谢登科 | 公开个人信息处理中的企业合规
点击上方蓝字 关注“甘肃社会科学”
原文刊于《甘肃社会科学》2023年第5期,第135-144页。
谢登科,吉林大学理论法学研究中心教授,博士生导师,吉林省人民检察院吉林大学企业合规研究中心研究员。
提 要
《个人信息保护法》对公开的个人信息呈现出弱化保护态势,但这并不意味着无需保护。公开个人信息承载了自然人的人格尊严和自由权益,企业处理公开个人信息仍需遵守《个人信息保护法》等法律法规。公开个人信息处理的合法性依据是以法定许可为原则,以个人同意为例外。公开的个人信息,并不是泛指任何处于公开状态的个人信息,它仅限于合法、绝对公开的个人信息。公开个人信息处理应限于合理范围之内,且应尊重信息权人的拒绝权。公开个人信息处理,虽然通常会因其公开性具有阻却违法、阻却责任的法律效果,但若违法处理也会让企业面临行政处罚和刑事追诉的合规风险。这主要包括欠缺合法性根据的合规风险,处理对象不适格的合规风险,处理方式不合理的合规风险三类。为防范公开个人信息处理中的合规风险,企业有必要建立公开个人信息处理中的合规方案,将其纳入数据保护专项合规计划之中,在数据业务中正确识别个人信息类型和公开个人信息类型,建立公开个人信息处理的影响评估机制。
关 键 词
个人信息;企业合规;知情同意;法律许可;个人信息保护官
公开的个人信息是网络社会中具有深度开发利用价值的“数据富矿”,但是在开发这个“数据富矿”过程中也存在侵犯公民个人信息权益的合规风险。公开的个人信息仍然属于个人信息,其仍然承载自然人的人格权益,虽然《个人信息保护法》对公开的个人信息呈现出弱化保护的态势,但这并不意味着无需保护,企业对此类个人信息的处理仍需遵守《个人信息保护法》等法律法规确立的规则和程序,否则就可能产生合规风险。对公开个人信息数据的处理在本质上是对信息数据的“二次处理”行为,由此决定了公开个人信息处理的合规建设就更为复杂,其不仅涉及公开个人信息处理行为本身的合法性,也涉及个人信息公开行为的合法性。我国《个人信息保护法》第27条确立了对公开个人信息的处理规则,但该规则中无论是公开个人信息的界定,还是“合理范围”内处理的认定,都存在着主观性强、裁量性大的问题。个人信息数据通常具有虚拟性、海量性等特征,若企业违法处理公开个人信息,则很容易因触犯《刑法》而面临刑事合规风险。因此,有必要厘清公开个人信息处理规则,建立公开个人信息处理的专项合规体系,防范企业在公开个人信息处理中的合规风险。
一、公开个人信息处理规则的制度分析
企业合规要求企业在经营、管理活动中遵守法律法规,督促其内部员工、合作伙伴等主体依照法律法规开展经营活动。企业对公开个人信息的处理,需要遵循相应规则和程序,否则就可能会因违反《个人信息保护法》《刑法》等法律法规而面临行政处罚和刑事追诉的合规风险。我国《个人信息保护法》虽然规定了公开个人信息的处理规则,但总体较为零乱分散,有必要从理论层面展开体系化分析。
(一)合法性根据
处理个人信息会干预或侵犯自然人个人信息权益,因此,对个人信息的处理应当具有合法性依据。若欠缺合法性依据,则会造成个人信息处理违法。我国《个人信息保护法》第13条规定了个人信息处理合法性依据的具体事由,其主要分为两类:第一,基于“知情同意”而取得合法性依据。“知情同意”规则是个人信息处理的最基本规则,即个人信息处理原则上应当取得个人知情同意。该条第1款第1项将取得个人同意作为个人信息处理的首要合法性依据。第二,基于法定许可而取得合法性依据。这属于个人信息处理的例外规则,即在具有法定情形时,可无需征得信息主体同意而对其个人信息予以处理。该条第1款第2至7项列举了法定许可的六种情形,其中第6项之规定将“公开的个人信息”作为法定许可的情形之一,这就意味着企业处理公开个人信息通常无需遵循“知情同意”规则,其合法性主要源于法律法规许可,而不是基于信息主体同意。遵循“知情同意”规则虽然有利于保护自然人个人信息权益,但是若所有个人信息处理都遵循该规则,将大幅提升国家机关、企业等主体处理个人信息的成本,阻碍个人信息的合理流动和使用,也会阻碍数字经济发展进步。为了平衡个人信息保护和数据合理流动,《个人信息保护法》第13条确立了个人信息处理的“个人同意”与“法定许可”两种合法性根据。对合法公开个人信息的处理,是基于法定许可而获得合法性根据,原则上无需告知自然人并征得其同意。若处理公开个人信息,会对个人权益产生重大影响,则需要依据《个人信息保护法》第27条之规定取得个人同意。因此,公开个人信息处理的合法性依据是“以法定许可为原则,以个人同意为例外”。
