蘇和生

引 言

互聯(lián)網(wǎng)時代,數(shù)字技術(shù)的社會風險常常以侵害私人權(quán)利的形式展現(xiàn),然而個人信息并非僅涉及單一的私人利益,還牽涉社會的基礎性資源。個人信息并非屬于純“私權(quán)”領(lǐng)域,個人信息權(quán)益本身也具有公共權(quán)利的特點[1]。損害個人信息權(quán)益的后果既有個別性又有整體性。個人信息是數(shù)字時代的社會性資源與生產(chǎn)性要素,它不但是政府實現(xiàn)社會治理數(shù)字化、科學化、現(xiàn)代化的重要支撐,而且也關(guān)涉公共安全管理與國家數(shù)據(jù)安全治理,其本身具有公共利益的屬性。為了保護個人信息公共利益,2021年最高人民法院《關(guān)于審理使用人臉識別技術(shù)處理個人信息相關(guān)民事案件適用法律若干問題的規(guī)定》(簡稱《人臉識別個人信息規(guī)定》)第14條規(guī)定了涉及處理人臉信息的民事公益訴訟制度。之后,新出臺的《個人信息保護法》第70條為個人信息保護公益訴訟提供了正式的法律依據(jù)。數(shù)字技術(shù)的風險社會中,大部分人的個人信息受到算法操控,僅依托私法層面的救濟是杯水車薪,不但難以挽回公民個人尊嚴、保障個人信息基本權(quán)益,而且也無法有效應對、預防這類新興風險。在生態(tài)環(huán)境法治體系中,發(fā)展較為完善的環(huán)境公益訴訟制度構(gòu)建了損害救濟與風險防控并重的二元治理模式[2];與之相比,個人信息保護公益訴訟領(lǐng)域目前傾向于采用傳統(tǒng)損害救濟模式,其在風險防控層面則缺乏對個人信息公益保護的審思。據(jù)此,為有效應對個人信息風險,學界有必要結(jié)合個人信息風險之特征,對個人信息保護公益訴訟的程序構(gòu)造予以審慎檢視,以程序法理為基礎,探索個人信息保護公益訴訟程序規(guī)則的優(yōu)化路徑。

一、損害救濟模式解構(gòu):當前個人信息保護公益訴訟的程序構(gòu)造

由于制度設計的先天性局限與司法運行的實踐理性,當前個人信息保護公益訴訟的程序構(gòu)造采用損害救濟模式。損害救濟模式強調(diào)程序的啟動以公益損害結(jié)果為前置條件,通過事后的司法介入進行補償性救濟。從制度設計與司法實踐兩個層面來透析當前個人信息保護公益訴訟的程序構(gòu)造,可以對損害救濟模式進行深層次解構(gòu),以探尋個人信息保護公益訴訟的發(fā)展脈絡和運行邏輯。

(一)制度設計彰顯損害救濟的特質(zhì)

我國公益訴訟制度呈現(xiàn)民事公益訴訟與行政公益訴訟的二元結(jié)構(gòu)。就民事公益訴訟而言,《民事訴訟法》第58條規(guī)定,具有“污染環(huán)境、侵害眾多消費者合法權(quán)益等損害社會公共利益的行為”是公益訴訟啟動的前提條件,“損害社會公共利益”作為前置要件,體現(xiàn)了損害救濟的特點。行政公益訴訟的立法框架中,《行政訴訟法》第25條第4款及最高人民法院、最高人民檢察院發(fā)布的《關(guān)于檢察公益訴訟案件適用法律若干問題的解釋》(簡稱《兩高解釋》)第21條規(guī)定,“行政機關(guān)違法行使職權(quán)或者不作為,致使國家利益或者社會公共利益受到侵害”是行政公益訴訟啟動的前提條件?！秲筛呓忉尅返?2條規(guī)定,提起行政公益訴訟需要由檢察機關(guān)提交“致使國家利益或者社會公共利益受到侵害的證明材料”。據(jù)此可知,“侵害公共利益”是提起公益訴訟的要件之一,如果沒有證據(jù)證明有實際的公益損害發(fā)生,公益訴訟程序?qū)o法開啟。

我國公益訴訟整體上建構(gòu)了以事后損害救濟為主的制度框架,背后彰顯的是通過司法介入制止現(xiàn)實性損害的制度邏輯。然而,不同領(lǐng)域公益訴訟的程序模式呈現(xiàn)不同的發(fā)展態(tài)勢(表1)。在生態(tài)環(huán)境保護領(lǐng)域,環(huán)境公益訴訟興起的初期,制度設計傾向于以損害救濟模式為主,隨著理論迭新與實踐探索,環(huán)境公益訴訟在法律規(guī)范層面突破損害救濟模式的捆綁,逐步實現(xiàn)公益訴訟理念突破與制度革新(1)最高人民法院《關(guān)于審理環(huán)境民事公益訴訟案件適用法律若干問題的解釋》(簡稱《環(huán)境公益訴訟解釋》)第1條規(guī)定,“對已經(jīng)損害社會公共利益,或者具有損害社會公共利益重大風險的污染環(huán)境、破壞生態(tài)的行為提起訴訟”。最高人民法院《關(guān)于審理環(huán)境公益訴訟案件的工作規(guī)范(試行)》(簡稱《環(huán)境公益訴訟規(guī)范》)第2條第1款確立了預防損害的原則;第2條第5款確立了堅持修復為主的原則;第6條規(guī)定,對于尚未發(fā)生實際損害后果的污染環(huán)境、破壞生態(tài)行為,原告需提交被告具有《環(huán)境保護法》第63條規(guī)定情形以及其他具有現(xiàn)實和緊迫的重大風險的初步證明材料。,最終以風險防控模式為理論基礎,確立了預防性環(huán)境公益訴訟制度。消費者權(quán)益保護領(lǐng)域中,最高人民法院《關(guān)于審理消費民事公益訴訟案件適用法律若干問題的解釋》(簡稱《消費公益訴訟解釋》)第1條規(guī)定,對于“侵害眾多不特定消費者合法權(quán)益或者具有危及消費者人身、財產(chǎn)安全危險等損害社會公共利益的行為”可以提起公益訴訟,“具有危及消費者人身、財產(chǎn)安全危險”彰顯了消費者權(quán)益保護公益訴訟中風險防控模式的雛形。如學者所言,消費者權(quán)益保護民事公益訴訟應當發(fā)揮預防性保護功能,其首要目標是制止損害和預防風險[3]。

