孙也龙 (江苏 南京 211816)
[内容提要]
个人信息查阅复制权不以个人信息泄露或存在泄露风险为前提条件。个人信息查阅复制权是否被侵害,应当考察个人是否已行使查阅复制请求权以及个人信息处理者是否存在无正当理由拒绝的行为。
个人信息 查阅复制权 信息保护
随着数字化时代的到来,个人信息保护已经成为保护个人合法权益的重要举措。落实法律赋予个人信息处理的权利,可以有效防范个人信息被随意收集、违法获取、过度使用、非法买卖等风险,防止不法分子利用个人信息侵扰其生活安宁,危害其财产安全。据此,个人信息处理者在个人信息收集、储存、使用、加工、传输等环节,应预先考虑个人信息权益保障的需求,履行个人信息权益保障的法定职责。
《个人信息保护法》第四十五条规定:“个人有权向个人信息处理者查阅、复制其个人信息;有本法第十八条第一款、第三十五条规定情形的除外。个人请求查阅、复制其个人信息的,个人信息处理者应当及时提供。”因此,查阅复制权,既是个人实现信息处理知情权的重要途径,同时也是个人信息查阅复制权的重要法定权利。对于个人信息处理者收集的个人信息,个人均可依法行使查阅复制的权利。在现实中,个人因担心个人信息泄露或个人信息有误,或将个人信息用于其他用途损害其利益,而向个人信息处理者要求披露相关信息,要求行使个人信息查阅复制权的,个人信息处理者不能否定个人行使个人信息查阅复制权。
需要注意的是,个人既可查阅也可复制个人信息,因此个人信息处理者通过一定方式向个人呈现其个人信息,仅满足了其查阅权,如果个人还要求复制其个人信息,那么仅提供查阅途径不能视为已满足复制个人信息的权利。个人信息处理者可以提供副本,充分考虑个人查阅复制信息的方便,不应在形式上为查阅复制权的行使造成障碍。
在实践中,个人可以通过客服电话、邮件等方式要求个人信息处理者向其提供个人信息的查阅、复制。对于用户提出的查阅复制请求,个人信息处理者应当采取相应的技术措施验证用户的真实身份。个人信息处理者可以直接以电话号码、邮箱地址验证个人的真实身份,如果不能以直接验证,应告知个人验证其真实身份的具体途径。
《民法典》第一千零三十四条规定:“个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。”根据上述规定,只有可以直接或间接识别特定自然人的信息才是个人信息。姓名、身份证号、电话号码等一般情况可以直接指向特定个人。个人消费信息、行踪记录、网络浏览记录等信息,虽然不能直接体现具体的信息主体是谁,但与其他信息进行结合就可以间接识别出特定个人。
需注意的是,个人信息查阅复制权的客体“个人信息”,不仅包括个人信息本身,还应该包括个人信息处理的相关情况。可见,法律赋予个人查阅复制权,其目的是确保其对个人信息的知情权和保持应有的控制,避免因为非法收集、处理个人信息而致其人身财产权益遭受侵害。因此,从实现查阅复制权的功能价值、保护个人合法权益的角度考虑,查阅复制权的客体不仅包含个人信息本身,还应当包括个人信息处理情况。
对于他人侵害个人信息查阅复制权的行为,个人有权要求行为人承担侵权责任。《个人信息保护法》第五十条的规定:“个人信息处理者应当建立便捷的个人行使权利的申请受理和处理机制。拒绝个人行使权利的请求的,应当说明理由。个人信息处理者拒绝个人行使权利的请求的,个人可以依法向人民法院提起诉讼。”考量个人信息查阅复制权是否被侵害,应当从以下两个维度进行:(1)个人是否已行使查阅复制请求权;(2)个人信息处理者是否存在无正当理由拒绝的行为。
关于第一个维度,个人只需要能够证明自己属于个人信息主体即可以行使查阅复制权。在实践中,个人一般可通过拨打电话要求查阅复制的方式来行使权利。电话号码这一信息可以识别出特定的自然人。如个人通过实名登记的移动电话联系了个人信息处理者,个人信息处理者亦通过来电核实到来电者的注册账号等身份信息,那么就可认定个人已经行使了查阅复制请求权。
关于第二个维度,一是如何认定个人信息处理者可拒绝个人行使查阅复制权的正当理由。《个人信息保护法》第四十五条第一款规定了个人不得行使查阅、复制的两种情形:其一,“法律、行政法规规定应当保密或者不需要告知的情形”;其二,“妨碍国家机关履行法定职责的”。二是如何认定个人信息处理者的拒绝行为。个人信息处理者明确回复拒绝个人查阅复制请求的,显然属于拒绝行为。基于有关法律规定,在收到个人查阅复制请求后的合理期间未作出答复或未作出任何处理,实质上属于拒绝行为。