宋才發(fā)

摘 要： 我國民事法律制度把個人“信息權利束”定位于國家履行積極保護義務，通過“加快構建數(shù)據(jù)基礎制度體系”的法治路徑，保障個人自主控制范式下的個人信息權能實現(xiàn)。個人“信息權利束”是一個特定的法律概念，是國家制定法為公民個人設置的、在個人信息處理全周期內由個人合法行使的一組權利的集合。個人“信息權利束”具有憲法權利屬性，需要強化個人信息主體權利體系的法治保障。信息保護法是規(guī)制個人信息權利的基本法，“告知同意”是體現(xiàn)個人人格自由的法律規(guī)制，查閱復制權、可攜帶權、個人信息刪除權等，都是體現(xiàn)個人信息自主決定權的法律規(guī)制?！皞€人信息公開”是信息處理者處理個人信息的基礎，“信息主體同意”是體現(xiàn)權利人自主決定的關鍵，“信息侵權救濟”是維護權利人合法權益的舉措。

關鍵詞： 信息權利束； 信息處理； 告知同意； 查閱復制； 信息刪除； 法律救濟

中圖分類號： D922.8； D923； D923.7 文獻標識碼： A DOI： 10.3963/j.issn.1671-6477.2023.03.001

習近平在黨的二十大報告中強調要“提高公共安全治理水平”“加強個人信息保護”［1］。我國民事法律制度把保護個人“信息權利束”定位于國家履行積極保護義務，通過“加快構建數(shù)據(jù)基礎制度體系”［2］的法治路徑，依法保護個人信息、保障個人自主控制范式下的個人信息權能的實現(xiàn)。從法的本質上看，“個人信息權利束”是信息權利人對個人信息自我控制、自我保護、自主決定的重要手段，是民事主體對個人信息享有的法定權利。由《中華人民共和國民法典》（以下簡稱《民法典》）《中華人民共和國個人信息保護法》（以下簡稱《個人信息保護法》）規(guī)制的個人“信息權利束”，是國家制定法為公民個人設置的、在個人信息處理全周期范圍內由個人合法行使的一組權利的集合［3］。

一、 個人“信息權利束”及民事權利體系釋義

（一） “信息權利束”的基礎概念是“權利束”

“權利束”是個外來詞匯，也是近年來在我國被廣泛使用的一種新的權利研究范式，即把一組權利邊界界定清楚、權利內容規(guī)范清晰的權利，通過固定的“束點”，將其歸集、組成為一束權利。對于“權利束”的研究，不僅要找到財產(chǎn)利益的根源，還要弄清楚“權利束”中的排他性。只有這樣，才能做到有共同的“束點”，有清晰明了的“邊界”。每一組權利只要是以“權利束”的形式出現(xiàn)，那么，這個“權利束”就必然有一個共同的“束點”，“束點”在本質上就是這組權利的“共同性”［4］?！皺嗬钡暮诵囊x在于“主體多元”，反映在權利的形式上，就形成為“權利種類多樣化”?！皺嗬N類多樣化”的特性，又是由權利主體的多元性和利益性決定的。正是由于體現(xiàn)權利所具有的“利益性”特點，才促成和使得這一資源上的多樣化權利能夠相互捆綁在一起而成為一組“權利束”。如果權利主體訴求的權利內容不是彼此關心的“利益”問題，那就無法形成具有法律意義的“權利束”?！皺嗬痹臼恰爸贫冉?jīng)濟學”（抑或“產(chǎn)權經(jīng)濟學”）的概念，自19世紀末期以來，對“權利束”的應用就已經(jīng)與“產(chǎn)權”的應用相比肩?？傊皺嗬钡膬群仁嵌嘣?，又是多樣的，其不僅涵蓋了權利主體的多元化，同時也包含了權利類型的多樣化。就“內涵多元”而言，它主要體現(xiàn)為一種資源的主體多元，如有個人的、集體的、國家的，還有少數(shù)不明確主體的。就其“種類多樣”而言，它主要表現(xiàn)為財產(chǎn)固有的權利，包括使用權、交易權、抵押權、租賃權、贈與權與準入權，以及拒絕使用這些權利的權利［4］。從法律意義上闡釋和應用“權利束”概念，最廣泛、最典型的要算土地“權利束”，它包括了土地的所有權、用益物權、擔保權以及相鄰關系權［4］。

