【立法研究】个人信息主体权利的性质和行使规范 ——《民法典》第1037条的解释论展开

个人信息主体权利的

性质和行使规范

——《民法典》第1037条的解释论展开

作者简介：

高富平，互联网法治研究院（杭州）常务副院长，华东政法大学教授；

李群涛，华东政法大学法学研究生。

 （本文原载于《上海政法学院学报（法治论丛）》2020年第6期）

【摘要】《民法典》第1037条规定的个人信息主体的查询、复制、更正、删除四种权利系请求权，旨在防御个人信息处理中个人信息主体的人格权益受侵害。个人信息主体主张四种权利需要满足一般要件，即个人信息主体的人格权益因信息处理正受侵害或有受侵害之虞，还需要满足特别要件——违反涉及个人信息处理中个人权益保护的具体法律的规定。个人信息主体权利是存在于特定处理关系中针对信息处理者不法或不当行为的请求权。个人信息主体权利不具有绝对性，信息处理者在部分情形下可以拒绝响应个人信息主体的请求，但需要论证其在个人信息主体权益、公共利益及信息处理者自身合法利益等利益间的衡量中占优势。

【关键词】个人信息 个人信息主体权利 人格权请求权 《民法典》第1037条

一、问题的提出

《民法典》第1037条确认个人信息主体享有查阅权、复制权、更正权及删除权四种权利（以下简称“四种权利”）。[1]观察第1037条之规定，似乎个人信息主体的四种权利十分强大：个人信息主体的删除权，在“信息处理者违反法律、行政法规的规定或者双方的约定处理其个人信息”两种情形之一出现时即可主张；更正权也仅以“发现信息有错误”为前提；至于查阅权、复制权的主张，则似乎完全没有限制。就此而言，个人信息主体好像能完全左右其个人信息的处理，个人信息几乎处于个人信息主体控制之下。

于是业界有观点担忧，个人信息主体主张权利的条件如此宽松，待《民法典》生效后，若个人信息主体动辄以查询、复制、更正、删除其个人信息为由进行投诉，企业一线将遭受不能承受之重。其次，如果法律要求企业不得拒绝响应个人信息主体任何的查询、复制等要求，则企业的合规成本将显著增长。另外，若个人信息主体随其意愿，动辄申请更正、删除企业数据库中关于其个人的信息，则作为数据分析基础的数据之质量及数量将难以得到保证。长此以往，数据分析结果的质量和可靠性也难以维持。

业界有此种担忧并不是杞人忧天。在亚欧大陆的另一端，此种担忧是已经发生或正在发生的事实。2019年8月，德国的Delivery Hero因未满足用户根据GDPR的权利要求而被处以罚款195,407欧元。[2]相似的事件在捷克、塞浦路斯、匈牙利等地也时有发生。[3]

我国审判实践也开始关注到个人信息主体主张权利的司法处理问题，并产生了两种相左的立场：第一种观点认为如果仅为查询、复制、更正、删除即可到法院提起诉讼，则审判机关受理的案件数量可能会呈现爆炸式增长，因此要对四种权利进行限制；但另一种观点认为，严格按照第1037条，这四种权利是个人信息主体当然享有的权利，不能限制其提起诉讼，否则将使得法律规定的目的落空。[4]

因此，对于四种权利，个人信息主体是否完全可依单方意愿而恣意行使，企业等主体作为信息处理者又是否必须时刻满足个人信息主体行使四种权利的要求，成为《民法典》实施中的重要议题。从本质上看，这涉及主张四种权利的要件，而对四种权利之要件的探讨又建立在对四种权利性质的判断之上。于是，本文以《民法典》第1037条为中心，从厘清四种权利的性质出发，探究主张四种权利的要件为何，并探索信息处理者某些情形下是否能够享有相应的抗辩事由，以合理阻却个人信息主体的不恰当要求。

二、个人信息主体权利的性质界定

个人信息主体的四种权利性质如何是重要话题，因为权利定性的差别会相应地体现到个人信息主体权利的行使规范当中。本部分将以第1037条为中心展开，厘清四种权利的性质。

（一）四种权利系请求权

从第1037条之文义明显可看出，四种权利中的更正权和删除权一定是请求权。一方面，第1037条第1款第2分句的“有权”一词道出更正的权利本质，而“请求”一词更是直接点明其请求权属性。另一方面，第1037条第2款“有权请求”的法律表达也说明个人信息主体的删除权也是请求权。对照地，第1037条第1款第1分句规定的查询、复制权，语词使用上并未涉及“请求”二字，“可以”这一法律表达仅能说明自然人查阅、复制其个人信息是权利而未直接表明是请求权。不过“向”信息处理者查阅、复制表明了该权利实现需要相对人的配合，因而该权利宜理解为请求权。查阅与复制需要信息处理者提供访问权限或接口，或者提供副本，“向”实质上内含信息处理者的配合义务。这一本质特征，决定了查阅、复制权只能是请求权。

