當前,個人信息保護是社會公眾最關注的現實問題之一。4月26日,《中華人民共和國個人信息保護法(草案)》(下稱《草案》)提請第十三屆全國人大常委會二審。從《草案》內容看,立法擬由國家網信部門統籌協調個人信息保護工作,并推動構建多維度的法律責任體系,力求加大個人信息保護力度。筆者認為,從完善立法考慮,還可以從以下方面加以探討和研究。
進一步細化保護對象及保護信息的范圍
個人信息的敏感性與個人的年齡、職業、性別、文化教育程度、閱歷、心理等因素相關,立法要對一些特殊類型的主體制定專門的規定。比如,從民事行為能力情況及保護未成年人的角度,未成年人保護法中規定:“處理不滿十四周歲未成年人個人信息的,應當征得未成年人的父母或者其他監護人同意,但法律、行政法規另有規定的除外。”為與民法典同向而行,考慮現實性、可行性等因素,建議《草案》內容在自然人個人信息保護的基礎上,可以增加涉及胎兒、死者、英雄烈士等信息保護規定。
一是個人信息有很強的關聯性和權益延展性。通過若干信息的組合研析,可以對個人和具有一定關系的人進行識別或預判。現實中,死者的遺傳特征、重大遺傳學疾病、性生活信息、個人癖好等具有高度敏感性。對死者延伸保護,實際上更多的是保護活人的權益,符合逝者安息、活者安寧的正向價值。特別是,通過死者信息,可以識別其相關家屬信息,基于公序良俗等考慮也應該進行保護。
二是要考慮立法的前瞻性。現有規定不明確易引發實踐中的爭議。個人信息權益具有精神價值與財產價值,假若對胎兒、死者包括英雄烈士的個人信息不加以保護的情況下,則不便于權利救濟。胎兒也有可識別信息,比如胎兒的影像、性別、疾病、身體特征等。胎兒信息與父母信息一起在醫院等機構大量儲存,需要一同加以保護。另外,一些父母或機構在網絡上曬胎兒信息實有不妥。對胎兒信息的侵害亦應該加以禁止,以穩預期、利長遠,不應還未出生就“透明化”。為保護數據的開發、司法的資源與效率、學術言論的自由等,對于死者信息區分敏感信息與否規定一段不同的保護期,而非長期永久保護。此外,個人信息的范圍隨著時代發展不斷拓展,內容將更加豐富,儲存載體和具體表現形式也將更加多元,需要不斷延展保護。故《草案》可規定,涉及胎兒信息權益保護的,胎兒視為具有民事權利能力。但是,胎兒娩出時為死體的,其信息權益可視為父母個人信息權益加以保護。涉及死者信息權益保護的,其配偶、子女、父母有權依法請求行為人承擔民事責任;死者沒有配偶、子女且父母已經死亡的,其他近親屬有權依法請求行為人承擔民事責任。死者的一般個人信息保護期為三年,敏感個人信息保護期為五十年,但無保護必要的信息除外。涉及私密信息的,適用法律有關隱私權的規定。涉及英雄烈士個人信息的,適用英雄烈士保護法等有關法律的規定,但適用本法更有利的除外。
進一步優化公益訴訟的架構設置
個人信息保護工作需要綜合治理。《草案》規定了行政處罰、信用公示、行政內部管理和紀律處分、賠償損失、公益訴訟、治安處罰或刑事制裁,非常全面。在國家機關中,行政職能部門是維護公益第一順位的代表,立法也詳細規定了行政機關在個人信息保護中的重要職能作用,下一步有必要對相關職能和措施進行細化,促進落地落實。《草案》規定了公益訴訟制度,指出檢察院、履行個人信息保護職責的部門和國家網信部門確定的組織可以提起公益訴訟。而根據檢察公益訴訟制度的定位,檢察公益訴訟在維護公益方面具有協同性、督促性、補充性、兜底性等特點,參考已有檢察公益訴訟的法律條文,建議《草案》進行適當修改。
一是堅持檢察公益訴訟定位,保持立法的延續性和個人信息保護工作的體系性、層次性。檢察職權具有監督性、程序性、有限性、兜底性和協同性等特征,檢察公益訴訟亦是如此。在個人信息保護方面,要發揮職能部門行政管理優勢,繼續賦予行政機關第一順位維護公益的地位。為保障法律的統一正確實施,應堅持檢察公益訴訟定位,由檢察公益訴訟兜底,發揮補充性優勢,而不是代替執法。即使在行政機關不履職或履職不到位的情況下,檢察公益訴訟針對侵害眾多個人信息的情況制發檢察建議,提起公益訴訟,具有鯰魚效應,但本質仍是協同共治。
二是借鑒個人信息保護實踐,考慮檢察公益訴訟的便利性。檢察院辦理案件比如刑事案件時,對于侵害眾多個人信息權益的行為,一并提起刑事附帶民事公益訴訟更容易操作。對于職能部門未辦理,檢察院主動履職的個人信息保護案件,可以單獨提起民事公益訴訟,有利于發揮檢察機關主動履職的積極性。上海、河北、河南、湖北、云南、廣西、陜西、遼寧等多地的地方性法規已將個人信息安全納入檢察公益訴訟范圍。
