谭昱琪

(华东政法大学 法律学院，上海 201600)

0 引言

《个人信息保护法》第四章单独列明了个人在信息处理活动中的权利，包括查阅权、复制权、可携权、更正补充权、删除权等权利(以下简称为“个人信息主体权利”)。这些权利是保护承载于个人信息之上的主体权益的程序性权利[1]，系个人信息主体对抗个人信息处理者(以下简称为“信息主体”与“信息处理者”)，防止信息主体的个人信息被滥用的手段性权利工具。而《个人信息保护法》第50条第2款使得信息主体可以向司法机关寻求有关个人信息权益的救济[2]，强化了《个人信息保护法》作为个人信息保护基本法的法律地位[3]。

然而，若以体系化适用的眼光审视《个人信息保护法》第50条第2款，会发现该款在适用过程中存在层层阻碍。就其性质而言，该款究竟是对诉权的赋予或确认还是一种请求权规范，涉及到信息主体在寻求信息权益救济时的请求权基础。就其适用条件而言，《个人信息保护法》第50条第2款规定的“个人信息处理者拒绝个人行使权利的请求”是否为所有个人信息权利之诉或个人信息侵权之诉的受理条件？并且，由于该款涉及个人信息主体权利实现的具体司法路径，而上述阻碍又同时导致其与个人信息权益保护的其他司法路径，例如《个人信息保护法》第69条、《民法典》第995条以及第1 037条的适用范围缠绕不清。

因此，如何整合个人信息主体权利实现的规范体系，平衡信息主体与信息处理者的利益，成为个人信息权益保护的重要课题。

1 问题的提出

在上述背景下，杭州互联网法院在成立五周年之际，发布了“个人信息保护十大典型案例”，其中杜某诉某网络公司个人信息保护纠纷案(以下简称为“杜某案”)彰显了《个人信息保护法》第50条第2款的适用阻碍。该案对个人信息主体权利的实现路径具有指导性，涉及《民法典》与《个人信息保护法》交叉适用的若干基本问题，实值作进一步分析与反思。

在杜某案中，法院基于《个人信息保护法》第50条与第69条在适用范围上的区分，认为信息主体以《个人信息保护法》第四章所规定的个人信息主体权利实现受到阻碍，但没有产生损害时所产生的一种“个人信息权利请求权”，该请求权基础为《民法典》第995条规定的人格权保护，且应当以“个人信息处理者拒绝个人行使权利的请求”为诉权的前置条件。而《个人信息保护法》第69条则适用于个人信息权益受到侵权损害而产生的侵权损害赔偿请求权，信息主体可以直接向法院起诉。因此该案主要阐述了《个人信息保护法》第50条的具体适用范围与条件，确立了个人信息主体行使个人信息权利时存在诉权的前置条件的司法审查标准，以避免司法资源的浪费(杭州互联网法院(2022)浙0192民初4330号民事判决书)。

然而，问题在于法院认为《个人信息保护法》第50条第2款系对信息主体诉权的赋予，而《个人信息保护法》第69条显然为请求权规范，二者存有本质上的不同，是否有必要刻意区分二者的适用？并且，为什么“个人信息权利请求权”的请求权基础是《民法典》第995条，而不是《个人信息保护法》第44条至第49条或者《民法典》第1 037条规定的个人信息主体权利？就算将《民法典》第995条规定的人格权保护作为个人信息权益救济的请求权基础，那为什么还需适用《个人信息保护法》第50条，要求存在诉权的前置条件，难道信息主体不能直接基于《民法典》寻求司法救济吗？另外，司法判决可能忽略了这样一种情形，即当不存在实际侵害或者妨碍个人信息主体权利时，仅因信息主体的权利行使请求被信息处理者拒绝时，个人能否基于其权利行使请求未得到满足从而根据《个人信息保护法》第50条第2款向法院起诉。

因此，本文旨在重思杜某案的判决思路，以解释论为视角，进一步明晰第50条第2款的功能定位，并且围绕《个人信息保护法》第50条的具体适用路径，探讨个人信息主体权利的实现机制，从而推动法律赋予信息主体的个人信息主体权利，无论是在信息主体与信息处理者的互动场域下还是司法场景下，均能充分实现。

