已公开个人信息的认定规则与处理限度
2022-11-19郑煌杰
郑煌杰,曹 阳
(上海政法学院 法律学院,上海 201701)
我国《个人信息保护法》没有将已公开个人信息排除在个人信息保护之外,而是在其第13条、第27条规定了处理已公开个人信息的相关规则,例如,在合理范围内,信息使用者能够处理已公开个人信息,除非个人不同意或此类信息对个人有重大影响等等。然而,在现实中各地法院就处理已公开个人信息相关问题并未达成共识,导致作出大相径庭的判决结果。以“启信宝”案、“汇法网”案为例,两案件中所涉及的两名原告分别在苏州和北京提起诉讼,要求被告删除涉及自己个人信息的内容,两个案件案情大致相同,却得出不同的判决结果[1]。仔细分析可以得出,苏州法院偏向于保护个人信息权益(私人利益),北京法院则偏向于保护社会利益(公共利益)。两案件之所以会有不同的结果,其根本原因还是在于对已公开个人信息的处理规则理解不同、个人是否还能再次拥有对已公开个人信息的控制权以及是否知悉处理已公开个人信息时存在不可控的风险,这些风险可能会影响信息使用者“合理使用”的判定。鉴于此,笔者将以已公开个人信息内容为基础,围绕以上问题,逐一进行探讨。
一、已公开个人信息范围的认定规则
何以“私密”?何为“公开”?两者表面上似乎是相反的概念,但因两者都是涉及到主观价值判断,很难划分出清晰的界限,这在一定程度上导致了已公开个人信息的相对性[2]。故已公开个人信息的范围认定不能仅仅局限于主观标准,还需要结合具体客观场景来判断,进而也能更好地明晰其具体类型。
1.前提要件
根据我国法律规定,符合以下两个前提要件的个人信息才是已公开个人信息:其一,已经公开。“公开”二字是指他人在客观上能够轻易了解事物的相关内容,具言之,就是个人信息很容易被外界所知悉获取,特别是在互联网时代下个人信息可以借助大众媒体(如网站、报刊等)进行广泛传播。需要强调的是,容易知悉获取已公开个人信息与个人主动提供信息存在区别的,后者是在信息使用者与特定相对人双方之间进行信息的传送。而前者则是存在被不特定人轻易获取的可能性。在过去,已公开个人信息会随着时间而逐渐被人们所遗忘可能再次变为“私密信息”。然而,当下受互联网、大数据等影响,已公开个人信息往往只能“永久”存在于公共领域,不可能再次转化为不公开的个人信息[3]。
其二,已公开个人信息的公开方式需要是合乎法律规定的,这意味着信息使用者处理已公开个人信息不能对个人造成重大影响,损害其个人信息权益。根据《民法典》第1036条与《个人信息保护法》第13条的规定,已合法公开的个人信息可以理解为个人自行公开或者基于其它合法方式公开个人信息。前者指的是个人积极主动地行使“公开权”,而后者则是指如果信息使用者是因为履行法定责任或义务,那么可以进行个人信息的公开。换言之,如果信息使用者处理的是通过非法方式公开的个人信息,那么就无法适用《民法典》第1036条与《个人信息保护法》第13条的规定。
2.类型划分
根据《民法典》第1036条和《个人信息保护法》第13条、第27条规定,可以将已公开个人信息划分为两种类型即“主动已公开”(个人主动公开的信息)和“被动已公开”(个人被动公开的信息),前者体现了个人的意思自治,后者则是基于利益平衡的结果,已公开个人信息由两者共同组成。
