论已公开个人信息的“合理”处理

期刊菜单

论已公开个人信息的“合理”处理
On the “Reasonable” Handling of Disclosed Personal Information

DOI:10.12677/DS.2024.101089,PDF,HTML,XML,下载: 222浏览: 393
作者:程雪：西北政法大学民商法学院，陕西西安
关键词:意定公开信息；法定公开信息；合理处理；Intentional Public Information；Statutory Disclosure of Personal Information；Reasonable Treatment

摘要:公开的个人信息是合法公开能够为不特定第三人所访问的信息，包括意定公开信息和法定公开信息两类。信息处理者不经信息主体同意即可对已公开的个人信息进一步处理，但信息处理者对信息的后续利用并非不受限制，必须控制在“合理范围内”。我国《民法典》第1036条和《个人信息保护法》第27条规定的“合理”处理公开个人信息存在模糊，内在原由是传统人格权救济所蕴含的间接保护模式，已无法满足今日已公开个人信息保护的现实需要。《民法典》和《个人信息保护法》所代表的是个人信息的直接保护模式。针对第27条“合理要件”模糊的标准，在处理意定公开个人信息时候，应不超出合理预期；处理法定公开个人信息，适用“合理利用推定”的标准。

Abstract:Publicly available personal information is information that can be legally disclosed and accessed by unspecified third parties, and includes both intended public information and legally available information. Information processors may further process disclosed personal information without the consent of the subject of the information, but the subsequent utilization of the information by the information processor is not unrestricted and must be controlled within a “reasonable range”. Article 1036 of the “Civil Code” and Article 27 of the “Personal Information Protection Act” provide for the ambiguity of “reasonable” processing of disclosed personal information, which is inherent in the fact that the indirect mode of protection embedded in the traditional remedy of personality rights can no longer satisfy today’s realistic needs for the protection of disclosed personal information. The “Civil Code” and the “Personal Information Protection Act” represent a direct protection model for personal information. In response to the vague standard of “reasonable elements” in Article 27, when dealing with intentionally disclosed personal information, it should not exceed reasonable expectations; when dealing with legally disclosed personal information, the standard of “presumption of reasonable utilization” applies.

文章引用：程雪. 论已公开个人信息的“合理”处理[J]. 争议解决, 2024, 10(1): 658-670. https://doi.org/10.12677/DS.2024.101089

1. 引言

随着智能时代的到来，人们对数据的利用价值有了质的飞跃，大量的数据应用促进了人们对信息权利的保护。《个人信息保护法》一开始就以兼顾个人信息的合理利用和保护个人信息权利为出发点，但是两者之间并不是完全不矛盾的。这种矛盾已经延续了几年，并且在使用合法公开的个人信息方面愈演愈烈。在最近几年的司法实践中，法院对此没有一个统一的回答，甚至还出现了相互矛盾的判决。苏州市中院与北京市第四中院在相同的案例上，却有很大的分歧。为缓解个人信息保护与信息利用之间的持续紧张，2021年颁布的《个人信息保护法》一改此前《网络安全法》和《民法典》将“征得信息主体同意”作为个人信息处理行为之一般性前提的做法，扩大个人信息处理行为的正当性根据。其中，《个人信息保护法》第27条第1分句规定，“信息处理者可依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息”。这一规则有利于推动已披露的个人信息的流动与使用，并将其作为信息保护与使用需要之间的一个重要依托。

然而，信息保护实践中，因公开个人信息处理产生的侵权纠纷越来越多，其中涉及很多法律争议。在处理这一类信息时，应如何界定信息处理者处理该类信息时的行为界限？虽然立法规定了信息处理者“合理处理”已公开的个人信息，但对其合理与否如何判断是应予回应的法律难题。具体到制度和争议解决层面，本文的讨论核心，亦即第27条第1分句“合理”的规范模糊及其消解。在具体的论证路径上，基于实践中广泛存在的裁判文书再利用争议，本文很大程度上将以依法公开的裁判文书为基础。本文拟以第27条的规则内容入手，对规范模糊的内在成因进行剖析，厘清解释上的理论争议。最终，回归到第27条“合理”要件，进行具体融贯的解释论构建。

2. “合理处理”规范存在模糊

近些年来的《民法典》《个人信息保护法》立法，高度重视依法公开个人信息处理这一特殊场景，在立法过程中数易其稿。《民法典》第1036条、《个人信息保护法》第13条、第27条，均涉及依法公开个人信息的处理问题。其中最为重要的，仍是《个人信息保护法》第27条。该条款以两种不同的标准，明确界定了三种依法公开个人信息处理情形的同时，赋予了各自差异化的正当依据。但由于其中“合理”在法律上具有模糊性，该规则很难在现实生活中对依法公开信息的再利用争议进行回应。“合理”最早出现在《民法典》的制定过程中。2018年末，民法典各分编草案亮相伊始，立法者即对个人信息处理的免责事由作出五项规定，其中就包括“使用自然人自行公开的或者其他已合法公开的信息”的行为。基于该规定，处理依法公开个人信息，即便对自然人有一定影响，信息处理者原则上也不承担侵权责任。但若自然人明确表示拒绝他人处理的，信息处理者应当尊重自然人的意愿，不得擅自处理 [1] 。民法典的历次草案基本沿用了这一表述 [2] 。但在2020年5月《民法典》颁布时，立法者首次在第1036条第2项加入了“合理处理”的要件。该实质性修订，却无权威立法资料加以说明。“合理处理”的要件在《个人信息保护法》立法中被沿用，并最终形成第27条这一已公开个人信息的处理规则。第27条的文本结构相对清晰：通过两个完整的语句，依次明确依法公开个人信息处理的一般规则与特殊情形。一般规则赋予了个人信息处理者在合理范围内处理依法公开个人信息的权利，同时将“个人明确拒绝”作为例外。“对个人权益有重大影响”的特殊情形，从文本逻辑上理解，应当排除了前句一般规则的适用，信息处理者应当取得个人同意。需要指出的是，“个人明确拒绝”与“取得个人同意”并不完全等同，这分别对应个人信息保护中的“择出机制”(opt-out)与“择入机制”(opt-in)。显然，前者更为偏重公开信息的利用效率，后者则在设计上更为偏重信息主体对依法公开信息的控制与自我决定 [3] 。有“合理”处理依法公开个人信息的行为，自然就有“不合理”处理依法公开个人信息的行为。立法者未明确“不合理”处理依法公开个人信息的合法性基础，但依体系不难将其解释为《个人信息保护法》第13条，以“取得个人同意”为原则的个人信息处理一般规则 [4] 。该条除“取得个人同意”外，还设置了多项排除同意规则的正当化事由。若“不合理”的处理行为符合第2项至第7项规定情形的(如为应对突发公共卫生事件，或者紧急情况下为保护自然人的生命健康和财产安全所必需)，同样无须取得个人同意。

