当前���,出于政府信息公开���、司法透明���、建设社会信用体系等诸多目的���,多个政府机关通过其主办的网站(如国家企业信用信息公示系统���、信用中国网���、中国裁判文书网���、中国执行信息公开网等)经常性地发布一些可能含有公民个人信息的内容[注1]���,这些网站已然成为了我们查询���、了解市场主体信用情况的重要途径���,政府也成为了大量信息的原始采集者。而与此同时���,也有一些第三方的市场主体(如启信宝���、企查查等公司)���,利用网络爬虫等技术工具���,对从公开渠道获得的大量信息进行收集���、聚合���、分类���、关联和分析���,并通过付费会员服务等方式获取利益。然而���,实务中对于已公开的个人信息的爬取和使用���,仍有不少争议���,刚刚发布的《个人信息保护法(草案)》(二次审议稿)(以下简称“个保法二审稿”)���,在审议过程中对此问题亦有诸多涉及���,并最终在修改中有所体现。结合个保法二审稿的修改���,以及我们近期遇到的同类案件���,本篇短文希望就此问题与大家共同探讨���、研究已公开的个人信息的合法性。
一���、问题的起点���:戴着锁链舞蹈的网络爬虫
网络爬虫(又称网页蜘蛛���、网络机器人)是一种按照一定的规则,自动地抓取互联网信息的程序或者脚本。由于其高效���、便捷的特性���,一段时间以来���,网络爬虫成为了各科技公司收集数据���,进行研究���,乃至参与竞争的核心手段。围绕网络爬虫的应用���,也已发生了一系列的争议���,如与不正当竞争���、商业秘密有关的部分争议���,其中比较典型的民事案件有百度公司诉奇虎公司(360)不正当竞争纠纷案���、汉涛公司(大众点评)诉百度公司等不正当竞争纠纷案���、新浪微博诉脉脉案等。
同时���,随着整个社会对个人信息保护重视程度的不断增加���,以及《刑法修正案(九)》及《最高人民法院���、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《两高解释》)的出台���,网络爬虫的刑事追责也愈发受到司法机关的重视(爬虫可能涉及的刑事犯罪还包括非法侵入计算机信息系统罪等)。2019年以来���,多家涉及大数据风控���、网络爬虫的科技公司因此涉案���,如魔蝎科技���、新颜科技���、同盾科技���、51信用卡等知名公司。一时间���,行业内人人自危���,甚至有了“爬虫爬的好���,牢饭吃到饱”的戏言。《刑法》第253条所规定的侵犯公民个人信息罪���,包括了“违反国家有关规定���,向他人出售或者提供公民个人信息”以及“窃取或者以其他方法非法获取公民个人信息”的情形。依据上述规定及《两高解释》第2条���、第4条的规定���,在判断该爬取行为是否构成犯罪时���,首先需要审查是否违反了其他的“法律���、行政法规���、部门规章有关公民个人信息保护的规定”���,即审查是否符合前置法的要件。
2021年1月���,魔蝎公司因使用爬虫技术涉刑一案宣判���,公司法定代表人���、高管均被判处有期徒刑(缓刑)���,公司被判处罚金人民币三千万元���,同时没收违法所得三千万元���,罪责不可谓不严厉。根据判决书[注2]记载���,魔蝎公司与网络贷款公司���、小型银行进行合作���,在贷款用户使用网贷平台的App借款时���,贷款用户需要在魔蝎科技提供的前端插件上���,输入其通讯运营商���、社保���、公积金���、淘宝���、京东���、学信网���、征信中心等网站的账号���、密码���,经过贷款用户授权后���,魔蝎公司的爬虫程序代替贷款用户登录上述网站���,进入其个人账户���,利用各类爬虫技术���,爬取上述企���、事业单位网站上贷款用户本人账户内的通话记录���、社保���、公积金等各类数据���,并按与用户的约定提供给网贷平台用于判断用户的资信情况���,并从网贷平台获取每笔0.1元至0.3元不等的费用。期间���,魔蝎公司在和个人贷款用户签订的《数据采集服务协议》中明确告知贷款用户“不会保存用户账号密码���,仅在用户每次单独授权的情况下采集信息”���,但未经用户许可仍采用技术手段长期保存用户各类账号和密码在自己租用的阿里云服务器上。最终���,法院认定魔蝎公司以其他方法非法获取公民个人信息���,情节特别严重���,其行为已构成侵犯公民个人信息罪。
二���、当前法律适用的迷思
(一) 既往司法判例的初步总结
目前的司法实践中���,对于已经被公开的个人信息的处理行为���,仍有不少争议���,通过初步检索���,大致可将相关法院的裁判观点分为以下几类���:
