程 啸 清华大学法学院教授,法学博士
-
本文来源于《华东政法大学学报》2023年第1期,系2018年度国家社科基金重大项目“大数据时代个人数据保护与数据权利体系研究”的阶段性研究成果。
个人信息权益属于民事权益中的人格权益而非权益的集合,个人在个人信息处理活动中的权利属于个人信息权益的权能,其中,知情权与决定权是基础性权能,而查阅权、复制权、可携带权、补充权、更正权、删除权、解释说明权等是工具性权能。个人信息权益保护的核心利益是精神利益,从积极方面看是个人对个人信息处理的自主利益,从消极方面看则是自然人享有的防止因个人信息被非法处理而导致人身财产权益遭受侵害或人格尊严、个人自由受到损害的利益。个人可以许可他人对其个人信息进行商业化利用而获得相应的经济利益。当个人信息权益被侵害时,个人有权行使停止侵害、排除妨碍等人格权请求权,并有权向法院起诉来保护自己的个人信息权益。无论是个人信息处理者的拒绝抑或履行个人信息保护职责部门的查处,都不是个人提起诉讼的前置程序。
一、引 言
“个人信息权益”是一个新的概念。在此之前的法律,无论是《全国人民代表大会常务委员会关于加强网络信息保护的决定》《网络安全法》抑或《消费者权益保护法》《电子商务法》等,都没有这个概念。只有《消费者权益保护法》第14条规定了消费者“享有个人信息依法得到保护的权利”。我国编纂《民法典》时,虽然不少学者主张在人格权编中规定“个人信息权”,但立法机关考虑到“个人信息受保护的权利与其他人格权在考量因素上有所不同,个人信息的保护要适当平衡信息主体的利益与数据共享利用之间的关系”,最终没有在《民法典》中采用“个人信息权”的概念,只是使用了“个人信息保护”的表述,这样“既强调了对信息主体利益的保护,又可以避免不必要的误解,避免妨碍数据的共享、利用以及大数据产业在我国的发展”。
2021年颁布的《个人信息保护法》首次地提出了“个人信息权益”的概念,并将“保护个人信息权益”作为立法目的之一。不仅如此,该法还在第四章“个人在个人信息处理活动中的权利”详细规定了个人对其个人信息处理享有知情权、决定权(第44条);个人享有向个人信息处理者查阅、复制其个人信息的权利(第45条第1、2款)、个人有权在符合相应条件时请求将个人信息转移至其指定的个人信息处理者(第45条第3款);个人享有更正、补充其个人信息的权利(第46条);个人在符合一定条件下有权请求个人信息处理者删除其个人信息(第47条);个人有权要求个人信息处理者对其个人信息处理规则进行解释说明(第48条)。正是由于《个人信息保护法》首次提出了“个人信息权益”的概念,同时又提出了“个人在个人信息处理活动中的权利”这一新的概念,于是,在《个人信息保护法》颁布后,围绕着个人信息权益的性质与权能、个人在个人信息处理活动中的权利与个人权益的关系、个人信息权益保护的利益范围、个人信息权益被侵害后能否起诉等一系列问题,产生了很大的争议。显然,解决这些问题,对于科学阐释与适用《民法典》《个人信息保护法》的规定,维护个人信息权益具有重要的意义。故此,本文将就个人信息权益问题进行全面系统的论述。文章第一部分是引言,第二部分讨论的是个人信息权益的性质问题,即其究竟是民事权益还是权益的集合。第三部分则对个人信息权益的权能进行研究,特别是其与个人在个人信息处理活动中的权利的关系问题。文章第四部分讨论的是个人信息权益保护的利益范围问题。第五部分对个人信息权益的保护机制进行了研究,即在个人信息权益被侵害时,是否以个人向个人信息处理者提出请求甚或行政机关的查处作为起诉的前置程序。最后是一个简短的结语。
二、个人信息权益的性质
(一)民事权益说与权益集合说
关于《个人信息保护法》中个人信息权益的性质,目前理论界的观点可以分为两派。一派是民事权益说。此说认为,我国《民法典》虽然没有提出“个人信息权益”的概念,但作为调整民事关系基本法律的《民法典》对个人信息保护作出了规定,并且在第四编“人格权”第六章“隐私权和个人信息保护”中对于个人信息保护作出了具体的规定,这就非常清楚地表明了自然人对于个人信息享有的权益属于民事权益。《个人信息保护法》在《民法典》的基础上明确提出了“个人信息权益”的概念,是为了更好地实现对个人信息权益的保护,《个人信息保护法》中的个人信息权益当然属于民事权益,是民事权益中的人格权益。
另一派是权益集合说。此说认为,个人信息权益是一个包含范围非常广泛的概念,《个人信息保护法》中之所以采用这个概念,就是考虑到在信息化时代个人信息上承载着广泛的个人权利和利益,包括名誉权、肖像权、隐私权等人格权利,以及个人信息处理中不被歧视的权利,此外,个人信息还与个人的人身安全和财产安全密切相关,不是一项单一的权利。不过,在权益集合说内部,就个人信息权益中究竟包括哪些权益,也有分歧。有的观点认为,个人信息权益的权益可以从内部构造和外部约束力(即对外部其他主体相关权益的支配关系)两个角度加以认识。所谓内部构造包括“本权权益”与保护“本权权益”的权利两部分,前者包括人格尊严、人身财产安全以及通信自由、通信秘密等,不包括财产利益;后者包括同意(或拒绝)的权利及知情、查阅、复制、转移、更正、补充、删除、请求解释说明等权利。至于对外约束力主要是指个人信息权益对个人信息处理者和国家机关获得的个人信息具有的约束力。有的观点则将个人信息权益分为三个不同的层次:第一个层次是宪法层面的,包含了以尊严为核心的基本权利所对应的个人自治、生活安宁、公正对待、信息安全四类法益;第二个层次是民法层面的,包括了隐私权、名誉权等与个人信息相互关联的权益,该层次针对是个人信息处理导致的现实损害;第三个层次是行政法层面的,将个人在个人信息处理活动中的权利作为国家主导构建的“法秩序”的构成要素。
(二)个人信息权益属于民事权益中的人格权益
