□ 商希雪

內(nèi)容提要 隨著《個人信息保護(hù)法》的出臺，個人信息保護(hù)的規(guī)范框架已經(jīng)基本形成。在規(guī)范層面，個人信息控制能力的權(quán)利化表達(dá)也愈加具體和細(xì)化。個人信息民事確權(quán)的核心功能在于保障信息主體對信息的控制能力。在具體制度適用層面，需要處理好以下兩方面問題：一是要根據(jù)不同的信息法益及其保護(hù)場景，明晰知情權(quán)、同意權(quán)與具體的信息自決權(quán)的具體規(guī)范目的，以及相應(yīng)的權(quán)利構(gòu)成要件和法律效果；二是要結(jié)合不同的法律實(shí)踐，恰當(dāng)區(qū)分信息主體對于隱私權(quán)、信息安全保障權(quán)、信息控制權(quán)的本質(zhì)訴求與發(fā)生場景，進(jìn)而確定各自的規(guī)范體系和規(guī)范思路。

目前，針對頻發(fā)的超越必要權(quán)限、超同意范圍的信息收集及信息處理行為，一方面我國立法尚未對個人信息的自主控制做出細(xì)化設(shè)置，另一方面司法實(shí)踐難以支持用戶表達(dá)反對收集、 要求訪問或刪除等控制其個人信息的正當(dāng)訴求，而是主要采取隱私權(quán)侵權(quán)保護(hù)模式。不同于隱私權(quán)的法益保護(hù)內(nèi)涵，個人信息控制權(quán)利主要指信息主體對自身信息的控制能力.信息主體對其信息的交付和使用具有自由決定權(quán)，法律應(yīng)確定與現(xiàn)實(shí)保護(hù)該項(xiàng)獨(dú)立法益。①當(dāng)前，我國個人信息一系列立法已經(jīng)或即將出臺，規(guī)范層面主要從技術(shù)手段保障、數(shù)據(jù)處理者履責(zé)、信息主體控制等三個維度加強(qiáng)對個人信息的保護(hù)。然而，各部門法融合視野的規(guī)范模式導(dǎo)致司法適用的茫然.司法實(shí)踐如何適用最新立法與落實(shí)規(guī)范目標(biāo)，需要通過學(xué)理闡釋搭建規(guī)范與適用層面的橋梁。對此，應(yīng)區(qū)分公、私法領(lǐng)域各自的規(guī)范目標(biāo)與規(guī)制對象，進(jìn)而厘清各方的權(quán)義界限與責(zé)任性質(zhì)。

一、個人信息控制能力的權(quán)利化表達(dá)

自決能力是個人信息權(quán)利的核心法益，當(dāng)事人應(yīng)按照自己的意志處理其個人信息所承載的各種價值，如若違背了信息主體的自由意志，則侵犯了自然人的個人權(quán)利，理應(yīng)有尋求相應(yīng)的民事救濟(jì)的權(quán)利。

（一）個人信息權(quán)利制度的正當(dāng)性

信息控制能力賦權(quán)的合理性在于以下幾方面：第一，不是所有的數(shù)據(jù)處理都具有侵犯性，也不是所有的數(shù)據(jù)都具有隱私敏感性。不同類型個人信息的自決權(quán)益存在不同程度的行使邊界，因此有必要對個人信息做出類型劃分，并在該分類基礎(chǔ)上設(shè)置具體的自決制度。第二，信息自決不宜理解為信息主體對其信息的絕對控制，也應(yīng)結(jié)合技術(shù)管控進(jìn)行賦權(quán)。比如，借鑒GDPR 規(guī)定的與自動決策和分析相關(guān)的權(quán)利。此類權(quán)利實(shí)際上是一種保障，防止在沒有人為干預(yù)的情況下機(jī)器的自動決策和分析做出一些可能具有破壞性的決定。如果自動決策是基于明確的同意或法律授權(quán)，則該權(quán)利不可繼續(xù)行使。GDPR 將“自動分析”定義為旨在評估公民個人事項(xiàng)的任何形式的自動處理，例如工作中的表現(xiàn)、健康狀況、個人偏好、經(jīng)濟(jì)狀況、地理位置等。如果信息主體確實(shí)要借助自動分析，必須確保存在充分的安全措施，例如確保使用了適當(dāng)?shù)臄?shù)學(xué)或統(tǒng)計(jì)程序、保護(hù)了個人數(shù)據(jù)、制定了能夠糾正錯誤的措施，并將錯誤的風(fēng)險(xiǎn)降到最低。第三，釋放數(shù)據(jù)的利用價值是發(fā)展數(shù)字經(jīng)濟(jì)的核心要義，信息自決并不是排斥數(shù)據(jù)控制者的處理利益。必須承認(rèn)，積極行使型信息權(quán)益在實(shí)務(wù)中很難落實(shí)與執(zhí)行，用戶（潛在的信息主體）數(shù)量龐大與訴求多元，相對而言，企業(yè)的人力與財(cái)力則較為有限，若配合實(shí)現(xiàn)信息主體的自決權(quán)利，需付出的成本過高。在開放的互聯(lián)網(wǎng)場域，數(shù)據(jù)控制者去判斷、 確定并通知所有第三方其實(shí)是不可能完成的任務(wù)。因此，法律保護(hù)實(shí)踐應(yīng)考量企業(yè)合規(guī)的成本高低與可行性做出判斷。第四，人格權(quán)保護(hù)制度無法涵蓋個人信息承載的所有信息主體利益，并且在數(shù)字化使用場景中，信息主體相關(guān)的信息權(quán)益不必然首要適用人格權(quán)保護(hù)制度。個人信息權(quán)法益涵蓋人格尊嚴(yán)、數(shù)字生活便利、市場經(jīng)濟(jì)利益等法益集合，人格權(quán)保護(hù)制度（如隱私權(quán)制度）、個人信息權(quán)利保護(hù)制度均為其提供了制度保障。在數(shù)字化產(chǎn)業(yè)中，鑒于某些信息產(chǎn)品或服務(wù)的運(yùn)營需要收集與使用個人隱私信息，隱私信息的合理商業(yè)使用同樣需要適用個人信息權(quán)利制度，而非傳統(tǒng)的人格權(quán)制度。

