張建文 丁冰潔

一、 問題的提出

為了有效平衡個(gè)人信息的保護(hù)和合理利用，《中華人民共和國民法典》(以下簡(jiǎn)稱“《民法典》”)第1036條規(guī)定了處理個(gè)人信息的三種豁免情形，即維護(hù)公共利益(國家利益和社會(huì)公共利益)，保護(hù)個(gè)人信息權(quán)益主體的合法權(quán)益以及合理處理公開的個(gè)人信息[1]?！吨腥A人民共和國個(gè)人信息保護(hù)法》(以下簡(jiǎn)稱“《個(gè)人信息保護(hù)法》”)第13條在《民法典》第1036條規(guī)定的基礎(chǔ)上拓展和細(xì)化為7項(xiàng)處理個(gè)人信息的正當(dāng)性基礎(chǔ)?！秱€(gè)人信息保護(hù)法》第27條又針對(duì)《民法典》第1036條第2款和《個(gè)人信息保護(hù)法》第13條第1款第6項(xiàng)對(duì)公開個(gè)人信息的處理進(jìn)行了專門規(guī)定：在合理范圍內(nèi)，個(gè)人信息處理者可在非基于信息主體同意的前提下處理公開的個(gè)人信息，除非個(gè)人信息主體明確拒絕；處理活動(dòng)可能對(duì)個(gè)人權(quán)益產(chǎn)生重大影響的，則需要依據(jù)《個(gè)人信息保護(hù)法》的相關(guān)規(guī)定取得信息主體的同意之后再進(jìn)行處理。第27條所確立的規(guī)則在促進(jìn)個(gè)人信息合理利用的同時(shí)，將“合理范圍”“個(gè)人明確拒絕”和“對(duì)個(gè)人權(quán)益有重大影響”作為信息處理者進(jìn)一步處理公開個(gè)人信息的限制性因素，以期統(tǒng)籌平衡信息主體的信息自決與信息處理者的合理使用。

與《民法典》第1036條第2款的內(nèi)容相比，從文本表述來看，《個(gè)人信息保護(hù)法》第27條還是有些細(xì)微的改動(dòng)，在可能對(duì)信息主體產(chǎn)生重大影響的情形中，由之前的禁止處理否則承擔(dān)民事責(zé)任模式轉(zhuǎn)為依法取得信息主體同意后可以進(jìn)行信息處理。整體而言，《個(gè)人信息保護(hù)法》第13條第1款第6項(xiàng)關(guān)于公開個(gè)人信息的合理使用應(yīng)當(dāng)與《民法典》第1036條第2項(xiàng)的規(guī)定保持含義上的一致，即在自然人明確拒絕時(shí)以及處理該信息侵害其重大利益時(shí)，該種處理不是合理處理[2]，除非得到信息主體的同意。

在互聯(lián)網(wǎng)高度發(fā)達(dá)的今天，信息自決與信息自由流動(dòng)之間存在著一定張力，公開個(gè)人信息因其公開性很大程度上將會(huì)成為二者爭(zhēng)搶的領(lǐng)域，要想深入透徹地分析它，并且實(shí)現(xiàn)第27條所預(yù)設(shè)的平衡信息自決和信息合理使用的社會(huì)效用和司法價(jià)值，首先要探討公開個(gè)人信息的法律地位問題，再從公開個(gè)人信息的處理規(guī)則出發(fā)，使約束個(gè)人信息處理者自由處理公開個(gè)人信息的限制性因素“合理范圍”“明確拒絕”和“重大影響”的判斷標(biāo)準(zhǔn)盡可能地明確化。

二、 公開個(gè)人信息的法律定位思考

公開個(gè)人信息具有公開性和可識(shí)別性的特征，承載著信息主體以信息自決為核心和信息處理者以合理使用為核心的雙重利益。根據(jù)《個(gè)人信息保護(hù)法》第13條和第27條的規(guī)定，處理個(gè)人公開信息是法定的信息處理情形，原則上無須取得信息主體的同意[2]。依據(jù)《個(gè)人信息保護(hù)法》第17條的規(guī)定，個(gè)人信息處理者在處理個(gè)人信息前要履行告知義務(wù)，但由于公開個(gè)人信息已經(jīng)處于公開狀態(tài)，信息處理者是否還有告知的必要也存在異議。這意味著公開個(gè)人信息面臨著隨時(shí)被多個(gè)主體處理的可能性，我們不得不以一種更為謹(jǐn)慎的態(tài)度對(duì)待公開個(gè)人信息。

(一) 域外立法中公開個(gè)人信息的識(shí)別

1. 美國法律對(duì)公開個(gè)人信息的地位界定

2018年3月，劍橋分析公司和Facebook信息泄露事件的曝光，加劇了消費(fèi)者對(duì)個(gè)人信息收集、處理、分享和交易過程的不透明的不滿以及對(duì)個(gè)人信息安全保障不足的擔(dān)憂[3]，在此背景下加州率先通過了《2018加州消費(fèi)者隱私權(quán)法》(California Consumer Privacy Act of 2018，簡(jiǎn)稱CCPA)。CCPA界定了個(gè)人信息的定義及個(gè)人信息的范圍，其中明確指出個(gè)人信息不包括公開可得的信息?！肮_可得”系指從聯(lián)邦、州或地方政府記錄中可以合法獲取到的信息[4]。從這一規(guī)定來看，這種來自聯(lián)邦、州或地方政府記錄中的個(gè)人信息類似于從我國政府公開信息中獲取的個(gè)人信息。但是可合法獲取的政府記錄信息中，包含了大量的個(gè)人信息，將其進(jìn)行聚合、數(shù)據(jù)挖掘可能會(huì)給個(gè)人帶來難以想象的損害。

