●丁曉東

一、問(wèn)題的提出

公開(kāi)個(gè)人信息的法律保護(hù)一直是難題與爭(zhēng)議焦點(diǎn)。一方面，有觀點(diǎn)認(rèn)為，公開(kāi)個(gè)人信息位于公共領(lǐng)域，不需要對(duì)其進(jìn)行保護(hù)?！?〕See Heidi Reamer Anderson, The Mythical Right to Obscurity: A Pragmatic Defense of No Privacy in Public, 7 J.L.Pol’y for Info.Soc’y 543, 549 （2012）; Robert G.Larson III, Note, Forgetting the First Amendment: How Obscurity-Based Privacy and a Right to Be Forgotten Are Incompatible with Free Speech, 18 Comm.L.& Pol’y 91, 112 （2013）; Jane E.Kirtley, Misguided in Principle and Unworkable in Practice: It Is Time to Discard the Reporters Committee Doctrine of Practical Obscurity （and Its Evil Twin, the Right to Be Forgotten）, 20 Comm.L.& Pol’y 91, 109 （2015）.例如，對(duì)學(xué)校網(wǎng)站上的教師信息而言，任何網(wǎng)民都可以自由訪問(wèn)與復(fù)制；人們?cè)趶V場(chǎng)、街道和景點(diǎn)拍攝的照片中如果包含他人肖像，一般不需要進(jìn)行模糊化處理。另一方面，有觀點(diǎn)認(rèn)為，公開(kāi)個(gè)人信息的大規(guī)模處理會(huì)帶來(lái)風(fēng)險(xiǎn)，應(yīng)當(dāng)受到個(gè)人信息保護(hù)法的保護(hù)?！?〕See Jonathan B.Mintz, The Remains of Privacy’s Disclosure Tort: An Exploration of the Private Domain, 55 Md.L.Rev.425, 440-41 （1996）; Daniel J.Solove, The Digital Person: Technology and Privacy in the Information Age 97-100 （2006）; Erin B.Bernstein,Health Privacy in Public Spaces, 66 Ala.L.Rev.989, 993 （2015）.針對(duì)公開(kāi)個(gè)人信息，我國(guó)《個(gè)人信息保護(hù)法》第13 條第（六）項(xiàng)規(guī)定：“依照本法規(guī)定在合理的范圍內(nèi)處理個(gè)人自行公開(kāi)或者其他已經(jīng)合法公開(kāi)的個(gè)人信息”，個(gè)人信息處理者可以處理個(gè)人信息。第27 條進(jìn)一步規(guī)定：“個(gè)人信息處理者可以在合理的范圍內(nèi)處理個(gè)人自行公開(kāi)或者其他已經(jīng)合法公開(kāi)的個(gè)人信息；個(gè)人明確拒絕的除外。個(gè)人信息處理者處理已公開(kāi)的個(gè)人信息，對(duì)個(gè)人權(quán)益有重大影響的，應(yīng)當(dāng)依照本法規(guī)定取得個(gè)人同意”?！睹穹ǖ洹穼?duì)行為人不承擔(dān)民事責(zé)任進(jìn)行了類(lèi)似規(guī)定，第1036 條第（二）項(xiàng)規(guī)定：“合理處理該自然人自行公開(kāi)的或者其他已經(jīng)合法公開(kāi)的信息，但是該自然人明確拒絕或者處理該信息侵害其重大利益的除外”。

在學(xué)術(shù)研究與法律解釋層面，一系列問(wèn)題仍然存在。首先，如何看待我國(guó)公開(kāi)個(gè)人信息保護(hù)制度在全球法律體系中的定位？正如艾紐·布拉德福特（Anu Bradford）教授所言，中國(guó)、美國(guó)、歐盟已經(jīng)成為個(gè)人信息保護(hù)等數(shù)字領(lǐng)域最重要的三個(gè)區(qū)域?！?〕See Anu Bradford, Digital Empires: The Global Battle to Regulate Technology 1-6 （2023）.鑒于我國(guó)個(gè)人信息保護(hù)制度受到域外影響，同時(shí)影響全球的相關(guān)制度的情況，有必要在全球特別是中國(guó)、美國(guó)、歐盟比較的視野下對(duì)相關(guān)問(wèn)題進(jìn)行研究。其次，如何理解與解釋我國(guó)《個(gè)人信息保護(hù)法》中的公開(kāi)個(gè)人信息保護(hù)制度？我國(guó)對(duì)公開(kāi)個(gè)人信息保護(hù)的制度設(shè)計(jì)僅針對(duì)收集環(huán)節(jié)，還是個(gè)人信息處理的所有環(huán)節(jié)？在信息處理者根據(jù)《個(gè)人信息保護(hù)法》第13 條的合法性基礎(chǔ)收集個(gè)人信息后，個(gè)人是否還具有相關(guān)信息權(quán)利？信息處理者是否還應(yīng)當(dāng)履行相關(guān)義務(wù)？例如，個(gè)人是否可以向信息處理者提起知情決定權(quán)、撤回權(quán)、查閱復(fù)制權(quán)、更正補(bǔ)充權(quán)、刪除權(quán)、解釋說(shuō)明權(quán)、死者親屬權(quán)等權(quán)利主張？信息處理者在收集公開(kāi)個(gè)人信息后，是否還應(yīng)當(dāng)承擔(dān)安全保障、設(shè)立個(gè)人信息專員、履行合規(guī)審計(jì)、個(gè)人信息影響評(píng)估等義務(wù)？

此外，很多更為具體的制度問(wèn)題需要進(jìn)一步分析。例如，公開(kāi)應(yīng)當(dāng)根據(jù)個(gè)人主觀性，還是某種客觀標(biāo)準(zhǔn)進(jìn)行判斷？互聯(lián)網(wǎng)上可以搜索到的信息是否都屬于公開(kāi)信息？〔4〕See Frederick Schauer, Internet Privacy and the Public-Private Distinction, 38 Jurimetrics 555, 558 （1998）.個(gè)人在商業(yè)街、商場(chǎng)、咖啡館、教室、酒吧的活動(dòng)是否屬于公開(kāi)信息？小范圍的群聊或幾個(gè)朋友可見(jiàn)的朋友圈信息是否屬于公開(kāi)信息？如何理解與界定“合理的范圍內(nèi)”“對(duì)個(gè)人權(quán)益有重大影響”或“侵害其重大利益”？當(dāng)ChatGPT、文心一言利用互聯(lián)網(wǎng)公開(kāi)信息進(jìn)行訓(xùn)練時(shí)，是否屬于合理范圍內(nèi)的利用，以及是否造成了對(duì)個(gè)人權(quán)益的重大影響或侵害？“個(gè)人明確拒絕的除外”中的“拒絕”應(yīng)當(dāng)如何行使？個(gè)人表達(dá)相關(guān)意愿是否都屬于個(gè)人拒絕？

二、歐盟、美國(guó)保護(hù)公開(kāi)個(gè)人信息的制度差異與中國(guó)道路

歐盟、美國(guó)和我國(guó)對(duì)公開(kāi)個(gè)人信息的保護(hù)按照強(qiáng)度形成了一個(gè)光譜，美國(guó)、歐盟位于這個(gè)光譜的兩端，我國(guó)位于中間，在制度上形成了區(qū)別于美國(guó)和歐盟的中國(guó)方案。從比較法視野出發(fā)，可以確定我國(guó)公開(kāi)個(gè)人信息保護(hù)的全球定位。

（一）歐盟對(duì)公開(kāi)個(gè)人信息一體保護(hù)

歐盟對(duì)公開(kāi)個(gè)人信息與非公開(kāi)個(gè)人信息一體保護(hù)。在《一般數(shù)據(jù)保護(hù)條例》規(guī)定的合法性基礎(chǔ)中，歐盟沒(méi)有列舉個(gè)人信息的公開(kāi)性?！?〕參見(jiàn)《一般數(shù)據(jù)保護(hù)條例》第6 條。這意味著，當(dāng)信息處理者處理在互聯(lián)網(wǎng)等公開(kāi)環(huán)境下獲取的個(gè)人信息時(shí)，仍然需要獲得個(gè)人同意或其他合法性基礎(chǔ)。在此之前已經(jīng)失效的第95/46/EC 號(hào)《數(shù)據(jù)保護(hù)指令》（Data Protection Directive）中，〔6〕See Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the Protection of Individuals with Regard to the Processing of Personal Data and on the Free Movement of Such Data, 1995 O.J.（L 281）31, 50.歐盟進(jìn)行了類(lèi)似規(guī)定。

當(dāng)然，歐盟對(duì)公開(kāi)個(gè)人信息設(shè)置了少量例外，減輕其保護(hù)義務(wù)。對(duì)于禁止處理的特殊種類(lèi)的個(gè)人信息，《一般數(shù)據(jù)保護(hù)條例》將公開(kāi)個(gè)人信息作為例外?！兑话銛?shù)據(jù)保護(hù)條例》第9 條規(guī)定，對(duì)于“數(shù)據(jù)主體已經(jīng)明顯公開(kāi)的相關(guān)個(gè)人數(shù)據(jù)（data manifestly made public）的處理”，不適用于禁止處理的規(guī)定?！?〕參見(jiàn)《一般數(shù)據(jù)保護(hù)條例》第9 條第2 款（e）。不過(guò)歐洲數(shù)據(jù)保護(hù)委員會(huì)（European Data Protection Board，EDPB）又對(duì)這一例外做了限定性規(guī)定。EDPB 的指南指出，“公開(kāi)”應(yīng)理解為在大眾媒體上發(fā)布數(shù)據(jù)、將數(shù)據(jù)發(fā)布到在線社交網(wǎng)絡(luò)平臺(tái)或類(lèi)似的行動(dòng)。個(gè)人數(shù)據(jù)的公開(kāi)必須具有“明顯性”，需要數(shù)據(jù)主體采取肯定的行動(dòng)，并且意識(shí)到這一行為的后果。即使在收集數(shù)據(jù)后，數(shù)據(jù)控制者仍然需要遵守個(gè)人信息處理的合法性基礎(chǔ)與個(gè)人信息處理原則。〔8〕See EDPB, Guidelines 8/2020 on the Targeting of Social Media Users Version 2.0, para 114,127-12, available at: https://edpb.europa.eu/system/files/2021-04/edpb_guidelines_082020_on_the_targeting_of_social_media_users_en.pdf.

