论个人信息处理的正当性基础
——以合法公开的个人信息为视角

王勇旗

河南警察学院 公安专业基础教学部，河南 郑州 450046

从比较法上看，欧盟对个人信息保护问题一直持较为严格的态度，并未将已合法公开的个人信息作为一般情形下个人信息处理的正当性基础，只在欧盟《一般数据保护条例》（General Data Protection Regulation，简称GDPR）第9 条规定了对数据主体已经明显公开的相关个人数据的处理。从解读中可以发现，明显公开的相关个人数据可作为处理个人信息的合法性要件。2019 年12 月11 日，《印度个人数据保护法案》（The Personal Data Protection Bill of India）出台，是印度首部全面系统规定个人数据保护的法律规范。

根据《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）第13 条，并参照《中华人民共和国民法典》（以下简称《民法典》）所规定的个人信息处理规定可以看出，虽然《民法典》第1035 条个人信息处理原则中并未明确规定已合法公开的个人信息可作为个人信息处理的正当性基础，但《民法典》第1036 条第（2）款规定：处理个人信息，有下列情形之一的，行为人不承担责任……并结合《个人信息保护法》第27 条规定，可以看出我国将已合法公开的个人信息作为个人信息处理的正当性基础。本规定意在说明已合法公开的个人信息一旦进入公共场域，从某种意义上便具有了公共属性，兼顾个人信息保护上的利用价值实现。从上述规定可以看出，《民法典》第1035条、第1036条和《个人信息保护法》第27 条在立法设计上，存在制度衔接的混乱。但本文认为，《民法典》第1036 条将已合法公开的个人信息作为处理个人信息侵权责任抗辩事由，而从个人信息处理规则角度分析，可将本条理解为个人信息处理的正当性基础。本文立足《民法典》第1036 条第（2）款的规定，并结合《个人信息保护法》第27 条，分析已合法公开的个人信息作为个人信息处理正当性基础的合理性及存在的问题，并提出解决办法。

一、《民法典》第1036条第（2）款文本诠释

数字时代背景下，个人信息保护问题日益重要［1］，已然引起立法和学界重点关注。2020 年5 月28日《民法典》颁布，并将个人信息保护规定在《民法典·人格权编》之中，虽未明确规定个人信息性质，但相较以往立法，在个人信息保护规定上，已作出较为妥当的立法设计安排。2021 年颁布并实施的《个人信息保护法》作为我国首部个人信息保护类立法，回应了数字化社会背景下广大人民群众关切的现实利益问题。本文结合《民法典》第1036 条“处理个人信息，有下列情形之一的，行为人不承担责任……合理处理该自然人自行公开的或者其他已经合法公开的信息，但是该自然人明确拒绝或者处理该信息侵害其重大利益的除外”规定的法律文本，并结合《个人信息保护法》第27 条规定，力图用文义、体系、比较等方法阐释该条法律文本内在意涵，为《民法典》有关个人信息保护司法解释提供参考，并为本文的论述提供基本支撑。

（一）对于“合理处理”的理解

根据《民法典》第111 条和第1035 条关于个人信息处理的规定，结合已有研究，可以看出涉及个人信息处理问题，主要有“依法”和“非法”两个角度的实质性标准［2］，而关于处理个人信息的正当性问题，虽然已有学者进行论述［3］，但整体关注不多。本文认为，对本问题的研究中至为重要的是离不开对规范文件的准确解读和把握。在处理个人信息正当性基础上，探讨处理个人信息合理性基础，从个人信息主体权利保护角度出发，并妥当处理好个人信息保护和利用间关系，可谓当下《个人信息保护法》视域下至为重要的问题之一，同时也是有效解答侵害个人信息抗辩事由的重要路径和手段。《个人信息保护法》第13 条规定“符合下列情形之一的，个人信息处理者方可处理个人信息”，并列举了七种情形作为个人信息处理的正当性基础，并在第二章第二节中专门规定了敏感个人信息的处理规则，这是《民法典》实施背景下正当处理个人信息的规定。