笔者认为,我国《个人信息保护法》中的个人信息权益就是民事权益,而不是什么权益集合或集合性权利。确切地说,个人信息权益就是民事权益中的人格权益,其不同于隐私权、名誉权、肖像权等其他具体人格权,它所保护的核心利益是自然人免于因个人信息被非法处理而遭受人身权益、财产权益上的损害或人格尊严、人身自由被侵害的风险。个人信息权益的核心权利就是个人对个人信息处理所享有的知情与自主决定的权利,具体内容或权能包括查阅权、复制权、可携带权、更正权、补充权、删除权、解释说明权。当权益被侵害时,个人有权要求停止侵害、排除妨碍、消除危险;当造成损害时,个人有权要求侵权人承担损害赔偿责任。之所以说我国《个人信息保护法》上的个人信息权益就是民事权益,而不是什么权益集合,理由在于以下三点。
第一,将个人信息权益界定为权益的集合,将使个人信息权益的范围漫无边际,无所不包。现代社会早已进入网络信息时代,个人信息的收集、存储、加工、使用等活动可以说无时不在、无所不在。所谓个人信息就是与已识别或可识别的自然人有关的各种信息,因此,个人信息不可避免地与自然人的各种人身权益(如生命权、健康权、名誉权、姓名权、肖像权、隐私权)、财产权益(如物权、债权、股权、知识产权)等息息相关,同时,也与自然人的人格尊严、人身自由、通信秘密等宪法上的基本权利具有非常密切的联系。故此,从广义的角度来说,个人信息权益就是指个人信息上承载的各种权益,既包括《民法典》这一民事基本法律所规定的与个人信息有关的民事权益如人格权、身份权、人格利益、身份利益、物权、债权、虚拟财产等,也包括《宪法》规定的人格尊严、人格自由、通信秘密、通信自由等公民的基本权利,还包括《公司法》《证券法》《消费者权益保护法》《妇女权益保护法》《未成年人保护法》《残疾人保障法》《老年人权益保障法》等其他法律中规定的个人享有的各种权益。例如,《公司法》《证券法》《证券投资基金法》规定的股权、投资性权利等;再如,《消费者权益保护法》规定的消费者的知情权,即知悉其购买、使用的商品或者接受的服务的真实情况的权利(第8条);选择权,即自主选择商品或者服务的权利(第9条);公平交易权,即公平交易的权利(第10条);享有人格尊严、民族风俗习惯得到尊重的权利,享有个人信息依法得到保护的权利(第14条)等。可以说,不仅是民事权益,所有与个人相关的权益,都可以被个人信息权益涵盖。这种将个人信息权益的范围理解得如此广泛的观点,不仅没有法律上的规范意义,也与《民法典》《个人信息保护法》的规定相背离。在《个人信息保护法》中,除了“个人信息权益”外,还使用了“个人权益”一词,如第6条规定:“处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。”此外,第8条、第24条第3款、第27条、第30条以及第51条中也都使用了“个人权益”一词。这些条文中的个人权益范围非常广泛,是指与个人有关的任何权益,既包括个人的民事权益如人身权益、财产权益,也包括《宪法》上的人格尊严、人格自由、通信秘密等基本权利,还包括《消费者权益保护法》《妇女权益保护法》《未成年人保护法》《残疾人保障法》《老年人权益保障法》等法律中规定的个人享有的各种权益。如果按照权益集合说的观点,尤其是认为个人信息权益包括宪法、民法以及行政法三个维度的话,个人信息权益就几乎等同于个人权益,《个人信息保护法》也完全没有必要分别使用“个人权益”与“个人信息权益”这两个概念了!
第二,将个人信息权益理解为权益集合的观点会对整个侵权法的归责体系造成毁灭性破坏。《个人信息保护法》第69条第1款规定:“处理个人信息侵害个人信息权益造成损害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。”由此可知,侵害个人信息权益的侵权赔偿责任适用的并非过错责任原则,而是过错推定责任。《民法典》第1165条第1款明确将过错责任作为我国侵权法的基本归责原则,而过错推定责任、无过错责任以及公平责任都必须由法律(狭义的法律)明确规定(《民法典》第1165条第2款、第1166条、第1186条)。《个人信息保护法》第69条第1款对于侵害个人信息权益的侵权赔偿责任之所以采取过错推定责任,就是考虑到:现代信息社会的个人信息处理活动常常具有很强的技术性,非常专业和复杂,个人与个人信息处理者在信息、技术、资金等各方面都处于能力严重不对等的地位,无法了解个人信息处理者在处理活动中具有什么过错,更无法提出证据加以证明。故此,采取过错推定责任更有利于保护个人信息权益。如果按照权益集合说的观点,将个人信息权益理解为无所不包,认为个人信息上承载的所有权益都是个人信息权益,势必造成两个问题。一是,侵权法不仅保护民事权益,还保护宪法上的基本权利。依据《民法典》第3条、第120条,民事主体的人身权利、财产权利以及其他合法权益受法律保护,任何组织或者个人不得侵犯。民事权益受到侵害的,被侵权人有权请求侵权人承担侵权责任。《民法典》在侵权责任编的第一条即第1164条也明确规定:“本编调整因侵害民事权益产生的民事关系。”如果说《个人信息保护法》第69条是对侵害个人信息权益的侵权责任的规定,那么,作为侵权法保护客体的个人信息权益就不可能如权益集合说理解得那么宽泛,既包括宪法上的基本权利,也包括各类民事权益,而只可能是特定的、具体的民事权益。倘若将个人信息权益理解为既包括宪法上的人格尊严、人身自由、通信秘密等基本权利,也包括民法上的隐私权、肖像权等具体人格权,就等于承认了基本权利的“直接第三人效力”。这种结论不仅违背了我国的法律体制,也使《民法典》第109条和第990条规定的作为一般人格权的“人格尊严”“人身自由”与《宪法》上的“人格尊严”“人身自由”等基本权利相混淆。二是,将所有的侵权责任都变为过错推定责任。即便将宪法基本权利从个人信息权益中排除而仅限于民事权益,那么权益集合说的学者所理解的个人信息权益范围也会非常广泛,包含民法上与个人信息有相关联系的权益,如隐私权、名誉权、肖像权以及生命权、健康权、身体权、债权、物权等。由于现代网络信息社会中,几乎所有的民事权益都直接或间接与个人信息相关,如此一来,侵害隐私权、名誉权、债权、物权等任何与个人信息相关的民事权益的侵权责任都会变为过错推定责任。这不仅摧毁了过错责任作为侵权法基本归责原则的地位,而且完全破坏了过错推定责任的法律保留原则。
