论个人信息权益的行使与救济机制

程啸

引言

我国法律中，《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）首次提出了“个人信息权益”的概念，并将“保护个人信息权益”作为主要立法目的之一（第1 条）。该法第2 条明确规定：“自然人的个人信息受法律保护，任何组织、个人不得侵害自然人的个人信息权益。”然而，《个人信息保护法》并未界定何为个人信息权益，该法第四章详细规定了“个人在个人信息处理活动中的权利”，包括个人对其个人信息处理的知情权、决定权（第44 条）；查阅权、复制权与个人信息可携带权（第45 条）；更正权、补充权（第46 条）；删除权（第47 条）；解释说明权（第48 条）。〔1〕在《个人信息保护法》颁布之前，法律上已经对个人在个人信息处理活动中的一些权利作出了明确规定。例如，《中华人民共和国网络安全法》（以下简称《网络安全法》）第43 条规定的删除权与更正权；《中华人民共和国民法典》（以下简称《民法典》）第1037 条规定的查阅权、复制权、异议权、更正权以及删除权。有些学者将上述个人在个人信息处理活动中的权利称为“个人信息权利束”〔2〕王锡锌：《国家保护视野中的个人信息权利束》，载《中国社会科学》2021 年第11 期。或“个人信息保护请求权”。〔3〕张新宝：《论个人信息权益的构造》，载《中外法学》2021 年第5 期。笔者认为，虽然《个人信息保护法》第四章使用了“个人在个人信息处理活动中的权利”这一称谓，但是这个所谓的“权利”不是独立存在的“主观权利”（Subjektive Rechte），而是“权能”（Befugnisse）。权能不同于权利，权能是权利的非独立的组成部分，是权利所赋予权利人的意思决定的空间。原则上权能是权利的不可分离的组成部分，权能不能被单独转让。〔4〕Larenz/Wolf,Allgemeiner Teil des Buergerlichen Rechts,9 Aufl.Beck,2004,§13,Rn.24-25.个人在个人信息处理活动中的权利并非一堆毫无关联的权利的集合体或堆叠物，而是属于个人信息权益内容的有机组成部分即权能。其中，知情权与决定权属于核心性权能，而查阅权、复制权、可携带权、补充权、更正权、删除权、解释说明权等是为了实现知情权与决定权而配置的，属于工具性权能。

《个人信息保护法》颁布后，理论界对于个人信息权益的性质、权能构造、保护的利益范围、个人信息权益的行使与救济机制等许多问题都进行了研究，由此也引发了很大的争议。〔5〕王利明：《论个人信息权的法律保护——以个人信息权与隐私权的界分为中心》，载《现代法学》2013 年第4 期；叶名怡：《个人信息权的基本范畴》，载《清华法学》2018 年第5 期；周汉华：《个人信息保护的法律定位》，载《法商研究》2020 年第3 期；程啸：《论我国民法典中个人信息权益的性质》，载《政治与法律》2020 年第8 期；前引〔3〕，张新宝文；王锡锌：《个人信息权益的三层构造及保护机制》，载《现代法学》2021 年第5 期；前引〔2〕，王锡锌文；王锡锌：《重思个人信息权利束的保障机制：行政监管还是民事诉讼》，载《法学研究》2022 年第5 期；丁晓东：《个人信息权利的反思与重塑：论个人信息保护的适用前提与法益基础》，载《中外法学》2020 年第2 期；姚佳：《个人信息主体的权利体系——基于数字时代个体权利的多维观察》，载《华东政法大学学报》2022 年第2 期；王苑：《私法视域下的个人信息权益论》，载《法治研究》2022 年第5 期。限于篇幅，本文主要就个人信息权益的行使与救济机制等问题进行研究，主要包括：首先，作为个人信息权益权能的个人在个人信息处理活动中的权利的行使程序是什么？如何理解申请受理和处理机制？其次，个人向法院提起诉讼是否以被个人信息处理者拒绝个人行使权利甚至是有关行政监管机关的查处为前提？最后，个人信息权益的权能与侵害个人信息权益的人格权请求权的关系如何？

