论个人信息权：定位纷争、权利证成与规范构造

2022-11-08陈星

江汉论坛 2022年8期

陈星

一、未完成的答卷：《民法典》框架下“个人信息权” 定位纷争

《中华人民共和国民法典》（以下简称 “《民法典》”）对于个人信息权未能明文规定，留下数字时代个人信息保护领域一份未完成的答卷。作为个人信息保护的专门立法，《中华人民共和国个人信息保护法》（以下简称 “《个人信息保护法》”）不仅没能完成 “个人信息权” 明确确权未竟功业，而且因条文中同时使用 “权益” 和 “权利” 的表述，使得个人信息权是否设立成为新的讨论热点。

（一）个人信息是否应当赋权之争

大数据时代海量的个人信息成为各方竞相挖掘的富矿，个人信息保护与数据合理利用、数字人格尊重与数字经济发展、个人信息权利与企业数据财产权利等成为一对对突出矛盾，围绕个人信息是否应当予以赋权保护，学界形成否定说和肯定说两大观点。否定说认为，个人信息具有公共性，不应当对其赋予个人权利，立法应当将其视为公共物品，保障个人信息的自由流动，如高富平主张 “赋予个人对个人数据的排他控制权，使个人信息 ‘私有化’，有失法律正当性，甚至与人类社会进步发展的制度基础相悖”，吴伟光主张 “应将个人数据信息视为一种非稀缺的和共享的公共物品，而不将其直接纳入私权的保护”。肯定说认为，赋权并不阻碍个人信息的合理利用与自由流动，数字时代个人信息赋权能更好实现对其保护和利用，如申卫星主张 “唯有予以个人信息以权利地位才能体现对其保护的重视，且唯有明确其权利地位才能让信息得以充分利用，实现信息之所以为信息的本质诉求。”叶名怡主张 “个人信息是信息利益和信息自由的载体，承认个人信息权有助于更好地保障信息自由这样一种新型精神自由。”否定说忽视了数字时代人的全面发展需求，主张个人信息成为公共物品，由社会控制，本质是让个人信息不受保护，无具体可以控制，将会形成 “公地悲剧”，最终受到损害的将是芸芸众生，如作为敏感个人信息的 “人脸信息” 不属于个人 “所有”，不为个人权利所控制，成为 “公共物品”，会导致社会疯狂地无序使用，不仅关乎人格尊严，更涉及个人财产安全，甚至为电信网络诈骗等违法犯罪行为大开方便之门，将重创数字时代的社会秩序。否定说在当前理论界沦为小众学说，且已为我国当前个人信息保护立法所否定。

（二）个人信息 “法益” 或 “权利” 保护模式之辨

个人信息保护应当选择个人信息法益保护还是权利保护模式存在两种论争。个人信息法益保护论否定个人信息是一种独立人格利益，认为法律保护个人信息的本质是保护围绕个人信息产生的诸多利益， “保护个人信息其实并不是保护个人信息本身，而是通过保护个人信息来保护其他权益，这就是作为基本权利的个人信息权利不能成立的原因”，王锡锌认为， “个人信息保护并非是保护个人对其个人信息的控制性人格权益”，个人信息权益包括宪法法益（个人自治法益、生活安宁的法益、获得公正对待的法益、信息安全的法益）、民法法益（隐私权、名誉权及相关标识型的人格权益、人身安全与财产安全）和行政法法益（工具性、手段性权益的个人信息权利束）， “呈现出一种概括性、框架性、集合性权益结构”。个人信息权利保护论认为，个人信息权是一项独立的具体人格权，叶名怡从十三个维度证成个人信息权是一项独立权利，付新华认为个人信息权本质上是一种人格权，其核心在于尊重人的主体性和自主性。个人信息法益保护论忽视了个人信息已经成为数字时代一种重要人格利益的客观事实，否认个人信息作为一项独立人格利益，将丧失个人信息保护的逻辑起点，不利于构建个人信息保护法律体系，也不符合我国当前个人信息保护立法现状。

