胡利玲

（中國政法大學(xué)民商經(jīng)濟法學(xué)院 北京 100088）

《個人信息保護法》（以下簡稱《個保法》）在第5～9條分別規(guī)定了個人信息處理的合法、正當(dāng)、必要與誠信原則，目的限制原則，公開透明原則，質(zhì)量原則和責(zé)任原則五大基本原則。這些基本原則既是處理者開展個人信息處理活動的基本遵循，也是構(gòu)建個人信息保護具體規(guī)則的制度基礎(chǔ)。其中目的限制原則以個人信息處理的目的為核心，對處理者處理個人信息的限度提出了全面的要求［1］。《個保法》第6 條規(guī)定：“處理個人信息應(yīng)當(dāng)具有明確、合理的目的，并應(yīng)當(dāng)與處理目的直接相關(guān)，采取對個人權(quán)益影響最小的方式。收集個人信息，應(yīng)當(dāng)限于實現(xiàn)處理目的的最小范圍，不得過度收集個人信息。”本條即是個人信息處理的目的限制原則的立法體現(xiàn)。該原則被認(rèn)為是個人信息保護制度的基石，也是大多數(shù)其他基本要求的先決條件［2］。本文以我國《個人信息保護法》的條文為依據(jù)，結(jié)合比較法的規(guī)定，對個人信息處理基本原則中的目的限制原則加以詳細(xì)解讀。

1 目的限制原則的基本含義和規(guī)范內(nèi)容

所謂目的限制原則，也稱目的拘束原則，是指個人信息的處理應(yīng)有明確合理的目的，并在后續(xù)的個人信息處理中也應(yīng)與初始目的保持一致，除非經(jīng)過個人的明確同意，否則不得在目的之外處理個人信息，并應(yīng)以最小范圍收集個人信息及以對個人權(quán)益影響最小使用個人信息。目的限制原則的法理基礎(chǔ)是個人信息主體對于其個人信息享有控制力與支配力，并享有受法律保護的民事權(quán)益——人格利益。目的限制原則要求信息處理者在收集信息時明確告知信息主體信息處理的具體目的，并嚴(yán)格限定后續(xù)信息處理的方式，同時給予信息主體同意或拒絕的權(quán)利，在一定程度上可保障信息主體自主控制信息被以何種方式處理，防止信息處理者以信息主體未能預(yù)見到的方式處理信息［3］。

該原則最早由美國學(xué)者艾倫·威斯?。ˋlan Westin）提出，其主張政府所收集的個人信息只能用于特定目的，不得用于其他目的或者進一步流轉(zhuǎn)，除非提供信息的個人或群體的身份特征已經(jīng)完全從該信息中移除，或他們自由地對進一步流轉(zhuǎn)表示同意。而1980年經(jīng)濟合作發(fā)展組織在《關(guān)于保護隱私和個人數(shù)據(jù)跨國流通指導(dǎo)原則》中首先對該原則作了規(guī)范表述［4］。目前該原則已為許多國家或地區(qū)的個人信息或數(shù)據(jù)保護立法所確立。最典型的如歐盟《通用數(shù)據(jù)保護條例》（GDPR），其第5 條（1）（b）規(guī)定“個人數(shù)據(jù)的收集應(yīng)基于特定的、明確和合法的目的”（即目的限制）；第5 條（1）（c）規(guī)定“個人數(shù)據(jù)應(yīng)相對于處理目的而言適當(dāng)、相關(guān)并在必要的范圍內(nèi)”（即數(shù)據(jù)最小化）。前者指處理者應(yīng)當(dāng)為特定、明確和合法的目的收集個人數(shù)據(jù)，并且個人數(shù)據(jù)的后續(xù)處理不得違反此等目的；后者指處理者處理個人數(shù)據(jù)應(yīng)當(dāng)充分、相關(guān)并且限制于為實現(xiàn)該個人數(shù)據(jù)處理目的所需的最小限度內(nèi)［1］。

我國《個保法》第6條規(guī)定：“處理個人信息應(yīng)當(dāng)具有明確、合理的目的，并應(yīng)當(dāng)與處理目的直接相關(guān)，采取對個人權(quán)益影響最小的方式。收集個人信息，應(yīng)當(dāng)限于實現(xiàn)處理目的的最小范圍，不得過度收集個人信息。”根據(jù)這一規(guī)定，目的限制原則同時涵蓋了數(shù)據(jù)最小化原則。因此，我國《個保法》上的目的限制原則從規(guī)范意義上應(yīng)包含三方面的內(nèi)容。第一，處理個人信息應(yīng)當(dāng)具有明確、合理的目的，即“目的明確、合理”。它要求，首先，處理個人信息應(yīng)有明確的目的，否則其行為屬于對個人信息的濫用。其次，處理個人信息的目的具有合理性，即“在滿足合法、正當(dāng)要求的前提下，不為個人帶來過重的負(fù)擔(dān)或者過高的風(fēng)險［1］?！钡诙?，處理個人信息應(yīng)與處理目的直接相關(guān)。它要求后續(xù)的個人信息處理中應(yīng)與初始目的保持一致，除非經(jīng)過個人的明確同意，否則不得在目的之外處理個人信息。可簡化為“使用限制”。第三，處理個人信息應(yīng)當(dāng)采取對個人權(quán)益影響最小的方式，并限于實現(xiàn)處理目的的最小范圍，不得過度收集個人信息。前者簡化為“權(quán)益影響最小化”，后者簡化為“數(shù)據(jù)最小化”。

