【条文主旨】
本条是关于个人在个人信息处理中享有的查阅、复制权与可携带权的规定。
【条文理解】
一、查阅复制权
(一)规定查阅复制权的理由
《个人信息保护法》第45条第1款规定了个人享有查阅、复制其个人信息的权利,简称“查阅复制权”。对此种权利,比较法上皆有规定。GDPR第15条称之为“数据主体的访问权(Right?of?access?by?the?data?subject)”,《韩国个人信息保护法》第35条规定的“个人信息的取得”,我国台湾地区“个人资料保护法”第3条第1项、第2项规定了当事人就其个人资料有权“查询或请求阅览”与“请求制给复制本。”在我国《个人信息保护法》颁布前,我国《
民法典》第1037条第1款规定了自然人针对信息处理者享有依法查阅或者复制其个人信息的权利。
个人查阅、复制其个人信息的权利是维护自然人的个人信息权益的重要手段。一方面,依据《个人信息保护法》第7条规定,处理个人信息应当遵循公开、透明的原则,公开个人信息处理规则,明示处理的目的、方式和范围。同时,依据《个人信息保护法》第44条规定,个人对其个人信息的处理享有知情权和决定权。如果个人不能向个人信息处理者查阅、复制其个人信息,那么个人信息处理就不可能公开透明,个人也无法针对其个人信息的处理享有知情权。因为个人根本就不知道其个人信息是否被处理,被何人处理以及处理方式、处理的个人信息种类究竟如何。在这种情况下,个人实质上就丧失了对其个人信息的处理的决定权,个人信息权益就无法得到保障。另一方面,如果个人针对个人信息处理者不享有查阅、复制其个人信息的权利,个人也无法知悉其被处理的个人信息是否准确、完整,自然也无法行使《个人信息保护法》第46条以及《民法典》第1037条第1款的规定提出异议并请求处理者及时采取更正、补充等必要措施的权利。由此可见,法律上有必要赋予自然人以查阅和复制个人信息的权利,以确保自然人对其个人信息的知情权和保持应有的控制,避免因为非法收集、处理而致其人身财产权益遭受侵害。
(二)查阅复制权的主体
《个人信息保护法》第45条规定的查阅复制权的权利主体是个人,即其个人信息被处理的自然人。查阅复制权并非具有人身专属性的权利,故此,个人有权自行行使查阅复制权,也有权委托他人代为行使该权利。如果自然人已经死亡的,其近亲属为了自身的合法、正当利益,可以对死者的个人信息行使查阅复制权,除非死者生前另有安排。
查阅复制权的义务主体是个人信息处理者,即自主决定个人信息的处理目的和处理方式的组织、个人。当然,个人只能针对处理了其个人信息的处理者行使查阅、复制其个人信息的权利,而不能针对没有处理其个人信息的处理者行使该权利。如果处理者是共同处理者,即两个以上的个人信息处理者共同决定个人信息处理目的与处理方式的,个人可以向任何一个个人信息处理者要求行使查阅复制其个人信息的权利,共同处理者内部的约定(如约定仅由某个个人信息处理者来接受个人查阅复制的要求的),对于个人行使查阅复制权,不发生影响。如果个人信息处理者因为合并、分立、被宣告破产等原因导致了个人信息转移的,则应当向个人告知接收方的名称或姓名、联系方式,以便个人向接收方行使查阅复制权;如果处理者向其他处理者提供其处理的个人信息或者向境外提供个人信息的,那么也应当告知个人接收方的名称或姓名、联系方式等,尤其是在向境外提供个人信息的情形中,必须将个人向境外接收方行使《个人信息保护法》规定的权利的方式加以告知。
(三)查阅复制权的客体
