本文作者:王亭入
《个人信息保护法》第十三条第一款第(六)规定,符合下列情形之一的,个人信息处理者方可处理个人信息: 依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息。[1]这是《个人信息保护法》中非常重要的一个规定,适用的主要场景例如搜索引擎、数据爬虫(例如天眼查、企查查等)、裁判文书公开等。我国刑法还规定了侵犯公民个人信息罪,该犯罪不以个人信息构成隐私为前提,即便是处理个人已经公开的信息,仍有构成犯罪的可能。因此,准确理解已公开的个人信息,平衡个人信息自决权与信息自由流动,并做好与刑法的衔接,对我国个人信息保护生态的塑造,意义重大。
1、比较法
很多国家和地区都对已经公开的个人信息的处理设定了单独的处理规则。最典型的就是欧盟的GDPR,以及实际执法过程中出现的一些案例,可以为我们去解释和执行《个人信息保护法》的相关规定,提供一些思路。
欧盟GDPR第9条第1款规定了例如种族、民族、生物学数据等有关的特殊数据,类似于我国个保法上的敏感个人信息,对于这些特殊数据的处理,GDPR第9条第2款给出了处理的特殊事由,例如明确/明示同意(对应我国个保法的单独同意),以及“数据处理与已经由数据主体明显公开的个人数据相关”。但是欧盟第29条工作组在2014年发表了编号844/14/EN WP 217的《Opinion 06/2014 on the notion of legitimate interests of the data controller under Article 7 of Directive 95/46/EC》(简称844/14/EN WP 217意见),对处理个人信息的事由进行了详细的解释。根据《844/14/EN WP 217意见》,特殊事由的存在,是为了对某些种类的数据提供更严格的保护。这一点就决定了特殊事由并不是排斥普通事由的关系。虽然,从表面上看,特殊事由的要求比普通事由严格,比如特殊事由要求明示同意,但是普通事由要求同意即可,但是不能说特殊事由的要求总是比普通事由严格,比如说已经公开的数据,在欧盟属于特殊事由,但是已经公开的数据并不总是意味着满足特殊事由而可以被处理,还需要与数据主体的其他权益进行平衡判断。第29条工作组的结论是,要在个案中,判断特殊事由能否提供(相对于普通事由)更严格充分的保护,如果不是,那么就要同时适用普通事由和特殊事由充分保护数据主体。
GDPR第14条还规定了如果数据不是从数据主体处获得,数据处理者应当告知数据主体包括处理者的身份、联系方式、处理目的、处理的依据(事由)、处理种类、数据来源等信息,并且应当在不迟于获得个人数据后一个月内通知到数据主体。考虑到告知可能并不总是有必要,GDPR第14条第5项还同时规定了在一些情形下不需要告知的例外,包括数据主体已经知晓将要被告知的信息、告知无法操作或者会牵涉到(数据处理者)不成立比例的投入(the provision of such information proves impossible or would involve a disproportionate effort)等。
案例: Bisnode使用公开个人数据被波兰数据保护当局处罚案[2]
该案是发生在波兰的第一起GDPR执法案件。波兰数据保护机构在2019年初,对总部位于瑞典的Bisnode公司发布了22万欧元罚款的处罚令,并且要求Bisnode公司在三月内遵照GDPR的规定,通知近600万个人数据的数据主体其数据已经被Bisnode公司收集和处理。Bisnode公司从官方的公司登记机关的公开数据库爬取了(公司)登记信息,用作商业用途。Bisnode公司只通知了那些留有电子邮箱的数据主体,对于其他人则没有单独通知,而是在在其网站上刊登了数据处理声明。Bisnode公司抗辩说,通过挂号信等纸质方式向这些没有留下电子邮箱的数据主体逐个通知的成本是(与公司的收益相比)不成比例的。 Bisnode公司估计这样会产生770万欧元的费用,这已经超过了公司2018年的营业额。而且,Bisnode公司需要安排专门的人手去处理这件事情,这对公司的资源是极大的挑战。如果逐一通知的话,Bisnode公司在波兰的运营将会陷入危险之中。