2 處理個人信息應(yīng)當(dāng)具有明確、合理的目的——目的明確、合理

2.1 目的明確

歐盟GDPR 第5 條（1）（b）規(guī)定：“個人數(shù)據(jù)的收集應(yīng)基于特定、明確和合法的目的。……。”據(jù)此，GDPR在目的明確方面，規(guī)定了特定、明確、合法標(biāo)準(zhǔn)。歐盟第29 條工作組在關(guān)于處理個人數(shù)據(jù)的目的限制的意見中指出收集個人數(shù)據(jù)必須基于清晰的用途，而且還須清晰地表達(dá)出來，即必須以某種可理解的形式清楚地揭示、解釋或闡述其用途。由此推斷，這項要求應(yīng)在開始收集個人數(shù)據(jù)前完成。以確保用途清晰、容易理解。尤其是用途的清晰必須以適當(dāng)?shù)姆绞竭M行表達(dá)，以保證控制者和任何第三方處理者，以及數(shù)據(jù)保護機構(gòu)和相關(guān)數(shù)據(jù)主體都能對它有相同的理解，……。清晰的用途說明，能使控制者打算如何使用收集到的個人數(shù)據(jù)變得透明；能幫助所有處理數(shù)據(jù)的人、數(shù)據(jù)主體、監(jiān)管機構(gòu)和其他利益相關(guān)方對如何使用數(shù)據(jù)有共同的理解。相應(yīng)地也會降低數(shù)據(jù)主體與控制者雙方期望不同的風(fēng)險［5］。

我國《個保法》并沒有對“目的明確”作進一步的具體解釋。但本文認(rèn)為，借鑒歐盟GDPR的上述規(guī)定，并從應(yīng)然角度出發(fā)，目的明確的要求是：第一，個人信息處理的目的應(yīng)特定、明確、合法，而且應(yīng)在開始收集信息前即確定；第二，處理目的應(yīng)被清晰、明確地表達(dá)出來而非隱匿或含混不清；第三，處理目的應(yīng)具有一定的限定性而非寬泛無限制。也有學(xué)者建議在借鑒歐盟GDPR規(guī)定基礎(chǔ)上，我國法院在決定目的是否明確時，可考慮以下要素：約定目的與雙方預(yù)期的關(guān)系；個人信息被收集時的情形，尤其是關(guān)于信息主體和信息控制者的關(guān)系；個人信息的性質(zhì)；按照該目的進行處理個人信息對信息主體可能造成的后果；適當(dāng)?shù)谋Ｕ洗胧┑拇嬖?，如加密或匿名化處理等。如必須將個人信息用于約定目的之外的額外目的的，則信息控制主體應(yīng)當(dāng)取得信息主體的二次同意［4］。

2.2 目的合理

所謂目的合理，應(yīng)首先須為合法，此外，信息處理目的必須符合社會一般人的事理認(rèn)知，不得違反基本的倫理道德與公序良俗。即符合制度層面的目的合法與價值層面的目的正當(dāng)［3］。目的合法是信息處理的最低要求，在此前提下，處理的目的合理與否，應(yīng)當(dāng)在考慮個案的具體因素的基礎(chǔ)上，權(quán)衡處理者與信息主體等各方的權(quán)益和自由，最好實現(xiàn)個人信息權(quán)益的保護與個人信息的合理利用之間的利益協(xié)調(diào)與平衡［6］。此外，目的的合理性也會隨著時間的推移而變化，這取決于科學(xué)技術(shù)的發(fā)展，以及社會和文化態(tài)度的變化［7］。

3 處理個人信息應(yīng)當(dāng)與處理目的直接相關(guān)——使用限制

根據(jù)立法的要求，信息處理行為應(yīng)當(dāng)與信息收集時的初始目的具有“直接關(guān)聯(lián)性”。即“處理者只能對個人信息實施符合初始目的的相應(yīng)的處理活動，不得從事與處理目的無關(guān)的個人信息處理”［8］。最終立法上的這一規(guī)定與學(xué)者建議稿、草案二審稿及歐盟的做法都有不同。

