個人信息民事確權的功能定位與制度適用*

□ 商希雪

內容提要 隨著《個人信息保護法》的出臺，個人信息保護的規范框架已經基本形成。在規范層面，個人信息控制能力的權利化表達也愈加具體和細化。個人信息民事確權的核心功能在于保障信息主體對信息的控制能力。在具體制度適用層面，需要處理好以下兩方面問題：一是要根據不同的信息法益及其保護場景，明晰知情權、同意權與具體的信息自決權的具體規范目的，以及相應的權利構成要件和法律效果；二是要結合不同的法律實踐，恰當區分信息主體對于隱私權、信息安全保障權、信息控制權的本質訴求與發生場景，進而確定各自的規范體系和規范思路。

目前，針對頻發的超越必要權限、超同意范圍的信息收集及信息處理行為，一方面我國立法尚未對個人信息的自主控制做出細化設置，另一方面司法實踐難以支持用戶表達反對收集、 要求訪問或刪除等控制其個人信息的正當訴求，而是主要采取隱私權侵權保護模式。不同于隱私權的法益保護內涵，個人信息控制權利主要指信息主體對自身信息的控制能力.信息主體對其信息的交付和使用具有自由決定權，法律應確定與現實保護該項獨立法益。①當前，我國個人信息一系列立法已經或即將出臺，規范層面主要從技術手段保障、數據處理者履責、信息主體控制等三個維度加強對個人信息的保護。然而，各部門法融合視野的規范模式導致司法適用的茫然.司法實踐如何適用最新立法與落實規范目標，需要通過學理闡釋搭建規范與適用層面的橋梁。對此，應區分公、私法領域各自的規范目標與規制對象，進而厘清各方的權義界限與責任性質。

一、個人信息控制能力的權利化表達

自決能力是個人信息權利的核心法益，當事人應按照自己的意志處理其個人信息所承載的各種價值，如若違背了信息主體的自由意志，則侵犯了自然人的個人權利，理應有尋求相應的民事救濟的權利。

（一）個人信息權利制度的正當性

信息控制能力賦權的合理性在于以下幾方面：第一，不是所有的數據處理都具有侵犯性，也不是所有的數據都具有隱私敏感性。不同類型個人信息的自決權益存在不同程度的行使邊界，因此有必要對個人信息做出類型劃分，并在該分類基礎上設置具體的自決制度。第二，信息自決不宜理解為信息主體對其信息的絕對控制，也應結合技術管控進行賦權。比如，借鑒GDPR 規定的與自動決策和分析相關的權利。此類權利實際上是一種保障，防止在沒有人為干預的情況下機器的自動決策和分析做出一些可能具有破壞性的決定。如果自動決策是基于明確的同意或法律授權，則該權利不可繼續行使。GDPR 將“自動分析”定義為旨在評估公民個人事項的任何形式的自動處理，例如工作中的表現、健康狀況、個人偏好、經濟狀況、地理位置等。如果信息主體確實要借助自動分析，必須確保存在充分的安全措施，例如確保使用了適當的數學或統計程序、保護了個人數據、制定了能夠糾正錯誤的措施，并將錯誤的風險降到最低。第三，釋放數據的利用價值是發展數字經濟的核心要義，信息自決并不是排斥數據控制者的處理利益。必須承認，積極行使型信息權益在實務中很難落實與執行，用戶（潛在的信息主體）數量龐大與訴求多元，相對而言，企業的人力與財力則較為有限，若配合實現信息主體的自決權利，需付出的成本過高。在開放的互聯網場域，數據控制者去判斷、 確定并通知所有第三方其實是不可能完成的任務。因此，法律保護實踐應考量企業合規的成本高低與可行性做出判斷。第四，人格權保護制度無法涵蓋個人信息承載的所有信息主體利益，并且在數字化使用場景中，信息主體相關的信息權益不必然首要適用人格權保護制度。個人信息權法益涵蓋人格尊嚴、數字生活便利、市場經濟利益等法益集合，人格權保護制度（如隱私權制度）、個人信息權利保護制度均為其提供了制度保障。在數字化產業中，鑒于某些信息產品或服務的運營需要收集與使用個人隱私信息，隱私信息的合理商業使用同樣需要適用個人信息權利制度，而非傳統的人格權制度。

