已公開個人信息在合理范圍內(nèi)處理的規(guī)范邏輯與實踐因應

摘要：我國對于已公開個人信息處理作了特別規(guī)定，由“已公開”“在合理范圍內(nèi)處理”“對個人權益有重大影響”“個人明確拒絕”等規(guī)范構成要件因素組成了特殊規(guī)則體系，“在合理范圍內(nèi)處理”被置于規(guī)范體系中較為突出的位置，通過平衡已公開個人信息附著利益、補充知情同意規(guī)則和具化“信賴”理念發(fā)揮著價值導向和規(guī)范指引功能。作為權義復合性法律規(guī)則，其與“合理使用”不同，具有阻卻違法、設定義務、賦予權利等多重面向。當個人信息處理“在合理范圍內(nèi)”，符合其他規(guī)范構成要件因素便獲得了合法性基礎，信息處理者免于承擔民事責任和刑事責任。因此，“在合理范圍內(nèi)處理”的判定尤為重要，立法卻未對此作出明確規(guī)定，而其與必要等個人信息處理原則聯(lián)系密切，天然地契合比例原則的要義，故可引入比例原則作為評判分析工具。為了保障已公開個人信息處理在合理范圍內(nèi)，需在建立數(shù)字信任的基礎上強化已公開個人信息處理過程中的權利保障和義務履行。

關鍵詞：已公開個人信息；合理處理；利益衡量；比例原則

目次

一、在合理范圍內(nèi)處理的機理

二、在合理范圍內(nèi)處理的定位

三、在合理范圍內(nèi)處理的效果

四、在合理范圍內(nèi)處理的判定

五、在合理范圍內(nèi)處理的保障

六、結語

大數(shù)據(jù)時代，大量個人信息成為開源信息，公安機關、監(jiān)察委員會等公權力機關越來越依賴互聯(lián)網(wǎng)平臺、社交媒體等媒介上的已公開個人信息調查取證。各個國家或地區(qū)對于處于公開狀態(tài)的個人信息是否應予以保護持不同的態(tài)度?？紤]到“處理已公開個人信息，也有侵害個人信息權益的風險，應當對處理已公開的個人信息作出必要的規(guī)范”，我國并未如同美國一般不予保護已公開個人信息，而是借鑒歐盟的做法——在公開個人信息與一般個人信息一體保護的基礎上對已公開個人信息處理作了特別規(guī)定?！吨腥A人民共和國個人信息保護法》（以下簡稱《個保法》）第13條規(guī)定在合理范圍內(nèi)處理個人自行公開或者其他已經(jīng)合法公開的個人信息豁免同意，第27條重申了可以在合理范圍內(nèi)處理個人自行公開或者其他已經(jīng)合法公開的個人信息。《中華人民共和國民法典》（以下簡稱《民法典》）第1036條規(guī)定合理處理已公開個人信息免于承擔民事責任。抽離出“在合理范圍內(nèi)處理”，可以發(fā)現(xiàn)其包含規(guī)范性構成要件因素，對于不確定性法律概念“合理范圍”的理解在一定程度上足以左右已公開個人信息處理行為（以下簡稱“個人信息處理”）的定性?！秱€保法》對此未作出規(guī)定，司法裁決不一。“在合理范圍內(nèi)處理”嵌入已公開個人信息保護規(guī)范的內(nèi)在邏輯，以及在規(guī)范體系中的性質、功能等亟需厘清。探尋規(guī)范的旨趣及價值取向，勾勒規(guī)范交互圖景，對其進行解構，于法律實踐意義重大。本文試圖檢視立法，挖掘“在合理范圍內(nèi)處理”內(nèi)含的法理邏輯及規(guī)范意蘊，在此基礎上論證如何判定已公開個人信息處理者（以下簡稱“信息處理者”）是否在合理范圍內(nèi)處理個人信息，以及如何實現(xiàn)“在合理范圍內(nèi)處理”的規(guī)范目的，希望對《個保法》教義學進一步深化，能夠對（已公開）個人信息保護實踐有所裨益。

一、在合理范圍內(nèi)處理的機理

“合理”既為信息處理者設定了義務，也賦予了信息處理者權利，借此隱性地表達了價值立場。由此為起點演化出已公開個人信息附著利益平衡及其實現(xiàn)的邏輯脈絡——補充知情同意規(guī)則以加強已公開個人信息主體（以下簡稱“信息主體”）的控制權，輔以信息處理者自律，促進其與信息主體互信。

（一）已公開個人信息附著利益的平衡

信息可被財產(chǎn)化，合理利用不會使得信息主體的人格利益滅失，個人信息的財產(chǎn)價值由信息主體與信息處理者共同擁有。法律保護的不是個人信息而是其上附著的信息主體、信息處理者、社會、國家等享有的利益，這些利益為最佳化命令，要求“在事實上和法律上可能的范圍內(nèi)盡最大可能被實現(xiàn)”。個人信息日益沒有外在形態(tài)，在數(shù)字社會建構、商業(yè)經(jīng)濟發(fā)展、科學技術研究，國家安全保障、社會公共治理等方面蘊藏巨大價值，處理場景多元化。不應孤立地評價信息處理者是否在合理范圍內(nèi)處理個人信息，而應綜合考量個人信息處理所涉主體的利益，通過價值判斷公正地分配利益。個人信息附著利益類型及其構造各異，利益分配較為復雜，核心是在不同維度關系中限縮利益，從而實現(xiàn)多元利益的調和?！霸诤侠矸秶鷥?nèi)處理”遵循的法理邏輯便是基于利益衡量先肯定已公開個人信息可被處理，然后設定在合理范圍內(nèi)的度，據(jù)此確立保護利益，但可被限縮的基本立場，通過賦權和限權兩個方面調和信息主體、信息處理者、社會、國家間的利益。

