///
作者简介
张陈果,上海交通大学法学院副教授,德国法兰克福大学法学博士。

内容摘要:为实现“主体性弱化”的个人信息之有效保护,有必要细化我国《个人信息保护法》上三种救济机制“投诉—个体诉讼—集体诉讼”较为粗疏的规定,吸取比较法营养服务于我国规范的解释适用。欧盟布鲁塞尔模式形成“行政监管—行业自律—集体诉讼”相互支持与补充的三阶模式。日本个人信息保护机制协同化改革体现对投诉、质询、调解等非诉纠纷解决程序机制的倚重。为填补损害、激励起诉,《个人信息保护法》第69条规定的损害赔偿请求应区分情形在个人信息保护公益诉讼中予以应用。应建立三阶投诉处理机制并发挥《个人信息保护法》第70条规定的社会组织在投诉程序和调解程序以及诉调对接中的功能,并建设多维并进的程序救济机制。
关键词:个人信息保护;救济;非诉纠纷解决;集体诉讼
DOI:10.19563/j.cnki.sdfx.2021.04.007
引言
《个人信息保护法》(以下简称《个信法》)已于2021年8月正式审议通过。《个信法》颁布是我国数字时代保护公民个人信息权益的划时代宣言,其重大意义不言而喻。《个信法》颁布的前十年,我国电信媒体和相关机构对个人信息保护的规定逐步形成了基本框架,不可谓无法可循,然而大数据杀熟、平台对个人信息过度收集、滥用、买卖、网络个人隐私泄露等公共事件却不断见诸报端,显示相关领域权益保护现状堪忧。2019年中国电信用户信息倒卖案、2020年新浪微博用户个人信息泄露案、2021年腾讯诉抖音违规获取用户个人信息案等案件让社会逐渐认识到,如不能有效地落实程序法救济,个人信息保护将如同空中楼阁,数据黑产业链将继续肆虐,公民的生命财产安全将毫无保障,数字人权将成为泡影。另一方面,经营者、研发者对个人信息资源利用的合理需求也因制度保障不明确而无法满足。法律的正义不能止于规范本身,只有当其得到有效的适用与解释时才能获得生命。个人信息保护法的权益救济规则是该部法律能否落地生根并发挥实效的关键所在,迄今却鲜有讨论,因此这一议题值得法学研究予以认真对待。本文致力于此。在概述我国个人信息法相关的权益救济机制框架(第一部分)的基础上,厘定相关规范解释适用需要参看和学习比较法资源的空间,以此为基础考察大陆法系代表性个人信息保护程序救济机制的新一轮改革重点(第二部分),进而以解释论视角回归到我国相关公益诉讼制度发展的几个问题(第三部分),最后结论与展望(第四部分)。
一、个人信息保护法救济规则框架概览
《个信法》第七章规定了行政机关和司法部门对违反个人信息保护法的个人信息处理人予以追责、对受侵害的个人信息主体权益予以救济的程序规则体系。第七章“法律责任”共六个条文,基本保留草案两稿的框架和内容,其中两个条文规定了民事救济,第69条规定了损害赔偿民事责任,第70条规定了个人信息保护公益诉讼。
上述权利救济制度聚焦个人信息的司法保护,以保障实体规范的施行。我们知道,个人信息保护落地的规范框架依托监管、行业自律和司法保护三种机制,各自对应着数据活动相关的三类“主体”:一是政府机构职能部门以“看不见的手”进行监管;二是信息处理人(经营者)“自律”;三是信息主体及其代表自己起诉。个人信息的司法保护可以分为个体保护和集体保护两种路径。侵害个人信息本身严重到造成自然人名誉权、隐私权和其他人身权益蒙受损害的,自然人个体可以按照《个信法》第62条、第65条向个人信息保护职能部门投诉,并可以就相关争议向法院提起个体民事诉讼,请求信息处理人承担损害赔偿责任。这是个人信息个体保护的规范意涵。不过判决文书实证研究显示,个人信息相关的个体民事诉讼多年来非常罕见,存在诉讼动力不足、获赔率极低的问题。个人信息权益本身的特性决定:要实现此种权益的有效救济,则制度建构应以集体保护模式为主导。