对四种权利性质还应当从个人信息主体权利设置的目的角度来理解，而这样的目的解释进路也可得出相同结论。个人信息保护是保护个人信息主体不因信息处理而受到侵害，是针对个人信息处理行为可能对主体带来的侵害进行的保护，而不是对个人信息进行保护。个人信息保护制度是个人信息处理中个人权益的保护制度。“数据保护是关于个人权利和利益，而不是关于与这些个人有关联的数据的。”[5]个人对于个人信息使用并没有决定权，未经同意使用个人信息即构成侵权的规则从未成为个保法的规则。最早探索建立个人数据保护制度的欧洲委员会在1981年制定的《个人数据自动处理中的个人保护公约》（以下简称《公约》）[6]中特别强调，对个人数据中的个人保护，“必须就其在社会中的作用来加以考虑，必须与其他人权和基本自由（包括表达自由）相协调”，“考虑公众获取官方文件权”,“有利于信息的自由流通”。因而公约将数据主体的权利置于基本原则中，作为数据处理关系的权利和义务内容。[7]正如程啸教授指出，个人信息处理中主体权利主要体现为拒绝、制止他人处理，要求收集和处理透明（知情），更正信息错误等权利，应为防范个人信息被滥用的消极权利，而不是对个人信息使用的决定权。[8]

因此，信息主体权利是存在于个人信息处理关系的一种权利。个人信息处理关系，一方是个人信息主体，即信息描述或关于的对象；另一方是信息处理者（在域外立法中也被称为信息控制者或数据控制者），信息处理者即是信息使用者，需要遵循法律基本原则，保护个人信息主体权益前提下使用个人数据，构建正当合法和公平有序的个人信息利用秩序。因而个人信息主体的权利对应处理者的义务，是在具体处理关系中才能行使的请求权。[9]

（二）四种权利系人格权益请求权

四种权利是请求权，意味着四种权利必然要依附于某种基础权益，不是独立的权利。请求权起到发挥权利功能或者回复权益至不受侵害的圆满状态的作用。[10]从该角度而言，四种权利是请求权，也是救济权，与其所依附的基础权益（或原权[11]）之间是手段与目的的关系。请求权是“手段性权利”（亦可谓“程序性权利”），而基础权益是作为保护目的的权益。

对于基础权益的厘清将有利于明确主张四种请求权的条件，因此需要探寻作为四种权利生发基础的基础权益究竟为何。论及四种权利所依附的基础权益，不同地域找到了不同的基础权益：国际上的个人信息保护是源自于国际文件中的隐私权；欧盟将个人信息保护抽象为独立的基本权利并引领了数据保护立法；而以美国为首的少数国家则将个人信息保护纳入与国际人权契合的隐私保护体系，称为信息隐私。但在我国，《民法总则》及《民法典》仅表述为“个人信息受法律保护”，在宪法上还没有明确的定位。然而个人信息处理过程中涉及多元利益，或言个人信息上承载着多元利益，四种权利所依附的基础权益，就要在此利益范围内寻找。[12]个人信息上当然存在主体权益，如人格尊严、人身自由或者个人安全[13]等。同时，个人信息上也承载着社会利益，这种社会利益体现在满足社会服务的需要。例如，某经营实时导航APP企业与其用户签订协议，使用用户的地理位置信息，以达到更好为用户提供服务的目的。另外，个人信息上还承载着公共利益。例如，派出所依法收集社区住户的信息以确保不法分子未隐匿于该社区等，保障社区之安全。更好的事例莫过于新冠疫情期间健康码的使用，政府依法收集个人姓名、住址等基本信息及部分健康信息、行踪信息，为有效抑制新冠疫情蔓延立下了汗马功劳。由于多元利益存在，因而在民法上很难将个人信息上利益抽象为一种，表达为单一权利，但是个人信息上的主体权益又需要民法保护。于是，径直明确个人信息主体针对特定权益的请求权而不拘泥于个人信息上主体权益性质的确定，就成为第1037条的恰当选择。因而，四种权利依附的是个人信息上承载的主体权益，至于主体权益的性质是权利还是法益，没有讨论的必要。

四种权益所依附的主体利益的范围，以个人信息主体的人格权益为限。个人信息上承载的多元利益，已经超越了民法所调整的人身利益与财产利益的范围，甚至可以追溯到宪法上基本权利的程度。然而，四种权利目前是规定在《民法典》中，定位于第四编“人格权编”第六章“隐私权和个人信息保护”。此四种权利的体系定位决定了其重点关照个人信息上承载的民法能够调整的利益，不涉及其他方面的利益。[14]正如沈春耀同志所言，“人格权编这一部分，主要是从民事法律规范的角度规定自然人和其他民事主体人格权的内容、边界和保护方式，不涉及公民政治、社会等方面权利。”[15]个人信息上承载的人格权益作为四种权利生发的基础是正当且必要的。“我国现行法虽未确认个人信息是一种具体的人格权，但是，在认定侵害个人信息的侵权责任时，个人信息被侵害的自然人也可以行使停止侵害、消除危险等人格权请求权。”[16]

因此，四种权利作为请求权，其从属于个人信息上承载的人格权益，而非独立存在。四种权利不是可以积极利用的绝对权，只有信息处理导致人格权益被侵害时，才得以主张。[17]

（三）四种权利系防御性人格权益请求权

既然四种权利系人格权益请求权，则四种权利的功能就在于防御个人信息处理中个人信息主体的人格权益受到侵害，并使其从受侵害恢复到圆满之状态。强调此种请求权的“防御性”，系与侵权损害赔偿请求权相区别。前者的作用是阻止或防御不法行为，而后者之功能在于填补损失。“侵害个人信息但尚未造成损害时，可适用预防性侵权责任，具体措施包括更正、停止处理、删除以及隐名化等措施。”[18]此外，若损害发生后，对个人信息上承载的主体利益仍然构成侵害或妨碍或危险的情形，则该四种权利仍可对应地启动。[19]

