首先，需要界定本文标题中“个人信息权利”的概念，此处并非指“个人信息权”，而是指《个人信息保护法》第四章中的“个人在个人信息处理活动中的权利”。诚然，如大家所知，个人信息主体享有个人信息权益却不享有个人信息权，原因在于，由于个人信息的可复制性、无形性、非竞争性等特点，为了平衡个人信息主体的利益与数据共享利用之间的关系，避免妨碍数据的共享、利用以及大数据产业在我国的发展，《民法典》并未像其他人格权一样设置“个人信息权”，而是规定以“个人信息保护”条款；继而《个人信息保护法》在第一、二条进一步明确了“个人信息权益”的说法。

“权利”与“权益”相比，其具有独占性、排他性，如隐私权等人格权，具有消极防御的特点；而个人信息权益则体现了积极防御的特点。个人信息主体虽不享有个人信息权，但对于其个人信息却享有相应的民事权益，包括人格权益和财产权益。在2021年1月1日起施行的《民事案件案由规定》中，“隐私权纠纷” 变更为“隐私权、个人信息保护纠纷”（非“个人信息权”纠纷）。

《个人信息保护法》第四章中的个人在个人信息处理活动中的“权利”指的是个人信息权益的权能或内容，并非指主观权利[1]。此外，由于个人信息本身的特点、互联网化的社会环境以及个人与个人信息处理者之间不平等的地位，使得个人难以对其个人信息进行有效保护，此时就需要通过法律强制性的规定要求个人信息处理者承担相应的义务来保证个人信息权益的实现。因而，我国与欧盟《通用数据保护条例》以及其他国家的个人信息保护法律类似，也通过专章的形式对个人在个人信息处理活动中的权利进行了明确的列举和规定。

正文

《个人信息保护法》第四章对“个人信息权利”进行了定义，构建了个人在信息处理活动中享有的法定权利，包括知情权、决定权、限制权、拒绝权、查阅权、复制权、可携带权、更正权、删除权等，为日后个人信息主体保护其个人信息权益提供了路径。但是，个人信息权利如何实现也成为实践中的问题，个人信息权利的实现必然需要个人信息处理者的配合或者说是义务的承担，当个人信息主体提出行权请求时，个人信息处理者如何履行义务才能符合法律要求或者实现个人行权目的存在较大的争议。目前已有一些个人行使个人信息权利的案例，本文将结合这些案例来分析个人信息权利实现的合规边界。

1. 个人信息权利的法律依据

在《个人信息保护法》出台前，个人信息权利已经在《网络安全法》、《民法典》等法律规定中有所规定。《个人信息保护法》在前述法律的基础上，新设了数项个人信息权利，包括知情权、决定权、限制权、拒绝权、可携带权、补充权、要求说明和解释权，具体详见下表。此外，在一些行政法规、规范性文件中也对部分个人信息权利有所规定，如《征信业管理条例》第二十五条规定了个人信息主体对征信机构采集、保存、提供的信息存在错误、遗漏时的异议、更正权；又如《儿童个人信息网络保护规定》第十九条及二十条分别规定了儿童或其监护人可行使的个人信息更正权和删除权。

2. 个人信息权利的行使主体

一般情况下，个人信息权利的行使主体应为活着的个人信息主体本人或其代理人（如儿童个人信息权利可由其监护人代为行使）。而针对死者的个人信息保护问题，起初在《个人信息保护法（草案）》中并未设置死者个人信息保护的制度规则，但考虑到死者虽已丧失民事权利能力和民事行为能力，其个人信息的保护对维护死者的人格权益以及其近亲属的合法权益有着重要意义[2]，故在正式稿第四十九条确定了该项制度，即“除死者生前另有安排外，死者的近亲属为了自身合法、正当利益，可以对死者的相关个人信息行使查阅、复制、更正、删除等权利”。

