《论公开的个人信息处理的法律规制.docx》由会员分享,可在线阅读,更多相关《论公开的个人信息处理的法律规制.docx(38页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、论公开的个人信息处理的法律规制内容提要公开的个人信息包括自然人自行公开的个人信息以及其他已经合法公开的个人信息。我国法律没有将公开的个人信息排除在个人信息之外,而是在兼顾个人信息保护与利用的基础上,对公开的个人信息的处理作出了专门的规范。民法典第1036条与个人信息保护法第13条、第27条分别从免责事由与个人信息处理规则的角度对于公开的个人信息处理作出了规范,二者相互补充,合力实现个人信息权益保护与个人信息合理利用的协调。处理者只有合理处理公开的个人信息,才无需取得个人的同意,且免于承担民事责任,但除非法律或行政法规另有规定,其告知义务并不当然免除。公开的个人信息的处理活动必须是合法的并且是在
2、合理的范围内进行的,对合理与否的判断应当依据必要原则与目的限制原则在权衡不同利益的基础上进行,尤其是要考虑个人信息的公开目的。关键词公开的个人信息信息处理告知同意民法典个人信息保护法目 次一、问题的提出二、公开的个人信息处理的规范目的完善三、公开的个人信息处理与告知同意规则四、公开的个人信息处理的限制五、公开的个人信息处理的合理性判断六、结语一、问题的提出公开的个人信息,是指作为信息主体的自然人自行公开的个人信息或者其他以合法方式予以公开的个人信息,如某教授在学院官网上公开出生日期、民族、宗教信仰、电子邮箱、联系电话等信息;再如,法院依法公开的民事判决书或行政机关依法公开的信息中所包含的当事人
3、的姓名、出生日期、性别等。在比较法上,对于公开的个人信息的处理有两种不同的规范模式。第一种模式认为,公开的个人信息不属于个人信息,不能受到隐私权的保护。美国采取的就是这种模式。美国法对个人信息主要就是通过隐私权加以保护的,即由信息隐私法(Information Privacy Law)为个人信息隐私提供保护。著名侵权法学家Prosser教授提出的四类最典型的侵害隐私权行为之一,就是“公开披露原告的令人难堪的私密信息”(public disclosure of embarrassing private facts about the plaintiff)。该类侵权行为的核心要件为“公开披露的事实
4、必须是秘密的事实,而不是公开的事实。显然,没有人可以抱怨自己已经对公众公开的信息被披露,如他所居住的房子的外观或者他的职业”。故此,只有是私密的、未公开的个人信息才能受到隐私权的保护,如果个人信息已经是合法公开的,则不属于隐私,不能受到信息隐私权的保护。美国法上的这种“公共/私人”二分法的隐私保护模式于联邦立法层面主要体现在1974年家庭教育权利和隐私法、1978年金融隐私权法、1988年视频隐私保护法、1996年健康保险可携带性和责任法案等法律,而于州立法层面,最典型的是加利福尼亚州的两部法律2018年加利福尼亚消费者隐私法(CCPA)与2020年加利福尼亚隐私权法(CPRA),它们均明确将
5、“公开获取的信息”(Publicly Available Information)排除在个人信息之外。CCPA第1798.140条规定,“个人信息”不包括可公开获取的信息。所谓可公开获取的个人信息是指从联邦、州或地方政府记录中合法取得的信息,但不包括企业在消费者不知情的情况下收集的有关消费者的生物特征信息。CPRA第1798.140条则规定:“个人信息”不包括公开获得的信息或合法获得的、公众关注的真实信息。所谓“公开获取”是指从联邦、州或地方政府记录中合法取得的信息,或者企业有合理理由认为是由消费者合法地向公众公布的,或从广泛传播的媒体获取的;或者如果消费者没有将信息限定于特定的受众,则是指由
6、消费者已经向其披露了信息的人提供的信息。第二种模式没有将公开的个人信息排除在个人信息之外,对其仍然适用个人信息保护法的规定,但是为协调个人信息保护与利用的关系,在处理规则上区分对待公开的和未公开的个人信息。例如,欧盟一般数据保护条例(GDPR)把个人数据区分为一般个人数据与特殊个人数据。所谓特殊个人数据就是指数据主体的民族、种族、生物识别信息等个人数据。依据该条例第9条第1款,原则上禁止对于数据主体的特殊个人数据进行处理,但是同条第2款规定了若干可以处理特殊个人数据的例外情形,其中的第e项规定,如果数据主体明显地公开了(manifestly made public)特殊个人数据的,则数据控制者
