文 | 黄熊律师

自然人的“个人信息”，需要进行法律保护，此点各界看法从来一致，《民法典》第111条、第1034条中也已有明定。但是，到底应当以“权利”的方式，还是“法益”的方式来保护，到底是制定单行法保护，还是在《民法典》中规定足矣，却有不同识见。随着《个人信息保护法》的公布实施，上述问题的答案似已明确，争议将逐渐消除。本文就个人信息主体的权利内容和受到侵害时如何救济，进行简要探讨。

一、个人信息主体的

“十项”基本权利内容

个人信息主体对与自身相关的个人信息，享有支配并排除他人侵害的权利，该权利属于具体人格权的一种。在各种具体应用场景中，包含至少如下10项具体内容：

1、知情权。《民法典》并未规定这些权利，而是《个人信息保护法》第45条进行了规定：个人对其个人信息的处理享有知情权、决定权，有权限制或者拒绝他人对其个人信息进行处理。在个人信息处理中，同意规则是“帝王规则”，而“同意”的前提是“知情”。由此，知情权是最为基本的内容。

根据《个人信息保护法》第17条规定，个人信息处理者在处理个人信息之前，应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知个人信息相关事项，包括：

（一）个人信息处理者的名称或者姓名和联系方式；

（二）个人信息的处理目的、处理方式，处理的个人信息种类、保存期限；

（三）个人行使权利的方式和程序；

（四）法律、行政法规规定应当告知的其他事项。除普通的个人信息处理者要履行告知义务，使得个人信息主体得以享有知情权外，即便国家机关为履行法定职责处理个人信息，根据《个人信息保护法》第35条规定，也应当履行告知义务，除非属于保密、不需要告知或者告知将妨碍国家机关履行法定职责三个例外。

2、决定权、限制权以及拒绝权。与知情权类似，《民法典》也未规定这些权利。个人信息主体对自己的个人信息享有权利，最根本的内容是决定权。个人享有对自己的个人信息是否利用、以何种方式利用、利用深度和范围等事项的决定自由。“决定”更多在己，“限制”和“拒绝”则更具有权利保护作为性质。个人信息主体对他人进行个人信息处理，享有限制目的、方式、范围等权利，甚至在必要时，直接拒绝的权利。

3、查阅权。不仅《民法典》（第1037条），而且《个人信息保护法》（第45条），都规定了该项权，即“个人有权向个人信息处理者查阅、复制其个人信息”、“个人请求查阅、复制其个人信息的，个人信息处理者应当及时提供”，也就是说，该项权利的权利主体是“个人信息”中的“个人”，义务主体是个人信息处理者，包括对个人信息进行收集、存储、使用、加工、传输、提供、公开等操作中的一个主体或多个主体。

查阅权的行使，不仅保证个人信息处理的基本原则即“公开透明原则”的落地，更是行使其他辅助性权利的前提，比如知情权、更正补充权、删除权等。因此，查阅个人信息的权利，在整个个人信息保护权利体系中具有重要地位。根据《信息技术安全 个人信息安全规范》（GB/T 35273-2020）的规定，个人信息控制者应向个人信息主体提供查询下列信息的方法：

a)其所持有的关于该主体的个人信息或者个人信息的类型；

b)上述个人信息的来源、所用于的目的；

c)已经获得上述个人信息的第三方身份或类型。

4、复制权。《民法典》（第1037条）和《个人信息保护法》（第45条），均规定了复制权。由于个人信息保护的关键在于个人对自己相关信息的控制与利用，因此，个人信息主体享有复制权，可以使个人有可能获取和移植自身数据，从而对实现个人信息自决权益具有决定意义。

按照《信息技术安全 个人信息安全规范》（GB/T 35273-2020）的规定，应个人信息主体的请求，个人信息控制者宜为个人信息主体提供获取以下类型个人信息副本的方法，或者在技术可行的前提下直接将以下类型个人信息的副本传输给个人信息主体指定的第三方：

a）本人的基本资料、身份信息；

b）本人的健康生理信息、教育工作信息。

在行使复制权过程中，要注意复制权的相对性。根据《个人信息保护法》规定，如果个人信息处理者没有告知义务，则无接受复制、查询请求的义务。在依据法律、行政法规规定应当保密或者不需要告知的情形，或者告知个人信息将妨碍国家机关履行法定职责三种情形下，则个人信息处理者不承担复制、查询义务，即个人此情形下将不再享有复制、查询权。

