【条文主旨】
本条是关于个人对其个人信息处理的知情权、决定权的规定。
【条文理解】
《个人信息保护法》第四章对个人在个人信息处理活动中享有的权利作了较为全面、详细的规定。具体包括知情权,决定权,查阅、复制权,更正、补充权,删除权,要求解释说明权等。本条具体规定个人在个人信息处理活动中享有的知情权、决定权,有权限制或者拒绝他人对其个人信息进行处理。
一、知情权
知情权是指知悉、获取信息的自由和权利。知情权内涵十分广泛,按照义务主体和内容的不同,可以分为知政权、社会知情权、公众知情权等。[1]我国《
消费者权益保护法》第8条、《
电子商务法》第17条等法律规定的消费者知情权即是一种具体的知情权。随着公民个人信息保护需求的不断增强,个人信息知情权成为知情权的一个重要内容。所谓个人信息知情权,实质个人在其个人信息处理中享有知悉和获取有关情况的权利,包括有权知道其个人信息被何人所处理,该处理者基于何种目的处理其个人信息、以何种方式处理其个人信息、处理的是哪些个人信息等相关信息。
个人信息知情权也具有知情权的基本特征:
1.权利人和相对人的地位不相称。在个人信息处理法律关系中,信息处理者往往处于优势地位,因而需要法律对权利人予以倾斜保护。因此,法律往往对个人信息处理者的相应义务作出十分详尽具体的规定,以保障权利人知情权的实现。我国的《个人信息保护法》也鲜明地体现了这一点。除了在第五章专门规定个人信息处理者的义务外,其第二章关于个人信息处理规则的规定,有相当数量的条文也直接规定了信息处理者的义务。具体到个人信息知情权保障方面,《个人信息保护法》第17条、第18条、第23条、第24条、第30条、第39条等条文,实际上都是在规定个人信息处理者的保障权利人知情权的义务。以第17条为例,其从三个层面来设置信息处理者的告知义务,以保护权利人享有充分知情权。一是告知的方式,即必须以显著方式、清晰易懂的语言告知。二是告知的要求,即必须真实、准确、完整。三是告知的范围,包括个人信息处理者的名称或者姓名和联系方式,个人信息的处理目的、处理方式,处理的个人信息种类、保存期限,个人行使本法规定权利的方式和程序,法律、行政法规规定应当告知的其他事项。可见,《个人信息保护法》规定个人信息知情权更多起到一种宣示和指引作用,其侧重点在于通过规定个人信息处理规则的方式明确个人信息处理者的告知义务,以保障个人的知情权。因此,个人信息处理者应当严格按照《个人信息保护法》第17条等规定履行告知义务,当其不履行义务时,权利人也可以根据本条规定以及第17条等相关规定向个人信息处理者主张权利。
2.知情权实质上是一种请求权,权利的实现需要得到对方的配合。易言之,权利人有权请求个人信息处理者告知信息处理的目的、范围、方式、信息处理者的基本信息等事项。《个人信息保护法》对权利人有权要求告知的事项作出了详细的规定。其中第17条规定了个人信息处理者在处理个人信息前应当告知的事项,包括个人信息处理者的名称或者姓名和联系方式,个人信息的处理目的、处理方式,处理的个人信息种类、保存期限,个人行使本法规定权利的方式和程序,法律、行政法规规定应当告知的其他事项。该法第18条第2款规定:紧急情况下为保护自然人的生命健康和财产安全无法及时向个人告知的,个人信息处理者应当在紧急情况消除后及时告知。该法第23条规定:个人信息处理者向其他个人信息处理者提供其处理的个人信息的,应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意。该法第30条规定:个人信息处理者处理敏感个人信息的,除第17条第1款规定的事项外,还应当向个人告知处理敏感个人信息的必要性以及对个人权益的影响。该法第39条规定:个人信息处理者向中华人民共和国境外提供个人信息的,应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项,并取得个人的单独同意。个人信息处理者不履行上述告知义务的,权利人有权请求其告知。
二、决定权
个人信息处理的决定权,是指个人享有的自主决定是否处理、如何处理以及由谁来处理个人信息的权利。除非法律、行政法规另有规定,个人既可以同意他人对其个人信息进行相应的处理,也可以限制或者拒绝他人对其个人信息进行处理。[3]个人信息处理的决定权包括以下内容:
1.同意或者拒绝的权利。决定权在个人信息保护中的突出表现就是个人的同意权。这一权利主要表现为:首先,个人信息处理者在处理个人信息前必须告知该个人并取得其同意。因此,除非法律、行政法规另有规定,任何信息处理者,无论是国家机关还是非国家机关,如果未取得个人的同意,均不得擅自处理其个人信息。其次,个人信息处理者必须在个人同意的处理目的、处理方式、个人信息种类等限度范围内从事处理活动。个人信息处理者变更原先取得同意的处理目的、方式等的,应当重新告知并取得同意。依照法律、行政法规的规定个人不得拒绝的,如果信息处理者要在法定目的以外使用,也必须取得个人的单独同意。再次,个人信息处理者将个人信息提供给其他处理者、向境外提供个人信息或者公开其处理的个人信息的,应当取得个人的单独同意。最后,个人有权任意撤回其同意,并且无须作出任何解释或者说明。撤回可以是全部撤回也可以是部分撤回。个人撤回其同意的,个人信息处理者在撤回的范围内即不得处理相应个人信息,并且应当删除相应个人信息。依照《个人信息保护法》第15条的规定,个人信息处理者应当提供便捷的撤回同意的方式。
决定权在个人信息保护中的还表现为个人的拒绝权。个人有权拒绝他人处理其个人信息,这是个人对其信息处理享有的自由权利的本质体现。如果只能同意不能拒绝,个人自由也就无从谈起。在实践中,保障个人的拒绝权,最重要的方面是要禁止强迫同意。因此,《个人信息保护法》第16条规定,个人信息处理者不得以个人不同意其处理个人信息或者撤回同意为由,拒绝提供产品或者服务。个人信息处理者以这种方式获得同意的,构成《
民法典》第150条规定的胁迫。当然,这一规则也有例外情形,即个人信息是提供产品或者服务所必需的。具体包括两种情形:一是依照法律、行政法规的规定提供个人信息后才能提供商品或者服务的。例如网络游戏等需要实名登记验证个人信息才能提供服务。二是根据产品或者服务的性质必须提供个人信息的。
2.限制的权利。即个人有权限制信息处理者对其个人信息的处理活动。一些域外法例就个人有权限制个人信息处理活动作了具体规定。例如,GDPR第18条第1款规定了数据主体行使限制处理权的四种情形:一是数据主体质疑个人数据的准确性,且允许控制者在一定期限内核实个人数据的准确性;二是该处理是非法的,并且数据主体反对删除该个人数据,要求限制使用该个人数据;三是控制者基于数据处理目的不再需要个人数据,但数据主体为法定请求权的确立、行使和抗辩而需要个人数据;四是数据主体根据GDPR第21第1款的规定反对数据处理,希望确认控制者的法律依据是否优先于数据主体的法律依据。[4]我国《个人信息保护法》未明确列举个人行使限制权的具体情形。在具体理解时可以从以下角度考虑:一是与同意权的行使结合起来。即在同意个人信息处理的同时,对处理的目的、方式、种类等进行限制。本质上属于部分同意,或者有选择地同意。二是《个人信息保护法》明确规定了处理者的限制义务的,个人当然也有权行使限制权。例如,《个人信息保护法》第47条第2款规定,法律、行政法规规定的保存期限未届满,或者删除个人信息从技术上难以实现的,个人信息处理者应当停止除存储和采取必要的安全保护措施之外的处理。处理者未采取相应措施的,个人有权请求处理者进行限制。三是个人与信息处理者发生法律争议时,个人有权采取临时性的限制措施。
三、除外情形
理解本条规定,还要特别注意法律和行政法规规定的除外情形。换言之,法律、行政法规有权对个人在信息处理活动中的知情权和决定权进行限制。主要包括两种情形:一是法律、行政法规规定不需要告知个人或者虽然需要告知但无须取得个人同意的情形。具体类型包括法律明确规定不需要取得同意的(如《个人信息保护法》第13条第1款第2~7项规定的情形),依照法律、行政法规的规定应当保密或者不需要告知的情形或者告知将妨碍国家机关依法履行法定职责的情形(如《个人信息保护法》第18条第1款、第35条规定等),属于在合理范围内处理已公开的个人信息的情形(《个人信息保护法》第27条)等。二是法律、行政法规规定个人不得限制或者拒绝他人对其个人信息处理的情形。具体包括法律、行政法规规定个人应当提供个人信息的情形,以及法律、行政法规规定特定主体有权提取个人信息而个人不得拒绝的情形等。前者如前述的依照法律、行政法规的规定提供个人信息后才能提供商品或者服务的情形,后者如《
