张陈果 | 个人信息保护救济机制的比较法分析与解释论展开
///
作者简介
张陈果,上海交通大学法学院副教授,德国法兰克福大学法学博士。
引言
一、个人信息保护法救济规则框架概览
二、比较法视角的考察
(一)布鲁塞尔模式:全局型强保护
如果说美国对数据隐私的保护是理解为自由,则欧盟对隐私保护更强调人的尊严。《通用数据保护条例》(General Data Protection Regulation,简称GDPR)的一个重要立法目标是加强数据权利程序性保护、统一各国执行救济层面原本参差不齐的实践,后者一度造成经营者投机选定营业地的弊病,饱受学界批评。加强监管、企业自律和集体诉讼的“多维并进的程序救济”在欧盟新一轮改革中共同塑造了“布鲁塞尔模式”的特征。这里单论布鲁塞尔模式的此种特点,逻辑上统摄下文论及单个的欧盟国家及受到布鲁塞尔模式辐射的其他大陆法系国家。分别论述欧盟国家特点时,则聚焦各国在布鲁塞尔模式之外各自最新一轮改革的重点与亮点。
(二)德国、瑞典、荷兰的程序机制发展
集体诉讼方面,德国《不作为之诉法》从几个方面规定了集体诉讼。第一类,是针对滥用一般交易条款(allgemeine Geschftsbedingungen-AGB)的经营者,可以提起团体诉讼。例如,格式合同(电信、信用卡、网络服务等行业)中大规模反复使用的一般交易条款有违法或不当情形的,可以提起团体诉讼。当经营者在合同中使用不当的一般交易条款时,团体可以诉请其排除妨碍、停止侵权、撇去不法收益。第二类,违反电子商务、线上服务等新兴领域中各类保护消费者单行法的,可以对责任人提起团体诉讼。第三类,《反不正当竞争法》第13条规定的经营者、经营者团体、工商业联合会、消费者协会等适格团体,对违反该法第3条、第7条,进行不正当竞争、损害消费者权益的,可以提起团体诉讼。
(三)日本个人信息保护机制协同化改革
日本区分民间个人信息处理者和政府部门机构作为个人信息处理者,并分别进行立法。前者规定在《个人信息保护法》中,后者规定在《行政机关个人信息保护法》和《独立行政法人个人信息保护法》中。两者监管机制不同。2015年日本修改《个人信息保护法》体现了“协同化”的特征。这种协同化改革,体现在数据行政监管主体的简化统一,也包括救济层面非诉纠纷解决层次的丰富。行政监管上,将原本归属于各领域分管的各主务大臣的数据监督权收回并予以“一元化”——设立个人信息保护委员会,统一对数据企业行使监督权。具体职能包括制定相关政策、国际合作、监管与监督、投诉处理等。日本《个人信息保护法》规定,个人信息保护委员会对于个人信息处理者违反该法的行为,认为有必要时,可以劝告或命令其中止该行为,或直接采取必要措施予以纠正。个人信息保护委员会认为有必要对企业进行劝诫或命令时,可以要求该企业数据顾问提交报告或进入企业内部现场指导。为了确保对消费者权益保护的有效性,新修订的《个人信息保护法》以企业自身采取措施尽早处理数据法相关矛盾为基础,引入了(经认证的)个人信息保护团体、地方公共团体为主体的多层次投诉处理机制,从而形成了三阶投诉处理机制,即:企业处理投诉—个人信息保护团体处理投诉—地方公共团体介入投诉。首先,新法明确规定:企业有义务勤勉且迅速地处理信息主体的投诉。为了履行这些责任,企业应设置接受投诉的窗口,制定投诉处理流程等。其次,新法确定(经认证的)个人信息保护团体也处理投诉,作为对各企业投诉处理机制的补充。个人信息保护团体须以中立立场迅速处理信息主体本人和其他相关人员的投诉。再次,地方公共团体是处理投诉的协调者,前述机制失效时,其作为跨领域的投诉处理主体,发挥协调、建议、指导等功能。为方便其展开工作,此种地方公共团体可以将既有的消费者保护中心和消费者咨询窗口作为信息主体投诉窗口,协调各部门开展实效性合作。另外,新法规定应通过互联网适时公布上述与投诉相关的信息,以促成信息公开、政务透明,保证公众的知情权与监督权。
