公開個人信息法律保護的中國方案

●丁曉東

一、問題的提出

公開個人信息的法律保護一直是難題與爭議焦點。一方面，有觀點認為，公開個人信息位于公共領域，不需要對其進行保護?！?〕See Heidi Reamer Anderson, The Mythical Right to Obscurity: A Pragmatic Defense of No Privacy in Public, 7 J.L.Pol’y for Info.Soc’y 543, 549 （2012）; Robert G.Larson III, Note, Forgetting the First Amendment: How Obscurity-Based Privacy and a Right to Be Forgotten Are Incompatible with Free Speech, 18 Comm.L.& Pol’y 91, 112 （2013）; Jane E.Kirtley, Misguided in Principle and Unworkable in Practice: It Is Time to Discard the Reporters Committee Doctrine of Practical Obscurity （and Its Evil Twin, the Right to Be Forgotten）, 20 Comm.L.& Pol’y 91, 109 （2015）.例如，對學校網站上的教師信息而言，任何網民都可以自由訪問與復制；人們在廣場、街道和景點拍攝的照片中如果包含他人肖像，一般不需要進行模糊化處理。另一方面，有觀點認為，公開個人信息的大規模處理會帶來風險，應當受到個人信息保護法的保護?！?〕See Jonathan B.Mintz, The Remains of Privacy’s Disclosure Tort: An Exploration of the Private Domain, 55 Md.L.Rev.425, 440-41 （1996）; Daniel J.Solove, The Digital Person: Technology and Privacy in the Information Age 97-100 （2006）; Erin B.Bernstein,Health Privacy in Public Spaces, 66 Ala.L.Rev.989, 993 （2015）.針對公開個人信息，我國《個人信息保護法》第13 條第（六）項規定：“依照本法規定在合理的范圍內處理個人自行公開或者其他已經合法公開的個人信息”，個人信息處理者可以處理個人信息。第27 條進一步規定：“個人信息處理者可以在合理的范圍內處理個人自行公開或者其他已經合法公開的個人信息；個人明確拒絕的除外。個人信息處理者處理已公開的個人信息，對個人權益有重大影響的，應當依照本法規定取得個人同意”?！睹穹ǖ洹穼π袨槿瞬怀袚袷仑熑芜M行了類似規定，第1036 條第（二）項規定：“合理處理該自然人自行公開的或者其他已經合法公開的信息，但是該自然人明確拒絕或者處理該信息侵害其重大利益的除外”。

在學術研究與法律解釋層面，一系列問題仍然存在。首先，如何看待我國公開個人信息保護制度在全球法律體系中的定位？正如艾紐·布拉德福特（Anu Bradford）教授所言，中國、美國、歐盟已經成為個人信息保護等數字領域最重要的三個區域?！?〕See Anu Bradford, Digital Empires: The Global Battle to Regulate Technology 1-6 （2023）.鑒于我國個人信息保護制度受到域外影響，同時影響全球的相關制度的情況，有必要在全球特別是中國、美國、歐盟比較的視野下對相關問題進行研究。其次，如何理解與解釋我國《個人信息保護法》中的公開個人信息保護制度？我國對公開個人信息保護的制度設計僅針對收集環節，還是個人信息處理的所有環節？在信息處理者根據《個人信息保護法》第13 條的合法性基礎收集個人信息后，個人是否還具有相關信息權利？信息處理者是否還應當履行相關義務？例如，個人是否可以向信息處理者提起知情決定權、撤回權、查閱復制權、更正補充權、刪除權、解釋說明權、死者親屬權等權利主張？信息處理者在收集公開個人信息后，是否還應當承擔安全保障、設立個人信息專員、履行合規審計、個人信息影響評估等義務？

此外，很多更為具體的制度問題需要進一步分析。例如，公開應當根據個人主觀性，還是某種客觀標準進行判斷？互聯網上可以搜索到的信息是否都屬于公開信息？〔4〕See Frederick Schauer, Internet Privacy and the Public-Private Distinction, 38 Jurimetrics 555, 558 （1998）.個人在商業街、商場、咖啡館、教室、酒吧的活動是否屬于公開信息？小范圍的群聊或幾個朋友可見的朋友圈信息是否屬于公開信息？如何理解與界定“合理的范圍內”“對個人權益有重大影響”或“侵害其重大利益”？當ChatGPT、文心一言利用互聯網公開信息進行訓練時，是否屬于合理范圍內的利用，以及是否造成了對個人權益的重大影響或侵害？“個人明確拒絕的除外”中的“拒絕”應當如何行使？個人表達相關意愿是否都屬于個人拒絕？

二、歐盟、美國保護公開個人信息的制度差異與中國道路

歐盟、美國和我國對公開個人信息的保護按照強度形成了一個光譜，美國、歐盟位于這個光譜的兩端，我國位于中間，在制度上形成了區別于美國和歐盟的中國方案。從比較法視野出發，可以確定我國公開個人信息保護的全球定位。

（一）歐盟對公開個人信息一體保護

歐盟對公開個人信息與非公開個人信息一體保護。在《一般數據保護條例》規定的合法性基礎中，歐盟沒有列舉個人信息的公開性?！?〕參見《一般數據保護條例》第6 條。這意味著，當信息處理者處理在互聯網等公開環境下獲取的個人信息時，仍然需要獲得個人同意或其他合法性基礎。在此之前已經失效的第95/46/EC 號《數據保護指令》（Data Protection Directive）中，〔6〕See Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the Protection of Individuals with Regard to the Processing of Personal Data and on the Free Movement of Such Data, 1995 O.J.（L 281）31, 50.歐盟進行了類似規定。

當然，歐盟對公開個人信息設置了少量例外，減輕其保護義務。對于禁止處理的特殊種類的個人信息，《一般數據保護條例》將公開個人信息作為例外?！兑话銛祿Ｗo條例》第9 條規定，對于“數據主體已經明顯公開的相關個人數據（data manifestly made public）的處理”，不適用于禁止處理的規定?！?〕參見《一般數據保護條例》第9 條第2 款（e）。不過歐洲數據保護委員會（European Data Protection Board，EDPB）又對這一例外做了限定性規定。EDPB 的指南指出，“公開”應理解為在大眾媒體上發布數據、將數據發布到在線社交網絡平臺或類似的行動。個人數據的公開必須具有“明顯性”，需要數據主體采取肯定的行動，并且意識到這一行為的后果。即使在收集數據后，數據控制者仍然需要遵守個人信息處理的合法性基礎與個人信息處理原則?！?〕See EDPB, Guidelines 8/2020 on the Targeting of Social Media Users Version 2.0, para 114,127-12, available at: https://edpb.europa.eu/system/files/2021-04/edpb_guidelines_082020_on_the_targeting_of_social_media_users_en.pdf.