从文义解释角度，一般须按照词句之通常意义解释［4］。个人信息处理中的“合理”，从文义解释上看，是一个较为宽泛的概念，并且具有一定相对性。信息处理对象包括：普通个人信息、敏感个人信息和个人生物识别信息，成年人个人信息和未成年人个人信息，普通民众个人信息和公众人物个人信息等。信息处理主体有国家机关和非国家机关等，其合理性边界并不完全相同。如是，结合当下数字化社会场景，何谓合理、何谓不合理，在个人信息处理场域，亦应是一个变动不居的概念。如反匿名化技术未出现以前，在当时既定法律框架内处理匿名化个人信息，并不会侵害到匿名化个人信息背后的信息主体利益，主要在于根据当时技术条件，并不能实现识别匿名化个人信息背后的特定自然人，此种处理场景应属合理。但是，结合当下反匿名化技术已经成熟背景，对匿名化信息处理，基本可通过反匿名化技术实现识别该信息背后的特定自然人，此种情形下的合理性认定会面临困境。正如博登海默所言：“一个概念的中心含义也许是清楚和明确的，但当我们离开该中心时它就趋于变得模糊不清了，而这正是一个概念的性质所在。”［5］我们对合理概念的理解亦是如此，在个人信息处理场域，其合理性会随着周围环境的变化而呈现不同内涵，这也应是我们理解合理概念的中心所在。如是，“合理处理”内涵，不仅应结合《中华人民共和国网络安全法》（以下简称《网络安全法》）、《中华人民共和国电子商务法》（以下简称《电子商务法》）、《中华人民共和国数据安全法》（以下简称《数据安全法》）、《民法典》、《个人信息保护法》等既有法律规范，关涉处理个人信息正当性基础上应进行的合理性认定，但在具体操作中还要结合具体处理场景，进而综合判定处理的合理性问题。

（二）对于“公开”的理解

根据《民法典》第1036 条所规定的公开分为“自行公开”和“其他已经合法公开”两类，但结合本款规定，可以看出无论是自行公开的个人信息还是其他已经合法公开的个人信息，都应纳入已合法公开的个人信息范畴。

1. 关于自行公开的认定

从古至今，自然人个人信息在人们日常工作、生活、学习等正常交往中具有不可或缺的作用，是人们进行社会交往活动必备条件之一，已然成为不可或缺的社会资源。数字时代背景下，随着互联网应用的普及，人们利用互联网平台进行沟通和交流已然成为时下重要途径，尤其是新冠疫情暴发后，人们借助互联网平台进行线上学习、会议交流等，已成为疫情期间最为重要的沟通平台。在此过程中，人们借助互联网应用平台或“腾讯会议”“钉钉”等智能APP软件交流学习中必然面临个人信息公开问题，从个人信息主体公开角度讲，此种个人信息公开应属自行公开类型。

从私法角度来看，自然人自行公开个人信息，属于民事主体意思自治体现，可根据其自身意愿，按照自己意思自主决定参与相关民事活动，并承担相应法律后果，符合民法自愿原则内涵，体现了民法核心要义，在面向冲突利益时更利于维护行为主体合法权益，属于民事主体法律平等基本前提的延伸。正如有学者对私法自治的说明：“私法自治原则强调私人相互间的法律关系应取决于民事主体的自由意思，从而给民事主体提供了一种受法律保护的自由。”［6］在比较法上，《法国民法典》《俄罗斯民法典》等对此有相似规定，主要适用于合同领域。从经济学角度看，民法所讲的民事主体应是理性人范畴，“意味着民事主体具有认知事物及其规律并为自己利益作出理性判断的能力”［7］。结合自行公开个人信息范畴，是个人信息主体意思自治体现，在法律和道德框架内，其有权自主决定个人信息是否公开及公开至何种程度。虽然个人信息一旦公开进入流通领域，不特定第三人都有获取的可能，但结合个人信息同自然人人格利益相关性，应受到法律保护。但民法自愿原则的适用并非毫无限制，正如赫费关于自由和限制的关系中所言：“对自由的限制换得了对自由的保障”［8］，自行公开的个人信息在受到既定法律等制度规范和道德伦理调整之下，还要结合信息主体特殊类型。如未成年人个人信息的公开，尤其是儿童个人信息的公开问题等，应结合《儿童个人信息网络保护规定》《中华人民共和国未成年人保护法》等处理。