1. 即使获取或提供的是已经依法公开的个人信息���,如果未经公民个人同意���,仍可能构成侵犯公民个人信息罪。
此类案件多认为公开的个人信息也可以作为刑法上侵犯个人信息罪的客体���,认为如果未经公民个人同意进行处理���,仍可能构成侵犯公民个人信息罪。例如���,在南京市中级人民法院办理的(2017)苏01刑终870号案件中���,被告人在税务局负责税收征收的工作���,利用工作便利���,超越权限���,下载企业税务登记信息���,获取包括企业名称���、企业法定代表人或联系人姓名���、居民身份证号码���、手机号码等税务登记信息。其后将该信息销售给他人���,用于拨打电话作广告推销。被告人辩称这些信息是在网上可以查询到的公开信息。法院则认为���,“公民个人信息……识别性是其根本属性���,并不要求具有个人隐私的特征。据此���,即便是已经公开的公民个人信息���,也应属于刑法所保护的‘公民个人信息’”[注3]。
又如���,在福建省安溪县人民法院办理的(2019)闽0524刑初397号案件中���,被告人徐国成通过制作“爬虫"软件从“企查查"���、“天眼查"等网站上获取企业法人的联系方式等信息���,其获取的信息是已经被依法公开的个人及企业信息���,其后将获取的信息卖给网友。法院认为���,“被告人徐国成及其辩护人郭某���、胡某提出的本案中信息属于公开信息���,不应当认为是犯罪的辩护意见���,经查���,根据《最高人民法院���、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第三条第二款的规定���,未经被收集者同意���,将合法收集的公民个人信息向他人提供的���,属于刑法第二百五十三条之一规定的‘提供公民个人信息’���,但是经过处理无法识别特定个人且不能复原的除外���,故该辩护意见不予采纳”。[注4]
2. 获取或提供已被合法公开的个人信息不侵犯个人信息权益���,只有当权利人要求删除而不予删除时才构成对个人信息权益的侵犯。
同时���,也有部分法院认为对于已被合法公开的个人信息应给予相较于未公开个人信息较低的保护���,主张获取或提供已被合法公开的个人信息不侵犯个人信息权益���,只有当权利人要求删除而不予删除时才构成对个人信息权益的侵犯。
例如���,在苏州市中级人民法院办理的(2019)苏05民终4745号案件中���,被告贝尔塔公司是启信宝网站的主办单位���,该网站主要提供商业查询服务���,公众通过该网站可以查询企业工商登记���、涉讼裁判文书等信息。被告将中国裁判文书网上发布的三份民事判决书���,转载至启信宝网站���,任何人均可在该网站上搜索���、查询到上述文书。原告伊某是上述文书的案件当事人���,上述法律文书分别记述了原告涉及的四起纠纷情况。被告在转载上述文书时���,未获得中国裁判文书网和人民法院公告网主办单位的授权���,亦未征询原告伊某的意见。后原告要求被告删除这些文书���,但被告并未删除。
法院认为���,在原告通知启信宝网站删除相关文书之前���,涉案文书已在互联网上合法公开���,启信宝网站基于公开的渠道收集后在其合法经营范围内向客户提供���、公开相关法律文书���,属于对已合法公开信息的合理使用���,原告对此负有容忍之义务。但在原告通知被告删除之后���,被告拒绝删除则构成对原告个人信息的非法公开使用。被告转载并公开涉伊某等主体的法律文书���,系基于法律文书已被中国裁判文书网和人民法院公告网合法公开���,且就法律文书内容而言并不能判别是否涉及自然人值得保护的重大利益���,故不违法。但对被告的转载和再次公开行为是否违反正当性和必要性原则���、是否对所涉自然人值得保护的重大利益造成影响���,应更多考量个人信息主体对其个人信息传播控制的权利及其对个人利益影响程度的评判���,即应尊重伊某本人对于其已被合法公开信息进行二次传播的个人意愿���,赋予伊某应有的选择权利……被告收到伊某要求后仍未及时删除相关裁判文书和公告文书���,有悖于伊某对已公开信息进行传播控制的意思表示���,违反了合法性���、正当性和必要性原则���,应该认为对伊某构成重大利益影响���,侵犯了其个人信息权益[注5]。
3. 超过被收集者授权同意的范围内处理个人信息���,属于违法使用个人信息���,但中立的网络服务提供者可因通知删除而免责。
