從司法實踐看數據合規邊界系列之個人信息權利的實現
作者:張丹 夏星悅 2023-06-05引言
首先,需要界定本文標題中“個人信息權利”的概念,此處并非指“個人信息權”,而是指《個人信息保護法》第四章中的“個人在個人信息處理活動中的權利”。誠然,如大家所知,個人信息主體享有個人信息權益卻不享有個人信息權,原因在于,由于個人信息的可復制性、無形性、非競爭性等特點,為了平衡個人信息主體的利益與數據共享利用之間的關系,避免妨礙數據的共享、利用以及大數據產業在我國的發展,《民法典》并未像其他人格權一樣設置“個人信息權”,而是規定以“個人信息保護”條款;繼而《個人信息保護法》在第一、二條進一步明確了“個人信息權益”的說法。
“權利”與“權益”相比,其具有獨占性、排他性,如隱私權等人格權,具有消極防御的特點;而個人信息權益則體現了積極防御的特點。個人信息主體雖不享有個人信息權,但對于其個人信息卻享有相應的民事權益,包括人格權益和財產權益。在2021年1月1日起施行的《民事案件案由規定》中,“隱私權糾紛” 變更為“隱私權、個人信息保護糾紛”(非“個人信息權”糾紛)。
《個人信息保護法》第四章中的個人在個人信息處理活動中的“權利”指的是個人信息權益的權能或內容,并非指主觀權利[1]。此外,由于個人信息本身的特點、互聯網化的社會環境以及個人與個人信息處理者之間不平等的地位,使得個人難以對其個人信息進行有效保護,此時就需要通過法律強制性的規定要求個人信息處理者承擔相應的義務來保證個人信息權益的實現。因而,我國與歐盟《通用數據保護條例》以及其他國家的個人信息保護法律類似,也通過專章的形式對個人在個人信息處理活動中的權利進行了明確的列舉和規定。
正文
《個人信息保護法》第四章對“個人信息權利”進行了定義,構建了個人在信息處理活動中享有的法定權利,包括知情權、決定權、限制權、拒絕權、查閱權、復制權、可攜帶權、更正權、刪除權等,為日后個人信息主體保護其個人信息權益提供了路徑。但是,個人信息權利如何實現也成為實踐中的問題,個人信息權利的實現必然需要個人信息處理者的配合或者說是義務的承擔,當個人信息主體提出行權請求時,個人信息處理者如何履行義務才能符合法律要求或者實現個人行權目的存在較大的爭議。目前已有一些個人行使個人信息權利的案例,本文將結合這些案例來分析個人信息權利實現的合規邊界。
第一部分 個人信息權利的概念
1. 個人信息權利的法律依據
在《個人信息保護法》出臺前,個人信息權利已經在《網絡安全法》、《民法典》等法律規定中有所規定。《個人信息保護法》在前述法律的基礎上,新設了數項個人信息權利,包括知情權、決定權、限制權、拒絕權、可攜帶權、補充權、要求說明和解釋權,具體詳見下表。此外,在一些行政法規、規范性文件中也對部分個人信息權利有所規定,如《征信業管理條例》第二十五條規定了個人信息主體對征信機構采集、保存、提供的信息存在錯誤、遺漏時的異議、更正權;又如《兒童個人信息網絡保護規定》第十九條及二十條分別規定了兒童或其監護人可行使的個人信息更正權和刪除權。
2. 個人信息權利的行使主體
一般情況下,個人信息權利的行使主體應為活著的個人信息主體本人或其代理人(如兒童個人信息權利可由其監護人代為行使)。而針對死者的個人信息保護問題,起初在《個人信息保護法(草案)》中并未設置死者個人信息保護的制度規則,但考慮到死者雖已喪失民事權利能力和民事行為能力,其個人信息的保護對維護死者的人格權益以及其近親屬的合法權益有著重要意義[2],故在正式稿第四十九條確定了該項制度,即“除死者生前另有安排外,死者的近親屬為了自身合法、正當利益,可以對死者的相關個人信息行使查閱、復制、更正、刪除等權利”。
3. 個人信息權利的行使內容
如前所述,個人信息權利的行使內容包括知情權、決定權、查閱權、復制權、可攜帶權、更正權、補充權、刪除權、要求解釋和說明權。知情權與決定權作為《個人信息保護法》項下個人信息權利中的兩大基礎性權利,統領了查閱復制權、可攜帶權、更正補充權、刪除權、要求解釋和說明權等具體個人信息權利。