如图1，从合理范围内处理信息的择出式同意，到重大影响个人权益的择入式同意，构成了依法公开个人信息处理的清晰层次。这种规则设计，借由“处理范围合理/不合理”与“对个人权益有/无重大影响”的判断，划定层次类型的具体边界，旨在最大限度推动信息利用与权益保护的平衡发展。其中，“合理”的具体内涵，将直接关系到依法公开个人信息处理的类型划分与合法性基础认定。但由于立法者对于“合理”的解释标准缺失，第27条仍具有事实上的模糊性，严重影响该规则在司法实践中的适用。近期，亦有学者以第27条为核心，围绕已公开个人信息的认定标准、已公开个人信息保护的理论基础及其规则适用作了详细阐释 [5] [6] 。但这些研究多呈现出精细化不足的问题，并未完全阐明“合理”的具体内涵，也难以充分回应司法实践中的冲突争议。已公开个人信息的再处理行为，究竟是否“合理”，其认定方法如何，均亟待进一步明晰。

Figure 1. Regulated levels of behavior in the handling of personal information disclosed in accordance with the law

图1. 依法公开个人信息处理行为的规范层次

3. 造成“合理”处理适用模糊的内在缘由

脱离《个人信息保护法》第27条的文本内容，从更为广阔的经济社会发展与法律秩序变迁的视角考察再利用争议，便不难理解“合理”规则模糊的内在原因。一直以来，传统的依法公开个人信息再利用，更多寻求名誉权、隐私权等传统人格权救济。但智能化时代信息科技的飞速进步，使得不当利用公开信息侵蚀人身财产安全、损害人格独立自主的风险显著提升。传统人格权救济所蕴含的间接保护模式，已无法满足今日已公开个人信息保护的现实需要。《民法典》《个人信息保护法》所代表的个人信息直接保护规范，一方面是新时代下对间接保护模式的扬弃；但另一方面也是对新兴科技发展的仓促回应。依法公开个人信息再利用争议，尚处于交替更迭、变动不居的混乱状态，并凸显为第27条“合理”要件的模糊标准。

3.1. 已公开个人信息的间接保护模式

在我国，最早规定公开的个人信息的是2014年最高人民法院颁布的《关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》(以下简称《利用信息网络侵害人身权益规定》)。该解释原第12条第1款规定¹，网络用户或者网络服务提供者利用网络公开自然人基因信息、病历资料、健康检查资料、犯罪记录、家庭住址、私人活动等个人隐私和其他个人信息，造成他人损害，被侵权人请求其承担侵权责任的，人民法院应予支持；但是，具有该款所列举的6种情形之一的除外，其中，第4种情形为“自然人自行在网络上公开的信息或者其他已合法公开的个人信息”。从该规定可知，《利用信息网络侵害人身权益规定》将个人信息已经被合法公开作为免除网络用户或网络服务提供者利用网络公开个人隐私和其他个人信息这一特定侵权行为的免责事由。在司法实践中，法院多援引该规定，论证被告无需承担侵权责任。遗憾的是，作为早期的个人信息保护规范，该规定的内容很大程度上被《民法典》有关隐私与个人信息保护的规定所取代。在《民法典》实施前夕的司法解释修订浪潮中，第12条被全部删除，现已无法作为裁判的直接依据。相比之下，仍然有拘束力的《解释》第13条显得更为重要²。根据该规定，网络用户或者网络服务提供者，根据国家机关依职权制作的文书和公开实施的职权行为等信息来源所发布的信息，在特定四种再利用情形下侵害他人人身权益的，行为人需要承担人格权侵权责任。但在具体的司法实践中，符合特定四种情形的案件凤毛麟角。进一步考察《解释》的制定背景与内容可以发现，该司法解释虽基本认可个人信息的合法权益并给予针对性保护，但并未赋予个人信息独立的人格权地位。行为人利用信息网络侵害他人的个人信息，只有在侵害他人姓名权、名誉权、荣誉权、肖像权、隐私权等人身权益并造成损害时，才需要承担民事责任 [7] 。《解释》第12条作为早期关于个人信息的保护规范，仅规制因信息的不当公开或泄露所造成的侵害。解释制定者认为，通过民事司法保护个人信息，有其内在的制度要求：以违法收集、利用为代表的其他侵犯个人信息的行为治理，有待立法进一步明确治理手段、赔偿方式、损害认定 [8] 。但更为深层次的原因在于，私密信息的公开系属典型的隐私权侵害；而个人信息的违法收集与使用，与隐私的关联则稍显疏远。由于隐私权旨在保护非公知的私事，凡是任何人均可阅览的公开事项，非属可保护的隐私 [9] 。该理念下，第12条第4项的例外规定应运而生，法院亦多将其作为再利用行为的合法性依据。《解释》第13条，表面上虽能够调整依法公开个人信息的再利用行为，但最高人民法院制定该条文的目的，主要在于明确“媒体侵权”(“新闻侵权”)行为的具体判断标准 [8] 。从规范制定背景和立法意旨延续的角度上来说，条文的实质，是对当时《民法通则》第101条(现《民法典》第1024条)中，“侮辱、诽谤”等名誉权侵权行为要件，在“媒体侵权”与依法公开信息再利用语境中的具体解释。“添加侮辱性、诽谤性信息”自然构成典型的名誉侵权；“信息不符、拒不更正”则更接近于名誉权行为要件中的“虚假事实陈述”，非属个人信息保护的规范体系。由于规范适用前提的模糊与构成要件的宽泛，第13条已从原初“媒体侵权”领域逐渐拓展至一般性的依法公开信息再利用场景中。整体而言，《民法典》《个人信息保护法》颁布实施前，依法公开个人信息多通过传统人格权侵权损害的方式进行间接保护。法院借由《解释》第12条、第13条等规范，深入分析名誉权、隐私权的构成要件，对再利用争议进行裁判。但是，作为不特定人所知的公开信息，显然难以划入传统个人隐私的范畴；而通常的信息再利用行为，也很难与“侮辱、诽谤”划上等号。因此，传统针对依法公开个人信息再利用行为的侵权诉讼，均难以得到法院的支持。但随着今日《民法典》《个人信息保护法》的实施，个人信息保护作为独立的客体与案由出现。这意味着，依法公开个人信息的保护模式，正在发生转变。

