潜精研思 笔耕不辍

出版物/Publications更多分类

地址:北京市东城区建国门内大街26号新闻大厦7-8层

电话:86 10 8800 4488, 6609 0088

传真:86 10 6609 0016

邮编:100005

国枫视角

国枫观察 | 他山之讯,用之有度——浅析已公开个人信息的合理使用

发布时间:2024.07.30 来源: 浏览量:1372
最近收到不少关于已公开个人信息的合理使用边界的法律咨询和实务探讨,也看到关于将已公开的个人信息作为服务产品的相关案例。对于已公开的个人信息,如何把握个人信息保护和利用的平衡点,是本文探究的话题,希望通过一些解析来为实务提供参考。


一、受关注的案例和新闻


《个人信息保护法》(以下简称“《个保法》”)出台前后,有不少受关注的关于已公开个人信息再度利用的裁判案例。

例如,最高人民法院发布的第35批指导性案例之三(指导性案例194号),江西省丰城市人民法院裁判的熊某某等侵犯公民个人信息案[1],法院认为“被告人违法处理已公开的个人信息并从中获利,违背了该信息公开的目的或者明显改变其用途,该信息被进一步利用后危及个人的人身或财产安全,情节特别严重,其行为构成侵犯公民个人信息罪”。

再如,北京市第四中级人民法院裁判的梁某某与汇法公司的网络侵权责任纠纷案[2],法院认为汇法公司对涉案文书虽属商业化使用,但商业化利用与否和利用行为的正当与否并无必然联系,即商业化利用并不等同于不正当利用。汇法公司的处理目的非以收集自然人征信、窥探个人隐私等不当目的进行数据匹配和信息处理,系对司法公开数据的再度利用,不违背司法公开的目的,处理方式亦未违反法律禁止性规定和社会公序良俗,非违法使用个人信息的行为。

又如,广州互联网法院裁判的麦某某与法先生公司等网络侵权责任纠纷案[3],法院以处理目的和处理方式作为评价依据,认定法先生公司对于已公开个人信息的处理已超出合理范围,违反合法、正当、必要等原则,构成对个人信息权益的侵害。

今年5月,某媒体发布一篇新闻[4],称“企业家的个人信息正在以极低的价格被出售”。文章提到,相关查询产品的系统页面显示所涉海量企业家个人信息的获取方式,信息来源包括“电商平台、招聘网站、企业服务平台、展会注册信息、招投标网站、门户网站、生活服务网站等”;文章还提到,经记者进一步询问相关查询产品的销售人员,了解到系利用“大数据+超链分析”技术抓取、整合各平台信息等方式,获得高精准度信息。

案例和新闻,都涉及对已公开的个人信息的处理行为,有司法机关基于法定许可情形下的公开,也可能是自然人自行公开(例如在招聘网站、招投标网站留下联系方式),亦存在个人信息被非法公开的可能(例如某侵权行为人未经授权将某个人信息主体的联系方式公布于社交平台)。

案例在发生,新闻调查在继续,涉及的法律问题不容回避。对于已公开的个人信息,怎样使用才属于合法边界之内?怎样的收集、加工、使用、共享等处理行为不属于对个人权益存在重大影响?如果个人信息主体作出明确拒绝的意思表示,应该怎样给予积极的行权响应?这些都是值得关注的问题。

二、处理已公开个人信息的相关规定与分析


个人信息的处理,包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。使用已公开的个人信息,属于个人信息的处理行为。

《民法典》第1036条规定,合理处理自然人自行公开的或者其他已经合法公开的信息,行为人不承担民事责任,但是该自然人明确拒绝或者处理该信息侵害其重大利益的除外。

《个人信息保护法》(以下简称“《个保法》”)第13条规定了处理个人信息的合法性基础,即只有符合“取得个人同意”或六项法定许可之一的情形下,个人信息处理者方可处理个人信息。在六项法定许可情形中,其中一项是“依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息”。第13条还进一步规定,如属于六项法定许可的情形,则个人信息处理者不需取得个人同意[5]即可处理个人信息。

在《个保法》第13条将在合理范围内处理已公开的个人信息作为法定许可情形的同时,《个保法》第27条对该处理行为做了相应限制:(1)个人明确拒绝的除外;(2)对个人权益有重大影响的,应依法取得个人同意。

以上规定,我们尝试用具象化的场景来理解和感受。

(一)何为个人信息的公开?


在互联网时代,个人信息的公开可以理解为个人信息处于不特定的主体可以访问的状态。

(二)有哪些个人信息的公开方式?


