已公開個人信息在合理范圍內處理的規范邏輯與實踐因應

摘要：我國對于已公開個人信息處理作了特別規定，由“已公開”“在合理范圍內處理”“對個人權益有重大影響”“個人明確拒絕”等規范構成要件因素組成了特殊規則體系，“在合理范圍內處理”被置于規范體系中較為突出的位置，通過平衡已公開個人信息附著利益、補充知情同意規則和具化“信賴”理念發揮著價值導向和規范指引功能。作為權義復合性法律規則，其與“合理使用”不同，具有阻卻違法、設定義務、賦予權利等多重面向。當個人信息處理“在合理范圍內”，符合其他規范構成要件因素便獲得了合法性基礎，信息處理者免于承擔民事責任和刑事責任。因此，“在合理范圍內處理”的判定尤為重要，立法卻未對此作出明確規定，而其與必要等個人信息處理原則聯系密切，天然地契合比例原則的要義，故可引入比例原則作為評判分析工具。為了保障已公開個人信息處理在合理范圍內，需在建立數字信任的基礎上強化已公開個人信息處理過程中的權利保障和義務履行。

關鍵詞：已公開個人信息；合理處理；利益衡量；比例原則

目次

一、在合理范圍內處理的機理

二、在合理范圍內處理的定位

三、在合理范圍內處理的效果

四、在合理范圍內處理的判定

五、在合理范圍內處理的保障

六、結語

大數據時代，大量個人信息成為開源信息，公安機關、監察委員會等公權力機關越來越依賴互聯網平臺、社交媒體等媒介上的已公開個人信息調查取證。各個國家或地區對于處于公開狀態的個人信息是否應予以保護持不同的態度。考慮到“處理已公開個人信息，也有侵害個人信息權益的風險，應當對處理已公開的個人信息作出必要的規范”，我國并未如同美國一般不予保護已公開個人信息，而是借鑒歐盟的做法——在公開個人信息與一般個人信息一體保護的基礎上對已公開個人信息處理作了特別規定。《中華人民共和國個人信息保護法》（以下簡稱《個保法》）第13條規定在合理范圍內處理個人自行公開或者其他已經合法公開的個人信息豁免同意，第27條重申了可以在合理范圍內處理個人自行公開或者其他已經合法公開的個人信息。《中華人民共和國民法典》（以下簡稱《民法典》）第1036條規定合理處理已公開個人信息免于承擔民事責任。抽離出“在合理范圍內處理”，可以發現其包含規范性構成要件因素，對于不確定性法律概念“合理范圍”的理解在一定程度上足以左右已公開個人信息處理行為（以下簡稱“個人信息處理”）的定性。《個保法》對此未作出規定，司法裁決不一。“在合理范圍內處理”嵌入已公開個人信息保護規范的內在邏輯，以及在規范體系中的性質、功能等亟需厘清。探尋規范的旨趣及價值取向，勾勒規范交互圖景，對其進行解構，于法律實踐意義重大。本文試圖檢視立法，挖掘“在合理范圍內處理”內含的法理邏輯及規范意蘊，在此基礎上論證如何判定已公開個人信息處理者（以下簡稱“信息處理者”）是否在合理范圍內處理個人信息，以及如何實現“在合理范圍內處理”的規范目的，希望對《個保法》教義學進一步深化，能夠對（已公開）個人信息保護實踐有所裨益。

一、在合理范圍內處理的機理

“合理”既為信息處理者設定了義務，也賦予了信息處理者權利，借此隱性地表達了價值立場。由此為起點演化出已公開個人信息附著利益平衡及其實現的邏輯脈絡——補充知情同意規則以加強已公開個人信息主體（以下簡稱“信息主體”）的控制權，輔以信息處理者自律，促進其與信息主體互信。

（一）已公開個人信息附著利益的平衡

信息可被財產化，合理利用不會使得信息主體的人格利益滅失，個人信息的財產價值由信息主體與信息處理者共同擁有。法律保護的不是個人信息而是其上附著的信息主體、信息處理者、社會、國家等享有的利益，這些利益為最佳化命令，要求“在事實上和法律上可能的范圍內盡最大可能被實現”。個人信息日益沒有外在形態，在數字社會建構、商業經濟發展、科學技術研究，國家安全保障、社會公共治理等方面蘊藏巨大價值，處理場景多元化。不應孤立地評價信息處理者是否在合理范圍內處理個人信息，而應綜合考量個人信息處理所涉主體的利益，通過價值判斷公正地分配利益。個人信息附著利益類型及其構造各異，利益分配較為復雜，核心是在不同維度關系中限縮利益，從而實現多元利益的調和。“在合理范圍內處理”遵循的法理邏輯便是基于利益衡量先肯定已公開個人信息可被處理，然后設定在合理范圍內的度，據此確立保護利益，但可被限縮的基本立場，通過賦權和限權兩個方面調和信息主體、信息處理者、社會、國家間的利益。