此后，加州又于2020年11月3日通過了《2020年加州隱私權(quán)法》(The California Privacy Rights Act，簡(jiǎn)稱CPRA)提案，該提案修正并擴(kuò)展了CCPA。其第14條定義規(guī)定，個(gè)人信息不包括公開可得的信息，或合法獲取的、真實(shí)的、引起公眾關(guān)注的信息。此處的“可公開獲得”是指：從聯(lián)邦、州或地方政府記錄中合法獲得的信息，或者某企業(yè)有合理理由認(rèn)為是由消費(fèi)者合法地向公眾公布的，或從廣泛傳播的媒體獲取的；或者如果消費(fèi)者沒有將信息限定于特定的受眾，則包括消費(fèi)者已經(jīng)向其披露了信息的人提供的信息，以及“可公開獲得”并不意味著企業(yè)在消費(fèi)者不知情的情況下收集的關(guān)于消費(fèi)者的生物識(shí)別信息。從該除外條款可以發(fā)現(xiàn)，CPRA在CCPA的基礎(chǔ)上，進(jìn)一步擴(kuò)大了可公開獲得信息的范圍和來源，包括信息主體自己公開披露的信息、政府公開信息、新聞報(bào)道公開的信息，這些信息都不屬于個(gè)人信息的范疇，亦無法依照CPRA獲得相應(yīng)的保護(hù)。與我國《民法典》和《個(gè)人信息保護(hù)法》相比，我國并沒有將上述三類公開個(gè)人信息排除在個(gè)人信息保護(hù)對(duì)象之外，而是將其作為非基于同意處理個(gè)人信息的正當(dāng)性基礎(chǔ)，之所以這樣規(guī)定是基于個(gè)人信息不僅屬于私人利益，在信息時(shí)代更具備相當(dāng)?shù)纳鐣?huì)利用價(jià)值，體現(xiàn)為一定的公共利益屬性。

2. 俄羅斯對(duì)公開個(gè)人信息的規(guī)制

俄羅斯的個(gè)人資料保護(hù)制度，主要是依據(jù)《個(gè)人資料法》和其他聯(lián)邦法律予以確立的。《個(gè)人資料法》在俄羅斯具有個(gè)人資料保護(hù)之基準(zhǔn)法的地位[5]。俄羅斯《個(gè)人資料法》將個(gè)人資料分為四類: 公眾可獲取的個(gè)人資料(公開個(gè)人資料) 、普通個(gè)人資料、特種個(gè)人資料和生物個(gè)人資料[6]。其中公眾可獲取的個(gè)人資料，指為了保障信息目的而建立的公眾可獲取的個(gè)人資料來源，包括指南、地址簿、傳記、書目、電話簿、私人廣告等。經(jīng)個(gè)人資料主體的書面同意方可將其姓、名、父稱、出生年份及出生地、住址、用戶號(hào)碼、職業(yè)信息和個(gè)人資料主體提供的其他個(gè)人資料納入可公開獲取的個(gè)人資料途徑①。由此可見，俄羅斯的個(gè)人信息立法規(guī)范承認(rèn)公開個(gè)人信息仍然屬于個(gè)人信息，并未采取美國加州式的做法將公開個(gè)人信息排除在個(gè)人信息保護(hù)之外。

信息被列入公眾可獲取信息的主要后果就是法律承認(rèn)任何人都可以按照自己的意愿使用它，唯一的條件是必須遵守聯(lián)邦法律對(duì)信息傳播的限制[7]。就此而言，俄羅斯對(duì)公眾可獲取信息的規(guī)制態(tài)度為允許一定程度上的自由使用，但需遵守法定的限制。此外，從對(duì)公開個(gè)人信息的保護(hù)力度來看，免除了信息處理者對(duì)公開個(gè)人信息的保密義務(wù)以及自第三方處取得公開個(gè)人信息時(shí)提供法定信息的義務(wù)②，但同時(shí)也賦予了個(gè)人信息主體要求從公眾可獲取資料來源中刪除的權(quán)利。與之相比，我國雖未在《個(gè)人信息保護(hù)法》第72條的除外適用條款中規(guī)定公開個(gè)人信息，但我國立法并未像俄羅斯立法那樣明確免除對(duì)公開信息的保密義務(wù)及提供法定信息的義務(wù)。在一般的信息處理活動(dòng)中，信息處理者要在處理個(gè)人信息之前向個(gè)人告知信息處理者的基本信息及信息處理的目的、方式等內(nèi)容。雖然第18條規(guī)定了法律、行政法規(guī)規(guī)定應(yīng)當(dāng)保密及不需要告知的絕對(duì)豁免和緊急情況下的相對(duì)豁免兩種豁免告知義務(wù)的情形③，但從文本來看，較難認(rèn)為處理公開個(gè)人信息可豁免告知義務(wù)。

