論已公開個人信息的“合理處理”

解 正 山

(上海對外經貿大學 法學院，上海 201620)

信息保護實踐中，與已公開個人信息處理有關的侵權糾紛日益增多且存在諸多法律爭議。其中，未經同意或告知便收集處理信息主體已公開的個人信息是否會侵犯他們的隱私？換言之，個人信息一旦公開是否即不再有隱私等權益保護問題？如何為信息處理者處理該類信息設定行為邊界？立法上雖要求信息處理者“合理處理”已公開的個人信息，但合理與否如何判斷？通常，信息主體有充分理由反對他人處理其非公開個人信息，但如果這些信息已被公開，那么，信息主體的反對是否還能得到法院認可？這些是已公開個人信息保護及利用中應予回應的法律難題。本文以我國《個人信息保護法》第13條、第27條以及《民法典》第1036條第2項為規范依據，從解釋論視角對上述理論與實務問題進行探討。

一、已公開個人信息“合理處理”要求入法

(一)“已公開個人信息”概念辨析

關于個人信息，《個人信息保護法》第4條第1款、《民法典》第1034條第2款、《網絡安全法》第76條第5項等條款分別對其進行了定義。整體上，現行立法多將個人信息定義為以電子或其他方式記錄的任何能直接或間接識別特定個人的各種信息。類別上，《民法典》通過識別性與私密性將個人信息區分為非私密信息與私密信息，并將后者納入隱私范疇且援用隱私權保護策略。不同于《民法典》，《個人信息保護法》將個人信息區分為敏感個人信息與非敏感個人信息兩類。上述兩種區分具有不同的規范目的與意義：前者重在規范個人信息處理行為，借此向處理敏感個人信息的行為人課以特別義務；后者側重點在于明確涉及個人信息的民事權益類型與保護方法的差異，即確立隱私權與個人信息權益的二元保護模式[1]。但無論何種類型的個人信息，均應受法律保護已是基本的理論共識與法律原則。

至于“已公開的個人信息”，立法上未作進一步定義。從字面來看，其與非公開的個人信息相對應，是根據公開與否對個人信息進行的分類。實踐中，已公開信息一般指未通過登錄規則或其他隱私保護措施設置了訪問權限的信息。公開與否的分類方法同樣具有法律或規范意義，其對信息處理行為的法律后果具有顯著的影響。

類型上，根據《個人信息保護法》第13條第1款以及《民法典》第1036條第2項規定，已公開個人信息包括自然人自行公開的信息以及其他已經合法公開的信息兩類，后一類信息典型的如“國家機關依職權制作的文書和公開實施的職權行為等信息來源所發布的信息”。內涵上，已公開的個人信息，既可能是一般個人信息，也可能是他們的私密信息或敏感個人信息。本質上，已公開的個人信息仍屬個人信息范疇，其不同于已無法識別特定個人的“匿名信息”，該類信息的處理一般無需征得信息主體的同意。此外，已公開個人信息也不同于“公共信息”，后者在我國的法律語境中具有較明確的含義，一般指行政部門以及其他具有公共管理和服務職能的機構在依法履行公共職能過程中生成、采集并以一定形式記錄、保存的各類數據資源[2]。因此，認為應以“公共信息”概念代替“已公開個人信息”概念的主張[3]，顯然不當限縮了已公開個人信息的范圍。

(二)“合理處理”規范的演化及其解釋論

對于已公開的個人信息，我國《最高人民法院關于審理利用信息網絡侵害人身權益民事糾紛案件適用法律若干問題的規定》(以下簡稱《網絡侵權規定》)原第12條第1款第4項以及第2款最初規定：除非以違反公共利益、社會公德等方式公開或公開行為侵害了自然人的重大利益，否則，行為人再次公開“自然人自行在網絡上公開的信息或者其他已經合法公開的個人信息”無需承擔侵權責任。該規定后被《民法典》第1036條第2項吸收。為保持銜接，《個人信息保護法》第27條再次重申可在合理范圍內處理已公開的個人信息。比較而言，《民法典》與《個人信息保護法》的上述條款通過“處理”這一措辭擴大了已公開個人信息免責利用的方式，包括“收集、存儲、加工、使用、傳輸、提供、公開、刪除”等多種行為。

