转自:法治日报
□ 丁道勤 已公开个人信息已成为数据要素市场供给侧的重要组成部分,已公开个人信息的收集利用也成为互联网业界进行新技术新业态创新的重要途径和方式。但在实践中,已公开个人信息处理引发了一些突出法律问题,相关争议和涉诉案件越来越多。首先,已公开个人信息不当处理容易引发隐私保护问题,甚至引发网络暴力;其次,已公开个人信息不当处理引起的不正当竞争问题;再次,已公开个人信息不当处理带来的破坏计算机系统和侵害公民个人信息违法犯罪问题;最后,已公开个人信息不当处理抑或带来数据安全和国家安全风险。我国民法典与个人信息保护法均对已公开个人信息的合理使用予以明确规定,确立了一套旨在平衡个人隐私权与信息自由流通的法律制度。但是,已公开个人信息合理使用有何判定标准,如何推动包含已公开个人信息在内的数据要素的流通利用,进而促进新技术新业务发展,已公开个人信息的合理使用边界何在,如何构建已公开个人信息处理规则,值得深入思考。
已公开个人信息的界定
从国内外相关立法实践来看,已公开个人信息是指个人主动自愿公开的信息以及通过合法途径已经向公众披露的个人信息。通常涵盖以下几个方面:一是自行公开的个人信息,是个人主动在社交媒体、个人网站或其他网络平台上分享的个人信息;二是政府公开信息中的个人信息,包括在政府记录、公告或报告中依法公开的个人数据;三是合法新闻报道中的个人信息,通过新闻媒体合法报道并广泛传播的个人信息;四是商业公开信息中的个人信息,企业在合法经营活动中公开的与消费者相关的信息;五是其他方面的个人信息。后四种都属于其他合法公开的方式。 依据个人信息的公开途径,已公开的个人信息可以划分为两大类:自行主动公开的个人信息和被动公开的个人信息。自行主动公开的个人信息是个人主动将其信息发布至互联网或其他公共平台,如社交网络等,从而自愿地将其置于公众视野之内。被动公开的个人信息则是指那些未经个人主动发布,但由于其他原因而被公开的信息。这可能包括由于第三方行为、系统漏洞、数据泄露或法律要求下的政府公开等情形。 其他合法公开主要包括政府公开、社会公开及商业公开。政府公开是广义上公共管理职责部门的公开,如市场主体工商登记信息、企业信用信息、积分落户等申请公示信息、企业惩戒信息、司法裁判文书信息等。社会公开主要涉及媒体报道和舆论监督等活动,这些活动与社会公共利益紧密相关,旨在促进信息的自由流通和社会透明度的提升。而商业公开涉及的范畴主要包括搜索引擎服务、数据产品开发、数据共享机制以及数据爬取技术。
已公开个人信息处理规则及其问题
(一)已公开个人信息处理规则:合法性基础+限制条件 按照民法典和个人信息保护法的相关规定,来判断公开个人信息处理行为是否具有合法性依据,主要涵盖三个层面的标准,即是否为已公开个人信息范围、是否属于“合理范围”及是否存在其他限制条件。首先,应当在合理范围内处理。合理范围处理主要是看是否对个人权益造成重大影响,即判断再公开或相关处理行为是否侵害了其重大利益。严重的个人权益影响表现为个人信息主体可能会遭受重大的、不可消除的、可能无法克服的影响。如遭受无法承担的债务、失去工作能力、导致长期的心理或生理疾病、导致死亡等。其次,个人未明确拒绝处理。因为,已公开的信息在很大程度上构成了个人在社会中的形象和身份标识,个人对于自己已公开的个人信息依然保有处理的决定权,包括有权利去限制或拒绝他人对这些信息的进一步处理。个人信息保护法赋予个人可以明确拒绝的权利,以保障信息“自决原则”得以贯彻。 (二)已公开个人信息处理利用规则仍然有待细化 首先,个人自行公开的范围和公开主体的判定仍存在一定难度。如何判定某一个人的信息属于该自然人自行公开的,仍存在一定的难度。其次,已公开个人信息处理是否需要符合“初始目的原则”。在已公开个人信息后续二次利用的过程中,是否必须严格遵守“初始目的原则”以及如何判定“初始目的”,有待细化。再次,已公开个人信息处理是否遵循一般个人信息的告知同意原则。国内外根据其产业发展阶段的不同,其法律治理模式不尽相同。欧盟严格保护个人数据、尊重个人权利,要求不得在个人不知情或未表示同意的情况下处理公开可用个人数据。美国则将公开可用个人数据作为个人数据保护的一种例外情形,无需取得个人同意即可处理。我国《信息安全技术 个人信息安全规范》(2020年版)规定,在处理个人信息主体自愿公开的信息及从合法公开披露的信息中收集的个人信息等“公开的个人信息”时,个人信息处理者无需获得个人信息主体的授权同意。从次,大模型场景下如何维护公开个人信息保护利用和公共利益平衡。在大模型场景下,个人信息的知情同意原则也遭受重大的冲击,大模型人工智能开发者很难确定公共可用数据主体的详细或准确身份信息,更难一一通知到该公共可用数据主体。在处理已公开的个人信息时,要求获取信息主体的明确同意,可能会在一定程度上限制市场竞争并抑制技术创新。最后,未成年人公开信息的二次利用的风险防范。社交网络上的一些公开个人信息,特别是包含海量未成年人的个人信息,如何保护和防范二次利用的风险,值得关注。
我国已公开个人信息处理规则的重构
互联网技术发展日新月异,信息主体需要从源头开始做好个人信息管理,谨慎公开披露。目前个人信息的风险更多地发生在泄露、买卖等黑灰产上,对于已公开个人信息的处理,并没有出现特别重大的风险,在对个人信息进行充分保护的基础上,保持信息的自由流通和利用应是常态,阻碍特定信息的流通和利用应是例外,特别是对于已公开的信息。在生成式人工智能时代,为了促进已公开个人信息的流通利用,有必要在我国未来人工智能法及个人信息保护法配套立法过程中,在做好与民法典、个人信息保护法等的衔接基础上,设置专门章节,或出台专门的已公开个人信息处理利用配套法规。具体从以下方面进一步优化和重构已公开个人信息处理规则,第一,建议引入文本和数据挖掘的豁免制度与业务改进的例外规则。对于已公开个人信息用于人工智能的研发/学习阶段的机器学习,建议著作权法相关配套立法借鉴具有版权的作品数据的文本和数据挖掘的豁免制度,不视为侵权行为。未来人工智能相关立法明确规定已公开个人信息用于AI系统研发过程中的业务改进例外条款。第二,遵循“上下文”善意目的限制。即处理公开个人信息应当具有明确、合理的目的,并应当与处理目的直接相关。第三,符合合理隐私期待。即处理已经合法公开的个人信息时,必须遵循个体的合理预期原则,尤其是在处理行为不涉及公共利益的情况下。第四,采取人格权益和未成年人优先保护。其是“合理范围”的题中应有之义,更是在新技术新业务场景下公开个人信息处理规则进一步细化的具体体现。第五,坚持不产生实质性替代效果和FRAND授权原则。在先企业需要依据FRAND原则授权在后企业通过API接口利用已公开数据。第六,维护社会公共利益平衡。部分已公开个人信息已成为社会公共资源,在某些情况下为了公共利益的实现,个人可能需要对一定程度的个人信息公开或使用承担较高程度的容忍义务,以维护个人自决权益与社会公共利益之间的平衡。 (原文刊载于《政法论坛》2025年第2期)