林 洧
(中国人民大学 法学院,北京 100872)
随着万物互联与人工智能的加速发展,我国正在进行新一轮的信息产业体系建设,且是一种从技术、产业、政策上共同发力的建设[1]。在政策层面上,我们需要利用法律来维护信息产业市场的公平竞争,以及积极保护公民等信息主体的个人信息权利。法律素来强调保护弱者的权利,普通公民较之信息科技企业在法律与经济上也处于弱势地位。因此,我国民法典特别将个人信息权及其保护要求规定于人格权编之下,并在侵权责任编中予以救济[2]。
诉讼法作为实体法的保障,其具有确定私权并使这种权利具体化予以实现的作用[3]。个人信息侵权事件往往涉及众多信息主体,是一种现代型纷争事件。同一原因事实所造成的权利损害具有微小性与扩散性等特征,当事人在其中提起个人诉讼的诱因较弱。这是因为当事人考虑到所损耗的劳力、时间、费用等诉讼成本的问题,将会欠缺个别起诉的诱因[4]。在两造对立的传统诉讼构造上,信息主体逐一提起诉讼维护个人信息权的私人诉讼模式也并不现实。基于此,我国实体法虽已明确个人信息权是一种人格权,但在具体落实个人信息权的保障上,依旧面临因纷争事件特点导致的无法通过个人诉讼维护自身民事权利的困境。
诉讼权作为私人权利最后的保障,其应当是切实且有效。个人信息诉讼制度也因此需要特殊的程序设计以保障公民所应享有的实体利益与程序利益,并满足其对二者的平衡追求。在未来诉讼制度的构建上,应考虑到当事人的程序利益,对相同的事实问题应尽量进行统一的证据收集、诉讼审理等,以符合私益层面的诉讼经济;
法院在其中也可以不必开启多个程序进行分别审判,得以在一道程序中尽可能地解决所有纷争,以符合公益层面的诉讼经济[5]。基于此,我国《个人信息保护法》(以下简称“个保法”)第70 条提出了利用团体诉讼机制予以解决的构想,扩宽了团体诉讼制度的适用领域,但目前尚未有严格意义上的司法实践。同时,我国民事诉讼法(以下简称“民诉法”)第58 条规定了公益诉讼制度,允许民间环保组织和消费者组织提起团体诉讼,利用公益诉权参与社会管理[6]。
同时,法律的生命在于实施。既然我国选择了团体诉讼的模式进行个人信息权的救济,那么就有必要从诉讼法角度探讨该制度的实际运作情况,以促进个保法第70 条的实践。它山之石,可以攻玉。欧盟素来重视个人信息保护的立法与司法,2016 年通过了《通用数据保护条例》(General Data Protection Regulation,GDPR)[7]。目前,欧盟在团体诉讼的起诉主体范围、请求类型、具体程序设计上都已有体系化的规定,并且有丰富的司法实践经验。故而,欧盟先进立法与司法经验对我国未来具体制度构建与完善具有借鉴意义。有鉴于此,本文将从个人信息群体侵权事件损害的特点出发,结合我国当前已有的司法实践经验与欧盟比较法的启示,探索个人信息保护团体诉讼制度的本土化进路。
个人信息权作为我国民法典所明定的权利,本身具有私益的属性,并受到民法典第1034条的保护。随着民法社会化,个人信息不再仅有私益属性,还具有公益属性。所谓的公益,亦即社会公共利益,该概念本身具有不确定性的特点[8]。但学界对其有一定的共识:第一,价值追求具有确定性,即公共性与利益性;
第二,公共利益并非私益数量的叠加,而是价值考量的产物;
第三,集体利益并非当然属于公共利益。个人信息权属性的厘清是诉讼制度开展的实体法基础,实体权利的公益性与私益性也会影响诉讼程序中各项基本原则的实施,需要对其进行必要的分析。
(一)实体法权利的双重属性:兼有公私二元性质
1.个人信息权的内涵
认知群体性个人信息侵权事件中损害性质的前提在于厘清个人信息权的客体范围。个人信息权对应的客体是个人信息——可以识别特定个人的信息。个人信息的判断标准主要有识别路径(信息到个人)与关联路径(个人到信息)两种,蕴含财产性、可转让性、匿名后可利用性、整合价值性、产业的时代性等特点[9]。法律所规定的个人信息权,是信息主体所享有的自主决定权与控制权,某种意义上属于人格权。在大数据的时代背景下,随着个人信息被广泛用于各类社会经济活动,其不再是纯粹的人格权,而是一种附有财产属性的权利。甚至,在公民基本权利的界分上,个人信息权也不再仅仅是自由权,亦成为一种社会权,具有公权与私权二元的属性,也游离在人格权与财产权之间[10]。
个人信息权作为一种私权,具有经济利益与人性尊严的双重内涵。大陆法系在康德哲学的影响下将权利独立于人,德国、法国与我国都将个人信息权视之为人格权,强调其精神利益。但个人信息中还有财产利益,在人格权商品化的现象中,其伦理价值与财产价值之间也呈现此消彼长的态势[11]。从规范对象的本质、特征和社会要求观察,个人信息权难以纳入单纯的人格权、财产权、隐私权的范围内,而是一种新兴权利。其特性要求我们,不仅要关照传统私法的利益,还要关注个人信息的社会关联性,维护必要限度内整个社会信息流动的利益[12]。基于此,个人信息权的社会性也催生出其公权属性。个人信息的公权属性强调个人信息与社会信息的关联,个人信息作为社会信息的组成部分,已经成为现代社会的公共资源或者国家资源。在社会与国家的场域下,个人信息权具有公法属性,个人信息权也常成为行业自律、行政监管、国际间进行磋商与谈判的内容[13]。其不再仅仅是平等主体之间的法律关系(私法关系),同时也包含纵向的法律关系(公法关系)。
2.实体法权利的救济
个人信息权的公法与私法属性,本质上是由价值层面的个体属性与公共流通属性所衍生的。两种属性是相依相存而不可偏废,需要在行为规制中重视对其的平衡[14]。保护与救济上也催生出公私二元的属性。在私法救济上,依靠事后救济与侵权损害赔偿方式进行;
在公法救济上,需健全事前与事中的行政监管和事后的行政执法[15]。在相对二分的情况下,私法救济与公法救济的目的与效果并不相同,后者难以达到前者中公民个人权利损害赔偿的效用,前者也难以提供事前与事中的权利保障。无论救济路径如何,至少在个人信息权需要救济与保护的问题上具有社会的共识。个人信息受保护权也成为一种国家义务,需要国家统筹协调不同部门法之间的关系,既要有自由权的消极保护,亦要有社会权的积极保护,建立起切合实际的多元法律保护机制,并协同民事责任、行政责任与刑事责任[16]。在现实中,公益救济因为体系的相对完善而发挥高于私益救济的法律实效,私益救济因体系的不完善,常导致私人诉讼态势孱弱——提起诉讼意愿普遍不高。就此而言,完善个人信息保护的私法救济相对于公法救济更加具有急迫性,直接关系到个人信息主体的私益保护程度与民法所赋予人格权的落实情况。
