李錦華

中國人民大學(xué) 法學(xué)院,北京 100086

一、問題提出:個人信息查閱權(quán)(1)該權(quán)利在歐盟《通用數(shù)據(jù)保護條例》(GDPR)中表達(dá)為“right of access by the data subject”,美國《加州消費者隱私法案》(CCPA)類似表達(dá)為“a request from a consumer to access personal information”?！吨腥A人民共和國民法典》第一千零三十七條第一款規(guī)定了自然人可以依法向信息處理者查閱或者復(fù)制其個人信息?！吨腥A人民共和國個人信息保護法》第四十五條規(guī)定,個人有權(quán)向個人信息處理者查閱、復(fù)制其個人信息。根據(jù)法條規(guī)范構(gòu)造分析,查閱權(quán)的主體是自然人,義務(wù)主體是信息處理者,權(quán)利客體是個人信息。權(quán)利救濟體現(xiàn)在《中華人民共和國個人信息保護法》第五十條,個人信息處理者應(yīng)當(dāng)建立便捷的個人行使權(quán)利申請受理和處理機制。拒絕個人行使權(quán)利的請求的,應(yīng)當(dāng)說明理由。個人信息處理者拒絕個人行使權(quán)利請求的,個人可以依法向人民法院提起訴訟。綜合“access”之意,查閱、可獲取性可作同義理解。在本文闡述中,將以“查閱權(quán)”為主要表述方式。的重要性

隨著信息技術(shù)、互聯(lián)網(wǎng)的發(fā)展,個人信息的使用效率得到了極大提高。海量的個人信息被存儲在電子設(shè)備之中,進(jìn)而被快速分析和處理,形成分析報告和模型,進(jìn)行時間和空間傳輸。與此同時,數(shù)字技術(shù)對個人信息的利用產(chǎn)生的風(fēng)險也在不斷演化。賦予個人信息權(quán)利以應(yīng)對個人信息處理過程中產(chǎn)生的問題,成為當(dāng)前個人信息保護立法的趨勢。為私人信息空間設(shè)定權(quán)利保護,是解決信息社會隱私危機的迫切需要[1]218。查閱個人信息的權(quán)利在最初就納入了全球個人信息保護有關(guān)立法中并且在歐盟一直獲得延續(xù)(2)例如《歐洲聯(lián)盟基本權(quán)利憲章》第8條規(guī)定人人均有權(quán)享有個人信息的保護,同時有權(quán)了解其個人信息。Charter of fundamental rights of the European Union:Article 8.1.Everyone has the right to the protection of personal data concerning him or her.8.2.Such data must be processed fairly for specified purposes and on the basis of the consent of the person concerned or some other legitimate basis laid down by law.Everyone has the right of access to data which has been collected concerning him or her, and the right to have it rectified.。查閱權(quán)為個人提供了查閱和維護個人信息的方式和途徑。這項權(quán)利也為大多數(shù)國家立法所規(guī)定,如歐盟《通用數(shù)據(jù)保護條例》(GDPR)和美國《加州消費者隱私法案》(CCPA)以及《中華人民共和國個人信息保護法》(以下簡稱《個人信息保護法》)(3)參見GDPR第15條,CCPA第1798.110節(jié),《中華人民共和國個人信息保護法》第四十五條。。

查閱信息是個人修改錯誤信息、行使刪除權(quán)的前提,是對個人積極采取行動保護個人信息和隱私的鼓勵。拋開隱私問題不談,個人想要查閱個人信息還有其他實際原因,例如,審查信用報告有助于個人保護自己免受不正確、不完整的信貸信息影響;查閱自己的醫(yī)療記錄,可以提供給其他醫(yī)療工作人員了解其相關(guān)診斷和治療的情況,跟進(jìn)治療進(jìn)程。總的來說,個人信息查閱可以了解信息處理者收集和處理的特定個人信息,審查有關(guān)內(nèi)容,確保信息準(zhǔn)確、完整,還能將所獲取的信息用于個人或其他用途。

個人信息查閱被視為一項基本權(quán)利進(jìn)行保護[2]。個人有查詢和接收信息的自由。如果沒有可查閱信息的權(quán)利,自由也就成為無源之水,無法實現(xiàn)其核心價值和功用[3]。查閱權(quán)有助于個人信息保護透明度原則和告知同意的實現(xiàn)。透明度原則和告知同意要求信息處理者披露有關(guān)個人信息處理的規(guī)則,個人也應(yīng)有查閱其有關(guān)信息的權(quán)利。此外,查閱權(quán)有助于復(fù)制權(quán)、可攜權(quán)、更正權(quán)、刪除權(quán)等個人信息權(quán)利的實現(xiàn)(4)歐盟數(shù)據(jù)保護委員會(EDPB)指南指出,查閱權(quán)的總體目標(biāo)是為了向個人提供獲取有關(guān)其個人信息處理的信息,以便信息主體能夠了解并核實處理行為的合法性以及所處理數(shù)據(jù)的準(zhǔn)確性。查閱權(quán)是為其他權(quán)利的行使(諸如刪除權(quán)、更正權(quán)的)提供更為便利的途徑,是其他數(shù)據(jù)權(quán)利行使的充分不必要條件。。一般認(rèn)為,需要信息主體有查閱信息的權(quán)利,才能要求信息處理者提供信息可攜權(quán)利實現(xiàn)的可行方式,而了解、獲悉、知曉個人信息處理的有關(guān)內(nèi)容是更正、刪除有關(guān)個人信息請求的前提和基礎(chǔ)。此外,查閱權(quán)有助于解決算法黑箱帶來的有關(guān)“解釋權(quán)”的難題。算法程序運作過程具有不公開、不透明以及因其具有專業(yè)性知識門檻所導(dǎo)致的難以理解、難以解釋的特征。在沒有查閱有關(guān)信息處理內(nèi)容的基礎(chǔ)上,個人難以真正理解信息處理者進(jìn)行的有關(guān)算法決策行為的解釋說明。

當(dāng)前,關(guān)于信息查閱的爭論主要涉及信息查閱權(quán)如何落地實施的問題?！秱€人信息保護法》第四十五條規(guī)定個人有權(quán)向個人信息處理者查閱、復(fù)制其個人信息。個人請求查閱、復(fù)制其個人信息的,個人信息處理者應(yīng)當(dāng)及時提供,體現(xiàn)了查閱權(quán)在個人信息處理關(guān)系中的重要性。查閱權(quán)不僅是落實知情權(quán)和透明度原則的重要保障,也是其他信息權(quán)利得以實現(xiàn)的前提[4]202。但是鑒于法條規(guī)定的抽象概括,權(quán)利的要素和具體實現(xiàn)還有待進(jìn)一步分析,需要在理解查閱權(quán)設(shè)定背后信息原理和立法目的之基礎(chǔ)上,透過現(xiàn)象看本質(zhì),以解決有關(guān)查閱權(quán)的爭議和問題,為查閱權(quán)的落地實施提供參考建議。

