個人信息主體權利司法實現的解釋論展開

譚昱琪

(華東政法大學 法律學院，上海 201600)

0 引言

《個人信息保護法》第四章單獨列明了個人在信息處理活動中的權利，包括查閱權、復制權、可攜權、更正補充權、刪除權等權利(以下簡稱為“個人信息主體權利”)。這些權利是保護承載于個人信息之上的主體權益的程序性權利[1]，系個人信息主體對抗個人信息處理者(以下簡稱為“信息主體”與“信息處理者”)，防止信息主體的個人信息被濫用的手段性權利工具。而《個人信息保護法》第50條第2款使得信息主體可以向司法機關尋求有關個人信息權益的救濟[2]，強化了《個人信息保護法》作為個人信息保護基本法的法律地位[3]。

然而，若以體系化適用的眼光審視《個人信息保護法》第50條第2款，會發現該款在適用過程中存在層層阻礙。就其性質而言，該款究竟是對訴權的賦予或確認還是一種請求權規范，涉及到信息主體在尋求信息權益救濟時的請求權基礎。就其適用條件而言，《個人信息保護法》第50條第2款規定的“個人信息處理者拒絕個人行使權利的請求”是否為所有個人信息權利之訴或個人信息侵權之訴的受理條件？并且，由于該款涉及個人信息主體權利實現的具體司法路徑，而上述阻礙又同時導致其與個人信息權益保護的其他司法路徑，例如《個人信息保護法》第69條、《民法典》第995條以及第1 037條的適用范圍纏繞不清。

因此，如何整合個人信息主體權利實現的規范體系，平衡信息主體與信息處理者的利益，成為個人信息權益保護的重要課題。

1 問題的提出

在上述背景下，杭州互聯網法院在成立五周年之際，發布了“個人信息保護十大典型案例”，其中杜某訴某網絡公司個人信息保護糾紛案(以下簡稱為“杜某案”)彰顯了《個人信息保護法》第50條第2款的適用阻礙。該案對個人信息主體權利的實現路徑具有指導性，涉及《民法典》與《個人信息保護法》交叉適用的若干基本問題，實值作進一步分析與反思。

在杜某案中，法院基于《個人信息保護法》第50條與第69條在適用范圍上的區分，認為信息主體以《個人信息保護法》第四章所規定的個人信息主體權利實現受到阻礙，但沒有產生損害時所產生的一種“個人信息權利請求權”，該請求權基礎為《民法典》第995條規定的人格權保護，且應當以“個人信息處理者拒絕個人行使權利的請求”為訴權的前置條件。而《個人信息保護法》第69條則適用于個人信息權益受到侵權損害而產生的侵權損害賠償請求權，信息主體可以直接向法院起訴。因此該案主要闡述了《個人信息保護法》第50條的具體適用范圍與條件，確立了個人信息主體行使個人信息權利時存在訴權的前置條件的司法審查標準，以避免司法資源的浪費(杭州互聯網法院(2022)浙0192民初4330號民事判決書)。

然而，問題在于法院認為《個人信息保護法》第50條第2款系對信息主體訴權的賦予，而《個人信息保護法》第69條顯然為請求權規范，二者存有本質上的不同，是否有必要刻意區分二者的適用？并且，為什么“個人信息權利請求權”的請求權基礎是《民法典》第995條，而不是《個人信息保護法》第44條至第49條或者《民法典》第1 037條規定的個人信息主體權利？就算將《民法典》第995條規定的人格權保護作為個人信息權益救濟的請求權基礎，那為什么還需適用《個人信息保護法》第50條，要求存在訴權的前置條件，難道信息主體不能直接基于《民法典》尋求司法救濟嗎？另外，司法判決可能忽略了這樣一種情形，即當不存在實際侵害或者妨礙個人信息主體權利時，僅因信息主體的權利行使請求被信息處理者拒絕時，個人能否基于其權利行使請求未得到滿足從而根據《個人信息保護法》第50條第2款向法院起訴。

因此，本文旨在重思杜某案的判決思路，以解釋論為視角，進一步明晰第50條第2款的功能定位，并且圍繞《個人信息保護法》第50條的具體適用路徑，探討個人信息主體權利的實現機制，從而推動法律賦予信息主體的個人信息主體權利，無論是在信息主體與信息處理者的互動場域下還是司法場景下，均能充分實現。

