程啸:论公开的个人信息处理的法律规制

选择字号:   本文共阅读 2449 次 更新时间:2023-01-03 00:47

进入专题: 个人信息处理  

程啸  

内容提要:公开的个人信息包括自然人自行公开的个人信息以及其他已经合法公开的个人信息。我国法律没有将公开的个人信息排除在个人信息之外,而是在兼顾个人信息保护与利用的基础上,对公开的个人信息的处理作出了专门的规范。《民法典》第1036条与《个人信息保护法》第13条、第27条分别从免责事由与个人信息处理规则的角度对于公开的个人信息处理作出了规范,二者相互补充,合力实现个人信息权益保护与个人信息合理利用的协调。处理者只有合理处理公开的个人信息,才无需取得个人的同意,且免于承担民事责任,但除非法律或行政法规另有规定,其告知义务并不当然免除。公开的个人信息的处理活动必须是合法的并且是在合理的范围内进行的,对合理与否的判断应当依据必要原则与目的限制原则在权衡不同利益的基础上进行,尤其是要考虑个人信息的公开目的。


关键词:公开的个人信息 信息处理 告知同意 民法典 个人信息保护法



一、问题的提出


公开的个人信息,是指作为信息主体的自然人自行公开的个人信息或者其他以合法方式予以公开的个人信息,如某教授在学院官网上公开出生日期、民族、宗教信仰、电子邮箱、联系电话等信息。


在比较法上,对于公开的个人信息的处理有两种不同的规范模式。第一种模式认为,公开的个人信息不属于个人信息,不能受到隐私权的保护。第二种模式没有将公开的个人信息排除在个人信息之外,对其仍然适用个人信息保护法的规定,但是为协调个人信息保护与利用的关系,在处理规则上区分对待公开的和未公开的个人信息。


我国《民法典》与《个人信息保护法》没有将公开的个人信息排除在个人信息之外,并且就公开的个人信息的处理作出了特别的规范。就上述我国法律对公开的个人信息处理的规定,有以下几方面的问题需要加以研究:首先,公开的个人信息处理之规范目的何在?其次,公开的个人信息处理的合法性基础是什么?再次,我国法律上规定的不得处理公开的个人信息的情形,即个人明确拒绝即可禁止处理公开的个人信息的规定是否合理?《民法典》第1036条中的“侵害其重大利益”与《个人信息保护法》第27条中的“对个人权益有重大影响”之间是否矛盾?最后,公开的个人信息处理的合理性认定问题,即如何判断处理者是在合理范围内处理公开的个人信息?


二、公开的个人信息处理的规范目的完善


(一)从特定的侵权行为免责事由到个人信息处理民事责任的一般免责事由


在我国,最早规定公开的个人信息的是2014年最高人民法院颁布的《关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》(以下简称《利用信息网络侵害人身权益规定》)。该解释原第12条第1款规定,网络用户或者网络服务提供者利用网络公开自然人基因信息、病历资料、健康检查资料、犯罪记录、家庭住址、私人活动等个人隐私和其他个人信息,造成他人损害,被侵权人请求其承担侵权责任的,人民法院应予支持;但是,具有该款所列举的6种情形之一的除外,其中,第4种情形为“自然人自行在网络上公开的信息或者其他已合法公开的个人信息”。从该规定可知,《利用信息网络侵害人身权益规定》将个人信息已经被合法公开作为免除网络用户或网络服务提供者利用网络公开个人隐私和其他个人信息这一特定侵权行为的免责事由。


编纂民法典时,立法机关吸收借鉴了《利用信息网络侵害人身权益规定》的上述条文,于《民法典》第1036条第2项中对公开的个人信息的处理作出了规定。从《民法典》这一规定可以看出:首先,《民法典》没有将公开的个人信息排除在个人信息之外,而是将其作为个人信息,适用《民法典》个人信息保护的相关规定。其次,《民法典》第1036条第2项将行为人合理处理合法公开的个人信息作为行为人不承担民事责任的免责事由。最后,《民法典》第1036条第2项规定了两种禁止处理公开的个人信息的情形:一是处理该信息侵害自然人的重大利益的。二是自然人明确拒绝的情形,这是《民法典》新增加的规定。


