程啸:个人信息权益的行使与救济机制|中国应用法学·专题策划
《中国应用法学》是最高人民法院主管,中国应用法学研究所主办的国家级学术期刊,在2021年正式入选CSSCI来源期刊扩展版目录,成为自2017年以来新创办法学期刊中唯一当选的刊物。
程 啸
清华大学法学院教授、博士生导师。
《个人信息保护法》的正式施行标志着个人信息权益有了更系统的法治保障,个人信息处理活动有了更明确的法律指引。然而,该法的出台并不是处理个人信息问题的终点,而仅仅只是开启了个人信息问题研究新的起点,诸多关乎个人信息的深层问题有待进一步解答。《中国应用法学》2022年第6期专门组稿“个人信息保护研究”专题,从个人信息权益保护与流通利用如何平衡、个人信息权益如何行使和救济、违法处理个人信息的行政罚款责任、特殊类型和场景下的个人信息规则等四个维度对上述问题进行探讨。希望以点带面,通过这些针对个人信息具体问题的探讨,反哺对整个个人信息保护问题的研究。本期特编发由清华大学程啸教授撰写的《个人信息权益的行使与救济机制》,以飨读者。
个人信息权益的行使与救济机制
文|程 啸
(本文刊载于《中国应用法学》2022年第6期)
—
内容提要: 个人在个人信息处理活动中的权利并非独立的权利,而是个人信息权益的权能。知情权与决定权属于个人信息权益的基础权能,无需行使,它们由个人信息处理规则、个人信息处理者的义务以及查阅权、复制权、删除权等其他个人在个人信息处理活动中的权利来加以保障。个人信息处理者应建立相应的申请受理与处理机制保障个人在个人信息处理活动中的权利得以实现。个人信息处理者拒绝个人行使权利以及行政机关的查处等,均非个人向法院提起诉讼的前置程序。个人信息处理者不同,个人提起诉讼的类型也不同。个人信息权益遭受侵害时,个人有权要求加害人停止侵害、排除妨碍以及消除危险并适用人格权禁令程序。
关键词:个人信息权益 个人信息保护法 权能 救济
文 章 目 录
一、引言
二、个人信息权益行使的程序
三、个人信息处理者拒绝个人行使权利的救济机制
四、个人信息权益的人格权请求权与人格权禁令程序
五、结语
我国法律中,《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)首次提出了“个人信息权益”的概念,并将“保护个人信息权益”作为主要立法目的之一(第1条)。该法第2条明确规定:“自然人的个人信息受法律保护,任何组织、个人不得侵害自然人的个人信息权益。”然而,《个人信息保护法》并未界定何为个人信息权益,该法第四章详细规定了“个人在个人信息处理活动中的权利”,包括个人对其个人信息处理的知情权、决定权(第44条);查阅权、复制权与个人信息可携带权(第45条);更正权、补充权(第46条);删除权(第47条);解释说明权(第48条)。 有些学者将上述个人在个人信息处理活动中的权利称为“个人信息权利束” 或“个人信息保护请求权”。 笔者认为,虽然《个人信息保护法》第四章使用了“个人在个人信息处理活动中的权利”这一称谓,但是这个所谓的“权利”不是独立存在的“主观权利”(Subjektive Rechte),而是“权能”(Befugnisse)。权能不同于权利,权能是权利的非独立的组成部分,是权利所赋予权利人的意思决定的空间。原则上权能是权利的不可分离的组成部分,权能不能被单独转让。 个人在个人信息处理活动中的权利并非一堆毫无关联的权利的集合体或堆叠物,而是属于个人信息权益内容的有机组成部分即权能。其中,知情权与决定权属于核心性权能,而查阅权、复制权、可携带权、补充权、更正权、删除权、解释说明权等是为了实现知情权与决定权而配置的,属于工具性权能。
我国《个人信息保护法》颁布后,理论界对于个人信息权益的性质、权能构造、保护的利益范围、个人信息权益的行使与救济机制等许多问题都进行了研究,由此也引发了很大的争议。 限于篇幅,本文主要就个人信息权益的行使与救济机制等问题进行研究,主要包括:首先,作为个人信息权益权能的个人在个人信息处理活动中的权利的行使程序是什么?如何理解申请受理和处理机制?其次,个人向法院提起诉讼是否以被个人信息处理者拒绝个人行使权利甚至是有关行政监管机关的查处为前提?最后,个人信息权益的权能与侵害个人信息权益的人格权请求权的关系如何?
