如何理解已合法公开的个人信息保护规则
2023-10-12 09:34:43 | 来源:人民法院报 | 作者:赵树坤 邓 晋
 

  信息是社会交往的媒介,信息的公开与互换是开展人际交往的前提,也是整个人类社会赖以存在的基础。尤其是数字化时代,处于绝对保密状态的个人信息是少数,已合法公开的个人信息作为一类普遍且极为重要的类型,广泛存在于日常生活中,而其保护和利用在实践中却呈现出很复杂的状态。已合法公开个人信息通常包括两类:一是自行公开的个人信息,是指社会个体为了参与社会交往而主动公开的信息。二是他人合法公开的个人信息,具体包括基于公共利益需要而公开的个人信息,如中国裁判文书网上公开的案件信息、企业工商登记信息、征信信息、为了新闻报道而公开的信息等;也包括经个人同意而公开的个人信息。这两类已合法公开的个人信息,既具有一定人格利益属性,其公共利益属性也很强。综合民法典与个人信息保护法的相关规定,有必要对已合法公开的个人信息保护规则进行阐释,提升已合法公开个人信息规则的解释论储备,以便实现已合法公开个人信息的保护和利用的效果最大化。

  一、已合法公开的个人信息保护的落脚点

  “已合法公开”顾名思义即不再属于隐私。我国民法典明确了隐私的私密性并划定了隐私的范围,即“不愿为他人知晓”的私密空间、私密活动、私密信息。已公开的个人信息无论是自行公开还是经他人合法公开,其都因失去了某种尚未公开的私密特质,而无法通过隐私权规范予以保护。同时,由于隐私权是一种消极、防御性权利,个人难以在该权利遭受侵害前积极主动地行使权利,仅能在遭受侵害的情况下请求他人承担侵权责任,因此,已合法公开的个人信息保护遵循的是一种不同于隐私权保护的积极性保护路径。

  另外,理解“公开”一词,要注意“向不特定社会主体披露”这一限定。如果仅仅是社会主体在正常的社会交往活动中,向特定的亲密人群披露的信息(类似于“悄悄话”),此时因该“披露”不符合“向不特定社会主体披露”这一要件,该“悄悄话”仍然是私密信息,并不属于已公开个人信息的范畴。

  再有,已合法公开的个人信息作为个人信息之一种,其公开性并未阻断其人格利益属性,个人信息的公开并不意味着个人丧失对其信息的全部控制权,换言之,虽然信息处理者对可以在同意豁免的情况下在合理范围内处理已合法公开的个人信息,但个人信息主体仍然对其信息拥有有限的控制权。民法典第一千零三十六条第二款和个人信息保护法第二十七条均对这种有限的控制权作了规定,主要体现在两个方面:其一,信息主体有权对其个人信息的处理行为行使拒绝权;其二,如果已公开个人信息的处理会对个人权益产生较大影响,则无论信息主体是否行使拒绝权,都应当获取其同意。因此,对于已公开个人信息的保护,其落脚点在于个人信息主体仍然保有对已公开信息的合理的控制权。

  二、已合法公开的个人信息保护规则模式

  我国个人信息保护法第十三条第一款第(六)项以及第二十七条集中规定了已合法公开的个人信息保护规则。其以有限度的区别对待为核心,确立了三层规则:首先,在合理范围内处理个人自行公开或者其他已经合法公开的个人信息,无须取得个人信息主体同意;其次,可以在合理范围内处理个人自行公开或者其他已经合法公开的个人信息,但个人明确拒绝的除外;最后,个人信息处理者处理已公开的个人信息,对个人权益有重大影响的,应当依照本法规定取得个人同意。可以将这三层次规则概括为“附带拒绝权的知情同意”模式。

  第一,对于已经合法公开的个人信息,原则上在“合理范围内”可以由个人信息处理者根据其意愿处理。至于何为“合理范围”,目前学界存在特定目的标准说、场景标准说、实践标准说、公开时的用途标准说等多个判断方法,但无论何种判断标准,都认可了已公开个人信息尽管存在一定的人格利益属性,存在着包括个人信息自决权的延伸,但其公共性和公共利益属性更强。笔者认为,应当以公开时的具体场景为判断依据,综合考量个人信息主体在具体场景中公开其个人信息或者其他主体合法公开个人信息的目的、所在行业、个人信息类型、个人信息进一步处理的目的等要素,兼顾个人信息主体对个人信息公开后可能的处理方式的合理预期进行判断。

