□ 商希雪

內(nèi)容提要 隨著《個(gè)人信息保護(hù)法》的出臺(tái)，個(gè)人信息保護(hù)的規(guī)范框架已經(jīng)基本形成。在規(guī)范層面，個(gè)人信息控制能力的權(quán)利化表達(dá)也愈加具體和細(xì)化。個(gè)人信息民事確權(quán)的核心功能在于保障信息主體對(duì)信息的控制能力。在具體制度適用層面，需要處理好以下兩方面問(wèn)題：一是要根據(jù)不同的信息法益及其保護(hù)場(chǎng)景，明晰知情權(quán)、同意權(quán)與具體的信息自決權(quán)的具體規(guī)范目的，以及相應(yīng)的權(quán)利構(gòu)成要件和法律效果；二是要結(jié)合不同的法律實(shí)踐，恰當(dāng)區(qū)分信息主體對(duì)于隱私權(quán)、信息安全保障權(quán)、信息控制權(quán)的本質(zhì)訴求與發(fā)生場(chǎng)景，進(jìn)而確定各自的規(guī)范體系和規(guī)范思路。

目前，針對(duì)頻發(fā)的超越必要權(quán)限、超同意范圍的信息收集及信息處理行為，一方面我國(guó)立法尚未對(duì)個(gè)人信息的自主控制做出細(xì)化設(shè)置，另一方面司法實(shí)踐難以支持用戶表達(dá)反對(duì)收集、 要求訪問(wèn)或刪除等控制其個(gè)人信息的正當(dāng)訴求，而是主要采取隱私權(quán)侵權(quán)保護(hù)模式。不同于隱私權(quán)的法益保護(hù)內(nèi)涵，個(gè)人信息控制權(quán)利主要指信息主體對(duì)自身信息的控制能力.信息主體對(duì)其信息的交付和使用具有自由決定權(quán)，法律應(yīng)確定與現(xiàn)實(shí)保護(hù)該項(xiàng)獨(dú)立法益。①當(dāng)前，我國(guó)個(gè)人信息一系列立法已經(jīng)或即將出臺(tái)，規(guī)范層面主要從技術(shù)手段保障、數(shù)據(jù)處理者履責(zé)、信息主體控制等三個(gè)維度加強(qiáng)對(duì)個(gè)人信息的保護(hù)。然而，各部門(mén)法融合視野的規(guī)范模式導(dǎo)致司法適用的茫然.司法實(shí)踐如何適用最新立法與落實(shí)規(guī)范目標(biāo)，需要通過(guò)學(xué)理闡釋搭建規(guī)范與適用層面的橋梁。對(duì)此，應(yīng)區(qū)分公、私法領(lǐng)域各自的規(guī)范目標(biāo)與規(guī)制對(duì)象，進(jìn)而厘清各方的權(quán)義界限與責(zé)任性質(zhì)。

一、個(gè)人信息控制能力的權(quán)利化表達(dá)

自決能力是個(gè)人信息權(quán)利的核心法益，當(dāng)事人應(yīng)按照自己的意志處理其個(gè)人信息所承載的各種價(jià)值，如若違背了信息主體的自由意志，則侵犯了自然人的個(gè)人權(quán)利，理應(yīng)有尋求相應(yīng)的民事救濟(jì)的權(quán)利。

（一）個(gè)人信息權(quán)利制度的正當(dāng)性

信息控制能力賦權(quán)的合理性在于以下幾方面：第一，不是所有的數(shù)據(jù)處理都具有侵犯性，也不是所有的數(shù)據(jù)都具有隱私敏感性。不同類(lèi)型個(gè)人信息的自決權(quán)益存在不同程度的行使邊界，因此有必要對(duì)個(gè)人信息做出類(lèi)型劃分，并在該分類(lèi)基礎(chǔ)上設(shè)置具體的自決制度。第二，信息自決不宜理解為信息主體對(duì)其信息的絕對(duì)控制，也應(yīng)結(jié)合技術(shù)管控進(jìn)行賦權(quán)。比如，借鑒GDPR 規(guī)定的與自動(dòng)決策和分析相關(guān)的權(quán)利。此類(lèi)權(quán)利實(shí)際上是一種保障，防止在沒(méi)有人為干預(yù)的情況下機(jī)器的自動(dòng)決策和分析做出一些可能具有破壞性的決定。如果自動(dòng)決策是基于明確的同意或法律授權(quán)，則該權(quán)利不可繼續(xù)行使。GDPR 將“自動(dòng)分析”定義為旨在評(píng)估公民個(gè)人事項(xiàng)的任何形式的自動(dòng)處理，例如工作中的表現(xiàn)、健康狀況、個(gè)人偏好、經(jīng)濟(jì)狀況、地理位置等。如果信息主體確實(shí)要借助自動(dòng)分析，必須確保存在充分的安全措施，例如確保使用了適當(dāng)?shù)臄?shù)學(xué)或統(tǒng)計(jì)程序、保護(hù)了個(gè)人數(shù)據(jù)、制定了能夠糾正錯(cuò)誤的措施，并將錯(cuò)誤的風(fēng)險(xiǎn)降到最低。第三，釋放數(shù)據(jù)的利用價(jià)值是發(fā)展數(shù)字經(jīng)濟(jì)的核心要義，信息自決并不是排斥數(shù)據(jù)控制者的處理利益。必須承認(rèn)，積極行使型信息權(quán)益在實(shí)務(wù)中很難落實(shí)與執(zhí)行，用戶（潛在的信息主體）數(shù)量龐大與訴求多元，相對(duì)而言，企業(yè)的人力與財(cái)力則較為有限，若配合實(shí)現(xiàn)信息主體的自決權(quán)利，需付出的成本過(guò)高。在開(kāi)放的互聯(lián)網(wǎng)場(chǎng)域，數(shù)據(jù)控制者去判斷、 確定并通知所有第三方其實(shí)是不可能完成的任務(wù)。因此，法律保護(hù)實(shí)踐應(yīng)考量企業(yè)合規(guī)的成本高低與可行性做出判斷。第四，人格權(quán)保護(hù)制度無(wú)法涵蓋個(gè)人信息承載的所有信息主體利益，并且在數(shù)字化使用場(chǎng)景中，信息主體相關(guān)的信息權(quán)益不必然首要適用人格權(quán)保護(hù)制度。個(gè)人信息權(quán)法益涵蓋人格尊嚴(yán)、數(shù)字生活便利、市場(chǎng)經(jīng)濟(jì)利益等法益集合，人格權(quán)保護(hù)制度（如隱私權(quán)制度）、個(gè)人信息權(quán)利保護(hù)制度均為其提供了制度保障。在數(shù)字化產(chǎn)業(yè)中，鑒于某些信息產(chǎn)品或服務(wù)的運(yùn)營(yíng)需要收集與使用個(gè)人隱私信息，隱私信息的合理商業(yè)使用同樣需要適用個(gè)人信息權(quán)利制度，而非傳統(tǒng)的人格權(quán)制度。

