公共场所个人信息处理的告知同意规则适用研究

艾芋彤 邹丽梅

一、公共场所信息主体与信息处理者的利益冲突

在信息网络化的时代，现实空间与网络空间中交叉的信息交流构成了个人信息的内容，因此通常说认为公共场所分为两类，一是人群经常聚集、供公众使用或者服务于人民大众的传统公共场所，二是网络空间[1]。

传统公共场所通常指包括公园、名胜古迹等在内的满足公众社会生活需要的公用场所。人们在此种场所中拍摄生活、分享生活逐渐成为一种日常的社交方式，然而其中蕴含着法律风险。例如，在摩肩接踵的环境中拍摄被人群围绕着的名胜古迹，这里的人群就属于“无意入镜者”。我国《个人信息保护法》规定只要符合“可识别性”标准，不论私密还是非私密信息，都可以成为个人信息权益的客体。因此“无意入镜者”暴露在镜头下的个人信息符合“可识别性”时能够成为个人信息权益的客体，而未征得其同意进行拍摄具有侵害个人信息权益的可能[2]。

在数据信息平台化的视角下，越来越多的个人信息通过网络公开。网络空间信息侵权的行为方式主要表现为处理者对信息主体个人信息的二次利用。例如，向第三人公开信息主体在APP 中的浏览行为；对朋友圈发布的信息进行截图、复制、转发等。网络空间中的个人信息通常属于能够与其他信息相结合，间接反映自然人的信息，如社交媒体账号、聊天记录，因此未经信息主体同意处理该类信息成为对个人信息权益的侵害。

对于个人信息的处理，原则上需要遵循《个人信息保护法》规定的“告知同意”规则，即信息处理者取得主体同意后方可处理个人信息。可以设想一种场景：拍摄者想要记录被人群包围着的名胜古迹，他需要对每个人说“等一会我可能会把你拍下来并且将照片传到网上，请问你同意吗？”。在网络空间中，信息处理双方可能根本互不相识，告知同意义务的履行障碍更多。让处理者在任何情形下都遵守“告知同意”规则显然使其负担了过重的义务[3]，若不能平衡信息主体与处理者的权利义务，会对社会生活及信息网络发展带来阻碍。因此，必须对“告知同意”规则的具体情形进行充分解释，包括例外情形与处理敏感个人信息的单独告知规则。

二、何种“公开的”个人信息构成“告知同意”规则的例外

“告知同意”规则被认为是个人信息处理的核心规则。《个人信息保护法》第13 条规定处理“公开的”个人信息不需取得个人同意，但何为“公开的”个人信息仍十分模糊，因此需要对公共场所的个人信息进行类型化区分，并基于此考察该信息是否构成“公开的”个人信息。

（一）个人信息是“公开的”

何为个人信息的“公开”，理论上有不同的观点。有学者认为，个人信息是否构成公开需要放在社会关系中加以思考。在基于信任而建立起来的亲密关系中，社会成员往往会公开更多的个人信息；而在不具有信任基础的关系中，成员对个人信息的公开持审慎的态度[4]。美国学者的“社会关系理论”认为，不同群体向其他人传递该项信息的预期可能性存在不同。如果接收信息的群体越容易向其他人传递信息，则意味着个人信息被公开的预期可能性越高[5]。

在公共场所个人信息的处理中，对信息公开的认定应“高度场景化”，综合考虑信息主体与处理者的社会纽带强度、信息公开对象向外传递信息的可能性大小以及信息主体公开信息的合理预期范围。对于向特定人群公开的信息，主体往往拥有具体的设想，一旦超出该设想即可认为超出部分不属于合理预期的范围；对于向不特定人公开的信息，主体在公开时无法预知获得信息的具体对象、方式，但其对于公开的范围、程度仍有合理预期。因此，对于信息公开与否以及公开的范围、程度的判断要考虑信息主体高度场景化下的合理预期。

对于网络空间的信息处理问题，认定公开的个人信息还应考察第三方对信息的访问权限以及获取信息的难易程度[6]。网络平台的技术设置、访问权限决定着个人信息的公开程度，如果平台采取技术措施阻止第三方访问自身的网站或者信息主体在公开该信息时选择权限范围，则该个人信息很可能“不为公众所知悉”。[7]微博权限设置、微信朋友圈分组可见等功能一定程度上体现了该理论。因此如果被设置了访问权限的信息超出该权限保护范围被传播，超出部分不能认为构成“公开的”个人信息。

（二）个人信息为信息主体“自行”公开

公开的个人信息还要求是个人“自行”公开，即“自愿”公开。在此可以将自行公开的个人信息分为“传统公共场所中的个人信息”和“信息网络上的个人信息”两种典型类型，对之进行区别化讨论。

1.传统公共场所中自行公开的个人信息

公共场所中的个人信息是否自行公开需要结合信息主体的“期待可能性”进行考察。例如，他人不小心在路上滑倒、面目扭曲地打哈欠，这些令人窘迫的情形被人用镜头记录下来，是否会因主体处于具有“公开性”的公共场所即认定为“自行公开”呢？如果依据社会一般观念，该信息的公开可能会对信息主体造成损害，或假设主体得知该信息被公开后定会明确拒绝，则不能认为其已被信息主体自行公开。比如前文所述的信息主体的窘迫境地等非日常信息，其本身的敏感度较高，不能被认为是信息主体“自愿”公开的个人信息，未经主体同意记录、传播该种信息不能免责。《个人信息保护法》第13 条同样规定了“同意”作为处理个人信息的法定免责事由。例如，路人在看到他人自拍时，对着镜头摆姿势以期被他人镜头记录下来。在这一场景中可以推定该路人以其行为默示同意了自拍者用手机镜头记录其相貌，因此该路人无权以自拍者未经其明示同意为由而主张侵权责任。