（二）信息控制能力的權利化及其權利內涵

“個人信息自決法益” 起源于20 世紀六七十年代，當時的社會背景是信息自動化處理技術的產生與普及，信息技術的發展對信息主體的自主權產生了直接影響。鑒于數據處理的海量化與深度化，關于數據控制者（包括政府機關與企業）在大量收集與深加工個人信息過程中對于信息主體做出的任何決定，信息主體均無從知曉哪些數據會被使用、用于何種目的、使用期限等事項，考慮到公共或私人組織處理數據是出于公共性職能目的，信息主體基本上對數據處理無任何干涉能力。由此，為了更好地平衡雙方的“信息力量”從而誕生了數據保護制度，以及獨立于隱私權的數據權利。②因此，“信息自決”理念的產生是為了防止過度收集與使用個人信息，亦是隱私權利與數據權利的分野初始。③個人信息自決權的行使邏輯為：“如果對某種法益的保護成為個人自我發展之桎梏，那么就沒有保護的必要，法益主體即具有對法益的自由處分可能性。”④基于該精神，個人信息權利內涵應該被理解為控制和操縱個人信息是“決定自我生活”的實現方式，信息控制能力是個人能夠決定自己生活的前提條件。⑤個人信息被保護權與個人信息權在權利結構上存在差異，兩者的目標保護法益并無實質區分，但是權利結構的不同造成了法律救濟渠道的差異，個人信息被保護權難以有力支撐信息私權利益的個人維權主張。那么，原則上該如何劃定社會可普遍接受的個人信息權利內容？ 第一，在個人信息公開之前，當事人有權決定個人信息公開的內容、方式、程度、范圍、環境等；第二，在個人信息公開之后，當事人有權決定對個人信息的進一步處理，以保證已被收集的信息不被扭曲；第三，個人信息完成預期處理目的后，當事人有權決定是否留存與刪除個人信息。綜上，信息控制能力包括信息披露、信息處理、信息去留等三項權利內容。

（三）個人信息控制權與信息安全保障、隱私權的內涵界分

個人在個人信息處理活動中的權利，屬于手段性權利或救濟性權利，旨在保護個人信息權益在內的個人權益。⑥據此來看，個人在處理活動中涉及的權益涵蓋個人信息權利、 信息安全保障權利、 隱私權利等，但個人信息權與信息安全保障權、隱私權存在本質差異，應對各自蘊含的權益內容予以區分。

1.個人信息控制權與信息安全保障權的內涵區分

信息自主控制不等同于信息安全。我國現行刑法處罰向他人出售和非法提供個人信息行為，針對的是個人信息的泄露與公開行為，維護個人信息在保存上的安全，尤其針對數據庫，背后的保護法益為社會秩序與公共安全。而信息自決權益保護信息主體對于個人信息的自主控制，旨在保障信息主體的信息控制力，彰顯對自然人人格利益與自主選擇生活方式的尊重，《民法典》 將個人信息自決權規定于人格權編也反映出這樣的法益歸屬立場。因此本文重點關注的是個人信息控制能力，對于個人信息安全問題如線上或線下的信息泄露或竊取行為暫不做具體探討。侵害信息安全主要表現為非法獲取、泄露、毀損、篡改、丟失個人信息，并可能引起下游侵害行為導致信息主體具體人身或財產權益的損害。侵犯信息控制能力主要表現為：（1）數據控制者超越必要權限、或者超出同意范圍的信息收集或權限獲取、 或者未經同意進一步處理個人信息；（2）未適當提供信息主體訪問、更正、刪除個人信息的功能，或者無合法依據而拒絕信息主體訪問、更正、刪除相關個人信息的要求。目前，在司法實務中個人信息糾紛案件所涉及的個人信息多數發生在非自動化處理環境下。⑦因此，對于非自動化處理個人信息所產生的糾紛，本質上并不屬于信息權利的法律糾紛范疇。

2.個人信息控制權（個人信息權）與隱私權的內涵區分

信息控制權與信息隱私權（不止限于隱私信息）也存在本質區分。隱私權訴求是不愿被他人知曉、不想被披露，個人信息權訴求是決定信息是否被收集與處理（封閉的信息通信環境中），從而獲取便利的數字服務。所以，信息主體應當根據不同的個人權益訴求場景，選擇適用隱私權保護制度或個人信息保護制度，不必然為人格權制度絕對優先適用。目前司法實踐中法院主要適用隱私權制度保護個人信息權，部分判決中還出現將兩者混用不予區分的做法。⑧數據權利制度存在兩個保護維度：其一，保護個人的隱私（人格尊嚴），因此原則上禁止處理個人敏感信息；其二，保護個人的自決（個人發展），因此原則上禁止數據自動化處理，增加信息流動的透明度并加以限制，以防止公共或私營數據控制者與信息主體之間形成或延續不成比例的信息權力關系。隱私權制度保障隱私信息不被公開以及被公開后的救濟途徑，相應地，信息隱私法律制度的核心原則是禁止處理個人私密信息。而信息權利制度旨在保障個人信息保持在信息主體可控制其動向的狀態，保護信息的隱私利益適用隱私權侵權保護制度即可。值得注意的是，信息主體對于隱私信息仍然享有自決權，關于個人敏感信息的自決規范同樣歸屬信息自決法律體系。⑨美國、德國、我國臺灣地區等判例均承認隱私的財產價值，而我國隱私權僅承載人格利益。目前，兼顧人格權與財產權的個人信息權益的司法保護實踐在逐步推進，針對個人信息保護糾紛，隱私權侵權有可能逐步淪為宣示性權利，喪失個人信息權利救濟的實際意義。⑩

