●丁晓东
公开个人信息的法律保护一直是难题与争议焦点。一方面,有观点认为,公开个人信息位于公共领域,不需要对其进行保护。〔1〕See Heidi Reamer Anderson, The Mythical Right to Obscurity: A Pragmatic Defense of No Privacy in Public, 7 J.L.Pol’y for Info.Soc’y 543, 549 (2012); Robert G.Larson III, Note, Forgetting the First Amendment: How Obscurity-Based Privacy and a Right to Be Forgotten Are Incompatible with Free Speech, 18 Comm.L.& Pol’y 91, 112 (2013); Jane E.Kirtley, Misguided in Principle and Unworkable in Practice: It Is Time to Discard the Reporters Committee Doctrine of Practical Obscurity (and Its Evil Twin, the Right to Be Forgotten), 20 Comm.L.& Pol’y 91, 109 (2015).例如,对学校网站上的教师信息而言,任何网民都可以自由访问与复制;人们在广场、街道和景点拍摄的照片中如果包含他人肖像,一般不需要进行模糊化处理。另一方面,有观点认为,公开个人信息的大规模处理会带来风险,应当受到个人信息保护法的保护。〔2〕See Jonathan B.Mintz, The Remains of Privacy’s Disclosure Tort: An Exploration of the Private Domain, 55 Md.L.Rev.425, 440-41 (1996); Daniel J.Solove, The Digital Person: Technology and Privacy in the Information Age 97-100 (2006); Erin B.Bernstein,Health Privacy in Public Spaces, 66 Ala.L.Rev.989, 993 (2015).针对公开个人信息,我国《个人信息保护法》第13 条第(六)项规定:“依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息”,个人信息处理者可以处理个人信息。第27 条进一步规定:“个人信息处理者可以在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;个人明确拒绝的除外。个人信息处理者处理已公开的个人信息,对个人权益有重大影响的,应当依照本法规定取得个人同意”。《民法典》对行为人不承担民事责任进行了类似规定,第1036 条第(二)项规定:“合理处理该自然人自行公开的或者其他已经合法公开的信息,但是该自然人明确拒绝或者处理该信息侵害其重大利益的除外”。
在学术研究与法律解释层面,一系列问题仍然存在。首先,如何看待我国公开个人信息保护制度在全球法律体系中的定位?正如艾纽·布拉德福特(Anu Bradford)教授所言,中国、美国、欧盟已经成为个人信息保护等数字领域最重要的三个区域。〔3〕See Anu Bradford, Digital Empires: The Global Battle to Regulate Technology 1-6 (2023).鉴于我国个人信息保护制度受到域外影响,同时影响全球的相关制度的情况,有必要在全球特别是中国、美国、欧盟比较的视野下对相关问题进行研究。其次,如何理解与解释我国《个人信息保护法》中的公开个人信息保护制度?我国对公开个人信息保护的制度设计仅针对收集环节,还是个人信息处理的所有环节?在信息处理者根据《个人信息保护法》第13 条的合法性基础收集个人信息后,个人是否还具有相关信息权利?信息处理者是否还应当履行相关义务?例如,个人是否可以向信息处理者提起知情决定权、撤回权、查阅复制权、更正补充权、删除权、解释说明权、死者亲属权等权利主张?信息处理者在收集公开个人信息后,是否还应当承担安全保障、设立个人信息专员、履行合规审计、个人信息影响评估等义务?
此外,很多更为具体的制度问题需要进一步分析。例如,公开应当根据个人主观性,还是某种客观标准进行判断?互联网上可以搜索到的信息是否都属于公开信息?〔4〕See Frederick Schauer, Internet Privacy and the Public-Private Distinction, 38 Jurimetrics 555, 558 (1998).个人在商业街、商场、咖啡馆、教室、酒吧的活动是否属于公开信息?小范围的群聊或几个朋友可见的朋友圈信息是否属于公开信息?如何理解与界定“合理的范围内”“对个人权益有重大影响”或“侵害其重大利益”?当ChatGPT、文心一言利用互联网公开信息进行训练时,是否属于合理范围内的利用,以及是否造成了对个人权益的重大影响或侵害?“个人明确拒绝的除外”中的“拒绝”应当如何行使?个人表达相关意愿是否都属于个人拒绝?
欧盟、美国和我国对公开个人信息的保护按照强度形成了一个光谱,美国、欧盟位于这个光谱的两端,我国位于中间,在制度上形成了区别于美国和欧盟的中国方案。从比较法视野出发,可以确定我国公开个人信息保护的全球定位。
欧盟对公开个人信息与非公开个人信息一体保护。在《一般数据保护条例》规定的合法性基础中,欧盟没有列举个人信息的公开性。〔5〕参见《一般数据保护条例》第6 条。这意味着,当信息处理者处理在互联网等公开环境下获取的个人信息时,仍然需要获得个人同意或其他合法性基础。在此之前已经失效的第95/46/EC 号《数据保护指令》(Data Protection Directive)中,〔6〕See Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the Protection of Individuals with Regard to the Processing of Personal Data and on the Free Movement of Such Data, 1995 O.J.(L 281)31, 50.欧盟进行了类似规定。
当然,欧盟对公开个人信息设置了少量例外,减轻其保护义务。对于禁止处理的特殊种类的个人信息,《一般数据保护条例》将公开个人信息作为例外。《一般数据保护条例》第9 条规定,对于“数据主体已经明显公开的相关个人数据(data manifestly made public)的处理”,不适用于禁止处理的规定。〔7〕参见《一般数据保护条例》第9 条第2 款(e)。不过欧洲数据保护委员会(European Data Protection Board,EDPB)又对这一例外做了限定性规定。EDPB 的指南指出,“公开”应理解为在大众媒体上发布数据、将数据发布到在线社交网络平台或类似的行动。个人数据的公开必须具有“明显性”,需要数据主体采取肯定的行动,并且意识到这一行为的后果。即使在收集数据后,数据控制者仍然需要遵守个人信息处理的合法性基础与个人信息处理原则。〔8〕See EDPB, Guidelines 8/2020 on the Targeting of Social Media Users Version 2.0, para 114,127-12, available at: https://edpb.europa.eu/system/files/2021-04/edpb_guidelines_082020_on_the_targeting_of_social_media_users_en.pdf.