一、个人信息权益行使的程序

（一）知情权与决定权的实现

《个人信息保护法》第44 条规定的个人对其个人信息处理的知情权与决定权，不仅在整个第四章所规定的“个人在个人信息处理活动中的权利”中处于核心地位，也在整个个人信息保护法律体系中占据基础性地位。如前所述，这两项权利属于个人信息权益的核心内容，是基础性权能。知情权与决定权不需要个人具体行使，而是通过个人信息处理规则、个人信息处理者的义务以及其他个人在个人信息处理活动中的权利保障得以实现的，具体体现在以下几点：（1）告知同意规则属于个人信息处理活动的合法性基础。《个人信息保护法》第13 条第1 款第一项以及第2 款规定，只有取得个人同意后，个人信息处理者方可处理个人信息，除非法律、行政法规规定不需要取得个人同意。（2）个人的同意必须是真实的、自愿的。《个人信息保护法》对于个人信息处理者必须履行告知义务作出了详细的规定（第17 条、第18 条），明确禁止任何人通过误导、欺诈、胁迫等方式处理个人信息（第5 条）。除非处理个人信息属于提供产品或者服务所必需的，否则，个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由而拒绝提供产品或者服务（第16 条）。（3）针对不同的个人信息处理活动，《个人信息保护法》规定了不同的告知事项以及对个人的同意有不同的要求，如就敏感个人信息的处理，除了一般的告知事项外，还要求向个人告知处理敏感个人信息的必要性以及对个人权益的影响，并取得个人的单独同意。（4）个人可以随时撤回同意。也就是说，在基于个人同意处理个人信息的情形中，个人有权随时、无需任何理由而撤回其同意，个人信息处理者应当提供便捷的撤回同意的方式。同时，在个人撤回同意后，个人信息处理者应当停止处理个人信息并主动删除个人信息，否则个人有权行使删除权。（5）个人有权向个人信息处理者查阅、复制其个人信息，即个人行使查阅权与复制权的（第45 条第1 款、第2 款），个人信息处理者应当及时提供。（6）个人也有权在符合相应规定的情形下行使个人信息可携带权，请求将个人信息转移至其指定的个人信息处理者，个人信息处理者应当提供转移的途径（第45 条第3 款）。（7）发现个人信息不准确、不完整时，有权请求个人信息处理者及时进行更正或补充（第46 条）。（8）在符合规定的条件时，可以行使个人信息删除权（第47 条）。（9）个人信息处理者应当公开其制定的个人信息处理规则，该规则应当便于查阅和保存（第17 条），个人有权请求个人信息处理者对其制定的个人信息处理规则予以解释说明（第48 条）。

（二）个人信息处理者建立相应的申请受理和处理机制

除了知情权与决定权，其他的个人信息在个人信息处理活动中的权利，即查阅权、复制权、可携带权、更正权、补充权、删除权以及解释说明权，需要由个人通过针对个人信息处理者提出请求的方式来行使（实现）。如果没有个人信息处理者的配合即履行相应的义务，那么这些个人在个人信息处理活动中的权利是无法实现的。由于现代社会中的个人信息处理活动无时不在、无处不在，而所处理的个人信息也涉及数量极为众多的个人，故此，必须建立一套科学有效的机制来保障个人在个人信息处理活动中的权利得到实现。这对于个人和个人信息处理者都是非常有必要的，因为它既能确保个人信息权益的实现，也能使得个人信息处理者在履行相应义务时的成本被降低，从而提高效率。例如，欧盟《通用数据保护条例（GDPR）》第12 条专门就确保数据主体行使权利而需要的透明的信息、沟通与方式问题作出了规定，如要求数据的控制者应当根据《通用数据保护条例》第15 条至第22 条的规定帮助数据主体行使其权利，对于数据主体根据这些规定而提出的请求，数据控制者不得无故拖延并且必须在收到请求之日起一个月内提供其对这些请求所采取的应对措施的信息，必要时可以延长两个月。此外，要求个人信息处理者根据条例第13 条和第14 条提供的信息、通信以及根据第15 条至第22 条和第34 条采取的行动都应当是免费的，不得向数据主体收取费用。

