王海洋 郭春鎮(zhèn)

2021年8月20日，第十三屆全國人大常委會第三十次會議審議通過《中華人民共和國個人信息保護法》(以下簡稱《個人信息保護法》)，首次對公開的個人信息的法律地位與使用限度問題進行系統(tǒng)化規(guī)范。《個人信息保護法》不僅在第13條第6款將公開的個人信息作為個人信息處理的合法性基礎，還在第27條明確了公開的個人信息后續(xù)利用的限度，即“個人信息處理者可以在合理的范圍內(nèi)處理個人自行公開或者其他已經(jīng)合法公開的個人信息；個人明確拒絕的除外。個人信息處理者處理已公開的個人信息，對個人權益有重大影響的，應當依照本法規(guī)定取得個人同意”。在司法實踐中，各地法院圍繞公開的個人信息后續(xù)利用進行了積極的探索，但尚未形成對該問題的共識，甚至出現(xiàn)了相互抵牾的法院判決。同樣是轉(zhuǎn)載中國裁判文書網(wǎng)公開的裁判文書，蘇州市中級人民法院在伊某與蘇州貝爾塔數(shù)據(jù)技術有限公司人格權糾紛案(以下簡稱“啟信寶”案)中裁定貝爾塔公司在收到伊某的刪除要求后未及時刪除相關裁判文書，構成對伊某個人信息權益的侵害；而北京市第四中級人民法院在梁某與北京匯法正信科技有限公司網(wǎng)絡侵權糾紛案(以下簡稱“匯法網(wǎng)”案)中裁定北京匯法正信科技公司轉(zhuǎn)載相關裁判文書不因梁某的刪除請求而承擔刪除義務，梁某對公開的裁判文書負有容忍義務。(1)蘇州貝爾塔數(shù)據(jù)技術有限公司與伊日克斯慶一般人格權糾紛二審民事判決書，江蘇省蘇州市中級人民法院(2019)蘇05民終4745號；梁雅冰與北京匯法正信科技有限公司網(wǎng)絡侵權糾紛上訴案，北京市第四中級人民法院(2021)京04民終71號。這些案件的核心問題都是公開的個人信息后續(xù)利用的限度問題，信息主體對公開的個人信息后續(xù)利用是否享有自我決定權？圍繞這些問題，本文在探究公開的個人信息范圍的基礎上，考察公開的個人信息后續(xù)利用可能引發(fā)的風險，最終提出公開的個人信息后續(xù)利用的界限。

一、公開的個人信息的范圍界定

(一)公開的個人信息的認定標準

“秘密”和“公開”表面上看是非此即彼的對立概念，容易使人產(chǎn)生二者之間可以相互分離的錯覺，但實際上這種對立中蘊含著大量自相矛盾的內(nèi)容，難以在二者之間劃分出明確的界限。在“私密”和“公開”之間存在著不少模糊地帶，這導致了個人信息公開的相對性。(2)參見謝遠揚：《信息論視角下個人信息的價值——兼對隱私權保護模式的檢討》，載《清華法學》2015年第3期，第101頁。個人信息總是在特定范圍內(nèi)對特定主體公開的，即使是對不特定第三人公開的個人信息，也并不意味著該信息已經(jīng)被“公開”，此時個人信息是否屬于公開的個人信息，還需要結(jié)合其他因素進行綜合考量。(3)參見房紹坤、曹相見：《論個人信息人格利益的隱私本質(zhì)》，載《法制與社會發(fā)展》2019年第4期，第115頁。

首先，公開的個人信息的認定需要放置在信息關系中加以思考?！叭丝偸巧钤谟捎H戚和朋友所構成的社會關系之中，個人正是通過一定的社會關系才被整合入一定的群體”(4)李強、鄧建偉、曉箏：《社會變遷與個人發(fā)展：生命歷程研究的范式與方法》，載《社會學研究》1999年第6期，第7頁。，個人信息也正是在不同的信息關系中實現(xiàn)信息的流轉(zhuǎn)與共享。根據(jù)人際關系紐帶的強度，人際紐帶分為“強紐帶”(strong ties)與“弱紐帶”(weak ties)，“強紐帶”是建立在信任、相互尊重、承諾、深入了解和經(jīng)驗基礎上的親密關系，如家人和親密的朋友，而“弱紐帶”則是一種尚未建立在強烈信任基礎上的表面關系，即當事人之間不大了解，情感上也不親密，如陌生人之間的關系。(5)See Atette Soderqvist, Sylvie Kamala Chetty, Strength of ties involved in international new ventures, 25 European Business Review, 539(2013).在強紐帶之中，社會成員基于彼此之間的信任往往會公開更多的個人信息，對于個人信息的公開有著較高的接受度。在弱紐帶之中，社會成員對個人信息的公開持審慎的態(tài)度，期待對公開的個人信息進行更高層次的保護。我們每個人都生活在不同的團體或小圈子里，通過在圈子內(nèi)分享與傳播個人信息來促進圈子成員的交流，每一個圈子成員都是彼此人際關系網(wǎng)絡中的一個節(jié)點，個人信息能否成為公開的個人信息取決于信息能否達到擁有多元的、異質(zhì)化的超級節(jié)點(如微博大V)，以及超級節(jié)點發(fā)現(xiàn)其是值得傳播的信息，進而破圈而出成為公開化的信息資源。(6)See Lior Jacob Strahilevitz, A Social Network Theory of Privacy , 72 The University of Chicago Law Review, 948-953(2005).

其次，公開的個人信息的認定需要置于特定場景中確定信息主體的合理期待。個人信息的公開往往具有明顯的場景性，對誰公開、公開的程度以及公開后的可能后果，理性的個體都有預判。甚至在許多場景下，個人信息的公開是不可避免的。(7)參見寧園：《個人信息保護中知情同意規(guī)則的堅守與修正》，載《江西財經(jīng)大學學報》2020年第2期，第123頁。但并不是所有的個人信息都適合在特定場景下公開，個人信息的公開需要符合所在場景的社會規(guī)范，符合多元主體之間的分配正義，在尊重法律和道德底線的基礎上公開符合場景規(guī)范的個人信息。(8)參見郭春鎮(zhèn)：《數(shù)字化時代個人信息的分配正義》，載《華東政法大學學報》2021年3期，第55頁。即使是信息主體向不特定的第三人公開其個人信息，信息主體往往對信息公開的范圍、程度仍有合理的預期，一旦信息公開超出了信息主體所預期的合理范圍，可能會引發(fā)信息主體的安全感和信任感困境。個人信息一經(jīng)公開就超出信息主體的控制范圍，但信息主體對公開的個人信息的后續(xù)利用仍具有合理期待，信息處理者對公開的個人信息的進一步處理需要尊重最初公開時的場景，其后續(xù)利用與傳播不得超出最初的場景脈絡，不得超出信息主體基于特定場景所觸發(fā)的合理期待。(9)See Helen Nissenbaum, Privacy as contextual integrity, 79 Washington Law Review, 119-125(2004).如果信息主體在個人信息公開時通過積極的行為將平臺權限設置為對所有人可見，或在被告知個人信息將公開時默示同意，由此可推定信息主體對該個人信息能夠為不特定的第三人所訪問有合理期待，則該信息為公開的個人信息。