1.合理謹慎——處理已公開個人信息的一般要求

對于已公開個人信息的處理，核心問題之一是根據何種標準判定處理行為是否“合理”？

內容上，作為“合理處理”的最低要求，信息處理者應承擔以下各項一般性義務：一是《民法典》第111條向其課以的“依法取得”個人信息這一積極的作為義務；二是《個人信息保護法》第10條、《民法典》第111條等條款規定的不作為義務(禁止性義務)，主要包括“不得非法收集、使用、加工、傳輸他人個人信息”“不得非法買賣、提供或者公開他人個人信息”，以及“不得從事危害國家安全、公共利益的個人信息處理活動”等義務。這些義務的根本宗旨在于保護信息主體不因個人信息處理行為而受到侵害，同時確保信息處理者以不違反公共利益或社會公德等方式處理個人信息。除上述一般性義務外，根據《個人信息保護法》第5條、《民法典》第1035條第2款規定，信息處理者還應遵循合法、正當、必要、誠信等基本原則，合理謹慎地處理個人信息，不得以誤導、欺詐、脅迫等方式處理個人信息，“同意原則”適用存在的例外情形尤應受這些原則的約束。

一般認為，“正當”之要求主要包括個人信息使用目的正當合理、獲取方式正當等。目的約束是一項國際通行的數據處理行為準則，是多數國家個人信息保護立法的基石[4]。 為實現公共利益或履行法定職責而處理個人信息是目的正當合理的應有之義，對此并無爭議，但對于為實現私人利益或商業利益而處理個人信息的行為，則存在正當與否的問題。實踐中，越來越多的處理個人信息行為是為實現商業利益，但應強調的是，商業化使用行為本身并非不正當。信息處理者以窺探個人隱私等目的進行的數據匹配與信息處理顯然屬于目的不當。很多時候，信息主體雖不介意甚至希望自己公開的照片被廣泛傳播，但他們多不愿意自己的照片被用于人臉識別；他們不介意自己的信息被用于疫情防控，但卻抗拒參與心里健康研究。獲取方式正當主要指不得采用法律禁止的技術手段采集或抓取個人信息，尤不應對采集或抓取的個人信息進行不當篡改或以其他不當方式進行處理。

關于“必要”，其目的在于防止過度處理，立法上要求信息處理者采取對個人信息權益影響最小的方式處理個人信息，且不得過度收集。這意味著信息處理者需對處理個人信息不同方案的損害程度進行比較，必要時，還須對處理行為引發的風險進行全面評估，進而“選擇沒有損害或最小損害的處理手段”[5]。對于敏感個人信息，信息處理者則應“在具有特定的目的和充分的必要性，并采取嚴格保護措施的情形下”才可處理。同時，“必要”原則也同樣適用于不同的信息處理者之間。“大眾點評訴百度案”中，法院即認為被告通過搜索技術大量抓取并全文展示原告網站上的用戶點評信息的行為超過了必要限度，其欲實現提升消費者體驗與豐富消費者選擇等積極效果與給原告造成的損失并不符合利益平衡原則。(1)參見上海知識產權法院(2016)滬73民終242號民事判決書。一般認為，數據抓取者抓取已公開的個人信息時，應注意不得惡意抓取且其抓取行為不應給目標網站造成額外負擔，同時，抓取的已公開信息應限于事實性而非獨創性的信息，且僅應將其用于生產創新性產品，而非通過引誘用戶或以類似產品等方式竊取目標網站/信息控制者的市場份額[6]，更不得超范圍使用從而侵害信息主體合法權益。實務中，超范圍使用個人信息之行為一般都會被認定為違反必要原則，“騰訊訴抖音案”即為此例。(2)參見天津市濱海新區人民法院(2019)津0116民初2091號民事裁定書。

至于“誠信”，其基本要求是：信息處理者應忠誠地對待信息主體的信任、誠實地履行自己的義務、遵守合理的商業標準，不得欺詐或獲取不正當利益，以合乎信息主體合理期待的方式處理他們的個人信息。這也是我國《民法典》第7條規定的“秉持誠實，恪守承諾”的基本意涵。實踐中，當網絡用戶“訪問網站、搜索查詢、網上購物以及提供個人數據時，多半是因為相信這些交易相對方在提供數字產品與服務時會保護好我們的個人數據，更不會濫用這些數據”[7]。這是一種“特殊的信任——數字信任，蘊含著我們對數字產品與服務提供商利用個人信息是使我們受益而非損害我們利益的基本信念”[8]。因此，如果處理個人信息所產生的結果是限制他們的權利、歧視他們或以其他方式侵害他們的權益，那么，信息處理者就違背了信息主體的信任或合理期待。作為“合理處理”的內在要求，信息處理者應以符合個人信息被公開時的用途進行處理，否則，作為謹慎義務的一部分，其應取得信息主體同意；當個人信息公開時用途不明，信息處理者更應合理謹慎處理，不得濫用個人信息，以難以預料的方式使用個人信息并對信息主體產生不利影響，或以其他方式對信息主體造成不合理的損害風險等[9]。

