杨芳：重构公开个人信息处理的特殊合法事由——以区分自行公开与他人合法公开为核心

作者：杨芳（海南大学法学院教授，法学博士）

出处：《比较法研究》2023年第6期

一、问题的提出

二、个人自行公开信息之处理行为的特殊合法事由：同意及其范围

三、他人合法公开个人信息之处理行为的特殊合法事由：目的兼容下之同一类型的合理使用

四、结论

摘要：个人自行公开与被他人合法公开其个人信息，二者存在本质差异。我国个人信息保护法第27条的“不作区分，统一规则”与毫无限制的拒绝权之立场值得商榷。自行公开个人信息，意味着向不特定人作出了同意处理的意思表示。应从客观的信息处理者角度，对同意有效性及其具体内容作出解释。事先拒绝应当理解为明确框定同意的范围，是否有效依意思表示解释规则为断；事后拒绝权不能被理解为任意撤回权；后续处理处于同意范围内的，信息主体无事后拒绝权。他人合法公开个人信息，意味着该信息处理行为属于合理使用情形；若后续处理行为因目的兼容而与他人合法公开属于同一类型的合理使用，则信息主体无权拒绝。

关键词：自行公开；他人合法公开；同意；目的兼容

问题的提出

《中华人民共和国个人信息保护法》（以下简称“《个人信息保护法》”）第27条就公开信息处理作了特别规定：“个人信息处理者可以在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息；个人明确拒绝的除外。个人信息处理者处理已公开的个人信息，对个人权益有重大影响的，应当依照本法规定取得个人同意。”逻辑结构上，本条可区分为如下三种情形：未经同意，有权在合理范围内处理公开个人信息；个人拒绝的，不得在合理范围内处理个人信息；对个人权益有重大影响的，无论处理范围是否合理，未获得个人同意，则不得处理个人信息。该条有如下值得辨析和追问之处：

　　第一，统一规则立场是否得当？本条仅排除了非法公开，对于个人自行公开和其他途径的合法公开等同视之，采用同一规则：处理行为原则上无需个人同意，除非个人拒绝或者对于个人权益有重大影响。既然非法公开并不属于在个人信息处理上可以适用特殊规则的公开，那么当前相关规则架构的逻辑基点和正当化理由就不可能是“信息已被公开这一状态”，而是被公开的缘由，保护的就不可能是处理者对于信息来源的合理信赖，而是因为公开行为中隐含着某种决定或者利益需求。然而，自行公开与被他人合法公开，二者在公开理由和信息主体是否具有决定权上显然不同。二者适用毫无差别的规则，是否有违正义？

　　第二，无需同意即可处理自行公开或被合法公开的信息，这一规则正当性何在？知情同意乃个人信息处理合法事由的核心规则，乃《个人信息保护法》之基石。为何处理经合法公开之信息，原则上却无需信息主体的同意？既然无需同意，为何信息主体又有权拒绝？

　　第三，不受限制的拒绝权和模糊的同意权，其正当化理由何在？《个人信息保护法》并未承认信息主体享有一般性的拒绝权，第27条为何独在公开信息的再次处理上，引入这一权利？此外，根据《个人信息保护法》第13条第1款，个人信息处理合法事由除了同意，尚有其他无需信息主体同意的情形，未见“对个人权益重大影响的”需获得同意之规则，为何已公开的个人信息处理情形下，信息主体被额外优待？抑或，这仅是未经慎思的立法缺漏？

　　上述问题正是公开个人信息处理行为合法性边界的前提问题，攸关后续具体规则的展开，不可不察。另外，必须强调的是，第一，在规范适用和信息处理者的义务方面，处理公开信息之行为与其他所有的信息处理行为，毫无差别。所有的个人信息处理行为，就个人信息权益保护层面而言，都同时受到《个人信息保护法》和《中华人民共和国民法典》（以下简称“《民法典》”）的规范。所有的个人信息处理者，除非构成无须适用《个人信息保护法》的私人事务（《个人信息保护法》第72条），都必须遵循《个人信息保护法》所设定的义务，尤其是目的限制与告知义务，亦即，公开信息之处理行为，并无特别的义务豁免事由。第二，在信息处理的合法事由方面，处理公开信息的行为与其他所有的信息处理行为，也毫无差别，皆须符合《个人信息保护法》第13条第1款列举的情形。《个人信息保护法》并未针对处理公开信息的行为特设额外的合法理由，更未推定该行为必然合法。因此，本文的论述仅限于已公开个人信息处理合法事由判定中的特殊问题：对于已被合法公开的个人信息的进一步处理，其在合法事由的判定上，和处理未被公开之个人信息，有何不同？这些不同之处的理论基础何在？

　　个人公开信息后续处理的合法性边界，本非《个人信息保护法》出台后的新问题。早前的学术研究集中于裁判文书公开中的个人隐私保护，近些年，随着新浪微博诉脉脉案等公开信息爬取纠纷的频发、搜索引擎的广泛运用以及《个人信息保护法》的生效，逐渐成为民法、个人信息保护法、竞争法、刑法的共同关注对象。其中不乏颇有见地和说服力的论断。然而，迄今，未见以区分自行公开和被他人合法公开为视角分析规则差异的文献；也未见澄清笔者上述三项困惑的作品。为此，本文遵循如下论证脉络：以个人自行公开和他人合法公开这两种公开类型在性质上存在根本差异为理论基石，分别探讨两种情形下，后续信息处理特殊合法事由之不同判定路径，并对《个人信息保护法》第27条作出合乎事理的解释与限制。

个人自行公开信息之处理行为的特殊合法事由：同意及其范围

　　根据《个人信息保护法》第27条的规范架构，处理个人自行公开的个人信息，若非对于个人权益有重大影响，无需得到信息主体的事先同意；但是，信息主体有权明确拒绝。以下回答三个问题：自行公开信息的后续处理为何可以无需取得信息主体的同意？为何以及何种情形下又需要重新引入同意？如何理解与限制拒绝权？

（一）理论基础探究：“合理使用”抑或“同意”

　1.个人信息的合理使用

　　《民法典》借镜我国著作权法第24条，创造性地在第999条和第1020条规定了人格标志的合理使用制度。构成合理使用的，无需人格权人的同意，人格权人也无从反对与拒绝。因为，并非每一次未经同意而使用他人人格标志都触及了人格利益，不仅如此，即便触及了人格利益，在某种场景下，如果冲突利益具有更高的保护价值，人格利益不妨退让。由于价值衡量的场景丰富多元，立法上绝无法穷尽，所以上述条款并非对人格标志合理使用的封闭列举，未被明确列举的情形也可以构成合理使用。