4. 個人信息權利的行使方式
個人對其個人信息處理的知情權與決定權并不需要個人具體行使,而是通過個人信息處理規則、個人信息處理者履行其所負擔的個人信息保護義務以及其他個人在個人信息處理活動中的權利(也即具體個人信息權利)保障得以實現的。除了知情權與決定權這兩個基礎性權利外,對于具體個人信息權利,即查閱權、復制權、可攜帶權、更正權、補充權、刪除權以及解釋說明權,需要由個人通過針對個人信息處理者提出請求的方式來行使。為保障個人信息主體權利請求的行使,《個人信息保護法》第五十條要求個人信息處理者應當建立便捷的受理和處理機制。如個人信息處理者拒絕或在合理期限內不答復個人行使權利的請求的,個人有權依法向人民法院提起訴訟或向履行個人信息保護職責的部門進行投訴、舉報。
第二部分 以案說法
個人信息權益屬于人格權益,當個人信息處理者拒不響應或無正當理由拒絕個人提出的查閱權、復制權、可攜帶權、刪除權等權利請求時,個人可依據《個人信息保護法》第50條第2款的規定向法院起訴,通過法院判決來強制實現權利,本部分內容旨在通過司法案例來探討個人信息權利在司法中的實踐。
一. 個人行使查閱、復制權時,個人信息處理者應提供的個人信息范圍
如上文所述,個人信息權利包括知情權、決定權、限制權、拒絕權、查閱權、復制權、可攜帶權、更正權、刪除權等。其中知情權和決定權是基礎性權利,是其他權利行使的目的,而查閱權和復制權,是為了更好地實現個人知情權,進而能夠自主行使決定權。《個人信息保護法》第四十五條賦予了個人查閱、復制其個人信息的權利。意味著在個人行使查閱、復制權時,個人信息處理者應予以配合向其提供個人信息,但是具體提供哪些個人信息在司法實踐中較有爭議。
在(2022)粵01民終3937號案件中,法院認為,法律賦予個人查閱復制權,其目的是確保其對個人信息的知情權和保持應有的控制,避免因為非法收集、處理個人信息而致其人身財產權益遭受侵害。從實現查閱復制權的功能價值、保護個人合法權益的角度考慮,查閱復制權的客體不僅包含個人信息本身,還應當包括個人信息處理情況。
意味著,當個人行使查閱、復制權時,個人信息處理者不僅要提供個人信息,還需提供個人信息處理情況,而“處理情況”如從廣義理解范圍較大,這就為個人信息處理者提出了更高的合規要求。具體而言,個人信息處理者向個人提供個人信息時有以下幾項重要合規點:
1. 個人信息處理者披露的共享清單是否可以視為其向個人提供的對外提供其個人信息的內容?
在(2022)粵01民終3937號案件中,原告周某認為,個人信息處理者披露的共享清單僅是向所有用戶列明了可能的第三方以及可能與第三方共享的信息列表,但具體某電子商務公司與哪些第三方共享了周某的哪些個人信息內容是無法確定的,仍需某電子商務公司進行披露。某電子商務公司則以成本高昂,且不符合行業慣例為由拒絕向周某提供。二審法院認為,瀏覽記錄及平臺與第三方共享的個人信息,是個人信息及其處理情況的重要組成部分,該信息對于個人判斷個人信息是否被濫用具有重要意義,某電子商務公司作為個人信息處理者,應當依法向周某披露上述信息相關情況。披露成本高并非法定的免責事由,行業慣例也非個人信息處理者是否履行法定義務的決定性因素,因而,某電子商務公司應當向周某披露自周某在某電子商務APP上注冊之日起到本判決生效之日止的“瀏覽記錄”及“與第三方(包括第三方支付機構)共享的個人信息”,后者應當包含信息種類、信息內容、使用目的、使用場景和共享方式等內容。
由此可知,由于個人信息處理者披露的共享清單僅是向所有用戶列明了可能的第三方以及可能與第三方共享的信息列表,但具體到某一自然人,仍舊需要個人信息處理者提供其向哪些第三方共享了該自然人的哪些個人信息,個人信息處理者不應以已披露共享清單、成本代價、行業慣例等理由而拒絕向個人提供。
2. 個人信息處理者披露的SDK清單是否可以視為其向個人提供的SDK處理其個人信息的內容?