2.同意例外——處理已公開個人信息的特殊規則

個人信息與個人的身份密不可分，其關乎自然人的尊嚴與隱私等人格權益。“承認自然人的個人信息權益就必然導致對他人行為的限制”[10]，處理個人信息前取得個人同意正是這種限制的重要體現。理論上，“同意是一個頗具爭議的概念，其在人際交往中發揮著極為重要的社會、政治與規范功能……它改變了人們針對彼此行為的正當理由以及存在于他們之間的道德權利和義務”[11]。“同意”更是個人“信息自決”的核心要義。立法上，多數國家也都遵循“授權個人控制自己的信息”這一基本理念[12]。對于此種“控制”，其經典表述是：“個人……有權自主決定在何時以何種方式以及在多大程度上將其本人信息披露給他人。”[13]這種美式自由主義自治原則力圖將本人作為個人信息使用的決策者，借由本人對其個人信息的管理以及本人決定個人信息的使用從而實現“信息自決”[14]。建立在人的尊嚴基礎上的歐盟個人數據保護理論，也“內含個人數據由個人自主控制的基本論調”[15]。

同樣，繼全國人大常委會《關于加強網絡信息保護的決定》第2條首次將“同意”作為采集、處理個人信息的前置條件之后，我國《網絡安全法》第41條以及《民法典》第1035條第1款第1項等條款也都將信息主體“同意”這一前置性要求寫入法律。相應地，《民法典》第1036條第1項則把個人“同意”作為豁免信息處理者責任的法定事由。這些立法無不強調同意原則在個人信息處理中的基礎地位。《個人信息保護法》的起草過程也表明了立法者對同意原則的堅持：“一審稿”第13條曾把取得信息主體同意與其他無需同意即可合法處理個人信息的情形并列，從而“弱化了個人同意的基本原則地位”[10]；但其后，“二審稿”第13條增設了第2款，強調“處理個人信息應當取得個人同意”仍是一項基本原則，反映了“授權個人控制自己的信息”這一理論共識。

不過，同意原則所體現的“授權個人控制自己的信息”理念并不絕對。一方面，“授權個人控制自己的信息”并不意味信息主體對其個人信息享有絕對的、排他的控制，它只是一種相對的控制，受到公共利益等更高位階利益以及其他合法利益的限制。相應地，當這種“個人控制”理念轉化為立法上的同意規則時，立法者雖強調取得同意是原則，但并未規定它是處理個人信息的唯一合法基礎。相反，為避免該原則對個人信息合理利用構成阻礙，《個人信息保護法》第13條第2款特別增加規定了無需“同意”即可處理個人信息的例外情形，其中就包括“在合理的范圍內處理個人自行公開或者其他已經合法公開的個人信息”時無需再取得個人同意。這一規定突破了此前立法關于同意的一般性規定。更重要的是，這有利于降低他人獲取公開信息時的成本，進而促進數據的流動與共享。應予強調的是，鑒于已公開的個人信息仍具有一定的隱私或控制利益(下文具體闡釋)，因此，信息處理者的處理行為就可能侵害信息主體的重大利益或對其個人權益構成重大影響。根據《個人信息保護法》第27條規定，信息處理者此時應“取得個人同意”，否則，其行為將不再受《民法典》第1036條責任豁免條款的保護。這也是對《個人信息保護法》第13條第2款“同意例外”規定的反向補充。

尤其需要指出的是，信息處理者“合理處理”已公開的個人信息時雖無需取得個人同意，但并不意味著他們的告知義務被當然地豁免。告知的重要意義在于：信息主體有機會對其個人信息如何使用進行控制，完全知情的信息主體可選擇退出對自己有害的數據處理活動或采取必要的隱私保護措施使自己免受數據濫用行為的侵害。立法上，關于已公開個人信息的收集是否以及如何進行通知存有不同規定。美國加州數據隱私法豁免了間接收集個人信息的當事人的告知義務，伊利諾伊生物信息隱私法則不管是直接收集還是間接收集，均需在收集處理前進行通知[16]。歐盟《一般數據保護條例》第14條則規定，除非被證明是不可能或將付出不成比例的成本，否則，間接收集個人信息的當事人需通知信息主體。與美國伊利諾伊生物信息隱私法類似，我國《個人信息保護法》第7條、第17條同樣規定信息處理者應在處理個人信息前履行告知義務。這意味著即便是在立法規定無需取得個人同意的例外情形下，除非法律另有規定，否則，信息處理者收集處理已公開個人信息前仍應履行告知義務，以保護信息主體對他人處理行為的知情權。

