【条文主旨】
本条是关于信息处理者处理个人公开信息的规定。
【条文理解】
一、个人公开信息的法律内涵
在类型化视角下,以信息是否被公开为标准,个人信息可以分为公开的个人信息和未公开的个人信息。需要明确的是,公开的个人信息不仅是指其本身已被现实公开,同时强调是已经合法公开的个人信息。因他人泄露或非法公开的个人信息,虽然客观上确实出于公开状态,但不属于法律上所谓的公开的个人信息。[1]个人信息的核心定义是自然人身份的可识别性,因此是否公开不影响对个人信息的认定。一般而言,在实践中,信息主体的个人信息是以非公开的状态存续的,特别是生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等属于自然人的敏感信息。尽管姓名、肖像也属于个人信息,但是其已经明确为具体人格权,有自身的独特权能,并且由于社会交往的必需,此类信息的公开是必然的,也非个人信息的一般常态。此外,个人信息与隐私权存在交叉。《
民法典》第1032条第2款规定:“隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。”因此,私密信息在具备身份识别性功能的基础上,也属于个人信息的客体范围,其本身更是自然人所不欲公开的私人事务。
已经合法公开的信息通常为权利人自行向社会公众公开,已经经过权利人对个人信息权益的权衡,或是由于涉及公共利益而为特定机构或组织公开。[2]公开的个人信息主要包括两类:一是自然人个人自行公开的个人信息;二是其他合法公开的个人信息。自然人个人自行公开的个人信息,是指自然人自愿、主动向社会不特定人公开的个人信息,如信息主体将包含自身联系方式、通讯地址、任职信息等内容的个人简历放置于公开的网站,或通过新闻媒体渠道主动公开自己的个人信息等。其他合法公开的个人信息,是指非基于权利主体同意而依据
法律法规的相关规定合法公开的个人信息。例如,《民法典》第999条规定了人格权的合理使用制度,“为公共利益实施新闻报道、舆论监督等行为的,可以合理使用民事主体的姓名、名称、肖像、个人信息等”,因此基于公共利益的目的,新闻媒体可以在合理范围内依法公开他人的个人信息。为保障公民知情权,公权力机关有义务依法公开部分信息,这中间涉及自然人的个人信息公开,《政府信息公开条例》第19条规定:“对涉及公众利益调整、需要公众广泛知晓或者需要公众参与决策的政府信息,行政机关应当主动公开。”除此之外,中国裁判文书网上的司法文书公开也属于合法对个人信息的公开情形。
二、个人公开信息的法律性质
信息处理者处理合法公开的个人信息无须取得自然人的同意,亦即在合理的范围内处理公开的个人信息属于个人信息侵权的免责事由。《民法典》第1036条第2项明确规定:合理处理该自然人自行公开的或者其他已经合法公开的信息的,行为人不承担民事责任。《个人信息保护法》第13条第1款第6项也将处理公开的个人信息作为个人信息处理者可以处理个人信息的条件和情形。信息处理者处理他人个人信息的合法性来源主要包括两大类:一是个人的授权同意;二是法律的强制性规定。处理个人公开信息属于基于法律的强制性规定而豁免侵权违法性的信息处理行为。其法理基础和正当性在于,个人信息不仅属于私人利益,在信息时代更具备相当的社会利用价值,体现为一定的公共利益属性。作为理性的完全民事行为能力者,个人自愿公开其个人信息,表明权利主体对自身权益的合理处分。法律推定民事主体知悉此种公开行为的法律意义并愿意承担可能带来的潜在社会风险,进而基于信息流动和信息产业利用等目的,推定权利人允许他人在合理范围内使用其已经公开的个人信息。