在(2022)粵01民終3937號案件中,一審法院認為,內嵌于某電子商務公司APP中的第三方SDK以及該SDK實際收集的用戶具體個人信息,用戶是無法查閱的,因此,某電子商務公司仍有必要向原告周某清晰列出實際內嵌第三方SDK收集的周某個人信息,包括第三方SDK的具體名稱以及第三方SDK已經收集到的周某個人信息基本情況,包括信息類型、信息內容、使用目的和使用場景;但二審法院否定了一審法院的認定,二審法院認為,尚沒有證據證明某電子商務公司收集了第三方SDK收集的個人信息,如要求某電子商務公司向周某披露第三方SDK收集的個人信息,依據不足,因而未支持周某的訴請。
我們認為,SDK作為內嵌于電子商務APP的某一模塊或功能,與APP之間的關系較為復雜,存在委托處理、共享、共同處理等多種關系,并不一定是各自單獨處理的情形,如屬于共享關系,則個人信息處理者應在共享部分向個人披露;如屬于各自單獨處理的情形,則個人信息處理者可不向個人提供SDK處理的個人信息,披露的SDK清單可視為已向個人提供。
3. 非個人主動提供,但屬于交互過程中自動生成的個人信息,個人信息處理者應否向個人提供?
在(2022)粵01民終3937號案件中,周某在某電子商務APP中的昵稱為“某電子商務會員”,雖然該昵稱由某電子商務APP自動生成,并非周某自行填寫,但根據《個人信息保護法》第四條關于“個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息”的規定,周某作為某電子商務公司可識別的注冊用戶,其昵稱仍屬于個人信息范疇,至于該昵稱為個人自行填寫或是由系統自動生成,均不影響其性質的認定。據此,二審法院認為,某電子商務公司應當向周某披露其“昵稱”信息。
我們認為,首先應界定“自動”的含義,此處的“自動”生成仍舊是基于個人信息處理者設置的系統程序而生成,并非憑空產生。從本案可以確定,瀏覽記錄、昵稱等自動生成的個人信息,個人信息處理者應向個人提供;但如果個人信息處理者通過一定的算法模型生成個人的資信情況、購物偏好、消費能力、還款意愿等個人信息,個人信息處理者是否也應向個人披露?根據《個人信息保護法》第二十四條“通過自動化決策方式作出對個人權益有重大影響的決定,個人有權要求個人信息處理者予以說明,并有權拒絕個人信息處理者僅通過自動化決策的方式作出決定”。“個人有權要求個人信息處理者予以說明”的前提是個人知曉自動化決策的內容,否則無從行使“說明權”,從這個角度來看,個人信息處理者也應向個人披露。
4. 如個人信息主體查閱、復制的個人信息中包含他人的個人信息,個人信息處理者應如何提供?