2. 关于其他合法公开个人信息的认定

关于已经合法公开的个人信息，我国主要体现在司法裁判文书和政府信息所公开的个人信息等。

第一，从司法裁判文书公开角度分析。根据2000 年《最高人民法院裁判文书公布管理办法》（法办发〔2000〕4 号）规定，从2000 年6 月15 日起，从司法审判改革、维护司法工作角度出发，各级法院有选择性地公布判决书、裁定书。数字化社会背景下，随着国家司法审判改革，司法裁判文书进一步公开。从司法角度讲，裁判文书的透明可促进司法公正，但同时在司法裁判文书中所涉当事人个人信息安全问题已引起学界关注［9］，因为司法文书公开下的个人信息保护不仅包括受害人，“也包括对被告人和其他诉讼参与人的保护”［10］。虽然近些年公开的司法判决书、裁定书对涉及个人信息尤其隐私信息部分实施遮掩或匿名化措施，但仍然存在很多地方法院公开的司法裁判文书中没有对当事人姓名、住址、性别、联系方式等个人信息进行遮掩等技术处理，给当事人个人信息安全带来隐患。关于司法裁判文书公开问题，有学者指出：“如果这一制度毫无例外地得以实施，就可能使得被告人及相关人员的个人隐私在特定的范围内被最大限度地公开，从而构成对个人隐私的巨大威胁和侵害。”［11］换言之，“一览无遗地公开裁判文书，很可能会使被告人遭受‘双重处罚’”，即公开的司法裁判文书会对其人格再次形成否定性评价，致使其“无法正常返回社会”［12］。现实中更有司法机关将裁判文书公开张贴的情形，直接公布包含当事人姓名、家庭主体、工作单位等个人信息。就此问题，有学者指出：“裁判文书公开的本来含义就是指对判决理由、适用法律以及判决结果的公开，而无需过度披露和公开当事人的个人信息。”［13］

第二，从政府信息公开角度分析。一般而言，政府公开的个人信息所涉及隐私部分应不予公开。同个人身份密切相关的个人信息、个人生物识别类信息、个人财产状况信息、个人行踪信息等，只要同自然人主体密切相关，可直接追溯到特定主体或与其相关等，都不应属于政府公开信息范围。而且必须引起重视的是，法律对未成年人个人信息给予更严格保护，一般不予公开。2019年修改后的《政府信息公开条例》第15 条规定：涉及商业秘密、个人隐私等公开会对第三方合法权益造成损害的政府信息，行政机关不得公开。但是，第三方同意公开或者行政机关认为不公开会对公共利益造成重大影响的，应予以公开。数字时代背景下，以自动化方式处理个人信息能力日益增强，伴随裁判文书透明度提高，个人信息安全威胁不断增加。通说认为，自然人犯罪记录等个人信息应值得法律保护［14］。而政府信息公开一般基于保护公益目的，如《政府信息公开条例》第15 条规定“行政机关认为不公开会对公共利益造成重大影响的”应该予以公开。上述已经上网的裁判文书中和政府信息公开中所涉及的当事人个人信息应属《民法典》规定的“已经合法公开的信息”。此种场景中，虽然《民法典》已将其规定为如侵害个人信息可作为侵害责任抗辩事由，但是否意味着“已经合法公开的信息”就能作为侵害个人信息的抗辩事由？本文对此持有疑问，将结合侵害个人信息抗辩事由问题进行详述。

（三）对于“明确拒绝”的理解

民事法律行为以意思表示为核心，包括有效、无效和可撤销三种情形，根据意思表示是否有相对人，可分为有相对人的意思表示和无相对人的意思表示，而有相对人的意思表示又可分为对话的意思表示和非对话的意思表示。民事法律行为根据行为人一方意思表示还是双方意思一致而成立，分为单方民事法律行为、双方和多方民事法律行为。民事法律行为根据附条件或期限，分为附条件的民事法律行为和附期限的民事法律行为。因“法律行为之所以产生法律后果，是因为行为人想引起这种后果，并且把这一意愿表达了出来”［15］，基于上述民法基础理论，结合文本“明确拒绝”术语，从行为人意思表示的效果意思角度出发，以民法为视角对其进行分析。

