當前,出于政府信息公開、司法透明、建設社會信用體系等諸多目的,多個政府機關通過其主辦的網站(如國家企業信用信息公示系統、信用中國網、中國裁判文書網、中國執行信息公開網等)經常性地發布一些可能含有公民個人信息的內容[注1],這些網站已然成為了我們查詢、了解市場主體信用情況的重要途徑,政府也成為了大量信息的原始采集者。而與此同時,也有一些第三方的市場主體(如啟信寶、企查查等公司),利用網絡爬蟲等技術工具,對從公開渠道獲得的大量信息進行收集、聚合、分類、關聯和分析,并通過付費會員服務等方式獲取利益。然而,實務中對于已公開的個人信息的爬取和使用,仍有不少爭議,剛剛發布的《個人信息保護法(草案)》(二次審議稿)(以下簡稱“個保法二審稿”),在審議過程中對此問題亦有諸多涉及,并最終在修改中有所體現。結合個保法二審稿的修改,以及我們近期遇到的同類案件,本篇短文希望就此問題與大家共同探討、研究已公開的個人信息的合法性。
一、問題的起點:戴著鎖鏈舞蹈的網絡爬蟲
網絡爬蟲(又稱網頁蜘蛛、網絡機器人)是一種按照一定的規則,自動地抓取互聯網信息的程序或者腳本。由于其高效、便捷的特性,一段時間以來,網絡爬蟲成為了各科技公司收集數據,進行研究,乃至參與競爭的核心手段。圍繞網絡爬蟲的應用,也已發生了一系列的爭議,如與不正當競爭、商業秘密有關的部分爭議,其中比較典型的民事案件有百度公司訴奇虎公司(360)不正當競爭糾紛案、漢濤公司(大眾點評)訴百度公司等不正當競爭糾紛案、新浪微博訴脈脈案等。
同時,隨著整個社會對個人信息保護重視程度的不斷增加,以及《刑法修正案(九)》及《最高人民法院、最高人民檢察院關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》(以下簡稱《兩高解釋》)的出臺,網絡爬蟲的刑事追責也愈發受到司法機關的重視(爬蟲可能涉及的刑事犯罪還包括非法侵入計算機信息系統罪等)。2019年以來,多家涉及大數據風控、網絡爬蟲的科技公司因此涉案,如魔蝎科技、新顏科技、同盾科技、51信用卡等知名公司。一時間,行業內人人自危,甚至有了“爬蟲爬的好,牢飯吃到飽”的戲言。《刑法》第253條所規定的侵犯公民個人信息罪,包括了“違反國家有關規定,向他人出售或者提供公民個人信息”以及“竊取或者以其他方法非法獲取公民個人信息”的情形。依據上述規定及《兩高解釋》第2條、第4條的規定,在判斷該爬取行為是否構成犯罪時,首先需要審查是否違反了其他的“法律、行政法規、部門規章有關公民個人信息保護的規定”,即審查是否符合前置法的要件。
2021年1月,魔蝎公司因使用爬蟲技術涉刑一案宣判,公司法定代表人、高管均被判處有期徒刑(緩刑),公司被判處罰金人民幣三千萬元,同時沒收違法所得三千萬元,罪責不可謂不嚴厲。根據判決書[注2]記載,魔蝎公司與網絡貸款公司、小型銀行進行合作,在貸款用戶使用網貸平臺的App借款時,貸款用戶需要在魔蝎科技提供的前端插件上,輸入其通訊運營商、社保、公積金、淘寶、京東、學信網、征信中心等網站的賬號、密碼,經過貸款用戶授權后,魔蝎公司的爬蟲程序代替貸款用戶登錄上述網站,進入其個人賬戶,利用各類爬蟲技術,爬取上述企、事業單位網站上貸款用戶本人賬戶內的通話記錄、社保、公積金等各類數據,并按與用戶的約定提供給網貸平臺用于判斷用戶的資信情況,并從網貸平臺獲取每筆0.1元至0.3元不等的費用。期間,魔蝎公司在和個人貸款用戶簽訂的《數據采集服務協議》中明確告知貸款用戶“不會保存用戶賬號密碼,僅在用戶每次單獨授權的情況下采集信息”,但未經用戶許可仍采用技術手段長期保存用戶各類賬號和密碼在自己租用的阿里云服務器上。最終,法院認定魔蝎公司以其他方法非法獲取公民個人信息,情節特別嚴重,其行為已構成侵犯公民個人信息罪。
二、當前法律適用的迷思
(一) 既往司法判例的初步總結
目前的司法實踐中,對于已經被公開的個人信息的處理行為,仍有不少爭議,通過初步檢索,大致可將相關法院的裁判觀點分為以下幾類:
1. 即使獲取或提供的是已經依法公開的個人信息,如果未經公民個人同意,仍可能構成侵犯公民個人信息罪。
此類案件多認為公開的個人信息也可以作為刑法上侵犯個人信息罪的客體,認為如果未經公民個人同意進行處理,仍可能構成侵犯公民個人信息罪。例如,在南京市中級人民法院辦理的(2017)蘇01刑終870號案件中,被告人在稅務局負責稅收征收的工作,利用工作便利,超越權限,下載企業稅務登記信息,獲取包括企業名稱、企業法定代表人或聯系人姓名、居民身份證號碼、手機號碼等稅務登記信息。其后將該信息銷售給他人,用于撥打電話作廣告推銷。被告人辯稱這些信息是在網上可以查詢到的公開信息。法院則認為,“公民個人信息……識別性是其根本屬性,并不要求具有個人隱私的特征。據此,即便是已經公開的公民個人信息,也應屬于刑法所保護的‘公民個人信息’”[注3]。
又如,在福建省安溪縣人民法院辦理的(2019)閩0524刑初397號案件中,被告人徐國成通過制作“爬蟲"軟件從“企查查"、“天眼查"等網站上獲取企業法人的聯系方式等信息,其獲取的信息是已經被依法公開的個人及企業信息,其后將獲取的信息賣給網友。法院認為,“被告人徐國成及其辯護人郭某、胡某提出的本案中信息屬于公開信息,不應當認為是犯罪的辯護意見,經查,根據《最高人民法院、最高人民檢察院關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》第三條第二款的規定,未經被收集者同意,將合法收集的公民個人信息向他人提供的,屬于刑法第二百五十三條之一規定的‘提供公民個人信息’,但是經過處理無法識別特定個人且不能復原的除外,故該辯護意見不予采納”。[注4]
2. 獲取或提供已被合法公開的個人信息不侵犯個人信息權益,只有當權利人要求刪除而不予刪除時才構成對個人信息權益的侵犯。
同時,也有部分法院認為對于已被合法公開的個人信息應給予相較于未公開個人信息較低的保護,主張獲取或提供已被合法公開的個人信息不侵犯個人信息權益,只有當權利人要求刪除而不予刪除時才構成對個人信息權益的侵犯。
例如,在蘇州市中級人民法院辦理的(2019)蘇05民終4745號案件中,被告貝爾塔公司是啟信寶網站的主辦單位,該網站主要提供商業查詢服務,公眾通過該網站可以查詢企業工商登記、涉訟裁判文書等信息。被告將中國裁判文書網上發布的三份民事判決書,轉載至啟信寶網站,任何人均可在該網站上搜索、查詢到上述文書。原告伊某是上述文書的案件當事人,上述法律文書分別記述了原告涉及的四起糾紛情況。被告在轉載上述文書時,未獲得中國裁判文書網和人民法院公告網主辦單位的授權,亦未征詢原告伊某的意見。后原告要求被告刪除這些文書,但被告并未刪除。
法院認為,在原告通知啟信寶網站刪除相關文書之前,涉案文書已在互聯網上合法公開,啟信寶網站基于公開的渠道收集后在其合法經營范圍內向客戶提供、公開相關法律文書,屬于對已合法公開信息的合理使用,原告對此負有容忍之義務。但在原告通知被告刪除之后,被告拒絕刪除則構成對原告個人信息的非法公開使用。被告轉載并公開涉伊某等主體的法律文書,系基于法律文書已被中國裁判文書網和人民法院公告網合法公開,且就法律文書內容而言并不能判別是否涉及自然人值得保護的重大利益,故不違法。但對被告的轉載和再次公開行為是否違反正當性和必要性原則、是否對所涉自然人值得保護的重大利益造成影響,應更多考量個人信息主體對其個人信息傳播控制的權利及其對個人利益影響程度的評判,即應尊重伊某本人對于其已被合法公開信息進行二次傳播的個人意愿,賦予伊某應有的選擇權利……被告收到伊某要求后仍未及時刪除相關裁判文書和公告文書,有悖于伊某對已公開信息進行傳播控制的意思表示,違反了合法性、正當性和必要性原則,應該認為對伊某構成重大利益影響,侵犯了其個人信息權益[注5]。
3. 超過被收集者授權同意的范圍內處理個人信息,屬于違法使用個人信息,但中立的網絡服務提供者可因通知刪除而免責。