（二）信息控制能力的權(quán)利化及其權(quán)利內(nèi)涵

“個人信息自決法益” 起源于20 世紀(jì)六七十年代，當(dāng)時的社會背景是信息自動化處理技術(shù)的產(chǎn)生與普及，信息技術(shù)的發(fā)展對信息主體的自主權(quán)產(chǎn)生了直接影響。鑒于數(shù)據(jù)處理的海量化與深度化，關(guān)于數(shù)據(jù)控制者（包括政府機(jī)關(guān)與企業(yè)）在大量收集與深加工個人信息過程中對于信息主體做出的任何決定，信息主體均無從知曉哪些數(shù)據(jù)會被使用、用于何種目的、使用期限等事項(xiàng)，考慮到公共或私人組織處理數(shù)據(jù)是出于公共性職能目的，信息主體基本上對數(shù)據(jù)處理無任何干涉能力。由此，為了更好地平衡雙方的“信息力量”從而誕生了數(shù)據(jù)保護(hù)制度，以及獨(dú)立于隱私權(quán)的數(shù)據(jù)權(quán)利。②因此，“信息自決”理念的產(chǎn)生是為了防止過度收集與使用個人信息，亦是隱私權(quán)利與數(shù)據(jù)權(quán)利的分野初始。③個人信息自決權(quán)的行使邏輯為：“如果對某種法益的保護(hù)成為個人自我發(fā)展之桎梏，那么就沒有保護(hù)的必要，法益主體即具有對法益的自由處分可能性?！雹芑谠摼?，個人信息權(quán)利內(nèi)涵應(yīng)該被理解為控制和操縱個人信息是“決定自我生活”的實(shí)現(xiàn)方式，信息控制能力是個人能夠決定自己生活的前提條件。⑤個人信息被保護(hù)權(quán)與個人信息權(quán)在權(quán)利結(jié)構(gòu)上存在差異，兩者的目標(biāo)保護(hù)法益并無實(shí)質(zhì)區(qū)分，但是權(quán)利結(jié)構(gòu)的不同造成了法律救濟(jì)渠道的差異，個人信息被保護(hù)權(quán)難以有力支撐信息私權(quán)利益的個人維權(quán)主張。那么，原則上該如何劃定社會可普遍接受的個人信息權(quán)利內(nèi)容？ 第一，在個人信息公開之前，當(dāng)事人有權(quán)決定個人信息公開的內(nèi)容、方式、程度、范圍、環(huán)境等；第二，在個人信息公開之后，當(dāng)事人有權(quán)決定對個人信息的進(jìn)一步處理，以保證已被收集的信息不被扭曲；第三，個人信息完成預(yù)期處理目的后，當(dāng)事人有權(quán)決定是否留存與刪除個人信息。綜上，信息控制能力包括信息披露、信息處理、信息去留等三項(xiàng)權(quán)利內(nèi)容。

（三）個人信息控制權(quán)與信息安全保障、隱私權(quán)的內(nèi)涵界分

個人在個人信息處理活動中的權(quán)利，屬于手段性權(quán)利或救濟(jì)性權(quán)利，旨在保護(hù)個人信息權(quán)益在內(nèi)的個人權(quán)益。⑥據(jù)此來看，個人在處理活動中涉及的權(quán)益涵蓋個人信息權(quán)利、 信息安全保障權(quán)利、 隱私權(quán)利等，但個人信息權(quán)與信息安全保障權(quán)、隱私權(quán)存在本質(zhì)差異，應(yīng)對各自蘊(yùn)含的權(quán)益內(nèi)容予以區(qū)分。

1.個人信息控制權(quán)與信息安全保障權(quán)的內(nèi)涵區(qū)分

信息自主控制不等同于信息安全。我國現(xiàn)行刑法處罰向他人出售和非法提供個人信息行為，針對的是個人信息的泄露與公開行為，維護(hù)個人信息在保存上的安全，尤其針對數(shù)據(jù)庫，背后的保護(hù)法益為社會秩序與公共安全。而信息自決權(quán)益保護(hù)信息主體對于個人信息的自主控制，旨在保障信息主體的信息控制力，彰顯對自然人人格利益與自主選擇生活方式的尊重，《民法典》 將個人信息自決權(quán)規(guī)定于人格權(quán)編也反映出這樣的法益歸屬立場。因此本文重點(diǎn)關(guān)注的是個人信息控制能力，對于個人信息安全問題如線上或線下的信息泄露或竊取行為暫不做具體探討。侵害信息安全主要表現(xiàn)為非法獲取、泄露、毀損、篡改、丟失個人信息，并可能引起下游侵害行為導(dǎo)致信息主體具體人身或財(cái)產(chǎn)權(quán)益的損害。侵犯信息控制能力主要表現(xiàn)為：（1）數(shù)據(jù)控制者超越必要權(quán)限、或者超出同意范圍的信息收集或權(quán)限獲取、 或者未經(jīng)同意進(jìn)一步處理個人信息；（2）未適當(dāng)提供信息主體訪問、更正、刪除個人信息的功能，或者無合法依據(jù)而拒絕信息主體訪問、更正、刪除相關(guān)個人信息的要求。目前，在司法實(shí)務(wù)中個人信息糾紛案件所涉及的個人信息多數(shù)發(fā)生在非自動化處理環(huán)境下。⑦因此，對于非自動化處理個人信息所產(chǎn)生的糾紛，本質(zhì)上并不屬于信息權(quán)利的法律糾紛范疇。

2.個人信息控制權(quán)（個人信息權(quán)）與隱私權(quán)的內(nèi)涵區(qū)分

信息控制權(quán)與信息隱私權(quán)（不止限于隱私信息）也存在本質(zhì)區(qū)分。隱私權(quán)訴求是不愿被他人知曉、不想被披露，個人信息權(quán)訴求是決定信息是否被收集與處理（封閉的信息通信環(huán)境中），從而獲取便利的數(shù)字服務(wù)。所以，信息主體應(yīng)當(dāng)根據(jù)不同的個人權(quán)益訴求場景，選擇適用隱私權(quán)保護(hù)制度或個人信息保護(hù)制度，不必然為人格權(quán)制度絕對優(yōu)先適用。目前司法實(shí)踐中法院主要適用隱私權(quán)制度保護(hù)個人信息權(quán)，部分判決中還出現(xiàn)將兩者混用不予區(qū)分的做法。⑧數(shù)據(jù)權(quán)利制度存在兩個保護(hù)維度：其一，保護(hù)個人的隱私（人格尊嚴(yán)），因此原則上禁止處理個人敏感信息；其二，保護(hù)個人的自決（個人發(fā)展），因此原則上禁止數(shù)據(jù)自動化處理，增加信息流動的透明度并加以限制，以防止公共或私營數(shù)據(jù)控制者與信息主體之間形成或延續(xù)不成比例的信息權(quán)力關(guān)系。隱私權(quán)制度保障隱私信息不被公開以及被公開后的救濟(jì)途徑，相應(yīng)地，信息隱私法律制度的核心原則是禁止處理個人私密信息。而信息權(quán)利制度旨在保障個人信息保持在信息主體可控制其動向的狀態(tài)，保護(hù)信息的隱私利益適用隱私權(quán)侵權(quán)保護(hù)制度即可。值得注意的是，信息主體對于隱私信息仍然享有自決權(quán)，關(guān)于個人敏感信息的自決規(guī)范同樣歸屬信息自決法律體系。⑨美國、德國、我國臺灣地區(qū)等判例均承認(rèn)隱私的財(cái)產(chǎn)價值，而我國隱私權(quán)僅承載人格利益。目前，兼顧人格權(quán)與財(cái)產(chǎn)權(quán)的個人信息權(quán)益的司法保護(hù)實(shí)踐在逐步推進(jìn)，針對個人信息保護(hù)糾紛，隱私權(quán)侵權(quán)有可能逐步淪為宣示性權(quán)利，喪失個人信息權(quán)利救濟(jì)的實(shí)際意義。⑩

二、個人信息權(quán)利的雙層規(guī)范路徑與體系化梳理

當(dāng)前，我國規(guī)范層面對個體控制自我信息能力的賦權(quán)主要表現(xiàn)為知情權(quán)、 同意權(quán)與具體的決定權(quán)?！睹穹ǖ洹返?035 條確立了個人對其信息的同意權(quán)，第1036 條確立了知情權(quán)、更正權(quán)與刪除權(quán)等，?《個人信息保護(hù)法》第四章則構(gòu)建了完整的信息權(quán)利體系。

