城市数字化转型中个人信息保护与大数据应用的冲突与规制

来源:中国上海司法智库

文章摘要
编者按 在城市数字化转型中,各方主体围绕着个人信息的利益冲突正在加剧,企业侵犯个人信息情况时有发生,政府信息公开与个人信息保护之间的关系需要厘清。

编者按
在城市数字化转型中,各方主体围绕着个人信息的利益冲突正在加剧,企业侵犯个人信息情况时有发生,政府信息公开与个人信息保护之间的关系需要厘清。对此,新制定的《个人信息保护法》也予以了规制,其后果集中体现在《个人信息保护法》合法性基础的设置上。经信息主体同意处理其个人信息是社会生活的常见情景,但随着个人信息背后值得挖掘的利益日益增长,无须信息主体同意的合法性基础将成为信息处理者处理个人信息时的“护身符”,故有必要加强对后者的理论研究。鉴于此,本文拟以已公开个人信息的合理处理规则为中心,围绕着处理已公开的个人信息之正当性、公开之判定、合理处理之外在程式与内在边界、越界处理的责任五个板块展开讨论,以期通过对已公开个人信息之合理处理规则的解释论作业,平衡好个人信息保护与数据合理应用的关系。
一、处理已公开的个人信息之正当性
欲解释《个人信息保护法》第13条第1款第6项、第27条之规定,须探明对已公开个人信息合理处理规则的正当性。认为,处理“个人自行公开的个人信息”与处理“其他已经合法公开的个人信息”的正当性基础虽有相同处,亦有所差别。以下详述之。
(一)对已公开的个人信息的共同正当性
《个人信息保护法》立法目的之一是促进个人信息合理利用。将已公开之个人信息纳入合理使用范畴,有助于促成这一目标实现。一方面,该规则增加了可利用的个人信息数量。另一方面,在理论上,“公开”本身可以相对清晰地向数据处理者传递出个人信息可被合理使用的信号。将个人信息是否“公开”作为判断其能否被合理处理的时点,可以降低处理者为合理处理个人信息所支出的信息成本,同样促进了信息的流通与利用,助力网络信息社会与数字经济的发展。
同时,将已公开的个人信息纳入合理处理的范畴,也与人们的基本认知相符。从社会互动的角度看,人们在互动时必须借助符号沟通,需要对由符号建构的情境有所定义。因此,个体也需要获取情境中的相关其他参与者的信息以定义情境,并着手制定各种反应的行动方针。既然所有人于互动中皆须在一定程度上利用他人信息,那么作为各自妥协的结果,对他人自行公开或其他合法公开之个人信息进行一定限度的利用,也就有了合理性。从言论自由的角度观察,尽管个人信息作为事实,与言论自由通常保护的意见在理论上或有所不同,但由于实践中事实与意见往往交织在一起共同出现在公共领域中,加之对信息的披露本身就可能构成意见,将已公开的个人信息作为言论自由对象也有一定的合理性与可接受度。若一切个人信息进入公共领域后,仍需征得信息主体的同意才能被合法处理,既会贬损法律的可执行性,又不利于信息社会的正常运转,或将导致以下局面发生:一是数据处理者因未取得同意而侵犯个人信息权益的情形会迅速增多;二是人们在传递分析观点时,为避免侵权或需剥离个人信息,推高了沟通成本。
综上,设置已公开个人信息的合理使用规则与人们既有认知相符,得促进信息合理利用,具有正当性。
(二)处理自行公开之个人信息的独特正当性
从信息主体的角度看,个人信息保护法之立法目的之一,在于保护个人信息权益、维护个人尊严。学说上将信息主体对个人信息所享有的人格性利益称为个人自决。而“个人得本诸自主决定的价值与尊严,自行决定,何时、及于何种范围内,公开其个人的生活事实”,是个人自决(信息自主)之应有之义。其中也包括信息主体有权在清楚明白信息处理的后果的情况下,自愿同意特定主体处理其个人信息。毕竟,如果信息主体没有同意他人利用个人信息之自由,则其人格尊严亦无法得到维护。因此,《个人信息保护法》第13条第1款第1项依从个人自决原理,规定了“个人信息取得个人的同意后方可处理个人信息”的合法性基础。
进一步,如果信息主体可以同意一信息处理者处理其个人信息,原则上也应能使多人处理信息。但如果立法只规定“知情同意”一项合法性基础(暂不考虑其他合法性基础),随着需要使用其个人信息的人数的增加,信息主体就必须对每个处理者之申请做出同意,方可阻却处理者之违法性。若此,信息主体为同意而支出的成本就会提高。若信息主体需要与潜在的第三人建立社会联系,这一成本亦会增高。面对上述局面,立法上也需要在“知情同意”外设置另外一种合法性基础,以降低个人“许可”他人使用个人信息的成本以符合个人自决原则。沿着这一思路,就会发现,“公开”是“同意”之外较能兼顾信息自由与信息自主的平衡点——信息主体既可充分权衡利弊以决定个人信息是否公开,又可以在公开的情境中表明希望自己的信息如何被处理的意愿,因此维护甚至拓宽了个人自决的空间;而公开后即无须反复同意他人处理信息,省去时间精力。
因此,自行公开的个人信息合理处理规则的运行机制,虽不同于《个人信息保护法》第13条第1款第1项意义上的“知情同意”规则(详见下文),但其正当性仍出于个人自愿的“许可”。有学者认为,这一合法性基础实际上是“受害人允诺”规则在个人信息法领域的进一步具体化。本文亦认为,在解释具体制度的构造时,应将个人自决的理念贯彻到底。
(三)合理使用其他合法公开的个人信息的正当性
其他合法公开的个人信息之公开,与信息主体之自行公开不同,未必有当事人自愿的因素。对于其正当性,除开促进信息流通,须结合合法公开依据的规范目的进行说明。因《个人信息保护法》第13条第1款第3项、第4项与第5项而公开之个人信息,皆可理解为本条规定的“其他合法公开”的个人信息,因此不同情形中的正当性或有所不同。如果依其他法律规范,相关个人信息应予公开,但依《个人信息保护法》却又一律限制了此类信息的二次处理,很有可能发生法秩序的不和谐。因此,基于法秩序的统一,立法规定了其他合法公开的个人信息之合理处理规则。
(四)小结
对已公开个人信息的使用之正当性在于促进信息流通,增进社会福利。在此基础上,对个人自行公开的个人信息的处理的正当性还源于个人自决;处理其他合法公开个人信息的正当性,需要通过分析其他规范的立法目的方能说明。
二、个人信息已公开之判定
(一)自行公开的个人信息认定标准
