唾手可得？

在中国新建立的数据监管框架下，企业应当如何合规地使用公开的个人信息？抖音集团数据及隐私法务副总监李绕娟和高级法务经理焦雅婷——撰文拆解法律概念并总结合规工作经验

《个人信息保护法》（下称“《个保法》”）在第十三（6）条中，将“在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息”纳入处理个人信息的合法性基础，即若某一个人信息处理活动满足前述要求，则无需获取用户同意。

因此，如何在确保处理公开的个人信息满足《个保法》规定的各项原则和要求以及个人信息主体权益得到充分保护的前提下，又能实现第十三（6）条的使用，厘清“合理范围内处理已公开的个人信息”的适用情形，显得至关重要。

本文将着重通过以下两个步骤，来辅助分析前述合法性基础的适用过程，以期为企业日常合规工作提供参考和借鉴。

第一步: 判断某一个人信息是否落入公开的个人信息的范畴

第二步: 判断对该公开的个人信息的处理是否属于“合理范围”内

定义

根据《个保法》的规定，公开的个人信息指的是个人自行公开或者其他已经合法公开的个人信息。“公开”涉及两类场景，一是个人自行公开，二是通过其他合法方式进行的公开，强调的是公开的合法性。

那么，哪类信息是“公开的个人信息”？就此，我们需要从信息发布对象、信息发布方式和信息获取方式三个方面综合判断。

（1）信息发布对象。

公开的个人信息实际处于公有领域，任意第三人均可接触。《个人信息安全规范》第3.11条，“公开披露”指“向社会或不特定的人群发布信息的行为”。公开的个人信息的首要前提条件是其具有公开性，即该信息为向社会或不特定的人群发布。这种接触或可获取并非基于特定关系或身份。

（2）信息发布方式。

(i)基于主动/自愿的公开。是否属于个人主动/自愿的公开很多情况下难以直接判断，曾参与《个保法》立法工作的程啸认为，如果作为信息主体的自然人能充分认识到其是在实施公开个人信息的行为及该行为所产生的后果，则可视为基于个人的主动/自愿的公开。

另外，判断是否基于主动/自愿的公开，还需要结合信息发布平台、渠道的功能性质、运行机制（定向/不定向传播）等，综合判断个人的意愿以及信息发布的后果。

如某平台的功能性质为信息共享，且未设置传播方向及限制范围，其功能设置中包含转发链接以推动信息快速流动，则用户应对该平台的公开性及发布相关信息后可能产生的后果有充分性认识。比如微信公众号、微博等平台，均以信息分享为产品主功能，而且该等平台为信息的快速传播提供了多种便捷操作渠道，这些渠道明显具有非定向、开放的传播目的。但如某平台的功能性质仅限定为工作场景、家庭场景，且设置了传播阻断措施等，则如果将此类场景下用户发布的信息在全社会范围公开，则与用户对该信息公开的认知有分歧，很难认定其为主动/自愿的公开。

在实际案例中，法院会结合用户的一般性理解及生活经验判断信息发布的性质，对于部分平台或信息，由于不同的用户群体对其具备不同的用法、偏好和期待有所不同，需结合信息内容、处理场景、处理方式等综合考虑。

例如，在孙长宝与北京搜狐互联网信息服务有限公司等人格权纠纷一案中，针对原告孙长宝要求搜索引擎删除其曾经发布在ChinaRen校友录的证件照及其姓名，法院认为校友录网站“主要用于实现校内社群社交功能，用户在此网站内上传头像，一般系为寻找同学、好友等，在部分熟知人群范围内开展社会交往，而非进行陌生人交友，或基于言论传播、宣传推广等目的进行全网公开信息发布”，进而认定原告主张的事实具有一定合理性。

(ii)基于被动/强制的公开。此类公开方式包括政府信息公开、合法的新闻报道等。例如，《政府信息公开条例》中规定，涉及个人隐私等如果行政机关认为不公开会对社会造成重大影响的，予以公开。

《最高人民法院关于公布失信被执行人名单信息的若干规定》中规定公布失信被执行人的自然人姓名、性别、年龄、身份证号码等。《关于人民法院在互联网公布裁判文书的规定》中即规定人民法院公布裁判文书可以保留姓名、出生日期、性别、住所地所属县、区等。

《公安机关办理刑事案件程序规定》中规定在通缉令中应尽可能写明被通缉人的性别、别名、曾用名、绰号、性别、年龄、民族、籍贯、出生地等信息。笔者认为，这种公开方式，更多的是兼顾了公共利益和个体利益之间的平衡。

（3）信息获取方式。

• 公开信息的获取方式具体表现为从公开渠道获取，需特别注意的是，如某一公开渠道获取的信息被他人经过加工、整理，形成了新的信息组合而使其具有了新的意义和价值，对此类信息组合的再获取不一定属于公开的信息。

如上海强人路信息服务有限公司诉被告上海辰邮科技发展有限公司等侵害商业秘密纠纷案中，被告认为案涉信息属于社会公共信息，而法院认为原告“按照特定的分类方式从其数据库中将一定数量的数据重新组合形成一个新的集合之后，该数据库就具备了为原告独有的特点，普通公众不可能轻易地从公开渠道获取上述信息组合”，即不再属于公开信息。