《一般數據保護條例》第86 條規定，對于官方合法公開的個人信息，公眾可以進行合法訪問。但《一般數據保護條例》的“重述”部分也明確指出，政府信息公開“不影響歐盟和成員國法律規定的個人數據處理方面對自然人的保護水平，尤其是不改變本條例規定的義務和權利”?！?〕《〈一般數據保護條例〉重述》第154 條。這意味著，對官方合法公開的個人信息而言，歐盟的數據控制者或處理者仍然需要遵守《一般數據保護條例》的相關規定。

歐盟之所以采取公開個人信息與非公開個人信息一體保護的模式，是因為歐盟的個人信息保護法以防范“處理關系”中的個人信息風險為核心?！兑话銛祿Ｗo條例》明確指出，其適用范圍限于“自動化處理”“半自動化處理”，或者為了存檔系統（filing system）而進行的手動處理?！?0〕參見《一般數據保護條例》第2 條第1 款。更早之前的第95/46/EC 號《數據保護指令》及其“重述”（recital）也作出了類似規定?！?1〕參見《〈數據保護指令〉重述》第27 條。在歐盟法關注的“處理關系”中，個人信息的公開性并未消除其處理帶來的風險。

（二）美國對公開個人信息排除保護

與歐盟相反，美國主要地區的個人信息保護制度不保護公開個人信息。以加州為例，2023 年生效的《加利福尼亞州隱私權利法案》（California Privacy Rights Act，CPRA）規定，公開個人信息不屬于個人信息。公開個人信息指“消費者向其披露信息的人提供的、沒有將信息限制在特定受眾的信息”，這類信息除了包括“從聯邦、州或地方政府記錄中合法提供的信息”，還包括“企業有合理依據相信消費者、廣泛傳播的媒體或消費者合法向公眾提供的信息?！薄?2〕《加利福尼亞州民法典》1798.140.（O）（2）.美國其他州的立法，如《科羅拉多州隱私法》（Colorado Privacy Act，CPA）〔13〕《科羅拉多州隱私法》規定，公開信息是“從聯邦、州或地方政府記錄中合法提供的信息，以及控制者有合理依據相信消費者已合法向公眾提供的信息”，不在該法保護范圍內。See Colorado Privacy Act, 6-1-1303.17（b）.、《弗吉尼亞州消費者數據保護法》（Virginia Consumer Data Protection Act，VCDPA）〔14〕《弗吉尼亞州消費者數據保護法》規定：“通過聯邦、州或地方政府記錄合法提供的信息，或企業有合理依據相信通過廣泛傳播的媒體或消費者向其披露信息的人合法向公眾提供的信息”，不受該法保護。See Virginia Consumer Data Protection Act, 59.1-571.明確將公開個人信息排除在保護范圍之外。

在聯邦層面，美國的一些行業性立法也將公開個人信息排除在保護范圍之外。例如，金融領域的《格雷姆-里奇-比利雷法》（Gramm-Leach-Bliley Act，GLBA）將“個人可識別的金融信息”定義為“非公開的個人信息”。除了從政府記錄、媒體與合法公開信息中獲取的個人信息外，該法案還規定，如果“（i）信息屬于公眾可獲得的類型及（ii）如果個人可以指示不向公眾提供這些信息，但您的消費者沒有這樣做，則您有合理的依據相信信息是合法向公眾提供的”?！?5〕C.F.R.§ 313.3 （2018）.

美國將公開個人信息排除在保護范圍之外，與美國法的“大隱私”概念體系及公私二元劃分觀念密切相關?！?6〕See Donald R.C.Pongrace, Stereotypification of the Fourth Amendment’s Public/Private Distinction: An Opportunity for Clarity, 34 Am.U.L.Rev.1191, 1196 （1985）.與歐盟法嚴格區分隱私及個人信息保護不同，美國法雖然對二者進行保護手段上的區分，但在價值目標上將個人信息視為大隱私的一類，并常常冠以“信息隱私”或“數據隱私”的稱謂?！?7〕See Daniel J.Solove, Conceptualizing Privacy, 90 Calif.L.Rev.1087 （2002）.在美國法律體系中，一旦信息進入公共領域，即不受法律保護，公眾可以自由獲取。例如，在侵權隱私的語境中，美國法院的經典論述是：“已經公開的材料中不可能有隱私”；〔18〕Gill v.Hearst Publishing Co., 253 P.2d 441 （1953）.在憲法隱私的語境中，美國最高法院認定，對公共領域個人信息的監控不違反憲法第四修正案?！?9〕See Florida v.Jardines, 133 S.Ct.1409, 1414 （2013）.美國的信息隱私法將公開個人信息排除在外，可謂延續了美國法的一貫精神。

（三）中國對公開個人信息弱化保護

相比歐盟和美國，我國的公開個人信息保護制度具有獨特性。一方面，我國《個人信息保護法》與歐盟《一般數據保護條例》具有較高相似性，將公開個人信息視為個人信息的一部分，沒有像美國一樣將個人信息排除在保護范圍之外?！秱€人信息保護法》的起草者在釋義中指出：“處理公開個人信息，也有侵害個人信息權益的風險，應當對處理已公開的個人信息作出必要的規范”?！?0〕楊合慶主編：《中華人民共和國個人信息保護法導讀與釋義》，中國民主法制出版社2022 年版，第62 頁。另一方面，《個人信息保護法》第13 條和第27 條對公開個人信息進行了特殊規定。第13 條將“依照本法規定在合理的范圍內處理個人自行公開或者其他已經合法公開的個人信息”作為處理的合法性基礎；第27 條對此進行再次規定，“個人明確拒絕的除外。個人信息處理者處理已公開的個人信息，對個人權益有重大影響的，應當依照本法規定取得個人同意?！鄙鲜鲆幎ㄊ刮覈墓_個人信息保護制度區別于歐盟。如果將公開個人信息保護的強度視為一個光譜，我國的制度大概處于歐盟和美國之間?！?1〕參見劉曉春：《已公開個人信息保護和利用的規則建構》，載《環球法律評論》2022 年第2 期，第54-58 頁。