信息主體基于維護公共利益和信息處理者利益容忍處理其個人信息，信息處理者相對應地在合理范圍內(nèi)處理個人信息。也就是說，基于平衡個人信息保護和個人信息利用而對個人信息處理攸關主體權益進行合理限制。一方面，公共利益不具有絕對的優(yōu)位性，要因勢衡量其與私人利益的位次，基于維護公共利益，個人信息處理具有正當性，但是應避免對個人權益造成重大影響，制度性安排就是“在合理范圍內(nèi)處理”?！昂侠怼北硪鉃楹虾踹壿?、道理，具有限制的意蘊；“范圍”詞義為尺度、區(qū)間，與限制之義相通。二者組合使用，除了通過詞意重疊強調約束個人信息處理行為，還為在合理范圍內(nèi)處理個人信息設定了參照系——信息主體權益受到的限制在可承受的范圍內(nèi)。另一方面，“在合理范圍內(nèi)處理”是實現(xiàn)利益平衡的柔性手段，通過限制個人信息權益，賦予信息處理者個人信息處理權益。個人信息價值的實現(xiàn)需要個人信息聚合和流動，正是信息處理者耗費資源才使得毫無價值的單個個人信息匯成數(shù)據(jù)海洋，如果禁止或者放任個人信息處理行為，皆違背了權利行使不得侵犯他人權益和公共利益，在必要時為了私人利益和公共利益限制個人權益的理念。

（二）知情同意規(guī)則的補充

知情同意規(guī)則被奉為個人信息保護的“帝王條款”，有著深厚的法理基礎，得到了普遍認同。大數(shù)據(jù)時代的信息收集更加密集、場景增多、共享轉移必不可少，加之信息主體依賴個人信息享受便利服務而忽視或者沒有能力和精力了解知情同意條文內(nèi)容，使得知情同意規(guī)則被架空。但是，這不足以廢止適用知情同意規(guī)則，否則等同否定了個人自主的法價值、民法的意思自治。因此有必要反思和重構知情同意規(guī)則，根據(jù)個人信息處理場景的不同，塑造層次性和動態(tài)性的新型知情同意模式。有研究提出“有條件的寬泛同意+退出”模式，運用模糊化手段解決大數(shù)據(jù)時代知情同意規(guī)則適用困境問題。如果已公開個人信息處理采取了這種模式，推定信息主體在未獲得通知，也未作出明確同意的意思表示的情況下允許他人處理其個人信息。這種知情同意模式至少面臨著個人對其信息控制較弱的問題，因而已公開個人信息保護很大程度上依賴信息處理者自律，以及撤回同意、風險評估等機制的配套。

同意具有讓渡、轉移、賦予、限制權利，轉嫁、接受風險，設定、轉移義務的效力。知情同意的本質是授權，推定同意是默示授權。信息處理者獲得授權后是否在授權范圍內(nèi)處理個人信息取決于同意是否產(chǎn)生了實質性的約束力。實踐表明，即使在特別同意的場景中，由于信息主體處于被動弱勢地位，惰于在完全知情的情況下作出意思表示，因而依靠知情同意規(guī)則實現(xiàn)個人信息處理規(guī)范化的目的未能充分實現(xiàn)，更遑論在推定同意場景中期待知情同意規(guī)則發(fā)揮功能。于是乎，“在合理范圍內(nèi)處理”作為已公開個人信息保護的金科律令被嵌入到個人信息保護之中。其極具宣示性，強調個人信息處理即使具備合法性基礎也應該在合理范圍內(nèi)進行，否則需要承擔相應的法律后果?？梢詫⑵湟暈橹橥庖?guī)則的有力補充，以補丁的形式加強知情同意規(guī)則的實踐效力。

（三）“信賴”理念的具化

有學者基于當下個人信息保護規(guī)范的構建以“理性人”理念為指引，信息主體自主支配、自主決斷和自己責任難以平衡個人信息保護與個人信息利用的現(xiàn)狀，提出秉承“信賴”理念構建信義義務制度，補充現(xiàn)有制度不足?！靶刨嚒崩砟畹奶岢鲋荚诮鉀Q“理性人”理念帶來的信息主體無法自主支配個人信息，反而承擔更多的個人信息保護責任，且權益受損難以獲得救濟，陷入持續(xù)“恐懼”狀態(tài)，而信息處理者卻處于控制個人信息的絕對地位，憑借控制個人信息的優(yōu)勢輕松地逃脫法律制裁的尖銳問題。在“理性人”理念下，信息主體和信息處理者將個人信息處理視為零和博弈?！靶刨嚒笔菍Α袄硇匀恕崩砟畹某?，主張信息主體和信息處理者建立信賴關系，個人信息處理變?yōu)檎筒┺?。尤其在已公開個人信息處理場景中更需要信賴，因為豁免同意使得信息主體的脆弱面更加容易暴露給信息處理者，其是否在合理范圍內(nèi)處理個人信息具有很大的不確定性。個人信息已公開的事實推定信息主體與信息處理者之間達成了默契：信息主體相信信息處理者會在合理范圍內(nèi)處理其個人信息，信息處理者相信信息主體允許處理其個人信息。