3. 个人信息权利的行使内容

如前所述，个人信息权利的行使内容包括知情权、决定权、查阅权、复制权、可携带权、更正权、补充权、删除权、要求解释和说明权。知情权与决定权作为《个人信息保护法》项下个人信息权利中的两大基础性权利，统领了查阅复制权、可携带权、更正补充权、删除权、要求解释和说明权等具体个人信息权利。

4. 个人信息权利的行使方式

个人对其个人信息处理的知情权与决定权并不需要个人具体行使，而是通过个人信息处理规则、个人信息处理者履行其所负担的个人信息保护义务以及其他个人在个人信息处理活动中的权利（也即具体个人信息权利）保障得以实现的。除了知情权与决定权这两个基础性权利外，对于具体个人信息权利，即查阅权、复制权、可携带权、更正权、补充权、删除权以及解释说明权，需要由个人通过针对个人信息处理者提出请求的方式来行使。为保障个人信息主体权利请求的行使，《个人信息保护法》第五十条要求个人信息处理者应当建立便捷的受理和处理机制。如个人信息处理者拒绝或在合理期限内不答复个人行使权利的请求的，个人有权依法向人民法院提起诉讼或向履行个人信息保护职责的部门进行投诉、举报。

一. 个人行使查阅、复制权时，个人信息处理者应提供的个人信息范围

如上文所述，个人信息权利包括知情权、决定权、限制权、拒绝权、查阅权、复制权、可携带权、更正权、删除权等。其中知情权和决定权是基础性权利，是其他权利行使的目的，而查阅权和复制权，是为了更好地实现个人知情权，进而能够自主行使决定权。《个人信息保护法》第四十五条赋予了个人查阅、复制其个人信息的权利。意味着在个人行使查阅、复制权时，个人信息处理者应予以配合向其提供个人信息，但是具体提供哪些个人信息在司法实践中较有争议。

在（2022)粤01民终3937号案件中，法院认为，法律赋予个人查阅复制权，其目的是确保其对个人信息的知情权和保持应有的控制，避免因为非法收集、处理个人信息而致其人身财产权益遭受侵害。从实现查阅复制权的功能价值、保护个人合法权益的角度考虑，查阅复制权的客体不仅包含个人信息本身，还应当包括个人信息处理情况。

意味着，当个人行使查阅、复制权时，个人信息处理者不仅要提供个人信息，还需提供个人信息处理情况，而“处理情况”如从广义理解范围较大，这就为个人信息处理者提出了更高的合规要求。具体而言，个人信息处理者向个人提供个人信息时有以下几项重要合规点：

1. 个人信息处理者披露的共享清单是否可以视为其向个人提供的对外提供其个人信息的内容？

在（2022)粤01民终3937号案件中，原告周某认为，个人信息处理者披露的共享清单仅是向所有用户列明了可能的第三方以及可能与第三方共享的信息列表，但具体某电子商务公司与哪些第三方共享了周某的哪些个人信息内容是无法确定的，仍需某电子商务公司进行披露。某电子商务公司则以成本高昂，且不符合行业惯例为由拒绝向周某提供。二审法院认为，浏览记录及平台与第三方共享的个人信息，是个人信息及其处理情况的重要组成部分，该信息对于个人判断个人信息是否被滥用具有重要意义，某电子商务公司作为个人信息处理者，应当依法向周某披露上述信息相关情况。披露成本高并非法定的免责事由，行业惯例也非个人信息处理者是否履行法定义务的决定性因素，因而，某电子商务公司应当向周某披露自周某在某电子商务APP上注册之日起到本判决生效之日止的“浏览记录”及“与第三方（包括第三方支付机构）共享的个人信息”，后者应当包含信息种类、信息内容、使用目的、使用场景和共享方式等内容。

由此可知，由于个人信息处理者披露的共享清单仅是向所有用户列明了可能的第三方以及可能与第三方共享的信息列表，但具体到某一自然人，仍旧需要个人信息处理者提供其向哪些第三方共享了该自然人的哪些个人信息，个人信息处理者不应以已披露共享清单、成本代价、行业惯例等理由而拒绝向个人提供。

