当前,出于政府信息公开、司法透明、建设社会信用体系等许多目的,多个政府机关经过其主办的网站(如国家企业信用信息公示系统、信用中国网、中国裁判文书网、中国执行信息公开网等)经常性地发布有些可能含有百姓个人信息的内容[注1],这些网站已然作为了咱们查找、认识市场主体信用状况的重要途径,政府亦作为了海量信息的原始采集者。而与此同期,亦有有些第三方的市场主体(如启信宝、企查查等机构),利用网络爬虫等技术工具,对从公开途径得到的海量信息进行收集、聚合、归类、相关和分析,并经过付费会员服务等方式获取利益。然而,实务中针对已公开的个人信息的爬取和运用,仍有不少争议,刚才发布的《个人信息守护法(草案)》(二次审议稿)(以下简叫作“个保法二审稿”),在审议过程中对此问题也有许多触及,并最后在修改中有所表现。结合个保法二审稿的修改,以及咱们近期遇到的同类案件,本篇短文期盼就此问题与大众一起探讨、科研已公开的个人信息的合法性。
1、问题的起点:戴着锁链舞蹈的网络爬虫
网络爬虫(又叫作网页蜘蛛、网络设备人)是一种根据一定的规则,自动地抓取互联网信息的程序或脚本。因为其有效、方便的特性,一段时间败兴,网络爬虫作为了各科技机构收集数据,进行科研,乃至参与竞争的核心手段。围绕网络爬虫的应用,亦已出现了一系列的争议,如与不正当竞争、商场奥密相关的部分争议,其中比较典型的民事案件有百度机构诉奇虎机构(360)不正当竞争纠纷案、汉涛机构(公众点评)诉百度机构等不正当竞争纠纷案、外链博客诉脉脉案等。
同期,随着全部社会对个人信息守护注重程度的持续增多,以及《刑法修正案(九)》及《最高人民法院、最高人民检察院关于办理侵犯百姓个人信息刑事案件适用法律若干问题的解释》(以下简叫作《两高解释》)的出台,网络爬虫的刑事追责亦愈发受到司法机关的注重(爬虫可能触及的刑事犯罪还包含违法侵入计算机信息系统罪等)。2019年败兴,多家触及大数据风控、网络爬虫的科技机构因此呢涉案,如魔蝎科技、新颜科技、同盾科技、51信用卡等知名机构。一时间,行业内人人自危,乃至有了“爬虫爬的好,牢饭吃到饱”的戏言。《刑法》第253条所规定的侵犯百姓个人信息罪,包含了“违反国家相关规定,向他人出售或供给百姓个人信息”以及“窃取或以其他办法违法获取百姓个人信息”的情形。依据以上规定及《两高解释》第2条、第4条的规定,在判断该爬取行径是不是形成犯罪时,首要需要审查是不是违反了其他的“法律、行政法规、分部规章相关百姓个人信息守护的规定”,即审查是不是符合前置法的要件。
2021年1月,魔蝎机构因运用爬虫技术涉刑一案宣判,机构法定表率人、高管均被判处有期徒刑(缓刑),机构被判处罚金人民币三千万元,同期没收违法所得三千万元,罪责不可谓不严厉。按照判决书[注2]记载,魔蝎机构与网络贷款机构、小型银行进行合作,在贷款用户运用网贷平台的App借款时,贷款用户需要在魔蝎科技供给的前端插件上,输入其通讯运营商、社保、公积金、淘宝、京东、学信网、征信中心等网站的账号、秘码,经过贷款用户授权后,魔蝎机构的爬虫程序代替贷款用户登录以上网站,进入其个人账户,利用各类爬虫技术,爬取以上企、事业单位网站上贷款用户自己账户内的通话记录、社保、公积金等各类数据,并按与用户的约定提供给网贷平台用于判断用户的资信状况,并从网贷平台获取每笔0.1元至0.3元不等的花费。时期,魔蝎机构在和个人贷款用户签定的《数据采集服务协议》中知道通知贷款用户“不会保留用户账号秘码,仅在用户每次单独授权的状况下采集信息”,但未经用户许可仍采用技术手段长时间保留用户各类账号和秘码在自己租用的阿里云服务器上。最后,法院认定魔蝎机构以其他办法违法获取百姓个人信息,情节尤其严重,其行径已形成侵犯百姓个人信息罪。
2、当前法律适用的迷思
(一) 既往司法判例的初步总结
日前的司法实践中,针对已然被公开的个人信息的处理行径,仍有不少争议,经过初步检索,大致可将关联法院的裁判观点分为以下几类:
1. 即使获取或供给的是已然依法公开的个人信息,倘若未经百姓个人同意,仍可能形成侵犯百姓个人信息罪。
