自媒體處理個人信息行為的法律規(guī)制

鄭 曦，姜 磊，2

（1.北京外國語大學(xué)法學(xué)院，北京100089；2.呼和浩特民族學(xué)院法學(xué)院，內(nèi)蒙古呼和浩特 010000）

網(wǎng)絡(luò)時代，各種各樣的自媒體平臺不斷涌現(xiàn)，其中最為人們熟知的有Facebook、Twitter、Instagram、新浪微博、騰訊微信等社交軟件和網(wǎng)站，以及YouTube、抖音及Tiktok、快手等視頻分享網(wǎng)站，還有LinkedIn 等職場社交軟件和各種以游戲為主的自媒體軟件、網(wǎng)站如Second Life 等。在這些網(wǎng)絡(luò)平臺上，用戶可以創(chuàng)建賬號發(fā)布文字、圖片、視頻等內(nèi)容，成為自媒體的運營者。這些自媒體在新聞發(fā)布和傳播方面具有交互性強、傳播速度快等區(qū)別于傳統(tǒng)媒體的特點，已經(jīng)成為互聯(lián)網(wǎng)時代公眾接收資訊的主要渠道之一。自媒體在實現(xiàn)信息傳播的過程中將不可避免地對個人信息進行處理，因為包括用戶發(fā)布的文字、圖片、視頻中都可能含有公民的個人信息。于是便產(chǎn)生了以下問題：自媒體是否具備法律所規(guī)定的個人信息處理者之地位？其在處理個人信息時應(yīng)遵守何種規(guī)則，有無例外情形或禁止規(guī)則？自媒體違法處理個人信息后應(yīng)承擔(dān)何種法律責(zé)任？

回答上述問題，從邏輯上看，首先，應(yīng)當確定自媒體作為個人信息處理者的法律地位，從而“名正言順”地將其納入個人信息保護相關(guān)法律的規(guī)制范圍；其次，應(yīng)在明確其個人信息處理者地位的基礎(chǔ)上確定自媒體處理個人信息的具體規(guī)則；再次，規(guī)則之外應(yīng)有例外，應(yīng)當對自媒體處理個人信息的例外情形作出區(qū)分；再次，在明確規(guī)則與例外之后，可以再限定自媒體處理個人信息之禁止規(guī)則；最后，“無罰則則無約束”，應(yīng)當確定自媒體違法處理個人信息的法律責(zé)任承擔(dān)方式。通過正確認識和厘清這些問題，可以實現(xiàn)對自媒體處理個人信息的行為進行有效的規(guī)制。

一、自媒體作為個人信息處理者的法律地位

《中華人民共和國民法典》（以下簡稱《民法典》）規(guī)定，自然人的個人信息受法律保護，且被規(guī)定于《民法典》的人格權(quán)編，但與隱私權(quán)、肖像權(quán)、名譽權(quán)等一般人格權(quán)區(qū)分，因此自然人的個人信息本身已經(jīng)成為直接受法律保護的對象。自然人的個人信息權(quán)益之所以被立法規(guī)范所認可，一方面是因為其與自然人的人格尊嚴、人格自由息息相關(guān)，關(guān)系到作為信息主體的公民的基本權(quán)利；另一方面是因為隨著科技的進步，違法利用個人信息給信息主體帶來嚴重損害的案例不斷發(fā)生且數(shù)量日趨增多。規(guī)制處理個人信息行為不僅是保護信息主體合法權(quán)益的必然要求，也是新時代法治精神的應(yīng)有之義。自媒體運營中難免需要處理個人信息，亦應(yīng)遵守法律規(guī)定。

運營自媒體的本質(zhì)是信息的創(chuàng)造、加工與傳播等。當今時代自媒體的用途早已超越早期個人生活的分享以及單純的信息傳遞，其在網(wǎng)絡(luò)社會中發(fā)揮的功能與作用也趨于多元化、復(fù)雜化。與傳統(tǒng)的報紙、電視等新聞媒體一樣，自媒體在運營時也需要處理個人信息。對于自媒體而言，流量是決定其生存和發(fā)展的最重要因素，為增加關(guān)注度和閱讀量，自媒體對收集和運用個人信息的熱情較之傳統(tǒng)的報紙、電視等新聞媒體有過之而無不及，其不當使用個人信息的行為也屢禁不止且愈演愈烈。在2020年的杭州“取快遞女子被造謠出軌案”中，吳女士下樓取快遞被便利店老板郎某偷拍視頻、編造“少婦出軌快遞小哥”的標題和聊天內(nèi)容，相關(guān)視頻被發(fā)至微信群后不斷被傳播發(fā)酵，某微信公眾號甚至發(fā)布了《這誰的老婆，你的頭已經(jīng)綠到發(fā)光啦！》的文章，給吳女士的生活和精神造成了巨大的影響。[1]

