论难题,通过个人维权的方式一直不踊跃,集体诉讼也尚不现实。
侵犯个人信息的行为就如环境污染、不安全食药侵害,既可能侵害不特定多数人的公共利益,也存在具体受害的个人和其他主体,有时候可以出现公益诉讼、私益诉讼并存的现象属正常情况。需要加强研究的是如何协同法律责任,实现全面追责。
三是“公益诉讼万能论”。
当前,公益诉讼成为推动社会治理、守护人民群众美好生活的重要力量,但公益诉讼有领域和范围的界限,并不介入社会生活的全部。
公益诉讼特别是检察公益诉讼重点开展的领域仍是生态环境和资源保护、食品药品安全等领域。
在个人信息安全领域,公益诉讼并非唯一渠道。
检察机关关注的重点可以是涉互联网(特别是APP、SDK等)、侵害众多或不特定对象的危害个人信息安全的行为,单纯侵害特定明确个体的行为特别是侵犯个人私密信息的行为仍提倡通过私益维权包括私益诉讼解决。
当前,我国尚未形成完整的个人信息保护体系。作为民事法律基本法的《民法典》正式实施后,将给个人信息保护提供实体法支持,但尚需其他配套法律完善、社会综合治理等予以共同保障,建议全面协同加快加大保护。
一要加快完善立法,筑好制度墙。
立法方面要加快制度供给,抓紧制定《个人信息保护法》《数据安全法》等有关个人信息安全领域的系统性法律,明确行政监管、举证责任、法律责任、管辖、保护对象等内容。要平衡信息技术发展对个人信息数据的正当需求和加大个人信息保护工作的关系,继续秉承对刑法扩张的审慎态度,保持刑法的谦抑性,注意优化行政监管手段,并注重发挥民事手段作用,实现民法、行政法、刑法对个人信息保护的衔接。
比如,要强化企业的主体责任,让开发者、运营者包括分发平台承担更多民事和行政责任,设计三振出局甚至一票否决机制。
要有“到期日设计”,依法赋予个人在网络载体上的被遗忘权。要进一步扩大保护范围,不仅包括信息种类的扩大,也包括人的扩展。
对遭受来自中国境内个人信息的侵犯,被害人即使不是中国公民甚至不在中国境内,也一样受到中国法律的保护。
个人信息不仅包括活人的信息,也包括死人的信息。要对未成年、老人、特殊职业群体适用更严的保护措施,侵害者要承担更重的法律责任。
要积极响应通过公益诉讼保护个人信息安全的现实需求,明确刑事附带民事公益诉讼的诉请范围等。
在监管执法方面,要由一家部门牵头承担监管执法职能,或组建相对统一的个人信息保护机构,合并多部门分散职能。在司法方面,要对个人信息安全领域的公益诉讼、私益诉讼加强探索研究、加大判决支持。
二要强化宣传教育,绷紧防范弦。
要加强公众个人信息保护方面的日常宣传教育,倡导网站、APP等网络服务者进行警示宣传,特别是教育培训、理财投资、就业招聘、网络购物、社交聊天等行业、场景要进行针对性提示,让广大公众不随意授权个人信息,也不随意获取、利用、买卖他人个人信息。
例如,对于指纹、虹膜、人脸、声音等生物识别信息,监管行业不随便允许APP使用,也建议个人不随意授权。
机关事业单位、运营企业等要加强个人信息安全的内部管控和保密教育,工作人员不得随意泄露掌握的信息数据,违反者要承担相应的纪律责任和法律责任。
三要协调保护手段,织密保护网。
绳子多不一定抓住鱼,按照一定规则织造的网可以。个人信息保护是个系统工程,行政监管、司法制裁、行业自律、国际合作都要协调发挥作用。要积极构建侵害个人信息行为违法线索共享机制,立体式发挥各主体作用。
主管部门可购买第三方检测机构服务,进行不定期检测,对侵害个人信息的行为进行通报警示,促进整改,严肃惩处。鼓励公民维护个人信息安全方面的正当权益,行政机关、检察机关对于一些具有个人信息保护示范意义的私益诉讼可探索支持起诉。要提升技术规范水准和保护水平,对通过网络传输的大量敏感个人信息数据分级分层保护,探索实行冻结、自动拦截等处置手段。从预防性司法救济角度出发,也可以探索临时禁令、禁止令、中止请求等。