(二)范围限定
作为公开个人信息的处理对象,并不是泛指任何处于公开状态的个人信息,它有着特定内涵与范围。在实践运行中,个人信息公开的原因或者事由较为复杂,不是任何处于公开状态的个人信息都可以基于法定许可而取得合法性依据。《个人信息保护法》第13条和第27条都对作为法定许可对象的公开个人信息类型予以限定,其仅限于“合法公开”的个人信息。
1.合法性
根据对个人信息公开的主体和事由,可以将其分为“自行公开的个人信息”和“他人公开的个人信息”。此两类公开的个人信息仅在具有合法性时,才能成为企业合规处理公开个人信息的对象。若作为处理对象的公开个人信息不具有合法性,不仅会导致个人信息公开行为违反《个人信息保护法》等法律法规,也会导致后续对公开个人信息的处理行为丧失合法性。《个人信息保护法》第25条规定了个人信息公开的规则,其要求取得信息主体的单独同意,这主要是考虑到公开行为对个人信息权益影响很大,可能会对信息主体的人格尊严、人身自由等基本权利造成危害。理论界对个人信息公开的合法性依据存在“一元说”和“二元说”之争。“一元说”认为个人信息公开仅能依据信息主体同意而取得合法性依据,不能基于法定许可取得合法性依据,即便国家机关在履行法定职责中公开个人信息,也应征得信息主体的同意,且此处的“同意”应是信息权人单独同意。“一元说”主要是基于《个人信息保护法》第25条之规定内容及其立法历程。“二元说”认为个人信息公开的合法性依据,既可以源于个人单独同意,也可以基于法律、行政法规许可,但若个人信息公开会侵犯或干预个人隐私,则必须由法律明确规定,而不得由行政法规规定。总体来看,“二元说”更加符合我国《个人信息保护法》中个人信息公开的规则体系,也更加契合个人信息公开的实践状况。
个人信息在本质上是一种人格权益,自然人对其个人信息享有自决权和处分权,他可以自行公开其个人信息。个人信息的自行公开,是信息权人行使个人信息自决权和处分权的具体表现,其具有天然的合法性。他人在公开相关个人信息时,必须基于“知情同意”或“法定许可”。个人信息公开行为在本质上属于个人信息处理行为,它是向不特定人员提供个人信息的行为,其合法性根据通常也是“知情同意”与“法定许可”。自行公开或者基于“知情同意”而授权他人公开个人信息,都是自愿公开个人信息,它们都意味着信息权人愿意承担其个人信息公开、其对个人信息控制减弱而带来的相关风险。对自愿公开的个人信息,可以推定权利人同意他人处理已经公开的个人信息,故对自愿公开个人信息的处理,通常无需征得信息权人同意。
基于“法定许可”而公开的个人信息,也被称为强制公开的个人信息或者非自愿公开的个人信息。在非自愿公开中,个人信息的公开行为不是基于个人同意取得合法性根据,而是基于法律对个人信息公开的规定取得合法性根据。非自愿公开应当符合法律中关于个人信息公开的特定目的和条件,否则会影响或者减损其合法性。在实践中,较为常见的个人信息非自愿公开主要有两类:第一,行政机关依据合法的行政行为而公开个人信息。行政机关在履行法定职责时可以依法律规定公开相关个人信息。比如证券监管机构依据《证券法》的规定,公开披露上市公司董事、监事、高级管理人员的任职、持股、薪酬等个人信息。第二,司法机关依据合法的司法行为而公开个人信息。公开审判是法院在诉讼活动中应当遵守的基本原则之一,贯彻和适用该诉讼原则会涉及个人信息非自愿公开。比如法院在依法公开裁判文书时会强制公开其中记载的当事人、诉讼代理人、证人等主体个人信息。
2.公开性