“明确拒绝”应属于有相对人的单方民事法律行为。从文义解释出发，结合民法基础理论，单方民事法律行为是行为人基于意思表示单独作出的，旨在发生民法效力的法律行为。在数字时代，随着个人信息处理技术不断升级，个人信息处理者对已合法公开的个人信息进行处理，一般而言，个人信息主体并不知情，在此场景中，个人信息安全难以保障。

《民法典》《个人信息保护法》一般是从源头收集个人信息角度进行规制，即收集自然人个人信息必须经过个人信息主体“同意”，并结合不同类型个人信息采取不同的同意方式，如收集敏感个人信息时，应经个人信息主体（或监护人）书面同意。结合《个人信息保护法》第27 条，在个人信息处理中如超出收集时用途的合理范围时，应向个人信息主体告知并取得其同意。但个人信息主体出于自身利益考量，对部分合理处理个人信息行为并非持肯定态度。为更有效保护信息主体合法权益，衡平个人信息处理者同个人信息主体在市场中地位，立法者通过设计“明确拒绝”单方民事法律行为，即信息主体拒绝的意思一旦作出并到达个人信息处理者，即发生法律效力。

具体而言：其一，在有相对人的意思表示中，个人信息主体“明确拒绝”处理其个人信息，无论个人信息处理者和个人信息主体市场地位如何，“法律都不应剥夺其改变意思的机会”［16］，而因撤销其意思表示而使处理者不能继续处理其个人信息，构成违约或侵权。其二，“明确拒绝”属于附条件的民事法律行为。根据《民法典》第158 条规定，将附条件的民事法律行为分为附生效条件的民事法律行为和附解除条件的民事法律行为，结合附解除条件界定，“明确拒绝”属于附解除条件的民事法律行为。民法传统规则是“留在内心中的意愿不发生效果”［17］。个人信息处理中，信息主体为维护自身利益，在特定场景中，从其利益最大化考量，一旦作出“明确拒绝”的意思表示，该条件一旦成立，个人信息处理者即应停止处理其个人信息，否则若构成侵权应承担相关侵害责任。其三，“明确拒绝”或属于对话的意思表示或非对话的意思表示。是否属于对话的意思表示，是以行为人的意思表示能否直接通知到相对人为区别标准，可以直接通知到相对人的为对话的意思表示，反之，为非对话的意思表示。

数字时代背景下，个人信息处理者一般都借助自动化处理技术来处理个人信息，以网络空间或其他智能APP 等为媒。在此场景中，信息主体如通过电话、视频等场景完成即时通话，应属于对话的意思表示。如果信息主体通过QQ、微信、微博、电子邮箱等网络工具作出意思表示，结合社会实践，相对人并非即时或时刻在线（现实生活中此种情况比比皆是，或因网络、智能终端设备关闭等，都会产生不在线情况），此种情形并不影响信息的传输，信息处理者一旦在线即可收到个人信息主体发送的“明确拒绝”的意思表示。结合上述情形，并根据非对话意思表示内涵，个人信息主体采用此类发送“明确拒绝”的意思表示，应属于非对话的意思表示。综上，个人信息处理中，个人信息主体的“明确拒绝”意思表示一旦作出，即发生法律效力，个人信息处理者不能继续处理其个人信息，否则将承担侵权责任。

（四）对于“重大利益”的理解

从国家角度来看，重大利益范畴应同国家安全和国家利益相关，社会角度的重大利益包括公共安全（如新冠疫情属于重大公共卫生安全事件）。从个体角度来看，不同个体对其本身重大利益的解读应存在不同。从立法角度来看，重大利益应首先在区分不同部门法的基础上进行判定。从消费者角度来看，重大利益包括公平贸易利益、隐私利益、道德利益等。从民法角度来看，自然人重大利益无非涉及其人身和财产两个方面，但更为重要的是，应在尊重自然人人身自由和人格尊严的一般人格利益基础上对重大利益进行设计。