（二） “信息權利束”是一個特定的法律概念

個人信息權是信息化時代產(chǎn)生的一種新型權利，個人信息權具有獨立人格權的法律屬性。法律保護信息權利人對個人信息自主控制、自我保護、自主決定的獨立意志，具體地表現(xiàn)為保護信息權利人的知情權、決定權、保密權、封鎖權、查詢權、更正權、復制權、刪除權和報酬權等項權能的獨立行使。因而國家通過民事立法方式設置個人“信息權利束”，既是國家保護信息權利人合法權利、制衡信息處理者的法律規(guī)制，也是國家保護公民個人信息權益不受侵犯所必不可少的救濟機制?！吨腥A人民共和國民法典》第四編《人格權》中的法律規(guī)范采取概括、列舉的方式界定個人信息權的內涵，這種對個人信息定義“可識別”的界定方式，體現(xiàn)了法律規(guī)制具體化、明示化的規(guī)范要求［5］。隨后出臺的《個人信息保護法》，在界定個人信息定義的時候，還對個人信息規(guī)定了“匿名化”的處置方式。對個人信息采取不能復原的“匿名化”處理，能夠達到無法識別特定個人的目的［5］。法律之所以作出這樣嚴格的法律規(guī)定，根本目的在于保護自然人對其個人信息所擁有的自主支配和自主決定權。當然，作出這樣的法律規(guī)制并不意味著個人信息就不能被他人收集和使用。與“個人信息權”相適應的個人“信息權利束”，是指包括個人信息權利人知情、決定、保密、封鎖、查詢、更正、復制、刪除、報酬等權能在內的一組權利集合［3］，它既是信息權利人依法制衡信息處理者的法律工具，更是國家介入其中尤其是規(guī)制網(wǎng)絡健康運行的法治手段?！靶畔嗬笔切畔嗬藢€人信息進行“自主控制”“自我保護”的重要舉措，也是《民法典》《個人信息保護法》賦予民事主體依法享有對其個人信息的自主支配權。我國在大數(shù)據(jù)和數(shù)字經(jīng)濟的背景下，對個人信息數(shù)據(jù)的處理和開發(fā)利用已經(jīng)由原來的“個人信息處理者”發(fā)展演變?yōu)椤靶畔?shù)據(jù)處理平臺”機構。通過對個人信息的采集、分析、處理、決策等程序，進而深刻地影響和制約人們的生產(chǎn)生活方式?，F(xiàn)代化的、先進的信息處理功能與手段，往往使個人信息權利人陷入被動的、受壓制的境地，個人事實上無法單憑“信息自決”下的諸項權能來抵御侵害風險。由于我國對公民個人信息數(shù)據(jù)保護立法起步較晚，加之法律法規(guī)體系不夠健全和完善，因而個人信息泄露以及非法流通利用等情形時有發(fā)生，給個人信息權利人的人格尊嚴、財產(chǎn)等合法權益帶來現(xiàn)實的和潛在的風險。其實，“個人信息權利束并不是先在的民事權利集合”［3］，也不是當下最佳的個人信息保護方式。若簡單地把公民“信息權利束”表述為民事權利，實際上“無法對國家機關處理個人信息的情形進行合理的解釋”［3］，也容易“導致個人信息保護監(jiān)管和執(zhí)法機制在邏輯上陷入混亂”［3］。國家把個人“信息權利束”的權能與個人信息處理者的義務揉合在一起，構成了國家數(shù)據(jù)共享和對個人信息保護雙重目標的“法秩序”。國家對個人“信息權利束”權能采取多種保護機制，相對于通過民事權利和個人本位的保護方式來說更加全面有效。這里需要指出的是，國家公權力對個人信息進行保護，其出發(fā)點和主要目的不是對公民個人私權損害進行救濟，而是規(guī)制和約束個人信息處理者必須合法“合規(guī)”地處理和利用個人信息。

（三） 個人“信息權利束”具有憲法權利屬性

從法律規(guī)制的視角看，信息權利人行使“信息權利束”的法定權利與個人信息處理者履行法定義務，是國家對個人信息處理活動予以規(guī)制的產(chǎn)物，兩者的契合與共同發(fā)揮功能作用，構成了公民個人信息處理的法治規(guī)則?！吨腥A人民共和國憲法》第三十三條規(guī)定：“國家尊重和保障人權?！保?］這條規(guī)定是在大數(shù)據(jù)時代，隨著數(shù)字經(jīng)濟的快速發(fā)展而對人權保障提出的新要求。《中華人民共和國憲法》第三十八條規(guī)定：“中華人民共和國公民的人格尊嚴不受侵犯。禁止用任何方法對公民進行侮辱、誹謗和誣告陷害?！保?］這條憲法規(guī)定，事實上就是個人“信息權利束”的憲法基礎，正是在此基礎上構建了一套“基礎穩(wěn)固、內容完整、結構合理的個人信息保護法律體系”［3］。國家構建公民個人信息處理的制度框架體系，在個人信息權利人與個人信息處理者之間形成清晰的信息處理權利義務關系，通過彼此制衡，最終達到和實現(xiàn)公民個人尊嚴保障及相關法益保護的目的。這也即是說，依據(jù)《憲法》保護規(guī)定，任何人、任何機構對個人信息處理不得逾越“人格尊嚴”的法律底線，這是我國憲法和民法的最基本的共同要求?！吨腥A人民共和國民法典》是我國典型的“權利法”，但它不是完全意義上的個人信息“保護法”，也不是個人“信息權利束”的確認者。《民法典》第一千零三十四條至第一千零三十九條規(guī)定的個人信息保護，只是個人信息國家保護義務在《民法典》中的投影而已。《中華人民共和國個人信息保護法》開啟了專門立法保護個人信息的新時代。《個人信息保護法》第一條開宗明義地指出：“為了保護個人信息權益，規(guī)范個人信息處理活動，促進個人信息合理利用，根據(jù)憲法，制定本法?！保?］這既是立法權法定原則的規(guī)范要求，也是對個人信息權益保護的《憲法》定位，有利于認識和證成個人信息權是具有《憲法》性質的基本權利［8］。它一方面表明《個人信息保護法》對《憲法》的遵循和依從關系，另一方面致力于構建“國家保護個人信息義務”［3］的框架，賦予國家對個人“信息權利束”的保護義務，既維護信息權利人個人信息的合法權益，又保障信息處理者和信息開發(fā)者合法利用有效信息資源，推進信息資源共建、共治、共享，降低信息監(jiān)管和執(zhí)法成本，提升國家數(shù)據(jù)治理水平。盡管《民法典》與《個人信息保護法》在保護個人信息權能和功能上存在顯著區(qū)別，但《民法典》與《個人信息保護法》規(guī)定的權利結構卻基本相同。如《民法典》在第一千零三十七條規(guī)定了個人信息主體的查閱權、復制權、異議權和刪除權［9］；《個人信息保護法》在第四十四條至第四十七條則規(guī)定了個人信息主體的知情權、決定權、查閱權、復制權、異議權、刪除權與可攜帶權［7］。國家構建個人信息保護法律體系的目的，不是要禁止個人信息的流通和運用，而是要保障數(shù)據(jù)處理活動全過程、全鏈條的公平性、合理性和謹慎性，以求達到和實現(xiàn)個人信息處理風險與流通效益的均衡［3］，也即是說，《個人信息保護法》規(guī)定了個人信息處理的一般規(guī)則與特別規(guī)則，構建起個人信息處理活動規(guī)范化的基本框架，對個人在個人信息處理活動中的權利、個人信息處理者的義務以及履行個人信息保護職責的部門也作出了規(guī)定①。個人“信息權利束”作為公法工具性權利的界定，表明任何侵害個人“信息權利束”的行為將不只是單純的民事侵權，而是公然抑或直接侵犯公法上的“法秩序”。盡管《民法典》規(guī)定的民事侵權責任機制已經(jīng)在圍繞個人信息侵權損害展開民事賠償和法律救濟，但國家仍不忘規(guī)制信息權人秉持權利規(guī)則、信息處理者恪守義務規(guī)則，這是國家權力機關履行“個人信息受保護——國家保護義務”的體現(xiàn)。

