個人信息保護行政公益訴訟訴前檢察建議的質效提升

王振濤　秦勝男

摘 要：個人信息侵權類案件中，信息傳播鏈條長、受侵害人數眾多，且涉及多個行政主管部門，當檢察機關以行政公益訴訟切入公民個人信息保護領域時，應當圍繞行政機關法定職責準確把握被監督主體，沿著信息傳播鏈條全面調查公益受侵害的情況，并提出針對性、可操作性、可訴性的建議，但又不僭越行政機關的“首次判斷權”。檢察建議發出后持續跟進監督，充分運用調查問卷、走訪群眾等方式客觀、全面評估公益修復效果，形成檢察機關牽頭、社會監督與群眾監督參與的成效評價機制。

關鍵詞：行政公益訴訟 公民個人信息保護 訴前檢察建議

一、基本案情及辦案過程

董某某等三人系某市房地產管理交易中心、房地產公司和裝修公司工作人員。該三人相互勾結，利用職務便利，非法獲取公民個人信息3萬余條并進行買賣。上述個人信息被非法泄露后，業主頻繁受到裝飾裝修企業電話騷擾，引起群眾強烈不滿，嚴重影響人民群眾的正常工作和生活。

河南省濮陽市華龍區人民檢察院（以下簡稱“華龍區院”）在審查起訴董某某等三人侵犯公民個人信息罪一案時發現其可能侵害社會公共利益，遂將該線索移交公益訴訟部門審查，經初查后于2019年11月21日立案調查。辦案人員通過發放問卷、走訪群眾等方式，查明房地產管理交易中心存在個人信息保護管理漏洞，致使房地產及裝飾裝修等行業泄露消費者個人信息事件頻發多發，騷擾電話、騷擾短信已嚴重影響群眾工作和生活。華龍區院審查認為，根據《消費者權益保護法》《河南省建筑裝修裝飾管理辦法》的有關規定，房地產管理中心對其管理的個人信息負有依法保護職責;市場監督管理局負有保護消費者個人信息安全的職責;市裝飾裝修行業管理辦公室和區住房和城鄉建設局（以下簡稱“區住建局”）對轄區裝飾裝修從業者負有監督管理職責，均存在對消費者個人信息保護監管不到位的問題。華龍區院向市場監督管理局發出訴前檢察建議，要求其對企業經營中非法獲取公民個人信息，以騷擾信息、騷擾電話等形式進行推銷的行為，依法予以行政處罰;向市房地產管理中心發出訴前檢察建議，要求加強信息安全管理，督促有關部門、企業建章立制，堵塞漏洞;向市裝飾裝修行業管理辦公室和區住建局發出訴前檢察建議，建議切實加強對裝飾裝修企業監管和宣傳教育，引導其合法規范經營，加強行業自律。同時，向市室內裝飾業協會發出工作函，建議依法加強行業自律，規范行業經營行為，切實加強公民個人信息保護。檢察建議發出后，市場監督管理局組織轄區內商戶開展公民個人信息保護集中宣傳，并對有關企業約談，督促其加強公民個人信息保護工作。市房地產管理中心加強職工教育，建立完善信息保護機制，并建議上級房產管理部門更新系統，增設個人信息保護模塊，做到信息查詢權責分明、全程留痕、動態預警。2019年12月10日，濮陽市、華龍區有關行政機關和裝飾行業協會專門召開“濮陽市建筑裝飾行業保護公民信息安全規范經營行為”會議，參會的20多家裝飾裝修企業作了表態發言并當場簽訂“加強信息安全、合法開展經營”承諾書。2020年5月，華龍區院跟進監督，針對公民個人信息安全保護情況進行“回頭看”，電話回訪120人次，調查問卷回訪200份。受回訪人普遍認為轄區內房產裝飾裝修等領域電話推銷明顯減少。