達成默契的基礎是信賴，而“在合理范圍內(nèi)處理”使得信賴發(fā)揮實效。第一，“在合理范圍內(nèi)處理”將“已公開”表征的默認同意強化為具有道德約束力的授權，這種授權基于信息主體和信息處理者互相信賴生成，“不單單是一種形式意義上的簡單的‘一鍵確認’，而是一種信賴授權與授權辯證統(tǒng)一的知情同意，基于信賴而將相應風險的掌控交由平臺經(jīng)營者，同時平臺又基于此種授權而從事一種可資信賴的數(shù)據(jù)收集與利用活動”。第二，“在合理范圍內(nèi)處理”使得信息處理者負有的忠實、勤勉等信義義務得以實現(xiàn)。“信賴”理念的核心在于信息主體與信息處理者構建起以忠實、勤勉義務為支撐的行為規(guī)范體系?！霸诤侠矸秶鷥?nèi)處理”恰好強調信息處理者既享有相應權利也負有忠實義務——“本著善意和誠實，以符合信息主體的明示授權或合理預期的方式，收集、使用、流轉和披露個人信息，并且不得為了自己的短期利益而犧牲信息主體對個人信息所享有的利益”，以及勤勉義務——謹慎、慎重地處理個人信息，確保個人信息安全。

二、在合理范圍內(nèi)處理的定位

“在合理范圍內(nèi)處理”以及與其相關術語的使用較為隨意，其定位尚未引起學界的足夠重視。過于模糊不利于發(fā)揮指示性功能，亟需考辨其稱謂，分析其性質。不同于“合理使用”，“在合理范圍內(nèi)處理”作為違法阻卻事由及其項下義務，不是一項法律原則，而是一條為信息處理者同時設定權利（力）和義務的權義復合性法律規(guī)則。

（一）是違法阻卻事由及其項下義務

2014年《最高人民法院關于審理利用信息網(wǎng)絡侵害人身權益民事糾紛案件適用法律若干問題的規(guī)定》第12條將公開個人信息視為處理個人信息?！睹穹ǖ洹返?036條吸收了此規(guī)定，將“公開”擴展為“處理”?！秱€保法》第13條和第27條將第1036條的“合理處理”修改為“在合理范圍內(nèi)處理”，此舉將“合理處理”從免責事由正當化為合法性基礎要件，但語義無實質性區(qū)別。與“在合理范圍內(nèi)處理”相關的表述還有“合理使用”?！睹穹ǖ洹返?99條規(guī)定了新聞報道、輿論監(jiān)督等行為合理使用個人信息人格利益制度。有觀點認為《個保法》使用“在合理范圍內(nèi)處理”術語，表明其“不接受民法典‘合理使用’的概念”。也有觀點認為“個人信息‘合理使用’等同于‘合理處理’”?！睹穹ǖ洹返?036條和第999條的旨趣不同，第1036條是個人信息處理免責事由條款，“合理處理”既是免責事由構成要素，也是具備合法事由下信息處理者必須遵守的義務；而第999條是人格利益合理使用條款，“合理使用”屬于違法阻卻事由層面的概念。因此，二者不可混淆。這里的“合理使用”類似著作權合理使用制度，與《個保法》第1條中的“合理利用”——發(fā)揮個人信息用途、實現(xiàn)其價值的含義不同。《個保法》規(guī)定個人信息的處理包括收集、存儲、使用、加工、傳輸、提供、公開、刪除等，使用僅是處理的一種情形，其與“合理使用”中的“使用”相同，重在強調具體的行為，而不起價值立場宣揚作用。在個人信息使用過程中可能涉及收集等其他處理情形，故“合理處理”涵蓋了“合理使用”。“在合理范圍內(nèi)處理”可作為個人信息合理使用情形，但又是實施任何具備合法事由的個人信息處理活動必須遵循的義務。因此，“在合理范圍內(nèi)處理”的內(nèi)涵和外延相較于“合理使用”而言更加精準、全面。

（二）作為法律規(guī)則

不乏有學者將“在合理范圍內(nèi)處理”視為一項個人信息保護法律原則，比如一種觀點認為“在合理范圍內(nèi)處理”可稱之為“合理使用原則”。如此認為的主要原因是信息處理者應依法在合理范圍內(nèi)處理所有類型的個人信息。申言之，無論個人信息處理是基于同意抑或豁免同意獲得合法性基礎，皆應該在法律規(guī)定的合理限度內(nèi)進行，因此便認為這是一項法律原則。但是“在合理范圍內(nèi)處理”未處于《個保法》總則部分，而是規(guī)定于分則中，與處于總則部分的必要、正當、公開、透明等個人信息處理原則不同，其反而體現(xiàn)了合法、正當、必要等原則。

法律原則與法律規(guī)則在結構上不同，在德沃金看來，規(guī)則具有“一般一例外”結構，通過這種結構排除例外情況，例外可以且應當窮盡；原則雖然也有例外，但是例外無法也無需窮盡。這并不意味規(guī)則一定存在例外，德沃金只是強調如果規(guī)則有例外則需要窮盡，可能會因為規(guī)則適用沖突而導致一個規(guī)則成為另一個規(guī)則的例外，只不過與原則相比此情形更難出現(xiàn)罷了。阿列克西認為規(guī)則例外可以窮盡列舉的說法不確切，規(guī)則的例外是不可數(shù)的。在合理范圍內(nèi)處理個人信息是信息處理者無法選擇的不折不扣的義務，因此“在合理范圍內(nèi)處理”更符合法律規(guī)則特征。法律規(guī)則設定了法律要件和法律效果，其確定性程度高于法律原則。二者的適用存在區(qū)別：法律規(guī)則以“全有或全無”的非此即彼的形式直接適用，法律原則根據(jù)個案衡量，即使個案沒有遵循該原則，其仍然在法律體系中發(fā)揮效力，與其他原則共存。據(jù)此，“在合理范圍內(nèi)處理”是“一種只能被實現(xiàn)或不被實現(xiàn)的規(guī)范，若一條規(guī)則有效，即應該不多也不少地去做到該規(guī)則所要求的內(nèi)容，而沒有實現(xiàn)程度的問題，即使存在例外情況也是例外與一般選其一”。