在《個保法》制定過程中，張新寶教授曾在其起草的《個人信息保護法（專家建議稿）》中，主張信息處理行為應(yīng)當(dāng)與初始目的具有“合理關(guān)聯(lián)性”［9］。在草案二審稿第6 條中規(guī)定的是，個人信息處理者不得進行與處理目的“無關(guān)”的個人信息處理。而比較法上，歐盟采取的是“數(shù)據(jù)兼容處理”（簡稱“兼容性”）標(biāo)準(zhǔn)。根據(jù)GDPR的規(guī)定，數(shù)據(jù)的控制者“所進行的進一步處理不能違反這些目的”，但數(shù)據(jù)的控制者可以對數(shù)據(jù)執(zhí)行被認(rèn)為與收集數(shù)據(jù)時的目的即初始目的相互兼容的所有操作，“以不同之目的進行后續(xù)處理，并不一定意味著與約定目的相違背”［10］。在使用限制上，歐盟的立法似乎具有比較大的彈性和寬容性。但同時，GDPR 在第5 條（4）提出了兼容性的主要判斷標(biāo)準(zhǔn)：（1）任何在個人信息被收集時的目的和預(yù)期進一步處理的目的之間的聯(lián)系；（2）個人信息被收集時的情形，尤其是關(guān)于信息主體和控制者的關(guān)系；（3）個人信息的性質(zhì)；（4）預(yù)期進一步處理給信息主體可能造成的后果；（5）適當(dāng)?shù)目赡馨用芑蚰涿谋Ｕ洗胧┑拇嬖冢?］。當(dāng)然歐盟有條件地允許信息控制主體超出初始約定的做法，也在歐盟內(nèi)部引起巨大爭論，以致有人擔(dān)憂，允許超出初始目的使用信息，會逐漸掏空整個目的限制原則的制度基礎(chǔ)，使目的明確環(huán)節(jié)所產(chǎn)生的信息主體預(yù)期失去其本應(yīng)有的意義［11］。

我國《個保法》要求個人信息處理的活動“應(yīng)當(dāng)與處理目的直接相關(guān)”，既沒有采學(xué)者的“合理關(guān)聯(lián)”建議，也沒有采歐盟的“兼容處理”做法，而是最終采用了更加嚴(yán)格的規(guī)定。通過“直接”二字強調(diào)對處理者超出原有處理目的進行后續(xù)處理的限制。據(jù)此，“如處理者超出原有處理目的對個人信息作后續(xù)處理，則后續(xù)處理行為應(yīng)當(dāng)被視為是與原有處理行為相獨立的另一處理行為或者被視為處理目的的變更。依照《個保法》第13條和第14條第2款的規(guī)定，處理者原則上不得進行此等后續(xù)處理，除非其另行取得個人同意或者后續(xù)處理具備其他合法事由”［1］。

有學(xué)者認(rèn)為，將個人信息處理活動限定在與處理目的直接相關(guān)的范圍內(nèi)，有利于保護個人信息權(quán)益。如果允許超出處理目的處理個人信息，由此帶來的風(fēng)險將不可預(yù)測。故在判斷上，應(yīng)采取“非常嚴(yán)格”的標(biāo)準(zhǔn)，考察處理者后續(xù)實施的處理行為的目的是否被告知個人的處理目的所包含，或者雖然不包含但合理的人都認(rèn)為二者之間是密切聯(lián)系的［2］。但也有學(xué)者認(rèn)為，《個保法》過于嚴(yán)格的目的限制，可能造成個人信息價值的浪費，也會阻礙信息的流通和創(chuàng)新，故在對約束個人信息處理活動的處理目的進行解釋時，應(yīng)留有必要的彈性空間，以促進行業(yè)創(chuàng)新和個人信息的合理利用。特別是“在處理者基于個人同意處理個人信息的情形，如將處理目的限定得過于狹窄，不僅會導(dǎo)致處理者需要頻繁取得個人同意，不利于充分發(fā)揮個人信息的價值尤其是二次利用的增值價值”［1］。也有學(xué)者主張應(yīng)在個人信息類型化下重塑目的限制原則。認(rèn)為處理個人敏感信息必須恪守目的限制原則，禁止超越初始目的范圍處理；但在處理個人一般信息時，除了原則上須遵從目的限制原則外，特殊情形下應(yīng)允許超越初始目的而處理信息，只要不引發(fā)高于信息主體所預(yù)期的風(fēng)險。理由也主要是：大數(shù)據(jù)時代個人信息的多維度利用日趨常態(tài)化與復(fù)雜化，導(dǎo)致信息處理目的難以在信息收集階段完全確定下來，嚴(yán)格的目的限制原則忽視了個人信息的利用價值［3］。