二、個人信息權利的雙層規范路徑與體系化梳理

當前，我國規范層面對個體控制自我信息能力的賦權主要表現為知情權、 同意權與具體的決定權。《民法典》第1035 條確立了個人對其信息的同意權，第1036 條確立了知情權、更正權與刪除權等，?《個人信息保護法》第四章則構建了完整的信息權利體系。

（一）知情同意與具體自決權的雙層規范體系

信息控制能力的表現階段包括收集階段與后續的數據處理環節，收集階段的同意表示是后續行使具體信息自決權的前提條件。體現在規范設置上，知情同意權與具體的信息自決權呈現雙層運行模式。信息控制能力范疇的知情同意權與具體的信息自決權，在現實操作中是兩類不同行使機制的權利。

1.知情同意權與具體信息自決權并行的雙層規范路徑

知情同意機制的設置目的為： 一旦個人同意成為信息主體，即有權獲知任何有關個人信息被處理的動向與處理目的，也有權訪問、（隨時）查閱、修改個人信息，同時也可隨時不附條件地撤銷原先對數據收集方的同意。?盡管知情權并非是獨立的信息自決權，但用戶同意及協商機制是信息自決權產生與行使前的一道門檻，在平臺服務協議中應明確用戶對數據控制者進行數據處理以及自身對信息服務或產品調整需求時的介入內容、干涉方式等，進而從制度保障與技術支持的雙重緯度明確與落實個人對被收集信息的后續控制能力。?因此，從個體賦權角度，關于個人信息意思自治權利的規制，目前國內外規范層面主要從以下兩個維度構建：一方面，針對數據控制者對于信息的收集、權限的獲取、信息的共享、信息的進一步處理等信息處理行為，原則上適用告知同意制度，對應信息主體的知情同意權，數據控制者對此應履行告知同意義務。當然，告知同意也不是“萬能的” 免責機制，其適用與效力也應受到一定的限制，如不得超越公民的通信自由和通信秘密、隱私權等基本權利的保護；?另一方面，針對信息服務運營中的個人信息，信息主體同樣享有控制與自決的權利，主要滿足訪問、修改、更正、刪除、攜帶信息等個體自控訴求，數據控制者對應附隨的協助義務。值得注意的是，具體信息自決權的行使與實現主要依賴于技術路徑。由此，關于個人信息的私權保護設置，知情同意權與具體信息自決權實則為兩個相對獨立的私權自治軌道，規范層面上表現為雙層的權利機制，共同構成了個人信息權利體系，但兩者在利益內涵與行使目標上是一致的。但也需要說明，兩者在實行機制上存在現實區分，知情同意權的落實需要被告知行為的配合，且主要發生在收集環節。在收集環節上征得同意主要是保障信息安全，這就與具體信息自決權的單純私權屬性有所不同。在當前個人信息保護的執法行動中，違規收集個人信息、強制頻繁過度索取權限、 違規使用個人信息和定向推送等侵犯個人信息的問題最為突出，其中最常見的侵犯行為即“違規收集個人信息”，該類信息侵犯行為不限于侵犯個人私權領域，相較于訪問、修改、刪除、攜帶等用戶個體化的行為操作，收集行為一般統一面向不特定的海量規模的用戶，其規范性同時也關乎公共信息安全與網絡空間的公共秩序，因此與個體自主行使的具體信息自決權在規制目標上存在差異。

2.抽象的信息自決能力與具體的信息自決權利：知情同意規范的間接賦權

根據相關法律文件的規定，個人同意是信息得以處理的主要前提之一，因此間接賦予了信息主體的同意權，《個人信息保護法》 第四章專章規定了個人在個人信息處理活動中的權利，但未直接提及信息享有同意權，僅在第47 條規定撤回同意是信息處理者主動刪除信息的法定事由之一，第44 條則規定信息主體有知情權，但知情權不等同于同意權。因此，在目前制度體系下，信息處理規則是賦予信息主體同意權的主要依據。從權利行使目的來說，知情同意是用戶就本人信息處理問題表示自決意愿的表現，也是落實信息自決能力的方式和手段。考察我國理論界關于個人信息自決權與知情同意權關系的闡述，有學者認為，個人信息權主要是指對個人信息的支配和自主決定。個人信息權的內容包括兩個層面的行使路徑：一是個人對信息被收集、被利用、被處理等方面的知情權；二是自己利用或者授權他人收集、處理、利用的決定權。?另有學者認為，個人信息控制權是需要通過個人信息保護法確立的一項新型公法權利，而非具體的人格權。?還有學者指出，侵犯公民個人信息罪的保護法益是個人信息權中的信息自決權。?不談整體個人信息權的法律地位與部門法領域，僅從私權保護層面的法益內涵來說，主體同意本質上屬于廣義上信息自決（控制）能力的范疇。對于上述論斷，一個關鍵問題需要廓清：在權利外延上，個人信息自決權是否涵蓋知情同意權？盡管從權利內涵來說，知情同意權蘊含自決權能的行使。但是從權利規范形式看，本文認為不宜將知情同意權視為獨立的信息自決權利。這是因為：（1）在規范要件構成上，知情同意機制并非為信息自決意愿的表達機制，因此，在規范層面上知情同意權不是某一具體的信息自決權；（2）知情同意權并非某一具體權利，而是一個較為寬泛的權利概念。幾乎所有信息權利均蘊含知情與同意權能，知情與同意是行使各項數據權利的權能內容，因此也并不存在獨立的“知情同意權”；（3）鑒于知情與同意是兩種權能機制，“知情同意權” 也并不是專門的權利組成，例如在收集階段描述為收集（知情）權、同意（收集）權則顯得更為恰當；（4）一般來說，知情同意的獲取與表達主要發生在信息收集與權限獲取階段，因此從時間上來說，收集階段的知情同意是產生后續具體信息權利的前提。并且，收集階段的知情同意權與被收集后產業運營過程中的知情同意權在權利內容與行使方式上也不同。

