个人信息保护禁令建构研究

摘要：时下个人信息权益保护链条有断裂现象，事后诉讼救济正在司法摸索中，然而事前救济路径呈现闭塞状态，个人信息侵害具有区别于传统人格权损害的特性，亟须构建一种崭新有效的事前救济制度，即“个人信息保护禁令”。其可行性体现在“个人信息保护禁令”可以比照人身安全保护令定性和构建，并且可以依据个人信息敏感度分层动态适用。在此基础上对个人信息保护禁令之申请条件、请求内容、效力期限进行逐一建构。

关键词：个人信息权益；人格权禁令；个人信息保护禁令

中图分类号：D923文献标识码：A文章编号：2095-6916（2024）18-0080-04

Research on the Construction of the Ban on Personal Information Protection

Liu BeiLin Guangjun

（Changchun University of Technology， Changchun 130012）

Abstract： Nowadays， the chain of personal information protection rights tend to break up. Post-litigation relief is in the judicial search， while the path of beforehand relief is closed. The characteristics of the infringement on personal information are different from those of the traditional damage on personality rights， which entails the construction of a new and effective system of beforehand relief， namely the ban on personal information protection. And the feasibility is shown in its characterization and construction which can be compared to those of personal safety protection order， and can be applied dynamically based on the sensitivity level of personal information. Accordingly， the application condition， requested content， and validity period of the ban on personal information protection can be specifically constructed.

Keywords： personal information right; prohibition of personality right; the ban on personal information protection

大数据信息时代中，盈千累万的个人信息被收集并进行商业化利用，难以估量的负面风险也随之而来，滥用和侵犯个人信息的行为由于网络场景具有隐蔽且多发的特质急需法律加以遏制［1］。实践中多以国家介入通过刑事与行政规制的方式打击侵犯公民个人信息行为，然而通过民事诉讼维护个人信息权益的案例相较未几，其一是因为个人信息保护侵权损害结果举证难，其二是因为单纯的侵权损害赔偿请求权难以满足个人信息保护中时异事殊的需要。在民事诉讼之外，亟须完善信息主体的维权门径。

一、个人信息保护禁令的必要与可行

个人信息保护禁令，是指个人信息保护适用人格权禁令，对于个人信息保护禁令这一命题能否成立，无论是实务界还是理论界都未形成统一共识。

（一）个人信息保护禁令的必要性

1.个人信息权益保护链条断裂：民事诉讼是事后救济，事前救济缺失

通过检索和梳理“中国裁判文书网”民事案例，发现对于个人信息权益保护主要通过侵权责任请求权、人格权请求权两种诉讼路径。然而这两种事后救济的诉讼渠道存在重大救济漏洞：一方面，救济存在滞后性，从案件审理到判决作出过程中，个人与信息处理者的举证地位严重失衡，被侵权人不仅需要承担权益受到侵害的举证责任，个人信息权益更可能持续处于被侵害状态；另一方面，救济难以弥补特殊的精神损害，个人信息权益具有特殊性，损害结果往往与人的情感、社会影响等精神因素密切关联，这种精神损害赔偿无法像财产利益损害一样较为容易实现精确的货币量化，因此，对于个人信息保护更为重要的精神损害赔偿通常无法得到有效填补。

2.一种事前救济路径的闭塞：个人信息保护难以申请诉前行为保全

在“中国裁判文书网”中以“申请诉前行为保全”为案由，以“个人信息”为关键字检索裁定书，结果为0件。当事人不申请诉前行为保全的原因有二：一方面，强制担保产生的额外诉讼成本以及难以获得法院支持的金钱赔偿使得受害人对诉前行为保全望而却步；另一方面，48小时超短审限带来的错判风险可能性加重了法官的顾虑；相比于普通诉讼程序最低6个月的审限，法官要在48小时之内完成被申请人答辩、法庭调查和法庭辩论程序，无疑会给其带来难以承受的负担。