二、已公開個人信息“合理處理”的理論意涵

(一)信息主體對“合理處理”行為的容忍義務

對自然人而言，個人信息具有明顯的人格意義。同時，它也具有顯著的經濟與社會價值。

一般認為，如果承認信息主體對其個人信息享有權益，那么，將其建立在維護人格尊嚴和自由的基礎之上將更具說服力[7]。我國《個人信息保護法》第1條“根據憲法，制定本法”之表述無疑是為強調個人信息保護的根本在于保障信息主體的人格尊嚴和其他一些重要權益，旨在將自然人人格尊嚴與自由不受侵犯之憲法精神融入個人信息保護立法之中。這也是《民法典》個人信息保護條款的根本出發點與落腳點。未經脫敏處理的個人信息可輕易指向或識別特定個人，蘊含著他們明顯且豐富的人格利益，既包括附著其間的隱私權等傳統權利，更包括大數據時代特有的控制性利益[17]。在本質上，這些與人格尊嚴有關的個人信息受保護的利益應屬廣義上的“民事權益”，可將其歸為《民法典》第990條第2款規定的“基于人身自由、人格尊嚴產生的其他人格權益”。《個人信息保護法》第2條僅采用“個人信息權益”而非對世性的“個人信息權”概念，這也表明，立法上只承認自然人對其個人信息享有一種“新型的人格權益”[18]，特別是自然人對其個人信息享有保護性或控制性利益，這也就隱含著其他主體可以合理利用個人信息的基本立場。

綜上所述，個人信息權益在本質上并非一項絕對的“權利”，而在于承認“人人有權保護自己的個人信息”這一相對性“權利”。立法上承認此種“權利”的本質意涵有二：其一，強調個人信息之上隱含的人格意義；其二，人格意義并非個人信息之上的唯一價值，其也關乎信息自由獲取及傳播等社會或經濟價值。這也意味著若僅站在個人立場上強調保護而忽視個人信息對他人及社會的意義，那么，將導致每個人所能獲得的數據服務或福利大幅削減甚或消失。是故，不應將個人信息之于自然人的人格意義絕對化，還應考慮其對他人及社會的價值，擺脫信息獨占理念從而為更多人獲取并使用個人信息提供機會，以促進數字經濟發展乃至社會進步。當然，這并非表明個人信息是公共產品或公共資源，更不表明隱私或個人信息權益的消亡。相反，若過于強調個人信息的公共屬性，甚至以維護公共利益與公共安全以及促進個人信息自由流動為名，否定本人對其個人信息的民事權利并將個人信息作為公共物品交由政府通過公法予以規制[19]，似乎又走上了另一個極端，信息主體人格尊嚴與自由很大程度上將因個人自決機會的喪失而遭受損害。

如果說非公開的個人信息在一定條件下可以被收集利用，那么已公開的個人信息就更可以被收集利用。對于后者，鑒于自然人已基于信息自決而選擇在其信任的場景或范圍內放棄或讓渡部分人格利益，因此，在其放棄或讓渡的權利范圍內，信息處理者也就獲得了較之于處理非公開的個人信息更多的行為自由。這表明信息主體對于他人“合理處理”自己已公開個人信息之行為負有一定的容忍義務。信息處理者無需取得個人同意便可“合理處理”的規定便是立法體現。相應地，最初收集存儲這些公開信息的信息處理者對第三方抓取以及再次使用的行為也負有一定的容忍義務。但若阻止獲取公開信息，不僅會阻止有意義的競爭[20]，而且也有礙“以公益研究或其他有益用途為目的的數據運用，更有違互聯網互聯互通之精神”。(3)參見北京市海淀區人民法院(2017)京0108民初24512號民事判決書；北京知識產權法院(2019)京73民終3789號民事判決書。但應強調的是，抓取并利用已公開個人信息的當事人應在合理限度內且應公平處理，這也是信息主體及其他利益相關者負擔一定容忍義務的重要前提。一方面，不合理或不公平處理已公開的個人信息仍可能侵害信息主體合法權益；另一方面，這些信息之所以得以聚合也是因為社交網站等最初的信息處理者付出了相當的努力與成本，且這些信息已成為它們的核心財富和重要的競爭資源。