《一般數(shù)據(jù)保護(hù)條例》第86 條規(guī)定，對(duì)于官方合法公開(kāi)的個(gè)人信息，公眾可以進(jìn)行合法訪問(wèn)。但《一般數(shù)據(jù)保護(hù)條例》的“重述”部分也明確指出，政府信息公開(kāi)“不影響歐盟和成員國(guó)法律規(guī)定的個(gè)人數(shù)據(jù)處理方面對(duì)自然人的保護(hù)水平，尤其是不改變本條例規(guī)定的義務(wù)和權(quán)利”?！?〕《〈一般數(shù)據(jù)保護(hù)條例〉重述》第154 條。這意味著，對(duì)官方合法公開(kāi)的個(gè)人信息而言，歐盟的數(shù)據(jù)控制者或處理者仍然需要遵守《一般數(shù)據(jù)保護(hù)條例》的相關(guān)規(guī)定。

歐盟之所以采取公開(kāi)個(gè)人信息與非公開(kāi)個(gè)人信息一體保護(hù)的模式，是因?yàn)闅W盟的個(gè)人信息保護(hù)法以防范“處理關(guān)系”中的個(gè)人信息風(fēng)險(xiǎn)為核心?！兑话銛?shù)據(jù)保護(hù)條例》明確指出，其適用范圍限于“自動(dòng)化處理”“半自動(dòng)化處理”，或者為了存檔系統(tǒng)（filing system）而進(jìn)行的手動(dòng)處理。〔10〕參見(jiàn)《一般數(shù)據(jù)保護(hù)條例》第2 條第1 款。更早之前的第95/46/EC 號(hào)《數(shù)據(jù)保護(hù)指令》及其“重述”（recital）也作出了類(lèi)似規(guī)定?！?1〕參見(jiàn)《〈數(shù)據(jù)保護(hù)指令〉重述》第27 條。在歐盟法關(guān)注的“處理關(guān)系”中，個(gè)人信息的公開(kāi)性并未消除其處理帶來(lái)的風(fēng)險(xiǎn)。

（二）美國(guó)對(duì)公開(kāi)個(gè)人信息排除保護(hù)

與歐盟相反，美國(guó)主要地區(qū)的個(gè)人信息保護(hù)制度不保護(hù)公開(kāi)個(gè)人信息。以加州為例，2023 年生效的《加利福尼亞州隱私權(quán)利法案》（California Privacy Rights Act，CPRA）規(guī)定，公開(kāi)個(gè)人信息不屬于個(gè)人信息。公開(kāi)個(gè)人信息指“消費(fèi)者向其披露信息的人提供的、沒(méi)有將信息限制在特定受眾的信息”，這類(lèi)信息除了包括“從聯(lián)邦、州或地方政府記錄中合法提供的信息”，還包括“企業(yè)有合理依據(jù)相信消費(fèi)者、廣泛傳播的媒體或消費(fèi)者合法向公眾提供的信息?！薄?2〕《加利福尼亞州民法典》1798.140.（O）（2）.美國(guó)其他州的立法，如《科羅拉多州隱私法》（Colorado Privacy Act，CPA）〔13〕《科羅拉多州隱私法》規(guī)定，公開(kāi)信息是“從聯(lián)邦、州或地方政府記錄中合法提供的信息，以及控制者有合理依據(jù)相信消費(fèi)者已合法向公眾提供的信息”，不在該法保護(hù)范圍內(nèi)。See Colorado Privacy Act, 6-1-1303.17（b）.、《弗吉尼亞州消費(fèi)者數(shù)據(jù)保護(hù)法》（Virginia Consumer Data Protection Act，VCDPA）〔14〕《弗吉尼亞州消費(fèi)者數(shù)據(jù)保護(hù)法》規(guī)定：“通過(guò)聯(lián)邦、州或地方政府記錄合法提供的信息，或企業(yè)有合理依據(jù)相信通過(guò)廣泛傳播的媒體或消費(fèi)者向其披露信息的人合法向公眾提供的信息”，不受該法保護(hù)。See Virginia Consumer Data Protection Act, 59.1-571.明確將公開(kāi)個(gè)人信息排除在保護(hù)范圍之外。

在聯(lián)邦層面，美國(guó)的一些行業(yè)性立法也將公開(kāi)個(gè)人信息排除在保護(hù)范圍之外。例如，金融領(lǐng)域的《格雷姆-里奇-比利雷法》（Gramm-Leach-Bliley Act，GLBA）將“個(gè)人可識(shí)別的金融信息”定義為“非公開(kāi)的個(gè)人信息”。除了從政府記錄、媒體與合法公開(kāi)信息中獲取的個(gè)人信息外，該法案還規(guī)定，如果“（i）信息屬于公眾可獲得的類(lèi)型及（ii）如果個(gè)人可以指示不向公眾提供這些信息，但您的消費(fèi)者沒(méi)有這樣做，則您有合理的依據(jù)相信信息是合法向公眾提供的”。〔15〕C.F.R.§ 313.3 （2018）.

美國(guó)將公開(kāi)個(gè)人信息排除在保護(hù)范圍之外，與美國(guó)法的“大隱私”概念體系及公私二元?jiǎng)澐钟^念密切相關(guān)?！?6〕See Donald R.C.Pongrace, Stereotypification of the Fourth Amendment’s Public/Private Distinction: An Opportunity for Clarity, 34 Am.U.L.Rev.1191, 1196 （1985）.與歐盟法嚴(yán)格區(qū)分隱私及個(gè)人信息保護(hù)不同，美國(guó)法雖然對(duì)二者進(jìn)行保護(hù)手段上的區(qū)分，但在價(jià)值目標(biāo)上將個(gè)人信息視為大隱私的一類(lèi)，并常常冠以“信息隱私”或“數(shù)據(jù)隱私”的稱謂?！?7〕See Daniel J.Solove, Conceptualizing Privacy, 90 Calif.L.Rev.1087 （2002）.在美國(guó)法律體系中，一旦信息進(jìn)入公共領(lǐng)域，即不受法律保護(hù)，公眾可以自由獲取。例如，在侵權(quán)隱私的語(yǔ)境中，美國(guó)法院的經(jīng)典論述是：“已經(jīng)公開(kāi)的材料中不可能有隱私”；〔18〕Gill v.Hearst Publishing Co., 253 P.2d 441 （1953）.在憲法隱私的語(yǔ)境中，美國(guó)最高法院認(rèn)定，對(duì)公共領(lǐng)域個(gè)人信息的監(jiān)控不違反憲法第四修正案。〔19〕See Florida v.Jardines, 133 S.Ct.1409, 1414 （2013）.美國(guó)的信息隱私法將公開(kāi)個(gè)人信息排除在外，可謂延續(xù)了美國(guó)法的一貫精神。

（三）中國(guó)對(duì)公開(kāi)個(gè)人信息弱化保護(hù)

相比歐盟和美國(guó)，我國(guó)的公開(kāi)個(gè)人信息保護(hù)制度具有獨(dú)特性。一方面，我國(guó)《個(gè)人信息保護(hù)法》與歐盟《一般數(shù)據(jù)保護(hù)條例》具有較高相似性，將公開(kāi)個(gè)人信息視為個(gè)人信息的一部分，沒(méi)有像美國(guó)一樣將個(gè)人信息排除在保護(hù)范圍之外?！秱€(gè)人信息保護(hù)法》的起草者在釋義中指出：“處理公開(kāi)個(gè)人信息，也有侵害個(gè)人信息權(quán)益的風(fēng)險(xiǎn)，應(yīng)當(dāng)對(duì)處理已公開(kāi)的個(gè)人信息作出必要的規(guī)范”?！?0〕楊合慶主編：《中華人民共和國(guó)個(gè)人信息保護(hù)法導(dǎo)讀與釋義》，中國(guó)民主法制出版社2022 年版，第62 頁(yè)。另一方面，《個(gè)人信息保護(hù)法》第13 條和第27 條對(duì)公開(kāi)個(gè)人信息進(jìn)行了特殊規(guī)定。第13 條將“依照本法規(guī)定在合理的范圍內(nèi)處理個(gè)人自行公開(kāi)或者其他已經(jīng)合法公開(kāi)的個(gè)人信息”作為處理的合法性基礎(chǔ)；第27 條對(duì)此進(jìn)行再次規(guī)定，“個(gè)人明確拒絕的除外。個(gè)人信息處理者處理已公開(kāi)的個(gè)人信息，對(duì)個(gè)人權(quán)益有重大影響的，應(yīng)當(dāng)依照本法規(guī)定取得個(gè)人同意?！鄙鲜鲆?guī)定使我國(guó)的公開(kāi)個(gè)人信息保護(hù)制度區(qū)別于歐盟。如果將公開(kāi)個(gè)人信息保護(hù)的強(qiáng)度視為一個(gè)光譜，我國(guó)的制度大概處于歐盟和美國(guó)之間?！?1〕參見(jiàn)劉曉春：《已公開(kāi)個(gè)人信息保護(hù)和利用的規(guī)則建構(gòu)》，載《環(huán)球法律評(píng)論》2022 年第2 期，第54-58 頁(yè)。

與此相應(yīng)，我國(guó)的公開(kāi)個(gè)人信息保護(hù)制度既可以從嚴(yán)解釋，也可以從寬解釋。一方面，從嚴(yán)解釋意味著我國(guó)《個(gè)人信息保護(hù)法》僅僅為收集公開(kāi)個(gè)人信息提供了告知同意之外的合法性基礎(chǔ)，并未減少其他個(gè)人信息權(quán)利保護(hù)與信息處理者義務(wù)的適用。例如，當(dāng)搜索引擎收集互聯(lián)網(wǎng)網(wǎng)頁(yè)上的個(gè)人信息后，個(gè)人依然可以對(duì)搜索引擎提起刪除權(quán)、更正權(quán)等權(quán)利主張；搜索引擎仍然需要對(duì)其履行安全保障等義務(wù)。另一方面，我國(guó)的公開(kāi)個(gè)人信息保護(hù)制度可以進(jìn)行從寬解釋，將其理解為對(duì)個(gè)人信息處理的整體性豁免。除了在“合理的范圍”之外，“個(gè)人明確拒絕”“重大影響”等少數(shù)情形外，《個(gè)人信息保護(hù)法》中的個(gè)人信息權(quán)利與信息處理者義務(wù)的相關(guān)規(guī)定將不再適用。

