摘要:刑事附带民事公益诉讼是检察机关履行公益诉讼职能的重要途径之一。但由于法律供给不足,涉信息网络犯罪刑事附带民事公益诉讼在当事人适格、诉前公告履行、刑民责任承担等问题上存在诸多争议,相关的司法实践呈现出复杂多样的审理样态。首先,在个人信息保护领域,由其他法定组织提起民事公益诉讼的情形极少,且检察机关与其他组织为平权关系,诉前公告程序并无必要且会影响诉讼效率,应予废除。其次,由于刑事诉讼与民事诉讼中责任认定标准等事项的差异,适度扩大被告主体范围有助于最大限度地保护公共利益。最后,检察机关在附带民事公益诉讼中虽能主张惩罚性赔偿,但应保持谦抑与克制,只有当刑事罚金远远达不到惩罚、预防和公益保护的效果时,才有追究惩罚性赔偿责任的实益。
关键词:刑事附带民事公益诉讼;民事公益诉讼;个人信息保护;检察机关;社会公共利益;刑民责任
一、问题的提出
最高人民法院、最高人民检察院于2018年联合发布的《关于检察公益诉讼案件适用法律若干问题的解释》(以下简称《检察公益诉讼解释》)第20条赋予了检察机关在环境资源保护、食药安全领域提起刑事附带民事公益诉讼的职权,但该司法解释并未明确规定检察机关对侵犯公民个人信息的犯罪行为可以提起附带民事公益诉讼。2020年“两高”对该司法解释进行了修改,亦未将个人信息保护领域纳入检察机关行使公益诉讼职权的范围。2021年11月1日起施行的《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)将个人信息保护纳入检察公益诉讼的法定办案领域,为拓宽刑事附带民事公益诉讼的案件类型和范围提供了可能。在《个人信息保护法》实施后,检察机关在办理侵犯公民个人信息案件时提起刑事附带民事公益诉讼,要求被告人对其所造成的公共利益损害承担民事责任的案件数量呈现快速上升的趋势,刑事附带民事公益诉讼成为检察机关在个人信息保护领域履行公益诉讼检察职责的主要方式。
尽管理论界和实务界已基本形成扩张刑事附带民事公益诉讼适用范围的价值共识,但由于个人信息领域刑事附带民事公益诉讼的实体与程序规范暂付阙如,该类型诉讼在司法实务中呈现出纷繁复杂的实践样态。最高人民检察院近年来发布了一系列涉信息网络犯罪的刑事附带民事公益诉讼典型案例,试图为个人信息保护刑事附带民事公益诉讼案件提供审理和裁判规则,但围绕该制度的学术讨论和现行立法都暴露出一个根本问题:刑事附带民事公益诉讼的程序构造被忽视,对普通民事公益诉讼规则的路径依赖导致对其进行改造以实现数字场域中公共利益的维护任务未能圆满完成。目前,此类案件在起诉要件、诉前公告程序以及刑民责任竞合等方面尚未形成一致的裁判规则。近年来,地方法院对数字场域中刑事附带民事检察公益诉讼作出的司法判决,在理论界和实务界均已产生较大影响,也衍生出一些问题,亟待从理论层面加以廓清:检察机关是提起刑事附带民事公益诉讼的唯一适格主体吗?检察机关在抗衡信息侵害者、制裁不法行为的同时,能否将非刑事案件被告人的网络运营者追加为附带民事公益诉讼的被告?附带民事公益诉讼是否应设置诉前公告程序?在刑事责任范围内如果被告人被判处有期徒刑并处罚金,同时在民事责任范围内被判处公益损害赔偿,是否存在责任竞合和重复处罚之嫌?
