已公开个人信息合理处理的实践困境及因应之策

近年来,我国陆续出台相关法律法规,逐步完善了个人信息处理规范,但直到《民法典》的出台,已公开个人信息才被作为个人信息的一种特别类目进行特殊保护。不同于一般个人信息处理中的“告知-同意”规则,已公开个人信息处理规则的特殊性体现在个人信息处理者可以在合理范围内对其进行处理,而无需个人信息所有者的事前同意。但目前已公开个人信息处理实践面临困境:以必要性原则为代表的处理原则界定模糊;“选择-退出”机制与“删除权”机制的实现存在障碍;自由裁量权行使不一的情况时有出现。因此,扫除在个人信息保护深入推进道路上埋下的隐患刻不容缓。文章结合我国现有判例,参考域外相关立法与理论,提出已公开个人信息合理处理的因应之策:在规范层面,对必要性原则进行强化以及将动态系统论引入处理合理性的判断;在机制层面,完善“选择-退出”机制与“删除权”机制。

已公开个人信息刑法规制的分层建构

对未经授权而处理已公开个人信息的行为,刑法理论与实务中存在入罪论、出罪论和折衷论三种观点。入罪论所根据的“二次授权必要说”存在规范衔接错位之虞;出罪论所依据的“二次授权不要说”弱化了知情同意机制的功能;折衷论中,“合理处理”“公开目的”判断标准模糊,“场景理论”逻辑不周延,“一般可访问”标准考察维度较为单一且存在客观归罪之嫌。通过明确“已公开个人信息”的范围,并从公开的主体、范围和形式三重维度分层建构,不失为一条合理路径。据此,处理非法公开的个人信息具有法益侵害性;处理完全公开的个人信息一般无须征得信息主体同意;信息主体自愿在特定范围内公开个人信息的,信息业者只有在超越该范围进行处理时才有必要取得同意。处理依规定在特定范围内公开的个人信息,信息主体有权处分时应征得同意,信息主体无权处分时不得擅自处理;信息主体处分权限不完整时,应取得双重授权。

已公开个人信息的刑法保护界限

未经同意处理已公开个人信息是否构成犯罪在司法实务中存在争议。既有理论中,二次授权说违反法秩序统一原则,也过度限制了个人信息的合理运用;信息开放程度说则使知情同意的判断沦为形式。基于弱同意说,若未经同意的信息处理行为符合自愿公开个人信息的用途或情境,便是在合理范围内处理个人信息,因而不够成犯罪;即便不符合,只要信息主体未表示明确拒绝且未损害其重大利益,便不具有可罚的违法性因而不构成犯罪。由于依法必须公开的个人信息涉及公共利益,只要信息处理行为不以违法犯罪为目的便不应构成犯罪。对已公开个人信息的刑法保护需要侧重于打击非法使用个人信息的行为,为此应将其犯罪化。

论相对公开个人信息的合理使用

“抖音案”等司法实践表明,个人信息并非总是处于绝对私密或绝对公开的情境中,具体场景中个人信息的“相对公开”是一种常态。《个人信息保护法》明确将已公开个人信息处理作为法定的合理使用事由,但“已公开”存在绝对公开与相对公开的差异,需进一步阐释。处于新旧秩序的更迭中的个人信息保护,与隐私仍具有内核的一致性。符合自然人的隐私期待,是自行公开个人信息可合理使用的理论基础与制度逻辑。绝对公开解释既是对《个人信息保护法》的误读,也因缺乏国家保护义务的理论联结,易加剧“告知—同意”规则适用的僵化。为防止恣意扩张适用对个人信息权益的侵蚀,有必要通过合法相对公开、告知义务适用、处理限度划定的“三步检验”,对相对公开个人信息的合理使用行为加以评价与限制。

已公开个人信息合理使用的解释方式与司法认定——以自动化决策应用场景为例

《个人信息保护法》第13条将个人信息的公开作为知情同意规则适用的例外情形,但第27条等规定又对这种例外情形施加“合理的范围”等限制条件。而在实践中,如何解释“合理的范围”“合理使用”存在诸多争议。控制利益保留论、合理期待论、效率平衡论等学术主张在不同程度上忽视了对已公开个人信息保护理论的探讨,存在已公开个人信息保护强度弱于未公开个人信息的逻辑误区。结合国内“法先生滥用麦某公开个人信息案”来看,“合理使用”的认定标准应当以“合法、正当、诚信且必要”等基本原则为基础,结合处理目的、处理方式以及是否存在《个人信息保护法》第27条提及的“明确拒绝”等具体要素进行判断。在涉及评分推荐类自动化决策时,还需要结合“对个人权益存在重大影响”等要素予以明确。

