其他
王海洋 郭春镇 | 公开的个人信息的认定与处理规则
作 者 简 介
王海洋,厦门大学法学院博士研究生。
郭春镇,厦门大学法学院教授、博士生导师,厦门大学党内法规研究中心执行主任。
内容摘要:公开的个人信息是合法公开能够为不特定第三人所访问的信息,包括个人自行公开和其他合法公开的个人信息两类。信息处理者不经信息主体的同意即可对公开的个人信息进一步处理,但信息处理者对公开信息的后续利用并非不受限制,必须控制在“合理范围”内,受目的限制原则拘束,否则可能引发信息存储、聚合、传播风险,侵害个人隐私和数据人格。信息处理者对公开的个人信息的后续利用受信息主体的明确拒绝和对个人权益的重大影响限制。在信息主体明确拒绝场景下,信息主体的拒绝权不是一项绝对性权利,需要容忍信息处理者兼容性目的下的合理使用;在对个人权益有重大影响场景下,信息处理者需要履行告知同意义务,重新取得个人同意。
关键词:公开的个人信息;合理范围;目的限制;告知同意
DOI:10.19563/j.cnki.sdfx.2021.04.006
2021年8月20日,第十三届全国人大常委会第三十次会议审议通过《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》),首次对公开的个人信息的法律地位与使用限度问题进行系统化规范。《个人信息保护法》不仅在第13条第6款将公开的个人信息作为个人信息处理的合法性基础,还在第27条明确了公开的个人信息后续利用的限度,即“个人信息处理者可以在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;个人明确拒绝的除外。个人信息处理者处理已公开的个人信息,对个人权益有重大影响的,应当依照本法规定取得个人同意”。在司法实践中,各地法院围绕公开的个人信息后续利用进行了积极的探索,但尚未形成对该问题的共识,甚至出现了相互抵牾的法院判决。同样是转载中国裁判文书网公开的裁判文书,苏州市中级人民法院在伊某与苏州贝尔塔数据技术有限公司人格权纠纷案(以下简称“启信宝”案)中裁定贝尔塔公司在收到伊某的删除要求后未及时删除相关裁判文书,构成对伊某个人信息权益的侵害;而北京市第四中级人民法院在梁某与北京汇法正信科技有限公司网络侵权纠纷案(以下简称“汇法网”案)中裁定北京汇法正信科技公司转载相关裁判文书不因梁某的删除请求而承担删除义务,梁某对公开的裁判文书负有容忍义务。这些案件的核心问题都是公开的个人信息后续利用的限度问题,信息主体对公开的个人信息后续利用是否享有自我决定权?围绕这些问题,本文在探究公开的个人信息范围的基础上,考察公开的个人信息后续利用可能引发的风险,最终提出公开的个人信息后续利用的界限。一、
公开的个人信息的范围界定
(一)公开的个人信息的认定标准“秘密”和“公开”表面上看是非此即彼的对立概念,容易使人产生二者之间可以相互分离的错觉,但实际上这种对立中蕴含着大量自相矛盾的内容,难以在二者之间划分出明确的界限。在“私密”和“公开”之间存在着不少模糊地带,这导致了个人信息公开的相对性。个人信息总是在特定范围内对特定主体公开的,即使是对不特定第三人公开的个人信息,也并不意味着该信息已经被“公开”,此时个人信息是否属于公开的个人信息,还需要结合其他因素进行综合考量。首先,公开的个人信息的认定需要放置在信息关系中加以思考。“人总是生活在由亲戚和朋友所构成的社会关系之中,个人正是通过一定的社会关系才被整合入一定的群体”,个人信息也正是在不同的信息关系中实现信息的流转与共享。根据人际关系纽带的强度,人际纽带分为“强纽带”(strong ties)与“弱纽带”(weak ties),“强纽带”是建立在信任、相互尊重、承诺、深入了解和经验基础上的亲密关系,如家人和亲密的朋友,而“弱纽带”则是一种尚未建立在强烈信任基础上的表面关系,即当事人之间不大了解,情感上也不亲密,如陌生人之间的关系。在强纽带之中,社会成员基于彼此之间的信任往往会公开更多的个人信息,对于个人信息的公开有着较高的接受度。在弱纽带之中,社会成员对个人信息的公开持审慎的态度,期待对公开的个人信息进行更高层次的保护。我们每个人都生活在不同的团体或小圈子里,通过在圈子内分享与传播个人信息来促进圈子成员的交流,每一个圈子成员都是彼此人际关系网络中的一个节点,个人信息能否成为公开的个人信息取决于信息能否达到拥有多元的、异质化的超级节点(如微博大V),以及超级节点发现其是值得传播的信息,进而破圈而出成为公开化的信息资源。其次,公开的个人信息的认定需要置于特定场景中确定信息主体的合理期待。个人信息的公开往往具有明显的场景性,对谁公开、公开的程度以及公开后的可能后果,理性的个体都有预判。甚至在许多场景下,个人信息的公开是不可避免的。