自媒体处理个人信息行为的法律规制

郑 曦，姜 磊，2

（1.北京外国语大学法学院，北京100089；2.呼和浩特民族学院法学院，内蒙古呼和浩特 010000）

网络时代，各种各样的自媒体平台不断涌现，其中最为人们熟知的有Facebook、Twitter、Instagram、新浪微博、腾讯微信等社交软件和网站，以及YouTube、抖音及Tiktok、快手等视频分享网站，还有LinkedIn 等职场社交软件和各种以游戏为主的自媒体软件、网站如Second Life 等。在这些网络平台上，用户可以创建账号发布文字、图片、视频等内容，成为自媒体的运营者。这些自媒体在新闻发布和传播方面具有交互性强、传播速度快等区别于传统媒体的特点，已经成为互联网时代公众接收资讯的主要渠道之一。自媒体在实现信息传播的过程中将不可避免地对个人信息进行处理，因为包括用户发布的文字、图片、视频中都可能含有公民的个人信息。于是便产生了以下问题：自媒体是否具备法律所规定的个人信息处理者之地位？其在处理个人信息时应遵守何种规则，有无例外情形或禁止规则？自媒体违法处理个人信息后应承担何种法律责任？

回答上述问题，从逻辑上看，首先，应当确定自媒体作为个人信息处理者的法律地位，从而“名正言顺”地将其纳入个人信息保护相关法律的规制范围；其次，应在明确其个人信息处理者地位的基础上确定自媒体处理个人信息的具体规则；再次，规则之外应有例外，应当对自媒体处理个人信息的例外情形作出区分；再次，在明确规则与例外之后，可以再限定自媒体处理个人信息之禁止规则；最后，“无罚则则无约束”，应当确定自媒体违法处理个人信息的法律责任承担方式。通过正确认识和厘清这些问题，可以实现对自媒体处理个人信息的行为进行有效的规制。

一、自媒体作为个人信息处理者的法律地位

《中华人民共和国民法典》（以下简称《民法典》）规定，自然人的个人信息受法律保护，且被规定于《民法典》的人格权编，但与隐私权、肖像权、名誉权等一般人格权区分，因此自然人的个人信息本身已经成为直接受法律保护的对象。自然人的个人信息权益之所以被立法规范所认可，一方面是因为其与自然人的人格尊严、人格自由息息相关，关系到作为信息主体的公民的基本权利；另一方面是因为随着科技的进步，违法利用个人信息给信息主体带来严重损害的案例不断发生且数量日趋增多。规制处理个人信息行为不仅是保护信息主体合法权益的必然要求，也是新时代法治精神的应有之义。自媒体运营中难免需要处理个人信息，亦应遵守法律规定。

运营自媒体的本质是信息的创造、加工与传播等。当今时代自媒体的用途早已超越早期个人生活的分享以及单纯的信息传递，其在网络社会中发挥的功能与作用也趋于多元化、复杂化。与传统的报纸、电视等新闻媒体一样，自媒体在运营时也需要处理个人信息。对于自媒体而言，流量是决定其生存和发展的最重要因素，为增加关注度和阅读量，自媒体对收集和运用个人信息的热情较之传统的报纸、电视等新闻媒体有过之而无不及，其不当使用个人信息的行为也屡禁不止且愈演愈烈。在2020年的杭州“取快递女子被造谣出轨案”中，吴女士下楼取快递被便利店老板郎某偷拍视频、编造“少妇出轨快递小哥”的标题和聊天内容，相关视频被发至微信群后不断被传播发酵，某微信公众号甚至发布了《这谁的老婆，你的头已经绿到发光啦！》的文章，给吴女士的生活和精神造成了巨大的影响。[1]