《个人信息保护法》第27条规定了“个人信息处理者可以在合理的范围内处理个人自行公开的个人信息”。该条文中的“自行公开的个人信息”可分解为三个构成要件:一是处理对象为个人信息;二是个人信息处于公开状态;三是个人信息由个人自行公开。而这三个要件都是以信息主体的意图与合理期望展开的。以下对要件二与要件三展开分析。
1.公开
对于公开要件,存在两种理解。观点一将公开理解为相对宽泛的概念,认为公开容有多种样态,存在着“在某个领域内公开”的情形。我国法院中也存在着类似观点,认为个人信息在客观上存在着“权利人愿意积极公开、一定范围公开或不愿公开等多种可能的情形”。如果《个人信息保护法》第27条之“公开”采前述理解,意味着对多数特定人披露信息也可能构成该条之“公开”。我国台湾地区“个人资料保护法”即采此见解。欧洲法院也有采类似观点者,典型案例如Esch-Leonhardt and Others v. ECB案。该案原告是欧洲中央银行的雇员,也是某工会成员。原告代表该工会向欧洲中央银行95%的员工发送了电子邮件。欧洲中央银行随后向原告发送邮件,告知他们违反公司准则,并将相关邮件存入原告的个人档案。原告要求被告将信件从个人档案中删除,因为其中包含了他们的工会成员的身份信息。但法院认为被告行为未侵犯原告个人信息权益,理由之一在于原告向银行内95%的员工发送了邮件,因此实际上原告系某工会成员的信息已经在欧洲中央银行内部“明显公开”了,因此欧洲中央银行可以合理处理该信息。观点二则认为,公开指的是向不特定的人公开,唯不特定的人都可以通过合法途径取得该信息,该信息才处于公开状态。
本文赞成观点二。理由如下。①从文义上,《个人信息保护法》中与“公开”一词最接近者系“提供”。观诸全文,“提供”在该法中有两种用法,一是“提供”某种产品或服务(如该法第3条第2款第2项、第16条),与公开无关。另一种表述出现第23条(“向其他个人信息处理者提供其处理的个人信息的,应当向个人告知接收方的名称或者姓名”)、第39条(“向中华人民共和国境外提供个人信息的,应当向个人告知境外接收方的名称或者姓名”)、第42条(“境外的组织、个人从事侵害中华人民共和国公民的个人信息权益……国家网信部门可以将其列入限制或者禁止个人信息提供清单”)与第55条第3款(“委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息”)等条文 。可以发现,立法者提及“提供”时,基本都预设了可以被特定的信息接收方。如果没有特定接收方,就难以构成信息提供。从《个人信息保护法》第55条第3款“向其他个人信息处理者提供个人信息”与“公开个人信息”并列的表述及同法第23条与第25条的关系看,设若立法者预设“提供个人信息”与“公开个人信息”在概念上互不包含,而“提供个人信息”又意味着信息处理者已被特定,那么公开个人信息就应该被解释为将个人信息公之于众,即向不特定的人开放。②我国国家市场监督管理总局、国家标准化管理委员会颁布的《GB/T35273-2020信息安全技术个人信息安全规范》第5.6条将“个人信息主体自行向社会公众公开的”个人信息作为收集使用个人信息无须同意之情形,也采观点二。从规范协调的角度,宜采《个人信息保护法》的已公开信息作相同解释。③比较法上,英国信息专员办公室(Information Commissioner’s Office,以下简称ICO)对《欧洲一般数据保护条例》(General Data Protection Regulation,以下简称GDPR)第9条第2款第e项敏感信息“明显公开”状态之判定,也采取第二种见解。尽管我国《个人信息保护法》已公开信息合理使用规则与GDPR有较大不同,但这一比较法见解不失为一参考。④如果对特定多数人披露信息构成《个人信息保护法》第27条之“公开”,就得进一步解释何为“多数”。对此,有学者认为应考虑特定多数人与信息主体的关系,若可期待所披露之信息不至于传播到一定社会网络上,又不宜轻率认定为当事人自行公开。可以发现,一旦引入特定多数人的概念,或将模糊公开边界之判定。加之,从个人自决的角度来看,即使立法没有为个人以较低成本“许可”一定范围的人合理处理其信息创设具体规则,信息主体完全也可以通过其意思表示实现这一目的。因此,就《个人信息保护法》第27条之“公开”,宜采观点二。至于《个人信息保护法》落地后审判实务的理解,有待观察。
2.自行公开
公开是一种事实状态,该状态由人之行为促成。因为自行公开之个人信息的合理处理规则建筑在个人自决的基础上,所以信息主体的意愿仍影响着自行公开的成立。由于他人通常难以探知信息主体内心之真实意图,所以对信息主体的公开意图的把握,即是否构成“自行公开”,原则上应采取理性第三人标准。
本文参考欧洲数据保护委员会(European Data Protection Board,以下简称EDPB)发布的一份文件,认为可通过衡量个案中的下列因素综合判定主体是否有公开之意图。①个人信息披露之平台的默认设置。比如信息主体是否更改了他们的访问对象。以“微博”平台为例。“微博”平台虽然是一个公共舆论空间,但随着其不断迭代,已经提供了“好友圈”等功能。当用户只在好友圈发送涉个人信息之博文时,仅互相关注之好友可见此博文,故不应认为博主有意公开个人信息。相应的,用户在好友圈功能出现后发送所有人可见之微博,较之该功能出现前,更易被认定为主动公开。②平台的性质。互联网平台设立之宗旨各有不同。有的平台旨在为用户运维较为紧密的人际关系(如在线约会平台),有些则意在成为帮助用户建立更广泛的人际关系(如专业关系)和分享在线评论的社交平台等。前者之典型应用如微信。学者多认为在微信朋友圈中发表涉个人信息之言论,一般不构成个人信息之公开,理由在于只有特定人可以获得该个人信息。针对部分微信用户设置了陌生人可查看其十条朋友圈,一般也不应理解为自行公开。理由在于,陌生人可见不等于不特定人可见。为访问任一用户朋友圈,需了解其微信ID,而这已涉及并非所有人都有能力知悉的个人信息。微信用户通过设置部分可见(而非全部可见)的行为,本身已是对陌生人的提防。这种在自己的朋友圈里适度向陌生人暴露的行为,一般宜被理解为愿意让少数非微信好友之人了解用户近况,而不宜被理解为愿意让他人使用主体的信息。③发布信息之页面的可访问性。即查明该信息是否可以公开访问,或者在访问该信息之前是否需要创建一个账户。访问信息的成本愈高,越不倾向于被理解为公开。④平台的隐私政策、用户协议,查明平台是否告知个人信息将被公开。⑤发布信息的主体。对于用户通过自己的账户发出发布指令,而后平台将涉个人信息之资讯公之于众,应认为由用户自行公开。但若是无明确授权者(如母亲未经儿子同意告知记者其子之个人信息)披露相关个人信息,不构成主体自行公开。⑥个人信息的性质。对敏感信息是否构成“自行公开”之认定,应严于一般个人信息。如果在判定敏感信息是否公开存有疑问,应推定信息主体未自行公开。