诚然,在上述实体法视角下,个人信息权的私益属性在于本身属于人格权的一种。但个人信息权的公益属性,则是因为在信息流通过程中涉及市场的公共利益而生,公益性产生的原因在于将私利通过市场转化为公益——个体财产在市场中服务于他人而具有公共性[17]。在公益的价值判断上,个人信息在流转过程中可产生商业价值,涉及公平竞争的市场秩序已属于关乎社会全体成员的一种秩序利益,具有强烈的公益性。同时,在个人信息流转过程中,潜在的个人信息主体将可能扩大到社会全体成员,主体具有不特定性,其所生的利益也应属于公共利益而非个人私益。
(二)诉讼法的双重属性:社会公共利益与扩散性私益
1.侵权事件中社会公共利益的损害
个人信息侵权事件造成的损害结果也有双重属性,即针对不特定之人的公益性与针对特定之人的私益性。首先,在社会整体视角下,该侵权行为将会危及个人信息的公共流通,进而危害社会公共利益。其主要表现为,个人信息被滥用与泄漏会导致社会利益受到侵害的风险加大,同时也会破坏公共秩序的稳定[18]。并且,这种危及权利公共性面向的公共利益主要体现在一些敏感个人信息管理的社会活动中。例如,随着我国电子政务的发展,公民个人信息已经成为我国社会管理系统运行的资源基础,权利界限也溢出私人法益的范畴,由此扩展到公共法益的领域[19]。另外,在社会秩序方面,个人信息涉及的社会领域非常广泛,滥用个人信息将会破坏原有的市场秩序,其主要体现在个人信息的经营性商业活动中。例如,数据公司滥用个人信息会产生不正当竞争的问题:遵守个人信息使用规范的数据公司会付出比不遵守的数据公司更高的商业成本,不符合道德规范,同时也会破坏相关市场有序化的公平竞争环境而危害公益。
在社会公共利益中,个人信息流通秩序是原生的社会公共利益,因流通与使用而导致的电信诈骗风险、商业不正当竞争等内容则是衍生的社会公共利益。上述社会秩序本身所针对的对象,乃不特定的多数人,其对应的利益则属于社会公共利益。在现实中,因为公共利益受损特征明显,故在个人信息侵权救济中,通过公力救济公益呈现发达的样态。除了行政执法与刑事司法外,公力救济亦有私人诉讼的途径,尤其是我国已有的民事公益诉讼制度,在具有整体性、公共性和不确定性特征的公共利益受到损害时,可以通过团体诉讼的方式起诉侵犯多数人权益的侵权人[20]。但社会公益团体作为适格原告提起的民事公益诉讼主要在环境保护与消费者保护领域较为发达,个人信息保护领域则相对缺乏相关的司法实践。
在诉讼法的视野下,诉讼事件公益性的强弱取决于相关主体的特定性或诉讼请求的公益性。当涉及诉讼的相关主体具有不确定性的特点时,诉讼请求通常会具有公益性。例如,一些手机APP 在后台非法收集与储存个人信息,社会全体大众都是被非法收集个人信息的潜在对象,适格原告提起民事诉讼请求停止这种侵权行为时,其影响的是不特定多数人的利益,此时属于公益诉讼事件,诉讼请求也具有公益性。因此,在同一件个人信息侵权事件中,若原告并非为了某个个体或某特定群体的利益,而是为了不特定多数人的利益,提出停止侵权请求(不作为的诉讼请求)或用于维护社会公共利益的损害赔偿请求时,则属于具有公益性的诉讼事件。
2.侵权事件中扩散性私益的损害
在受害人个体的角度上,侵权行为的损害具有扩散性的特征,受损害的人数众多,且个体受损害程度较为微小。一般来说,个人信息侵权诉讼所涉及的主体是特定的。虽然海量的个人信息将会涉及成千上万的个体,其组成一个集体,但该集体的个别受害人依旧是可以确定的,法益侵害上具有个别性与确定性的特点。此时,该特定集体中个体所享有的个人信息自决权、控制权等私益将会受到损害,这将影响自然人对个人信息保护的期许。自然人对个保法立法的诉求在于实现个人信息知情权,删除、修改、补充的请求权,财产利益的分配权等[21]。滥用或泄露个人信息等侵权行为,将会严重损害上述诉求,使得自然人无法感受到自己作为信息主体所应享有的自由与尊严。这种私益损害不同于一般的民事侵权事件,其最明显的特征在于涉及的人数众多,是一种群体性纷争事件。并且,因为同一原因事实而导致的自然人个人信息权受到侵犯,原因事实具有同一性的特点。
群体性纷争事件的损害一般分为两种,其一是扩散性损害,其二是重大性损害。前者强调损害程度微小而众多,但整个集体的损害赔偿额相当巨大;
后者则是强调个人损害重大而明显;
前者的个人诉讼意愿远低于后者[22]。个人信息群体性侵权事件中的损害是一种扩散性损害,个人信息只有在一定数量的基础上才有较大的商业价值,对自然人个体而言,其受到的损害并不巨大,反而是微小的。这种扩散性损害也使得私人诉讼的权利救济方式广受诟病。例如,贩卖电话信息的单价通常不到2 元,即使将其全部作为损害赔偿请求标的额,恐也鲜有人愿意耗费劳力、时间、费用进行民事诉讼;
因损害赔偿数额的微小,导致了权利人进行个人诉讼维权诱因极低[23]。更不必说在相关案件中还存在法律属性与侵权因果关系认定复杂、损害程度难以判断等问题[24]。当事人即使提起私人诉讼,也还会面临举证责任困难等问题。基于此,为适应扩散性私益损害的特点,应当在司法理念与诉讼技术上进行调整,在制度面上扩大权利救济范围,进行必要的管理型司法,保障权利人的听审请求权[25]。
同一个人信息侵权事件将产生私益诉讼与公益诉讼交错的情形,无论是集合性利益受损还是公共利益受损,都需要对相关的基础事实作出统一性的判决[26]。在我国现行法下,民事公益诉讼中的团体诉讼机制是解决这一纷争事件的重要手段,故有必要进一步探讨在团体诉讼制度下如何兼顾受损的个人信息权利主体的实体利益与程序利益,解决其扩散性损害的问题,实现对自然人损害补偿的同时,也达到阻吓不法的效果。由此,在诉讼法的视野下,扩散性私益损害的主体即使人数众多,损害具有扩散性的特点,但仍旧是属于特定的多数人。所以,个人信息侵权事件的损害赔偿若直接用于受损害之人的物质或精神利益的赔偿,则属于私益诉讼的范围,具有私益性。
为了维护个人信息侵权事件中的公共利益与扩散性私益,我国个保法确立了该领域的团体诉讼制度。在此背景下,需要重新回顾我国过往的立法、司法的经验与发展,并且从现状中发现不足。同时需要继续从上述公益与私益两个角度出发,探讨诉讼制度对两项利益的维护情况,反思在法律实施上的缺失。
(一)立法之现状:个人信息保护法的雏形
1.个保法概况