第三,以个人难以保护个人信息而需要国家提供保护为由,就否定个人信息权益是民事权益的观点也是不成立的。进入现代信息网络社会以来,个人信息的处理发生了革命性变化,特别是个人信息处理能力的突飞猛进,使海量的个人信息不断产生,也不断被政府、企业等主体收集、存储、加工、使用、传输、提供或公开。个人信息上承载的各种权益,无论是人格尊严、人身自由、通信秘密、通信自由等宪法上的基本权利,还是名誉权、隐私权、肖像权、财产权等民事权益,都会因为个人信息的处理活动而受到侵害或存在受侵害的巨大风险。由此可见,围绕着个人信息所展开的是一个自然人需要通过对其个人信息的控制与保护来防止遭受人格歧视、人身财产权益免于危险或损害的利益需求,与处理者希望获取和利用个人信息达到各种目的(加强社会管理、提高行政效率、追逐商业利润等)的利益需求之间的矛盾冲突甚或斗争关系。考虑到个人与个人信息处理者之间在信息、技术、知识、金钱等方面的能力不对等,面对大规模持续存在的个人信息处理活动的风险,为了能够有效地实现对个人信息上承载的个人权益的全面保护,同时实现对个人信息的合理使用,就需要通过专门的法律,综合运用公法与私法相融合的方式对个人信息进行保护,由此产生了个人信息保护法(或个人数据保护法)这样的“领域性立法”。公法方法主要是建立详细且具有强制性的个人信息处理规则来规制个人信息处理活动,并施加安全保护等诸多义务给个人信息处理者且在违反时予以处罚,同时建立相应的个人信息保护监管机关查处各种非法处理活动。私法方法主要是确立个人信息权益,明确该权益的内容,即详细规定个人对其个人信息处理活动享有的具体权利,并通过民事责任尤其是侵权责任来保护个人信息权益。无论如何,公法与私法方法共同调整个人信息保护的根本目的还是保护个人信息权益,即保护自然人就其个人信息处理享有的人身财产安全以及人格尊严、人身自由不受侵害的利益,这种利益本质上就是私法上的利益。如果因为自然人凭借一己之力难以保护个人信息,需要国家保护和支援,国家要履行宪法上的保护义务,就得出结论认为个人对其个人信息不享有任何私人利益,个人信息权益也不属于民事权益,显然从逻辑和常理上说这都是不妥当的。试问,我国《民法典》详细规定的自然人享有的那么多民事权益,从生命权、身体权、名誉权、隐私权等人身权益,到债权、所有权、担保物权等财产权益以及著作权、股权等权益,有哪一个不需要得到国家的保护?哪一个不是国家履行宪法上保护基本权利的义务的结果?难道人们就能以此为由认为这些人身权益和财产权益不是民事权益吗?
总之,我国通过公法和私法双重手段对个人信息进行保护,最终目的就是更好地维护自然人的合法权益。个人信息权益不仅能够为个人既有的人身、财产等民事权益建立起有效的保卫屏障,还可以避免其他可能出现的新型的侵害行为与损害风险。尽管行政机关查处和刑事制裁措施具有重要的预防和威慑作用,但任何履行个人信息保护职责的部门都不可能发现并查处每一个侵害个人信息的违法行为。况且,即便是对被发现的违法行为人进行了惩处,也不等于填补了受害人的损害,并不能真正完全实现对受害人的个体保护。通过对个人信息的民法保护,赋予自然人作为民事权益的个人信息权益,能够促使人们在日常生活中“认真对待个人信息”,积极保护个人信息。在个人信息被非法收集、利用等侵害行为发生时,可以更充分地调动自然人保护个人信息的积极性,为个人信息权益而斗争。这样,不仅可以促使个人发现侵害个人信息权益的违法行为后积极、及时地向执法机关举报,也可以让被侵权人通过对侵权人提起民事诉讼获得赔偿金甚至惩罚性赔偿金,进而对现实的和潜在的侵权人产生巨大的威慑作用。虽然很多时候国家机关处理个人信息的行为是职权行为,国家机关与个人之间形成的是公法上的权利义务关系,但即便是国家机关也必须依法处理个人信息,不得侵害个人信息权益,否则应当承担(性质上属于侵权责任的)国家赔偿责任。正因如此,我国《个人信息保护法》第50条第1款规定:“个人信息处理者应当建立便捷的个人行使权利的申请受理和处理机制。拒绝个人行使权利的请求的,应当说明理由。”同条第2款规定:“个人信息处理者拒绝个人行使权利的请求的,个人可以依法向人民法院提起诉讼。”这就是说,个人可以针对个人信息处理者拒绝个人行使权利的行为即侵害个人信息权益的侵权行为提起民事或行政诉讼,从而获得司法救济。
三、个人信息权益的权能
(一)规定个人在个人信息处理活动中的权利的意义
在《个人信息保护法》颁布前,《网络安全法》《民法典》等法律已经规定了个人在个人信息处理活动中的一些权利。而《个人信息保护法》第四章“个人在个人信息处理活动中的权利”则作出了更加详细的规定,明确了个人针对个人信息处理活动享有知情权、决定权、查阅权、复制权、个人信息可携带权、补充权、更正权以及删除权。为什么《个人信息保护法》要专章详细地就个人在个人信息处理活动中的权利作出规定?为什么这些权利指向的义务主体都是个人信息处理者呢?根本原因就在于个人信息与个人信息处理活动的独特性。
就传统民事权利的客体即有体物而言,由于存在物理上的形体,因此,所有权人可以不需要他人的协助即对动产、不动产这些有体物进行直接的支配,如占有、使用等。有体物的有体性本身就足以产生客观上的排他性。所有权人之外的其他人只要负担消极的不作为义务,不妨碍、不干扰所有权人即可。然而,个人信息则完全不同。一方面,个人信息具有无形性,难以被自然人独占地、排他地支配和控制。个人无法单独控制个人信息,而且这种控制也没有意义。因为信息就是人与人交流的产物,也仅在交流中才有意义和价值。人是社会性动物,必须与人交往和沟通,信息即由此产生。没有信息,人们相互之间就无法交流与交往。另一方面,个人信息具有全时性与非竞争性,也就是说,不同的人可以在不同的时空同时使用相同的个人信息而不发生冲突,并且不会因此损耗个人信息的价值。个人虽然是其个人信息的主体,但个人信息可以被很多组织或个人收集、存储、加工、使用以及相互提供,而个人对此往往毫不知情。这就是个人信息与个人信息处理活动的特殊之处。
