1. 问题的提出
我国《个人信息保护法》第13条第6款将公开的个人信息作为个人信息处理的合法性基础,在27条明确了公开的个人信息再处理的限度,即“个人信息处理者可以在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;个人明确拒绝的除外。个人信息处理者处理已公开的个人信息,对个人权益有重大影响的,应当依照本法规定取得个人同意”。相应的在司法实践中,各地法院对于公开个人信息的再处理也进行了积极的探索,但目前对该问题尚未达成共识,相同的再次处理行为,甚至出现了不同的裁判结果。两个案件均为第三方平台转载国家裁判文书网已经公开的裁判文书,即裁判文书中个人信息的再处理行为。苏州市中级人民法院在尹某与苏州贝尔塔数据技术有限公司人格权纠纷一案中裁定贝尔塔公司在收到尹某个人的阐删除请求后未进行删除的行为,构成对尹某个人信息权益的侵害1;北京市第四中级人民法院在梁某与北京汇法正信科技有限公司网络侵权纠纷一案中裁判北京汇法正信科技公司转载裁判文书的行为不因梁某的删除请求而承担删除义务,梁某对公开的裁判文书负有容忍义务2。总结来看,实践中关于已公开个人信息保护和利用的纠纷出现多发态势,这一方面是因为对已公开个人信息的再次传播相对来说比较容易被观测到,由于其影响的广泛性对个人权益产生了较为明显的影响,个人提起诉讼寻求救济的积极性比较高 [1] 。
2. 公开裁判文书个人信息的性质及再处理风险
2.1. 公开裁判文书中个人信息的性质
裁判文书中公开的个人信息相比其他信息而言,不具备隐秘性。但我国《民法典》与《个人信息保护法》没有将公开的个人信息排除在个人信息之外,并且就公开的个人信息的处理作出了特别的规范 [2] 。信息的公开并不影响个人信息的本质,依然能够识别自然人。个人信息的本质属性——可识别性,提出已公开的个人信息虽然不再具有隐私特征,但仍然具有识别特定自然人的功能,无疑属于法律意义上公民个人信息的范畴,非法利用这样的信息可能侵害私人生活安宁或威胁人身财产安全等公民个体社会交往利益 [3] 。
在信息社会中,数据信息已经成为个人生活和工作等方方面面数字化表达的重要组成部分。在数据时代,自然人的基本信息,例如住址、证件号码、权属证书、行踪轨迹以及健康信息等,都以数据形式存在,使得自然人在某种程度上成为各种数据勾勒下的数字画像。一方面,个人信息记录了个人状况的各个方面,与公民的尊严、隐私、自由、财产甚至生命安全息息相关,构成了公民人格权的重要内容,具有显著的私人属性。正如“人格权在性质上属于对世权,对应的义务主体是普遍的”,任何相对方都负有不得侵犯的义务 [4] 。另一方面,个人信息也具有公共属性。通过现代信息处理技术,个人信息中所蕴含的巨大公共管理价值和商业价值得以挖掘。在社会管理、科学研究、犯罪侦查、国家安全等方面的需要下,对个人信息的分析研究可以为公共利益提供服务。在新冠肺炎疫情期间,个人信息在预测疫情传播程度、部署防控措施、识别传播路径、维护公共卫生安全等方面发挥了显著作用。在刑事侦查活动中,调取涉及自然人的行踪轨迹、联系人员、财产状况进行提取和分析,往往对查明案件事实、惩治犯罪、维护社会治安具有重要价值。在这些情况下,个人信息被让渡给更高价值的公共利益。因此,应承认个人信息所具有的公共属性,允许在例外情况下使用个人信息 [5] 。已公开裁判文书中的个人信息即便经过去标识化处理依然具有可识别性,仍须受到《个人信息保护法》和《民法典》等相关法律的保护 [6] 。
2.2. 公开裁判文书中个人信息的再处理风险
信息处理者原则上不需要征求信息主体的同意即可对公开裁判文书中的个人信息进行再次处理,但信息处理者对这些信息的后续利用却可能无意间侵蚀了信息主体的隐私等其他权利。
有学者认为,公开个人信息的再处理会产生三个方面的风险,分别是信息存储风险、信息聚合风险和信息传播风险 [7] 。由于现代存储技术的发展,已经公开的个人信息很难消失在互联网领域,大数据技术就会搜集这些散落在网络的各种信息,通过对数据挖掘与聚合来分析信息主体的行为、兴趣和偏好等相关信息。通过将这些海量碎片化的数据信息聚合在一起,就能够客户处一个个虚拟而又真是的“数据人格” [8] 。这些公开裁判文书中的个人信息能够为不特定的第三人所访问,传播成本为零的情况下可以传播到全世界各地。此时信息主体被侵害的可能性也大大增加。
