|
|
点击上方 “公众号” 可以订阅哦!
您喜欢这篇文章吗?请滑到文末给我们点亮 “在看” 吧!
本文来源于《吉林大学社会科学学报》2022年第4期。
【作者简介】马新彦,吉林大学法学院教授,法学博士;刘睿佳,吉林大学法学院博士研究生。
全文共17975字,阅读时间约45分钟。
弱化保护已公开个人信息既是我国的司法实践传统,也是平衡信息保护负担的务实选择,但若不释明处理已公开个人信息的合理范围,必将削弱个人信息保护的制度意义和私法意涵,减损对个人信息自决权的有效保障。已公开的个人信息应限于向不特定多数人发布、无需借助特殊手段即可从公开渠道合法获得的信息。若信息处理将对信息主体权益有重大影响,需适用告知同意规则。合理处理范围应基于信息主体意愿界定,除非该处理是法定的公共利益所必需。处理者应提供有效的表意机制,未提供而个人未明示拒绝信息处理的,应视为默示拒绝。个人的拒绝信息被处理权不可被格式条款排除。
有实力以信息牟利的处理者往往声称,信息一经产生即进入公共领域(publicdomain),成为信息生产的原材料(rawmaterial),以便于其肆意利用信息牟利。2021年11月1日起施行的《中华人民共和国个人信息保护法》(下文简称《个人信息保护法》)意在终结对个人信息的“野蛮掘金”时代。该法在整体逻辑上更为贴近欧盟的《通用数据保护条例》(GeneralDataProtectionRegulation,下文简称“GDPR”),原则上禁止处理者处理个人信息,除非存在信息主体已自由地知情同意信息处理(informedandfreelygivenconsent)等正当性基础,并以此为宣传亮点,但就已公开个人信息而言,则与美国加利福尼亚州的《消费者隐私法案》(CaliforniaConsumerPrivacyAct,下文简称“CCPA”)相似,原则上处理个人信息无需信息主体同意——呈现出弱化保护的态势。本文以《个人信息保护法》为蓝本分析弱化保护的制度表现、成因及弊端,并基于解释论的立场,合理阐释《个人信息保护法》第27条、第13条规范旨意,以矫正弊端,切实保障自然人应有的个人信息权益。
一、
已公开个人信息弱化保护的现状解析
(一)已公开个人信息弱化保护的制度形成已公开个人信息处于可被不特定多数人接触的状态,包括由个人自行公开和被以如行政公开、司法公开等其他合法方式公开的个人信息。依据《个人信息保护法》,已公开个人信息的处理是知情同意规则的例外,信息一旦公开,信息处理者即可依据自己的意愿处理信息,甚至无需契合信息主体公开该信息时的意图,亦不必限于信息被公开时的用途,几乎完全以第三方评估“合理”取代个人同意对处理已公开个人信息的约束。这是数个条款共同作用的结果。《个人信息保护法》第13条虽赋予了知情同意规则“个人信息保护大厦之基”、处理个人信息的基本规则的地位,但其第2款的但书也明确了,依法在合理范围内处理已公开个人信息无需个人同意。尽管第27条对此做了进一步限制:若信息主体不欲其信息被处理,可明确拒绝;若处理该信息于个人权益有重大影响,处理者应谨慎评估并取得个人同意,但是,在实践中,处理者往往吝于主动向个人提供有效表达意愿、管理信息的渠道,导致这些意在保障个人信息自决权的限制效果存疑。《个人信息保护法》对已公开个人信息的保护的弱化程度是在立法过程中逐步加深的。《个人信息保护法(草案)》(第一次审议稿)继承了《中华人民共和国民法典》(以下简称《民法典》)的立场,其第13条并未将信息已合法公开列入无需个人同意处理信息的合法性基础,而仅于第28条规定:以符合信息被公开时的用途的方式处理该信息的,无需向该自然人告知同意;用途不明的,处理者则应合理、谨慎地处理。该条试图尽可能地确保信息以信息主体可能同意的方式处理,且不被用做被公开时所预想不到的用途。毕竟,依信息主体公开信息时所明确的用途处理信息,更可能与其意志相契合,且以行政公开、司法公开等合法方式公开的个人信息的处理用途是特定的,信息主体能合理预见,如此便在尊重告知同意规则的基础上,较好地平衡了个人信息自决权益和信息自由。如此,即使信息处理未获个人明确同意,也不至与其可能意愿明显相悖。但是,《个人信息保护法》(第二次审议稿)将“依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息”作为第5项列入第13条,将信息已被合法公开从免责事由强化为处理个人信息的合法性基础,削弱了告知同意规则的核心地位,所幸仍保留了第28条。然而,鉴于信息被公开时的用途不易确定,而且难以解释超出该用途处理该信息时应适用何种合法性基础,草案的原第28条在《个人信息保护法》的正式版本中被删去,并被替换为第27条规定的信息主体可拒绝其已公开信息被处理的权利,即拒绝信息被处理权。与此同时,“信息已合法公开”的顺序向后调了一位,作为第6项合法性基础,成为仅次于“法律、行政法规规定的其他情形”的兜底情形。至此,已公开个人信息保护的负担被转移至信息主体一方,并且大大扩展了处理者无需信息主体同意即可处理信息的范围——毕竟如今大部分人的信息都可被不特定人获得,甚至无需使用非法的收集手段。这就使得对已公开个人信息的保护远弱于对未公开个人信息的保护。(二)已公开个人信息弱化保护的缘由在类型化地设置信息处理的合法性基础,亦即准入限制时,较之GDPR和CCPA以“个人信息的性质”为单一标准,《个人信息保护法》又增设了“个人信息的公开状态”标准,将处理不同类型的个人信息的准入门槛分为三级:于处理敏感个人信息等特定情形,准入限制甚至严于GDPR,要求获得个人单独同意方可处理;处理普通个人信息时需基于法定合法性基础,与GDPR类同;处理已公开个人信息时则几无准入限制,与CCPA相似。区别于聚焦个人信息的人格权面向因而以不可处理为原则的GDPR,也不同于重视个人信息的财产面向因而以可处理为原则的CCPA,《个人信息保护法》试图综合考虑个人信息的人格权面向和财产面向,细化保护个人信息的层次,其对已公开个人信息的弱化保护有独特缘由。1.弱化保护已公开信息的传统