但并不是所有的个人信息都适合在特定场景下公开,个人信息的公开需要符合所在场景的社会规范,符合多元主体之间的分配正义,在尊重法律和道德底线的基础上公开符合场景规范的个人信息。即使是信息主体向不特定的第三人公开其个人信息,信息主体往往对信息公开的范围、程度仍有合理的预期,一旦信息公开超出了信息主体所预期的合理范围,可能会引发信息主体的安全感和信任感困境。个人信息一经公开就超出信息主体的控制范围,但信息主体对公开的个人信息的后续利用仍具有合理期待,信息处理者对公开的个人信息的进一步处理需要尊重最初公开时的场景,其后续利用与传播不得超出最初的场景脉络,不得超出信息主体基于特定场景所触发的合理期待。如果信息主体在个人信息公开时通过积极的行为将平台权限设置为对所有人可见,或在被告知个人信息将公开时默示同意,由此可推定信息主体对该个人信息能够为不特定的第三人所访问有合理期待,则该信息为公开的个人信息。最后,公开的个人信息的认定还需要考察第三方的访问权限。在信息泛在、数据信息平台化的时代场景里,个人信息的公开大多是通过网络平台来实现的,而网络平台的技术设置、访问权限决定着个人信息的公开程度,如果网络平台采取技术措施阻止第三方访问自身的网站并下载公开的数据条目,则该个人信息很可能“不为公众所知悉”。根据个人信息的公开程度,公开分为完全公开共享(completely public sharing)、受控公开共享(controlled public sharing)、领地公开共享(enclave public sharing)三类。完全公开共享是数据一旦发布,很难召回,一般通过互联网直接公开发布。完全公开共享的个人信息要求网络平台不得通过登录规则或技术措施设置访问权限,能够为不特定第三人所访问。受控公开共享是通过数据使用协议对数据的使用进行约束,主要是数据系统生成文件并推送至SFTP接口设备或应用系统或者系统之间通过请求回应方式提供数据。领地公开共享是在物理或虚拟的所辖范围内共享,数据不能流出到领地范围外。领地公开共享的个人信息相当于俱乐部物品,“其消费涉及某些公共性,其中最佳分享群组是多于一个人或一个家庭,但小于一个无限大的数值,即公开的范围是有限的。”不同于完全公开共享,受控公开共享和领地共享要求网络平台通过技术措施或登录规则对第三人的访问权限进行限制,是个人信息的一种半公开的形式。根据《民法典》第1036条第2款和《个人信息保护法》第13条第6款,公开的个人信息必须是那些合法公开且能够为不特定的第三人所访问的个人信息。公开的个人信息必须具有两个特征:一是合法性,必须是信息主体自行公开或者根据法律法规的规定公开的个人信息。对于那些他人非法泄露或公开的个人信息,即使其在客观上处于公开状态,也不属于法律层面公开的个人信息;二是开放性,即能够为不特定的第三人所访问,如果个人信息仅在有限的范围内为特定个体所访问,则该信息不是公开的个人信息。
(二)公开的个人信息的类型化根据《民法典》第1036条和《个人信息保护法》第13条、第27条,公开的个人信息主要有“个人自行公开的”和“其他合法公开的”个人信息两类,前者是信息主体意思自治的体现,后者是利益衡量的结果,二者共同织成公开的个人信息之网。1.个人自行公开的个人信息个人自行公开的个人信息是指“自然人主动将自己的某些个人信息向社会公开”,“意味着其在一定程度上同意他人对这些个人信息的处理”。自然人自行公开的个人信息既可以是其在开放式网络平台上自行向所有用户公开的信息,包括但不限于主动设置、填写或上传的头像、昵称、性别、学历、单位等个人信息,也可以是其在使用开放式网络平台过程中明确知悉相关活动会被平台公开展示的信息,例如点赞、评论、转发等,还可以是自然人主动向相关机构、企业、组织提供信息且明确知悉该信息将会向社会公众公开,例如合法披露的高管、董事、监事等个人信息。在人们的一举一动都被数字化记录的今天,层出不穷的个人信息泄露与滥用事件引发了人们对个人信息保护的普遍关注,但人们又乐于在社交平台展示自我,“晒”自身的各类个人信息,这种自行公开行为不仅满足了用户信息和娱乐的需求,还有助于人际关系的维持和数字印象的管理。在信息技术的助推下,“晒”个人信息逐渐成为人们的一种生活方式。自然人自愿公开的个人信息,并不意味着信息主体放弃了对该信息的保护,这些信息承载着信息主体的人格要素,信息主体对公开的个人信息的后续利用存在着合理期待。自然人通过网络平台自行公开的个人信息,不一定能够为不特定的第三人所访问,需要综合多种要素来确定该信息是否为公开的。欧盟《通用数据保护条例》(以下简称GDPR)并未将公开的个人信息作为个人信息处理的合法性基础,而是作为特殊类型的个人信息处理的例外条款。