刑事诉讼法》第132条第1款规定的侦查机关有权提取指纹信息、采集尿液、血液等生物样本。
保障个人信息处理的知情权和决定权,也是国际上的通行做法。《美国公平信用报告法》规定了消费者的知情权,即消费者有权知道上一年度谁在申请查看自己的信用报告,以及过去两年内与就业有关的信用报告被查询情况。如果信用报告被用来作出对信用主体不利的决定,消费者也有权知悉。如果有公司根据该信用报告作出了对该消费者不利的决定,如拒绝提供贷款等,那么该公司必须提供该信用报告的机构名称、地址和联系方式。GDPR规定了数据主体在数据处理活动中拥有的权利,包括访问和知情权、更正权、拒绝权、限制处理权(前文已述及)、删除权、数据可携权、自主决定权、救济权等。其中有关访问和知情权规定的内容包括:数据主体有权访问其数据并获得副本、了解数据控制者的身份,处理的数据种类、处理目的、处理依据以及不提供数据的负面影响、数据来源和处理过程、处理期限、享有的权利、数据是否用于自动化决策及决策逻辑、数据是否与第三方共享信息。有关拒绝权规定的主要内容是数据主体有权拒绝数据控制者处理其个人数据,特别是以直接营销为目的的处理活动。有关自主决定权规定的主要内容是在涉及数据主体重要权利义务的事项中,数据主体有权干预或质疑数据控制者使用的自动化评估和决策程序,并不受相关结果的约束。《日本个人信息保护法》规定个人信息的当事人享有以下权利:(1)要求个人信息处理者通知使用目的;(2)查阅、复制(含电子方式)个人数据及转让记录;(3)在个人数据不属实时,要求更正、补充或者删除;(4)个人信息处理者未经本人同意,超出使用目的、以非法手段取得个人数据,或者未经本人同意取得敏感个人信息的,有权要求停止利用或者删除有关信息;(5)个人信息处理者未经本人同意向国内或者国外第三人提供个人数据的,有权要求停止提供;(6)个人信息处理者再无使用该个人数据的必要,或者个人数据存在较大的泄露、灭失、毁损风险,可能侵害本人权利或者正当利益的,可以要求停止利用或者停止向第三人提供个人数据。
【条文适用】
对于本条的适用,要重点注意以下几个问题:
一是决定权不等于选择权。在《个人信息保护法》征求意见过程中,有不少意见主张删除决定权,或者将决定权修改为选择权,立法者没有采纳这一观点。我们认为立法机关的立场十分正确,有利于对个人信息的充分保护。一方面,知情权和决定权是相互依存、不可偏废的关系。知情权是决定权的前提和基础,没有充分知情的保障,个人难以实质行使其决定权;决定权是个人对其个人信息所享有的支配性利益的本质体现,光有知情权没有决定权,个人信息保护也就无从谈起。因此,删除决定权将导致知情权失去了应有的意义。另一方面,改为选择权将显著弱化个人信息保护的力度。因为选择权的范围显然小于决定权。选择权意味着只有同意或者不同意两种选择,排除了个人的限制或者拒绝权。这样不仅显著缩小了个人的权利范围,而且也与前述的国际通行做法背道而驰。因此,在适用时绝不能把决定权理解为选择权,否则将背离立法本意。
二是个人信息知情权、决定权的私法保护问题。学术上有一种观点反对个人信息的民法保护,认为个人信息的民法保护会造成很大的弊端,造成信息无法自由流动,使每个人成为一座孤岛而无法进行正常的社会交往。[5]《民法典》颁布后有关争议当可终止。完善的个人信息保护既要通过民法赋予个人以信息保护的请求权基础,也要立足公法规范进行个人信息处理的风险规制。我国的《个人信息保护法》实际上很好地体现了这一点。其第四章规定的个人在个人信息处理活动中的权利与第五章规定的个人信息处理者的义务在内容上并不存在直接的对应关系。实际上第五章规定的个人信息处理者的义务主要是指信息处理者作为行政相对人在行政管理法律关系中的义务。第四章规定的个人在个人信息处理活动中的权利所对应的信息处理者应当负有的义务主要是在第二章、第三章有关个人信息处理规则的规定中体现。第二章、第三章、第四章的有关权利义务关系的规定与《民法典》第1034第至第1039条的规定相互结合,形成了较为完整的个人信息私法保护规则体系。