在張某訴A網絡科技有限公司個人信息保護糾紛一案中,北京互聯網法院認為,當查閱復制的信息同屬于多主體個人信息的情況下,應充分進行利益衡量:一是充分審核查閱復制主體對個人信息享有的正當利益;二是不應侵害其他主體合法權利,并盡可能對他人個人信息權益影響較小。如信息可分割,則查閱復制主體的請求僅限于本人的個人信息,如信息不可分割,則應考慮個人信息處理者提供他人個人信息的行為是否在其已取得同意的范圍內或屬于依法無需獲得同意的情形等;如提供行為會導致他人個人信息權益遭受重大影響,則個人信息處理者未征得他人同意不應直接提供。
5. 個人信息處理者應提供的個人信息范圍
在(2022)粵01民終3937號案件中,某電子商務平臺向周某提供的個人信息如下表,從該案可以看出,當個人行使查閱、復制權時,個人信息處理者收集的個人信息均應向個人提供,不僅包括個人基本資料、個人身份信息、個人生物識別信息、健康生理信息、財產信息、位置信息等個人主動提供的信息,也包括瀏覽記錄、昵稱等個人與個人信息處理者交互過程中生成的個人信息,還包括個人信息處理者對外共享個人信息的情況。該案中,由于某電子商務平臺并未收集某些類別的個人信息才免于提供。
從主流互聯網APP來看,相較于去年,各平臺均已增加向個人披露的個人信息范圍,但披露范圍是否足夠完善,是否能應對個人行使個人信息權利的挑戰,還有待于司法實踐的進一步深入:
雖有上述司法裁判案例以及國標《信息安全技術 個人信息安全規范》(GB/T 35273-2020)第8.1條在一定程度明確了個人信息查閱范圍,但是面對海量的用戶,如個人信息處理者皆滿足個人提出的不同的查閱、復制請求可能需要付出較高的成本。我們認為,如個人信息處理者在個人信息安全、技術可行性及實現請求的成本上確實難以提供的,其應當及時向個人解釋說明以取得理解或收取合理費用后再行提供,避免直接拒絕提供或不回應個人申請而引起不必要的糾紛。
6. 個人信息處理者履行個人查閱、復制權的方式
在張某訴A網絡科技有限公司個人信息保護糾紛一案中,北京互聯網法院認為,個人信息處理者履行相關義務的方式只要滿足了個人查閱復制其信息的要求即可,個人信息處理者就可以依據其信息存儲形式、存儲能力,自行選擇合理的提供信息的方式,而無需嚴格遵循個人的要求和指示。
在(2022)粵01民終3937號案件中,二審法院認為,從減少個人信息處理者的披露成本、方便個人查閱的角度,個人信息處理者可向個人提供電子化的副本,電子化副本不限于Excel表格、Word文檔等形式,個人信息處理者應當選擇便于查閱的方式向個人提供個人信息電子化副本。
由上述兩個案件可知,對于個人信息處理者履行義務的方式,只要能夠滿足個人查閱復制其個人信息的要求即可,不限于特定的方式或文件格式,但要注意,個人信息處理者不應提供不便于個人查閱的方式。
二. 個人基于行使個人信息權利而向法院起訴的前置條件
《個人信息保護法》第五十條規定,個人信息處理者應當建立便捷的個人行使權利的申請受理和處理機制。拒絕個人行使權利的請求的,應當說明理由。個人信息處理者拒絕個人行使權利的請求的,個人可以依法向人民法院提起訴訟。
對于個人信息處理者拒絕個人行使權利的請求是否是個人依法向人民法院提起訴訟的前置程序在理論界和實務界一直存在爭議。如有學者認為,訴權是民事主體的最基本權利,訴訟制度也是最基本的法律制度,根據《立法法》第8條,只有法律中明確規定了某種程序是提起訴訟的前置程序的,才是合法的。將個人向個人信息處理者提出請求作為起訴的前置程序,會對個人信息權益造成不合理的限制,違反《民法典》。也有學者認為,個人信息保護請求權本質上不同于民法上的請求權,關鍵在于個人信息保護請求權沒有財產性質或者人身性質的內容,而是為了保護個人知情權、決定權、限制或者拒絕權而設定的程序性權利,《民法典》雖然規定了個人的個人信息保護請求權,但是沒有規定行使的路徑,而《個人信息保護法》對此做出了專門的規定,在法律適用上應適用《個人信息保護法》第五十條的具體規定。即,個人只有在行使個人信息保護請求權被個人信息處理者拒絕的情況下,方可以向法院提起訴訟。
從目前的司法實踐看,法院多認為個人信息處理者拒絕個人行使權利的請求是個人依法向人民法院提起訴訟的前置條件。原因在于,一是個人向個人信息處理者主張權利,是最快捷、最便利、最有效的維權方式;二是個人信息流動大、使用頻率高、范圍廣,如個人不向個人信息處理者主張權利而直接向法院起訴,可能造成司法資源的巨大浪費。
在因購物信息公開引發的個人信息保護糾紛一案中,杜某未通過個人信息處理者公示的權利行使路徑向個人信息處理者主張個人信息權利,而是直接向杭州互聯網法院提起訴訟,杭州互聯網法院認為不符合《個人信息保護法》第五十條規定的起訴受理條件,裁定駁回起訴。
我們認為,個人基于行使個人信息權利向法院起訴的要件可以總結為:
個人行使程序性、保護性權利具有法定或約定的事由;
個人向個人信息處理者提出了有效的程序性、保護性權利的申請;
個人信息處理者無正當理由拒絕個人行使程序性、保護性權利,或對個人提出的申請不予理睬。
1. 如何認定個人信息主體向個人信息處理者提出了有效的程序性、保護性權利的申請?