二、個人信息查閱權(quán)的法理基礎(chǔ)

(一)信息自決理論

個人信息保護的概念其實并非新生概念,可以追溯到美國1890年Warren和Brandeis發(fā)表的《論隱私權(quán)》一文(5)Warren和Brandeis主張應(yīng)當(dāng)保護個人的隱私權(quán)免受侵害。文章將隱私權(quán)界定為一種個人獨處的權(quán)利,并主張隱私權(quán)是需要受到侵權(quán)法保護的權(quán)利,用以保護個人尊嚴(yán)。。1967年,Westin對“信息隱私權(quán)”進(jìn)行了界定,歐盟統(tǒng)一立法層面從《數(shù)據(jù)保護指令》(95指令)再到2016年頒布的《通用數(shù)據(jù)保護條例》(GDPR),這些具有代表性的理論和法律體現(xiàn)了個人信息自決理念,盡管尚存有爭議,但基本已經(jīng)達(dá)成共識:即個人信息主體是擁有信息權(quán)利的,只是目前對其權(quán)利屬性、具體類型尚未形成定論。例如GDPR第1條第2款就明確該條例是為了保護自然人的基本權(quán)利與自由,尤其是個人信息受保護的權(quán)利。在個人信息權(quán)利一章也賦予了個人信息主體一系列的權(quán)利。從權(quán)利理論視角看個人信息權(quán)利賦權(quán),這是對人權(quán)保障的基本價值觀念的貫徹,可以追溯到德國法院在人口普查案中提出的個人信息自決理論:個人有權(quán)決定在何時、何種范圍內(nèi)分享個人信息。只有個人能夠了解知曉對其個人信息處理的行為過程,才能獲得自由發(fā)展。在歐盟,個人信息主體的權(quán)利是作為一項基本的人權(quán)進(jìn)行保護的,旨在尊重和維護人之為人的自主權(quán)利以及隱私權(quán)利等。個體的尊嚴(yán)和自由是構(gòu)建人格所必需的,而這又“取決于個人查閱、獲取了解國家在內(nèi)的社會其他行為者所擁有的信息的能力”[5]。隨著互聯(lián)網(wǎng)空間的深化發(fā)展,個人的“透明化”不斷加深,人的尊嚴(yán)和隱私面臨的風(fēng)險和挑戰(zhàn)越發(fā)突出。因此,歐盟賦予個人信息主體一系列權(quán)利,意在從法律上保障個人自主選擇、自我控制、自我決定的權(quán)利,以對抗數(shù)字時代的信息處理者強勢的權(quán)力地位,保障信息處理者從事信息利用行為時兼顧個人的合法權(quán)益。

美國雖然沒有將個人信息保護作為基本人權(quán)進(jìn)行保護,但是其在《隱私法案》以來頒布的特殊領(lǐng)域的信息隱私保護立法,卻也體現(xiàn)著賦予兒童、消費者等信息權(quán)利的立法傾向。美國也有學(xué)者主張個人信息本質(zhì)上是一種隱私,隱私就是對個人信息的控制[6]93。在美國有關(guān)查閱權(quán)的規(guī)定同個人信息保護一樣散落在部門法中,如《美國公平信用實踐報告》(FCRA)允許個人查閱其個人信息或有關(guān)文件,《健康保險可攜帶性和責(zé)任法》(HIPAA)規(guī)定患者有查閱、獲取病歷信息的權(quán)利。

Iafrati[7]認(rèn)為,查閱權(quán)是將隱私概念化為個人對個人信息流動的控制的一部分,是實現(xiàn)隱私自我控制的基礎(chǔ)。但是查閱權(quán)并不是傳統(tǒng)有關(guān)個人信息保護基礎(chǔ)理論的核心和重點關(guān)注對象,在信息自決理論中,其關(guān)注重點在于論證整個信息權(quán)利賦權(quán)的正當(dāng)性和必要性。因此,Schwartz[8]也認(rèn)為查閱權(quán)不應(yīng)只被視為個人信息控制權(quán),或僅僅是德國視角下的“作為控制的隱私”,也能從信息自決的理論獲得支撐。

(二)正當(dāng)程序原則

查閱權(quán)還能溯源到正當(dāng)程序原則。正當(dāng)程序原則允許個人參與并對基于信息處理所做決定提出質(zhì)疑,使其免受不公正決定的損害。正當(dāng)程序是一種程序正義保障原則,是西方傳統(tǒng)憲法上的權(quán)利。最初正當(dāng)程序原則是為了限制公權(quán)力,防止公權(quán)力對個人權(quán)利的過分干預(yù),并且可以對權(quán)力進(jìn)行問責(zé)。正當(dāng)程序原則下的一個子項原則就是參與原則,通過允許個人參與處理過程來保護個人權(quán)益。在信息處理關(guān)系中,個人在國家機構(gòu)和信息處理者的關(guān)系中處于結(jié)構(gòu)性權(quán)力失衡的狀態(tài),查閱權(quán)作為一種個人信息權(quán)利,有利于調(diào)整不對稱的信息權(quán)力關(guān)系,以實現(xiàn)個人信息自我控制,維護個人自主和尊嚴(yán)[9]60。從這個角度看來,個人信息查閱權(quán)能夠使個人了解、參與個人信息處理環(huán)節(jié),是正當(dāng)程序原則的體現(xiàn)[10]。Westion[11]認(rèn)為信息處理程序正當(dāng)性需要滿足包括通知、查閱審查、質(zhì)疑信息準(zhǔn)確性和要求更正、刪除信息的權(quán)利。即查閱權(quán)是個人信息保護正當(dāng)程序的基本要求,應(yīng)當(dāng)賦予個人查閱其個人信息的一般權(quán)利,以使個人能夠?qū)彶橛嘘P(guān)信息的正確性,并對基于個人信息處理的不公正結(jié)果提出質(zhì)疑。個人信息處理關(guān)系中最為突出的問題是主體權(quán)力不對稱。查閱權(quán)通過賦予個人查閱處理的有關(guān)個人信息的情況,起到監(jiān)督防止信息處理者濫用個人信息進(jìn)行處理的行為。因此,查閱權(quán)可以對抗信息處理過程中不對稱的權(quán)力關(guān)系,監(jiān)督信息處理者的信息處理。從這個角度來說,查閱權(quán)是正當(dāng)程序原則的要求和延伸,允許人們參與并對基于信息處理所做的決定提出質(zhì)疑,使其免受不公正結(jié)果的損害。

