自媒體處理個人信息行為的法律規制

鄭 曦，姜 磊，2

（1.北京外國語大學法學院，北京100089；2.呼和浩特民族學院法學院，內蒙古呼和浩特 010000）

網絡時代，各種各樣的自媒體平臺不斷涌現，其中最為人們熟知的有Facebook、Twitter、Instagram、新浪微博、騰訊微信等社交軟件和網站，以及YouTube、抖音及Tiktok、快手等視頻分享網站，還有LinkedIn 等職場社交軟件和各種以游戲為主的自媒體軟件、網站如Second Life 等。在這些網絡平臺上，用戶可以創建賬號發布文字、圖片、視頻等內容，成為自媒體的運營者。這些自媒體在新聞發布和傳播方面具有交互性強、傳播速度快等區別于傳統媒體的特點，已經成為互聯網時代公眾接收資訊的主要渠道之一。自媒體在實現信息傳播的過程中將不可避免地對個人信息進行處理，因為包括用戶發布的文字、圖片、視頻中都可能含有公民的個人信息。于是便產生了以下問題：自媒體是否具備法律所規定的個人信息處理者之地位？其在處理個人信息時應遵守何種規則，有無例外情形或禁止規則？自媒體違法處理個人信息后應承擔何種法律責任？

回答上述問題，從邏輯上看，首先，應當確定自媒體作為個人信息處理者的法律地位，從而“名正言順”地將其納入個人信息保護相關法律的規制范圍；其次，應在明確其個人信息處理者地位的基礎上確定自媒體處理個人信息的具體規則；再次，規則之外應有例外，應當對自媒體處理個人信息的例外情形作出區分；再次，在明確規則與例外之后，可以再限定自媒體處理個人信息之禁止規則；最后，“無罰則則無約束”，應當確定自媒體違法處理個人信息的法律責任承擔方式。通過正確認識和厘清這些問題，可以實現對自媒體處理個人信息的行為進行有效的規制。

一、自媒體作為個人信息處理者的法律地位

《中華人民共和國民法典》（以下簡稱《民法典》）規定，自然人的個人信息受法律保護，且被規定于《民法典》的人格權編，但與隱私權、肖像權、名譽權等一般人格權區分，因此自然人的個人信息本身已經成為直接受法律保護的對象。自然人的個人信息權益之所以被立法規范所認可，一方面是因為其與自然人的人格尊嚴、人格自由息息相關，關系到作為信息主體的公民的基本權利；另一方面是因為隨著科技的進步，違法利用個人信息給信息主體帶來嚴重損害的案例不斷發生且數量日趨增多。規制處理個人信息行為不僅是保護信息主體合法權益的必然要求，也是新時代法治精神的應有之義。自媒體運營中難免需要處理個人信息，亦應遵守法律規定。

運營自媒體的本質是信息的創造、加工與傳播等。當今時代自媒體的用途早已超越早期個人生活的分享以及單純的信息傳遞，其在網絡社會中發揮的功能與作用也趨于多元化、復雜化。與傳統的報紙、電視等新聞媒體一樣，自媒體在運營時也需要處理個人信息。對于自媒體而言，流量是決定其生存和發展的最重要因素，為增加關注度和閱讀量，自媒體對收集和運用個人信息的熱情較之傳統的報紙、電視等新聞媒體有過之而無不及，其不當使用個人信息的行為也屢禁不止且愈演愈烈。在2020年的杭州“取快遞女子被造謠出軌案”中，吳女士下樓取快遞被便利店老板郎某偷拍視頻、編造“少婦出軌快遞小哥”的標題和聊天內容，相關視頻被發至微信群后不斷被傳播發酵，某微信公眾號甚至發布了《這誰的老婆，你的頭已經綠到發光啦！》的文章，給吳女士的生活和精神造成了巨大的影響。[1]