三、從嚴(yán)解釋與從寬解釋的困境及其原因

我國(guó)的公開(kāi)個(gè)人信息保護(hù)制度應(yīng)更類(lèi)似歐盟進(jìn)行從嚴(yán)解釋，還是更類(lèi)似美國(guó)進(jìn)行從寬解釋？對(duì)其進(jìn)行分析，可以發(fā)現(xiàn)兩種解釋都存在困境，其根源在于，個(gè)人信息保護(hù)法本身就是一種治理型的法，〔22〕See Margot E.Kaminski, Binary Governance: Lessons from the GDPR’s Approach to Algorithmic Accountability, 92 S.Cal.L.Rev.1529 （2019）.這種治理型的法疊加“公開(kāi)”這一因素，使公開(kāi)個(gè)人信息保護(hù)更面臨不確定性。

（一）從嚴(yán)解釋的困境

如果對(duì)“公開(kāi)個(gè)人信息”從嚴(yán)解釋，將其理解為仍然需要遵守一般的個(gè)人信息權(quán)利與信息處理者義務(wù)，那么會(huì)發(fā)現(xiàn)這種進(jìn)路的若干困境。

首先，個(gè)人行使信息權(quán)利的渠道更難保證。當(dāng)信息處理者從公開(kāi)渠道收集信息時(shí)，信息處理者與個(gè)體間一般沒(méi)有直接的交互界面或溝通渠道。這與很多非公開(kāi)個(gè)人信息的處理有較大差別。在常見(jiàn)的非公開(kāi)個(gè)人信息處理過(guò)程中，信息處理者和個(gè)體往往形成一種持續(xù)性的交互關(guān)系，例如，商家與消費(fèi)者、互聯(lián)網(wǎng)企業(yè)與用戶、用人單位與勞動(dòng)者往往具有彼此互惠信任的長(zhǎng)期關(guān)系?！?3〕從關(guān)系的類(lèi)型來(lái)看，這種關(guān)系接近于關(guān)系型契約（relational contract）。在關(guān)系型契約中，雙方的關(guān)系主要基于長(zhǎng)期信任關(guān)系維系，而非基于一次性、對(duì)抗性的利益關(guān)系維系。See Ian R.Macneil, Relational Contract Theory: Challenges and Queries, 94 Nw.U.L.Rev.877 （2000）.一旦此類(lèi)信息處理者侵害個(gè)人信息，消費(fèi)者、用戶或勞動(dòng)者就可以針對(duì)相關(guān)信息處理者進(jìn)行投訴或主張權(quán)利，相關(guān)信息處理者也可能進(jìn)行回應(yīng)，以避免用戶流失或個(gè)體投訴?！?4〕See Kenneth A.Bamberger & Deirdre K.Mulligan, Privacy on the Books and on the Ground, 63 Stan.L.Rev.247 （2010）.但在公開(kāi)個(gè)人信息處理過(guò)程中，由于缺乏交互界面或溝通渠道，個(gè)體往往難以有渠道進(jìn)行此類(lèi)主張，信息處理者更可能對(duì)個(gè)體主張置之不理。如此一來(lái)，個(gè)人信息保護(hù)制度中的相關(guān)信息權(quán)利就可能形同虛設(shè)，形成普遍違法的困境。

其次，一些個(gè)人信息權(quán)利的行使將更不合理。以個(gè)人信息更正權(quán)為例，當(dāng)信息處理者從官方公開(kāi)信息或從個(gè)人的社交網(wǎng)站上搜集信息時(shí)，一般都以原始信息為準(zhǔn)，很難滿足個(gè)人提起的更正權(quán)主張。即使是非公開(kāi)個(gè)人信息，信息處理者也很難有能力對(duì)某一個(gè)人信息進(jìn)行驗(yàn)證與更正；就公開(kāi)個(gè)人信息而言，這種驗(yàn)證與更正的難度更大。對(duì)于官方公開(kāi)的個(gè)人信息，信息處理者往往更愿意相信其權(quán)威性；對(duì)于網(wǎng)絡(luò)等其他渠道公開(kāi)的個(gè)人信息，信息處理者會(huì)傾向于認(rèn)定這類(lèi)信息得到了公眾的認(rèn)可。在公開(kāi)個(gè)人信息的例子中，要求信息處理者保障個(gè)人信息更正權(quán)并不合理。

最后，個(gè)人信息的保密性、非公開(kāi)性等信息處理者義務(wù)難以適用于公開(kāi)個(gè)人信息?！秱€(gè)人信息保護(hù)法》第9 條規(guī)定：“個(gè)人信息處理者應(yīng)當(dāng)對(duì)其個(gè)人信息處理活動(dòng)負(fù)責(zé)，并采取必要措施保障所處理的個(gè)人信息的安全”；第10 條規(guī)定，信息處理者“不得非法買(mǎi)賣(mài)、提供或者公開(kāi)他人個(gè)人信息”。但就公開(kāi)個(gè)人信息而言，信息處理者常常需要公開(kāi)或半公開(kāi)此類(lèi)信息。例如，搜索引擎會(huì)公開(kāi)展示其他網(wǎng)站上的個(gè)人信息，拓展公眾搜索個(gè)人信息的渠道，〔25〕See Gumzej Nina, “The Right to Be Forgotten”and the Sui Generis Controller in the Context of CJEU Jurisprudence and the GDPR, 17 Croatian Y.B.Eur.L.& Pol’y 127 （2021）.一些數(shù)據(jù)庫(kù)也會(huì)搜索網(wǎng)絡(luò)公開(kāi)信息，并對(duì)用戶或會(huì)員開(kāi)放。如果將此類(lèi)義務(wù)都適用于公開(kāi)個(gè)人信息處理，那么將導(dǎo)致大量常見(jiàn)的商業(yè)模式違法。

（二）從寬解釋的困境

如果對(duì)公開(kāi)個(gè)人信息從寬解釋，將其理解為豁免告知同意之外的個(gè)人信息權(quán)利與信息處理者義務(wù)，那么也會(huì)存在若干困境。

首先，從寬解釋與我國(guó)《個(gè)人信息保護(hù)法》采取的立法模式及其原理不符。在立法模式上，我國(guó)整體與歐盟相似，不僅在保護(hù)手段上區(qū)分了隱私權(quán)與個(gè)人信息保護(hù)，而且在價(jià)值目標(biāo)上對(duì)二者進(jìn)行了區(qū)分，以實(shí)現(xiàn)對(duì)個(gè)人信息的有效治理?！?6〕參見(jiàn)丁曉東：《隱私權(quán)保護(hù)與個(gè)人信息保護(hù)關(guān)系的法理——兼論〈民法典〉與〈個(gè)人信息保護(hù)法〉的適用》，載《法商研究》2023 年第6 期，第68-69 頁(yè)。公開(kāi)個(gè)人信息雖然具有特殊性，但對(duì)其進(jìn)行大規(guī)模的商業(yè)化或?qū)I(yè)化處理仍然會(huì)給個(gè)人和社會(huì)帶來(lái)風(fēng)險(xiǎn)。例如，對(duì)個(gè)人自行公開(kāi)的個(gè)人信息而言，如果此類(lèi)信息被大規(guī)模收集、分析和制作為數(shù)據(jù)庫(kù)，并被轉(zhuǎn)賣(mài)給黑灰產(chǎn)業(yè)甚至是詐騙分子，那么此類(lèi)大規(guī)模處理將系統(tǒng)地增加原本具有零散性的個(gè)人信息風(fēng)險(xiǎn)。官方公共機(jī)構(gòu)公開(kāi)的個(gè)人信息亦是如此，當(dāng)個(gè)體或公眾對(duì)官方記錄進(jìn)行訪問(wèn)時(shí)，帶來(lái)的風(fēng)險(xiǎn)也是零散性的，公眾知情權(quán)的收益要大于此類(lèi)風(fēng)險(xiǎn)。如果信息處理者利用技術(shù)手段對(duì)官方記錄進(jìn)行訪問(wèn)與處理，那么此類(lèi)風(fēng)險(xiǎn)就可能匯聚與倍增。〔27〕See Daniel J.Solove, Access and Aggregation: Public Records, Privacy and the Constitution, 86 Minn.L.Rev.1137, 1138 （2002）.即使在強(qiáng)調(diào)信息公開(kāi)與信息自由的美國(guó)，法院也認(rèn)同這一點(diǎn)。在有關(guān)案例中，美國(guó)最高法院指出，在“詳細(xì)搜索全國(guó)各地的法院檔案、縣檔案和地方警察局后可能發(fā)現(xiàn)的公共記錄”與“搜索某一信息交換所的計(jì)算機(jī)化摘要之間”，二者“存在巨大差異”?！?8〕U.S.DOJ v.Reporters Committee for Freedom of the Press, 489 U.S.749 （1989）.

其次，針對(duì)公開(kāi)個(gè)人信息，某些個(gè)人信息權(quán)利可以作為有效的制度工具，對(duì)信息處理關(guān)系進(jìn)行合理規(guī)制。以針對(duì)搜索引擎的刪除權(quán)與被遺忘權(quán)為例，搜索引擎雖然爬取的是互聯(lián)網(wǎng)上的公開(kāi)信息，但對(duì)這種信息處理造成了個(gè)人信息的更廣泛傳播?！?9〕See Schauer, supra note 4, 558.特別是當(dāng)搜索引擎將一些過(guò)時(shí)、私人或非必要（outdated，private，or unnecessary）的信息永久性地留存于搜索記錄時(shí)，個(gè)體針對(duì)搜索引擎行使刪除權(quán)與被遺忘權(quán)，并對(duì)其進(jìn)行場(chǎng)景化界定，將可以有效平衡搜索引擎的信息傳播功能、公眾知情權(quán)與個(gè)體權(quán)益?！?0〕See Robert C.Post, Data Privacy and Dignitary Privacy: Google Spain, The Right To be Forgotten, and the Construction of the Public Sphere, 67 Duke L.J.981, 1057-1060 （2018）.