有学者还提出,对自行公开之解释,是否包括当事人不经意的公开(如说溜嘴)的情形,可能发生疑义。依本文理解,该争论涉及的更大问题是,信息主体内心的主观意愿有瑕疵或与客观上不符时,会产生何种后果、该如何平衡各方利益。对此,理论上可能存在两种方案。方案一认为不构成“自行公开”,因为信息主体的内心并没有公开的意思,他人无法凭借《个人信息保护法》第13条第1款第6项之合法性基础处理他人信息;但只要信息处理者对信息主体的内心意思并不知情,其“合理”的处理行为仍无过错,因此也不承担侵权损害赔偿责任。方案二认为构成“自行公开”,他人于合理范围内得合理处理,仅不得对当事人权益造成重大影响;信息主体可以通过行使拒绝权,限制他人的信息主体行为。二者之相同点在于,即使个人信息最终并未“自行公开”,一定范围内的处理行为均可能不构成过错行为。此乃采取理性人解释的必然结果,也符合社会运行的通常认知。但二者背后的价值取向仍有细微不同,前者较后者更重视个人自决。本文认为,应视不同情形采取不同方案。当信息主体因受胁迫而披露个人信息时,应认为个人信息未自行公开;至于其他情形,尤其是考虑到信息者处理信息时或有告知义务的情况下,一般应采方案二。就前述案例,本文认为,若信息主体在可以澄明自己说漏嘴且不希望他人处理此信息时未附此声明,应构成“自行公开”。顺带一提的是,如果将信息主体披露个人信息的行为解释为“受害人允诺”制度,那么其将有意思表示规则——尤其是意思表示错误规则——的适用。不过,由于撤销权的行使既须通过司法程序实现,又受到除斥期间的限制,效果上并不尽如人意。反观《个人信息保护法》第27条赋予信息主体的拒绝权均无前述限制,因此,信息主体完全可以通过行使拒绝权,实现设若其有重大误解之撤销权的全部功能。从这个角度看,讨论信息主体自行公开信息是否适用意思表示瑕疵的规则意义较小。
不过,值得注意的是,他人之所以可以合法处理自行公开的个人信息,与信息主体的个人意思密不可分。此合法性基础之根基一端仍系于意思自治。因此,应要求个案中信息主体有能力判断已公开之信息被他人利用所生的风险。从形式概念上,只要认为“自行公开”构成“受害人同意”,即可推导出此结果。至于自然人何时具备前述意思能力,目前似未见法学界就此问题专作讨论。依据受害人允诺制度之基本原理,该意思能力不同于行为能力,应在个案中判定。本文认为,由于《个人信息保护法》第31条规定,处理不满十四周岁者的个人信息,需要监护人同意。可见,立法不允许低于十四周岁以下者通过自行同意的方式让他人处理自己的个人信息。这一立法目的同样须贯彻在当事人自行公开个人信息的合理处理问题上。加之,《个人信息保护法》又将对于不满14岁之未成年人的个人信息列为敏感信息。综上,应当认为《个人信息保护法》第13条第1款第6项之得自行公开之“个人”须超过14周岁。
(二)其他合法公开的个人信息之认定
其他合法公开的个人信息之“公开性”认定,与自行公开之“公开”相同,均以不特定人可见为必要。如果个人信息系他人通过实施违法行为而公开,不属于“合法”公开的个人信息,他人不得对此进行处理。其他合法公开之个人信息,实践中主要有三类。一类是“履行法定职责或者法定义务”而公开的个人信息,其中主要涉及依据行政行为或司法行为而公开的个人信息。第二类系“因公共利益实施新闻报道、舆论监督等行为”而公开的个人信息。第三类是对因“紧急情况下为保护自然人的生命健康和财产安全”而公开的个人信息。前两类信息之公开多与公共利益相关,第三类信息之公开则与无因管理有密切关系。
(三)小结
《个人信息保护法》第27条“公开”之个人信息是否包括特定多数人可见之情形,存有争议。解释论应认为此条之“公开”仅指信息得为不特定人获取。他人可获取之个人信息是否系“个人自行公开”,须考量信息主体之意图,并综合多因素、站在理性第三人角度判定。自行公开个人信息之主体,应当具备相应的意思能力。其他已公开的个人信息是否得合理处理,须考虑信息公开的合法性。
三、合理处理的动态过程
处理已公开个人信息是一个动态过程,涉及到信息处理者是否需要履行告知义务、信息主体的拒绝权是否有行使限度的问题。而处理已公开个人信息动态过程,亦须把握其限度。此限度源于《个人信息保护法》之总、分则以及竞争法和刑法等相关规范。本部分将围绕着处理者的告知义务、信息主体拒绝权之限度与信息处理的尺度这三个子问题展开讨论,下一部分详细论述合理处理的边界。
(一)信息处理与处理者的告知义务
信息处理者在处理已公开之个人信息时,是否须履行《个人信息保护法》第17条规定的告知义务?对此,《个人信息保护法》未作明确规定,仅在第18条含糊规定:“个人信息处理者处理个人信息,有法律、行政法规规定应当保密或者不需要告知的情形的,可以不向个人告知前条第一款规定的事项。”“不需要告知的情形”是否包括处理已公开之个人信息的行为,有待进一步细化与澄清。
对此,有观点认为处理已公开的个人信息,无须履行告知义务。我国台湾地区“个人资料保护法”第9条第2款第2项规定,当公务机关或非公务机关依该法第十五条或第十九条规定,收集虽非当事人提供但系“当事人自行公开或其他已合法公开之个人资料”时,无须履行告知义务,理由在于任何人均可见,当事人亦能预见,自无必要再告知当事人。大陆有观点亦认为,行为人原则上可以无须告知信息主体,也无须取得其同意。因为对合法公开之个人信息本就得合理利用,且合理处理不承担责任,故要求处理者告知信息主体没有实际意义;若要求对已公开个人信息均须逐一告知并取得同意,成本巨大,不利于个人信息合理使用与数字经济发展。