(一)知情权与决定权的实现
《个人信息保护法》第44条规定的个人对其个人信息处理的知情权与决定权,不仅在整个第四章所规定的“个人在个人信息处理活动中的权利”中处于核心地位,也在整个个人信息保护法律体系中占据基础性地位。如前所述,这两项权利属于个人信息权益的核心内容,是基础性权能。知情权与决定权不需要个人具体行使,而是通过个人信息处理规则、个人信息处理者的义务以及其他个人在个人信息处理活动中的权利保障得以实现的,具体体现在以下几点:(1)告知同意规则属于个人信息处理活动的合法性基础。《个人信息保护法》第13条第1款第一项以及第2款规定,只有取得个人同意后,个人信息处理者方可处理个人信息,除非法律、行政法规规定不需要取得个人同意。(2)个人的同意必须是真实的、自愿的。《个人信息保护法》对于个人信息处理者必须履行告知义务作出了详细的规定(第17条、第18条),明确禁止任何人通过误导、欺诈、胁迫等方式处理个人信息(第5条)。除非处理个人信息属于提供产品或者服务所必需的,否则,个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由而拒绝提供产品或者服务(第16条)。(3)针对不同的个人信息处理活动,《个人信息保护法》规定了不同的告知事项以及对个人的同意有不同的要求,如就敏感个人信息的处理,除了一般的告知事项外,还要求向个人告知处理敏感个人信息的必要性以及对个人权益的影响,并取得个人的单独同意。(4)个人可以随时撤回同意。也就是说,在基于个人同意处理个人信息的情形中,个人有权随时、无需任何理由而撤回其同意,个人信息处理者应当提供便捷的撤回同意的方式。同时,在个人撤回同意后,个人信息处理者应当停止处理个人信息并主动删除个人信息,否则个人有权行使删除权。(5)个人有权向个人信息处理者查阅、复制其个人信息,即个人行使查阅权与复制权的(第45条第1款、第2款),个人信息处理者应当及时提供。(6)个人也有权在符合相应规定的情形下行使个人信息可携带权,请求将个人信息转移至其指定的个人信息处理者,个人信息处理者应当提供转移的途径(第45条第3款)。(7)发现个人信息不准确、不完整时,有权请求个人信息处理者及时进行更正或补充(第46条)。(8)在符合规定的条件时,可以行使个人信息删除权(第47条)。(9)个人信息处理者应当公开其制定的个人信息处理规则,该规则应当便于查阅和保存(第17条),个人有权请求个人信息处理者对其制定的个人信息处理规则予以解释说明(第48条)。
(二)个人信息处理者建立相应的申请受理和处理机制
除了知情权与决定权,其他的个人信息在个人信息处理活动中的权利,即查阅权、复制权、可携带权、更正权、补充权、删除权以及解释说明权,需要由个人通过针对个人信息处理者提出请求的方式来行使(实现)。如果没有个人信息处理者的配合即履行相应的义务,那么这些个人在个人信息处理活动中的权利是无法实现的。由于现代社会中的个人信息处理活动无时不在、无处不在,而所处理的个人信息也涉及数量极为众多的个人,故此,必须建立一套科学有效的机制来保障个人在个人信息处理活动中的权利得到实现。这对于个人和个人信息处理者都是非常有必要的,因为它既能确保个人信息权益的实现,也能使得个人信息处理者在履行相应义务时的成本被降低,从而提高效率。例如,欧盟《通用数据保护条例(GDPR)》第12条专门就确保数据主体行使权利而需要的透明的信息、沟通与方式问题作出了规定,如要求数据的控制者应当根据《通用数据保护条例》第15条至第22条的规定帮助数据主体行使其权利,对于数据主体根据这些规定而提出的请求,数据控制者不得无故拖延并且必须在收到请求之日起一个月内提供其对这些请求所采取的应对措施的信息,必要时可以延长两个月。此外,要求个人信息处理者在根据条例的第13条和第14条提供的信息、通信以及根据第15条至第22条和第34条采取的行动都应当是免费的,不得向数据主体收取费用。
