大数据时代个人信息查阅复制权完善探讨
湖北元初律师事务所 杜若
执业证号:14202201910078786 手机号:13597682128
内容摘要:
《个人信息保护法》第45条第1款规定了个人享有查阅、复制其个人信息的权利,既是保障《民法典》第1037条第1款“个人信息处理知情权”的体现,也是对个人信息处理者公开透明、目的限制等方式处理个人信息数据的有效监督,但是目前我国法律法规并未具体规定个人信息查阅复制权相关操作。在大数据时代,如何完善个人信息查阅复制权实践操作,让个人更好行使权利,是本文探讨核心。
关键词:《个人信息保护法》 个人信息查阅复制权
一、个人信息查阅复制权相关概念
从《个人信息保护法》的立法目的来看,首先是立法保护个人信息权益,其次是规范个人信息处理活动,最后是促进个人信息合理利用。查阅复制权是个人信息权益中非常重要的权利之一,这项权利不仅是对个人在个人信息处理活动中享有知情权的体现,要求个人信息处理者在信息处理时必须公开透明,也对个人信息处理享有决定权给予前提保证,只有个人在个人信息处理活动中了解是何人处理,为什么目的处理,处理哪些等具体情况,才能有效行使法律赋予其的决定权,如更正补充权、删除权等。
(一)查阅复制权的主体
《个人信息保护法》第45条规定的查阅复制权的权利主体是个人,即其个人信息被处理的自然人。查阅复制权不是专属性人身权利,个人有权自己行使查复制权,也可以委托他人代为行使该权利。同时,根据《个人信息保护法》第49条,如果自然人已经死亡,其近亲属为了自身相关权益,也可以对死者的个人信息查阅复制。
值得一提的是,《民法典》第1029条第1句规定“民事主体可以依法查询自己的信用评价”,根据《征信业务管理办法》相关规定,企业和个人的信用状况属于信用信息,属于个人信息的一种。但由于《民法典》将信用评价纳入名誉范畴,《民法典》的1029条第1句中的查询权是基于名誉权产生,这里的查询主体包括自然人,也包括法人和非法人组织,这与《个人信息保护法》查阅复制权主体规定不同。
(二)查阅复制权的客体
查阅复制权的客体,是指个人行使权利的内容,指向事项的范围。查阅复制权的客体不单单指的是个人信息的内容,还应当包含个人信息处理者处理的手段、目的等关联,应当具备以下内容:个人信息是否处理,个人信息处理者的身份情况,处理的目的、方式、种类,个人信息保存期限,是否来源自其他个人信息处理者等。
(三)查阅复制权的行使
《个人信息保护法》并没有明确规定该权利如何行使,根据民事活动“意思自治”原则,个人信息处理者可以就个人行使查阅复制权进行约定,但是必须符合《民法典》第143条等规定的“民事法律行为有效”情形,特别注意的是,相关法律法规、司法解释等对个人信息处理的特别规定,如《个人信息保护法》“单独同意”制度(处理敏感个人信息等),再如《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》第十一条“信息处理者采用格式条款与自然人订立合同,要求自然人授予其无期限限制、不可撤销、可任意转授权等处理人脸信息的权利,该自然人依据民法典第四百九十七条请求确认格式条款无效的,人民法院依法予以支持”等规定,如果个人信息处理者没有依据相关法律法规进行约定查阅复制权的行使方式,甚至存在要求个人放弃查阅复制权利这些已被《民法典》第497条“排除对方主要权利属于无效格式条款”所规制的情形,都是无效的。
二、行使个人信息查阅权目前面临的问题
(一)个人要求查询复制其个人信息是是否需要支付费用?