所谓“公开”是指将相关信息向他人予以公布或披露。以个人信息公开的场景要素和具体程度为标准,可以将其分为“相对公开的个人信息”和“绝对公开的个人信息”。相对公开的个人信息是指仅在需要处理的场景或环境内处于公开状态的个人信息,此种公开仅是在特定人员范围内的个人信息公开,而不是向不特定人员的公开。比如在单位微信聊天群发布的年度酬金等个人信息,此时对个人信息的公开程度仅限于该微信群内人员,群外人员无法获知上述个人信息。相对公开的个人信息,由于公开行为所处的特定场景和人员范围降低了其公开程度,并非任何不特定个人都可以获取,而仅限于在特定场景内的人员获取处理。绝对公开的个人信息是向社会上不特定人员公开的个人信息,比如在单位网站(比如吉林大学法学院网站)上公开发布的个人信息,由于该网站上发布的内容是向全世界公开,任何人只要联网就可以查阅、获取到该个人信息。在个人信息保护法领域,“公开”与“私密”通常并不是完全对应的,在它们之间存在很多处于半公开维度的个人信息,这主要就是相对公开的个人信息。相对公开的个人信息是处于“半公开、半秘密”状态的个人信息,此类个人信息不能纳入公开个人信息的范畴,因为相对公开的个人信息仅是特定场景或特定人员内公开的个人信息,若让该特定场景或特定人员以外的其他人员在未经信息权人同意情况下就可以获取、处理该个人信息,则显然超出了信息权人在特定场景或特定人员范围内公开其个人信息的合理预期。因此,相对公开的个人信息不宜排除适用“知情同意”规则,公开个人信息处理规则中的“公开个人信息”仅限于绝对公开的个人信息。
(三)处理限度
虽然《个人信息保护法》对公开个人信息的保护呈现出弱化态势,对其处理原则上无需取得信息权人同意,但公开个人信息也承载了信息权人的人格尊严和自由,若对公开个人信息的处理没有任何限制,则可能会导致人格尊严和形象受损,会对个人参与社会生活和人格权益发展产生消极影响。对公开个人信息也应当予以适当保护,此种保护机制的核心就体现于对公开个人信息在“合理范围内”的使用。《个人信息保护法》第27条要求个人信息处理者在合理范围内处理公开的个人信息。企业处理公开个人信息,也应限定在合理范围之内。但是,“合理范围”语义模糊、裁量性强,理论界和实务界对如何确定公开个人信息的合理使用范围存在不同看法。有观点认为:“合理使用在本质上是谨慎义务的具体表现,其既意味着不得采用侵害信息主体权益或者违反信息主体合理预期的方式来处理个人信息,也意味着要确保下游处理人对个人信息的处理具有合理性与合法性。”此观点将“合理范围”限定于个人信息主体权利保护范围和合理预期范围之内,强调对公开个人信息的处理不得损害信息主体权益或超出信息主体合理预期。亦有观点认为:“对于合理范围的确立需要依据个人信息公开的具体类型。若个人信息公开时有明确用途限定,则对公开个人信息的处理应符合其被公开时的用途,不得超出该用途范围来处理公开个人信息。若个人信息公开时用途不明确,则应基于谨慎原则处理该个人信息。”上述两种观点虽然表面存在差异,但实质上并无分歧,前者是着眼于信息权人的合理预期,后者则着眼于个人信息公开时的用途。自然人公开其个人信息通常是为了某种目的或用途,若对公开个人信息的处理没有超出该目的或用途,显然也不会超出信息权人合理预期。当然,对于“合理范围”的确立除了要考虑信息权人的合理预期和个人信息公开时的主要用途之外,还需要遵循合法性原则、比例原则和最小目的限定原则。
(四)消极要件
公开个人信息处理,原则上无需征得个人同意。但是,自然人对已公开的个人信息仍然享有人格权益,为防止公开个人信息处理不符合信息权人合理预期或者损害其人格权益,就需要赋予信息权人对公开个人信息处理的拒绝权,保障信息权人有权及时阻止他人处理其公开个人信息。《个人信息保护法》赋予了个人对公开个人信息处理的拒绝权。若信息权人明确行使拒绝权,他人就不得对其公开的个人信息予以处理,即便该处理行为并没有超出合理范围。若信息权人明确表示拒绝或者反对,信息处理者仍然处理其公开个人信息,则仍会侵犯公民个人信息权益而构成违法。
