【知情权、决定权】
【条文主旨】
本条是关于个人在个人信息处理活动中所享有的知情权及决定权的规定。
【条文理解】
个人信息保护法第四章是关于个人在个人信息处理活动中所享有权利的规定,本条位于本章的第一条,因而首先需要正确把握本条与本章其余条文之间的关系。全国人大常委会法工委经济法室领导在对个人信息保护法做解读时指出:“个人信息保护法将个人在个人信息处理活动中的各项权利,包括知悉个人信息处理规则和处理事项、同意和撤回同意,以及个人信息的查询、复制、更正、删除等总结提升为知情权、决定权,明确个人有权限制个人信息的处理。”[1]这一解读,明确了本条所规定的知情权及决定权的生发路径与具体意旨,对于正确把握该条文具有重要意义。
就“知情权”而言,域外个人信息保护立法基本也都将“知情权”规定于个人所享有的各项权利之首,如GDPR第十三条等,可见该权利的基础性与根本性。之所以这种规定模式具有普遍性,是因为对个人信息处理活动的知情构成个人行使其他权利的事实前提。如果个人对于个人信息处理者所进行的个人信息处理活动并不知情,那么个人自然无法行使查阅、复制、更正、删除等诸项权利。因而,保护个人在个人信息处理活动中所享有的各项权利,首先就需要保护个人对个人信息处理活动的知情权。
相对而言,“决定权”这一表述在外国立法例中并不常见,因而需要重点加以理解。全国人大常委会法制工作委员会领导在对《中华人民共和国个人信息保护法(草案)》进行说明时曾明确指出,“(草案)确立以‘告知-同意’为核心的个人信息处理一系列规则”[2]。因而作为与知情权并列规定的“决定权”,其核心意涵其实即为“同意权”“撤回同意权”“拒绝同意权”。除此以外,个人所享有的“更正权”及“删除权”,也应当被理解为是个人在个人信息处理过程中所享有的“决定权”的体现。虽然“决定权”这一表述具有较强的开放性,但是却不宜认为个人可以任其心意决定个人信息处理者以何种方式处理个人信息。否则,从法解释的角度看,个人信息保护法中对于各类权利的具体规定便可能会失去意义,甚至还可能会导出未列明权利所受限制远少于列明权利的荒谬结论;从现实影响的角度看,一些正常生产经营、市场营销活动可能会受到影响。
【适用指南】
一、个人知情权的行使与其限度
个人对个人信息处理过程所享有的知情权是一项极为重要的权利。从实践来看,个人行使知情权一般来说是不需要提供理由的,尤其是当个人要求查阅、复制本人的个人信息时。从个人信息保护法第四十四条和第五十条的规定来看,应当认为在这一点上采取了类似的观点。个人有权根据其需要,在任意合理的时间点向个人信息处理者主张行使知情权。个人信息处理者应当为个人行使知情权提供便捷的渠道,并及时提供个人所需的相关信息。
不过,这并不意味着个人的知情权是没有限度的。一方面,个人的知情权有可能会与他人的正当权益或公共利益产生冲突。例如,个人信息保护法第四十八条规定,个人有权要求个人信息处理者对其个人信息处理规则进行解释说明。然而,个人信息处理者对其所使用的个人信息处理规则可能享有知识产权或正当竞争利益。此时,如果不对个人的知情权加以限制,便可能会对个人信息处理者的正当权益造成不成比例的损害。另一方面,个人也可能会滥用其知情权。可以想见,如果个人不断要求个人信息处理者向其提供个人信息副本,完全可能会对个人信息处理者正常的个人信息处理活动造成严重干扰。
