【观点采撷】已公开个人信息弱化保护制度的反思与矫正（一）

　　摘要：弱化保护已公开个人信息既是我国的司法实践传统，也是平衡信息保护负担的务实选择，但若不释明处理已公开个人信息的合理范围，必将削弱个人信息保护的制度意义和私法意涵，减损对个人信息自决权的有效保障。已公开的个人信息应限于向不特定多数人发布、无需借助特殊手段即可从公开渠道合法获得的信息。若信息处理将对信息主体权益有重大影响，需适用告知同意规则。合理处理范围应基于信息主体意愿界定，除非该处理是法定的公共利益所必需。处理者应提供有效的表意机制，未提供而个人未明示拒绝信息处理的，应视为默示拒绝。个人的拒绝信息被处理权不可被格式条款排除。

　　有实力以信息牟利的处理者往往声称，信息一经产生即进入公共领域(publicdomain),成为信息生产的原材料(rawmaterial),以便于其肆意利用信息牟利。2021年11月1日起施行的《中华人民共和国个人信息保护法》(下文简称《个人信息保护法》)意在终结对个人信息的“野蛮掘金”时代。该法在整体逻辑上更为贴近欧盟的《通用数据保护条例》(GeneralDataProtectionRegulation,下文简称“GDPR”),原则上禁止处理者处理个人信息，除非存在信息主体已自由地知情同意信息处理(informedandfreelygivenconsent)等正当性基础，并以此为宣传亮点,但就已公开个人信息而言，则与美国加利福尼亚州的《消费者隐私法案》(CaliforniaConsumerPrivacyAct,下文简称“CCPA”)相似，原则上处理个人信息无需信息主体同意——呈现出弱化保护的态势。本文以《个人信息保护法》为蓝本分析弱化保护的制度表现、成因及弊端，并基于解释论的立场，合理阐释《个人信息保护法》第27条、第13条规范旨意，以矫正弊端，切实保障自然人应有的个人信息权益。

　　一、已公开个人信息弱化保护的现状解析

　　(一)已公开个人信息弱化保护的制度形成

　　已公开个人信息处于可被不特定多数人接触的状态，包括由个人自行公开和被以如行政公开、司法公开等其他合法方式公开的个人信息。依据《个人信息保护法》,已公开个人信息的处理是知情同意规则的例外，信息一旦公开，信息处理者即可依据自己的意愿处理信息，甚至无需契合信息主体公开该信息时的意图，亦不必限于信息被公开时的用途，几乎完全以第三方评估“合理”取代个人同意对处理已公开个人信息的约束。这是数个条款共同作用的结果。《个人信息保护法》第13条虽赋予了知情同意规则“个人信息保护大厦之基”、处理个人信息的基本规则的地位,但其第2款的但书也明确了，依法在合理范围内处理已公开个人信息无需个人同意。尽管第27条对此做了进一步限制：若信息主体不欲其信息被处理，可明确拒绝；若处理该信息于个人权益有重大影响，处理者应谨慎评估并取得个人同意，但是，在实践中，处理者往往吝于主动向个人提供有效表达意愿、管理信息的渠道，导致这些意在保障个人信息自决权的限制效果存疑。《个人信息保护法》对已公开个人信息的保护的弱化程度是在立法过程中逐步加深的。《个人信息保护法(草案)》(第一次审议稿)继承了《中华人民共和国民法典》(以下简称《民法典》)的立场，其第13条并未将信息已合法公开列入无需个人同意处理信息的合法性基础，而仅于第28条规定：以符合信息被公开时的用途的方式处理该信息的，无需向该自然人告知同意；用途不明的，处理者则应合理、谨慎地处理。该条试图尽可能地确保信息以信息主体可能同意的方式处理，且不被用做被公开时所预想不到的用途。毕竟，依信息主体公开信息时所明确的用途处理信息，更可能与其意志相契合，且以行政公开、司法公开等合法方式公开的个人信息的处理用途是特定的，信息主体能合理预见，如此便在尊重告知同意规则的基础上，较好地平衡了个人信息自决权益和信息自由。如此，即使信息处理未获个人明确同意，也不至与其可能意愿明显相悖。但是，《个人信息保护法》(第二次审议稿)将“依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息”作为第5项列入第13条，将信息已被合法公开从免责事由强化为处理个人信息的合法性基础，削弱了告知同意规则的核心地位，所幸仍保留了第28条。然而，鉴于信息被公开时的用途不易确定，而且难以解释超出该用途处理该信息时应适用何种合法性基础,草案的原第28条在《个人信息保护法》的正式版本中被删去，并被替换为第27条规定的信息主体可拒绝其已公开信息被处理的权利，即拒绝信息被处理权。与此同时，“信息已合法公开”的顺序向后调了一位，作为第6项合法性基础，成为仅次于“法律、行政法规规定的其他情形”的兜底情形。至此，已公开个人信息保护的负担被转移至信息主体一方，并且大大扩展了处理者无需信息主体同意即可处理信息的范围——毕竟如今大部分人的信息都可被不特定人获得，甚至无需使用非法的收集手段。这就使得对已公开个人信息的保护远弱于对未公开个人信息的保护。