2 《個人信息保護法》第50條第2款的功能定位

《個人信息保護法》第50條第2款規定“個人信息處理者拒絕個人行使權利的請求的，個人可以依法向人民法院提起訴訟”。據此，該款的功能可以區分為實體性功能與程序性功能，前者依照“個人可以依法向人民法院提起訴訟”而使得信息主體享有某項權利，后者則通過“個人信息處理者拒絕個人行使權利的請求的”而對信息主體尋求司法救濟苛以程序性要求。但是，具體為何種權利與權利實現程序還有待進一步明晰。

2.1 信息主體享有個人信息權利實現的訴權

對于實體性功能，本質上即為《個人信息保護法》第50條第2款的性質，而其性質是討論個人信息主體權利實現路徑的前提，因為若將其視為請求權基礎，則將引發若干請求權規范競合的問題，但若將其視為對信息主體在個人信息領域訴權的賦予或確認，則無需討論該款在請求權基礎方面的適用。

有觀點認為信息主體的個人信息權益受到侵害時無需借助其他規范，僅依照《個人信息保護法》第50條第2款便可獲得救濟[3]，該條款可作為信息主體自主利益受侵犯時的請求權基礎[4]。另一觀點則認為《個人信息保護法》第50條第2款只是對個人訴權的確認，在信息處理行為沒有產生損害[5]的情況下，信息主體可基于《個人信息保護法》第50條第2款規定的訴權，并結合其他規定人格權請求權基礎的條款以尋求司法救濟。[6-8]

然而，將《個人信息保護法》第50條第2款視為請求權基礎不僅未正確區分請求權與訴權，而且忽略了立法者在設立《個人信息保護法》第50條第2款的立法意圖。該款本質上是對信息主體訴權的確認，不能獨立救濟信息主體的合法權益，需要結合請求權規范共同作為信息主體向司法機關請求救濟的法律基礎。

首先，請求權的訴請履行力表明該款只是對信息主體訴權的確認。請求權本就具有強制實現之可能[9]，其強制性只是在形式上借助公法的訴權與執行請求權[10]。而《個人信息保護法》第四章規定的個人在信息處理活動中的權利本質上為人格權請求權[1，10-11]，信息主體可以基于此向義務人請求其履行或不履行相應行為，預防和制止侵害人格權的行為，以維護人格權圓滿狀態。因此，在個人信息主體權利實現受阻礙的情形下，無論系將《民法典》第995條、第1 037條還是《個人信息保護法》第四章規定的某一種或某幾種權利作為請求權基礎，其請求權性質本就賦予了信息主體可以訴請法院，通過勝訴判決要求信息處理者履行其義務之權利。所以，《個人信息保護法》第50條第2款后句實則是對信息主體訴權之確認，而非立法層面之權利賦予。通過《個人信息保護法》第50條第2款的明確規定，當信息主體無法通過私力救濟維護其合法權益時，便可基于此條向法院提起訴訟，通過司法途徑尋求權益保護，從而恢復人格權的完滿狀態。

其次，從本條的立法演進來看，在《個人信息保護法(草案)》第三次審議時，有常委委員要求增加本款，其理由在于“明確個人可以向法院起訴尋求救濟的權利”[12]。經討論，該條建議最終得到了立法者的采納，即通過本條在法律層面確認了信息主體可以向法院請求行使個人信息主體權利，敦促信息處理者履行其義務的權利。

然次，在司法實踐層面，在《個人信息保護法》出臺以前，已有相關訴訟對信息主體的訴權予以探討，并確認信息主體享有訴權。例如在“大數據殺熟第一案”——上海攜程商務有限公司與胡某侵權責任糾紛上訴一案中，一、二審法院根據《常見類型移動互聯網應用程序必要個人信息范圍規定》第4條作為“個人信息拒絕權”的法律依據，并據此確認胡某作為信息主體享有相應訴權(紹興中級人民法院(2021)浙06民終3129號民事判決書)。由此得知，《個人信息保護法》第50條第2款后句是對信息主體訴權的確認而非賦予。