拒绝权制度适用于自愿公开的个人信息,通常并无争议,但其是否适用于非自愿公开的个人信息则存在争议。若仅从《个人信息保护法》第27条之规定的表述来看,其对个人拒绝权适用范围并没有任何限定,这似乎就意味着拒绝权制度既适用于自愿公开的个人信息,也适用于非自愿公开的个人信息。但是,上述观点仅是对拒绝权制度所作的文义解释,对于其适用范围应当置于公开个人信息处理规则整体之中做体系解释。有观点认为拒绝权制度不适用于个人信息处理的法律许可,因为法律许可不是基于个人同意而获得对个人信息处理的合法性依据,个人即便明确表示拒绝,也并不会影响个人信息处理的合法性。此观点就将拒绝权适用范围置于公开个人信息处理规则体系之中进行考虑。个人信息非自愿公开的合法性是基于法律许可,法律对个人信息的强制公开通常是基于法定目的和用途,比如诉讼活动中公开裁判文书附带公开了其中的相关个人信息,主要是为了社会公众更好地监督司法裁判从而促进司法公正。对于非自愿公开个人信息的二次处理,仅在具有与非自愿公开相同目的或用途之下,才可无需取得信息权人同意;若超出此目的或用途处理非自愿公开的个人信息,则仍需取得信息权人同意。因此,拒绝权制度适用于非自愿公开的个人信息时应予以适当限缩。
二、公开个人信息处理中的合规风险
企业合规不同于广义上的法律风险防控,它主要是为防范因违反法律法规而产生行政处罚和刑事责任的法律风险。公开个人信息处理,虽然通常会因其公开性具有阻却违法、阻却责任的法律效果,但对公开个人信息的违法处理也可能会让企业面临刑事追诉的合规风险,比如侵犯公民个人信息罪。侵犯公民个人信息罪属于典型的行政犯,对其认定应当以《个人信息保护法》等法律法规为前置法规。公开个人信息处理,应遵循《个人信息保护法》等法律法规,否则很容易在公开个人信息处理中产生合规风险。
(一)欠缺合法性根据的合规风险
个人信息处理,原则上应遵循“知情同意”规则,仅在法定例外情形下才可以依据法律许可而取得合法性根据。公开个人信息处理通常就属于此种例外情形,其合法性根据主要是来源于法律规定,原则上无需取得个人同意。对于公开个人信息的处理,由于其基于法律许可而具有合法性,通常应当作为侵犯公民个人信息罪的出罪事由之一。在侵犯公民个人信息罪的司法适用中,公开个人信息的处理行为通常因具有合法性依据而阻却违法性,此种合法性主要是依据法律许可,而不是依据个人同意。有观点认为:“个人信息不具有隐私性特征,其即便公开,也仍然属于个人信息,若获取或提供依法公开的个人信息,未取得个人同意,则仍可能构成侵犯公民个人信息罪。”该观点将个人同意作为处理公开个人信息的合法性根据,由此得出对未取得个人同意而处理公开个人信息作入罪化处理的结论,此种观点在我国刑事司法实践中也经常出现。
案例一:检察院指控万某等人违反国家规定,非法获取公民个人信息超过二万条,情节严重,其行为已构成侵犯公民个人信息罪。万某辩称:其合法经营某中介公司,该公司拥有的个人信息是从网站下载的经业主同意公开的个人信息,主要用于拓展业务,故其行为不构成侵犯公民个人信息罪。法院经审理后认为:万某获取的公民个人信息,均为其非法获取,其提出“所获个人信息已经他人同意”的辩护意见不能成立,故认定万某等人构成侵犯公民个人信息罪。
在该案中,被告人辩护理由是其所处理的个人信息系业主同意“公开”的个人信息,处理公开个人信息原则上无需征得信息权主体同意。但是,法院在论证其构成侵犯公民个人信息罪时,主要是着眼于其获取个人信息未经他人“同意”,故万某获取个人信息的行为具有违法性。从应然层面来看,法院在该案审理中需查明万某获取的个人信息是否属于在网站上依法公开的个人信息,若属于依法公开的个人信息,即便没有取得个人同意,万某及其公司获取上述公开个人信息的行为通常也不具有违法性。法院作出上述判决的主要原因,是将个人同意作为处理公开个人信息的合法性根据。此种裁判逻辑有悖于《个人信息保护法》第13条第1款第6项之规定。我国《民法典》已将公开个人信息作为处理个人信息中的免责事由之一,《个人信息保护法》将公开个人信息规定为“知情同意”规则的例外情形之一,公开个人信息处理的合法性基础主要是法律许可而不是个人同意。在已经有法律许可的情况下,个人信息的“公开性”会使得后续对公开个人信息的处理行为具有合法性。基于法秩序统一性原理,《个人信息保护法》《民法典》已经赋予公开个人信息处理的合法性依据和免责效果,其在《刑法》领域也应具有阻却违法性的出罪效果,即未经个人同意而处理公开个人信息,通常不宜认定为侵犯公民个人信息罪,否则会与其前置法律相互冲突,从而有悖于法秩序统一性的基本要求。对公开个人信息的处理行为在本质上是个人信息的“二次处理”,个人信息的“公开性”会使得后续对公开个人信息的处理行为具有合法性,这里的“合法性”是处理行为本身的合法性,即二次处理行为的合法性。若二次处理行为不具有合法性,则会产生公开个人信息处理中的合规风险。另外,法律许可并不是所有公开个人信息处理行为的合法性基础,在特定情况下仍需征得个人同意,这主要是公开个人信息处理对“个人权益有重大影响”。若此时没有取得个人同意,企业在公开个人信息处理中也会因欠缺合法性根据而面临合规风险。