GDPR第9.1条规定,“禁止处理揭示种族或民族血统、政治见解、宗教或哲学信仰、工会成员身份的个人数据,以及基因数据、用于唯一识别自然人的生物特征数据、有关健康的数据、有关自然人的性生活或性取向的数据”,但在第9.2条进一步指出,“处理涉及数据主体明显公开的个人数据,则不适用第1款的禁止性规定”,即允许处理数据主体明显公开的特殊类型的个人数据。如何判断“数据主体明显公开的个人数据”?欧盟数据保护委员会在《关于针对社交媒体用户的8/2020指南》(2.0版)中指出,单一要素的存在并不总是足以证明数据主体已明显公开了数据,需要数据控制者在实践中结合以下因素来证明数据主体已明确表示有意公开数据:(1)社交媒体平台的默认设置,即数据主体是否采取特定操作将这些默认私人设置更改为公开设置;(2)社交媒体平台的性质,即该平台是否与数据主体建立熟人关系或亲密关系的想法有内在联系,或是否旨在提供更广泛的人际关系;(3)当数据主体被告知他们所发布的信息的公共性质时信息的可见性,即页面上是否有连续的横幅,或发布按钮是否通知数据主体该信息将被公开;(4)数据主体是否自行公布敏感数据或该数据是否由第三方公布或推断。因此,判断数据主体明显公开的个人数据不仅需要考虑发布平台的性质与隐私设置,还要考虑所发布数据的可访问性以及数据主体在被告知该数据将被公开时的选择等因素。在司法实践中,我国各地法院围绕平台的访问权限、平台性质等来判断是否属于个人自行公开的信息。在北京微梦创科网络技术有限公司诉云智联网络科技(北京)有限公司不正当竞争纠纷案中,法院根据平台权限设置与数据的可访问性将微博数据分为公开数据与非公开数据,对于微梦公司未设定访问权限、向公众公开的数据,应属新浪微博中的公开数据;对于通过登录规则或其他措施设置了访问权限或仅对特定群体开放的数据,则属新浪微博中的非公开数据。在孙长宝与北京搜狐互联网信息服务有限公司等人格权纠纷案中,法院认为“校友录网站主要用于实现校内社群社交功能,用户在此网站内上传头像,一般系为寻找同学、好友等,在部分熟知人群范围内开展社会交往,而非进行陌生人交友,或基于言论传播、宣传推广等目的进行全网公开信息发布”,要求根据信息关系和平台性质来判断所发布信息的公开性。因此,在判断个人自行公开的个人信息时,需要综合平台性质、信息关系、信息的可访问性等多种因素进行综合衡量。2.其他已合法公开的个人信息其他已合法公开的个人信息主要有三种情形:一是政府部门在履行职责过程中依法公开的个人信息;二是人民法院在裁判文书公开中所涉及的个人信息;三是合法的新闻报道中所涉及的个人信息。政府部门作为社会管理与社会福利的承担者,掌握着海量的个人信息,是最大的个人信息收集、储存、处理和利用者。政府信息公开不仅包括政府部门在履行职责过程中自我生成的信息,还包括政府部门获取的其他部门或行政相对人的信息。政府部门在主动公开或依申请公开信息的过程中不可避免地涉及公民的个人信息,对于“涉及商业秘密、个人隐私等公开会对第三方合法权益造成重大损害的政府信息,行政机关不得公开”。政府部门在履行职责过程中公开公民个人信息的,原则上需要履行告知义务,但“法律、行政法规规定应当保密”“不需要告知”“告知将妨碍国家机关履行法定职责”除外。不同于私主体公开个人信息需要取得信息主体的单独同意,政府部门在履行法定职责过程中公开个人信息不需要经过信息主体的同意。自2013年最高人民法院发布《关于人民法院在互联网公布裁判文书的规定》(以下简称《规定》)以来,各地人民法院相继启动裁判文书上网制度。这些裁判文书蕴含着大量案情细节和个人信息,最高人民法院在2016年对该《规定》进行修订,要求删除“自然人的家庭住址、通讯方式、身份证号码、银行账号、健康状况、车牌号码、动产或不动产权属证书编号等个人信息”“家事、人格权益等纠纷中涉及个人隐私的信息”,或对所涉个人信息进行模糊化处理。与此同时,该《规定》还要求以案件为单位,对于涉及隐私的案件进行整体性保护,但仍有些个人信息在裁判文书中得以保留。根据《规定》第11条,人民法院在互联网公布裁判文书“除根据本规定第八条进行隐名处理的以外,当事人及其法定代理人是自然人的,保留姓名、出生日期、性别、住所地所属县、区”。《民法典》第990条规定:“为了公共利益实施新闻报道、舆论监督等行为的,可以合理使用民事主体的姓名、名称、肖像、个人信息等”,赋予新闻媒体在新闻报道中基于公共利益合理使用个人信息的自由。新闻报道中所公开的个人信息首先必须建立在合法的新闻报道之上,即新闻报道不仅要在内容上合法,客观真实、全面准确报道事实,不得夸大其词、以偏概全、违反逻辑常识、违反职业伦理、盈利谋私,还要在程序上合法,不得通过非法手段获取信息、报道新闻。其次新闻报道中所公开的的个人信息必须是为了实现公共利益。公共利益作为一个不确定的概念,需要结合利益的重要性、受益对象的不特定性、利益实现的现实性和程序的正当性进行综合性判断。鉴于新闻报道中所公开的个人信息受到合法性和公共利益的双重拘束,基于合法的新闻报道所公开的个人信息的后续利用应当保持在合理的限度内,否则可能超出当事人的合理期待,给其人身财产造成不必要的损害。