根据法律规定,个人信息的合法公开,可以分为个人自行公开或者其他方式合法公开的方式。

个人自行公开,比如博主在自己的微博、小红书、大众点评等社交平台上,发布观看演唱会、旅游美食等各类信息,展现个人生活状态;或者学者在微信公众号上发布专业文章并留下个人联系方式,以期学习交流;亦或律师在事务所官网上公布自己的职业简历、业务专长和工作邮箱,以期合作接洽。

其他合法方式公开,例如《证券法》第七十八条规定,发行人及法律、行政法规和国务院证券监督管理机构规定的其他信息披露义务人,应当及时依法履行信息披露义务。所以因IPO文件的信息披露要求,实际控制人、主要自然人股东、董监高等个人信息会因此被公开。再如在国家金融监督管理总局官网登载的《国家金融监督管理总局行政处罚信息公开表》中,如涉及个人处罚的,则会在行政处罚决定中公开所涉当事人的姓名。

(三)为何将合理范围内处理已公开的个人信息作为法定许可情形?


“合理的范围内处理”,或者“合理范围内使用”、“合理实施”,已出现在不少法律规定中。

《著作权法》第24条规定了可以不经著作权人许可且不向其支付报酬而使用作品的十三项法定许可情形(但应指明作者姓名或者名称、作品名称,且不得影响作品正常使用等限制条件),例如“为个人学习、研究或者欣赏,使用他人已经发表的作品;……;国家机关为执行公务在合理范围内使用已经发表的作品”[6]等。

《民法典》第1020条规定了可以不经肖像权人同意而合理实施的法定行为,例如“为个人学习、艺术欣赏、课堂教学或者科学研究,在必要范围内使用肖像权人已经公开的肖像;……;为依法履行职责,国家机关在必要范围内制作、使用、公开肖像权人的肖像”[7]等 。

还有前文提到的《民法典》第1036条,规定了在限定条件下,合理处理自然人自行公开或其他已经合法公开的自然人信息,行为人不承担民事责任。

回归《个保法》第13条关于将“依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息”,即个人信息处理者将不需要取得个人同意,不需要履行《个保法》关于明示告知和有效同意的义务,即可获得处理个人信息的合法性基础。为什么法律会赋予个人信息处理者这样的法定权利呢?笔者认为,首先,因为个人信息是已经被合法公开,已处于一个被不特定的任何人可以自由访问的状态,所以对于该个人信息的获取,行为本身具有侵犯性的可能较小;其次,处理行为限定在合理范围内(关于合理范围的分析,我们后文探讨),没有超过合理限度,也就意味着对于个人权益产生重大不利影响的可能也较小;再者,法律又进一步赋予了个人届时明确拒绝的权利(opt-out)以及在对个人权益产生重大影响时将合法性基础予以转变。因此,相应消减因处理已公开个人信息所可能引发的侵犯性后果,从而确立处理行为的合法性。

《个保法》是一部兼顾个人信息保护和利用的法律规定,将合理范围内处理已公开的个人信息作为法定许可情形,正体现了这种兼顾,在公共利益和个人利益之间,在个人信息利用与保护之间,寻求合适的平衡点。

(四)例外情形:个人享有明确拒绝的权利,且涉及个人权益重大影响时,合法性基础由法定许可转变为取得个人同意


对于在合理范围内处理已公开的个人信息,《个保法》赋予个人的权利是opt-out而非opt-in,即个人信息处理者无需获得个人同意的情形下,即可在合理范围内处理已合法公开的个人信息,但个人享有选择拒绝的权利(opt-out)。

此外,如果处理行为对个人权益有重大影响时,例如将某自然人公开的各类个人信息深度挖掘和分析后可能获得该自然人的生活隐私,或者深度加工后的评价结果对该自然人的人身或财产产生重大影响,亦或将大量的指定公开用途为学术交流或业务对接的个人邮箱、手机号码用于发送各类营销信息、宣传邮件或者电话推销产品服务等,这些处理行为都有可能对个人的生活、工作或学习产生负面困扰甚至重大不利影响。因此,需要规定例外情形为个人提供相应救济途径。

综上可以发现,对于已公开的个人信息,《个保法》优先考虑“利用”(合理范围内处理),兼顾平衡“保护”(例外情形的适用),并在具体运用场景综合判断是否涉及对个人权益产生重大影响,从而确定届时处理个人信息的合法性基础的选择。

三、处理已公开个人信息的合理边界及合规建议


现实场景下,有不少处理已公开个人信息的业务场景,例如,在AI模型研发、优化等阶段,可能将公开信息(包括公开的个人信息)作为训练语料;在市场营销、人才招聘等领域,企业会利用公开个人信息进行精准推广和人才挖掘。如何在业务场景中界定对已公开个人信息的处理行为的合规边界,具有现实意义。