对于数据主体主动公开的个人信息的处理���,实践中案例相对较少���,2020年9月北京互联网法院发布的“校友录”头像被爬案【(2019)京0491民初10989号】即是其中的典型案例。北京互联网法院在该案中认为���,超过被收集者授权同意的范围内处理个人信息���,属于违法使用个人信息���,但中立的网络服务提供者(即案件中的百度公司)可因通知-删除而免责。该案对于认识搜索引擎在此类案件中的责任承担具有重要的指导意义。
该案中���,原告作为“chinaren校友录”网站的注册用户���,上传了自己的真实姓名���、个人证件照作为用户信息���,后该网站在2012年对外停止访问。2018年原告通过百度搜索自己的名字���,发现其个人证件照被置顶在图片搜索结果中。原告要求百度删除证件照及其姓名的关联关系���,百度未予回复。
法院认为���,搜索引擎是互联网信息查询和信息定位工具���,根据《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》第九条的规定���,其对公开呈现检索结果的审查和注意义务���,应结合是否进行人工编辑整理���、应具备的信息管理能力���、涉案信息侵权类型和明显程度���、涉案信息社会影响程度以及是否采取了预防侵权的合理措施等因素综合进行判定���:第一���,目前尚无证据表明���,被告在涉案行为过程中���,对涉案信息进行了超越搜索引擎中立服务目的的选取���、编辑���、推荐;第二���,被告作为全网信息搜索引擎服务提供者���,需对海量互联网信息进行搜索���、存储���、归目等技术处理���,不应苛求其对所有信息是否侵权进行逐条甄别和主动审查;第三���,涉案信息不属于裸照���、身份证号等明显侵权或者极具引发侵权风险的信息���,作为一般个人信息���,存在权利人愿意积极公开���、一定范围公开或不愿公开等多种可能的情形���,为鼓励网络信息的利用和流通���,对于网络公开的一般个人信息���,应推定权利人同意公开���,故被告在接到权利人的通知前���,难以预见涉案信息是未经授权公开的信息;第四���,现有证据不能显示涉案信息被大规模搜索或使用���,以至于达到搜索引擎运营者可明显感知的程度;第五���,被告已开通渠道���,供权利人对可能存在的侵权行为进行投诉。对于涉案信息并非明显侵权或存在高度侵权风险的个人信息���,不应对网络服务提供者苛以事先审查责任���,被告亦不具备预见涉案信息构成侵权的可能性���,故在通知删除前���,被告对涉案信息不存在明知或应知的主观过错���,不构成对原告个人信息权益的侵害[注6]。
(二)《民法典》的规定为已公开的个人信息的使用带来了新思路
《民法典》明确区分了公开的个人信息和非公开的个人信息���,并为二者设置了不同的处理规则���:对于非公开的个人信息���,根据《民法典》第1035条第1款的规定[注7]���,除法律���、行政法规另有规定的外���,处理相关信息需要征得该自然人或者其监护人同意;对于公开的个人信息���,根据《民法典》第1036条第2项的规定[注8]���,除自然人明确拒绝或者处理相关信息侵害其重大利益的外���,合理处理相关信息(该自然人自行公开的或者其他已经合法公开的信息)不需要征得该自然人或者其监护人的同意。可见���,《民法典》关于公开的个人信息的保护强度要明显弱于非公开的个人信息。根据最高人民法院喻海松法官的观点���,《民法典》的上述规定���,为刑法适用中涉公开的个人信息案件定性的若干争议问题厘清了前置法规定[注9]。
不过���,上述规定的细节争议仍有很多���,有待进一步厘清。首先���,上述规定未明确对于自行公开的范围应当如何界定。此种情况较多发生在社交媒体和市场推广等行为中���,如部分微博用户设置仅半年可见���,但有爬虫对该账户持续跟踪并留档的情况应如何定责?类似情况还有���,部分微信用户设置了陌生人可查看其十条朋友圈���,此类信息是否应当认定为自行公开的信息?有观点认为此时的处理行为已脱离了相关信息原有的用途���,不应当理解为系对个人信息的合理使用。
其次���,对于其他已经合法公开的信息���:信息处理者如何确认相关信息是处于合法公开的状态?此处是否一般仅针对从政府机关获取的信息?如发生政府机关超出其职权发布个人信息的情况(如裁判文书网发布当事人身份证���、家庭住址等信息的情形)���,使用网络爬虫的主体是否有进一步的核实义务?对于使用网络爬虫工具处理已公开的个人信息的处理者的主观心理状态���,是否要求其对于已被公开的个人信息合法性有清楚的认识(特别是考虑到网络爬虫自动化工具的特性)?
