合法公开个人信息衍生利用的有限告知同意制度研究

王 爽

(东南大学 法学院，江苏 南京 211189)

深度挖掘信息效用、重构信息使用价值是个人信息领域的发展趋势，大数据的价值已不再单纯源于其基本用途，而更多源于二次利用[1]。公共场域存在大量合法公开的个人信息，主要可类型化为主动公开和被动公开两种样态，主动公开是信息主体自行将个人信息展现于公共领域，例如通过社交媒体公开照片。被动公开则是出于公众知情权、监督权、新闻自由等利益衡量，信息主体的个人信息被公权力机关或商业主体予以公开。合法公开的个人信息因内容的丰富性、获取的便宜性等特质而为信息业者竞相追逐利用，衍生利用行为既能带来充分释放数据价值的正外部性，也有可能在信息主体毫不知情的情况下通过数据比对、碰撞、挖掘，获得信息主体或他人尚未公开的个人信息，诱发跟踪定位、电信诈骗等犯罪行为，潜藏合法公开个人信息的滥用风险。告知同意制度是个人信息保护的帝王规则，也是合法公开个人信息衍生利用时面临的首要问题。衍生利用合法公开的个人信息是否需要告知信息主体并征得其同意？对此，法律规范尚未给出统一回答，规范之间存在抵牾，司法实践亦呈各异形态，主要存在完全告知同意论、告知同意豁免论和有限告知同意论三种观点。学界对于合法公开个人信息衍生利用的相关探讨主要集中于两个角度：一是基于部门法视角，研究合法公开个人信息衍生利用的刑事责任边界。二是基于整体性视角，宏观建构合法公开个人信息的衍生利用规则。整体而言，基于告知同意制度视角的研究较为有限。本文将尝试结合合法公开个人信息的特殊属性对完全告知同意论和告知同意豁免论进行检视，并对有限告知同意论进行正当性证成与规则重构。

一、 合法公开个人信息衍生利用的完全告知同意论之检讨

完全告知同意论遵循个人信息自决理念，认为衍生利用合法公开的个人信息需再次告知信息主体并征得其同意。此种观点将合法公开的个人信息与未公开的个人信息同等对待，未能充分关注合法公开的个人信息的“非典型个人信息”属性。

(一) 完全告知同意论的运行实践

完全告知同意论的观点体现在《刑法》第253条和《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《侵犯公民个人信息解释》)第3条中，上述规范认为“是否取得被收集者同意”是判断将合法收集的个人信息向他人提供是否构成违法行为的要件之一，个人信息的公开性并非侵犯公民个人信息罪的排除事由[2]。这一观点也为欧盟《通用数据保护条例》(General Data Protection Regulation，GDPR)所认同。根据GDPR第6条的规定，个人信息已公开不属于处理的合法性基础。GDPR第14条规定，合法公开的个人信息因属间接获取，处理者需要告知信息主体信息来源等相关情况，并且信息主体可随时撤回同意。法国数据保护机构CNIL发布的针对公开可用信息再利用的指南中明确提出合法公开的个人信息仍属个人信息，处理时仍需征得信息主体的同意[3]。综上，根据完全告知同意论，个人信息已公开并不意味着个人的告知同意权随之消灭，衍生利用仍以取得信息主体的同意为前提。

从司法实践视角来看，以“侵犯公民个人信息罪”“合法公开的个人信息”“公共数据”“裁判文书”等为单独或组合关键词、以相关法律条文为法律依据在中国裁判文书网检索，清洗后共筛选出19件刑事案件和9件民事案件。其中，有17件刑事案件认为如行为人想将合法公开的个人信息提供给他人，需要征得被收集者同意，否则属于违法行为，公开性并不影响个人信息的属性。有2件民事案件持完全告知同意论，相关判决认为未征得信息主体的同意处理已公开个人信息构成非法使用他人个人信息的要件,属于侵权行为。

