论已公开个人信息的“合理处理”

2022-11-21解正山

学习与探索 2022年9期

解正山

(上海对外经贸大学法学院，上海 201620)

信息保护实践中，与已公开个人信息处理有关的侵权纠纷日益增多且存在诸多法律争议。其中，未经同意或告知便收集处理信息主体已公开的个人信息是否会侵犯他们的隐私？换言之，个人信息一旦公开是否即不再有隐私等权益保护问题？如何为信息处理者处理该类信息设定行为边界？立法上虽要求信息处理者“合理处理”已公开的个人信息，但合理与否如何判断？通常，信息主体有充分理由反对他人处理其非公开个人信息，但如果这些信息已被公开，那么，信息主体的反对是否还能得到法院认可？这些是已公开个人信息保护及利用中应予回应的法律难题。本文以我国《个人信息保护法》第13条、第27条以及《民法典》第1036条第2项为规范依据，从解释论视角对上述理论与实务问题进行探讨。

一、已公开个人信息“合理处理”要求入法

(一)“已公开个人信息”概念辨析

关于个人信息，《个人信息保护法》第4条第1款、《民法典》第1034条第2款、《网络安全法》第76条第5项等条款分别对其进行了定义。整体上，现行立法多将个人信息定义为以电子或其他方式记录的任何能直接或间接识别特定个人的各种信息。类别上，《民法典》通过识别性与私密性将个人信息区分为非私密信息与私密信息，并将后者纳入隐私范畴且援用隐私权保护策略。不同于《民法典》，《个人信息保护法》将个人信息区分为敏感个人信息与非敏感个人信息两类。上述两种区分具有不同的规范目的与意义：前者重在规范个人信息处理行为，借此向处理敏感个人信息的行为人课以特别义务；后者侧重点在于明确涉及个人信息的民事权益类型与保护方法的差异，即确立隐私权与个人信息权益的二元保护模式[1]。但无论何种类型的个人信息，均应受法律保护已是基本的理论共识与法律原则。

至于“已公开的个人信息”，立法上未作进一步定义。从字面来看，其与非公开的个人信息相对应，是根据公开与否对个人信息进行的分类。实践中，已公开信息一般指未通过登录规则或其他隐私保护措施设置了访问权限的信息。公开与否的分类方法同样具有法律或规范意义，其对信息处理行为的法律后果具有显著的影响。

类型上，根据《个人信息保护法》第13条第1款以及《民法典》第1036条第2项规定，已公开个人信息包括自然人自行公开的信息以及其他已经合法公开的信息两类，后一类信息典型的如“国家机关依职权制作的文书和公开实施的职权行为等信息来源所发布的信息”。内涵上，已公开的个人信息，既可能是一般个人信息，也可能是他们的私密信息或敏感个人信息。本质上，已公开的个人信息仍属个人信息范畴，其不同于已无法识别特定个人的“匿名信息”，该类信息的处理一般无需征得信息主体的同意。此外，已公开个人信息也不同于“公共信息”，后者在我国的法律语境中具有较明确的含义，一般指行政部门以及其他具有公共管理和服务职能的机构在依法履行公共职能过程中生成、采集并以一定形式记录、保存的各类数据资源[2]。因此，认为应以“公共信息”概念代替“已公开个人信息”概念的主张[3]，显然不当限缩了已公开个人信息的范围。

(二)“合理处理”规范的演化及其解释论

对于已公开的个人信息，我国《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》(以下简称《网络侵权规定》)原第12条第1款第4项以及第2款最初规定：除非以违反公共利益、社会公德等方式公开或公开行为侵害了自然人的重大利益，否则，行为人再次公开“自然人自行在网络上公开的信息或者其他已经合法公开的个人信息”无需承担侵权责任。该规定后被《民法典》第1036条第2项吸收。为保持衔接，《个人信息保护法》第27条再次重申可在合理范围内处理已公开的个人信息。比较而言，《民法典》与《个人信息保护法》的上述条款通过“处理”这一措辞扩大了已公开个人信息免责利用的方式，包括“收集、存储、加工、使用、传输、提供、公开、删除”等多种行为。