《一般数据保护条例》第86 条规定,对于官方合法公开的个人信息,公众可以进行合法访问。但《一般数据保护条例》的“重述”部分也明确指出,政府信息公开“不影响欧盟和成员国法律规定的个人数据处理方面对自然人的保护水平,尤其是不改变本条例规定的义务和权利”。〔9〕《〈一般数据保护条例〉重述》第154 条。这意味着,对官方合法公开的个人信息而言,欧盟的数据控制者或处理者仍然需要遵守《一般数据保护条例》的相关规定。
欧盟之所以采取公开个人信息与非公开个人信息一体保护的模式,是因为欧盟的个人信息保护法以防范“处理关系”中的个人信息风险为核心。《一般数据保护条例》明确指出,其适用范围限于“自动化处理”“半自动化处理”,或者为了存档系统(filing system)而进行的手动处理。〔10〕参见《一般数据保护条例》第2 条第1 款。更早之前的第95/46/EC 号《数据保护指令》及其“重述”(recital)也作出了类似规定。〔11〕参见《〈数据保护指令〉重述》第27 条。在欧盟法关注的“处理关系”中,个人信息的公开性并未消除其处理带来的风险。
与欧盟相反,美国主要地区的个人信息保护制度不保护公开个人信息。以加州为例,2023 年生效的《加利福尼亚州隐私权利法案》(California Privacy Rights Act,CPRA)规定,公开个人信息不属于个人信息。公开个人信息指“消费者向其披露信息的人提供的、没有将信息限制在特定受众的信息”,这类信息除了包括“从联邦、州或地方政府记录中合法提供的信息”,还包括“企业有合理依据相信消费者、广泛传播的媒体或消费者合法向公众提供的信息。”〔12〕《加利福尼亚州民法典》1798.140.(O)(2).美国其他州的立法,如《科罗拉多州隐私法》(Colorado Privacy Act,CPA)〔13〕《科罗拉多州隐私法》规定,公开信息是“从联邦、州或地方政府记录中合法提供的信息,以及控制者有合理依据相信消费者已合法向公众提供的信息”,不在该法保护范围内。See Colorado Privacy Act, 6-1-1303.17(b).、《弗吉尼亚州消费者数据保护法》(Virginia Consumer Data Protection Act,VCDPA)〔14〕《弗吉尼亚州消费者数据保护法》规定:“通过联邦、州或地方政府记录合法提供的信息,或企业有合理依据相信通过广泛传播的媒体或消费者向其披露信息的人合法向公众提供的信息”,不受该法保护。See Virginia Consumer Data Protection Act, 59.1-571.明确将公开个人信息排除在保护范围之外。
在联邦层面,美国的一些行业性立法也将公开个人信息排除在保护范围之外。例如,金融领域的《格雷姆-里奇-比利雷法》(Gramm-Leach-Bliley Act,GLBA)将“个人可识别的金融信息”定义为“非公开的个人信息”。除了从政府记录、媒体与合法公开信息中获取的个人信息外,该法案还规定,如果“(i)信息属于公众可获得的类型及(ii)如果个人可以指示不向公众提供这些信息,但您的消费者没有这样做,则您有合理的依据相信信息是合法向公众提供的”。〔15〕C.F.R.§ 313.3 (2018).
美国将公开个人信息排除在保护范围之外,与美国法的“大隐私”概念体系及公私二元划分观念密切相关。〔16〕See Donald R.C.Pongrace, Stereotypification of the Fourth Amendment’s Public/Private Distinction: An Opportunity for Clarity, 34 Am.U.L.Rev.1191, 1196 (1985).与欧盟法严格区分隐私及个人信息保护不同,美国法虽然对二者进行保护手段上的区分,但在价值目标上将个人信息视为大隐私的一类,并常常冠以“信息隐私”或“数据隐私”的称谓。〔17〕See Daniel J.Solove, Conceptualizing Privacy, 90 Calif.L.Rev.1087 (2002).在美国法律体系中,一旦信息进入公共领域,即不受法律保护,公众可以自由获取。例如,在侵权隐私的语境中,美国法院的经典论述是:“已经公开的材料中不可能有隐私”;〔18〕Gill v.Hearst Publishing Co., 253 P.2d 441 (1953).在宪法隐私的语境中,美国最高法院认定,对公共领域个人信息的监控不违反宪法第四修正案。〔19〕See Florida v.Jardines, 133 S.Ct.1409, 1414 (2013).美国的信息隐私法将公开个人信息排除在外,可谓延续了美国法的一贯精神。
相比欧盟和美国,我国的公开个人信息保护制度具有独特性。一方面,我国《个人信息保护法》与欧盟《一般数据保护条例》具有较高相似性,将公开个人信息视为个人信息的一部分,没有像美国一样将个人信息排除在保护范围之外。《个人信息保护法》的起草者在释义中指出:“处理公开个人信息,也有侵害个人信息权益的风险,应当对处理已公开的个人信息作出必要的规范”。〔20〕杨合庆主编:《中华人民共和国个人信息保护法导读与释义》,中国民主法制出版社2022 年版,第62 页。另一方面,《个人信息保护法》第13 条和第27 条对公开个人信息进行了特殊规定。第13 条将“依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息”作为处理的合法性基础;第27 条对此进行再次规定,“个人明确拒绝的除外。个人信息处理者处理已公开的个人信息,对个人权益有重大影响的,应当依照本法规定取得个人同意。”上述规定使我国的公开个人信息保护制度区别于欧盟。如果将公开个人信息保护的强度视为一个光谱,我国的制度大概处于欧盟和美国之间。〔21〕参见刘晓春:《已公开个人信息保护和利用的规则建构》,载《环球法律评论》2022 年第2 期,第54-58 页。
与此相应,我国的公开个人信息保护制度既可以从严解释,也可以从宽解释。一方面,从严解释意味着我国《个人信息保护法》仅仅为收集公开个人信息提供了告知同意之外的合法性基础,并未减少其他个人信息权利保护与信息处理者义务的适用。例如,当搜索引擎收集互联网网页上的个人信息后,个人依然可以对搜索引擎提起删除权、更正权等权利主张;搜索引擎仍然需要对其履行安全保障等义务。另一方面,我国的公开个人信息保护制度可以进行从宽解释,将其理解为对个人信息处理的整体性豁免。除了在“合理的范围”之外,“个人明确拒绝”“重大影响”等少数情形外,《个人信息保护法》中的个人信息权利与信息处理者义务的相关规定将不再适用。