5、可携带权。《民法典》及其之前的法律法规，未明确记载此项权利，《个人信息保护法》首次予以规定，即个人可以请求将自己的个人信息转移到指定的个人信息处理者中。该项权利实现了“数据跟我走”的自由流动目的。传统做法中，要将个人信息由一个主体流转到另一个主体，需要个人信息主体分别对数据托管方企业、数据应用方企业进行授权，且通常要求两个企业（平台）之间签署个人信息处置的相关协议，这种“三角授权”模式，给数据流动增加了障碍。可携带权的规定，冲破了这种旧模式，使数据价值得以充分释放。

6、更正补充请求权。保护个人信息的相关规定位于《民法典》人格权编，关涉人格尊严，任何个人信息的不实、错误或者对其内容的扭曲都会或多或少影响个人社会形象的塑造，让个人在社会中的发展，偏离自己的预期。根据《民法典》第1037条规定：“发现信息有错误的，有权提出异议并请求及时采取更正等必要措施”，以及《个人信息保护法》第46条规定：“不准确或者不完整的，有权请求个人信息处理者更正、补充”，可知，在个人信息记载错误、不准确两种情形下，个人信息主体有权请求更正，在个人信息记载不完整的情形下，有权请求补充。

7、删除请求权。《民法典》第1037条规定了删除请求权，个人信息主体有权请求信息处理者及时删除的条件，是“发现信息处理者违反法律、行政法规的规定或者双方的约定处理个人信息”。《个人信息保护法》在此基础上，进一步扩展了适用的条件，其47条规定：“（一）处理目的已实现、无法实现或者为实现处理目的不再必要；（二）个人信息处理者停止提供产品或者服务，或者保存期限已届满；（三）个人撤回同意；（四）个人信息处理者违反法律、行政法规或者违反约定处理个人信息；（五）法律、行政法规规定的其他情形”也属于个人可以请求删除的情形。当然，在上述情形下，个人信息处理者应当主动删除，确保个人信息主体的删除请求权实现。需要注意的是，如前所述，删除请求权的行使是有条件的，不同于遗忘权，且删除请求权性质是一项请求权，而不是绝对性质的权利。

8、解释说明请求权。《民法典》第1035条中规定，处理个人信息要公开处理信息的规则，明示处理信息的目的、方式和范围。《个人信息保护法》在此基础上更进一步，不仅规定信息处理者具有公示规则的义务，而且要求在个人对个人信息处理者提出要求时，予以解释说明的义务。

二、个人信息侵权的构成要件

个人信息主体享有的个人信息权益（包括但不限于上述内容），如果遭遇侵害，当有法律救济途径。法谚有云：“无救济，则无权利”。对权利最重要的救济方式，就是要求破坏权利者承担侵权责任。

《民法典》作为实体法，未规定实现权利内容的程序，而《个人信息保护法》则是实体权利与程序规范的合一，为权利的救济提供的请求权基础。根据《个人信息保护法》第50条规定：“个人信息处理者拒绝个人行使权利的请求的，个人可以依法向人民法院提起诉讼”，以及第69条规定：“处理个人信息侵害个人信息权益造成损害，个人信息处理者不能证明自己没有过错的，应当承担损害赔偿等侵权责任。”可知，无论是前述提到的10项权利遭遇行使障碍，还是个人权益遭受损害，均具有可诉性。但是，从上述两个条文来看，其反映的请求权性质不同：前者应归于人格权请求权，后者应归于损害赔偿请求权，两者的侵权构成要件不同。

“人格权请求权”规定于《民法典》人格权编第995条。该条规定：“人格权受到侵害的，受害人有权依照本法和其他法律的规定请求行为人承担民事责任。受害人的停止侵害、排除妨碍、消除危险、消除影响、恢复名誉、赔礼道歉请求权，不适用诉讼时效的规定。”个人信息权益作为具体人格权的一种，当遭受侵害时，当然可以依赖于人格权请求权进行救济。个人信息处理者如果拒绝个人行使复制权、查询权、更正补充权、删除请求权等，则构成侵权，即依据《个人信息保护法》第50条以及《民法典》第995条规定，行使人格权请求权，要求个人信息处理者承担停止侵害、排除妨碍、消除影响等民事责任。需要注意的是，这里并未考察个人信息处理者是否存在过错、个人信息主体是否遭受到损害后果以及个人信息处理者行为与后果之间是否存在因果关系，这正是人格权侵权和损害赔偿请求权的重要区别。由此，基于人格请求权维护个人信息权利的构成要件，通常只有一个，即个人信息处理者“拒绝”个人行使权利。在诉讼中，保有被拒绝的证据，已为具足。