（二）信息控制能力的權(quán)利化及其權(quán)利內(nèi)涵

“個(gè)人信息自決法益” 起源于20 世紀(jì)六七十年代，當(dāng)時(shí)的社會(huì)背景是信息自動(dòng)化處理技術(shù)的產(chǎn)生與普及，信息技術(shù)的發(fā)展對(duì)信息主體的自主權(quán)產(chǎn)生了直接影響。鑒于數(shù)據(jù)處理的海量化與深度化，關(guān)于數(shù)據(jù)控制者（包括政府機(jī)關(guān)與企業(yè)）在大量收集與深加工個(gè)人信息過(guò)程中對(duì)于信息主體做出的任何決定，信息主體均無(wú)從知曉哪些數(shù)據(jù)會(huì)被使用、用于何種目的、使用期限等事項(xiàng)，考慮到公共或私人組織處理數(shù)據(jù)是出于公共性職能目的，信息主體基本上對(duì)數(shù)據(jù)處理無(wú)任何干涉能力。由此，為了更好地平衡雙方的“信息力量”從而誕生了數(shù)據(jù)保護(hù)制度，以及獨(dú)立于隱私權(quán)的數(shù)據(jù)權(quán)利。②因此，“信息自決”理念的產(chǎn)生是為了防止過(guò)度收集與使用個(gè)人信息，亦是隱私權(quán)利與數(shù)據(jù)權(quán)利的分野初始。③個(gè)人信息自決權(quán)的行使邏輯為：“如果對(duì)某種法益的保護(hù)成為個(gè)人自我發(fā)展之桎梏，那么就沒(méi)有保護(hù)的必要，法益主體即具有對(duì)法益的自由處分可能性?！雹芑谠摼?，個(gè)人信息權(quán)利內(nèi)涵應(yīng)該被理解為控制和操縱個(gè)人信息是“決定自我生活”的實(shí)現(xiàn)方式，信息控制能力是個(gè)人能夠決定自己生活的前提條件。⑤個(gè)人信息被保護(hù)權(quán)與個(gè)人信息權(quán)在權(quán)利結(jié)構(gòu)上存在差異，兩者的目標(biāo)保護(hù)法益并無(wú)實(shí)質(zhì)區(qū)分，但是權(quán)利結(jié)構(gòu)的不同造成了法律救濟(jì)渠道的差異，個(gè)人信息被保護(hù)權(quán)難以有力支撐信息私權(quán)利益的個(gè)人維權(quán)主張。那么，原則上該如何劃定社會(huì)可普遍接受的個(gè)人信息權(quán)利內(nèi)容？ 第一，在個(gè)人信息公開(kāi)之前，當(dāng)事人有權(quán)決定個(gè)人信息公開(kāi)的內(nèi)容、方式、程度、范圍、環(huán)境等；第二，在個(gè)人信息公開(kāi)之后，當(dāng)事人有權(quán)決定對(duì)個(gè)人信息的進(jìn)一步處理，以保證已被收集的信息不被扭曲；第三，個(gè)人信息完成預(yù)期處理目的后，當(dāng)事人有權(quán)決定是否留存與刪除個(gè)人信息。綜上，信息控制能力包括信息披露、信息處理、信息去留等三項(xiàng)權(quán)利內(nèi)容。

（三）個(gè)人信息控制權(quán)與信息安全保障、隱私權(quán)的內(nèi)涵界分

個(gè)人在個(gè)人信息處理活動(dòng)中的權(quán)利，屬于手段性權(quán)利或救濟(jì)性權(quán)利，旨在保護(hù)個(gè)人信息權(quán)益在內(nèi)的個(gè)人權(quán)益。⑥據(jù)此來(lái)看，個(gè)人在處理活動(dòng)中涉及的權(quán)益涵蓋個(gè)人信息權(quán)利、 信息安全保障權(quán)利、 隱私權(quán)利等，但個(gè)人信息權(quán)與信息安全保障權(quán)、隱私權(quán)存在本質(zhì)差異，應(yīng)對(duì)各自蘊(yùn)含的權(quán)益內(nèi)容予以區(qū)分。

1.個(gè)人信息控制權(quán)與信息安全保障權(quán)的內(nèi)涵區(qū)分

信息自主控制不等同于信息安全。我國(guó)現(xiàn)行刑法處罰向他人出售和非法提供個(gè)人信息行為，針對(duì)的是個(gè)人信息的泄露與公開(kāi)行為，維護(hù)個(gè)人信息在保存上的安全，尤其針對(duì)數(shù)據(jù)庫(kù)，背后的保護(hù)法益為社會(huì)秩序與公共安全。而信息自決權(quán)益保護(hù)信息主體對(duì)于個(gè)人信息的自主控制，旨在保障信息主體的信息控制力，彰顯對(duì)自然人人格利益與自主選擇生活方式的尊重，《民法典》 將個(gè)人信息自決權(quán)規(guī)定于人格權(quán)編也反映出這樣的法益歸屬立場(chǎng)。因此本文重點(diǎn)關(guān)注的是個(gè)人信息控制能力，對(duì)于個(gè)人信息安全問(wèn)題如線上或線下的信息泄露或竊取行為暫不做具體探討。侵害信息安全主要表現(xiàn)為非法獲取、泄露、毀損、篡改、丟失個(gè)人信息，并可能引起下游侵害行為導(dǎo)致信息主體具體人身或財(cái)產(chǎn)權(quán)益的損害。侵犯信息控制能力主要表現(xiàn)為：（1）數(shù)據(jù)控制者超越必要權(quán)限、或者超出同意范圍的信息收集或權(quán)限獲取、 或者未經(jīng)同意進(jìn)一步處理個(gè)人信息；（2）未適當(dāng)提供信息主體訪問(wèn)、更正、刪除個(gè)人信息的功能，或者無(wú)合法依據(jù)而拒絕信息主體訪問(wèn)、更正、刪除相關(guān)個(gè)人信息的要求。目前，在司法實(shí)務(wù)中個(gè)人信息糾紛案件所涉及的個(gè)人信息多數(shù)發(fā)生在非自動(dòng)化處理環(huán)境下。⑦因此，對(duì)于非自動(dòng)化處理個(gè)人信息所產(chǎn)生的糾紛，本質(zhì)上并不屬于信息權(quán)利的法律糾紛范疇。

2.個(gè)人信息控制權(quán)（個(gè)人信息權(quán)）與隱私權(quán)的內(nèi)涵區(qū)分

信息控制權(quán)與信息隱私權(quán)（不止限于隱私信息）也存在本質(zhì)區(qū)分。隱私權(quán)訴求是不愿被他人知曉、不想被披露，個(gè)人信息權(quán)訴求是決定信息是否被收集與處理（封閉的信息通信環(huán)境中），從而獲取便利的數(shù)字服務(wù)。所以，信息主體應(yīng)當(dāng)根據(jù)不同的個(gè)人權(quán)益訴求場(chǎng)景，選擇適用隱私權(quán)保護(hù)制度或個(gè)人信息保護(hù)制度，不必然為人格權(quán)制度絕對(duì)優(yōu)先適用。目前司法實(shí)踐中法院主要適用隱私權(quán)制度保護(hù)個(gè)人信息權(quán)，部分判決中還出現(xiàn)將兩者混用不予區(qū)分的做法。⑧數(shù)據(jù)權(quán)利制度存在兩個(gè)保護(hù)維度：其一，保護(hù)個(gè)人的隱私（人格尊嚴(yán)），因此原則上禁止處理個(gè)人敏感信息；其二，保護(hù)個(gè)人的自決（個(gè)人發(fā)展），因此原則上禁止數(shù)據(jù)自動(dòng)化處理，增加信息流動(dòng)的透明度并加以限制，以防止公共或私營(yíng)數(shù)據(jù)控制者與信息主體之間形成或延續(xù)不成比例的信息權(quán)力關(guān)系。隱私權(quán)制度保障隱私信息不被公開(kāi)以及被公開(kāi)后的救濟(jì)途徑，相應(yīng)地，信息隱私法律制度的核心原則是禁止處理個(gè)人私密信息。而信息權(quán)利制度旨在保障個(gè)人信息保持在信息主體可控制其動(dòng)向的狀態(tài)，保護(hù)信息的隱私利益適用隱私權(quán)侵權(quán)保護(hù)制度即可。值得注意的是，信息主體對(duì)于隱私信息仍然享有自決權(quán)，關(guān)于個(gè)人敏感信息的自決規(guī)范同樣歸屬信息自決法律體系。⑨美國(guó)、德國(guó)、我國(guó)臺(tái)灣地區(qū)等判例均承認(rèn)隱私的財(cái)產(chǎn)價(jià)值，而我國(guó)隱私權(quán)僅承載人格利益。目前，兼顧人格權(quán)與財(cái)產(chǎn)權(quán)的個(gè)人信息權(quán)益的司法保護(hù)實(shí)踐在逐步推進(jìn)，針對(duì)個(gè)人信息保護(hù)糾紛，隱私權(quán)侵權(quán)有可能逐步淪為宣示性權(quán)利，喪失個(gè)人信息權(quán)利救濟(jì)的實(shí)際意義。⑩