二、提升檢察建議效果需關注的問題

（一）精準確定監督對象

檢察機關綜合考量司法效率、辦案效果等因素，在本案中選擇以行政公益訴訟路徑切入，在信息泄露的傳播鏈條上精準鎖定監督對象，通過督促作為信息處理者的行政機關堵塞管理漏洞，從根源上控制信息泄露風險;通過督促行業主管部門履職，加強行業治理;同時，延伸監督觸角，向行業協會發出提醒函，助推行業自律。如此，檢察機關借助個案辦理構建了檢察監督、行政監管、行業自律的多元共治格局，實現了溯源治理、系統治理。

從個人信息泄露的源頭來看，房地產管理交易中心進行房產交易登記時收集、存儲房屋產權人的信息系出于履職之必要。2012年，《全國人民代表大會常務委員會關于加強網絡信息保護的決定》（以下簡稱《網絡信息保護決定》）第10條第2款明確規定，“國家機關及其工作人員對在履行職責中知悉的公民個人電子信息應當予以保密，不得泄露、篡改、毀損，不得出售或者非法向他人提供”。房地產管理交易中心作為信息處理者，對于所收集到的個人信息負有安全保障義務和保密義務，出售公民個人信息顯然違反了該項義務。

從個人信息的傳播鏈條看，房地產企業、裝飾裝修企業從業人員販賣個人信息、定向電話營銷已然形成了所謂“行業潛規則”，這暴露出行業治理、市場監管的缺位?，F階段，我國尚無獨立的個人信息保護專門機構，行業主管部門分頭監管的架構仍有現實必要性?！毒W絡信息保護決定》第10條第1款確立了“有關主管部門應當在各自職權范圍內依法履行職責”，之后，《網絡安全法》第8條第1款延續此規定，采用國家網信辦為統籌協調機構和行業主管部門分頭監管的復合式監管體系。因而，本案將主管裝飾裝修行業的住建部門及負有消費者權益保護職責的市場監管部門作為監督對象。

此外，行業協會在規范經營者行為、維護行業秩序中的作用亦不容忽視，行業協會與企業有著密切聯系，其獲取信息直接、便捷，監管方式靈活，是行政監管的重要補充。因此，檢察機關主動延伸監督觸角，創新監督方式，向室內裝飾業協會發出工作提醒函，強化行業自律。

（二）結合行政職權針對性制發檢察建議

案件辦理過程中，檢察機關聚焦信息傳播鏈條，鎖定關鍵環節，剖析違法原因，尋找管理漏洞，厘清行政職權，有的放矢制發檢察建議，將精準監督理念落到實處。

房地產管理交易中心作為信息處理者，對于所收集到的個人信息負有安全保障義務和保密義務，其作為公法主體，相較于作為私法主體的經營者，理應對個人信息保護負有更高的注意義務。個人信息具有無體性、流動性、非消耗性，自然人作為個人信息主體難以對其個人信息進行事實上的管領和控制，信息處理者是信息的實際控制者同時也是風險的制造者，因而從源頭上完善系統漏洞對于預防信息泄露具有根本意義。檢察機關就此對房地產管理中心提出了加強信息安全管理，建章立制，堵塞漏洞的建議，督促其更新信息平臺、規范日志操作、明確系統權限、完善導出功能，建立系統安全等級測評機制。房地產管理中心積極整改落實，切實擔起了“守門人”責任，實現溯源治理。

房地產、裝飾裝修行業從業人員販賣個人信息的行為侵害了消費者個人信息權益，對此，《消費者權益保護法》第56條賦予工商行政管理部門以行政處罰的權力，工商行政管理部門的職責并入市場監管部門后，該條的行政處罰權由市場監管部門行使，因此，檢察機關向市場監管部門提出對經營者非法獲取、買賣消費者個人信息的行為依法予以行政處罰的建議。住建部門作為房地產、裝飾裝修的行業主管部門，負有對本行業、本領域的個人信息保護情況進行監督管理的職責，雖然當時《個人信息保護法》尚未頒布實施，住建部門并無具體的行政處罰權，但是行政指導作為行政機關管理的重要手段，對于實現管理目標具有積極意義，因而，檢察機關向住建部門提出了開展個人信息保護警示教育、引導轄區企業合規經營等建議，住建部門通過召開專項會議、宣講個人信息保護知識、與建筑裝飾企業簽署服務告知書等方式對企業及其從業人員進行引導，積極營造保護公民個人信息的良好氛圍。