自动化处理、大数据时代的个人信息呈现“主体性弱化”的典型特征。首先,个人信息极易遭受大规模微小损害。对每个个体而言,这一损害如此微小,使得任何一个权利主体都因理性的不关心而“懒得”诉诸侵权法上的个体诉讼。例如,自然人电话号码等孤立的个人信息经济价值有限,但大量个人信息组成的庞大数据集合却有如数字世界的石油,是巨大的商业资源。自然人的手机号码被地下数据黑产链贩售导致电话骚扰频仍,即使无涉电话诈骗也没有财产损失,骚扰本身即构成一种程度轻微但总量可观的侵害;数据处理人由此获得的不当利益也可能数额巨大。让那些受电话骚扰的个体去投诉甚至提起民事侵权诉讼,不仅不切实际,而且强人所难,因为民事个体连个人信息被谁泄露的都可能无从知晓。但如果缺乏恰当的救济,则众多个体蒙受不利、行为人不当获利的不公结果有违正义,而且这一局面一旦形成,对数字经济的社会治理也有破坏作用。
其次,“主体性弱化”的群体性权益似乎与治安、环保等典型的公共利益十分相似,救济渠道似乎也有共通性,但两者却有显著区别。一方面,个人信息群体性权益有时难以归于某个民事个体的排他性控制之下(例如电商平台收集的可以识别众多自然人的海量交易信息),但仍旧和大量的自然人紧密相联。即使这种关联单独来看十分微小,但一旦被滥用,对其主体的侵害却可能造成严重后果。例如,病史、基因信息等敏感型个人信息在网络上被泄露和滥用,可能在短时间内极广的空间范围内对大量信息主体造成损害,无论这些主体身在何处。而一般的环境损害则难以达到这种散播程度。另一方面,相较于环境、治安等公共利益而言,个人信息具有更强的“多栖性”和“外部性”。网络平台、电信运营商和物流等多个信息处理人在提供服务的同时也在平行地多头获取终端的海量的用户个人信息。多栖性特点意味着个人信息保护的责任主体也有多重性。他们使用个人信息的目的和方式不同,其相应的义务类型和责任程度也就不同。与此紧密相关的另一特点是:个人信息具有很强的外部性(externality)。一旦脱离主体被收集使用,它就远离主体控制,迅速扩散至虚拟网络、延伸到现实社会并造成广泛影响。
基于上述特点,确定散播型权益的侵权责任,在理论和实践中都殊为不易。侵权法保护的是具有排他性的私权利(控制),而大数据语境下的“个人信息权益”本身存在“主体性弱化”的典型特征,使其难以满足传统侵权法上“法益的确定性”要求(Bestimmtheit des Rechtsgutes)。如按照“消极定义”法,散播型群体权益既不是个体权益的简单相加,也不是诸如国防、外交一类的公共利益,而是介于两者之间。考虑到此种权益主体弱化特征,要实现其有效保护,现有规范的三种机制“投诉—个体诉讼—集体诉讼”的规定较为粗疏,仍需在考察个人信息权益特性的基础上吸取比较法营养,再从解释学视角细化规则以便解释适用。
二、比较法视角的考察
(一)布鲁塞尔模式:全局型强保护
如果说美国对数据隐私的保护是理解为自由,则欧盟对隐私保护更强调人的尊严。《通用数据保护条例》(General Data Protection Regulation,简称GDPR)的一个重要立法目标是加强数据权利程序性保护、统一各国执行救济层面原本参差不齐的实践,后者一度造成经营者投机选定营业地的弊病,饱受学界批评。加强监管、企业自律和集体诉讼的“多维并进的程序救济”在欧盟新一轮改革中共同塑造了“布鲁塞尔模式”的特征。这里单论布鲁塞尔模式的此种特点,逻辑上统摄下文论及单个的欧盟国家及受到布鲁塞尔模式辐射的其他大陆法系国家。分别论述欧盟国家特点时,则聚焦各国在布鲁塞尔模式之外各自最新一轮改革的重点与亮点。