對于數據主體主動公開的個人信息的處理,實踐中案例相對較少,2020年9月北京互聯網法院發布的“校友錄”頭像被爬案【(2019)京0491民初10989號】即是其中的典型案例。北京互聯網法院在該案中認為,超過被收集者授權同意的范圍內處理個人信息,屬于違法使用個人信息,但中立的網絡服務提供者(即案件中的百度公司)可因通知-刪除而免責。該案對于認識搜索引擎在此類案件中的責任承擔具有重要的指導意義。
該案中,原告作為“chinaren校友錄”網站的注冊用戶,上傳了自己的真實姓名、個人證件照作為用戶信息,后該網站在2012年對外停止訪問。2018年原告通過百度搜索自己的名字,發現其個人證件照被置頂在圖片搜索結果中。原告要求百度刪除證件照及其姓名的關聯關系,百度未予回復。
法院認為,搜索引擎是互聯網信息查詢和信息定位工具,根據《最高人民法院關于審理利用信息網絡侵害人身權益民事糾紛案件適用法律若干問題的規定》第九條的規定,其對公開呈現檢索結果的審查和注意義務,應結合是否進行人工編輯整理、應具備的信息管理能力、涉案信息侵權類型和明顯程度、涉案信息社會影響程度以及是否采取了預防侵權的合理措施等因素綜合進行判定:第一,目前尚無證據表明,被告在涉案行為過程中,對涉案信息進行了超越搜索引擎中立服務目的的選取、編輯、推薦;第二,被告作為全網信息搜索引擎服務提供者,需對海量互聯網信息進行搜索、存儲、歸目等技術處理,不應苛求其對所有信息是否侵權進行逐條甄別和主動審查;第三,涉案信息不屬于裸照、身份證號等明顯侵權或者極具引發侵權風險的信息,作為一般個人信息,存在權利人愿意積極公開、一定范圍公開或不愿公開等多種可能的情形,為鼓勵網絡信息的利用和流通,對于網絡公開的一般個人信息,應推定權利人同意公開,故被告在接到權利人的通知前,難以預見涉案信息是未經授權公開的信息;第四,現有證據不能顯示涉案信息被大規模搜索或使用,以至于達到搜索引擎運營者可明顯感知的程度;第五,被告已開通渠道,供權利人對可能存在的侵權行為進行投訴。對于涉案信息并非明顯侵權或存在高度侵權風險的個人信息,不應對網絡服務提供者苛以事先審查責任,被告亦不具備預見涉案信息構成侵權的可能性,故在通知刪除前,被告對涉案信息不存在明知或應知的主觀過錯,不構成對原告個人信息權益的侵害[注6]。
(二)《民法典》的規定為已公開的個人信息的使用帶來了新思路
《民法典》明確區分了公開的個人信息和非公開的個人信息,并為二者設置了不同的處理規則:對于非公開的個人信息,根據《民法典》第1035條第1款的規定[注7],除法律、行政法規另有規定的外,處理相關信息需要征得該自然人或者其監護人同意;對于公開的個人信息,根據《民法典》第1036條第2項的規定[注8],除自然人明確拒絕或者處理相關信息侵害其重大利益的外,合理處理相關信息(該自然人自行公開的或者其他已經合法公開的信息)不需要征得該自然人或者其監護人的同意。可見,《民法典》關于公開的個人信息的保護強度要明顯弱于非公開的個人信息。根據最高人民法院喻海松法官的觀點,《民法典》的上述規定,為刑法適用中涉公開的個人信息案件定性的若干爭議問題厘清了前置法規定[注9]。
不過,上述規定的細節爭議仍有很多,有待進一步厘清。首先,上述規定未明確對于自行公開的范圍應當如何界定。此種情況較多發生在社交媒體和市場推廣等行為中,如部分微博用戶設置僅半年可見,但有爬蟲對該賬戶持續跟蹤并留檔的情況應如何定責?類似情況還有,部分微信用戶設置了陌生人可查看其十條朋友圈,此類信息是否應當認定為自行公開的信息?有觀點認為此時的處理行為已脫離了相關信息原有的用途,不應當理解為系對個人信息的合理使用。
其次,對于其他已經合法公開的信息:信息處理者如何確認相關信息是處于合法公開的狀態?此處是否一般僅針對從政府機關獲取的信息?如發生政府機關超出其職權發布個人信息的情況(如裁判文書網發布當事人身份證、家庭住址等信息的情形),使用網絡爬蟲的主體是否有進一步的核實義務?對于使用網絡爬蟲工具處理已公開的個人信息的處理者的主觀心理狀態,是否要求其對于已被公開的個人信息合法性有清楚的認識(特別是考慮到網絡爬蟲自動化工具的特性)?
