律所實務丨個人資訊主體的權利和救濟

【珠海律師、珠海法律諮詢、珠海律師事務所、京師律所、京師珠海】

文 | 黃熊律師

自然人的“個人資訊”，需要進行法律保護，此點各界看法從來一致，《民法典》第111條、第1034條中也已有明定。但是，到底應當以“權利”的方式，還是“法益”的方式來保護，到底是制定單行法保護，還是在《民法典》中規定足矣，卻有不同識見。隨著《個人資訊保護法》的公佈實施，上述問題的答案似已明確，爭議將逐漸消除。本文就個人資訊主體的權利內容和受到侵害時如何救濟，進行簡要探討。

一、個人資訊主體的

“十項”基本權利內容

個人資訊主體對與自身相關的個人資訊，享有支配並排除他人侵害的權利，該權利屬於具體人格權的一種。在各種具體應用場景中，包含至少如下10項具體內容：

1、知情權。《民法典》並未規定這些權利，而是《個人資訊保護法》第45條進行了規定：個人對其個人資訊的處理享有知情權、決定權，有權限制或者拒絕他人對其個人資訊進行處理。在個人資訊處理中，同意規則是“帝王規則”，而“同意”的前提是“知情”。由此，知情權是最為基本的內容。

根據《個人資訊保護法》第17條規定，個人資訊處理者在處理個人資訊之前，應當以顯著方式、清晰易懂的語言真實、準確、完整地向個人告知個人資訊相關事項，包括：

（一）個人資訊處理者的名稱或者姓名和聯絡方式；

（二）個人資訊的處理目的、處理方式，處理的個人資訊種類、儲存期限；

（三）個人行使權利的方式和程式；

（四）法律、行政法規規定應當告知的其他事項。除普通的個人資訊處理者要履行告知義務，使得個人資訊主體得以享有知情權外，即便國家機關為履行法定職責處理個人資訊，根據《個人資訊保護法》第35條規定，也應當履行告知義務，除非屬於保密、不需要告知或者告知將妨礙國家機關履行法定職責三個例外。

2、決定權、限制權以及拒絕權。與知情權類似，《民法典》也未規定這些權利。個人資訊主體對自己的個人資訊享有權利，最根本的內容是決定權。個人享有對自己的個人資訊是否利用、以何種方式利用、利用深度和範圍等事項的決定自由。“決定”更多在己，“限制”和“拒絕”則更具有權利保護作為性質。個人資訊主體對他人進行個人資訊處理，享有限制目的、方式、範圍等權利，甚至在必要時，直接拒絕的權利。

3、查閱權。不僅《民法典》（第1037條），而且《個人資訊保護法》（第45條），都規定了該項權，即“個人有權向個人資訊處理者查閱、複製其個人資訊”、“個人請求查閱、複製其個人資訊的，個人資訊處理者應當及時提供”，也就是說，該項權利的權利主體是“個人資訊”中的“個人”，義務主體是個人資訊處理者，包括對個人資訊進行收集、儲存、使用、加工、傳輸、提供、公開等操作中的一個主體或多個主體。

查閱權的行使，不僅保證個人資訊處理的基本原則即“公開透明原則”的落地，更是行使其他輔助性權利的前提，比如知情權、更正補充權、刪除權等。因此，查閱個人資訊的權利，在整個個人資訊保護權利體系中具有重要地位。根據《資訊科技安全 個人資訊保安規範》（GB/T 35273-2020）的規定，個人資訊控制者應向個人資訊主體提供查詢下列資訊的方法：

a）其所持有的關於該主體的個人資訊或者個人資訊的型別；

b）上述個人資訊的來源、所用於的目的；

c）已經獲得上述個人資訊的第三方身份或型別。

4、複製權。《民法典》（第1037條）和《個人資訊保護法》（第45條），均規定了複製權。由於個人資訊保護的關鍵在於個人對自己相關資訊的控制與利用，因此，個人資訊主體享有複製權，可以使個人有可能獲取和移植自身資料，從而對實現個人資訊自決權益具有決定意義。

按照《資訊科技安全 個人資訊保安規範》（GB/T 35273-2020）的規定，應個人資訊主體的請求，個人資訊控制者宜為個人資訊主體提供獲取以下型別個人資訊副本的方法，或者在技術可行的前提下直接將以下型別個人資訊的副本傳輸給個人資訊主體指定的第三方：

a）本人的基本資料、身份資訊；

b）本人的健康生理資訊、教育工作資訊。

在行使複製權過程中，要注意複製權的相對性。根據《個人資訊保護法》規定，如果個人資訊處理者沒有告知義務，則無接受複製、查詢請求的義務。在依據法律、行政法規規定應當保密或者不需要告知的情形，或者告知個人資訊將妨礙國家機關履行法定職責三種情形下，則個人資訊處理者不承擔複製、查詢義務，即個人此情形下將不再享有複製、查詢權。