（三）法教义学上个人信息 “权益” 或 “权利”之分歧

自《中华人民共和国民法总则》（以下简称“《民法总则》”）个人信息保护条款至《民法典》总则和人格权编对个人信息保护的规定，是否宣示了“个人信息权” 的确立，学术界从民法教义学解释莫衷一是。权利说认为，自《民法总则》始个人信息权已经在民法中确立，并将第111 条解读为个人信息权的确权条款，如陈畡认为 “本条文虽然没有直接规定自然人享有个人信息权，但对自然人而言，本条既是其具有民事权利的宣示性规定，也是确权性的规定。”王成认为 “根据体系解释，个人信息权应当是具备人身属性的民事权利”，杨立新认为 “真正实现对个人信息的完善保护，就必须把《民法总则》第111 条规定的个人信息解读为个人信息权。”权益说认为从我国现有立法具体规定来看个人信息权并未被法律所确认，目前仅是一种权益而非权利，如王利明认为 “没有使用个人信息权这一表述，表明民法总则并没有将个人信息作为一项具体人格权利”。申卫星认为《个人信息保护法》在第1 条和第2 条中均强调 “个人信息权益”，但是在第四章强调 “个人有权……” 并点名具体的 “知情权、决定权”，使得个人信息之上到底是民事权利还是权益的问题更加疑云重重。实际上，从解释论角度论证，我国《民法典》已经将个人信息权确立为一项独立的具体人格权。

（四） “个人信息权” 司法认定与立法之反差

2022 年1 月15 日在中国裁判文书网以 “个人信息权” 为关键词检索，共检索到129 篇文书，其中： 93 件民事案件文书， 25 件文书中人民法院明确使用 “个人信息权” 的表述，如北京市门头沟区人民法院2017 年在16 件系列隐私权纠纷民事判决书中阐明 “个人信息权是自然人的个人信息不受侵犯的权利。” 另有1 件文书使用 “信息权” 表述， 1件文书使用 “个人信息权益” 表述。 23 件刑事案件文书， 14 件文书人民法院明确论证被告人相关行为侵犯公民个人信息权，构成侵犯公民个人信息罪，其中一人民法院在判决书中阐释 “侵犯公民个人信息罪侵犯的客体是公民的个人信息权”，另有2件文书为人民法院认可检察机关关于被告人侵犯公民个人信息权的指控。 10 件行政案件文书， 2 件文书中人民法院使用 “个人信息权” 的概念。 3 件国家赔偿案件文书， 2 件文书中人民法院认为根据《民法总则》相关规定，自然人的人身权包括个人信息权等权利。从司法实践来看，无论是刑事案件还是民事案件， “个人信息权” 已经成为人民法院裁判文书中正式使用的法律概念，且部分人民法院在适用法律时，已将个人信息权作为一项独立的权利予以认定，与当前我国立法中尚无一处明确规定“个人信息权” 形成强烈反差。由于个人信息保护早在2009 年就纳入我国刑法范畴，侵犯公民个人信息罪设置于《中华人民共和国刑法》第四章，将其作为 “侵犯公民人身权利、民主权利罪” 的一种，显然是将个人信息作为一种人身权利予以保护，因此刑事案件裁判文书中使用 “个人信息权”比民事领域更为普遍。个人信息权在作为保障法的刑法中已经逐渐获得认可，那作为前置法的民法更应当将其作为一项独立人身权利予以明确。

二、数字时代新型人格权：个人信息权的学理证成

司法裁判证成权利是新兴权利成为法律权利的重要路径，从司法实践可以窥探个人信息权作为一项独立的民事权利正逐步为司法机关所接受，在此情形下有必要从学理角度证成个人信息权的成立。

（一）个人信息利益应当进入权利的内在正当性

首先，个人信息赋权的价值基础在于 “人的尊严”。 “人的尊严” 是人与生俱来的固有利益，具有不可放弃、不可替代、不可交换的特征，是人之所以为人并区别于动物之根本所在。康德认为，“人以及一般而言每一个理性存在者，都作为目的自身而实存”，每个人都应当把自己和他人作为目的而非手段，以人性内在的道德价值去实现 “人的尊严”。黑格尔认为，人享有尊严，才能成为自由人。维护 “人的尊严” 是保障人的主体地位和实现人的自由发展的重要前提。数字技术的发展为人类带来科技福利的同时也对人的尊严提出新的挑战，人脸识别的滥用、个人信息的泄露、基于算法的“大数据杀熟” 等问题严重侵犯人的权利，让人在数字空间丧失尊严和人格，人及其固有的个人信息沦为数字技术应用发展的 “手段”。面对数字技术的泛滥及其对人造成的威胁，必须赋予人一项强有力的绝对权利与之相抗衡，重塑数字时代的正义与秩序，捍卫数字空间中 “人的尊严”，维护 “数字人格”，保障人在数字时代的主体地位和自由发展。 “人的尊严” 成为个人信息赋权的基本出发点和最高目的。