(二) 對(duì)公開個(gè)人信息定位的思考

從我國既有的相關(guān)公開個(gè)人信息的規(guī)范來看，公開的個(gè)人信息具有合法性和公開性兩大特征，公開性即個(gè)人信息被公之于眾，不特定的人可以通過合法的途徑而獲悉[1]，這一點(diǎn)與美國《2020年加州隱私權(quán)法》的公開可獲得信息以及俄羅斯《個(gè)人資料法》中的公眾可獲取資料具有相似性。就對(duì)公開個(gè)人信息的定位而言，美國《2020年加州隱私權(quán)法》將公開可獲得信息排除在個(gè)人信息之外，直接不予適用加州隱私權(quán)法的規(guī)則；俄羅斯立法雖未將公眾可獲取資料排除在個(gè)人信息之外，但明顯降低了對(duì)信息處理者處理公眾可獲取資料的要求，免除其保密義務(wù)和提供法定信息的義務(wù)，同時(shí)為防止過度干預(yù)信息主體的信息自決，通過賦予信息主體刪除權(quán)的方式尊重其控制個(gè)人信息的權(quán)利。我國《民法典》和《個(gè)人信息保護(hù)法》均未將公開個(gè)人信息列為法律保護(hù)的除外情形，其仍然受到調(diào)整和保護(hù)，這一點(diǎn)與美國的做法有較大差異，而更接近于俄羅斯對(duì)公開信息的態(tài)度。從公開個(gè)人信息的主要來源看，美國的公開可獲得信息主要來自政府部門，俄羅斯公眾可獲取資料來源于信息主體；就我國司法現(xiàn)狀而言，我國的公開個(gè)人信息的來源途徑較為多元，既可以從行政司法機(jī)關(guān)等公權(quán)力部門獲取，也可以從信息主體自身獲取，還可以從其他主體處獲得已經(jīng)公開的個(gè)人信息。

通常認(rèn)為，已公開的個(gè)人信息同時(shí)承載著信息主體與信息處理者的雙重利益訴求[8]：一方面，信息主體需要控制自己的個(gè)人信息以維護(hù)個(gè)人人格形象;另一方面，公開個(gè)人信息蘊(yùn)含著巨大的商業(yè)價(jià)值因而受到信息處理者的重視。公開的個(gè)人信息較未公開的個(gè)人信息而言，具有更大的經(jīng)濟(jì)社會(huì)價(jià)值，因此對(duì)公開個(gè)人信息的保護(hù)力度有別于對(duì)未公開個(gè)人信息的保護(hù)力度，將其作為無須征得信息主體同意亦可處理個(gè)人信息的正當(dāng)理由。公開并不意味著信息主體就徹底且永久失去了對(duì)自己個(gè)人信息的控制，這也是個(gè)人信息與隱私有所不同的地方。信息主體并不會(huì)因公開而失去對(duì)個(gè)人信息控制的權(quán)利，其仍然有權(quán)拒絕他人對(duì)這些信息進(jìn)行處理。此外，由于個(gè)人信息的保護(hù)對(duì)于維護(hù)自然人的人格尊嚴(yán)和人身自由具有很重要的意義，所以即便是對(duì)已經(jīng)公開的個(gè)人信息，也不得任意進(jìn)行處理，如果處理該信息將侵害自然人的重大利益，行為人也要承擔(dān)民事責(zé)任[9]。這也是《個(gè)人信息保護(hù)法》第27條的重要價(jià)值所在，既表明信息處理者對(duì)已經(jīng)公開的個(gè)人信息可以自由處理，亦通過“合理范圍”“明確拒絕”和“重大影響”對(duì)信息處理者的處理行為進(jìn)行限制。

三、 公開個(gè)人信息的分類設(shè)計(jì)

從《個(gè)人信息保護(hù)法》第27條的文本結(jié)構(gòu)與內(nèi)容出發(fā)，其第1句規(guī)制的對(duì)象是個(gè)人信息主體自行公開或者通過其他途徑已經(jīng)合法公開的個(gè)人信息。按照意思自治原則，個(gè)人信息主體自行公開，是個(gè)人信息主體真實(shí)、自由的意志表達(dá)，構(gòu)成了公開合法的基礎(chǔ)，可以說第27條第1句規(guī)制的對(duì)象本身就是已經(jīng)合法公開的個(gè)人信息。第27條第2句采用“已公開的個(gè)人信息”的表述，這里的公開個(gè)人信息不僅是指本身已被現(xiàn)實(shí)公開，同時(shí)強(qiáng)調(diào)是已經(jīng)合法公開的個(gè)人信息[2]。因他人泄露或非法公開的個(gè)人信息，雖然客觀上確實(shí)出于公開狀態(tài)，但不屬于法律上所謂的公開個(gè)人信息[12]。因此，筆者主要圍繞合法公開的個(gè)人信息進(jìn)行類型化，非法公開的個(gè)人信息通常不能納入個(gè)人信息合理使用的范疇。

