邵山 | 个人信息保护法告知同意规则的实务疑难问题研究

本文刊登于《人民司法》2024年第13期

一、问题的提出
二、告知同意的实践样本：隐私政策的勾选同意
三、告知同意规则的认知纠偏：权利救济与行动自由
四、告知同意规则与知情权、决定权的关系
五、违反告知同意规则的救济途径
六、违反告知同意规则的民事责任

告知同意规则在实务中因“告知同意困境”而引起很多困惑，究其根本，是对个人信息保护立法特征认识不足，同时也是缺少司法裁判的有力回应造成的。在实务中，法官往往陷入民法思维定式，将个人信息处理中的隐私政策视为格式合同条款进而作出用户同意的判断。对于违反告知同意规则，乃至违反个人信息处理规则、侵害个人信息权益的行为，依照个人信息保护法第五十条第二款和第六十九条第二款的规定，信息主体有权提起个人信息权益侵权之诉和损害赔偿的侵权之诉。由于违反个人信息处理规则行为的多样性与广泛性，现有两类请求权并不能准确回应现实中信息主体的权益救济需求，应充分理解个人信息保护法立法的特殊性，为信息主体提供包括行政投诉、人格权益侵权之诉、参照人格权益侵权之诉，以及损害赔偿侵权之诉这4种权利救济路径，使个人信息保护法得以真正落地实施。在无法适用其他工具性权能时，知情权、决定权才能作为请求权基础，第五十条第二款中的“拒绝”并非提起诉讼的前置条件，个人信息权益侵权责任可适用民法典第九百九十五条规定的6种责任承担方式。鉴于个人信息保护法的行为规制法特征，在个人信息权益侵权以及责任承担的问题上，应当更多关注其流程性与开放性特征，避免陷入局部且僵化的争论。

告知同意规则，也称知情同意规则，是指个人信息处理者在处理个人信息的过程中，应当对信息主体即个人信息被处理的自然人进行适时适当的告知，并在取得同意后方可从事相应的个人信息处理活动，除非法律另有规定外，否则处理行为即属违法。在主流观点之定义的基础上，笔者增加了“过程中”“适时适当”7个字，意在突出个人信息处理规范的流程性特征，否则容易引起误读。笔者在这里特别强调个人信息处理的重要特征——流程性，个人信息处理的全生命周期均应当贯彻告知同意规则，而非只要完成一次告知同意的交互，个人信息处理者就取得了全部处理行为的合法性或免责事由。因为告知同意规则的重要意义，绝不局限于对个人信息处理行为的首次效力审查，更主要地体现在对整个信息处理流程的规范，通过平台用户之间适时适当的交互实现双方主体权利义务的平衡。同时，也是信息主体寻求权利救济的重要线索或依据。告知同意规则，是“个人信息保护法所确立的个人信息保护核心规则，是保障个人对其个人信息处理的知情权和决定权的重要手段”。民法典第一千零三十五条以及个人信息保护法第十三条第一款第（一）项明确规定，同意是个人信息处理的合法性基础。因为同意的前提是告知，故告知同意作为一项规则被确定下来。

个人信息保护法颁布实施以来，在各界的共同努力之下，已经就诸多重大问题达成基本共识，然而关于个人信息处理的核心规则——告知同意规则的理解与适用，却存在诸多分歧。例如，对告知同意规则的基本理念就存在两种观点：一种偏向强化保护个人信息的自主决定，主张加强私法权利救济；另一种则偏向强化公法对个人信息处理者的规制，主张弱化告知同意规则的基础核心作用，提出将告知与同意适度解绑。

这些分歧也反映在具体的审判工作中，例如，法官对于告知同意规则的审查，往往将隐私政策勾选同意的法律效力作为切入点，有的法官会将点击勾选的同意视为民法意思表示的同意，并且自点击勾选同意之后的信息处理行为一直取得合法性或免责事由；而有的法官又会认为无须审查勾选隐私政策的行为效力，或无须审查隐私政策的内容，这两种处理方法都有违我国个人信息保护法告知同意规则的立法原意。