其次，个人信息赋权符合数字时代重大法益保护需求。一种新型利益是否是独立的重大法益是能否上升为权利的首要条件。大数据的广泛运用，为人类带来科技福利的同时，对 “人的尊严” 捍卫、人的权利保障及人类社会治理等引发颠覆式变革，而数字科技得以运行并发挥作用最为关键的前提在于个人信息的收集和利用。当前数据资源逐渐成为生产要素和核心竞争力，以数字技术为基础的商业机构对于用户个人信息有着近乎狂热的深度渴求，践行 “丛林法则” 导致乱象丛生，引发个人信息安全危机，为全球数据治理带来巨大挑战。个人信息的无序收集、滥用、贩卖等带来的危害主要体现在三个层面：一是践踏 “人的尊严”，让 “数字人”成为“透明人”，人格沦为“商品”、私行裸露世间、身心遭受摧残；二是破坏社会秩序，以海量个人信息为犯罪条件的电信网络诈骗犯罪、互联网金融犯罪等网络犯罪严重侵害社会大众合法权益，不仅给人民群众造成巨额财产损失，更有甚者危及生命安全，个人信息滥用形势下正义、秩序、自由等价值荡然无存，社会秩序陷入混沌之中；三是威胁国家安全，个人信息跨境流动和传输、海量个人信息总体分析窥测经济形势等关乎国家经济安全，数据挖掘掌握民众政治倾向渗透意识形态、敏感事件中分析用户数据预测事态走向诱导民众行为等威胁国家政治安全，严重的会导致国家政权更迭。美国法学家艾伦·德肖维茨认为， “权利既不来自上帝或自然法则，也不仅仅来自法律的规定，权利来自于人类过去的恶行”，借鉴此说，侵犯个人信息的恶行形式多样、危害极大，人类在与其斗争过程中，一种足以与恶行相抗衡的权利应运而生，只有赋予自然人个人信息权利，为自然人权利救济提供请求权基础，才能实现 “权利人通过自己权利来维护法律，并通过法律来维护社会不可或缺的秩序。”重塑数字时代社会秩序，维护大数据利用下的公平正义。

再次，个人信息利益是一项足以赋权的独立人格利益。一项新型利益上升为民事权利，通常需要具备三个前提条件：一是该项利益是当前社会需要保护的重大法益；二是该项利益成为一项独立的民事利益，能与相关利益明确区分；三是该项利益不能为现有权利类型所涵盖。在我国，隐私利益最早借助 “名誉权” 进行保护，随着社会发展，隐私利益具有其独特特征和特殊保护意义，且和名誉利益有着实质区分，最终脱离 “名誉权” 晋级为一项独立的具体人格权，晋级之路为论证个人信息利益赋权提供了参考。个人信息利益已经成为当前社会需要保护的重大法益，该项利益能与相关具体人格权所保护的利益如姓名利益、肖像利益、名誉利益等相区分，重点需要讨论的问题是个人信息利益能否与密切相关的隐私利益相区分。《民法典》将隐私权和个人信息保护放在同一章，说明了二者具有内在的紧密联系，但是也可以看出二者具有明显区分。 1890 年美国学者沃伦（Samuel D.Warren）和布兰蒂斯（Louis D.Brandies）发表《隐私权》（The Right to Privacy）一文，主张隐私权为“个人在自己家中的轻声细语不受公开宣扬（What is whispered in the closet shall be proclaimed from housetops）的自由”，以及“生命的权利即享受生活的权利，也即独处而不受干扰的权利（now the right to life has come to mean the right to enjoy life, the right to be let alone）”，个人信息利益不同于隐私利益，不能为隐私权所涵盖，隐私利益本质是一种消极防御的利益，其保护对象不仅包括私密信息，还包括私密空间和私密活动，对于私密信息体现为通过自我控制和维护防范保护利益；个人信息利益本质是一种积极主动的利益，其保护对象不局限于私密信息，还包括公开信息，体现为积极主动知情决定自身信息的处理、查询了解信息处理情况、对于错误信息要求更正、对于已经实现目的要求删除信息，甚至可以主张携带信息迁移等更加积极的方式，这些利益均有别于非传统隐私利益，已不能为隐私权所涵盖。虽然个人信息利益与隐私利益在保护对象上存在私密信息的交叉， “从方法论角度看，一定的交叉并不能证明缺乏独立性，比如隐私就会和姓名、肖像、名誉、荣誉等很多人格利益交叉，但是没有人反对隐私成为一项独立的人格利益”，从本质上看二者的利益目的和行使方式存在巨大差异，个人信息利益成为具有自己独特内涵的人格利益，应当被赋予独立权利，即个人信息权。