正因如此,法律对于个人信息的保护要始终立足于“个人—个人信息处理者”这样的关系模型,通过构建个人在个人信息处理活动中针对个人信息处理者的各种权利来具体形成完善的个人信息权益。从比较法来看,许多国家的个人数据或个人信息保护法都专列一章集中规定信息主体(数据主体)即个人的权利。例如,欧盟《通用数据保护条例》第三章“数据主体的权利(rights of the data subject)”规定了数据主体享有获取信息的权利、访问权、更正权、删除权(被遗忘权)、限制处理权、数据可携带权、反对权等;德国《联邦数据保护法》第三部分第三章“数据主体的权利”规定了数据主体获取信息的权利、访问权、删除权、反对权等;韩国《个人信息保护法》第五章“信息主体的权利保障”规定了信息主体享有个人信息的查阅权、个人信息的更正权与删除权等权利。
(二)权能说、保护性权利说与公法上的工具性权利说
因为《网络安全法》和《民法典》也规定了一些个人针对个人信息处理者的权利,如查阅权、复制权和删除权,所以,在《个人信息保护法》颁布之前,理论界就开始研究这些具体权利与个人信息权利或个人信息权益的关系问题。有的学者认为,这些权利就是对个人信息权益具体内容的规定。有的学者认为,这些权利是自然人对其个人信息所享有的一系列权能。还有的学者认为,查阅权、复制权以及删除权的规定是为了自然人实现个人信息保护和信息自决而规定的保障性权利或者防御性人格请求权。《个人信息保护法》颁布后,由于该法同时规定了“个人信息权益”与“个人在个人信息处理活动中的权利”,并且“个人在个人信息处理活动中的权利”的类型更多、更丰富,于是,理论界和实务界对于“个人在个人信息处理活动中的权利”与“个人信息权益”之间的关系就产生了更大的争论。这种争论不仅与前述个人信息权益的性质问题密切相关,而且在相当程度上决定了个人信息权益的保护方式。从现有的文献来看,比较有代表性的观点有权能说、保护性权利说与公法上的工具性权利说。
权能说认为,个人在个人信息处理活动中的权利就是个人信息权或个人信息权益的权能或内容。有的学者认为,知情同意权、更正权、删除权(被遗忘权)等,要么是信息主体捍卫个人信息权的基本防御手段,要么是实现个人信息权的基本前提和方式,它们是个人信息权的固有内容和自然延伸,与个人信息权本身有着强烈的依附关系,并且它们本身并无独立价值,无法单独被转让,不能与个人信息权分离后独立存在,故此它们属于个人信息权的权能。有的学者认为,“个人信息本身是由删除权、查阅权、复制权、携带权、更正权、补充权等一系列权能所组成的权能束,各项权能分别承担个人信息保护的特定功能,发挥着不同的作用”。查阅权、复制权、异议权、更正权、删除权、可携带权是个人信息处理活动中自然人才享有的,且针对的义务人是个人信息处理者,故这些权利性质上属于请求权,而非绝对权。
保护性权利说也称“个人信息保护请求权说”。此说认为,个人在个人信息处理活动中的权利是个人信息权益的保护性权利或救济性权利。全国人大常委会法制工作委员会经济室有关同志撰写的《个人信息保护法》释义书就认为:之所以在“个人信息权益”之外,又使用“个人在个人信息处理活动中的权利”一词,主要是考虑“国际社会相关立法和我国《网络安全法》《民法典》均赋予个人对其个人信息处理的知情权、决定权,作为保障个人信息权益的方式”。有的学者认为,为了保护个人信息权益的本权权益,我国《个人信息保护法》规定了个人在个人信息处理活动中的知情、查阅、复制、转移、更正、补充、删除以及请求解释说明的权利,这些权利属于救济性权利,也称“个人信息保护请求权”。此类个人信息保护请求权本质上不同于民法上的请求权,因为个人信息保护请求权没有财产性质或者人身性质的内容,而是为了保护个人的知情权、决定权、限制或者拒绝权而设定的程序性权利,当然最终是为了保护个人的相关人权、宪法上的某些基本权利和自由以及民法上的人格权,如人身和财产安全、通信自由与秘密、人格尊严、隐私和名誉等。
公法上的工具性权利说认为,应当将个人在个人信息处理活动中的权利界定为个人信息权利束,它们不是个人信息权或个人信息权益的权能或内容,只是国家为了落实个人信息保护义务,而对个人信息处理活动进行风险规制的产物,是个人信息受保护权的具体化,是通过制度性保障赋予个人的工具性权利。简单地说,个人信息在个人信息处理活动中的权利属于公法上的工具性权利,对于这种权利侵害后应当通过行政手段加以保障,即行政监督执法处理是前置程序,只有在穷尽了行政救济途径后才能提起诉讼。
笔者认为,上述三种观点都有一定的合理性,但都有不足之处。首先,权能说正确区分了个人信息权益与个人在个人信息处理活动中的权利的关系,符合权利和权能的关系理论,但是,该说并未正确地认识《个人信息保护法》第四章中规定的个人在个人信息处理活动中的各类权利的地位,而是将知情权、决定权与查阅权、复制权、删除权等权利简单地等同。其次,保护性权利说虽然认识到个人在个人信息处理活动中的某些权利(针对个人信息处理者)是请求权,旨在保护个人信息权益。但是,该观点并未认识到个人信息权益的权能构造及其核心,而是将个人在个人信息处理活动中的权利统统作为救济性权利甚至程序性权利看待,这显然是片面的。况且,将个人信息权益内容仅当作个人信息权益被侵害的保护请求权的观点,也直接导致了个人信息权益的积极权能与消极权能的混淆。最后,公法上的工具性权利说的不妥之处在于:不论将《个人信息保护法》第四章所规定的个人在个人信息处理活动中的权利理解为个人信息权益的权能,还是保护性权利(程序性权利),这些权利在性质上当然都属于私权利,是民事权利。因为享有这些权利的主体就是作为民事主体的自然人,旨在维护的也是自然人对其个人信息处理的知情权和决定权。以国家法律规定,是国家履行保护义务的结果为由,就认为这些权利不是民事权利,这种观点令人难以苟同(前文已有评论)。不仅如此,公法上的工具性权利说还误解了《个人信息保护法》第50条第2款,认为个人只有在穷尽行政救济途径之后,才能向法院提起诉讼。法律解释首在文义解释。《个人信息保护法》第50条第2款的字面意思就很清楚,只要个人信息处理者拒绝个人行使权利的请求,个人就可以依法向人民法院提起诉讼。该款以及《个人信息保护法》的其他条文并没有为个人的起诉设置任何行政处理的前置性程序。从《个人信息保护法》立法资料可知,《个人信息保护法》草案的第三次审议稿中并无第50条的规定,但审议过程中有的常委委员提出“应当要求个人信息处理者提供便捷的途径,并明确个人向人民法院起诉寻求救济的权利,以更好保障个人行使个人信息查询、复制等权利”。全国人大宪法和法律委员会经研究接受了这一意见,增加了第50条的两款规定。所以,个人信息处理者如果不履行其与个人在个人信息处理活动中的权利相对应的义务,个人当然就可以提起民事诉讼(行政诉讼),要求法院判令其履行。