在个人信息保护法领域，数字时代背景下自然人个人信息综合价值不断彰显［18］，不同主体基于自身不同利益频繁处理个人信息，以攫取其内在深层价值。正如我们所知，个人信息同自然人密不可分，个人信息处理中，如涉及自然人隐私利益，可能会对其家庭生活、工作，甚至整个家族发展产生重大影响。如公开的裁判文书中，可对当事人个人信息权造成侵害，某些特殊案件中，会使信息主体当事人的生活安宁受到侵扰、社会评价降低、人身及财产安全受到威胁等。在此情形下，对当事人而言即为重大利益。根据《个人信息保护法》第27 条第（2）款规定：利用已公开的个人信息从事对个人有重大影响的活动，应当依照本法规定向个人告知并取得其同意。此文本中的“对个人有重大影响的活动”和《民法典》第1036 条所言的“重大利益”虽表述方式不同，但结合具体场景，立意具有相似之处。简言之，此处所言处理个人信息行为都同信息主体切身重大利益相关。

二、已合法公开的个人信息作为处理正当性基础的合理性

《个人信息保护法》第28 条规定将已公开的个人信息作为个人信息处理对象。《民法典》第1036 条规定：合理处理该自然人自行公开的或者其他已经合法公开的信息。后半部分为“但书条款”：但是该自然人明确拒绝或者处理该信息侵害其重大利益的除外。在比较法上，域外个人信息保护类立法中，将已合法公开的个人信息作为个人信息处理的正当性基础存在立法例。无论GDPR、《印度个人数据保护法案》等，都将公开的个人信息作为处理个人信息的合法性要件之一。《民法典》将已公开的个人信息作为个人信息侵权责任抗辩事由，而未将其规定在个人信息处理的制度规范中。结合《个人信息保护法》第27 条规定，存在立法衔接问题，但结合国内外（地区）相关立法，可以看出，将已合法公开的个人信息作为个人信息处理的正当性基础，符合当下个人信息处理特点。个人信息主体公开其个人信息是其日常生活、交往所必需。在商业活动中，商业主体通过利用公开的个人信息可提高其市场竞争力，增强市场活力。国家机关利用公开的个人信息是实现“数字政府”“服务政府”建设的关键。综合言之，不同个人信息处理者通过利用已合法公开的个人信息可实现其效益最大化。从已合法公开的个人信息类型来看，具体可包括自行已公开和法定已公开的个人信息。在既定法律等制度规范下，个人信息处理者并不能任意处理非公开的个人信息，除非有更高级别上位法规定。“豁免公开则是经过利益衡量的例外，对于信息可能涉及种族灭绝、危害人类、严重侵犯人权、严重影响环境、严重腐败等行为时，即便存在特定需要保护的私人利益，这些利益也应让位于公共利益，此时信息仍应公开。”［19］结合数字化社会中个人信息处理的实际和本文规定可以看出，处理已合法公开的个人信息具有合理性。