3.2. 从传统人格权到个人信息：风险演变与规范重构

个人信息保护的模式转变，有着深刻的社会动因。过去很长一段时间，信息因其低廉的生产流通成本和高昂的排他使用成本，长期作为公共领域的公共素材或材料出现 [10] 。公开信息更是如此，是任何人均可自由使用的资源。但智能化时代，信息技术的巨大进步，对信息收集、处理和利用产生翻天覆地的影响。这意味着，无论是被储存或被记载的信息，还是用作进一步分析、挖掘的信息，几乎没有任何边界——无论是时间边界、空间边界还是数量边界 [11] 。这种信息技术的飞速发展，给人们的信息自主、隐私保护、人身财产安全乃至人格独立，都带来了巨大的风险和挑战。总体而言，依法公开信息的再利用行为，可以类型化为以下三个维度的风险：信息储存风险、信息传播风险与信息聚合风险。

3.2.1. 信息储存风险

公开的个人信息往往通过信息处理者的终端服务器存储在“云端”之中，成为网络用户随时随地取用的公共资源，且永久存储于网络平台之中，不因信息主体的删除权或被遗忘权而消逝在赛博空间中。这一方面是因为通过技术手段删除或限制访问个人信息在当前几乎是不可能的，且网络上存在着海量的暗网，通过一般的搜索查询工具也查询不到 [12] ，另一方面则是因为消逝在赛博空间需要在全球网域内删除或限制访问与信息主体相关的公开的个人信息，否则这些信息可能在域外通过其他替代手段重回共享状态 [13] 。数据信息的流通呈现出“史翠珊效应”，越是试图压制或阻止访问特定的信息传播，结果往往适得其反，促使该信息为更多受众所熟知 [14] 。虽然《个人信息保护法》第47条赋予了用户个人信息删除权，将用户请求删除的情形从《网络安全法》《民法典》“违反法律、行政法规的规定或双方的约定”扩展到“处理目的已实现、或者为实现处理目的不再必要”“个人信息处理者停止提供产品或服务，或者保存期限已届满”“个人撤回同意”等情形³，但《个人信息保护法》将个人信息的删除定位为信息处理者应当主动履行的义务，信息处理者在利益的驱使下往往不会主动删除公开的个人信息，且信息主体无法知晓其公开的个人信息是否删除。即使发生个人信息侵权事件，信息主体请求删除公开的个人信息，其删除诉求只能达到运营商而无法企及第三方，使删除权的有效性大打折扣 [15] 。因此，个人信息一旦公开，就将永久存储在赛博空间，在多元主体之间自由流通，即使法律赋予了删除权或被遗忘权，往往难以达到遗忘的效果。大数据技术通过结构化的符号语言将事件或行为解构为去语境的数据信息，这些去语境的数据信息被用于作为分析对象的标签，预留下虚构或揣测对象行为、兴趣、偏好的空间，进而通过数据挖掘与聚合被整合进新的语境进行重新解读。一方面，公开的个人信息在去语境化的流转过程中面临着信息失控的风险。个人信息的去语境化使其能够为多元主体基于不同场景与目的进行多层次的使用，信息主体往往无法控制公开的个人信息的后续利用，只能被动承受公开的个人信息后续利用所带来的风险。另一方面，公开的个人信息在重构语境的过程中面临着语境崩塌的问题。个人信息都是在特定的语境下公开的，离开特定的语境，不同个体对同一内容可能有不同的理解，一旦发生误解或其他理解偏差，将会给信息主体带来难以预测的困扰与伤害 [16] 。

3.2.2. 信息聚合风险

大数据时代，通过公开渠道获取数据是保证数据规模的重要前提，例如通过爬虫技术爬取公开的数据，因此构成海量数据规模的个人信息主要是已公开的个人信息 [17] ，这些公开的个人信息分散时不会对个人隐私构成侵害，但当这些分散的个人信息被聚合在一起时，则很可能侵害个人的隐私权。正如任何特定领域的个人信息收集似乎都不会构成严重的威胁，我们可以通过逃逸到其他领域来保护自己的隐私。当我们孤立地看待每一种公开的个人信息，每一种看起来可能是相对有利的，但当公开的个人信息聚合在一起时，其对隐私的总体影响将大于各部分影响的总和 [18] 。“我们发布的文字和图像、社交平台上的交友范围，甚至是一个点赞或转发，都隐藏着我们的注意力偏好、个人兴趣、生活习惯等” [19] ，通过将分散的公开的个人信息聚合在一起，不仅能够详细地刻画出个体私生活的细节，形成关于我是什么样的人以及怎样生活的详细描述，还能够通过数据挖掘手段发现人们不愿为人所知的隐私信息或敏感信息，预测其未来的行为模式，使个人难以反驳通过算法模型预测出来的不曾发生的行为。通过将不同来源、不同类型的公开的个人信息聚合起来，各种个人信息彼此叠加、相互补充、相互印证，由此形成的“数据人格”是个体在赛博世界的真实映像，但经由“客观数据”所塑造的“数据人格”可能使个体真实人格走向异化。

