张建文 丁冰洁

一、 问题的提出

为了有效平衡个人信息的保护和合理利用，《中华人民共和国民法典》(以下简称“《民法典》”)第1036条规定了处理个人信息的三种豁免情形，即维护公共利益(国家利益和社会公共利益)，保护个人信息权益主体的合法权益以及合理处理公开的个人信息[1]。《中华人民共和国个人信息保护法》(以下简称“《个人信息保护法》”)第13条在《民法典》第1036条规定的基础上拓展和细化为7项处理个人信息的正当性基础。《个人信息保护法》第27条又针对《民法典》第1036条第2款和《个人信息保护法》第13条第1款第6项对公开个人信息的处理进行了专门规定：在合理范围内，个人信息处理者可在非基于信息主体同意的前提下处理公开的个人信息，除非个人信息主体明确拒绝；处理活动可能对个人权益产生重大影响的，则需要依据《个人信息保护法》的相关规定取得信息主体的同意之后再进行处理。第27条所确立的规则在促进个人信息合理利用的同时，将“合理范围”“个人明确拒绝”和“对个人权益有重大影响”作为信息处理者进一步处理公开个人信息的限制性因素，以期统筹平衡信息主体的信息自决与信息处理者的合理使用。

与《民法典》第1036条第2款的内容相比，从文本表述来看，《个人信息保护法》第27条还是有些细微的改动，在可能对信息主体产生重大影响的情形中，由之前的禁止处理否则承担民事责任模式转为依法取得信息主体同意后可以进行信息处理。整体而言，《个人信息保护法》第13条第1款第6项关于公开个人信息的合理使用应当与《民法典》第1036条第2项的规定保持含义上的一致，即在自然人明确拒绝时以及处理该信息侵害其重大利益时，该种处理不是合理处理[2]，除非得到信息主体的同意。

在互联网高度发达的今天，信息自决与信息自由流动之间存在着一定张力，公开个人信息因其公开性很大程度上将会成为二者争抢的领域，要想深入透彻地分析它，并且实现第27条所预设的平衡信息自决和信息合理使用的社会效用和司法价值，首先要探讨公开个人信息的法律地位问题，再从公开个人信息的处理规则出发，使约束个人信息处理者自由处理公开个人信息的限制性因素“合理范围”“明确拒绝”和“重大影响”的判断标准尽可能地明确化。

二、 公开个人信息的法律定位思考

公开个人信息具有公开性和可识别性的特征，承载着信息主体以信息自决为核心和信息处理者以合理使用为核心的双重利益。根据《个人信息保护法》第13条和第27条的规定，处理个人公开信息是法定的信息处理情形，原则上无须取得信息主体的同意[2]。依据《个人信息保护法》第17条的规定，个人信息处理者在处理个人信息前要履行告知义务，但由于公开个人信息已经处于公开状态，信息处理者是否还有告知的必要也存在异议。这意味着公开个人信息面临着随时被多个主体处理的可能性，我们不得不以一种更为谨慎的态度对待公开个人信息。

(一) 域外立法中公开个人信息的识别

1. 美国法律对公开个人信息的地位界定

2018年3月，剑桥分析公司和Facebook信息泄露事件的曝光，加剧了消费者对个人信息收集、处理、分享和交易过程的不透明的不满以及对个人信息安全保障不足的担忧[3]，在此背景下加州率先通过了《2018加州消费者隐私权法》(California Consumer Privacy Act of 2018，简称CCPA)。CCPA界定了个人信息的定义及个人信息的范围，其中明确指出个人信息不包括公开可得的信息。“公开可得”系指从联邦、州或地方政府记录中可以合法获取到的信息[4]。从这一规定来看，这种来自联邦、州或地方政府记录中的个人信息类似于从我国政府公开信息中获取的个人信息。但是可合法获取的政府记录信息中，包含了大量的个人信息，将其进行聚合、数据挖掘可能会给个人带来难以想象的损害。