二、
公开的个人信息的后续利用风险
信息处理者原则上不需要取得信息主体的同意即可对公开的个人信息进一步处理,但信息处理者对公开的个人信息的后续利用可能在信息主体不知情的情形下以润物细无声的方式侵蚀着个人隐私,甚至可能给个体的人身财产安全带来难以预测的风险。
(一)信息存储风险公开的个人信息往往通过信息处理者的终端服务器存储在“云端”之中,成为网络用户随时随地取用的公共资源,且永久存储于网络平台之中,不因信息主体的删除权或被遗忘权而消逝在赛博空间中。这一方面是因为通过技术手段删除或限制访问个人信息在当前几乎是不可能的,且网络上存在着海量的暗网,通过一般的搜索查询工具也查询不到,另一方面则是因为消逝在赛博空间需要在全球网域内删除或限制访问与信息主体相关的公开的个人信息,否则这些信息可能在域外通过其他替代手段重回共享状态。数据信息的流通呈现出“史翠珊效应”,越是试图压制或阻止访问特定的信息传播,结果往往适得其反,促使该信息为更多受众所熟知。虽然《个人信息保护法》第47条赋予了用户个人信息删除权,将用户请求删除的情形从《网络安全法》《民法典》“违反法律、行政法规的规定或双方的约定”扩展到“处理目的已实现、或者为实现处理目的不再必要”“个人信息处理者停止提供产品或服务,或者保存期限已届满”“个人撤回同意”等情形,但《个人信息保护法》将个人信息的删除定位为信息处理者应当主动履行的义务,信息处理者在利益的驱使下往往不会主动删除公开的个人信息,且信息主体无法知晓其公开的个人信息是否删除。即使发生个人信息侵权事件,信息主体请求删除公开的个人信息,其删除诉求只能达到运营商而无法企及第三方,使删除权的有效性大打折扣。因此,个人信息一旦公开,就将永久存储在赛博空间,在多元主体之间自由流通,即使法律赋予了删除权或被遗忘权,往往难以达到遗忘的效果。公开的个人信息在“云端”存储设备中被分散成碎片,以符号化的形式将该行为或事件在时间上冻结,消解了该行为或事件在时间上的短暂性,从“在场”的知情转化为“不在场”的关注。大数据技术通过结构化的符号语言将事件或行为解构为去语境的数据信息,这些去语境的数据信息被用于作为分析对象的标签,预留下虚构或揣测对象行为、兴趣、偏好的空间,进而通过数据挖掘与聚合被整合进新的语境进行重新解读。当用户通过网络平台发布或分享各类个人信息即失去了对该信息的控制,该信息不再局限于最初的具体社会语境,而是通过各类平台被传播和扩散到更加广泛的范围内,在数据控制者、数据经纪人、数据接收者等多元主体之间流转,并在流转的过程中融入新的语境,在“去语境—重构语境”中往返,信息的价值与意义也在不断解构与重构。一方面,公开的个人信息在去语境化的流转过程中面临着信息失控的风险。个人信息的去语境化使其能够为多元主体基于不同场景与目的进行多层次的使用,信息主体往往无法控制公开的个人信息的后续利用,只能被动承受公开的个人信息后续利用所带来的风险。另一方面,公开的个人信息在重构语境的过程中面临着语境崩塌的问题。个人信息都是在特定的语境下公开的,离开特定的语境,不同个体对同一内容可能有不同的理解,一旦发生误解或其他理解偏差,将会给信息主体带来难以预测的困扰与伤害。
(二)信息聚合风险大数据时代,通过公开渠道获取数据是保证数据规模的重要前提,例如通过爬虫技术爬取公开的数据,因此构成海量数据规模的个人信息主要是已公开的个人信息,这些公开的个人信息分散时不会对个人隐私构成侵害,但当这些分散的个人信息被聚合在一起时,则很可能侵害个人的隐私权。正如任何特定领域的个人信息收集似乎都不会构成严重的威胁,我们可以通过逃逸到其他领域来保护自己的隐私。当我们孤立地看待每一种公开的个人信息,每一种看起来可能是相对有利的,但当公开的个人信息聚合在一起时,其对隐私的总体影响将大于各部分影响的总和。“我们发布的文字和图像、社交平台上的交友范围,甚至是一个点赞或转发,都隐藏着我们的注意力偏好、个人兴趣、生活习惯等”,通过将分散的公开的个人信息聚合在一起,不仅能够详细地刻画出个体私生活的细节,形成关于我是什么样的人以及怎样生活的详细描述,还能够通过数据挖掘手段发现人们不愿为人所知的隐私信息或敏感信息,预测其未来的行为模式,使个人难以反驳通过算法模型预测出来的不曾发生的行为。在万物互联的时代,我们随身佩戴的手环、饰物、电脑以及公共场所的摄像头不断将我们每个人数据化,“数据化生存”成为日常生活的真实写照,数据取代物理世界的行为成为辨识个体人格的标签,通过将海量碎片化的数据信息聚合在一起,能够刻画出一个个虚拟而又真实的“数据人格”。通过将不同来源、不同类型的公开的个人信息聚合起来,各种个人信息彼此叠加、相互补充、相互印证,由此形成的“数据人格”是个体在赛博世界的真实映像,但经由“客观数据”所塑造的“数据人格”可能使个体真实人格走向异化。