为弥合分歧，统一裁判思路，笔者着重探讨的问题有：首先，隐私政策作为告知同意规则的一个典型样本，勾选同意的法律意义如何？同意在个人信息处理中的民法意义如何？第二，面对告知同意困境，立法与执法仍然坚守告知同意这一规则，其背后的原理为何？对告知同意规则的认知偏差是如何产生的？第三，告知同意规则的权利基础是个人信息保护法第四十四条的知情权与决定权，该两项权能作为个人信息权益的核心权能，是如何作用及影响本法的信息处理规则体系的？作为工具性权能，这两项权能是否可以作为请求权基础？第四，违反告知同意规则、侵害个人信息权益的行为可否类型化？当违反告知同意规则的行为发生时，受侵害的信息主体当以何种途径寻求救济？诉权如何保障？第五，侵权人应当承担怎样的民事责任？

告知同意规则主要是通过用户在各APP移动端（包括网页端或外部设备端）阅读并勾选同意“隐私政策”（即个人信息保护法规定的个人信息处理规则）以及各种授权页面来实现的。对于用户而言，打开APP后的第一步就需要勾选同意隐私政策和用户协议，这种动作是否能够表示用户同意其个人信息被处理的真实意思，争论已久。关于隐私政策的法律性质，笔者认为，至少有3重法律含义：

第一，合法合规的审查依据。当个人信息处理者被投诉举报处理个人信息违规时，行政机关可能审查隐私政策；当涉及诉讼时，司法机关可能通过审查隐私政策来判断处理行为是否合法。

第二，在特殊的场景下，依据民法典第一千零三十五条第一款第（四）项的规定，作为网络服务提供者与用户之间约定个人信息处理事项的格式合同。这里需要区分用户协议与隐私政策，两者密不可分，但内容侧重有所不同：用户协议侧重于约定平台基础服务内容、交易步骤，以及各参与方的权利、义务；隐私政策则是个人信息处理规则的公示，只有在隐私政策中约定某种特殊的个人信息处理事项时，才具备格式合同的效力。

第三，作为抗辩事由。在个人信息权益的侵权之诉中，若存在将隐私政策作为合法性基础或免责事由的抗辩，法官应当对隐私政策进行司法审查。

隐私政策是告知同意规则实现的一个媒介，启动个人信息处理流程的一个环节，值得注意的是，其一揽子的告知形式，往往以形式上事先授权的合法性，来规避后续告知信息收集目的和手段的义务，进而使这一环节中的用户权利成为规制层级较弱的消费者权利。

用户点击勾选隐私政策或用户协议后，个人信息处理者是否就取得信息处理的合法性？答案是否定的。

如上文所述，目前主流观点的定义容易被实务界解读为用户勾选同意隐私政策就表示案涉个人信息处理行为取得合法性或取得免责事由。

笔者认为，判定信息处理行为是否合法，不仅要有合法合规的告知同意，还要看后续的处理行为是否一直持续地合法。因为个人信息保护法是一部对“个人信息全生命周期”处理行为进行规制的法律，处理行为的合法性要贯彻始终，不宜也不能截取某个节点判断其全流程处理行为是否具有合法性。具体而言，用户同意隐私政策只是平台对用户个人信息进行收集处理的开始，后续的个人信息处理行为是否符合隐私政策描述，有无超出或违反，尚不得而知。对于信息处理者，告知处理规则是一回事，实际上怎么处理可能又是另外一回事。因此，这一节点之“同意”的法律效果充其量也只是信息处理者取得处理个人信息的初步合法性。其后续处理行为是否合法，以及是否可以免责，还需对信息处理者的后续行为进行实体审查才能判断。