在自媒体追求流量却缺乏有效监管的情况下，很容易造成个人信息的不当处理。为防止此种不当处理，需要回答自媒体能否作为《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）中的个人信息处理者而受到法律规制的问题，并进一步分析其行为是否具有规制的可行性及必要性。首先，自媒体的运营中不可避免地存在个人信息处理行为。根据《个人信息保护法》第4 条的规定，处理个人信息包括对个人信息的收集、储存、传输、使用、删除等行为。自媒体在运营过程中从各种渠道取得个人信息进而加工处理即属于对个人信息的处理。如街头采访、社会记录可能收集个人信息，就某一特定事实进行评论解释中亦有个人信息的处理，除此之外，其发布的照片、视频当中也存在暴露被采访人外其他非当事人之个人信息的风险。其次，自媒体依照自身运营目的自主决定个人信息的使用方式。自媒体的信息处理目的一般与其运营目的相同，有营利性的，也有非营利性的。但在信息处理活动中作为自媒体运营者的组织或个人具有独立意志。按照其运营目的不同自由决定着处理个人信息的方式，不同的个人信息处理方式对应着其应当对自身选择处理方式承担相应责任。再次，自媒体处理个人信息可能影响信息主体的个人信息权益。一方面，由于网络平台特性，自媒体传播速度快，公开范围广，一些自媒体受关注度极高，社会影响力极大，个人信息处理活动规模不容小觑；另一方面，即使是受关注度不高的普通自媒体，只要通过巧妙的方式利用特定事件，也能够在短时间内获得大量关注，这对于个人信息不当处理的防范工作而言增加了不确定性。因此，自媒体一旦不当处理个人信息，就可能对信息主体权益乃至社会公共利益造成严重损害。

我国自媒体行业本身构成复杂，形式多样，主体身份众多，有个人运营的也有由MCN(Multi-Channel Network)机构等组织运营的自媒体账号。根据《个人信息保护法》第73条第1项之规定，个人信息处理者，是指在个人信息处理活动中自主决定处理目的、处理方式的组织、个人。可见，个人信息处理者可能以组织或个人两种主体形式出现，此即表明个人或MCN机构等组织运营的自媒体对个人信息的处理均可构成法律意义上的个人信息处理者。尽管自媒体运营者主要是公民个人，但其利用个人信息的行为已并非欧盟《通用数据保护条例》（以下简称GDPR）第2条2（c）所指的“自然人在纯粹的个人或家庭生活中进行的处理活动”之情形[2]，其与信息主体之间已经形成了“持续不平等信息关系”[3]26这一适用前提，从而需承担作为个人信息处理者的相应义务与法律责任。传统上，受法律规制的个人信息处理者是指长期且大量地收集、储存、转让、使用、删除个人信息等行为的主体，此类个人信息处理者通常情形下为具有一定经济规模的组织或个人，例如社交平台、购物平台、游戏公司等，出于提供特定服务之必要或其他商业经营等目的收集和处理个人信息。据此，倘若组织或个人仅仅是少量、个别、偶尔地处理个人信息，其行为能否作为法律规制对象需要进行讨论。自媒体处理个人信息就具备上述这样的特点。需要注意的是，除了极其个别的特殊情形外，几乎所有的个人信息处理行为都属于《个人信息保护法》的规范对象。[4]

综上所述，自媒体属于《个人信息保护法》的规制对象，同时，“网络媒体虚拟性与数字性，使个体更容易失去对自身信息的控制”[5]。针对其此种角色，应当从处理规则、例外情形、禁止性规定及处理失范的后果等方面对其处理个人信息的行为进行规制。需要特别注意的是，并非所有社交媒体平台上的自媒体均属于一般意义的个人信息规制对象，例如政府机关、新闻机构、事业单位等组织开设自媒体账号是其公共职能的延伸，往往具有严格运营管理制度，其规制路径应依照注册主体不同而适用特殊条款，例如关于政府机构处理个人信息的相关法律，因此不在本文讨论范围之内。