依据《个人信息保护法》第45条第1款规定,个人针对个人信息处理者请求查阅、复制的是其个人信息。所谓“其个人信息”,不能狭隘地理解为就是个人被个人信息处理者所处理的个人信息本身,而应当广义地理解为“个人信息处理事项”,即个人信息处理的相关情况。例如,依据GDPR第15条第1款的规定,数据主体有权从控制者处确认其个人数据是否正在被处理,以及有权在该种情况下访问个人数据和以下信息:(1)处理的目的;(2)个人数据的种类;(3)个人数据已经或者将要向其披露的个人数据的接收者的种类,特别是在第三国或者国际组织的接收者;(4)若可能提供,预计的个人数据存储期限;若无法提供,用于确定该期限的标准;(5)向控制者要求修改、删除、限制处理或拒绝处理的权利;(6)向监管机构投诉的权利;(7)在个人数据并非从数据主体收集的情况下,可得到的关于其来源的任何信息。(8)GDPR第22条第1款以及第4款所述的自动决策机制,包括数据画像及有关的逻辑程序和有意义的信息,以及此类处理对数据主体的意义和预期影响。
我国推荐性国家标准《信息安全技术个人信息安全规范》(GB/T?35273—2020)第8.1条将查阅的内容规定为:个人信息控制所持有的个人信息或者个人信息的类型;上述个人信息的来源、所用于的目的;已经获得上述个人信息的第三人身份或类型。我们认为,这个范围稍显狭窄。在我国法律规定中,个人向个人信息处理者查阅、复制的其个人信息大致应当包括:个人信息是否正在被处理;个人信息处理者的身份和联系方式;个人信息的处理目的、处理方式、处理的个人信息的种类;被处理的全部个人信息(无论是否属于已公开的);处理已公开的个人信息的则包括个人信息的来源;个人信息的保存期限;个人行使《个人信息保护法》规定权利的方式和程序等。
(四)查阅复制权的内容
所谓查阅,就是指(把书刊、文件等)找出来阅读有关的部分。[1]个人向个人信息处理者请求查阅其个人信息,就是指个人请求个人信息处理者将其个人信息找出来并加以阅读。既然要能够让个人阅读,显然个人信息处理者提供给个人的个人信息也必须是以自然人能够阅读的形式呈现,而不能以个人无法阅读的二进制代码的方式提供。《个人信息保护法》第17条要求个人信息处理者在处理个人信息前,应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知相关处理事项。同样,在个人向个人信息处理者要求查阅其个人信息时,个人信息处理者也应当以清晰易懂的语言真实、准确、完整地向个人提供相关个人信息,而不能隐瞒或者遗漏。
所谓复制,就是要求个人信息处理者为个人提供所要求复制的其个人信息的副本,此种副本的形式应当是书面形式的,包括纸介质的或者电子介质的。至于传送方式,可以由个人信息处理者发送到个人的电子邮箱或者由个人信息处理者为个人提供相应的下载方式。
(五)查阅复制权的行使
《个人信息保护法》第45条并未就个人向个人信息处理者提出查阅或者复制其个人信息的具体程序问题作出规定,这主要是考虑到个人信息处理者的类型不同,既有国家机关,也有非国家机关,个人要求查阅复制的个人信息也不相同。法律无法作出更细致的规定,不如交给个人信息处理者自行决定或与个人进行约定更妥。从《个人信息保护法》第17条第1款第3项的规定来看,个人信息处理者可以就个人行使查阅复制权等权利的方式和程序作出规定,也可以与个人进行约定。当然,无论是个人信息处理者自行制定的权利行使方式和程序,还是与个人的约定,都不得违反法律、行政法规的强制性规定,也不得存在排除个人在个人信息处理活动中的权利的格式条款,否则此等约定或条款都是无效的。例如,个人信息处理者在处理规则中要求个人放弃查阅复制的权利,那么这种条款属于《民法典》第497条第3项规定的“提供格式条款一方排除对方主要权利”的情形,是无效的。
(六)查阅复制权的排除
从比较法上来看,各个国家或地区的数据保护法或个人信息保护法都规定了个人不得行使查阅复制权的例外情形。例如,根据《韩国个人信息保护法》第35条第4款规定,有下列情形之一时,可以将该事由告知信息主体并限制或拒绝其查阅:(1)法律规定禁止或限制查阅的;(2)可能侵害他人的生命和身体,或者不当侵犯他人财产或其他利益的;(3)公共机构在执行下列任务时,会给执行任务带来重大阻碍的:①税收或退税等相关业务;②《小学、初中