该案的处理结果给依赖数据爬取业务的公司带来了极大的合规风险,这些公司将不能轻易通过GDPR第14条第5项的规定免责。该案跟此前的一个类似情况的案例的处理结果恰好相反,在针对 Fundacja ePanstwo的调查行动中,当局认定处理从登记机构获得的公开数据并不违反数据保护法律。当然,Fundacja ePanstw案件稍有不同的是,Fundacja ePanstw本身就是一个官方组织,其具体情形可能有所不同。
日本《个人信息保护法》第17条第2款第5项,当“该需要处理的个人信息已经被本人、国家机关、地方公共团体、第七十六条第一款各项规定的主体及《个人信息保护委员会规则》规定的其他主体公开的情形”,则个人信息处理业者可以无须事先取得本人的同意。[3]
加拿大《个人信息保护法》第15条第1款第5项,当“个人信息对公众来是可以获得的,公众可以通过符合本款规定的目的来源获取”时,可以不经个人同意使用个人信息。[4]
新加坡《个人数据保护法》附件二和附件三规定,当“个人信息是公开的”或者“个人信息是公众可以获取的”,就可以未经允许收集和使用个人数据。[5]
2、已公开的个人信息的理解
《个人信息保护法》第十三条第(六)项规定的“依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息”需要满足以下要件:
(1) 依照本法规定
本法即《个人信息保护法》,这意味着虽然可以不经过个人同意而处理已公开的个人信息,但是处理仍然要符合合法、正当、必要和诚信原则,仍然要控制在实现处理目的的最小范围等。
(2)合理范围
“合理范围”的界定几乎相当于对本条适用的范围的界定。《个人信息保护法》草案二审稿第二十八条原来的规定是,“个人信息处理者处理已公开的个人信息,应当符合该个人信息被公开时的用途。超出与该用途相关的合理范围的,应当依照本法规定取得个人同意。”但是这个“用途一致”原则在生效的《个人信息保护法》中被删除了,取而代之的是“合理范围”。由此可知,“用途一致”并不是“合理范围”,本书认为“用途一致”是判断“合理范围”的一种工具,但是属于不必要不充分条件。不必要条件意味着如果处理已公开的个人信息超出了被公开时候的用途,并非一概不合规。比如裁判文书网公开了某人欠债不还的事实,银行获悉该个人信息后拒绝向此人发放贷款,已经超出了裁判文书网公开个人信息时的用途,但银行基于信贷审核的需要处理已公开的个人信息显然是合规的。不充分条件意味着即便是用途一致,也可能出现不合规的情形。比如,现在最困扰行业的一个难点是,在互联网时代,对于已公开的数据的处理往往会极大的扩张数据的触达范围,这种扩大是否超出了合理的范围。比如用户接受当地媒体采访并被刊登该报纸的电子版。但是搜索引擎抓取后,用户的发言甚至肖像可以理论上触达每一个互联网用户。站在用户的立场,他可能未必希望自己的个人信息触达每一个互联网用户。本书认为,隐私合理期待理论可以提供一些借鉴。隐私合理期待理论起源于美国。最早在1967年的Katz诉美利坚合众国案(Katz v. United States)中确立,当时Katz使用的公共电话被联邦监听。Katz将联邦政府起诉到法院。美国最高法院最终采取了人民权益至上的做法,只要个人的主观意愿并非想要公之于众并主动避免引起关注,即便是个人在公共场合的行为也应当受到保护。简单说,隐私合理期待理论可以从主观方面和客观方面加以理解,主观方面指的是行为人自己主观上希望其某个行为属于隐私,不被他人侵扰;客观方面指的是社会公众认可该行为可以合理的属于隐私。当然,隐私合理期待理论本身在互联网时代因为大数据等技术的发展 ,已经受到很多挑战,但是这些挑战更多是技术层面的挑战,尚不足以影响该理论的适用。
“合理范围”还意味着不能对已公开的个人信息进行除了降低识别性以外的增删,例如擅自修改个人信息、增加其他内容-即便是增加的是真实的内容也未必合法。关于这一点,《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》第九条提供了一些借鉴性思路。[6]
(3)个人自行公开