(二)从民事责任的免责事由到个人信息的特殊处理规则


就公开的个人信息处理的规范而言,《个人信息保护法》不仅有更详细的规定,并且规范的目的有所变化。具体表现在:


首先,依据《个人信息保护法》第13条第2款,处理个人信息有前款第2—7项规定情形的,不需取得个人同意,即将对公开的个人信息的合理处理与为履行法定职责或者法定义务所必需等情形并列为法律、行政法规规定的不需要取得个人同意的其他合法处理个人信息的情形。


其次,由于《个人信息保护法》是从个人信息处理规则的角度来规范公开的个人信息,故此该法第13条第1款第6项将《民法典》第1036条第2项的“合理处理”细化为“依照本法规定在合理的范围内处理”,这就使得判断对公开的个人信息的处理是否合理的标准被引致到《个人信息保护法》中,从而更好地协调个人信息权益保护与个人信息合理利用之间的关系。


最后,《个人信息保护法》第27条规定:“个人信息处理者处理已公开的个人信息,对个人权益有重大影响的,应当依照本法规定取得个人同意。”依此,处理者在处理公开的个人信息之前,应当进行个人信息影响评估,确定其对公开的个人信息所进行的处理行为是否会对个人权益产生重大影响。如此一来,《个人信息保护法》就从前端即预防的角度更好地实现了对个人信息权益的保护,同时兼顾了个人信息的保护与利用。(三)个人信息保护与利用关系的协调在我国,公开的个人信息依然属于个人信息,受到《民法典》《个人信息保护法》的保护,自然人对于其公开的个人信息享有个人信息权益,同时,对公开的个人信息的处理,法律又作出了特别的规范,其规范经历了一个发展演变的过程,即从仅作为适用于特定类型侵权行为的免责事由,到处理个人信息的民事责任的免责事由,再到个人信息的处理规则。通过这一发展演变过程,最终实现了个人信息的保护与利用间的协调。


三、公开的个人信息处理与告知同意规则


(一)公开的个人信息的认定


在我国法上,公开的个人信息必须满足两个要件:第一,个人信息已经被公开。一般而言,“公开”是指个人信息在客观上已经处于可由不特定的人获取的状态,尤其是当个人信息出现在大众媒体(如网站、报刊等)之上时。第二,个人信息必须是合法公开的个人信息。所谓合法公开意味着不是通过侵害个人信息权益或隐私权等非法方式公开的,而是得到了权利人的同意或者符合法律规定的条件。


(二)处理公开的个人信息无须个人同意的理由


《民法典》《个人信息保护法》在严格保护个人信息权益的同时,也通过构建个人信息的合理使用制度来实现对个人信息的合理利用,正是这一价值协调的重要体现。已经公开的个人信息不具有秘密性,故此不可能属于私密信息,不受到隐私权的保护,从价值权衡上来说,对其进行处理的利用需求的价值就更具有满足上的优先性。但是,公开的个人信息仍然受到个人信息权益的保护,故此,为了防止公开的个人信息上的个人信息权益遭受侵害,《民法典》与《个人信息保护法》又采取了一系列的事先预防和事后救济措施。


(三)公开的个人信息的处理与告知义务的履行


尽管合理处理已经合法公开的个人信息可以不需取得个人同意,但是,不需同意不等于不需告知。为了贯彻公开透明原则和保障个人对个人信息处理的知情权,在合理处理合法公开的个人信息之前,原则上处理者仍应向个人履行告知义务,除非符合法律规定的免于告知的情形。


四、公开的个人信息处理的限制


(一)个人明确拒绝对公开的个人信息的处理


依据《民法典》第1036条第2项和《个人信息保护法》第27条第1句规定,处理者虽然可以不取得个人同意而处理公开的个人信息,但是,如果个人明确拒绝的,那么处理者也不得处理。所谓个人明确拒绝,是指个人明确作出的禁止他人处理公开的个人信息的表示,即个人必须是以清晰、明白而非含糊、模棱两可的方式表示拒绝。


在《民法典》第1036条第2项已经规定了处理公开的个人信息会侵害自然人的重大利益时处理者不能免责,且《个人信息保护法》第27条要求处理公开的个人信息对个人权益有重大影响的必须依法取得个人同意的情形下,再赋予个人享有拒绝对其公开的个人信息进行处理的权利,表明立法机关强化了自然人对公开的个人信息的支配控制权。但是,这种做法等于变相承认了被遗忘权(right to be forgotten),可能不利于个人信息的合理利用,容易损害言论自由与公共利益。


