高富平 李群濤

一、問題的提出

我國《民法典》第1037 條確認(rèn)個(gè)人信息主體享有查閱權(quán)、復(fù)制權(quán)、更正權(quán)及刪除權(quán)四種權(quán)利（以下簡稱“四種權(quán)利”）。①《民法典》第1037 條規(guī)定：“自然人可以依法向信息處理者查閱或者復(fù)制其個(gè)人信息；發(fā)現(xiàn)信息有錯(cuò)誤的，有權(quán)提出異議并請(qǐng)求及時(shí)采取更正等必要措施。自然人發(fā)現(xiàn)信息處理者違反法律、行政法規(guī)的規(guī)定或者雙方的約定處理其個(gè)人信息的，有權(quán)請(qǐng)求信息處理者及時(shí)刪除。”觀察第1037 條之規(guī)定，似乎個(gè)人信息主體的四種權(quán)利十分強(qiáng)大：個(gè)人信息主體的刪除權(quán)，在“信息處理者違反法律、行政法規(guī)的規(guī)定或者雙方的約定處理其個(gè)人信息”兩種情形之一出現(xiàn)時(shí)即可主張；更正權(quán)也僅以“發(fā)現(xiàn)信息有錯(cuò)誤”為前提；至于查閱權(quán)、復(fù)制權(quán)的主張，則似乎完全沒有限制。就此而言，個(gè)人信息主體好像能完全左右其個(gè)人信息的處理，個(gè)人信息幾乎處于個(gè)人信息主體控制之下。

業(yè)界有觀點(diǎn)擔(dān)憂，個(gè)人信息主體主張權(quán)利的條件如此寬松，待《民法典》生效后，若個(gè)人信息主體動(dòng)輒以查詢、復(fù)制、更正、刪除其個(gè)人信息為由進(jìn)行投訴，企業(yè)一線將遭受不能承受之重。如果法律要求企業(yè)不得拒絕相應(yīng)個(gè)人信息主體任何的查詢、復(fù)制等要求，則企業(yè)的合規(guī)成本將顯著增長。另外，若個(gè)人信息主體隨其意愿，動(dòng)輒申請(qǐng)更正、刪除企業(yè)數(shù)據(jù)庫中關(guān)于其個(gè)人的信息，則作為數(shù)據(jù)分析基礎(chǔ)的數(shù)據(jù)之質(zhì)量及數(shù)量將難以得到保證。長此以往，數(shù)據(jù)分析結(jié)果的質(zhì)量和可靠性也難以維持。

業(yè)界有此種擔(dān)憂并不是杞人憂天。在亞歐大陸的另一端，此種擔(dān)憂是已經(jīng)發(fā)生或正在發(fā)生的事實(shí)。2019年8月，德國的Delivery Hero 因未滿足用戶根據(jù)GDPR 的權(quán)利要求而被處以罰款195,407 歐元。①See Patrick Burkholder, Highest GDPR Fine Imposed In Germany, DIGITAL BUSINESS NEWS，https://www.digital-businessnews.com/business/cyber-law/1322-gdpr-fine-germany，September 20，2019.相似的事件在捷克、塞浦路斯、匈牙利等地也時(shí)有發(fā)生。②參見中興通訊數(shù)據(jù)保護(hù)合規(guī)部 數(shù)據(jù)法盟聯(lián)合發(fā)布：《GDPR 執(zhí)法案例精選白皮書》，第58-93 頁。

我國審判實(shí)踐也開始關(guān)注到個(gè)人信息主體主張權(quán)利的司法處理問題，并產(chǎn)生了兩種相左的立場：第一種觀點(diǎn)認(rèn)為，如果僅為查詢、復(fù)制、更正、刪除即可到法院提起訴訟，則審判機(jī)關(guān)受理的案件數(shù)量可能會(huì)呈現(xiàn)爆炸式增長，因此要對(duì)四種權(quán)利進(jìn)行限制；但另一種觀點(diǎn)認(rèn)為，嚴(yán)格按照第1037 條，這四種權(quán)利是個(gè)人信息主體當(dāng)然享有的權(quán)利，不能限制其提起訴訟，否則將使得法律規(guī)定的目的落空。③參見最高人民法院民法典貫徹實(shí)施工作領(lǐng)導(dǎo)小組：《中華人民共和國民法典人格權(quán)編理解與適用》，人民法院出版社2020年版，第393 頁。

因此，對(duì)于四種權(quán)利，個(gè)人信息主體是否完全可依單方意愿而恣意行使，企業(yè)等主體作為信息處理者又是否必須時(shí)刻滿足個(gè)人信息主體行使四種權(quán)利的要求，成為《民法典》實(shí)施中的重要議題。從本質(zhì)上看，這涉及主張四種權(quán)利的要件，而對(duì)四種權(quán)利之要件的探討又建立在對(duì)四種權(quán)利性質(zhì)的判斷之上。本文以《民法典》第1037 條為中心，從厘清四種權(quán)利的性質(zhì)出發(fā)，探究主張四種權(quán)利的要件為何，并探索信息處理者某些情形下是否能夠享有相應(yīng)的抗辯事由，以合理阻卻個(gè)人信息主體的不恰當(dāng)要求。

二、個(gè)人信息主體權(quán)利的性質(zhì)界定

（一）四種權(quán)利系請(qǐng)求權(quán)

從第1037 條之文義明顯可看出，四種權(quán)利中的更正權(quán)和刪除權(quán)一定是請(qǐng)求權(quán)。一方面，第1037 條第1 款第2 分句的“有權(quán)”一詞道出更正的權(quán)利本質(zhì)，而“請(qǐng)求”一詞更是直接點(diǎn)明其請(qǐng)求權(quán)屬性。另一方面，第1037 條第2 款“有權(quán)請(qǐng)求”的法律表達(dá)也說明個(gè)人信息主體的刪除權(quán)也是請(qǐng)求權(quán)。對(duì)照地，第1037 條第1 款第1 分句規(guī)定的查詢、復(fù)制權(quán)，語詞使用上并未涉及“請(qǐng)求”二字，“可以”這一法律表達(dá)僅能說明自然人查閱、復(fù)制其個(gè)人信息是權(quán)利而未直接表明是請(qǐng)求權(quán)。不過“向”信息處理者查閱、復(fù)制表明了該權(quán)利實(shí)現(xiàn)需要相對(duì)人的配合，因而該權(quán)利宜理解為請(qǐng)求權(quán)。查閱與復(fù)制需要信息處理者提供訪問權(quán)限或接口，或者提供副本，“向”實(shí)質(zhì)上內(nèi)含信息處理者的配合義務(wù)。這一本質(zhì)特征，決定了查閱、復(fù)制權(quán)只能是請(qǐng)求權(quán)。