二、处理规则：“告知-同意”规则的适用

（一）“告知-同意”规则适用的基础

严格保护个人信息是实现个人信息自主价值的要求，即要求个人信息的占有人和控制人不能随意地泄露个人信息，同时他人也不得通过不当的途径获得个人信息。[6]在《个人信息保护法》中“告知-同意”规范是信息处理的合法性、正当性基础，但对“告知-同意”这一规范[7]应定位于原则还是规则仍存在不同认识。关于法律原则和法律规则的区别，根据哈特的理论，法律规则与原则的区别是相对的，是程度问题。[8]326据此，“告知-同意”在《个人信息保护法》中当属规则。有以下理由：首先，“告知-同意”被规定于《个人信息保护法》“个人信息处理规则”一章中，相应的规定具有法律规则的主要特点，如微观指导性、较强的可操作性和确定性程度较高等[9]70；其次，《个人信息保护法》在总则部分中规定了处理个人信息应当遵循的原则中并不包含“告知-同意”；再次，《个人信息保护法》具体条文中的“告知-同意”在一般性适用时是“全有或全无”状态，即在做到“告知-同意”或没有做到“告知-同意”择其一。

《个人信息保护法》赋予信息主体对其相关信息的处理享有知情权、决定权。在合法、正当、必要和诚信原则之下，确立了处理个人信息的“告知-同意”规则，在该规则的具体适用上又区分不同情况规定了一般性的事前“告知-同意”和特殊性的“告知-同意”，如“单独同意”“二次同意”“撤回同意”等。“告知-同意”规则的设置彰显以信息主体为中心的理念，《民法典》第1035条第1项、《中华人民共和国网络安全法》第41 条等也将“征得同意”作为处理个人信息的必要条件之一。GDPR 第4 条（11）对“同意”在此前相关规定基础上进行细化，即指数据主体通过一个声明，或者通过某项清晰的确信行动而自由作出的、充分知悉的、不含混的、表明同意对其相关个人数据进行处理的意愿。自媒体处理个人信息主要适用一般性的事前“告知-同意”和特殊性的“单独同意”“二次同意”“撤回同意”。

“告知-同意”规则对自媒体处理个人信息的法律规制需将“告知-同意”置于具体场景中进行讨论，因自媒体区别于官方媒体的“自我表达”特性，事前“告知-同意”是自媒体运营者处理个人信息的必要前提条件，自媒体若违反则可能造成信息主体的财产损失或精神损害。如，一次聚会中，参与人之一将聚会拍摄的照片上传于其运营的自媒体账号上，根据该照片可以判断此次聚会参与人范围，进而显现参与人的“朋友圈”和某一时间在某一位置的具体行为。因此，自媒体运营者上传之前应征得照片显示人员的同意。再如，自媒体处理在公共场所抓拍的照片或视频因其无法按照“告知-同意”规则处理及未匿名化、去标识化处理直接发布的，同样应当定性为侵权。质言之，处理个人信息只有征得信息主体同意方为合法正当。基于当前自媒体运营模式和发展态势，以及信息主体专门性维权的难度、自媒体运营者自我管控的有限性、个人信息不恰当处理所造成损失的不可逆性，“告知-同意”规则的落地、落实主要应依靠自媒体平台履行其监管责任。

（二）“同意”与“告知”的精准界定

大数据背景下自媒体处理个人信息，何为同意、如何告知均需精确界定。

其一，“告知-同意”的核心在于“同意”，信息主体的“同意”是任何个人信息收集者处理其收集到的个人信息的必要前提，自媒体所获取的同意同样应当如GDPR 所言“清晰”“不含混”。当然，有时也可以不经告知而直接取得“同意”授权，如“寻人启事”或“寻物启事”一般在发布时便默认附带了对于其中由信息主体列明的个人信息转发处理的授权，此种情形下自媒体进行转发便无须进行额外的告知和取得同意。同意是一种结果性的意思表示，此情形下的意思表示多为自愿，但自愿需要在充分知情的情况下才能予以认定，非充分知情的情况下的同意，在纠纷处置中并不能认定为实质同意。[10]此外，自媒体在收集个人信息时对于同意的表达如果在技术层面可以设置为“择出”同意即“不同意可继续使用产品或享受服务”时，便不应设置为“择入”同意即“同意可继续使用产品或享受服务，而后可自行再实施关闭该同意授权”，以将同意之便利与自由给予信息主体，而不是自媒体。