2. 个人信息处理者披露的SDK清单是否可以视为其向个人提供的SDK处理其个人信息的内容？

在（2022)粤01民终3937号案件中，一审法院认为，内嵌于某电子商务公司APP中的第三方SDK以及该SDK实际收集的用户具体个人信息，用户是无法查阅的，因此，某电子商务公司仍有必要向原告周某清晰列出实际内嵌第三方SDK收集的周某个人信息，包括第三方SDK的具体名称以及第三方SDK已经收集到的周某个人信息基本情况，包括信息类型、信息内容、使用目的和使用场景；但二审法院否定了一审法院的认定，二审法院认为，尚没有证据证明某电子商务公司收集了第三方SDK收集的个人信息，如要求某电子商务公司向周某披露第三方SDK收集的个人信息，依据不足，因而未支持周某的诉请。

我们认为，SDK作为内嵌于电子商务APP的某一模块或功能，与APP之间的关系较为复杂，存在委托处理、共享、共同处理等多种关系，并不一定是各自单独处理的情形，如属于共享关系，则个人信息处理者应在共享部分向个人披露；如属于各自单独处理的情形，则个人信息处理者可不向个人提供SDK处理的个人信息，披露的SDK清单可视为已向个人提供。

3. 非个人主动提供，但属于交互过程中自动生成的个人信息，个人信息处理者应否向个人提供？

在（2022)粤01民终3937号案件中，周某在某电子商务APP中的昵称为“某电子商务会员”，虽然该昵称由某电子商务APP自动生成，并非周某自行填写，但根据《个人信息保护法》第四条关于“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息”的规定，周某作为某电子商务公司可识别的注册用户，其昵称仍属于个人信息范畴，至于该昵称为个人自行填写或是由系统自动生成，均不影响其性质的认定。据此，二审法院认为，某电子商务公司应当向周某披露其“昵称”信息。

我们认为，首先应界定“自动”的含义，此处的“自动”生成仍旧是基于个人信息处理者设置的系统程序而生成，并非凭空产生。从本案可以确定，浏览记录、昵称等自动生成的个人信息，个人信息处理者应向个人提供；但如果个人信息处理者通过一定的算法模型生成个人的资信情况、购物偏好、消费能力、还款意愿等个人信息，个人信息处理者是否也应向个人披露？根据《个人信息保护法》第二十四条“通过自动化决策方式作出对个人权益有重大影响的决定，个人有权要求个人信息处理者予以说明，并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定”。“个人有权要求个人信息处理者予以说明”的前提是个人知晓自动化决策的内容，否则无从行使“说明权”，从这个角度来看，个人信息处理者也应向个人披露。

4. 如个人信息主体查阅、复制的个人信息中包含他人的个人信息，个人信息处理者应如何提供？

在张某诉A网络科技有限公司个人信息保护纠纷一案中，北京互联网法院认为，当查阅复制的信息同属于多主体个人信息的情况下，应充分进行利益衡量：一是充分审核查阅复制主体对个人信息享有的正当利益；二是不应侵害其他主体合法权利，并尽可能对他人个人信息权益影响较小。如信息可分割，则查阅复制主体的请求仅限于本人的个人信息，如信息不可分割，则应考虑个人信息处理者提供他人个人信息的行为是否在其已取得同意的范围内或属于依法无需获得同意的情形等；如提供行为会导致他人个人信息权益遭受重大影响，则个人信息处理者未征得他人同意不应直接提供。