基于上述分析，針對個人信息權益的現實實現，知情同意權的規范要件較為分散，知情同意更應視為一種權利保障機制或權能內容，其法律地位應從兩個層面理解：（1）從權利行使角度，知情同意權應為信息隱私權與自決權等具體信息權利的權能內容；（2）在信息安全層面，信息主體的知情同意權對應數據控制者的數據安保責任、 附隨告知或協助義務。所以，個人信息權利如知情同意權與具體信息自決權，均指向個人信息自控能力的實現，但是從規范要件維度，知情同意權不是具體的信息自決權。知情同意制度更應作為一種權利保障機制和權能內容，并且主要與數據控制者的安保責任、合規處理、協助義務等強制性規范相結合運用，基于該考量思路，知情同意權在一定程度上可視為一種獨立權利。知情同意權重點針對信息或權限獲取環節； 信息自決權主要針對后續的產業運營環節。所以，對信息主體的知情同意能力賦權是行使信息自決權的前提，但告知同意機制下的知情同意權并不是信息決定權本身。《個人信息保護法》第44 條對知情、決定的并列描述，亦間接證實了這一點。

（二）個人信息權利的體系化梳理

《民法典》 第1037 條規定的個人信息主體的權利當然屬于民事權利，?由此說明法律層面已賦予個人對于其個人信息享有民事權益。基于所規定的個人信息權益內容的一致性，其他法律文件如《個人信息保護法》在第四章規定的個人在個人信息處理活動中的權利，亦屬于民事權利。在此基礎上，針對既有的關于個人信息權益的規定規則，以下將系統性梳理完整的個人信息權利體系。

1.基于告知同意機制的知情同意權與撤回同意權

知情同意權是對透明處理原則的權利回應。梳理現有規范規則，知情同意權包括直接的知情同意權與間接的知情同意權。（1）直接的知情同意權，主要包括同意收集權、同意營銷權、同意（進一步）處理權。?例如，在國內“人臉識別第一案”中，法院認為，園方未經告知并獲取用戶事先同意就收集用戶人臉信息的行為，侵犯了當事人的個人信息權。因此，侵犯知情同意權實質是侵犯個人信息權的行為。（2）間接的知情同意權，即撤回同意授權的權利。《網絡安全法》《民法典》均未提及主體撤回授權同意的權利，但立法確認同意撤回權已成為全球個人信息保護立法的趨勢與共識，我國最新頒布的《個人信息保護法》也體現了這一點，根據《個人信息保護法》的相關規定，信息主體行使撤回同意權不只限于信息收集階段，這是因為，在最初的同意收集階段，信息主體往往很難判斷做出該同意將面臨何種后果，因此撤回同意在信息收集、使用、保存、共享等數據全生命周期內均可行使。此次將“撤回同意”升格至法定權利，顯示了立法對個人信息的嚴格保護態度。?此外，《App違法違規收集使用個人信息行為認定方法》 第3條第8 款規定，App 運營者未向用戶提供撤回同意收集個人信息的途徑、方式的情況，屬于“未經用戶同意收集使用個人信息”的違規行為。

2.非基于告知同意機制： 積極行使的具體信息自決權

個人對信息的自主控制主要表現為訪問（查詢）、更正、修改、補充、復制、攜帶等，《民法典》第1037 條概括性規定了個人信息主體的權利，自然人可以向信息控制者依法查閱、 抄錄或者復制其個人信息；發現信息有錯誤的，有權提出異議并請求及時采取更正等必要措施。《民法典》明確了我國當前法定信息自決權包括訪問權、 更正權與刪除權等三項具體權利。《個人信息保護法）》第四章則專章呈現了完整全面的信息主體的個人信息權利體系。在目前我國規范體系下，理論上信息決定權可分為信息處理權利、刪存權利與規則解釋權。