5、可攜帶權。《民法典》及其之前的法律法規，未明確記載此項權利，《個人資訊保護法》首次予以規定，即個人可以請求將自己的個人資訊轉移到指定的個人資訊處理者中。該項權利實現了“資料跟我走”的自由流動目的。傳統做法中，要將個人資訊由一個主體流轉到另一個主體，需要個人資訊主體分別對資料託管方企業、資料應用方企業進行授權，且通常要求兩個企業（平臺）之間簽署個人資訊處置的相關協議，這種“三角授權”模式，給資料流動增加了障礙。可攜帶權的規定，衝破了這種舊模式，使資料價值得以充分釋放。

6、更正補充請求權。保護個人資訊的相關規定位於《民法典》人格權編，關涉人格尊嚴，任何個人資訊的不實、錯誤或者對其內容的扭曲都會或多或少影響個人社會形象的塑造，讓個人在社會中的發展，偏離自己的預期。根據《民法典》第1037條規定：“發現資訊有錯誤的，有權提出異議並請求及時採取更正等必要措施”，以及《個人資訊保護法》第46條規定：“不準確或者不完整的，有權請求個人資訊處理者更正、補充”，可知，在個人資訊記載錯誤、不準確兩種情形下，個人資訊主體有權請求更正，在個人資訊記載不完整的情形下，有權請求補充。

7、刪除請求權。《民法典》第1037條規定了刪除請求權，個人資訊主體有權請求資訊處理者及時刪除的條件，是“發現資訊處理者違反法律、行政法規的規定或者雙方的約定處理個人資訊”。《個人資訊保護法》在此基礎上，進一步擴充套件了適用的條件，其47條規定：“（一）處理目的已實現、無法實現或者為實現處理目的不再必要；（二）個人資訊處理者停止提供產品或者服務，或者儲存期限已屆滿；（三）個人撤回同意；（四）個人資訊處理者違反法律、行政法規或者違反約定處理個人資訊；（五）法律、行政法規規定的其他情形”也屬於個人可以請求刪除的情形。當然，在上述情形下，個人資訊處理者應當主動刪除，確保個人資訊主體的刪除請求權實現。需要注意的是，如前所述，刪除請求權的行使是有條件的，不同於遺忘權，且刪除請求權性質是一項請求權，而不是絕對性質的權利。

8、解釋說明請求權。《民法典》第1035條中規定，處理個人資訊要公開處理資訊的規則，明示處理資訊的目的、方式和範圍。《個人資訊保護法》在此基礎上更進一步，不僅規定資訊處理者具有公示規則的義務，而且要求在個人對個人資訊處理者提出要求時，予以解釋說明的義務。

二、個人資訊侵權的構成要件

個人資訊主體享有的個人資訊權益（包括但不限於上述內容），如果遭遇侵害，當有法律救濟途徑。法諺有云：“無救濟，則無權利”。對權利最重要的救濟方式，就是要求破壞權利者承擔侵權責任。

《民法典》作為實體法，未規定實現權利內容的程式，而《個人資訊保護法》則是實體權利與程式規範的合一，為權利的救濟提供的請求權基礎。根據《個人資訊保護法》第50條規定：“個人資訊處理者拒絕個人行使權利的請求的，個人可以依法向人民法院提起訴訟”，以及第69條規定：“處理個人資訊侵害個人資訊權益造成損害，個人資訊處理者不能證明自己沒有過錯的，應當承擔損害賠償等侵權責任。”可知，無論是前述提到的10項權利遭遇行使障礙，還是個人權益遭受損害，均具有可訴性。但是，從上述兩個條文來看，其反映的請求權性質不同：前者應歸於人格權請求權，後者應歸於損害賠償請求權，兩者的侵權構成要件不同。

“人格權請求權”規定於《民法典》人格權編第995條。該條規定：“人格權受到侵害的，受害人有權依照本法和其他法律的規定請求行為人承擔民事責任。受害人的停止侵害、排除妨礙、消除危險、消除影響、恢復名譽、賠禮道歉請求權，不適用訴訟時效的規定。”個人資訊權益作為具體人格權的一種，當遭受侵害時，當然可以依賴於人格權請求權進行救濟。個人資訊處理者如果拒絕個人行使複製權、查詢權、更正補充權、刪除請求權等，則構成侵權，即依據《個人資訊保護法》第50條以及《民法典》第995條規定，行使人格權請求權，要求個人資訊處理者承擔停止侵害、排除妨礙、消除影響等民事責任。需要注意的是，這裡並未考察個人資訊處理者是否存在過錯、個人資訊主體是否遭受到損害後果以及個人資訊處理者行為與後果之間是否存在因果關係，這正是人格權侵權和損害賠償請求權的重要區別。由此，基於人格請求權維護個人資訊權利的構成要件，通常只有一個，即個人資訊處理者“拒絕”個人行使權利。在訴訟中，保有被拒絕的證據，已為具足。