（三）錨定公益修復目標客觀評估整改效果

公益訴訟是客觀之訴，其客體是公共利益，公共利益是否得到修復是檢驗公益訴訟辦案效果的“試金石”，也是認定行政機關是否依法全面履職的關鍵考量因素，但公共利益具備抽象性和不可分性，這導致難以直接對其修復效果予以證明和評價。個人信息保護領域公益訴訟的保護對象是個人信息權益，濮陽市檢察機關創造性地從首尾兩端分別把握修復效果，一方面，在信息處理的源頭，督促房產管理部門通過在系統中增設個人信息保護模塊，規范日志操作、明確系統權限、完善導出功能，確保信息查詢權責分明、全程留痕、動態預警，建立系統安全等級測評機制，從源頭上控制信息泄露的風險;另一方面，充分發揮主觀能動性，運用調查問卷、上門走訪、電話訪談等方式對辦案前后信息征集者是否遵循“告知-同意”規則、個人是否遭遇信息泄露事件、是否受到垃圾短信、騷擾電話、精準詐騙的滋擾等情況進行調研，通過把控抽樣調查的隨機性、樣本覆蓋的廣泛性、問題設計的精準性有效保障評估的客觀性、準確性、科學性，既達到了評估修復效果的目的，也提高了受害人、潛在受害人在公益訴訟中的參與度，建立起有效的溝通反饋模式。此外，檢察機關還對人大代表、政協委員進行問卷調研、電話訪談，充分借助“外腦”評價個人信息保護領域公共利益的修復效果，科學認定行政機關是否依法全面履職，增強評估的中立性、客觀性。

三、辦案引發的思考

制發行政公益訴訟訴前檢察建議是檢察機關履行法律監督職能的重要手段，行政公益訴訟中訴前程序的案件數遠超訴訟程序的案件數，因而，將訴前檢察建議“做到剛性，做成剛性”成為公益訴訟檢察工作的重中之重。2021年11月1日生效的《個人信息保護法》作為全面系統規定個人信息保護規則的單行立法，第70條明確授權檢察機關在個人信息保護領域提起公益訴訟。筆者認為，檢察機關應圍繞以下幾個方面提升個人信息保護行政公益訴訟訴前檢察建議的質效。

（一）準確認定行政機關法定職責

從過往實踐來看，我國個人信息保護領域的行政監管體系中權責交叉現象較為普遍，網信、工信、市場監管等相關領域的管理部門都有監管職能，這給行政公益訴訟中確定監督對象增加了難度。《個人信息保護法》第60條沿襲了《網絡安全法》《數據安全法》的職權分配架構，仍采用國家網信辦為統籌協調機構和行業主管部門分頭監管的復合式監管體系，這既是對現狀的延續，也是監管精準化的體現。[1]檢察機關在辦理個人信息保護領域行政公益訴訟案件時，應當依據法律、法規、規章的規定，結合“三定”方案準確認定行政機關的職責，確保監督對象的準確。需要特別注意的是，依據《個人信息保護法》第60條，國家網信部門在個人信息保護方面主要承擔兩方面職責，一是統籌協調有關部門開展個人信息保護工作;二是對個人信息處理行為負有直接的監督管理職責。對于前者，即國家網信部門僅承擔統籌協調職責時，原則上不屬于行政法意義上的可訴行政行為，不具有可訴性[2]，因而，此時不宜將網信部門作為檢察公益訴訟的監督對象。對于后者，比如，《個人信息保護法》第38條、第40條規定了網信部門的組織安全評估具體職責，網信部門怠于履職造成國家利益或社會公共利益受到侵害時，便可作為檢察公益訴訟的監督對象。