最后，針對(duì)公開(kāi)個(gè)人信息，很多信息處理者義務(wù)或責(zé)任也有適用的必要。就安全保障而言，內(nèi)部管理制度和操作規(guī)程、分類(lèi)管理、后臺(tái)的加密、去標(biāo)識(shí)化措施、操作權(quán)限設(shè)置、實(shí)施個(gè)人信息安全事件應(yīng)急預(yù)案能夠降低個(gè)人信息被用于非法途徑的風(fēng)險(xiǎn)，強(qiáng)化對(duì)個(gè)人信息的保護(hù)。就個(gè)人信息專員而言，這一義務(wù)可以強(qiáng)化信息處理者對(duì)個(gè)人信息的保護(hù)，為個(gè)人與執(zhí)法機(jī)構(gòu)提供便利的溝通渠道。就合規(guī)審計(jì)與個(gè)人信息影響評(píng)估而言，這兩項(xiàng)義務(wù)可以有效降低個(gè)人信息處理帶來(lái)的社會(huì)風(fēng)險(xiǎn)。〔31〕See Reuben Binns, Data Protection Impact Assessments: A Meta-regulatory Approach, 7 Int’l Data Priv.L.22 （2017）.此外，公開(kāi)個(gè)人信息雖然能夠?yàn)橐话愎娫L問(wèn)，但其后臺(tái)仍然存在泄露、篡改、丟失等風(fēng)險(xiǎn)。

（三）從嚴(yán)解釋與從寬解釋困境的原因

對(duì)公開(kāi)個(gè)人信息保護(hù)的從嚴(yán)解釋和從寬解釋面臨的困境具有若干原因。

第一，就普通個(gè)人信息而言，其法律適用存在諸多不確定性。個(gè)人信息保護(hù)法的本質(zhì)是規(guī)范個(gè)人信息處理關(guān)系，〔32〕參見(jiàn)高富平：《個(gè)人信息處理：我國(guó)個(gè)人信息保護(hù)法的規(guī)范對(duì)象》，載《法商研究》2021 年第2 期，第76-77 頁(yè)。通過(guò)個(gè)體賦權(quán)與信息處理者責(zé)任實(shí)現(xiàn)有效治理?！?3〕參見(jiàn)王錫鋅：《國(guó)家保護(hù)視野中的個(gè)人信息權(quán)利束》，載《中國(guó)社會(huì)科學(xué)》2021 年第11 期，第115 頁(yè)。在目標(biāo)方面，這一法律制度的目標(biāo)既包括保護(hù)個(gè)人隱私、人格尊嚴(yán)等權(quán)益，又包括保證信息完整、信息質(zhì)量、個(gè)人便利、人身財(cái)產(chǎn)安全等權(quán)益。在現(xiàn)實(shí)場(chǎng)景方面，個(gè)人信息保護(hù)法早期主要針對(duì)公權(quán)力機(jī)關(guān)對(duì)于少量檔案類(lèi)信息的處理，現(xiàn)今演變?yōu)槠髽I(yè)對(duì)海量行為類(lèi)信息的高頻處理。在信息技術(shù)高速發(fā)展與多元復(fù)雜的背景下，個(gè)人信息保護(hù)中的很多制度面臨規(guī)制過(guò)寬或規(guī)制過(guò)嚴(yán)的悖論?！?4〕See Fred H.Cate & Viktor Mayer-Schonberger, Notice and Consent in a World of Big Data, 3 Int’l Data Priv.L.67 （2013）.

第二，公開(kāi)個(gè)人信息的非私密性降低了其保護(hù)的必要性，但并未完全消除。一方面，公開(kāi)個(gè)人信息降低了其保護(hù)需求。就個(gè)人自行公開(kāi)的個(gè)人信息而言，個(gè)體對(duì)于此類(lèi)信息的法律保護(hù)期待相對(duì)較低，無(wú)論其中的隱私性權(quán)益，還是個(gè)人信息的準(zhǔn)確真實(shí)性，個(gè)人在自行公開(kāi)之初都有合理預(yù)期，社會(huì)對(duì)此類(lèi)信息也有合理獲取與傳播的預(yù)期。〔35〕隱私合理預(yù)期的理念首先在憲法隱私領(lǐng)域被確立，其后在數(shù)據(jù)隱私等領(lǐng)域也產(chǎn)生了影響。See Katz v.United States, 389 U.S.347, 351 （1967）; Brian J.Serr, Great Expectations of Privacy: A New Model for Fourth Amendment Protection, 73 Minn.L.Rev.583,597-98 （1988-1989）.在國(guó)外有關(guān)案例中，有法官將個(gè)人在社交網(wǎng)絡(luò)上發(fā)布的信息類(lèi)比為“在窗口向外尖叫，個(gè)人對(duì)隱私?jīng)]有合理期待”，“這與私人電子郵件、私人直接消息、私人聊天或任何其他現(xiàn)成的通過(guò)互聯(lián)網(wǎng)進(jìn)行私人對(duì)話的方式都不一樣”?！?6〕People v.Harris, 949 N.Y.S.2d 590, 595 （Crim.Ct.2012）.就通過(guò)公共檔案或其他合法途徑公開(kāi)的個(gè)人信息而言，在公開(kāi)之初就已經(jīng)對(duì)個(gè)體權(quán)益與公共利益進(jìn)行過(guò)衡量，〔37〕參見(jiàn)張新寶、魏艷偉：《司法信息公開(kāi)的隱私權(quán)和個(gè)人信息保護(hù)研究》，載《比較法研究》2022 年第2 期，第104 頁(yè)。如果此類(lèi)檔案中的個(gè)人信息未進(jìn)行匿名化，那么說(shuō)明公共機(jī)構(gòu)認(rèn)為公眾的知情權(quán)具有優(yōu)先性。如果此類(lèi)檔案中的個(gè)人信息存在錯(cuò)誤，那么個(gè)體應(yīng)該先向公共機(jī)構(gòu)申請(qǐng)更正。另一方面，公開(kāi)個(gè)人信息保護(hù)的需求仍然存在，當(dāng)公開(kāi)個(gè)人信息被大規(guī)模收集與利用時(shí)，公開(kāi)個(gè)人信息處理就可能成為侵害各類(lèi)權(quán)益的風(fēng)險(xiǎn)“放大器”。〔38〕See Helen Nissenbaum, Toward an Approach to Privacy in Public: Challenges of Information Technology, 7 Ethics & Behav.207, 208 （1997）.例如，當(dāng)網(wǎng)絡(luò)公開(kāi)個(gè)人信息被系統(tǒng)性收集和利用，轉(zhuǎn)賣(mài)給第三方時(shí)，這類(lèi)信息一旦落入犯罪分子手中，就會(huì)成為電信詐騙等各類(lèi)犯罪活動(dòng)的幫手。個(gè)人信息保護(hù)制度的一大特征是防止“大規(guī)模微型侵權(quán)”，〔39〕參見(jiàn)王利明、丁曉東：《論〈個(gè)人信息保護(hù)法〉的特色、亮點(diǎn)與適用》，載《法學(xué)家》2021 年第6 期，第12-13 頁(yè)。公開(kāi)個(gè)人信息雖然有特殊性，但對(duì)其進(jìn)行大規(guī)模處理仍然具有這一特征。

第三，在公開(kāi)個(gè)人信息的收集與利用中，信息處理者與個(gè)人往往缺乏聯(lián)系與紐帶，這增強(qiáng)了公開(kāi)個(gè)人信息保護(hù)的必要性。在一般情況下，信息處理關(guān)系常常是消費(fèi)者關(guān)系、勞動(dòng)關(guān)系、網(wǎng)絡(luò)用戶服務(wù)關(guān)系、公共服務(wù)關(guān)系的一部分。只有依附一定的關(guān)系，信息處理者才具有獲得個(gè)人信息的渠道，而此類(lèi)渠道或關(guān)系也為個(gè)人信息保護(hù)提供了內(nèi)生動(dòng)力。就個(gè)體而言，個(gè)人信息被收集利用常常是服務(wù)所需，或者是在服務(wù)過(guò)程中產(chǎn)生的需求，個(gè)體對(duì)信息處理者往往有一定的信任和期待，對(duì)于產(chǎn)生的侵權(quán)行為，個(gè)體也有較為直接的溝通投訴渠道；就信息處理者而言，信息處理者為了贏得用戶信任和避免被投訴，往往有動(dòng)力保護(hù)個(gè)人信息，維持雙方共贏。

在很多公開(kāi)個(gè)人信息處理的場(chǎng)景中，信息處理者與個(gè)人不存在服務(wù)或持續(xù)性的交互關(guān)系，雙方往往缺乏信任。就個(gè)體而言，個(gè)體常常難以找到溝通渠道，提起信息權(quán)利主張或進(jìn)行投訴；就信息處理者而言，信息處理者往往不太在意被收集對(duì)象的權(quán)益。例如，在征信等場(chǎng)景中，征信企業(yè)從公共空間或第三方收集個(gè)人信息，但其服務(wù)對(duì)象是銀行等機(jī)構(gòu)，因此征信機(jī)構(gòu)并不熱心回應(yīng)個(gè)人投訴與舉報(bào)。只要此類(lèi)投訴與舉報(bào)不影響其業(yè)務(wù)，征信機(jī)構(gòu)就選擇無(wú)視個(gè)人的權(quán)利主張。

四、特殊性規(guī)定的合理界定

針對(duì)個(gè)人信息保護(hù)的特點(diǎn)與公開(kāi)個(gè)人信息的特殊性，可以對(duì)公開(kāi)個(gè)人信息保護(hù)制度進(jìn)行合理界定。應(yīng)將公開(kāi)個(gè)人信息視為特殊類(lèi)型進(jìn)行保護(hù)，而非對(duì)其進(jìn)行一般性豁免。不過(guò)，鑒于公開(kāi)個(gè)人信息的非私密性與非交互性特征，應(yīng)當(dāng)結(jié)合個(gè)人信息保護(hù)制度的基本原理進(jìn)行分析。本部分分析我國(guó)《個(gè)人信息保護(hù)法》對(duì)公開(kāi)個(gè)人信息的特殊性規(guī)定，下一部分將分析《個(gè)人信息保護(hù)法》中其他制度的適用。