民法典有多处规定“告知同意”，除民法典第一千零三十六条规定的“合理实施的处理个人信息的行为”外，第一千零八条规定的“药物临床试验的受试者同意”及第一千二百一十九条规定的“医务人员向患者说明病情和医疗措施，并取得同意”，上述条文的法理基础在于信息能力不对等，同意的效力也有所不同。有学者认为，民法中同意阻却不法，有效力强弱与同意形态的区别,例如，属于意思表示的同意，可以确定地阻却行为不法，从转让处分的同意，到设定负担的同意，再到可撤回的单方同意，效力递减。

据此，我们获得的启发是，根据民法中的同意原理，意思自治的意味越强，相对人基于同意而产生的信赖也就越值得保护，同意是基于获得相应回报或者价值的动机而采取的决定策略。但是，在我国个人信息保护法领域，就同意效力而言，信息主体对监管的信赖利益远远大于同意所表达的意思，此处的同意并非传统民法意义上的同意，而仅仅是个人信息保护领域特有的一种交互方式。将同意与单独同意、书面同意比较，与其说是同意的效力不同，不如说是立法对告知义务的要求有所不同。因此，在告知同意规则中，告知义务的法律意义远大于同意。这一认知有助于避免将个人信息处理中点击勾选隐私政策的交互形式泛化为民法上的同意，并简单判定为后续个人信息处理行为的免责事由。

告知同意规则存在一个根本性的悖论，即“充分告知”和“简单易懂”之间不相兼容，即是说，越是“真实准确完整”的告知，往往信息主体越是“不易懂”。用户通常没有查看隐私政策就直接点击勾选同意。如何减少平台——用户之间的信息差，取得用户真实同意，在实务中变得越来越难。这一情形被学者们普遍地称为“告知同意困境”。即使如此，为什么立法与执法仍然坚守告知同意规则，其背后的原理是什么呢？

其一，告知同意规则可有效协调公、私法实现共同治理。在个人信息保护的规范体系中，公法治理是主要手段。“行政规制路径以基本权利的国家保护义务作为法权基础，在专业性、信息充分程度、治理效率等方面具有比较优势。”然而，又由于公法执法存在诸如规范体系、职能划分、监督效果等方面的局限性，需要导入私法的救济，经由自下而上的推动机制，既可以发挥私法机制的优势，又可以激活并推动公法法治化进程。个人信息保护法以同意作为构建合法性的基础，这本身就是一种典型的私法方法论。私法以主体的平等为基础，强调主体以其自由意志来构建其意欲发生的法律关系，这是私法自治的核心要义所在。“显而易见的事实是，以同意作为构建法律关系的基础，这体现出主体之间关系的双边性，这是私法关系的典型表征。”告知同意规则作为个人信息处理行为的合法性基础，既是公法规制的免责事由，同时也是私权利得以启动的诉权基础。

其二，告知同意规则是现实风险防范的迫切需要。在人工智能迅猛发展的当下，新质生产力促进新业态的涌现与旧业态的跃升，数据稀缺日益显现。个人信息的收集更为多样，共享更为普遍，分析处理技术也不断推陈出新。例如，在用户与平台之间每日长达数小时的交互所形成的大量行为（动作）信息，足以使得个人信息处理者能够通过行为心理的分析手段，判断用户的思维与行为习惯，这种特征标识的数据也称为用户标签。现阶段，平台业务模式主要是通过用户标签技术来建构用户群体的共同特征，用户标签数量越多，信息处理者对特定用户的了解就越充分。但“数量庞大且聚合的用户标签完全有可能成为个人信息，甚至能够达到敏感个人信息的程度”，这将威胁到个人信息权益乃至隐私权。“从根本上来说，经济发展要服务于人的发展，不能以牺牲人的自由、尊严、安全和财产为代价，重走环境问题先污染后治理的老路。”相较于行政监管，用户个体的发现更加敏锐及时，因此，若要防止人被异化为物，防止出现赤裸的零隐私状态，有必要充分利用现有法律规范，告知同意规则不失为当下依然行之有效的方案。

