□ 程啸 （清华大学法学院教授）

我国个人信息保护法首次提出了“个人信息权益”的概念，明确了以保护个人信息权益为立法目的之一，规定了任何组织或个人不得侵害个人信息权益。该法第六十九条就个人信息处理者处理个人信息侵害个人信息权益造成损害的侵权责任的归责原则、损害赔偿的计算作出了规定。个人信息保护法第四章还提出了“个人在个人信息处理活动中的权利”的概念，规定了个人对其个人信息处理享有知情权、决定权（第四十四条）；有权向个人信息处理者请求查阅、复制其个人信息（第四十五条第1、2款）；有权请求将个人信息转移至其指定的个人信息处理者（第四十五条第3款）；有权请求更正、补充个人信息（第四十六条）；有权请求删除个人信息（第四十七条）；有权要求个人信息处理者对其个人信息处理规则进行解释说明（第四十八条）。此外，死者近亲属在一定条件下也可以行使查阅、复制、更正、删除等权利（第四十九条）。

个人信息权益与个人在个人信息处理中的权利是什么关系呢？一种观点认为，个人在个人信息处理中的权利就是个人信息权益的具体化。个人针对其个人信息处理享有的知情权和决定权是核心，查阅、复制、删除、可携带等权利都是个人信息权益的具体权能。另一种观点认为，个人信息权益的范围非常广，包含了个人信息上承载的所有权利和利益，既有名誉权、肖像权、隐私权等人格权以及在个人信息处理中不被歧视的权利，还包括与个人信息密切相关的人身、财产安全。个人在个人信息处理中的权利是用来保障个人信息权益的方式。笔者认为，对个人信息权益的含义不能做过于宽泛的理解。现代社会是网络信息社会，自然人的全部民事权利和受保护的民事利益几乎都可以说与其个人信息有关。倘若认为只要与个人信息有关的权益都属于个人信息权益，那么个人信息权益就等于个人权益，变得无所不包了，既包括自然人的所有民事权益，也包括宪法上的公民权利。如此理解，并无实益。而且，还会破坏民法典所建立的民事权利体系，无法实现民事权益的区分保护。此外，个人信息保护法第六十九条已明确将个人信息权益作为侵权法的保护对象，倘若个人信息权益无所不包，那么侵权法就不可能对其加以保护，也更不可能用一个针对个人信息权益的侵权责任来解决自然人的所有民事权益的保护。这样也会导致过错推定责任的适用范围被无限制扩张，民法典第一千一百六十五条第2款限制过错推定责任适用范围的立法目的彻底落空。

因此，个人信息保护法中的个人信息权益应当理解为一种具体的民事权益，即与隐私权、名誉权等相并列的一种人格权益。明确个人信息权益的民事权益的性质之后，就可以知道个人信息保护法第四章规定“个人在个人信息处理活动中的权利”只是个人信息权益内容的具体化而已，其中，个人对其个人信息处理的知情权和决定权是个人信息权益最核心的内容，而查阅权、复制权、可携带权、更正权、补充权、删除权、解释说明权等只是手段性或救济性权利，旨在保护知情权和决定权。因为对知情权和决定权最大的威胁来自个人信息处理者，所以要专门规定个人在个人信息处理活动中的权利。当然，除了个人信息保护法第四章的规定外，民法典规定也为个人信息权益提供了预先的保护和事后的救济，如停止侵害、排除妨碍、消除危险、损害赔偿、赔礼道歉、消除影响等民事责任。

个人信息保护法第四章所规定的“个人在个人信息处理活动中的权利”指向的义务主体是个人信息处理者，也就是说，只有个人信息处理者履行对应的义务，才能实现个人的这些权利。如个人请求查阅、复制其个人信息，个人信息处理者应当及时提供，否则查阅复制权就无法实现。现代社会个人信息处理活动无时不在、无处不在、无所不在，如果没有一套合理的权利实现程序加以保障，个人无法实现查阅复制权、删除权等权利。同样，一套科学合理的权利实现机制，对于个人信息处理者而言也是非常有利的，它能确保个人信息处理者在符合法律规定的前提下，既充分保护个人的权利，又能降低成本、提高效率。故此，个人信息保护法第五十条第1款规定：“个人信息处理者应当建立便捷的个人行使权利的申请受理和处理机制。拒绝个人行使权利的请求的，应当说明理由。”为了真正保障个人在个人信息处理活动中权利的落实，同条第2款还规定：“个人信息处理者拒绝个人行使权利的请求的，个人可以依法向人民法院提起诉讼。”

司法实践中有一种观点认为，个人信息保护法第五十条第2款设置了个人向法院起诉的前置条件。也就是说，当个人信息权益遭受侵害时，个人应先向个人信息处理者提出请求，只有被处理者拒绝后才能起诉，否则法院应予驳回。笔者不赞同这种观点：首先，个人信息保护法第五十条第2款是承接第1款而作出的规定，因为第1款要求个人信息处理者建立个人行使权利的程序机制，并且要求个人在拒绝个人行使权利的请求时说明理由，所以第2款才接续规定如果个人信息处理者拒绝个人行使权利的请求的，个人可以起诉。由于个人的查阅、复制、更正、补充、删除等权利本身就是请求权，需要个人信息处理者的配合才能实现该权利，故此，几乎没有人会在尚未针对个人信息处理者行使这些请求权的时候，就直接向法院起诉。因为这样做的后果是，原告无法证明其个人信息权益中的查阅、复制、更正、补充、删除等权利受到了侵害。然而，个人信息处理者的个人信息处理活动侵害个人信息权益，如未取得个人的同意就收集个人信息的，该行为就已经产生了个人针对处理者的停止侵害等人格权请求权，而此种人格权请求权不同于个人在个人信息处理活动中的权利，不存在适用个人信息保护法第五十条第2款规定的问题。这种情况下，个人依据的是民法典第九百九十五条、第一千一百六十七条，来行使针对个人信息处理者行使停止侵害的请求权。该请求权既可以直接针对个人信息处理者行使，也可以直接向法院起诉的方式加以实现。

其次，诉权是民事主体最基本的民事权利。依据立法法第八条，民事基本制度只能制定法律。对于民事主体的诉权的限制必须由全国人民代表大会和全国人大常委会制定的法律作出明确的规定，行政法规、司法解释等都不加以规定，也不能任由法院随意解读法律的规定就得出对民事主体的诉权施加了限制的结论。法律上对民事诉讼设置前置程序的典型规定如土地管理法第十四条，该条规定，土地所有权和使用权争议，由当事人协商解决；协商不成的，由人民政府处理。当事人对有关人民政府的处理决定不服的，可以自接到处理决定通知之日起三十日内，向人民法院起诉。显然，这一条明确地将人民政府对土地权属争议的处理作为向法院起诉的前置程序。

最后，如果认为个人信息权益被侵害后个人须先向个人信息处理者提出请求，遭到拒绝后才能向法院起诉，那么法院在决定是否受理时势必要审查个人是否向个人信息处理者提出请求，如果处理者既不停止对个人信息权益的侵害，也不出具任何拒绝的证明材料，个人岂非无法起诉来维护自身合法权益？这显然是极不妥当的。至于有些人担心滥诉、“诉讼爆炸”等，目前尚无实证数据支持，以此为由明显是逻辑推理上的“滑坡谬误”，明明存在相关因素可以阻止，却仍要假设允许个人直接起诉就一定会引发“诉讼爆炸”的局面。