（一）知情同意與具體自決權(quán)的雙層規(guī)范體系

信息控制能力的表現(xiàn)階段包括收集階段與后續(xù)的數(shù)據(jù)處理環(huán)節(jié)，收集階段的同意表示是后續(xù)行使具體信息自決權(quán)的前提條件。體現(xiàn)在規(guī)范設(shè)置上，知情同意權(quán)與具體的信息自決權(quán)呈現(xiàn)雙層運(yùn)行模式。信息控制能力范疇的知情同意權(quán)與具體的信息自決權(quán)，在現(xiàn)實(shí)操作中是兩類不同行使機(jī)制的權(quán)利。

1.知情同意權(quán)與具體信息自決權(quán)并行的雙層規(guī)范路徑

知情同意機(jī)制的設(shè)置目的為： 一旦個人同意成為信息主體，即有權(quán)獲知任何有關(guān)個人信息被處理的動向與處理目的，也有權(quán)訪問、（隨時）查閱、修改個人信息，同時也可隨時不附條件地撤銷原先對數(shù)據(jù)收集方的同意。?盡管知情權(quán)并非是獨(dú)立的信息自決權(quán)，但用戶同意及協(xié)商機(jī)制是信息自決權(quán)產(chǎn)生與行使前的一道門檻，在平臺服務(wù)協(xié)議中應(yīng)明確用戶對數(shù)據(jù)控制者進(jìn)行數(shù)據(jù)處理以及自身對信息服務(wù)或產(chǎn)品調(diào)整需求時的介入內(nèi)容、干涉方式等，進(jìn)而從制度保障與技術(shù)支持的雙重緯度明確與落實(shí)個人對被收集信息的后續(xù)控制能力。?因此，從個體賦權(quán)角度，關(guān)于個人信息意思自治權(quán)利的規(guī)制，目前國內(nèi)外規(guī)范層面主要從以下兩個維度構(gòu)建：一方面，針對數(shù)據(jù)控制者對于信息的收集、權(quán)限的獲取、信息的共享、信息的進(jìn)一步處理等信息處理行為，原則上適用告知同意制度，對應(yīng)信息主體的知情同意權(quán)，數(shù)據(jù)控制者對此應(yīng)履行告知同意義務(wù)。當(dāng)然，告知同意也不是“萬能的” 免責(zé)機(jī)制，其適用與效力也應(yīng)受到一定的限制，如不得超越公民的通信自由和通信秘密、隱私權(quán)等基本權(quán)利的保護(hù)；?另一方面，針對信息服務(wù)運(yùn)營中的個人信息，信息主體同樣享有控制與自決的權(quán)利，主要滿足訪問、修改、更正、刪除、攜帶信息等個體自控訴求，數(shù)據(jù)控制者對應(yīng)附隨的協(xié)助義務(wù)。值得注意的是，具體信息自決權(quán)的行使與實(shí)現(xiàn)主要依賴于技術(shù)路徑。由此，關(guān)于個人信息的私權(quán)保護(hù)設(shè)置，知情同意權(quán)與具體信息自決權(quán)實(shí)則為兩個相對獨(dú)立的私權(quán)自治軌道，規(guī)范層面上表現(xiàn)為雙層的權(quán)利機(jī)制，共同構(gòu)成了個人信息權(quán)利體系，但兩者在利益內(nèi)涵與行使目標(biāo)上是一致的。但也需要說明，兩者在實(shí)行機(jī)制上存在現(xiàn)實(shí)區(qū)分，知情同意權(quán)的落實(shí)需要被告知行為的配合，且主要發(fā)生在收集環(huán)節(jié)。在收集環(huán)節(jié)上征得同意主要是保障信息安全，這就與具體信息自決權(quán)的單純私權(quán)屬性有所不同。在當(dāng)前個人信息保護(hù)的執(zhí)法行動中，違規(guī)收集個人信息、強(qiáng)制頻繁過度索取權(quán)限、 違規(guī)使用個人信息和定向推送等侵犯個人信息的問題最為突出，其中最常見的侵犯行為即“違規(guī)收集個人信息”，該類信息侵犯行為不限于侵犯個人私權(quán)領(lǐng)域，相較于訪問、修改、刪除、攜帶等用戶個體化的行為操作，收集行為一般統(tǒng)一面向不特定的海量規(guī)模的用戶，其規(guī)范性同時也關(guān)乎公共信息安全與網(wǎng)絡(luò)空間的公共秩序，因此與個體自主行使的具體信息自決權(quán)在規(guī)制目標(biāo)上存在差異。

2.抽象的信息自決能力與具體的信息自決權(quán)利：知情同意規(guī)范的間接賦權(quán)

根據(jù)相關(guān)法律文件的規(guī)定，個人同意是信息得以處理的主要前提之一，因此間接賦予了信息主體的同意權(quán)，《個人信息保護(hù)法》 第四章專章規(guī)定了個人在個人信息處理活動中的權(quán)利，但未直接提及信息享有同意權(quán)，僅在第47 條規(guī)定撤回同意是信息處理者主動刪除信息的法定事由之一，第44 條則規(guī)定信息主體有知情權(quán)，但知情權(quán)不等同于同意權(quán)。因此，在目前制度體系下，信息處理規(guī)則是賦予信息主體同意權(quán)的主要依據(jù)。從權(quán)利行使目的來說，知情同意是用戶就本人信息處理問題表示自決意愿的表現(xiàn)，也是落實(shí)信息自決能力的方式和手段。考察我國理論界關(guān)于個人信息自決權(quán)與知情同意權(quán)關(guān)系的闡述，有學(xué)者認(rèn)為，個人信息權(quán)主要是指對個人信息的支配和自主決定。個人信息權(quán)的內(nèi)容包括兩個層面的行使路徑：一是個人對信息被收集、被利用、被處理等方面的知情權(quán)；二是自己利用或者授權(quán)他人收集、處理、利用的決定權(quán)。?另有學(xué)者認(rèn)為，個人信息控制權(quán)是需要通過個人信息保護(hù)法確立的一項(xiàng)新型公法權(quán)利，而非具體的人格權(quán)。?還有學(xué)者指出，侵犯公民個人信息罪的保護(hù)法益是個人信息權(quán)中的信息自決權(quán)。?不談?wù)w個人信息權(quán)的法律地位與部門法領(lǐng)域，僅從私權(quán)保護(hù)層面的法益內(nèi)涵來說，主體同意本質(zhì)上屬于廣義上信息自決（控制）能力的范疇。對于上述論斷，一個關(guān)鍵問題需要廓清：在權(quán)利外延上，個人信息自決權(quán)是否涵蓋知情同意權(quán)？盡管從權(quán)利內(nèi)涵來說，知情同意權(quán)蘊(yùn)含自決權(quán)能的行使。但是從權(quán)利規(guī)范形式看，本文認(rèn)為不宜將知情同意權(quán)視為獨(dú)立的信息自決權(quán)利。這是因?yàn)椋海?）在規(guī)范要件構(gòu)成上，知情同意機(jī)制并非為信息自決意愿的表達(dá)機(jī)制，因此，在規(guī)范層面上知情同意權(quán)不是某一具體的信息自決權(quán)；（2）知情同意權(quán)并非某一具體權(quán)利，而是一個較為寬泛的權(quán)利概念。幾乎所有信息權(quán)利均蘊(yùn)含知情與同意權(quán)能，知情與同意是行使各項(xiàng)數(shù)據(jù)權(quán)利的權(quán)能內(nèi)容，因此也并不存在獨(dú)立的“知情同意權(quán)”；（3）鑒于知情與同意是兩種權(quán)能機(jī)制，“知情同意權(quán)” 也并不是專門的權(quán)利組成，例如在收集階段描述為收集（知情）權(quán)、同意（收集）權(quán)則顯得更為恰當(dāng)；（4）一般來說，知情同意的獲取與表達(dá)主要發(fā)生在信息收集與權(quán)限獲取階段，因此從時間上來說，收集階段的知情同意是產(chǎn)生后續(xù)具體信息權(quán)利的前提。并且，收集階段的知情同意權(quán)與被收集后產(chǎn)業(yè)運(yùn)營過程中的知情同意權(quán)在權(quán)利內(nèi)容與行使方式上也不同。