此外，筆者注意到《信息安全技術(shù)個人信息安全規(guī)范》（GB/T 35273-2020）沒有單采“直接關(guān)聯(lián)”，而是規(guī)定“關(guān)聯(lián)性”包括“直接關(guān)聯(lián)性”與“合理關(guān)聯(lián)性”——“使用個人信息時，不應(yīng)超出與收集個人信息時所聲稱的目的具有直接或合理關(guān)聯(lián)的范圍”。但對何謂“合理關(guān)聯(lián)”未予定義，而是描述了“合理關(guān)聯(lián)”的具體信息利用情形，即第7.3條（a）規(guī)定的“將所收集的個人信息用于學(xué)術(shù)研究或得出對自然、科學(xué)、社會、經(jīng)濟等現(xiàn)象總體狀態(tài)的描述，屬于與收集目的具有合理關(guān)聯(lián)的范圍之內(nèi)”。

4 “權(quán)益影響最小化”與“數(shù)據(jù)最小化”

4.1 權(quán)益影響最小化

《個保法》第6 條第1 款規(guī)定：“處理個人信息應(yīng)當(dāng)采取對個人權(quán)益影響最小的方式?！贝思礄?quán)益影響最小化限制。它要求在有多種處理方式可供選擇時，應(yīng)當(dāng)選擇其中既能實現(xiàn)個人信息處理目的，又對個人權(quán)益的影響最小的方式，這也是比例原則中“最小損害原則”的要求［12］。換言之，處理者應(yīng)盡可能減少對個人信息的處理以及對個人信息的使用次數(shù)，以避免對個人信息權(quán)益造成不利的影響，其促進的個人利益或公共利益應(yīng)與被侵害的權(quán)益成比例［13］。這是因為個人信息處理可能對個人信息造成難以預(yù)測的危險和損害，故為保護個人信息權(quán)益，應(yīng)當(dāng)對個人信息處理的限度作出最小化的限制［14］。

4.2 數(shù)據(jù)最小化

《個保法》第6條第2款規(guī)定：“收集個人信息，應(yīng)當(dāng)限于實現(xiàn)處理目的的最小范圍，不得過度收集個人信息。”此即數(shù)據(jù)最小化限制。從我國立法規(guī)定看，數(shù)據(jù)最小化限制是目的限制原則在個人信息收集階段的體現(xiàn)。它是指個人信息的收集應(yīng)以必要為原則，如果沒有這些個人信息，個人信息處理者的處理目的就完全無法實現(xiàn)或者說主要、核心的目的無法實現(xiàn)。凡是超過必要范圍而收集個人信息，都應(yīng)屬于過度收集。

值得一提的是，盡管立法上對上述兩個限制沒有進一步的規(guī)定，但《深圳經(jīng)濟特區(qū)數(shù)據(jù)條例》中對兩個限制進行了更為具體的規(guī)定，其對典型情形的列舉，不失為一種努力［15］。此外，《常見類型移動互聯(lián)網(wǎng)應(yīng)用程序必要個人信息范圍規(guī)定》的做法也是一種可復(fù)制的做法。其規(guī)定了移動智能終端上運行的APP所收集的必要個人信息，并對最常見類型的39種APP的基本功能以及為實現(xiàn)基本功能所需要的必要個人信息的范圍進行了列舉［16］。例如，網(wǎng)絡(luò)約車類的基本功能服務(wù)為“網(wǎng)絡(luò)預(yù)約出租汽車服務(wù)、巡游出租汽車電召服務(wù)”，必要個人信息包括：（1）注冊用戶移動電話號碼；（2）乘車人出發(fā)地、到達(dá)地、位置信息、行蹤軌跡；（3）支付時間、金額、渠道等支付信息（網(wǎng)絡(luò)預(yù)約出租汽車服務(wù)）。據(jù)此，如果收集用戶人臉識別信息、年齡信息、職業(yè)信息、親情關(guān)系等則明顯屬于過度收集。

5 結(jié)語

目的限制原則是個人信息處理的基本原則。該原則要求個人信息的處理應(yīng)有明確合理的目的，并在后續(xù)的個人信息處理中也應(yīng)與初始目的保持一致，除非經(jīng)過個人的明確同意，否則不得在目的之外處理個人信息，并要求以數(shù)據(jù)最小化收集個人信息，以對個人權(quán)益影響最小化使用個人信息。其法理基礎(chǔ)是個人信息主體對于其個人信息享有控制力與支配力，并享有受法律保護的民事權(quán)益。個人信息是一種人格權(quán)益，涉及個人的人格尊嚴(yán)。因此信息主體的人格尊嚴(yán)和自由價值是個人信息保護立法中首要考慮的因素。但同時也需考慮信息的合理利用?！秱€保法》實施不久，包括目的限制原則在內(nèi)的規(guī)范的適用效果尚待 觀察。