2 《个人信息保护法》第50条第2款的功能定位

《个人信息保护法》第50条第2款规定“个人信息处理者拒绝个人行使权利的请求的，个人可以依法向人民法院提起诉讼”。据此，该款的功能可以区分为实体性功能与程序性功能，前者依照“个人可以依法向人民法院提起诉讼”而使得信息主体享有某项权利，后者则通过“个人信息处理者拒绝个人行使权利的请求的”而对信息主体寻求司法救济苛以程序性要求。但是，具体为何种权利与权利实现程序还有待进一步明晰。

2.1 信息主体享有个人信息权利实现的诉权

对于实体性功能，本质上即为《个人信息保护法》第50条第2款的性质，而其性质是讨论个人信息主体权利实现路径的前提，因为若将其视为请求权基础，则将引发若干请求权规范竞合的问题，但若将其视为对信息主体在个人信息领域诉权的赋予或确认，则无需讨论该款在请求权基础方面的适用。

有观点认为信息主体的个人信息权益受到侵害时无需借助其他规范，仅依照《个人信息保护法》第50条第2款便可获得救济[3]，该条款可作为信息主体自主利益受侵犯时的请求权基础[4]。另一观点则认为《个人信息保护法》第50条第2款只是对个人诉权的确认，在信息处理行为没有产生损害[5]的情况下，信息主体可基于《个人信息保护法》第50条第2款规定的诉权，并结合其他规定人格权请求权基础的条款以寻求司法救济。[6-8]

然而，将《个人信息保护法》第50条第2款视为请求权基础不仅未正确区分请求权与诉权，而且忽略了立法者在设立《个人信息保护法》第50条第2款的立法意图。该款本质上是对信息主体诉权的确认，不能独立救济信息主体的合法权益，需要结合请求权规范共同作为信息主体向司法机关请求救济的法律基础。

首先，请求权的诉请履行力表明该款只是对信息主体诉权的确认。请求权本就具有强制实现之可能[9]，其强制性只是在形式上借助公法的诉权与执行请求权[10]。而《个人信息保护法》第四章规定的个人在信息处理活动中的权利本质上为人格权请求权[1，10-11]，信息主体可以基于此向义务人请求其履行或不履行相应行为，预防和制止侵害人格权的行为，以维护人格权圆满状态。因此，在个人信息主体权利实现受阻碍的情形下，无论系将《民法典》第995条、第1 037条还是《个人信息保护法》第四章规定的某一种或某几种权利作为请求权基础，其请求权性质本就赋予了信息主体可以诉请法院，通过胜诉判决要求信息处理者履行其义务之权利。所以，《个人信息保护法》第50条第2款后句实则是对信息主体诉权之确认，而非立法层面之权利赋予。通过《个人信息保护法》第50条第2款的明确规定，当信息主体无法通过私力救济维护其合法权益时，便可基于此条向法院提起诉讼，通过司法途径寻求权益保护，从而恢复人格权的完满状态。

其次，从本条的立法演进来看，在《个人信息保护法(草案)》第三次审议时，有常委委员要求增加本款，其理由在于“明确个人可以向法院起诉寻求救济的权利”[12]。经讨论，该条建议最终得到了立法者的采纳，即通过本条在法律层面确认了信息主体可以向法院请求行使个人信息主体权利，敦促信息处理者履行其义务的权利。

然次，在司法实践层面，在《个人信息保护法》出台以前，已有相关诉讼对信息主体的诉权予以探讨，并确认信息主体享有诉权。例如在“大数据杀熟第一案”——上海携程商务有限公司与胡某侵权责任纠纷上诉一案中，一、二审法院根据《常见类型移动互联网应用程序必要个人信息范围规定》第4条作为“个人信息拒绝权”的法律依据，并据此确认胡某作为信息主体享有相应诉权(绍兴中级人民法院(2021)浙06民终3129号民事判决书)。由此得知，《个人信息保护法》第50条第2款后句是对信息主体诉权的确认而非赋予。