针对上述问题,本文以个人信息领域刑事附带民事公益诉讼这一特殊诉讼形态为切入点,从现实考量和理论证成两个层面探讨其制度正当性,并采用实体法与程序法相结合的研究方法,理清此类诉讼的审理与裁判规则,力求推动其在基本法理与法律规范下有序推进,为新时代加强个人信息的协同保护及推动个人信息侵权纠纷的高效化解提供理论支撑和智识支持。
二、个人信息保护刑事附带民事公益诉讼的证成
刑事附带民事检察公益诉讼的出现,很大程度上与民事公益诉讼案件范围不断拓展有密切联系,但与基础理论与制度设计较为完备的民事公益诉讼相比,个人信息保护刑事附带民事检察公益诉讼的产生带有显著的实践推动性,其正当性基础和程序法回应皆处于“理论不明、实践不清”的状态。因此,证成个人信息保护刑事附带民事公益诉讼的正当性是探讨其具体适用规则的逻辑前提。
(一)现实之需:侵犯公民个人信息传统救济途径的局限性
用户画像信息遭遇强制收集、手机号被泄露频繁接到推销电话……数字时代,信息的传播、获取和利用都变得极为便利,不当收集、使用和泄露公民个人信息实施违法犯罪的现象日益增多,已经严重威胁到公民的人身和财产安全,甚至对网络秩序和公共利益形成挑战。如何构建与数字时代网络秩序特征相匹配的个人信息保护诉讼规则体系受到全社会高度关注。根据我国《刑事诉讼法》《民法典》《个人信息保护法》的规定,在侵害公民个人信息权益受到刑事追诉并存在公共利益的损害之虞时,公诉机关可以侵犯公民个人信息罪为由提起刑事诉讼,检察院、法律规定的消费者组织和国家网信部门有权提起个人信息保护民事公益诉讼,公民可以就个人信息保护请求权提起私益诉讼。
不过,当侵犯众多公民个人信息的行为造成社会公共利益受损,且该状态持续存在时,系同时侵犯了刑法和民法所保护的法益,理应承担刑事和民事二元责任,此时如果只能通过上述三种传统救济模式予以规制,必然无法兼顾公共利益受损的可修复性以及违规处理个人信息的惩罚、威慑和预防目的。
其一,仅通过追究被告人侵犯公民个人信息罪的刑事责任无法弥补和修复受到损害的社会公共利益。在数据价值逐利的驱动下,公民不同类型的个人信息时常被大规模违规收集、存储、使用,一旦这些个人信息被非法出售或用于实施犯罪活动,不仅会对公民的生活安全权等个人法益造成严重威胁,还会扰乱网络空间秩序,造成公共法益的损害。对于符合《刑法》第253条构成要件的单位或者个人可以通过侵犯公民个人信息罪予以打击,但刑事诉讼中指向的权益主体具有明确性、特定性,对于公共利益的保护具有回溯性特征,其主要目的在于事后打击和惩罚犯罪,而不在于填补不法行为造成的损害。由于先进算法技术的研发与应用,个人信息侵害行为变得更加隐蔽、间接且持久,后续可能带来的公益损失难以估量。因此,仅追究被告人的刑事责任,无法弥补不法行为所造成的实质损害,也无法实现公共利益受损背后承载的正常社会公共秩序的修复。
其二,直接提起民事公益诉讼无法应对“民刑交叉”难题,且面临案件线索发现难、权益救济薄弱等实践困境。民事公益诉讼无须以刑事诉讼为充分条件,对于侵犯个人信息但不构成犯罪的案件,检察机关对违法主体提起个人信息公益诉讼,确实能够发挥网络空间治理、保障社会公共利益的重要作用;但当办理个人信息保护公益诉讼案件过程中发现存在犯罪事实时,必然要中止民事程序,首先追诉个人信息处理者的刑事责任,此时刑事程序的作用要大于民事程序。需要强调的是,尽管检察公益诉讼的案件线索来源具有多样性,但是在个人信息保护检察公益诉讼中,案件线索却基本来源于刑事案件查办过程中,即检察院在犯罪侦查、审查起诉阶段获取到公共利益遭受损害的案件线索。实践表明,对于受损的公共利益以及被害人的实际损失,检察机关往往在刑事公诉程序中通过提起附带民事公益诉讼的方式予以救济。而刑事附带民事公益诉讼之所以呈现扩大化发展趋势,正是公益诉讼起诉人在办理民事公益诉讼案件中普遍遇到了案件线索发现难、取证成本高等问题,希望借助于刑事诉讼程序引导公安机关就公共利益损害以及损害的程度进行调查,为将来提起民事公益诉讼或发出检察建议创造条件。由此可见,即使民事公益诉讼(含刑事附带民事公益诉讼)已经成为个人信息保护的主要程序路径,也需要厘清其与先行的刑事诉讼之间的关系,从而促进两者的协同处理。