（一）對(duì)“公開(kāi)個(gè)人信息”的界定

《個(gè)人信息保護(hù)法》并未對(duì)“公開(kāi)個(gè)人信息”進(jìn)行明確界定，僅規(guī)定了自行公開(kāi)與合法公開(kāi)兩類(lèi)公開(kāi)個(gè)人信息。對(duì)公開(kāi)個(gè)人信息的范圍進(jìn)行界定，需要認(rèn)識(shí)到個(gè)人信息的公開(kāi)與非公開(kāi)不是非此即彼，〔40〕所有公開(kāi)個(gè)人信息都是相對(duì)的。See Helen Nissenbaum, Privacy as Contextual Integrity, 79 Wash.L.Rev.119, 120-21 （2004）.而是“多維的、連續(xù)的和相對(duì)的、流動(dòng)的和情境的或上下文的，其含義在于如何解釋和界定。”〔41〕Gary T.Marx, Murky Conceptual Waters: The Public and the Private, 3 Ethics & Info.Tech.157, 157 （2001）.例如，新聞媒體報(bào)道的個(gè)人信息往往公開(kāi)性非常強(qiáng)，互聯(lián)網(wǎng)上的微博、X（Twitter）等具有一定公共性的社交網(wǎng)絡(luò)中的個(gè)人信息公開(kāi)性也相對(duì)較強(qiáng)。相對(duì)而言，微信朋友圈、小范圍的微信群的公開(kāi)性相對(duì)較弱。線下的情形也是如此，大型廣場(chǎng)、商業(yè)街、商場(chǎng)的公開(kāi)性相對(duì)較強(qiáng)，咖啡館、教室、酒吧的公開(kāi)性相對(duì)較弱。同時(shí)，位置與場(chǎng)所也并不完全決定個(gè)人信息的公開(kāi)性與非公開(kāi)性。例如，一條普通的商業(yè)街與北京三里屯、成都太古里這類(lèi)經(jīng)常被街拍的商業(yè)街相比，公開(kāi)性可能也不相同?！?2〕對(duì)于僅憑位置/場(chǎng)所界定公開(kāi)與否的批判。See Diane L.Zimmerman, Requiem for a Heavyweight: A Farewell to Warren and Brandeis’s Privacy Tort, 68 Cornell L.Rev.291, 347 （1983）.此外，還需要認(rèn)識(shí)到，即使是公開(kāi)個(gè)人信息，個(gè)人也可能對(duì)于其保護(hù)具有期待。例如，個(gè)人的人臉信息、步行姿態(tài)等信息可能都會(huì)暴露在公開(kāi)場(chǎng)所，信息處理者可以進(jìn)行合法街拍、航拍和公共視頻監(jiān)控，如果在未經(jīng)個(gè)人同意的情形下利用技術(shù)進(jìn)行人臉識(shí)別與步態(tài)識(shí)別，那么就可能對(duì)個(gè)人權(quán)益造成侵害?！?3〕美國(guó)數(shù)據(jù)隱私法雖然將公開(kāi)個(gè)人信息排除在個(gè)人信息保護(hù)范圍之外，但有的州仍將可公開(kāi)獲得的生物類(lèi)信息視為個(gè)人信息，例如，CPRA 規(guī)定：“‘公開(kāi)可用’并不意味著企業(yè)有權(quán)在消費(fèi)者不知情的情況下收集有關(guān)消費(fèi)者的生物特征信息”。參見(jiàn)《加利福尼亞州民法典》1798.140.V（1）（L）.

在隱私權(quán)法的框架內(nèi)，公開(kāi)個(gè)人信息的保護(hù)面臨爭(zhēng)議。沃倫（Samuel Warren）與布蘭代斯（Louis Brandeis）將隱私侵權(quán)界定為“個(gè)人獨(dú)處的權(quán)利”?！?4〕See Samuel D.Warren & Louis D.Brandeis, The Right to Privacy, 4 Harv.L.Rev.193 （1890）.但公開(kāi)與非公開(kāi)的界限常常難以界定。例如，有的個(gè)人信息僅在朋友間或小范圍內(nèi)公開(kāi)，有的信息雖然已經(jīng)在小社區(qū)公開(kāi)，但被新聞媒體報(bào)道后，仍然對(duì)個(gè)人隱私產(chǎn)生了較大沖擊?！?5〕此類(lèi)情形往往涉及個(gè)人權(quán)益與公共知情權(quán)或言論自由的平衡。See Neil Richard, Reconciling Data Privacy and the First Amendment, 52 UCLA L.Rev.1145 （2005）.隨著法律實(shí)踐的發(fā)展與學(xué)術(shù)研究的深化，隱私法研究的專家逐漸認(rèn)識(shí)到，應(yīng)當(dāng)放棄對(duì)公開(kāi)性的物理性與單一性界定，轉(zhuǎn)而以理性個(gè)體或社會(huì)的合理預(yù)期來(lái)判斷個(gè)人信息的私密性與公開(kāi)性。例如，羅伯特·波斯特指出，對(duì)于隱私的邊界應(yīng)以社會(huì)的合理預(yù)期、結(jié)合“社會(huì)規(guī)范”（social norms）進(jìn)行理解，避免將其理解為某種獨(dú)立的無(wú)力空間。〔46〕See Robert C.Post, The Social Foundations of Privacy: Community and the Self in the Common Law Tort, 77 Calif.L.Rev.957（1989）.

在個(gè)人信息保護(hù)制度的框架中，個(gè)人信息的公開(kāi)性也可以通過(guò)理性個(gè)體或社會(huì)合理預(yù)期進(jìn)行理解。如果理性個(gè)體對(duì)某一個(gè)人信息不具有合理的保護(hù)期待，那么該信息可以被視為公開(kāi)個(gè)人信息，適用相關(guān)特殊制度；相反，該信息應(yīng)當(dāng)被視為非公開(kāi)個(gè)人信息，適用個(gè)人信息保護(hù)的一般制度。不過(guò)需要強(qiáng)調(diào)的是，理性個(gè)體的合理預(yù)期應(yīng)當(dāng)以社會(huì)客觀性的標(biāo)準(zhǔn)來(lái)看待。例如，個(gè)人在微博上公開(kāi)發(fā)布自己的信息，就不能預(yù)期該信息不被陌生人搜索到。在域外的案件中，有人在自己的博客空間發(fā)表日記，誤認(rèn)為博客空間只為自己所見(jiàn)，還有人創(chuàng)建了地址極為復(fù)雜的個(gè)人網(wǎng)頁(yè)，誤認(rèn)為這一網(wǎng)址不能被任何人知曉，但其網(wǎng)站信息都可被搜索引擎搜到。在此類(lèi)情形下，法院無(wú)一例外地認(rèn)定，合理預(yù)期應(yīng)當(dāng)以理性人或社會(huì)的客觀標(biāo)準(zhǔn)進(jìn)行判斷，而不能以個(gè)人的主觀標(biāo)準(zhǔn)進(jìn)行判斷?！?7〕在美國(guó)的公開(kāi)個(gè)人信息界定中，很多州的立法都以信息處理者的合理預(yù)期，而非個(gè)體的合理預(yù)期為判斷標(biāo)準(zhǔn)。例如，《康涅狄格州數(shù)據(jù)隱私法》規(guī)定，公開(kāi)個(gè)人信息是指“控制人有合理的依據(jù)相信消費(fèi)者已合法向公眾提供的信息”。See Connecticut Data Privacy Act, Section 1.（25）.一旦博客或個(gè)人網(wǎng)站接入互聯(lián)網(wǎng)，這類(lèi)網(wǎng)站信息就應(yīng)當(dāng)被社會(huì)認(rèn)定為可以合法訪問(wèn)的空間?！?8〕See Moreno v.Hanford Sentinel Inc., 91 Cal.Rptr.3d 858, 862-63 （Ct.App.2009）

（二）對(duì)“合理的范圍內(nèi)”的界定

《個(gè)人信息保護(hù)法》第13 條與第27 條規(guī)定的“合理的范圍內(nèi)”與個(gè)人信息處理原則特別是必要性原則密切相關(guān)?！?9〕參見(jiàn)王海洋、郭春鎮(zhèn)：《公開(kāi)的個(gè)人信息的認(rèn)定與處理規(guī)則》，載《蘇州大學(xué)學(xué)報(bào)（法學(xué)版）》2021 年第4 期，第65-66 頁(yè)；王冉冉：《已公開(kāi)的個(gè)人信息的合理使用及其縮限》，載《現(xiàn)代法學(xué)》2023 年第4 期，第49-53 頁(yè)。必要性原則指對(duì)個(gè)人信息的處理以必要為限，不得超過(guò)合理的限度。必要性原則又包括“目的明確”與“最小化處理”原則，前者指?jìng)€(gè)人信息的處理應(yīng)當(dāng)有明確或特定目的，對(duì)個(gè)人信息的處理不能夠違反該初始目的，后者指對(duì)個(gè)人信息的處理應(yīng)當(dāng)為了實(shí)現(xiàn)數(shù)據(jù)處理目的必要的、應(yīng)當(dāng)采取對(duì)個(gè)人權(quán)益影響最小的方式。我國(guó)《個(gè)人信息保護(hù)法》雖然允許處理公開(kāi)個(gè)人信息，但顯然希望這種處理仍然遵守一定的個(gè)人信息處理原則，特別是不能超出必要性原則。

個(gè)人信息處理的必要性原則本身就具有較大彈性。如果按最嚴(yán)格理解，那么個(gè)人信息的處理目的必須非常特定具體，個(gè)人信息處理必須和這一目的嚴(yán)格一致。但這種理解也被認(rèn)為與現(xiàn)代個(gè)人信息處理的特點(diǎn)不一致?！?0〕See Tal Z.Zarsky, Incompatible: The GDPR in the Age of Gig Data, 47 Seton Hall L.Rev.995 （2016）.現(xiàn)代數(shù)字經(jīng)濟(jì)常常需要對(duì)個(gè)人信息進(jìn)行融合與二次分析，為用戶提供更好的服務(wù)，發(fā)揮大數(shù)據(jù)的效用。因此，不少國(guó)家和地區(qū)都對(duì)必要性原則進(jìn)行了與時(shí)俱進(jìn)的解釋。例如，英國(guó)信息委員會(huì)辦公室（ICO）將“必要性”界定為根據(jù)“公平性”原則來(lái)解釋目的限定與數(shù)據(jù)最小化原則?！?1〕See UK Information Commissioner’s Oきce, Big data, Artificial Intelligence, Machine Learning and Data Protection, 37-39（2017）, available at: https://ico.org.uk/media/for-organisations/documents/2013559/big-data-ai-ml-and-data-protection.pdf.

