网络首发 | 程啸:论公开的个人信息处理的法律规制
编者按:
为落实中共中央宣传部 教育部 科技部印发《关于推动学术期刊繁荣发展的意见》精神,顺应媒体融合发展趋势,积极适应移动化、智能化发展方向,《中国法学》推出网络优先出版等新型出版模式。目前,已于“中国知网”上线2022年第3期《中国法学》知网首发文章,并于微信公众平台同步推出,敬请关注!论公开的个人信息处理的法律规制
程啸清华大学法学院教授
本文发表于《中国法学》2022年第3期,因篇幅限制,注释省略。作者身份信息为发文时信息。
公开的个人信息包括自然人自行公开的个人信息以及其他已经合法公开的个人信息。我国法律没有将公开的个人信息排除在个人信息之外,而是在兼顾个人信息保护与利用的基础上,对公开的个人信息的处理作出了专门的规范。《民法典》第1036条与《个人信息保护法》第13条、第27条分别从免责事由与个人信息处理规则的角度对于公开的个人信息处理作出了规范,二者相互补充,合力实现个人信息权益保护与个人信息合理利用的协调。处理者只有合理处理公开的个人信息,才无需取得个人的同意,且免于承担民事责任,但除非法律或行政法规另有规定,其告知义务并不当然免除。公开的个人信息的处理活动必须是合法的并且是在合理的范围内进行的,对合理与否的判断应当依据必要原则与目的限制原则在权衡不同利益的基础上进行,尤其是要考虑个人信息的公开目的。
关键词公开的个人信息 信息处理 告知同意 民法典 个人信息保护法
目 次一、问题的提出
一、问题的提出
公开的个人信息,是指作为信息主体的自然人自行公开的个人信息或者其他以合法方式予以公开的个人信息,如某教授在学院官网上公开出生日期、民族、宗教信仰、电子邮箱、联系电话等信息;再如,法院依法公开的民事判决书或行政机关依法公开的信息中所包含的当事人的姓名、出生日期、性别等。在比较法上,对于公开的个人信息的处理有两种不同的规范模式。第一种模式认为,公开的个人信息不属于个人信息,不能受到隐私权的保护。美国采取的就是这种模式。美国法对个人信息主要就是通过隐私权加以保护的,即由信息隐私法(Information Privacy Law)为个人信息隐私提供保护。著名侵权法学家Prosser教授提出的四类最典型的侵害隐私权行为之一,就是“公开披露原告的令人难堪的私密信息”(public disclosure of embarrassing private facts about the plaintiff)。该类侵权行为的核心要件为“公开披露的事实必须是秘密的事实,而不是公开的事实。显然,没有人可以抱怨自己已经对公众公开的信息被披露,如他所居住的房子的外观或者他的职业”。故此,只有是私密的、未公开的个人信息才能受到隐私权的保护,如果个人信息已经是合法公开的,则不属于隐私,不能受到信息隐私权的保护。美国法上的这种“公共/私人”二分法的隐私保护模式于联邦立法层面主要体现在1974年《家庭教育权利和隐私法》、1978年《金融隐私权法》、1988年《视频隐私保护法》、1996年《健康保险可携带性和责任法案》等法律,而于州立法层面,最典型的是加利福尼亚州的两部法律——2018年《加利福尼亚消费者隐私法》(CCPA)与2020年《加利福尼亚隐私权法》(CPRA),它们均明确将“公开获取的信息”(Publicly Available Information)排除在个人信息之外。CCPA第1798.140条规定,“个人信息”不包括可公开获取的信息。所谓可公开获取的个人信息是指从联邦、州或地方政府记录中合法取得的信息,但不包括企业在消费者不知情的情况下收集的有关消费者的生物特征信息。CPRA第1798.140条则规定:“个人信息”不包括公开获得的信息或合法获得的、公众关注的真实信息。所谓“公开获取”是指从联邦、州或地方政府记录中合法取得的信息,或者企业有合理理由认为是由消费者合法地向公众公布的,或从广泛传播的媒体获取的;或者如果消费者没有将信息限定于特定的受众,则是指由消费者已经向其披露了信息的人提供的信息。第二种模式没有将公开的个人信息排除在个人信息之外,对其仍然适用个人信息保护法的规定,但是为协调个人信息保护与利用的关系,在处理规则上区分对待公开的和未公开的个人信息。例如,欧盟《一般数据保护条例》(GDPR)把个人数据区分为一般个人数据与特殊个人数据。所谓特殊个人数据就是指数据主体的民族、种族、生物识别信息等个人数据。依据该条例第9条第1款,原则上禁止对于数据主体的特殊个人数据进行处理,但是同条第2款规定了若干可以处理特殊个人数据的例外情形,其中的第e项规定,如果数据主体明显地公开了(manifestly made public)特殊个人数据的,则数据控制者也可对之进行处理。当然,如果这些特殊个人数据是被非法公开的,则控制者不得进行处理。再如,依据日本《个人信息保护法》第17条第2款,未事先取得本人的同意,个人信息处理者不得收集敏感个人信息,但是有6种情形除外,其中第5种情形就是“相关敏感个人信息已被本人、国家机关、地方公共团体、第76条第1款各项规定的主体及《个人信息保护委员会规则》规定的其他主体公开的情形”。我国《民法典》与《个人信息保护法》没有将公开的个人信息排除在个人信息之外,并且就公开的个人信息的处理作出了特别的规范。《民法典》第1036条第2项规定,合理处理该自然人自行公开的或者其他已经合法公开的信息,行为人不承担民事责任,但是该自然人明确拒绝或者处理该信息侵害其重大利益的除外。《个人信息保护法》第13条第1款第6项与第2款规定,依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息的,个人信息处理者可以处理个人信息,并且不需取得个人同意。《个人信息保护法》第27条规定:“个人信息处理者可以在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;个人明确拒绝的除外。个人信息处理者处理已公开的个人信息,对个人权益有重大影响的,应当依照本法规定取得个人同意。”就上述我国法律对公开的个人信息处理的规定,有以下几方面的问题需要加以研究:首先,公开的个人信息处理之规范目的何在?具体而言,为何我国法未如美国法那样将公开的个人信息排除在个人信息之外?我国法对公开的个人信息处理的规范有何特点?《民法典》与《个人信息保护法》对公开的个人信息处理的规范之间是什么关系?其次,公开的个人信息处理的合法性基础是什么?换言之,为何处理公开的个人信息无需取得个人同意,且只要是合理处理就不承担侵权责任?处理公开的个人信息是否也免除了处理者的告知义务?再次,我国法律上规定的不得处理公开的个人信息的情形,即个人明确拒绝即可禁止处理公开的个人信息的规定是否合理?《民法典》第1036条中的“侵害其重大利益”与《个人信息保护法》第27条中的“对个人权益有重大影响”之间是否矛盾?最后,公开的个人信息处理的合理性认定问题,即如何判断处理者是在合理范围内处理公开的个人信息?本文将对上述问题逐一进行研究,以供理论界与实务界参考。二、公开的个人信息处理的规范目的完善