在《个人信息保护法》颁布前,《网络安全法》第49条第1款就明确要求网络运营者应当建立网络信息安全投诉、举报制度,公布投诉、举报方式等信息及时受理并处理有关网络信息安全的投诉和举报。国家推荐标准《信息安全技术·个人信息安全规范》(GB∕T 35273-2020)第8.7条、第8.8条对于个人信息处理者如何响应个人信息主体的请求作出了指引,如规定个人信息处理者在验证个人信息主体身份后,应当及时响应个人信息主体提出的查询、更正、删除、撤回同意、注销账户等请求,应当在三十天内或法律法规规定的期限内作出答复及合理解释,并告知个人信息主体外部纠纷解决途径等。《个人信息保护法》第50条第1款明确要求个人信息处理者应当建立便捷的个人行使权利的申请受理和处理机制。
首先,个人信息处理者应当建立申请受理机制,具体包括:(1)明确个人在向个人信息处理者行使权利时如要求查阅、复制或者要求删除的,应通过何种方式(如发送电子邮件或电话等)向个人信息处理者中的何人提出申请;(2)明确个人提出申请时,要提供何种证明材料以证明其属于个人信息被处理的个人并确实享有其主张的权利;(3)明确个人信息处理者在符合何种条件下于多长时间内受理个人的申请并向个人进行反馈等。现代网络信息社会,个人信息基本上是以电子形式被处理的。故此,个人信息处理者应当跟随科技的发展采取符合信息时代要求的便捷的申请受理机制,如网上申请并受理。这不仅能够使个人便捷高效地行使权利,保护个人的隐私,及时维护个人信息权益,也能够使得个人信息处理者的处理活动更好地符合法律的规定。
其次,所谓处理机制,是指个人信息处理者应当如何回应个人符合条件的行使权利的请求。例如,在个人行使查阅、复制权时,处理者应如何及时提供该个人请求查阅、复制的个人信息;当个人行使删除权的,处理者怎样对需要删除的个人信息进行删除并将结果反馈给个人等。便捷的处理机制显然不是仅仅立足于个人信息处理者的立场,而是要在严格遵守《个人信息保护法》的要求下,以保障个人信息权益为中心,兼顾个人、处理者以及第三人等各方利益的前提下建立起来的。
(一)个人信息处理者享有正当的拒绝权
《个人信息保护法》第50条第1款第2句要求,个人信息处理者拒绝个人行使权利的请求的,应当说明理由。这就是说,个人信息处理者可以拒绝个人向其提出的行使查阅、复制、更正、删除等权利的请求。无论个人信息处理者是国家机关还是非国家机关,当其拒绝个人行使权利的请求时,都应当说明理由。例如,个人以个人信息的保存期限已经届满为由要求处理者删除其个人信息的,处理者经核实后发现保存期限尚未届满,故此拒绝个人的删除请求,同时告知其拒绝的理由在于保存期限尚未届满。通过要求个人信息处理者在拒绝个人行使权利的请求时说明理由,一方面可以保证个人信息处理活动的公开透明,保障个人对其个人信息处理的知情权;另一方面也可以防止个人信息处理者任意拒绝个人行使权利的请求。当然,个人信息处理者拒绝个人行使权利的理由是否正当,最终的判断权利在于法院。