我国已通过的个保法意识到个人信息群体性侵权事件所面临的扩散性私益损害的问题,故在第70 条规定:“个人信息处理者违反本法规定处理个人信息,侵害众多个人的权益的,人民检察院、法律规定的消费者组织和由国家网信部门确定的组织可以依法向人民法院提起诉讼。”该条文赋予了检察机关、消费者组织以及社会团体提起公益诉讼的权利。其中,检察机关除了可能提起民事公益诉讼外,还可以提起行政公益诉讼,纠正行政机关在个人信息领域的行政违法行为,通过法律监督来制约行政权[27]。而法律规定的消费者组织与国家网信部门确定的组织只能提起民事公益诉讼,并且提起的民事公益诉讼还必须遵照民诉法第58 条以及民诉法解释第282 条的规定进行。
在原先的二审稿草案中还允许履行个人信息保护职责的部门(行政机关)提起诉讼,将其解释为民诉法第58 条的机关而提起公益诉讼。但此方式在实践中并不普遍,行政机关主要通过支持起诉方式参与民事公益诉讼,同时还受到检察机关支持起诉的排斥。因此,在个保法中删除了行政机关提起诉讼的规定,将其替代为消费者组织。其中,社会团体常是民事公益诉讼原告适格主体之一,法律对其设有严格的资格条件限制,需要与社会团体本身的宗旨以及活动具有关联性,并且提起民事公益诉讼时需要承担完整的诉讼责任[28]。总之,个保法作为个人信息保护的单行立法,其涉及民事、行政、刑事等多元的法律责任,故在公益诉讼制度上应解释为涵括行政公益诉讼与民事公益诉讼两种。同时,个人信息群体性纷争事件,经常发生于商用领域,随着未来相关制度的落地与实施,因团体诉讼本身更加具有市场活力,其将可能成为个人信息保护诉讼中最主要的方式。
2.现状的局限
上述条文只是一种概括性的原则规定,描绘了未来个人信息保护诉讼的初步框架。在具体制度设计上,团体诉讼仍有许多讨论的空间,尤其是社会团体所提起的民事公益诉讼,依旧处于立法论的研究阶段。具体而言,在当事人适格问题上,民事公益诉讼会通过立法授予社会团体诉讼实施权,以解决诉讼效力与起诉意愿欠缺的问题;
为了预防滥诉,各国也会结合自身法制传统和社会背景,设立宽严不一的限制条件[29]。相对于我国消费者和环境保护民事公益诉讼中法律对于社会团体所作出的授权与限制的规定,个人信息保护领域的社会团体资格问题依旧属于空白领域。不同于消费者和环境保护在单行立法中就明确社会团体资格条件,个保法则是赋予国家网信部门对其进行资格限制的立法权限。
在举证责任问题上,也并未有相关的明确规定,存在进退维谷的情形。一方面,个人信息泄漏会导致事实不确定性现象的产生,技术上无法实现损害的潜在风险之确定,故当事人在举证责任上难以证明侵权要件而常遭受败诉的风险;
另一方面,若采取举证责任倒置,则会影响信息控制者的商业经营活动,不利于数字经济的发展[30]。团体所提起公益诉讼或私益诉讼,毕竟在诉讼能力上与个人起诉大不相同,采取何种举证责任分配规则,目前也尚未有定论。在团体诉讼制度的配套措施上,是否需要设立专项基金实现对相关权利人损害赔偿的救济、是否需要适用惩罚性赔偿制度等问题,也有待未来进行学术讨论与实践探索。总之,当前的个保法仅是开启团体诉讼制度的第一步,个人信息保护之团体诉讼的制度构建与程序完善可谓任重道远。未来仍需对个人信息保护之团体诉讼进行精细化的立法工作,并辅之以相关司法解释,以解决上述个人信息保护之团体诉讼制度运作中存在的现实问题。
(二)实践之回顾:先行的公益诉讼之经验
1.适用消费者公益诉讼
虽然我国个人信息保护之团体诉讼制度的立法工作刚刚完成,但相关司法实践早已有之。尤其是在网络消费者个人信息侵权事件中,消费者原本因诉讼成本高、诉讼标的额低等问题产生消极起诉的现象,但自消保法2013 年修订后,消费者可以借由消费者协会提起公益诉讼,得以集中对抗个人信息侵权者[31]。其中较为典型的案件是2015 年江苏省消费者权益保护委员会对北京百度网讯科技有限公司提起的消费民事公益诉讼案件。在此案中,起诉前原告曾约谈被告要求整改违法获取个人信息的行为,被告并未进行整改,故原告提起消费者民事公益诉讼要求被告停止浏览器中未告知用户获取权限的情况下,违法获取用户个人信息的行为,并进行整改;
之后被告主动提交整改方案并完成整改而达成双方和解,以原告的撤诉结案①。该案具有一定的局限性,这种以消费者民事公益诉讼维护个人信息的方式只是缓兵之计。在内容上,其无法涵盖所有个人信息权利范围;
在主体上,仅针对消费者群体而无法保护此外的其他群体的个人信息权;
在功能上,其只能暂时性制止违法行为,因为网络服务多为免费服务而无法提出损害赔偿[32]。
有鉴于此,引入专门的个人信息领域的民事公益诉讼制度实有必要。例如,在网约车中引入社会团体作为原告的民事公益诉讼制度将可预防Uber 乘客信息泄漏事件的发生,保护网约车用户的个人信息[33]。在金融消费领域,金融机构因系统漏洞导致个人信息泄漏的,可以由金融消费者保护机构或社会团体提起相关诉讼,以切实维护金融消费者的信息秘密安全权[34]。但以上,在个保法通过之前,仍尚未被司法实践所接纳,非消费者保护组织的社会团体提起的个人信息保护民事公益诉讼仍旧是可望而不可及。
2.检察公益诉讼的开展
相对于社会团体提起的个人信息保护民事公益诉讼的止步不前,由检察机关提起的个人信息保护民事公益诉讼却有较好的发展。一方面,将大规模侵犯个人信息事件纳入检察机关民事公益诉讼范围,有利于解决调查取证难、诉讼成本高等问题[35];
另一方面,在党的十九届四中全会强调扩展公益诉讼案件范围后,检察机关积极探索个人信息保护民事公益诉讼制度,上海、天津、江苏等省市的检察机关相继对手机APP、网络个人信息、涉众型个人信息的公益诉讼进行实践与探索[36]。其中,上海市宝山区人民检察院对为公民个人信息等数据交易提供平台的侵权人提起刑事附带民事公益诉讼②,其损害赔偿、删除涉案个人信息数据、在国家级媒体赔礼道歉等诉求得到了人民法院的支持,由此回应了公民对于个人信息保护的强烈需求[37]。
这种检察机关提起的个人信息保护刑事附带民事公益诉讼,采取刑事与民事集中审理模式,证据收集上有高度的重合性,有利于查清事实与节约司法资源;
