申卫星:论个人信息权的构建及其体系化
作者:申卫星(清华大学法学院教授,法学博士)
出处:《比较法研究》2021年第5期
目次
一、个人信息的法律属性及其定位
二、个人信息权的知情决定权能
三、个人信息权的获取权能
四、个人信息权的异议更正权能
五、个人信息权的拒绝权能
六、个人信息权的删除权能
七、结论
考察技术与法律的互动史,我们可以发现每一次技术革命都会带来社会治理模式和法治范式的转换。铁器的发明,使得游牧部落进入了农耕社会;蒸汽机的发明使得社会化大生产与合作成为可能和必要,人类由此进入工业社会,也塑造了不同于农耕社会的文明与法治。21世纪以来,人类社会开始进入信息化、数据化时代,特别是近年来,随着移动互联网、大数据、区块链、云计算、物联网、人工智能等信息技术的不断涌现和深入发展,人类开始迈入信息社会。
在信息技术的发展不断创造新业态、推动法律变革的同时,也需要法律为信息社会和数字经济的发展构建制度框架。然而,对于信息社会最基础的范畴——个人信息,就其法律性质以及相应的权利制度体系设计,尚未形成统一认识,已经严重影响信息社会的制度构建和数字经济的健康发展。本文拟从个人信息赋权的路径入手,结合我国民法典和个人信息保护法的规定,并参考欧盟《通用数据保护条例》等域外立法例,构建个人信息权的完整体系。
01
个人信息的法律属性及其定位就个人信息的属性以及立法应赋予其何种法律地位,可谓是一波三折,迄今尚无定论。但是,随着《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)的颁布,个人信息在法律上如何定位,同时赋予其何种法律地位,对这些问题的回答,已迫在眉睫。
2017年3月15日通过的《中华人民共和国民法总则》(以下简称《民法总则》)在第五章就个人信息保护设有明文。该法第111条规定:“自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。”这一表述完全类似于行政法(规)的行文风格,仅仅从法益保护的角度规定个人信息受保护,不得滥用与侵害,没有正面明确其法律地位,远未达到民法界分权利的使命与初心,没有对个人信息的法律地位予以权利化。可以说,就个人信息立法而言,《民法总则》是一盘尚未下完的棋。
2020年5月28日全国人大通过的《中华人民共和国民法典》(以下简称《民法典》)第111条仍原封不动地承继了《民法总则》的规定,体现了立法的延续性。与《民法总则》的不同在于,在原有第111条规定的基础上,《民法典》人格权编第六节自第1034条至第1038条系统规定了个人信息保护的制度体系,即分别规定:自然人对个人信息的利用有知情同意权;自然人对个人信息的处理可以依法查阅、复制,同时发现信息错误有权提出异议和更正;对于违法违规或违反约定处理信息的,有权要求删除。这些规定在个人信息保护立法史上具有里程碑意义,是其后所有关于个人信息保护立法的原点和基础。
然而,围绕个人信息是否应成为一项权利的客体,以及如何构建一套完整、精密的权利体系,《民法典》未作正面规定,学术界对此莫衷一是。特别是在人格权编审议过程中曾一度以“隐私权与个人信息权”作为第六章的标题,其后再次审议时又恢复到“隐私权与个人信息保护”,这一表述直至《民法典》最终颁布始终维持不变,使得个人信息停留在所谓“权益”的地位。
原本可寄希望于通过制定专门的个人信息保护法打破这一局面。但或许是受此前《民法典》的影响,我国个人信息保护法从一审稿、二审稿到最终公布的正式文本,仍将个人信息的法律地位表述为一项权益。其中第1条立法目的表述为“为了保护个人信息权益……”,第2条规定为:“自然人的个人信息受法律保护,任何组织、个人不得侵害自然人的个人信息权益。”
但在《个人信息保护法》第四章“个人在个人信息处理活动中的权利”中,却处处使用了“个人有权……”的表达方式,如第44条规定,“个人对其个人信息的处理享有知情权、决定权”;第45条规定,“个人有权向个人信息处理者查阅、复制其个人信息”;第46条规定,“个人发现其个人信息不准确或者不完整的,有权请求个人信息处理者更正、补充”;第47条规定,“有下列情形之一的,个人信息处理者应当主动删除个人信息;个人信息处理者未删除的,个人有权请求删除”。那么,凡此种种“有权……”的表述应如何理解?个人信息之上究竟应否成立一项民事权利,抑或仅仅是权益?抑或是知情权、决定权、查阅权、复制权、更正权、删除权等诸多权利组成的权利束?