(二) 完全告知同意论之反驳

完全告知同意论将合法公开的个人信息与未公开个人信息等同视之，适用个人信息保护中普遍遵循的告知同意制度。但忽略了合法公开的个人信息的“非典型个人信息”特性，相较于未公开个人信息的“非典型”表现在：其一，内容的非私密性。《民法典》第1032条将个人信息划分为私密信息和非私密信息，基于权利不得减损和人格尊严高于私法自治的保护原则，现有规范对私密信息适用的是强保护规则，即在处理依据、处理要求上较非私密信息有着更高要求。同时，根据《民法典》第1034条的规定，处理私密信息时首先需适用隐私权的相关规定，在没有规定的情况下则适用个人信息保护规定。易言之，现有法律规范对私密信息实行的是更为周延与完备的双重保护。而合法公开的个人信息产生于信息主体的自我呈现，即便其中有些个人信息原属于私密信息，也因公开行为而从绝对的私密领域转向了公共领域，丧失了私密性，不再属于隐私权的保护范围。司法实践中法院也多认为隐私权的一个重要特征即是不为公众所知悉，合法公开的个人信息不属于隐私权保护范畴。(4)罗毓华与北京金堤科技有限公司隐私权纠纷案，苏州市中级人民法院(2020)苏05民终6904号民事判决书；徐永、芝麻信用管理有限公司名誉权纠纷案，杭州互联网法院(2018)浙0192民初302号民事裁定书。其二，权能的减损性。《民法典》第1035条和《个人信息保护法》(以下简称《个保法》)第13条将取得信息主体的同意列为个人信息处理的合法性基础之一，而信息主体自行公开个人信息时即应预知该个人信息会有被不特定主体捕获的可能，若其仍选择将个人信息暴露于公众视野，即是以行为的方式默示同意了其他主体的合理处理权限。换言之，信息主体对其个人信息的自决在个人信息已合法公开的情况下有所减损[4]。其三，责任的豁免性。信息主体作为理性经济人，当然地会对公开个人信息的风险具有概括性认知。信息主体选择将信息公开，实质上即是自愿承担个人信息被社会公众公开审视的风险，即受到自甘风险规则的约束，此时其他主体的部分处理行为则获得了责任豁免。《民法典》第1036条即是此观点，该条规定合理处理自然人自行公开或其他已经合法公开的个人信息的，行为人不承担民事责任。

对完全告知同意论的反驳可基于以下维度。其一，完全告知同意论不具备逻辑自洽性。合法公开的个人信息的权能减损性与责任豁免性使得其相较于未公开的个人信息具有更少的获取成本、更便捷的获取渠道和更低的合规成本，信息业者基于商业利益最大化，衍生利用合法公开的个人信息即是考虑到上述特性，否则相比之下合法公开的个人信息便毫无利用优势可言。由于合法公开的个人信息已然位于公共空间，若遵循完全告知同意论就需追溯信息主体，产生交通、文本等衍生成本，带来人力、物力和时间成本的规模化投入。波兰数据保护局根据GDPR开出的第一张罚单即是针对Bisnode公司从开放源中处理个人信息时未依据GDPR第14条的规定向信息主体履行告知义务。Bisnode涉及的数据集约包含760万条个人信息，该公司认为告知成本与盈利不成比例，邮寄费用高于Bisnode的前一年营业额。(5)Cynthia O’ Donoghue, John O’ Brien, Processing Publicly Available Personal Data Without Telling DataSubjects? The Polish Data Protection Authority has (Bad) News for You, at https://www.technologylawdispatch.com/2019/04/privacy-data-protection/processing-publically-available-personal-data-without-telling-data-subjects-the-polish-data-protection-authority-has-bad-news-for-you/(Last visited on June 30, 2021).由此可见，成本节约是信息业者衍生利用合法公开的个人信息的重要理由之一，但是完全告知同意论却会大幅增加信息获取成本，两者之间产生逻辑悖论。

其二，完全告知同意论不具备现实可行性。合法公开的个人信息所具有内容的非私密性使得其传播突破了时空限制，处于失控状态。特别是在当前个人信息生态系统更为多元，不再是以往仅局限于信息主体与信息业者的闭路循环，而是演变为信息主体、信息业者、信息中间商、信息后续利用者等多重主体参与的纷繁复杂的流转背景下[5]，合法公开的个人信息的公开范围不断扩张，势单力薄的信息主体难以追溯是何主体进行了衍生利用。在当前信息主体对其个人信息的控制权已被大大削弱的情形下，信息主体控制权更是被实质架空，由此，完全告知同意论缺乏实然可行性。

其三，完全告知同意论有违信息主体的意思自治。信息主体主动披露个人信息属于信息主体行使意思自治控制和支配其个人信息流向的具体方式之一，应视为权利人依其自由意志对该个人信息保护的部分让渡[6]。因而，在信息主体主动将个人信息公开，认可该个人信息处理的非限制性，准许其普遍准入的情况下，依照法无禁止即自由，只要不违反法律、不违背公序良俗，信息主体应当享有依其自我意愿处分其个人信息的权利，法律应尊重信息主体的意思表示，不得非法干预。如果采用完全告知同意论，为合法公开个人信息的衍生利用设置门槛将与信息主体的意思自治相背离。

