衣俊霖｜论个人信息保护中知情同意的边界——以规则与原则的区分为切入点(15)

例如，在中央网信办会同工信部等部门发布的《常见类型移动互联网应用程序必要个人信息范围规定》中，针对网约车、即时通信、婚恋相亲、演出票务等共计39类常见类型app，以列举的方式对必要个人信息的范围加以限定。如果一款app严重超出上述范围收集信息，那么即便已取得用户同意，也可能会受到行政处罚。值得注意的是，尽管正当必要原则表面上缩小了信息自主原则的适用范围——对个人可自主决定的信息种类、范围及处理方式加以限制——但该原则在客观上强化知情同意规则在实际运作中的质效。随着必要信息清单不断精确化、标准化，会降低信息处理者与信息主体之间的沟通成本。
信息自主与公域保留的冲突
在各项原则中，公域保留与信息自主有着最直接的冲突，两者的碰撞对划定知情同意的边界有重要影响。某种程度上，个保法的基础目标就是对私域与公域之间的界限进行重构。与正当必要不同，公域保留原则和信息自主原则处于同一位阶，相互间不存在严格的优先次序。因此，公域保留原则对知情同意的限缩作用体现出类型化、情景化的特征。例如，根据个保法第13条第1款，在处理已公开信息或为实施新闻报道而处理信息时，无需取得个人同意。这两项例外规定有利于个人信息在公领域内的合理流通，其正当性即源于公域保留原则。个人信息一经公开后，便脱离了信息主体的直接控制，进入了公领域的范围。若允许个人任意拒绝他人对已公开信息的处理，无疑是把公领域的一部分划归私人控制，将引起公领域空间的急剧缩减。类似地，在新闻报道以及舆论监督的场景中，亦不可赋予个人任意设定排他性壁垒的权利，否则将阻碍个人信息向公共空间的合理流通。
另外，处理公域保留与信息自主的冲突时，可借助正当必要原则作为第三方标准，避免任何一方的过度扩张。随着数字技术嵌入社会生活的方方面面，公域与私域之间物理隔离已不复存在。若任由公领域的范围无限扩张，则个人对私领域的自主权恐将丧失殆尽。实际上，个保法第13、27条等多处使用“必需”“合理的范围”等限定语，旨在把处理已公开信息、新闻报道或舆论监督等例外情况限定在必要、合理的范围。这些约束一定程度上体现了正当必要原则对公域保留原则的约束和限制。换言之，即便处理完全公开的个人信息，若超过必要合理的限度亦不能免责。在公共空间中实际上一直充斥着大量的个人信息，只不过单一个体的信息为噪声所淹没，因而并不引人注目。若有人恶意对特定信息主体的公开信息进行整理、融合、剪辑，并在特定的场合下予以公开，则可能使信息主体置身“探照灯”炙烤下，遭受极大的舆论压力甚至网络暴力。