宁园:“个人信息已公开”作为合法处理事由的法理基础和规则适用
The following article is from 环球法律评论 Author 宁园
点击上方蓝字 关注我们
宁园,中国人民大学法学院讲师。
本文原载于《环球法律评论》2022年第2期,转载对注释与参考文献进行了省略。原文请参见环球法律评论网站:http://www.globallawreview.org,或点击文末左下角“阅读原文”。
内容提要:《个人信息保护法》第13条将“个人信息已公开”列为可豁免于同意规则的合法处理事由,须阐明该事由的法理基础和规则适用,以解决其与个人信息保护体系掣肘、豁免弹性过大等问题。基于自愿公开或合法强制公开的处理分别以推定同意、与强制公开具有一致目的为正当性基础,符合立法者设置合法处理事由的一贯价值理念和规范逻辑。可作为合法处理事由的“公开”须具备信息处于公开状态与信息公开合法两个要件。“公开”为非场景性概念,指信息处于不特定第三人均可获取的开放状态。自愿公开要求个人明示公开或实施了独立的公开行为;强制公开须符合法律、行政法规的规定。“处理”须具有合理性,处理的客体仅及于信息,不包括数据等信息载体;处理目的须与公开目的客观一致,不完全排除个人信息处理者为获益进行的处理。个人明确拒绝处理的,发生合法性阻断的效力,但强制公开情形下,拒绝将导致公开目的不能实现的除外;处理存在较高权益侵害风险的,自始不能豁免于同意规则。
关键词:个人信息的处理 已公开的个人信息 豁免事由 推定同意 处理目的
一、问题的提出
个人信息处理的合法性基础是个人信息保护的重要基点之一,《个人信息保护法》第13条在知情同意的主体构架之外,还列举了五项可豁免于同意规则的合法处理情形和一项兜底规则,由此确立了个人信息处理合法性基础的二元结构——以取得同意为原则,以豁免同意为例外。在法定的五项豁免事由中,“个人信息已公开”具有显著的特殊性,其主要内容为:在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息,无需再取得个人同意,个人明确拒绝或者处理对个人权益有重大影响的除外。
从豁免事由的内容来看,其他豁免事由以特定的利益保护目的为限,而“个人信息已公开”则以个人信息处于客观公开状态为前提,不限于特定的利益保护目的。由此塑造的基于公开的同意豁免表现出以下特点:一是,基于公开的同意豁免架构于一次处理(即已公开)之上,其成立和适用受制于作为豁免基础的一次公开,并非像其他豁免事由一样具有显著的利益平衡工具属性;二是,由于缺乏特定的目的限制,其豁免弹性远大于其他豁免事由,可能异化为个人信息处理者用以架空同意规则的工具。
基于上述特点,“个人信息已公开”作为合法处理事由的理解和适用面临以下问题:一是,基于公开的同意豁免不直接体现解决利益冲突、保护特定利益的目的,正当性基础有待另行构建;二是,基于公开的同意豁免另以“个人信息已公开”作为适用门槛,明确公开的判定标准乃该项事由适用的前提;三是,基于公开的同意豁免灵活性突出,但相应也存在被滥用的风险,划定适用限度尤其重要,立法对此尚无明确规定。综上,本文拟基于立法对“个人信息已公开”这一合法处理事由的规定,揭示其法理基础、成立要件和适用限度,以期为该项事由的具体适用提供参考。
二、公开作为合法处理事由的法理基础
(一)法理漏洞:
难以适配于既有正当性基础
通观我国《个人信息保护法》,知情同意作为个人信息处理的基本框架,核心要义是强化个人信息主体的信息控制利益,确保个人信息权益的优先地位。此一立法意旨在使得个人信息合法处理情形的相关规定中得到贯彻,同意之外的合法处理仅发生在个人信息权益与其他利益发生冲突,且其他利益具有相对重要性的有限语境内。从《个人信息保护法》第13条的规定来看,除“个人信息已公开”外,其他合法处理情形均以特定利益的有限保护为前提。然而,基于公开的同意豁免无特定利益保护目的之限制,有过度侵蚀同意规则之嫌,与立法者严守知情同意框架的整体立法态度相悖。
个人信息处于公开状态亦难以为豁免正名。个人信息(私密信息除外)与隐私不同,后者一旦公开即不属于隐私,不再受隐私权制度保护,而公开并不消灭个人信息受法律保护的特性,即可识别性和非公共性。一方面,个人信息可识别性不受信息公开与否的影响,个人信息权益也不因公开灭失;另一方面,信息公开后也未演化为公共产品,处理者不因信息公开而当然享有处理权。
促进信息流通的价值取向亦不能周全解释公开作为豁免事由的正当性基础。在价值选择中,即使是出于促进流通之考量,《个人信息保护法》也尽量避免削弱个人信息权益。如数据可携带权的行使,仍然以个人信息主体同意为前提,其促进信息流通之目的是通过限制企业数据控制权、强化个人信息主体的控制利益实现的。可见,单以价值取向为理由,不能解释为什么个人信息被合法公开后就产生信息流通优于信息安全的价值转换,只有揭示价值转换背后的真正理由,才能完全阐明“个人信息已公开”作为合法处理事由的正当性。