　　合理使用与“在合理范围内处理”（《个人信息保护法》第27条）或者“合理处理”（《民法典》第1036条第（二）项）不可混为一谈，前者是违法阻却事由层面的概念，后者是任何一种合法处理事由之下信息处理者须遵守的行为义务。《个人信息保护法》并未明确规定个人信息的合理使用制度，能否突破《个人信息保护法》第13条第1款的明文规定，承认合理使用也可构成个人信息处理合法事由之一，成为目前研究之热点。正反立场之选择，皆面临如下两难境地：若承认合理使用，则《个人信息保护法》第13条第1款关于个人信息处理合法理由之封闭列举的规范设计将被釜底抽薪，这显然与加强保护个人信息权益、最大限度尊重信息主体自决权的立法初衷相悖；若不承认合理使用，由于我国个人信息保护法未如欧盟《通用数据保护条例》（GDPR）规定“四类目的条款”和“合法利益条款”，当前规范对于个人信息处理中的利益冲突和具体场景的复杂性显然回应不足。

　　本文认为，价值上，既然和人格尊严较为密切的姓名、肖像等人格标志皆可被合理使用，那么，举重以明轻，并非必然承载着人格利益的个人信息，尤其是琐碎信息，自然也可以被合理使用；并且，个人信息是人类社会交往的必要，个人信息的收集、处理和传递本属事理之必然，要求凡是不属于私人事务例外规则含括下的个人信息处理，都必须具备《个人信息保护法》第13条第1款明定的合法理由，无异于人为设置信息垄断。如此一来，信息流通反而是需要提供特别理由的例外情形，如此法政策上的重大转向，显然不当。因此，法技术上，可充分激活《个人信息保护法》第13条第1款第（七）项，将《民法典》第998条、第999条和第1020条归入“法律规定的其他情形”，承认个人信息可被合理使用。

　　然而，个人自行公开的个人信息之特殊处理规则，其理论基础却并非来自于个人信息的合理使用。第一，合理使用和利益衡量乃同义语，无论公开信息还是未公开信息，均有利益衡量的可能性和空间。合理使用并非公开信息独有的处理理由，当然无法构成个人自行公开信息特殊处理规则的理论依据。第二，与人格尊严密切相关的个人信息，以及一经处理将对信息主体人格或者财产损害构成极大风险的个人信息，信息处理者的利益在价值序列上劣于个人信息权益。若非信息主体之同意，则处理行为违法，并无合理使用之空间。此类个人信息的滥用风险，显然不因被信息主体自行公开而降低。因此，此类公开信息的特殊处理规则，在理论依据上与合理使用无关。第三，在违法阻却事由上，合理使用与同意构成了逻辑上的矛盾关系。构成合理使用的，人格权人或者信息主体被取消了决定权，在法律上无权阻止他人继续使用，事前事后均无拒绝的权利。而《个人信息保护法》第27条第一句规定，对于个人自行公开之信息，个人拒绝的，不得处理，赋予信息主体干涉信息处理的权利，即信息处理者之所以能处理个人自行公开的信息，法律上的理由仅在于该信息主体并未对这一信息处理行为作出拒绝。这一规则设计和排斥个人同意的合理使用制度，显然大为不同。

　　总之，规范个人自行公开信息之处理的《个人信息保护法》第27条，无论是第一句的“个人拒绝的，不得处理”规则，还是第二句的“非经同意不得处理”规则，其理论基础都不可能来自于个人信息的合理使用。

　2.作为理论基础的“同意”

　　个人信息处理违法阻却事由或者合法事由，被立法表达为“合理使用”的价值衡量和信息主体之同意，二者在逻辑上构成了二元对立，非此即彼。既然个人自行公开信息的特殊处理规则之理论基础不是排斥信息主体自决权的个人信息合理使用制度，那么只能来自于信息主体之同意。

　　个人自行公开其个人信息这一行为，在法律上构成了对不特定人作出的允许该个人信息在一定目的下被处理的同意。亦即，个人行使源自其主观权利的自决权，通过将个人信息置于公共空间，表明同意他人在一定目的范围内处理其个人信息，对于信息处理作出了《个人信息保护法》和《民法典》意义上的同意。从隐私权保护的角度而言，个人自行公开即意味着，隐私权人自愿将隐私信息从秘密状态改为可被公众获知的状态，个人通过自行公开拆除了隐私信息的保护墙，表达了允许他人随意获取的意愿：公众阅读浏览该信息的行为之所以是合法的，恰是因为这完全符合隐私权人的自决。

　　处理个人自行公开的信息之所以原则上无须再次得到信息主体的明确同意（《个人信息保护法》第14条第1款），正是因为该信息主体已经通过公开这一行为作出了同意。既然处理合法理由系于信息主体可推断的同意，那么信息主体可以通过事先拒绝，来明确框定同意的范围，从而对后续处理的场景和目的施加限制。这正是《个人信息保护法》第27条第一句的含义。而对于与人格尊严联系较为密切的、滥用风险较大的特殊的信息类型或者特殊的处理方式，在判定自行公开是否构成同意时，解释上需要更加谨慎；有疑义时，需要得到信息主体的明确同意。这是《个人信息保护法》第27条第二句中“对个人权益有重大影响时，需经同意”立场的含义。

　　一言以蔽之，自行公开的个人信息能否被再次处理，取决于特定场景下的自行公开能否被解释为有效的同意；个人自行公开的个人信息之后续具体处理方式和处理目的等事项如何确定，取决于该有效同意的具体内容。由此，处理自行公开个人信息的行为之特殊规则可概括为：既然已经得到同意，则无须再次获得同意。

　（二）个人信息自行公开中“同意”的解释方式

　1.解释规则：客观的信息处理者之角度

　　个人自行公开其个人信息这一行为，在法律性质上，不仅构成《个人信息保护法》合法处理事由意义上的同意，也构成了《民法典》人格权编中违法阻却事由意义上之同意。同意究竟是法律行为，抑或准法律行为、事实行为，学界素有争议。

　　有观点认为，《个人信息保护法》上的同意并不指向法律关系的得丧变更，仅仅是对特定信息处理行为的允许，因此，是一种没有意思表示要素的具有法律意义的行为。并进一步主张，若将同意归入意思表示之列，将产生法律适用上的难题，且和《个人信息保护法》的现行规范不符，尤其是同意能力、意思表示瑕疵、撤回权和撤销权问题。

