从裁判案例看已公开个人信息的合理化使用范围界定

来源:宁人律师事务所

文章摘要
前 言 随着互联网和大数据技术的快速发展,已公开个人信息被广泛收集、存储和利用,这在给人们的生活带来便利的同时,也带来了诸多风险和挑战。

前 言
随着互联网和大数据技术的快速发展,已公开个人信息被广泛收集、存储和利用,这在给人们的生活带来便利的同时,也带来了诸多风险和挑战。我国法律对已公开个人信息保护作出了明确规定,但在司法实践中,如何界定已公开个人信息的合理化使用范围仍存在争议。本文旨在通过对现行法律及既有裁判案例的分析,探讨已公开个人信息的合理化使用范围,为企业处理已公开个人信息的合法、合理利用提供相应的合规建议。
一、合理使用的法定依据
我国《民法典》和《个人信息保护法》都对如何处理已公开个人信息作了规定。《民法典》第1036条第2项规定,合理处理自然人自行公开的或者其他已经合法公开的信息的,行为人不承担民事责任,但是自然人明确拒绝或者处理该信息侵害其重大利益的除外。《个人信息保护法》第十三条第6项规定“依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息”,不需取得个人同意。《个人信息保护法》第二十七条规定 个人信息处理者可以在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;个人明确拒绝的除外。个人信息处理者处理已公开的个人信息,对个人权益有重大影响的,应当依照本法规定取得个人同意。由上述法律规定可以看出,对于自然人自行公开和其他已经合法公开的信息,数据处理者可以对其进行合理使用,但是自然人明确拒绝或者处理该信息侵犯其重大利益的情形除外。
二、个人信息公开的合法类型
公开通常是指将信息置于非特定人群可以随意访问的状态,无需任何特殊权限或努力即可获取。依据《个人信息保护法》,个人信息公开的合法类型包括自然人自行公开和其他已经合法公开两种。
(一)自然人自行公开的个人信息
所谓自行公开,是指自然人依据自己的意愿,通过自主行为而公开或披露个人信息,也就是说,自然人主观上意识到行为的后果并通过积极的行为将其个人信息向外界披露【1】。例如,某些教授为了学术交流和联系的方便,将自己的办公室电话、电子邮箱和通信地址等信息在个人学术网页上加以公开,从而使得这些个人信息进入了公共领域,任何不特定的人均可以获得。
如果自然人只是在小范围内(如在微信群中)发布了一些个人信息,并不意味着其自行公开个人信息,他只是将个人信息向特定的一些人公开。如果有人将这些个人信息发布给其他人,其行为仍构成对个人信息权益的侵害。
(二)其他已经合法公开的个人信息
其他已经合法公开的个人信息是指自然人自行公开的个人信息之外的其他已经合法公开的个人信息。首先,该个人信息已经处于公开的状态;其次,该个人信息是合法公开的。具体而言,合法公开的个人信息主要包括以下三类:
1.依据行政机关的行政行为而强制公开的个人信息,即因政府机关履行法定职责时公开的个人信息。例如:
《证券法》第78条:发行人及法律、行政法规和国务院证券监督管理机构规定的其他信息披露义务人,应当及时依法履行信息披露义务。信息披露义务人披露的信息,应当真实、准确、完整,简明清晰,通俗易懂,不得有虚假记载、误导性陈述或者重大遗漏。证券同时在境内境外公开发行、交易的,其信息披露义务人在境外披露的信息,应当在境内同时披露。
《专利法》第34条:国务院专利行政部门收到发明专利申请后,经初步审查认为符合本法要求的,自申请日起满十八个月,即行公布。国务院专利行政部门可以根据申请人的请求早日公布其申请。发明专利的公布对社会具有重要意义,它不仅促进了最新技术的快速传播,使企业和研究机构能够及时了解技术发展的最新动态,从而制定相应的发展战略,还能避免其他研究者的重复劳动,减少研发过程中的资源浪费。该规定中要求公布的发明专利申请中有关个人信息,也属于其他已合法公开的信息范畴。
《企业信息公示暂行条例》第89条,企业通过国家企业信用信息公示系统向市场监督管理部门报送上一年度年度报告,并向社会公示。企业的年度报告中涉及个人信息的内容如“企业为有限责任公司或者股份有限公司的,其股东或者发起人认缴和实缴的出资额、出资时间、出资方式等信息”“有限责任公司股东股权转让等股权变更信息”等,这些虽然属于个人信息,但是依法应当作为企业的信用信息加以公开。
2.依据司法行为而公开的个人信息