(二)处理对象不符合标准的合规风险
对公开个人信息的处理在本质上是个人信息的“二次处理”,作为其处理对象的公开个人信息应具有合法性。这里的“合法性”是个人信息一次处理的合法性,即个人信息公开本身的合法性。此种合法性可以是基于个人同意,也可以是基于法律许可。若企业处理的个人信息不是“合法公开的个人信息”,也很容易产生合规风险。对于个人信息公开的合法性,有观点认为其仅能基于个人同意而取得合法性依据,且必须是取得个人单独同意,其不能基于法律许可而取得合法性依据,这主要源于《个人信息保护法》第25条对公开个人信息仅规定了单一的合法性基础,其仅能依据个人单独同意而取得合法性依据。从《个人信息保护法》的制定历程来看,《个人信息保护法草案(一次审议稿)》曾规定了个人信息公开的“二元合法性基础”,即个人单独同意和法律许可,但《个人信息保护法草案(二次审议稿)》则将其变更为“一元合法性基础”,删除了基于法律许可而取得合法性依据,这就意味着个人信息公开仅能基于个人单独同意。行政机关、司法机关等在处理个人信息过程中,即便需要依照法律对行政文书、司法文书等材料依法公开,若其中涉及当事人等主体的个人信息,则个人信息公开行为仍需取得信息权人单独同意。上述观点既有悖于《个人信息保护法》第13条规定的个人信息处理“二元合法性基础”,也不符合我国行政机关、司法机关等主体履行法定职责中对个人信息强制公开的实践惯例,同时很容易导致企业在公开个人信息处理中合规风险的不当扩大。
在公开个人信息处理中,若信息公开本身不具有合法性,此种公开行为不仅会因违反《民法典》《个人信息保护法》而产生相应的民事责任和行政处罚,也可能会因涉嫌侵犯公民个人信息罪而产生合规风险。我国《刑法》规定的侵犯公民个人信息罪行为类型,包括向他人出售或者提供、窃取或者非法获取四种,其中并不包括对个人信息的非法公开行为。但是,最高人民法院、最高人民检察院出台的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第3条第1款之规定,将“通过信息网络或其他途径发布个人信息”扩大解释为“提供个人信息”。通过信息网络或其他途径发布个人信息,实际上是向不特定人员提供个人信息,向特定人员提供个人信息的行为尚且构成“提供”而需要作入罪化处理,根据“举轻以明重”的基本法理,向不特定人提供个人信息自然亦应认定为“提供”个人信息而作入罪化处理。这里的“通过信息网络或其他途径发布个人信息”在本质上就属于个人信息公开行为。若个人信息公开行为违法,不仅可能会涉嫌犯罪而产生合规风险,即一次合规风险,还会导致后续对公开个人信息处理的不合法,其后续处理行为也可能会因涉嫌犯罪而产生合规风险,即二次合规风险。在公开个人信息处理中,超越“合法公开的个人信息”范围而产生的合规风险,除了源于前期个人信息公开违法之外,还可能源于企业不当处理了相对公开的个人信息。
案例二:在王某侵犯公民个人信息案中,辩护方提出涉案大部分信息是通过公开商业平台获取的广告信息。法院经审理后认为:涉案个人信息可分为两类:第一类是通讯录、参会表、报名表等信息;第二类为包含法定代表人姓名、手机号的广告信息。第一类信息是通过非法方式获取,将该类信息向他人提供,且未征得信息主体同意,对此类个人信息的获取、出售行为构成侵犯公民个人信息罪。第二类涉及广告中的个人信息,系在网站上公开发布的个人信息,交易、交换该类信息不违反国家禁止性规定,故不构成侵犯公民个人信息罪。