最后，从法律行文来看，结合其他亦规定“可以向人民法院提起诉讼”的法律条文，例如《民事诉讼法》第58条赋予法律规定的机关和有关组织的公益诉权[13]，《妇女权益保护法》第68条新增规定的离婚家务劳动补偿协议诉权，均是对适格当事人或适格组织诉权的赋予或确认，而非规定相应的请求权基础。

因此，《个人信息保护法》第50条第2款的实体性功能在于确认信息主体诉权而非创设独立的请求权规范。此项诉权是个人信息主体权利通向公权力保护的桥梁，是信息主体可以进入诉讼程序以寻求公权力保护的法律规范[14]，通过《个人信息保护法》第50条第2款后句的明确规定，个人可以基于该款向法院提起诉讼，而不会面临权利可诉性的阙如疑惑(广东省广州市中级人民法院(2022)粤01民终3937号民事判决书)，从而保障个人信息主体权利的司法实现。

2.2 信息主体寻求信息权利救济的前置条件

《个人信息保护法》第50条第2款的程序性功能，则主要指向该款的适用条件，是否存在诉权的前置条件或者从其他角度阐释“个人信息处理者拒绝个人行使权利的请求的”的具体内涵，不仅有利于本条在司法实践中的具体适用，且可作为后续分析个人信息主体权利实现路径的考量因素。

在个人诉权的行使方面，存在强制条件肯定说、折中说与否定说等观点。在强制条件肯定说内部又可进一步区分为“单一拒绝说”“违反公法义务+拒绝说”以及“双重拒绝说”。

“单一拒绝说”认为，基于法条的明文规定，从文义解释来看，《个人信息保护法》第50条第2款规定的诉权行使存在前置条件，即须在信息处理者拒绝信息主体行使权利的请求之后，信息主体才享有相应诉权，否则司法机关应当依据《民事诉讼法》第157条、《个人信息保护法》第50条的规定，因其起诉不满足起诉条件而裁定驳回起诉[15]，从而减轻法院负累，防止“徒耗司法资源”[6，16]。而“违反公法义务+拒绝说”则认为只有信息处理者既违反了《个人信息保护法》第5章规定的公法义务，又同时拒绝了信息主体行使个人信息主体权利的请求时，信息主体才能向法院起诉[4]。

在此基础上，“双重拒绝说”则认为《个人信息保护法》第50条的前置条件应当为：信息处理者拒绝信息主体行使个人信息主体权利的请求，且信息主体向行政监管机关举报并对监督处理的决定不服，才能提起诉讼，并且是针对行政监管机关作出的决定或不作为的行政诉讼，而有关个人信息的民事诉讼则仅指向《个人信息保护法》第69条的个人信息侵权赔偿之诉[17]。除此之外，也有观点建议参考证券诉讼，通过最高人民法院发布司法解释的方式设定起诉的前置条件，即只有在国家个人信息主管部门认定被告存在“拒绝个人行使权利的请求”事实的情况下方能提起诉讼[6]。

折中说则认为《个人信息保护法》第50条只是倡导性规范，并非法律的强制性规定，信息主体可以在未向信息处理者行权时直接向法院起诉[12]。

否定说则主张在信息主体寻求信息权益的司法救济时，不存在诉权的前置条件，认为通过解释得出存在前置条件的观点构成对个人诉权的非法限制。由于个人信息主体权利本身就是请求权，当不存在信息权益受损而直接向法院起诉，应当是原告无法证明其权益遭受侵害或存在侵害之虞而被判决败诉而非被裁定驳回起诉[11]。并且当个人信息处理者违法处理信息主体的个人信息时，实体上已损害了信息主体的个人信息权利，如果法院绝对化地以“个人信息处理者拒绝个人行使权利的请求”为前提来处理信息主体的诉权，将不当限缩个人获得司法救济的权利[18]，并且若个人信息维权起诉前确实需要平台处理作为前置条件，此制度构造属于重大制度设计，应当通过审慎调研后方才能进行相应的制度建设[19]。