（1）信息處理權利

從行使權利角度分析信息處理權，可做以下劃分：1）訪問權：數據主體訪問權是基礎性權利，數據主體有權向數據控制者確認與其相關的數據是否正在接受處理以及有關的操作。信息訪問權包括查閱、抄錄或者復制信息等后續權利內容。在目前規范體系下，《民法典》《個人信息保護法》規定自然人可以向信息控制者依法查閱、 抄錄或者復制其個人信息。《移動互聯網應用（App）收集個人信息基本規范（征求意見稿）》則從規范數據控制者角度規定App 應向用戶提供實時查詢信息收集類型與數據接收方身份的功能。2）更正、補充權：《民法典》《個人信息保護法》 規定自然人發現信息有錯誤時有權提出異議并請求數據控制者及時更正。由此意味著更正權蘊含異議權，因為表達異議是行使更正權的前提。《網絡安全法》規定，用戶發現網絡運營者收集、 存儲其個人信息有錯誤的，有權要求網絡運營者予以更正。兩者對于更正權的發生場景要求一致，均是以記載錯誤為前提。3）限制處理權、拒絕處理權（反對處理權）：對比之前的個人信息保護規范，《個人信息保護法》第44條新增了信息主體的限制處理權與拒絕處理權，即個人有權限制或者拒絕他人對其個人信息進行處理。4）數據可攜權：《個人信息保護法》首次規定了數據可攜權，第45 條第1 款規定“個人有權向個人信息處理者查閱、復制其個人信息”；第3 款規定了“個人請求將其個人信息轉移至其指定的個人信息處理者，符合國家網信部門規定條件的，個人信息處理者應當提供轉移的途徑”。至此，數據可攜帶權被正式納入我國個人信息保護法律體系，成為信息主體的合法民事權利。由此顯示，個人對其提交給數據處理者的信息可實現更全面的控制。?

（2）信息刪存權利

數據刪存權利主要包括儲存、刪除、注銷信息的權利，根據信息主體的主動性，又可分為自主刪除與更正刪除兩類。其一，自主刪除型刪除權。基于存儲限制原則，數據存儲時間不得長于實現處理目的所必需的時間。因此，數據控制者需要建立定期清除制度。?需要注意，綜合分析有關規定來看，信息主體的刪除權同時也受一定程度的限制，具體表現如下：（1）根據《民法典》的規定，信息主體僅可就被違規（主要指超出權限）收集或處理的信息部分，要求信息控制者刪除；（2）根據《電子商務法》的規定，網絡消費者可要求電子商務經營者刪除所有的個人信息，包括先前授權平臺獲取的信息。《電子商務法》確立的信息刪除權利的內容更全面，但僅限電子商務消費場景，《個人信息保護法》則采納了同樣的立場，由此，刪除權的適用對象涵蓋所有的信息使用場景。《數據安全管理辦法（征求意見稿）》第23 條規定，網絡運營者利用用戶數據和算法推送新聞信息、商業廣告等“定向推送”服務，應當以明顯方式標明“定推”字樣，為用戶提供停止接收定向推送信息的功能； 用戶選擇停止接收定向推送信息時，應當停止推送，并刪除已經收集的設備識別碼等用戶數據和個人信息。可以看到，個人信息規范層面對于商業應用場景中的信息使用持非常嚴格謹慎的保護態度。此外，在刪除信息時，信息處理者同樣需要征得用戶的同意，而目前尚無相關的規定。本文認為，未經同意的刪除行為應被視為“毀損信息”行為，適用網絡運營者不得毀損信息的相關規定。其二，更正或排除妨害型刪除權。該類信息刪除權以信息記載存在錯誤為前提。?結合相關規范可以總結出，信息刪除請求權的前提要求是：（a）信息來源是由第三方非法披露與傳播，或者（b）受到商業推廣信息的侵擾，或者（c）被違規收集的部分。值得注意的是，《個人信息保護法》第47 條為信息主體提供了一項類似“行為中止”的刪除權救濟保障措施，即當信息主體主張行使刪除權時，如果保存期限尚未屆滿或技術操作難以實現，個人信息處理者則應當中止或停止處理個人數據以作為對信息主體刪除權的救濟。

（3）規則解釋權利

《個人信息保護法》第48 條規定了信息主體的規則解釋權，該項權利包含對信息處理的算法解釋權，且僅針對平臺服務協議。一方面，根據透明原則，解釋說明權蘊含公開與“可懂”兩項法益內容；另一方面，過度頻繁的解釋說明工作會極大增加處理者的運營成本。基于一般經驗，用戶要求處理者解釋信息處理規則主要出于對該處理規則可能影響其合法權益的擔憂（如大數據殺熟等），又因為信息技術的高度專業性，用戶很難理解具體處理過程及技術原理，響應《個人信息保護法》第17 條的立法精神，該規定在適用中應蘊含以通俗易懂語言解釋的要求。

三、 個人信息民事權利制度的規范不足及其司法應對

隨著民眾對于個人信息權利意識的覺醒和提升，司法訴訟中涌現出越來越多的個人信息保護糾紛，例如，對于未經用戶同意推送商業短信，用戶主張侵害其個人信息及隱私權等。?在類似案例的判決中，法院認為，個人信息權益的核心在于自然人對其個人信息的知情同意權和對信息傳播的控制權，信息主體對個人信息傳播的控制利益屬于人格權益。?然而，鑒于立法層面對個人信息權利的規范概括性與模糊性，司法層面如何認識與落實個人信息權利的保護實踐，尚需獨立的權利認知和理性的判斷程序。