最后，從法律行文來看，結合其他亦規定“可以向人民法院提起訴訟”的法律條文，例如《民事訴訟法》第58條賦予法律規定的機關和有關組織的公益訴權[13]，《婦女權益保護法》第68條新增規定的離婚家務勞動補償協議訴權，均是對適格當事人或適格組織訴權的賦予或確認，而非規定相應的請求權基礎。

因此，《個人信息保護法》第50條第2款的實體性功能在于確認信息主體訴權而非創設獨立的請求權規范。此項訴權是個人信息主體權利通向公權力保護的橋梁，是信息主體可以進入訴訟程序以尋求公權力保護的法律規范[14]，通過《個人信息保護法》第50條第2款后句的明確規定，個人可以基于該款向法院提起訴訟，而不會面臨權利可訴性的闕如疑惑(廣東省廣州市中級人民法院(2022)粵01民終3937號民事判決書)，從而保障個人信息主體權利的司法實現。

2.2 信息主體尋求信息權利救濟的前置條件

《個人信息保護法》第50條第2款的程序性功能，則主要指向該款的適用條件，是否存在訴權的前置條件或者從其他角度闡釋“個人信息處理者拒絕個人行使權利的請求的”的具體內涵，不僅有利于本條在司法實踐中的具體適用，且可作為后續分析個人信息主體權利實現路徑的考量因素。

在個人訴權的行使方面，存在強制條件肯定說、折中說與否定說等觀點。在強制條件肯定說內部又可進一步區分為“單一拒絕說”“違反公法義務+拒絕說”以及“雙重拒絕說”。

“單一拒絕說”認為，基于法條的明文規定，從文義解釋來看，《個人信息保護法》第50條第2款規定的訴權行使存在前置條件，即須在信息處理者拒絕信息主體行使權利的請求之后，信息主體才享有相應訴權，否則司法機關應當依據《民事訴訟法》第157條、《個人信息保護法》第50條的規定，因其起訴不滿足起訴條件而裁定駁回起訴[15]，從而減輕法院負累，防止“徒耗司法資源”[6，16]。而“違反公法義務+拒絕說”則認為只有信息處理者既違反了《個人信息保護法》第5章規定的公法義務，又同時拒絕了信息主體行使個人信息主體權利的請求時，信息主體才能向法院起訴[4]。

在此基礎上，“雙重拒絕說”則認為《個人信息保護法》第50條的前置條件應當為：信息處理者拒絕信息主體行使個人信息主體權利的請求，且信息主體向行政監管機關舉報并對監督處理的決定不服，才能提起訴訟，并且是針對行政監管機關作出的決定或不作為的行政訴訟，而有關個人信息的民事訴訟則僅指向《個人信息保護法》第69條的個人信息侵權賠償之訴[17]。除此之外，也有觀點建議參考證券訴訟，通過最高人民法院發布司法解釋的方式設定起訴的前置條件，即只有在國家個人信息主管部門認定被告存在“拒絕個人行使權利的請求”事實的情況下方能提起訴訟[6]。

折中說則認為《個人信息保護法》第50條只是倡導性規范，并非法律的強制性規定，信息主體可以在未向信息處理者行權時直接向法院起訴[12]。

否定說則主張在信息主體尋求信息權益的司法救濟時，不存在訴權的前置條件，認為通過解釋得出存在前置條件的觀點構成對個人訴權的非法限制。由于個人信息主體權利本身就是請求權，當不存在信息權益受損而直接向法院起訴，應當是原告無法證明其權益遭受侵害或存在侵害之虞而被判決敗訴而非被裁定駁回起訴[11]。并且當個人信息處理者違法處理信息主體的個人信息時，實體上已損害了信息主體的個人信息權利，如果法院絕對化地以“個人信息處理者拒絕個人行使權利的請求”為前提來處理信息主體的訴權，將不當限縮個人獲得司法救濟的權利[18]，并且若個人信息維權起訴前確實需要平臺處理作為前置條件，此制度構造屬于重大制度設計，應當通過審慎調研后方才能進行相應的制度建設[19]。