表1 不同領(lǐng)域公益訴訟的程序模式

值得注意的是,消費者權(quán)益保護與個人信息權(quán)益保護在規(guī)范闡釋和法律續(xù)造層面具有相通性,二者共同構(gòu)建了不特定多數(shù)群體個人信息權(quán)益受侵害的救濟體系。有學者指出,為了尋求個人信息保護的新出路,激活個人信息保護的私法運行活力,可以嘗試將個人信息保護融入《消費者權(quán)益保護法》的制度架構(gòu)中,對消費者個體實施傾斜性保護,以實現(xiàn)個人信息的良性流通[4]。實踐中,個人信息公共利益也常常借助消費者權(quán)益保護公益訴訟制度來加以保護,這使得個人信息保護公益訴訟的制度運行呈現(xiàn)“消費者化”的傾向[5]。然而,兩個領(lǐng)域的公益訴訟在構(gòu)造本質(zhì)上存在顯著差異,《個人信息保護法》與《消費者權(quán)益保護法》保護的法益并不等同,消費者主體與個人信息主體存在交叉,但并不同一。依附于消費者權(quán)益保護公益訴訟的治理邏輯固然對個人信息保護具有鏡鑒意義(2)從立法歷程角度看,《個人信息保護法草案》第一次審議稿與第二次審議稿僅規(guī)定檢察院、履行個人信息保護職責的部門和國家網(wǎng)信部門確定的組織可以依法提起個人信息保護公益訴訟。第三次審議過程中,中國消費者協(xié)會建議,與《消費者權(quán)益保護法》有關(guān)規(guī)定相銜接,在本法中明確法律規(guī)定的消費者組織可以對違法處理個人信息侵害眾多個人權(quán)益的行為提起訴訟。憲法和法律委員會經(jīng)研究,建議采納上述意見,在《個人信息保護法草案》(三次審議稿)第70條中增加相應規(guī)定。,但完全冀望于消費者權(quán)益保護公益訴訟制度來維護個人信息公益終究是治標而不治本。個人信息保護公益訴訟保護的實質(zhì)法益及程序運行具有自身的特殊性,需要從個人信息權(quán)益本身著手對公益訴訟模式進行理性解構(gòu)。從法解釋學角度視之,《個人信息保護法》第70條規(guī)定,個人信息保護公益訴訟啟動需具備“違反本法規(guī)定處理個人信息”“侵害眾多個人的權(quán)益”這兩個要件?！斑`反本法規(guī)定處理個人信息”意指,個人信息處理者在收集、保存、利用、加工、傳播、公開等層面違反《個人信息保護法》所保護的規(guī)范法益而非法處理個人信息;“侵害眾多個人的權(quán)益”要件中,“侵害”一詞強調(diào)公益損害后果之判定,反映出典型的事后救濟特征。此外,最高人民檢察院發(fā)布《關(guān)于貫徹執(zhí)行個人信息保護法推進個人信息保護公益訴訟檢察工作的通知》(簡稱《個人信息公益訴訟通知》)第1條規(guī)定(3)2021年8月,最高人民檢察院發(fā)布《關(guān)于貫徹執(zhí)行個人信息保護法推進個人信息保護公益訴訟檢察工作的通知》規(guī)定,各級檢察機關(guān)在履行公益訴訟檢察職責時應當突出重點,從嚴把握以下方面:生物識別、宗教信仰、特殊身份、醫(yī)療健康、金融賬號、行蹤軌跡等敏感個人信息應當嚴格保護;兒童、婦女、殘疾人、老年人、軍人等特殊群體的個人信息需要特別保護;教育、醫(yī)療、就業(yè)、養(yǎng)老、消費等重點領(lǐng)域處理的個人信息,以及處理100萬人以上的大規(guī)模個人信息應當重點保護;對因時間、空間等而聯(lián)結(jié)形成的特定對象的個人信息加強精準保護。,處理者處理100萬人以上的大規(guī)模個人信息應當予以重點保護。此處以精確的數(shù)據(jù)量化作為“侵害個人信息公益”的判斷標準,也進一步印證了個人信息保護公益訴訟注重事后損害救濟的特征。概言之,通過法規(guī)范層面的解讀,我國公益訴訟立法框架中,生態(tài)環(huán)境保護與消費者權(quán)益保護公益訴訟領(lǐng)域均確立了損害救濟與風險防控的二元模式,而個人信息保護公益訴訟領(lǐng)域則僅呈現(xiàn)損害救濟模式的單一立法態(tài)勢。此種以損害行為為起點、以損害結(jié)果為中心的立法模式忽視了公益訴訟的預防性救濟功能,阻礙了個人信息保護公益訴訟制度的精細化、體系化構(gòu)建。

(二)司法實踐映射損害救濟的現(xiàn)狀

個人信息保護公益訴訟司法實踐正如火如荼開展,2021年各級檢察機關(guān)共辦理個人信息保護公益訴訟案件2000余件,同比上升近3倍[6]。2021年4月,最高人民檢察院發(fā)布11例個人信息保護公益訴訟典型案例(4)其中行政公益訴訟案件6例,民事公益訴訟案件2例,刑事附帶民事公益訴訟案件3例。典型案例中,民事公益訴訟主要涉及互聯(lián)網(wǎng)企業(yè)違法違規(guī)獲取、收集個人信息并據(jù)此進行消費欺詐等問題。行政公益訴訟主要涉及市場監(jiān)管、教育行業(yè)、網(wǎng)絡信用等行政機關(guān)對個人信息收集、使用、加工、存儲、公開的監(jiān)管問題。刑事附帶民事公益訴訟主要包括通過物業(yè)服務、技術(shù)軟件等手段非法獲取、利用個人信息等問題。參見最高人民檢察院官網(wǎng).最高檢發(fā)布檢察機關(guān)個人信息保護公益訴訟典型案例[EB/OL].(2021-04-22)[2022-07-08].https://www.spp.gov.cn/spp/xwfbh/wsfbt/202104/t20210422_516357.shtml#1.。通過對典型案例的梳理與解讀可提煉出損害救濟模式的兩個重要特征。第一,個人信息保護公益訴訟的程序啟動具有滯后性。在起訴受理階段,法院要求原告提出具有個人信息公共利益受損的初步證據(jù)。民事公益訴訟中,個人信息處理者違法處理個人信息的行為對個人信息公共利益造成了現(xiàn)實性侵害,才符合公益訴訟的起訴要件。行政公益訴訟中,履行個人信息監(jiān)管職責的行政機關(guān)(如通信管理局、互聯(lián)網(wǎng)信息網(wǎng)絡管理局、市場監(jiān)督管理局等)未依法履行信息數(shù)據(jù)監(jiān)管義務,導致信息數(shù)據(jù)泄露而侵害公益之后,檢察機關(guān)才能發(fā)出訴前檢察建議,督促行政機關(guān)依法履職。履行個人信息保護職責的行政機關(guān)或個人信息處理者承擔著維護個人信息公共利益的結(jié)果性責任。這類案件在司法實踐中展露出偏離風險預防而以損害救濟為重心的發(fā)展態(tài)勢。第二,個人信息保護公益訴訟的訴訟主張與裁判方式具有事后性。以民事公益訴訟為例,原告的訴訟主張及法院最終判決的法律責任通常表現(xiàn)為損害賠償。由于個人信息交易的特殊性,未經(jīng)技術(shù)性篩選整理的零散信息的交易價格較低,侵害不特定公眾個人信息權(quán)益而產(chǎn)生的利益損失則難以估算,實踐中法院常常將“個人信息處理者的違法所得利潤”作為替代性賠償標準。對于收集、加工、公開信息等環(huán)節(jié)中違法處理行為存在惡劣、嚴重情節(jié)的,還可以適用懲罰性賠償予以懲戒、威懾。除損害賠償外,個人信息保護公益訴訟的法律責任還表現(xiàn)為強制個人信息處理者履行法律規(guī)定的其他義務,這些義務仍然以損害結(jié)果為依托而具有事后性特征,例如,公開賠禮道歉、刪除違法處理的信息數(shù)據(jù)、采取隱匿性技術(shù)處理等。實踐中,法官通常借助侵權(quán)責任理論展開法律釋析,論證個人信息處理者的加害行為與損害后果之間的因果關(guān)系,計算、評估個人信息權(quán)益的損失大小。法院判決個人信息處理者的責任承擔方式主要是損害賠償,作為典型的事后補救措施,損害賠償方式無法預防個人信息公益事前遭遇侵害的風險。概言之,目前個人信息保護公益訴訟實踐中貫穿著以損害救濟為中心的辦案立場,而風險防控的基本理念與程序架構(gòu)則付之闕如。

(三)損害救濟模式適用的根源探析

1.案件線索發(fā)掘的“刑事化”

公益訴訟的啟動需要由案件線索作為指引,案件線索的缺失將阻斷訴訟程序的啟動。個人信息保護公益訴訟司法實踐中,大部分案件以刑事附帶民事公益訴訟的形式展開,大約90%的被告被追究過刑事責任或行政責任,而純粹的民事公益訴訟案件與行政公益訴訟案件的數(shù)量寥寥可數(shù)[7]。在為期兩年的檢察公益訴訟試點期間,民事檢察公益訴訟案件中約96%的案件都是先追究過刑事責任之后,再通過公益訴訟程序來救濟民事權(quán)益,這使得公益訴訟的線索來源呈現(xiàn)“刑事化”的特征[8]。由于個人信息侵權(quán)的隱秘性、復雜性與多變性,公益訴訟線索于事前或事中的挖掘難度較大,個人信息公益救濟大都以刑事附帶民事公益訴訟的程序形式展開。案件線索一方面來源于公安機關(guān)在偵查程序中發(fā)現(xiàn)可能存在侵害個人信息公共利益的情形,遂將線索移送公益訴訟部門;另一方面源于檢察機關(guān)在偵查監(jiān)督、刑事檢察、公益監(jiān)督過程中獲取的個人信息公益受侵害的情形,檢察機關(guān)據(jù)此線索展開調(diào)查、收集證據(jù)材料。司法者更加青睞于損害救濟模式,究其原因,個人信息保護公益訴訟的線索發(fā)掘渠道極為有限,且時常依附于刑事檢察,而刑事檢察對犯罪行為的揭露以存在個人信息公益受損結(jié)果為前提,這肇致案件線索的發(fā)掘呈現(xiàn)出事后性特征,也致使損害救濟模式在實踐中得以泛化性適用。

