(一)立案标准之“损害个人信息”的界定
根据《民事诉讼法》第五十五条和《行政诉讼法》第二十五条和相关司法解释之规定,个人信息检察公益诉讼的立案标准是有损害个人信息之社会公共利益的行为。那么究竟何为“损害个人信息呢”?
目前对“个人信息”的界定与范围也是众说纷纭。如《网络安全法》第七十六条第(五)项规定,“个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等”;《信息安全技术 个人信息安全规范》规定,“个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、出生日期、身份证件号码、个人生物识别信息、住址、通信通讯联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等”。不同学者对“个人信息”界定有不同的具体描述,其中学者杨芳的观点较为特殊,其认为“个人信息”是指能为自动化处理并能识别出具体个人的信息。综合学界观点与法律规定,界定“个人信息”可从两方面着手:一是无可争议之“实质要素”即“识别性”,能够识别出具体个人的信息是个人信息;二是“形式要素”,有的要求“自动化处理”、有的是指“以电子或其他方式记录”,有的则没有要求。究竟该依据何种形式界定“个人信息”需要进一步阐明,因为这不仅关涉检察公益诉讼之保护范围,还关涉检察机关调查取证权力、监督等行使。笔者认为,个人信息保护这个命题是信息技术发展之下的必然产物,将个人信息锁定在电子形式记录或者自动化处理方面是妥善之举,也可以减轻检察院因保护其他形式个人信息的负担;个人信息的范围倒是可以用“列举等”的方式,只要能够识别出个人的信息都应囊括进保护范围。
同时,“损害”的界定也显得十分“焦灼”。第一,“损害”前提之“违法行为”的判定。目前我国缺乏统一的个人信息保护立法,分散的个人信息保护法律法规很多,国家标准也丰富多样,到底该如何适用法律规范判定“违法”需要法律体系之间进行很好的解释和运用。第二,我国侵权责任法规定的损害大致可分为人身、财产和精神损害,此三种损害均难以适用于个人信息权利的侵权认定。对个人信息的损害有的时候并不表现为人身性、财产性、精神性,如2018 年上海市检察机关公益诉讼检察部门组成专案组调查分析了与民生密切相关的近30款App存在的问题,很多App以默认方式获取个人信息授权、强制索权或过度索取个人信息,这样对个人信息或个人信息权的损害很难归入到人身权、财产权或精神权。因为个人信息具有综合性、丰富性,已经超出传统侵权损害能涵盖的范畴。第三,“信息处理”制度是个人信息及其保护的基石,个人信息收集、储存、利用、共享等多种信息处理行为都有可能产生“损害”,需要明确的是到底“损害”是指单一某个阶段的损害,还是无论哪个阶段的损害均可;到底什么是“收集”、“储存”、“利用”等行为。而这一切都基于对“信息处理”制度的建立,“在互联网时代,个人信息的合理利用、安全保障、隐私保护等法律利益只有基于信息处理制度才能得到客观和科学的描述”。第四,“损害”这一法律概念到底指称“行为”还是“结果”也需要明确。就好比我国刑法当中很多罪名区分“行为犯”还是“结果犯”一样,到底“损害”的认定是依据“损害”这一行为还是需要依靠一定的“损害后果”或者都需要?或者像侵犯公民个人信息罪那样规定一定的“损害情节”,如个人信息的条数、违法所得收入、个人信息所涉及的人数?第五,“大数据时代,公民及社会公共的信息利益还具有间接性,信息侵害的损失亦多为间接损害,如公民因网络、信息诈骗罪等犯罪而造成的损失多为其个人信息侵犯的间接或后续结果”,到底“损害”始于“现实的可计算或可视的损害发生之时还是在网络运营者等行为人实施达到一定程度的违法收集、使用及储存行为之际”,即“损害”的直接性或者间接性,损害的程度也需要明确。笔者认为对“损害”的界定应在法律规则和原则的框架下具体问题具体分析,个人信息处理的具体场景不同、处理的个人信息种类不同,保护方式相对有所差异。
(二)行政违法行为的认定
个人信息检察公益诉讼的特殊功能在于纠正行政机关在个人信息保护层面的违法行为。行政违法行为一般分为作为和不作为。一般认为对于行政违法作为行为比较容易判断,行政机关违法法律规定滥用职权会相对较为明显。但是有以下问题也需要检讨,即明确“违法”之“法”到底是什么。宪法、行政规范性文件、国家标准文件到底是不是“法”。例如,很多国家标准规定了如何保护个人信息、如何对个人信息去识别化、如何开展个人信息公开的权益评估,检察院在适用法规范断定行政机关违法时是否可以参考适用呢?我觉得检察院可以在穷尽其他法律规则的条件下,运用原则和标准去辅助判断,因为个人信息保护实在是一项具体而系统的工程,很多法律规范受客观条件的限制,无法穷尽所有可能而却也不能规定很多细枝末节的情形,只有依靠其他“工具”予以辅助才能解决问题。实践中,行政机关怠于履行职责,应作为而不作为和应作为而不完全作为的情形往往认定较为困难。个人信息侵害本就具有隐蔽性、多样性、智能型等诸多特点,侵害个人信息不管对于检察机关还是行政机关来说都存在界定困难。检察院既要尊重行政机关在处理侵害个人信息案件时具有首次判断权,也要发挥监督职能,需要准确把握法律愿意和立法目的、立法精神,发挥诉前程序的优势,总结出行政机关在保护个人信息领域不作为、不完全作为的行为方式和判断标准来。