然而，“違反公法義務+拒絕說”“雙重拒絕說”基本不在《個人信息保護法》第50條第2款的文義解釋范圍之內。

首先，當信息處理者在處理個人信息的過程中已經違反公法義務，例如未履行《個人信息保護法》第51條規定的防止個人信息泄露、篡改或丟失義務時，該不作為已經侵犯了信息主體的合法權益，此時信息主體可根據《個人信息保護法》第70條基于人格權請求權向法院起訴，要求法院敦促信息處理者履行法定義務，甚至可能直接觸發個人信息的公益訴訟程序；若已給信息主體造成財產甚至精神上的損失，那法院則可依據《個人信息保護法》第69條，要求信息處理者予以相應賠償，因為公法義務的違反已經可以推定信息處理者存在過錯。

此外，“雙重拒絕說”則混淆了個保法第50條第2款與第69條的適用場景。《個人信息保護法》第69條侵權賠償之訴規定在《個人信息保護法》第7章中，獨立于《個人信息保護法》第50條，并不以“個人信息處理者拒絕個人行使權利的請求的”為前提條件。

另外，雖然歐洲《通用數據保護條例》(以下簡稱為“GDPR”)第77條明確規定了通過監管機關(supervisory authority)的信息權益救濟機制，但從GDPR第79條來看，數據主體可以在信息處理者不響應其權利行使請求時，直接向法院尋求救濟[20]。

而反觀“折中說”，雖該理論反對訴權的強制性前置條件一說，但未充分認識到個人信息主體權利的“權能”或“請求權”性質而非“權利”性質。因此以上三種學說不為本文所采。

作為請求權的個人信息主體權利包含兩種行使情形，一是信息處理者的信息處理行為已經侵害或存在侵害之虞，但未造成具體的損害結果；二是信息處理者的信息處理行為不存在上述情形，但是拒絕了信息主體的權利行使請求。本文認為，“個人信息處理者拒絕個人行使權利的請求的”是在無其他侵害個人信息權益且不存在侵害之虞，信息主體向法院請求行使個人信息主體權利之訴權的前置條件。即只有信息處理者以“拒絕權利行使請求”表明其拒不履行《個人信息保護法》該規定的義務時(在不考慮理由是否正當的情形下)(拒絕包括明示拒絕與不作為，參見廣東省廣州市中級人民法院(2022)粵01民終3937號民事判決書)，信息主體才能向法院起訴，要求通過司法程序實現其個人信息主體權利。

首先，“個人信息處理者拒絕個人行使權利的請求的”不是個人信息主體權利作為請求權的成立要件。“否定說”雖然沒有明確表明“個人信息處理者拒絕個人行使權利的請求”是個人信息主體權利作為請求權的成立要件，但是其認為，當信息主體沒有向信息處理者行使權利而直接起訴至法院時，法院應當“判決”駁回訴訟請求，說明該觀點支持“個人信息處理者拒絕個人行使權利的請求”系請求權的成立要件。然而，若將其視為請求權的成立要件，那信息主體在初始亦無法向信息處理者行使此項權利，又何來后續之信息處理者的拒絕或信息主體的起訴，存在邏輯障礙。

并且，當信息主體未向信息處理者行使個人信息主體權利而直接向法院起訴時，信息主體此時并不享有程序上的救濟“權利”的正當性。由于個人信息主體權利屬于個人信息權利請求權[15]或者人格權請求權[8]，或又稱為權能[21-23]，而非實體權利本身，不具有獨立性[15]，旨在發揮“積極推動本權實現的作用”，因此當信息主體并無任何權益受侵害且未向信息處理者行使個人信息主體權利而徑直向法院起訴時，此時信息主體并無任何現實權益受侵害，故無法向法院尋求權利上之保護。

此外，從訴訟法的角度而言，由于此時并不存在真實的爭議，故信息主體并不享有訴的利益[24]。實體審理的前提在于雙方當事人對某一問題存在爭議從而固定爭議焦點[25]，而“無爭議便無訴權”[26]，故當信息主體并無任何權益受侵害且未向信息處理者行使個人信息主體權利而徑直向法院起訴時，法院無需進入實體審理程序，應依法裁定不予受理，若已受理，則應裁定駁回起訴。