《个人信息保护法》并未具体规定个人信息处理者享有哪些拒绝个人行使权利的正当理由,《信息安全技术·个人信息安全规范》(GB∕T 35273-2020)第8.7条e列举了八种情形下个人信息处理者可以不响应个人信息主体提出的请求,如与国家安全、国防安全直接相关的;与公共安全、公共卫生、重大公共利益直接相关的;与刑事侦查、起诉、审判和执行判决等直接相关的;个人信息控制者有充分证据证明个人信息主体存在主观恶意或者滥用权利的;等等。笔者认为,这一规定并不妥当。个人向个人信息处理者提出行使查阅、复制、删除等权利的请求时,个人信息处理者能够拒绝个人行使权利的理由不能被界定得过于宽泛,否则,个人信息权益将形同虚设。个人信息处理者能够拒绝个人行使权利的正当理由应当限于以下三类情形:(1)权利主体不适格,即提出请求的个人并非个人信息的权利主体。例如,张三向A公司申请查询的不是自己的个人信息,而是李四的个人信息。(2)权利行使要件欠缺,即缺乏行使相应权利的实体要件或形式要件。例如,个人向个人信息处理者行使个人信息可携带权,请求将个人信息转移至其指定的个人信息处理者,但是不符合国家网信部门规定条件的;再如,李某要求B公司更正其个人信息,但又没有证据证明处理者所处理的个人信息是错误的。(3)行使权利不符合法律和行政法规的规定。例如,依据《个人信息保护法》第18条的规定,个人信息处理者依据法律的规定处理个人信息并且应当加以保密的,此时个人向个人信息处理者行使查阅、复制权的,处理者有权拒绝。
(二)个人向法院起诉个人信息处理者没有前置程序
从立法资料来看,直到《个人信息保护法》(草案)的第三次审议稿中,都没有对处理者拒绝个人行使在个人信息处理活动中的权利时可以起诉作出规定。在全国人大常委会对《个人信息保护法》(草案)进行第三次审议时,有的常委提出,应当要求个人信息处理者提供便捷的途径,并明确个人向人民法院起诉寻求救济的权利,以更好保障个人行使个人信息查询、复制等权利,该意见被宪法和法律委员会所接受。 于是,《个人信息保护法》第50条第2款规定:“个人信息处理者拒绝个人行使权利的请求的,个人可以依法向人民法院提起诉讼。”然而,目前理论界与实务界对于该款却存在很大的争议,焦点在于:个人向法院提起诉讼是否有前置程序以及何种前置程序?
否定说认为,个人向个人信息处理者提出诉求且个人信息处理者拒绝行使权利的请求并不是向法院提起诉讼的前置条件。 因为《中华人民共和国民事诉讼法》(以下简称《民事诉讼法》)第122条对于起诉的条件有明确规定,而诉权是民事主体的基本权利,必须要有法律的明确规定才能加以限制。 既然《个人信息保护法》并没有作出前置程序的规定,个人当然可以直接向法院提起诉讼。肯定说认为,应当设置前置程序,不过持该观点的学者中又有分歧。一种观点认为,《个人信息保护法》第50条第2款设置了个人向法院起诉的前置条件,即个人只有在行使个人信息保护请求权被个人信息处理者拒绝的情况下,方可以向法院提起诉讼。如果自然人未经向个人信息处理者行使请求权提出请求或者提出请求未被个人信息处理者拒绝的,则不能向法院提起诉讼。 另一种观点认为,个人仅仅是向个人信息处理者提出请求被拒绝,也不能立即就向法院起诉,个人必须还要向行政机关寻求行政救济手段,即向负有履行个人信息保护职责的部门进行投诉举报。只有在这些部门不履行法定职责或者这些部门处理后,个人对其处理结果不服的,才可以起诉,不过此时的起诉,是针对履行个人信息保护职责部门的行政诉讼。只有当个人信息处理者不仅拒绝个人行使查阅、复制、更正、删除等个人在个人信息处理活动中的权利,并且给个人造成了损害的,个人才能向法院提起民事侵权赔偿之诉。这正是《个人信息保护法》第50条第2款强调“依法向人民法院提起诉讼”的全面理解。