在《个人信息保护法》颁布前，《网络安全法》第49 条第1 款就明确要求网络运营者应当建立网络信息安全投诉、举报制度，公布投诉、举报方式等信息及时受理并处理有关网络信息安全的投诉和举报。国家推荐标准《信息安全技术·个人信息安全规范》（GB ∕T 35273-2020）第8.7 条、第8.8 条对于个人信息处理者如何响应个人信息主体的请求作出了指引，如规定个人信息处理者在验证个人信息主体身份后，应当及时响应个人信息主体提出的查询、更正、删除、撤回同意、注销账户等请求，应当在三十天内或法律法规规定的期限内作出答复及合理解释，并告知个人信息主体外部纠纷解决途径等。《个人信息保护法》第50 条第1 款明确要求个人信息处理者应当建立便捷的个人行使权利的申请受理和处理机制。

首先，个人信息处理者应当建立申请受理机制，具体包括：（1）明确个人在向个人信息处理者行使权利时如要求查阅、复制或者要求删除的，应通过何种方式（如发送电子邮件或电话等）向个人信息处理者中的何人提出申请；（2）明确个人提出申请时，要提供何种证明材料以证明其属于个人信息被处理的个人并确实享有其主张的权利；（3）明确个人信息处理者在符合何种条件下于多长时间内受理个人的申请并向个人进行反馈等。现代网络信息社会，个人信息基本上是以电子形式被处理的。故此，个人信息处理者应当跟随科技的发展采取符合信息时代要求的便捷的申请受理机制，如网上申请并受理。这不仅能够使个人便捷高效地行使权利，保护个人的隐私，及时维护个人信息权益，也能够使得个人信息处理者的处理活动更好地符合法律的规定。

其次，所谓处理机制，是指个人信息处理者应当如何回应个人符合条件的行使权利的请求。例如，在个人行使查阅、复制权时，处理者应如何及时提供该个人请求查阅、复制的个人信息；当个人行使删除权的，处理者怎样对需要删除的个人信息进行删除并将结果反馈给个人等。便捷的处理机制显然不是仅仅立足于个人信息处理者的立场，而是要在严格遵守《个人信息保护法》的要求下，以保障个人信息权益为中心，兼顾个人、处理者以及第三人等各方利益的前提下建立起来的。〔6〕程啸：《个人信息保护法理解与适用》，中国法制出版社2021 年版，第387 页。

二、个人信息处理者拒绝个人行使权利的救济机制

（一）个人信息处理者享有正当的拒绝权

《个人信息保护法》第50 条第1 款第2 句要求，个人信息处理者拒绝个人行使权利的请求的，应当说明理由。这就是说，个人信息处理者可以拒绝个人向其提出的行使查阅、复制、更正、删除等权利的请求。无论个人信息处理者是国家机关还是非国家机关，当其拒绝个人行使权利的请求时，都应当说明理由。例如，个人以个人信息的保存期限已经届满为由要求处理者删除其个人信息的，处理者经核实后发现保存期限尚未届满，故此拒绝个人的删除请求，同时告知其拒绝的理由在于保存期限尚未届满。通过要求个人信息处理者在拒绝个人行使权利的请求时说明理由，一方面可以保证个人信息处理活动的公开透明，保障个人对其个人信息处理的知情权；另一方面也可以防止个人信息处理者任意拒绝个人行使权利的请求。当然，个人信息处理者拒绝个人行使权利的理由是否正当，最终的判断权利在于法院。

《个人信息保护法》并未具体规定个人信息处理者享有哪些拒绝个人行使权利的正当理由，《信息安全技术·个人信息安全规范》（GB ∕T 35273-2020）第8.7 条e列举了八种情形下个人信息处理者可以不响应个人信息主体提出的请求，如与国家安全、国防安全直接相关的；与公共安全、公共卫生、重大公共利益直接相关的；与刑事侦查、起诉、审判和执行判决等直接相关的；个人信息控制者有充分证据证明个人信息主体存在主观恶意或者滥用权利的；等等。笔者认为，这一规定并不妥当。个人向个人信息处理者提出行使查阅、复制、删除等权利的请求时，个人信息处理者能够拒绝个人行使权利的理由不能被界定得过于宽泛，否则，个人信息权益将形同虚设。个人信息处理者能够拒绝个人行使权利的正当理由应当限于以下三类情形：（1）权利主体不适格，即提出请求的个人并非个人信息的权利主体。例如，张三向A 公司申请查询的不是自己的个人信息，而是李四的个人信息。（2）权利行使要件欠缺，即缺乏行使相应权利的实体要件或形式要件。例如，个人向个人信息处理者行使个人信息可携带权，请求将个人信息转移至其指定的个人信息处理者，但是不符合国家网信部门规定条件的；再如，李某要求B 公司更正其个人信息，但又没有证据证明处理者所处理的个人信息是错误的。（3）行使权利不符合法律和行政法规的规定。例如，依据《个人信息保护法》第18 条的规定，个人信息处理者依据法律的规定处理个人信息并且应当加以保密的，此时个人向个人信息处理者行使查阅、复制权的，处理者有权拒绝。