“損害賠償侵權請求權”規定於《民法典》侵權責任編第1165條。該條規定：“行為人因過錯侵害他人民事權益造成損害的，應當承擔侵權責任。”根據前述《個人資訊保護法》第69條和《民法典》的上述規定，個人資訊侵權行為的構成要件包括：違法行為、損害後果、因果關係和主觀過錯。

侵權行為的非法性，是受到法律責難的基礎。侵害個人資訊的行為的違法性體現在違反法律、行政法規、部門規章等的規定，並不侷限於《民法典》人格權編、《個人資訊保護法》的規定。這些違法行為包括非法獲取、非法出售、非法向他人提供、非法洩露、非法篡改、非法毀損等。

侵權責任的損害後果，是損害賠償請求權的重要因素。損害後果表現在兩個方面：財產損害和精神損害。對於敏感資訊，洩露後可能給當事人帶來較大的物質損害，也可能帶來精神損害。財產損失包括被侵權人為制止侵權行為所支付的合理開支，被侵權人或者委託代理人對侵權進行調查取證的合理費用，諸如律師費等均在賠償範圍之內。但是無所質疑的是，在個人資訊侵權案件中，個人資訊主體無論要證明財產損害，還是證明精神損害，都具有相當難度。根據《個人資訊保護法》第69條第2款的規定，損害賠償的數額分兩層次考慮：一是考慮個人因此受到的損失或者個人資訊處理者因此獲得的利益；二是考慮實際情況來確定賠償數額。第一層次優先，第二層次保底。根據《最高人民法院關於審理利用資訊網路侵害人身權益民事糾紛案件適用法律若干問題的規定》，人民法院可以根據具體案情在50萬元以下的範圍內確定賠償數額。

侵權責任的因果關係，是連線“違法行為”和“損害後果”的紐帶。損害後果的確定具有較高難度，因果關係的確定難度亦然較大，主要表現在：第一，個人資訊處理包括收集、儲存、使用、加工、傳輸、提供、公開等多個環節、多個主體，每個環節都可能發生侵權行為，受害者很難準確獲知誰是真正的直接侵權人，侵權行為真正發生在哪個環節，繼而無法確定誰的行為與損害後果有因果關係。第二，個人資訊侵權可能存在諸如洩露個人資訊的直接侵權者，也可能存在為洩露者創造條件的間接侵權者，如何確定直接侵權和間接侵權與損害後果的原因力大小，繼而確定因果關係的成立與否，亦有難度。

儘管基於個人資訊損害賠償請求權主張權利有難度，但在具體認定侵權行為時，仍然應當全面考察包括過錯在內的上述四個要件。對於證明責任的分配，可以充分利用個人資訊侵權的特殊舉證規則，即後續將敘述的過錯推定原則。

三、個人資訊侵權的免責事由

侵權行為成立與否、侵權責任是否最終需要承擔，除了考察其依據不同的請求權基礎而形成的各自構成要件是否得到滿足外，還需要分析是否存在免責事由。對於免責事由，除《民法典》總則編“民事責任”一章以及侵權責任編“一般規定”一章的常規免責事由外，更重要的是關注《民法典》中針對個人資訊保護規定的專門免責事由。即《民法典》第1036條規定了三種法定免責事由：一是知情同意後合理實施免責；二是合理處理已合法公開資訊免責；三是基於公共利益或維護自然人合法權益合理實施免責。

對於第一個免責事由：知情同意。對他人個人資訊進行利用，最廣泛、最基本的合法依據是知情同意。個人資訊處理者在權利人授權同意的範圍內使用個人資訊，則不承擔侵權責任。但是，對於該免責事由，要注意法律規定的限制性條件，即即便已知情同意，但仍有實施“範圍”之大小的限定和“合理”之程度限制，只有三個條件同時滿足，才能排除侵權而歸於無責。此外，如果個人資訊權利主體是無民事行為能力或限制無民事行為能力，“知情同意者”並非個人資訊主體本人，而是取得其監護人的同意。