我国对已公开个人信息的弱化保护由来已久,经历了“不予保护—普遍保护—弱化保护”的过程。相较未公开个人信息,我国一贯不倾向保护自然人对已公开个人信息享有的利益。我国明确保护个人信息的规定,可追溯至2000年12月28日第九届全国人大常委会第十九次会议通过的全国人民代表大会常务委员会《关于维护互联网安全的决定》。在该决定中,信息安全是互联网安全的一部分,特指公民的通信自由、通信秘密,并不包括公民已公开的个人信息的安全。2012年12月28日第十一届全国人大常委会第三十次会议通过的全国人民代表大会常务委员会《关于加强网络信息保护的决定》,开宗明义要同等保护能够识别公民个人身份和涉及公民个人隐私的电子信息,但将打击重点放在以窃取等非法方式获取公民个人电子信息上,未提及收集已被合法公开的个人信息是否可能属于非法。2014年最高人民法院《关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》(法释[2014]11号,下文简称《关于利用信息网络人身侵权的规定》)第12条表明,如果行为人公开的个人信息此先已被合法公开,即便该信息一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害,即属于后来《个人信息保护法》所规定的敏感信息,只要行为人未以违反社会公共利益、社会公德的方式公开,或者公开该信息未侵害权利人值得保护的重大利益且造成损害,该行为都不属于侵权。之后,我国立法进入短暂的普遍保护已公开个人信息的阶段。2017年施行的《中华人民共和国网络安全法》并未区别对待已公开的个人信息,第41条概括地规定了收集、使用个人信息的告知同意规则。2020年颁布的《民法典》开始有所区分,依其第1036条第2项,信息处理者若合理处理该自然人自行公开的或者其他已经合法公开的信息,不承担民事责任,但《民法典》仅将信息已被合法公开作为未经信息主体同意处理信息的免责事由,而非将其正当化为处理信息的合法性基础。及至2021年,顺应我国信息保护实践传统,《个人信息保护法》正式明确了对已公开个人信息的弱化保护,即未经信息主体同意处理其已公开信息,即使处理方式囊括了公开之外的分析、改编、再使用等行为,亦可能不构成侵权。
2.平衡信息保护和信息自由的务实主义准确的信息有助于更好地决策,广泛的信息处理是大数据时代的必然趋势;保障信息自由流通是经济发展、提升生活水平的必然要求。尤其在公民承担监督行政、司法的职能时,必然会涉及对依据行政行为、司法行为公开的个人信息的合理使用。因此,《个人信息保护法》确立知情同意之外的处理信息的合法性基础,弱化特定情形下对个人信息的保护,是平衡信息自由和信息保护的务实主义决定的。第一,弱化保护已公开个人信息是对隐私悖论的务实回应。
隐私悖论(privacyparadox)指出,虽然人们宣称看重自己的隐私,但却毫不在意地公开自己的个人信息,供人利用。其行与其言相悖,显示人们对自己个人信息的实际估值很低。若信息本处于未公开状态,信息主体居于对自身信息的管领地位,自行公开的行为事实上属于其行使信息自决权益的方式,若无其他明确相反表示,则应视为其默许信息被合理处理。如果信息主体不希望自己的信息被别人不当利用,就不应将该信息置于可轻易被他人获得的境地。因此,对个人自行公开的信息,无需多加保护。而若信息是被依法公开,例如行政公开、司法公开,那么该信息被广泛处理正是公开的目的,若再要求信息主体同意,反而是逻辑矛盾。
第二,以信息公开与否区分信息处理的准入限制,是降低制度理解成本的务实选择。
同是涉及对已公开个人信息的处理,GDPR的规则较为复杂,其基于处理者的身份,区别规定了为公共利益和为处理者之私益处理信息的不同合法性基础,对处理者的合规能力提出了更高要求。GDPR第6(1)(f)项规定,为处理者追求合法利益(legitimateinterest)所必需的信息处理,可以不经信息主体同意,又于第6(1)款后段强调,为执行公务所必需的信息处理不适用该合法性基础,因为GDPR已于第6(1)(c)项和(e)项规定了为社会公共利益、依法执行公务的情形,并在第9章中进一步细化了相应处理标准。而《个人信息保护法》则直接将这些条款并为依法在合理范围内处理已公开个人信息无需取得个人同意,以信息的公开状态为标准,不区分处理者的性质和处理目的,排除了合法利益的模糊表达,更明确简洁,便于信息主体理解和处理者合规。
第三,已公开的个人信息以可被合理处理为原则,是平衡信息保护负担的务实方案。