(二)处理公开的个人信息侵害个人的重大利益或对个人权益有重大影响


《民法典》第1036条第2项是从处理个人信息民事责任免责事由的角度所作出的规定,适用于平等主体的自然人、法人和非法人组织因处理个人信息而产生的民事责任纠纷。该项使用的“侵害其重大利益”的表述表明,只有在行为人处理公开的个人信息的行为已经对自然人的生命、身体、人格尊严、人格自由、重大财产权益或者其他的重大利益产生了侵害甚至已经造成了损害时,才能基于比例原则的考虑,优先保护其重大利益,认定处理者不得免责。而《个人信息保护法》第27条则是从个人信息处理规则的角度对公开的个人信息的处理作出规定的。依据该条,个人信息处理者处理已公开的个人信息,“对个人权益有重大影响的”,应当依照《个人信息保护法》规定取得个人同意。由此可见,第27条规范的是个人信息处理者,属于预防性或事先的规范。


五、公开的个人信息处理的合理性判断


(一)合理处理的前提在于处理活动的合法性


所谓对公开的个人信息的合理处理,其前提在于该处理必须是合法的处理。无论处理者是否属于国家机关,也无论对公开的个人信息所为的处理活动是收集、存储、使用、加工,还是传输、提供、公开、删除等,只要不属于《个人信息保护法》第72条第1款的排除情形,就必须遵循关于个人信息处理的法律规定。换言之,除了不需要取得个人同意外,公开的个人信息的处理与其他个人信息的处理并没有本质上的区别,即处理行为都必须是合法的。


(二)处理是在合理范围内进行的


所谓合理的范围,应当在权衡个人信息权益保护与个人信息的合理利用这一对利益的基础上,依循必要原则与目的限制原则,运用动态系统论,结合具体的处理场景加以判断。


首先,认定是否在合理的范围处理时应当遵循必要原则。


其次,合理与否的认定必须遵循目的限制原则。具体阐述如下:


(1)合法公开个人信息的主体包括作为信息主体的个人(即自行公开),也包括其他有权机关如立法机关、行政机关、司法机关等(即依法公开),如果他们公开个人信息时确定了用途,则该用途就限定了处理者对公开的个人信息的处理目的和处理方式,也同时表明不符合或者超越该用途的处理行为是不被允许的,是个人信息主体将要明确拒绝的。。


(2)个人信息被公开时的用途不明确的,则应当合理、谨慎地处理已公开的个人信息。这也是目的限制原则的要求。


最后,由于个人信息权益也属于人格权益,故此,《民法典》第998条所引入的动态系统论也可以在对公开的个人信息的处理是否合理的判断中加以运用。


六、结语


在我国,公开的个人信息虽然不受隐私权保护,但仍然是个人信息,受到个人信息保护法的保护。为了协调个人信息权益保护和个人信息的合理利用,《民法典》与《个人信息保护法》对公开的个人信息的处理作出了专门的规范。



    进入专题: 个人信息处理  

本文责编:陈冬冬
发信站:爱思想(https://www.aisixiang.com)
栏目: 学术 > 法学 > 民商法学
本文链接:https://www.aisixiang.com/data/139782.html
文章来源:本文转自《中国法学》2022年第3期,转载请注明原始出处,并遵守该处的版权规定。

爱思想(aisixiang.com)网站为公益纯学术网站,旨在推动学术繁荣、塑造社会精神。
凡本网首发及经作者授权但非首发的所有作品,版权归作者本人所有。网络转载请注明作者、出处并保持完整,纸媒转载请经本网或作者本人书面授权。
凡本网注明“来源:XXX(非爱思想网)”的作品,均转载自其它媒体,转载目的在于分享信息、助推思想传播,并不代表本网赞同其观点和对其真实性负责。若作者或版权人不愿被使用,请来函指出,本网即予改正。
Powered by aisixiang.com Copyright © 2024 by aisixiang.com All Rights Reserved 爱思想 京ICP备12007865号-1 京公网安备11010602120014号.
工业和信息化部备案管理系统