王月明 唐瑞芳

［摘 要］ 最小必要原則及其規(guī)則與大數(shù)據(jù)時代個人信息保護的理念目標、運行規(guī)律等產(chǎn)生了較激烈的對立沖突。在大數(shù)據(jù)時代，一種合理且必要的個人信息收集處理機制，需要構(gòu)建以公共利益審視必要信息的合理范圍，以比例原則實現(xiàn)理念目標與規(guī)制手段的均衡，考量具體情境更新必要原則的實施機制，推動必要性原則在大數(shù)據(jù)潮流中超越升華，實現(xiàn)個人信息保護與數(shù)字社會生存與發(fā)展的雙重目標。

［關(guān)鍵詞］ 大數(shù)據(jù)時代；個人信息保護；必要性原則

［中圖分類號］? D902．16? ?［文獻標識碼］ Ａ? ?［文章編號］ 1008-1763（2023）03-0119-07

Abstract：The principle of minimum necessity and its rules have sparked a fierce conflict with the conceptual goals and operational rules of personal information protection in the era of big data. In the era of big data， it is necessary to build a reasonable and necessary mechanism for collecting and processing personal information， examine the reasonable range of necessary information in the public interest， achieve a balance between conceptual goals and regulatory measures based on the principle of proportionality， update the implementation mechanism of necessary principles based on specific situations， promote the principle of necessity to transcend and sublimate in the trend of big data， and achieve the dual goals of personal information protection and the survival and development of the digital society.

Key words： the era of big data；personal information protection; the principle of necessity

在大數(shù)據(jù)時代，最小必要原則極大地規(guī)范但又限制了個人信息的收集、處理與利用，其“最小數(shù)量”“最小影響”“目的限制”“利用限制”等規(guī)則與大數(shù)據(jù)時代的理念目標、運行規(guī)律、現(xiàn)實需要等產(chǎn)生了較激烈的對立沖突。近年來，世界范圍內(nèi)關(guān)于個人信息保護的立法，都對最小必要原則進行了一定程度的探索或改革，以使最小必要原則更大程度契合大數(shù)據(jù)時代個人信息保護的實際情勢，推動在個人信息保護與數(shù)字化生產(chǎn)與發(fā)展之間取得平衡。

一 最小必要原則在個人信息保護中的實踐

最小必要原則也稱必要性原則、數(shù)據(jù)最小化原則、最少夠用原則，被認為是個人信息保護的“帝王原則”［1］103，“最小”是對必要原則內(nèi)涵的限定[2]72。20世紀70年代，美國“公平信息實踐”確立了收集限制、使用限制、披露限制等規(guī)則，為最小必要原則的確立與發(fā)展提供了思想淵源。1980年，經(jīng)合組織《關(guān)于保護隱私和個人數(shù)據(jù)國際流通的指南》（OECD指南）明確了收集限制、目的限制、利用限制等原則，對必要性原則的內(nèi)涵作了較全面的規(guī)定。歐洲理事會《關(guān)于個人數(shù)據(jù)自動化處理的個人保護公約》（108號公約）重申了數(shù)據(jù)最小化原則，進一步細化了目的相稱、儲存時間限制等內(nèi)容。1995年，歐盟頒布的《數(shù)據(jù)保護指令》（Directive 95/46/EC）第6條也限定了個人數(shù)據(jù)收集應(yīng)當合乎目的、不過度收集等內(nèi)容。歐盟《通用數(shù)據(jù)保護條例》（GDPR）延續(xù)了嚴格保護個人信息的傳統(tǒng)，對個人信息保護做了全方位與系統(tǒng)的規(guī)定，其中要求處理個人信息應(yīng)當充分、相關(guān)，并且限于“處理目的之必要為限度”。可以說，最小必要原則逐漸成為世界范圍內(nèi)個人信息保護立法普遍予以申明的機制。

由于個人信息保護制度的強技術(shù)性，我國個人信息保護立法與國際個人信息保護實踐趨同化十分明顯?！度珖嗣翊泶髸?wù)委員會關(guān)于加強網(wǎng)絡(luò)信息保護的決定》和《中華人民共和國網(wǎng)絡(luò)安全法》都要求網(wǎng)絡(luò)運營者收集、使用個人信息應(yīng)當“遵循合法、正當、必要的原則”，并禁止收集“與其提供的服務(wù)無關(guān)的個人信息”?！吨腥A人民共和國個人信息保護法》要求“與處理目的直接相關(guān)”“限于實現(xiàn)處理目的的最小范圍” “采取對個人權(quán)益影響最小的方式”等，對個人信息收集與處理方式與范圍作了十分嚴格的限定?！缎畔踩夹g(shù) 個人信息安全規(guī)范》（GB/T 35273－2020）要求“只處理滿足個人信息主體授權(quán)同意的目的所需的最少個人信息類型和數(shù)量”“目的達成后，應(yīng)及時刪除個人信息”。工信部發(fā)布的《APP收集使用個人信息最小必要評估規(guī)范》，明確將“最小”“必要”進行了聯(lián)結(jié)使用，并在告知同意、收集、存儲、使用、傳輸、刪除等全過程體現(xiàn)了最小必要原則的要求。國家網(wǎng)信辦等聯(lián)合印發(fā)《常見類型移動互聯(lián)網(wǎng)應(yīng)用程序必要個人信息范圍規(guī)定》，對39種常見類型APP可以收集處理的必要個人信息進行了一一列舉，除此之外不能收集處理其他個人信息，似乎必要性原則限制越來越嚴、制度張力愈來愈小。