围绕对个人信息应否赋权,始终存在否定说和肯定说之争。否定说反对赋权的主要理由,是认为个人信息赋权会阻碍信息共享的本质,使获取信息的成本变高,阻碍数字经济的发展;甚至认为个人信息具有公共性,信息一直是处于公共领域的公共素材或材料,是任何人均可以使用的资源。若是赋予个人对个人数据的排他控制权,使个人信息“私有化”有失法律正当性,甚至与人类社会进步发展的制度基础相悖。肯定说主张个人信息的“权利保护模式”优于“法益保护模式”,立法应当将个人信息权作为一种新类型的具体人格权加以规定。肯定说中尤以叶名怡为代表,他总结了十三点理由来证成“个人信息权”,同时指出承认个人信息权并不会带来信息交流停滞。在此基础上,笔者进一步认为,不赋权不仅不利于对个人信息的保护,而且不利于信息的利用。尤其相较于隐私而言,个人信息的权利化更为必要性,因为对隐私的保护主要是为事后救济提供依据;不同于隐私主要是消极性保护,个人信息不仅有予以保护的消极权能,更有如何利用实现信息共享价值的积极权能。如果我们始终不赋予个人信息以权利地位,一则不能给个人信息明确的名分,会使得“公地悲剧”愈演愈烈;二则使得个人信息的利用长期处于无序状态,谁事实上掌握信息多,谁就能不断扩大其信息利用优势的“丛林法则”大行其道。
正面的回答就是,唯有予以个人信息以权利地位才能体现对其保护的重视,且唯有明确其权利地位才能让信息得以充分利用,实现信息之所以为信息的本质诉求。简单讲,信息不是为了保护而存于世间的,相反恰恰是为了利用。为了促进信息的利用,将个人信息权利化是唯一的道路。而且,我国现行民法典和个人信息保护法已经确立了对个人信息利用的一系列规则,这些规则之所以得以确立自然是基于承认个人信息为受法律保护的一项权利,这是建立所有个人信息法律制度的逻辑起点。
明确了应予赋权后,接下来需要解决的问题是,个人信息之上仅存有单一的人格权,还是一项人格与财产的复合权利?理论界基本认同个人信息权利具有人格权属性,但对于个人信息是否具有财产权属性却有较大的分歧。有学者主张在承认个人信息权利的人格权属性的同时,也应承认个人对其信息商业价值的财产权,而非人格利益的支配权。有学者更进一步认为,自然人对个人信息的权利旨在保护其对个人信息的自主决定利益,从而防御因个人信息被非法收集和利用而侵害既有的人格权与财产权。也有学者认为应仅将个人信息权界定为人格权,至于个人信息权利的经济价值,则可采用类似人格权商品化的方式来处理。对这一问题的回答,完全取决于我们如何看待信息和数据的关系。
信息与数据乃一体两面,按照国际标准化组织在信息技术术语标准中对“信息”的界定,其是“关于在特定语境下具有特定含义之客体——例如事实、事件、东西、过程或思想包括理念——的知识”,而“数据”乃是“以适合通信、解释或者处理的方式重新展示信息的一种表示形式”。我国《数据安全法》第2条明确规定,本法所称数据,是指任何以电子或者非电子形式对信息的记录。显然,信息与数据二者之间是内容与形式的关系,可以说,信息是内容、知识,其功用在于解决不确定性。而数据是形式,是表现信息的载体。也正是因此,《民法典》将作为内容的信息规定于《民法典》第111条,其法律地位是介于第110条具体人格权和第112条身份权之间的人格权;而作为承载信息载体的数据,则被规定在《民法典》第127条,且与虚拟财产并列,表述为:“法律对数据、网络虚拟财产的保护有规定的,依照其规定。”可以说,立法者已经将信息和数据进行了区别立法,信息是人格权的客体,数据则是财产权的客体。
将信息仅作为人格权的客体,还有两个佐证:一是,信息与隐私并列作为第四编的第六章,就表明了信息的法律属性与隐私权属于同一类。二是,现在看不论是《民法典》还是《个人信息保护法》,对个人信息主体所享有的知情权、决定权、查阅权、复制权、更正权、删除权等权能,显然都不是财产性权能,而是为了维护个人信息的完整性、准确性,保障自然人的人格尊严和人格的全面发展。
关于个人信息赋权的最后一个问题,就是个人信息之上是成立单一的人格权,还是一项由知情权、决定权、查阅权、复制权、更正权、删除权诸多权利组成的权利束?对此,笔者倾向于认为,知情权、决定权、查阅权、复制权、更正权、删除权等为权能,而非权利。理由就是因为这前述诸多的所谓“权利”都不具有独立性,而是依附于个人信息权的种种权能。