7、也可对之进行处理。当然,如果这些特殊个人数据是被非法公开的,则控制者不得进行处理。再如,依据日本个人信息保护法第17条第2款,未事先取得本人的同意,个人信息处理者不得收集敏感个人信息,但是有6种情形除外,其中第5种情形就是“相关敏感个人信息已被本人、国家机关、地方公共团体、第76条第1款各项规定的主体及个人信息保护委员会规则规定的其他主体公开的情形”。我国民法典与个人信息保护法没有将公开的个人信息排除在个人信息之外,并且就公开的个人信息的处理作出了特别的规范。民法典第1036条第2项规定,合理处理该自然人自行公开的或者其他已经合法公开的信息,行为人不承担民事责任,但是该自然人明确拒绝或者处理该
8、信息侵害其重大利益的除外。个人信息保护法第13条第1款第6项与第2款规定,依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息的,个人信息处理者可以处理个人信息,并且不需取得个人同意。个人信息保护法第27条规定:“个人信息处理者可以在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;个人明确拒绝的除外。个人信息处理者处理已公开的个人信息,对个人权益有重大影响的,应当依照本法规定取得个人同意。”就上述我国法律对公开的个人信息处理的规定,有以下几方面的问题需要加以研究:首先,公开的个人信息处理之规范目的何在?具体而言,为何我国法未如美国法那样将公开的个人信息排除在个人
9、信息之外?我国法对公开的个人信息处理的规范有何特点?民法典与个人信息保护法对公开的个人信息处理的规范之间是什么关系?其次,公开的个人信息处理的合法性基础是什么?换言之,为何处理公开的个人信息无需取得个人同意,且只要是合理处理就不承担侵权责任?处理公开的个人信息是否也免除了处理者的告知义务?再次,我国法律上规定的不得处理公开的个人信息的情形,即个人明确拒绝即可禁止处理公开的个人信息的规定是否合理?民法典第1036条中的“侵害其重大利益”与个人信息保护法第27条中的“对个人权益有重大影响”之间是否矛盾?最后,公开的个人信息处理的合理性认定问题,即如何判断处理者是在合理范围内处理公开的个人信息?本文
10、将对上述问题逐一进行研究,以供理论界与实务界参考。二、公开的个人信息处理的规范目的完善(一)从特定的侵权行为免责事由到个人信息处理民事责任的一般免责事由在我国,最早规定公开的个人信息的是2014年最高人民法院颁布的关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定(以下简称利用信息网络侵害人身权益规定)。该解释原第12条第1款规定,网络用户或者网络服务提供者利用网络公开自然人基因信息、病历资料、健康检查资料、犯罪记录、家庭住址、私人活动等个人隐私和其他个人信息,造成他人损害,被侵权人请求其承担侵权责任的,人民法院应予支持;但是,具有该款所列举的6种情形之一的除外,其中,第4种情
11、形为“自然人自行在网络上公开的信息或者其他已合法公开的个人信息”。从该规定可知,利用信息网络侵害人身权益规定将个人信息已经被合法公开作为免除网络用户或网络服务提供者利用网络公开个人隐私和其他个人信息这一特定侵权行为的免责事由。在解释为何如此规定时,起草者写到:“自然人自行公开的个人信息,通常应视为权利人放弃了对该信息的保护,一般也无保护的必要。而非自然人自己在网络上公开的信息,则有非法公开和合法公开的区别,只有在合法公开的情况下,才能免责,因此其他已合法公开的个人信息也应成为免责事由”。由此可见,利用信息网络侵害人身权益规定的起草者在很大程度上采取了与美国法相同的看法,认为已经公开的个人信息不
12、属于隐私,故此不再受到隐私权的保护,网络用户或者网络服务提供者利用网络再次公开该信息的,自然不属于披露他人的隐私,不构成侵害隐私权的侵权行为。不过,为了避免挂一漏万,尤其是规制所谓的“人肉搜索”行为,利用信息网络侵害人身权益规定原第12条第2款还规定:“网络用户或者网络服务提供者以违反社会公共利益、社会公德的方式公开前款第四项、第五项规定的个人信息,或者公开该信息侵害权利人值得保护的重大利益,权利人请求网络用户或者网络服务提供者承担侵权责任的,人民法院应予支持”。这就是说,即便是自然人自行在网络上公开的信息或者其他已合法公开的个人信息,如果网络用户或者网络服务提供者以违背公序良俗的方式再次公开