综上所述，如果某一信息同时满足：
(1)不特定多的人群可接触/可获取
(2)发布方式基于主动/自愿或者政府信息公开/合法新闻报道等其他合法途径
(3)从公开渠道获取
那么则属于公开的个人信息范畴。

数据处理是否在合理范围内？

（1） “个人权益”与“社会公共利益”之间的平衡。

在“梁雅冰与北京汇法正信科技有限公司网络侵权责任纠纷”与“苏州贝尔塔数据技术有限公司与伊日克斯庆一般人格权纠纷”两个案例中，法院针对已公开发布的裁判文书的再使用行为都进行了权益平衡的讨论，并在最后作出了相反的判决。

在梁雅冰案中，法院认为再使用行为保障和便捷了公众对相关信息的知情权，有利于社会诚信体系的建设，也不违反司法公开的目的，在此案中就个人权益与公共利益更偏重于司法公开。

而在伊日克斯庆案中，在原告要求删除文书前，法院倾向于原告应对司法公开负有容忍义务，但在原告提出删除要求后，天平则完全倾向了个人权益的保护及个人对其信息的传播范围的控制。法院同时认为，“在衡量网络运营者收集、使用已经合法公开的个人信息是否遵循合法、正当、必要原则时，应妥当平衡已经合法公开的个人信息流通与个人信息主体对信息传播控制之间的关系，既要重视保护自然人的个人信息权益，同时也应该兼顾信息技术提升、经营模式创新、大数据产业发展对推动社会进步所起的积极作用”。

在日常企业合规工作中，笔者认为，可以参考GDPR判断企业正当利益场景中的“企业利益与个人权益的平衡测试”法，在企业内部建立“社会公共利益与个人权益的平衡测试”的相关工具，比如问卷、合规评估流程等，进行横平测试，在充分保障个体权利的基础上，鼓励合理的利用。另外，通过这种方式，在保护个人信息的前提下，有序推动部分领域数据流通应用，进一步探索数据用途和用量的控制制度，以促进技术发展。

（2）目的客观一致，且符合个人的合理隐私期待。

目的客观一致的标准其实是《个人信息保护法（草案）》（二次审议稿）中第二十八条中提出的，即“个人信息处理者处理已公开的个人信息，应当符合该个人信息被公开时的用途”，但该条在三审稿中被删除。在梁雅冰一案中法院曾明确说明，商业化利用并不意味着再利用行为就属于不正当行为，如对于判决书的再公开有利于社会诚信体系的建设，也不违背司法公开的目的。

其次，对于符合个人合理隐私期待的判断，如曾参与《个保法》立法工作的张新宝教授在其著作《<中华人民共和国个人信息保护法>释义》中所述，如处理者的再处理行为违背一般理性人对于已公开个人信息之利用限度的通常理解，则前述推断难以成立。个人信息处理者在再处理时需确保处理行为合法、公平、透明，且考虑个人对进一步使用数据的合理期望，以确保再处理行为公平、合理。

（3）不应对个人权益造成重大影响。

《个保法》第二十七条规定，如个人信息处理者处理已公开的个人信息，对个人权益有重大影响的，应当依照本法规定取得个人同意。该如何判断及量化再处理行为对个人权益造成重大影响？

对于此点的判断，可以参考《个人信息安全影响评估指南（GB/T 39335-2020）》附录D判断对个人权益的影响程度。其中，严重的个人权益影响可能表现为个人信息主体可能会遭受重大的、不可消除的、可能无法克服的影响。

另外，程啸教授认为：重大影响所影响的不仅是个人的法律地位、经济地位，还包括对个人的求职、升职、读书出国、申请社会福利等社会地位、文化地位、政治地位等方面的影响，如丧失儿童福利或住房福利、保险公司拒绝支付医疗费保险赔偿金等。对此，笔者是赞同的。

在王宏与北京湾业主委员会网络侵权责任纠纷一案中，原告认为被告将包含其个人信息的判决书发送至互联网及小区业主群的行为，造成原告个人信息的泄露，给原告造成了困扰和不便，故诉诸法院。法院在审理中提出，依照《民法典》第九百九十八条动态系统论的规定，被告行为客观上难以认定侵害了原告个人信息权益，原告的主张缺乏事实及法律依据。因此，在实际判断是否对个人权益造成重大影响的过程中，可以依据动态系统论判断再公开或相关处理行为是否侵害了其重大利益。

结语

“在合理范围内处理已公开的个人信息”作为《个保法》第十三条明确的合法性基础之一，有力地弘扬了《个保法》在第一章即明确的宗旨——“规范个人信息处理活动，促进个人信息合理利用”。

在日常合规工作中，企业应充分保护个人信息主体权益，满足《个保法》规定的各项原则和要求，在此前提下妥善处理再处理行为所产生的个人权益及社会公共利益之间的平衡。这样，才能有利于构建公众信任，实现行业发展和社会公共利益的多赢局面。