（四） 強化個人信息主體權利體系的法治保障

盡管《民法典》和《個人信息保護法》都具有保護個人信息主體（即個人信息權利人）的法律規(guī)定，但是《民法典》和《個人信息保護法》畢竟是兩部性質和功能不同的法律。如《民法典》在第一千零三十七條中，概括性地規(guī)定了個人信息主體所享有的一系列民事權利，并且使這些權利具有“請求權”的基本特征。這即是說，《民法典》從立法價值到規(guī)定基本原則、具體制度均體現(xiàn)了時代性［8］；《個人信息保護法》則從保護信息權利人合法信息權益，支持信息處理者合法利用和開發(fā)數(shù)據(jù)資源的視角，對個人信息處理者泄露、毀損和竊取信息權利人信息的行為進行規(guī)制，回應了當下以及未來人們對于個人信息權利保護的重點，凸顯了前瞻個人信息保護的前景［8］。再從法的延續(xù)性和繼承關系看，《個人信息保護法》所規(guī)定的知情權、決定權等系列權利，正是對《民法典》相關民事權利的延續(xù)、繼承和發(fā)展。因而無論現(xiàn)在抑或將來，任何割裂、否認《個人信息保護法》和《民法典》內在聯(lián)系的觀點和做法，都是不符合我國成文法特質要求和脫離我國立法實際的［8］。正在修訂中的我國《電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定》，將是一份對公民個人信息保護予以規(guī)制的規(guī)范性法律文件，也是強化應用程序責任鏈管理、健全個人信息保護的制度規(guī)范［10］。之所以需要盡快修訂先前曾起過開先河作用的《電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定》，是因為它對網(wǎng)絡運營主體收集、使用個人信息的規(guī)范比較粗糙、缺乏明確的指引，事后救濟不足以保護個人信息的需要［11］。為了遏制對個人信息權益的侵害并加大處罰力度，《中華人民共和國刑法修正案（九）》專門增設了侵犯個人信息罪、拒不履行信息網(wǎng)絡安全管理罪等罪名［12］?！吨腥A人民共和國網(wǎng)絡安全法》也規(guī)定了網(wǎng)絡運營者收集、使用個人信息的一般原則和保護義務，規(guī)定了違反相關義務的行政處罰規(guī)范［13］。我國推出的《信息安全技術個人信息安全規(guī)范》（GB/T35273-2017）等標準［14］，已成為衡量和認定網(wǎng)絡運營者是否落實主體義務的主要依據(jù)。為了加強對個人信息主體民事權利體系的制度構建，建議在“十四五”規(guī)劃期間乃至更長的時間內，由最高人民法院針對個人網(wǎng)絡信息保護作出專門的司法解釋，對侵權違約責任構成要件予以明確規(guī)范，對侵權違約責任的賠償計算方式、賠償標準予以明確厘定，將大規(guī)模個人網(wǎng)絡信息泄露事件納入公益訴訟案件受理范圍［13］。

二、 公民個人“信息權利束”的法律規(guī)制

（一） 信息保護法是規(guī)制個人信息權利的基本法

在世界百年未有之大變局的時代，怎樣有效實現(xiàn)對個人信息處理的知情權、自主決定權，已成為世界范圍內個人信息保護最具認同的權利，且大多已轉化為實證法上的權利［8］。由于個人信息處理存在著不可預測性、不可預見性和難于防范的風險，易導致規(guī)制失靈、秩序失調，以致出現(xiàn)失控、失序甚至危及公民權利、社會福祉、公共秩序的嚴重態(tài)勢，并集中地體現(xiàn)和暴露出社會某些領域、某些方面的“治理赤字”。盡管人們從人權、憲法權利以及公私法域等多角度提出自身對于權利的訴求，但實證法只能框定在某些具有最大共識的權利訴求上面［8］。我國是歷史悠久、底蘊深厚的成文法國家，法律規(guī)范是公民行使個人權利的基本依據(jù)。信息數(shù)據(jù)權利涉及公民基本權利，理應給予絕對權利的法律保護效力［4］。我國現(xiàn)行的《民法典》與《個人信息保護法》，就是個人行使相應請求權的基本法律。個人信息權利人在理解和適用決定權、知情權和可攜帶權等公民個人信息權利的時候，可以同時適用這兩部法律的相關規(guī)定。由于“信息”只是數(shù)據(jù)的表征形式，唯有“數(shù)據(jù)”才是信息的真實載體。因而這里所論及的“決定權”“知情權”，實際上只是個人信息權利人權利體系的基礎，而查閱權、復制權、異議權、刪除權和可攜帶權等具體權利體現(xiàn)出來的才是散射交叉的系列權能，法律指向的是信息權利人個人“信息權利束”的實際內容，它是法律規(guī)制個人信息主體權利體系的核心［8］。與此同時，個人信息處理者在理解和運作查閱權、復制權、異議權和刪除權等信息權利的時候，同樣可以同時適用這兩部法律的相關規(guī)定?？梢哉f，我國個人信息權益保護立法，在本質上就是“以大規(guī)模、高度組織化的個人信息處理者為規(guī)制原型”的［8］。對于信息處理者所承擔法定義務的規(guī)定而言，可以說《個人信息保護法》比《民法典》更為全面、細致和具體。凡屬于我國《民法典》沒有規(guī)定的具體適用的情形，個人信息權利人可以依據(jù)我國《個人信息保護法》的規(guī)定，請求個人信息處理者履行相應義務［8］。我國《民法典》并沒有專門規(guī)定個人信息處理者的民事責任，而《個人信息保護法》則在第六十九條規(guī)定了個人信息處理者的“過錯推定責任”②。信息處理者的法定義務和應盡責任，貫穿個人信息權益保護的全過程。在未來的實踐中對民事責任的法律適用，應當優(yōu)先適用《個人信息保護法》的規(guī)定。如果信息權利人能夠證明自己因之而受到精神損害，則可請求相應的精神損害賠償。