四种权利系保护个人信息上承载的主体人格权益的手段，其存在的意义在于当个人信息主体人格权益遭受侵害或有遭受侵害之虞时，作为个人信息主体实现公力救济的法律武器。这种手段性权利或者请求权长久处于隐而不现的地位，一旦个人信息主体的人格权益，即人格尊严、人身自由等遭受侵害或有遭受侵害之虞时，该等请求权方可发动。如果个人信息上承载的主体人格利益没有遭受侵扰，则个人信息主体自不得请求查询、复制、更正、删除等，否则显非正当，实乃滥用权利之举。

需要强调的是，四种权利之和不等于个人信息受保护的全部。《民法典》“个人信息受法律保护”的规定主要用来衔接《个人信息保护法》等法律规范，对违反法律规定的条件和程序使用个人信息给个人信息主体权益造成的损害给予民事救济。个人信息受保护并不仅是《民法典》的任务，也是包含《消费者权益保护法》《电子商务法》《网络安全法》《刑法》和即将出台的《个人信息保护法》在内诸多法律规范的共同任务。四种权利的请求依据也不完全是民法规范，更多是依据保护个人信息处理中个人权益的法律规定（参见下文对查询、复制权等要件的论述），这些法律中信息处理者违反个人保护义务的民事责任，也最终需要转接到《民法典》。在这个意义上，信息主体的请求权的法律基础呈开放性，凡是违反法律规定的个人信息处理行为（义务违反）均可以引发排除妨害、损害赔偿等相应救济，需要求助侵权责任法的基本规范来构筑完整的个人信息主体权益保护体系。因此，四种权利是民法对个人信息主体权益的保护，既不是民法保护的全部，更不是法律保护的全部。

三、个人信息主体权利行使的要件

四种权利系为保护个人信息上承载的主体人格权益而生的请求权，有防御个人信息主体人格权益受到侵犯的功能。这样的请求权主张需要遵从请求权行使的共同前提，同时遵循包括《民法典》第1037条规定在内的法律所规定的约束条件。这样便注定了主张四种请求权的“一般要件+特别要件”的基本格局。这里仅以第1037条为核心展开论述。

（一）一般要件：个人信息主体的人格权益正受侵害或有受侵害之虞

为平衡保护个人信息上承载的多元利益，主张四种权利的基本前提是个人信息上承载的主体人格权益正受侵害或有受侵害之虞，而不得仅根据第1037条主张权利。“个人信息保护制度的客体是一切信息之上的合法利益”[20]。个人信息保护制度的本质系平衡之术，其终极目标应落脚于对个人信息上承载的多元利益进行恰如其分地保护。所以个人信息主体对于个人信息的处理没有决定权，那么将个人信息置于个人信息主体意志的绝对支配之下就没有道理。《民法典》第111条第1句及第1034条第1款所言之“自然人的个人信息受法律保护”，其本质系个人信息上承载的人格尊严和人身自由等人格权益受到保护。若仅狭义理解个人信息主体请求查询、复制、更正、删除个人信息的构成要件仅为《民法典》第1037条所明示的部分，则个人信息主体行使四种权利之门槛过低，对于个人的保护明显过度。个人仅凭单方意志即可请求查询、复制、删除等，实则将个人信息归于个人信息主体控制之下，忽略了社会利益与公共利益，显非妥适。需要“构建自然人与信息处理者之间的基本权利义务框架”“合理平衡保护个人信息与维护公共利益之间的关系。”[21]既然四种请求权以个人信息主体的人格权益为基础，系为救济后者而生，则后者未受侵害或无受侵害之虞，自不存在主张四种请求权的前提。

若对个人信息主体的四种权利不加以“一般要件”的限制，对于经济社会的发展亦将造成巨大阻碍。数据经济时代，数据是社会发展的宝贵资源。海量的个人信息构成了数据资源中的重要部分。若主体人格权益没有受到侵害也允许个人信息主体随意向信息处理者请求查询、复制其个人信息，且信息处理者必须响应自然人的请求，则处理自然人查询、复制、更正、删除的海量请求将成为信息处理者不能承受的巨大负担。长此以往，此类请求数量将爆炸式增长，而其中真正因侵害到主体权益的将占很少部分。信息处理者为避免法律责任，将长期疲于应对此类请求，真正利用数据资源提升产品、服务质量的努力将逐渐减少。若为个人信息主体大开更正、删除个人信息之门，则数据的质量、数量难以保证，更毋论数据的分析、应用。

判断个人信息上承载的人格权益是否受侵害或有受侵害之虞，则不能再坚守个人信息分类的思路，而需要结合情景脉络之完整性综合判断。在建立个人信息权利谱系时应注重比例原则的运用，以平衡个人信息保护与利用。[22]当然，由于个人举证在信息科技时代难度较大，可以降低原告的证明责任，仅“初步证明”个人权益受到侵害及受到侵害的人格权益与信息处理行为之间的因果关系即可。请求的含义使得其行使必然要以受侵害为前提。当然不见得一定要证明已经遭受现实的侵害，有侵害之虞即可，也不必证明个人信息处理者存在过错。[23]事实上，即便主张个人信息乃具体人格权的学者亦承认查询、复制等权利需要受到限制。[24]根据个人信息的私密程度、敏感程度的不同，对于个人信息主体人格权益是否存在受侵害的风险，亦要在把握程度上作相应地调整。

