政法党史党建 理论研究

论个人信息保护请求权的行使

胡小文

2023-03-02 01:34

张新宝
《政法论坛》2023年第2期


引 言

《中华人民共和国民法典》(以下简称《民法典》)明确自然人的个人信息受法律保护,初步规定了自然人向信息处理者请求查阅、复制、更正、删除其个人信息的权利,但却未使用个人信息“权”抑或“权益”对个人信息的性质进行界定。《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)更进一步,设专章规定“个人在个人信息处理活动中的权利”,系统规定了个人享有的知情权、决定权以及查阅、复制、更正、删除等权利,并明确使用“个人信息权益”对个人就个人信息享有的法益类型进行界定。从《民法典》到《个人信息保护法》,作为权益的个人信息在法律上的定位逐渐清晰,个人信息权益的内涵逐渐明晰,对个人在个人信息处理活动中的权利进行类型化建构的认识前提已经具备。

近来,一些法院对个人行使个人信息保护请求权的案件和个人主张损害赔偿的案件做出判决,在理论界和实务界均已产生较大影响,也有一些问题需要在理论上厘清:第一,个人行使个人信息保护请求权案件的起诉是否存在前置条件。第二,法院应当采用何种标准审查个人信息处理者拒绝个人行使权利的理由是否具有合法性。第三,个人在行使个人信息保护请求权的案件中提出损害赔偿请求的,该损害赔偿的性质与法律适用问题。

针对上述问题,本文拟从个人信息权益的本权权益与请求权的区分出发,说明个人信息保护请求权的程序性权利属性,并进一步明确其行使条件,梳理个人信息保护请求权与相关损害赔偿请求权的关系,以期有助于《个人信息保护法》相关规定的理解适用,推动个人信息保护纠纷的高效处理。

一、作为权利实现方式的个人信息保护请求权

依据权利的功能对权利进行划分,可以得出请求权这一子类型。请求权是指权利主体对义务主体提出请求以满足其利益需求的权利。请求权的行使不形成新的权利义务关系,但可以推动其他实体性权益或权利的实现,因而居于权利体系的枢纽地位。这种意义上的请求权,不是一项民事实体权利,而是其他民事权利的实现方法。任何包含实体权益内涵的权利都需要借助此类请求权实现其本权,这在绝对权中体现得尤为明显,如物权请求权之于物权、人格权请求权之于人格权。个人信息权益内部同样存在实体权益与推动其实现的请求权的结构关系。个人信息权益的内涵具有复杂性,存在多方利益主体和多层次的利益结构,立法直接难以规定个人信息权益的实体内涵,只得规定这一内涵的外在表现及其实现、保护方法。具体而言,《个人信息保护法》对个人在个人信息处理活动中的权利作了列举性规定,包括知情权、决定权、限制或者拒绝权(第44条),以及一系列个人信息保护请求权,包括查阅和复制、转移、更正和补充、删除等权利(第45-48条)。这些规范呈现的权利群表现为实体性权益的反映和保护实体性权益的权利。

《个人信息保护法》规定的查阅、复制、转移、更正和补充、删除等权利,具备请求权的权利外观:这些权利是个人请求个人信息处理者为一定行为的权利;个人的此等权利之实现,有赖于个人信息处理者的一定行为。从功能上来说,这些请求权本身并不包含独立的实体性权益,而发挥着推动个人信息权益中的实体内容实现的作用。学界对个人信息权益包含的实体权益—或者说本权权益—已经进行了较为充分的系统讨论。本文仅以“个人自治—个人的知情权—个人的查阅权”为例,尝试说明个人信息保护请求权在个人信息权益体系中的地位及其行使路径。

个人信息权益包含的实体权益,是指个人信息上承载的受法律保护的人格、财产等私法利益以及平等、通信自由等公法权利。个人自治指个人自主决定个人事务,是个人信息权益的重要组成部分。信息社会背景下的自治危机更具隐蔽性,它并不通过外力强迫干涉个人的自主选择,而是通过对个人提供特定内容的信息使个体陷入“信息茧房”,引导个人作出特定选择。有观点认为,在信息社会法律秩序下,算法对资源分配中的作用日益凸显,算法在成为影响资源分配的主导因素的同时,加剧了信息不对称,引发了意思自治危机。要推动个人在信息社会实现个人自治,就需要消解信息壁垒、对抗算法对个人的控制倾向,故法律有必要赋予个人以知情权。通过知情权,个人得以知晓在个人信息处理活动中与其自身利益密切相关的事项,这是个人实现个人自治、维持其人格尊严的先决条件。就此而言,知情权是个人信息权益中的基础性权利,它直接与个人信息承载的法益相关联。

