●丁曉東

一、問題的提出

公開個人信息的法律保護一直是難題與爭議焦點。一方面，有觀點認為，公開個人信息位于公共領(lǐng)域，不需要對其進行保護?！?〕See Heidi Reamer Anderson, The Mythical Right to Obscurity: A Pragmatic Defense of No Privacy in Public, 7 J.L.Pol’y for Info.Soc’y 543, 549 （2012）; Robert G.Larson III, Note, Forgetting the First Amendment: How Obscurity-Based Privacy and a Right to Be Forgotten Are Incompatible with Free Speech, 18 Comm.L.& Pol’y 91, 112 （2013）; Jane E.Kirtley, Misguided in Principle and Unworkable in Practice: It Is Time to Discard the Reporters Committee Doctrine of Practical Obscurity （and Its Evil Twin, the Right to Be Forgotten）, 20 Comm.L.& Pol’y 91, 109 （2015）.例如，對學校網(wǎng)站上的教師信息而言，任何網(wǎng)民都可以自由訪問與復(fù)制；人們在廣場、街道和景點拍攝的照片中如果包含他人肖像，一般不需要進行模糊化處理。另一方面，有觀點認為，公開個人信息的大規(guī)模處理會帶來風險，應(yīng)當受到個人信息保護法的保護?！?〕See Jonathan B.Mintz, The Remains of Privacy’s Disclosure Tort: An Exploration of the Private Domain, 55 Md.L.Rev.425, 440-41 （1996）; Daniel J.Solove, The Digital Person: Technology and Privacy in the Information Age 97-100 （2006）; Erin B.Bernstein,Health Privacy in Public Spaces, 66 Ala.L.Rev.989, 993 （2015）.針對公開個人信息，我國《個人信息保護法》第13 條第（六）項規(guī)定：“依照本法規(guī)定在合理的范圍內(nèi)處理個人自行公開或者其他已經(jīng)合法公開的個人信息”，個人信息處理者可以處理個人信息。第27 條進一步規(guī)定：“個人信息處理者可以在合理的范圍內(nèi)處理個人自行公開或者其他已經(jīng)合法公開的個人信息；個人明確拒絕的除外。個人信息處理者處理已公開的個人信息，對個人權(quán)益有重大影響的，應(yīng)當依照本法規(guī)定取得個人同意”?！睹穹ǖ洹穼π袨槿瞬怀袚袷仑熑芜M行了類似規(guī)定，第1036 條第（二）項規(guī)定：“合理處理該自然人自行公開的或者其他已經(jīng)合法公開的信息，但是該自然人明確拒絕或者處理該信息侵害其重大利益的除外”。

在學術(shù)研究與法律解釋層面，一系列問題仍然存在。首先，如何看待我國公開個人信息保護制度在全球法律體系中的定位？正如艾紐·布拉德福特（Anu Bradford）教授所言，中國、美國、歐盟已經(jīng)成為個人信息保護等數(shù)字領(lǐng)域最重要的三個區(qū)域?！?〕See Anu Bradford, Digital Empires: The Global Battle to Regulate Technology 1-6 （2023）.鑒于我國個人信息保護制度受到域外影響，同時影響全球的相關(guān)制度的情況，有必要在全球特別是中國、美國、歐盟比較的視野下對相關(guān)問題進行研究。其次，如何理解與解釋我國《個人信息保護法》中的公開個人信息保護制度？我國對公開個人信息保護的制度設(shè)計僅針對收集環(huán)節(jié)，還是個人信息處理的所有環(huán)節(jié)？在信息處理者根據(jù)《個人信息保護法》第13 條的合法性基礎(chǔ)收集個人信息后，個人是否還具有相關(guān)信息權(quán)利？信息處理者是否還應(yīng)當履行相關(guān)義務(wù)？例如，個人是否可以向信息處理者提起知情決定權(quán)、撤回權(quán)、查閱復(fù)制權(quán)、更正補充權(quán)、刪除權(quán)、解釋說明權(quán)、死者親屬權(quán)等權(quán)利主張？信息處理者在收集公開個人信息后，是否還應(yīng)當承擔安全保障、設(shè)立個人信息專員、履行合規(guī)審計、個人信息影響評估等義務(wù)？

此外，很多更為具體的制度問題需要進一步分析。例如，公開應(yīng)當根據(jù)個人主觀性，還是某種客觀標準進行判斷？互聯(lián)網(wǎng)上可以搜索到的信息是否都屬于公開信息？〔4〕See Frederick Schauer, Internet Privacy and the Public-Private Distinction, 38 Jurimetrics 555, 558 （1998）.個人在商業(yè)街、商場、咖啡館、教室、酒吧的活動是否屬于公開信息？小范圍的群聊或幾個朋友可見的朋友圈信息是否屬于公開信息？如何理解與界定“合理的范圍內(nèi)”“對個人權(quán)益有重大影響”或“侵害其重大利益”？當ChatGPT、文心一言利用互聯(lián)網(wǎng)公開信息進行訓練時，是否屬于合理范圍內(nèi)的利用，以及是否造成了對個人權(quán)益的重大影響或侵害？“個人明確拒絕的除外”中的“拒絕”應(yīng)當如何行使？個人表達相關(guān)意愿是否都屬于個人拒絕？

二、歐盟、美國保護公開個人信息的制度差異與中國道路

歐盟、美國和我國對公開個人信息的保護按照強度形成了一個光譜，美國、歐盟位于這個光譜的兩端，我國位于中間，在制度上形成了區(qū)別于美國和歐盟的中國方案。從比較法視野出發(fā)，可以確定我國公開個人信息保護的全球定位。

（一）歐盟對公開個人信息一體保護

歐盟對公開個人信息與非公開個人信息一體保護。在《一般數(shù)據(jù)保護條例》規(guī)定的合法性基礎(chǔ)中，歐盟沒有列舉個人信息的公開性。〔5〕參見《一般數(shù)據(jù)保護條例》第6 條。這意味著，當信息處理者處理在互聯(lián)網(wǎng)等公開環(huán)境下獲取的個人信息時，仍然需要獲得個人同意或其他合法性基礎(chǔ)。在此之前已經(jīng)失效的第95/46/EC 號《數(shù)據(jù)保護指令》（Data Protection Directive）中，〔6〕See Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the Protection of Individuals with Regard to the Processing of Personal Data and on the Free Movement of Such Data, 1995 O.J.（L 281）31, 50.歐盟進行了類似規(guī)定。

當然，歐盟對公開個人信息設(shè)置了少量例外，減輕其保護義務(wù)。對于禁止處理的特殊種類的個人信息，《一般數(shù)據(jù)保護條例》將公開個人信息作為例外。《一般數(shù)據(jù)保護條例》第9 條規(guī)定，對于“數(shù)據(jù)主體已經(jīng)明顯公開的相關(guān)個人數(shù)據(jù)（data manifestly made public）的處理”，不適用于禁止處理的規(guī)定?！?〕參見《一般數(shù)據(jù)保護條例》第9 條第2 款（e）。不過歐洲數(shù)據(jù)保護委員會（European Data Protection Board，EDPB）又對這一例外做了限定性規(guī)定。EDPB 的指南指出，“公開”應(yīng)理解為在大眾媒體上發(fā)布數(shù)據(jù)、將數(shù)據(jù)發(fā)布到在線社交網(wǎng)絡(luò)平臺或類似的行動。個人數(shù)據(jù)的公開必須具有“明顯性”，需要數(shù)據(jù)主體采取肯定的行動，并且意識到這一行為的后果。即使在收集數(shù)據(jù)后，數(shù)據(jù)控制者仍然需要遵守個人信息處理的合法性基礎(chǔ)與個人信息處理原則。〔8〕See EDPB, Guidelines 8/2020 on the Targeting of Social Media Users Version 2.0, para 114,127-12, available at: https://edpb.europa.eu/system/files/2021-04/edpb_guidelines_082020_on_the_targeting_of_social_media_users_en.pdf.

