从司法实践看已公开个人信息处理的合规要点

来源:大数据法律研究

文章摘要
数字化时代背景下,个人信息已成为社会运行和发展不可或缺的重要资源。已公开个人信息,作为个人信息的一个专门类别,其处理活动的合法性与合理性受到了广泛的关注。

数字化时代背景下,个人信息已成为社会运行和发展不可或缺的重要资源。已公开个人信息,作为个人信息的一个专门类别,其处理活动的合法性与合理性受到了广泛的关注。如何在满足信息流通需求的同时,充分保障个人信息权益,一直都是社会各界关注的焦点。本文将立足于司法实践的视角,通过分析和研究相关案例,梳理出法院在审理涉及已公开个人信息的纠纷案件时所采用的裁判逻辑和标准,从而为此类个人信息的合法、合理利用提供参考。
一、已公开个人信息处理规则概述
针对已公开个人信息的处理和保护,不同国家和地区采取了不同的立法模式。第一种模式认为,已公开的个人信息不属于个人信息范畴,因此被排除在隐私权的保护范围之外。美国的《加州消费者隐私法》(CCPA)就采取了这样的立场,规定“个人信息”不涵盖那些可公开获取的信息(publicly available information)。相比之下,另一种模式则没有将已公开个人信息排除在保护范围之外。在这种模式下,已公开信息的处理仍需要遵循一般的数据处理原则和合法性基础。例如,欧盟的《通用数据保护条例》(GDPR)对已公开的个人信息未作出特别区分,只是在处理敏感信息的条款中将“自行公开的信息”作为禁止处理的例外。
与此同时,我国的立法模式则对已公开的个人信息给予了特别的关注和规范,主要体现在《民法典》第1036条和《个人信息保护法》第13条、第27条。对于已公开个人信息的处理规则可以概括如下:(1)对于个人自行公开或其他已经合法公开的个人信息,个人信息处理者可以在合理范围内进行处理;(2)个人有权通过明确拒绝的方式反对其公开个人信息的处理行为;(3)在满足特定条件的情况下,个人信息处理者处理已公开的个人信息,可以免除获取个人同意的要求。从现有规定来看,与未公开的个人信息相比,个人信息处理者在处理已公开的个人信息时拥有更多的自由度,即无需获取个人同意的情况下,其处理行为就具备了合法性基础。然而,由于现有规定尚显宽泛,企业在实际操作中仍面临如何准确界定“已公开个人信息” 和“合理范围”的挑战。为了更准确地把握法律规定,我们需结合司法实践中的案例,深入分析和理解相关法律条文的具体应用,确保在尊重个人信息权益的同时,合理利用已公开的个人信息。
二、已公开个人信息处理的司法实践分析
在梳理相关案例的过程中,我们注意到法院在审理涉及已公开个人信息的案件时,通常会采用多角度综合评估的方法来判断信息处理行为是否合法。以下是法院普遍考虑的一些关键要素:
(一)个人信息的公开性认定
目前,我国立法中规定了两种个人信息的“公开”形式,分别是个人自行公开和其他合法形式公开。根据《个人信息保护法》和《信息安全技术个人信息处理中告知和同意的实施指南》(GB/T 42574-2023)第6.2.5条,已公开的个人信息包括但不限于:个人自行公开且已知悉或应当知悉可被不特定用户访问的个人信息;新闻媒体公开报道的信息;司法、行政机关依据法定职责向社会公众公布的信息。
需要注意的是,并非所有个人在公共互联网上发布的信息都能被简单归类为“已公开的个人信息”。法院在判断信息是否构成公开状态时,会综合考量多种因素,例如信息的发布方式、网络平台的特性、信息传播的广泛性以及信息公开的目的等,以评估信息是否属于“公开个人信息”。通过整理和分析现有的司法案例,我们发现法院对以下信息的公开性不予认可:
1. 匿名发布的信息
在北京四中院发布的典型案例——谢某与赵某网络侵权责任纠纷案中,法院认为,当权利人将私密信息匿名公开时,再传播者应尊重权利人隐名的意愿,不应以私密信息已公开为由,任意扩大信息公开的范围和内容。即使知悉相关情况的人可能通过匿名发布的信息识别出具体的个人,法院依然不认可将此类网络流传的信息视为“已公开的信息”。
法院的这一裁判理念体现了对个人信息匿名性的尊重和保护,同时也明确了信息传播者在处理已公开但匿名信息时应当遵循的行为准则。即便个人信息主体愿意让渡自己的隐私权益公开部分私密信息,由于其明显的匿名意图,这些信息不得被视为已公开的个人信息,进而被随意传播。