在自媒體追求流量卻缺乏有效監管的情況下，很容易造成個人信息的不當處理。為防止此種不當處理，需要回答自媒體能否作為《中華人民共和國個人信息保護法》（以下簡稱《個人信息保護法》）中的個人信息處理者而受到法律規制的問題，并進一步分析其行為是否具有規制的可行性及必要性。首先，自媒體的運營中不可避免地存在個人信息處理行為。根據《個人信息保護法》第4 條的規定，處理個人信息包括對個人信息的收集、儲存、傳輸、使用、刪除等行為。自媒體在運營過程中從各種渠道取得個人信息進而加工處理即屬于對個人信息的處理。如街頭采訪、社會記錄可能收集個人信息，就某一特定事實進行評論解釋中亦有個人信息的處理，除此之外，其發布的照片、視頻當中也存在暴露被采訪人外其他非當事人之個人信息的風險。其次，自媒體依照自身運營目的自主決定個人信息的使用方式。自媒體的信息處理目的一般與其運營目的相同，有營利性的，也有非營利性的。但在信息處理活動中作為自媒體運營者的組織或個人具有獨立意志。按照其運營目的不同自由決定著處理個人信息的方式，不同的個人信息處理方式對應著其應當對自身選擇處理方式承擔相應責任。再次，自媒體處理個人信息可能影響信息主體的個人信息權益。一方面，由于網絡平臺特性，自媒體傳播速度快，公開范圍廣，一些自媒體受關注度極高，社會影響力極大，個人信息處理活動規模不容小覷；另一方面，即使是受關注度不高的普通自媒體，只要通過巧妙的方式利用特定事件，也能夠在短時間內獲得大量關注，這對于個人信息不當處理的防范工作而言增加了不確定性。因此，自媒體一旦不當處理個人信息，就可能對信息主體權益乃至社會公共利益造成嚴重損害。

我國自媒體行業本身構成復雜，形式多樣，主體身份眾多，有個人運營的也有由MCN(Multi-Channel Network)機構等組織運營的自媒體賬號。根據《個人信息保護法》第73條第1項之規定，個人信息處理者，是指在個人信息處理活動中自主決定處理目的、處理方式的組織、個人。可見，個人信息處理者可能以組織或個人兩種主體形式出現，此即表明個人或MCN機構等組織運營的自媒體對個人信息的處理均可構成法律意義上的個人信息處理者。盡管自媒體運營者主要是公民個人，但其利用個人信息的行為已并非歐盟《通用數據保護條例》（以下簡稱GDPR）第2條2（c）所指的“自然人在純粹的個人或家庭生活中進行的處理活動”之情形[2]，其與信息主體之間已經形成了“持續不平等信息關系”[3]26這一適用前提，從而需承擔作為個人信息處理者的相應義務與法律責任。傳統上，受法律規制的個人信息處理者是指長期且大量地收集、儲存、轉讓、使用、刪除個人信息等行為的主體，此類個人信息處理者通常情形下為具有一定經濟規模的組織或個人，例如社交平臺、購物平臺、游戲公司等，出于提供特定服務之必要或其他商業經營等目的收集和處理個人信息。據此，倘若組織或個人僅僅是少量、個別、偶爾地處理個人信息，其行為能否作為法律規制對象需要進行討論。自媒體處理個人信息就具備上述這樣的特點。需要注意的是，除了極其個別的特殊情形外，幾乎所有的個人信息處理行為都屬于《個人信息保護法》的規范對象。[4]

綜上所述，自媒體屬于《個人信息保護法》的規制對象，同時，“網絡媒體虛擬性與數字性，使個體更容易失去對自身信息的控制”[5]。針對其此種角色，應當從處理規則、例外情形、禁止性規定及處理失范的后果等方面對其處理個人信息的行為進行規制。需要特別注意的是，并非所有社交媒體平臺上的自媒體均屬于一般意義的個人信息規制對象，例如政府機關、新聞機構、事業單位等組織開設自媒體賬號是其公共職能的延伸，往往具有嚴格運營管理制度，其規制路徑應依照注冊主體不同而適用特殊條款，例如關于政府機構處理個人信息的相關法律，因此不在本文討論范圍之內。