二、 合法公开个人信息衍生利用的告知同意豁免论之检讨

告知同意豁免论认为衍生利用合法公开的个人信息时无需告知信息主体并征得其同意，信息业者可以径行处理，该观点充分关注了合法公开的个人信息的公开样态，将其视为自由流通的公共物品，但未能同时注意到合法公开的个人信息的“非典型公共物品”属性。

(一) 告知同意豁免论的运行实践

告知同意豁免论观点体现在《APEC隐私框架》中，其认为在个人信息已公开和个人信息控制者未直接向相关个人收集信息的情况下，通知和选择要求一般没有必要[7]。我国作为APEC跨境隐私保护规则的成员，自然应受该规则的直接约束。美国信息政策领导中心(CIPL)在对《个保法》(草案一次审议稿)提出的建议中同样指出，我国作为APEC的成员经济体，已批准了《APEC隐私框架》，应以此修改《个保法》，确保规则一致[8]。

基于中国裁判文书网收集到的刑事案件中持告知同意豁免论观点的案件明显少于完全告知同意论，而民事案件则呈现相反情况。具言之，19件刑事案件中仅有2件认为《刑法》第253条和《侵犯公民个人信息解释》规定的“未经被收集者同意”不能笼统、狭隘地理解为只要权利人不同意，无论信息合法公开与否，无论是否经合法途径获取都不能被使用，在个人信息已合法公开时，要求仍需征得信息主体同意过于苛刻也不合理。(6)秉航、宋添源、吴辉等诈骗、非法获取公民个人信息案，北海市中级人民法院(2018)桂05刑终193号刑事判决书；王健侵犯公民个人信息罪案，苏州市姑苏区人民法院(2018)苏0508刑初40号刑事判决书。有7件民事案件持告知同意豁免论。(7)罗毓华与北京金堤科技有限公司隐私权纠纷案，苏州市吴江区人民法院(2020)苏05民终6904号民事判决书；果倩与沈阳乐见科技有限责任公司名誉权纠纷案，沈阳市沈河区人民法院(2019)辽0103民初15511号民事判决书；何红涛与北京金堤科技有限公司一般人格权纠纷案，南阳市卧龙区人民法院(2020)豫1303民初5725号；王弋与北京创意麦奇教育信息咨询有限公司上海分公司隐私权纠纷案，上海市虹口区人民法院(2018)沪0109民初24914号判决书；阮璟与北京汇法正信科技有限公司隐私权纠纷案，武汉市武昌区人民法院(2016)鄂0106民初1356号判决书；浙江蚂蚁小微金融服务集团股份有限公司、重庆市蚂蚁小微小额贷款有限公司等与苏州朗动网络科技有限公司商业诋毁纠纷案，杭州铁路运输法院(2019)浙8601民初1594号民事判决书；梁雅冰与北京汇法正信科技有限公司网络侵权责任纠纷案，北京市第四中级人民法院(2021)京04民终71号民事判决书。例如，在浙江蚂蚁小微金融服务集团股份有限公司、重庆市蚂蚁小微小额贷款有限公司等与苏州朗动网络科技有限公司商业诋毁纠纷一审判决书中，法院认为互联网征信机构从公共领域采集企业信息的行为合法，无须征得信息主体同意。此外，还存在未置可否的案件，即在裁判文书中未予阐述，也未将告知同意作为侵权认定的要件之一，(8)例如罗毓华与北京金堤科技有限公司隐私权纠纷案，苏州市吴江区人民法院(2020)苏05民终6904号民事判决书。此种情况也可认为属于告知同意豁免论。