行业自律方面,GPPR引入的行业认证、自愿认证等措施以软法形式从中间产生减震效应,既有利于信息主体有意识地对数据合规方面着力较多的企业进行辨别与筛选,也有利于行政监管有的放矢,在集体诉讼中还可能提供证据资料来源。正如食品原料与安全生产等相关信息对一般消费者而言属于信息不对称的范畴一样,技术精进和算法日新造成信息处理人与信息主体两端能力的严重失衡——个人信息收集与处理的方法、范围和程度,对广大信息主体而言越来越瞬息万变,无从知晓。基于自愿原则,企业在数据合规、遵守个人信息保护方面做到尽责的,可以依照GDPR第42条第3款接受行业认证,并在产品上标识个人信息保护合规的封印。标识封印的产品和经营者并不因此而豁免遵守个人信息保护法律法规的实体法义务,但依法获得数据合规认证标识的企业,公众可以推定其数据行为合法合规。数据合规认证标志具有社会公信力。被授权标识此种封印的第三方中立机构依照专门程序和标准对企业按期进行检测和认证,德国此类实践的成功经验例如企业资格认证机关TÜV,在全德甚至全球范围内认可度都极高。TÜV封印甚至成为一种资质商标。此种认证机关的资质须经专门的信用机构依照数据监管机关拟定的专门标准予以审批。
GDPR对诉讼救济方面的制度框架可以视为个人信息保护程序法的一次划时代改革。GDPR第80条为个人数据保护的群体性救济预留了原则性条款。数据主体认为数据控制人、数据处理人使用其个人信息侵犯其合法权益的,各成员国的法律承认的有资格的团体可以对数据处理人和控制人提起诉讼。这类团体须是非营利性的,要以维护公共利益为目标,且在保护个人信息领域较为活跃。他们提起诉讼,代为行使信息主体第77、78、79和82条规定的权利。其中GDPR第82条规定了这类团体根据成员国法律代为请求损害赔偿的权利。GDPR第78条规定了信息主体向监管机构提起申诉、后者不予受理或者三个月内不予答复(行政不作为)时,前者可以行使向法院提起行政诉讼的权利。第79条规定了数据主体可以行使对数据控制人和数据处理人(经营者)直接提起民事诉讼的权利。
(二)德国、瑞典、荷兰的程序机制发展
集体诉讼方面,德国《不作为之诉法》从几个方面规定了集体诉讼。第一类,是针对滥用一般交易条款(allgemeine Geschftsbedingungen-AGB)的经营者,可以提起团体诉讼。例如,格式合同(电信、信用卡、网络服务等行业)中大规模反复使用的一般交易条款有违法或不当情形的,可以提起团体诉讼。当经营者在合同中使用不当的一般交易条款时,团体可以诉请其排除妨碍、停止侵权、撇去不法收益。第二类,违反电子商务、线上服务等新兴领域中各类保护消费者单行法的,可以对责任人提起团体诉讼。第三类,《反不正当竞争法》第13条规定的经营者、经营者团体、工商业联合会、消费者协会等适格团体,对违反该法第3条、第7条,进行不正当竞争、损害消费者权益的,可以提起团体诉讼。
瑞典和荷兰此轮的改革努力集中在群体性纠纷解决机制的调整。两国专门就数据权益的集体保护规定了群体调解的非诉程序(Gruppenvergleichsverfahren)。此外值得关注的是瑞士法律对防御型请求权和补偿型请求权的区别规定:数据处理行为侵害数据主体权益的,对于数据主体的防御型请求权(例如删除和更改数据的请求),个人数据保护团体可以不经单个数据主体的授权直接向法院提起团体诉讼。但提起损害赔偿请求权的,团体须经数据主体的专门授权。瑞士数据权益集体救济的立法《瑞士个人数据保护法》(DSG)第34条第3款规定:“确立一个或多个全国或者地方性组织,其章程规定和具体活动都须致力于数据保护,代表数据主体进行诉讼”。这一代表数据主体进行团体诉讼的组织,既可以是专门的公权职能部门,也可以是保护个人信息的团体;既可以提起GDPR第78条规定的行政诉讼,也可以提起GDPR第79条规定的民事诉讼。