教育法》及《
高等教育法》规定的各级学校,《终身教育法》规定的终身教育机构,以及除此之外其他法律规定的高等教育机构中有关成绩评价或入学选拔等业务;③学历、技能及聘用相关的考试,资格审查等业务;④正在进行的补偿金、抚恤金等计算评估或判断的业务;⑤依法进行的监察或调查业务。再如,根据我国台湾地区“个人资料保护法”第10条规定,公务机关或非公务机关应依当事人之请求,就其搜集之个人资料,答复查询、提供阅览或制给复制本。但有下列情形之一者,不在此限:(1)妨害国家安全、外交及军事机密、整体经济利益或其他国家重大利益。(2)妨害公务机关执行法定职务。(3)妨害该搜集机关或第三人之重大利益。
我国《个人信息保护法》第45条第1款规定了个人不得行使查阅复制权的两类情形:其一,《个人信息保护法》第18条第1款规定的法律、行政法规规定应当保密或者不需要告知的情形。例如,国家安全机关在反间谍工作中采取技术侦察措施而获取的有关个人信息,依据《
保守国家秘密法》应当保密的。如果法律、行政法规规定应当保密的,那么既不能告知个人,个人也不得行使查阅复制权。至于不需要告知的情形,即个人已经知道了个人信息处理的相关事项的,允许个人查阅复制也是毫无必要的,徒增处理者的负担。其二,《个人信息保护法》第35条规定的情形,即国家机关为履行法定职责处理个人信息,如果告知将妨碍国家机关履行法定职责的,不得告知。显然,这种情形下,不得告知,就不得查阅复制,否则同样会妨碍国家机关履行法定职责。
(七)侵害查阅复制权的救济
如果在个人向个人信息处理者请求查阅复制其个人信息时,个人信息处理者无正当理由就拒绝该请求,此时,个人能否向法院提起诉讼,获得司法救济?[2]对此,存在不同的看法。有观点曾认为,如果仅仅是为了查询复制个人信息而被个人信息处理者所拒绝,个人就可以到法院起诉,那么会出现滥诉,造成诉讼爆炸,给法院增加很多工作量。况且,查询复制权无法行使也不会给信息主体造成什么损失,因此,不应赋予个人以诉权。即便可以因此向法院起诉,也有必要给查阅复制权的司法救济设立前置程序。例如,个人可以先向履行个人信息保护职责的部门进行投诉,只有在投诉无果的情况下,才能向法院起诉。
本书不赞同上述观点。“没有救济就没有权利”,既然《个人信息保护法》《民法典》已经明确赋予了个人查阅复制其个人信息的权利,那么当该权利受到侵害时,权利人当然可以获得司法救济,请求法院保护权利。对此,我国《个人信息保护法》第50条第2款作出了明确的规定,即个人信息处理者拒绝个人行使权利的请求的,个人可以依法向人民法院提起诉讼。
二、可携带权
(一)规定可携带权的理由
可携带权,也称“个人信息可携带权”或“数据可携带权”(Right?to?Data?Portability),它是由GDPR第20条首次规定的一种新型的数据主体权利,是指自然人对于其同意数据控制者所处理的数据化形式承载的个人信息即个人数据,有权要求该控制者提供结构化的、通用的、机器可读的、能共同操作的以格式形式加以提供的权利,自然人可以将此等个人数据转移给其他的控制者。例如,张三在A医院治疗,该医院收集了张三的医疗健康等个人信息,此后,张三前往B医院看病,张三有权要求数据控制者A医院将其个人信息转移给新的数据控制者B医院。依据GDPR第20条规定,数据可携带权需要满足三个条件:其一,可携带权指向的数据是个人数据,如果是无法识别数据主体的数据,不适用可携带权。其二,个人数据必须是在取得数据主体同意的基础上由数据主体提供的或者因为处理个人数据是履行数据主体作为一方当事人的合同所必需的。如果处理不是基于合同或者个人的同意,而是从其他数据控制者处获取的,或者是数据控制者为了公共利益目的或行使公权力所必需而处理的数据,都不适用可携带权。