本文认为,否定说的理由有一定合理性,但不应全然否定处理者的告知义务。理由如下。①《个人信息保护法》第7条规定了透明原则,要求信息处理者“公开个人信息处理规则,明示处理的目的、方式和范围”。作为总则之规定,该原则应约束处理已公开个人信息的活动,除非有其他特别的因素考量。②《个人信息保护法》第17条规定并未如第14条那样,在首句前设置“基于个人同意处理个人信息的”这一限定,可见该告知义务不仅限于“知情同意”这一合法性基础。这亦可结合该法第18条推知。《个人信息保护法》第17条先规定了处理者的告知义务,后仅在同法第18条第1款反面规定了无需告知的情形。结合总则的公开透明原则,应认为如非法律保密或不需要告知之情形,处理者皆应当履行告知义务。《个人信息保护法》第18条第2款规定了“紧急情况下为保护自然人的生命健康和财产安全”而处理个人信息的告知义务,该情形依据同法第13条第1款第4项属于无须当事人同意之情形,需要履行告知义务。《个人信息保护法》第35条规定:“国家机关为履行法定职责处理个人信息,应当依照本法规定履行告知义务;有本法第十八条第一款规定的情形,或者告知将妨碍国家机关履行法定职责的除外。”依据《最高人民法院关于人民法院在互联网公布裁判文书的规定》在履行法定职责之必要范围内处理个人信息,也属于《个人信息保护法》第13条第1款第3项无须信息主体同意之情形,但原则上同样需要履行告知义务。因此,可以认为凡须同意者皆须告知,但无须同意者未必不要告知。③信息主体的权利并未因公开而完全不受保护。《个人信息保护法》第44条、第45条及第46条规定的知情权、决定权、查阅、复制权等权能本身,均未限定属于“未公开个人信息的信息主体”,可见该权能之行使与信息主体是否公开信息并无多大关系。《个人信息保护法》第27条更进一步规定了已公开个人信息之主体的拒绝权。依学者之见解,处理者即便没有超出个人信息被公开时的用途,利用该信息从事的也不是对个人有重大影响的活动,那么个人仍有权在得知该处理活动后明确表示反对,从而禁止处理者处理其公开的个人信息。本文认为,至少对于处理自行公开之个人信息是否合理,根本标准原则上仍取决于信息主体。而欲保障信息主体实际上能够行使前述权能,尤其是拒绝他人合理处理之权能,必以信息主体了解个人信息被处理的目的等内容为前提。要求信息主体主动检索他人是否在处理自己之信息以行使拒绝权等权能,过度严苛且不切实际;而由分散各处的处理者告知信息主体各自处理个人信息的方式,则较为合理。如果处理者处理已公开个人信息时均无须告知信息主体相关事项,信息主体之权利将难以合理行使。比较法上,ICO同样认为,出于对信息主体权利的尊重,处理者应当告诉信息主体正在处理他们的数据。仅仅因为信息属于公共领域,不能自动免除透明度义务。④对个人自行公开之信息可合理处理之正当性根植于信息主体的自治。信息主体的“同意”并不意味着其彻底放弃了“知情”。从常情上看,事先的“同意”可能更需要“知情”以把握他人是否有滥用个人信息之风险。要求处理者履行告知义务,可以从根本上保障信息主体的个人自决、保障信息主体在不同语境下身份建构的自主参与。如果信息主体对自行公开之个人信息被处理之结果一无所知,信息主体可能会因为对无法预测之后果的担忧而降低公开个人信息之动力。
本文认为,就已公开个人信息的处理与告知义务的设置上,宜平衡好告知成本与信息主体的权益保护之间的关系,尽可能借由告知义务这一工具,让双方在互动中澄清合理使用中原本模糊的边界,激发信息处理者与信息处理的互动,促进信息主体的拒绝权发挥出合理的功能。就此,本文提出以下四项主张:①如果个人已经知悉处理者处理信息的目的与方式,或者处理者无法向信息主体履行告知义务或须付出不成比例的努力方可为之等情况发生时,处理者无须履行告知义务。但是如果妨碍告知的事由消除,就应当告知信息主体。该主张亦有比较法为支撑。②就已公开的敏感个人信息的处理,信息处理者有告知义务,此乃出于对信息主体的尊重,也能避免个人信息滥用的风险。③对信息主体在自行公开个人信息的同时明确了处理范围和目的,信息处理者于此范围内合理处理信息的,或可考虑不设置告知义务。理由在于,设置告知义务确实会增加信息处理者的成本,而信息主体在知晓他人处理后大概率不会再行使拒绝权。相反,如果信息主体于公开个人信息时未明确处理范围,则信息处理一般应予告知。④如果就处理者处理个人信息的方式,信息主体知情后也无法行使拒绝权拒绝处理,那么处理者或无须告知。上述几个主张就具体的情形得到的回答可能存在冲突,对此则需要进一步判断是否有告知义务的存在。处理其他合法公开之信息,或有无需告知之时,转载涉他人个人信息之裁判文书即属此例。
上述四项主张中含有或然判断的句式,实际上也折射出告知义务的性质本身,在已公开个人信息的合理处理规则的语境中,仍有进一步需要澄清之处。问题的关键在于,告知义务的违反,将承担何种不利后果?本文认为,处理行为是否具有违法性,不必然取决于处理者是否履行告知义务,但也与其是否告知有一定联系。申言之,一项处理行为可能需要履行告知义务,但如果没有履行,不必然导致处理行为具有违法性。信息主体所能请求的,只是知情权被侵害的救济。但是,在信息主体公开个人信息又未澄清合理处理的范围、信息处理者应告知信息主体处理个人信息之情况却未告知时,信息主体主张其先前处理行为违法的,法官在裁判时可以根据实际情况,对信息处理者的处理行为作出否定性评价。这也意味着,如果没有履行告知义务,处理行为更可能遭致违法的评价。
(二)信息处理与信息主体的拒绝权
《个人信息保护法》第27条第1句规定,个人信息处理者可以在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;个人明确拒绝的除外。该条规定了信息主体的拒绝权,系终稿新增设的规定,并未出现在先前的法律草案中。但是否凡个人明确拒绝他人处理已公开信息,个人信息处理者即不能使用呢?本文认为,信息主体的拒绝权有限度,其限度因信息是个人自行公开或其他依法公开而有不同。
1.拒绝他人处理自行公开之个人信息的限度