然而，“违反公法义务+拒绝说”“双重拒绝说”基本不在《个人信息保护法》第50条第2款的文义解释范围之内。

首先，当信息处理者在处理个人信息的过程中已经违反公法义务，例如未履行《个人信息保护法》第51条规定的防止个人信息泄露、篡改或丢失义务时，该不作为已经侵犯了信息主体的合法权益，此时信息主体可根据《个人信息保护法》第70条基于人格权请求权向法院起诉，要求法院敦促信息处理者履行法定义务，甚至可能直接触发个人信息的公益诉讼程序；若已给信息主体造成财产甚至精神上的损失，那法院则可依据《个人信息保护法》第69条，要求信息处理者予以相应赔偿，因为公法义务的违反已经可以推定信息处理者存在过错。

此外，“双重拒绝说”则混淆了个保法第50条第2款与第69条的适用场景。《个人信息保护法》第69条侵权赔偿之诉规定在《个人信息保护法》第7章中，独立于《个人信息保护法》第50条，并不以“个人信息处理者拒绝个人行使权利的请求的”为前提条件。

另外，虽然欧洲《通用数据保护条例》(以下简称为“GDPR”)第77条明确规定了通过监管机关(supervisory authority)的信息权益救济机制，但从GDPR第79条来看，数据主体可以在信息处理者不响应其权利行使请求时，直接向法院寻求救济[20]。

而反观“折中说”，虽该理论反对诉权的强制性前置条件一说，但未充分认识到个人信息主体权利的“权能”或“请求权”性质而非“权利”性质。因此以上三种学说不为本文所采。

作为请求权的个人信息主体权利包含两种行使情形，一是信息处理者的信息处理行为已经侵害或存在侵害之虞，但未造成具体的损害结果；二是信息处理者的信息处理行为不存在上述情形，但是拒绝了信息主体的权利行使请求。本文认为，“个人信息处理者拒绝个人行使权利的请求的”是在无其他侵害个人信息权益且不存在侵害之虞，信息主体向法院请求行使个人信息主体权利之诉权的前置条件。即只有信息处理者以“拒绝权利行使请求”表明其拒不履行《个人信息保护法》该规定的义务时(在不考虑理由是否正当的情形下)(拒绝包括明示拒绝与不作为，参见广东省广州市中级人民法院(2022)粤01民终3937号民事判决书)，信息主体才能向法院起诉，要求通过司法程序实现其个人信息主体权利。

首先，“个人信息处理者拒绝个人行使权利的请求的”不是个人信息主体权利作为请求权的成立要件。“否定说”虽然没有明确表明“个人信息处理者拒绝个人行使权利的请求”是个人信息主体权利作为请求权的成立要件，但是其认为，当信息主体没有向信息处理者行使权利而直接起诉至法院时，法院应当“判决”驳回诉讼请求，说明该观点支持“个人信息处理者拒绝个人行使权利的请求”系请求权的成立要件。然而，若将其视为请求权的成立要件，那信息主体在初始亦无法向信息处理者行使此项权利，又何来后续之信息处理者的拒绝或信息主体的起诉，存在逻辑障碍。

并且，当信息主体未向信息处理者行使个人信息主体权利而直接向法院起诉时，信息主体此时并不享有程序上的救济“权利”的正当性。由于个人信息主体权利属于个人信息权利请求权[15]或者人格权请求权[8]，或又称为权能[21-23]，而非实体权利本身，不具有独立性[15]，旨在发挥“积极推动本权实现的作用”，因此当信息主体并无任何权益受侵害且未向信息处理者行使个人信息主体权利而径直向法院起诉时，此时信息主体并无任何现实权益受侵害，故无法向法院寻求权利上之保护。

此外，从诉讼法的角度而言，由于此时并不存在真实的争议，故信息主体并不享有诉的利益[24]。实体审理的前提在于双方当事人对某一问题存在争议从而固定争议焦点[25]，而“无争议便无诉权”[26]，故当信息主体并无任何权益受侵害且未向信息处理者行使个人信息主体权利而径直向法院起诉时，法院无需进入实体审理程序，应依法裁定不予受理，若已受理，则应裁定驳回起诉。

