˙
新闻与出版物
不容忽视!个人信息民事公益诉讼来了 ——评“52万余条个人信息倒卖”案
Thu Feb 25 14:17:00 CST 2021 发布人:华诚小编

不容忽视!个人信息民事公益诉讼来了——评“52万余条个人信息倒卖”案

 

吴月琴 谢怡

引言:

在大数据时代,公民个人信息不仅具有人格权的内涵属性,也有社会公共利益的属性。对于侵犯公民个人信息的行为,通过民事公益诉讼机制,可以有效缓解个人维权成本高、效率低等问题,使得侵权人承担与其不法行为相应的民事责任。侵犯个人信息不再是违法成本极低的获利渠道。

《个人信息保护法(草案)》如通过,将以法律的形式对个人信息公益诉讼予以确认,可以更好地保护公民的个人信息权益。个人信息的保护将会越来越符合社会大众的需求和期待。企业作为接触大量个人信息的主体,应当熟悉个人信息保护法律规定,关注民事公益诉讼制度,完善企业合规体系,为个人信息保护创造更安全的环境。

 

一、案情提要

本案是关于侵犯个人信息的刑事附带民事公益诉讼案件,检察机关在提起刑事诉讼的同时,提起了民事公益诉讼。[1]

2017年上海某教育机构从业人员刘某花费5000元从他处购买上海各区大量学生个人信息13万余条。

2018年8月,刘某将持有的上海市各区含学生住址的公民个人信息(含虹口区公民信息)139,826条与周某某持有的北京各区含学生住址的公民个人信息387,585条进行交换。

2019年3月至4月间,刘某将本人持有的部分公民个人信息52万余条非法出售给黄老师、史老师,违法所得人民币16,000元。上述学生信息主要包括学生的姓名、出生日期、身份证号码、学籍号、所在学校、年级、户籍地址、家庭住址、家长姓名、家长电话等内容。

2019年,周某还通过网络从曾经的同事、上海某教育培训机构总经理李某处获取上海学生信息3万余条。经查,李某2015年通过网络花费200元向他人购买了上海市部分高中生信息13万余条,将其中一部分提供给了周某。


二、诉辩主张

对于刑事部分,法院判决,刘某的行为属于非法购买、交换、出售公民个人信息,周某的行为属于非法收受、交换公民个人信息,李某的行为则属于非法购买、提供公民个人信息,由于涉及的数量巨大,需要承担刑事责任。

又,由于三人行为也构成民事侵权,侵害了不特定公民的人格权,涉案信息的数量巨大,并且大部分都是未成年人的个人信息,严重损害了社会公共利益。因此,检察机关对三人在以侵犯公民个人信息罪提起刑事诉讼的同时,附带提起民事公益诉讼。


三、裁判结果

经过庭审,法院当庭判决支持检察机关提出的全部诉讼请求,以侵犯公民个人信息罪分别判处刘某有期徒刑3年,缓刑4年,并处罚金2万元;周某有期徒刑3年,缓刑3年,并处罚金2万元;李某有期徒刑2年6个月,缓刑2年6个月,并处罚金1万元。

对于附带民事诉讼部分,法院依法判令三人在国家级新闻媒体上公开赔礼道歉,并要求刘某按照其侵犯公民个人信息的获利赔偿1.6万元。

 

四、案例评析与合规启示

(一)本案评述

1、提起民事公益诉讼的法律依据

公益诉讼制度见于《民事诉讼法》第五十五条,其规定“对污染环境、侵害众多消费者合法权益等损害社会公共利益的行为,法律规定的机关和有关组织可以向人民法院提起诉讼”。

实践中,人民检察院提起个人信息公益诉讼已较为普遍,但该等个人信息公益诉讼多系基于《关于检察公益诉讼案件适用法律若干问题的解释》提起的刑事附带民事公益诉讼,范围一般限制在“环境污染”、“侵害众多消费者合法权益”这两类案件中。从条文文义看,立法者并未将公益诉讼的适用局限在这两类案件之中,而是抽象概括地表达了能够适用这一规定的案件类型,意在使得未来社会可能会出现的适用公益诉讼的其他类型案件也能够被现有立法所包容。可以预见,《个人信息保护法(草案)》落地后,提起民事公益诉讼的主体范围则包括人民检察院、履行个人信息保护职责的部门和国家网信部门确定的组织。

对于民事公益诉讼的受理条件,《最高人民法院关于适用<中华人民共和国民事诉讼法>的解释》第二百八十四条进行了规定,“环境保护法、消费者权益保护法等法律规定的机关和有关组织对污染环境、侵害众多消费者合法权益等损害社会公共利益的行为,根据《民事诉讼法》第五十五条规定提起公益诉讼”,应符合:一是有明确的被告;二是有具体的诉讼请求;三是有社会公共利益受到损害的初步证据;四是属于人民法院受理民事诉讼的范围和受诉人民法院管辖。