(一) 按照公開主體：信息主體自行公開與他人公開的個(gè)人信息

在錯(cuò)綜復(fù)雜的社會(huì)當(dāng)中，人們扮演著形形色色的角色，參與重復(fù)交疊的法律關(guān)系，產(chǎn)生和記錄著各種各樣的個(gè)人信息。個(gè)人參與社會(huì)生活的實(shí)質(zhì)就是通過對(duì)個(gè)人信息的使用和公開，形成自己的社會(huì)形象，并以此為基礎(chǔ)參與社會(huì)交往的行為[3]。如司法機(jī)關(guān)制作的裁判文書中可能會(huì)記錄個(gè)人的姓名、性別、出生日期、住所地等基本個(gè)人信息，若未刪除或做匿名化處理，一旦上傳到裁判文書網(wǎng)上，將成為人人都可獲取的信息。除此之外，信息主體個(gè)人也會(huì)在網(wǎng)上購物、填寫求職申請(qǐng)、購買商業(yè)保險(xiǎn)等社會(huì)活動(dòng)中，自行公開自己的姓名、聯(lián)系方式、通訊地址等個(gè)人信息。

按照公開主體的不同，可以將已公開的個(gè)人信息分為信息主體自行公開的個(gè)人信息與他人公開的個(gè)人信息。信息主體自行公開的個(gè)人信息指自然人自愿、主動(dòng)向社會(huì)不特定人公開的個(gè)人信息，如信息主體將包含自身聯(lián)系方式、通訊地址、任職信息等內(nèi)容的個(gè)人簡(jiǎn)歷放置于公開的網(wǎng)站，或通過新聞媒體渠道主動(dòng)公開自己的個(gè)人信息等[2]。如在“王刃與奇虎科技有限公司隱私權(quán)糾紛案”中，原告王刃作為公司的法定代表人，為了工作方便和節(jié)約資源，將自己的私人手機(jī)號(hào)碼作為企業(yè)辦公電話，將其私人電話號(hào)碼披露在企業(yè)黃頁上，同時(shí)亦將該手機(jī)號(hào)碼登記在工商行政管理機(jī)關(guān)以備信息查閱④。行為人此種披露和登記行為，是基于其真實(shí)意思表示所為的公開行為，對(duì)此種來源于公開渠道的信息的進(jìn)一步處理，很難認(rèn)定為構(gòu)成隱私權(quán)侵權(quán)。他人公開的個(gè)人信息主要包括三類：一是行政機(jī)關(guān)及依法履行公共管理職能的組織依法公開的個(gè)人信息，如政府機(jī)關(guān)因履行法定職責(zé)和義務(wù)而依法加以公開的個(gè)人信息；二是依據(jù)司法行為而公開的個(gè)人信息，即因?yàn)榉ㄔ旱乃痉ㄐ袨槎_法律文書中涉及的應(yīng)當(dāng)公開的個(gè)人信息[12]；三是法人、非法人組織以及信息主體以外的其他自然人公開的個(gè)人信息，如新聞單位對(duì)事件的報(bào)道，以及在“蘇州貝爾塔數(shù)據(jù)技術(shù)有限公司與伊日克斯慶一般人格權(quán)糾紛案”中，貝爾塔公司在其經(jīng)營的網(wǎng)站上轉(zhuǎn)載并公開中國裁判文書網(wǎng)和人民法院公告網(wǎng)發(fā)布的文書進(jìn)一步公開當(dāng)事人個(gè)人信息，該案中的文書已于互聯(lián)網(wǎng)進(jìn)行公開，貝爾塔公司通過公開渠道收集后向其客戶提供、公開相關(guān)法律文書，被認(rèn)為屬于對(duì)已合法公開個(gè)人信息的合理使用，但是亦應(yīng)尊重信息主體本人對(duì)于其已公開信息進(jìn)行二次傳播的意愿⑤。

按照公開主體進(jìn)行劃分的分類標(biāo)準(zhǔn)，是對(duì)法律規(guī)范文本表述的真實(shí)寫照。將公開個(gè)人信息分為自行公開以及他人公開的個(gè)人信息，主要是考慮到公開信息主體與個(gè)人信息之間的關(guān)聯(lián)程度不同?！秱€(gè)人信息保護(hù)法》在繼承《民法典》個(gè)人信息定義方式的同時(shí)，創(chuàng)新性地將“關(guān)聯(lián)度”作為判斷個(gè)人信息的標(biāo)準(zhǔn)。以公開個(gè)人信息的主體為例，公開主體與信息內(nèi)容關(guān)聯(lián)程度越高，越可以在明晰和接近信息主體真實(shí)意思表示的前提下合理處理已經(jīng)公開的個(gè)人信息；相反，公開信息的主體和個(gè)人信息之間沒有什么關(guān)聯(lián)，或者說關(guān)聯(lián)性很弱，那就要求信息處理者必須盡到審查公開信息的來源主體、公開目的、公開方式和公開范圍等義務(wù)。對(duì)于信息主體個(gè)人自行公開的個(gè)人信息，法律推定其是經(jīng)過慎重思考決定公開，個(gè)人信息處理者在處理這類信息時(shí)，可能就不需要承擔(dān)太多義務(wù)和責(zé)任。國家機(jī)關(guān)及依法履行公共管理職能的組織公開的個(gè)人信息，因其履行法定職責(zé)的合法性和權(quán)威性，一般認(rèn)可此類信息的完整性、真實(shí)性和準(zhǔn)確性。在自媒體時(shí)代，自然人、法人、非法人組織等都可能成為公開信息的主體，但是此類主體大多并非信息主體本人，也并非權(quán)威信息來源主體，很大程度上可能無法確保公開信息的準(zhǔn)確、完整和時(shí)效，信息處理者在處理此類主體公開的個(gè)人信息時(shí)，應(yīng)當(dāng)要盡到更為嚴(yán)格和高標(biāo)準(zhǔn)的審查義務(wù)，以此證明自己不存在過錯(cuò)從而免于承擔(dān)責(zé)任。