(三)日本个人信息保护机制协同化改革
日本区分民间个人信息处理者和政府部门机构作为个人信息处理者,并分别进行立法。前者规定在《个人信息保护法》中,后者规定在《行政机关个人信息保护法》和《独立行政法人个人信息保护法》中。两者监管机制不同。2015年日本修改《个人信息保护法》体现了“协同化”的特征。这种协同化改革,体现在数据行政监管主体的简化统一,也包括救济层面非诉纠纷解决层次的丰富。行政监管上,将原本归属于各领域分管的各主务大臣的数据监督权收回并予以“一元化”——设立个人信息保护委员会,统一对数据企业行使监督权。具体职能包括制定相关政策、国际合作、监管与监督、投诉处理等。日本《个人信息保护法》规定,个人信息保护委员会对于个人信息处理者违反该法的行为,认为有必要时,可以劝告或命令其中止该行为,或直接采取必要措施予以纠正。个人信息保护委员会认为有必要对企业进行劝诫或命令时,可以要求该企业数据顾问提交报告或进入企业内部现场指导。为了确保对消费者权益保护的有效性,新修订的《个人信息保护法》以企业自身采取措施尽早处理数据法相关矛盾为基础,引入了(经认证的)个人信息保护团体、地方公共团体为主体的多层次投诉处理机制,从而形成了三阶投诉处理机制,即:企业处理投诉—个人信息保护团体处理投诉—地方公共团体介入投诉。首先,新法明确规定:企业有义务勤勉且迅速地处理信息主体的投诉。为了履行这些责任,企业应设置接受投诉的窗口,制定投诉处理流程等。其次,新法确定(经认证的)个人信息保护团体也处理投诉,作为对各企业投诉处理机制的补充。个人信息保护团体须以中立立场迅速处理信息主体本人和其他相关人员的投诉。再次,地方公共团体是处理投诉的协调者,前述机制失效时,其作为跨领域的投诉处理主体,发挥协调、建议、指导等功能。为方便其展开工作,此种地方公共团体可以将既有的消费者保护中心和消费者咨询窗口作为信息主体投诉窗口,协调各部门开展实效性合作。另外,新法规定应通过互联网适时公布上述与投诉相关的信息,以促成信息公开、政务透明,保证公众的知情权与监督权。
投诉处理机制的精细化可以视为日本个人信息保护救济程序机制方面的最新进展。不过,日本此轮改革并未涉及相关集体诉讼制度的调整。与德国的团体诉讼在个人信息保护开拓适用领域的立法不同,日本采取了相对保守和单一的路径来解决相关纠纷。日本《个人信息保护法》第34条规定可以依据该法第28条第1款、第29条第1款或者第30条第1款、第3款或第5款的规定提起诉讼。但有一个前置程序,即须对拟作为被告的主体此前已经提出过相关请求,否则不得起诉。2018年内阁通过的《个人信息保护基本方针》指出,法律规定的仅是各行业企业共通的最低要求,“根据事案的性质,从迅速性、经济性来考量,还是通过投诉处理制度解决较为合适。”律师代表认为:如果当事人因个人信息权益受损欲提起诉讼,在侵权人未违反《个人信息保护法》的情形下,可以从消费者保护法、合同法和侵权法的角度主张权利。
可见日本的个人信息保护法救济机制改革并未把诉讼作为重点关注对象,毋宁侧重投诉、质询、调解等非诉纠纷解决程序。诉讼作为终局纠纷解决程序虽然也规定在日本的《个人信息保护法》中,但其并未借新一轮的改革发展出专门的集体救济模式及其相关制度。新法对损害赔偿数额的计算办法也没有专门规定,只规定了处罚的形式和金额。因此,日本法对我国《个信法》最新引入的个人信息保护公益诉讼的制度建构的借鉴内容有限,而在非诉纠纷解决方面的一系列新规对我们相关制度建设则有所启发。