基于上述分析，針對個人信息權(quán)益的現(xiàn)實(shí)實(shí)現(xiàn)，知情同意權(quán)的規(guī)范要件較為分散，知情同意更應(yīng)視為一種權(quán)利保障機(jī)制或權(quán)能內(nèi)容，其法律地位應(yīng)從兩個層面理解：（1）從權(quán)利行使角度，知情同意權(quán)應(yīng)為信息隱私權(quán)與自決權(quán)等具體信息權(quán)利的權(quán)能內(nèi)容；（2）在信息安全層面，信息主體的知情同意權(quán)對應(yīng)數(shù)據(jù)控制者的數(shù)據(jù)安保責(zé)任、 附隨告知或協(xié)助義務(wù)。所以，個人信息權(quán)利如知情同意權(quán)與具體信息自決權(quán)，均指向個人信息自控能力的實(shí)現(xiàn)，但是從規(guī)范要件維度，知情同意權(quán)不是具體的信息自決權(quán)。知情同意制度更應(yīng)作為一種權(quán)利保障機(jī)制和權(quán)能內(nèi)容，并且主要與數(shù)據(jù)控制者的安保責(zé)任、合規(guī)處理、協(xié)助義務(wù)等強(qiáng)制性規(guī)范相結(jié)合運(yùn)用，基于該考量思路，知情同意權(quán)在一定程度上可視為一種獨(dú)立權(quán)利。知情同意權(quán)重點(diǎn)針對信息或權(quán)限獲取環(huán)節(jié)； 信息自決權(quán)主要針對后續(xù)的產(chǎn)業(yè)運(yùn)營環(huán)節(jié)。所以，對信息主體的知情同意能力賦權(quán)是行使信息自決權(quán)的前提，但告知同意機(jī)制下的知情同意權(quán)并不是信息決定權(quán)本身?！秱€人信息保護(hù)法》第44 條對知情、決定的并列描述，亦間接證實(shí)了這一點(diǎn)。

（二）個人信息權(quán)利的體系化梳理

《民法典》 第1037 條規(guī)定的個人信息主體的權(quán)利當(dāng)然屬于民事權(quán)利，?由此說明法律層面已賦予個人對于其個人信息享有民事權(quán)益。基于所規(guī)定的個人信息權(quán)益內(nèi)容的一致性，其他法律文件如《個人信息保護(hù)法》在第四章規(guī)定的個人在個人信息處理活動中的權(quán)利，亦屬于民事權(quán)利。在此基礎(chǔ)上，針對既有的關(guān)于個人信息權(quán)益的規(guī)定規(guī)則，以下將系統(tǒng)性梳理完整的個人信息權(quán)利體系。

1.基于告知同意機(jī)制的知情同意權(quán)與撤回同意權(quán)

知情同意權(quán)是對透明處理原則的權(quán)利回應(yīng)。梳理現(xiàn)有規(guī)范規(guī)則，知情同意權(quán)包括直接的知情同意權(quán)與間接的知情同意權(quán)。（1）直接的知情同意權(quán)，主要包括同意收集權(quán)、同意營銷權(quán)、同意（進(jìn)一步）處理權(quán)。?例如，在國內(nèi)“人臉識別第一案”中，法院認(rèn)為，園方未經(jīng)告知并獲取用戶事先同意就收集用戶人臉信息的行為，侵犯了當(dāng)事人的個人信息權(quán)。因此，侵犯知情同意權(quán)實(shí)質(zhì)是侵犯個人信息權(quán)的行為。（2）間接的知情同意權(quán)，即撤回同意授權(quán)的權(quán)利?！毒W(wǎng)絡(luò)安全法》《民法典》均未提及主體撤回授權(quán)同意的權(quán)利，但立法確認(rèn)同意撤回權(quán)已成為全球個人信息保護(hù)立法的趨勢與共識，我國最新頒布的《個人信息保護(hù)法》也體現(xiàn)了這一點(diǎn)，根據(jù)《個人信息保護(hù)法》的相關(guān)規(guī)定，信息主體行使撤回同意權(quán)不只限于信息收集階段，這是因?yàn)?，在最初的同意收集階段，信息主體往往很難判斷做出該同意將面臨何種后果，因此撤回同意在信息收集、使用、保存、共享等數(shù)據(jù)全生命周期內(nèi)均可行使。此次將“撤回同意”升格至法定權(quán)利，顯示了立法對個人信息的嚴(yán)格保護(hù)態(tài)度。?此外，《App違法違規(guī)收集使用個人信息行為認(rèn)定方法》 第3條第8 款規(guī)定，App 運(yùn)營者未向用戶提供撤回同意收集個人信息的途徑、方式的情況，屬于“未經(jīng)用戶同意收集使用個人信息”的違規(guī)行為。

2.非基于告知同意機(jī)制： 積極行使的具體信息自決權(quán)

個人對信息的自主控制主要表現(xiàn)為訪問（查詢）、更正、修改、補(bǔ)充、復(fù)制、攜帶等，《民法典》第1037 條概括性規(guī)定了個人信息主體的權(quán)利，自然人可以向信息控制者依法查閱、 抄錄或者復(fù)制其個人信息；發(fā)現(xiàn)信息有錯誤的，有權(quán)提出異議并請求及時采取更正等必要措施?！睹穹ǖ洹访鞔_了我國當(dāng)前法定信息自決權(quán)包括訪問權(quán)、 更正權(quán)與刪除權(quán)等三項(xiàng)具體權(quán)利?！秱€人信息保護(hù)法）》第四章則專章呈現(xiàn)了完整全面的信息主體的個人信息權(quán)利體系。在目前我國規(guī)范體系下，理論上信息決定權(quán)可分為信息處理權(quán)利、刪存權(quán)利與規(guī)則解釋權(quán)。