其三,个人信息保护私益诉讼举证、维权难度较大,即便个案胜诉也难以产生广泛的社会效果。在大数据时代,个人信息的商业价值显著增加,迅猛发展的互联网信息技术为个人信息的收集、处理和再利用提供了更广阔的空间。然而,违规处理个人信息的行为往往带有批量化、规模化特征,多数人因为信息的不对等而无法察觉和起诉,或虽有察觉,但面对诉讼成本高、持续时间长、实际损失举证困难等阻碍因素,依旧选择置之不理。此外,私益诉讼的目的不在于预防同类行为再次发生,亦非为赎过或威慑而给予惩罚,而是对损害的弥补。面对大规模违法收集、使用、出售不特定公民个人信息的侵权行为,如仅判处行为人承担民事责任,则可能减损刑罚的严厉性。即便个案维权成功,也无法产生广泛的威慑、安抚、补偿、教育的多重社会效应,难以实现对违法行为的预防和对公益的全面保护。
综上所述,对于在网络空间实施犯罪活动侵犯公民个人信息的行为,犯罪的规模性、危害的扩散性以及被害人的广泛性使得单纯刑事处罚抑或民事赔偿均难以有效保障其中蕴涵的个人权利和公共利益,在刑事公诉、民事公益诉讼和个人私益救济之间尚存一定的真空地带,而这恰恰是刑事附带民事公益诉讼得以发挥作用的空间。
(二)独立价值:刑事附带民事公益诉讼的正当性
数字经济时代背景下,公民个人信息的法益属性不断扩张,经济属性、社会属性以及公共属性日益凸显,这意味着通过任何单一程序路径(刑事诉讼、民事公益诉讼抑或私益诉讼)均无法实现对公民的个人信息权益予以周延保护,也无法妥适回应价值多元的实践需求。本文认为,将个人信息保护纳入刑事附带民事公益诉讼的适用场域具备以下理论正当性。
第一,从法益识别上看,侵害公民个人信息罪刑事附带民事公益诉讼契合公共利益保护的实践需求。“公民个人信息不仅直接关系个人信息安全与生活安宁,而且关系社会公共利益、国家安全乃至于信息主权。”个人信息的可识别性标准表明,侵犯公民个人信息罪的保护客体包括个人法益和公共法益,其目的不仅局限于消除特定民事主体私权益的具体风险,还包含预防可能引发下游犯罪、危害公共信息安全和社会管理秩序等潜在的社会公共风险。个人信息保护问题事关不特定公众群体的切身利益,已然形成新的“公益”类型。当特定个体对象的人身权、财产权遭受损害时可通过传统侵权之诉予以救济,但公共信息安全和社会管理秩序受损显然不属于私权保护范畴,因此在打击侵犯公民个人信息犯罪的同时,有必要引入刑事附带民事公益诉讼。刑事附带民事公益诉讼以切实维护公共利益而非追究被告人的刑事责任为首要目标,其救济的客体当然应涵摄公共利益损害。
第二,从制度功效看,刑事附带民事公益诉讼能够有效填补私益诉讼之外的民事救济。在损害数额较小的单条个人信息受侵害事件中,民事私益诉讼通常依据“对抗—判定”式的传统民事诉讼构造进行搭建,但各自为战、势单力薄的个人存在诉讼动力不足和证据短缺的困境,难以抗衡具备强大技术和经济实力的数据企业。实践中,个人自发提起侵权之诉抑或单纯依靠行政监管手段,均存在着失灵的可能。其中,公权力的乱作为或不作为导致公共利益受损的可能性最大。这也是在个人信息保护领域确立刑事附带民事公益诉讼的实践动因。由于公诉机关在刑事附带民事公益诉讼过程中承担了关于侵权行为成立的证明责任,附带民事公益诉讼的判决作出后会产生“宣示”之效,能够对受害人提起私益给付诉讼产生预决效力,减轻受害人的应诉和举证负担。受害人能够借助附带民事公益诉讼的判决,只需对被告的行为致使其个人信息受到侵害的损失进行举证,即可实现自己的赔偿请求权。由此可见,重视刑事程序、行政程序和民事程序的不同功能,强化不同司法程序的整体协调和配合,能够形成个人信息保护的程序合力。