查阅权本身并不包含独立的实体权益内容,而是被类型化的知情权实现方式。知情权描述了权利主体对其个人信息应享有的支配状态,而欲达成这一状态,个人还需享有向个人信息处理者提出主张的请求权,查阅权即为之一。一方面,查阅权的行使不是权利人维持对其个人信息的知情状态的唯一路径,查阅权所能推动实现的实体权益无法完全涵盖知情权的范围,知情权存在创设出其他类型请求权的可能。另一方面,查阅权所能推动实现的实体权益亦无法超出知情权的范围,个人能否、如何向信息主体提出查阅请求应被包含于对知情权条款的解释结果之中。从权利生成历史来看,个人的知情权是个人的控制性信息权利,其内涵形成可追溯到1973年美国“个人数据自动系统建议工作组”提出的“公平信息实践准则报告”,并较早在制定法中作为原则性规定出现(1974年美国《隐私法案》);而具备程序性内涵的查阅权(“访问权”)的提出则晚于知情权,见诸2000年美国联邦贸易委员会提出的“四项广为接受的公平信息实践”。可见,查阅权本质上是基于知情权的内涵,由知情权创设出来的权利实现方式。在法律已对知情权作出明确规定的情况下,法律仍将查阅行为类型化为一项请求权,包括以下两点理由。其一,查阅行为是信息社会个人易于主张的最普遍、最有效的实现个人知情权的路径,法律将其规定为查阅权,能够降低信息社会的运行成本。其二,个人查阅个人信息需符合法定程序、借助于相对人的配合完成,这是一种温和有序的权利实现方式。法律规定查阅权,能够引导权利主体规范行使权利。《个人信息保护法》第50条进一步对个人行使查阅权等权利的具体程序作出了规定。法律在规定查阅权及其行使程序的同时,也暗含了个人通过侵入信息系统等方式自行获取个人信息等行为的非法性,划定了权利行使的边界。从这个角度来说,查阅权的规定包含了对实现知情权的正当程序要求,即个人在个人信息处理中的实体性权利,只有在明确、相称的程序支持下才能达成其目的。此外,查阅权作为法定的知情权实现方式之一,构成了对知情权内涵的限制,避免了知情权成为一项泛化的绝对权利、进而阻碍正常的社会交往和信息处理需要。概言之,法律规定查阅权,并非基于查阅权包含独立的实体权益,而是基于查阅权在推动知情权实现、引导权利规范行使方面的积极功能。在这对权利关系中,知情权是具备概括性的实体权益内涵、借助其他程序性权利实现的权利,本文称之为个人信息权益中的“本权”;查阅权是推动知情权实现的权利,其与物权请求权、人格权请求权等在外观上存在相似性,本文称之为“个人信息保护请求权”。

基于对知情权与查阅权关系的认识,不难对《个人信息保护法》第四章“个人在个人信息处理活动中的权利”进行本权与个人信息保护请求权的区分。第44条规定的知情权、决定权、限制或者拒绝权,均具备独立的实体权益内容,无法被其他权利所涵盖,是个人信息权益中的本权。第45—48条规定的一系列请求权,或体现为前述权利的实现方法(如查阅权),或是前述权利的保护方法(如更正权),是个人信息保护请求权。

尽管个人信息保护请求权在推动本权实现的作用方式上与民法上的绝对权请求权类似,其本质上仍然不同于民法上的请求权,更不是一种人格权请求权。个人信息保护请求权是个人的知情权、决定权、限制或拒绝权等本权衍生出来的程序性权利,其推动实现的实体权益与人格权相比更加丰富:基于个人信息处理带来的个人自治危机、个人信息化形象失真、数字隐性歧视、私密信息泄露等风险,个人对个人信息的控制体现了其人格尊严;个人信息可能成为他人侵害信息主体人身财产安全的媒介,个人对个人信息的控制是维护其人身财产安全所必需;信息的分享交流与通信活动密切相关,个人对个人信息的控制是保有其通信自由、通信秘密的前提条件。另外,从作用方式上看,民法上的绝对权请求权多体现为一种防御性质的权利,而个人信息保护请求权还发挥了积极推动本权实现的作用,如查阅权、复制权之于知情权。

二、个人信息保护请求权的行使程序

《个人信息保护法》第50条规定了个人信息处理者的程序义务和个人的起诉权利。从整体看,本条分两款规定了个人行使个人信息保护请求权的路径,分为两个阶段:(1)向相关的个人信息处理者提出请求。个人行使查阅、复制、转移、删除、要求说明等权利,应先向个人信息处理者提出请求。在此等请求得到实现的情况下,个人自无进一步寻求司法保护的必要。(2)于个人信息处理者拒绝之情形,个人的个人信息保护请求权无法在个人与个人信息处理者之间实现,此时个人可以依法向人民法院提起诉讼。

(一)个人信息处理者的程序义务:构建便捷的个人权利行使机制

1.程序义务的内容

依照《个人信息保护法》第50条第1款规定,对个人提出的权利行使请求,个人信息处理者承担两种程序义务:建立便捷的个人行使权利的申请受理和处理机制的义务以及拒绝个人请求的说明义务。本文认为,个人信息处理者构建的个人权利行使机制应包含以下内容:

(1)受理机制。个人信息处理者应保证个人能通过系统交互或个人信息处理者指定的人员,向个人信息处理者提出权利行使请求。多数个人信息处理者均提供交互式产品或服务,此类个人信息处理者应在其产品中设置便于个人行使权利的功能选项。个人无法使用产品中提供的功能的,个人信息处理者应当提供替代的受理方式,如告知人工客服的联系方式等。此外,受理机制是个人权利行使机制的启动环节。为确保后续环节对特定个人信息的操作出自信息主体的请求,个人信息处理者应在这一环节完成对主体身份的验证。受理机制还应包括个人信息处理者提供的身份验证规则,具体可体现为对提出权利申请的个人要求提供姓名、联系方式等身份信息等。个人提出权利申请但未提交身份验证材料的,个人信息处理者应及时向其一次性告知验证身份的具体途径,而不应以未提供身份证明材料为由拒绝其权利请求。司法实践中也有观点认为,以个人未提供身份信息或提供了虚拟信息为由拒绝个人权利请求的,应被认定为无正当理由拒绝个人行使权利。

2)处理机制。个人信息处理者在获悉权利人的权利请求后,应当对权利人的请求内容以及是否存在不能行使其权利的情形进行审查,并根据审查结论对权利请求作出响应或拒绝的决定。经过审查,个人信息处理者可能得出以下处理结果:

其一,响应权利人的权利行使请求。权利人行使权利的请求完全符合法律规定,既不存在法律规定的不能行使权利的情形,请求内容也不存在履行困难的情形的,个人信息处理者应及时履行相应义务并将义务履行情况通知个人。

其二,拒绝权利人的权利行使请求。个人信息处理者拒绝个人行使个人信息保护请求权的,应以法定事由为限。《个人信息保护法》第44条规定:“个人对其个人信息的处理享有知情权、决定权,有权限制或者拒绝他人对其个人信息进行处理;法律、行政法规另有规定的除外。”依此规定,对个人知情权和决定权的克减属于法律、行政法规保留事项,地方性法规、部门规章等其他规范性文件无权对此作出规定。在法律、行政法规未予规定的情形下,个人信息处理者也不得援引诸如“权利行使成本过高”“存在排除个人行使权利的事先约定”等理由拒绝个人行使权利。具体而言,拒绝个人权利行使请求的法定事由首先包括《个人信息保护法》对个人行使相关权利的例外规定,如第49条规定死者的近亲属有权为自身合法、正当利益对死者的相关个人信息行使查阅、复制、更正、删除等权利,但死者生前另有安排的除外;其次还包括其他法律、行政法规关于权利行使的例外情形的规定,如《征信业管理条例》第15条对征信机构对个人不良信息的保存期限作出了规定,对此应理解为个人不得在保存期限内请求征信机构删除其不良个人信息。

其三,收取费用后响应个人权利请求或提供替代履行方式。个人知情权和决定权并非无边界的权利。《个人信息保护法》第1条将“保护个人信息权益”“促进个人信息合理利用”并列规定,表明个人不能基于个人知情权和决定权干预正常的个人信息处理活动。个人信息处理者响应个人的权利行使请求,实际负担了一定的成本与风险。个人提出的权利请求超出合理限度,给个人信息处理者带来不合理的负担的,个人信息处理者不应直接拒绝个人的权利行使请求,但有权收取成本费用。如《征信业管理条例》第17条规定“个人信息主体有权每年两次免费获取本人的信用报告”,对此应理解为,个人信息主体在支付费用的情况下,征信机构不应拒绝个人额外获取信用报告的权利请求。实现个人的权利行使请求存在成本过高、技术上难以实现等困难,但有实现其权利请求的其他方式的,个人信息处理者应向个人信息主体提供替代履行方法。

(3)回复机制。经过前述处理机制的审查结果,个人信息处理者决定不响应个人信息主体请求的,应向个人信息主体告知不响应的理由,并向其告知投诉、起诉的途径。个人信息处理者决定采取替代履行方式实现个人权利请求的,应就采取的履行方式和理由说明情况。

2.程序义务的便捷性要求

关于个人信息处理者的程序义务,2013年工信部《电信和互联网用户个人信息保护规定》第12条有规定:电信业务经营者、互联网信息服务提供者应当建立用户投诉机制,公布有效的联系方式,接受与用户个人信息保护有关的投诉,并自接到投诉之日起15日内答复投诉人。《网络安全法》第49条也有关于受理、处理投诉举报类似内容的规定。从过往规定的规范内容可以看出,其立法意旨在于建立网络安全事件的事后投诉、举报机制,而非构建能够与用户实时联系、响应其权利请求的权利行使机制。近年来,我国网络信息技术高速发展,个人信息上承载的个人权益的重要性凸显,保障个人在信息处理活动中的权利成为网络信息安全立法的重要目标。《个人信息保护法草案(三次审议稿)》审议过程中,有常委委员提出,为更好保障个人在个人信息处理活动中权利的实现,应对个人信息处理者提出“便捷”响应个人权利请求的要求。便捷性是个人信息处理者程序性义务的核心要求。

《个人信息保护法》未对个人信息处理者构建权利行使机制的便捷要求作出细致规定。对便捷性的具体要求见于其他法律法规、行业标准的规定。结合其他规范性文件和司法实践,本文认为便捷性的要求包含以下方面。在申请受理机制上,个人信息处理者应为个人提供系统交互和人工接待两类途径,便于个人提出权利行使的申请。个人信息处理者提供的身份核验规则应当公开、易于理解。个人提交的材料无法验证其身份的,个人信息处理者应当一次性告知身份验证方法。在处理和答复机制上,个人信息处理者对个人权利请求进行审查应在合理期限内完成。依照《信息安全技术个人信息安全规范》(以下简称《个人信息安全规范》)的要求,在验证个人信息主体身份后,个人信息处理者应在30天内或法律法规规定的期限内作出答复及合理解释。个人信息处理者超出合理期限未响应个人权利请求,且未提供合理理由的,应视为无正当理由拒绝个人行使权利。

便捷性建立在该权利行使机制能够满足个人请求权实现的基础上。实践中,有个人信息处理者的线上产品提供了便利的查阅个人信息机制,但借助该系统只能查阅个人向其提供的个人信息,其客户端自主收集的关于权利人的个人信息无法查明。此种情形下,被告以已经建立了“便捷的个人行使权利的申请受理和处理机制”进行抗辩的,法院不予支持。

