胡利玲

（中國政法大學(xué)民商經(jīng)濟(jì)法學(xué)院 北京 100088）

《個(gè)人信息保護(hù)法》（以下簡稱《個(gè)保法》）在第5～9條分別規(guī)定了個(gè)人信息處理的合法、正當(dāng)、必要與誠信原則，目的限制原則，公開透明原則，質(zhì)量原則和責(zé)任原則五大基本原則。這些基本原則既是處理者開展個(gè)人信息處理活動的基本遵循，也是構(gòu)建個(gè)人信息保護(hù)具體規(guī)則的制度基礎(chǔ)。其中目的限制原則以個(gè)人信息處理的目的為核心，對處理者處理個(gè)人信息的限度提出了全面的要求［1］?！秱€(gè)保法》第6 條規(guī)定：“處理個(gè)人信息應(yīng)當(dāng)具有明確、合理的目的，并應(yīng)當(dāng)與處理目的直接相關(guān)，采取對個(gè)人權(quán)益影響最小的方式。收集個(gè)人信息，應(yīng)當(dāng)限于實(shí)現(xiàn)處理目的的最小范圍，不得過度收集個(gè)人信息?！北緱l即是個(gè)人信息處理的目的限制原則的立法體現(xiàn)。該原則被認(rèn)為是個(gè)人信息保護(hù)制度的基石，也是大多數(shù)其他基本要求的先決條件［2］。本文以我國《個(gè)人信息保護(hù)法》的條文為依據(jù)，結(jié)合比較法的規(guī)定，對個(gè)人信息處理基本原則中的目的限制原則加以詳細(xì)解讀。

1 目的限制原則的基本含義和規(guī)范內(nèi)容

所謂目的限制原則，也稱目的拘束原則，是指個(gè)人信息的處理應(yīng)有明確合理的目的，并在后續(xù)的個(gè)人信息處理中也應(yīng)與初始目的保持一致，除非經(jīng)過個(gè)人的明確同意，否則不得在目的之外處理個(gè)人信息，并應(yīng)以最小范圍收集個(gè)人信息及以對個(gè)人權(quán)益影響最小使用個(gè)人信息。目的限制原則的法理基礎(chǔ)是個(gè)人信息主體對于其個(gè)人信息享有控制力與支配力，并享有受法律保護(hù)的民事權(quán)益——人格利益。目的限制原則要求信息處理者在收集信息時(shí)明確告知信息主體信息處理的具體目的，并嚴(yán)格限定后續(xù)信息處理的方式，同時(shí)給予信息主體同意或拒絕的權(quán)利，在一定程度上可保障信息主體自主控制信息被以何種方式處理，防止信息處理者以信息主體未能預(yù)見到的方式處理信息［3］。

該原則最早由美國學(xué)者艾倫·威斯汀（Alan Westin）提出，其主張政府所收集的個(gè)人信息只能用于特定目的，不得用于其他目的或者進(jìn)一步流轉(zhuǎn)，除非提供信息的個(gè)人或群體的身份特征已經(jīng)完全從該信息中移除，或他們自由地對進(jìn)一步流轉(zhuǎn)表示同意。而1980年經(jīng)濟(jì)合作發(fā)展組織在《關(guān)于保護(hù)隱私和個(gè)人數(shù)據(jù)跨國流通指導(dǎo)原則》中首先對該原則作了規(guī)范表述［4］。目前該原則已為許多國家或地區(qū)的個(gè)人信息或數(shù)據(jù)保護(hù)立法所確立。最典型的如歐盟《通用數(shù)據(jù)保護(hù)條例》（GDPR），其第5 條（1）（b）規(guī)定“個(gè)人數(shù)據(jù)的收集應(yīng)基于特定的、明確和合法的目的”（即目的限制）；第5 條（1）（c）規(guī)定“個(gè)人數(shù)據(jù)應(yīng)相對于處理目的而言適當(dāng)、相關(guān)并在必要的范圍內(nèi)”（即數(shù)據(jù)最小化）。前者指處理者應(yīng)當(dāng)為特定、明確和合法的目的收集個(gè)人數(shù)據(jù)，并且個(gè)人數(shù)據(jù)的后續(xù)處理不得違反此等目的；后者指處理者處理個(gè)人數(shù)據(jù)應(yīng)當(dāng)充分、相關(guān)并且限制于為實(shí)現(xiàn)該個(gè)人數(shù)據(jù)處理目的所需的最小限度內(nèi)［1］。