在自媒體追求流量卻缺乏有效監(jiān)管的情況下，很容易造成個人信息的不當處理。為防止此種不當處理，需要回答自媒體能否作為《中華人民共和國個人信息保護法》（以下簡稱《個人信息保護法》）中的個人信息處理者而受到法律規(guī)制的問題，并進一步分析其行為是否具有規(guī)制的可行性及必要性。首先，自媒體的運營中不可避免地存在個人信息處理行為。根據(jù)《個人信息保護法》第4 條的規(guī)定，處理個人信息包括對個人信息的收集、儲存、傳輸、使用、刪除等行為。自媒體在運營過程中從各種渠道取得個人信息進而加工處理即屬于對個人信息的處理。如街頭采訪、社會記錄可能收集個人信息，就某一特定事實進行評論解釋中亦有個人信息的處理，除此之外，其發(fā)布的照片、視頻當中也存在暴露被采訪人外其他非當事人之個人信息的風(fēng)險。其次，自媒體依照自身運營目的自主決定個人信息的使用方式。自媒體的信息處理目的一般與其運營目的相同，有營利性的，也有非營利性的。但在信息處理活動中作為自媒體運營者的組織或個人具有獨立意志。按照其運營目的不同自由決定著處理個人信息的方式，不同的個人信息處理方式對應(yīng)著其應(yīng)當對自身選擇處理方式承擔(dān)相應(yīng)責(zé)任。再次，自媒體處理個人信息可能影響信息主體的個人信息權(quán)益。一方面，由于網(wǎng)絡(luò)平臺特性，自媒體傳播速度快，公開范圍廣，一些自媒體受關(guān)注度極高，社會影響力極大，個人信息處理活動規(guī)模不容小覷；另一方面，即使是受關(guān)注度不高的普通自媒體，只要通過巧妙的方式利用特定事件，也能夠在短時間內(nèi)獲得大量關(guān)注，這對于個人信息不當處理的防范工作而言增加了不確定性。因此，自媒體一旦不當處理個人信息，就可能對信息主體權(quán)益乃至社會公共利益造成嚴重損害。

我國自媒體行業(yè)本身構(gòu)成復(fù)雜，形式多樣，主體身份眾多，有個人運營的也有由MCN(Multi-Channel Network)機構(gòu)等組織運營的自媒體賬號。根據(jù)《個人信息保護法》第73條第1項之規(guī)定，個人信息處理者，是指在個人信息處理活動中自主決定處理目的、處理方式的組織、個人。可見，個人信息處理者可能以組織或個人兩種主體形式出現(xiàn)，此即表明個人或MCN機構(gòu)等組織運營的自媒體對個人信息的處理均可構(gòu)成法律意義上的個人信息處理者。盡管自媒體運營者主要是公民個人，但其利用個人信息的行為已并非歐盟《通用數(shù)據(jù)保護條例》（以下簡稱GDPR）第2條2（c）所指的“自然人在純粹的個人或家庭生活中進行的處理活動”之情形[2]，其與信息主體之間已經(jīng)形成了“持續(xù)不平等信息關(guān)系”[3]26這一適用前提，從而需承擔(dān)作為個人信息處理者的相應(yīng)義務(wù)與法律責(zé)任。傳統(tǒng)上，受法律規(guī)制的個人信息處理者是指長期且大量地收集、儲存、轉(zhuǎn)讓、使用、刪除個人信息等行為的主體，此類個人信息處理者通常情形下為具有一定經(jīng)濟規(guī)模的組織或個人，例如社交平臺、購物平臺、游戲公司等，出于提供特定服務(wù)之必要或其他商業(yè)經(jīng)營等目的收集和處理個人信息。據(jù)此，倘若組織或個人僅僅是少量、個別、偶爾地處理個人信息，其行為能否作為法律規(guī)制對象需要進行討論。自媒體處理個人信息就具備上述這樣的特點。需要注意的是，除了極其個別的特殊情形外，幾乎所有的個人信息處理行為都屬于《個人信息保護法》的規(guī)范對象。[4]

綜上所述，自媒體屬于《個人信息保護法》的規(guī)制對象，同時，“網(wǎng)絡(luò)媒體虛擬性與數(shù)字性，使個體更容易失去對自身信息的控制”[5]。針對其此種角色，應(yīng)當從處理規(guī)則、例外情形、禁止性規(guī)定及處理失范的后果等方面對其處理個人信息的行為進行規(guī)制。需要特別注意的是，并非所有社交媒體平臺上的自媒體均屬于一般意義的個人信息規(guī)制對象，例如政府機關(guān)、新聞機構(gòu)、事業(yè)單位等組織開設(shè)自媒體賬號是其公共職能的延伸，往往具有嚴格運營管理制度，其規(guī)制路徑應(yīng)依照注冊主體不同而適用特殊條款，例如關(guān)于政府機構(gòu)處理個人信息的相關(guān)法律，因此不在本文討論范圍之內(nèi)。

二、處理規(guī)則：“告知-同意”規(guī)則的適用

（一）“告知-同意”規(guī)則適用的基礎(chǔ)