第三,从体系解释看,检察机关在涉信息网络犯罪案件中发现公共利益受损的事实,有权提起刑事附带民事公益诉讼。《检察公益诉讼解释》第20条所列刑事附带民事公益诉讼的案件范围与《民事诉讼法》(2023年修正)第58条相一致,并未明确规定侵犯公民个人信息犯罪的追诉过程中可以提起附带民事公益诉讼。《个人信息保护法》第70条将“侵害众多个人信息权益纠纷”纳入公益诉讼的适用场域,结合该法第71条可以“追究刑事责任”的规定,以及2021年6月《中共中央关于加强新时代检察机关法律监督工作的意见》、2021年8月最高检下发的《关于贯彻执行个人信息保护法推进个人信息保护公益诉讼检察工作的通知》、2021年4月最高检发布的“检察机关个人信息保护公益诉讼典型案例”(案例9、10、11)、2022年12月最高法院公布的指导性案例192号等信息,不难看出将个人信息保护纳入刑事附带民事公益诉讼框架已经获得了顶层设计的支持,建构个人信息保护检察刑事附带民事公益诉讼的制度土壤已基本形成。法律是治国之重器,良法是善治之前提。随着2023年9月《检察公益诉讼法》被纳入十四届全国人大常委会立法规划一类项目,检察机关在个人信息领域的刑事司法保护和公益诉讼保护将获得更加科学化、精细化的法律供给,刑事附带民事公益诉讼在司法实践中无法可依、做法各异的混乱状态也有望得到彻底改善。
三、个人信息保护刑事附带民事公益诉讼的特有构造
刑事附带民事公益诉讼是介于刑事诉讼和公益诉讼之间、由刑事诉讼中衍生出的独立程序,但其法律属性仍然属于民事公益诉讼的范畴,因此在诉讼源头上明确其起诉要件是后续审判程序得以顺畅进行的前提。个人信息保护刑事附带民事公益诉讼的起诉要件需要衔接刑民程序,涉及以下三方面的问题:第一,检察机关的起诉顺位;第二,刑事被告人与附带民事被告之间的对应关系;第三,是否有必要保留诉前公告程序。以下分别进行论述。
(一)诉权主体:应确定检察机关的独占起诉权
根据《民事诉讼法》和《海洋环境保护法》的规定,检察机关在民事公益诉讼中是第二顺位的起诉主体。《个人信息保护法》第70条规定,个人信息保护公益诉讼的起诉主体包括检察机关、社会组织以及网信部门确定的组织。这三者之间是并列关系,没有先后次序或位阶关系。就刑事附带民事公益诉讼而言,《检察公益诉讼解释》第20条将检察机关确定为唯一起诉主体。在侵害公民个人信息罪刑事附带民事公益诉讼的语境下,起诉主体究竟采用一元论抑或多元论是理论和实践中备受争议的问题。
有学者认为,将刑事附带民事公益诉讼的起诉主体限定为检察机关,同《民事诉讼法》第58条关于保障法定主体起诉优先性的立法精神相抵触,因而主张多元化起诉主体模式。但本文认为,个人信息保护刑事附带民事公益诉讼的启动主体具有唯一性与特定性。原因有二:
其一,其他机关和社会组织在普通公益诉讼中可能扮演主导角色,但二者无法介入刑事附带民事公益诉讼。以社会组织为例,绝大多数的社会组织因欠缺足够的人力资源、办案经费和制度武器,在民事公益诉讼领域尚且表现平平,遑论在刑事附带民事公益诉讼中对其寄予厚望。从程序参与角度看,提起刑事附带民事公益诉讼的条件通常在刑事追诉过程中逐渐臻于成熟,社会组织作为案外人,没有参与在先的刑事诉讼程序,自然难以知悉公共利益受损情况,对于刑事诉讼中已经认定的部分事实也缺乏足够认知。申言之,由社会组织中途接手并提起刑事附带民事公益诉讼,不但与这类诉讼的补充性、附带性特征相抵触,并且会因配套的信息共享和证据移交程序付诸阙如而引发诉讼迟延。因此,赋予社会组织在刑事附带民事公益诉讼阶段享有优先起诉权,除了增加程序运作的复杂性之外,难见其他益处。检察机关是国家的法律监督机关,是刑事诉讼的公诉人和主导者,能够在刑事附带民事公益诉讼中延续刑事诉讼与民事公益诉讼的连贯性。相较于社会组织,检察机关在起诉动力、证据调查、组织人员、资源调配和经费保障等方面均占据着相当大的优势,由其作为附带民事公益诉讼的唯一起诉主体符合诉讼力量和成本效益的分配,实现个人信息权益、企业合法权益及社会公共利益的协调统一。
其二,在个人信息领域,刑事附带民事公益诉讼起诉主体的唯一性并不违反民事公益诉讼保障法定主体起诉优先性和检察监督谦抑性原则。检察机关独占附带民事公益诉权,并不意味着其他机关和社会组织不再享有单独提起普通民事公益诉讼的权利。基于民事检察监督的谦抑性原理,如果已有适格的其他机关和社会组织就同一侵犯个人信息的行为提起民事公益诉讼,那么检察机关便没有必要再重复提起附带民事公益诉讼,而是可以通过出具法律意见、移交证据、协助调查取证等方式来支持起诉。