此类案件多认为公开的个人信息亦能够做为刑法上侵犯个人信息罪的客体,认为倘若未经百姓个人同意进行处理,仍可能形成侵犯百姓个人信息罪。例如,在南京市中级人民法院办理的(2017)苏01刑终870号案件中,被告人在税务局负责税收征收的工作,利用工作便利,超越权限,下载企业税务登记信息,获取包含企业名叫作、企业法定表率人或联系人姓名、居民身份证号码、手机号码等税务登记信息。其后将该信息营销给他人,用于拨打tel作宣传推销。被告人辩叫作这些信息是在网上能够查找到的公开信息。法院则认为,“百姓个人信息……识别性是其基本属性,并不需求拥有个人隐私的特征。据此,即便是已然公开的百姓个人信息,亦应属于刑法所守护的‘百姓个人信息’”[注3]。
又如,在福建省安溪县人民法院办理的(2019)闽0524刑初397号案件中,被告人徐国成经过制作“爬虫"软件从“企查查"、“天眼查"等网站上获取企业法人的联系方式等信息,其获取的信息是已然被依法公开的个人及企业信息,其后将获取的信息卖给网友。法院认为,“被告人徐国成及其辩护人郭某、胡某提出的本案中信息属于公开信息,不该当认为是犯罪的辩护意见,经查,按照《最高人民法院、最高人民检察院关于办理侵犯百姓个人信息刑事案件适用法律若干问题的解释》第三条第二款的规定,未经被收集者同意,将合法收集的百姓个人信息向他人供给的,属于刑法第二百五十三条之一规定的‘供给百姓个人信息’,然则经过处理没法识别特定个人且不可复原的除外,故该辩护意见不予采纳”。[注4]
2. 获取或供给已被合法公开的个人信息不侵犯个人信息权益,仅有当权利人需求删除而不予删除时才形成对个人信息权益的侵犯。
同期,亦有部分法院认为针对已被合法公开的个人信息应给予相较于未公开个人信息较低的守护,主张获取或供给已被合法公开的个人信息不侵犯个人信息权益,仅有当权利人需求删除而不予删除时才形成对个人信息权益的侵犯。
例如,在苏州市中级人民法院办理的(2019)苏05民终4745号案件中,被告贝尔塔机构是启信宝网站的主办单位,该网站重点供给商场查找服务,公众经过该网站能够查找企业工商登记、涉讼裁判文书等信息。被告将中国裁判文书网上发布的三份民事判决书,转载至启信宝网站,任何人均可在该网站上搜索、查找到以上文书。原告伊某是以上文书的案件当事人,以上法律文书分别记述了原告触及的四起纠纷状况。被告在转载以上文书时,未得到中国裁判文书网和人民法院公告网主办单位的授权,也未征询原告伊某的意见。后原告需求被告删除这些文书,但被告并未删除。
法院认为,在原告通告启信宝网站删除关联文书之前,涉案文书已在互联网上合法公开,启信宝网站基于公开的途径收集后在其合法经营范围内向客户供给、公开关联法律文书,属于对已合法公开信息的恰当运用,原告对此负有容忍之义务。但在原告通告被告删除之后,被告拒绝删除则形成对原告个人信息的违法公开运用。被告转载并公开涉伊某等主体的法律文书,系基于法律文书已被中国裁判文书网和人民法院公告网合法公开,且就法律文书内容而言并不可判别是不是触及自然人值得守护的重大利益,故不违法。但对被告的转载和再次公开行径是不是违反正当性和必要性原则、是不是对所涉自然人值得守护的重大利益导致影响,应更加多考量个人信息主体对其个人信息传播掌控的权利及其对个人利益影响程度的评判,即应尊重伊某自己针对其已被合法公开信息进行二次传播的个人意愿,赋予伊某应有的选取权利……被告收到伊某需求后仍未即时删除关联裁判文书和公告文书,有悖于伊某对已公开信息进行传播掌控的意思暗示,违反了合法性、正当性和必要性原则,应该认为对伊某形成重大利益影响,侵犯了其个人信息权益[注5]。
3. 超过被收集者授权同意的范围内处理个人信息,属于违法运用个人信息,但中立的网络服务供给者可因通告删除而免责。