最后，雖然無論將“個人信息處理者拒絕個人行使權利的請求的”解釋為訴權的前置條件，還是個人信息主體權利的請求權成立要件，最終的法律效果都是，信息主體需向信息處理者行使權利被拒絕后，才能向法院起訴。但是，在個人信息領域，基于《個人信息保護法》之規定，作為請求權的個人信息主體權利在信息處理者開始處理信息主體之個人信息時便已經成立，無需以“個人信息處理者拒絕個人行使權利的請求的”作為其成立要件。但是訴權是私權被侵害后，由實體權利所生的程序性權利，系請求權強制力的表現[27]。在不存在其他信息權益侵害的情形下，“個人信息處理者拒絕個人行使權利的請求的”使得信息主體的人格權益并不處于完滿狀態，故個人信息主體權利享有權利上的可訴性。

2.3 小結

《個人信息保護法》第50條第2款后句是訴權的前置條件，而不是請求權的成立要件。當不存在其他侵害信息權益行為，只有信息處理者以其行為拒絕信息主體的權利行使請求時，信息主體才能因此請求法院救濟。若信息處理者系以正當理由拒絕信息主體的權利行使請求，則屬于抗辯權之行使，例如信息主體所主張的信息屬于商業秘密，或者涉及國家安全等(《信息安全技術規范-個人信息安全規范》GB/T 35273-2020)，但抗辯權是否成立的最終決定權仍歸屬于法院。在杜某案中，法院將訴權的前置條件視為起訴受理條件(杭州互聯網法院(2022)浙0192民初4330號民事判決書)，與《民事訴訟法》第122條規定的原告適格要件、明確的被告、具體的訴訟請求和事實、理由等具有同等地位，故《個人信息保護法》第50條第2款后句是《民事訴訟法》第122條在個人信息領域的特殊補充規定，當信息主體未向信息處理者行使權利而直接向法院起訴，法院可以根據上述二條裁定駁回起訴。

3 個人信息主體權利實現路徑的規范闡釋

在明確了《個人信息保護法》第50條第2款的功能定位以后，即可進一步分析并整合個人信息主體權利實現的規范路徑。在討論《個人信息保護法》第50條第2款的具體適用時，常與《個人信息保護法》第69條以及《民法典》中有關人格權請求權的規范勾連在一起。在杜某案中，法院對個人信息權益受侵害的救濟機制提出二分法，即個人信息處理行為給信息主體造成損害時尋求《個人信息保護法》第69條規定的侵權損害賠償請求權，未造成損害時則依據《個人信息保護法》第50條第2款的訴權與《民法典》第995條的人格權請求權向法院尋求救濟(杭州互聯網法院(2022)浙0192民初4330號民事判決書)。但該判決不僅未探討個人信息主體權利的性質而徑直將《民法典》第995條規定的人格權請求權作為“個人信息權利請求權”的請求權基礎，而且忽略了在不存在權益侵害或者損害，但只有個人信息主體權利的行使請求被拒絕時，信息主體能否以及如何尋求救濟的問題。

對于信息處理行為已經造成損害的情形，通常認為此時需依據《個人信息保護法》第69條的規定，基于過錯推定責任向信息處理者請求損害賠償責任[11-12]，且不存在訴權的前置條件，即信息主體無需向信息處理者請求行使權利就可以基于信息處理行為導致的人身、財產損害結果而向法院起訴。在學理上，關于《個人信息保護法》第69條的分歧主要在于具體的賠償規則[28]，或者認為在個人信息侵權賠償之訴中存在損害賠償困境，從而建議對此進行制度重構，應在個人信息治理的框架內來理解個人信息侵權賠償之訴[3]。但該條的具體適用不是本文重點，故不予贅述。

因此，本部分首先確定在信息處理行為未造成損害時，信息主體的請求權基礎究竟是《民法典》第995條規定的人格權請求權，還是個人在信息處理活動的權利。然后在此基礎上，引入類型化思維，以有無現實侵害行為以及侵害結果，從法規范解釋角度，分別探討個人信息主體權利的實現路徑與權益受損的救濟機制。