二、個(gè)人信息權(quán)利的雙層規(guī)范路徑與體系化梳理

當(dāng)前，我國(guó)規(guī)范層面對(duì)個(gè)體控制自我信息能力的賦權(quán)主要表現(xiàn)為知情權(quán)、 同意權(quán)與具體的決定權(quán)?！睹穹ǖ洹返?035 條確立了個(gè)人對(duì)其信息的同意權(quán)，第1036 條確立了知情權(quán)、更正權(quán)與刪除權(quán)等，?《個(gè)人信息保護(hù)法》第四章則構(gòu)建了完整的信息權(quán)利體系。

（一）知情同意與具體自決權(quán)的雙層規(guī)范體系

信息控制能力的表現(xiàn)階段包括收集階段與后續(xù)的數(shù)據(jù)處理環(huán)節(jié)，收集階段的同意表示是后續(xù)行使具體信息自決權(quán)的前提條件。體現(xiàn)在規(guī)范設(shè)置上，知情同意權(quán)與具體的信息自決權(quán)呈現(xiàn)雙層運(yùn)行模式。信息控制能力范疇的知情同意權(quán)與具體的信息自決權(quán)，在現(xiàn)實(shí)操作中是兩類(lèi)不同行使機(jī)制的權(quán)利。

1.知情同意權(quán)與具體信息自決權(quán)并行的雙層規(guī)范路徑

知情同意機(jī)制的設(shè)置目的為： 一旦個(gè)人同意成為信息主體，即有權(quán)獲知任何有關(guān)個(gè)人信息被處理的動(dòng)向與處理目的，也有權(quán)訪問(wèn)、（隨時(shí)）查閱、修改個(gè)人信息，同時(shí)也可隨時(shí)不附條件地撤銷(xiāo)原先對(duì)數(shù)據(jù)收集方的同意。?盡管知情權(quán)并非是獨(dú)立的信息自決權(quán)，但用戶同意及協(xié)商機(jī)制是信息自決權(quán)產(chǎn)生與行使前的一道門(mén)檻，在平臺(tái)服務(wù)協(xié)議中應(yīng)明確用戶對(duì)數(shù)據(jù)控制者進(jìn)行數(shù)據(jù)處理以及自身對(duì)信息服務(wù)或產(chǎn)品調(diào)整需求時(shí)的介入內(nèi)容、干涉方式等，進(jìn)而從制度保障與技術(shù)支持的雙重緯度明確與落實(shí)個(gè)人對(duì)被收集信息的后續(xù)控制能力。?因此，從個(gè)體賦權(quán)角度，關(guān)于個(gè)人信息意思自治權(quán)利的規(guī)制，目前國(guó)內(nèi)外規(guī)范層面主要從以下兩個(gè)維度構(gòu)建：一方面，針對(duì)數(shù)據(jù)控制者對(duì)于信息的收集、權(quán)限的獲取、信息的共享、信息的進(jìn)一步處理等信息處理行為，原則上適用告知同意制度，對(duì)應(yīng)信息主體的知情同意權(quán)，數(shù)據(jù)控制者對(duì)此應(yīng)履行告知同意義務(wù)。當(dāng)然，告知同意也不是“萬(wàn)能的” 免責(zé)機(jī)制，其適用與效力也應(yīng)受到一定的限制，如不得超越公民的通信自由和通信秘密、隱私權(quán)等基本權(quán)利的保護(hù)；?另一方面，針對(duì)信息服務(wù)運(yùn)營(yíng)中的個(gè)人信息，信息主體同樣享有控制與自決的權(quán)利，主要滿足訪問(wèn)、修改、更正、刪除、攜帶信息等個(gè)體自控訴求，數(shù)據(jù)控制者對(duì)應(yīng)附隨的協(xié)助義務(wù)。值得注意的是，具體信息自決權(quán)的行使與實(shí)現(xiàn)主要依賴于技術(shù)路徑。由此，關(guān)于個(gè)人信息的私權(quán)保護(hù)設(shè)置，知情同意權(quán)與具體信息自決權(quán)實(shí)則為兩個(gè)相對(duì)獨(dú)立的私權(quán)自治軌道，規(guī)范層面上表現(xiàn)為雙層的權(quán)利機(jī)制，共同構(gòu)成了個(gè)人信息權(quán)利體系，但兩者在利益內(nèi)涵與行使目標(biāo)上是一致的。但也需要說(shuō)明，兩者在實(shí)行機(jī)制上存在現(xiàn)實(shí)區(qū)分，知情同意權(quán)的落實(shí)需要被告知行為的配合，且主要發(fā)生在收集環(huán)節(jié)。在收集環(huán)節(jié)上征得同意主要是保障信息安全，這就與具體信息自決權(quán)的單純私權(quán)屬性有所不同。在當(dāng)前個(gè)人信息保護(hù)的執(zhí)法行動(dòng)中，違規(guī)收集個(gè)人信息、強(qiáng)制頻繁過(guò)度索取權(quán)限、 違規(guī)使用個(gè)人信息和定向推送等侵犯?jìng)€(gè)人信息的問(wèn)題最為突出，其中最常見(jiàn)的侵犯行為即“違規(guī)收集個(gè)人信息”，該類(lèi)信息侵犯行為不限于侵犯?jìng)€(gè)人私權(quán)領(lǐng)域，相較于訪問(wèn)、修改、刪除、攜帶等用戶個(gè)體化的行為操作，收集行為一般統(tǒng)一面向不特定的海量規(guī)模的用戶，其規(guī)范性同時(shí)也關(guān)乎公共信息安全與網(wǎng)絡(luò)空間的公共秩序，因此與個(gè)體自主行使的具體信息自決權(quán)在規(guī)制目標(biāo)上存在差異。

2.抽象的信息自決能力與具體的信息自決權(quán)利：知情同意規(guī)范的間接賦權(quán)

根據(jù)相關(guān)法律文件的規(guī)定，個(gè)人同意是信息得以處理的主要前提之一，因此間接賦予了信息主體的同意權(quán)，《個(gè)人信息保護(hù)法》 第四章專章規(guī)定了個(gè)人在個(gè)人信息處理活動(dòng)中的權(quán)利，但未直接提及信息享有同意權(quán)，僅在第47 條規(guī)定撤回同意是信息處理者主動(dòng)刪除信息的法定事由之一，第44 條則規(guī)定信息主體有知情權(quán)，但知情權(quán)不等同于同意權(quán)。因此，在目前制度體系下，信息處理規(guī)則是賦予信息主體同意權(quán)的主要依據(jù)。從權(quán)利行使目的來(lái)說(shuō)，知情同意是用戶就本人信息處理問(wèn)題表示自決意愿的表現(xiàn)，也是落實(shí)信息自決能力的方式和手段?？疾煳覈?guó)理論界關(guān)于個(gè)人信息自決權(quán)與知情同意權(quán)關(guān)系的闡述，有學(xué)者認(rèn)為，個(gè)人信息權(quán)主要是指對(duì)個(gè)人信息的支配和自主決定。個(gè)人信息權(quán)的內(nèi)容包括兩個(gè)層面的行使路徑：一是個(gè)人對(duì)信息被收集、被利用、被處理等方面的知情權(quán)；二是自己利用或者授權(quán)他人收集、處理、利用的決定權(quán)。?另有學(xué)者認(rèn)為，個(gè)人信息控制權(quán)是需要通過(guò)個(gè)人信息保護(hù)法確立的一項(xiàng)新型公法權(quán)利，而非具體的人格權(quán)。?還有學(xué)者指出，侵犯公民個(gè)人信息罪的保護(hù)法益是個(gè)人信息權(quán)中的信息自決權(quán)。?不談?wù)w個(gè)人信息權(quán)的法律地位與部門(mén)法領(lǐng)域，僅從私權(quán)保護(hù)層面的法益內(nèi)涵來(lái)說(shuō)，主體同意本質(zhì)上屬于廣義上信息自決（控制）能力的范疇。對(duì)于上述論斷，一個(gè)關(guān)鍵問(wèn)題需要廓清：在權(quán)利外延上，個(gè)人信息自決權(quán)是否涵蓋知情同意權(quán)？盡管從權(quán)利內(nèi)涵來(lái)說(shuō)，知情同意權(quán)蘊(yùn)含自決權(quán)能的行使。但是從權(quán)利規(guī)范形式看，本文認(rèn)為不宜將知情同意權(quán)視為獨(dú)立的信息自決權(quán)利。這是因?yàn)椋海?）在規(guī)范要件構(gòu)成上，知情同意機(jī)制并非為信息自決意愿的表達(dá)機(jī)制，因此，在規(guī)范層面上知情同意權(quán)不是某一具體的信息自決權(quán)；（2）知情同意權(quán)并非某一具體權(quán)利，而是一個(gè)較為寬泛的權(quán)利概念。幾乎所有信息權(quán)利均蘊(yùn)含知情與同意權(quán)能，知情與同意是行使各項(xiàng)數(shù)據(jù)權(quán)利的權(quán)能內(nèi)容，因此也并不存在獨(dú)立的“知情同意權(quán)”；（3）鑒于知情與同意是兩種權(quán)能機(jī)制，“知情同意權(quán)” 也并不是專門(mén)的權(quán)利組成，例如在收集階段描述為收集（知情）權(quán)、同意（收集）權(quán)則顯得更為恰當(dāng)；（4）一般來(lái)說(shuō)，知情同意的獲取與表達(dá)主要發(fā)生在信息收集與權(quán)限獲取階段，因此從時(shí)間上來(lái)說(shuō)，收集階段的知情同意是產(chǎn)生后續(xù)具體信息權(quán)利的前提。并且，收集階段的知情同意權(quán)與被收集后產(chǎn)業(yè)運(yùn)營(yíng)過(guò)程中的知情同意權(quán)在權(quán)利內(nèi)容與行使方式上也不同。