（二）个人信息利益满足权利的标准

德国学者提出的权益区分理论，为判断一项利益到底是 “权益” 还是 “权利” 提供了标准。 “拉伦茨与卡纳里斯为侵权法上的权利建立的三个特征分别是归属效能、排除效能和社会典型公开性。”同时具备三个特征方可构成权利，因此可将其作为检验个人信息利益是否达到成为权利的标准。

第一，归属效能（Zuweisungs-gehalt）。根据该项标准，判断一项利益能否构成权利，首先考察确定的利益是否归属特定主体。前已论证个人信息利益是数字时代一项独立的人格利益，此项确定利益的归属清楚且无争议。学理上而言，个人信息基于自然人人格而产生，既包括现实空间中的传统人格而产生的个人信息如身份证件号码、人脸、虹膜、病历等，也包括数字空间中的数字人格而产生的个人信息如电子邮箱、社交账号、位置信息等，对于该等信息而产生的知情同意、查询更正、删除忘却等确定利益，均归属于特定的自然人；从立法现实而言，虽然我国《民法典》对于个人信息权没有明确表述，但是对于个人信息的归属作了明文规定，总则第111 条和分则第1034 条均明确宣示了个人信息的主体为特定自然人，《个人信息保护法》第2 条重申了该项规则，并明确了义务主体，即 “任何组织、个人” 不得侵害自然人的个人信息权益。因此，个人信息利益具备特定主体，满足归属效能的标准。

第二，排除效能（Ausschlussfunktion），即排除他人的非法干涉。美国法学家霍菲尔德认为，权利是一种施于他人一定义务的利益，也是与他人义务相关的一种权利，即我有权要求他人作出或不作出某种行为。个人信息利益的核心在于知情同意或称信息自决，即决定自己的个人信息能否被收集、以何种方式在何时何地被何人所收集。个人信息自决权理论滥觞于德国 “人口普查案”，在一般人格权下衍生出信息自决权，用以对抗他人对于信息的无序收集利用，强调自然人对于自身个人信息的控制和排除他人干涉。个人信息利益归属于人格权，人格权属于典型的绝对权，权利人之外的一切人均为义务主体，权利的行使排除他人干涉。我国《民法典》第111 条通过两个 “不得”，从反面确立了自然人对其个人信息排除他人干涉，《个人信息保护法》第13 条至第27 条确立的 “知情同意” 规则，第44 条确立 “知情权、决定权” 及 “有权限制或者拒绝他人对其个人信息进行处理”，从正面确立了自然人对其个人信息的控制和排除他人干涉，因此个人信息利益符合排除效能的标准。

第三，社会典型公开性（Sozialtypische Offenkundigkeit）， “指的是被侵害法益所具备的客观性的、典型性的公开性和可识别性”，其核心在于划定权利边界，形成可感知的权利外观。反对将个人信息利益作为独立权利的观点认为 “这种权利主张不具有清晰可见的客体外观，无法为他人的行为划定禁区”，事实上，将个人信息权作为一种独立权利，其权利外观和边界均清晰可见，《个人信息保护法》第四章勾勒了具体的权利形态，第五章为他人行为划定了 “禁区” 并通过第七章法律责任予以保障，且刑法中的侵犯公民个人信息罪划定了更为刚性的 “禁区”，社会公众对于侵犯个人信息利益可能承担的后果具有较强的可预见性，个人信息利益符合社会典型公开性的标准。

综上，个人信息利益赋权具有内在正当性，是一项足以赋权的人格利益，且同时具备归属效能、排除效能和社会典型公开性三项标准，达到传统学理上判断一项利益成为权利的条件，一项独立的新型具体人格权——个人信息权正式诞生在数字技术发展的浪潮之中。

