为明确个人信息处理活动中的权利义务边界,充分保障信息主体在个人信息处理过程中的权益,本条规定了信息主体享有查阅权、复制权、更正权及删除权。对于个人信息应当采取权利保护模式还是权益保护模式,学界一直存在较大的争议。
所谓权利保护模式,即由《民法典》直接赋予民事主体以个人信息权,进而给予类似于生命权、健康权、名誉权、隐私权的法益保护方式;所谓权益保护模式,是一种保护程度弱于权利保护的法益保护方式,其源于《民法典》第3条的规定,即其中的“其他合法权益”。《民法典》对于个人信息采取了权益保护模式。
在立法过程中,《民法典人格权编(草案)》使用了信息持有人的概念,规定“自然人可以向信息持有人依法查阅、抄录或者复制其个人信息”,并对自然人享有删除权的情形予以详细规定。
《民法典人格权编(草案)(二审稿)》沿用信息持有人的表述,并删除了自然人享有删除权的具体情形,进而表述为“自然人发现信息持有者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的,有权要求信息持有者及时删除其个人信息。”一方面避免了草率立法,另一方面为《
个人信息保护法》对删除权的细化预留了一定空间。
《民法典人格权编(草案)(三审稿)》借鉴了欧盟《一般数据保护条例》(以下简称GDPR)的规定,将信息持有人修改为信息控制者,其他部分未作变动。
《民法典(草案)》同时使用了信息控制者与信息处理者的概念,但二者似乎为同一含义。此外还将“查阅、抄录或者复制”修改为“查阅或者复制”,以避免用语的重复。[3]《民法典》采用统一的信息处理者概念,其他未作变动。
这一改变的合理性在于:一方面,《民法典》统一使用了“处理”的概念来统摄围绕着个人信息开展的收集、使用、加工、传输、提供、公开等一系列行为。因此,使用“处理者”的概念来涵盖从事这些行为的所有主体,显然比另外使用一个“控制者”的概念更为合理。
另一方面,就个人信息的“控制者”与“处理者”这两个概念而言,实际上也完全没有必要加以区分。
因为无论信息控制者与信息处理者是否为同一主体,二者都负有相同的个人信息保护的法定义务,即便信息控制者与信息处理者就个人信息的实际处理行为存在相关合同的约定,也只是二者内部的法律关系而已,无法改变此种义务,统一采用“处理者”的概念更为合理。
(一)个人信息的查阅、复制权
“查阅权”是指信息主体查阅其个人信息处理情况并要求答复的权利。[5]“复制权”是指信息主体请求处理者提供个人信息副本的权利。本条并未规定信息主体享有可携带权,关于可携带权的具体规定可以参考《个人信息保护法》第45条。
1.立法目的
查阅权和复制权是自然人个人信息权益的重要组成部分。
一方面,如果不能查询或者复制其个人信息,则自然人在其个人信息被合法收集后就完全丧失了对个人信息的控制力,处理者究竟收集了多少自己的个人信息,这些被收集的个人信息是否符合法律规定或者约定,自然人将完全不清楚,谈何行使《民法典》第1037条第2款规定的删除权。
另一方面,如果没有查阅、复制个人信息的权利,自然人无法知悉其被收集的个人信息是否有误,也就难以在发现错误后,依据《民法典》第1037条第1款的规定,提出异议并请求处理者及时采取更正等必要措施。
故此,法律上有必要赋予自然人以查阅和复制个人信息的权利,以确保自然人对其个人信息享有知情权并保持应有的控制,避免因为非法收集、处理而致其人身财产权益遭受侵害。
2.查阅复制权的主体
享有查阅复制权的主体是个人,即个人信息被处理的自然人。该权益并不具有人身专属性的权利,因此,个人有权自己行使也有权委托他人行使查阅复制权。
根据《
未成年人保护法》第72条第2款规定当信息主体是未成年人的,应当由其父母或者其他监护人代为行使查阅复制权。
根据《个人信息保护法》第49条规定,如果自然人已经死亡的,其近亲属为了自身合法、正当的利益,可以对死者的个人信息行使查阅复制权,除死者生前另有安排。
查阅复制权的义务主体是个人信息处理者,即在个人信息处理活动中自主决定处理目的、处理方式的组织、个人。
两个以上的个人信息处理者共同决定个人信息的处理目的和处理方式的,个人可以向其中任何一个个人信息处理者行使查阅复制权,信息处理者内部对各自的权利和义务的约定不得对抗信息主体。
3.查阅复制权的内容
个人向个人信息处理者请求查阅其个人信息,就是请求个人信息处理者将其个人信息挑选出来并加以阅读。
这就要求信息处理者应当把个人信息以一种可供个人阅读的方式呈现出来,《个人信息保护法》第17条要求在个人向个人信息处理者要求查阅其个人信息时,个人信息处理者应当以清晰易懂的语言、真实、准确、完整地向个人提供相关个人信息,而不能隐瞒或遗漏。