此后，加州又于2020年11月3日通过了《2020年加州隐私权法》(The California Privacy Rights Act，简称CPRA)提案，该提案修正并扩展了CCPA。其第14条定义规定，个人信息不包括公开可得的信息，或合法获取的、真实的、引起公众关注的信息。此处的“可公开获得”是指：从联邦、州或地方政府记录中合法获得的信息，或者某企业有合理理由认为是由消费者合法地向公众公布的，或从广泛传播的媒体获取的；或者如果消费者没有将信息限定于特定的受众，则包括消费者已经向其披露了信息的人提供的信息，以及“可公开获得”并不意味着企业在消费者不知情的情况下收集的关于消费者的生物识别信息。从该除外条款可以发现，CPRA在CCPA的基础上，进一步扩大了可公开获得信息的范围和来源，包括信息主体自己公开披露的信息、政府公开信息、新闻报道公开的信息，这些信息都不属于个人信息的范畴，亦无法依照CPRA获得相应的保护。与我国《民法典》和《个人信息保护法》相比，我国并没有将上述三类公开个人信息排除在个人信息保护对象之外，而是将其作为非基于同意处理个人信息的正当性基础，之所以这样规定是基于个人信息不仅属于私人利益，在信息时代更具备相当的社会利用价值，体现为一定的公共利益属性。

2. 俄罗斯对公开个人信息的规制

俄罗斯的个人资料保护制度，主要是依据《个人资料法》和其他联邦法律予以确立的。《个人资料法》在俄罗斯具有个人资料保护之基准法的地位[5]。俄罗斯《个人资料法》将个人资料分为四类: 公众可获取的个人资料(公开个人资料) 、普通个人资料、特种个人资料和生物个人资料[6]。其中公众可获取的个人资料，指为了保障信息目的而建立的公众可获取的个人资料来源，包括指南、地址簿、传记、书目、电话簿、私人广告等。经个人资料主体的书面同意方可将其姓、名、父称、出生年份及出生地、住址、用户号码、职业信息和个人资料主体提供的其他个人资料纳入可公开获取的个人资料途径①。由此可见，俄罗斯的个人信息立法规范承认公开个人信息仍然属于个人信息，并未采取美国加州式的做法将公开个人信息排除在个人信息保护之外。

信息被列入公众可获取信息的主要后果就是法律承认任何人都可以按照自己的意愿使用它，唯一的条件是必须遵守联邦法律对信息传播的限制[7]。就此而言，俄罗斯对公众可获取信息的规制态度为允许一定程度上的自由使用，但需遵守法定的限制。此外，从对公开个人信息的保护力度来看，免除了信息处理者对公开个人信息的保密义务以及自第三方处取得公开个人信息时提供法定信息的义务②，但同时也赋予了个人信息主体要求从公众可获取资料来源中删除的权利。与之相比，我国虽未在《个人信息保护法》第72条的除外适用条款中规定公开个人信息，但我国立法并未像俄罗斯立法那样明确免除对公开信息的保密义务及提供法定信息的义务。在一般的信息处理活动中，信息处理者要在处理个人信息之前向个人告知信息处理者的基本信息及信息处理的目的、方式等内容。虽然第18条规定了法律、行政法规规定应当保密及不需要告知的绝对豁免和紧急情况下的相对豁免两种豁免告知义务的情形③，但从文本来看，较难认为处理公开个人信息可豁免告知义务。

