API Docs の日本語訳の user_timeline の箇所に、こんな風にかいてある。

訳者による注記: Twitter に login 中であれば、BASIC 認証なしで GET できる

ところが、ユーザーが Protect my updates の設定をオンにしていない場合は、BASIC 認証なしでも取得できる。またオンにしている場合は、ログオン中であっても本人と友人以外には見ることができないものと思われる。このへんはまあ、そりゃそうだろうな、という感じなので、わかりにくいことはない。

Protect my updates を無効にしているユーザーのつぶやきに関しては、Twitter をやっていない人でも誰でも見れるということになる。これは Public_timeline に出ている人たちのつぶやきを、ログインしていない人でも見ることができるのを考えれば、なにも不思議なことはないだろう。そういう仕様で OK だと思う。