二、處理規則：“告知-同意”規則的適用

（一）“告知-同意”規則適用的基礎

嚴格保護個人信息是實現個人信息自主價值的要求，即要求個人信息的占有人和控制人不能隨意地泄露個人信息，同時他人也不得通過不當的途徑獲得個人信息。[6]在《個人信息保護法》中“告知-同意”規范是信息處理的合法性、正當性基礎，但對“告知-同意”這一規范[7]應定位于原則還是規則仍存在不同認識。關于法律原則和法律規則的區別，根據哈特的理論，法律規則與原則的區別是相對的，是程度問題。[8]326據此，“告知-同意”在《個人信息保護法》中當屬規則。有以下理由：首先，“告知-同意”被規定于《個人信息保護法》“個人信息處理規則”一章中，相應的規定具有法律規則的主要特點，如微觀指導性、較強的可操作性和確定性程度較高等[9]70；其次，《個人信息保護法》在總則部分中規定了處理個人信息應當遵循的原則中并不包含“告知-同意”；再次，《個人信息保護法》具體條文中的“告知-同意”在一般性適用時是“全有或全無”狀態，即在做到“告知-同意”或沒有做到“告知-同意”擇其一。

《個人信息保護法》賦予信息主體對其相關信息的處理享有知情權、決定權。在合法、正當、必要和誠信原則之下，確立了處理個人信息的“告知-同意”規則，在該規則的具體適用上又區分不同情況規定了一般性的事前“告知-同意”和特殊性的“告知-同意”，如“單獨同意”“二次同意”“撤回同意”等。“告知-同意”規則的設置彰顯以信息主體為中心的理念，《民法典》第1035條第1項、《中華人民共和國網絡安全法》第41 條等也將“征得同意”作為處理個人信息的必要條件之一。GDPR 第4 條（11）對“同意”在此前相關規定基礎上進行細化，即指數據主體通過一個聲明，或者通過某項清晰的確信行動而自由作出的、充分知悉的、不含混的、表明同意對其相關個人數據進行處理的意愿。自媒體處理個人信息主要適用一般性的事前“告知-同意”和特殊性的“單獨同意”“二次同意”“撤回同意”。

“告知-同意”規則對自媒體處理個人信息的法律規制需將“告知-同意”置于具體場景中進行討論，因自媒體區別于官方媒體的“自我表達”特性，事前“告知-同意”是自媒體運營者處理個人信息的必要前提條件，自媒體若違反則可能造成信息主體的財產損失或精神損害。如，一次聚會中，參與人之一將聚會拍攝的照片上傳于其運營的自媒體賬號上，根據該照片可以判斷此次聚會參與人范圍，進而顯現參與人的“朋友圈”和某一時間在某一位置的具體行為。因此，自媒體運營者上傳之前應征得照片顯示人員的同意。再如，自媒體處理在公共場所抓拍的照片或視頻因其無法按照“告知-同意”規則處理及未匿名化、去標識化處理直接發布的，同樣應當定性為侵權。質言之，處理個人信息只有征得信息主體同意方為合法正當。基于當前自媒體運營模式和發展態勢，以及信息主體專門性維權的難度、自媒體運營者自我管控的有限性、個人信息不恰當處理所造成損失的不可逆性，“告知-同意”規則的落地、落實主要應依靠自媒體平臺履行其監管責任。

（二）“同意”與“告知”的精準界定

大數據背景下自媒體處理個人信息，何為同意、如何告知均需精確界定。

其一，“告知-同意”的核心在于“同意”，信息主體的“同意”是任何個人信息收集者處理其收集到的個人信息的必要前提，自媒體所獲取的同意同樣應當如GDPR 所言“清晰”“不含混”。當然，有時也可以不經告知而直接取得“同意”授權，如“尋人啟事”或“尋物啟事”一般在發布時便默認附帶了對于其中由信息主體列明的個人信息轉發處理的授權，此種情形下自媒體進行轉發便無須進行額外的告知和取得同意。同意是一種結果性的意思表示，此情形下的意思表示多為自愿，但自愿需要在充分知情的情況下才能予以認定，非充分知情的情況下的同意，在糾紛處置中并不能認定為實質同意。[10]此外，自媒體在收集個人信息時對于同意的表達如果在技術層面可以設置為“擇出”同意即“不同意可繼續使用產品或享受服務”時，便不應設置為“擇入”同意即“同意可繼續使用產品或享受服務，而后可自行再實施關閉該同意授權”，以將同意之便利與自由給予信息主體，而不是自媒體。