由于數(shù)字技術(shù)的嵌入性、泛在性，大數(shù)據(jù)逐漸模糊了個人信息數(shù)據(jù)與其他數(shù)據(jù)的界限，使得最小必要原則適用的基礎(chǔ)出現(xiàn)裂痕而面臨諸多適用困境。從字面來看，大數(shù)據(jù)時代與最小必要原則就具有一定的對立沖突；從內(nèi)涵與運行機制來看，大數(shù)據(jù)時代與最小必要原則也存在著多重相悖，最小必要原則大大限制了個人信息數(shù)據(jù)作用的發(fā)揮，極大限縮了大數(shù)據(jù)功能的發(fā)揮與信息社會的深化。不少學(xué)者認為，傳統(tǒng)信息最小化原則的合理性被逐漸削弱。［3］在大數(shù)據(jù)時代應(yīng)對最小必要原則的功能和地位進行反思。美國學(xué)者Tene甚至指出，數(shù)據(jù)最小化原則已不再是大數(shù)據(jù)時代的商業(yè)準則［4］。最小必要原則的適用性受到越來越多的挑戰(zhàn)，其合理性與規(guī)制力受到日益強烈的質(zhì)疑。

二 大數(shù)據(jù)時代最小必要原則的悖論

隨著大數(shù)據(jù)的演進，個人的信息化特征越來越普遍，個人信息深度參與到經(jīng)濟社會活動中去，使其具有強烈的經(jīng)濟利益性、社會功能性，個人信息逐步從隱私領(lǐng)域解脫出來，其獨立權(quán)利屬性與基本權(quán)利屬性越來越明顯。最小必要原則以傳統(tǒng)隱私權(quán)作為其立論基礎(chǔ)，其制度設(shè)定、價值理念越來越不符合數(shù)字社會發(fā)展的時代大勢與運行規(guī)律。

（一）個人信息泛化對個人信息保護的基礎(chǔ)理論提出挑戰(zhàn)

大數(shù)據(jù)的一個顯著特點是數(shù)據(jù)價值大但數(shù)據(jù)價值密度相對較低，個人信息也不例外。雖然從宏觀來看，個人信息數(shù)據(jù)應(yīng)用價值越來越高，但從單個個人信息來看，其價值密度卻愈發(fā)下降，很多個人信息敏感度較低，離核心隱私信息相距甚遠，對個人隱私、安寧生活影響程度并不高。最小必要原則是基于個人信息的極端重要性與深刻影響力而設(shè)定的，而由于個人信息的泛化，對個人信息價值密度較低的信息也采用高強度的最小必要原則來進行保護，其正當性與合理性成為一個不得不審視的問題。以歐盟GDPR為例，其高水平保護和嚴格的懲罰機制使企業(yè)的個人信息保護合規(guī)成本大大提高，［5］大大限制了大數(shù)據(jù)的開發(fā)效率與產(chǎn)業(yè)發(fā)展。

傳統(tǒng)界定個人信息的理論主要有“識別說”與“關(guān)聯(lián)說”兩種，前一種將二進制代碼信息通過客觀存在的因果聯(lián)系與現(xiàn)實中的自然人相聯(lián)系。后一種一般則是列舉已知的個人信息，其他信息能夠關(guān)聯(lián)上述信息的即應(yīng)界定為個人信息，即已知既定個人而知曉或者收集關(guān)于該個人的其他信息［6］214。雖然這兩種理論名稱不同，但本質(zhì)上都是在信息與個人之間的因果聯(lián)結(jié)，并非是相互排斥或相互取代的關(guān)系［7］，更多的時候是兩種方法相互補充，以此界定個人信息。

隨著人的數(shù)字化程度加深，個人與信息深度融合，大數(shù)據(jù)挖掘、分析技術(shù)的發(fā)展，足夠多的數(shù)據(jù)疊加就能夠識別特定人，足夠多的數(shù)據(jù)運算就能夠精準關(guān)聯(lián)到特定信息，大量非個人信息在數(shù)據(jù)充分的前提下也可以轉(zhuǎn)換為個人信息，［6］215以前被認為與特定個人相距甚遠的數(shù)據(jù)或信息，現(xiàn)在在大數(shù)據(jù)技術(shù)加持下，對個人進行精準“畫像”也已經(jīng)不是什么難事，因果聯(lián)結(jié)標準使得網(wǎng)絡(luò)中大部分數(shù)據(jù)信息都有可能成為個人信息，對“識別說”與“關(guān)聯(lián)說”適用提出了新的挑戰(zhàn)。如果網(wǎng)絡(luò)中的個人信息都按照最小必要原則來進行保護，則或因數(shù)據(jù)體量龐大無法達成嚴格保護的目標，或因大量數(shù)據(jù)信息受嚴格管制以致網(wǎng)絡(luò)中缺乏充分有用數(shù)據(jù)信息的困境，以至于有學(xué)者甚至主張從法律制度體系中整體廢除個人信息這一概念［8］，這都對現(xiàn)有個人信息保護的基礎(chǔ)理論造成極大破壞。

（二）“最小數(shù)量”“最小影響”等規(guī)則與個人信息保護理念目標之間的矛盾較難調(diào)和

世界各國均致力推動數(shù)字經(jīng)濟社會發(fā)展，《中華人民共和國國民經(jīng)濟和社會會發(fā)展第十四個五年規(guī)劃和2035年遠景目標綱要》提出，進一步加快數(shù)字經(jīng)濟、數(shù)字社會、數(shù)字政府建設(shè)步伐，暢通數(shù)據(jù)流通利用，營造良好數(shù)字生態(tài)。大數(shù)據(jù)業(yè)態(tài)的綜合性、混同性特征愈發(fā)明顯，數(shù)據(jù)類型越多越有利于業(yè)態(tài)鏈條創(chuàng)新延展；在萬物互聯(lián)、萬業(yè)上云的大數(shù)據(jù)時代，數(shù)字世界早已成了一個大熔爐，信息數(shù)據(jù)縱橫交錯構(gòu)建起一個紛繁復(fù)雜的數(shù)據(jù)池。大數(shù)據(jù)時代離不開數(shù)據(jù)要素，尤其是大量個人信息的支撐，只有數(shù)據(jù)廣泛參與、持續(xù)供給、綜合運用，才能推動整個數(shù)字乃至智慧業(yè)態(tài)延伸展開。個人信息的主體功能逐步指向了公共利益與社會功能，在數(shù)字生態(tài)搭建過程中的任何環(huán)節(jié)都不可或缺。