嚴格保護個人信息是實現(xiàn)個人信息自主價值的要求，即要求個人信息的占有人和控制人不能隨意地泄露個人信息，同時他人也不得通過不當?shù)耐緩将@得個人信息。[6]在《個人信息保護法》中“告知-同意”規(guī)范是信息處理的合法性、正當性基礎(chǔ)，但對“告知-同意”這一規(guī)范[7]應(yīng)定位于原則還是規(guī)則仍存在不同認識。關(guān)于法律原則和法律規(guī)則的區(qū)別，根據(jù)哈特的理論，法律規(guī)則與原則的區(qū)別是相對的，是程度問題。[8]326據(jù)此，“告知-同意”在《個人信息保護法》中當屬規(guī)則。有以下理由：首先，“告知-同意”被規(guī)定于《個人信息保護法》“個人信息處理規(guī)則”一章中，相應(yīng)的規(guī)定具有法律規(guī)則的主要特點，如微觀指導(dǎo)性、較強的可操作性和確定性程度較高等[9]70；其次，《個人信息保護法》在總則部分中規(guī)定了處理個人信息應(yīng)當遵循的原則中并不包含“告知-同意”；再次，《個人信息保護法》具體條文中的“告知-同意”在一般性適用時是“全有或全無”狀態(tài)，即在做到“告知-同意”或沒有做到“告知-同意”擇其一。

《個人信息保護法》賦予信息主體對其相關(guān)信息的處理享有知情權(quán)、決定權(quán)。在合法、正當、必要和誠信原則之下，確立了處理個人信息的“告知-同意”規(guī)則，在該規(guī)則的具體適用上又區(qū)分不同情況規(guī)定了一般性的事前“告知-同意”和特殊性的“告知-同意”，如“單獨同意”“二次同意”“撤回同意”等。“告知-同意”規(guī)則的設(shè)置彰顯以信息主體為中心的理念，《民法典》第1035條第1項、《中華人民共和國網(wǎng)絡(luò)安全法》第41 條等也將“征得同意”作為處理個人信息的必要條件之一。GDPR 第4 條（11）對“同意”在此前相關(guān)規(guī)定基礎(chǔ)上進行細化，即指數(shù)據(jù)主體通過一個聲明，或者通過某項清晰的確信行動而自由作出的、充分知悉的、不含混的、表明同意對其相關(guān)個人數(shù)據(jù)進行處理的意愿。自媒體處理個人信息主要適用一般性的事前“告知-同意”和特殊性的“單獨同意”“二次同意”“撤回同意”。

“告知-同意”規(guī)則對自媒體處理個人信息的法律規(guī)制需將“告知-同意”置于具體場景中進行討論，因自媒體區(qū)別于官方媒體的“自我表達”特性，事前“告知-同意”是自媒體運營者處理個人信息的必要前提條件，自媒體若違反則可能造成信息主體的財產(chǎn)損失或精神損害。如，一次聚會中，參與人之一將聚會拍攝的照片上傳于其運營的自媒體賬號上，根據(jù)該照片可以判斷此次聚會參與人范圍，進而顯現(xiàn)參與人的“朋友圈”和某一時間在某一位置的具體行為。因此，自媒體運營者上傳之前應(yīng)征得照片顯示人員的同意。再如，自媒體處理在公共場所抓拍的照片或視頻因其無法按照“告知-同意”規(guī)則處理及未匿名化、去標識化處理直接發(fā)布的，同樣應(yīng)當定性為侵權(quán)。質(zhì)言之，處理個人信息只有征得信息主體同意方為合法正當?；诋斍白悦襟w運營模式和發(fā)展態(tài)勢，以及信息主體專門性維權(quán)的難度、自媒體運營者自我管控的有限性、個人信息不恰當處理所造成損失的不可逆性，“告知-同意”規(guī)則的落地、落實主要應(yīng)依靠自媒體平臺履行其監(jiān)管責(zé)任。

（二）“同意”與“告知”的精準界定

大數(shù)據(jù)背景下自媒體處理個人信息，何為同意、如何告知均需精確界定。

其一，“告知-同意”的核心在于“同意”，信息主體的“同意”是任何個人信息收集者處理其收集到的個人信息的必要前提，自媒體所獲取的同意同樣應(yīng)當如GDPR 所言“清晰”“不含混”。當然，有時也可以不經(jīng)告知而直接取得“同意”授權(quán)，如“尋人啟事”或“尋物啟事”一般在發(fā)布時便默認附帶了對于其中由信息主體列明的個人信息轉(zhuǎn)發(fā)處理的授權(quán)，此種情形下自媒體進行轉(zhuǎn)發(fā)便無須進行額外的告知和取得同意。同意是一種結(jié)果性的意思表示，此情形下的意思表示多為自愿，但自愿需要在充分知情的情況下才能予以認定，非充分知情的情況下的同意，在糾紛處置中并不能認定為實質(zhì)同意。[10]此外，自媒體在收集個人信息時對于同意的表達如果在技術(shù)層面可以設(shè)置為“擇出”同意即“不同意可繼續(xù)使用產(chǎn)品或享受服務(wù)”時，便不應(yīng)設(shè)置為“擇入”同意即“同意可繼續(xù)使用產(chǎn)品或享受服務(wù)，而后可自行再實施關(guān)閉該同意授權(quán)”，以將同意之便利與自由給予信息主體，而不是自媒體。

