法律知识

核心观点

1.个人信息保护请求权是指《个人信息保护法》第四十五条—第四十八条规定的查阅请求权、复制请求权、转移请求权、更正请求权和补充请求权、删除请求权。个人信息保护请求权是为保护个人的知情权、决定权、限制或者拒绝权等个人信息权益以及其最终保护的若干基本人权、宪法上的权利与自由、民法上的人格权等而设立的程序性权利。

2.个人应当先行向个人信息处理者行使个人信息保护请求权，实现其查阅、复制、转移、更正和补充以及删除的目的。在此等请求权不能通过当事人之间的沟通实现的情况下，个人向人民法院起诉，通过诉讼和执行程序实现这样的请求权。

3.个人因其个人信息被非法处理受到人身、财产损害的，可以依法直接向人民法院提起损害赔偿等诉讼，而无需向个人信息处理者先行提出损害赔偿请求。

一、个人信息保护请求权

法学理论特别是民法理论，依权利的本质属性，将权利分为支配权、请求权和形成权。支配权是指权利主体对客体占有和处置的权利，典型的是所有权。请求权是指权利主体对义务主体提出请求以满足其利益需求的权利，典型的是债权。形成权是指权利主体通过其意思表示产生、变更或者消灭权利义务关系的权利，典型的是解除权。请求权的特征在于没有可供支配的客体，其行使也不形成新的权利义务关系。请求权是特定的主体之间的权利义务关系，因而权利主体只能向特定的义务主体提出请求。权利主体的权利和利益之实现，有赖于义务主体依权利主体的请求为一定的行为或者不为一定的行为，实践中通常是为一定的行为。在民法领域，请求权的内容或者是请求为一定的财产性质的行为，或者是为一定人身性质的行为。

个人信息权益包括其所保护的实体性权益和为了保护这些实体性权益而享有的程序性权利。《个人信息保护法》对此等权利和利益做出了列举性规定，包括知情权、决定权、限制或者拒绝权（第四十四条），以及一系列个人信息保护请求权，包括查阅请求权和复制请求权、转移请求权、更正请求权和补充请求权、删除请求权：

《个人信息保护法》相关规定

第四十五条 个人有权向个人信息处理者查阅、复制其个人信息；有本法第十八条第一款、第三十五条规定情形的除外。

个人请求查阅、复制其个人信息的，个人信息处理者应当及时提供。

个人请求将个人信息转移至其指定的个人信息处理者，符合国家网信部门规定条件的，个人信息处理者应当提供转移的途径。

第四十六条 个人发现其个人信息不准确或者不完整的，有权请求个人信息处理者更正、补充。

个人请求更正、补充其个人信息的，个人信息处理者应当对其个人信息予以核实，并及时更正、补充。

第四十七条 有下列情形之一的，个人信息处理者应当主动删除个人信息；个人信息处理者未删除的，个人有权请求删除：

（一）处理目的已实现、无法实现或者为实现处理目的不再必要；

（二）个人信息处理者停止提供产品或者服务，或者保存期限已届满；

（三）个人撤回同意；

（四）个人信息处理者违反法律、行政法规或者违反约定处理个人信息；

（五）法律、行政法规规定的其他情形。

法律、行政法规规定的保存期限未届满，或者删除个人信息从技术上难以实现的，个人信息处理者应当停止除存储和采取必要的安全保护措施之外的处理。

第四十八条 个人有权要求个人信息处理者对其个人信息处理规则进行解释说明。

《个人信息保护法》规定的上述请求权，在外观上可以用民法的请求权理论进行解释：（1）这些请求权是个人（权利主体）对个人信息处理者（义务主体）请求为一定行为的权利，包括查阅、复制、转移、更正和补充、删除等。（2）这些权利的实现，有赖于义务主体为一定的行为，即协助权利主体进行查阅、复制等。

同时，我们也应当看到，个人信息保护请求权本质上不同于民法上的请求权，关键在于个人信息保护请求权没有财产性质或者人身性质的内容，而是为了保护个人的知情权、决定权、限制或者拒绝权而设定的程序性权利，当然最终是为了保护个人的相关人权、宪法上的某些基本权利和自由以及民法上的人格权，如人身和财产安全、通信自由与秘密、人格尊严、隐私和名誉等。

二、个人信息保护请求权的行使

《个人信息保护法》第五十条规定：

个人信息处理者应当建立便捷的个人行使权利的申请受理和处理机制。拒绝个人行使权利的请求的，应当说明理由。

个人信息处理者拒绝个人行使权利的请求的，个人可以依法向人民法院提起诉讼。

本条有两款规定。第一款规定了个人信息处理者的义务：建立便捷的个人行使权利的申请受理和处理机制以及拒绝个人请求的说明义务。第二款规定了个人的一项起诉权利：在个人信息处理者拒绝个人行使权利请求的情形，个人可以依法向人民法院提起诉讼。这里的依法，除了本法的规定外，还包括《民事诉讼法》的有关规定。