（1）信息處理權(quán)利

從行使權(quán)利角度分析信息處理權(quán)，可做以下劃分：1）訪問權(quán)：數(shù)據(jù)主體訪問權(quán)是基礎(chǔ)性權(quán)利，數(shù)據(jù)主體有權(quán)向數(shù)據(jù)控制者確認(rèn)與其相關(guān)的數(shù)據(jù)是否正在接受處理以及有關(guān)的操作。信息訪問權(quán)包括查閱、抄錄或者復(fù)制信息等后續(xù)權(quán)利內(nèi)容。在目前規(guī)范體系下，《民法典》《個人信息保護(hù)法》規(guī)定自然人可以向信息控制者依法查閱、 抄錄或者復(fù)制其個人信息?！兑苿踊ヂ?lián)網(wǎng)應(yīng)用（App）收集個人信息基本規(guī)范（征求意見稿）》則從規(guī)范數(shù)據(jù)控制者角度規(guī)定App 應(yīng)向用戶提供實(shí)時查詢信息收集類型與數(shù)據(jù)接收方身份的功能。2）更正、補(bǔ)充權(quán)：《民法典》《個人信息保護(hù)法》 規(guī)定自然人發(fā)現(xiàn)信息有錯誤時有權(quán)提出異議并請求數(shù)據(jù)控制者及時更正。由此意味著更正權(quán)蘊(yùn)含異議權(quán)，因?yàn)楸磉_(dá)異議是行使更正權(quán)的前提?！毒W(wǎng)絡(luò)安全法》規(guī)定，用戶發(fā)現(xiàn)網(wǎng)絡(luò)運(yùn)營者收集、 存儲其個人信息有錯誤的，有權(quán)要求網(wǎng)絡(luò)運(yùn)營者予以更正。兩者對于更正權(quán)的發(fā)生場景要求一致，均是以記載錯誤為前提。3）限制處理權(quán)、拒絕處理權(quán)（反對處理權(quán)）：對比之前的個人信息保護(hù)規(guī)范，《個人信息保護(hù)法》第44條新增了信息主體的限制處理權(quán)與拒絕處理權(quán)，即個人有權(quán)限制或者拒絕他人對其個人信息進(jìn)行處理。4）數(shù)據(jù)可攜權(quán)：《個人信息保護(hù)法》首次規(guī)定了數(shù)據(jù)可攜權(quán)，第45 條第1 款規(guī)定“個人有權(quán)向個人信息處理者查閱、復(fù)制其個人信息”；第3 款規(guī)定了“個人請求將其個人信息轉(zhuǎn)移至其指定的個人信息處理者，符合國家網(wǎng)信部門規(guī)定條件的，個人信息處理者應(yīng)當(dāng)提供轉(zhuǎn)移的途徑”。至此，數(shù)據(jù)可攜帶權(quán)被正式納入我國個人信息保護(hù)法律體系，成為信息主體的合法民事權(quán)利。由此顯示，個人對其提交給數(shù)據(jù)處理者的信息可實(shí)現(xiàn)更全面的控制。?

（2）信息刪存權(quán)利

數(shù)據(jù)刪存權(quán)利主要包括儲存、刪除、注銷信息的權(quán)利，根據(jù)信息主體的主動性，又可分為自主刪除與更正刪除兩類。其一，自主刪除型刪除權(quán)。基于存儲限制原則，數(shù)據(jù)存儲時間不得長于實(shí)現(xiàn)處理目的所必需的時間。因此，數(shù)據(jù)控制者需要建立定期清除制度。?需要注意，綜合分析有關(guān)規(guī)定來看，信息主體的刪除權(quán)同時也受一定程度的限制，具體表現(xiàn)如下：（1）根據(jù)《民法典》的規(guī)定，信息主體僅可就被違規(guī)（主要指超出權(quán)限）收集或處理的信息部分，要求信息控制者刪除；（2）根據(jù)《電子商務(wù)法》的規(guī)定，網(wǎng)絡(luò)消費(fèi)者可要求電子商務(wù)經(jīng)營者刪除所有的個人信息，包括先前授權(quán)平臺獲取的信息?！峨娮由虅?wù)法》確立的信息刪除權(quán)利的內(nèi)容更全面，但僅限電子商務(wù)消費(fèi)場景，《個人信息保護(hù)法》則采納了同樣的立場，由此，刪除權(quán)的適用對象涵蓋所有的信息使用場景?！稊?shù)據(jù)安全管理辦法（征求意見稿）》第23 條規(guī)定，網(wǎng)絡(luò)運(yùn)營者利用用戶數(shù)據(jù)和算法推送新聞信息、商業(yè)廣告等“定向推送”服務(wù)，應(yīng)當(dāng)以明顯方式標(biāo)明“定推”字樣，為用戶提供停止接收定向推送信息的功能； 用戶選擇停止接收定向推送信息時，應(yīng)當(dāng)停止推送，并刪除已經(jīng)收集的設(shè)備識別碼等用戶數(shù)據(jù)和個人信息。可以看到，個人信息規(guī)范層面對于商業(yè)應(yīng)用場景中的信息使用持非常嚴(yán)格謹(jǐn)慎的保護(hù)態(tài)度。此外，在刪除信息時，信息處理者同樣需要征得用戶的同意，而目前尚無相關(guān)的規(guī)定。本文認(rèn)為，未經(jīng)同意的刪除行為應(yīng)被視為“毀損信息”行為，適用網(wǎng)絡(luò)運(yùn)營者不得毀損信息的相關(guān)規(guī)定。其二，更正或排除妨害型刪除權(quán)。該類信息刪除權(quán)以信息記載存在錯誤為前提。?結(jié)合相關(guān)規(guī)范可以總結(jié)出，信息刪除請求權(quán)的前提要求是：（a）信息來源是由第三方非法披露與傳播，或者（b）受到商業(yè)推廣信息的侵?jǐn)_，或者（c）被違規(guī)收集的部分。值得注意的是，《個人信息保護(hù)法》第47 條為信息主體提供了一項(xiàng)類似“行為中止”的刪除權(quán)救濟(jì)保障措施，即當(dāng)信息主體主張行使刪除權(quán)時，如果保存期限尚未屆滿或技術(shù)操作難以實(shí)現(xiàn)，個人信息處理者則應(yīng)當(dāng)中止或停止處理個人數(shù)據(jù)以作為對信息主體刪除權(quán)的救濟(jì)。

（3）規(guī)則解釋權(quán)利

《個人信息保護(hù)法》第48 條規(guī)定了信息主體的規(guī)則解釋權(quán)，該項(xiàng)權(quán)利包含對信息處理的算法解釋權(quán)，且僅針對平臺服務(wù)協(xié)議。一方面，根據(jù)透明原則，解釋說明權(quán)蘊(yùn)含公開與“可懂”兩項(xiàng)法益內(nèi)容；另一方面，過度頻繁的解釋說明工作會極大增加處理者的運(yùn)營成本?；谝话憬?jīng)驗(yàn)，用戶要求處理者解釋信息處理規(guī)則主要出于對該處理規(guī)則可能影響其合法權(quán)益的擔(dān)憂（如大數(shù)據(jù)殺熟等），又因?yàn)樾畔⒓夹g(shù)的高度專業(yè)性，用戶很難理解具體處理過程及技術(shù)原理，響應(yīng)《個人信息保護(hù)法》第17 條的立法精神，該規(guī)定在適用中應(yīng)蘊(yùn)含以通俗易懂語言解釋的要求。