其二，“告知-同意”的關(guān)鍵在于“告知”?！秱€人信息保護法》規(guī)定個人同意應(yīng)當由個人在充分知情的前提下作出。那么，充分知情的標準便成為認定該同意系自愿作出的重要依據(jù)。然而，諸如隨拍隨傳使用的自媒體運營模式?jīng)Q定了“告知”實踐操作的局限性。鑒于“告知”的目的是保障信息主體的知情權(quán)，作為自媒體平臺提供主體諸如微博、騰訊微信、抖音、快手等，對網(wǎng)絡(luò)平臺上個人用戶創(chuàng)建賬號進行自媒體運營的“告知”往往過于寬泛而不具體、含糊而不準確，機械勾選進行同意方可下一步操作等，難以保證“告知”之實效?！肮催x”前的欄目“用戶服務(wù)協(xié)議”亦或“隱私政策”等在形式上似乎是已經(jīng)完成其告知義務(wù)，但如若在發(fā)生糾紛分配舉證責(zé)任時，“勾選”卻并不足以完成自媒體平臺提供主體的告知義務(wù)。此時，自媒體平臺提供主體應(yīng)基于《個人信息保護法》第58 條“守門人”制度的特殊保護義務(wù)而與自媒體運營者承擔(dān)連帶責(zé)任。在現(xiàn)行法律對自媒體運營者處理個人信息規(guī)制乏力的情況下，作為有監(jiān)管責(zé)任的自媒體平臺提供者需要舉證證明自媒體運營者對具體的信息主體的告知已經(jīng)達到充分理解告知內(nèi)容且達至知情程度，單純以“勾選”視為完成告知，即“當告知義務(wù)而非知情權(quán)利成為制度的核心，網(wǎng)絡(luò)用戶的同意會面臨被架空的危險”[11]。故此，自媒體平臺“勾選”繼續(xù)產(chǎn)品或服務(wù)或不“勾選”則中斷產(chǎn)品或服務(wù)的二選一模式應(yīng)予改變。轉(zhuǎn)變曾經(jīng)以履行告知義務(wù)為導(dǎo)向的認識，轉(zhuǎn)變?yōu)橹鲃哟_保告知實效的合規(guī)意識，在保證主要告知條款被“勾選”的情況下可以使用基本功能，在拓展功能版塊時分層對自媒體運營者應(yīng)履行的告知義務(wù)進行告知。在自媒體運營過程中，主動審查自媒體運營者動態(tài)，據(jù)實進行充分告知并征得實質(zhì)性同意，此審查應(yīng)在技術(shù)層面實現(xiàn)告知方式、標準、范圍進行科學(xué)分類的情況下進行。例如，對來源于公共場所的照片、視頻應(yīng)對信息主體的相關(guān)信息作匿名化、去標識化等處理或有同意證據(jù)方可通過審查并發(fā)布，并依據(jù)《個人信息保護法》賦予的信息主體便利撤回權(quán)，從技術(shù)上方便信息主體撤回權(quán)的行使。

在這個日益高漲的信息網(wǎng)絡(luò)時代，勝產(chǎn)著良多的非凡的學(xué)生，作為新時代的班主任，要與時俱進，嘗試新的管理方法，讓學(xué)生們有更廣闊的天空可以遨游。

“告知-同意”規(guī)則的終極目的是實現(xiàn)處理個人信息須信息主體同意，誰處理、誰負責(zé)告知并對告知的有效性和同意的真實性負舉證責(zé)任，自媒體平臺提供主體基于“守門人”制度的特殊保護義務(wù)而對此承擔(dān)連帶責(zé)任。

三、例外情形：合理利用個人信息的要求

（一）確定合理利用例外之必要

《個人信息保護法》與《中華人民共和國數(shù)據(jù)安全法》等法律法規(guī)為數(shù)據(jù)資源的開發(fā)利用、數(shù)據(jù)要素的合理流通及進一步的數(shù)據(jù)經(jīng)濟發(fā)展提供了規(guī)范和指引。數(shù)據(jù)經(jīng)濟對個人信息有著必要需求，“告知-同意”規(guī)則為數(shù)據(jù)經(jīng)濟利用個人信息提供了基本遵循。與此同時，應(yīng)注意到如若但凡使用個人信息，無論是否已經(jīng)公開均機械套用“告知-同意”規(guī)則，則增加利用個人信息的成本，不利于個人信息的利用和數(shù)據(jù)經(jīng)濟的發(fā)展。當然，絕不能因發(fā)展數(shù)據(jù)經(jīng)濟而降低個人信息使用的“合理”要求標準。