三、 “三维六位”：解释论上的个人信息权规范构造

学理上已经证成个人信息权为一项独立权利，《民法典》与《个人信息保护法》相继出台后，我国个人信息保护立法体系已趋完备，如王利明教授所言： “在法律体系形成之后，一个解释论的时代已经到来，法治工作的重心已经从立法论向解释论逐步转移。” 但是如何从当前法律体系中解读和认识个人信息权，仍存在不同意见。缺乏权利制度体系认识，不利于个人信息保护相关法律适用，更不利于实现数字时代人格利益与数字经济发展之间的平衡，因此有必要结合我国当前立法现状，从理论上予以分析解释，规范构造个人信息权。

（一）三个维度构造个人信息权

个人信息权的构造，需要自宪法以降不同位阶法律的共同协作，在整个法律体系中实现对个人信息权的全方位确立与保护，核心在于从宪法、民法和个人信息保护法三个维度构造个人信息权，明确个人信息权的根本依据、框架体系与具体内容。

第一，宪法维度为个人信息权确立提供根本依据。《欧盟基本权利宪章》《欧盟运行条约》和《通用数据条例》均将个人信息权作为一项宪法上的基本权利。基本权利具有客观规范功能，可以为个人信息权构建公权力和私权利的保护体系，即国家公权力对于个人信息权的尊重和保障以及国家通过立法或法律解释在私法上确立个人信息并建立私法保护体系。《中华人民共和国宪法》（以下简称“《宪法》”）尚未明确将个人信息保护写进公民基本权利，但可以通过两个条款的法律解释将其纳入：其一，第33 条第3 款关于 “人权” 的规定为个人信息权提供基本权利来源，保护个人信息权最本质是保护数字时代的人权；其二，第38 条关于 “人格尊严” 的规定为个人信息权提供内在证成依据，即个人信息权的制度价值在于维护人格尊严。因此，《宪法》作为国家根本法，为个人信息权的确立提供了根本依据。

第二，民法维度为个人信息权保护搭建框架体系。《民法典》虽没有直接宣示个人信息权的确立，但已经为个人信息的确立和救济搭建了整体框架，其一，可以从法教义学解释出个人信息权是民事权利，为一项具体人格权：在总则中，第111 条个人信息保护条款为列第五章 “民事权利”，已经蕴含个人信息之上的权利为民事权利；在分则人格权编中，个人信息保护与隐私权相并列位于第六章，更是明确宣示了个人信息权为一种具体人格权，否则将出现人格权编规范非人格权的怪论。其二，民法典总则为个人信息权的行使提供了基本框架，平等、公平、诚实信用、公序良俗等民法基本原则统帅个人信息的收集与利用全过程，民事法律行为、诉讼时效等章节适用于个人信息权的行使与保护，特别是民事责任章为个人信息权提供多元化责任承担方式，《个人信息保护法》仅规定了损害赔偿一种民事责任形式，显然仅是针对重难点问题进行规定，而整体民事责任则需回归《民法典》的体系。其三，侵权责任制度为个人信息权提供了侵权行为构成要件、责任承担方式、损害赔偿等救济机制，同时个人信息权的确立也为个人信息侵权救济提供请求权基础。

第三，个人信息保护法维度为个人信息权构造细化具体内容。《个人信息保护法》是一部兼顾公法和私法的领域法，私法部分在《民法典》的基础上，进一步深化了个人信息权的内涵，丰富了个人信息权的具体内容。《个人信息保护法》第1 条使用“个人信息权益” 的表述，并不能成为否认个人信息权确立的理由，诚如《民法典》侵权责任编有5 处使用“民事权益” 的表述，且在第1164 条明确规定“本编调整因侵害民事权益产生的民事关系”，不能因此认为侵权责任编只保护 “权益”，不保护“权利”。《个人信息保护法》第四章集中规定了“个人在个人信息处理活动中的权利”，可以从该章并结合相关章节凝练出个人信息权的具体内容，如知情决定、限制拒绝、查阅复制、更正补充、迁移、删除等。