3.2.3. 信息传播风险

公开的个人信息不仅能够为不特定的第三人所访问，还能够几乎零成本地传播到世界各个角落。信息处理者原则上不需要经过信息主体的同意即可对公开的个人信息进行后续利用，信息主体往往无法知晓哪些主体收集了自身公开的个人信息并用于何种目的。公开的个人信息是一种共享性与流动性很强的要素资源，能够在多个信息处理者之间瞬时完成个人信息的收集、存储、使用、传输等，在个人信息流转的每个环节、每个处理者都可能发生侵权事件，信息主体囿于信息、知识、能力的不对称无法确定哪些主体的个人信息处理行为导致损害的发生，更难以证明信息处理行为与损害之间存在因果关系 [20] 。为此，《个人信息保护法》第69条实行过错推定原则，要求信息处理者证明自身的个人信息处理行为没有过错，以降低信息主体的举证难度⁴。即使如此，在个人信息侵权事件中信息主体仍要证明加害人、信息处理行为造成了损害等，维权成本高昂而赔偿收益偏低，难以为自然人通过诉讼手段维护自身的个人信息权益提供足够的激励。

已公开个人信息的不当利用仅仅只是个人信息保护模式变迁的社会动因之一。随意收集、违法获取、过度使用、非法买卖个人信息乱象丛生，个人信息保护已成为广大人民群众最关心、最直接、最现实的利益问题。

3.3. 已公开个人信息的直接保护模式

依法公开个人信息经历了间接保护到直接保护的模式转变，但尚缺少稳定的秩序状态。大数据时代下依法公开个人信息的开发利用需求，与个人信息风险控制、权益保护间的紧张关系，是目前依法公开个人信息的最主要矛盾，也是秩序混乱、争论迭出的首要原因。本文讨论的第27条“合理”处理规则，即是这种矛盾在规范层面的体现。司法实践中，关于依法公开个人信息的直接保护，始于本文伊始提到的“伊某与苏州贝尔塔数据技术有限公司人格权纠纷案”与“梁某与北京汇法正信科技有限公司网络侵权责任纠纷案”。彼时个人信息的直接保护，仅有《民法总则》第111条等原则性条款支撑，尚难为依法公开个人信息再利用争议，提供有效确定的裁判指引。欣喜的是，法院均未回避该新兴问题，并以高度相似的路径展开分析，但在最终的结论上存在差异。

在侵权责任的框架中，诉争再利用行为是否构成对个人信息权益侵害，其请求权基础为《侵权责任法》第6条(即《民法典》第1165条)。在侵权责任的要件证明过程中，首先需要认定依法公开个人信息的再利用，属于《侵权责任法》第6条“侵害他人民事权益”的行为。此即违法性要件的另一种表述：除有违法阻却事由外，侵犯权利的违法性应当被推定；而利益在侵权责任中是否受保护，关键是判断该利益是否属于法律保护的利益 [21] 。若采严格的权利形式主义立场，现行法律均未承认自然人的个人信息权利。这就使得，法官需要对具体场景下，原告的个人信息利益是否属于法律保护，进行充分证立。但在界定受法律承认的利益保护范围时，不应当忽略不同利益之间可能存在的对立或者矛盾，需要从价值上考量相互冲突或对立的利益：一方面，应考虑是否存在需要尽可能充分保护的利益；另一方面，要尽可能赋予其他人最大的行为自由 [22] 。

综上所述，规制模式的更迭变迁中，以隐私权、名誉权为核心的旧秩序几乎被推翻，如今承继下来的《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定(2020修正)》第9条，几乎无法有效满足依法公开个人信息保护的现实需要。但法官显然不能“保持一种因循守旧的态度并承诺在未来案件中反复延续其前辈犯下的错误” [23] 。依法公开个人信息再利用问题，势必应从上述司法解释及个人信息的间接保护模式中解放出来，并在个人信息直接保护框架中展开分析。另一方面，现有“合理”要件的模糊规则表明，依法公开个人信息再利用的治理模式，尚未完全生成。这种可用范围的不清晰，与信息技术进步、社会模式变革所带来的利益失衡、秩序失范有着紧密关系。那么对“合理”的阐释，也就不能单纯依靠传统价值判断与利益衡量作出封闭性回应，而更需要找寻具有开放性和包容性的解释论线索。

4. 已公开个人信息“合理处理”的认定方法

4.1. 已公开个人信息处理规则的类型化选择

对个人信息进行类型化已成为化解其承载的多种利益之间的冲突的重要机制。近年来，学者们针对个人信息不断提出类型化构想。具体包括：基于可识别性标准将个人信息划分为直接识别性个人信息与间接识别性个人信息，并分别对其采取不同的规制模式 [24] ；根据个人信息与个体身份、人格联系的紧密程度，将个人信息划分为人格紧密型个人信息与人格疏远型个人信息，对人格紧密型个人信息的利用进行更多限制，而尽可能确保对人格疏远型个人信息的自由利用 [25] 。同时，《个人信息保护法》对敏感个人信息与一般个人信息、未公开个人信息与已公开个人信息的区别规制亦体现出典型的类型化思路。不同于以追求概念为目的的易于滑向“抽象化过度”泥淖的抽象化思维，类型化思维能够“在抽象与具体之间找到一种平衡”，从而更好地顾及个别正义 [26] 。“已公开个人信息”这一概念因过度抽象而抹杀了不同信息间的差异，难以顾及不同场景下的利益平衡。因此，有必要对不同类型的已公开个人信息的差异进行详细剖析。“类型化是以事物的根本特征为标准对研究对象的类属划分。”依据不同信息在根本特征上的差异，我们可将已公开个人信息划分为意定公开信息与法定公开信息两种基本类型。前者是指基于信息主体的意思表示自行公开或授权他人公开的个人信息。比如，个人基于交往目的在社交媒体上发布的状态，或基于求职需要在网站上公开的个人简历等。后者则指依照法律规定，基于行政行为、司法行为公开的与已识别或可识别的自然人有关的信息。生成机制的差异导致了不同信息所承载的利益形态具有根本区别。作为个体自愿选择披露的信息，意定公开信息与个体人格之间的关联更为密切。信息主体基于个人意志作出的在限定范围内公开个人信息的意思表示可被视为对后续信息处理行为的“概括同意” [27] ，其表明信息主体自愿削弱对此类信息的排他性控制，并同意他人对此类信息进行处理。然而，“个人信息(私密信息除外)与隐私不同，后者一旦公开即不属于隐私，不再受隐私权制度保护，而公开并不消灭个人信息受法律保护的特性，即可识别性和非公共性” [28] 。意定公开信息并未完全转化为一种公共物品。一方面，此类信息的公开主要服务于信息主体表达观点和意见并与外界进行交流的个人需求与目的，他人对此类信息的知悉和使用只是信息主体实现个人目的的副产品。他人对此类信息的使用处于从属地位，并不具备对抗信息主体的自我决定的效力。另一方面，意定公开信息通常无涉他人利益或公共利益的实现。无论是个人基于表达自由而发表公开言论或创作即兴作品，还是个人基于沟通交流目的而公开个人信息，均非为了满足他人的利益需求。基于此，从分配偏好的角度而言，立法仍应当优先支持信息主体对此类信息的自我决定。就经济效率而言，意定公开信息并未完全脱离信息主体的支配和控制，信息主体仅需简单地通过删除信息或设置访问权限即可拒绝他人的访问和处理。同时，信息处理者也能够较为便捷地通过平台等媒介就第27条规定的“对个人权益有重大影响”的信息处理行为征得个人同意，从而以较低的成本和有效率的方式与信息主体达成关于信息处理的合意。因此，针对意定公开信息，司法机关应优先适用第27条来保护信息主体的意思自治和自我决定，并在信息主体概括同意的范围内兼顾个人信息处理效率与信息的资源价值发挥。

