已公開個人信息保護應從“嚴進寬出”模式轉(zhuǎn)向“寬進嚴出”模式，在此基礎上，已公開個人信息處理規(guī)則的解釋應被更新。所謂“寬進嚴出”模式，是指在信息收集上放寬對目的限制的要求，但在信息處理上強化對處理結果的控制。我國《個人信息保護法》第24條已在自動化決策場景中初步確立“寬進嚴出”模式，該模式在價值判斷、理論準備、規(guī)則設置上亦能得到支持。“寬進嚴出”模式下，認定已公開個人信息處理在“合理的范圍”內(nèi)應降低目的限制要求，以處理結果倒推處理方式的關聯(lián)性與合理性。個人信息處理者無需履行告知義務，個人信息主體行使拒絕權的時間和方式應尊重所在場景的信息處理技術特性?！皩€人權益有重大影響”的評估應被置于整體風險評估中，具體為對處理結果和系統(tǒng)風險的評估。從“合理的范圍”和“對個人權益有重大影響”中亦可推出，已公開個人信息也應“嚴出”。

一、問題的提出

《個人信息保護法》出臺后，我國學理上對個人信息保護形成了“嚴進寬出”模式。所謂“嚴進寬出”模式，是指處理個人信息需滿足目的特定明確且處理方式與該目的相兼容的要求。該模式是對目的限制原則的一種解釋方案。目的限制原則的功能，是對個人信息處理的目的和圍繞該目的的后續(xù)處理方式進行控制。我國《個人信息保護法》第14條、第17條、第28條和第29條都是對“嚴進寬出”模式在具體規(guī)則上的呈現(xiàn)。但是，“嚴進寬出”模式難以與已公開個人信息處理規(guī)則銜接，也不利于已公開個人信息的大規(guī)模利用。特別是在生成式人工智能場景下，生成式人工智能收集語料以抓取網(wǎng)絡中海量已公開數(shù)據(jù)為最主要的方式。比如，2022年發(fā)布的chatgpt-3的總語料數(shù)為0.499t，總規(guī)模為753gb。而英偉達于2025年1月推出的cosmos世紀基礎模型平臺的總語料數(shù)已達史無前例的9000t，總規(guī)模為200萬gb。如此海量的語料主要依賴于網(wǎng)絡中已公開數(shù)據(jù)，包含大量難以被分離和清洗的已公開個人信息，對其采用“嚴進寬出”模式進行控制，顯然難以實現(xiàn)。

對此，學界當下的共識是應當對已公開個人信息處理規(guī)則作出寬松化解釋，特別是放松其在生成式人工智能語料收集階段的限制。但在如何作出寬松化解釋的問題上，學者們并未達成一致?，F(xiàn)有研究從不同角度提供了論證方案和制度設想，但總體存在以下兩方面局限性：第一，對未公開個人信息與已公開個人信息不作區(qū)分，試圖構建一體化保護方案。但就個人信息收集和利用規(guī)則而言，未公開個人信息與已公開個人信息分別基于擇入同意（opt-in）和擇出同意（opt-out），在此之上形成了不同規(guī)則，面臨的規(guī)則困境亦各自不同，對此應分別考察和論證。比如，未公開個人信息采用擇入同意，若要對其作出寬松化解釋，需探討擇入同意中相對寬松的概括同意的適用范圍。已公開個人信息采取擇出同意，應重點討論的是《個人信息保護法》第27條中“合理的范圍”“個人明確拒絕”和“對個人權益有重大影響”等要素的解釋方案。第二，已有研究探討寬松化解釋方案時，往往脫離我國《個人信息保護法》現(xiàn)有體系框架，如探討生成式人工智能應當構建何種促進型數(shù)據(jù)制度，最終不免流向立法論，在當下難具可操作性。

因此，本文將在破除上述局限性基礎上，以生成式人工智能技術的出現(xiàn)為背景，采取如下研究路徑：首先，區(qū)分已公開個人信息與未公開個人信息處理規(guī)則，僅針對已公開個人信息處理規(guī)則展開研究。其次，運用體系化思維，立足于已公開個人信息處理規(guī)則與關聯(lián)規(guī)則，探討如何借鑒《個人信息保護法》體系內(nèi)已有制度資源，為已公開個人信息構建合適的保護模式。本文的基本觀點是，已公開個人信息保護應從“嚴進寬出”模式轉(zhuǎn)向“寬進嚴出”模式。本文將具體探討，已公開個人信息保護為何需要構建及如何構建“寬進嚴出”模式。在此基礎上，本文將重新細化解釋《個人信息保護法》第27條規(guī)定的“合理的范圍”“對個人權益有重大影響”和“個人明確拒絕”等要件。

二、已公開個人信息保護“嚴進寬出”模式面臨的困境

已公開個人信息保護采取“嚴進寬出”模式面臨兩方面困境：第一，已公開個人信息處理規(guī)則自身存在局限性，即屬于不完整規(guī)則。第二，生成式人工智能技術對已公開個人信息處理規(guī)則帶來直接沖擊，迫使該規(guī)則在解釋方案上需被整體更新。

（一）

“面目模糊”的已公開個人信息處理規(guī)則

《民法典》第1036條第2項、《個人信息保護法》第13條第6項與第27條均規(guī)定了已公開個人信息處理規(guī)則?，F(xiàn)有規(guī)則表明，個人信息已公開與取得個人同意并列為個人信息處理的合法性事由，但對已公開個人信息進行處理還存在三個約束條件：在合理的范圍內(nèi)、個人未明確拒絕和不對個人權益產(chǎn)生重大影響。《個人信息保護法》未對其進一步解釋，故相關理解需借助個人信息保護領域已有的法律體系和其他相關規(guī)則。