最后，公開的個人信息的認定還需要考察第三方的訪問權限。在信息泛在、數(shù)據(jù)信息平臺化的時代場景里，個人信息的公開大多是通過網(wǎng)絡平臺來實現(xiàn)的，而網(wǎng)絡平臺的技術設置、訪問權限決定著個人信息的公開程度，如果網(wǎng)絡平臺采取技術措施阻止第三方訪問自身的網(wǎng)站并下載公開的數(shù)據(jù)條目，則該個人信息很可能“不為公眾所知悉”。(10)參見崔國斌：《大數(shù)據(jù)有限排他權的基礎理論》，載《法學研究》2019年第5期，第5-6頁。根據(jù)個人信息的公開程度，公開分為完全公開共享(completely public sharing)、受控公開共享(controlled public sharing)、領地公開共享(enclave public sharing)三類。完全公開共享是數(shù)據(jù)一旦發(fā)布，很難召回，一般通過互聯(lián)網(wǎng)直接公開發(fā)布。完全公開共享的個人信息要求網(wǎng)絡平臺不得通過登錄規(guī)則或技術措施設置訪問權限，能夠為不特定第三人所訪問。受控公開共享是通過數(shù)據(jù)使用協(xié)議對數(shù)據(jù)的使用進行約束，主要是數(shù)據(jù)系統(tǒng)生成文件并推送至SFTP接口設備或應用系統(tǒng)或者系統(tǒng)之間通過請求回應方式提供數(shù)據(jù)。領地公開共享是在物理或虛擬的所轄范圍內(nèi)共享，數(shù)據(jù)不能流出到領地范圍外。(11)《信息安全技術 個人信息去標識化指南》(GB/T37964-2019)第3.12條、第3.13條、第3.14條。領地公開共享的個人信息相當于俱樂部物品，“其消費涉及某些公共性，其中最佳分享群組是多于一個人或一個家庭，但小于一個無限大的數(shù)值，即公開的范圍是有限的?！?12)James M.Buchanan, An Economic Theory of Clubs, 32 Economica, 2(1965).不同于完全公開共享，受控公開共享和領地共享要求網(wǎng)絡平臺通過技術措施或登錄規(guī)則對第三人的訪問權限進行限制，是個人信息的一種半公開的形式。

根據(jù)《民法典》第1036條第2款和《個人信息保護法》第13條第6款，公開的個人信息必須是那些合法公開且能夠為不特定的第三人所訪問的個人信息。公開的個人信息必須具有兩個特征：一是合法性，必須是信息主體自行公開或者根據(jù)法律法規(guī)的規(guī)定公開的個人信息。對于那些他人非法泄露或公開的個人信息，即使其在客觀上處于公開狀態(tài)，也不屬于法律層面公開的個人信息；二是開放性，即能夠為不特定的第三人所訪問，如果個人信息僅在有限的范圍內(nèi)為特定個體所訪問，則該信息不是公開的個人信息。(13)參見程嘯：《論我國民法典中的個人信息合理使用制度》，載《中外法學》2020年第4期，第1015頁。

(二)公開的個人信息的類型化

根據(jù)《民法典》第1036條和《個人信息保護法》第13條、第27條，公開的個人信息主要有“個人自行公開的”和“其他合法公開的”個人信息兩類，前者是信息主體意思自治的體現(xiàn)，后者是利益衡量的結(jié)果，二者共同織成公開的個人信息之網(wǎng)。

1.個人自行公開的個人信息

個人自行公開的個人信息是指“自然人主動將自己的某些個人信息向社會公開”，“意味著其在一定程度上同意他人對這些個人信息的處理”(14)黃薇主編：《中華人民共和國民法典釋義(下)》，法律出版社2020年版，第1928頁。。自然人自行公開的個人信息既可以是其在開放式網(wǎng)絡平臺上自行向所有用戶公開的信息，包括但不限于主動設置、填寫或上傳的頭像、昵稱、性別、學歷、單位等個人信息，也可以是其在使用開放式網(wǎng)絡平臺過程中明確知悉相關活動會被平臺公開展示的信息，例如點贊、評論、轉(zhuǎn)發(fā)等，還可以是自然人主動向相關機構、企業(yè)、組織提供信息且明確知悉該信息將會向社會公眾公開，例如合法披露的高管、董事、監(jiān)事等個人信息。(15)《信息安全技術 個人信息告知同意指南》(征求意見稿)第6.1.7條。在人們的一舉一動都被數(shù)字化記錄的今天，層出不窮的個人信息泄露與濫用事件引發(fā)了人們對個人信息保護的普遍關注，但人們又樂于在社交平臺展示自我，“曬”自身的各類個人信息，這種自行公開行為不僅滿足了用戶信息和娛樂的需求，還有助于人際關系的維持和數(shù)字印象的管理。(16)參見李兵、展江：《英語學界社交媒體“隱私悖論”研究》，載《新聞與傳播研究》2017年第4期，第100-102頁。在信息技術的助推下，“曬”個人信息逐漸成為人們的一種生活方式。

自然人自愿公開的個人信息，并不意味著信息主體放棄了對該信息的保護，這些信息承載著信息主體的人格要素，信息主體對公開的個人信息的后續(xù)利用存在著合理期待。自然人通過網(wǎng)絡平臺自行公開的個人信息，不一定能夠為不特定的第三人所訪問，需要綜合多種要素來確定該信息是否為公開的。歐盟《通用數(shù)據(jù)保護條例》(以下簡稱GDPR)并未將公開的個人信息作為個人信息處理的合法性基礎，而是作為特殊類型的個人信息處理的例外條款。GDPR第9.1條規(guī)定，“禁止處理揭示種族或民族血統(tǒng)、政治見解、宗教或哲學信仰、工會成員身份的個人數(shù)據(jù)，以及基因數(shù)據(jù)、用于唯一識別自然人的生物特征數(shù)據(jù)、有關健康的數(shù)據(jù)、有關自然人的性生活或性取向的數(shù)據(jù)”，但在第9.2條進一步指出，“處理涉及數(shù)據(jù)主體明顯公開的個人數(shù)據(jù)，則不適用第1款的禁止性規(guī)定”，(17)See REGULATION (EU) 2016/679 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation), Art 9.即允許處理數(shù)據(jù)主體明顯公開的特殊類型的個人數(shù)據(jù)。

如何判斷“數(shù)據(jù)主體明顯公開的個人數(shù)據(jù)”？歐盟數(shù)據(jù)保護委員會在《關于針對社交媒體用戶的8/2020指南》(2.0版)中指出，單一要素的存在并不總是足以證明數(shù)據(jù)主體已明顯公開了數(shù)據(jù)，需要數(shù)據(jù)控制者在實踐中結(jié)合以下因素來證明數(shù)據(jù)主體已明確表示有意公開數(shù)據(jù)：(1)社交媒體平臺的默認設置，即數(shù)據(jù)主體是否采取特定操作將這些默認私人設置更改為公開設置；(2)社交媒體平臺的性質(zhì)，即該平臺是否與數(shù)據(jù)主體建立熟人關系或親密關系的想法有內(nèi)在聯(lián)系，或是否旨在提供更廣泛的人際關系；(3)當數(shù)據(jù)主體被告知他們所發(fā)布的信息的公共性質(zhì)時信息的可見性，即頁面上是否有連續(xù)的橫幅，或發(fā)布按鈕是否通知數(shù)據(jù)主體該信息將被公開；(4)數(shù)據(jù)主體是否自行公布敏感數(shù)據(jù)或該數(shù)據(jù)是否由第三方公布或推斷。(18)See Guidelines 8/2020 on the targeting of social media users Version 2.0, European Data Protection Board(13 April 2021) https://edpb.europa.eu/system/files/2021-04/edpb_guidelines_082020_on_the_targeting_of_social_media_users_en.pdf.因此，判斷數(shù)據(jù)主體明顯公開的個人數(shù)據(jù)不僅需要考慮發(fā)布平臺的性質(zhì)與隱私設置，還要考慮所發(fā)布數(shù)據(jù)的可訪問性以及數(shù)據(jù)主體在被告知該數(shù)據(jù)將被公開時的選擇等因素。

在司法實踐中，我國各地法院圍繞平臺的訪問權限、平臺性質(zhì)等來判斷是否屬于個人自行公開的信息。在北京微夢創(chuàng)科網(wǎng)絡技術有限公司訴云智聯(lián)網(wǎng)絡科技(北京)有限公司不正當競爭糾紛案中，法院根據(jù)平臺權限設置與數(shù)據(jù)的可訪問性將微博數(shù)據(jù)分為公開數(shù)據(jù)與非公開數(shù)據(jù)，對于微夢公司未設定訪問權限、向公眾公開的數(shù)據(jù)，應屬新浪微博中的公開數(shù)據(jù)；對于通過登錄規(guī)則或其他措施設置了訪問權限或僅對特定群體開放的數(shù)據(jù)，則屬新浪微博中的非公開數(shù)據(jù)。(19)北京微夢創(chuàng)科網(wǎng)絡技術有限公司訴云智聯(lián)網(wǎng)絡科技(北京)有限公司不正當競爭糾紛案，北京市海淀區(qū)人民法院(2017)京0108民初24512號。在孫長寶與北京搜狐互聯(lián)網(wǎng)信息服務有限公司等人格權糾紛案中，法院認為“校友錄網(wǎng)站主要用于實現(xiàn)校內(nèi)社群社交功能，用戶在此網(wǎng)站內(nèi)上傳頭像，一般系為尋找同學、好友等，在部分熟知人群范圍內(nèi)開展社會交往，而非進行陌生人交友，或基于言論傳播、宣傳推廣等目的進行全網(wǎng)公開信息發(fā)布”(20)孫長寶與北京搜狐互聯(lián)網(wǎng)信息服務有限公司等人格權糾紛一審民事判決書，北京市互聯(lián)網(wǎng)法院(2019)京0491民初10989號。，要求根據(jù)信息關系和平臺性質(zhì)來判斷所發(fā)布信息的公開性。因此，在判斷個人自行公開的個人信息時，需要綜合平臺性質(zhì)、信息關系、信息的可訪問性等多種因素進行綜合衡量。