笔者赞同否定说,即个人向法院提起起诉,没有也不应当有任何前置程序。如前所述,《个人信息保护法》第50条第2款是承接第1款而作出的规定,因为第1款要求处理者建立个人行使权利的程序机制,并且要求个人在拒绝个人行使权利的请求时说明理由,所以第2款才接续规定如果个人信息处理者拒绝个人行使权利的请求的,个人可以起诉。由于个人的查阅、复制、更正、补充、删除等权利本身就是请求权,需要个人信息处理者的配合才能实现该权利。故此,从道理上说,个人不可能会在尚未针对个人信息处理者提出请求时就直接到法院起诉。如果真有原告这样做,那么后果很可能就是原告因为无法证明其个人信息权益中的查阅、复制、更正、补充、删除等权利受到了侵害而被判决败诉。从这个角度来说,个人只有向个人信息处理者提出请求而被拒绝的,才有必要寻求司法保护,向人民法院提起诉讼。这对于提高效率,节约资源,减轻法院的负担也是有益的。但是,不能认为个人只有向个人信息处理者提出请求后才能起诉,否则就应当驳回起诉,把个人向个人信息处理者提出请求设置为起诉的前置程序,更不能认为个人不仅要向个人信息处理者提出请求,而且在请求被拒绝后还需要先向行政机关投诉或举报,只有行政机关处理后才能起诉。因为无论上述何种理解,都已经构成了对个人诉权的限制。诉权是民事主体的最基本权利,诉讼制度也是最基本的法律制度。《中华人民共和国立法法》第8条明确规定,诉讼和仲裁制度只能制定法律。换言之,只有法律中明确规定了某种程序是提起诉讼的前置程序的,才是合法的。例如,《中华人民共和国土地管理法》第14条第1款、第3款规定:“土地所有权和使用权争议,由当事人协商解决;协商不成的,由人民政府处理。”“当事人对有关人民政府的处理决定不服的,可以自接到处理决定通知之日起三十日内,向人民法院起诉。”显然,这一条明确地将人民政府对土地权属争议的处理作为向法院起诉的前置程序。但是,《个人信息保护法》第50条第2款根本没有这样的规定,其他法律中也没有。因此,对于民事主体诉权的限制必须有全国人民代表大会及其常委会制定的法律作出明确的规定,无论是行政法规还是司法解释等都不得对诉权进行限制, 更不能随意地通过对法条的解读就得出限制诉权的结论。事实上,即便是特别重视个人信息保护的行政监管措施的欧盟《通用数据保护条例》,也并未给司法救济程序当然设定前置程序,该条例第79条明确规定:“在不影响获得行政或非司法救济的情况下(包括本条例第77条规定的向监管机构提出投诉的权利),每一个数据主体在认为他或她基于本条例而享有的权利因为违反本条例规定的个人数据处理行为而遭受侵害时,均有权寻求有效的司法救济。”也就是说,欧盟成员国可以自行决定相关程序的安排,其可以将行政等非司法救济程序作为诉讼的前置程序,也可以不作为前置程序,但无论各成员国的组织法和程序法的具体情况如何,国家立法都必须为所有程序性情况下对《通用数据保护条例》规定的侵害行为提供“有效的司法补救”,并且不能够使行使这一权利“实际上不可能或过于复杂”。
将个人向个人信息处理者提出请求作为起诉的前置程序,还会对个人信息权益造成不合理的限制,违反《民法典》。个人信息权益属于民事权益,个人信息处理者在没有告知并取得个人同意以及缺乏法律、行政法规规定的理由的时候,对自然人的个人信息进行处理,这就是侵害个人信息权益的行为,依据《民法典》第1167条应当承担停止侵害、排除妨碍、消除危险等侵权责任。如果认为个人在个人信息处理者非法收集、存储、使用或公开个人信息的时候,还要先向个人信息处理者提出请求且被拒绝后才能起诉,那么对于个人信息权益的保护就非常不利,这也等于实质上否定了人格权请求权对个人信息权益的适用。