　　本文认为，《个人信息保护法》上的同意在性质上属于意思表示。首先，根据对于既有权利的处分强度不同，同意可以划分为最底层的、没有为自己设置负担、也没有让渡任何权利的仅构成违法阻却事由的受害人同意，以及现实让渡某种权利的同意。前者最典型的表现为针对医疗行为的同意，同意的法律效果和目的在于将非法加害行为扭转为合法行为，系争医疗行为因此不构成侵权行为，双方之间法律关系之变化不可谓不重大；后者典型者是肖像商业利用中对于肖像上财产成分的让渡，相对人因此获得了一定程度上使用肖像财产成分的权利。其次，《个人信息保护法》上的同意构成了上述两种类型中的受害人同意。法律效果类似于医疗行为中的同意，使非法的信息处理行为转换为合法，从而信息处理者和信息主体之间的法律关系从侵权之债转化为合法利用行为。法律关系确有变动。再次，即便认为医疗行为中的受害人同意的作用仅在于正当化医疗行为，并未对法律关系产生任何影响，并非意思表示，《个人信息保护法》中的同意也大有不同。《个人信息保护法》上的同意并非仅仅指向事实上的侵害行为，恰恰相反，信息主体通过确定同意的范围来影响并选择了处理行为的法律效果。《个人信息保护法》上的同意是知情同意，信息处理者负担告知义务，这一告知义务正是旨在使信息主体获知同意可能产生的法律效果。信息主体正是依据告知书来确定同意的范围，从而选择自己所意愿的法律效果。最后，即便将《个人信息保护法》上的同意归入意思表示，规范适用上也并无太大难题。未成年人的同意能力可被视为行为能力的特殊条款（详见下文）；《个人信息保护法》第14条规定，同意必须自愿作出，因此，若同意具有意思表示瑕疵情形，例如，被非法胁迫、被欺诈、基于重大误解作出，可优先适用更为严格的《个人信息保护法》第14条，同意自始无效，排除《民法典》中关于撤销权及除斥期间条款的适用；至于《个人信息保护法》第15条的撤回权，显然与《民法典》第141条规定的意思表示发出后到达相对人之前的撤回权完全不同，是基于特别目的特别赋予的权利，可视为《个人信息保护法》领域为意思表示规则提供的新制度。

　　实际上，对于法律适用而言，或许没有必要高估这种争论的意义。因为，即便将同意归入非法律行为之列，《民法典》中关于法律行为的相关规范仍有准用之可能，尤其是，同意的效力依据意思表示效力规则予以判断。即使将同意归入法律行为之列，《民法典》中关于法律行为的规范也并非得以全盘适用，仍需排除某些与同意之本质相悖的规范，例如，排除行为能力规范，代之以个案中的同意能力判定。如此一来，无论如何定性同意，在法律适用上，结果往往是一致的。本文认为，个人自行公开其个人信息构成了以可推断的方式、向不特定人作出的无需受领的单方意思表示，其在效力判断和解释上，依据意思表示规则以定。

　　不解释，无以理解意义。特定场景的公开是否构成了有效的同意以及同意之内容具体为何，均乃意思表示的解释问题。解释时，应从一般的客观的理性相对人的角度出发，亦即，一般的公众而非特定的信息处理者对于该公开作何理解。因为，意思表示解释之目的从来不是探求当事人之内心真意，而是通过外在行为表示出来的表示真意。不仅如此，并非所有的无需受领的意思表示，在解释上均无需顾及他人。一旦个人信息在特定场合、特定媒介被公开，则意味着该个人信息从秘密状态转为公开状态，则可能出现并激发他人对该信息的处理行为，而该信息处理行为是否被允许又完全取决于同意是否生效及其具体内容，由此，客观的信息处理者的信赖利益显然具有较高的保护价值，解释时不可忽视。《通用数据保护条例》对于敏感个人信息采取禁止处理立场，除非符合例外情形，第9条2款e项规定其中一种例外情形：“显而易见”是由信息主体自行公开的敏感个人信息”，他人可以处理。这里的“显而易见”，正是上述意思表示解释规则之体现：从外界的客观的观察者角度可理解为信息主体自行公开即可。

　　《民法典》第142条针对有相对人和无相对人意思表示的解释方法分设两款，措辞不同。从立法表述上看，最为核心的差别在于两种意思表示之解释目标和终点似有不同，前者在于“确定意思表示的含义”，似乎定位为意思表示的客观含义；后者却在于“确定行为人的真实意思”，似乎定位为意思表示人之主观意愿。本文认为，不能据此一概将无需受领的无相对人的意思表示之解释标准定为“竭力探求当事人之真意”。这一解释标准根源于意思主义立场，忽略了无相对人意思表示场景下也存在他人信赖利益之保护问题，因此，这一解释标准并不可取。不仅如此，其实际上也与第142条第2款中“不能完全拘泥于所使用的词句，而应当结合相关条款、行为的性质和目的、习惯以及诚信原则”之解释路径存在矛盾。

　　此外，《民法典》第1021条规定了肖像许可使用合同的特殊解释规则：“当事人对肖像许可使用合同中关于肖像使用条款的理解有争议的，应当作出有利于肖像权人的解释。”该条的规范意旨在于在肖像商业利用中倾向保护肖像权人的人格利益。能否根据这一规范的表述和法政策立场作出如下推论，值得辨析：第一，既然作为双方法律行为的肖像许可使用合同的解释，都可以将相对人的利益置于肖像权人人格利益之后，那么肖像权人自行公开其肖像，这一无需受领的单方法律行为，自然更有理由无需顾及相对人利益。第二，个人自行公开非肖像的其他个人信息的，为了保护其个人信息权益，也应在解释上倾向于信息主体。凡人格权人作出的和其人格利益相关之意思表示，解释上都须毫无限制地有利于人格权人，若非如此无法保护其人格利益，这一解释路径，无异于赋予人格权人任意撤回其意思表示之权力，相对人之信赖成本将化为乌有，交易安全将受到冲击。有观点也意识到不能机械理解“应当作出有利于肖像权人的解释”这一规则，该规则无法排除其他解释方式，应当综合运用《民法典》合同编所规定的解释方法，以保护交易相对人之信赖利益。而值得注意的是，和我国民法典第1021条不同，德国KUG第22条第2款恰恰反其道而行之，对于同意这一单方法律行为，在解释其是否有效作出上，并未采取有利于肖像权人之立场，而是规定，若是肖像权人对于肖像制作本身获得了报酬，有疑义时，视为已经作出同意（Einwilligung）。法律不经解释无法适用。无论应当根据何种因素，将《民法典》第1021条的特殊解释规则限定在合理范围之内，这一规范断不可被理解为所有类型的肖像许可使用合同中，对肖像使用条款存在争议的，一概采有利于肖像权人之立场。这一特殊解释规则更不可被泛化类推适用至所有和人格利益或者个人信息权益相关的意思表示的解释上。