對(duì)四種權(quán)利性質(zhì)還應(yīng)當(dāng)從個(gè)人信息主體權(quán)利設(shè)置的目的角度來理解，而這樣的目的解釋進(jìn)路也可得出相同結(jié)論。個(gè)人信息保護(hù)是保護(hù)個(gè)人信息主體不因信息處理而受到侵害，是針對(duì)個(gè)人信息處理行為可能對(duì)主體帶來的侵害進(jìn)行的保護(hù)，而不是對(duì)個(gè)人信息進(jìn)行保護(hù)。個(gè)人信息保護(hù)制度是個(gè)人信息處理中個(gè)人權(quán)益的保護(hù)制度?！皵?shù)據(jù)保護(hù)是關(guān)于個(gè)人權(quán)利和利益，而不是關(guān)于與這些個(gè)人有關(guān)聯(lián)的數(shù)據(jù)的?！雹貾eter Hustinx," EU Data Protection Law: The Review of Directive 95/46/EC and the Proposed General Data Protection Regulation",https://www.statewatch.org/news/2014/sep/eu-2014-09-edps-data-protection-article.pdf,accessed April 25,2020.00個(gè)人對(duì)于個(gè)人信息使用并沒有決定權(quán)，未經(jīng)同意使用個(gè)人信息即構(gòu)成侵權(quán)的規(guī)則從未成為個(gè)保法的規(guī)則。最早探索建立個(gè)人數(shù)據(jù)保護(hù)制度的歐洲委員會(huì)在1981年制定的《個(gè)人數(shù)據(jù)自動(dòng)處理中的個(gè)人保護(hù)公約》（以下簡稱“《公約》”）②"Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data,( CETS No.108, Strasbourg, 28/01/1981)",http://www.coe.int/en/web/conventions/full-list/-/conventions/treaty/108,accessed April 27,2020.中特別強(qiáng)調(diào)，對(duì)個(gè)人數(shù)據(jù)中的個(gè)人保護(hù)，“必須就其在社會(huì)中的作用來加以考慮，必須與其他人權(quán)和基本自由（包括表達(dá)自由）相協(xié)調(diào)”“考慮公眾獲取官方文件權(quán)”“有利于信息的自由流通”。因而,《公約》將數(shù)據(jù)主體的權(quán)利置于基本原則中，作為數(shù)據(jù)處理關(guān)系的權(quán)利和義務(wù)內(nèi)容。③1981年版本表述為“數(shù)據(jù)主體的額外保障”，2012年版本明確為“數(shù)據(jù)主體的權(quán)利”，但表述也相當(dāng)不精準(zhǔn)。每個(gè)人被賦予以下權(quán)利（ Any person shall be entitled）：a.不受僅基于數(shù)據(jù)自動(dòng)處理而不考慮其主觀意識(shí)而做出的對(duì)其產(chǎn)生深刻影響的決定的制約；b.在任何時(shí)候反對(duì)處理有關(guān)于他或她的個(gè)人數(shù)據(jù)，除非該數(shù)據(jù)處理是法律強(qiáng)制性的或者數(shù)據(jù)控制者能夠提出充分合法的理由；c.應(yīng)其請(qǐng)求，每隔一段合理的時(shí)間且不過分遲延或過分花費(fèi)地獲得有關(guān)其個(gè)人數(shù)據(jù)處理的確認(rèn)函；該確認(rèn)函應(yīng)當(dāng)以該處理行為所采取的可理解的形式，所有提供的數(shù)據(jù)應(yīng)當(dāng)表明出處、保存期限以及任何本公約第7bis 條第1 款規(guī)定的為確保處理過程透明而要求數(shù)據(jù)控制者提供的其他信息；d.應(yīng)請(qǐng)求獲知數(shù)據(jù)處理背后的理由給他或她帶來的結(jié)果；e.應(yīng)其請(qǐng)求，更正（rectification）或消除該數(shù)據(jù)（依情況而定），如果數(shù)據(jù)處理違反了實(shí)施本公約的法律；f.如果數(shù)據(jù)控制者沒有考慮到個(gè)人的主觀意識(shí)就直接作出了對(duì)其產(chǎn)生重大影響的決定，或是沒有對(duì)個(gè)人提出的確認(rèn)、告知、修正、消除或異議的請(qǐng)求作出回應(yīng)，個(gè)人有權(quán)獲得救濟(jì)；g.不管其居住地在何處，個(gè)人有權(quán)獲得第12bis 條規(guī)定的數(shù)據(jù)監(jiān)管機(jī)構(gòu)的幫助，以行使本公約賦予的個(gè)人權(quán)利。正如程嘯教授指出的，個(gè)人信息處理中主體權(quán)利主要體現(xiàn)為拒絕、制止他人處理，要求收集和處理透明（知情），更正信息錯(cuò)誤等權(quán)利，應(yīng)為防范個(gè)人信息被濫用的消極權(quán)利，而不是對(duì)個(gè)人信息使用的決定權(quán)。④參見程嘯：《論大數(shù)據(jù)時(shí)代的個(gè)人數(shù)據(jù)權(quán)利》，《中國社會(huì)科學(xué)》2018年第3 期。

因此，信息主體權(quán)利是存在于個(gè)人信息處理關(guān)系的一種權(quán)利。個(gè)人信息處理關(guān)系，一方是個(gè)人信息主體，即信息描述或關(guān)于的對(duì)象；另一方是信息處理者（在域外立法中也被稱為信息控制者或數(shù)據(jù)控制者），信息處理者即是信息使用者，需要遵循法律基本原則，保護(hù)個(gè)人信息主體權(quán)益前提下使用個(gè)人數(shù)據(jù)，構(gòu)建正當(dāng)合法和公平有序的個(gè)人信息利用秩序。因而，個(gè)人信息主體的權(quán)利對(duì)應(yīng)處理者的義務(wù)，是在具體處理關(guān)系中才能行使的請(qǐng)求權(quán)。⑤有觀點(diǎn)認(rèn)為四種權(quán)利系自然人對(duì)自己的個(gè)人信息享有的權(quán)能，同屬該類權(quán)能的還包括知情同意權(quán)、受保密權(quán)等內(nèi)容。此種觀點(diǎn)與四種權(quán)利皆為請(qǐng)求權(quán)的論斷，名異而實(shí)一，只不過是其在將個(gè)人信息權(quán)作為框架性權(quán)利的前提下，認(rèn)為請(qǐng)求查閱、復(fù)制等是其中一權(quán)項(xiàng)而已，但都是認(rèn)為四種權(quán)利在于保護(hù)個(gè)人不受侵害。參見鞠曄、凌學(xué)東：《大數(shù)據(jù)背景下網(wǎng)絡(luò)消費(fèi)者個(gè)人信息侵權(quán)問題及法律救濟(jì)》，《河北法學(xué)》2016年第11 期；楊惟欽：《個(gè)人信息權(quán)之私權(quán)屬性與內(nèi)涵思辨——以實(shí)現(xiàn)個(gè)人信息權(quán)益的合理保護(hù)為視角》，《晉陽學(xué)刊》2019年第2 期；黃薇：《中華人民共和國民法典人格權(quán)編解讀》，中國法制出版社2020年版，第223 頁。

（二）四種權(quán)利系人格權(quán)益請(qǐng)求權(quán)

四種權(quán)利是請(qǐng)求權(quán)，意味著四種權(quán)利必然要依附于某種基礎(chǔ)權(quán)益，不是獨(dú)立的權(quán)利。請(qǐng)求權(quán)起到發(fā)揮權(quán)利功能或者回復(fù)權(quán)益至不受侵害的圓滿狀態(tài)的作用。⑥參見王澤鑒：《民法總則》（最新版），北京大學(xué)出版社2009年版，第101 頁。從該角度而言，四種權(quán)利是請(qǐng)求權(quán)，也是救濟(jì)權(quán)，與其所依附的基礎(chǔ)權(quán)益（或原權(quán)）⑦參見朱慶育：《民法總論》（第2 版），北京大學(xué)出版社2016年版，第519 頁。之間是手段與目的的關(guān)系。請(qǐng)求權(quán)是“手段性權(quán)利”（亦可謂“程序性權(quán)利”），而基礎(chǔ)權(quán)益是作為保護(hù)目的的權(quán)益。