首先，本文對“合理的范圍”“對個人權益有重大影響”和“個人明確拒絕”的觀點分歧和規(guī)則的不完整展開簡要分析。

學界對“合理的范圍”的解釋分歧最大。第一種觀點認為，“合理的范圍”是指目的限制原則。第二種觀點認為，“合理的范圍”指向最小必要原則。第三種觀點認為，“合理的范圍”是指“目的限制原則+最小必要原則”的結合。此外尚有觀點認為，“合理的范圍”除上述兩原則外，還需符合個人信息處理的合法、正當、必要和誠信原則，以及比例原則與利益均衡原則等。上述觀點實際上都以目的限制原則為核心，圍繞這一核心向外拓展了半徑不同的內(nèi)容圈。本文認為，目的限制原則與其他原則之間關系如下：第一，目的限制原則和最小必要原則關系最為緊密。兩者均被規(guī)定于我國《個人信息保護法》第6條。從該條內(nèi)容看，目的限制原則是最小必要原則的衡量基礎，最小必要原則確保個人信息后續(xù)處理符合目的限制原則。可以說，在我國法中，最小必要原則是目的限制原則實現(xiàn)的應然結果，其并無單獨存在的顯著意義。第二，除最小必要原則外，目的限制原則和合法、正當、必要和誠信原則等一般原則地位并列，分別被規(guī)定于《個人信息保護法》第6條和第5條，關系較為疏遠，但內(nèi)容上彼此交叉。第三，比例原則與利益均衡原則是《個人信息保護法》應遵守的上位原則，但并未被直接規(guī)定于該法中。而從文義解釋看，“合理的范圍”直接指向的是個人信息處理數(shù)量與規(guī)模，其與最小必要原則關聯(lián)最為直接。但從最小必要原則與目的限制原則的關系看，發(fā)揮決定性作用的仍為目的限制原則。因此，“合理的范圍”之內(nèi)容指向目的限制原則。與其關系更為疏遠的其他原則并無被納入“合理的范圍”內(nèi)容之必要，因為其作為一般原則仍能對已公開個人信息處理發(fā)揮約束作用。

學界對“個人明確拒絕”的理解亦存在分歧。第一個分歧是個人拒絕權行使是否應以個人信息處理者的告知義務為前置條件。第二個分歧是個人拒絕權是否應當受限制以及如何被限制。在部分新技術場景下，未公開個人信息處理中設計的告知義務、事前同意和同意撤回制度，無法平移適用于已公開個人信息處理。比如，生成式人工智能場景下，已公開個人信息中即便存在某種“告知義務”，也更多體現(xiàn)為透明化要求，即面向多元主體的信息披露義務，其功能、目的和內(nèi)容均不同于未公開個人信息處理中的告知義務。此外，不受任何限制的個人拒絕權僅是制度理想，在具體場景中難以實現(xiàn)。即使在未公開個人信息處理中，個人拒絕權也并非在任何階段都可行使。已公開個人信息處理中，欠缺交互場景會導致個人拒絕權的行使客觀受限。若通過法律規(guī)定改變這一客觀限制，將對技術開發(fā)者課以過高成本和負擔?！皩€人權益有重大影響”這一要件因內(nèi)容過寬和欠缺具體指導規(guī)則，實操性極差，本身屬于不完整的否定性構成要件。“對個人權益有重大影響”的衡量通常發(fā)生于個人信息處理開始前，是對未來風險的評估。僅憑《個人信息保護法》第55條、第56條之規(guī)定，并依賴于個人信息處理者的內(nèi)部合規(guī)活動，個人信息保護影響評估會因缺乏具體標準、評估程序和外部監(jiān)管而流于形式，無法被真正落實。

其次，已公開個人信息處理規(guī)則的“面目模糊”只是表象。真正的困境在于已公開個人信息處理規(guī)則無法簡單參照適用未公開個人信息處理規(guī)則的解釋方案。但在如何構建自己獨立的解釋方案上，學理層面尚未給出清晰回答和整體框架。

上述問題的本質(zhì)，是我國《個人信息保護法》對已公開個人信息處理規(guī)則的設計采取了不同于歐盟模式和美國模式的第三種模式，本文稱為“混合模式”。這給解釋論上的自洽和成熟帶來一定困難。簡言之，歐盟模式不區(qū)分未公開個人信息和已公開個人信息，將其統(tǒng)一在擇入同意模式下提供保護，但在特殊場景下弱化對已公開個人信息的保護。美國模式則直接將已公開個人信息排除于隱私權和個人信息保護框架之外。我國則采取已公開個人信息和未公開個人信息分離保護的模式，對已公開個人信息單獨適用擇出同意。對此，解釋論上未及時構建與擇出同意適配的理論，反而仍在適用主要和未公開個人信息相匹配的“嚴進寬出”模式下的目的限制原則解釋方案。由此導致的問題是，擇出同意作為“事前推定同意+事后明確拒絕”的模式，本系對個人信息收集和二次利用的松綁，使得個人信息處理者在網(wǎng)絡中收集已公開個人信息時，無需提前聯(lián)系個人信息主體。但是，“嚴進寬出”模式下，依照未公開個人信息處理規(guī)則，處理者又需履行事前告知義務，并取得個人信息主體的事前同意，這與擇出同意的預設完全相反。它既不符合已公開個人信息處理初期處理者與個人信息主體之間往往并無互動的實際情況，也使已公開個人信息處理者背負過高義務。因此，在不修改立法的前提下，破除上述矛盾的路徑只有一條，即從解釋論層面對已公開個人信息處理規(guī)則中適用的目的限制原則重新解釋，使已公開個人信息處理規(guī)則脫離“嚴進寬出”模式。

綜上可知，已公開個人信息處理規(guī)則自身系一種不完整規(guī)則，故而蘊含充分解釋空間。但在解釋路徑上，該規(guī)則欠缺獨立性，仍沿用未公開個人信息處理規(guī)則的既有解釋方案，導致內(nèi)部不自洽。因此，已公開個人信息處理規(guī)則應以目的限制原則為出發(fā)點，重構自身的解釋方案。

（二）

生成式人工智能帶來的新挑戰(zhàn)

生成式人工智能作為一種新技術和新場景，對已公開個人信息處理規(guī)則帶來如下新挑戰(zhàn)。

第一，“合理的范圍”原有理解路徑被完全顛覆。生成式人工智能場景下，“嚴進寬出”模式仍然從數(shù)據(jù)收集階段即要求處理目的特定、明確，但這和生成式人工智能技術特征相悖。生成式人工智能對數(shù)據(jù)的利用方式是在學習海量數(shù)據(jù)后在詞匯空間中將每個單詞向量化，揭示不同單詞之間的統(tǒng)計學概率分布規(guī)律，再將其以參數(shù)形式保存于大模型中，最終基于用戶指令輸出內(nèi)容。此種技術路線下，生成式人工智能技術服務提供者亦無法明確獲知其中具體的概率分布規(guī)律和生成式人工智能如何利用這些參數(shù)生成何種內(nèi)容。這從本質(zhì)上顛覆了目的限制原則的出發(fā)點，即目的可控，導致目的限制原則已無法充分回應生成式人工智能技術。此外，若目的限制原則未能貫徹，最小必要原則顯然也難以實現(xiàn)，因為最小必要原則是目的限制原則實現(xiàn)的應然結果。最小必要原則預設的場景，是前信息時代小規(guī)模、單環(huán)節(jié)且環(huán)節(jié)可控的個人數(shù)據(jù)收集場景，這從本質(zhì)上與生成式人工智能追求海量語料及難以預先設定數(shù)據(jù)類型和范圍的技術特征相悖。