(二)法理基础的重述与归位:
推定同意抑或一致的利益保护目的
依据《个人信息保护法》第13条,可豁免于同意规则的公开包括自行公开和其他合法公开。本文以公开是否符合个人意愿为标准,将上述公开形式分为自愿公开和非自愿公开,前者包括自行公开和授权他人公开,后者则指合法的强制公开。公开作为合法处理事由的正当性基础应区分讨论:对于自愿公开的个人信息,其正当性基础为推定同意;对于合法强制公开的个人信息,其正当性源于与强制公开一致的利益保护目的。
1. 自愿公开后的处理
——基于推定同意的豁免
自愿公开包括自行公开和授权他人公开,二者均为符合个人意志的公开方式。对基于自愿公开的处理之正当性,存在三种可能的解释,分别是放弃保护说、风险自担说和推定同意说。本文认为应采推定同意说:自愿公开信息的,应推定其同意他人的处理行为。
欧盟数据保护监管局(European Data Protection Supervisor)将个人自愿、明确公开敏感个人信息视为放弃信息受保护的权利,敏感个人信息处理因此豁免于禁止处理的一般原则以及同意规则。欧盟数据保护监管局在《针对科学数据保护问题的相关意见》(A Preliminary Opinion on Data Protection and Scientific Research)中指出,“自愿公开其个人信息意味着自然人知道其敏感个人信息将向所有人开放,公开视为放弃法律对敏感个人信息的特殊保护。”本文认为,此种解释明显超出个人信息主体公开个人信息的风险预期。自愿公开个人信息,只表明其愿意承担因信息公开、信息控制力减弱而增加的处理风险,并不表示其自愿抛弃个人信息受保护的权利。
风险自担说乃另一种可能的正当性解释:个人信息主体公开其个人信息,自愿、主动地削弱对个人信息的控制,就理应预见并承担难以避免的处理风险。与放弃保护说相比,风险自担说将有关个人意愿的推定限制在可预见的风险范围内,有其合理性。然而,风险自担理论乃基于公平理念的强制风险分配,其分配结果排除主体的自由意志。如侵权责任法基于当事人自愿承担风险和保护其他行为人进行文体活动的行为自由,将自甘风险作为侵权责任的豁免事由,个人无法排除豁免事由的适用。显然,风险分配的强制性与基于自愿公开的豁免并不契合:后者保留了个人阻断豁免的自治空间,个人自愿公开信息后,仍有权拒绝他人的处理活动,进而排除豁免事由的适用。故风险自担说亦不能为基于自愿公开的处理正名。
应当认为,基于自愿公开的处理,以推定同意为正当性基础,即个人自愿公开其个人信息的,推定其同意他人的处理活动。主要理由包括以下几个方面。其一,自愿公开足以形成推定同意的客观事实基础。依社会经验和信息流通的客观规律,个人信息一旦公开,将不可避免地被他人处理。因此,个人理应对信息公开后将被处理的高度可能性有所预见,基于此种预见仍公开其个人信息的,足以形成推定同意的客观基础。此外,当信息处理为个人积极追求之结果时,再次处理亦符合其意愿。如个人为获取流量、名声、经济利益等,在社交平台上公开个人信息并寻求广泛传播。其二,推定同意仍属于广义上的同意,基于推定同意的豁免仍受个人意愿约束。以此作为处理的正当性基础,既可与《个人信息保护法》第27条规定的“个人明确拒绝”这一豁免例外衔接,避免风险自担说遭遇的解释困境;还可以推定同意的范畴限定可豁免的处理范围,修复“个人信息已公开”作为合法处理事由弹性过大的弊端。需要明确的是,推定同意与《个人信息保护法》第13条第1款第1项所规定的“取得个人的同意”不同,后者是个人信息处理的一般合法事由,其“同意”为狭义上的同意,仅指个人在知情、自愿前提下明确作出的同意,不包括推定同意。因此,推定同意是对知情同意框架的有限扩张,是基于自愿公开个人信息这一基础事实产生的例外。个人在自愿公开信息的同时明示同意他人处理其个人信息的,处理直接依个人明示同意取得正当性,无适用“个人信息已公开”这一豁免事由之必要。
2. 合法强制公开后的处理
——基于一致利益保护目的的豁免
强制公开不以个人信息主体同意为前提,但受合法性要件约束,故基于强制公开的豁免呈现双层结构:合法强制公开为一次豁免,公开后的处理则为二次豁免。合法强制公开不以自愿为前提,未经同意处理强制公开的个人信息不存在推定同意的成立基础。应当认为,只有当二次处理与一次公开具有一致的利益保护目的时,前者才具有正当性。具体而言,基于强制公开的处理之正当性须满足以下条件:一方面,强制公开须具有正当性,强制公开违背个人意愿,故其实施必须符合法律、行政法规的规定。另一方面,基于强制公开的处理亦是为保护强制公开之目的利益而进行,二者在目的上须具有客观一致性。