　　(二)已公开个人信息弱化保护的缘由

　　在类型化地设置信息处理的合法性基础，亦即准入限制时，较之GDPR和CCPA以“个人信息的性质”为单一标准，《个人信息保护法》又增设了“个人信息的公开状态”标准，将处理不同类型的个人信息的准入门槛分为三级：于处理敏感个人信息等特定情形，准入限制甚至严于GDPR,要求获得个人单独同意方可处理；处理普通个人信息时需基于法定合法性基础，与GDPR类同；处理已公开个人信息时则几无准入限制，与CCPA相似。区别于聚焦个人信息的人格权面向因而以不可处理为原则的GDPR,也不同于重视个人信息的财产面向因而以可处理为原则的CCPA,《个人信息保护法》试图综合考虑个人信息的人格权面向和财产面向，细化保护个人信息的层次，其对已公开个人信息的弱化保护有独特缘由。

　　1.弱化保护已公开信息的传统我国对已公开个人信息的弱化保护由来已久，经历了“不予保护—普遍保护—弱化保护”的过程。相较未公开个人信息，我国一贯不倾向保护自然人对已公开个人信息享有的利益。我国明确保护个人信息的规定，可追溯至2000年12月28日第九届全国人大常委会第十九次会议通过的全国人民代表大会常务委员会《关于维护互联网安全的决定》。在该决定中，信息安全是互联网安全的一部分，特指公民的通信自由、通信秘密，并不包括公民已公开的个人信息的安全。 2012年12月28日第十一届全国人大常委会第三十次会议通过的全国人民代表大会常务委员会《关于加强网络信息保护的决定》,开宗明义要同等保护能够识别公民个人身份和涉及公民个人隐私的电子信息，但将打击重点放在以窃取等非法方式获取公民个人电子信息上，未提及收集已被合法公开的个人信息是否可能属于非法。2014年最高人民法院《关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》(法释[2014]11号，下文简称《关于利用信息网络人身侵权的规定》)第12条表明，如果行为人公开的个人信息此先已被合法公开，即便该信息一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害，即属于后来《个人信息保护法》所规定的敏感信息，只要行为人未以违反社会公共利益、社会公德的方式公开，或者公开该信息未侵害权利人值得保护的重大利益且造成损害，该行为都不属于侵权。之后，我国立法进入短暂的普遍保护已公开个人信息的阶段。2017年施行的《中华人民共和国网络安全法》并未区别对待已公开的个人信息，第41条概括地规定了收集、使用个人信息的告知同意规则。2020年颁布的《民法典》开始有所区分，依其第1036条第2项，信息处理者若合理处理该自然人自行公开的或者其他已经合法公开的信息，不承担民事责任，但《民法典》仅将信息已被合法公开作为未经信息主体同意处理信息的免责事由，而非将其正当化为处理信息的合法性基础。及至2021年，顺应我国信息保护实践传统，《个人信息保护法》正式明确了对已公开个人信息的弱化保护，即未经信息主体同意处理其已公开信息，即使处理方式囊括了公开之外的分析、改编、再使用等行为，亦可能不构成侵权。