1.合理谨慎——处理已公开个人信息的一般要求

对于已公开个人信息的处理，核心问题之一是根据何种标准判定处理行为是否“合理”？

内容上，作为“合理处理”的最低要求，信息处理者应承担以下各项一般性义务：一是《民法典》第111条向其课以的“依法取得”个人信息这一积极的作为义务；二是《个人信息保护法》第10条、《民法典》第111条等条款规定的不作为义务(禁止性义务)，主要包括“不得非法收集、使用、加工、传输他人个人信息”“不得非法买卖、提供或者公开他人个人信息”，以及“不得从事危害国家安全、公共利益的个人信息处理活动”等义务。这些义务的根本宗旨在于保护信息主体不因个人信息处理行为而受到侵害，同时确保信息处理者以不违反公共利益或社会公德等方式处理个人信息。除上述一般性义务外，根据《个人信息保护法》第5条、《民法典》第1035条第2款规定，信息处理者还应遵循合法、正当、必要、诚信等基本原则，合理谨慎地处理个人信息，不得以误导、欺诈、胁迫等方式处理个人信息，“同意原则”适用存在的例外情形尤应受这些原则的约束。

一般认为，“正当”之要求主要包括个人信息使用目的正当合理、获取方式正当等。目的约束是一项国际通行的数据处理行为准则，是多数国家个人信息保护立法的基石[4]。为实现公共利益或履行法定职责而处理个人信息是目的正当合理的应有之义，对此并无争议，但对于为实现私人利益或商业利益而处理个人信息的行为，则存在正当与否的问题。实践中，越来越多的处理个人信息行为是为实现商业利益，但应强调的是，商业化使用行为本身并非不正当。信息处理者以窥探个人隐私等目的进行的数据匹配与信息处理显然属于目的不当。很多时候，信息主体虽不介意甚至希望自己公开的照片被广泛传播，但他们多不愿意自己的照片被用于人脸识别；他们不介意自己的信息被用于疫情防控，但却抗拒参与心里健康研究。获取方式正当主要指不得采用法律禁止的技术手段采集或抓取个人信息，尤不应对采集或抓取的个人信息进行不当篡改或以其他不当方式进行处理。

关于“必要”，其目的在于防止过度处理，立法上要求信息处理者采取对个人信息权益影响最小的方式处理个人信息，且不得过度收集。这意味着信息处理者需对处理个人信息不同方案的损害程度进行比较，必要时，还须对处理行为引发的风险进行全面评估，进而“选择没有损害或最小损害的处理手段”[5]。对于敏感个人信息，信息处理者则应“在具有特定的目的和充分的必要性，并采取严格保护措施的情形下”才可处理。同时，“必要”原则也同样适用于不同的信息处理者之间。“大众点评诉百度案”中，法院即认为被告通过搜索技术大量抓取并全文展示原告网站上的用户点评信息的行为超过了必要限度，其欲实现提升消费者体验与丰富消费者选择等积极效果与给原告造成的损失并不符合利益平衡原则。(1)参见上海知识产权法院(2016)沪73民终242号民事判决书。一般认为，数据抓取者抓取已公开的个人信息时，应注意不得恶意抓取且其抓取行为不应给目标网站造成额外负担，同时，抓取的已公开信息应限于事实性而非独创性的信息，且仅应将其用于生产创新性产品，而非通过引诱用户或以类似产品等方式窃取目标网站/信息控制者的市场份额[6]，更不得超范围使用从而侵害信息主体合法权益。实务中，超范围使用个人信息之行为一般都会被认定为违反必要原则，“腾讯诉抖音案”即为此例。(2)参见天津市滨海新区人民法院(2019)津0116民初2091号民事裁定书。

至于“诚信”，其基本要求是：信息处理者应忠诚地对待信息主体的信任、诚实地履行自己的义务、遵守合理的商业标准，不得欺诈或获取不正当利益，以合乎信息主体合理期待的方式处理他们的个人信息。这也是我国《民法典》第7条规定的“秉持诚实，恪守承诺”的基本意涵。实践中，当网络用户“访问网站、搜索查询、网上购物以及提供个人数据时，多半是因为相信这些交易相对方在提供数字产品与服务时会保护好我们的个人数据，更不会滥用这些数据”[7]。这是一种“特殊的信任——数字信任，蕴含着我们对数字产品与服务提供商利用个人信息是使我们受益而非损害我们利益的基本信念”[8]。因此，如果处理个人信息所产生的结果是限制他们的权利、歧视他们或以其他方式侵害他们的权益，那么，信息处理者就违背了信息主体的信任或合理期待。作为“合理处理”的内在要求，信息处理者应以符合个人信息被公开时的用途进行处理，否则，作为谨慎义务的一部分，其应取得信息主体同意；当个人信息公开时用途不明，信息处理者更应合理谨慎处理，不得滥用个人信息，以难以预料的方式使用个人信息并对信息主体产生不利影响，或以其他方式对信息主体造成不合理的损害风险等[9]。