三是凝聚個人信息保護工作合力。個人信息保護工作靠一家行政機關單打獨斗無法完成重任,需要個人積極維權,行業加強自律,司法嚴厲制裁,國際同向合作等。就檢察機關發揮公益訴訟職能角度看,需要明確檢察院督促、支持起訴的職權,健全檢察機關履行法律監督的工作抓手,從而發揮檢察機關的法律工作優勢,彰顯檢察官作為公共利益的代表價值。故建議《草案》規定,個人信息處理者違反本法規定處理個人信息,侵害眾多個人信息權益的,履行個人信息保護職責的部門和國家網信部門確定的組織可以依法向法院提起訴訟。前款規定的機關和組織未提起訴訟的情況下,檢察院可以督促、支持其提起訴訟。人民檢察院依據職權辦理侵害眾多個人信息權益的案件中,可以一并向人民法院提起刑事附帶民事公益訴訟或單獨提起民事公益訴訟。
進一步明確法律后果特別是民事法律責任
貫徹落實好民法典,需要加大個人信息保護的民事法律保護。《草案》設置了很多公法方面的保護措施,但私法保護不能弱,特別是法律責任中的民事責任只明確賠償損失是一大缺漏。
一是法律責任的創設與落實是法律實施的重要保障機制。民法、行政法、刑法等法律的協同保護已是社會共識,而《草案》的現有規定讓自然人個人難以實現私力救濟,需要在民法典的基礎上補強民事保護措施。此次立法需要明確民事責任內容而不能僅有賠償一項內容。
二是個人信息保護領域的公益訴訟訴請不限于賠償損失,如立法明確消除危險、懲罰性賠償等將具有重要意義。公益訴訟在個人信息保護工作中可以發揮預防性功能和懲罰性功能。比如,對于傳統扣押犯罪工具如電腦、手機等,可以消除相應載體內的個人信息,但并不能消除儲存在郵箱、網盤、聊天工具、云端等網絡上的個人信息,尚有重復侵害的較大可能,可以通過公益訴訟提出恢復原狀、消除危險等訴請。具體可以考慮進行規定或者創設禁止令加以保護。現有刑法對個人信息犯罪規定較為嚴格,實踐中對售賣型行為打擊較多,對提供給他人(企業)使用等的非法行為的打擊較為謹慎,比如很多App不合規甚至可能涉罪。懲罰性賠償具有懲罰和遏制不法行為等多重功能,可以在刑事司法制裁、行政管理規制之外加以適用,既可以推動刑法謙抑又符合實踐,也可以實現不同法律階梯型多層次治理個人信息侵害問題。
三是與個人信息有關的私益訴訟請求不限于賠償損失,現有規定不明確易引發實踐中的爭議。囿于法律責任不明確和現有舉證規則,被侵權人依照《草案》設計的條文不能實現充分救濟,將會延續私益訴訟不活躍的現狀。在私益訴訟難以提起或者無私益訴訟的情況下,則支持起訴制度等作用也將弱化。另,被侵權人的一些敏感信息泄露還可能對被侵權人造成嚴重精神傷害,立法還應賦予被侵權人提出精神損害賠償的權利。建議《草案》規定,違反本法規定,侵犯個人信息權益的,依照民法典和其他法律規定承擔民事責任。認定行為人相應民事責任,應當考慮行為人和受害人的職業、影響范圍、過錯程度,以及行為的目的、方式、后果等因素。受害人及本法規定的有關機關和組織的停止侵害、排除妨礙、消除危險、消除影響、賠禮道歉等請求權,不適用訴訟時效的規定。
因個人信息處理活動侵害個人信息權益的,按照個人因此受到的損失或者個人信息處理者因此獲得的利益承擔賠償責任;個人因此受到的損失和個人信息處理者因此獲得的利益難以確定的,由法院根據實際情況確定賠償數額。個人信息處理者能夠證明自己沒有過錯的,可以減輕或者免除責任。
有關機關和組織依照本法規定提起訴訟的,可以根據侵害眾多個人信息的過錯程度和影響后果等因素,提出三至十倍的懲罰性賠償等訴訟請求。個人信息處理者已被判處罰金或者行政罰款等經濟類懲罰措施的,懲罰性賠償數額可以適當減少。懲罰性賠償可以用于個人信息保護工作等公益事業。
個人信息保護立法備受關注、功在當下、利在長遠。下一步,建議借鑒軟件技術的研發測試,由立法部門、職能行政機關、司法機關等對歷史上和現實正在發生的個案,在適當考慮前瞻性基礎上,進行模擬審查處置。考慮到個人信息除了可識別性、可復制性等特征被大眾逐漸認知外,還有公開與保密交叉、不變與變化共存等特征需要深化基礎研究;而一些涉及跨國企業的管轄、信息的跨境流動等法律問題也有待結合實踐細化措施,個人信息保護立法也不可能畢其功于一役,要抓緊制定出來加以實施,并隨時代發展不斷修正完善。
(作者為上海市人民檢察院檢察官)