2.其他已合法公開的個人信息

其他已合法公開的個人信息主要有三種情形：一是政府部門在履行職責過程中依法公開的個人信息；二是人民法院在裁判文書公開中所涉及的個人信息；(21)參見程嘯：《論我國民法典中的個人信息合理使用制度》，載《中外法學》2020年第4期，第1015-1016頁。三是合法的新聞報道中所涉及的個人信息。(22)《信息安全技術 個人信息安全規(guī)范》(GB/T35273-2020)第5.6條。政府部門作為社會管理與社會福利的承擔者，掌握著海量的個人信息，是最大的個人信息收集、儲存、處理和利用者。(23)參見林鴻潮：《個人信息在社會風險治理中的利用及其限制》，載《政治與法律》2018年第4期，第5頁。政府信息公開不僅包括政府部門在履行職責過程中自我生成的信息，還包括政府部門獲取的其他部門或行政相對人的信息。(24)參見許蓮麗：《論政府信息公開的范圍——以我國〈政府信息公開條例〉為樣本》，載《湖北社會科學》2009年第6期，第36頁。政府部門在主動公開或依申請公開信息的過程中不可避免地涉及公民的個人信息，對于“涉及商業(yè)秘密、個人隱私等公開會對第三方合法權益造成重大損害的政府信息，行政機關不得公開”。政府部門在履行職責過程中公開公民個人信息的，原則上需要履行告知義務，但“法律、行政法規(guī)規(guī)定應當保密”“不需要告知”“告知將妨礙國家機關履行法定職責”除外。(25)《個人信息保護法》第35條和第18條。不同于私主體公開個人信息需要取得信息主體的單獨同意，政府部門在履行法定職責過程中公開個人信息不需要經(jīng)過信息主體的同意。(26)在《個人信息保護法(草案)》和《個人信息保護法(草案)》(二審稿)中“國家機關為履行法定職責處理個人信息，應當依照本法向個人告知并取得其同意”，但最終審議通過的《個人信息保護法》則規(guī)定“國家機關為履行法定職責處理個人信息，應當依照本法規(guī)定履行告知義務”，不再要求征得信息主體的同意。

自2013年最高人民法院發(fā)布《關于人民法院在互聯(lián)網(wǎng)公布裁判文書的規(guī)定》(以下簡稱《規(guī)定》)以來，各地人民法院相繼啟動裁判文書上網(wǎng)制度。這些裁判文書蘊含著大量案情細節(jié)和個人信息，最高人民法院在2016年對該《規(guī)定》進行修訂，要求刪除“自然人的家庭住址、通訊方式、身份證號碼、銀行賬號、健康狀況、車牌號碼、動產(chǎn)或不動產(chǎn)權屬證書編號等個人信息”“家事、人格權益等糾紛中涉及個人隱私的信息”，或?qū)λ鎮(zhèn)€人信息進行模糊化處理。與此同時，該《規(guī)定》還要求以案件為單位，對于涉及隱私的案件進行整體性保護，(27)參見鄒劭坤、侯曉焱：《民法典時代我國公開裁判文書個人信息保護提升路徑》，載《法律適用》2020年第20期，第25頁。但仍有些個人信息在裁判文書中得以保留。根據(jù)《規(guī)定》第11條，人民法院在互聯(lián)網(wǎng)公布裁判文書“除根據(jù)本規(guī)定第八條進行隱名處理的以外，當事人及其法定代理人是自然人的，保留姓名、出生日期、性別、住所地所屬縣、區(qū)”。

《民法典》第990條規(guī)定：“為了公共利益實施新聞報道、輿論監(jiān)督等行為的，可以合理使用民事主體的姓名、名稱、肖像、個人信息等”，賦予新聞媒體在新聞報道中基于公共利益合理使用個人信息的自由。新聞報道中所公開的個人信息首先必須建立在合法的新聞報道之上，即新聞報道不僅要在內(nèi)容上合法，客觀真實、全面準確報道事實，不得夸大其詞、以偏概全、違反邏輯常識、違反職業(yè)倫理、盈利謀私，(28)參見中國審判理論研究會民事審判理論專業(yè)委員會編著：《民法典人格權編條文理解與司法適用》，法律出版社2020年版，第80頁。還要在程序上合法，不得通過非法手段獲取信息、報道新聞。其次新聞報道中所公開的的個人信息必須是為了實現(xiàn)公共利益。公共利益作為一個不確定的概念，需要結(jié)合利益的重要性、受益對象的不特定性、利益實現(xiàn)的現(xiàn)實性和程序的正當性進行綜合性判斷。(29)參見黃學賢：《公共利益界定的基本要素及應用》，載《法學》2004年第10期，第11頁。鑒于新聞報道中所公開的個人信息受到合法性和公共利益的雙重拘束，基于合法的新聞報道所公開的個人信息的后續(xù)利用應當保持在合理的限度內(nèi)，否則可能超出當事人的合理期待，給其人身財產(chǎn)造成不必要的損害。

二、公開的個人信息的后續(xù)利用風險

信息處理者原則上不需要取得信息主體的同意即可對公開的個人信息進一步處理，但信息處理者對公開的個人信息的后續(xù)利用可能在信息主體不知情的情形下以潤物細無聲的方式侵蝕著個人隱私，甚至可能給個體的人身財產(chǎn)安全帶來難以預測的風險。

(一)信息存儲風險

公開的個人信息往往通過信息處理者的終端服務器存儲在“云端”之中，成為網(wǎng)絡用戶隨時隨地取用的公共資源，且永久存儲于網(wǎng)絡平臺之中，不因信息主體的刪除權或被遺忘權而消逝在賽博空間中。這一方面是因為通過技術手段刪除或限制訪問個人信息在當前幾乎是不可能的，且網(wǎng)絡上存在著海量的暗網(wǎng)，通過一般的搜索查詢工具也查詢不到，(30)參見李兵、付騰梓：《價值與實踐：英語學界“被遺忘權”研究》，載《國際新聞界》2019年第12期，第116-117頁。另一方面則是因為消逝在賽博空間需要在全球網(wǎng)域內(nèi)刪除或限制訪問與信息主體相關的公開的個人信息，否則這些信息可能在域外通過其他替代手段重回共享狀態(tài)。(31)參見夏燕：《“被遺忘權”之爭——基于歐盟個人數(shù)據(jù)保護立法改革的考察》，載《北京理工大學學報(社會科學版)》2015年第2期，第132頁。數(shù)據(jù)信息的流通呈現(xiàn)出“史翠珊效應”，越是試圖壓制或阻止訪問特定的信息傳播，結(jié)果往往適得其反，促使該信息為更多受眾所熟知。(32)See Sue Curry Jansen, Brian Martin, The Streisand effect and censorship backfire, 9 International Journal of Communication, 657(2015).雖然《個人信息保護法》第47條賦予了用戶個人信息刪除權，將用戶請求刪除的情形從《網(wǎng)絡安全法》《民法典》“違反法律、行政法規(guī)的規(guī)定或雙方的約定”擴展到“處理目的已實現(xiàn)、或者為實現(xiàn)處理目的不再必要”“個人信息處理者停止提供產(chǎn)品或服務，或者保存期限已屆滿”“個人撤回同意”等情形，(33)《個人信息保護法》第47條：有下列情形之一的，個人信息處理者應當主動刪除個人信息；個人信息處理者未刪除的,個人有權請求刪除：(一)處理目的已實現(xiàn)或者為實現(xiàn)處理目的不再必要；(二)個人信息處理者停止提供產(chǎn)品或者服務，或者保存期限已屆滿；(三)個人撤回同意；(四)個人信息處理者違反法律、行政法規(guī)或者違反約定處理個人信息；(五)法律、行政法規(guī)規(guī)定的其他情形。法律、行政法規(guī)規(guī)定的保存期限未屆滿，或者刪除個人信息從技術上難以實現(xiàn)的，個人信息處理者應當停止除存儲和采取必要的安全保護措施之外的處理。但《個人信息保護法》將個人信息的刪除定位為信息處理者應當主動履行的義務，信息處理者在利益的驅(qū)使下往往不會主動刪除公開的個人信息，且信息主體無法知曉其公開的個人信息是否刪除。即使發(fā)生個人信息侵權事件，信息主體請求刪除公開的個人信息，其刪除訴求只能達到運營商而無法企及第三方，使刪除權的有效性大打折扣。(34)參見楊子曄、楊尚東：《協(xié)同構建保護個人信息刪除權的治理體系》，載《民主與法制時報》2021年8月18日，第3版。因此，個人信息一旦公開，就將永久存儲在賽博空間，在多元主體之間自由流通，即使法律賦予了刪除權或被遺忘權，往往難以達到遺忘的效果。