2.同意例外——处理已公开个人信息的特殊规则

个人信息与个人的身份密不可分，其关乎自然人的尊严与隐私等人格权益。“承认自然人的个人信息权益就必然导致对他人行为的限制”[10]，处理个人信息前取得个人同意正是这种限制的重要体现。理论上，“同意是一个颇具争议的概念，其在人际交往中发挥着极为重要的社会、政治与规范功能……它改变了人们针对彼此行为的正当理由以及存在于他们之间的道德权利和义务”[11]。“同意”更是个人“信息自决”的核心要义。立法上，多数国家也都遵循“授权个人控制自己的信息”这一基本理念[12]。对于此种“控制”，其经典表述是：“个人……有权自主决定在何时以何种方式以及在多大程度上将其本人信息披露给他人。”[13]这种美式自由主义自治原则力图将本人作为个人信息使用的决策者，借由本人对其个人信息的管理以及本人决定个人信息的使用从而实现“信息自决”[14]。建立在人的尊严基础上的欧盟个人数据保护理论，也“内含个人数据由个人自主控制的基本论调”[15]。

同样，继全国人大常委会《关于加强网络信息保护的决定》第2条首次将“同意”作为采集、处理个人信息的前置条件之后，我国《网络安全法》第41条以及《民法典》第1035条第1款第1项等条款也都将信息主体“同意”这一前置性要求写入法律。相应地，《民法典》第1036条第1项则把个人“同意”作为豁免信息处理者责任的法定事由。这些立法无不强调同意原则在个人信息处理中的基础地位。《个人信息保护法》的起草过程也表明了立法者对同意原则的坚持：“一审稿”第13条曾把取得信息主体同意与其他无需同意即可合法处理个人信息的情形并列，从而“弱化了个人同意的基本原则地位”[10]；但其后，“二审稿”第13条增设了第2款，强调“处理个人信息应当取得个人同意”仍是一项基本原则，反映了“授权个人控制自己的信息”这一理论共识。

不过，同意原则所体现的“授权个人控制自己的信息”理念并不绝对。一方面，“授权个人控制自己的信息”并不意味信息主体对其个人信息享有绝对的、排他的控制，它只是一种相对的控制，受到公共利益等更高位阶利益以及其他合法利益的限制。相应地，当这种“个人控制”理念转化为立法上的同意规则时，立法者虽强调取得同意是原则，但并未规定它是处理个人信息的唯一合法基础。相反，为避免该原则对个人信息合理利用构成阻碍，《个人信息保护法》第13条第2款特别增加规定了无需“同意”即可处理个人信息的例外情形，其中就包括“在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息”时无需再取得个人同意。这一规定突破了此前立法关于同意的一般性规定。更重要的是，这有利于降低他人获取公开信息时的成本，进而促进数据的流动与共享。应予强调的是，鉴于已公开的个人信息仍具有一定的隐私或控制利益(下文具体阐释)，因此，信息处理者的处理行为就可能侵害信息主体的重大利益或对其个人权益构成重大影响。根据《个人信息保护法》第27条规定，信息处理者此时应“取得个人同意”，否则，其行为将不再受《民法典》第1036条责任豁免条款的保护。这也是对《个人信息保护法》第13条第2款“同意例外”规定的反向补充。

尤其需要指出的是，信息处理者“合理处理”已公开的个人信息时虽无需取得个人同意，但并不意味着他们的告知义务被当然地豁免。告知的重要意义在于：信息主体有机会对其个人信息如何使用进行控制，完全知情的信息主体可选择退出对自己有害的数据处理活动或采取必要的隐私保护措施使自己免受数据滥用行为的侵害。立法上，关于已公开个人信息的收集是否以及如何进行通知存有不同规定。美国加州数据隐私法豁免了间接收集个人信息的当事人的告知义务，伊利诺伊生物信息隐私法则不管是直接收集还是间接收集，均需在收集处理前进行通知[16]。欧盟《一般数据保护条例》第14条则规定，除非被证明是不可能或将付出不成比例的成本，否则，间接收集个人信息的当事人需通知信息主体。与美国伊利诺伊生物信息隐私法类似，我国《个人信息保护法》第7条、第17条同样规定信息处理者应在处理个人信息前履行告知义务。这意味着即便是在立法规定无需取得个人同意的例外情形下，除非法律另有规定，否则，信息处理者收集处理已公开个人信息前仍应履行告知义务，以保护信息主体对他人处理行为的知情权。

