信息公开

赵精武:已公开个人信息合理使用的解释方式与司法认定 中国应用法学202403

  【作者】赵精武( 北京航空航天大学法学院副教授,北律信息网签约作者 )

  【来源】北宝法学期刊库《中国应用法学》2024年第3期(文末附本期期刊目录)。因篇幅较长,已略去原文注释。

  内容提要:《个人信息保护法》第13条将个人信息的公开作为知情同意规则适用的例外情形,但第27条等规定又对这种例外情形施加“合理的范围”等限制条件。而在实践中,如何解释“合理的范围”“合理使用”存在诸多争议。控制利益保留论、合理期待论、效率平衡论等学术主张在不同程度上忽视了对已公开个人信息保护理论的探讨,存在已公开个人信息保护强度弱于未公开个人信息的逻辑误区。结合国内“法先生滥用麦某公开个人信息案”来看,“合理使用”的认定标准应当以“合法、正当、诚信且必要”等基本原则为基础,结合处理目的、处理方式以及是否存在《个人信息保护法》第27条提及的“明确拒绝”等具体要素进行判断。在涉及评分推荐类自动化决策时,还需要结合“对个人权益存在重大影响”等要素予以明确。

  目次 一、问题的提出 二、已公开个人信息保护的法律解释争议 三、已公开个人信息合理使用范围的司法认定 四、实践中已公开个人信息合理使用的具体认定:以自动化决策为例 结语

  自2021年11月《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)正式实施之后,我国个人信息保护立法体系趋于成熟,相对地,学界有关个人信息保护的理论研究重心也从体系架构和配套措施转向了具体规则的适用方式。其中,最为典型的问题之一便是《个人信息保护法》第13条第1款第六项和第27条提及的已公开个人信息的合理使用范围认定。从文义解释来看,第13条第1款第六项明确提及已公开的个人信息可以在未经自然人事前同意的情况下被个人信息处理者自行处理,不过前提是,这种处理方式属于“合理的范围内”。而在最初的立法草案中,立法者们采用的却是“符合初期公开用途目的”,但从之前施行的《中华人民共和国民法典》第1036条内容来看,行为人处理已公开个人信息无需承担法律责任的要件是“合理处理”且“公开方式属于自行公开或合法公开”,故而在最终版本还是采用了“合理的范围”的表述。然而,这种表述方式终归还是存在相当程度的模糊性和不确定性,在实践中如何解释“什么是合理的范围”存在诸多争议,更重要的是,在理论层面,自然人对于已公开的个人信息享有何种权利同样未能得到充分讨论,并存在解释悖论:倘若将这种权利理解为“受限制的个人信息权利”或者“受限制的个人信息自决权”,就陷入“限制的标准和依据是什么”等同质问题的循环论证;倘若将这种权利解释为“基于公开用途范围内的权利放弃”,那么这里的“公开用途目的”对于第三人而言着实难以确定,并且,所谓的“公开用途范围”与“合理的范围”两个概念也并非严丝合缝的内涵重合。因此,在明确司法实践层面已公开个人信息的合理使用范围之前,首先要明确自然人究竟对其已公开的个人信息享有何种权利,尤其是为何需要在立法层面再次限制自然人自行公开个人信息的使用方式和使用范围。

  综合学界现有观点来看,学者们普遍习惯于将已公开个人信息与一般个人信息予以区分,并将已公开个人信息的保护范围限定为“自然人自愿公开的个人信息”和“法定强制公开的个人信息”两类。这其中的内在逻辑可以归结为,个人信息经由合法路径公开,其所承载的法益不再仅仅局限于个体权利,还包括公开状态之后所产生的社会公共利益,亦即所谓的“促进数据自由流动”和“保障第三方对于已公开个人信息可以合理使用”的事由。不过,在抽象法益解释的基础上,学者们却提出三类具体的解释路径:

  一是控制利益保留论,即个人信息的公开并不等同于自然人放弃所有的个人信息权利,而是自然人在公开目的的范围内放弃部分权利,但依然保留有控制个人信息处理方式的权能。该理论的内在逻辑则是基于个人信息自决权的内核,将公开行为视为自然人处理其个人信息的具体方式,控制利益并没有因此丧失,处理公开个人信息也需要处于“合理范围”。此时,则需要考察自然人放弃权利内容的主观意愿,进而将“合理的范围”解释为“处理方式+处理目的”。