13、或者公开侵害了权利人的重大利益的,依然构成侵权。编纂民法典时,立法机关吸收借鉴了利用信息网络侵害人身权益规定的上述条文,于民法典第1036条第2项中对公开的个人信息的处理作出了规定。从民法典这一规定可以看出:首先,民法典没有将公开的个人信息排除在个人信息之外,而是将其作为个人信息,适用民法典个人信息保护的相关规定。因为,我国法并未如同美国法那样通过隐私权来完全涵盖对个人信息的保护。在我国民法典中,隐私权与个人信息权益是既有联系也有区别的两项人格权益。多数民法学者也都认为,个人信息权益是一项新型的、独立于隐私权的人格权益(也有部分民法学者及许多公法学者认为个人信息权益不属于单纯的民事权益)。但考
14、虑到隐私权与个人信息之间存在交叉的关系,民法典第1034条第3款规定,个人信息中的私密信息适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定。个人信息中的非私密信息则当然适用有关个人信息保护的规定。故此,即便私密信息因为公开而不再属于私密信息、不能适用隐私权的规定,也依然可以适用有关个人信息保护的规定。其次,民法典第1036条第2项将行为人合理处理合法公开的个人信息作为行为人不承担民事责任的免责事由。这就意味着:一方面,只要处理者是合理处理合法公开的个人信息,那么就可以不承担侵害个人信息权益的民事责任。于是,个人信息已经公开就不仅是只能适用于利用网络公开他人隐私和个人信息这一特定侵权
15、行为的免责事由,而成为了所有的处理个人信息的民事责任的免责事由。另一方面,民法典第1036条第2项以“合理处理”作为免责的限定条件,意味着行为人不仅可以再次公开已经合法公开的个人信息,还有权对之进行收集、存储、使用、加工、传输、提供等其他的处理活动,只要这些处理活动是合理的即可。如此则极大地拓宽了行为人对公开的个人信息的利用空间,也使得公开的个人信息的处理规范成为了我国民法典中个人信息合理使用制度的有机组成部分。最后,民法典第1036条第2项规定了两种禁止处理公开的个人信息的情形:一是处理该信息侵害自然人的重大利益的。这来自于利用信息网络侵害人身权益规定原第12条第2款,但是民法典没有如司法解
16、释那样仅因行为人以违反社会公共利益、社会公德的方式公开本已公开的个人信息,就责令行为人承担民事责任。二是自然人明确拒绝的情形,这是民法典新增加的规定。依此,即便是已经合法公开的个人信息,个人也没有丧失对该信息处理的决定权,只要自然人明确表示反对的,无论处理者对已合法公开的个人信息的处理是否合理,处理者都不得进行处理,否则就要承担民事责任。如此一来,立法者在鼓励对合法公开的个人信息进行处理的同时,又通过尊重个人对其个人信息的处理的决定权而实际上加强了自然人对其个人信息的控制。(二)从民事责任的免责事由到个人信息的特殊处理规则我国个人信息保护法颁布在民法典之后,该法“把握权益保护的立法定位,与民法
17、典等有关法律规定相衔接,细化、充实个人信息保护制度规则”。个人信息保护法于第二章“个人信息处理规则”第一节“一般规定”中对公开的个人信息处理的规范主要就是第13条第1款第6项、第2款以及第27条。从这些规定可见,就公开的个人信息处理的规范而言,个人信息保护法不仅有更详细的规定,并且规范的目的有所变化。具体表现在:首先,民法典第1036条第2项只是从免责事由的角度作出规定,故而其未能明确处理者在处理公开的个人信息时是否需要取得个人的同意。虽然“行为人不承担民事责任”客观上也起到了不需要取得个人同意的效果,但是却没有建立公开的个人信息的处理行为本身的合法性。毕竟,不承担民事责任并不等于合法,更不等
18、于可以免除行政责任或刑事责任。而个人信息保护法第13条是个人信息处理活动合法性根据的核心规定,在该条中规定公开的个人信息的处理就彻底解决了该问题。依据个人信息保护法第13条第2款,处理个人信息有前款第27项规定情形的,不需取得个人同意,即将对公开的个人信息的合理处理与为履行法定职责或者法定义务所必需等情形并列为法律、行政法规规定的不需要取得个人同意的其他合法处理个人信息的情形。其次,由于个人信息保护法是从个人信息处理规则的角度来规范公开的个人信息,故此该法第13条第1款第6项将民法典第1036条第2项的“合理处理”细化为“依照本法规定在合理的范围内处理”,这就使得判断对公开的个人信息的处理是否