與此相應，我國的公開個人信息保護制度既可以從嚴解釋，也可以從寬解釋。一方面，從嚴解釋意味著我國《個人信息保護法》僅僅為收集公開個人信息提供了告知同意之外的合法性基礎，并未減少其他個人信息權利保護與信息處理者義務的適用。例如，當搜索引擎收集互聯網網頁上的個人信息后，個人依然可以對搜索引擎提起刪除權、更正權等權利主張；搜索引擎仍然需要對其履行安全保障等義務。另一方面，我國的公開個人信息保護制度可以進行從寬解釋，將其理解為對個人信息處理的整體性豁免。除了在“合理的范圍”之外，“個人明確拒絕”“重大影響”等少數情形外，《個人信息保護法》中的個人信息權利與信息處理者義務的相關規定將不再適用。

三、從嚴解釋與從寬解釋的困境及其原因

我國的公開個人信息保護制度應更類似歐盟進行從嚴解釋，還是更類似美國進行從寬解釋？對其進行分析，可以發現兩種解釋都存在困境，其根源在于，個人信息保護法本身就是一種治理型的法，〔22〕See Margot E.Kaminski, Binary Governance: Lessons from the GDPR’s Approach to Algorithmic Accountability, 92 S.Cal.L.Rev.1529 （2019）.這種治理型的法疊加“公開”這一因素，使公開個人信息保護更面臨不確定性。

（一）從嚴解釋的困境

如果對“公開個人信息”從嚴解釋，將其理解為仍然需要遵守一般的個人信息權利與信息處理者義務，那么會發現這種進路的若干困境。

首先，個人行使信息權利的渠道更難保證。當信息處理者從公開渠道收集信息時，信息處理者與個體間一般沒有直接的交互界面或溝通渠道。這與很多非公開個人信息的處理有較大差別。在常見的非公開個人信息處理過程中，信息處理者和個體往往形成一種持續性的交互關系，例如，商家與消費者、互聯網企業與用戶、用人單位與勞動者往往具有彼此互惠信任的長期關系?！?3〕從關系的類型來看，這種關系接近于關系型契約（relational contract）。在關系型契約中，雙方的關系主要基于長期信任關系維系，而非基于一次性、對抗性的利益關系維系。See Ian R.Macneil, Relational Contract Theory: Challenges and Queries, 94 Nw.U.L.Rev.877 （2000）.一旦此類信息處理者侵害個人信息，消費者、用戶或勞動者就可以針對相關信息處理者進行投訴或主張權利，相關信息處理者也可能進行回應，以避免用戶流失或個體投訴?！?4〕See Kenneth A.Bamberger & Deirdre K.Mulligan, Privacy on the Books and on the Ground, 63 Stan.L.Rev.247 （2010）.但在公開個人信息處理過程中，由于缺乏交互界面或溝通渠道，個體往往難以有渠道進行此類主張，信息處理者更可能對個體主張置之不理。如此一來，個人信息保護制度中的相關信息權利就可能形同虛設，形成普遍違法的困境。

其次，一些個人信息權利的行使將更不合理。以個人信息更正權為例，當信息處理者從官方公開信息或從個人的社交網站上搜集信息時，一般都以原始信息為準，很難滿足個人提起的更正權主張。即使是非公開個人信息，信息處理者也很難有能力對某一個人信息進行驗證與更正；就公開個人信息而言，這種驗證與更正的難度更大。對于官方公開的個人信息，信息處理者往往更愿意相信其權威性；對于網絡等其他渠道公開的個人信息，信息處理者會傾向于認定這類信息得到了公眾的認可。在公開個人信息的例子中，要求信息處理者保障個人信息更正權并不合理。

最后，個人信息的保密性、非公開性等信息處理者義務難以適用于公開個人信息?！秱€人信息保護法》第9 條規定：“個人信息處理者應當對其個人信息處理活動負責，并采取必要措施保障所處理的個人信息的安全”；第10 條規定，信息處理者“不得非法買賣、提供或者公開他人個人信息”。但就公開個人信息而言，信息處理者常常需要公開或半公開此類信息。例如，搜索引擎會公開展示其他網站上的個人信息，拓展公眾搜索個人信息的渠道，〔25〕See Gumzej Nina, “The Right to Be Forgotten”and the Sui Generis Controller in the Context of CJEU Jurisprudence and the GDPR, 17 Croatian Y.B.Eur.L.& Pol’y 127 （2021）.一些數據庫也會搜索網絡公開信息，并對用戶或會員開放。如果將此類義務都適用于公開個人信息處理，那么將導致大量常見的商業模式違法。

（二）從寬解釋的困境

如果對公開個人信息從寬解釋，將其理解為豁免告知同意之外的個人信息權利與信息處理者義務，那么也會存在若干困境。

首先，從寬解釋與我國《個人信息保護法》采取的立法模式及其原理不符。在立法模式上，我國整體與歐盟相似，不僅在保護手段上區分了隱私權與個人信息保護，而且在價值目標上對二者進行了區分，以實現對個人信息的有效治理?！?6〕參見丁曉東：《隱私權保護與個人信息保護關系的法理——兼論〈民法典〉與〈個人信息保護法〉的適用》，載《法商研究》2023 年第6 期，第68-69 頁。公開個人信息雖然具有特殊性，但對其進行大規模的商業化或專業化處理仍然會給個人和社會帶來風險。例如，對個人自行公開的個人信息而言，如果此類信息被大規模收集、分析和制作為數據庫，并被轉賣給黑灰產業甚至是詐騙分子，那么此類大規模處理將系統地增加原本具有零散性的個人信息風險。官方公共機構公開的個人信息亦是如此，當個體或公眾對官方記錄進行訪問時，帶來的風險也是零散性的，公眾知情權的收益要大于此類風險。如果信息處理者利用技術手段對官方記錄進行訪問與處理，那么此類風險就可能匯聚與倍增?！?7〕See Daniel J.Solove, Access and Aggregation: Public Records, Privacy and the Constitution, 86 Minn.L.Rev.1137, 1138 （2002）.即使在強調信息公開與信息自由的美國，法院也認同這一點。在有關案例中，美國最高法院指出，在“詳細搜索全國各地的法院檔案、縣檔案和地方警察局后可能發現的公共記錄”與“搜索某一信息交換所的計算機化摘要之間”，二者“存在巨大差異”?！?8〕U.S.DOJ v.Reporters Committee for Freedom of the Press, 489 U.S.749 （1989）.