同时,由检察官提起的个人信息保护民事公益诉讼实现了刑民合力追责,有利于达成阻吓不法与保护公益的诉讼效果[38]。但是,这种正在实践中的个人信息保护检察民事公益诉讼制度,目前还存在公共利益损害及其程度判断标准不清晰、诉讼请求单一而难发挥补偿与预防作用、赔偿资金管理使用不明确等问题[39]。诚然,检察机关提起个人信息保护民事公益诉讼,其在诉讼担当与诉之利益上具有可行性与紧迫性,不仅弥补当前个人信息保护私益诉讼的不足,也有助于解决刑法对于非犯罪的违法行为有力不逮的问题[40]。并且,此种公力救济方式具有逐步加强的趋势,在个保法通过的次日,我国最高人民检察院就发布《关于贯彻执行个人信息保护法推进个人信息保护公益诉讼检察工作的通知》,规定了其中的重点保护对象,同时也提出精准保护的检察工作之要求。
(三)制度之失衡:扩散性私益救济的缺失
1.公益与私益救济的失衡
在双重损害补偿视角下检视我国相关立法与司法状况可知:现有的规范与实践在社会公共利益层面有着较好的对流通秩序进行维护的救济效果,但扩散性私益损害救济方面却有所不足。我国个人信息保护现状具有以刑事以及行政救济为主的特征,这两者本质上都是公权保护手段;
其最直接的目的在于维护不特定多数人的利益,即稳定、安全的个人信息流通秩序的利益。因此,在公力救济上,我国相关实践与制度较为发达,其救济效果显著。然而,作为个人信息的权利人,其更加看重的是对方承担民事责任,自己取得民事损害赔偿。其中,在实体法上,承担民事责任需要考虑当事人职业、侵权影响范围、过程程度以及行为目的,进行科学的责任认定[41]。在程序法上,需要尽可能提供自然人接近正义的机会,透过程序设计实现自然人程序利益与实体利益之平衡保障。
2.团体诉讼用于私益救济
团体诉讼制度,既可进行公益诉讼而补充上述公力救济的手段,亦可进行私益诉讼而解决扩散性损害救济的难题。我国目前实践较为丰富的检察机关所提起的个人信息保护民事公益诉讼制度,其在扩散性损害赔偿的救济方面有所不足。一方面,该诉讼经常是以刑事附带民事诉讼方式提出,发现问题的前提在于刑事案件的发生,但是对于其他大量的非刑事案件,检察机关恐怕难以全部知悉并提出公益诉讼。另一方面,检察机关提起的民事公益诉讼,更加强调公益的维护,私益维护并非其最主要的目的。在私益代表性不充分的情况下,若发生公益与私益的冲突,恐怕也难以周全保障所有信息主体的私益。
作为域外最主要的个人信息保护私益救济方式,团体诉讼在程序运作上能更好地保障当事人纷争解决的主体权,通过选择加入或者选择退出的方式对实质当事人进行程序保障,并在程序选择权的理念下有利于当事人自主寻求最佳的扩散性损害赔偿方式。因此,面对扩散性私益救济问题,团体诉讼具有制度的优越性,在明示或者默示授权的情况下,将大大减少诉讼运行成本[42]。但遗憾的是,目前我国个人信息保护之团体诉讼制度仍缺乏实践,扩散性损害的私益救济问题也难以有效解决。个人信息保护之团体诉讼依照诉讼请求的不同,区分为公益诉讼与私益诉讼,相对公益诉讼充分的救济途径,私益诉讼的救济却相形见绌。如何善用团体诉讼的机制来改变私益诉讼救济的失衡,是我国在未来的司法运作中面临的重大挑战。
无论是个人信息权的法律属性还是个人信息保护的法律体系,我国都与欧盟更为相似——将个人信息权视为人格权并建立了统一的个人信息保护法律体系[43]。因此,有必要考察法理基础和法律体系与我国最为相似的欧盟法的具体情况,通过对欧盟个人信息保护之团体诉讼制度具体程序运作进行考察,尤其是,欧盟利用团体诉讼机制进行扩散性私益损害救济的制度构建与具体程序设计等内容,为后续改善与发展我国团体诉讼制度提供域外经验的参考。
(一)原告适格及诉讼程序之设计
欧盟是个人信息保护单行立法最为先进的法域,个人信息权已经上升为基本权利的保护范畴,被认为是派生为消费者保护法与公法的一种权利。在私法上,侵犯个人信息的行为,只有在事实上造成对隐私利益的侵犯,才能得到私法救济[44]。在此情况下,欧盟个人信息保护之团体诉讼也经常是置于消费者团体诉讼制度下或作为与之相类似的救济机制。其中,在欧盟所制定的全境内消费者团体诉讼的新指令中,指定相关合格的社会团体代表消费者等弱势群体提起团体诉讼,以维护消费者的合法权益③。此前的旧指令只允许合格的社会团体提起停止侵权的禁令请求,但新指令还允许其提出损害赔偿的请求,同时明令禁止惩罚性的赔偿请求④。该指令虽然属于消费者团体诉讼制度的立法,但立法中又有明文规定,该指令也适用于数据保护领域,尤其是保护GDPR 中数据主体的集体利益⑤。
在诉讼程序上,欧盟法所确定的个人信息保护之团体诉讼机制,本质上是一种代表诉讼机制,只是遂行诉讼实施权的适格原告为合格的社会团体,而非自然人或行政机关。欧盟的个人信息保护之团体诉讼已经成为一种新兴的欧洲集体诉讼模式,其本身主要具有两个特点:其一,制度主要的功能在于提供了损害赔偿的救济,并且诉讼本身是由非营利性的社会团体进行的代表诉讼;
其二,因为未经主动授权的代表诉讼在欧洲法中属于侵犯个人自主权的行为,因此欧盟内建立团体诉讼制度的国家皆采用选择加入的方式确定实质原告的范围[45]。当然,作为欧盟原则性的规定,指令并未对团体诉讼进行具体且明确的程序规定,仅要求成员国需要提供这种代表诉讼的救济方式。至于成员国采取何种团体代表诉讼机制以及具体的程序运作机制,则是成员国自己的立法权问题。
1.德国:团体可作为示范诉讼的适格原告
过去,德国法对于群体性纷争的诉讼机制主要有团体诉讼与示范诉讼两种。其中,德国团体诉讼最早来自于其《反不正当竞争法》,彼时的主要目的是维护公共利益,并不允许提出金钱损害赔偿请求,即,社会团体只享有不作为的请求权[46]。同时,示范诉讼允许提出损害赔偿请求,过去最早运用于证券诉讼领域,诉讼程序的规定较为具体与明确。首先,由诉讼系属中的当事人提出示范案件诉讼程序的申请,再由法院进行登记与公告,其他诉讼系属中的案件加入示范诉讼程序。其次,由法院选定某一案件作为示范案件审理,在示范案件中达成的法律或事实问题的结果将约束所有登记案件的当事人,示范案件审理结束后,其他登记案件(平行案件)继续进行个别诉讼[47]。个人信息侵权案件,过去属于团体诉讼的适用范围,不得适用示范诉讼程序,自然也不能提出损害赔偿的诉讼请求。
德国为了解决团体诉讼制度无法请求损害赔偿的问题,在2018 年修改其民事诉讼法,引入示范确认诉讼程序,该程序适用范围广泛,也包括个人信息保护领域。示范确认诉讼是一种团体诉讼制度,其只允许特定的非营利性社会团体(主要是消费者协会)提出,并且对团体的工作人员人数、活动领域、登记时间都有严格要求[48]。这种个人信息保护示范确认诉讼,不仅解决了个人信息权利人损害赔偿的救济问题,而且有利于解决因扩散性损害所生的纷争一次性解决的问题。权利人可以进行损害赔偿的登记,登记之后将会受到判决效力所及,但允许在第一次听证会结束前以书面形式声明退出登记⑥。