(三)个人在个人信息处理活动中的权利属于个人信息权益的权能及其结构
笔者认为,虽然《个人信息保护法》第四章采取的名称是“个人在个人信息处理活动中的权利”,然而这个“权利”并非指“主观权利”(Subjektive Rechte),而是指“权能”(Befugnisse)。权能是权利的非独立的组成部分,它是权利所赋予权利人的意思决定的空间。原则上,权能是权利的不可分离的组成部分,因此,权能不能被单独转让。有些权利如所有权不仅自身可以转让,也可以通过合同将所有权中的某些权能以不同的方式在一定时间内分离出来,如设立用益物权或担保物权;有些权利如人格权,不仅权利本身不能转让、继承或放弃,而且其权能常常不能加以分离(姓名、肖像等某些人格要素的许可使用并非权能的分离)。个人在个人信息处理活动中的权利是个人信息权益不可分离的组成部分,属于个人信息权益的权能,既不能被单独地加以转让,也不能被放弃或继承。
虽然个人在个人信息处理活动中的权利属于个人信息权益的权能,但是它们的地位和逻辑关系是不同的。有的学者认为,在个人信息权益的内容中,同意属于支配性权利,而知情、查阅、复制、转移、更正、补充、删除以及请求解释说明的权利属于救济性权利;有的学者认为,决定权贯穿于个人信息主体权利体系,是贯穿性理念;知情权则属于核心性权利;查阅权、复制权、异议权、更正权、删除权等属于散射交叉的权能。笔者认为,个人信息权益保护的核心利益可以从两个方面看待,从积极的角度看就是自主利益,即个人对其个人信息处理享有的基于自由意思而予以决定的空间;从消极的角度看就是防护利益,即人身财产权益乃至人格尊严等免于受到非法个人信息处理活动的侵害或威胁的利益。故此,作为个人信息权益的个人在个人信息处理活动中的权利的地位是不同的。其中,处于核心地位的是个人对其个人信息处理享有的知情权与决定权,它们并非请求权,而是对个人信息权益内核的描述,属于个人信息权益的核心性或基础性内容。至于查阅权、复制权、可携带权、补充权、更正权、删除权、解释说明权等权利,属于工具性权能,即为了实现知情权与决定权而配置由法律规定的个人信息权益的权能。具体理由阐述如下。
科技发展和运用的根本目的应当为造福于人,使人更加自由、更有尊严、生活更幸福,而非进一步地剥夺人的自由与尊严,加深对人的奴役。在现代网络信息社会,要真正做到尊重和保障人权,维护人格尊严和人格自由,就必须确保个人在个人信息处理中真正地具有知情与自主决定的权利。一方面,个人信息处理应当遵循公开透明的原则,除非法律、行政法规另有规定,否则,其个人信息被处理的个人有权知道什么人基于什么目的以何种方式处理其哪些个人信息。无论个人信息处理者是国家机关、企事业单位抑或其他主体,只要进行个人信息的处理,处理者原则上都负有告知个人相关个人信息处理事项的义务,决不能秘密地处理任何个人的个人信息。另一方面,必须确立个人在个人信息处理中的主体地位,尊重其自主价值,使个人对其个人信息的处理享有自主决定的权利。个人应当有决定自己的个人信息是否被他人处理的自由,被他人以何种目的以何种方式处理的自由,哪些个人信息可以被他人处理的自由。如果个人对其个人信息处理没有知情权和决定权,那么就是对人格尊严的践踏,这将损害人格自由,侵害公民的基本权利,给个人的人身财产安全带来巨大的损害与风险。在1983年的“人口普查案(Volkszaehlungsurteil)”中,德国联邦宪法法院指出:“个人的自我决定——在现代化的资讯处理科技的环境下亦然——是以给予个人关于作为或不作为的决定自由(包含可能性在内),并且个人实际上得以按照决定作为前提的。如果个人不能充分肯定地掌握对于其在社会环境的特定领域内与其有关的资讯公开,并且不能在某种程度内预估可能的资讯往来对象时,个人基于自我决定而拥有的计划和决定之自由,将可能受到重大的妨害。在一个社会秩序以及可能产生此种秩序的法秩序中,当人民不再能够了解何人、何事、何时以及在何种场合对自己会有所知悉时,则此两种秩序将无法与资讯自决权相符合。若个人无法确定其不同于一般人的行为是否会随时被记录和被当作资讯而长期存储、利用或传递时,那么就会试着不透过这些行为方式来引起注意。若个人考虑到一旦参与集会或国民自发活动即会被官方登记,并且由此产生风险时,则个人就可能会放弃行使他的相关基本权利(《基本法》第8条、第9条)。若如此,不仅将使得个人的独特发展机会受到妨碍,也将使得公共利益受到妨碍,因为自我决定乃是一个基于国民之行为能力和参与能力的自由民主整体的基本功能条件。”欧盟《通用数据保护条例》导言部分也明确指出:“以下行为对自然人都应该是透明的,包括有关他们的个人数据被收集、使用、咨询或处理,以及个人数据被处理或将要被处理的程度。透明性原则要求任何有关这些个人数据处理的信息和通信都应可轻松获取且容易理解,并且使用通俗易懂的语言。这一原则特别涉及数据主体关于控制者身份的信息和处理目的以及进一步处理的信息,以确保对有关自然人的公正和透明的处理以及获得有关其正在被处理的数据的个人确认和通信的权利。应该让自然人了解与处理个人数据有关的风险、规则、保障和权利,以及如何行使与处理有关的权利。”我国《宪法》明确规定,国家尊重和保障人权,公民的人格尊严、人身自由不受侵犯。个人对个人信息处理享有的这种知情权与决定权来源于《宪法》,需要通过《个人信息保护法》给予规范性保障,从而转换为作为民事权益的个人信息权益的核心或基础权能。故此,《个人信息保护法》第44条确立了个人对其个人信息处理所享有的知情权与决定权,此种权利所指向的对象是准备或者正在对个人的个人信息进行处理的任何组织或个人。通过确立个人对其个人信息的处理所享有的知情权与决定权,个人依法有权限制或者拒绝他人对其个人信息进行处理,知情权与决定权充分说明个人信息处理者原则上必须履行告知并取得个人同意的义务的正当性,也说明个人在个人信息处理活动中撤回同意、查阅与复制个人信息、个人信息转移至另外的个人信息处理者、对个人信息进行补充与更正、要求删除个人信息等权利的正当性,同时,也为将来新型权利的发展奠定了基础。换言之,随着未来社会和科技的发展,如果需要确立个人在个人信息处理活动中的新型权利,完全可以从知情权与决定权中发展出来。