最后，虽然无论将“个人信息处理者拒绝个人行使权利的请求的”解释为诉权的前置条件，还是个人信息主体权利的请求权成立要件，最终的法律效果都是，信息主体需向信息处理者行使权利被拒绝后，才能向法院起诉。但是，在个人信息领域，基于《个人信息保护法》之规定，作为请求权的个人信息主体权利在信息处理者开始处理信息主体之个人信息时便已经成立，无需以“个人信息处理者拒绝个人行使权利的请求的”作为其成立要件。但是诉权是私权被侵害后，由实体权利所生的程序性权利，系请求权强制力的表现[27]。在不存在其他信息权益侵害的情形下，“个人信息处理者拒绝个人行使权利的请求的”使得信息主体的人格权益并不处于完满状态，故个人信息主体权利享有权利上的可诉性。

2.3 小结

《个人信息保护法》第50条第2款后句是诉权的前置条件，而不是请求权的成立要件。当不存在其他侵害信息权益行为，只有信息处理者以其行为拒绝信息主体的权利行使请求时，信息主体才能因此请求法院救济。若信息处理者系以正当理由拒绝信息主体的权利行使请求，则属于抗辩权之行使，例如信息主体所主张的信息属于商业秘密，或者涉及国家安全等(《信息安全技术规范-个人信息安全规范》GB/T 35273-2020)，但抗辩权是否成立的最终决定权仍归属于法院。在杜某案中，法院将诉权的前置条件视为起诉受理条件(杭州互联网法院(2022)浙0192民初4330号民事判决书)，与《民事诉讼法》第122条规定的原告适格要件、明确的被告、具体的诉讼请求和事实、理由等具有同等地位，故《个人信息保护法》第50条第2款后句是《民事诉讼法》第122条在个人信息领域的特殊补充规定，当信息主体未向信息处理者行使权利而直接向法院起诉，法院可以根据上述二条裁定驳回起诉。

3 个人信息主体权利实现路径的规范阐释

在明确了《个人信息保护法》第50条第2款的功能定位以后，即可进一步分析并整合个人信息主体权利实现的规范路径。在讨论《个人信息保护法》第50条第2款的具体适用时，常与《个人信息保护法》第69条以及《民法典》中有关人格权请求权的规范勾连在一起。在杜某案中，法院对个人信息权益受侵害的救济机制提出二分法，即个人信息处理行为给信息主体造成损害时寻求《个人信息保护法》第69条规定的侵权损害赔偿请求权，未造成损害时则依据《个人信息保护法》第50条第2款的诉权与《民法典》第995条的人格权请求权向法院寻求救济(杭州互联网法院(2022)浙0192民初4330号民事判决书)。但该判决不仅未探讨个人信息主体权利的性质而径直将《民法典》第995条规定的人格权请求权作为“个人信息权利请求权”的请求权基础，而且忽略了在不存在权益侵害或者损害，但只有个人信息主体权利的行使请求被拒绝时，信息主体能否以及如何寻求救济的问题。

对于信息处理行为已经造成损害的情形，通常认为此时需依据《个人信息保护法》第69条的规定，基于过错推定责任向信息处理者请求损害赔偿责任[11-12]，且不存在诉权的前置条件，即信息主体无需向信息处理者请求行使权利就可以基于信息处理行为导致的人身、财产损害结果而向法院起诉。在学理上，关于《个人信息保护法》第69条的分歧主要在于具体的赔偿规则[28]，或者认为在个人信息侵权赔偿之诉中存在损害赔偿困境，从而建议对此进行制度重构，应在个人信息治理的框架内来理解个人信息侵权赔偿之诉[3]。但该条的具体适用不是本文重点，故不予赘述。

因此，本部分首先确定在信息处理行为未造成损害时，信息主体的请求权基础究竟是《民法典》第995条规定的人格权请求权，还是个人在信息处理活动的权利。然后在此基础上，引入类型化思维，以有无现实侵害行为以及侵害结果，从法规范解释角度，分别探讨个人信息主体权利的实现路径与权益受损的救济机制。