以第三方评估“合理”取代个人同意作为处理已公开个人信息的约束,根基在信息犬儒主义(InformationCynicism):信息的泄露无可避免,一旦公开即难以消去,控制信息是不可能的。而且,不同信息主体的个人信息在现实世界中往往处于交错共存的状态,例如甲在社交平台上发布自己的聚会照片,很可能不小心摄入陌生人乙的面部信息。于此情形,要求一切处理者基于个人同意方能处理信息,反而会令信息主体处于动辄得咎的境地。因此,与其关注不切实际地要求信息处理者彻底删除信息,或者追求真正的“知情同意”,不如务实地将“知情同意”规则视为与其他个人信息处理规则同等的规则而非原则,以履行信息保护职责的部门为核心,以行政规制和公益诉讼为主要手段,适当弱化特定情形下的信息保护,综合规制信息处理,以兼顾个人信息的人格权面向和财产面向。其一,私力救济难以有效保护作为人格权益的个人信息。因为个人既难以发现隐蔽的信息侵权,单一信息主体涉及的信息侵权的损害数额又往往较低,个人缺乏维权动力。于此,由履行信息保护职责的部门监管信息处理行为,由法定授权组织发起公益诉讼,更能切实保护信息主体的权益。其二,个人信息的财产面向使得信息处理规则关涉市场的有序运行,需要公权力的适度介入以防止不正当竞争。高科技公司声称无限制地挖掘、利用个人信息是创新的必要条件,将政府监管与阻碍创新等同,主张处理个人信息不应受目的有限原则和最小收集原则的限制,却又试图通过技术优势和格式条款限制竞争者处理信息,实现信息垄断。这既侵犯了个人作为信息的最初生产者的利益,也可能危害公共秩序和公共安全,妨碍信息市场的健康发展,因而需要公权力介入、在社会层面进行规制。
二、
已公开个人信息弱化保护的弊端
即便《个人信息保护法》尽其努力保障个人信息自决权,但在实践中,信息主体仍感到处理者在忽视其意愿处理信息,个人无法知晓、控制自己的信息流向何方、为谁所用、用于何事。究其原因,这是由于大量个人信息已处于可被不特定多数人处理的“公开”状态,各处理者得以利用法律的模糊侵害个人信息自决权。
(一)减损个人信息保护的制度价值
个人信息保护源于隐私权保护,又是对隐私权所不能及之处的有力补充:科技的发展使得违反个人意愿地处理信息这一行为本身,就足以影响其生活,而无论该信息是否为个人隐私。《民法典》第1034条第2款规定:“个人信息中的私密信息,适用有关隐私权的规定”,点出个人信息保护制度与隐私权保护不同,其核心价值并不在于保护信息本身的私密性,而在于通过衡量信息处理侵害个人权益的风险程度,监管甚至惩罚中高风险的信息处理,预防信息处理活动违背个人意愿、侵害自然人人格尊严和自由,但是,在实践中,弱化保护已公开信息,使得个人信息保护的制度价值难以顺利实现。
弱化保护已公开个人信息降低了信息处理的准入门槛,导致难以有效预防不当处理个人信息。目前,个人信息保护制度的规制思路仍未脱离对隐私权保护的路径依赖,重隐私而轻信息:既然隐私权作为独立的人格权,在保护位阶上高于作为人格利益的个人信息,“已公开信息”自然不如有“私密”属性的“未公开信息”值得保护。因此,以预防风险为目标的保护力度,被弱化为以赔偿损害为核心的规制方式。即使2017年的《中华人民共和国民法总则》第111条规定了自然人的个人信息受法律保护,但法院在论述未经个人同意处理信息的非法性以及衡量对违规处理者的惩罚时,亦仍着眼于损害事实而不是非法处理的风险,混淆了个人信息保护制度和隐私权保护制度的侧重点。《个人信息保护法》第69条第1款也规定,处理个人信息侵害个人信息权益并造成损害,是处理者承担侵权责任的必要条件之一。然而,信息处理往往涉及多方参与,且可重复进行,即使处理已公开个人信息本身没有直接造成实际损害,也不意味着处理结果不会引致对信息主体的危害。因此,弱化保护已公开信息,将难以有效规制放大个人权益受损风险的信息处理。试举一例:若一位独居女士同时加入了许多社交平台上的聊天群组,即便群组中的人与她并非好友关系,也能追踪至该账号附带的私人“博客”,查阅其在该“博客”上发布的日常信息。这些信息被人截图转发至其他平台,有据此推测出该独居女士住所的可能,所幸关注者寥寥。于此,实际损害结果虽未发生,转发行为却已然不恰当地放大了该女士安宁生活、自由发展的人格利益受到侵害的风险。然而,若因循重隐私而轻信息的规制思路,该个人信息既可被不特定多数人获得,便应属于已公开个人信息,无需多加保护,转发者也无需承担民事责任,与适用隐私权相关规定的结果并无不同。如此,个人信息保护制度独有的预防价值难以有效实现。
(二)侵蚀个人信息保护制度的私法意涵
《民法典》第111条规定“自然人的个人信息受法律保护”,将个人信息纳入私法的保护之下,更以第1034条明确个人信息属于人格权益之一,赋予其丰富的私法意涵。与之相应,个人信息保护的私法意涵根植于意思自治原则,体现为个人知情且自愿地决定其信息可被如何处理,以此尊重个人信息处理意图。然而,弱化保护已公开个人信息,将侵蚀个人信息保护的私法意涵,甚至可能使其沦为处理者间争夺商业利益的筹码。
第一,信息主体难以基于知情而公开其信息。
在弱化保护已公开信息的语境中,处理者所制订的误导性的信息处理策略,可能导致信息主体错误地预估自己控制信息的能力,并基于此错误预期而公开其信息。若将《个人信息保护法》第13条所规定的可以处理个人信息的情形理解为免责事由,而非授权性的合法性基础 ,信息处理便只要符合任一情形即可,处理者没有明确其信息处理基础并公示的义务,从而得以获得了制定误导性的信息处理策略。以网络服务平台为例,若平台在用户协议中写明:“同意此协议意味着您同意我们处理您的个人信息”,信息主体自然会认为平台是基于其同意而处理该信息,自己始终可以撤回同意、保有对信息的控制,因此“更乐意提供个人信息”,甚至因为“低估其他人获取并不可控地利用其已公开信息(disclosedinformation)所带来的风险,而公开更多个人信息”,但这控制能力仅是幻觉。实际上,处理者并不基于个人同意处理其已公开信息。因此,即便信息主体之后撤回同意,处理者仍可主张,由于信息本身已被公开,其无视个人意愿的处理行为仍应被免责。这无异于处理者对信息主体的欺骗,削弱了信息主体是基于知情而公开其信息的可能。
第二,个人信息处理意图得不到应有尊重。