其次，針對公開個人信息，某些個人信息權利可以作為有效的制度工具，對信息處理關系進行合理規制。以針對搜索引擎的刪除權與被遺忘權為例，搜索引擎雖然爬取的是互聯網上的公開信息，但對這種信息處理造成了個人信息的更廣泛傳播?！?9〕See Schauer, supra note 4, 558.特別是當搜索引擎將一些過時、私人或非必要（outdated，private，or unnecessary）的信息永久性地留存于搜索記錄時，個體針對搜索引擎行使刪除權與被遺忘權，并對其進行場景化界定，將可以有效平衡搜索引擎的信息傳播功能、公眾知情權與個體權益?！?0〕See Robert C.Post, Data Privacy and Dignitary Privacy: Google Spain, The Right To be Forgotten, and the Construction of the Public Sphere, 67 Duke L.J.981, 1057-1060 （2018）.

最后，針對公開個人信息，很多信息處理者義務或責任也有適用的必要。就安全保障而言，內部管理制度和操作規程、分類管理、后臺的加密、去標識化措施、操作權限設置、實施個人信息安全事件應急預案能夠降低個人信息被用于非法途徑的風險，強化對個人信息的保護。就個人信息專員而言，這一義務可以強化信息處理者對個人信息的保護，為個人與執法機構提供便利的溝通渠道。就合規審計與個人信息影響評估而言，這兩項義務可以有效降低個人信息處理帶來的社會風險?！?1〕See Reuben Binns, Data Protection Impact Assessments: A Meta-regulatory Approach, 7 Int’l Data Priv.L.22 （2017）.此外，公開個人信息雖然能夠為一般公眾訪問，但其后臺仍然存在泄露、篡改、丟失等風險。

（三）從嚴解釋與從寬解釋困境的原因

對公開個人信息保護的從嚴解釋和從寬解釋面臨的困境具有若干原因。

第一，就普通個人信息而言，其法律適用存在諸多不確定性。個人信息保護法的本質是規范個人信息處理關系，〔32〕參見高富平：《個人信息處理：我國個人信息保護法的規范對象》，載《法商研究》2021 年第2 期，第76-77 頁。通過個體賦權與信息處理者責任實現有效治理?！?3〕參見王錫鋅：《國家保護視野中的個人信息權利束》，載《中國社會科學》2021 年第11 期，第115 頁。在目標方面，這一法律制度的目標既包括保護個人隱私、人格尊嚴等權益，又包括保證信息完整、信息質量、個人便利、人身財產安全等權益。在現實場景方面，個人信息保護法早期主要針對公權力機關對于少量檔案類信息的處理，現今演變為企業對海量行為類信息的高頻處理。在信息技術高速發展與多元復雜的背景下，個人信息保護中的很多制度面臨規制過寬或規制過嚴的悖論?！?4〕See Fred H.Cate & Viktor Mayer-Schonberger, Notice and Consent in a World of Big Data, 3 Int’l Data Priv.L.67 （2013）.

第二，公開個人信息的非私密性降低了其保護的必要性，但并未完全消除。一方面，公開個人信息降低了其保護需求。就個人自行公開的個人信息而言，個體對于此類信息的法律保護期待相對較低，無論其中的隱私性權益，還是個人信息的準確真實性，個人在自行公開之初都有合理預期，社會對此類信息也有合理獲取與傳播的預期?！?5〕隱私合理預期的理念首先在憲法隱私領域被確立，其后在數據隱私等領域也產生了影響。See Katz v.United States, 389 U.S.347, 351 （1967）; Brian J.Serr, Great Expectations of Privacy: A New Model for Fourth Amendment Protection, 73 Minn.L.Rev.583,597-98 （1988-1989）.在國外有關案例中，有法官將個人在社交網絡上發布的信息類比為“在窗口向外尖叫，個人對隱私沒有合理期待”，“這與私人電子郵件、私人直接消息、私人聊天或任何其他現成的通過互聯網進行私人對話的方式都不一樣”?！?6〕People v.Harris, 949 N.Y.S.2d 590, 595 （Crim.Ct.2012）.就通過公共檔案或其他合法途徑公開的個人信息而言，在公開之初就已經對個體權益與公共利益進行過衡量，〔37〕參見張新寶、魏艷偉：《司法信息公開的隱私權和個人信息保護研究》，載《比較法研究》2022 年第2 期，第104 頁。如果此類檔案中的個人信息未進行匿名化，那么說明公共機構認為公眾的知情權具有優先性。如果此類檔案中的個人信息存在錯誤，那么個體應該先向公共機構申請更正。另一方面，公開個人信息保護的需求仍然存在，當公開個人信息被大規模收集與利用時，公開個人信息處理就可能成為侵害各類權益的風險“放大器”?！?8〕See Helen Nissenbaum, Toward an Approach to Privacy in Public: Challenges of Information Technology, 7 Ethics & Behav.207, 208 （1997）.例如，當網絡公開個人信息被系統性收集和利用，轉賣給第三方時，這類信息一旦落入犯罪分子手中，就會成為電信詐騙等各類犯罪活動的幫手。個人信息保護制度的一大特征是防止“大規模微型侵權”，〔39〕參見王利明、丁曉東：《論〈個人信息保護法〉的特色、亮點與適用》，載《法學家》2021 年第6 期，第12-13 頁。公開個人信息雖然有特殊性，但對其進行大規模處理仍然具有這一特征。

第三，在公開個人信息的收集與利用中，信息處理者與個人往往缺乏聯系與紐帶，這增強了公開個人信息保護的必要性。在一般情況下，信息處理關系常常是消費者關系、勞動關系、網絡用戶服務關系、公共服務關系的一部分。只有依附一定的關系，信息處理者才具有獲得個人信息的渠道，而此類渠道或關系也為個人信息保護提供了內生動力。就個體而言，個人信息被收集利用常常是服務所需，或者是在服務過程中產生的需求，個體對信息處理者往往有一定的信任和期待，對于產生的侵權行為，個體也有較為直接的溝通投訴渠道；就信息處理者而言，信息處理者為了贏得用戶信任和避免被投訴，往往有動力保護個人信息，維持雙方共贏。

在很多公開個人信息處理的場景中，信息處理者與個人不存在服務或持續性的交互關系，雙方往往缺乏信任。就個體而言，個體常常難以找到溝通渠道，提起信息權利主張或進行投訴；就信息處理者而言，信息處理者往往不太在意被收集對象的權益。例如，在征信等場景中，征信企業從公共空間或第三方收集個人信息，但其服務對象是銀行等機構，因此征信機構并不熱心回應個人投訴與舉報。只要此類投訴與舉報不影響其業務，征信機構就選擇無視個人的權利主張。