  二是合理期待论,即自然人合理期待已公开的个人信息不会被非法滥用,包括但不限于利用其个人信息从事违法犯罪活动。该理论的内在逻辑实则是以个人隐私保护为基础,采用类似美国隐私法理论中的“合理期待”原则,以第三方的立场去判断自然人对其已公开个人信息存在何种程度的“期待”。因此,已公开个人信息的处理方式和处理目的不能超出这种“期待”,其根本目的是兼顾数据流动和个人信息保护的双重立法目标。这种“期待”所对应的“合理范围”认定标准则是指第三人有理由相信自然人不会明确拒绝按照特定方式处理已公开的个人信息,与《个人信息保护法》第27条提及的“个人明确拒绝”“对个人权益有重大影响”等要件予以衔接。

  尊龙凯时人生就是博官网登录

  三是效率平衡论,该理论是在笼统的“平衡数据流动和个人信息安全”或“消解信息流通与风险控制间紧张关系”的基础上,借由特定的理论范式剖析已公开个人信息保护的依据和限度,故而此类观点在解释“合理范围”时大多采用动态场景论分析个人信息处理者与自然人孰者利益优先。如部分学者将《个人信息保护法》第13条和第27条分别界定为“责任规则”和“财产规则”,并援引“卡-梅框架”作为这两个不同规则的规制效率比较工具,在发现这两种规则在保护个人信息层面并不具有各自的绝对效率优势后,主张以“菜单规则”的形式设置特定场景系的规则配置方案。

  不过,学界还是普遍承认已公开的个人信息不等于“可以不受任何限制而使用的个人信息”,该类信息的保护方式应当有别于欧盟的“同等保护”和美国的“非个人信息保护”模式,以“合法、正当、必要”这一原则作为数据处理行为的判断标准,综合处理目的、处理范围等要件进行场景化认定。

  比较前述解释路径,不难发现其解释的起点均是以“既然个人信息已经合法公开,缘何自然人仍能保有一定限度的权利主张”,而控制利益保留论、合理期待论以及效率平衡论其实都承认一个默认观点,即公开行为的法律效果仅仅意味着部分权利的放弃或部分处理行为的默示同意,而非全部权利的放弃。因此,在理解我国为何采取有别欧美的已公开个人信息保护模式之前,有必要对公开行为的法律性质予以澄清,并就已公开个人信息背后的“同意”与未公开个人信息进行比较。

  主流观点大多将自愿公开视为自然人自愿放弃部分权利主张,忽视了公开行为本身亦是以自然人的知情同意为基础,属于个人信息处理方式之一。然而,未公开的个人信息与已公开的个人信息两者的权利性质并没有根本区别,唯一的区别仅仅在于两者所对应的“同意”内容并不相同。个人信息保护的理论基础是自然人对其个人信息的自主决定和自主控制的能力,在未公开与已公开状态下,这种能力则转变为不同性质的“同意”。在已公开状态下,“同意”的默认前提是并不会改变既有的权利保护水平,其特殊性表现为有条件地“默示同意”。而这恰恰也与《个人信息保护法》第27条所提及的“对个人权益有重大影响”相衔接,即处理已公开个人信息不应当对自然人既有权利保护状态造成严重的负面影响。第三人无法从公开目的等主观层面去判断自然人对公开个人信息处理方式、处理范围存在何种具体的期待,又或是自然人公开个人信息的原始目的,故而“对个人权益有重大影响”成为更符合第三人善意和自然人权利的认定要素。并且,自然人对其已公开个人信息的权利主张并没有因为“公开”行为而有所削弱或减少,而导致自然人无法对合法的信息处理行为提出侵权主张的根源在于公开行为所对应的特殊“同意”。《个人信息保护法》之所以要将“公开”划分为“自愿公开”和“其他已经合法公开”,是因为这两种模式所对应的“同意”内容并不相同。