3.1 請求權基礎的確定

由于個人信息權益屬于人格權益[29]，其被侵害后，無論行為人是否存在過錯以及是否造成損害，信息主體都可以行使人格權請求權，而究竟是適用《個人信息保護法》第四章還是《民法典》第1 037條規定的個人信息主體權利，亦或是《民法典》第995條規定的人格權請求權仍不明確。

有學者認為，由于《個人信息保護法》相對于《民法典》為特別法之于一般法的關系，在《個人信息保護法》能充分救濟個人信息權妨害之時，《民法典》第995條應處于潛伏狀態[30]。但也有觀點認為由于刪除權為人格權請求權的一種具體形態，故在信息處理行為已經侵害個人信息權益之時，信息主體只能行使刪除權而非停止侵害、排除妨礙以及消除危險等人格權請求權[23]。然而，另一種觀點認為，在此種情形下，信息主體可依照其意志自由選擇個人信息主體權利與《民法典》995條規定的人格權請求權，基于訴訟便利的原則，建議信息主體適用《民法典》第995條，行使停止侵害、排除妨礙、消除危險等人格權請求權，從而略過被個人信息處理者拒絕這一環節[11]。

根據《個人信息保護法》第72條，當信息處理者系因個人或家庭事務而處理個人信息時，《個人信息保護法》規定的個人信息主體權利在此種情形無適用空間，而僅需討論《民法典》第1 037條規定的個人信息主體權利與《民法典》第995條規定的人格權請求權之間的適用關系。從體系上來看，《民法典》第1 037條規定的個人信息主體權利是人格權請求權在個人信息領域的特殊規定，不僅有人格權請求權的消極防御之效力，而且還可以積極保護個人信息的本權權益。于是，在此種情形下，司法機關應當以《民法典》第1 037條規定的個人信息主體權利作為支持原告勝訴或敗訴的請求權基礎[31]。

而在非因個人或家庭事務的信息處理場景下，《個人信息保護法》第四章規定的個人信息主體權利則應優先適用。由于此時的信息處理行為涉及信息利用能力不平等的民事主體之間[32]，《個人信息保護法》規定的個人信息主體權利應當優先于《民法典》第1 037條規定的個人信息主體權利以及《民法典》第995條規定的人格權請求權而得到適用。

綜上，《民法典》第995條在個人信息領域的適用空間較小，在非因個人或家庭事務的信息處理場域，《個人信息保護法》規定的個人信息主體權利具有優先適用效力。若信息處理者是因個人或家庭事務而處理個人信息，那么此時的請求權基礎為《民法典》第1 037條規定的查閱權、復制權、更正權、刪除權等請求權。

3.2 個人信息主體權利實現機制的類型化區分

在已知個人信息權益實現的請求權基礎后，本節進一步分析信息處理行為未造成現實的損害結果時，個人信息主體權利實現的規范路徑。

信息處理行為未造成損害結果，但侵害或妨礙個人信息權益的情形包括兩種：一是個人信息處理者處理個人信息違法違約，正在侵害個人信息權益或者存在侵害之虞(即有侵害行為但無侵害結果)；二是不存在上述侵害或侵害的危險，信息主體向信息處理者行使權利但被拒絕(即無現實侵害行為)。

當信息處理行為未造成現實損害時，有關個人信息主體權利實現的具體路徑存在兩點分歧：一是當信息處理行為侵害了個人信息權益或者存在侵害個人信息權益的風險時，是否還需要以《個人信息保護法》第50條第2款規定的前置條件為起訴的受理條件。二是當不存在上述侵害或侵害之風險，但信息處理者單純拒絕信息主體行使權利之請求時，此時對個人信息權益是否構成侵害，以及信息主體能否基于《個人信息保護法》第55條向法院尋求救濟。本部分主要從這兩點分歧展開，從解釋論的角度，闡釋個人信息主體權利的具體實現路徑。

3.2.1 無現實侵害行為

有觀點認為只有在個人信息上的主體人格權益正在受侵害或有受侵害之虞，信息主體才能依據個人信息主體權利來實現救濟[1]。相反觀點則認為在個人信息處理者未違法處理個人信息，未導致個人信息權受侵害之時，只要個人信息主體權利的行使遭到妨礙，雖然沒有造成像財產權、人格權等絕對權的損害，但是由于此行為導致信息主體之人格權的完滿狀態無法實現，信息主體就可根據《個人信息保護法》第50條與相應的個人信息主體權利(被認定為人格權請求權)尋求司法救濟[33-34]。