第二，“個人明確拒絕”進一步受到限制。生成式人工智能場景下，個人拒絕權的行使客觀上進一步受限。首先，生成式人工智能技術在未進入商業(yè)化應用之前，個人信息處理者因欠缺互動關系，難以向個人信息主體履行告知義務。進入商業(yè)化應用后，其也難以對處理目的、范圍、內(nèi)容等，進行全面、明確和持續(xù)性的告知。其次，生成式人工智能場景下，個人拒絕權的行使時間和方式受限，僅能在收集數(shù)據(jù)前及數(shù)據(jù)最終輸出階段行使。最后，個人信息處理者可能欠缺回應個人信息主體拒絕權的意愿，尤其當拒絕權行使的成本能為其所承受時。因為個人信息主體拒絕權與生成式人工智能技術發(fā)展對語料“擴源提質(zhì)”的要求本質(zhì)沖突。一旦個體群起效仿，在個人信息對價機制尚未成熟的情況下，個人信息主體更可能因風險規(guī)避而直接行使拒絕權。單一個體行使拒絕權影響不大，但如果相關主體達到一定數(shù)量，可能會對生成式人工智能研發(fā)帶來重大阻礙。考慮到此種風險，不回應個人信息主體的拒絕權對個人信息處理者而言是更好的選擇。

第三，“對個人權益有重大影響”面臨更復雜的評估要求。生成式人工智能場景下，“對個人權益有重大影響”的評估需依托于生成式人工智能自身的風險評估，且更復雜。目前，相關規(guī)定如《信息安全技術個人信息安全影響評估指南》（以下簡稱《指南》）或《信息安全技術與個人信息的自動化決策安全要求》（征求意見稿）（以下簡稱《自動化決策意見稿》）針對的都是自動化決策場景中的個人權益影響評估，其難以被延伸適用到生成式人工智能等新技術和新場景中。

（三）

反思與總結

已公開個人信息處理規(guī)則的自身特性以及生成式人工智能對其帶來的新挑戰(zhàn)，二者共同表明，已公開個人信息保護無法繼續(xù)適用“嚴進寬出”模式。本文提出的解決方案，是為已公開個人信息保護構建“寬進嚴出”模式。這一模式不僅能理順已公開個人信息處理規(guī)則的自身解釋路徑，也能更好地匹配新技術場景。

從“嚴進寬出”模式向“寬進嚴出”模式轉(zhuǎn)變的核心，是《個人信息保護法》第6條第1款規(guī)定的目的限制原則在已公開個人信息處理場景下的解釋方案需得到更新。以此為出發(fā)點，已公開個人信息處理規(guī)則的解釋路徑亦需從整體上重構。簡言之，《個人信息保護法》第6條第1款在目的限制原則的解釋上，應構建未公開個人信息和已公開個人信息相區(qū)別的“雙元路徑”。

具言之，在未公開個人信息處理中，目的限制原則的解釋仍遵循“嚴進寬出”模式，擇入同意規(guī)則與處理者告知義務規(guī)則與其形成呼應。已公開個人信息處理規(guī)則中，目的限制原則的解釋應采取“寬進嚴出”模式，《個人信息保護法》第27條應與第24條規(guī)定的自動化決策場景形成規(guī)則聯(lián)動。因為《個人信息保護法》第24條已較早構建了已公開個人信息處理的“寬進嚴出”模式，可為第27條在解釋路徑上提供參考。

三、已公開個人信息保護應轉(zhuǎn)向“寬進嚴出”模式

（一）

“寬進嚴出”模式的內(nèi)涵

所謂“寬進嚴出”模式，是指在信息收集上放寬目的限制要求，但在信息處理上強化對處理結果的控制。結合《個人信息保護法》第24條規(guī)定的自動化決策場景，下文對“寬進嚴出”和“嚴進寬出”兩種模式展開對比。

第一，“嚴進寬出”模式中的“嚴進”要求個人信息處理目的特定與明確，對此展開嚴格解釋；“寬進嚴出”模式中的“寬進”允許個人信息處理目的不夠特定和明確。“嚴進寬出”模式下，“特定”是指對目的的描述必須提供足夠細節(jié)，使之具備辨識度，“改進用戶體驗”“營銷目的”等不符合特定要求?！懊鞔_”是指目的特定化后能被明白無誤展現(xiàn)，確保信息主體和其他相關方對該目的有一致理解。“寬進嚴出”模式下，“寬進”意味著特定場景中尊重技術特性，個人信息收集之際，如收集目的無法特定化和明確化，應適當降低要求，采用業(yè)內(nèi)共識的較低標準。

第二，“嚴進寬出”模式中的“寬出”，是指個人信息處理方式與處理目的之間的關聯(lián)性符合相兼容標準，允許后續(xù)處理方式一定程度上偏離初始目的，存在更為直接的其他目的。“寬進嚴出”模式中的“嚴出”，是指個人信息處理方式與處理目的之間的關聯(lián)性符合相兼容標準，但在特定場景下，處理結果應依據(jù)相關規(guī)定而被嚴格控制。比如，在自動化決策場景下，處理結果應當公平、公正，不得差別對待。在生成式人工智能場景下，《生成式人工智能服務管理暫行辦法》（以下簡稱《暫行辦法》）第4條同樣規(guī)定，處理結果（生成內(nèi)容）必須準確、可靠。

第三，“嚴進寬出”模式與“寬進嚴出”模式對個人信息處理場景的預期不同?！皣肋M寬出”模式誕生于前信息時代，面對的是小規(guī)模、單一環(huán)節(jié)的個人信息處理場景。該模式目的在于遏制信息處理者濫用“權力”，保護個人信息權益。由于后續(xù)處理環(huán)節(jié)的可預期性強，所以控制數(shù)據(jù)收集階段是一種有效方式?！皩掃M嚴出”模式基于個人信息保護與利用的平衡，面對的是信息大規(guī)模收集、信息處理自動化與處理過程連續(xù)不可分割的場景。此種場景往往存在“算法黑箱”，用戶只能被動接受其最終決策結果。無論是控制數(shù)據(jù)輸入端，還是介入個人信息處理過程，均存在高成本、低效率和難以保證效果的問題。因此，控制輸出端更能兼顧成本、技術和效果的平衡。

