个人信息权保障难题解答（四）：企业如何响应更正补充权？

《个人信息保护法》（下称“个保法”）第四十六条规定：个人发现其个人信息不准确或者不完整的，有权请求个人信息处理者更正、补充。个人请求更正、补充其个人信息的，个人信息处理者应当对其个人信息予以核实，并及时更正、补充。

更正补充权并不是个保法增设的权利。2017年6月施行的《网络安全法》和2021年1月施行的《民法典》对此都有体现：

此前的相关规定主要着眼于个人信息有误时的更正权，而个保法则在此基础上对个人信息“不准确”和“不完整”的两种情况进行了区分，进一步规定了请求补充的权利。

更正补充权对个人信息主体而言是一项基础权利，对个人信息处理者而言则是保证个人信息质量、用户权益的必然要求。这也有助于个人信息发挥其真正价值，与个保法促进个人信息合理利用的立法目的相呼应，因为个人信息的真实、准确、完整和及时更新是保障其使用价值的重要前提。^[1]比较法上，美国《隐私法案》《欧盟基本权利宪章》和GDPR等均规定了该项权利。

收到关于更正、补充个人信息的请求时，企业面临的第一个难题就是：如何核实信息是否有误？

虽然个保法并没有规定申请人有义务提供证据证明信息不准确或不完整，但提供说明和必要的证明材料是行使这项权利的应有之义，否则企业也难以按法条规定“予以核实”。但举证责任和核查的严格程度应当与信息的复杂性、重要性相匹配，如果向申请人施加过重的举证责任，会对其权益的实现造成不合理障碍，可能构成对申请人该项权利的侵犯。因此，如何针对具体场景设定不同的证明材料要求，成为实务中首先需要解决的问题。

其中，很多信息是企业在提供产品或服务的过程中形成的，申请人请求更正，实质上是要求企业检查自己的信息处理行为、业务操作流程、内部相关制度等方面是否有瑕疵。此时，企业要面临从“决策”到“自查”甚至“被审查”的角色转换，也是不小的挑战。这具体是什么意思呢？陈先生诉民生银行的案件^[2]就是一个很好的例子。

原告陈先生在2013年3月13日向民生银行申请了贷款，借款期限为12个月，并提供了房产抵押担保。由于陈先生逾期未还款，民生银行向法院申请强制执行，要求陈先生偿还借款本金、逾期利息、律师费和公证费。2014年5月，双方达成《和解协议》，约定陈先生在2014年9月底前将前述费用还清。陈先生在6月至9月期间分五次还款，但仍有部分逾期利息、律师费未支付。期间，双方短信往来显示，民生银行告知“诉讼费不可能免，律师费和罚息可以免部分”，但未提及具体免除的金额。2014年10月17日，民生银行以“贷款还清”为由注销了对陈先生房产的抵押权。

2015年10月，陈先生发现自己的《个人信用报告》显示该笔贷款逾期未还清。陈先生认为，该笔贷款虽然存在逾期，但已于2014年9月结清，应更正贷款结清时间和逾期状态持续时间，因此将民生银行诉至法院。

诉讼过程中，民生将该笔贷款的信息改为“2016年1月结清”。民生银行主张，陈先生要求民生银行减免罚息、律师费，但民生银行上海分行无权直接批准同意，当时也未明确具体减免金额，须经过内部审批程序，因此当时未修改征信系统信息。直至2016年1月审批程序完成，才可认定陈先生已还清贷款。

该案经历一审、二审和再审，陈先生最终胜诉。法院认为，民生银行并未提供证据证明其内部审批相关事实，况且即便减免还款确需审批，自民生银行告知陈先生同意减免（2014年9月）到其所述的完成审批流程（2016年1月）这段时间也显已超出合理期限。因此，法院认定《个人信用报告》记载的信息有误。且民生银行在陈先生2015年10月要求更正后，直至2017年才进行更正，已构成侵权。

在这个案件中，民生银行原本是按照自身的操作流程和内部管理规定来确定陈先生的贷款结清时间，即作为“决策者”。而当陈先生对这项信息提出异议时，法院按照客观的标准对贷款结清的时间点进行认定，民生银行由于无法证明自身标准的合理性，最终被判令承担相应责任。