(一)从特定的侵权行为免责事由到个人信息处理民事责任的一般免责事由在我国,最早规定公开的个人信息的是2014年最高人民法院颁布的《关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》(以下简称《利用信息网络侵害人身权益规定》)。该解释原第12条第1款规定,网络用户或者网络服务提供者利用网络公开自然人基因信息、病历资料、健康检查资料、犯罪记录、家庭住址、私人活动等个人隐私和其他个人信息,造成他人损害,被侵权人请求其承担侵权责任的,人民法院应予支持;但是,具有该款所列举的6种情形之一的除外,其中,第4种情形为“自然人自行在网络上公开的信息或者其他已合法公开的个人信息”。从该规定可知,《利用信息网络侵害人身权益规定》将个人信息已经被合法公开作为免除网络用户或网络服务提供者利用网络公开个人隐私和其他个人信息这一特定侵权行为的免责事由。在解释为何如此规定时,起草者写到:“自然人自行公开的个人信息,通常应视为权利人放弃了对该信息的保护,一般也无保护的必要。而非自然人自己在网络上公开的信息,则有非法公开和合法公开的区别,只有在合法公开的情况下,才能免责,因此其他已合法公开的个人信息也应成为免责事由”。由此可见,《利用信息网络侵害人身权益规定》的起草者在很大程度上采取了与美国法相同的看法,认为已经公开的个人信息不属于隐私,故此不再受到隐私权的保护,网络用户或者网络服务提供者利用网络再次公开该信息的,自然不属于披露他人的隐私,不构成侵害隐私权的侵权行为。不过,为了避免挂一漏万,尤其是规制所谓的“人肉搜索”行为,《利用信息网络侵害人身权益规定》原第12条第2款还规定:“网络用户或者网络服务提供者以违反社会公共利益、社会公德的方式公开前款第四项、第五项规定的个人信息,或者公开该信息侵害权利人值得保护的重大利益,权利人请求网络用户或者网络服务提供者承担侵权责任的,人民法院应予支持”。这就是说,即便是自然人自行在网络上公开的信息或者其他已合法公开的个人信息,如果网络用户或者网络服务提供者以违背公序良俗的方式再次公开或者公开侵害了权利人的重大利益的,依然构成侵权。编纂民法典时,立法机关吸收借鉴了《利用信息网络侵害人身权益规定》的上述条文,于《民法典》第1036条第2项中对公开的个人信息的处理作出了规定。从《民法典》这一规定可以看出:首先,《民法典》没有将公开的个人信息排除在个人信息之外,而是将其作为个人信息,适用《民法典》个人信息保护的相关规定。因为,我国法并未如同美国法那样通过隐私权来完全涵盖对个人信息的保护。在我国《民法典》中,隐私权与个人信息权益是既有联系也有区别的两项人格权益。多数民法学者也都认为,个人信息权益是一项新型的、独立于隐私权的人格权益(也有部分民法学者及许多公法学者认为个人信息权益不属于单纯的民事权益)。但考虑到隐私权与个人信息之间存在交叉的关系,《民法典》第1034条第3款规定,个人信息中的私密信息适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定。个人信息中的非私密信息则当然适用有关个人信息保护的规定。故此,即便私密信息因为公开而不再属于私密信息、不能适用隐私权的规定,也依然可以适用有关个人信息保护的规定。其次,《民法典》第1036条第2项将行为人合理处理合法公开的个人信息作为行为人不承担民事责任的免责事由。这就意味着:一方面,只要处理者是合理处理合法公开的个人信息,那么就可以不承担侵害个人信息权益的民事责任。于是,个人信息已经公开就不仅是只能适用于利用网络公开他人隐私和个人信息这一特定侵权行为的免责事由,而成为了所有的处理个人信息的民事责任的免责事由。另一方面,《民法典》第1036条第2项以“合理处理”作为免责的限定条件,意味着行为人不仅可以再次公开已经合法公开的个人信息,还有权对之进行收集、存储、使用、加工、传输、提供等其他的处理活动,只要这些处理活动是合理的即可。如此则极大地拓宽了行为人对公开的个人信息的利用空间,也使得公开的个人信息的处理规范成为了我国《民法典》中个人信息合理使用制度的有机组成部分。最后,《民法典》第1036条第2项规定了两种禁止处理公开的个人信息的情形:一是处理该信息侵害自然人的重大利益的。这来自于《利用信息网络侵害人身权益规定》原第12条第2款,但是《民法典》没有如司法解释那样仅因行为人以违反社会公共利益、社会公德的方式公开本已公开的个人信息,就责令行为人承担民事责任。二是自然人明确拒绝的情形,这是《民法典》新增加的规定。依此,即便是已经合法公开的个人信息,个人也没有丧失对该信息处理的决定权,只要自然人明确表示反对的,无论处理者对已合法公开的个人信息的处理是否合理,处理者都不得进行处理,否则就要承担民事责任。如此一来,立法者在鼓励对合法公开的个人信息进行处理的同时,又通过尊重个人对其个人信息的处理的决定权而实际上加强了自然人对其个人信息的控制。(二)从民事责任的免责事由到个人信息的特殊处理规则我国《个人信息保护法》颁布在《民法典》之后,该法“把握权益保护的立法定位,与民法典等有关法律规定相衔接,细化、充实个人信息保护制度规则”。《个人信息保护法》于第二章“个人信息处理规则”第一节“一般规定”中对公开的个人信息处理的规范主要就是第13条第1款第6项、第2款以及第27条。从这些规定可见,就公开的个人信息处理的规范而言,《个人信息保护法》不仅有更详细的规定,并且规范的目的有所变化。具体表现在:首先,《民法典》第1036条第2项只是从免责事由的角度作出规定,故而其未能明确处理者在处理公开的个人信息时是否需要取得个人的同意。