  通常情况下,“自愿公开”意味着自然人能够对公开其个人信息的范围和结果有着清晰充分认知,恰如“法律不保护躺在权利上的睡眠者”那般,法律也不应当以未公开状态之标准保护已公开个人信息,因为此时“同意”的特殊性表现为两个层面:一是“同意”对象具有特殊性,已公开个人信息背后的“同意”是向不特定的个人信息处理者作出的;二是“同意内容”具有特殊性,经“同意”的已公开个人信息处理行为既不应当减损既有的权利状态,也不应当侵害其个人的其他权利或违反现行法律法规禁止性规定。至于“其他已经合法公开”的个人信息,基于法定强制公开的制度目的显然能够作为解释自然人特殊同意的实际标准。

  处理已公开个人信息所对应的同意特殊性已经被部分学者所关注,并倾向于通过公开程度、公开目的、合法性原则、比例原则和最小目的限定原则等要素予以明确个人“同意”处理已公开个人信息的合法边界。并且,自行公开的个人信息与个人尊严关系密切,“须愈加谨慎判断其同意之范围和目的”,而不是默认为自然人同意任何形式的个人信息处理活动。当然,也有学者认为第27条第1分句实际上是“推定信息主体同意信息处理者处理公开的个人信息,力图消除信息处理者与信息主体之间的权益纠纷”。

  总结而言,之所以需要在“合理使用”或“合理的范围内”层面对已公开个人信息予以保护,是因为自然人对于个人信息的控制能力具有主观性,即按照自己的意愿安排个人信息的处理方式,即便已经公开,但并不等于自然人主观上选择放弃个人信息,因为这等同于放弃所有的个人信息权利。进一步而言,“合理使用”或“在合理范围内”处理个人信息的判断标准则需要转向考察自然人的特殊“同意”的基本内容,但这种主观要件并不是为了探明自然人的具体权利请求,而是为了确定自然人在“明确拒绝”何种个人信息处理行为的前提下选择公开个人信息。与主流的“个人信息自决权”中的“控制”相比,已公开个人信息保护所强调的“主观控制”是一种受限制的消极控制,即仅能控制已公开个人信息不被过度处理,而非控制已公开个人信息能够以何种方式被处理。

  近期,广州互联网法院审理了一起涉及滥用已公开个人信息的案件。在该案中,被告法先生公司擅自在网站和小程序上将原告麦某作为律师的执业数据予以展示,主要包括“麦某:专业性强充满热情”“知识产权、合同纠纷”“广东高睿律师事务所”“执业7年/胜诉率54.05%”等内容,但并不涉及其他个人信息(包括照片)。这些信息的来源主要包括12348中国法律服务网、中国裁判文书网等开放访问的国家公示网站以及天眼查等大数据平台。此外,法先生平台擅自将原告麦某标识为平台认证律师,以供用户查阅和选择。根据原告的诉讼请求,法院将本案争议焦点认定为“被告收集和使用原告案涉信息是否侵权”“如构成侵权,被告应当如何承担法律责任”等。其中,法院认定被告收集和使用原告麦某已公开个人信息的行为构成侵害麦某的个人信息权利,理由则是被告的行为不属于对原告已公开个人信息在合理范围内的处理。

  从裁判理由来看,法院对于“合理范围”的认定主要以处理目的和处理方式为限。在该案中,原告作为广州律协管理的执业律师,遵从律协管理要求公开其律师身份信息,但被告处理目的和处理方式具有显著的侵害性。一方面,广州律协在其《严正声明》中明确指出被告的修改属于未经律师授权公开展示广州律师的联系方式等具体信息,且被告的小程序所显示的“法律顾问”“合作律师”等内容涉嫌虚假宣传。因此,被告的行为显然是以更具侵害性的效果处理已公开个人信息,其处理目的也仅仅是以商业目的为限。另一方面,法院认为被告借由自动化决策所设定的“胜诉率”“执业年限”等信息均未取得原告同意,虚构原告在被告平台所承揽的业务次数等数据,对原告个人权益造成重大影响。并且,结合“合法、正当、必要”等原则,法院最终认定被告行为构成对原告个人信息权益的侵害。