已公开个人信息处理规则的构造及适用——以合法处理事由为中心

立法规定在合理范围内处理已公开个人信息豁免同意,“已公开”作为豁免同意规则的合法处理事由,但是个人(信息主体)明确拒绝的除外,以及“对个人权益有重大影响的”还需取得个人同意,以此为基点形成了耦合式、层次化但遵循了平衡逻辑的规则体系。一方面,规则体系表达了调和个人信息自决和适当必要保护、个人利益与公共利益、同一保护和差异保护、保护成本与流通收益的期许;另一方面,由于规范构成要件因素具有不确定性,规则体系内部以及与外部关系尚处于“混沌”状态。要解决此问题,须以“合法处理事由”为切入点,在明确规则体系内部关系及各要件意蕴的基础上厘清“已公开”“在合理范围内处理”“个人明确拒绝”“对个人权益有重大影响”与相关规范构成要件因素之间的关系,进而调适处理规则体系,使之协调统一。

侵犯公民个人信息的刑法边界研究——以已公开个人信息的保护为视角

已公开个人信息是否值得保护以及如何保护在刑法理论与司法实务中存在重大分歧。侵犯公民个人信息罪的法益应当确定为信息自决权,处理已公开个人信息的行为有侵犯信息自决权之可能,因此刑法应当对已公开个人信息进行保护。通过对大庆高新区人民检察院近三年办理侵犯公民个人信息案件的梳理,虽多为未公开信息,但也不乏存在已公开个人信息的情况,对于此部分信息应如何认定,在把握上存在分歧。本文认为,对已公开的个人信息应进行分类保护。具体而言,将已公开的个人信息分为自行公开与合法公开。对于自行公开的个人信息,除信息主体明确拒绝外,处理行为不宜入罪;对于合法公开的个人信息,除信息主体明确拒绝以及处理行为侵害重大利益外,处理行为不宜入罪。

爬取已公开个人信息行为的刑事归责研究——以侵犯公民个人信息罪为视角

爬取已公开个人信息行为于刑事归责层面存在同质化爬取场景异质化归责结果、同质化归责结果异质化归责路径的现象。这些归责困境的生成原因主要集中于犯罪对象的认定抵牾减损了归责结果的同一性、归责路径的错落适用增加了归责效果的离散性、法益内核的界定模糊削弱了归责结论的聚合性。基于类案裁判及规范归责分析,对爬取已公开个人信息行为归责路径界定时,应首先依循刑事违法性判断基准,即在形式之维界定已公开个人信息属于侵犯公民个人信息罪的犯罪对象并考察相应的归责要素,在实质之维提出在动态保护导向下重释个人信息权法益。此外,可引入情境脉络完整性理论厘清爬取行为的刑事归责边界,亦即遵循形式违法性层面的归责要素,基于场景化模式,厘清爬取行为是否符合个人信息公开时的合理预期、是否改变信息用途、是否具备法益侵害性进行全面衡量,从而建构爬取行为刑事归责模型。此种归责模型有助于厘清中立爬取行为、隐性爬取行为、显性爬取行为的刑事归责域界。

处理已公开个人信息的入罪边界——基于对信息可访问程度的类型化考察

已公开个人信息仍然蕴含自然人的人格权益,应受法律保护,但个人信息一经合法公开就自动具有了社会属性,需要考虑信息的流动与利用。既有的合目的性考察与“二次同意”方案均有明显缺憾,故应当从客观标准入手进行类型化考察。因此,可将已公开个人信息的可访问程度作为尺度,由强到弱依次划分为:具备一般可访问性、具备局部可访问性和仅具备特殊可访问性。在此基础上,可以划定出相对客观且稳定的入罪边界,即处理具备一般可访问性的已公开个人信息不得侵犯人格权或用于犯罪活动;处理具备局部可访问性的已公开个人信息不得明显升高信息风险;处理仅具备特殊可访问性的已公开个人信息则需要获得权利人的二次同意。

法秩序统一视野下侵犯已公开个人信息行为的刑事认定

法秩序统一性是违法判断的前提和基础。在民刑衔接较为频繁的侵犯已公开公民个人信息行为中,缓和的违法一元论立场以重视前置法的适用、出罪时间点提前、保持刑法谦抑性等优势,相较于违法相对论更加合理。从法秩序统一的视角审视现有已公开个人信息处理行为的违法性判断方法,合理处理规则契合了各部门法协同的要求,但存在判断模糊等问题;客观开放程度标准提出了较为固定的判断路径,但难以避免形式化导致的认定僵化。本论文以法秩序统一原则作为论述的视角与前提,站在缓和的违法一元论立场,对不同的已公开个人信息处理行为之合法性判断方法进行评述,提出场景化法益观下的合理处理方法,并通过分析相关典型案例,引出实践中在认定侵犯公民个人信息罪的特殊问题与法治理念,进而厘清已公开个人信息处理行为的刑法保护范围、定罪路径、认定标准,及其刑法规制中的利益冲突和价值取向等问题。