其二，“告知-同意”的關鍵在于“告知”。《個人信息保護法》規定個人同意應當由個人在充分知情的前提下作出。那么，充分知情的標準便成為認定該同意系自愿作出的重要依據。然而，諸如隨拍隨傳使用的自媒體運營模式決定了“告知”實踐操作的局限性。鑒于“告知”的目的是保障信息主體的知情權，作為自媒體平臺提供主體諸如微博、騰訊微信、抖音、快手等，對網絡平臺上個人用戶創建賬號進行自媒體運營的“告知”往往過于寬泛而不具體、含糊而不準確，機械勾選進行同意方可下一步操作等，難以保證“告知”之實效。“勾選”前的欄目“用戶服務協議”亦或“隱私政策”等在形式上似乎是已經完成其告知義務，但如若在發生糾紛分配舉證責任時，“勾選”卻并不足以完成自媒體平臺提供主體的告知義務。此時，自媒體平臺提供主體應基于《個人信息保護法》第58 條“守門人”制度的特殊保護義務而與自媒體運營者承擔連帶責任。在現行法律對自媒體運營者處理個人信息規制乏力的情況下，作為有監管責任的自媒體平臺提供者需要舉證證明自媒體運營者對具體的信息主體的告知已經達到充分理解告知內容且達至知情程度，單純以“勾選”視為完成告知，即“當告知義務而非知情權利成為制度的核心，網絡用戶的同意會面臨被架空的危險”[11]。故此，自媒體平臺“勾選”繼續產品或服務或不“勾選”則中斷產品或服務的二選一模式應予改變。轉變曾經以履行告知義務為導向的認識，轉變為主動確保告知實效的合規意識，在保證主要告知條款被“勾選”的情況下可以使用基本功能，在拓展功能版塊時分層對自媒體運營者應履行的告知義務進行告知。在自媒體運營過程中，主動審查自媒體運營者動態，據實進行充分告知并征得實質性同意，此審查應在技術層面實現告知方式、標準、范圍進行科學分類的情況下進行。例如，對來源于公共場所的照片、視頻應對信息主體的相關信息作匿名化、去標識化等處理或有同意證據方可通過審查并發布，并依據《個人信息保護法》賦予的信息主體便利撤回權，從技術上方便信息主體撤回權的行使。

在這個日益高漲的信息網絡時代，勝產著良多的非凡的學生，作為新時代的班主任，要與時俱進，嘗試新的管理方法，讓學生們有更廣闊的天空可以遨游。

“告知-同意”規則的終極目的是實現處理個人信息須信息主體同意，誰處理、誰負責告知并對告知的有效性和同意的真實性負舉證責任，自媒體平臺提供主體基于“守門人”制度的特殊保護義務而對此承擔連帶責任。

三、例外情形：合理利用個人信息的要求

（一）確定合理利用例外之必要

《個人信息保護法》與《中華人民共和國數據安全法》等法律法規為數據資源的開發利用、數據要素的合理流通及進一步的數據經濟發展提供了規范和指引。數據經濟對個人信息有著必要需求，“告知-同意”規則為數據經濟利用個人信息提供了基本遵循。與此同時，應注意到如若但凡使用個人信息，無論是否已經公開均機械套用“告知-同意”規則，則增加利用個人信息的成本，不利于個人信息的利用和數據經濟的發展。當然，絕不能因發展數據經濟而降低個人信息使用的“合理”要求標準。