對(duì)于基礎(chǔ)權(quán)益的厘清將有利于明確主張四種請(qǐng)求權(quán)的條件，因此，需要探尋作為四種權(quán)利生發(fā)基礎(chǔ)的基礎(chǔ)權(quán)益究竟為何。論及四種權(quán)利所依附的基礎(chǔ)權(quán)益，不同地域找到了不同的基礎(chǔ)權(quán)益：國際上的個(gè)人信息保護(hù)是源自于國際文件中的隱私權(quán)；歐盟將個(gè)人信息保護(hù)抽象為獨(dú)立的基本權(quán)利并引領(lǐng)了數(shù)據(jù)保護(hù)立法；而以美國為首的少數(shù)國家則將個(gè)人信息保護(hù)納入與國際人權(quán)契合的隱私保護(hù)體系，稱為信息隱私。但在我國，《民法總則》及《民法典》僅表述為“個(gè)人信息受法律保護(hù)”，在憲法上還沒有明確的定位。然而個(gè)人信息處理過程中涉及多元利益，或言個(gè)人信息上承載著多元利益，四種權(quán)利所依附的基礎(chǔ)權(quán)益，就要在此利益范圍內(nèi)尋找。①目前對(duì)于個(gè)人信息的性質(zhì)尚有爭論，但是學(xué)界的共識(shí)是個(gè)人信息處理過程中涉及多元利益，或者說個(gè)人信息上承載著多元利益。參見高富平：《個(gè)人信息保護(hù):從個(gè)人控制到社會(huì)控制》，《法學(xué)研究》2018年3 期；丁曉東：《個(gè)人信息權(quán)利的反思與重塑——論個(gè)人信息保護(hù)的適用前提與法益基礎(chǔ)》，《中外法學(xué)》2020年第2 期。個(gè)人信息上當(dāng)然存在主體權(quán)益，如人格尊嚴(yán)、人身自由或者個(gè)人安全等。②參見類延村、徐潔涵：《個(gè)人信息法律保護(hù)的權(quán)利基礎(chǔ)與實(shí)踐邏輯》，《圖書館建設(shè)》2020年7月16日。同時(shí)，個(gè)人信息上也承載著社會(huì)利益，這種社會(huì)利益體現(xiàn)在滿足社會(huì)服務(wù)的需要。例如，某經(jīng)營實(shí)時(shí)導(dǎo)航APP 企業(yè)與其用戶簽訂協(xié)議，使用用戶的地理位置信息，以達(dá)到更好為用戶提供服務(wù)的目的。另外，個(gè)人信息上還承載著公共利益。例如，派出所依法收集社區(qū)住戶的信息以確保不法分子未隱匿于該社區(qū)等，保障社區(qū)之安全。更好的事例莫過于新冠疫情期間健康碼的使用，政府依法收集個(gè)人姓名、住址等基本信息及部分健康信息、行蹤信息，為有效抑制新冠疫情蔓延立下了汗馬功勞。由于多元利益存在，因而在民法上很難將個(gè)人信息上利益抽象為一種并表達(dá)為單一權(quán)利，但是，個(gè)人信息上的主體權(quán)益又需要民法保護(hù)。于是，徑直明確個(gè)人信息主體針對(duì)特定權(quán)益的請(qǐng)求權(quán)而不拘泥于個(gè)人信息上主體權(quán)益性質(zhì)的確定，就成為第1037 條的恰當(dāng)選擇。因而，四種權(quán)利依附的是個(gè)人信息上承載的主體權(quán)益，至于主體權(quán)益的性質(zhì)是權(quán)利還是法益，沒有討論的必要。

四種權(quán)益所依附的主體利益的范圍，以個(gè)人信息主體的人格權(quán)益為限。個(gè)人信息上承載的多元利益，已經(jīng)超越了民法所調(diào)整的人身利益與財(cái)產(chǎn)利益的范圍，甚至可以追溯到憲法上基本權(quán)利。四種權(quán)利規(guī)定在《民法典》“人格權(quán)編”，是個(gè)人信息處理涉及個(gè)人主體權(quán)利在民法中的表達(dá)。此四種權(quán)利的體系定位決定了其重點(diǎn)關(guān)照個(gè)人信息上承載的民法能夠調(diào)整的利益，不涉及其他方面的利益。③有觀點(diǎn)認(rèn)為個(gè)人信息保護(hù)的適用范圍是“持續(xù)性不平等信息關(guān)系”，而認(rèn)為民法調(diào)整的是平等主體之間的關(guān)系，因此認(rèn)為個(gè)人信息保護(hù)中的相關(guān)權(quán)利并非傳統(tǒng)民法中的權(quán)利。這種觀點(diǎn)混淆了民法上人格上的平等與各主體的現(xiàn)實(shí)實(shí)力有差異的關(guān)系，難以贊同。參見丁曉東：《個(gè)人信息權(quán)利的反思與重塑——論個(gè)人信息保護(hù)的適用前提與法益基礎(chǔ)》，《中外法學(xué)》2020年第2 期。正如沈春耀同志所言，“人格權(quán)編這一部分，主要是從民事法律規(guī)范的角度規(guī)定自然人和其他民事主體人格權(quán)的內(nèi)容、邊界和保護(hù)方式，不涉及公民政治、社會(huì)等方面權(quán)利”④沈春耀（全國人大常委會(huì)法制工作委員會(huì)主任）：《關(guān)于<民法典各分編(草案)>的說明》，2018年8月27日在十三屆全國人大常委會(huì)第五次會(huì)議第一次全體會(huì)議上的報(bào)告。。個(gè)人信息上承載的人格權(quán)益作為四種權(quán)利生發(fā)的基礎(chǔ)是正當(dāng)且必要的?！拔覈F(xiàn)行法雖未確認(rèn)個(gè)人信息是一種具體的人格權(quán)，但是，在認(rèn)定侵害個(gè)人信息的侵權(quán)責(zé)任時(shí)，個(gè)人信息被侵害的自然人也可以行使停止侵害、消除危險(xiǎn)等人格權(quán)請(qǐng)求權(quán)?！雹莩虈[：《論侵害個(gè)人信息的民事責(zé)任》，《暨南學(xué)報(bào)(哲學(xué)社會(huì)科學(xué)版)》2020年第2 期。

因此，四種權(quán)利作為請(qǐng)求權(quán)，其從屬于個(gè)人信息上承載的人格權(quán)益，而非獨(dú)立存在。四種權(quán)利不是可以積極利用的絕對(duì)權(quán)，只有信息處理導(dǎo)致人格權(quán)益被侵害時(shí)，才得以主張。①參見程嘯：《論大數(shù)據(jù)時(shí)代的個(gè)人數(shù)據(jù)權(quán)利》，《中國社會(huì)科學(xué)》2018年第3 期。

（三）四種權(quán)利系防御性人格權(quán)益請(qǐng)求權(quán)

既然四種權(quán)利系人格權(quán)益請(qǐng)求權(quán)，則四種權(quán)利的功能就在于防御個(gè)人信息處理中個(gè)人信息主體的人格權(quán)益受到侵害，并使其從受侵害恢復(fù)到圓滿之狀態(tài)。強(qiáng)調(diào)此種請(qǐng)求權(quán)的“防御性”，系與侵權(quán)損害賠償請(qǐng)求權(quán)相區(qū)別。前者的作用是阻止或防御不法行為，而后者之功能在于補(bǔ)償損失?！扒趾€(gè)人信息但尚未造成損害時(shí)，可適用預(yù)防性侵權(quán)責(zé)任，具體措施包括更正、停止處理、刪除以及隱名化等措施?！雹谌~名怡：《個(gè)人信息的侵權(quán)法保護(hù)》，《法學(xué)研究》2018年第4 期。此外，若損害發(fā)生后，對(duì)個(gè)人信息上承載的主體利益仍然構(gòu)成侵害或妨礙或危險(xiǎn)的情形，則該四種權(quán)利仍可對(duì)應(yīng)地啟動(dòng)。③參見程嘯：《侵權(quán)責(zé)任法教程》（第3 版），中國人民大學(xué)出版社2017年版，第353 頁。