可见，收到更正信息的请求时，企业虽然看似手握核实的权利，可以决定信息是否有误、是否应当更正，但企业并不能仅基于自身立场进行判断，而是需要采取客观、合理的认定标准。否则，一旦核实的结果不能满足申请人诉求，将随时会导致监管或司法部门的介入，其认定标准将会被审视。尤其是在相应信息本就由企业提供的场景下，更可能演变为对企业业务运作流程的规范性、合理合法性的考验。

根据个保法的规定，更正、补充信息的责任主体是“个人信息处理者”，从文义来说颇为明确，但在纷繁复杂的个人信息处理场景中，也不免会产生争议。张先生诉成县农村信用合作联社（下称“成县农信社”）、甘肃省农村信用社联合社（下称“甘肃省联社”）的案件^[3]就是一个实例。

与上一个案件略有相似，张先生向成县农信社贷款，逾期未清偿，但双方对逾期还款次数有争议，法院经审理后认为成县农信社对逾期还款次数的认定有误，应当更正张先生征信信息中的相应内容。

不同之处在于，本案中，向张先生提供贷款的是成县农信社，张先生在办理贷款时签署相关文件，同意成县农信社“有权根据征信相关法律法规和监管规定的要求，将双方相关业务关系建立和存续期间获得的与授权人有关的信息，包括信贷信息、信用信息、个人信息、不良信息和其他信息资料，提供给中国人行征信中心金融信用信息基础数据库”。

然而，逾期告知短信是由甘肃省联社向张先生发送，张先生的逾期信息也是由甘肃省联社向中国人民银行征信中心报送。因此，张先生主张成县农信社未经其同意向甘肃省联社提供信息、甘肃省联社未经其同意报送信息构成侵权，并要求两家机构共同配合发起异议，以删除张先生征信报告中的逾期信息。也就是说，张先生同时诉请成县农信社和甘肃省联社履行更正信息的义务。

根据《甘肃省农村信用社个人征信规范管理办法》的规定，成县农信社和甘肃省联社均使用甘肃省农村信用社个人征信管理平台，省联社市场发展部负责登录征信平台，下载数据报文，并向人行个人信用信息数据库报送。因此，二审法院认为，成县农信社根据前述规定通过甘肃省联社向征信部门报送张先生该逾期信息符合双方约定，亦未违反《征信业管理条例》第二十条“信息使用者应当按照与个人信息主体约定的用途使用个人信息，不得用作约定以外的用途，不得未经个人信息主体同意向第三方提供”的规定，因此未支持张先生对于甘肃省联社的诉请，判令由成县农信社依据相关规定向征信部门消除张先生的不良记录。

不同领域特定的监管要求或合规义务，与个人信息保护义务之间的交叉，有时候难免带来定位和权责的模糊，甚至不同的合规义务之间可能产生冲突，这是许多企业目前在实践中的痛点。本案中的被告也面临这个问题。但遗憾的是，法院没有特别从个保法的角度，对成县农信社和甘肃省联社在个人信息处理活动中的地位、合法性基础等问题进行论述。不过，结合法院的说理和判决结果，笔者认为，仅就报送逾期信息的场景而言，法院实质上是认为获取同意、报送信息的成县农信社是个人信息处理者，而甘肃省联社作为依法下载数据并向中国人民银行报送的主体更接近受托处理者的角色，否则也不会作出更正信息的义务由成县农信社承担的判决。

虽然信息确实有误，但在申请人请求后及时进行了更正，企业是否就无需承担其他责任了？答案是：未必。

在梁某、维迅公司与企查查公司的网络侵权责任纠纷案^[4]中，原告梁某是原告维迅公司的法定代表人。2021年3月，梁某、维迅公司发现企查查平台关于梁某的《董监高投资任职及风险报告》中错误显示了与梁某无关的大量任职信息，显示梁某在与其无关的多家企业担任法定代表人、董监高等职务，且该多家无关企业名下有失信、限高、终本记录等。同时，企查查平台关于维迅公司的《企业信用报告》显示该公司的法定代表人对外任职投资信息一栏也被错误关联了上述信息。