信息主體基于維護公共利益和信息處理者利益容忍處理其個人信息，信息處理者相對應地在合理范圍內處理個人信息。也就是說，基于平衡個人信息保護和個人信息利用而對個人信息處理攸關主體權益進行合理限制。一方面，公共利益不具有絕對的優位性，要因勢衡量其與私人利益的位次，基于維護公共利益，個人信息處理具有正當性，但是應避免對個人權益造成重大影響，制度性安排就是“在合理范圍內處理”。“合理”表意為合乎邏輯、道理，具有限制的意蘊；“范圍”詞義為尺度、區間，與限制之義相通。二者組合使用，除了通過詞意重疊強調約束個人信息處理行為，還為在合理范圍內處理個人信息設定了參照系——信息主體權益受到的限制在可承受的范圍內。另一方面，“在合理范圍內處理”是實現利益平衡的柔性手段，通過限制個人信息權益，賦予信息處理者個人信息處理權益。個人信息價值的實現需要個人信息聚合和流動，正是信息處理者耗費資源才使得毫無價值的單個個人信息匯成數據海洋，如果禁止或者放任個人信息處理行為，皆違背了權利行使不得侵犯他人權益和公共利益，在必要時為了私人利益和公共利益限制個人權益的理念。

（二）知情同意規則的補充

知情同意規則被奉為個人信息保護的“帝王條款”，有著深厚的法理基礎，得到了普遍認同。大數據時代的信息收集更加密集、場景增多、共享轉移必不可少，加之信息主體依賴個人信息享受便利服務而忽視或者沒有能力和精力了解知情同意條文內容，使得知情同意規則被架空。但是，這不足以廢止適用知情同意規則，否則等同否定了個人自主的法價值、民法的意思自治。因此有必要反思和重構知情同意規則，根據個人信息處理場景的不同，塑造層次性和動態性的新型知情同意模式。有研究提出“有條件的寬泛同意+退出”模式，運用模糊化手段解決大數據時代知情同意規則適用困境問題。如果已公開個人信息處理采取了這種模式，推定信息主體在未獲得通知，也未作出明確同意的意思表示的情況下允許他人處理其個人信息。這種知情同意模式至少面臨著個人對其信息控制較弱的問題，因而已公開個人信息保護很大程度上依賴信息處理者自律，以及撤回同意、風險評估等機制的配套。

同意具有讓渡、轉移、賦予、限制權利，轉嫁、接受風險，設定、轉移義務的效力。知情同意的本質是授權，推定同意是默示授權。信息處理者獲得授權后是否在授權范圍內處理個人信息取決于同意是否產生了實質性的約束力。實踐表明，即使在特別同意的場景中，由于信息主體處于被動弱勢地位，惰于在完全知情的情況下作出意思表示，因而依靠知情同意規則實現個人信息處理規范化的目的未能充分實現，更遑論在推定同意場景中期待知情同意規則發揮功能。于是乎，“在合理范圍內處理”作為已公開個人信息保護的金科律令被嵌入到個人信息保護之中。其極具宣示性，強調個人信息處理即使具備合法性基礎也應該在合理范圍內進行，否則需要承擔相應的法律后果。可以將其視為知情同意規則的有力補充，以補丁的形式加強知情同意規則的實踐效力。

（三）“信賴”理念的具化

有學者基于當下個人信息保護規范的構建以“理性人”理念為指引，信息主體自主支配、自主決斷和自己責任難以平衡個人信息保護與個人信息利用的現狀，提出秉承“信賴”理念構建信義義務制度，補充現有制度不足。“信賴”理念的提出旨在解決“理性人”理念帶來的信息主體無法自主支配個人信息，反而承擔更多的個人信息保護責任，且權益受損難以獲得救濟，陷入持續“恐懼”狀態，而信息處理者卻處于控制個人信息的絕對地位，憑借控制個人信息的優勢輕松地逃脫法律制裁的尖銳問題。在“理性人”理念下，信息主體和信息處理者將個人信息處理視為零和博弈。“信賴”是對“理性人”理念的超越，主張信息主體和信息處理者建立信賴關系，個人信息處理變為正和博弈。尤其在已公開個人信息處理場景中更需要信賴，因為豁免同意使得信息主體的脆弱面更加容易暴露給信息處理者，其是否在合理范圍內處理個人信息具有很大的不確定性。個人信息已公開的事實推定信息主體與信息處理者之間達成了默契：信息主體相信信息處理者會在合理范圍內處理其個人信息，信息處理者相信信息主體允許處理其個人信息。

達成默契的基礎是信賴，而“在合理范圍內處理”使得信賴發揮實效。第一，“在合理范圍內處理”將“已公開”表征的默認同意強化為具有道德約束力的授權，這種授權基于信息主體和信息處理者互相信賴生成，“不單單是一種形式意義上的簡單的‘一鍵確認’，而是一種信賴授權與授權辯證統一的知情同意，基于信賴而將相應風險的掌控交由平臺經營者，同時平臺又基于此種授權而從事一種可資信賴的數據收集與利用活動”。第二，“在合理范圍內處理”使得信息處理者負有的忠實、勤勉等信義義務得以實現。“信賴”理念的核心在于信息主體與信息處理者構建起以忠實、勤勉義務為支撐的行為規范體系。“在合理范圍內處理”恰好強調信息處理者既享有相應權利也負有忠實義務——“本著善意和誠實，以符合信息主體的明示授權或合理預期的方式，收集、使用、流轉和披露個人信息，并且不得為了自己的短期利益而犧牲信息主體對個人信息所享有的利益”，以及勤勉義務——謹慎、慎重地處理個人信息，確保個人信息安全。