在利用個人信息時，恰當掌握“合理”之度，達至利用與保護的平衡，將有利于公眾樹立對數(shù)據(jù)經(jīng)濟的信心。法律是自由的基礎(chǔ)，個人信息處理的“告知-同意”規(guī)則亦有其例外情形——不經(jīng)信息主體同意可處理個人信息，即“合理利用”。GDPR 對合理利用以第6 條等條款進行了較詳細的規(guī)定，《個人信息保護法》在《民法典》第999 條限定將合理使用個人信息范圍以及第1020 條關(guān)于合理使用肖像權(quán)的規(guī)定、第1023 條關(guān)于合理使用姓名權(quán)的規(guī)定及第1036 條關(guān)于免責(zé)條款的規(guī)定的基礎(chǔ)上，結(jié)合國家市場監(jiān)督管理總局、國家標準化管理委員會《信息安全技術(shù)個人信息安全規(guī)范》中第5、6 條列舉的合理使用的情形等規(guī)定。在《個人信息保護法》第1 條便開宗明義，將“促進個人信息合理利用”與“保護個人信息權(quán)益，規(guī)范個人信息處理活動”作為立法目的共同進行規(guī)定，體現(xiàn)保護與利用并重的立法理念，隨后第13條列舉了合理利用的法定情形。由于個人信息的保護與利用是辯證統(tǒng)一的，并非對立擇一的關(guān)系，因此無須取得個人同意。對個人信息合理利用除為了公共利益及其他法定、約定情形外，還應(yīng)遵循《個人信息保護法》規(guī)定的正當、必要原則之要求，以此作為判定個人信息之合理利用的兜底條款，既要充分發(fā)揮公益性個人信息在公共管理、科學(xué)研究等方面的能動性，又要確保信息在合理范圍之內(nèi)使用、信息主體的權(quán)益不發(fā)生貶損。[12]

（二）確定合理利用例外之三重維度

論及個人信息合理利用，重點應(yīng)闡明何謂“合理”以及如何實現(xiàn)個人權(quán)利與公共利益之平衡。因本文著重探討自媒體處理個人信息的法律規(guī)制問題，故對個人權(quán)利與公共利益之平衡不予討論，僅對“合理”范疇進行闡釋。自媒體無論是分享還是創(chuàng)造相應(yīng)的傳播內(nèi)容均應(yīng)當嚴格履行法定義務(wù)并盡最大努力保護信息主體的權(quán)益，自媒體處理個人信息的法律規(guī)制討論需置于具體場景中進行類型化展開。具言之，可以從公共利益、自媒體運營者利益和信息主體合法權(quán)益等三個維度展開對“合理”之內(nèi)涵、外延的探討。

其一，從維護公共利益的維度來看，自媒體在處理個人信息時，適用比例原則更有利于對個人信息權(quán)益的保護。比例原則要求在適當性原則獲得滿足后，應(yīng)以最小侵害之方式實現(xiàn)目的。[13]例如，新冠肺炎疫情防控期間通過自媒體尋找確診人員或是無癥狀感染者的密切接觸者，在最初對于這一工作缺乏經(jīng)驗時，個別地區(qū)不僅公布確診人員和無癥狀感染者的行程軌跡，還將其姓名、年齡和身份證號等通過相對匿名——只保留姓氏和身份證號后幾位的形式公布，如此方式處理曾被認為是符合法律規(guī)定的，甚至在某些情形下還成為推薦做法。但是在尋找密切接觸者這一具體事件中卻有不符合比例原則之嫌。對于陌生人來說，這樣的處理方式可以起到匿名化的作用，并不能定位到具體的人，但是對于該信息權(quán)利主體相對熟悉的親朋等關(guān)系人來說，這些“只言片語”足以識別具體人員。這樣就可能給確診人員和無癥狀感染者帶來困擾。有些相對敏感的地點可能是確診人員和無癥狀感染者不愿為人所知的，如果被身邊關(guān)系人知曉會給他們的生活帶來麻煩和困擾。當然，在疫情防控數(shù)據(jù)處理工作流程相對成熟之后，大多數(shù)流調(diào)報告中已隱去了所有不必要的信息，有效解決了這一問題。但由此我們也可以得出，在處理個人信息時，除了要符合一般人認知標準中不損害公共利益的這一前提外，自媒體運營者還必須選擇對信息主體侵害最小的方式進行，在公共利益之目的實現(xiàn)后要及時妥善再處理，以消除或降低對信息主體的侵害，哪怕這種侵害是或然性的。