“法律规制不应流于表面上的重视，更须构建合理的法律规范，以顺畅关联外部世界，妥善开展法律适用。依此而论，评判规范合理性的重要标准是法律能否解决‘生活事实规范化’和‘法律规范体系化’两大基本任务。”［20］所谓“生活事实规范化”，就是将社会生活中纷繁复杂的事实纳入法律调整范畴，使其受到法律规制，以实现规范化目的。但并非意味着所有的社会生活事实都可纳入法律调整范围，如单纯个人或家庭活动中的自由恋爱、相夫教子等私人行为并非受法律规制。换言之，当法律调整范围过窄，社会秩序会呈现混乱状态，而调整范围过宽，法律效果难以彰显，会损害法律权威。就此问题，梅迪库斯认为，运用法律视角评价社会生活关系以形成法律关系的过程，需要对其进行不完全的“撷取”，结合社会生活关系所具有的连续统一性并成为统一体的特点，在进行法律评价时，正是并只能从这一连续且统一体中取出“部分片段”，来对其进行法律视角方面的观察。结合本文，就是将已合法公开个人信息作为个人信息处理的正当性基础所对应的社会现实合理地纳入法律规范所调整的范畴之中。数字化社会背景下，面向不同处理者处理不同类型个人信息时，根据《民法典》规定，已合法公开的个人信息可进入处理“射程”，换言之，对此类个人信息处理，一旦发生侵害后果，并不承担民事责任。在比较法上，域外立法有相关规定，无论是个人信息主体自行公开还是根据法律法规等制度规范已公开的个人信息，都属于已合法公开的个人信息。就社会整体效益发展而言，对已合法公开个人信息的使用，应以其使用价值优先。从这个角度讲，将已合法公开的个人信息作为个人信息处理的正当性基础是鼓励不同处理者对其利用价值的挖掘，面向国家机关抑或非国家机关等不同处理主体，是建设“数字政府”“服务政府”、促进数字经济发展不可或缺的重要组成部分。《个人信息保护法》出台后，结合《民法典》《网络安全法》《电子商务法》《数据安全法》等既有法律规范，统筹规制个人信息处理，秉持在对已合法公开的个人信息是个人信息处理的正当性基础，如发生侵害并产生侵害后果，个人信息处理者可将其作为个人信息侵权责任抗辩事由。

法律体系的规范化也是评价该规范是否合理的重要指标。在《个人信息保护法》范畴，将已合法公开的个人信息作为个人信息处理的正当性基础，应协调《网络安全法》《电子商务法》《数据安全法》等既有法律规范的适用。从民法视角分析，结合《个人信息保护法》中有关个人信息处理规则，最终实现个人信息保护类相关立法的有效衔接。只有如此，才能构建有效的个人信息处理合法规制体系，实现同个人信息保护相关法律规范的有效整合，进一步提高个人信息处理法律规范的合理性。

三、已合法公开个人信息作为处理正当性基础的进一步思考

从立法者角度分析，法律规范完全符合社会实际所需并非易事，立法预设同社会真实情况存在一定差距，这在成文法国家立法中在所难免。以政府信息公开为例，在比较法上，代表国家的行政机关决定是否公开个人信息，尤其所涉敏感性较强的个人信息时，会将决定内容告知所涉当事人，并给予其“一定期限内提出异议的权利，在此期限内信息并未正式公开”［19］。我国政府信息公开则有所不同，一方面，未有如此细致规定，另一方面，政府机关对涉及隐私部分一般持谨慎态度。

上文对本条规定中所涉关键用词进行解析，对其合理性进行了阐述，在本条司法适用问题上，《民法典》解释适用中的司法实践问题应是本部分所重点关注的问题。根据《民法典》第1035条、第1036条和《个人信息保护法》第27 条规定，已然规定将已合法公开的个人信息作为个人信息处理的正当性基础。结合我国实际，从社会实践和立法体系上具有其合理性，但其合理性并非意味着可以掩盖司法实践中可能存在的问题。

正如成文法所固有缺陷一样，该条规定虽可实现对社会实践中个人信息处理问题的有效规制，但成文法律规范亦不能排除其片面性缺陷。本文认为，为克服立法技术方面可能存在的片面性，我们应立足社会现实中处理个人信息实践，结合《民法典》《网络安全法》《电子商务法》《数据安全法》等既有法律，并以《个人信息保护法》为蓝本，深入分析将已合法公开的个人信息作为个人信息处理的正当性基础所可能存在的问题，从理论角度为《个人信息保护法》《民法典》司法解释提供参照。个人信息保护司法实践中，面向已合法公开的个人信息作为个人信息处理正当性基础主要存在的问题有两个：一是已合法公开的个人信息的保护问题；二是个人信息主体“明确拒绝”的适用问题。

（一）已合法公开个人信息在个人信息保护中存在的问题

根据个人信息是否处于公开状态，已向不特定多数人或网络空间中公开的个人信息应属已公开的个人信息。一般而言，自然人个人信息属于私人“物品”，从个人信息保护角度而言，除信息主体以外的任何组织或个人无权公开其个人信息，除非有法律的特殊规定。