  由此观之,法院并没有明确承认自然人对其已公开个人信息享有“被限制的个人信息权利”,其裁判逻辑仍然是“个人信息处理行为是否对个人信息权利或者其他权益造成负面影响”。并且,在确认“个人信息处理者处理已公开个人信息无需告知自然人并获得其同意”的基础上,仍然强调信息处理行为需要满足合法、正当、必要等基本原则,这与未公开个人信息保护要求并无实质性区别。虽然个人信息权利的具体内容可能有所变化,但是自然人对于个人信息的控制能力并没有发生实质变更,“处理方式”“处理目的”这两个行为要素即衡量控制能力是否受到非法限制的客观标准。本案中,被告以纯粹的商业利益为目的,采用影响原告承揽业务以及行业声誉的方式处理其已公开的个人信息,不仅仅影响了原告按照律协管理要求公开个人信息的控制目标,同时虚假数据的设定也影响到原告既有的个人信息权利(如更正权等)。

  在前述案例中,法院虽然对处理目的和处理方式的违法性做出了明确解释,但囿于裁判文书简洁性和易懂性的基本要求,有两个问题未充分展开:一是除了处理目的、处理方式,是否存在其他用于判断是否属于“合理范围”之标准;二是法院并未拓展解释被告侵害个人信息权益的具体内容,并且《个人信息保护法》第四章规定的“个人在个人信息处理活动中的权利”能否继续适用于已公开的个人信息尚无定论。

  恰如前文所提及的,“合理范围”的认定需要结合探明自然人控制个人信息的主观意图,不过仅仅以“合理期待”等标准予以解释又存在主观性判断过强的问题。并且,从促进数据流动的角度来考量,“合理范围”的认定应当是以明确且易辨识的标准予以判断。这其中包含两个判断要素需要予以明确:一是通过解释“明确拒绝”的具体内容和法律效果,将显著违背自然人意愿的处理活动排除在合理使用范围之外;二是通过解释个人信息公开状态对个人权益的影响程度,判断自然人自愿公开和依法定要求公开的个人信息权益究竟发生何种程度的内容变化,进而确定未对个人权益产生重大影响的合理使用范围。

  法院所适用的“商业目的+对个人权益有重大影响”模式确实能够很好地回应第一个未决问题,但是,实践情况往往比理论假设更为复杂:倘若个人信息处理者并没有如同前述案例被告那般虚构事实、伪造数据等情况,仅仅以商业目的为限处理已公开个人信息,这类行为的法律性质如何界定?尤其是在此种情况下,自然人能否明确拒绝此类处理行为?诚然,《个人信息保护法》第27条允许自然人明确拒绝个人信息处理者处理其已公开个人信息,其潜在的结论似乎是个人信息处理者仍然需要询问自然人是否同意,但这又与第13条允许个人信息处理者可以用免于获取同意的方式处理已公开个人信息相悖。更重要的是,无论是自然人事前作出明确拒绝,还是事后作出明确拒绝,无疑会导致个人信息处理效率的降低,因为个人信息处理者为了避免自然人事后拒绝增加无谓成本,更倾向于在事前阶段确认自然人的意愿,必然会导致已公开与未公开的个人信息均采用完全相同的处理规则。因此,在“明确拒绝”有别于知情同意规则中的“同意”前提下,有必要对“明确拒绝”的适用条件和作出时间予以限缩解释。

  一方面,“明确拒绝”的特殊定位决定了其适用条件应当受到更为严格的限制,无限制地允许权利人任意“拒绝”,只会加剧个人信息处理活动合法性的不确定。在知情同意规则中,设置“同意”要求是为了保障自然人能够在充分知情的基础上实现真正意义上控制个人信息的效果,其内涵是对特定个人信息处理者及其处理活动均表示知情和认可。相对地,“明确拒绝”中“拒绝”则是为了避免不特定个人信息处理者滥用已公开的个人信息。从立法体例来看,第27条位于《个人信息保护法》第二章第一节的最后一条,其功能定位更像是“兜底性条款”。更重要的是,第27条主要针对已公开个人信息,而第44条则是针对已公开或未公开的所有个人信息。倘若将“拒绝”与“同意”相提并论,还会导致第27条与第44条规定的“有权拒绝他人对其个人信息进行处理”概念混同。