三、 個人信息民事權(quán)利制度的規(guī)范不足及其司法應(yīng)對

隨著民眾對于個人信息權(quán)利意識的覺醒和提升，司法訴訟中涌現(xiàn)出越來越多的個人信息保護(hù)糾紛，例如，對于未經(jīng)用戶同意推送商業(yè)短信，用戶主張侵害其個人信息及隱私權(quán)等。?在類似案例的判決中，法院認(rèn)為，個人信息權(quán)益的核心在于自然人對其個人信息的知情同意權(quán)和對信息傳播的控制權(quán)，信息主體對個人信息傳播的控制利益屬于人格權(quán)益。?然而，鑒于立法層面對個人信息權(quán)利的規(guī)范概括性與模糊性，司法層面如何認(rèn)識與落實(shí)個人信息權(quán)利的保護(hù)實(shí)踐，尚需獨(dú)立的權(quán)利認(rèn)知和理性的判斷程序。

（一）目前我國個人信息權(quán)利規(guī)范的不足

知情同意權(quán)是指，未經(jīng)信息主體的同意，數(shù)據(jù)控制者不得對個人信息做出預(yù)期目的之外的處理或使用；具體的信息決定權(quán)則是指，信息主體可隨時訪問、更正、攜帶與刪除信息的權(quán)利。上述兩類信息權(quán)益的實(shí)現(xiàn)機(jī)制，均對應(yīng)數(shù)據(jù)控制者的安保責(zé)任或附隨性協(xié)助義務(wù)。在目前的制度體系下，個人信息民事權(quán)利的規(guī)范要件依舊不夠完整與明確，不利于指導(dǎo)司法實(shí)踐以及信息主體積極行使信息權(quán)利。

1.知情同意權(quán)表達(dá)場景的分散性

在商業(yè)應(yīng)用場景中，App 運(yùn)營者收集信息與獲取權(quán)限原則上必須遵循知情同意規(guī)則，應(yīng)履行告知同意義務(wù)。《App 違法違規(guī)收集使用個人信息行為認(rèn)定方法》 規(guī)定了以下違規(guī)行為的構(gòu)成與要求：“未公開收集使用規(guī)則”、“未明示收集使用個人信息的目的、方式和范圍”、“未經(jīng)用戶同意收集使用個人信息”、“違反必要原則，收集與其提供的服務(wù)無關(guān)的個人信息”、“未經(jīng)同意向他人提供個人信息”，由此側(cè)面反映了侵犯信息主體個人意愿的行為表現(xiàn)，即意味著，在上述App 運(yùn)營環(huán)節(jié)，信息主體享有行使知情同意權(quán)的需要與空間。整體上來看，《認(rèn)定方法》 對于信息產(chǎn)業(yè)規(guī)范運(yùn)營的規(guī)制思路主要從“未經(jīng)同意”角度定性了數(shù)據(jù)控制者收集行為的違法違規(guī)性，核心圍繞主體同意制度，體現(xiàn)了保障個人對其信息的控制能力，以尊重個人信息所承載的人格利益與人格尊嚴(yán)。因此，App 運(yùn)營者如果實(shí)施了上述違法違規(guī)的收集、獲取、告知行為，均侵犯到了信息主體對于其個人信息的知情同意權(quán)。國家標(biāo)準(zhǔn)《個人信息告知同意指南》規(guī)定了告知同意的適用情形、免于告知同意的情形、告知同意的基本原則、告知同意制度的具體實(shí)踐等，并在附錄部分關(guān)于未成年人個人信息、SDK、IoT等九類場景下告知同意制度的具體實(shí)踐提供了建議，知情同意權(quán)呈現(xiàn)規(guī)范分散性與內(nèi)涵多元性。

2.具體的信息自決權(quán)法律要件的不完整性

在《個人信息保護(hù)法》出臺之前，我國已有一些法律或其他規(guī)范性文件對民事性質(zhì)的個人信息權(quán)利做了初步規(guī)定。其中比較典型的是《民法典》《網(wǎng)絡(luò)安全法》《電子商務(wù)法》《個人信息安全規(guī)范》等規(guī)范文件。在個人信息權(quán)利的要件構(gòu)成上，上述文件為個人信息私權(quán)保護(hù)的整體思路提供了基本參照。但是，當(dāng)前制度保護(hù)體系下在信息權(quán)利保護(hù)適用上主要存在以下兩方面問題：

其一，某些具體信息自決權(quán)的法定要件不統(tǒng)一，導(dǎo)致相關(guān)的規(guī)范性文件難以銜接適用。以刪除權(quán)為例，一方面，《民法典》《網(wǎng)絡(luò)安全法》《個人信息保護(hù)法》規(guī)定自然人發(fā)現(xiàn)信息控制者違反法律、行政法規(guī)的規(guī)定或者雙方的約定收集、 處理其個人信息的，有權(quán)請求信息控制者及時刪除?！禔pp違法違規(guī)收集使用個人信息行為認(rèn)定方法》 第六節(jié)亦明確規(guī)定了“未提供有效的更正、刪除個人信息及注銷用戶賬號功能” 的行為可以被認(rèn)定為未按法律規(guī)定提供刪除或更正個人信息功能。?由此看到，信息控制者違反法律、行政法規(guī)的規(guī)定或者雙方約定進(jìn)行收集或處理數(shù)據(jù)是刪除權(quán)行使的前提要求。此處針對數(shù)據(jù)控制者的不法收集行為行使刪除權(quán)，可視為知情同意機(jī)制失靈后的后續(xù)補(bǔ)救措施，刪除權(quán)是可被直接行使的權(quán)利，而非知情權(quán)被侵犯后的救濟(jì)權(quán)利?！度珖舜蟪Ｎ瘯P(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》 所規(guī)定的刪除權(quán)則與上述規(guī)定在發(fā)生場景與保護(hù)法益上顯著不同，《決定》 中的刪除權(quán)針對的是以網(wǎng)絡(luò)信息形式泄露個人身份或隱私或發(fā)送商業(yè)郵件而導(dǎo)致侵?jǐn)_的情形，公民有權(quán)要求刪除相關(guān)個人身份或隱私的信息，此處對應(yīng)的是網(wǎng)絡(luò)運(yùn)營者，與數(shù)據(jù)控制者是不同的法律主體身份，后者主要是指數(shù)據(jù)產(chǎn)品或服務(wù)的運(yùn)營者，而前者的范圍則更加廣泛，不限于數(shù)字產(chǎn)業(yè)領(lǐng)域。另一方面，刪除權(quán)的法益保護(hù)目的為： 當(dāng)信息存儲期限屆滿或者收集或持有信息的最初目的已經(jīng)不存在時應(yīng)賦予信息主體刪除權(quán)。但是，我國當(dāng)前刪除權(quán)規(guī)范目標(biāo)在于防范數(shù)據(jù)控制者違法違規(guī)收集或使用行為，而非出于落實(shí)數(shù)據(jù)處理的目的限制原則。對于上述規(guī)定規(guī)則的規(guī)范構(gòu)成，其法律要件在司法適用上存在缺陷。其二，未提供具體信息權(quán)利對應(yīng)的保護(hù)標(biāo)準(zhǔn)，《民法典》《個人信息保護(hù)法》 等基本數(shù)據(jù)立法缺乏配套性規(guī)定，專門立法需要后續(xù)實(shí)施細(xì)則的進(jìn)一步落實(shí)。以數(shù)據(jù)可攜權(quán)為例，《個人信息保護(hù)法》第45條對數(shù)據(jù)可攜權(quán)僅作出了原則性規(guī)定，具體的適用要求與配套規(guī)定尚未出臺，例如對行使數(shù)據(jù)可攜權(quán)時傳輸數(shù)據(jù)的格式規(guī)定不明確?；诖耍鳛槲覈贫润w系下完全新出現(xiàn)的權(quán)利類型，對數(shù)據(jù)可攜權(quán)的理論基礎(chǔ)尚不完全明晰，理論與制度之間的結(jié)合尚需學(xué)理解釋的銜接，例如，考慮到平臺企業(yè)的合規(guī)成本以及發(fā)展平臺經(jīng)濟(jì)角度，可以從個人信息類型、處理方式、處理目的、平臺規(guī)模以及對第三方權(quán)益影響等方面對數(shù)據(jù)可攜權(quán)的行使做適當(dāng)限縮。綜上來看，法律保護(hù)實(shí)踐中目前存在的主要問題在于：一方面，條款本身并不完整，只規(guī)定了發(fā)生場景，并主要表現(xiàn)為警告性規(guī)定，而未從私權(quán)行使層面規(guī)定信息主體的行使行為、 數(shù)據(jù)控制者的違規(guī)行為標(biāo)準(zhǔn)與對應(yīng)的民事責(zé)任?！睹穹ǖ洹贰秱€人信息保護(hù)法》 中涉及個人信息權(quán)利的條文大部分也是不完全規(guī)范，與審判、執(zhí)法實(shí)踐主要適用完全性規(guī)范的現(xiàn)實(shí)需求相背離，?由此導(dǎo)致個案之間法律適用的爭議較大，執(zhí)法與司法中的尺度無法統(tǒng)一。