对自行公开之个人信息的合理处理,信息主体原则上可以拒绝。合理处理信息主体自行公开之信息的正当性基础之一,与“知情同意”规则并无差异,皆出于个人自决。根据《个人信息保护法》第15条第1款规定,“基于个人同意处理个人信息的,个人有权撤回其同意。”《个人信息保护法》第47条第1款第3项也规定,个人撤回同意的,个人信息处理者应当删除个人信息。基于平等原则,公开个人信息的主体原则上亦有权拒绝他人使用自身之个人信息。信息主体不能拒绝他人合理使用之例外,至少包括了《个人信息保护法》第13条第1款第3项、第4项前一种情形与第5项之情形。在这些情形中,立法者已预设了处理者无须信息主体之意思即可使用其个人信息的利益状况,决定了个人自决需让位于其他法益(主要是公共利益)。当他人处理已被个人自行公开之个人信息的同时,符合其他合法性基础的要件,信息主体不能借由拒绝权之行使,压制其他合法性基础之行使。以任某某与北京百度网讯科技有限公司名誉权纠纷一案为例。本案中,任某某在网络上自行公开反映出其行业经历的个人信息,个人信息被网络搜索引擎捕捉。故他人通过搜索引擎可以搜索到其任职经历。后任某某发现其过去任职的公司声誉不好,遂跳槽到相同行业的其他公司,并要求网络搜索引擎公司删除相关任职信息。于此就涉及到公众知的利益与信息主体的个人自决的冲突。如果一味地认为,个人自行公开的信息,就可以随意地抹去。那么理论上就意味着个人社会交往产生的一切信息都可以被裁剪,而这很可能推高交易成本,弱化道德机制、声誉机制发挥的空间,也不利于个人自我负责的建构。对此,法院亦正确地指出:“其行业经历的组成部分,与其目前的个人行业资信具有直接的相关性及时效性;任某某希望通过自己良好的业界声誉在今后吸引客户或招收学生,但是包括任某某工作经历在内的个人资历信息正是客户或学生藉以判断的重要信息依据,也是作为教师诚实信用的体现,这些信息的保留对于包括任某某所谓潜在客户或学生在内的公众知悉任某某的相关情况具有客观的必要性。任某某在与陶氏相关企业从事教育业务合作时并非未成年人或限制行为能力人、无行为能力人,其并不存在法律上对特殊人群予以特殊保护的法理基础。”
2.拒绝他人处理其他合法公开之个人信息的限度
他人处理其他已经合法公开之个人信息时,信息主体是否有拒绝权,须视其他法律规定之立法目的而定。以法院裁判文书上网与个人信息保护的冲突与规制为例。有一争议问题是:他人转载中国裁判文书网公开的涉及个人信息的法律文书,信息主体是否有拒绝权。对此,北京第四中级人民法院与苏州市中级人民法院的观点截然相反。有观点认为,在《个人信息保护法》的语境中,“当个人信息所有者明确拒绝时,网络服务提供者应当予以撤回或删除,亦或是进行匿名化处理。但案件中网络服务提供者拒绝删除,则属于侵犯个人信息。并且,若个人要求法院对含有个人信息的已公开的裁判文书进行撤回时,法院应当撤回。”
本文认为,首先,从目前既有现行法秩序看(即使从应然角度看未必如此,详见后文),各人民法院严格依照《最高人民法院关于人民法院在互联网公布裁判文书的规定》,对文书中个人信息做删减或保留后再将文书上网,导致文书中涉及的个人信息被公开,这种公开应为履行法定职责所必需(《个人信息保护法》第13条第1款第3项)。此时,信息主体无权要求法院撤回裁判文书,理由已如前述。公开裁判文书中涉及的个人信息均属于“合法公开的个人信息”。
其次,对“合法公开的个人信息”的再处理,个人有无拒绝“二次公开”之利益,仍需考量“合法公开”之法的理由,比较个人权益与及再处理的利益。从形式理由上,对合法公开信息之再次转载,实际上并不使得先前已公开之个人信息的公开范围发生变化,只是使他人的检索成本降低,是否具有违法性值得商榷。从实质理由上,文书上网的法律依据是《民事诉讼法》第156条规定(“公众可以查阅发生法律效力的裁判文书……”)与《最高人民法院关于人民法院在互联网公布裁判文书的规定》等相关规定。文书上网的理由及益处如下。一是具体规范秩序。“法律譬如人的身体,法院裁判为其筋骨血肉。”唯有透过案例,才能让人民群众透过个案裁判了解法规范的具体意义。二是促进法律进步。文书上网为法律人的研究提供素材,也为民众亲近司法提供机会。透过专业人士之案例研究与国民法感情之纠偏,可以促成法教义学的发展与立法的进步。三是方便公众监督。司法权作为国家机关的一部分,国家行为应当接受公众的监督。司法文书上网,符合司法公开的要求。通过文书上网可以倒逼相关问题的解决(比如提升法官的论证标准等),以促进司法公正、提升司法公信力。四是为类案检索、同案同判提供了基础。因此,鉴于二次传播更有助于前述公共利益的实现,个人亦不得拒绝转载裁判文书之人的合理使用行为。
自立法论上的应然状态观之,《最高人民法院关于人民法院在互联网公布裁判文书的规定》第11条似有可推敲之处。该条第1项规定“除根据本规定第八条进行隐名处理的以外,当事人及其法定代理人是自然人的,保留姓名、出生日期、性别……”其中,公开姓名之主要理由有:①满足公众获取真实信息的需要,利于媒体与一般民众的检索,避免对文书真实性的怀疑,以实现对司法的监督。②我国作为人口大国,由于重名等因素,单纯凭姓名对个人识别仍有一定难度,故不会给信息主体造成太大困扰。③通过实名公开,向社会提供真实的交易信息,有助于社会诚信体系的建立。但司法监督与知悉当事人的关联性是否如学者所说那般紧密值得怀疑,监督的核心似仅限于案件事实与法律适用过程,原则上不包括当事人之姓名、生日等等。诸如生日等信息,使自然人更易识别,却不会使检索变得便捷,与司法监督更无关联。裁判文书是否需要保留此类信息,值得商榷。比较法上,我国台湾地区对出生年月日、身份证与住所地等个人信息均不予公开,学者并进一步质疑姓名公开的正当性。而德国法上连当事人姓名亦不公开。根据比例原则,采取假名化亦可以起到去标识化的效果,也可以方便检索,且处理成本极低(使用文本编辑软件之“全部替换”功能即可),较之实名制公开当事人姓名对当事人权益侵害更小。综上,本文建议,未来宜修正《最高人民法院关于人民法院在互联网公布裁判文书的规定》第11条等相关规定,应将当事人的姓名、年龄等也一并遮蔽,如此方符合比例原则。
