根据司法实践中的代表性纠纷可以总结出已公开个人信息规则适用的典型场景：第一是处理政府公开信息，如将政府公开的企业工商登记信息、征信信息、司法裁判文书等纳入商业数据库；第二是搜索引擎处理公开信息，如百度对相关公开信息的抓取。

（一）立法模式一：已公开个人信息适用一般规则

此种立法模式以欧盟《一般数据保护条例》为典型代表。《一般数据保护条例》未将已公开个人信息作为单独类别进行特殊规定，对已公开个人信息的处理需要满足一般的原则和合法性基础规定，但是在一些具体规则的适用中会呈现其特殊性。个人对于已公开个人信息的处理行为拥有完整的权利体系。

（二）立法模式二：个人信息概念中排除公开可得信息

此种立法模式以美国《加州消费者隐私法》和《加州隐私权法》为代表。美国个人信息保护有较明显的“隐私权”保护传统，其隐含的前提即将公开可得信息排除在保护范围之外。针对公开可得信息的个人“被遗忘权”在美国未得到积极支持，但针对未成年人自行发布的信息，政府要求社交网站等允许未成年人行使删除权，但同时对删除权做出了限制。

（三）立法模式三：已公开个人信息作为单独类别进行特殊规定

此种立法模式以我国的《民法典》和《个人信息保护法》为代表。我国的相关规定主要有三个层次：第一，个人自行公开或其他形式合法公开的个人信息，对其处理构成个人同意的例外，可以单独构成合法性基础；第二，要符合该条合法性基础，处理行为应在“合理范围”，且不能“侵害其重大利益”或“对个人权益有重大影响”，否则依然需要取得个人同意；第三，个人可以通过明确拒绝来反对个人信息处理行为。虽未明确规定《个人信息保护法》中关于个人信息处理规则和个人权利是否作为一般性规则适用于已公开个人信息处理的情形，但是在可适用情形下应当也具有约束力。

（四）不同立法模式比较与理论梳理：已公开个人信息的制度定位与价值取向

1.立法模式比较

在三种立法模式中，欧盟模式未针对已公开个人信息进行专门例外规定，已公开个人信息适用一般性的例外规定。但是因规定的例外层次较丰富，已公开个人信息可纳入例外的情形也较丰富。

美国模式体现了对于公开可得个人信息的高度鼓励利用和流通的倾向，将特定类型的公开个人信息排除在法律适用范围之外，默认不予保护，仅在涉及未成年人保护时制定了特殊立法。

中国模式将已公开个人信息明确规定为获取同意的例外情形，体现了对其中公共利益和信息流通价值的重视。但“合理范围”“个人权益重大影响”等概念的范围边界尚不清，给信息处理者的义务范围带来不确定性，对“拒绝权”的行使也没有规定例外情形，不如欧盟模式更有弹性空间。

2.理论梳理

已公开个人信息保护与利用的不同制度进路体现出理论上共识和分歧并存，可以总结为以下三个层次：第一，已公开个人信息的公共性和公共利益属性相对于未公开个人信息而言应更强。第二，已公开个人信息依然包含个人权益属性，但相对于未公开个人信息而言主要体现为一种受限的个人决定权。但在设置拒绝权的立法模式下，个人通过行使拒绝权即可以使得其权益不再受限，对已公开个人信息给予了更强的保护。第三，已公开个人信息的公共性和私权性之间的权衡，需要存在动态和弹性的调整空间。

（一）个人信息的“合法公开”

1.合法公开的类型

我国立法体系中作为单独类别的已公开个人信息，其重要前提是个人信息的公开行为应当合法，即“初始公开”合法。立法中规定了两类“公开”形式：一是个人自行公开；二是其他合法公开形式，包括政府公开、媒体公开、其他个人或企业的公开等。

第一，个人自行公开。基于立法目的和定位，我国对于这一要件的认定可以不必过于严格，根据自然人的行为以及相关媒介（如社交媒体）的技术设置等特征，能够推断出其存在公开其个人信息的意图即可。第二，经过个人同意的公开。通常由个人信息处理者做出，“公开”个人信息的行为需要获取个人的“单独同意”，并进行个人信息保护影响的评估。第三，政府公开。政府制定信息公开规则需要充分考虑各方主体及其利益的多元和公共利益，做出特定的利益衡量。第四，媒体和舆论公开。作为合法公开的情形之一，其会与《个人信息保护法》第13条规定的舆论监督的合理使用情形发生竞合，根据立法者对“舆论监督”的主体不限于新闻媒体机构的解释，若出现为公共利益而实施新闻报道和舆论监督场景下的公开信息利用情形，则应当优先适用第13条的例外规定。第五，其他个人或企业的公开。若未经个人同意则有可能落入非法公开的范畴，且由于公开个人信息呈现的是客观上的公开状态，较难追溯其初始公开的合法性。