其二，“告知-同意”的关键在于“告知”。《个人信息保护法》规定个人同意应当由个人在充分知情的前提下作出。那么，充分知情的标准便成为认定该同意系自愿作出的重要依据。然而，诸如随拍随传使用的自媒体运营模式决定了“告知”实践操作的局限性。鉴于“告知”的目的是保障信息主体的知情权，作为自媒体平台提供主体诸如微博、腾讯微信、抖音、快手等，对网络平台上个人用户创建账号进行自媒体运营的“告知”往往过于宽泛而不具体、含糊而不准确，机械勾选进行同意方可下一步操作等，难以保证“告知”之实效。“勾选”前的栏目“用户服务协议”亦或“隐私政策”等在形式上似乎是已经完成其告知义务，但如若在发生纠纷分配举证责任时，“勾选”却并不足以完成自媒体平台提供主体的告知义务。此时，自媒体平台提供主体应基于《个人信息保护法》第58 条“守门人”制度的特殊保护义务而与自媒体运营者承担连带责任。在现行法律对自媒体运营者处理个人信息规制乏力的情况下，作为有监管责任的自媒体平台提供者需要举证证明自媒体运营者对具体的信息主体的告知已经达到充分理解告知内容且达至知情程度，单纯以“勾选”视为完成告知，即“当告知义务而非知情权利成为制度的核心，网络用户的同意会面临被架空的危险”[11]。故此，自媒体平台“勾选”继续产品或服务或不“勾选”则中断产品或服务的二选一模式应予改变。转变曾经以履行告知义务为导向的认识，转变为主动确保告知实效的合规意识，在保证主要告知条款被“勾选”的情况下可以使用基本功能，在拓展功能版块时分层对自媒体运营者应履行的告知义务进行告知。在自媒体运营过程中，主动审查自媒体运营者动态，据实进行充分告知并征得实质性同意，此审查应在技术层面实现告知方式、标准、范围进行科学分类的情况下进行。例如，对来源于公共场所的照片、视频应对信息主体的相关信息作匿名化、去标识化等处理或有同意证据方可通过审查并发布，并依据《个人信息保护法》赋予的信息主体便利撤回权，从技术上方便信息主体撤回权的行使。

在这个日益高涨的信息网络时代，胜产着良多的非凡的学生，作为新时代的班主任，要与时俱进，尝试新的管理方法，让学生们有更广阔的天空可以遨游。

“告知-同意”规则的终极目的是实现处理个人信息须信息主体同意，谁处理、谁负责告知并对告知的有效性和同意的真实性负举证责任，自媒体平台提供主体基于“守门人”制度的特殊保护义务而对此承担连带责任。

三、例外情形：合理利用个人信息的要求

（一）确定合理利用例外之必要

《个人信息保护法》与《中华人民共和国数据安全法》等法律法规为数据资源的开发利用、数据要素的合理流通及进一步的数据经济发展提供了规范和指引。数据经济对个人信息有着必要需求，“告知-同意”规则为数据经济利用个人信息提供了基本遵循。与此同时，应注意到如若但凡使用个人信息，无论是否已经公开均机械套用“告知-同意”规则，则增加利用个人信息的成本，不利于个人信息的利用和数据经济的发展。当然，绝不能因发展数据经济而降低个人信息使用的“合理”要求标准。