当然,如果各法院在公开裁判文书时在删减或上传文书时违反了《最高人民法院关于人民法院在互联网公布裁判文书的规定》,比如公布了身份证号码,则构成了对个人信息权益的侵害。此时,个人信息不构成“合法公开”,后续二次利用亦属侵权行为,信息主体自有权拒绝其使用。唯须注意,信息主体拒绝他人处理之客体,限于被非法公开的个人信息。他人对此若能在技术上删除违法公开的个人信息,同样无须全文删除裁判文书。
(三)小结
综上,信息处理者处理已公开的个人信息时,并非一概不用向信息主体告知信息处理的方式等内容。告知义务的违反,不必然导致处理行为被评价为违法行为,但在处理行为之合理边界原就不明晰时,处理者怠于履行告知义务,可能会让裁判者作出对处理者不利的评价。信息主体的拒绝权有行使限度。对个人自行公开之信息的合理处理,信息主体原则上有权拒绝;信息主体对信息处理者处理其他合法公开之个人信息有无拒绝权,须视其他立法目的而定。
至此,合理处理已公开个人信息的动态过程业已铺开。可对“知情同意”规则与自行公开的个人信息合理使用之运行模式做一比较,以辨明后者的运行特点。“知情同意”规制的情形是,信息处理者一般不掌握信息主体的个人信息,处理者必须先向信息主体履行告知义务后,主体再许可处理者处理个人信息。如果信息主体不同意,则处理者就不得处理信息。而后者则是信息主体先行公开了个人信息,使个人信息处于处理者可获取的状态,吸引处理者;而后处理者可以在合理范围内处理个人信息,并将处理方式等内容告知信息主体;只要信息主体没有明确拒绝,处理者就可以处理信息。可以认为,这两种合法性基础相结合,拓宽了信息主体个人自决的空间。
四、合理处理的边界
(一)信息处理不得侵害信息主体的重大利益
前述“信息主体事先同意——处理者处理并告知——信息主体再次考虑是否拒绝”的动态过程,仅为个人信息处理可能的外在程式。而信息处理之内在边界,仍需遵循不侵害个人信息主体之重大利益等规则。判定处理行为是否对个人权益有重大影响并非易事,对此可参考《个人信息保护法(三审稿)》第28条(《个人信息保护法》第27条的前身)的规定。三审稿第28规定:“个人信息处理者处理已公开的个人信息,应当符合该个人信息被公开时的用途。超出与该用途相关的合理范围的,应当依照本法规定取得个人同意。个人信息被公开时的用途不明确的,个人信息处理者应当合理、谨慎地处理已公开的个人信息。”虽然立法最终未采纳草案表述,但其修改只是为了与民法典有关规定的衔接,并非一无是处,解释论上仍有一定价值。
如果个人信息被公开时有明确用途,与该用途相关的范围应构成合理使用之边界。对自行公开个人信息之合理处理,本身即建筑在个人自决的基础上,所以当事人之意图应影响合理使用边界之判断。如果当事人公开了个人信息后,使用者得不考虑信息主体意思而任意使用个人信息,很可能造成已公开个人信息内容的改变、导致当事人社会形象被扭曲,进而影响其参与社会生活和人格发展权;最终导致愿意公开信息以供他人使用的人数将会降低,以至于实质上损害了促进信息流通的立法目的的实现。对于其他合法公开的个人信息,若明确了用途,亦应围绕该用途以及与之相关的用途展开处理,以符合其他规范的目的。而所谓用途相关,即个人信息处理者之处理目的与个人信息公开时的用途兼容即可,对此可参考GDPR第6条第4款之规定。
如果个人信息被公开时用途不明确,根据《三审稿》第28条第2款第1句规定,“个人信息处理者应当合理、谨慎地处理已公开的个人信息”,不得对个人有重大影响。有学者认为:“‘侵害自然人重大利益’的情形,是指该处理将有害于自然人的生命、身体、自由、财产或其他重大利益。”本文认为,处理行为是否对个人权益有重大影响的判断,不仅取决于信息主体所享有的利益,还取决于该利益与其他主体的利益、社会公共利益之间的比较。我们必须假设个案中数据处理者处理信息产生的有利后果与不利后果,估算该处理行为的净收益是否大于零。并在此基础上,比较所有可能的替代性决定(尤其是将其与“知情同意”规则),判断何者更有助于促进社会福利最优。在具体的衡量因素上,我们宜考虑信息主体的社会角色、个人信息之性质、信息主体与处理者的关系、处理目的是“合法目的”还是“非法目的”、处理目的出于公共利益或是个人利益、是否会提升信息主体的用户体验抑或是榨干消费者剩余、信息处理的风险、信息处理过程中的保护措施等因素判断。
此处尚须强调两点。宏观层面之法政策上,因为中国法为信息主体提供了拒绝权这一工具,并要求信息处理者处理公开个人信息时于一定情况下须履行告知义务,所以关于信息处理者处理个人信息是否对个人权益造成重大影响的判定,未必需追随GDPR等国家或地区之标准,不妨从宽认定,以促进信息流通与利用,除非涉及个人敏感信息的处理。本人若知而未提异议,一般应认为此时并未侵犯个人信息权益,无须再判定合理处理的边界。本人若知而异议且依据前文观点确实有权拒绝时,信息处理者不得再处理信息,否则即构成重大影响,构成侵权行为。
在微观层面上,个人信息之性质在判定是否对信息主体之权益造成重大影响仍具有重要意义。《个人信息保护法》第29条规定:“处理敏感个人信息应当取得个人的单独同意;法律、行政法规规定处理敏感个人信息应当取得书面同意的,从其规定。”立法所以将此处的“知情同意”限制在“单独同意”而非“一揽子同意”,就是为了让信息主体于同意前能对敏感信息之披露所可能造成的后果进行充分思考、单独评价。所以促其思考,系因基因、人脸、指纹、虹膜等生物识别信息的泄露与不当使用将使特定自然人被永久识别,对个人权益之影响深远而不可测,“容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害”。本文进一步认为,如果法律、行政法规规定处理敏感个人信息须采取书面同意之要式行为,应推定此类已公开个人信息之处理会对当事人之权益造成重大影响,即,处理此类信息仍需征得主体之同意方可为之。理由在于,一方面,并非一切敏感信息之合理处理皆须征得同意,GDPR与我国台湾地区的相关立法均未完全禁止已公开个人敏感信息之合理处理;另一方面,敏感信息确实与个人重大权益密不可分,因此我们必须依据现有法秩序之内在要求,划定一旦处理就极可能涉及个人重大权益之信息。据此,严于单独同意的书面要式,可以成为法律内置价值观的外部识别信号。一旦我们发现该信号,即可认为该类信息之处理原则上皆会对个人权益造成重要影响。从平等原则出发,如果立法对某些个人信息要求唯取得书面同意方能使用,我们也不应轻易让这一价值观被当事人“公开”所架空。
