《民法典》“不得過度處理”個人信息規(guī)定實現(xiàn)路徑探析*

李 想

(中南財經(jīng)政法大學法學院，湖北 武漢 430073;甘肅政法大學，甘肅 蘭州 730070)

一、問題的提出

我國于2021年1月1日實施的《中華人民共和國民法典》(以下簡稱《民法典》)通過六條法律規(guī)定，進一步明確了保護個人信息的原則、范圍、方式(1)程嘯.論侵害個人信息的民事責任[J].暨南學報(哲學社會科學版),2020,42(2):39-47.。其中第1035條的規(guī)定，在2017年實施的《中華人民共和國網(wǎng)絡安全法》(以下簡稱《網(wǎng)絡安全法》)的“合法、正當、必要”三個正面原則的基礎上，增加了“不得過度處理”的反面要求，進一步限制信息處理者的權(quán)利，強化其義務，保障信息主體信息權(quán)益的實現(xiàn)。因為，“過度處理”個人信息，會造成個人信息的濫用，影響個人信息權(quán)益的實現(xiàn)，威脅個人信息安全(2)洪延青.過度收集個人信息如何破解及國家標準的路徑選擇[J].中國信息安全,2019,(1):90-93.，危害社會公共利益，甚至影響我國數(shù)據(jù)戰(zhàn)略的發(fā)展和實現(xiàn)(3)程嘯.論我國民法典中的個人信息合理使用制度[J].中外法學,2020,32(4):1001-1017.。所以，《民法典》通過明確個人信息處理的原則，禁止信息的過度處理，保護個人信息安全，是尊重我國憲法保障的個人自由、尊嚴、幸福權(quán)利，加強人格利益關懷的體現(xiàn)(4)張新寶.個人信息收集：告知同意原則適用的限制[J].比較法研究,2019,(6):1-20.，亦是建構(gòu)我國個人信息法律保護體系的重大進步。

雖然當前個人信息的法律保護已非新命題，但縱觀世界各國及各地區(qū)個人信息保護的法律規(guī)范，除2018年實施的被稱為“史上最嚴格個人信息保護法律規(guī)范”的歐盟《一般數(shù)據(jù)保護條例》(General Data Protection Regulation，以下簡稱GDPR)的“數(shù)據(jù)最小化”(Data Minimisation)原則(5)GDPR Art. 5 Principles relating to processing of personal data：“……1.Personal data shall be：……(c)adequate, relevant and limited to what is necessary in relation to the purposes for which they are processed (‘data minimisation’)”.https://gdpr-info.eu/art-5-gdpr/，最后訪問時間：2020年6月18日。外，再未有與《民法典》“不得過度處理”個人信息這一規(guī)定相近之內(nèi)容，說明此規(guī)定不僅有創(chuàng)新性且頗具研究價值。然而，學界針對《民法典》“不得過度處理”個人信息這一新規(guī)的研究，仍散見于個人信息收集、使用的方式、原則(6)高志明.個人信息流轉(zhuǎn)環(huán)節(jié)的法律規(guī)制[J].上海政法學院學報(法治論叢),2015,(5):9-30.該成果主要通過研究個人信息收集的目的、方式、范圍等，探討個人信息處理的法律規(guī)制問題；張新寶.個人信息收集：告知同意原則適用的限制[J].比較法研究,2019,(6):1-20.該成果主要針對個人信息收集過程中的告知同意原則做出分析和闡釋，未涉及過度處理個人信息的研究。，個人信息與隱私權(quán)保護(7)張新寶.從隱私到個人信息:利益再衡量的理論與制度安排[J].中國法學,2015,(3):38-59；程嘯. 我國民法典對隱私權(quán)和個人信息的保護[N]. 人民法院報,2020-07-30(005).，個人信息的過度收集(8)王荊陽. 嚴管APP過度收集個人信息[N]. 經(jīng)濟日報,2020-07-16(003)； 洪延青.過度收集個人信息如何破解及國家標準的路徑選擇[J].中國信息安全,2019,(1):90-93.上述成果，均聚焦于破解個人信息過度收集的困局，但針對其他處理個人信息的行為缺乏研究。，個人信息保護立法(9)陳勝.歐盟《通用數(shù)據(jù)保護條例》對我國個人信息保護立法的借鑒及影響[Z].法眼看南海，2020,10.等方面，未見針對該規(guī)定的解析和專題探究。

