三、信息权利人对个人信息的自主决定权

　　（一）“个人信息公开”是信息处理者处理个人信息的基础

　　这里论及的“个人信息公开”，以信息权利人的个人信息处于客观公开状态为前提，并不限定于特定的利益保护目的。《个人信息保护法》规定的“已公开的个人信息”范围，既包括信息权利人按照本人意愿自行公开的个人信息，也包括依法被“行政公开”“司法公开”等其他以合法方式公开的个人信息。已公开的个人信息以及取得信息权利人同意、允许被合理利用的个人信息，是信息处理者合理利用和处理个人信息的前提和基础。《个人信息保护法》第十三条规定，在知情同意的主体框架之外，列举了五项可豁免于同意规则的合法处理情形及一项兜底规则，明确把“已公开的个人信息”列为可豁免于同意规则的合法处理事由。中共中央、国务院发布的《关于构建数据基础制度更好发挥数据要素作用的意见》，从数据产权、流通交易、收益分配、安全治理四方面系统性地构建了数据要素基础制度，为新时代新阶段实现经济社会高质量稳健发展，凸显数字应用创新的数字生态奠定了坚实基础。可以说《“十四五”数字经济发展规划》《关于加快建设全国统一大市场的意见》等重大部署，都是围绕数据要素市场培育、促进数字经济高质量发展、营造良好的数字生态环境而展开的。当然信息处理者对已公开个人信息的处理，毕竟是《个人信息保护法》规定的“知情同意规则”的一种例外。因而在“一定范围内”和“一定条件下”，弱化对已公开的个人信息的保护力度，是数字经济时代倡导个人信息共建、共治、共享机制的现实需要，也是我国保护个人信息权益司法实践的传统做法。譬如，《关于维护互联网安全的决定》就明确规定，公民个人信息安全特指公民的通信自由、通信秘密，不包括公民已公开的个人信息；《关于加强网络信息保护的决定》第一条，强调要“保护网络信息安全，保障公民、法人和其他组织的合法权益”，但没有认定收集已被合法公开的个人信息属于非法。《个人信息保护法》增设了“个人信息的公开状态”标准，将处理不同类型的个人信息的准入门槛分为三级：（1）在处理敏感个人信息等特定情形的时候，要求获得个人单独同意方可处理。（2）在处理普通个人信息的时候，需基于法定合法性基础才行。（3）在处理已公开的个人信息的时候，则无任何准入的限制性规定。为此，就需要对个人已公开的个人信息予以明确规范。已公开的个人信息“应限于向不特定多数人发布、无需借助特殊手段即可从公开渠道合法获得的信息。若信息处理将对信息主体权益有重大影响，需适用告知同意规则。”但是这里所论及的“一定范围内”“一定条件下”抑或“合理处理范围”，应当基于个人信息权利人的主观意愿予以界定，除非该处理是《民法典》第一百一十七条所规定的“为了公共利益的需要”的情形。信息权利人一旦向社会公开自己的个人信息，此时的公民个人信息即转化或转变为社会公知领域的信息，信息处理者既不必局限于信息被公开时的用途，也无需契合信息主体公开该信息时的意图，完全可根据自己的意愿处理信息。如果在这种情势下，法律规范不能够规定或界定已公开的个人信息的“合理处理范围”，必将影响到信息权利人对个人信息的自主决定意愿，也必将“削弱个人信息保护制度的制度意义和私法意涵，减损对个人信息自助决定权的有效保障。”值得肯定的是《个人信息保护法》与《民法典》相比较，从立法上明确对已公开的个人信息实施弱化保护。使得已公开的个人信息可以被合理处理的原则，不失为平衡信息保护负担的务实之举。因而信息处理者哪怕使用了个人信息“公开之外的”其他非常手段，诸如对个人信息进行分析、改编、再使用等行为手段亦不构成侵权。

　　（二）“信息主体同意”是体现权利人自主决定权的关键

　　信息权利人能够以“同意”的方式行使和实现自主决定权，其根据就在于《宪法》规定的个人尊严、自由以及由主体地位推演而来的个人事项自主决定权。信息处理者只有获得“信息主体同意”，才能使自己对信息权利人的信息处理合法化、正当化。《民法典》第一千零三十五条、《个人信息保护法》第十三条，都规定了个人信息处理者要取得信息权利人的同意，确立了“信息主体同意”这个体现权利人自主决定权的合法性地位。我国法学界对“信息主体同意”涵义的理解，事实上存在着几种不同的看法，有必要进一步从理论上予以辨析和辩证。譬如，“敏感个人信息说”认为，同意规则仅适用于敏感个人信息，由于这种观点违背了《个人信息保护法》“个人信息处理规则”的“一般规定”，因而在未来的司法实践中不宜被采纳运用。“全部个人信息说”认为，同意规则适用于全部个人信息，由于它不利于实现《个人信息保护法》“促进个人信息合理利用”的规定，因而在未来的司法实践中也不宜被采纳运用。“全部个人信息+匿名信息说”认为，同意规则适用于《个人信息保护法》规定的“个人信息”与“匿名信息”，由于它不符合《个人信息保护法》第四条“不包括匿名化处理后的信息”的规定，因而在未来的司法实践中仍然不宜被采纳运用。现代社会是一个充分尊重他人不同观念和不同选择的社会，法律允许与特定个人没有社会关系的人收集、储存、传输、使用该特定个人的信息，但限于收集、使用结合识别个人信息，不得在分析特征的过程中分析出乃至暴露信息主体的真实身份，这就是个人信息领域陌生人的行为规范。由于事实上没有办法保证个人信息处理者能够自觉地遵守法律规定和行为规则，这也就是国家之所以制定“禁止性规定”配套法律责任条款的根本原因。个人信息处理者在收集信息权利人个人信息之前，往往需要通过各种途径去查询和了解信息主体的身份，这就在客观上给信息处理者履行“取得同意义务”带来一定的困难。现代社会又被称之为“陌生人社会”，隐匿个人身份是陌生人社会的显著特点和普遍做法。尽管现代社会人的交往愈来愈频繁、关系愈来愈密切，社会交往需要身处社会中的每个人允许其他人了解自己，但是这种要求必须限制于与个人有交往关系的人之间。信息主体是否需要隐匿个人身份？便成为当今社会个人自主决定的重要事项。为此我国立法借鉴并吸纳了欧美国家“直接标识符”概念。“直接标识符”是指能够单独识别特定自然人身份的信息，如身份证号码、社会保险号码、指纹识别、人脸识别等信息，其“身份指向意味着存在直接标识符即足以识别信息主体真实身份。”因而“直接标识符”便成为当下信息主体最主要的风险源。这是因为个人信息与个人身份的勾连通常依赖“直接标识符”，个人信息处理最大的风险在于信息处理者有可能把信息主体的“直接标识符”，不适当地甚至违法地传导给其他具有特定身份的自然人。