我國《個(gè)保法》第6條規(guī)定：“處理個(gè)人信息應(yīng)當(dāng)具有明確、合理的目的，并應(yīng)當(dāng)與處理目的直接相關(guān)，采取對個(gè)人權(quán)益影響最小的方式。收集個(gè)人信息，應(yīng)當(dāng)限于實(shí)現(xiàn)處理目的的最小范圍，不得過度收集個(gè)人信息?！备鶕?jù)這一規(guī)定，目的限制原則同時(shí)涵蓋了數(shù)據(jù)最小化原則。因此，我國《個(gè)保法》上的目的限制原則從規(guī)范意義上應(yīng)包含三方面的內(nèi)容。第一，處理個(gè)人信息應(yīng)當(dāng)具有明確、合理的目的，即“目的明確、合理”。它要求，首先，處理個(gè)人信息應(yīng)有明確的目的，否則其行為屬于對個(gè)人信息的濫用。其次，處理個(gè)人信息的目的具有合理性，即“在滿足合法、正當(dāng)要求的前提下，不為個(gè)人帶來過重的負(fù)擔(dān)或者過高的風(fēng)險(xiǎn)［1］?！钡诙幚韨€(gè)人信息應(yīng)與處理目的直接相關(guān)。它要求后續(xù)的個(gè)人信息處理中應(yīng)與初始目的保持一致，除非經(jīng)過個(gè)人的明確同意，否則不得在目的之外處理個(gè)人信息?？珊喕癁椤笆褂孟拗啤?。第三，處理個(gè)人信息應(yīng)當(dāng)采取對個(gè)人權(quán)益影響最小的方式，并限于實(shí)現(xiàn)處理目的的最小范圍，不得過度收集個(gè)人信息。前者簡化為“權(quán)益影響最小化”，后者簡化為“數(shù)據(jù)最小化”。

2 處理個(gè)人信息應(yīng)當(dāng)具有明確、合理的目的——目的明確、合理

2.1 目的明確

歐盟GDPR 第5 條（1）（b）規(guī)定：“個(gè)人數(shù)據(jù)的收集應(yīng)基于特定、明確和合法的目的?！??！睋?jù)此，GDPR在目的明確方面，規(guī)定了特定、明確、合法標(biāo)準(zhǔn)。歐盟第29 條工作組在關(guān)于處理個(gè)人數(shù)據(jù)的目的限制的意見中指出收集個(gè)人數(shù)據(jù)必須基于清晰的用途，而且還須清晰地表達(dá)出來，即必須以某種可理解的形式清楚地揭示、解釋或闡述其用途。由此推斷，這項(xiàng)要求應(yīng)在開始收集個(gè)人數(shù)據(jù)前完成。以確保用途清晰、容易理解。尤其是用途的清晰必須以適當(dāng)?shù)姆绞竭M(jìn)行表達(dá)，以保證控制者和任何第三方處理者，以及數(shù)據(jù)保護(hù)機(jī)構(gòu)和相關(guān)數(shù)據(jù)主體都能對它有相同的理解，……。清晰的用途說明，能使控制者打算如何使用收集到的個(gè)人數(shù)據(jù)變得透明；能幫助所有處理數(shù)據(jù)的人、數(shù)據(jù)主體、監(jiān)管機(jī)構(gòu)和其他利益相關(guān)方對如何使用數(shù)據(jù)有共同的理解。相應(yīng)地也會降低數(shù)據(jù)主體與控制者雙方期望不同的風(fēng)險(xiǎn)［5］。

我國《個(gè)保法》并沒有對“目的明確”作進(jìn)一步的具體解釋。但本文認(rèn)為，借鑒歐盟GDPR的上述規(guī)定，并從應(yīng)然角度出發(fā)，目的明確的要求是：第一，個(gè)人信息處理的目的應(yīng)特定、明確、合法，而且應(yīng)在開始收集信息前即確定；第二，處理目的應(yīng)被清晰、明確地表達(dá)出來而非隱匿或含混不清；第三，處理目的應(yīng)具有一定的限定性而非寬泛無限制。也有學(xué)者建議在借鑒歐盟GDPR規(guī)定基礎(chǔ)上，我國法院在決定目的是否明確時(shí)，可考慮以下要素：約定目的與雙方預(yù)期的關(guān)系；個(gè)人信息被收集時(shí)的情形，尤其是關(guān)于信息主體和信息控制者的關(guān)系；個(gè)人信息的性質(zhì)；按照該目的進(jìn)行處理個(gè)人信息對信息主體可能造成的后果；適當(dāng)?shù)谋Ｕ洗胧┑拇嬖冢缂用芑蚰涿幚淼?。如必須將個(gè)人信息用于約定目的之外的額外目的的，則信息控制主體應(yīng)當(dāng)取得信息主體的二次同意［4］。