其一,“主动已公开”具体包括两种方式,即个人自身进行公开与允许他人公开。之所以要具体区分这两种方式,是为了清楚地判定个人公开信息时是否是基于真实意愿。易言之,就是个人在进行信息公开的时候是充分清楚该行为可能产生的后果,并还是积极主动地将其个人信息向外界公布。比如,为了更好地进行学术探讨,专家学者将其个人信息,如联系方式等在学术网站上公开(如知网中的学术论文一般会涉及作者的联系方式),进而使得这些个人信息能够轻易地被外界所获取。而如果仅仅是在只有寥寥数人的学术课题组公布了一些个人信息,此时说明了个人可能并不是想让外界都知晓其个人信息。此外,如果个人是在不知情的情况下被收集信息进行公开,此时不应属于“个人自行公开”。比如,当个人进入公共场所时,如需采集其人脸信息,这些信息一般会被储存在特定数据库中,但这不能说明人们自行公开了个人信息。对此,欧盟数据保护委员会提出,基于公共场所需要所收集的数据信息并不能代表个人主观上想公开与自身有关系的数据信息[4]。美国《加州消费者隐私法案》也明确规定,如消费者不知情而被企业所收集与其特征相关的个人信息,那么此类信息需要被排除于“公开获取的信息”的范围之外[5]。我国《个人信息保护法》第26条规定也指出,可以基于维护公共安全的目的处理已公开个人信息,但除非经过个人的允许同意否则不能出于其它目的处理使用[6]。
其二,“被动已公开”主要指信息使用者不用经过个人同意,根据法律法规规定就能公开个人信息。信息使用者可以根据《民法典》第999条规定,在不侵害民事主体权益的条件下,信息使用者可以基于公共利益合理处理已公开个人信息,其中“合理使用”就包括媒体新闻为了披露某黑恶势力绑架、杀人等违法行为而公开其中涉案人员的个人信息。同时,其也可以根据《个人信息保护法》第13条中的规定,无需经过个人同意就能公开其信息。然而,个人信息的公开必然对自然人的隐私权、财产权等人身权益产生巨大影响,故必须在法律范围内且基于必要目的才可以进行个人信息的公开。比如,在疫情期间国家相关部门等信息处理者基于维护公共利益的目的需要公开阳性患者个人信息,以控制与其密接的人员,但是只能公开因疫情需要的个人信息如职业、行程轨迹等等。由于个人往往是基于被迫强制地向国家提供其个人信息,故国家也需要尽力保护这些因“被动公开”自己信息的个人。易言之,国家部门机构的需要是为了公共利益或履行职务行为,且需要依照法律规定的权限和程序,同时也应当在法律的授权范围之内行使其公权力。
二、已公开个人信息处理的风险类型
一般来说,信息使用者不需要通过个人的同意处理已公开个人信息,故极有可能在处理过程中因把握不好分寸而产生许多风险,进而可能对个人的隐私、人身安全等权益造成重大影响。
1.存储风险
已公开个人信息通常经过信息处理的服务器而永久储存在数据库之中,进而能够随时被公众所利用,相关信息不因为“删除权”或“被遗忘权”而消失[7]。笔者认为导致产生此现象的原因主要有:其一,数字时代下数据信息很难被根本删除或限制访问,同时因为暗网的存在导致一般查询工具也无法查询到所有信息。其二,因为删除或限制访问的已公开个人信息很有可能通过其它方式重新变为已公开个人信息。即使《个人信息保护法》第47条规定了个人拥有删除权,但其把删除权定义为信息处理者的义务,这将可能导致信息处理者受利益驱使或其他目的不删除已公开个人信息,同时个人也没有办法知道信息处理者是否已经删除其个人信息。在这样的情况下,如个人信息权益遭受到损害,其只能请求信息使用者删除已公开个人信息,已公开个人信息也可能将一直储存在“公共领域”的数据库之中随时被他人所利用。换言之,虽然个人拥有删除权或被遗忘权,但由于数据时代的影响导致其信息很难被“遗忘”。相关数据库的已公开个人信息被“肢解”成碎片,在时间上冻结长久存在于客观环境之中,信息使用者就能很容易地成立已公开个人信息的合理使用行为,这将可能极易对个人信息权益造成损害。大数据技术将生活中发生的行为或事件为不带主观价值判断的数据信息,利用这些“中立”的数据信息结合社会具体语境,来重新解读个人的行为、偏好等等,进而作出符合个人期待的行为。
综上所述可以得出,当下已公开个人信息的处理行为容易面临失控的危险,个人丧失了对其信息的控制权,导致其只能被动强制地接受因已公开个人信息处理时所产生的风险。同时,已公开个人信息往往是基于特定的社会语境之下进行公开的,不同人可能对此相同内容有着不同的理解,倘若因此造成误解或理解偏差,那么这将可能给个人带来很大的困扰和伤害。