（二）个人信息权的内容构造

知情决定、限制拒绝、查阅复制、更正补充、迁移、删除等到底是权能还是权利引发个人信息权到底是 “单一权利” 还是 “权利束” 之争。权能和权利关系紧密， “权能是构成权利的要素，属于权利构成，权利是通过权能行使的”，但在立法技术上通常使用 “某某权” 表达，如《个人信息保护法》第44 条使用 “知情权” “决定权”，造成学界对于这些权到底是个人信息权的权能还是独立的权利的认识分歧。德国法学家拉伦茨明确提出判断“权能” 和“权利” 的标准主要在于“独立转让性”，在《个人信息保护法》体系下，无论 “知情权” 还是“决定权” 显然不是可以独立转让的权利，而是个人信息权的具体行使方式，依附于个人信息权而存在，失去个人信息权权利主干， “知情” “决定” 等具体内容将不复存在。因此，《个人信息保护法》中的 “知情权” 等不是独立的权利，而是个人信息权的权能，个人信息权不是由系列 “权利束” 构成，而是由知情决定、限制拒绝、查阅复制、更正补充、迁移、删除等六项权能共同组成，称之为“六位权能”。

第一，知情决定权能，又称为知情同意权能，个人信息权的首要权能，是指权利人有权知晓个人信息处理基本事项，包括个人信息处理者情况、处理目的和方式、处理规则等，并在此前提下作出是否同意处理个人信息的决定。虽然《个人信息保护法》使用 “知情权” 和 “决定权” 的表述，但二者不是两项独立的权利，是一项功能合一的权能。“知情” 是 “决定” 的前提， “法秩序应当保证个人得以知晓何人、因何事、于何时、在何种情形下知晓自己的个人信息”， “决定” 是 “知情” 的具体效果。《个人信息保护法》对于知情决定权能作了详细的规定，具体包括知情的具体内容（第17条）、决定同意还是不同意的方式（第14、 15 条）、二次利用的知情决定（第23 条）、处理敏感个人信息的知情决定（第29、 30 条），个人信息跨境提供的知情决定（第39 条）等。

第二，限制拒绝权能，又称反对权能，是指在特定情形下权利人有权限制或者拒绝个人信息处理者对其个人信息的处理，该权能与知情决定权能为一体两面，从正反两个面向共同支撑个人信息权的控制力和排他效力。《个人信息保护法》在第44条对该项权能作了原则性规定，但是在整部法律中缺乏限制拒绝权能行使的具体条件、方式和程序等方面规定，尚有待在法律适用中进一步细化明确，但在第24 条第3 款规定了对自动化决策决定拒绝的特别情形。自动化决策是基于用户个人信息对用户进行数据画像，并通过特定算法对用户作出相关自动化决策决定，由于算法错误、算法歧视、算法操作等技术风险客观存在，自动化决策作出对个人权益有重大影响的决定，个人有权拒绝。拒绝自动化决策决定是当前立法中权利人行使限制拒绝权能的重要途径。

第三，查阅复制权能，又称获取权能，是指权利人有权查阅知晓其个人信息处理情况，并通过复制方式获取其个人信息。查阅复制权能是实现 “知情” 的重要方式，但比被 “告知” 的知情更为积极主动，主动查阅复制的范围应当不局限于个人信息处理者所告知内容，增强了个人信息权作为主动性人格权的特征，是一项积极权能。《个人信息保护法》第45 条不仅延续了《民法典》第1037 条关于个人对其信息有权 “查阅、复制” 的规定，还进一步规定了个人信息处理者及时提供的义务以及不得查询、复制的例外情形，形成该方面完整的权利义务及权利限制体系。

第四，更正补充权能，是指权利人有权要求个人信息处理者对其不准确或不完整的个人信息予以更正、补充。准确、完整及时新是保障个人信息质量的标准，是精准勾勒个人数字人格的基础，该项权能看似具有替补性，实质却具有不可或缺性，是全面实现 “人的尊严” 的有效方式。《民法典》第1037 条将权利人提出异议更正的前提确定为 “发现信息有错误的”，而《个人信息保护法》第46 条将其演变为“发现其个人信息不准确或者不完整的”，扩大了异议范围，即使信息是正确的，但是不完整，也可以行使该权能要求补充，保持信息的完整性，进一步拓展了该权能的行使空间，同时还将核实义务作为个人信息处理者及时更正、补充义务的前置义务，避免权利人滥用该项权能。