从正面讲,个人的知情权只及于其本人的个人信息和那些对其做出有效同意具有重要意义的信息。只要个人信息处理者所提供的信息已经足够保障一个具有一般生活经验的人,能够理性地决定是同意还是拒绝相关个人信息处理活动,那么个人信息处理者便已充分保障个人的知情权。从反面讲,根据个人信息保护法第十八条的规定,在法律、行政法规已经明确排除个人知情权的情形下,或者在情势紧急确实无法及时向个人告知的情形下,个人也不得主张行使知情权。此外,在个人要求行使知情权的频率明显高于一般情形的情况下,个人信息处理者有权要求个人说明理由;缺乏正当理由的,个人信息处理者有权拒绝个人的知情权请求。
二、个人信息处理者的告知义务
在法律关系中,一方的权利指向另一方的义务。个人对个人信息处理活动享有知情权,相对地,个人信息处理者便对个人信息处理活动负有告知义务。但值得注意的是,个人信息保护法实际上科以个人信息处理者两类告知义务。一类是第十七条、第二十三条等所规定的主动告知义务。在这些条款所规定的情形下,即便个人没有主张行使知情权,个人信息处理者也必须主动将相关事项及时告知个人。否则,便可能导致其个人信息处理活动的合法性基础不复存在。另一类是第四十五条、第四十八条等所规定的被动告知义务。在这些条款所规定的情形下,只有个人主张行使相关知情权,个人信息处理者才负有告知义务。
个人信息处理者在履行告知义务时应当落实本法第五条及第七条的原则要求。个人信息处理者在告知个人相关信息时需要遵循诚信原则,即所告知的信息应当真实、准确、完整,不得故意误导、隐瞒。
三、决定权的行使与其限度
理论上,决定权的行使方式与知情权的行使方式并无明显区别,个人信息处理者应当提供便捷的渠道供个人行使其决定权。一般来看,个人信息处理者需要重点关注并保障个人在三个事项上的决定权,否则便很可能遭受监管部门的处罚。
其一,是个人的同意权(拒绝权)。除非基于法律或行政法规的规定,个人信息处理者可以不经个人同意而对个人信息进行处理,否则,个人信息处理者唯有在获得个人同意的情况下,才能够对个人信息进行处理。如果个人信息的处理目的、处理方式和处理的个人信息种类发生变更的,个人信息处理者还必须重新获得个人的同意,才能够继续进行个人信息处理活动。过去实践中常常出现的一种现象是,在个人选择拒绝后,个人信息处理者便表示拒绝继续提供相关服务。对此,个人信息保护法第十六条已经进行了明确的禁止性规定。除非处理个人信息为提供产品或者服务所必需,不然个人信息处理者不得以个人不同意处理其个人信息为由,拒绝提供产品或者服务。
其二,是个人的撤回同意权及删除权。个人信息处理者必须提供便捷的渠道,在个人意图撤回其同意时,允许个人撤回同意。根据本法第四十七条的规定,个人信息处理者此时应当及时删除相关个人信息。在法律、行政法规规定的保存期限未届满,或者删除个人信息从技术上难以实现的情形下,个人信息处理者应当停止除存储和采取必要的安全保护措施之外的处理。
其三,是个人拒绝自动化决策的权利。根据本法第二十四条的规定,个人信息处理者应当提供便捷的渠道,以便个人可以拒绝个性化的信息推送、商业营销。另外,当涉及对个人权益有重大影响的决定时,个人信息处理者应当提供便捷的渠道,以便个人可以拒绝个人信息处理者仅通过自动化决策的方式做出的决定。
此外,决定权的行使也同样是有限度的。由于决定权对个人信息处理活动的影响远比知情权要大得多,因而个人信息保护法也对决定权的行使施加了更多的限制。在个人信息保护法第十三条第二项至第七项的情形下,个人均不得拒绝个人信息处理者对其个人信息进行处理,除非个人信息处理者的个人信息处理活动已经明显超过了界限,不当侵害了个人的正当权益。值得指出的是,在这些除外情形下,个人虽然不得行使决定权,但依然享有知情权。因而,除非法律、行政法规另有规定,否则个人信息处理者依然应当按照第十七条的要求,及时告知个人个人信息处理活动的相关信息。
【相关规定】
《中华人民共和国个人信息保护法》第五条、第七条、第十三条、第十七条、第二十四条。