(一)确认合法公开


《个保法》认可对已公开个人信息的合理利用,其前提条件是“合法公开”。如果个人信息系被非法公开于网络、报刊或其他渠道,那么对于这类被公开的个人信息,并非属于法定许可处理的情形,不存在可以在合理范围内使用的处理行为。因此,在处理已公开的个人信息时,个人信息处理者应关注个人信息来源合法性问题,审慎判断个人信息是否系合法公开,避免因“源头”存在重大合规问题而致后续处理行为均存在重大合规隐患。

(二)获取方式合法


互联网时代,个人信息的公开主要体现在网络上的可被公众访问的状态。为了高效地获取海量、散落于不同互联网平台的公开信息,个人信息处理者可能会采用自动化访问程序(爬虫技术)抓取相关信息。采用爬虫技术获取公开的个人信息,并非一定存在合规问题,但应遵守相关法律法规,尊重行业惯例和共识,遵守所涉网站的Robots协议,不得侵犯被爬取方的合法商业利益,不应使用侵入性强的抓取手段或者过量增加所涉网站的服务器负担,影响被爬取方的网络安全和正常运行。

(三)评估合理范围


评估合理范围,需要结合具体应用场景综合考量诸多因素,包括法律法规的规定、公序良俗,还有一般普通人的理解和感受,并结合处理目的与处理方式作为重要的评估依据。团体标准《企业个人信息保护合规管理体系 指南》(T/ISC 0050-2024,中国互联网协会于2024年6月12日发布)对“在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息”作为处理个人信息合法性基础提出了综合评估因素,《个人信息保护合规审计管理办法(征求意见稿)》(国家互联网信息办公室于2023年8月3日发布)、《数据安全技术 个人信息保护合规审计要求(征求意见稿)》(全国网络安全标准化技术委员会秘书处于2024年7月12日发布)则提出了个人信息处理者处理已公开个人信息规定的审计要点。

评估合理范围,应当关注是否有利于初始公开的目的的实现,是否符合公序良俗,是否符合普通人的普遍理解和合理预期。关于个人自行公开其个人信息的情形,建议结合公开的渠道(例如招聘网、招投标网、微博、校园内网等)、是否明示公开目的(例如仅供学习交流之用)、公开的内容(例如分享美食等)、是否设置公开范围(例如好友可见)等方面综合考量。例如,求职者在招聘网上公布自己的联系方式,那么公开目的是为了实现其自身的求职对接;招聘负责人在招聘网上公布自己的联系方式,那么公开目的就是为了让合适的求职者联系对接。此外,笔者认为,如果个人仅在校园内网公开个人信息,或者设置了可见范围、可见期限,应视作有限公开为宜,对该类个人信息公开的初始目的和二次利用应更为审慎,否则可能被认为“超过个人信息公开时的特定范围”。关于通过其他方式合法公开个人信息的情形,亦建议结合合法性基础(基于个人同意的公开或法定许可情形下的公开)、公开的目的、公开的内容、处理的方式等方面来综合考量,进而判断二次利用是否有利于个人信息的初始公开目的的实现,是否将为用户提供符合预期的更优质的服务。

不可否认的是,对于处理海量数据,利用技术手段爬取合法公开的个人信息并加以深度加工使用的个人信息处理者而言,如果一一核实所收集的个人信息公开的初始目的,将实质性影响其生产效率,承担过高的审查责任。因此,对于“度”的把握,仍需监管执法及司法裁判给予给多的实践指导。对于个人信息处理者而言,在无法做到逐一核查的情形下,建议采用针对性的技术手段对个人信息进行去标识化处理,使处理行为对个人权益损害最小化,并确保个人行使明确拒绝权利的行权通道,可能是现下更具实践意义的操作方式。

此外,还需关注是否存在不应有的处理行为。在前述提及的两份征求意见稿中,特别提及以下行为系个人信息保护合规审计关于处理已公开个人信息的重点审计内容:(1)是否存在与公开目的不符的营销、推广等活动,如向已公开个人信息中的电子邮箱、手机号等发送与其公开目的无关的信息,对个人主体造成直接或间接的打扰行为;(2)是否利用已公开的个人信息从事网络暴力活动。虽然一定还存在其他不应有的对已公开个人信息的二次处理行为,但前述行为均在两份征求意见稿中写明,故个人信息处理者在处理过程中应予避免,尤其是对第(1)项的处理行为不应再存侥幸心理。

(四)分析重大影响


个人信息处理者对已公开个人信息进行二次处理,建议从是否可能对个人的声誉、人身和财产利益等方面造成重大影响进行分析。若经评估认为可能造成重大影响,则应重新审视处理行为的合规性。同样的,建议通过合理的技术手段和管理措施,例如采用泛化、屏蔽、抑制等去标识化技术手段,将所收集的已公开个人信息进行相应脱敏处理,从而降低对个人权益造成重大影响风险的可能,体现个人信息处理者对于处理行为的审慎。