对法定公开信息的规制则需更多地考虑其承载的公共价值。信息公开与数据开放已成为数字化政府的重要使命与法定职责。信息公开可被视为现代政府基于法定程序将特定信息划归为公共物品，进而向整个社会提供公共物品的过程。伴随这一过程，法定公开信息进入公共领域，成为任何人均可利用的公共资源。此类信息与公共利益之间的密切关联决定了立法应当尽可能弱化特定主体对此类信息的控制，否则，无异于承认个人可将自身意志置于由立法凝结的共同意志之上。正如有学者所言：“处于公共领域的信息或数据仅因为与个人存在联系或具有识别性，即赋予个人对个人数据的排他控制权，使个人信息‘私有化’，有失法律正当性，甚至与人类社会进步发展的制度基础相悖。” [10]

另外，如果不以“合理范围内处理”个人信息取得默视同意，而以当事人达成合意来调整法定公开信息，亦缺乏效率。法定公开斩断了信息主体对个人信息的排他性控制，消蚀了这种适用基础。在实践中，为避免个人受到不必要的滋扰，公共机构在依法公开个人信息时通常不会提供信息主体的具体联系方式等私密信息。信息处理者若想要与信息主体达成自愿交易，则需要耗费高昂的搜寻成本与缔约成本。并且，在技术机制层面，信息处理者普遍借助算法驱动的爬虫技术自动对公开信息进行大规模、批量化甚至无差异的抓取。若要求信息处理者逐一征得信息主体的同意，则必将阻断由现代技术所驱动的信息处理活动。有学者指出：“信息自决理论所依托的制度语境，仍然是前信息时代那种小规模、单环节的个人数据收集场景，而伴随着物联网、大数据、云计算等技术的涌现，个人数据的采集、利用与流动的情境业已发生了复杂而深刻的变化，此时仍然寄希望于低技术语境下的规范体系能够建立起良好的法律秩序，这显然并不现实。”

4.2. “合目的”与“合理”的规范功能差异

个人基于自愿选择公开其个人信息的行为可以被视为其“制定”了一项自治性责任规则，该规则允许他人在信息主体概括同意的范围内自由地处理其个人信息。从这一前提出发，对意定公开信息处理行为是否处于“在合理范围内”的认定，应当以信息主体概括同意的内涵和范围为准绳。相当多观点认为，“合理”的解释，应当借鉴《个人信息保护法》历次审议稿中的“用途”标准，超出与“被公开时的用途”相关的合理范围的，即为不合理 [29] 。在《个人信息保护法》一审和二审征求意见稿里，皆规定：“个人信息处理者处理已公开的个人信息，应当符合该个人信息被公开时的用途；超出与该用途相关的合理范围的，应当取得个人同意。”三审征求意见稿中，改为与现行第27条相同的内容，并且与《民法典》相关规定保持一致。从立法历史可见，立法者放弃了“符合初始公开用途”的限定标准，采用了更加宽泛的“合理范围”表述，一定程度上也是回应了确定初始公开用途难度过高的质疑 [30] 。个人信息公开与处理的“用途”本身非常难以明确。自然人在微博、朋友圈等社交媒体自行公开个人信息的目的存在多种可能。作为事实行为的公开，事后查明其用途并非易事。而依法公开场景中，虽然信息公开多旨在预防权力滥用、满足公众监督的需要，其目的相对明确。但是，信息处理者处理依法公开的个人信息，则通常具有多重目的。以法信、企查查利用依法公开裁判文书为例：一方面，这些商业性机构可以通过公开信息的处理，形成盈利性的数据产品或服务；另一方面，这种处理行为客观上扩大了依法公开信息的传播范围，有利于公众监督的实现，难以判断处理目的究竟是否符合个人信息被公开时的用途。此外，草案亦曾明文规定：“个人信息被公开时的用途不明确的，个人信息处理者应当合理、谨慎地处理已公开的个人信息”。于此，仍涉及到“合理”在再利用场景下的具体解释。

即便明确个人信息被公开的用途，在互联网环境下的信息流动过程中，将“信息被公开时的用途”完整有效传递给信息处理者，难度极大。事实上，“个人信息被公开时的用途”本身也是一类信息，并且高度个人化、主观化、非结构化。更为重要的是，这种“用途信息”仅对信息处理者才有价值。对于多数单纯获取、传播公开信息的“吃瓜群众”而言，由于不涉及《个人信息保护法》的处理行为，“信息被公开时的用途”多属无用信息。若社会公众耗费时间金钱成本，将用途信息完整传播给真正的个人信息处理者，本质上乃利他行为，缺乏内在动力。简言之，若强行让“已公开个人信息”负担“信息被公开时的用途信息”，将会极大地提升公开信息的流转传播成本。与信息网络共享、利用理念相悖的“用途信息”最终能够多大程度地传达到最终处理者，需要打上一个大大的问号。