2.公益訴訟運行的謙抑性

傳統(tǒng)訴訟理論框架下,在糾紛形成之前或之中,司法權(quán)并不直接參與社會生活,只有當糾紛產(chǎn)生之后,當事人才有權(quán)通過司法介入糾紛。無糾紛則無裁判,糾紛的產(chǎn)生常常以損害結(jié)果的呈現(xiàn)作為證據(jù)材料,有了損害結(jié)果才滿足糾紛的可訴性,才符合司法救濟的前提條件[9]。有學者主張,將公共利益損害作為公益訴訟啟動條件,原因在于公益訴訟程序本質(zhì)上屬于事后性糾紛解決方式,事后性的特征也有助于規(guī)制當事人的濫訴行為[10]。個人信息公共利益受損線索發(fā)掘的事后性是公益訴訟遵循謙抑性原理的邏輯基礎。個人信息保護公益訴訟運行的謙抑性脫胎于制度的純粹理性而根植于司法的實踐理性,公益訴訟介入的滯后性也使得損害控制模式在實踐的運行中得以合理化。民事公益訴訟中,個人信息處理者實施違法行為而損害個人信息公益之后,公益訴訟起訴者才有權(quán)提出訴訟主張,開啟公益訴訟的大門。在行政公益訴訟中,當個人信息監(jiān)管機關(guān)怠于履職或履職不恰當而導致個人信息公益遭受侵害時,檢察機關(guān)提起公益訴訟才是正當?shù)?。行政公益訴訟的啟動與行政行為的成熟性原則緊密聯(lián)系。成熟性原則重點關(guān)注行政行為是否發(fā)展到適宜由法院展開司法審查的階段,這有助于保證行政機關(guān)依法履職并妥善維護公共利益。通常情況下,成熟性原則的標準是“正常行政程序的最后階段已經(jīng)完成”,設定此標準的目的在于貫徹司法權(quán)與行政權(quán)分立制衡的基本原理,防止司法權(quán)過多、過早地介入行政權(quán)的作用領(lǐng)域[11]。在行政權(quán)運行完畢之前,司法應當秉持適度克制、妥協(xié)與寬容的立場。本著事后救濟的原理,司法通常不宜過早地對行政行為合法與否作出審查判斷,而應充分尊重行政機關(guān)的專業(yè)判斷。

3.侵權(quán)責任認定的依賴性

個人信息保護公益訴訟制度依托個人信息損害賠償請求權(quán)得以運轉(zhuǎn),其將《民法典》“侵權(quán)責任編”作為主要的法律適用依據(jù)。侵權(quán)責任認定對損害救濟模式下的個人信息保護公益訴訟制度主要產(chǎn)生如下兩個方面的約束:一方面,無損害則無救濟,侵權(quán)法律關(guān)系的發(fā)生與成立依賴于實際損害的出現(xiàn)[12]。在當前的立法架構(gòu)之下,結(jié)果性責任是適用侵權(quán)責任規(guī)范的最終歸宿,然而對于個人信息公益面臨侵害風險的情形,侵權(quán)行為的構(gòu)成無從談起,侵權(quán)責任規(guī)范的適用更是難有余地。侵權(quán)責任規(guī)范體系為損害救濟模式提供了適宜運行的土壤,而對預防性公益訴訟所提倡的預防與控制風險的目標力有未逮。另一方面,個人信息公益侵權(quán)因果性的判斷難度較大,這在構(gòu)成要件適用層面阻卻了風險防控型公益訴訟的開展。因果性對法律關(guān)系的判斷與定性具有關(guān)鍵作用,個人信息公益侵權(quán)案件的特殊性(個人信息法益的多樣性、權(quán)利的復雜性、權(quán)益的社會性、利益的公共性[13])導致其因果關(guān)系證明的難度較大。因果關(guān)系的證明儼然成為個人信息侵權(quán)救濟中最困難的一個環(huán)節(jié),個人信息在收集、傳輸、加工、公開等環(huán)節(jié)中都有遭遇被入侵、泄露的風險。侵權(quán)行為人的范圍難以準確定位,盡管確定特定侵權(quán)人之后,也難以證明某種行為正是個人信息受到侵害的原因[14]。損害救濟模式的運行立足于實踐中顯性化的損害結(jié)果,該損害結(jié)果歸因于個人信息處理者的加害行為,“主體行為—損害結(jié)果”之間存在符合邏輯推理的因果關(guān)系。公益訴訟起訴人需提交證據(jù)材料證明個人信息處理者的侵害行為與個人信息公共利益受損結(jié)果之間存在相當?shù)囊蚬P(guān)系,即個人信息公益侵權(quán)因果關(guān)系的成立呈現(xiàn)出“主體行為—損害結(jié)果”之線性架構(gòu)形式。僅有加害行為而無損害結(jié)果則無法構(gòu)成侵權(quán)法律關(guān)系,這無疑排除了“主體行為—潛在風險”的訴訟形式,僅救濟損害結(jié)果而忽視防控風險的訴訟模式將使得個人信息保護公益訴訟救濟的客觀范圍呈現(xiàn)不周延的趨勢。

二、損害救濟模式評析:以風險預防理論切入

個人信息風險伴隨現(xiàn)代信息技術(shù)的發(fā)展應運而生,個人信息權(quán)益受侵害的結(jié)果具有確定性,而個人信息風險具有流動性、不穩(wěn)定性、技術(shù)性、延展性等特征。雖然損害救濟模式以事后補救的方法為個人信息公共治理貢獻了司法能量,但是個人信息公共利益的前瞻性、事前性救濟路徑不應被忽視。本文以風險預防原則為理論分析工具,對損害救濟模式予以理性檢視,嘗試著為個人信息保護公益訴訟制度的體系化建構(gòu)提供智識性思路。

(一)風險社會視野中個人信息公益治理的罅隙之處

社會學家貝克以“風險社會”概念為起點審慎檢視了后工業(yè)時代的文明社會危機。風險可被定義為以系統(tǒng)的方式應對由現(xiàn)代化自身引發(fā)的危險和不安。從現(xiàn)代化進程的自反性角度來看,技術(shù)—經(jīng)濟“進步”帶來的力量,日益為風險生產(chǎn)的陰影所籠罩[15]。就個人信息保護領(lǐng)域而言,“個人信息公益安全”遭遇的風險呈現(xiàn)擴張化趨勢。實踐中,個人信息處理者違法處理個人信息、個人信息監(jiān)管機關(guān)怠于履職的情形時有發(fā)生。這些行為背后往往隱藏著更大的風險——大規(guī)模的個人信息流入商業(yè)市場,后續(xù)的危害極大且可能擴展到不特定公眾,個人信息公共利益遭受侵害的風險也會由此增大。此外,信息技術(shù)的多元化與規(guī)模化運用容易使政策制定者忽視對個人信息安全的充分觀照。諸多信息化、智能化技術(shù),在并未被驗證是否會對公民個人信息權(quán)益產(chǎn)生重大影響的前提下便被推廣到商業(yè)化應用中,加之信息數(shù)據(jù)天然的不可控性與不穩(wěn)定性,個人信息公共利益逐漸陷入風險化困境之中。