需考虑的是,作为强制公开目的实现的延续,基于强制公开的豁免是否还有独立存在的必要?本文对此持肯定态度。原因在于,二次豁免是一次豁免在利益保护上的延续和接力,但并非附庸,二者在豁免主体和豁免强度上存在区别。首先,适用一次豁免的强制公开主体可能限于法定主体(通常为公权力机关),如由人民法院公布裁判文书(《最高人民法院关于人民法院在互联网公布裁判文书的规定》第1条)、由政府机关公布政务信息(《政府信息公开条例》第10条);而二次豁免则未对处理者作特殊限制。此时,其他个人信息处理者仅可依据二次豁免事由处理信息。其次,适用一次豁免的强制公开一旦成立,个人信息主体不得拒绝,但二次豁免刚性更弱,个人信息主体有权拒绝。当然,若一次豁免的适用不限于特定个人信息处理者,一次豁免和二次豁免发生竞合,个人信息处理者可以直接依一次豁免事由取得处理的合法性。
从价值层面来看,促进公开信息的流通、发挥公开信息的利他效益,是“个人信息已公开”作为合法处理事由的目的之所在,但此种利益衡量的转换不能适用于所有公开信息,否则将造成非法公开滋生合法处理的失序现象。应当认为,推定同意和一致目的同样解释了在一定情形下从信息控制优先转向信息流通优先,从个人信息主体利益优先转向他人、社会公共利益优先的正当性基础。一方面,个人自愿公开其信息,立法者才以推定同意为基础,设置基于自愿公开的豁免,强调公开信息的流通和利用价值。另一方面,对于具有重要利他属性和公共价值的个人信息,法律允许强制公开时即已作出特殊利益衡量,基于合法强制公开的再次处理与此特殊利益衡量一致,故相应具有合法性。
综上,经过正当性基础的重述,基于公开的同意豁免并未背离《个人信息保护法》构造合法处理事由的整体逻辑:将自愿公开推定为同意处理其个人信息,正当性基础仍维系在广义的同意范畴内;而基于强制公开的处理,接力实现强制公开的利益保护目的,与其他豁免情形解决特定利益冲突、保护相对重要利益的法理一致。此乃“个人信息已公开”作为合法处理事由的正当性限度,即基于公开的同意豁免要么仅对知情同意框架作有限扩张(推定同意),要么遵循例外地解决特定利益冲突的豁免逻辑,此种正当性限定可以防止个人信息处理者将“个人信息已公开”作为违法处理的挡箭牌。
三、公开作为合法处理事由的成立要件
依据《个人信息保护法》第13条和第27条,可豁免于同意的处理活动必须以自行公开或者其他已经合法公开的个人信息为对象。应当认为,基于公开的同意豁免须具备个人信息已公开和信息公开合法两个要件,具体为:其一,个人信息处于公开状态;其二,个人信息主体自愿公开其个人信息或者强制公开个人信息符合法律、行政法规的规定。
(一)个人信息处于公开状态
个人信息处于公开状态,乃豁免事由得以适用的核心要素。关于公开的理解,存在控制端和接收端两种视角。控制端是从信息传播视角描述公开性,如我国《信息安全技术个人信息安全规范》(2020年)第3.11条将“公开揭露”界定为“向社会或不特定的人群发布信息的行为”。接收端是从信息获取角度描述公开性,如我国《国家工商行政管理局关于禁止侵犯商业秘密行为的若干规定》第2条将“不为公众所知悉”解释为“不能从公开渠道直接获取”。除此之外,美国《统一个人数据保护法案》(Uniform Personal Data Protection Act)也从信息接收端对“公开可获取的信息”进行界定。控制端视角和接收端视角并无实质区别,二者所描述的公开性均体现为信息传播渠道的开放性和信息获取主体的不特定性。本文将可获取性作为衡量信息公开与否的核心表征,可为不特定第三人获取的信息为公开信息;将信息传播渠道的开放程度作为公开认定的要素。
1. 可获取性的含义
“可获取性”描述的是个人信息的可得属性而非已被广泛获取的事实,此处的“可”应解释为“可以”,表示不特定第三人获取信息的广泛可能性。公开个人信息以信息可为不特定第三人获取为必要,至于个人信息是否实际已为公众知晓,并不影响其公开性。究其原因,从已公开作为豁免事由的正当性基础来看,信息公开与否由公开主体的意志或法定事由决定;而信息传播的实际效果则主要受他人的信息接收意愿、信息传播渠道的传播能力(如渠道的用户基础、传播的持续性)等因素影响,信息传播效果始终保持动态并无法达到饱和。因此,以实际传播效果为标准的“公开”既不契合公开作为豁免事由的正当基础,又违背信息差普遍存在的客观实践,规范意义甚微。以外,“获取”是指信息内容的可获取性,不包括信息载体的可获取性,“可获取”实际上是“可知悉”。
2. 公开的非场景性