此外,《个保法》第八条规定:“处理个人信息应当保证个人信息的质量,避免因个人信息不准确、不完整对个人权益造成不利影响。”该条款确立了个人信息处理的“质量保证”原则。在个人信息处理者处理已公开的个人信息时,仍然有必要遵守该项原则,尽力审慎地审查并择取被公开信息的合法客观来源,避免因处理存在不真实、不准确或不完整等质量瑕疵的已公开个人信息,而造成对个人信息主体的负面影响。而即便在已确认公开信息的来源客观合法的前提下,个人信息处理者或亦有义务在应然范围内持续审查所处理的个人信息是否存在更新、修正或已被公示拒绝等情形,确保已经对个人信息质量保证及其他合规要求尽到合理审慎义务,并对由此可能对个人信息主体产生的不利影响采取必要、积极的风险控制措施。

(五)关注行权响应


法律赋予个人享有明确拒绝的权利,所对应的便是个人信息处理者的行权响应。首先,个人信息处理者应具备便捷的行权途径,比如容易被找到的“投诉按钮”或其他沟通路径,便于个人行使明确拒绝的权利;其次,在收到个人提出的明确拒绝的诉求后,个人信息处理者应及时响应个人的行权请求,避免导致不利后果的发生,或者造成已有不利后果的扩大,切实保障个人对于自身已公开个人信息二次利用的决定权。
如因对个人权益有重大影响而将处理已公开个人信息的合法性基础转变为取得个人同意的,个人信息处理者更应建立健全后续个人知情权(查阅权等)与决定权(删除权等)的各项行权响应机制,履行个人信息处理者的法定义务。


四、结语


处理已公开的个人信息,一方面要促进个人信息的流动(主要体现为可以在合理范围内不用告知同意即可处理利用),另一方面又要尊重个人的自主意愿、保护个人信息权益、平衡对个人的影响(主要体现为赋予个人有权拒绝第三方利用已公开的个人信息开展处理行为,以及如果发现对个人权益有重大影响时将处理个人信息的合法性基础转变为取得个人同意)。探寻对已公开个人信息的利用与保护的平衡点,需要在具体的个人信息处理的场景下分析和判断,没有一套放之四海而皆可的标准。随着越来越丰富的应用场景的出现、越来越多的新技术产品的发布,合规律师需要协助企业动态平衡好个人信息保护和利用的天平,提供更符合场景和业务需求、更具有实践指导意义的合规建议。


脚注


[1] 数据来源于中国裁判文书网:https://wenshu.court.gov.cn/website/wenshu/181107ANFZ0BXSK4/index.html?docId=o338YswRw5xYLxo089Bn0gJR3qMJCk/pvoWS0EkXzWGiJcDlofI1EpO3qNaLMqsJ2R7xUmAz0eWU9wPfEOWwuzD5z5omGkwfJilLVvXfHTG8OHTUrWetBYBGOdGclgCT,最后访问日期:2024年7月29日

[2] 数据来源于中国裁判文书网:https://law.wkinfo.com.cn/judgment-documents/detail/MjAzNDEyNDAxMzE%3D?searchId=cbd42a6075b04824b3e86f4941b6594d&index=1&q=2021%E4%BA%AC04%E6%B0%91%E7%BB%8871%E5%8F%B7&module=&summary=%E5%8C%97%E4%BA%AC%E5%B8%82%E7%AC%AC%E5%9B%9B%E4%B8%AD%E7%BA%A7%E4%BA%BA%E6%B0%91%E6%B3%95%E9%99%A2%0D%E6%B0%91%E4%BA%8B%E5%88%A4%E5%86%B3%E4%B9%A6%0D%EF%BC%882021%EF%BC%89%E4%BA%AC04%E6%B0%91%E7%BB%887,最后访问日期:2024年7月29日

[3] 数据来源于中国裁判文书网:https://wenshu.court.gov.cn/website/wenshu/181107ANFZ0BXSK4/index.html?docId=+Xmgp0VlSnVJlu3JB6oJA+VTA6dlEtrNLvv+7HUQrkJT9BiQGrm3WJO3qNaLMqsJ2R7xUmAz0eWU9wPfEOWwuzD5z5omGkwfJilLVvXfHTGIIFXTTdIOz2FuN72NVd99,最终访问日期:2024年7月29日

[4] 《知名企业家个人信息遭大规模泄露,涉蜜雪冰城、荣盛、森马、蔚来等,平均约2分钱一条!卖家称数据上亿》(《每经头条》第972期),网页地址:https://mp.weixin.qq.com/s/HbQh4VPTm7VckrnstXoYBA,最新查询日期:2024年7月29日

[5] 《个人信息保护法》第十三条

[6] 《著作权法》第24条

[7] 《民法典》第1020条


图片.png

相关人员