2. 本案适用民事公益诉讼的原因分析

本案涉及侵犯公民个人信息,完全符合提起公益诉讼的标准,并且实践中已经较为普遍地运用了这一制度。

从公益诉讼的受理要件分析,一是本案有明确的被告刘某等人。二是有明确的事实和证据证明这是一起关于侵犯公民个人信息的案件,具备具体的诉讼请求。三是由于本案涉及到了超过38万的公民个人信息,侵害的利益范围巨大,损害社会公共利益的性质极其严重。因此,本案的所有特征都符合检察机关可以提起公益诉讼的要件。

再从权利救济的特征及效果看,公民对于个人信息的维权存在困难。一是公民作为输出个人信息的主体,往往难以立即发现自己的个人信息被非法获取或利用;二是即使发现,也难以找到明确的侵权人以及固定证据;三是公民个体维权的成本较高。种种阻碍都导致在个人信息侵害类案件中,公民选择维权的概率较低。另一方面,个人即使维权成功,较低的违法成本对于侵权人而言难以达到惩戒效果,并不能有效阻止其继续侵犯大量的公民个人信息。此外,对于类似本案这样涉及个人信息样本数量非常巨大的案件,公民个体分散的维权反而会使得一系列司法程序变得繁琐。并且,公民个人分散式的寻求司法保护不能凸显出案件性质的严重性,侵权人行为的恶劣性会被极度弱化。因此,检察机关就这一类案件提起民事公益诉讼成为了破题之道。检察机关可以运用自己的公权力,更快地发现证据,锁定明确的侵权人,概括涉及的个人信息数量和重要程度,在帮助众多的公民获得损害赔偿、赔礼道歉的同时,加重对侵权人的处罚,使其意识到这一类犯罪的成本其实是非常高昂的,从而起到震慑的作用。


3.民事公益诉讼制度的完善

在2020年10月21日,全国人大常委会颁布了《个人信息保护法(草案)》。其中,第六十六条规定,“个人信息处理者违反本法规定处理个人信息,侵害众多个人的权益的,人民检察院、履行个人信息保护职责的部门和国家网信部门确定的组织可以依法向人民法院提起诉讼”。基于近年来关于侵犯公民个人信息的案件的不断增加,公民个人的维权意识还有所欠缺,维权力度也已经不足以阻止这一类案件的发生。因此,公民个人信息纳入民事公益诉讼的范围是大势所趋。当然,个人信息保护法的规定会使得相关的民事公益诉讼有更明确的法律依据,民事公益诉讼就此可以包含更多的个人信息有关案件,进而更好地维护公民的个人权益,更好地维护社会利益和社会稳定。


4.民事公益诉讼对于个人信息保护的制度优势

检察机关提起民事公益诉讼是具有十分突出的优势的,这一司法途径能够使人们从案件的整体上进行把握和评判。在如今大数据发展的背景之下,公民个人信息的使用愈发广泛,在互联网中进行着不断输出与交换,各式各样的APP都需要个人信息的认证以及获取相关权限等。各类主体都需要获取公民的个人信息,甚至存在如果不进行个人信息的认证就无法使用相关功能的情形。这样设置的初衷是好的,能够使人们的互联网活动更加规范有序,也使得互联网的运营管理更加便捷。然而,在这样的个人信息流出过程中,存在许多不法的现象。由于个人信息与个人财产、人身安全等内容紧密联系着,个人信息的获取很有可能为不法分子提供非法获取财产、获取非法利益的途径。所以个人信息保护的范围虽然表面看来只是几行字是否会被人非法获取或者销售,真正的目的实为保护与其紧密相关的公民财产权以及人身安全。以侵犯了大量的公民个人信息为基础提起公益诉讼,能够在案件整体上追究侵权人的责任,能够体现侵权人的行为所侵犯的巨大的社会公共利益,能基于侵权人一种类型的行为,以行为的严重程度、性质作为要点进行分析和把握,真正起到震慑的作用。


5.刑事责任与民事责任同时追究的必要性

在个人信息这一类案件中,侵权人往往会提出抗辩,称自己承担了刑事责任已经足够惩罚自己的犯罪行为,检查机关不应当提起民事公益诉讼。然而,这种抗辩根本无法立足。

在现有大数据背景下,个人信息承担起了越来越重要的角色,在社会经济活动中的运用越发地广泛成为极为重要的生产要素和社会财富。民法典将个人信息的内容纳入了人格权编,肯定了其人身权属性。同时,由于现代信息科技的发展,个人信息与个人的财产紧密地联系在一起,因此被赋予了财产权属性。

并且,基于个人信息的人格权属性,侵权人对于个人信息的侵犯,很有可能造成他人对于公民个人安全的威胁等,进而导致公民的精神损害,需要予以民事赔偿,承担民事责任。基于个人信息的财产权属性,个人信息被侵害,也极有可能造成公民个人财产的损失,侵权人也需要承担民事责任。当大量的个人信息被非法获取和使用的时候,个人信息很可能被利用在具有商业性质的行为中,这种时候就会触及到刑法所规制的边界,案件的性质会扩大成涉及社会公共利益的程度,此时刑法便会挥动它的利刃。