在利用个人信息时，恰当掌握“合理”之度，达至利用与保护的平衡，将有利于公众树立对数据经济的信心。法律是自由的基础，个人信息处理的“告知-同意”规则亦有其例外情形——不经信息主体同意可处理个人信息，即“合理利用”。GDPR 对合理利用以第6 条等条款进行了较详细的规定，《个人信息保护法》在《民法典》第999 条限定将合理使用个人信息范围以及第1020 条关于合理使用肖像权的规定、第1023 条关于合理使用姓名权的规定及第1036 条关于免责条款的规定的基础上，结合国家市场监督管理总局、国家标准化管理委员会《信息安全技术个人信息安全规范》中第5、6 条列举的合理使用的情形等规定。在《个人信息保护法》第1 条便开宗明义，将“促进个人信息合理利用”与“保护个人信息权益，规范个人信息处理活动”作为立法目的共同进行规定，体现保护与利用并重的立法理念，随后第13条列举了合理利用的法定情形。由于个人信息的保护与利用是辩证统一的，并非对立择一的关系，因此无须取得个人同意。对个人信息合理利用除为了公共利益及其他法定、约定情形外，还应遵循《个人信息保护法》规定的正当、必要原则之要求，以此作为判定个人信息之合理利用的兜底条款，既要充分发挥公益性个人信息在公共管理、科学研究等方面的能动性，又要确保信息在合理范围之内使用、信息主体的权益不发生贬损。[12]

（二）确定合理利用例外之三重维度

论及个人信息合理利用，重点应阐明何谓“合理”以及如何实现个人权利与公共利益之平衡。因本文着重探讨自媒体处理个人信息的法律规制问题，故对个人权利与公共利益之平衡不予讨论，仅对“合理”范畴进行阐释。自媒体无论是分享还是创造相应的传播内容均应当严格履行法定义务并尽最大努力保护信息主体的权益，自媒体处理个人信息的法律规制讨论需置于具体场景中进行类型化展开。具言之，可以从公共利益、自媒体运营者利益和信息主体合法权益等三个维度展开对“合理”之内涵、外延的探讨。

其一，从维护公共利益的维度来看，自媒体在处理个人信息时，适用比例原则更有利于对个人信息权益的保护。比例原则要求在适当性原则获得满足后，应以最小侵害之方式实现目的。[13]例如，新冠肺炎疫情防控期间通过自媒体寻找确诊人员或是无症状感染者的密切接触者，在最初对于这一工作缺乏经验时，个别地区不仅公布确诊人员和无症状感染者的行程轨迹，还将其姓名、年龄和身份证号等通过相对匿名——只保留姓氏和身份证号后几位的形式公布，如此方式处理曾被认为是符合法律规定的，甚至在某些情形下还成为推荐做法。但是在寻找密切接触者这一具体事件中却有不符合比例原则之嫌。对于陌生人来说，这样的处理方式可以起到匿名化的作用，并不能定位到具体的人，但是对于该信息权利主体相对熟悉的亲朋等关系人来说，这些“只言片语”足以识别具体人员。这样就可能给确诊人员和无症状感染者带来困扰。有些相对敏感的地点可能是确诊人员和无症状感染者不愿为人所知的，如果被身边关系人知晓会给他们的生活带来麻烦和困扰。当然，在疫情防控数据处理工作流程相对成熟之后，大多数流调报告中已隐去了所有不必要的信息，有效解决了这一问题。但由此我们也可以得出，在处理个人信息时，除了要符合一般人认知标准中不损害公共利益的这一前提外，自媒体运营者还必须选择对信息主体侵害最小的方式进行，在公共利益之目的实现后要及时妥善再处理，以消除或降低对信息主体的侵害，哪怕这种侵害是或然性的。