这一方面是由于所公开的个人信息不一定是全样本数据,网络平台在利益保护之下不愿将数据信息完全公开,另一方面则是因为我们向他人呈现的自我是基于恰当的舞台和表演场景表演出来的自我(performed self),这个自我并非真实的自我,而是人为设计出来且被认可的符号化的自我幻象,真实的自我以符号化的形态转化为数据信息,这导致个人在赛博空间拥有多个数字画像或虚拟人格镜像,且每个数字画像或人格镜像都是真实人格的映射。特定场景下的数据人格可能仅仅是个体诸多人格镜像中的一个面向,而不是其真实人格的全方位呈现。数据人格日渐与物理人格相分离,甚至可能反过来支配我们,成为异己的力量。人们不再是根据真实的物理人格,而是根据具有符号意义的数据人格来做出决策,通过数据与其他生命体或非生命体发生关系,且物理性人格可能会沉溺于数字身份所带来的真实性,犹如缸中之脑般被锁定在虚幻的空间中,引发数据符号化之殇。
(三)信息传播风险公开的个人信息不仅能够为不特定的第三人所访问,还能够几乎零成本地传播到世界各个角落。信息处理者原则上不需要经过信息主体的同意即可对公开的个人信息进行后续利用,信息主体往往无法知晓哪些主体收集了自身公开的个人信息并用于何种目的。公开的个人信息是一种共享性与流动性很强的要素资源,能够在多个信息处理者之间瞬时完成个人信息的收集、存储、使用、传输等,在个人信息流转的每个环节、每个处理者都可能发生侵权事件,信息主体囿于信息、知识、能力的不对称无法确定哪些主体的个人信息处理行为导致损害的发生,更难以证明信息处理行为与损害之间存在因果关系。为此,《个人信息保护法》第69条实行过错推定原则,要求信息处理者证明自身的个人信息处理行为没有过错,以降低信息主体的举证难度。即使如此,在个人信息侵权事件中信息主体仍要证明加害人、信息处理行为造成了损害等,维权成本高昂而赔偿收益偏低,难以为自然人通过诉讼手段维护自身的个人信息权益提供足够的激励。网络空间的开放性使公开的个人信息能够超越时空的界限在不同民族文化与国家之间传播,只要是在网络空间公开的个人信息,就可能成为广大网民围观的对象,就可能成为信息处理者创新变革的原材料。但公开的个人信息的传播是有界限的,在界限的一边公开的个人信息处于安全可控的状态,一旦公开的个人信息流通到界限的另一边则可能使信息主体处于危险的状态。首先,公开的个人信息往往都是在网络平台上发布或共享的,即使该网络平台对不特定第三人开放,但网站的链入链接数和站点访问数呈冥律结构存在,少数顶端的站点集聚了绝大部分的链接数和流量,并继续吸引着更多的链接与注意力,而一旦跨出核心站点,网站的相对能见度将会断崖式下降,其所承载的公开的个人信息往往难以为人们所看到。其次,搜索引擎对于网站链接数和访问量具有重要的引导作用,但搜索引擎在提供用户的快速搜索回应之前,通常先进行某种形式的Web搜索,以定位内容。为了尽可能快速地回复搜索结果,搜索引擎并不总是准确的(尤其是结果数量),且很多网页搜索引擎无法访问。人们根据所呈现的公开个人信息进行决策与选择,使个体受困于平台为他们所编织的“信息茧房”之中。最后,网站在搜索结果的排序往往会影响人们的注意力与选择,人们更容易注意到第一页与最后一页的内容,而中间位置的网页,则很难引起人们的注意。对于那些处于中间排名网页的公开信息,其往往难以为人们所注意到,但信息处理者可能在资本的运作下将网站在搜索结果中的排名靠前,使原本“小众”的公开的个人信息成为“大众”的公开的个人信息,公开的个人信息的再公开可能对信息主体产生负外部性,引发信息主体对公开的个人信息的安全隐忧,进而妨害数据信息效用的发挥。
三、
公开的个人信息的后续利用限度
公开的个人信息作为一种公共性资源,信息主体需要容忍信息处理者对该信息的后续利用,但信息处理者对公开的个人信息的后续利用并非是不受限制的,其必须控制在“合理的范围”内,不得违背信息主体的意思自治和最初公开时的场景脉络。
(一)公开的个人信息受法律保护个人信息一经公开就进入公共领域,能够为不特定的第三人所访问与利用,那么公开的个人信息是否应当受到法律保护?各国法律对此规定不尽相同。美国统一法律委员会在2021年7月审议通过的《统一个人数据保护法》,旨在为各州提供一个数据隐私法律的模板,以便各州立法机构制定自身的隐私法。该法案将公开可获取的信息(publicly available information)排除在数据保护法案之外,而公开可获取的信息包括“从联邦、州或地方政府记录中合法可获取的信息”“从通常公开媒体中可获取的信息”“从公开可访问的职位观察到的信息”等。公开可获取的信息在司法层面也不受法律的保护。2019年9月美国联邦第九巡回法院在“hiQ诉Linkedln案”中作出裁决,认定hiQ公司从Linkedln爬取公开的个人数据信息的行为并未违反《计算机欺诈与滥用法》,维持加州北区联邦法院作出的对hiQ公司的裁决。