四種權(quán)利系保護(hù)個(gè)人信息上承載的主體人格權(quán)益的手段，其存在的意義在于當(dāng)個(gè)人信息主體人格權(quán)益遭受侵害或有遭受侵害之虞時(shí)，作為個(gè)人信息主體實(shí)現(xiàn)公力救濟(jì)的法律武器。這種手段性權(quán)利或者請(qǐng)求權(quán)長久處于隱而不現(xiàn)的地位，一旦個(gè)人信息主體的人格權(quán)益，即人格尊嚴(yán)、人身自由等遭受侵害或有遭受侵害之虞時(shí)，該等請(qǐng)求權(quán)方可發(fā)動(dòng)。如果個(gè)人信息上承載的主體人格利益沒有遭受侵?jǐn)_，則個(gè)人信息主體自不得請(qǐng)求查詢、復(fù)制、更正、刪除等，否則顯非正當(dāng)，實(shí)乃濫用權(quán)利之舉。

需要強(qiáng)調(diào)的是，四種權(quán)利之和不等于個(gè)人信息受保護(hù)的全部?！睹穹ǖ洹贰皞€(gè)人信息受法律保護(hù)”的規(guī)定主要用來銜接《個(gè)人信息保護(hù)法》等法律規(guī)范，對(duì)違反法律規(guī)定的條件和程序使用個(gè)人信息給個(gè)人信息主體權(quán)益造成的損害給予民事救濟(jì)。個(gè)人信息受保護(hù)并不僅是《民法典》的任務(wù)，也是包含《消費(fèi)者權(quán)益保護(hù)法》《電子商務(wù)法》《網(wǎng)絡(luò)安全法》《刑法》和即將出臺(tái)的《個(gè)人信息保護(hù)法》在內(nèi)諸多法律規(guī)范的共同任務(wù)。四種權(quán)利的請(qǐng)求依據(jù)也不完全是民法規(guī)范，更多是依據(jù)保護(hù)個(gè)人信息處理中個(gè)人權(quán)益的法律規(guī)定（參見下文對(duì)查詢、復(fù)制權(quán)等要件的論述），這些法律中信息處理者違反個(gè)人保護(hù)義務(wù)的民事責(zé)任，也最終需要轉(zhuǎn)接到《民法典》。在這個(gè)意義上，信息主體的請(qǐng)求權(quán)的法律基礎(chǔ)呈開放性，凡是違反法律規(guī)定的個(gè)人信息處理行為（義務(wù)違反）均可以引發(fā)排除妨害、損害賠償?shù)认鄳?yīng)救濟(jì)，需要求助侵權(quán)責(zé)任法的基本規(guī)范來構(gòu)筑完整的個(gè)人信息主體權(quán)益保護(hù)體系。因此，四種權(quán)利是民法對(duì)個(gè)人信息主體權(quán)益的保護(hù)，既不是民法保護(hù)的全部，更不是法律保護(hù)的全部。

三、個(gè)人信息主體權(quán)利行使的要件

四種權(quán)利系為保護(hù)個(gè)人信息上承載的主體人格權(quán)益而生的請(qǐng)求權(quán)，有防御個(gè)人信息主體人格權(quán)益受到侵犯的功能。這樣的請(qǐng)求權(quán)主張需要遵從請(qǐng)求權(quán)行使的共同前提，同時(shí)遵循包括《民法典》第1037 條規(guī)定在內(nèi)的法律所規(guī)定的約束條件。這樣便注定了主張四種請(qǐng)求權(quán)的“一般要件+特別要件”的基本格局。這里僅以第1037 條為核心展開論述。

（一）一般要件：個(gè)人信息主體的人格權(quán)益正受侵害或有受侵害之虞

為平衡保護(hù)個(gè)人信息上承載的多元利益，主張四種權(quán)利的基本前提是個(gè)人信息上承載的主體人格權(quán)益正受侵害或有受侵害之虞，而不得僅根據(jù)第1037 條主張權(quán)利?！皞€(gè)人信息保護(hù)制度的客體是一切信息之上的合法利益?！雹僭⑼跛紤c，《個(gè)人信息分類保護(hù)制度及其體系研究》，《江西社會(huì)科學(xué)》2020年第7 期。個(gè)人信息保護(hù)制度的本質(zhì)系平衡之術(shù)，其終極目標(biāo)應(yīng)落腳于對(duì)個(gè)人信息上承載的多元利益進(jìn)行恰如其分的保護(hù)。所以，個(gè)人信息主體對(duì)于個(gè)人信息的處理沒有決定權(quán)，那么將個(gè)人信息置于個(gè)人信息主體意志的絕對(duì)支配之下就沒有道理?！睹穹ǖ洹返?11條第1 句及第1034 條第1 款所言之“自然人的個(gè)人信息受法律保護(hù)”，其本質(zhì)系個(gè)人信息上承載的人格尊嚴(yán)和人身自由等人格權(quán)益受到保護(hù)。若僅狹義理解個(gè)人信息主體請(qǐng)求查詢、復(fù)制、更正、刪除個(gè)人信息的構(gòu)成要件僅為《民法典》第1037 條所明示的部分，則個(gè)人信息主體行使四種權(quán)利之門檻過低，對(duì)于個(gè)人的保護(hù)明顯過度。個(gè)人僅憑單方意志即可請(qǐng)求查詢、復(fù)制、刪除等，實(shí)則將個(gè)人信息歸于個(gè)人信息主體控制之下，忽略了社會(huì)利益與公共利益，顯非妥適。需要“構(gòu)建自然人與信息處理者之間的基本權(quán)利義務(wù)框架”“合理平衡保護(hù)個(gè)人信息與維護(hù)公共利益之間的關(guān)系”②王晨（全國人大常委會(huì)副委員長）：《關(guān)于<中華人民共和國民法典（草案）>的說明》,2020年5月22日在第十三屆全國人民代表大會(huì)第三次會(huì)議上的報(bào)告。。既然四種請(qǐng)求權(quán)以個(gè)人信息主體的人格權(quán)益為基礎(chǔ)，系為救濟(jì)后者而生，則后者未受侵害或無受侵害之虞，自不存在主張四種請(qǐng)求權(quán)的前提。

若對(duì)個(gè)人信息主體的四種權(quán)利不加以“一般要件”的限制，對(duì)于經(jīng)濟(jì)社會(huì)的發(fā)展亦將造成巨大阻礙。數(shù)據(jù)經(jīng)濟(jì)時(shí)代，數(shù)據(jù)是社會(huì)發(fā)展的寶貴資源。海量的個(gè)人信息構(gòu)成了數(shù)據(jù)資源中的重要部分。若主體人格權(quán)益沒有受到侵害也允許個(gè)人信息主體隨意向信息處理者請(qǐng)求查詢、復(fù)制其個(gè)人信息，且信息處理者必須響應(yīng)自然人的請(qǐng)求，則處理自然人查詢、復(fù)制、更正、刪除的海量請(qǐng)求將成為信息處理者不能承受的巨大負(fù)擔(dān)。長此以往，此類請(qǐng)求數(shù)量將爆炸式增長，而其中真正因侵害到主體權(quán)益的將占很少部分。信息處理者為避免法律責(zé)任，將長期疲于應(yīng)對(duì)此類請(qǐng)求，真正利用數(shù)據(jù)資源提升產(chǎn)品、服務(wù)質(zhì)量的努力將逐漸減少。若為個(gè)人信息主體大開更正、刪除個(gè)人信息之門，則數(shù)據(jù)的質(zhì)量、數(shù)量難以保證，更毋論數(shù)據(jù)的分析、應(yīng)用。