(二) 按照公開內(nèi)容：一般個(gè)人信息與敏感個(gè)人信息

學(xué)理上，可以根據(jù)個(gè)人信息與信息主體的識(shí)別性，分為直接個(gè)人信息和間接個(gè)人信息[10]；通過與人格尊嚴(yán)的關(guān)聯(lián)程度，可以劃分為人格緊密型個(gè)人信息和人格疏遠(yuǎn)型個(gè)人信息；根據(jù)社會(huì)屬性強(qiáng)弱的不同，可以分為個(gè)體性強(qiáng)的個(gè)人信息和社會(huì)性強(qiáng)的個(gè)人信息[11]?！秱€(gè)人信息保護(hù)法》第4條采取關(guān)聯(lián)說來定義個(gè)人信息，即只要是與已識(shí)別或可識(shí)別的自然人有關(guān)的各種信息，都可以納入個(gè)人信息的范疇。與關(guān)聯(lián)說相比，可識(shí)別性要求的標(biāo)準(zhǔn)更高，根據(jù)可識(shí)別性劃分的直接和間接個(gè)人信息類型化可能會(huì)導(dǎo)致個(gè)人信息的認(rèn)定較為困難和保護(hù)范圍的縮小，可能并不適應(yīng)現(xiàn)實(shí)社會(huì)的發(fā)展。與人格尊嚴(yán)的關(guān)聯(lián)程度凸顯了個(gè)人信息當(dāng)中蘊(yùn)含著體現(xiàn)個(gè)體人格獨(dú)特性的敏感和私密信息，人格尊嚴(yán)的關(guān)聯(lián)度與信息中的個(gè)人敏感和私密信息成正相關(guān)性。社會(huì)屬性的強(qiáng)弱體現(xiàn)了個(gè)人信息當(dāng)中包含了社會(huì)大眾非標(biāo)表性、非個(gè)體性的一面。以上兩種分類標(biāo)準(zhǔn)可以通過一般個(gè)人信息與敏感個(gè)人信息的分類進(jìn)行有效區(qū)分：一般個(gè)人信息與社會(huì)互動(dòng)性較強(qiáng)，敏感個(gè)人信息則充分體現(xiàn)個(gè)人的人格和尊嚴(yán)。

《民法典》關(guān)于私密信息的規(guī)定和《個(gè)人信息保護(hù)法》有關(guān)敏感個(gè)人信息處理規(guī)則的規(guī)定，都透露出個(gè)人信息至少可以區(qū)分為兩類：普通的一般意義上的個(gè)人信息和涉及敏感、私密的個(gè)人信息。個(gè)人信息保護(hù)立法普遍采取的分類方式是將個(gè)人信息劃分為敏感個(gè)人信息與一般個(gè)人信息，并對(duì)前者進(jìn)行特殊保護(hù)[12]54，只是敏感信息的具體類型有所不同。我國亦有學(xué)者主張要區(qū)分敏感隱私個(gè)人信息和一般個(gè)人信息[13]。從相關(guān)立法來看，我們國家采取的也是這樣的分類模式，《個(gè)人信息保護(hù)法》第28條采用概括加列舉的方式，明確了生物識(shí)別、醫(yī)療健康等七類敏感個(gè)人信息。對(duì)于敏感個(gè)人信息，只有在符合目的特定、必要充分、保護(hù)措施嚴(yán)格的前提下，才可進(jìn)行處理。除此以外的其他個(gè)人信息，如姓名、出生日期、身份證件號(hào)碼等則屬于一般個(gè)人信息。如此分類主要是由于敏感個(gè)人信息被認(rèn)為具有特殊風(fēng)險(xiǎn)，通常需要受到特殊保護(hù)[14]。如果已經(jīng)公開的是一般個(gè)人信息，那么信息處理者可遵循《個(gè)人信息保護(hù)法》第27條的規(guī)則，在個(gè)人未明確拒絕的情況下，在合理范圍內(nèi)處理個(gè)人信息；但如果已經(jīng)公開的是敏感個(gè)人信息，由于敏感個(gè)人信息本身具有高度人格屬性，比一般個(gè)人信息承載了更高的人格尊嚴(yán)要素[15]，可以認(rèn)為處理敏感個(gè)人信息是可能會(huì)對(duì)個(gè)人權(quán)益產(chǎn)生重大影響，需要信息處理者在具備目的特定、充分必要、嚴(yán)格保護(hù)措施的情形下，依據(jù)第29條的規(guī)則取得個(gè)人的單獨(dú)同意、書面同意以及履行第30條的加重告知義務(wù)之后，才能處理已經(jīng)公開的敏感個(gè)人信息。