基于上述分析，針對(duì)個(gè)人信息權(quán)益的現(xiàn)實(shí)實(shí)現(xiàn)，知情同意權(quán)的規(guī)范要件較為分散，知情同意更應(yīng)視為一種權(quán)利保障機(jī)制或權(quán)能內(nèi)容，其法律地位應(yīng)從兩個(gè)層面理解：（1）從權(quán)利行使角度，知情同意權(quán)應(yīng)為信息隱私權(quán)與自決權(quán)等具體信息權(quán)利的權(quán)能內(nèi)容；（2）在信息安全層面，信息主體的知情同意權(quán)對(duì)應(yīng)數(shù)據(jù)控制者的數(shù)據(jù)安保責(zé)任、 附隨告知或協(xié)助義務(wù)。所以，個(gè)人信息權(quán)利如知情同意權(quán)與具體信息自決權(quán)，均指向個(gè)人信息自控能力的實(shí)現(xiàn)，但是從規(guī)范要件維度，知情同意權(quán)不是具體的信息自決權(quán)。知情同意制度更應(yīng)作為一種權(quán)利保障機(jī)制和權(quán)能內(nèi)容，并且主要與數(shù)據(jù)控制者的安保責(zé)任、合規(guī)處理、協(xié)助義務(wù)等強(qiáng)制性規(guī)范相結(jié)合運(yùn)用，基于該考量思路，知情同意權(quán)在一定程度上可視為一種獨(dú)立權(quán)利。知情同意權(quán)重點(diǎn)針對(duì)信息或權(quán)限獲取環(huán)節(jié)； 信息自決權(quán)主要針對(duì)后續(xù)的產(chǎn)業(yè)運(yùn)營(yíng)環(huán)節(jié)。所以，對(duì)信息主體的知情同意能力賦權(quán)是行使信息自決權(quán)的前提，但告知同意機(jī)制下的知情同意權(quán)并不是信息決定權(quán)本身?！秱€(gè)人信息保護(hù)法》第44 條對(duì)知情、決定的并列描述，亦間接證實(shí)了這一點(diǎn)。

（二）個(gè)人信息權(quán)利的體系化梳理

《民法典》 第1037 條規(guī)定的個(gè)人信息主體的權(quán)利當(dāng)然屬于民事權(quán)利，?由此說(shuō)明法律層面已賦予個(gè)人對(duì)于其個(gè)人信息享有民事權(quán)益?；谒?guī)定的個(gè)人信息權(quán)益內(nèi)容的一致性，其他法律文件如《個(gè)人信息保護(hù)法》在第四章規(guī)定的個(gè)人在個(gè)人信息處理活動(dòng)中的權(quán)利，亦屬于民事權(quán)利。在此基礎(chǔ)上，針對(duì)既有的關(guān)于個(gè)人信息權(quán)益的規(guī)定規(guī)則，以下將系統(tǒng)性梳理完整的個(gè)人信息權(quán)利體系。

1.基于告知同意機(jī)制的知情同意權(quán)與撤回同意權(quán)

知情同意權(quán)是對(duì)透明處理原則的權(quán)利回應(yīng)。梳理現(xiàn)有規(guī)范規(guī)則，知情同意權(quán)包括直接的知情同意權(quán)與間接的知情同意權(quán)。（1）直接的知情同意權(quán)，主要包括同意收集權(quán)、同意營(yíng)銷(xiāo)權(quán)、同意（進(jìn)一步）處理權(quán)。?例如，在國(guó)內(nèi)“人臉識(shí)別第一案”中，法院認(rèn)為，園方未經(jīng)告知并獲取用戶事先同意就收集用戶人臉信息的行為，侵犯了當(dāng)事人的個(gè)人信息權(quán)。因此，侵犯知情同意權(quán)實(shí)質(zhì)是侵犯?jìng)€(gè)人信息權(quán)的行為。（2）間接的知情同意權(quán)，即撤回同意授權(quán)的權(quán)利?！毒W(wǎng)絡(luò)安全法》《民法典》均未提及主體撤回授權(quán)同意的權(quán)利，但立法確認(rèn)同意撤回權(quán)已成為全球個(gè)人信息保護(hù)立法的趨勢(shì)與共識(shí)，我國(guó)最新頒布的《個(gè)人信息保護(hù)法》也體現(xiàn)了這一點(diǎn)，根據(jù)《個(gè)人信息保護(hù)法》的相關(guān)規(guī)定，信息主體行使撤回同意權(quán)不只限于信息收集階段，這是因?yàn)?，在最初的同意收集階段，信息主體往往很難判斷做出該同意將面臨何種后果，因此撤回同意在信息收集、使用、保存、共享等數(shù)據(jù)全生命周期內(nèi)均可行使。此次將“撤回同意”升格至法定權(quán)利，顯示了立法對(duì)個(gè)人信息的嚴(yán)格保護(hù)態(tài)度。?此外，《App違法違規(guī)收集使用個(gè)人信息行為認(rèn)定方法》 第3條第8 款規(guī)定，App 運(yùn)營(yíng)者未向用戶提供撤回同意收集個(gè)人信息的途徑、方式的情況，屬于“未經(jīng)用戶同意收集使用個(gè)人信息”的違規(guī)行為。

2.非基于告知同意機(jī)制： 積極行使的具體信息自決權(quán)

個(gè)人對(duì)信息的自主控制主要表現(xiàn)為訪問(wèn)（查詢）、更正、修改、補(bǔ)充、復(fù)制、攜帶等，《民法典》第1037 條概括性規(guī)定了個(gè)人信息主體的權(quán)利，自然人可以向信息控制者依法查閱、 抄錄或者復(fù)制其個(gè)人信息；發(fā)現(xiàn)信息有錯(cuò)誤的，有權(quán)提出異議并請(qǐng)求及時(shí)采取更正等必要措施。《民法典》明確了我國(guó)當(dāng)前法定信息自決權(quán)包括訪問(wèn)權(quán)、 更正權(quán)與刪除權(quán)等三項(xiàng)具體權(quán)利?！秱€(gè)人信息保護(hù)法）》第四章則專章呈現(xiàn)了完整全面的信息主體的個(gè)人信息權(quán)利體系。在目前我國(guó)規(guī)范體系下，理論上信息決定權(quán)可分為信息處理權(quán)利、刪存權(quán)利與規(guī)則解釋權(quán)。

