【观点采撷】已公开个人信息弱化保护制度的反思与矫正（三）

　　三、已公开个人信息弱化保护的解释论矫正路径

　　我国对已公开个人信息的弱化保护虽有因由，却可能导致以“保护公益”为名目的信息垄断取代了本应实现的私益保护，使个人信息自决权失去有效保障。前述弱化保护所致种种弊端的根因在于，已公开个人信息的主体的意思无法得到有效表达和尊重，但这并非无法化解。《个人信息保护法》第27条规定，处理已公开个人信息必须合法、合理，并进一步限制了已公开个人信息的处理方式和范围，以信息主体的明确拒绝为处理其个人信息的“红线”。因此，以尊重信息主体的信息处理意志为基点合理诠释该条的规范旨意，通过释明概念、界定范围，即可落实个人信息保护的私法意涵，强化公开信息的保护。

　　(一)限定已公开的个人信息的范围

　　依据《个人信息保护法》第27条前段，“个人信息处理者可以在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息”,通过限制“已公开个人信息”的具体内涵，可防止其无限扩张，损害信息主体的权益。本文认为，已公开的个人信息特指有权公开信息者向不特定人发布的、且无需借助特殊手段即可从合法公开渠道合法获得的个人信息，而非单指信息在整个互联网上存在的客观状态。第一，“已公开的个人信息”限定于有权公开该信息者向不特定多数人发布的个人信息。有权公开信息者包括信息主体本人以及行政公开、司法公开中依法有权公开相关个人信息的主体。此类主体明知其行为将导致不特定多数人都可接触该个人信息，而仍将该信息公之于众，可谓“向不特定多数人发布”；其所意欲的可获得该信息的对象，非为个别人或特定的多数人，为此“不特定多数人”。因此，从该主体的视角出发，若仅有特定多数人可获得该信息，不属于“公开”。例如，同是发布在微博等社交平台的个人信息，如果信息主体明确限定只有特定人可见，或者其虽设置了“关注我可见”,技术上任何人只要“关注”这个账号便可查阅相关内容，但由于信息主体的社交范围狭小，实际上只有特定人能查看该信息，则该信息不属于公开，而无论技术上是否不特定多数人都可查看该信息。第二，“已公开个人信息”限定于在公开渠道发布的个人信息。任何人无需满足特定条件或具备特殊技术手段，即可合法获取该个人信息，即为“公开渠道”。因为以特定条件或特殊技术手段为获取门槛，与“公开”概念实质相斥：此类设计正是为了避免信息被所有人直接获得。例如用户的IP地址，因需要特殊技术手段才能获取，不属于“公开信息”。在学校校内网、公司内部网上公开的个人信息，即便有再多人可以看到，但只有特定IP地址或用户方可查阅，属于要求特定条件才能获取，也不属于“公开信息”。至于需第三方处理者先进入特定网站，再用内部引擎进一步检索获取的个人信息是否属于公开，需区别论之。若网站的准入机制使得一般人无法获得该个人信息，则该信息也不属于“公开”,但是，如中国裁判文书网，用户只需简单注册即可获取被司法公开的个人信息的，相关信息应被视为公开，因为其以简单注册作为准入条件，并非以隔绝一般人获知信息为目的。第三，“已公开个人信息”限定于合法发布的个人信息。“合法发布”包括获取渠道合法、信息来源合法、合法公开状态持续三层意涵。如果不以这样的全局视野审核处理已公开信息的合法性，而仅片段化地考察个人信息在某一阶段所处的客观状态，可能使信息处理者忽略信息主体的意思表示，事后寻找信息已被公开的依据，甚至以技术手段伪造信息公开时间，逃避法律责任，使信息主体的个人信息自决权彻底落空。试举一例：某生甲的名字、电话号码、就读情况等个人信息储存在相关负责人手机中。该信息被乙以木马程序盗取并取名《X校同学录》发布在A平台，丙将该信息集转载至B平台。甲自己在C平台上，亦透露过自己的学号、就读情况等信息，丁看到后与甲取得联系。甲惊觉自己信息泄露，故删除了C平台上所有相关内容，而戊在检索甲时，通过搜索引擎提供的“快照”获知相关信息并转交他人。乙、丙、丁、戊处理甲之个人信息时，相关信息均处于客观上可被不特定多数人获取的状态，但其行为评价并不相同。其一，丁获取甲之自行公开的信息的渠道、来源皆合法，处理的可谓合法的已公开个人信息。其二，乙以黑客方式获取信息的渠道非法，所处理的非为“已公开个人信息”。其三，丙所处理的甲之个人信息源于乙的非法行为，信息来源非法，丙却未履行审慎处理的义务即进一步传播该信息，其所处理的信息亦不应归为“已公开个人信息”。其四，戊处理甲之个人信息时，甲已通过自行删除该信息明确拒绝处理，因信息已公开而可未经甲同意处理的合法状态已终止，戊所处理的并非“已公开个人信息”。如此，通过对信息获取渠道、来源和实际公开状态的三重审核，能够有效限缩“已公开个人信息”的范围，尊重信息主体意图，保护其信息权益。