个人信息处理者为个人提供其所要求复制的个人信息副本时,可以采取纸质形式也可以采取电子形式。
实践中,个人信息处理者通常会将个人信息副本发送到个人的电子邮箱或者为个人提供相应的下载方式。
4.查阅复制权的排除
法律规定信息处理者不得对信息主体进行告知时,信息主体当然不享有查阅复制其个人信息的权利,否则将会与立法精神相违背。
《个人信息保护法》规定了个人不得行使查阅复制权的两种情形:
其一,法律、行政法规规定应当保密或者不需要告知的情形。
其二,国家机关为履行法定职责处理个人信息,如果告知将妨碍国家机关履行法定职责的,不得告知。
此时,信息主体不得对其个人信息进行查阅或复制,否则将会有损于国家利益或社会利益。
(二)个人信息的更正
“更正权”是指自然人发现个人信息有错误的,有权提出异议并请求及时采取更正等必要措施的权利。
《
网络安全法》第43条也规定,个人发现网络运营者收集、存储的其个人信息有错误的,有权要求网络运营者予以更正,网络运营者应当采取措施予以更正。
《个人信息保护法》将更正权的适用情形由个人信息“错误”变更为个人信息“不准确”,并且增加了个人信息补充权,是对《民法典》第1037条的进一步完善。
1.立法目的
个人信息在收集后要进行处理,如存储、使用、加工、传输、共享等,因此一旦个人信息错误而不能及时更正,就会对自然人产生不利的影响,如基于此种错误的个人信息进行信用评价包括自动化决策,会对自然人的民事权益造成损害。
故此,法律上允许自然人在发现个人信息有错误后予以更正。
2.更正权的要件
个人只能对其个人信息请求更正,这意味着:一方面,个人信息处理者所处理的个人信息必须是合法的,即要么取得个人同意,要么存在其他的合法根据。
另一方面,依据《个人信息保护法》第46条规定,个人只能在发现“其个人信息”不准确或者不完整时,才可以请求个人信息处理者更正。
3.处理者的核实与及时更正、补充义务
信息处理者在收到自然人的更正请求后,应当对个人信息予以核实,并及时更正和补充。自然人在行使更正权时,应当提供相应的证据证明个人信息确实存在错误,否则信息处理者难以进行更正。
我国立法并未规定信息处理者更正、补充个人信息的时间,但从保护个人信息权益的角度,个人信息处理者应当尽量缩短信息更正、补充的时间,以减少对个人信息权益的不利影响。
(三)个人信息的删除
本条第2款规定了自然人主张删除其个人信息的条件,在当事人了解信息收集和使用的基本状况之后,就可以判断信息处理活动是否符合法律规定以及是否符合双方的约定。
例如,信息持有者未经个人同意收集、处理个人信息,或是持有的信息储存期限依法已经届满,又比如根据收集或者使用的特定目的,信息持有人持有信息已经没有必要等。
依据本条第2款规定,自然人发现信息控制者违反法律、行政法规的规定或者双方的约定收集、处理其个人信息的,有权请求信息控制者及时删除。
1.立法目的
大数据时代,个人信息面临着被长期记录及过度挖掘的风险。大量无法删除的信息将对信息主体的社会评价造成严重影响,甚至会对其行为造成不当限制。
赋予信息主体请求删除其个人信息的权利可以明确个人信息权益的内涵,从而增加个人信息侵权的救济途径;可以加强其对个人信息的控制,并降低个人信息被过度挖掘利用的风险。
2.删除权的主体
依据《个人信息保护法》第47条规定,当存在需要删除个人信息的情形时,首先应当由个人信息处理者主动删除个人信息。如果信息处理者因为合并、分立等原因导致个人信息发生转移的,则接收方应当承担主动删除的义务;如果处理者将个人信息提供给第三方的,那么提供方与接收方都应当承担删除义务。
3.删除权的适用范围
《民法典人格权编(草案)》曾规定了信息主体享有删除权的五种情形:
(1)存在非法收集、使用信息的行为;
(2)持有侵害自然人合法权益的信息;
(3)持有的信息储存期限依法已经届满;
(4)根据收集或者使用的特定目的,信息持有人持有信息已经没有必要;
(5)其他没有正当理由继续持有信息的情形。
但《民法典》并未予以采纳,为后续立法预留了一定的空间。
《个人信息保护法》对信息主体享有删除权的具体情形进行了细化,其第47条规定了五种情形:
(1)处理目的已实现、无法实现或者为实现处理目的不再必要;
(2)个人信息处理者停止提供产品或者服务,或者保存期限已届满;
(3)个人撤回同意;
(4)个人信息处理者违反法律、行政法规或者违反约定处理个人信息;
(5)法律、行政法规规定的其他情形。
满足该情形之一的,信息主体就有权请求处理者删除其个人信息。
4.删除权的限制
根据《个人信息保护法》第47条第2款规定,法律、行政法规规定的保存期限未届满,或者删除个人信息从技术上难以实现的,处理者不负有删除义务。