（一）目前我國個人信息權利規范的不足

知情同意權是指，未經信息主體的同意，數據控制者不得對個人信息做出預期目的之外的處理或使用；具體的信息決定權則是指，信息主體可隨時訪問、更正、攜帶與刪除信息的權利。上述兩類信息權益的實現機制，均對應數據控制者的安保責任或附隨性協助義務。在目前的制度體系下，個人信息民事權利的規范要件依舊不夠完整與明確，不利于指導司法實踐以及信息主體積極行使信息權利。

1.知情同意權表達場景的分散性

在商業應用場景中，App 運營者收集信息與獲取權限原則上必須遵循知情同意規則，應履行告知同意義務。《App 違法違規收集使用個人信息行為認定方法》 規定了以下違規行為的構成與要求：“未公開收集使用規則”、“未明示收集使用個人信息的目的、方式和范圍”、“未經用戶同意收集使用個人信息”、“違反必要原則，收集與其提供的服務無關的個人信息”、“未經同意向他人提供個人信息”，由此側面反映了侵犯信息主體個人意愿的行為表現，即意味著，在上述App 運營環節，信息主體享有行使知情同意權的需要與空間。整體上來看，《認定方法》 對于信息產業規范運營的規制思路主要從“未經同意”角度定性了數據控制者收集行為的違法違規性，核心圍繞主體同意制度，體現了保障個人對其信息的控制能力，以尊重個人信息所承載的人格利益與人格尊嚴。因此，App 運營者如果實施了上述違法違規的收集、獲取、告知行為，均侵犯到了信息主體對于其個人信息的知情同意權。國家標準《個人信息告知同意指南》規定了告知同意的適用情形、免于告知同意的情形、告知同意的基本原則、告知同意制度的具體實踐等，并在附錄部分關于未成年人個人信息、SDK、IoT等九類場景下告知同意制度的具體實踐提供了建議，知情同意權呈現規范分散性與內涵多元性。

2.具體的信息自決權法律要件的不完整性

在《個人信息保護法》出臺之前，我國已有一些法律或其他規范性文件對民事性質的個人信息權利做了初步規定。其中比較典型的是《民法典》《網絡安全法》《電子商務法》《個人信息安全規范》等規范文件。在個人信息權利的要件構成上，上述文件為個人信息私權保護的整體思路提供了基本參照。但是，當前制度保護體系下在信息權利保護適用上主要存在以下兩方面問題：

其一，某些具體信息自決權的法定要件不統一，導致相關的規范性文件難以銜接適用。以刪除權為例，一方面，《民法典》《網絡安全法》《個人信息保護法》規定自然人發現信息控制者違反法律、行政法規的規定或者雙方的約定收集、 處理其個人信息的，有權請求信息控制者及時刪除。《App違法違規收集使用個人信息行為認定方法》 第六節亦明確規定了“未提供有效的更正、刪除個人信息及注銷用戶賬號功能” 的行為可以被認定為未按法律規定提供刪除或更正個人信息功能。?由此看到，信息控制者違反法律、行政法規的規定或者雙方約定進行收集或處理數據是刪除權行使的前提要求。此處針對數據控制者的不法收集行為行使刪除權，可視為知情同意機制失靈后的后續補救措施，刪除權是可被直接行使的權利，而非知情權被侵犯后的救濟權利。《全國人大常委會關于加強網絡信息保護的決定》 所規定的刪除權則與上述規定在發生場景與保護法益上顯著不同，《決定》 中的刪除權針對的是以網絡信息形式泄露個人身份或隱私或發送商業郵件而導致侵擾的情形，公民有權要求刪除相關個人身份或隱私的信息，此處對應的是網絡運營者，與數據控制者是不同的法律主體身份，后者主要是指數據產品或服務的運營者，而前者的范圍則更加廣泛，不限于數字產業領域。另一方面，刪除權的法益保護目的為： 當信息存儲期限屆滿或者收集或持有信息的最初目的已經不存在時應賦予信息主體刪除權。但是，我國當前刪除權規范目標在于防范數據控制者違法違規收集或使用行為，而非出于落實數據處理的目的限制原則。對于上述規定規則的規范構成，其法律要件在司法適用上存在缺陷。其二，未提供具體信息權利對應的保護標準，《民法典》《個人信息保護法》 等基本數據立法缺乏配套性規定，專門立法需要后續實施細則的進一步落實。以數據可攜權為例，《個人信息保護法》第45條對數據可攜權僅作出了原則性規定，具體的適用要求與配套規定尚未出臺，例如對行使數據可攜權時傳輸數據的格式規定不明確。基于此，作為我國制度體系下完全新出現的權利類型，對數據可攜權的理論基礎尚不完全明晰，理論與制度之間的結合尚需學理解釋的銜接，例如，考慮到平臺企業的合規成本以及發展平臺經濟角度，可以從個人信息類型、處理方式、處理目的、平臺規模以及對第三方權益影響等方面對數據可攜權的行使做適當限縮。綜上來看，法律保護實踐中目前存在的主要問題在于：一方面，條款本身并不完整，只規定了發生場景，并主要表現為警告性規定，而未從私權行使層面規定信息主體的行使行為、 數據控制者的違規行為標準與對應的民事責任。《民法典》《個人信息保護法》 中涉及個人信息權利的條文大部分也是不完全規范，與審判、執法實踐主要適用完全性規范的現實需求相背離，?由此導致個案之間法律適用的爭議較大，執法與司法中的尺度無法統一。