主要是指人民法院依法公开裁判文书中涉及的个人信息。依据《最高人民法院关于人民法院在互联网公布裁判文书的规定》,人民法院作出的裁判文书除涉及国家秘密、未成年犯罪等不应该公开的情形外,都应当在互联网上公开。人民法院在互联网公布裁判文书时,应当删除“自然人的家庭住址、通讯方式、身份证号码、银行账号、健康状况、车牌号码、动产或不动产权属证书编号等个人信息”“家事、人格权益等纠纷中涉及个人隐私的信息”等信息,但是,有些个人信息仍然应当在裁判文书中保留。该《规定》第11条第1项,除根据本规定第八条进行隐名处理的以外,当事人及其法定代理人是自然人的,保留姓名、出生日期、性别、住所地所属县、区。在“梁某冰与北京汇法正信科技有限公司网络侵权责任纠纷案”中【北京市第四中级人民法院(2021)京04民终71号】,原告以被告转载的法院判决文书中包含其姓名、性别及相关民事纠纷等个人信息,构成对其个人信息权益的侵害为由提起诉讼。法院认为,裁判文书中包含的前述信息属于个人信息,但是,被告使用的裁判文书信息,来源于权威司法机构的公开,而并非个人的授权。由于裁判文书承载个人信息,在同一信息载体上出现了利益主体的竞合,被告在再度利用裁判文书等司法数据时,不可避免地会再现原告的个人信息。如果经司法公开的数据,社会其他主体不得再度转载、利用,一方面将损害司法公开制度,损害公众因该制度所受保护的知情权、监督权等公共利益;另一方面,将使得上述数据被司法机关独家垄断,与司法数据公有、共享的理念不符,故其他数据利用主体可对司法公开的数据,在一定条件下进行再度利用。
3.个人信息处理者取得个人单独同意后所公开的其处理的个人信息。
《个人信息保护法》第25条规定:“个人信息处理者不得公开其处理的个人信息,取得个人单独同意的除外。”例如,某单位在评选某荣誉时,就申报该荣誉的人是否愿意公开其个人信息而逐一取得同意后,将申报者的个人信息在评选网站上加以公开。
三、已公开个人信息合理化使用的范围界定
根据《信息安全技术个人信息处理中告知和同意的实施指南》(GB/T 42574-2023)第6.2.5条:合理范围内处理是指个人未明确拒绝处理、处理未显著违背个人公开目的且未对个人权益造成重大影响。处理已公开个人信息的合理范围应当满足下面四个要件。
1. 个人未明确拒绝处理
依据《民法典》第1036条和《个人信息保护法》第27条的规定,个人信息处理者在个人未明确表示拒绝的情况下,可以处理已公开的个人信息,但是,只要个人明确拒绝的,个人信息处理者就不得处理,即便此种处理是在合理的范围内。如果处理者在个人明确表示反对的情况下,仍然处理的,构成对个人信息权益的侵犯,应当依法承担民事责任。在判断个人是否有效行使拒绝权时,法院通常会参照网络侵权领域中的“通知-删除”规则,重点考察个人信息主体是否发出了有效的拒绝通知,以及个人信息处理者是否具备相应能力并已实际采取相应措施。
(2019)京0491民初10989号案中,原告通过被告网站提供的问题反馈渠道,提供了身份证明、涉案信息的具体链接地址、要求删除理由及初步证据,满足了有效通知的要求。法院认为,被告在其有能力采取相匹配必要措施的情况下,未给予任何回复,导致涉案侵权损失的进一步扩大,构成对原告个人信息权益的侵害。
2. 未显著违背个人公开目的
个人信息处理者在处理已公开的个人信息时,应当符合该个人信息被公开时的目的。
①如果是个人自行公开的个人信息,其在公开时可能已经明示了公开目的,或者可以从公开时的具体因素判断其公开的目的。例如,A教授在学院网站上的个人主页上,提及“欢迎同行进行学术交流、联系课题合作事宜”,随后公开了其联系电话、电子邮箱等个人信息。应当认为,这就是公开个人信息的目的。
②如果是个人信息处理者取得个人的单独同意而公开其处理的个人信息,那么在取得个人同意前,该处理者必须告知公开个人信息的用途,该用途就是个人信息公开的目的。