信息处理是否以对个人信息主体进行识别分析为目的，是判断主体权益是否正受侵害或有危险的重要标准。如果对于个人信息的处理并非以对个人信息主体进行识别分析为目的，则难谓会对个人造成侵害或危险，进而没有必要给个人信息主体以救济途径。例如在淘宝诉美景案中，淘宝平台将用户的浏览、加入购物车、购买等信息进行处理，在群体维度上分析消费者对各种商品、价位、商家等的喜好程度，非用于对某个个人信息主体进行识别分析。[25]在此种情况下，个别的个人信息错误或者违约处理等情形不会给个人信息主体造成侵害，也不存在风险，不必给用户以何种侵权救济手段。但是不否认如果信息处理者违法处理应当依法承担相应行政责任，甚至是刑事责任。

（二）查阅、复制权的特别要件

个人信息的查阅、复制权是指“信息主体有权查询其个人信息被处理的情况，并有对处理的个人信息进行复制的权利。”[26]第1037条第1款第1分句对其之表述为“自然人可以依法向信息处理者查阅或者复制其个人信息”。

须指出，该分句规定个人信息主体向信息处理者查阅、复制其个人信息之权利时，以“依法”作为限定。从“依法”的文义来看，有四种解释上的可能：第一，类似《刑法》中的注意规定，仅起提示作用，无实际意义；第二，“依法”解释为依照法律规定的方式与程序，与权限无涉；第三，“依法”仅涉及权限，表明该分句系指示参照性的法条，“依法”中的“法”亦包含该分句；第四，“依法”仅涉及权限，本分句系参照性的法条，但此处的“法”不包含该分句本身。笔者认为第四种解释方案最为妥帖。以下分别就四种解释方案展开说明。

第一种解释方案不可取。依此解释方案，若“依法”二字仅提示适用法律者不得违法，则为何该条第1款第2分句及该条第2款均再不出现“依法”二字？换言之，为何仅查询、复制权需要提示法律适用者要合法，而更正、删除权则不需要？故应排除此种解释的可能。

第二种解释方案亦不可取。一方面，若“依法”强调查询、复制需要依照法律规定的程序，不涉及权限的问题，那么有疑问的是更正与删除个人信息同样需要遵从相应的程序，但为何此二权利不以“依法”限制。另一方面，就《民法典》而言，强调程序合法的法律表达明显带有“程序”二字。例如，“程序……依照有关法律的规定”（第71条）、“依照法律规定的……和程序”（第117条、第243条第1款、第245条第1句）、“依照法律或者章程规定的……和表决程序”（第134条第2款）、“不得违反法律规定的……和程序”（第244条第2句）、“依照法定程序”（第261条第2款、第946条第1款第1句）、“具体条件和程序，依照法律、法规的规定”（第277条第1款）、“按照国家规定的程序”（第654条第1款第3句）等。从体系层面看待《民法典》的语词使用习惯，仅提“依法”二字而没有强调“程序”，则与程序问题无涉。因此，第二种解释方案亦难采纳。

第三种解释方案也难以认同。若“依法”二字中的“法”包含第1037条第1款第1分句本身，则此“依法”二字将失去其意义而显冗余。在人格权编历经三读方被通过的情况下，不可轻易认为立法者在语词运用上出现疏忽。

故只有第四种方案最为妥帖，即“依法”中的“法”不包含第1037条第1款第1分句本身。而这将意味着个人信息主体不可依据该条文向信息处理者请求查阅、复制其个人信息，而必须检索其他法律依据。例如，个人信息主体可以依据《征信业管理条例》第17条向征信机构主张查询其自身信息，且个人信息主体有权每年两次免费获取本人的信用报告。再如，个人信息主体可以依照《民法典》第1225条第2款主张查阅、复制其住院志、医嘱单、检验报告、手术及麻醉记录、病理资料、护理记录等病历资料。事实上，从立法者的说明来看，此分句确为指示参照性法条，而且主要为未来的《个人信息保护法》预留空间。[27]

当然，依此解释结论，第1037条第1款第1分句对于个人信息主体查询、复制其个人信息的请求无甚意义，而仅具有宣示、提醒之功能。另外，此处的“法”究指代全国人大及其常委会制定的法律还是泛指法律、行政法规等法律规范，亦需研究。本文倾向于后者。从我国现实立法情况出发，关于个人信息的立法散见于各种效力层级的法律规范，其中以行政法规、部委规章、部委规范性文件等为多，法律层面尚无系统的规定。倘否定行政法规等规范中的规定，则个人信息几无查询、复制之可能，尤其是在《民法典》已生效而《个人信息保护法》尚未生效的真空期。故此处的“法”须作广义理解。

（三）更正权的特别要件

自文义进路观之，更正权的行使需要有两个前提。

第一是须发现个人信息有错误。这意味着个人信息主体行使更正权时负有举证责任，证明其个人信息出现错误。个人信息的错误并非仅为狭义的错误，即个人信息收集、分析所对应的个人信息是错误的。还有可能包括：个人信息收集时无错误，但是经过一段时间的发展，过去的个人信息已不符合当前的实况或者最新生发了新的个人信息而没有被纳入考虑；或者个人信息虽然无错误但是遗漏了一部分。

第二是更正系必要措施。《民法典》第1037条第1款第2分句的“等”字表明，发现信息有错误并非必然需要采取更正措施，即使采取措施，也并非只有“更正”这一唯一措施，更包括其他措施。个人信息错误类型的多元化，导致对应的“更正等必要措施”中，不单包括狭义的更正，还包括更新、增补等。[28]事实上，如果出现更正不能的情况，不必强行更正，可以选择删除。而信息处理者选择采取何种措施的标准是“必要”，这一标准也应作为事后检验信息处理者针对个人信息主体请求的处理是否得当的重要标尺。