第五，迁移权能，是指权利人在特定条件下有权请求将其个人信息从原个人信息处理者转移至其指定个人信息处理者。可携带权是由欧盟《通用数据保护条例》创设的一种新型个人信息权行使方式，进一步增强了权利人对其个人信息的控制权，从被动知情同意转向主动携带迁移，是个人信息权主动行使质的飞跃。《个人信息保护法》借鉴欧盟可携带权制度，在第45 条第3 款规定了个人信息在特定条件下可以转移，但是具体条件还需由国家网信部门出台规定予以明确。迁移权能的确立在强化个人权利的同时对个人信息处理者形成一定制约，有利于遏制数据垄断、数据孤岛等现象，将超越私权利本身的意义，从更全面的法秩序角度实现利益的平衡。

第六，删除权能，是指依据法定或约定的条件权利人有权要求个人信息处理者删除其个人信息。删除权能是权利人控制其个人信息的终极武器，但是由于网络环境下数据具有可复制性和可传输性，经收集利用的个人信息如何实现彻底删除，权利人如何得知个人信息处理者是否根据其请求彻底删除其个人信息等存在权利行使的技术障碍。行使删除权能需要具备一定的条件，《民法典》第1037 条第2 款规定的条件仅限于违反法律、行政法规的规定或者双方的约定，《个人信息保护法》第47 条第1 款在此基础上增加了另外三项选择性条件和兜底条款，扩大了删除权能的适用范围，同时在第2款针对技术上难以实现删除时的处理方式。与删除权能紧密相关，为各界高度关注的 “被遗忘权” 最早为欧盟法院在谷歌案诉冈萨雷斯案所确立，后通过《通用数据保护条例》进入成文法，学界关于被遗忘权的本土化移植呼声很高，我国并未在《个人信息保护法》中对其予以明确规定，但又在兜底条款中为其适用留有一定的弹性空间。

四、余论

站在数字经济发展的浪潮潮尖，看无际大海万里波涛，人类社会在汹涌澎湃之中进行重塑性变革。面对数字大潮中个人信息的无序收集和滥用，人们奋起反抗为权利而斗争， “我们攀登上为权利而斗争的理想顶峰，从利益这一低层次的动机出发，经由人格的道德自我保存的认识，最终到达为实现有利于社会的法理念而每个人都要同心协力的认识。”，个人信息权作为保障数字时代 “人的尊严” 的具体人格权由是诞生。新世纪以来，我国孜孜以求地为数字人格提供法律外衣，历经十余年不懈努力，终于铸就以《宪法》《民法典》《个人信息保护法》为核心的三个维度个人信息权保护法律架构。从解释学看，个人信息权已是我国《民法典》予以确立的民事权利，且为一项具体人格权，在此基础上《个人信息保护法》系统地规定了个人信息权的内容，形成以知情决定、限制拒绝、查阅复制、更正补充、迁移、删除等为内核的 “六位权能”，极大地丰富和发展了人格权。个人信息权正昂首迈步走向实践，尚需在实践中经受检验，通过司法解释和部门规章进一步完善和细化其适用条件和行使方式，以更好适应数字技术的发展变化，为捍卫数字时代“人的尊严” 提供钢铁铠甲。

注释：

①高富平：《个人信息保护：从个人控制到社会控制》，《法学研究》 2018 年第3 期。

②吴伟光：《大数据技术下个人数据信息私权保护论批判》，《政治与法律》 2016 年第7 期。

③⑫ 申卫星：《论个人信息权的构建及其体系化》，《比较法研究》 2021 年第5 期。

④⑦叶名怡：《论个人信息权的基本范畴》，《清华法学》 2018 年第5 期。

⑤ 丁晓东：《个人信息的双重属性与行为主义规制》，《法学家》 2020 年第1 期。

⑥ 王锡锌：《个人信息权益的三层构造及保护机制》，《现代法学》 2021 年第5 期。

⑧ 陈畡主编：《民法总则评注》下册，法律出版社2017 年版，第785 页。

⑨王成：《个人信息民法保护的模式选择》，《中国社会科学》 2019 年第6 期。

⑩ 杨立新：《个人信息：法益抑或民事权利——对〈民法总则〉第111 条规定的 “个人信息” 之解读》，《法学论坛》 2018 年第1 期。

⑪ 王利明主编：《中华人民共和国民法总则详解》，中国法制出版社2017 年版，第465 页。

⑬福建省龙岩市新罗区人民法院刑事判决书（2016）闽0802 刑初772 号。