③依据行政行为或法院的裁判文书而公开个人信息,也有其相应的法律法规所确定的目的。例如,最高人民法院的中国裁判文书网在所发布的裁判文书下方均有一段《公告》,其第三项内容为:“本裁判文书库信息查询免费,严禁任何单位和个人利用本裁判文书库信息牟取非法利益。”该《公告》明确了裁判文书所公开的个人信息不得用于非法牟利。在苏州贝尔塔数据技术有限公司与伊某一般人格权纠纷案中【(2019)苏05民终4745号】,针对贝尔塔公司最初转载并公开文书的行为是否侵害原告的个人信息权益问题,法院认为,本案中,涉案文书已在互联网上合法公开,贝尔塔公司基于公开的渠道收集后在其合法经营范围内向客户提供、公开相关法律文书,属于对已合法公开信息的合理使用。虽贝尔塔公司转载并再次公开裁判文书及公告文书具有吸引潜在客户加入其注册会员之意图,具有实质盈利的目的,但盈利并不等同于谋取非法利益,也不属于《中华人民共和国民法总则》第一百一十一条规定的非法使用、提供或公开他人个人信息的行为,故贝尔塔公司最初转载并公开之行为,应认定为并不构成侵权。显然,法院在该案中主要审查了被告使用裁判文书的目的是否为谋取非法利益,因为裁判文书网公开时明确了不能用于谋取非法利益。因此,只要不是牟取非法利益,就没有违反裁判文书网公开个人信息的目的,也就属于在合理的范围内处理个人信息。
3. 未对个人权益造成重大影响
根据《个人信息保护法》的相关规定,当处理公开的个人信息可能对个人权益产生重大影响时,信息处理者应当依法获得个人的同意。对个人权益有重大影响,通常是指个人信息处理者处理已公开的个人信息可能对信息主体的生命、健康、名誉、隐私等人格权益或财产权益带来不合理的风险。依据《个人信息保护法》第55条【2】第五款规范内容来看,处理敏感个人信息、利用个人信息进行自动化决策、委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息、向境外提供个人信息都属于对个人权益有重大影响的个人信息处理活动。
以信息自动化决策为例,在大数据和人工智能技术的助力下,经营者可以通过对消费者消费习惯、个人兴趣爱好等信息进行整合处理,并进行智能分析,提供具有某种偏好性的产品或服务推荐。由此,可能导致消费者的合法权益受损。在麦某波、北京法先生科技有限公司等网络侵权责任纠纷案中【(2022)粤0192民初20966号】,被告使用原告已公开的个人信息进行用户画像,并公开分析结果以辅助平台用户做出决策,属于自动化决策的一种形式。然而,由于其算法所分析的信息与实际情况存在较大出入,没有客观地反映原告的职业能力,被告无法确保自动化决策的透明性以及处理结果的公平公正,法院认为构成了对原告个人信息权益的侵犯。为此,《个人信息保护法》第24条对数据产业下的自动化决策进行了必要性规制,即通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。
除了前述自动化决策场景之外,个人信息处理者在处理已公开的个人信息时,还必须全面考虑信息的数量、敏感程度以及具体的应用场景等多个因素,以此来判断该处理行为是否可能对个人权益造成重大影响。根据《个人信息保护法》第55条,如果处理已公开的个人信息可能会对个人权益造成重大影响的,个人信息处理者还应当事前进行个人信息保护影响评估,并对处理情况进行记录。
4. 个人信息处理者仍应尽到注意义务,保障信息的完整和准确性
《个人信息保护法》在第一条中明确了其立法目的包括“促进个人信息合理利用”,意在平衡个人信息保护与信息利用之间的关系。在司法实践中,法院除评判已公开个人信息处理行为的合法性之外,还会考虑其处理结果对个人产生的影响。个人信息处理者可以在合理范围内处理已合法公开的个人信息,但应当尽到相应的注意义务,并保障信息的完整和准确。
王某与北京某科技有限公司人格权纠纷案系北京互联网法院在2023年11月1日发布的个人信息保护典型案例之一,该案原告王某发现可在被告开发运营的互联网服务产品“XX 搜索”中搜索到自己的相关信息,包括基本信息、职业照和“擅长领域”“案例数量趋势”“最新案例”等。原告认为,其中职业单位和案件数量有误,导致受众不当评价,构成侵权,故诉至法院。被告辩称“XX搜索”仅汇总网络公开信息,不能保证信息绝对准确,并已停止服务。法院经审理认为,被告所实施的处理行为系对已合法公开个人信息的处理行为,处理目的和方式尚属合理范围内,故该处理行为不直接构成违法处理行为。但被告展示的部分信息确存在不准确、不完整的情形,这可能导致该信息检索服务的受众对原告执业所在单位和任职经历情况产生误认或混淆,影响原告的执业声誉或业务来源,造成损害。因此,尽管处理行为本身不违法,但个人信息处理者仍需承担因未尽到注意义务而产生的法律责任。
综上所述,对处理个人自行公开或者其他已经合法公开的个人信息行为是否在合理范围内的界定,可以从信息主体是否明确拒绝、是否显著违背个人公开目的、是否对个人权益造成重大影响以及个人信息处理者是否已经尽到注意义务等方面综合考量。
四、处理已公开个人信息的合规建议
通过以上对已公开信息合理使用范围的分析,企业在处理已公开个人信息时应注意以下几点:



  1. 准确界定与识别已公开个人信息。企业需建立明确的处理规则,通过综合评估信息的公开范围、场合和方式等多个维度,结合具体应用场景来判定信息是否属于“已公开”类别。建议企业优先从不特定网络用户可自由访问的开放网络环境中收集个人信息,并确保在获取和处理这些信息时遵守相关的法律法规,以保障个人信息的合法来源和合规处理。

  2. 确保已公开个人信息处理具备合法性基础。虽然对于已公开个人信息的处理通常不需要获得个人的明确同意,但这并不意味着企业可以豁免告知义务。为了降低潜在的法律风险,建议企业通过制定并公开隐私政策、个人信息保护政策等措施来履行告知义务,确保用户的知情权得到保障。此外,对于可能严重影响个人信息权益的处理活动,还应提前进行个人信息保护影响评估,并依法取得个人同意。

  3. 完善个人信息主体权利请求响应机制。鉴于《个人信息保护法》明确赋予了个人在已公开个人信息处理活动中的拒绝权,并强调了个人信息处理者需建立便捷的个人权利行使申请受理和处理机制,企业应积极完善现有的个人信息主体权利请求响应机制。具体而言,企业可在现有机制中增加针对已公开个人信息反馈的专门处理规则和流程,确保个人能够方便地提出相关请求,并得到及时、准确地响应。

  4. 明确处理目的与方式,确保在合理范围内处理个人信息。企业在处理已公开个人信息前,应明确处理目的,并采取适当的处理方式。例如,当企业为优化商品或服务而搜集用户在公共平台发布的反馈信息时,可考虑对涉及的个人信息进行匿名化处理或实施更高级别的去标识化措施。这样可以确保已公开个人信息在被收集和利用的过程中不会超出必要的范围,同时保护用户的隐私权益,并遵循相应的法律法规。

  5. 强化监督,确保信息完整准确。企业在处理已公开个人信息时,应肩负起合理的注意义务,保障信息的完整性和准确性,以防止因信息错误而误导用户或对信息主体的权益造成损害。这要求企业采取有效措施,如定期审核信息内容,建立信息纠错机制等,从而确保所处理的已公开个人信息能够真实反映事实,降低潜在的风险。
    [注释]
    【1】程潇 《个人信息保护法理解与适用》,中国法制出版社 2021年版,第250页。
    【2】《中华人民共和国个人信息保护法》第五十五条有下列情形之一的,个人信息处理者应当事前进行个人信息保护影响评估,并对处理情况进行记录:(一)处理敏感个人信息;(二)利用个人信息进行自动化决策;(三)委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息;(四)向境外提供个人信息;(五)其他对个人权益有重大影响的个人信息处理活动。

技术驱动法律,专业成就未来