天尚法评 |个人能否直接以诉讼方式行使查阅、复制、删除等个人信息权利？

在数字化时代，个人信息成为重要的权利对象。根据《个人信息保护法》及相关法律法规，个人对其信息的查阅、复制、转移/传输、更正、删除等权利应得到保障。例如，某网络平台的用户向平台提出查询其账户信息、交易明细、定位数据等，并要求查看、复制与删除某段时间内的数据。平台以“涉及大量数据、需维护商业秘密”为由拒绝部分请求。

那么，现实中是否可以直接通过向人民法院提起诉讼的方式来实现上述权利，也需要结合《民法典》的相关规定及司法实践进行解读。本文结合法条要义与实操要点，给出可落地的实务建议，帮助企业合规处理个人信息请求，并为个人提供清晰的诉权路径。

1、相关法条及基本原则

• 《个人信息保护法》：明确个人在个人信息处理活动中的权利，包括查阅、复制、转移、纠正、删除等；同时规定个人信息处理者对合理请求应当作出响应，任何拒绝都应有合法事由与证据支撑。

• 《民法典》（物权、个人信息相关规则的民事层面适用）与民事诉讼法：确保公民的民事权利保护机制与救济途径的实现，司法机构在处理个人信息相关纠纷时应结合私权保护、程序正义及社会公共利益综合平衡。

• 司法实践共识：当个人信息处理者拒绝行使权利请求时，个人可向人民法院提起诉讼寻求救济；法院在受理阶段通常对提交的初步证明材料进行形式审查，是否成立、证据的真实性与充分性在后续审理中解决；诉权的行使应在不滥用、不过度干扰数字经济健康发展的前提下进行。

2、实务上的重要判断原则

• 权利性质与主体地位：个人信息权利属于民事权利范畴，个人对其信息具有直接诉权基础，但如何实现该权利，应以请求方的具体信息处理情境、请求的对象、范围和必要性来判定。

• 实务路径的可操作性：由于信息处理活动广泛，直接诉之法院的情形并非所有场景的优先选项。法院通常看重请求的合理性、与信息处理行为的关联性，以及拒绝理由是否充足。

• 初步证据的作用：法院在受理阶段会要求请求人提交可核验的初步证明材料，证明被请求方确实处理了其个人信息、拒绝不合理、或延迟等行为存在事实依据。此阶段是形式审查，最终是否获得支持取决于实质证据。

1、当事人路径的清晰化

• 个人信息主体：明确你要查阅、复制、转移、修改/删除的具体信息及处理者主体（企业、机构或平台）。

• 请求的具体性：尽量将请求聚焦于明确的数据集合、时间范围、数据类型，并指明所涉及的个人信息类别（如账户信息、交易明细、定位数据、行为数据等）。

• 响应时限与拒绝理由：了解信息处理者在法定或约定时限内应答的义务，以及可能的正当拒绝情形（如涉及商业秘密、他人隐私、公共安全等豁免情形）。

2、初步证据准备

• 资料清单：个人身份材料、请求文本、对方系统的域名/账户信息、申请内容的截图/记录、对方以往的响应记录（若有）等。

• 证明材料的形式：为何需要查阅/复制/删除数据、数据对个人权益的直接影响、拒绝的具体理由及依据等，确保材料具备可核验性。

• 证据平衡：在某些情形下，个人可能需要同时提供授权、授权范围、或司法救济中的强制性措施的依据。

3、诉讼与非诉的并行路径

• 优先考虑的非诉渠道：在多数场景下可先通过协商等途径解决；如无法达成一致，或对方拒绝的理由不成立，方可考虑进入司法程序。

• 诉讼启动条件：若信息处理者明确拒绝、或在法定期限内未作出回应且无法提供合理的解释，个人可考虑向人民法院提起诉讼，请求法院判定并保护其查阅、复制、删除等权利。

• 诉讼风险与成本考量：诉讼是一种强制性手段，可能涉及证据识别、数据范围界定与跨境处理等复杂问题，需评估取证难度、时间成本与潜在的公开性后果。

1、法院的受理与证据评估

• 形式审查阶段：法院会对原告提交的初步证明材料进行形式审查，判断诉请是否具备合法性与必要性。

• 审理阶段：对数据处理的范围、主体、时间、用途、保存期限等要件进行实质性认定，同时评估被告的拒绝是否有正当法律依据、是否滥用权利等。

2、信息处理者的抗辩与举证要点

• 证明拒绝合理性：若拒绝请求，需有正当、明确的法律依据支撑，如涉及商业秘密、个人其他权利、公共秩序等方面的法定豁免或限制。

• 正当性与比例原则：如请求过于广泛，可主张请求超出必要范围，应以最小、必要的数据为原则进行回应。

• 数据保护合规性证据链：在应对诉讼时应提供完整的日志记录、访问审核、数据处理流程、第三方的数据共享与跨境传输证据等，证明其合规性与数据安全控制。

1、构建清晰的数据治理框架

• 明确数据分类、数据最小化原则、数据生命周期管理，以及数据访问权限的严格控制。

• 对数据处理活动记录详尽，确保可追溯性，便于应对个人信息权利请求的合规应答。

2、优化权利请求的管理流程

• 建立统一的请求受理、分发、处理和反馈机制，确保在法定期限内对请求作出明确、可执行的答复。

• 对强制性拒绝情形，建立书面依据的评估流程，确保拒绝理由的合法性、必要性与合规性。

3、合同、条款与用户协议的风险防控

• 在平台用户协议、隐私政策及数据共享协议中，事先明确个人信息的范围、用途、保存期限、第三方共享及跨境传输的规则，避免模糊约定导致日后诉讼。

• 对涉及敏感数据及跨境传输的处理，严格遵循《个人信息保护法》等相关法律法规，确保合规备案、数据安全评估等程序。

4、面向个人信息请求的培训与预案

• 对客服、法务等前线人员进行定期培训，确保对常见请求的应答口径一致、合规，避免因口径不一致引发风险。

• 制定应对高频权利请求的标准化模板与引用依据，提升处理效率与一致性。