判斷個(gè)人信息上承載的人格權(quán)益是否受侵害或有受侵害之虞，則不能再堅(jiān)守個(gè)人信息分類的思路，而需要結(jié)合情景脈絡(luò)之完整性綜合判斷。在建立個(gè)人信息權(quán)利譜系時(shí)應(yīng)注重比例原則的運(yùn)用，以平衡個(gè)人信息保護(hù)與利用。③參見類延村、徐潔涵：《個(gè)人信息法律保護(hù)的權(quán)利基礎(chǔ)與實(shí)踐邏輯》，《圖書館建設(shè)》2020年7月16日。當(dāng)然，由于個(gè)人舉證在信息科技時(shí)代難度較大，可以降低原告的證明責(zé)任，僅“初步證明”個(gè)人權(quán)益受到侵害及受到侵害的人格權(quán)益與信息處理行為之間的因果關(guān)系即可。請(qǐng)求的含義使得其行使必然要以受侵害為前提。當(dāng)然不見得一定要證明已經(jīng)遭受現(xiàn)實(shí)的侵害，有侵害之虞即可，也不必證明個(gè)人信息處理者存在過錯(cuò)。④參見王利明：《論人格權(quán)請(qǐng)求權(quán)與侵權(quán)損害賠償請(qǐng)求權(quán)的分離》，《中國法學(xué)》2019年第1 期。事實(shí)上，即便主張個(gè)人信息乃具體人格權(quán)的學(xué)者亦承認(rèn)查詢、復(fù)制等權(quán)利需要受到限制。⑤參見葉名怡：《論個(gè)人信息權(quán)的基本范疇》，《清華法學(xué)》2018年第5 期。根據(jù)個(gè)人信息的私密程度、敏感程度的不同，對(duì)于個(gè)人信息主體人格權(quán)益是否存在受侵害的風(fēng)險(xiǎn)，亦要在把握程度上作相應(yīng)的調(diào)整。

信息處理是否以對(duì)個(gè)人信息主體進(jìn)行識(shí)別分析為目的，是判斷主體權(quán)益是否正受侵害或有危險(xiǎn)的重要標(biāo)準(zhǔn)。如果對(duì)于個(gè)人信息的處理并非以對(duì)個(gè)人信息主體進(jìn)行識(shí)別分析為目的，則難謂會(huì)對(duì)個(gè)人造成侵害或危險(xiǎn)，進(jìn)而沒有必要給個(gè)人信息主體以救濟(jì)途徑。例如，在淘寶訴美景案中，淘寶平臺(tái)將用戶的瀏覽、加入購物車、購買等信息進(jìn)行處理，在群體維度上分析消費(fèi)者對(duì)各種商品、價(jià)位、商家等的喜好程度，非用于對(duì)某個(gè)個(gè)人信息主體進(jìn)行識(shí)別分析。①參見“安徽美景信息科技有限公司、淘寶（中國）軟件有限公司商業(yè)賄賂不正當(dāng)競爭糾紛案”，浙江省杭州市中級(jí)人民法院(2018)浙01 民終7312 號(hào)民事判決書。在此種情況下，個(gè)別的個(gè)人信息錯(cuò)誤或者違約處理等情形不會(huì)給個(gè)人信息主體造成侵害，也不存在風(fēng)險(xiǎn)，不必給用戶以何種侵權(quán)救濟(jì)手段。但是不否認(rèn)如果信息處理者違法處理應(yīng)當(dāng)依法承擔(dān)相應(yīng)行政責(zé)任，甚至是刑事責(zé)任。

（二）查閱、復(fù)制權(quán)的特別要件

個(gè)人信息的查閱、復(fù)制權(quán)是指“信息主體有權(quán)查詢其個(gè)人信息被處理的情況，并有對(duì)處理的個(gè)人信息進(jìn)行復(fù)制的權(quán)利”②黃薇：《中華人民共和國民法典人格權(quán)編解讀》，中國法制出版社2020年版，第223 頁。。第1037 條第1 款第1 分句對(duì)其之表述為“自然人可以依法向信息處理者查閱或者復(fù)制其個(gè)人信息”。

須指出，該分句規(guī)定個(gè)人信息主體向信息處理者查閱、復(fù)制其個(gè)人信息之權(quán)利時(shí)，以“依法”作為限定。從“依法”的文義來看，有四種解釋上的可能：第一，類似《刑法》中的注意規(guī)定，僅起提示作用，無實(shí)際意義；第二，“依法”解釋為依照法律規(guī)定的方式與程序，與權(quán)限無涉；第三，“依法”僅涉及權(quán)限，表明該分句系指示參照性的法條，“依法”中的“法”亦包含該分句；第四，“依法”僅涉及權(quán)限，本分句系參照性的法條，但此處的“法”不包含該分句本身。筆者認(rèn)為，第四種解釋方案最為妥帖。以下分別就四種解釋方案展開說明。

第一種解釋方案不可取。依此解釋方案，若“依法”二字僅提示適用法律者不得違法，則為何該條第1 款第2 分句及該條第2 款均再不出現(xiàn)“依法”二字？換言之，為何僅查詢、復(fù)制權(quán)需要提示法律適用者要合法，而更正、刪除權(quán)則不需要？故應(yīng)排除此種解釋的可能。

第二種解釋方案亦不可取。一方面，若“依法”強(qiáng)調(diào)查詢、復(fù)制需要依照法律規(guī)定的程序，不涉及權(quán)限的問題，那么有疑問的是更正與刪除個(gè)人信息同樣需要遵從相應(yīng)的程序，但為何此二權(quán)利不以“依法”限制。另一方面，就《民法典》而言，強(qiáng)調(diào)程序合法的法律表達(dá)明顯帶有“程序”二字。例如，“程序……依照有關(guān)法律的規(guī)定”（第71 條）、“依照法律規(guī)定的……和程序”（第117 條、第243 條第1 款、第245 條第1 句）、“依照法律或者章程規(guī)定的……和表決程序”（第134 條第2 款）、“不得違反法律規(guī)定的……和程序”（第244 條第2 句）、“依照法定程序”（第261 條第2 款、第946 條第1 款第1 句）、“具體條件和程序，依照法律、法規(guī)的規(guī)定”（第277 條第1 款）、“按照國家規(guī)定的程序”（第654 條第1 款第3 句）等。從體系層面看待《民法典》的語詞使用習(xí)慣，僅提“依法”二字而沒有強(qiáng)調(diào)“程序”，則與程序問題無涉。因此，第二種解釋方案亦難采納。

第三種解釋方案也難以認(rèn)同。若“依法”二字中的“法”包含第1037 條第1 款第1 分句本身，則此“依法”二字將失去其意義而顯冗余。在人格權(quán)編歷經(jīng)三讀方被通過的情況下，不可輕易認(rèn)為立法者在語詞運(yùn)用上出現(xiàn)疏忽。

故只有第四種方案最為妥帖，即“依法”中的“法”不包含第1037 條第1 款第1 分句本身。而這將意味著個(gè)人信息主體不可依據(jù)該條文向信息處理者請(qǐng)求查閱、復(fù)制其個(gè)人信息，而必須檢索其他法律依據(jù)。例如，個(gè)人信息主體可以依據(jù)《征信業(yè)管理?xiàng)l例》第17 條向征信機(jī)構(gòu)主張查詢其自身信息，且個(gè)人信息主體有權(quán)每年兩次免費(fèi)獲取本人的信用報(bào)告。再如，個(gè)人信息主體可以依照《民法典》第1225 條第2 款主張查閱、復(fù)制其住院志、醫(yī)囑單、檢驗(yàn)報(bào)告、手術(shù)及麻醉記錄、病理資料、護(hù)理記錄等病歷資料。事實(shí)上，從立法者的說明來看，此分句確為指示參照性法條，而且主要為未來的《個(gè)人信息保護(hù)法》預(yù)留空間。①參見沈春耀（全國人大常委會(huì)法制工作委員會(huì)主任）：《關(guān)于<民法典各分編(草案)>的說明》，2018年8月27日下午在十三屆全國人大常委會(huì)第五次會(huì)議第一次全體會(huì)議上的發(fā)言。“針對(duì)隱私權(quán)和個(gè)人信息保護(hù)領(lǐng)域存在的突出問題，在現(xiàn)行法律規(guī)定基礎(chǔ)上，草案進(jìn)一步強(qiáng)化對(duì)隱私權(quán)和個(gè)人信息的保護(hù)，并為即將制定的個(gè)人信息保護(hù)法留下銜接空間?！?/p>