针对数据主体主动公开的个人信息的处理,实践中案例相对较少,2020年9月北京互联网法院发布的“校友录”头像被爬案【(2019)京0491民初10989号】即是其中的典型案例。北京互联网法院在该案中认为,超过被收集者授权同意的范围内处理个人信息,属于违法运用个人信息,但中立的网络服务供给者(即案件中的百度机构)可因通告-删除而免责。该案针对认识搜索引擎这里类案件中的责任承担拥有重要的指点道理。
该案中,原告做为“chinaren校友录”网站的注册用户,上传了自己的真实姓名、个人证件照做为用户信息,后该网站在2012年对外停止拜访。2018年原告经过百度搜索自己的名字,发掘其个人证件照被置顶在照片搜索结果中。原告需求百度删除证件照及其姓名的相关关系,百度未予回复。
法院认为,搜索引擎是互联网信息查找和信息定位工具,按照《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》第九条的规定,其对公开呈现检索结果的审查和注道理务,应结合是不是进行人工编辑整理、应具备的信息管理能力、涉案信息侵权类型和显著程度、涉案信息社会影响程度以及是不是采取了预防侵权的恰当办法等原因综合进行判定:第1,日前尚无证据显示,被告在涉案行径过程中,对涉案信息进行了超越搜索引擎中立服务目的的选择、编辑、举荐;第二,被告做为全网信息搜索引擎服务供给者,需对海量互联网信息进行搜索、存储、归目等技术处理,不该苛求其对所有信息是不是侵权进行逐条甄别和主动审查;第三,涉案信息不属于裸照、身份证号等显著侵权或极具诱发侵权危害的信息,做为通常个人信息,存在权利人愿意积极公开、必定范围公开或不愿公开等多种可能的情形,为鼓励网络信息的利用和流通,针对网络公开的通常个人信息,应推定权利人同意公开,故被告在接到权利人的通告前,难以预见涉案信息是未经授权公开的信息;第四,现有证据不可表示涉案信息被大规模搜索或运用,以至于达到搜索引擎运营者可显著感知的程度;第五,被告已开通途径,供权利人对可能存在的侵权行径进行投诉。针对涉案信息并非显著侵权或存在高度侵权危害的个人信息,不该对网络服务供给者苛以事先审查责任,被告也不具备预见涉案信息形成侵权的可能性,故在通告删除前,被告对涉案信息不存在明知或应知的主观过错,不形成对原告个人信息权益的侵害[注6]。
(二)《民法典》的规定为已公开的个人信息的运用带来了新思路
《民法典》知道区分了公开的个人信息和非公开的个人信息,并为二者设置了区别的处理规则:针对非公开的个人信息,按照《民法典》第1035条第1款的规定[注7],除法律、行政法规另有规定的外,处理关联信息需要征得该自然人或其监护人同意;针对公开的个人信息,按照《民法典》第1036条第2项的规定[注8],除自然人知道拒绝或处理关联信息侵害其重大利益的外,恰当处理关联信息(该自然人自动公开的或其他已然合法公开的信息)不需要征得该自然人或其监护人的同意。可见,《民法典》关于公开的个人信息的守护强度要显著弱于非公开的个人信息。按照最高人民法院喻海松法官的观点,《民法典》的以上规定,为刑法适用中涉公开的个人信息案件定性的若干争议问题厘清了前置法规定[注9]。
不外,以上规定的细节争议仍有非常多,有待进一步厘清。首要,以上规定未知道针对自动公开的范围应当怎样界定。此种状况较多出现在社交媒介和市场推广等行径中,如部分博客用户设置仅半年可见,但有爬虫对该账户连续跟踪并留档的状况应怎样定责?类似状况还有,部分微X用户设置了陌生人可查看其十条伴侣圈,此类信息是不是应当认定为自动公开的信息?有观点认为此时的处理行径已脱离了关联信息原有的用途,不该当理解为系对个人信息的恰当运用。
其次,针对其他已然合法公开的信息:信息处理者怎样确认关联信息是处在合法公开的状态?此处是不是通常仅针对从政府机关获取的信息?如出现政府机关超出其职权发布个人信息的状况(如裁判文书网发布当事人身份证、家庭住址等信息的情形),运用网络爬虫的主体是不是有进一步的核实义务?针对运用网络爬虫工具处理已公开的个人信息的处理者的主观心理状态,是不是需求其针对已被公开的个人信息合法性有清楚的认识(尤其是思虑到网络爬虫自动化工具的特性)?