从整体看，本条规定了个人行使个人信息保护请求权的路径，分为两个阶段：（1）向相关的个人信息处理者提出请求。在此等请求得到实现的情况下，个人的个人信息保护请求权得以实现，自无进一步寻求司法保护的必要。（2）于个人信息处理者拒绝之情形，个人的个人信息保护请求权无法在个人与个人信息处理者之间实现，此时个人可以依法向人民法院提起诉讼。

最高人民法院关于《民事案件案由规定》第一部分“人格权纠纷”中专门列举了“8.隐私权、个人信息保护纠纷（1）隐私权纠纷（2）个人信息保护纠纷”，其中的“个人信息保护纠纷”应当适用于此等案件。

《民法典》第一千零三十七条规定：

自然人可以依法向信息处理者查阅或者复制其个人信息；发现信息错误的，有权提出异议并请求及时采取更正等必要措施。

自然人发现信息处理者违反法律、行政法规的规定或者双方的约定处理个人信息的，有权请求信息处理者及时删除。

《民法典》虽然规定了个人的个人信息保护请求权，但是没有规定行使的路径，即没有明确个人可以直接向法院起诉还是需要先向个人信息处理者提出请求。而《个人信息保护法》作为保护个人信息的专门法律对此做出了规定，在法律适用上应适用《个人信息保护法》第五十条的具体规定。

综合考虑立法背景、域外经验以及条文的文义解释和体系解释等，笔者认为《个人信息保护法》第五十条为个人起诉设置了一个前置条件：个人只有在行使个人信息保护请求权被个人信息处理者拒绝的情况下，方可以向法院提起诉讼。未经向个人信息处理者行使请求权提出请求或者提出请求未被个人信息处理者拒绝的，则不能向法院提起诉讼。提起诉讼是否能胜诉，取决于个人信息处理者拒绝的理由是否正当。

三、个人信息保护请求权与个人信息受到侵害的损害赔偿请求权的关系

《个人信息保护法》第六十九条规定：

处理个人信息侵害个人信息权益造成损害，个人信息处理者不能证明自己没有过错的，应当承担损害赔偿等侵权责任。

前款规定的损害赔偿责任按照个人因此受到的损失或者个人信息处理者因此获得的利益确定；个人因此受到的损失和个人信息处理者因此获得的利益难以确定的，根据实际情况确定赔偿数额。

本条有两款规定。第一款规定了侵权责任的归责原则和构成要件，第二款规定了损害赔偿数额的确定标准。这里主要讨论第一款的规定。第一款的理解和适用应当与本法的相关条文和《民法典》第一千一百六十五条关于侵权责任的一般条款和过错推定的规定联系起来，进行体系化的解释。

基于体系化解释可以得出这样一些结论：

（1）归责原则。承担本条规定的损害赔偿等侵权责任，适用过错责任原则中的过错推定。侵权人承担责任的基础是其有过错，但是在这样的案件中原告无需证明被告的过错，而是推定被告有过错，但是给予其“证明自己没有过错”的机会。如果被告能够证明自己没有过错，则不承担侵权责任；反之，则应当承担侵权责任。有无过错，取决于其处理个人信息是否履行了《个人信息保护法》规定的义务以及是否尊重了个人在个人信息处理中的权利。

（2）构成要件。承担损害赔偿等侵权责任，要求处理者有违法处理个人信息的行为，个人受到了财产或人身方面的损害，违法处理个人信息的行为与损害之间有因果关系，同时需要处理者有过错（过错推定）。

（3）处理者承担的侵权责任主要是损害赔偿责任，包括财产损失的赔偿和精神损害赔偿。

个人依法享有个人信息保护请求权，在必要时依法向个人信息处理者提出请求。在这一阶段，如果个人信息处理者依法履行义务，满足其查阅、复制、转移、更正、补充或删除的要求，此时损害尚未出现，也就不能依据《个人信息保护法》第六十九条的规定向人民法院提起诉讼。只有在个人信息处理者处理其个人信息造成损害的情形，个人方可依据第六十九条的规定提起诉讼。不法处理个人信息造成损害的行为常见有处理个人信息没有合法基础（如没有告知同意）、处理敏感个人信息没有遵守特别规则、处理个人信息用于其他目的、非法出售或以其他方式转移或公开个人信息等。

在个人行使个人信息保护请求权被个人信息处理者拒绝的，个人可以依据《个人信息保护法》第五十条提起诉讼，同时遭受损失的可以同时提起损害赔偿请求；在尚未向个人信息处理者提出个人信息保护请求（查阅、复制、转移、更正、补充或删除）并受到拒绝之前，不宜依据第五十条提起诉讼。在个人信息保护请求权之外，个人信息处理者处理个人信息造成个人损害的，个人可以依据《个人信息保护法》第六十九条和《民法典》侵权责任编的有关规定提起诉讼，提出损害赔偿请求。