　　(二)明确对个人权益有重大影响的情形

　　依据《个人信息保护法》第27条后段：“个人信息处理者处理已公开的个人信息，对个人权益有重大影响的，应当依照本法规定取得个人同意。”《民法典》第1036条规定，处理已合法公开的个人信息，行为人不承担民事责任，“处理该信息侵害自然人重大利益的除外”。前者将“对个人权益有重大影响”的公开信息排除于“已公开信息”的调整规范之外，适用“知情同意规则”；后者则将“处理已公开信息侵害自然人重大利益”排除于免责条款之外。共同之处是将“对信息主体权益产生重大影响”作为阻却处理者任意处理个人信息的正当性根据，但何为“对个人权益有重大影响”却未予明确。因此，合理阐释“对个人权益有重大影响”的情形，对于“已公开信息”予以充分、有效保护具有重要意义。《个人信息保护法》全文一共有三处提及信息处理“对个人权益有重大影响”,因此应体系解释该概念，以统合相同表述的涵摄范围，实现制度内部的逻辑一致性。本文认为，解释“对个人权益有重大影响”应当从信息本身的属性及信息处理方式两方面予以考虑。第一，“对个人权益有重大影响”的公开信息。可通过衡量受影响权益的重大程度和信息主体的弱势程度来判断此类信息。其一，已公开信息关涉信息主体基本权益。此类信息一旦处理不当，容易侵害其人格尊严和自由，甚至危害其人身、财产安全，属于敏感个人信息，应予以特别保护。例如，信息主体佩戴运动手表环绕所住小区跑步后，自动发布至健身APP平台的健身路线和频率。这些信息涉及对信息主体生活状况的评价，可能影响其名誉权或隐私权；又因其揭露了信息主体的所在地，该主体及其家人的生活安宁甚至生命权、健康权亦因此陷于受侵害的风险之中。即便个人为了督促自己健身而将此类信息公开发布，也不得任意处理此类信息。《个人信息保护法》第29条亦规定处理此类敏感信息需个人单独同意。其二，已公开信息之主体易受不当处理侵害。在处理如未成年人、老年人、残疾人等弱势群体的已公开个人信息时，由于他们对信息处理的机制理解较少，维护自己权益、抵御侵害的能力较为薄弱，因此即便是对一般人而言较普遍的对已公开个人信息的处理，例如分享电话号码，也可能对其权益有重大影响，因此更需给予其知情同意的机会。第二，“对个人权益有重大影响”的处理方式。可通过衡量信息处理活动的风险程度及其影响来界定。其一，处理方式增加了信息被不当处理风险。如《个人信息保护法》第39条规定，“向境外提供个人信息”需经个人的单独同意，此类处理方式涉及多个处理者，这些处理者不仅可能资质良莠不齐，其处理目的也可能截然不同，由此极大增加了个人信息被非法利用、侵害个人权益甚至社会公益、国家安全的风险。其二，信息处理的影响不明。例如，利用已公开个人信息进行自动化决策，特别是以未明影响的新技术手段处理已公开个人信息的情形。以这类方式处理信息，即便个人权益因此受损，具体原因也因“算法黑箱”而难以查明，但信息主体在公开信息时，其并不知道该信息将被哪位处理者用于何种自动化决策，亦不知该决策会如何影响其权益，故在令已公开信息之主体承担此等风险前，应取得其知情同意。