由此,示范确认诉讼给了权利人集体诉讼的机会,在人数众多的情况下,集体所消耗的诉讼成本将被大大降低,有利于消弭扩散性损害所生的救济困难问题。但这种私益损害补偿效果是间接性的,其本质是确认之诉而非给付之诉。只可以确认损害赔偿权利的存在,无法直接从诉讼程序中获得的赔偿金。示范确认诉讼裁判作出后,权利人仍需向法院提出个别诉讼来请求损害赔偿的给付。示范确认诉讼原则上遵循民事诉讼程序的一般规则,权利人想要参与示范确认诉讼,必须在首次开庭之前进行登记。登记的效果在于中止相关时效期限,示范案件审理结束前不能够提起个人诉讼、已提起的未决诉讼程序也会中止,登记之人受到示范案件中裁判所确认的事实与法律见解的约束⑦。在诉讼结果的主观范围上,不论对两造及利益关系人是有利或不利,诉讼结果都将对其产生约束力。
2.法国:消费者团体诉讼制度的司法变革
法国此前就允许社会团体在当事人授权的情况下进行团体诉讼,但过去团体诉讼效果不彰,被认为是一种象征性的货币救济[49]。基于此,法国在2014 年进行消费者保护的团体诉讼制度改革,正式将新型的消费者团体诉讼制度引入法国法。这种新型诉讼制度只允许由国家认可的消费者协会发起,损害赔偿的请求仅限于金钱损害赔偿。该团体诉讼制度的适用领域,最初始于消费者领域,如今已经扩展到环境卫生、就业歧视、数据保护等领域⑧。由此,法国也确立了个人信息保护之团体诉讼制度。
同时,2019 年生效的法国数据保护法中也明确规定了原告适格的要求,个人信息保护之团体诉讼可以由注册时间超过5 年并以隐私保护与个人数据保护为宗旨的协会提出,也可以由国家一级的消费者协会与相关工会组织提出⑨。由此可见,法国个人信息保护的制度建立始于精神损害,可请求损害赔偿。
其中,个人信息保护协会提起的团体诉讼,其在程序上主要分为两个阶段。在第一个阶段中,法官会考虑团体诉讼案件的可受理性,如果认为被告应承担赔偿责任,审理案件的法官将会确定有损害赔偿请求权的受害人标准,以及确定受害人选择加入该诉讼的最后期限⑩。第二个阶段,则是法院作出赔偿责任的判决后,受害人进行选择加入的阶段。在此阶段中,被告则会根据赔偿责任判决所确定的标准,进行个人的赔偿⑪。其中,如果被告未予以赔偿或者赔偿金额不符合第一阶段裁判的标准,则权利人可以继续向作出责任判决的法官请求被告履行其赔偿义务⑫。因此,在法国个人信息保护之团体诉讼中,权利人可以得到直接的救济,以消除扩散性损害带来的消极诉讼的影响。
(二)替代性纷争解决机制之发展
在欧盟法的体系下,个人信息保护之团体诉讼制度作为一种新的模式,目的在于更好地解决个人信息群体侵权事件中扩散性损害的问题。其中,审视这种团体诉讼新模式需要以体系性视角为之,欧盟个人信息保护目前以公法保护为主,公法救济有利于维护公共利益;
团体诉讼制度则是补充公法保护的制度设计,用私法保护的方式解决现实中扩散性损害的问题。
此外,个人信息权利人扩散性损害补偿问题的解决,不仅需要依靠宏观上的制度创设,更离不开救济制度的协调、纷争解决机制多元与司法监督等助力。欧盟群体性纷争解决机制向来有鼓励自愿和解、行政监管协助、司法监督与保障等传统[50]。个人信息保护之团体诉讼制度,也应在欧盟法传统下予以观察。正如新指令中所构建的裁判外纷争解决机制,社会团体可以主动与被告签订关于个人信息侵权赔偿的和解协议、法院或者行政机关可以邀请或要求社会团体与被告达成和解,这些和解措施都需经过法院或者行政机关的批准才能生效,生效后约束社会团体所代表的所有权利主体⑬。在社会团体与侵权人和解的过程中,究竟是采取选择加入或者选择退出的方式,则也属于批准和解协议的成员国的国内法问题。
由此,欧盟已于2020 年下半年实施的新指令⑭,也构建了较为体系化的个人信息保护之团体诉讼制度,对其中的侵权诉讼请求类型、适格原告、诉讼程序、和解程序等都作出了原则性的规定。目前,欧盟这种集体救济机制,正努力适应大规模诉讼的情形,并消除个人索赔诉讼成本过高的弊端,强调行政机关和社会团体作为个人信息保护集体救济的守门人的角色[51],以此加强对其中公益与私益的维护。总之,欧盟法对个人信息保护之团体诉讼中裁判外纷争的解决要求有司法权或行政权的介入与监督,以此确保基于意思自治原则的和解等ADR 机制能够符合其中利益保护所需的公平性、合理性与适当性之要求。
1.德国:法院批准与生效之人数比例限制
在德国示范确认诉讼中,如果社会团体与被告达成和解,此时受损害的权利人可以直接获得损害赔偿。示范诉讼中的和解具有特殊的规定:第一,形式当事人达成的和解内容中要求必须包含对支付给登记之人之赔偿的规定;
第二,和解方案还需得到法院的批准,法院在此过程中会评估和解方案所体现的集体利益的充分性与代表性;
第三,法院批准和解后,权利人仍可在收到和解通知一个月内选择退出和解协议,选择退出和解协议的人不超过30%时,和解方案才能最终生效[52]。由此可见,德国对个人信息保护之团体诉讼中的私人纷争解决方式——和解,也要求其受到较高程度的司法监督。法院对于个人信息保护之团体诉讼的和解,具有批准权,这种权限属于司法裁量权的范畴。同时,在和解程序中重视对于当事人程序选择权的保障,未直接参与和解协议的当事人可以在收到通知后,选择退出和解协议。
另外,对诉讼和解的效力,德国的通说不承认其具有既判力,但认可其具有执行力而得以强制执行。效力越强大,则越需要充分的程序保障。德国对团体诉讼中的诉讼和解的司法监督、当事人选择退出之程序权进行了专门的规定,以保障缺席和解磋商程序之人的利益。一旦权利人没有选择退出而同意和解,其损害赔偿请求权将会直接被实现而无法再进行后续的个别诉讼。就此而言,法律也需要加强对团体诉讼的和解程序中代表性与充分性的审查与保障。总之,德国在个人信息保护领域可以适用示范确认诉讼,其发展经验表明,在维护客观公法秩序的前提下,正在逐步消弭个人权利保护的限制[53]。
2.法国:和解会谈与故意拖延程序之惩罚
法国个人信息保护之团体诉讼也对和解作出特殊的规定。其中,在诉讼程序有效启动前,个人信息保护协会与被告达成的和解协议需要得到法院的批准才具有执行力,以此保障可执行的和解协议符合缺席和解磋商之人的利益。对于个人信息保护、就业歧视和环境保护的事件,在团体诉讼的第一个阶段结束后,法院可依原告申请,命令各方当事人参加和解会谈,这种和解谈判仅能对于赔偿金额进行磋商,不得对已确定的赔偿责任的原则进行谈判。该和解会谈的结果同样也需要得到法院的批准才能具有执行力。在法院的批准程序中,如果和解协议不符合受害者的利益,就会被法院驳回,并延长和解磋商时间;