况且,以个人信息处理者的拒绝为起诉的前提,还意味着个人要证明自己已经向个人信息处理者提出了请求且被拒绝,如果个人信息处理者既不同意也不拒绝,那么个人岂不是无法向法院提起诉讼?至于有的学者把《个人信息保护法》第50条第2款中的“依法”解释为依照《个人信息保护法》行政监管和保护的逻辑,由负有个人信息保护职责的部门对违反合规义务、侵害个人信息权利束的处理活动进行监督和处理,笔者更是难以赞同。因为,该款中的“依法”就是指依据《民法典》《民事诉讼法》等相关法律提起诉讼,绝非设置了行政处理前置程序。事实上,在个人信息违法行为如此普遍的情形下,要求履行个人信息保护职责的部门查处每一起违法行为后,个人才能提起诉讼,甚至认为在个人信息监管机关作出处理后,个人对个人信息监管机关的决定不服的,只能提起行政诉讼。这种观点不仅不利于保护个人信息权益,也给履行个人信息保护职责的部门施加了过重的责任。同时,还将原本个人与个人信息处理者之间的侵权关系变为个人与履行个人信息保护职责部门的行政诉讼关系,有百害而无一利。
综上所述,个人在向个人信息处理者行使权利被拒绝后,当然可以向法院提起诉讼。但个人信息处理者的拒绝以及履行个人信息保护职责部门的查处都绝不是个人提起诉讼的前置程序。
(三)个人向人民法院提起诉讼的类型
关于《个人信息保护法》第50条第2款规定的“依法向人民法院提起诉讼”的类型问题,一种观点认为,由于个人信息处理者的类型众多,因此,根据处理者的身份不同,个人可以分别提起行政诉讼或民事诉讼。申言之,如果处理个人信息活动的是国家机关或者履行法定职责处理个人信息的法律、行政法规授权的具有管理公共事务职能的组织,它们拒绝个人行使权利请求的,提起的是行政诉讼;如果是企业、事业单位等民事主体,那么提起的是民事诉讼。 另一种观点认为,个人向法院提起的诉讼都是行政诉讼,即针对履行个人信息保护职责部门的处理决定不服而提起的行政诉讼,只有当个人信息权益遭受损害后,才能提起民事诉讼。
笔者认为,前一种观点更为妥当。因为后一种观点是建立在向行政机关投诉并由行政机关查处是起诉的前置程序的基础之上的。况且,认为只有当个人信息权益被侵害而且遭受损害后,个人才能依据《个人信息保护法》第69条提起民事诉讼的看法也显然是混淆了侵权法中的侵害与损害的关系问题。《个人信息保护法》第69条第1款是依据《民法典》第1165条第1款,在区分“侵害”与“损害”的基础上制定的。 个人信息权益被侵害不同于损害,侵害(verletzen)强调的是对于民事权益领域的侵入或干涉行为的非法性。就作为人格权的个人信息权益而言,是指既没有告知并取得个人的同意,也不存在法律、行政法规规定的理由,就对个人信息进行处理活动,该行为就是侵害个人信息权益的行为。此时,个人信息权益受到了侵害。损害(Schaden)则是指具有法律上的可赔偿的任何物质或精神利益的非自愿的丧失。侵害个人信息权益可能造成损害(如个人信息处理者泄露个人信息而导致个人遭受电信网络诈骗或被犯罪分子杀害),也可能不会造成损害(如个人信息处理者没有告知而收集个人信息或者个人依法向其行使删除权而被拒绝)。就侵害个人信息权益的侵权责任的成立而言,侵害行为是不可或缺的要件,而损害仅仅是侵权赔偿责任的成立要件之一。也就是说,没有造成损害,仍然会成立侵害个人信息权益的侵权责任,无非侵权人承担的是停止侵害、排除妨碍等性质上属于绝对权请求权的侵权责任而已。被侵权人当然可以通过提起民事诉讼的方式来要求侵权人承担这些侵权责任。故此,那种认为只有造成了损害,才会发生侵权责任,产生侵权民事诉讼的观点是不正确的。
(一)个人信息权益的人格权请求权