其二，从自媒体运营者利益的维度来看，自媒体在处理个人信息时，如前所述，非按“告知-同意”规则在公共场所获取的个人某时某地某行为的信息，需要经过匿名化及去标识化等脱敏处理后利用，否则不得为除了公共利益外的任何主体的利益，包括但不限于形象提升、经济价值、情感抒发、追赶热度等而利用。例如，某些探店博主在录制节目的过程中会有路人或是粉丝入镜，有些博主会询问是否可以将其入镜视频剪入成片，如果获得同意才会播出，如果被拒绝会采用打马赛克模糊人像或者贴贴纸的方式对其进行匿名化处理。但是也不乏一些自媒体运营者利用路人的随机性，将其作为视频特色的背景，评论区也会对于视频中出现的路人品头论足、褒贬不一、当然大部分观众都是一看了之，评论诸如“这个小朋友好可爱”“这个小姐姐好美”等赞美的话，但有时也会有一些恶意评论“这么胖了还在吃”“呆萌的大傻子”。还有人会根据视频录制的时间、地点等信息对路人的信息进行“人肉搜索”，给偶然入镜的路人的生活造成影响。这样是对路人个人信息权益的一种侵犯，在短时间内可能不会导致严重的后果，但长此以往会逐渐破坏自媒体行业的正常生态，如果放任自流，便无自媒体运营者可以独善其身。综上，不能在使己方利益增加时使得他人权益受到减损，这一原则必须得到自媒体运营者的内心认同和遵守。

其三，从信息主体合法权益的维度来看，自媒体在处理个人信息时，应有合理合法之目的，其行为方式符合该目的实现之要求。例如，拾到公民证件通过自媒体寻找失主时，应对公民身份号码等敏感信息进行“马赛克”处理方符合“合理”之要求。如上文所述，疫情防控期间公布确诊人员和无症状感染者的行程轨迹略去其他非必要信息。在对信息主体个人信息的处理上并没有统一的规定或是标准，而是要针对不同的情形灵活处理公布内容，把握一个“度”。公布信息过少可能导致目的难以达成，例如发布失物招领时给微信二维码加马赛克显然难以达到发布者的目的；公布信息过多则会给信息主体造成困扰，例如在吃播博主录制视频时给商家点单的二维码加码则很有必要，以防止观众恶意点单影响饭店的正常经营。

无论是哪一维度，均须准确完整地对个人信息进行处理，不得过度加工和无度褒贬。同时，利用要适度，即使是按“告知-同意”规则获取的个人信息，在超出获取时告知的利用目的范围和方式时，仍应当再次征得信息主体的同意，即目的性原则是必须要遵守的原则之一，并不当然符合合理利用而径直利用。

此外，对于个人自行公开或者其他已经合法公开的个人信息，根据《个人信息保护法》第27 条的规定，自媒体可以在“合理的范围”内进行处理，除非信息主体意欲行使“被遗忘权”而明确拒绝。在欧洲已有的判例中，即使信息主体成功对其个人信息行使“被遗忘权”时，相关的信息处理主体也只需要承担“事后”删除的义务。[14]该合理的范围一般是指在不改变原个人信息主要内容的情况下，且不会对个人信息主体权益产生重大影响时方不逾矩，如果超过了法定的合理范围或前述已公开的个人信息涉及信息主体之重大法益，则往往须再取得其同意。

四、禁止性规则：敏感个人信息限制处理之规范

基于一般信息与敏感信息的差异，有学者提出“强化个人敏感信息的保护”和“强化个人一般信息的利用”信息处理理论。[15]《个人信息保护法》颁行以前，2013年发布的《信息安全技术公共及商用服务信息系统个人信息保护指南》《征信业管理条例》以及2020年发布的《信息安全技术个人信息安全规范》等均对敏感个人信息处理进行了规范，体现了我国对敏感个人信息保护的重视。《个人信息保护法》吸收并延续了前述相关规定，专章对敏感个人信息进行了明确规范。其中，第28条将生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息列为敏感个人信息，旨在保护这些更容易导致信息主体权益被不法侵害的个人信息在处理时受到最严格的限制，同时规定个人信息处理的受托人非经委托人同意不得转委托，自媒体更应受此规则约束。