（二）

“寬進嚴出”模式的適用理由

支持個人信息合理利用和人工智能新技術發(fā)展的理由并不足以充分論證，已公開個人信息處理規(guī)則在解釋論上應全面轉(zhuǎn)向“寬進嚴出”模式。這里將展示更為有力和直接的理由，表明已公開個人信息處理中早已存在“寬進嚴出”模式，且該模式與已公開個人信息處理規(guī)則體系更為匹配。

第一，從價值判斷上看，“寬進嚴出”模式能夠獲得支持。《個人信息保護法》第1條將“促進個人信息合理利用”納入了立法目的。這一目的的存在表明：其一，個人信息權益雖為人格利益，但并非絕對權，對其保護具有相對性。其二，個人信息權益保護與個人信息合理利用之間應形成平衡關系。其三，平衡關系的判定仍以利益權衡為根本手段，相關規(guī)則可被視為利益權衡結果的定型化表達?！皩掃M嚴出”模式系在特定場景下利益權衡的結果。該場景下，相比于個人信息權益保護，個人信息合理利用更被優(yōu)先考慮。對此，下一節(jié)還將具體展開說明。因此，“寬進嚴出”模式在價值判斷上本就為《個人信息保護法》所預設和兼容。

第二，從理論準備上看，“寬進嚴出”模式指向的是目的限制原則中“目的限制”的寬松化，對此學理上已做好準備。目的限制原則在歐盟gdpr中有最為成熟的表達。但當下歐盟學者對其集中提出批判，指出在人工智能時代目的限制原則已過時。當下，人們已難以通過目的限制來控制個人信息處理，確保處理活動合理。我國學者表示認同，指出目的限制原則屬于通過抽樣或單項分析實現(xiàn)個人信息價值的前大數(shù)據(jù)時代。當下，目的限制原則與人工智能技術本質(zhì)上相沖突，需要被松綁。美國未采用歐盟gdpr中的目的限制原則，而是代之以場景理論和風險理念，個人信息合法利用的認定基于處理行為的合法性與可預期性。美國2024年公布的《隱私權法案草案》規(guī)定了相對寬松的數(shù)據(jù)處理最小化原則。基于特定關系中具有合理預期的溝通目的或經(jīng)允許的目的處理個人信息，也滿足數(shù)據(jù)處理最小化要求。上述表明，在個人信息處理中松綁目的限制原則或放棄目的限制原則，已有理論準備乃至立法實踐。

第三，從規(guī)則設置上看，《個人信息保護法》第6條第1款能容納目的限制原則的“雙元解釋”路徑。第6條第1款規(guī)定：“處理個人信息應當具有明確、合理的目的，并應當與處理目的直接相關，采取對個人權益影響最小的方式?！睆奈牧x上看，其為“目的限制”和“使用限制”的解釋預留了較大空間?！澳康南拗啤敝械摹懊鞔_、合理”是指處理目的不得寬泛與模糊，且需符合社會一般人的事理認知，不得違反基本倫理道德與公序良俗。而“使用限制”中的“與處理目的直接相關”在實踐中已被寬松化解釋為“直接關聯(lián)性”與“合理關聯(lián)性”，與歐盟所采用的“相兼容”理論類似。這表明，《個人信息保護法》第6條第1款在“目的限制”層面門檻較低，而在“使用限制”層面也能滿足“相兼容”標準。這和《個人信息保護法》出臺前已有規(guī)定的做法保持了一致。《個人信息保護法》出臺前，我國法律法規(guī)中未規(guī)定目的限制原則，對個人信息處理目的的限制主要是合法、正當、必要原則和明示處理目的規(guī)則。比如，2012年出臺的《全國人民代表大會常務委員會關于加強網(wǎng)絡信息保護的決定》第2條第1款規(guī)定了合法、正當、必要原則和明示處理目的規(guī)則，該條亦為《民法典》第1035條所繼承。有學者指出，我國個人信息保護制度在設計上更傾向于要求信息處理者把目的及用途一次說清，而“直接相關”僅指目的與用途是否關聯(lián)的檢驗。對個人信息處理目的的合法正當性要求及完整揭示要求并不表明，目的呈現(xiàn)的明確性、特定性要達到歐盟gdpr的標準。

第四，“寬進嚴出”模式實際上在我國《個人信息保護法》第24條中已初步確立。該條規(guī)定自動化決策場景下的個人信息處理，在信息收集階段僅要求收集目的為利用個人信息進行自動化決策（第24條第1款），是對“目的明確”的寬松化解釋。在信息輸出端，該條則要求結果公平、公正，不得差別對待，是對個人信息處理結果的嚴格控制，本質(zhì)是對目的限制原則中“使用限制”的特殊要求。第24條未區(qū)分已公開個人信息和未公開個人信息，但實踐中大量自動化決策基于已公開個人信息展開。當下的生成式人工智能場景之所以可借鑒自動化決策場景的規(guī)則，在于兩者屬于人工智能技術發(fā)展的不同階段，但在個人信息處理上具有高度相似性：（1）均包含個人信息收集階段，僅在收集個人信息的目的、范圍、數(shù)量上不同；（2）個人信息從收集到算法/大語言模型處理，再到輸出前，形成“技術黑箱”，個人信息主體無法介入；（3）個人信息主體僅在信息輸出端與個人信息處理者建立起互動關系；（4）均采用擇出同意，個人拒絕權和“對個人權益有重大影響”均為約束要件。

（三）

“寬進嚴出”模式下的利益權衡與規(guī)則細化

1.利益權衡中個人信息合理利用處于優(yōu)位

從《個人信息保護法》第24條的規(guī)定看，“寬進嚴出”模式與擇出同意適配。在擇出同意的適用場景內(nèi)，個人信息處理者合法利益優(yōu)于信息主體的個人信息權益。原因在于，擇出同意本身系這種利益權衡結果的表達。相比于擇入同意，擇出同意在數(shù)據(jù)資源優(yōu)化配置和節(jié)省交易成本上發(fā)揮了良好功能，能推動個人信息商業(yè)導向的利用。行為經(jīng)濟學中的助推理論表明，如果想要鼓勵某項行為，就要找到人們不去做它的原因，然后消除阻礙因素。反之，如果想打消人們采取某種行動的念頭，則可以設置障礙，讓它變得更困難。擇出同意下的拒絕權看似為權利，實質(zhì)上是給個人信息主體施加了特定行為要求，而給個人信息處理者提供便利，因為后者無需事前采取任何行動。