(二) 对公开个人信息定位的思考

从我国既有的相关公开个人信息的规范来看，公开的个人信息具有合法性和公开性两大特征，公开性即个人信息被公之于众，不特定的人可以通过合法的途径而获悉[1]，这一点与美国《2020年加州隐私权法》的公开可获得信息以及俄罗斯《个人资料法》中的公众可获取资料具有相似性。就对公开个人信息的定位而言，美国《2020年加州隐私权法》将公开可获得信息排除在个人信息之外，直接不予适用加州隐私权法的规则；俄罗斯立法虽未将公众可获取资料排除在个人信息之外，但明显降低了对信息处理者处理公众可获取资料的要求，免除其保密义务和提供法定信息的义务，同时为防止过度干预信息主体的信息自决，通过赋予信息主体删除权的方式尊重其控制个人信息的权利。我国《民法典》和《个人信息保护法》均未将公开个人信息列为法律保护的除外情形，其仍然受到调整和保护，这一点与美国的做法有较大差异，而更接近于俄罗斯对公开信息的态度。从公开个人信息的主要来源看，美国的公开可获得信息主要来自政府部门，俄罗斯公众可获取资料来源于信息主体；就我国司法现状而言，我国的公开个人信息的来源途径较为多元，既可以从行政司法机关等公权力部门获取，也可以从信息主体自身获取，还可以从其他主体处获得已经公开的个人信息。

通常认为，已公开的个人信息同时承载着信息主体与信息处理者的双重利益诉求[8]：一方面，信息主体需要控制自己的个人信息以维护个人人格形象;另一方面，公开个人信息蕴含着巨大的商业价值因而受到信息处理者的重视。公开的个人信息较未公开的个人信息而言，具有更大的经济社会价值，因此对公开个人信息的保护力度有别于对未公开个人信息的保护力度，将其作为无须征得信息主体同意亦可处理个人信息的正当理由。公开并不意味着信息主体就彻底且永久失去了对自己个人信息的控制，这也是个人信息与隐私有所不同的地方。信息主体并不会因公开而失去对个人信息控制的权利，其仍然有权拒绝他人对这些信息进行处理。此外，由于个人信息的保护对于维护自然人的人格尊严和人身自由具有很重要的意义，所以即便是对已经公开的个人信息，也不得任意进行处理，如果处理该信息将侵害自然人的重大利益，行为人也要承担民事责任[9]。这也是《个人信息保护法》第27条的重要价值所在，既表明信息处理者对已经公开的个人信息可以自由处理，亦通过“合理范围”“明确拒绝”和“重大影响”对信息处理者的处理行为进行限制。

三、 公开个人信息的分类设计

从《个人信息保护法》第27条的文本结构与内容出发，其第1句规制的对象是个人信息主体自行公开或者通过其他途径已经合法公开的个人信息。按照意思自治原则，个人信息主体自行公开，是个人信息主体真实、自由的意志表达，构成了公开合法的基础，可以说第27条第1句规制的对象本身就是已经合法公开的个人信息。第27条第2句采用“已公开的个人信息”的表述，这里的公开个人信息不仅是指本身已被现实公开，同时强调是已经合法公开的个人信息[2]。因他人泄露或非法公开的个人信息，虽然客观上确实出于公开状态，但不属于法律上所谓的公开个人信息[12]。因此，笔者主要围绕合法公开的个人信息进行类型化，非法公开的个人信息通常不能纳入个人信息合理使用的范畴。

(一) 按照公开主体：信息主体自行公开与他人公开的个人信息

在错综复杂的社会当中，人们扮演着形形色色的角色，参与重复交叠的法律关系，产生和记录着各种各样的个人信息。个人参与社会生活的实质就是通过对个人信息的使用和公开，形成自己的社会形象，并以此为基础参与社会交往的行为[3]。如司法机关制作的裁判文书中可能会记录个人的姓名、性别、出生日期、住所地等基本个人信息，若未删除或做匿名化处理，一旦上传到裁判文书网上，将成为人人都可获取的信息。除此之外，信息主体个人也会在网上购物、填写求职申请、购买商业保险等社会活动中，自行公开自己的姓名、联系方式、通讯地址等个人信息。