公開(kāi)個(gè)人信息處理的必要性原則更應(yīng)進(jìn)一步限定。應(yīng)當(dāng)從社會(huì)風(fēng)險(xiǎn)預(yù)防的角度對(duì)“合理的范圍內(nèi)”進(jìn)行理解，將其解釋為在此范圍內(nèi)的處理不會(huì)帶來(lái)不成比例和難以預(yù)期的社會(huì)風(fēng)險(xiǎn)。公開(kāi)個(gè)人信息之所以被個(gè)人信息保護(hù)制度納入保護(hù)范圍，而非像侵權(quán)隱私不受保護(hù)，是因?yàn)閭€(gè)人信息保護(hù)制度關(guān)注大規(guī)模個(gè)人信息處理的社會(huì)風(fēng)險(xiǎn)?！?2〕參見(jiàn)梅夏英：《社會(huì)風(fēng)險(xiǎn)控制抑或個(gè)人權(quán)益保護(hù)——理解個(gè)人信息保護(hù)法的兩個(gè)維度》，載《環(huán)球法律評(píng)論》2022 年第1 期，第5-6 頁(yè)。對(duì)于不會(huì)顯著增加社會(huì)風(fēng)險(xiǎn)的個(gè)人信息處理，信息處理者可以對(duì)其進(jìn)行二次利用。例如，利用公開(kāi)個(gè)人信息進(jìn)行人工智能訓(xùn)練，此類(lèi)處理能夠促進(jìn)人工智能的發(fā)展，減少人工智能中的偏見(jiàn)與歧視，應(yīng)當(dāng)將其視為在合理范圍內(nèi)的處理。〔53〕See Mark A.Lemley & Bryan Casey, Fair Learning, 4 Tex.L.Rev.99 （2023）；丁曉東：《論人工智能促進(jìn)型的數(shù)據(jù)制度》，載《中國(guó)法律評(píng)論》2023 年第6 期，第175 頁(yè)。搜索引擎對(duì)公開(kāi)個(gè)人信息的利用與傳播，屬于社會(huì)與行業(yè)普遍接受的商業(yè)模式，也應(yīng)視為合理范圍內(nèi)的處理。但如果信息處理者在收集公開(kāi)個(gè)人信息后，將公開(kāi)個(gè)人信息制作成檔案類(lèi)數(shù)據(jù)庫(kù)并轉(zhuǎn)售給沒(méi)有具體業(yè)務(wù)、沒(méi)有信息去標(biāo)識(shí)化機(jī)制的第三方，那么此類(lèi)信息處理應(yīng)被視為超出了“合理的范圍內(nèi)”的規(guī)定。〔54〕在刑法上，侵犯?jìng)€(gè)人信息罪也應(yīng)從社會(huì)風(fēng)險(xiǎn)預(yù)防的角度進(jìn)行分析，而非從個(gè)人信息的數(shù)量上進(jìn)行考慮。參見(jiàn)周光權(quán)：《侵犯公民個(gè)人信息罪的行為對(duì)象》，載《清華法學(xué)》2021 年第3 期，第25-40 頁(yè)；王華偉：《已公開(kāi)個(gè)人信息的刑法保護(hù)》，載《法學(xué)研究》2022 年第2 期，第191-208 頁(yè)；劉憲權(quán)：《擅自處理公開(kāi)的個(gè)人信息行為的刑法認(rèn)定》，載《中國(guó)應(yīng)用法學(xué)》2022 年第5 期，第20-33 頁(yè)；江海洋：《論數(shù)字時(shí)代個(gè)人信息的刑法保護(hù)路徑選擇》，載《當(dāng)代法學(xué)》2023 年第5 期，第88-99 頁(yè)。此類(lèi)情形沒(méi)有利用公開(kāi)個(gè)人信息處理帶來(lái)額外的社會(huì)福利，反而大幅增加了個(gè)人信息被用于非法活動(dòng)的風(fēng)險(xiǎn)。

（三）對(duì)“對(duì)個(gè)人權(quán)益有重大影響”的界定

就“對(duì)個(gè)人權(quán)益有重大影響”而言，應(yīng)以理性人或社會(huì)的合理預(yù)期作為判斷標(biāo)準(zhǔn)對(duì)其進(jìn)行理解，將其解釋為專業(yè)和理性個(gè)體或社會(huì)預(yù)期可能產(chǎn)生的影響。

第一，對(duì)重大影響的判斷應(yīng)當(dāng)是專業(yè)和理性個(gè)體或社會(huì)的客觀性判斷，不是非專業(yè)個(gè)體的主觀性判斷。對(duì)于個(gè)人信息可能帶來(lái)的風(fēng)險(xiǎn)或影響，個(gè)人的主觀判斷可能相差甚遠(yuǎn)。對(duì)風(fēng)險(xiǎn)厭惡（risk-averse）和較為敏感的個(gè)體而言，他們會(huì)將很多個(gè)人信息處理視為對(duì)個(gè)人權(quán)益有重大影響；相反，對(duì)愛(ài)好冒險(xiǎn)（risk-seeking）的個(gè)體而言，他們會(huì)對(duì)個(gè)人信息處理持開(kāi)放態(tài)度，甚至可能樂(lè)見(jiàn)自己的個(gè)人信息被處理和廣泛傳播?！?5〕See Sarah Spiekermann et al., Online Social Networks: Why We Disclose, 25 J.Info.Tech.109.如果僅從個(gè)體主觀意愿出發(fā)，那么信息處理者仍然需要獲取所有公開(kāi)個(gè)人信息主體的同意，這將導(dǎo)致公開(kāi)個(gè)人信息的特殊規(guī)定形同虛設(shè)。

第二，對(duì)重大影響的判斷應(yīng)當(dāng)基于產(chǎn)生重大影響的社會(huì)預(yù)期和概率，而非對(duì)個(gè)體產(chǎn)生的已有影響。從社會(huì)預(yù)期和概率角度進(jìn)行判斷，可以為重大影響的判斷提供較為客觀的判斷標(biāo)準(zhǔn)。反之，如果從已經(jīng)發(fā)生的個(gè)體影響結(jié)果倒推重大影響，那么任何個(gè)人信息處理都可能對(duì)個(gè)人權(quán)益產(chǎn)生重大影響，這將造成公開(kāi)個(gè)人信息處理的普遍違規(guī)。以搜索引擎為例，搜索引擎處理公開(kāi)個(gè)人信息帶來(lái)的預(yù)期性社會(huì)風(fēng)險(xiǎn)與概率屬于可接受范圍。如果從個(gè)體已經(jīng)發(fā)生的結(jié)果來(lái)看，那么很多侵權(quán)甚至犯罪行為可能都使用過(guò)搜索引擎，但并不能因此認(rèn)定搜索引擎的公開(kāi)個(gè)人信息處理也需要獲得個(gè)人同意。

（四）對(duì)“個(gè)人明確拒絕”的界定

“個(gè)人明確拒絕”應(yīng)充分考慮信息處理者對(duì)其進(jìn)行識(shí)別的可能性與成本，不能僅憑個(gè)體意愿進(jìn)行判斷。如上文所述，公開(kāi)個(gè)人信息處理的一個(gè)重要特征是，信息處理者很多時(shí)候從公共場(chǎng)所獲取個(gè)人信息，與個(gè)人往往缺乏交互場(chǎng)景。因此，信息處理者往往難以像網(wǎng)站、App、科技產(chǎn)品那樣，可以提供用戶同意或拒絕的個(gè)性化界面。當(dāng)缺乏交互場(chǎng)景與界面時(shí)，信息處理者對(duì)個(gè)人意愿進(jìn)行辨認(rèn)的難度和成本就會(huì)非常高。例如，當(dāng)個(gè)體在公共場(chǎng)所穿上“拒絕視頻監(jiān)控”的衣服時(shí)，雖然清晰地表達(dá)了個(gè)人明確拒絕信息處理的意愿，但并不能認(rèn)定此時(shí)的公共監(jiān)控違法。同樣，當(dāng)個(gè)人在微博或網(wǎng)絡(luò)空間公開(kāi)個(gè)人信息時(shí)，在文字中標(biāo)明此類(lèi)信息不能被搜索引擎處理，此時(shí)個(gè)體的意愿也不能阻止搜索引擎的處理。無(wú)論是公共視頻監(jiān)控還是搜索引擎，都很難針對(duì)個(gè)體的意愿進(jìn)行辨識(shí)。

當(dāng)信息處理者可以利用技術(shù)較為容易地識(shí)別特定個(gè)體的聲明或意愿時(shí)，應(yīng)尊重個(gè)體意愿。例如，當(dāng)信息處理者獲取的公開(kāi)個(gè)人信息是類(lèi)似數(shù)據(jù)庫(kù)的結(jié)構(gòu)化數(shù)據(jù)時(shí)，〔56〕結(jié)構(gòu)化數(shù)據(jù)是高度組織化的，容易被機(jī)器學(xué)習(xí)算法閱讀的數(shù)據(jù)，常常以數(shù)據(jù)庫(kù)的方式存在。用戶可以快速輸入、搜索和操作結(jié)構(gòu)化數(shù)據(jù)。非結(jié)構(gòu)化數(shù)據(jù)則相反，無(wú)法通過(guò)傳統(tǒng)的數(shù)據(jù)工具和方法進(jìn)行處理和分析。其類(lèi)型常常包括各類(lèi)辦公文檔、XML、HTML、圖片和音頻、視頻信息等。如果其中包含了個(gè)體拒絕處理的標(biāo)簽，那么應(yīng)當(dāng)禁止信息處理者對(duì)其進(jìn)行處理。因?yàn)閷?duì)于此類(lèi)數(shù)據(jù)處理，信息處理者可以利用自動(dòng)化技術(shù)措施進(jìn)行篩選和判斷。又如，當(dāng)個(gè)人自建網(wǎng)站并在其網(wǎng)站機(jī)器人（robot）協(xié)議中明確拒絕對(duì)其網(wǎng)站信息進(jìn)行處理時(shí)，信息處理者也應(yīng)將此類(lèi)機(jī)器人協(xié)議視為個(gè)人明確拒絕的聲明，尊重個(gè)體意愿。

此外，信息處理者針對(duì)公開(kāi)個(gè)人信息收集的告知義務(wù)不能一概免除?！?7〕參見(jiàn)程嘯：《論公開(kāi)的個(gè)人信息處理的法律規(guī)制》，載《中國(guó)法學(xué)》2022 年第3 期，第93 頁(yè)。當(dāng)此類(lèi)收集違反理性個(gè)體或社會(huì)的一般合理預(yù)期時(shí)，信息處理者應(yīng)當(dāng)進(jìn)行告知。例如，當(dāng)商家或物業(yè)在某些地段安裝攝像頭時(shí)，應(yīng)當(dāng)在適當(dāng)?shù)攸c(diǎn)張貼告示，減少此類(lèi)視頻監(jiān)控對(duì)個(gè)人信息的侵犯。不過(guò)，此類(lèi)告知義務(wù)應(yīng)當(dāng)是一種合理提示義務(wù)，而非確保每個(gè)個(gè)體充分知情，因?yàn)橐笮畔⑻幚碚邔?duì)每個(gè)個(gè)體都進(jìn)行充分告知，既不現(xiàn)實(shí)也不合理。信息處理者不僅不可能觸達(dá)每個(gè)個(gè)體，而且當(dāng)信息處理者試圖觸達(dá)個(gè)體時(shí)，就需要去聯(lián)系與識(shí)別個(gè)人，這種努力只會(huì)導(dǎo)致信息處理者進(jìn)一步侵犯?jìng)€(gè)人隱私與生活安寧。