（三）屬于權義復合性規(guī)則

依據(jù)調整方式，法律規(guī)則分為授權性規(guī)則、義務性規(guī)則和權義復合性規(guī)則。學界在界定“在合理范圍內(nèi)處理”時對其類型有所觸及?！胺戏梢?guī)定說”認為“在法律明確規(guī)定的合理的限度內(nèi)，可不經(jīng)個人同意，按照法律規(guī)定對個人信息進行利用，但不應對個人信息、隱私造成侵犯，不應以影響數(shù)據(jù)安全的方式為之利用”。“權利義務說”認為信息處理者在享有個人信息處理權的同時還有義務保護數(shù)據(jù)之上承載的原權益人的合法權益?！皞€人信息權限制說”認為個人信息合理處理是對個人信息權的限制，其突破了個人信息處理必須經(jīng)信息主體同意的原則，基于社會本位對個人本位的制衡理論，以及民事權利限制理論，可以為了維護公共利益和他人利益而讓渡私權利?！傲x務說”側重強調在合理范圍內(nèi)處理已公開個人信息豁免同意，但必須遵守依法取得個人信息的積極義務，禁止實施非法收集、使用、加工、傳輸、買賣、公開及危害國家安全、公共利益等行為的消極義務。

“權利義務說”“個人信息權限制說”“義務說”“符合法律規(guī)定說”認為在合理范圍內(nèi)處理個人信息豁免同意，這實則賦予了信息處理者個人信息處理權，《個保法》第27條使用“可以”術語表明了此點。除了更傾向于將“在合理范圍內(nèi)處理”視為授權性規(guī)則的“個人信息權限制說”以外，“義務說”“權利義務說”“符合法律規(guī)定說”主張信息處理者在合理限度內(nèi)行使個人信息處理權，實則是設定了信息處理者依法適度處理、維護個人信息安全的義務?！秱€保法》第13條將“在合理范圍內(nèi)處理已公開個人信息”作為信息處理者方可處理個人信息的情形之一，“方可”極為講究，表明信息處理者享有的是附帶履行“在合理范圍內(nèi)處理”義務的權利，這符合權義復合性規(guī)則的邏輯。因此，“在合理范圍內(nèi)處理”宜為權義復合性規(guī)則。其實質意蘊是已公開個人信息處理豁免同意，但是必須在法律規(guī)定限度內(nèi)收集、存儲、使用、加工、傳輸、提供、公開、刪除等，不得對個人權益造成重大影響。

三、在合理范圍內(nèi)處理的效果

“在合理范圍內(nèi)處理”屬于權義復合性規(guī)則，從權責一致角度而言，當信息處理行為符合該法律規(guī)則時會產(chǎn)生賦權及免責兩項法律效果?！秱€保法》第13條、第27條，《民法典》第1036條概括性地規(guī)定了“在合理范圍內(nèi)處理”的法律效果，即個人信息處理具有法律基礎，信息處理者因在合理范圍內(nèi)處理個人信息而不承擔法律責任。但是這兩種法律效果的性質及其背后的法律邏輯不同。從法秩序統(tǒng)一的角度而言，對刑事責任認定也會產(chǎn)生影響。假設信息處理者在合理范圍內(nèi)處理個人信息，那么便不構成侵犯公民個人信息罪。

（一）已公開個人信息處理合法性基礎獲得的要件之一

《個保法》第13條通過列舉知情同意及五項豁免同意的情形構筑了個人信息處理的合法性基礎體系。第1款第6項將在合理范圍內(nèi)處理已公開個人信息作為豁免同意的事由。有研究認為處理已公開個人信息不適用同意規(guī)則，個人信息處理可自由進行，“甚至無需契合信息主體公開該信息時的意圖，亦不必限于信息被公開時的用途”。此觀點有待商榷，“已公開”并不能成為信息處理者以自我評估替代知情同意的根據(jù)。分析第6項可知，已公開個人信息處理完全具備合法性基礎是一個組合條件，除了“個人信息已公開”，還要求“在合理范圍內(nèi)處理”。《個保法》第27條在重申該規(guī)定的同時強調“個人明確拒絕除外”和“對個人權益有重大影響的依法取得個人同意”。綜合可知，已公開個人信息處理合法性基礎獲得的完整要件是“在合理范圍內(nèi)處理”+“個人信息已公開”+“個人未明確拒絕”+“未對個人權益有重大影響”。

“在合理范圍內(nèi)處理”作為已公開個人信息處理合法性基礎獲得要件之一的法理在于，個人信息權益本質上是一項相對權，信息主體對個人信息處理負有容忍義務。個人信息在《個保法》和《民法典》權益體系中被定性為“個人信息權益”，而不是“個人信息權”，旨在強調個人信息不僅具有人格意義，而且還具有財產(chǎn)性價值。已公開個人信息在某種程度上而言具有更加突出的公共屬性，其在合理范圍內(nèi)處理有助于實現(xiàn)多重利益，過度限制個人信息處理反而與當下引導個人信息合理利用與優(yōu)化配置個人信息資源的趨勢背道而馳。另外，公開個人信息類似于“自甘風險”，理性的人應認識到此舉意味著舍棄了部分權益而容忍他人在合理范圍內(nèi)處理其個人信息。已公開個人信息處理只要在合理范圍內(nèi)便具有合法性基礎，與大數(shù)據(jù)時代個人信息從自主支配到有序共享，個人信息保護和個人信息利用平衡的邏輯相契合。

