学界既有的研究通过适用《民法典》中的人格权规则、引入公法上的比例原则、借鉴法经济学中的卡—梅框架三种路径来认定已公开个人信息合理处理的范围，但存在共同缺陷：价值中立或本身预设价值立场的各种分析框架，与《个人信息保护法》已作出的价值权衡不协调。详言之，若借助《民法典》第998条列举的考量因素及动态体系论判定，则欠缺基础评价和原则性示例，并且《个人信息保护法》第13条第1款第6项指引的判断标准不合。若引入公法上的比例原则，作为一种价值中立的论证框架，其在具体场景的运用仍受到预设价值立场的影响，并且《个人信息保护法》第27条已经预先内嵌了基于比例原则的价值权衡，不宜回溯至更一般的原则。若借鉴法经济学中的卡—梅框架加以判断，则该框架的财产规则和责任规则并不契合个人信息处理场景，并且该框架效率至上的逻辑也不适应《个人信息保护法》兼顾保护与利用的意图。因此，解释已公开个人信息处理的合理范围，应坚持在促进信息利用的基础上兼顾信息保护这一价值基准。作为个人信息处理基本原则的目的限制原则，是判断合理范围的逻辑起点。

　　（一）我国目的限制原则的内涵

　　《个人信息保护法》第6条规定的目的限制原则要求：其一，个人信息处理目的必须“明确、合理”，不违反法律法规和公序良俗；其二，个人信息处理行为必须“与处理目的直接相关”，即直接推动处理目的实现，这意味着个人信息处理行为与达成个人信息处理目的之间不应有中间环节，因此比“目的兼容”更为严格。

　　（二）已公开个人信息中“处理目的”的理解

　　处理已公开个人信息要以促进信息利用为基础，因此虽仍应遵守目的限制原则，但不宜过于严苛。可将“处理目的”宽泛解释为“处理行为本身的目的”而非个人信息的初始“公开目的”，来契合实践需求和“促进利用、兼顾保护”的价值取向。

　　具体而言，“处理目的”只要对已公开个人信息的处理出于合理目的、该目的以明确的方式表达、实际处理行为与该目的直接相关，就符合目的限制原则。如此解释，既不将“直接相关”解释为“目的兼容”导致逾越规范文义，又能够实现对目的限制原则的必要松绑，还有利于避免司法实践中初始公开目的难以查明、后续处理行为难以与初始公开目的构成“直接相关”等问题。

　　从原则层面的目的限制落实到对《个人信息保护法》第27条的体系解释，解释任务包括：（1）解释“对个人权益有重大影响”；（2）解释个人对已公开个人信息处理的拒绝权；（3）解释处理者何时应当履行告知义务，以“取得个人同意”。

　　（一）“对个人权益有重大影响”的解释

　　依《个人信息保护法》第27条，对个人权益有重大影响的，应取得个人同意，否则即超出合理的处理范围。对“对个人权益有重大影响”作体系解释，应一体把握“意定”、“法定”两类已公开个人信息，将“重大影响”界定为个人权益被侵害的高风险状态。《个人信息保护法》第55条将“对个人权益有重大影响”作为进行个人信息保护影响评估的触发条件，而该条例示的四种对个人权益有重大影响的个人信息处理活动，正是立法者所谓需要发生利益衡量变动的“高风险个人信息处理活动”。

　　对于“处理行为的高风险性”这一较抽象的标准，可借助《个人信息安全影响评估指南》等技术标准，细化对“对个人权益有重大影响”的评估。处理行为的风险等级是否达到“重大影响”，需要综合考虑对个人权益影响程度和安全事件可能性两个要素，前者表现为消除影响和克服影响的难度，后者可从已实施的安全措施、相关方、处理规模等方面进行考察。可以参考汉德公式，判断个人信息处理者是否采取了《个人信息保护法》第56条规定的“与风险程度相适应”的保护措施：如果信息处理者未投入的预防成本低于其可预见的风险所会造成的损害（安全事件可能性×个人权益受影响程度），便可认定其采取的保护措施与风险不相适应，这种不相适应的状态是认定该处理行为对个人权益有重大影响的关键考量因素。

　　（二）个人拒绝权的行使

　　依《个人信息保护法》第27条，在个人明确拒绝后，个人信息处理者若继续处理个人信息，则属于不合理处理。

　　第一，关于适用范围：个人拒绝权的法定限制集中体现为《个人信息保护法》第13条列举的无需个人同意即可处理个人信息的法定情形，如“为履行法定职责或者法定义务所必需”“为公共利益实施新闻报道、舆论监督等行为”。

　　第二，关于行使方式：不应承认“默示拒绝”的效力，且个人应通过个人信息处理者建立的“申请受理和处理机制”行使拒绝权，否则不发生拒绝的效力。当且仅当个人信息处理者拒绝个人行使权利的请求，个人才可向人民法院提起诉讼。