公開的個人信息在“云端”存儲設備中被分散成碎片，以符號化的形式將該行為或事件在時間上凍結(jié)，消解了該行為或事件在時間上的短暫性，從“在場”的知情轉(zhuǎn)化為“不在場”的關注。(35)參見呂耀懷：《信息技術背景下公共領域的隱私問題》，載《自然辯證法研究》2014年第1期，第55頁。大數(shù)據(jù)技術通過結(jié)構化的符號語言將事件或行為解構為去語境的數(shù)據(jù)信息，這些去語境的數(shù)據(jù)信息被用于作為分析對象的標簽，預留下虛構或揣測對象行為、興趣、偏好的空間，進而通過數(shù)據(jù)挖掘與聚合被整合進新的語境進行重新解讀。(36)參見段偉文：《數(shù)據(jù)智能的算法權力及其邊界?？薄?，載《探索與爭鳴》2018年第10期，第97頁。當用戶通過網(wǎng)絡平臺發(fā)布或分享各類個人信息即失去了對該信息的控制，該信息不再局限于最初的具體社會語境，而是通過各類平臺被傳播和擴散到更加廣泛的范圍內(nèi)，在數(shù)據(jù)控制者、數(shù)據(jù)經(jīng)紀人、數(shù)據(jù)接收者等多元主體之間流轉(zhuǎn)，并在流轉(zhuǎn)的過程中融入新的語境，在“去語境—重構語境”中往返，信息的價值與意義也在不斷解構與重構。一方面，公開的個人信息在去語境化的流轉(zhuǎn)過程中面臨著信息失控的風險。個人信息的去語境化使其能夠為多元主體基于不同場景與目的進行多層次的使用，信息主體往往無法控制公開的個人信息的后續(xù)利用，只能被動承受公開的個人信息后續(xù)利用所帶來的風險。另一方面，公開的個人信息在重構語境的過程中面臨著語境崩塌的問題。個人信息都是在特定的語境下公開的，離開特定的語境，不同個體對同一內(nèi)容可能有不同的理解，一旦發(fā)生誤解或其他理解偏差，將會給信息主體帶來難以預測的困擾與傷害。(37)參見李歡、徐偲骕：《隔“屏”有耳？——聊天記錄“二次傳播”的控制權邊界研究》，載《新聞記者》2020年第9期，第77頁。

(二)信息聚合風險

大數(shù)據(jù)時代，通過公開渠道獲取數(shù)據(jù)是保證數(shù)據(jù)規(guī)模的重要前提，例如通過爬蟲技術爬取公開的數(shù)據(jù)，因此構成海量數(shù)據(jù)規(guī)模的個人信息主要是已公開的個人信息，(38)參見羅嬌：《大數(shù)據(jù)環(huán)境下個人信息保護法律問題研究》，載《圖書館》2018年第5期，第33頁。這些公開的個人信息分散時不會對個人隱私構成侵害，但當這些分散的個人信息被聚合在一起時，則很可能侵害個人的隱私權。正如任何特定領域的個人信息收集似乎都不會構成嚴重的威脅，我們可以通過逃逸到其他領域來保護自己的隱私。當我們孤立地看待每一種公開的個人信息，每一種看起來可能是相對有利的，但當公開的個人信息聚合在一起時，其對隱私的總體影響將大于各部分影響的總和。(39)See Jeffrey H. Reiman, Driving to the Panopticon: A Philosophical Exploration of the Risks to Privacy Posed by the Highway Technology of the Future, 11 Santa Clara High Technology Law Journal, 33(1995).“我們發(fā)布的文字和圖像、社交平臺上的交友范圍，甚至是一個點贊或轉(zhuǎn)發(fā)，都隱藏著我們的注意力偏好、個人興趣、生活習慣等”(40)袁泉：《個人信息分類保護制度的理論基礎》，載《上海政法學院學報(法治論叢)》2018年第3期，第30頁。，通過將分散的公開的個人信息聚合在一起，不僅能夠詳細地刻畫出個體私生活的細節(jié)，形成關于我是什么樣的人以及怎樣生活的詳細描述，還能夠通過數(shù)據(jù)挖掘手段發(fā)現(xiàn)人們不愿為人所知的隱私信息或敏感信息，預測其未來的行為模式，使個人難以反駁通過算法模型預測出來的不曾發(fā)生的行為。(41)See Daniel J.Solove, I’ve nothing to hide and other misunderstandings of Privacy, 44 San Diego Law Review, 766(2007).

在萬物互聯(lián)的時代，我們隨身佩戴的手環(huán)、飾物、電腦以及公共場所的攝像頭不斷將我們每個人數(shù)據(jù)化，“數(shù)據(jù)化生存”成為日常生活的真實寫照，數(shù)據(jù)取代物理世界的行為成為辨識個體人格的標簽，通過將海量碎片化的數(shù)據(jù)信息聚合在一起，能夠刻畫出一個個虛擬而又真實的“數(shù)據(jù)人格”。(42)參見王秀哲：《大數(shù)據(jù)時代個人信息法律保護制度之重構》，載《法學論壇》2018年第6期，第116頁。通過將不同來源、不同類型的公開的個人信息聚合起來，各種個人信息彼此疊加、相互補充、相互印證，由此形成的“數(shù)據(jù)人格”是個體在賽博世界的真實映像，但經(jīng)由“客觀數(shù)據(jù)”(43)有觀點認為海量數(shù)據(jù)信息提供了更大的客觀性、中立性和準確性，但數(shù)據(jù)通常是設計者或研究人員有意識、主觀選擇的結(jié)果，是固有的社會過程的結(jié)果，在貌似客觀的掩飾下隱藏著種種假象，具體參見Atony K. Cooper, Serena Coetzee, On the Ehics of Using Publicly-Available Data, in Marié Hattingh, Machdel Matthee, ed., Responsibe Design, Implementation and Use of Information and Communication Technology, Gewerbestrasse: Springer, 2020, p. 160.所塑造的“數(shù)據(jù)人格”可能使個體真實人格走向異化。這一方面是由于所公開的個人信息不一定是全樣本數(shù)據(jù)，網(wǎng)絡平臺在利益保護之下不愿將數(shù)據(jù)信息完全公開，(44)參見彭蘭：《假象、算法囚徒與權利讓渡：數(shù)據(jù)與算法時代的新風險》，載《西北師大學報(社會科學版)》2018年第5期，第20-21頁。另一方面則是因為我們向他人呈現(xiàn)的自我是基于恰當?shù)奈枧_和表演場景表演出來的自我(performed self)，這個自我并非真實的自我，而是人為設計出來且被認可的符號化的自我幻象，(45)參見[美]歐文·戈夫曼：《日常生活中的自我呈現(xiàn)》，馮鋼譯，北京大學出版社2008年版，第214-216頁。真實的自我以符號化的形態(tài)轉(zhuǎn)化為數(shù)據(jù)信息，這導致個人在賽博空間擁有多個數(shù)字畫像或虛擬人格鏡像，且每個數(shù)字畫像或人格鏡像都是真實人格的映射。特定場景下的數(shù)據(jù)人格可能僅僅是個體諸多人格鏡像中的一個面向，而不是其真實人格的全方位呈現(xiàn)。數(shù)據(jù)人格日漸與物理人格相分離，甚至可能反過來支配我們，成為異己的力量。人們不再是根據(jù)真實的物理人格，而是根據(jù)具有符號意義的數(shù)據(jù)人格來做出決策，通過數(shù)據(jù)與其他生命體或非生命體發(fā)生關系，且物理性人格可能會沉溺于數(shù)字身份所帶來的真實性，猶如缸中之腦般被鎖定在虛幻的空間中，引發(fā)數(shù)據(jù)符號化之殤。(46)參見鄭智航：《數(shù)字資本運作邏輯下的數(shù)據(jù)權利保護》，載《求是學刊》2021年第4期，第118-119頁。