二、在合理范圍內處理的定位

“在合理范圍內處理”以及與其相關術語的使用較為隨意，其定位尚未引起學界的足夠重視。過于模糊不利于發揮指示性功能，亟需考辨其稱謂，分析其性質。不同于“合理使用”，“在合理范圍內處理”作為違法阻卻事由及其項下義務，不是一項法律原則，而是一條為信息處理者同時設定權利（力）和義務的權義復合性法律規則。

（一）是違法阻卻事由及其項下義務

2014年《最高人民法院關于審理利用信息網絡侵害人身權益民事糾紛案件適用法律若干問題的規定》第12條將公開個人信息視為處理個人信息。《民法典》第1036條吸收了此規定，將“公開”擴展為“處理”。《個保法》第13條和第27條將第1036條的“合理處理”修改為“在合理范圍內處理”，此舉將“合理處理”從免責事由正當化為合法性基礎要件，但語義無實質性區別。與“在合理范圍內處理”相關的表述還有“合理使用”。《民法典》第999條規定了新聞報道、輿論監督等行為合理使用個人信息人格利益制度。有觀點認為《個保法》使用“在合理范圍內處理”術語，表明其“不接受民法典‘合理使用’的概念”。也有觀點認為“個人信息‘合理使用’等同于‘合理處理’”。《民法典》第1036條和第999條的旨趣不同，第1036條是個人信息處理免責事由條款，“合理處理”既是免責事由構成要素，也是具備合法事由下信息處理者必須遵守的義務；而第999條是人格利益合理使用條款，“合理使用”屬于違法阻卻事由層面的概念。因此，二者不可混淆。這里的“合理使用”類似著作權合理使用制度，與《個保法》第1條中的“合理利用”——發揮個人信息用途、實現其價值的含義不同。《個保法》規定個人信息的處理包括收集、存儲、使用、加工、傳輸、提供、公開、刪除等，使用僅是處理的一種情形，其與“合理使用”中的“使用”相同，重在強調具體的行為，而不起價值立場宣揚作用。在個人信息使用過程中可能涉及收集等其他處理情形，故“合理處理”涵蓋了“合理使用”。“在合理范圍內處理”可作為個人信息合理使用情形，但又是實施任何具備合法事由的個人信息處理活動必須遵循的義務。因此，“在合理范圍內處理”的內涵和外延相較于“合理使用”而言更加精準、全面。

（二）作為法律規則

不乏有學者將“在合理范圍內處理”視為一項個人信息保護法律原則，比如一種觀點認為“在合理范圍內處理”可稱之為“合理使用原則”。如此認為的主要原因是信息處理者應依法在合理范圍內處理所有類型的個人信息。申言之，無論個人信息處理是基于同意抑或豁免同意獲得合法性基礎，皆應該在法律規定的合理限度內進行，因此便認為這是一項法律原則。但是“在合理范圍內處理”未處于《個保法》總則部分，而是規定于分則中，與處于總則部分的必要、正當、公開、透明等個人信息處理原則不同，其反而體現了合法、正當、必要等原則。

法律原則與法律規則在結構上不同，在德沃金看來，規則具有“一般一例外”結構，通過這種結構排除例外情況，例外可以且應當窮盡；原則雖然也有例外，但是例外無法也無需窮盡。這并不意味規則一定存在例外，德沃金只是強調如果規則有例外則需要窮盡，可能會因為規則適用沖突而導致一個規則成為另一個規則的例外，只不過與原則相比此情形更難出現罷了。阿列克西認為規則例外可以窮盡列舉的說法不確切，規則的例外是不可數的。在合理范圍內處理個人信息是信息處理者無法選擇的不折不扣的義務，因此“在合理范圍內處理”更符合法律規則特征。法律規則設定了法律要件和法律效果，其確定性程度高于法律原則。二者的適用存在區別：法律規則以“全有或全無”的非此即彼的形式直接適用，法律原則根據個案衡量，即使個案沒有遵循該原則，其仍然在法律體系中發揮效力，與其他原則共存。據此，“在合理范圍內處理”是“一種只能被實現或不被實現的規范，若一條規則有效，即應該不多也不少地去做到該規則所要求的內容，而沒有實現程度的問題，即使存在例外情況也是例外與一般選其一”。