在考量具体要素之前,还需确定公开的程度基准。有关于此,存在相对公开说和绝对公开说两种学说,二者的关键区别为,可获取性是否以场景为限。相对公开指个人信息只需在其处理场景内达到公开状态即可。欧洲共同体一审法院(现为欧盟普通法院)在Esch-Leonhardt and Others v. ECB案中即持相对公开说。该案中,原告为被告员工,被告将原告以公司内部邮件系统传输的、包含其工会信息的邮件纳入原告个人档案中,原告以工会信息为敏感信息、纳入个人档案并非必要为由,请求法院废除被告此一信息处理决定。法院驳回原告诉讼请求,其理由之一为,被告的处理行为并不违反《关于欧盟机构和组织处理个人数据、保护自然人和数据自由流通的条例》[Regulation on the Protection of Indviduals with Regard to the Processing of Personal Data by the Community Institutions and Bodies and on the Free Movement of Such Data,下称“《(EC)第45/2001号条例》”]第10条第1款有关敏感个人信息的禁止处理原则,原因在于,工会信息已由原告明确公开,符合《(EC)第45/2001号条例》第10条第2款第(d)项规定的豁免情形。显然,法院认定的明确公开为相对意义上的公开。我国亦有司法判决同时在相对公开和绝对公开两个范畴内使用“公开”一词,如在“吴某因与亢某清、广州市某汽车零件有限公司隐私权纠纷案”中,法院认为,原告主动向被告提供工作简历,“其工作简历对某公司而言是公开信息”(相对公开),且被告不存在“将吴某的工作简历公布于众的行为”(绝对公开),未侵犯原告隐私权。可见,相对公开说以场景要素降低了公开的基准:公开无须达到不特定第三人均可获取的程度,只需为处理场景内所有人可获取即可。绝对公开说则不以场景限制公开基准,其要求公开必须以不特定第三人可获取为必要。应当认为,场景性的相对公开基准背离了立法保护个人信息权益的首要目的,不应采纳。具体而言,场景理论常见于个人信息、敏感个人信息的界定和保护中,其意在保持概念的动态性以防止遗漏应受保护的信息。而场景与公开的错配,反而会过分扩张可豁免于同意规则的处理情形,侵蚀个人信息权益,走向立法意旨的对立面。公开信息和私密信息并不是弥合、完整的个人信息概念体系,大量个人信息处于中间维度,既不属于公开信息,亦不属于私密信息。有关这些个人信息的处理活动才是同意规则规制的最主要范畴。相对公开说将处于中间维度的“半公开”(或者说“半私密”)信息一概纳入豁免范畴,不啻是将大量个人信息处理活动排除在同意规则之外,走向个人信息保护的对立面。因此,作为豁免事由的公开应为非场景性的绝对公开,公开信息的可获取主体不应局限于特定场景。
3. 公开的认定要素
依非场景性公开基准,个人信息达到公开状态,以个人信息可为不特定第三人获取为必要。信息传播渠道的开放性和信息获取主体的不特定性分别是从控制端和接收端描述信息的公开状态,二者相互统一。信息传播渠道的开放性必然导向信息获取主体的不特定性,而信息获取主体的不特定性是信息传播渠道开放性在传播效果层面的表征。因此,为避免重复论述,本文针对信息传播渠道的开放性展开论述,并将信息获取主体范围作为衡量信息传播渠道开放程度的要素之一进行讨论。信息传播渠道具有开放性的,披露于该渠道的信息为公开信息。
衡量信息传播渠道的开放程度,首先应考察信息传播渠道的功能属性,即渠道本身具备的信息传播功能属于定向传播还是非定向传播。传播渠道功能属性的判断,优先采主观标准,当个人有明示的公开意愿,信息传播渠道依个人意愿当然具有非定向传播的功能属性。若不存在明示的公开意愿,则应进一步考察传播渠道的运行机制。如微信公众号、自媒体、微博等以信息分享为运行机制,其提供便捷操作以加速传播链发散,这些渠道明显具有非定向传播目的,开放性显著。又如用于分工协作的工作群,其信息传播是为完成工作的实时沟通和定向传播,渠道的开放性程度低。然而,不少信息传播渠道的功能属性并不典型,信息传播渠道开放程度的判定,还有必要对信息传播效果进行观察,亦即考量信息获取主体范围。
信息获取主体即可接触传播渠道、获取信息的第三人,若不特定第三人均可接触传播渠道,则传播渠道具有开放性,通过其披露的信息亦为公开信息;若信息获取主体需与个人存在特定关系或具备特定身份或资格,则还应考量特定关系的紧密程度、特定资格或身份的可得性再作判断。特定关系是指,个人与信息获取主体之间基于特定的、具体的基础事实产生的连结。特定关系存在亲疏远近之分,既包括基于血缘、婚姻、日常社交、订立或履行合同产生的特定关系,也包括基于上述关联产生的次关联,如“同为某一商家会员”,后者紧密程度显然低于前者。特殊资格或身份则是信息获取主体自身特有的、或需要付出成本才能取得的特殊属性,一般人普遍可取得的资格不属于特殊资格(如以身份信息注册即可获得的会员资格)。特殊资格或身份的可得性存在差异,例如,具有人身依附性的身份(如学生家长群成员通常必须是学生的监护人)、需要耗费高额成本才能取得的资格(如高级会员群仅吸纳充值额度达到一定金额的消费者)、支付较少对价即可取得的资格(如支付1元即可取得的付费新闻阅读资格),其取得难度依次降低。通常而言,信息获取主体与个人的特定关系越疏远或者特定身份、资格越容易取得,信息获取主体的范围越大,以信息获取主体为节点的传播链延伸越广,渠道的开放性程度也就越高;相反,信息获取主体与个人的特定关系越紧密、特定身份或资格越难以取得,信息获取主体范围和传播链的延伸越有限,渠道的开放性程度也就越低。