其三,对个人数据采取的是自动化处理的方式进行的。也就是说,是通过数据处理系统对个人数据进行处理的,如果是非自动化处理的,数据可携带权也不适用。GDPR确立数据可携带权的目的,在于强化数据主体对通过自动化手段进行数据处理的数据的控制,使得数据主体可以便捷地将其个人数据从一个控制者传输给另一个控制者。[3]该权利赋予了数据主体更大的经济上的灵活性,并因此赋权消费者(Consumer?Empowerment),使之有能力轻松地从一个IT环境复制或传输个人数据到另一个IT环境。[4]此外,数据可携带权也可以形成服务者之间为争取客户而展开的竞争,推动隐私友好型技术和互操作式数据格式(interoperable?data?formats)的发展。
我国理论界就是否规定数据可携带权,存在两种观点。一种观点认为,我国法律上不应当赋予自然人以数据可携带权。首先,规定数据可携带权不仅会极大地增加企业的经营成本,技术实现上存在很大的难度,而且也会导致企业的竞争优势丧失,毕竟个人信息是网络企业取得竞争优势的很重要的资产。而且,规定数据可携带权还将导致各个企业之间以此为工具抢夺数据,存在不正当竞争风险。[6]其次,数据携带权的确立,很可能导致数据企业拥有的个人数据被其他数据企业免费获得,这明显会抑制数据企业继续投入资金、技术于收集、储存个人数据的意愿,从而不利于我国大数据产业的发展。再次,数据可携带权使更多数据控制者拥有获取数据主体个人数据的机会,这给许多黑客盗取个人数据大开方便之门。因此,数据携带权不是增强了个人对个人数据的控制,而是弱化了其对个人数据的控制,增加其个人数据和个人隐私暴露的风险。[7]最后,个人信息并非是单个个人的,而会涉及多人,如电子邮件等,承认数据可携带权可能会侵害他人的隐私、通信秘密和企业的商业秘密等。另一种观点认为,应当承认个人数据的可携带权。首先,赋予个人自由获取和转移个人信息的权利,增强个人对其个人信息的控制权,体现了自然人对其个人信息或个人数据的支配性,是个人信息权益的重要组成部分。其次,规定数据可携带权,可以打破个人信息或个人数据领域的垄断,防止大型网络企业扼杀新型的网络企业的发展,为激励行业竞争和技术创新提供了良好的环境。[8]目前,我国司法实践中已经出现了涉及该问题的案件,例如,在腾讯和抖音就用户头像和昵称的归属所发生的争议中,就涉及作为用户的个人是否享有个人数据可携带权的问题。[9]因此,有必要在法律上规定数据可携带权。
在我国《个人信息保护法》的起草过程中,有的常委委员和社会公众、部门、专家提出,为方便个人获取并转移其个人信息,建议借鉴有关国家和地区的做法,增加个人信息可携带权的规定。全国人民代表大会
宪法和法律委员会经研究,建议增加规定:个人请求将其个人信息转移至其指定的个人信息处理者,符合国家网信部门规定条件的,个人信息处理者应当提供转移的途径。[10]最终,《个人信息保护法》第45条第3款对个人信息的可携带权作出了规定:“个人请求将个人信息转移至其指定的个人信息处理者,符合国家网信部门规定条件的,个人信息处理者应当提供转移的途径。”
我们认为,规定个人信息可携带权是非常有必要的。最根本的理由就在于,通过规定个人信息可携带权可以很好地预防和制止平台经济领域尤其是社交网络平台内的垄断行为,保护市场公平竞争,促进平台经济规范有序创新健康发展,维护消费者利益和社会公共利益。我国数字经济发展至今,一些大型的网络企业利用其先发优势确立的市场地位,掌握着巨量的个人信息和数据,从而牢牢地控制市场,实行垄断行为,同时,利用一切手段阻止与扼杀其他企业在该领域的创新和竞争。长此以往,对于我国数字经济的健康发展,广大人民群众的合法权益以及社会公共利益的维护都是不利的。正因如此,进入2021年以来,我国政府在平台反垄断领域采取了一系列的举措。2021年2月7日,国务院反垄断委员会制定发布了《国务院反垄断委员会关于平台经济领域的反垄断指南》,该指南强调《