（二）侵害個人信息民事權(quán)利的司法判斷思路

根據(jù)《個人信息保護(hù)法》第50 條與第69 條規(guī)定，如果個人信息處理者拒絕個人行使權(quán)利的請求，個人可以依法向人民法院提起訴訟。以及，因處理個人信息造成個人信息權(quán)益損害的，個人信息處理者應(yīng)當(dāng)承擔(dān)損害賠償?shù)惹謾?quán)責(zé)任。由此可知，對于具體信息權(quán)利行使遭遇障礙、個人權(quán)益遭受損害，均具有可訴性。但由于《個人信息保護(hù)法》的施行時間較短，尚無對此規(guī)定的配套解釋，以及私法領(lǐng)域未明確對個人信息進(jìn)行確權(quán)以及缺乏具體的保護(hù)措施規(guī)定，當(dāng)前司法處理中多采納隱私權(quán)保護(hù)模式。?針對個人信息立法賦權(quán)與司法維權(quán)存在脫節(jié)的問題，2020年12月29日，最高人民法院印發(fā)《關(guān)于修改〈民事案件案由規(guī)定〉的決定》的通知，在新變更的第三級案由“隱私權(quán)、個人信息保護(hù)糾紛”項(xiàng)下增加“隱私權(quán)糾紛”、“個人信息保護(hù)糾紛”。由此表明，針對個人信息保護(hù)糾紛，司法工作應(yīng)具備獨(dú)立的權(quán)利認(rèn)知。前面已論述，侵害個人信息權(quán)利本質(zhì)上侵害的是信息主體的信息控制力。在司法審查中，需要結(jié)合個案情況做出具體判斷：第一，在信息保護(hù)糾紛中，被侵害的法益是否屬于信息控制利益？第二，信息主體對信息的失控達(dá)到何種程度時可被認(rèn)定構(gòu)成損害？下一步，在規(guī)范層面上，鑒于個人信息權(quán)利可分為知情同意與自主支配兩類權(quán)利束，兩者在適用場景、要件構(gòu)成、權(quán)利行使、責(zé)任設(shè)置等方面并不統(tǒng)一，既有區(qū)分又存關(guān)聯(lián)。司法實(shí)務(wù)中要落實(shí)個體的信息保護(hù)制度，不應(yīng)僅符合對隱私政策的評估，更需要從本質(zhì)價值層面做出衡量。針對信息技術(shù)可能給個人控制能力帶來的威脅，闡釋個人信息權(quán)利時應(yīng)結(jié)合具體的信息使用場景。例如，個人信息權(quán)與隱私權(quán)在客體利益上不同，隱私權(quán)是防御性權(quán)利，隱私信息優(yōu)先適用隱私權(quán)保護(hù)指的是隱私信息受到披露侵害時，在當(dāng)初信息收集與處理過程中則應(yīng)適用個人信息相關(guān)規(guī)范。

基于信息主體對于不同信息不同程度的可控力，在司法認(rèn)定中，各類信息自決權(quán)益的行使邊界如下：（1）對于私密信息，信息主體最在意的是隱私利益的維護(hù)，而對于自決權(quán)益的行使僅限于某些特殊的應(yīng)用場景，例如數(shù)字醫(yī)療中的生理健康數(shù)據(jù)。因此，信息隱私保護(hù)優(yōu)先適用隱私權(quán)制度，特殊情況下適用個人信息自決制度；（2）對于個人敏感信息，信息主體最關(guān)注的是信息安全的保障。鑒于敏感信息的敏感性在于“一旦泄露、非法提供或?yàn)E用可能危害人身和財(cái)產(chǎn)安全，極易導(dǎo)致個人名譽(yù)、 身心健康受到損害或歧視性待遇等”，?因此，對敏感信息的法律保護(hù)可能適用具體的人格權(quán)制度如隱私權(quán)、名譽(yù)權(quán)、肖像權(quán)等，也可能適用個人信息自決規(guī)范，兩類制度在適用上并無明顯優(yōu)先性；（3）對于其他（一般）個人信息，僅適用個人信息自決制度，一般與人格權(quán)保護(hù)無交集。值得注意的是，上述制度適用考量首要指向信息主體的權(quán)利救濟(jì)路徑，數(shù)據(jù)控制者對于信息主體應(yīng)承擔(dān)民事責(zé)任。同時，上述情形中亦可能涉及《網(wǎng)絡(luò)安全法》《刑法》 及其他規(guī)范中數(shù)據(jù)控制者應(yīng)擔(dān)負(fù)的刑事或行政責(zé)任。