5. 个人信息处理者应提供的个人信息范围

在（2022)粤01民终3937号案件中，某电子商务平台向周某提供的个人信息如下表，从该案可以看出，当个人行使查阅、复制权时，个人信息处理者收集的个人信息均应向个人提供，不仅包括个人基本资料、个人身份信息、个人生物识别信息、健康生理信息、财产信息、位置信息等个人主动提供的信息，也包括浏览记录、昵称等个人与个人信息处理者交互过程中生成的个人信息，还包括个人信息处理者对外共享个人信息的情况。该案中，由于某电子商务平台并未收集某些类别的个人信息才免于提供。

6. 个人信息处理者履行个人查阅、复制权的方式

在张某诉A网络科技有限公司个人信息保护纠纷一案中，北京互联网法院认为，个人信息处理者履行相关义务的方式只要满足了个人查阅复制其信息的要求即可，个人信息处理者就可以依据其信息存储形式、存储能力，自行选择合理的提供信息的方式，而无需严格遵循个人的要求和指示。

在（2022)粤01民终3937号案件中，二审法院认为，从减少个人信息处理者的披露成本、方便个人查阅的角度，个人信息处理者可向个人提供电子化的副本，电子化副本不限于Excel表格、Word文档等形式，个人信息处理者应当选择便于查阅的方式向个人提供个人信息电子化副本。

由上述两个案件可知，对于个人信息处理者履行义务的方式，只要能够满足个人查阅复制其个人信息的要求即可，不限于特定的方式或文件格式，但要注意，个人信息处理者不应提供不便于个人查阅的方式。

二. 个人基于行使个人信息权利而向法院起诉的前置条件

《个人信息保护法》第五十条规定，个人信息处理者应当建立便捷的个人行使权利的申请受理和处理机制。拒绝个人行使权利的请求的，应当说明理由。个人信息处理者拒绝个人行使权利的请求的，个人可以依法向人民法院提起诉讼。

对于个人信息处理者拒绝个人行使权利的请求是否是个人依法向人民法院提起诉讼的前置程序在理论界和实务界一直存在争议。如有学者认为，诉权是民事主体的最基本权利，诉讼制度也是最基本的法律制度，根据《立法法》第8条，只有法律中明确规定了某种程序是提起诉讼的前置程序的，才是合法的。将个人向个人信息处理者提出请求作为起诉的前置程序，会对个人信息权益造成不合理的限制，违反《民法典》。也有学者认为，个人信息保护请求权本质上不同于民法上的请求权，关键在于个人信息保护请求权没有财产性质或者人身性质的内容，而是为了保护个人知情权、决定权、限制或者拒绝权而设定的程序性权利，《民法典》虽然规定了个人的个人信息保护请求权，但是没有规定行使的路径，而《个人信息保护法》对此做出了专门的规定，在法律适用上应适用《个人信息保护法》第五十条的具体规定。即，个人只有在行使个人信息保护请求权被个人信息处理者拒绝的情况下，方可以向法院提起诉讼。

从目前的司法实践看，法院多认为个人信息处理者拒绝个人行使权利的请求是个人依法向人民法院提起诉讼的前置条件。原因在于，一是个人向个人信息处理者主张权利，是最快捷、最便利、最有效的维权方式；二是个人信息流动大、使用频率高、范围广，如个人不向个人信息处理者主张权利而直接向法院起诉，可能造成司法资源的巨大浪费。

在因购物信息公开引发的个人信息保护纠纷一案中，杜某未通过个人信息处理者公示的权利行使路径向个人信息处理者主张个人信息权利，而是直接向杭州互联网法院提起诉讼，杭州互联网法院认为不符合《个人信息保护法》第五十条规定的起诉受理条件，裁定驳回起诉。