四、特殊性規定的合理界定

針對個人信息保護的特點與公開個人信息的特殊性，可以對公開個人信息保護制度進行合理界定。應將公開個人信息視為特殊類型進行保護，而非對其進行一般性豁免。不過，鑒于公開個人信息的非私密性與非交互性特征，應當結合個人信息保護制度的基本原理進行分析。本部分分析我國《個人信息保護法》對公開個人信息的特殊性規定，下一部分將分析《個人信息保護法》中其他制度的適用。

（一）對“公開個人信息”的界定

《個人信息保護法》并未對“公開個人信息”進行明確界定，僅規定了自行公開與合法公開兩類公開個人信息。對公開個人信息的范圍進行界定，需要認識到個人信息的公開與非公開不是非此即彼，〔40〕所有公開個人信息都是相對的。See Helen Nissenbaum, Privacy as Contextual Integrity, 79 Wash.L.Rev.119, 120-21 （2004）.而是“多維的、連續的和相對的、流動的和情境的或上下文的，其含義在于如何解釋和界定?！薄?1〕Gary T.Marx, Murky Conceptual Waters: The Public and the Private, 3 Ethics & Info.Tech.157, 157 （2001）.例如，新聞媒體報道的個人信息往往公開性非常強，互聯網上的微博、X（Twitter）等具有一定公共性的社交網絡中的個人信息公開性也相對較強。相對而言，微信朋友圈、小范圍的微信群的公開性相對較弱。線下的情形也是如此，大型廣場、商業街、商場的公開性相對較強，咖啡館、教室、酒吧的公開性相對較弱。同時，位置與場所也并不完全決定個人信息的公開性與非公開性。例如，一條普通的商業街與北京三里屯、成都太古里這類經常被街拍的商業街相比，公開性可能也不相同?！?2〕對于僅憑位置/場所界定公開與否的批判。See Diane L.Zimmerman, Requiem for a Heavyweight: A Farewell to Warren and Brandeis’s Privacy Tort, 68 Cornell L.Rev.291, 347 （1983）.此外，還需要認識到，即使是公開個人信息，個人也可能對于其保護具有期待。例如，個人的人臉信息、步行姿態等信息可能都會暴露在公開場所，信息處理者可以進行合法街拍、航拍和公共視頻監控，如果在未經個人同意的情形下利用技術進行人臉識別與步態識別，那么就可能對個人權益造成侵害?！?3〕美國數據隱私法雖然將公開個人信息排除在個人信息保護范圍之外，但有的州仍將可公開獲得的生物類信息視為個人信息，例如，CPRA 規定：“‘公開可用’并不意味著企業有權在消費者不知情的情況下收集有關消費者的生物特征信息”。參見《加利福尼亞州民法典》1798.140.V（1）（L）.

在隱私權法的框架內，公開個人信息的保護面臨爭議。沃倫（Samuel Warren）與布蘭代斯（Louis Brandeis）將隱私侵權界定為“個人獨處的權利”?！?4〕See Samuel D.Warren & Louis D.Brandeis, The Right to Privacy, 4 Harv.L.Rev.193 （1890）.但公開與非公開的界限常常難以界定。例如，有的個人信息僅在朋友間或小范圍內公開，有的信息雖然已經在小社區公開，但被新聞媒體報道后，仍然對個人隱私產生了較大沖擊?！?5〕此類情形往往涉及個人權益與公共知情權或言論自由的平衡。See Neil Richard, Reconciling Data Privacy and the First Amendment, 52 UCLA L.Rev.1145 （2005）.隨著法律實踐的發展與學術研究的深化，隱私法研究的專家逐漸認識到，應當放棄對公開性的物理性與單一性界定，轉而以理性個體或社會的合理預期來判斷個人信息的私密性與公開性。例如，羅伯特·波斯特指出，對于隱私的邊界應以社會的合理預期、結合“社會規范”（social norms）進行理解，避免將其理解為某種獨立的無力空間?！?6〕See Robert C.Post, The Social Foundations of Privacy: Community and the Self in the Common Law Tort, 77 Calif.L.Rev.957（1989）.

在個人信息保護制度的框架中，個人信息的公開性也可以通過理性個體或社會合理預期進行理解。如果理性個體對某一個人信息不具有合理的保護期待，那么該信息可以被視為公開個人信息，適用相關特殊制度；相反，該信息應當被視為非公開個人信息，適用個人信息保護的一般制度。不過需要強調的是，理性個體的合理預期應當以社會客觀性的標準來看待。例如，個人在微博上公開發布自己的信息，就不能預期該信息不被陌生人搜索到。在域外的案件中，有人在自己的博客空間發表日記，誤認為博客空間只為自己所見，還有人創建了地址極為復雜的個人網頁，誤認為這一網址不能被任何人知曉，但其網站信息都可被搜索引擎搜到。在此類情形下，法院無一例外地認定，合理預期應當以理性人或社會的客觀標準進行判斷，而不能以個人的主觀標準進行判斷?！?7〕在美國的公開個人信息界定中，很多州的立法都以信息處理者的合理預期，而非個體的合理預期為判斷標準。例如，《康涅狄格州數據隱私法》規定，公開個人信息是指“控制人有合理的依據相信消費者已合法向公眾提供的信息”。See Connecticut Data Privacy Act, Section 1.（25）.一旦博客或個人網站接入互聯網，這類網站信息就應當被社會認定為可以合法訪問的空間?！?8〕See Moreno v.Hanford Sentinel Inc., 91 Cal.Rptr.3d 858, 862-63 （Ct.App.2009）

（二）對“合理的范圍內”的界定

《個人信息保護法》第13 條與第27 條規定的“合理的范圍內”與個人信息處理原則特別是必要性原則密切相關?！?9〕參見王海洋、郭春鎮：《公開的個人信息的認定與處理規則》，載《蘇州大學學報（法學版）》2021 年第4 期，第65-66 頁；王冉冉：《已公開的個人信息的合理使用及其縮限》，載《現代法學》2023 年第4 期，第49-53 頁。必要性原則指對個人信息的處理以必要為限，不得超過合理的限度。必要性原則又包括“目的明確”與“最小化處理”原則，前者指個人信息的處理應當有明確或特定目的，對個人信息的處理不能夠違反該初始目的，后者指對個人信息的處理應當為了實現數據處理目的必要的、應當采取對個人權益影響最小的方式。我國《個人信息保護法》雖然允許處理公開個人信息，但顯然希望這種處理仍然遵守一定的個人信息處理原則，特別是不能超出必要性原則。