結(jié) 語

在數(shù)字化社會模式下，個人信息權(quán)利具有雙重法益屬性，既涉及自然人的人格維護(hù)，又關(guān)乎數(shù)據(jù)產(chǎn)業(yè)的開發(fā)與運(yùn)營。因此，隱私與數(shù)據(jù)保護(hù)法律制度應(yīng)有所演變，以適應(yīng)信息技術(shù)的發(fā)展給社會、政治、經(jīng)濟(jì)領(lǐng)域帶來的根本變革，個人信息的確權(quán)即具有現(xiàn)實(shí)意義。由于普通用戶對互聯(lián)網(wǎng)技術(shù)的認(rèn)識和掌握明顯處于劣勢，個人很難了解其個人信息如何被處理和利用，對此缺乏直接和間接的控制力。個人信息保護(hù)與大數(shù)據(jù)利用之間的互動關(guān)系本質(zhì)上取決于主體信息控制能力的程度大小與現(xiàn)實(shí)行使。個人信息權(quán)利規(guī)范設(shè)定了個人信息私權(quán)利益的保護(hù)邊界，也并不會阻礙數(shù)字經(jīng)濟(jì)的創(chuàng)新發(fā)展，合法合規(guī)視野下的信息處理行為會促使數(shù)據(jù)資源的開放利用進(jìn)入良性循環(huán)。對于自然人對其個人信息的控制能力，理論層面應(yīng)首先厘清個人信息權(quán)利在立法設(shè)置與司法適用中的合理性與可行性，進(jìn)而實(shí)現(xiàn)協(xié)同運(yùn)轉(zhuǎn)效力以保障民眾正在呼吁的個人信息保護(hù)訴求。鑒于當(dāng)前規(guī)范層面關(guān)于個人信息保護(hù)的規(guī)定尚不完善，一方面，立法應(yīng)逐步細(xì)化與具體化，出臺配套性文件加強(qiáng)規(guī)范自身的可操作性；另一方面，法律實(shí)務(wù)應(yīng)把握個人信息保護(hù)規(guī)范旨在保障的真正權(quán)益內(nèi)涵，進(jìn)而切實(shí)落實(shí)個人對于信息權(quán)利的主張與訴求。

注釋：

①姬蕾蕾：《大數(shù)據(jù)時代數(shù)據(jù)權(quán)屬研究進(jìn)展與評析》，《圖書館》2019年第2 期。

②Rouvroy Antoinette & Poullet Yves，The Right to Informational Self-Determination and the Value of Self-Development: Reassessing the Importance of Privacy for Democracy, in Gutwirth, S., Poullet, Y., de Hert, P., de Terwangne,C., Nouwt, S.(Eds.).Reinventing Data Protection? Springer,2009, p.68-69.

③Hans Peter Bull, Informationelle Selbstbestimmung Vision oder Illusion? Hamburg, 2009, p.22； European Union Agency for Fun-damental Rights and Council of Europe,Hand book on European data protection law (2018 edition),Luxembourg： Publications Office of the European Union,2018, p.19-20.

④［日］曽根威彥:《刑法學(xué)の基礎(chǔ)》，成文堂2001年版，第51 頁。

⑤Rouvroy Antoinette & Poullet Yves, The Right to Informational Self-Determination and the Value of Self-Development: Reassessing the Importance of Privacy for Democracy, p.51-52.

⑥程嘯：《個人信息保護(hù)法理解與適用》，中國法制出版社2021年版，第327 頁。

⑦余遠(yuǎn)芳：《個人信息的侵權(quán)法救濟(jì)：〈民法總則〉第111 條的司法適用》，https://mp.weixin.qq.com/s/hY5Lyg-iPA TZZRuVmXx6dg，2021年5月12日訪問。

⑧李怡：《個人一般信息侵權(quán)裁判規(guī)則研究——基于68個案例樣本的類型化分析》，《政治與法律》2019年第6 期。

⑨商希雪：《個人信息隱私利益與自決利益的權(quán)利實(shí)現(xiàn)路徑》，《法律科學(xué)》2020年第2 期。

⑩辛小天：《個人信息民事救濟(jì)如何解困隱私權(quán)訴之惑》，https://mp.weixin.qq.com/s/srgOTnGVCCfPy1eYQTNBow，2021年7月25日訪問。

??周漢華：《個人信息保護(hù)的法律定位》，《法商研究》2020年第3 期。

?蔡星月：《數(shù)據(jù)主體的“弱同意”及其規(guī)范結(jié)構(gòu)》，《比較法研究》2019年第4 期。

?P.Samuelson, Information as Property: Do Ruckelshause and Carpenter Signal a changing Direction in Intellectual Property Law? Catholic University Law Review, 1989,38(2).

?張新寶：《個人信息收集： 告知同意原則適用的限制》，《比較法研究》2019年第6 期。

?王利明:《論個人信息權(quán)的法律保護(hù)——以個人信息權(quán)與隱私權(quán)的界分為中心》，《現(xiàn)代法學(xué)》2013年第4 期。

?劉艷紅:《民法編纂背景下侵犯公民個人信息罪的保護(hù)法益： 信息自決權(quán)——以刑民一體化及 〈民法總則〉第111 條為視角》，《浙江工商大學(xué)學(xué)報(bào)》2019年第6 期。

?姚佳：《個人信息主體的權(quán)利體系——基于數(shù)字時代個體權(quán)利的多維觀察》，《華東政法大學(xué)學(xué)報(bào)》2022年第2 期。

?該權(quán)利行使表現(xiàn)為信息處理上的自決性，圍繞最小化原則、目的限制原則與信息透明原則展開?！秱€人信息安全規(guī)范》第7 條第3（a）款關(guān)于個人信息的使用限制具體規(guī)定了個人信息的訪問控制措施、展示限制、使用目的限制；用戶畫像的使用限制、個性化展示的使用、基于不同業(yè)務(wù)目的所收集的個人信息的匯聚融合、信息系統(tǒng)自動決策機(jī)制的使用等具體事項(xiàng)，主要針對數(shù)據(jù)控制者在信息使用上的行為要求與注意規(guī)定，在同意范圍內(nèi)的使用限制，主要以業(yè)務(wù)范圍為判斷標(biāo)準(zhǔn)。

?南財(cái)合規(guī)科技研究院：《個人信息保護(hù)法合規(guī)啟示報(bào)告》，2021年8月。

?武曉莉：《〈個人信息保護(hù)法〉亮點(diǎn)解讀 個人數(shù)據(jù)可以帶著走》，《中國消費(fèi)者報(bào)》2021年8月25日，第4 版。

?《數(shù)據(jù)安全管理辦法（征求意見稿）》第20 條、《民法典》第1037 條第2 款、《電子商務(wù)法》第24 條、《App 違法違規(guī)收集使用個人信息行為認(rèn)定方法》第6 條。

?《個人信息安全規(guī)范》第8 條第3 款、《全國人民代表大會常務(wù)委員會關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》 第8條、《網(wǎng)絡(luò)安全法》第43 條。

?劉曉春、李夢雪：《2021年數(shù)據(jù)競爭與個人信息保護(hù)典型案件盤點(diǎn)》，《中國對外貿(mào)易》2022年第2 期。

?梁某訴匯法網(wǎng)案，(2021)京04 民終71 號。

?盡管本文認(rèn)為注銷權(quán)是刪除權(quán)的延伸性權(quán)利，但從立法上來看，注銷權(quán)是獨(dú)立于刪除權(quán)的數(shù)據(jù)權(quán)利，鑒于《民法典》《個人信息保護(hù)法》并未提及注銷權(quán)，本文不列注銷權(quán)作為法定的具體信息自決權(quán)。

?丁宇翔:《個人信息民事司法保護(hù)的若干難點(diǎn)及破解路徑》，《中國審判》2019年第19 期。

?冷傳莉、 李怡:《司法保護(hù)視角下的隱私權(quán)類型化》，《法律科學(xué)》2017年第5 期。

?喻海松:《侵犯公民個人信息罪的司法適用態(tài)勢與爭議焦點(diǎn)探析》，《法律適用》2018年第7 期。