信息处于可为不特定多数人处理的客观状态本身并不能证成信息主体意欲如此,更不应因此弱化对此类信息的保护、纵容违背个人意愿的信息处理。其一,个人信息的“公开”,可能是信息处理者建构的状态,而非信息主体意欲的结果。信息所处的客观状态只能基于信息处理者提供的程序框架形成,信息主体可能既不知情也难以控制其发布信息的行为结果。例如,微信的“朋友圈”一名即暗示个人发布的信息是“朋友”间的分享,但若双方无需好友关系即可查阅对方朋友圈,那么在朋友圈发布私密信息之人,即是不自觉地将自己的信息置于可为不特定多数人获取的“公开”状态。而若微信朋友圈的默认设置是此类信息“非好友不可查阅”,那么即便该信息主体将其信息发布于朋友圈,也仅是对特定范围之人的展示,而非公开。结果,虽然信息主体的行为相同,所意欲的可接触其信息的对象相同,但处理者的程序设计却可能改变法律对该个人信息所处的状态的评价。其二,处理者可能通过扭曲个人信息处理意图而任意处理其已公开信息。信息主体是出于特定的信息处理意图而公开其信息,包括自我表达、塑造外在形象、经营社交关系,其对该信息在何种范围内传播、以何种方式处理有一定预期,并试图通过隐私设置、公开声明等方式表达自己的意图,绝非允许一切信息处理。但是,处理者可能模糊其处理已公开信息的方式和目的,甚至刻意设计程序和界面,以阻碍个人明示其意图。例如Twitter即假设其用户公开自己个人信息的目的,必然是委托其将该信息尽可能地传输到世界上每一个角落,但凡其为促进该信息传播所做的一切处理,均被合理化为用户已同意的合理处理,由此扭曲了其用户的真实意图。
第三,个人信息自决中的自由价值得不到应有关切。
由于难以衡量信息主体是否真正“知情自愿”,故有学者退而求其次,认为“知情同意”规则实为“告知同意”规则,其重心“不在于用户是否真正了解个人信息处理的目的、方式或范围等,而在于建立了处理个人信息的行为的合法性基础”。又有学者指出,在面对信息过载和权力不对称时,信息主体一般会直接选择同意,“告知同意”与“知情同意”一样易于失灵,故无需将“告知同意”推为个人信息保护制度的“帝王条款”,而应通过场景风险理论差异化配置信息处理的准入门槛,以实现基于场景和风险的“相对同意”。就已公开个人信息而言,即是以更完善的信息流通规则体系来保护个人信息,以第三方对信息处理的合理性的评估部分取代个人同意对信息处理的约束。该思路看似务实,但在如此这般的接连妥协之下,个人信息自决中的“自愿”意涵却已在弱化保护已公开个人信息的框架中几近消失。因为,可供第三方参考的处理个人信息的“合理范围”,可能形成于以个人信息营利的处理者间的商业竞争,并不能直接代表信息主体的意图,遑论“自愿”。特别是在履行信息保护职责的部门论证何谓处理已公开信息的“合理范围”时,由于缺乏有效、真实的信息主体的反馈,基于“私意”的保护逐渐匮乏,而代之以处理者所主张的“公益”。典型案例如腾讯诉抖音案、微博诉脉脉案、腾讯诉搜道案等。在此类案例中,原告诉称,被告未经原告及其用户同意,“爬取”其在原告平台上的个人信息,侵害了用户的知情权,以此证明被告商业行为的“不正当”。在此,个人信息保护反沦为商业竞争的工具,而与信息主体的真实意思无涉。然而,此类大型处理者的商业实践,因其影响广泛、代表性强,易于成为研究样本,影响第三方对合理行业模式的认知。即使履行信息保护职责的部门尽力确保个人信息不被用于非法用途,但“自愿”这一关键意涵,却在已公开个人信息的保护框架中逐渐模糊。
(三)削弱个人信息自决权的制度保障
个人的信息自决权是信息保护的核心权益,即使在为公共利益而进行信息处理时,也只能在有合理保护措施的前提下被适当克减。《个人信息保护法》第44条规定的信息自决权,包含了主动性的信息处理决定权和防御性的拒绝信息被处理权。前者体现为第13条第1款规定的以个人同意为信息处理的准入标准,后者体现为第27条规定的以明确拒绝为信息处理的择出条件。但是,弱化保护已公开个人信息的《个人信息保护法》,难以为信息主体的任一类个人信息自决权提供有效的制度保障。
第一,主动性的信息处理决定权难以保障。
《个人信息保护法》的法条表述存在不同的解读方式,致使处理者为最大程度规避合规风险,必须要求信息主体概括同意一切信息处理,损害信息主体主动的决定权。《个人信息保护法》第27条后段与第13条第2款字面上相矛盾13:依前者,对个人权益有重大影响的已公开信息处理,应依法取得个人同意,而依后者,因为该信息已公开,无需取得个人同意。若依“特别规则优于一般规则”解决该矛盾,第27条优于第13条适用,处理信息会对个人权益有重大影响的,应先取得信息主体同意,又会与实际信息处理逻辑相悖:如果不是处理者已经处理了该信息,又如何得知处理该信息是否会对信息主体有重大影响?结果,若处理者选择基于信息已被合法公开处理个人信息,必将陷入在获得信息主体同意前即处理了需获得信息主体同意方可处理信息的合规困境。因此,只要可能,处理者便会选择在信息处理开始前,强制信息主体概括地同意一切信息处理。以网络服务平台型的信息处理者为例,其通常会在《用户协议》中强制用户概括性地同意其处理已公开个人信息。本文调研了世界著名的多媒体网络社交平台的《用户协议》,包括Facebook、Instagram、Twitter和新浪微博,它们所提供的该格式条款的典型表述如下:“为向您提供最完善的服务,自您将您的内容公开在本平台,您授权本平台及本平台的附属公司以符合《隐私协议》和您的隐私设置的方式,免费处理、储存、使用、复制、改编、再许可第三方使用该内容的许可,该许可包括商业性使用。该授权许可不影响您对该内容所享有权利,您可以随时删除该内容。本平台对该内容所享有的许可持续至该内容被删除为止。但如果您的内容已经被本平台授权的第三方使用,则该第三方在合理时间内删除您的内容之前,本许可持续有效”。