　　总之，特定的公开是否构成有效的同意及其范围如何，需从客观的信息处理者的角度予以判定，这不仅是意思表示解释一般原理的当然之意，也完全契合我国目前实证法之应然与实然立场。

　2.解释立场：严格立场

　　知情同意是《个人信息保护法》中个人信息处理合法理由之核心。非信息主体之同意，除非符合例外情形，不得处理个人信息，此乃各国个人信息保护规范体系之通行规则，这也正是个人信息自决权作为个人信息保护规则之基石的最佳体现。根据《个人信息保护法》第27条，个人自行公开之信息适用特殊处理规则：原则上，无须得到信息主体之同意，且信息主体无从依据第15条撤回同意来阻止他人处理（详见下文），且并非任何情形下的拒绝都可阻止他人处理（详见下文），如此规则，抽离了知情同意基本原则和信息主体对于自己信息之控制权，转向不可谓不重大。因此，本文认为，对于是否构成有效的自行公开应当依据上述意思表示解释规则，采严格主义立场：公开，乃对不特定公众的公开；有疑虑时，推定信息主体并未自行公开。

（三）“同意”的作出与生效

　　同意作为意思表示，其效力判定标准应当适用《民法典》第143条及其以下条款，自不待言。这里仅关注自行公开个人信息中的特殊问题：第一，公开个人信息这一行为，其表示行为和表示意识之有无的判断标准，是否需要引入特殊规则；第二，搜素引擎或者爬虫技术等个人信息处理方式，是否因所谓的“技术中立”得以随意处理公开信息，在合法事由上豁免同意之要求；第三，未成年人如何有效作出同意。

　1.表示行为和表示意识

　　从客观的信息处理者角度来看，信息主体必须有意识、积极地作出公开的行为（表示行为），且应当意识到自己的公开行为在法律上具有交出自己的信息的含义（表示意识）。

　　第一，公开行为必须是积极行为。信息主体必须积极地实施了某种行为，从中可以解读出包含着同意公开其个人信息的法律效果的意图。例如，将自己的个人信息置于匿名的不特定的公众均可登入的网络平台上，且并未对信息获取设置任何技术上的屏障，这就意味着信息主体已经作出了积极的公开行为。相反，该个人信息存在于公共空间或者公开状态，这一消极状态，尚不足以推断出必然构成有效的同意。

　　第二，只有对不特定公众而非一定群体的公开，才构成允许公众处理其个人信息的同意。将个人信息放置于社交平台等一定群体才能登入和获知的场合，并不构成此处的同意。如果成为该特定群体并无资格限制，或者即使注销成员身份，仍然可获知该个人信息，那么，如果对于一般理性人而言，可以预见到该特定群体的数量会增长到无法管理不受控制的地步，此处的公开则构成了有效的同意。

　　第三，单纯的容忍和沉默，不构成公开。同意可以可推断的方式作出，不过必须和“不同意就离开”、“默示的容忍”相区别。纯粹的沉默，并不是意思表示，并不能产生阻却违法性的法律效果。因此，必须严格区分具有意思表示效果的“同意”和不具有法律意义的消极的行为。后者并非表示行为。例如，仅仅出现在公开演讲或者集会等公开场合，并不意味着对公众公开了肖像、言论等个人信息，并不构成同意。

　　第四，表示意识欠缺，意思表示也可能有效。实际上，行为意思、表示意识和效果意思等意思表示主观三要素中，表示意识和效果意思并非意思表示成立或者生效之必要因素。表示意识本质上仅仅是风险分配问题。根据通说，意思表示人只要在特定的场合中应该知悉他的表示具有意思表示的价值，那么这个意思表示即便欠缺表示意识，也无碍生效。将自己的信息放在人人可浏览的网络上就意味着，信息主体愿意他人获取这些信息，同意所有的网络上的提高该信息可视度的技术，无论信息主体是否了解这些技术，无论这些技术当时是否被公众所知悉。在这里，信息主体的目的就是为了提高信息的可视度，并不是指向任何具体的技术。

　　第五，与其他类型的意思表示不同，自行公开个人信息场合下，可归责于表意人的风险范围增大，“同意”这一意思表示的解释路径更趋向客观。如果一个人将自己的个人信息放在互联网上，他就应当意识到这些信息可能被匿名、海量的不特定公众所获知。这并不是在高估网络用户的技术能力，几乎所有人都能区分发送邮件和在互联网上公开个人信息的不同。此外，信息一旦公开，后续处理可能瞬间展开，后续处理者的利益应当被尊重和顾及；若仅以表意人的意愿为准贸然抽离自行公开中的同意要素，后续处理可能被判定为违法，因此，从意思表示解释的角度上来说更需要强调客观视角。

　2.搜索引擎因技术中立而豁免同意？

　　值得再次强调的是，无论是欧盟《通用数据保护条例》还是我国个人信息保护法第27条，公开信息的特殊处理规则都只指向两种情形——个人自行公开和他人合法公开，并未指向所有处于公开状态下的个人信息。本文认为，前者的合法依据在于信息主体之同意，后者的合法依据在于利益衡量下的个人信息之合理使用。即便对于搜索引擎，也无例外，必须具备上述两种合法依据之一。技术中立的抗辩并无正当性。

　　通过搜索引擎的方式获取他人自行公开的个人信息，这一信息处理方式的合法性首先来自于公开本身隐含的同意。同意权类似于处分权。未经信息主体同意而载有公开信息的网站，无权同意搜索引擎抓取该个人信息。若信息主体仅仅允许A平台公开其个人信息，那么搜索引擎通过其他未经许可而转载的网站获取该信息，这一处理行为当然也未得到信息主体的同意，从而并未从信息主体的公开行为中继受合法依据。在此，“同意的链条”不能被中断。德国联邦最高法院在“缩略图案I”中区分了两类信息——女演员自行上传到网络上的信息和未经女演员同意被上传到网络上的信息，对于后者，搜索引擎并无合法处理理由。该裁判立场值得赞同。