2.信息网络上自行公开的个人信息

在认定网络上的个人信息是否已被信息主体自行公开时，应着重考察信息本身的特征。公开的个人信息是合法公开且能够为不特定的第三人所访问的个人信息，因此公开的个人信息必须具有两个特征，一是合法性，非法泄露或公开的个人信息，即使在客观上处于公开状态，也不属于法律层面公开的个人信息；二是开放性，即能够为不特定的第三人所访问，如果仅在有限的范围内为特定个体所访问，则不具有公开性[8]。

认定信息的“开放性”，首先需要考察第三方对信息的访问权限。如果信息主体在网络上发布信息时设置该信息对所有人可见，就意味着其对信息可能会被不特定第三人获取具有心理预期，可以认为是公开的个人信息。如果信息仅部分人可见，意味着信息主体对信息传播范围有所限制，仅可构成“半公开”。每个人都生活在一定的社会关系中，其社会关系相互交叉就形成了不同的“信息圈”，信息主体对信息传播的合理期待限于该圈子的范围。这种合理期待并非从事后判断，而是基于最初公开信息时的场景来考察其后续利用与传播是否超出了最初的场景脉络[9]。因此，部分人不知道信息主体设置的权限，未经主体同意处理该信息是否构成侵权，需要结合获知信息的群体对外传播信息的范围是否超过信息主体在发布信息时所能预知的最大范围来考虑。比如，甲在微信朋友圈发布信息时设置了分组可见，可见分组内的乙对外传播该信息的范围如果没有超出甲乙共同社会关系的范围，则不应当认定乙侵权；若超出甲乙共同社会关系，为圈子成员以外的人所知晓，则构成侵权。

三、适用单独同意的敏感私密信息不因处于“公共场所”而公开

我国《民法典》和《个人信息保护法》规定处理个人私密、敏感信息需要取得单独明确的同意。生物识别、行踪轨迹、身体隐私部位等典型的私密、敏感信息自不必详述，但在传统公共场所与网络空间中，还有一些信息是否属于敏感私密信息尚处于模糊状态，需要具体说明。

（一）敏感信息

所谓“敏感信息”包括容易导致自然人的人格尊严受侵害的个人信息，争议性敏感信息主要体现在传统公共场所“无意入镜者”的情形中。“在公共场所中摔倒”“不小心在车站播放了一条被上司批评的语音”不属于信息主体自愿公开的信息，不能成为告知同意规则的例外。这些信息记载了窘迫、尴尬的境况，被美国法律上的学者称为“非日常行为”，一般信息与非日常行为的区分标准即为依照一般观念是否会使人难堪。如果拍摄依社会一般观念会使人感到难堪的信息，即使并非传统意义上与人身、财产密切相关的信息，也属于处理“敏感信息”，应取得个人单独同意。

（二）私密信息

随着人们网络行为的不断丰富，信息主体在网络空间是否享有私密空间和私密信息存在疑问。对于网络空间是否在一定条件下具有私密性应结合特定场景和网络使用者的合理期待进行评价。例如，信息网络上的交流分为点对点的个人之间的交流和点对面的群交流。类比于现实场合，点对点的私聊类似于在现实生活中的私密场所与人交谈，在此情形下，网络空间上的该聊天平台应属于私人场所，信息主体在其中交流的涉及重大利益的信息属于私密信息，如果处理者要对该信息进行截图转发等处理利用行为，应征得信息主体的单独明确同意。而群交流根据群成员的关系又分为不同类型，如果是家人或亲密好友间在群里聊天，该场景类似现实生活中几个家人、好友在“家”这个物理空间内进行交流，应该属于私密空间，这一场景中的部分信息内容是主体期待不被外人知晓的，因此应属于私密信息；如果是公司群、购物群等，场景则类似于在现实生活中的公司、商场等具有开放性的空间，属于公共场所，因此在该群中的信息是主体能够预想到具有一定公开性和传播性的信息，不属于私密信息。

四、结语

公共场所个人信息可以分为“传统公共场所中的个人信息”与“网络空间中的个人信息”两大类。处理个人信息前是否要履行“告知同意”义务取决于该信息的类型，若属于公开的个人信息，则不需履行告知同意义务；若属于私密敏感信息则受到绝对保护，处理者必须取得信息主体的单独明确同意。对于“公开性”的判断，应从信息本身的公开属性与主体自愿公开两个层面进行分析，对于网络空间个人信息的公开还要考虑网络平台的权限设置。处理私密敏感信息必须取得信息主体的同意，在“无意入镜者”场景下依社会一般观念可能使人感到难堪的非日常信息属于敏感信息范畴；网络空间中也具有私密空间，在该私密空间内的信息属于私密信息，应遵守单独同意规则。

注释：

①《中华人民共和国个人信息保护法》第四条规定，个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。

②丁晓东.个人信息保护原理与实践，法律出版社2021 年版，第88 页。

③谢远扬.个人信息的私法保护，中国法制出版社2016 年版，第84 页。

④王四新，周净泓.网络空间隐私权的保护研究——基于公共场所隐私权理论[J].四川理工学院学报（社会科学版），第33 期（06）