(三)權(quán)力不對稱關(guān)系理論

傳統(tǒng)法律通常假定當(dāng)事人之間存在抽象的權(quán)力平等,而這種平等實際是不存在的。例如雇主與雇員、律師與客戶、病人與醫(yī)生、消費者與生產(chǎn)者等主體之間的關(guān)系。這類關(guān)系存在著知識層面、技術(shù)層面和權(quán)力層面上的不對稱、不平衡,而個人信息處理的關(guān)系同樣具有不平等性[12]。信息化時代,個人信息由公共機關(guān)和其他信息處理者在涉及生活方方面面的領(lǐng)域中以不同的方式處理著。在獲悉了解個人信息的處理情況方面,個人往往處于弱勢地位。信息處理關(guān)系中個人和信息處理者在信息權(quán)力上失衡,但又彼此依賴。個人信息保護法律法規(guī)的實踐已經(jīng)表明個人往往難以單純通過信息自決、隱私自我管理來實現(xiàn)個人信息合法權(quán)益的有效保護。不能僅僅將查閱權(quán)理解為對個人信息的自我控制,而應(yīng)當(dāng)從更廣泛的視角汲取多種思維框架以應(yīng)對信息處理關(guān)系中結(jié)構(gòu)性權(quán)力失衡和信息不對稱、地位不平等問題[13]。例如,Balkin[14]主張的通過信義義務(wù)來調(diào)整不對稱權(quán)力關(guān)系。個人信息保護法律法規(guī)通常會規(guī)定信息處理者處理個人信息應(yīng)當(dāng)遵循公開、透明度原則,明示個人信息處理的規(guī)則等,這是透明度的要求,同時也保障了個人的知情權(quán),在信義義務(wù)層面也是其應(yīng)有之義。因為委托人將個人信息委托給信息處理者進(jìn)行管理、處理、使用,必然應(yīng)當(dāng)知曉其信息的利用范圍、利用限度、如何利用以及可能的風(fēng)險與結(jié)果等,同時個人信息主體具有知情權(quán)、查閱權(quán)、糾正權(quán)、刪除權(quán)等,那么相應(yīng)的信息處理者便應(yīng)采取合理的方式途徑保證個人得以實現(xiàn)查閱有關(guān)個人的信息,了解、詢問使用情況等。查閱權(quán)意味著信息處理者將承擔(dān)更多的義務(wù)和責(zé)任。個人信息保護框架應(yīng)當(dāng)是以個人和信息處理者之間的不平等為起點,重點在于調(diào)整這種不平等的信息處理關(guān)系。個人信息查閱權(quán)的落實,有利于個人對其個人信息處理的風(fēng)險評估與自我控制,讓個人能夠?qū)π畔⑻幚磉M(jìn)行質(zhì)疑和問責(zé),以應(yīng)對權(quán)力不平等的信息處理現(xiàn)狀。

綜之,個人信息查閱權(quán)不僅能直接從信息自決理論中獲得正當(dāng)性,還能從程序正當(dāng)原則中獲得正當(dāng)性,正因為個人信息處理關(guān)系是一種不對稱、不對等的權(quán)利失衡結(jié)構(gòu),所以更應(yīng)該賦予個人查閱權(quán)利,積極參與到信息處理的過程之中,監(jiān)督糾正信息處理過程中可能造成的不良影響。查閱權(quán)可以視為一種能夠使個人對其信息行使更多控制的工具,是對權(quán)力不對稱的信息處理的調(diào)解工具,對個人信息保護具有重要作用。

三、個人信息查閱權(quán)與其他權(quán)利或原則的聯(lián)系與區(qū)分

(一)查閱權(quán)與其他信息權(quán)利、原則的關(guān)系

信息查閱權(quán)是個人的基本人權(quán)要求,體現(xiàn)了言論自由中“尋求和接收信息”的權(quán)利。個人信息查閱權(quán)的創(chuàng)設(shè),可以確保個人知悉自身信息被哪些信息處理者收集,知曉個人信息被處理的情況與目的,以及可能被轉(zhuǎn)讓的情形,查閱權(quán)是實現(xiàn)信息控制的基礎(chǔ)。查閱權(quán)的總體目標(biāo)是向個人提供有關(guān)其個人信息處理的信息,以便信息主體能夠了解并核實處理行為的合法性以及所處理信息的準(zhǔn)確性。查閱權(quán)是為其他權(quán)利的行使(諸如刪除權(quán)、更正權(quán))提供更為便利的途徑,是其他信息權(quán)利行使的充分不必要條件。

首先,查閱權(quán)是貫徹《個人信息保護法》要求的透明度原則的實現(xiàn)方式。如《個人信息保護法》第七條規(guī)定處理個人信息應(yīng)當(dāng)遵循公開、透明原則;歐盟GDPR透明度原則要求信息處理者應(yīng)當(dāng)以簡單、透明、易懂、易于獲取的方式提供和個人信息處理相關(guān)的信息。透明度原則有利于確保對有關(guān)個人信息處理的公正性和透明度,使信息主體明確知曉及確認(rèn)其信息正在被處理。透明度原則是貫穿大多數(shù)個人信息保護法中信息處理的合法性要求的核心義務(wù)之一,不僅要求信息處理者積極披露相關(guān)信息,也是保證個人信息主體可以查閱相關(guān)信息(6)例如GDPR第13條第2款規(guī)定,信息處理者在獲取個人信息時需要提供確保合理與透明處理所必要的信息時,信息主體所擁有的的權(quán)利包括要求處理者提供對個人信息的查閱。參見General Data Protection Regulation,article13.2(b)。,彌合信息處理者因?qū)I(yè)性知識和地位優(yōu)勢導(dǎo)致與個人之間在事實上的不平等狀態(tài),避免損害公眾信任。查閱權(quán)作為透明度原則具有可操作性的重要實踐方式,在整個個人信息保護法中具有重要地位。