（1）信息處理權(quán)利

從行使權(quán)利角度分析信息處理權(quán)，可做以下劃分：1）訪問(wèn)權(quán)：數(shù)據(jù)主體訪問(wèn)權(quán)是基礎(chǔ)性權(quán)利，數(shù)據(jù)主體有權(quán)向數(shù)據(jù)控制者確認(rèn)與其相關(guān)的數(shù)據(jù)是否正在接受處理以及有關(guān)的操作。信息訪問(wèn)權(quán)包括查閱、抄錄或者復(fù)制信息等后續(xù)權(quán)利內(nèi)容。在目前規(guī)范體系下，《民法典》《個(gè)人信息保護(hù)法》規(guī)定自然人可以向信息控制者依法查閱、 抄錄或者復(fù)制其個(gè)人信息?！兑苿?dòng)互聯(lián)網(wǎng)應(yīng)用（App）收集個(gè)人信息基本規(guī)范（征求意見(jiàn)稿）》則從規(guī)范數(shù)據(jù)控制者角度規(guī)定App 應(yīng)向用戶提供實(shí)時(shí)查詢信息收集類(lèi)型與數(shù)據(jù)接收方身份的功能。2）更正、補(bǔ)充權(quán)：《民法典》《個(gè)人信息保護(hù)法》 規(guī)定自然人發(fā)現(xiàn)信息有錯(cuò)誤時(shí)有權(quán)提出異議并請(qǐng)求數(shù)據(jù)控制者及時(shí)更正。由此意味著更正權(quán)蘊(yùn)含異議權(quán)，因?yàn)楸磉_(dá)異議是行使更正權(quán)的前提?！毒W(wǎng)絡(luò)安全法》規(guī)定，用戶發(fā)現(xiàn)網(wǎng)絡(luò)運(yùn)營(yíng)者收集、 存儲(chǔ)其個(gè)人信息有錯(cuò)誤的，有權(quán)要求網(wǎng)絡(luò)運(yùn)營(yíng)者予以更正。兩者對(duì)于更正權(quán)的發(fā)生場(chǎng)景要求一致，均是以記載錯(cuò)誤為前提。3）限制處理權(quán)、拒絕處理權(quán)（反對(duì)處理權(quán)）：對(duì)比之前的個(gè)人信息保護(hù)規(guī)范，《個(gè)人信息保護(hù)法》第44條新增了信息主體的限制處理權(quán)與拒絕處理權(quán)，即個(gè)人有權(quán)限制或者拒絕他人對(duì)其個(gè)人信息進(jìn)行處理。4）數(shù)據(jù)可攜權(quán)：《個(gè)人信息保護(hù)法》首次規(guī)定了數(shù)據(jù)可攜權(quán)，第45 條第1 款規(guī)定“個(gè)人有權(quán)向個(gè)人信息處理者查閱、復(fù)制其個(gè)人信息”；第3 款規(guī)定了“個(gè)人請(qǐng)求將其個(gè)人信息轉(zhuǎn)移至其指定的個(gè)人信息處理者，符合國(guó)家網(wǎng)信部門(mén)規(guī)定條件的，個(gè)人信息處理者應(yīng)當(dāng)提供轉(zhuǎn)移的途徑”。至此，數(shù)據(jù)可攜帶權(quán)被正式納入我國(guó)個(gè)人信息保護(hù)法律體系，成為信息主體的合法民事權(quán)利。由此顯示，個(gè)人對(duì)其提交給數(shù)據(jù)處理者的信息可實(shí)現(xiàn)更全面的控制。?

（2）信息刪存權(quán)利

數(shù)據(jù)刪存權(quán)利主要包括儲(chǔ)存、刪除、注銷(xiāo)信息的權(quán)利，根據(jù)信息主體的主動(dòng)性，又可分為自主刪除與更正刪除兩類(lèi)。其一，自主刪除型刪除權(quán)?；诖鎯?chǔ)限制原則，數(shù)據(jù)存儲(chǔ)時(shí)間不得長(zhǎng)于實(shí)現(xiàn)處理目的所必需的時(shí)間。因此，數(shù)據(jù)控制者需要建立定期清除制度。?需要注意，綜合分析有關(guān)規(guī)定來(lái)看，信息主體的刪除權(quán)同時(shí)也受一定程度的限制，具體表現(xiàn)如下：（1）根據(jù)《民法典》的規(guī)定，信息主體僅可就被違規(guī)（主要指超出權(quán)限）收集或處理的信息部分，要求信息控制者刪除；（2）根據(jù)《電子商務(wù)法》的規(guī)定，網(wǎng)絡(luò)消費(fèi)者可要求電子商務(wù)經(jīng)營(yíng)者刪除所有的個(gè)人信息，包括先前授權(quán)平臺(tái)獲取的信息?！峨娮由虅?wù)法》確立的信息刪除權(quán)利的內(nèi)容更全面，但僅限電子商務(wù)消費(fèi)場(chǎng)景，《個(gè)人信息保護(hù)法》則采納了同樣的立場(chǎng)，由此，刪除權(quán)的適用對(duì)象涵蓋所有的信息使用場(chǎng)景?！稊?shù)據(jù)安全管理辦法（征求意見(jiàn)稿）》第23 條規(guī)定，網(wǎng)絡(luò)運(yùn)營(yíng)者利用用戶數(shù)據(jù)和算法推送新聞信息、商業(yè)廣告等“定向推送”服務(wù)，應(yīng)當(dāng)以明顯方式標(biāo)明“定推”字樣，為用戶提供停止接收定向推送信息的功能； 用戶選擇停止接收定向推送信息時(shí)，應(yīng)當(dāng)停止推送，并刪除已經(jīng)收集的設(shè)備識(shí)別碼等用戶數(shù)據(jù)和個(gè)人信息?？梢钥吹剑瑐€(gè)人信息規(guī)范層面對(duì)于商業(yè)應(yīng)用場(chǎng)景中的信息使用持非常嚴(yán)格謹(jǐn)慎的保護(hù)態(tài)度。此外，在刪除信息時(shí)，信息處理者同樣需要征得用戶的同意，而目前尚無(wú)相關(guān)的規(guī)定。本文認(rèn)為，未經(jīng)同意的刪除行為應(yīng)被視為“毀損信息”行為，適用網(wǎng)絡(luò)運(yùn)營(yíng)者不得毀損信息的相關(guān)規(guī)定。其二，更正或排除妨害型刪除權(quán)。該類(lèi)信息刪除權(quán)以信息記載存在錯(cuò)誤為前提。?結(jié)合相關(guān)規(guī)范可以總結(jié)出，信息刪除請(qǐng)求權(quán)的前提要求是：（a）信息來(lái)源是由第三方非法披露與傳播，或者（b）受到商業(yè)推廣信息的侵?jǐn)_，或者（c）被違規(guī)收集的部分。值得注意的是，《個(gè)人信息保護(hù)法》第47 條為信息主體提供了一項(xiàng)類(lèi)似“行為中止”的刪除權(quán)救濟(jì)保障措施，即當(dāng)信息主體主張行使刪除權(quán)時(shí)，如果保存期限尚未屆滿或技術(shù)操作難以實(shí)現(xiàn)，個(gè)人信息處理者則應(yīng)當(dāng)中止或停止處理個(gè)人數(shù)據(jù)以作為對(duì)信息主體刪除權(quán)的救濟(jì)。

（3）規(guī)則解釋權(quán)利

《個(gè)人信息保護(hù)法》第48 條規(guī)定了信息主體的規(guī)則解釋權(quán)，該項(xiàng)權(quán)利包含對(duì)信息處理的算法解釋權(quán)，且僅針對(duì)平臺(tái)服務(wù)協(xié)議。一方面，根據(jù)透明原則，解釋說(shuō)明權(quán)蘊(yùn)含公開(kāi)與“可懂”兩項(xiàng)法益內(nèi)容；另一方面，過(guò)度頻繁的解釋說(shuō)明工作會(huì)極大增加處理者的運(yùn)營(yíng)成本。基于一般經(jīng)驗(yàn)，用戶要求處理者解釋信息處理規(guī)則主要出于對(duì)該處理規(guī)則可能影響其合法權(quán)益的擔(dān)憂（如大數(shù)據(jù)殺熟等），又因?yàn)樾畔⒓夹g(shù)的高度專業(yè)性，用戶很難理解具體處理過(guò)程及技術(shù)原理，響應(yīng)《個(gè)人信息保護(hù)法》第17 條的立法精神，該規(guī)定在適用中應(yīng)蘊(yùn)含以通俗易懂語(yǔ)言解釋的要求。