3.1 请求权基础的确定

由于个人信息权益属于人格权益[29]，其被侵害后，无论行为人是否存在过错以及是否造成损害，信息主体都可以行使人格权请求权，而究竟是适用《个人信息保护法》第四章还是《民法典》第1 037条规定的个人信息主体权利，亦或是《民法典》第995条规定的人格权请求权仍不明确。

有学者认为，由于《个人信息保护法》相对于《民法典》为特别法之于一般法的关系，在《个人信息保护法》能充分救济个人信息权妨害之时，《民法典》第995条应处于潜伏状态[30]。但也有观点认为由于删除权为人格权请求权的一种具体形态，故在信息处理行为已经侵害个人信息权益之时，信息主体只能行使删除权而非停止侵害、排除妨碍以及消除危险等人格权请求权[23]。然而，另一种观点认为，在此种情形下，信息主体可依照其意志自由选择个人信息主体权利与《民法典》995条规定的人格权请求权，基于诉讼便利的原则，建议信息主体适用《民法典》第995条，行使停止侵害、排除妨碍、消除危险等人格权请求权，从而略过被个人信息处理者拒绝这一环节[11]。

根据《个人信息保护法》第72条，当信息处理者系因个人或家庭事务而处理个人信息时，《个人信息保护法》规定的个人信息主体权利在此种情形无适用空间，而仅需讨论《民法典》第1 037条规定的个人信息主体权利与《民法典》第995条规定的人格权请求权之间的适用关系。从体系上来看，《民法典》第1 037条规定的个人信息主体权利是人格权请求权在个人信息领域的特殊规定，不仅有人格权请求权的消极防御之效力，而且还可以积极保护个人信息的本权权益。于是，在此种情形下，司法机关应当以《民法典》第1 037条规定的个人信息主体权利作为支持原告胜诉或败诉的请求权基础[31]。

而在非因个人或家庭事务的信息处理场景下，《个人信息保护法》第四章规定的个人信息主体权利则应优先适用。由于此时的信息处理行为涉及信息利用能力不平等的民事主体之间[32]，《个人信息保护法》规定的个人信息主体权利应当优先于《民法典》第1 037条规定的个人信息主体权利以及《民法典》第995条规定的人格权请求权而得到适用。

综上，《民法典》第995条在个人信息领域的适用空间较小，在非因个人或家庭事务的信息处理场域，《个人信息保护法》规定的个人信息主体权利具有优先适用效力。若信息处理者是因个人或家庭事务而处理个人信息，那么此时的请求权基础为《民法典》第1 037条规定的查阅权、复制权、更正权、删除权等请求权。

3.2 个人信息主体权利实现机制的类型化区分

在已知个人信息权益实现的请求权基础后，本节进一步分析信息处理行为未造成现实的损害结果时，个人信息主体权利实现的规范路径。

信息处理行为未造成损害结果，但侵害或妨碍个人信息权益的情形包括两种：一是个人信息处理者处理个人信息违法违约，正在侵害个人信息权益或者存在侵害之虞(即有侵害行为但无侵害结果)；二是不存在上述侵害或侵害的危险，信息主体向信息处理者行使权利但被拒绝(即无现实侵害行为)。

当信息处理行为未造成现实损害时，有关个人信息主体权利实现的具体路径存在两点分歧：一是当信息处理行为侵害了个人信息权益或者存在侵害个人信息权益的风险时，是否还需要以《个人信息保护法》第50条第2款规定的前置条件为起诉的受理条件。二是当不存在上述侵害或侵害之风险，但信息处理者单纯拒绝信息主体行使权利之请求时，此时对个人信息权益是否构成侵害，以及信息主体能否基于《个人信息保护法》第55条向法院寻求救济。本部分主要从这两点分歧展开，从解释论的角度，阐释个人信息主体权利的具体实现路径。

3.2.1 无现实侵害行为

有观点认为只有在个人信息上的主体人格权益正在受侵害或有受侵害之虞，信息主体才能依据个人信息主体权利来实现救济[1]。相反观点则认为在个人信息处理者未违法处理个人信息，未导致个人信息权受侵害之时，只要个人信息主体权利的行使遭到妨碍，虽然没有造成像财产权、人格权等绝对权的损害，但是由于此行为导致信息主体之人格权的完满状态无法实现，信息主体就可根据《个人信息保护法》第50条与相应的个人信息主体权利(被认定为人格权请求权)寻求司法救济[33-34]。

