【条文主旨】
本条是关于个人信息更正权、补充权的规定。
【条文理解】
一、更正权、补充权的性质
自然人的个人信息权益具体包含哪些内容?从比较法的角度,各国或各地区规定具有一定共性。例如,《美国公平信用报告法》规定的消费者权利主要包括查询权、知情权、要求删除或修改的权利、获得信用评分的权利、冻结信用记录的权利、获得损害赔偿的权利等内容。GDPR规定数据主体在处理活动中享有访问和知情权、更正权、拒绝权、限制处理权、删除权(被遗忘权)、数据可携权、自主决定权、救济权等权利。《日本个人信息保护法》明确个人信息的当事人享有以下权利:(1)要求个人信息处理者通知使用目的;(2)查阅、复制(含电子方式)个人数据及转让记录;(3)在个人数据不属实时,要求更正、补充或删除;(4)个人信息处理者未经本人同意超出使用目的、以非法手段取得个人数据,或者未经本人同意取得敏感个人信息的,当事人有权要求停止利用或删除有关信息;(5)个人信息处理者未经本人同意向国内或国外第三人提供个人数据的,当事人有权要求停止提供;(6)个人信息处理者再无使用该个人数据的必要,或个人数据存在较大泄露、灭失、损毁风险,可能侵害本人权利或正当利益的,当事人可以要求停止利用或停止向第三人提供该个人数据。我国台湾地区“个人资料保护法”规定当事人对其个人资料可依法行使查询权、更正权、停止处理、删除权,且不得要求当事人预先放弃权利或对权利的行使加以限制。
由上可知,各国或个地区立法普遍规定自然人对其个人信息享有知情权、更正权、删除权等权利。但存在疑问的是,这些权利的性质是民事权利,还是具体权能?这将涉及权利和权能的区分问题。德国法学家拉伦茨在论述权利(Rechte)和权能(Befugnisse)的关系时指出,“我们不是把法律关系所包含的每一种实施某种行为的权能都作为‘权利’,而是把某种具有相对独立意义的权能称为权利”。[1]据此,知情权、更正权、删除权等是否构成民事权利,关键在于其独立性的判断。一方面,知情权、更正权、删除权等本身并无独立价值,无法单独转让;另一方面,在法定情形下,删除权等被分离,并不影响个人信息主体享有个人信息权益。因此,知情权、更正权、删除权等应当理解为是个人信息权益的固有内容和基本延伸,是自然人对其个人信息享有的具体权能。
二、更正权、补充权的规范目的
从权益利用和保护的角度看,自然人对其个人信息享有积极和消极两方面的权能,比如知情权、同意权等积极权能,以及更正权、补充权等消极权能。个人信息权益的消极权能,往往体现在个人信息的准确性、完整性、私密性遭受破坏时对侵害可能性的排除和防御。根据本条规定,个人发现其个人信息不准确或者不完整的,有权请求个人信息处理者更正、补充。赋予个人信息主体以更正权、补充权,是国际上保证个人信息准确、完整的通行做法。GDPR第16条规定:数据主体应当有权从控制者那里及时得知与其相关的不准确信息。在考虑处理目的的前提下,数据主体有权更正不充分的数据,包括使用额外声明的方式。[2]《日本个人信息保护法》规定:除法定特殊情况外,接到个人有关要求后,在合乎个人数据用途的必要范围内,个人信息处理者可以及时进行必要调查,应本人要求,通知、提供、更正、删除、停止使用或向第三人提供有关个人数据。采取相关措施费用高昂或十分困难的,可以采取替代性保护措施,通知本人处理结果并说明理由。因法定特殊情况不能满足本人要求、有关数据不存在、难以按照当事人要求的方法进行的,也应当及时通知本人并说明理由。《韩国个人信息保护法》第36条第1款、第2款规定:根据第35条,查阅本人个人信息的信息主体,可以要求个人信息处理者对其个人信息进行更正或者删除。但是,其他法令明确规定该个人信息为收集对象的,不得要求删除。根据第1款的规定,个人信息处理者接到信息主体的要求后,若没有其他法令对个人信息的更正或者删除做出特别程序的规定,应当立即对个人信息进行调查,根据信息主体的要求对相关信息采取更正或删除,并将结果及时告知信息主体。[3]
在《个人信息保护法》颁布以前,我国部分立法已经规定个人信息主体针对错误的个人信息有权请求更正。例如,《
网络安全法》第43条规定:“个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的,有权要求网络运营者删除其个人信息;发现网络运营者收集、存储的其个人信息有错误的,有权要求网络运营者予以更正。网络运营者应当采取措施予以删除或者更正。”《
民法典》第1037条第1款规定:“自然人可以依法向信息处理者查阅或者复制其个人信息;发现信息有错误的,有权提出异议并请求及时采取更正等必要措施。”个人信息错误可能导致社会对个人的负面评价,个人信息的不完整同样可能影响其社会评价。相较此前的法律规定,《个人信息保护法》将更正权的适用情形由个人信息“错误”修改为个人信息“不准确”,并且增加了补充权,体现了我国对个人信息权益保护更加完善的立法考量。一方面,《个人信息保护法》第8条明确质量原则,强调个人信息处理者负有保证个人信息准确、完整的义务;[4]另一方面,本条赋予个人信息主体享有个人信息更正权、补充权。《个人信息保护法》从权利、义务两个方面共同推动对个人信息准确性、完整性的保障,是我国立法保护个人信息权益乃至个人人格尊严的重要举措。