個人信息處理的必要性原則本身就具有較大彈性。如果按最嚴格理解，那么個人信息的處理目的必須非常特定具體，個人信息處理必須和這一目的嚴格一致。但這種理解也被認為與現代個人信息處理的特點不一致?！?0〕See Tal Z.Zarsky, Incompatible: The GDPR in the Age of Gig Data, 47 Seton Hall L.Rev.995 （2016）.現代數字經濟常常需要對個人信息進行融合與二次分析，為用戶提供更好的服務，發揮大數據的效用。因此，不少國家和地區都對必要性原則進行了與時俱進的解釋。例如，英國信息委員會辦公室（ICO）將“必要性”界定為根據“公平性”原則來解釋目的限定與數據最小化原則?！?1〕See UK Information Commissioner’s Oきce, Big data, Artificial Intelligence, Machine Learning and Data Protection, 37-39（2017）, available at: https://ico.org.uk/media/for-organisations/documents/2013559/big-data-ai-ml-and-data-protection.pdf.

公開個人信息處理的必要性原則更應進一步限定。應當從社會風險預防的角度對“合理的范圍內”進行理解，將其解釋為在此范圍內的處理不會帶來不成比例和難以預期的社會風險。公開個人信息之所以被個人信息保護制度納入保護范圍，而非像侵權隱私不受保護，是因為個人信息保護制度關注大規模個人信息處理的社會風險?！?2〕參見梅夏英：《社會風險控制抑或個人權益保護——理解個人信息保護法的兩個維度》，載《環球法律評論》2022 年第1 期，第5-6 頁。對于不會顯著增加社會風險的個人信息處理，信息處理者可以對其進行二次利用。例如，利用公開個人信息進行人工智能訓練，此類處理能夠促進人工智能的發展，減少人工智能中的偏見與歧視，應當將其視為在合理范圍內的處理?！?3〕See Mark A.Lemley & Bryan Casey, Fair Learning, 4 Tex.L.Rev.99 （2023）；丁曉東：《論人工智能促進型的數據制度》，載《中國法律評論》2023 年第6 期，第175 頁。搜索引擎對公開個人信息的利用與傳播，屬于社會與行業普遍接受的商業模式，也應視為合理范圍內的處理。但如果信息處理者在收集公開個人信息后，將公開個人信息制作成檔案類數據庫并轉售給沒有具體業務、沒有信息去標識化機制的第三方，那么此類信息處理應被視為超出了“合理的范圍內”的規定?！?4〕在刑法上，侵犯個人信息罪也應從社會風險預防的角度進行分析，而非從個人信息的數量上進行考慮。參見周光權：《侵犯公民個人信息罪的行為對象》，載《清華法學》2021 年第3 期，第25-40 頁；王華偉：《已公開個人信息的刑法保護》，載《法學研究》2022 年第2 期，第191-208 頁；劉憲權：《擅自處理公開的個人信息行為的刑法認定》，載《中國應用法學》2022 年第5 期，第20-33 頁；江海洋：《論數字時代個人信息的刑法保護路徑選擇》，載《當代法學》2023 年第5 期，第88-99 頁。此類情形沒有利用公開個人信息處理帶來額外的社會福利，反而大幅增加了個人信息被用于非法活動的風險。

（三）對“對個人權益有重大影響”的界定

就“對個人權益有重大影響”而言，應以理性人或社會的合理預期作為判斷標準對其進行理解，將其解釋為專業和理性個體或社會預期可能產生的影響。

第一，對重大影響的判斷應當是專業和理性個體或社會的客觀性判斷，不是非專業個體的主觀性判斷。對于個人信息可能帶來的風險或影響，個人的主觀判斷可能相差甚遠。對風險厭惡（risk-averse）和較為敏感的個體而言，他們會將很多個人信息處理視為對個人權益有重大影響；相反，對愛好冒險（risk-seeking）的個體而言，他們會對個人信息處理持開放態度，甚至可能樂見自己的個人信息被處理和廣泛傳播?！?5〕See Sarah Spiekermann et al., Online Social Networks: Why We Disclose, 25 J.Info.Tech.109.如果僅從個體主觀意愿出發，那么信息處理者仍然需要獲取所有公開個人信息主體的同意，這將導致公開個人信息的特殊規定形同虛設。

第二，對重大影響的判斷應當基于產生重大影響的社會預期和概率，而非對個體產生的已有影響。從社會預期和概率角度進行判斷，可以為重大影響的判斷提供較為客觀的判斷標準。反之，如果從已經發生的個體影響結果倒推重大影響，那么任何個人信息處理都可能對個人權益產生重大影響，這將造成公開個人信息處理的普遍違規。以搜索引擎為例，搜索引擎處理公開個人信息帶來的預期性社會風險與概率屬于可接受范圍。如果從個體已經發生的結果來看，那么很多侵權甚至犯罪行為可能都使用過搜索引擎，但并不能因此認定搜索引擎的公開個人信息處理也需要獲得個人同意。

（四）對“個人明確拒絕”的界定

“個人明確拒絕”應充分考慮信息處理者對其進行識別的可能性與成本，不能僅憑個體意愿進行判斷。如上文所述，公開個人信息處理的一個重要特征是，信息處理者很多時候從公共場所獲取個人信息，與個人往往缺乏交互場景。因此，信息處理者往往難以像網站、App、科技產品那樣，可以提供用戶同意或拒絕的個性化界面。當缺乏交互場景與界面時，信息處理者對個人意愿進行辨認的難度和成本就會非常高。例如，當個體在公共場所穿上“拒絕視頻監控”的衣服時，雖然清晰地表達了個人明確拒絕信息處理的意愿，但并不能認定此時的公共監控違法。同樣，當個人在微博或網絡空間公開個人信息時，在文字中標明此類信息不能被搜索引擎處理，此時個體的意愿也不能阻止搜索引擎的處理。無論是公共視頻監控還是搜索引擎，都很難針對個體的意愿進行辨識。

當信息處理者可以利用技術較為容易地識別特定個體的聲明或意愿時，應尊重個體意愿。例如，當信息處理者獲取的公開個人信息是類似數據庫的結構化數據時，〔56〕結構化數據是高度組織化的，容易被機器學習算法閱讀的數據，常常以數據庫的方式存在。用戶可以快速輸入、搜索和操作結構化數據。非結構化數據則相反，無法通過傳統的數據工具和方法進行處理和分析。其類型常常包括各類辦公文檔、XML、HTML、圖片和音頻、視頻信息等。如果其中包含了個體拒絕處理的標簽，那么應當禁止信息處理者對其進行處理。因為對于此類數據處理，信息處理者可以利用自動化技術措施進行篩選和判斷。又如，當個人自建網站并在其網站機器人（robot）協議中明確拒絕對其網站信息進行處理時，信息處理者也應將此類機器人協議視為個人明確拒絕的聲明，尊重個體意愿。