3.未成年人的同意能力问题

　　公开未成年人之个人信息的，应当获得具有同意能力的未成年人及其法定代理人之双重同意，否则该“公开”不构成有效之同意。对系争未成年人之公开信息，是否已经获得双重同意，有疑虑时，处理者应停止处理。

　　第一，未成年人公开其个人信息的，需根据《民法典》第19条第一分句和第145条第1款第二分句，得到其法定代理人的同意或者追认。首先，无论有偿与否，一旦该个人信息被公开，则意味着秘密状态被打破，不特定的匿名的大众皆可能获知，这一法律效果对于未成年人而言，并非纯获利益的行为。其次，虽然通常情形下，未成年人的识别能力之有无需依据个案判断，但是，大数据时代背景下，信息传播速度、整合能力和使用场景的多样化皆非未成年人所能预见，其个人信息滥用风险甚巨，实不宜认可未成年人具有得依据《民法典》第145条第1款第一分句独立自行公开其个人信息之识别能力。

　　第二，未成年人的法定代理人同意其公开个人信息，虽然并非《民法典》第35条第2款所称的“履行监护职责”之行为，不妨类推适用该款，需经有一定同意能力的未成年人同意。因为，虽然并非所有的个人信息都与个人尊严关系密切，也并非所有的个人信息之上都足以成立人格利益，但是，对于未成年人而言，所有类型之个人信息均与其人格发展自由相关，因此，未成年人所有类型的个人信息之公开皆与其精神利益密切相关，他人无权越俎代庖，无权代为“处分”。

　　第三，14岁至18岁未成年人自行公开其个人信息的，需经其父母或者监护人同意。《个人信息保护法》第31条第1款和《未成年人保护法》第72条第1款均规定，处理14岁以下未成年人个人信息须未成年人的父母或者其他监护人同意，若依文意作反面理解，似乎可得出如下结论：14岁至18岁未成年人自行公开其个人信息的，无需经其父母或者监护人同意。本文认为，将个人信息置于公众之视野之中，相较于允许特定的主体以特定的方式处理其个人信息，其危险程度显然大为增加，更容易触及未成年人的精神和财产利益，从而，未成年人公开其个人信息的，应当受到更高程度的保护。由此，此处应当优先适用《民法典》第19条和第145条：未成年人公开信息的，需经法定代理人同意。

　（四）“同意”的具体内容

　　自行公开并不意味着允许任何形式的个人信息处理。超出可推断的同意之范围的处理行为，即便并未现实地侵害信息主体的任何财产或者人格权益，也失去了从公开行为本身继受的合法依据，需从《个人信息保护法》第13条第1款另寻合法处理事由。实际上，依据传统的人格权保护路径，隐私或者肖像的获得、使用和传播，显然是完全不同的阶段，每个阶段都必须具备独立的合法依据。获取阶段的合法依据，不能正当化后续的使用和传播。《个人信息保护法》也采同一甚至更为严格的立场，将个人信息处理更加细化区分为为收集、存储、使用、加工、传输、提供、公开和删除等阶段（第4条第2款），同意需针对特定的处理目的、处理方式和特定的个人信息，一旦发生变更，仍需重新获得同意（第14条第2款）。值得注意的是，与单纯同意特定人获取自己的个人信息不同的是，借助平台或者媒介而作出的公开行为中，该平台不仅获取了个人信息，且在特定场景下存储并使用该信息，亦即，公开是对特定目的的信息使用的公开。

　　因此，自行公开场景下，信息主体同意之范围原则上涵盖如下两种类型的信息处理方式：第一，类似于收集和获取的处理方式，包括访问、阅读、浏览和其他增加可视度的（例如搜索引擎）信息处理行为，以及服务于收集和获取的必要的存储行为，例如网页为了提升浏览速度而采用的缓存技术；第二，与自行公开之场景相类似的个人信息处理方式。公开的个人信息与个人尊严关系愈近，则须愈加谨慎判断其同意之范围和目的。当然，现实场景复杂多样，本文只能提供框架性解决方案，结合个案具体研判仍是极为必要的。

　　例如，将自己的公开信息置于自己的网络主页或者社交平台上，而且没有设置本可设置的技术屏障，那么就是以可推断的方式作出了允许搜索引擎传播该信息的同意，也意味着同意第三人可以通过链接浏览该信息。和公开使用场景极为不相符的处理行为，则超出了同意的范畴，例如，将在纸质媒体上公开的个人信息转移至网络上、将公开信息从A网站转移到B网站、向第三人进一步传播该信息、商业利用该信息或者用于完全不同的其他场景，当然，这类行为并非必然不合法，而是无法从自行公开这一行为中继受“同意”这一合法事由。

　　若个人在自行公开个人信息时附有“拒绝搜索引擎”、“禁止转载”或者“只得用于XX目的”等限制处理方式的“特别声明”，那么超出该特别声明的信息获取行为，是否超出了同意之范围？“特别声明”可解释为信息主体对于同意范围的明确界定，其效力应遵循意思表示规则予以判定，应进一步对作为“处理者”的搜索引擎和自然人作出区分。对于“不识字”的搜索引擎而言，信息主体的上述“事先声明”显然无法构成恰当的表示行为，亦即，选择了一种接受者无法理解的语码。这无异于意思表示自始并未作出，并未作出的意思表示显然无法发生表意人希冀的法律效果。因此，若搜索引擎无视该声明，仍然为搜索，搜索行为并未因此超出了同意的范围。当然，若技术进步，搜索引擎技术足以识别出以文字表达的拒绝声明，结论显然不同。而对于其他信息处理者而言，该声明表明了信息主体之同意的具体范围，超出同意之范围的信息处理行为，即使是信息获取行为，其合法性也无法建立在信息主体的同意之上。

　（五）对“公开”的撤回

　　就意思表示层面而言，公开是对不特定人作出的无需受领的意思表示，一经作出，旋即生效，表意人并无依据《民法典》第141条撤回的可能。然而，《个人信息保护法》第15条特设任意撤回权，信息主体可无条件、无负担地撤回事先作出的已生效之同意。那么，信息主体能否援引本条，在公开个人信息之后撤回公开，阻止他人继续处理该信息？

　　信息主体将个人信息公开于某媒介之上，这一行为可解释为同时作出了两项《个人信息保护法》意义上的同意：其一，对该媒介或平台这一特定对象作出了允许该媒介或平台作为信息处理者处理该特定个人信息的同意；其二，对不特定公众作出了允许在一定范围内处理其个人信息的同意。对于前者，信息主体可以依据《个人信息保护法》第15条，撤回针对该媒介的处理同意，该信息处理者必须删除信息。问题在于，对于后一项同意，可否撤回。本文观点如下：

