个人信息处理者处理已公开个人信息超出合理范围的，不属于个人信息保护法第十三条第一款第六项规定的不需取得个人同意处理个人信息的情形，个人信息主体据此主张个人信息处理者侵犯个人信息权益的，人民法院依法应予支持。

【基本案情】

北京法某科技有限公司（以下简称北京法某公司）是北京律某信息技术有限公司全资设立的一人有限责任公司，运营有“法某”网站以及微信小程序。2022年8月30日，执业律师麦某波发现“法某”网站以及微信小程序将麦某波列为平台认证律师，为麦某波设置“法某编号”，平台展示页面上显示麦某波“执业年限”“胜诉率”“帮助客户与律师达成合作X次”等信息，设定有“收费标准”，显示律师与平台合作次数，并注明“请勿私下与律师达成合作”。然而，麦某波并未与北京法某公司开展合作业务，且上述“执业年限”“胜诉率”信息存在错误。2022年8月31日，广州市律师协会发布声明，表明“法某”微信小程序未经律师授权公开展示广州律师的联系方式等具体信息，小程序中显示的法律顾问与律师达成合作事宜涉嫌虚假宣传。麦某波遂向法院提起诉讼。

麦某波诉称：北京法某公司未经其同意，擅自在“法某”平台上使用麦某波的姓名，将麦某波列为其平台认证律师，显示不实信息，对麦某波造成了不良影响；北京法某公司虚构与麦某波的合作关系，误导消费者误以为麦某波与平台具有合作关系，将相关消费者引流到第三方，截取了麦某波与潜在客户商业合作机会，造成了麦某波经济损失；北京法某公司为北京律某信息技术有限公司全资设立的一人有限责任公司，北京律某信息技术有限公司作为股东不能证明公司财产独立于股东自己的财产的，应当对法某公司债务承担连带责任。因此，请求法院判令：法某公司向麦某波赔礼道歉；支付麦某波赔偿金（含经济损失、精神损失、合理维权费用）共计人民币2万元，北京律某信息技术有限公司对该项请求承担连带责任。

法某公司、律某公司辩称：律师的执业信息是公开的商业信息，不属于《中华人民共和国个人信息保护法》中规定的识别个人身份的敏感个人信息；其对律师执业信息的收集、汇编属于大数据行业常规做法，其中，“执业年限”系通过律师执业证号编码规律换算；“胜诉率”系从开放访问的网站以及天眼查等大数据平台中获取；案涉微信小程序并未正式上线运营、对外推广，平台已于2022年8月30日将相关小程序撤下。

广州互联网法院于2023年3月29日作出（2022）粤0192民初20**6号民事判决：一、被告北京法某科技有限公司于本判决发生法律效力之日起十日内，使用微信公众号“法某”发布对麦某波的道歉声明；二、被告北京法某科技有限公司于本判决发生法律效力之日起十五日内赔偿原告麦某波经济损失人民币3000元（含合理开支）；三、被告北京律某信息技术有限公司对上述第二项判项确定的债务承担连带责任；四、驳回原告麦某波的其他诉讼请求。宣判后，双方当事人未提起上诉，判决已发生法律效力。

【法官说法】

本案的争议焦点为：北京法某公司收集和使用麦某波案涉信息是否构成侵权。

北京法某公司通过公开渠道爬取、分析、统计的个人信息，属于对麦某波已公开个人信息的处理。根据个人信息保护法第十三条第一款第六项的规定，个人信息处理者可以在合理的范围内处理已经合法公开的个人信息。对于范围合理与否的评价，应以处理目的和处理方式作为评价依据。本案中，北京法某公司的处理行为不属于合理范围。

其一，根据广州市律师协会发布的声明文件可知，北京法某公司为实现自身的商业目的，在案涉平台上展示的合作信息涉嫌虚假宣传。北京法某公司的处理行为会误导消费者以为麦某波与北京法某公司有合作关系，将消费者引流到案涉平台，从而截取麦某波与潜在客户的商业合作机会，对麦某波个人权益造成明显影响。

其二，“法某”平台爬取已公开信息，通过算法规则统计既往判决胜诉率等指标，并为麦某波生成专属页面，展示其“收费标准”“执业年限”“胜诉率”“执业证照片”等信息，应认定其对麦某波的个人信息生成了用户画像。该用户画像结果可为有律师服务需求的平台使用者提供数据支持，帮助挑选适合的律师。但是，“法某”平台分析的结果与实际情况存在较大出入，未客观反映麦某波的律师执业能力。

其三，根据个人信息保护法第十七条的规定，在处理个人信息前，应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知相关事项。然而，“法某”平台为麦某波设定“收费标准”、显示麦某波“执业年限”“胜诉率”等信息，均未告知麦某波。

综上，北京法某公司的处理行为不符合个人信息保护法第十三条第一款第六项和第十七条的规定，构成对麦某波个人信息权益的侵害。

【法条链接】

《中华人民共和国民法典》

第1036条 处理个人信息，有下列情形之一的，行为人不承担民事责任：

（一）在该自然人或者其监护人同意的范围内合理实施的行为；

（二）合理处理该自然人自行公开的或者其他已经合法公开的信息，但是该自然人明确拒绝或者处理该信息侵害其重大利益的除外；

（三）为维护公共利益或者该自然人合法权益，合理实施的其他行为。

《中华人民共和国个人信息保护法》

第13条 符合下列情形之一的，个人信息处理者方可处理个人信息：

（一）取得个人的同意；

（二）为订立、履行个人作为一方当事人的合同所必需，或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需；

（三）为履行法定职责或者法定义务所必需；

（四）为应对突发公共卫生事件，或者紧急情况下为保护自然人的生命健康和财产安全所必需；

（五）为公共利益实施新闻报道、舆论监督等行为，在合理的范围内处理个人信息；

（六）依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息；

（七）法律、行政法规规定的其他情形。

依照本法其他有关规定，处理个人信息应当取得个人同意，但是有前款第二项至第七项规定情形的，不需取得个人同意。

第17条 个人信息处理者在处理个人信息前，应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项：

（一）个人信息处理者的名称或者姓名和联系方式；

（二）个人信息的处理目的、处理方式，处理的个人信息种类、保存期限；

（三）个人行使本法规定权利的方式和程序；

（四）法律、行政法规规定应当告知的其他事项。

前款规定事项发生变更的，应当将变更部分告知个人。

个人信息处理者通过制定个人信息处理规则的方式告知第一款规定事项的，处理规则应当公开，并且便于查阅和保存。

第73条 本法下列用语的含义：

（一）个人信息处理者，是指在个人信息处理活动中自主决定处理目的、处理方式的组织、个人。

（二）自动化决策，是指通过计算机程序自动分析、评估个人的行为习惯、兴趣爱好或者经济、健康、信用状况等，并进行决策的活动。

（三）去标识化，是指个人信息经过处理，使其在不借助额外信息的情况下无法识别特定自然人的过程。

（四）匿名化，是指个人信息经过处理无法识别特定自然人且不能复原的过程。

（来源：最高人民法院）