最小必要原則在多維度限定在“最小數(shù)量”“最小范圍”“最少類型”“最低頻率”，對個人信息主體產(chǎn)生“最小影響”，并且在目標實現(xiàn)之后存儲“最短時間”。這些規(guī)定基于傳統(tǒng)條塊化的業(yè)態(tài)分類，用分割的、壁壘森嚴的方式處理個人信息，各種信息之間不能相互聯(lián)系或者僅僅是簡單疊加式聯(lián)系，對挖掘個人信息之間的聯(lián)系以及以個人信息為連接點的大數(shù)據(jù)的運算分析產(chǎn)生極大阻礙，極大地限制個人信息的處理與利用，嚴重限縮了個人信息在數(shù)字生態(tài)建設(shè)中的作用，對公共服務(wù)、社會治理等產(chǎn)生逆潮流的消極影響，甚至阻礙了數(shù)字經(jīng)濟社會的深化與發(fā)展。

各國的個人信息保護法均不僅僅局限于嚴格規(guī)范保護的單層價值，比如我國《個人信息保護法》也明確了“促進個人信息合理利用”的價值理念，《美國加州消費者隱私法案》（CCPA）更是為個人信息主體“被遺忘權(quán)”的行使設(shè)置了更多障礙，想要突破這些障礙的門檻較高，體現(xiàn)了促進個人信息自由流動和便捷交易的價值取向［9］32。而最小必要原則嚴格限定了收集處理個人信息的存在空間與存續(xù)時間，限制了對個人信息較大范圍的擴展、流通與利用，這與發(fā)揮大數(shù)據(jù)容量大、數(shù)據(jù)多等作用存在較大分歧，引發(fā)了數(shù)字社會發(fā)展與個人利益保護的鮮明對立，夸大了個人信息保護與開發(fā)利用雙重價值之間的沖突，極易造成數(shù)字生態(tài)的萎縮，在大數(shù)據(jù)時代難以最大限度發(fā)揮個人信息的效用，反過來也不利于形成新的技術(shù)與機制用來保護個人信息。

（三）“直接目的”“利用限制”等規(guī)則與大數(shù)據(jù)運行規(guī)律之間的兼容性困境

最小必要原則一般伴隨著“直接相關(guān)”“目的限定”“利用限制”等手段控制?！爸苯酉嚓P(guān)”要求將個人信息收集處理限定在特定服務(wù)之中，并與個人信息收集處理基本功能服務(wù)直接關(guān)聯(lián)。“目的限制”禁止收集與服務(wù)目的無關(guān)的個人信息，目的達成后應(yīng)當立即刪除，后續(xù)利用及傳播不得違背此目的。［10］56 “利用限制”則要求個人信息收集處理要有正當?shù)睦碛膳c依據(jù)，不能對個人信息主體產(chǎn)生過多的影響，限制在最小范圍之內(nèi)，而不論這種影響是有利的還是不利的。這些規(guī)定對個人信息二次處理以及后續(xù)聚合利用等都作了較嚴格的限定，對于發(fā)揮個人信息的作用，構(gòu)建數(shù)字社會和智能社會都是極大的制約。在前大數(shù)據(jù)時代，最小必要原則的這些規(guī)則具有較強的合理性，而進入大數(shù)據(jù)時代，最小必要原則不太符合數(shù)據(jù)信息合理運用與保護的基本原理。［11］有研究指出，一些網(wǎng)絡(luò)平臺直到上市之后也沒有嚴格執(zhí)行個人信息處理的最小必要原則［12］。

“大數(shù)據(jù)的價值不再單純來源于它的基本用途，而更多來源于它的二次利用”［13］197?！爸苯酉嚓P(guān)”“目的限制”要求個人信息的收集需具備特定的目的，個人信息收集處理初始目的確定時間應(yīng)當不晚于信息開始收集的時間，信息的后續(xù)使用受限于預(yù)定之目的。后期的個人信息二次利用之目的往往難以在收集時確定，也往往超出了初始目的，大數(shù)據(jù)時代個人信息處理目的常常難以預(yù)知［14］117。大數(shù)據(jù)時代數(shù)據(jù)收集分析處理能力取得了質(zhì)的飛躍，算法和模型往往是通過不同數(shù)據(jù)集的合并和重組挖掘，初始目的會因信息的分散整合而變幻莫測，又因信息主體變換頻繁，使得初始目的更加捉摸不透。同時，立法上的“目的”規(guī)定過于原則和抽象，使得實踐中企業(yè)會盡量用模糊、寬泛的詞匯來表述其約定目的，進而擴大其收集、使用個人信息的范圍，并降低其自身的法律風(fēng)險，將目的限制條款的設(shè)置與目的限制原則等價，將目的限制原則與個人數(shù)據(jù)保護相互配套顯然并不能達到這一效果。［15］