在(2022)粵01民終3937號案件當中,個人已通過個人信息處理者公示的個人信息權利行使路徑(致電客服和發送郵件)提出了行使個人信息權利的請求,但是由于未同時提供個人身份信息,個人信息處理者認為,個人發送的電子郵件未提供任何真實的個人身份信息,且個人信息處理者不掌握案涉用戶賬號的實名認證信息,因而無法回應個人的請求。法院認為,即使通過電話或郵件均無法核實個人身份信息,在個人已經多次提出請求的情況下,個人信息處理者應引導個人提供相關必要信息以核實身份,而不是找理由拒絕個人的請求。在該案中,個人信息主體已向個人信息處理者提出了有效的程序性、保護性權利的申請。
在王某與某科技公司個人信息保護糾紛一案中,某科技公司在其網站公示了在線客服和人工客服電話兩種個人信息權利受理渠道,且均處于顯著位置,然而王某未按某科技公司提供的路徑提交個人信息權利請求,而是選擇向網站中預留的銷售電子郵箱發送刪除申請,因而某科技公司未能夠及時處理王某提交的申請,導致未及時響應。法院認為,個人未向個人信息處理者提出有效的程序性、保護性權利的申請。
2. 如何界定個人信息處理者無正當理由拒絕當事人行使程序性、保護性權利,或對當事人提出的申請不予理睬?
在(2022)京0108民初9920號案件中,尹某向某網約車平臺主張,其正在使用的手機號的原機主已注銷手機號,希望網約車平臺不要再向其該手機號發送短信和撥打電話(原機主以該手機號在網約車平臺注冊為用戶),網約車平臺客服要求尹某下載安裝移動APP,提供移動開戶證明,同時上傳身份證明,證明其是該手機號的持有人。尹某拒絕了網約車客服的要求,繼而向法院提起訴訟。法院認為,某網約車平臺要求尹某提供其為手機號持有人的相關信息以核實用戶信息是否變更并進行銷戶操作,屬平臺正常履行審核義務,并無不當。某網約車平臺不協助尹某實現其權利主張的行為不屬于無正當理由拒絕當事人行使程序性、保護性權利。
在(2022)粵01民終3937號案件中,個人信息處理者認為,個人發送的電子郵件未提供任何真實的個人身份信息,且個人信息處理者不掌握案涉用戶賬號的實名認證信息,因而無法回應個人的請求。該案中,個人信息處理者的行為屬于無正當理由拒絕當事人行使程序性、保護性權利、或對當事人提出的申請不予理睬的行為。
第三部分 企業應對
綜上分析,我們認為企業應建立便捷的個人行使權利的申請受理和處理機制,具體可包括以下內容:
1. 確保企業公示的個人信息權利行使路徑易于尋找且可以有效觸達。
如企業能否以公示的郵箱故障未收到個人權利申請郵件作為抗辯理由,答案是“否”。因企業有義務保證其公示的郵箱可以正常接受郵件。
2. 優化交互頁面的設計,盡量完善個人信息披露范圍,使得用戶在個人主頁即可查閱到詳盡的個人信息,避免通過電話或郵件的方式要求企業另行提供從而增加企業的負擔。
3. 完善個人信息權利響應機制,提前對客服人員進行必要的培訓,訓練專業話術,使得客服人員能夠準確判斷用戶的權利主張并及時給與答復或反饋;對于無法立即響應的權利主張也能有順暢的向上匯報路徑。
4. 如個人未提供或拒絕提供個人身份信息,應立即告知個人提供個人身份信息的目的以引導個人提供,或明確說明不予提供個人身份信息的后果,避免企業被認定為拒絕或不予反饋個人權利請求。
5. 如個人要求提供的個人信息難以實現,無論是由于技術上或成本上的原因,企業應及時向個人解釋說明以取得理解或收取合理費用后提供,避免直接拒絕提供或無視個人申請而引起不必要的糾紛。
注釋:
[1]參見程嘯:《論個人信息權益》
[2]參見楊合慶主編:《中華人民共和國個人信息保護法釋義》第128頁。