（二）侵害個人信息民事權利的司法判斷思路

根據《個人信息保護法》第50 條與第69 條規定，如果個人信息處理者拒絕個人行使權利的請求，個人可以依法向人民法院提起訴訟。以及，因處理個人信息造成個人信息權益損害的，個人信息處理者應當承擔損害賠償等侵權責任。由此可知，對于具體信息權利行使遭遇障礙、個人權益遭受損害，均具有可訴性。但由于《個人信息保護法》的施行時間較短，尚無對此規定的配套解釋，以及私法領域未明確對個人信息進行確權以及缺乏具體的保護措施規定，當前司法處理中多采納隱私權保護模式。?針對個人信息立法賦權與司法維權存在脫節的問題，2020年12月29日，最高人民法院印發《關于修改〈民事案件案由規定〉的決定》的通知，在新變更的第三級案由“隱私權、個人信息保護糾紛”項下增加“隱私權糾紛”、“個人信息保護糾紛”。由此表明，針對個人信息保護糾紛，司法工作應具備獨立的權利認知。前面已論述，侵害個人信息權利本質上侵害的是信息主體的信息控制力。在司法審查中，需要結合個案情況做出具體判斷：第一，在信息保護糾紛中，被侵害的法益是否屬于信息控制利益？第二，信息主體對信息的失控達到何種程度時可被認定構成損害？下一步，在規范層面上，鑒于個人信息權利可分為知情同意與自主支配兩類權利束，兩者在適用場景、要件構成、權利行使、責任設置等方面并不統一，既有區分又存關聯。司法實務中要落實個體的信息保護制度，不應僅符合對隱私政策的評估，更需要從本質價值層面做出衡量。針對信息技術可能給個人控制能力帶來的威脅，闡釋個人信息權利時應結合具體的信息使用場景。例如，個人信息權與隱私權在客體利益上不同，隱私權是防御性權利，隱私信息優先適用隱私權保護指的是隱私信息受到披露侵害時，在當初信息收集與處理過程中則應適用個人信息相關規范。

基于信息主體對于不同信息不同程度的可控力，在司法認定中，各類信息自決權益的行使邊界如下：（1）對于私密信息，信息主體最在意的是隱私利益的維護，而對于自決權益的行使僅限于某些特殊的應用場景，例如數字醫療中的生理健康數據。因此，信息隱私保護優先適用隱私權制度，特殊情況下適用個人信息自決制度；（2）對于個人敏感信息，信息主體最關注的是信息安全的保障。鑒于敏感信息的敏感性在于“一旦泄露、非法提供或濫用可能危害人身和財產安全，極易導致個人名譽、 身心健康受到損害或歧視性待遇等”，?因此，對敏感信息的法律保護可能適用具體的人格權制度如隱私權、名譽權、肖像權等，也可能適用個人信息自決規范，兩類制度在適用上并無明顯優先性；（3）對于其他（一般）個人信息，僅適用個人信息自決制度，一般與人格權保護無交集。值得注意的是，上述制度適用考量首要指向信息主體的權利救濟路徑，數據控制者對于信息主體應承擔民事責任。同時，上述情形中亦可能涉及《網絡安全法》《刑法》 及其他規范中數據控制者應擔負的刑事或行政責任。

結 語

在數字化社會模式下，個人信息權利具有雙重法益屬性，既涉及自然人的人格維護，又關乎數據產業的開發與運營。因此，隱私與數據保護法律制度應有所演變，以適應信息技術的發展給社會、政治、經濟領域帶來的根本變革，個人信息的確權即具有現實意義。由于普通用戶對互聯網技術的認識和掌握明顯處于劣勢，個人很難了解其個人信息如何被處理和利用，對此缺乏直接和間接的控制力。個人信息保護與大數據利用之間的互動關系本質上取決于主體信息控制能力的程度大小與現實行使。個人信息權利規范設定了個人信息私權利益的保護邊界，也并不會阻礙數字經濟的創新發展，合法合規視野下的信息處理行為會促使數據資源的開放利用進入良性循環。對于自然人對其個人信息的控制能力，理論層面應首先厘清個人信息權利在立法設置與司法適用中的合理性與可行性，進而實現協同運轉效力以保障民眾正在呼吁的個人信息保護訴求。鑒于當前規范層面關于個人信息保護的規定尚不完善，一方面，立法應逐步細化與具體化，出臺配套性文件加強規范自身的可操作性；另一方面，法律實務應把握個人信息保護規范旨在保障的真正權益內涵，進而切實落實個人對于信息權利的主張與訴求。

注釋：

①姬蕾蕾：《大數據時代數據權屬研究進展與評析》，《圖書館》2019年第2 期。

②Rouvroy Antoinette & Poullet Yves，The Right to Informational Self-Determination and the Value of Self-Development: Reassessing the Importance of Privacy for Democracy, in Gutwirth, S., Poullet, Y., de Hert, P., de Terwangne,C., Nouwt, S.(Eds.).Reinventing Data Protection? Springer,2009, p.68-69.