（二）全面把握公益損害事實

國家利益或社會公共利益受到侵害是行政公益訴訟案件調查的重要事項，構成訴前檢察建議書的主體內容，包括損害事實已經發生和具有侵害危險兩類情形。當前，算法正深刻改變著人類社會，人們在享受紅利的同時也承擔了更多的個人信息受侵害風險。算法、數據挖掘等技術衍生出新型侵權樣態，譬如本案的信息泄露以及“大數據殺熟”算法歧視等，這類侵權樣態下的損害往往具有無形性和不確定性。在損害的判斷上，傳統判定方法遵循“差額說”，即個人信息侵權發生后，受害人的財產狀況與假設未曾發生時相比有所減少而造成的損失。[3]但無論是民法典還是《個人信息保護法》，其條文規范中并未出現“個人信息權”的相關表述，立法并未將個人信息上升為絕對權，僅將其作為權益加以保護，因而個人信息侵權無法適用“權利被侵害即存在損害”規則，此時，如何判斷損害的有無面臨法律解釋困境。我國民法典第998條在認定物質性人格權以外的人格權侵害責任時，降低對損害的確定性要求，摒棄了“全有全無”的傳統評價方式，將行為人、受害人的職業、影響范圍、行為目的、方式、后果等作為損害評價要素，這一規定也可以適用于個人信息侵權案件，該領域的損害呈現觀念化、抽象化和風險化特征，損害或有發生之虞的風險本身即構成損害。因而，檢察機關應當充分運用調查核實權固定證據，證明損害已經發生或者具備現實危險性。

（三）精準確定建議的具體內容

《人民檢察院公益訴訟辦案規則》第75條第3款規定，“《檢察建議書》的建議內容應當與可能提起的行政公益訴訟請求相銜接”，即建議內容要涵蓋此后可能提出的訴訟請求，這就要求檢察機關在查明違法事實、行政機關的法定職權的基礎上提出具備針對性、可操作性、可訴性的建議。一方面，提出的檢察建議內容應當對應行政機關的法定職責，能夠督促引導行政機關根據建議內容依法履職。另一方面，也應體現檢察權的謙抑性，尤其在個人信息保護領域的技術復雜性現實之下，相應領域、行業的主管行政機關對其所負職責、執法程序等方面更具有專業性，檢察機關應當尊重行政機關的首次判斷權，做到補位而不越位。對于羈束行政行為，法律、法規明確規定了權限范圍、幅度、行為方式、數量界限，因而，檢察機關在建議內容中可以列明具體措施;但對于裁量性行政行為，檢察機關不宜作過于詳細的建議，宜給予行政機關依合理原則自由裁量的空間。

（四）健全檢察建議落實效果評估機制

訴前檢察建議不能一發了之，要落實公益修復效果評價程序，確保監督效果。在辦理個人信息保護領域公益訴訟案件中，宜引入第三方專業機構技術測試與公共利益修復成效評價相結合的評估制度。對于信息系統平臺或應用軟件，宜委托專業機構詳細檢測系統是否違規收集、傳輸、使用公民個人信息及篩查相關風險漏洞，由個人信息處理者對照整改優化。對于公共利益修復成效評價，宜采取聽證、調研等多元方式，形成檢察機關牽頭、社會監督與群眾監督參與的成效評價機制。

*河南省濮陽市人民檢察院第七檢察部主任、一級檢察官 [457000]

**河南省濮陽市人民檢察院第七檢察部檢察官助理[457000]

[1] 參見蔣紅珍：《〈個人信息保護法〉中的行政監管》，《中國法律評論》2021年第5期。

[2] 參見江必新、郭鋒：《〈中華人民共和國個人信息保護法〉條文理解與適用》，人民法院出版社2021年版，第541頁。

[3] 參見張建文、時誠：《個人信息的新型侵權形態及其救濟》，《法學雜志》2021年第4期。