二、已公开个人信息“合理处理”的理论意涵

(一)信息主体对“合理处理”行为的容忍义务

对自然人而言，个人信息具有明显的人格意义。同时，它也具有显著的经济与社会价值。

一般认为，如果承认信息主体对其个人信息享有权益，那么，将其建立在维护人格尊严和自由的基础之上将更具说服力[7]。我国《个人信息保护法》第1条“根据宪法，制定本法”之表述无疑是为强调个人信息保护的根本在于保障信息主体的人格尊严和其他一些重要权益，旨在将自然人人格尊严与自由不受侵犯之宪法精神融入个人信息保护立法之中。这也是《民法典》个人信息保护条款的根本出发点与落脚点。未经脱敏处理的个人信息可轻易指向或识别特定个人，蕴含着他们明显且丰富的人格利益，既包括附着其间的隐私权等传统权利，更包括大数据时代特有的控制性利益[17]。在本质上，这些与人格尊严有关的个人信息受保护的利益应属广义上的“民事权益”，可将其归为《民法典》第990条第2款规定的“基于人身自由、人格尊严产生的其他人格权益”。《个人信息保护法》第2条仅采用“个人信息权益”而非对世性的“个人信息权”概念，这也表明，立法上只承认自然人对其个人信息享有一种“新型的人格权益”[18]，特别是自然人对其个人信息享有保护性或控制性利益，这也就隐含着其他主体可以合理利用个人信息的基本立场。

综上所述，个人信息权益在本质上并非一项绝对的“权利”，而在于承认“人人有权保护自己的个人信息”这一相对性“权利”。立法上承认此种“权利”的本质意涵有二：其一，强调个人信息之上隐含的人格意义；其二，人格意义并非个人信息之上的唯一价值，其也关乎信息自由获取及传播等社会或经济价值。这也意味着若仅站在个人立场上强调保护而忽视个人信息对他人及社会的意义，那么，将导致每个人所能获得的数据服务或福利大幅削减甚或消失。是故，不应将个人信息之于自然人的人格意义绝对化，还应考虑其对他人及社会的价值，摆脱信息独占理念从而为更多人获取并使用个人信息提供机会，以促进数字经济发展乃至社会进步。当然，这并非表明个人信息是公共产品或公共资源，更不表明隐私或个人信息权益的消亡。相反，若过于强调个人信息的公共属性，甚至以维护公共利益与公共安全以及促进个人信息自由流动为名，否定本人对其个人信息的民事权利并将个人信息作为公共物品交由政府通过公法予以规制[19]，似乎又走上了另一个极端，信息主体人格尊严与自由很大程度上将因个人自决机会的丧失而遭受损害。

如果说非公开的个人信息在一定条件下可以被收集利用，那么已公开的个人信息就更可以被收集利用。对于后者，鉴于自然人已基于信息自决而选择在其信任的场景或范围内放弃或让渡部分人格利益，因此，在其放弃或让渡的权利范围内，信息处理者也就获得了较之于处理非公开的个人信息更多的行为自由。这表明信息主体对于他人“合理处理”自己已公开个人信息之行为负有一定的容忍义务。信息处理者无需取得个人同意便可“合理处理”的规定便是立法体现。相应地，最初收集存储这些公开信息的信息处理者对第三方抓取以及再次使用的行为也负有一定的容忍义务。但若阻止获取公开信息，不仅会阻止有意义的竞争[20]，而且也有碍“以公益研究或其他有益用途为目的的数据运用，更有违互联网互联互通之精神”。(3)参见北京市海淀区人民法院(2017)京0108民初24512号民事判决书；北京知识产权法院(2019)京73民终3789号民事判决书。但应强调的是，抓取并利用已公开个人信息的当事人应在合理限度内且应公平处理，这也是信息主体及其他利益相关者负担一定容忍义务的重要前提。一方面，不合理或不公平处理已公开的个人信息仍可能侵害信息主体合法权益；另一方面，这些信息之所以得以聚合也是因为社交网站等最初的信息处理者付出了相当的努力与成本，且这些信息已成为它们的核心财富和重要的竞争资源。