因此,个人信息应当同时受到民法与刑法的保护。

 

(二)企业的合规建议

1. 积极协商以寻求和解

民事公益诉讼是基于社会公共利益的损害而提起的诉讼,企业在遭遇民事公益诉讼以后,企业的形象会受到很大的影响,公众对于企业的信任程度也会大幅度地下滑。同时,企业在政府的印象中也会大打折扣,或许会由此遭到长期的重点监管。因此,如果企业遇到了民事公益诉讼,应当积极地与检察机关、司法机关以及受害者寻求和解的方式。

美国塞拉俱乐部与安斯特史迹保护委员会诉鲍威尔顿煤业公司的水污染案中,被告P公司在该环境公益诉讼中面临着一千九百万美元的民事处罚。P公司积极寻求和解,在支付一部分民事赔偿的同时,资助帮助改善环境的组织来改善自己造成严重污染的地区,还签署了禁令与守法要求,及时给出如何整改问题的报告等等。

企业也可以借鉴这一种形式,以积极的态度寻求和解,对于客观的过失造成的损害及时进行赔偿并且赔礼道歉,积极配合个人信息保护的要求。并且在被追究责任后内部自纠自查,对于不完备的合规体系进行补救完善,对于相关的责任人员予以相应的处罚,给司法机关以及社会大众良好的印象。

 

2.企业应当保存个人信息的收集、适用记录

如果企业不慎被追究侵犯个人信息的刑事或民事责任,证据的作用非常重要。作为公诉人或者是公益诉讼人的检察机关,对于线索的查找以及证据的收集都比较迅速、到位。企业在自身做好合规的情况下,如果仍然因为过失而面临刑事或民事公益诉讼,应当针对检察机关的起诉给出相应的证据以证明自身已经尽到了个人信息保护的义务,主观上没有侵犯个人信息的意图,排除具有主观恶意的情况。

 

3. 明确个人信息的保护途径

许多企业对于个人信息保护认知较为模糊,可能部分企业认为侵犯个人信息只会被追究民事责任,或是只涉及到刑事责任,对于自身的行为可能涉及民事公益诉讼这一风险缺乏认知。因此,企业需要明确如今司法对于公民个人信息保护的多样途径,避免在各种活动中被追究刑事以及民事责任的风险。

企业应当对于在工作活动中需要接触到相关信息的员工进行严格的培训,了解这一部分相关工作的注意事项,避免出现对内或者对外的个人信息侵犯的情形;还应当关注个人信息保护法的更新情况,现如今颁布的草案中就有对于民事公益诉讼的规定,待正式颁布以后,要对该条款进行关注,了解相关的程序规定。

 

4.各部门建立数据合规体系

为了从根本上防止企业遭到刑事以及民事责任的追究,企业应当及时建立必要的数据合规体系,从根源上预防自身侵犯个人信息的可能。

目前存在着大量的企业,时刻都在接触着公民个人信息,例如一些互联网行业的公司、发布APP的企业。许多手机用户已经习惯了打开一个新的软件即直接同意跳出来的个人信息获取同意书,因为文本的阅读枯燥又耗时,由此就授权了APP软件获取自己的个人信息。

企业对于这样类似途径获取的公民个人信息需要在使用上做到合法、合规。企业的技术部门可以建立个人信息库,对于收集到的个人信息应做两步的处理,不仅需要将个人信息处理成无法识别出特定公民的信息数据,并且需要对处理过后的信息做加密处理。

对于一些其他的接触信息的部门,也需要建立相似的数据合规体系。员工需要掌握个人信息方面的基本知识,明确侵犯个人信息安全的行为,避免去触犯。企业也要建立追责机制,对于擅自使用、出售、非法获取个人信息行为的员工做严肃处理,情况严重时需要报警处理。

 

五、总结

公民个人信息在如今的信息高速流通交换的背景下占据着越发重要的位置,与我们的生活、财富、安全等问题息息相关,或许这也是为什么越来越多的侵权和犯罪逐渐延伸到了这一领域。民事公益诉讼的制度运用表达着我国对于这一方面保护的重视,使得这一类案件的违法成本不再低微,很好地起到了震慑的作用,很好地保护了公民个人利益以及社会公共利益。



[1] (2019)沪0109刑初1017号

 


本网站之内容旨在提供有关华诚的一般信息。本网站之内容不得被视为与访问者建立律师-客户关系,也不视为是为任何具体事宜提供法律意见。网站访问者应向律师咨询以获得专业法律意见。 对于任何争议的特定事实和情况,在没有获得恰当的法律或其他专业意见之前,本所客户和其他网站访问者不能将华诚网站上的任何信息作为采取行动与否的依据。

© Copyright 2000-2015 All Rights Reserved | 沪ICP备15028801号 隐私保护 | 用户反馈

沪公网安备 31010402001317号

Lin