三、 個(gè)人信息民事權(quán)利制度的規(guī)范不足及其司法應(yīng)對(duì)

隨著民眾對(duì)于個(gè)人信息權(quán)利意識(shí)的覺(jué)醒和提升，司法訴訟中涌現(xiàn)出越來(lái)越多的個(gè)人信息保護(hù)糾紛，例如，對(duì)于未經(jīng)用戶同意推送商業(yè)短信，用戶主張侵害其個(gè)人信息及隱私權(quán)等。?在類(lèi)似案例的判決中，法院認(rèn)為，個(gè)人信息權(quán)益的核心在于自然人對(duì)其個(gè)人信息的知情同意權(quán)和對(duì)信息傳播的控制權(quán)，信息主體對(duì)個(gè)人信息傳播的控制利益屬于人格權(quán)益。?然而，鑒于立法層面對(duì)個(gè)人信息權(quán)利的規(guī)范概括性與模糊性，司法層面如何認(rèn)識(shí)與落實(shí)個(gè)人信息權(quán)利的保護(hù)實(shí)踐，尚需獨(dú)立的權(quán)利認(rèn)知和理性的判斷程序。

（一）目前我國(guó)個(gè)人信息權(quán)利規(guī)范的不足

知情同意權(quán)是指，未經(jīng)信息主體的同意，數(shù)據(jù)控制者不得對(duì)個(gè)人信息做出預(yù)期目的之外的處理或使用；具體的信息決定權(quán)則是指，信息主體可隨時(shí)訪問(wèn)、更正、攜帶與刪除信息的權(quán)利。上述兩類(lèi)信息權(quán)益的實(shí)現(xiàn)機(jī)制，均對(duì)應(yīng)數(shù)據(jù)控制者的安保責(zé)任或附隨性協(xié)助義務(wù)。在目前的制度體系下，個(gè)人信息民事權(quán)利的規(guī)范要件依舊不夠完整與明確，不利于指導(dǎo)司法實(shí)踐以及信息主體積極行使信息權(quán)利。

1.知情同意權(quán)表達(dá)場(chǎng)景的分散性

在商業(yè)應(yīng)用場(chǎng)景中，App 運(yùn)營(yíng)者收集信息與獲取權(quán)限原則上必須遵循知情同意規(guī)則，應(yīng)履行告知同意義務(wù)。《App 違法違規(guī)收集使用個(gè)人信息行為認(rèn)定方法》 規(guī)定了以下違規(guī)行為的構(gòu)成與要求：“未公開(kāi)收集使用規(guī)則”、“未明示收集使用個(gè)人信息的目的、方式和范圍”、“未經(jīng)用戶同意收集使用個(gè)人信息”、“違反必要原則，收集與其提供的服務(wù)無(wú)關(guān)的個(gè)人信息”、“未經(jīng)同意向他人提供個(gè)人信息”，由此側(cè)面反映了侵犯信息主體個(gè)人意愿的行為表現(xiàn)，即意味著，在上述App 運(yùn)營(yíng)環(huán)節(jié)，信息主體享有行使知情同意權(quán)的需要與空間。整體上來(lái)看，《認(rèn)定方法》 對(duì)于信息產(chǎn)業(yè)規(guī)范運(yùn)營(yíng)的規(guī)制思路主要從“未經(jīng)同意”角度定性了數(shù)據(jù)控制者收集行為的違法違規(guī)性，核心圍繞主體同意制度，體現(xiàn)了保障個(gè)人對(duì)其信息的控制能力，以尊重個(gè)人信息所承載的人格利益與人格尊嚴(yán)。因此，App 運(yùn)營(yíng)者如果實(shí)施了上述違法違規(guī)的收集、獲取、告知行為，均侵犯到了信息主體對(duì)于其個(gè)人信息的知情同意權(quán)。國(guó)家標(biāo)準(zhǔn)《個(gè)人信息告知同意指南》規(guī)定了告知同意的適用情形、免于告知同意的情形、告知同意的基本原則、告知同意制度的具體實(shí)踐等，并在附錄部分關(guān)于未成年人個(gè)人信息、SDK、IoT等九類(lèi)場(chǎng)景下告知同意制度的具體實(shí)踐提供了建議，知情同意權(quán)呈現(xiàn)規(guī)范分散性與內(nèi)涵多元性。

2.具體的信息自決權(quán)法律要件的不完整性

在《個(gè)人信息保護(hù)法》出臺(tái)之前，我國(guó)已有一些法律或其他規(guī)范性文件對(duì)民事性質(zhì)的個(gè)人信息權(quán)利做了初步規(guī)定。其中比較典型的是《民法典》《網(wǎng)絡(luò)安全法》《電子商務(wù)法》《個(gè)人信息安全規(guī)范》等規(guī)范文件。在個(gè)人信息權(quán)利的要件構(gòu)成上，上述文件為個(gè)人信息私權(quán)保護(hù)的整體思路提供了基本參照。但是，當(dāng)前制度保護(hù)體系下在信息權(quán)利保護(hù)適用上主要存在以下兩方面問(wèn)題：

其一，某些具體信息自決權(quán)的法定要件不統(tǒng)一，導(dǎo)致相關(guān)的規(guī)范性文件難以銜接適用。以刪除權(quán)為例，一方面，《民法典》《網(wǎng)絡(luò)安全法》《個(gè)人信息保護(hù)法》規(guī)定自然人發(fā)現(xiàn)信息控制者違反法律、行政法規(guī)的規(guī)定或者雙方的約定收集、 處理其個(gè)人信息的，有權(quán)請(qǐng)求信息控制者及時(shí)刪除?！禔pp違法違規(guī)收集使用個(gè)人信息行為認(rèn)定方法》 第六節(jié)亦明確規(guī)定了“未提供有效的更正、刪除個(gè)人信息及注銷(xiāo)用戶賬號(hào)功能” 的行為可以被認(rèn)定為未按法律規(guī)定提供刪除或更正個(gè)人信息功能。?由此看到，信息控制者違反法律、行政法規(guī)的規(guī)定或者雙方約定進(jìn)行收集或處理數(shù)據(jù)是刪除權(quán)行使的前提要求。此處針對(duì)數(shù)據(jù)控制者的不法收集行為行使刪除權(quán)，可視為知情同意機(jī)制失靈后的后續(xù)補(bǔ)救措施，刪除權(quán)是可被直接行使的權(quán)利，而非知情權(quán)被侵犯后的救濟(jì)權(quán)利。《全國(guó)人大常委會(huì)關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》 所規(guī)定的刪除權(quán)則與上述規(guī)定在發(fā)生場(chǎng)景與保護(hù)法益上顯著不同，《決定》 中的刪除權(quán)針對(duì)的是以網(wǎng)絡(luò)信息形式泄露個(gè)人身份或隱私或發(fā)送商業(yè)郵件而導(dǎo)致侵?jǐn)_的情形，公民有權(quán)要求刪除相關(guān)個(gè)人身份或隱私的信息，此處對(duì)應(yīng)的是網(wǎng)絡(luò)運(yùn)營(yíng)者，與數(shù)據(jù)控制者是不同的法律主體身份，后者主要是指數(shù)據(jù)產(chǎn)品或服務(wù)的運(yùn)營(yíng)者，而前者的范圍則更加廣泛，不限于數(shù)字產(chǎn)業(yè)領(lǐng)域。另一方面，刪除權(quán)的法益保護(hù)目的為： 當(dāng)信息存儲(chǔ)期限屆滿或者收集或持有信息的最初目的已經(jīng)不存在時(shí)應(yīng)賦予信息主體刪除權(quán)。但是，我國(guó)當(dāng)前刪除權(quán)規(guī)范目標(biāo)在于防范數(shù)據(jù)控制者違法違規(guī)收集或使用行為，而非出于落實(shí)數(shù)據(jù)處理的目的限制原則。對(duì)于上述規(guī)定規(guī)則的規(guī)范構(gòu)成，其法律要件在司法適用上存在缺陷。其二，未提供具體信息權(quán)利對(duì)應(yīng)的保護(hù)標(biāo)準(zhǔn)，《民法典》《個(gè)人信息保護(hù)法》 等基本數(shù)據(jù)立法缺乏配套性規(guī)定，專門(mén)立法需要后續(xù)實(shí)施細(xì)則的進(jìn)一步落實(shí)。以數(shù)據(jù)可攜權(quán)為例，《個(gè)人信息保護(hù)法》第45條對(duì)數(shù)據(jù)可攜權(quán)僅作出了原則性規(guī)定，具體的適用要求與配套規(guī)定尚未出臺(tái)，例如對(duì)行使數(shù)據(jù)可攜權(quán)時(shí)傳輸數(shù)據(jù)的格式規(guī)定不明確。基于此，作為我國(guó)制度體系下完全新出現(xiàn)的權(quán)利類(lèi)型，對(duì)數(shù)據(jù)可攜權(quán)的理論基礎(chǔ)尚不完全明晰，理論與制度之間的結(jié)合尚需學(xué)理解釋的銜接，例如，考慮到平臺(tái)企業(yè)的合規(guī)成本以及發(fā)展平臺(tái)經(jīng)濟(jì)角度，可以從個(gè)人信息類(lèi)型、處理方式、處理目的、平臺(tái)規(guī)模以及對(duì)第三方權(quán)益影響等方面對(duì)數(shù)據(jù)可攜權(quán)的行使做適當(dāng)限縮。綜上來(lái)看，法律保護(hù)實(shí)踐中目前存在的主要問(wèn)題在于：一方面，條款本身并不完整，只規(guī)定了發(fā)生場(chǎng)景，并主要表現(xiàn)為警告性規(guī)定，而未從私權(quán)行使層面規(guī)定信息主體的行使行為、 數(shù)據(jù)控制者的違規(guī)行為標(biāo)準(zhǔn)與對(duì)應(yīng)的民事責(zé)任?！睹穹ǖ洹贰秱€(gè)人信息保護(hù)法》 中涉及個(gè)人信息權(quán)利的條文大部分也是不完全規(guī)范，與審判、執(zhí)法實(shí)踐主要適用完全性規(guī)范的現(xiàn)實(shí)需求相背離，?由此導(dǎo)致個(gè)案之間法律適用的爭(zhēng)議較大，執(zhí)法與司法中的尺度無(wú)法統(tǒng)一。