(二)信息處理者負擔謹慎處理義務的正當理由

1.“公開即無隱私”——一個值得商榷的觀念

一直以來，“隱私的現代話語中存在一個強有力的假設，即如果有人能訪問或查看你的數據，那么，其他任何人也可以。換言之，如果你把某些東西‘放在那里’供人們查看，那么，當有人收集、使用、分享它們時，你就不該抱怨”[21]。因此，一旦被貼上公開信息的標簽，信息處理者似乎就獲得了一把尚方寶劍。在我國信息侵權糾紛中，就有不少當事人或數據抓取者認為可不受限制地收集利用已公開的個人信息。理論上，也有學者認為，鑒于“隱私權旨在保護非公知的私事”[22]，因此，“在人格權法中，已經公開的事項，就不再有隱私，至少可以成為免責的事由”[3]。域外也有類似觀點。首先，理論上，不少國外學者認為，對于網絡用戶在社交媒體上自行公開的個人信息，他們一般不再有合理的隱私期待，整個社會也沒有這樣的隱私期待，這是因為社交網站的隱私條款幾乎都會告知用戶，他們自行公開的個人信息可能會通過應用程序接口(API)與他人共享，這也意味著用戶本應對自己自行公開的個人信息被他人公開獲取抱有合理的預期[23][24]。其次，在司法實務中，不少國外的當事人與法院也都認為，一旦個人信息或事實已公開，無論是多么私人的事情，都將失去隱私保護。(4)See Gill v. Hearst Publ'g Co., 253 P.2d 441, 444 (Cal. 1953); Guest v. Leis, 255 F.3d 325, 333 (6th Cir. 2001); Dexter v. Dexter, No. 2006-P-0051, 2007 WL 1532084, (Ohio Ct. App. May 25, 2007); Moreno v. Hanford Sentinel, Inc., 91 Cal. Rptr. 3d 858 (Ct. App. 2009).

2.已公開個人信息之上仍有隱私或控制利益

一般認為，“模糊性”是現代隱私理念的重要組成部分。“身份與信息的模糊程度以及信任關系的存在對塑造人們的行為及風險感知具有重要影響。當人們的行為與個人信息處于‘模糊地帶’并在其信任的場景中公開，它們就會感到安全”，現實生活中“人們也多是根據自己的模糊程度或可能的模糊程度來計算隱私風險”[21]。這表明，很大程度上，私密與公開的二分法并非是識別是否具有隱私的“開關”，身份或個人信息的模糊程度才是理解它們的秘鑰。多數情況下，大部分在線信息處于“模糊地帶”，若沒有合適的搜索詞、訪問許可或必要的知識來理解數據，那么，這些信息仍將保持模糊狀態[21]。但是，大規模自動化地抓取公開網頁上的個人信息并進行相關性分析將打破此種模糊性甚至使用戶隱私面臨重大風險[16]。即便個人信息已公開，也不意味信息主體完全放棄對這些信息的隱私期待或控制利益，尤其是大數據時代，憑借強大的算法能力，信息處理者可對大量碎片化的個人信息進行聚合與分析，推測信息主體是什么樣的人、他們在哪里、正在干什么……這種廣泛甚至不受約束的信息處理將對網絡用戶產生廣泛而深遠的影響。

實踐中，不少數據抓取者認為，網絡用戶選擇在互聯網發布信息即是同意與他人分享他們的個人信息。然而，“將自行公開解釋為對隱私的完全放棄或是進行個人賦權都過于簡單了”[25]。“如果我們對已公開的信息不再享有隱私權，那么，很快我們就將不再有任何隱私可言了”[26]。即便信息在技術上是公開的，除非它們已失去模糊性，否則，信息主體對這些信息仍可保留合理的隱私期待。在信息實踐中，用戶在網上公開自己的個人信息多是因為他們相信自己的信息是模糊的，并處于其信任的環境之中。“隱私即信任”論者認為，信任不僅僅是隱私的基本組成部分，更是將社會凝聚在一起的黏合劑[21]，對于一個安全和可持續的數字世界而言，它是必不可少的。信任能使人們通過共享有意義且通常是敏感的信息來增強交流，從而發展長期、可持續的信息關系。同時，人們確信其分享的信息將被用于維護他們的利益而非用來困擾或傷害他們[27]。簡言之，公開自己的個人信息，至多也只是表明信息主體愿意參與模糊且值得信任的網絡場景，而非被動參與其無法預料甚至可能侵害他們權益的數據收集或識別分析活動。如今網站的隱私控制已變得越來越復雜，它們總是設置一些有利于信息公開與共享且不時變動的默示隱私條款。如此情形下，信息主體公開自己的個人信息，并不能簡單地認為他們喪失了對這些信息被第三方收集使用時的隱私期待[26]。