按照公开主体的不同，可以将已公开的个人信息分为信息主体自行公开的个人信息与他人公开的个人信息。信息主体自行公开的个人信息指自然人自愿、主动向社会不特定人公开的个人信息，如信息主体将包含自身联系方式、通讯地址、任职信息等内容的个人简历放置于公开的网站，或通过新闻媒体渠道主动公开自己的个人信息等[2]。如在“王刃与奇虎科技有限公司隐私权纠纷案”中，原告王刃作为公司的法定代表人，为了工作方便和节约资源，将自己的私人手机号码作为企业办公电话，将其私人电话号码披露在企业黄页上，同时亦将该手机号码登记在工商行政管理机关以备信息查阅④。行为人此种披露和登记行为，是基于其真实意思表示所为的公开行为，对此种来源于公开渠道的信息的进一步处理，很难认定为构成隐私权侵权。他人公开的个人信息主要包括三类：一是行政机关及依法履行公共管理职能的组织依法公开的个人信息，如政府机关因履行法定职责和义务而依法加以公开的个人信息；二是依据司法行为而公开的个人信息，即因为法院的司法行为而公开法律文书中涉及的应当公开的个人信息[12]；三是法人、非法人组织以及信息主体以外的其他自然人公开的个人信息，如新闻单位对事件的报道，以及在“苏州贝尔塔数据技术有限公司与伊日克斯庆一般人格权纠纷案”中，贝尔塔公司在其经营的网站上转载并公开中国裁判文书网和人民法院公告网发布的文书进一步公开当事人个人信息，该案中的文书已于互联网进行公开，贝尔塔公司通过公开渠道收集后向其客户提供、公开相关法律文书，被认为属于对已合法公开个人信息的合理使用，但是亦应尊重信息主体本人对于其已公开信息进行二次传播的意愿⑤。

按照公开主体进行划分的分类标准，是对法律规范文本表述的真实写照。将公开个人信息分为自行公开以及他人公开的个人信息，主要是考虑到公开信息主体与个人信息之间的关联程度不同。《个人信息保护法》在继承《民法典》个人信息定义方式的同时，创新性地将“关联度”作为判断个人信息的标准。以公开个人信息的主体为例，公开主体与信息内容关联程度越高，越可以在明晰和接近信息主体真实意思表示的前提下合理处理已经公开的个人信息；相反，公开信息的主体和个人信息之间没有什么关联，或者说关联性很弱，那就要求信息处理者必须尽到审查公开信息的来源主体、公开目的、公开方式和公开范围等义务。对于信息主体个人自行公开的个人信息，法律推定其是经过慎重思考决定公开，个人信息处理者在处理这类信息时，可能就不需要承担太多义务和责任。国家机关及依法履行公共管理职能的组织公开的个人信息，因其履行法定职责的合法性和权威性，一般认可此类信息的完整性、真实性和准确性。在自媒体时代，自然人、法人、非法人组织等都可能成为公开信息的主体，但是此类主体大多并非信息主体本人，也并非权威信息来源主体，很大程度上可能无法确保公开信息的准确、完整和时效，信息处理者在处理此类主体公开的个人信息时，应当要尽到更为严格和高标准的审查义务，以此证明自己不存在过错从而免于承担责任。

(二) 按照公开内容：一般个人信息与敏感个人信息

学理上，可以根据个人信息与信息主体的识别性，分为直接个人信息和间接个人信息[10]；通过与人格尊严的关联程度，可以划分为人格紧密型个人信息和人格疏远型个人信息；根据社会属性强弱的不同，可以分为个体性强的个人信息和社会性强的个人信息[11]。《个人信息保护法》第4条采取关联说来定义个人信息，即只要是与已识别或可识别的自然人有关的各种信息，都可以纳入个人信息的范畴。与关联说相比，可识别性要求的标准更高，根据可识别性划分的直接和间接个人信息类型化可能会导致个人信息的认定较为困难和保护范围的缩小，可能并不适应现实社会的发展。与人格尊严的关联程度凸显了个人信息当中蕴含着体现个体人格独特性的敏感和私密信息，人格尊严的关联度与信息中的个人敏感和私密信息成正相关性。社会属性的强弱体现了个人信息当中包含了社会大众非标表性、非个体性的一面。以上两种分类标准可以通过一般个人信息与敏感个人信息的分类进行有效区分：一般个人信息与社会互动性较强，敏感个人信息则充分体现个人的人格和尊严。