“查阅复制权”不仅仅存在于《个人信息保护法》,也广泛存在于我国其他法律法规中,就个人申请查阅复制的权利而言,比如《刑事诉讼法》第40条“律师查阅、摘抄、复制案卷相关材料”,《政府信息公开条例》、《企业登记档案资料查询办法》、《不动产登记资料查询暂行办法》等。其他法律法规关于“查询复制”相关权利是否支付费用的规定,有《政府信息公开条例》第四十二条“原则免费,例外付费”,《最高人民法院关于适用<中华人民共和国刑事诉讼法>的解释》第53条“人民法院为辩护人查阅、摘抄、复制案卷提供便利”等,但是向行政机关、司法机关查询信息,相关规定体现了“行政便民”、“司法为民”这些精神,往往都是免费或支付少量费用。在个人向非行政机关申请查询复制信息中,以《公司法》第三十三条“股东知情权”为典型,但股东要求公司提供信息花费的查询费用一般而言是必要费用,如出现股东知情权诉讼,审判实践中也不会支持公司支付股东委托会计师、律师等查询辅助人员费用。总体比较来看,个人查阅复制个人信息似乎不需要支付相关费用。
但是个人信息的存储和取出并非像上述法律法规规定类似纸质载体的存储和取出,特别是大数据时代,基于大数据“4V特征”:体量大(volume)、类型多(variety)、增长快或速度快(velocity)和价值大(value)的特征,个人信息数据存储在公司不同服务器中,甚至不同公司的不同服务器中,收集和提取并非易事。“考虑到如今计算机网络的分布性特征,个人数据有可能被存储在不同地方的各种数据库中,因此,很难找出满足数据主体要求所需的全部数据。甚至,为了使特定主体知道与其有关的哪些数据已被保存,或者使他能够行使删除、封锁等权利,就需要我出所有与其相关的数据,为此数据控制者可能要对各种数据库中的大量数据进行搜索”,提取企业花大量的成本和时间组建的数据,基于合理补偿原则,要求个人支付一定的费用符合清理。同时设置一定的门槛为了避免恶意的查阅复制申请而给企业造成不合理的负担,也需要设置相关费用。
从比较法上来看,一些国家或地区的立法也有规定。例如,日本《个人信息保护法》第33条规定符合一定的条件,个人信息处理业者可以就相关措施的实施而收取手续费。个人信息处理业者若依照规定收取手续费的,则应当在考虑实际费用并被认为是合理的范围内,确定该手续费的金额。”再如,我国台湾地区“个人资料保护法”第14条规定作为个人信息处理者的公务机关或非公务机关得酌收必要成本费用。我国澳门特别行政区《个人资料保护法》第11条第1款规定,在不得拖延的合理期限内及无须支付过高费用的情况下,数据当事人享有自由地、不受限制地从负责处理个人资料的实体获知相应事项的权利。
如何衡平“个人信息查询复制者近乎于零的查询成本”和“作为个人信息处理者的企业付出收集储存、个人信息数据的成本”,进一步规制对于不符合条件或者多次甚至是恶意行使查阅复制权的个人信息查询复制者,法律目前没有规定,也是需要通过实践来解决的其中的一个问题。
(二)个人信息处理者如何确定“及时提供”的时间?
《个人信息保护法》第45条第2款规定,个人请求查阅、复制其个人信息的,个人信息处理者应当及时提供。“及时提供”究竟是多长时间内提供?提供时间过短,个人信息处理者在纷繁庞杂的数据中赶进度查询提取(特别是用户行为历史记录),制作可复制载体无疑需要花费更多人力物力;提供时间过长,又不能起到规制个人信息处理者依法依规及时有效处理个人信息,在目前的《个人信息保护法》没有相关规定。
(三)查阅复制权被侵害如何诉讼救济?是否需要诉讼前置条件?