(二)适格被告:适度扩张被告主体范围的合理性
在数字化时代,大规模侵犯个人信息的事件频繁发生,然而许多情况下刑事被告人的行为并非公共利益受损的全部原因,其他个人信息处理者或网络服务提供者的行为也在客观上扩大了公益损害范围,致使刑事诉讼被告人与需要承担民事责任的“潜在”被告之间并不完全等同。最高检发布的典型案例中,已出现将非刑事案件被告人的网络运营平台追加为刑事附带民事公益诉讼被告的案件;司法实践中,也有检察院在提起刑事附带民事公益诉讼时,将共同实施非法贩卖公民个人信息侵权行为但未被追究刑事责任的案外人追加为附带民事公益诉讼的被告,及时消除了公益损害危险。
有观点认为,如果公益诉讼的潜在被告超出刑事被告人的范围,不宜在刑事附带民事公益诉讼中对网络运营者等案外人的民事责任做出统一认定,刑事部分和民事部分的被告主体之间应采用等同模式。诚然,等同模式在个人信息保护领域的刑事附带民事公益诉讼实践中运用最多、占比最高,但并不能以此为由将不构成犯罪却与公共利益损害高度相关的主体排除在刑事附带民事公益诉讼的被告范围之外。基于个人信息保护的全面性,检察机关在提起刑事附带民事公益诉讼时,可以适度扩张被告的主体范围。
首先,涉案主体够罪与否,都不能否认其与侵犯公共利益的行为具有高度关联性,应将公益诉讼的潜在被告视为一个整体看待。个人信息侵权行为的实施具有多种表现形式,数名个人信息处理者出于意思联络共同实施违规处理个人信息时,构成共同侵权;网络服务提供者未及时采取必要措施导致损害发生或扩大,也应当承担连带责任。鉴于承担刑事责任的要求更为严格,部分个人信息处理者、网络服务提供者的行为可能不构成犯罪,或者因犯罪情节显著轻微被检察院不予起诉,但不承担刑事责任并不能豁免上述主体停止侵害、排除妨碍等民事责任。通常情况下,检察机关根据个人信息犯罪行为前期侦查的结果,已经对涉案主体的行为是否符合犯罪构成要件、民事侵权要件以及是否造成公共利益损害等事项进行了初步审查判断,目光在刑事责任与民事责任之间往返。检察机关对不构成犯罪或者不承担刑事责任的当事人提起附带民事公益诉讼,在案件事实、证据证明、责任认定方面均能够与刑事案件形成有效衔接,与刑事诉讼的审理和裁判方向可谓并行不悖。
其次,根据《最高人民法院关于〈中华人民共和国刑事诉讼法〉若干问题的解释》(法释〔2021〕1号)第180条第1款规定,除了刑事被告人以外,刑事附带民事诉讼的被告还包括“未被追究刑事责任的其他共同侵害人”和“对被害人的物质损失依法应当承担赔偿责任的其他单位和个人”,可见刑事附带民事诉讼的适格被告采用的是包含模式,并非等同模式。作为附带民事诉讼的下位概念,附带民事公益诉讼自然也应当适用上述规定,将与侵犯公共利益的行为高度相关,出于意思联络共同违规处理个人信息的主体纳入“未被追究刑事责任的其他共同侵害人”,并将后续承担(连带)赔偿性责任、恢复性责任、预防性责任的网络运营平台解释为“对被害人的物质损失依法应当承担赔偿责任的其他单位”。
综上所述,从保护社会公共利益、提高司法效率的角度出发,检察机关在提起个人信息保护刑事附带民事公益诉讼时,有权适度扩大被告主体范围,将未被追究刑事责任的其他侵权主体列为共同被告。
(三)诉前程序:附带民事公益诉讼无须设置公告程序
刑事附带民事公益诉讼公告制度的存废问题,引起了理论界和实务界的广泛关注。诉前公告制度的支持者认为,保留公告程序能够保障其他适格起诉主体的起诉优先权和诉讼知情权,彰显民事检察权的补充性与谦抑性。但本文认为,在个人信息保护领域,刑事附带民事公益诉讼的诉前公告程序并无“用武之地”,应予废除。
其一,《个人信息保护法》第70条规定检察机关与其他机关、社会组织是平行关系,已然突破了《民事诉讼法》第58条关于起诉顺位的一般规定,因此在个人信息保护领域,检察机关提起民事公益诉讼或刑事附带民事公益诉讼无需考量其他机关和组织的优先起诉权,自然不应受前置公告程序的约束。事实上,若保留诉前公告程序致使其他社会组织介入,则会出现检察机关为公诉人,社会组织为附带民事公益诉讼起诉人的局面,一旦两者在诉讼中态度不一致,必然无法迅速、合理判定具体的公共利益损害和相应的民事责任范围。因此,将履行诉前公告程序作为起诉要件除了拖长刑事诉讼审理期限、延误民事公益损害救济期限之外,难见其他益处。