有鑒于此，近年來對于個人信息收集處理“相關(guān)性”解釋日顯寬松，即使在歐盟內(nèi)部，“目的明確”規(guī)則不僅未得到所有成員國的一致嚴格遵守，歐盟還允許出現(xiàn)一些與約定目的相符但并不相同的額外目的。［16］而允許額外目的出現(xiàn)，突破了“直接相關(guān)”“目的限制”等規(guī)則，自然引發(fā)激烈討論，對由來已久的目的限制規(guī)則乃至最小必要原則是否還有存在的基礎(chǔ)提出了質(zhì)疑。無論結(jié)論如何，毋庸置疑的是，由于大數(shù)據(jù)時代個人信息再也不是單次收集、一次使用、孤立處理，“直接目的”“利用限制”等規(guī)則為個人信息開發(fā)利用戴上了沉重的枷鎖，極大地加重了信息處理者的注意義務(wù)與責(zé)任成本，其有效性受到數(shù)字實踐的嚴峻挑戰(zhàn)。

（四）“告知—同意”“規(guī)范控制”等配套規(guī)則在大數(shù)據(jù)時代面臨可行性詰難

“告知—同意”和最小必要原則構(gòu)成了個人信息保護的制度基石，有學(xué)者認為前者應(yīng)當受到后者的制約［17］；在我國處理個人信息侵權(quán)糾紛實踐中，將違反告知—同意規(guī)則作為認定違反必要性原則的重要考量因素。［2］75告知—同意規(guī)則要求應(yīng)告知個人信息主體處理其信息的范圍與用途，重要事項發(fā)生變更的應(yīng)當重新取得個人同意。應(yīng)該說，從理論上來看，告知—同意規(guī)則為限制信息收集處理和個人信息保護、實現(xiàn)個人信息自決權(quán)提供了極為有效的手段和工具。

然而，如果通過各網(wǎng)站平臺隱私政策瀏覽來實現(xiàn)告知—同意機制，那么個人需要花費的時間和精力成本極高，而上升至國家層面，這個成本將更為驚人，［18］告知—同意機制已經(jīng)日趨失效，［1］105在大數(shù)據(jù)時代已經(jīng)“無可挽回地走向瓦解，超出了任何規(guī)制的修復(fù)能力” ［19］。一方面，是因為個人信息泛化更多的是以大數(shù)據(jù)形態(tài)存在，可以通過大數(shù)據(jù)挖掘出個人敏感信息，而收集零散的、敏感性很低的數(shù)據(jù)的“告知—同意”顯得毫無必要，同時，如果海量數(shù)據(jù)都需要告知則使得其不具有可操作性。另一方面，無論是立法者還是信息處理者幾乎都難以進行詳細預(yù)判，并制定出完善的個人信息處理合法授權(quán)事由或者隱私保護政策，難以進行充分告知進而獲得同意授權(quán)。另外，為規(guī)避責(zé)任，數(shù)據(jù)處理者往往傾向于使用極其抽象的隱私政策語言來描述收集和使用個人信息的目的，為網(wǎng)絡(luò)用戶閱讀隱私告知事項設(shè)置實難逾越的障礙，連篇累牘的隱私政策大大模糊了告知的重點事項，個人信息主體難以充分理解其中的權(quán)利義務(wù)。

同時，傳統(tǒng)的最小必要原則往往采用一種預(yù)判式、機械式的方式來預(yù)測個人信息的收集處理，與規(guī)范主義緊密相連，以通過概念化的、定型化的方式，將必要性信息限定在可控的邊界之內(nèi)。然而，一些數(shù)據(jù)分析，特別是針對個人信息的收集處理的潛在影響是以未曾預(yù)見的方式產(chǎn)生或被發(fā)現(xiàn)的，這種預(yù)測個人信息的后續(xù)使用或者對個人信息主體產(chǎn)生何種影響，其實較難適應(yīng)千變?nèi)f化的個人信息生產(chǎn)生活實踐。雖然一些國家和地區(qū)立法不斷豐富了最小必要原則的規(guī)則手段，但相對于大數(shù)據(jù)背景下的個人信息保護始終是預(yù)判的、滯后的，嚴重遲延于大數(shù)據(jù)收集處理實踐，不僅會使個人信息界定不精準，對于個人信息的收集處理也會形成一定制度空白或缺失。

三 大數(shù)據(jù)時代最小必要原則的超越

過分強調(diào)“最小”對必要性原則的限制，已被實踐驗證較難實現(xiàn)個人信息保護與個人數(shù)據(jù)流動利用的雙重目的，故需要向一種合理必要、動態(tài)平衡的制度內(nèi)涵轉(zhuǎn)變。美國《加州消費者隱私法案》（CCPA）和《加州隱私權(quán)法》（CPRA）均明確了收集處理個人信息應(yīng)當符合合理必要且成比例的原則，《加州消費者隱私法案》（CCPA）提出“為商業(yè)或服務(wù)提供者的經(jīng)營目的或其他通知目的使用個人信息，前提是個人信息的使用應(yīng)是合理必要且成比例的，以實現(xiàn)個人信息被收集或處理，或用于與收集個人信息的情境得以兼容的另一個經(jīng)營目的”。2020年《加州隱私權(quán)法》（CPRA）提出“將個人信息用于商業(yè)運營目的，或其他已告知目的，或服務(wù)提供商或承包商之運營目的，前提是：應(yīng)在與實現(xiàn)收集處理個人信息的目的，或與其他個人信息的收集背景一致的目的相合理、必要和相稱的范圍內(nèi)使用個人信息”。提升了必要性原則的正當性與合理性。