其次,個人信息查閱權(quán)是知情同意權(quán)的基本要求。知情同意權(quán)作為信息自決權(quán)的延伸,保護個人信息主體人格尊嚴(yán)、自主決定的核心要求,在個人信息權(quán)利體系中具有核心地位。知情同意權(quán)或者知情同意原則是中國學(xué)界和實務(wù)界討論最早也是最多的權(quán)利之一,一般要求信息主體知情的范圍包括信息處理的目的、方式以及可能的風(fēng)險,要求信息處理者以簡單易懂、容易查閱的方式向信息主體提供信息處理的相關(guān)信息。隱私政策作為當(dāng)前貫徹落實知情同意權(quán)要求的途徑,通常要求以易于查閱的形式判斷是否符合告知的義務(wù)(7)全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實踐指南——移動互聯(lián)網(wǎng)應(yīng)用程序(App)收集使用個人信息自評估指南》1.3:隱私政策等收集使用規(guī)則是否易于查閱。參見https://www.tc260.org.cn/front/postDetail.html?id=20200722134829。,所以信息處理者履行告知義務(wù),需要提供信息主體可查閱的形式,如在界面設(shè)置隱私政策或者其他按鍵、對話框讓個人可以閱讀相關(guān)內(nèi)容,如果沒有提供查閱途徑,告知將流于文本的文字要求。

再次,個人信息查閱權(quán)是更正補充權(quán)、刪除權(quán)行使的前提。信息主體的更正補充權(quán)是指其有權(quán)要求信息處理者對相關(guān)錯誤、不準(zhǔn)確或不完整、過時的信息進(jìn)行更正補充的權(quán)利(8)參見GDPR第16條,《中華人民共和國網(wǎng)絡(luò)安全法》第四十三條。。刪除權(quán)是指信息主體有權(quán)要求信息處理者在特定條件下刪除個人信息。如果信息主體無法查閱相關(guān)信息內(nèi)容,談何對有關(guān)信息進(jìn)行更正、補充和刪除?在許多國家的個人信息保護立法中可以看到,更正補充權(quán)、刪除權(quán)都有賴于主體的查閱權(quán)。此外,查閱權(quán)是可攜權(quán)的應(yīng)有之義。一般認(rèn)為,信息可攜權(quán)首先體現(xiàn)了信息主體查閱的權(quán)利,要求信息處理者提供信息主體可查閱的權(quán)利,也可理解為一般說的信息接收/獲取的權(quán)利。如果個人信息主體不能查閱其信息被處理的范圍和具體情況,何以要求信息處理者進(jìn)行傳輸和轉(zhuǎn)移呢?付新華[15]因此認(rèn)為可攜權(quán)可以被視為查閱權(quán)的擴展和延伸。

最后,查閱權(quán)是算法解釋權(quán)實現(xiàn)的重要途徑。根據(jù)GDPR第15條h款可知,信息處理者采取自動化方式處理個人信息時應(yīng)保障個人信息主體的查閱權(quán),包括自動化處理的相關(guān)邏輯和其他有意義的信息,以及可能產(chǎn)生的影響。眾所周知,算法具有“黑箱”性質(zhì),大數(shù)據(jù)分析的算法程序運作過程具有不公開、不透明以及因其專業(yè)性知識所導(dǎo)致的難以理解和解釋的特征。所以,如果信息主體在沒有查閱權(quán)利的基礎(chǔ)上,單憑信息處理者進(jìn)行解釋說明恐怕也難以彌補兩者之間的專業(yè)性差距,無法對算法進(jìn)行合理監(jiān)督,更不可能維護自己的合法權(quán)益。反對解釋權(quán)學(xué)者認(rèn)為,信息查閱權(quán)可以作為解釋權(quán)的替代,無需再造解釋權(quán)。但查閱權(quán)不足以涵蓋解釋權(quán)所要保護的內(nèi)涵,主張解釋權(quán)的獨立性,認(rèn)為查閱權(quán)在一定程度上彌補了解釋權(quán)的缺陷,但都無法否認(rèn)查閱權(quán)對于算法解釋的重要性[16]。

總之,查閱權(quán)是信息主體權(quán)利體系中的基礎(chǔ)性權(quán)利。查閱權(quán)作為信息處理透明度原則的措施以及其他信息權(quán)利的基本要求、應(yīng)有之義,可以讓信息處理者承擔(dān)更多的義務(wù)和責(zé)任,滿足大數(shù)據(jù)時代對個人信息權(quán)益保護的訴求,符合人權(quán)保護的時代需求。當(dāng)然,查閱權(quán)是與前述權(quán)利相區(qū)別且獨立的權(quán)利,但其他信息權(quán)利的存在仍具有其獨特價值,因而盡管查閱權(quán)是個人信息權(quán)利體系中的基礎(chǔ)性權(quán)利,但同樣無法囊括所有信息權(quán)利。

(二)查閱權(quán)與其他權(quán)利的差異

查閱個人信息與政府信息公開。二者在權(quán)利性質(zhì)上存在差異。個人信息查閱權(quán)屬于私法上的權(quán)利,而要求政府信息公開是公法上的權(quán)利。政府信息公開的目的是監(jiān)督限制公權(quán)力,保證公共權(quán)力的合法有序,其本質(zhì)是個人對抗公權(quán)力的權(quán)利,以保障公共決策行為的透明和良好實踐。二者在行使程序上也有所不同。除了屬于政府應(yīng)當(dāng)主動公開范圍的信息外,個人向行政機關(guān)申請獲得政府信息的,應(yīng)當(dāng)符合一定的申請程序,通常需要采取書面形式,說明申請公開的信息范圍和理由。非依法主動公開的政府信息可能涉及公共利益或其他人的合法權(quán)益,所以查閱公共信息的申請要經(jīng)過審查,符合條件才會進(jìn)行處理。但在《個人信息保護法》第四十五條中,信息主體不必給出請求查閱的理由,也不需要處理者來分析該請求是否會實際幫助信息主體驗證相關(guān)處理的合法性或行使其他權(quán)利。處理者必須處理該查閱請求,除非能夠證明該請求是超過信息保護規(guī)則之外的。

查閱個人信息與算法解釋。查閱個人信息權(quán)利所涉的信息范圍可能比算法解釋權(quán)下所獲信息更為廣泛。根據(jù)GDPR的規(guī)定可知,解釋算法只能給出關(guān)于未來決策的解釋,即關(guān)于決策邏輯和潛在后果的一般信息[17],解讀為對某一算法應(yīng)用于個人的某種解釋權(quán)利。但是查閱權(quán)的所獲信息更為寬泛,不僅可能是未來的,也可能包括過去。Dimitrova[18]指出,查閱權(quán)適用于過去的處理過程,可以提高透明度,作為對信息隱私傷害的補救措施。此外,根據(jù)GDPR的規(guī)定,規(guī)范對象僅限于完全自動化決策的處理行為。但在查閱個人信息的請求背景下,其所能獲取、審查的信息范圍比自動化決策和評估的算法解釋要求更為廣泛,能夠?qū)λ惴ㄍ该鞫鹊默F(xiàn)實需求產(chǎn)生更大的影響,因為它可能用于非自動化處理或部分自動化處理的情形。