笔者倾向于后者，即当不存在任何个人信息权益受侵害或妨害，信息主体向信息处理者行使个人信息主体权利中的一项或几项权利被拒绝时，信息主体有权基于《个人信息保护法》第50条第2款向法院起诉。

首先，从文义解释的角度来看，无论是《个人信息保护法》第44条至第49条，还是第50条，均未提及此类请求权的行使要件为“个人信息权益正在受侵害或存在侵害之虞”。并且从法条规定出发，《个人信息保护法》第50条第2款规定了当信息主体行使权利之请求被拒绝时，就可以行使其诉权。

另外，作为请求权的个人信息主体权利与物权请求权不同，后者属于防御性权利[33]，而从《个人信息保护法》的规定来看，信息主体在个人信息处理中享有的权利具有发挥“积极推动本权实现的作用”，在不存在需要防御的情形，信息主体为了保护其知情权等个人信息本权权益[15]，可以主动行使查阅权、复制权等程序性请求权。

其次，信息处理者对信息主体行使权利请求的单纯拒绝，即不支持个体的访问权、更正权、删除权等权利请求时，使得信息主体享有诉的利益。当原告的权利或者利益实际上处于危害或不安，若其可以通过诉讼获得司法判决以维护自己的实体权利时，即具有诉的利益[35]。尽管权利行使请求被拒绝时，人格权益似乎未受到重大侵害[3]，但从事实状态来看，此时人格权的完满状态无法充分实现[36]，通过诉讼获得支持性判决后，通过信息处理者行为的履行，包括提供信息主体要求的信息(广东省广州市中级人民法院(2022)粤01民终3937号民事判决书)或者由信息处理者删除相关信息(广东省深圳市中级人民法院(2021)粤03民终9583号民事判决书)，便可以回到其人格权的完满状态，故信息主体此时具有诉的利益且所提起之诉属于给付之诉。

最后，从立法目的而言，若认为个人信息主体权利的行使请求被拒绝后，可以行使《民法典》第995条规定的人格权请求权，则将使《个人信息保护法》第50条第2款的立法目的落空，因为《民法典》第995条规定的人格权请求权行使无需任何前置条件，故无论《个人信息保护法》第50条第2款有无，只要权利行使请求被拒绝，信息主体就可以基于《民法典》第995条而非《个人信息保护法》向法院起诉。

因此，当不存在侵害信息主体权益或者侵害之虞时，在信息主体向信息处理者行使权利但被拒绝后，信息主体可基于《个人信息保护法》第50条第2款以及相应的个人信息主体权利(请求权)向法院起诉。

3.2.2 有侵害行为但无侵害结果

尽管如上分析可知，在非因个人或家庭事务的信息处理场域，《个人信息保护法》规定的个人信息主体权利相较于《民法典》第995条具有优先适用效力，然而无论是适用个人信息主体权利，还是《民法典》第995条规定，法律效果均是信息主体享有人格权请求权，在法律效果上并无二致，似乎不存在竞合之问题[36]。

但是有观点认为，信息主体基于个人信息主体权利寻求司法救济时，可能需要根据《个人信息保护法》第50条第2款先向信息处理者行使权利，被拒绝后才能向法院起诉，而《民法典》第995条规定的人格权请求权的行使则没有这种要求。因此，为了避免这一诉权的前置程序，信息主体可以直接基于《民法典》第995条、第1 167条起诉[11]。

然而，该观点值得商榷。尽管从文义解释出发，《个人信息保护法》第50条第2款似乎适用于所有个人信息权利实现的场景，但是该这种解决不仅忽略了个人信息主体权利的请求权性质，并且从《个人信息保护法》的立法宗旨以及域外相关立法例的角度来看，将“有侵害行为但无侵害结果”的权利实现方式排除在外更为妥当。