個人信息處理者的合法利益并非單純指向經(jīng)濟性利益，否則其無法優(yōu)于人格利益。個人信息處理者的合法利益能處于優(yōu)位，在于其系一種綜合性利益。綜合性利益中超越個體利益的信息自由和信息公共性等價值在利益權衡中得以優(yōu)于個體的人格利益。對此，我國司法實踐中也予以認可。與我國類似，歐盟gdpr第6.1f條的處理者合法利益條款中，個人信息處理者所追求的合法利益不僅包括經(jīng)濟性利益，還包括法律利益和非物質(zhì)性利益，乃至更為廣闊的公共利益。實踐中，此種價值權衡方案被視為“最后的救濟方案”，是個人信息處理者維護自身利益的兜底路徑。當然，其還必須符合處理必要性及在利益權衡中處于優(yōu)位的限制要件。

因此，具體個案中，處理者一方利益集合里公共利益和非物質(zhì)性利益越突出，能在利益權衡中優(yōu)于信息主體一方的個人信息權益，并且處理方式上符合比例原則，就越能彰顯處理活動本身的合法性。

2.已公開個人信息規(guī)則的細化——以《個人信息保護法》第24條為例

以《個人信息保護法》第24條為例，這里進一步分析，“寬進嚴出”模式下已公開個人信息規(guī)則在解釋論上如何進一步細化。相比于已有的個人信息處理規(guī)則而言，該條系特殊規(guī)則。在未公開個人信息處理規(guī)則強調(diào)知情同意和已公開個人信息處理規(guī)則仍有“合理的范圍”之束縛時，該條在立法技術上早已放松了對個人信息收集環(huán)節(jié)的控制，而轉(zhuǎn)向有效規(guī)制“算法黑箱”的功能性路徑。

但對于《個人信息保護法》第24條的特殊性，許多學者并不認可。一種觀點認為，自動化決策分為用戶畫像和進行決策兩個階段，在用戶畫像階段，個人信息處理者仍應主動履行告知義務，使個人信息主體知情。還有研究者認為，《個人信息保護法》第24條并未規(guī)定個人信息收集階段，故在該階段，未公開個人信息和已公開個人信息收集活動應當分別遵循告知同意規(guī)則和《個人信息保護法》第27條“合理的范圍”之規(guī)定，“合理的范圍”的認定應為再處理目的與初始目的一致。由此，該研究者得出，已公開個人信息處理中，第27條系對第24條的細化。理由主要有兩點：第一，《個人信息保護法》第24條涉及更多類型的個人信息，但第27條僅涉及已公開個人信息，顯然更為特殊。第二，第24條未規(guī)定個人信息收集階段，第27條則規(guī)定了個人信息應在“合理的范圍”內(nèi)被收集，顯然系對第24條的細化。其背后所隱含的，是請求權規(guī)范競合下，特殊規(guī)則優(yōu)于一般規(guī)則的判定方法。

實際上，上述兩個理由皆難以成立，《個人信息保護法》第24條既是未公開個人信息處理中的特殊條款，也是已公開個人信息處理中的特殊條款。

首先，《個人信息保護法》第24條系我國此前數(shù)年自動化決策領域司法實踐和立法實踐的結果。司法實踐中，法院對自動化決策數(shù)據(jù)收集階段放寬限制采取支持立場。2014年的“cookie隱私第一案”中，法官對網(wǎng)絡平臺利用cookie技術收集網(wǎng)絡用戶上網(wǎng)信息進行商業(yè)化營銷的行為表達了支持意見。這一立場也在隨后立法中得到延續(xù)。2018年出臺的《電子商務法》第18條規(guī)定，電子商務經(jīng)營者可以利用自動化決策向消費者提供商品或服務的搜索結果，這里未規(guī)定任何限制條件。2021年修訂的《廣告法》第44條規(guī)定網(wǎng)絡定向廣告應當顯著標明關閉標志，確保一鍵關閉，但也未提及限制條件?！秱€人信息保護法》第24條同樣如此。《個人信息保護法》出臺后的兩個典型案例，“法先生濫用麥某公開個人信息案”和“王某與北京某科技有限公司人格權糾紛案”中，法院亦不關注自動化決策信息收集階段的情況，而是關注自動化決策結果是否公平公正與差別對待。上述態(tài)度立場與行業(yè)實踐情況相符。在行業(yè)實踐中，數(shù)據(jù)收集階段通常被視為個性化決策的前置環(huán)節(jié)，但其本身欠缺獨立性，不會被單獨衡量。

其次，從場景特殊性看，自動化決策無論在未公開個人信息處理中，還是在已公開個人信息處理中，都屬于特殊場景，是大數(shù)據(jù)技術成熟后的一種典型場景。這里的“場景”更應指向的是個人信息處理的具體場合全景，綜合個人信息處理的目的、方式、內(nèi)容和結果等，不應被片面理解為處理的個人信息類型。

最后，從已公開個人信息角度看，不能因為《個人信息保護法》第27條規(guī)定了“合理的范圍”，而第24條未規(guī)定，就認為第27條相比于第24條而言系特殊規(guī)則。相反，《個人信息保護法》第27條系針對所有已公開個人信息處理的一般規(guī)則。其雖然規(guī)定了“合理的范圍”等約束要件，但“合理的范圍”本身文義比較抽象，指向的也是作為一般原則的目的限制原則。與之相對，《個人信息保護法》第24條卻是對目的限制原則在目的限制層面的放松和在處理結果上的從嚴，相比于第27條而言，是更為特殊的規(guī)定。立法者已意識到，在自動化決策場景中，個人信息處理的核心痛點是算法歧視，利用算法處理個人信息指向的是目的限制原則中的處理方式限制。對此的主要驗證方式，是考察決策輸出結果。從決策結果可以推出算法模型的合理性和信息收集是否在“合理的范圍”。

綜上，《個人信息保護法》第24條對已公開個人信息處理規(guī)則解釋方案的更新提供了如下借鑒。第一，在具體場景下，“合理的范圍”這一約束要件可能過于單薄，不足以涵蓋整個個人信息處理過程的合理要求。而對“合理的范圍”之內(nèi)容進行擴充，且對其嚴格解釋，試圖基于該要件構建起整個已公開個人信息合理處理規(guī)則，并不可取。更應采取的路徑，是對“合理的范圍”作出寬松的解釋，并抓住具體場景的技術特征和侵害風險，采用更有效的方式對其進行驗證。比如，通過對處理結果是否合法合理進行驗證，從而倒推處理方式是否在“合理的范圍”內(nèi)。第二，將個人信息處理過程視為一個連續(xù)性的整體系統(tǒng)，在合適的階段配置個人拒絕權的類型和方式。比如，《個人信息保護法》第24條就充分考慮了自動化決策的技術特征，將個人拒絕權細化為脫離算法自動化決策權、關閉算法的權利和人工干預（接管）權三類，并在內(nèi)容輸出階段進行配置。此外還有一項輔助性權利，即要求說明權。第三，《個人信息保護法》第24條第3款的“對個人權益有重大影響”需要通過更為詳細的規(guī)章或指南來落實具體評估過程。