19、合理的标准被引致到个人信息保护法中,从而更好地协调个人信息权益保护与个人信息合理利用之间的关系。最后,民法典第1036条第2项是从民事责任的角度规定合理处理公开的个人信息免于承担民事责任及两种例外情形的。而从民事责任角度作出规定就意味着,只有当个人与个人信息处理者间发生了处理个人信息的民事责任纠纷时,处理者才能援引合理处理公开的个人信息这一免责事由,而个人也才可以主张明确拒绝或处理行为已侵害了其重大利益这两种例外情形。但是,自然人明确拒绝只能在其知道个人信息处理者处理其公开的个人信息之后才能作出;至于侵害自然人的重大利益的事实显然也必须是已经发生的,且自然人对之负有举证责任。而在现代网络信息社
20、会,由于公开的个人信息的处理具有频发性、广泛性和复杂性,自然人往往不容易依据民法典规定的两种例外情形来保护自己,故此,事先的或预防性的保护尤为重要。正因如此,个人信息保护法第27条规定:“个人信息处理者处理已公开的个人信息,对个人权益有重大影响的,应当依照本法规定取得个人同意。”依此,处理者在处理公开的个人信息之前,应当进行个人信息影响评估,确定其对公开的个人信息所进行的处理行为是否会对个人权益产生重大影响。如果会产生重大影响,那么就必须依据个人信息保护法的规定取得个人同意。如此一来,个人信息保护法就从前端即预防的角度更好地实现了对个人信息权益的保护,同时兼顾了个人信息的保护与利用。(三)个人
21、信息保护与利用关系的协调综上所述,我国对公开的个人信息处理的规范具有独特之处,既不同于美国,也有异于欧盟。在我国,公开的个人信息依然属于个人信息,受到民法典个人信息保护法的保护,自然人对于其公开的个人信息享有个人信息权益,同时,对公开的个人信息的处理,法律又作出了特别的规范,其规范经历了一个发展演变的过程,即从仅作为适用于特定类型侵权行为的免责事由,到处理个人信息的民事责任的免责事由,再到个人信息的处理规则。通过这一发展演变过程,最终实现了个人信息的保护与利用间的协调。具体而言,一方面,公开的个人信息虽然丧失秘密性,更不是私密信息,无法受到隐私权的保护,却依然是个人信息,受到个人信息保护法等法
22、律保护,任何组织和个人不得侵害自然人就其公开的个人信息而享有的权益,处理者处理这些个人信息仍应适用个人信息处理的法律规则;另一方面,科技、社会的发展与法治的完善不断推动政务信息公开与公共数据开放,通过国家企业信用信息公示系统、中国裁判文书网等各种合法方式公开的个人信息越来越多,搜索引擎、爬虫等网络技术也使得人们可以更容易地获得这些公开的个人信息。因此,无论是为了维护言论自由,还是为了促进数字经济、推进国家治理体系和治理能力现代化,都有必要鼓励公开的个人信息的合理处理。我国民法典个人信息保护法分别从民事责任与处理规则、事先预防与事后救济等不同的角度对公开的个人信息的处理作出了规范,这些规范共同协
23、力、相得益彰,可更好地实现个人信息权益保护与个人信息合理利用的协调。三、公开的个人信息处理与告知同意规则(一)公开的个人信息的认定在我国法上,公开的个人信息必须满足两个要件:第一,个人信息已经被公开。一般而言,“公开”是指个人信息在客观上已经处于可由不特定的人获取的状态,尤其是当个人信息出现在大众媒体(如网站、报刊等)之上时。可由不特定的人获取使得个人信息的公开不同于个人信息的提供:后者只是在特定的个人信息处理者之间提供个人信息,而处于公开状态的个人信息具有被不特定人获取的可能,至于事实上是否被获取,无关紧要。在网络信息社会之前,公开的个人信息经过一段时间后被沉没下去、为人们所遗忘后,可能再次
24、成为不公开的个人信息。但是,随着网络信息科技的发展,“今天,在广泛流行的技术的帮助下,遗忘已经变成了例外,而记忆却成了常态”。因此,一旦个人信息被公开了,基本上不可能重新回到不公开的状态。第二,个人信息必须是合法公开的个人信息。所谓合法公开意味着不是通过侵害个人信息权益或隐私权等非法方式公开的,而是得到了权利人的同意或者符合法律规定的条件。从民法典第1036条第2项与个人信息保护法第13条第1款第6项的规定可知,合法公开的个人信息是“自然人自行公开的或者其他已经合法公开的信息”。自然人自行公开是自然人作为个人信息权益主体行使权益的结果,其他已经合法公开的信息是指通过其他合法方式公开的个人信息,
