合理界定行权范围和方式 平衡个人权益与企业利益 　　 　　个人查阅复制请求往往既包括“个人信息”，又包括对“个人信息处理”的相关事项。因此，不论是查阅复制个人信息的范围，还是企业为用户提供查阅复制的途径、方式，都关乎个人权益保护与企业经营利益之间的平衡问题。 　　 　　“我怀疑你们泄露了我的个人信息。我要求查阅、复制我账号近期的登录信息、个人身份证号码的查阅记录。”北京互联网法院发布的2023年度十大典型案例中，“个人信息访问记录查阅复制案”中原告夏某因怀疑被告某电子公司违法泄露其个人隐私信息，向被告提出个人信息查阅请求。 　　 　　这不是个人信息访问记录查阅复制第一案。2021年11月1日起施行的《中华人民共和国个人信息保护法》规定了个人在个人信息处理活动中的权利，包括对个人信息处理的知情权、决定权、查阅复制权、删除权等。2021年12月，广州互联网法院判决的周某和唯品会平台的个人信息保护纠纷案也与个人信息查阅复制有关。在该案中，周某因怀疑个人信息泄露，要求唯品会披露所获取的相关个人信息。 　　 　　夏某的诉讼请求被法院驳回，周某的部分诉请得到法院支持。个人信息保护法赋予个人的权利究竟如何行使，司法实践给出了答案。 　　 　　北京互联网法院发布的“个人信息访问记录查阅复制案”中，夏某是被告公司的用户，他表示曾接到自称为被告公司客服的来电，对方准确报出了他的完整身份证号码。因此，怀疑这一“来电”是由于被告违法泄露公民个人隐私信息导致的。 　　 　　为了排查账号安全、寻找个人信息泄露原因，夏某向被告客服电子邮箱发送邮件，提起个人信息查阅请求，要求查阅、复制账号近期的登录信息、个人身份证号码的查阅记录。 　　 　　被告向夏某提供了其登录信息，但没有满足夏某的“查阅、下载本人身份证号码的完整访问记录”要求，认为这并不属于个人信息，夏某无权查询。 　　 　　作为个人信息权利主体，夏某能否要求被告方（个人信息处理者）披露特定时段获取个人信息的访问记录？北京互联网法院认为，这涉及对个人信息范围及查阅复制权限的认定，应当判断夏某主张的“访问记录”是否构成个人信息，如构成则其可依据个人信息保护法和双方的个人信息处理协议获取该访问记录，若不构成，则反之。 　　 　　个人信息保护法第四条规定，个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。 　　 　　“判断某项信息是否属于个人信息，应从识别和关联两个角度切入。”北京互联网法院认为，识别即从信息到个人，由信息本身的特殊性识别出特定自然人，个人信息应有助于识别出特定个人。关联即从个人到信息，如已知特定自然人，由该特定自然人在其活动中产生的信息，如个人位置信息、个人通话记录、个人浏览记录等，即为个人信息。 　　 　　经过审理，北京互联网法院认为，不论从识别还是关联角度，对个人信息的访问记录都难以被定义为个人信息，一方面，被告对用户身份证号码等个人信息的展示采取了内容替换、SHA256等脱敏、加密技术，访问者难以识别该身份证号属于原告；另一方面，访问记录不具备关联特征，不是本案原告在其活动中产生的信息。因此，该访问记录不属于原告的个人信息，仅为被告企业的内部管理信息，原告无权查询，最终驳回了夏某的诉讼请求。 　　 　　法院如何界定行权范围和方式 　　 　　对外经济贸易大学数字经济与法律创新研究中心主任许可表示，实践中，个人查阅复制请求往往既包括“个人信息”，又包括对“个人信息处理”的相关事项。个人信息保护法赋予个人的“查阅、复制”权利指向的对象是“个人信息”，“知情权、决定权”指向的对象是“个人信息的处理”。从目前实践来看，个人信息范围的认定，一般以所“收集”的个人信息为指向。 　　 　　前文提到的周某诉唯品会案中，广州互联网法院对个人信息查阅权、复制权范围的认定，不仅依据了民法典、个人信息保护法等法律，还参考了国家标准GB/T35273-2020《信息安全技术 个人信息安全规范》。 　　 　　广州互联网法院认为，个人信息查阅权、复制权的客体“个人信息”，不仅包括个人信息本身，还应包括个人信息处理的相关情况，并对原告周某要求查阅、复制个人信息清单中的“第三方SDK从唯品会公司收集到的其个人信息”“对外分享的信息——共享给第三方的信息以及第三方的具体名称”“支付信息——与唯品会合作的第三方支付机构从唯品会收集到的账户信息”等都予以支持，对“哪些信息被用于用户画像”等予以驳回。 　　 　　“周某诉唯品会案中，设备信息、日志信息、浏览信息和订单信息等被明确界定为个人信息，为实践中的争议问题提供了权威解答。”中国政法大学数据法治研究院教授张凌寒表示，在个人信息保护合规领域，用户有权查阅、复制的个人信息范围包括直接关联个人身份的基础信息，例如姓名、出生日期、身份证件号码、生物识别信息、联系方式等，还包括特定类型的个人信息，即能够单独或与其他信息结合来识别特定个体，主要涉及教育工作经历、财务状况、位置轨迹，以及互联网使用过程中产生的各种信息，如设备信息、浏览历史、账户昵称及头像等。 　　 　　