反垄断法》及配套法规规章适用于所有行业,对各类市场主体一视同仁、公平公正对待,旨在预防和制止平台经济领域垄断行为,促进平台经济规范有序创新健康发展。2021年4月10日,国家市场监督管理总局发布对阿里巴巴的处罚决定,认定阿里巴巴禁止卖家在其他竞争性平台开店、促销的行为(“二选一”行为)违反《反垄断法》,并以阿里巴巴在2019年的销售收入的4%计算罚款金额,共计182.28亿元。2021年4月26日下午4点,国家市场监督管理总局表示,根据举报,依法对美团实施“二选一”等涉嫌垄断行为立案调查。在平台经济领域反垄断的大背景下,更有必要规定个人信息的可携带权,从而既能有效地维护个人信息权益,又能打破大型网络企业的信息垄断,从而实行更加公平的竞争,为网络企业更好地履行个人信息保护的义务与责任提供压力和动力。当然,个人信息可携带权也是存在适用条件和对象的,不是所有的情形下都可以适用,故此,为了对可携带权进行规范,《个人信息保护法》明确了必须“符合国家网信部门规定条件”,个人信息处理者才应当为个人提供个人信息转移的途径。
(二)可携带权的主体
依据《个人信息保护法》第45条第3款规定,个人请求将个人信息转移至其指定的个人信息处理者,符合国家网信部门规定的条件的,个人信息处理者应当提供转移的途径。由此可见,可携带权中涉及至少三方当事人,一是可携带权的权利主体即个人,二是可携带权指向的义务人,即个人请求其转移个人信息的个人信息处理者,三是个人指定的个人信息处理者,即接收个人信息的个人信息处理者。
(三)可携带权的要件
《个人信息保护法》第45条第3款没有对可携带权行使的要件作出具体的规定,从该款“符合国家网信部门规定的条件”的表述来看,显然是授权给了国家网信部门来作出规定。我们认为,可携带权的行使要件应当包括以下两项:首先,仅适用于个人信息且该个人信息是信息主体主动提供的,或者是为订立和履行个人作为一方当事人的合同所必需的个人信息。至于为履行法定职责或者法定义务、应对突发公共卫生事件等其他依据法律、行政法规规定的情形而处理个人信息的场合,不适用可携带权。例如,在国家机关为履行法定职责而处理个人信息的情形中,个人不能向国家机关行使可携带权,要求国家机关为个人将个人信息转移至其指定的个人信息处理者提供转移的途径。其次,对个人数据采取的是自动化处理的方式进行的。对于非自动化处理的个人信息,尤其是电子方式以外的其他方式记录的个人信息,不能适用可携带权。
(四)可携带权的行使方式
个人请求将个人信息转移至其指定的个人信息处理者,如果满足国家网信部门规定的条件的,则个人信息处理者应当提供转移的途径。可携带权的实现需要统一机器可读的数据格式,且数据提供方与接收方之间需建立转移数据的通道。故此,所谓提供转移的途径,主要是指个人信息处理者与个人所指定的个人信息处理者之间通过相关合同或协议来实现个人信息的转移,否则仅仅是个人信息处理者的单方行动是无法将个人信息转移至个人指定的个人信息处理者的。例如,2018年,谷歌公司发起了“数据转移计划(DTP)”项目,这是一个开源项目,该项目所开发的工具能够让用户将个人信息(照片、视频、邮件记录等)直接从一个服务器转移到另一个服务器,既不需要使用第三方工具,也不会存在数据泄露的安全风险。微软、推特、脸书以及苹果公司也都参加了该项目。目前,仅谷歌一家公司就有70多种产品和服务支持用户通过数据传输工具获取和转移照片、邮件记录等个人信息,月均文件传输量可达200万条,2019年文件传输量达到了2000亿条。因此,个人信息处理者在个人具备了行使可携带权的条件下,应当为个人信息的转移提供途径,这种情形下,最好的办法是通过采取如同谷歌公司的DTP项目那样的开源项目来实现用户个人信息的转移,而不是一对一的判断。