查閱權(quán)與信息可攜權(quán)。信息可攜權(quán)可以看作是查閱權(quán)的延伸擴展。這種使用有關(guān)信息格式的規(guī)范進(jìn)行訪問的權(quán)利,可以改善查閱權(quán)的部分問題,但是僅僅依靠信息可攜權(quán)并不能解決查閱權(quán)在實現(xiàn)許多目標(biāo)方面的缺陷。一開始GDPR的信息可攜權(quán)并不涉及信息處理者維護的所有個人信息,只涉及個人提供的信息,當(dāng)信息與其他人或社交媒體的信息互聯(lián)時,信息可攜的可能性會大大降低,因為攜帶他人的信息可能會侵犯他人的隱私或其他合法權(quán)益。

四、個人信息查閱權(quán)的實踐難點

個人信息查閱權(quán)可能有助于增強個人賦權(quán),提高相關(guān)活動的透明度和問責(zé)制,可以作為個人“監(jiān)視監(jiān)管者”的工具[19]。目前的文獻(xiàn)廣泛研究了查閱權(quán)所扮演的不同角色。查閱權(quán)被認(rèn)為是一種控制工具,使信息主體對其信息行使更多的控制權(quán),特別是作為對權(quán)力不對稱、信息不對等關(guān)系的調(diào)整工具。查閱權(quán)使個人能夠?qū)彶樘幚淼暮戏ㄐ?可以在發(fā)現(xiàn)違反信息保護法時采取行動。同時,它也是一種監(jiān)視工具,使信息驅(qū)動的商業(yè)實踐更容易理解,并且監(jiān)控違反信息保護法時是否能夠得到有效補救。此外,個人信息查閱權(quán)使個人能夠?qū)φ吆土⒎ù胧┊a(chǎn)生直接影響。賦予信息主體查閱權(quán)可能有助于制衡現(xiàn)代處理能力增強帶來的權(quán)力不對稱加劇,例如互聯(lián)網(wǎng)平臺利用收集的個人信息形成算法,其掌握著強大的數(shù)據(jù)提取與分析能力,根據(jù)其所掌握的數(shù)據(jù)權(quán)力/算法權(quán)力的大小,科技巨頭主導(dǎo)的超級平臺可能形成某種強大“壟斷”權(quán)力,這種數(shù)據(jù)權(quán)力/算法權(quán)力對于個人將造成重大影響。信息查閱權(quán)不僅有助于糾正信息權(quán)力不對稱,而且也是透明生態(tài)系統(tǒng)的關(guān)鍵組成部分,能夠提高相關(guān)活動的透明度和可問責(zé)性。

個人信息查閱權(quán)反對者認(rèn)為信息主體權(quán)利是理論上的,在實踐中沒有意義,因此不能授予個人對其個人信息的實際控制權(quán)。即使是信息主體權(quán)利行使的成功案例,似乎也沒有暗示信息主體對其信息處理的有效控制,信息保護規(guī)則的復(fù)雜性加劇了處理者的遵從性,信息自決是不可強制執(zhí)行的。Koops[20]質(zhì)疑查閱權(quán)能否作為一種賦權(quán)機制發(fā)生作用,信息保護法提供的“控制”的假設(shè)源自于信息和隱私保護理論的缺陷,查閱權(quán)會對隱私構(gòu)成潛在威脅。查閱權(quán)可能被濫用,通過使用偽造或公開的信息對其他人的信息發(fā)出非法的信息主體訪問請求[21]371-386。例如,行使查閱權(quán)會導(dǎo)致濫用和不法行為。一項實證研究揭示了主體訪問請求管理方面的缺陷,這些缺陷可能導(dǎo)致個人信息泄露,并可能最終導(dǎo)致身份盜竊。

除了對查閱權(quán)是不是一項基本信息權(quán)利的質(zhì)疑和可能導(dǎo)致的風(fēng)險后果外,查閱權(quán)在實踐中也會遇到諸多難點。

首先,查閱所有相關(guān)信息對于個人而言負(fù)擔(dān)過重。一方面是信息處理者所處理的個人相關(guān)信息量龐大,另一方面是個人在數(shù)字時代所涉及的信息處理者數(shù)量繁多。查閱所有個人信息需要花費大量的時間和精力。此外,除了個人主動提供給信息處理者的信息外,還有許多與個人相關(guān)的信息是通過系統(tǒng)自動收集的,對于這部分信息個人往往處于無知狀態(tài)。此時查閱權(quán)因沒有可主張的信息內(nèi)容,也沒有可行使的對象而無從談起。

其次,信息主體身份的驗證問題。身份驗證程序可能無法真正實現(xiàn)識別正確信息主體的功能。Koops[20]認(rèn)為查閱權(quán)本身就是一種風(fēng)險。例如,信息主體的賬戶密碼是存在被盜的風(fēng)險的,而且這種風(fēng)險在科技發(fā)達(dá)的現(xiàn)在尤其容易發(fā)生。同時,也存在信息主體身份被盜用的可能,甚至可能存在信息處理者要求提供額外信息來補充驗證信息主體身份,盡管該額外信息有助于識別驗證信息主體身份,卻也可能是有誤的。例如,使用支付寶轉(zhuǎn)賬時,會對轉(zhuǎn)賬人的名字進(jìn)行補充驗證,或者通過提供護照、戶籍頁面來證明自己的身份,卻可能會出現(xiàn)與真正信息主體同名同姓的情形。這種情況下的查閱權(quán)就可能造成一定的風(fēng)險,同時可能增加信息處理者意外或者故意向未經(jīng)授權(quán)的第三方提供訪問獲取個人信息的概率。

此外,盡管CCPA中提到信息處理者只有在收到可核實的訪問請求時才能提供相關(guān)信息,但是對于什么是可核實、可驗證的請求沒有具體規(guī)定,而且信息處理者可能會基于很多理由和原因拒絕信息主體的訪問請求。此外,假名化的個人信息會導(dǎo)致信息處理者無法進(jìn)行驗證。假名化處理削弱了與個人信息主體的聯(lián)系,但并未完全脫離與個人的聯(lián)結(jié),所以如何在假名化與重新識別(去假名)來驗證請求的信息主體身份的沖突之間平衡[7],是需要結(jié)合具體場景進(jìn)行特定化分析的。Ausloos等[22]研究認(rèn)為導(dǎo)致信息處理者未能積極響應(yīng)查閱權(quán)是由于對信息主體權(quán)利的存在和功能定位缺乏了解,這也說明對信息主體查閱權(quán)進(jìn)行研究以及對企業(yè)合規(guī)化普法的重要性。