《一般數(shù)據(jù)保護條例》第86 條規(guī)定，對于官方合法公開的個人信息，公眾可以進行合法訪問。但《一般數(shù)據(jù)保護條例》的“重述”部分也明確指出，政府信息公開“不影響歐盟和成員國法律規(guī)定的個人數(shù)據(jù)處理方面對自然人的保護水平，尤其是不改變本條例規(guī)定的義務(wù)和權(quán)利”?！?〕《〈一般數(shù)據(jù)保護條例〉重述》第154 條。這意味著，對官方合法公開的個人信息而言，歐盟的數(shù)據(jù)控制者或處理者仍然需要遵守《一般數(shù)據(jù)保護條例》的相關(guān)規(guī)定。

歐盟之所以采取公開個人信息與非公開個人信息一體保護的模式，是因為歐盟的個人信息保護法以防范“處理關(guān)系”中的個人信息風險為核心?！兑话銛?shù)據(jù)保護條例》明確指出，其適用范圍限于“自動化處理”“半自動化處理”，或者為了存檔系統(tǒng)（filing system）而進行的手動處理?！?0〕參見《一般數(shù)據(jù)保護條例》第2 條第1 款。更早之前的第95/46/EC 號《數(shù)據(jù)保護指令》及其“重述”（recital）也作出了類似規(guī)定?！?1〕參見《〈數(shù)據(jù)保護指令〉重述》第27 條。在歐盟法關(guān)注的“處理關(guān)系”中，個人信息的公開性并未消除其處理帶來的風險。

（二）美國對公開個人信息排除保護

與歐盟相反，美國主要地區(qū)的個人信息保護制度不保護公開個人信息。以加州為例，2023 年生效的《加利福尼亞州隱私權(quán)利法案》（California Privacy Rights Act，CPRA）規(guī)定，公開個人信息不屬于個人信息。公開個人信息指“消費者向其披露信息的人提供的、沒有將信息限制在特定受眾的信息”，這類信息除了包括“從聯(lián)邦、州或地方政府記錄中合法提供的信息”，還包括“企業(yè)有合理依據(jù)相信消費者、廣泛傳播的媒體或消費者合法向公眾提供的信息?！薄?2〕《加利福尼亞州民法典》1798.140.（O）（2）.美國其他州的立法，如《科羅拉多州隱私法》（Colorado Privacy Act，CPA）〔13〕《科羅拉多州隱私法》規(guī)定，公開信息是“從聯(lián)邦、州或地方政府記錄中合法提供的信息，以及控制者有合理依據(jù)相信消費者已合法向公眾提供的信息”，不在該法保護范圍內(nèi)。See Colorado Privacy Act, 6-1-1303.17（b）.、《弗吉尼亞州消費者數(shù)據(jù)保護法》（Virginia Consumer Data Protection Act，VCDPA）〔14〕《弗吉尼亞州消費者數(shù)據(jù)保護法》規(guī)定：“通過聯(lián)邦、州或地方政府記錄合法提供的信息，或企業(yè)有合理依據(jù)相信通過廣泛傳播的媒體或消費者向其披露信息的人合法向公眾提供的信息”，不受該法保護。See Virginia Consumer Data Protection Act, 59.1-571.明確將公開個人信息排除在保護范圍之外。

在聯(lián)邦層面，美國的一些行業(yè)性立法也將公開個人信息排除在保護范圍之外。例如，金融領(lǐng)域的《格雷姆-里奇-比利雷法》（Gramm-Leach-Bliley Act，GLBA）將“個人可識別的金融信息”定義為“非公開的個人信息”。除了從政府記錄、媒體與合法公開信息中獲取的個人信息外，該法案還規(guī)定，如果“（i）信息屬于公眾可獲得的類型及（ii）如果個人可以指示不向公眾提供這些信息，但您的消費者沒有這樣做，則您有合理的依據(jù)相信信息是合法向公眾提供的”?！?5〕C.F.R.§ 313.3 （2018）.

美國將公開個人信息排除在保護范圍之外，與美國法的“大隱私”概念體系及公私二元劃分觀念密切相關(guān)。〔16〕See Donald R.C.Pongrace, Stereotypification of the Fourth Amendment’s Public/Private Distinction: An Opportunity for Clarity, 34 Am.U.L.Rev.1191, 1196 （1985）.與歐盟法嚴格區(qū)分隱私及個人信息保護不同，美國法雖然對二者進行保護手段上的區(qū)分，但在價值目標上將個人信息視為大隱私的一類，并常常冠以“信息隱私”或“數(shù)據(jù)隱私”的稱謂?！?7〕See Daniel J.Solove, Conceptualizing Privacy, 90 Calif.L.Rev.1087 （2002）.在美國法律體系中，一旦信息進入公共領(lǐng)域，即不受法律保護，公眾可以自由獲取。例如，在侵權(quán)隱私的語境中，美國法院的經(jīng)典論述是：“已經(jīng)公開的材料中不可能有隱私”；〔18〕Gill v.Hearst Publishing Co., 253 P.2d 441 （1953）.在憲法隱私的語境中，美國最高法院認定，對公共領(lǐng)域個人信息的監(jiān)控不違反憲法第四修正案?！?9〕See Florida v.Jardines, 133 S.Ct.1409, 1414 （2013）.美國的信息隱私法將公開個人信息排除在外，可謂延續(xù)了美國法的一貫精神。

（三）中國對公開個人信息弱化保護

相比歐盟和美國，我國的公開個人信息保護制度具有獨特性。一方面，我國《個人信息保護法》與歐盟《一般數(shù)據(jù)保護條例》具有較高相似性，將公開個人信息視為個人信息的一部分，沒有像美國一樣將個人信息排除在保護范圍之外?！秱€人信息保護法》的起草者在釋義中指出：“處理公開個人信息，也有侵害個人信息權(quán)益的風險，應(yīng)當對處理已公開的個人信息作出必要的規(guī)范”?！?0〕楊合慶主編：《中華人民共和國個人信息保護法導讀與釋義》，中國民主法制出版社2022 年版，第62 頁。另一方面，《個人信息保護法》第13 條和第27 條對公開個人信息進行了特殊規(guī)定。第13 條將“依照本法規(guī)定在合理的范圍內(nèi)處理個人自行公開或者其他已經(jīng)合法公開的個人信息”作為處理的合法性基礎(chǔ)；第27 條對此進行再次規(guī)定，“個人明確拒絕的除外。個人信息處理者處理已公開的個人信息，對個人權(quán)益有重大影響的，應(yīng)當依照本法規(guī)定取得個人同意?！鄙鲜鲆?guī)定使我國的公開個人信息保護制度區(qū)別于歐盟。如果將公開個人信息保護的強度視為一個光譜，我國的制度大概處于歐盟和美國之間。〔21〕參見劉曉春：《已公開個人信息保護和利用的規(guī)則建構(gòu)》，載《環(huán)球法律評論》2022 年第2 期，第54-58 頁。

與此相應(yīng)，我國的公開個人信息保護制度既可以從嚴解釋，也可以從寬解釋。一方面，從嚴解釋意味著我國《個人信息保護法》僅僅為收集公開個人信息提供了告知同意之外的合法性基礎(chǔ)，并未減少其他個人信息權(quán)利保護與信息處理者義務(wù)的適用。例如，當搜索引擎收集互聯(lián)網(wǎng)網(wǎng)頁上的個人信息后，個人依然可以對搜索引擎提起刪除權(quán)、更正權(quán)等權(quán)利主張；搜索引擎仍然需要對其履行安全保障等義務(wù)。另一方面，我國的公開個人信息保護制度可以進行從寬解釋，將其理解為對個人信息處理的整體性豁免。除了在“合理的范圍”之外，“個人明確拒絕”“重大影響”等少數(shù)情形外，《個人信息保護法》中的個人信息權(quán)利與信息處理者義務(wù)的相關(guān)規(guī)定將不再適用。