虽然“行为人不承担民事责任”客观上也起到了不需要取得个人同意的效果,但是却没有建立公开的个人信息的处理行为本身的合法性。毕竟,不承担民事责任并不等于合法,更不等于可以免除行政责任或刑事责任。而《个人信息保护法》第13条是个人信息处理活动合法性根据的核心规定,在该条中规定公开的个人信息的处理就彻底解决了该问题。依据《个人信息保护法》第13条第2款,处理个人信息有前款第2—7项规定情形的,不需取得个人同意,即将对公开的个人信息的合理处理与为履行法定职责或者法定义务所必需等情形并列为法律、行政法规规定的不需要取得个人同意的其他合法处理个人信息的情形。其次,由于《个人信息保护法》是从个人信息处理规则的角度来规范公开的个人信息,故此该法第13条第1款第6项将《民法典》第1036条第2项的“合理处理”细化为“依照本法规定在合理的范围内处理”,这就使得判断对公开的个人信息的处理是否合理的标准被引致到《个人信息保护法》中,从而更好地协调个人信息权益保护与个人信息合理利用之间的关系。最后,《民法典》第1036条第2项是从民事责任的角度规定合理处理公开的个人信息免于承担民事责任及两种例外情形的。而从民事责任角度作出规定就意味着,只有当个人与个人信息处理者间发生了处理个人信息的民事责任纠纷时,处理者才能援引合理处理公开的个人信息这一免责事由,而个人也才可以主张明确拒绝或处理行为已侵害了其重大利益这两种例外情形。但是,自然人明确拒绝只能在其知道个人信息处理者处理其公开的个人信息之后才能作出;至于侵害自然人的重大利益的事实显然也必须是已经发生的,且自然人对之负有举证责任。而在现代网络信息社会,由于公开的个人信息的处理具有频发性、广泛性和复杂性,自然人往往不容易依据《民法典》规定的两种例外情形来保护自己,故此,事先的或预防性的保护尤为重要。正因如此,《个人信息保护法》第27条规定:“个人信息处理者处理已公开的个人信息,对个人权益有重大影响的,应当依照本法规定取得个人同意。”依此,处理者在处理公开的个人信息之前,应当进行个人信息影响评估,确定其对公开的个人信息所进行的处理行为是否会对个人权益产生重大影响。如果会产生重大影响,那么就必须依据《个人信息保护法》的规定取得个人同意。如此一来,《个人信息保护法》就从前端即预防的角度更好地实现了对个人信息权益的保护,同时兼顾了个人信息的保护与利用。(三)个人信息保护与利用关系的协调综上所述,我国对公开的个人信息处理的规范具有独特之处,既不同于美国,也有异于欧盟。在我国,公开的个人信息依然属于个人信息,受到《民法典》《个人信息保护法》的保护,自然人对于其公开的个人信息享有个人信息权益,同时,对公开的个人信息的处理,法律又作出了特别的规范,其规范经历了一个发展演变的过程,即从仅作为适用于特定类型侵权行为的免责事由,到处理个人信息的民事责任的免责事由,再到个人信息的处理规则。通过这一发展演变过程,最终实现了个人信息的保护与利用间的协调。具体而言,一方面,公开的个人信息虽然丧失秘密性,更不是私密信息,无法受到隐私权的保护,却依然是个人信息,受到个人信息保护法等法律保护,任何组织和个人不得侵害自然人就其公开的个人信息而享有的权益,处理者处理这些个人信息仍应适用个人信息处理的法律规则;另一方面,科技、社会的发展与法治的完善不断推动政务信息公开与公共数据开放,通过国家企业信用信息公示系统、中国裁判文书网等各种合法方式公开的个人信息越来越多,搜索引擎、爬虫等网络技术也使得人们可以更容易地获得这些公开的个人信息。因此,无论是为了维护言论自由,还是为了促进数字经济、推进国家治理体系和治理能力现代化,都有必要鼓励公开的个人信息的合理处理。我国《民法典》《个人信息保护法》分别从民事责任与处理规则、事先预防与事后救济等不同的角度对公开的个人信息的处理作出了规范,这些规范共同协力、相得益彰,可更好地实现个人信息权益保护与个人信息合理利用的协调。三、公开的个人信息处理与告知同意规则
(一)公开的个人信息的认定在我国法上,公开的个人信息必须满足两个要件:第一,个人信息已经被公开。一般而言,“公开”是指个人信息在客观上已经处于可由不特定的人获取的状态,尤其是当个人信息出现在大众媒体(如网站、报刊等)之上时。可由不特定的人获取使得个人信息的公开不同于个人信息的提供:后者只是在特定的个人信息处理者之间提供个人信息,而处于公开状态的个人信息具有被不特定人获取的可能,至于事实上是否被获取,无关紧要。在网络信息社会之前,公开的个人信息经过一段时间后被沉没下去、为人们所遗忘后,可能再次成为不公开的个人信息。但是,随着网络信息科技的发展,“今天,在广泛流行的技术的帮助下,遗忘已经变成了例外,而记忆却成了常态”。因此,一旦个人信息被公开了,基本上不可能重新回到不公开的状态。第二,个人信息必须是合法公开的个人信息。所谓合法公开意味着不是通过侵害个人信息权益或隐私权等非法方式公开的,而是得到了权利人的同意或者符合法律规定的条件。从《民法典》第1036条第2项与《个人信息保护法》第13条第1款第6项的规定可知,合法公开的个人信息是“自然人自行公开的或者其他已经合法公开的信息”。自然人自行公开是自然人作为个人信息权益主体行使权益的结果,其他已经合法公开的信息是指通过其他合法方式公开的个人信息,例如,依据《个人信息保护法》第13条第1款第3项,当公开个人信息是履行法定职责或者法定义务所必需的时候,可以公开自然人的个人信息。倘若个人信息是被他人非法公开的(如个人信息本身就是通过非法买卖、窃取等方法违法取得的,或者虽然收集个人信息是合法的却在没有合法根据的情况下公开了个人信息),就不能适用《民法典》第1036条第2项以及《个人信息保护法》第13条第1款第6项、第27条的规定。对公开的个人信息可以进行不同的分类。最重要的分类方法是将之分为主动公开的个人信息与被动公开的个人信息。主动公开的个人信息,也称自行公开的个人信息,是指基于作为信息主体的个人之意愿而公开的个人信息,包括个人自己采取公开方式予以公开的个人信息与个人同意个人信息处理者予以公开的个人信息。强调自行公开,就是要通过信息主体自己的行为来凸显是基于自然人自己的真实意愿而公开其个人信息的。换言之,作为信息主体的自然人充分认识到其是在实施公开个人信息的行为及该行为所产生的后果,并通过积极的、确定的行为将个人信息向外界披露或同意他人公开。