(二)信息处理不得违反社会公德、社会公益——从竞争法谈起
如前所述,个人信息上承载着多方利益。消费者所产生的个人信息,实际上也可能成为企业数据,承载着企业的利益。这并非是理论上的自娱自乐,既有之判例已表明类似立场。以上海汉涛信息咨询有限公司与北京百度网讯科技有限公司不正当竞争纠纷一案为例。该案中,北京百度网讯科技有限公司是“百度地图”产品的提供者,上海汉涛信息咨询有限公司是“大众点评”产品的提供者。“大众点评”上,有许多用户发表的关于商户的评论。这些评论面向全网公开,不特定人均可在“大众点评”上查看。北京百度网讯科技有限公司抓取了大量“大众点评”的评论,直接置于“百度地图”产品中,使用户可以直接在百度地图产品内获取完整的本地生活服务商户信息和消费者点评的内容,因此被诉至法院。从《个人信息保护法》的角度审视,可以发现用户发表的评论即使涉及个人信息(如行踪信息等),也早已“自行公开”,其他主体可以在合理范围内处理该个人信息。北京百度网讯科技有限公司抓取评论二次传播的行为,并不侵犯用户的个人信息权益。用户通常是允许杂糅着个人信息的对商户的评论广为传播的,因为此举可以促使商户更重视自身的声誉,提高其对服务水准。然而,一、二审法院均认为,上海汉涛信息咨询有限公司构成了对北京百度网讯科技有限公司的不正当竞争。理由有四。“第一,大众点评网的点评信息是汉涛公司的核心竞争资源之一,能给汉涛公司带来竞争优势,具有商业价值……第二,汉涛公司为运营大众点评网付出了巨额成本,网站上的点评信息是其长期经营的成果。点评类网站很难在短期内积累足够多的用户点评,因为每一条点评都需要由用户亲自撰写。点评类网站具有集聚效应,即网站商户覆盖面越广,用户点评越多,越能吸引更多的网络用户参与点评,也越能吸引消费者到该网站查找信息。此类网站,在开办的早期通常只有投入而没有收益,甚至需要额外支付费用吸引用户发布点评。只有点评数量达到一定规模,网站才有可能进入良性循环……第三,通过法律维护点评信息使用市场的正当竞争秩序,有利于鼓励经营者创新业务模式,投入成本改善消费者福祉。相反,将没有经营者再愿意投入巨额成本进行类似的创新性、基础性的工作,从而抑制经营者创新的动力。第四,在靠自身用户无法获取足够点评信息的情况下,百度公司通过技术手段,从大众点评网等网站获取点评信息,用于充实自己的百度地图和百度知道。百度公司此种使用方式,实质替代大众点评网向用户提供信息,对汉涛公司造成损害。百度公司并未对于大众点评网中的点评信息作出贡献,却在百度地图和百度知道中大量使用了这些点评信息,其行为具有明显的‘搭便车’、‘不劳而获’的特点。”《最高人民法院关于适用〈中华人民共和国反不正当竞争法〉若干问题的解释(征求意见稿)》第26条又进一步规定:“(第1款)经营者违背诚实信用原则和商业道德,擅自使用其他经营者征得用户同意、依法收集且具有商业价值的数据,并足以实质性替代其他经营者提供的相关产品或服务,损害公平竞争的市场秩序的,人民法院可以依照反不正当竞争法第十二条第二款第四项予以认定。(第2款)经营者征得用户同意,合法、适度使用其他经营者控制的数据,且无证据证明使用行为可能损害公平竞争的市场秩序和消费者合法权益,控制该数据的经营者主张属于反不正当竞争法第十二条第二款第四项规定的行为的,人民法院一般不予支持。”该条也可能在不久的将来通过。因此,处理者处理信息,除开不能对信息主体之利益造成重大影响外,尚须兼顾个人信息上可能承载的其他主体的利益,尤其是不能损害公平竞争的市场秩序与消费者的合法权益。商业道德和诚信原则同样应约束信息处理者的行为。
(三)小结
如果个人信息被公开时有明确用途,与该用途相关的范围应当构成合理使用之边界;如果个人信息被公开时用途不明确时,处理行为是否对个人权益有重大影响的判断,不仅取决于信息主体所享有的利益,还取决于该利益与其他主体的利益以及社会公共利益之间的比较。同时,信息处理时应遵守商业道德与诚信原则,不应忽略可能堆叠在个人信息上的其他主体的数据权益。
五、非合理处理的责任
(一)民事责任
《个人信息保护法》第69条规定了处理个人信息的侵权损害赔偿责任,采过错推定原则。在认定信息处理者是否具有过错时,必须平衡好各方主体利益,既要维护信息主体的合法利益,又要避免过低的责任门槛推高了经营者等主体的注意义务并引致大量的诉讼。其中,涉及处理公开个人信息之过错认定,有两个特别问题。一是他人处理虽已可获取但不构成自行公开的个人信息,如何判定处理者过错的问题。二是他人从权威渠道转载涉及违法公开的个人信息,是否构成过错侵权的问题。
关于前者,(2019)京0491民初10989号判决书可作为讨论的基础。本案中,原告将涉案照片上传至校友录网站,存储于校友录网站的服务器中。虽校友录网站(“www.class.chinaren.com”)的门户地址已无法访问,普通网络用户不能通过门户网站常规访问的方式查找到涉案照片信息,但由于校友录网站存放照片的精确服务器地址仍向用户开放,通常的搜索引擎爬虫技术仍可访问到涉案照片。百度网站在提供搜索引擎服务的过程中,爬取到校友录网站的涉案信息,当用户对其发出相关搜索指令时,提供相关搜索结果。原告要求被告停止侵权并赔偿经济损失。法院认为,被告作为“全网信息搜索引擎服务提供者,需对海量互联网信息进行搜索、存储、归目等技术处理,不应苛求其对所有信息是否侵权进行逐条甄别和主动审查”,对涉案信息并未进行超越搜索引擎中立服务目的的选取、编辑、推荐等理由,认为中立的搜索引擎服务提供者于未收到信息主体的通知前,基于用户搜索而提供对非属于裸照、身份证号等明显侵权或极具引发侵权风险的一般个人信息,并无过错。但于信息主体拒绝使用后仍不删除,构成过错侵权。此案见解,可资参考。