此外，信息處理者針對公開個人信息收集的告知義務不能一概免除?！?7〕參見程嘯：《論公開的個人信息處理的法律規制》，載《中國法學》2022 年第3 期，第93 頁。當此類收集違反理性個體或社會的一般合理預期時，信息處理者應當進行告知。例如，當商家或物業在某些地段安裝攝像頭時，應當在適當地點張貼告示，減少此類視頻監控對個人信息的侵犯。不過，此類告知義務應當是一種合理提示義務，而非確保每個個體充分知情，因為要求信息處理者對每個個體都進行充分告知，既不現實也不合理。信息處理者不僅不可能觸達每個個體，而且當信息處理者試圖觸達個體時，就需要去聯系與識別個人，這種努力只會導致信息處理者進一步侵犯個人隱私與生活安寧。

五、個人信息權利與處理者義務的合理界定

個人信息權利與處理者義務是個人信息保護制度的兩大核心。對于公開個人信息，信息處理者在遵循上一部分提到的特殊性規定合法收集后，需要分析如何適用這兩大核心制度。

（一）“個人信息權利”的限縮性解釋

就個人信息權利而言，在公開個人信息的背景下對其進行解釋應當避免絕對化，并在整體上進行限縮性解釋。

第一，個人信息權利本身就具有程序性或請求權的性質，〔58〕See Meg Leta Jones & Margot E.Kaminski, An American’s Guide to the GDPR, 98 Den.L.Rev.93 （2021）.即使對于非公開個人信息，個人信息權利也并非絕對。個人信息權利的行使不僅常常面臨一定的難度和成本，而且可能對相關主體的權益造成威脅?！?9〕See Daniel J.Solove, The Limitations of Privacy Rights, 98 Notre Dame L.Rev.975 （2023）.以個人信息查閱復制權、更正補充權、刪除權為例，這些權利對于非結構化的圖片和音頻、視頻信息類數據，常常很難實現。圖片和音頻、視頻信息常常包含他人信息，很難單獨提取個人信息，更難對其更正補充和刪除。因此，即使是非公開個人信息，也應當將個人信息權利視為一種“溝通治理型”權利，在具體場景中界定其邊界。所謂“溝通治理型”權利，即個人信息權利是一種工具性、程序性、治理性權利，而不是絕對性、實體性權利。這種權利的特點在于監督與激勵信息處理者落實合規政策，促進信息處理者更好地保護個人權益?！?0〕參見丁曉東：《個人信息權利的反思與重塑：論個人信息保護的適用前提與法益基礎》，載《中外法學》2020 年第2 期，第341-348 頁。

第二，公開個人信息整體弱化了個人信息權利的可行性。信息處理者往往通過公共領域或第三方收集公開個人信息，這造成了個體行使權利的困難。個人不但缺乏提起權利主張的交互界面，而且很可能在提起權利主張后沒有回音。例如，在美國征信機構對公開個人信息收集的背景下，雖然美國立法規定了個體的更正權等法定權利，但當個體發現征信機構收集的其公開個人信息存在錯誤并提起更正權請求時，征信機構往往置之不理?！?1〕參見丁曉東：《從個體救濟到公共治理：論侵害個人信息的司法應對》，載《國家檢察官學院學報》2022 年第5 期，第107 頁。征信機構之所以如此行事，是因為其交易對象是銀行等第三方機構，征信機構和被收集對象并沒有直接交互關系。這與非公開個人信息常常涉及的消費者、勞動者或互聯網場景下的關系具有顯著差異?！?2〕參見武騰：《個人信息積極利用的類型區分與合同構造》，載《法學》2023 年第6 期，第75-76 頁。當個人的電商交易信息被互聯網企業收集時，電商企業常常提供個人交易記錄、支付記錄的查詢、刪除選項。此類信息處理關系不僅具有較為便利的交互界面，而且信息處理者更在意用戶的體驗。

第三，公開個人信息弱化了個人信息權利的必要性。個人信息一經公開，就可能被不特定的主體收集和傳播，因此個人在自行公開或公共機構合法公開個人信息前，就已經對相關風險進行過衡量，且能預計到其信息被不特定的主體進行處理。在個人已經有較強預期的前提下，應當整體上對公開信息處理的風險自負其責。更何況，大量對個人信息進行收集、利用和傳播的主體是普通自然人，這類主體不具有自動化、非自動化或結構性處理個人信息的能力，本來就不適用個人信息保護法?！?3〕參見彭誠信：《論個人信息權與傳統人格權的實質性區分》，載《法學家》2023 年第4 期，第150-151 頁。即使個人針對信息處理者行使相關權利，也無法禁止非信息處理主體對公開個人信息進行收集、利用和傳播。整體而言，利用個人信息權利保障公開個人信息，其必要性將大大降低。

當然，在少數情形下，針對公開個人信息的信息權利應當強化。上文已經提到，如果個人信息位于互聯網平臺的公共空間，而且被收集與利用后仍然位于平臺，那么個人針對此類信息的轉移權或攜帶權應當強化。個人訪問其位于公開網絡平臺上的數據，不會給平臺帶來額外負擔。保障此類場景中的個人信息攜帶權還能在一定程度上矯正個人與平臺在信息利用能力上的不平等，促進數據公平利用?！?4〕如果考慮到用戶的數據公平訪問利用權，則更應當保證這一權利的實現。參見丁曉東：《數據公平利用的法理反思與制度重構》，載《法學研究》2023 年第2 期，第21 頁。在技術可行與生態兼容的情形下，個人應當可以訪問與利用其個人信息，并要求第三方平臺接收其信息。平臺也無權通過用戶協議排除此種權利，即使個人違反用戶協議，平臺也無權向個體追究違約責任?！?5〕平臺公開個人信息的轉移，還可能涉及競爭秩序與侵權問題。參見楊芳：《個人公開信息爬取中侵權法與競爭法的互動》，載《中國法律評論》2022 年第6 期，第143 頁。