其二,就刑事附带民事公益诉讼而言,履行诉前公告程序不利于犯罪嫌疑人获得及时审判权利的保障。“司法机关应严格按照诉讼法及其他法律法规中的程序性要求进行司法裁判”。刑事诉讼奉行诉讼及时性原则,要求司法机关在侦查、审查起诉、审判等各个环节都应及时进行,避免犯罪嫌疑人因长期羁押而遭受不必要的精神和肉体折磨,这不仅有助于保障犯罪嫌疑人获得及时审判权,也能够防止证据灭失或被篡改,加快定罪量刑进程。侵犯公民个人信息案件大都是轻刑案件,被告人通常会认罪认罚,在审查起诉阶段办案期限与羁押期限一致化的规定下,保留刑事附带民事公益诉讼的诉前公告制度会直接导致犯罪嫌疑人因为诉前公告而延长羁押期限1个月,显然与刑事诉讼及时性原则背道而驰。而在司法实践中,基层检察院在提起刑事附带民事公益诉讼之前,一般还需要报请上级检察机关批准,在省、市两级检察院依次作出同意的批复后,基层检察机关才能将刑附民公益诉讼案件与刑事案件一并提交到同级法院进行审理。这些程序性拖延无疑又会变相延长了犯罪嫌疑人、被告人的未决羁押期限,影响刑事附带民事诉讼效率的实现。
其三,实践表明,刑事附带民事公益诉讼的公告程序存在“空置”现象,并未起到推动社会组织起诉的立法预期效果。2019年“两高”发布的《最高人民法院、最高人民检察院关于人民检察院提起刑事附带民事公益诉讼应否履行诉前公告程序问题的批复》规定,诉前公告系刑事附带民事公益诉讼的必经程序。虽然各地检察院在实践中大多遵循了司法解释的规定履行了公告程序,但少数地区(如深圳等)颁布的地方性法规却与“两高”的批复持相反态度,认为检察院对生态环境刑事附带民事公益诉讼案件可以不经诉前公告程序而直接起诉。在正义网公开的检察机关发布诉前公告案例中,其他机关或者组织在诉前公告后主动提起民事公益诉讼的案件极为罕见,甚至还出现了社会组织在看到公告后撤回已经提出的民事公益诉讼的现象。笔者对山东省青岛市人民检察院及其辖区内10个基层检察院办理的刑事附带民事公益诉讼案件进行了统计,自2020年1月1日至2024年6月1日共办理刑事附带民事公益诉讼案件252件,全部履行了诉前公告程序,但没有任何组织行使诉权,也未收到其他机关、社会组织有意提起公益诉讼的反馈。
综上所述,我国刑事附带民事公益诉讼中的诉前公告程序出现了严重的“空置现象”,不仅没有起到立法的预期效果,反而降低了刑事附带民事公益诉讼的审判效率,减损了犯罪嫌疑人和被告人的权利保障力度。因此,废除刑事附带民事公益诉讼的诉前公告制度具有充足的理论支撑和现实基础。
四、个人信息保护刑事附带民事公益诉讼的刑民责任
在个人信息保护刑事附带民事公益诉讼案件中,赔偿损失、赔礼道歉、停止侵害、消除危险是检察机关提出的常见诉讼请求,但审判实践中能否主张公益损害惩罚性赔偿、公益损害赔偿金与刑事罚金并处时是否违反一事不再罚原则,以及公益诉讼赔偿金“谁来监管、由谁支配”等问题仍然悬而未决,有必要从理论上对上述问题加以廓清。
(一)诉讼的公益属性需要引入惩罚性赔偿
公益诉讼是通过法律程序为公民伸张正义、表达公民诉求的过程,检察机关在办理个人信息保护公益诉讼案件时,通常提出“赔偿损失”和“赔礼道歉”的诉讼请求,也有案件主张了停止侵害、消除危险的请求,要求被告人彻底删除非法获取的公民个人信息,并注销涉案通信账号、群组等。然而,上述诉求仅仅停留在损害填补的事后救济层面,难以发挥威慑和预防作用,也无法弥补受损的社会公共利益。在大规模侵犯个人信息的犯罪活动中,公民个人信息权益遭受损害具有不确定性和不可逆性。在实际损失难以查明的情况下,检察机关通常以涉案人员的非法获利数额提出赔偿请求,尽管被侵犯的公民个人信息数量庞大,但每条信息价格低廉,单个的受害人能证明的损害范围(数额)与加害人因侵害行为所可能获得的利益相比完全不成比例,致使能够认定赔偿金额与可能造成的潜在公共利益损害之间明显不对等。由此可见,概括性地以获利为赔偿标准,即便是损害填补的目标尚且无法完整实现,遑论威慑、遏制个人信息处理者不得实施相同或者类似行为了。