（二） “告知同意”是體現(xiàn)個人人格自由的法律規(guī)制

個人“信息權利束”中的數(shù)據(jù)權利，包含法律規(guī)定的“人格權”，以體現(xiàn)《民法典》對信息權利人自由與尊嚴的法律保護?！案嬷狻笔敲袷路芍贫却_立的個人信息保護的核心規(guī)則，也是體現(xiàn)和維護信息權利人信息權利的重要規(guī)則，更是明晰和確認信息權利人與信息處理者之間權利義務關系的“合同規(guī)則”［15］。我國《民法典》第一千零三十五條規(guī)定，處理個人信息需要“征得該自然人或者其監(jiān)護人同意”［9］；第一千零三十六條還規(guī)定，“合理處理該自然人自行公開的或者其他已經(jīng)合法公開的信息”［9］，不承擔民事責任。需要指出的是，《民法典》在這里只是把信息已被“合法公開”視為未經(jīng)信息權利人同意而處理信息的“免責事由”，并沒有把它作為處理個人信息“正當化”的合法基礎。與此相應，《個人信息保護法》第十三條規(guī)定，個人信息處理者處理個人信息必須“取得個人的同意”［7］，即是說，在《個人信息保護法》里，“取得個人的同意”是對個人信息處理者的一項硬性規(guī)定。這兩部法律的兩條規(guī)定，被法學界視為“對告知同意規(guī)則地位的確立”［16］。同時還需要指出的是，這里“同意”的本質含義，是指在信息權利人“知曉”“知情”的前提下，對自己個人信息享有的決定權［17］。民事權利意義上的“同意”和“約定”既有區(qū)別又有聯(lián)系，有時分立，有時合并?！巴狻弊鳛榍謾喾ㄉ系摹懊庳熓掠伞?，必須是個人信息權利人合法、真實的意愿，不得違反法律的強制性、禁止性規(guī)定［18］，也不得違反《民法典》規(guī)定的公序良俗原則。但是，我國《民法典》和《個人信息保護法》沒有對“告知同意規(guī)則”予以明確設定，規(guī)范的內容也沒有考慮為信息權利人保留博弈的機會。實事求是地說，“告知同意規(guī)則”關于“理性人”的設定有悖于現(xiàn)實情況［16］。從另一方面考察分析，由于信息主體單方面享有決定、變更等項權利，信息主體一旦單方面行使變更權（單方面變更權原本是針對信息主體利益受損而設定的事后救濟權），勢必會違背信息處理者的預期并致使其利益受損。這些現(xiàn)實問題的客觀存在，不僅有違民法的公平公正原則，而且與“告知同意規(guī)則”在個人信息保護中的重要地位不相稱。鑒于“告知同意規(guī)則”在實踐中存在諸多現(xiàn)實問題，建議未來法律修改在保持現(xiàn)有“告知同意規(guī)則”的制度框架下引入激勵機制，即“在對信息處理者激勵的層面上，賦予告知同意規(guī)則以排除管理性強制性規(guī)定的功能，并限制信息主體單方變更權的行使范圍?！保?6］我國個人信息保護的激勵機制來源于兩個方面：一方面是來源于國家對信息處理者的激勵，即通過國家對信息處理者施以激勵措施，促使信息處理者以自我調節(jié)的方式實現(xiàn)自律，這種“軟法之治”可以減少個人信息侵權的可能性。另一方面是來源于信息處理者對信息主體的經(jīng)濟激勵，即通過信息處理者給予喪失博弈機會的信息主體經(jīng)濟補償或經(jīng)濟激勵，激發(fā)信息主體暢通信息交流渠道和激發(fā)信息交易積極性，實現(xiàn)信息權利人與信息處理者之間的利益平衡。從理論分析和實踐效應上講，引入激勵機制既有利于實現(xiàn)個人信息保護與個人信息流通的有效平衡，有利于信息處理者高質量地履行告知義務，也有利于提升信息權利人提供高質量的“同意”［16］。

（三） “查閱復制權”與“可攜帶權”的法律規(guī)制

“查閱復制權”是信息權利人在個人信息處理活動中的一項重要權利，個人信息權利人向信息處理者請求“查閱”抑或“復制”的是自己過去的信息，“查閱復制權”是個人信息“查閱權”和“復制權”的綜合統(tǒng)稱。法律賦予信息權利人“查閱復制權”的權能，是法律保護信息權利人個人享有“知情權”的具體體現(xiàn)。依法實施法律規(guī)定的“查閱復制權”，不僅有利于拒絕或防止他人對個人信息的有害性處理，而且有利于實現(xiàn)信息權利人的個人信息“決定權”［19］。即使已經(jīng)去世了的人，也可以通過近親屬維護其合法正當?shù)臋嘁妫洳殚啅椭茩啾闶欠浅Ｖ匾豁椌S權手段［20］?！秱€人信息保護法》第七條規(guī)定，“處理個人信息應當遵循公開、透明原則，公開個人信息處理規(guī)則，明示處理的目的、方式和范圍?！保?］如果個人信息處理者違背“公開透明”原則，故意采取隱秘的、暗箱操作等途徑和方式，那就屬于侵害“個人信息知情權”的非法行為，必將受到應有的法律制裁。我國的個人信息“查閱權”“復制權”“可攜帶權”“更正權”和“補充權”，是由《個人信息保護法》在第四十五條和第四十六條中明文規(guī)制的。依據(jù)我國《個人信息保護法》第四十六條的規(guī)定，信息權利人請求更正、補充其個人信息的，個人信息處理者必須在核實其個人信息的前提下，予以及時更正和補充，這是法律對個人信息處理者規(guī)制的法定義務。需要指出的是，《個人信息保護法》視域下的“查閱復制權”，不同于其他法律規(guī)定的“查閱復制權”，它以實施我國《憲法》規(guī)定的“人格尊嚴”、“通信秘密”以及“人身自由”為目的，體現(xiàn)了公民個人信息國家保護義務的制度性保障［21］?！皵?shù)據(jù)可攜帶權”是由歐盟《一般數(shù)據(jù)保護條例》第二十條規(guī)定的“一種新型的數(shù)據(jù)主體權利”［19］，即信息權利人對已經(jīng)同意信息處理者處理的數(shù)據(jù)信息，“有權要求該控制者提供結構化的、通用的、機器可讀的、能共同操作的以格式形式加以提供的權利”［19］。我國現(xiàn)行網(wǎng)絡安全和個人信息保護的法律，只是將信息主體之同意作為數(shù)據(jù)處理的合法性依據(jù)，目前尚未規(guī)定任何例外情況［22］。我國審議通過《個人信息保護法》的第一次“草案”和第二次“審議稿”，均沒有列入“數(shù)據(jù)可攜帶權”。全國人民代表大會憲法和法律委員會經(jīng)過反復研究，建議增加規(guī)定“個人請求將其信息轉移至其指定的個人信息處理者，符合國家網(wǎng)信部門規(guī)定的條件的，個人信息處理者應當提供轉移的途徑”［23］。于是才有了我國現(xiàn)行《個人信息保護法》第四十五條關于“個人可攜帶權”③的法律規(guī)制?！秱€人信息保護法》第四十五條第三款中“符合國家網(wǎng)信部門規(guī)定條件”的法律表述，實質上是在授權國家網(wǎng)信部門依法作出具體細則，以促成信息權利人實現(xiàn)對其個人信息活動的決定權，促進平臺信息交流規(guī)范有序創(chuàng)新發(fā)展。