三、比较法资源对我国现有规范解释的
借鉴意义 
欧盟和德国都倚重团体诉讼作为信息主体及其利益代表维护自身权益的程序救济机制,而我国的公益诉讼等群体权益保护制度与德国法有相当的亲缘性,在此意义上,布鲁塞尔模式和德国新一轮改革值得参看。择取比较法资源时应虑及各国立法动态和司法实践本身也处在变动和发展之中,且每个改革举措都与其特定的制度历史和实践经验息息相关,因此比较法研究也应动态地、具体地、全方位地进行考察。例如,日本最新的个人信息保护重点关注非诉多元纠纷解决机制。日本在程序间协调机制(投诉程序与监督程序、投诉程序与诉讼程序)与主体间协调机制(企业、个人信息保护团体、监督机构、中立第三方机构、消费者权益保护机构)两方面的上述改革均值得我国在细化个人信息保护投诉程序制度时予以借鉴。考虑到中日两国均有亚洲国家“息讼”传统,个人信息保护的非诉纠纷解决制度应当成为我国个人信息保护的权益救济的诉前程序部分。
在参看德国经验时应考虑,德国的团体诉讼依靠消费者团体和其他适格团体、行会等蓬勃的社会力量,引入示范确认之诉机制,已经在制度变革中积累了较为成功的司法经验。这和德国的结社传统,较为有序、平缓的社会组织结构及其特有的宪政环境有关。而我国由于各种原因迄今并未生发出由组织和团体普遍提起公益诉讼的传统。迄今公益诉讼主要由检察机关提起,且在环境保护、自然资源保护领域相对活跃,但消费者公益诉讼几乎一直处于休眠的状态。德国改革个人信息保护程序法时体现了一定的路径依赖,新法将“滥用个人信息”的行为解释为“违反消费者权益保护法”,等于将现有的有起诉资格的消费者团体的诉权扩充至个人信息保护领域,制度改革的成本最低。而我国消费者公益诉讼本身的制度利用率很低。如果一种制度本身存在使用率低下的问题,缺乏“路径”可凭“依赖”,或应另辟蹊径。例如,我国在个人信息保护领域相对比较活跃的是反不正当竞争法和反垄断法的相关诉讼。广义上,如果一个诉讼程序能解决不特定多数信息主体遭受侵害的纠纷,应当认为这就是个人信息集体保护的程序机制,而不会因为这两类诉讼常常发生在竞争者(作为数据处理人与使用的经营者)之间就以“形式上的诉讼主体并非多数”否认了此类诉讼的“集体保护”的功能与性质。相反,个人信息保护集体诉讼的理论应当直面此类诉讼,并从诉讼理论层面加以发展,以统摄制度多元且融合的理论脉络。此中最关键的问题则是《个信法》第70条拟引入的专门的个人信息保护公益诉讼,如何设计诉讼激励机制,提高制度利用率,避免此类新型公益诉讼一经制度建构就进入休眠的困境,下文详述。
(一)个人信息保护公益诉讼的主体制度
依照《个信法》第70条结合《民事诉讼法》第55条,我国确立了专门的个人信息保护公益诉讼,在既有的环境资源保护、消费者保护、国有资产保护和烈士名誉保护等公益诉讼领域之外,开辟专门的公益诉讼种类。
按照《个信法》第70条规定,检察机关、法律规定的消费者组织和国家网信部门确立的有关组织可以提起个人信息保护公益诉讼。该条从文义解释来看,有几层意思:第一,个人信息保护上法定的典型救济机制公益诉讼,这与传统上民事权益救济的个体民事诉讼形成对比。第二,公益诉讼诉权主体的顺位不同于《民事诉讼法》第55条。依照民事诉讼法的规定,法律规定的机关和有关组织可以提起公益诉讼,人民检察院在没有上述机关和组织或者上述机关和组织不提起诉讼的情况下,也可以提起公益诉讼。而个人信息保护公益诉讼的诉讼主体是检察机关—消费者组织—有关组织。第三,国家网信部门不仅是个人信息保护行政监管的综合执法部门,而且还将是公益诉讼社会力量准入口径的划定人,应考虑包括专门以个人信息保护为目的而成立的组织、行业组织、法律规定的消费者组织之外的其他消费者保护组织、第三方机构等。