（二）个人向法院起诉个人信息处理者没有前置程序

从立法资料来看，直到《个人信息保护法》（草案）的第三次审议稿中，都没有对处理者拒绝个人行使在个人信息处理活动中的权利时可以起诉作出规定。在全国人大常委会对《个人信息保护法》（草案）进行第三次审议时，有的常委提出，应当要求个人信息处理者提供便捷的途径，并明确个人向人民法院起诉寻求救济的权利，以更好保障个人行使个人信息查询、复制等权利，该意见被宪法和法律委员会所接受。〔7〕《全国人民代表大会宪法和法律委员会关于〈中华人民共和国个人信息保护法（草案三次审议稿）〉修改意见的报告》。于是，《个人信息保护法》第50 条第2 款规定：“个人信息处理者拒绝个人行使权利的请求的，个人可以依法向人民法院提起诉讼。”然而，目前理论界与实务界对于该款却存在很大的争议，焦点在于：个人向法院提起诉讼是否有前置程序以及何种前置程序？

否定说认为，个人向个人信息处理者提出诉求且个人信息处理者拒绝行使权利的请求并不是向法院提起诉讼的前置条件。〔8〕龙卫球主编：《中华人民共和国个人信息保护法释义》，中国法制出版社2021 年版，第226 页。因为《中华人民共和国民事诉讼法》（以下简称《民事诉讼法》）第122 条对于起诉的条件有明确规定，而诉权是民事主体的基本权利，必须要有法律的明确规定才能加以限制。〔9〕江必新、郭锋主编：《〈中华人民共和国个人信息保护法〉条文理解与适用》，人民法院出版社2021 年版，第462 页。既然《个人信息保护法》并没有作出前置程序的规定，个人当然可以直接向法院提起诉讼。肯定说认为，应当设置前置程序，不过持该观点的学者中又有分歧。一种观点认为，《个人信息保护法》第50 条第2 款设置了个人向法院起诉的前置条件，即个人只有在行使个人信息保护请求权被个人信息处理者拒绝的情况下，方可以向法院提起诉讼。如果自然人未经向个人信息处理者行使请求权提出请求或者提出请求未被个人信息处理者拒绝的，则不能向法院提起诉讼。〔10〕江必新、李占国主编：《中华人民共和国个人信息保护法条文解读与法律适用》，中国法制出版社2021 年版，第167 页。另一种观点认为，个人仅仅是向个人信息处理者提出请求被拒绝，也不能立即就向法院起诉，个人必须还要向行政机关寻求行政救济手段，即向负有履行个人信息保护职责的部门进行投诉举报。只有在这些部门不履行法定职责或者这些部门处理后，个人对其处理结果不服的，才可以起诉，不过此时的起诉，是针对履行个人信息保护职责部门的行政诉讼。只有当个人信息处理者不仅拒绝个人行使查阅、复制、更正、删除等个人在个人信息处理活动中的权利，并且给个人造成了损害的，个人才能向法院提起民事侵权赔偿之诉。这正是《个人信息保护法》第50 条第2 款强调“依法向人民法院提起诉讼”的全面理解。〔11〕王锡锌：《重思个人信息权利束的保障机制: 行政监管还是民事诉讼》，载《法学研究》2022 年第5 期。