三、從嚴解釋與從寬解釋的困境及其原因

我國的公開個人信息保護制度應(yīng)更類似歐盟進行從嚴解釋，還是更類似美國進行從寬解釋？對其進行分析，可以發(fā)現(xiàn)兩種解釋都存在困境，其根源在于，個人信息保護法本身就是一種治理型的法，〔22〕See Margot E.Kaminski, Binary Governance: Lessons from the GDPR’s Approach to Algorithmic Accountability, 92 S.Cal.L.Rev.1529 （2019）.這種治理型的法疊加“公開”這一因素，使公開個人信息保護更面臨不確定性。

（一）從嚴解釋的困境

如果對“公開個人信息”從嚴解釋，將其理解為仍然需要遵守一般的個人信息權(quán)利與信息處理者義務(wù)，那么會發(fā)現(xiàn)這種進路的若干困境。

首先，個人行使信息權(quán)利的渠道更難保證。當信息處理者從公開渠道收集信息時，信息處理者與個體間一般沒有直接的交互界面或溝通渠道。這與很多非公開個人信息的處理有較大差別。在常見的非公開個人信息處理過程中，信息處理者和個體往往形成一種持續(xù)性的交互關(guān)系，例如，商家與消費者、互聯(lián)網(wǎng)企業(yè)與用戶、用人單位與勞動者往往具有彼此互惠信任的長期關(guān)系?！?3〕從關(guān)系的類型來看，這種關(guān)系接近于關(guān)系型契約（relational contract）。在關(guān)系型契約中，雙方的關(guān)系主要基于長期信任關(guān)系維系，而非基于一次性、對抗性的利益關(guān)系維系。See Ian R.Macneil, Relational Contract Theory: Challenges and Queries, 94 Nw.U.L.Rev.877 （2000）.一旦此類信息處理者侵害個人信息，消費者、用戶或勞動者就可以針對相關(guān)信息處理者進行投訴或主張權(quán)利，相關(guān)信息處理者也可能進行回應(yīng)，以避免用戶流失或個體投訴?！?4〕See Kenneth A.Bamberger & Deirdre K.Mulligan, Privacy on the Books and on the Ground, 63 Stan.L.Rev.247 （2010）.但在公開個人信息處理過程中，由于缺乏交互界面或溝通渠道，個體往往難以有渠道進行此類主張，信息處理者更可能對個體主張置之不理。如此一來，個人信息保護制度中的相關(guān)信息權(quán)利就可能形同虛設(shè)，形成普遍違法的困境。

其次，一些個人信息權(quán)利的行使將更不合理。以個人信息更正權(quán)為例，當信息處理者從官方公開信息或從個人的社交網(wǎng)站上搜集信息時，一般都以原始信息為準，很難滿足個人提起的更正權(quán)主張。即使是非公開個人信息，信息處理者也很難有能力對某一個人信息進行驗證與更正；就公開個人信息而言，這種驗證與更正的難度更大。對于官方公開的個人信息，信息處理者往往更愿意相信其權(quán)威性；對于網(wǎng)絡(luò)等其他渠道公開的個人信息，信息處理者會傾向于認定這類信息得到了公眾的認可。在公開個人信息的例子中，要求信息處理者保障個人信息更正權(quán)并不合理。

最后，個人信息的保密性、非公開性等信息處理者義務(wù)難以適用于公開個人信息?！秱€人信息保護法》第9 條規(guī)定：“個人信息處理者應(yīng)當對其個人信息處理活動負責，并采取必要措施保障所處理的個人信息的安全”；第10 條規(guī)定，信息處理者“不得非法買賣、提供或者公開他人個人信息”。但就公開個人信息而言，信息處理者常常需要公開或半公開此類信息。例如，搜索引擎會公開展示其他網(wǎng)站上的個人信息，拓展公眾搜索個人信息的渠道，〔25〕See Gumzej Nina, “The Right to Be Forgotten”and the Sui Generis Controller in the Context of CJEU Jurisprudence and the GDPR, 17 Croatian Y.B.Eur.L.& Pol’y 127 （2021）.一些數(shù)據(jù)庫也會搜索網(wǎng)絡(luò)公開信息，并對用戶或會員開放。如果將此類義務(wù)都適用于公開個人信息處理，那么將導致大量常見的商業(yè)模式違法。

（二）從寬解釋的困境

如果對公開個人信息從寬解釋，將其理解為豁免告知同意之外的個人信息權(quán)利與信息處理者義務(wù)，那么也會存在若干困境。

首先，從寬解釋與我國《個人信息保護法》采取的立法模式及其原理不符。在立法模式上，我國整體與歐盟相似，不僅在保護手段上區(qū)分了隱私權(quán)與個人信息保護，而且在價值目標上對二者進行了區(qū)分，以實現(xiàn)對個人信息的有效治理?！?6〕參見丁曉東：《隱私權(quán)保護與個人信息保護關(guān)系的法理——兼論〈民法典〉與〈個人信息保護法〉的適用》，載《法商研究》2023 年第6 期，第68-69 頁。公開個人信息雖然具有特殊性，但對其進行大規(guī)模的商業(yè)化或?qū)I(yè)化處理仍然會給個人和社會帶來風險。例如，對個人自行公開的個人信息而言，如果此類信息被大規(guī)模收集、分析和制作為數(shù)據(jù)庫，并被轉(zhuǎn)賣給黑灰產(chǎn)業(yè)甚至是詐騙分子，那么此類大規(guī)模處理將系統(tǒng)地增加原本具有零散性的個人信息風險。官方公共機構(gòu)公開的個人信息亦是如此，當個體或公眾對官方記錄進行訪問時，帶來的風險也是零散性的，公眾知情權(quán)的收益要大于此類風險。如果信息處理者利用技術(shù)手段對官方記錄進行訪問與處理，那么此類風險就可能匯聚與倍增?！?7〕See Daniel J.Solove, Access and Aggregation: Public Records, Privacy and the Constitution, 86 Minn.L.Rev.1137, 1138 （2002）.即使在強調(diào)信息公開與信息自由的美國，法院也認同這一點。在有關(guān)案例中，美國最高法院指出，在“詳細搜索全國各地的法院檔案、縣檔案和地方警察局后可能發(fā)現(xiàn)的公共記錄”與“搜索某一信息交換所的計算機化摘要之間”，二者“存在巨大差異”?！?8〕U.S.DOJ v.Reporters Committee for Freedom of the Press, 489 U.S.749 （1989）.

其次，針對公開個人信息，某些個人信息權(quán)利可以作為有效的制度工具，對信息處理關(guān)系進行合理規(guī)制。以針對搜索引擎的刪除權(quán)與被遺忘權(quán)為例，搜索引擎雖然爬取的是互聯(lián)網(wǎng)上的公開信息，但對這種信息處理造成了個人信息的更廣泛傳播?！?9〕See Schauer, supra note 4, 558.特別是當搜索引擎將一些過時、私人或非必要（outdated，private，or unnecessary）的信息永久性地留存于搜索記錄時，個體針對搜索引擎行使刪除權(quán)與被遺忘權(quán)，并對其進行場景化界定，將可以有效平衡搜索引擎的信息傳播功能、公眾知情權(quán)與個體權(quán)益?！?0〕See Robert C.Post, Data Privacy and Dignitary Privacy: Google Spain, The Right To be Forgotten, and the Construction of the Public Sphere, 67 Duke L.J.981, 1057-1060 （2018）.