这一门槛条件的划定,对个人信息保护的政策制定和后续相关立法都殊为重要。作为个人信息保护公益诉讼的制度杠杆,门槛条件如果划定不当,个人信息保护公益诉讼很可能陷入既有的公益诉讼制度在我国运行中已经遭遇的困境——制度利用率如果持续低下,那么程序框架一经建构恐怕就会沦为一纸具文。门槛条件将决定“有关组织”提起公益诉讼的制度使用率,以及以检察机关为代表的国家力量和以组织、协会、团体为代表的社会力量在制度启用阶段的力量组合。根据上述欧盟、德国的经验来看,通常要求此类组织存续有一定时间、有一定的成员、专事信息保护类工作或业务、登记手续完整等。为了激励“有关组织”起诉,考虑在实定法上降低这类组织获得诉权的门槛条件,但为了筛选和控制这些团体的设立目的与活动范围,监管个人信息保护的职能部门应勤勉地对其资质予以统计和公布。这一名单应每年更新,且向法院和相关部门定向公布,以此节约成本、降低相关公益诉讼中对原告资质审查的难度,缩减审查所需的时间。
个人信息保护公益诉讼在我国实践中最早是由检察机关提起的。诉权主体位阶上,《民事诉讼法》第55条第1款规定的公益诉讼主体是机关和有关组织;第2款才规定检察机关在履行职务的过程中可以提起公益诉讼,体现立法时将检察院公益诉讼担当在整个救济体系中放置于补充、保障与兜底的位置。《个信法》第70条规定的公益诉讼主体层阶则体现其倚重检察机关起诉,同时明确将有关组织的诉权门槛的具体标准交由网信部予以调整。可见,《个信法》规定的公益诉讼诉权主体顺位不同于《民事诉讼法》第55条。个人信息保护公益诉讼的主体制度体现了由上至下、由检察机关引领、其次由有资质的组织起诉的力量组合。根据《个信法》第70条,其诉权主体顺位是检察机关—消费者组织—有关组织。这表明:其一,检察机关作为个人信息保护公益诉讼的第一主体,是立法者经过三审、反复讨论并最终决定的制度安排。这体现在《个信法》第70条的条文前后几稿反复修改却始终将检察机关置于诉权主体的首位——这是从文义解释和历史解释的角度来分析。其二,可以预见,消费者组织开展个人信息公益诉讼在短时间内可能存在不太积极的现象,而国家网信部门划定其他有诉权的组织的门槛条件并将名单落实也需要时间,相关的配套制度也需要时间来酝酿。在这个阶段,个人信息保护的司法落地又因各地涌现相关案例而变得较为迫切,因此由检察机关对相关公益诉讼起一个引领的作用是有必要的。检察机关本来就是最先开展这一新型公益诉讼实践的主体,在组织架构、人力物力保障、动机纯化等各个角度考虑都没有比检察机关更合适的第一顺位主体。其三,检察机关与其他主体提起公益诉讼和展开工作之间不是对立的,检察机关在个人信息保护领域应发挥自己的优势,托举和支持有关“组织”开展相关公益诉讼。
《个信法》草案第一稿和第二稿将“职能部门”提起公益诉讼的顺位置于检察机关提起公益诉讼之后,“有关组织”提起的公益诉讼之前。而《个信法》正式文本删除了“职能部门”。这是考虑到在我国目前职能部门充当个人信息保护公益诉讼的主体缺乏现实可能性。例如,我国在个人信息保护相关立法与政策制定以及制度执行各方面,国家网信部门最具统筹力。《民事诉讼法》第55条虽然规定民事公益诉讼可以由行政机关提起,但实践中行政机关几乎不起诉,而是通过罚款、没收违法所得等措施对个人信息处理人进行监管。行政机关超出本身行政权力诉诸司法程序去充当公益诉讼原告需要更强理由。而行政机关针对其他行政机关、职能部门或有关组织提起个人信息保护公益诉讼的概率则更小,这和我国行政权力分配与运行的整体结构及其相互关系的体系逻辑有关。
