【查阅权、复制权、可携带权】

第四十五条 【查阅权、复制权、可携带权】

【条文主旨】

本条是关于个人对其个人信息的查阅、复制权以及可携带权的规定。

【条文理解】

查阅、复制权是个人在个人信息处理活动中的权利的核心组成部分，因为只有在得以查阅、复制个人信息的基础上，个人才能有效行使更正或者删除个人信息等其他权利。因此，有关个人信息保护的国际条约或外国立法几乎都规定了个人对其个人信息的查阅、复制权。以GDPR为例，第十五条“数据主体的访问权”（right of access by the data subject）第一款规定数据主体有权访问个人数据（access to the personal data），第三款规定数据控制者应当对其处理的个人数据提供拷贝（provide a copy of the personal data undergoing process）。概言之。个人查阅、复制权具有重要意义，有助于帮助个人以其积极行为支配个人信息，加强个人对个人信息的控制，并进而实现保护其精神性人格利益的目的。

本条第三款明确了在符合国家网信部门规定条件的前提下，个人有权请求个人信息处理者将个人信息转移至其指定的另外的个人信息处理者。该款实质上是对个人信息可携带权（right to data portability）的规定，是本法的一大重要亮点。

在理论上，一般认为可携带权具有以下两方面的现实意义：一方面，可携带权作为个人在个人信息处理活动中的权利的一部分，可以有效加强主体对于个人信息的控制，更好地保护其个人信息；另一方面，可携带权对于解决反垄断问题同样具有重要意义，如果数据可以在不同平台之间进行转移，那么用户的转移成本和对平台的依赖性都会大幅降低，不同平台之间的竞争将更加自由。

但是，可携带权的权利属性和实际效果都不乏争议。就可携带权的权利属性而言，有观点认为数据携带权自身存在固有的矛盾和问题：如丁晓东认为可携带权的权利边界可能面临过窄或过宽的困境，从而使可携带权失去意义或侵犯其他合法权益，因此其尚未具备成为一种成熟型权利的条件^[3]；又如卓力雄对GDPR中关于可携带权的规定进行了细致的分析，指出其存在一系列问题（如数据主体的“同意”可能导致数据主体无法主张可携带权的后果、可携带权的相关规定非常模糊、可携带权与被遗忘权即第三人权利之间存在冲突等）^[4]。就可携带权对于反垄断的意义而言，仲春等认为尽管可携带权具有促进市场有序竞争的效益，但却并非适用所有行业，需要个案分析^[5]；丁晓东亦指出，可携带权对于市场竞争的影响具有双面性，可携带权在很多情形下反而不利于市场竞争（如给中小企业带来更高合规压力、缓解“锁定效应”反而更可能有利于大企业、可携带权要求经营者共享财产不符合竞争法的基本原理等）^[6]。

总而言之，尽管理论上尚有争议，可携带权的诞生旨在回应现实需要和实际问题。全国人大常委会法工委经济法室领导在对个人信息保护法做解读时指出，“为了适应互联网应用和服务多样化的实际，满足日益增长的跨平台转移个人信息的需求，个人信息保护法对个人信息可携带权作了原则规定”^[7]。

【适用指南】

一、个人行使查阅、复制权的方式和限度

本条第二款明确了个人行使查阅、复制权的方式，即需要主动向个人信息处理者提出“请求”，信息处理者在收到请求之后才承担提供个人信息的义务。需要注意的是，第二款不要求个人提出请求时说明查阅或复制信息的目的或理由，只要个人所提出的请求清晰、明确地表明了其要求查阅或复制个人信息的主张，即应视为满足了本款的要求。

结合本法第五十条第一款的规定“个人信息处理者应当建立便捷的个人行使权利的申请受理和处理机制……”如果个人信息处理者对个人要求查阅、复制个人信息的请求提出过于严苛的形式要求或设立过于复杂的请求程序，从而不合理地提高了个人行使查阅、复制权的门槛，则应当认为其在实质上侵犯了个人的查阅、复制权。