对“潜在”的违法行为人具有强大震慑作用的民事责任类型实际是惩罚性赔偿。法院判决超出原告实际受损数额的惩罚性赔偿,具有补偿原告损失、惩罚被告、威慑不法行为人以及维护社会公共利益的多重目的,而个人信息自身蕴含着公益属性,二者在性质和功能上具有天然适配性与内在契合性。由于个人信息损害的价值通常无法通过具体市场价格衡量,在救济这类损害时就难以实现完全赔偿,故需要惩罚性赔偿予以补强。因此,检察机关可以参照生态环境损害、消费者权益保护等领域适用惩罚性赔偿的有益做法,在个人信息保护刑附民公益诉讼领域引入惩罚性赔偿制度,通过判处被告人支付高额惩罚性赔偿金的方式抑止“违法成本低”的现象,威慑和警示潜在的违法行为人主动放弃实施侵犯个人信息的不法行为。
需要强调的是,虽然本文支持在个人信息保护公益诉讼中引入惩罚性赔偿,但这种引入绝非无条件的,亦不是单纯呼吁法律的修改,而在于整合、协调侵权人所应承担的经济责任,以消除刑事、行政和民事责任竞合时的潜在冲突,从而更好地体现过罚相当原则。在个人信息保护刑事附带民事公益诉讼中,刑事罚金与民事惩罚性赔偿并用时可能产生处罚竞合和同质化问题,如果惩罚性赔偿认定标准宽松,赔偿数额巨大,则不但会引发执行不能的风险,使得生效的给付判决沦为“法律白条”,还会使大量个人信息处理者无力清偿而濒临“破产”,甚至会抑制信息处理活动本身,挫伤个人信息处理者合理利用个人信息的动力,妨碍市场经济的发展。因此,检察机关在考量惩罚性赔偿时需要保持谦抑性,只有行为人造成严重公益损害,且公共利益的可赔偿性损害大小难以具体衡量和计算时,才能提出惩罚性赔偿的诉讼请求。此外,检察机关应对适用惩罚性赔偿的必要性及责任构成要件承担举证责任,即证明个人信息处理者实施的严重不法行为致使众多个人信息权益严重受损,单处罚金不能弥补公共利益的实际损失并且侵权人在主观上具有恶意。
(二)明确刑民责任交叉时的处理规则
检察机关在对涉信息网络犯罪行为提起刑事附带民事公益诉讼时,能否主张对同一行为并处罚金和民事赔偿金?如果并处,是否违反一事不再罚原则,两者是否可以相互抵扣?理论界对上述问题存在分歧。有学者认为,如果要求实施不法行为的个人信息处理者既承担刑事罚金,也承担惩罚性赔偿责任,就造成了对不法行为的过度评价,有重复处罚之嫌。可见,尽管《民法典》第179条将补偿性赔偿(赔偿损失)和惩罚性赔偿确立为民事责任形式,但并未消除二者与罚金并科时的内在紧张关系。
首先需要明确,《刑法》第36条确立了民事赔偿与刑事罚金可以并存的司法适用关系。通过刑事附带民事公益诉讼对实施侵犯公民个人信息的行为进行刑事和民事双重制裁,可以形成追责合力,从而更有效地阻止不法行为人实施被社会给予消极评价的行为,从而实现风险社会的预防治理。鉴于补偿性赔偿金与惩罚性赔偿金的主要功能和法律效果存在差异,有必要分别讨论二者与刑事罚金并处时的裁判规则。
其一,补偿性赔偿金与刑事罚金可以并处,不得互相抵扣。补偿性赔偿金属于私法债权,重在回复和补偿,而不具有“威慑”和“设立典范”的功能。对附带民事公益诉讼被告判处赔偿损失的民事责任,也是对公共利益的维系和修复。而刑事罚金属于公法债权,重在惩罚,是司法机关依据刑法对犯罪行为做出的一种刑事制裁措施。在刑事附带民事公益诉讼中,无论对补偿性赔偿金采取何种管理模式,其最终去向均应用于公共利益修复和个人信息的防范治理,与统一上缴国库、纳入一般公共预算管理的罚金具有云泥之别。鉴于二者在性质和功能上存在明显差异,因此不能相互吸收或相互替代。
