听新闻
放大镜
协同治理,提速公民个人信息保护
2020-10-27 09:23:00  来源:检察日报

  马方飞

  

  □公益诉讼特别是检察公益诉讼重点开展的领域仍是生态环境和资源保护、食品药品安全等领域。在公民个人信息保护领域,公益诉讼并非唯一渠道。检察机关关注的重点可以是涉互联网、侵害众多或不特定对象的侵犯公民个人信息行为,单纯侵害特定个体的行为特别是侵犯个人私密信息的行为仍提倡通过民事私益诉讼维权。

  □鼓励公民维护个人信息方面的正当权益,行政机关、检察机关对于一些具有个人信息保护示范意义的私益诉讼可探索支持起诉。

  随着我国互联网的普及以及App的广泛运用,电子商务、社交网络、搜索引擎等服务迅猛发展,给公民生活带来极大便利,但也给公民个人信息保护带来极大隐患,并滋生了大量恶性犯罪,已经成为当今时代的一大顽疾。

  多年来,司法机关加大了刑事打击力度,办理了大量刑事案件,取得一定成效。但刑事诉讼严格的证明标准、刑法的谦抑性原则等一定程度上对刑事法律保护公民个人信息提出了更高要求。行政机关多部门治理发挥了积极作用,同时也存在治理效果分散问题。随着信息技术的迅猛发展,民事私益诉讼、刑事惩处、行政制裁、消费公益诉讼等保护手段,对个人信息保护作用的局限日益凸显,难以全面满足公众个人信息保护的现实需求,一些学者建议构建信息公益诉讼或检察公益诉讼,得到理论界和实务界的支持,进行了一些探索,也引发了一些争议。

  在个人信息保护特别是互联网领域涉众型公民个人信息保护的司法实践工作中,有必要对几种观念进行纠正:

  一是“重刑轻民论”。一些观点认为,“刑法已明确规制,个人已受到刑事惩罚,民事上已无必要再追究责任”。其实,这是过分依赖刑法的惩罚机能造成的,实际上是对刑法的误解。一般而言,在刑法上需要承担责任的个体,首先是违反了前置法,比如民事违约、民事侵权、行政违规等。其被追究了刑事责任、行政责任,并不必然免除民事责任。民法总则第187条明确规定:“民事主体因同一行为应当承担民事责任、行政责任和刑事责任的,承担行政责任或者刑事责任不影响承担民事责任;民事主体的财产不足以支付的,优先用于承担民事责任。”另外,法律责任的功能一般认为包括惩罚、救济、预防等功能,对公民个人信息的保护需要全面发挥这些功能,不宜偏颇甚至缺失。笔者认为,个人信息保护等问题,绝非单纯通过刑法的制裁所能解决的。比如,对人的权利尤其是人格权利的保护,必须通过民事法律的扩大保护才能够实现。但囿于传统刑法规定,特别是过往刑事附带民事诉讼限于物质损失的观点,与刑事附带民事公益诉讼诉请并不协调,建议立法予以完善,或者另行提起民事公益诉讼。

  二是“私益维权”和“公益诉讼”矛盾论。有的观点认为,公民个人信息侵害问题是私益问题,应该由受侵害个人提起民事诉讼。还有的观点认为,受侵害者并不知道受到侵害,通过公益诉讼使个人知晓受到侵害,无法协调私益维权,影响社会稳定。笔者认为,整体并不脱离部分而存在,公共利益与个人利益不是非此即彼的绝对对立概念,公共利益包含大量个人相同或者相近的利益。在私益诉讼方面,因侵犯公民个人信息的违法行为隐蔽性强、调查取证难、法律依据存争议、个人防范意识差等实务和理论难题,通过个人维权的方式一直不踊跃,集体诉讼也尚不现实。侵犯公民个人信息的行为就如环境污染、不安全食药侵害,既可能侵害不特定多数人的公共利益,也存在具体受害的个人和其他主体,有时候出现公益诉讼、私益诉讼并存的现象属正常情况。需要加强研究的是如何协同追究法律责任,实现全面追责。

  三是“公益诉讼万能论”。当前,公益诉讼成为推动社会治理、守护人民群众美好生活的重要力量,但公益诉讼有领域和范围的界限,并不介入社会生活的全部。公益诉讼特别是检察公益诉讼重点开展的领域仍是生态环境和资源保护、食品药品安全等领域。在公民个人信息保护领域,公益诉讼并非唯一渠道。检察机关关注的重点可以是涉互联网(特别是App、SDK等)、侵害众多或不特定对象的侵犯公民个人信息行为,单纯侵害特定明确个体的行为特别是侵犯个人私密信息的行为仍提倡通过民事私益诉讼维权。

  当前,我国尚未形成完整的个人信息保护体系。民法典正式实施后,将给公民个人信息保护提供有力实体法支持,但尚需其他配套法律完善、社会综合治理等予以共同保障,建议全面协同、加快加大保护。

  一要加快完善立法,筑好制度墙。要加快制度供给,抓紧制定个人信息保护法、数据安全法等有关公民个人信息保护领域的系统性法律,明确行政监管、举证责任、法律责任、管辖等内容。要平衡信息技术发展对个人信息数据的正当需求和加大个人信息保护工作的关系,继续秉承对刑法扩张的审慎态度,保持刑法的谦抑性,注意优化行政监管手段,并注重发挥民事手段作用,实现民法、行政法、刑法对个人信息保护的有效衔接。比如,要强化企业的主体责任,让开发者、运营者包括分发平台承担更多民事和行政责任,设计三振出局甚至一票否决机制。要有“到期日设计”,依法赋予公民在网络载体上的被遗忘权。要适应通过公益诉讼保护公民个人信息的现实需求,明确刑事附带民事公益诉讼的诉请范围等。在监管执法方面,要由一家部门牵头承担监管执法职能,或组建相对统一的公民个人信息保护机构,合并多部门分散职能。在司法方面,要对公民个人信息保护领域的公益诉讼、私益诉讼加强探索研究,加大诉讼支持力度。

  二要强化宣传教育,绷紧防范弦。要加强公民个人信息保护方面的日常宣传教育,倡导网站、App等网络服务者进行警示宣传,特别是教育培训、理财投资、就业招聘、网络购物、社交聊天等行业要进行针对性提示,让广大公众不随意授权个人信息,也不随意获取、利用、买卖他人个人信息。例如,对于指纹、虹膜、人脸、声音等关键识别信息,监管行业不随便允许App使用,也建议公民不随意授权。机关事业单位、运营企业等要加强对公民个人信息的内部管控,工作人员不得随意泄露掌握的信息数据。

  三要协调保护手段,织密保护网。个人信息保护是项系统工程,行政监管、司法制裁、行业自律、国际合作都要协调发挥作用。要积极构建侵害公民个人信息行为违法线索共享机制,立体式发挥各主体作用。主管部门可购买第三方检测机构服务,进行不定期检测,对侵害公民个人信息的行为进行通报警示,促进整改,严肃惩处。鼓励公民维护个人信息方面的正当权益,行政机关、检察机关对于一些具有个人信息保护示范意义的私益诉讼可探索支持起诉。要提升技术规范水准和保护水平,对通过网络传输的大量敏感个人信息数据分级分层保护,探索实行冻结、自动拦截等制度。

  (作者单位:上海市人民检察院)

  编辑:黄韵洁