实践中，个人信息查阅的行权途径和方式也有所差异。比如周某诉唯品会一案中，唯品会客服告知周某可在App“个人中心”内查看，对之后周某向唯品会平台个人信息专职保护部门发送的邮件未予回复，广州互联网法院综合认定唯品会拒绝周某行使权利请求的理由不充分，认定其存在无正当理由拒绝周某行使查阅、复制权的行为。 　　 　　北京互联网法院审结的另一起查阅个人信息访问记录查阅复制案中，用户张某要求某视频平台提供“可编辑的xlsx文件”形式的浏览记录信息。视频平台的运营者A公司表示，用户可通过“观看历史”和“反馈与帮助”等功能自主查阅、复制个人信息，且视频名称、发布者账号名称等既属于张某的个人信息又是视频发布者的个人信息，为避免侵害视频发布者的个人信息权益，A公司以播放链接方式向张某提供。张某因不认可这一提供形式，起诉到法院。一审开庭前，A公司以表格加链接形式提供了原告所需个人信息，法院对此予以认可，驳回了张某的诉讼请求。 　　 　　“书面的与电子的、纸张文件与源代码，在形式上天差地别。”许可表示，在查阅复制权的形式方面，法律没有明确标准。在此背景下，应结合个案具体情况，并根据个人信息的种类、储存方式、复制成本等多方面因素综合考虑。 　　 　　需平衡个人权益与企业利益 　　 　　许可表示，不论是查阅复制个人信息的范围，还是企业为用户提供查阅复制的途径、方式，背后都关乎个人权益保护与企业经营利益间的平衡问题。 　　 　　“对大型企业来说，个人信息碎片化分散在不同分支业务条线信息系统内。如果不对个人信息范围有所限制，允许个人要求查阅、复制、删除所有相关的个人信息，对企业来说成本高昂。”许可说，目前并不是所有企业都具备研发或者购买自动化处理系统等先进技术的能力和实力，即使具备这样的先进技术系统，也没有可能实现一键将所有个人信息收集到一起。 　　 　　实际上，不同规模企业所存储的个人信息量及对个人信息的处理能力的确影响个人信息查阅复制权的行使。张凌寒表示，当前，在个人信息保护实践中，不同规模的企业由于业务范围和数据处理能力的差异，所掌握的用户个人信息种类、数量及复杂性各有不同。中小企业可能仅涉及基本的用户信息，技术上相对容易满足查询复制或删除要求，成本较低。大型网络平台则拥有海量多类型的信息库和信息系统，所管理的个人信息不仅包括基本信息，还涵盖消费行为、社交关系等多种复杂数据。 　　 　　“以电商平台上用户购买商品物流信息为例，物流信息包括用户的收货地址、姓名、电话等个人信息，但是平台和物流公司收集的收货人信息并不是按照个人标识符去收集的，其收集的目的是用于仓储和运输，信息也会分流到不同地方。如果为了识别个人信息而将这些信息全部整合收集，既加大企业成本，也可能带来新的风险。”许可说，立法和司法实践一方面要充分保障个人信息保护法第四章赋予个人的基本权利，另一方面也要从数字经济发展角度平衡《关于构建数据基础制度更好发挥数据要素作用的意见》赋予企业的数据资源持有权、数据加工使用权和数据产品经营权。 　　 　　许可认为，个人信息保护法中的诚信原则是衡量个人信息查阅复制权和企业商业利益之间的重要机制。诚信原则不但是民法典的基本原则，个人信息保护法第五条也进行了规定。因此，不论是个人信息处理者还是个人，均应恪守诚信原则。从企业提供个人信息的方式来看，只要满足了个人查阅复制其信息的需求，应当允许个人信息处理者依据其信息存储形式、存储能力，自行选择合理的提供信息的方式，而无需严格遵循个人的要求和指示，这也是诚信原则的体现。 　　 　　“企业应根据法律法规规定制定明确、便捷的个人信息权利行使的申请途径。当用户提出合法有效的查询复制或删除个人信息的要求时，企业要严格核实用户身份。在查询范围上遵循最小必要原则，仅提供与用户直接相关的个人信息，并尽快执行相应的复制或删除操作，同时记录整个过程以符合企业合规要求。”张凌寒表示，未来随着法规制度的不断细化和完善，个人行使查阅复制权的法治环境将更加规范。针对不同类型企业的实际情况，法律应制定更明确的操作指南和责任标准，平衡企业与用户之间的利益关系，确保个人信息保护在技术创新和市场发展中得到有力维护。  　　 　　许可认为，当下和未来一段时间，企业应先落实用户对个人信息查阅、复制等最基本的关于个人信息保护的权利要求，不能以各种理由拒绝用户行使此项权利。“对于已经在用户协议、隐私政策中明确收集的，以及用户个人主动提供的个人信息，企业应当给予快捷的、低成本的、友好型的查阅复制渠道。” 　　伊志律师事务所位于北京市朝阳区朝外大街乙6号朝外SOHO-C座1209，优越的地理位置，便利的交通条件，安静、专业的办公环境为需求提供方便。 电话：010-84493343 微信：18401228075 电话：18401228075