網絡用戶雖愿將其個人照片或其他個人信息上傳至社交網站，但幾乎無人會同意信息處理者對他們已公開的個人信息進行不公平或不正當地“挖掘”。以強制方式公開的個人信息也是如此。因為，這些信息隨后可被用于完全不同的場景之中并可能產生令人極其尷尬和痛苦的結果[28]。總有懷揣不良企圖抓取公開信息的不速之客，他們收集信息或為創建一個以假亂真的網站，或將收集到的信息用于沒完沒了的營銷活動等不法或不當用途，這不僅違背用戶最初公開自己個人信息時的隱私期待，還將導致那些未能阻止數據抓取行為的數據企業喪失用戶的信任[29][30]。通過被抓取的信息，包括誰在網上發帖、他們與誰互動以及他們發布的內容等，數據抓取者能夠推斷或揭示這些信息主體的心理狀況、政治與宗教傾向以及個人的其他偏好等“新事實”[31]。這些“新事實”已成為大數據時代特有的預測性隱私，本質上它們與傳統隱私一樣，對自然人具有相同的人格意義。不難看出，不公平或不正當地處理已公開個人信息仍可能對信息主體產生重大影響，尤其是經濟上處于不利地位以及因不良生活事件而易受傷害的當事人的聲譽及機會更可能受到不當影響[32]。

綜上所述，一方面，已公開個人信息的“合理處理”是“立法者基于價值權衡，為了維護公共利益(以及其他當事人合法權益)對自然人個人信息權益作出的限制，性質上屬于對人格權益而非財產權益的限制”[33]。此時，立法者更多考慮個人信息的經濟或社會價值。另一方面，“合理處理”的法定要求，除有助于實現信息自由流動、促進數字經濟發展進而增進消費者個人福祉這一根本意涵外，還隱含著立法者承認信息主體對這些信息仍享有某種程度的隱私期待或控制利益，而非一味地認為已公開個人信息不再有隱私這一不當立場，更非絕對地把利用已公開個人信息的利益置于個人利益之上。很大程度上，“合理處理”的法定要求也意味著信息處理者應該對其處理行為是否對信息主體隱私等權益構成重大影響進行評估，包括處理行為是否有損信息主體信息自決權或其他個人信息權益。實踐中，即便對已公開個人信息的使用不一定會侵害隱私利益，但仍可能損害用戶對他們已公開個人信息的控制利益[34]，包括信息主體對已公開個人信息的更改或刪除等數據權利。總之，個人信息在某一時間已被置于“公共”領域的事實并不意味信息主體不可挽回地失去了對該信息的隱私利益或者不再享有對它們再次披露或傳播的控制利益[21]。所以，不管個人信息是否公開，信息處理者均應公平合理、誠實謹慎地收集處理，這就要求他們適當權衡相互沖突的利益，充分考慮信息的敏感性，尤其是對弱勢群體的重大影響等[32]。

三、個人反對——公開信息“合理處理”的例外

根據《民法典》第1036條第2項但書條款規定，當“自然人明確拒絕或者處理該信息侵害其重大利益”時，信息處理者即不得再處理已公開的個人信息，否則，其行為將構成侵權并應承擔相應的民事責任。《個人信息保護法》第27條再次重申：“個人明確拒絕”時，行為人即不得再處理其已公開的個人信息。與《民法典》第1036條稍有不同，《個人信息保護法》第27條規定：信息處理者“處理已公開的個人信息，對個人信息權益有重大影響的，應當依照本法規定取得個人同意”。這表明，即便處理行為損及個人利益或對其有重大影響，但若取得個人同意，該處理行為仍屬《民法典》第1036條規定的應予豁免責任的行為。