在该案中,法院针对“相对公开的个人信息”和“绝对公开的个人信息”采取了差别化处理。参会表、报名表、通讯录等记录的个人信息属于相对公开的个人信息,通常仅对会议主办方、参会人员等特定人员公开,并不向社会上不特定人员公开。处理相对公开的个人信息,若超出特定范围和用途,就需要取得个人同意,否则就会因欠缺合法性依据而产生合规风险。在该案中,王某收集、出售参会表等大量相对公开的个人信息,并没有取得相关信息主体的同意,故被法院认定构成侵犯公民个人信息罪。在商业平台或网站上发布广告中的个人信息,属于绝对公开的个人信息,社会上任何不特定人员都可以查阅、获取和使用。对于此类个人信息的获取、交易等行为,通常无需征得信息主体同意,故法院对此类个人信息处理行为作了出罪处理,认定此类个人信息处理行为不构成侵犯公民个人信息罪。相对公开的个人信息,不属于《个人信息保护法》第27条中的公开个人信息,其不适用“知情同意”规则的例外情形,对于此类个人信息的处理仍需取得个人同意,否则也会产生合规风险。此种合规风险,虽然也源于处理对象不符合标准,但与非法公开个人信息处理中的合规风险不同,前者通常仅存在二次处理的合规风险而不存在一次处理的合规风险,即前期对个人信息的相对公开通常具有合法性而不存在合规风险,但后期在相对公开个人信息处理中,则因将其误认为《个人信息保护法》第27条中的公开个人信息而产生了合规风险。
(三)处理方式不合理的合规风险
公开个人信息处理,除了需考虑处理对象是否为“合法公开”的个人信息,还需考虑处理行为或方式是否在“合理范围”内。若对合法公开个人信息的处理,超出了合理使用范围,则仍然可能产生合规风险,典型体现就是将公开个人信息收集后用于网络诈骗、网络传销等犯罪活动。比如在前文案例一中,万某等人被认定为侵犯公民个人信息罪,除了源于其将“相对公开的个人信息”认为“绝对公开的个人信息”之外,还在于下游个人信息处理者将这些信息用于诈骗等犯罪活动,对公开个人信息的使用,既超出了信息主体对个人信息公开用途的合理预期,也会对信息主体的财产权等权益产生重大影响。在司法实践中,企业对公开个人信息的处理通常有以下三类:第一,自己保存。此种情况并未超出信息主体对公开其个人信息的合理预期和用途,因为个人信息公开本身就是为了让他人获取,他人获取并保存个人信息通常并不超出对个人信息处理的合理预期。此种情况下对公开个人信息的处理,通常不会产生合规风险。第二,自己使用。企业获取公开个人信息后通常会将其用于精准化市场营销和业务推广,此种情况通常也不超出个人信息公开的合理预期和用途,因为公开相关个人信息就是为了让他人知晓、联系自己。若信息权人认为营销电话、广告打扰了其正常生活,他可以向信息处理者行使《个人信息保护法》第27条赋予的拒绝权,此时企业就不能再将公开个人信息用于精准化市场营销,否则也会产生对公开个人信息违法使用的合规风险。第三,转卖他人。企业将获取的公开个人信息向他人转让或者出售,原则上无需适用《个人信息保护法》第23条规定,即无需征得信息主体的单独同意,公开个人信息处理的合法性依据主要不是个人同意而是法律许可。企业在向他人提供、出售公开的个人信息时,应确保他人对公开个人信息在合理范围内使用,否则也可能产生合规风险。
案例三:刘某系N市国税局科员,利用职务便利下载企业税务登记信息,将这些信息提供给严某、郭某,造成大量个人信息泄露。检察院指控刘某、严某、郭某构成侵犯公民个人信息罪。辩护人认为税务登记信息不属于公民个人信息,属于公开信息,不是刑法保护的公民个人信息,对上述信息的使用是为发展业务,系用于合法经营活动,故被告人不构成犯罪。法院经审理后认为:企业税务登记信息,包括企业名称、法定代表人或联系人姓名、居民身份证号码、手机号等信息。这些信息能够单独或彼此结合识别特定自然人身份,故属于个人信息。公民个人信息包括公开的个人信息,可识别性是其根本属性,并不要求具有隐私性,系为合法经营活动而购买、收受,故认定刘某等人构成侵犯公民个人信息罪。
在该案中,法院认定被告人严某、郭某为“合法经营活动”而购买企业税务登记信息,他们主要将购买的个人信息用于推广公司业务、开展精准营销。该裁判理由的论述本身就表明将公开个人信息用于精准化市场营销和业务推广等合法用途,通常并不具有违法性。该案判决被告人有罪的主要原因是刘某获取个人信息的手段具有非法性,且该个人信息属于相对公开的个人信息,不属于《个人信息保护法》第25条中“合法公开的个人信息”,对此类个人信息的出售行为仍应征得信息权人单独同意,否则出售、购买行为就不具有合法性。企业税务登记中包含了个人姓名、通信方式、身份证件号等个人信息,它们仅属于“相对公开的个人信息”,并非社会上任何不特定人员都可以查询、获取。个人信息与个人隐私并不相同,前者的可识别性并不会因其是否处于公开状态而发生变化,个人信息权益也不因其公开状态而得以消灭;后者则会因处于公开状态之后便不再属于隐私,其处于公开状态之后便不再受隐私权制度的保护。对公开个人信息的保护,既体现在对其处理应限于“合理范围”之内,也体现在信息权人拒绝权和在特定情况下应当取得个人同意之中。