五、個(gè)人信息權(quán)利與處理者義務(wù)的合理界定

個(gè)人信息權(quán)利與處理者義務(wù)是個(gè)人信息保護(hù)制度的兩大核心。對(duì)于公開(kāi)個(gè)人信息，信息處理者在遵循上一部分提到的特殊性規(guī)定合法收集后，需要分析如何適用這兩大核心制度。

（一）“個(gè)人信息權(quán)利”的限縮性解釋

就個(gè)人信息權(quán)利而言，在公開(kāi)個(gè)人信息的背景下對(duì)其進(jìn)行解釋?xiě)?yīng)當(dāng)避免絕對(duì)化，并在整體上進(jìn)行限縮性解釋。

第一，個(gè)人信息權(quán)利本身就具有程序性或請(qǐng)求權(quán)的性質(zhì)，〔58〕See Meg Leta Jones & Margot E.Kaminski, An American’s Guide to the GDPR, 98 Den.L.Rev.93 （2021）.即使對(duì)于非公開(kāi)個(gè)人信息，個(gè)人信息權(quán)利也并非絕對(duì)。個(gè)人信息權(quán)利的行使不僅常常面臨一定的難度和成本，而且可能對(duì)相關(guān)主體的權(quán)益造成威脅?！?9〕See Daniel J.Solove, The Limitations of Privacy Rights, 98 Notre Dame L.Rev.975 （2023）.以個(gè)人信息查閱復(fù)制權(quán)、更正補(bǔ)充權(quán)、刪除權(quán)為例，這些權(quán)利對(duì)于非結(jié)構(gòu)化的圖片和音頻、視頻信息類(lèi)數(shù)據(jù)，常常很難實(shí)現(xiàn)。圖片和音頻、視頻信息常常包含他人信息，很難單獨(dú)提取個(gè)人信息，更難對(duì)其更正補(bǔ)充和刪除。因此，即使是非公開(kāi)個(gè)人信息，也應(yīng)當(dāng)將個(gè)人信息權(quán)利視為一種“溝通治理型”權(quán)利，在具體場(chǎng)景中界定其邊界。所謂“溝通治理型”權(quán)利，即個(gè)人信息權(quán)利是一種工具性、程序性、治理性權(quán)利，而不是絕對(duì)性、實(shí)體性權(quán)利。這種權(quán)利的特點(diǎn)在于監(jiān)督與激勵(lì)信息處理者落實(shí)合規(guī)政策，促進(jìn)信息處理者更好地保護(hù)個(gè)人權(quán)益?！?0〕參見(jiàn)丁曉東：《個(gè)人信息權(quán)利的反思與重塑：論個(gè)人信息保護(hù)的適用前提與法益基礎(chǔ)》，載《中外法學(xué)》2020 年第2 期，第341-348 頁(yè)。

第二，公開(kāi)個(gè)人信息整體弱化了個(gè)人信息權(quán)利的可行性。信息處理者往往通過(guò)公共領(lǐng)域或第三方收集公開(kāi)個(gè)人信息，這造成了個(gè)體行使權(quán)利的困難。個(gè)人不但缺乏提起權(quán)利主張的交互界面，而且很可能在提起權(quán)利主張后沒(méi)有回音。例如，在美國(guó)征信機(jī)構(gòu)對(duì)公開(kāi)個(gè)人信息收集的背景下，雖然美國(guó)立法規(guī)定了個(gè)體的更正權(quán)等法定權(quán)利，但當(dāng)個(gè)體發(fā)現(xiàn)征信機(jī)構(gòu)收集的其公開(kāi)個(gè)人信息存在錯(cuò)誤并提起更正權(quán)請(qǐng)求時(shí)，征信機(jī)構(gòu)往往置之不理?！?1〕參見(jiàn)丁曉東：《從個(gè)體救濟(jì)到公共治理：論侵害個(gè)人信息的司法應(yīng)對(duì)》，載《國(guó)家檢察官學(xué)院學(xué)報(bào)》2022 年第5 期，第107 頁(yè)。征信機(jī)構(gòu)之所以如此行事，是因?yàn)槠浣灰讓?duì)象是銀行等第三方機(jī)構(gòu)，征信機(jī)構(gòu)和被收集對(duì)象并沒(méi)有直接交互關(guān)系。這與非公開(kāi)個(gè)人信息常常涉及的消費(fèi)者、勞動(dòng)者或互聯(lián)網(wǎng)場(chǎng)景下的關(guān)系具有顯著差異?！?2〕參見(jiàn)武騰：《個(gè)人信息積極利用的類(lèi)型區(qū)分與合同構(gòu)造》，載《法學(xué)》2023 年第6 期，第75-76 頁(yè)。當(dāng)個(gè)人的電商交易信息被互聯(lián)網(wǎng)企業(yè)收集時(shí)，電商企業(yè)常常提供個(gè)人交易記錄、支付記錄的查詢、刪除選項(xiàng)。此類(lèi)信息處理關(guān)系不僅具有較為便利的交互界面，而且信息處理者更在意用戶的體驗(yàn)。

第三，公開(kāi)個(gè)人信息弱化了個(gè)人信息權(quán)利的必要性。個(gè)人信息一經(jīng)公開(kāi)，就可能被不特定的主體收集和傳播，因此個(gè)人在自行公開(kāi)或公共機(jī)構(gòu)合法公開(kāi)個(gè)人信息前，就已經(jīng)對(duì)相關(guān)風(fēng)險(xiǎn)進(jìn)行過(guò)衡量，且能預(yù)計(jì)到其信息被不特定的主體進(jìn)行處理。在個(gè)人已經(jīng)有較強(qiáng)預(yù)期的前提下，應(yīng)當(dāng)整體上對(duì)公開(kāi)信息處理的風(fēng)險(xiǎn)自負(fù)其責(zé)。更何況，大量對(duì)個(gè)人信息進(jìn)行收集、利用和傳播的主體是普通自然人，這類(lèi)主體不具有自動(dòng)化、非自動(dòng)化或結(jié)構(gòu)性處理個(gè)人信息的能力，本來(lái)就不適用個(gè)人信息保護(hù)法?！?3〕參見(jiàn)彭誠(chéng)信：《論個(gè)人信息權(quán)與傳統(tǒng)人格權(quán)的實(shí)質(zhì)性區(qū)分》，載《法學(xué)家》2023 年第4 期，第150-151 頁(yè)。即使個(gè)人針對(duì)信息處理者行使相關(guān)權(quán)利，也無(wú)法禁止非信息處理主體對(duì)公開(kāi)個(gè)人信息進(jìn)行收集、利用和傳播。整體而言，利用個(gè)人信息權(quán)利保障公開(kāi)個(gè)人信息，其必要性將大大降低。

當(dāng)然，在少數(shù)情形下，針對(duì)公開(kāi)個(gè)人信息的信息權(quán)利應(yīng)當(dāng)強(qiáng)化。上文已經(jīng)提到，如果個(gè)人信息位于互聯(lián)網(wǎng)平臺(tái)的公共空間，而且被收集與利用后仍然位于平臺(tái)，那么個(gè)人針對(duì)此類(lèi)信息的轉(zhuǎn)移權(quán)或攜帶權(quán)應(yīng)當(dāng)強(qiáng)化。個(gè)人訪問(wèn)其位于公開(kāi)網(wǎng)絡(luò)平臺(tái)上的數(shù)據(jù)，不會(huì)給平臺(tái)帶來(lái)額外負(fù)擔(dān)。保障此類(lèi)場(chǎng)景中的個(gè)人信息攜帶權(quán)還能在一定程度上矯正個(gè)人與平臺(tái)在信息利用能力上的不平等，促進(jìn)數(shù)據(jù)公平利用?！?4〕如果考慮到用戶的數(shù)據(jù)公平訪問(wèn)利用權(quán)，則更應(yīng)當(dāng)保證這一權(quán)利的實(shí)現(xiàn)。參見(jiàn)丁曉東：《數(shù)據(jù)公平利用的法理反思與制度重構(gòu)》，載《法學(xué)研究》2023 年第2 期，第21 頁(yè)。在技術(shù)可行與生態(tài)兼容的情形下，個(gè)人應(yīng)當(dāng)可以訪問(wèn)與利用其個(gè)人信息，并要求第三方平臺(tái)接收其信息。平臺(tái)也無(wú)權(quán)通過(guò)用戶協(xié)議排除此種權(quán)利，即使個(gè)人違反用戶協(xié)議，平臺(tái)也無(wú)權(quán)向個(gè)體追究違約責(zé)任。〔65〕平臺(tái)公開(kāi)個(gè)人信息的轉(zhuǎn)移，還可能涉及競(jìng)爭(zhēng)秩序與侵權(quán)問(wèn)題。參見(jiàn)楊芳：《個(gè)人公開(kāi)信息爬取中侵權(quán)法與競(jìng)爭(zhēng)法的互動(dòng)》，載《中國(guó)法律評(píng)論》2022 年第6 期，第143 頁(yè)。

（二）信息處理者義務(wù)的整體維持

信息處理者對(duì)公開(kāi)個(gè)人信息處理的義務(wù)應(yīng)當(dāng)維持不變。例如，就《個(gè)人信息保護(hù)法》第51 條規(guī)定的義務(wù)而言，信息處理者制定內(nèi)部管理制度和操作規(guī)程、對(duì)個(gè)人信息實(shí)行分類(lèi)管理、采取相應(yīng)的加密、去標(biāo)識(shí)化等安全技術(shù)措施；合理確定個(gè)人信息處理的操作權(quán)限，定期對(duì)從業(yè)人員進(jìn)行安全教育和培訓(xùn)；制定并組織實(shí)施個(gè)人信息安全事件應(yīng)急預(yù)案，有利于保障公開(kāi)個(gè)人信息的安全、預(yù)防相關(guān)風(fēng)險(xiǎn)。同樣，對(duì)第52 條確立的個(gè)人信息專人保護(hù)制度、第53 條規(guī)定的境外個(gè)人信息處理者設(shè)立專門(mén)機(jī)構(gòu)或者指定代表、第54 條規(guī)定的合規(guī)審計(jì)、第55 條規(guī)定的個(gè)人信息保護(hù)影響評(píng)估，也應(yīng)要求信息處理者履行此類(lèi)義務(wù)。