个人信息权益属于人格权益,其被侵害后,无论加害人有无过错以及是否造成损害,个人都可以行使人格权请求权。《民法典》第995条规定:“人格权受到侵害的,受害人有权依照本法和其他法律的规定请求行为人承担民事责任。受害人的停止侵害、排除妨碍、消除危险、消除影响、恢复名誉、赔礼道歉请求权,不适用诉讼时效的规定。”就该条列举的这些请求权中哪些属于人格权请求权,有不同的观点。有的学者认为,本条所规定的请求权全部属于人格权请求权。 有的学者则认为,只有停止侵害、排除妨碍、消除危险、消除影响、恢复名誉是人格权请求权,赔礼道歉不属于人格权请求权。 还有的学者认为,人格权请求权只包括三类,即停止侵害、排除妨碍与消除危险,至于赔礼道歉、消除影响、恢复名誉本质上也是属于恢复原状的措施,不是人格权请求权。 笔者认为,人格权请求权仅仅是指停止侵害、排除妨碍和消除危险这三类请求权,不包括消除影响、恢复名誉、赔礼道歉请求权,因为它们并不能发挥预防的功能,只能起到事后填补损害的作用。
自然人的个人信息权益遭受侵害或妨碍的情形包括两类:其一,自然人向个人信息处理者行使查阅权、复制权、可携带权、删除权等,被个人信息处理者无正当理由加以拒绝;其二,个人信息处理者非法处理个人信息而侵害个人信息权益,即处理者既未告知并取得个人的同意,也没有法律、行政法规规定无需取得个人同意甚至不告知的情形,就实施个人信息处理活动。如果是前一种情形,个人信息处理者的行为对于个人信息权益的行使构成了妨碍, 也就是说,因为个人信息处理者不履行相应的义务,导致个人在个人信息处理活动中的查阅权、复制权、删除权等权利难以实现。此时,依据《个人信息保护法》第50条第2款的规定,个人可以向法院起诉,通过法院判决来强制实现权利。如果是后一种情形,那么处理活动本质上是侵害自然人对其个人信息处理的知情权与决定权,故此,自然人可以向非法处理其个人信息的处理者行使停止侵害、排除妨碍、消除危险这三类人格权请求权,如要求未经同意而收集、加工其个人信息的处理者停止收集、加工行为;要求非法删除其个人信息的处理者恢复个人信息等。此外,如果侵害个人信息权益造成损害的,不论是非法处理个人信息,还是处理者无正当理由拒绝个人行使个人信息处理活动中的权利,依据《个人信息保护法》第69条第1款,个人都有权要求个人信息处理者承担赔偿责任。
不过,上述两种情形中存在一个交集,即《个人信息保护法》第47条规定的可以行使删除权的五种情形中的第四种情形——“个人信息处理者违反法律、行政法规或者违反约定处理个人信息”。个人信息处理者违法或违约处理个人信息,本身就是侵害个人信息权益的行为。此时,个人当然可以向个人信息处理者请求删除,即行使删除权。但由于该行为是侵害个人信息权益的行为,依据《民法典》第995条、第1167条,个人也有权要求个人信息处理者停止侵害、排除妨碍以及消除危险。有观点认为,此时删除权已经取代了停止侵害、排除妨碍请求权,个人只能行使删除权。 笔者不赞同该观点。一方面,删除权的功能有限,只能删除非法收集的个人信息,而且个人还必须先向个人信息处理者提出请求,被拒绝后才能向法院起诉。但停止侵害、排除妨碍、消除危险等请求权可以全面起到制止并预防非法个人信息处理活动的功能,而且,个人既可以向个人信息处理者行使这三项人格权请求权,也可以直接向法院提起诉讼,通过司法途径实现该等人格权请求权。另一方面,《个人信息保护法》第72条第1款明确将“自然人因个人或者家庭事务处理个人信息的”情形排除在该法的适用范围之外,这就意味着当自然人之间因个人或家庭事务处理个人信息的,即便存在非法收集个人信息等情形的,也不可能适用《个人信息保护法》的删除权,显然只能依据《民法典》第995条、第1167条,主张停止侵害、排除妨碍以及消除危险请求权。