四、已公開個人信息保護“寬進嚴出”模式的具體展開

（一）

已公開敏感個人信息不適用“寬進嚴出”模式

實踐中存在敏感個人信息被公開的情況，被公開的敏感個人信息是否應被弱化保護，乃至直接適用已公開個人信息處理規(guī)則，有待進一步分析。我國主流觀點認為，已公開敏感個人信息處理仍應適用敏感個人信息處理規(guī)則?！秱€人信息保護法》也未對已公開敏感個人信息設置單獨規(guī)定。由此可知，在我國現(xiàn)行法框架下，敏感個人信息如在公開后并不喪失敏感性，則仍應被視為敏感個人信息，適用《個人信息保護法》第28條至第32條的敏感個人信息處理規(guī)則。反之，敏感個人信息如在公開后喪失敏感性，比如，因長期公開、信息陳舊化等原因，不再“容易導致自然人的人格尊嚴受到侵害或者人身、財產(chǎn)安全受到危害”，則轉(zhuǎn)變?yōu)槠胀ㄒ压_個人信息，適用已公開個人信息處理規(guī)則。對此的驗證應當放在具體場景中進行。

在個人信息收集階段，敏感個人信息仍應采取“嚴進”模式，無論其是否被公開。只有具備特定目的和充分必要性，并采取嚴格保護措施，且履行“告知+個人單獨同意”義務，個人信息處理者方可處理敏感個人信息。與此同時，敏感個人信息還應采取“嚴出”模式。比如，在自動化決策和生成式人工智能場景中，都可能發(fā)生碎片信息聚合生成新的敏感個人信息問題，此種輸出結果應被嚴格控制。學理上指出，敏感個人信息可被劃分為本質(zhì)敏感型和工具敏感型兩類。例如，歐盟法學者quinn和malgieri認為，歐盟法律保護敏感數(shù)據(jù)有時使用工具性理由，有時又將保護敏感數(shù)據(jù)視為目的本身。美國學者paul ohm根據(jù)處理方式將敏感個人信息區(qū)分為本質(zhì)敏感信息、推斷敏感信息和工具敏感信息。我國也有學者將敏感個人信息區(qū)分為對具體內(nèi)容直接利用的敏感個人信息和用以進行算法決策的敏感個人信息。本質(zhì)敏感型個人信息在內(nèi)容層面直接體現(xiàn)敏感性，故在個人信息收集階段能被識別、避免被抓取或在被抓取后被清洗、匿名化或假名化處理。但是，工具敏感型個人信息在內(nèi)容層面不直接體現(xiàn)敏感性，而是在特定場景下因與其他信息聚合而展現(xiàn)出敏感性。比如，家庭住址、身份證號碼、行蹤信息等，它們通常需要與其他個人信息聚合后，才體現(xiàn)出較強的敏感性。此類個人信息難以在信息收集階段被預先篩選、識別和過濾，需要在后續(xù)處理和結果輸出階段被嚴格控制。

（二）

“寬進嚴出”模式下已公開個人信息處理規(guī)則的具體解釋

1.重構“合理的范圍”解釋路徑

目前，對“合理的范圍”進行寬松化解釋的方案主要有兩種：第一種是針對特定場景如生成式人工智能的數(shù)據(jù)訓練階段放寬限制或豁免限制，必要時可通過立法進行例外規(guī)定。第二種是引入科研和業(yè)務改進例外的數(shù)據(jù)合理使用制度，建立訓練數(shù)據(jù)“安全港”制度。兩種方案都更偏向于立法論，并且對所有類型數(shù)據(jù)采取一體化放寬視角。本文認為，可以從解釋論和雙元解釋路徑視角，對已公開個人信息處理規(guī)則中的“合理的范圍”重新進行解釋。

無論采取何種解釋方案，“合理的范圍”最終會被化為對處理目的和處理方式是否合理的考察。但是，該要件不應當承載過重的任務，即不應當容納所有的已公開個人信息合理處理內(nèi)容。否則該要件將更難以被把握，進而使整個條款的適用難度都加大，與條款推動已公開個人信息合理利用的初衷背道而馳。其應當發(fā)揮的功能，是支持目的限制原則在已公開個人信息處理中采用“寬進嚴出”模式解釋方案，并繼續(xù)作為基石條款，為其他一般原則在已公開個人信息處理中的適用提供解釋論上的指引。因此，“合理的范圍”應當具體包含如下內(nèi)容：第一，確保個人信息收集目的合法正當，且相對明確（明確性程度應符合行業(yè)相關群體共識）。第二，處理方式與收集目的存在直接關聯(lián)或合理關聯(lián)。第三，通過處理結果驗證，處理方式是否與收集目的相關，以及處理方式自身是否合理。如果處理結果具有侵害性，且處理者存在對應過錯，則可以倒推已公開個人信息處理方式的不合理，進而得出個人信息處理不在合理的范圍內(nèi)。有學者認為，在對收集目的放寬后，沒有必要再對處理方式與收集目的的關系解釋為“相兼容”，而應嚴格按照文義表達的“直接相關”解釋。對此，本文并不贊同。首先，該觀點僅考慮到已公開個人信息處理，卻沒有考慮到并非所有情形下，收集目的都可以被放寬解釋。在未公開個人信息處理中，收集目的仍應遵循《個人信息保護法》第17條規(guī)定，此時收集目的與處理方式之間的關系采取“相兼容”標準就有其必要性。其次，“相兼容”標準既然已經(jīng)在其他規(guī)定和實踐中被認可與使用，此時再對其否定而適用嚴格解釋，顯然不妥。在生成式人工智能場景下，上述規(guī)則亦能被適用，因為該場景中的處理結果主要為生成式人工智能輸出結果。其輸出結果的侵害性是指直接輸出他人隱私和個人信息，或輸出結果系與個人信息主體相關的虛假信息、錯誤信息等。對此，判定處理者是否存在過錯，需在現(xiàn)有技術水平下。因此，“寬進嚴出”模式充分考慮了生成式人工智能這類新技術的特征，對處理目的明確性要求放寬，僅要求其符合生成式人工智能的技術特征，達到行業(yè)相關群體共識。簡言之，其對已公開個人信息處理是否在“合理的范圍”內(nèi)，可以通過內(nèi)容輸出“存在侵害結果+處理者過錯”方式進行倒推認定。