其三，告知同意规则也是世界各国的共同选择。从比较法的视野看，世界各国的个人信息保护立法均采取告知同意规则，这反映了各国立法面对大规模自动化个人信息处理的基本态度。同时也应该认识到，正是因为告知同意困境的客观存在，世界各国才不约而同地将个人信息权益侵权的归责原则确立为过错推定责任。

因此，告知同意规则意义重大，这项制度有没有是一回事，如何优化应用是另外一回事。

对于告知同意规则，需要从信息主体的权利救济和信息处理者的行动自由两个方面深入展开：

一方面，告知同意规则是个人信息权益的保障。我国个人信息保护法既没有规定个人信息权，也没有规定个人信息自决权，而规定的是个人信息权益，根本原因就在于根据民法的概念体系，权利设定于特定的客体之上，而权益一般没有客体或者客体并不确定。正是由于个人信息概念没有清晰的边界，进而直接决定个人信息权益的范围也存在不确定性。最为显见的不确定在于，法律规定匿名化处理后的个人信息不属于个人信息。但是，现代科技的发展表明，依赖技术实现的匿名化，理论上仍然可为技术所破解与还原，个人信息不可能被彻底匿名化，如何被识别或被复原只是技术或成本问题。因此，个人信息权益与其他作为绝对权的诸如名誉权、姓名权等人格权相比，特别需要借助告知同意规则在个人信息处理中对双方的权利义务小心划界。个人信息处理关系的双方在民事法律地位上平等，但双方信息控制能力则完全不平等，根据公平法则，立法通过要求强势一方主体充分告知，并取得弱势一方同意的方式，纠正能力的偏差。事实上，告知同意规则作为一种行为模式，通常应用于形式上平等而实质上的技术能力不平等的诸如医疗领域、消费者保护领域的民事法律关系。告知同意规则的精巧和机理就在于在这种不平等中实现平等，这是法官审理和裁判时尤其需要重点把握的。

另一方面，告知同意规则又赋予信息处理者行动自由。民法保护利益的两种模式，分别是权利化模式与行为规制模式，权益通常并无明确、特定之客体，故而难以透过权利化模式对其提供全面的法律保护。个人信息的司法保护就存在这个问题。此时，“立法者通过规制他人行为的角度，为相关法益提供适度且必要的保护，此种模式即行为规制模式”。告知同意规则通过包括隐私政策在内的宣示方式划定个人信息权益的边界，以及划定信息处理者行动的边界。告知同意规则不仅实现静态的区分，还致力于实现动态的平衡，这体现在立法要求在个人信息处理全流程中，信息处理者需要适时适当地向信息主体告知并取得同意。“现行法其实并未对个人信息主体基础法益进行直接确权，而是将其隐含规定在对个人信息处理规则为重心的体系设计之中”。个人信息处理规则藉由告知同意规则，将规则条款转化为清晰的合规指引以及信息处理者较为确定的行为预期。可见，告知同意规则的重大意义就体现在，认真的告知本身就是信息处理者清晰的行为预期，而明确的行为预期则意味着行动自由与限制。因此，我国个人信息保护法呈现“规制法”与“权益法”并重的立法模式，告知同意规则作为个人信息保护的核心规则，深深嵌入个人信息保护法规范体系中，串联起公法、私法条款，支撑权益保护与行为规则两种保护模式，并起到价值宣示的重要功能。

综上，透过告知同意规则在信息处理关系双方间权利义务的精细安排，可以再次检视立法所要表达的复杂的、平衡的语言。个人信息保护法第一条明确规定了本法的3重立法目的，即：保护个人信息权益、规范个人信息处理活动、促进个人信息合理利用。立法希望保护的这些利益，既有信息主体的主体利益，又有信息处理者所代表的社会利益，利益多元，内容复杂。前者是权益保护与行为规制相结合，后者的合理利用则是他人的行动自由，因此，既应当高度重视个人信息的合理利用可能带来的产业发展以及对数字经济的促进，又同样应当高度关注个人信息违规处理所带来的严重后果。告知同意规则的本质，是在行政监管与司法的监督之下，通过信息处理者的告知义务，例如收集处理规则的更新，增强同意的实施，与信息主体互动并获得同意。这一流程因为告知同意规则而得以不断优化，进而让信息主体作为相对人参与到个人信息处理过程中来，使个人信息保护的规范体系得以真正激活从而实现立法目的。