2.集合风险
一方面,当下数据信息的来源往往是通过公开渠道获取的,比如利用“网爬”技术来获取数据信息。换言之,收集而来的信息而后都是将其集合在一起,这些已公开个人信息单独来看一般不会造成负面影响,而当它们集合在一起时信息之间可能就会互相填补,其产生的总体影响可能远远大于各部分影响之和,这样就可能产生安全风险[8]。例如,当我们在微信、微博等社交平台公开发布文字、图像亦或是进行转发或点赞,诸如此类行为都体现了个人的生活偏好,而将这些“碎片化”的已公开个人信息集合在一起,能够很容易地分析出一个人的生活习惯以及大概是一个什么样的人等等,这让个人被动强制地暴露在公共视野之中进而对个人隐私权等权益造成巨大的损害。
另一方面,当下我们身边存在的网络设备,例如手机、电脑、摄像头等等都在把每个人的生活数字化,个人在数据库之中基本都有属于自己的是“数字形象”,而构成这些“数字形象”的基础就是各种各样的已公开个人信息。然而这些已公开个人信息所塑造的“数字形象”可能会让现实个人人格走向异化。申言之,因为当我们向外界表达自我时,往往仅是将自认为好的一方面向外界展示,故所表达的自我并不是全面真实的,而是故意为之并基于此转化为数据信息,这将导致数据空间中可能存在多个能反映出个体的“数字形象”。在此背景下,人们之间可能将都是基于“数字形象”做出决策,导致现实个体沉浸于“数字形象”所带来的真实性,人们就像被锁定虚幻的空间之中分不清虚拟与现实。
3.流通风险
首先,信息使用者一般经过个人同意就能处理已公开个人信息,而个人也无法明晰信息使用者是基于何种使用目的收集已公开个人信息。换言之,信息处理者在收集、储存、使用已经公开个人信息过程中如侵害个人信息权益,那么个人很难证明侵权要件即已公开个人信息处理主体、处理结果及两者间的因果关系。鉴于此,《个人信息保护法》第69条规定,如涉及侵害个人信息权益案件中,对信息使用实行的是过错推定原则,以此来降低处于弱势地位的信息主体的举证难度。然而,即便如此,个人还是需要证明信息使用者及其处理行为是否造成了损害结果等等,这样容易造成个人因为维权成本高而“懒”于维护其个人信息权益[9]。
其次,由于互联网空间的开放性,使得已公开个人信息流通可以借助其突破时间与空间的限制。故只要个人信息在网络上被公开了,那么可能会吸引许多网民前来围观,而后可能成为信息使用者创新变革的素材基础。需要注意的是,已公开个人信息的流通还是有边界的,如在边界内可以认为已公开个人信息是处于安全可控的状态,一旦超过传播边界那么可能使信息主体陷于危险的状态。具言之,其一,当下信息通常都是在网站上发布的,虽然都是向不特定的第三人开放,但因为网站的链接数和访问数呈幂律结构存在,大型的网站往往会利用其链接数和流量的优势吸引更多的注意力,导致人们很难在这些大型网站之外的网络平台,看到其所承载的已公开个人信息[10]。其二,网络搜索引擎也能够引导网站链接数与访问量,然而其为了能迅速回应用户所搜索的内容,导致生成的搜索结果可能会夹杂许多错误的内容,申言之,人们是处于网络平台为他们所编织的“信息茧房”之中。其三,人们的注意力通常也会受搜索结果中网站的排列顺序影响,人们一般更容易注意到排名靠前的几个网站,很少去关注后面网站所公开的信息,然而信息使用者可能受利益的驱使将其网站排名靠前,这会让本来“小众”的已公开个人信息转变为“大众”的已公开个人信息,进而引发个人对已公开个人信息的安全隐忧。
三、已公开个人信息的处理限度
正如前文所述,已公开个人信息是一种公共性资源,但这种公共资源不应该是毫无限度的,信息使用者应当要在“合理范围”内处理已公开信息,且不得违背个人的意思自治和最初公开的社会语境。
1.法律保护