即便个人信息被公开的用途完整保留至信息处理者，其正当性亦有待商榷。“个人信息被公开的用途”本质即尊重信息公开与传播的起点——在自然人自行公开的情境中，尊重个人对个人信息的控制与决定。但是，从公共利益角度简单考量可以发现，个人信息具有极强的公共属性：除了作为集合性的展示要素外，更具有基础设施维度的社会认证、连接和声誉功能 [31] 。过分强调“被公开的用途”，将会忽视个人信息的社会属性与其承载的公共利益。因此，有学者在运用“个人信息被公开时的用途”解释“合理”要件的同时，主张避免机械化的“以目的绝对一致与否作为判断的唯一标准”，在考量个人信息被公开时的用途的同时，融入“合法利益豁免”以及“平衡测试”机制，具体检验个人信息权益保护的必要性 [32] 。如此一来，不仅掏空了“个人信息被公开时的用途”的语义内涵，更回退到抽象价值冲突与利益平衡中去，难以为司法实践提供确定、有效的具体裁判指引。海伦·尼森鲍姆已经正确地指出：任何将隐私与个人信息保护基准缩减至单一要素(例如敏感个人信息)、单一原则(例如强化个人信息控制)都是徒劳的尝试 [33] ，任何一元规则或者是原则均无法有效保护个人信息。以“符合信息被公开时的用途”为核心构建起的已公开个人信息治理框架，忽视了本文提及的多元利益与复杂矛盾。在某些具有高度敏感性的场景下，此种解释尚属合理；但随着场景的转换，该解释则未必符合促进信息流通利用的立法理念。随着再利用场景的发展变化，合目的解释将很难指引广泛的司法实践。

4.3. 意定公开信息以“未超出合理预期”来判定

“合理预期”是一个开放性概念，所以，司法机关需要结合具体情景判定特定的信息处理行为是否超出信息主体的“合理预期”。首先需要考虑的是信息公开的具体形式。个人信息公开的形式包括两种：一是在限定范围内公开，比如，个人在微信朋友圈发布动态，单位在内部发布获奖员工名单等；二是向不特定的人公开，即所谓“一般可访问性标准” [34] 。通常而言，信息主体在限定范围内公开个人信息的行为即已传递出排斥限定范围以外的人对信息进行处理的意思，他人即使通过合法手段获取此类信息，也极有可能超出了信息主体的原有预期。以“孙长宝与北京百度网讯科技有限公司等人格权纠纷案”为例，在该案中，孙长宝曾在校园社区网站“chinaren校友录”公开其证件照等个人信息，该信息被北京百度网讯科技有限公司抓取，并被置于百度网站搜索结果的页面上，由此引发纠纷。对此，法院认为，校友录网站主要用于实现校内社群社交的功能，用户在此网站内上传头像，通常是为了寻找同学、好友等，以在特定人群范围内开展社会交往，而不是为了进行陌生人交友或宣传推广。然而，被告的行为使得涉案信息能够被全网不特定的用户检索并获取，在客观上导致涉案信息在原告的授权范围之外被公开，因此，应当认定被告的行为构成对原告个人信息的违法使用⁵。反之，若信息主体向不特定的人公开信息，则可推定其概括地授予了所有人在合理范围内访问其信息的权利 [4] [35] 。在此情况下，司法机关需要进一步结合信息公开的场景等因素判定信息处理行为是否超出信息主体的“合理预期”。人们在不同场景下对信息保护和信息流动的合理期待存在显著区别 [36] 。根据场景一致性理论(the theory of contextual integrity)，场景是信息主体形成合理期待的环境与背景，其系由行动主体的活动与交互、目的与目标以及作为行动背景的制度规范、价值观念、组织结构等一系列因素所构成的整体系统。这一系统主要涵盖“目的要素”“对象要素”与“规范要素”。

在目的要素层面，信息主体公开个人信息的目的构成了场景的重要内容，并且是判定信息主体合理预期范围的重要依据。对意定公开信息的处理不应违背信息主体明确表示的或可推知的目的，但是，这并非意味着后续的信息处理目的必须与此目的完全相同或直接相关 [37] 。比如，某高校教师在招生网站上发布个人信息的目的在于展示其学术水平并吸引潜在的学生。若他人将该教师发布的个人信息用于更大范围的展示宣传，或用于建立高校教师数据库等，则并不违背该教师的初始目的。但是，若借助这些个人信息向该教师发送广告，则超出该教师的合理预期。

在对象要素层面，不同的信息与信息主体的人格利益、隐私之间的关联程度不同。当不同的信息被不当处理时，信息主体的合法权益所遭受的威胁程度也有所不同，因此，信息主体对可识别程度或敏感程度不同的个人信息通常具有不同的保护需求与期待。对于如肖像、联系方式等直接识别性个人信息，以及如健康情况等敏感个人信息，自然人即使选择公开，也往往期待该信息不会被过度使用。规范亦构成了场景的重要内容，并塑造和决定着人们的角色、期待、行为和边界等关键方面 [36] 。“个人信息的公开需要符合所在场景的社会规范，符合多元主体之间的分配正义，在尊重法律和道德底线的基础上公开符合场景规范的个人信息。” [5]

就规范要素而言，既有制度和网站服务协议中的相关规定在较大程度上塑造着信息主体在公开个人信息时的预期。比如，根据《个人信息保护法》第29条之规定，对敏感个人信息的处理应当取得信息主体的单独同意，因此，信息主体在公开此类信息时通常可以合理地期待他人基于对其隐私或重大利益的尊重而更加谨慎地处理此类信息。此外，公开信息的来源机构或网站所发布的开放协议和服务协议等文件亦可作为判定信息主体的合理预期范围的依据。这些协议是网站与用户之间基于合意所达成的协议，且协议内容具有公示效力 [38] [39] ，用户可期待他人对其已公开个人信息的处理行为不超出其基于协议所形成的合理预期。此外，根据人类交往所形成的共享价值和社会规范内容，信息主体在公开其信息时必然期待信息能够被如实地呈现与传播，他人不得基于主观意图实质性地调整或篡改原始信息。《个人信息保护法》第8条亦明确规定：“处理个人信息应当保证个人信息的质量，避免因个人信息不准确、不完整对个人权益造成不利影响。”信息处理者在处理已公开个人信息时，必须确保信息准确、真实，否则，信息处理行为即超出信息主体的合理预期，进而需要对信息处理行为所造成的损害承担相应法律责任。