个人信息保护法第二章第十三条以“同意+例外”的立法模式规定了个人信息处理的合法性基础，并在之后的条文中详细规定了告知、同意、单独同意的各种具体情形。那么，作为第二章个人信息处理规则的告知同意规则，与第四章第四十四条的知情权与决定权，是何种关系呢？

告知同意规则的直接权利基础来源于个人信息保护法第四章第四十四条，该条规定个人对其个人信息的处理享有知情权、决定权以及限制处理权与拒绝权，在第四十五条至第四十九条又规定了查阅权、复制权、转移权（可携带权）、更正权、补充权、删除权、解释说明权，近亲属为自己利益查阅、复制、更正、删除死者个人信息的权利。此外，由于我国个人信息保护法独特的规范体系，第二章第十五条规定的撤回同意的权利，第二十四条规定的个人对自动化决策的选择权、说明权和拒绝权等共12项权利，在法理上均被称为具体权能或工具性权利；知情权、决定权在其中具有特殊地位，故笔者将其总结为“2+12”的个人信息权益的权能结构。对此，主流观点认为，在第四章规定的这些权能中，知情权、决定权是个人信息权益中的核心权能，其他如查阅、复制、补充、更正等权利只是为了实现知情权与决定权而配置的工具性权利。在此，笔者特别强调的是，对于告知同意规则或强化或弱化的观点，本质上是对知情权、决定权这些核心权能的认知偏差，在人格权法理论中，从权利到权益，人格权之绝对权效力是呈现梯度下降的，由于对个人信息权益内涵与外延的认识不统一，导致了对其绝对权的性质把握不准。

知情权、决定权可否作为请求权基础？在实务中，例如，隐私政策中就个人信息共享的范围或处理目的告知含混不清的，再如，数据出境或委托第三方处理应获得单独同意而未获得的，对于这些明显违反告知同意规则的处理行为，信息主体均可以援引第四十八条解释说明权的规定，要求信息处理者作出解释说明。然而问题是，第二章的公法义务与第四章的个人权益之间并非一一对应的关系，那么，如果信息主体对于违反告知同意规则的行为，找不到对应的权能作为请求权基础的时候，第四十四条规定的知情权和决定权可否作为请求权基础呢？

这一问题的提出，是有迫切的现实需要的。对此，一般认为，知情权与决定权虽然是个人信息权益中的核心权能，也是权能的一种并由法律明确规定，理论上是可以作为请求权的。但是，知情权、决定权又是概念性、框架性权利，具有价值指引和权利创设的功能，知情权与决定权并非请求权。相关研究并未就此问题深入展开，对此，笔者认为，知情权、决定权一般不宜作为请求权基础，理由如下：首先，相较于其他12项权能，该两项权能的权利内容及边界不明确，若作为独立的请求权基础对于利益各方的行为预期不利，所以在具体适用上，知情权与决定权应是补充性的、兜底性的，只有在其他个人信息权益无法提供充分救济之时，才有本条适用的余地，以保证法律的确定性和安定性。其次，从既有的有关知情权的司法解释看，如最高人民法院《关于审理医疗损害责任纠纷案件适用法律若干问题的解释》第17条规定：“医务人员违反民法典第一千二百一十九条第一款规定义务，但未造成患者人身损害，患者请求医疗机构承担损害赔偿责任的，不予支持。”对于知情权保障的立法脉络应当保持一致。因此，知情权与决定权一般不作为请求权基础。至于未来，如有侵害个人信息权益的行为足以构成个人信息权益侵害且第四章的权利又无法覆盖的情形出现，依然可以保持开放性的立场，经由本条创设新类型的权能。