其二，從自媒體運營者利益的維度來看，自媒體在處理個人信息時，如前所述，非按“告知-同意”規(guī)則在公共場所獲取的個人某時某地某行為的信息，需要經(jīng)過匿名化及去標識化等脫敏處理后利用，否則不得為除了公共利益外的任何主體的利益，包括但不限于形象提升、經(jīng)濟價值、情感抒發(fā)、追趕熱度等而利用。例如，某些探店博主在錄制節(jié)目的過程中會有路人或是粉絲入鏡，有些博主會詢問是否可以將其入鏡視頻剪入成片，如果獲得同意才會播出，如果被拒絕會采用打馬賽克模糊人像或者貼貼紙的方式對其進行匿名化處理。但是也不乏一些自媒體運營者利用路人的隨機性，將其作為視頻特色的背景，評論區(qū)也會對于視頻中出現(xiàn)的路人品頭論足、褒貶不一、當然大部分觀眾都是一看了之，評論諸如“這個小朋友好可愛”“這個小姐姐好美”等贊美的話，但有時也會有一些惡意評論“這么胖了還在吃”“呆萌的大傻子”。還有人會根據(jù)視頻錄制的時間、地點等信息對路人的信息進行“人肉搜索”，給偶然入鏡的路人的生活造成影響。這樣是對路人個人信息權(quán)益的一種侵犯，在短時間內(nèi)可能不會導(dǎo)致嚴重的后果，但長此以往會逐漸破壞自媒體行業(yè)的正常生態(tài)，如果放任自流，便無自媒體運營者可以獨善其身。綜上，不能在使己方利益增加時使得他人權(quán)益受到減損，這一原則必須得到自媒體運營者的內(nèi)心認同和遵守。

其三，從信息主體合法權(quán)益的維度來看，自媒體在處理個人信息時，應(yīng)有合理合法之目的，其行為方式符合該目的實現(xiàn)之要求。例如，拾到公民證件通過自媒體尋找失主時，應(yīng)對公民身份號碼等敏感信息進行“馬賽克”處理方符合“合理”之要求。如上文所述，疫情防控期間公布確診人員和無癥狀感染者的行程軌跡略去其他非必要信息。在對信息主體個人信息的處理上并沒有統(tǒng)一的規(guī)定或是標準，而是要針對不同的情形靈活處理公布內(nèi)容，把握一個“度”。公布信息過少可能導(dǎo)致目的難以達成，例如發(fā)布失物招領(lǐng)時給微信二維碼加馬賽克顯然難以達到發(fā)布者的目的；公布信息過多則會給信息主體造成困擾，例如在吃播博主錄制視頻時給商家點單的二維碼加碼則很有必要，以防止觀眾惡意點單影響飯店的正常經(jīng)營。

無論是哪一維度，均須準確完整地對個人信息進行處理，不得過度加工和無度褒貶。同時，利用要適度，即使是按“告知-同意”規(guī)則獲取的個人信息，在超出獲取時告知的利用目的范圍和方式時，仍應(yīng)當再次征得信息主體的同意，即目的性原則是必須要遵守的原則之一，并不當然符合合理利用而徑直利用。

此外，對于個人自行公開或者其他已經(jīng)合法公開的個人信息，根據(jù)《個人信息保護法》第27 條的規(guī)定，自媒體可以在“合理的范圍”內(nèi)進行處理，除非信息主體意欲行使“被遺忘權(quán)”而明確拒絕。在歐洲已有的判例中，即使信息主體成功對其個人信息行使“被遺忘權(quán)”時，相關(guān)的信息處理主體也只需要承擔(dān)“事后”刪除的義務(wù)。[14]該合理的范圍一般是指在不改變原個人信息主要內(nèi)容的情況下，且不會對個人信息主體權(quán)益產(chǎn)生重大影響時方不逾矩，如果超過了法定的合理范圍或前述已公開的個人信息涉及信息主體之重大法益，則往往須再取得其同意。

四、禁止性規(guī)則：敏感個人信息限制處理之規(guī)范

基于一般信息與敏感信息的差異，有學(xué)者提出“強化個人敏感信息的保護”和“強化個人一般信息的利用”信息處理理論。[15]《個人信息保護法》頒行以前，2013年發(fā)布的《信息安全技術(shù)公共及商用服務(wù)信息系統(tǒng)個人信息保護指南》《征信業(yè)管理條例》以及2020年發(fā)布的《信息安全技術(shù)個人信息安全規(guī)范》等均對敏感個人信息處理進行了規(guī)范，體現(xiàn)了我國對敏感個人信息保護的重視?！秱€人信息保護法》吸收并延續(xù)了前述相關(guān)規(guī)定，專章對敏感個人信息進行了明確規(guī)范。其中，第28條將生物識別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息，以及不滿十四周歲未成年人的個人信息列為敏感個人信息，旨在保護這些更容易導(dǎo)致信息主體權(quán)益被不法侵害的個人信息在處理時受到最嚴格的限制，同時規(guī)定個人信息處理的受托人非經(jīng)委托人同意不得轉(zhuǎn)委托，自媒體更應(yīng)受此規(guī)則約束。