　　(三)限制合理处理个人信息的条件

　　《民法典》第1034条规定“自然人的个人信息受法律保护”,旨在保护个人对其信息所享有的合法权益，而非将保护个人信息完全归于维护公共秩序、保护公共利益的需要。然而，《个人信息保护法》第13条第6项规定，处理者可仅因信息已被合法公开而得处理信息，其正当性不足以媲美个人知情同意，更明显偏向保护处理者利益。因此，为平衡个人利益、公共利益和处理者利益，需诠释合理处理的条件，限缩处理已公开个人信息的合理范围，以实现对自然人人格权益的恰当保护。第一，需以处理过程合法、用途合法为前提。保护个人信息是动态、持续的过程。既需严格事前准入，又应持续监管处理行为，确保信息处理者始终遵守信息处理的原则和规则，更要事后评价其处理结果，规制用途不当甚至非法的信息处理。若信息处理在任一环节涉及违法，都非为“合理处理”。例如，一张精心拍摄的肖像照片之上，同时承载了个人信息权益、肖像权和著作权三类权益，若信息处理者侵犯任一权益，都不能谓之为合理处理个人信息。第二，需以合理形式处理涉及公共利益的已公开个人信息。处理已公开个人信息，具有学术研究、公共管理等社会价值。[8]46若以特定方式处理已公开个人信息是为实现必要的公共利益所必需，有必要允许合理范围内的处理。其一，处理应合乎比例原则。若处理已公开个人信息是为学术研究，为艺术、文学表达，或为公共利益进行的归档、统计所必需，为实现研究自由和表达自由，可以相应克减个人信息权益，但若能以彻底匿名或假名形式实现此类目的，则应采用该形式。其二，处理应符合公序良俗。处理过程应严守学术道德和学术规范，不得扭曲个人信息内容或断章取义。其三，对于非以“新闻报道、舆论监督等”等易于察知的方式处理已公开个人信息的，应在合理时限内告知信息主体，以便信息主体能有效行使《个人信息保护法》第46条规定的信息更正、补充权。第三，需以尊重信息主体意愿为基准。个人信息虽有显著的商业价值 ,但是，不能简单地以实现另一主体的经济利益证成未经同意处理个人信息的正当性。否则，自然人的基本人格权益将被降等为纯粹的生产资料,成为另一些组织和个人攫取经济利益的工具。自然人既无法控制，也无法受益，最终导致人的异化。因此，尤其在为营利目的处理个人信息时，处理者应尊重信息主体的信息处理意图。研究表明，在信息主体自行公开其个人信息时，其对谁可见该信息、该信息可能被以什么方式利用，确实有所预期,故处理已公开个人信息的合理范围应参照《个人信息保护法》一审稿和二审稿第28条的规定，以信息主体在公开信息时所明确的用途为基准，若用途不明确的，则需审慎处理。超出信息主体所明确的用途或本应推知的用途，不属于合理处理，除非还有其他合法性基础，否则应适用告知同意规则。而若第三方处理者以自己写的“爬虫”程序，处理信息主体在商业平台上自行公开的信息，则应区分商业性质的第三方处理和公益性的第三方处理，后者处理已公开个人信息无需再经过平台专门授权，而前者需与平台协商并尊重信息主体意愿。为实现公共利益所必需，本就是未经信息主体同意而得处理其已公开信息的条件之一。因此，为公益性而进行的第三方处理，平台没有拒绝的正当性。如果完全禁止这种处理，反而阻碍信息自由，涉嫌信息垄断。与之相反，若第三方处理者试图借由既存的网络服务设施获取个人信息以商业牟利，在经济上“搭便车”,自然应与第一手信息处理服务设施提供者协商。但是，即便平台同意授权给第三方，信息主体也有拒绝自己的信息被贩卖的权利。以“新浪微博诉脉脉案”为例，二审法院指出第三方处理者需经“用户+平台+用户”的三重授权。因为脉脉作为一个约会社交的商业软件，以“爬虫”程序获取个人信息，其信息处理既是对新浪微博财产的商业利用，又直接关系个人的形象塑造、社交网络，会对信息主体权益造成重大影响，故应经平台和信息主体同意。