(二)信息处理者负担谨慎处理义务的正当理由

1.“公开即无隐私”——一个值得商榷的观念

一直以来，“隐私的现代话语中存在一个强有力的假设，即如果有人能访问或查看你的数据，那么，其他任何人也可以。换言之，如果你把某些东西‘放在那里’供人们查看，那么，当有人收集、使用、分享它们时，你就不该抱怨”[21]。因此，一旦被贴上公开信息的标签，信息处理者似乎就获得了一把尚方宝剑。在我国信息侵权纠纷中，就有不少当事人或数据抓取者认为可不受限制地收集利用已公开的个人信息。理论上，也有学者认为，鉴于“隐私权旨在保护非公知的私事”[22]，因此，“在人格权法中，已经公开的事项，就不再有隐私，至少可以成为免责的事由”[3]。域外也有类似观点。首先，理论上，不少国外学者认为，对于网络用户在社交媒体上自行公开的个人信息，他们一般不再有合理的隐私期待，整个社会也没有这样的隐私期待，这是因为社交网站的隐私条款几乎都会告知用户，他们自行公开的个人信息可能会通过应用程序接口(API)与他人共享，这也意味着用户本应对自己自行公开的个人信息被他人公开获取抱有合理的预期[23][24]。其次，在司法实务中，不少国外的当事人与法院也都认为，一旦个人信息或事实已公开，无论是多么私人的事情，都将失去隐私保护。(4)See Gill v. Hearst Publ'g Co., 253 P.2d 441, 444 (Cal. 1953); Guest v. Leis, 255 F.3d 325, 333 (6th Cir. 2001); Dexter v. Dexter, No. 2006-P-0051, 2007 WL 1532084, (Ohio Ct. App. May 25, 2007); Moreno v. Hanford Sentinel, Inc., 91 Cal. Rptr. 3d 858 (Ct. App. 2009).

2.已公开个人信息之上仍有隐私或控制利益

一般认为，“模糊性”是现代隐私理念的重要组成部分。“身份与信息的模糊程度以及信任关系的存在对塑造人们的行为及风险感知具有重要影响。当人们的行为与个人信息处于‘模糊地带’并在其信任的场景中公开，它们就会感到安全”，现实生活中“人们也多是根据自己的模糊程度或可能的模糊程度来计算隐私风险”[21]。这表明，很大程度上，私密与公开的二分法并非是识别是否具有隐私的“开关”，身份或个人信息的模糊程度才是理解它们的秘钥。多数情况下，大部分在线信息处于“模糊地带”，若没有合适的搜索词、访问许可或必要的知识来理解数据，那么，这些信息仍将保持模糊状态[21]。但是，大规模自动化地抓取公开网页上的个人信息并进行相关性分析将打破此种模糊性甚至使用户隐私面临重大风险[16]。即便个人信息已公开，也不意味信息主体完全放弃对这些信息的隐私期待或控制利益，尤其是大数据时代，凭借强大的算法能力，信息处理者可对大量碎片化的个人信息进行聚合与分析，推测信息主体是什么样的人、他们在哪里、正在干什么……这种广泛甚至不受约束的信息处理将对网络用户产生广泛而深远的影响。

实践中，不少数据抓取者认为，网络用户选择在互联网发布信息即是同意与他人分享他们的个人信息。然而，“将自行公开解释为对隐私的完全放弃或是进行个人赋权都过于简单了”[25]。“如果我们对已公开的信息不再享有隐私权，那么，很快我们就将不再有任何隐私可言了”[26]。即便信息在技术上是公开的，除非它们已失去模糊性，否则，信息主体对这些信息仍可保留合理的隐私期待。在信息实践中，用户在网上公开自己的个人信息多是因为他们相信自己的信息是模糊的，并处于其信任的环境之中。“隐私即信任”论者认为，信任不仅仅是隐私的基本组成部分，更是将社会凝聚在一起的黏合剂[21]，对于一个安全和可持续的数字世界而言，它是必不可少的。信任能使人们通过共享有意义且通常是敏感的信息来增强交流，从而发展长期、可持续的信息关系。同时，人们确信其分享的信息将被用于维护他们的利益而非用来困扰或伤害他们[27]。简言之，公开自己的个人信息，至多也只是表明信息主体愿意参与模糊且值得信任的网络场景，而非被动参与其无法预料甚至可能侵害他们权益的数据收集或识别分析活动。如今网站的隐私控制已变得越来越复杂，它们总是设置一些有利于信息公开与共享且不时变动的默示隐私条款。如此情形下，信息主体公开自己的个人信息，并不能简单地认为他们丧失了对这些信息被第三方收集使用时的隐私期待[26]。