【条文适用】
一、《个人信息保护法》中的查阅复制权与民法上的其他查阅复制权的关系
《个人信息保护法》第45条规定的查阅复制权属于个人在个人信息处理活动中的权利,其指向的对象是个人信息处理者。除了本条的规定外,我国其他法律中还规定了一些具体情形中个人查阅复制相关信息的权利。这些权利也可以称为查阅复制权,其与《个人信息保护法》第45条规定的查阅复制权,并不完全相同。以《民法典》为例,其第1029条规定了“民事主体可以依法查询自己的信用评价”。这是因为,信用评价对于民事主体的社会交往、生产生活具有重大的影响,因此即便是有权对他人进行信用评价的主体,其对他人进行信用评价的结果和依据也必须供被评价主体查询,被评价主体对此享有知情权,否则就会损害民事主体的合法权益。虽然自然人的信用信息也属于个人信息,关于自然人与征信机构等信用信息处理者之间的关系也适用《民法典》关于个人信息保护的规定(第1030条)。但是,由于《民法典》将信用纳入名誉的范畴(第1024条第2款),通过名誉权加以保护。故此,《民法典》第1029条中查询权是基于名誉权而产生的。此外,《民法典》第1029条规定的有权查询的是民事主体,既包括自然人,也包括法人、非法人组织。但是,《个人信息保护法》第45条规定的查阅复制权的主体是其个人信息被处理的个人,即仅限于自然人,而不包括法人、非法人组织。再如,《民法典》第218条规定:“权利人、利害关系人可以申请查询、复制不动产登记资料,登记机构应当提供。”不动产登记资料主要就是指不动产登记簿以及登记原始资料,其上记载的信息不仅包括了自然人的个人信息还包括其他信息。由于不动产登记资料所包含的财产状况属于自然人的敏感信息,故此法律上对于查询、复制不动产登记资料有相应的限制,只有权利人、利害关系人可以查询复制包含了个人信息的不动产登记资料。其他的民事主体所能够查询复制的信息只限于不包含个人信息的不动产登记资料。《不动产登记资料查询暂行办法》第21条规定:“有买卖、租赁、抵押不动产意向,或者拟就不动产提起诉讼或者仲裁等,但不能提供本办法第二十条规定的利害关系证明材料的,可以提交本办法第八条规定材料,查询相关不动产登记簿记载的下列信息:(一)不动产的自然状况;(二)不动产是否存在共有情形;(三)不动产是否存在抵押权登记、预告登记或者异议登记情形;(四)不动产是否存在查封登记或者其他限制处分的情形。”
至于有些法律和行政法规中规定的相关主体查阅复制的权利与《个人信息保护法》第45条规定的查阅复制权,无论在规范目的还是主体和权利行使程序上,都存在根本的差异。例如,《
刑事诉讼法》第40条规定:“辩护律师自人民检察院对案件审查起诉之日起,可以查阅、摘抄、复制本案的案卷材料。其他辩护人经人民法院、人民检察院许可,也可以查阅、摘抄、复制上述材料。”该条规定的是辩护律师享有的查阅、摘抄和复制案卷材料的权利,属于辩护人的法定权利之一。再如,我国很多行政管理性的法律如《
海关法》《
草原法》《
食品安全法》《
广告法》《
未成年人保护法》《
生物安全法》等都规定了行政机关查阅、复制相关资料的权力,这些属于有关执法机关的法定职权,与《个人信息保护法》第45条规定的查阅复制权完全不同。
二、个人信息的查阅复制权与政府信息公开的关系