附录：典型案例

近日，杭州互联网法院对一起因购物信息公开引发的个人信息保护纠纷案作出裁定，驳回原告起诉。

· 案情速递

杜某诉称，其是某网购平台用户，曾在该平台多次购买商品。某日，其在购物过程中，被平台发布的“好友圈好友等你开拼手气红包”字样吸引，遂点击该字样，随后页面跳出“进圈并邀请好友”的跳转链接，杜某继续点击进入“好友圈”。随后，杜某发现其在该平台的购物记录被自动公开并分享，部分购物记录被朋友看到和提醒，使其产生隐私受到侵犯的感受。

杜某认为，依据《个人信息保护法》第十四条和第四十四条的规定，被告在处理用户个人信息时，侵犯其知情权和决定权，严重违反诚实信用原则，造成了相应精神损失，故向法院提起诉讼，要求被告停止侵权、赔礼道歉并赔偿损失。

平台辩称，杜某在用户注册时，平台已通过协议约定明确告知用户收集及使用用户个人信息的方式、范围及目的，并获得用户同意，且未收到杜某对其个人信息处理活动的查询申请或投诉信息，故不存在侵犯个人信息权益的行为。同时，平台提交了关于行使个人信息权利的申请受理和处理机制路径的相关材料。

· 法院：起诉前用户应先向平台主张权利

本案系网络侵权责任纠纷中的个人信息保护纠纷，结合案情和证据材料作程序审查，并未对侵权情形作实体审理。

《个人信息保护法》第五十条和第六十九条对个人信息的司法保护做出了规定。前者适用于个人在个人信息保护法第四章所规定的个人信息权利受到侵害或妨碍，但没有产生损害时所产生的一种“个人信息权利请求权”；后者适用于个人信息权益受到侵权损害而产生的一种“侵权损害赔偿请求权”。

“第五十条 个人信息处理者应当建立便捷的个人行使权利的申请受理和处理机制。拒绝个人行使权利的请求的，应当说明理由。

个人信息处理者拒绝个人行使权利的请求的，个人可以依法向人民法院提起诉讼。

第六十九条 处理个人信息侵害个人信息权益造成损害，个人信息处理者不能证明自己没有过错的，应当承担损害赔偿等侵权责任。

前款规定的损害赔偿责任按照个人因此受到的损失或者个人信息处理者因此获得的利益确定；个人因此受到的损失和个人信息处理者因此获得的利益难以确定的，根据实际情况确定赔偿数额。”

只要个人信息权利受到侵害或侵害即将发生，用户即可请求行为人承担停止侵害、排除妨碍、消除危险等民事责任，在构成要件上无需考虑个人信息处理者的主观过错和造成实际损害的因素。其目的在于为个人信息权利提供一种防御性的保护，避免侵权行为进一步产生实质化的损害后果。

同时，因个人信息流动大、使用频率高、范围广，在实践中，用户向个人信息处理者积极主张权利，是最快捷、最便利、最有效的维权方式。《个人信息保护法》第五十条第二款的诉权是以“个人信息处理者拒绝个人行使权利的请求”为前提，设置了个人向法院提起请求权救济的前置条件。

本案中，被告平台通过协议约定和后台设置，构建了个人行使权利的申请受理及处理机制，杜某可通过以上方式行使个人信息知情权和决定权。但杜某提起本案诉讼前并未向平台（信息处理者）提出请求，而是径行向本院请求救济其在个人信息处理活动中享有的权利，显然不符合法律规定中关于“个人信息权利请求权”的起诉受理条件。

综上，杭州互联网法院作出驳回起诉的裁定。同时，承办法官向杜某充分释明了权利救济的前置条件，引导其直接向个人信息处理者进行维权。

· 法官说法

《个人信息保护法》第五十条的前置条件不仅直接明确信息处理者的权利保障义务，同时也有效避免司法资源的浪费。本案旨在探索信息主体行使个人信息权利时诉权的前置条件的司法审查标准，厘清《中华人民共和国个人信息保护法》第五十条与第六十九条不同请求权的适用条件，引导当事人直接向信息处理者或信息保护履职部门进行维权，同时避免司法介入过多而抑制个人信息的有效传播和共享，强调个人信息处理者所应承担的权利保障义务。网购平台作为平台服务提供者，处理大量用户的个人信息，应当建立起便捷高效的个人信息申请受理和处理机制，为个人信息主体行使权利提供救济渠道，当事人可直接通过该渠道实现权利的行使。用户在向法院提起诉讼前，应先向信息处理者和信息保护履职部门寻求权利救济，进而通过多方参与，共同守护我们的个人信息安全。

【我们尊重原创，也注重分享。版权原作者所有，如有侵犯您的权益请及时联系，我们将第一时间删除。分享内容不代表本网观点，仅供参考。】