裁判文书公开的个人信息会对当事人个人信息权有受侵害的危险。裁判文书公开给当事人的个人信息权造成了侵扰。虽然,裁判文书被认为是公共物品,其体现的公共利益大于当事人个人信息权体现的私人利益,当事人应当让渡自己的部分权利以使公共利益得以实现。问题在于当事人对私权的让渡以其生活得到安宁、社会评价不至于降低、人身及财产安全无隐患为前提,超越此界限则无让渡之必要。裁判文书私人公开侵害他人的个人信息权应当承担相应的法律责任在司法实践中已经得到确定。 [9] 。
3. 我国公开裁判文书司法裁判实践中存在的问题
在已公开个人信息相关民事诉讼中,原告主要有两类,第一类是信息主体本人。第二类为掌握已公开个人信息的网络平台,第二类主要涉及商业数据的保护,信息处理者多以不正当竞争为案由提起诉讼,这类案例不在本文的讨论范围内。通过总结相关案例,发现我国司法实践中对于已公开个人信息的裁判呈现以下特点。
3.1. 注重损害事实而不是对个人权益的影响
在信息主体提起诉讼的案件中,原告的诉讼请求多为被告赔礼道歉以及支付精神损害赔偿。对于此类请求,法院裁判中经常以原告没有提交证据证明起信息权益到侵害为理由,驳回原告诉讼请求。但事实上原告恰恰是因为被告在小区微信群中公开原告的住址及双方判决书相关内容的行为造成其本人生活的困扰和不变而提起诉讼的。法院认为原告已经在小区信息屏公开其地址,而认为被告并未侵害原告信息权益3。
在微视案中,法院通过分析认为:虽然原告主张腾讯公司行为为其带来一定困扰,但其程度显然没有达到《民法典》要求的“严重精神损害”的程度,也没有提供证据证明《个人信息保护法》要求的“损害”存在,故在上诉人王某未提供证据证明微视APP使用微信已公开的个人信息造成严重后果或导致损害的情况下,对上诉人王某主张被上诉人腾讯公司行为造成其个人权益损害要求赔偿的诉讼请求不予支持4。
有学者举例:若一位独居女士同时加入了许多社交平台上的聊天群组,即便群组中的人与她并非好友关系,也能追踪至该账号附带的私人“博客”,查阅其在该“博客”上发布的日常信息。这些信息被人截图转发至其他平台,有据此推测出该独居女士住所的可能,所幸关注者寥寥。于此,实际损害结果虽未发生,转发行为却已然不恰当地放大了该女士安宁生活、自由发展的人格利益受到侵害的风险。因此若因循重隐私而轻信息的规制思路,该个人信息既可被不特定多数人获得,便应属于已公开个人信息,无需多加保护,转发者也无需承担民事责任,与适用隐私权相关规定的结果并无不同 [10] 。
《个人信息保护法》第27条明确规定了已公开个人信息要在合理范围内进行处理,而对于个人权益有重大影响的除外,根据体系解释,对个人权益有重大影响的显然已经超出“合理”的范围,此时不管是否有证据证明实际损害的发生,未经信息主体再次同意而擅自进行处理已经属于不合理处理,原告有权要求被告进行赔礼道歉。如此,个人信息保护制度独有的预防价值难以有效实现。目前法院多因原告无法证明实际损失,忽略对信息主体个人权益的影响而不支持信息主体的诉讼请求,不利于公开个人信息的保护。
3.2. 传统人格权等间接保护模式
我国目前的公开个人信息保护制度的规制思路仍未脱离对隐私权保护的路径依赖,重隐私而轻个人信息保护。通过已公开和个人信息作为关键词进行案例检索,再阅读案例后发现,在《民法典》和《个人信息保护法》出台前,对于已公开个人信息的保护基本通过名誉权、隐私权等传统人格权的方式进行间接保护。法律依据多为《最高人民法院关于审理信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》第12条和第13条中与公开个人信息的再处理高度相关,法院多援引该条文进行阐释说理。《解释》第12条专门规定利用信息网络不当公开隐私和个人信息的行为。在明确此种行为构成侵权的同时,《解释》明确了6种例外情形。其中第4项,“自然人自行在网络上公开的信息或者其他已合法公开的个人信息”的“再公开”,行为人无需承担侵权责任。信息处理者转载、传播依法公开个人信息的行为,显然属于该项例外规定。因此在司法实践中,法院多援引该规定,论证被告无需承担侵权责任。