最后，針對公開個人信息，很多信息處理者義務(wù)或責任也有適用的必要。就安全保障而言，內(nèi)部管理制度和操作規(guī)程、分類管理、后臺的加密、去標識化措施、操作權(quán)限設(shè)置、實施個人信息安全事件應(yīng)急預(yù)案能夠降低個人信息被用于非法途徑的風險，強化對個人信息的保護。就個人信息專員而言，這一義務(wù)可以強化信息處理者對個人信息的保護，為個人與執(zhí)法機構(gòu)提供便利的溝通渠道。就合規(guī)審計與個人信息影響評估而言，這兩項義務(wù)可以有效降低個人信息處理帶來的社會風險?！?1〕See Reuben Binns, Data Protection Impact Assessments: A Meta-regulatory Approach, 7 Int’l Data Priv.L.22 （2017）.此外，公開個人信息雖然能夠為一般公眾訪問，但其后臺仍然存在泄露、篡改、丟失等風險。

（三）從嚴解釋與從寬解釋困境的原因

對公開個人信息保護的從嚴解釋和從寬解釋面臨的困境具有若干原因。

第一，就普通個人信息而言，其法律適用存在諸多不確定性。個人信息保護法的本質(zhì)是規(guī)范個人信息處理關(guān)系，〔32〕參見高富平：《個人信息處理：我國個人信息保護法的規(guī)范對象》，載《法商研究》2021 年第2 期，第76-77 頁。通過個體賦權(quán)與信息處理者責任實現(xiàn)有效治理?！?3〕參見王錫鋅：《國家保護視野中的個人信息權(quán)利束》，載《中國社會科學》2021 年第11 期，第115 頁。在目標方面，這一法律制度的目標既包括保護個人隱私、人格尊嚴等權(quán)益，又包括保證信息完整、信息質(zhì)量、個人便利、人身財產(chǎn)安全等權(quán)益。在現(xiàn)實場景方面，個人信息保護法早期主要針對公權(quán)力機關(guān)對于少量檔案類信息的處理，現(xiàn)今演變?yōu)槠髽I(yè)對海量行為類信息的高頻處理。在信息技術(shù)高速發(fā)展與多元復(fù)雜的背景下，個人信息保護中的很多制度面臨規(guī)制過寬或規(guī)制過嚴的悖論?！?4〕See Fred H.Cate & Viktor Mayer-Schonberger, Notice and Consent in a World of Big Data, 3 Int’l Data Priv.L.67 （2013）.

第二，公開個人信息的非私密性降低了其保護的必要性，但并未完全消除。一方面，公開個人信息降低了其保護需求。就個人自行公開的個人信息而言，個體對于此類信息的法律保護期待相對較低，無論其中的隱私性權(quán)益，還是個人信息的準確真實性，個人在自行公開之初都有合理預(yù)期，社會對此類信息也有合理獲取與傳播的預(yù)期?！?5〕隱私合理預(yù)期的理念首先在憲法隱私領(lǐng)域被確立，其后在數(shù)據(jù)隱私等領(lǐng)域也產(chǎn)生了影響。See Katz v.United States, 389 U.S.347, 351 （1967）; Brian J.Serr, Great Expectations of Privacy: A New Model for Fourth Amendment Protection, 73 Minn.L.Rev.583,597-98 （1988-1989）.在國外有關(guān)案例中，有法官將個人在社交網(wǎng)絡(luò)上發(fā)布的信息類比為“在窗口向外尖叫，個人對隱私?jīng)]有合理期待”，“這與私人電子郵件、私人直接消息、私人聊天或任何其他現(xiàn)成的通過互聯(lián)網(wǎng)進行私人對話的方式都不一樣”?！?6〕People v.Harris, 949 N.Y.S.2d 590, 595 （Crim.Ct.2012）.就通過公共檔案或其他合法途徑公開的個人信息而言，在公開之初就已經(jīng)對個體權(quán)益與公共利益進行過衡量，〔37〕參見張新寶、魏艷偉：《司法信息公開的隱私權(quán)和個人信息保護研究》，載《比較法研究》2022 年第2 期，第104 頁。如果此類檔案中的個人信息未進行匿名化，那么說明公共機構(gòu)認為公眾的知情權(quán)具有優(yōu)先性。如果此類檔案中的個人信息存在錯誤，那么個體應(yīng)該先向公共機構(gòu)申請更正。另一方面，公開個人信息保護的需求仍然存在，當公開個人信息被大規(guī)模收集與利用時，公開個人信息處理就可能成為侵害各類權(quán)益的風險“放大器”?！?8〕See Helen Nissenbaum, Toward an Approach to Privacy in Public: Challenges of Information Technology, 7 Ethics & Behav.207, 208 （1997）.例如，當網(wǎng)絡(luò)公開個人信息被系統(tǒng)性收集和利用，轉(zhuǎn)賣給第三方時，這類信息一旦落入犯罪分子手中，就會成為電信詐騙等各類犯罪活動的幫手。個人信息保護制度的一大特征是防止“大規(guī)模微型侵權(quán)”，〔39〕參見王利明、丁曉東：《論〈個人信息保護法〉的特色、亮點與適用》，載《法學家》2021 年第6 期，第12-13 頁。公開個人信息雖然有特殊性，但對其進行大規(guī)模處理仍然具有這一特征。

第三，在公開個人信息的收集與利用中，信息處理者與個人往往缺乏聯(lián)系與紐帶，這增強了公開個人信息保護的必要性。在一般情況下，信息處理關(guān)系常常是消費者關(guān)系、勞動關(guān)系、網(wǎng)絡(luò)用戶服務(wù)關(guān)系、公共服務(wù)關(guān)系的一部分。只有依附一定的關(guān)系，信息處理者才具有獲得個人信息的渠道，而此類渠道或關(guān)系也為個人信息保護提供了內(nèi)生動力。就個體而言，個人信息被收集利用常常是服務(wù)所需，或者是在服務(wù)過程中產(chǎn)生的需求，個體對信息處理者往往有一定的信任和期待，對于產(chǎn)生的侵權(quán)行為，個體也有較為直接的溝通投訴渠道；就信息處理者而言，信息處理者為了贏得用戶信任和避免被投訴，往往有動力保護個人信息，維持雙方共贏。

在很多公開個人信息處理的場景中，信息處理者與個人不存在服務(wù)或持續(xù)性的交互關(guān)系，雙方往往缺乏信任。就個體而言，個體常常難以找到溝通渠道，提起信息權(quán)利主張或進行投訴；就信息處理者而言，信息處理者往往不太在意被收集對象的權(quán)益。例如，在征信等場景中，征信企業(yè)從公共空間或第三方收集個人信息，但其服務(wù)對象是銀行等機構(gòu)，因此征信機構(gòu)并不熱心回應(yīng)個人投訴與舉報。只要此類投訴與舉報不影響其業(yè)務(wù)，征信機構(gòu)就選擇無視個人的權(quán)利主張。

四、特殊性規(guī)定的合理界定

針對個人信息保護的特點與公開個人信息的特殊性，可以對公開個人信息保護制度進行合理界定。應(yīng)將公開個人信息視為特殊類型進行保護，而非對其進行一般性豁免。不過，鑒于公開個人信息的非私密性與非交互性特征，應(yīng)當結(jié)合個人信息保護制度的基本原理進行分析。本部分分析我國《個人信息保護法》對公開個人信息的特殊性規(guī)定，下一部分將分析《個人信息保護法》中其他制度的適用。