這種解釋路徑充分吸收了技術主義思路。已公開個人信息處理規(guī)則需要不斷接受新技術和新場景的考驗，故而在規(guī)則解釋方案上應與技術主義解決方案彼此配合。技術主義在回應“總得有法律來防止此事”的要求時，不是起草新的法律規(guī)則，而是尋找技術上的解決方案。因此，現(xiàn)有規(guī)則對個人信息權益的保護應與技術上的解決方案配合，從對不法行為的糾正和懲罰轉(zhuǎn)向預防和排除，從依賴規(guī)則和標準轉(zhuǎn)向采用技術解釋方案。實際上，技術主義思路不僅在《個人信息保護法》第24條的自動化決策場景中已經(jīng)出現(xiàn)，同時在我國2023年出臺的《暫行辦法》中也有所體現(xiàn)?！稌盒修k法》第4條第5項規(guī)定：“基于服務類型特點，采取有效措施，提升生成式人工智能服務的透明度，提高生成內(nèi)容的準確性和可靠性。”這里的“基于服務類型特點”和“采取有效措施”一定程度上體現(xiàn)了尊重技術特性和技術解釋方案。

在采取上述方案的情況下，本文提出的對《個人信息保護法》第6條第1款“目的限制原則”構建解釋論上的“雙元路徑”即已實現(xiàn)。在未公開個人信息處理活動中，目的限制原則仍應被解釋為目的明確、特定、具體，從而和《個人信息保護法》第14條和第17條規(guī)定對應。在已公開個人信息處理活動中，目的限制原則可以被解釋為目的相對明確，符合行業(yè)相關群體共識。在處理目的和處理方式的關系上，兩者都采用“相兼容”標準。如此，已公開個人信息處理中，目的限制原則的控制功能被一定程度弱化，但通過加強控制處理結果的方式又得到補強。《個人信息保護法》第24條對自動化決策中個人信息處理的規(guī)定可以印證。

2.告知義務的豁免與個人拒絕權的合理配置

已公開個人信息處理中，告知義務并非信息處理者必須履行的義務，個人信息主體行使拒絕權也不以告知義務的履行為前提。原因在于，告知義務系擇入同意的對稱義務，被明確規(guī)定在未公開個人信息和敏感個人信息相關規(guī)定中。它不應也無必要被擴大適用到已公開個人信息處理中。雖然《個人信息保護法》第44條賦予了個人信息主體的一般知情權，但從中也不能直接推導出，處理者負擔告知義務。比較法上，對欠缺互動關系的個人信息處理活動往往豁免告知義務。比如，美國《加州消費者隱私法案》（ccpa）專門強調(diào)豁免間接收集個人信息當事人的告知義務。而歐盟gdpr第14.5b條指出，如果告知義務的履行不可能或涉及不成比例的努力，特別是為了公眾利益、科學或歷史研究或統(tǒng)計目的而進行的處理，可以豁免告知義務。

從功能上看，告知義務可以部分被《個人信息保護法》第7條公開透明原則下的信息披露義務所替代，但兩者的側重點并不相同。告知義務的直接目的是確保個人信息主體在充分知情的前提下自愿、明確作出同意。信息披露義務則是為了解決信息不對稱問題，它既不專門針對個人信息主體，在披露目的上也不直接指向個人信息主體的知情同意。學理上，有人對兩者不免混淆，進而得出應強化告知義務的結論。但實際上兩者在內(nèi)容、形式、范圍和方法上均有所不同?！秱€人信息保護法》第17條明確規(guī)定了告知義務的履行內(nèi)容、形式、范圍和方法?！秱€人信息保護法》第18條第1款和第35條對告知義務的豁免規(guī)定，針對的都是該條。但是，直接源自《個人信息保護法》第7條公開透明原則的信息披露義務卻需要根據(jù)個人信息處理的具體場景而被具體規(guī)定。比如，《暫行辦法》規(guī)定了生成式人工智能服務的透明度要求，訓練數(shù)據(jù)的透明度理應成為其中的重要組成部分。學理上也探討了生成式人工智能服務者對訓練數(shù)據(jù)相關信息如何履行信息披露義務。如有學者提出，應當構建梯次披露配置，并對特定情形作出例外規(guī)定，形成多方參與的規(guī)范實施機制。考慮到不同技術和處理場景之間的差異性，信息披露義務的細化很難在《個人信息保護法》中完成，有賴于更為細化的專門規(guī)定。

個人拒絕權的行使方式、時間和效果會受到具體場景下信息處理技術特性的限制，對此應正視和接受。比如在生成式人工智能場景下，個人拒絕權的行使會“前移”和“后置”。所謂“前移”，是指面對大規(guī)模數(shù)據(jù)爬取技術，已公開個人信息主體只有在自行公開個人信息的同時表達拒絕個人信息被再處理，該拒絕權的行使才有意義。此時的拒絕權類似于自動化決策場景中的拒絕自動化決策本身之權利，可被命名為拒絕生成式人工智能處理權。同時，這種表達還需要得到發(fā)布個人信息平臺在技術上的支持，比如平臺需要提供可機讀的標識服務，才有可能避免生成式人工智能對其進行抓取的可能。因為一旦個人信息被打上禁止被處理的標識，人工智能系統(tǒng)就不得使用該信息進行訓練?？蓹C讀的標識模式是人工智能時代拒絕權的重要行使方式。一旦個人信息主體未在該階段行使拒絕權，則通常只能在處理結果輸出后行使拒絕權。此時即為個人拒絕權的“后置”。

以生成式人工智能為例，“后置”的個人拒絕權可以被細化為兩類：內(nèi)容生成拒絕權和內(nèi)容直接輸出拒絕權。根據(jù)《暫行規(guī)定》第14條規(guī)定，提供者發(fā)現(xiàn)違法內(nèi)容后，應當及時采取停止生成、停止傳輸、消除等處置措施，采取模型優(yōu)化訓練等措施進行整改，并向有關主管部門報告。這表明，拒絕內(nèi)容生成和拒絕內(nèi)容輸出是不同的，拒絕內(nèi)容生成涉及算法優(yōu)化和調(diào)整，拒絕內(nèi)容輸出則涉及屏蔽、過濾措施等。有觀點認為，拒絕權主要體現(xiàn)為拒絕內(nèi)容直接輸出。該觀點顯然未考慮到，并非所有內(nèi)容的直接輸出都能夠通過屏蔽、過濾措施阻卻，生成式人工智能服務提供者對此的履行程度以是否盡到注意義務為限。更為根本性的措施，是通過算法優(yōu)化和調(diào)整來阻止相關內(nèi)容的生成?？傮w而言，生成式人工智能服務提供者回應拒絕權也應有界限，即其在履行方式和程度上應以“現(xiàn)有技術水平”為限，具體措施應在技術和成本層面具有合理性。