告知同意规则与知情权、决定权在个人信息保护法体系中是表里关系、是理念与机制的关系。具体分析如下：首先，就告知与知情而言，告知是信息处理者的义务，知情权是信息主体的核心权能，分别从相对人义务和赋权主体两个角度规范信息处理行为。但知情权的实现除了充分告知，还需要信息主体的理解与同意，所以，知情相比告知，对信息处理者有更高的义务要求。其次，就同意与决定而言，同意是经信息主体充分知悉之后的明确同意，包括单独同意、书面同意。而决定权不仅指同意，还包括删除权、撤回同意权等在内的信息主体对所有信息处理行为的权利。

从个人信息处理规制的立场来解读个人信息权益的若干工具性权能，信息主体对此等权利的行使高度依赖信息处理者主动配合，这些权能也可视为立法为信息处理者设定的具体行为义务。知情权、决定权不仅是系列权能的核心，也对信息处理行为具有约束力，所以，即使个人信息保护法第四十四条规定在第四章，其法律效力却辐射了整部个人信息保护法。正因如此，不少学者认为，“知情同意”或“告知同意”是个人信息保护首要的基本“原则”，甚至认为是“帝王条款”。但是，又由于根据个人信息保护法第十三条的规定，采取的是“一般+例外”的立法模式，相较其他6种例外情形，告知同意规则也只是作为信息处理合法性基础的一般情形。原则与规则的区别在于，原则不应该有例外，故此，告知同意只能是规则，而不是原则。探究个人信息保护法的立法宗旨，既不必将告知同意规则上升到原则的高度，也不必淡化告知同意规则的核心规则地位。申言之，即使第十三条规定了6种例外具有合法性基础，告知同意规则仍然是一般规则，不因有较多的例外而削弱其核心规则地位。综上，知情权与决定权是贯穿整部法律的理念性质的个人信息权益的核心权能，而告知同意规则则是保障个人信息权益运行的机制设计，属于制度层面。

当前，对于违反告知同意规则，乃至违反信息处理规则的行为，在救济途径、责任承担方面，还有尚未形成共识的若干问题。

由于告知同意规则作为核心规则，贯穿整部个人信息保护法，所以，既规制对第二章个人信息处理规则（含第三章第三十九条）的违反，也救济对第四章个人在个人信息处理中的权利侵害。“这些工具性权利与个人信息处理规则在内容上同构，二者共同构成个人信息保护的规制秩序。”然而在法律性质上，第二章个人信息处理规则的相关规定属于行政监管条款，区别于第四章赋予信息主体的权利条款。

违反告知同意规则且侵害个人信息权益的行为具有普遍性，此类行为可否类型化成为法律实施中的重点、难点。一个简便的思路是，确定违反告知同意规则行为的范围，并根据违反告知同意规则的程度或情节之不同，进而确定是否侵权，以及寻找相应的救济途径。笔者认为，可以分为以下3类：

对此，相关监管文件已经结合产业的具体形态作出一些重要的细化，例如，2023年底发布实施的《个人信息处理中告知和同意的实施指南》，对告知与同意的适用情形和基本原则，告知的方式、内容和实施，以及同意机制的选择、实施、撤回和证据留存等进行了细化规定，并通过附录列举了常见应用场景下的告知和同意模式，该指南对于确定违反告知同意规则的信息处理行为具有重要参考价值。再如，网信办等4部门早在2019年发布的《App违法违规收集使用个人信息行为认定方法》就列举了如下违反告知同意规则的行为:“未公开收集使用规则”“未明示收集使用个人信息的目的、方式和范围”“未经用户同意收集使用个人信息”“违反必要原则，收集与其提供的服务无关的个人信息”“未经同意向他人提供个人信息”，其中“未经用户同意收集使用个人信息”项下就列举了多达9种具体情形。该办法规定的未经用户同意，超出必要权限，超范围的信息收集或权限获取等行为，均属于违反告知同意规则的行为，同时也是违反个人信息保护法第二章的信息处理规则的行为。