作為權(quán)利客體和行為對象，敏感個人信息的法益內(nèi)涵不限于公民個人的人格權(quán)益，同時應(yīng)當包括社會利益、公共秩序和國家安全等，受到公法和私法的多元化、多層次、多維度保護。[16]自媒體處理個人敏感信息更多地涉及自媒體運營者的行為。以短視頻平臺抖音為例，根據(jù)平臺上發(fā)布的不同視頻種類可能會涉及不同敏感信息的收集，因而適用不同的處理規(guī)則。如果用戶想要參加AI 換臉的特效體驗，則會在首次體驗前收到開啟攝像頭或是讀取相冊的授權(quán)提示，此時為了參與特效體驗，用戶往往會選擇同意，那么換臉程序就會采集到用戶的面部特征；如果用戶想要參加聲音類游戲，例如用聲音的大小控制游戲人物的活動，那么在此時程序就會收集到用戶的聲音信息；如果用戶想要參與塔羅牌或是星座測試，程序就可能收集到用戶的宗教信仰、特定身份、出生年月等信息；如果用戶想要參與軌跡流動生成地圖的制作，則程序就會收集到用戶的行蹤軌跡信息；如果用戶想要參與掌紋算命或是指紋分析，則程序就會收集到用戶的掌紋、指紋信息。諸如此類，不勝枚舉。這些情形從表面看只是使用或體驗了抖音短視頻相關(guān)功能，但是用戶的敏感個人信息卻均已經(jīng)暴露無遺。掌握自然人的指紋、掌紋、面部特征、聲音等信息之一，根據(jù)現(xiàn)有技術(shù)甚至可以永久識別出特定的自然人，更不用說有可能的其他信息為輔助。此種情景下，被大數(shù)據(jù)準確刻畫出的人物畫像如果被不法利用，則對信息主體權(quán)益損害將處于不可預(yù)估的程度。因此，自媒體除卻取得信息主體單獨同意及有可能造成不可逆損害后果的緊急情況下審慎利用外，不應(yīng)未經(jīng)信息主體書面同意而處理敏感個人信息。

敏感個人信息限制處理為基本原則，在嚴格限制下允許例外處理。作為取得信息主體單獨同意的例外情形無須多言。以疫情防控需要收錄個人行程軌跡為例，對可能造成不可逆損害后果的緊急情況下審慎利用的例外情形有必要展開討論。疫情防控當屬公共利益之范疇，但疫情防控收集使用個人行程軌跡應(yīng)額外增加使用主體——政府的審慎義務(wù)，以保護公民個人對政府的信賴利益。政府對因疫情防控需要而收集、利用個人信息，應(yīng)設(shè)定其邊界，可借鑒法國信息與自由委員會（CNIL）針對申請試用人臉識別技術(shù)而設(shè)定的兩個條件：一是劃定所應(yīng)遵守的紅線，遵守歐盟GDPR 和“警察—司法指令”；二是必須設(shè)定時間與空間上的明確限制，并具有明確的可識別的目標，且有績效評估模式。[17]具言之，收集和處理須遵循合法、正當、必要原則，且考慮潛在的權(quán)利被侵害的風(fēng)險包括但不限于人身權(quán)、財產(chǎn)權(quán)，更重要的是絕對不得逾越收集之初所告知的目的、范圍。需要特別強調(diào)的是，商業(yè)活動在任何情況下均不應(yīng)適用緊急情況下審慎利用的例外情形。

除此之外，《個人信息保護法》將不滿十四周歲未成年人的個人信息規(guī)定為敏感個人信息，是對未成年人進行特殊保護的要求。根據(jù)《中華人民共和國未成年人保護法》立法精神和《個人信息保護法》的規(guī)則設(shè)定，應(yīng)禁止父母或者其他監(jiān)護人外運營的自媒體處理不滿十四周歲的未成年人個人信息，除非符合大眾認知的為了未成年人本人生命、健康考量，或經(jīng)司法行政部門準許。

五、處理失范后果：違法責(zé)任之承擔(dān)

自媒體合法、正當、必要地處理個人信息，既需要自媒體運營者的自律與合規(guī)意識，也需要網(wǎng)絡(luò)服務(wù)提供者對自媒體運營的有效監(jiān)管，除此之外還離不開第三方的監(jiān)督。首先，自媒體的運營者是個人信息處理過程中的直接責(zé)任者，其應(yīng)當按照《個人信息保護法》對個人信息處理的相關(guān)要求，誠信開展個人信息處理工作，規(guī)范其處理行為，確保個人信息的處理行為走在法治軌道上。其次，自媒體平臺提供主體是個人信息處理的合規(guī)管理者，其應(yīng)當對自媒體運營實施監(jiān)管性措施。自媒體運營的便捷性使得其準入門檻較低，如何規(guī)范運營自媒體則更多需要自媒體平臺在提供網(wǎng)絡(luò)服務(wù)時進行簡便培訓(xùn)或作出要求。在培訓(xùn)和要求之外，還要規(guī)范“守門人”制度，建立健全保障自媒體運營者后續(xù)仍合規(guī)運營其自媒體賬號的內(nèi)部管理制度和操作規(guī)程，內(nèi)控制度著重于定期的合規(guī)審計和風(fēng)險評估，操作規(guī)程著重于技術(shù)層面進行違規(guī)篩查。最后，第三方監(jiān)督，包括但不限于公益性組織、自媒體外的媒體、社會輿論等對自媒體的個人信息處理過程進行監(jiān)督，營造多方參與的個人信息處理良好局面。