（三）屬于權義復合性規則

依據調整方式，法律規則分為授權性規則、義務性規則和權義復合性規則。學界在界定“在合理范圍內處理”時對其類型有所觸及。“符合法律規定說”認為“在法律明確規定的合理的限度內，可不經個人同意，按照法律規定對個人信息進行利用，但不應對個人信息、隱私造成侵犯，不應以影響數據安全的方式為之利用”。“權利義務說”認為信息處理者在享有個人信息處理權的同時還有義務保護數據之上承載的原權益人的合法權益。“個人信息權限制說”認為個人信息合理處理是對個人信息權的限制，其突破了個人信息處理必須經信息主體同意的原則，基于社會本位對個人本位的制衡理論，以及民事權利限制理論，可以為了維護公共利益和他人利益而讓渡私權利。“義務說”側重強調在合理范圍內處理已公開個人信息豁免同意，但必須遵守依法取得個人信息的積極義務，禁止實施非法收集、使用、加工、傳輸、買賣、公開及危害國家安全、公共利益等行為的消極義務。

“權利義務說”“個人信息權限制說”“義務說”“符合法律規定說”認為在合理范圍內處理個人信息豁免同意，這實則賦予了信息處理者個人信息處理權，《個保法》第27條使用“可以”術語表明了此點。除了更傾向于將“在合理范圍內處理”視為授權性規則的“個人信息權限制說”以外，“義務說”“權利義務說”“符合法律規定說”主張信息處理者在合理限度內行使個人信息處理權，實則是設定了信息處理者依法適度處理、維護個人信息安全的義務。《個保法》第13條將“在合理范圍內處理已公開個人信息”作為信息處理者方可處理個人信息的情形之一，“方可”極為講究，表明信息處理者享有的是附帶履行“在合理范圍內處理”義務的權利，這符合權義復合性規則的邏輯。因此，“在合理范圍內處理”宜為權義復合性規則。其實質意蘊是已公開個人信息處理豁免同意，但是必須在法律規定限度內收集、存儲、使用、加工、傳輸、提供、公開、刪除等，不得對個人權益造成重大影響。

三、在合理范圍內處理的效果

“在合理范圍內處理”屬于權義復合性規則，從權責一致角度而言，當信息處理行為符合該法律規則時會產生賦權及免責兩項法律效果。《個保法》第13條、第27條，《民法典》第1036條概括性地規定了“在合理范圍內處理”的法律效果，即個人信息處理具有法律基礎，信息處理者因在合理范圍內處理個人信息而不承擔法律責任。但是這兩種法律效果的性質及其背后的法律邏輯不同。從法秩序統一的角度而言，對刑事責任認定也會產生影響。假設信息處理者在合理范圍內處理個人信息，那么便不構成侵犯公民個人信息罪。

（一）已公開個人信息處理合法性基礎獲得的要件之一

《個保法》第13條通過列舉知情同意及五項豁免同意的情形構筑了個人信息處理的合法性基礎體系。第1款第6項將在合理范圍內處理已公開個人信息作為豁免同意的事由。有研究認為處理已公開個人信息不適用同意規則，個人信息處理可自由進行，“甚至無需契合信息主體公開該信息時的意圖，亦不必限于信息被公開時的用途”。此觀點有待商榷，“已公開”并不能成為信息處理者以自我評估替代知情同意的根據。分析第6項可知，已公開個人信息處理完全具備合法性基礎是一個組合條件，除了“個人信息已公開”，還要求“在合理范圍內處理”。《個保法》第27條在重申該規定的同時強調“個人明確拒絕除外”和“對個人權益有重大影響的依法取得個人同意”。綜合可知，已公開個人信息處理合法性基礎獲得的完整要件是“在合理范圍內處理”+“個人信息已公開”+“個人未明確拒絕”+“未對個人權益有重大影響”。

“在合理范圍內處理”作為已公開個人信息處理合法性基礎獲得要件之一的法理在于，個人信息權益本質上是一項相對權，信息主體對個人信息處理負有容忍義務。個人信息在《個保法》和《民法典》權益體系中被定性為“個人信息權益”，而不是“個人信息權”，旨在強調個人信息不僅具有人格意義，而且還具有財產性價值。已公開個人信息在某種程度上而言具有更加突出的公共屬性，其在合理范圍內處理有助于實現多重利益，過度限制個人信息處理反而與當下引導個人信息合理利用與優化配置個人信息資源的趨勢背道而馳。另外，公開個人信息類似于“自甘風險”，理性的人應認識到此舉意味著舍棄了部分權益而容忍他人在合理范圍內處理其個人信息。已公開個人信息處理只要在合理范圍內便具有合法性基礎，與大數據時代個人信息從自主支配到有序共享，個人信息保護和個人信息利用平衡的邏輯相契合。