在利用個人信息時，恰當掌握“合理”之度，達至利用與保護的平衡，將有利于公眾樹立對數據經濟的信心。法律是自由的基礎，個人信息處理的“告知-同意”規則亦有其例外情形——不經信息主體同意可處理個人信息，即“合理利用”。GDPR 對合理利用以第6 條等條款進行了較詳細的規定，《個人信息保護法》在《民法典》第999 條限定將合理使用個人信息范圍以及第1020 條關于合理使用肖像權的規定、第1023 條關于合理使用姓名權的規定及第1036 條關于免責條款的規定的基礎上，結合國家市場監督管理總局、國家標準化管理委員會《信息安全技術個人信息安全規范》中第5、6 條列舉的合理使用的情形等規定。在《個人信息保護法》第1 條便開宗明義，將“促進個人信息合理利用”與“保護個人信息權益，規范個人信息處理活動”作為立法目的共同進行規定，體現保護與利用并重的立法理念，隨后第13條列舉了合理利用的法定情形。由于個人信息的保護與利用是辯證統一的，并非對立擇一的關系，因此無須取得個人同意。對個人信息合理利用除為了公共利益及其他法定、約定情形外，還應遵循《個人信息保護法》規定的正當、必要原則之要求，以此作為判定個人信息之合理利用的兜底條款，既要充分發揮公益性個人信息在公共管理、科學研究等方面的能動性，又要確保信息在合理范圍之內使用、信息主體的權益不發生貶損。[12]

（二）確定合理利用例外之三重維度

論及個人信息合理利用，重點應闡明何謂“合理”以及如何實現個人權利與公共利益之平衡。因本文著重探討自媒體處理個人信息的法律規制問題，故對個人權利與公共利益之平衡不予討論，僅對“合理”范疇進行闡釋。自媒體無論是分享還是創造相應的傳播內容均應當嚴格履行法定義務并盡最大努力保護信息主體的權益，自媒體處理個人信息的法律規制討論需置于具體場景中進行類型化展開。具言之，可以從公共利益、自媒體運營者利益和信息主體合法權益等三個維度展開對“合理”之內涵、外延的探討。

其一，從維護公共利益的維度來看，自媒體在處理個人信息時，適用比例原則更有利于對個人信息權益的保護。比例原則要求在適當性原則獲得滿足后，應以最小侵害之方式實現目的。[13]例如，新冠肺炎疫情防控期間通過自媒體尋找確診人員或是無癥狀感染者的密切接觸者，在最初對于這一工作缺乏經驗時，個別地區不僅公布確診人員和無癥狀感染者的行程軌跡，還將其姓名、年齡和身份證號等通過相對匿名——只保留姓氏和身份證號后幾位的形式公布，如此方式處理曾被認為是符合法律規定的，甚至在某些情形下還成為推薦做法。但是在尋找密切接觸者這一具體事件中卻有不符合比例原則之嫌。對于陌生人來說，這樣的處理方式可以起到匿名化的作用，并不能定位到具體的人，但是對于該信息權利主體相對熟悉的親朋等關系人來說，這些“只言片語”足以識別具體人員。這樣就可能給確診人員和無癥狀感染者帶來困擾。有些相對敏感的地點可能是確診人員和無癥狀感染者不愿為人所知的，如果被身邊關系人知曉會給他們的生活帶來麻煩和困擾。當然，在疫情防控數據處理工作流程相對成熟之后，大多數流調報告中已隱去了所有不必要的信息，有效解決了這一問題。但由此我們也可以得出，在處理個人信息時，除了要符合一般人認知標準中不損害公共利益的這一前提外，自媒體運營者還必須選擇對信息主體侵害最小的方式進行，在公共利益之目的實現后要及時妥善再處理，以消除或降低對信息主體的侵害，哪怕這種侵害是或然性的。

