内容
以“个人自治—个人的知情权—个人的查阅权”为例,可以说明个人信息保护请求权在个人信息权益体系中的地位及其行使路径。个人自治指个人自主决定个人事务,是个人信息权益的重要组成部分。信息社会背景下的自治危机更具隐蔽性,要推动个人在信息社会实现个人自治,就需要消解信息壁垒、对抗算法对个人的控制倾向。故而,法律有必要赋予个人以知情权,通过知情权,个人得以知晓在个人信息处理活动中与其自身利益密切相关的事项,这是个人实现个人自治、维持其人格尊严的先决条件。知情权是个人信息权益中的基础性权利,直接与个人信息承载的法益相关联。查阅权本质上是基于知情权的内涵,由知情权创设出来的权利实现方式。法律规定查阅权,并非基于查阅权包含独立的实体权益,而是基于查阅权在推动知情权实现、引导权利规范行使方面的积极功能。
由此,知情权是具备概括性的实体权益内涵、借助其他程序性权利实现的权利,即《个人信息保护法》第44条规定的各项个人信息权益中的“本权”;查阅权是推动知情权实现的权利,即第45—48条规定的一系列“个人信息保护请求权”。个人信息保护请求权在本质上不同于民法上的请求权,推动实现的实体权益比人格权更丰富,作用方式上比之于作为防御性质的权利,还发挥了积极推动本权实现的作用。
《个人信息保护法》第50条规定了个人信息处理者的程序义务和个人的起诉权利。从整体看,个人行使个人信息保护请求权的路径,分为两个阶段:第一阶段为向相关的个人信息处理者提出请求;第二阶段于个人信息处理者拒绝之情形。
(一)个人信息处理者的程序义务:构建便捷的个人权利行使机制
一方面,关于程序义务的内容,个人信息处理者构建的个人权利行使机制应包含受理机制、处理机制、回复机制等三部分。其一,作为个人权利行使机制的启动环节,在受理机制方面,个人信息处理者应保证个人能通过系统交互或个人信息处理者指定的人员,向个人信息处理者提出权利行使请求,同时应包括身份验证规则等。其二,在处理机制方面,个人信息处理者在获悉权利人的权利请求后,应当对权利人的请求内容以及是否存在不能行使其权利的情形进行审查,可能得出响应、拒绝、在收取费用后响应个人权利请求或提供替代履行方式等三种处理结果。个人信息处理者拒绝的处理结果应以法定事由为限,主要包括《个人信息保护法》及其他法律、行政法规关于权利行使的例外情形的规定。如个人提出的权利请求超出合理限度,给个人信息处理者带来不合理负担的,个人信息处理者不应直接拒绝个人的权利行使请求,但有权收取成本费用。其三,在回复机制方面,经审查个人信息处理者决定不响应请求的,应向个人信息主体告知不响应的理由,并向其告知投诉、起诉的途径。
另一方面,关于程序义务的便捷性,其为个人信息处理者程序性义务的核心要求。《个人信息保护法》虽未作出细致规定,但其他法律法规、行业标准中存在相关规定,在申请受理机制上,个人信息处理者应为个人提供系统交互和人工接待两类途径,其身份核验规则应当公开、易于理解。在处理和答复机制上,个人信息处理者对个人权利请求进行审查应在合理期限内完成。
(二)个人诉权的行使:以个人信息处理者拒绝个人的权利请求为前提
个人诉权的行使条件是个人信息处理者拒绝个人行使权利。具体而言,为个人信息保护请求权诉讼设置起诉条件存在以下四种理由。首先,为个人信息保护请求权设置起诉前提,能够推动纠纷解决的便利与公共利益最大化。具言之,个人信息保护请求权具有行使的高频次性和非利益冲突性两大特征,后者由个人信息可复制性的自然属性、同时承载个人与个人信息处理者利益的法律属性所决定。其次,将个人与个人信息处理者的沟通前置于司法程序,对个人信息处理者具有激励作用,有助于构建和谐的行业生态,实现个人与个人信息处理者的合作共赢。再次,为个人信息保护请求权设置起诉条件,能够预防可能的道德风险,避免恶意诉讼成为信息行业发展的阻碍。未设置起诉前提条件的情形中,个人几乎不承担败诉风险却可以获得损害赔偿,极易催生以牟取诉讼利益为目的的滥诉。最后,关于诉权保障与实体法中的程序性规范问题,设置前置条件尚不至于增加当事人的起诉难度。这一规定在实体法律中并非“异类”,且符合民事诉讼法理论的主张。
(一)个人未行使个人信息保护请求权情形的处理
个人未向个人信息处理者提出权利请求的,不满足法律规定的起诉条件,将由法院裁定驳回起诉。此时,当事人向个人信息处理者主张权利受阻后可以就同一法律关系再次起诉。个人起诉的前置条件是其行使个人信息保护请求权被拒绝,该“拒绝”宜作广义上的理解。实践中,个人信息处理者部分响应个人提出的权利请求或为实现该权利请求附加额外条件,也属于本款规定的个人行使权利被拒绝的情形。