三、公开个人信息处理中的合规路径
为了防范公开个人信息处理中的合规风险,企业有必要建立公开个人信息处理中的合规方案,将其纳入数据保护专项合规计划之中。此种专项合规计划,不仅有利于降低企业在个人信息保护、数据安全等方面的行政处罚和刑事追诉风险,也有利于企业在个人信息处理中确立合规理念与文化。
(一)企业应当正确识别个人信息类型和公开个人信息类型,这是公开个人信息合规处理的必要前提
我国《个人信息保护法》已经建立了公开个人信息的处理规则,此规则是建立在对个人信息、公开个人信息进行类型化区分的基础之上。企业在收集处理公开个人信息时,需要区分不同类型个人信息、公开个人信息,并在此基础上确立不同的处理流程和内控机制。(1)非公开个人信息(秘密个人信息)与公开个人信息。《个人信息保护法》针对非公开个人信息与公开个人信息确立了截然不同的处理规则。非公开个人信息处理,原则上应遵循“知情同意”规则,其主要基于个人同意而取得合法性依据。公开个人信息处理,原则上无需取得个人同意,其主要是基于法律许可而取得合法性依据。在识别个人信息是否为公开个人信息时,需要结合其合法性、公开性两个要素来予以具体分析。合法性要求个人信息的公开必须具有合法性,若个人信息公开本身是违法的,则对其后续处理会因受到污染而不具有合法性。对于个人信息公开的合法性,可从个人信息获取渠道、个人信息来源、个人信息公开状态等维度予以审查认定。对于公开性的审查认定,则需要审查个人信息公开的范围、场景和方式,仅对符合绝对公开性要求的个人信息,才能认定为公开个人信息,对其处理在原则上无需取得个人同意。(2)有重大影响的公开个人信息和无重大影响的公开个人信息。《个人信息保护法》第27条规定了公开个人信息处理通常无需遵循“知情同意”规则,但也规定了“对个人权益有重大影响”的例外情形。这就意味着若处理公开个人信息对个人权益有重大影响,则亦应征得个人同意。这里的“对个人权益有重大影响”可以从两个层面理解:一是公开的个人信息本身对个人权益有重大影响,二是对公开个人信息的处理行为会对个人权益造成重大影响。前者意味着需要将公开个人信息进一步区分为有重大影响的公开个人信息和无重大影响的公开个人信息。后者要求企业在对公开个人信息处理之前,应当对其进行影响评估(后文将详述),并按照法律规定采取差异化的处理流程。
(二)企业应建立公开个人信息处理的影响评估机制,将其作为对公开个人信息合规处理的重要措施
我国《个人信息保护法》第27条对不同类型的公开个人信息建立了不同的处理规则,其中要求处理“对个人权益有重大影响”的公开个人信息,需要取得个人同意。该条之规定虽然没有明确要求企业建立对公开个人信息处理的影响评估机制,但背后隐含着要求企业建立个人信息影响评估机制之意。若缺乏对个人信息保护的影响评估机制,企业将无从判断公开个人信息的处理行为是否会对个人权益具有重大影响,此时就很容易在公开个人信息处理中出现合规风险。我国《个人信息保护法》第55条已建立个人信息处理的事前影响强制评估制度,虽然该条明确列举的需要进行影响评估的四种情形,并不包括公开个人信息处理,但其第5项兜底条款中的“其他对个人权益有重大影响的个人信息处理活动”,可以涵盖“对个人权益有重大影响”的公开个人信息处理活动。影响评估机制是个人信息处理者合规持续经营、满足自证要求的重要渠道之一,其主要目的和功能是为了减少或者防止个人信息处理中出现违法行为,也是企业在个人信息处理中合规风险防范的必备内控手段。在公开个人信息处理中,企业需要对公开个人信息的具体类型、处理目的、处理方式、对个人权益的影响、采取的保护措施等内容进行评估和分析,并根据影响评估结果对公开个人信息采取不同处理方式。若处理行为可能会对个人权益有重大影响,在对公开个人信息予以处理之前,企业应当向信息权人履行相应告知义务并取得其同意。通过事前开展影响评估,企业可以尽量将公开个人信息处理中的合规风险消灭在萌芽状态。