更正权的“必要”标准是立法者有意制定，宜审慎对待。对立法史进行梳理亦可发现立法者在制定《民法典》时一改《网络安全法》的僵硬、绝对之立场。事实上，更正权并非《民法典》之创举。2016年制定的《网络安全法》第43条第1句第2分句即规定个人发现网络运营者收集、存储的个人信息有错误的，有权要求网络运营者予以更正。《民法典》第1037条与之相比，最大的不同即在于添加了“等必要措施”五字。回溯《民法典》的制定过程，从2018年的《民法典各分编（草案）》时起，立法者就在更正之后增加了该五字。历经二审稿、三审稿至《民法典（草案）》、《民法典（草案修改稿）》直至最终落地出台的《民法典》，四种权利的法律表达或显著或微小地不停修订着，只有“等必要措施”五字自添加之后始终屹立不动，体现出立法者对于“必要”标准的重视。

（四）删除权的特别要件

个人信息删除权是指“信息主体在法定或约定的事由出现时，有权请求信息处理者删除其个人信息的权利。”[29]第1037条第2款规定了个人信息主体行使删除权的两种情形：第一，发现信息处理者违反法律、行政法规的规定处理个人信息；第二，发现信息处理者违反双方的约定处理个人信息。

针对第一种情形，法律规定及行政法规的规定背后往往有国家利益、社会公共利益作支撑，故违反法律、行政法规之规定而处理自然人的个人信息自然亦违反国家利益与公共利益，自应当允许自然人请求删除。申言之，信息处理者处理个人信息违反了法律、行政法规的规定，则即使自然人不行使请求信息处理者删除的权利，信息处理者亦应当删除。例如，根据《网络安全法》第64条之规定，若信息处理者违法处理个人信息而拒不响应自然人的删除请求，则由有关主管部门责令改正，此处的“责令改正”当然包括删除。因此该情形下个人信息主体的删除权实质上反映出利益博弈的理念。

针对第二种情形，即信息处理者的处理行为违约。事实上，因双方签订合同，个人信息主体表达了同意，信息处理者处理个人信息才有正当性基础。此时同意也仅限于合同约定的范围内，当超出双方间约定的范围处理个人信息时，信息处理者的行为也就不存在合法基础。当然，若信息处理者有另外的法律依据或者相关公共利益等作为合法性基础亦可。不过这已经属于信息处理者拒绝响应个人信息主体请求的范畴了。

此两种情形发生并不当然能够支撑删除权的主张，还需要个人信息主体的人格权益正受侵害或有受侵害之虞，此点前已论及。究其根本，仍在于个人信息受法律保护不等于个人信息主体对于其个人信息有决定权或控制权，进而也就不能任凭个人信息主体删除其个人信息。

（五）小结

第1037条分别规定了个人信息主体主张四种权利的特别要件。其中“依法”二字的存在决定了查询、复制权不能以该条为依据，换言之，“依法”是查询、复制权的特别要件。“发现信息错误”和“必要”是主张更正权的特别要件。信息处理者违法或违约处理个人信息是主张删除权的特别要件。但是上述要件仅为主张权利的必要条件而非充分条件。四种权利作为防御性的人格权益请求权决定了主张四种权利均尚需要以个人信息上承载的主体人格权益正受侵害或有受侵害之虞为一般要件。一般要件结合四种权利各自的特别要件，个人信息主体才可以主张四种权利。

四、个人信息主体权利行使的限制：信息处理者的抗辩事由

既然四种权利系请求权，则民法的公平理念要求必须赋予信息处理者以相应的抗辩权，这种抗辩权表现为信息处理者在某些情形下可以拒绝响应个人信息主体的请求。从体系位置而言，此种抗辩相当于对于“违法阻却事由”的主张。在个人信息处理过程中，个人信息上主体人格权益受侵害或有受侵害的危险，以信息处理者行为的不法性为必要条件。如何判断信息处理者行为的不法性，这需要进行比例原则加持下的利益衡量，原因在于个人信息上主体人格权益范围的不确定性。[30]利益衡量主要需要参酌多方利益，即：个人信息主体的利益、信息处理者的利益以及公共利益等。以利益衡量的方式考察信息处理者是否可以拒绝响应个人信息主体的请求，也有实证法上的支撑。《民法典》第1条“根据宪法”的法律表达为《民法典》条文的合宪性解释提出要求，而《宪法》第51条即要求公民行使自由和权利不得损害国家、社会或者集体的利益和其他公民的合法的自由和权利，这为利益衡量进行了背书。同时，对《民法典》第132条作体系解释，个人信息主体行使权利时亦应当遵循比例原则、诚实信用原则，不得滥用权利。这本质上仍然是一种利益衡量。利益衡量的功效有二：第一，检验信息处理者的行为是否不法；第二，在信息处理者的行为具有不法性的前提下检验信息处理者是否具有正当的阻却事由。至于具体考量因素，在《民法典》第1035条第1款及第1036条均有涉及。