判断一个法律地位究竟是一项权能还是一项权利,其标准何在?对此,德国法学家拉伦茨教授曾指出,看一个法律地位是“权利”,还是“权能”,要看它的独立转让性以及或多或少依它的重要性来决定。所谓权能,乃是权利的作用形式和手段,是基于权利的法律地位而衍生出来的效力,所以它不具有独立性,无法单独予以转让。而权利则不同,有其独立性,具有所谓独立的权利机能。我们熟知的作为民事基本权利类型的支配权、请求权、形成权和抗辩权本身,虽称之为权利,究其实质并非权利,而是一种权能,即权利产生的作用。只是因学理上方便而称之为权利。支配权乃是物权、人格权和知识产权等绝对权所共同具有的权利人对权利客体直接支配的权能。至于请求权更是一项明显的权能,对于债权而言,我们知道债权具有请求权(能)、受领权(能)、保有权(能)、处分权(能)、执行权(能)、私力救济权(能)等不同权能,请求权不过是债权的一项核心权能而已;对于物权而言,除了占有、使用、收益和处分等权能外,物上请求权也是物权的一项救济权能。抗辩权由于是对抗债权请求权的权利,因此其实质上也是基于其相应的特定债务人的法律地位而享有的一种权能。诸如追认权、选择权、撤销权、解除权、终止权等形成权,则是法定代理权、所有权或某些特殊债权的形成权能而已。例如,父母对限制行为能力的子女所从事法律行为的追认权,是其法定代理权的表现;所有权人对无权处分人处分行为的追认权则是所有权处分权能的表现,债权人行使的选择权、撤销权、解除权或终止权都是基于其债权人地位而产生的特殊权能而已。
依此标准,我们反观个人信息的知情权、决定权、查阅权、复制权、更正权、删除权等,虽名之为“权”,实则只是为了称呼方便而已。它们都是个人信息权的效力表现,都是个人信息权发挥作用的手段,离开了个人信息权这一法律地位,这些所谓的“权利”是无法单独阐释和存在的。知情同意权、更正权、删除权等,要么是信息主体捍卫个人信息权的基本防御手段,要么是实现个人信息权的基本前提和方式,它们是个人信息权的固有内容和自然延伸,与个人信息权本身有着强烈的依附关系,本身并未成为一种有着独立自洽性的重要利益。所以,个人信息的知情权、决定权、查阅权、复制权、更正权、删除权等,均为个人信息权的权能,由此出发,便可以构建一套完整的个人信息权利体系。
02
个人信息权的知情决定权能个人信息的知情决定权是个人信息权最为核心和最为基础的权能,也是个人信息不同于隐私的重要内容。隐私在于保护个人生活的安宁,而对个人信息既要加强保护又要促进其利用,所以个人信息的保护不是要严密保护不为人知、不为人用,而是要在充分尊重个人信息自我决定权的前提下,通过知情同意(informed consent)促进信息的融合,发挥信息融合后的倍增效用。
知情同意有两个方面的要求:一是知情,二是在真正知情前提下的“同意”。所谓知情权(right to be informed),是指信息处理者在收集个人信息时应告知信息处理者的基本信息、处理目的、储存时间等内容。信息主体的知情权是个人信息处理透明原则的基本要求,要求信息处理者以清晰、明确且易懂的方式,告知自然人有关个人信息处理的相关事项,尤其是有关个人信息处理目的、范围、方法、时限等重要内容。
根据欧盟《通用数据保护条例》(GDPR)透明性原则的要求,个人有权知道如何收集、使用或以其他方式处理哪些个人数据,以及了解有关处理的风险、保障措施和他们的权利。其中,《通用数据保护条例》第12条规定了控制者在提供透明信息和/或传达信息主体如何行使其权利方面的广泛全面义务。要求信息必须简洁、透明、易懂且易于访问,使用清晰明了的语言,必须以书面形式提供,包括在适当的情况下以电子形式提供,甚至可以在信息主体的要求下口头提供,并且如果他或她的身份被证明毫无疑问,信息的提供不应过度延迟或支付费用。根据《通用数据保护条例》第13条的规定,数据控制者应当提供的信息包括控制者的身份和联系方式、处理的目的和法律依据、数据控制者的合法利益、个人数据的最终接收者、存储期限、信息主体的权利等。《通用数据保护条例》同时规定了数据控制者提供信息的两种情况和两个时点:如果直接从信息主体获取个人数据,则控制者必须在获取数据时将其所有相关信息和《通用数据保护条例》规定的权利通知信息主体;如果个人数据不是直接从信息主体那里获得,控制者有义务“在获得个人数据后的合理期限内,但最迟在一个月内”向信息主体提供有关处理的信息,或在数据披露给第三方之前。
我国民法典没有明确使用“知情权”、“有权知悉”等术语,也没有出现与其他权能一样的“有权”表述,其第1035条对处理个人信息的规定可以被认为是知情权的体现。第1035条规定处理个人信息应符合的条件,其中包括“(二)公开处理信息的规则;(三)明示处理信息的目的、方式和范围”。这是处理个人信息公开透明原则的体现,要求处理个人信息时应当公开处理信息的规则,并明示处理信息的目的、方式和范围,被认为是确保信息主体享有知情权。只有让信息主体充分知悉和了解处理个人信息的规则、目的、方式和范围,了解个人信息被处理的后果和可能的影响,才能保护信息主体的关于个人信息作出决定的自主性、真实性和合理性。第1035条对于知情权的实现用了“公开”和“明示”两个动词,本文认为“明示”的要求更为严格,“公开”强调公开行为本身,而“明示”则要求被处理信息的主体知悉信息处理的结果,即只有自然人明确理解了信息处理的目的、方式和范围等重要内容,才能认为信息的处理者尽到了相应的义务。