  另一方面,“明确拒绝”的特殊定位还意味着权利人能够作出拒绝的时间应当受到限制。“明确拒绝”的作出时间应当限定为“与个人信息公开同时作出”,此时的“明确”表现为在公开之时,自然人就已经明确拒绝了特定的信息处理活动,这种类似“小红旗高高挂起”的方式能够直接用于判断个人信息处理者对已公开的个人信息处理活动是否处于“合理的范围内”。即便在信息大爆炸的网络空间,自然人事后才得知已公开个人信息被滥用,也可以主张信息处理活动与“明确拒绝”的内容明显相悖,要求个人信息处理者承担相应的侵权责任。至于其他合法方式公开的个人信息,“明确拒绝”的内容除了自然人在公开时明确拒绝的处理事项之外,还包括强制公开所依据的法律法规规定,即推定自然人明确拒绝与强制公开目的相悖的处理活动。

  在解释已公开个人信息“合理使用”或处理活动是否属于“合理范围”时,普遍存在一个误区,习惯性地将诸如肖像权合理使用等制度与已公开个人信息的合理使用制度予以混同,而这种误区也导致部分观点推导出个人信息的公开意味着个人信息权利的减损等论断。追根溯源,误区形成的根本原因在于混同了其他人格权保护与个人信息保护的路径差异:诸如肖像权等其他人格权的保护是存在特定的合理使用情形,并不因公开状态而有所变化;而公开个人信息的合理使用并没有列举式的特定情形,这是因为自然人对已公开个人信息的控制能力并没有变化。对比欧盟模式,GDPR第14条规定了数据处理者未从数据主体处获得个人数据时,应当告知数据主体有关处理目的、处理依据、数据来源等信息,这类规定看似要求将未公开和已公开个人信息按照相同模式保护,但其中的制度逻辑应当是自然人对个人信息的权利不因公开行为而有所变化,故而需要采用相同保护。在执法实践中,波兰数据保护机构UODO于2019年对欧洲数字营销公司Binsode作出了超过220000欧元的罚款,原因是该公司从600万人规模的公开登记系统中收集和处理个人数据,但是并没有按照欧盟GDPR第14条明确告知每一个数据主体有关数据处理活动的相关信息。尽管数据主体的个人数据已经公开,但是GDPR所规定的事前告知义务并没有因此消失。

  进一步而言,我国《个人信息保护法》第四章所规定的个人信息权利事实上也没有因为个人信息公开而实质性减损,查阅、复制、更正、补充等权利的行使方式并没有发生太大变化。即便个人信息已经公开,自然人对其个人信息的控制能力并没有因此丧失。并且结合《个人信息保护法》第27条提及的“对个人权益有重大影响的”来看,只有允许自然人对已公开个人信息进行查阅、复制、更正、补充,才能保障其他个人权益不至于受到重大影响。个人信息处理者在满足自然人查阅和复制的权利主张时,倘若信息内容仅以已公开内容为限,明确告知信息来源和是否涉及其他个人信息即可,无需重复提供自然人已经知晓的公开个人信息。

  不过,需要注意的是,自然人有权请求删除已公开个人信息的情形有所变化:一是第47条第1款第一项和第二项涉及的“处理目的已实现”“已无继续处理必要”“停止服务”等情形不再适用,因为个人信息处理者有权在未经同意的情况下处理已公开个人信息,即便处理目的已经实现或者停止信息服务。二是第47条第1款第三项提及的“个人撤回同意”情形难以适用。因为一旦个人信息经由自然人公开,在技术层面并没有办法真正意义上的“撤回”到未公开的状态;更重要的是,合理使用已公开个人信息本就无需经过自然人事前同意,也不存在“撤回同意”的可能性。三是第47条第1款第四项规定的“违反约定处理个人信息”是指个人信息处理者的处理行为属于自然人“明确拒绝”的范畴。既然《个人信息保护法》第13条将已公开个人信息作为知情同意的例外情形,那么这里的“约定”显然不是指自然人与特定个人信息处理者之间有关个人信息处理活动的约定,更宜解释为个人信息处理者遵从自然人在公开个人信息时所列举的“明确拒绝”事项。