3.在具體場景整體風險評估中展開“對個人權益有重大影響”的評估

離開具體場景的整體風險評估而單獨談“對個人權益有重大影響”的評估并無意義。相比于“合理的范圍”這一要件，“對個人權益有重大影響”作為一種事前風險評估措施，實際上更宜容納不同方面的要求。

從程序上看，已公開個人信息是否“對個人權益有重大影響”的評估應當被置于具體場景的整體風險評估中。對此可以借鑒個人信息安全影響評估的規(guī)范性文件《指南》。其評估過程分為兩部分：對個人權益影響及程度，安全保護措施有效性。由此可以評估出安全事件發(fā)生的可能性，最終能夠得出個人信息處理活動的安全風險等級。在具體評估方式上，《指南》首先對個人信息敏感程度進行分析，然后分析個人信息處理活動特點及其中存在的問題，最終綜合得出對個人權益影響的程度。《指南》d.4還專門對上述四個維度造成的個人權益影響程度進行了“嚴重、高、中、低”四檔列舉。此外，2023年發(fā)布的《自動化決策意見稿》也在第11章專門規(guī)定了“對個人權益有重大影響的自動化決策典型場景特殊要求”。

圖1 《信息安全技術個人信息安全影響評估指南》評估原理圖

從內(nèi)容上看，不同場景中“對個人權益有重大影響”的情形也不同，應通過專門的規(guī)章或指南規(guī)定具體內(nèi)容。具體內(nèi)容應包括兩類：第一類是處理結果，第二類是處理系統(tǒng)本身的風險。比如，生成式人工智能“對個人權益有重大影響”的情形主要指向了輸出內(nèi)容對個人信息的泄露、錯誤關聯(lián)和虛假內(nèi)容，從而對個人權益帶來重大影響?！稌盒修k法》第4條第4項規(guī)定，“不得危害他人身心健康，不得侵害他人肖像權、名譽權、榮譽權、隱私權和個人信息權益”。此系對“重大影響”的具體列舉。此外，生成式人工智能大模型本身可能也會“對個人權益有重大影響”，對此可以借鑒《歐盟人工智能法案》對大型人工智能系統(tǒng)的評估方案，比如其明令禁止開發(fā)和使用四類人工智能，同時對人工智能系統(tǒng)風險進行分級分類管理。

4.應確保特定場景下已公開個人信息的“嚴出”

所謂“嚴出”，是指特定場景下，處理結果應依據(jù)相關規(guī)定而被嚴格控制。僅從《個人信息保護法》第27條規(guī)定看，其似乎對于已公開個人信息再利用的結果控制不足。如果將該條與《個人信息保護法》第24條關聯(lián)起來，可知結果控制仍隱含在第27條的規(guī)定之中。無論是從“合理的范圍”還是從“對個人權益有重大影響”的要件中，都可以推理出已公開個人信息處理結果應受到控制，應滿足合法、合理、正當?shù)纫?，否則，已公開個人信息處理可能不在“合理的范圍”內(nèi)，或?qū)€人權益產(chǎn)生重大影響。此外，在特定場景下，也有專門規(guī)定會對處理結果提出具體要求。

已公開個人信息在特定場景下應當“嚴出”的另一個理由，是為應對“算法黑箱”和碎片信息聚合問題?！八惴ê谙洹辈粌H在自動化決策中存在，在當下的生成式人工智能中同樣存在。它使處理結果一定程度上呈現(xiàn)不可控性，即便信息收集階段合法合規(guī)。碎片信息聚合則可能導致敏感個人信息、隱私信息被直接輸出，同樣也加大了處理結果的不確定性。在生成式人工智能場景下，輸出結果產(chǎn)生如上問題，會給個人信息主體帶來隱私泄露、安寧侵擾、名譽受損和個人信息權益侵害等問題。如果沒有在處理結果上進行控制，這些問題將會直接給個體帶來侵害結果，甚至被用來進行違法犯罪活動。

未來，已公開個人信息的處理結果應當進一步得到合理控制。因為它可能會直接影響物理世界，發(fā)生不可預知的侵害后果。在技術更為復雜的人工智能體（ai agent）場景中，人工智能體是能自主規(guī)劃且執(zhí)行行動的人工智能系統(tǒng)，甚至其中的具身智能將會對外部環(huán)境直接產(chǎn)生影響。比如，“強人工智能”甚至“超人工智能”技術的發(fā)展，可能使得人工智能可以部分替代人類參與司法裁判，擁有“準主體”地位。而在人類的生活和工作中，人工智能體的深度嵌入也會重塑人機關系，人機協(xié)同乃至人機共生將成為常態(tài)。此種情況下，人工智能體的信息處理結果不僅會直接作用于物理世界，也會對人類認知帶來影響，甚至因此導致難以預料的極端情況。

結語

鑒于已公開個人信息處理規(guī)則本身的局限，以及當下新技術和新場景對其帶來的重大挑戰(zhàn)，已公開個人信息保護有必要從“嚴進寬出”模式轉(zhuǎn)向“寬進嚴出”模式。在“寬進嚴出”模式下，以《個人信息保護法》第24條的自動化決策規(guī)則為借鑒，已公開個人信息處理規(guī)則應重塑“合理的范圍”之解釋路徑，在《個人信息保護法》第6條第1款的范圍內(nèi)形成與未公開個人信息保護模式區(qū)分的“雙元路徑”。在“合理的范圍”解釋路徑指引下，個人拒絕權與“對個人權益有重大影響”應被進一步細化解釋。最終，已有規(guī)則的解釋方案更為尊重特定場景的技術特征，并在個人信息保護中更多吸收技術主義理念，從而合理配置有效的規(guī)則體系。已公開個人信息保護從“嚴進寬出”模式轉(zhuǎn)向“寬進嚴出”模式，是技術與法律互動的生動寫照和典型范例。

熊波｜數(shù)據(jù)財產(chǎn)的獨立性構造與刑法保護

姚萬勤｜“知情同意”與侵犯公民個人信息罪的出罪機制

郭雨婷｜構建風險分級導向的人工智能系統(tǒng)備案制度

魏慶坡｜去中心化自治組織的法治化：從組織擬制到實質(zhì)控制

畢文軒｜元宇宙平臺互操作實現(xiàn)的激勵型治理

吳逸越｜數(shù)實融合產(chǎn)品出賣人主給付義務的重構

上海市法學會官網(wǎng)

http://www.sls.org.cn

上觀號作者：上海市法學會