作為信息自決的一部分，個人自當有權限制或拒絕他人處理其個人信息，這已為立法所確認。除《民法典》第1036條第2項但書條款賦予個人拒絕他人處理其已公開信息的權利之外，《個人信息保護法》第44條更是規定：除非法律法規另有規定，否則，個人“有權限制或者拒絕他人對其個人信息進行處理”。根據對上述條款的一般解釋，無論個人信息公開與否，信息主體均可對他人處理行為提出反對。但應強調的是，個人反對權只是相對的，若為維護公共利益或為履行法定職責處理個人信息時，信息主體即負有不得妨礙的容忍義務。《民法典》第1036條第3項將“為維護公共利益”作為信息處理行為的責任豁免事由。作為延伸，《個人信息保護法》第13條第1款進一步規定，基于公共衛生安全與公眾知情權等公共利益處理個人信息無需獲得信息主體同意。不過，即使基于公共利益，也應“合理處理”個人信息，否則，行為人仍須為其不合理處理行為承擔民事責任。總之，立法上規定個人反對權正是賦予個人拒絕參與他們認為有害數據活動的權利。

基于公共利益或法定職責處理個人信息時，信息處理者能較容易地證明公共利益與個人利益的先后順序，此情形之下，個人反對權多受到約束。而難點在于，當基于自身合法利益處理個人信息時，信息處理者如何證明其自身利益與信息主體的利益、權利與自由的先后順序？如果不能證明其欲實現的合法利益優于個人利益，那么，信息處理者即應尊重信息主體的反對權，停止處理其個人信息。否則，其行為將構成侵權。在實務中，判斷處理已公開個人信息的行為是否合法，主要涉及以下三個問題：其一，第三人可否基于商業目的再次公開或以其他方式處理這些信息；其二，信息主體提出反對后，信息處理者繼續處理行為如何定性；其三，如何認定處理行為是否侵害了信息主體“重大利益”或對“個人權益有重大影響”。

對于第一個問題，一般原則是，應支持對已公開的個人信息進行適度的商業化利用。這也是《民法典》第1036條第2項以及《個人信息保護法》第13條第2款的規范目的的一部分。實踐中，不少法院已認識到公開信息的經濟或社會價值，因而認可信息處理者以盈利為目的使用這些信息，從而與立法保持了一致。例如，對依法公開且包含個人信息的裁判文書，法院認為信息處理者“基于公開的渠道收集后在其合法經營范圍內向客戶提供、公開……屬于對已合法公開信息的合理使用”，信息處理者以此盈利“并不等同于謀取非法利益”，性質上不構成“非法使用、提供或公開”個人信息。(5)參見江蘇省蘇州市中級人民法院(2019)蘇05民終4755號民事判決書。相反，若規定“經司法公開的數據，社會其他主體不得再度轉載、利用，一方面將損害司法公開制度，損害公眾因該制度所受保護的知情權、監督權等公共利益；另一方面，將使得上述數據被司法機關獨家壟斷，與司法數據公有、共享的理念不符”，故其他數據利用主體可在“一定條件下”對司法公開的數據進行再度利用”。(6)參見北京市第四中級人民法院(2021)京04民終71號民事判決書。不難看出，法院雖支持對公開信息進行商業化使用，但也強調應在“一定條件下”或“合理使用”這一必要限度。

對于第二個問題，核心在于如何權衡隱私及個人信息權益與信息處理者商業利益的保護次序。對于已公開個人信息，信息主體提出反對前，信息處理者實施的再次公開等處理行為仍“屬于對已合法公開信息的合理使用”，一般不構成侵權。這是因為信息處理者雖以盈利為目的而為再次公開等處理行為，但該目的并不必然違反社會公共利益或侵害當事人更值得保護的重大利益。這正是我國《民法典》第1036條第2項第1句的立法旨意。然而，根據《民法典》第1036條第2項“但書”條款以及《個人信息保護法》第27條規定，若無視信息主體的反對，那么，信息處理者的處理行為仍將構成侵權。總之，作為一般原則，評估信息處理者收集處理已經合法公開的個人信息是否遵循合法、正當、必要原則時，應妥當平衡已經合法公開的個人信息流通與個人信息主體對信息傳播控制之間的關系，既要重視保護自然人的個人信息權益，同時也應該兼顧信息技術提升、經營模式創新、大數據產業發展對推動社會進步所起的積極作用。在數據共享與個人信息保護之間，具體到對已經合法公開的個人信息流通與信息主體對已公開個人信息的再次傳播控制之間，則應在兼顧兩者利益考量的基礎上有所側重。從價值衡量上來看，信息主體對信息傳播控制的人格權益顯然高于已經合法公開的個人信息流通所產生的潛在財產權益，信息主體對其個人信息傳播控制的權利更不因個人信息已經合法公開而被當然剝奪。(7)參見江蘇省蘇州市中級人民法院(2019)蘇05民終4755號民事判決書。