需要特别强调的是,自然人公开其个人信息,通常是出于特定的行为目的,某种程度上属于广义的信息处理,愿意接受一定的信息风险,这是信息主体意思自治的范畴。然而,这并不表示信息主体对已经公开的个人信息放弃所有权利,并承担任何侵害风险。例如,一些高校教师将个人的办公地址、电话、邮箱在本单位官网公布,通常是出于师生交流、学术联系等目的,此种信息公开行为并不意味着他人有权将其邮箱信息通过“爬虫”技术获取并进行二次贩卖,或者向其发送大量商业性推销电话或广告侵扰其私人生活安宁。因此,即使是已经公开的个人信息,仍然受到《民法典》《个人信息保护法》等法律的保护,任何个人和组织不得随意侵害。
因此,对公开的个人信息和未公开的个人信息相区别,至少具有两类意义:一是判断处理该个人信息是否需要获得信息主体的同意;二是确定两者的保护强度。若个人信息已被合法公开,原则上不需要获得信息主体的同意即可处理。而正是由于信息主体的自愿公开或通过其他方式合法公开,此类公开信息受到法律保护的程度低于未公开的个人信息。《民法典》第998条规定:“认定行为人承担侵害除生命权、身体权和健康权外的人格权的民事责任,应当考虑行为人和受害人的职业、影响范围、过错程度,以及行为的目的、方式、后果等因素。”个人信息是否公开受到的法律保护程度有所区别,有助于司法实践中具体个案的利益衡量与侵权判断。
【条文适用】
一、个人公开信息的处理规则
处理个人公开信息是法定的信息处理情形,原则上无须取得信息主体的同意。然而,处理个人公开信息仅仅属于对告知同意规则的修正,除不需要取得当事人同意外,此种信息处理行为仍应当符合公开信息处理的特殊规则与信息处理的一般规则。
第一,信息主体明确拒绝他人处理其个人公开信息的,信息处理者不得处理此种信息。如前所述,信息主体公开个人信息,法律原则上推定信息主体同意他人在合理范围内处理其已经公开的个人信息,视为当事人已默认授权同意此种信息处理行为。然而,个人信息权益以信息主体的信息自决和信息控制为核心,若信息主体在公开其个人信息时已经明确表示拒绝他人处理其个人信息,为保障信息主体的人格自由和真实意思,信息处理者不得处理该公开信息,因当事人的明示拒绝使得可能的信息处理行为缺乏正当性。一般而言,此种拒绝行为应当以较为显著或明确的方式作出,原则上不得迟于可能的信息处理行为开始之时。根据本条规定,信息处理者在处理个人公开信息时,无须取得当事人同意,信息处理者在当事人明确拒绝信息处理行为前具有合理的信赖与期待。因此,即使是事后信息主体拒绝此种合理的信息处理行为,一般也不具有溯及力。事后的拒绝类似于同意的撤回,可以适当参照本法第15条同意撤回制度的相关规定处理。
第二,个人信息处理者应当在合理的范围内处理个人的公开信息。自然人公开其个人信息并不意味着对所有的个人信息权益的放弃,信息处理者处理个人公开信息应当合法、合理。一定程度上,本条是个人信息领域的人格权合理使用制度。《民法典》第999条规定:“为公共利益实施新闻报道、舆论监督等行为的,可以合理使用民事主体的姓名、名称、肖像、个人信息等;使用不合理侵害民事主体人格权的,应当依法承担民事责任。”前述规定表明,为实现特定的公共利益目的,权利人的人格权益应当受到适当的限制,他人有权使用其人格要素。但是,该使用行为应当合理,否则已然需要承担相应的民事责任。所谓的合理使用,主要是指目的、内容和手段上的合理。因此,个人信息处理者应当在合理的范围内处理个人的公开信息是指信息处理行为的目的、内容和手段是合理的。首先,信息处理者应当具备合理的信息处理目的,不得利用公开信息从事不合法、不正当的目的,如实施电信诈骗行为或身份歧视行为。其次,信息处理者处理的信息内容应当合理,核心是保障信息的准确性,不得恶意篡改、删减信息,同时不得过度处理他人信息。最后,信息处理行为应当合理,不得通过非法手段获取个人信息。就合理使用而言,应当综合考量权衡多种因素,运用比例原则,分析目的是否妥当、使用是否有助于实现目的、是否是在必要范围内等,对使用是否具有合理性作出判断。[3]