　　(四)界定“明确拒绝”的形式

　　“明确拒绝”是《个人信息保护法》第27条为防止信息处理者侵害信息主体信息自决权提供的最后一道防线。依文意解释，“明确拒绝”的意思表示需以明示方式，尤其是书面形式为之，即“明示拒绝”。信息主体若想拒绝特定形式、特定目的的信息处理，应以足够明确的文本、语音等可以被记录的形式明确表达限制、拒绝其信息被处理的意愿，并且，该意愿的表示需确已到达信息处理者，为信息处理者所知。然而，鉴于信息处理者常常在未给予信息主体“明示拒绝”机会时就先行处理“已公开信息”,为保护信息主体信息自决权，“明确拒绝”的形式不应当仅局限于“明示拒绝”:若信息处理者在信息处理之前未为信息主体拒绝信息被处理权的行使提供条件、渠道，只要信息主体未有明确的同意信息处理的意思表示，亦应认定为“拒绝”,此为“默示拒绝”。明示拒绝和默示拒绝都具有“明确拒绝”的效力——已公开个人信息以不可处理为原则。“默示拒绝”的认定，要求信息处理者负有勤勉尽责的义务。第一，处理者需为信息主体提供明确表意机制的义务。在数字世界中，信息主体虽生产信息，但通常无法改变信息处理的结构和流程。与之相反，处理者则是最佳的甚至是唯一的信息处理程序的控制者。个人的拒绝信息被处理权的实现必然以处理者提供拒绝的渠道和机会为前提。处理者应确保信息主体有明确表意的条件，并主动构建可以获知该表意的信息处理框架。例如GDPR第25条第1款即规定，控制者应通过适当的技术手段和程序设计保障信息主体权利。若处理者吝于提供此类机制，则应遵循不可处理个人信息的原则，将个人未明示拒绝信息处理视为信息主体仅是因为缺乏表意渠道而没有反对，构成“默示拒绝”。第二，处理者提供的表意机制的默认设置应最有利于个人信息保护。难以明确信息主体之意图的根因不在人类心理活动的复杂，而在信息主体缺乏恰当的表达渠道。以信息主体之意图衡量信息处理是否合理，并非“徒增不确定性”的无用之举。通过恰当的程序设计，有意愿的信息主体自然会选择以最合乎其希望的方式行使拒绝权。“获得同意前即处理了需获同意的信息”的困境，便可由处理者为信息主体提供相应的表意机制化解。该机制无需复杂，可参考CCPA于第9条赋予消费者“拒绝销售或分享个人信息的权利”,只要允许信息主体在公开其个人信息时，能够有效标注三种情况，即可囊括信息主体所关注的大部分处理信息的用途：1)该信息可否被以买卖、实质性改编等形式商业化利用；2)未经单独授权，该信息可否分享给第三方；3)处理者可否转授权第三方处理该信息。鉴于信息本身已被公开，这三种情况都可默认设置为“是”。但若有证据表明处理者刻意隐藏该设置的存在，以利用信息主体管理自己信息的惰性，则视为其未提供有效表意机制。这样，处理者在处理具体的个人信息前，可以通过检索信息主体赋予该信息的标签，有效排除已被信息主体拒绝以特定方式、为特定目的、由特定主体处理的信息。信息主体由此获得了明确表意的渠道，处理者也可以基于信息主体的主动行为，确认其是否明确拒绝信息处理。第三，处理者不得以格式条款排除信息主体的拒绝信息被处理权和自己对应的法定义务。上文提出的三类用途，正是各类网络服务平台型处理者通常以格式条款强制用户同意的处理用途。若用户选择拒绝此类处理，也不构成违约。其一，拒绝信息被处理权不可被约定排除。个人信息权益是不可克减的基础性人格权益，兼具公益和私益，与可被支配的纯粹财产性权益不同，个人并不能基于主观意图放弃，正如约定对方可任意处分自己生命的条款无效一样。《个人信息保护法》第27条规定信息主体对处理其已公开的个人信息享有拒绝权，第44条规定“个人对其个人信息的处理享有知情权、决定权，有权限制或者拒绝他人对其个人信息进行处理；法律、行政法规另有规定的除外”,但是并没有规定“个人与信息处理者另有约定的除外”。