（二）民事免責事由的要件之一

《民法典》第1036條第2項規(guī)定合理處理已公開個人信息，該自然人未明確拒絕或未侵害其重大利益則免于承擔民事責任?？梢姡谧匀蝗宋疵鞔_拒絕或未侵害其重大利益時，“合理處理”和“已公開”共同充當了“同意”的角色，主要原因在于個人自行公開個人信息推定其同意在合理范圍內(nèi)處理其個人信息，或者基于維護公共利益或信賴原則默認合法強制公開的個人信息會在合理范圍內(nèi)被處理，即推定同意或默認同意免除信息處理者在合理范圍內(nèi)處理已公開個人信息的民事責任。從合同法層面而言，同意本質上是締結合同行為。不同于一般情況下個人作出明確同意處理其個人信息的意思表示，在已公開個人信息處理場景中個人沒有同意的意思表示，而是類似默認勾選了信息處理者提供的格式合同條款?！秱€保法》第13條第1款第6項和第27條第1分句通過設置默認規(guī)則實現(xiàn)了“缺省”功能，利用個人“現(xiàn)狀偏好”的心理達到了合同契約無痕化目的。第27條規(guī)定的“對個人權益有重大影響仍需取得個人同意”是對缺省合同的阻卻，由此實現(xiàn)特定情形下合同形式和個人信息自決權行使方式的轉換，從而實現(xiàn)各方利益的動態(tài)平衡。

信息主體與信息處理者之間存在這種“合同”關系，二者心照不宣地就個人信息處理進行了“約定”，因為個人信息已公開的狀態(tài)暗含著信息主體在一定限度內(nèi)允許他人處理其個人信息，但是信息處理者應該在合理范圍內(nèi)處理個人信息，否則即使個人信息已公開，基于雙方達成的默認合意依然無法成為未在合理范圍內(nèi)處理個人信息的免責依據(jù)。雖然信息主體默認同意處理其已公開的個人信息，承擔預見個人信息自行公開后可能被不當處理卻仍然選擇公開的風險，但是如果信息處理者未在合理范圍內(nèi)處理個人信息，就超出了信息主體的授權范圍而應承擔相應的違約責任。即使信息處理者基于推定同意而獲得信息主體的授權，但是如果未在合理范圍內(nèi)處理個人信息致使信息主體權益受損，依據(jù)《民法典》第1165條第1款將承擔侵權責任?？梢姟霸诤侠矸秶鷥?nèi)處理”是免除信息處理者民事責任事由的要件之一。

（三）構成侵犯公民個人信息罪的例外情形之一

對于《中華人民共和國刑法》（以下簡稱《刑法》）是否保護已公開個人信息尚存爭議。爭議的焦點是已公開個人信息是否屬于侵犯公民個人信息罪的犯罪對象。盡管《最高人民法院、最高人民檢察院關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》和《個保法》對“公民個人信息”的界定不同，但是從侵犯公民個人信息罪屬于法定犯，司法解釋應與前置法相一致以實現(xiàn)法秩序統(tǒng)一的角度而言，已公開個人信息仍然是個人信息。另外，個人信息已公開狀態(tài)不意味著信息主體放棄了信息自決權等權益。因此已公開個人信息是《刑法》意義上的公民個人信息，否則不僅威脅已公開個人信息權益，而且會“穿透性”侵害未公開的個人信息權益。

《刑法》保護已公開個人信息的邊界何在？作為前置法的《民法典》規(guī)定合理處理已公開個人信息免于承擔民事責任，《個保法》將此情形視為個人信息處理的合法性基礎，如果《刑法》認定擅自處理已公開個人信息行為皆構成侵犯公民個人信息罪，那么就威脅了法秩序統(tǒng)一，反而不利于個人信息保護和個人信息利用的平衡。有學者即認為，“遵循法秩序統(tǒng)一性原理，已公開的個人信息適用侵犯公民個人信息罪的司法邊界取決于《民法典》和《個人信息保護法》等前置法為平衡信息主體與信息處理者之間的利益沖突所設計的‘合理處理規(guī)則’”。在合理范圍內(nèi)處理已公開個人信息不構成侵犯公民個人信息罪，否則反之。于此的機理尚存爭議。一種典型觀點認為“在合理范圍內(nèi)處理”是違法阻卻事由。反對觀點認為“在合理范圍內(nèi)處理”不符合構成要件——未違反國家有關規(guī)定，其無法作為阻卻事由構建實質出罪機制。爭議產(chǎn)生的原因是對“在合理范圍內(nèi)處理”的體系定位不同，進而采取了不同的犯罪構成認定路徑。拋開爭議，“在合理范圍內(nèi)處理”具有多重意蘊，其意味著個人信息處理行為未違反國家規(guī)定，未給信息主體權益造成重大影響，自然也無需獲得信息主體同意，處理目的及方式等正當、合理，故而不構成侵犯公民個人信息罪。

四、在合理范圍內(nèi)處理的判定

既然“在合理范圍內(nèi)處理”能夠影響信息處理行為的評價，那么信息處理是否在合理范圍內(nèi)的認定就尤為重要。目前，如何判定“在合理范圍內(nèi)處理”尚處探索階段。有研究認為，在滿足目的限制原則，手段、收集及利用行為正當性要求時即構成在合理范圍內(nèi)處理個人信息。以上判定之法體現(xiàn)的手段目的合理性，及利益衡量之精神，恰恰是比例原則要義所在。引入比例原則作為判斷信息處理者是否在合理范圍內(nèi)處理個人信息的工具能夠經(jīng)受起理論與實踐的雙重檢驗。

（一）比例原則引入的法理根據(jù)