笔者赞同否定说，即个人向法院提起诉讼，没有也不应当有任何前置程序。如前所述，《个人信息保护法》第50 条第2 款是承接第1 款而作出的规定，因为第1 款要求处理者建立个人行使权利的程序机制，并且要求个人在拒绝个人行使权利的请求时说明理由，所以第2 款才接续规定如果个人信息处理者拒绝个人行使权利的请求的，个人可以起诉。由于个人的查阅、复制、更正、补充、删除等权利本身就是请求权，需要个人信息处理者的配合才能实现该权利。故此，从道理上说，个人不可能会在尚未针对个人信息处理者提出请求时就直接到法院起诉。如果真有原告这样做，那么后果很可能就是原告因为无法证明其个人信息权益中的查阅、复制、更正、补充、删除等权利受到了侵害而被判决败诉。从这个角度来说，个人只有向个人信息处理者提出请求而被拒绝时，才有必要寻求司法保护，向人民法院提起诉讼。这对于提高效率，节约资源，减轻法院的负担也是有益的。但是，不能认为个人只有向个人信息处理者提出请求后才能起诉，否则就应当驳回起诉，把个人向个人信息处理者提出请求设置为起诉的前置程序，更不能认为个人不仅要向个人信息处理者提出请求，而且在请求被拒绝后还需要先向行政机关投诉或举报，只有行政机关处理后才能起诉。因为无论上述何种理解，都已经构成了对个人诉权的限制。诉权是民事主体的最基本权利，诉讼制度也是最基本的法律制度。《中华人民共和国立法法》第8 条明确规定，诉讼和仲裁制度只能制定法律。换言之，只有法律中明确规定了某种程序是提起诉讼的前置程序的，才是合法的。例如，《中华人民共和国土地管理法》第14 条第1 款、第3 款规定：“土地所有权和使用权争议，由当事人协商解决；协商不成的，由人民政府处理。”“当事人对有关人民政府的处理决定不服的，可以自接到处理决定通知之日起三十日内，向人民法院起诉。”显然，这一条明确地将人民政府对土地权属争议的处理作为向法院起诉的前置程序。但是，《个人信息保护法》第50 条第2 款根本没有这样的规定，其他法律中也没有。因此，对于民事主体诉权的限制必须有全国人民代表大会及其常委会制定的法律作出明确的规定，无论是行政法规还是司法解释等都不得对诉权进行限制，〔12〕有观点认为，可以参考证券诉讼，通过司法解释来设定起诉的前置条件，即只有在国家个人信息主管部门认定被告存在“拒绝个人行使权利的请求”事实的情况下才能提起诉讼。参见张新宝主编：《〈中华人民共和国个人信息保护法〉释义》，人民出版社2021 年版，第404 页。更不能随意地通过对法条的解读就得出限制诉权的结论。事实上，即便是特别重视个人信息保护的行政监管措施的欧盟《通用数据保护条例》，也并未给司法救济程序当然设定前置程序，该条例第79 条明确规定：“在不影响获得行政或非司法救济的情况下（包括本条例第77 条规定的向监管机构提出投诉的权利），每一个数据主体在认为他或她基于本条例而享有的权利因为违反本条例规定的个人数据处理行为而遭受侵害时，均有权寻求有效的司法救济。”也就是说，欧盟成员国可以自行决定相关程序的安排，其可以将行政等非司法救济程序作为诉讼的前置程序，也可以不作为前置程序，但无论各成员国的组织法和程序法的具体情况如何，国家立法都必须为所有程序性情况下对《通用数据保护条例》规定的侵害行为提供“有效的司法补救”，并且不能够使行使这一权利“实际上不可能或过于复杂”。〔13〕Christopher Kuner,Lee A.Bygrave &Christopher Docksey ed.,The EU General Data Protection Regulation (GDPR):A Commentary,Oxford University Press,2020,p.1138.