2. 限定目的、范围和用途的信息
“公开”一词在语义上通常指的是面向社会大众或不特定人群的信息披露。然而,在当前的互联网环境下,信息的传播方式发生了显著变化,这使得“公开”的真正含义变得更为复杂。法院在处理涉及个人信息公开性的问题时,会采取一种更为审慎的态度,不会仅仅依据信息是否在网络上发布来判断其是否构成“公开”,而是会进一步考察信息发布者的目的、信息的传播范围以及信息发布的平台等多个方面。
以(2019)京0491民初10989号案件为例,A网站的主要功能在于为校内社群提供社交服务。用户上传头像信息的初衷,是为了在熟悉的社群范围内进行正常的社交活动,并非出于陌生人交友或全网宣传推广等目的。然而,B公司的搜索服务使得这些信息能够被全网不特定用户检索获取,超出了用户授权范围,属于未经同意处理个人信息的行为。在检例第140号——柯某侵犯公民个人信息案中,法院也持有类似的立场。该案中,业主在委托房产中介时提供的个人信息,如姓名、电话等,仅用于中介提供服务时的联系,并不能视为业主同意或授权中介将这些信息公开给社会大众。对于柯某所提出的公开信息抗辩,法院并未予以支持。
因此,只有当个人信息主体自愿且明确地向整个社会或不特定人群披露其个人信息时,该信息方可被界定为“已公开的个人信息”。至于其他已合法公开的个人信息,则需考察其公开是否符合法律法规的要求。例如,个人信息处理者公开其处理的个人信息前应当取得个人单独同意。
(二)个人信息处理的合理范围认定
《民法典》和《个人信息保护法》均要求个人信息处理者在合理的范围内处理已公开的个人信息。根据《信息安全技术个人信息处理中告知和同意的实施指南》(GB/T 42574-2023),合理范围内处理是指个人未明确拒绝处理、处理未显著违背个人公开目的且未对个人权益造成重大影响。以下将基于这三个方面,并结合案例进行详细分析:
1. 明确拒绝处理
《个人信息保护法》针对已公开的个人信息处理,采用了“opt-out”机制,即个人信息处理者在个人未明确表示拒绝的情况下,可以处理已公开的个人信息。在判断个人是否有效行使拒绝权时,法院通常会参照网络侵权领域中的“通知-删除”规则,重点考察个人信息主体是否发出了有效的拒绝通知,以及个人信息处理者是否具备相应能力并已实际采取相应措施。
在(2023)粤01民终32870号案中,法院特别强调了“明确拒绝”的条件,除了要求拒绝的意思表达明确外,还需具有明确的指向性,即拒绝的内容必须与信息处理行为相一致。由于原告未能明确指出拒绝处理的个人信息内容,其拒绝事项无法溯及先前已完成的公开个人信息处理行为,因此不能要求被告对此前的处理行为承担责任。而在(2019)京0491民初10989号案中,原告通过被告网站提供的问题反馈渠道,提供了身份证明、涉案信息的具体链接地址、要求删除理由及初步证据,满足了有效通知的要求。法院认为,被告在其有能力采取相匹配必要措施的情况下,未给予任何回复,导致涉案侵权损失的进一步扩大,构成对原告个人信息权益的侵害。
2. 违背个人公开目的
当用户在社交媒体上公开分享其个人信息时,他们可能预期这些信息会在一定程度上被公开处理,但这种预期并不意味着个人信息处理者可以无限制地使用这些信息。法院可能会考虑用户公开信息的内容、公开的范围以及用户的明确意愿等因素,来判断信息处理方式是否超出了用户的预期和合理范围。
例如,在(2022)粤0192民初20966号案中,原告已公开的个人信息源于中国裁判文书网等公共渠道,属于其他合法公开的个人信息,而并非个人自行公开的信息。被告通过技术手段爬取了原告的个人信息,并在其平台上公开展示了原告的联系方式、执业证照片等信息,还错误地声称与原告存在合作关系以谋求商业利益。此行为明显逾越了处理已公开个人信息的合理界限,违背了处理个人信息时应遵守的合法性、正当性和必要性原则,侵犯了原告的个人信息权益。
3. 对个人权益造成重大影响
根据《个人信息保护法》的相关规定,当处理公开的个人信息可能对个人权益产生重大影响时,信息处理者应当依法获得个人的同意。依照《信息安全技术个人信息处理中告知和同意的实施指南》(GB/T 42574-2023),在自然人的信用评估、业绩评价、交易定价等方面实施的自动化决策,若直接对个人的人格尊严、人身安全和财产安全等产生显著影响,通常属于可能对个人权益带来重大影响的个人信息处理活动。