25、例如,依据个人信息保护法第13条第1款第3项,当公开个人信息是履行法定职责或者法定义务所必需的时候,可以公开自然人的个人信息。倘若个人信息是被他人非法公开的(如个人信息本身就是通过非法买卖、窃取等方法违法取得的,或者虽然收集个人信息是合法的却在没有合法根据的情况下公开了个人信息),就不能适用民法典第1036条第2项以及个人信息保护法第13条第1款第6项、第27条的规定。对公开的个人信息可以进行不同的分类。最重要的分类方法是将之分为主动公开的个人信息与被动公开的个人信息。主动公开的个人信息,也称自行公开的个人信息,是指基于作为信息主体的个人之意愿而公开的个人信息,包括个人自己采取公开方式予以公开
26、的个人信息与个人同意个人信息处理者予以公开的个人信息。强调自行公开,就是要通过信息主体自己的行为来凸显是基于自然人自己的真实意愿而公开其个人信息的。换言之,作为信息主体的自然人充分认识到其是在实施公开个人信息的行为及该行为所产生的后果,并通过积极的、确定的行为将个人信息向外界披露或同意他人公开。例如,某教授为了学术交流和联系的方便,将自己的办公室电话、电子邮箱和通信地址等信息在自己的个人学术网页上加以公开,从而使得这些个人信息进入了公共领域,任何不特定的人均可以获得。倘若某人只是在小范围内(如一个只有3个人的聊天群)发布了一些个人信息,则并不意味其自行公开个人信息其只是将个人信息提供给特定的几
27、个人,即只是希望这些人获取相应的个人信息而已。需要特别指出的是,在自然人不知情的情形下被采集的个人信息不能作为自然人自行公开的个人信息,否则不利于保护。例如,自然人在街道、机场、车站、银行、体育场馆等公共场所活动时,其人脸信息等往往被在公共场所安装的图像采集设备所收集,但这并不意味着自然人就已经自行公开了其个人信息。欧盟数据保护委员会(EDPB)就明确指出:“仅仅进入摄像机的范围并不意味着数据主体打算公开与他或她有关的特殊类别的数据。”CCPA与CPRA也明确地将企业在消费者不知情的情形下收集的有关消费者的生物特征信息排除在“公开获取的信息”之外。在我国,依据个人信息保护法第26条,公共场所安
28、装图像采集等设备所收集的个人图像、身份识别信息只能用于维护公共安全的目的,不得用于其他目的,除非取得个人单独同意。鉴于公开个人信息对于信息主体的权益影响非常巨大,个人信息保护法第25条要求,个人信息处理者公开其处理的个人信息的必须取得个人的单独同意。对于14岁下的未成年人,由于其不具有同意能力,故此其不能同意他人公开其个人信息,并且,14岁以下未成年人的个人信息在我国法上属于敏感的个人信息,依据个人信息保护法第29条、第31条的规定,公开这些个人信息必须取得未成年人的父母或者其他监护人的单独同意。被动公开的个人信息,是指无需取得个人同意,由个人信息处理者依据法律、行政法规的规定而予以公开的个人
29、信息。民法典第999条规定,为公共利益实施新闻报道、舆论监督等行为的,可以合理使用自然人的个人信息,使用不合理侵害民事主体人格权的,应当依法承担民事责任。其中的“合理使用”就包括在新闻报道时公开某些个人信息,如某报纸为了揭露黑恶势力的违法行为而公开报道张三、李四等人从事的欺行霸市、敲诈勒索等违法行为,其中包括了张三等人的姓名、性别等个人信息。依据个人信息保护法第13条第1款第25项和第7项的规定,个人信息处理者可以不取得个人同意而实施公开个人信息这一处理活动。由于公开个人信息对于自然人的个人信息权益、隐私权等人身财产权益将会产生巨大的影响,故此,只有在法律、行政法规有明确的规定且公开个人信息是
30、必须为的处理行为时,才可以进行公开。例如,为了防控新冠肺炎疫情,需要公开感染者信息以查访与感染者密切接触的人员,但只能公布感染者的职业、行踪轨迹等与疫情防控相关的必要个人信息。国家机关公开个人信息时,尤其应当如此。因为个人提供其信息给国家往往都是被强制的,国家应当努力保护那些仅仅因为被迫而向国家披露自己信息的个人。故此,国家机关只有在为履行法定职责而必须公开个人信息时,才能依照法律、行政法规规定的权限和程序进行,并且不得超出履行法定职责所必需的范围和限度(个人信息保护法第34条)。例如,民事诉讼法第156条规定,公众可以查阅发生法律效力的判决书、裁定书,但涉及国家秘密、商业秘密和个人隐私的内容