例如,某教授为了学术交流和联系的方便,将自己的办公室电话、电子邮箱和通信地址等信息在自己的个人学术网页上加以公开,从而使得这些个人信息进入了公共领域,任何不特定的人均可以获得。倘若某人只是在小范围内(如一个只有3个人的聊天群)发布了一些个人信息,则并不意味其自行公开个人信息——其只是将个人信息提供给特定的几个人,即只是希望这些人获取相应的个人信息而已。需要特别指出的是,在自然人不知情的情形下被采集的个人信息不能作为自然人自行公开的个人信息,否则不利于保护。例如,自然人在街道、机场、车站、银行、体育场馆等公共场所活动时,其人脸信息等往往被在公共场所安装的图像采集设备所收集,但这并不意味着自然人就已经自行公开了其个人信息。欧盟数据保护委员会(EDPB)就明确指出:“仅仅进入摄像机的范围并不意味着数据主体打算公开与他或她有关的特殊类别的数据。”CCPA与CPRA也明确地将企业在消费者不知情的情形下收集的有关消费者的生物特征信息排除在“公开获取的信息”之外。在我国,依据《个人信息保护法》第26条,公共场所安装图像采集等设备所收集的个人图像、身份识别信息只能用于维护公共安全的目的,不得用于其他目的,除非取得个人单独同意。鉴于公开个人信息对于信息主体的权益影响非常巨大,《个人信息保护法》第25条要求,个人信息处理者公开其处理的个人信息的必须取得个人的单独同意。对于14岁下的未成年人,由于其不具有同意能力,故此其不能同意他人公开其个人信息,并且,14岁以下未成年人的个人信息在我国法上属于敏感的个人信息,依据《个人信息保护法》第29条、第31条的规定,公开这些个人信息必须取得未成年人的父母或者其他监护人的单独同意。被动公开的个人信息,是指无需取得个人同意,由个人信息处理者依据法律、行政法规的规定而予以公开的个人信息。《民法典》第999条规定,为公共利益实施新闻报道、舆论监督等行为的,可以合理使用自然人的个人信息,使用不合理侵害民事主体人格权的,应当依法承担民事责任。其中的“合理使用”就包括在新闻报道时公开某些个人信息,如某报纸为了揭露黑恶势力的违法行为而公开报道张三、李四等人从事的欺行霸市、敲诈勒索等违法行为,其中包括了张三等人的姓名、性别等个人信息。依据《个人信息保护法》第13条第1款第2—5项和第7项的规定,个人信息处理者可以不取得个人同意而实施公开个人信息这一处理活动。由于公开个人信息对于自然人的个人信息权益、隐私权等人身财产权益将会产生巨大的影响,故此,只有在法律、行政法规有明确的规定且公开个人信息是必须为的处理行为时,才可以进行公开。例如,为了防控新冠肺炎疫情,需要公开感染者信息以查访与感染者密切接触的人员,但只能公布感染者的职业、行踪轨迹等与疫情防控相关的必要个人信息。国家机关公开个人信息时,尤其应当如此。因为个人提供其信息给国家往往都是被强制的,国家应当努力保护那些仅仅因为被迫而向国家披露自己信息的个人。故此,国家机关只有在为履行法定职责而必须公开个人信息时,才能依照法律、行政法规规定的权限和程序进行,并且不得超出履行法定职责所必需的范围和限度(《个人信息保护法》第34条)。例如,《民事诉讼法》第156条规定,公众可以查阅发生法律效力的判决书、裁定书,但涉及国家秘密、商业秘密和个人隐私的内容除外。依据《最高人民法院关于人民法院在互联网公布裁判文书的规定》,人民法院作出的裁判文书除涉及国家秘密、未成年人犯罪等不应公开的情形外,都应当在互联网上公开。但人民法院在互联网公布裁判文书时,应当删除“自然人的家庭住址、通讯方式、身份证号码、银行账号、健康状况、车牌号码、动产或不动产权属证书编号等个人信息”“家事、人格权益等纠纷中涉及个人隐私的信息”等信息,而仅保留当事人的姓名、出生日期、性别、住所地所属县/区,以及法定代理人、委托代理人的姓名、执业证号和律师事务所、基层法律服务机构名称等信息。 (二)处理公开的个人信息无需个人同意的理由我国《民法典》和《个人信息保护法》以维护个人信息权益作为立法目标之一,而客观上,个人信息的处理就是对个人信息权益的侵入或影响,因此,只要没有合法的根据(Legal Justifications),则处理个人信息活动就具有非法性,属于侵害个人信息权益的行为。个人信息权益的核心是个人对其(无论是公开的还是非公开的)个人信息的处理享有知情权和决定权,有权限制或者拒绝他人对其个人信息进行处理,除非法律、行政法规另有规定(《个人信息保护法》第44条)。故此,原则上,任何组织或个人在处理个人信息前均应向个人信息被处理者告知相应的事项,并在取得该个人(或者其监护人)的同意后,方可从事相应的个人信息处理活动。这就是所谓的“告知同意规则”。该规则也是个人信息处理活动的一项最基本、最重要的合法性根据或理由。应当说,在个人信息的“全生命周期”中,告知同意是一道“闸口”,无论是信息采集、利用,还是相应转换、转移,均绕不开“知情同意”。当然,合法的个人信息处理活动不限于取得个人同意的处理活动,即基于个人同意处理个人信息的活动;还包括基于法定许可的处理活动(Processing Based on a Legal Permission),即直接依据法律的规定而无需取得个人同意所进行的个人信息处理。我国《个人信息保护法》第13条即规定了6种法定许可的个人信息处理活动无需取得个人同意。依据其中第1款第6项,公开的个人信息的合理处理行为无需取得个人同意。那么,该处理行为的合法性理由何在呢?对此,有的观点认为,当个人信息被公开了就意味着其进入了社会公共领域,在某种意义上公开的信息已经具有了公有物的性质,故此,处理者可以无需取得个人的同意而加以处理。有的观点认为,已经合法公开的个人信息的处理如果也要取得个人的同意将不利于促进信息的流动与利用,故此,免于取得信息主体的同意对于网络信息社会和数字经济的发展是有利的。还有的观点认为,个人信息不仅具有私人利益,也具有社会利用价值,体现为一定的公共利益属性。而且,个人信息被合法公开就表明权利主体对自身权益的合理处分,法律上应当推定民事主体知悉此种公开行为的法律意义并愿意承担可能带来的潜在社会风险,基于信息流动和信息产业利用的目的,推定权利人允许他人在合理的范围内使用已经公开的个人信息。笔者认为,上述观点都有一定的合理之处,但尚欠说服力。将公开的个人信息作为公有物来看待,显非妥当。