當(dāng)然，依此解釋結(jié)論，第1037 條第1 款第1 分句對(duì)于個(gè)人信息主體查詢、復(fù)制其個(gè)人信息的請(qǐng)求無甚意義，而僅具有宣示、提醒之功能。另外，此處的“法”究竟是指代全國人大及其常委會(huì)制定的法律還是泛指法律、行政法規(guī)等法律規(guī)范，亦需研究。本文傾向于后者。從我國現(xiàn)實(shí)立法情況出發(fā)，關(guān)于個(gè)人信息的立法散見于各種效力層級(jí)的法律規(guī)范，其中以行政法規(guī)、部委規(guī)章、部委規(guī)范性文件等為多，法律層面尚無系統(tǒng)的規(guī)定。倘否定行政法規(guī)等規(guī)范中的規(guī)定，則個(gè)人信息幾無查詢、復(fù)制之可能，尤其是在《民法典》已生效而《個(gè)人信息保護(hù)法》尚未生效的真空期。故此處的“法”須作廣義理解。

（三）更正權(quán)的特別要件

自文義進(jìn)路觀之，更正權(quán)的行使需要有兩個(gè)前提。

第一是須發(fā)現(xiàn)個(gè)人信息有錯(cuò)誤。這意味著個(gè)人信息主體行使更正權(quán)時(shí)負(fù)有舉證責(zé)任，證明其個(gè)人信息出現(xiàn)錯(cuò)誤。個(gè)人信息的錯(cuò)誤并非僅為狹義的錯(cuò)誤，即個(gè)人信息收集、分析所對(duì)應(yīng)的個(gè)人信息是錯(cuò)誤的。還有可能包括：個(gè)人信息收集時(shí)無錯(cuò)誤，但是經(jīng)過一段時(shí)間的發(fā)展，過去的個(gè)人信息已不符合當(dāng)前的實(shí)況或者最新生發(fā)了新的個(gè)人信息而沒有被納入考慮；或者個(gè)人信息雖然無錯(cuò)誤但是遺漏了一部分。

第二是更正系必要措施?！睹穹ǖ洹返?037 條第1 款第2 分句的“等”字表明，發(fā)現(xiàn)信息有錯(cuò)誤并非必然需要采取更正措施，即使采取措施，也并非只有“更正”這一唯一措施，更包括其他措施。個(gè)人信息錯(cuò)誤類型的多元化，導(dǎo)致對(duì)應(yīng)的“更正等必要措施”中，不單包括狹義的更正，還包括更新、增補(bǔ)等。②參見黃薇：《中華人民共和國民法典人格權(quán)編解讀》，中國法制出版社2020年版，第223 頁。事實(shí)上，如果出現(xiàn)更正不能的情況，不必強(qiáng)行更正，可以選擇刪除。而信息處理者選擇采取何種措施的標(biāo)準(zhǔn)是“必要”，這一標(biāo)準(zhǔn)也應(yīng)作為事后檢驗(yàn)信息處理者針對(duì)個(gè)人信息主體請(qǐng)求的處理是否得當(dāng)?shù)闹匾獦?biāo)尺。

更正權(quán)的“必要”標(biāo)準(zhǔn)是立法者有意制定，宜審慎對(duì)待。對(duì)立法史進(jìn)行梳理亦可發(fā)現(xiàn)立法者在制定《民法典》時(shí)一改《網(wǎng)絡(luò)安全法》的僵硬、絕對(duì)之立場。事實(shí)上，更正權(quán)并非《民法典》之創(chuàng)舉。2016年制定的《網(wǎng)絡(luò)安全法》第43 條第1 句第2 分句即規(guī)定個(gè)人發(fā)現(xiàn)網(wǎng)絡(luò)運(yùn)營者收集、存儲(chǔ)的個(gè)人信息有錯(cuò)誤的，有權(quán)要求網(wǎng)絡(luò)運(yùn)營者予以更正?！睹穹ǖ洹返?037 條與之相比，最大的不同即在于添加了“等必要措施”五字?；厮荨睹穹ǖ洹返闹贫ㄟ^程，從2018年的《民法典各分編（草案）》時(shí)起，立法者就在更正之后增加了該五字。歷經(jīng)二審稿、三審稿至《民法典（草案）》《民法典（草案修改稿）》，直至最終落地出臺(tái)的《民法典》，四種權(quán)利的法律表達(dá)或顯著或微小地不停修訂著，只有“等必要措施”五字自添加之后始終屹立不動(dòng)，體現(xiàn)出立法者對(duì)于“必要”標(biāo)準(zhǔn)的重視。

（四）刪除權(quán)的特別要件

個(gè)人信息刪除權(quán)是指“信息主體在法定或約定的事由出現(xiàn)時(shí)，有權(quán)請(qǐng)求信息處理者刪除其個(gè)人信息的權(quán)利”①黃薇：《中華人民共和國民法典人格權(quán)編解讀》，中國法制出版社2020年版，第224 頁。。第1037 條第2 款規(guī)定了個(gè)人信息主體行使刪除權(quán)的兩種情形：第一，發(fā)現(xiàn)信息處理者違反法律、行政法規(guī)的規(guī)定處理個(gè)人信息；第二，發(fā)現(xiàn)信息處理者違反雙方的約定處理個(gè)人信息。

針對(duì)第一種情形，法律規(guī)定及行政法規(guī)的規(guī)定背后往往有國家利益、社會(huì)公共利益作支撐，故違反法律、行政法規(guī)之規(guī)定而處理自然人的個(gè)人信息自然亦違反國家利益與公共利益，自應(yīng)當(dāng)允許自然人請(qǐng)求刪除。申言之，信息處理者處理個(gè)人信息違反了法律、行政法規(guī)的規(guī)定，則即使自然人不行使請(qǐng)求信息處理者刪除的權(quán)利，信息處理者亦應(yīng)當(dāng)刪除。例如，根據(jù)《網(wǎng)絡(luò)安全法》第64 條之規(guī)定，若信息處理者違法處理個(gè)人信息而拒不響應(yīng)自然人的刪除請(qǐng)求，則由有關(guān)主管部門責(zé)令改正，此處的“責(zé)令改正”當(dāng)然包括刪除。因此，該情形下個(gè)人信息主體的刪除權(quán)實(shí)質(zhì)上反映出利益博弈的理念。

針對(duì)第二種情形，即信息處理者的處理行為違約。事實(shí)上，因雙方簽訂合同，個(gè)人信息主體表達(dá)了同意，信息處理者處理個(gè)人信息才有正當(dāng)性基礎(chǔ)。此時(shí)同意也僅限于合同約定的范圍內(nèi)，當(dāng)超出雙方間約定的范圍處理個(gè)人信息時(shí)，信息處理者的行為也就不存在合法基礎(chǔ)。當(dāng)然，若信息處理者有另外的法律依據(jù)或者相關(guān)公共利益等作為合法性基礎(chǔ)亦可。不過這已經(jīng)屬于信息處理者拒絕響應(yīng)個(gè)人信息主體請(qǐng)求的范疇了。

此兩種情形發(fā)生并不當(dāng)然能夠支撐刪除權(quán)的主張，還需要個(gè)人信息主體的人格權(quán)益正受侵害或有受侵害之虞，此點(diǎn)前已論及。究其根本，仍在于個(gè)人信息受法律保護(hù)不等于個(gè)人信息主體對(duì)于其個(gè)人信息有決定權(quán)或控制權(quán)，進(jìn)而也就不能任憑個(gè)人信息主體刪除其個(gè)人信息。

（五）小結(jié)