(二)个人诉权的行使:以个人信息处理者拒绝个人的权利请求为前提

《个人信息保护法》第50条第2款规定,在个人信息处理者拒绝个人行使权利请求的情形,个人可以依法向人民法院提起诉讼。最高人民法院关于《民事案件案由规定》第一部分“人格权纠纷”中专门列举了“8.隐私权、个人信息保护纠纷(1)隐私权纠纷;(2)个人信息保护纠纷”,其中的“个人信息保护纠纷”应当适用于此等案件。结合立法背景、域外经验以及条文含义,本文认为,个人诉权的行使条件是个人信息处理者拒绝个人行使权利。具体而言,为个人信息保护请求权诉讼设置起诉条件存在以下方面的理由:

1.纠纷解决的便利与公共利益最大化

为个人信息保护请求权设置起诉前提,能够推动个人信息保护纠纷的高效解决,节约司法资源。在第50条起草过程中,曾有观点反对为行使个人信息保护请求权的个人设置起诉权利,其理由在于:实践中的个人信息保护请求权是被频繁行使的权利,如果设置为其直接起诉的权利,法院可能承受过大的诉讼压力。这种观点最终没有被采纳,但其担忧不无道理。实践中,个人信息查阅、复制、更正、补充、删除等权利的行使频率高、范围广,动辄诉诸法院,既会给当事人造成不必要的诉累,也会徒增法院负担。

与权利行使的高频次相应的另一个特征在于,针对个人信息提出此类权利诉求的个人与个人信息处理者间大多不存在此消彼长的利益冲突,这是由个人信息的自然属性和法律属性决定的:可复制性是个人信息的自然属性,分享是个人信息的利用方式,个人行使查阅、复制权利取得个人信息副本,并不会损害个人信息处理者对个人信息的利用;个人信息上同时承载了个人与个人信息处理者的利益,这是个人信息的法律属性,个人行使更正权维护个人信息的真实、完整性,对个人信息处理者有益无害。由此观之,个人信息处理者在相当一部分情形下没有拒绝个人行使个人信息保护请求权的现实动机。而向个人信息处理者提出的请求一旦被应允,个人即可借助个人信息处理者搭建的权利行使机制便捷、迅速地实现其权利请求。但实践中,诉讼当事人并不会考虑司法审判背后的社会成本,私人实际选择的纠纷解决方式并不一定对社会整体有益,而个人对个人信息处理者态度的误判还会促使个人更多地启动审判程序。“信息不对称会导致当事人无法达成和解,因为他们可能误判对方的处境。而一方误判对方的处境时不代表社会资源也应该投入到审判中。”为了避免司法资源的浪费,法律有必要引导私人行为,而个人信息处理者建立的权利响应机制即发挥着双方表达诉求、回应诉求的功能。通过设定这一起诉的前置条件,个人信息保护制度能够在诉讼之外迅速实现部分个人的权利主张,实现纠纷的繁简分流,将司法资源倾斜到存在实质争议、相对复杂的个人信息保护纠纷中去,实现个人选择与社会公共利益的统一。这是《个人信息保护法》第50条第2款作此规定的主要理由。

2.对个人信息处理者的激励作用

将个人与个人信息处理者的沟通前置于司法程序,有助于构建和谐的行业生态,实现个人与个人信息处理者的合作共赢。遇事径直诉诸诉讼,不仅增加社会运行成本,也破坏了自治协商、社会宽容等重要的价值观念,更会阻断当事人合作关系的进一步发展。关于非诉纠纷解决机制的研究表明,自治性的非诉纠纷解决机制能够缓和、改善司法和诉讼的固有弊端,促进社会合作。从纠纷解决路径的选择上来看,在个人信息处理者未拒绝权利人请求权而又尚未发生损害的情况下,当事人的关系还未处于紧张的对立状态,法庭不宜也没有必要成为个人与个人信息处理者会面的第一平台。《个人信息保护法》第50条已经对个人信息处理者构建便捷的权利行使机制提出了要求,这一机制具备纠纷解决的功能属性。如果个人可以绕过这一机制径直向法院起诉,无疑使个人信息处理者构建此制度的成本付之东流,造成制度资源乃至社会成本的极大浪费。如果个人信息处理者通过建设有效、便捷乃至高于行业一般标准的权利行使机制,能够免于陷入部分个人信息诉讼并在市场竞争中取得优势,那么它也就更有动机响应个人的权利行使请求。反之,如果个人信息处理者不论投入多大的努力与成本,都需要面对那些不愿意向其提出权利主张的个人提起的诉讼,那对其而言,如何在此类诉讼中胜诉则成为更值得考虑的问题;而将个人与个人信息处理者摆在诉讼的对立面,显然对个人更加不利。

3.对潜在道德风险的规制

为个人信息保护请求权设置起诉条件,能够预防可能的道德风险,避免恶意诉讼成为信息行业发展的阻碍。在个人行使个人信息保护请求权的诉讼中,原告往往会一并提出相关的损害赔偿请求。我国目前没有对此类案件中的损害赔偿问题出台专门规定,但不可否认的是,该类案件中的一部分损害实际发生于诉讼提起过程中,即为了维护自身权利支出的合理费用。实践中,已经有个人信息处理者提出原告主张的维权费用过高的抗辩,如在某行使删除权的案例中,有被告提出“原审律师费用明显超过广东省律师收费标准,存在以律师费非法诘取高额赔偿(的嫌疑)”,这揭示了可能的道德风险:个人信息保护请求权的行使条件低、频次高,个人可能伙同律师、公证人员等通过恶意诉讼向个人信息处理者诈取以“维权合理支出”为名的损害赔偿。在个人主张个人信息保护请求权被拒绝后起诉的情形,可能存在法律或行政法规规定的个人信息处理者拒绝个人行使权利的正当理由,败诉风险尚可以对个人的不当行为起到钳制作用。如果允许个人不经向个人信息处理者请求径行起诉,将存在相当一部分权利义务关系明确的个人信息保护请求权诉讼,个人在此类诉讼中几乎不承担败诉风险却可以获得损害赔偿,这极易催生以牟取诉讼利益为目的的滥诉。