作为权利客体和行为对象，敏感个人信息的法益内涵不限于公民个人的人格权益，同时应当包括社会利益、公共秩序和国家安全等，受到公法和私法的多元化、多层次、多维度保护。[16]自媒体处理个人敏感信息更多地涉及自媒体运营者的行为。以短视频平台抖音为例，根据平台上发布的不同视频种类可能会涉及不同敏感信息的收集，因而适用不同的处理规则。如果用户想要参加AI 换脸的特效体验，则会在首次体验前收到开启摄像头或是读取相册的授权提示，此时为了参与特效体验，用户往往会选择同意，那么换脸程序就会采集到用户的面部特征；如果用户想要参加声音类游戏，例如用声音的大小控制游戏人物的活动，那么在此时程序就会收集到用户的声音信息；如果用户想要参与塔罗牌或是星座测试，程序就可能收集到用户的宗教信仰、特定身份、出生年月等信息；如果用户想要参与轨迹流动生成地图的制作，则程序就会收集到用户的行踪轨迹信息；如果用户想要参与掌纹算命或是指纹分析，则程序就会收集到用户的掌纹、指纹信息。诸如此类，不胜枚举。这些情形从表面看只是使用或体验了抖音短视频相关功能，但是用户的敏感个人信息却均已经暴露无遗。掌握自然人的指纹、掌纹、面部特征、声音等信息之一，根据现有技术甚至可以永久识别出特定的自然人，更不用说有可能的其他信息为辅助。此种情景下，被大数据准确刻画出的人物画像如果被不法利用，则对信息主体权益损害将处于不可预估的程度。因此，自媒体除却取得信息主体单独同意及有可能造成不可逆损害后果的紧急情况下审慎利用外，不应未经信息主体书面同意而处理敏感个人信息。

敏感个人信息限制处理为基本原则，在严格限制下允许例外处理。作为取得信息主体单独同意的例外情形无须多言。以疫情防控需要收录个人行程轨迹为例，对可能造成不可逆损害后果的紧急情况下审慎利用的例外情形有必要展开讨论。疫情防控当属公共利益之范畴，但疫情防控收集使用个人行程轨迹应额外增加使用主体——政府的审慎义务，以保护公民个人对政府的信赖利益。政府对因疫情防控需要而收集、利用个人信息，应设定其边界，可借鉴法国信息与自由委员会（CNIL）针对申请试用人脸识别技术而设定的两个条件：一是划定所应遵守的红线，遵守欧盟GDPR 和“警察—司法指令”；二是必须设定时间与空间上的明确限制，并具有明确的可识别的目标，且有绩效评估模式。[17]具言之，收集和处理须遵循合法、正当、必要原则，且考虑潜在的权利被侵害的风险包括但不限于人身权、财产权，更重要的是绝对不得逾越收集之初所告知的目的、范围。需要特别强调的是，商业活动在任何情况下均不应适用紧急情况下审慎利用的例外情形。

除此之外，《个人信息保护法》将不满十四周岁未成年人的个人信息规定为敏感个人信息，是对未成年人进行特殊保护的要求。根据《中华人民共和国未成年人保护法》立法精神和《个人信息保护法》的规则设定，应禁止父母或者其他监护人外运营的自媒体处理不满十四周岁的未成年人个人信息，除非符合大众认知的为了未成年人本人生命、健康考量，或经司法行政部门准许。

五、处理失范后果：违法责任之承担

自媒体合法、正当、必要地处理个人信息，既需要自媒体运营者的自律与合规意识，也需要网络服务提供者对自媒体运营的有效监管，除此之外还离不开第三方的监督。首先，自媒体的运营者是个人信息处理过程中的直接责任者，其应当按照《个人信息保护法》对个人信息处理的相关要求，诚信开展个人信息处理工作，规范其处理行为，确保个人信息的处理行为走在法治轨道上。其次，自媒体平台提供主体是个人信息处理的合规管理者，其应当对自媒体运营实施监管性措施。自媒体运营的便捷性使得其准入门槛较低，如何规范运营自媒体则更多需要自媒体平台在提供网络服务时进行简便培训或作出要求。在培训和要求之外，还要规范“守门人”制度，建立健全保障自媒体运营者后续仍合规运营其自媒体账号的内部管理制度和操作规程，内控制度着重于定期的合规审计和风险评估，操作规程着重于技术层面进行违规筛查。最后，第三方监督，包括但不限于公益性组织、自媒体外的媒体、社会舆论等对自媒体的个人信息处理过程进行监督，营造多方参与的个人信息处理良好局面。