第1037 條分別規(guī)定了個(gè)人信息主體主張四種權(quán)利的特別要件。其中“依法”二字的存在決定了查詢、復(fù)制權(quán)不能以該條為依據(jù)，換言之，“依法”是查詢、復(fù)制權(quán)的特別要件?！鞍l(fā)現(xiàn)信息錯(cuò)誤”和“必要”是主張更正權(quán)的特別要件。信息處理者違法或違約處理個(gè)人信息是主張刪除權(quán)的特別要件。但是上述要件僅為主張權(quán)利的必要條件而非充分條件。四種權(quán)利作為防御性的人格權(quán)益請(qǐng)求權(quán)決定了主張四種權(quán)利均尚需要以個(gè)人信息上承載的主體人格權(quán)益正受侵害或有受侵害之虞為一般要件。一般要件結(jié)合四種權(quán)利各自的特別要件，個(gè)人信息主體才可以主張四種權(quán)利。

四、個(gè)人信息主體權(quán)利行使的限制：信息處理者的抗辯事由

既然四種權(quán)利系請(qǐng)求權(quán)，則民法的公平理念要求必須賦予信息處理者以相應(yīng)的抗辯權(quán)，這種抗辯權(quán)表現(xiàn)為信息處理者在某些情形下，可以拒絕響應(yīng)個(gè)人信息主體的請(qǐng)求。從體系位置而言，此種抗辯相當(dāng)于對(duì)于“違法阻卻事由”的主張。在個(gè)人信息處理過程中，個(gè)人信息上主體人格權(quán)益受侵害或有受侵害的危險(xiǎn)，以信息處理者行為的不法性為必要條件。如何判斷信息處理者行為的不法性，這需要進(jìn)行比例原則加持下的利益衡量，原因在于，個(gè)人信息上主體人格權(quán)益范圍的不確定性。①參見王澤鑒：《民法總則》，北京大學(xué)出版社2009年版，第108-110 頁。利益衡量主要需要參酌多方利益，即：個(gè)人信息主體的利益、信息處理者的利益以及公共利益等。以利益衡量的方式考察信息處理者是否可以拒絕響應(yīng)個(gè)人信息主體的請(qǐng)求，也有實(shí)證法上的支撐?！睹穹ǖ洹返? 條“根據(jù)憲法”的法律表達(dá)為《民法典》條文的合憲性解釋提出要求，而《憲法》第51 條即要求公民行使自由和權(quán)利不得損害國家、社會(huì)或者集體的利益和其他公民的合法的自由和權(quán)利，這為利益衡量進(jìn)行了背書。同時(shí)，對(duì)《民法典》第132 條作體系解釋，個(gè)人信息主體行使權(quán)利時(shí)亦應(yīng)當(dāng)遵循比例原則、誠實(shí)信用原則，不得濫用權(quán)利。這本質(zhì)上仍然是一種利益衡量。利益衡量的功效有二：第一，檢驗(yàn)信息處理者的行為是否不法；第二，在信息處理者的行為具有不法性的前提下，檢驗(yàn)信息處理者是否具有正當(dāng)?shù)淖鑵s事由。至于具體考量因素，在《民法典》第1035 條第1 款及第1036 條均有涉及。

個(gè)人信息存在多重價(jià)值和多重利益，個(gè)人信息的處理或使用并不一定侵害信息主體的利益，即使造成損害也需要與社會(huì)和公共利益平衡以確定是否給予保護(hù)。正因此，歐盟個(gè)人數(shù)據(jù)保護(hù)法也一直被定位于基于原則的數(shù)據(jù)處理規(guī)范。②關(guān)于基于原則的規(guī)范的詳細(xì)論述可參閱: Winston J.Maxwell, “Principles-based regulation of personal data: the case of ‘fair processing’”, 5(3)International Data Privacy Law 205(2015).個(gè)人數(shù)據(jù)處理原則的靈活性使得法律的執(zhí)行具有靈活性，這種法律實(shí)現(xiàn)方式也被稱為基于風(fēng)險(xiǎn)的方法（risk-based approach）。③歐盟第29 條工作組認(rèn)為，1995年歐盟《指令》即已經(jīng)采納并貫徹基于風(fēng)險(xiǎn)的規(guī)制。參見ARTICLE 29 DATA PROTECTION WORKING PARTY，“Statement on the role of a risk-based approach in data protection legal frameworks（Adopted on 30 May 2014）”，https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2014/wp218_en.pdf ，accessed March7.2020.說 明：29條工作組（The Article 29 Working Party）是獨(dú)立的歐盟工作機(jī)構(gòu)，主要進(jìn)行隱私和個(gè)人數(shù)據(jù)保護(hù)工作，2018年5月25日是GDPR生效后，被歐盟數(shù)據(jù)保護(hù)局（European Data Protection Board ) 所取代。這種基于風(fēng)險(xiǎn)的數(shù)據(jù)保護(hù)方法是有彈性的并且是合比例的方式?；谠瓌t規(guī)范反映了決定程序和評(píng)估背后的價(jià)值，數(shù)據(jù)控制者可以通過數(shù)據(jù)保護(hù)影響評(píng)估等機(jī)制，靈活地實(shí)施法律。④See Maria Eduarda Gon?alves,“The risk-based approach under the new EU data protection regulation: a critical perspective”, 23(2)Journal of Risk Research, 139(2020).因此，GDPR 對(duì)數(shù)據(jù)主體的賦權(quán)從來都不是絕對(duì)的，而是施以種種限制。以GDPR 第15 條第3 款為例。GDPR 第15 條第3 款所列之自數(shù)據(jù)控制者處獲取個(gè)人數(shù)據(jù)副本的權(quán)利，對(duì)應(yīng)我國《民法典》中的復(fù)制權(quán)。但第15 條第3款同時(shí)指出，若個(gè)人數(shù)據(jù)主體要求獲得更多的個(gè)人數(shù)據(jù)副本（any further copies），則數(shù)據(jù)控制者可以要求個(gè)人數(shù)據(jù)主體支付合理的管理費(fèi)用。此外，第15 條第4 款規(guī)定，索要副本的權(quán)利不應(yīng)對(duì)他人的權(quán)利和自由產(chǎn)生不利影響（adversely affect）。再如，GDPR 第17 條規(guī)定之刪除權(quán)（Right to erasure），第3 款列五種情形阻卻個(gè)人信息主體刪除權(quán)之行使，分別涉及言論和信息自由、數(shù)據(jù)控制者的法定義務(wù)、為公共利益而履行義務(wù)、法定職務(wù)權(quán)限、公共健康領(lǐng)域的公共利益、為公共利益的存檔及科研、歷史研究、統(tǒng)計(jì)研究等事項(xiàng)。顯然，五種情形都鮮明地體現(xiàn)出了利益衡量的思路，五種情形中個(gè)人信息上承載的主體權(quán)益在利益較量中處于下風(fēng)。

同樣在美國，海倫·尼森鮑姆（Helen Nissenbaum）教授提出的場景一致性理論，反映出了同樣的利益衡量思想。場景一致性理論提出將注意力集中到在特定的場景下，特定的信息流動(dòng)是否有侵權(quán)之嫌。該理論指出，同一種信息，在不同的場景下，其信息流動(dòng)是否侵犯個(gè)人權(quán)益或許是大不相同的。例如，患者的病情及病歷資料，被路人所了解，就侵犯了患者的隱私；但是，如果出于設(shè)計(jì)個(gè)性化診療方案的需要，被主治醫(yī)生所知曉，即不存在侵犯隱私的嫌疑；甚至出于專家會(huì)診的需要，甲醫(yī)生將患者的病情告知乙醫(yī)生，該信息流動(dòng)亦被認(rèn)為是適當(dāng)?shù)摹＂賁ee Helen Nissenbaum, Privacy in Context: Technology, Policy, and the Integrity of Social Life, Stanford University Press, 2010, p135.該理論確定的基本思考進(jìn)路包括確定主流場景，確定行動(dòng)主體、信息屬性及傳輸?shù)脑瓌t，并定位適用該場景下信息流動(dòng)本應(yīng)適用的既有信息規(guī)范（norms），以此作為重要的思考始點(diǎn)。之后，運(yùn)用該理論展開初始評(píng)估。此處“初始評(píng)估”系在結(jié)合上述多個(gè)元素進(jìn)行衡量之后，或許當(dāng)前信息流動(dòng)會(huì)以各種方式挑戰(zhàn)既有規(guī)范。但針對(duì)特定場景，或許既有規(guī)范不完整。此時(shí)只能謂初步的判斷是，場景一致性被違反。