若双方始终无法达成和解,则将由法院决定赔偿金额[54]。
对于在该和解程序中恶意拖延或者拒绝和解的当事人,法院可以对其进行最高额为5 万欧元的民事罚款。同时,法国对和解协议的效力规定不同于大陆法系其他国家,一般认为其具有基于合同约束力的既判力;
一旦和解协议成立,只能以合同无效寻求救济,无法进行上诉[55]。和解经过法院批准后,还将具有执行力。在此情况下,和解协议具备了类似于判决的实质效力,因此司法监督也需要进一步加强,以免形式当事人滥用和解协议的效力损害其他未参与和解磋商程序的实质当事人的实体利益与程序利益。在和解的批准程序中,法官会要求被告向权利人进行和解协议的通知,同时说明权利人选择加入和解协议所需的程序。由此,法国对和解协议效力的主体范围,采取选择加入的方式确定,只有作出选择加入行为的权利人才能得到和解金的赔偿并受其效力的约束。
(三)欧盟的比较法经验借鉴之小结
1.运用团体诉讼进行扩散性损害救济
欧盟及其主要成员国在个人信息集体诉讼制度的设计上,都一致地选择了团体诉讼的模式,并且是一种团体代表诉讼。虽然,依照各自的法制传统,法国与德国的具体诉讼程序机制不同,或团体诉讼或示范诉讼;
但共同点在于都选择了由社会团体提起相关的诉讼,以解决扩散性损害的问题。其中,德国采取的示范确认诉讼,强化了对个人信息的私法保护。但该制度因为后续仍需个别诉讼才能获得损害赔偿的给付,并不适合直接解决扩散性损害的赔偿问题。其本身是确认之诉,也将引导个人信息权利人以和解方式终结诉讼,以避免之后续行个人诉讼所遭受程序上的不利益[56]。法国采取的团体诉讼制度,其较适合解决权利人扩散性损害的赔偿问题。因为通过权利人授权而得进行诉讼的个人信息保护协会,在责任判决阶段可以确定损害赔偿的权利存否,在赔偿给付阶段则将实现损害赔偿的金钱给付,无需个人另行个别诉讼。其不仅改善了个人诉讼地位弱势的情况,且能够实现对微小损害的民事赔偿救济。事实上,德国示范确认诉讼与法国团体诉讼都有利于维护社会公共利益,通过团体诉讼的方式,追究侵权人的个人信息侵权责任,有利于阻吓与预防相关的不法行为,间接地实现对个人信息流通秩序的维护,具有间接的公益性。
然而,在私益救济上,德国较之法国则有很大的局限性,德国续行个人诉讼阶段依旧需要权利人付出劳力、时间和费用,虽可利用示范案件中判决效力的扩张而在攻击防御上有所便捷之处,但这种效力带来的便利较为有限。法国团体诉讼则有利于解决扩散性损害的救济问题,在索赔阶段只需进行一定的登记程序就可加入到诉讼中获得实际赔偿,节省了德国续行个人诉讼的诉讼支出。但无论如何,在解决扩散性损害的问题上,欧洲国家都不约而同地选择了团体诉讼制度,目前也取得了一定的社会效果。对团体诉讼制度在解决扩散性利益保护的问题上,有许多值得我国借鉴之处,尤其是需要我们注重这种团体诉讼制度中未参与诉讼当事人的程序保障问题[57]。
2.法院监督与替代性纷争解决之重视
欧盟法中诉讼制度之外的程序配套措施也值得我们借鉴。一方面,在法官职权的行使上,需要加强其在团体诉讼中的主动性。法官应当视之为缺席权利人利益的保障者,对不符合团体所代表的群体利益的诉讼行为,法官应当予以驳回。同时,法官也应当视之为团体诉讼的程序监督者,程序正义是结果正当化的前提,法官在审判中需要重视公正与效率两种价值。需要通过监督诉讼中当事人程序保障落实程度,实现民事诉讼的程序正义[58]。正如在德国与法国的个人信息保护之团体诉讼中,法官会对和解协议进行审查,以维护全体权利人的利益;
对当事人和解协议的知情权、选择退出权进行保障,以实现这种现代型纷争解决中程序正义的要求。
另一方面,在纷争解决方式上,需要重视替代性纷争解决方式的应用。即使是在德国与法国团体诉讼机制差异较大的情况下,两国也都积极推进诉讼中的两造达成和解协议,以此终结诉讼。在ADR 携带的和解文化席卷全球的背景下,司法在裁判职能外增加和解职能已属共识[59]。基于此,对于扩散性损害的问题,私人纷争解决方式相较于裁判具有一定的优越性。因为扩散性损害本质上属于微小的私益,和解承载着私人价值,裁判承载着公共价值;
解决这种私益问题,和解等ADR 因为具有私益的同质性而更加适合。在个人信息保护侵权事件中,并不缺乏公法救济与公共利益的维护机制,相反,以维护私益为主的私法救济较为孱弱,更加需要重视对私益的救济以达到两者的平衡。
就此而言,扩散性损害本质上属于私益,对其救济使用私人纷争解决方式,或许更加高效,也更加符合实质正义的要求。即使是在私人纷争解决方式上,法院也需要加强司法监督,以保证社会团体所为的诉讼行为与维护实质原告利益的目的相符。即,要求诉讼行为本身具有充分的代表性。正如在欧盟法中,和解程序皆要求法院相当程度的介入,皆引入了司法审查和解协议的机制,以保障未直接参与和解磋商的实质当事人之利益。
我国个保法第70 条在沿袭过往已有的民事检察公益诉讼与消费者组织提起消费者团体诉讼的基础上,另外还新引入了由国家网信部门确定的组织提起团体诉讼的机制。由此,面对诸多的集体诉讼机制(见表1),团体诉讼机制已然是我国的立法选择。在此基础上,未来相关的司法实践则需要注意个人信息保护之团体诉讼制度的本土化发展,利用相关制度解决扩散性私益与社会公共利益的救济问题。具体而言,需要将团体诉讼机制与我国民事公益诉讼制度相结合,在民事诉讼程序中衔接公益与私益,将团体诉讼机制进行必要的本土化发展。同时,也需要参考比较法上的经验,加强团体诉讼运作中的司法监督,并善用替代性纷争解决机制进行纷争的友好解决。
表1 本文中与集体诉讼相关的概念之界定
(一)衔接公益诉讼与私益诉讼
1.团体诉讼的一体两面
我国团体诉讼制度主要以民事公益诉讼方式构建,我国语境下的民事公益诉讼实际上也是一种代表诉讼。具体到个人信息保护领域,则由某个个人信息保护协会代表受到民事侵权的群体提起民事诉讼。其中,我国同一件民事公益诉讼在利益上可能存在一体两面。最为典型的就是环保团体提起的环境公益诉讼,对于污染环境造成环境损害并要求赔偿属于公益诉讼,其不影响因侵权行为受损害的特定主体另外提起私益诉讼[60]。个人信息保护之团体诉讼亦然,其提起民事公益诉讼时,也有针对不特定多数人利益要求停止侵权行为的公益诉讼面向;