4.4. 法定公开信息以“合理利用推定”来判定

有学者主张，应以是否具备“目的上的客观一致性”作为认定法定公开信息处理行为是否合理的标准 [28] ；然而，该标准在司法实践中难以得到落实，并且，该标准可能会过度限缩信息的利用空间。政府公开信息和开放公共数据的根本目的在于确保公众能够依法获取并使用公共数据资源，以释放数据红利。《中华人民共和国政府信息公开条例》《公共信息资源开放试点工作方案》等法规和文件多次提及要“积极营造全社会广泛参与开发利用公共数据资源的良好氛围”，“充分发挥政府信息对人民群众生产、生活和经济社会活动的服务作用”。这些法规和文件为公开信息预设了宽泛的用途，以鼓励人们对法定公开信息进行开发利用，若强调用途限制，则有违建设开放型政府的初衷。在“梁雅冰与北京汇法正信科技有限公司网络侵权责任纠纷案”中，法院即提出：“如果经司法公开的数据，社会其他主体不得再度转载、利用，一方面将损害司法公开制度，损害公众因该制度所受保护的知情权、监督权等公共利益；另一方面，将使得上述数据被司法机关独家垄断，与司法数据公有、共享的理念不符，故其他数据利用主体可对司法公开的数据，在一定条件下进行再度利用。”⁶另外，不同于意定公开信息，法定公开信息与信息主体的个人意志、人格间的关联较为薄弱，其或关涉公众知情权、信息自由流通等公共利益的实现，或具有“较大经济社会效益潜力”⁷。对法定公开信息这一公共资源的使用同时承载着公平和效率两重价值。一方面，随着数字生活成为人们真实生活的重要组成部分，对公开信息的充分使用成为了人们内在的利益诉求，平等接触和充分利用公开信息构成了确保大数据时代公众共享数字红利的重要机制 [40] ；另一方面，在数据经济形态下，使用大数据技术对数据资源进行分析和开发已成为创造价值的重要方式。为充分释放公开信息所蕴含的价值潜力，树立我国数据产业的竞争优势，我国亦应当鼓励专业化的市场主体和社会组织对公开信息这一公共资源进行增值性或创新性开发利用 [41] 。因此，在司法实践中，当个人未能证明其存在更为迫切需要保护的重大利益，或信息处理行为对其权益造成损害或实质威胁时，司法机关应当认定二次处理行为符合《个人信息保护法》第13条第6款所设定的“合理范围”标准⁸。

5. 结语

我们身处一个信息公开的时代，通过公开我们收获了新的学习、相互联系和彼此协作的机会，企业收获了顾客的信任和良好的品牌形象，政府部门收获了与公民互动、互信的和谐关系。但个人信息的公开不同于公开的个人信息，个人信息的公开是个人信息处理的一个重要环节，需要经过信息主体的单独同意，而公开的个人信息是个人信息在赛博空间的一种状态，能够为不特定的第三人所访问，信息处理者可以不经信息主体的同意即可对其进行后续处理。已公开的个人信息的后续利用不仅能够加速个人信息的流通，促进数字经济的发展，还能够推进政府公共决策的科学化、社会治理的精准化、公共服务的高效化。但信息处理者对公开的个人信息的后续利用不是不受限制的，必须控制在合理范围内，在“合理预期”范围内或者是在“合理利用推定”下，推动已公开的个人信息的自由流转，在流转中最大限度地释放数据信息的价值，推动数字经济健康高速发展。

NOTES

¹2020年12月23日最高人民法院修订该司法解释时删除了第12条。

²参见《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定(2020修正)》第9条：

网络用户或者网络服务提供者，根据国家机关依职权制作的文书和公开实施的职权行为等信息来源所发布的信息，有下列情形之一，侵害他人人身权益，被侵权人请求侵权人承担侵权责任的，人民法院应予支持：

(一)网络用户或者网络服务提供者发布的信息与前述信息来源内容不符；

(二)网络用户或者网络服务提供者以添加侮辱性内容、诽谤性信息、不当标题或者通过增删信息、调整结构、改变顺序等方式致人误解；

(三)前述信息来源已被公开更正，但网络用户拒绝更正或者网络服务提供者不予更正；

(四)前述信息来源已被公开更正，网络用户或者网络服务提供者仍然发布更正之前的信息。

³《个人信息保护法》第47条：有下列情形之一的，个人信息处理者应当主动删除个人信息；个人信息处理者未删除的，个人有权请求删除：(一) 处理目的已实现或者为实现处理目的不再必要；(二) 个人信息处理者停止提供产品或者服务，或者保存期限已届满；(三) 个人撤回同意；(四) 个人信息处理者违反法律、行政法规或者违反约定处理个人信息；(五) 法律、行政法规规定的其他情形。法律、行政法规规定的保存期限未届满，或者删除个人信息从技术上难以实现的，个人信息处理者应当停止除存储和采取必要的安全保护措施之外的处理。

⁴《个人信息保护法》第69条：处理个人信息侵害个人信息权益造成损害，个人信息处理者不能证明自己没有过错的，应当承担损害赔偿等侵权责任。

⁵北京互联网法院民事判决书，(2019)京0491民初10989号。

⁶北京铁路运输中级法院民事判决书，(2021)京04民终71号。

⁷国家互联网信息办公室、国家发展和改革委员会、工业和信息化部联合印发的《公共信息资源开放试点工作方案》(中网办发文〔2017〕24号)。

⁸在前述“梁雅冰与北京汇法正信科技有限公司网络侵权责任纠纷案”中，法院即因原告未能就拒绝他人处理其信息提供“更为迫切需要保护的重大利益或合理理由”，故未支持原告的诉讼主张。