此类条款所针对的是用户公开发布的内容,并不包括“仅个人可见”的非公开内容。虽然其以“内容”指代“信息”,但在社交网络平台,个人信息与知识产权之间的界限本就十分模糊,用户所公开发布的内容虽并不总具有独创性而可被评价为作品,却因为这些内容通常由能够识别用户个人的账号发布,而常常归属于已公开个人信息的范畴——除非该内容与账号完全无法用于识别特定自然人。因此,虽然这些格式条款表面上是在要求用户授予信息处理者知识产权的非独占性使用许可,在信息保护法的语境中,却是在强制用户同意三类以营利为目的的已公开个人信息处理:1)授权处理者以销售、改编等方式商业化利用该信息;2)授权处理者向第三方分享该信息;3)授权处理者转授权第三方处理该信息。此类可能损害人格权益的条款早已存在,直接否定其有效性虽解决了强制同意信息处理的问题,但处理者仍可能非故意地陷于“在获得同意之前即处理了需获同意的已公开信息”的合规困境,除非其为信息主体提供能更精确表达信息处理意愿的机制。
第二,防御性拒绝信息被处理权难以抵御以格式条款为手段的侵害。
《个人信息保护法》第27条意在通过赋予个人拒绝信息被处理权解决前述问题。理论上,不欲其已公开个人信息被处理的信息主体,确实可以通过处理者提供的行使个人信息权利的机制,或向人民法院起诉,明确表示拒绝。但是,固然《个人信息保护法》第50条已规定了“个人信息处理者应当建立便捷的个人行使权利的申请受理和处理机制。拒绝个人行使权利的请求的,应当说明理由”,但处理者很少主动提供针对已公开个人信息的拒绝处理渠道。目前,处理者提供的个人行使信息权利的机制往往呈现为“隐私设置”页面,但其通常只能排除特定用户接触特定信息,但不能限制处理者处理已公开信息。通过完善这一机制,个人或可获得拒绝处理已公开信息的渠道,但《个人信息保护法》法条的模糊使得信息主体拒绝信息处理的法律效果存疑。该法第13条第2款规定:“依照本法其他有关规定,处理个人信息应当取得个人同意,但是有前款第二项至第七项规定情形的,不需取得个人同意。”可见第13条第1款第2至7项是决定性的、无需取得个人同意即可处理个人信息的法定情形。因此,依据该款第6项,依法合理处理已公开信息,无需取得个人同意。然而,该法第27条前段又规定,“个人信息处理者可以在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;个人明确拒绝的除外”。那么,若个人明确拒绝信息处理,处理者是否还可处理其已公开的信息?如果将个人明确拒绝处理已公开信息等同于撤回同意,自会得出当信息处理还可适用同意之外的合法性基础时,个人的拒绝不影响信息处理的结论。毕竟,第13条第1款第6项所规定的合法性基础并没有将个人的拒绝作为阻却处理合法性的除外条款。即使信息主体在公开个人信息时,明确拒绝被特定处理者以特定方式处理该信息,其拒绝也因处理者并非基于其同意而处理其已公开信息而毫无意义,而漠视信息主体拒绝而处理其信息仍有被评价为“合理”的可能。这与第27条、第44条慎重地赋予信息主体拒绝信息被处理权的意图背道而驰。
获取知情同意难,不等于不应取得信息主体的知情同意。弱化保护已公开个人信息侵蚀了个人信息保护的私法意涵,若不矫正,将损害其威信。随着“个人信息保护以确立告知同意规则为核心”的普及,出于对国家的信赖,信息主体会认为自己应能通过表达“同意/拒绝”行使其信息自决权。然而,由于弱化保护已公开信息,个人信息被视为“数据金矿”的状况仍没有改变,信息一经公开,其流转、再生产都不受信息主体控制。这正与个人信息保护的私法面向所强调的意思自治相悖,也使《个人信息保护法》的立法目标更难以实现。因此,在解释该法时,应尊重个人信息自决权,尽量避免使得信息主体的明确表意沦为无意义的解读。
三、
已公开个人信息弱化保护的解释论矫正途径
我国对已公开个人信息的弱化保护虽有因由,却可能导致以“保护公益”为名目的信息垄断取代了本应实现的私益保护,使个人信息自决权失去有效保障。前述弱化保护所致种种弊端的根因在于,已公开个人信息的主体的意思无法得到有效表达和尊重,但这并非无法化解。《个人信息保护法》第27条规定,处理已公开个人信息必须合法、合理,并进一步限制了已公开个人信息的处理方式和范围,以信息主体的明确拒绝为处理其个人信息的“红线”。因此,以尊重信息主体的信息处理意志为基点合理诠释该条的规范旨意,通过释明概念、界定范围,即可落实个人信息保护的私法意涵,强化公开信息的保护。
(一)限定已公开的个人信息的范围依据《个人信息保护法》第27条前段,“个人信息处理者可以在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息”,通过限制“已公开个人信息”的具体内涵,可防止其无限扩张,损害信息主体的权益。本文认为,已公开的个人信息特指有权公开信息者向不特定人发布的、且无需借助特殊手段即可从合法公开渠道合法获得的个人信息,而非单指信息在整个互联网上存在的客观状态。第一,“已公开的个人信息”限定于有权公开该信息者向不特定多数人发布的个人信息。有权公开信息者包括信息主体本人以及行政公开、司法公开中依法有权公开相关个人信息的主体。此类主体明知其行为将导致不特定多数人都可接触该个人信息,而仍将该信息公之于众,可谓“向不特定多数人发布”;其所意欲的可获得该信息的对象,非为个别人或特定的多数人,为此“不特定多数人”。因此,从该主体的视角出发,若仅有特定多数人可获得该信息,不属于“公开”。例如,同是发布在微博等社交平台的个人信息,如果信息主体明确限定只有特定人可见,或者其虽设置了“关注我可见”,技术上任何人只要“关注”这个账号便可查阅相关内容,但由于信息主体的社交范围狭小,实际上只有特定人能查看该信息,则该信息不属于公开,而无论技术上是否不特定多数人都可查看该信息。