(二) 告知同意豁免论之反驳

告知同意豁免论重在强调合法公开的个人信息的开放性，认为其置于公共场域，不受容量和空间局限，具有物理样态的无形性与全时性，边际传播与使用成本极低，可同时被多人占有，一方使用不会减少或阻碍他人使用，利用者的增加不仅不会提高边际成本，而且利用者越多，总体利用效率就越高。并且合法公开的个人信息具有极大的社会价值，任何主体都无法独占使用，具有非竞争性和非排他性，应当属于公共物品[9]。但此种观点却忽视了合法公开的个人信息的“非典型公共物品”特性。合法公开的个人信息相较于公共物品的“非典型”表现在：其一，合法公开的个人信息由私主体供给。虽然公共物品的提供主体几经流变，从政府为单一提供主体到多元主体参与供给，但是政府始终是供应主力。而部分合法公开的个人信息虽从表面上看可能由公权力机关以被动公开的方式提供，但究其根源，合法公开的个人信息具有鲜明的识别性，可以指向某个特定主体，因而实质提供主体仍为信息主体。其二，影响的负外部性。公共物品具有较强的正外部性，受众具有不特定性，也即发生利益的“外溢”。而合法公开的个人信息则极易产生负外部性的“辐射”，不仅可能通过数据挖掘泄漏信息主体未公开的个人信息，而且可借助数据挖掘与比对，通过附着的个人信息线索间接获取他人尚未直接披露的个人信息。其三，损害的个人指涉性。因公共物品以公益性为核心特质，其一旦招致损害，直接导致的是不特定多数人的公共利益受损。而如果对合法公开的个人信息实施侵害，因其可以直接或与其他信息相结合间接识别某主体，因而会直接对特定主体的权益产生辐射性影响。

告知同意豁免论在以下方面存在偏颇之处。其一，告知同意豁免论忽视了对人格尊严和自由的尊重。合法公开的个人信息的“非典型公共物品”特性表明合法公开的个人信息仍隶属个人信息范畴，具有主体识别性，因而也承载着人格尊严，不以公开与否为转移。无论是《世界人权宣言》还是《欧盟基本人权宪章》都同样基于保障公民个人尊严推演出对基于个人权利而衍生的数据权利的保护[10]。基于黑格尔对内外世界进行划分的理论，个人信息来源于信息主体，识别着信息主体并与之须臾不可分离，是自然人人格在网络空间的彰显[11]，因而属于具有意志和精神属性的内在物，信息主体理应享有绝对的控制权，保障信息主体对个人信息的控制就是对其主体资格的尊重与人身自由的维护。同时，基于纯粹理性角度，康德认为自由行动的能力赋予了人类独有的尊严，尊重尊严意味着人绝不能仅作为手段被用于满足他者的意图，成为被混同于物的法权的对象[12]。作为目的性存在的信息主体对合法公开的个人信息进行控制是其自由发展人格的重要前提，信息主体通过告知同意制度为中介对其人格形象的自主控制即是对主体地位的充分尊重[13]。即便个人信息已经合法公开，但如果剥夺信息主体的告知同意权，便是将其贬为手段，视为可操纵的个人信息生产机器。同时，合法公开的个人信息作为建立在人格权利上的人格表达不可放弃，可放弃的只有财产权利。因而，即便个人信息已合法公开，也并不代表信息主体的人格权利由此丧失[14]，告知同意制度作为信息主体自由意志的体现、实现信息处分自由的基本前提不应因此被豁免。

其二，采用告知同意豁免论会加剧对信息主体的侵害。前文已述，合法公开个人信息具有影响的负外部性，在信息主体对合法公开个人信息的收集、访问、查阅、复制、存储同意权限已遭减损的情况下，如再剥夺告知同意权，则会加剧信息主体与信息业者间的信息不对称现象，使得信息主体完全丧失对其合法公开的个人信息的控制权，信息主体难以知晓何种个人信息在何种场景中被何者如何进行利用，更难以证明处理行为与损害之间存在因果关系。由此不仅可能导致有瑕疵的个人信息对信息主体的社会形象造成负面影响，使得信息主体的形象偏离预期，而且可能导致信息主体的名誉遭受贬损，对人身、财产安全等重大利益产生侵害。

三、 合法公开个人信息衍生利用的有限告知同意论之证成

有限告知同意论的核心观点在于对合法公开的个人信息的衍生利用实行区分式的告知同意制度，此种观点能有效回应合法公开个人信息的双重属性，有效衡平个人信息保护与个人信息流通价值的发挥。

(一) 有限告知同意论的运行实践

我国现有法律规范对于有限告知同意论存在两大类三种规定。第一种类型为“合理范围说”。《民法典》第1036条和《个保法》第27条都认为如在合理范围内衍生利用则无须征得信息主体的同意。但两者的除外规定存在细微差别，《民法典》认为“信息主体明确拒绝”和“侵害信息主体重大利益”时需要取得个人同意，《个保法》则将“信息主体明确拒绝”和“对个人权益有重大影响”列为除外情形。“侵害信息主体重大利益”以实质侵害结果为导向，而“对个人权益有重大影响”则要求相对宽松，不必然要求有侵害结果的出现。此外，《个保法》中考虑的是侵害“权益”，而《民法典》考量的则是侵害“利益”，“权益”的外延显然较“利益”更为宽泛。综合来看，《个保法》要求衍生利用合法公开的个人信息取得信息主体同意的条件广于《民法典》的规定。第二种类型为“原有范围说”。该观点主要体现在《信息安全技术 个人信息安全规范》(GB/T 35273-2020)(以下简称《个人信息安全规范》)第5.4条，该规定认为在个人信息原有授权范围内的衍生利用无须征得信息主体同意，超出范围则需进行告知获得同意。虽然《民法典》已施行一年有余，但司法实践中尚未出现采用有限告知同意论的相关案件。