我国的公开个人信息保护制度应更类似欧盟进行从严解释,还是更类似美国进行从宽解释?对其进行分析,可以发现两种解释都存在困境,其根源在于,个人信息保护法本身就是一种治理型的法,〔22〕See Margot E.Kaminski, Binary Governance: Lessons from the GDPR’s Approach to Algorithmic Accountability, 92 S.Cal.L.Rev.1529 (2019).这种治理型的法叠加“公开”这一因素,使公开个人信息保护更面临不确定性。
如果对“公开个人信息”从严解释,将其理解为仍然需要遵守一般的个人信息权利与信息处理者义务,那么会发现这种进路的若干困境。
首先,个人行使信息权利的渠道更难保证。当信息处理者从公开渠道收集信息时,信息处理者与个体间一般没有直接的交互界面或沟通渠道。这与很多非公开个人信息的处理有较大差别。在常见的非公开个人信息处理过程中,信息处理者和个体往往形成一种持续性的交互关系,例如,商家与消费者、互联网企业与用户、用人单位与劳动者往往具有彼此互惠信任的长期关系。〔23〕从关系的类型来看,这种关系接近于关系型契约(relational contract)。在关系型契约中,双方的关系主要基于长期信任关系维系,而非基于一次性、对抗性的利益关系维系。See Ian R.Macneil, Relational Contract Theory: Challenges and Queries, 94 Nw.U.L.Rev.877 (2000).一旦此类信息处理者侵害个人信息,消费者、用户或劳动者就可以针对相关信息处理者进行投诉或主张权利,相关信息处理者也可能进行回应,以避免用户流失或个体投诉。〔24〕See Kenneth A.Bamberger & Deirdre K.Mulligan, Privacy on the Books and on the Ground, 63 Stan.L.Rev.247 (2010).但在公开个人信息处理过程中,由于缺乏交互界面或沟通渠道,个体往往难以有渠道进行此类主张,信息处理者更可能对个体主张置之不理。如此一来,个人信息保护制度中的相关信息权利就可能形同虚设,形成普遍违法的困境。
其次,一些个人信息权利的行使将更不合理。以个人信息更正权为例,当信息处理者从官方公开信息或从个人的社交网站上搜集信息时,一般都以原始信息为准,很难满足个人提起的更正权主张。即使是非公开个人信息,信息处理者也很难有能力对某一个人信息进行验证与更正;就公开个人信息而言,这种验证与更正的难度更大。对于官方公开的个人信息,信息处理者往往更愿意相信其权威性;对于网络等其他渠道公开的个人信息,信息处理者会倾向于认定这类信息得到了公众的认可。在公开个人信息的例子中,要求信息处理者保障个人信息更正权并不合理。
最后,个人信息的保密性、非公开性等信息处理者义务难以适用于公开个人信息。《个人信息保护法》第9 条规定:“个人信息处理者应当对其个人信息处理活动负责,并采取必要措施保障所处理的个人信息的安全”;第10 条规定,信息处理者“不得非法买卖、提供或者公开他人个人信息”。但就公开个人信息而言,信息处理者常常需要公开或半公开此类信息。例如,搜索引擎会公开展示其他网站上的个人信息,拓展公众搜索个人信息的渠道,〔25〕See Gumzej Nina, “The Right to Be Forgotten”and the Sui Generis Controller in the Context of CJEU Jurisprudence and the GDPR, 17 Croatian Y.B.Eur.L.& Pol’y 127 (2021).一些数据库也会搜索网络公开信息,并对用户或会员开放。如果将此类义务都适用于公开个人信息处理,那么将导致大量常见的商业模式违法。
如果对公开个人信息从宽解释,将其理解为豁免告知同意之外的个人信息权利与信息处理者义务,那么也会存在若干困境。
首先,从宽解释与我国《个人信息保护法》采取的立法模式及其原理不符。在立法模式上,我国整体与欧盟相似,不仅在保护手段上区分了隐私权与个人信息保护,而且在价值目标上对二者进行了区分,以实现对个人信息的有效治理。〔26〕参见丁晓东:《隐私权保护与个人信息保护关系的法理——兼论〈民法典〉与〈个人信息保护法〉的适用》,载《法商研究》2023 年第6 期,第68-69 页。公开个人信息虽然具有特殊性,但对其进行大规模的商业化或专业化处理仍然会给个人和社会带来风险。例如,对个人自行公开的个人信息而言,如果此类信息被大规模收集、分析和制作为数据库,并被转卖给黑灰产业甚至是诈骗分子,那么此类大规模处理将系统地增加原本具有零散性的个人信息风险。官方公共机构公开的个人信息亦是如此,当个体或公众对官方记录进行访问时,带来的风险也是零散性的,公众知情权的收益要大于此类风险。如果信息处理者利用技术手段对官方记录进行访问与处理,那么此类风险就可能汇聚与倍增。〔27〕See Daniel J.Solove, Access and Aggregation: Public Records, Privacy and the Constitution, 86 Minn.L.Rev.1137, 1138 (2002).即使在强调信息公开与信息自由的美国,法院也认同这一点。在有关案例中,美国最高法院指出,在“详细搜索全国各地的法院档案、县档案和地方警察局后可能发现的公共记录”与“搜索某一信息交换所的计算机化摘要之间”,二者“存在巨大差异”。〔28〕U.S.DOJ v.Reporters Committee for Freedom of the Press, 489 U.S.749 (1989).
其次,针对公开个人信息,某些个人信息权利可以作为有效的制度工具,对信息处理关系进行合理规制。以针对搜索引擎的删除权与被遗忘权为例,搜索引擎虽然爬取的是互联网上的公开信息,但对这种信息处理造成了个人信息的更广泛传播。〔29〕See Schauer, supra note 4, 558.特别是当搜索引擎将一些过时、私人或非必要(outdated,private,or unnecessary)的信息永久性地留存于搜索记录时,个体针对搜索引擎行使删除权与被遗忘权,并对其进行场景化界定,将可以有效平衡搜索引擎的信息传播功能、公众知情权与个体权益。〔30〕See Robert C.Post, Data Privacy and Dignitary Privacy: Google Spain, The Right To be Forgotten, and the Construction of the Public Sphere, 67 Duke L.J.981, 1057-1060 (2018).