信息传播渠道的功能属性和信息获取主体范围两项要素相互配合、补充,在具体适用中并非对二者作有或无的判断,而应考量各要素的满足程度。两要素满足程度均处于低水平时,应否定传播渠道的开放性;其中一个要素不甚明显,但另一要素非常典型时,仍应肯定传播渠道的开放性。以微信群为例,家庭群为维系亲情而设,不追求信息的非定向传播,群成员限于亲属,传播渠道开放性程度极低,披露于家庭群中的信息不属于公开信息。而商家创建的会员群则应分情况讨论。若微信群创建目的系为发布促销活动,个人仅需注册或任意完成一笔消费即可取得会员资格,尽管该群不具有明显的非定向传播功能,但群成员无需具备特定资格或者特定资格较易取得,亦应认定该群亦具有开放性;若微信群创建目的是为高净值客户提供服务,由于该群无涉信息非定向传播,群成员又限于高净值客户及为其提供服务者,因而不具有开放性,披露于该群的信息不属于公开信息。
需要说明的是,信息具有公开性还以获取信息不以支付对价为必要。如个人公开于新闻媒体、社交平台之上的个人信息无需信息获取主体支付对价,具有公开性;但个人明确要价、仅向支付对价者提供的个人信息,不具有公开性。其法理在于,以信息作为交易标的,是个人行使其信息控制利益的集中体现,与削弱信息控制的信息公开明显相悖。此处的对价是信息获取主体为获取个人信息专门支付的对价,而付费订阅新闻报道、付费使用数据库是为取得接触渠道的特殊资格支付对价,当价格较低、特定资格较易取得时,披露于上述渠道的个人信息仍可能构成公开信息。
(二)个人具有明确的信息公开意愿
个人信息合法公开的形式之一为自愿公开。前文已述,自愿公开作为豁免事由的正当性基础为推定同意,作为推定事实的自愿公开应当足够明确客观。因此,自愿公开要求个人具有明确的信息公开意愿。明确的公开意愿包括明示和默示两种形式,前者是指个人通过口头或书面方式表达公开意愿,后者则是指个人虽未通过口头或书面形式表达公开意愿,但从其信息处理行为本身可推知出确定的公开意愿。
1. 明示的信息公开意愿
明示的公开意愿以口头或者书面表达为必要,其判定简单直观,个人在处理信息的同时表达信息公开之意愿即可。如个人发布个人信息并同时使用“公开本人信息”“求转发”等明确的书面表述。在明示公开情形下,信息传播渠道和信息获取主体依个人意愿当然具有开放性:个人已同意将其信息置于开放的信息传播渠道之上,亦同意不特定的第三人可获取其个人信息。
2. 默示的信息公开意愿
个人未口头或书面表达公开意愿,但具有明确的公开行为,亦可推知其具有公开意愿的,为默示的自愿公开。默示的自愿公开以个人信息主体有独立的信息公开行为为必要,具体须经以下两层标准检验:一是个人信息处理者实施的行为须为个人信息处理行为;二是个人信息处理须为独立的公开行为。
首先,信息公开行为必须是对个人信息进行处理的行为。依《个人信息保护法》的规定,个人信息处理是针对已经被记录的个人信息进行的处理。行为仅被他人知晓(如被看见或听见),既未形成记录性的个人信息,也不存在个人信息处理。如个人信息主体在公共场所实施某种行为,他人仅目睹、知晓的,不存在个人信息处理,有监控拍摄记录的,则构成个人信息处理。据此,不能因路人闯红灯就认定其自愿公开有关闯红灯的视频、图片等信息,亦不能因犯罪嫌疑人明知可能遭遇公开审判仍实施犯罪行为,而认定其自愿公开犯罪信息。其背后的法理依据还在于,若将个人在公共场所实施某种行为等同于公开相关个人信息,则无异于完全否定个人在公共场所的合理隐私期待,侵蚀个人隐私权。
其次,默示公开意愿的形成,还以信息处理须有独立的公开行为为必要,即个人应存在独立的、肯定的信息公开行为,依附于其他行为的、难以避免的信息披露不构成信息公开。信息爆炸时代,信息广泛负载于各类物质之上,依附性的信息处理行为普遍存在,如处理废弃简历、丢弃载有个人信息的快递包装等。依附性的个人信息处理,实为个人因无法承担高昂信息控制成本、信息控制能力有限而不得不忍受的信息外溢,其并非出于个人的公开意愿。此种情形下,个人既无独立的信息公开意思,亦无其他肯定的、独立的信息公开行为,不应认定为自愿公开。相反,若将依附性的信息处理认定为自愿公开,则个人反为信息控制权所累,个人必须确保对其个人信息的完全控制,否则稍有松懈,信息披露即被视为自愿公开,这显然与立法意旨背道而驰。
在默示公开下,公开的具体外观应当为,个人将其信息明确披露于开放性信息传播渠道之上,如个人在社交网络上发布照片、日志,在微信公众号分享个人经历,在公共场所张贴告示并留下姓名、联系方式等。个人须明知或应知信息传播渠道具有公开性,其信息可被不特定第三人获取。明知或应知的具体判定采客观主义,个人于公开渠道主动发布信息即推定其明知或应知渠道具有公开性,但个人可通过举证推翻此项推定。还需明确的是,在公共场所处理个人信息并非公开个人信息。处理行为的发生场所不同于信息传播渠道,前者通常不影响信息公开的认定。如在公共场所向通话对象说出手机号码、身份证号码,属定向提供信息而非公开信息;在住所登录社交网站并发布个人生活记录,信息处理行为发生于私人领域,但信息发布于公开渠道,构成信息公开。