(二) 有限告知同意论之正当性分析

有限告知同意论能有效兼顾合法公开个人信息的双重属性，正当性可从以下视角予以阐述。第一，协调交易成本与安全保护的利益冲突。根据科斯定理，在“零交易成本”的情况下，无论法律规则如何制定，有效应的结果都会出现。而如果存在“实在交易成本”，则不同的权利界定会带来不同效应的资源配置，然而没有交易成本的世界就像没有摩擦力的自然界一样毫不现实，故在有交易成本的条件下，应遵循资源配置最优化原则，选择交易成本最低的最佳制度安排，以最小的社会成本获取最大利益。完全告知同意论虽能充分实现合法公开的个人信息的全方位保护，但完全的告知同意制度运作却带来高昂的信息成本、谈判成本和履行成本。告知同意豁免论则恰恰相反，虽然据此合法公开的个人信息的获取成本归于零，但也会徒增信息主体遭受侵害的风险。有限告知同意论能在充分保护合法公开的个人信息的基础上降低交易成本，为合法公开个人信息的保护寻求最优解。一方面，在新兴技术的助推下，合法公开的个人信息具有高速流转性，信息业者难以追溯到公开个人信息的原初主体，在一定情况下免除信息业者征得告知同意的义务能有效减少不必要的谈判成本。另一方面，根据有限告知同意论，在一定条件下信息业者衍生利用合法公开的个人信息无需征得信息主体同意，将会使得相当比例的信息业者在衍生利用时遵从缺省规则的内容而不是耗费额外的缔约成本另行约定，从而降低交易成本[15]。综上所述，有限告知同意论能在充分保护合法公开个人信息衍生利用安全性的基础上减少不必要的交易成本，达到帕累托最优的效果。

第二，兼顾合法公开个人信息的社会公共面向和个人识别面向。基于前述，合法公开的个人信息具有双重属性，究其根源，合法公开的个人信息具有个人识别面向的同时，较之未公开个人信息的社会公共面向更为凸显，同时附着“信息自决”和“信息利用”两个利益面向。具言之，一方面，基于信息主体视角，根据施坦缪勒的表现理论，个人参与社会生活的实质即是通过对个人信息的使用和公开，形成信息主体的社会形象，并基于此种社会化表征参与社会交往[16]，同时在社会交往中通过收集信息加深对社会环境的理解，如此循环往复完善社会形象，最终实现并完善人格发展。因而，对于信息主体而言，参与社会活动势必要披露个人信息以识别身份，为其他主体所掌握[17]。另一方面，基于社会视角，身处“泛化智能”时代，每一个体都不可避免地需要公开个人信息，同时也享受着合法公开的个人信息带来的社会福祉。告知同意制度作为合法公开的个人信息衍生利用的第一道门槛自然应当兼顾合法公开个人信息的两个面向，在信息主体主动公开个人信息的场域下，个人信息进入公共流通领域符合信息主体的主观期待，信息主体作为理性经济人，信息主体在主动公开时应有足够的评估和预期，对某类信息是否应当公开，公开了之后如何应对等问题备有预案。如果信息主体自愿承受个人信息公开所导致的权益损失风险，并且该风险与信息业者交付或提供的服务收益之间成比例，那么便没有理由阻止这场个人信息交易的发生，告知同意制度在此情况下就显得多此一举[18]。而在信息主体被动公开个人信息的情况下，信息主体实质上可能并无将个人信息进行公开的意愿，此时就应更加偏向个人识别面向，通过告知同意制度实现个人信息自决。综上所述，衍生利用合法公开的个人信息应当遵照区分式的有限告知同意制度，防堵个人信息风险的同时也避免普遍无差别保护造成的高昂保护成本和对信息技术发展的阻滞。