4.关于诉权保障与实体法中的程序性规范问题

诉权是公民的基本权利,诉权行使受阻直接导致受侵犯的权利无法恢复,其危害甚于审判不公。针对为个人信息保护请求权设定起诉的前置条件,可能的反对理由是这一做法限制了当事人诉权的行使。但为个人通过诉讼行使个人信息请求权设置前置条件,尚不至于增加当事人的起诉难度。在信息化时代,个人向信息处理者提出过权利请求及个人信息处理者拒绝响应的事实均可在数字系统中找到明确记录,并不会出现个人无法举证证明这一前置条件而导致个人无法起诉的情况。

另《个人信息保护法》这一在实体法律中规定程序性规范的做法并非“异类”。在家事法领域,《民法典》已经为离婚诉讼规定了强制性的前置调解程序。对此,民事诉讼法理论也认为,民事诉讼法很难对每种请求权与诉讼程序的衔接作出详细规定,实体法也承担着对某些特殊请求权的诉讼行使作出安排的任务。从程序性规范的分布来看,一般的、抽象的程序性规范多由民事诉讼法规定,而特殊的、具体的程序性规范不可能一一规定在民事诉讼法中,更宜由实体法作出规定。基于实体法与程序法在规范内容上的区分而否定个人信息保护请求权的程序性权利性质的,是对程序规范分工问题的误解。

三、个人行使个人信息保护请求权受阻的起诉与审理

(一)个人未行使个人信息保护请求权情形的处理

个人未向个人信息处理者提出权利请求的,不满足法律规定的起诉条件,法院应当依据《民事诉讼法》第157条、《个人信息保护法》第50条的规定裁定驳回起诉。此时案件尚未进入实体审理阶段,当事人向个人信息处理者主张权利受阻后可以就同一法律关系再次起诉,不受“一事不再理”原则的限制。

依照《个人信息保护法》第50条第2款的文义,个人起诉的前置条件是其行使个人信息保护请求权被拒绝,该“拒绝”宜作广义上的理解。实践中,个人信息处理者部分响应个人提出的权利请求或为实现该权利请求附加额外条件,个人就此向人民法院起诉的,也属于本款规定的个人行使权利被拒绝的情形。部分响应个人提出的权利请求,实践中如个人主张行使查阅权、复制权,个人信息处理者仅支持个人查阅权的,再比如个人主张就某应用程序收集的全部个人信息行使权利,个人信息处理者仅支持个人就使用该应用程序中产生的个人信息主张的权利的。为实现个人的权利请求附加条件,实践中如要求个人支付权利行使费用的。对于是否存在个人信息保护请求权行使受阻的情形的判断发生于实体审理前,法院无须对前述情形下的附加条件是否合法等进行判断。

(二)得到个人信息处理者回复情形的审理

《个人信息保护法》第50条第1款后段规定:“(个人信息处理者)拒绝个人行使权利的请求的,应当说明理由。”在个人行使个人信息保护请求权且得到个人信息处理者回复拒绝权利行使的理由的情形,法院应对个人处理者拒绝个人行使权利的理由进行正当性审查。问题在于,法院应在何处寻求对这一理由进行正当性审查的依据?《个人信息保护法》第44条规定:“个人对其个人信息的处理享有知情权、决定权,有权限制或者拒绝他人对其个人信息进行处理;法律、行政法规另有规定的除外。”个人信息保护请求权的行使是个人知情权、决定权的具体实现方式,对个人信息保护请求权的行使设定的限制也应属于法律、行政法规的保留事项。由此看来,答案似乎相当明显,法院应且仅应从法律、行政法规中寻求限制个人行使个人信息保护请求权的正当理由。

实践中,有当事人主张以国家标准化文件作为判断个人信息处理者对删除权等权利的保障程度是否合乎要求的标准。这种主张实际上拉低了对个人权利进行限制的规范性文件的效力层级,与现行法规定相悖,不应得到法院的支持。但另一方面,我国现行法有关限制个人信息保护请求权行使的规定又凸显不足,如个人得以行使查阅权的信息范围就缺乏一般性的规定,对个人在短期内反复行使内容相同的个人信息保护请求权的情形的限制也仅在个别领域作出了规定。在相关领域的立法进一步推进前,法院对个人信息处理者拒绝个人行使个人信息保护请求权的情形进行正当性审查时难以绕开法律、行政法规以外的效力层级较低的规范性文件的规定。对此,有必要梳理现有规定对个人信息保护请求权的限制性条件,通过法律解释缓和《个人信息保护法》第44条所作的法律、行政法规保留与制度供给不足之间的现实矛盾,为此类案件的审理提供合理方案。

1.法律、行政法规限制个人行使个人信息保护请求权的事由规定

可以将现行法律、行政法规中限制个人行使个人信息保护请求权的规定作以下区分:

(1)《个人信息保护法》第四章对个人行使个人信息保护请求权的直接限制性规定,主要有两条:其一是第47条关于删除权的行使条件和因法定保存期限未满或技术难以实现而不能行使删除权的情形的规定,其二是第49条关于死者家属行使死者的个人信息保护请求权不得违背死者意愿的规定。