（一）對“公開個人信息”的界定

《個人信息保護法》并未對“公開個人信息”進行明確界定，僅規(guī)定了自行公開與合法公開兩類公開個人信息。對公開個人信息的范圍進行界定，需要認識到個人信息的公開與非公開不是非此即彼，〔40〕所有公開個人信息都是相對的。See Helen Nissenbaum, Privacy as Contextual Integrity, 79 Wash.L.Rev.119, 120-21 （2004）.而是“多維的、連續(xù)的和相對的、流動的和情境的或上下文的，其含義在于如何解釋和界定。”〔41〕Gary T.Marx, Murky Conceptual Waters: The Public and the Private, 3 Ethics & Info.Tech.157, 157 （2001）.例如，新聞媒體報道的個人信息往往公開性非常強，互聯(lián)網(wǎng)上的微博、X（Twitter）等具有一定公共性的社交網(wǎng)絡(luò)中的個人信息公開性也相對較強。相對而言，微信朋友圈、小范圍的微信群的公開性相對較弱。線下的情形也是如此，大型廣場、商業(yè)街、商場的公開性相對較強，咖啡館、教室、酒吧的公開性相對較弱。同時，位置與場所也并不完全決定個人信息的公開性與非公開性。例如，一條普通的商業(yè)街與北京三里屯、成都太古里這類經(jīng)常被街拍的商業(yè)街相比，公開性可能也不相同?！?2〕對于僅憑位置/場所界定公開與否的批判。See Diane L.Zimmerman, Requiem for a Heavyweight: A Farewell to Warren and Brandeis’s Privacy Tort, 68 Cornell L.Rev.291, 347 （1983）.此外，還需要認識到，即使是公開個人信息，個人也可能對于其保護具有期待。例如，個人的人臉信息、步行姿態(tài)等信息可能都會暴露在公開場所，信息處理者可以進行合法街拍、航拍和公共視頻監(jiān)控，如果在未經(jīng)個人同意的情形下利用技術(shù)進行人臉識別與步態(tài)識別，那么就可能對個人權(quán)益造成侵害。〔43〕美國數(shù)據(jù)隱私法雖然將公開個人信息排除在個人信息保護范圍之外，但有的州仍將可公開獲得的生物類信息視為個人信息，例如，CPRA 規(guī)定：“‘公開可用’并不意味著企業(yè)有權(quán)在消費者不知情的情況下收集有關(guān)消費者的生物特征信息”。參見《加利福尼亞州民法典》1798.140.V（1）（L）.

在隱私權(quán)法的框架內(nèi)，公開個人信息的保護面臨爭議。沃倫（Samuel Warren）與布蘭代斯（Louis Brandeis）將隱私侵權(quán)界定為“個人獨處的權(quán)利”。〔44〕See Samuel D.Warren & Louis D.Brandeis, The Right to Privacy, 4 Harv.L.Rev.193 （1890）.但公開與非公開的界限常常難以界定。例如，有的個人信息僅在朋友間或小范圍內(nèi)公開，有的信息雖然已經(jīng)在小社區(qū)公開，但被新聞媒體報道后，仍然對個人隱私產(chǎn)生了較大沖擊?！?5〕此類情形往往涉及個人權(quán)益與公共知情權(quán)或言論自由的平衡。See Neil Richard, Reconciling Data Privacy and the First Amendment, 52 UCLA L.Rev.1145 （2005）.隨著法律實踐的發(fā)展與學術(shù)研究的深化，隱私法研究的專家逐漸認識到，應(yīng)當放棄對公開性的物理性與單一性界定，轉(zhuǎn)而以理性個體或社會的合理預(yù)期來判斷個人信息的私密性與公開性。例如，羅伯特·波斯特指出，對于隱私的邊界應(yīng)以社會的合理預(yù)期、結(jié)合“社會規(guī)范”（social norms）進行理解，避免將其理解為某種獨立的無力空間?！?6〕See Robert C.Post, The Social Foundations of Privacy: Community and the Self in the Common Law Tort, 77 Calif.L.Rev.957（1989）.

在個人信息保護制度的框架中，個人信息的公開性也可以通過理性個體或社會合理預(yù)期進行理解。如果理性個體對某一個人信息不具有合理的保護期待，那么該信息可以被視為公開個人信息，適用相關(guān)特殊制度；相反，該信息應(yīng)當被視為非公開個人信息，適用個人信息保護的一般制度。不過需要強調(diào)的是，理性個體的合理預(yù)期應(yīng)當以社會客觀性的標準來看待。例如，個人在微博上公開發(fā)布自己的信息，就不能預(yù)期該信息不被陌生人搜索到。在域外的案件中，有人在自己的博客空間發(fā)表日記，誤認為博客空間只為自己所見，還有人創(chuàng)建了地址極為復(fù)雜的個人網(wǎng)頁，誤認為這一網(wǎng)址不能被任何人知曉，但其網(wǎng)站信息都可被搜索引擎搜到。在此類情形下，法院無一例外地認定，合理預(yù)期應(yīng)當以理性人或社會的客觀標準進行判斷，而不能以個人的主觀標準進行判斷?！?7〕在美國的公開個人信息界定中，很多州的立法都以信息處理者的合理預(yù)期，而非個體的合理預(yù)期為判斷標準。例如，《康涅狄格州數(shù)據(jù)隱私法》規(guī)定，公開個人信息是指“控制人有合理的依據(jù)相信消費者已合法向公眾提供的信息”。See Connecticut Data Privacy Act, Section 1.（25）.一旦博客或個人網(wǎng)站接入互聯(lián)網(wǎng)，這類網(wǎng)站信息就應(yīng)當被社會認定為可以合法訪問的空間?！?8〕See Moreno v.Hanford Sentinel Inc., 91 Cal.Rptr.3d 858, 862-63 （Ct.App.2009）

（二）對“合理的范圍內(nèi)”的界定

《個人信息保護法》第13 條與第27 條規(guī)定的“合理的范圍內(nèi)”與個人信息處理原則特別是必要性原則密切相關(guān)?！?9〕參見王海洋、郭春鎮(zhèn)：《公開的個人信息的認定與處理規(guī)則》，載《蘇州大學學報（法學版）》2021 年第4 期，第65-66 頁；王冉冉：《已公開的個人信息的合理使用及其縮限》，載《現(xiàn)代法學》2023 年第4 期，第49-53 頁。必要性原則指對個人信息的處理以必要為限，不得超過合理的限度。必要性原則又包括“目的明確”與“最小化處理”原則，前者指個人信息的處理應(yīng)當有明確或特定目的，對個人信息的處理不能夠違反該初始目的，后者指對個人信息的處理應(yīng)當為了實現(xiàn)數(shù)據(jù)處理目的必要的、應(yīng)當采取對個人權(quán)益影響最小的方式。我國《個人信息保護法》雖然允許處理公開個人信息，但顯然希望這種處理仍然遵守一定的個人信息處理原則，特別是不能超出必要性原則。

個人信息處理的必要性原則本身就具有較大彈性。如果按最嚴格理解，那么個人信息的處理目的必須非常特定具體，個人信息處理必須和這一目的嚴格一致。但這種理解也被認為與現(xiàn)代個人信息處理的特點不一致。〔50〕See Tal Z.Zarsky, Incompatible: The GDPR in the Age of Gig Data, 47 Seton Hall L.Rev.995 （2016）.現(xiàn)代數(shù)字經(jīng)濟常常需要對個人信息進行融合與二次分析，為用戶提供更好的服務(wù)，發(fā)揮大數(shù)據(jù)的效用。因此，不少國家和地區(qū)都對必要性原則進行了與時俱進的解釋。例如，英國信息委員會辦公室（ICO）將“必要性”界定為根據(jù)“公平性”原則來解釋目的限定與數(shù)據(jù)最小化原則?！?1〕See UK Information Commissioner’s Oきce, Big data, Artificial Intelligence, Machine Learning and Data Protection, 37-39（2017）, available at: https://ico.org.uk/media/for-organisations/documents/2013559/big-data-ai-ml-and-data-protection.pdf.