最后,针对公开个人信息,很多信息处理者义务或责任也有适用的必要。就安全保障而言,内部管理制度和操作规程、分类管理、后台的加密、去标识化措施、操作权限设置、实施个人信息安全事件应急预案能够降低个人信息被用于非法途径的风险,强化对个人信息的保护。就个人信息专员而言,这一义务可以强化信息处理者对个人信息的保护,为个人与执法机构提供便利的沟通渠道。就合规审计与个人信息影响评估而言,这两项义务可以有效降低个人信息处理带来的社会风险。〔31〕See Reuben Binns, Data Protection Impact Assessments: A Meta-regulatory Approach, 7 Int’l Data Priv.L.22 (2017).此外,公开个人信息虽然能够为一般公众访问,但其后台仍然存在泄露、篡改、丢失等风险。
对公开个人信息保护的从严解释和从宽解释面临的困境具有若干原因。
第一,就普通个人信息而言,其法律适用存在诸多不确定性。个人信息保护法的本质是规范个人信息处理关系,〔32〕参见高富平:《个人信息处理:我国个人信息保护法的规范对象》,载《法商研究》2021 年第2 期,第76-77 页。通过个体赋权与信息处理者责任实现有效治理。〔33〕参见王锡锌:《国家保护视野中的个人信息权利束》,载《中国社会科学》2021 年第11 期,第115 页。在目标方面,这一法律制度的目标既包括保护个人隐私、人格尊严等权益,又包括保证信息完整、信息质量、个人便利、人身财产安全等权益。在现实场景方面,个人信息保护法早期主要针对公权力机关对于少量档案类信息的处理,现今演变为企业对海量行为类信息的高频处理。在信息技术高速发展与多元复杂的背景下,个人信息保护中的很多制度面临规制过宽或规制过严的悖论。〔34〕See Fred H.Cate & Viktor Mayer-Schonberger, Notice and Consent in a World of Big Data, 3 Int’l Data Priv.L.67 (2013).
第二,公开个人信息的非私密性降低了其保护的必要性,但并未完全消除。一方面,公开个人信息降低了其保护需求。就个人自行公开的个人信息而言,个体对于此类信息的法律保护期待相对较低,无论其中的隐私性权益,还是个人信息的准确真实性,个人在自行公开之初都有合理预期,社会对此类信息也有合理获取与传播的预期。〔35〕隐私合理预期的理念首先在宪法隐私领域被确立,其后在数据隐私等领域也产生了影响。See Katz v.United States, 389 U.S.347, 351 (1967); Brian J.Serr, Great Expectations of Privacy: A New Model for Fourth Amendment Protection, 73 Minn.L.Rev.583,597-98 (1988-1989).在国外有关案例中,有法官将个人在社交网络上发布的信息类比为“在窗口向外尖叫,个人对隐私没有合理期待”,“这与私人电子邮件、私人直接消息、私人聊天或任何其他现成的通过互联网进行私人对话的方式都不一样”。〔36〕People v.Harris, 949 N.Y.S.2d 590, 595 (Crim.Ct.2012).就通过公共档案或其他合法途径公开的个人信息而言,在公开之初就已经对个体权益与公共利益进行过衡量,〔37〕参见张新宝、魏艳伟:《司法信息公开的隐私权和个人信息保护研究》,载《比较法研究》2022 年第2 期,第104 页。如果此类档案中的个人信息未进行匿名化,那么说明公共机构认为公众的知情权具有优先性。如果此类档案中的个人信息存在错误,那么个体应该先向公共机构申请更正。另一方面,公开个人信息保护的需求仍然存在,当公开个人信息被大规模收集与利用时,公开个人信息处理就可能成为侵害各类权益的风险“放大器”。〔38〕See Helen Nissenbaum, Toward an Approach to Privacy in Public: Challenges of Information Technology, 7 Ethics & Behav.207, 208 (1997).例如,当网络公开个人信息被系统性收集和利用,转卖给第三方时,这类信息一旦落入犯罪分子手中,就会成为电信诈骗等各类犯罪活动的帮手。个人信息保护制度的一大特征是防止“大规模微型侵权”,〔39〕参见王利明、丁晓东:《论〈个人信息保护法〉的特色、亮点与适用》,载《法学家》2021 年第6 期,第12-13 页。公开个人信息虽然有特殊性,但对其进行大规模处理仍然具有这一特征。
第三,在公开个人信息的收集与利用中,信息处理者与个人往往缺乏联系与纽带,这增强了公开个人信息保护的必要性。在一般情况下,信息处理关系常常是消费者关系、劳动关系、网络用户服务关系、公共服务关系的一部分。只有依附一定的关系,信息处理者才具有获得个人信息的渠道,而此类渠道或关系也为个人信息保护提供了内生动力。就个体而言,个人信息被收集利用常常是服务所需,或者是在服务过程中产生的需求,个体对信息处理者往往有一定的信任和期待,对于产生的侵权行为,个体也有较为直接的沟通投诉渠道;就信息处理者而言,信息处理者为了赢得用户信任和避免被投诉,往往有动力保护个人信息,维持双方共赢。
在很多公开个人信息处理的场景中,信息处理者与个人不存在服务或持续性的交互关系,双方往往缺乏信任。就个体而言,个体常常难以找到沟通渠道,提起信息权利主张或进行投诉;就信息处理者而言,信息处理者往往不太在意被收集对象的权益。例如,在征信等场景中,征信企业从公共空间或第三方收集个人信息,但其服务对象是银行等机构,因此征信机构并不热心回应个人投诉与举报。只要此类投诉与举报不影响其业务,征信机构就选择无视个人的权利主张。
针对个人信息保护的特点与公开个人信息的特殊性,可以对公开个人信息保护制度进行合理界定。应将公开个人信息视为特殊类型进行保护,而非对其进行一般性豁免。不过,鉴于公开个人信息的非私密性与非交互性特征,应当结合个人信息保护制度的基本原理进行分析。本部分分析我国《个人信息保护法》对公开个人信息的特殊性规定,下一部分将分析《个人信息保护法》中其他制度的适用。