三、比较法资源对我国现有规范解释的
借鉴意义
(一)个人信息保护公益诉讼的主体制度
依照《个信法》第70条结合《民事诉讼法》第55条,我国确立了专门的个人信息保护公益诉讼,在既有的环境资源保护、消费者保护、国有资产保护和烈士名誉保护等公益诉讼领域之外,开辟专门的公益诉讼种类。
按照《个信法》第70条规定,检察机关、法律规定的消费者组织和国家网信部门确立的有关组织可以提起个人信息保护公益诉讼。该条从文义解释来看,有几层意思:第一,个人信息保护上法定的典型救济机制公益诉讼,这与传统上民事权益救济的个体民事诉讼形成对比。第二,公益诉讼诉权主体的顺位不同于《民事诉讼法》第55条。依照民事诉讼法的规定,法律规定的机关和有关组织可以提起公益诉讼,人民检察院在没有上述机关和组织或者上述机关和组织不提起诉讼的情况下,也可以提起公益诉讼。而个人信息保护公益诉讼的诉讼主体是检察机关—消费者组织—有关组织。第三,国家网信部门不仅是个人信息保护行政监管的综合执法部门,而且还将是公益诉讼社会力量准入口径的划定人,应考虑包括专门以个人信息保护为目的而成立的组织、行业组织、法律规定的消费者组织之外的其他消费者保护组织、第三方机构等。
这一门槛条件的划定,对个人信息保护的政策制定和后续相关立法都殊为重要。作为个人信息保护公益诉讼的制度杠杆,门槛条件如果划定不当,个人信息保护公益诉讼很可能陷入既有的公益诉讼制度在我国运行中已经遭遇的困境——制度利用率如果持续低下,那么程序框架一经建构恐怕就会沦为一纸具文。门槛条件将决定“有关组织”提起公益诉讼的制度使用率,以及以检察机关为代表的国家力量和以组织、协会、团体为代表的社会力量在制度启用阶段的力量组合。根据上述欧盟、德国的经验来看,通常要求此类组织存续有一定时间、有一定的成员、专事信息保护类工作或业务、登记手续完整等。为了激励“有关组织”起诉,考虑在实定法上降低这类组织获得诉权的门槛条件,但为了筛选和控制这些团体的设立目的与活动范围,监管个人信息保护的职能部门应勤勉地对其资质予以统计和公布。这一名单应每年更新,且向法院和相关部门定向公布,以此节约成本、降低相关公益诉讼中对原告资质审查的难度,缩减审查所需的时间。
个人信息保护公益诉讼在我国实践中最早是由检察机关提起的。诉权主体位阶上,《民事诉讼法》第55条第1款规定的公益诉讼主体是机关和有关组织;第2款才规定检察机关在履行职务的过程中可以提起公益诉讼,体现立法时将检察院公益诉讼担当在整个救济体系中放置于补充、保障与兜底的位置。《个信法》第70条规定的公益诉讼主体层阶则体现其倚重检察机关起诉,同时明确将有关组织的诉权门槛的具体标准交由网信部予以调整。可见,《个信法》规定的公益诉讼诉权主体顺位不同于《民事诉讼法》第55条。个人信息保护公益诉讼的主体制度体现了由上至下、由检察机关引领、其次由有资质的组织起诉的力量组合。根据《个信法》第70条,其诉权主体顺位是检察机关—消费者组织—有关组织。这表明:其一,检察机关作为个人信息保护公益诉讼的第一主体,是立法者经过三审、反复讨论并最终决定的制度安排。这体现在《个信法》第70条的条文前后几稿反复修改却始终将检察机关置于诉权主体的首位——这是从文义解释和历史解释的角度来分析。其二,可以预见,消费者组织开展个人信息公益诉讼在短时间内可能存在不太积极的现象,而国家网信部门划定其他有诉权的组织的门槛条件并将名单落实也需要时间,相关的配套制度也需要时间来酝酿。在这个阶段,个人信息保护的司法落地又因各地涌现相关案例而变得较为迫切,因此由检察机关对相关公益诉讼起一个引领的作用是有必要的。检察机关本来就是最先开展这一新型公益诉讼实践的主体,在组织架构、人力物力保障、动机纯化等各个角度考虑都没有比检察机关更合适的第一顺位主体。其三,检察机关与其他主体提起公益诉讼和展开工作之间不是对立的,检察机关在个人信息保护领域应发挥自己的优势,托举和支持有关“组织”开展相关公益诉讼。