公開個人信息處理的必要性原則更應(yīng)進一步限定。應(yīng)當從社會風險預(yù)防的角度對“合理的范圍內(nèi)”進行理解，將其解釋為在此范圍內(nèi)的處理不會帶來不成比例和難以預(yù)期的社會風險。公開個人信息之所以被個人信息保護制度納入保護范圍，而非像侵權(quán)隱私不受保護，是因為個人信息保護制度關(guān)注大規(guī)模個人信息處理的社會風險?！?2〕參見梅夏英：《社會風險控制抑或個人權(quán)益保護——理解個人信息保護法的兩個維度》，載《環(huán)球法律評論》2022 年第1 期，第5-6 頁。對于不會顯著增加社會風險的個人信息處理，信息處理者可以對其進行二次利用。例如，利用公開個人信息進行人工智能訓練，此類處理能夠促進人工智能的發(fā)展，減少人工智能中的偏見與歧視，應(yīng)當將其視為在合理范圍內(nèi)的處理?！?3〕See Mark A.Lemley & Bryan Casey, Fair Learning, 4 Tex.L.Rev.99 （2023）；丁曉東：《論人工智能促進型的數(shù)據(jù)制度》，載《中國法律評論》2023 年第6 期，第175 頁。搜索引擎對公開個人信息的利用與傳播，屬于社會與行業(yè)普遍接受的商業(yè)模式，也應(yīng)視為合理范圍內(nèi)的處理。但如果信息處理者在收集公開個人信息后，將公開個人信息制作成檔案類數(shù)據(jù)庫并轉(zhuǎn)售給沒有具體業(yè)務(wù)、沒有信息去標識化機制的第三方，那么此類信息處理應(yīng)被視為超出了“合理的范圍內(nèi)”的規(guī)定?！?4〕在刑法上，侵犯個人信息罪也應(yīng)從社會風險預(yù)防的角度進行分析，而非從個人信息的數(shù)量上進行考慮。參見周光權(quán)：《侵犯公民個人信息罪的行為對象》，載《清華法學》2021 年第3 期，第25-40 頁；王華偉：《已公開個人信息的刑法保護》，載《法學研究》2022 年第2 期，第191-208 頁；劉憲權(quán)：《擅自處理公開的個人信息行為的刑法認定》，載《中國應(yīng)用法學》2022 年第5 期，第20-33 頁；江海洋：《論數(shù)字時代個人信息的刑法保護路徑選擇》，載《當代法學》2023 年第5 期，第88-99 頁。此類情形沒有利用公開個人信息處理帶來額外的社會福利，反而大幅增加了個人信息被用于非法活動的風險。

（三）對“對個人權(quán)益有重大影響”的界定

就“對個人權(quán)益有重大影響”而言，應(yīng)以理性人或社會的合理預(yù)期作為判斷標準對其進行理解，將其解釋為專業(yè)和理性個體或社會預(yù)期可能產(chǎn)生的影響。

第一，對重大影響的判斷應(yīng)當是專業(yè)和理性個體或社會的客觀性判斷，不是非專業(yè)個體的主觀性判斷。對于個人信息可能帶來的風險或影響，個人的主觀判斷可能相差甚遠。對風險厭惡（risk-averse）和較為敏感的個體而言，他們會將很多個人信息處理視為對個人權(quán)益有重大影響；相反，對愛好冒險（risk-seeking）的個體而言，他們會對個人信息處理持開放態(tài)度，甚至可能樂見自己的個人信息被處理和廣泛傳播。〔55〕See Sarah Spiekermann et al., Online Social Networks: Why We Disclose, 25 J.Info.Tech.109.如果僅從個體主觀意愿出發(fā)，那么信息處理者仍然需要獲取所有公開個人信息主體的同意，這將導致公開個人信息的特殊規(guī)定形同虛設(shè)。

第二，對重大影響的判斷應(yīng)當基于產(chǎn)生重大影響的社會預(yù)期和概率，而非對個體產(chǎn)生的已有影響。從社會預(yù)期和概率角度進行判斷，可以為重大影響的判斷提供較為客觀的判斷標準。反之，如果從已經(jīng)發(fā)生的個體影響結(jié)果倒推重大影響，那么任何個人信息處理都可能對個人權(quán)益產(chǎn)生重大影響，這將造成公開個人信息處理的普遍違規(guī)。以搜索引擎為例，搜索引擎處理公開個人信息帶來的預(yù)期性社會風險與概率屬于可接受范圍。如果從個體已經(jīng)發(fā)生的結(jié)果來看，那么很多侵權(quán)甚至犯罪行為可能都使用過搜索引擎，但并不能因此認定搜索引擎的公開個人信息處理也需要獲得個人同意。

（四）對“個人明確拒絕”的界定

“個人明確拒絕”應(yīng)充分考慮信息處理者對其進行識別的可能性與成本，不能僅憑個體意愿進行判斷。如上文所述，公開個人信息處理的一個重要特征是，信息處理者很多時候從公共場所獲取個人信息，與個人往往缺乏交互場景。因此，信息處理者往往難以像網(wǎng)站、App、科技產(chǎn)品那樣，可以提供用戶同意或拒絕的個性化界面。當缺乏交互場景與界面時，信息處理者對個人意愿進行辨認的難度和成本就會非常高。例如，當個體在公共場所穿上“拒絕視頻監(jiān)控”的衣服時，雖然清晰地表達了個人明確拒絕信息處理的意愿，但并不能認定此時的公共監(jiān)控違法。同樣，當個人在微博或網(wǎng)絡(luò)空間公開個人信息時，在文字中標明此類信息不能被搜索引擎處理，此時個體的意愿也不能阻止搜索引擎的處理。無論是公共視頻監(jiān)控還是搜索引擎，都很難針對個體的意愿進行辨識。

當信息處理者可以利用技術(shù)較為容易地識別特定個體的聲明或意愿時，應(yīng)尊重個體意愿。例如，當信息處理者獲取的公開個人信息是類似數(shù)據(jù)庫的結(jié)構(gòu)化數(shù)據(jù)時，〔56〕結(jié)構(gòu)化數(shù)據(jù)是高度組織化的，容易被機器學習算法閱讀的數(shù)據(jù)，常常以數(shù)據(jù)庫的方式存在。用戶可以快速輸入、搜索和操作結(jié)構(gòu)化數(shù)據(jù)。非結(jié)構(gòu)化數(shù)據(jù)則相反，無法通過傳統(tǒng)的數(shù)據(jù)工具和方法進行處理和分析。其類型常常包括各類辦公文檔、XML、HTML、圖片和音頻、視頻信息等。如果其中包含了個體拒絕處理的標簽，那么應(yīng)當禁止信息處理者對其進行處理。因為對于此類數(shù)據(jù)處理，信息處理者可以利用自動化技術(shù)措施進行篩選和判斷。又如，當個人自建網(wǎng)站并在其網(wǎng)站機器人（robot）協(xié)議中明確拒絕對其網(wǎng)站信息進行處理時，信息處理者也應(yīng)將此類機器人協(xié)議視為個人明確拒絕的聲明，尊重個體意愿。