个人信息存在多重价值和多重利益，个人信息的处理或使用并不一定侵害信息主体的利益，即使造成损害也需要与社会和公共利益平衡以确定是否给予保护。正因此，欧盟个人数据保护法也一直被定位于基于原则的数据处理规范。[31]个人数据处理原则的灵活性使得法律的执行具有灵活性，这种法律实现方式也被称为基于风险的方法（risk-based approach）[32]。这种基于风险的数据保护方法是有弹性的并且是合比例的方式。基于原则规范反映了决定程序和评估背后的价值，数据控制者可以通过数据保护影响评估等机制，灵活地实施法律。[33]因此，GDPR对数据主体的赋权从来都不是绝对的，而是施以种种限制。以GDPR第15条第3款为例。GDPR第15条第3款所列之自数据控制者处获取个人数据副本的权利，对应我国《民法典》中的复制权。但第15条第3款同时指出，若个人数据主体要求获得更多的个人数据副本（any further copies），则数据控制者可以要求个人数据主体支付合理的管理费用。此外，第15条第4款规定，索要副本的权利不应对他人的权利和自由产生不利影响（adversely affect）。再如，GDPR第17条规定之删除权（Right to erasure），第3款列五种情形阻却个人信息主体删除权之行使，分别涉及言论和信息自由、数据控制者的法定义务、为公共利益而履行义务、法定职务权限、公共健康领域的公共利益、为公共利益的存档及科研、历史研究、统计研究等事项。显然，五种情形都鲜明地体现出了利益衡量的思路，五种情形中个人信息上承载的主体权益在利益较量中处于下风。

同样在美国，海伦·尼森鲍姆（Helen Nissenbaum）教授提出的场景一致性理论反映出了同样的利益衡量思想。场景一致性理论提出将注意力集中到在特定的场景下，特定的信息流动是否有侵权之嫌。该理论指出，同一种信息，在不同的场景下，其信息流动是否侵犯个人权益或许是大不相同的。例如，患者的病情及病历资料，被路人所了解，就侵犯了患者的隐私；但是如果出于设计个性化诊疗方案的需要，被主治医生所知晓，即不存在侵犯隐私的嫌疑；甚至出于专家会诊的需要，甲医生将患者的病情告知乙医生，该信息流动亦被认为是适当的。[34]该理论确定的基本思考进路包括确定主流场景，确定行动主体、信息属性及传输的原则，并定位适用该场景下信息流动本应适用的既有信息规范（norms），以此作为重要的思考始点。之后，运用该理论展开初始评估。此处“初始评估”系在结合上述多个元素进行衡量之后，或许当前信息流动会以各种方式挑战既有规范。但针对特定场景，或许既有规范不完整。此时只能谓初步的判断是，场景一致性被违反。

但场景一致性被违反并非判断的终点，需要展开进一步的价值衡量。此处的价值衡量将要纳入该特定场景下信息流动所欲实现的价值、目标和目的，并衡诸道德、政治因素，以及自治、自由、正义、公平、平等、民主等价值理念。若经过进一步的价值衡量，认为虽然现有信息流动违反了基于过去的经验或实践（practice）所形成的场景一致性，但是却满足了某些重要的价值从而被认为当前的新信息流动——即便违反了场景一致性——仍然是妥当的。[35]简言之，场景一致性理论认为，现有的规范仅仅具有推定意义，新一轮的价值衡量可以推翻现有规范所形成的结论。

总结阻却个人信息主体请求权的美国模式与欧盟模式，可谓殊途同归。不同的是，美国模式的最新发展放弃提取一般规则的做法，而将目光直接放到具体的场景中进行分析，从而得出特定情形下的信息流动是否妥当的结论；欧盟模式则更倾向于抽象出一项项的理由，整理成阻却个人信息主体请求权的规则。但是美欧模式反映了共同的一点，即利益衡量的必要性。所以，差异仅在于形式，核心思想是一致的。欧盟阻却个人信息主体请求权的一项项理由，放到美国场景一致性理论中必然经得起考验，因此若出现该几类情形，不必承受利益分析的负担；同样，当出现新的情形而抽象出的规则无法涵盖时，又仍然需要美国模式中的场景一致性理论加以补充。

令人欣慰的是，我国也关注到了信息处理者拒绝响应请求的必要性。2020年我国制定的《信息安全技术 个人信息安全规范》（GB/T 35273—2020）在列举了个人信息主体的查询、复制、更正、删除权利之后，在第8.6条第5项列出了八种可以不响应个人信息主体请求的情形[36]，其抗辩事由的列举方面更倾向于欧盟模式，这似乎是我国成文法传统所导致的必然。纵观这八种情形，皆反映了个人信息主体的主体利益在利益衡量中呈现弱势的情况。因此，当八中情形无法涵盖所有情况时，场景一致性的分析、利益衡量仍然是不可缺少的工具。

当然，《规范》仅为国家推荐性标准，所以《规范》第8.6条的内容不可以直接作为《民法典》第1037条的补充。不过，考量信息处理者得否拒绝响应个人信息主体的四种请求时，《规范》中的八点理由仍可作为重要参考。同时《民法典》第1036条规定的三项免责事由在体系上也可以考虑作为信息处理者抗辩的事由。若前述具体列举的理由不足以解决个案问题时，则可以直接动用利益衡量作为分析工具而得出结论。

结  语

若仅依照《民法典》第1037条规定的要件，则个人信息主体主张权利过于容易，不利于各种利益的均衡保护，也会减弱数字经济和数字产业的未来发展动能。恰如王泽鉴先生在谈及人格权保护时所言，“如过于宽泛，则易起人民好讼之风，亦非社会之福”[37]，诚哉斯言！因此对个人信息主体主张权利的难易程度进行适当地限缩，避免个人信息主体控制其个人信息，应当是解释和适用第1037条的总体方向。