论处理已合法公开个人信息的告知义务

司法实践对信息处理者的告知义务存在规制空白,目前《中华人民共和国个人信息保护法》并未明确规定信息处理者应以何种形式履行告知义务,即是采用“逐一告知”还是“统一告知”。不同的履行形式将直接影响信息处理的成本。在转载裁判文书的情境下,应通过分析已公开个人信息所涉及的个人信息权益、商业利用利益和社会公共利益三种利益形态,指出个人信息自主权的主导地位以及商业使用利益与社会公共利益的正当性。在比例原则的指导下,形成以“逐一告知”为履行原则,并在特定情形下例外地限制个人信息权益,采用“统一告知”的义务履行形式的具体标准。

论已公开个人信息的利用规则

我国《个人信息保护法》并没有将已经公开的个人信息排除在个人信息保护权益得范围外。已公开个人信息 在满足“公开性”和“合法性”的基础上,可以将其分为个人自行公开的个人信息和和其他已合法公开的个人信息。个人信 息的利用也需要符合合理性的判断,包括目的合理性、手段合理性和信息主体未受不合理侵害三大要件。信息处理者处 理个人信息后续需要受到个人的明确拒绝和对个人权益有重大影响的限制。但拒绝权并非一项绝对性权利,在社会、公 共利益合理利用的前提下,个人利益也需要负一定的容忍义务。而对个人权益有重大影响,则需要履行告知义务,重新获 得信息主体的同意。

已公开个人信息保护视角下人肉搜索涉罪行为研究

关于“合法收集,二次公开”的人肉搜索能否为侵犯公民个人信息罪所评价,当前刑法学界和司法实务中存有较大争议,但随着网络暴力的蔓延愈加猖獗,对此值得予以探讨。首先,应当明确的是《刑法》第253条之一的法益包含了具有可识别性的非隐私信息及其所反映的人身财产利益在内的个人信息权保护;其次,“将已公开个人信息再次公布”属于“提供”的范畴,当公开行为符合违法阻却事由的限制规定时就具备了“违法”前提,并且当违法性的量达到法益现实侵害时即构成犯罪。

已公开裁判文书中个人信息的保护与合理利用

裁判文书的公开不可避免地会伴随当事人及其他诉讼参与人个人信息的公开。即使经过了去标识化处理,已公开裁判文书中的个人信息仍具有可识别性,故对其再利用须受到《个人信息保护法》及相关规则的规制。在合理范围内利用已公开裁判文书中的个人信息,一方面应以不得“对个人权益有重大影响”为内在限制,另一方面则应以合法、正当、必要、诚实信用原则及目的特定、最小处理原则为外部统合。在具体认定时需综合考虑个人信息的处理目的、处理方式、个人信息类型与传播范围等要素。就已公开裁判文书中个人信息在合理范围内的利用,除法定情形外,个人原则上享有拒绝权。

刑法视阈下已公开个人信息的合理利用——以个人自治法益观为中心的探讨

基于自媒体时代较强的交互性,已公开的个人信息虽已丧失私密性,但其后续利用行为仍应遵循合理性要求,合理性的剖析应以信息处理者的行为是否构成犯罪为基准。而当前理论界和实务界对已公开个人信息的后续利用行为是否构成犯罪尚无定论,其根源在于未能厘清侵犯公民个人信息罪的保护法益,即界定已公开个人信息的利用是否构罪,需判断信息处理者的行为是否侵犯该罪规制的法益。经论证发现,侵犯公民个人信息罪规制的法益应为公民信息自决权,而公民信息自决权中蕴含的个人自治法益观对于正确限定刑法上已公开个人信息合理利用的界限有重要意义。基于个罪中超个人法益必然导向背后具体个人法益之考量,为界定刑法中已公开个人信息合理利用的范畴,应提倡以尊崇个人自治的法益观为前提,以激活信息自决权的行使为手段,依据《刑法》第253条的规定,在法秩序统一原理下,通过辩证性审视前置法相关规定中已公开个人信息合理利用路径的优劣,创新性地提出“场景式判断+知情同意”融合式刑法规制举措。即根据已公开个人信息的后续利用是否从低风险场景僭越到高风险场景进行判断,如若不是,则信息处理者的行为属于合理利用;如若是,则需进一步判断信息处理者的行为是否取得信息主体同意,一旦涉及受欺骗的信息主体同意,则应考量信息主体是否对处分的法益有清晰认知,即信息处理者的行为是否符合信息主体的法益处分目的。刑法视阈下已公开个人信息合理利用的此种界定路径,具有重要的理论意义和司法价值。