因此，信息主体不能自愿完全放弃拒绝信息被处理权。其二，不合理地限制或排除自然人的拒绝信息被处理权的格式条款无效。未向信息主体提供有效表意机制，而强制其同意一切信息处理的格式条款，将不合理地限制或排除个人拒绝信息被处理权这一基本权益，依据《民法典》第497条第2项，应属无效。信息主体行使其拒绝权，不属于违约。若处理者无法证明其已提供有效的表意机制，即便个人已经概括同意格式条款，也应视为该信息主体默示拒绝非必要的信息处理。于此，若在信息主体以其他方式明确表示拒绝以特定方式、由特定主体处理该信息后，处理者继续处理信息，即便处理者主张其不知信息主体的拒绝，或信息主体已通过格式条款同意该信息处理，该处理者也应依据《个人信息保护法》第69条第1款，承担侵权责任，除非该处理行为存在《个人信息保护法》第13条第1款第2、3、4、5、7项所规定的其他合法性基础。允许信息处理者无需信息主体同意即处理其已公开信息，有助于利用信息的公用价值和商业价值。在大数据时代，挖掘巨量信息流对培育新的信息技术产品是不可或缺的，广泛处理已公开信息也为社会治理提供了更全面的视角。保护已公开个人信息的核心在于如何尊重信息主体的拒绝。如果拒绝无意义，则同意也将无意义。本文意欲矫正的并非法条本身，而是过度弱化保护已公开个人信息的法律实践：处理者可能利用法律的模糊，通过提高主张权利成本的方式，构建便利的无视拒绝的系统。当然，设计明确表意机制为处理者增加的成本客观存在，若为保护已公开个人信息，导致只有大型商业处理者才有能力负担此类成本，阻却公益性或中小型处理者进入市场，反而更加固了市场垄断，对信息主体更为不利。因此，涉及技术成本的改进措施，对公益性或中小型的处理者的要求可适当放宽。《个人信息保护法》弱化了对已公开个人信息的保护，表现为已公开的个人信息以可处理为原则，但受到“合理处理”的限制。这虽是出于平衡信息保护和信息自由的务实需求，弱化保护已公开信息却使得个人信息自决权难以获得有效保障。第三方信息处理者可能声称，其基于信息已被公开处理个人信息，信息主体的拒绝不影响其信息处理，甚至以格式条款限制或排除信息主体的拒绝信息被处理权。而信息主体又缺乏限制处理者以特定形式处理其特定信息的渠道，无法明确地表达自己的诉求，使得处理者得以忽略其诉求，而履行信息保护职责的部门也因为无从了解个人的具体诉求，而只能概括归纳其认为合理的信息处理范围，无法验证该范围是否与个人所意欲的范围相契合。结果，个人往往认为自己的信息自决权没有得到应有的保护，其根本原因在于，缺乏对自己的表意得到有效回馈的感知。通过解释《个人信息保护法》第27条有助于矫正弱化保护已公开个人信息的弊端：“已公开个人信息”限于有权公开信息者向不特定人发布的且无需借助特殊手段即可从公开渠道合法获得的个人信息。若信息处理关涉个人基本权益，或放大其权益受损风险，甚至将影响国家安全、社会公共利益，即属对个人权益有重大影响的信息处理，需信息主体同意。信息处理既应合法合规，处理方式和范围也应能为信息主体所合理预见，除非是为实现公共利益所必需的处理。处理者有义务为信息主体提供可明确地表达其信息处理意图的机制，该机制的默认设置应最有利于个人信息保护。未提供该机制而个人未明示拒绝处理已公开信息的，应视为默示拒绝，同样具有明确拒绝信息被处理的法律效力。信息主体的拒绝信息被处理权不能被约定排除，排除或不合理地限制该权利的格式条款无效。

　　来源：《吉林大学社会科学学报》2022年第4期。