(2)《个人信息保护法》第13条关于个人信息处理者不必取得个人同意即可处理个人信息的情形的规定。这主要是针对个人行使删除权的情形而言的。删除权是个人就其个人信息,向个人信息处理者请求销毁、去除相关信息,使之不可被检索、访问,或者无法回溯、关联到该主体的权利。删除权是一项较为特殊的个人信息保护请求权:个人信息通过分享、传播发挥其经济效用与公共价值,个人行使删除权时围绕个人信息的权益交锋最为激烈;同时,删除权的行使与个人作出的允许个人信息处理者处理其信息的“同意”关系密切。个人信息处理活动中的个人同意不是一项民法上的意思表示,已经生效的同意对个人不产生意思表示那样的拘束力,个人仍可以行使撤回权。撤回同意是个人得以暂时中止个人信息处理者的信息处理活动或部分拒绝信息处理服务的方式,个人信息处理者已经收集的个人信息还有再次启用的可能,较之删除权的行使而言是一种程度较轻的拒绝个人信息处理活动的方式。在《个人信息保护法》第13条规定的个人信息处理者不必征得个人同意即可处理个人信息的情形凸显着个人对个人信息的决定权向其他价值的让步。依照《个人信息保护法》第15条的规定,通过“同意撤回”部分限制个人信息处理活动已不可能,行使删除权这一对个人信息处理活动的强干预手段更与《个人信息保护法》第15条的价值取向相悖。是故,在符合《个人信息保护法》第13条个人信息处理者不必取得个人同意即可处理个人信息的情形下,个人不得行使删除权。

(3)其他法律及行政法规对个人信息处理活动的限制性规定。《个人信息保护法》无法对个人信息保护请求权行使的具体情形作出完全列举的规定,国家可以基于各行业特点在单行法律、行政法规中规定特定领域内个人信息保护请求权的行使规则。实践中适用较多的是2013年颁布的《征信业管理条例》。《征信业管理条例》对征信业务规则及信息主体行使异议和投诉权利的具体规则作出了规定,其中部分规定设定了个人行使个人信息保护请求权的限制条件。如该条例第17条规定:“信息主体可以向征信机构查询自身信息。个人信息主体有权每年两次免费获取本人的信用报告。”自然人的个人信息是一个开放、动态的范畴,个人的查阅权、复制权不是一项“一次用尽”的权利。要实现对自己个人信息处理情况的持续知情,个人可以反复提出权利主张。但短期内反复提出权利主张实际超出了个人信息处理者应为个人提供的一般保护水平,通常而言个人无须对其个人信息保有这种强支配状态。个人信息处理者为对其个人信息敏感度较高的个人提供高于一般保护水平的制度,属于个人需支付对价的“付费增值服务”,这符合“一般免费、个别付费”的信息处理行业的经营模式。换言之,个人提出的个人信息保护请求权超出可以免费获得的个人信息保护标准的,个人信息处理者可以要求个人支付对价,这构成限制个人行使权利的正当理由。

除直接对个人行使个人信息保护请求权的情形作出规定外,《征信业管理条例》还规定了无须取得个人同意即可处理个人信息的情形。该条例第13条第2款规定:“企业的董事、监事、高级管理人员与其履行职务相关的信息,不作为个人信息。”在规则适用的角度上,该规定实际排除了上述人员的履行职务相关信息适用一般的“知情—同意”规则。上述人员无法对前述信息主张同意的撤回,也不得向征信机构主张删除权。就此而言,其他法律、行政法规关于无须取得个人同意即可处理个人信息的情形的规定可以作为个人信息处理者拒绝个人行使删除权的正当理由。

2.其他规范性文件对案件处理的参照适用

实践中,有法院参照效力层级较低的规范性文件对个人信息处理者拒绝个人行使个人信息保护请求权的行为作出评价,其中适用较多的是国家标准化管理委员会发布的《个人信息安全规范》。《个人信息安全规范》提供了个人信息处理活动应遵循的一般标准,其中不乏对个人行使个人信息请求权的例外情形的规定,这对于认定个人信息处理者拒绝个人行使权利的合法性具有参考价值。对此,既要认识到《个人信息安全规范》中规定的限制个人行使相关权利的事由的实质合理性,也要警惕适用低效力层级规则可能对个人信息保护请求权构成不当限制的风险。就此标准中的相关规则对个人信息处理者行为的合法性的判断问题,有以下方面值得说明:

第一,《个人信息安全规范》属于推荐性标准,作为判断拒绝个人行使个人信息保护请求权是否具有正当性理由的工具,其参考意义较弱。依据《标准化法》第2条规定,国家标准分为推荐性标准和强制性标准。强制性的国家标准属于必须执行的标准。强制性标准对判断相关主体法定义务的履行程度具有很强的参照意义。在私法领域,法律对国家标准的接受方式之一体现为在特定法律问题的判断上对强制性标准提出规则的认可。如《最高人民法院关于审理食品药品纠纷案件适用法律若干问题的规定》第6条规定:“食品的生产者与销售者应当对于食品符合质量标准承担举证责任。认定食品是否安全,应当以国家标准为依据;对地方特色食品,没有国家标准的,应当以地方标准为依据。没有前述标准的,应当以食品安全法的相关规定为依据。”这里规定的标准是强制性标准。而推荐性标准产生法律效力的路径则限于在合同关系中基于当事人的约定个别地发挥作用。《个人信息处理安全规范》属于推荐性标准,并不具备强制执行的效力。在个人信息处理关系中,个人与个人信息处理者又很难在事先就该标准的适用达成充分磋商,在未认定该标准是当事人选定的服务标准前,就该标准的内容应谨慎适用。