也有为了补偿因侵权行为导致特定人群权利受损,而提起的损害赔偿的私益诉讼。由此,同样一件个人信息侵权纷争损害社会公共利益的同时,也会损害特定多数人的权益,二者在保护个人信息主体权利的目的性、举证责任等问题上具有同一性,需要加强两者内在的制度衔接[61]。
我国民事公益诉讼的特色在于公私融合,公益诉讼实施权与私益诉讼实施权的诉讼主体皆为社会团体。因此,社会团体在进行诉讼时,可以同时提出公益诉讼请求与私益诉讼请求[62]。事实上,比较法上的德、法的经验表明,它们也并未区分公益诉讼或私益诉讼,而是将之统合于团体诉讼之中。由此,这种团体诉讼模式,融合公益请求与私益请求,也已经成为一种国际共识。
2.衔接协调公益与私益
未来,我国应当注重公益诉讼与私益诉讼的衔接。首先,在诉讼实施权配置上,应当在公益诉讼面向上创设新型的实体请求权,以符合法定诉讼担当的要求;
在私益诉讼面向上,依旧需要权利人授权,以符合意定诉讼担当的要求[63]。由此,需要在立法上明确诉讼权的配置,避免公益诉讼对私益诉讼造成不必要的妨碍。其次,需要构建事实与权利主张共通共享机制,以此简化二者在相同问题上重复举证质证。其中公益诉讼只能由社会团体进行举证责任,但在私益诉讼上,若侵权事实在公益诉讼已经被证明,则可不必再对其进行重复证明。若公益诉讼未能证明侵权事实,则私益诉讼应秉承“有利及之,不利不及”的原则,允许私益诉讼再次对侵权损害事实进行证明活动。因为,对于小额轻微事件,更需要平衡慎重裁判与简速裁判的程序保障问题,在不利情况下赋予原告更多辩论的机会,以促进客观真实的发现[64]。
此外,对于原因事实同一的情况,法院在审判过程中,应当依职权主动对相关程序进行简化。例如,公益诉讼与私益诉讼所共同要求证明事项,法院可以通过诉讼指挥权的实施,避免两造对重复事实进行不必要的再次证明。总之,在公益诉讼与私益诉讼衔接上,我国更加需要重视具有扩散性损害特征的私益救济,不可因公益诉讼的不利而影响私益诉讼;
同时,对于公益诉讼已经确定的事实,如果对私益诉讼属于有利事项,则可以援用之,以实现纷争一次性解决的价值理念。
(二)加强程序保障与司法监督
1.代表诉讼的程序保障
个人信息保护之团体诉讼本身具有公益性与群体性的特征,同时又兼具代表诉讼的特征,由社会团体作为形式当事人遂行公益诉讼或者私益诉讼。公益诉讼的目的是解决因个人信息侵权所生的持续性、隐蔽性与扩散性等公共危害。因为诉讼涉及公共利益,更要重视被告的程序利益的保障,禁止不同的社会团体重复提起诉讼,以符合纷争一次性解决与避免裁判矛盾的要求[65]。私益诉讼则需要重视对未参加诉讼程序的权利人之程序保障。社会团体代表众多个人信息主体提起的私益诉讼,依照意定诉讼担当的要求,实质当事人在进行权利登记之时需表明其将诉讼遂行权授予该团体。
在现实中,社会团体本身的利益与个人信息主体的利益并不完全相同,社会团体即使善意履行诉讼义务,也恐难如全体个人信息主体所愿。权利人未参与诉讼程序,诉讼结果的效力却及于其本身,虽有此前诉讼实施权的授权程序而需责任自负,但仍需加强对其的程序保障以使诉讼结果更加具有正当性。质言之,需要保障这些实质原告的程序主体权,充实陈述权与信息权等辩论权,保障其各项程序选择权[66]。具体而言,需要赋予权利人有选择加入或者选择退出私益诉讼及其和解的程序选择权;
同时,对和解或者调解等涉及权利人利益的情形,应当及时对其进行通知,使其能够知晓相关事件情况与协议的内容,保障其作为实质程序主体的知情权。
2.团体诉讼的司法监督
在法院监督与审查方面,个人信息保护之团体诉讼亦有公益诉讼与私益诉讼两个面向。在公益面向上,法官需要更加积极地介入事实调查与证据收集以维护公共利益,包括依职权委任专家证人以查明技术性事实[67]。同时,法官也需监督原告公益诉讼的履职情况,所有的撤诉、和解、调解都需要经过法院批准。在私益面向上,法院需要加大对诉讼程序的介入,法院的定位是缺席原告的权利守护者,也是和解程序等私人纷争解决方式的监督者[68]。尤其是在个人信息保护之团体诉讼中,社会团体所为的诉讼行为未必能代表全体权利人的利益,更需法院对其进行监督,防止诉讼实施权被滥用。在两造进行和解的过程中,法院也应该审查和解协议是否符合其他缺席的大多数原告的利益。其中,我国和解一般需要通过撤诉进行诉讼终结,当和解不符合公平性的要求时,法院应当驳回当事人撤诉,继续进行诉讼程序。
诚然,无论是公益诉讼还是私益诉讼,在个人信息保护之团体诉讼中,法院较传统民事诉讼皆需更强地介入,法律适用也更加依赖于法官的自由裁量权[69]。上述要求乃是该诉讼本身特点所致。因为人员众多而利益复杂、举证责任困难、案件性质兼具公益与私益等特征,在司法政策上需要更加慎重与保守。
(三)引入多元化纷争解决机制
个人信息保护之团体诉讼应适当引入多元化的纷争解决机制。这亦已成为世界各国解决群体性纷争事件的共识。因为ADR 本身更有利于实现协商和解、双赢理念、公正效率理念[70]。因此,需要将裁判外纷争解决机制与裁判相结合,并践行纷争类型审理理论、程序选择权理论及程序转换论,以达到公平、迅速、有效地解决纷争之功[71]。对此,我国民事公益诉讼在民诉法解释第287 条的要求下,构建了多元化纷争解决机制,包括公益诉讼和解、调解的审查监督体系,赋予当事人一定的自由处分权等内容[72]。因而,个人信息保护团体诉讼也应遵守该司法解释的要求,积极构建和解、调解等ADR 机制,在尊重当事人实体处分权与程序处分权的基础上,友好地解决纷争。
1.调解程序
在制度构建上可以考虑在诉前引入调解前置程序。在公益诉讼中,如果两造能达成调解,被告停止侵权行为并予以改正则已达到维护公益的效果,经过一定的公示期间,法院认为符合公益的情况下则应当予以制定调解书进行结案。在私益诉讼中,如果两造能达成调解,则需要进一步通知缺席的权利人调解协议的内容,赋予其选择退出的机会。对未退出的权利人,法院可以制定调解书予以结案。其次,在诉讼系属中,法院可以随时建议两造进行调解,在自愿原则下若达成调解协议,则可终结诉讼。同时,诉讼系属中的两造也可以随时达成和解,但和解协议应当经过法院审查,检视其是否符合公共利益与扩散性的群体利益。若审查符合则应允许原告进行撤诉结案;
若不符合,则需驳回原告撤诉请求,继续进行审判程序。
2.仲裁程序