四、个人信息权益保护的利益范围
(一)个人信息权益保护个人的自主利益
权利就是法律规范授予人的,旨在满足其个人利益的意思力(Willensmacht),即享受特定利益的法律之力。权利旨在满足人的利益,民事权利的内容不同,所保护的利益也各不相同,从而使各项权利得以区隔。例如,所有权通过赋予权利人对有体物的占有、使用、收益和处分等排他的支配和控制之力,从而保护权利人对有体物的经济利益,即物的使用价值与交换价值。生命权、身体权、健康权等人格权,分别保护的是自然人的生命安全、生命尊严、身体完整与行动自由、身心健康等人格利益。个人信息权益作为一种独立的民事权益,当然有其独特的保护对象。权利保护的利益是根据其内容决定的。如前所述,个人信息权益的核心权能是知情权与决定权,其他的查阅权、复制权、可携带权、删除权等都是为了实现这两项权利而产生的。显然,法律赋予自然人个人信息权益的目的就是要保护个人在其个人信息处理中享有的意思决定的自由(尽管法律和行政法规对之作出了诸多限制)。德国著名民法学家弗卢梅教授曾言:“若我们的法秩序允许个人以双方自我决定之方式——也即通过合同——来确定法律关系,则其前提即在于,个人在面对对方时均具备自我决定的权力,而不会以单方的权力代替双方的自我决定从而造成一方作出非自我的决定。强迫和私法自治是格格不入的。然而,私法自治难以摆脱的困境即在于,它会因为权力分配的不平等而不断遭到质疑。”正是由于现代网络信息社会的个人信息处理中,个人与个人信息处理者处于权力分配上的不平等关系,在没有个人信息保护法的介入下,个人是无法真正作出自我决定的。
为了矫正这种权力上的不对等,融合公法与私法方法的个人信息保护法应运而生。从公法的角度看,法律通过确定强制性的个人信息处理规则并施加各种法定义务给个人信息处理者,来实现个人对个人信息处理的自我决定;而在私法上,法律则通过赋予个人对其个人信息处理的知情权与决定权,即以告知同意规则作为个人信息处理的合法性基础,并辅之以查阅权、复制权、可携带权、删除权等权利,以保护个人意思决定的自由。一方面,只有当个人对其个人信息的处理是知情的,他(她)才可能对个人信息处理作出自主的决定;另一方面,只有个人可以按照自己的意思决定同意还是拒绝、限制还是不限制时,他(她)才谈得上对自己的个人信息的处理活动是自主的、具有决定的自由的。由于个人信息与自然人的人身财产权益以及人格尊严都息息相关,非法处理个人信息会对自然人的生命、健康、身体、名誉、隐私、自由、财产等各种民事权益乃至宪法上的人格尊严、人身自由造成危害或损害。因此,保护自然人对其个人信息处理的自主利益。实质上就是要消除或预防因为个人信息处理活动给自然人的人身财产安全以及人格尊严、人格自由带来的风险。换言之,个人信息权益为信息社会的每个自然人筑起一道坚实的法律保护屏障,使之免于遭受个人信息处理活动的危险以及损害,保护的就是自然人享有的防止因个人信息被非法处理而导致人身财产权益遭受侵害或人格尊严、个人自由受到损害的利益。故此,诚如学者所言,在信息处理中的自主利益为前置利益,如“伞”般保护隐私利益及呈现利益,侵害信息处理中的自主利益并不必然侵害隐私利益及呈现利益,但是隐私利益及呈现利益受到侵害则必然是侵害自主利益的行为所导致的。然而,不能因为个人信息权益对自主利益的维护起到了消除人身财产权益乃至人格尊严、通信秘密、通信自由等宪法上的权利被侵害的风险的作用,就混淆个人信息权益与隐私权等其他的民事权益,更不能将个人信息权益泛化为宪法上的权利,甚至把它当作“全能选手”,变为无所不包的权利集合体。
(二)个人信息权益保护个人对个人信息的经济利益
《民法典》第993条规定的是对人格权商业化利用(也称人格要素的商业化利用)的规范,该条仅列举了“姓名、名称、肖像”,并未包括个人信息。那么,自然人对其个人信息是否享有经济利益并且该利益能否得到个人信息权益的保护呢?换言之,个人信息权益能否被商业化利用?对此,学者们有着不同的看法。有的学者认为,《民法典》该条中有“等”字兜底,个人信息也属于能够被商业化利用的对象,自然人可以许可他人处理其个人信息。因为“从本质上讲,个人信息本身就兼具人身属性和财产属性,绝大多数个人信息都可以进行经济利用,如将个人信息汇聚成大数据由他人共享,或者用于商业分析和用于商业规划等”。个人信息的效用性、稀缺性、可控性和流通性决定了个人信息也具有很大的财产价值或财产属性。有的学者则明确否定自然人对其个人信息享有需要得到保护的经济利益,理由在于:其一,个人信息的经济价值存在“稀薄效应”,单个自然人的个人信息并没有什么经济价值,只有大数据整体才具有经济价值,而将大数据整体的经济价值分散至个体层面,那么每个个人的个人信息的经济价值可以忽略不计;其二,给个人配置财产利益将带来一系列问题,如导致个人之间人格的不平等,甚至会引发蝇头小利的全社会争夺,阻碍信息产业的发展。