四、 公開個(gè)人信息處理活動(dòng)的規(guī)范化

信息作為國家戰(zhàn)略性資源，其自由流動(dòng)對(duì)經(jīng)濟(jì)社會(huì)發(fā)展具有重要的基礎(chǔ)性意義[16]。保障個(gè)人信息的適當(dāng)共享性，促進(jìn)信息的自由流通，是對(duì)個(gè)人信息多維屬性的確證，也是信息化發(fā)展的必然趨勢(shì)[17]。為此，《民法典》和《個(gè)人信息保護(hù)法》均在基于信息主體同意處理個(gè)人信息的合法性基礎(chǔ)之外，規(guī)定了其他非基于信息主體的同意即可處理個(gè)人信息的法定情形，包括本文所探討的公開個(gè)人信息。

(一) 合理范圍限定

公開個(gè)人信息不僅具有公開性，在很大程度上同時(shí)具有公眾可使用性和非排他性的面向，一人對(duì)信息的使用不影響他人的使用，信息也不會(huì)像其他物質(zhì)產(chǎn)品一樣隨著使用而有所耗損，導(dǎo)致價(jià)值減少[18]132，反而會(huì)因?yàn)樾畔⑻幚碚叩募庸ぎa(chǎn)生巨大的經(jīng)濟(jì)和社會(huì)價(jià)值。但這并不代表信息處理者對(duì)公開個(gè)人信息的處理活動(dòng)是無序的、不受任何限制的。信息處理者出于逐利的需求，往往會(huì)采取各種各樣的手段和方式來處理獲取到的個(gè)人信息，以期增強(qiáng)自身的核心競(jìng)爭(zhēng)力。為了有效避免這種激進(jìn)的處理活動(dòng)，立法規(guī)定信息處理者可以在合理的范圍內(nèi)進(jìn)一步處理公開的個(gè)人信息。所謂“合理的范圍”應(yīng)當(dāng)至少考慮兩個(gè)方面：一是信息處理者的處理目的，目的合理要求信息處理目的必須符合社會(huì)一般人的事理認(rèn)知,不得違反基本的倫理道德與公序良俗[19]，如在劉馨予與樂視公司隱私權(quán)糾紛一案⑥中，樂視公司以視頻形式發(fā)布涉及劉馨予的個(gè)人私密身體健康及社會(huì)敏感事件的內(nèi)容，違背了公序良俗，不屬于處理公開個(gè)人信息的合理目的。二是處理方式是否合理，即如果有侵害性更小的處理方式時(shí)，就不能采取侵害性更大的處理方式[20]，如信息處理者的處理活動(dòng)不能引發(fā)高于原有程度的、用戶無法預(yù)期的風(fēng)險(xiǎn)[21]，否則就超出了合理范圍之外。

(二) 明確拒絕的判斷

信息主體自行公開以及其他合法途徑公開的個(gè)人信息具有公開合法的基礎(chǔ)，個(gè)人信息處理者在合理范圍內(nèi)處理這類信息無需獲得信息主體的同意。但是對(duì)公開個(gè)人信息的使用并非具有絕對(duì)性，公開個(gè)人信息不代表信息主體徹底放棄對(duì)其個(gè)人信息的控制，更不代表信息處理者可以隨意處理公開個(gè)人信息?！秱€(gè)人信息保護(hù)法》第27條第1句中的但書條款意味著在個(gè)人明確表示拒絕信息處理者處理已經(jīng)公開的個(gè)人信息時(shí)，信息處理者原則上無權(quán)再進(jìn)行處理。信息主體可能會(huì)因?yàn)闀r(shí)間的經(jīng)過、公開目的、用途的改變以及公開信息內(nèi)容的落后陳舊等，不再愿意信息處理者處理之前已經(jīng)公開的個(gè)人信息。

判斷是否為明確拒絕有兩個(gè)核心要素：一是明確的意思表示，即信息主體所表達(dá)的意思表示必須是清楚、明白的；二是拒絕的意思表示，即信息主體所表達(dá)的內(nèi)容是反對(duì)、禁止、拒絕處理已合法公開個(gè)人信息。在實(shí)踐中，較易判斷的明確拒絕多為信息主體的主動(dòng)性積極行為，如在公開個(gè)人信息時(shí)附有禁止處理聲明的，以及信息主體向個(gè)人信息處理者發(fā)送刪除個(gè)人信息通知⑦等。但是在現(xiàn)實(shí)生活中，因?yàn)樾畔⒅黧w不可能隨時(shí)都知道自己的個(gè)人信息在被處理，也就不會(huì)及時(shí)向信息處理者發(fā)送禁止處理的聲明，單純采取前述這種積極主動(dòng)性行為來判斷明確拒絕，可能會(huì)導(dǎo)致對(duì)信息主體保護(hù)不足，需要采取更為簡(jiǎn)便也更有利于保護(hù)信息主體的判斷方式。