再者,個人信息查閱權(quán)的范圍不明確。《個人信息保護法》對查閱權(quán)的具體范圍暫無規(guī)定。在GDPR第15條規(guī)定信息主體有權(quán)從信息處理者處知曉其個人信息是否正在被處理,如果正在被處理,則有權(quán)查閱個人信息如下信息:個人信息處理的目的、相關(guān)個人信息的類型、已經(jīng)被或?qū)⒈慌督o接收者的或接收者的類型、將被儲存的預(yù)期期限、關(guān)于來源的信息、自動化決策中的相關(guān)邏輯、后果信息;個人信息被轉(zhuǎn)移時采取的保障措施。根據(jù)GDPR第13、14條可知,信息主體還能查閱信息處理者為確保合理與透明處理所必要的信息。CCPA第1798.110節(jié)規(guī)定消費者有權(quán)要求信息處理者披露以下信息:處理的個人信息類別、個人信息來源類別、企業(yè)或商業(yè)目的、有關(guān)個人信息的具體部分;共享個人信息的第三方類別。根據(jù)前述規(guī)定可知,信息主體可查閱的信息范圍屬于與信息主體有關(guān)的個人信息(GDPR僅在序言中舉例查閱權(quán)包括有權(quán)查閱與其健康有關(guān)的信息,如醫(yī)療記錄中的信息)。與個人直接相關(guān)的信息屬于查閱權(quán)的范圍毋庸置疑,關(guān)鍵問題在于經(jīng)過匿名化的個人信息、在后續(xù)處理上加工改造的衍生信息是否在可查閱的范圍內(nèi)。

最后,查閱權(quán)的行使還可能產(chǎn)生負(fù)外部性。信息查閱權(quán)的行使可能反而增加侵犯信息隱私的風(fēng)險。舉例來說,信息處理者為了滿足用戶的信息查閱要求,會對個人信息進(jìn)行大量、長久的記錄和保存。更多的記錄和保存就意味著更多的留痕和儲存,這是與信息收集最少化、保留期限限制相悖的。同時,信息處理者對提出查閱請求的信息主體身份有合理懷疑時,可以要求信息主體提供必要的額外信息以確認(rèn)信息主體的身份。在信息處理者與第三方共享其所處理的個人信息的情形中更為重要,因為此時的第三方與個人信息主體沒有直接關(guān)聯(lián),第三方并不直接從個人信息主體處獲取個人信息,第三方需要驗證信息主體以防止由于信息主體的原因?qū)е滦畔⑿孤?、隱私損害等。此時身份驗證是查閱相關(guān)個人信息的先決條件,這些額外的用以驗證身份的信息可能導(dǎo)致信息被過度收集,與其他信息結(jié)合后使得某些去識別化的信息被重新識別,增加隱私侵犯的風(fēng)險。此外,查閱權(quán)主體與其他人的信息往往是交織在一起的,個人要求查閱的信息也可能是涉及他人的。如去餐廳調(diào)取個人吃飯的視頻錄像,就會涉及同處于餐廳的其他人。此時,如何保障查閱權(quán)的行使不造成對他人權(quán)利的侵害,如何協(xié)調(diào)與其他人關(guān)涉的信息查閱,都是查閱權(quán)的行使可能面臨的困難。

五、查閱權(quán)實現(xiàn)路徑構(gòu)建

基于前文分析可知,不應(yīng)孤立看待查閱權(quán),因為其與信息保護的合法性原則、透明度原則以及主體其他信息權(quán)利密切相關(guān)。需要集合各家之長,多方參與,結(jié)合程序正當(dāng)原則與信義義務(wù),將查閱權(quán)作為一種對抗強勢權(quán)力的工具,增強個人在信息處理過程中的參與感,同時對信息處理進(jìn)行監(jiān)督、糾正、問責(zé),共同推動查閱權(quán)的實現(xiàn)。查閱權(quán)的實現(xiàn)機制是揭示查閱主體與信息處理者的法律規(guī)則和技術(shù)結(jié)構(gòu),融合了基于義務(wù)和權(quán)利的純法律的強制性維度,以及將規(guī)則嵌入數(shù)據(jù)處理系統(tǒng)技術(shù)架構(gòu)的技術(shù)維度[23]。

(一)以協(xié)同合作思想為指導(dǎo)

首先,基于正當(dāng)程序和信義義務(wù)的保護框架建立的全球個人信息保護立法中體現(xiàn)的以用戶為中心的個人信息生態(tài)系統(tǒng),將從根本上改變個人與信息處理者之間權(quán)力不對等的關(guān)系。在這種新的保護理念下,用戶對個人信息的控制得到了加強,信息處理者應(yīng)當(dāng)注重隱私政策和個人信息保護框架的修改和調(diào)整,以獲得用戶的信任和授權(quán),同意對其個人信息的處理。讓用戶積極參與到個人信息保護、數(shù)據(jù)治理的過程中,通過對話協(xié)商的方式實現(xiàn)多方的良性互動,營造和加強數(shù)據(jù)時代個人信息利用的生態(tài)系統(tǒng)[24]。當(dāng)前數(shù)據(jù)經(jīng)濟模式下,信息處理者從個人信息處理過程中的不對稱權(quán)力關(guān)系中獲益,這種權(quán)力不對稱關(guān)系主要是基于信息查閱的難度和不透明性導(dǎo)致的。查閱權(quán)意味著允許用戶直接訪問、獲取所有與個人相關(guān)的信息,這需要信息處理者提供便于查閱權(quán)實現(xiàn)的有效工具,從而實現(xiàn)后續(xù)一系列的信息權(quán)利。通過允許用戶查閱其個人信息處理使用情況并進(jìn)行實時跟蹤,有助于提高用戶分享個人信息的意愿。在可能的情況下,信息處理者甚至應(yīng)授予信息主體遠(yuǎn)程訪問安全系統(tǒng)的權(quán)限,實現(xiàn)真正的協(xié)商合作。