笔者认为,个人信息权益保护的不仅是自然人就个人信息享有的精神利益(即对其个人信息处理的自主利益),也保护自然人对个人信息的经济利益。从《民法典》与《个人信息保护法》对个人信息的界定来看,肖像、姓名、声音等就属于个人信息,它们都是可以被商业化利用的。如前所述,个人信息中的私密信息属于隐私,私密信息在不违反法律和公序良俗的原则时,可以被商业化利用的,剩下的非私密信息就更不用说了。即便是在特别重视个人信息自决权的德国,理论界也认为,只要遵守宪法上的限制,个人信息自决权当然可以被商业化利用,能够被商业化利用的个人信息包括自然人的外貌、生活图片、人物形象、个人的秘密、口头和书面的语言、姓名等。在大数据时代,真正蕴含巨大价值的是政府及企业处理的海量个人信息,单个自然人的个人信息确实价值不大。然而,那些知名人物或公众人物却未必尽然,他们的一条个人信息可能价格非常昂贵。此外,人们也不能否定,随着社会的发展,尤其是个人信息权益保护强度的增加,未来个人通过同意处理者处理其个人信息是有可能取得相应经济利益的。毕竟个人信息权益属于人格权益,我国法对于人格权保护的利益采取的也是一元主义模式,个人信息权益可以同时保护自然人对其个人信息处理享有的精神利益与经济利益。此外,从《民法典》第993条来看,只要是法律没有禁止并且依据其性质不得许可的个人信息,个人也不是不可以许可他人使用。该条中的“等”字就为未来的发展预留了空间。至于个人信息被商业化利用会导致人格不平等的后果,这种可能性并不存在。因为,网络信息技术的发展导致的交易成本的降低,恰恰会使普通人有更多的机会或可能性来许可他人使用其姓名、肖像乃至个人信息等。既然法律上对个人信息处理确立的知情同意规则不会限制个人信息流动、影响数字经济发展,那么人们就更无须担心个人信息被商业化利用了。
五、个人信息权益的保护
(一)个人信息权益的权能与人格权请求权
个人信息权益属于人格权益,因此被侵害后,无论是否造成损害以及加害人有无过错,都可以获得人格权请求权的保护。我国《民法典》第995条规定:“人格权受到侵害的,受害人有权依照本法和其他法律的规定请求行为人承担民事责任。受害人的停止侵害、排除妨碍、消除危险、消除影响、恢复名誉、赔礼道歉请求权,不适用诉讼时效的规定。”关于该条中规定的哪些属于人格权请求权,存在不同的观点。有学者认为,该条规定的都是人格权请求权;也有学者认为,人格权请求权仅指停止侵害、排除妨碍、消除危险以及消除影响、恢复名誉,不包括赔礼道歉。还有学者认为,人格权请求权只包括停止侵害、排除妨碍以及消除危险,至于赔礼道歉、消除影响、恢复名誉,本质上也属于恢复原状的措施。笔者认为,人格权请求权仅仅是指停止侵害、排除妨碍和消除危险这三类请求权,不包括消除影响、恢复名誉、赔礼道歉请求权,因为它们并不能发挥预防的功能,只能起到事后填补损害的作用。
自然人的个人信息权益遭受侵害或者妨碍的情形大致有两种:(1)自然人向个人信息处理者行使查阅权、复制权、可携带权、删除权等具体权能,被个人信息处理者无正当理由加以拒绝或不予理睬;(2)个人信息处理者非法处理个人信息侵害个人信息权益,即处理者既未告知并取得个人同意,也没有法律、行政法规规定无须取得个人同意甚至不告知的情形,就对个人信息进行了收集、存储、加工、使用等处理活动。如果是第一种情形,个人信息处理者的行为显然对个人信息权益的行使构成了妨碍。也就是说,因为个人信息处理者不履行相应的义务,导致了个人在个人信息处理活动中的查阅权、复制权、删除权等权利难以实现。此时,依据《个人信息保护法》第50条第2款的规定,个人可以向法院起诉,通过法院判决来强制实现权利。如果是第二种情形,那么处理活动本质上是侵害自然人对其个人信息处理的知情权与决定权,故此,自然人可以向非法处理其个人信息的处理者行使停止侵害、排除妨碍、消除危险这三类人格权请求权,如要求未经同意而收集、加工其个人信息的处理者停止侵害,即停止收集、存储、使用个人信息的行为;要求排除妨碍或消除危险,即删除非法收集的个人信息或者恢复被损坏的个人信息等。此外,如果侵害个人信息权益造成损害的,不论是非法处理个人信息,还是处理者无正当理由拒绝个人行使个人信息处理活动中的权利,依据《个人信息保护法》第69条第1款的规定,个人都有权要求个人信息处理者承担赔偿责任。
不过,上述两种情形中存在一个交集,即《个人信息保护法》第47条规定的可以行使删除权的五种情形中的第四种情形——“个人信息处理者违反法律、行政法规或者违反约定处理个人信息”。当个人信息处理者违法或违约处理个人信息时,个人当然可以依据《个人信息保护法》第47条的规定,向个人信息处理者请求删除,即行使删除权。但是,由于该行为也是侵害个人信息权益的行为,而依据《民法典》第995条、第1167条,个人也有权要求个人信息处理者停止侵害、排除妨碍以及消除危险。此时,是否意味着删除权已经取代了停止侵害、排除妨碍请求权,个人只能行使删除权?对此,有的学者持肯定的观点。笔者不赞同该观点。一方面,删除权的功能有限,只能起到删除非法收集的个人信息的作用,而且个人必须先向个人信息处理者提出请求,被拒绝后才能向法院起诉。但是,停止侵害、排除妨碍、消除危险等请求权可以全面地起到制止并预防非法个人信息处理活动的功能,而且,个人既可以向个人信息处理者行使这三项人格权请求权,也可以直接向法院提起诉讼,通过司法途径实现该等人格权请求权。不仅如此,个人有证据证明处理者正在实施或者即将实施侵害其个人信息权益的非法处理活动,如果不及时制止将使其合法权益受到难以弥补的损害的,依据《民法典》第997条,个人可以通过人格权禁令程序来保护自己的个人信息权益。还需要特别注意的是,《个人信息保护法》第72条第1款明确将“自然人因个人或者家庭事务处理个人信息的”情形排除在该法的适用范围之外。这就意味着当自然人之间因个人或家庭事务处理个人信息的,即便存在非法收集个人信息等情形的,也不可以适用《个人信息保护法》的删除权,显然只能依据《民法典》第995条、第1167条,主张停止侵害、排除妨碍以及消除危险请求权。
(二)个人信息权益的程序保障机制