第二,“已公开个人信息”限定于在公开渠道发布的个人信息。任何人无需满足特定条件或具备特殊技术手段,即可合法获取该个人信息,即为“公开渠道”。因为以特定条件或特殊技术手段为获取门槛,与“公开”概念实质相斥:此类设计正是为了避免信息被所有人直接获得。例如用户的IP地址,因需要特殊技术手段才能获取,不属于“公开信息”。在学校校内网、公司内部网上公开的个人信息,即便有再多人可以看到,但只有特定IP地址或用户方可查阅,属于要求特定条件才能获取,也不属于“公开信息”。至于需第三方处理者先进入特定网站,再用内部引擎进一步检索获取的个人信息是否属于公开,需区别论之。若网站的准入机制使得一般人无法获得该个人信息,则该信息也不属于“公开”,但是,如中国裁判文书网,用户只需简单注册即可获取被司法公开的个人信息的,相关信息应被视为公开,因为其以简单注册作为准入条件,并非以隔绝一般人获知信息为目的。第三,“已公开个人信息”限定于合法发布的个人信息。“合法发布”包括获取渠道合法、信息来源合法、合法公开状态持续三层意涵。如果不以这样的全局视野审核处理已公开信息的合法性,而仅片段化地考察个人信息在某一阶段所处的客观状态,可能使信息处理者忽略信息主体的意思表示,事后寻找信息已被公开的依据,甚至以技术手段伪造信息公开时间,逃避法律责任,使信息主体的个人信息自决权彻底落空。试举一例:某生甲的名字、电话号码、就读情况等个人信息储存在相关负责人手机中。该信息被乙以木马程序盗取并取名《X校同学录》发布在A平台,丙将该信息集转载至B平台。甲自己在C平台上,亦透露过自己的学号、就读情况等信息,丁看到后与甲取得联系。甲惊觉自己信息泄露,故删除了C平台上所有相关内容,而戊在检索甲时,通过搜索引擎提供的“快照”获知相关信息并转交他人。乙、丙、丁、戊处理甲之个人信息时,相关信息均处于客观上可被不特定多数人获取的状态,但其行为评价并不相同。其一,丁获取甲之自行公开的信息的渠道、来源皆合法,处理的可谓合法的已公开个人信息。其二,乙以黑客方式获取信息的渠道非法,所处理的非为“已公开个人信息”。其三,丙所处理的甲之个人信息源于乙的非法行为,信息来源非法,丙却未履行审慎处理的义务即进一步传播该信息,其所处理的信息亦不应归为“已公开个人信息”。其四,戊处理甲之个人信息时,甲已通过自行删除该信息明确拒绝处理,因信息已公开而可未经甲同意处理的合法状态已终止,戊所处理的并非“已公开个人信息”。如此,通过对信息获取渠道、来源和实际公开状态的三重审核,能够有效限缩“已公开个人信息”的范围,尊重信息主体意图,保护其信息权益。(二)明确对个人权益有重大影响的情形依据《个人信息保护法》第27条后段:“个人信息处理者处理已公开的个人信息,对个人权益有重大影响的,应当依照本法规定取得个人同意。”《民法典》第1036条规定,处理已合法公开的个人信息,行为人不承担民事责任,“处理该信息侵害自然人重大利益的除外”。前者将“对个人权益有重大影响”的公开信息排除于“已公开信息”的调整规范之外,适用“知情同意规则”;后者则将“处理已公开信息侵害自然人重大利益”排除于免责条款之外。共同之处是将“对信息主体权益产生重大影响”作为阻却处理者任意处理个人信息的正当性根据,但何为“对个人权益有重大影响”却未予明确。因此,合理阐释“对个人权益有重大影响”的情形,对于“已公开信息”予以充分、有效保护具有重要意义。《个人信息保护法》全文一共有三处提及信息处理“对个人权益有重大影响”,因此应体系解释该概念,以统合相同表述的涵摄范围,实现制度内部的逻辑一致性。本文认为,解释“对个人权益有重大影响”应当从信息本身的属性及信息处理方式两方面予以考虑。第一,“对个人权益有重大影响”的公开信息。可通过衡量受影响权益的重大程度和信息主体的弱势程度来判断此类信息。其一,已公开信息关涉信息主体基本权益。此类信息一旦处理不当,容易侵害其人格尊严和自由,甚至危害其人身、财产安全,属于敏感个人信息,应予以特别保护。例如,信息主体佩戴运动手表环绕所住小区跑步后,自动发布至健身APP平台的健身路线和频率。这些信息涉及对信息主体生活状况的评价,可能影响其名誉权或隐私权;又因其揭露了信息主体的所在地,该主体及其家人的生活安宁甚至生命权、健康权亦因此陷于受侵害的风险之中。即便个人为了督促自己健身而将此类信息公开发布,也不得任意处理此类信息。《个人信息保护法》第29条亦规定处理此类敏感信息需个人单独同意。其二,已公开信息之主体易受不当处理侵害。在处理如未成年人、老年人、残疾人等弱势群体的已公开个人信息时,由于他们对信息处理的机制理解较少,维护自己权益、抵御侵害的能力较为薄弱,因此即便是对一般人而言较普遍的对已公开个人信息的处理,例如分享电话号码,也可能对其权益有重大影响,因此更需给予其知情同意的机会。第二,“对个人权益有重大影响”的处理方式。可通过衡量信息处理活动的风险程度及其影响来界定。其一,处理方式增加了信息被不当处理风险。如《个人信息保护法》第39条规定,“向境外提供个人信息”需经个人的单独同意,此类处理方式涉及多个处理者,这些处理者不仅可能资质良莠不齐,其处理目的也可能截然不同,由此极大增加了个人信息被非法利用、侵害个人权益甚至社会公益、国家安全的风险。其二,信息处理的影响不明。例如,利用已公开个人信息进行自动化决策,特别是以未明影响的新技术手段处理已公开个人信息的情形。以这类方式处理信息,即便个人权益因此受损,具体原因也因“算法黑箱”而难以查明,但信息主体在公开信息时,其并不知道该信息将被哪位处理者用于何种自动化决策,亦不知该决策会如何影响其权益,故在令已公开信息之主体承担此等风险前,应取得其知情同意。