第三,处理个人公开信息应当遵守信息处理的基本原则。具体而言,包括《个人信息保护法》第一章总则部分规定的合法、正当、必要和诚信原则,信息质量和信息安全原则等。信息处理者处理个人公开信息应当具有合法正当的信息处理目的,不得通过信息处理活动实施违法犯罪行为或其他违背公序良俗的行为;同时,该信息处理手段也应当具备合法性与正当性,不得滥用权利,更不得侵害信息主体或其他权利主体的合法权益。同时,信息处理行为应当符合必要性原则,应当与信息处理目的直接相关,采取对个人权益影响最小的方式,不得过度收集个人信息。并且,信息处理者处理个人信息应当保证个人信息的质量,避免因个人信息不准确、不完整对个人权益造成不利影响。除此之外,个人信息处理者还应当对其信息处理活动负责,采取必要措施保障所处理的个人信息的安全。
第四,处理个人公开信息应当遵守信息处理的其他规则。个人公开信息是个人信息的一种逻辑分类,与其他特定的信息处理行为属于交叉关系,也应当适用其他信息处理规则。例如,关于信息存储期限,本法规定除法律、行政法规另有规定外,个人信息的保存期限应当为实现处理目的所必要的最短时间,因此个人公开信息的处理也应当以信息处理目的所必需的时限为准。同时,个人信息处理者利用个人公开信息进行自动化决策的,应当保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇。符合特定情形的,个人信息处理者还应当事前进行个人信息保护的影响评估,并对个人敏感信息进行更为严格的保护。若信息处理目的已经实现或存在其他法定事由,个人信息处理者应当主动删除已经收集的个人公开信息。
二、处理个人公开信息应当取得信息主体同意的情形
本条后句规定,个人信息处理者处理已公开的个人信息,对个人权益有重大影响的,应当依照本法规定取得个人同意。处理个人公开信息原则上无须取得当事人的同意,但信息权益关涉信息主体的人格尊严与自由,基于人格权的优先性和人身密切性,若处理公开信息对个人权益有重大影响的,信息处理者不得豁免告知同意的基本义务。这是信息处理中比例原则之下利益衡量的直接体现,充分表明了立法对民事主体人格权益的尊重与保护。
对个人权益有重大影响,通常是指个人信息处理者处理已公开的个人信息可能对信息主体的生命、健康、名誉、隐私等人格权益或财产权益带来不合理的风险。以信息自动化决策为例,在大数据和人工智能技术的助力下,经营者可通过对消费者消费习惯、个人兴趣爱好等信息进行整合处理,并进行智能分析,提供具有某种偏好性的产品或服务推荐。由此,可能导致消费者的合法权益受损。为此,《个人信息保护法》对数据产业下的自动化决策进行了必要性规制,通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求个人信息处理者予以说明,并有权拒绝此种决策行为。若信息处理者通过自动化决策处理个人公开信息,对个人权益有重大影响的,应当依照本法规定取得个人同意。若个人公开信息中存在个人敏感信息,比如信息主体的身体健康等医疗信息,或者信息主体的行踪信息,信息处理者应当以更为谨慎的方式处理此类信息,该信息极易引发权益侵害问题,为信息主体带来较大的信息风险,应当在具体个案中进行合理的风险判断和评估,以尊重信息主体的真实意思和信息自决。另外,人脸信息属于已公开但对个人的基本权利与自由有重大关联的敏感信息,处理人脸信息显然能对个人的权益产生重要影响。因此,《使用人脸识别技术处理个人信息民事案件规定》第2条第2项规定:如基于个人同意处理人脸信息的,未征得自然人或者其监护人的单独同意,或者未按照法律、行政法规的规定征得自然人或者其监护人的书面同意,人民法院应当认定属于侵害自然人人格权益的行为。