既然个人信息权益是民事权益,其被侵害之后,无论侵害者是单位还是个人,无论侵害的情形是前述的两种情形中的哪一种,个人都有权针对侵权人提起侵权诉讼,要求其承担侵权责任。但是,理论界对于《个人信息保护法》第50条第2款是否为个人向法院提起诉讼设置了前置程序存在很大的争议。否定说认为,个人向个人信息处理者提出诉求且个人信息处理者拒绝行使权利的请求并不是向法院提起诉讼的前置条件。因为,2022年《民事诉讼法》第122条对起诉的条件有明确的规定,而诉权是民事主体的基本权利,必须要有法律的明确规定才能加以限制。既然《个人信息保护法》并没有作出前置程序的规定,故此,个人当然可以直接向法院提起诉讼。肯定说认为,《个人信息保护法》第50条第2款有前置程序,持该观点的学者中又有不同的看法。一种看法认为,《个人信息保护法》第50条第2款设置了个人向法院起诉的前置条件,即个人只有在行使个人信息保护请求权被个人信息处理者拒绝的情况下,方可向法院提起诉讼。如果自然人未曾向个人信息处理者行使请求权或者提出请求未被个人信息处理者拒绝的,则不能向法院提起诉讼。另一种看法认为,即使个人向个人信息处理者提出请求被拒绝,也不能立即就向法院起诉,还要先向行政机关寻求行政救济,即向负有履行个人信息保护职责的部门进行投诉举报。只有在这些部门不履行法定职责或者这些部门处理后,个人对其处理结果不服的,才可以起诉,不过此时的起诉,是针对履行个人信息保护职责部门的行政诉讼。只有当个人信息处理者不仅拒绝个人行使查阅、复制、更正、删除等个人在个人信息处理活动中的权利,并且给个人造成了损害的,个人才能向法院提起民事侵权赔偿之诉。这正是《个人信息保护法》第50条第2款强调“依法向人民法院提起诉讼”的全面理解。
笔者认为,个人向法院起诉没有也不应当有任何前置程序。《个人信息保护法》第50条第2款是承接第1款而作出的规定,因为第1款要求个人信息处理者建立个人行使权利的程序机制,并且要求个人信息处理者在拒绝个人行使权利的请求时说明理由,所以第2款才接续规定如果个人信息处理者拒绝个人行使权利的请求的,个人可以起诉。由于个人的查阅、复制、更正、补充、删除等权利本身就是请求权,需要个人信息处理者的配合才能实现,故此,从道理上说,个人不可能在尚未针对个人信息处理者提出请求时,就直接到法院起诉。但如果个人真的这样做了,后果很可能就是原告因为无法证明其个人信息权益中的查阅、复制、更正、补充、删除等权利受到了侵害而被判决败诉。从这个角度来说,个人只有向个人信息处理者提出请求而被拒绝的,才有必要寻求司法保护,向人民法院提起诉讼。这对于提高效率、节约资源、减轻法院的负担也是有益的。但是,不能认为个人只有向个人信息处理者提出请求后才能起诉,否则就应当驳回起诉,把个人向个人信息处理者提出请求设置为起诉的前置程序,更不能认为个人不仅要向个人信息处理者提出请求,而且在请求被拒绝后还需要先向行政机关投诉或举报,待行政机关处理后才能起诉。因为无论采纳上述何种理解,都会构成对个人诉权的限制。诉权是民事主体的最基本权利,诉讼制度也是最基本的法律制度。我国《立法法》第8条明确规定,诉讼和仲裁制度只能制定法律。换言之,只有法律中明确规定了某种程序是提起诉讼的前置程序,才是合法的(如《土地管理法》第14条)。但是,《个人信息保护法》第50条第2款根本没有这样的规定,其他法律中也没有。因此,对民事主体诉权进行限制必须由全国人民代表大会及其常委会制定的法律作出明确的规定,无论是行政法规还是司法解释等都不得加以规定,更不能随意地通过对法条的解读就得出限制诉权的结论。事实上,即便是特别重视个人信息保护行政监管措施的欧盟《通用数据保护条例》也并未给司法救济程序设定前置程序。该条例第79条明确规定:“在不影响获得行政或非司法救济的情况下(包括本条例第77条规定的向监管机构提出投诉的权利),每一个数据主体在认为他或她基于本条例而享有的权利因为违反本条例规定的个人数据处理行为而遭受侵害时,均有权寻求有效的司法救济。”也就是说,欧盟成员国可以自行决定相关程序的安排,其可以将行政等非司法救济程序作为诉讼的前置程序,也可以不作为前置程序,但无论各成员国的组织法和程序法的具体情况如何,国家立法都必须为所有程序性情况下对《通用数据保护条例》规定的侵害行为提供“有效的司法补救”,并且不能使这一权利的行使“实际上不可能或过于复杂”。
将个人向个人信息处理者提出请求作为起诉的前置程序,还会对个人信息权益造成不合理的限制,违反《民法典》的规定。个人信息权益属于民事权益,个人信息处理者在没有告知并取得个人同意以及缺乏法律、行政法规规定的理由的时候,对自然人的个人信息进行处理,这就是侵害个人信息权益的行为,应当依据《民法典》第1167条承担侵权责任。如果认为,个人在个人信息处理者非法收集、存储、使用或公开个人信息的时候,还要先向个人信息处理者提出请求且被拒绝后才能起诉,那么这实际上否定了人格权请求权对个人信息权益的适用,对于个人信息权益的保护非常不利。况且,以个人信息处理者的拒绝为起诉的前提,还意味着个人要证明自己已经向个人信息处理者提出了请求并且被拒绝,如果个人信息处理者既不同意也不拒绝,那么个人岂不是无法向法院提起诉讼?至于有的学者把《个人信息保护法》第50条第2款中的“依法”解释为依照个人信息保护法行政监管和保护的逻辑,由负有个人信息保护职责的部门对违反合规义务、侵害个人信息权利束的处理活动进行监督和处理,这种做法笔者难以赞同。因为,该款中的“依法”就是指依据《民法典》《民事诉讼法》等相关法律提起诉讼,绝非设置了行政处理前置程序。事实上,在个人信息违法行为如此普遍的情形下,要求履行个人信息保护职责的部门查处每一起违法行为后,个人才能提起诉讼,甚至认为在个人信息监管机关作出处理后,个人只能在对个人信息监管机关的决定不服时,才可提起行政诉讼,这种观点不仅不利于保护个人信息权益,也给履行个人信息保护职责的部门施加了过重的责任,同时,还将原本是个人与个人信息处理者之间的侵权关系变为个人与个人信息监管机关的行政诉讼关系,有百害而无一利。总之,个人在向个人信息处理者行使权利被拒绝后,当然可以向法院提起诉讼。无论是个人信息处理者的拒绝抑或履行个人信息保护职责部门的查处,都不是个人提起诉讼的前置程序。
六、结 语
个人信息权益是随着现代网络信息科技发展而出现的一种新型的人格权益,性质上属于民事权益,不应当将个人信息权益泛化为个人信息上承载的全部民事权益以及宪法上的基本权利。《个人信息保护法》第四章“个人在个人信息处理活动中的权利”是对个人信息权益权能的具体规定,它们具有内在的逻辑结构。未来应当如何真正地实现对个人信息权益的保护,为个人行使个人信息权益建立高效快捷的程序保障以及被侵害后的救济机制,是理论界与实务界需要努力的方向。
《数字法治》专题由华东政法大学数字法治研究院特约供稿,专题统筹:秦前松