筆者傾向于后者，即當不存在任何個人信息權益受侵害或妨害，信息主體向信息處理者行使個人信息主體權利中的一項或幾項權利被拒絕時，信息主體有權基于《個人信息保護法》第50條第2款向法院起訴。

首先，從文義解釋的角度來看，無論是《個人信息保護法》第44條至第49條，還是第50條，均未提及此類請求權的行使要件為“個人信息權益正在受侵害或存在侵害之虞”。并且從法條規定出發，《個人信息保護法》第50條第2款規定了當信息主體行使權利之請求被拒絕時，就可以行使其訴權。

另外，作為請求權的個人信息主體權利與物權請求權不同，后者屬于防御性權利[33]，而從《個人信息保護法》的規定來看，信息主體在個人信息處理中享有的權利具有發揮“積極推動本權實現的作用”，在不存在需要防御的情形，信息主體為了保護其知情權等個人信息本權權益[15]，可以主動行使查閱權、復制權等程序性請求權。

其次，信息處理者對信息主體行使權利請求的單純拒絕，即不支持個體的訪問權、更正權、刪除權等權利請求時，使得信息主體享有訴的利益。當原告的權利或者利益實際上處于危害或不安，若其可以通過訴訟獲得司法判決以維護自己的實體權利時，即具有訴的利益[35]。盡管權利行使請求被拒絕時，人格權益似乎未受到重大侵害[3]，但從事實狀態來看，此時人格權的完滿狀態無法充分實現[36]，通過訴訟獲得支持性判決后，通過信息處理者行為的履行，包括提供信息主體要求的信息(廣東省廣州市中級人民法院(2022)粵01民終3937號民事判決書)或者由信息處理者刪除相關信息(廣東省深圳市中級人民法院(2021)粵03民終9583號民事判決書)，便可以回到其人格權的完滿狀態，故信息主體此時具有訴的利益且所提起之訴屬于給付之訴。

最后，從立法目的而言，若認為個人信息主體權利的行使請求被拒絕后，可以行使《民法典》第995條規定的人格權請求權，則將使《個人信息保護法》第50條第2款的立法目的落空，因為《民法典》第995條規定的人格權請求權行使無需任何前置條件，故無論《個人信息保護法》第50條第2款有無，只要權利行使請求被拒絕，信息主體就可以基于《民法典》第995條而非《個人信息保護法》向法院起訴。

因此，當不存在侵害信息主體權益或者侵害之虞時，在信息主體向信息處理者行使權利但被拒絕后，信息主體可基于《個人信息保護法》第50條第2款以及相應的個人信息主體權利(請求權)向法院起訴。

3.2.2 有侵害行為但無侵害結果

盡管如上分析可知，在非因個人或家庭事務的信息處理場域，《個人信息保護法》規定的個人信息主體權利相較于《民法典》第995條具有優先適用效力，然而無論是適用個人信息主體權利，還是《民法典》第995條規定，法律效果均是信息主體享有人格權請求權，在法律效果上并無二致，似乎不存在競合之問題[36]。

但是有觀點認為，信息主體基于個人信息主體權利尋求司法救濟時，可能需要根據《個人信息保護法》第50條第2款先向信息處理者行使權利，被拒絕后才能向法院起訴，而《民法典》第995條規定的人格權請求權的行使則沒有這種要求。因此，為了避免這一訴權的前置程序，信息主體可以直接基于《民法典》第995條、第1 167條起訴[11]。

然而，該觀點值得商榷。盡管從文義解釋出發，《個人信息保護法》第50條第2款似乎適用于所有個人信息權利實現的場景，但是該這種解決不僅忽略了個人信息主體權利的請求權性質，并且從《個人信息保護法》的立法宗旨以及域外相關立法例的角度來看，將“有侵害行為但無侵害結果”的權利實現方式排除在外更為妥當。