對於第二個免責事由：合法公開合理處理。自然人自行公開或者經合法程式公開個人資訊，表明個人資訊主體已經對個人資訊可能遭遇的利用產生的利益得失進行過權衡，在合法公開後，被第二次合理利用，通常情況則不能再行要求“知情同意”。只要進行個人資訊處理者是合理處理，當構成免責。當然，如果自然人明確拒絕或者處理該資訊侵害其重大利益，則表明個人資訊權利主體已對前次的同意予以否決，重新表達了新的意見，應當尊重該新意見，在此情形下，如果再擅自處理個人資訊，應當屬於侵權，不在免責範圍內。

對於第三個免責事由：維護公共利益或自然人利益。公共利益涉及更廣泛人員，在中國傳統觀念之下，應當充分考慮公共利益與個人利益之間的平衡。此處的公共利益，包括國家公權力機關為了制定國家經濟、社會政策的需要而處理有關公民的個人資訊，或是為了國家安全、公共安全、公共衛生等處理相關個人資訊，以及與刑事偵查、起訴、審判和判決執行相關等事務而需要處理的個人資訊。在司法實務中，需要注意要避免以公共利益為名濫用該免責事由，以及具體運用時超出“合理”範疇。

四、個人資訊侵權的舉證責任

《民法典》對個人資訊侵權中舉證責任的承擔，未進行規定，而是規定於《個人資訊保護法》。該法第69條規定：“處理個人資訊侵害個人資訊權益造成損害，個人資訊處理者不能證明沒有過錯的，應當承擔損害賠償等侵權責任”。

根據《民法典》第1165條規定：“行為人因過錯侵害他人民事權益造成損害的，應當承擔侵權責任；依照法律規定推定行為人有過錯，其不能證明自己沒有過錯的，應當承擔侵權責任”。由此，過錯原則是基本的侵權歸責原則，在法律未有特別規定的情況下，舉證責任分配應當貫徹“誰主張、誰舉證”的規則。要適用過錯推定原則，必須有法律的明確規定。個人資訊侵權適用過錯推定原則，《個人資訊保護法》則提供了明確的法律依據。個人資訊侵權適用過錯推定原則，要求在舉證責任承擔上，個人資訊處理者應當主動證明自身沒有過錯，如果能夠證明自身沒有過錯，則不承擔侵權責任，否則，應當承擔侵權責任。這種侵權責任的分配原則，是充分考慮個人資訊侵權的實際情況，權利主體與資訊處理者在經濟實力、舉證能力、資訊對稱程度等方面的差異，而規定的符合實際的規則。

儘管在個人資訊侵權上適用過錯推定原則，但並非否定個人資訊主體在維權中的“零”舉證。通常，個人資訊主體仍要提供證據證明如下事項：（1）個人資訊權利主體的身份情況；（2）個人資訊受到侵害的起因、經過等事實內容；（3）個人資訊權益受到侵害造成的損害情況；（4）資訊收集者、持有者違反法律、法規收集、使用資訊的其他情形。同樣地，個人資訊收集者主張自己無過錯不構成侵權，或者具有免責事由不承擔責任，也應當舉證證明：（1）收集使用自然人個人資訊遵循了合法、正當、必要的原則；（2）明示了收集、使用資訊的目的、方式和範圍；（3）徵得該自然人或者其監護人同意，法律、行政法規規定無須徵得自然人或者其監護人同意的除外；（4）採用了確保個人資訊保安的嚴格技術措施和其他必要措施；（5）其他已經履行法律、行政法規或者雙方約定規定的合法收集、使用個人資訊義務的情形。

總之，舉證責任的分配，關乎當事人維權勝敗，應當結合個人資訊侵權案件的特點、雙方舉證能力強弱、舉證成本大小等多種因素，依據《民法典》《個人資訊保護法》的規定，審慎分配舉證責任。

律師簡介

黃熊律師

京師律所IP訴訟法律事務部主任

黃熊律師，京師律所合夥人律師、京師律所新聯會常務副會長，北京網際網路法院、廣州網際網路法院特邀調解員、中國中小企業協會調解中心調解律師、法治網優秀合作律師、北京市律師協會第十一屆專利法律委員會委員、北京市朝陽區律師協會智慧財產權委員會委員、中央電視臺CCTV公益律師、CCTV“十大人氣律師”；為阿里巴巴、華為、360、騰訊、網易、搜狗、錘子科技、國家電網系統、國電能源研究院等一大批知名公司提供全項或智慧財產權專項法律服務；撰寫理論或實務探討文章數十篇，被國家智慧財產權局、專利複審委網站、各大法律公眾號以及各類專業期刊、報紙持續登載，廣受好評。

核心業務領域：智慧財產權、合同、侵權、勞動以及婚姻家事等民商事領域，集團訴訟、行政訴訟以及重點刑事案件。