《民法典》关于私密信息的规定和《个人信息保护法》有关敏感个人信息处理规则的规定，都透露出个人信息至少可以区分为两类：普通的一般意义上的个人信息和涉及敏感、私密的个人信息。个人信息保护立法普遍采取的分类方式是将个人信息划分为敏感个人信息与一般个人信息，并对前者进行特殊保护[12]54，只是敏感信息的具体类型有所不同。我国亦有学者主张要区分敏感隐私个人信息和一般个人信息[13]。从相关立法来看，我们国家采取的也是这样的分类模式，《个人信息保护法》第28条采用概括加列举的方式，明确了生物识别、医疗健康等七类敏感个人信息。对于敏感个人信息，只有在符合目的特定、必要充分、保护措施严格的前提下，才可进行处理。除此以外的其他个人信息，如姓名、出生日期、身份证件号码等则属于一般个人信息。如此分类主要是由于敏感个人信息被认为具有特殊风险，通常需要受到特殊保护[14]。如果已经公开的是一般个人信息，那么信息处理者可遵循《个人信息保护法》第27条的规则，在个人未明确拒绝的情况下，在合理范围内处理个人信息；但如果已经公开的是敏感个人信息，由于敏感个人信息本身具有高度人格属性，比一般个人信息承载了更高的人格尊严要素[15]，可以认为处理敏感个人信息是可能会对个人权益产生重大影响，需要信息处理者在具备目的特定、充分必要、严格保护措施的情形下，依据第29条的规则取得个人的单独同意、书面同意以及履行第30条的加重告知义务之后，才能处理已经公开的敏感个人信息。

四、 公开个人信息处理活动的规范化

信息作为国家战略性资源，其自由流动对经济社会发展具有重要的基础性意义[16]。保障个人信息的适当共享性，促进信息的自由流通，是对个人信息多维属性的确证，也是信息化发展的必然趋势[17]。为此，《民法典》和《个人信息保护法》均在基于信息主体同意处理个人信息的合法性基础之外，规定了其他非基于信息主体的同意即可处理个人信息的法定情形，包括本文所探讨的公开个人信息。

(一) 合理范围限定

公开个人信息不仅具有公开性，在很大程度上同时具有公众可使用性和非排他性的面向，一人对信息的使用不影响他人的使用，信息也不会像其他物质产品一样随着使用而有所耗损，导致价值减少[18]132，反而会因为信息处理者的加工产生巨大的经济和社会价值。但这并不代表信息处理者对公开个人信息的处理活动是无序的、不受任何限制的。信息处理者出于逐利的需求，往往会采取各种各样的手段和方式来处理获取到的个人信息，以期增强自身的核心竞争力。为了有效避免这种激进的处理活动，立法规定信息处理者可以在合理的范围内进一步处理公开的个人信息。所谓“合理的范围”应当至少考虑两个方面：一是信息处理者的处理目的，目的合理要求信息处理目的必须符合社会一般人的事理认知,不得违反基本的伦理道德与公序良俗[19]，如在刘馨予与乐视公司隐私权纠纷一案⑥中，乐视公司以视频形式发布涉及刘馨予的个人私密身体健康及社会敏感事件的内容，违背了公序良俗，不属于处理公开个人信息的合理目的。二是处理方式是否合理，即如果有侵害性更小的处理方式时，就不能采取侵害性更大的处理方式[20]，如信息处理者的处理活动不能引发高于原有程度的、用户无法预期的风险[21]，否则就超出了合理范围之外。

(二) 明确拒绝的判断

信息主体自行公开以及其他合法途径公开的个人信息具有公开合法的基础，个人信息处理者在合理范围内处理这类信息无需获得信息主体的同意。但是对公开个人信息的使用并非具有绝对性，公开个人信息不代表信息主体彻底放弃对其个人信息的控制，更不代表信息处理者可以随意处理公开个人信息。《个人信息保护法》第27条第1句中的但书条款意味着在个人明确表示拒绝信息处理者处理已经公开的个人信息时，信息处理者原则上无权再进行处理。信息主体可能会因为时间的经过、公开目的、用途的改变以及公开信息内容的落后陈旧等，不再愿意信息处理者处理之前已经公开的个人信息。