其中，妨害信息主体查阅权、拒绝处理权、解释说明权、撤回同意权等具体权能的行为，可以视为属于违反告知同意规则的行为。

信息主体可以依据个人信息保护法第六十九条第二款向法院提起诉讼。

当上述违反告知同意规则的行为发生时，从信息主体的立场，有以下4种救济途径值得探讨：

基于个人信息保护领域的特殊性，公法规范是首选，这也正是个人信息保护法作为“保护法”的重要特征，体现国家保护义务。就投诉途径而言，网络安全法也规定了投诉举报机制，个人信息保护法第六十二条、第六十五条分别规定国家网信部门是统筹履行个人信息保护职责的部门，应当建立完善的个人信息保护投诉举报工作机制，收到投诉举报的部门应当依法及时处理，并将处理结果告知投诉举报人。根据工业和信息化部发布的互联网信息服务投诉平台数据，2023年度每月约有8万件至12万件投诉，其中涉及个人信息保护类的投诉在1.2万~1.5万件之间。其行政监管与执法效率及专业程度，无疑值得肯定。根据国家工信部网站2024年3月14日通报，由工信部组织第三方检测机构对违规收集个人信息等问题进行检查，发现62款APP及SDK存在侵害用户权益行为，并要求整改。在现实应用场景中，例如基于扫码点餐、停车付费等收集非必要信息或要求关注等行为，再如隐私政策披露不充分、处理行为违反第二章个人信息处理规则以及相关监管文件规定的行为，用户选择与平台交涉或向有关监管部门投诉，或许是较为高效的选择，但这一路径能否进一步畅通，还有赖于政府监管部门的分工明确以及投诉渠道的宣传普及。

信息处理者违反告知同意规则，且侵犯个人信息保护法第四章规定的各项工具性权能时，信息主体可以依据第五十条第二款之规定向法院提起诉讼，但是，法学界对于此种诉讼是否须遭到信息处理者“拒绝”之后才能提起，存有不同观点。笔者认为，第四章规定的各项工具性权能无法行使或遭受侵害、妨害的情形很多，难以抽象概括。尽管通常情况下，信息主体为实现前述法定权能，大概率会先行向信息处理者进行交涉，作为用户与平台之间的第一轮交互，如果处理结果不能令信息主体满意，用户当然可以选择继续与平台交涉或向平台内管理者投诉，还可以向履行个人信息保护职责的部门投诉。事实上，大部分纠纷也是依循上述途径解决的。第五十条第二款规定个人信息处理者拒绝个人行使权利请求的，个人可以依法向人民法院提起诉讼。可见，立法是敦促信息主体先行与信息处理者进行交涉或磋商，但不宜将有没有经过交涉作为起诉的条件。无论是基于权能理论，还是基于法律规定，信息主体均有权依据相关请求权基础提起诉讼。在个人信息处理过程中，拒绝的实际情形可能是投诉无门、投诉无回复、对投诉回复不满意，并非假想的单一表现形式。拒绝行为本身已经成为案件事实的一部分，属于侵权构成的实质要件，而不应当是提起诉讼的前置程序要件，因此，是否构成“拒绝”以及是否构成侵权，可以由法官结合具体个案进行审查判断。

笔者认为，可以将第四章规定的具体权能作为请求权基础，如上文所述，此类行为应当可以参照个人信息权益的各项工具性权能，提起个人信息权益侵权之诉，即本文所称“参照个人信息权益侵权之诉”。违反告知同意规则，以及违反第二章规定的信息处理规则之行为，与侵害第四章规定的工具权能之行为内容上“同构”，因此，信息主体不仅可以通过向有权机关举报投诉，也可以根据具体情节选择个人信息权益的各项具体工具性权能规定作为请求权基础起诉至法院。