将个人向个人信息处理者提出请求作为起诉的前置程序，还会对个人信息权益造成不合理的限制，违反《民法典》。个人信息权益属于民事权益，个人信息处理者在没有告知并取得个人同意以及缺乏法律、行政法规规定的理由的时候，对自然人的个人信息进行处理，这就是侵害个人信息权益的行为，依据《民法典》第1167 条应当承担停止侵害、排除妨碍、消除危险等侵权责任。如果认为个人在个人信息处理者非法收集、存储、使用或公开个人信息的时候，还要先向个人信息处理者提出请求且被拒绝后才能起诉，那么对于个人信息权益的保护就非常不利，这也等于实质上否定了人格权请求权对个人信息权益的适用。况且，以个人信息处理者的拒绝为起诉的前提，还意味着个人要证明自己已经向个人信息处理者提出了请求且被拒绝，如果个人信息处理者既不同意也不拒绝，那么个人岂不是无法向法院提起诉讼？至于有的学者把《个人信息保护法》第50 条第2 款中的“依法”解释为依照《个人信息保护法》行政监管和保护的逻辑，由负有个人信息保护职责的部门对违反合规义务、侵害个人信息权利束的处理活动进行监督和处理，笔者更是难以赞同。因为，该款中的“依法”就是指依据《民法典》《民事诉讼法》等相关法律提起诉讼，绝非设置了行政处理前置程序。事实上，在个人信息违法行为如此普遍的情形下，要求履行个人信息保护职责的部门查处每一起违法行为后，个人才能提起诉讼，甚至认为在个人信息监管机关作出处理后，个人对个人信息监管机关的决定不服的，只能提起行政诉讼。这种观点不仅不利于保护个人信息权益，也给履行个人信息保护职责的部门施加了过重的责任。同时，还将原本个人与个人信息处理者之间的侵权关系变为个人与履行个人信息保护职责部门的行政诉讼关系，有百害而无一利。

综上所述，个人在向个人信息处理者行使权利被拒绝后，当然可以向法院提起诉讼，但个人信息处理者的拒绝以及履行个人信息保护职责部门的查处都绝不是个人提起诉讼的前置程序。

（三）个人向人民法院提起诉讼的类型

关于《个人信息保护法》第50 条第2 款规定的“依法向人民法院提起诉讼”的类型问题，一种观点认为，由于个人信息处理者的类型众多，因此，根据处理者的身份不同，个人可以分别提起行政诉讼或民事诉讼。申言之，如果处理个人信息活动的是国家机关或者履行法定职责处理个人信息的法律、行政法规授权的具有管理公共事务职能的组织，它们拒绝个人行使权利请求的，提起的是行政诉讼；如果是企业、事业单位等民事主体，那么提起的是民事诉讼。〔14〕前引〔9〕，江必新、郭锋主编书，第461 页。另一种观点认为，个人向法院提起的诉讼都是行政诉讼，即针对履行个人信息保护职责部门的处理决定不服而提起的行政诉讼，只有当个人信息权益遭受损害后，才能提起民事诉讼。〔15〕前引〔11〕，王锡锌文。

笔者认为，前一种观点更为妥当。因为后一种观点是建立在向行政机关投诉并由行政机关查处是起诉的前置程序的基础之上的。况且，认为只有当个人信息权益被侵害而且遭受损害后，个人才能依据《个人信息保护法》第69 条提起民事诉讼的看法显然是混淆了侵权法中的侵害与损害的关系问题。《个人信息保护法》第69 条第1 款是依据《民法典》第1165 条第1 款，在区分“侵害”与“损害”的基础上制定的。〔16〕程啸：《论侵害个人信息权益的侵权责任》，载《中国法律评论》2021 年第5 期。个人信息权益被侵害不同于损害，侵害（verletzen）强调的是对于民事权益领域的侵入或干涉行为的非法性。就作为人格权的个人信息权益而言，是指既没有告知并取得个人的同意，也不存在法律、行政法规规定的理由，就对个人信息进行处理活动，该行为就是侵害个人信息权益的行为。此时，个人信息权益受到了侵害。损害（Schaden）则是指具有法律上的可赔偿的任何物质或精神利益的非自愿的丧失。侵害个人信息权益可能造成损害（如个人信息处理者泄露个人信息而导致个人遭受电信网络诈骗或被犯罪分子杀害），也可能不会造成损害（如个人信息处理者没有告知而收集个人信息或者个人依法向其行使删除权而被拒绝）。就侵害个人信息权益的侵权责任的成立而言，侵害行为是不可或缺的要件，而损害仅仅是侵权赔偿责任的成立要件之一。也就是说，没有造成损害，仍然会成立侵害个人信息权益的侵权责任，无非侵权人承担的是停止侵害、排除妨碍等性质上属于绝对权请求权的侵权责任而已。被侵权人当然可以通过提起民事诉讼的方式要求侵权人承担这些侵权责任。故此，那种认为只有造成了损害，才会发生侵权责任，产生侵权民事诉讼的观点是不正确的。