如果在个人向个人信息处理者请求查阅复制其个人信息时,个人信息处理者无正当理由拒绝该请求,那么个人能否向法院提起诉讼,获得司法救济?理论上有不同的看法,一些学者和实务界人士认为,如果仅就为了查询复制个人信息而被个人信息处理者所拒绝,个人就可以到法院起诉,那么极有可能造成滥诉,给法院无端增加很多工作量。即便可以因此向法院起诉,也有必要对查阅复制权的司法救济设立前置程序,虽然《个人信息保护法》第50条第2款明文规定,个人信息处理者拒绝个人行使权利的请求的,个人可以依法向人民法院提起诉讼,但有必要在其他途径均无法救济时,再来考虑司法救济,“诉讼应是最后一道防线”。例如,个人可以先向履行个人信息保护职责的部门进行投诉,只有在投诉无果的情况下,才能向法院起诉。
另一部分学者认为, “没有救济就没有权利”,既然《个人信息保护法》《民法典》已经明确赋予了个人查阅复制其个人信息的权利,那么当该权利受到侵害时,权利人当然可以获得司法救济,请求法院保护权利。所谓诉讼爆炸等并无实证证据加以支持,况且即便偶尔出现,也可以依据禁止权利滥用的原则加以防止、不能据此就否定查阅复制权的可诉性。故此,个人的查阅复制权被个人信息处理者无理拒绝后,个人既有权向履行个人信息保护职责的部门进行投诉、举报,也有权寻求司法救济,通过向法院提起诉讼而请求排除妨碍,顺利实现权利。
《个人信息保护法》并没有规定如何具体提起诉讼进行救济,目前也没有相关法律、行政法规来指引如何起诉,目前查阅复制权被侵害通过诉讼救济存在空白。
三、解决的方式
(一)参考我国关于“股东知情权”相关法律法规、司法解释的设定
针对上文提到的问题,特别是个人向非行政机关要求查询复制相关信息操作流程,《最高人民法院关于适用《中华人民共和国公司法》若干问题的规定(四)》(下称:公司法解释四)关于“股东知情权”的诉讼指引可以作为很好的参考。其中第十条“人民法院审理股东请求查阅或者复制公司特定文件材料的案件,对原告诉讼请求予以支持的,应当在判决中明确查阅或者复制公司特定文件材料的时间、地点和特定文件材料的名录。股东依据人民法院生效判决查阅公司文件材料的,在该股东在场的情况下,可以由会计师、律师等依法或者依据执业行为规范负有保密义务的中介机构执业人员辅助进行。”这一规定,可以参照指引个人起诉要求个人信息处理者提供信息的具体操作。
关于个人信息查阅复制权侵权诉讼是否需要前置条件问题,公司法解释四规定了“股东行使知情权应当具备正当目的”的反向“不正当目的”具体内涵,当然个人信息查询复制者没有“必须具备正当目的才能查阅复制一说”,但是笔者认为关于对“个人信息查阅复制权”进行恰当合理的诉讼前置条件很有必要。需要立法机关考量“诉讼是最后的救济”和“一上来就去法院打官司”的司法成本。
值得注意的是,关于个人信息查阅复制权已有相关案例,在广东省广州市中级人民法院审理的(2022)粤01民终3937号,广州唯品会电子商务有限公司、周彦聪个人信息保护纠纷民事二审民事判决中,广州中院在判决第二项载明“广州唯品会电子商务有限公司于本判决发生法律效力之日起三十日内提供自周彦聪注册唯品会APP之日起至本判决发生法律效力之日止的已收集到的相关个人信息以及个人信息处理的相关情况供周彦聪查阅、复制(具体内容见附表3)”,提供的附表含账户信息、购物习惯、与第三方(包括第三方支付机构)共享的个人信息等,这可以对立法机关立法解决“查询复制者”如何提起诉讼提供参考。
(二)吸收域外立法的相关经验
对与本文提出的一些暂没有我国法律法规相关参考的问题,笔者建议可以吸收一些域外立法相关经验,比如“及时提供”问题,欧盟《一般数据保护条例》第12条第3款规定有相关规定,控制者应当自收到请求起不得超过一个月内提供根据本条例第15条至第22条采取行动的信息。特殊情况可再延长两个月。
域外法综合多方面利益考量,体现及时并不等于立刻,但也不能拖延,具体判断应当考虑查阅复制的申请的提出时间、需要查阅或复制的个人信息的数量、个人信息处理者完成该请求的难易程度等因素综合判断。
李国杰·大数据研究的科学价值[J].中国计算机学会通讯,2012,8(9):8-15
[德] Christopher Kuner:《欧洲数据保护法:公司遵守与管制(第二版)》,旷野等译,法律出版社2008年版,第67-68页
参考文献
程啸 《个人信息保护法理解与适用》 中国法治出版社 2021年9月第一版