　　第一，价值层面上，应当限缩解释《个人信息保护法》第15条，将公开这一针对不特定人之同意排除出撤回权之客体范围，否则相当于在我国个人信息保护法中引入被遗忘权这一颇受争议的制度。

　　被遗忘权是《通用数据保护条例》第17条第2款创设的新制度，自《通用数据保护条例》起草到生效施行，对这一制度的质疑声从未停歇。根据该款，具有第1款的删除依据的信息主体获得了针对所有处理其公开信息的信息处理者的删除权。亦即，信息主体在A平台上公开其个人信息，若同意被撤回或者具有第1款的其他删除依据，则不仅可以针对A平台主张删除，还得以针对所有的其他处理该公开信息的B、C、D等平台主张删除，此项权利旨在使拥有信息自决权的个人获得足以对抗“永不遗忘的网络世界”的能力。这项制度对于信息流通、公共利益和言论自由影响甚巨，不可盲目引入我国个人信息保护法体系中。我国个人信息保护法也并未明确承认此项权利。

　　此外，我国个人信息保护法对删除义务的限制不足，仅规定了“法律、行政法规规定的保存期限未届满”和“删除个人信息从技术上难以实现的”两项豁免事由（第47条第2款），并无类似《通用数据保护条例》第17条第3款a“为了保护信息交流自由和表达自由可不删除”的规定。因此，若将公开之同意纳入撤回权的范围，然后再从法律效果层面上突破《个人信息保护法》第47条的文意限制删除权，无异于舍近求远，莫不如从构成要件层面迳直将公开这一针对不特定人的同意排除出撤回权的适用范围。

　　第二，即便承认在自行公开个人信息之场合，信息主体也应当被一视同仁地赋予撤回权，撤回权之行使也应当遵循公开之方式，亦即，向不特定人作出的同意，必须向不特定人撤回。技术上，这意味着，个人要么“将自己的个人信息从公开状态中取回”，要么对该公开状态的信息设置访问屏障，方属针对不特定人作出撤回表示。仅仅针对特定人作出的撤回表示是无效的；个人对于单个处理者发出的禁止处理的撤回通知，不足以发生撤回之效力，不足以阻止该他人继续处理，不足以引发删除权。

　　总之，就自行公开的个人信息而言，个人无权通过事后行使撤回权来阻止他人在其同意范围内继续处理其个人信息。

（六）《个人信息保护法》第27条之解释与限制

1.拒绝权之解释与限制

　　就个人自行公开之信息，根据《个人信息保护法》第27条第一句，合理范围内之处理无需同意，除非该处理被信息主体所拒绝。这一规范架构引发如下两个问题：第一，如何理解“无需同意，却仍可拒绝”这一规范设计？第二，信息主体能否拒绝所有类型的对于其自行公开的个人信息之处理行为？

　　有观点认为，“拒绝”应当被解释为信息主体的反对权。即便对于合理范围内的信息处理行为，信息主体也有权反对，当信息主体明确拒绝时，信息处理失去了合法依据，信息处理者必须即刻停止处理。本文并不赞同这一观点。我国个人信息保护法体系中并无反对权这一制度设计。就阻止他人信息处理的手段而言，信息主体要么主张该处理行为缺乏《个人信息保护法》第13条第1款之合法依据，要么行使第15条之撤回权，或者行使第47条之删除权，除此之外，并无一般性的反对权。另外，既然对于非公开信息的处理，信息主体不享有反对权，为何在公开信息上，信息主体反而获得增强保护？因此，将《个人信息保护法》第27条的“拒绝”解释为信息主体对于信息处理行为享有无条件的控制权和话语权的反对权，逻辑上无法自洽。

　　既然《个人信息保护法》并未赋予信息主体一般性的拒绝权，通过拒绝来阻止他人继续处理其个人信息，不过是《个人信息保护法》某些具体制度的法律效果，那么，更加细致的考察就是必要的。本文认为，拒绝权应当区分为事先和事后两种情形分别判断。事先拒绝可解释为框定公开这一行为中同意的具体范围。无论是一揽子拒绝，还是对某种处理方式的拒绝，事先拒绝是否有效，是否能一锤定音地阻止他人踏入所被拒绝的处理范围，这完全取决于拒绝是否有效作出。由于公开中对不特定人作出之同意并非撤回权之客体，事后拒绝权绝非撤回权之同义语。事后拒绝只能被解释为信息主体作出如下澄清：特定的自行公开行为不构成同意，或者系争个人信息处理行为不属于同意涵盖的范围。这种澄清仅是意思表示解释中的一环，并不是一项足以终局性地阻止他人继续处理的实体法上的权利。换言之，只要从客观的处理者角度观察，系争处理行为处于自行公开行为之同意的范围，个人无从拒绝。

　　总之，无论是事先还是事后，信息主体对于自行公开的个人信息的后续处理，都无法享有不受限制的拒绝权。当前《个人信息保护法》第27条第一句的立法立场值得检讨。

2.“对个人权益有重大影响”之解释

　　对于自行公开之个人信息的后续处理行为超越了同意范围，且不属于合理使用情形，则构成此处的“对个人权益有重大影响”，自当根据《个人信息保护法》第13条第1款获得个人同意。

他人合法公开个人信息之处理行为的特殊合法事由：目的兼容下之同一类型的合理使用

　　个人信息被他人公开，且公开的合法依据并非信息主体的明示同意（《个人信息保护法》第13条第1款第（一）项）、可推断或者默示同意（《个人信息保护法》第13条第1款第（二）项），则构成《个人信息保护法》第27条所称的“其他合法公开”。如下要解决的问题是，再次处理此种公开信息的合法理由何在？是否不同于未公开信息的处理行为以及自行公开信息的处理行为？如有不同，不同之处的根源何在？至于，第一次合法公开之具体合法依据，尤其是当前实证法提供的合法依据，是否仍有可商榷和可纠偏之处，是否符合了比例原则，采取了对个人信息权益最小加害可能的处理方式，并非本文关注之重点。本文聚焦于公开后二次处理的合法性依据问题。