不过，个人的查阅、复制权并非不受限制。本条规定，存在个人信息保护法第十八条第一款或第三十五条情形的，个人不得行使查阅、复制权。值得一提的是，在本法草案一审稿和二审稿中，本条均只规定了本法第十八条第一款这种例外情形。最后通过的个人信息保护法新增了第三十五条的例外情形，客观上为国家机关留下了裁量空间：即使没有法律、行政法规的规定，国家机关如果有合理理由认为允许个人查阅、复制个人信息将妨碍其法定职责履行的，亦可限制个人的查阅、复制权。

此外，有观点对本条款生效后的实践产生担忧，认为拥有海量用户的平台企业可能同时面临大量用户查阅、复制个人信息的请求，导致作为个人信息处理者的企业难以应对。就此，应当清晰地认识到民法典及个人信息保护法确立了个人在个人信息处理活动中的权利；为了保护个体的该等权利，确保权利的有效行使，回应个体的请求并提供信息是作为个体信息处理者的平台企业应尽的法律义务。但是，亦不能排除极为例外的情况：若个体滥用查阅、复制权，则平台得以采取相应的措施以维护自身利益。例如，根据GDPR第十二条第五款的规定，如果数据主体的请求明显不具备正当理由或超过必要限度，特别是当请求具有重复性的时候（manifestly unfounded excessive， in particular because of their repetitive character），数据控制者得以收取一定的合理费用或拒绝对请求作出回应。此外，《中华人民共和国政府信息公开条例》第四十二条第一款对于公民知情权滥用的规定具有参考价值，该条规定“行政机关依申请提供政府信息，不收取费用。但是，申请人申请公开政府信息的数量、频次明显超过合理范围的，行政机关可以收取信息处理费”。因此，在适用个人信息保护法第四十五条第二款时，尽管其不要求个人提出请求时说明查阅或复制信息的目的或理由，但是，如果个人要求查阅、复制信息的请求明显不具备正当目的或合理理由（特别是在缺乏合理理由的情况下提出大量重复性的请求），且明显超过社会一般条件下，为了有效控制、保护个人信息所需要的正常限度，则应当认为构成对查阅、复制权的滥用，个人信息处理者未按本款的要求及时提供个人信息的行为不应视为对个人查阅、复制权的侵犯。

二、“及时”的判断标准

本条第二款要求个人信息处理者“及时”提供个人信息。如何判断个人信息处理者的回应是否“及时”，是适用该款时应注意的要点之一。以GDPR为例，其第十二条第三款规定，数据控制者在回应数据主体的请求并提供信息时不得无故拖延（without undue delay），且应当在收到请求后一个月内提供信息，若有特殊情况，则可以再延长两个月。不同于GDPR设定了明确的时间期限，本条第二款的要求更富有弹性，具有更灵活的解释空间。

在适用本款时，应当全面考虑个人所提出请求的复杂程度、个人信息的存储方式及处理方式、个人信息处理者调取/归纳/复制个人信息的技术难度等多方面因素，综合地加以判断。

三、数据可携带权的内涵

在我国个人信息保护法的起草过程中，对于是否规定可携带权一直存在争议，一审稿、二审稿中也均未对此作出规定。这是因为，数据可携带权涉及多方主体之间的利益平衡，权利的具体内容、行使方式、保障制度以及信息处理者为保障个体的可携带权应负担何等义务等关键问题均有待进一步细化和明确。

因此，本条第三款仅为对个人信息可携带权的原则性规定，对于该条的理解和适用需要进一步依赖于国家网信部门的细化规定。而且适用该条款时需要考虑到可携带权与个人在个人信息处理活动中其他权利的协调，可携带权与第三人权利之间的平衡，以及可携带权对市场竞争的影响等因素。

【相关规定】

《中华人民共和国政府信息公开条例》第四十二条。