（二）民事免責事由的要件之一

《民法典》第1036條第2項規定合理處理已公開個人信息，該自然人未明確拒絕或未侵害其重大利益則免于承擔民事責任。可見，在自然人未明確拒絕或未侵害其重大利益時，“合理處理”和“已公開”共同充當了“同意”的角色，主要原因在于個人自行公開個人信息推定其同意在合理范圍內處理其個人信息，或者基于維護公共利益或信賴原則默認合法強制公開的個人信息會在合理范圍內被處理，即推定同意或默認同意免除信息處理者在合理范圍內處理已公開個人信息的民事責任。從合同法層面而言，同意本質上是締結合同行為。不同于一般情況下個人作出明確同意處理其個人信息的意思表示，在已公開個人信息處理場景中個人沒有同意的意思表示，而是類似默認勾選了信息處理者提供的格式合同條款。《個保法》第13條第1款第6項和第27條第1分句通過設置默認規則實現了“缺省”功能，利用個人“現狀偏好”的心理達到了合同契約無痕化目的。第27條規定的“對個人權益有重大影響仍需取得個人同意”是對缺省合同的阻卻，由此實現特定情形下合同形式和個人信息自決權行使方式的轉換，從而實現各方利益的動態平衡。

信息主體與信息處理者之間存在這種“合同”關系，二者心照不宣地就個人信息處理進行了“約定”，因為個人信息已公開的狀態暗含著信息主體在一定限度內允許他人處理其個人信息，但是信息處理者應該在合理范圍內處理個人信息，否則即使個人信息已公開，基于雙方達成的默認合意依然無法成為未在合理范圍內處理個人信息的免責依據。雖然信息主體默認同意處理其已公開的個人信息，承擔預見個人信息自行公開后可能被不當處理卻仍然選擇公開的風險，但是如果信息處理者未在合理范圍內處理個人信息，就超出了信息主體的授權范圍而應承擔相應的違約責任。即使信息處理者基于推定同意而獲得信息主體的授權，但是如果未在合理范圍內處理個人信息致使信息主體權益受損，依據《民法典》第1165條第1款將承擔侵權責任。可見“在合理范圍內處理”是免除信息處理者民事責任事由的要件之一。

（三）構成侵犯公民個人信息罪的例外情形之一

對于《中華人民共和國刑法》（以下簡稱《刑法》）是否保護已公開個人信息尚存爭議。爭議的焦點是已公開個人信息是否屬于侵犯公民個人信息罪的犯罪對象。盡管《最高人民法院、最高人民檢察院關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》和《個保法》對“公民個人信息”的界定不同，但是從侵犯公民個人信息罪屬于法定犯，司法解釋應與前置法相一致以實現法秩序統一的角度而言，已公開個人信息仍然是個人信息。另外，個人信息已公開狀態不意味著信息主體放棄了信息自決權等權益。因此已公開個人信息是《刑法》意義上的公民個人信息，否則不僅威脅已公開個人信息權益，而且會“穿透性”侵害未公開的個人信息權益。

《刑法》保護已公開個人信息的邊界何在？作為前置法的《民法典》規定合理處理已公開個人信息免于承擔民事責任，《個保法》將此情形視為個人信息處理的合法性基礎，如果《刑法》認定擅自處理已公開個人信息行為皆構成侵犯公民個人信息罪，那么就威脅了法秩序統一，反而不利于個人信息保護和個人信息利用的平衡。有學者即認為，“遵循法秩序統一性原理，已公開的個人信息適用侵犯公民個人信息罪的司法邊界取決于《民法典》和《個人信息保護法》等前置法為平衡信息主體與信息處理者之間的利益沖突所設計的‘合理處理規則’”。在合理范圍內處理已公開個人信息不構成侵犯公民個人信息罪，否則反之。于此的機理尚存爭議。一種典型觀點認為“在合理范圍內處理”是違法阻卻事由。反對觀點認為“在合理范圍內處理”不符合構成要件——未違反國家有關規定，其無法作為阻卻事由構建實質出罪機制。爭議產生的原因是對“在合理范圍內處理”的體系定位不同，進而采取了不同的犯罪構成認定路徑。拋開爭議，“在合理范圍內處理”具有多重意蘊，其意味著個人信息處理行為未違反國家規定，未給信息主體權益造成重大影響，自然也無需獲得信息主體同意，處理目的及方式等正當、合理，故而不構成侵犯公民個人信息罪。

四、在合理范圍內處理的判定

既然“在合理范圍內處理”能夠影響信息處理行為的評價，那么信息處理是否在合理范圍內的認定就尤為重要。目前，如何判定“在合理范圍內處理”尚處探索階段。有研究認為，在滿足目的限制原則，手段、收集及利用行為正當性要求時即構成在合理范圍內處理個人信息。以上判定之法體現的手段目的合理性，及利益衡量之精神，恰恰是比例原則要義所在。引入比例原則作為判斷信息處理者是否在合理范圍內處理個人信息的工具能夠經受起理論與實踐的雙重檢驗。

（一）比例原則引入的法理根據

采用“適當”“適度”“必要限度”等術語的規范是適用比例原則的依據。“在合理范圍內處理”可作為比例原則適用的規范依據。在豁免同意的情況下，又將已公開個人信息處理限定在“合理范圍內”表明信息處理者的個人信息處理權存在邊界，這與比例原則的“禁止主體過度行權”要義吻合。信息處理者在合理范圍內處理已公開個人信息作為缺省規則，以默認助推的方式增加個人信息流通收益，減少個人信息保護成本，可謂比例原則效能分析的具體體現。規范設置及其構造背后隱藏著更為重要的價值考量，其與比例原則蘊含的理念高度契合。“在合理范圍內處理”是利益平衡嵌入立法的結果。利益衡量的本質是公正地分配資源，比例原則素有正義化身之稱，多元利益的衡量正是其題中之義，其是可將抽象的利益衡量具化為規范結構的法律工具。