《个人信息保护法》并未对“公开个人信息”进行明确界定,仅规定了自行公开与合法公开两类公开个人信息。对公开个人信息的范围进行界定,需要认识到个人信息的公开与非公开不是非此即彼,〔40〕所有公开个人信息都是相对的。See Helen Nissenbaum, Privacy as Contextual Integrity, 79 Wash.L.Rev.119, 120-21 (2004).而是“多维的、连续的和相对的、流动的和情境的或上下文的,其含义在于如何解释和界定。”〔41〕Gary T.Marx, Murky Conceptual Waters: The Public and the Private, 3 Ethics & Info.Tech.157, 157 (2001).例如,新闻媒体报道的个人信息往往公开性非常强,互联网上的微博、X(Twitter)等具有一定公共性的社交网络中的个人信息公开性也相对较强。相对而言,微信朋友圈、小范围的微信群的公开性相对较弱。线下的情形也是如此,大型广场、商业街、商场的公开性相对较强,咖啡馆、教室、酒吧的公开性相对较弱。同时,位置与场所也并不完全决定个人信息的公开性与非公开性。例如,一条普通的商业街与北京三里屯、成都太古里这类经常被街拍的商业街相比,公开性可能也不相同。〔42〕对于仅凭位置/场所界定公开与否的批判。See Diane L.Zimmerman, Requiem for a Heavyweight: A Farewell to Warren and Brandeis’s Privacy Tort, 68 Cornell L.Rev.291, 347 (1983).此外,还需要认识到,即使是公开个人信息,个人也可能对于其保护具有期待。例如,个人的人脸信息、步行姿态等信息可能都会暴露在公开场所,信息处理者可以进行合法街拍、航拍和公共视频监控,如果在未经个人同意的情形下利用技术进行人脸识别与步态识别,那么就可能对个人权益造成侵害。〔43〕美国数据隐私法虽然将公开个人信息排除在个人信息保护范围之外,但有的州仍将可公开获得的生物类信息视为个人信息,例如,CPRA 规定:“‘公开可用’并不意味着企业有权在消费者不知情的情况下收集有关消费者的生物特征信息”。参见《加利福尼亚州民法典》1798.140.V(1)(L).
在隐私权法的框架内,公开个人信息的保护面临争议。沃伦(Samuel Warren)与布兰代斯(Louis Brandeis)将隐私侵权界定为“个人独处的权利”。〔44〕See Samuel D.Warren & Louis D.Brandeis, The Right to Privacy, 4 Harv.L.Rev.193 (1890).但公开与非公开的界限常常难以界定。例如,有的个人信息仅在朋友间或小范围内公开,有的信息虽然已经在小社区公开,但被新闻媒体报道后,仍然对个人隐私产生了较大冲击。〔45〕此类情形往往涉及个人权益与公共知情权或言论自由的平衡。See Neil Richard, Reconciling Data Privacy and the First Amendment, 52 UCLA L.Rev.1145 (2005).随着法律实践的发展与学术研究的深化,隐私法研究的专家逐渐认识到,应当放弃对公开性的物理性与单一性界定,转而以理性个体或社会的合理预期来判断个人信息的私密性与公开性。例如,罗伯特·波斯特指出,对于隐私的边界应以社会的合理预期、结合“社会规范”(social norms)进行理解,避免将其理解为某种独立的无力空间。〔46〕See Robert C.Post, The Social Foundations of Privacy: Community and the Self in the Common Law Tort, 77 Calif.L.Rev.957(1989).
在个人信息保护制度的框架中,个人信息的公开性也可以通过理性个体或社会合理预期进行理解。如果理性个体对某一个人信息不具有合理的保护期待,那么该信息可以被视为公开个人信息,适用相关特殊制度;相反,该信息应当被视为非公开个人信息,适用个人信息保护的一般制度。不过需要强调的是,理性个体的合理预期应当以社会客观性的标准来看待。例如,个人在微博上公开发布自己的信息,就不能预期该信息不被陌生人搜索到。在域外的案件中,有人在自己的博客空间发表日记,误认为博客空间只为自己所见,还有人创建了地址极为复杂的个人网页,误认为这一网址不能被任何人知晓,但其网站信息都可被搜索引擎搜到。在此类情形下,法院无一例外地认定,合理预期应当以理性人或社会的客观标准进行判断,而不能以个人的主观标准进行判断。〔47〕在美国的公开个人信息界定中,很多州的立法都以信息处理者的合理预期,而非个体的合理预期为判断标准。例如,《康涅狄格州数据隐私法》规定,公开个人信息是指“控制人有合理的依据相信消费者已合法向公众提供的信息”。See Connecticut Data Privacy Act, Section 1.(25).一旦博客或个人网站接入互联网,这类网站信息就应当被社会认定为可以合法访问的空间。〔48〕See Moreno v.Hanford Sentinel Inc., 91 Cal.Rptr.3d 858, 862-63 (Ct.App.2009)
《个人信息保护法》第13 条与第27 条规定的“合理的范围内”与个人信息处理原则特别是必要性原则密切相关。〔49〕参见王海洋、郭春镇:《公开的个人信息的认定与处理规则》,载《苏州大学学报(法学版)》2021 年第4 期,第65-66 页;王冉冉:《已公开的个人信息的合理使用及其缩限》,载《现代法学》2023 年第4 期,第49-53 页。必要性原则指对个人信息的处理以必要为限,不得超过合理的限度。必要性原则又包括“目的明确”与“最小化处理”原则,前者指个人信息的处理应当有明确或特定目的,对个人信息的处理不能够违反该初始目的,后者指对个人信息的处理应当为了实现数据处理目的必要的、应当采取对个人权益影响最小的方式。我国《个人信息保护法》虽然允许处理公开个人信息,但显然希望这种处理仍然遵守一定的个人信息处理原则,特别是不能超出必要性原则。
个人信息处理的必要性原则本身就具有较大弹性。如果按最严格理解,那么个人信息的处理目的必须非常特定具体,个人信息处理必须和这一目的严格一致。但这种理解也被认为与现代个人信息处理的特点不一致。〔50〕See Tal Z.Zarsky, Incompatible: The GDPR in the Age of Gig Data, 47 Seton Hall L.Rev.995 (2016).现代数字经济常常需要对个人信息进行融合与二次分析,为用户提供更好的服务,发挥大数据的效用。因此,不少国家和地区都对必要性原则进行了与时俱进的解释。例如,英国信息委员会办公室(ICO)将“必要性”界定为根据“公平性”原则来解释目的限定与数据最小化原则。〔51〕See UK Information Commissioner’s Oきce, Big data, Artificial Intelligence, Machine Learning and Data Protection, 37-39(2017), available at: https://ico.org.uk/media/for-organisations/documents/2013559/big-data-ai-ml-and-data-protection.pdf.