此外，信息處理者針對公開個人信息收集的告知義務(wù)不能一概免除?！?7〕參見程嘯：《論公開的個人信息處理的法律規(guī)制》，載《中國法學》2022 年第3 期，第93 頁。當此類收集違反理性個體或社會的一般合理預(yù)期時，信息處理者應(yīng)當進行告知。例如，當商家或物業(yè)在某些地段安裝攝像頭時，應(yīng)當在適當?shù)攸c張貼告示，減少此類視頻監(jiān)控對個人信息的侵犯。不過，此類告知義務(wù)應(yīng)當是一種合理提示義務(wù)，而非確保每個個體充分知情，因為要求信息處理者對每個個體都進行充分告知，既不現(xiàn)實也不合理。信息處理者不僅不可能觸達每個個體，而且當信息處理者試圖觸達個體時，就需要去聯(lián)系與識別個人，這種努力只會導致信息處理者進一步侵犯個人隱私與生活安寧。

五、個人信息權(quán)利與處理者義務(wù)的合理界定

個人信息權(quán)利與處理者義務(wù)是個人信息保護制度的兩大核心。對于公開個人信息，信息處理者在遵循上一部分提到的特殊性規(guī)定合法收集后，需要分析如何適用這兩大核心制度。

（一）“個人信息權(quán)利”的限縮性解釋

就個人信息權(quán)利而言，在公開個人信息的背景下對其進行解釋應(yīng)當避免絕對化，并在整體上進行限縮性解釋。

第一，個人信息權(quán)利本身就具有程序性或請求權(quán)的性質(zhì)，〔58〕See Meg Leta Jones & Margot E.Kaminski, An American’s Guide to the GDPR, 98 Den.L.Rev.93 （2021）.即使對于非公開個人信息，個人信息權(quán)利也并非絕對。個人信息權(quán)利的行使不僅常常面臨一定的難度和成本，而且可能對相關(guān)主體的權(quán)益造成威脅?！?9〕See Daniel J.Solove, The Limitations of Privacy Rights, 98 Notre Dame L.Rev.975 （2023）.以個人信息查閱復(fù)制權(quán)、更正補充權(quán)、刪除權(quán)為例，這些權(quán)利對于非結(jié)構(gòu)化的圖片和音頻、視頻信息類數(shù)據(jù)，常常很難實現(xiàn)。圖片和音頻、視頻信息常常包含他人信息，很難單獨提取個人信息，更難對其更正補充和刪除。因此，即使是非公開個人信息，也應(yīng)當將個人信息權(quán)利視為一種“溝通治理型”權(quán)利，在具體場景中界定其邊界。所謂“溝通治理型”權(quán)利，即個人信息權(quán)利是一種工具性、程序性、治理性權(quán)利，而不是絕對性、實體性權(quán)利。這種權(quán)利的特點在于監(jiān)督與激勵信息處理者落實合規(guī)政策，促進信息處理者更好地保護個人權(quán)益?！?0〕參見丁曉東：《個人信息權(quán)利的反思與重塑：論個人信息保護的適用前提與法益基礎(chǔ)》，載《中外法學》2020 年第2 期，第341-348 頁。

第二，公開個人信息整體弱化了個人信息權(quán)利的可行性。信息處理者往往通過公共領(lǐng)域或第三方收集公開個人信息，這造成了個體行使權(quán)利的困難。個人不但缺乏提起權(quán)利主張的交互界面，而且很可能在提起權(quán)利主張后沒有回音。例如，在美國征信機構(gòu)對公開個人信息收集的背景下，雖然美國立法規(guī)定了個體的更正權(quán)等法定權(quán)利，但當個體發(fā)現(xiàn)征信機構(gòu)收集的其公開個人信息存在錯誤并提起更正權(quán)請求時，征信機構(gòu)往往置之不理?！?1〕參見丁曉東：《從個體救濟到公共治理：論侵害個人信息的司法應(yīng)對》，載《國家檢察官學院學報》2022 年第5 期，第107 頁。征信機構(gòu)之所以如此行事，是因為其交易對象是銀行等第三方機構(gòu)，征信機構(gòu)和被收集對象并沒有直接交互關(guān)系。這與非公開個人信息常常涉及的消費者、勞動者或互聯(lián)網(wǎng)場景下的關(guān)系具有顯著差異?！?2〕參見武騰：《個人信息積極利用的類型區(qū)分與合同構(gòu)造》，載《法學》2023 年第6 期，第75-76 頁。當個人的電商交易信息被互聯(lián)網(wǎng)企業(yè)收集時，電商企業(yè)常常提供個人交易記錄、支付記錄的查詢、刪除選項。此類信息處理關(guān)系不僅具有較為便利的交互界面，而且信息處理者更在意用戶的體驗。

第三，公開個人信息弱化了個人信息權(quán)利的必要性。個人信息一經(jīng)公開，就可能被不特定的主體收集和傳播，因此個人在自行公開或公共機構(gòu)合法公開個人信息前，就已經(jīng)對相關(guān)風險進行過衡量，且能預(yù)計到其信息被不特定的主體進行處理。在個人已經(jīng)有較強預(yù)期的前提下，應(yīng)當整體上對公開信息處理的風險自負其責。更何況，大量對個人信息進行收集、利用和傳播的主體是普通自然人，這類主體不具有自動化、非自動化或結(jié)構(gòu)性處理個人信息的能力，本來就不適用個人信息保護法?！?3〕參見彭誠信：《論個人信息權(quán)與傳統(tǒng)人格權(quán)的實質(zhì)性區(qū)分》，載《法學家》2023 年第4 期，第150-151 頁。即使個人針對信息處理者行使相關(guān)權(quán)利，也無法禁止非信息處理主體對公開個人信息進行收集、利用和傳播。整體而言，利用個人信息權(quán)利保障公開個人信息，其必要性將大大降低。

當然，在少數(shù)情形下，針對公開個人信息的信息權(quán)利應(yīng)當強化。上文已經(jīng)提到，如果個人信息位于互聯(lián)網(wǎng)平臺的公共空間，而且被收集與利用后仍然位于平臺，那么個人針對此類信息的轉(zhuǎn)移權(quán)或攜帶權(quán)應(yīng)當強化。個人訪問其位于公開網(wǎng)絡(luò)平臺上的數(shù)據(jù)，不會給平臺帶來額外負擔。保障此類場景中的個人信息攜帶權(quán)還能在一定程度上矯正個人與平臺在信息利用能力上的不平等，促進數(shù)據(jù)公平利用?！?4〕如果考慮到用戶的數(shù)據(jù)公平訪問利用權(quán)，則更應(yīng)當保證這一權(quán)利的實現(xiàn)。參見丁曉東：《數(shù)據(jù)公平利用的法理反思與制度重構(gòu)》，載《法學研究》2023 年第2 期，第21 頁。在技術(shù)可行與生態(tài)兼容的情形下，個人應(yīng)當可以訪問與利用其個人信息，并要求第三方平臺接收其信息。平臺也無權(quán)通過用戶協(xié)議排除此種權(quán)利，即使個人違反用戶協(xié)議，平臺也無權(quán)向個體追究違約責任?！?5〕平臺公開個人信息的轉(zhuǎn)移，還可能涉及競爭秩序與侵權(quán)問題。參見楊芳：《個人公開信息爬取中侵權(quán)法與競爭法的互動》，載《中國法律評論》2022 年第6 期，第143 頁。

（二）信息處理者義務(wù)的整體維持

信息處理者對公開個人信息處理的義務(wù)應(yīng)當維持不變。例如，就《個人信息保護法》第51 條規(guī)定的義務(wù)而言，信息處理者制定內(nèi)部管理制度和操作規(guī)程、對個人信息實行分類管理、采取相應(yīng)的加密、去標識化等安全技術(shù)措施；合理確定個人信息處理的操作權(quán)限，定期對從業(yè)人員進行安全教育和培訓；制定并組織實施個人信息安全事件應(yīng)急預(yù)案，有利于保障公開個人信息的安全、預(yù)防相關(guān)風險。同樣，對第52 條確立的個人信息專人保護制度、第53 條規(guī)定的境外個人信息處理者設(shè)立專門機構(gòu)或者指定代表、第54 條規(guī)定的合規(guī)審計、第55 條規(guī)定的個人信息保護影響評估，也應(yīng)要求信息處理者履行此類義務(wù)。