信息處理者義務(wù)維持不變，其原理在于個(gè)人信息保護(hù)制度對(duì)微型風(fēng)險(xiǎn)大規(guī)模積聚的防范。個(gè)人信息保護(hù)制度之所以設(shè)置信息處理者義務(wù)，而非僅僅依賴于個(gè)人同意與相關(guān)個(gè)人信息權(quán)利，是因?yàn)閭€(gè)人信息保護(hù)需要防范信息處理的群體風(fēng)險(xiǎn)或社會(huì)風(fēng)險(xiǎn)。即使個(gè)體愿意自負(fù)風(fēng)險(xiǎn)，信息處理者仍然需要采取措施積極預(yù)防與消除此類(lèi)風(fēng)險(xiǎn)，況且面對(duì)現(xiàn)代科技的發(fā)展，以個(gè)體信息自決為基礎(chǔ)面臨越來(lái)越多的挑戰(zhàn)，〔66〕See Neil Richards & Woodrow Hartzog, The Pathologies of Digital Consent, 96 Wash.U.L.Rev.1461（2019）.信息處理者的義務(wù)與責(zé)任變得愈加重要。公開(kāi)個(gè)人信息雖然有其特殊性，例如，其私密性顯著降低，個(gè)人對(duì)于公開(kāi)個(gè)人信息更具有自主風(fēng)險(xiǎn)防范意識(shí)，但這些特征沒(méi)有改變信息處理者進(jìn)行大規(guī)模處理帶來(lái)的風(fēng)險(xiǎn)匯聚問(wèn)題。〔67〕See Solove, supra note 27, Access and Aggregation, at 1138.如果將個(gè)人信息處理類(lèi)比為水庫(kù)中的水滴匯聚，將單條個(gè)人信息類(lèi)比為經(jīng)過(guò)凈化的水滴，那么對(duì)于清潔水滴在水庫(kù)匯聚后，仍然可能產(chǎn)生各類(lèi)環(huán)境與生態(tài)反應(yīng)，水庫(kù)仍然需要承擔(dān)相關(guān)環(huán)境保護(hù)與風(fēng)險(xiǎn)預(yù)防責(zé)任。〔68〕See Omri Ben-Shahar, Data Pollution, 11 J.Legal Analysis 104 （2019）.

有的信息處理者義務(wù)應(yīng)該弱化，甚至豁免。例如，對(duì)于個(gè)人信息出境的相關(guān)規(guī)定，互聯(lián)網(wǎng)公開(kāi)個(gè)人信息的出境應(yīng)當(dāng)豁免相關(guān)義務(wù)。信息處理者應(yīng)不需要履行《個(gè)人信息保護(hù)法》第38 條規(guī)定的“國(guó)家網(wǎng)信部門(mén)組織的安全評(píng)估”“個(gè)人信息保護(hù)認(rèn)證”或按“標(biāo)準(zhǔn)合同與境外接收方訂立合同”義務(wù)，第39 條規(guī)定的獲得“個(gè)人的單獨(dú)同意”義務(wù)，以及第55 條規(guī)定的個(gè)人信息保護(hù)影響評(píng)估義務(wù)。因?yàn)閷?duì)互聯(lián)網(wǎng)上的公開(kāi)個(gè)人信息而言，境外信息處理者可以自由無(wú)障礙地獲取，設(shè)立此類(lèi)義務(wù)既不現(xiàn)實(shí)，也無(wú)必要。此外，當(dāng)相關(guān)個(gè)人信息處理具有“正當(dāng)利益”，〔69〕在我國(guó)制定《個(gè)人信息保護(hù)法》時(shí)，正值我國(guó)個(gè)人信息亟待規(guī)范之際，因此我國(guó)立法者并未像歐盟立法者一樣，將信息處理者的“正當(dāng)利益”列為處理個(gè)人信息的合法性基礎(chǔ)。但從個(gè)人信息保護(hù)法的基本原理來(lái)看，信息處理者的正當(dāng)利益應(yīng)當(dāng)被視為個(gè)人信息處理的合法性基礎(chǔ)。關(guān)于作為合法性基礎(chǔ)的“正當(dāng)利益”條款的分析，參見(jiàn)易磊：《歐盟法中個(gè)人數(shù)據(jù)保護(hù)與商業(yè)利用的平衡模式研究》，載《德國(guó)研究》2022 年第5 期，第87-88 頁(yè)。屬于公共利益或企業(yè)發(fā)展所必需時(shí)，如果相關(guān)信息處理方式?jīng)]有不成比例地增加有關(guān)風(fēng)險(xiǎn)，那么相關(guān)處理都應(yīng)被視為合法。例如，對(duì)于互聯(lián)網(wǎng)的公開(kāi)個(gè)人信息，搜索引擎對(duì)其進(jìn)行搜索、儲(chǔ)存和公開(kāi)，不應(yīng)將其視為泄露個(gè)人信息。

六、結(jié)語(yǔ)

就公開(kāi)個(gè)人信息保護(hù)制度而言，形成了以美國(guó)為代表的公開(kāi)個(gè)人信息一般豁免、以歐盟為代表的公開(kāi)個(gè)人信息同等保護(hù)，以及以我國(guó)為代表的公開(kāi)個(gè)人信息特殊保護(hù)制度。各個(gè)國(guó)家和地區(qū)的法律制度之所以不同，是因?yàn)槠浞煽蚣芘c基礎(chǔ)理論不同。美國(guó)采取“大隱私”的框架，更多支持個(gè)人的自負(fù)其責(zé)與信息的共享流通，歐盟針對(duì)自動(dòng)化、半自動(dòng)化或結(jié)構(gòu)化處理個(gè)人信息制定個(gè)人信息保護(hù)制度，因此整體并不區(qū)分公開(kāi)個(gè)人信息與非公開(kāi)個(gè)人信息。我國(guó)采取了美國(guó)與歐盟的中間道路，在允許公開(kāi)個(gè)人信息自由處理的同時(shí)，通過(guò)相關(guān)規(guī)定對(duì)自由處理進(jìn)行了限定。筆者認(rèn)為，我國(guó)的公開(kāi)個(gè)人信息保護(hù)制度在整體具有更高合理性的同時(shí)，需要對(duì)相關(guān)原理進(jìn)行進(jìn)一步闡述，對(duì)相關(guān)制度進(jìn)行進(jìn)一步界定。

具體而言，在原理層面公開(kāi)個(gè)人信息具有若干特點(diǎn)。其一，公開(kāi)個(gè)人信息為個(gè)人自行公開(kāi)或通過(guò)公共機(jī)構(gòu)合法公開(kāi)，因此在公開(kāi)環(huán)節(jié)，個(gè)人或公共機(jī)構(gòu)就已經(jīng)對(duì)相關(guān)風(fēng)險(xiǎn)進(jìn)行了權(quán)衡，這為公開(kāi)個(gè)人信息的處理提供了更強(qiáng)的合理性，也進(jìn)一步削弱了本來(lái)就存在困境的個(gè)人信息個(gè)體控制論?！?0〕個(gè)人自行公開(kāi)與通過(guò)公共機(jī)構(gòu)合法公開(kāi)仍然存在一定差別，本文認(rèn)為，法律對(duì)于后者的保護(hù)應(yīng)當(dāng)比前者更嚴(yán)格，因?yàn)閭€(gè)人自行公開(kāi)時(shí)，個(gè)人的權(quán)衡應(yīng)當(dāng)包括個(gè)人信息的被應(yīng)用于不特定用途，而后者則是基于特定目的的公開(kāi)，個(gè)人信息公開(kāi)的目的與其未來(lái)被處理的場(chǎng)景可能存在較大區(qū)別。參見(jiàn)齊英程：《已公開(kāi)個(gè)人信息處理規(guī)則的類(lèi)型化闡釋》，載《法制與社會(huì)發(fā)展》2022 年第5 期，第216-219 頁(yè)。其二，個(gè)人信息保護(hù)制度主要針對(duì)個(gè)人信息的匯聚性風(fēng)險(xiǎn)，個(gè)人信息雖然自行公開(kāi)或合法公開(kāi)，但并未完全消除對(duì)其保護(hù)的必要性。就此而言，個(gè)人信息保護(hù)制度尤其是其中的信息處理者義務(wù)仍然具有重要意義。其三，信息處理者對(duì)公開(kāi)個(gè)人信息的收集利用往往從公共領(lǐng)域或第三方獲取，信息處理者與個(gè)體往往缺乏溝通界面與信任互惠關(guān)系。就此而言，法律針對(duì)公開(kāi)個(gè)人信息保護(hù)的必要性反而有所增強(qiáng)。

在制度層面，我國(guó)的公開(kāi)個(gè)人信息豁免制度應(yīng)當(dāng)主要限定在個(gè)人信息收集環(huán)節(jié)。在信息收集環(huán)節(jié)，應(yīng)當(dāng)允許信息處理者不必經(jīng)過(guò)告知同意?！?1〕參見(jiàn)張薇薇：《公開(kāi)個(gè)人信息處理的默認(rèn)規(guī)則——基于〈個(gè)人信息保護(hù)法〉第27 條第1 分句》，載《法律科學(xué)》2023 年第3 期，第73-75 頁(yè)；寧園：《“個(gè)人信息已公開(kāi)”作為合法處理事由的法理基礎(chǔ)和規(guī)則適用》，載《環(huán)球法律評(píng)論》2022 年第2 期，第81-84 頁(yè)。對(duì)于何謂公開(kāi)個(gè)人信息，以及何謂《個(gè)人信息保護(hù)法》規(guī)定的“在合理的范圍內(nèi)”“個(gè)人明確拒絕的除外”“對(duì)個(gè)人權(quán)益有重大影響”，應(yīng)當(dāng)以理性個(gè)體或社會(huì)的合理預(yù)期、結(jié)合信息處理的技術(shù)可行性與社會(huì)風(fēng)險(xiǎn)進(jìn)行界定，避免以個(gè)體主觀感受為判斷標(biāo)準(zhǔn)。在個(gè)人信息收集之后，針對(duì)公開(kāi)個(gè)人信息的個(gè)人信息權(quán)利與信息處理者義務(wù)仍然適用。不過(guò)個(gè)人信息權(quán)利應(yīng)當(dāng)整體弱化，只有極少數(shù)情形才應(yīng)強(qiáng)化某些信息權(quán)利，例如，針對(duì)互聯(lián)網(wǎng)公開(kāi)個(gè)人信息的攜帶權(quán)。信息處理者義務(wù)應(yīng)當(dāng)整體維持不變，但也應(yīng)當(dāng)弱化或豁免個(gè)人信息出境、個(gè)人信息公開(kāi)等義務(wù)。