  在商业实践中,有关已公开个人信息保护最常见的应用场景乃是自动化决策,利用网络爬虫合法抓取已公开个人信息这一行为本身显然属于“合理使用”,但是,抓取之后的处理方式往往是形成用户画像或用于相关决策的作出,这往往会影响到自然人的社会信用评价等权益。此时,结合第27条提及的“对个人权益有重大影响的,应当依照本法规定取得个人同意”来看,以信息获取来源的正当性和合法性认定个人信息行为属于“合理使用”显然需要另行讨论。具体而言,自动化决策场景下“合理使用”已公开个人信息的特殊之处有三:

  一是应用场景的特殊性。倘若自动化决策结果的适用对象与个人信息权利主体一致,直接以自动化决策结果对个人权益的影响程度作为“合理范围”以及“取得个人同意”的认定依据即可。但是,倘若自动化决策结果的适用对象与个人信息权利主体不一致时,亦即常见的评分推荐类应用,个人信息处理者采集已公开个人信息是为了形成相应的用户画像,辅助用户根据该用户画像选择相应的服务,此时“对个人信息权益的影响程度”则转变为对自动化决策结果(如用户画像等)完整准确程度的判断,因为不准确的决策结果可能导致缔约机会的丧失、社会信用的非客观评价等负面影响。

  二是用户画像的特殊性。虽然用户画像仅仅是自动化决策的一个业务环节,但是在常见的评分推荐服务模式中,用户画像是基于已公开个人信息而形成的,涉及相应服务提供者(如律师、装修工、家政服务者等)的服务质量评价,属于《个人信息保护法》第73条第二项所提及的“通过计算机程序自动分析、评估个人的行为习惯、兴趣爱好或者经济、健康、信用状况等”。不过,这类用户画像的呈现方式大多是对已公开个人信息的二次加工,这些信息内容是否属于已公开个人信息的范畴仍存有争议,因为不同渠道所展示的已公开个人信息相互组合,有可能获得超出已公开个人信息范畴的其他信息内容。例如,个人在微博公开自己的出行时间、出行地点等信息与学术会议已经公开的参会信息相结合,能够推断出个人选择的出行工具、班次/航次等更为详细的出行记录信息。再如,平台形成了特定用户的用户画像,如果用户在平台内公开自己的地理位置等信息,这有可能根据用户频繁出现的地理位置信息推断出用户的工作地点、相关职业等信息。

  三是权利内容的特殊性。因为自动化决策的结果往往对个人信息权利主体的其他权益产生直接影响,故而《个人信息保护法》在第24条第3款专门规定通过自动化决策作出对个人权益有重大影响的决定,自然人有权要求个人信息处理者对相关情况予以说明,并且,如果该决定的作出并未涉及人工核验,自然人也有权予以拒绝。对于已公开的个人信息而言,该条的适用则需要关注到“决定”和“决策”两个要素。一方面,针对评分推荐类的自动化决策,其决策结果是直接提供给非个人信息权利主体的其他用户,此时的决策结果是否属于《个人信息保护法》第24条提及的“决定”有待明确;另一方面,第27条提及的“明确拒绝”与该条“拒绝”之间的逻辑关系同样需要捋清,尤其是后者应当在何时作出更关系到已公开个人信息利用与保护之间的法益平衡。

  前述三个自动化决策场景下的已公开个人信息保护特殊问题归根结底还是有关评分推荐类用户画像法律性质的问题。虽然利用这类用户画像进行决策活动的对象并不是个人信息权利主体自身,但是用户画像的准确性、完整性以及真实性已经影响到个人信息权利主体的其他权益。在“法先生滥用麦某公开个人信息案”中,法院分别从技术处理、目标导向以及结果评估三个视角判断被告法先生的用户画像是否属于自动化决策:一是公开用户画像结果的行为属于“通过计算机程序自动分析、评估”的活动;二是公开用户画像的目标与被告法先生商业目标具有一致性,其目的是以促成律师与客户的接洽和商谈来实现其律师中介服务目标;三是被告运营维护原告用户画像是依托自动化算法和软件工具进行实时更新。因此,即便用户画像结果是为了帮助被告平台用户决策,也构成了《个人信息保护法》第73条第二项界定的“自动化决策”。