　　2.平衡信息保护和信息自由的务实主义准确的信息有助于更好地决策，广泛的信息处理是大数据时代的必然趋势；保障信息自由流通是经济发展、提升生活水平的必然要求。尤其在公民承担监督行政、司法的职能时，必然会涉及对依据行政行为、司法行为公开的个人信息的合理使用。因此，《个人信息保护法》确立知情同意之外的处理信息的合法性基础，弱化特定情形下对个人信息的保护，是平衡信息自由和信息保护的务实主义决定的。第一，弱化保护已公开个人信息是对隐私悖论的务实回应。隐私悖论(privacyparadox)指出，虽然人们宣称看重自己的隐私，但却毫不在意地公开自己的个人信息，供人利用。其行与其言相悖，显示人们对自己个人信息的实际估值很低。若信息本处于未公开状态，信息主体居于对自身信息的管领地位，自行公开的行为事实上属于其行使信息自决权益的方式，若无其他明确相反表示，则应视为其默许信息被合理处理。如果信息主体不希望自己的信息被别人不当利用，就不应将该信息置于可轻易被他人获得的境地。因此，对个人自行公开的信息，无需多加保护。而若信息是被依法公开，例如行政公开、司法公开，那么该信息被广泛处理正是公开的目的，若再要求信息主体同意，反而是逻辑矛盾。第二，以信息公开与否区分信息处理的准入限制，是降低制度理解成本的务实选择。同是涉及对已公开个人信息的处理，GDPR的规则较为复杂，其基于处理者的身份，区别规定了为公共利益和为处理者之私益处理信息的不同合法性基础，对处理者的合规能力提出了更高要求。GDPR第6(1)(f)项规定，为处理者追求合法利益(legitimateinterest)所必需的信息处理，可以不经信息主体同意，又于第6(1)款后段强调，为执行公务所必需的信息处理不适用该合法性基础，因为GDPR已于第6(1)(c)项和(e)项规定了为社会公共利益、依法执行公务的情形，并在第9章中进一步细化了相应处理标准。而《个人信息保护法》则直接将这些条款并为依法在合理范围内处理已公开个人信息无需取得个人同意，以信息的公开状态为标准，不区分处理者的性质和处理目的，排除了合法利益的模糊表达，更明确简洁，便于信息主体理解和处理者合规。第三，已公开的个人信息以可被合理处理为原则，是平衡信息保护负担的务实方案。以第三方评估“合理”取代个人同意作为处理已公开个人信息的约束，根基在信息犬儒主义(InformationCynicism):信息的泄露无可避免，一旦公开即难以消去，控制信息是不可能的。而且，不同信息主体的个人信息在现实世界中往往处于交错共存的状态，例如甲在社交平台上发布自己的聚会照片，很可能不小心摄入陌生人乙的面部信息。于此情形，要求一切处理者基于个人同意方能处理信息，反而会令信息主体处于动辄得咎的境地。因此，与其关注不切实际地要求信息处理者彻底删除信息，或者追求真正的“知情同意”,不如务实地将“知情同意”规则视为与其他个人信息处理规则同等的规则而非原则,以履行信息保护职责的部门为核心，以行政规制和公益诉讼为主要手段，适当弱化特定情形下的信息保护，综合规制信息处理，以兼顾个人信息的人格权面向和财产面向。其一，私力救济难以有效保护作为人格权益的个人信息。因为个人既难以发现隐蔽的信息侵权，单一信息主体涉及的信息侵权的损害数额又往往较低，个人缺乏维权动力。于此，由履行信息保护职责的部门监管信息处理行为，由法定授权组织发起公益诉讼,更能切实保护信息主体的权益。其二，个人信息的财产面向使得信息处理规则关涉市场的有序运行，需要公权力的适度介入以防止不正当竞争。高科技公司声称无限制地挖掘、利用个人信息是创新的必要条件，将政府监管与阻碍创新等同,主张处理个人信息不应受目的有限原则和最小收集原则的限制，却又试图通过技术优势和格式条款限制竞争者处理信息，实现信息垄断。这既侵犯了个人作为信息的最初生产者的利益，也可能危害公共秩序和公共安全，妨碍信息市场的健康发展，因而需要公权力介入、在社会层面进行规制。

　　来源：《吉林大学社会科学学报》2022年第4期。