网络用户虽愿将其个人照片或其他个人信息上传至社交网站，但几乎无人会同意信息处理者对他们已公开的个人信息进行不公平或不正当地“挖掘”。以强制方式公开的个人信息也是如此。因为，这些信息随后可被用于完全不同的场景之中并可能产生令人极其尴尬和痛苦的结果[28]。总有怀揣不良企图抓取公开信息的不速之客，他们收集信息或为创建一个以假乱真的网站，或将收集到的信息用于没完没了的营销活动等不法或不当用途，这不仅违背用户最初公开自己个人信息时的隐私期待，还将导致那些未能阻止数据抓取行为的数据企业丧失用户的信任[29][30]。通过被抓取的信息，包括谁在网上发帖、他们与谁互动以及他们发布的内容等，数据抓取者能够推断或揭示这些信息主体的心理状况、政治与宗教倾向以及个人的其他偏好等“新事实”[31]。这些“新事实”已成为大数据时代特有的预测性隐私，本质上它们与传统隐私一样，对自然人具有相同的人格意义。不难看出，不公平或不正当地处理已公开个人信息仍可能对信息主体产生重大影响，尤其是经济上处于不利地位以及因不良生活事件而易受伤害的当事人的声誉及机会更可能受到不当影响[32]。

综上所述，一方面，已公开个人信息的“合理处理”是“立法者基于价值权衡，为了维护公共利益(以及其他当事人合法权益)对自然人个人信息权益作出的限制，性质上属于对人格权益而非财产权益的限制”[33]。此时，立法者更多考虑个人信息的经济或社会价值。另一方面，“合理处理”的法定要求，除有助于实现信息自由流动、促进数字经济发展进而增进消费者个人福祉这一根本意涵外，还隐含着立法者承认信息主体对这些信息仍享有某种程度的隐私期待或控制利益，而非一味地认为已公开个人信息不再有隐私这一不当立场，更非绝对地把利用已公开个人信息的利益置于个人利益之上。很大程度上，“合理处理”的法定要求也意味着信息处理者应该对其处理行为是否对信息主体隐私等权益构成重大影响进行评估，包括处理行为是否有损信息主体信息自决权或其他个人信息权益。实践中，即便对已公开个人信息的使用不一定会侵害隐私利益，但仍可能损害用户对他们已公开个人信息的控制利益[34]，包括信息主体对已公开个人信息的更改或删除等数据权利。总之，个人信息在某一时间已被置于“公共”领域的事实并不意味信息主体不可挽回地失去了对该信息的隐私利益或者不再享有对它们再次披露或传播的控制利益[21]。所以，不管个人信息是否公开，信息处理者均应公平合理、诚实谨慎地收集处理，这就要求他们适当权衡相互冲突的利益，充分考虑信息的敏感性，尤其是对弱势群体的重大影响等[32]。

三、个人反对——公开信息“合理处理”的例外

根据《民法典》第1036条第2项但书条款规定，当“自然人明确拒绝或者处理该信息侵害其重大利益”时，信息处理者即不得再处理已公开的个人信息，否则，其行为将构成侵权并应承担相应的民事责任。《个人信息保护法》第27条再次重申：“个人明确拒绝”时，行为人即不得再处理其已公开的个人信息。与《民法典》第1036条稍有不同，《个人信息保护法》第27条规定：信息处理者“处理已公开的个人信息，对个人信息权益有重大影响的，应当依照本法规定取得个人同意”。这表明，即便处理行为损及个人利益或对其有重大影响，但若取得个人同意，该处理行为仍属《民法典》第1036条规定的应予豁免责任的行为。