信息主体可以向法院提起损害赔偿侵权之诉。

综上，信息主体可以通过行政投诉、人格权益侵权之诉、参照人格权益侵权之诉，以及损害赔偿侵权之诉寻求救济，其中第一项是依据公法规范的投诉举报途径，第二项、第三项是针对侵害个人信息权益的行为，以个人信息保护法赋予的12项工具性权能为请求权基础，提起个人信息权益侵权之诉；而第四项，是针对发生实际损害的个人信息权益侵权行为，依据个人信息保护法第六十九条第二款的规定提起的个人信息权益损害赔偿的侵权之诉。

当信息处理者导致信息主体的个人信息权益受到侵害、妨害或者有妨害之虞时，其可能承担的民事责任有两类：一是侵害或者妨害个人信息权益的侵权责任；二是造成损害时的侵权损害赔偿责任。对于后者，并无太大分歧，且几乎被公法治理所过滤。在个人信息保护法实施中常见的是第一种民事责任，笔者重点讨论相关争议。

个人信息权益属于民法典第九百九十条规定的“其他人格权益”，具有一般人格权的显著特征。因此，个人信息权益侵权之诉实质上是人格权益侵权之诉。个人信息权益的各项工具性权能是赋予信息主体的人格权益请求权，这类请求权以恢复人格权完满状态为任务。有学者还将此种请求权称为“个人信息保护请求权”。侵犯各项工具性权能的行为包括但不限于违反告知同意规则的行为，在民事责任承担方面，有3点特别值得关注：

当信息主体认为信息处理者的行为违反告知同意规则的时候，可以寻找对应的权能，例如以解释说明权等作为请求权基础。如果不能对应，则不能取得请求权基础，只能通过向“履行个人信息保护职责的部门”投诉举报实现权利的救济。如果个人信息主体援用个人信息保护法规定的12项个人信息工具性权能，针对违反个人信息处理规则的行为提起诉讼，其须熟稔个人信息权益的各项权能之于具体信息处理行为的含义，进入法院的该类诉讼同样要求法官对个人信息权益内涵具有深刻理解，进而对侵害的频率、持续时间、危害程度等因素作出综合判断。有研究显示，关于违反告知同意规则是否等于侵犯人格权，德国法院在几乎相同的案件事实面前，判决也不一致，法官分歧的焦点在于如何理解立法对于个人在何种程度上享有对个人信息的控制权、支配权。申言之，由于个人信息权益与他人的言论自由、舆论监督等法益存在交叉，又涉及平台与用户利益的平衡，因此关于违反告知同意规则是否构成侵权的问题，还需要积累更多的实践经验才能进一步明确。

对于此类违反处理规则行为的民事责任，是限于民法典第一千一百六十七条的3种责任承担方式，还是可以适用民法典第九百九十五条的6种责任承担方式。笔者认为，对于此类人格权益侵权，需要结合个人信息保护法的行为规制和风险防范的本质特征理解，不宜局限于有关防御性权利的观点，认为只能适用第一千一百六十七条的3类民事责任。审判实务中，赔礼道歉的责任承担方式往往是预防和矫正信息处理行为的有效手段。此类侵权行为的程度处于行政监管到民事损害赔偿侵权的过渡地带，在法理上具有类似“屏障”功能，在法律效果上相当于“报警”模式，基于这样的认识与判断，法官对于此类案件的处理自然会有相应的尺度。

此类侵权之诉既有私权的保障又有帮助他人的公益意味，也即是说，个体诉讼犹如火警的提示，对该应用程序的其他用户而言，具有保障他人兼顾公共利益的性质。根据最高人民法院《关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》第12条之规定，可以判令侵权人赔偿维权开支等合理费用。

责任编辑、公号制作：李泊毅

审核：李敏