有观点认为,所谓公开,是指信息主体向不特定的人公开,即不特定的人都可以通过合法的途径而获取该信息。[7] 这就排除了特定范围公开的情形。例如当今的一些社交工具,需要成为“好友关系”才可以看到用户公开的内容,比如微信的朋友圈。那么这种公开就不属于个人自行公开的情形。可以说,这种观点在大多数场景下都是合理的,但是是否存在遗漏一些场景的可能?既然“合理范围”是限定,如果其能有效的发挥作用,那么即便是特定范围公开的情形,似乎也可以未经同意而处理。还是微信朋友圈的例子,用户在发布微信朋友圈的时候,是明知其发布的内容会被其好友看到并可能加以传播的-甚至有的时候,传播正是发布微信朋友圈的用户的内心期许。如果说传播到互联网上从而导致尽人皆知一般不合规,但是在小范围内传播,比如将朋友圈内容通过截屏或者下载的方式予以转发,一般不会违背个人最开始发布这些信息的初衷,那么再以这些信息不属于“已公开”为由赋予个人强控制,则会违背信息自由流动的价值取向。立法者或许已经预见到了这个“陷阱”,所以才在《个人信息保护法》第二十七条赋予了个人一定的救济,换句话说,如果不满足行使这些救济条件的话,个人一旦给出了信息,不管给出的方式是向不特定的人,还是特定的人,就应当准许其在合理范围内自由流动。
(4)其他已经合法公开
其他已经合法公开,从字面含义理解自然指的是非由个人公开,且不论个人是否同意公开,其他机关、部门或个人合法的将信息公开。典型的例子就是政府信息公开制度和裁判文书公开制度,这些公开背后都有相应的价值取向作为支持。例如,《政府信息公开条例》第一条就规定,为了保障公民、法人和其他组织依法获取政府信息,提高政府工作的透明度,建设法治政府,充分发挥政府信息对人民群众生产、生活和经济社会活动的服务作用,制定本条例。《最高人民法院关于人民法院在互联网公布裁判文书的规定》在前言部分指出,为贯彻落实审判公开原则,规范人民法院在互联网公布裁判文书工作,促进司法公正,提升司法公信力,根据《中华人民共和国刑事诉讼法》《中华人民共和国民事诉讼法》《中华人民共和国行政诉讼法》等相关规定,结合人民法院工作实际,制定本规定。 公安机关在追逃、通缉嫌疑犯时,必然会公开嫌疑犯的肖像等信息,任何公民都可以将公安机关公开的嫌疑犯信息予以转发。不光是机关、部门,个人也可以合法公开他人信息,例如某导游发现有游客下落不明而发帖求助,其他网友看到后可以通过朋友圈等社交工具予以转发。虽然最初的发帖和后续的转发,都可以根据《个人信息保护法》第十三条第一款第(四)项的“紧急情况下为保护自然人的生命健康和财产安全所必须”作为处理个人信息的事由,但是也可以说导游的发帖属于“其他已经合法公开”,网友的转发则是基于该事由的“二次公开”。
(5)告知和个人拒绝权
除了《个人信息保护法》第十三条外,第十七条和第二十七条也对处理已公开的个人信息提供了一些规定。第十七条规定,个人信息处理者在处理个人信息前,应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项:(一)个人信息处理者的名称或者姓名和联系方式;(二)个人信息的处理目的、处理方式,处理的个人信息种类、保存期限;(三)个人行使本法规定权利的方式和程序;(四)法律、行政法规规定应当告知的其他事项。前款规定事项发生变更的,应当将变更部分告知个人。第二十七条则规定,个人信息处理者可以在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;个人明确拒绝的除外。个人信息处理者处理已公开的个人信息,对个人权益有重大影响的,应当依照本法规定取得个人同意。
首先,信息处理者处理已公开的个人信息负有告知的义务。《个人信息保护法》在第十八条规定了可以不告知的例外情形,仅限于“有法律、行政法规规定应当保密或者不需要告知的情形的,可以不向个人告前条第一款规定的事项。”《个人信息保护法》在第三十五条则规定国家机关处理个人信息,“告知将妨碍国家机关履行法定职责的除外”。处理已公开的个人信息显然是不需要保密的情形,那么豁免告知义务的可能性从理论上只能是“法律、行政法规规定的不需要告知的情形”和“告知将妨碍国家机关履行法定职责的除外”。由于“告知将妨碍国家机关履行法定职责的除外”适用场景的有限性,豁免告知义务的主要依据将是“法律、行政法规规定的不需要告知的情形”。目前,尚无任何法律或者行政法规规定处理已公开的个人信息可以不告知,而且从法律推理上判断,第二十条规定的“个人明确拒绝的除外”必然要求个人能够知晓其已经公开的个人信息被再次处理,而不是依赖个人主动去发现。有观点认为,对于合法公开的信息是可以合理利用的,要求处理者告知个人也没有实际意义。[8]这种观点忽略了个人有效行使拒绝权的意义,以及不告知缺乏法律和行政法规支撑的事实。