其二，從自媒體運營者利益的維度來看，自媒體在處理個人信息時，如前所述，非按“告知-同意”規則在公共場所獲取的個人某時某地某行為的信息，需要經過匿名化及去標識化等脫敏處理后利用，否則不得為除了公共利益外的任何主體的利益，包括但不限于形象提升、經濟價值、情感抒發、追趕熱度等而利用。例如，某些探店博主在錄制節目的過程中會有路人或是粉絲入鏡，有些博主會詢問是否可以將其入鏡視頻剪入成片，如果獲得同意才會播出，如果被拒絕會采用打馬賽克模糊人像或者貼貼紙的方式對其進行匿名化處理。但是也不乏一些自媒體運營者利用路人的隨機性，將其作為視頻特色的背景，評論區也會對于視頻中出現的路人品頭論足、褒貶不一、當然大部分觀眾都是一看了之，評論諸如“這個小朋友好可愛”“這個小姐姐好美”等贊美的話，但有時也會有一些惡意評論“這么胖了還在吃”“呆萌的大傻子”。還有人會根據視頻錄制的時間、地點等信息對路人的信息進行“人肉搜索”，給偶然入鏡的路人的生活造成影響。這樣是對路人個人信息權益的一種侵犯，在短時間內可能不會導致嚴重的后果，但長此以往會逐漸破壞自媒體行業的正常生態，如果放任自流，便無自媒體運營者可以獨善其身。綜上，不能在使己方利益增加時使得他人權益受到減損，這一原則必須得到自媒體運營者的內心認同和遵守。

其三，從信息主體合法權益的維度來看，自媒體在處理個人信息時，應有合理合法之目的，其行為方式符合該目的實現之要求。例如，拾到公民證件通過自媒體尋找失主時，應對公民身份號碼等敏感信息進行“馬賽克”處理方符合“合理”之要求。如上文所述，疫情防控期間公布確診人員和無癥狀感染者的行程軌跡略去其他非必要信息。在對信息主體個人信息的處理上并沒有統一的規定或是標準，而是要針對不同的情形靈活處理公布內容，把握一個“度”。公布信息過少可能導致目的難以達成，例如發布失物招領時給微信二維碼加馬賽克顯然難以達到發布者的目的；公布信息過多則會給信息主體造成困擾，例如在吃播博主錄制視頻時給商家點單的二維碼加碼則很有必要，以防止觀眾惡意點單影響飯店的正常經營。

無論是哪一維度，均須準確完整地對個人信息進行處理，不得過度加工和無度褒貶。同時，利用要適度，即使是按“告知-同意”規則獲取的個人信息，在超出獲取時告知的利用目的范圍和方式時，仍應當再次征得信息主體的同意，即目的性原則是必須要遵守的原則之一，并不當然符合合理利用而徑直利用。

此外，對于個人自行公開或者其他已經合法公開的個人信息，根據《個人信息保護法》第27 條的規定，自媒體可以在“合理的范圍”內進行處理，除非信息主體意欲行使“被遺忘權”而明確拒絕。在歐洲已有的判例中，即使信息主體成功對其個人信息行使“被遺忘權”時，相關的信息處理主體也只需要承擔“事后”刪除的義務。[14]該合理的范圍一般是指在不改變原個人信息主要內容的情況下，且不會對個人信息主體權益產生重大影響時方不逾矩，如果超過了法定的合理范圍或前述已公開的個人信息涉及信息主體之重大法益，則往往須再取得其同意。

四、禁止性規則：敏感個人信息限制處理之規范

基于一般信息與敏感信息的差異，有學者提出“強化個人敏感信息的保護”和“強化個人一般信息的利用”信息處理理論。[15]《個人信息保護法》頒行以前，2013年發布的《信息安全技術公共及商用服務信息系統個人信息保護指南》《征信業管理條例》以及2020年發布的《信息安全技術個人信息安全規范》等均對敏感個人信息處理進行了規范，體現了我國對敏感個人信息保護的重視。《個人信息保護法》吸收并延續了前述相關規定，專章對敏感個人信息進行了明確規范。其中，第28條將生物識別、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌跡等信息，以及不滿十四周歲未成年人的個人信息列為敏感個人信息，旨在保護這些更容易導致信息主體權益被不法侵害的個人信息在處理時受到最嚴格的限制，同時規定個人信息處理的受托人非經委托人同意不得轉委托，自媒體更應受此規則約束。