由于个人信息处理者既包括国家机关,也包括非国家机关,而国家机关为履行法定职责而处理个人信息时,所收集的个人信息将构成政府信息的组成部分。所谓政府信息,是指行政机关在履行行政管理职能过程中制作或者获取的,以一定形式记录、保存的信息(《政府信息公开条例》第2条)。依据《政府信息公开条例》的规定,行政机关公开政府信息,应当坚持以公开为常态、不公开为例外,遵循公正、公平、合法、便民的原则。除了以下三类政府信息,其他的政府信息应当公开:(1)依法确定为国家秘密的政府信息,法律、行政法规禁止公开的政府信息,以及公开后可能危及国家安全、公共安全、经济安全、社会稳定的政府信息,不予公开。(2)涉及商业秘密、个人隐私等公开会对第三方合法权益造成损害的政府信息,行政机关不得公开。但是,第三方同意公开或者行政机关认为不公开会对公共利益造成重大影响的,予以公开。(3)行政机关的内部事务信息,包括人事管理、后勤管理、内部工作流程等方面的信息,可以不予公开。行政机关公开政府信息,采取主动公开和依申请公开的方式。
当行政机关作为处理者处理个人信息时,只要不存在《个人信息保护法》第18条第1款规定的情形,个人信息被处理的个人便可以依据《个人信息保护法》本条向作为个人信息处理者的行政机关要求查阅、复制其个人信息。但是,如果要求查阅复制的不是其个人信息,而是行政机关在履行行政管理职能过程中制作或者获取的,以一定形式记录、保存的其他信息,就应当依据《政府信息公开条例》的规定向行政机关申请公开。至于其个人信息未被行政机关处理的个人,要求查阅复制政府信息,如果该政府信息中涉及第三人的个人信息、个人隐私等公开会对第三人的合法权益造成损害的,那么行政机关也不得公开,除非该第三人同意公开或者行政机关认为不公开会对公共利益造成损害。
由此可见,《个人信息保护法》中的查阅复制权不同于《政府信息公开条例》规定的个人申请政府信息公开的权利,前者属于民事权利,旨在保护个人对其个人信息处理的知情权;后者属于公法上的权利,旨在保护人民依法获取政府信息的知情权,以期提高政府工作的透明度,加强人民对政府的监督。
三、个人向个人信息处理者行使查阅复制权是否需要符合一定条件
有观点认为,个人向个人信息处理者要求查阅复制其个人信息,给处理者造成了干扰,故此基于比例原则,应当要求个人在证明自己具有正当利益的前提下,才能行使查阅复制权。我们认为,这种观点是错误的。查阅复制权是个人在个人信息处理活动中的权利,我国《个人信息保护法》并未对其行使设置要件,个人只需要能够证明自己属于信息主体,即其个人信息被查阅复制权所指向的组织或个人所处理即可。
四、个人信息处理者如何确认申请查阅复制个人信息的主体就是信息主体,即其个人信息被处理的个人
如果个人信息处理者不去进行这种验证,就很可能出现非信息主体的个人通过查阅复制非法获取他人的个人信息,以致个人信息泄露的问题。GDPR序言的第64条指出:控制者应当使用所有合理的措施在数据主体要求访问数据时验证数据主体身份,尤其是使用线上服务和线上识别器。控制者不应仅以回应潜在数据主体的请求为目的保留个人数据。我国《个人信息保护法》第51条要求个人信息处理者应当根据信息的处理目的、处理方式、个人信息的种类以及对个人的影响、可能存在的安全风险等,采取相应措施确保个人信息处理活动符合法律、行政法规的规定,并防止未经授权的访问以及个人信息泄露、篡改、丢失。《民法典》第1038条第2款也规定:信息处理者应当采取技术措施和其他必要措施,确保其收集、存储的个人信息安全,防止信息泄露、篡改、丢失。此外,《
网络安全法》第42条第2款也有相同的规定。故此,在个人向个人信息处理者要求查阅复制其个人信息时,个人信息处理者应当采取相应的技术措施和其他必要措施来验证申请者是否属于适合的主体或者属于得到授权的人。
五、个人要求查阅复制其个人信息时是否需要支付费用
