个人信息保护已经成为数治时代检察公益诉讼业务拓展的重点领域。虽然个人信息保护检察公益诉讼中的初步证明概念在相关法律规范中有所涉及,但因其含义不够明确、标准不够清晰,往往导致司法实践理解与适用存在偏失。因此,有必要厘清个人信息保护检察公益诉讼实践中存在的问题,构建更为科学合理的初步证明规则,以促进提升公益诉讼检察办案的精准性和规范性。
一、初步证明的规范疏漏和实践误区
目前,个人信息保护检察公益诉讼初步证明规则所依附的规范构造,一是从民法典中民事侵权责任要件出发,以个人信息侵权私益诉讼证明规则为依循;二是依据“两高”制定的《关于检察公益诉讼案件适用法律若干问题的解释》以及《人民检察院公益诉讼办案规则》等有关公益诉讼的司法文件。检视上述规则运行现状,可以看出规则设计与检察实践需求尚存在一定冲突。
首先,个人信息保护法第69条虽概括规定个人信息侵权纠纷适用过错推定原则,以期缓解司法证明困境,但在损害结果、因果关系以及违法性等具体问题上仍然规定不够明确。该条款在适用上不仅容易向民法典第1165条的一般侵权条款逃逸,而且与民法典第1194条至第1197条关于网络信息侵权的规定在规制对象上容易产生分歧。其次,上述司法文件虽以起诉时检察机关的证据材料为始,列出“初步证明”“关联性”等要求作为起诉条件的限制性要求,但在司法实践中往往陷入将“初步证明”视为“要件事实证明”,将“初步证据材料”视为“证据材料”的误区。再次,过错推定并不简单等同于证明责任倒置,过错推定为法律规范对证明责任作出分配后,通过转换证明对象达到证明减轻之目的,而证明责任倒置属于立法技术下的证明责任分配层面,需要在实体法与程序法双重视角下进一步弥合过错推定规则的法律效果。最后,受技术性、隐蔽性、不特定性等特征影响,个人信息侵权领域的过错证明较一般民事侵权案件更为繁杂。尤其当个人信息处理者是复数时,由于信息存储、交换和利用而产生信息泄露,造成溯源困难,个人信息权益主体无法确认哪个或哪几个是侵权人,致使调查活动难度较大,往往难以确定具体被告和责任分担。检察机关并非个人信息权益直接受损害主体,囿于“证据偏在”情形,在收集、掌握个人信息侵权案件线索和证据材料过程中,面临诸多“证明壁垒”。
二、初步证明规则构建的原则遵循
一是准确理解违法推定过错方式与过错推定原则的兼容关系。我国民事公益诉讼相关法律规范并未明确区分过错和违法性,个人信息处理者行为之违法性可为“侵害个人信息权益”要件吸收,其处理行为即符合“侵害个人信息权益”这一事实构成要件,违法性自当成立,无须强调其独立性。违法推定过错无涉证明责任分配转换以及客观证明责任归属问题。过错推定则是实体法对“过错”要件举证责任予以重新分配的技术化处理,即以法定规范形式改变客观证明责任的风险负担规则。当个人信息处理者被推定存在过错时,在其有无过错这一要件事实陷于真伪不明时将承担诉讼不利后果。在违法性得到初步证明前提下,个人信息处理者能够借此反向举证证明自身行为的合法性,推翻对其过错的推定以重置风险负担。
二是精准定位检察机关的举证要求。检察机关的举证要求会随着诉讼阶段的推进而有所区别,在起诉阶段,检察机关所提交的初步证明事项系立案受理审查的程序性证明事项,其证明标准无须达到高度盖然性而应当降至疏明标准;在审判阶段,检察机关须完成“要件事实”的证明工作。检察机关外观上成为先予提出证据的当事人,提升过错推定结论的可靠性。因此,需要矫正实践中将“前提事实证明”视为“过错要件事实证明”的认知偏差,以法律推论推定重述初步证明的效果,使之更符合立法目标。
三是运用技术性证据提升证明能力。技术性证据审查意见符合意见类证据的表征,可为涉及算法决策机制、大数据分析等相关证据进行说明和阐释。涉众型个人信息侵权纠纷呈现出非法利用、算法歧视、信息泄露、不当自动化决策等诸多公益侵害样态,检察机关在立案阶段需要评估个人信息侵权行为是否初步成立并存在造成公益损害的较大可能性。为辅助认定个人信息侵权所涉的技术性证据,检察技术人员可围绕技术性证据开展专门性审查和认定等活动。对于情况复杂或者争议较大的案件,检察机关可以咨询专业人员以及相关部门,包括个人信息保护执法机构乃至行业协会,听取专业意见,以达到更好的证明效果。
三、初步证明规则构建的具体展开
一是关于信息处理具有“违法性”的初步证明。在个人信息保护民事公益诉讼中,违法性应当作为信息处理者侵害公众权益的初步证明事项,从动态诉讼证明活动下的案件事实评估视角,灵活利用其工具性价值。具体而言,在法庭调查阶段,需向法院阐明处理者行为应当归入个人信息公益侵害保护的范围,继而在法庭审理阶段可辅助审判人员简化对侵权责任构成事实要件的认定。同时,过错作为评价性要件应当区别于一般性事实要件,审判人员是否形成处理者存在过错的心证,应当适用个人信息保护规范体系所确立的个人信息处理行为评价标准,继而综合考虑处理者是否存在已尽到注意义务、管理义务等免责情形。当处理者行为违反个人信息处理规则时,可径直判定为过错行为,如处理者未尽到安全保护、权利保障以及影响评估等义务,且处理者未提出相反证据证明时,方可作出过错认定。
二是关于“社会公共利益受到损害”的初步证明。个人信息保护检察公益诉讼以弥补公众个人信息权益损害、预防信息安全风险为目标,救济客体必须具备公益属性。一方面,公益损害须以实际损害为前提。为避免“侵害”与“损害”适用混淆,此初步证明事项应当描述为众多个人权益受到“损害”。另一方面,“众多个人的权益”作为识别受侵害利益是否为公益的依据,应先对“众多”的标准予以量化,再逐步构建统一的公益损害认定规则。具体而言,其一,检察机关提交“社会公共利益受到损害”的初步证据实为基础事实。检察机关对基础事实存在的证明为本证,信息处理者对基础事实不存在的证明为反证,对其无过错的证明是本证,若最终未能证明无过错,则公益损害赔偿责任的实体法效果成立。其二,案件符合起诉条件并进入实质审理时,对“社会公共利益受到损害”的初步证明将在后续言词辩论中上升为对“损害结果”要件的证明。此时,检察机关依旧承担过错的主张责任,并提供初步证据支持其主张,被告应承担其不存在过错的具体举证责任,若未能使法官形成不存在过错或过错真伪不明的心证,则应承担客观证明责任。(包冰锋、应炼文)