31、除外。依据最高人民法院关于人民法院在互联网公布裁判文书的规定,人民法院作出的裁判文书除涉及国家秘密、未成年人犯罪等不应公开的情形外,都应当在互联网上公开。但人民法院在互联网公布裁判文书时,应当删除“自然人的家庭住址、通讯方式、身份证号码、银行账号、健康状况、车牌号码、动产或不动产权属证书编号等个人信息”“家事、人格权益等纠纷中涉及个人隐私的信息”等信息,而仅保留当事人的姓名、出生日期、性别、住所地所属县/区,以及法定代理人、委托代理人的姓名、执业证号和律师事务所、基层法律服务机构名称等信息。(二)处理公开的个人信息无需个人同意的理由我国民法典和个人信息保护法以维护个人信息权益作为立法目标之一,
32、而客观上,个人信息的处理就是对个人信息权益的侵入或影响,因此,只要没有合法的根据(Legal Justifications),则处理个人信息活动就具有非法性,属于侵害个人信息权益的行为。个人信息权益的核心是个人对其(无论是公开的还是非公开的)个人信息的处理享有知情权和决定权,有权限制或者拒绝他人对其个人信息进行处理,除非法律、行政法规另有规定(个人信息保护法第44条)。故此,原则上,任何组织或个人在处理个人信息前均应向个人信息被处理者告知相应的事项,并在取得该个人(或者其监护人)的同意后,方可从事相应的个人信息处理活动。这就是所谓的“告知同意规则”。该规则也是个人信息处理活动的一项最基本、最重
33、要的合法性根据或理由。应当说,在个人信息的“全生命周期”中,告知同意是一道“闸口”,无论是信息采集、利用,还是相应转换、转移,均绕不开“知情同意”。当然,合法的个人信息处理活动不限于取得个人同意的处理活动,即基于个人同意处理个人信息的活动;还包括基于法定许可的处理活动(Processing Based on a Legal Permission),即直接依据法律的规定而无需取得个人同意所进行的个人信息处理。我国个人信息保护法第13条即规定了6种法定许可的个人信息处理活动无需取得个人同意。依据其中第1款第6项,公开的个人信息的合理处理行为无需取得个人同意。那么,该处理行为的合法性理由何在呢?对此
34、,有的观点认为,当个人信息被公开了就意味着其进入了社会公共领域,在某种意义上公开的信息已经具有了公有物的性质,故此,处理者可以无需取得个人的同意而加以处理。有的观点认为,已经合法公开的个人信息的处理如果也要取得个人的同意将不利于促进信息的流动与利用,故此,免于取得信息主体的同意对于网络信息社会和数字经济的发展是有利的。还有的观点认为,个人信息不仅具有私人利益,也具有社会利用价值,体现为一定的公共利益属性。而且,个人信息被合法公开就表明权利主体对自身权益的合理处分,法律上应当推定民事主体知悉此种公开行为的法律意义并愿意承担可能带来的潜在社会风险,基于信息流动和信息产业利用的目的,推定权利人允许他
35、人在合理的范围内使用已经公开的个人信息。笔者认为,上述观点都有一定的合理之处,但尚欠说服力。将公开的个人信息作为公有物来看待,显非妥当。至少在我国法上,公开的个人信息不是公有物,不能任由他人处理,否则民法典与个人信息保护法就不会规定自然人可以明确拒绝他人对其已经合法公开的个人信息的处理,并且规定处理者在处理该信息对个人权益有重大影响时还需要依法取得个人同意。至于从功利主义角度出发,以充分发挥合法公开的个人信息中潜在的价值、促进网络社会和数字经济的发展、实现公共利益为由,来论证处理合法公开的个人信息无需取得个人同意,甚至推定权利人在公开时就包含了允许他人合理使用的意思,也不合理。一则,合法公开的
36、个人信息无论是个人主动公开的,还是依法被动公开的,往往都有其公开的目的,而脱离该公开目的来处理公开的个人信息,显然违背了目的限制原则。二则,公开的个人信息的合理利用当然有利于网络信息科技和数字经济的发展,但是也需要考虑到信息主体合法权益的保护以及公共利益、国家利益,不可能仅仅因为有价值就可以随意地处理。笔者认为,我国民法典与个人信息保护法之所以允许处理者无需取得个人同意即可合理处理公开的个人信息,根本原因还是为了实现对个人信息权益保护与合理行为自由维护之间的协调与平衡。申言之,虽然我国民法典将个人信息保护作为一项重要的民事权益加以规定,个人信息保护法更是明确承认了“个人信息权益”,并详细规定了
37、个人在个人信息处理活动中的权利,如对其个人信息的处理享有知情权、决定权,但是,个人信息保护法律制度始终需要做到的是“合理平衡保护个人信息与维护公共利益之间的关系”。事实上,我国几乎所有的个人信息保护的法律规范都极为关注民事权益保护与合理自由维护这一对价值的协调,既尊重和保护自然人的人格尊严、人身自由等基本人权,也充分维护公共利益,保护言论与信息自由、商业活动的正常进行。民法典个人信息保护法在严格保护个人信息权益的同时,也通过构建个人信息的合理使用制度来实现对个人信息的合理利用,正是这一价值协调的重要体现。已经公开的个人信息不具有秘密性,故此不可能属于私密信息,不受到隐私权的保护,从价值权衡上来