四、 合法公开个人信息衍生利用的有限告知同意论之规则重构

经由前述，有限告知同意论是现阶段合法公开的个人信息衍生利用的应然选择，但现有规范与学理观点中的有限告知同意论观点存在多方面不足。基于立法论视角，有限告知同意论应对合法公开的个人信息衍生利用情形进行类型化构造，分别适用择入式和择出式同意，同时通过安全影响评估制度进行全周期风险调控。

(一) 有限告知同意论现有观点之反思

对于有限告知同意论的展开，法律规范和学术界存在多种观点。《民法典》《个保法》将“有限”的适用范围聚焦于“合理范围”“重大影响”等标准，但对于何谓“合理”“重大”则未予明确。《个人信息安全规范》将“有限”限定于原有授权范围内。有学者认为应采用目的兼容性测试方法判断“合理范围”[19]。还有学者认为应从处理目的、方式和结果方面予以界定[20]。上述界定标准存在以下不足。其一，周延性欠缺。将处理目的、方式列为界定要素的观点认为处理应当符合个人信息公开的目的，处理方式应为没有改变个人信息被公开时的用途。《个保法》草案一次审议稿和二次审议稿同样将是否超出“个人信息被公开时的用途的合理范围”作为是否需要征得信息主体同意的前提，但此观点在最终出台的《个保法》中被修改。该观点的不足在于，实践之中部分合法公开的个人信息缺乏明确的处理目的与处理方式界定或仅作概括性、泛化性规定。例如，政府数据开放制度的设立本意即在于政府公开数据供社会增值开发和创新应用，力求穷尽数据价值，拓展数据用途，由此使得合法公开的个人信息的使用目的难以被定义或合理预见。又如，中国裁判文书网在每篇裁判文书后都会声明该裁判文书提供的信息仅供查询人参考之用，不可非法使用。换言之，对于裁判文书中个人信息的使用限于合法方式，而无细致的使用目的说明。虽然第29条工作组认为公共数据的衍生利用应坚持GDPR的目的限定原则和依据第6条进行目的兼容性测试，但同时也提及这以个人信息在公开时有明确目的说明为根本前提。(9)Article 29 Data Protection Working Party, Opinion 7/2003 on the Reuse of Public Sector Information and the Protection of Personal Data, at https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2003/wp83_en.pdf (Last visited on November 20, 2021).其二，效率性欠缺。采用目的兼容性测试意味着需要进行个案评估，在数据已成为重要生产要素的背景下，对合法公开的个人信息衍生利用进行个案式衡量将导致效率低下，与《个保法》“促进个人信息合理利用”的立法目的相悖。其三，前瞻性欠缺。《民法典》和《个保法》分别将“重大利益”“重大影响”作为衍生利用合法公开的个人信息是否需要信息主体同意的要素，部分学者也将“处理结果”作为“合理处理”的判断标准，但此种事后性的结果式判断标准使得信息业者难以在衍生利用前进行预估，缺乏现实可行性。

有限告知同意论应遵循情境完整性理论采用客观化的确定标准进行类型化展开，在不同情境中实行择入式或择出式同意，同时考虑到合法公开的个人信息的双重属性，衍生利用风险系数高于未公开的个人信息。故而，应通过安全影响评估制度对衍生利用风险进行监控，并及时调整告知同意方式。

(二) 有限告知同意论的同意形式分化

有限告知同意论可类型化为择入式和择出式同意两种方式。择入式同意即要求获得信息主体明确的授权同意后方可衍生利用。择出式同意指的是通过法律拟制为同意，并被赋予与择入式同意具有同等法律后果的沉默，信息业者可以对合法公开的个人信息直接进行衍生利用，除非信息主体特别声明或明确拒绝。采用此种同意方式的原因在于，其一，基于信息主体视角，由于认知局限、程序烦琐等原因，信息主体告知同意权的行使遭到虚化和异化。根据择入式和择出式同意的差异化适用有助于将信息主体从同意过频、同意麻木中解放出来[21]，信息主体可以集中时间和精力应对需要择入式同意的个人信息处理事项。其二，基于信息业者视角，如前所述，合法公开的个人信息位于公共场域，追溯信息主体较为困难，经济成本耗费较高，如一概采用择入式同意，将有违信息业者降低收集成本的本意。择入式和择出式同意的结合适用不仅符合合法公开个人信息的角色定位，还有助于减少信息业者的时间和经济成本耗费。其三，基于利益衡平视角，择入式和择出式同意的结合承继了合法公开个人信息的双重属性，可以兼顾合法公开个人信息流通价值的发挥和信息主体合法权益的保护。并且，择出式同意还有助于丰富信息市场和提高信息的资源性价值，其以“权利人未明确拒绝授权”作为前提条件，使得该机制介于财产规则和责任规则之间，既是附条件的财产规则，也是附条件的责任规则，兼具二者优势的同时也兼顾了权利保护与经济效率的提升[22]。