(二)通過系統(tǒng)設(shè)計增強操作性

如果沒有適當(dāng)?shù)墓ぞ吆褪侄?個人也無法真正有效地行使。美國HIPPA規(guī)定的患者的查閱病歷權(quán)實際上操作性較差,主要是因為許多醫(yī)療機構(gòu)只有紙質(zhì)形式查閱,渠道單一,也有的醫(yī)療機構(gòu)在處理查閱請求時需要層層向上審批,在未獲取上級同意前,不會提供有關(guān)記錄[25]。因此,可考慮制定有可操作性的基本標(biāo)準(zhǔn),指導(dǎo)和規(guī)范信息處理者在驗證程序、查閱權(quán)行使方式的設(shè)計中選擇符合數(shù)據(jù)保護標(biāo)準(zhǔn)的方式,在“通過設(shè)計的隱私保護”理念指導(dǎo)下,將隱私保護理念嵌入設(shè)計的每一個環(huán)節(jié),提供最大程度的信息保護。如通過在線提交查閱請求,應(yīng)該提供直觀、易于獲取的界面,確保查閱是直觀的,頁面設(shè)置還應(yīng)該有助于鼓勵個人積極參與查閱、了解個人信息,這不僅是查閱權(quán)的要求,也能從側(cè)面監(jiān)督信息處理者合法合理地處理個人信息。設(shè)計不僅僅是展示頁面,還包括其中的文字、圖片、色彩的組合排列等,可以通過出臺標(biāo)準(zhǔn)指南文件的方式,對信息處理者提供個人所請求查閱的信息內(nèi)容的“載體”作出基本的要求。例如,所提供文檔采用的字體、大小、顏色,根據(jù)信息內(nèi)容進(jìn)行分類,設(shè)置瀏覽目錄等。歐洲《數(shù)字市場法》也要求守門人應(yīng)當(dāng)通過適當(dāng)?shù)募夹g(shù)措施,例如設(shè)置高質(zhì)量的應(yīng)用程序編程接口,促進(jìn)用戶對其數(shù)據(jù)的實時訪問。此外,不同用戶場景下信息訪問所面臨的風(fēng)險指標(biāo)不同,因此需要及時調(diào)整查閱權(quán)限(9)已有學(xué)者提出了基于信任的訪問控制方案,支持查閱權(quán)限隨策略動態(tài)變化而調(diào)整,為全生命周期內(nèi)信息訪問控制提供支持。,可以通過設(shè)計對信息訪問的權(quán)限進(jìn)行控制,包括權(quán)限分配、權(quán)限自動調(diào)整和權(quán)限延伸控制等方面。

(三)細(xì)化權(quán)利行使規(guī)則

第一,身份驗證。個人信息查閱權(quán)與要求政府信息公開的權(quán)利不同,政府信息公開一般要求說明合理理由,請求政府信息公開,屬于公法上的權(quán)利,旨在保護人民依法查閱政府信息的知情權(quán),加強人民對政府的監(jiān)督,提高政府工作的透明度。就目前信息處理者提供的查閱用戶個人信息的實踐來看,其為用戶查閱部分個人信息提供了自主查閱渠道,例如絕大多數(shù)用戶可以隨時查閱個人用戶名、頭像、地址、聊天記錄等信息。盡管美國CCPA中提到信息處理者只有在收到可核實的查閱請求時才能提供相關(guān)信息,但是對于什么是可核實、可驗證的請求沒有具體規(guī)定,而且信息處理者可能會基于很多理由拒絕信息主體的查閱請求。因此,個人信息查閱請求中,對于一般個人信息原則上不應(yīng)當(dāng)要求主體提供具體理由,也不需要信息處理者對該請求進(jìn)行審查,除非另有規(guī)定;對于一些較為敏感、私密、可能產(chǎn)生重大影響的信息,信息處理者應(yīng)當(dāng)審查是否與請求查閱的主體相關(guān)。對于身份存疑的情況,信息處理者有權(quán)要求信息主體提供額外的信息進(jìn)行身份驗證,同時信息處理者還應(yīng)當(dāng)具備相應(yīng)的基礎(chǔ)措施和其他必要措施以驗證申請者是否屬于查閱權(quán)的申請主體[26]。對于無法識別的信息主體或者主體身份與所請求查閱的信息主體明顯不符、明顯無關(guān)的請求,信息處理者有權(quán)拒絕,但應(yīng)當(dāng)告知請求人。對于驗證身份所需的額外信息,需要根據(jù)具體情況進(jìn)行判斷,額外信息的收集可能超越信息收集必要原則、最小化原則、目的限定原則等,所以要求提供的額外信息應(yīng)該與所處理的信息類型、可能產(chǎn)生的風(fēng)險相稱,以免造成過度收集個人信息。

第二,信息處理者提供查閱方式。信息處理者應(yīng)當(dāng)盡可能全面完整地提供有關(guān)的所有個人信息,包括從其處理的電子系統(tǒng)或非電子系統(tǒng)歸檔存儲的所有個人信息。信息處理者可以通過信件、電子郵件等方式提供查閱,在合理情況下也可以通過口頭傳達(dá)。如果采取電子形式,信息處理者提供所查閱信息的形式應(yīng)屬于一般計算機系統(tǒng)能夠打開的文檔類型。目前微信聊天記錄備份在電腦中的文檔形式,就屬于在電腦系統(tǒng)中的該文檔存儲位置上直接點擊無法訪問的文檔類型,這為查閱權(quán)的實現(xiàn)造成了一定的阻礙。信息處理者提供的信息內(nèi)容表述應(yīng)當(dāng)簡潔、清晰明了、簡單易懂,其應(yīng)當(dāng)考慮到所申請查閱的信息主體的理解溝通能力,如未成年人、老年人或其他有特殊需要的人。如果基于技術(shù)的限制,只能以不常見的文檔或“非文字”的代碼表述,則必須對其進(jìn)行解釋,以使該查閱對請求人有實際意義。此外,信息處理者原則上應(yīng)當(dāng)一次性提供所請求查閱的個人信息,但在特殊情況下也可以采取分批提供的方式。比如在所涉及的個人信息數(shù)量極為龐大時,分批提供有助于減少個人查閱信息的難度。

第三,響應(yīng)查閱權(quán)的期限。對于查閱請求的反饋時間,應(yīng)當(dāng)盡可能短。例如,美國CCPA規(guī)定,原則上必須在收到請求后一個月內(nèi)完成查閱,考慮到請求查閱信息的數(shù)據(jù)、技術(shù)處理的復(fù)雜性,必要時可以適當(dāng)延長至兩個月,但是必須告知請求人延遲提供查閱方式的理由。如果信息處理者是根據(jù)有關(guān)規(guī)定,僅在一段時間內(nèi)存儲處理該個人信息,則應(yīng)當(dāng)采取必要措施,以確保在處理請求時能夠滿足信息主體的查閱請求。如果根據(jù)有關(guān)要求已經(jīng)履行刪除義務(wù),則信息處理者應(yīng)當(dāng)告知實際情況。