后者的典型案例如法律数据库转载带有他人身份证号码的裁判文书。或有观点认为如果从合法渠道转载涉及个人信息之裁判文书,若构成过错,或迫使第三方主体承担筛选政府信息公开中违法公开个人信息的繁重义务。但本文谨慎认为,若第三方主体系非仅提供中立的搜索服务的企业(如启信宝、企查查、北大法宝等),尤其其采取了数据分析、筛选(如法宝推荐)且通过会员制等方式提供转载涉个人信息的裁判文书等服务获得利益,似应承担更高的审查义务。既然《最高人民法院关于人民法院在互联网公布裁判文书的规定》已明白规定相关个人信息不许公开,此类主体对二次传播同样负有审查义务。若第三方未尽合理审查义务,应构成过错侵权。
(二)刑事责任
信息处理者获取已公开之个人信息后出售、提供的行为,是否构成《刑法》第253条之1的侵犯公民个人信息罪,存在较大争议。一方面,《个人信息保护法》第27条规定了信息处理者得合理处理已公开的个人信息,另一方面,《刑法》第253条之1第1款规定:“违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。”同时,《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第3条第2款规定:“未经被收集者同意,将合法收集的公民个人信息向他人提供的,属于刑法第二百五十三条之一规定的‘提供公民个人信息’,但是经过处理无法识别特定个人且不能复原的除外。”由此,就带来了上述问题。
对此,法学界目前主要存在以下几种观点。第一种观点认为,未经信息主体同意,信息处理者将已公开个人信息出售、提供,仍构成侵犯公民个人信息罪。入罪的理由如下。①已公开的个人信息仍具有识别性的根本属性,非法利用此类信息仍可能侵害私人利益。②立法规定的处理公开的个人信息得不经过个人同意,是以禁止将个人信息进一步扩散为前提,不论行为人是否以获利为目的。无论基于何种目的,出于对信息主体潜在意志的尊重,都不能随意将个人信息传播给他人。③“即使是企业主动公开,在法无明文规定的情况下,仍不能认定其为刑法保护的例外。虽说系企业主动公开,任何人均可基于此种公开而收集获取,并加以合理利用,但不得非法出售弁取非法利益。”
第二种观点认为,原则上,只要法律法规未明确禁止的处理行为,均应认为是“合理处理”,至少不应认定为犯罪。对于未明确限定公开场景的工商信息的收集与提供,应认为是“合理”范围。出罪的理由包括:①被害人在公开前应能预见信息公开行为的不利后果,选择公开的行为,尤其是公开一般个人信息的行为,得构成刑法中的被害人同意而具有出罪事由。②避免稀释司法资源。出售或提供已公开个人信息的案件,相对于未公开个人信息的案件,侦办难度相对较小。若一律均入罪,公安机关出于现实因素可能以前者为打击重点,反而不利于对未公开个人信息的刑法保护。③公开信息保护利益的适度减损得促进信息利用与沟通,增加社会效益。
第三种观点吸收了前两种观点中的合理部分,认为基于法秩序统一的原理,在刑法与民法规范的保护目的相一致的场合,刑法应当从属于民法,对于尊重信息公开目的前提下的对个人信息的合理处理,民法典、个人信息保护法等前置法均不反对,则不属于刑法保护的行为对象。对显然改变了个人公开其信息的目的和用途的处理行为,可以构成本罪。
本文认为,前述以“公开的个人信息仍具有识别性”的入罪理由,忽视了要构成《刑法》第253条之1第1款之罪名需“违反国家有关规定”,不足采之。而一律将出售个人信息获利行为纳入刑法打击范围,在《民法典》《个人信息保护法》等法律逐渐完善个人信息保护制度的语境下,是否与刑法的谦抑性背离,可再斟酌。此外,第一种观点与第二种观点中,都以尊重信息主体的意志的理由,分别推出有罪说和无罪说。这也反映出合理处理的边界模糊性及其对侵犯公民个人信息罪适用的影响。在理念上,应当认为第三种观点在操作方式上更为精细,更值肯定。值得注意的是,如果一行为在私法上不具有违法性,就无论如何不能构成犯罪;而私法意义上具有违法性的行为,不必然具有刑法上的违法性,仍然需要在刑法语境中进行二次违法性判断。因此,仍须进一步讨论《刑法》第253条之1第1款所欲保护的法益,以限制其适用范围。
结论
《个人信息保护法》与《民法典》将已公开的个人信息区分为个人自行公开之个人信息与其他合法公开之个人信息,这一区分有其意义。对已公开个人信息进行合理处理的正当性在于,此举能促进信息流通、增进社会福利。在此基础上,处理个人自行公开的个人信息的正当性还源于个人自决;处理其他合法公开的个人信息之正当性,需要通过分析其他规范的立法目的方能说明。所谓个人信息公开,应指不特定的人都可以通过合法途径取得该信息。对“个人自行公开”之理解,原则上应采客观解释;同时,自行公开个人信息的主体,应当具备相应的意思能力。其他已公开的个人信息是否得合理处理,须考虑信息公开的合法性。已公开个人信息的合理处理规则与“知情同意”规则之重大不同在于:前一情形中,当信息主体对处理者告知之内容已读不回,处理者仍可合理处理其个人信息;后一情形中,处理者若须处理相关信息必须先让信息主体知情,再征得其同意后,方能处理其个人信息。信息处理者处理已公开的个人信息时,并非全无告知义务。告知义务的违反,不必然导致处理行为被评价为违法行为;但在处理行为之合理边界原就不明晰时,处理者怠于履行告知义务,可能会让裁判者作出对处理者不利的评价。信息主体的拒绝权有行使限度。对自行公开之个人信息的合理处理,信息主体原则上有权拒绝;信息主体对信息处理者处理其他合法公开之个人信息有无拒绝权,须视其他规范的立法目的而定。如果个人信息被公开时有明确用途,与该用途相关的范围应当构成合理使用之边界;如果个人信息被公开时用途不明确时,处理行为是否对个人权益有重大影响的判断,不仅取决于信息主体所享有的利益,还取决于该利益与其他主体的利益及社会公共利益之间的比较。此外,信息处理时应遵守商业道德与诚信原则,不应忽略可能堆叠在个人信息上的其他主体的数据权益。对于非合理使用个人信息之民事责任,难点在于处理者之过错判定,对此须结合信息处理者的身份与提供的服务判定。对于非合理使用已公开之个人信息之刑事责任,触及到已公开个人信息的合理处理规则与《刑法》第253条之1第1款侵犯公民个人信息罪的协调问题,于此,刑法学上的部分观点因《个人信息保护法》之出台似有重新检讨之必要。

技术驱动法律,专业成就未来