其二,惩罚性赔偿金与刑事罚金可以并处,在后者数额较少时可以在前者中予以抵扣。在个人信息保护刑事附带民事公益诉讼中,惩罚性赔偿应遵循谦抑、谨慎原则,只有当刑事罚金与造成的公益损害之间不对等,远远达不到预防与惩治并重的效果时,才有追究公益惩罚性赔偿责任的实益。换言之,当被告人侵权带有主观故意,获利高且对数字信息的环境和生态造成严重破坏时,只有惩罚性赔偿金与罚金并处才符合过罚相当原则。在“刘某亮生产、销售不符合食品安全标准的食品民事公益诉讼案”中,法院参照罚款与罚金并处时的处理原则裁判,认定刘某亮被判处的8万元罚金在120万元的惩罚性赔偿金中抵扣,刘某亮实际应支付112万元惩罚性赔偿金。本文认为,本案确立的“轻罚在重罚中折抵”的裁判规则具有理论正当性,可以在个人信息保护刑事附带公益诉讼中类推适用。主要原因在于,惩罚性赔偿金与刑事罚金在实体功能上具有类似性,均以“惩罚”为主要目的,公益诉讼惩罚性赔偿属于侵权行为人应承担的具有罚金性质的民事责任,当刑事罚金已经从经济上对被告人进行制裁时,同样兼具罚金性质的公益诉讼惩罚性赔偿应当与罚金相抵扣,进而有效避免过罚不当。需要强调的是,当惩罚性赔偿金小于刑事罚金时,如果适用轻罚在重罚中折抵的原则,将意味着惩罚性赔偿金被罚金全部折抵乃至吸收,存在剥夺公益诉讼原告的惩罚性赔偿请求权之嫌。因此,出于对公共利益的修复,轻罚在重罚中折抵规则具有单向性,即只有罚金的金额小于或者远远小于附带民事公益诉讼惩罚性赔偿的金额时,轻罚在重罚中折抵规则才能适用。
(三)优化公益诉讼赔偿金的管理模式
完善民事公益诉讼赔偿金管理使用制度,有利于解决当前民事公益诉讼赔偿金使用率较低的问题,实现赔偿金及时、有效用于受损公益的保护和修复。前文已经论证,补偿性赔偿和惩罚性赔偿都具有适用于个人信息保护刑事附带民事公益诉讼的正当性,但我国尚未出台关于赔偿金管理使用的司法解释或规范性文件,致使赔偿金的最终去向不一而足。在笔者检索的个人信息保护刑事附带民事公益诉讼案例中,赔偿金在实务中主要形成两种管理模式:第一,上缴国库。第二,由公益诉讼人(检察机关)托管。诚然,这两种管理模式在形式上易于操作,但可能导致赔偿款后续用途不明确、不规范或监管不到位的问题,如果公益诉讼赔偿金一律上缴国库,无异于变相将赔偿金的性质与刑事罚金或行政处罚等量齐观,不但难以保证赔偿金专用于特定公益项目,也会再生一事不二罚的合法性诘问。
鉴于侵犯公民个人信息刑事附带民事公益诉讼案件的赔偿金管理与使用尚缺乏实践经验,为了规范赔偿金的管理模式与使用路径,可以借鉴环境保护、食药安全等领域公益诉讼的有益探索和实践经验,由市场监管部门或消费者协会设立个人信息公益诉讼专项基金账户,用于检察机关和国家网信部门确定的组织提起个人信息保护公益诉讼所获赔偿金管理及使用,确保公益诉讼所得各项赔偿款能够真正用于个人信息权益保护。在个人信息领域,对惩罚性赔偿金的正确管理和使用是该制度得以在附带民事公益诉讼中得以适用的正当性基础。设立公益诉讼专项基金账户能够实现惩罚与威慑的功能,同时对偿付被害人后的剩余资金能够实现保值增值功能,对剩余资金的使用可根据基金规则或“近似原则”专用于个人信息保护公益事业。需要强调的是,公益诉讼惩罚性赔偿请求权并非从消费者个人的惩罚性赔偿请求权衍生而来,不宜视为个体权利的简单叠加,其用途只能用于对公共利益的维系和修复,因而个体受害人不得从基金账户中支取惩罚性赔偿金。不过,当侵权人无力承担补偿性赔偿(赔偿损失)责任时,权利人有权申领相应的补偿性赔偿金。
结语
为维护健康有序的网络空间环境,需要防范化解各类网络安全风险,加强对侵犯公民个人信息犯罪行为的法治化治理。数字时代个人信息保护刑事附带民事公益诉讼打击了大规模侵犯个人信息的犯罪行为,对维护经济社会发展中的数据安全、网络安全和公共利益具有显著的正向推动作用。然而,由于法律供给不足,刑事附带民事公益诉讼在起诉标准、当事人适格、诉前公告等问题上衍生出诸多争议,当事人实体关系配置又呈现出个案中的特殊性乃至总体上的不统一性。这提示我们在公益诉讼立法过程中,有必要系统回应刑事附带民事公益诉讼的程序架构与实体规则的衔接。在程序设计方面,除需明确刑事公诉程序与附带民事程序之间的关系外,立法机关还应通过专门条款规范诉权行使主体、被告适格范围、诉讼请求类型以及责任承担方式等核心内容,以提升诉讼程序的规范性与实效性。在实体权利义务配置上,我国正在制定的《检察公益诉讼法》可以就侵犯个人信息领域公共利益的民事责任进行细化安排,同时就附带民事公益诉讼中被告(人)能否同时承担罚金和惩罚性赔偿金的问题予以明确,进一步规范公益诉讼赔偿金的管理模式和使用路径。