  第二,原则上,个人信息主体的明确拒绝可以阻断个人信息处理者未经同意对已公开个人信息的处理,甚至包括个人信息处理者在“合理范围内”进行处理的情形。换言之,只要个人信息主体明确行使拒绝权,个人信息处理者就必须根据知情同意制度的要求,向个人信息主体告知个人信息保护法第十七条的四项内容并获取同意。然而,拒绝权的行使是否存在例外值得进一步探讨。笔者认为,个人信息的合理使用是一个根据其场景不同而动态变化的问题,个人信息之上不仅附属着人格权益,而且对个人信息的处理往往牵涉到个人信息处理者的经济利益和社会公共利益,对于已合法公开个人信息而言,如果新的个人信息处理行为并未超出个人信息被初始公开时个人信息主体可能预测到的方式、目的和范围,且未对个人信息主体产生更进一步的负面影响,则应当限制拒绝权的行使,因为这本质上是对“公开”这一个人信息处理行为的延续。但如果针对已公开个人信息的处理行为超越了“公开”的范畴,且不属于个人信息保护法第十三条第一款第(二)至(七)项的规定,则应当允许个人信息主体行使拒绝权,这一行为类似于个人信息主体因个人信息处理方式的变化而对同意进行的撤回行为。

  三、如何理解“重大影响”

  即使在个人信息主体未行使拒绝权时,如果针对个人信息的可能的处理方式将会对个人权益有重大影响,个人信息处理者需主动获取个人信息主体的同意,此时该如何理解“重大影响”呢?笔者认为,“重大影响”的含义较为宽泛,应当从主观标准和客观标准两个维度进行判断。其一,从处理已公开个人信息的方式来看,如果对于已公开个人信息的处理将使得个人信息主体面临客观上更加显著的风险时(例如将海量已公开信息投喂至生成式AI训练模型)或面临主观上难以接受的场景时(此时需要综合考虑公共利益和私人利益),则属于“重大影响”的范畴;其二,从被处理的已公开个人信息的敏感程度来看,涉及已公开的敏感个人信息的处理,应当更为谨慎,例如已公开的医疗健康信息、宗教信仰信息、地理位置信息等。

  对于他人合法公开的个人信息而言,存在一个前置性的合法性判断程序。此时的合法性判断,一方面可以从尚处于未公开状态的个人信息的处理规则入手,根据个人信息保护法第十三条第(二)至(七)项,将为了此六种处理目的而公开的情形视为合法的,对于法律和行政法规没有作特殊规定的情形,则对于合法性的判断均需要在个人利益(包括隐私利益和个人信息权益)与公共利益之间取得平衡。此外,还需要综合考虑个人信息公开的数量、个人信息种类、公开个人信息的具体场景等。例如对于属于隐私的个人信息因公共利益而公开的情形——包括政府公开、媒体和舆论基于监督目的而公开等——就需要根据公开个人信息的目的是否是合法的、公开个人私事是否符合比例原则等依据进行合法性审查。在这方面,欧洲人权法院提供了一个值得借鉴的三段式审查方式,即审查公开行为是否具有法律依据、该公开行为是否追求合法目标以及该公开行为是否在民主社会中是必要的。合法目标包括为了保护国家安全、公共安全或国家经济福祉,为了防止动乱或犯罪行为发生,为了保护健康或道德,或为了保护他人的权利和自由,而对于必要性的审查,则可以援用比例原则作为审查工具,从合目的性、适当性、必要性和狭义比例原则四个角度出发,在复杂场景中为已公开个人信息的保护划定一个更为清晰的边界。

  对于由他人合法公开的个人信息而言,尽管已公开的个人信息是被合法公开的,但这些信息仍有可能成为信息处理者实施侵犯他人隐私权、名誉权、荣誉权等侵权行为的媒介,此时获取合法公开的个人信息的行为整体上将被评价为侵犯隐私权、名誉权或荣誉权的行为,获取已公开个人信息的行为就不再被单独评价,而是作为一种前述侵权行为的手段。

  【本文是国家社科基金重大项目“习近平总书记关于尊重和保障人权的重要论述研究”阶段成果(编号:22&ZD004)】

  (作者单位:西南政法大学人权研究院)


责任编辑:王娜