（四） “個人信息刪除權”的法律規(guī)制與私法救濟

法律通常所論及的“刪除權”，“是指在符合規(guī)定條件時，作為信息主體的個人所享有的請求個人信息處理者刪除所處理的個人信息的權利?！保?4］“個人信息刪除權”在性質上屬于個人信息的一項權能，是信息權利人對其個人信息處理活動享有決定權的體現(xiàn)，它不同于自然人“撤回同意”以及網(wǎng)絡侵權責任中的“通知刪除”規(guī)則。信息權利人啟動刪除權的一個直接動因，是由于個人信息權益遭遇到違法行為的嚴重侵害，或者事實上超越了事先約定的范圍，信息權利人因之而要求信息處理者停止對信息的處理并予以刪除。信息處理者“拒不刪除”的，必須依法承擔侵權法律責任。信息處理者對信息權利人個人信息“超期保存”，未履行刪除義務的也構成法律侵權責任?！秱€人信息保護法》所保護的信息權利人的合法權利和權益，不只是關注信息隱私和信息主體的可識別性權利，還關注個人信息作為評判信息主體的功能［24］。在《個人信息保護法》規(guī)定的“個人信息刪除權”的法律規(guī)制中，行使個人信息刪除權的權利主體是信息權利人，義務主體是個人信息處理者。符合《個人信息保護法》第四十七條規(guī)定的情形之一的，“個人信息處理者應當主動刪除個人信息”④。刪除權也適用于“搜索引擎”，但要區(qū)分不同情形并作出必要的限制。《個人信息保護法》第四十七條第二款規(guī)定了信息權利人不得行使刪除權的兩種具體情形：一是屬于“法律、行政法規(guī)規(guī)定的保存期限未屆滿”［7］，個人不得行使刪除權，但法律規(guī)定“處理者應當停止除存儲和采取必要的安全保護措施之外的處理”［7］活動。二是屬于“刪除個人信息從技術上難以實現(xiàn)的”［7］，個人不得行使刪除權，但“可以采取停止除存儲和采取必要的安全保護措施之外的處理，以實現(xiàn)刪除個人信息旨在達到的目標”［24］。在數(shù)字化和數(shù)字經(jīng)濟時代，應當允許信息處理者根據(jù)情勢變更原則改變或增加新的處理目的，但是“應當重新取得個人同意”［25］。建議在未來法律修改時對“不同意就不提供服務”，強行“取得個人同意”等違反自愿原則的效力給予否定評價［26］?！皞€人信息刪除權”作為信息權利人的一項極為重要的民事權利，盡管它確實具有公法的屬性，但不宜將其認定為公法上的權利，因為它是由《民法典》所確認的一項民事權益。當信息權利人遭受的侵害無法在《個人信息保護法》中找到法律依據(jù)進行救濟的時候，可以通過適用《民法典》有關規(guī)定予以救濟，因為個人信息刪除權“受到私法規(guī)范的全面保護”［27］。