再者,还可考虑在个人信息保护之团体诉讼中引入仲裁机制。例如,可以在特定条件下进行仲裁程序前置。仲裁本身具有简速性、专业性和不公开性,其程序与实体标准都可以进行合意选择,当事人拥有极高的自主性[73]。因此,基于仲裁高度的意思自治的特点,在解决个人信息保护之团体诉讼中的私益诉讼时,可以考虑引入这一程序。但是,公益诉讼则不可为之,因为公益诉讼涉及的公共利益,并非两造可以自由约定的事项,两造对其亦无处分权。况且,在仲裁判断作出后,法院不得对其再以裁判,缺乏法院监督的仲裁程序也难以保证其结果符合公共利益。
3.程序衔接
在引入上述多元化纷争机制的过程中,需要注意制度之间的相互衔接。具体而言,当某一项替代性纷争解决耗时长却无结果之时,则需要适时进行下一程序,防止诉讼被过分延滞。对于私益诉讼部分,可以考虑设置磋商先行、仲裁为主、诉讼最后保障的救济阶层体系,以提高个人信息侵权纷争解决的满意度与效率[74]。对于公益诉讼部分,则可以考虑建立和解先行、调解为主、诉讼最后保障的救济阶层体系,在保证法院司法审查的前提下,尽可能尊重当事人之间的合意。
(一)团体诉讼的选择
在大数据时代下,个人信息不仅具有人格属性,还具有商业属性。由此,个人信息权也具有公益属性与私益属性。目前,我国个人信息保护之团体诉讼制度还在处于立法的初步阶段,实践中也缺少相关的司法案例。在本土经验匮乏的情况下,我们应当进一步开阔视野,借鉴欧盟领域外相关的诉讼机制与司法实务经验。
欧盟法要求个人信息保护集体诉讼以团体诉讼的方式为之,作为其主要成员国的德国与法国,都设立了以社会团体作为适格原告的代表诉讼机制。其中,虽然德国采取示范确认诉讼,法国采取团体诉讼,两者在具体制度设计上有所区别。但两者都不约而同地大力推行和解程序的运用,并且在其中加大法院的司法审查与监督。这些经验表明,个人信息保护之团体诉讼可能是解决群体性纷争的一个重要选项,这种诉讼制度中还需要特别注意司法监督的介入与替代性纷争解决机制的运用,由此平衡其中的公益与私益的维护。
(二)具体的完善路径
我国未来在个人信息保护之团体诉讼制度的完善上也需要注重三点。其一,需要发挥团体诉讼制度的优越性,结合我国民事公益诉讼制度的经验,在个人信息保护之团体诉讼中加强公益诉讼与私益诉讼的衔接,并且注重发挥纷争一次性解决的机能,适当地对民事诉讼程序进行简化。其二,需要加强个人信息保护之团体诉讼中法院监督与审查的力度,并且积极保障私益诉讼中缺席权利人的利益,赋予其充分的程序保障。第三,需要构建多元化纷争解决机制,使得两造能够在友好的氛围下进行纷争的解决。具体而言,可以在私益诉讼中推广仲裁程序的运用,在公益诉讼中推广法院调解程序的运用。
随着个人信息保护法的实施,个人信息权的救济也将成为最重要的法学研究课题。伴随个人信息保护之团体诉讼的落地,也可预见未来将有很多解释论上的探讨。但无论是立法论抑或解释论,个人信息保护之团体诉讼研究离不开的核心课题是对于其中公共利益与扩散性私益的救济之协调,这也是诉讼法中最引人入胜的问题。而解决这些问题出路则是在理念上尽可能兼顾公共利益与扩散性私益的救济实效、平衡纷争解决一次性与程序保障之间的冲突,在司法技术上进行必要的司法监督规制与构建多元化的纷争解决机制。
注释:
①南京市中级人民法院(2018)苏01 民初1 号民事裁定书。
②上海市宝山区人民法院(2019)沪0113 刑初2482 号刑事判决书。
③Proposal for a directive of the European Parliament and of the Council on representative actions for the protection of the collective interests of consumers,and repealing Directive 2009/22/EC(COM/2018/0184 final-2018/0089 (COD)).
④Article 6,P8_TA(2019)0222.
⑤Article 3,P8_TA(2019)0222.
⑥§608 ⅣZPO.
⑦§610 ⅠZPO.
⑧Art.60 LOI n°2016-1547 du 18 novembre 2016 de modernisation de la justice du XXIe siècle(1).
⑨Art.37 Ⅳ Act n°78-17 of 6 January 1978 on Data Processing,Data Files and Individual Liberties(2019) .
⑩Art.66 LOI n°2016-1547 du 18 novembre 2016 de modernisation de la justice du XXIe siècle(1).
⑪Art.70 LOI n° 2016-1547 du 18 novembre 2016 de modernisation de la justice du XXIe siècle (1).
⑫Art.71 LOI n°2016-1547 du 18 novembre 2016 de modernisation de la justice du XXIe siècle(1).
⑬Article 8,P8_TA(2019)0222.
⑭Legislative Train December 2019 by Rapporteur Geoffroy Didier,15 December 2019.
猜你喜欢 救济团体个人信息 中国队获第63届IMO团体总分第一名中等数学(2022年8期)2022-10-24最新出版团体标准中国质量与标准导报(2022年2期)2022-06-09个人信息保护进入“法时代”今日农业(2022年1期)2022-06-01敏感个人信息保护:我国《个人信息保护法》的重要内容中国军转民·下半月(2021年12期)2021-02-15主题语境九:个人信息(1)疯狂英语·爱英语(2020年9期)2020-01-07民法典应进一步完善侵害个人信息责任规定民主与法制(2019年45期)2019-11-1728时代英语·高三(2014年5期)2014-08-26美团体打广告抗议“中国制造”环球时报(2012-03-28)2012-03-28和谐班子——团体活力的绝对优势对联(2011年2期)2011-09-14私力救济的界定及其正当性决策与信息·下旬刊(2009年3期)2009-12-07