四种权利是请求权，该请求权依附于个人信息上承载的主体人格权益。从此角度看，四种权利与个人信息上承载的主体人格权益是手段与目的的关系。此种请求权具有防御性，与侵权损害赔偿请求权在功能上相区别，前者功能在于预防和除去妨害，后者功能在于填补损失。

四种权利的防御性人格权益请求权的性质，决定了主张四种权利的一般要件是个人信息上主体人格权益正在受侵害或有受侵害之虞。第1037条规定的要件仅为四种权利的特别要件。一般要件与特别要件同时具备才可以主张权利。

主张四种权利的要件全部满足并不等于信息处理者必须响应。当在个人信息主体权益、公共利益、信息处理者利益的衡量中，个人信息主体权益处于弱势时，信息处理者可以拒绝响应个人信息主体的请求。需要始终强调的是利益衡量在处理个人信息主体请求权问题时的重要作用。

虽然本文强调响应请求与否取决于利益衡量的结果，但是，当多种利益交织在一起时，如何决定哪种利益最终会在衡量中胜出，仍然是需要继续挖掘和思考的问题。同时，第1037条对于四种权利的规定仍过于粗糙，比如查询权的对象范围是什么，是个人基本信息还是全部信息，限于个人主动提供的部分抑或包含从他处收集的部分；再如，删除权的行使是否意味着直接删除信息，信息匿名化是否能够满足删除权的要求等等，有待继续研究与思考。

注  释

[1]第1037条规定：“自然人可以依法向信息处理者查阅或者复制其个人信息；发现信息有错误的，有权提出异议并请求及时采取更正等必要措施。自然人发现信息处理者违反法律、行政法规的规定或者双方的约定处理其个人信息的，有权请求信息处理者及时删除。”

[2]See Patrick Burkholder, “Highest GDPR Fine Imposed In Germany”, DIGITAL BUSINESS NEWS, https://www.digital-business-news.com/business/cyber-law/1322-gdpr-fine-germany, accessed September 20, 2019.

[3]参见中兴通讯数据保护合规部 数据法盟联合发布：《GDPR执法案例精选白皮书》，第58-93页。

[4]参见最高人民法院民法典贯彻实施工作领导小组主编：《中华人民共和国民法典人格权编理解与适用》，人民法院出版社2020年版，第393页。

[5]Peter Hustinx, “EU Data Protection Law: The Review of Directive 95/46/EC and the Proposed General Data Protection Regulation”, https://www.statewatch.org/news/2014/sep/eu-2014-09-edps-data-protection-article.pdf, accessed April 25, 2020.

[6] “Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data,(CETS No.108, Strasbourg, 28/01/1981)”, http://www.coe.int/en/web/conventions/full-list/-/conventions/treaty/108, accessed April 27, 2020.

[7]1981年版本表述为“数据主体的额外保障”，2012年版本明确为“数据主体的权利”，但表述也相当不精准。每个人被赋予以下权利（ Any person shall be entitled）：a.不受仅基于数据自动处理而不考虑其主观意识而做出的对其产生深刻影响的决定的制约；b.在任何时候反对处理有关于他或她的个人数据，除非该数据处理是法律强制性的或者数据控制者能够提出充分合法的理由；c.应其请求，每隔一段合理的时间且不过分迟延或过分花费地获得有关其个人数据处理的确认函；该确认函应当以该处理行为所采取的可理解的形式，所有提供的数据应当表明出处、保存期限以及任何本公约第7bis第1款规定的为确保处理过程透明而要求数据控制者提供的其他信息；d.应请求获知数据处理背后的理由给他或她带来的结果；e.应其请求，更正（rectification）或消除该数据（依情况而定），如果数据处理违反了实施本公约的法律；f.如果数据控制者没有考虑到个人的主观意识就直接作出了对其产生重大影响的决定，或是没有对个人提出的确认、告知、修正、消除或异议的请求作出回应，个人有权获得救济；g.不管其居住地在何处，个人有权获得第12bis条规定的数据监管机构的帮助，以行使本公约赋予的个人权利。

[8]程啸教授认为，自然人这种自主决定利益可以纳入民法保护，赋予自然人对个人数据以民事权利，保护自然人对个人数据享有自主决定利益，但个人数据民事权利并非积极利用的绝对权，只有在该权利被侵害而导致其他民事权利被侵害时，才能得到侵权法的保护。参见程啸：《论大数据时代的个人数据权利》，载《中国社会科学》2018年第3期。

[9]有观点认为四种权利系自然人对自己的个人信息享有的权能，同属该类权能的还包括知情同意权、受保密权等内容。此种观点与四种权利皆为请求权的论断，名异而实一，只不过是其在将个人信息权作为框架性权利的前提下，认为请求查阅、复制等是其中一权项而已，但都是认为四种权利在于保护个人不受侵害。参见鞠晔 凌学东：《大数据背景下网络消费者个人信息侵权问题及法律救济》，载《河北法学》2016年第11期；杨惟钦：《个人信息权之私权属性与内涵思辨——以实现个人信息权益的合理保护为视角》，载《晋阳学刊》2019年第2期，第110-120页；黄薇主编：《中华人民共和国民法典人格权编解读》，中国法制出版社2020年版，第223页。

[10]参见王泽鉴：《民法总则》（最新版），北京大学出版社2009年版，第101页。

[11]参见朱庆育：《民法总论》（第二版），北京大学出版社2016年版，第519页。

[12]目前对于个人信息的性质尚有争论，但是学界的共识是个人信息处理过程中涉及多元利益，或者说个人信息上承载着多元利益。参见高富平：《个人信息保护:从个人控制到社会控制》，载《法学研究》2018年03期 第84-101页；丁晓东：《个人信息权利的反思与重塑——论个人信息保护的适用前提与法益基础》，载《中外法学》2020年第2期，第339-356页。