公开个人信息处理的必要性原则更应进一步限定。应当从社会风险预防的角度对“合理的范围内”进行理解,将其解释为在此范围内的处理不会带来不成比例和难以预期的社会风险。公开个人信息之所以被个人信息保护制度纳入保护范围,而非像侵权隐私不受保护,是因为个人信息保护制度关注大规模个人信息处理的社会风险。〔52〕参见梅夏英:《社会风险控制抑或个人权益保护——理解个人信息保护法的两个维度》,载《环球法律评论》2022 年第1 期,第5-6 页。对于不会显著增加社会风险的个人信息处理,信息处理者可以对其进行二次利用。例如,利用公开个人信息进行人工智能训练,此类处理能够促进人工智能的发展,减少人工智能中的偏见与歧视,应当将其视为在合理范围内的处理。〔53〕See Mark A.Lemley & Bryan Casey, Fair Learning, 4 Tex.L.Rev.99 (2023);丁晓东:《论人工智能促进型的数据制度》,载《中国法律评论》2023 年第6 期,第175 页。搜索引擎对公开个人信息的利用与传播,属于社会与行业普遍接受的商业模式,也应视为合理范围内的处理。但如果信息处理者在收集公开个人信息后,将公开个人信息制作成档案类数据库并转售给没有具体业务、没有信息去标识化机制的第三方,那么此类信息处理应被视为超出了“合理的范围内”的规定。〔54〕在刑法上,侵犯个人信息罪也应从社会风险预防的角度进行分析,而非从个人信息的数量上进行考虑。参见周光权:《侵犯公民个人信息罪的行为对象》,载《清华法学》2021 年第3 期,第25-40 页;王华伟:《已公开个人信息的刑法保护》,载《法学研究》2022 年第2 期,第191-208 页;刘宪权:《擅自处理公开的个人信息行为的刑法认定》,载《中国应用法学》2022 年第5 期,第20-33 页;江海洋:《论数字时代个人信息的刑法保护路径选择》,载《当代法学》2023 年第5 期,第88-99 页。此类情形没有利用公开个人信息处理带来额外的社会福利,反而大幅增加了个人信息被用于非法活动的风险。
就“对个人权益有重大影响”而言,应以理性人或社会的合理预期作为判断标准对其进行理解,将其解释为专业和理性个体或社会预期可能产生的影响。
第一,对重大影响的判断应当是专业和理性个体或社会的客观性判断,不是非专业个体的主观性判断。对于个人信息可能带来的风险或影响,个人的主观判断可能相差甚远。对风险厌恶(risk-averse)和较为敏感的个体而言,他们会将很多个人信息处理视为对个人权益有重大影响;相反,对爱好冒险(risk-seeking)的个体而言,他们会对个人信息处理持开放态度,甚至可能乐见自己的个人信息被处理和广泛传播。〔55〕See Sarah Spiekermann et al., Online Social Networks: Why We Disclose, 25 J.Info.Tech.109.如果仅从个体主观意愿出发,那么信息处理者仍然需要获取所有公开个人信息主体的同意,这将导致公开个人信息的特殊规定形同虚设。
第二,对重大影响的判断应当基于产生重大影响的社会预期和概率,而非对个体产生的已有影响。从社会预期和概率角度进行判断,可以为重大影响的判断提供较为客观的判断标准。反之,如果从已经发生的个体影响结果倒推重大影响,那么任何个人信息处理都可能对个人权益产生重大影响,这将造成公开个人信息处理的普遍违规。以搜索引擎为例,搜索引擎处理公开个人信息带来的预期性社会风险与概率属于可接受范围。如果从个体已经发生的结果来看,那么很多侵权甚至犯罪行为可能都使用过搜索引擎,但并不能因此认定搜索引擎的公开个人信息处理也需要获得个人同意。
“个人明确拒绝”应充分考虑信息处理者对其进行识别的可能性与成本,不能仅凭个体意愿进行判断。如上文所述,公开个人信息处理的一个重要特征是,信息处理者很多时候从公共场所获取个人信息,与个人往往缺乏交互场景。因此,信息处理者往往难以像网站、App、科技产品那样,可以提供用户同意或拒绝的个性化界面。当缺乏交互场景与界面时,信息处理者对个人意愿进行辨认的难度和成本就会非常高。例如,当个体在公共场所穿上“拒绝视频监控”的衣服时,虽然清晰地表达了个人明确拒绝信息处理的意愿,但并不能认定此时的公共监控违法。同样,当个人在微博或网络空间公开个人信息时,在文字中标明此类信息不能被搜索引擎处理,此时个体的意愿也不能阻止搜索引擎的处理。无论是公共视频监控还是搜索引擎,都很难针对个体的意愿进行辨识。
当信息处理者可以利用技术较为容易地识别特定个体的声明或意愿时,应尊重个体意愿。例如,当信息处理者获取的公开个人信息是类似数据库的结构化数据时,〔56〕结构化数据是高度组织化的,容易被机器学习算法阅读的数据,常常以数据库的方式存在。用户可以快速输入、搜索和操作结构化数据。非结构化数据则相反,无法通过传统的数据工具和方法进行处理和分析。其类型常常包括各类办公文档、XML、HTML、图片和音频、视频信息等。如果其中包含了个体拒绝处理的标签,那么应当禁止信息处理者对其进行处理。因为对于此类数据处理,信息处理者可以利用自动化技术措施进行筛选和判断。又如,当个人自建网站并在其网站机器人(robot)协议中明确拒绝对其网站信息进行处理时,信息处理者也应将此类机器人协议视为个人明确拒绝的声明,尊重个体意愿。
此外,信息处理者针对公开个人信息收集的告知义务不能一概免除。〔57〕参见程啸:《论公开的个人信息处理的法律规制》,载《中国法学》2022 年第3 期,第93 页。当此类收集违反理性个体或社会的一般合理预期时,信息处理者应当进行告知。例如,当商家或物业在某些地段安装摄像头时,应当在适当地点张贴告示,减少此类视频监控对个人信息的侵犯。不过,此类告知义务应当是一种合理提示义务,而非确保每个个体充分知情,因为要求信息处理者对每个个体都进行充分告知,既不现实也不合理。信息处理者不仅不可能触达每个个体,而且当信息处理者试图触达个体时,就需要去联系与识别个人,这种努力只会导致信息处理者进一步侵犯个人隐私与生活安宁。
个人信息权利与处理者义务是个人信息保护制度的两大核心。对于公开个人信息,信息处理者在遵循上一部分提到的特殊性规定合法收集后,需要分析如何适用这两大核心制度。
就个人信息权利而言,在公开个人信息的背景下对其进行解释应当避免绝对化,并在整体上进行限缩性解释。