但場景一致性被違反并非判斷的終點(diǎn)，需要展開進(jìn)一步的價(jià)值衡量。此處的價(jià)值衡量將要納入該特定場景下信息流動(dòng)所欲實(shí)現(xiàn)的價(jià)值、目標(biāo)和目的，并衡諸道德、政治因素，以及自治、自由、正義、公平、平等、民主等價(jià)值理念。若經(jīng)過進(jìn)一步的價(jià)值衡量，認(rèn)為雖然現(xiàn)有信息流動(dòng)違反了基于過去的經(jīng)驗(yàn)或?qū)嵺`（practice）所形成的場景一致性，但是，卻滿足了某些重要的價(jià)值，從而被認(rèn)為當(dāng)前的新信息流動(dòng)——即便違反了場景一致性——仍然是妥當(dāng)?shù)?。②See note ①, 2010, p165-166.簡言之，場景一致性理論認(rèn)為，現(xiàn)有的規(guī)范僅僅具有推定意義，新一輪的價(jià)值衡量可以推翻現(xiàn)有規(guī)范所形成的結(jié)論。

總結(jié)阻卻個(gè)人信息主體請(qǐng)求權(quán)的美國模式與歐盟模式，可謂殊途同歸。不同的是，美國模式的最新發(fā)展放棄提取一般規(guī)則的做法，而將目光直接放到具體的場景中進(jìn)行分析，從而得出特定情形下的信息流動(dòng)是否妥當(dāng)?shù)慕Y(jié)論；歐盟模式則更傾向于抽象出一項(xiàng)項(xiàng)的理由，整理成阻卻個(gè)人信息主體請(qǐng)求權(quán)的規(guī)則。但是，美歐模式反映了共同的一點(diǎn)，即利益衡量的必要性。所以，差異僅在于形式，核心思想是一致的。歐盟阻卻個(gè)人信息主體請(qǐng)求權(quán)的一項(xiàng)項(xiàng)理由，放到美國場景一致性理論中必然經(jīng)得起考驗(yàn)，因此，若出現(xiàn)該幾類情形，不必承受利益分析的負(fù)擔(dān)；同樣，當(dāng)出現(xiàn)新的情形而抽象出的規(guī)則無法涵蓋時(shí)，又仍然需要美國模式中的場景一致性理論加以補(bǔ)充。

令人欣慰的是，我國也關(guān)注到了信息處理者拒絕響應(yīng)請(qǐng)求的必要性。2020年我國制定的《信息安全技術(shù) 個(gè)人信息安全規(guī)范》（GB/T 35273—2020，以下簡稱“《規(guī)范》”）在列舉了個(gè)人信息主體的查詢、復(fù)制、更正、刪除權(quán)利之后，在第8.6 條第5 項(xiàng)列出了8 種可以不響應(yīng)個(gè)人信息主體請(qǐng)求的情形①分別是：（1）與個(gè)人信息控制者履行法律法規(guī)規(guī)定的義務(wù)相關(guān)的；（2）與國家安全、國防安全直接相關(guān)的；（3）與公共安全、公共衛(wèi)生、重大公共利益直接相關(guān)的；（4）與刑事偵查、起訴、審判和執(zhí)行判決等直接相關(guān)的；（5）個(gè)人信息控制者有充分證據(jù)表明個(gè)人信息主體存在主觀惡意或?yàn)E用權(quán)利的；（6）出于維護(hù)個(gè)人信息主體或其他個(gè)人的生命、財(cái)產(chǎn)等重大合法權(quán)益但又很難得到本人授權(quán)同意的；（7）響應(yīng)個(gè)人信息主體的請(qǐng)求將導(dǎo)致個(gè)人信息主體或其他個(gè)人、組織的合法權(quán)益受到嚴(yán)重?fù)p害的；（8）涉及商業(yè)秘密的。，其抗辯事由的列舉方面更傾向于歐盟模式，這似乎是我國成文法傳統(tǒng)所導(dǎo)致的必然?？v觀這8 種情形，皆反映了個(gè)人信息主體的主體利益在利益衡量中呈現(xiàn)弱勢(shì)的情況。因此，當(dāng)8 種情形無法涵蓋所有情況時(shí)，場景一致性的分析、利益衡量仍然是不可缺少的工具。

五、結(jié)語

若僅依照《民法典》第1037 條規(guī)定的要件，則個(gè)人信息主體主張權(quán)利過于容易，不利于各種利益的均衡保護(hù)，也會(huì)減弱數(shù)字經(jīng)濟(jì)和數(shù)字產(chǎn)業(yè)的未來發(fā)展動(dòng)能。恰如王澤鑒先生在談及人格權(quán)保護(hù)時(shí)所言，“如過于寬泛，則易起人民好訟之風(fēng)，亦非社會(huì)之?！雹谕鯘设b：《民法總則》（最新版），北京大學(xué)出版社2009年版，第107 頁。，誠哉斯言！因此，對(duì)個(gè)人信息主體主張權(quán)利的難易程度進(jìn)行適當(dāng)?shù)南蘅s，避免個(gè)人信息主體控制其個(gè)人信息，應(yīng)當(dāng)是解釋和適用第1037 條的總體方向。

四種權(quán)利是請(qǐng)求權(quán)，該請(qǐng)求權(quán)依附于個(gè)人信息上承載的主體人格權(quán)益。從此角度看，四種權(quán)利與個(gè)人信息上承載的主體人格權(quán)益是手段與目的的關(guān)系。此種請(qǐng)求權(quán)具有防御性，與侵權(quán)損害賠償請(qǐng)求權(quán)在功能上相區(qū)別，前者功能在于預(yù)防，后者功能在于填補(bǔ)損失。

四種權(quán)利的防御性人格權(quán)益請(qǐng)求權(quán)的性質(zhì)，決定了主張四種權(quán)利的一般要件是個(gè)人信息上主體人格權(quán)益正在受侵害或有受侵害之虞。第1037 條規(guī)定的要件僅為四種權(quán)利的特別要件。一般要件與特別要件同時(shí)具備才可以主張權(quán)利。

主張四種權(quán)利的要件全部滿足并不等于信息處理者必須響應(yīng)。當(dāng)在個(gè)人信息主體權(quán)益、公共利益、信息處理者利益的衡量中，個(gè)人信息主體權(quán)益處于弱勢(shì)時(shí)，信息處理者可以拒絕響應(yīng)個(gè)人信息主體的請(qǐng)求。需要始終強(qiáng)調(diào)的是利益衡量在處理個(gè)人信息主體請(qǐng)求權(quán)問題時(shí)的重要作用。

雖然本文強(qiáng)調(diào)響應(yīng)請(qǐng)求與否取決于利益衡量的結(jié)果，但是，當(dāng)多種利益交織在一起時(shí)，如何決定哪種利益最終會(huì)在衡量中勝出，仍然是需要繼續(xù)挖掘和思考的問題。同時(shí)，第1037 條對(duì)于四種權(quán)利的規(guī)定仍過于粗糙，比如查詢權(quán)的對(duì)象范圍是什么？是個(gè)人基本信息還是全部信息，限于個(gè)人主動(dòng)提供的部分抑或包含從他處收集的部分；再如，刪除權(quán)的行使是否意味著直接刪除信息，信息匿名化是否能夠滿足刪除權(quán)的要求，等等，有待繼續(xù)研究與思考。