3. 授权公开时的单独同意
依据《个人信息保护法》第25条,个人信息处理者公开其处理的个人信息的,应取得个人信息主体的单独同意。因此,授权公开的公开主体为个人信息处理者,个人信息主体利用个人信息处理者的技术、服务、平台自行公开其个人信息的,不属于授权公开。授权公开亦属于自愿公开,其成立应以单独同意授权为必要。单独同意须满足以下要件。一是同意必须是知情的、自愿的、明确的:信息处理者须依《个人信息保护法》第17条履行告知义务,确保个人知晓其信息将被公开以及公开的信息类型、目的等;同意授权须自愿作出,信息处理者通过变相强制(如服务捆绑)、欺骗隐瞒(如美化、模糊处理目的)方式获取授权的不属于自愿同意授权;同意授权须明确作出,沉默不能作为同意授权的表示方式。二是同意授权必须是单独的,信息处理者必须就信息公开提出独立授权请求,单独告知公开的信息范围、目的、方式等,概括同意授权不发生效力,不能作为授权公开的合法依据。
(三)强制公开具有合法性
除自愿公开外,有法律依据的强制公开亦为合法的公开形式。合法强制公开须有明确的法律依据,否则构成对个人信息权益的侵犯,且不能作为后续处理的合法基础。
强制公开符合《个人信息保护法》第13条规定的,具有合法性。依该条规定,强制公开的合法性不仅需要满足法定的特殊事由,还须具有必要性。其中,强制公开之合法事由主要包括:为履行法定职责或者法定义务所必需,如国家机关依法履行《中华人民共和国公务员法》规定的职责,对拟录用人员名单及其相关个人信息进行公示;为应对突发公共卫生事件所必需,如为防控新冠疫情,合理公开确诊患者的行踪轨迹;紧急情况下为保护自然人的生命健康和财产安全所必需,如为寻找失踪人口、保护其生命安全,公开其姓名、面貌以及近期行踪信息;为公共利益实施新闻报道、舆论监督所必需,如新闻媒体为曝光违法行为,对违法行为人的个人信息进行必要公开。需要说明的是,《个人信息保护法》第13条规定的豁免事由中,“为订立、履行个人作为一方当事人的合同所必需”“按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需”通常难以为公开个人信息提供合法依据,原因在于,合同订立和履行具有相对性,人力资源管理也为企业内部事务,两种情形下,强制公开个人信息因欠缺必要性而违法。
《个人信息保护法》第13条第1款第7项规定了“法律、行政法规规定的其他情形”这一合法处理的兜底事由,据此,强制公开的法律依据限于法律和行政法规,不包括其他规范性文件。需要说明的是,公开主体依据法律、行政法规之外的其他行政规范性文件履行法定职责或法定义务,必须公开个人信息的,公开的直接合法依据并非该规范性法律文件。如《最高人民法院关于人民法院在互联网公布裁判文书的规定》第11条明确规定公开的裁判文书中应当保留作为自然人的当事人及其法定代理人的姓名、出生日期、性别、住所地所属县、区等个人信息;《公安机关办理刑事案件程序规定》第275条规定,通缉令中应当尽可能写明被通缉人的姓名、别名、曾用名、绰号、性别、年龄、民族、籍贯、出生地、户籍所在地、居住地、职业、身份证号码、衣着和体貌特征、口音、行为习惯,并附被通缉人近期照片等;《最高人民法院关于公布失信被执行人名单信息的若干规定》第6条规定,应公开的失信被执行人(自然人)信息包括姓名、性别、年龄、身份证号码。上述规范性法律文件不属于法律、行政法规,不能直接作为公开信息的法律依据,强制公开的合法依据应为《个人信息保护法》第13条“为履行法定职责或者法定义务所必需”这一事由。
综上,可作为合法处理事由的公开须具备信息客观处于公开状态和公开行为合法两个方面的要件。信息处于公开状态要求信息传播渠道具有开放性,个人信息可被不特定第三人获取。合法公开形式则包括自愿公开和合法强制公开两种情形,自愿公开要求个人具有明示的公开意愿,或者实施了独立的信息公开行为,或者单独同意授权他人公开;强制公开则必须符合法律、行政法规的规定。
四、公开作为合法处理事由的限度
公开作为合法处理事由的限度涉及两个层面:一是可豁免于同意规则的处理限度,指处理的合理范围;二是已公开作为合法处理事由的例外情形,指当个人明确拒绝或者处理对个人权益产生重大影响时,未经同意的处理不具有合法性。
(一)合理处理的限度
《个人信息保护法》第13条及第27条规定,在“合理的范围”对公开信息进行处理具有合法性,但何为“合理”,立法并未明确。应当认为,处理活动须在处理客体和处理目的上符合合理性要求:处理客体上,可豁免的处理仅及于信息处理,不包括数据处理;处理目的上,须与公开目的客观一致。
1. 处理客体的合理限度