参考文献

[1]	黄薇. 中华人民共和国民法典人格权编释义[M]. 北京: 法律出版社, 2020: 203.
[2]	编写组, 编. 民法典立法背景与观点全集[M]. 北京: 法律出版社, 2020: 53.
[3]	郑佳宁. 知情同意原则在信息采集中的适用与规则构建[J]. 东方法学, 2020(2): 198-208.
[4]	张新宝. 论《个人信息保护法》对传媒活动的适用[J]. 现代出版, 2021(6): 46-49.
[5]	王海洋, 郭春镇. 公开的个人信息的认定与处理规则[J]. 苏州大学学报(法学版), 2021, 8(4): 64-76.
[6]	刘晓春. 已公开个人信息保护和利用的规则建构[J]. 环球法律评论, 2022, 44(2): 52-68.
[7]	王成. 个人信息民法保护的模式选择[J]. 中国社会科学, 2019(6): 124-146.
[8]	奚晓明. 最高人民法院利用网络侵害人身权益司法解释理解与适用[M]. 北京: 人民法院出版社, 2014: 38.
[9]	王泽鉴. 人格权的具体化及其保护范围∙隐私权篇(下) [J]. 比较法研究, 2009(2):1-33.
[10]	高富平. 个人信息保护: 从个人控制到社会控制[J]. 法学研究, 2018, 40(3): 84-101.
[11]	Nissenbaum, H. (1998) Protecting Privacy in an Information Age: The Problem of Privacy in Public. Law and Philosophy, 17, 576-577. https://doi.org/10.2307/3505189
[12]	李兵, 付腾梓. 价值与实践: 英语学界“被遗忘权”研究[J]. 国际新闻界, 2019, 41(12): 108-130.
[13]	夏燕. “被遗忘权”之争——基于欧盟个人数据保护立法改革的考察[J]. 北京理工大学学报(社会科学版), 2015, 17(2): 129-135.
[14]	Jansen, S.C. and Martin, B. (2015) The Streisan Effect and Censorship Backfire. International Journal of Communication, 9, 656-671.
[15]	杨子晔, 杨尚东. 协同构建保护个人信息删除权的治理体系[N]. 民主与法制时报, 2021-08-18(3).
[16]	李欢, 徐偲骕. 隔“屏”有耳?——聊天记录“二次传播”的控制权边界研究[J]. 新闻记者, 2020(9): 74-84.
[17]	罗娇. 大数据环境下个人信息保护法律问题研究[J]. 图书馆, 2018(5): 31-36.
[18]	Reiman, J.H. (1995) Driving to the Panopticon: A Philo-sophical Exploration of the Risks to Privacy Posed by the Highway Technology of the Future. Santa Clear High Tech-nology Law Journal, 11, Article 5.
[19]	袁泉. 个人信息分类保护制度的理论基础[J]. 上海政法学院学报, 2018, 33(3): 29-37.
[20]	张建文, 时诚. 个人信息的新型侵权形态及其救济[J]. 法学杂志, 2021, 42(4): 39-52.
[21]	方新军. 权益区分保护的合理性证明——《侵权责任法》第6条第一款的解释论前提[J]. 清华法学, 2013, 7(1): 134-156.
[22]	海尔穆特∙库齐奥. 侵权责任法的基本问题(第一卷): 德语国家的视角[M]. 朱岩, 译. 北京: 北京大学出版社, 2017: 178.
[23]	孙海波. “同案同判”: 并非虚构的法治神话[J]. 法学家, 2019(5): 156.
[24]	齐英程. 论间接识别性个人信息规制规则的重构[J]. 民商法论丛, 2021, 71(2): 297-300.
[25]	项定宜, 申建平. 个人信息商业利用同意要件研究——以个人信息类型化为视角[J]. 北方法学, 2017, 11(5): 30-39.
[26]	李可. 类型思维及其法学方法论意义——以传统抽象思维作为参照[J]. 金陵法律评论, 2003, 6(2): 105-118.
[27]	喻海松. 《民法典》视域下侵犯公民个人信息罪的司法适用[J]. 北京航空航天大学学报(社会科学版), 2020, 33(6): 1-8.
[28]	宁园. “个人信息已公开”作为合法处理事由的法理基础和规则适用[J]. 环球法律评论, 2022, 44(2): 69-84.
[29]	程啸. 论公开的个人信息处理的法律规制[J]. 中国法学, 2022(3): 82-101.
[30]	周汉华. 平行还是交叉个人信息保护与隐私权的关系[J]. 中外法学, 2021, 33(5): 1167-1187.
[31]	胡凌. 功能视角下个人信息的公共性及其实现[J]. 法制与社会发展, 2021, 27(5): 176-189.
[32]	刘双阳. “合理处理”与侵犯公民个人信息罪的出罪机制[J]. 华东政法大学学报, 2021, 24(6): 57-72.
[33]	Nissenbaum, H. (2018) Respecting Context to Protect Privacy: Why Meaning Matters. Science and Engineering Ethics, 24, 831-852. https://doi.org/10.1007/s11948-015-9674-9
[34]	王华伟. 已公开个人信息的刑法保护[J]. 法学研究, 2022, 44(2): 191-208.
[35]	石经海, 苏桑妮. 爬取公开数据行为的刑法规制误区与匡正——从全国首例“爬虫”入刑案切入[J]. 北京理工大学学报(社会科学版), 2021, 23(4): 154-164, 172.
[36]	Nissenbaum, H. (2004) Privacy as Contextual Integrity. Washington Law Review, 79, 119-158.
[37]	梁泽宇. 个人信息保护中目的限制原则的解释与适用[J]. 比较法研究, 2018(5): 16-30.
[38]	胡业飞, 刘梦露. 创新激励目标下的契约设计: 基于用户协议的政府数据开放平台治理研究[J]. 电子政务, 2021(10): 16.
[39]	王叶刚. 论网络隐私政策的效力——以个人信息保护为中心[J]. 比较法研究, 2020(1): 120-134.
[40]	张文显. 法理泛在: 法理主题致辞集[M]. 北京: 法律出版社, 2020: 284-285.
[41]	齐英程. 作为公物的公共数据资源之使用规则构建[J]. 行政法学研究, 2021(5): 138-147.

为你推荐

友情链接