是否应当保护已公开个人信息?各国对此的法律规定有所不同。美国《统一个人数据保护法》规定是将已公开个人信息排除此法案之外,其司法实践中也是认为已公开个人信息不应当得到保护,以美国的“hiQ vs Linkedln案”为例,法院经过审查认为前者从后者公司数据库爬取数据信息的行为并没有违反美国《计算机欺诈与滥用法》的规定[11]。本案中,法院认为Linkedln公司的数据信息已经自行主动公开,所以不能不合理限制hiQ公司的爬取数据信息行为,否则可能会阻碍其公司业务的发展。而欧盟《通用数据保护条例》中既不认为已公开个人信息是合法处理的理由,也无对其设置专门的保护条款,只是将其列为个人数据处理的特殊条款,换言之,个人数据信息只有是个人自行主动公开才能进行处理。而对于数据主体主动公开亦或是国家部门出于公共利益公开的个人信息,也都需要遵循个人数据处理的相关规定[12]。在我国《民法典》中第1036条明确了处理已公开个人信息的合法性基础,即“合理处理该自然人自行公开的或其他已经合法公开的信息”,也规定了处理已公开个人信息的限制事由,即“该自然人明确拒绝或处理该信息侵害其重大利益”。同时,在《个人信息保护法》中第13条规定也再次确定了处理已公开个人信息的合法性基础,即“在合理范围内处理个人自行公开或其他已经合法公开的个人信息”,也在第27条中规定了处理已公开个人信息的限度,即在“合理范围内”且以“个人明确拒绝”和“对个人权益有重大影响”为例外规定。以上这些规定,都表明了已公开个人信息受我国法律保护,个人可以在法律规定内禁止他人使用已公开个人信息,信息使用者在处理已公开个人信息时不能违背个人的合理期待,也不能损害其个人信息权益。
2.合理范围
首先,《个人信息保护法》第27条规定,信息使用者必须在合理范围处理已公开个人信息,故“合理范围”是理解已公开个人信息处理规则的核心关键。而与“合理范围”联系紧密则是目的限制原则,信息使用者、信息处理行为都需要受此原则的约束。在《个人信息保护法》立法过程中,立法者认为处理已公开个人信息,应当符合该个人信息被公开时的用途,如超越该用途范围之外都需要再次经过个人的同意。这说明了已公开个人信息的用途或目的是界定之后处理行为是否构成“合理使用”的重要依据。易言之,处理已公开个人信息需要合乎目的限制原则。而目的限制原则的具体内涵是信息使用者在处理已公开个人信息时必须有明确特定的目的,同时此目的不得与个人最初公开信息的目的相悖理。需要注意的是,不悖理最初公开目的不等于与此目的完全相同,在某些情形下基于不同目的进行处理,并不是意味着肯定与最初目的相排斥,如果处理目的与最初目的符合相关性特征,此时很有可能也成立“合理使用”的事由,当然这需要结合具体个案来分析评估[13]。申言之,在界定最初目的时,需要综合考量个人信息公开时的具体社会语境以及信息主体的合理期待等因素。具言之,其一,已公开个人信息公开时的目的与使用目的之间的关系。其二,已公开个人信息公开时的社会语境及个人对处理行为的合理期待。其三,信息使用者处理已公开个人信息时为防止对个人权益造成重大影响所采取的安全措施。申言之,一方面已公开个人信息目的或用途确定时,处理目的需要和公开目的相符合,同时不能悖理个人信息公开时的社会语境与合理期待,避免对个人造成负面影响。另一方面已公开个人信息目的不能确定时,信息使用者需要合理审慎地处理已公开个人信息,要求善意使用且不能滥用已公开个人信息,同时可以依据公开时的社会语境、信息关系等因素合理判断其可能的用途。所以,信息使用者不仅应当保证处理行为的正当性,还需要采取相应安全措施保障已公开个人信息处于安全可控的状态,不会损害个人信息权益。