　（一）个人信息由他人合法公开之正当化依据：利益衡量下之合理使用

　　个人信息处理合法性依据或者人格权侵权之违法阻却事由，在逻辑上皆可周延地区分为同意和无需同意之利益衡量，上已有述。《个人信息保护法》第25条虽然规定“个人信息处理者不得公开其处理的个人信息，取得个人单独同意的除外”（即个人信息处理者公开其处理的个人信息的，必须得到个人的单独同意），但是此条不能被理解为，公开他人个人信息的合法事由仅有同意这一项，公开他人信息也属于信息处理行为，仍需适用《个人信息保护法》第13条第1款，处理依据包含同意以及无需同意的其他事由。因此，第25条应当被理解为，若无《个人信息保护法》第13条第1款第（二）项至第（七）项的处理依据，公开他人信息需要得到个人之同意的，同意之形式为单独同意。而《个人信息保护法》第13条第1款中“为履行法定职责或者法定义务所必需”、“为应对突发卫生事件，或者紧急情况下为保护自然人的生命健康和财产安全所必需”、“为公共利益实施新闻报道、舆论监督等行为”、“法律、行政法规规定等其他情形”均属于为了第三人或者公共利益而限制信息主体决定权的利益衡量范畴。因此，他人合法公开个人信息之合法依据正是个人信息的合理使用。而当前争议较多的裁判文书公开或者其他信息被职权机关公开，合法依据也皆来自于第三人或者公共利益优先于信息主体个人权益的利益衡量。

　　他人合法公开和个人自行公开的核心区别在于：第一，自行公开这一行为本身即隐含着信息主体的同意，建立在利益衡量之上的其他合法公开情形则完全和信息主体的意愿无关，合法依据并非来源于信息主体的自我决定。第二，自行公开信息再次处理的合法依据正是公开时之同意，而在其他合法公开情形中，再次处理者无法从公开者处继受任何合法依据，第一次公开的合法依据随着公开已经被耗尽，必须重新获得《个人信息保护法》第13条第1款所列举的事由。如此一来，第一次公开行为之合法依据，对于后续的再次处理，并不构成当然的限制。

　（二）处理由他人合法公开的个人信息之特殊正当化依据：处理目的兼容下的合理使用推定

　　无论是处于何种状态下的个人信息，均可经个人同意而被处理，也可在构成合理使用时无需信息主体的同意而被处理。他人合法公开之个人信息的处理在合法依据判定上的特殊之处仅在于，对于第二次的处理行为而言，只要该处理行为之目的和合法公开之目的并非不兼容，即可以推定为构成同一类型的合理使用，由反对者承担举证责任。亦即，既然第一次公开经实证法肯认为合法公开，那么和第一次公开目的并非不兼容的处理，逻辑上也应当被认为具有合法性；第一次合法公开之合法依据，虽无法传递于后续处理，但是构成了判定后续处理是否属于同一类型的合理使用的重要解释性因素。当然，目的不兼容的处理行为并非当然不合法，只是不属于同一类型的合理使用。

　　处理目的能否被确定，能否被描述，是判断目的是否兼容的前提性问题。在这一问题上，应当区别合法公开他人个人信息的是私主体还是公权力机构，从而在后续处理目的兼容性判断上，分别采取严苛程度不同的立场，因为二者在行为自由上遵循的规则大有不同，前者奉行法无禁止即自由，后者则是法无授权不可为。

1.私主体出于四类目的合法公开他人信息之类型：宽松解释目的兼容

　　私主体出于“新闻、学术、艺术和文学四种目的”合法公开他人个人信息的，合法公开之目的可宽松界定，无需具体描述，后续处理只要也属于上述四种目的，则可判定为目的并非不兼容，可推定为对该个人信息的合理使用，从而具有合法性依据。《通用数据保护条例》第85条第1款授权成员国可以在新闻、学术、艺术和文学四种目的的个人信息处理领域，制定兼顾信息交流自由和本法所追求的个人信息保护之目的的规则。第85条第2款则明确了成员国可以在哪些具体规则上和《通用数据保护条例》有所不同。从而，上述四类目的下的个人信息处理，不必遵循《通用数据保护条例》中繁琐的严格的流程化规则。我国个人信息保护法并无类似制度设计，仅在第13条规定了“为公共利益实施新闻报道、舆论监督等行为，在合理范围内处理个人信息”的无需个人同意，本文认为，法技术上，可以充分扩张解释《个人信息保护法》第72条的私人事务例外规则，将出于“学术、艺术和文学”此三类目的的个人信息处理行为归入私人事务，使其中个人信息处理行为脱离《个人信息保护法》的调整，或者类推适用《民法典》第1020条，将出于此三类目的的个人信息处理行为归入合理使用范畴，从而在法律适用上，出于这三类目的的个人信息处理行为均无需个人同意。上述四类目的下的私主体对于他人个人信息之公开本就属于信息流通之重要领域，并且，该目的无法被完全具体描述，只要后续的处理也属于此四类目的，且处理场景类似，无需处理目的上完全一致，可推定为目的并非不兼容。值得注意的是，后续处理若有或者兼具营利目的，那么不可判断为合理使用，更不可能构成目的并非不兼容的合理使用。

2.私主体出于维护私人利益合法公开他人个人信息之类型：弹性之目的一致

　　私主体为了维护私人利益、在上述四类目的之外合法公开他人个人信息的，后续的处理需和“维护私人利益”具有目的上的一致性，否则无法构成目的兼容，无法推定为同一类型的合理使用。这一情形下目的兼容之判断标准应当比上述四类目的之公开更为严苛，但较之下文的公权力机构公开情形更为弹性。

　　第一，两种情形下的个人信息流通之必要性大为不同。就信息之流通与交往自由而言，上述四类目的下的个人信息处理更具有保护的价值，而宽松解释目的兼容性将更加有利于促进四类目的之下的个人信息处理行为，减轻处理者就合理使用承担的证明责任。而私主体为了维护其特定场景下的私人利益，采取了所有信息处理行为中可谓加害风险最大的“公开”这一方式，将他人本处于秘密状态之下的信息置于公众眼光之下。纵然该公开行为因价值衡量而合法，其公开行为的保护价值也绝不可与上述四类目的同日而语，这一情形下的个人信息主体利益也有保护价值，合法公开之媒介、受众和范围应当受到公开目的之严格限制，而后续对于该个人信息的处理也当服务于同一目的，才可被推定为构成同一类型的合理使用。

　　第二，两种情形下目的可描述和可确定性完全不同。相较于四类目的的公开，私主体为了私人利益公开他人信息，这一行为之合法性本就系于特定的公开目的是否能够在利益衡量中被判定为优先于个人之信息权益。因此，其公开目的必须可被描述也可被确定，要求后续处理与此目的相一致，始为同一类型的合理使用，并非技术上过于苛责。