可適用性分析還需回歸到比例原則本身。比例原則早已從規制公權力干涉私權利的公法原則蔓延到界定公民權利行使范圍的準則，具有設定權利和義務的本體論意義，以及檢視公權力限制私權利是否正當，私權利限制私權利是否合理的方法論價值，用其判斷信息處理者是否在合理范圍內處理個人信息未超出比例原則的適用范圍。“在合理范圍內處理”賦予處于強勢地位的信息處理者權益的同時限制了信息主體相對性基本權利——個人信息權益，這種限制的正當性需要廣泛的論證，比例原則恰好“可為判斷者提供可操作性和可驗證性的思考框架，并可為最終的判定結論提供具有說服力的論證理由”。比例原則的邏輯構造是由環環相扣、層層遞進的子原則組成的結構性規范，作為分析工具，可避免自由裁量過度滲入，并提供精細的判定框架及清晰的判定思路，幫助得出更為合理的判定結果。

（二）比例原則指引下的審查框架

比例原則的邏輯構造有“二階說”“三階說”和“四階說”。“四階說”在適當性、必要性、均衡性原則之上增加了目的正當性原則。基于最大程度地控權和扶弱，“四階說”更為完善。應該明確比例原則僅是作為法定個人信息處理原則的規范化手段——在滿足比例原則適用情況下，依次審查比例原則的子原則來確定法定個人信息處理原則在具體案件中的規范內涵。由此形成了以比例原則為綱，其四項子原則為目，合法、正當、必要、誠信等個人信息處理原則為科，以及禁止過度收集等個人信息處理規則為屬的融貫性審查框架。審查框架分為兩個層級，第一層級明確公共利益、信息處理者利益、信息主體利益，以及三者是否存在沖突，實質是考慮個人信息處理是否限制信息主體的個人信息人格權益等相對性基本權利，是否需要限制這種限制，這是比例原則適用的前提。同時，將個人信息類型、處理目的及手段等納入第二層級中作為判定是否符合比例原則子原則的要素。根據這些要素，來回穿梭于事實與個人信息處理原則及規則之間，依次審查事實是否符合比例原則的子原則，若符合四項子原則即可認定信息處理者在合理范圍內處理個人信息，否則反之。

（三）比例原則審查框架的檢驗分析

“貝爾塔案”和“匯法正信案”是兩起被告收集、轉載裁判文書網已公開的裁判文書，原告要求刪除涉及自身的裁判文書，被告拒絕刪除裁判文書的案件。兩起案件相似，但裁判結果相異，值得以此為例檢驗比例原則的適用。就第一層級而言，兩案皆從個人信息處理是否限制了信息主體權益，個人信息處理是否應當受到限制兩個方面作了初步的利益衡量。在第二層級中，首先，審查目的正當性。兩起案件中個人信息處理目的皆為商業用途，就其合法性存在分歧。“貝爾塔案”以原告享有二次轉播拒絕權為由支持刪除裁判文書，實則否定了已公開個人信息的商業價值。據此，法院認為違背目的正當性原則，直接作出判決。而“匯法正信案”基于數字經濟發展的需要，肯定了個人信息商業利用的正當性，認為個人信息處理行為符合目的正當性原則。后者判決更為合理，《個保法》第13條并未將已公開個人信息處理目的限定在“公共利益”，可推知商業用途包括其中。申言之，建議將信息處理者及第三人正當利益作為個人信息處理的法律基礎。

其次，審查適當性。此原則考察手段與促進目的的匹配度，當手段的使用能夠促進目的實現便符合該原則。“匯法正信案”認為刪除裁判文書有礙司法公正，等同于承認轉載裁判文書有助于司法公正；個人信息處理目的與裁判文書公開的初始目的一致便符合適當性原則。這遵循了目的限制原則，將個人信息公開時初始目的及信息主體預期作為判斷要素。據此，裁判說理有一定的說服力。

再次，審查必要性。必要性原則強調實現目的使用的手段具有不可替代性，“在合理范圍內處理”意味著信息處理者限制信息主體權益的手段是必要的，且手段對其他主體利益的損害是最小的。當尚有損害最小、最輕的方式，卻未選取，便違背了該原則。轉載裁判文書的確有利于司法公正，但是轉載個人信息并非損害最小、最輕的方式。轉載裁判文書與轉載個人信息不同質，可保留轉載裁判文書，對其中個人信息作匿名化處理。因而，認為個人信息處理行為符合必要性原則以乎過于武斷。