首先，從請求權的性質出發，當信息處理者已經違法、違約處理個人信息而侵害個人信息權益時，作為民事權利的請求權，由于其法律之力正體現權利主體在可以訴請法庭介入并強制實現[37]，因此信息主體當然可以基于個人信息主體權利而向法院尋求救濟，而無需再經過前述所稱的“訴權行使之前置程序”。

并且，《個人信息保護法》通過制度構建來賦予信息主體額外的權利與利益，以加強信息主體在信息能力不平等關系中的話語權[38]。在《個人信息保護法》實施以前，信息權益的侵害行為本就可以通過人格權請求權的行使，無需其他程序上的要件而得到停止。若認為在后《個人信息保護法》時代，訴請法院請求停止信息權益的侵害行為還需要訴權的前置程序，那么，相較于人格權請求權的一般實現路徑，就給信息主體多施加了一層負擔，似乎與《個人信息保護法》的立法宗旨齟齬。

此外，從歐洲《通用數據保護條例》(以下簡稱為“GDPR”)的規定來看，此種解釋亦符合域外通行實踐。根據GDPR第79條，數據主體認為其依據本條例的權利已經被違法的數據處理行為所侵犯(infringed)時，有權尋求司法救濟，該條并未規定訴權的前置條件。并且，域外司法實踐亦要求不得對此項權利的行使要求過于復雜[39]。

因此，在個人信息處理領域，無論是否系因個人或家庭事務而處理個人信息，當信息處理者違法或者違約處理個人信息，侵害信息主體的個人信息權益時，信息主體可以直接向法院起訴，要求信息處理者停止權益侵害行為，而無需經過《個人信息保護法》第50條第2款規定的訴權之前置程序。

3.3 小結

當存在個人信息權益的侵害行為或者侵害之虞，信息主體的請求權基礎可能為個人信息主體權利中的一項或幾項權利，也可能為《個人信息保護法》第69條，具體則依據是否存在損害結果為界。

若存在損害結果，法院應將《個人信息保護法》第69條作為原告的請求權基礎進行審理。若不存在損害結果，此時信息主體的請求權基礎為復制、查閱、刪除等依照具體情形與原告意志主張的個人信息主體權利，并且此時不以“個人信息處理者拒絕個人行使權利的請求的”為訴權行使的前置條件，信息主體可以徑直向法院起訴。此外，由于此時“個人為維護權利的成本支出已經產生，個人可以主張個人信息保護請求權受阻的損害賠償請求權”[15]，但該損害賠償請求權異于《個人信息保護法》第69條規定的“侵權損害賠償請求權”。

而當不存在侵害個人信息權益的行為或者危險時，信息主體可以僅因個人信息處理者拒絕其行使權利的請求而基于《個人信息保護法》第50條第2款向法院提起給付之訴，要求個人信息處理者履行相應的義務。個人主體權利的司法實現路徑如表1所示。

表1 個人信息主體權利的司法實現路徑

4 結論

《個人信息保護法》作為個人信息領域的基本法，明晰其具體適用路徑、解決其與《民法典》協調適用的選擇難題并明確不同請求權基礎適用的司法保護路徑在當下具有重要意義。從上述分析可知，《個人信息保護法》第50條第2款是對信息主體訴權的確認，與《個人信息保護法》第69條存在本質上的適用區別。后者適用于個人信息權益受損，導致實際損害后果的情形，而前者則僅適用于不存在信息權益受侵害或侵害之虞，信息處理者單純拒絕信息主體的權利行使請求權的情形。在此情形下，信息主體的請求權基礎為個人信息主體權利而非《民法典》第995條規定的人格權請求權。而當信息權益正在遭受侵害或侵害之虞時，信息主體亦可基于個人信息主體權利直接向法院尋求司法救濟，而無需經過《個人信息保護法》第50條第2款規定的訴權的前置條件。

針對杜某案，由于本案屬于不存在侵害或妨礙個人信息權益的情形，故杜某向法院尋求救濟前，只能在向涉案網絡公司基于《個人信息保護法》第45條行使查閱、復制權但被拒絕，經過訴權的前置條件后，才能向法院起訴。并且此時，原告的請求權基礎并非如法院所言的《民法典》第995條，而是《個人信息保護法》第45條規定的查閱權、復制權。