(三)信息傳播風險

公開的個人信息不僅能夠為不特定的第三人所訪問，還能夠幾乎零成本地傳播到世界各個角落。信息處理者原則上不需要經(jīng)過信息主體的同意即可對公開的個人信息進行后續(xù)利用，信息主體往往無法知曉哪些主體收集了自身公開的個人信息并用于何種目的。公開的個人信息是一種共享性與流動性很強的要素資源，能夠在多個信息處理者之間瞬時完成個人信息的收集、存儲、使用、傳輸?shù)龋趥€人信息流轉(zhuǎn)的每個環(huán)節(jié)、每個處理者都可能發(fā)生侵權事件，信息主體囿于信息、知識、能力的不對稱無法確定哪些主體的個人信息處理行為導致?lián)p害的發(fā)生，更難以證明信息處理行為與損害之間存在因果關系。(47)參見張建文、時誠：《個人信息的新型侵權形態(tài)及其救濟》，載《法學雜志》2021年第4期，第40頁。為此，《個人信息保護法》第69條實行過錯推定原則，要求信息處理者證明自身的個人信息處理行為沒有過錯，以降低信息主體的舉證難度。(48)《個人信息保護法》第69條：處理個人信息侵害個人信息權益造成損害，個人信息處理者不能證明自己沒有過錯的，應當承擔損害賠償?shù)惹謾嘭熑?。即使如此，在個人信息侵權事件中信息主體仍要證明加害人、信息處理行為造成了損害等，維權成本高昂而賠償收益偏低，難以為自然人通過訴訟手段維護自身的個人信息權益提供足夠的激勵。(49)參見張新寶：《〈民法總則〉個人信息保護條文研究》，載《中外法學》2019年第1期，第72頁。

網(wǎng)絡空間的開放性使公開的個人信息能夠超越時空的界限在不同民族文化與國家之間傳播，只要是在網(wǎng)絡空間公開的個人信息，就可能成為廣大網(wǎng)民圍觀的對象，就可能成為信息處理者創(chuàng)新變革的原材料。但公開的個人信息的傳播是有界限的，在界限的一邊公開的個人信息處于安全可控的狀態(tài)，一旦公開的個人信息流通到界限的另一邊則可能使信息主體處于危險的狀態(tài)。(50)參見魯佑文、馬亞鑫：《信息源與風險源：大數(shù)據(jù)時代個人信息安全困境及應對》，載《現(xiàn)代傳播》2019年第11期，第81-82頁。首先，公開的個人信息往往都是在網(wǎng)絡平臺上發(fā)布或共享的，即使該網(wǎng)絡平臺對不特定第三人開放，但網(wǎng)站的鏈入鏈接數(shù)和站點訪問數(shù)呈冥律結(jié)構存在，少數(shù)頂端的站點集聚了絕大部分的鏈接數(shù)和流量，并繼續(xù)吸引著更多的鏈接與注意力，而一旦跨出核心站點，網(wǎng)站的相對能見度將會斷崖式下降，其所承載的公開的個人信息往往難以為人們所看到。(51)參見[美]馬修·辛德曼：《數(shù)字民主的迷思》，唐杰譯，中國政法大學出版社2016年版，第71-72頁。其次，搜索引擎對于網(wǎng)站鏈接數(shù)和訪問量具有重要的引導作用，但搜索引擎在提供用戶的快速搜索回應之前，通常先進行某種形式的Web搜索，以定位內(nèi)容。為了盡可能快速地回復搜索結(jié)果，搜索引擎并不總是準確的(尤其是結(jié)果數(shù)量)，且很多網(wǎng)頁搜索引擎無法訪問。(52)See Atony K. Cooper, Serena Coetzee, On the Ehics of Using Publicly-Available Data, in Marié Hattingh, Machdel Matthee, ed., Responsibe Design, Implementation and Use of Information and Communication Technology, Gewerbestrasse: Springer, 2020, p. 166.人們根據(jù)所呈現(xiàn)的公開個人信息進行決策與選擇，使個體受困于平臺為他們所編織的“信息繭房”之中。最后，網(wǎng)站在搜索結(jié)果的排序往往會影響人們的注意力與選擇，人們更容易注意到第一頁與最后一頁的內(nèi)容，而中間位置的網(wǎng)頁，則很難引起人們的注意。(53)參見[美]希娜·艾揚格：《選擇：為什么我選的不是我要的？》，林雅婷譯，中信出版社2019年版，第127頁。對于那些處于中間排名網(wǎng)頁的公開信息，其往往難以為人們所注意到，但信息處理者可能在資本的運作下將網(wǎng)站在搜索結(jié)果中的排名靠前，使原本“小眾”的公開的個人信息成為“大眾”的公開的個人信息，公開的個人信息的再公開可能對信息主體產(chǎn)生負外部性，引發(fā)信息主體對公開的個人信息的安全隱憂，進而妨害數(shù)據(jù)信息效用的發(fā)揮。

三、公開的個人信息的后續(xù)利用限度

公開的個人信息作為一種公共性資源，信息主體需要容忍信息處理者對該信息的后續(xù)利用，但信息處理者對公開的個人信息的后續(xù)利用并非是不受限制的，其必須控制在“合理的范圍”內(nèi)，不得違背信息主體的意思自治和最初公開時的場景脈絡。

(一)公開的個人信息受法律保護

個人信息一經(jīng)公開就進入公共領域，能夠為不特定的第三人所訪問與利用，那么公開的個人信息是否應當受到法律保護？各國法律對此規(guī)定不盡相同。美國統(tǒng)一法律委員會在2021年7月審議通過的《統(tǒng)一個人數(shù)據(jù)保護法》，旨在為各州提供一個數(shù)據(jù)隱私法律的模板，以便各州立法機構制定自身的隱私法。該法案將公開可獲取的信息(publicly available information)排除在數(shù)據(jù)保護法案之外，而公開可獲取的信息包括“從聯(lián)邦、州或地方政府記錄中合法可獲取的信息”“從通常公開媒體中可獲取的信息”“從公開可訪問的職位觀察到的信息”等。(54)無論是美國的《健康保險便利和責任法案》(HIPAA)，還是《金融服務法現(xiàn)代化法案》(GLBA)，抑或是加利福尼亞州的《消費者隱私法案》(CCPA)都將公開可獲得信息豁免在法案保護之外，具體參見Alan McQuinn, Daniel Castro, A grand bargain on data privacy legislation for America, Information Technology & Innovation Foundation (14 January 2019), https://www2.itif.org/2019-grand-bargain-privacy.pdf.公開可獲取的信息在司法層面也不受法律的保護。2019年9月美國聯(lián)邦第九巡回法院在“hiQ訴Linkedln案”中作出裁決，認定hiQ公司從Linkedln爬取公開的個人數(shù)據(jù)信息的行為并未違反《計算機欺詐與濫用法》，維持加州北區(qū)聯(lián)邦法院作出的對hiQ公司的裁決。在該案中，法院認為因Linkedln默認對所有人公開，任何人都能夠訪問該網(wǎng)站，對于該網(wǎng)站公開的數(shù)據(jù)資料，Linkedln不得采取任何法律和技術措施限制hiQ訪問該網(wǎng)站公開的數(shù)據(jù)資料，否則可能使hiQ遭受無法彌補的損害，威脅其業(yè)務的生存發(fā)展。(55)hiQ Labs, Inc. v. LinkedIn Corp., No. 17-16783, 2019 WL 4251889 (9th Cir. Sept. 9, 2019).