③Hans Peter Bull, Informationelle Selbstbestimmung Vision oder Illusion? Hamburg, 2009, p.22； European Union Agency for Fun-damental Rights and Council of Europe,Hand book on European data protection law (2018 edition),Luxembourg： Publications Office of the European Union,2018, p.19-20.

④［日］曽根威彥:《刑法學の基礎》，成文堂2001年版，第51 頁。

⑤Rouvroy Antoinette & Poullet Yves, The Right to Informational Self-Determination and the Value of Self-Development: Reassessing the Importance of Privacy for Democracy, p.51-52.

⑥程嘯：《個人信息保護法理解與適用》，中國法制出版社2021年版，第327 頁。

⑦余遠芳：《個人信息的侵權法救濟：〈民法總則〉第111 條的司法適用》，https://mp.weixin.qq.com/s/hY5Lyg-iPA TZZRuVmXx6dg，2021年5月12日訪問。

⑧李怡：《個人一般信息侵權裁判規則研究——基于68個案例樣本的類型化分析》，《政治與法律》2019年第6 期。

⑨商希雪：《個人信息隱私利益與自決利益的權利實現路徑》，《法律科學》2020年第2 期。

⑩辛小天：《個人信息民事救濟如何解困隱私權訴之惑》，https://mp.weixin.qq.com/s/srgOTnGVCCfPy1eYQTNBow，2021年7月25日訪問。

??周漢華：《個人信息保護的法律定位》，《法商研究》2020年第3 期。

?蔡星月：《數據主體的“弱同意”及其規范結構》，《比較法研究》2019年第4 期。

?P.Samuelson, Information as Property: Do Ruckelshause and Carpenter Signal a changing Direction in Intellectual Property Law? Catholic University Law Review, 1989,38(2).

?張新寶：《個人信息收集： 告知同意原則適用的限制》，《比較法研究》2019年第6 期。

?王利明:《論個人信息權的法律保護——以個人信息權與隱私權的界分為中心》，《現代法學》2013年第4 期。

?劉艷紅:《民法編纂背景下侵犯公民個人信息罪的保護法益： 信息自決權——以刑民一體化及 〈民法總則〉第111 條為視角》，《浙江工商大學學報》2019年第6 期。

?姚佳：《個人信息主體的權利體系——基于數字時代個體權利的多維觀察》，《華東政法大學學報》2022年第2 期。

?該權利行使表現為信息處理上的自決性，圍繞最小化原則、目的限制原則與信息透明原則展開。《個人信息安全規范》第7 條第3（a）款關于個人信息的使用限制具體規定了個人信息的訪問控制措施、展示限制、使用目的限制；用戶畫像的使用限制、個性化展示的使用、基于不同業務目的所收集的個人信息的匯聚融合、信息系統自動決策機制的使用等具體事項，主要針對數據控制者在信息使用上的行為要求與注意規定，在同意范圍內的使用限制，主要以業務范圍為判斷標準。

?南財合規科技研究院：《個人信息保護法合規啟示報告》，2021年8月。

?武曉莉：《〈個人信息保護法〉亮點解讀 個人數據可以帶著走》，《中國消費者報》2021年8月25日，第4 版。

?《數據安全管理辦法（征求意見稿）》第20 條、《民法典》第1037 條第2 款、《電子商務法》第24 條、《App 違法違規收集使用個人信息行為認定方法》第6 條。

?《個人信息安全規范》第8 條第3 款、《全國人民代表大會常務委員會關于加強網絡信息保護的決定》 第8條、《網絡安全法》第43 條。

?劉曉春、李夢雪：《2021年數據競爭與個人信息保護典型案件盤點》，《中國對外貿易》2022年第2 期。

?梁某訴匯法網案，(2021)京04 民終71 號。

?盡管本文認為注銷權是刪除權的延伸性權利，但從立法上來看，注銷權是獨立于刪除權的數據權利，鑒于《民法典》《個人信息保護法》并未提及注銷權，本文不列注銷權作為法定的具體信息自決權。

?丁宇翔:《個人信息民事司法保護的若干難點及破解路徑》，《中國審判》2019年第19 期。

?冷傳莉、 李怡:《司法保護視角下的隱私權類型化》，《法律科學》2017年第5 期。

?喻海松:《侵犯公民個人信息罪的司法適用態勢與爭議焦點探析》，《法律適用》2018年第7 期。