在该案中,法院认为因Linkedln默认对所有人公开,任何人都能够访问该网站,对于该网站公开的数据资料,Linkedln不得采取任何法律和技术措施限制hiQ访问该网站公开的数据资料,否则可能使hiQ遭受无法弥补的损害,威胁其业务的生存发展。欧盟GDPR既没有将公开的个人信息作为个人信息处理的合法性基础,也没有专门的条款对公开的个人信息进行保护,仅将“数据主体明显公开的个人数据”规定为特殊类型的个人数据处理的例外条款,即原则上特殊类型的个人数据是禁止处理的,但如果特殊数据明显是被数据主体公开的,也是可以进行处理的。对于合法公开的非特殊类型个人数据,无论是数据主体自行公开的还是政府部门、司法部门等基于公共利益公开的,原则上应当按照个人数据处理的基本原则与条件进行保护与规制。因欧盟GDPR适用于可归因于个人的数据,即“与已识别或可识别的个人相关的任何数据”,无论该数据信息的来源如何。这意味着即使是通过公共社交媒体渠道收集的公开个人数据,或是政府依法公开的数据信息,都要完全适用数据保护法,通过一般数据保护规则对公开的个人数据进行保护。我国法律文件中有关公开的个人信息最早出现在2014年6月最高人民法院审议通过的《关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》中,其第12条将“自然人自行在网络上公开的信息或其他已合法公开的个人信息”作为利用信息网络侵害人身权益的抗辩事由,且“以违反社会公共利益、社会公德的方式公开”及“侵害权利人值得保护的重大利益”作为处理合法公开的个人信息的限度。《民法典》第1036条第2款进一步将“合理处理该自然人自行公开的或其他已经合法公开的信息”作为个人信息处理的合法性基础,且以“该自然人明确拒绝或处理该信息侵害其重大利益”作为限制性事由。《个人信息保护法》不仅在第13条第6款将“依照本法规定在合理范围内处理个人自行公开或其他已经合法公开的个人信息”作为个人信息处理的合法性基础,还在第27条明确了公开的个人信息处理规则及处理界限,即在“合理范围内”且以“个人明确拒绝”“对个人权益有重大影响”作为例外。这表明即使是公开的个人信息在我国仍受到法律的保护,信息主体对公开的个人信息不因其公开而失去控制的权利,有权拒绝他人对公开的个人信息的后续利用,信息处理者对公开的个人信息的后续利用不得背离信息主体的合理期待,不得损害信息主体的重大权益。
(二)公开的个人信息使用的“合理”限度根据《个人信息保护法》第27条,信息处理者必须在合理的范围内处理公开的个人信息,“合理的范围内”成为理解公开的个人信息处理规则的关键。在个人信息保护立法中,目的限制原则是个人信息保护的一项基本原则,贯穿于个人信息处理的始终,无论是何种类型的个人信息处理活动,也不管信息处理者是谁,都必须受该原则拘束。公开的个人信息的后续利用作为个人信息处理的一个重要环节,当然受目的限制原则的拘束。《个人信息保护法(草案)》和《个人信息保护法(草案)》(二审稿)都要求“个人信息处理者处理已公开的个人信息,应当符合该个人信息被公开时的用途”,超出该用途的应当重新取得个人同意。这表明立法者将个人信息被公开时的目的或用途视为判断个人信息后续利用是否合理的一个重要因素,即公开的个人信息的后续利用必须满足目的限制原则。目的限制原则要求信息处理者在不迟于收集时必须有明确的、特定的目的,且后续使用必须与收集目的直接相关,不得背离最初的目的。如果能够明确个人信息最初公开时的目的,信息处理者对公开的个人信息的后续利用不得背离最初的公开目的。不得背离最初的公开目的并不意味着完全相同,在某些情况下“为不同目的进行后续处理,并不一定意味着自动不兼容,这需要根据兼容性测试进行个案评估。”在判断最初目的的范围上,不应当在个人信息公开环节就对最初目的做扩张解释,而应当根据公开时的场景脉络、信息主体对个人信息后续利用的合理期待等因素在个人信息后续使用环节进行目的兼容性测试。公开的个人信息最初公开时的目的与后续利用的目的是否兼容主要考虑以下因素:个人信息公开时的目的与进一步处理的目的之间的关系;个人信息公开时的场景及信息主体对其进一步使用的合理期待;进一步处理对信息主体的影响;信息处理者为确保公平处理并防止对信息主体产生任何不良影响所采取的保障措施。在公开的个人信息的目的或用途明确时,个人信息的后续使用应当与最初公开时的目的相兼容,不得背离信息公开时的最初场景与合理期待,以免对信息主体造成不良影响。如果个人信息公开时的目的无法明确的,信息处理者应当合理、谨慎地处理公开的个人信息,且不得对个人产生重大影响。信息处理者的合理谨慎义务是理性人在善意情况下应尽到的注意义务和安全保护义务,要求信息处理者基于善意对公开的个人信息的目的尽到注意义务,且在后续利用过程中采取安全保障措施以减少个人信息的滥用。