“损害赔偿侵权请求权”规定于《民法典》侵权责任编第1165条。该条规定：“行为人因过错侵害他人民事权益造成损害的，应当承担侵权责任。”根据前述《个人信息保护法》第69条和《民法典》的上述规定，个人信息侵权行为的构成要件包括：违法行为、损害后果、因果关系和主观过错。

侵权行为的非法性，是受到法律责难的基础。侵害个人信息的行为的违法性体现在违反法律、行政法规、部门规章等的规定，并不局限于《民法典》人格权编、《个人信息保护法》的规定。这些违法行为包括非法获取、非法出售、非法向他人提供、非法泄露、非法篡改、非法毁损等。

侵权责任的损害后果，是损害赔偿请求权的重要因素。损害后果表现在两个方面：财产损害和精神损害。对于敏感信息，泄露后可能给当事人带来较大的物质损害，也可能带来精神损害。财产损失包括被侵权人为制止侵权行为所支付的合理开支，被侵权人或者委托代理人对侵权进行调查取证的合理费用，诸如律师费等均在赔偿范围之内。但是无所质疑的是，在个人信息侵权案件中，个人信息主体无论要证明财产损害，还是证明精神损害，都具有相当难度。根据《个人信息保护法》第69条第2款的规定，损害赔偿的数额分两层次考虑：一是考虑个人因此受到的损失或者个人信息处理者因此获得的利益；二是考虑实际情况来确定赔偿数额。第一层次优先，第二层次保底。根据《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》，人民法院可以根据具体案情在50万元以下的范围内确定赔偿数额。

侵权责任的因果关系，是连接“违法行为”和“损害后果”的纽带。损害后果的确定具有较高难度，因果关系的确定难度亦然较大，主要表现在：第一，个人信息处理包括收集、存储、使用、加工、传输、提供、公开等多个环节、多个主体，每个环节都可能发生侵权行为，受害者很难准确获知谁是真正的直接侵权人，侵权行为真正发生在哪个环节，继而无法确定谁的行为与损害后果有因果关系。第二，个人信息侵权可能存在诸如泄露个人信息的直接侵权者，也可能存在为泄露者创造条件的间接侵权者，如何确定直接侵权和间接侵权与损害后果的原因力大小，继而确定因果关系的成立与否，亦有难度。

尽管基于个人信息损害赔偿请求权主张权利有难度，但在具体认定侵权行为时，仍然应当全面考察包括过错在内的上述四个要件。对于证明责任的分配，可以充分利用个人信息侵权的特殊举证规则，即后续将叙述的过错推定原则。

三、个人信息侵权的免责事由

侵权行为成立与否、侵权责任是否最终需要承担，除了考察其依据不同的请求权基础而形成的各自构成要件是否得到满足外，还需要分析是否存在免责事由。对于免责事由，除《民法典》总则编“民事责任”一章以及侵权责任编“一般规定”一章的常规免责事由外，更重要的是关注《民法典》中针对个人信息保护规定的专门免责事由。即《民法典》第1036条规定了三种法定免责事由：一是知情同意后合理实施免责；二是合理处理已合法公开信息免责；三是基于公共利益或维护自然人合法权益合理实施免责。

对于第一个免责事由：知情同意。对他人个人信息进行利用，最广泛、最基本的合法依据是知情同意。个人信息处理者在权利人授权同意的范围内使用个人信息，则不承担侵权责任。但是，对于该免责事由，要注意法律规定的限制性条件，即即便已知情同意，但仍有实施“范围”之大小的限定和“合理”之程度限制，只有三个条件同时满足，才能排除侵权而归于无责。此外，如果个人信息权利主体是无民事行为能力或限制无民事行为能力，“知情同意者”并非个人信息主体本人，而是取得其监护人的同意。