对此问题,在我国《个人信息保护法》的起草过程中就存在争论。有观点认为,个人信息处理者为了满足个人查阅复制其个人信息的要求必将支付相应的人力物力成本,因为“考虑到如今计算机网络的分布性特征,个人数据有可能被存储在不同地方的各种数据库中,因此,很难找出满足数据主体要求所需的全部数据。甚至,为了使特定主体知道与其有关的哪些数据已被保存,或者使他能够行使删除、封锁等权利,就需要找出所有与其相关的数据,为此数据控制者可能要对各种数据库中的大量数据进行搜索”,[11]基于成本补偿原则,要求个人支付一定的费用。况且,为了避免恶意的查阅复制申请而给企业造成不合理的负担,也应当要求查阅复制个人信息的个人支付合理的费用。从比较法上来看,一些国家或地区也有规定。例如,《日本个人信息保护法》第33条规定:在被本人要求对其进行第27条第2款规定的有关利用目的的通知,或者接到第28条第1款规定的公开的请求后,个人信息处理业者可以就相关措施的实施而收取手续费。个人信息处理业者若依照前一款的规定收取手续费的,则应当在考虑实际费用并被认为是合理的范围内,确定该手续费的金额。再如,我国台湾地区“个人资料保护法”第14条规定:查询或请求阅览个人资料或制给复制本者,公务机关或非公务机关得酌收必要成本费用。我国澳门特别行政区《个人资料保护法》第11条第1款规定:在不得拖延的合理期限内及无需支付过高费用的情况下,数据当事人享有自由地、不受限制地从负责处理个人资料的实体获知相应事项的权利。
应当说,个人信息处理者为满足个人查阅复制的权利确实是需要花费一定的成本,此种情形由个人支付合理的费用以补偿处理者为此产生的成本也是合理的。但是,我国《个人信息保护法》对此没有作出规定,理由在于:首先,个人信息处理者的类型很多,既包括国家机关、事业单位等,也包括公司企业,且查阅复制的成本各不相同,不宜由《个人信息保护法》作出规定,可以由相应的法律、行政法规作出规定,或者当事人加以约定。例如,《征信业管理条例》第17条规定:“信息主体可以向征信机构查询自身信息。个人信息主体有权每年两次免费获取本人的信用报告。”其次,对于符合条件的个人在行使查阅复制权等个人在个人信息处理活动中的权利收取费用,容易对个人行使权利造成妨碍,不符合便民利民的原则,更不利于保护个人信息权益。当然,对于不符合条件或者多次甚至是恶意地行使查阅复制权的个人,可以考虑收取相应的费用,而这可以由个人信息处理者在其建立的个人行使权利的申请受理和处理机制中作出相应的规定,不应由法律直接规定。再次,随着科技的发展,未来查阅复制个人信息也会越来越方便,成本越来越低,甚至忽略不计。故此,《个人信息保护法》就收费问题作出规定并不妥当。
六、个人向个人信息处理者申请查阅复制其个人信息的请求的提出方式
对此,个人信息处理者可以对个人信息处理规则作出约定,如要求个人向个人信息处理者指定的电子邮箱发送邮件提出申请,或者拨打某一专门处理个人信息查阅复制事宜的人员的电话口头提出申请等。需要注意的是,为了避免个人滥用查阅复制权,未来的行政法规或部门规章可以就个人向某一个人信息处理者行使查阅复制权的间隔时间作出规定。当然,个人信息处理者也可以在个人信息处理规则中作出规定。
七、对个人信息处理者就当“及时提供”的理解
根据《个人信息保护法》第45条第2款规定,个人请求查阅、复制其个人信息的,个人信息处理者应当及时提供。所谓“及时提供”究竟是多长时间内提供?GDPR第12条第3款规定:控制者应当自收到请求起不得超过一个月内提供根据本条例第15条至第22条采取行动的信息。考虑到请求的复杂性和数量,在必要时,这一期限可以再延长两个月。对于延期提供信息的任何情况,控制者都应当自收到请求起一个月内通知数据主体相关情形和延迟原因。如果数据主体以电子形式发送请求,这些信息应以电子形式提供,除非数据主体对提供方式有其他特殊要求。本书赞同这一规定,所谓及时并不等于立刻,但也不能拖延,具体判断应当考虑查阅复制的申请的提出时间、需要查阅或复制的个人信息的数量、个人信息处理者完成该请求的难易程度等因素综合判断。例如,张三在周五下午即将下班的时刻向个人信息处理者A公司提出查阅复制个人信息的申请,由于第二天就是周末休息,故此,不能认为A公司没有马上提供或者没有在周末提供,就认为是不及时的。