第一,个人信息权利本身就具有程序性或请求权的性质,〔58〕See Meg Leta Jones & Margot E.Kaminski, An American’s Guide to the GDPR, 98 Den.L.Rev.93 (2021).即使对于非公开个人信息,个人信息权利也并非绝对。个人信息权利的行使不仅常常面临一定的难度和成本,而且可能对相关主体的权益造成威胁。〔59〕See Daniel J.Solove, The Limitations of Privacy Rights, 98 Notre Dame L.Rev.975 (2023).以个人信息查阅复制权、更正补充权、删除权为例,这些权利对于非结构化的图片和音频、视频信息类数据,常常很难实现。图片和音频、视频信息常常包含他人信息,很难单独提取个人信息,更难对其更正补充和删除。因此,即使是非公开个人信息,也应当将个人信息权利视为一种“沟通治理型”权利,在具体场景中界定其边界。所谓“沟通治理型”权利,即个人信息权利是一种工具性、程序性、治理性权利,而不是绝对性、实体性权利。这种权利的特点在于监督与激励信息处理者落实合规政策,促进信息处理者更好地保护个人权益。〔60〕参见丁晓东:《个人信息权利的反思与重塑:论个人信息保护的适用前提与法益基础》,载《中外法学》2020 年第2 期,第341-348 页。
第二,公开个人信息整体弱化了个人信息权利的可行性。信息处理者往往通过公共领域或第三方收集公开个人信息,这造成了个体行使权利的困难。个人不但缺乏提起权利主张的交互界面,而且很可能在提起权利主张后没有回音。例如,在美国征信机构对公开个人信息收集的背景下,虽然美国立法规定了个体的更正权等法定权利,但当个体发现征信机构收集的其公开个人信息存在错误并提起更正权请求时,征信机构往往置之不理。〔61〕参见丁晓东:《从个体救济到公共治理:论侵害个人信息的司法应对》,载《国家检察官学院学报》2022 年第5 期,第107 页。征信机构之所以如此行事,是因为其交易对象是银行等第三方机构,征信机构和被收集对象并没有直接交互关系。这与非公开个人信息常常涉及的消费者、劳动者或互联网场景下的关系具有显著差异。〔62〕参见武腾:《个人信息积极利用的类型区分与合同构造》,载《法学》2023 年第6 期,第75-76 页。当个人的电商交易信息被互联网企业收集时,电商企业常常提供个人交易记录、支付记录的查询、删除选项。此类信息处理关系不仅具有较为便利的交互界面,而且信息处理者更在意用户的体验。
第三,公开个人信息弱化了个人信息权利的必要性。个人信息一经公开,就可能被不特定的主体收集和传播,因此个人在自行公开或公共机构合法公开个人信息前,就已经对相关风险进行过衡量,且能预计到其信息被不特定的主体进行处理。在个人已经有较强预期的前提下,应当整体上对公开信息处理的风险自负其责。更何况,大量对个人信息进行收集、利用和传播的主体是普通自然人,这类主体不具有自动化、非自动化或结构性处理个人信息的能力,本来就不适用个人信息保护法。〔63〕参见彭诚信:《论个人信息权与传统人格权的实质性区分》,载《法学家》2023 年第4 期,第150-151 页。即使个人针对信息处理者行使相关权利,也无法禁止非信息处理主体对公开个人信息进行收集、利用和传播。整体而言,利用个人信息权利保障公开个人信息,其必要性将大大降低。
当然,在少数情形下,针对公开个人信息的信息权利应当强化。上文已经提到,如果个人信息位于互联网平台的公共空间,而且被收集与利用后仍然位于平台,那么个人针对此类信息的转移权或携带权应当强化。个人访问其位于公开网络平台上的数据,不会给平台带来额外负担。保障此类场景中的个人信息携带权还能在一定程度上矫正个人与平台在信息利用能力上的不平等,促进数据公平利用。〔64〕如果考虑到用户的数据公平访问利用权,则更应当保证这一权利的实现。参见丁晓东:《数据公平利用的法理反思与制度重构》,载《法学研究》2023 年第2 期,第21 页。在技术可行与生态兼容的情形下,个人应当可以访问与利用其个人信息,并要求第三方平台接收其信息。平台也无权通过用户协议排除此种权利,即使个人违反用户协议,平台也无权向个体追究违约责任。〔65〕平台公开个人信息的转移,还可能涉及竞争秩序与侵权问题。参见杨芳:《个人公开信息爬取中侵权法与竞争法的互动》,载《中国法律评论》2022 年第6 期,第143 页。
信息处理者对公开个人信息处理的义务应当维持不变。例如,就《个人信息保护法》第51 条规定的义务而言,信息处理者制定内部管理制度和操作规程、对个人信息实行分类管理、采取相应的加密、去标识化等安全技术措施;合理确定个人信息处理的操作权限,定期对从业人员进行安全教育和培训;制定并组织实施个人信息安全事件应急预案,有利于保障公开个人信息的安全、预防相关风险。同样,对第52 条确立的个人信息专人保护制度、第53 条规定的境外个人信息处理者设立专门机构或者指定代表、第54 条规定的合规审计、第55 条规定的个人信息保护影响评估,也应要求信息处理者履行此类义务。
信息处理者义务维持不变,其原理在于个人信息保护制度对微型风险大规模积聚的防范。个人信息保护制度之所以设置信息处理者义务,而非仅仅依赖于个人同意与相关个人信息权利,是因为个人信息保护需要防范信息处理的群体风险或社会风险。即使个体愿意自负风险,信息处理者仍然需要采取措施积极预防与消除此类风险,况且面对现代科技的发展,以个体信息自决为基础面临越来越多的挑战,〔66〕See Neil Richards & Woodrow Hartzog, The Pathologies of Digital Consent, 96 Wash.U.L.Rev.1461(2019).信息处理者的义务与责任变得愈加重要。公开个人信息虽然有其特殊性,例如,其私密性显著降低,个人对于公开个人信息更具有自主风险防范意识,但这些特征没有改变信息处理者进行大规模处理带来的风险汇聚问题。〔67〕See Solove, supra note 27, Access and Aggregation, at 1138.如果将个人信息处理类比为水库中的水滴汇聚,将单条个人信息类比为经过净化的水滴,那么对于清洁水滴在水库汇聚后,仍然可能产生各类环境与生态反应,水库仍然需要承担相关环境保护与风险预防责任。〔68〕See Omri Ben-Shahar, Data Pollution, 11 J.Legal Analysis 104 (2019).