作為權利客體和行為對象，敏感個人信息的法益內涵不限于公民個人的人格權益，同時應當包括社會利益、公共秩序和國家安全等，受到公法和私法的多元化、多層次、多維度保護。[16]自媒體處理個人敏感信息更多地涉及自媒體運營者的行為。以短視頻平臺抖音為例，根據平臺上發布的不同視頻種類可能會涉及不同敏感信息的收集，因而適用不同的處理規則。如果用戶想要參加AI 換臉的特效體驗，則會在首次體驗前收到開啟攝像頭或是讀取相冊的授權提示，此時為了參與特效體驗，用戶往往會選擇同意，那么換臉程序就會采集到用戶的面部特征；如果用戶想要參加聲音類游戲，例如用聲音的大小控制游戲人物的活動，那么在此時程序就會收集到用戶的聲音信息；如果用戶想要參與塔羅牌或是星座測試，程序就可能收集到用戶的宗教信仰、特定身份、出生年月等信息；如果用戶想要參與軌跡流動生成地圖的制作，則程序就會收集到用戶的行蹤軌跡信息；如果用戶想要參與掌紋算命或是指紋分析，則程序就會收集到用戶的掌紋、指紋信息。諸如此類，不勝枚舉。這些情形從表面看只是使用或體驗了抖音短視頻相關功能，但是用戶的敏感個人信息卻均已經暴露無遺。掌握自然人的指紋、掌紋、面部特征、聲音等信息之一，根據現有技術甚至可以永久識別出特定的自然人，更不用說有可能的其他信息為輔助。此種情景下，被大數據準確刻畫出的人物畫像如果被不法利用，則對信息主體權益損害將處于不可預估的程度。因此，自媒體除卻取得信息主體單獨同意及有可能造成不可逆損害后果的緊急情況下審慎利用外，不應未經信息主體書面同意而處理敏感個人信息。

敏感個人信息限制處理為基本原則，在嚴格限制下允許例外處理。作為取得信息主體單獨同意的例外情形無須多言。以疫情防控需要收錄個人行程軌跡為例，對可能造成不可逆損害后果的緊急情況下審慎利用的例外情形有必要展開討論。疫情防控當屬公共利益之范疇，但疫情防控收集使用個人行程軌跡應額外增加使用主體——政府的審慎義務，以保護公民個人對政府的信賴利益。政府對因疫情防控需要而收集、利用個人信息，應設定其邊界，可借鑒法國信息與自由委員會（CNIL）針對申請試用人臉識別技術而設定的兩個條件：一是劃定所應遵守的紅線，遵守歐盟GDPR 和“警察—司法指令”；二是必須設定時間與空間上的明確限制，并具有明確的可識別的目標，且有績效評估模式。[17]具言之，收集和處理須遵循合法、正當、必要原則，且考慮潛在的權利被侵害的風險包括但不限于人身權、財產權，更重要的是絕對不得逾越收集之初所告知的目的、范圍。需要特別強調的是，商業活動在任何情況下均不應適用緊急情況下審慎利用的例外情形。

除此之外，《個人信息保護法》將不滿十四周歲未成年人的個人信息規定為敏感個人信息，是對未成年人進行特殊保護的要求。根據《中華人民共和國未成年人保護法》立法精神和《個人信息保護法》的規則設定，應禁止父母或者其他監護人外運營的自媒體處理不滿十四周歲的未成年人個人信息，除非符合大眾認知的為了未成年人本人生命、健康考量，或經司法行政部門準許。

五、處理失范后果：違法責任之承擔

自媒體合法、正當、必要地處理個人信息，既需要自媒體運營者的自律與合規意識，也需要網絡服務提供者對自媒體運營的有效監管，除此之外還離不開第三方的監督。首先，自媒體的運營者是個人信息處理過程中的直接責任者，其應當按照《個人信息保護法》對個人信息處理的相關要求，誠信開展個人信息處理工作，規范其處理行為，確保個人信息的處理行為走在法治軌道上。其次，自媒體平臺提供主體是個人信息處理的合規管理者，其應當對自媒體運營實施監管性措施。自媒體運營的便捷性使得其準入門檻較低，如何規范運營自媒體則更多需要自媒體平臺在提供網絡服務時進行簡便培訓或作出要求。在培訓和要求之外，還要規范“守門人”制度，建立健全保障自媒體運營者后續仍合規運營其自媒體賬號的內部管理制度和操作規程，內控制度著重于定期的合規審計和風險評估，操作規程著重于技術層面進行違規篩查。最后，第三方監督，包括但不限于公益性組織、自媒體外的媒體、社會輿論等對自媒體的個人信息處理過程進行監督，營造多方參與的個人信息處理良好局面。