“无救济则无权利”。在大数据背景下，各方审慎行权并不能彻底消除自媒体与信息主体之间的冲突。针对当前突出的自媒体处理个人信息存在的问题，《民法典》《个人信息保护法》等已有相对完善的专门规定，信息主体可通过申请受理和处理机制获得相关的权利保障。如若自媒体拒绝信息主体个人行使其权利请求的，应当说明理由，信息主体亦可以依法向人民法院提起诉讼，行使其对于自媒体及时删除和损害赔偿等请求权。在具体违法责任承担方面，《个人信息保护法》等主要从民事、行政、刑事三个层面对侵害个人信息权益行为进行了规定。

首先，在民事责任层面，《个人信息保护法》主要从违约责任和侵权责任两个角度进行了规定。违反“告知-同意”之约定，便构成了违约或侵权。《个人信息保护法》第20 条规定，共同处理个人信息者对侵害个人信息权益造成损害的承担连带责任。《民法典》第1194 条明确网络用户、网络服务提供者利用网络侵害他人民事权益的，应当承担侵权责任；第1195 条进一步规定网络服务提供者未及时采取必要措施的，对损害的扩大部分与该网络用户承担连带责任。此外，根据《民法典》第999条之规定，即使自媒体运营者为公共利益实施新闻报道、舆论监督等行为而对个人信息使用不合理，对民事主体人格权造成侵害的，亦应当依法承担民事责任。《个人信息保护法》对侵害众多个人权益的民事公益诉讼作了规定。对一般个人信息合理使用除法定和约定情形外，是否构成“合理”，出于个人信息的公共属性及数据资源经济属性之考虑，建议交给司法机关根据具体案情考量并裁决。

其次，在行政责任层面，因行政责任层面之规定侧重于事后监督，行政监管机构更多的责任在于事后监管，主要体现在惩戒方面，此监管方式符合自媒体运营模式和信息主体维权需要。国家网信部门等专门承担个人信息保护职能的机构有权责令相关自媒体改正，给予警告，没收违法所得，并可责令相关应用程序暂停或终止对自媒体运营者提供服务。情节严重的可由相关部门给予罚款、责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照，对直接责任者进行罚款和禁止从业等处罚，并可依法记入信用档案，予以公示。

最后，在刑事责任层面，《个人信息保护法》规定，构成违反治安管理行为的，依法给予治安管理处罚，构成犯罪的依法追究刑事责任。还规定了“民刑衔接”条款——履行个人信息保护职责的部门在履行职责中，对违法处理个人信息涉嫌犯罪的，负有及时移送公安机关依法处理的义务。《中华人民共和国刑法》及最高人民法院、最高人民检察院《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》对依法惩治侵犯公民个人信息犯罪活动，保护公民个人信息安全和合法权益进行了较周全的规定。如，侵犯公民个人信息罪、非法利用信息网络罪、拒不履行信息网络安全管理义务罪。

总之，随着信息化的迅速发展，加之自媒体对个人信息处理的数量庞大，对自媒体处理个人信息进行法律规制对于保护信息主体的合法权益有重要意义。《民法典》《个人信息保护法》等法律已经为此提供了宏观而直接的规制依据，《信息安全技术个人信息安全规范》和相关司法解释等为其提供了规制的针对性补充依据。但是，实现自媒体处理个人信息的规范化、法治化除却法律规制外，还需要基于行业惯例、社会公德、公共利益和个体权益的自媒体运营者自律、平台提供者行业管控、行政机构监管、个人信息权益主体维权协同共治，以实现自媒体运营与个人信息保护之间的良性互动。