在微信读书案中,法院在分析时,根据王某微信信息中已经公开的地区、性别等信息,以及王某的微信好友关系,认为他本人对于微信已公开的这些信息不具有隐私期待,其主观上并没有不愿为人所知的意思,因此认定这些信息都不属于隐私信息。在青岛天一精英人才培训学校、王庆辉隐私权、个人信息权纠纷中5,法院依然将个人信息保护限缩至隐私权范围,认为天一公司公开的王庆辉姓名、考试等信息不属于隐私,也不具备可识别性,认定天一公司不构成隐私侵权6。
除了隐私权,公开的个人信息也往往寻求名誉权来救济。在张睿与唐爽一般人格权案件中,原告主张被告侵害其隐私权和名誉权,法院认为原告主张被告侵害其隐私权成立,而未认定被告侵害原告名誉权7。
在上述案例中,法院多以已公开个人信息处理是否侵害隐私权为标准判断侵权,将个人信息限缩至了隐私权范畴进行保护。北京法官对北京地区的1383份裁判文书对比分析后认为,北京地区个人信息司法救济以隐私权为主,该救济模式将“个人信息”限缩至隐私权范畴进行保护,排除了未明显侵害隐私权但侵害个人信息自决权的侵权行为。最后结论为单纯依靠隐私权进行个人信息的司法救济在侵权行为及侵权责任认定等方面存在实务困境,无法实现对个人信息的充分救济 [11] 。
已公开个人信息一般通过隐私权和名誉权等传统人格权的方式进行保护的模式,由于已经公开的个人信息在没有借助其他信息联合分析的情况下,难以被归为隐私的范畴,而通常的个人信息再处理一般也不会涉及侮辱与诽谤。通常对于已公开的个人信息再利用行为的侵权诉讼,是难以得到法院支持的。因此传统的间接保护模式在个人信息被泛滥使用的互联网时代难以有效保护信息主体的合法权益,需要转变。
3.3. 缺乏相对统一的裁判思路
从已公开个人信息再处理的裁判实践来看,法院在认定信息是否属于合理处理时通常考虑信息使用目的、使用方式等因素来判断是否构成合理使用,但实践中尚未形成较为统一的认定思路,对于哪些因素需要考虑、是否个案中要考虑所有的因素等等都具有差异。关于已公开个人信息的司法判决,引起大家广泛关注的莫过于“伊某与苏州贝尔塔数据技术有限公司人格权纠纷案”与“梁某与北京汇法正信科技有限公司网络侵权责任纠纷案”。两案均为第三方平台对于已公开裁判文书的再处理,两个法院做出了完全相反的裁判结果(见p. 1262脚注1和2)。两案被告均为数据公司,在裁判文书网上抓取了原告作为诉讼当事人的裁判文书放在自己经营的平台上,属于已公开个人信息的再处理。伊案中一审法院在认定被告的行为不构成隐私和名誉侵权的基础上,认为被告的转载行为既未获得原告和中国裁判文书网、人们法院公告网的同意,同时使得原告的个人信息传播范围被不当扩大,最终认定被告的再次处理行为侵害了原告的个人信息权,判令其删除。二审法院在经过广泛调研论证的基础上,维持了一审的判决结果。而梁案中法院认定被告不构成侵权。
两个案件的审理法院均指出了司法文书再利用的公共利益和社会经济利益,与个人信息权的个人利益之间的衡量问题,应当妥当平衡已经合法公开的个人信息流通与个人信息主体对信息传播控制之间的关系,由于实践中不存在真正的“同案”,同案命题所讨论的真是问题是“类似案件类似处理”。在这两个类似的案件中,我们无法判断哪个法院的判是错误的,因为造成两案裁判结果不同的关键是两个法院不同的价值取向。北京铁路法院倾向于保护再利用的信息流通利益,支持第三方平台的再次利用行为。苏州中院更加重视信息主体对个人信息的控制与自我决定,尊重当事人对已公开信息再次传播的意愿。两个法院的法官的价值判断在适用法律的过程中均有其合理性。
但由此我们可以看出,目前裁判实践中认定已公开个人信息合理处理所考虑的因素和价值取向并不一致,更多依赖于法官个人的价值取向来判断是都合理。再者,不同法官对于相关考量因素的认识不一致、不相同才导致了上述两个案件完全相反的裁判结果。在认定个人信息合理使用时,一些法院会考虑信息使用者的使用是否同合法、正当、必要三项原则相符,然而这三项原则比较抽象,法院在适用时往往欠缺明确的解释与分析,即便有少数的法院借助利益衡量理念判断信息使用者对个人信息的使用是否与三原则相符,但利益衡量较考验法官个人的能力与水平,且运用不恰当也容易致使法官自由裁量权的滥用。综上,在已公开个人信息合理处理的认定方面,司法实践中尚未形成相对统一的认定思路,而是主要是依靠法官根据个案的具体情况采取相应的判断方法进行认定。