第四,查閱權(quán)的限制。權(quán)利必然會存在沖突,因此需要對權(quán)利沖突進(jìn)行平衡限制,也就是說對查閱權(quán)進(jìn)行邊界限定。如賦予信息處理者法定的不響應(yīng)查閱請求的理由。GDPR對個人信息查閱權(quán)有幾條除外規(guī)定,包括第15條(4)款,不得與自由或其他權(quán)利相沖突;第12條(5)款,還可以拒絕明顯沒有依據(jù)或明顯過度的查閱請求;第23條,歐盟和其他成員國可以根據(jù)國內(nèi)法對查閱權(quán)進(jìn)行限制規(guī)定。GDPR就整個個人信息權(quán)利的行使的限制同樣適用于查閱權(quán)。如第85條(2)款,為了新聞目的和學(xué)術(shù)、藝術(shù)或文學(xué)表達(dá)目的而進(jìn)行的處理;第89條(2)(3)款,為了實現(xiàn)公共利益、科學(xué)或歷史研究或統(tǒng)計目的。芬蘭《個人資料法》第27條第1款也規(guī)定了如果提供對這些數(shù)據(jù)的查閱可能損害國家安全、公共秩序, 或損害信息主體的健康或其他的權(quán)利, 或用于科學(xué)、歷史研究、執(zhí)行監(jiān)視或其他重要經(jīng)濟利益的,不授權(quán)信息主體的查閱請求,但應(yīng)說明具體的原因。因此,可考慮基于以下幾種情形信息處理者無須響應(yīng)查閱請求:(1)信息主體已經(jīng)擁有該信息;(2)提供這種信息是不可能的、需要付出不相稱的成本;(3)為了實現(xiàn)公共利益、科學(xué)研究;(4)為了信息主體的生命、健康或其他權(quán)利和自由;(5)根據(jù)相關(guān)規(guī)定具有保密性的;等等。因為信息保護的本質(zhì)目標(biāo)就是在保護個人信息主體的合法權(quán)益基礎(chǔ)上促進(jìn)流通使用, 而不是封閉,所以查閱權(quán)的行使也應(yīng)受到相應(yīng)限制,這是總體上對查閱權(quán)甚至是很多個人權(quán)利的合理限制。

第五,查閱權(quán)實現(xiàn)的場景化。由于人是無法脫離社會而存在的個體,其數(shù)據(jù)往往與其他人的數(shù)據(jù)雜糅在一起,前文也闡述了個人信息查閱的數(shù)據(jù)可能不僅僅只關(guān)涉自己,還會包含其他人的信息。因此,需要具體問題具體分析,將其區(qū)分為僅與個人信息相關(guān)查閱和涉及其他人的個人信息查閱兩種?？稍诰唧w情境下思考查閱權(quán)的邊界及行使問題。對于查閱僅與個人相關(guān)的信息,按照前文所述的一般性規(guī)定進(jìn)行操作即可。因為其關(guān)涉的是個人,與他人無關(guān),其涉及的可能造成與數(shù)據(jù)存儲期限、目的限制、最小化原則相沖突的情形,主要在身份驗證環(huán)節(jié)上,前文已經(jīng)闡述了分層次的身份驗證。對于涉及他人信息的查閱請求,首先,信息處理者在驗證查閱請求人是屬于該查閱內(nèi)容的主體身份后,應(yīng)該確認(rèn)其請求查閱的目的。如果是基于物品丟失,需要查看具體事項,則查閱的數(shù)據(jù)內(nèi)容僅限于視頻錄像的畫面,而不應(yīng)包含視頻的音頻。這涉及個人在公共場合的言論自由甚至是隱私保護問題。其次,應(yīng)當(dāng)盡可能地方便查閱主體信息查閱的同時,采取安全技術(shù)措施保護其他人的信息。在丟失物品尋找的視頻錄像查閱過程中,至少應(yīng)當(dāng)將其他人的面部特征做模糊處理,在適當(dāng)且必要的情況下,再對該視頻錄像的模糊處理進(jìn)行還原。

六、結(jié)語

個人信息查閱權(quán)實現(xiàn)的阻礙除了目前對于其本身的關(guān)注不夠外,根本的是信息處理的不對稱、不平衡的權(quán)力關(guān)系。它受制于多個參與者的控制能力,這源于信息處理者對信息過度控制的立場,在技術(shù)、行為和法律上都存在障礙。日常設(shè)備收集、存儲在云端或用于其他新的處理目的的數(shù)據(jù)很難被個人查閱,只有少數(shù)信息處理者才可能查閱、訪問、獲取。個人信息是數(shù)字經(jīng)濟發(fā)展的核心,使得信息處理者能夠向個人推送定向廣告,提供定制服務(wù),潛移默化中將個人的注意力、選擇偏好集中在特定的對象或內(nèi)容之中,但是個人卻難以對有關(guān)信息進(jìn)行查看、審查和監(jiān)督。因此,應(yīng)基于正當(dāng)程序和信義義務(wù)的保護框架建立的全球個人信息保護立法中體現(xiàn)的以用戶為中心的個人信息生態(tài)系統(tǒng),從根本上改變個人與信息處理者之間權(quán)力不對等的關(guān)系。同時就查閱權(quán)行使程序進(jìn)行細(xì)節(jié)性規(guī)劃(諸如身份的驗證,查閱請求方式,響應(yīng)查閱權(quán)的形式、時間,查閱權(quán)限制等),為個人信息查閱權(quán)的實現(xiàn)提供路徑。大量關(guān)于數(shù)據(jù)保護的學(xué)術(shù)研究認(rèn)為,查閱權(quán)是賦予信息主體對抗不對稱信息權(quán)力的一種工具,也有利于知情原則、透明度原則、更正權(quán)、刪除權(quán)、可攜帶權(quán)、解釋權(quán)等信息權(quán)利的實現(xiàn)。通過賦予個人訪問、獲取處理的有關(guān)個人信息,查閱權(quán)能夠監(jiān)督防止信息處理者濫用個人信息。此外,它使個人能夠?qū)彶閿?shù)據(jù)處理的合法性,并可以在違反數(shù)據(jù)保護法的情況下采取行動,積極維護自身的合法權(quán)益。