2021年3月26日，梁某、维迅公司通过EMS邮件向企查查公司发送律师函，要求更正信息及赔礼道歉等。企查查公司于收到邮件次日更正了案涉错误关联信息。

梁某和维迅公司认为企查查公司未尽审慎审查义务，将失信信息错误关联至两原告名下，致其社会评价降低，具有严重过错，侵害了两原告的名誉权。另一方面，案涉信息属于梁某的个人信息，被告怠于履行数据控制者、网络内容提供者的责任，披露的梁某个人信息存在错误，构成对梁某的个人信息侵权。

案件审理过程中，企查查公司陈述造成案涉错误关联的部分原因是平台算法对与梁某同名同姓但不同身份证号的另一主体识别错误，部分原因可能是计算机故障、程序漏洞、数据清洗错误等。并且，由于对梁某的识别错误，导致维迅公司法定代表人对外任职投资等关联信息亦出现错误。

企查查公司对关联算法也进行了说明：首先，机器对来源于全国企业信用信息公示系统、中国裁判文书网等公开数据进行收集；其次，由人工对收集的数据进行标签分类；再次，算法模型对包括公司名称、行业分类、所在区域、注册地、股东结构、对外投资、合伙人姓名、合伙人所在区域、合伙人数量等在内的多个维度进行分析，根据相似度判断是否同一主体，进而决定是否进行关联。

法院认为，算法是人为实施的，算法输出的结果是运用者意志的体现。企查查公司在利用算法技术时即创设了危险发生的可能性，故而应当对危险后果承责。同名同姓主体的身份识别问题而出现的错误非常典型、明显，是开展征信业务所必须解决的基础问题。从信息分级分类保护的角度，对失信信息、限制高消费信息的审查，也应采取更为精准、可靠的判别方式。因此，法院认为不论企查查公司明知相关技术不能避免此类错误而不予解决，亦或是因疏忽大意未注意到该类典型错误问题，均构成对案涉错误关联未尽到合理注意义务，应承担侵权责任，判令企查查公司公开刊登致歉声明，并向两原告赔偿经济损失。

从这个案例可见，就像“避风港原则”不再是企业无条件的保护伞一样，若发生个人信息不准确或不完整的情况，企业就算及时更正，也未必能完全免责。还有像民法典第一千一百六十五条和个保法第六十九条这样的“紧箍咒”，审视该等错漏是否对个人信息主体的权益造成了损害、发生错误的原因和企业在其中的责任。

从上述的实务案例分析可知，对更正补充权的响应，背后牵涉的并不只是“响应-反馈”这个孤立的环节，也甚至不仅涉及企业的数据合规板块，而是对业务全流程的规范性考验。但由于篇幅有限，我们先从数据合规方面提出合规建议，供企业参考。

1. 保证信息质量

建议企业优化处理流程和技术措施，保证信息质量，尤其是对于对权利人可能造成重大影响的信息，和企业自身业务过程中判定的信息，需要采取更严格、精准的判别和审查方式。

2. 优化权利行使路径和内部处理方式

对于更正、补充个人信息的方式，一方面建议企业根据产品特性和信息类型，尽可能在产品中提供用户直接更正或补充的路径，提高用户行使权利的主动性和便捷性，同时也减轻企业处理响应诉求的压力。

另一方面，应确定和公示统一、可触达的反馈渠道，并建立内部的申诉处理制度，对不同情形的响应方式、核实流程、所需证明材料等进行分级分类的规定和管理，避免审核标准的主观性和随意性，也避免向申请人施加不合理的举证责任。

3. 注意遵守处理时限要求，并采取措施防止损害扩大

对于更正补充诉求的响应时间，个保法中仅有“及时更正、补充”的要求。《App 违法违规收集使用个人信息行为认定方法》《网络安全标准实践指南—移动互联网应用程序（App）个人信息保护常见问题及处置指南》要求承诺时限不得超过15个工作日，《信息安全技术 个人信息安全规范》则规定了“30天内或法律规定的期限内”的标准。

建议企业按严格的标准执行，在15个工作日内处理用户请求、予以反馈，告知用户相应信息是否更正、拒绝更正的理由、需要进一步提供的证明材料、更正后的信息内容等。