　　第三，目的兼容判定上应采取较之于公权机构公开更为弹性之标准。与公权行为不同，私人行为本就法不禁止即自由，私人行为自然可出于多种目的。为了私益公开他人信息之目的虽然可以被描述被确定，但不宜确定为过于具体、过于单一之目的，应着眼于一定范围内描述和确定，从而，后续的信息处理只要可被解释为并非和上述目的完全相悖，即可认为具备同一目的。

　3.公权力机构合法公开他人信息之类型：严格之目的一致

　　公权机构在法令范围内合法公开他人信息的，公开目的可被确定且应当被严格确定。对后续处理之目的兼容性判定应当采严格解释立场：后续处理必须完全合乎之前的公开目的，才可推断为同一类型的合理使用；后续处理出于多种目的的，若处理场景与公权力机构之合法公开一致，可推断为目的一致。

　　当前较为常见的纠纷主要是裁判文书转载的合法性问题，对此，裁判立场上有分歧。有判决认为，对于裁判文书的转载符合裁判文书公开所基于的促进司法公正、促进数据流通和使用等多重目的，并且，案涉转载行为并不符合《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》第9条中任何一种情形，因此，转载行为并未侵犯他人个人信息权益。相反立场则认为，即便裁判文书被法院合法公开，个人对于其中的个人信息仍有控制权；对于法院之公开，个人有容忍之义务，对于非法院之公开，必须重新判定其合法性，案涉商业转载构成了不合理使用，无法限制个人信息权益。本文赞同转载构成合理使用之立场。理由在于，后续的转载和有权机关对于裁判文书的公开在目的上明显具有兼容性，因为，在逻辑上，我们无法得出这样的结论：为什么裁判文书被公开在某个“官方的”、任何人都可以登入的网站上，不构成对于个人信息权益的侵犯；而若被公开在其他网站，则侵犯了个人信息权益。以保护个人信息权益之名，禁止转载，无异于实际上赋予某些官方网站事实上垄断了公开裁判文书或者其他公众具有知情利益的文书的权力，岂非善之树结出恶之果！至于原封不动地转载裁判文书时，可能泄漏其中的个人信息，对个人造成困扰，这并非转载所引发，而是当前裁判文书公开规则中对于隐私保护与信息披露之权衡问题，首次合法公开未能解决之问题，绝不应转嫁于后续的处理。

4.信息类型、处理技术和场景：目的兼容判定之共同因素

　　无论合法公开他人个人信息的主体是私主体还是公权机构，在判定后续处理目的是否与合法公开之目的兼容时，信息类型、信息处理技术和信息处理场景等构成了较为重要的共同因素。若个人信息属于敏感个人信息或者与个人尊严密切联系的信息，或者后续处理使用了足以展现人格剖面图的算法技术或者自动化技术，抑或后续信息处理场景存在增加误解、歪曲或者被挪作他用的风险时，目的兼容均应当谨慎判断之。

　　当然，与合法公开之目的不兼容之后续处理，并非当然不合法。只不过必须与其他任何一种个人信息处理行为一样，处理者必须证明符合《个人信息保护法》第13条第1款的合法理由之一。

（三）《个人信息保护法》第27条之解释与限制

　　1.“拒绝权”之解释与限制

　　《个人信息保护法》第27条第一句中的“个人明确拒绝的除外”，并不能解释为一般性的可针对所有信息处理行为的反对权，上已有述。若后续的处理之目的与之前的合法公开之目的并非不兼容，那么该后续的个人信息处理可被推定为与之前的合法公开属于同一类型的合理使用，既然属于合理使用，则抽离了信息主体的决定权，信息主体自然无从“明确拒绝”之。

　2.“对个人权益有重大影响”之解释

　　信息处理行为与合法公开之目的不兼容，且不属于其他合理使用情形的，则构成此处的“对个人权益有重大影响”，自当需根据《个人信息保护法》第13条第1款获得个人的同意。

结论

　　合法公开的个人信息，在合法处理事由的判定上具有特殊之处。但是，其理论基础并不在于个人信息的秘密状态被打破，不在于个人信息被置于公共领域，个人信息被公开的方式和依据才是后续处理是否以及具有何种特殊合法事由的关键。

　　公开个人信息的合法处理事由与非公开个人信息并无差别，亦即，皆取决于是否符合《个人信息保护法》第13条第1款规定的任一情形。只不过，若个人信息已被“合法公开”，则后续处理行为有可能从“合法公开”这一行为中继受了合法理由，从而无需另寻其他合法理由。

　　在此，应当严格区分性质上具有极大差异的个人自行公开与被他人合法公开这两种公开方式。《个人信息保护法》第27条对二者未作任何区分，而是设计同一规则，这有失妥当，尤其是其中的拒绝权应当受到限制。

　　个人自行公开其个人信息，无异于向不特定人作出同意处理之意思表示。因此，后续个人信息处理的合法事由和边界皆与同意是否有效作出，以及同意的具体范围密切相关。从客观的信息处理者角度观察，后续的信息处理并未超出同意的范围的，则无需信息主体再次作出同意，且信息主体无权拒绝。而超出同意范围的处理行为无法从个人自行公开的同意中继受合法事由的，则必须另寻合法处理理由；若未构成合理使用，则需再次获得信息主体的同意，这正是《个人信息保护法》第27条第二句中“对个人权益有重大影响”的情形之一。

　　个人信息由他人合法公开的，构成了排除信息主体决定权的个人信息合理使用。此时，他人或者公共利益在利益衡量上优先于信息主体的个人信息权益。后续的信息处理，若与之前的他人合法公开并非目的不兼容，则可推定为同一类型的合理使用，无须另寻合法处理事由，更无需信息主体的同意，信息主体也无从拒绝。目的不兼容的后续处理，则需另寻合法处理理由；若不构成合理使用，则仍需获得信息主体的同意，这也正是《个人信息保护法》第27条第二句所称的“对个人权益有重大影响”的又一种情形。

　　公开信息之上承载着个人信息权益或者人格权益、公开信息平台的竞争利益或者其他商业利益、他人或者公众对于信息流通的合理需求等众多诉求。公开信息的处理也同时受到民法典、个人信息保护法、竞争法、著作权法、反垄断法、刑法等诸多部门法的规范。如何结合不同规范诉求和信息处理技术特点，为公开信息的处理划定具体的合法性边界，实乃雄伟课题。囿于专业领域与篇幅，笔者仅能从个人信息主体权益之角度，为此问题提供教义学上的解决方案。

END