4. 建议与对策
4.1. 适应法律规定,注重审查对个人权益的影响
我国《个人信息保护法》第27条规定了个人信息处理者处理已公开的个人信息,对个人权益有重大影响的,应当依照本法规定取得个人同意。在处理个人信息公开案件时,法院应当更加注重对个人权益的潜在影响,而非仅仅关注案件中涉及的具体损害事实。再处理者未取得信息主体情况下处理已公开个人信息的,对信息主体个人权益产生重大影响的,即使未造成侵害事实,也应当认定未不合理处理。同时,应当在法律法规层面明确规定信息公开的标准,以帮助法官更好地判断何种情形下可以允许或限制个人信息的公开。这可以通过修订相关法律或颁布明确的司法解释来实现,为法官提供更为具体和清晰的依据,使其更加注重案件的核心事实,而非简单地做出对个人权益的过于激进的决策。
4.2. 促进传统人格权保护模式向个人信息保护转变
传统的人格权如隐私权名誉权等保护模式已经不能适应现有法律规定,有效保护公开裁判文书中的个人信息。法院在审理此类案件时,应当转变传统思路。
首先,法院可以在处理信息公开案件时更加注重权衡个人隐私权与社会公开透明度之间的关系。通过建立一个权衡利弊的判决标准,法院可以在每一起案件中更加客观地评估个人权益与公共利益的关系,以制定更为合理的判决。
其次,法院在判决中应当充分体现法治精神,确保对个人信息权的处理是在法律允许的范围内进行的。传统隐私权和名誉权对信息主体的举证要求较高,不利于信息主体维护自身合法权益。这需要法官深入研究相关法律法规,了解国家对个人信息的保护框架,合理分配举证责任,以便在裁判时更具权威性和合法性。
为了进一步个人信息保护模式,法院可以加强对相关法官的培训,提高其对个人信息保护法的理解水平。通过定期组织培训课程,法院可以确保法官具备足够的专业知识,更好地应对不同案件中的个人信息公开问题,确保司法决策的合法性和公正性。
4.3. 法院系统内部要有统一的裁判标准
首先,建立一个统一的案例审查和裁判标准。通过对过往案例的深入研究和总结,法院可以制定一套明确的案例审查和裁判标准,以确保在类似情境下能够更为一致地进行裁判。这需要法院设立专门的研究机构或委员会,负责案例研究和标准制定的工作,以保证标准的权威性和一致性。
其次,倡导法官在处理信息公开案件时遵循问题导向的原则。法院可以通过组织研讨会、座谈会等形式,鼓励法官从问题本身出发,通过集体研讨和交流,形成更为统一的裁判思路。这有助于法官共同面对个人信息公开问题时更具一致性和科学性。
另外,加强对法官的培训也是关键一环。通过定期组织有关信息保护法的培训,法院可以确保法官具备最新的法律知识和理念,使其在处理信息公开案件时更为慎重和明智。
综合而言,通过上述措施的深化和具体化,法院可以更有效地解决在个人信息公开裁判中面临的问题,促使司法决策更为合理、公正、有序。
5. 结语
第三次工业革命特别是计算机的应用激发了个人信息保护的需求,而新一代信息技术和数字经济的发展则使得个人信息安全可控成为必然的趋势。裁判文书公开中的个人信息保护,既属于司法机关审判管理活动,又是个人信息保护实践情况的刻度表。大数据时代下信息可识别途径的多元化和复杂化,提升了公开文书中个人信息暴露的风险,增加了个人信息保护的难度。各级法院实施公开制度过程中,适宜更多采取合目的的解释方法界定个人信息保护的范围与方式,进行必要的最小化使用,并 借助数据时代的技术进步提升保护水平,实现司法监督与个人信息保护的双赢,也会为《民法典》中个人信息保护及其合理使用规则的有序运行积淀宝贵经验。
NOTES
1(2019)苏05民终4745号。
2(2021)京04民终71号,裁判日期在《个人信息保护法》生效之前。
3(2021)京0491民初19393号。
4(2021)粤03民终9583号
5(2019)浙0302民初8415号。
6(2019)鲁02民终7482号
7(2019)浙0302民初8415号。