最后，審查均衡性。均衡性原則為狹義比例原則，主要審查手段與損益結果的合比例性。個人信息處理給參與主體帶來的收益，以及對信息主體造成的損害是可接受的，且促進了信息處理者利益和公共利益實現，便符合均衡性原則。“貝爾塔案”優先保護信息主體權益，認為再次處理個人信息需要尊重信息主體權益，且轉載行為嚴重侵害了信息主體的就業權益，原告有權要求刪除裁判文書。“匯法正信案”優先保護司法公正等公共利益，認為再次處理個人信息可以避免司法機關壟斷數據，促進司法公正，被告拒絕刪除裁判文書未侵害原告個人信息權益。兩案的利益衡量可能有所偏差。“均衡性原則的‘均衡’并非簡單的利益對等式均衡，而是個體權利優先兼顧公共利益基礎上的均衡。”均衡價值追求，僅在必須取舍時方可犧牲其他法益。

五、在合理范圍內處理的保障

信任作為行為的內驅力，發揮著積極履行義務，保障權利的指向性作用。數字信任的建立有賴于個人信息處理場域中的主體切實履行義務，以及附著于個人信息的權益得到關照。總體而言，就是兼采權利化保護模式和行為規制模式協同確保信息處理者在合理范圍內處理個人信息。

（一）數字信任的建立

信任指主體在人際交往中相信自己的利益得到安全庇護的心理狀態。數字信任主要指在技術運用場景中雙方或多方對彼此積極履行義務，適度行使權利，實現正當利益，共同構建數字安全世界的信心。在個人信息處理場域，數字信任可概括為個人信息處理參與的雙方或多方對保障個人信息安全的能力所持有的信心，即相信個人信息處理是一項能夠使我們獲益而非利益遭受到損害的活動。一是信息主體基于相信信息處理者會在合理范圍內處理其個人信息而愿意提供個人信息以獲得產品或者服務；二是信息處理者期望信息主體基于對其提供優質服務和產品、保障個人信息安全能力的肯定而自愿提供個人信息；三是暗含著國家期待信息處理者和信息主體在合理范圍內行使權利以促動公共利益最大化。

信息處理者未在合理范圍內處理個人信息現象頻發，與數字信任缺失密切相關。人們對大數據心生恐懼的本質是陷入數字信任危機之中——“個人恐懼其信息被處理者反過來侵害自身，處理者顧慮個人濫用其權利，國家則擔憂個人和處理者罔顧公共利益”。即使個人信息處理獲得了合法性基礎，但是如果信息處理者僅注意到形式授權，未實質性地遵守義務以維系信任，那么“反公地悲劇”和“公地悲劇”惡性循環不可避免。從促進信息技術發展角度而言，防止“反公地悲劇”的出現依賴內生性數字信任激勵信息主體提供個人信息；從保護個人信息安全角度而言，亟需通過外生性數字信任規范個人信息處理行為，避免“公地悲劇”上演。數字信任的建立有助于解決狹長的個人信息處理鏈條上行為失范的問題，一方面內生性地促使信息處理者遵循個人信息處理規則，另一方面外生性地消解法律信任危機，這本質上是秉持德法共治的理念通過道德教化和法律引導實現個人信息處理的道德性、安全性和合規性。

（二）義務的積極履行

數字信任的建立及其作用的發揮脫離不了數字責任，而數字責任的擔負取決于義務履行情況。義務與責任的配置旨在限制信息主體和信息處理者的權利，規范主體行為，以此統籌兼顧信息主體利益、信息處理者利益和公共利益，本質上是追求個人信息保護和個人信息利用的平衡。出于均衡個人信息附著的多重利益的考量，當下相關立法并未采取“權利化模式”，而是“行為規制模式”，尤其是從《個保法》將信息處理者視為第一責任人，規定了一系列義務可見一斑。企圖依托“行為規制模式”達到保護個人信息安全的目的也仰賴義務的履行。

基于已公開個人信息突出的公共屬性，個人既是公益事業的參與者也是受益者，有義務和責任允許他人在合理范圍內處理個人信息。另外，個人作為信息的所有者，個人信息處理不當會損害個人權益和公共利益，因此也負有促使信息處理者在合理范圍內處理其個人信息的義務。一方面在使用個人信息時不應為了個人利益而忽視個人信息安全，實施諸如以個人信息換取免費服務等短視行為，另一方面信息主體應跟蹤監管個人信息處理情況，如果信息處理者未在合理范圍內處理個人信息，應該采取相應措施阻止危害結果出現。

信息處理者作為個人信息處理風險直接制造者、個人信息處理受益者，掌握個人信息處理技術，具備個人信息處理風險的治理能力，由其控制個人信息處理風險符合公平原則。結合《個保法》第13條和第27條之規定，“在合理范圍內處理”規則的設置對信息處理者更有利，減免了其取得明確授權的義務，“助推”其處理個人信息。因此，信息處理者在行使相應權利時須謹慎、慎重地處理個人信息，積極履行個人信息保護影響評估等義務。其一旦未在合理范圍內處理個人信息，不僅會阻卻已公開個人信息處理合法性基礎的獲得，而且要承擔相應的法律責任。