(三)限制合理处理个人信息的条件《民法典》第1034条规定“自然人的个人信息受法律保护”,旨在保护个人对其信息所享有的合法权益,而非将保护个人信息完全归于维护公共秩序、保护公共利益的需要。然而,《个人信息保护法》第13条第6项规定,处理者可仅因信息已被合法公开而得处理信息,其正当性不足以媲美个人知情同意,更明显偏向保护处理者利益。因此,为平衡个人利益、公共利益和处理者利益,需诠释合理处理的条件,限缩处理已公开个人信息的合理范围,以实现对自然人人格权益的恰当保护。第一,需以处理过程合法、用途合法为前提。保护个人信息是动态、持续的过程。既需严格事前准入,又应持续监管处理行为,确保信息处理者始终遵守信息处理的原则和规则,更要事后评价其处理结果,规制用途不当甚至非法的信息处理。若信息处理在任一环节涉及违法,都非为“合理处理”。例如,一张精心拍摄的肖像照片之上,同时承载了个人信息权益、肖像权和著作权三类权益,若信息处理者侵犯任一权益,都不能谓之为合理处理个人信息。第二,需以合理形式处理涉及公共利益的已公开个人信息。处理已公开个人信息,具有学术研究、公共管理等社会价值。[8]46若以特定方式处理已公开个人信息是为实现必要的公共利益所必需,有必要允许合理范围内的处理。其一,处理应合乎比例原则。若处理已公开个人信息是为学术研究,为艺术、文学表达,或为公共利益进行的归档、统计所必需,为实现研究自由和表达自由,可以相应克减个人信息权益,但若能以彻底匿名或假名形式实现此类目的,则应采用该形式。其二,处理应符合公序良俗。处理过程应严守学术道德和学术规范,不得扭曲个人信息内容或断章取义。其三,对于非以“新闻报道、舆论监督等”等易于察知的方式处理已公开个人信息的,应在合理时限内告知信息主体,以便信息主体能有效行使《个人信息保护法》第46条规定的信息更正、补充权。第三,需以尊重信息主体意愿为基准。个人信息虽有显著的商业价值 ,但是,不能简单地以实现另一主体的经济利益证成未经同意处理个人信息的正当性。否则,自然人的基本人格权益将被降等为纯粹的生产资料,成为另一些组织和个人攫取经济利益的工具。自然人既无法控制,也无法受益,最终导致人的异化。因此,尤其在为营利目的处理个人信息时,处理者应尊重信息主体的信息处理意图。研究表明,在信息主体自行公开其个人信息时,其对谁可见该信息、该信息可能被以什么方式利用,确实有所预期,故处理已公开个人信息的合理范围应参照《个人信息保护法》一审稿和二审稿第28条的规定,以信息主体在公开信息时所明确的用途为基准,若用途不明确的,则需审慎处理。超出信息主体所明确的用途或本应推知的用途,不属于合理处理,除非还有其他合法性基础,否则应适用告知同意规则。而若第三方处理者以自己写的“爬虫”程序,处理信息主体在商业平台上自行公开的信息,则应区分商业性质的第三方处理和公益性的第三方处理,后者处理已公开个人信息无需再经过平台专门授权,而前者需与平台协商并尊重信息主体意愿。为实现公共利益所必需,本就是未经信息主体同意而得处理其已公开信息的条件之一。因此,为公益性而进行的第三方处理,平台没有拒绝的正当性。如果完全禁止这种处理,反而阻碍信息自由,涉嫌信息垄断。与之相反,若第三方处理者试图借由既存的网络服务设施获取个人信息以商业牟利,在经济上“搭便车”,自然应与第一手信息处理服务设施提供者协商。但是,即便平台同意授权给第三方,信息主体也有拒绝自己的信息被贩卖的权利。以“新浪微博诉脉脉案”为例,二审法院指出第三方处理者需经“用户+平台+用户”的三重授权。因为脉脉作为一个约会社交的商业软件,以“爬虫”程序获取个人信息,其信息处理既是对新浪微博财产的商业利用,又直接关系个人的形象塑造、社交网络,会对信息主体权益造成重大影响,故应经平台和信息主体同意。(四)界定“明确拒绝”的形式“明确拒绝”是《个人信息保护法》第27条为防止信息处理者侵害信息主体信息自决权提供的最后一道防线。依文意解释,“明确拒绝”的意思表示需以明示方式,尤其是书面形式为之,即“明示拒绝”。信息主体若想拒绝特定形式、特定目的的信息处理,应以足够明确的文本、语音等可以被记录的形式明确表达限制、拒绝其信息被处理的意愿,并且,该意愿的表示需确已到达信息处理者,为信息处理者所知。然而,鉴于信息处理者常常在未给予信息主体“明示拒绝”机会时就先行处理“已公开信息”,为保护信息主体信息自决权,“明确拒绝”的形式不应当仅局限于“明示拒绝”:若信息处理者在信息处理之前未为信息主体拒绝信息被处理权的行使提供条件、渠道,只要信息主体未有明确的同意信息处理的意思表示,亦应认定为“拒绝”,此为“默示拒绝”。明示拒绝和默示拒绝都具有“明确拒绝”的效力——已公开个人信息以不可处理为原则。“默示拒绝”的认定,要求信息处理者负有勤勉尽责的义务。第一,处理者需为信息主体提供明确表意机制的义务。在数字世界中,信息主体虽生产信息,但通常无法改变信息处理的结构和流程。与之相反,处理者则是最佳的甚至是唯一的信息处理程序的控制者。个人的拒绝信息被处理权的实现必然以处理者提供拒绝的渠道和机会为前提。处理者应确保信息主体有明确表意的条件,并主动构建可以获知该表意的信息处理框架。例如GDPR第25条第1款即规定,控制者应通过适当的技术手段和程序设计保障信息主体权利。若处理者吝于提供此类机制,则应遵循不可处理个人信息的原则,将个人未明示拒绝信息处理视为信息主体仅是因为缺乏表意渠道而没有反对,构成“默示拒绝”。第二,处理者提供的表意机制的默认设置应最有利于个人信息保护。