第二,《个人信息安全规范》只是关于个人信息处理者服务内容的国家标准,符合该标准的,不足以得出其行为合法的结论。标准的法律效力来自于法律的接受,但目前我国个人信息保护相关法律并未有借助国家标准判断个人信息处理者法定义务是否适当履行的规定;相反,在已经存在相关国家标准的情况下,《个人信息保护法》有意区分了国家标准与“本法规定的个人信息保护标准”,这意味着在未指明以国家标准作为判断个人信息处理者行为合法性的要素的情形,应以“本法规定的个人信息保护标准”为准。具体到《个人信息安全规范》的适用问题上,法院对《个人信息安全规范》中规则的适用应基于其和《个人信息保护法》确立的个人信息保护标准的一致性,而非其来源是推荐性的国家标准。换言之,法院对《个人信息安全规范》中得以拒绝个人行使权利的事由的规定进行适用,仍需基于《个人信息保护法》的规定进行具体的论证:如果其确立的个人信息保护水平和《个人信息保护法》一致则可以适用,否则不予适用。

第三,个人信息处理者提供的个人信息处理规则对个人信息的保护水平高于《个人信息安全规范》的,对个人信息处理者行为的合法性的判断应以其提供的个人信息处理规则为准。如《个人信息安全规范》第8.7条规定对个人行使个人信息保护请求权主张的作出决定及回复的期限为30天,个人信息处理者提供的隐私政策中的回复期限低于30天的,超出后者规定的期限即可认定个人信息处理者无理由拒绝个人权利请求的违法性。

由此可见,《个人信息安全规范》无法当然成为判断个人信息处理者行为合法性的依据。就《个人信息安全规范》中规定的对个人行使个人信息保护请求权的限制条件,其正当性需要经过法院的个别论证。其中具有实质合理性的部分、有条件成为一般性规定的,在未来有必要确立为效力层级较高的规范内容。

(三)未得到个人信息处理者回复情形的审理

个人行使个人信息保护请求权,未得到个人信息处理者回复的,应认定为个人信息处理者拒绝个人行使权利且未说明理由。此时,法院仍然需要就个人信息处理者拒绝个人行使权利的正当性进行判断,其判断规则在前文已经说明,不再赘述。但需要注意的是,在个人信息处理者未回复的情形下,个人信息处理者已经违反了第50条第1款规定的说明义务。未履行该说明义务与是否应支持个人主张的个人信息保护请求权无关,但个人可以就个人信息处理者违反该义务主张损害赔偿,该损害赔偿可能包含为维护权利的合理支出与违法处理个人信息产生的实际损害。 

四、个人信息保护请求权与两类损害赔偿请求权的关系

(一)个人信息保护请求权行使受阻情况下相关费用的损害赔偿请求权

个人信息保护请求权行使受阻时,个人为维护自身个人信息权益向人民法院提起诉讼的,会产生诸如律师费、公证费、差旅费等为了维护权利所需的合理支出。出于鼓励个人积极行使权利、规范个人信息处理者信息处理活动的初衷,在实践中法院会将此类案件中个人为维权支出的合理费用纳入《民法典》第1182条规定的财产损失中。这一做法具有合理性。个人信息处理者拒绝个人行使查阅权、复制权等个人信息保护请求权,并不一定给个人带来实际损失,故个人不一定能在此类诉讼中取得基于实际损失的损害赔偿。在诉讼成本与收益的权衡下,相当一部分个人会放弃主张其个人信息保护请求权,这有损个人信息保护请求权制度的规范效果。受害者的损失和他们因此得到的判决额将少于他们的审判成本,受害人将不倾向于提起诉讼。而对于社会而言,他们提起这样的诉讼可能是有益的,因为他们能够产生有益的激励作用。与之对应,如果不将维权支出转嫁给个人信息处理者,对个人信息处理者而言,其败诉后果无非是配合个人行使个人信息保护请求权,个人信息保护请求权制度对其威慑作用微乎其微。因此,在个人主张个人信息保护请求权的诉讼中,个人同时就维护个人信息权益的合理支出享有损害赔偿请求权。

个人就维护个人信息权益的合理支出享有的损害赔偿请求权,其请求权基础不是《个人信息保护法》第69条关于过错推定的规定,而是《民法典》关于过错责任的一般规定。这一请求权的产生并非基于个人信息处理者与个人之间的持续性的信息不平等关系,而是基于鼓励权利人行使权利、威慑侵权人的社会需求作出的制度安排;该请求权并未解决实际损害的填补问题,而是通过诉讼成本转嫁维护了原告提起此类诉讼的积极性。在其他领域,也有出于鼓励被侵权人主张权利、震慑侵权人的目标允许被侵权人一方就维护权利的合理支出提出损害赔偿请求的规定。如《著作权法》第54条第3款规定:“(侵犯著作权或与著作权有关的权利纠纷的)赔偿数额还应当包括权利人为制止侵权行为所支付的合理开支。”在消费者保护公益诉讼、利用互联网侵害自然人人身权益诉讼等领域中亦有类似规定。