三、 信息權利人對個人信息的自主決定權

（一） “個人信息公開”是信息處理者處理個人信息的基礎

這里論及的“個人信息公開”，以信息權利人的個人信息處于客觀公開狀態(tài)為前提，并不限定于特定的利益保護目的［28］?！秱€人信息保護法》規(guī)定的“已公開的個人信息”［7］范圍，既包括信息權利人按照本人意愿自行公開的個人信息，也包括依法被“行政公開”、“司法公開”等其他以合法方式公開的個人信息。已公開的個人信息以及取得信息權利人同意、允許被合理利用的個人信息，是信息處理者合理利用和處理個人信息的前提和基礎?！秱€人信息保護法》第十三條規(guī)定，在知情同意的主體框架之外，列舉了五項可豁免于同意規(guī)則的合法處理情形及一項兜底規(guī)則，明確把“已公開的個人信息”列為可豁免于同意規(guī)則的合法處理事由［28］。中共中央、國務院發(fā)布的《關于構建數(shù)據(jù)基礎制度更好發(fā)揮數(shù)據(jù)要素作用的意見》，從數(shù)據(jù)產(chǎn)權、流通交易、收益分配、安全治理四方面系統(tǒng)性地構建了數(shù)據(jù)要素基礎制度，為新時代新階段實現(xiàn)經(jīng)濟社會高質量穩(wěn)健發(fā)展，凸顯數(shù)字應用創(chuàng)新的數(shù)字生態(tài)奠定了堅實基礎［29］?？梢哉f，《“十四五”數(shù)字經(jīng)濟發(fā)展規(guī)劃》《關于加快建設全國統(tǒng)一大市場的意見》等重大部署，都是圍繞數(shù)據(jù)要素市場培育、促進數(shù)字經(jīng)濟高質量發(fā)展及營造良好的數(shù)字生態(tài)環(huán)境而展開的［29］。當然，信息處理者對已公開的個人信息的處理，畢竟是《個人信息保護法》規(guī)定的“知情同意規(guī)則”的一種例外。因而在“一定范圍內”和“一定條件下”，弱化對已公開的個人信息的保護力度，是數(shù)字經(jīng)濟時代倡導個人信息共建、共治、共享機制的現(xiàn)實需要，也是我國保護個人信息權益司法實踐的傳統(tǒng)做法。譬如，《關于維護互聯(lián)網(wǎng)安全的決定》就明確規(guī)定，公民個人信息安全特指公民的通信自由、通信秘密，不包括公民已公開的個人信息［30］；《關于加強網(wǎng)絡信息保護的決定》第一條，強調要“保護網(wǎng)絡信息安全，保障公民、法人和其他組織的合法權益”［31］，但沒有認定收集已被合法公開的個人信息屬于非法?！秱€人信息保護法》增設了“個人信息的公開狀態(tài)”標準，將處理不同類型的個人信息的準入門檻分為三級：（1）在處理敏感個人信息等特定情形的時候，要求獲得個人單獨同意方可處理；（2）在處理普通個人信息時，需基于法定合法性基礎才行；（3）在處理已公開的個人信息時，則無任何準入的限制性規(guī)定。為此，就需要對個人已公開的個人信息予以明確規(guī)范。已公開的個人信息“應限于向不特定多數(shù)人發(fā)布、無需借助特殊手段即可從公開渠道合法獲得的信息。若信息處理將對信息主體權益有重大影響，需適用告知同意規(guī)則?！保?2］但是這里所論及的“一定范圍內”、“一定條件下”抑或“合理處理范圍”，應當基于個人信息權利人的主觀意愿予以界定，除非該處理是《民法典》第一百一十七條所規(guī)定的“為了公共利益的需要”［9］的情形。信息權利人一旦向社會公開自己的個人信息，此時的公民個人信息即轉化或轉變?yōu)樯鐣I域的信息，信息處理者既不必局限于信息被公開時的用途，也無需契合信息主體公開該信息時的意圖，完全可根據(jù)自己的意愿處理信息［32］。如果在這種情勢下，法律規(guī)范不能夠規(guī)定或界定已公開的個人信息的“合理處理范圍”，必將影響到信息權利人對個人信息的自主決定意愿，也必將“削弱個人信息保護制度的制度意義和私法意涵，減損對個人信息自助決定權的有效保障?！保?2］值得肯定的是，與《民法典》相比，《個人信息保護法》從立法上明確了對已公開的個人信息實施弱化保護，使得已公開的個人信息可以被合理處理的原則不失為平衡信息保護負擔的務實之舉。因而，信息處理者哪怕使用了個人信息“公開之外的”其他非常手段，諸如對個人信息進行分析、改編、再使用等行為手段，亦不構成侵權。

（二） “信息主體同意”是體現(xiàn)權利人自主決定權的關鍵

信息權利人能夠以“同意”的方式行使和實現(xiàn)自主決定權，其根據(jù)就在于《憲法》規(guī)定的個人尊嚴、自由以及由主體地位推演而來的個人事項自主決定權。信息處理者只有獲得“信息主體同意”，才能使自己對信息權利人的信息處理合法化、正當化?！睹穹ǖ洹返谝磺Я闳鍡l、《個人信息保護法》第十三條，都規(guī)定了個人信息處理者要取得信息權利人的同意［7］，確立了“信息主體同意”這個體現(xiàn)權利人自主決定權的合法性地位。我國法學界對“信息主體同意”涵義的理解，事實上存在著幾種不同的看法，有必要進一步從理論上予以辨析和辯證。比如，“敏感個人信息說”認為，同意規(guī)則僅適用于敏感個人信息，由于這種觀點違背了《個人信息保護法》“個人信息處理規(guī)則”的“一般規(guī)定”，因而在未來的司法實踐中不宜被采納運用；“全部個人信息說”認為，同意規(guī)則適用于全部個人信息，由于它不利于實現(xiàn)《個人信息保護法》中“促進個人信息合理利用”的規(guī)定，因而在未來的司法實踐中也不宜被采納運用；“全部個人信息+匿名信息說”認為，同意規(guī)則適用于《個人信息保護法》規(guī)定的“個人信息”與“匿名信息”，由于它不符合《個人信息保護法》第四條中“不包括匿名化處理后的信息”的規(guī)定，因而在未來的司法實踐中仍然不宜被采納運用［33］?，F(xiàn)代社會是一個充分尊重他人不同觀念和不同選擇的社會，法律允許與特定個人沒有社會關系的人收集、儲存、傳輸、使用該特定個人的信息，但限于收集、使用結合識別個人信息，不得在分析特征的過程中分析出乃至暴露信息主體的真實身份，這就是個人信息領域陌生人的行為規(guī)范［33］。由于事實上沒有辦法保證個人信息處理者能夠自覺地遵守法律規(guī)定和行為規(guī)則，這也是國家之所以制定“禁止性規(guī)定”配套法律責任條款的根本原因。個人信息處理者在收集信息權利人個人信息之前，往往需要通過各種途徑去查詢和了解信息主體的身份，這就在客觀上給信息處理者履行“取得同意義務”帶來一定的困難。現(xiàn)代社會又被稱之為“陌生人社會”，隱匿個人身份是陌生人社會的顯著特點和普遍做法。盡管現(xiàn)代社會人與人的交往愈來愈頻繁、關系愈來愈密切，社會交往需要身處社會中的每個人允許其他人了解自己，但是這種要求必須限制于與個人有交往關系的人之間。信息主體是否需要隱匿個人身份便成為當今社會個人自主決定的重要事項。為此，我國立法借鑒并吸納了歐美國家“直接標識符”概念。“直接標識符”是指能夠單獨識別特定自然人身份的信息，如身份證號碼、社會保險號碼、指紋識別、人臉識別等信息，其“身份指向意味著存在直接標識符即足以識別信息主體真實身份”［33］，因而“直接標識符”便成為當下信息主體最主要的風險源。這是因為個人信息與個人身份的勾連通常依賴“直接標識符”，個人信息處理最大的風險在于，信息處理者有可能把信息主體的“直接標識符”不適當?shù)厣踔吝`法地傳導給其他具有特定身份的自然人［33］。