对于第二个免责事由：合法公开合理处理。自然人自行公开或者经合法程序公开个人信息，表明个人信息主体已经对个人信息可能遭遇的利用产生的利益得失进行过权衡，在合法公开后，被第二次合理利用，通常情况则不能再行要求“知情同意”。只要进行个人信息处理者是合理处理，当构成免责。当然，如果自然人明确拒绝或者处理该信息侵害其重大利益，则表明个人信息权利主体已对前次的同意予以否决，重新表达了新的意见，应当尊重该新意见，在此情形下，如果再擅自处理个人信息，应当属于侵权，不在免责范围内。

对于第三个免责事由：维护公共利益或自然人利益。公共利益涉及更广泛人员，在中国传统观念之下，应当充分考虑公共利益与个人利益之间的平衡。此处的公共利益，包括国家公权力机关为了制定国家经济、社会政策的需要而处理有关公民的个人信息，或是为了国家安全、公共安全、公共卫生等处理相关个人信息，以及与刑事侦查、起诉、审判和判决执行相关等事务而需要处理的个人信息。在司法实务中，需要注意要避免以公共利益为名滥用该免责事由，以及具体运用时超出“合理”范畴。

四、个人信息侵权的举证责任

《民法典》对个人信息侵权中举证责任的承担，未进行规定，而是规定于《个人信息保护法》。该法第69条规定：“处理个人信息侵害个人信息权益造成损害，个人信息处理者不能证明没有过错的，应当承担损害赔偿等侵权责任”。

根据《民法典》第1165条规定：“行为人因过错侵害他人民事权益造成损害的，应当承担侵权责任；依照法律规定推定行为人有过错，其不能证明自己没有过错的，应当承担侵权责任”。由此，过错原则是基本的侵权归责原则，在法律未有特别规定的情况下，举证责任分配应当贯彻“谁主张、谁举证”的规则。要适用过错推定原则，必须有法律的明确规定。个人信息侵权适用过错推定原则，《个人信息保护法》则提供了明确的法律依据。个人信息侵权适用过错推定原则，要求在举证责任承担上，个人信息处理者应当主动证明自身没有过错，如果能够证明自身没有过错，则不承担侵权责任，否则，应当承担侵权责任。这种侵权责任的分配原则，是充分考虑个人信息侵权的实际情况，权利主体与信息处理者在经济实力、举证能力、信息对称程度等方面的差异，而规定的符合实际的规则。

尽管在个人信息侵权上适用过错推定原则，但并非否定个人信息主体在维权中的“零”举证。通常，个人信息主体仍要提供证据证明如下事项：（1）个人信息权利主体的身份情况；（2）个人信息受到侵害的起因、经过等事实内容；（3）个人信息权益受到侵害造成的损害情况；（4）信息收集者、持有者违反法律、法规收集、使用信息的其他情形。同样地，个人信息收集者主张自己无过错不构成侵权，或者具有免责事由不承担责任，也应当举证证明：（1）收集使用自然人个人信息遵循了合法、正当、必要的原则；（2）明示了收集、使用信息的目的、方式和范围；（3）征得该自然人或者其监护人同意，法律、行政法规规定无须征得自然人或者其监护人同意的除外；（4）采用了确保个人信息安全的严格技术措施和其他必要措施；（5）其他已经履行法律、行政法规或者双方约定规定的合法收集、使用个人信息义务的情形。

总之，举证责任的分配，关乎当事人维权胜败，应当结合个人信息侵权案件的特点、双方举证能力强弱、举证成本大小等多种因素，依据《民法典》《个人信息保护法》的规定，审慎分配举证责任。

律师简介

黄熊律师

京师律所IP诉讼法律事务部主任

黄熊律师，京师律所合伙人律师、京师律所新联会常务副会长，北京互联网法院、广州互联网法院特邀调解员、中国中小企业协会调解中心调解律师、法治网优秀合作律师、北京市律师协会第十一届专利法律委员会委员、北京市朝阳区律师协会知识产权委员会委员、中央电视台CCTV公益律师、CCTV“十大人气律师”；为阿里巴巴、华为、360、腾讯、网易、搜狗、锤子科技、国家电网系统、国电能源研究院等一大批知名公司提供全项或知识产权专项法律服务；撰写理论或实务探讨文章数十篇，被国家知识产权局、专利复审委网站、各大法律公众号以及各类专业期刊、报纸持续登载，广受好评。

核心业务领域：知识产权、合同、侵权、劳动以及婚姻家事等民商事领域，集团诉讼、行政诉讼以及重点刑事案件。