信息處理者義務(wù)維持不變，其原理在于個人信息保護制度對微型風險大規(guī)模積聚的防范。個人信息保護制度之所以設(shè)置信息處理者義務(wù)，而非僅僅依賴于個人同意與相關(guān)個人信息權(quán)利，是因為個人信息保護需要防范信息處理的群體風險或社會風險。即使個體愿意自負風險，信息處理者仍然需要采取措施積極預(yù)防與消除此類風險，況且面對現(xiàn)代科技的發(fā)展，以個體信息自決為基礎(chǔ)面臨越來越多的挑戰(zhàn)，〔66〕See Neil Richards & Woodrow Hartzog, The Pathologies of Digital Consent, 96 Wash.U.L.Rev.1461（2019）.信息處理者的義務(wù)與責任變得愈加重要。公開個人信息雖然有其特殊性，例如，其私密性顯著降低，個人對于公開個人信息更具有自主風險防范意識，但這些特征沒有改變信息處理者進行大規(guī)模處理帶來的風險匯聚問題?！?7〕See Solove, supra note 27, Access and Aggregation, at 1138.如果將個人信息處理類比為水庫中的水滴匯聚，將單條個人信息類比為經(jīng)過凈化的水滴，那么對于清潔水滴在水庫匯聚后，仍然可能產(chǎn)生各類環(huán)境與生態(tài)反應(yīng)，水庫仍然需要承擔相關(guān)環(huán)境保護與風險預(yù)防責任?！?8〕See Omri Ben-Shahar, Data Pollution, 11 J.Legal Analysis 104 （2019）.

有的信息處理者義務(wù)應(yīng)該弱化，甚至豁免。例如，對于個人信息出境的相關(guān)規(guī)定，互聯(lián)網(wǎng)公開個人信息的出境應(yīng)當豁免相關(guān)義務(wù)。信息處理者應(yīng)不需要履行《個人信息保護法》第38 條規(guī)定的“國家網(wǎng)信部門組織的安全評估”“個人信息保護認證”或按“標準合同與境外接收方訂立合同”義務(wù)，第39 條規(guī)定的獲得“個人的單獨同意”義務(wù)，以及第55 條規(guī)定的個人信息保護影響評估義務(wù)。因為對互聯(lián)網(wǎng)上的公開個人信息而言，境外信息處理者可以自由無障礙地獲取，設(shè)立此類義務(wù)既不現(xiàn)實，也無必要。此外，當相關(guān)個人信息處理具有“正當利益”，〔69〕在我國制定《個人信息保護法》時，正值我國個人信息亟待規(guī)范之際，因此我國立法者并未像歐盟立法者一樣，將信息處理者的“正當利益”列為處理個人信息的合法性基礎(chǔ)。但從個人信息保護法的基本原理來看，信息處理者的正當利益應(yīng)當被視為個人信息處理的合法性基礎(chǔ)。關(guān)于作為合法性基礎(chǔ)的“正當利益”條款的分析，參見易磊：《歐盟法中個人數(shù)據(jù)保護與商業(yè)利用的平衡模式研究》，載《德國研究》2022 年第5 期，第87-88 頁。屬于公共利益或企業(yè)發(fā)展所必需時，如果相關(guān)信息處理方式?jīng)]有不成比例地增加有關(guān)風險，那么相關(guān)處理都應(yīng)被視為合法。例如，對于互聯(lián)網(wǎng)的公開個人信息，搜索引擎對其進行搜索、儲存和公開，不應(yīng)將其視為泄露個人信息。

六、結(jié)語

就公開個人信息保護制度而言，形成了以美國為代表的公開個人信息一般豁免、以歐盟為代表的公開個人信息同等保護，以及以我國為代表的公開個人信息特殊保護制度。各個國家和地區(qū)的法律制度之所以不同，是因為其法律框架與基礎(chǔ)理論不同。美國采取“大隱私”的框架，更多支持個人的自負其責與信息的共享流通，歐盟針對自動化、半自動化或結(jié)構(gòu)化處理個人信息制定個人信息保護制度，因此整體并不區(qū)分公開個人信息與非公開個人信息。我國采取了美國與歐盟的中間道路，在允許公開個人信息自由處理的同時，通過相關(guān)規(guī)定對自由處理進行了限定。筆者認為，我國的公開個人信息保護制度在整體具有更高合理性的同時，需要對相關(guān)原理進行進一步闡述，對相關(guān)制度進行進一步界定。

具體而言，在原理層面公開個人信息具有若干特點。其一，公開個人信息為個人自行公開或通過公共機構(gòu)合法公開，因此在公開環(huán)節(jié)，個人或公共機構(gòu)就已經(jīng)對相關(guān)風險進行了權(quán)衡，這為公開個人信息的處理提供了更強的合理性，也進一步削弱了本來就存在困境的個人信息個體控制論?！?0〕個人自行公開與通過公共機構(gòu)合法公開仍然存在一定差別，本文認為，法律對于后者的保護應(yīng)當比前者更嚴格，因為個人自行公開時，個人的權(quán)衡應(yīng)當包括個人信息的被應(yīng)用于不特定用途，而后者則是基于特定目的的公開，個人信息公開的目的與其未來被處理的場景可能存在較大區(qū)別。參見齊英程：《已公開個人信息處理規(guī)則的類型化闡釋》，載《法制與社會發(fā)展》2022 年第5 期，第216-219 頁。其二，個人信息保護制度主要針對個人信息的匯聚性風險，個人信息雖然自行公開或合法公開，但并未完全消除對其保護的必要性。就此而言，個人信息保護制度尤其是其中的信息處理者義務(wù)仍然具有重要意義。其三，信息處理者對公開個人信息的收集利用往往從公共領(lǐng)域或第三方獲取，信息處理者與個體往往缺乏溝通界面與信任互惠關(guān)系。就此而言，法律針對公開個人信息保護的必要性反而有所增強。

在制度層面，我國的公開個人信息豁免制度應(yīng)當主要限定在個人信息收集環(huán)節(jié)。在信息收集環(huán)節(jié)，應(yīng)當允許信息處理者不必經(jīng)過告知同意?！?1〕參見張薇薇：《公開個人信息處理的默認規(guī)則——基于〈個人信息保護法〉第27 條第1 分句》，載《法律科學》2023 年第3 期，第73-75 頁；寧園：《“個人信息已公開”作為合法處理事由的法理基礎(chǔ)和規(guī)則適用》，載《環(huán)球法律評論》2022 年第2 期，第81-84 頁。對于何謂公開個人信息，以及何謂《個人信息保護法》規(guī)定的“在合理的范圍內(nèi)”“個人明確拒絕的除外”“對個人權(quán)益有重大影響”，應(yīng)當以理性個體或社會的合理預(yù)期、結(jié)合信息處理的技術(shù)可行性與社會風險進行界定，避免以個體主觀感受為判斷標準。在個人信息收集之后，針對公開個人信息的個人信息權(quán)利與信息處理者義務(wù)仍然適用。不過個人信息權(quán)利應(yīng)當整體弱化，只有極少數(shù)情形才應(yīng)強化某些信息權(quán)利，例如，針對互聯(lián)網(wǎng)公開個人信息的攜帶權(quán)。信息處理者義務(wù)應(yīng)當整體維持不變，但也應(yīng)當弱化或豁免個人信息出境、個人信息公開等義務(wù)。