（三） “信息侵權救濟”是維護權利人合法權益的舉措

無論是“查閱權”“復制權”“可攜帶權”抑或“刪除權”，都是法律規(guī)定的個人信息權益的具體權能，而不屬于獨立的人格權益［34］。同時“查閱權”“復制權”“可攜帶權”抑或“刪除權”等各項權能的行使，又都是在個人信息處理活動中發(fā)生的，其指向均聚焦于個人信息處理者［35］。當信息權利人向個人信息處理者請求“查閱”“復制”“可攜帶”“刪除”其個人信息的時候，個人信息處理者沒有任何理由拒絕信息權利人的正當請求。一旦信息權利人的正當請求遭到信息處理者拒絕之后，信息權利人有權向履行個人信息保護職責的部門予以舉報和投訴。沒有救濟就沒有權利，信息權利人也可以請求法院保護其正當?shù)臋嗬@得司法救濟?！秱€人信息保護法》在第七章《法律責任》中規(guī)定，采取行政責任、刑事責任和民事責任相結合的辦法，為信息權益受害人提供全面的法律保護。依據(jù)我國《個人信息保護法》第五十條規(guī)定，“個人信息處理者應當建立便捷的個人行使權利的申請受理和處理機制”［7］。這條規(guī)定實質上為個人信息權利保護提供了一條新的救濟渠道。在個人信息處理者拒絕個人行使權利請求時，信息權益受害人“可以依法向人民法院提起訴訟”［7］。《民法典》第七編《侵權責任》中把“損害賠償”作為侵權責任的核心功能，不僅意味著侵權責任法不僅回歸傳統(tǒng)債法，而且增強了《民法典》把《傳統(tǒng)債法》分為《合同》與《侵權》兩編的正當性［36］?！秱€人信息保護法》不但在第六十九條把“損失”作為“侵害個人信息權益”侵權的前提，而且引入了“公益訴訟制度”，這是對“個人隱私”侵害和“個人信息”侵害予以救濟的重大制度創(chuàng)新。個人信息權益保護適用公益訴訟的重大制度安排，從根本上解決了利用互聯(lián)網(wǎng)進行個人信息侵權的治理難題，為規(guī)范非法處理個人信息侵害眾多個人權益的行為提供了公益訴訟的法律依據(jù)［37］。在“十四五”期間乃至更長的時間內，需要從救濟程序上建立健全相應的投訴處理機制，逐漸形成多維并進的程序救濟體系［38］，尤其要從侵權責任角度思考有條件地承認“預期侵權制度”，正視和肯定被侵權的風險并予以賠償，以此完善個人信息侵權損害救濟［36］。需要明確提醒和慎重指出的是，法律規(guī)定行政責任、刑事責任的著眼點是制裁侵害個人信息權益的組織或者個人實施的違法行為，因而包括懲處性的罰款、罰金等，都不是對受到損害的權利人的個人給付，而是依法上繳國庫。唯有“民事責任”才是既為國家負責又為受害者負責的規(guī)定，所有通過制裁手段獲得的財產(chǎn)賠款直接給予受害人，以救濟和填補所遭受的財產(chǎn)損失和精神損害［39］。

注釋：

① 在違法行為的“法律責任”中，既包括處理者違法處理個人信息的民事責任、刑事責任和行政責任，也包括國家機關不履行個人信息保護義務而應當承擔的行政系統(tǒng)內部責令改正、給予處分等公法上的責任，為個人信息權益提供法律上的綜合保護。參見張新寶的論文《論個人信息權益的構造》，《中外法學》2021年第5期第1144-1166頁。

② 《中華人民共和國個人信息保護法》第六十九條規(guī)定：“處理個人信息侵害個人信息權益造成損害，個人信息處理者不能證明自己沒有過錯的，應當承擔損害賠償?shù)惹謾嘭熑巍！?/p>

③ 《中華人民共和國個人信息保護法》第四十五條第三款規(guī)定：“個人請求將個人信息轉移至其指定的個人信息處理者，符合國家網(wǎng)信部門規(guī)定條件的，個人信息處理者應當提供轉移的途徑?！?/p>

④ 《中華人民共和國個人信息保護法》第四十七條規(guī)定：“有下列情形之一的，個人信息處理者應當主動刪除個人信息；個人信息處理者未刪除的，個人有權請求刪除：（一）處理目的已實現(xiàn)、無法實現(xiàn)或者為實現(xiàn)處理目的不再必要；（二）個人信息處理者停止提供產(chǎn)品或者服務，或者保存期限已屆滿；（三）個人撤回同意；（四）個人信息處理者違反法律、行政法規(guī)或者違反約定處理個人信息；（五）法律、行政法規(guī)規(guī)定的其他情形?！?/p>

［參考文獻］

［1］ 習近平.高舉中國特色社會主義偉大旗幟 為全面建設社會主義現(xiàn)代化國家而團結奮斗：在中國共產(chǎn)黨第二十次全國代表大會上的報告［N］.人民日報，2022-10-26（01）.

［2］ 習近平主持召開中央全面深化改革委員會第二十六次會議強調 加快構建數(shù)據(jù)基礎制度 加強和改進行政區(qū)劃工作［N］.人民日報，2022-06-23（01）.

［3］ 王錫鋅.超越民法：個人信息權利束的法理重構［J］.中國社會科學，2021（11）：115-134.

［4］ 閆立東.以“權利束”視角探究數(shù)據(jù)權利［J］.東方法學，2019（2）：57-67.

［5］ 鄭維煒.個人信息權的權利屬性、法理基礎與保護路徑［J］.法制與社會發(fā)展，2020（6）：125-139.

［6］ 中華人民共和國憲法［M］//中華人民共和國常用法律大全.北京：法律出版社，2019：6.