鑒于此，本文從解析《民法典》“不得過度處理”個人信息的理據(jù)與意涵入手，探討《民法典》規(guī)定“不得過度處理”個人信息的重要性和必要性；挖掘“不得過度處理”個人信息的規(guī)定，因缺乏可操作性所帶來的實現(xiàn)困局；尋找“不得過度處理”個人信息的實現(xiàn)路徑。

二、“不得過度處理”個人信息規(guī)定的理據(jù)與意涵

我國2017年實施的《中華人民共和國民法總則》并未對處理個人信息的原則作出規(guī)定，而同年頒布實施的《網(wǎng)絡安全法》第41條(10)《中華人民共和國網(wǎng)絡安全法》第41條規(guī)定：“網(wǎng)絡運營者收集、使用個人信息，應當遵循合法、正當、必要的原則……。”僅規(guī)定了處理個人信息應當遵循合法、正當、必要原則。相比之下，《民法典》第1035條規(guī)定信息處理者處理個人信息應遵循合法、正當、必要原則，不得過度處理是比較全面的(11)《中華人民共和國民法典》第1035條規(guī)定：“處理個人信息的，應當遵循合法、正當、必要原則，不得過度處理……。”。“不得”二字，禁止了“過度處理”個人信息的行為，是我國法律首次提出的處理個人信息的反面要求。“不得過度處理”個人信息，是對合法、正當、必要原則的補充和強化，亦是構(gòu)建我國個人信息法律保護體系過程中的顯著進步。

那么，《民法典》規(guī)定“不得過度處理”的理據(jù)為何？其意涵又應如何理清？明確這兩個問題，有助于理解《民法典》增加該條規(guī)定的立法目的(12)楊立新：《中華人民共和國民法典》條文精釋與實案全析[M].北京：中國人民大學出版社，2020.1682.“要求信息處理者不得非法、非正當、非必要、超出限度處理個人信息”。及必要性和重要性，對研究《民法典》此項規(guī)定的創(chuàng)新性、科學性至關重要。

(一)《民法典》規(guī)定“不得過度處理”個人信息的理據(jù)

解析《民法典》第1035條規(guī)定的不得過度處理個人信息的理據(jù)，可以從兩方面入手：

一是從《民法典》增加“不得”這一禁止性規(guī)定的目的入手。《民法典》這樣規(guī)定的主要目的是強化合法、正當、必要原則的力度，彌補其不足。理解此立法目的，可通過詳析《網(wǎng)絡安全法》第41條(13)《中華人民共和國網(wǎng)絡安全法》第41條規(guī)定：“網(wǎng)絡運營者收集、使用個人信息，應當遵循合法、正當、必要的原則，公開收集、使用規(guī)則，明示收集、使用信息的目的、方式和范圍，并經(jīng)被收集者同意。網(wǎng)絡運營者不得收集與其提供的服務無關的個人信息，不得違反法律、行政法規(guī)的規(guī)定和雙方的約定收集、使用個人信息，并應當依照法律、行政法規(guī)的規(guī)定和與用戶的約定，處理其保存的個人信息。”規(guī)定和《民法典》第1035條(14)《中華人民共和國民法典》第1035條規(guī)定：“處理個人信息的，應當遵循合法、正當、必要原則，不得過度處理，并符合下列條件：(一)征得該自然人或者其監(jiān)護人同意，但是法律、行政法規(guī)另有規(guī)定的除外；(二)公開處理信息的規(guī)則；(三)明示處理信息的目的、方式和范圍；(四)不違反法律、行政法規(guī)的規(guī)定和雙方的約定。個人信息的處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開等。”規(guī)定間的區(qū)別和聯(lián)系實現(xiàn)。