择入式和择出式同意的具体适用方式包括：第一，择入式同意的适用。根据合法公开的个人信息衍生利用的类型化规则适用择入式同意的，信息业者应当以通俗易懂的方式充分告知信息主体收集的信息来源、内容、处理目的、方式、风险、安全保障措施、存储期限等衍生利用的具体内容，获得信息主体的实质同意。此外，还应允许信息主体随时撤回同意，以充分尊重其个人信息自决。第二，择出式同意的适用。适用合法公开的个人信息择出式同意时，信息主体让渡了明示同意权，本应由信息业者承担的监管义务迁移至信息主体，义务分配向信息业者倾斜，因此为保障义务的对等和衡平，需要施与信息业者更多的告知义务。信息业者需要及时告知信息主体对择出式同意享有反对权，同时还应告知反对权的具体行使方式、流程、后果等。

(三) 有限告知同意论的类型化构造

为高度灵活地达成安全保护与挖掘利用间的平衡，应以信息主体的期待和接收程度及合法公开的个人信息的应然保护强度作为出发点，根据不同的个人信息类型和面向对象，分别适用择入式同意和择出式同意。申言之，第一，是否面向特定对象。如此分类的原因在于，个人信息自决不仅包括决定是否与他人分享信息，还包括决定在何时何地与何人分享信息，人们享有在不同程度上向不同人分享信息的权利[23]。其中，在面向不特定对象情况下，如果信息主体主动公开，则如前所述，其应知晓个人信息有被衍生利用的可能，其自愿公开就代表其自甘承担权益损失风险，此时应适用择出式同意；如果该个人信息系被动公开，出于利益衡量考虑在公开时剥夺了信息主体的信息自决，衍生利用时信息主体则无须再度进行权利让渡，所以应赋予信息主体择入式同意的权限。在面向特定对象的情况下，信息主体主动公开时，其知晓个人信息的公开范围，对被公开对象有着充分信任，在该范围内的合法公开的个人信息的衍生利用即应适用择出式同意。但如超出该特定对象，则显然超出了信息主体的原有预期，信息主体无法事先预知，则应适用择入式同意。在被动公开的情况下，与面向不特定对象的被动公开同理应当适用择入式同意。

第二，是否涉及敏感个人信息。由于敏感个人信息多属于不欲为人所知的个人信息，诸如生物识别信息具有唯一性和不可替代性，如被公开和传播可能会妨害人格尊严和基本权利的实现，可能产生终身的安全漏洞[24]，因而需要与一般的合法公开的个人信息区别以待。《信息安全技术 个人信息安全影响评估指南》(GB/T 39335-2020)(以下简称《安全影响评估指南》)第9.4条规定个人生物识别信息不应公开披露，即便其他类型敏感个人信息已经公开披露，但也不应公开披露敏感个人数据的分析结果。该规定同样体现了即便在公开样态下，也应对敏感个人信息实行特殊性保护。如果信息主体自行主动公开敏感个人信息，则代表其自愿放弃对敏感个人信息的特殊维护，信息业者衍生利用时即只需采取择出式同意。信息主体自行公开敏感个人信息时应降低保护强度的观点也得到了GDPR的肯认，根据GDPR第9条的规定，一般情况下禁止处理敏感个人信息，如信息主体已明显公开，则限制性规定不再适用。但如果敏感个人信息系被动公开，因信息主体并无主动公开的意愿与预期，故而在衍生利用时应实行择入式同意以充分保障信息主体的利益。

需要说明的是，在适用有限告知同意论的两种类型化构造时根据利益衡量的大小应有先后次序之分，应先考虑是否属于敏感个人信息，再考虑是否系面对特定对象。原因在于，敏感个人信息与信息主体的利益相关性更高，是个体自由、尊严和人格的承载者，在利益衡量中，对人性尊严的违反无论如何都不是保护利益的适恰手段[25]。如涉及合法公开的个人信息既面向特定对象，又涉及敏感个人信息的规则竞合情形，则应将两项规则叠加适用，即在面向特定对象内主动公开敏感个人信息的，适用择出式同意，如超出该特定对象则适用择入式同意。如被动公开敏感个人信息，无论是否面向特定对象都应当适用择入式同意。