在(2022)粤0192民初20966号案中,被告使用原告已公开的个人信息进行用户画像,并公开分析结果以辅助平台用户做出决策,属于自动化决策的一种形式。然而,由于其算法所分析的信息与实际情况存在较大出入,没有客观地反映原告的职业能力,被告无法确保自动化决策的透明性以及处理结果的公平公正,构成了对原告个人信息权益的侵犯。
除了前述自动化决策场景之外,个人信息处理者在处理已公开的个人信息时,还必须全面考虑信息的数量、敏感程度以及具体的应用场景等多个因素,以此来判断该处理行为是否可能对个人权益造成重大影响。根据《个人信息保护法》的相关条款,如果处理已公开的个人信息可能会对个人权益造成重大影响的,个人信息处理者还应当事前进行个人信息保护影响评估,并对处理情况进行记录。
(三)个人信息处理者是否尽到注意义务,保障信息的完整和准确
《个人信息保护法》在第一条中明确了其立法目的包括“促进个人信息合理利用”,意在平衡个人信息保护与信息利用之间的关系。在司法实践中,法院除评判已公开个人信息处理行为的合法性之外,还会考虑其处理结果对个人产生的影响。个人信息处理者可以在合理范围内处理已合法公开的个人信息,但应当尽到相应的注意义务,并保障信息的完整和准确。
在王某与北京某科技有限公司人格权纠纷案中,法院认为被告所实施的处理行为系对已合法公开个人信息的处理行为,其处理目的和方式尚属合理范围内,故该处理行为不直接构成违法处理行为。然而,由于被告展示的部分信息存在不准确和不完整的问题,这可能导致其平台的使用者对原告的执业单位和任职情况产生误解,从而可能影响原告的职业声誉或业务来源,造成潜在的损害。因此,尽管处理行为本身不违法,但个人信息处理者仍需承担因未尽到注意义务而产生的法律责任。
三、商业化场景下处理已公开个人信息的合规要点
为确保商业化场景中已公开个人信息的处理合规,企业应注意以下几个要点,以防范潜在的合规风险:
1. 准确界定与识别已公开个人信息。企业需建立明确的处理规则,通过综合评估信息的公开范围、场合和方式等多个维度,结合具体应用场景来判定信息是否属于“已公开”类别。建议企业优先从不特定网络用户可自由访问的开放网络环境中收集个人信息,并确保在获取和处理这些信息时遵守相关的法律法规,以保障个人信息的合法来源和合规处理。
2. 确保已公开个人信息处理具备合法性基础。虽然对于已公开个人信息的处理通常不需要获得个人的明确同意,但这并不意味着企业可以豁免告知义务。尽管关于是否需要告知个人其公开信息被处理存在一些学界争议,但从实际操作的角度考虑,为了降低潜在的法律风险,建议企业通过制定并公开隐私政策、个人信息保护政策等措施来履行告知义务,确保用户的知情权得到保障。此外,对于可能严重影响个人信息权益的处理活动,还应提前进行个人信息保护影响评估,并依法取得个人同意。
3. 明确处理目的与方式,确保在合理范围内处理个人信息。企业在处理已公开个人信息前,应明确处理目的,并采取适当的处理方式。例如,当企业为优化商品或服务而搜集用户在公共平台发布的反馈信息时,可考虑对涉及的个人信息进行匿名化处理或实施更高级别的去标识化措施。这样可以确保已公开个人信息在被收集和利用的过程中不会超出必要的范围,同时保护用户的隐私权益,并遵循相应的法律法规。
4. 完善个人信息主体权利请求响应机制。鉴于《个人信息保护法》明确赋予了个人在已公开个人信息处理活动中的拒绝权,并强调了个人信息处理者需建立便捷的个人权利行使申请受理和处理机制,企业应积极完善现有的个人信息主体权利请求响应机制。具体而言,企业可在现有机制中增加针对已公开个人信息反馈的专门处理规则和流程,确保个人能够方便地提出相关请求,并得到及时、准确的响应。
5. 强化监督,确保信息完整准确。企业在处理已公开个人信息时,应肩负起合理的注意义务,保障信息的完整性和准确性,以防止因信息错误而误导用户或对信息主体的权益造成损害。这要求企业采取有效措施,如定期审核信息内容,建立信息纠错机制等,从而确保所处理的已公开个人信息能够真实反映事实,降低潜在的风险。

技术驱动法律,专业成就未来