判断是否为明确拒绝有两个核心要素：一是明确的意思表示，即信息主体所表达的意思表示必须是清楚、明白的；二是拒绝的意思表示，即信息主体所表达的内容是反对、禁止、拒绝处理已合法公开个人信息。在实践中，较易判断的明确拒绝多为信息主体的主动性积极行为，如在公开个人信息时附有禁止处理声明的，以及信息主体向个人信息处理者发送删除个人信息通知⑦等。但是在现实生活中，因为信息主体不可能随时都知道自己的个人信息在被处理，也就不会及时向信息处理者发送禁止处理的声明，单纯采取前述这种积极主动性行为来判断明确拒绝，可能会导致对信息主体保护不足，需要采取更为简便也更有利于保护信息主体的判断方式。

信息主体自行公开个人信息以及国家机关等依法公开个人信息都有其特定目的和用途，个人信息处理者处理已公开个人信息，至少要做到与该信息公开之时的目的和用途基本一致或相兼容，否则可以认定为信息主体是拒绝个人信息处理者处理已经公开的个人信息的。例如新闻报道、裁判文书等公开的个人信息，具有舆论监督、促进司法公正等目的，可以在符合其公开目的的基础上，合理处理该等已公开个人信息，比如进行汇总和转载，但不能用来进行信息出售和交易，也不能对公开的个人信息进行删除、涂改或者歪曲，否则就明显违背公开个人信息之时的目的和用途。处理已公开的个人信息明显违背已公开个人信息的公开目的的、明显改变已公开个人信息的用途的[22]，可以推定信息主体是拒绝个人信息处理者处理已公开个人信息的。此外，《个人信息保护法》第24条也对个人信息处理者提出要求，应提供便捷的拒绝方式，如在自动化决策推送中设置明确的拒绝按钮[23]。

但是，此种明确拒绝处理个人公开信息的权利也并非绝对的、不受任何限制的。从实践来看，在信息主体明确拒绝其他主体转载依法公开的裁判文书的案件中，可能该诉求往往不能得到法院的支持，信息主体拒绝处理的权利有时需要让位于司法公开。在当今新冠疫情的防疫大背景之下，公开个人的身份信息、行踪信息已经成为防控疫情的必要措施。在公共安全和公共利益面前，信息主体拒绝信息处理者处理公开个人信息的权利也会受到一定的制约。

(三) 对个人权益有重大影响的可能情形

个人信息处理的基本原则和理念是不能影响和侵害信息主体的合法权益，当处理公开个人信息会对信息主体的个人权益产生重大影响时，不能未经信息主体同意径直处理个人信息。为了缓解个人信息保护和利用之间的冲突，规定在可能产生重大影响的情况下也允许取得个人同意后处理个人信息。是否构成“重大影响”决定了公开个人信息的处理规则是合理范围内的自由使用还是需要获得信息主体的同意两种不同的模式，因此有必要探讨重大影响的情形为何。

最高人民法院《关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》(以下简称《利用信息网络侵害人身权益规定》)第12条第2款确立了司法解释提供的重大影响判断标准。从该司法解释的表述来看，处理方式违法和侵害值得保护的重大利益属于并列关系，都可能会对信息主体产生重大影响⑧。因此在判断是否会对信息主体产生重大影响时，可以将信息处理者的处理方式纳入考察范围，若采用的是违反社会公共利益和社会公德的处理方式，例如利用消费者个人数据画像，采取算法应用，锁定特殊消费群体，实施价格歧视、价格混淆等销售策略[24]，则可以认定会对信息主体产生重大影响。对于“值得保护的重大利益”的认定标准，欧盟在司法实践中的思路是考虑信息对于信息主体来说是否具有涉及隐私生活的敏感性[25]，也就是说根据已公开个人信息的内容不同，当信息处理者处理的是信息主体已经公开的敏感性个人信息时，也可以认定为对个人权益有重大影响，需要取得信息主体的同意。