（一）以公共利益審視必要性的合理范圍

個人信息的雙重屬性十分明顯，一方面與個人的人格尊嚴、安定生活息息相關(guān)，具有顯著的隱私特征；另一方面成為公共數(shù)字生產(chǎn)生活中必不可少的成分，更具有十分重要的公共利益和社會功能。隱私僅是涉及個人，而個人信息一經(jīng)大量集合就有可能涉及公共利益、公共安全［20］。隨著數(shù)字政府建設(shè)的不斷推進，政府進行個人信息處理的范圍和頻度不斷擴大，運用個人信息實現(xiàn)公共利益的行為更加普遍。［21］7近年來，國際組織和各國立法將個人信息保護上升到人權(quán)或基本權(quán)利高度幾乎已成為一項共識［22］3，需要從公共利益角度為科學(xué)認識與適用必要性原則提供理論基礎(chǔ)。

傳統(tǒng)“識別說”“關(guān)聯(lián)說”僅僅將個人信息與個人信息主體利益相聯(lián)系，受到嚴格的隱私合規(guī)性限制，極大阻卻了信息數(shù)據(jù)的流通與公共利益作用的發(fā)揮。實現(xiàn)公共利益與個人信息權(quán)的平衡，是一個技術(shù)難題，應(yīng)當放在特定的語境下來理解公共利益與個人信息的平衡與利益衡量，建立在公共利益與個人隱私間的邏輯張力之上，找到兩者之間的平衡點［23］，以實現(xiàn)公共利益最大化、個人信息損害最小化。

一方面，需要對必要性信息范圍作重新界定，為實現(xiàn)公共利益預(yù)留空間，歐盟GDPR對公共利益的相關(guān)規(guī)定較為分散，大致可以分為以下類型：1） 科學(xué)或歷史研究、統(tǒng)計;2） 醫(yī)療健康、公共衛(wèi)生事項; 3）保存和披露公共存檔資料;4）國際法義務(wù);5） 人道主義;6）選舉。［24］我國《信息安全技術(shù)個人信息安全規(guī)范》也列舉了個人信息處理不經(jīng)個人同意的公共利益類型，推動適當放寬個人信息收集處理行為的合規(guī)束縛，使個人信息可以較大程度地流向市場，或者使敏感性較低的個人信息較寬松地流入數(shù)據(jù)要素市場，實現(xiàn)對數(shù)字市場與數(shù)字社會的有力供給。

另一方面，為公共利益的達成，降低個人信息的敏感度或者豁免信息處理責(zé)任十分必要。比如，歐盟GDPR中擴展“額外目的”的正當事宜對最小必要原則“直接目的”的突破；臺灣地區(qū)關(guān)于個人資料保護的有關(guān)規(guī)定基于保護“公共利益”或“第三人重大利益”或“為統(tǒng)計、學(xué)術(shù)研究”之目的可限縮個人信息一定的自決權(quán)而允許合理利用個人信息，［25］是對個人信息保護法定義務(wù)及其強度進行適當降低，避免個人信息處理行為的嚴苛規(guī)定妨礙公共利益的實現(xiàn)，也適當擴大了個人信息收集處理的范圍，從而擴大個人信息在公共利用場景中的流通與運用。

（二）以比例原則實現(xiàn)各理念目標的均衡

必要性原則是個人信息處理的核心實體原則，實際上是比例原則的體現(xiàn)。［21］13適用必要原則，不僅要切實保護好個人信息的安全使用，也要促進數(shù)據(jù)信息的規(guī)模化流動，兼顧平衡個人信息權(quán)益保障與市場效益、行政目標，個人信息保護與數(shù)字化生存發(fā)展等多重關(guān)系。

一是建立健全利益調(diào)節(jié)機制。在大數(shù)據(jù)時代，必要性原則可以用來協(xié)調(diào)個人信息保護與數(shù)據(jù)流動共享之間的關(guān)系，實現(xiàn)保護自然數(shù)據(jù)權(quán)利和個人信息自由流動的兩大立法目的［26］。必要性機制的構(gòu)建，既充分發(fā)揮個人信息在數(shù)字經(jīng)濟社會中的功能效用，也切實保障個人在數(shù)字時代的基本權(quán)利，將權(quán)利保護置于數(shù)字化變革過程中予以重點考慮，將數(shù)字經(jīng)濟社會關(guān)系構(gòu)建在數(shù)字權(quán)利基礎(chǔ)之上，同時要注意兩者之間相互依存、相互促進的關(guān)系，從而妥善平衡數(shù)字化深化發(fā)展與個人信息權(quán)利保護之間的關(guān)系。

適用必要性原則要將個人信息保護放在整個數(shù)字社會建設(shè)發(fā)展之中統(tǒng)一設(shè)計，完善個人信息準入機制，將個人信息視為數(shù)字經(jīng)濟社會的基本要素，不斷豐富個人信息的數(shù)量與種類；應(yīng)當區(qū)分個人信息的不同類型，設(shè)計相應(yīng)的數(shù)據(jù)共享規(guī)則，綜合運用opt-in模式與opt-out模式來實現(xiàn)個人信息的原始流入，對于敏感個人信息應(yīng)當經(jīng)事前明示同意，一般個人信息可以僅經(jīng)過授權(quán)同意甚至默示同意，［27］但信息主體擁有選擇隨時退出或拒絕的權(quán)利；另外，要高度重視與保障信息處理者的經(jīng)濟利益回報，不能無視數(shù)據(jù)企業(yè)合法地收集、存儲和利用個人數(shù)據(jù)而付出的商業(yè)成本［28］。

二是豐富完善保護強度等級。大數(shù)據(jù)時代沒有削弱必要性原則的基礎(chǔ)價值，而應(yīng)對其應(yīng)用的復(fù)雜性提出更高的要求，在保護的種類和方法上予以變更升級，以回應(yīng)時代的發(fā)展。［29］傳統(tǒng)模式下“敏感個人信息與非敏感個人信息”二分法，低估了個人信息的復(fù)雜程度與收集處理的紛繁情境，降低了必要性原則的適用性。對必要性原則的升華需要對個人信息建立起分級分類情境化的區(qū)隔，按照核心、重要數(shù)據(jù)及一般數(shù)據(jù)，以及識別度、關(guān)聯(lián)度、敏感性等多維度對個人信息進行區(qū)別，提供各層次場景選擇，供給不同程度的保護方案。