此外,法條中的“合理處理”、“處理該信息侵害其重大利益的除外”應當如何理解?是否主要指向了“通知-刪除”的要求(如“校友錄”頭像被爬案的裁判要旨),未來仍有待立法、司法實踐的進一步檢驗。
(三)《個人信息保護法(草案)》(二次審議稿)中新增“合理處理已公開的個人信息”作為合法性基礎
考慮到與《民法典》的上述規定的一致性,今年4月剛剛發布的個保法二審稿中新增了“依照本法規定在合理的范圍內處理已公開的個人信息”作為了個人信息處理的合法性基礎之一。從該條的構成來看,需要同時滿足“依照本法規定”和“在合理的范圍內處理”的條件。此外,個保法二審稿第二十八條對于已公開的個人信息的處理做出了進一步的規定:如果能夠明確個人信息被公開時的用途,則處理行為應當符合該用途;如果超出與該用途相關的合理范圍的(很多信息在實際使用時會應用于完全不同于收集時的用途),應當取得數據主體的同意;如果該個人信息被公開的用途并不明確,則需要“合理、謹慎”地進行處理;另外,如果利用已公開的個人信息從事對個人有重大影響的活動,也應當取得數據主體的同意。
可見,雖然個保法二審稿中新增了“合理處理已公開的個人信息”作為合法性基礎,但是對于個人信息被公開時的用途,何為與該用途相關的合理范圍,如何合理、謹慎地處理等諸多問題仍有待進一步的澄清。
三、結 語
《民法典》、個保法二審稿對于已公開的個人信息的特別規定,說明立法者看到了對此類信息進行特殊規制的必要性。特別是在當前強調政務信息透明、建設社會信用體系的大背景下,如何兼顧個人信息的保護和公共信息的流通,平衡信息主體的權益和整個社會的公益,或許是留給行政執法者、司法者新的課題。
注釋及參考文獻:
[1] 以上網站的部分內容在上傳前可能會進行部分技術處理,以使其不含有個人信息,如《最高人民法院關于人民法院在互聯網公布裁判文書的規定》第十條刪除相關信息的規定。
[2] 參見(2020)浙0106刑初437號刑事判決書。
[3] 參見(2017)蘇01刑終870號刑事判決書。
[4] 參見(2019)閩0524刑初397號刑事判決書。
[5] 參見(2019)蘇05民終4745號民事判決書。
[6] 參見(2019)京0491民初10989號民事判決書。
[7] 《民法典》第1035條:“處理個人信息的,應當遵循合法、正當、必要原則,不得過度處理,并符合下列條件:(一)征得該自然人或者其監護人同意,但是法律、行政法規另有規定的除外;……”
[8] 《民法典》第1036條:“處理個人信息,有下列情形之一的,行為人不承擔民事責任:……(二)合理處理該自然人自行公開的或者其他已經合法公開的信息,但是該自然人明確拒絕或者處理該信息侵害其重大利益的除外。”
[9] 參見喻海松:《<民法典>視域下侵犯公民個人信息罪的司法適用》,載于《北京航空航天大學學報》(社會科學版),第33卷第6期,第7頁。