（二）个人信息保护禁令的可行性

1.一种事前救济路径的希冀：个人信息保护禁令

在立法以及司法实践中，个人信息保护禁令的适用问题在司法解释、立法中已经得以回应。2021年8月1日实施的《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用中的相关规定》（下称人脸识别规定）第九条明确了信息主体针对人脸识别信息的侵害行为可以向人民法院申请人格权禁令，首次以司法解释形式肯定了人格权禁令对于个人信息部分权益的保护价值。2023年1月1日修订生效的《中华人民共和国妇女权益保障法》（下称妇女权益保障法）第二十九条将妇女个人信息权益纳入了人身安全保护令申请范围，当妇女因恋爱、交友或终止恋爱、离婚后遭受个人信息侵害或面临侵害风险，可以向人民法院申请人身安全保护令。此次修订扩大了禁令对个人信息权益的适用范围，进一步揭示了个人信息保护禁令的未来立法可行性。

2.个人信息保护禁令程序定性：非诉讼程序

在学术界，人格权禁令的程序属性之争目前存在三种观点，即准诉讼说、非讼说与混合诉讼说。当前主流共识是人格权禁令的程序构建应当兼顾程序效率和给予相对人最低限度权益保护，依托行为保全或者人身安全保护令构建人格权禁令。

本文认为，个人信息保护禁令可以满足个人信息保护纠纷的新需要。应采用非诉手段救济：一是个人信息侵权具有多发性、突然性与损害扩张性等特征，与非讼程序的及时高效价值功能相契合；二是个人信息侵权案件中的受害人一般都是个人，侵害人往往都是互联网服务提供商，经营实体，乃至行政部门，双方实力悬殊，更需要国家公权力的及时介入保护；三是个人信息的价值相对个人难以估量，法院也难以裁定较高的金钱赔偿。起诉所耗费的时间成本和金钱成本相比较于诉讼所可能获得赔偿差距过大，被害人更倾向于通过非讼程序及时给予保护，阻止损害的扩大。

3.个人信息保护禁令适用：分层动态适用

个人信息所涉及的领域众多，不同的信息类型所蕴含的人格利益与社会公共利益的比例不同，信息主体享有的值得保护的利益多寡也有差异。因此，个人信息可以划分成四个不同区域，分别是一般个人信息、敏感个人信息、私密信息和敏感私密个人信息。个人信息是否值得禁令保护，取决于个人利益与社会公共利益以及第三人利益之间的权衡关系，只有在个人利益不违背社会公共利益且足够大于第三人的利益时，信息主体才享有值得禁令保护的重大利益。敏感个人信息和敏感私密个人信息中所包含的个人利益远远大于社会公共利益和第三人利益，需要个人信息保护禁令的保护。一般个人信息则受到更大的限制，是否适用禁令，需要考虑其遭受的人格利益损失是否达到需要个人信息保护禁令保护的程度。私密信息可以根据《民法典》第一千零三十四条第二款通过隐私权保护申请适用人格权禁令。

二、个人信息保护禁令的申请要件

（一）行为人正在实施或者即将实施侵害行为

侵害行为可以是正在实施，也可以是即将实施。在个人信息领域，对个人信息权益的侵害不仅仅是该权益本身所产生的隐私权侵害和歧视风险，更有可能是以该信息作为利用工具引发的包括生命权、身体权、健康权等人格权侵害风险。因此，对于尚未实施的侵害个人信息权益行为，只要有即将实施的高度可能性，即符合个人信息保护禁令中的即将实施侵害其人格权行为之要件［2］。

（二）侵害行为具有不法性

侵害行为属于《民法典》第九百九十七条规定的“违法行为”。一是从字面理解，违反我国《网络安全法》《民法典》和《个人信息保护法》等法律构建的个人信息处理规则即为“违法行为”。二是在现行法中，当特定行为被认定为是侵害行为的，其本身即已内涵对于违法性的判断，而当存在违法阻却事由时，相应的行为即不再具有违法性，亦非侵害行为。

（三）若不及时制止违法行为将导致权利人遭受难以弥补的损害

1.制止侵害的急迫性

急迫性主要从两个方面加以判断。其一，侵害行为是否难以通过一般的诉讼程序及时制止。其二，损害结果是否难以弥补，假若禁令无法完全杜绝个人信息损害结果的发生或者无法避免损害结果的扩大，那么个人信息主体则没有必要申请禁令，可以通过诉讼渠道得到救济。