(二)得到个人信息处理者回复情形的审理
在个人行使个人信息保护请求权且得到个人信息处理者回复拒绝权利行使的理由时,法院原则上应且仅应从法律、行政法规出发对该理由进行正当性审查。梳理法律、行政法规的限制性规定,可知《个人信息保护法》第四章第47条、第49条对个人行使个人信息保护请求权作出了直接限制性规定,第13条则是规定了个人信息处理者不必取得个人同意即可处理个人信息的情形,主要针对删除权。该条凸显着个人对个人信息的决定权向其他价值的让步。依照第15条的规定,通过“同意撤回”部分限制个人信息处理活动已不可能,更遑论行使删除权。实践中,除《个人信息保护法》外,2013年颁布的《征信业管理条例》亦对个人信息保护请求权作出规定。
关于其他规范性文件对案件处理的参照适用问题,实践中有法院参照效力层级较低的规范性文件对个人信息处理者拒绝个人行使个人信息保护请求权的行为做出评价,其中适用较多的是国家标准化管理委员会发布的《个人信息安全规范》。第一,该规范属于推荐性标准,参考意义较弱,不具备强制执行的效力,应谨慎适用。第二,该规范只是关于个人信息处理者服务内容的国家标准,符合该标准的,不足以得出其行为合法的结论。标准的法律效力来自于法律的接受,而《个人信息保护法》更是有意区分了国家标准与“本法规定的个人信息保护标准”。第三,个人信息处理者提供的个人信息处理规则对个人信息的保护水平高于该规范的,应以其提供的个人信息处理规则为准。由此,《个人信息安全规范》中规定的限制条件的正当性需要经过法院的个别论证。
(三)未得到个人信息处理者回复情形的审理
个人行使个人信息保护请求权,未得到个人信息处理者回复的,应认定为个人信息处理者拒绝个人行使权利且未说明理由,此时法院仍需进行正当性判断。同时,个人信息处理者已经违反了第50条第1款规定的说明义务,个人可就此主张损害赔偿。
(一)个人信息保护请求权行使受阻情况下相关费用的损害赔偿请求权
实践中,法院会将个人信息保护请求权案件中个人为维权支出的诸如律师费、公证费、差旅费等的合理费用纳入《民法典》第1182条规定的财产损失中,这一做法具有合理性。个人就维护个人信息权益的合理支出所提出损害赔偿请求权的基础系过错责任的一般规定,系基于鼓励权利人行使权利、威慑侵权人的社会需求作出的制度安排;该请求权并未解决实际损害的填补问题,而是通过诉讼成本转嫁维护了原告提起此类诉讼的积极性。在著作权法等其他领域也有类似规定。
(二)独立的损害赔偿请求权
关于个人信息受到侵害的损害赔偿请求权,适用过错推定的归责原则,构成要件上要求处理者有违法处理个人信息的行为、个人受到财产或人身方面的损害、违法处理个人信息的行为与损害之间有因果关系、处理者有过错,承担损害赔偿责任上主要包括财产损失和精神损害赔偿。比较该损害赔偿请求权与个人信息保护请求权,二者均包含对个人信息权益的救济功能,但保护的客体存在差别,前者保护的是个人信息权益中包含个人的财产和人格权益的部分,后者保护的客体则不限于其中的民事权益。同时,个人信息保护请求权与诉讼程序的衔接具有特殊性,设置了诉讼的前置程序,而个人因个人信息处理者的行为遭受实际损害的,可以直接依据《个人信息保护法》第69条的规定提起侵权损害赔偿之诉。
(三)三类请求权的适用关系
个人行使个人信息保护请求权被个人信息处理者拒绝的,个人可以依据《个人信息保护法》第50条提起诉讼,同时产生为维权的合理支出的,可以一并主张个人信息保护请求权受阻的损害赔偿请求权;在尚未向个人信息处理者提出个人信息保护请求并受到拒绝之前,不宜作上述权利主张。除为维权开支外,个人信息处理者处理个人信息造成个人实际损害的,个人可以依据《个人信息保护法》第69条与《民法典》侵权责任编提起侵权损害赔偿请求。实践中,以上三种权利主张可能同时存在,法院可以一并审理,但应注意区分两类损害赔偿请求权的不同性质。
《个人信息保护法》始终贯彻“网络安全为人民,网络安全靠人民”的要求,个人信息保护请求权即是“以人民为中心”的法治思想的集中体现。个人信息保护请求权包含了对个人信息处理者构建便捷的个人权利行使机制的要求和对个人规范行使权利的期许。借助个人信息保护请求权的行使,个人既是自我信息权益的捍卫者,也一同成为网络信息环境的治理者。通过在理论上阐明个人信息保护请求权的行使规则及与其他请求权的适用关系,能够对个人信息权益的自我保护、个人信息保护纠纷的处理提供有益指引。
(本文文字编辑颜佳怡。本文未经原文作者审核。本文为中国民商法律网“原创标识”作品。凡未在“中国民商法律网”微信公众号正式发布的文章,一律不得转载。)