至少在我国法上,公开的个人信息不是公有物,不能任由他人处理,否则《民法典》与《个人信息保护法》就不会规定自然人可以明确拒绝他人对其已经合法公开的个人信息的处理,并且规定处理者在处理该信息对个人权益有重大影响时还需要依法取得个人同意。至于从功利主义角度出发,以充分发挥合法公开的个人信息中潜在的价值、促进网络社会和数字经济的发展、实现公共利益为由,来论证处理合法公开的个人信息无需取得个人同意,甚至推定权利人在公开时就包含了允许他人合理使用的意思,也不合理。一则,合法公开的个人信息无论是个人主动公开的,还是依法被动公开的,往往都有其公开的目的,而脱离该公开目的来处理公开的个人信息,显然违背了目的限制原则。二则,公开的个人信息的合理利用当然有利于网络信息科技和数字经济的发展,但是也需要考虑到信息主体合法权益的保护以及公共利益、国家利益,不可能仅仅因为有价值就可以随意地处理。笔者认为,我国《民法典》与《个人信息保护法》之所以允许处理者无需取得个人同意即可合理处理公开的个人信息,根本原因还是为了实现对个人信息权益保护与合理行为自由维护之间的协调与平衡。申言之,虽然我国《民法典》将个人信息保护作为一项重要的民事权益加以规定,《个人信息保护法》更是明确承认了“个人信息权益”,并详细规定了个人在个人信息处理活动中的权利,如对其个人信息的处理享有知情权、决定权,但是,个人信息保护法律制度始终需要做到的是“合理平衡保护个人信息与维护公共利益之间的关系”。事实上,我国几乎所有的个人信息保护的法律规范都极为关注民事权益保护与合理自由维护这一对价值的协调,既尊重和保护自然人的人格尊严、人身自由等基本人权,也充分维护公共利益,保护言论与信息自由、商业活动的正常进行。《民法典》《个人信息保护法》在严格保护个人信息权益的同时,也通过构建个人信息的合理使用制度来实现对个人信息的合理利用,正是这一价值协调的重要体现。已经公开的个人信息不具有秘密性,故此不可能属于私密信息,不受到隐私权的保护,从价值权衡上来说,对其进行处理的利用需求的价值就更具有满足上的优先性。但是,公开的个人信息仍然受到个人信息权益的保护,故此,为了防止公开的个人信息上的个人信息权益遭受侵害,《民法典》与《个人信息保护法》又采取了一系列的事先预防和事后救济措施,包括要求处理者在处理前应当评估对个人权益的影响、对公开的个人信息的处理必须是在合理范围内的处理、自然人享有明确拒绝的权利以及一旦侵害个人重大利益的处理者应承担民事责任等。如此一来,即便不取得个人同意,处理者对公开的个人信息的处理也显然不会损害个人信息权益,该处理行为因而具有合法性,不仅不是民事违法行为,也不是行政违法或犯罪行为,处理者不会因此而承担法律责任。(三)公开的个人信息的处理与告知义务的履行告知同意规则由告知个人与取得同意两部分组成。要确保个人的同意是在充分知情的前提下自愿、明确作出的,就必须对处理者向个人告知的内容与告知的方式等提出相应的要求。否则,个人的同意不可能是自愿和明确的,个人信息的处理也不可能是公开透明的。《民法典》第1035条与《个人信息保护法》第17条对于个人信息处理者告知的内容和履行该义务的方式等作出了规定。依据《个人信息保护法》第13条第2款,当个人信息处理者在合理的范围内处理公开的个人信息时,不需取得个人同意。问题是,无需个人同意是否意味着也无需告知其个人信息被处理呢?对此,我国法律没有规定。有的观点认为,如果要求处理公开的个人信息时必须履行告知义务,则强人所难,因为这些信息的来源非常广泛,难以联系到个人,不仅如此,要求处理者去向个人进行告知还可能侵扰个人的生活安宁。笔者认为,从我国《个人信息保护法》第13条的规定来看,法律只是规定合理处理公开的个人信息无需取得个人同意,却并未免除处理者的告知义务。这是因为《个人信息保护法》的根本目的就在于,通过对个人信息处理行为的规范,防止因非法的个人信息处理行为给个人的人格尊严、人身自由等基本权利及人身财产权益造成危害。在现代网络社会,个人信息被收集、储存、转让和使用已经成为社会生活的常态,政府、企业或者其他组织出于不同的目的以各种方式实施的个人信息处理活动,都极有可能会给个人权益带来各种危险或损害。例如,基于收集的个人信息而形成的大数据,通过算法等技术进行社会分选、歧视性对待,进而损害人格尊严的危险;再如,通过大数据和人工智能技术进行人格画像,将作为民事主体的自然人降格为客体并加以操控,进而损害人格自由等。为了消除上述各种危险,法律上必须承认自然人对个人信息具有一种防御性的利益并给予保护,如此,才可能为信息社会的每个自然人筑起一道坚实的法律保护屏障,使之免于遭受上述危险现实化后所带来的损害。所以,法律需要赋予个人对个人信息处理的知情权,使其知道为实现何种处理目的,哪些个人信息被何人以何种处理方式加以处理。正因如此,公开透明原则(The Transparency Principle)成为了个人信息保护法的基本原则之一。《个人信息保护法》第7条规定:“处理个人信息应当遵循公开、透明原则,公开个人信息处理规则,明示处理的目的、方式和范围。”该法第44条还明确规定了个人对其个人信息的处理享有知情权。因此,尽管合理处理已经合法公开的个人信息可以不需取得个人同意,但是,不需同意不等于不需告知。为了贯彻公开透明原则和保障个人对个人信息处理的知情权,在合理处理合法公开的个人信息之前,原则上处理者仍应向个人履行告知义务,除非符合法律规定的免于告知的情形。如此方可使得个人知道自己的哪些公开的个人信息被何人以何种处理目的和处理方式进行处理,同时个人也可以对被处理的个人信息是否属于合法公开的个人信息提出挑战。而且,依据我国《民法典》第1036条和《个人信息保护法》第27条,即便处理者处理的是合法公开的个人信息,如果个人明确拒绝的,处理者也不得处理。如果处理者不向个人告知其公开的个人信息将要被处理,个人如何行使此种法律赋予的拒绝的权利?此外,依据个人信息保护法中的责任原则(Accountability Principle),个人信息处理活动应采取问责制,处理者是个人信息处理活动的首要的责任主体,应当对其个人信息处理活动负责(《个人信息保护法》第9条)。如果处理公开的个人信息就可以不履行告知义务,那么责任原则将形同虚设。至于因为没有信息主体的联系方式而难以告知的担忧,实际上只是告知义务的履行方式问题。我国《个人信息保护法》第17条对于告知义务的履行方式以及告知的内容作出了规定。依据该条第2款,个人信息处理者可以通过制定个人信息处理规则的方式履行告知义务,处理规则应当公开并且便于查阅和保存。故此,在处理公开的个人信息时,个人信息处理者也可以通过制定个人信息处理规则的方式来统一履行告知义务,这样就不存在因为逐一告知而干扰信息主体生活安宁或者因为无法联络而难以履行告知义务的问题。当然,处理公开的个人信息也存在免除告知义务的情形,《个人信息保护法》第18条和第35条规定了3种免除告知义务的情形,即法律、行政法规规定应当保密;不需要告知的情形;以及告知将妨碍国家机关履行法定职责的情形。如果处理公开的个人信息中有这3种情形之一的,当然可以免除告知义务。四、公开的个人信息处理的限制