[13] 参见类延村 徐洁涵：《个人信息法律保护的权利基础与实践逻辑》，载《图书馆建设》2020年7月16日。

[14]有观点认为个人信息保护的适用范围是“持续性不平等信息关系”，而认为民法调整的是平等主体之间的关系，因此认为个人信息保护中的相关权利并非传统民法中的权利。这种观点混淆了民法上人格上的平等与各主体的现实实力有差异的关系，难以赞同。参见丁晓东：《个人信息权利的反思与重塑——论个人信息保护的适用前提与法益基础》，载《中外法学》2020年第2期，第339-356页。

[15]沈春耀（全国人大常委会法制工作委员会主任）：《关于<民法典各分编(草案)>的说明》，2018年8月27日下午在十三届全国人大常委会第五次会议第一次全体会议上。

[16]程啸：《论侵害个人信息的民事责任》，载《暨南学报(哲学社会科学版)》2020年第2期，第39-47页。

[17]参见程啸：《论大数据时代的个人数据权利》，载《中国社会科学》2018年第3期，第103-122+207-208页。

[18]叶名怡：《个人信息的侵权法保护》，载《法学研究》2018年第4期，第83-102页。

[19]参见程啸：《侵权责任法教程》（第三版），中国人民大学出版社2017年版，第353页。

[20]袁泉 王思庆，《个人信息分类保护制度及其体系研究》，载《江西社会科学》2020年第7期，第192-200页。

[21]王晨（全国人大常委会副委员长）：《关于<中华人民共和国民法典（草案）>的说明》,2020年5月22日在第十三届全国人民代表大会第三次会议上。

[22]参见类延村 徐洁涵：《个人信息法律保护的权利基础与实践逻辑》，载《图书馆建设》2020年7月16日。

[23]参见王利明：《论人格权请求权与侵权损害赔偿请求权的分离》，载《中国法学》2019年第1期，第224-243页。

[24]叶名怡：《论个人信息权的基本范畴》，载《清华法学》2018年第5期，第143-158页。

[25]参见安徽美景信息科技有限公司、淘宝（中国）软件有限公司商业贿赂不正当竞争纠纷，浙江省杭州市中级人民法院(2018)浙01民终7312号民事判决书。

[26]黄薇主编：《中华人民共和国民法典人格权编解读》，中国法制出版社2020年版，第223页。

[27]参见沈春耀（全国人大常委会法制工作委员会主任）：《关于<民法典各分编(草案)>的说明》，2018年8月27日下午在十三届全国人大常委会第五次会议第一次全体会议上。“针对隐私权和个人信息保护领域存在的突出问题，在现行法律规定基础上，草案进一步强化对隐私权和个人信息的保护，并为即将制定的个人信息保护法留下衔接空间。”

[28]参见黄薇主编：《中华人民共和国民法典人格权编解读》，中国法制出版社2020年版，第223页。

[29]黄薇主编：《中华人民共和国民法典人格权编解读》，中国法制出版社2020年版，第224页。

[30]参见王泽鉴：《民法总则》（最新版），北京大学出版社2009年版，第108-110页。

[31]关于基于原则的规范的详细论述可参阅: Winston J. Maxwell, “Principles-based regulation of personal data: the case of ‘fair processing’” 5 (3)International Data Privacy Law 205 (2015).

[32]欧盟第29条工作组认为，1995年欧盟《指令》即已经采纳并贯彻基于风险的规制。参见ARTICLE 29 DATA PROTECTION WORKING PARTY, “Statement on the role of a risk-based approach in data protection legal frameworks(Adopted on 30 May 2014)”, https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2014/wp218_en.pdf, accessed March7, 2020.说明：29条工作组（The Article 29 Working Party）是独立的欧盟工作机构，主要进行隐私和个人数据保护工作，2018年5月25号GDPR生效后，被欧盟数据保护局（European Data Protection Board）所取代。

[33]See Maria Eduarda Gonçalves, “The risk-based approach under the new EU data protection regulation: a critical perspective”, 23(2) Journal of Risk Research, 139(2020).

[34]See Helen Nissenbaum, Privacy in Context: Technology, Policy, and the Integrity of Social Life, Stanford University Press, 2010, p.135.

[35]See Helen Nissenbaum, Privacy in Context: Technology, Policy, and the Integrity of Social Life, Stanford University Press, 2010, pp.165-166.

[36]分别是：（1）与个人信息控制者履行法律法规规定的义务相关的；（2）与国家安全、国防安全直接相关的；（3）与公共安全、公共卫生、重大公共利益直接相关的；（4）与刑事侦查、起诉、审判和执行判决等直接相关的；（5）个人信息控制者有充分证据表明个人信息主体存在主观恶意或滥用权利的；（6）出于维护个人信息主体或其他个人的生命、财产等重大合法权益但又很难得到本人授权同意的；（7）响应个人信息主体的请求将导致个人信息主体或其个人、组织的合法权益受到严重损害的；（8）涉及商业秘密的。

[37]王泽鉴：《民法总则》（最新版），北京大学出版社2009年版，第107页。

编者按：本文由互联网法治研究院（杭州）常务副院长，华东政法大学教授高富平、华东政法大学法学研究生李群涛攥写，互联网法治研究院（杭州）秘书处徐静赛编辑。

专注互联网

法治研究