(二)風險預防原則視域下?lián)p害救濟模式的固有局限

為了應對生態(tài)環(huán)境侵害的不確定性、擴張性等難題,1987年《北海宣言》明文規(guī)定“為了防止污染損害發(fā)生,應當采取必要的預防措施”,至此風險預防原則于環(huán)境法領(lǐng)域的闡釋與運用方興未艾(5)風險預防原則要求在環(huán)境利用行為實施前,采取政治、法律、經(jīng)濟和行政等各種手段,防止環(huán)境利用行為導致環(huán)境污染或破壞現(xiàn)象的發(fā)生,即所謂的“防患于未然”。預防原則包含兩層含義:一是運用已有的知識和經(jīng)驗,對開發(fā)和利用環(huán)境行為帶來的可能的環(huán)境危害,事前采取措施以避免危害的產(chǎn)生;二是在科學不確定性的條件下,基于現(xiàn)有的科學知識去評價環(huán)境風險,即對開發(fā)和利用環(huán)境行為可能帶來的尚未明確或者無法具體確定的環(huán)境危害進行事前預測、分析和評價,促使開發(fā)決策避免可能造成的環(huán)境危害及風險的出現(xiàn)。參見:汪勁.環(huán)境法學[M].北京:北京大學出版社,2014:101.。依此原則為藍本,我國2014年修訂的《環(huán)境保護法》首次確立了環(huán)境與健康風險評估制度,2018 年頒布的《土壤污染防治法》對土壤污染的風險管理和控制做了專章規(guī)定,這些均體現(xiàn)了風險預防原則對環(huán)境法治的推動作用。信息時代觸發(fā)社會風險的比例較高,風險預防原則的適用范圍也愈發(fā)廣泛,從預防環(huán)境侵害延伸至保護公民健康與消費者安全,并且革新了損害風險的法律屬性及證據(jù)規(guī)定。從比較法角度視之,為有效應對數(shù)據(jù)風險,歐盟《通用數(shù)據(jù)保護條例》(GDPR)以“數(shù)據(jù)風險防控”為規(guī)范目標構(gòu)建了體系性的數(shù)據(jù)保護立法框架(6)歐盟第29條工作小組于2014年發(fā)布了《關(guān)于基于風險的方法在數(shù)據(jù)保護法框架中的作用的聲明》,指出應當將基于風險的方法納入歐盟數(shù)據(jù)保護法律框架。歐盟《通用數(shù)據(jù)保護條例》中的諸多條款均是圍繞“基于風險的方法”而展開的,如控制者責任(第24條)、通過設計及默認方式保護數(shù)據(jù)(第25條)、保存處理活動記錄(第30條)、數(shù)據(jù)保護影響評估(第35條)、數(shù)據(jù)泄露通知(第33、第34條)等。。然而,我國《個人信息保護法》中缺乏明確的風險預防機制,訴訟法層面預防性公益訴訟制度的實施規(guī)則力所未及,實體維度與程序維度的雙重張力加劇了個人信息保護公益訴訟制度的修繕難度,預防性保護請求權(quán)遭遇著難以接近司法的困局[16]。風險預防原則作為事前風險防范的理論工具,在個人信息保護領(lǐng)域也具有可適用的空間,通過借鑒該理論的原理內(nèi)核能夠為個人信息的公共化治理提供科學指引。

將風險預防原則作為觀察個人信息公共治理的分析工具,損害救濟模式遭受著如下質(zhì)疑:一方面,損害救濟模式未遵循《個人信息保護法》的制度理念。諸多大規(guī)模的個人信息侵權(quán)具有群體性和擴散性的特征,侵權(quán)行為在侵害公民個人信息權(quán)益時,往往裹挾著將損害后果擴張至公民其他人身、財產(chǎn)權(quán)益之風險,個人信息侵權(quán)風險由此也滲透到個人信息公共利益之中?！秱€人信息保護法》第11條規(guī)定了“預防和懲治侵害個人信息權(quán)益的行為”的理念(7)《個人信息保護法》第11條:“國家建立健全個人信息保護制度,預防和懲治侵害個人信息權(quán)益的行為,加強個人信息保護宣傳教育,推動形成政府、企業(yè)、相關(guān)社會組織、公眾共同參與個人信息保護的良好環(huán)境?！?由個人信息處理者承擔停止侵害、損害賠償?shù)葌鹘y(tǒng)民事責任固然是個人信息法治化、公共化治理的題中之義,但值得反思的是,損害救濟模式是否應當被界定為個人信息保護公益訴訟的主導性范式?誠然,事后救濟模式發(fā)揮著“懲罰違法、救濟損害”的制度功效,但是在公益受損事實既定之后才開啟訴訟,這或許只能實現(xiàn)對公益訴訟制度目標的“次層次解讀”。在個人信息公益受損之前便引入公益訴訟,則能在風險預防層面實現(xiàn)對公益訴訟制度功能的“主層次解讀”。另一方面,損害救濟模式未審酌個人信息公益損害具有不可逆轉(zhuǎn)的特征。個人信息保護公益訴訟的救濟范圍不只拘泥于公民個人信息權(quán)益、人身財產(chǎn)安全,也包含著人格尊嚴、公民隱私、個人信息公共管理秩序等難以預測且無法逆轉(zhuǎn)的風險要素。大多數(shù)域外學者主張,侵害個人信息權(quán)益的行為本質(zhì)上會侵犯公民個人自由[17],通過保護個人信息權(quán)益能夠?qū)崿F(xiàn)維護公民人格自由與人格尊嚴的目標[18]?！缎畔踩夹g(shù)個人信息安全規(guī)范》第6.3條規(guī)定:“傳輸和存儲個人敏感信息時,應采用加密等安全措施。摘要信息通常具有不可逆特點,無法回溯到原始信息?！眰€人信息公益具有顯著的公共性與人格權(quán)屬性[19],多數(shù)情況下,其一旦遭受侵害則難以修復、彌補。由于互聯(lián)網(wǎng)記憶的不可磨滅性,個人信息被非法處理之后,即使權(quán)利人行使個人信息被遺忘權(quán)也難以達到“恢復原狀”的理想狀態(tài)。實踐中,非法提供、處理、傳輸個人信息的行為通常裹挾著公益損害的風險,當潛在的風險逐漸趨于顯性化時,隨之而來的便是事后的危害事實與難以恢復的損害結(jié)果。據(jù)此,損害救濟模式作為后位性的救濟方式,無法將存在侵害個人信息公益風險的情形扼殺在萌芽狀態(tài),難以有效應對個人信息公益受損后不可逆轉(zhuǎn)的危機,無法實現(xiàn)對個人信息公益的原生態(tài)化保護。

三、程序構(gòu)造正當性重構(gòu):損害救濟模式向風險防控模式的轉(zhuǎn)型

單一的損害救濟模式不足以實現(xiàn)個人信息公益的全面性、全過程保護,個人信息保護公益訴訟的程序構(gòu)造需要由事后救濟模式轉(zhuǎn)向損害救濟與風險防控并存的二元模式。風險防控模式的崛起有其自身的規(guī)范基礎及實踐意義,該模式的引入能夠彌補損害救濟模式的諸多劣勢。

(一)風險防控模式的規(guī)范意蘊

損害救濟模式最大弊端在于,其提倡的事后性救濟理念不能預防潛在的、突發(fā)的風險,只能作為保護公益的“次優(yōu)化安排”。對此,風險防控模式的注入將有助于消解個人信息公益損害的不可逆轉(zhuǎn)性危機,該模式試圖通過前瞻性的司法介入以防控重大風險,實現(xiàn)個人信息公益保護的“最優(yōu)化安排”。通過對當前的法律規(guī)范予以解析,可以找到風險防控模式的正當法源。《個人信息保護法》第11條規(guī)定:“國家建立健全個人信息保護制度,預防和懲治侵害個人信息權(quán)益的行為”,這要求在個人信息治理中應當注重采用事前預防的措施;第55條規(guī)定:“個人信息處理者應當事前進行個人信息保護影響評估。”第56條規(guī)定:“個人信息保護影響評估應當包括下列內(nèi)容:……(二)對個人權(quán)益的影響及安全風險;(三)所采取的保護措施是否合法、有效并與風險程度相適應?！薄缎畔踩夹g(shù)個人信息安全規(guī)范》第3.9條規(guī)定:“針對個人信息處理活動……判斷其對個人信息主體合法權(quán)益造成損害的各種風險?！钡?.2條規(guī)定:“個人信息控制者共享、轉(zhuǎn)讓個人信息時,應充分重視風險。”第11.4條規(guī)定,“對個人信息控制者的要求包括:應建立個人信息安全影響評估制度,評估并處置個人信息處理活動存在的安全風險”。

以上條文為個人信息權(quán)益的預防性保護提供了合法性基礎,也為風險防控模式在個人信息公益保護領(lǐng)域的引入提供了規(guī)范性基礎。當個人信息公益面臨侵害的重大風險時,我們應當“面向未知而審慎地作出決策”[20],此時風險預防原則的運用成為值得討論的一個方案。我國是司法能動型國家,司法制度映射著國家政策導向的底色。公益訴訟是“政策實施型程序”的代表性制度[21],其核心目標是于司法審判中貫徹國家頂層政策,通過修繕法律秩序來協(xié)同國家政策的實施與公共利益的維護[22]。個人信息保護公益訴訟作為《個人信息保護法》所規(guī)定的“政策實施型程序”,應當遵循風險防控機制的結(jié)構(gòu)性布局,肩負起預防個人信息公益風險、維護個人信息安全的使命。