(一)个人明确拒绝对公开的个人信息的处理依据《民法典》第1036条第2项和《个人信息保护法》第27条第1句规定,处理者虽然可以不取得个人同意而处理公开的个人信息,但是,如果个人明确拒绝的,那么处理者也不得处理。换言之,个人对公开的个人信息的处理仍然享有决定权,有权限制或者拒绝他人对公开的个人信息进行处理。所谓个人明确拒绝,是指个人明确作出的禁止他人处理公开的个人信息的表示,即个人必须是以清晰、明白而非含糊、模棱两可的方式表示拒绝。明确拒绝的意思表示可以是通过纸质、电子形式等书面方式,也可以是通过口头方式作出的。理论上说,个人明确拒绝可以是在个人自行公开其个人信息的同时就作出的(即表示该公开的个人信息不允许他人进行处理),也可以是个人被处理者告知公开的个人信息将被处理时作出的,或在公开的个人信息已经被他人处理后向处理者提出。笔者认为,在《民法典》第1036条第2项已经规定了处理公开的个人信息会侵害自然人的重大利益时处理者不能免责,且《个人信息保护法》第27条要求处理公开的个人信息对个人权益有重大影响的必须依法取得个人同意的情形下,再赋予个人享有拒绝对其公开的个人信息进行处理的权利,表明立法机关强化了自然人对公开的个人信息的支配控制权。但是,这种做法等于变相承认了被遗忘权(Right to Be Forgotten),可能不利于个人信息的合理利用,容易损害言论自由与公共利益。例如,网络服务提供者提供搜索引擎服务让网络用户可利用该搜索引擎搜索公开的个人信息是个人信息处理活动之一,而依据《民法典》与《个人信息保护法》的上述规定,无论此种处理活动是否合理,也无论是否侵害其个人信息权益,个人都有权予以禁止,如要求搜索服务提供者不得显示对其公开个人信息的“搜索结果”,这就可能不利于个人信息的合理利用。有鉴于此,笔者认为,今后应当通过司法解释对《民法典》第1036条第2项和《个人信息保护法》第27条第1句中的“个人明确拒绝”之适用要件予以限缩性解释,如仅适用于个人自行公开的个人信息并在公开时就明确拒绝他人处理的情形,至于自行公开时没有明确拒绝他人处理的或者被动公开的个人信息,则只有当处理是不合理的时候,个人才可以拒绝。(二)处理公开的个人信息侵害个人的重大利益或对个人权益有重大影响除了前述的自然人明确拒绝外,《民法典》第1036条第2项还规定了对公开的个人信息的合理处理也不能作为免责事由的另一种情形,即处理该信息侵害该自然人的重大利益的。但是,《个人信息保护法》第27条没有使用《民法典》中“侵害其重大利益”的表述,而是采取“对个人权益有重大影响”的表述,并规定此时处理者“应当依照本法取得个人同意”。从条文表述来看,《民法典》和《个人信息保护法》的上述规定似有不同,然而,二者并不矛盾。首先,《民法典》第1036条第2项是从处理个人信息民事责任免责事由的角度所作出的规定,适用于平等主体的自然人、法人和非法人组织因处理个人信息而产生的民事责任纠纷。该项使用的“侵害其重大利益”的表述表明,只有在行为人处理公开的个人信息的行为已经对自然人的生命、身体、人格尊严、人格自由、重大财产权益或者其他的重大利益产生了侵害甚至已经造成了损害时,才能基于比例原则的考虑,优先保护其重大利益,认定处理者不得免责。此时,处理者应当向个人承担停止侵害、排除妨碍以及赔偿损害等侵权责任。而《个人信息保护法》第27条则是从个人信息处理规则的角度对公开的个人信息的处理作出规定的。依据该条,个人信息处理者处理已公开的个人信息,“对个人权益有重大影响的”,应当依照《个人信息保护法》规定取得个人同意。由此可见,第27条规范的是个人信息处理者,属于预防性或事先的规范,即处理者必须在处理合法公开的个人信息之前对该处理活动是否对个人权益有重大影响作出预先的判断,从而决定是否需要取得个人的同意。事实上,由于处理合法公开的个人信息可以纳入《个人信息保护法》第55条要求“个人信息处理者应当事前进行个人信息保护影响评估,并对处理情况进行记录”规定中第5项的兜底性规定(即“其他对个人权益有重大影响的个人信息处理活动”)当中,故依据该条,处理者也应当通过个人信息保护影响评估来进行此种预判。其次,《民法典》与《个人信息保护法》的上述条款在适用范围上也不尽相同。依据《个人信息保护法》第72条第1款,该法第27条不能适用于自然人之间因个人或者家庭事务处理个人信息的情形;但是,《民法典》第1036条第2项中的“侵害重大利益”则可以适用之。例如,张某针对李某通过人肉搜索的方式将其公开的个人信息逐一再次公开的行为,可以依据《民法典》第1036条第2项追究李某的民事责任。要理解《个人信息保护法》第27条中的处理合法公开的个人信息对个人权益有重大影响的涵义,首先要明确“个人权益”的涵义。在《个人信息保护法》中,“个人权益”一词共出现8次,除了第27条之外,还有第6条(目的限制原则)、第8条(质量原则)、第24条第3款(自动化决策)、第30条(处理敏感个人信息的特殊告知事项)以及第51条、第55条、第56条关于个人信息处理者义务的规定。对这些条文中的个人权益的涵义,应当作相同的理解。“个人权益”的范围非常广泛,是指与个人有关的任何权益,既包括个人的民事权益如生命权、身体权、名誉权、隐私权、个人信息权益等人身权益,以及物权、债权等财产权益,也包括宪法上的人格尊严、人格自由、通信秘密等基本权利;既包括《民法典》等民事基本法规定的民事权益,也包括《消费者权益保护法》《妇女权益保护法》《未成年人保护法》《残疾人保障法》《老年人权益保护法》等法律中规定的个人享有的各种权益。例如,《消费者权益保护法》中规定的消费者的知情权(第8条)、选择权(第9条)、公平交易权(第10条),以及享有个人信息依法得到保护的权利(第14条)等都属于“个人权益”的范畴。