采用“適當”“適度”“必要限度”等術語的規(guī)范是適用比例原則的依據(jù)?！霸诤侠矸秶鷥?nèi)處理”可作為比例原則適用的規(guī)范依據(jù)。在豁免同意的情況下，又將已公開個人信息處理限定在“合理范圍內(nèi)”表明信息處理者的個人信息處理權存在邊界，這與比例原則的“禁止主體過度行權”要義吻合。信息處理者在合理范圍內(nèi)處理已公開個人信息作為缺省規(guī)則，以默認助推的方式增加個人信息流通收益，減少個人信息保護成本，可謂比例原則效能分析的具體體現(xiàn)。規(guī)范設置及其構造背后隱藏著更為重要的價值考量，其與比例原則蘊含的理念高度契合?！霸诤侠矸秶鷥?nèi)處理”是利益平衡嵌入立法的結果。利益衡量的本質是公正地分配資源，比例原則素有正義化身之稱，多元利益的衡量正是其題中之義，其是可將抽象的利益衡量具化為規(guī)范結構的法律工具。

可適用性分析還需回歸到比例原則本身。比例原則早已從規(guī)制公權力干涉私權利的公法原則蔓延到界定公民權利行使范圍的準則，具有設定權利和義務的本體論意義，以及檢視公權力限制私權利是否正當，私權利限制私權利是否合理的方法論價值，用其判斷信息處理者是否在合理范圍內(nèi)處理個人信息未超出比例原則的適用范圍?！霸诤侠矸秶鷥?nèi)處理”賦予處于強勢地位的信息處理者權益的同時限制了信息主體相對性基本權利——個人信息權益，這種限制的正當性需要廣泛的論證，比例原則恰好“可為判斷者提供可操作性和可驗證性的思考框架，并可為最終的判定結論提供具有說服力的論證理由”。比例原則的邏輯構造是由環(huán)環(huán)相扣、層層遞進的子原則組成的結構性規(guī)范，作為分析工具，可避免自由裁量過度滲入，并提供精細的判定框架及清晰的判定思路，幫助得出更為合理的判定結果。

（二）比例原則指引下的審查框架

比例原則的邏輯構造有“二階說”“三階說”和“四階說”?！八碾A說”在適當性、必要性、均衡性原則之上增加了目的正當性原則?；谧畲蟪潭鹊乜貦嗪头鋈?，“四階說”更為完善。應該明確比例原則僅是作為法定個人信息處理原則的規(guī)范化手段——在滿足比例原則適用情況下，依次審查比例原則的子原則來確定法定個人信息處理原則在具體案件中的規(guī)范內(nèi)涵。由此形成了以比例原則為綱，其四項子原則為目，合法、正當、必要、誠信等個人信息處理原則為科，以及禁止過度收集等個人信息處理規(guī)則為屬的融貫性審查框架。審查框架分為兩個層級，第一層級明確公共利益、信息處理者利益、信息主體利益，以及三者是否存在沖突，實質是考慮個人信息處理是否限制信息主體的個人信息人格權益等相對性基本權利，是否需要限制這種限制，這是比例原則適用的前提。同時，將個人信息類型、處理目的及手段等納入第二層級中作為判定是否符合比例原則子原則的要素。根據(jù)這些要素，來回穿梭于事實與個人信息處理原則及規(guī)則之間，依次審查事實是否符合比例原則的子原則，若符合四項子原則即可認定信息處理者在合理范圍內(nèi)處理個人信息，否則反之。

（三）比例原則審查框架的檢驗分析

“貝爾塔案”和“匯法正信案”是兩起被告收集、轉載裁判文書網(wǎng)已公開的裁判文書，原告要求刪除涉及自身的裁判文書，被告拒絕刪除裁判文書的案件。兩起案件相似，但裁判結果相異，值得以此為例檢驗比例原則的適用。就第一層級而言，兩案皆從個人信息處理是否限制了信息主體權益，個人信息處理是否應當受到限制兩個方面作了初步的利益衡量。在第二層級中，首先，審查目的正當性。兩起案件中個人信息處理目的皆為商業(yè)用途，就其合法性存在分歧?！柏悹査浮币栽嫦碛卸无D播拒絕權為由支持刪除裁判文書，實則否定了已公開個人信息的商業(yè)價值。據(jù)此，法院認為違背目的正當性原則，直接作出判決。而“匯法正信案”基于數(shù)字經(jīng)濟發(fā)展的需要，肯定了個人信息商業(yè)利用的正當性，認為個人信息處理行為符合目的正當性原則。后者判決更為合理，《個保法》第13條并未將已公開個人信息處理目的限定在“公共利益”，可推知商業(yè)用途包括其中。申言之，建議將信息處理者及第三人正當利益作為個人信息處理的法律基礎。

其次，審查適當性。此原則考察手段與促進目的的匹配度，當手段的使用能夠促進目的實現(xiàn)便符合該原則?！皡R法正信案”認為刪除裁判文書有礙司法公正，等同于承認轉載裁判文書有助于司法公正；個人信息處理目的與裁判文書公開的初始目的一致便符合適當性原則。這遵循了目的限制原則，將個人信息公開時初始目的及信息主體預期作為判斷要素。據(jù)此，裁判說理有一定的說服力。

再次，審查必要性。必要性原則強調實現(xiàn)目的使用的手段具有不可替代性，“在合理范圍內(nèi)處理”意味著信息處理者限制信息主體權益的手段是必要的，且手段對其他主體利益的損害是最小的。當尚有損害最小、最輕的方式，卻未選取，便違背了該原則。轉載裁判文書的確有利于司法公正，但是轉載個人信息并非損害最小、最輕的方式。轉載裁判文書與轉載個人信息不同質，可保留轉載裁判文書，對其中個人信息作匿名化處理。因而，認為個人信息處理行為符合必要性原則以乎過于武斷。