作为信息自决的一部分，个人自当有权限制或拒绝他人处理其个人信息，这已为立法所确认。除《民法典》第1036条第2项但书条款赋予个人拒绝他人处理其已公开信息的权利之外，《个人信息保护法》第44条更是规定：除非法律法规另有规定，否则，个人“有权限制或者拒绝他人对其个人信息进行处理”。根据对上述条款的一般解释，无论个人信息公开与否，信息主体均可对他人处理行为提出反对。但应强调的是，个人反对权只是相对的，若为维护公共利益或为履行法定职责处理个人信息时，信息主体即负有不得妨碍的容忍义务。《民法典》第1036条第3项将“为维护公共利益”作为信息处理行为的责任豁免事由。作为延伸，《个人信息保护法》第13条第1款进一步规定，基于公共卫生安全与公众知情权等公共利益处理个人信息无需获得信息主体同意。不过，即使基于公共利益，也应“合理处理”个人信息，否则，行为人仍须为其不合理处理行为承担民事责任。总之，立法上规定个人反对权正是赋予个人拒绝参与他们认为有害数据活动的权利。

基于公共利益或法定职责处理个人信息时，信息处理者能较容易地证明公共利益与个人利益的先后顺序，此情形之下，个人反对权多受到约束。而难点在于，当基于自身合法利益处理个人信息时，信息处理者如何证明其自身利益与信息主体的利益、权利与自由的先后顺序？如果不能证明其欲实现的合法利益优于个人利益，那么，信息处理者即应尊重信息主体的反对权，停止处理其个人信息。否则，其行为将构成侵权。在实务中，判断处理已公开个人信息的行为是否合法，主要涉及以下三个问题：其一，第三人可否基于商业目的再次公开或以其他方式处理这些信息；其二，信息主体提出反对后，信息处理者继续处理行为如何定性；其三，如何认定处理行为是否侵害了信息主体“重大利益”或对“个人权益有重大影响”。

对于第一个问题，一般原则是，应支持对已公开的个人信息进行适度的商业化利用。这也是《民法典》第1036条第2项以及《个人信息保护法》第13条第2款的规范目的的一部分。实践中，不少法院已认识到公开信息的经济或社会价值，因而认可信息处理者以盈利为目的使用这些信息，从而与立法保持了一致。例如，对依法公开且包含个人信息的裁判文书，法院认为信息处理者“基于公开的渠道收集后在其合法经营范围内向客户提供、公开……属于对已合法公开信息的合理使用”，信息处理者以此盈利“并不等同于谋取非法利益”，性质上不构成“非法使用、提供或公开”个人信息。(5)参见江苏省苏州市中级人民法院(2019)苏05民终4755号民事判决书。相反，若规定“经司法公开的数据，社会其他主体不得再度转载、利用，一方面将损害司法公开制度，损害公众因该制度所受保护的知情权、监督权等公共利益；另一方面，将使得上述数据被司法机关独家垄断，与司法数据公有、共享的理念不符”，故其他数据利用主体可在“一定条件下”对司法公开的数据进行再度利用”。(6)参见北京市第四中级人民法院(2021)京04民终71号民事判决书。不难看出，法院虽支持对公开信息进行商业化使用，但也强调应在“一定条件下”或“合理使用”这一必要限度。

对于第二个问题，核心在于如何权衡隐私及个人信息权益与信息处理者商业利益的保护次序。对于已公开个人信息，信息主体提出反对前，信息处理者实施的再次公开等处理行为仍“属于对已合法公开信息的合理使用”，一般不构成侵权。这是因为信息处理者虽以盈利为目的而为再次公开等处理行为，但该目的并不必然违反社会公共利益或侵害当事人更值得保护的重大利益。这正是我国《民法典》第1036条第2项第1句的立法旨意。然而，根据《民法典》第1036条第2项“但书”条款以及《个人信息保护法》第27条规定，若无视信息主体的反对，那么，信息处理者的处理行为仍将构成侵权。总之，作为一般原则，评估信息处理者收集处理已经合法公开的个人信息是否遵循合法、正当、必要原则时，应妥当平衡已经合法公开的个人信息流通与个人信息主体对信息传播控制之间的关系，既要重视保护自然人的个人信息权益，同时也应该兼顾信息技术提升、经营模式创新、大数据产业发展对推动社会进步所起的积极作用。在数据共享与个人信息保护之间，具体到对已经合法公开的个人信息流通与信息主体对已公开个人信息的再次传播控制之间，则应在兼顾两者利益考量的基础上有所侧重。从价值衡量上来看，信息主体对信息传播控制的人格权益显然高于已经合法公开的个人信息流通所产生的潜在财产权益，信息主体对其个人信息传播控制的权利更不因个人信息已经合法公开而被当然剥夺。(7)参见江苏省苏州市中级人民法院(2019)苏05民终4755号民事判决书。