《个人信息保护法》明确了“信息主体的知情权”。第44条规定,个人对其个人信息的处理享有知情权、决定权,有权限制或者拒绝他人对其个人信息进行处理;法律、行政法规另有规定的除外。虽然在第四章“个人在个人信息处理活动中的权利”中对信息处理者应该公开的内容没有作进一步的明晰,但是在第一章总则第7条明确了“处理个人信息应当遵循公开、透明原则,公开个人信息处理规则,明示处理的目的、方式和范围”;第二章“个人信息处理规则”第14条、第17条等都可以理解为信息主体知情权的具体内容,包括信息处理中应当向个人告知的方式、形式、内容等,是落实确保信息主体知情权的重要保障。
在充分知情的前提下,《民法典》第1035条第1款第一项要求对个人信息的处理要征得自然人或其监护人的同意。《个人信息保护法》第13条第1款第一项,更是以“取得个人同意”作为个人信息处理正当性的首要合法性基础。同时,第14条明确规定,基于个人同意处理个人信息的,该同意应当由个人在充分知情的前提下自愿、明确作出。这些规定,结合对个人信息利用的告知,确立了我国个人信息的知情同意权(能)。
就知情同意的“同意”一面,《个人信息保护法》确立了周密细致的个人信息同意制度。其中第14条还规定,法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的,从其规定。个人信息的处理目的、处理方式和处理的个人信息种类发生变更的,应当重新取得个人同意。其中,个人信息处理者向其他个人信息处理者提供所处理的个人信息(第23条)、处理敏感个人信息(第29条)、向境外提供个人信息(第39条)等,提出了更高的要求,须单独同意方可处理;处理未满14周岁未成年人个人信息的,应当取得监护人的同意等(第31条)。可以说,随着《个人信息保护法》的颁布和实施,我国建立了完整的个人信息保护知情同意制度。
03
个人信息权的获取权能信息获取权(right to access),也可以称为信息访问权或查阅权,是最早出现在各主要国家成文法中的权利之一。与被遗忘权等其他个人信息权利不同的是,个人信息获取权是几乎被世界绝大多数主要国家成文法所认可的法定权利,这也从另外一个方面反映了个人信息获取权对保护信息主体合法权益的重要性。在高度技术化的当下,个人信息一旦被收集就脱离了本人的直接控制,信息主体往往无法对信息的处理情况实时掌握,对于是否违背其意愿进行信息的处理不得而知。信息的获取权或查阅权能够保证信息主体了解信息处理的实际情况,也能为其后续正常行使更正权和删除权创造条件。
个人信息获取权的内容主要包括四个方面:(1)确认个人信息是否被处理。确认个人信息是否被处理是信息主体行使个人信息获取权的前提,只有当信息主体从数据控制者处确认其个人信息被处理后,才可以行使个人信息获取权的其他权能。(2)知晓数据处理的相关信息。当信息主体知道其个人信息已经被数据控制者进行了处理的时候,信息主体最关心的莫过于其个人信息被处理的情况,例如个人信息处理的目的、范围、信息处理后的接收方、信息即将处理和储存的时间、信息处理可能对信息主体产生的影响以及数据自动化处理的内在逻辑等。(3)获取被处理的个人信息。如果数据控制者所处理的个人信息被证实与信息主体有关时,信息主体可以要求数据控制者将这些正在处理的个人信息或与该数据有关的相关信息传递给他欧盟法院于2014年在YS v Minister voor Immigratie, Integratie en Asiel and Minister voor Immigratie, Integratie en Asiel v M and S一案中认定,无论《个人数据保护指令》还是《欧盟基本权利宪章》都均未规定数据控制者需要向信息主体提供原始数据的副本,因此,只要数据控制者向信息主体提供了有关其个人信息数据处理情况的概要,该概要是可理解的(intelligible)且能够使信息主体检查其个人信息的处理是否符合《个人信息保护指令》的规定,那么数据控制者即满足《个人数据保护指令》关于此方面的要求。与欧盟不同的是,美国1974年《隐私法案》规定信息主体在确定政府机构的记录系统中持有其个人记录时可以要求获取这些个人信息,包括这些记录的全部或部分内容的副本。(4)信息主体可获得的权利救济。当信息主体认为数据控制者处理的个人信息不准确、不完整或者数据处理不符合规定的时候,可以要求数据控制者删除、修改或拒绝处理其个人信息。