2.2 目的合理

所謂目的合理，應(yīng)首先須為合法，此外，信息處理目的必須符合社會一般人的事理認(rèn)知，不得違反基本的倫理道德與公序良俗。即符合制度層面的目的合法與價(jià)值層面的目的正當(dāng)［3］。目的合法是信息處理的最低要求，在此前提下，處理的目的合理與否，應(yīng)當(dāng)在考慮個(gè)案的具體因素的基礎(chǔ)上，權(quán)衡處理者與信息主體等各方的權(quán)益和自由，最好實(shí)現(xiàn)個(gè)人信息權(quán)益的保護(hù)與個(gè)人信息的合理利用之間的利益協(xié)調(diào)與平衡［6］。此外，目的的合理性也會隨著時(shí)間的推移而變化，這取決于科學(xué)技術(shù)的發(fā)展，以及社會和文化態(tài)度的變化［7］。

3 處理個(gè)人信息應(yīng)當(dāng)與處理目的直接相關(guān)——使用限制

根據(jù)立法的要求，信息處理行為應(yīng)當(dāng)與信息收集時(shí)的初始目的具有“直接關(guān)聯(lián)性”。即“處理者只能對個(gè)人信息實(shí)施符合初始目的的相應(yīng)的處理活動，不得從事與處理目的無關(guān)的個(gè)人信息處理”［8］。最終立法上的這一規(guī)定與學(xué)者建議稿、草案二審稿及歐盟的做法都有不同。

在《個(gè)保法》制定過程中，張新寶教授曾在其起草的《個(gè)人信息保護(hù)法（專家建議稿）》中，主張信息處理行為應(yīng)當(dāng)與初始目的具有“合理關(guān)聯(lián)性”［9］。在草案二審稿第6 條中規(guī)定的是，個(gè)人信息處理者不得進(jìn)行與處理目的“無關(guān)”的個(gè)人信息處理。而比較法上，歐盟采取的是“數(shù)據(jù)兼容處理”（簡稱“兼容性”）標(biāo)準(zhǔn)。根據(jù)GDPR的規(guī)定，數(shù)據(jù)的控制者“所進(jìn)行的進(jìn)一步處理不能違反這些目的”，但數(shù)據(jù)的控制者可以對數(shù)據(jù)執(zhí)行被認(rèn)為與收集數(shù)據(jù)時(shí)的目的即初始目的相互兼容的所有操作，“以不同之目的進(jìn)行后續(xù)處理，并不一定意味著與約定目的相違背”［10］。在使用限制上，歐盟的立法似乎具有比較大的彈性和寬容性。但同時(shí)，GDPR 在第5 條（4）提出了兼容性的主要判斷標(biāo)準(zhǔn)：（1）任何在個(gè)人信息被收集時(shí)的目的和預(yù)期進(jìn)一步處理的目的之間的聯(lián)系；（2）個(gè)人信息被收集時(shí)的情形，尤其是關(guān)于信息主體和控制者的關(guān)系；（3）個(gè)人信息的性質(zhì)；（4）預(yù)期進(jìn)一步處理給信息主體可能造成的后果；（5）適當(dāng)?shù)目赡馨用芑蚰涿谋Ｕ洗胧┑拇嬖冢?］。當(dāng)然歐盟有條件地允許信息控制主體超出初始約定的做法，也在歐盟內(nèi)部引起巨大爭論，以致有人擔(dān)憂，允許超出初始目的使用信息，會逐漸掏空整個(gè)目的限制原則的制度基礎(chǔ)，使目的明確環(huán)節(jié)所產(chǎn)生的信息主體預(yù)期失去其本應(yīng)有的意義［11］。