最后，審查均衡性。均衡性原則為狹義比例原則，主要審查手段與損益結果的合比例性。個人信息處理給參與主體帶來的收益，以及對信息主體造成的損害是可接受的，且促進了信息處理者利益和公共利益實現(xiàn)，便符合均衡性原則?！柏悹査浮眱?yōu)先保護信息主體權益，認為再次處理個人信息需要尊重信息主體權益，且轉載行為嚴重侵害了信息主體的就業(yè)權益，原告有權要求刪除裁判文書?！皡R法正信案”優(yōu)先保護司法公正等公共利益，認為再次處理個人信息可以避免司法機關壟斷數(shù)據(jù)，促進司法公正，被告拒絕刪除裁判文書未侵害原告?zhèn)€人信息權益。兩案的利益衡量可能有所偏差?！熬庑栽瓌t的‘均衡’并非簡單的利益對等式均衡，而是個體權利優(yōu)先兼顧公共利益基礎上的均衡?！本鈨r值追求，僅在必須取舍時方可犧牲其他法益。

五、在合理范圍內(nèi)處理的保障

信任作為行為的內(nèi)驅力，發(fā)揮著積極履行義務，保障權利的指向性作用。數(shù)字信任的建立有賴于個人信息處理場域中的主體切實履行義務，以及附著于個人信息的權益得到關照。總體而言，就是兼采權利化保護模式和行為規(guī)制模式協(xié)同確保信息處理者在合理范圍內(nèi)處理個人信息。

（一）數(shù)字信任的建立

信任指主體在人際交往中相信自己的利益得到安全庇護的心理狀態(tài)。數(shù)字信任主要指在技術運用場景中雙方或多方對彼此積極履行義務，適度行使權利，實現(xiàn)正當利益，共同構建數(shù)字安全世界的信心。在個人信息處理場域，數(shù)字信任可概括為個人信息處理參與的雙方或多方對保障個人信息安全的能力所持有的信心，即相信個人信息處理是一項能夠使我們獲益而非利益遭受到損害的活動。一是信息主體基于相信信息處理者會在合理范圍內(nèi)處理其個人信息而愿意提供個人信息以獲得產(chǎn)品或者服務；二是信息處理者期望信息主體基于對其提供優(yōu)質服務和產(chǎn)品、保障個人信息安全能力的肯定而自愿提供個人信息；三是暗含著國家期待信息處理者和信息主體在合理范圍內(nèi)行使權利以促動公共利益最大化。

信息處理者未在合理范圍內(nèi)處理個人信息現(xiàn)象頻發(fā)，與數(shù)字信任缺失密切相關。人們對大數(shù)據(jù)心生恐懼的本質是陷入數(shù)字信任危機之中——“個人恐懼其信息被處理者反過來侵害自身，處理者顧慮個人濫用其權利，國家則擔憂個人和處理者罔顧公共利益”。即使個人信息處理獲得了合法性基礎，但是如果信息處理者僅注意到形式授權，未實質性地遵守義務以維系信任，那么“反公地悲劇”和“公地悲劇”惡性循環(huán)不可避免。從促進信息技術發(fā)展角度而言，防止“反公地悲劇”的出現(xiàn)依賴內(nèi)生性數(shù)字信任激勵信息主體提供個人信息；從保護個人信息安全角度而言，亟需通過外生性數(shù)字信任規(guī)范個人信息處理行為，避免“公地悲劇”上演。數(shù)字信任的建立有助于解決狹長的個人信息處理鏈條上行為失范的問題，一方面內(nèi)生性地促使信息處理者遵循個人信息處理規(guī)則，另一方面外生性地消解法律信任危機，這本質上是秉持德法共治的理念通過道德教化和法律引導實現(xiàn)個人信息處理的道德性、安全性和合規(guī)性。

（二）義務的積極履行

數(shù)字信任的建立及其作用的發(fā)揮脫離不了數(shù)字責任，而數(shù)字責任的擔負取決于義務履行情況。義務與責任的配置旨在限制信息主體和信息處理者的權利，規(guī)范主體行為，以此統(tǒng)籌兼顧信息主體利益、信息處理者利益和公共利益，本質上是追求個人信息保護和個人信息利用的平衡。出于均衡個人信息附著的多重利益的考量，當下相關立法并未采取“權利化模式”，而是“行為規(guī)制模式”，尤其是從《個保法》將信息處理者視為第一責任人，規(guī)定了一系列義務可見一斑。企圖依托“行為規(guī)制模式”達到保護個人信息安全的目的也仰賴義務的履行。

基于已公開個人信息突出的公共屬性，個人既是公益事業(yè)的參與者也是受益者，有義務和責任允許他人在合理范圍內(nèi)處理個人信息。另外，個人作為信息的所有者，個人信息處理不當會損害個人權益和公共利益，因此也負有促使信息處理者在合理范圍內(nèi)處理其個人信息的義務。一方面在使用個人信息時不應為了個人利益而忽視個人信息安全，實施諸如以個人信息換取免費服務等短視行為，另一方面信息主體應跟蹤監(jiān)管個人信息處理情況，如果信息處理者未在合理范圍內(nèi)處理個人信息，應該采取相應措施阻止危害結果出現(xiàn)。

信息處理者作為個人信息處理風險直接制造者、個人信息處理受益者，掌握個人信息處理技術，具備個人信息處理風險的治理能力，由其控制個人信息處理風險符合公平原則。結合《個保法》第13條和第27條之規(guī)定，“在合理范圍內(nèi)處理”規(guī)則的設置對信息處理者更有利，減免了其取得明確授權的義務，“助推”其處理個人信息。因此，信息處理者在行使相應權利時須謹慎、慎重地處理個人信息，積極履行個人信息保護影響評估等義務。其一旦未在合理范圍內(nèi)處理個人信息，不僅會阻卻已公開個人信息處理合法性基礎的獲得，而且要承擔相應的法律責任。