此外���,法条中的“合理处理”���、“处理该信息侵害其重大利益的除外”应当如何理解?是否主要指向了“通知-删除”的要求(如“校友录”头像被爬案的裁判要旨)���,未来仍有待立法���、司法实践的进一步检验。
(三)《个人信息保护法(草案)》(二次审议稿)中新增“合理处理已公开的个人信息”作为合法性基础
考虑到与《民法典》的上述规定的一致性���,今年4月刚刚发布的个保法二审稿中新增了“依照本法规定在合理的范围内处理已公开的个人信息”作为了个人信息处理的合法性基础之一。从该条的构成来看���,需要同时满足“依照本法规定”和“在合理的范围内处理”的条件。此外���,个保法二审稿第二十八条对于已公开的个人信息的处理做出了进一步的规定���:如果能够明确个人信息被公开时的用途���,则处理行为应当符合该用途;如果超出与该用途相关的合理范围的(很多信息在实际使用时会应用于完全不同于收集时的用途)���,应当取得数据主体的同意;如果该个人信息被公开的用途并不明确���,则需要“合理���、谨慎”地进行处理;另外���,如果利用已公开的个人信息从事对个人有重大影响的活动,也应当取得数据主体的同意。
可见���,虽然个保法二审稿中新增了“合理处理已公开的个人信息”作为合法性基础���,但是对于个人信息被公开时的用途���,何为与该用途相关的合理范围���,如何合理���、谨慎地处理等诸多问题仍有待进一步的澄清。
三���、结 语
《民法典》���、个保法二审稿对于已公开的个人信息的特别规定���,说明立法者看到了对此类信息进行特殊规制的必要性。特别是在当前强调政务信息透明���、建设社会信用体系的大背景下���,如何兼顾个人信息的保护和公共信息的流通���,平衡信息主体的权益和整个社会的公益���,或许是留给行政执法者���、司法者新的课题。
注释及参考文献���:
[1] 以上网站的部分内容在上传前可能会进行部分技术处理���,以使其不含有个人信息���,如《最高人民法院关于人民法院在互联网公布裁判文书的规定》第十条删除相关信息的规定。
[2] 参见(2020)浙0106刑初437号刑事判决书。
[3] 参见(2017)苏01刑终870号刑事判决书。
[4] 参见(2019)闽0524刑初397号刑事判决书。
[5] 参见(2019)苏05民终4745号民事判决书。
[6] 参见(2019)京0491民初10989号民事判决书。
[7] 《民法典》第1035条���:“处理个人信息的���,应当遵循合法���、正当���、必要原则���,不得过度处理���,并符合下列条件���:(一)征得该自然人或者其监护人同意���,但是法律���、行政法规另有规定的除外;……”
[8] 《民法典》第1036条���:“处理个人信息���,有下列情形之一的���,行为人不承担民事责任���:……(二)合理处理该自然人自行公开的或者其他已经合法公开的信息���,但是该自然人明确拒绝或者处理该信息侵害其重大利益的除外。”
[9] 参见喻海松���:《<民法典>视域下侵犯公民个人信息罪的司法适用》���,载于《北京航空航天大学学报》(社会科学版)���,第33卷第6期���,第7页。