  此外,在认定评分推荐类用户画像应用是否属于“自动化决策”范畴时,还需要对“决策”与《个人信息保护法》第24条提及的“决定”之关系予以释明。事实上,类似的问题同样存在于国外的司法实践中,在欧盟近期自动化决策标志性案件“OQ v. Land Hesse”中,被告认为GDPR第22条提及的“自动化决策(automated decision-making)”分别对应“仅适用于已经作出决策而非信用评分等决策预备行为”,这里的“决策(decision-making)”应当与行政法中的“决定(administrative decision)”保持一致性。但欧盟法院则认为“决策”一词应当采用广义解释,包含在该案中涉及的信用评分计算,而不是采用行政法意义上的“决定”概念。此外,总检察长在向法院提出独立意见中指出,自动生成个人信用评分,属于完全自动化处理生成的决策,并且该决策结果本身就是信用主体进行后续借贷申请能否获批的重要参考因素,同样属于GDPR第22条第1款提及的“对数据主体具有法律效力或类似的重大效力”。

  在《个人信息保护法》第24条第3款中,所谓的“决定”不宜作狭义解释,从文义解释的角度来看,“通过自动化决策方式作出对个人权益有重大影响的决定”实际上强调的是“决定”所影响的对象和内容,而不仅仅是指“决定”作出的举止动作,其与“决策”之内涵并无本质差异。进一步而言,诸如“法先生滥用麦某公开个人信息案”所涉及的用户画像既是自动化决策业务环节,也是自动化决策结果,故而按照第24条第3款之规定,在个人信息已公开的状态下,自然人不仅保留要求个人信息处理者予以说明的权利,同时还可针对完全自动化决策的处理活动本身行使拒绝权。由于该拒绝是以知晓自动化决策为前提,故而仅以事后提出为限,与第27条提及的“明确拒绝”有所区别。

  至于该类用户画像结果是否仍然属于已公开个人信息范畴,则需要回归到用户画像结果的具体内容和形成过程的场景判断。一方面,倘若用户画像结果超出了自愿公开个人信息范畴或者强制公开的立法目的,则显然不能再继续以“已公开个人信息”予以认定;另一方面,用户画像的结果来源于“自愿公开+强制公开”的信息渠道,则需要确保这些公开个人信息相互结合与分析活动并没有超出强制公开目的;倘若均来源于自愿公开的个人信息,结合公开所对应的特殊“同意”,形成的用户画像结果均属于自然人对个人信息予以自主控制公开的必然结果,仍属于已公开的个人信息。

  在厘清评分推荐类用户画像的法律性质以及该场景下自然人对已公开个人信息所享有的特殊权利后,已公开个人信息“合理使用”的认定标准也得以明确。在通常情况下,“合理使用”的认定标准是《个人信息保护法》规定的“合法、正当、必要和诚信”等基本原则,并且,“合理使用”不应当实质性减损自然人对已公开个人信息的实际控制能力,如“改变个人法律上的权利、义务和责任关系”或“使得个人经济地位、社会地位等状况发生了与前一类法律关系变化影响程度相当的变化”。如果以部分权利放弃或者保留部分权利的思路解释已公开个人信息的保护限度,则无法解释已公开个人信息与未公开个人信息存在何种差异,同时也存在将已公开个人信息归纳至“一般个人信息与敏感个人信息”分类范畴的逻辑误区。