对于第三个问题，在文义上，《民法典》第1036条第1款第2项“但书”条款中的“自然人明确拒绝”较易认定。根据文义解释，“自然人明确拒绝”并不以信息处理行为侵害自然人人格权益为先决条件。作为“信息自决”的一部分，除非存在比信息主体人格权益更高位阶的利益，否则，信息主体有权拒绝信息处理者处理其个人信息，即便信息主体事先作出了“同意”，其也有权撤回“同意”，且信息处理者有义务为撤回“同意”提供便利，更不得以此为由拒绝提供产品或服务。若处理行为侵害了信息主体的“重大利益”，那么，信息主体当然可反对信息处理者继续处理其个人信息。这其中的问题是，如何理解“重大利益”。

在理论上，经由个人信息可对信息主体进行识别分析，信息处理者可推测人们的行为风险或偏好，甚至据此作出不易被察觉且有损于信息主体利益的各种决定。一是操纵或不当侵扰[35]。例如，消费者若在某个网站上搜索了某项商品或浏览某项信息，当再次登录网络时就会有与上次检索商品或信息相关的广告或内容推送接踵而至，这“为操纵消费者行为打开了全新途径”[36]。正是利用网络浏览历史、消费习惯、兴趣爱好等公开信息，信息处理者可以针对特定用户进行个性化推荐或展示，利用或塑造他们的“认知偏见”[37]，促使他们购买并非真正需要的商品或服务，或以不合理高价购买，甚至通过定向推荐而令信息主体不堪其扰，严重影响他们的生活安宁。(8)参见山东省济南市天桥区人民法院(2019)鲁0105民初5398号民事判决书。二是限制乃至剥夺信息主体的某些权利或机会，例如，信息处理者利用数据相关性分析推断某人未来存在罹患严重疾病的风险，进而拒绝向其提供工作机会或保险服务；或者信息主体因信息处理者的处理行为而遭致负面评价，进而丧失工作机会或其他权利，(9)参见江苏省苏州市中级人民法院(2019)苏05民终4755号民事判决书。或使其遭遇人肉搜索乃至被冒用身份等未来侵害风险。(10)参见北京互联网法院(2019)京0491民初10989号民事判决书。通过以上分析，对于《民法典》第1036条第2项“但书”条款中的“重大利益”可作如下理解：当信息主体因信息处理行为而遭受权利损害，如合同撤销、福利丧失等财产或身份待遇损失以及遭遇霸凌、嘲笑、恐吓或骚扰等精神损害，或者与此类似的其他重大不利影响，包括信息主体的行为或选择受信息处理行为不当影响或该处理行为导致其重要机会的丧失，如金融服务、劳动就业、接受教育等机会的丧失。同理，《个人信息保护法》第27条规定的“重大影响”可作相同解释。

总之，作为对已公开个人信息处理行为的必要限制，若信息处理者不顾信息主体反对或其处理行为侵害他们“重大利益”或对其构成“重大影响”(且在此种情形下未取得信息主体同意)，那么，信息处理者将不再受《民法典》第1036条第2项责任豁免条款的保护，而应承担侵权责任。另外，根据《个人信息保护法》第69条第1款规定，信息处理者“处理个人信息侵害个人信息权益造成损害”时，若其“不能证明自己没有过错，应当承担损害赔偿等侵权责任”。这意味着，信息主体只要证明遭受“损害”即可，其他的证明责任将分配给信息处理者。

四、结语

鉴于个人信息对于自然人的人格意义及其对其他主体的经济或社会价值，在强调对其保护的同时亦应避免因保护过度而阻碍信息合理利用乃至影响数据产业发展。作为立法回应，一方面，我国《民法典》第111条、第1034条第1款以及《个人信息保护法》第2条等条款强调“个人信息受法律保护”；但另一方面，《民法典》第1036条以及《个人信息保护法》第13条、第27条等条款又确立了个人信息的无责使用制度，其中，就包括已公开个人信息无需取得自然人“同意”便可“合理处理”的制度框架，为数据利用中可能发生的侵权纠纷提供了强有力的免责抗辩依据。我国《个人信息保护法》第1条就体现了这种平衡个人信息保护与合理利用的立法思想。总之，只有合理谨慎地利用个人信息，才能更有效地促进数字产业发展，塑造充满活力的经济社会。