2.对于公开“合法性”的注意义务

个人信息处理者需要根据不同情况承担“合法性”判断的注意义务。第一，根据初始公开类型的不同，注意义务的高低因合法性判断的难易程度而有所区别。第二，根据个人信息类型的不同，适用不同的注意义务标准。对于可能给个人带来较高风险的已公开个人信息以及特殊群体的个人信息，处理者应承担更高的注意义务。第三，根据个人信息处理行为模式的不同，确定不同的注意义务标准。搜索引擎承担较为有限的注意义务，对于特定领域个人信息进行垂直、深度处理和加工的处理者，则有可能承担更高的注意义务。

（二）已公开个人信息处理行为的“合理范围”和“个人权益重大影响”

根据《个人信息保护法》第27条的规定，针对已公开个人信息应在“合理的范围”内处理，如果超出合理范围，或者处理行为对“个人权益有重大影响”，则需要取得个人同意。理解“合理范围”和“个人权益重大影响”两个概念，应注意以下五方面问题：第一，需要厘清“合理范围”与个人信息初始公开目的的关系，而现行立法中的“合理范围”应当不受初始公开用途和目的的限制。第二，在确定“合理范围”时，或可将数据处理者或第三方的合法利益与数据主体的利益进行比较，但由于该信息已合法公开，衡量时应当侧重保护公共利益，除非数据主体可以证明自己具有明显超越处理者和第三方利益的情形。第三，需要确定“个人权益重大影响”的认定标准并厘清其与“合理范围”的关系，即两者之间应是互斥的关系。第四，个人权益可以通过个人行使“拒绝权”机制得到保护，只要信息处理者提供了较为便捷地行使拒绝权的渠道，则并无必要基于“个人权益重大影响”和“合理范围”确立针对信息处理者过于严格的标准。第五，针对政府公开信息与搜索引擎两种典型场景，“合理范围”的确定应当尽量宽泛。

（三）拒绝权的行使与例外

1.拒绝权及其行使

在个人“明确拒绝”情形下，已公开个人信息的处理者不得继续处理个人信息。这表明我国的已公开个人信息处理规则将个人的决定权从同意为基础的“选择进入”机制减损为一种“选择退出”机制。在这种机制下，信息处理者依然需要承担告知义务，为了避免实质上架空已公开个人信息基本规则，可考虑允许处理者通过公示方式进行一揽子告知的方式，来履行其告知义务。

已公开个人信息主体控制权的弱化的合理基础建立在已公开个人信息本身所具有的公共价值基础之上。且当已公开个人信息是基于个人“自行公开”或基于个人同意的公开时，其实际上是个人行使个人信息决定权。此时个人行使“拒绝权”类似于“撤回同意”，并可据此行使删除权。

个人信息主体行使拒绝权的形式和要件，可以参照民法上关于网络侵权的“通知删除”机制。但在已公开个人信息保护中，“拒绝权”行使的对象是个人信息的处理者，即直接行为人，一般也不会有转交通知和反通知等步骤。因此，行使“拒绝权”与“通知删除”规则虽然在形式和效果上存在相似之处，但依然是在原理和制度上彼此独立的权利行使机制。

2.拒绝权的例外

在我国关于已公开个人信息拒绝权的制度设计中，应当也创设例外规则：第一，政府公开信息作为初始公开的情形，对其的后续处理行为原则上不应允许个人行使拒绝权；第二，基于新闻报道和舆论公开信息的后续处理，原则上不应允许个人行使拒绝权；第三，其他由他人合法公开的情形，应视其具体情况，由执法机关或法官进行具体利益衡量。

应当在已公开个人信息的保护和利用领域中确立层次清晰的规则适用体系，划分自行公开和合法公开的不同类型，在确定信息处理者关于合法性认定的注意义务、信息处理行为的合理范围、是否对个人权益造成重大影响、拒绝权的行使及其例外时，应当充分考虑个人信息公开的类型、个人信息本身的敏感程度、信息处理行为的类型等要素，进行类型化的考察和规则适用。在已公开个人信息保护和利用的法律适用中进行利益衡量，应当充分考虑其中体现的公共利益价值，特别是针对政府公开信息和搜索引擎利用等典型场景，通过案例规则的探索和积累，形成指南、司法解释等规则，明确类型化的规则并通过列明考察要点清单的形式，为复杂的实践场景应用提供更强的确定性并指引方向。

（本文文字编辑马国杰。本文未经原文作者审核。本文为中国民商法律网“原创标识”作品。凡未在“中国民商法律网”微信公众号正式发布的文章，一律不得转载。）

文献链接：《已公开个人信息保护和利用的规则建构》