三、个人信息权益的人格权请求权与人格权禁令程序

（一）个人信息权益的人格权请求权

个人信息权益属于人格权益，其被侵害后，无论加害人有无过错以及是否造成损害，个人都可以行使人格权请求权。《民法典》第995 条规定：“人格权受到侵害的，受害人有权依照本法和其他法律的规定请求行为人承担民事责任。受害人的停止侵害、排除妨碍、消除危险、消除影响、恢复名誉、赔礼道歉请求权，不适用诉讼时效的规定。”就该条列举的这些请求权中哪些属于人格权请求权，有不同的观点。有的学者认为，本条所规定的请求权全部属于人格权请求权。〔17〕王利明：《论人格权请求权与侵权损害赔偿请求权的分离》，载《中国法学》2019 年第1 期。有的学者则认为，只有停止侵害、排除妨碍、消除危险、消除影响、恢复名誉是人格权请求权，赔礼道歉不属于人格权请求权。〔18〕崔建远：《债法总则与中国民法典的制定——兼论赔礼道歉、恢复名誉、消除影响的定位》，载《清华大学学报（哲学社会科学版）》2003 年第4 期。还有的学者认为，人格权请求权只包括三类，即停止侵害、排除妨碍与消除危险，至于赔礼道歉、消除影响、恢复名誉本质上也是属于恢复原状的措施，不是人格权请求权。〔19〕杨立新、袁雪石：《论人格权请求权》，载《法学研究》2003 年第6 期；张新宝：《民法分则侵权责任编立法研究》，载《中国法学》2017 年第3 期。笔者认为，人格权请求权仅仅是指停止侵害、排除妨碍和消除危险这三类请求权，不包括消除影响、恢复名誉、赔礼道歉请求权，因为它们并不能发挥预防的功能，只能起到事后填补损害的作用。〔20〕程啸：《人格权研究》，中国人民大学出版社2022 年版，第654-655 页。

自然人的个人信息权益遭受侵害或妨碍的情形包括两类：其一，自然人向个人信息处理者行使查阅权、复制权、可携带权、删除权等，被个人信息处理者无正当理由加以拒绝；其二，个人信息处理者非法处理个人信息而侵害个人信息权益，即处理者既未告知并取得个人的同意，也没有法律、行政法规规定无需取得个人同意甚至不告知的情形，就实施个人信息处理活动。如果是前一种情形，个人信息处理者的行为对于个人信息权益的行使构成了妨碍，〔21〕人格权请求权中的停止侵害与排除妨碍的区分存在很大的困难。参见阮神裕：《论人格权的排除妨碍请求权》，载《清华法学》2022 年第5 期。也就是说，因为个人信息处理者不履行相应的义务，导致个人在个人信息处理活动中的查阅权、复制权、删除权等权利难以实现。此时，依据《个人信息保护法》第50 条第2 款的规定，个人可以向法院起诉，通过法院判决来强制实现权利。如果是后一种情形，那么处理活动本质上是侵害自然人对其个人信息处理的知情权与决定权，故此，自然人可以向非法处理其个人信息的处理者行使停止侵害、排除妨碍、消除危险这三类人格权请求权，如要求未经同意而收集、加工其个人信息的处理者停止收集、加工行为；要求非法删除其个人信息的处理者恢复个人信息等。此外，如果侵害个人信息权益造成损害的，不论是非法处理个人信息，还是处理者无正当理由拒绝个人行使个人信息处理活动中的权利，依据《个人信息保护法》第69 条第1 款，个人都有权要求个人信息处理者承担赔偿责任。