有的信息处理者义务应该弱化,甚至豁免。例如,对于个人信息出境的相关规定,互联网公开个人信息的出境应当豁免相关义务。信息处理者应不需要履行《个人信息保护法》第38 条规定的“国家网信部门组织的安全评估”“个人信息保护认证”或按“标准合同与境外接收方订立合同”义务,第39 条规定的获得“个人的单独同意”义务,以及第55 条规定的个人信息保护影响评估义务。因为对互联网上的公开个人信息而言,境外信息处理者可以自由无障碍地获取,设立此类义务既不现实,也无必要。此外,当相关个人信息处理具有“正当利益”,〔69〕在我国制定《个人信息保护法》时,正值我国个人信息亟待规范之际,因此我国立法者并未像欧盟立法者一样,将信息处理者的“正当利益”列为处理个人信息的合法性基础。但从个人信息保护法的基本原理来看,信息处理者的正当利益应当被视为个人信息处理的合法性基础。关于作为合法性基础的“正当利益”条款的分析,参见易磊:《欧盟法中个人数据保护与商业利用的平衡模式研究》,载《德国研究》2022 年第5 期,第87-88 页。属于公共利益或企业发展所必需时,如果相关信息处理方式没有不成比例地增加有关风险,那么相关处理都应被视为合法。例如,对于互联网的公开个人信息,搜索引擎对其进行搜索、储存和公开,不应将其视为泄露个人信息。
就公开个人信息保护制度而言,形成了以美国为代表的公开个人信息一般豁免、以欧盟为代表的公开个人信息同等保护,以及以我国为代表的公开个人信息特殊保护制度。各个国家和地区的法律制度之所以不同,是因为其法律框架与基础理论不同。美国采取“大隐私”的框架,更多支持个人的自负其责与信息的共享流通,欧盟针对自动化、半自动化或结构化处理个人信息制定个人信息保护制度,因此整体并不区分公开个人信息与非公开个人信息。我国采取了美国与欧盟的中间道路,在允许公开个人信息自由处理的同时,通过相关规定对自由处理进行了限定。笔者认为,我国的公开个人信息保护制度在整体具有更高合理性的同时,需要对相关原理进行进一步阐述,对相关制度进行进一步界定。
具体而言,在原理层面公开个人信息具有若干特点。其一,公开个人信息为个人自行公开或通过公共机构合法公开,因此在公开环节,个人或公共机构就已经对相关风险进行了权衡,这为公开个人信息的处理提供了更强的合理性,也进一步削弱了本来就存在困境的个人信息个体控制论。〔70〕个人自行公开与通过公共机构合法公开仍然存在一定差别,本文认为,法律对于后者的保护应当比前者更严格,因为个人自行公开时,个人的权衡应当包括个人信息的被应用于不特定用途,而后者则是基于特定目的的公开,个人信息公开的目的与其未来被处理的场景可能存在较大区别。参见齐英程:《已公开个人信息处理规则的类型化阐释》,载《法制与社会发展》2022 年第5 期,第216-219 页。其二,个人信息保护制度主要针对个人信息的汇聚性风险,个人信息虽然自行公开或合法公开,但并未完全消除对其保护的必要性。就此而言,个人信息保护制度尤其是其中的信息处理者义务仍然具有重要意义。其三,信息处理者对公开个人信息的收集利用往往从公共领域或第三方获取,信息处理者与个体往往缺乏沟通界面与信任互惠关系。就此而言,法律针对公开个人信息保护的必要性反而有所增强。
在制度层面,我国的公开个人信息豁免制度应当主要限定在个人信息收集环节。在信息收集环节,应当允许信息处理者不必经过告知同意。〔71〕参见张薇薇:《公开个人信息处理的默认规则——基于〈个人信息保护法〉第27 条第1 分句》,载《法律科学》2023 年第3 期,第73-75 页;宁园:《“个人信息已公开”作为合法处理事由的法理基础和规则适用》,载《环球法律评论》2022 年第2 期,第81-84 页。对于何谓公开个人信息,以及何谓《个人信息保护法》规定的“在合理的范围内”“个人明确拒绝的除外”“对个人权益有重大影响”,应当以理性个体或社会的合理预期、结合信息处理的技术可行性与社会风险进行界定,避免以个体主观感受为判断标准。在个人信息收集之后,针对公开个人信息的个人信息权利与信息处理者义务仍然适用。不过个人信息权利应当整体弱化,只有极少数情形才应强化某些信息权利,例如,针对互联网公开个人信息的携带权。信息处理者义务应当整体维持不变,但也应当弱化或豁免个人信息出境、个人信息公开等义务。