(二)有关组织提起相关公益诉讼的激励机制
有关组织提起公益诉讼的激励机制问题直接与其诉讼动力有关。之紧密相关也是颇有争议的一个问题是应否确立个人信息保护公益诉讼的损害赔偿请求权。民事诉讼法学学者对既有的公益诉讼损害赔偿持谨慎态度。由于个人信息泄露或滥用产生显著、直接的物质性损害(例如盗刷信用卡)是少数情况,多数情况下“损害”体现为外部风险和内部焦虑等非物质性损害,其可以引起间接的非物质性损害,往往是一种推定的、不显著的损害。既有的司法实践对此分两种情形:一种大抵因为损害无法确认(原告无法举证证明实际损失)而驳回损害赔偿请求权;另一种则倾向于支持原告因个人信息权益损害提出的补偿请求权。
对是否支持损害赔偿请求,应区分情况。在侵害不特定大多数个人信息造成的“损害”具有显著性和客观性时,在完善相关程序机制的前提下,应适度放开个人信息保护公益诉讼的损害赔偿请求权。首先,尽管个人信息在《民法典》中并未在措辞上体现为“权利”,但损害概念发展的趋势表明,个人信息泄露或滥用产生的外部风险和内部焦虑在很多场景下可以认定为非物质性损害从而构成法律上的“损害”。其二,我国《个信法》第69条所认定的损害并未限制损害的程度。GDPR序言第146段指出:“数据控制人或数据处理人应赔偿任何人因违法处理个人信息而可能遭受的任何损害。损害的概念应根据法院判例法作广义解释,其解释应充分反映本条例的目标,数据主体所遭受的损害应得到有效的赔偿。”尽管单个的个人信息市场价值并不高,但大数据语境下的个人信息侵害常态性涉及数百万条个人信息,大型互联网企业的个人信息泄露可以造成千万亿级别的损害,每年因为个人信息泄露导致的经济损失可达到数万亿元。因此,骚扰电话、垃圾邮件在单个情形下或许是轻微损害,但总体来看涉及的数目甚巨,完全可能符合损害的显著性要求。其三,有学者认为公益诉讼涉及不特定大多数导致“损害”数额不特定、数目不确定,故应排除公益诉讼损害赔偿请求权,但随着制度的精细化发展,这一问题也会解决。相关制度诸如设立个人信息损害法定赔偿制度、细化相关损害的类型和程度及其计算方式、调整相应的证据规则与证明责任负担。其四,这种需要赔偿的个人信息损害应当符合客观性要求,即原告提出的非物质性损害必须是实际的、能够特定化到个人的(但不需要实际上特定化到个人)、已经发生或者即将发生的,而非猜测或假设发生的结果。非物质损害难以计算的可以通过侵权人的收益得到证明。总之,与其因为损害赔偿请求权在诉讼中难以认定计算以及存在勾兑风险就完全排除其适用,造成诉讼激励机制的缺失,制度使用率持续低下,不妨选城试点,在防范诉讼程序道德风险的前提和改革赔偿款项的去向与管理配套制度的前提下适度放开个人信息保护公益诉讼的损害赔偿请求权。
(三)多维并进的程序救济
此外,“多维并进的程序救济”也应配套多维并进的程序法建构。个人信息侵害极易涉及不特定多数人的权益,按照侵害行为及其影响范围和造成损害大小的不同,救济渠道也有多个维度,应当包括投诉、调解、协商、诉讼。侵害个人信息可以提起个体诉讼,但制度建构应以公益诉讼等集体救济模式为主导,这一点在大陆法系国家存在共识,我国《个信法》也已采纳。未来与此相关的立法在如下领域还需完成配套机制的设计,并在实践中不断实现对规范的反哺与完善:一是可以参看上述比较法(例如日本)经验,发展与完善个人信息保护组织残余的诉讼外纠纷解决的规范。