个人信息获取权在我国语境中表述为查阅权、复制权,即自然人有权从数据的控制者处,在合理的时间内不受限制地了解其个人信息被处理的相关内容。查阅权是自然人实现自己控制个人信息的基础,是要求处理者对自然人个人信息的处理在通常情况下符合自然人的个人意愿要求的具体化。《民法典》第1035条第1款第1句规定“自然人可以依法向信息处理者查阅或者复制其个人信息”,以查阅权为基础,本条第1款第2句规定了更正权,第2款规定了自然人行使删除权的条件。与查阅权紧密联系且规定在同一款的是复制权,复制的字面含义是仿造原件或翻印书籍。在个人信息保护法领域中,复制特指制作个人信息的副本。复制权是指自然人有权通过技术设备留存信息处理者所提供的个人信息,是信息主体行使查阅权的辅助性权利,通过复制权可以有更多时间了解个人信息的情况,从而进一步判断个人信息处理行为是否符合本人意愿等。因此,查阅复制权在个人信息保护体系中具有重要的地位,因为只有对个人信息及处理情况有了充分的了解,才可能进一步判断信息处理活动是否符合信息主体的预期,也才能进一步决定是否有必要进行更正、删除。
对于查阅、复制权,《个人信息保护法》第45条前两款作了更为具体的规定。第1款规定查阅、复制权的行使和例外,个人有权向个人信息处理者查阅、复制其个人信息;但是法律、行政法规规定应当保密或者不需要告知的、告知将妨碍国家机关履行法定职责的情形除外。第2款规定个人信息处理者关于查阅、复制权的义务,个人请求查阅、复制个人信息的,个人信息处理者应当及时提供。据此,信息查阅复制权的对象是个人信息,但是为了更好地实现个人信息权利的保障,应将此处的“个人信息”作扩大解释,信息主体查阅的对象不仅仅限于个人信息,还应包括信息的使用方法、存储环境、使用情境、传输对象等,因为信息处理都是在具体场景中发生,不了解信息处理的具体环境无法准确判断信息处理是否符合信息主体的权益。所以严格来说,可以将查阅复制权与《个人信息保护法》第17条规定的告知义务相区别,后者只要求告知信息处理的有限事项,范围较之查阅复制权的对象更为狭窄,凡是对有助于审查个人信息处理合法性的信息,信息主体都有权查阅和复制。根据《个人信息保护法》第45条前两款的规定,通过查阅权,个人可以了解谁在何时因何事收集处理了哪些信息,通过复制权,个人可以获取和移植个人的信息。而且,移植个人信息也属于复制权的内容,这点在最高人民法院关于《民法典》的释义中也曾得以确认。
尤其值得注意的是,《个人信息保护法》第45条第3款部分确立了个人信息的可携带权(right to data portability),即个人请求将个人信息转移至其指定的个人信息处理者,符合国家网信部门规定条件的,个人信息处理者应当提供转移的途径。在《个人信息保护法》起草过程中,对于是否规定可携带权,一直存有争议。以至于一审稿、二审稿都没有规定,在三审稿才出现了可携带权。这一制度源于欧盟《通用数据保护条例》,其确立可携带权可以说是一种前所未有的创举,此前并无任何国家或地区在实定法中作此规定。《通用数据保护条例》第20条本身也对这一权利设定了一系列前提和限定,规定个人有权要求处理者向其提供结构化、通用可读格式的个人数据,个人可以获取其数据并决定将其转移至其他数据处理者。与此类似,我国确立可携带权的目标更多聚焦于提升互操作性以化解数据垄断问题。不过,由于涉及各方主体之间的利益平衡,该权利的具体内容还有待国家网信部门作进一步的澄清与细化。
04
个人信息权的异议更正权能《通用数据保护条例》第16条规定了更正权(也可译成修改权,right to rectification),其是指数据主体有权要求数据控制者及时纠正与他或她有关的不准确的个人数据的权利,包括不正确信息的更正和对不充分信息的完善两方面,第16条要求“完善不充分的个人数据”时,可以通过提供额外声明的方式来进行,且这种“不完整性”信息的评估应根据数据处理的目的和情境。这是《通用数据保护条例》第5条关于数据准确性原则的要求,是信息主体对数据质量控制权的体现。如果更正的是类似于姓名的拼写、地址或电话号码等简单信息时,根据欧盟法律规定,数据处理者不得无故或过度拖延。但是,如果是涉及信息主体的合法身份或正式的交付法律文件所用的正确居住地等信息时,数据控制者可以有权要求信息主体证明所称信息的不准确,只是这种要求不得对信息主体施加不合理的举证责任,从而阻止信息主体纠正其数据。《通用数据保护条例》第19条还规定了更正权中的数据处理者的通知责任,即数据控制者应当将数据的更正告知该个人数据已经被披露给的每个接收者,除非此类告知是不可能或者需要付出不相称的工作。