《个信法》草案第一稿和第二稿将“职能部门”提起公益诉讼的顺位置于检察机关提起公益诉讼之后,“有关组织”提起的公益诉讼之前。而《个信法》正式文本删除了“职能部门”。这是考虑到在我国目前职能部门充当个人信息保护公益诉讼的主体缺乏现实可能性。例如,我国在个人信息保护相关立法与政策制定以及制度执行各方面,国家网信部门最具统筹力。《民事诉讼法》第55条虽然规定民事公益诉讼可以由行政机关提起,但实践中行政机关几乎不起诉,而是通过罚款、没收违法所得等措施对个人信息处理人进行监管。行政机关超出本身行政权力诉诸司法程序去充当公益诉讼原告需要更强理由。而行政机关针对其他行政机关、职能部门或有关组织提起个人信息保护公益诉讼的概率则更小,这和我国行政权力分配与运行的整体结构及其相互关系的体系逻辑有关。
(二)有关组织提起相关公益诉讼的激励机制
有关组织提起公益诉讼的激励机制问题直接与其诉讼动力有关。与之紧密相关也是颇有争议的一个问题是应否确立个人信息保护公益诉讼的损害赔偿请求权。民事诉讼法学学者对既有的公益诉讼损害赔偿持谨慎态度。由于个人信息泄露或滥用产生显著、直接的物质性损害(例如盗刷信用卡)是少数情况,多数情况下“损害”体现为外部风险和内部焦虑等非物质性损害,其可以引起间接的非物质性损害,往往是一种推定的、不显著的损害。既有的司法实践对此分两种情形:一种大抵因为损害无法确认(原告无法举证证明实际损失)而驳回损害赔偿请求权;另一种则倾向于支持原告因个人信息权益损害提出的补偿请求权。
(三)多维并进的程序救济
此外,“多维并进的程序救济”也应配套多维并进的程序法建构。个人信息侵害极易涉及不特定多数人的权益,按照侵害行为及其影响范围和造成损害大小的不同,救济渠道也有多个维度,应当包括投诉、调解、协商、诉讼。侵害个人信息可以提起个体诉讼,但制度建构应以公益诉讼等集体救济模式为主导,这一点在大陆法系国家存在共识,我国《个信法》也已采纳。未来与此相关的立法在如下领域还需完成配套机制的设计,并在实践中不断实现对规范的反哺与完善:一是可以参看上述比较法(例如日本)经验,发展与完善个人信息保护组织残余的诉讼外纠纷解决的规范。迄今《个信法》仅在第62条、第65条规定了履行个人信息保护职能的公权部门可以并应当及时处理信息主体投诉。但受理投诉主体多元化、投诉制度体系建设和主体间衔接制度上可以借鉴日本经验。“经营者受理投诉—个人信息集体保护组织或消费者组织处理投诉—职能部门处理投诉”的三阶投诉机制,以便充分利用经营者内部资源和社会力量联动化解不满,也有利于诉调对接中的信息咨询调取。根据《个信法》第70条,国家网信部门规定的个人信息集体保护组织和法律规定的消费者组织可以提起公益诉讼。应当认为,将受理信息主体投诉作为其日常工作内容并计入章程且勤勉履行,是其获得公益诉讼诉权主体资格的前提条件。相关组织受理投诉后,应视情况对信息处理人和信息主体之间的纠纷居中调解,必要时提起公益诉讼。根据《个信法》第70条,国家检察机关充当三阶投诉机制的协调者与监督者,符合检察机关的机构定位,也符合个人信息保护法的规范意涵。检察机关认为有必要提起个人信息保护公益诉讼的,可以起诉,也可以支持前述组织提起公益诉讼。瑞典、荷兰的集体调解制度,可以在公益诉讼前置程序和结案阶段程序设计的环节上予以借鉴。