38、说,对其进行处理的利用需求的价值就更具有满足上的优先性。但是,公开的个人信息仍然受到个人信息权益的保护,故此,为了防止公开的个人信息上的个人信息权益遭受侵害,民法典与个人信息保护法又采取了一系列的事先预防和事后救济措施,包括要求处理者在处理前应当评估对个人权益的影响、对公开的个人信息的处理必须是在合理范围内的处理、自然人享有明确拒绝的权利以及一旦侵害个人重大利益的处理者应承担民事责任等。如此一来,即便不取得个人同意,处理者对公开的个人信息的处理也显然不会损害个人信息权益,该处理行为因而具有合法性,不仅不是民事违法行为,也不是行政违法或犯罪行为,处理者不会因此而承担法律责任。(三)公开的个人信息
39、的处理与告知义务的履行告知同意规则由告知个人与取得同意两部分组成。要确保个人的同意是在充分知情的前提下自愿、明确作出的,就必须对处理者向个人告知的内容与告知的方式等提出相应的要求。否则,个人的同意不可能是自愿和明确的,个人信息的处理也不可能是公开透明的。民法典第1035条与个人信息保护法第17条对于个人信息处理者告知的内容和履行该义务的方式等作出了规定。依据个人信息保护法第13条第2款,当个人信息处理者在合理的范围内处理公开的个人信息时,不需取得个人同意。问题是,无需个人同意是否意味着也无需告知其个人信息被处理呢?对此,我国法律没有规定。有的观点认为,如果要求处理公开的个人信息时必须履行告知义
40、务,则强人所难,因为这些信息的来源非常广泛,难以联系到个人,不仅如此,要求处理者去向个人进行告知还可能侵扰个人的生活安宁。笔者认为,从我国个人信息保护法第13条的规定来看,法律只是规定合理处理公开的个人信息无需取得个人同意,却并未免除处理者的告知义务。这是因为个人信息保护法的根本目的就在于,通过对个人信息处理行为的规范,防止因非法的个人信息处理行为给个人的人格尊严、人身自由等基本权利及人身财产权益造成危害。在现代网络社会,个人信息被收集、储存、转让和使用已经成为社会生活的常态,政府、企业或者其他组织出于不同的目的以各种方式实施的个人信息处理活动,都极有可能会给个人权益带来各种危险或损害。例如,
41、基于收集的个人信息而形成的大数据,通过算法等技术进行社会分选、歧视性对待,进而损害人格尊严的危险;再如,通过大数据和人工智能技术进行人格画像,将作为民事主体的自然人降格为客体并加以操控,进而损害人格自由等。为了消除上述各种危险,法律上必须承认自然人对个人信息具有一种防御性的利益并给予保护,如此,才可能为信息社会的每个自然人筑起一道坚实的法律保护屏障,使之免于遭受上述危险现实化后所带来的损害。所以,法律需要赋予个人对个人信息处理的知情权,使其知道为实现何种处理目的,哪些个人信息被何人以何种处理方式加以处理。正因如此,公开透明原则(The Transparency Principle)成为了个人信
42、息保护法的基本原则之一。个人信息保护法第7条规定:“处理个人信息应当遵循公开、透明原则,公开个人信息处理规则,明示处理的目的、方式和范围。”该法第44条还明确规定了个人对其个人信息的处理享有知情权。因此,尽管合理处理已经合法公开的个人信息可以不需取得个人同意,但是,不需同意不等于不需告知。为了贯彻公开透明原则和保障个人对个人信息处理的知情权,在合理处理合法公开的个人信息之前,原则上处理者仍应向个人履行告知义务,除非符合法律规定的免于告知的情形。如此方可使得个人知道自己的哪些公开的个人信息被何人以何种处理目的和处理方式进行处理,同时个人也可以对被处理的个人信息是否属于合法公开的个人信息提出挑战。
43、而且,依据我国民法典第1036条和个人信息保护法第27条,即便处理者处理的是合法公开的个人信息,如果个人明确拒绝的,处理者也不得处理。如果处理者不向个人告知其公开的个人信息将要被处理,个人如何行使此种法律赋予的拒绝的权利?此外,依据个人信息保护法中的责任原则(Accountability Principle),个人信息处理活动应采取问责制,处理者是个人信息处理活动的首要的责任主体,应当对其个人信息处理活动负责(个人信息保护法第9条)。如果处理公开的个人信息就可以不履行告知义务,那么责任原则将形同虚设。至于因为没有信息主体的联系方式而难以告知的担忧,实际上只是告知义务的履行方式问题。我国个人信息