“無救濟則無權利”。在大數據背景下，各方審慎行權并不能徹底消除自媒體與信息主體之間的沖突。針對當前突出的自媒體處理個人信息存在的問題，《民法典》《個人信息保護法》等已有相對完善的專門規定，信息主體可通過申請受理和處理機制獲得相關的權利保障。如若自媒體拒絕信息主體個人行使其權利請求的，應當說明理由，信息主體亦可以依法向人民法院提起訴訟，行使其對于自媒體及時刪除和損害賠償等請求權。在具體違法責任承擔方面，《個人信息保護法》等主要從民事、行政、刑事三個層面對侵害個人信息權益行為進行了規定。

首先，在民事責任層面，《個人信息保護法》主要從違約責任和侵權責任兩個角度進行了規定。違反“告知-同意”之約定，便構成了違約或侵權。《個人信息保護法》第20 條規定，共同處理個人信息者對侵害個人信息權益造成損害的承擔連帶責任。《民法典》第1194 條明確網絡用戶、網絡服務提供者利用網絡侵害他人民事權益的，應當承擔侵權責任；第1195 條進一步規定網絡服務提供者未及時采取必要措施的，對損害的擴大部分與該網絡用戶承擔連帶責任。此外，根據《民法典》第999條之規定，即使自媒體運營者為公共利益實施新聞報道、輿論監督等行為而對個人信息使用不合理，對民事主體人格權造成侵害的，亦應當依法承擔民事責任。《個人信息保護法》對侵害眾多個人權益的民事公益訴訟作了規定。對一般個人信息合理使用除法定和約定情形外，是否構成“合理”，出于個人信息的公共屬性及數據資源經濟屬性之考慮，建議交給司法機關根據具體案情考量并裁決。

其次，在行政責任層面，因行政責任層面之規定側重于事后監督，行政監管機構更多的責任在于事后監管，主要體現在懲戒方面，此監管方式符合自媒體運營模式和信息主體維權需要。國家網信部門等專門承擔個人信息保護職能的機構有權責令相關自媒體改正，給予警告，沒收違法所得，并可責令相關應用程序暫停或終止對自媒體運營者提供服務。情節嚴重的可由相關部門給予罰款、責令暫停相關業務或者停業整頓、通報有關主管部門吊銷相關業務許可或者吊銷營業執照，對直接責任者進行罰款和禁止從業等處罰，并可依法記入信用檔案，予以公示。

最后，在刑事責任層面，《個人信息保護法》規定，構成違反治安管理行為的，依法給予治安管理處罰，構成犯罪的依法追究刑事責任。還規定了“民刑銜接”條款——履行個人信息保護職責的部門在履行職責中，對違法處理個人信息涉嫌犯罪的，負有及時移送公安機關依法處理的義務。《中華人民共和國刑法》及最高人民法院、最高人民檢察院《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》對依法懲治侵犯公民個人信息犯罪活動，保護公民個人信息安全和合法權益進行了較周全的規定。如，侵犯公民個人信息罪、非法利用信息網絡罪、拒不履行信息網絡安全管理義務罪。

總之，隨著信息化的迅速發展，加之自媒體對個人信息處理的數量龐大，對自媒體處理個人信息進行法律規制對于保護信息主體的合法權益有重要意義。《民法典》《個人信息保護法》等法律已經為此提供了宏觀而直接的規制依據，《信息安全技術個人信息安全規范》和相關司法解釋等為其提供了規制的針對性補充依據。但是，實現自媒體處理個人信息的規范化、法治化除卻法律規制外，還需要基于行業慣例、社會公德、公共利益和個體權益的自媒體運營者自律、平臺提供者行業管控、行政機構監管、個人信息權益主體維權協同共治，以實現自媒體運營與個人信息保護之間的良性互動。