我国民法典对更正权的规定是第1037条第1款后半句,即“(自然人)发现信息有错误的,有权提出异议并请求及时采取更正等必要措施”。《个人信息保护法》将《民法典》中的“错误信息”进一步细化为“信息不准确或不完善”,且三次审议稿的条文内容保持了一致,最终规定在第46条中。其具体内容分为两款:个人发现其个人信息不准确或不完整的,有权请求个人信息处理者更正、补充。个人请求更正、补充其个人信息的,个人信息处理者应当对其个人信息予以核实,并及时更正、补充。从内容来看,更正权不仅指对错误信息的更正,也包括对缺失信息的补充,目的是使处于处理过程中的个人信息保持和自然人最新情况的一致性。从行使权利的角度看,更正权以查阅权为基础,只有充分保障权利人的查阅权,使其了解知悉具体的个人信息状况,才存在行使更正权的基础。从信息主体的角度,一旦在查阅个人信息中发现记载的信息有误,信息主体有权提出异议并请求及时采取更正等必要措施。从信息处理者的角度,其应当对提出更正、补充的个人信息予以核实,并及时更正、补充。
05
个人信息权的拒绝权能个人信息权之拒绝权能最为典型的立法例是《通用数据保护条例》。该法第21条规定了信息主体的拒绝权(也可以称之为反对权right to object),是在《个人数据保护指令》第14条基础上修改而成的。首先需要明确的是,欧盟规定的拒绝权并非仅仅通过对数据处理同意的撤销而拒绝数据处理,而是在此之外,当数据控制者基于某些法定理由合法地进行数据处理,而信息主体却根据某些特定情况要求数据控制者停止使用其个人信息的时候,其可以行使的权利。因此,拒绝权并非数据处理“同意”制度的表现形式之一,而是信息主体独立于“同意”制度之外的新权能。
(一)拒绝权的行使条件
与《个人数据保护指令》相比,《通用数据保护条例》对信息主体可行使拒绝权的条件作出了较为宽泛和模糊的规定,即信息主体根据自己的特定情况(on grounds relating to his or her particular situation)行使拒绝权。《通用数据保护条例》作出的修改与欧盟法院在Google Spain v AEPD and Mario Costeja Gonzále一案中进行的价值分析基本一致,即信息主体的个人信息权利高于数据控制者的经济利益和相应的社会公共利益,这就在某种程度上意味着信息主体可以更加轻松地行使拒绝权,而无需满足符合法律强制性规定的条件,至于“特定情况”应如何理解,还需法院和相关机构作进一步的解释。
(二)拒绝权的适用范围
《通用数据保护条例》规定,当数据控制者是基于第6(1)条(e)或(f)款进行的关乎信息主体的数据处理时,包括根据这些条款而进行的用户画像,信息主体应当有权随时反对。这里的(e)款是指数据控制者为了公共利益或基于官方权威履行某项任务而进行的处理任务;(f)款是指处理对于控制者或第三方所追求的正当利益是必要的,这不包括需要通过个人信息保护以实现信息主体的优先性利益或基本权利与自由,特别是儿童的优先性利益或基本权利与自由。此处值得注意的是,尽管《通用数据保护条例》仅规定在上述情况下信息主体可以行使拒绝权,但并不意味着信息主体不可以对为其他原因进行的数据处理行使拒绝权。例如当数据控制者根据第6(1)条(a)款进行数据处理的时候,如果信息主体撤回其先前作出的同意,数据控制者便不能进行数据处理,在法律效果上与拒绝权是一样的。因此,拒绝权实际上为信息主体提供了强势的选择退出(opt-out)的权利,即使数据控制者是根据除信息主体同意以外的合法方式进行数据处理。
(三)拒绝权的法律效果
拒绝权的法律效果因数据处理的目的不同而有所不同。根据《通用数据保护条例》的规定,一般情况下,数据处理者对信息主体的拒绝权有特殊情况下的豁免权,即当信息主体行使拒绝权时,如果数据控制者能证明,相比信息主体的利益、权利和自由,具有压倒性的正当理由需要进行处理,或者处理是为了提起、行使或辩护法律性主张;或者处理对于实现公共利益的某项任务是必要的,信息主体便不能行使拒绝权。但如果数据控制者因直接营销(direct marketing)的目的进行数据处理,数据控制者则没有任何豁免。
除欧盟外,世界其他主要国家几乎没有类似欧盟拒绝权的规定,有的只是信息主体对其同意的撤销。例如,加拿大《个人信息保护法》规定,信息主体可以在法律或协议的范围内,履行必要通知程序后,撤回其对数据处理的同意。