要實現(xiàn)對個人信息的區(qū)別保護和利用，可建立一種個人信息敏感性“光譜”［30］，確定不同的保護強度，最大化促進個人信息流向公用領(lǐng)域。識別度、關(guān)聯(lián)度、敏感性越強的個人信息，越應(yīng)當限制或禁止處理，即便因為公共利益，也應(yīng)當對敏感度強的信息采用強化的保護措施，并遵循單獨“告知—同意”等規(guī)則；對于中等敏感的數(shù)據(jù)信息，可以進行一定的收集處理，采用有效的安全保障措施，且綜合場景分析有關(guān)因素，采取相應(yīng)的保護舉措；對于一些非敏感信息，則可以要求信息處理者通過隱匿化處理之后，賦予其一定的使用權(quán)限，并通過事后風(fēng)險控制的方式來降低保護強度。建立敏感度分層分級的必要性規(guī)則，可最大化利用個人信息資源，從而提升適用的可操作性，這樣必要性原則不再限定在最小范圍，而是擴充到合理必要的限度。

三是強化保護目的與保護手段的平衡。合適的手段既能充分強化個人信息保護，也能積極促進個人信息數(shù)據(jù)流通。在當前個人信息處理者負擔(dān)過重、嚴格適用最小必要原則動輒違法違規(guī)的情勢下，適當松綁信息處理者的合規(guī)義務(wù)成為一種現(xiàn)實選擇。大數(shù)據(jù)形成對個人信息處理的常態(tài)化，個人幾乎沒有足夠的時間和耐心來閱讀告知內(nèi)容，點擊“我同意”已成為形式化流程。相關(guān)部門需要建立統(tǒng)籌告知同意與重點告知同意相結(jié)合的告知機制，一般性個人信息的采集處理采用籠統(tǒng)告知，告知的內(nèi)容、方式、時間、形式納入行政統(tǒng)籌指導(dǎo)或者由國家建立統(tǒng)一標準；敏感性較強的應(yīng)當重點告知甚至單獨告知，在顯要位置或重要環(huán)節(jié)予以明顯提示，幫助個人信息主體與處理者從繁重的隱私政策閱讀中解脫出來；同時，由于個人信息處理的連續(xù)性、反復(fù)性與復(fù)雜性，應(yīng)當動態(tài)地、聯(lián)系地、全面地著眼個人信息處理的范圍及其保護問題，將必要原則適用從整齊劃一的同意向基于信息分類、風(fēng)險評估的分層同意轉(zhuǎn)變，從一次性同意向持續(xù)的信息披露與動態(tài)同意轉(zhuǎn)變[14]130，通過不同層級的保護手段來實現(xiàn)個人信息保護或共享利用的目的。

（三）考量具體情境更新必要原則的實施方法

學(xué)者尼森鮑姆提出的“情境脈絡(luò)完整性”理論［31］重視個人信息收集處理過程，通過主客觀綜合因素來考察界定個人信息處理行為，兼顧個人信息利用的情景、目的等變量因素［32］，將個人信息保護的正當性與合理性置于具體的環(huán)境中進行審視， 避免脫離具體的情景而只做抽象式的預(yù)判。

一是轉(zhuǎn)變個人信息控制機制。個人信息的雙重屬性對應(yīng)了個人本位與社會本位兩種不同的控制模式。由于個人信息的公共屬性與市場價值特征不斷釋放，個人信息的公共利益保障機制建設(shè)提上了議事日程。有學(xué)者就提倡個人信息保護的基本理論應(yīng)從個人本位到社會本位的轉(zhuǎn)變或從個人控制到社會控制的轉(zhuǎn)變。［33］雖然個人信息承載公共利益，但并不意味著個人信息控制必然直接跨越到社會本位的基本面向，畢竟個人信息承載了個人的人格尊嚴與人身自由，而這一利益仍是不可隨意轉(zhuǎn)讓或基于社會公益而隨意剝奪的，仍然需由信息主體個人以明示或默示的方式同意其他主體采集使用，［34］或者由信息共同體共同決定是否讓渡個人信息利益。

個人信息承載了個人的人格自由與尊嚴之基礎(chǔ)性地位，在一些重要且敏感的個人信息處理中，要優(yōu)先考慮個人的主觀感受與主體的自主決定；同時，在保障個人信息安全的基礎(chǔ)上，要盡可能實現(xiàn)其公共利益與社會價值，促進數(shù)字社會的深化發(fā)展，因而有必要從個人信息具有的個人屬性、公共性雙重屬性出發(fā)，構(gòu)建個人—社會相協(xié)調(diào)的雙重控制機制。實行雙重控制機制的著重點是要基于場景理念對個人信息處理行為進行具象化分析，確定什么樣的個人信息應(yīng)當進入社會流通，什么樣的個人信息應(yīng)當由個人最大化控制和保留，什么樣的個人信息收集后可以匿名化，并脫敏處理后進入流通使用。相關(guān)部門應(yīng)立足不同情境，建立明確的數(shù)據(jù)保密等級與公開等級，在保護國家秘密、個人隱私和商業(yè)秘密的基礎(chǔ)上，積極推動各類數(shù)據(jù)資源的開放共享，這是個人信息雙重控制機制的應(yīng)有之義。