歐盟GDPR既沒有將公開的個人信息作為個人信息處理的合法性基礎，也沒有專門的條款對公開的個人信息進行保護，僅將“數(shù)據(jù)主體明顯公開的個人數(shù)據(jù)”規(guī)定為特殊類型的個人數(shù)據(jù)處理的例外條款，即原則上特殊類型的個人數(shù)據(jù)是禁止處理的，但如果特殊數(shù)據(jù)明顯是被數(shù)據(jù)主體公開的，也是可以進行處理的。對于合法公開的非特殊類型個人數(shù)據(jù)，無論是數(shù)據(jù)主體自行公開的還是政府部門、司法部門等基于公共利益公開的，原則上應當按照個人數(shù)據(jù)處理的基本原則與條件進行保護與規(guī)制。因歐盟GDPR適用于可歸因于個人的數(shù)據(jù)，即“與已識別或可識別的個人相關的任何數(shù)據(jù)”，無論該數(shù)據(jù)信息的來源如何。這意味著即使是通過公共社交媒體渠道收集的公開個人數(shù)據(jù)，或是政府依法公開的數(shù)據(jù)信息，都要完全適用數(shù)據(jù)保護法，(56)See Enrico Di Minin, etc, How to address data privacy concerns when using social media data in conservation science, 35 Conservation Biology, 440 (2021).通過一般數(shù)據(jù)保護規(guī)則對公開的個人數(shù)據(jù)進行保護。

我國法律文件中有關公開的個人信息最早出現(xiàn)在2014年6月最高人民法院審議通過的《關于審理利用信息網(wǎng)絡侵害人身權益民事糾紛案件適用法律若干問題的規(guī)定》中，其第12條將“自然人自行在網(wǎng)絡上公開的信息或其他已合法公開的個人信息”作為利用信息網(wǎng)絡侵害人身權益的抗辯事由，且“以違反社會公共利益、社會公德的方式公開”及“侵害權利人值得保護的重大利益”作為處理合法公開的個人信息的限度?！睹穹ǖ洹返?036條第2款進一步將“合理處理該自然人自行公開的或其他已經(jīng)合法公開的信息”作為個人信息處理的合法性基礎，且以“該自然人明確拒絕或處理該信息侵害其重大利益”作為限制性事由?！秱€人信息保護法》不僅在第13條第6款將“依照本法規(guī)定在合理范圍內(nèi)處理個人自行公開或其他已經(jīng)合法公開的個人信息”作為個人信息處理的合法性基礎，還在第27條明確了公開的個人信息處理規(guī)則及處理界限，即在“合理范圍內(nèi)”且以“個人明確拒絕”“對個人權益有重大影響”作為例外。這表明即使是公開的個人信息在我國仍受到法律的保護，信息主體對公開的個人信息不因其公開而失去控制的權利，(57)有觀點認為自然人自愿公開的個人信息，通常應視為權利人放棄了對該信息的保護，一般也無保護的必要，再次傳播或公開原則上不能認為侵害個人權益。具體參見最高人民法院民法典貫徹實施工作領導小組主編：《中華人民共和國民法典人格權編理解與適用》，人民法院出版社2020年版，第387頁。有權拒絕他人對公開的個人信息的后續(xù)利用，信息處理者對公開的個人信息的后續(xù)利用不得背離信息主體的合理期待，不得損害信息主體的重大權益。

(二)公開的個人信息使用的“合理”限度

根據(jù)《個人信息保護法》第27條，信息處理者必須在合理的范圍內(nèi)處理公開的個人信息，“合理的范圍內(nèi)”成為理解公開的個人信息處理規(guī)則的關鍵。在個人信息保護立法中，目的限制原則是個人信息保護的一項基本原則，貫穿于個人信息處理的始終，無論是何種類型的個人信息處理活動，也不管信息處理者是誰，都必須受該原則拘束。(58)參見程嘯：《我國個人信息保護法中的目的限制原則》，載《人民法院報》2021年9月2日，第5版。公開的個人信息的后續(xù)利用作為個人信息處理的一個重要環(huán)節(jié)，當然受目的限制原則的拘束?！秱€人信息保護法(草案)》和《個人信息保護法(草案)》(二審稿)都要求“個人信息處理者處理已公開的個人信息，應當符合該個人信息被公開時的用途”，超出該用途的應當重新取得個人同意。這表明立法者將個人信息被公開時的目的或用途視為判斷個人信息后續(xù)利用是否合理的一個重要因素，即公開的個人信息的后續(xù)利用必須滿足目的限制原則。

目的限制原則要求信息處理者在不遲于收集時必須有明確的、特定的目的，且后續(xù)使用必須與收集目的直接相關，不得背離最初的目的。如果能夠明確個人信息最初公開時的目的，信息處理者對公開的個人信息的后續(xù)利用不得背離最初的公開目的。不得背離最初的公開目的并不意味著完全相同，在某些情況下“為不同目的進行后續(xù)處理，并不一定意味著自動不兼容，這需要根據(jù)兼容性測試進行個案評估。”(59)Article 29 Data Protection Party, Opinion 03/2013 on purpose limition, European Commission (2 Arpil 2013), https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2013/wp203_en.pdf.在判斷最初目的的范圍上，不應當在個人信息公開環(huán)節(jié)就對最初目的做擴張解釋，而應當根據(jù)公開時的場景脈絡、信息主體對個人信息后續(xù)利用的合理期待等因素在個人信息后續(xù)使用環(huán)節(jié)進行目的兼容性測試。(60)有學者認為法院可以在個人信息公開環(huán)節(jié)，就對約定目的進行擴張解釋，而不是在后續(xù)使用環(huán)節(jié)由法院裁決約定目的的大小，具體參見梁澤宇：《個人信息保護中目的限制原則的解釋與適用》，載《比較法研究》2018年第5期，第27-28頁。公開的個人信息最初公開時的目的與后續(xù)利用的目的是否兼容主要考慮以下因素：個人信息公開時的目的與進一步處理的目的之間的關系；個人信息公開時的場景及信息主體對其進一步使用的合理期待；進一步處理對信息主體的影響；信息處理者為確保公平處理并防止對信息主體產(chǎn)生任何不良影響所采取的保障措施。(61)See Article 29 Data Protection Party, Opinion 03/2013 on purpose limition, European Commission (2 Arpil 2013), https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2013/wp203_en.pdf.在公開的個人信息的目的或用途明確時，個人信息的后續(xù)使用應當與最初公開時的目的相兼容，不得背離信息公開時的最初場景與合理期待，以免對信息主體造成不良影響。

如果個人信息公開時的目的無法明確的，信息處理者應當合理、謹慎地處理公開的個人信息，且不得對個人產(chǎn)生重大影響。(62)參見歐陽本祺：《侵犯公民個人信息罪的法益重構：從私法權利回歸公法權利》，載《比較法研究》2021年第3期，第66頁。信息處理者的合理謹慎義務是理性人在善意情況下應盡到的注意義務和安全保護義務，(63)參見解正山：《數(shù)據(jù)泄露損害問題研究》，載《清華法學》2020年第4期，第150頁。要求信息處理者基于善意對公開的個人信息的目的盡到注意義務，且在后續(xù)利用過程中采取安全保障措施以減少個人信息的濫用。在個人信息公開時的目的不明的情形下，信息處理者應當根據(jù)信息公開時的場景、平臺、信息關系等合理推斷該信息的可能用途。對于個人自行公開的個人信息，可以根據(jù)信息公開的平臺性質(zhì)、隱私政策、信息主體在被告知公開時的選擇行為等因素綜合推斷公開的個人信息的目的與用途。對于其他合法公開的個人信息，可以根據(jù)所承載的公共服務或公共管理性質(zhì)來推斷其公共目的，例如政府信息公開中的個人信息，其目的在于提升政府工作的透明度，保障公眾知情權的實現(xiàn)。信息處理者不僅需要保障公開的個人信息的處理目的具有正當性，還要采取相應的軟硬件措施保障公開的個人信息處于安全可控的狀態(tài)，不會對個人產(chǎn)生重大不良影響。