“無救濟則無權(quán)利”。在大數(shù)據(jù)背景下，各方審慎行權(quán)并不能徹底消除自媒體與信息主體之間的沖突。針對當前突出的自媒體處理個人信息存在的問題，《民法典》《個人信息保護法》等已有相對完善的專門規(guī)定，信息主體可通過申請受理和處理機制獲得相關(guān)的權(quán)利保障。如若自媒體拒絕信息主體個人行使其權(quán)利請求的，應(yīng)當說明理由，信息主體亦可以依法向人民法院提起訴訟，行使其對于自媒體及時刪除和損害賠償?shù)日埱髾?quán)。在具體違法責(zé)任承擔(dān)方面，《個人信息保護法》等主要從民事、行政、刑事三個層面對侵害個人信息權(quán)益行為進行了規(guī)定。

首先，在民事責(zé)任層面，《個人信息保護法》主要從違約責(zé)任和侵權(quán)責(zé)任兩個角度進行了規(guī)定。違反“告知-同意”之約定，便構(gòu)成了違約或侵權(quán)?！秱€人信息保護法》第20 條規(guī)定，共同處理個人信息者對侵害個人信息權(quán)益造成損害的承擔(dān)連帶責(zé)任?！睹穹ǖ洹返?194 條明確網(wǎng)絡(luò)用戶、網(wǎng)絡(luò)服務(wù)提供者利用網(wǎng)絡(luò)侵害他人民事權(quán)益的，應(yīng)當承擔(dān)侵權(quán)責(zé)任；第1195 條進一步規(guī)定網(wǎng)絡(luò)服務(wù)提供者未及時采取必要措施的，對損害的擴大部分與該網(wǎng)絡(luò)用戶承擔(dān)連帶責(zé)任。此外，根據(jù)《民法典》第999條之規(guī)定，即使自媒體運營者為公共利益實施新聞報道、輿論監(jiān)督等行為而對個人信息使用不合理，對民事主體人格權(quán)造成侵害的，亦應(yīng)當依法承擔(dān)民事責(zé)任?！秱€人信息保護法》對侵害眾多個人權(quán)益的民事公益訴訟作了規(guī)定。對一般個人信息合理使用除法定和約定情形外，是否構(gòu)成“合理”，出于個人信息的公共屬性及數(shù)據(jù)資源經(jīng)濟屬性之考慮，建議交給司法機關(guān)根據(jù)具體案情考量并裁決。

其次，在行政責(zé)任層面，因行政責(zé)任層面之規(guī)定側(cè)重于事后監(jiān)督，行政監(jiān)管機構(gòu)更多的責(zé)任在于事后監(jiān)管，主要體現(xiàn)在懲戒方面，此監(jiān)管方式符合自媒體運營模式和信息主體維權(quán)需要。國家網(wǎng)信部門等專門承擔(dān)個人信息保護職能的機構(gòu)有權(quán)責(zé)令相關(guān)自媒體改正，給予警告，沒收違法所得，并可責(zé)令相關(guān)應(yīng)用程序暫?；蚪K止對自媒體運營者提供服務(wù)。情節(jié)嚴重的可由相關(guān)部門給予罰款、責(zé)令暫停相關(guān)業(yè)務(wù)或者停業(yè)整頓、通報有關(guān)主管部門吊銷相關(guān)業(yè)務(wù)許可或者吊銷營業(yè)執(zhí)照，對直接責(zé)任者進行罰款和禁止從業(yè)等處罰，并可依法記入信用檔案，予以公示。

最后，在刑事責(zé)任層面，《個人信息保護法》規(guī)定，構(gòu)成違反治安管理行為的，依法給予治安管理處罰，構(gòu)成犯罪的依法追究刑事責(zé)任。還規(guī)定了“民刑銜接”條款——履行個人信息保護職責(zé)的部門在履行職責(zé)中，對違法處理個人信息涉嫌犯罪的，負有及時移送公安機關(guān)依法處理的義務(wù)?！吨腥A人民共和國刑法》及最高人民法院、最高人民檢察院《關(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》對依法懲治侵犯公民個人信息犯罪活動，保護公民個人信息安全和合法權(quán)益進行了較周全的規(guī)定。如，侵犯公民個人信息罪、非法利用信息網(wǎng)絡(luò)罪、拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪。

總之，隨著信息化的迅速發(fā)展，加之自媒體對個人信息處理的數(shù)量龐大，對自媒體處理個人信息進行法律規(guī)制對于保護信息主體的合法權(quán)益有重要意義?！睹穹ǖ洹贰秱€人信息保護法》等法律已經(jīng)為此提供了宏觀而直接的規(guī)制依據(jù)，《信息安全技術(shù)個人信息安全規(guī)范》和相關(guān)司法解釋等為其提供了規(guī)制的針對性補充依據(jù)。但是，實現(xiàn)自媒體處理個人信息的規(guī)范化、法治化除卻法律規(guī)制外，還需要基于行業(yè)慣例、社會公德、公共利益和個體權(quán)益的自媒體運營者自律、平臺提供者行業(yè)管控、行政機構(gòu)監(jiān)管、個人信息權(quán)益主體維權(quán)協(xié)同共治，以實現(xiàn)自媒體運營與個人信息保護之間的良性互動。