我國《個(gè)保法》要求個(gè)人信息處理的活動“應(yīng)當(dāng)與處理目的直接相關(guān)”，既沒有采學(xué)者的“合理關(guān)聯(lián)”建議，也沒有采歐盟的“兼容處理”做法，而是最終采用了更加嚴(yán)格的規(guī)定。通過“直接”二字強(qiáng)調(diào)對處理者超出原有處理目的進(jìn)行后續(xù)處理的限制。據(jù)此，“如處理者超出原有處理目的對個(gè)人信息作后續(xù)處理，則后續(xù)處理行為應(yīng)當(dāng)被視為是與原有處理行為相獨(dú)立的另一處理行為或者被視為處理目的的變更。依照《個(gè)保法》第13條和第14條第2款的規(guī)定，處理者原則上不得進(jìn)行此等后續(xù)處理，除非其另行取得個(gè)人同意或者后續(xù)處理具備其他合法事由”［1］。

有學(xué)者認(rèn)為，將個(gè)人信息處理活動限定在與處理目的直接相關(guān)的范圍內(nèi)，有利于保護(hù)個(gè)人信息權(quán)益。如果允許超出處理目的處理個(gè)人信息，由此帶來的風(fēng)險(xiǎn)將不可預(yù)測。故在判斷上，應(yīng)采取“非常嚴(yán)格”的標(biāo)準(zhǔn)，考察處理者后續(xù)實(shí)施的處理行為的目的是否被告知個(gè)人的處理目的所包含，或者雖然不包含但合理的人都認(rèn)為二者之間是密切聯(lián)系的［2］。但也有學(xué)者認(rèn)為，《個(gè)保法》過于嚴(yán)格的目的限制，可能造成個(gè)人信息價(jià)值的浪費(fèi)，也會阻礙信息的流通和創(chuàng)新，故在對約束個(gè)人信息處理活動的處理目的進(jìn)行解釋時(shí)，應(yīng)留有必要的彈性空間，以促進(jìn)行業(yè)創(chuàng)新和個(gè)人信息的合理利用。特別是“在處理者基于個(gè)人同意處理個(gè)人信息的情形，如將處理目的限定得過于狹窄，不僅會導(dǎo)致處理者需要頻繁取得個(gè)人同意，不利于充分發(fā)揮個(gè)人信息的價(jià)值尤其是二次利用的增值價(jià)值”［1］。也有學(xué)者主張應(yīng)在個(gè)人信息類型化下重塑目的限制原則。認(rèn)為處理個(gè)人敏感信息必須恪守目的限制原則，禁止超越初始目的范圍處理；但在處理個(gè)人一般信息時(shí)，除了原則上須遵從目的限制原則外，特殊情形下應(yīng)允許超越初始目的而處理信息，只要不引發(fā)高于信息主體所預(yù)期的風(fēng)險(xiǎn)。理由也主要是：大數(shù)據(jù)時(shí)代個(gè)人信息的多維度利用日趨常態(tài)化與復(fù)雜化，導(dǎo)致信息處理目的難以在信息收集階段完全確定下來，嚴(yán)格的目的限制原則忽視了個(gè)人信息的利用價(jià)值［3］。

此外，筆者注意到《信息安全技術(shù)個(gè)人信息安全規(guī)范》（GB/T 35273-2020）沒有單采“直接關(guān)聯(lián)”，而是規(guī)定“關(guān)聯(lián)性”包括“直接關(guān)聯(lián)性”與“合理關(guān)聯(lián)性”——“使用個(gè)人信息時(shí)，不應(yīng)超出與收集個(gè)人信息時(shí)所聲稱的目的具有直接或合理關(guān)聯(lián)的范圍”。但對何謂“合理關(guān)聯(lián)”未予定義，而是描述了“合理關(guān)聯(lián)”的具體信息利用情形，即第7.3條（a）規(guī)定的“將所收集的個(gè)人信息用于學(xué)術(shù)研究或得出對自然、科學(xué)、社會、經(jīng)濟(jì)等現(xiàn)象總體狀態(tài)的描述，屬于與收集目的具有合理關(guān)聯(lián)的范圍之內(nèi)”。

4 “權(quán)益影響最小化”與“數(shù)據(jù)最小化”