首先，从请求权的性质出发，当信息处理者已经违法、违约处理个人信息而侵害个人信息权益时，作为民事权利的请求权，由于其法律之力正体现权利主体在可以诉请法庭介入并强制实现[37]，因此信息主体当然可以基于个人信息主体权利而向法院寻求救济，而无需再经过前述所称的“诉权行使之前置程序”。

并且，《个人信息保护法》通过制度构建来赋予信息主体额外的权利与利益，以加强信息主体在信息能力不平等关系中的话语权[38]。在《个人信息保护法》实施以前，信息权益的侵害行为本就可以通过人格权请求权的行使，无需其他程序上的要件而得到停止。若认为在后《个人信息保护法》时代，诉请法院请求停止信息权益的侵害行为还需要诉权的前置程序，那么，相较于人格权请求权的一般实现路径，就给信息主体多施加了一层负担，似乎与《个人信息保护法》的立法宗旨龃龉。

此外，从欧洲《通用数据保护条例》(以下简称为“GDPR”)的规定来看，此种解释亦符合域外通行实践。根据GDPR第79条，数据主体认为其依据本条例的权利已经被违法的数据处理行为所侵犯(infringed)时，有权寻求司法救济，该条并未规定诉权的前置条件。并且，域外司法实践亦要求不得对此项权利的行使要求过于复杂[39]。

因此，在个人信息处理领域，无论是否系因个人或家庭事务而处理个人信息，当信息处理者违法或者违约处理个人信息，侵害信息主体的个人信息权益时，信息主体可以直接向法院起诉，要求信息处理者停止权益侵害行为，而无需经过《个人信息保护法》第50条第2款规定的诉权之前置程序。

3.3 小结

当存在个人信息权益的侵害行为或者侵害之虞，信息主体的请求权基础可能为个人信息主体权利中的一项或几项权利，也可能为《个人信息保护法》第69条，具体则依据是否存在损害结果为界。

若存在损害结果，法院应将《个人信息保护法》第69条作为原告的请求权基础进行审理。若不存在损害结果，此时信息主体的请求权基础为复制、查阅、删除等依照具体情形与原告意志主张的个人信息主体权利，并且此时不以“个人信息处理者拒绝个人行使权利的请求的”为诉权行使的前置条件，信息主体可以径直向法院起诉。此外，由于此时“个人为维护权利的成本支出已经产生，个人可以主张个人信息保护请求权受阻的损害赔偿请求权”[15]，但该损害赔偿请求权异于《个人信息保护法》第69条规定的“侵权损害赔偿请求权”。

而当不存在侵害个人信息权益的行为或者危险时，信息主体可以仅因个人信息处理者拒绝其行使权利的请求而基于《个人信息保护法》第50条第2款向法院提起给付之诉，要求个人信息处理者履行相应的义务。个人主体权利的司法实现路径如表1所示。

表1 个人信息主体权利的司法实现路径

4 结论

《个人信息保护法》作为个人信息领域的基本法，明晰其具体适用路径、解决其与《民法典》协调适用的选择难题并明确不同请求权基础适用的司法保护路径在当下具有重要意义。从上述分析可知，《个人信息保护法》第50条第2款是对信息主体诉权的确认，与《个人信息保护法》第69条存在本质上的适用区别。后者适用于个人信息权益受损，导致实际损害后果的情形，而前者则仅适用于不存在信息权益受侵害或侵害之虞，信息处理者单纯拒绝信息主体的权利行使请求权的情形。在此情形下，信息主体的请求权基础为个人信息主体权利而非《民法典》第995条规定的人格权请求权。而当信息权益正在遭受侵害或侵害之虞时，信息主体亦可基于个人信息主体权利直接向法院寻求司法救济，而无需经过《个人信息保护法》第50条第2款规定的诉权的前置条件。

针对杜某案，由于本案属于不存在侵害或妨碍个人信息权益的情形，故杜某向法院寻求救济前，只能在向涉案网络公司基于《个人信息保护法》第45条行使查阅、复制权但被拒绝，经过诉权的前置条件后，才能向法院起诉。并且此时，原告的请求权基础并非如法院所言的《民法典》第995条，而是《个人信息保护法》第45条规定的查阅权、复制权。