2.损害结果的难以弥补

有观点认为，无法通过货币补偿填补个人信息遭受的损害或事后的恢复已无可能或极为困难，即可认定为“难以弥补”［3］。在判断“难以弥补”时，应当考虑受侵害的信息类型和对其他人格权、财产权产生侵害的可能性。敏感个人信息安全风险内容指向除个人信息权益之外的人身、财产权利和以人格尊严为价值基础的其他人格权益，与非敏感个人信息并无差异，但是风险概率要高于非敏感个人信息。侵害敏感个人信息、私密信息及敏感私密信息可以直接认定“难以弥补”，而侵害一般个人信息则要综合考虑是否足以产生对其他人格权、财产权的现实危险，如果达到现实危险的程度，且无法通过财产损害赔偿填平损失，则可以视为“难以弥补”。

（四）有证据证明侵害行为和难以弥补的损害结果

有观点认为，在众多侵害个人信息案件中，商主体和公权力部门是大多数的侵权主体，双方力量悬殊，权利人难以对对方行为进行证据收集，因此，对个人信息侵权禁令案件的证明标准应当不高于其他类型的人格权禁令程序。

本文认为不同类型的个人信息侵害案件所可能产生侵害危险性不同，侵害行为是否已实施而导致的证明标准也会不同。个人信息保护的人格权内容比人身安全保护令更加复杂，不仅涉及人格尊严，言论自由的保护，还间接涉及身体、健康、生命的现实危险可能性。对个人信息保护禁令的证明标准至少不低于人身安全令的证明标准，但低于普通诉讼中的证明标准。

三、个人信息保护禁令的具体请求内容

个人信息保护禁令包括拒绝令、查阅复制令、更正令、删除令，信息处理者对信息主体个人信息权益的侵害或妨碍，符合申请条件即可申请个人信息保护禁令。

（一）拒绝令

拒绝令即裁定被申请人停止收集、利用、传播申请人个人信息，是个人信息权益的拒绝权能在人格权禁令中的表现，是个人信息保护禁令实现个人信息侵害的阻止和预防的首要方式，其理论基础源自两部分。一部分以个人信息权益体系中最核心的知情决定权能为基础，即信息主体享有对其个人信息收集、处理、公开的“不同意”的权利。另一部分则不以个人知情同意规则为前提，信息主体在特定条件下所享有的无溯及力的终止信息处理者合法处理权限的终止形成权。

（二）查阅复制令

查阅复制令是自然人对其个人信息知情权的体现，其法律依据为我国《个人信息保护法》第四十五条第一款和《民法典》第一千零三十七条第一款。一方面如果个人无法向信息处理者查阅、复制其个人信息，个人就无法知晓其个人信息的收集、处理是否存在错误、不完整，甚至是过度利用、非法利用的情况，自然也就无法依据《个人信息保护法》和《民法典》的相关规定采取拒绝权、更正权、删除权等必要措施。另一方面即便个人发现信息处理者存在侵害其个人信息情形而采取相应措施，但如果个人无法行使查阅复制权查明被侵害个人信息的具体内容、披露范围、处理情况等，其侵害行为也可能无法被彻底制止。

（三）更正令

更正令要求被申请人对当事人特定个人信息的纠正、补充和更新，是个人信息更正权的具体体现。信息主体实现其个人信息本身价值和使用价值的重要前提条件就是个人信息的准确性、完整性以及及时更新性。但随着数据画像越发普遍成为个人不可分割的一部分，数据画像的扭曲和失实也越来越容易，因为不同场景下大量多个分离的数据画像分析却没有额外的信息解释它们彼此之间的关系。这对个人信息的本身价值和使用价值会产生极大的减损，而不正确或不完整的个人信息也会对个人的权益造成不利的影响。

（四）删除令

删除令表现为对特定信息彻底、不可逆地清除或永久封存，是消除个人信息侵害风险的重要手段。我国将个人信息拒绝权作为删除权行使的充分不必要条件，当个人信息处理行为不再合法时，信息处理者即负有及时删除其个人信息的义务，信息主体也有要求对方删除其信息的权利。因此，在申请禁令时，信息主体可以要求处理者删除信息，也可以仅行使拒绝权而不行使删除权，信息处理者则应根据禁令具体情形决定是删除还是停止除存储和采取必要安全保护措施之外的处理。