我们认为，个人基于行使个人信息权利向法院起诉的要件可以总结为：

• 个人行使程序性、保护性权利具有法定或约定的事由；

• 个人向个人信息处理者提出了有效的程序性、保护性权利的申请；

• 个人信息处理者无正当理由拒绝个人行使程序性、保护性权利，或对个人提出的申请不予理睬。

1. 如何认定个人信息主体向个人信息处理者提出了有效的程序性、保护性权利的申请？

在(2022)粤01民终3937号案件当中，个人已通过个人信息处理者公示的个人信息权利行使路径（致电客服和发送邮件）提出了行使个人信息权利的请求，但是由于未同时提供个人身份信息，个人信息处理者认为，个人发送的电子邮件未提供任何真实的个人身份信息，且个人信息处理者不掌握案涉用户账号的实名认证信息，因而无法回应个人的请求。法院认为，即使通过电话或邮件均无法核实个人身份信息，在个人已经多次提出请求的情况下，个人信息处理者应引导个人提供相关必要信息以核实身份，而不是找理由拒绝个人的请求。在该案中，个人信息主体已向个人信息处理者提出了有效的程序性、保护性权利的申请。

在王某与某科技公司个人信息保护纠纷一案中，某科技公司在其网站公示了在线客服和人工客服电话两种个人信息权利受理渠道，且均处于显著位置，然而王某未按某科技公司提供的路径提交个人信息权利请求，而是选择向网站中预留的销售电子邮箱发送删除申请，因而某科技公司未能够及时处理王某提交的申请，导致未及时响应。法院认为，个人未向个人信息处理者提出有效的程序性、保护性权利的申请。

2. 如何界定个人信息处理者无正当理由拒绝当事人行使程序性、保护性权利，或对当事人提出的申请不予理睬？

在（2022）京0108民初9920号案件中，尹某向某网约车平台主张，其正在使用的手机号的原机主已注销手机号，希望网约车平台不要再向其该手机号发送短信和拨打电话（原机主以该手机号在网约车平台注册为用户），网约车平台客服要求尹某下载安装移动APP，提供移动开户证明，同时上传身份证明，证明其是该手机号的持有人。尹某拒绝了网约车客服的要求，继而向法院提起诉讼。法院认为，某网约车平台要求尹某提供其为手机号持有人的相关信息以核实用户信息是否变更并进行销户操作，属平台正常履行审核义务，并无不当。某网约车平台不协助尹某实现其权利主张的行为不属于无正当理由拒绝当事人行使程序性、保护性权利。

在(2022)粤01民终3937号案件中，个人信息处理者认为，个人发送的电子邮件未提供任何真实的个人身份信息，且个人信息处理者不掌握案涉用户账号的实名认证信息，因而无法回应个人的请求。该案中，个人信息处理者的行为属于无正当理由拒绝当事人行使程序性、保护性权利、或对当事人提出的申请不予理睬的行为。

综上分析，我们认为企业应建立便捷的个人行使权利的申请受理和处理机制，具体可包括以下内容：

1. 确保企业公示的个人信息权利行使路径易于寻找且可以有效触达。

如企业能否以公示的邮箱故障未收到个人权利申请邮件作为抗辩理由，答案是“否”。因企业有义务保证其公示的邮箱可以正常接受邮件。

2. 优化交互页面的设计，尽量完善个人信息披露范围，使得用户在个人主页即可查阅到详尽的个人信息，避免通过电话或邮件的方式要求企业另行提供从而增加企业的负担。

3. 完善个人信息权利响应机制，提前对客服人员进行必要的培训，训练专业话术，使得客服人员能够准确判断用户的权利主张并及时给与答复或反馈；对于无法立即响应的权利主张也能有顺畅的向上汇报路径。

4. 如个人未提供或拒绝提供个人身份信息，应立即告知个人提供个人身份信息的目的以引导个人提供，或明确说明不予提供个人身份信息的后果，避免企业被认定为拒绝或不予反馈个人权利请求。

5. 如个人要求提供的个人信息难以实现，无论是由于技术上或成本上的原因，企业应及时向个人解释说明以取得理解或收取合理费用后提供，避免直接拒绝提供或无视个人申请而引起不必要的纠纷。

注释：

[1]参见程啸：《论个人信息权益》

[2]参见杨合庆主编：《中华人民共和国个人信息保护法释义》第128页。