(二)独立的损害赔偿请求权

《个人信息保护法》第69条第1款规定:“处理个人信息侵害个人信息权益造成损害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。”该条规定了个人信息权益遭受侵害的侵权责任的归责原则和构成要件。结合《民法典》第1165条关于侵权责任的一般条款和过错推定的规定,可以得到以下结论:(1)归责原则。承担本条规定的损害赔偿等侵权责任,适用过错责任原则中的过错推定。侵权人承担责任的基础是其有过错,但是在这样的案件中原告无需证明被告的过错,而是推定被告有过错,但是给予其“证明自己没有过错”的机会。如果被告能够证明自己没有过错,则不承担侵权责任;反之,则应当承担侵权责任。有无过错,取决于其处理个人信息是否履行了《个人信息保护法》规定的义务以及是否尊重了个人在个人信息处理中的权利。(2)构成要件。承担损害赔偿等侵权责任,要求处理者有违法处理个人信息的行为,个人受到了财产或人身方面的损害,违法处理个人信息的行为与损害之间有因果关系,同时需要处理者有过错(过错推定)。(3)处理者承担的侵权责任主要是损害赔偿责任,包括财产损失的赔偿和精神损害赔偿。

基于以上对个人信息受到侵害的损害赔偿请求权的分析结论,可以进一步分析其与个人信息保护请求权的关系。两类请求权均包含对个人信息权益的救济功能,但二者保护的客体存在差别。第69条规定的侵权请求权本质上是一项民法权益救济方法,所保护的客体是个人信息权益中包含个人的财产权益和人格权益的部分。第45—48条规定的个人信息保护请求权是专门保护个人信息权益的救济性权利,其保护的客体不限于个人信息权益中的民事权益。有观点认为,运用侵权法保护个人信息权益,并非对个人信息上成立私法性质的权利的承认,而是针对个人信息自动化处理给个人人格或财产带来加害危险的事先防御机制。也即,个人信息上并不承载独立于人格权益、财产权益的私法利益,侵权法对个人信息权益进行保护,实际是保护其中的民事权益。个人信息也不只是私法利益的载体,它还承载着满足社会交流需要的公共价值,于个人而言还包含个人自治、通信自由等基本权利的价值。当个人信息权益遭受侵害时,个人的私法权益不一定遭受侵害;在个人信息请求权得以行使的情形,可能并不存在需要借助侵权请求权进行救济的损害。

另一项值得注意的区别在于,个人信息保护请求权与诉讼程序的衔接具有特殊性。前文分析表明,就个人信息保护请求权提起诉讼,须存在“个人信息处理者拒绝个人行使权利的请求”的前提条件,这主要是基于此类权利行使的频次较高、较易得到相对人配合的现实考虑进行的制度设计。在第69条规定的情境下,实际损害已经发生,受害人与行为人之间的矛盾已经不大可能借助私下的沟通、协商进行解决,没有必要设置诉讼的前置程序,按照民事诉讼法的一般原则处理即可。个人因个人信息处理者的行为遭受实际损害的,就个人信息保护请求权的行使,个人仍需先行向个人信息处理者提出请求,但可以直接依据第69条的规定提起侵权损害赔偿之诉。

(三)三类请求权的适用关系

个人依法享有个人信息保护请求权,在必要时依法向个人信息处理者提出请求。诉讼一旦提起,个人为维护权利的成本支出已经产生,个人可以主张个人信息保护请求权受阻的损害赔偿请求权。但与前一种损害随诉讼的发生即产生不同,个人信息处理者拒绝其查阅、复制、转移、更正、补充或删除的权利要求的行为可能未造成维权支出以外的实际损害,个人也就不能依据《个人信息保护法》第69条的规定向人民法院提起诉讼。只有在个人信息处理者处理其个人信息造成实际损害的情形,个人方可依据第69条的规定提起诉讼。常见的不法处理个人信息造成损害的行为有处理个人信息没有合法基础(如没有告知同意)、处理敏感个人信息没有遵守特别规则、将个人信息用于其他目的、非法出售或以其他方式转移或公开个人信息等。基于以上分析,个人信息保护请求权、个人信息保护请求权受阻的损害赔偿请求权与个人信息受到侵害的损害赔偿请求权的适用关系如下:

个人行使个人信息保护请求权被个人信息处理者拒绝的,个人可以依据《个人信息保护法》第50条提起诉讼,同时产生为维护权利的合理支出的,可以一并主张个人信息保护请求权受阻的损害赔偿请求权;在尚未向个人信息处理者提出个人信息保护请求(查阅、复制、转移、更正、补充或删除)并受到拒绝之前,不宜依据第50条提起诉讼,亦不得就维权支出提出损害赔偿请求。在个人诉讼中为维护权利产生的合理开支之外,个人信息处理者处理个人信息造成个人实际损害的,个人可以依据《个人信息保护法》第69条和《民法典》侵权责任编的有关规定提起诉讼并提出损害赔偿请求。实践中,个人就个人信息保护请求权提起诉讼,可能同时存在以上三种权利主张。出于审判效率的考虑,人民法院可以一并审理,但应注意区分两类损害赔偿请求权的不同性质。 

结 语

习近平总书记指出:“网信事业发展必须贯彻以人民为中心的发展思想,把增进人民福祉作为信息化发展的出发点和落脚点,让人民群众在信息化发展中有更多获得感、幸福感、安全感。”《个人信息保护法》始终贯彻“网络安全为人民,网络安全靠人民”的要求,个人信息保护请求权即是“以人民为中心”的法治思想的集中体现。个人信息保护请求权包含了对个人信息处理者构建便捷的个人权利行使机制的要求和对个人规范行使权利的期许。借助个人信息保护请求权的行使,个人既是自我信息权益的捍卫者,也一同成为网络信息环境的治理者。通过在理论上阐明个人信息保护请求权的行使规则及与其他请求权的适用关系,能够对个人信息权益的自我保护、个人信息保护纠纷的处理提供有益指引。


]]>

2023-03-02 09:39
1727
牢牢把握团结奋斗的时代要求