(二)風險防控模式的實踐理性

對于群體性的個人信息侵權(quán)糾紛,僅僅通過傳統(tǒng)的私益訴訟無法實現(xiàn)對個人信息群體利益和公共利益的及時保護,為了彌補損害救濟模式的局限,實踐中有些檢察機關(guān)推陳出新,率先適用風險防控模式來辦理個人信息公益訴訟案件。例如,在甘肅省平?jīng)鍪袡z察院督促整治快遞單泄露公民個人信息公益訴訟案中,檢察機關(guān)認定,多家快遞企業(yè)的快遞單未對用戶個人信息采取隱匿化保護措施,存在泄露公民個人信息的重大隱患,隨后,檢察機關(guān)向市郵政局發(fā)出訴前檢察建議,建議其履行快遞市場安全監(jiān)督管理職責,督促快遞企業(yè)采取有效手段保護用戶個人信息安全[23]。湖北省隨州市隨縣財政局在政府門戶網(wǎng)站上發(fā)布的“隨縣2021年度耕地地力保護補貼資金發(fā)放情況”中,擅自公開群眾的身份證號碼和銀行賬戶信息,使眾多公民個人秘密信息處于泄露狀態(tài),為維護社會公共利益,降低個人信息泄露風險,隨縣檢察院隨即向縣財政局發(fā)出檢察建議,建議其依法履行個人信息保護職責[24]。由前述兩案可知,初露頭角的風險防控模式已在實踐中有了一些探索性的嘗試,在個人信息公益僅呈現(xiàn)“泄露風險”而未遭受實際損害的情形下,檢察機關(guān)便發(fā)布檢察建議,督促行政機關(guān)依法整治。然而,以上案件的法律文書說理中并未提煉出判定個人信息公益“重大風險”的實質(zhì)標準,預防性公益訴訟的介入時間及程序規(guī)則也語焉不詳,這些問題有待進一步探索與解決。

(三)風險防控模式的優(yōu)勢釋析

作為推進個人信息保護公益訴訟制度運行的“最優(yōu)化方案”,風險防控模式具有諸多優(yōu)勢。首先,風險防控模式通過彌補損害救濟模式程序啟動的滯后性、訴訟主張與裁判方式的事后性、對傳統(tǒng)侵權(quán)責任承擔的依賴性等缺陷,推動個人信息保護公益訴訟制度的體系發(fā)展與全面建構(gòu)。引入風險防控模式,并非試圖貶損損害救濟模式的功能與價值,而是清醒地正視損害救濟模式的功能局限。單一化的損害救濟模式不能對個人信息公益重大風險展開有效防控,而風險防控模式則能實現(xiàn)對公益風險的妥善消除。風險防控型公益訴訟的理性嵌入,適當擴張了個人信息保護公益訴訟救濟的客觀范圍,有助于化解個人信息公益損害不可逆轉(zhuǎn)的危機。其次,風險防控模式的建構(gòu)是對《個人信息保護法》中預防性理念的貫徹,即以風險預防原則為指導,在個人信息保護公益訴訟中注入預防性理念,對公益風險產(chǎn)生事前的“顧慮”。該模式打破了“無損害則無救濟”的傳統(tǒng)理念,而將預防個人信息公益風險作為首要任務,其供給的預防性公益訴訟制度是救濟公益的一項可行方案?；趯€人信息公益損害不可逆性、擴散性等特征的考量,在確定的因果關(guān)系與損害后果呈現(xiàn)之前,保護“風險法益”更能從源頭上化解糾紛,彰顯個人信息保護公益訴訟的制度功效。再次,從訴訟經(jīng)濟角度來看,大規(guī)模的個人信息侵權(quán)糾紛通常涉及較強的技術(shù)性,法院對侵權(quán)因果關(guān)系的認定需耗費大量的司法資源,甚至需要專業(yè)的數(shù)據(jù)技術(shù)人員的協(xié)助,對此,通過采用風險防控模式能有效規(guī)避事后的侵權(quán)證明等難題,進而對司法資源的分配及司法效益的提升也有所裨益。最后,風險防控模式嘗試從源頭出發(fā)來構(gòu)建一種前瞻性的司法保護機制,該模式提供了一種讓個人信息風險防控過程合理化的解釋框架,促進了個人信息保護公益訴訟制度研究從“損害—反應與救濟”范式向“風險—預防與控制”范式的科學轉(zhuǎn)型。

四、風險防控模式搭建:預防性公益訴訟的制度回應

預防個人信息公益侵害是風險防控模式的規(guī)范目標,個人信息保護公益訴訟只有在窮盡預防可能性的前提下,才可將救濟公益損害作為核心目的。事前預防與事后救濟相結(jié)合的程序構(gòu)造有助于推動公益訴訟制度的有效實施。當前損害救濟模式的制度設置比較健全,而風險防控模式的法理基礎與程序規(guī)則卻相對欠缺,由此需要補強其理論基礎,搭建其應有的程序框架。

(一)預防性個人信息保護公益訴訟的引入邏輯

作為風險社會中的公共難題,個人信息侵權(quán)問題呈現(xiàn)出多發(fā)性、技術(shù)性、動態(tài)性、不確定性等特征。個人信息保護的綜合治理不但依賴于司法權(quán)與立法權(quán),而且應貫穿于行政權(quán)的運行中。行政機關(guān)具有維護個人信息公益的基本義務,其應當具備風險防控的預測機能與防治能力,這是搭建風險防控模式的內(nèi)在要求。行政權(quán)于個人信息保護領(lǐng)域的事前防控性介入,具有現(xiàn)實層面及專業(yè)層面的優(yōu)越性。為實現(xiàn)個人信息公益的有效保護,行政權(quán)應當充分運用其公益性、系統(tǒng)性、完整性、積極性、主動性的優(yōu)勢[25],通過事前介入以完成對個人信息重大風險的適時預防。風險社會中,行政權(quán)并不能只是單純地“執(zhí)行”法律,更要在某些時候?qū)嵶鞒黾皶r的“決策”。在行政權(quán)運行的范圍內(nèi),排除或降低公民人身財產(chǎn)危險是政府的基本任務[26]。由于公民個人對技術(shù)風險存在較大的認知局限,難以準確評估數(shù)據(jù)風險的緊急性,風險防控的任務交由行政機關(guān)執(zhí)行更為穩(wěn)妥。

風險預防原則于個人信息保護領(lǐng)域適用的功能表征,不僅要體現(xiàn)出對信息數(shù)據(jù)風險的防控,而且也應彰顯對數(shù)據(jù)產(chǎn)業(yè)的治理[27]。風險防控功能可從行為意義和結(jié)果意義兩個層面上解讀,行為意義層面的防控功能面向的是侵害個人信息公益的風險,其目標在于有效預防與控制損害風險演變?yōu)閾p害結(jié)果;結(jié)果意義層面的防控功能面向的是侵害行為致使侵害結(jié)果進一步擴大的情形[28]。傳統(tǒng)侵權(quán)責任法層面的排除妨害、消除危險等責任承擔方式只能發(fā)揮結(jié)果層面的防控功能,行為意義層面的防控功效則無所涉及。據(jù)此,預防性公益訴訟的核心目標在于,通過風險預防發(fā)揮行為意義層面的防控功效。個人信息權(quán)益保護的新范式需要從個人對個人信息處理的自我控制轉(zhuǎn)向由行政機關(guān)對個人信息處理行為進行管理,由行政權(quán)來評估個人信息處理行為是否符合個人信息權(quán)益保護的價值追求[29]。作為公共利益維護者、公共事務管理者,行政機關(guān)有履行個人信息風險防控的義務。預防性公益訴訟制度的興起并未顛覆行政權(quán)在信息治理中的核心作用,行政權(quán)在風險防控模式中具有適用的優(yōu)先性。然而,行政機關(guān)在風險決策中所掌控的“判斷場域”并非絕對自由之地[30],即行政權(quán)運行本身也應接受司法監(jiān)督,具體行政行為的合法性與正當性需要接受司法審查的拷問。