法律作为整体性、体系性存在，对法律的理解、解释和运用需要在体系思维中展开[26]。法律体系由完整的法律规定所组成，要消除“体系违反”，使法律完整顺畅且无逻辑矛盾，从而维护法律的统一性[27]220。从体系解释的角度来看，《个人信息保护法》第55条确立了个人信息保护领域提供的重大影响判断标准。第55条是关于个人信息处理者需要进行事前个人信息保护影响评估的五种情形，一是处理的个人信息为敏感个人信息；二是进行自动化决策；三是委托他人处理或向第三方提供个人、公开个人信息；四是境外提供；五是其他对个人信息产生重大影响的处理活动。从第五种情形进行判断，其本身是属于为了预防未来可能出现的新类型个人信息处理活动以及克服法律规定的滞后性和不周延性而设置的兜底性、开放性条款，在语句表述上采用的是“其他对个人权益有重大影响”，这就意味着前述所明确列举的四种情形，应当属于重大影响范畴或者与重大影响在价值、性质、影响程度上具有一致性[28]。以信息自动化决策为例，在大数据和人工智能技术的助力下，经营者可通过对消费者消费习惯、个人兴趣爱好等信息进行整合处理，并进行智能分析，提供具有某种偏好性的产品或服务推荐，可能会对个人权益有重大影响[2]。

实践中如何确保信息主体“明确拒绝”权和“对个人权益有重大影响”情形下的获取个人同意值得深入思考和探究。“明确拒绝”的前提是知情，除了信息主体自己明确知道个人信息被处理的，更多的情况是需要信息主体履行告知义务才能实现信息主体的知情，但现行立法并没有明确处理公开个人信息是否要履行告知义务，仅能对《个人信息保护法》第18条规定的豁免告知情形做相反推论，暗含着处理公开个人信息也应当要履行告知义务。在对个人权益有重大影响的场合，必须要解决的问题是哪个主体有权判断可能会对个人权益产生重大影响。目前立法并没有对这些问题做出进一步规定，期待以后的司法实务可以进行回应，为解决上述问题提供司法实践思路和经验。

五、 结语

数字经济时代统筹个人信息保护与利用乃大势所趋，也是《个人信息保护法》的立法目的之一，《个人信息保护法》第27条对公开个人信息采取有限保护的倾向，充分体现和响应了该需求。公开个人信息具备合法公开性和可获取性，其在经济社会中扮演着公众可获取信息的角色，个人信息处理者原则上可以自由使用已经公开的个人信息，以期最大限度发挥其社会价值和效用。同时，借助“合理范围”“明确拒绝”和“重大影响”规范信息处理者对公开个人信息的处理活动，真正达至信息主体的信息自决与信息处理者的利用需要之间的平衡。

注释：

① 独联体成员国议会间大会第十四次全体会议于1999年10月16日第14-19号决议通过的独联体成员国《个人资料示范法》第4条第4款。

② 自第三方取得个人资料时提供法定信息的义务包括：(1) 处理人或其代理人的名称或姓、名、父称和地址;(2)个人资料处理的目的和法律依据;(3)个人资料的预定使用人; (4)本联邦法律规定个人资料主体的权利;(5)个人资料的来源。

③ 参见《中华人民共和国个人信息保护法》第18条：个人信息处理者处理个人信息，有法律、行政法规规定应当保密或者不需要告知的情形的，可以不向个人告知前条第一款规定的事项。紧急情况下为保护自然人的生命健康和财产安全无法及时向个人告知的，个人信息处理者应当在紧急情况消除后及时告知。

④ 参见北京市西城区人民法院(2015)西民初字第28460号民事判决书。

⑤ 参见苏州市中级人民法院(2019)苏05民终4745民事判决书。

⑥ 参见北京市第一中级人民法院(2016)京01民终325号民事判决书。

⑦ 参见北京互联网法院(2019)京0491民初10989号民事判决书。

⑧ 参见最高人民法院《关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》(法释〔2014〕11号，2014年6月23日最高人民法院审判委员会第1621次会议通过)。