  在具体的个案中,合理使用已公开个人信息不得违反现行法律法规的强制性规定,具体的认定标准包括处理目的、处理方式和明确拒绝,其中的认定流程包括:首先,判断意欲收集和使用的已公开个人信息属于自行公开还是其他合法方式公开。后一种公开方式的依据大多是法定强制公开等,其公开目的可以结合强制公开的法律依据予以判断,故而处理目的不应当超出该公开目的。前一种公开方式则是基于自然人的特殊“同意”,除非自然人在公开时已经明确拒绝特定处理活动,否则个人信息处理者均可在未经同意的情况下直接处理个人信息。其次,判断处理方式是否合法、正当且必要。以商业目的处理已公开个人信息并不当然构成不合理使用,还需要结合具体的处理方式是否存在伪造数据、虚构事实等行为并造成自然人其他权益重大影响的可能性。如果存在,则显然不属于“合理使用”。最后,根据《个人信息保护法》第27条判断自然人在自愿公开个人信息时是否明确拒绝特定类型的处理活动或者特定的个人处理者,如果属于该范畴,即便已公开个人信息的处理活动未对个人权益产生重大影响,也不属于“合理使用”。此外,需要注意的是,《个人信息保护法》第27条将“对个人权益有重大影响的”处理活动重新列为需要获得个人同意的常见情形,所以,“合理使用”的认定标准还需要判断“影响”是否达到重大程度。考虑到第27条兜底性以及权衡已公开个人信息的利用效率,这里的“重大”更宜解释为已经或可能对个人权益造成无法挽回的损害结果。在评分推荐类自动化决策场景下,“合理使用”的认定还存在额外流程,即自动化决策“对个人权益有重大影响”时,个人信息处理者在处理个人信息之前,如果自然人主动提起有关自动化决策作用原理以及对其权益影响程度的请求时,个人信息处理者应当予以说明存在重大影响的自动决策结果。

  《个人信息保护法》的立法目标自始至终未曾以个人信息的公开与否而有所区别,个人信息的公开也不能简单总结为自然人默认不特定个人信息处理者以合法的方式自由处理该类信息。回归到“为什么需要立法保护个人信息”这一根本问题上,不难发现《个人信息保护法》所保护的是自然人能够按照自己的意愿,要求个人信息处理者按照约定或法定方式处理个人信息的控制能力。进一步说,在立法保护强度上,已公开和未公开的个人信息并没有实质性区别。因此,处理自行公开或以其他合法方式公开的个人信息时,依然需要满足《个人信息保护法》的基本原则,既不应当对现有的个人信息权利造成损害,也不应当对其他权益造成重大影响,这也是判断已公开个人信息处理行为是否属于“合理范围”内或“合理使用”的基本标准。

  《中国应用法学》是由最高人民法院主管,中国应用法学研究所、人民法院出版社有限公司联合主办的法学学术期刊。本刊的办刊宗旨为:沟通理论与实务,繁荣应用法学研究。本刊围绕中国特色社会主义法治实践中的重点问题,聚焦与司法应用有关的、社会性的、实证性的和冲突性的研究成果,立足高端、关注热点、把握前沿、彰显权威、引领变革。

  无论是工作汇报,产品介绍,还是法律研究报告、市场宣传文案,法宝智能写作系统都能为您提供高质量写作支持,满足法律工作者日常学习工作中各类领域的写作需求,提供源源不断的创意与灵感,全面助力您的文案写作。您可以在平台上选择不同的写作模型,输入关键词和要点,即可自动生成文档大纲与内容。平台内嵌法宝V6数据库,让您的内容创作有据可依。与此同时,智能写作平台还支持实时对生成文档进行修改和优化,确保文章撰写的准确性。

  “一键生成文章大纲”——输入关键词和内容要求,即可自动生成文章大纲,为您提供创作起点和清晰明了的写作思路。

  “智能生成文章内容”——GPT模型结合法宝数据库快速生成逻辑自洽、内容丰富的文章。

  “法宝V6数据库支持”——查阅生成结果的相关法律法规、学术期刊等信息。可准确理解法律术语,帮助生成符合要求的法律文件;能够自动匹配对应法律法规,实现法理逻辑处理自动化,增强文章权威性与可信度。法宝智能写作能及时跟踪法律法规的最新变化,避免使用已失效或废止的法律条文作为参考。

  本文声明 本文章仅限学习交流使用,如遇侵权,我们会及时删除。本文章不代表北律信息网(北宝)和北京北大英华科技有限公司的法律意见或对相关法规/案件/事件等的解读。