比如,如果删除信息所造成的损害过高,可以允许信息处理者采取屏蔽等其他措施,但是要保证在屏蔽阶段不再对个人信息进行任何其他处理行为。待删除的技术条件更加成熟时,再予以彻底删除。
法律、行政法规规定的保存期限未届满时,处理者可以继续存储该信息,例如《
证券法》第137条规定证券公司对于客户的部分重要个人信息应当保存至少二十年。
一些极端情况下,删除个人信息也可能遇到不可逾越的技术障碍。如法谚所云“法不强人所难”,此时不能为处理者施加删除义务。
需要注意,虽然处理者无需删除个人信息,但是其应当立即停止除存储和采取必要的安全保护措施之外的处理。
5.删除权与被遗忘权的关系
本条所规定的删除权与被遗忘权存在交叉重合,同时也存在较大差异。被遗忘权产生之初就是针对互联网引擎,其与删除权的常见适用情形并不一致。
第一,行使要件不同。被遗忘权法律效果的发生需要同时满足客观要件和主观要件,需要权利人主动行使;删除权无需权利人主动行使,只要满足相应条件处理者就应予删除。
第二,行使对象不同。删除权仅限于义务人自己删除,而不涉及通知其他处理者进行删除;信息主体行使被遗忘权时不仅有权要求某些信息处理者删除相关的个人信息,还有权要求信息处理者采取必要措施要求其他处理者删除此类信息。
第三,适用的例外情形不同。
GDPR所规定的被遗忘权预留了利益衡量的空间,法院可根据双方之间的利益权重作出裁判;我国所规定的删除权似乎并未直接体现利益衡量,只要符合相应情形的,就应当予以删除。
实质上,域外学理上的被遗忘权概念并未被GDPR完全地继受,如何定义被遗忘权构成理解删除权与被遗忘权间关系的基础。在我国法语境下,可以将删除权视为一种本土化的被遗忘权,而不应将域外的被遗忘权理论来作为我国司法裁判的直接依据。
就信息主体请求及时删除这一权利的保护,要严格按照本款规定来适用,符合本款规定的,依法予以适用,既充分保护当事人的个人信息,也要避免此规则的滥用。
适用指引
一、行使本条所规定的权利是否以权益受侵害为要件
有观点认为,如果允许信息主体任意向处理者请求查阅复制其个人信息,会对信息处理者的正常处理活动造成干扰,只有在能够证明自己具有正当利益的前提下,才能行使查阅复制权。
我们认为,查阅复制权是个人在个人信息处理活动中的重要权利,我国《个人信息保护法》并未对其行使设置要件,个人只需要能够证明自己属于信息主体即可。关于更正权及删除权的行使,本条规定了一定的条件,比如只有“信息有错误的”个人才能主张更正。
此外,还需要结合《个人信息保护法》第45条、第46条及第47条的规定来认定权利行使的具体要件。
二、查阅、复制时的收费问题
因实际情况千差万别,《个人信息保护法》并未对此作出明确规定。
首先,信息处理者的类型很多,既包括国家机关、事业单位等,也包括公司企业,查阅复制的成本各不相同,导致具体的收费标准难以确定。
其次,对于符合条件的个人在行使查阅复制权等个人在个人信息处理活动中的权利收取费用,容易对个人行使权利造成妨碍,不利于保护个人信息权益。
最后,经实践考察,现行绝大多数处理者在配合个人查阅、复制权的行使时均未收取费用。随着科技的发展,查阅复制个人信息的成本越来越低,甚至忽略不计。
因此,我们认为处理者原则上不得收取费用。实践中,确有信息处理者在个人信息政策中约定,当个人滥用权利或过度频繁行使权利,处理者将收取一定成本费用的,基于诚信原则的考量,应对该类条款予以尊重。此外,如果法律另有规定的,应依照其规定。
例如,《征信业管理条例》第17条规定,信息主体有权每年两次免费获取本人信用报告。如果超出两次的,则可能需要按照相关规定支付一定费用。
三、权利的行使问题
《民法典》对上述权利的具体行使方式未予明确。《个人信息保护法》起草时曾有观点认为不应允许个人因行使查阅权、复制权、删除权等权利被拒绝而向法院提起诉讼,否则会使案件激增,大幅增加人民法院的工作量。
但是,如果立法赋予了信息主体某项权利,却不能通过诉讼的方式来救济,该权利就很难得以实现。因此,《个人信息保护法》第50条明确了个人可以依法向人民法院提起诉讼。
有疑问的是,向信息处理者主张权利是否为提起诉讼的前置要件?
我们认为,向法院提起诉讼的前提是权利受到侵害,而查阅权、复制权等程序性权利受到侵害的具体表现为“行使权利但被拒绝”。以诉讼的方式行使查阅权、复制权、删除权等权利时,应当以信息主体向处理者主张过权利为前提。
信息处理者愿意配合信息主体的权利行使时,不向处理者主张权利而直接向法院提起诉讼的,会产生司法资源的浪费。当然,如果处理者并未提供权利行使的申请受理途径或提供的途径不便捷时,信息主体可以直接向法院提起诉讼。