據(jù)此,以風險防控模式的規(guī)范目標為指引,個人信息保護公益訴訟應當構(gòu)建以預防性行政公益訴訟制度為主軸的運行機制。當司法裁判不再拘泥于以往的過錯,而是嘗試調(diào)整未來的行為,預防性公益訴訟便有了適用的空間。與損害救濟型公益訴訟相比,預防性公益訴訟突破了傳統(tǒng)司法審查的路徑依賴,更有助于囊括行政行為作用的全過程。風險防控型訴訟更專注于法律秩序的重建和修復,通過司法的力量逐漸建筑起保護公益的大廈[31]。司法權(quán)適度地提前介入有利于協(xié)同風險防控模式的順利開展,保障行政權(quán)的規(guī)范化運行。對于個人信息監(jiān)管機關(guān)不依法履職而致使個人信息公益呈現(xiàn)重大風險的情形,檢察機關(guān)通過訴前程序提出檢察建議,督促行政機關(guān)依法履職。如果行政機關(guān)不依法履職,檢察機關(guān)有權(quán)向法院提起預防性公益訴訟,以司法權(quán)的理性介入來糾正行政不法行為,促進個人信息公益風險的事前性消除。

(二)預防性個人信息保護公益訴訟的作用區(qū)間

檢察機關(guān)提起行政公益訴訟的前提是行政機關(guān)“違法履職或不作為”且“社會公益受到侵害”,然而實踐中“違法履職或不作為”與“社會公益受到侵害”發(fā)生的時刻并非一一對應。據(jù)經(jīng)驗法則可知,某一違法行為具有危害公共利益重大風險時,受制于地域差距或時間因素的影響,損害后果往往會在違法行為作出一段時間之后才會呈現(xiàn)。行政過程的階段性構(gòu)造可以分為標準階段、行為階段、執(zhí)行階段與救濟階段[32]。預防性公益訴訟可貫穿行政行為的全過程,其于個人信息收集、使用、存儲、轉(zhuǎn)讓、披露等各類環(huán)節(jié)都有介入的可能性,在每個階段都可適當發(fā)揮“預防性”功能。

在標準階段,于抽象行政違法行為落實成具體行政違法行為之前,檢察機關(guān)開啟預防性公益訴訟而“提出異議”,可將抽象的風險阻卻于個人信息行政規(guī)范性文件發(fā)布階段。在行為階段和執(zhí)行階段,根據(jù)違法行政行為作出的不同時間點,可將違法行政行為劃分為即期作出的行為、作出后而尚未執(zhí)行的行為以及已經(jīng)執(zhí)行的行為。針對即期作出的行為,此時公益風險處于萌芽而未表征的狀態(tài),應當采用“實際損害必然產(chǎn)生”的識別標準[33]。此標準要求,通過先行行為來分析行政機關(guān)作出某一具體行政行為的可能性后果,判斷該行為的發(fā)生是否將誘發(fā)不可逆轉(zhuǎn)的公益損害。比如,行政機關(guān)許可的信息技術(shù)項目有招致個人信息公益風險時,檢察機關(guān)督促行政機關(guān)停止違法行為的實施。針對作出后但尚未執(zhí)行的違法行為,在此情形下風險已表征為具象化的場景,呈現(xiàn)出可視化的狀態(tài),此時適用“最大限度接近成熟”標準較為妥當。具體而言,行政機關(guān)在履行個人信息保護評估或認證職責的過程中違法通過評估或認證的,對此情形,預防性公益訴訟的介入可以緩和個人信息公益風險的擴張。針對已經(jīng)執(zhí)行的行政行為,若具體行政行為將導致不可逆轉(zhuǎn)的、擴散性的個人信息公益損害的,檢察機關(guān)可提起預防性撤銷之訴,從根源上阻卻個人信息公益風險。違法行政行為執(zhí)行后,即便是在救濟環(huán)節(jié),面向未來的預防性機制也能有所作為。為了防止一錯再錯,司法機關(guān)可以發(fā)出糾正性檢察建議,要求行政機關(guān)制定羈束性、反思性的規(guī)范性文件。

預防性公益訴訟對行政行為的全過程規(guī)制貌似有阻礙行政權(quán)自主發(fā)揮與高效運行的嫌疑,但這是遵循司法原理與行政規(guī)律而科學建構(gòu)行政法律監(jiān)督體系的必經(jīng)之路,即司法機關(guān)對行政權(quán)的有效監(jiān)督和及時制約并非單純地限制行政機關(guān)的行為,同時也在幫助行政機關(guān)實現(xiàn)其本來的意志[34]。

(三)預防性個人信息保護公益訴訟的程序構(gòu)造

1.重大風險的判斷標準

《環(huán)境民事公益訴訟司法解釋》中已率先確立了預防性公益訴訟“重大風險”的判斷標準,雖然僅為原則性的規(guī)定且“重大風險”的內(nèi)涵與外延還語焉不詳,但預防性理念于環(huán)境公益訴訟中的貫徹是顯而易見的[35]。相對而言,《個人信息保護法》中關(guān)于風險防控的立法規(guī)范則是捉襟見肘,其對個人信息公益“重大風險”的判定缺乏指導性標準。考慮個人信息公益損害不可逆轉(zhuǎn)的特性,本著防止濫用預防性公益訴權(quán)之目的,可以借鑒環(huán)境公益訴訟的程序構(gòu)造,當存在“重大風險”之時才能開啟預防性公益訴訟的大門?！爸卮箫L險”的判斷需要以“風險閾值”作為參考?！帮L險閾值”的功能是評價公益損害風險大小的程度,據(jù)此考量啟動預防性公益訴訟的必要性與實效性,進而妥善把控預防性公益訴訟的適用范圍(8)通過調(diào)整風險閾值可影響和控制風險預防的嚴格程度,對于風險較大的行為實行更加嚴格的風險預防措施,對于風險較低的行為往往實行較為寬松的風險預防措施。參見:于文軒.生態(tài)文明語境下風險預防原則的變遷與適用[J].吉林大學社會科學學報,2019(5):104-111+221.。

盡管實踐中不乏預防性個人信息保護公益訴訟的案例,但是“重大風險”判定標準的缺失使得風險防控模式的推廣遭遇著正當性危機,預防性公益訴訟的實踐運行舉步維艱。例如,廣東省江門市江海區(qū)人民檢察院督促整治保護個人信息安全行政公益訴訟案中,檢察機關(guān)組織公開聽證后認定,由于人臉數(shù)據(jù)、虹膜等生物信息無法更改,一旦泄露則終身泄露,物管公司均在未向行政主管部門申請并審核驗收的情況下,擅自安裝并投入使用“人臉信息識別”門禁系統(tǒng),該系統(tǒng)存在泄露眾多不特定公民個人信息的風險[36]。案件中,檢察機關(guān)主要通過訴前磋商、公開聽證及社情民意調(diào)查來判定個人信息公益是否處于“重大風險”的狀態(tài),但并未在法解釋層面建構(gòu)出規(guī)范且可復制的判定標準與操作指南,不利于風險防控模式的常態(tài)化、可視化運行。此外,司法機關(guān)也并未對危險與風險進行合理區(qū)分,檢察機關(guān)將“存在泄露眾多公民個人信息風險”直接解讀為“侵害了公共利益”,缺乏對風險與損害可能性因果關(guān)系的有效論證與妥善說理,也未對“一般風險”與“重大風險”作類型化區(qū)分[37]。究其根源,在缺乏預防性公益訴訟制度的情形下,將“風險呈現(xiàn)”與“公共利益受損”簡單勾連是實踐理性與便捷操作之所需。這或許可以在客觀上保護公共利益,但在法規(guī)范層面的正當性卻是欠缺的。誠如學者所言,當前立法并未將“公益有受到侵害的可能”作為公益訴訟的救濟范圍,實踐中直接將風險規(guī)制作為啟動預防性公益訴訟的前置條件,這無疑在法規(guī)范依據(jù)層面缺乏正當性[38]。