另外,法条中的“恰当处理”、“处理该信息侵害其重大利益的除外”应当怎样理解?是不是重点指向了“通告-删除”的需求(如“校友录”头像被爬案的裁判要旨),将来仍有待立法、司法实践的进一步检验。
(三)《个人信息守护法(草案)》(二次审议稿)中新增“恰当处理已公开的个人信息”做为合法性基本
思虑到与《民法典》的以上规定的一致性,今年4月刚才发布的个保法二审稿中新增了“按照本法规定在恰当的范围内处理已公开的个人信息”做为了个人信息处理的合法性基本之一。从该条的形成来看,需要同期满足“按照本法规定”和“在恰当的范围内处理”的要求。另外,个保法二审稿第二十八条针对已公开的个人信息的处理做出了进一步的规定:倘若能够知道个人信息被公开时的用途,则处理行径应当符合该用途;倘若超出与该用途关联的恰当范围的(非常多信息在实质运用时会应用于完全区别于收集时的用途),应当取得数据主体的同意;倘若该个人信息被公开的用途并不知道,则需要“恰当、小心”地进行处理;另一,倘若利用已公开的个人信息从事对个人有重大影响的活动,亦应当取得数据主体的同意。
可见,虽然个保法二审稿中新增了“恰当处理已公开的个人信息”做为合法性基本,然则针对个人信息被公开时的用途,何为与该用途关联的恰当范围,怎样恰当、小心地处理等许多问题仍有待进一步的澄清。
3、结 语
《民法典》、个保法二审稿针对已公开的个人信息的尤其规定,说明立法者看到了对此类信息进行特殊规制的必要性。尤其是在当前强调政务信息透明、建设社会信用体系的大背景下,怎样兼顾个人信息的守护和公共信息的流通,平衡信息主体的权益和全部社会的公益,或许是留给行政执法者、司法者新的课题。
注释及参考文献:
[1]以上网站的部分内容在上传前可能会进行部分技术处理,以使其不含有个人信息,如《最高人民法院关于人民法院在互联网颁布裁判文书的规定》第十条删除关联信息的规定。
[2] 参见(2020)浙0106刑初437号刑事判决书。
[3] 参见(2017)苏01刑终870号刑事判决书。
[4] 参见(2019)闽0524刑初397号刑事判决书。
[5] 参见(2019)苏05民终4745号民事判决书。
[6] 参见(2019)京0491民初10989号民事判决书。
[7] 《民法典》第1035条:“处理个人信息的,应当遵循合法、正当、必要原则,不得过度处理,并符合下列要求:(一)征得该自然人或其监护人同意,但是法律、行政法规另有规定的除外;……”
[8] 《民法典》第1036条:“处理个人信息,有下列情形之一的,行径人不承担民事责任:……(二)恰当处理该自然人自动公开的或其他已然合法公开的信息,然则该自然人知道拒绝或处理该信息侵害其重大利益的除外。”
[9] 参见喻海松:《<民法典>视域下侵犯百姓个人信息罪的司法适用》,载于《北京航空航天大学学报》(社会科学版),第33卷第6期,第7页。
作者简介 
车 捷
国浩执行合伙人
车捷律师为第十三届全国人大表率,国浩执行合伙人,国浩南京党委书记,江苏省律师协会副会长,江苏省破产管理人协会会长。
邮箱:chejie@grandall.com.cn 
付 鑫
国浩南京办公室合伙人
付鑫律师现任全国律协网络与高新技术专业委员会、江苏律协电子商务与信息网络法律业务委员会、江苏省互联网协会法律服务工作委员会等专业委员会委员,入选江苏省网络安全协会法律专家、江苏省涉外律师人才库,重点从事商事诉讼、涉外仲裁、数据合规、国际投资等法律服务行业。
邮箱:fuxin@grandall.com.cn
(实习生林怡对本文也有贡献)
关联阅读
《个人信息守护法》草案亮点及展望
涉隐私协议的诉讼状况与展望
买卖合同法条诠释——浅谈民法典体系
【 本文为作者原创,如需转载请经过留言方式联系本公众号运营者,谢谢!】 
| 
发表于 2024-8-25 16:14:38