公開的個人信息的合理利用除了需要滿足目的限制原則，還需要滿足手段正當性和收集、利用行為的正當性要求。(64)參見張建文：《能動司法與網(wǎng)絡平臺公開數(shù)據(jù)法律制度的型塑——評“北京微夢創(chuàng)科網(wǎng)絡技術有限公司與云智聯(lián)網(wǎng)絡科技(北京)有限公司不正當競爭糾紛案”》，載《上海政法學院學報(法治論叢)》2021年第3期，第36頁。手段正當性要求信息處理者必須采用合法正當?shù)男袨榉绞剑坏猛ㄟ^非法技術手段或偽裝手段獲得與處理個人信息，而收集、利用行為的正當性則要求公開的個人信息的后續(xù)利用行為不得構成對他人的不正當競爭、不得損害他人的正當數(shù)據(jù)利益。在“匯法網(wǎng)”案中，北京市第四中級人民法院根據(jù)《最高人民法院關于審理利用信息網(wǎng)絡侵害人身權益民事糾紛案件適用法律若干問題的規(guī)定》將手段正當性和收集、利用行為的正當性具體化為四方面的判斷，即“轉(zhuǎn)載者發(fā)布的信息與發(fā)布機關發(fā)布的信息在內(nèi)容上是否存在不符”“轉(zhuǎn)載者在轉(zhuǎn)載過程中是否不當添加了侮辱性、誹謗性標題或其他內(nèi)容信息”“轉(zhuǎn)載者是否以增刪、改變等方式對來源信息進行了結(jié)構調(diào)整，并因此致人誤解”“相關來源性信息在轉(zhuǎn)載時是否為有效信息等”。(65)梁雅冰與北京匯法正信科技有限公司網(wǎng)絡侵權糾紛上訴案，北京市第四中級人民法院(2021)京04民終71號。因此，公開的個人信息的合理利用不僅需要符合最初公開時的目的或用途，滿足目的限制原則，還要保證后續(xù)利用在手段、內(nèi)容、方式上是正當?shù)?，嚴格控制在合理范圍?nèi)，不得對個人權益造成重大影響。

(三)信息處理者利用公開的個人信息的例外情形

信息處理者原則上不需要經(jīng)過信息主體的同意即可對公開的個人信息進行后續(xù)處理，但在信息主體的明確拒絕和對個人權益的重大影響的情形下，信息處理者需要重新獲得信息主體的同意，否則可能構成對個人信息權益的侵害。

1.信息主體的明確拒絕

《個人信息保護法》第27條規(guī)定“個人信息處理者可以在合理的范圍內(nèi)處理個人自行公開或者其他已經(jīng)合法公開的個人信息；個人明確拒絕的除外”，賦予個人自主決定是否同意公開的個人信息的后續(xù)使用的權利，進而保障信息主體自我決定權的實現(xiàn)。信息主體的“自我決定權”包括兩方面的內(nèi)容：一是在個人信息公開之前，信息主體有權自主決定個人信息公開的內(nèi)容、范圍、程度、方式等；二是個人信息公開之后，信息主體有權自主決定對該個人信息的進一步處理，以保證已公開的信息不被扭曲。(66)參見謝遠揚：《〈民法典人格權編(草案)〉中“個人信息自決”的規(guī)范建構及其反思》，載《現(xiàn)代法學》2019年第6期，第139頁。對于公開的個人信息，信息主體一方面需要容忍其他處理者對公開的個人信息的后續(xù)利用，另一方面有權明確拒絕公開個人信息的進一步處理，以保證信息主體“自我決定權”的實現(xiàn)。

信息主體對公開的個人信息的自我決定權在法院判決中也得到了認可。在“啟信寶”一案中，蘇州市中級人民法院認為，在判斷貝爾塔公司的轉(zhuǎn)載和再次公開行為是否違反正當性和必要性原則，是否對所涉自然人值得保護的重大利益造成影響時，應更多尊重伊某對其已合法公開信息進行二次傳播的個人意愿，尊重伊某的自主決定權。在伊某聯(lián)系貝爾塔公司要求刪除相關文書之前，貝爾塔公開文書的行為尚不構成非法公開他人信息的侵權行為，但在伊某聯(lián)系貝爾塔公司要求刪除相關文書之后，貝爾塔公司以中國裁判文書網(wǎng)已公開相關文書為由拒絕刪除，構成對伊某個人信息的非法公開利用。(67)蘇州貝爾塔數(shù)據(jù)技術有限公司與伊日克斯慶一般人格權糾紛二審民事判決書，江蘇省蘇州市中級人民法院(2019)蘇05民終4745號。在該案中，法院將信息主體的自主決定權預設為一項絕對性權利，信息主體有權決定公開的個人信息的二次傳播，這是對信息主體自主決定權的一種誤讀，信息主體對其個人信息的自主決定權受到一系列因素的限制，且無論是在保護強度和密度方面，公開的個人信息都明顯弱于非公開的個人信息，(68)參見程嘯：《我國〈民法典〉個人信息保護制度的創(chuàng)新與發(fā)展》，載《財經(jīng)法學》2020年第4期，第39頁。信息主體需要容忍公開的個人信息在合理范圍內(nèi)的流轉(zhuǎn)。

信息主體對公開的個人信息的自主決定權并非是不受限制的。首先，信息主體的信息自決權自其誕生之日起就不是一項絕對性權利，需要受到合目的性原則、比例原則、法律保留和法的明確性原則等限制。(69)參見趙宏：《從信息公開到信息保護：公法上信息權保護研究的風向流轉(zhuǎn)與核心問題》，載《比較法研究》2017年第2期，第41-42頁。其次，公開的個人信息不僅承載著信息主體、信息處理者和社會公共利益，還是社會治理、企業(yè)創(chuàng)新、科學文化藝術進步的素材與原材料，公開的個人信息后續(xù)利用不能完全由個人決定，需要多方利益的衡量比較確定。(70)參見高富平：《個人信息保護：從個人控制到社會控制》，載《法學研究》2018年第3期，第95-96頁。最后，公開的個人信息是人們?nèi)粘＝煌拖嗷ソ涣魉匦璧模绻x予信息主體對公開的個人信息完整的信息自決權，將會妨害正常的社會交往，妨害社會成員之間的信息獲取與交流。(71)參見丁曉東：《個人信息私法保護的困境與出路》，載《法學研究》2018年第6期，第202頁。因此，信息主體對公開的個人信息后續(xù)利用的拒絕權并不是絕對的，信息主體應當容忍信息處理者在兼容性目的下的進一步處理。在兼容性目的之下，即使信息主體明確拒絕信息處理者在兼容性目的下的后續(xù)利用，信息處理者仍有權對公開的個人信息進行進一步的處理。

同樣是轉(zhuǎn)載和再次公開中國裁判文書網(wǎng)的裁判文書，北京市第四中級人民法院在“匯法網(wǎng)”案中認定其轉(zhuǎn)載裁判文書的行為不屬于違法使用個人信息的行為，即使信息主體明確拒絕，該公司仍有權在兼容性目的下基于手段正當性和收集、利用正當性轉(zhuǎn)載裁判文書。在該案中，北京匯法正信科技公司在轉(zhuǎn)載過程中既沒有對相關裁判文書進行增刪、改動，也沒有其他不正當行為，且其目的“是通過對司法數(shù)據(jù)的再度利用，保障和便捷公眾對相關信息的知情權，有利于社會誠信體系的建設，也不違反司法公開的目的”，(72)梁雅冰與北京匯法正信科技有限公司網(wǎng)絡侵權糾紛上訴案，北京市第四中級人民法院(2021)京04民終71號。是一種兼容性目的下的合理利用行為。信息主體對其公開的個人信息負有容忍義務，需要容忍公開的個人信息在合理范圍內(nèi)的自由流轉(zhuǎn)，除非公開的個人信息的后續(xù)利用目的或手段不正當，超出了信息主體的合理預期，否則信息主體無權拒絕公開的個人信息的后續(xù)利用。