對于第三個問題，在文義上，《民法典》第1036條第1款第2項“但書”條款中的“自然人明確拒絕”較易認定。根據文義解釋，“自然人明確拒絕”并不以信息處理行為侵害自然人人格權益為先決條件。作為“信息自決”的一部分，除非存在比信息主體人格權益更高位階的利益，否則，信息主體有權拒絕信息處理者處理其個人信息，即便信息主體事先作出了“同意”，其也有權撤回“同意”，且信息處理者有義務為撤回“同意”提供便利，更不得以此為由拒絕提供產品或服務。若處理行為侵害了信息主體的“重大利益”，那么，信息主體當然可反對信息處理者繼續處理其個人信息。這其中的問題是，如何理解“重大利益”。

在理論上，經由個人信息可對信息主體進行識別分析，信息處理者可推測人們的行為風險或偏好，甚至據此作出不易被察覺且有損于信息主體利益的各種決定。一是操縱或不當侵擾[35]。例如，消費者若在某個網站上搜索了某項商品或瀏覽某項信息，當再次登錄網絡時就會有與上次檢索商品或信息相關的廣告或內容推送接踵而至，這“為操縱消費者行為打開了全新途徑”[36]。正是利用網絡瀏覽歷史、消費習慣、興趣愛好等公開信息，信息處理者可以針對特定用戶進行個性化推薦或展示，利用或塑造他們的“認知偏見”[37]，促使他們購買并非真正需要的商品或服務，或以不合理高價購買，甚至通過定向推薦而令信息主體不堪其擾，嚴重影響他們的生活安寧。(8)參見山東省濟南市天橋區人民法院(2019)魯0105民初5398號民事判決書。二是限制乃至剝奪信息主體的某些權利或機會，例如，信息處理者利用數據相關性分析推斷某人未來存在罹患嚴重疾病的風險，進而拒絕向其提供工作機會或保險服務；或者信息主體因信息處理者的處理行為而遭致負面評價，進而喪失工作機會或其他權利，(9)參見江蘇省蘇州市中級人民法院(2019)蘇05民終4755號民事判決書。或使其遭遇人肉搜索乃至被冒用身份等未來侵害風險。(10)參見北京互聯網法院(2019)京0491民初10989號民事判決書。通過以上分析，對于《民法典》第1036條第2項“但書”條款中的“重大利益”可作如下理解：當信息主體因信息處理行為而遭受權利損害，如合同撤銷、福利喪失等財產或身份待遇損失以及遭遇霸凌、嘲笑、恐嚇或騷擾等精神損害，或者與此類似的其他重大不利影響，包括信息主體的行為或選擇受信息處理行為不當影響或該處理行為導致其重要機會的喪失，如金融服務、勞動就業、接受教育等機會的喪失。同理，《個人信息保護法》第27條規定的“重大影響”可作相同解釋。

總之，作為對已公開個人信息處理行為的必要限制，若信息處理者不顧信息主體反對或其處理行為侵害他們“重大利益”或對其構成“重大影響”(且在此種情形下未取得信息主體同意)，那么，信息處理者將不再受《民法典》第1036條第2項責任豁免條款的保護，而應承擔侵權責任。另外，根據《個人信息保護法》第69條第1款規定，信息處理者“處理個人信息侵害個人信息權益造成損害”時，若其“不能證明自己沒有過錯 ，應當承擔損害賠償等侵權責任”。這意味著，信息主體只要證明遭受“損害”即可，其他的證明責任將分配給信息處理者。

四、結語

鑒于個人信息對于自然人的人格意義及其對其他主體的經濟或社會價值，在強調對其保護的同時亦應避免因保護過度而阻礙信息合理利用乃至影響數據產業發展。作為立法回應，一方面，我國《民法典》第111條、第1034條第1款以及《個人信息保護法》第2條等條款強調“個人信息受法律保護”；但另一方面，《民法典》第1036條以及《個人信息保護法》第13條、第27條等條款又確立了個人信息的無責使用制度，其中，就包括已公開個人信息無需取得自然人“同意”便可“合理處理”的制度框架，為數據利用中可能發生的侵權糾紛提供了強有力的免責抗辯依據。我國《個人信息保護法》第1條就體現了這種平衡個人信息保護與合理利用的立法思想。總之，只有合理謹慎地利用個人信息，才能更有效地促進數字產業發展，塑造充滿活力的經濟社會。