其次,既然要告知,那么应该是事先告知,还是事后告的区别也很大。本书人认为,我国也应该参考GDPR事后告知的做法-GDPR第14条规定如果数据不是从数据主体处获得,数据处理者应当在不迟于获得个人数据后一个月内通知到数据主体。但是,这又与我国《个人信息保护法》第十七条规定的事先告知违背,特别是第十八条规定的不需要事先告知的例外情形明显不包括处理已公开的个人信息,采用事后的拒绝权目前恐怕缺乏合法性的基础。这个问题,恐怕只能修法的时候解决。
第三,告知的方式包括逐一告知和统一告知。两者的最大区别在于,逐一告知将会极大的增加数据处理者的成本,而且即便是逐一告知,也存在是否可以通过群发短信或者邮件的方式告知,还是必须纸质告知的情况。本书认为,应当允许通过群发短信或者邮件的方式告知,否则将会极大地阻碍信息的自由流动。至于统一告知,其方式是类似于隐私政策模式的告知,但是肯定不能将处理已公开个人信息的告知放入隐私政策中,而是需要采取更显著的方式。本书认为,不宜一刀切的采用逐一告知或者统一告知,而是坚持以统一告知为主,逐一告知为辅的做法,所谓“为辅”指的是当已公开的个人信息对个人存在潜在的重大影响时,应当单独告知个人,在某些情况下,甚至应当事先告知。留给司法自由裁判权的是判断何为“重大影响”。
第四,既然有告知义务,就应该有告知的豁免。参考上文中介绍的发生在波兰的Bisnode案件,Bisnode公司就援引了GDPR第14条第5项的(告知将产生)“不成比例的代价”抗辩其不告知是可以被豁免的。我国《个人信息保护法》对于处理已公开的个人信息的告知豁免的范围明显比GDPR更窄,仅在第十八条规定了非常有限的情形。
最后,《个人信息保护法》虽然规定了个人的拒绝权,但是个人的拒绝权不是绝对的,因为已公开的个人信息分为个人自行公开和其他合法公开两种。对于个人自行公开的信息,个人一般可以自由行使拒绝权,但是对于其他合法公开,例如政府信息公开、企业登记信息公开等,具有公众知情权等价值取向,个人不能一慨而论的行使拒绝权,需要个案判断。
[1] 个保法的该项规定来源于《民法典》,其第一千零三十六条规定,处理个人信息,有下列情形之一的,行为人不承担民事责任:(二)合理处理该自然人自行公开的或者其他已经合法公开的信息,但是该自然人明确拒绝或者处理该信息侵害其重大利益的除外;
[2] 参考Bisnode receives first Polish GDPR fining decision over scraped data - Lexology; Poland Imposes Fines for Web-Scraping of Personal Data When Notification to Individuals Did Not Occur – Achieved Compliance Solutions; 2021年12月4日访问
[3] 程啸:《个人信息保护法理解与适用》,中国法制出版社,2021年9月第1版,第138页
[4] 李爱君,苏桂梅主编:《国际数据保护规则要览》,法律出版社,2018年4月出版,第53页
[5] 李爱君,苏桂梅主编:《国际数据保护规则要览》,法律出版社,2018年4月出版,第432、435页
[6] 《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》第九条:网络用户或者网络服务提供者,根据国家机关依职权制作的文书和公开实施的职权行为等信息来源所发布的信息,有下列情形之一,侵害他人人身权益,被侵权人请求侵权人承担侵权责任的,人民法院应予支持:
(一)网络用户或者网络服务提供者发布的信息与前述信息来源内容不符;
(二)网络用户或者网络服务提供者以添加侮辱性内容、诽谤性信息、不当标题或者通过增删信息、调整结构、改变顺序等方式致人误解;
(三)前述信息来源已被公开更正,但网络用户拒绝更正或者网络服务提供者不予更正;
(四)前述信息来源已被公开更正,网络用户或者网络服务提供者仍然发布更正之前的信息。
[7] 程啸:《个人信息保护法理解与适用》,中国法制出版社,2021年9月第1版,第138页
[8] 程啸:《个人信息保护法理解与适用》,中国法制出版社,2021年9月第1版,第186页