三、更正权、补充权的行使
(一)主体
个人信息更正权、补充权的权利主体是个人信息主体本人。通常情况下,该权利由个人信息主体本人行使,特殊情况下也可以由他人代为行使。当个人信息主体是未成年人时,应当由未成年人的父母或者其他监护人代为行使。《
未成年人保护法》第72条第2款规定:“未成年人、父母或者其他监护人要求信息处理者更正、删除未成年人个人信息的,信息处理者应当及时采取措施予以更正、删除,但法律、行政法规另有规定的除外。”至于个人信息主体死亡的,《个人信息保护法》第49条明确:“自然人死亡的,其近亲属为了自身的合法、正当利益,可以对死者的相关个人信息行使本章规定的查阅、复制、更正、删除等权利;死者生前另有安排的除外。”即死者的个人信息更正权、补充权由其近亲属代为行使。此外,从对胎儿个人信息延伸保护的角度,胎儿的个人信息不准确、不完整的,可由其父母请求个人信息处理者更正、补充。
个人信息更正权、补充权的义务主体是个人信息处理者,且应当是处理了其个人信息的处理者。如个人信息是由两个以上的个人信息处理者共同决定的,根据《个人信息保护法》第20条的规定,权利主体可以向其中任一个人信息处理者请求更正、补充,个人信息处理者的内部约定不得对抗权利主体的权利主张。
(二)适用范围
个人信息主体有权请求个人信息处理者更正、补充其个人信息,前提是因个人信息处理者的信息处理活动导致其个人信息不准确或者不完整。对此应从两个方面理解:其一,个人信息主体更正权、补充权的行使,是基于对其本人信息的权益保护,其请求更正或者补充的对象应当是其本人的个人信息。其二,条文虽仅明确个人信息主体的更正权、补充权是在个人信息不准确或者不完整的情况下行使,实则包含三种情形。第一,个人信息不准确。信息处理者处理的个人信息与信息主体的真实个人信息不相符合,可能导致个人因信息处理不真实遭受负面的社会评价,因此法律赋予其请求更正的权利。第二,个人信息不完整。信息处理者处理的个人信息虽然是真实的,但是可能存在遗漏。例如于某诉某市公安局某分局解放派出所、某市公安局个人信息录入行为违法案,[5]个人信息不完整同样可能对个人产生负面的评价影响。第三,个人信息更新不及时。个人信息通常因个人发展存在过时的情形,个人信息主体有权要求更新。例如,个人因深造学习导致教育经历信息变化的,其有权要求信息处理者予以更新。
(三)行使方式
针对不准确或者不完整的个人信息,个人信息主体可以以对话或者非对话的方式请求个人信息处理者进行更正、补充。其中,非对话的方式可以通过传真、电子邮件等方式。个人请求更正、补充其个人信息的,负有举证证明其个人信息不准确或者不完整的义务,但是这种证明义务应当是合理的,不能过分苛刻。
四、个人信息处理者的核实与及时更正、补充
个人信息处理者在接收到个人信息主体的更正、补充请求后应当予以核实。主要应当核实以下内容:一是对权利行使资格的核实,即个人信息处理者是否处理了该信息主体的个人信息;二是对要求更正或补充的个人信息是否不准确或不完整的核实;三是对请求更正、补充的信息是否真实、准确的核实。如经核实个人信息应当更正、补充,个人信息处理者应当及时更正、补充。关于及时性的要求,GDPR第12条第3款规定:控制者应当自收到请求起不得超过一个月内提供根据本条例第15条至第22条采取行动的信息。考虑到请求的复杂性和数量,在必要时,这一期限可以再延长两个月。对于延期提供信息的任何情况,控制者都应当自收到请求起一个月内通知数据主体相关情形和延迟原因。[6]我国虽未明文规定信息处理者更正、补充个人信息的时间,但从保护个人信息权益的角度,个人信息处理者应当尽量缩短信息更正、补充的时间,以减少对个人信息权益的不利影响。
【条文适用】
一、适用前提
个人信息主体请求个人信息处理者更正、补充的前提是个人信息处理者有权处理其个人信息。具体可从以下两种角度认定:一是个人信息处理者是否依照《个人信息保护法》第13条的规定取得个人的同意;二是个人信息处理者是否依照该条第2项至第7项的规定,构成法定的对个人信息的合理利用。如个人信息处理者处理个人信息不属于前述两种情形,则属于对个人信息权益的侵害,个人可以要求个人信息处理者删除其信息,而非请求更正或者补充。
二、必要性审查问题
本条规定的更正、补充权利,是个人信息主体对个人信息处理者处理信息不准确或者不完整的纠正请求。但这种权利请求行使并非没有边界,它必须是对个人信息权益的有效保护,同时也是一种必要性保护。一方面,从准确性的角度,个人信息存在客观记录、主观推断两种类型。如个人信息处理者记录的个人信息属于对个人喜好、用户习惯等的倾向性预测,是否属于应当予以更正的不准确的个人信息?另一方面,从完整性的角度,囿于目的限制和最小范围原则,个人信息处理者得以处理的个人信息往往并非完整信息,并且随着社会生产生活的发展,个人信息也在不断发展变化,如一味要求个人信息处理者处理的个人信息是同步完整的,似有违法律的谦抑性。因此,关于本条规定的个人信息主体的更正权、补充权行使,涉及必要性审查问题。在审查中需要衡平各方的利益,考虑个人信息更正、补充的成本。具体可从以下角度,即补充个人信息是否是实现特定的个人信息处理目的所必需的;补充个人信息是否有助于个人信息处理活动;如果不补充个人信息是否会使个人因信息的不完整而面临风险等。