合理的处理活动仅及于信息,不包括数据载体。前文已述,个人信息的公开性是指信息内容具有开放的可获取性,与信息载体的公开性无涉。个人信息公开不导致数据公开,二者不可混同。究其原因,一是信息公开不以载体公开为必要,不特定第三人获取信息不以控制数据载体为必要;二是记录公开信息的数据具有区别于信息的独立价值和法律属性,数据生产者享有对数据的控制权。与公开的限度一致,可豁免于同意规则的处理客体也仅涉及公开的个人信息,不包括作为其载体的数据,针对数据进行处理还须经数据控制者同意。此种合理性限度,符合个人信息权益和数据控制权益的有序复合结构,合法的数据公开须同时满足信息公开的合法性和数据公开的合法性,企业不得仅以个人信息已公开为由实施侵入性的数据爬取,否则可能构成对数据控制权益的侵害。
2. 处理目的的合理限度
处理的合理性,还以处理目的与公开目的客观一致为必要。自愿公开抑或合法强制公开通常具有某种目的,可豁免的个人信息处理活动须与信息公开目的客观一致。其原因在于,一方面,个人自愿公开信息后仍对信息享有合理的控制期待,推定同意的范畴仅及于有利于其目的实现的处理。另一方面,基于强制公开的处理,本身就以一致的利益保护目的为正当性基础,合理处理当然受此限制。
目的客观一致要求基于公开的处理应客观上有利于公开目的的实现。自愿公开情形下,如个人为就业在招聘网站公开简历,向其推荐工作、发出应聘通知的信息处理符合公开目的,具有合理性;而向其推送培训广告、拨打课程推荐电话的处理,则不具有合理性。又如个人为展示个人形象、满足社交需求在公开社交平台发布照片,转发行为与其公开目的一致,具有合理性;相反,擅自将其照片用于商品宣传,则构成肖像权侵权。合法强制公开情形下,如公开失踪人口的个人信息意在保护其人身财产安全;依法履行法定职责的公开,如公开裁判文书意在促进司法公正,发布通缉令意在及时抓捕罪犯、保障社会安全,公布失信被执行人名单意在惩戒失信被执行人以推进社会信用体系建设。转发上述公开信息均有利于公开目的的实现,属于合理处理,但将公开信息用作无益于公开目的实现的其他用途,则超出合理范围。如信贷公司向失信被执行人推送借贷广告,其处理与督促、惩戒失信被执行人及建设社会信用体系的公开目的无关,不属于合理处理。以上观点在现有司法实践中已获支持。如在“梁某冰与北京汇法正信科技有限公司网络侵权责任纠纷案”(下称“汇法正信案”)中,法院认为被告转载原告作为涉案当事人的公开裁判文书,有利于促进司法公正,该处理可不经原告同意。
目的客观一致性要求处理客观上有利于公开目的的实现,但不排除个人信息处理者处理时追求其他主观目的。原因在于,基于公开的处理通常还承载个人信息处理者的主观目的,如他人转载已公开的名人微博亦有博取关注、与人社交等主观目的。因此,若要求个人信息处理者“无私”为实现公开目的处理信息,则“个人信息已公开”这一合法处理事由将鲜有适用余地,其促进信息流通和利用、保护特定利益的目的均将落空。因此,合理处理不排除处理者的主观目的,只要其处理客观上有利于公开目的之实现。
由以上论述可知,基于公开的处理也不排除处理者为获益进行的处理。就处理者为获益进行的处理,其合理性须符合以下情形之一。一是公开主体同意为有利于实现公开目的的处理支付对价,其合理性自不待言。二是获益并非来源于公开主体,但处理者获益与公开目的的实现统一于处理活动中,具有客观一致性。为实现公开目的的处理,客观上会使处理者获益;同时,处理者为获益进行的处理,亦有利于实现公开目的。网络媒体通过转载公开信息吸引流量即属此种合理的获益型处理。理由在于,一方面,现代社会,网络媒体传播乃优化公开效果的最佳手段,而其必然产生引流效应,为处理者带来收益;另一方面,信息处理者通过引流获益,但并不向信息获取主体收取费用,其利益来源于第三方(如广告商),非但不阻碍信息传播,且有利于公开目的的实现。我国司法实践亦持相同观点,在“伊某庆与苏州贝尔塔数据技术有限公司一般人格权纠纷案”(下称“贝尔塔案”)与“汇法正信案”中,法院均认为,被告转载载有原告个人信息的公开裁判文书虽为吸引流量的商业化利用,但有利于司法公开,因此属于合法处理。除此之外,将公开信息用于广告推送、就公开信息向获取主体索要对价等,无关公开目的的实现,甚至有碍于信息传播,背离公开目的,应被认定为超出合理范畴的非法处理。
(二)阻断合法事由的两种例外情形
《个人信息保护法》第27条设置“个人明确拒绝”和“对个人权益有重大影响”两项例外情形,作为阻断豁免的事由。发生上述情形,则“个人信息已公开”不再作为合法处理事由,信息处理者未经同意不得进行处理。
1. 个人明确拒绝
自愿公开个人信息后,个人明确拒绝信息处理者处理其信息的,继续处理违背信息主体意愿,推定同意之正当基础被推翻,“个人信息已公开”作为合法处理事由亦不再成立。