我国民法典“隐私权与个人信息保护”一章,没有个人信息拒绝权的专门规定,第1036条规定了处理个人信息的免责事由的例外,其中规定,“有下列情形之一的,行为人不承担民事责任:……(二)合理处理该自然人自行公开的或者其他已经合法公开的信息,但是该自然人明确拒绝或者处理该信息侵害其重大利益的除外”。该项规定可以视为拒绝权能的一种效果,即使相关个人信息已经公开,但是如果信息主体明确拒绝他人使用的,则行为人也不得处理该个人信息。更重要的是,我国个人信息保护法第44条可以理解为拒绝权:“个人对其个人信息的处理享有知情权、决定权,有权限制或拒绝他人对其个人信息进行处理;法律、行政法规另有规定的除外。”其中“限制或拒绝他人对个人信息进行处理”就是拒绝权权能的体现,旨在保护信息主体的信息权利和其他人处理其信息的合法权利之间取得正确的平衡。如果拒绝权行使成功,那么数据处理者将不再处理相关个人信息。但是,在拒绝权之前对其个人信息的处理行为仍然是合法的。
《个人信息保护法》第24条第2款针对自动化决策还特别规定了拒绝权:“通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供拒绝的方式。”对通过自动化决策方式进行信息推送和商业营销情形下,信息处理者应保障信息主体拒绝权的实现。第3款再次强调,通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。第3款强调“仅通过自动化决策的方式作出决定”,比如基于用户画像决定个人信用及贷款额度,或将用户画像用于面试筛选等情形,通过本条对自动化决策中拒绝权的规定,防止自动化决策使得个人的权利和自由处于危险之中。但是,目前法条对于信息主体行使拒绝权的具体方式没有具体规定,也没有对信息处理者提出技术和程序保障的要求,应在今后的司法解释中进一步完善。
06
个人信息权的删除权能个人信息的删除权(right to erasure),是指个人信息的处理违反法律规定,超过了当事人约定的范围,或权利人认为信息处理行为继续下去会有损本人的利益时,信息主体要求信息处理者及时停止对个人信息的处理并删除相关个人信息的权利。在欧盟,这一权利被称为“被遗忘权”(the right to be forgotten)。2014年,欧盟法院在Google Spain案中明确了信息主体享有被遗忘权,信息主体在满足《个人数据保护指令》第12条(b)款和第14条第一小节(a)款的条件下,可以要求搜索引擎的运营者(Google Spain)移除与其有关的个人信息,而无需考虑这些数据的公开是否已经合法程序。通过欧盟法院的判决可以看出,被遗忘权实际上原本就存在,只是散乱在不同的条款中,欧盟法院在个案中确认了该项权利,也是对在当时还处于激烈讨论过程中的《通用数据保护条例(草案)》的回应。2018年5月,《通用数据保护条例》正式生效,被遗忘权在删除权的范畴内完成了从判例法到成文法的过渡,成为一个在欧盟成员国范围内普遍适用的个人信息权利。在《通用数据保护条例》中,删除权范畴内的被遗忘权在第17条被表述为“right to erasure (‘right to be forgotten’)”,其主要内容主要有以下几个方面:
(一)删除权的适用条件
信息主体有权要求控制者擦除关于其个人信息之存储记录的权利,当具有如下情形之一时,控制者有责任及时擦除个人信息:①个人信息对于实现其被收集或处理的相关目的不再必要;②处理是根据第6(1)条(a)点,或者第9(2)条(a)点而进行的,并且没有处理的其他法律根据,信息主体撤回在此类处理中的同意;③信息主体反对根据第21(1)条进行的处理,并且控制者没有压倒性的正当理由可以进行处理,或者信息主体反对根据第21(2)条进行的处理;④已经存在非法的个人信息处理;⑤为了履行欧盟或成员国法律为控制者所设定的法律责任,个人信息需要被擦除;⑥已经收集了第8(1)条所规定的和提供信息社会服务相关的个人数据。
(二)删除权适用的法律效果
根据《通用数据保护条例》的规定,信息主体实施被遗忘权可能产生两种法律效果:一是当出现《通用数据保护条例》第17条第1款的情形时,信息主体可以要求数据控制者删除与其有关的个人信息;当控制者已经公开个人信息,并且负有第1段所规定的擦除个人信息的责任,控制者应当考虑可行技术与执行成本,采取包括技术措施在内的合理措施告知正在处理个人信息的控制者,信息主体已经要求其擦除那些和个人信息相关的链接、备份或复制。二是当出现下述情况时,即使数据控制者无需删除信息主体的个人信息,信息主体仍可以要求数据控制者限制对其个人信息的处理:①信息主体对个人信息的准确性有争议,并给与控制者一定的期限以核实个人信息的准确性;②处理是非法的,并且信息主体反对擦除个人信息,要求对使用其个人信息进行限制;③控制者不再需要个人信息以实现其处理的目的,但信息主体为了提起、行使或辩护法律性主张而需要该个人信息;④信息主体根据第21(1)条的规定而反对处理,因其需要确定控制者的正当理由是否优先于信息主体的正当理由。