四、结语
上文分析显示,各国为增进个人信息保护对权益救济机制的最新一轮改革各有倚重。这种差异大抵因各国对个人信息保护问题切入的视角不同,各自制度落地的协调机制有别以及诉讼法理念传承与制度细节也各不相同。如何从各国制度资源择取最适合我国的比较法“营养”,不是简单的“拿来”或者“比附”即可。有以下两点应加以考虑:其一,未来需从量化实证研究资料中获得制度分析更为生动与可靠的语境。其二,吸收比较法营养,应在该制度的具体语境中分析其运行之实效及弊端,以动态视角考察比较法资源之可取程度。应虑及各国立法动态和司法实践本身也处在变动和发展之中,且每个改革举措都与其特定制度历史和实践息息相关,因此比较法研究也应动态地、具体地、全方位地进行考察。欧盟和德国都倚重团体诉讼作为信息主体及其利益代表维护自身权益的程序救济机制,而我国的公益诉讼等群体权益保护制度与德国法有相当的亲缘性,因此布鲁塞尔模式和德国的改革经验在比对中德、中欧制度历史亲缘性的基础上富有启发意义。个人信息保护公益诉讼应当附条件地确立损害赔偿请求权,并在吸收比较法营养和立足我国具体语境的前提下,以防控道德风险为前瞻,以促进起诉为目的,通过法定赔偿制度、证明责任倒置和相关的证据规则、完善登记与公告制度来解决损害赔偿难以计算和分配的难题。应致力于打开相关公益诉讼的实践闸口,通过法律续造逐渐发展个人信息保护的诉讼规则,进而反哺实体法的解释、适用与整合。
责任编辑:吴 俊
图文编辑:杨巽迪
审核:李中原
本文刊于《苏州大学学报(法学版)》2021年第4期“《个人信息保护法》专题研究”,第77—86页。为阅读方便,此处删去原文注释,如有媒体或其他机构转载,请注明文章出处。
”
苏州大学学报
哲社版
苏州大学学报
教科版
苏州大学学报
法学版
最新评论
推荐文章
作者最新文章
你可能感兴趣的文章
Copyright Disclaimer: The copyright of contents (including texts, images, videos and audios) posted above belong to the User who shared or the third-party website which the User shared from. If you found your copyright have been infringed, please send a DMCA takedown notice to [email protected]. For more detail of the source, please click on the button "Read Original Post" below. For other communications, please send to [email protected].
版权声明:以上内容为用户推荐收藏至CareerEngine平台,其内容(含文字、图片、视频、音频等)及知识版权均属用户或用户转发自的第三方网站,如涉嫌侵权,请通知[email protected]进行信息删除。如需查看信息来源,请点击“查看原文”。如需洽谈其它事宜,请联系[email protected]。
版权声明:以上内容为用户推荐收藏至CareerEngine平台,其内容(含文字、图片、视频、音频等)及知识版权均属用户或用户转发自的第三方网站,如涉嫌侵权,请通知[email protected]进行信息删除。如需查看信息来源,请点击“查看原文”。如需洽谈其它事宜,请联系[email protected]。