（二）侵害個(gè)人信息民事權(quán)利的司法判斷思路

根據(jù)《個(gè)人信息保護(hù)法》第50 條與第69 條規(guī)定，如果個(gè)人信息處理者拒絕個(gè)人行使權(quán)利的請(qǐng)求，個(gè)人可以依法向人民法院提起訴訟。以及，因處理個(gè)人信息造成個(gè)人信息權(quán)益損害的，個(gè)人信息處理者應(yīng)當(dāng)承擔(dān)損害賠償?shù)惹謾?quán)責(zé)任。由此可知，對(duì)于具體信息權(quán)利行使遭遇障礙、個(gè)人權(quán)益遭受損害，均具有可訴性。但由于《個(gè)人信息保護(hù)法》的施行時(shí)間較短，尚無(wú)對(duì)此規(guī)定的配套解釋，以及私法領(lǐng)域未明確對(duì)個(gè)人信息進(jìn)行確權(quán)以及缺乏具體的保護(hù)措施規(guī)定，當(dāng)前司法處理中多采納隱私權(quán)保護(hù)模式。?針對(duì)個(gè)人信息立法賦權(quán)與司法維權(quán)存在脫節(jié)的問(wèn)題，2020年12月29日，最高人民法院印發(fā)《關(guān)于修改〈民事案件案由規(guī)定〉的決定》的通知，在新變更的第三級(jí)案由“隱私權(quán)、個(gè)人信息保護(hù)糾紛”項(xiàng)下增加“隱私權(quán)糾紛”、“個(gè)人信息保護(hù)糾紛”。由此表明，針對(duì)個(gè)人信息保護(hù)糾紛，司法工作應(yīng)具備獨(dú)立的權(quán)利認(rèn)知。前面已論述，侵害個(gè)人信息權(quán)利本質(zhì)上侵害的是信息主體的信息控制力。在司法審查中，需要結(jié)合個(gè)案情況做出具體判斷：第一，在信息保護(hù)糾紛中，被侵害的法益是否屬于信息控制利益？第二，信息主體對(duì)信息的失控達(dá)到何種程度時(shí)可被認(rèn)定構(gòu)成損害？下一步，在規(guī)范層面上，鑒于個(gè)人信息權(quán)利可分為知情同意與自主支配兩類(lèi)權(quán)利束，兩者在適用場(chǎng)景、要件構(gòu)成、權(quán)利行使、責(zé)任設(shè)置等方面并不統(tǒng)一，既有區(qū)分又存關(guān)聯(lián)。司法實(shí)務(wù)中要落實(shí)個(gè)體的信息保護(hù)制度，不應(yīng)僅符合對(duì)隱私政策的評(píng)估，更需要從本質(zhì)價(jià)值層面做出衡量。針對(duì)信息技術(shù)可能給個(gè)人控制能力帶來(lái)的威脅，闡釋個(gè)人信息權(quán)利時(shí)應(yīng)結(jié)合具體的信息使用場(chǎng)景。例如，個(gè)人信息權(quán)與隱私權(quán)在客體利益上不同，隱私權(quán)是防御性權(quán)利，隱私信息優(yōu)先適用隱私權(quán)保護(hù)指的是隱私信息受到披露侵害時(shí)，在當(dāng)初信息收集與處理過(guò)程中則應(yīng)適用個(gè)人信息相關(guān)規(guī)范。

基于信息主體對(duì)于不同信息不同程度的可控力，在司法認(rèn)定中，各類(lèi)信息自決權(quán)益的行使邊界如下：（1）對(duì)于私密信息，信息主體最在意的是隱私利益的維護(hù)，而對(duì)于自決權(quán)益的行使僅限于某些特殊的應(yīng)用場(chǎng)景，例如數(shù)字醫(yī)療中的生理健康數(shù)據(jù)。因此，信息隱私保護(hù)優(yōu)先適用隱私權(quán)制度，特殊情況下適用個(gè)人信息自決制度；（2）對(duì)于個(gè)人敏感信息，信息主體最關(guān)注的是信息安全的保障。鑒于敏感信息的敏感性在于“一旦泄露、非法提供或?yàn)E用可能危害人身和財(cái)產(chǎn)安全，極易導(dǎo)致個(gè)人名譽(yù)、 身心健康受到損害或歧視性待遇等”，?因此，對(duì)敏感信息的法律保護(hù)可能適用具體的人格權(quán)制度如隱私權(quán)、名譽(yù)權(quán)、肖像權(quán)等，也可能適用個(gè)人信息自決規(guī)范，兩類(lèi)制度在適用上并無(wú)明顯優(yōu)先性；（3）對(duì)于其他（一般）個(gè)人信息，僅適用個(gè)人信息自決制度，一般與人格權(quán)保護(hù)無(wú)交集。值得注意的是，上述制度適用考量首要指向信息主體的權(quán)利救濟(jì)路徑，數(shù)據(jù)控制者對(duì)于信息主體應(yīng)承擔(dān)民事責(zé)任。同時(shí)，上述情形中亦可能涉及《網(wǎng)絡(luò)安全法》《刑法》 及其他規(guī)范中數(shù)據(jù)控制者應(yīng)擔(dān)負(fù)的刑事或行政責(zé)任。

結(jié) 語(yǔ)