［7］ 中華人民共和國個人信息保護法［N］.人民日報，2021-08-23（14）.

［8］ 姚佳.個人信息主體的權利體系：基于數(shù)字時代個體權利的多維觀察［J］.華東政法大學學報，2022（2）：87-99.

［9］ 中華人民共和國民法典［N］.人民日報，2020-06-02（01）.

［10］工信部.正修訂《電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定》［EB/OL］.（2022-06-14）［2022-10-02］.中國新聞網(wǎng)，baijiahao.baidu.com/s？id=1735584452028600768&wfr=spider&for=pc.

［11］楊芳.個人信息自決權理論及其檢視［J］.比較法研究，2015（6）：112-121.

［12］中華人民共和國刑法修正案（九）［Z］.中華人民共和國全國人民代表大會常務委員會公報，2021（S1）：256-269.

［13］曾磊.我國個人網(wǎng)絡信息保護立法的制度構建［J］.廣西社會科學，2020（5）：126-131.

［14］董貞良.GB/T 35273-2017《信息安全技術個人信息安全規(guī)范》解讀［J］.中國質量與標準導報，2018（6）：25-27.

［15］萬方.個人信息處理中的“同意”與“同意撤回”［J］.中國法學，2021（1）：167-188.

［16］趙婧薇.個人信息保護中告知同意規(guī)則的規(guī)范構造［J］.北方民族大學學報（哲學社會科學版），2022（2）：143-150.

［17］賈元.基因權利保護和基因技術應用行為的法律規(guī)制研究［J］.北方民族大學學報（哲學社會科學版），2019（2）：144-150.

［18］陸青.個人信息保護中“同意”規(guī)則的規(guī)范構造［J］.武漢大學學報（哲學社會科學版），2019（5）：119-129.

［19］程嘯，王苑.論我國個人信息保護法中的查閱復制權［J］.法律適用，2021（12）：17-27.

［20］程嘯.論死者個人信息的保護［J］.法學評論，2021（5）：13-23.

［21］王錫鋅.個人信息國家保護義務及展開［J］.中國法學，2021（1）：145-166.

［22］敖海靜.關于《一般數(shù)據(jù)保護條例》規(guī)定的同意的指南［J］.中德法學論壇，2021（1）：235-268.

［23］江必新.全國人民代表大會憲法和法律委員會關于《中華人民共和國個人信息保護法（草案）》審議結果的報告：2021年8月17日在第十三屆全國人民代表大會常務委員會第三十次會議上［Z］.中華人民共和國全國人民代表大會常務委員會公報，2021（6）：1131-1133.

［24］程嘯.論《個人信息保護法》中的刪除權［J］.社會科學輯刊，2022（1）：103-113.

［25］劉權.論個人信息處理的合法、正當、必要原則［J］.法學家，2021（5）：1-15.

［26］郭鋒，陳龍業(yè)，賈玉慧.《個人信息保護法》具體適用中的若干問題探討：基于《民法典》與《個人信息保護法》關聯(lián)的視角［J］.法律適用，2022（1）：12-22.

［27］王利明.論個人信息刪除權［J］.東方法學，2022（1）：38-52.

［28］寧園.“個人信息已公開”作為合法處理事由的法理基礎和規(guī)則適用［J］.環(huán)球法律評論，2022（2）：69-84.

［29］張平文.夯實基礎制度 激發(fā)數(shù)據(jù)活力［N］.光明日報，2022-12-24（6）.

［30］全國人民代表大會常務委員會關于維護互聯(lián)網(wǎng)安全的決定［Z］.中華人民共和國國務院公報，2001（5）：21-23.

［31］全國人民代表大會常務委員會關于加強網(wǎng)絡信息保護的決定［Z］.中華人民共和國全國人民代表大會常務委員會公報，2013（1）：62-63.

［32］馬新彥，劉睿佳.已公開個人信息弱化保護的解釋論矯正［J］.吉林大學社會科學學報，2022（3）：62-76.

［33］李群濤，高富平.信息主體同意的適用邊界［J］.財經(jīng)法學，2022（1）：3-17.

［34］程嘯.民法典編纂視野下的個人信息保護［J］.中國法學，2019（4）：26-43.

［35］楊立新，韓煦.被遺忘權的中國本土化及法律適用［J］.法律適用，2015（2）：24-34.

［36］謝鴻飛.個人信息泄露侵權責任構成中的“損害”：兼論風險社會中損害的觀念化［J］.國家檢察官學院學報，2021（5）：21-37.

［37］張新寶，賴成宇.個人信息保護公益訴訟制度的理解與適用［J］.國家檢察官學院學報，2021（5）：55-74.

［38］張陳果.個人信息保護救濟機制的比較法分析與解釋論展開［J］.蘇州大學學報（法學版），2021（4）：77-86.

［39］楊立新.個人信息處理者侵害個人信息權益的民事責任［J］.國家檢察官學院學報，2021（5）：38-54.

（責任編輯 文 格）

Personal Information Right Bundle and the Decisive

Right on Personal Information Processing

SONG cai-fa

（Law School，Inner Mongolia University of Finance and Economics，Hohhot 017000，

Inner Mongolia，China）

Abstract：In Chinas civil legal system，the state needs to fulfill the obligation of active protection to protect personal “bundle of information rights”，and to guarantee the realization of personal information rights under the paradigm of individual independent control through the legal path of “accelerating the construction of data basic system”.Personal“bundle of information rights” is a specific legal concept，which is a collection of rights legally exercised by individuals in the whole cycle of personal information processing set up by national laws.The Information Protection Law is the basic law that regulates the right to personal information.To inform and consent is the legal regulation that reflects the freedom of personality.The right to copy，carry and delete personal information is all the legal regulation that reflects the right to make independent decision on personal information.“Disclosure of personal information” is the basis of information processors to deal with personal information，“information subject consent” is the key to reflect the right holders independent decision，and“information infringement relief” is the measure to safeguard the right holders legitimate rights and interests.

Key words：information right bundle；information processing; inform and consent; view and copy； deletion of information；legal remedy