二是拓展合理使用范圍。最小必要原則使得流通數(shù)據(jù)信息過于狹窄，應(yīng)當在個人信息保護與必要性原則各項制度之間形成一種合理關(guān)聯(lián)、適度平衡的關(guān)系，基于公共目的擴大個人信息處理的合理范圍，在實踐中具有更廣泛的共識基礎(chǔ)。我國司法實踐也在不斷地擴大商業(yè)合理使用的范圍，個人信息的合理使用并不必然排除出于商業(yè)目的之使用

“就信息使用的目的而言，除滿足或促進用戶在抖音 App 中建立社交關(guān)系外，還具有一定的商業(yè)目的，但個人信息的合理使用并不必然排除出于商業(yè)目的的使用?！眳⒁姳本┗ヂ?lián)網(wǎng)法院（2019）京0491民初16142號民事判決書。，促使消費者在各關(guān)聯(lián)企業(yè)開發(fā)的各類應(yīng)用程序中盡可能多互動的目的具有商業(yè)上的合理性

“騰訊公司對成功開發(fā)及運營微信所積累的用戶關(guān)系數(shù)據(jù)，可以在其關(guān)聯(lián)產(chǎn)品中予以合理利用，……微信讀書 APP 若要開展微信好友間的閱讀社交，收集原告好友列表并不違反必要原則?！眳⒁姳本┗ヂ?lián)網(wǎng)法院（2019）京0491民初6694號民事判決書。

，不斷重視信息處理者的商業(yè)利益，更方便延伸市場業(yè)態(tài)與產(chǎn)業(yè)創(chuàng)新。

擴大合理使用的范圍，要著重考慮用戶的合理期待與接受度，使個人信息的處理產(chǎn)生一種較大的預(yù)期性，而不是完全脫離個人信息主體授權(quán)的范圍。信息主體對自己的信息有更強的保護責(zé)任與感受，由其作出主觀決定以適應(yīng)客觀環(huán)境的不斷變化，而非機械地追求與原始目的一致，以提升必要原則的可操作性。擴大合理使用范圍，要在具體場景中審視直接相關(guān)的規(guī)定，對于高敏感的個人隱私數(shù)據(jù)應(yīng)當遵循法律法規(guī)設(shè)定的強制性規(guī)則，對必要的信息收集處理作一些底線性的限制，加以嚴格保護；對于中等敏感的個人信息，可以兼顧保護規(guī)則的執(zhí)行與個人信息主體的合理期待；對于一般信息處理則更多參照信息主體的自主選擇與決定，賦予較大的合理期待利益，讓個人信息主體有較大權(quán)利自主決定處理使用的范圍與強度。

三是強化風(fēng)險評估。風(fēng)險控制對個人信息權(quán)保護的關(guān)注指標從“數(shù)量”轉(zhuǎn)變?yōu)椤帮L(fēng)險”，以“風(fēng)險最小化”取代“信息最小化”作為機構(gòu)處理個人信息所應(yīng)遵循的準則［3］109，著重考慮防范數(shù)據(jù)處理的風(fēng)險最小化。美國、歐盟立法不約而同地將隱私風(fēng)險評估作為個人信息保護的重要機制，GDPR為數(shù)據(jù)處理者設(shè)置了進行“隱私影響評估”（ DPIA） 等義務(wù)［35］，突破了將信息的使用限定于最小必要范圍的約束，能夠讓個人信息的價值在社會生活中產(chǎn)生最大化效應(yīng)。［36］

在大數(shù)據(jù)時代，個人信息收集處理是否具備合理性的評估是十分復(fù)雜的，要避免脫離具體場景對個人信息收集處理行為等作出抽象概括、預(yù)判評估。對隱私風(fēng)險的評估不僅要從信息本身、范圍及其處理來評估風(fēng)險，還要綜合評估具體背景、參與者、信息類型、流動原則等各類要素，從信息處理者降低風(fēng)險措施、社會心理制度、信息主體接受程度、機制保障、工作人員培訓(xùn)等多層面去綜合界定，提高評估個人信息收集處理必要性的精準性；應(yīng)當依據(jù)風(fēng)險等級評估采取不同的收集立場與處理措施，逐步變事前的靜態(tài)規(guī)制為信息處理中的動態(tài)風(fēng)險控制，加強風(fēng)險動態(tài)跟進評估，將風(fēng)險管理責(zé)任貫徹個人信息收集處理行為的始終，不斷提升個人信息保護的實效。

四 結(jié) 論

數(shù)據(jù)是數(shù)字經(jīng)濟時代最為重要的基礎(chǔ)性要素，大數(shù)據(jù)潛力無限、機遇無窮，是我們加快大數(shù)據(jù)生產(chǎn)、引領(lǐng)大數(shù)據(jù)產(chǎn)業(yè)發(fā)展的寶貴財富。我國人口多，個人信息體量大，尤其需要加強和改進個人信息保護。在采取切實可行的保護措施的基礎(chǔ)上，要激發(fā)市場主體積極開發(fā)利用數(shù)字信息的能動性，促進信息技術(shù)與產(chǎn)業(yè)生態(tài)的發(fā)展和升級。

隨著信息技術(shù)的更新迭代，傳統(tǒng)個人信息保護的有關(guān)機制不可避免地面臨適應(yīng)性問題，推動個人信息保護可以嘗試改變以往的事前預(yù)判式個人信息保護機制，除涉及一些高度敏感的個人信息外，可采取一定措施推動個人信息進入數(shù)據(jù)要素市場，適當擴大個人信息收集使用的范圍和規(guī)模，以免使大數(shù)據(jù)池面窄量小、利用受限，導(dǎo)致數(shù)字化生產(chǎn)發(fā)展面臨基礎(chǔ)原料與動力缺失的困境，最大范圍地發(fā)揮個人信息的效用。與此同時，個人信息保護應(yīng)置于個人信息收集使用的全過程，要在發(fā)展中解決面臨的安全威脅，通過尊重個人信息主體合理期待和強化風(fēng)險評估，從動態(tài)的場景中更好地把握個人信息保護的時、度、效，實現(xiàn)個人信息保護與數(shù)字社會發(fā)展的動態(tài)平衡，有效回應(yīng)網(wǎng)絡(luò)強國、數(shù)字中國建設(shè)的時代要求和現(xiàn)實需要。