在个人信息公开时的目的不明的情形下,信息处理者应当根据信息公开时的场景、平台、信息关系等合理推断该信息的可能用途。对于个人自行公开的个人信息,可以根据信息公开的平台性质、隐私政策、信息主体在被告知公开时的选择行为等因素综合推断公开的个人信息的目的与用途。对于其他合法公开的个人信息,可以根据所承载的公共服务或公共管理性质来推断其公共目的,例如政府信息公开中的个人信息,其目的在于提升政府工作的透明度,保障公众知情权的实现。信息处理者不仅需要保障公开的个人信息的处理目的具有正当性,还要采取相应的软硬件措施保障公开的个人信息处于安全可控的状态,不会对个人产生重大不良影响。公开的个人信息的合理利用除了需要满足目的限制原则,还需要满足手段正当性和收集、利用行为的正当性要求。手段正当性要求信息处理者必须采用合法正当的行为方式,不得通过非法技术手段或伪装手段获得与处理个人信息,而收集、利用行为的正当性则要求公开的个人信息的后续利用行为不得构成对他人的不正当竞争、不得损害他人的正当数据利益。在“汇法网”案中,北京市第四中级人民法院根据《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》将手段正当性和收集、利用行为的正当性具体化为四方面的判断,即“转载者发布的信息与发布机关发布的信息在内容上是否存在不符”“转载者在转载过程中是否不当添加了侮辱性、诽谤性标题或其他内容信息”“转载者是否以增删、改变等方式对来源信息进行了结构调整,并因此致人误解”“相关来源性信息在转载时是否为有效信息等”。因此,公开的个人信息的合理利用不仅需要符合最初公开时的目的或用途,满足目的限制原则,还要保证后续利用在手段、内容、方式上是正当的,严格控制在合理范围内,不得对个人权益造成重大影响。
(三)信息处理者利用公开的个人信息的例外情形信息处理者原则上不需要经过信息主体的同意即可对公开的个人信息进行后续处理,但在信息主体的明确拒绝和对个人权益的重大影响的情形下,信息处理者需要重新获得信息主体的同意,否则可能构成对个人信息权益的侵害。1.信息主体的明确拒绝《个人信息保护法》第27条规定“个人信息处理者可以在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;个人明确拒绝的除外”,赋予个人自主决定是否同意公开的个人信息的后续使用的权利,进而保障信息主体自我决定权的实现。信息主体的“自我决定权”包括两方面的内容:一是在个人信息公开之前,信息主体有权自主决定个人信息公开的内容、范围、程度、方式等;二是个人信息公开之后,信息主体有权自主决定对该个人信息的进一步处理,以保证已公开的信息不被扭曲。对于公开的个人信息,信息主体一方面需要容忍其他处理者对公开的个人信息的后续利用,另一方面有权明确拒绝公开个人信息的进一步处理,以保证信息主体“自我决定权”的实现。信息主体对公开的个人信息的自我决定权在法院判决中也得到了认可。在“启信宝”一案中,苏州市中级人民法院认为,在判断贝尔塔公司的转载和再次公开行为是否违反正当性和必要性原则,是否对所涉自然人值得保护的重大利益造成影响时,应更多尊重伊某对其已合法公开信息进行二次传播的个人意愿,尊重伊某的自主决定权。在伊某联系贝尔塔公司要求删除相关文书之前,贝尔塔公开文书的行为尚不构成非法公开他人信息的侵权行为,但在伊某联系贝尔塔公司要求删除相关文书之后,贝尔塔公司以中国裁判文书网已公开相关文书为由拒绝删除,构成对伊某个人信息的非法公开利用。在该案中,法院将信息主体的自主决定权预设为一项绝对性权利,信息主体有权决定公开的个人信息的二次传播,这是对信息主体自主决定权的一种误读,信息主体对其个人信息的自主决定权受到一系列因素的限制,且无论是在保护强度和密度方面,公开的个人信息都明显弱于非公开的个人信息,信息主体需要容忍公开的个人信息在合理范围内的流转。信息主体对公开的个人信息的自主决定权并非是不受限制的。首先,信息主体的信息自决权自其诞生之日起就不是一项绝对性权利,需要受到合目的性原则、比例原则、法律保留和法的明确性原则等限制。其次,公开的个人信息不仅承载着信息主体、信息处理者和社会公共利益,还是社会治理、企业创新、科学文化艺术进步的素材与原材料,公开的个人信息后续利用不能完全由个人决定,需要多方利益的衡量比较确定。最后,公开的个人信息是人们日常交往和相互交流所必需的,如果赋予信息主体对公开的个人信息完整的信息自决权,将会妨害正常的社会交往,妨害社会成员之间的信息获取与交流。因此,信息主体对公开的个人信息后续利用的拒绝权并不是绝对的,信息主体应当容忍信息处理者在兼容性目的下的进一步处理。