其次,信息使用者处理行为不仅要合乎目的限制原则,也要满足其收集行为、处理行为的正当性。具言之,正当收集行为要求信息使用者采取合法合理的手段收集已公开个人信息。而正当处理行为则要求信息使用者处理已公开个人信息不能损害他人利益。以“汇法网”案为例,北京市第四中级人民法院将正当收集行为、正当处理行为具体化为四个判断要件,即:第一,信息使用者处理的信息内容是否与个人公开时的信息内容相符合;第二,信息使用者在处理信息过程中是否添加负面性内容;第三,信息使用者是否变更已公开个人信息的内容结构让人产生误解;第四,信息使用者处理的是否是有效信息[14]。一言以蔽之,信息使用者的处理行为既要合乎已公开个人信息最初公开时的目的或用途,也要符合目的限制原则,还要保障处理行为是正当的,在合理范围之内且不能损害个人信息权益。
3.限制条件
信息使用者原则上可以不经过个人同意就能处理已公开个人信息,然而有原则就有例外,即如存在个人明确拒绝或损害个人信息权益的情况,此时信息使用者必须要经过个人的同意,否则可能会侵害个人信息权益。
根据《个人信息保护法》第27条规定,除非个人明确拒绝,否则信息处理者可以在合理范围内处理已公开个人信息,此条说明了个人具有“自决权”。具言之,“自决权”有两方面内容:一方面,个人有权决定已公开个人信息的内容、手段、限度等等;另一方面,则是个人能够决定是否赋予信息使用者处理其个人信息的权利。在司法实践中,法院也认可“自决权”,以“启信宝”(原告伊某诉被告贝尔塔公司)一案为例,苏州市中级人民法院在判断被告的处理行为(转载和再次公开行为)是否符合目的限制原则,是否对原告造成重大影响时,法院认为应当以原告的“自决权”为主,即原告是否同意二次传播的主观意愿[15]。具体到本案细节,在原告要求被告删除涉案公开裁判文书之前,被告公开文书的行为还不足以成立侵害个人信息权益行为。然而,在原告要求被告删除涉案公开裁判文书之后,被告以“裁判文书已经在中国裁判文书网公开了”为理由拒绝删除,此时则成立非法使用已公开个人(原告伊某)信息的行为。同时,本案中法院也提出了个人需要容忍已公开个人信息在合理的范围之内流通,换言之,个人的“自决权”是受一定因素所限制的。结合前文所陈述,笔者认为主要有以下限制因素:其一,个人的“自决权”不是一项绝对性权利,而是要受到目的限制原则、比例原则、法律保留原则等限制;其二,已公开个人信息的保护与利用体现个人信息权益与信息使用者、社会公共等利益之间的平衡,易言之,已公开个人信息的使用不能仅仅只由个人所决定,需要结合具体社会语境之下的多方利益综合考量;其三,人们在日常生活交流中避免不了使用已公开个人信息,如果个人拥有绝对的“自决权”,那么将阻碍社会正常交往和信息流通。这些限制因素在“汇法网”案中也有所体现,两个案件事实基本一致,但北京法院认定被告(北京汇法正信科技公司)是合理使用已公开个人信息,其处理行为是正当的且也维护了社会公共利益,促进信息资源的流通利用。
综上所述,个人原则上有权拒绝信息使用者处理已公开个人信息,但这不是一项绝对性权利,也是受一定的限制。如果信息使用者处理手段是正当的亦或符合最初公开的目的,那么个人不能拒绝其合理使用的行为。而如果信息使用者的处理行为对个人信息权益造成的影响重大,那么不仅应当要经过个人的单独同意,还要符合目的限制原则且采用严格的保障措施使已公开个人信息处于安全可控的状态。
结语
当今是一个信息公开的时代,公开不仅提高生活的效率和信息资源的利用率,也增进了人们彼此之间的交流,营造出一个共享共信的和谐社会。合理使用已公开个人信息既能够促进信息的流通,也能够推动公共决策的科学化、公共治理的精准化、公共服务的高效化。然而,使用已公开个人信息需要遵循一定的处理规则,即信息使用者的处理行为需要在合理范围内,保障个人信息权益,同时保证正当的处理目的、正当的处理手段、正当的收集和使用行为,这样才能让信息在流通中最大程度地发挥出它的价值,进而推动现代社会的数字化转型。