［參 考 文 獻］

［1］ 范為.大數(shù)據(jù)時代個人信息保護的路徑重構(gòu)[J].環(huán)球法律評論，2016（5）：92-115

[2] 武騰.最小必要原則在平臺處理個人信息實踐中的適用[J].法學(xué)研究，2021（6）.：71-89

[3] 孫清白，王建文.大數(shù)據(jù)時代個人信息“公共性”的法律邏輯與法律規(guī)制[J].行政法學(xué)研究，2018（3）：53-61.

[4] Tene O，Polonetsky J．Big data for all： Privacy and user control in the age of analytics[J]. Nw. J. Tech. & Intell. Prop.， 2013（5）：237-273.

[5] 齊愛民，張哲.識別與再識別： 個人信息的概念界定與立法選擇[J]. 重慶大學(xué)學(xué)報（社會科學(xué)版） ，2018（2）： 119-131.

[6] 高秦偉.個人信息概念之反思和重塑[J].人大法律評論，2019（1）：209-235.

[7] 何波.試論個人信息概念之界定[J].信息通信技術(shù)與政策，2018（6）：38-42.

［8］ Paul O．Broken promises of privacy： Responding to the surprising failure of anonymization[J]，UCLA L.Rev，2009（6）： 1701—1777.

［9］ 武長海.國際數(shù)據(jù)法學(xué)[M]．北京：法律出版社，2021.

謝永志.個人數(shù)據(jù)保護法立法研究[M].北京：人民法院出版社，2013.

丁曉東.論個人信息法律保護的思想淵源與基本原理——基于“公平信息實踐”的分析[J]. 現(xiàn)代法學(xué)，2019（3）：96-110.

[12]Timothy L．Yim，opening the door to trust[J]. Landslide， 2014（7）： 28-59.

[13]舍恩伯格，庫克耶.大數(shù)據(jù)時代： 生活、工作與思維的大變革[M].盛楊燕，周濤，譯．杭州：浙江人民出版社，2013.

[14]田野.大數(shù)據(jù)時代知情同意原則的困境與出路——以生物資料庫的個人信息保護為例[J].法制與社會發(fā)展，2018（6）：111-136．

[15]Koops B J. The trouble with European data protection law[J]. International data privacy law， 2014（4）： 250-261.

[16]梁澤宇.個人信息保護中目的限制原則的解釋與適用[J]. 比較法研究，2018（5）：16-30.

[17]張新寶.個人信息收集： 告知同意原則適用的限制[J]. 比較法研究，2019 （6）：1-20.

[18]McDonald? A， Cranor? L. The cost of reading privacy policies [J]. A Journal of Law and Policy for the Information Society，2008（3）：543-568.

[19]Rubinstein I S. Big data： The end of privacy or a new beginning？[J].Int. Data Priv. Law， 2013（2）：74-87.

[20]王利明.論個人信息權(quán)的法律保護——以個人信息權(quán)與隱私權(quán)的界分為中心[J]. 現(xiàn)代法學(xué)，2013（4）：62-72.

[21]劉權(quán).論個人信息處理的合法、正當、必要原則[J].法學(xué)家，2021（5）：1-15.

[22]高富平.個人數(shù)據(jù)保護和利用國際規(guī)則：源流與趨勢[M].北京：法律出版社，2016.

[23]蔡星月.個人隱私信息公開豁免的雙重界限[J]. 行政法學(xué)研究，2019（3）：134-144.

[24]商希雪.超越私權(quán)屬性的個人信息共享——基于《歐盟一般數(shù)據(jù)保護條例》正當利益條款的分析[J]. 法商研究，2020（2）：57-70.

[25]翟相娟.個人信息保護立法中“同意規(guī)則”之檢視[J].科技與法律，2019（3）：58-65.

[26]王懷勇，常宇豪.個人信息保護的理念嬗變與制度變革[J].法制與社會發(fā)展，2020（6）：140-159.

[27]王利明.數(shù)據(jù)共享與個人信息保護[J]. 現(xiàn)代法學(xué)，2019 （1）：45-57.

[28]蔡星月.個人隱私信息公開豁免的雙重界限[J].行政法學(xué)研究，2019（3）：134-144.

[29]胡文濤.我國個人敏感信息界定之構(gòu)想[J].中國法學(xué)，2018（5）：235-254．

[30]張新寶.從隱私到個人信息：利益再衡量的理論與制度安排[J].中國法學(xué)，2015（3）：38-59.

[31]Nissenbaum H. Privacy as contextual integrity[J]. Washington Law Review， 2004（1）： 119-157.

[32]張勇.敏感個人信息的公私法一體化保護[J].東方法學(xué)，2022（1）：66-78.

[33]高富平.個人信息保護： 從個人控制到社會控制[J].法學(xué)研究，2018 （3）：84-101.

[34]唐瑞芳.論公私合作治理模式下個人信息保護機制建構(gòu)——以規(guī)范主義向功能主義轉(zhuǎn)向為視角[J].湖湘論壇，2022（1）：99-110.

[35]王融.《歐盟數(shù)據(jù)保護通用條例》詳解[J].大數(shù)據(jù)，2016（4）：93-101.

[36]萬方.隱私政策中的告知同意原則及其異化[J]. 法律科學(xué)，2019（2）：61-67.