根据《最高人民法院裁判文书公布管理办法》（法办发〔2000〕4 号）规定，从2000 年6 月15 日起，从司法审判改革，维护司法工作角度出发，各级法院可以有选择性地公布判决书、裁定书。2009 年最高法发布的《人民法院第三个五年改革纲要》提出进一步加强和完善审判与执行公开制度等，其中所涉个人信息应属法定公开类型。再如《政府公开条例》第14条第3 款规定：行政机关不得公开涉及国家秘密、商业秘密、个人隐私的政府信息。但是，经权利人同意公开或者行政机关认为不公开可能对公共利益造成重大影响的涉及商业秘密、个人隐私的政府信息，可以予以公开。由此可见，属于应法定公开的个人信息，在面向不同利益冲突时，立法机关最终所作出的规定是利益衡量的结果，正所谓“法律，是在每一个法律共同体中相互对立且为了要求被承认的利益——物质的、国家的及伦理的利益——彼此角力的结果”［21］。

在个人信息保护领域，利益衡量主要体现在个人信息处理中挖掘其内在价值过程中个人信息保护和利用间的衡量，即不同信息处理者追求个人信息内在价值，而信息主体旨在维护其合法利益。其中存在的问题是：数字时代背景下，随着国家司法审判改革中裁判文书进一步公开，虽然裁判文书的透明可促进司法公正，但同时裁判文书中会呈现出所涉当事人个人信息安全问题。因为裁判文书公开下的个人信息保护不仅包括受害人，“且也包括对被告人和其他诉讼参与人的保护”［10］。虽然近些年公开的司法判决书、裁定书对涉及个人信息尤其隐私信息部分实施去名化或匿名化处理，但很多地方法院公开的裁判文书中仍存在未将当事人姓名、住址、性别、联系方式等个人信息进行遮掩等技术处理，给当事人个人信息安全带来较大安全隐患。

个人信息不仅包括普通个人信息处理还包括个人敏感类信息，不仅有成年人个人信息还有未成年人个人信息等。面向不同类型个人信息和不同类型信息主体时，当信息主体具有完全民事行为能力时，可对行为后果承担相关责任。未成年人群体已成为当下网络用户中重要组成部分，在网络空间中将其个人信息自行公开时，虽然其监护人可施行撤销权、责令信息处理者删除其个人信息，但鉴于当下信息存储和个人信息可被无限复制等特点，未成年人个人信息安全问题突出。

（二）信息主体“明确拒绝”在个人信息保护中适用问题

前文从民法角度对“明确拒绝”作了简要分析。根据《民法典》第1036 条规定：处理个人信息，有下列情形之一的，行为人不承担责任。在个人信息处理中，信息主体的“明确拒绝”意思表示一旦作出，即发生法律效力，信息处理者不能继续处理其个人信息，否则将构成侵权。我们需要注意的是，面向不同信息主体，尤其是未成年人群体中的儿童，其生理和心理发育尚未成熟，辨识能力较差，对其行为及其后果缺乏有效的认知，网络环境下浩如烟海的网络商品或服务缺乏理性辨识能力，不能有效防范网络世界对其可能构成的危害。面向网络运营者及其他主体对该群体个人信息进行处理时，基于当事人个人利益最大化考量，并虑及其实际情况，应积极履行法定监护职责，在对其个人信息处理中如构成侵害或可能侵害时，积极采取“明确拒绝”举措，以保护其合法权益。结合网络空间中个人信息可被无限复制特点，即使其监护人“明确拒绝”，但对儿童本身所造成或可能产生的威胁依然存在。

面向法定公开个人信息场景，如裁判文书公开所涉个人信息或个人隐私信息时，从信息主体角度，即使已合法公开的个人信息造成信息主体合法权益损害，其“明确拒绝”并不能有效阻止有关部门公示裁判文书或其他依法公开的场景。具体可从公示个人信息的部门寻求突破口，如法院或政府机关公示裁判文书或其他应依法公开的个人信息时，不应仅从司法公开或便于政府行为的行使为出发点，而应考量多重利益，充分尊重所公示信息中所涉个人信息主体当事人合法权益的维护，达到法效果和社会效果的统一。