需讨论的是,个人信息被合法强制公开后,个人是否有权拒绝信息处理者处理其公开信息?此一问题涉及强制公开所欲保护的目的利益与个人信息权益间的衡量,我国法院在“贝尔塔案”和“汇法正信案”中作出相反选择。两案争议事实基本一致:被告转载载有原告信息的公开裁判文书,原告要求被告删除涉案公开裁判文书,被告未予删除。两份判决对原告提出拒绝前的转载行为之合法性均予以认可,但就原告是否有权要求被告删除其转载的裁判文书则产生争议:“贝尔塔案”中,法院认为再次处理仍须尊重个人信息权益,且被告的转载行为对信息主体就业产生严重影响,原告有权要求被告删除裁判文书;而在“汇法正信案”中,法院则认为,承认原告的删除权将导致司法机关垄断司法数据,有碍于司法公正目的之实现,被告拒绝删除裁判文书并未侵害原告的个人信息权益。本文认为,从判决说理内容来看,两案判决的利益衡量均有所偏颇:“贝尔塔案”侧重强调个人信息权益,忽视对司法公正的考量,而“汇法正信案”则正好相反。
本文认为,要判断个人是否有权拒绝处理者处理其被合法强制公开的个人信息,具体应经逻辑递进的两层利益衡量:先考量强制公开目的之实现是否以处理为必要,若并非必要,则应优先保护个人信息权益,个人明确拒绝即发生阻断效力;若有必要,则继续考量处理对信息主体造成的不良影响是否超出强制公开的目的利益,若超出,则个人明确拒绝的,发生阻断效力,反之则不发生阻断效力。因此,只有当再次处理是实现强制公开目的之必要手段,且其对个人权益的影响具有合比例性(即强制公开之目的利益具有相对重要性)时,个人信息主体的明确拒绝才例外地不发生阻断效力,处理仍具合法性。
因此,针对“贝尔塔案”和“汇法正信案”的裁判争议,本文认为,被告转载载有原告个人信息的公开裁判文书确有助于司法公正,但转载个人信息并非该目的实现之必要手段,被告可保留裁判文书的转载,同时应对裁判文书中的原告个人信息作隐名处理。但在通缉令发布场景中,利益衡量结果则有不同。发布通缉令的直接目的是抓捕犯罪嫌疑人,信息处理者转载通缉令中的个人信息具有必要性,且该处理所欲维护的社会安全利益具有显著的相对重要性,因此个人无权拒绝处理者转载。
此外,就个人明确拒绝的具体法律后果而言,除发生阻断处理合法性的效力外,信息处理者还应主动删除已处理的个人信息。其依据在于《个人信息保护法》第47条,其规定个人撤回同意的,个人信息处理者应主动删除个人信息。由于个人明确拒绝与撤回同意核心要义一致(区别仅在于是否存在事前同意),个人明确拒绝的法律后果亦应适用该条规定。
2. 对个人权益有重大影响
第二种例外情形是,信息处理对个人权益产生重大影响的,仍须以个人同意为要件。何为“对个人权益有重大影响”,立法者语焉不详,尚需解释。从我国立法来看,“重大”往往是指征利益衡量发生转折的立法术语:如过失一旦达到重大程度,会触发民事责任(如《民法典》第316条、第1148条);误解一旦达到重大程度,交易安全则让步于当事人的真意保护,法律行为可被撤销(《民法典》第147条)。显然,在此项豁免阻断情形中,“重大”指征利益衡量应予变动。因此,“重大”的认定即判断何种情形下应当优先保护个人权益而禁止未经同意的处理活动。依此思路,本文认为,当信息处理存在较高权益侵害风险时,信息处理仍须经个人同意,如处理敏感个人信息。其原因在于,相比于一般个人信息而言,敏感个人信息的处理具有更高的权益侵害风险,其处理应严格适用《个人信息保护法》的特别处理规则,即敏感个人信息的处理仅能在有特定目的和充分必要性,并经个人单独同意时才能进行,不适用基于已公开的同意豁免。
须明确的是,相对于“个人明确拒绝”,“对个人权益有重大影响”的阻断效力更为显著:在个人明确拒绝前,针对公开信息的合理处理仍可豁免于同意规则;而处理对个人权益有重大影响的,则不存在任何豁免空间,信息处理自始须经个人同意。可以说,“个人明确拒绝”实际是基于意思自治的阻断,“对个人权益有重大影响”则是事前法定的阻断。
五、结语
为平衡保护个人信息主体权益、规范信息处理秩序与保护信息自由、促进信息流通之间的关系,应对“个人信息已公开”这一豁免事由进行限缩解释:一是豁免事由的合法性基础,具体应为推定同意或者与强制公开一致的利益保护目的;二是已公开个人信息的范畴,应限于已由个人明确自愿公开或者依法律法规强制公开的、客观上处于绝对公开状态的信息;三是可豁免的处理范围,应限于与公开目的客观一致、且不存在个人明确拒绝或对个人权益有重大影响的处理情形。
《个人信息保护法》第13条集中体现了个人信息权益保护中利益衡量的复杂性:在确定同意为个人信息处理的基本规则后,立法者设置可豁免于同意的合法处理事由,以为其他利益保护预留制度空间;在各项豁免事由中再行设置新的限制条件,以“回调”例外保护的倾斜程度。层层嵌套的利益衡平机制在实际落地时将遭遇诸多适用上的难题和阻碍,模糊术语的解释、利益衡量的尺度把握难以仅基于理论和文本研究完成,其解决还有待在持续充实的个人信息保护司法实践中探索可行方案。
E N D
01
相关阅读
02
商品书目
微信号 : DigitalLaw_ECUPL
探寻数字法治逻辑
展望数字正义图景
战略合作伙伴:上海中联律师事务所