在兼容性目的之下,即使信息主体明确拒绝信息处理者在兼容性目的下的后续利用,信息处理者仍有权对公开的个人信息进行进一步的处理。同样是转载和再次公开中国裁判文书网的裁判文书,北京市第四中级人民法院在“汇法网”案中认定其转载裁判文书的行为不属于违法使用个人信息的行为,即使信息主体明确拒绝,该公司仍有权在兼容性目的下基于手段正当性和收集、利用正当性转载裁判文书。在该案中,北京汇法正信科技公司在转载过程中既没有对相关裁判文书进行增删、改动,也没有其他不正当行为,且其目的“是通过对司法数据的再度利用,保障和便捷公众对相关信息的知情权,有利于社会诚信体系的建设,也不违反司法公开的目的”,是一种兼容性目的下的合理利用行为。信息主体对其公开的个人信息负有容忍义务,需要容忍公开的个人信息在合理范围内的自由流转,除非公开的个人信息的后续利用目的或手段不正当,超出了信息主体的合理预期,否则信息主体无权拒绝公开的个人信息的后续利用。综上所述,信息主体有权拒绝公开的个人信息的后续利用,但信息主体的拒绝权并不是一项绝对性权利,需要容忍信息处理者在兼容性目的下的进一步处理。如果信息处理者对公开的个人信息的后续利用手段不正当或者超出最初公开的目的,信息主体有权拒绝公开的个人信息的后续利用;如果信息处理者基于正当手段、兼容性目的处理公开的个人信息,即使信息主体明确拒绝,信息处理者仍有权对该信息进一步处理。2.对个人权益有重大影响《个人信息保护法》第13条将“在合理的范围内处理个人自行公开或其他已经合法公开的个人信息”作为个人信息处理的合法性基础之一,信息处理者原则上不需要取得信息主体的同意即可对公开的个人信息进一步处理。但如果公开的个人信息的后续利用将会对个人权益造成重大影响的,信息处理者应当重新取得个人的同意。所谓“对个人权益有重大影响”,是指处理该信息将会对信息主体的生命、身体、自由、财产或其他利益造成重大不良影响,例如在剑桥分析事件中,剑桥公司通过非法手段收集8 700万facebook用户的公开个人数据,通过对日常生活公开的数据进行建模分析,推断他们的政治态度,进而推送特定内容影响他们的行为。公开的个人信息的后续利用是否对信息主体的个人权益造成重大影响,主要从以下三方面因素进行考量:一是将信息主体的个人信息利益与信息处理者的合法利益、社会公共利益进行权衡比较,如果信息主体控制其公开的个人信息利益高于信息流通所潜伏的财产利益与社会公共利益,则公开的个人信息的进一步处理可能会对信息主体造成重大不良影响;二是收集和利用方式是否正当。收集的正当性意味着信息处理者必须采用合法手段收集公开的数据信息,不得采用平台明确禁止的技术,也不得违反国家的禁止性规定。利用方式正当要求信息处理者必须基于目的限制原则进行公开的个人信息的后续利用,不得违反个人信息保护的相关规定。三是进一步处理的公开的个人信息与源信息在内容、结构上是否相符。内容、结构的匹配性要求信息处理者不得对公开的个人信息进行任意增删,扭曲信息主体的社会形象,也不得进行结构性调整,引发公众的误解。信息处理者对公开的个人信息的后续利用首先需要履行告知义务,以显著方式、清晰易懂的语言向个人告知信息处理者的名称、联系方式、处理的个人信息种类、处理方式、个人享有的权利和程序等内容。不同于作为私法意义上意思表示的同意,受公共安全、他人的合法权益、公共利益或其他合法事由的限制,告知融合了公法和私法的双重属性,是信息处理者在任何场景都必须履行的强制性义务,即使是不需要信息主体同意的场景,信息处理者仍要履行告知义务,除非法律、行政法规规定保密或不需要告知的情形。信息处理者告知信息主体公开的个人信息的进一步处理,不仅能够保障信息主体对个人信息处理的知情权,还能够为其控制数据信息的流转、评估后续利用的风险提供信息支撑。如果公开的个人信息的后续利用对个人权益产生重大影响,信息处理者需要取得信息主体的同意。对公开的个人信息的后续利用不一定需要获得信息主体的单独同意或书面同意,仅需要获得个人的明示同意或默示同意即可。默示同意不能以沉默的方式作出,否则构成对信息主体自由意志的戕害,无助于信息主体个人信息权益的保护与弱势地位的填平。但对于公开的个人信息中敏感信息的进一步处理,不仅需要获得信息主体的单独同意,还需要在目的限制的前提下具有充分的必要性且采取严格保障措施。因此,如果公开个人信息的后续利用对个人权益有重大影响的,信息处理者不仅需要告知信息主体处理的信息类型、方式、目的以及处理者名称、联系方式等,还需要取得个人同意,不管是明示同意还是默示同意。
四、
结语
责任编辑:瞿郑龙
图文编辑:杨巽迪
审核:李中原
本文刊于《苏州大学学报(法学版)》2021年第4期“《个人信息保护法》专题研究”,第64—76页。为阅读方便,此处删去原文注释,如有媒体或其他机构转载,请注明文章出处。
苏州大学学报微信公众号矩阵
苏州大学学报
哲社版
苏州大学学报
教科版
苏州大学学报
法学版