不过，上述两种情形中存在一个交集，即《个人信息保护法》第47 条规定的可以行使删除权的五种情形中的第四种情形——“个人信息处理者违反法律、行政法规或者违反约定处理个人信息”。个人信息处理者违法或违约处理个人信息，本身就是侵害个人信息权益的行为。此时，个人当然可以向个人信息处理者请求删除，即行使删除权。但由于该行为是侵害个人信息权益的行为，依据《民法典》第995 条、第1167 条，个人也有权要求个人信息处理者停止侵害、排除妨碍以及消除危险。有观点认为，此时删除权已经取代了停止侵害、排除妨碍请求权，个人只能行使删除权。〔22〕王利明：《论个人信息删除权》，载《东方法学》2022 年第1 期。笔者不赞同该观点。一方面，删除权的功能有限，只能删除非法收集的个人信息，而且个人还必须先向个人信息处理者提出请求，被拒绝后才能向法院起诉。但停止侵害、排除妨碍、消除危险等请求权可以全面起到制止并预防非法个人信息处理活动的功能，而且，个人既可以向个人信息处理者行使这三项人格权请求权，也可以直接向法院提起诉讼，通过司法途径实现该等人格权请求权。另一方面，《个人信息保护法》第72 条第1 款明确将“自然人因个人或者家庭事务处理个人信息的”情形排除在该法的适用范围之外，这就意味着当自然人之间因个人或家庭事务处理个人信息的，即便存在非法收集个人信息等情形的，也不可能适用《个人信息保护法》的删除权，显然只能依据《民法典》第995 条、第1167 条主张停止侵害、排除妨碍以及消除危险请求权。

（二）个人信息权益是否适用人格权禁令程序

《民法典》第997 条规定：“民事主体有证据证明行为人正在实施或者即将实施侵害其人格权的违法行为，不及时制止将使其合法权益受到难以弥补的损害的，有权依法向人民法院申请采取责令行为人停止有关行为的措施。”该条规定的就是所谓的“人格权禁令程序”，其目的在于为人格权提供更全面的保护，即通过建立一种高效快捷的人格权请求权的程序实现机制，以及时制止侵害人格权的行为，为权利人提供高效的救济，避免侵害行为给人格权主体造成难以弥补的损害。

个人信息权益性质上属于人格权益，但是由于《民法典》《个人信息保护法》都没有明确使用“个人信息权”的概念，故此，个人信息权益是否能够适用人格权禁令程序，值得研究。否定说认为，由于《民法典》第997 条明确使用的是“人格权”的表述，个人信息权益只是属于人格权益，而且个人信息权益是否被侵害殊难认定，故此应当将人格权禁令的范围限定为人格权，而不适用于个人信息权益。〔23〕程啸：《论我国民法典中的人格权禁令制度》，载《比较法研究》2021 年第3 期。肯定说认为，由于《民法典》第990 条第1 款列举了人格权的具体类型，而第2 款规定了人格权益的一般条款，故此《民法典》“人格权编第一章关于人格权的一般规定中所出现的‘人格权’这个语词，一般就包括了法律所明确列举的人格权，也包括了自然人所享有的除明确列举的人格权之外的，基于人身自由、人格尊严产生的其他人格权益”。〔24〕黄薇主编：《中华人民共和国民法典人格权编解读》，中国法制出版社2020 年版，第18 页。个人信息权益作为人格权益，当然也可以适用人格权禁令程序，无非在判断标准上从严把握即可。〔25〕王利明：《论侵害人格权的诉前禁令制度》，载《财经法学》2019 年第4 期；张素华：《论人格权禁令的性质及司法适用》，载《比较法研究》2021 年第6 期；朱虎：《人格权侵害禁令的程序实现》，载《现代法学》2022 年第1 期。目前，主流观点采取肯定说。《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》第9 条也明确规定：“自然人有证据证明信息处理者使用人脸识别技术正在实施或者即将实施侵害其隐私权或者其他人格权益的行为，不及时制止将使其合法权益受到难以弥补的损害，向人民法院申请采取责令信息处理者停止有关行为的措施的，人民法院可以根据案件具体情况依法作出人格权侵害禁令。”

结语

个人信息权益作为《民法典》《个人信息保护法》等法律所确立的新型民事权益，其性质如何、与隐私权等其他人格权益的关系怎样、该权益保护的利益究竟是什么、作为个人信息权益内容的个人在个人信息处理活动中的权利应当如何行使以及被侵害后怎样救济，这些问题还需要更深入的研究与更丰富的实践。唯其如此，才能实现我国个人信息保护法律规范体系的整合，科学合理地协调个人信息权益的保护与合理使用个人信息的关系。