其次,要明确“重大影响”的涵义。所谓重大,是指对自然人的个人权益造成的具有法律效力的影响或者其他类似的具有严重不利后果的影响。换句话说,处理者对合法公开的个人信息的处理将会导致信息主体的个人权益难以或无法行使,或者个人权益被侵害、妨碍等重大的不利后果。例如,A公司通过从法院依法公开的裁判文书中收集个人信息后对之进行加工分析,并在给予信用评价和性格分析后提供给有需要者进行查询。张某合法公开的个人信息被A公司以上述方式处理,结果张某正在求职的单位因为查询到A公司提供的信息而认为张某将会无法安心本职工作、容易跳槽,便拒绝了张某的求职;再如,B银行正准备给张某贷款,结果看到A公司提供的张某的信用评价显示张某信用最近恶化,故而决定拒绝张某的贷款申请,除非张某能提供担保。显然,这些都属于对个人权益有重大影响的情形。重大影响所影响的不仅是个人的法律地位、经济地位,还包括对个人的求职、升职、读书出国、申请社会福利、参加社团活动等社会地位、文化地位、政治地位等方面的影响,如丧失儿童福利或住房福利、保险公司拒绝支付医疗费保险赔偿金,拒绝入境或公民身份被否等。需特别指出的是,《个人信息保护法》第27条是对个人信息处理者的要求,故此应当由处理者通过个人信息保护影响评估来确认是否对个人权益有重大影响,不涉及到由个人来举证的问题。五、公开的个人信息处理的合理性判断
就如何认定《民法典》第1036条第2项中规定的对公开的个人信息的“合理处理”,目前理论界尚缺乏深入的探讨,实践中已产生了一些问题。例如,对公开的个人信息的合理处理是否意味着处理行为必须是为了公共利益或社会经济利益的目的?如果处理者是出于营利的目的,是否就不构成合理处理?在《个人信息保护法》起草过程中,就如何细化合理处理的判断标准,有不同的看法。该法草案的第一次审议稿曾作出了非常细致的规定,其第28条规定:“个人信息处理者处理已公开的个人信息,应当符合该个人信息被公开时的用途;超出与该用途相关的合理范围的,应当依照本法规定向个人告知并取得其同意。个人信息被公开时的用途不明确的,个人信息处理者应当合理、谨慎地处理已公开的个人信息;利用已公开的个人信息从事对个人有重大影响的活动,应当依照本法规定向个人告知并取得其同意”。《个人信息保护法草案第二次审议稿》第28条也保留了相同的规定,只是删除了其中的“向个人告知”。但是,在草案的审议过程中,“一些常委会组成人员和地方、部门、企业、专家建议,进一步做好草案有关条款与民法典规定的衔接”,故此,全国人大宪法和法律委员会经研究后决定,将《个人信息保护法草案第二次审议稿》第28条修改为“个人信息处理者可以在合理的范围内处理已合法公开的个人信息,个人明确拒绝的除外;对个人权益有重大影响的,应当取得个人同意”。修改后的这一条最终成为了正式颁布的《个人信息保护法》第27条。显然,立法机关因考虑到问题的复杂性而对此采取了模糊处理的做法。不过,对于履行个人信息保护职责的部门以及司法机关来说,迫切需要一定的标准来认定处理者是否在“合理的范围内处理”公开的个人信息。对此,笔者认为,可以分为以下两个阶段依次加以判断。(一)合理处理的前提在于处理活动的合法性所谓对公开的个人信息的合理处理,其前提在于该处理必须是合法的处理。《个人信息保护法》第13条第1款第6项也明确规定,只有依照《个人信息保护法》的规定,在合理的范围内处理合法公开的个人信息的,个人信息处理者方可处理个人信息。申言之,无论处理者是否属于国家机关,也无论对公开的个人信息所为的处理活动是收集、存储、使用、加工,还是传输、提供、公开、删除等,只要不属于《个人信息保护法》第72条第1款的排除情形,就必须遵循关于个人信息处理的法律规定。换言之,除了不需要取得个人同意外,公开的个人信息的处理与其他个人信息的处理并没有本质上的区别,即处理行为都必须是合法的。《民法典》第111条第2句、《个人信息保护法》第10条以及《网络安全法》第44条规定,任何组织或者个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。《数据安全法》第32条规定:“任何组织、个人收集数据,应当采取合法、正当的方式,不得窃取或者以其他非法方式获取数据。法律、行政法规对收集、使用数据的目的、范围有规定的,应当在法律、行政法规规定的目的和范围内收集、使用数据。”具体而言:处理者在处理公开的个人信息时,除非符合《个人信息保护法》第18条与第35条规定的免于告知的情形,否则处理公开的个人信息的应当告知其个人信息被处理的个人;处理者对于公开的个人信息所采取的收集手段必须是合法的,如果处理者采用的是非法手段来收集公开的个人信息,则后续的其他处理行为也就不可能是合法处理,更不可能是合理处理;倘若公开的个人信息属于敏感的个人信息的,则要符合《个人信息保护法》第2章第2节“敏感个人信息的处理规则”的规定;如果个人信息的处理者是国家机关,还需要适用《个人信息保护法》第2章第3节“国家机关处理个人信息的特别规定”;如果是跨境提供公开的个人信息的,应当适用《个人信息保护法》第3章的规定;处理公开的个人信息的,个人信息处理者同样负有《个人信息保护法》第5章所确定的各种义务。自然人在其公开的个人信息处理中也享有《个人信息保护法》第4章规定的各项权利,如查阅权、复制权、更正权、补充权、删除权、解释说明权等。(二)处理是在合理范围内进行的《个人信息保护法》第13条和第27条将《民法典》第1036条第2项的“合理处理”具体化为“在合理的范围处理”。所谓合理的范围,应当在权衡个人信息权益保护与个人信息的合理利用这一对利益的基础上,依循必要原则与目的限制原则,运用动态系统论,结合具体的处理场景加以判断。首先,认定是否在合理的范围处理时应当遵循必要原则。所谓必要原则,是指处理个人信息的活动应当是对于实现个人信息处理目的而言是必要的,凡是不必要的个人信息处理活动都不应当开展。该原则是比例原则在个人信息保护法中的体现。就认定公开的个人信息的处理是否合理而言,必要原则体现在:(1)处理者采取合法手段收集公开的个人信息时,应当遵循必要的原则,限制在实现处理目的所需要的最小范围内,不得过度地收集这些个人信息;(2)对于公开的个人信息中的敏感个人信息,处理者在处理时应当具有充分的必要性并采取严格的保护措施,否则不得处理,不过由于该敏感的个人信息是已经公开的,故此在必要性是否充分的认定上应当比没有公开的敏感个人信息更加宽松;(3)对于公开的个人信息的保存期限应当有所限制,即限于为实现处理目的所必要的最短的时间,除非法律、行政法规另有规定。