(四) 有限告知同意论的风险防控

一方面，基于有限告知同意论，部分衍生利用行为可能会采用择出式同意，存在信息主体尚不自知情况下合法权益遭受侵害的可能。另一方面，一如前述，合法公开的个人信息具有负外部性的极易扩散特征，可能会在信息挖掘中披露信息主体尚未公开的个人信息和他人的个人信息。有鉴于此，为发现、处置和持续监控合法公开个人信息衍生利用过程中对信息主体造成不利影响的风险，应实行安全影响评估制度，由此判断衍生利用行为是否属于《民法典》第1036条规定的“合理处理”和是否属于《个保法》第27规定的“合理的范围”。

合法公开的个人信息衍生利用的风险评估制度可具化为风险评估和风险管理两个方面。第一，风险评估。风险评估框架包括：其一，评估主体。《个保法》将评估权交与信息业者，此种单一路径使得信息业者面临既当运动员又当裁判员的角色混同。根据协同治理的理念，可以采用自我评估和政府评估双轨并行路径，此种观点在《安全影响评估指南》第4.6.3条中即有所体现。具言之，应首先由信息业者进行自我评估，并应将评估过程和结果及时报告有关部门，对于其中风险较高的衍生利用行为，则应由有关部门联合专家开展再次评估，以充分确保评估的准确性。其二，评估程序。评估程序可以细化为事前评估、定期评估和抽查评估三个方面。衍生利用前评估主体应充分考虑合法公开的个人信息的不同场景，充分衡量衍生利用行为是否会限制信息主体自主决定权、引发差别性待遇、个人权益受损、公共利益受损等。例如，适用择入式同意和择出式同意的风险评估侧重点应有所不同，对择入式同意的风险评估应着重考虑衍生利用中泄露其他主体个人信息的风险大小等，而适用择出式同意的风险评估则还应考虑是否会对信息主体自身权益造成侵害。除此之外，《个保法》仅规定了对个人信息的事前评估，一如前述，合法公开的个人信息的衍生利用过程中负外部性极易扩散，因而需在事前评估的基础上增加定期评估，以将衍生利用风险保持在可控范围。需要注意的是，由于事前评估是信息业者自行进行，风险具有客观存在性也有主观建构性，其极有可能为自身利益考虑而故意降低风险评估结果，因而需要有关部门不定期进行抽查评估。

第二，风险管理。基于前述风险评估流程，可以对合法公开的个人信息的衍生利用风险确定轻微、较小、一般、较高、严重5个等级。针对不同的风险等级，信息业者需要采取不同层级的风险管理措施。例如，针对较高、严重风险等级的衍生利用行为，一方面，如前文所述，应由有关部门进行再评估，以核实评估结果；另一方面，信息业者应当采取相关措施降低风险或停止衍生利用行为，同时，此种高风险衍生利用行为极有可能侵害信息主体的利益，在采用择出式同意的情况下应当根据《个保法》第27条的规定及时告知信息主体，征得信息主体的择入式同意，以充分保障信息主体的信息自决。

五、 结 语

随着大数据时代向纵深发展，个人信息合法使用面临越发精细化的理论和实践难题。合法公开个人信息的衍生利用不仅能充分攫取数据黄金，推进数字经济的发展，还能够促进政府公共决策的科学化、社会治理的精准化和公共服务的合理化。对于合法公开个人信息衍生利用的告知同意模式选择既不应恪守家长主义的保护作风也不应秉持自由主义而完全放任不顾，而是需要兼顾保护个人信息权益与促进个人信息合理流转的双重目的，在充分保护信息主体的人格尊严和自由的前提下，避免过度介入信息主体与信息业者之间的合理交换。完全告知同意论与告知同意豁免论均未能充分正视合法公开个人信息的“非典型公共物品”与“非典型个人信息”属性。实行场景化区分的有限告知同意论能准确契合合法公开个人信息的本质特征，尊重合法公开个人信息的社会公共面向和个人识别面向，既能充分确保合法公开的个人信息得到及时有效的保护，又能最大限度地发挥合法公开的个人信息作为数据要素的经济价值。当然，本文只是对有限告知同意论的初步探讨，在这其中仍有丰富的理论问题值得深入研究，例如，信息主体对择出式同意享有的反对权如何具体行使？在公共数据开放利用、裁判文书公开等公权力机关公开个人信息的场景中，反对权是否因利益衡量而有所限缩？这些都应成为未来研究的努力方向。