（二）信息處理者義務的整體維持

信息處理者對公開個人信息處理的義務應當維持不變。例如，就《個人信息保護法》第51 條規定的義務而言，信息處理者制定內部管理制度和操作規程、對個人信息實行分類管理、采取相應的加密、去標識化等安全技術措施；合理確定個人信息處理的操作權限，定期對從業人員進行安全教育和培訓；制定并組織實施個人信息安全事件應急預案，有利于保障公開個人信息的安全、預防相關風險。同樣，對第52 條確立的個人信息專人保護制度、第53 條規定的境外個人信息處理者設立專門機構或者指定代表、第54 條規定的合規審計、第55 條規定的個人信息保護影響評估，也應要求信息處理者履行此類義務。

信息處理者義務維持不變，其原理在于個人信息保護制度對微型風險大規模積聚的防范。個人信息保護制度之所以設置信息處理者義務，而非僅僅依賴于個人同意與相關個人信息權利，是因為個人信息保護需要防范信息處理的群體風險或社會風險。即使個體愿意自負風險，信息處理者仍然需要采取措施積極預防與消除此類風險，況且面對現代科技的發展，以個體信息自決為基礎面臨越來越多的挑戰，〔66〕See Neil Richards & Woodrow Hartzog, The Pathologies of Digital Consent, 96 Wash.U.L.Rev.1461（2019）.信息處理者的義務與責任變得愈加重要。公開個人信息雖然有其特殊性，例如，其私密性顯著降低，個人對于公開個人信息更具有自主風險防范意識，但這些特征沒有改變信息處理者進行大規模處理帶來的風險匯聚問題?！?7〕See Solove, supra note 27, Access and Aggregation, at 1138.如果將個人信息處理類比為水庫中的水滴匯聚，將單條個人信息類比為經過凈化的水滴，那么對于清潔水滴在水庫匯聚后，仍然可能產生各類環境與生態反應，水庫仍然需要承擔相關環境保護與風險預防責任?！?8〕See Omri Ben-Shahar, Data Pollution, 11 J.Legal Analysis 104 （2019）.

有的信息處理者義務應該弱化，甚至豁免。例如，對于個人信息出境的相關規定，互聯網公開個人信息的出境應當豁免相關義務。信息處理者應不需要履行《個人信息保護法》第38 條規定的“國家網信部門組織的安全評估”“個人信息保護認證”或按“標準合同與境外接收方訂立合同”義務，第39 條規定的獲得“個人的單獨同意”義務，以及第55 條規定的個人信息保護影響評估義務。因為對互聯網上的公開個人信息而言，境外信息處理者可以自由無障礙地獲取，設立此類義務既不現實，也無必要。此外，當相關個人信息處理具有“正當利益”，〔69〕在我國制定《個人信息保護法》時，正值我國個人信息亟待規范之際，因此我國立法者并未像歐盟立法者一樣，將信息處理者的“正當利益”列為處理個人信息的合法性基礎。但從個人信息保護法的基本原理來看，信息處理者的正當利益應當被視為個人信息處理的合法性基礎。關于作為合法性基礎的“正當利益”條款的分析，參見易磊：《歐盟法中個人數據保護與商業利用的平衡模式研究》，載《德國研究》2022 年第5 期，第87-88 頁。屬于公共利益或企業發展所必需時，如果相關信息處理方式沒有不成比例地增加有關風險，那么相關處理都應被視為合法。例如，對于互聯網的公開個人信息，搜索引擎對其進行搜索、儲存和公開，不應將其視為泄露個人信息。

六、結語

就公開個人信息保護制度而言，形成了以美國為代表的公開個人信息一般豁免、以歐盟為代表的公開個人信息同等保護，以及以我國為代表的公開個人信息特殊保護制度。各個國家和地區的法律制度之所以不同，是因為其法律框架與基礎理論不同。美國采取“大隱私”的框架，更多支持個人的自負其責與信息的共享流通，歐盟針對自動化、半自動化或結構化處理個人信息制定個人信息保護制度，因此整體并不區分公開個人信息與非公開個人信息。我國采取了美國與歐盟的中間道路，在允許公開個人信息自由處理的同時，通過相關規定對自由處理進行了限定。筆者認為，我國的公開個人信息保護制度在整體具有更高合理性的同時，需要對相關原理進行進一步闡述，對相關制度進行進一步界定。

具體而言，在原理層面公開個人信息具有若干特點。其一，公開個人信息為個人自行公開或通過公共機構合法公開，因此在公開環節，個人或公共機構就已經對相關風險進行了權衡，這為公開個人信息的處理提供了更強的合理性，也進一步削弱了本來就存在困境的個人信息個體控制論?！?0〕個人自行公開與通過公共機構合法公開仍然存在一定差別，本文認為，法律對于后者的保護應當比前者更嚴格，因為個人自行公開時，個人的權衡應當包括個人信息的被應用于不特定用途，而后者則是基于特定目的的公開，個人信息公開的目的與其未來被處理的場景可能存在較大區別。參見齊英程：《已公開個人信息處理規則的類型化闡釋》，載《法制與社會發展》2022 年第5 期，第216-219 頁。其二，個人信息保護制度主要針對個人信息的匯聚性風險，個人信息雖然自行公開或合法公開，但并未完全消除對其保護的必要性。就此而言，個人信息保護制度尤其是其中的信息處理者義務仍然具有重要意義。其三，信息處理者對公開個人信息的收集利用往往從公共領域或第三方獲取，信息處理者與個體往往缺乏溝通界面與信任互惠關系。就此而言，法律針對公開個人信息保護的必要性反而有所增強。

在制度層面，我國的公開個人信息豁免制度應當主要限定在個人信息收集環節。在信息收集環節，應當允許信息處理者不必經過告知同意?！?1〕參見張薇薇：《公開個人信息處理的默認規則——基于〈個人信息保護法〉第27 條第1 分句》，載《法律科學》2023 年第3 期，第73-75 頁；寧園：《“個人信息已公開”作為合法處理事由的法理基礎和規則適用》，載《環球法律評論》2022 年第2 期，第81-84 頁。對于何謂公開個人信息，以及何謂《個人信息保護法》規定的“在合理的范圍內”“個人明確拒絕的除外”“對個人權益有重大影響”，應當以理性個體或社會的合理預期、結合信息處理的技術可行性與社會風險進行界定，避免以個體主觀感受為判斷標準。在個人信息收集之后，針對公開個人信息的個人信息權利與信息處理者義務仍然適用。不過個人信息權利應當整體弱化，只有極少數情形才應強化某些信息權利，例如，針對互聯網公開個人信息的攜帶權。信息處理者義務應當整體維持不變，但也應當弱化或豁免個人信息出境、個人信息公開等義務。