信息主體自行公開個(gè)人信息以及國家機(jī)關(guān)等依法公開個(gè)人信息都有其特定目的和用途，個(gè)人信息處理者處理已公開個(gè)人信息，至少要做到與該信息公開之時(shí)的目的和用途基本一致或相兼容，否則可以認(rèn)定為信息主體是拒絕個(gè)人信息處理者處理已經(jīng)公開的個(gè)人信息的。例如新聞報(bào)道、裁判文書等公開的個(gè)人信息，具有輿論監(jiān)督、促進(jìn)司法公正等目的，可以在符合其公開目的的基礎(chǔ)上，合理處理該等已公開個(gè)人信息，比如進(jìn)行匯總和轉(zhuǎn)載，但不能用來進(jìn)行信息出售和交易，也不能對(duì)公開的個(gè)人信息進(jìn)行刪除、涂改或者歪曲，否則就明顯違背公開個(gè)人信息之時(shí)的目的和用途。處理已公開的個(gè)人信息明顯違背已公開個(gè)人信息的公開目的的、明顯改變已公開個(gè)人信息的用途的[22]，可以推定信息主體是拒絕個(gè)人信息處理者處理已公開個(gè)人信息的。此外，《個(gè)人信息保護(hù)法》第24條也對(duì)個(gè)人信息處理者提出要求，應(yīng)提供便捷的拒絕方式，如在自動(dòng)化決策推送中設(shè)置明確的拒絕按鈕[23]。

但是，此種明確拒絕處理個(gè)人公開信息的權(quán)利也并非絕對(duì)的、不受任何限制的。從實(shí)踐來看，在信息主體明確拒絕其他主體轉(zhuǎn)載依法公開的裁判文書的案件中，可能該訴求往往不能得到法院的支持，信息主體拒絕處理的權(quán)利有時(shí)需要讓位于司法公開。在當(dāng)今新冠疫情的防疫大背景之下，公開個(gè)人的身份信息、行蹤信息已經(jīng)成為防控疫情的必要措施。在公共安全和公共利益面前，信息主體拒絕信息處理者處理公開個(gè)人信息的權(quán)利也會(huì)受到一定的制約。

(三) 對(duì)個(gè)人權(quán)益有重大影響的可能情形

個(gè)人信息處理的基本原則和理念是不能影響和侵害信息主體的合法權(quán)益，當(dāng)處理公開個(gè)人信息會(huì)對(duì)信息主體的個(gè)人權(quán)益產(chǎn)生重大影響時(shí)，不能未經(jīng)信息主體同意徑直處理個(gè)人信息。為了緩解個(gè)人信息保護(hù)和利用之間的沖突，規(guī)定在可能產(chǎn)生重大影響的情況下也允許取得個(gè)人同意后處理個(gè)人信息。是否構(gòu)成“重大影響”決定了公開個(gè)人信息的處理規(guī)則是合理范圍內(nèi)的自由使用還是需要獲得信息主體的同意兩種不同的模式，因此有必要探討重大影響的情形為何。

最高人民法院《關(guān)于審理利用信息網(wǎng)絡(luò)侵害人身權(quán)益民事糾紛案件適用法律若干問題的規(guī)定》(以下簡(jiǎn)稱《利用信息網(wǎng)絡(luò)侵害人身權(quán)益規(guī)定》)第12條第2款確立了司法解釋提供的重大影響判斷標(biāo)準(zhǔn)。從該司法解釋的表述來看，處理方式違法和侵害值得保護(hù)的重大利益屬于并列關(guān)系，都可能會(huì)對(duì)信息主體產(chǎn)生重大影響⑧。因此在判斷是否會(huì)對(duì)信息主體產(chǎn)生重大影響時(shí)，可以將信息處理者的處理方式納入考察范圍，若采用的是違反社會(huì)公共利益和社會(huì)公德的處理方式，例如利用消費(fèi)者個(gè)人數(shù)據(jù)畫像，采取算法應(yīng)用，鎖定特殊消費(fèi)群體，實(shí)施價(jià)格歧視、價(jià)格混淆等銷售策略[24]，則可以認(rèn)定會(huì)對(duì)信息主體產(chǎn)生重大影響。對(duì)于“值得保護(hù)的重大利益”的認(rèn)定標(biāo)準(zhǔn)，歐盟在司法實(shí)踐中的思路是考慮信息對(duì)于信息主體來說是否具有涉及隱私生活的敏感性[25]，也就是說根據(jù)已公開個(gè)人信息的內(nèi)容不同，當(dāng)信息處理者處理的是信息主體已經(jīng)公開的敏感性個(gè)人信息時(shí)，也可以認(rèn)定為對(duì)個(gè)人權(quán)益有重大影響，需要取得信息主體的同意。

法律作為整體性、體系性存在，對(duì)法律的理解、解釋和運(yùn)用需要在體系思維中展開[26]。法律體系由完整的法律規(guī)定所組成，要消除“體系違反”，使法律完整順暢且無邏輯矛盾，從而維護(hù)法律的統(tǒng)一性[27]220。從體系解釋的角度來看，《個(gè)人信息保護(hù)法》第55條確立了個(gè)人信息保護(hù)領(lǐng)域提供的重大影響判斷標(biāo)準(zhǔn)。第55條是關(guān)于個(gè)人信息處理者需要進(jìn)行事前個(gè)人信息保護(hù)影響評(píng)估的五種情形，一是處理的個(gè)人信息為敏感個(gè)人信息；二是進(jìn)行自動(dòng)化決策；三是委托他人處理或向第三方提供個(gè)人、公開個(gè)人信息；四是境外提供；五是其他對(duì)個(gè)人信息產(chǎn)生重大影響的處理活動(dòng)。從第五種情形進(jìn)行判斷，其本身是屬于為了預(yù)防未來可能出現(xiàn)的新類型個(gè)人信息處理活動(dòng)以及克服法律規(guī)定的滯后性和不周延性而設(shè)置的兜底性、開放性條款，在語句表述上采用的是“其他對(duì)個(gè)人權(quán)益有重大影響”，這就意味著前述所明確列舉的四種情形，應(yīng)當(dāng)屬于重大影響范疇或者與重大影響在價(jià)值、性質(zhì)、影響程度上具有一致性[28]。以信息自動(dòng)化決策為例，在大數(shù)據(jù)和人工智能技術(shù)的助力下，經(jīng)營者可通過對(duì)消費(fèi)者消費(fèi)習(xí)慣、個(gè)人興趣愛好等信息進(jìn)行整合處理，并進(jìn)行智能分析，提供具有某種偏好性的產(chǎn)品或服務(wù)推薦，可能會(huì)對(duì)個(gè)人權(quán)益有重大影響[2]。