　　第三，关于法律效力：可类推适用关于撤回权效力的规定。类推适用《个人信息保护法》第15条可知，个人的拒绝不影响拒绝前已进行的个人信息处理活动的效力，仅否定了拒绝后个人信息处理者依第27条之处理活动的合法性；个人信息处理者应在个人明确拒绝后主动删除个人信息。由此来看，拒绝权并非“自由”，也不是“请求权”，而是“终止形成权”。

　　（三）告知义务的履行与豁免

　　第一，应当依据《个人信息保护法》中与告知义务及其豁免制度有关的规定，区分情形决定是否需要告知。第17条关于告知义务的规定位于个人信息处理规则的一般规定中，除非存在法定豁免情形，否则信息处理者均应履行。对于（1）法律已明文规定告知义务；和（2）法律虽未明确告知义务但规定应当征得同意这两类情形，应慎重豁免告知义务。“对个人权益有重大影响”的相关规定属于第2类情形，这种情形虽无明文规定的告知义务，但既然应当征得个人同意，若不告知个人自然无从取得同意，解释上则不宜轻易豁免告知义务。

　　第二，应将《个人信息保护法》第18条中“有法律、行政法规规定应当保密或者不需要告知的情形”理解为“法律、行政法规规定应当保密的情形”和“不需要告知的情形”，是否告知需要法院在个案中通过成本收益分析具体衡量。

　　第三，衡量应当告知与无需告知情形下的净收益（是否“有效率”）来判断哪些情形可以豁免告知义务。经过分析，（1）处理少量已公开个人信息时，不履行告知义务若有效率，应豁免告知义务；（2）处理大量已公开个人信息时，投入较低的告知成本总有效率，原则上不应豁免告知义务；（3）在偏好促进个人信息利用的社会体系中，只有投入较低的告知成本，才是有效率的。对于如何界定“大量”和“少量”，需要结合个案中信息处理者的成本控制与运营情况判断。

　　生成式人工智能的发展依赖大规模公开数据，尤其是已公开个人信息的处理活动。在这一具体场景下进一步辨析合理处理范围，得出以下结论。

　　（一）应宽松解释处理目的

　　目的限制原则在生成式人工智能场景中确实存在适用困境，但将处理目的解释为“处理行为目的”而非“公开目的”，将是一条更适合这一场景的解释路径。具体而言，在模型训练阶段，审查的焦点应是：第一，训练模型这一目的本身是否合理；第二，数据收集等处理行为是否与这一目的直接相关。在模型运行阶段，审查的关键则是：第一，提供服务这一目的本身是否合理；第二，模型生成具体内容的处理行为是否与该目的直接相关。

　　（二）“对个人权益有重大影响”的判断标准应具有客观性并应进行事前评估

　　第一，评估的标准应是客观上该处理行为是否不合理地提高了个人权益被侵害的风险，而非某一特定主体主观上是否受到重大影响。第二，评估应在处理活动开始前进行，而不应采取结果导向的思路。《个人信息保护法》第55条规定，对个人权益有重大影响的个人信息处理活动，处理者应当“事前”进行个人信息保护影响评估，以落实风险预防理念。

　　（三）应健全拒绝权的替代性保障

　　基于生成式人工智能的技术特性，个人行使拒绝权后若要求个人信息处理者删除个人信息，将耗费过大成本，属于《个人信息保护法》第47条第2款规定的“删除个人信息在技术上难以实现”，个人信息处理者应当采取“必要的安全保护措施”。例如阻断未来个人信息的再学习、屏蔽已有个人信息的再输出等。

　　（四）应强化生成式人工智能服务者披露数据来源的告知义务

　　生成式人工智能服务提供者可以公示方式履行告知义务，在官方网站以及其他媒体平台上向互联网长期公示其获取已合法公开个人信息的具体来源和处理规则。信息主体可以知晓其已公开的个人信息是否被用于训练模型，进而通过服务提供者建立的行权机制行使拒绝权。

　　解释已公开个人信息处理的“合理的范围”，应秉持保护个人信息权益与促进个人信息利用并重的立法取向：在原则层面，应将目的限制原则中的“处理目的”解释为处理行为的目的而非公开目的。在规则层面，“重大影响”本质是个人权益被侵害的高风险状态，可通过国家标准进行细化；拒绝权受其他合法性依据的限制，如未依处理者建立的机制行使拒绝权，不发生拒绝的效力；除存在告知义务豁免情形，处理者应履行告知义务，不需要告知可由法院在个案中衡量。将这一框架应用于生成式人工智能场景，还要注意拒绝权的替代性保障方式，强化训练数据来源的告知义务。

　　参考文献：《论已公开个人信息处理合理范围的认定》

　　（本文文字编辑彭睿。本文未经原文作者审核。本文为中国民商法律网“原创标识”作品。凡未在“中国民商法律网”微信公众号正式发布的文章，一律不得转载。）