在數(shù)字化社會(huì)模式下，個(gè)人信息權(quán)利具有雙重法益屬性，既涉及自然人的人格維護(hù)，又關(guān)乎數(shù)據(jù)產(chǎn)業(yè)的開(kāi)發(fā)與運(yùn)營(yíng)。因此，隱私與數(shù)據(jù)保護(hù)法律制度應(yīng)有所演變，以適應(yīng)信息技術(shù)的發(fā)展給社會(huì)、政治、經(jīng)濟(jì)領(lǐng)域帶來(lái)的根本變革，個(gè)人信息的確權(quán)即具有現(xiàn)實(shí)意義。由于普通用戶對(duì)互聯(lián)網(wǎng)技術(shù)的認(rèn)識(shí)和掌握明顯處于劣勢(shì)，個(gè)人很難了解其個(gè)人信息如何被處理和利用，對(duì)此缺乏直接和間接的控制力。個(gè)人信息保護(hù)與大數(shù)據(jù)利用之間的互動(dòng)關(guān)系本質(zhì)上取決于主體信息控制能力的程度大小與現(xiàn)實(shí)行使。個(gè)人信息權(quán)利規(guī)范設(shè)定了個(gè)人信息私權(quán)利益的保護(hù)邊界，也并不會(huì)阻礙數(shù)字經(jīng)濟(jì)的創(chuàng)新發(fā)展，合法合規(guī)視野下的信息處理行為會(huì)促使數(shù)據(jù)資源的開(kāi)放利用進(jìn)入良性循環(huán)。對(duì)于自然人對(duì)其個(gè)人信息的控制能力，理論層面應(yīng)首先厘清個(gè)人信息權(quán)利在立法設(shè)置與司法適用中的合理性與可行性，進(jìn)而實(shí)現(xiàn)協(xié)同運(yùn)轉(zhuǎn)效力以保障民眾正在呼吁的個(gè)人信息保護(hù)訴求。鑒于當(dāng)前規(guī)范層面關(guān)于個(gè)人信息保護(hù)的規(guī)定尚不完善，一方面，立法應(yīng)逐步細(xì)化與具體化，出臺(tái)配套性文件加強(qiáng)規(guī)范自身的可操作性；另一方面，法律實(shí)務(wù)應(yīng)把握個(gè)人信息保護(hù)規(guī)范旨在保障的真正權(quán)益內(nèi)涵，進(jìn)而切實(shí)落實(shí)個(gè)人對(duì)于信息權(quán)利的主張與訴求。

注釋：

①姬蕾蕾：《大數(shù)據(jù)時(shí)代數(shù)據(jù)權(quán)屬研究進(jìn)展與評(píng)析》，《圖書(shū)館》2019年第2 期。

②Rouvroy Antoinette & Poullet Yves，The Right to Informational Self-Determination and the Value of Self-Development: Reassessing the Importance of Privacy for Democracy, in Gutwirth, S., Poullet, Y., de Hert, P., de Terwangne,C., Nouwt, S.(Eds.).Reinventing Data Protection? Springer,2009, p.68-69.

③Hans Peter Bull, Informationelle Selbstbestimmung Vision oder Illusion? Hamburg, 2009, p.22； European Union Agency for Fun-damental Rights and Council of Europe,Hand book on European data protection law (2018 edition),Luxembourg： Publications Office of the European Union,2018, p.19-20.

④［日］曽根威彥:《刑法學(xué)の基礎(chǔ)》，成文堂2001年版，第51 頁(yè)。

⑤Rouvroy Antoinette & Poullet Yves, The Right to Informational Self-Determination and the Value of Self-Development: Reassessing the Importance of Privacy for Democracy, p.51-52.

⑥程嘯：《個(gè)人信息保護(hù)法理解與適用》，中國(guó)法制出版社2021年版，第327 頁(yè)。

⑦余遠(yuǎn)芳：《個(gè)人信息的侵權(quán)法救濟(jì)：〈民法總則〉第111 條的司法適用》，https://mp.weixin.qq.com/s/hY5Lyg-iPA TZZRuVmXx6dg，2021年5月12日訪問(wèn)。

⑧李怡：《個(gè)人一般信息侵權(quán)裁判規(guī)則研究——基于68個(gè)案例樣本的類(lèi)型化分析》，《政治與法律》2019年第6 期。

⑨商希雪：《個(gè)人信息隱私利益與自決利益的權(quán)利實(shí)現(xiàn)路徑》，《法律科學(xué)》2020年第2 期。

⑩辛小天：《個(gè)人信息民事救濟(jì)如何解困隱私權(quán)訴之惑》，https://mp.weixin.qq.com/s/srgOTnGVCCfPy1eYQTNBow，2021年7月25日訪問(wèn)。

??周漢華：《個(gè)人信息保護(hù)的法律定位》，《法商研究》2020年第3 期。

?蔡星月：《數(shù)據(jù)主體的“弱同意”及其規(guī)范結(jié)構(gòu)》，《比較法研究》2019年第4 期。

?P.Samuelson, Information as Property: Do Ruckelshause and Carpenter Signal a changing Direction in Intellectual Property Law? Catholic University Law Review, 1989,38(2).

?張新寶：《個(gè)人信息收集： 告知同意原則適用的限制》，《比較法研究》2019年第6 期。

?王利明:《論個(gè)人信息權(quán)的法律保護(hù)——以個(gè)人信息權(quán)與隱私權(quán)的界分為中心》，《現(xiàn)代法學(xué)》2013年第4 期。

?劉艷紅:《民法編纂背景下侵犯公民個(gè)人信息罪的保護(hù)法益： 信息自決權(quán)——以刑民一體化及 〈民法總則〉第111 條為視角》，《浙江工商大學(xué)學(xué)報(bào)》2019年第6 期。

?姚佳：《個(gè)人信息主體的權(quán)利體系——基于數(shù)字時(shí)代個(gè)體權(quán)利的多維觀察》，《華東政法大學(xué)學(xué)報(bào)》2022年第2 期。

?該權(quán)利行使表現(xiàn)為信息處理上的自決性，圍繞最小化原則、目的限制原則與信息透明原則展開(kāi)。《個(gè)人信息安全規(guī)范》第7 條第3（a）款關(guān)于個(gè)人信息的使用限制具體規(guī)定了個(gè)人信息的訪問(wèn)控制措施、展示限制、使用目的限制；用戶畫(huà)像的使用限制、個(gè)性化展示的使用、基于不同業(yè)務(wù)目的所收集的個(gè)人信息的匯聚融合、信息系統(tǒng)自動(dòng)決策機(jī)制的使用等具體事項(xiàng)，主要針對(duì)數(shù)據(jù)控制者在信息使用上的行為要求與注意規(guī)定，在同意范圍內(nèi)的使用限制，主要以業(yè)務(wù)范圍為判斷標(biāo)準(zhǔn)。

?南財(cái)合規(guī)科技研究院：《個(gè)人信息保護(hù)法合規(guī)啟示報(bào)告》，2021年8月。

?武曉莉：《〈個(gè)人信息保護(hù)法〉亮點(diǎn)解讀 個(gè)人數(shù)據(jù)可以帶著走》，《中國(guó)消費(fèi)者報(bào)》2021年8月25日，第4 版。

?《數(shù)據(jù)安全管理辦法（征求意見(jiàn)稿）》第20 條、《民法典》第1037 條第2 款、《電子商務(wù)法》第24 條、《App 違法違規(guī)收集使用個(gè)人信息行為認(rèn)定方法》第6 條。

?《個(gè)人信息安全規(guī)范》第8 條第3 款、《全國(guó)人民代表大會(huì)常務(wù)委員會(huì)關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》 第8條、《網(wǎng)絡(luò)安全法》第43 條。

?劉曉春、李夢(mèng)雪：《2021年數(shù)據(jù)競(jìng)爭(zhēng)與個(gè)人信息保護(hù)典型案件盤(pán)點(diǎn)》，《中國(guó)對(duì)外貿(mào)易》2022年第2 期。

?梁某訴匯法網(wǎng)案，(2021)京04 民終71 號(hào)。

?盡管本文認(rèn)為注銷(xiāo)權(quán)是刪除權(quán)的延伸性權(quán)利，但從立法上來(lái)看，注銷(xiāo)權(quán)是獨(dú)立于刪除權(quán)的數(shù)據(jù)權(quán)利，鑒于《民法典》《個(gè)人信息保護(hù)法》并未提及注銷(xiāo)權(quán)，本文不列注銷(xiāo)權(quán)作為法定的具體信息自決權(quán)。

?丁宇翔:《個(gè)人信息民事司法保護(hù)的若干難點(diǎn)及破解路徑》，《中國(guó)審判》2019年第19 期。

?冷傳莉、 李怡:《司法保護(hù)視角下的隱私權(quán)類(lèi)型化》，《法律科學(xué)》2017年第5 期。

?喻海松:《侵犯公民個(gè)人信息罪的司法適用態(tài)勢(shì)與爭(zhēng)議焦點(diǎn)探析》，《法律適用》2018年第7 期。