實(shí)踐中如何確保信息主體“明確拒絕”權(quán)和“對(duì)個(gè)人權(quán)益有重大影響”情形下的獲取個(gè)人同意值得深入思考和探究?！懊鞔_拒絕”的前提是知情，除了信息主體自己明確知道個(gè)人信息被處理的，更多的情況是需要信息主體履行告知義務(wù)才能實(shí)現(xiàn)信息主體的知情，但現(xiàn)行立法并沒有明確處理公開個(gè)人信息是否要履行告知義務(wù)，僅能對(duì)《個(gè)人信息保護(hù)法》第18條規(guī)定的豁免告知情形做相反推論，暗含著處理公開個(gè)人信息也應(yīng)當(dāng)要履行告知義務(wù)。在對(duì)個(gè)人權(quán)益有重大影響的場(chǎng)合，必須要解決的問題是哪個(gè)主體有權(quán)判斷可能會(huì)對(duì)個(gè)人權(quán)益產(chǎn)生重大影響。目前立法并沒有對(duì)這些問題做出進(jìn)一步規(guī)定，期待以后的司法實(shí)務(wù)可以進(jìn)行回應(yīng)，為解決上述問題提供司法實(shí)踐思路和經(jīng)驗(yàn)。

五、 結(jié)語

數(shù)字經(jīng)濟(jì)時(shí)代統(tǒng)籌個(gè)人信息保護(hù)與利用乃大勢(shì)所趨，也是《個(gè)人信息保護(hù)法》的立法目的之一，《個(gè)人信息保護(hù)法》第27條對(duì)公開個(gè)人信息采取有限保護(hù)的傾向，充分體現(xiàn)和響應(yīng)了該需求。公開個(gè)人信息具備合法公開性和可獲取性，其在經(jīng)濟(jì)社會(huì)中扮演著公眾可獲取信息的角色，個(gè)人信息處理者原則上可以自由使用已經(jīng)公開的個(gè)人信息，以期最大限度發(fā)揮其社會(huì)價(jià)值和效用。同時(shí)，借助“合理范圍”“明確拒絕”和“重大影響”規(guī)范信息處理者對(duì)公開個(gè)人信息的處理活動(dòng)，真正達(dá)至信息主體的信息自決與信息處理者的利用需要之間的平衡。

注釋：

① 獨(dú)聯(lián)體成員國議會(huì)間大會(huì)第十四次全體會(huì)議于1999年10月16日第14-19號(hào)決議通過的獨(dú)聯(lián)體成員國《個(gè)人資料示范法》第4條第4款。

② 自第三方取得個(gè)人資料時(shí)提供法定信息的義務(wù)包括：(1) 處理人或其代理人的名稱或姓、名、父稱和地址;(2)個(gè)人資料處理的目的和法律依據(jù);(3)個(gè)人資料的預(yù)定使用人; (4)本聯(lián)邦法律規(guī)定個(gè)人資料主體的權(quán)利;(5)個(gè)人資料的來源。

③ 參見《中華人民共和國個(gè)人信息保護(hù)法》第18條：個(gè)人信息處理者處理個(gè)人信息，有法律、行政法規(guī)規(guī)定應(yīng)當(dāng)保密或者不需要告知的情形的，可以不向個(gè)人告知前條第一款規(guī)定的事項(xiàng)。緊急情況下為保護(hù)自然人的生命健康和財(cái)產(chǎn)安全無法及時(shí)向個(gè)人告知的，個(gè)人信息處理者應(yīng)當(dāng)在緊急情況消除后及時(shí)告知。

④ 參見北京市西城區(qū)人民法院(2015)西民初字第28460號(hào)民事判決書。

⑤ 參見蘇州市中級(jí)人民法院(2019)蘇05民終4745民事判決書。

⑥ 參見北京市第一中級(jí)人民法院(2016)京01民終325號(hào)民事判決書。

⑦ 參見北京互聯(lián)網(wǎng)法院(2019)京0491民初10989號(hào)民事判決書。

⑧ 參見最高人民法院《關(guān)于審理利用信息網(wǎng)絡(luò)侵害人身權(quán)益民事糾紛案件適用法律若干問題的規(guī)定》(法釋〔2014〕11號(hào)，2014年6月23日最高人民法院審判委員會(huì)第1621次會(huì)議通過)。