此外,《通用数据保护条例》还专门规定了被遗忘权的通知责任,即对于所有根据第17(1)、18条而限制或擦除个人信息,或限制处理个人信息,控制者都应当将其告知个人信息已经被披露给的每个接收者——除非此类告知是不可能的,或者需要付出不相称的工作。如果信息主体提出要求,则控制者应当将关于接收者的情形告知信息主体。
与欧盟相比,其他国家的删除权无论从适用条件还是适用效果上均较为简单。例如,除欧盟以外的绝大多数国家规定只有当信息主体的数据不准确、不完善的时候才可以要求删除或纠正个人信息,澳大利亚、新加坡等国家则侧重于规定信息主体可以纠正数据的不准确性,而没有提及是否可以要求删除不准确的个人信息,从严格意义上讲,如果信息主体仅有纠正(correct)而没有删除个人信息的权利,或限定信息主体删除的范围的话,很难认为信息主体享有严格意义上的被遗忘权。
我国民法典第1037条第2款规定,自然人发现信息处理者违反法律、行政法规的规定或者双方的约定处理其个人信息的,有权请求信息处理者及时删除。删除权和查阅复制权被规定在同一条文中,且位于查阅权之后,可见,删除权同样是以查阅权为基础。因为只有通过查阅,才能知晓个人信息被处理的具体情况,才能判断相应的处理行为否违法。根据本款规定,信息主体请求删除个人信息应符合的条件仅包括处理个人信息的行为违反法律、行政法规的规定或违反双方的约定,即超过同意范围的信息处理行为。从这一点来看,《民法典》第1037条规定的是“个人信息的删除权”,与欧盟的“被遗忘权”存在区别。因为在信息处理行为既不违法也不违反当事人之间的约定,但继续处理可能损害信息主体利益、信息处理所追求之目的已不再必要等情形下,该条并未明确信息主体是否可以行使删除权。
《个人信息保护法》第47条在《民法典》的基础上对删除权作出了更为具体的规定,第1款明确了适用情形也扩张至五种:(1)处理目的已实现、无法实现或者为实现处理目的不再必要;(2)个人信息处理者停止提供产品或服务,或者保存期限已届满;(3)个人撤回同意;(4)个人信息处理者违反法律、行政法规或违反约定处理个人信息;(5)法律、行政法规规定的其他情形。除了违反法律法规和双方约定的情形外,新增了四种情形,包括信息已不再必要、期限已届满、信息主体撤回同意或法律、行政法规规定的其他情况,为了保护个人信息权益,信息主体有权撤回自己的同意,要求处理者停止处理活动,删除个人信息。同时,本条还增加了删除权的兜底条款,进一步扩大了删除权的适用空间。该条扩展了我国个人信息删除权的适用条件,体现出与欧盟法上“被遗忘权”高度相似。其背后的原因在于,个人信息处理行为关涉信息主体的人格利益,而对于信息处理者而言一般只有财产价值,两种利益所体现的法益具有高低之别,应更加重视保护信息主体的人格利益。实践中,删除权能否真正实现还要看删除行为是否客观上具有可行性。所以,本条第2款进一步对于法律、行政法规规定的保存期限未届满,或者删除个人信息从技术上难以实现的情形,规定个人信息处理者应当停止除存储和采取必要的安全保护措施之外的处理行为。比如,如果删除信息所造成的损害过高,可以允许信息处理者采取屏蔽等其他措施,但是要保证在屏蔽阶段不再对个人信息进行任何其他处理行为。待删除的技术条件更加成熟时,再予以彻底删除。
07
结论通过本文的梳理,回顾个人信息保护立法的历程,我国已然构建了一套以个人信息权为核心的个人信息保护法律制度。个人信息权已经形成以个人信息的知情同意权能、获取权能、异议更正权能、拒绝权能、删除权能等核心权能的权利体系。同时,根据《个人信息保护法》第57条的规定,当发生或者可能发生个人信息泄露、篡改、丢失情况时,个人信息处理者应当立即采取补救措施,并通知履行个人信息保护职责的部门和个人。第69条规定,如果处理个人信息侵害自然人个人信息权益造成损害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。这些都构成了个人信息权的消极权能,从而使得个人信息权成为一个集积极权能与消极权能于一体的完整权利。
END
往期推荐:
比较法学研究院 编辑长按识别 扫码关注