擅自处理公开的个人信息行为的刑法认定

擅自处理公开的个人信息行为的定性问题在刑法理论与司法实务中存在重大分歧。本文认为,该行为在刑事违法性层面符合侵犯公民个人信息罪的构成要件,在法益侵害性层面严重危及信息主体的个人信息自决权,符合侵犯公民个人信息罪构成要件。个人信息的安全保障与流通价值均不可偏废,公开的个人信息的流通利用价值尤其值得关注。实践中应当尽量减少对擅自处理公开的个人信息行为的刑事处置,限缩对侵犯公民个人信息罪的适用范围。具体路径为从严认定侵犯公民个人信息罪中的“违反国家有关规定”,将未履行告知义务的处理行为排除在犯罪圈外,严格限定“个人权益”和“重大影响”的范围。

公开个人信息的定位及处理活动的规范化

《个人信息保护法》第13条提供了六项法定的非基于个人同意即可处理个人信息的正当性基础,第27条在此基础上细化了已公开个人信息的处理规则。为平衡信息主体的自决诉求与信息处理者的合法使用需要,宜将已公开个人信息作为法律有限保护的公众可获取信息,对其采取的是非明确拒绝或无重大影响即可自由使用的有限保护模式。对第27条文本进行理解和阐释,存在三个难以绕开的问题:合理范围如何界定、明确拒绝如何体现、重大影响包括哪些情况。对于上述问题可以从体系解释的角度为第27条中的“明确拒绝”“重大影响”寻求判断依据和判断标准,信息主体可通过主动积极行为表示明确拒绝,也可以根据处理信息明显违背公开个人信息之时的目的和用途推定信息主体明确拒绝该信息处理活动。《关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》第12条和《个人信息保护法》第55条分别提供了司法解释和个人信息保护法领域对个人权益产生重大影响的标准。

侵犯公民个人信息罪专题入库参考案例解读

人民法院案例库围绕侵犯公民个人信息犯罪专门收录了21件入库案例,进一步统一了类似案件的裁判尺度。在入库案例的编选理念方面做到了“三个坚持”:坚持宽严相济,确保罪刑均衡;坚持问题导向,细化法律适用标准;坚持综合治理,顺畅行刑衔接。本文所选取的7件代表性入库参考案例分别明确了涉公开个人信息案件的处理规则、行踪轨迹信息的认定规则、财产信息的认定规则、网络暴力型公开个人信息行为的定性规则、批量个人信息数量的计算规则,对类案审判具有参考、指引作用。

公开的个人信息的认定与处理规则

公开的个人信息是合法公开能够为不特定第三人所访问的信息,包括个人自行公开和其他合法公开的个人信息两类。信息处理者不经信息主体的同意即可对公开的个人信息进一步处理,但信息处理者对公开信息的后续利用并非不受限制,必须控制在“合理范围”内,受目的限制原则拘束,否则可能引发信息存储、聚合、传播风险,侵害个人隐私和数据人格。信息处理者对公开的个人信息的后续利用受信息主体的明确拒绝和对个人权益的重大影响限制。在信息主体明确拒绝场景下,信息主体的拒绝权不是一项绝对性权利,需要容忍信息处理者兼容性目的下的合理使用;在对个人权益有重大影响场景下,信息处理者需要履行告知同意义务,重新取得个人同意。

我国《个人信息保护法》中私人事务例外规则之解释

个人信息处理行为同时受《民法典》(尤其是人格权规范)和《个人信息保护法》的调整,但二者在诸多方面存在规范冲突。“私人事务例外规则”是《个人信息保护法》中法律适用范围的唯一划界条款,其内涵与范围显然攸关《个保法》之射程及其与《民法典》之适用关系。我国《个保法》并无欧盟条例中特有的“四类目的”和“合法利益”规范设计,若严格解释“私人事务例外规则”,将使《个保法》中严格的前置性程序化的规则适用范围过度扩张,从而干涉私人信息交往自由。我国特有规范体系背景下,对于私人事务的解释应当奉行宽松立场,将非大规模的、非针对不特定人的、非反复多次的、非以营利为目的或者非出于职业需要之个人信息处理行为纳入私人事务,排除《个保法》的调整,适用弹性的《民法典》人格权保护规则,以防止私人信息交往自由之空间因适用严格的个人信息保护规则,而受到不当限缩。