(三)企业在公开个人信息处理中应对其上下游获取或提供个人信息的网络平台、交易伙伴等开展个人信息处理的合规风险调查
个人信息数据作为网络时代和数字经济中较为常见的数据类型之一,其也需要遵循产生、存储、流转、使用、删除等不同环节的数据生命周期。公开个人信息处理在本质上属于个人信息的“二次处理”,其通常处于个人信息数据生命周期的中间环节。若上游网络平台公开发布的个人信息本身不合法,或者公开个人信息数据的获取渠道来源不合法,则企业在获取并处理该公开个人信息时通常也会产生合规风险。若下游主体将其从企业处获取的公开个人信息用于网络诈骗等违法犯罪活动,则企业可能会因涉嫌侵犯公民个人信息罪、帮助信息网络犯罪活动罪等犯罪而产生合规风险。从企业合规风险防控角度来看,合规是要将企业责任与员工责任、第三方责任等进行有效切割,从而最大限度防止企业因上述主体的违法行为而面临行政处罚和刑事责任的合规风险。为了防止在公开个人信息处理中因上下游环节的相关网络平台、交易伙伴等第三方主体的违法犯罪行为产生合规风险,企业在从第三方主体处获取公开个人信息时,既需要对上游环节的网络平台等主体所公开发布个人信息的来源渠道、公开行为等是否符合法律法规展开合规风险调查,也需要对其下游环节的交易伙伴是否依法处理和使用个人信息进行合规风险调查和监管。这样才可以将企业经营活动与上下游环节中相关网络平台、交易伙伴等第三方主体在公开个人信息处理中的违法违规予以有效切割,企业才能以其开展了公开个人信息处理中的有效合规管理为由,来为自己免除相应的行政处罚或刑事责任进行抗辩。
(四)企业应在其公司治理结构中设置个人信息保护官(Personal Information Protection Officer,PIPO),并将其纳入企业合规管理体系之中
企业合规在本质上属于一种自我监管(self-policing)机制,其根本目的在于通过建立合规管理体系来督促其员工、客户、伙伴等在经营过程中遵守法律法规。公开个人信息处理中的企业合规,主要是为了防范在公开个人信息处理中出现违法犯罪而遭受行政处罚和刑事追诉,这就要求企业建立依法依规处理公开个人信息的专项合规计划。在专项合规计划中建立识别、防范和应对公开个人信息处理合规风险的企业内控机制。在公开个人信息的合规处理中,对于公开个人信息的有效识别、合理范围处理的审查判断、个人信息保护的规章制定等工作,都需要企业内部拥有个人信息保护专业知识和实践经验的相关人才。因此,企业有必要设置专门的个人信息保护官,将其纳入企业合规管理体系之中。个人信息保护官,也被称为个人信息保护负责人,其主要是由企业设置的、专门负责对个人信息处理活动以及采取相关保护措施等进行监督的人员。我国《个人信息保护法》第52条对个人信息保护官的设立条件、主要职责、运行方式等予以规定。个人信息保护官除了需要负责企业在公开个人信息处理中的合规性,还需要监督企业及其员工对个人信息其他处理行为中的合规性,比如企业在个人信息跨境提供活动中的合规性。在公司治理结构中,个人信息保护官隶属于企业合规管理部门,此机构在企业内部通常具有相对的独立性,此种独立性要求其能够对合规风险予以有效监管。个人信息保护官负责为企业及其员工制定个人信息保护行为准则,建立个人信息保护合规风险防范体系,对企业及其员工在相关数据业务中违反《个人信息保护法》的行为予以预防、识别、监控和处理。
结 语
公开的个人信息已经成为网络社会和数字经济中的生产要素之一,对其合理的处理和使用,能够创造社会价值和财富,但是,公开的个人信息也承载了自然人的人格尊严和人格利益,对其违法、违规的处理或使用,也很容易侵犯自然人的人格权益、危害网络社会安全。网络平台、数据企业等主体,应当合法处理和使用相关的公开个人信息,否则就可能在企业经营过程中面临行政处罚或者刑事追诉的合规风险。企业应当将对公开个人信息的处理,纳入其企业合规体系之中,在数据业务中兼顾个人信息权益有效保护和个人信息合理使用,这样才能发挥公开的个人信息在数字经济中的应有价值。
责任编辑:杨文德