綜上所述，信息主體有權拒絕公開的個人信息的后續(xù)利用，但信息主體的拒絕權并不是一項絕對性權利，需要容忍信息處理者在兼容性目的下的進一步處理。如果信息處理者對公開的個人信息的后續(xù)利用手段不正當或者超出最初公開的目的，信息主體有權拒絕公開的個人信息的后續(xù)利用；如果信息處理者基于正當手段、兼容性目的處理公開的個人信息，即使信息主體明確拒絕，信息處理者仍有權對該信息進一步處理。

2.對個人權益有重大影響

《個人信息保護法》第13條將“在合理的范圍內(nèi)處理個人自行公開或其他已經(jīng)合法公開的個人信息”作為個人信息處理的合法性基礎之一，信息處理者原則上不需要取得信息主體的同意即可對公開的個人信息進一步處理。但如果公開的個人信息的后續(xù)利用將會對個人權益造成重大影響的，信息處理者應當重新取得個人的同意。所謂“對個人權益有重大影響”，是指處理該信息將會對信息主體的生命、身體、自由、財產(chǎn)或其他利益造成重大不良影響，(73)參見程嘯：《論我國民法典中的個人信息合理使用制度》，載《中外法學》2020年第4期，第1016頁。例如在劍橋分析事件中，劍橋公司通過非法手段收集8 700萬facebook用戶的公開個人數(shù)據(jù)，通過對日常生活公開的數(shù)據(jù)進行建模分析，推斷他們的政治態(tài)度，進而推送特定內(nèi)容影響他們的行為。(74)參見王俊秀：《數(shù)據(jù)監(jiān)控、隱私終結(jié)與隱私通貨》，載《探索與爭鳴》2018年第5期，第31-32頁。

公開的個人信息的后續(xù)利用是否對信息主體的個人權益造成重大影響，主要從以下三方面因素進行考量:一是將信息主體的個人信息利益與信息處理者的合法利益、社會公共利益進行權衡比較，如果信息主體控制其公開的個人信息利益高于信息流通所潛伏的財產(chǎn)利益與社會公共利益，則公開的個人信息的進一步處理可能會對信息主體造成重大不良影響；二是收集和利用方式是否正當。收集的正當性意味著信息處理者必須采用合法手段收集公開的數(shù)據(jù)信息，不得采用平臺明確禁止的技術，也不得違反國家的禁止性規(guī)定。利用方式正當要求信息處理者必須基于目的限制原則進行公開的個人信息的后續(xù)利用，不得違反個人信息保護的相關規(guī)定。(75)參見張建文：《能動司法與網(wǎng)絡平臺公開數(shù)據(jù)法律制度的型塑——評“北京微夢創(chuàng)科網(wǎng)絡技術有限公司與云智聯(lián)網(wǎng)絡科技(北京)有限公司不正當競爭糾紛案”》，載《上海政法學院學報(法治論叢)》2021年第3期，第36頁。三是進一步處理的公開的個人信息與源信息在內(nèi)容、結(jié)構上是否相符。內(nèi)容、結(jié)構的匹配性要求信息處理者不得對公開的個人信息進行任意增刪，扭曲信息主體的社會形象，也不得進行結(jié)構性調(diào)整，引發(fā)公眾的誤解。

信息處理者對公開的個人信息的后續(xù)利用首先需要履行告知義務，以顯著方式、清晰易懂的語言向個人告知信息處理者的名稱、聯(lián)系方式、處理的個人信息種類、處理方式、個人享有的權利和程序等內(nèi)容。(76)《個人信息保護法》第17條：個人信息處理者在處理個人信息前，應當以顯著方式、清晰易懂的語言真實、準確、完整地向個人告知下列事項：(一)個人信息處理者的名稱或者姓名和聯(lián)系方式；(二)個人信息的處理目的、處理方式，處理的個人信息種類、保存期限；(三)個人行使本法規(guī)定權利的方式和程序；(四)法律、行政法規(guī)規(guī)定應當告知的其他事項。前款規(guī)定事項發(fā)生變更的，應當將變更部分告知個人。個人信息處理者通過制定個人信息處理規(guī)則的方式告知第一款規(guī)定事項的，處理規(guī)則應當公開，并且便于查閱和保存。不同于作為私法意義上意思表示的同意，受公共安全、他人的合法權益、公共利益或其他合法事由的限制，告知融合了公法和私法的雙重屬性，是信息處理者在任何場景都必須履行的強制性義務，即使是不需要信息主體同意的場景，信息處理者仍要履行告知義務，(77)參見萬方：《個人信息處理中的“同意”與“同意撤回”》，載《中國法學》2021年第1期，第168頁。除非法律、行政法規(guī)規(guī)定保密或不需要告知的情形。信息處理者告知信息主體公開的個人信息的進一步處理，不僅能夠保障信息主體對個人信息處理的知情權，還能夠為其控制數(shù)據(jù)信息的流轉(zhuǎn)、評估后續(xù)利用的風險提供信息支撐。如果公開的個人信息的后續(xù)利用對個人權益產(chǎn)生重大影響，信息處理者需要取得信息主體的同意。對公開的個人信息的后續(xù)利用不一定需要獲得信息主體的單獨同意或書面同意，(78)根據(jù)《個人信息保護法》，個人信息處理者在處理敏感個人信息、向他人提供個人信息或公開個人信息、跨境轉(zhuǎn)移個人信息等環(huán)節(jié)需要取得個人的單獨同意；而書面同意則根據(jù)法律或行政法規(guī)的規(guī)定，從其規(guī)定，如《人類遺傳資源管理條例》第12條“采集我國人類遺傳資源，應當事先告知人類遺傳資源提供者采集目的、采集用途、對健康可能產(chǎn)生的影響、個人隱私保護措施及其享有的自愿參與和隨時無條件退出的權利，征得人類遺傳資源提供者書面同意”。僅需要獲得個人的明示同意或默示同意即可。默示同意不能以沉默的方式作出，否則構成對信息主體自由意志的戕害，無助于信息主體個人信息權益的保護與弱勢地位的填平。(79)參見陸青：《個人信息保護中“同意”規(guī)則的規(guī)范構造》，載《武漢大學學報(哲學社會科學版)》2019年第5期，第124頁。但對于公開的個人信息中敏感信息的進一步處理，不僅需要獲得信息主體的單獨同意，還需要在目的限制的前提下具有充分的必要性且采取嚴格保障措施。因此，如果公開個人信息的后續(xù)利用對個人權益有重大影響的，信息處理者不僅需要告知信息主體處理的信息類型、方式、目的以及處理者名稱、聯(lián)系方式等，還需要取得個人同意，不管是明示同意還是默示同意。

四、結(jié)語

我們身處一個信息公開的時代，通過公開我們收獲了新的學習、相互聯(lián)系和彼此協(xié)作的機會，企業(yè)收獲了顧客的信任和良好的品牌形象，政府部門收獲了與公民互動、互信的和諧關系。(80)參見[美]杰夫·賈維斯：《公開：新媒體時代的網(wǎng)絡正能量》，南溪譯，中華工商聯(lián)合出版社2013年版，第7-9頁。但個人信息的公開不同于公開的個人信息，個人信息的公開是個人信息處理的一個重要環(huán)節(jié)，需要經(jīng)過信息主體的單獨同意，而公開的個人信息是個人信息在賽博空間的一種狀態(tài)，能夠為不特定的第三人所訪問，信息處理者可以不經(jīng)信息主體的同意即可對其進行后續(xù)處理。公開的個人信息的后續(xù)利用不僅能夠加速個人信息的流通，促進數(shù)字經(jīng)濟的發(fā)展，還能夠推進政府公共決策的科學化、社會治理的精準化、公共服務的高效化。但信息處理者對公開的個人信息的后續(xù)利用不是不受限制的，必須控制在合理范圍內(nèi)，在保護信息主體的人格尊嚴和人格自由的前提下，在目的正當性、手段正當性、收集與使用正當性的拘束下推動公開的個人信息的自由流轉(zhuǎn)，在流轉(zhuǎn)中最大限度地釋放數(shù)據(jù)信息的價值，推動數(shù)字經(jīng)濟健康高速發(fā)展。