迄今《个信法》仅在第62条、第65条规定了履行个人信息保护职能的公权部门可以并应当及时处理信息主体投诉。但受理投诉主体多元化、投诉制度体系建设和主体间衔接制度上可以借鉴日本经验。“经营者受理投诉—个人信息集体保护组织或消费者组织处理投诉—职能部门处理投诉”的三阶投诉机制,以便充分利用经营者内部资源和社会力量联动化解不满,也有利于诉调对接中的信息咨询调取。根据《个信法》第70条,国家网信部门规定的个人信息集体保护组织和法律规定的消费者组织可以提起公益诉讼。应当认为,将受理信息主体投诉作为其日常工作内容并计入章程且勤勉履行,是其获得公益诉讼诉权主体资格的前提条件。相关组织受理投诉后,应视情况对信息处理人和信息主体之间的纠纷居中调解,必要时提起公益诉讼。根据《个信法》第70条,国家检察机关充当三阶投诉机制的协调者与监督者,符合检察机关的机构定位,也符合个人信息保护法的规范意涵。检察机关认为有必要提起个人信息保护公益诉讼的,可以起诉,也可以支持前述组织提起公益诉讼。瑞典、荷兰的集体调解制度,可以在公益诉讼前置程序和结案阶段程序设计的环节上予以借鉴。
此外,应当发展涉及个人信息保护组织与企业内部数据代表(或称企业数据合规)、与数据主管行政部门、与一般信息主体之间的互动模式及相关功能的规范。这制度规范如获成功,那么个人信息保护组织对行政监管、行业自律与公益诉讼各大机制之间的衔接与协调,都将起到重要作用;有利于捋顺公益诉讼与其他内部程序(例如相关组织、经营者和行政机关处理的投诉、质询程序)的衔接机制,也有利于个人信息公益诉讼相关的调查取证等各程序性工作的开展。
四、结语
上文分析显示,各国为增进个人信息保护对权益救济机制的最新一轮改革各有倚重。这种差异大抵因各国对个人信息保护问题切入的视角不同,各自制度落地的协调机制有别以及诉讼法理念传承与制度细节也各不相同。如何从各国制度资源择取最适合我国的比较法“营养”,不是简单的“拿来”或者“比附”即可。有以下两点应加以考虑:其一,未来需从量化实证研究资料中获得制度分析更为生动与可靠的语境。其二,吸收比较法营养,应在该制度的具体语境中分析其运行之实效及弊端,以动态视角考察比较法资源之可取程度。应虑及各国立法动态和司法实践本身也处在变动和发展之中,且每个改革举措都与其特定制度历史和实践息息相关,因此比较法研究也应动态地、具体地、全方位地进行考察。欧盟和德国都倚重团体诉讼作为信息主体及其利益代表维护自身权益的程序救济机制,而我国的公益诉讼等群体权益保护制度与德国法有相当的亲缘性,因此布鲁塞尔模式和德国的改革经验在比对中德、中欧制度历史亲缘性的基础上富有启发意义。个人信息保护公益诉讼应当附条件地确立损害赔偿请求权,并在吸收比较法营养和立足我国具体语境的前提下,以防控道德风险为前瞻,以促进起诉为目的,通过法定赔偿制度、证明责任倒置和相关的证据规则、完善登记与公告制度来解决损害赔偿难以计算和分配的难题。应致力于打开相关公益诉讼的实践闸口,通过法律续造逐渐发展个人信息保护的诉讼规则,进而反哺实体法的解释、适用与整合。
责任编辑:吴    俊

图文编辑:杨巽迪
审核:李中原
 本文刊于《苏州大学学报(法学版)》2021年第4期“《个人信息保护法》专题研究”,第77—86页。为阅读方便,此处删去原文注释,如有媒体或其他机构转载,请注明文章出处。
《个人信息保护法》专题研究
郑晓剑 | 论《个人信息保护法》与《民法典》之关系定位及规范协调
王海洋 郭春镇 | 公开的个人信息的认定与处理规则
张陈果 | 个人信息保护救济机制的比较法分析与解释论展开
继续阅读
阅读原文