难以明确信息主体之意图的根因不在人类心理活动的复杂,而在信息主体缺乏恰当的表达渠道。以信息主体之意图衡量信息处理是否合理,并非“徒增不确定性”的无用之举。通过恰当的程序设计,有意愿的信息主体自然会选择以最合乎其希望的方式行使拒绝权。“获得同意前即处理了需获同意的信息”的困境,便可由处理者为信息主体提供相应的表意机制化解。该机制无需复杂,可参考CCPA于第9条赋予消费者“拒绝销售或分享个人信息的权利”,只要允许信息主体在公开其个人信息时,能够有效标注三种情况,即可囊括信息主体所关注的大部分处理信息的用途:1)该信息可否被以买卖、实质性改编等形式商业化利用;2)未经单独授权,该信息可否分享给第三方;3)处理者可否转授权第三方处理该信息。鉴于信息本身已被公开,这三种情况都可默认设置为“是”。但若有证据表明处理者刻意隐藏该设置的存在,以利用信息主体管理自己信息的惰性,则视为其未提供有效表意机制。这样,处理者在处理具体的个人信息前,可以通过检索信息主体赋予该信息的标签,有效排除已被信息主体拒绝以特定方式、为特定目的、由特定主体处理的信息。信息主体由此获得了明确表意的渠道,处理者也可以基于信息主体的主动行为,确认其是否明确拒绝信息处理。第三,处理者不得以格式条款排除信息主体的拒绝信息被处理权和自己对应的法定义务。上文提出的三类用途,正是各类网络服务平台型处理者通常以格式条款强制用户同意的处理用途。若用户选择拒绝此类处理,也不构成违约。其一,拒绝信息被处理权不可被约定排除。个人信息权益是不可克减的基础性人格权益,兼具公益和私益,与可被支配的纯粹财产性权益不同,个人并不能基于主观意图放弃,正如约定对方可任意处分自己生命的条款无效一样。《个人信息保护法》第27条规定信息主体对处理其已公开的个人信息享有拒绝权,第44条规定“个人对其个人信息的处理享有知情权、决定权,有权限制或者拒绝他人对其个人信息进行处理;法律、行政法规另有规定的除外”,但是并没有规定“个人与信息处理者另有约定的除外”。因此,信息主体不能自愿完全放弃拒绝信息被处理权。其二,不合理地限制或排除自然人的拒绝信息被处理权的格式条款无效。未向信息主体提供有效表意机制,而强制其同意一切信息处理的格式条款,将不合理地限制或排除个人拒绝信息被处理权这一基本权益,依据《民法典》第497条第2项,应属无效。信息主体行使其拒绝权,不属于违约。若处理者无法证明其已提供有效的表意机制,即便个人已经概括同意格式条款,也应视为该信息主体默示拒绝非必要的信息处理。于此,若在信息主体以其他方式明确表示拒绝以特定方式、由特定主体处理该信息后,处理者继续处理信息,即便处理者主张其不知信息主体的拒绝,或信息主体已通过格式条款同意该信息处理,该处理者也应依据《个人信息保护法》第69条第1款,承担侵权责任,除非该处理行为存在《个人信息保护法》第13条第1款第2、3、4、5、7项所规定的其他合法性基础。允许信息处理者无需信息主体同意即处理其已公开信息,有助于利用信息的公用价值和商业价值。在大数据时代,挖掘巨量信息流对培育新的信息技术产品是不可或缺的,广泛处理已公开信息也为社会治理提供了更全面的视角。保护已公开个人信息的核心在于如何尊重信息主体的拒绝。如果拒绝无意义,则同意也将无意义。本文意欲矫正的并非法条本身,而是过度弱化保护已公开个人信息的法律实践:处理者可能利用法律的模糊,通过提高主张权利成本的方式,构建便利的无视拒绝的系统。当然,设计明确表意机制为处理者增加的成本客观存在,若为保护已公开个人信息,导致只有大型商业处理者才有能力负担此类成本,阻却公益性或中小型处理者进入市场,反而更加固了市场垄断,对信息主体更为不利。因此,涉及技术成本的改进措施,对公益性或中小型的处理者的要求可适当放宽。《个人信息保护法》弱化了对已公开个人信息的保护,表现为已公开的个人信息以可处理为原则,但受到“合理处理”的限制。这虽是出于平衡信息保护和信息自由的务实需求,弱化保护已公开信息却使得个人信息自决权难以获得有效保障。第三方信息处理者可能声称,其基于信息已被公开处理个人信息,信息主体的拒绝不影响其信息处理,甚至以格式条款限制或排除信息主体的拒绝信息被处理权。而信息主体又缺乏限制处理者以特定形式处理其特定信息的渠道,无法明确地表达自己的诉求,使得处理者得以忽略其诉求,而履行信息保护职责的部门也因为无从了解个人的具体诉求,而只能概括归纳其认为合理的信息处理范围,无法验证该范围是否与个人所意欲的范围相契合。结果,个人往往认为自己的信息自决权没有得到应有的保护,其根本原因在于,缺乏对自己的表意得到有效回馈的感知。
通过解释《个人信息保护法》第27条有助于矫正弱化保护已公开个人信息的弊端:“已公开个人信息”限于有权公开信息者向不特定人发布的且无需借助特殊手段即可从公开渠道合法获得的个人信息。若信息处理关涉个人基本权益,或放大其权益受损风险,甚至将影响国家安全、社会公共利益,即属对个人权益有重大影响的信息处理,需信息主体同意。信息处理既应合法合规,处理方式和范围也应能为信息主体所合理预见,除非是为实现公共利益所必需的处理。处理者有义务为信息主体提供可明确地表达其信息处理意图的机制,该机制的默认设置应最有利于个人信息保护。未提供该机制而个人未明示拒绝处理已公开信息的,应视为默示拒绝,同样具有明确拒绝信息被处理的法律效力。信息主体的拒绝信息被处理权不能被约定排除,排除或不合理地限制该权利的格式条款无效。
来源:法学学术前沿、中国民商法律网
选择关键词进入专题参考
刘贵祥 建设工程 最高法法官会议纪要
医疗损害 用工认定 婚姻家庭
侵权责任 工伤 合伙协议
扫码二维码关注
让民法典始终在您身边 |
|
QQ好友和群
收藏
支持
反对
微信