風險只是表述損害后續(xù)發(fā)生或呈現(xiàn)出的可能性,“風險”一詞本身就是較為模糊的概念。根據(jù)損害發(fā)生蓋然性的高低,可將其劃分為“危險、風險及剩余風險”(9)學界通常根據(jù)損害發(fā)生的蓋然性高低將風險分為“危險、風險和剩余風險”?！拔ｋU”是發(fā)生蓋然性最高的狀態(tài),個體通過直觀經(jīng)驗就可以對具有較高危害可能性作出判斷;“風險”發(fā)生的蓋然性較危險低但損害結(jié)果客觀上亦無法排除,“剩余風險”是指幾乎不可能發(fā)生的狀態(tài),可直接予以排除?！拔ｋU”和“風險”因其具有較高蓋然性而應作為預防性公益訴訟的“重大風險”范疇。參見:秦天寶,陸陽.從損害預防到風險應對:預防性環(huán)境公益訴訟的適用基準和發(fā)展方向[J].法律適用,2022(3):121-126.。然而,究竟哪種類型的“風險”需要司法的提前介入?《里約環(huán)境與發(fā)展宣言》第15條規(guī)定,針對“有可能造成嚴重的或不可挽回的損害”需要預防性司法的介入。據(jù)歐盟立法經(jīng)驗,在數(shù)據(jù)風險防控的進路中,GDPR強調(diào)以“數(shù)據(jù)處理行為的性質(zhì)、環(huán)境、目的和對公民的權(quán)利與自由帶來風險及損害的可能性與嚴重性”為標準,構(gòu)建了以預防為核心目標與全方位控制數(shù)據(jù)的治理模式[39]。投射到個人信息保護公益訴訟中,預防性公益訴訟的“重大風險”標準可以解讀為,加害行為將個人信息公益置于現(xiàn)實且緊迫的重大風險狀態(tài)時,不及時消除危險或排除妨害將會造成嚴重或不可挽回的損害結(jié)果。詳言之,第一,“嚴重性”主要體現(xiàn)在海量的信息操縱和數(shù)據(jù)泛濫干預公民的自由決策。除一般個體人為的個人信息濫用之外,算法、人工智能對公民個人信息的收集、整理、利用的力量也不容小覷,其很容易通過大數(shù)據(jù)甄別對個人選擇作出精準的信息定位與偏好推薦,大眾對個人信息的弱力掌控只能委屈地服從于大數(shù)據(jù)、算法的精準投遞。當海量的個人信息數(shù)據(jù)能夠輕易切入到不特定公民的生活世界與自由決策之中時,此時風險大小已經(jīng)十分接近特定閾值,其導致的個人信息風險有演變?yōu)楝F(xiàn)實損害的可能。對于“造成嚴重損害風險”的判斷標準,可以通過提煉司法實踐經(jīng)驗來制定相應的司法解釋,進而實現(xiàn)操作層面的精細化。對“嚴重性”的判斷標準,可以借鑒《最高人民法院、最高人民檢察院關(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》中對《中華人民共和國刑法》第253條規(guī)定的“情節(jié)嚴重”的類型化認定標準來展開。第二,“造成不可挽回損害之風險”是指損害的不可逆轉(zhuǎn)性,即行政機關(guān)怠于履職行為將造成個人信息公益難以挽回損失的情形。從個人信息分類保護原理來看,越是敏感且重要的個人信息,受侵害而呈現(xiàn)風險狀態(tài)的可能性越高[40]。在范圍廣泛的個人信息中,基因信息、面部特征、生物識別信息等私密信息或敏感信息具有不可匿名性與不可更改性,關(guān)乎更高層次的人格尊嚴[41],當此類敏感個人信息被非法處理且具有擴散至不特定群體的傾向時,公民的隱私等人格權(quán)益將遭受毀滅性侵害,可以認定為符合不可逆轉(zhuǎn)性的標準。

出于對理性設置“重大風險”判斷標準的考量,我們可嘗試將非法處理個人信息的行為類型、個人信息種類與數(shù)量作為具體參數(shù),據(jù)此綜合判定是否達到“重大風險”的閾值。非法提供、使用、公開不特定公民個人信息的行為通常會直接造成損害后果,其通過損害救濟模式處理即可。然而,非法收集、存儲、加工、傳輸不特定公民個人信息的行為發(fā)生于損害結(jié)果呈現(xiàn)之前,屬于制造個人信息公益風險的行為,對其應當予以風險化規(guī)制。在個人信息種類層面,如前文所述,敏感個人信息相較于一般個人信息更具有不可逆轉(zhuǎn)的特性,據(jù)個人信息分類保護原理的要求,應對敏感個人信息與一般個人信息區(qū)別對待。據(jù)此,筆者主張,“重大風險”的判定可將個人信息的行為類型、個人信息種類與非法處理個人信息數(shù)量作為具體參數(shù),采用“概括式規(guī)定+類型化列舉”的模式以增強司法實務的可操作性與制度的可適用性。預防性公益訴訟“重大風險”的適用范圍可由司法解釋具體規(guī)定,即具有以下情形之一的,可以提起預防性公益訴訟:(一)非法收集、存儲、加工、傳輸不特定公民一般個人信息(個人基本資料、個人教育工作信息等)一千條以上的;(二)非法收集、存儲、加工、傳輸不特定公民敏感個人信息(生物識別、宗教信仰、特定身份、金融賬戶、行蹤軌跡、未滿十四周歲未成年人的個人信息等)五百條以上的;(三)數(shù)量未達到第一項至第二項規(guī)定標準,但是按相應比例合計達到有關(guān)數(shù)量標準的;(四)其他具有重大風險的情形。

2.訴前程序的理性堅守

訴前程序是當前行政公益訴訟案件辦理的主要形式,過濾分流、節(jié)省司法資源的程序機能使得訴前程序的制度優(yōu)勢得以充分彰顯[42]。有學者主張,對于個人信息公益的保護,當前立法已明文規(guī)定了行政公益訴訟之外的糾紛化解方式(10)例如《個人信息保護法》第68條規(guī)定:“國家機關(guān)不履行本法規(guī)定的個人信息保護義務的,由其上級機關(guān)或者履行個人信息保護職責的部門責令改正;對直接負責的主管人員和其他直接責任人員依法給予處分。履行個人信息保護職責的部門的工作人員玩忽職守、濫用職權(quán)、徇私舞弊,尚不構(gòu)成犯罪的,依法給予處分?！?并且《個人信息保護法》第70條并未要求檢察機關(guān)需要履行公益訴訟的訴前程序,因此個人信息保護領(lǐng)域并不存在行政公益訴訟(11)主張個人信息保護領(lǐng)域并不存在行政公益訴訟的觀點,具體參見:張新寶,賴成宇.個人信息保護公益訴訟制度的理解與適用[J].國家檢察官學院學報,2021(5):55-74.。筆者認為,這種說法有失偏頗。其原因如下:第一,盡管《個人信息保護法》第68條規(guī)定了行政救濟方式,但這并不意味著司法救濟渠道就此被堵塞,秉承司法最終解決原則,剝奪檢察機關(guān)的公益訴權(quán)實屬不宜之舉。第二,從法理上看,檢察建議是連接事前司法監(jiān)督與事中訴訟參與的良性渠道。訴前程序是行政公益訴訟的法定前置程序,其在公益訴訟中具有獨立的價值意義與程序機能,從保持司法的謙抑性、尊重行政判斷權(quán)、節(jié)省訴訟資源、不同案件程序分流的角度來看,訴前程序缺位的立法格局不符合公益訴訟的程序法理。第三,盡管《個人信息保護法》第70條中并未明確規(guī)定需要履行訴前程序,這貌似與程序法的規(guī)定相沖突,然而從合目的性解釋與文義解釋的視角來看,第70條雖未指出檢察機關(guān)需要履行訴前程序,但亦并未直接否定訴前程序的適用?！缎姓V訟法》第25條第4款明確規(guī)定檢察機關(guān)提起行政公益訴訟之前,必須依法履行訴前程序。履行訴前程序是公益訴訟運行的基本原則,不能以實體法的規(guī)定來隨意解釋甚至否定程序法運行的基本規(guī)律與構(gòu)造原理。

此外,訴前程序在預防性公益訴訟之中具有天然的、合邏輯性的適用性,訴前階段檢察建議的引入無疑對個人信息公益損害具有“防患于未然”的功效。及時消解潛在風險是保障公益安定的必由之路,高效地治愈違法行政行為,救濟公益更是訴前程序制度設置的應有之義。與損害救濟型公益訴訟模式相比,預防性公益訴訟畢竟是在損害結(jié)果未出現(xiàn)之前就啟動的,其訴前程序的規(guī)則要求也應存在一定差異。預防性公益訴訟訴前程序中檢察建議的內(nèi)容應當是,對于存在個人信息公益侵害重大風險的情形,檢察機關(guān)應當督促行政機關(guān)采取措施阻卻危害結(jié)果發(fā)生,要求行政機關(guān)積極作為或停止已作出的行政行為。