（三）權利的有效保障

盡管我國個人信息保護未選擇權利化模式，但是面對侵害個人合法權益行為頻發的現狀，除了加強個人信息保護立法，強化信息處理者責任及其自律外，還需要賦予信息主體抗止信息處理者不當行為的權利，以此形成“事先預防和事中控制為主的保護模式”。《個保法》賦予了信息主體知情權、決定權、查閱權、復制權、可攜帶權、更正權、補充權、刪除權、起訴權等各項權利。已公開個人信息主體除享有上述權利外，還享有“特別”拒絕權。“個人明確拒絕權”是阻止信息處理者不在合理范圍內處理已公開個人信息的“利器”，與之配套的是要保障已公開個人信息處理的透明性，信息處理者主動披露個人信息處理目的等事項。一方面，產生信任危機的重要因素之一是處于特定關系中的雙方信息不對稱，增加透明性能改變信息處理者與信息主體信息不對稱的情況，增進彼此信賴，建立數字信任；另一方面，便于信息主體了解個人信息處理情況，適時行使拒絕權等各項權利，加強個人信息不當處理的事前預防和事中控制。

當然，信息主體近乎不受限制地行使個人明確拒絕權在滿足已公開個人信息保護特殊要求的同時，可能會損害信息處理者利益乃至公共利益。個人明確拒絕權在維護公共利益場域內受限，非公權力機關處理個人信息同樣能增進社會福祉。基于此，信息處理者在負擔義務的同時也享有處理個人信息并獲取利益的權利。如果不保障信息處理者享有依附于個人信息之上的數據權利，對其苛責過重的義務，賦予信息主體過于絕對的權利，這一方面違背了禁止剝奪他人正當利益的正義理念，另一方面可能引致個人信息權益濫用，還會使得個人信息保護和個人信息利用失衡，及其背后的利益分配失去“善”的支撐。所以應給予信息處理者正當權益必要的關照，疏堵結合地引導其規范個人信息處理行為。

六、結語

已公開個人信息依然是個人信息，且與個人隱私存在交叉關系，三者“俱損相依”。在風險社會，保護已公開個人信息具有保護非公開個人信息和個人隱私的附隨效果。“在合理范圍內處理”本質上而言是個人信息保護和個人信息利用的平衡之道，其實際上遠不止于適用于已公開個人信息處理場景中，在所有個人信息處理場景中皆應一以貫之。從此角度而言，本文選取已公開個人信息視域的原因在于相比較其他類型信息而言，已公開個人信息具有“已公開”的特質，而且在開源時代，越來越多的個人信息處于公開狀態，以此切人能夠從特殊到一般、特別到普通，考察“在合理范圍內處理”于整個個人信息保護規范體系中的定位，從而試圖將“在合理范圍內處理”提煉出抽象理論，指導整個個人信息保護實踐。通過研究，可以做如下總結。

首先，“在合理范圍內處理”具有價值導向和規范指引功能。雖然在其他個人信息處理場景中，合理地處理個人信息似乎是不言而喻的，但是在已公開個人信息處理場景中，個人信息處理豁免同意，很大程度上而言，個人信息安全的實現更依賴信息處理者自律、積極履行合規義務，因而“在合理范圍內處理”具有更為重要的意義，承載著更為重大的使命，平衡已公開個人信息附著利益、補充知情同意規則和具化“信賴”理念發揮著價值導向和規范指引功能。

其次，作為權義復合性規則，“在合理范圍內處理”具有雙重構造，決定了其判定需進行利益衡量。“在合理范圍內處理”與《個保法》中的“合理使用”不同，除了屬于違法阻卻事由層面的范疇，還歸屬于合法處理事由下個人信息處理者的義務范疇，具有明顯的“二階性”，包含設定義務、賦予權利等面向。因而，當已公開個人信息處理在合理范圍內，符合其他規范構成要件因素便能獲得合法性基礎時，信息處理者便能夠免于承擔相應的責任。可見，其判定十分重要。已公開個人信息弱保護的形成本質上是利益衡量的結果，“在合理范圍內處理”的設定便是集中體現，因而其判定可引入比例原則在具體場景中進行利益衡量，以求實現多重平衡。

最后，規范目的之實現依賴于法律規則的遵守，即“在合理范圍內處理”得到切實保障。“在合理范圍內處理”的設置背景便是大數據時代數字信任缺失，導致個人信息主體權利得不到保障，信息處理者不積極履行義務。數字信任下的權利和義務之形態實際上就構成了詮釋“在合理范圍內處理”的邏輯前提，“在合理范圍內處理”能夠發揮功能，其具體評判皆沿著“權利一義務”框架展開，這就決定了必須重塑個人信息處理場景中的“權利一義務”框架體系，灌輸“在合理范圍內處理”的價值理念，從而實現個人信息利用與個人信息保護平衡的總體目標。

（責任編輯：曹鎏）

基金項目：2023年度中國博士后科學基金第73批面上資助項目“大數據偵查中個人信息保護研究”（項目編號：2023M733922）；2023年度中南財經政法大學中央高校基本科研業務費專項資金資助項目“大數據偵查中個人信息保護研究”（項目編號：2722023BQ034）。