(二)个人信息权益是否适用人格权禁令程序
《民法典》第997条规定:“民事主体有证据证明行为人正在实施或者即将实施侵害其人格权的违法行为,不及时制止将使其合法权益受到难以弥补的损害的,有权依法向人民法院申请采取责令行为人停止有关行为的措施。”该条规定的就是所谓的“人格权禁令程序”,其目的在于为人格权提供更全面的保护,即通过建立一种高效快捷的人格权请求权的程序实现机制,以及时制止侵害人格权的行为,为权利人提供高效的救济,避免侵害行为给人格权主体造成难以弥补的损害。
个人信息权益性质上属于人格权益,但是由于《民法典》《个人信息保护法》都没有明确使用“个人信息权”的概念,故此,个人信息权益是否能够适用人格权禁令程序,值得研究。否定说认为,由于《民法典》第997条明确使用的是“人格权”的表述,个人信息权益只是属于人格权益,而且个人信息权益是否被侵害殊难认定,故此应当将人格权禁令的范围限定为人格权,而不适用于个人信息权益。 肯定说认为,由于《民法典》第990条第1款列举了人格权的具体类型,而第2款规定了人格权益的一般条款,故此《民法典》“人格权编第一章关于人格权的一般规定中所出现的‘人格权’这个语词,一般就包括了法律所明确列举的人格权,也包括了自然人所享有的除明确列举的人格权之外的,基于人身自由、人格尊严产生的其他人格权益”。 个人信息权益作为人格权益,当然也可以适用人格权禁令程序,无非在判断标准上从严把握即可。 目前,主流观点采取肯定说。《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》第9条也明确规定:“自然人有证据证明信息处理者使用人脸识别技术正在实施或者即将实施侵害其隐私权或者其他人格权益的行为,不及时制止将使其合法权益受到难以弥补的损害,向人民法院申请采取责令信息处理者停止有关行为的措施的,人民法院可以根据案件具体情况依法作出人格权侵害禁令。”
个人信息权益作为《民法典》《个人信息保护法》等法律所确立的新型民事权益,其性质如何、与隐私权等其他人格权益的关系怎样、该权益保护的利益究竟是什么、作为个人信息权益内容的个人在个人信息处理活动中的权利应当如何行使以及被侵害后怎样救济,这些问题还需要更深入的研究与更丰富的实践。唯其如此,才能实现我国个人信息保护法律规范体系的整合,科学合理地协调个人信息权益的保护与合理使用个人信息的关系。
*本文刊载于《中国应用法学》2022年第6期。因篇幅限制,注释等有删减,具体请参见期刊原文。-责任编辑:韩 煦-
往期推荐
●姜启波:数据权益纠纷司法裁判的价值准则|中国应用法学·高端论坛
●田立文:认罪认罚案件量刑的四个核心问题|中国应用法学·高端论坛
●李立众:《刑法》第239条(绑架罪罪刑规范)评注|中国应用法学·法律评注
中国应用法学
《中国应用法学》现设有“高端论坛”“本期特稿”“专题策划”“法学专论”“实证研究”“涉外法治研究”“法律评注”等栏目。我们将会持之以恒地提高办刊质量,汇聚起应用法学研究的磅礴力量,努力打造应用法学研究高端平台,共襄中国特色社会主义法治建设的盛举,迎接中国特色社会主义法治灿烂辉煌的未来!
《中国应用法学》投稿网站:
https://zyyf.cbpt.cnki.net/
《中国应用法学》订阅邮箱:
zgyyfx_issue@163.com
刊号:CN10-1459/D.
订刊电话:010-67555935
订刊传真:010-67107848(刘老师)