44、保护法第17条对于告知义务的履行方式以及告知的内容作出了规定。依据该条第2款,个人信息处理者可以通过制定个人信息处理规则的方式履行告知义务,处理规则应当公开并且便于查阅和保存。故此,在处理公开的个人信息时,个人信息处理者也可以通过制定个人信息处理规则的方式来统一履行告知义务,这样就不存在因为逐一告知而干扰信息主体生活安宁或者因为无法联络而难以履行告知义务的问题。当然,处理公开的个人信息也存在免除告知义务的情形,个人信息保护法第18条和第35条规定了3种免除告知义务的情形,即法律、行政法规规定应当保密;不需要告知的情形;以及告知将妨碍国家机关履行法定职责的情形。如果处理公开的个人信息中有这3种情
45、形之一的,当然可以免除告知义务。四、公开的个人信息处理的限制(一)个人明确拒绝对公开的个人信息的处理依据民法典第1036条第2项和个人信息保护法第27条第1句规定,处理者虽然可以不取得个人同意而处理公开的个人信息,但是,如果个人明确拒绝的,那么处理者也不得处理。换言之,个人对公开的个人信息的处理仍然享有决定权,有权限制或者拒绝他人对公开的个人信息进行处理。所谓个人明确拒绝,是指个人明确作出的禁止他人处理公开的个人信息的表示,即个人必须是以清晰、明白而非含糊、模棱两可的方式表示拒绝。明确拒绝的意思表示可以是通过纸质、电子形式等书面方式,也可以是通过口头方式作出的。理论上说,个人明确拒绝可以是在个
46、人自行公开其个人信息的同时就作出的(即表示该公开的个人信息不允许他人进行处理),也可以是个人被处理者告知公开的个人信息将被处理时作出的,或在公开的个人信息已经被他人处理后向处理者提出。笔者认为,在民法典第1036条第2项已经规定了处理公开的个人信息会侵害自然人的重大利益时处理者不能免责,且个人信息保护法第27条要求处理公开的个人信息对个人权益有重大影响的必须依法取得个人同意的情形下,再赋予个人享有拒绝对其公开的个人信息进行处理的权利,表明立法机关强化了自然人对公开的个人信息的支配控制权。但是,这种做法等于变相承认了被遗忘权(Right to Be Forgotten),可能不利于个人信息的合理
47、利用,容易损害言论自由与公共利益。例如,网络服务提供者提供搜索引擎服务让网络用户可利用该搜索引擎搜索公开的个人信息是个人信息处理活动之一,而依据民法典与个人信息保护法的上述规定,无论此种处理活动是否合理,也无论是否侵害其个人信息权益,个人都有权予以禁止,如要求搜索服务提供者不得显示对其公开个人信息的“搜索结果”,这就可能不利于个人信息的合理利用。有鉴于此,笔者认为,今后应当通过司法解释对民法典第1036条第2项和个人信息保护法第27条第1句中的“个人明确拒绝”之适用要件予以限缩性解释,如仅适用于个人自行公开的个人信息并在公开时就明确拒绝他人处理的情形,至于自行公开时没有明确拒绝他人处理的或者被
48、动公开的个人信息,则只有当处理是不合理的时候,个人才可以拒绝。(二)处理公开的个人信息侵害个人的重大利益或对个人权益有重大影响除了前述的自然人明确拒绝外,民法典第1036条第2项还规定了对公开的个人信息的合理处理也不能作为免责事由的另一种情形,即处理该信息侵害该自然人的重大利益的。但是,个人信息保护法第27条没有使用民法典中“侵害其重大利益”的表述,而是采取“对个人权益有重大影响”的表述,并规定此时处理者“应当依照本法取得个人同意”。从条文表述来看,民法典和个人信息保护法的上述规定似有不同,然而,二者并不矛盾。首先,民法典第1036条第2项是从处理个人信息民事责任免责事由的角度所作出的规定,适
49、用于平等主体的自然人、法人和非法人组织因处理个人信息而产生的民事责任纠纷。该项使用的“侵害其重大利益”的表述表明,只有在行为人处理公开的个人信息的行为已经对自然人的生命、身体、人格尊严、人格自由、重大财产权益或者其他的重大利益产生了侵害甚至已经造成了损害时,才能基于比例原则的考虑,优先保护其重大利益,认定处理者不得免责。此时,处理者应当向个人承担停止侵害、排除妨碍以及赔偿损害等侵权责任。而个人信息保护法第27条则是从个人信息处理规则的角度对公开的个人信息的处理作出规定的。依据该条,个人信息处理者处理已公开的个人信息,“对个人权益有重大影响的”,应当依照个人信息保护法规定取得个人同意。由此可见,第27条规范的是个人信息处理者,