值得注意的是,行政公益訴訟訴前程序本身呈現(xiàn)出行政色彩過濃的態(tài)勢,表現(xiàn)為單向性構(gòu)造,即是否向行政機關(guān)發(fā)出檢察建議是檢察機關(guān)的單向度判斷,而缺少給予其他當事人程序參與、陳述申辯的機會。特別是對于存在“個人信息公益損害重大風險”的情形,由于個人信息侵權(quán)具有較強的隱蔽性及技術(shù)性,檢察機關(guān)單向度的審查判斷恐怕難以保證其客觀性與妥當性。對此,訴前程序的適度司法化有利于化解這一難題,其遵循司法制度的運行邏輯與基本原理,能夠搭建起具有司法特性的訴前程序制度——對審聽證模式[43]。對審聽證模式強調(diào)當事人的程序參與,尊重當事人的陳述申辯,強化檢察建議的說理性與嚴謹性,有助于檢察機關(guān)在預防性訴訟中作出客觀、中立的判斷。申言之,檢察機關(guān)調(diào)查取證后,由未參與證據(jù)調(diào)查的其他檢察人員擔任聽證主持人,調(diào)查取證的檢察人員作為一方當事人、個人信息監(jiān)管機關(guān)作為另一方當事人而組成對審聽證結(jié)構(gòu)。兩造當事人圍繞個人信息監(jiān)管機關(guān)是否存在違法行政行為、違法行為是否誘發(fā)個人信息公益受損的重大風險展開舉證質(zhì)證,繼而判斷是否應當提出檢察建議。此外,為了提升“重大風險”標準的實用性、順應預防性公益訴訟啟動的要件化趨勢,可以嘗試在訴前程序中引入磋商機制,即于訴前程序中,個人信息監(jiān)管機關(guān)與檢察機關(guān)就行政行為的合法性、公共利益受侵害的可能性風險與嚴重性程度交換意見、協(xié)作溝通[44]。磋商機制可以作為訴前程序的配套措施,對檢察建議予以充實,在司法實務中據(jù)實際情形與訴前聽證模式靈活搭配。例如,實踐中便出現(xiàn)過“訴前磋商+公開聽證+檢察建議”模式[45],據(jù)此既能彰顯司法權(quán)對行政權(quán)的信賴與尊重,又能督促個人信息監(jiān)管機關(guān)依法履職,為行政權(quán)自我糾錯留出合理空間。

3.證據(jù)證明的科學配置

在舉證責任分配維度,由于實際侵害結(jié)果并未呈現(xiàn)出來,雙方當事人都不具有公共利益受侵害的實際證據(jù),繼而預防性公益訴訟案件在證據(jù)認定與證明評價等方面具有缺失性、不充分性的特征。預防性行政公益訴訟中,應當綜合權(quán)衡“誰主張誰舉證”和“舉證責任倒置”的分配規(guī)則[46]。檢察機關(guān)和行政機關(guān)對不確定風險的對抗判定與舉證責任的分配,需結(jié)合對審雙方的舉證能力、距離證據(jù)遠近等要素來展開。由于個人信息侵權(quán)涉及數(shù)據(jù)專業(yè)性與信息科技性,證據(jù)基本都由個人信息處理者掌握,信息處理者顯著的技術(shù)優(yōu)勢及證據(jù)偏在加劇了原告的舉證難度。數(shù)據(jù)收集者與處理者手握先進的信息科學技術(shù),旁人難以判斷其是否采取了加密技術(shù)或是否存在技術(shù)上的過錯[47]。與檢察機關(guān)相比,個人信息監(jiān)管機關(guān)作為監(jiān)督者,距離證據(jù)更近。由檢察機關(guān)承擔較低的舉證責任更有利于兼顧當事人平等對抗原則與個人信息公益保護原則,即在預防性公益訴訟中,檢察機關(guān)承擔初步舉證責任,提出存在重大風險的初步證據(jù)即可。鑒于侵害結(jié)果還未實際表征出來,當事人無法掌握公共利益受侵害的具體證據(jù),繼而檢察機關(guān)起訴之時,不用提交關(guān)于個人信息公益受侵害的事實證明材料,只需要提交正在發(fā)生或?qū)⒁尸F(xiàn)侵害狀態(tài)的書面描述材料即可。若有個人信息領(lǐng)域的專家論證材料,亦可以在起訴時一并提交,但這并非是預防性公益訴訟啟動的硬性條件[48]。被告則需對行政行為的合法性予以證明,由個人信息監(jiān)管機關(guān)證明其行政行為不會導致個人信息公益產(chǎn)生嚴重的損害風險或?qū)е虏豢赏旎氐膿p失,或者證明重大風險與個人信息監(jiān)管機關(guān)的行為之間不存在因果關(guān)系。概言之,由行政機關(guān)承擔結(jié)果意義層面的證明責任更為妥當,而原告承擔行為意義層面的證明責任便可。

在證明標準維度,重大風險的證成需要借助最低限度的證據(jù)作為支撐,具有“足夠”的證據(jù)是風險預防原則啟動的基本要求。適用風險預防原則不能僅僅停留在假設與推定的層面,還需適當借助模型選擇、控制變量等評估手段來展開[49]。判斷風險的證據(jù)的證明力大小是“重大風險”標準實施的具體化程序,學界對此的觀點主要有:第一,不確定性是風險防控的前提,但是此種不確定性需要適度限縮,當有證據(jù)證明可以基本鎖定危害,而僅有因果關(guān)系無法直接確定的情形下,采取預防措施是有必要的;第二,對應當實施風險干預的情形未作嚴格的限定或限定條件較為寬松時,要求如果有損害產(chǎn)生的可能性便可以進行風險預防[50]。兩種觀點的共同點在于,其對證據(jù)證明力度的要求明顯低于傳統(tǒng)訴訟法中關(guān)于排除危險的高度蓋然性標準,僅需要達到梳明或蓋然性占優(yōu)勢的證明標準即可。

結(jié) 語

數(shù)字技術(shù)的興盛強化了信息流通、信息共享,卻也增加了個人信息“公共價值”遭受消解[51]與“集體利益”受到侵害的可能性。大數(shù)據(jù)時代的風險社會中,個人信息數(shù)據(jù)流通廣泛,不穩(wěn)定因素繁多,無疑加劇了個人信息安全的風險性與數(shù)據(jù)流動的分散性。個人信息受侵害的風險不僅包括現(xiàn)實的、可視化的風險,還包括難以預測的、潛在的風險。個人信息處理者作為大數(shù)據(jù)、云計算等信息技術(shù)的掌控者,通過技術(shù)手段對公民的網(wǎng)絡信息痕跡、瀏覽記錄等個人信息交互驗證后,識別特定主體身份的概率大幅度增強,其通過積極作為或不作為的方式侵害不特定公民個人信息權(quán)益的潛在風險也相應增加。為應對個人信息公益遭受侵害的風險,風險防控模式應當有所作為。

事后的損害救濟模式與事前的風險防控模式是個人信息保護公益訴訟的二元劃分。單一化的損害救濟模式僅僅是公益救濟的“次優(yōu)化安排”,無法實現(xiàn)個人信息公益的全面保護,兼顧兩種模式是實現(xiàn)個人信息公益訴訟制度體系性建構(gòu)的必經(jīng)之路。通觀立法規(guī)范與司法實踐,損害救濟模式的制度規(guī)范與實踐運行已經(jīng)較為成熟,相對而言,風險防控模式的程序構(gòu)造與理論指導則極為稚嫩。個人信息保護公益訴訟的制度目標絕不能僅限于淺層次的事后補救,聚焦于事前的風險防控對于個人信息公益的保護更具有必要性和緊迫性。為合理解放數(shù)據(jù)的流動性,有效預防個人信息風險,及時制止個人信息公益損害,我們有必要結(jié)合個人信息公共利益的不可逆性與不安定性等特征來理性反思個人信息保護公益訴訟的程序構(gòu)造,即在平衡合理利用個人信息與有效保護公益二者關(guān)系的前提下,對個人信息保護公益訴訟進行“風險化改造”,以妥當適應個人信息公益訴訟制度體系化發(fā)展的需求。