（三）權利的有效保障

盡管我國個人信息保護未選擇權利化模式，但是面對侵害個人合法權益行為頻發(fā)的現(xiàn)狀，除了加強個人信息保護立法，強化信息處理者責任及其自律外，還需要賦予信息主體抗止信息處理者不當行為的權利，以此形成“事先預防和事中控制為主的保護模式”?！秱€保法》賦予了信息主體知情權、決定權、查閱權、復制權、可攜帶權、更正權、補充權、刪除權、起訴權等各項權利。已公開個人信息主體除享有上述權利外，還享有“特別”拒絕權?！皞€人明確拒絕權”是阻止信息處理者不在合理范圍內(nèi)處理已公開個人信息的“利器”，與之配套的是要保障已公開個人信息處理的透明性，信息處理者主動披露個人信息處理目的等事項。一方面，產(chǎn)生信任危機的重要因素之一是處于特定關系中的雙方信息不對稱，增加透明性能改變信息處理者與信息主體信息不對稱的情況，增進彼此信賴，建立數(shù)字信任；另一方面，便于信息主體了解個人信息處理情況，適時行使拒絕權等各項權利，加強個人信息不當處理的事前預防和事中控制。

當然，信息主體近乎不受限制地行使個人明確拒絕權在滿足已公開個人信息保護特殊要求的同時，可能會損害信息處理者利益乃至公共利益。個人明確拒絕權在維護公共利益場域內(nèi)受限，非公權力機關處理個人信息同樣能增進社會福祉?；诖?，信息處理者在負擔義務的同時也享有處理個人信息并獲取利益的權利。如果不保障信息處理者享有依附于個人信息之上的數(shù)據(jù)權利，對其苛責過重的義務，賦予信息主體過于絕對的權利，這一方面違背了禁止剝奪他人正當利益的正義理念，另一方面可能引致個人信息權益濫用，還會使得個人信息保護和個人信息利用失衡，及其背后的利益分配失去“善”的支撐。所以應給予信息處理者正當權益必要的關照，疏堵結合地引導其規(guī)范個人信息處理行為。

六、結語

已公開個人信息依然是個人信息，且與個人隱私存在交叉關系，三者“俱損相依”。在風險社會，保護已公開個人信息具有保護非公開個人信息和個人隱私的附隨效果?！霸诤侠矸秶鷥?nèi)處理”本質上而言是個人信息保護和個人信息利用的平衡之道，其實際上遠不止于適用于已公開個人信息處理場景中，在所有個人信息處理場景中皆應一以貫之。從此角度而言，本文選取已公開個人信息視域的原因在于相比較其他類型信息而言，已公開個人信息具有“已公開”的特質，而且在開源時代，越來越多的個人信息處于公開狀態(tài)，以此切人能夠從特殊到一般、特別到普通，考察“在合理范圍內(nèi)處理”于整個個人信息保護規(guī)范體系中的定位，從而試圖將“在合理范圍內(nèi)處理”提煉出抽象理論，指導整個個人信息保護實踐。通過研究，可以做如下總結。

首先，“在合理范圍內(nèi)處理”具有價值導向和規(guī)范指引功能。雖然在其他個人信息處理場景中，合理地處理個人信息似乎是不言而喻的，但是在已公開個人信息處理場景中，個人信息處理豁免同意，很大程度上而言，個人信息安全的實現(xiàn)更依賴信息處理者自律、積極履行合規(guī)義務，因而“在合理范圍內(nèi)處理”具有更為重要的意義，承載著更為重大的使命，平衡已公開個人信息附著利益、補充知情同意規(guī)則和具化“信賴”理念發(fā)揮著價值導向和規(guī)范指引功能。

其次，作為權義復合性規(guī)則，“在合理范圍內(nèi)處理”具有雙重構造，決定了其判定需進行利益衡量?！霸诤侠矸秶鷥?nèi)處理”與《個保法》中的“合理使用”不同，除了屬于違法阻卻事由層面的范疇，還歸屬于合法處理事由下個人信息處理者的義務范疇，具有明顯的“二階性”，包含設定義務、賦予權利等面向。因而，當已公開個人信息處理在合理范圍內(nèi)，符合其他規(guī)范構成要件因素便能獲得合法性基礎時，信息處理者便能夠免于承擔相應的責任。可見，其判定十分重要。已公開個人信息弱保護的形成本質上是利益衡量的結果，“在合理范圍內(nèi)處理”的設定便是集中體現(xiàn)，因而其判定可引入比例原則在具體場景中進行利益衡量，以求實現(xiàn)多重平衡。

最后，規(guī)范目的之實現(xiàn)依賴于法律規(guī)則的遵守，即“在合理范圍內(nèi)處理”得到切實保障?！霸诤侠矸秶鷥?nèi)處理”的設置背景便是大數(shù)據(jù)時代數(shù)字信任缺失，導致個人信息主體權利得不到保障，信息處理者不積極履行義務。數(shù)字信任下的權利和義務之形態(tài)實際上就構成了詮釋“在合理范圍內(nèi)處理”的邏輯前提，“在合理范圍內(nèi)處理”能夠發(fā)揮功能，其具體評判皆沿著“權利一義務”框架展開，這就決定了必須重塑個人信息處理場景中的“權利一義務”框架體系，灌輸“在合理范圍內(nèi)處理”的價值理念，從而實現(xiàn)個人信息利用與個人信息保護平衡的總體目標。

（責任編輯：曹鎏）

基金項目：2023年度中國博士后科學基金第73批面上資助項目“大數(shù)據(jù)偵查中個人信息保護研究”（項目編號：2023M733922）；2023年度中南財經(jīng)政法大學中央高?；究蒲袠I(yè)務費專項資金資助項目“大數(shù)據(jù)偵查中個人信息保護研究”（項目編號：2722023BQ034）。