四、个人信息保护禁令的效力期限

《民法典》并未对人格权禁令的法律效力加以明文规定。有观点认为诉前行为保全以及人身安全保护令与人格权禁令均属于行为禁令，在效力问题上应类推适用前者的相关规定。需要注意的是，个人信息保护禁令采取拒绝令、查阅复制令、更正令和删除令所产生的法律效力存在差异，主要体现在禁令的期限上。有观点认为禁令的持续时间通常以能够实现人格权保护目的的必要期限为限，事实上个人信息保护禁令的四种具体措施的效力期限均不相同。

（一）拒绝令

拒绝令应当设置存续期间，因为个人信息具有很强的特定性和时效性，同样的信息在不同的时间和场合对信息主体权益可能产生的影响就会大有不同，也许此时的“侵害”换个场景和时间就不再构成。过长的禁令期限不仅无益于信息的流通，也不符合我国司法实际情况，难以实现，类似的人身安全保护令最长期限不超过6个月，诉前行为保全和生态环境侵权禁令裁定后30日内不向法院起诉则予以解除；禁令的期限最长期限不应当超过6个月，申请人可以申请变更、延长或撤销。

（二）查阅复制令

查阅复制令的履行，只要申请人得以查阅、复制其个人信息，并取得了相应副本，其禁令效力就应当终止。申请查阅复制令应当向法院明确查询内容、范围和接收方式，并以法院最终裁定为准，被申请人依照法院裁定提供相应个人信息副本即视为履行查阅复制令，申请人不得反复要求被申请人提供，变更查阅复制内容和范围应当重新向法院申请禁令或单独向被申请人提出。

（三）更正令

更正令既不拒绝对方当事人对申请人个人信息的继续处理和利用，也无需以删除信息数据的方式消除危险，只要使特定信息更正，即实现了禁令的目的，更正令也无继续存在的意义，对方当事人如果继续实施侵害行为，则可进一步申请拒绝令和删除令阻止侵害。因此，更正令的存续期间当然不同于拒绝令或删除令，其效力类似于查阅复制令至更正令履行完毕后即终止。

（四）删除令

删除令虽然可以对特定信息彻底抹除，但如果删除行为受到禁令期限的限制则可能导致当信息处理者采取停止除存储和采取必要安全保护措施之外的处理行为封存信息后，因禁令期限届满，使得信息处理者可以重新启用被封存信息，删除令便成了空中楼阁。故此，删除令一经作出后，非经当事人申请撤销删除令或对方当事人申请复议或提起诉讼，则删除令具有永久性效力。

五、结束语

随着5G阶梯式发展，人工智能引发的“智能经济”与“智能社会”现象兴起，ChatGPT AI语言模型的诞生以及生成式AI模型研究火热，AI安全性问题已是迫切程度极高的研究领域，AI决策或有歧视、偏见、错误、黑箱、合谋、霸权等风险都会对人类造成侵害。在可预见的未来，个人信息权益的价值和重视程度将会与物质性人格权平齐，传统的诉讼制度必将无法适应今后逐渐增加的个人信息保护纠纷。个人信息保护禁令制度作为保护个人信息权益的事前预防重要手段，以《民法典》人格权禁令制度为蓝本，若要在未来实践中绽放生命力，必须对其实体理论以及程序设计进行完善。

参考文献：

［1］刘蓓.智能社会中技术治理与法律治理关系论纲［J］.上海师范大学学报（哲学社会科学版），2022（2）：85-99.

［2］杨钢.个人信息权禁令的理论证成与构造［J］.法律适用，2023（3）：94-108.

［3］王利明.论侵害人格权禁令的适用［J］.人民司法，2020（28）：54-60.

作者简介：刘蓓（1983—），女，汉族，吉林省吉林市人，博士，长春工业大学教授，研究方向为民商法学和人工智能法学。

林光骏（1990—），男，汉族，湖北宜昌人，单位为长春工业大学，研究方向为民商法学和人工智能法学。

（责任编辑：张震）