其次,合理与否的认定必须遵循目的限制原则。目的限制原则是个人信息保护法的帝王原则,贯穿于整个个人信息处理活动全过程,无论处理者是谁,处理的是哪些个人信息,也不管采取的是何种处理活动,都必须受到该原则的拘束。《个人信息保护法》第6条对目的限制原则作出了详细的规定:“处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。”在判断对公开的个人信息的处理是否在合理的范围内时,目的限制原则具有极为重要的作用,一方面,处理公开的个人信息应当具有明确、合理的目的,如果是不合理的、不明确的目的,不应当允许处理。另一方面,处理公开的敏感个人信息时,依据目的限制原则的要求及《个人信息保护法》第28条第2款,处理者必须具有特定的目的,否则不能处理。就合法公开的个人信息的处理目的是否特定、明确与合理的判断,笔者认为,可以借鉴《个人信息保护法》草案的第一、二次审议稿中的标准,即个人信息公开时有明确用途的,处理者处理时应符合该等信息被公开时的用途;如果个人信息被公开时的用途不明确的,那么个人信息处理者应当合理、谨慎地处理已公开的个人信息。具体阐述如下:(1)个人信息公开时有明确用途的,是指合法公开个人信息的主体在实施公开行为时确定的公开个人信息的目的、被公开的个人信息的使用范围与适用方式等。个人信息被公开时有明确用途的情形包括:其一,如果是个人自行公开的个人信息,那么个人在公开信息时明示的公开的用途或者从公开时的具体因素可以判断出其公开的用途就是明确的用途。例如,A教授在学院网站上的个人主页提及“欢迎联系课题合作事宜”,并公开了其联系电话、电子邮箱等个人信息,则应当认为,“联系课题合作事宜”就是其明确的公开用途。其二,如果是个人信息处理者取得个人的单独同意而公开其处理的个人信息的,在取得个人同意前,该处理者必须告知公开个人信息的用途即处理目的,此时该处理目的就是个人信息被公开时的明确用途。其三,对国家机关依据法律、行政法规公开的个人信息,应当依据法律法规等规定来确定其明确用途。例如,根据《最高人民法院关于人民法院在互联网公布裁判文书的规定》,最高人民法院之所以在互联网公布裁判文书是为了“贯彻落实审判公开原则,规范人民法院在互联网公布裁判文书工作,促进司法公正,提升司法公信力”。也就是说,其明确用途在于“审判公开”“促进司法公正,提升司法公信力”,当处理公开的个人信息有助于实现公众对司法程序的监督,促进司法公开,则该处理目的符合公开的目的,是合理的。总之,合法公开个人信息的主体包括作为信息主体的个人(即自行公开),也包括其他有权机关如立法机关、行政机关、司法机关等(即依法公开),如果他们公开个人信息时确定了用途,则该用途就限定了处理者对公开的个人信息的处理目的和处理方式,也同时表明不符合或者超越该用途的处理行为是不被允许的,是个人信息主体将要明确拒绝的。故此,依据《民法典》第1036条第2项和《个人信息保护法》第27条,处理者不得处理该等个人信息,如果要超越该用途处理公开的个人信息的,处理者必须重新取得个人的同意。(2)个人信息被公开时的用途不明确的,则应当合理、谨慎地处理已公开的个人信息。这也是目的限制原则的要求。具体而言,虽然个人信息被公开时没有明确的用途,但是从公开的机关等其他因素可以合理推断出公开的目的的,则处理者不能超出或违反该目的;即便是公开时的用途不明确且无法推断出合理的公开的目的,合理、谨慎标准也要求处理者在决定对合法公开的个人信息采取何种处理方式时(尤其在进行加工、使用时),要更加谨慎,严格遵循合法原则、必要原则和目的限制原则,以防对个人信息权益造成侵害或损害。最后,由于个人信息权益也属于人格权益,故此,《民法典》第998条所引入的动态系统论也可以在对公开的个人信息的处理是否合理的判断中加以运用。依据动态系统论,对于法律的理解和阐释不应仅依据某个单一的理念。法院在裁判中需要根据案件的具体情况和内在于某法律领域的原则之间的相互作用情况予以考虑,即需要对各个因素进行综合考量。某个具体案件的法律后果取决于对各个因素相互比较后的综合权衡,这些因素在法律后果的确定上会呈现出自己的权重,而在原则彼此发生冲突的情形下,需要通过确定何者优先而实现一种妥协。这种妥协不仅要考虑在可能发生的法律后果中各个相关因素的位阶,而且要考虑可能产生的各种不同法律后果的位阶情况。就对公开的个人信息的处理而言,信息主体的利益(如隐私权、个人信息权益、人格尊严等)与处理者的利益(如处理活动的自由、经济利益)以及公共利益(如国家安全)之间几乎总是会发生冲突。因此,认定处理行为是否合理实际上就要是综合权衡各种因素(其中就包括了《民法典》第998条列举的“行为人和受害人的职业、影响范围、过错程度,以及行为的目的、方式、后果等因素”),以得出一个能够使得各方利益最大化的解决办法。六、结 语
在我国,公开的个人信息虽然不受隐私权保护,但仍然是个人信息,受到个人信息保护法的保护。为了协调个人信息权益保护和个人信息的合理利用,《民法典》与《个人信息保护法》对公开的个人信息的处理作出了专门的规范。其中,《民法典》第1036条第2项是从个人信息纠纷的民事责任的角度对公开的个人信息的处理作出的规定,《个人信息保护法》第13条第1款第6项、第27条则是从公开的个人信息的处理规则的层面作出的规定。它们之间不是一般法与特别法的关系,也不存在矛盾冲突,而是旨在兼顾个人信息的保护与利用,从免责事由与个人信息处理规则、事后救济与事先预防等不同角度对公开的个人信息处理的规制。各法条合力协作,相辅相成,共同构成了我国法上公开的个人信息的保护与处理的规范体系。本刊已发相关主题的文章还有:
1. 万 方: 《个人信息处理中的“同意”与“同意撤回”》(2021年第1期);
2. 王锡锌: 《个人信息国家保护义务及展开》(2021年第1期);
3. 王利明:《民法典人格权编的亮点与创新》(2020年第4期);
4. 程 啸: 《民法典编纂视野下的个人信息保护》(2019年第4期);
5. 张新宝:《从隐私到个人信息:利益再衡量的理论与制度安排》(2015年第3期);
等等。