4.1 權(quán)益影響最小化

《個(gè)保法》第6 條第1 款規(guī)定：“處理個(gè)人信息應(yīng)當(dāng)采取對個(gè)人權(quán)益影響最小的方式。”此即權(quán)益影響最小化限制。它要求在有多種處理方式可供選擇時(shí)，應(yīng)當(dāng)選擇其中既能實(shí)現(xiàn)個(gè)人信息處理目的，又對個(gè)人權(quán)益的影響最小的方式，這也是比例原則中“最小損害原則”的要求［12］。換言之，處理者應(yīng)盡可能減少對個(gè)人信息的處理以及對個(gè)人信息的使用次數(shù)，以避免對個(gè)人信息權(quán)益造成不利的影響，其促進(jìn)的個(gè)人利益或公共利益應(yīng)與被侵害的權(quán)益成比例［13］。這是因?yàn)閭€(gè)人信息處理可能對個(gè)人信息造成難以預(yù)測的危險(xiǎn)和損害，故為保護(hù)個(gè)人信息權(quán)益，應(yīng)當(dāng)對個(gè)人信息處理的限度作出最小化的限制［14］。

4.2 數(shù)據(jù)最小化

《個(gè)保法》第6條第2款規(guī)定：“收集個(gè)人信息，應(yīng)當(dāng)限于實(shí)現(xiàn)處理目的的最小范圍，不得過度收集個(gè)人信息?！贝思磾?shù)據(jù)最小化限制。從我國立法規(guī)定看，數(shù)據(jù)最小化限制是目的限制原則在個(gè)人信息收集階段的體現(xiàn)。它是指個(gè)人信息的收集應(yīng)以必要為原則，如果沒有這些個(gè)人信息，個(gè)人信息處理者的處理目的就完全無法實(shí)現(xiàn)或者說主要、核心的目的無法實(shí)現(xiàn)。凡是超過必要范圍而收集個(gè)人信息，都應(yīng)屬于過度收集。

值得一提的是，盡管立法上對上述兩個(gè)限制沒有進(jìn)一步的規(guī)定，但《深圳經(jīng)濟(jì)特區(qū)數(shù)據(jù)條例》中對兩個(gè)限制進(jìn)行了更為具體的規(guī)定，其對典型情形的列舉，不失為一種努力［15］。此外，《常見類型移動互聯(lián)網(wǎng)應(yīng)用程序必要個(gè)人信息范圍規(guī)定》的做法也是一種可復(fù)制的做法。其規(guī)定了移動智能終端上運(yùn)行的APP所收集的必要個(gè)人信息，并對最常見類型的39種APP的基本功能以及為實(shí)現(xiàn)基本功能所需要的必要個(gè)人信息的范圍進(jìn)行了列舉［16］。例如，網(wǎng)絡(luò)約車類的基本功能服務(wù)為“網(wǎng)絡(luò)預(yù)約出租汽車服務(wù)、巡游出租汽車電召服務(wù)”，必要個(gè)人信息包括：（1）注冊用戶移動電話號碼；（2）乘車人出發(fā)地、到達(dá)地、位置信息、行蹤軌跡；（3）支付時(shí)間、金額、渠道等支付信息（網(wǎng)絡(luò)預(yù)約出租汽車服務(wù)）。據(jù)此，如果收集用戶人臉識別信息、年齡信息、職業(yè)信息、親情關(guān)系等則明顯屬于過度收集。

5 結(jié)語

目的限制原則是個(gè)人信息處理的基本原則。該原則要求個(gè)人信息的處理應(yīng)有明確合理的目的，并在后續(xù)的個(gè)人信息處理中也應(yīng)與初始目的保持一致，除非經(jīng)過個(gè)人的明確同意，否則不得在目的之外處理個(gè)人信息，并要求以數(shù)據(jù)最小化收集個(gè)人信息，以對個(gè)人權(quán)益影響最小化使用個(gè)人信息。其法理基礎(chǔ)是個(gè)人信息主體對于其個(gè)人信息享有控制力與支配力，并享有受法律保護(hù)的民事權(quán)益。個(gè)人信息是一種人格權(quán)益，涉及個(gè)人的人格尊嚴(yán)。因此信息主體的人格尊嚴(yán)和自由價(jià)值是個(gè)人信息保護(hù)立法中首要考慮的因素。但同時(shí)也需考慮信息的合理利用。《個(gè)保法》實(shí)施不久，包括目的限制原則在內(nèi)的規(guī)范的適用效果尚待 觀察。