如下表1所示：

表1 《網(wǎng)絡安全法》第41條與《民法典》第1035條的規(guī)定

從表1可以看出，《網(wǎng)絡安全法》第41條與《民法典》第1035條規(guī)定的內(nèi)容基本一致：規(guī)定信息處理的原則均為合法、正當、必要，涉及的信息主體均為個人，并具有“公開信息處理規(guī)則，明示信息處理的目的、方式、范圍，征得信息主體的同意，不違反法律法規(guī)的規(guī)定和雙方約定”四項相同的條件細則。而兩者的區(qū)別在于以下四點：第一，《網(wǎng)絡安全法》規(guī)定處理個人信息的義務主體僅局限網(wǎng)絡運營者，而《民法典》將其擴大為所有信息處理者。第二，《民法典》第1035條將《網(wǎng)絡安全法》第41條“與提供服務無關”的闡述修改為“不得過度處理”，拓展了禁止處理信息的范圍。第三，《網(wǎng)絡安全法》第41條將“網(wǎng)絡運營者不得收集與其提供服務無關的個人信息”的規(guī)定并列于其他條件細則同等地位，而《民法典》第1035條規(guī)定則將不得過度處理的要求置于合法、正當、必要原則之后，作為三原則的限定條件，而非歸屬于條件細則，足見其地位和重要性高于其他條件細則。第四，《網(wǎng)絡安全法》僅規(guī)定了信息處理的方式為收集、使用兩項，而《民法典》第1035條把處理個人信息的方式擴大為七項(15)《中華人民共和國民法典》第1035條規(guī)定：“……個人信息的處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開等。”與2019年12月公布的《中華人民共和國民法典(草案)》相比，該條將信息收集行為列為處理的方式之一，未再作單獨規(guī)定，亦將信息處理的方式和范圍擴大到七個方面。，更為全面和細致。從以上四點不難看出，《民法典》不得過度處理的規(guī)定，比其他四項條件細則地位更重要、范圍更廣、強度更大，是合法、正當、必要原則的重要補充。

二是隨著我國網(wǎng)絡信息技術(shù)的快速發(fā)展，相關法律已不適應目前對個人信息法律保護的需要。如《網(wǎng)絡安全法》僅規(guī)定信息處理的合法、正當、必要原則，已無法有效控制信息處理者過度處理個人信息的行為，產(chǎn)生了諸多不符合信息處理之目的、方式、范圍等過度處理個人信息獲利的行為，產(chǎn)生了較大的社會危害(此類現(xiàn)象將在后續(xù)章節(jié)詳述)。因此《民法典》增加“不得過度處理”個人信息的禁止性規(guī)定，加強對信息處理者的義務要求，除保障信息處理的合法、正當、必要性外，亦可限制信息處理的目的、方式和范圍，屬維護個人信息權(quán)益的創(chuàng)新性規(guī)定。

(二)《民法典》“不得過度處理”個人信息規(guī)定的意涵

依前述，《民法典》“不得過度處理”的規(guī)定是對合法、正當、必要原則的重要補充，禁止信息處理者“過度處理”個人信息的行為。那么，何為過度？“過度”一詞，源自《左傳·襄公十四年》：“有君而為之貳，使師保之，勿使過度。”(16)漢典中關于“過度”的解釋即“超越適當?shù)南薅取！都t樓夢.第六七回》：況且姑娘這病，原是素日憂慮過度，傷了氣血。”“過度”，指超過限度。見《左傳·襄公十四年》：“有君而為之貳，使師保之，勿使過度。”https://www.zdic.net/hans/%E8%BF%87%E5%BA%A6，最后訪問時間：2020年10月20日。其在《新華詞典》(第12版)的解釋中是指“數(shù)量或程度超出限度或程度”。此前，在我國法律規(guī)范中使用“過度”一詞的法規(guī)有《國務院辦公廳關于治理商品過度包裝工作的通知》(以下簡稱《治理過度包裝的通知》)(17)《國務院辦公廳關于治理商品過度包裝工作的通知》第2條規(guī)定：“抓緊制定完善標準、法規(guī)和政策，禁止生產(chǎn)、銷售過度包裝商品……從包裝層數(shù)、包裝用材、包裝有效容積、包裝成本比重、包裝物的回收利用等方面，對商品包裝進行規(guī)范，引導企業(yè)在包裝設計和生產(chǎn)環(huán)節(jié)中減少資源消耗，降低廢棄物產(chǎn)生，方便包裝物回收再利用。”、國家食品藥品監(jiān)管總局公告2016年第153號：《關于發(fā)布過度重復藥品提示信息的公告》，二者規(guī)定的“過度”含義亦主要指“超出應有限度或程度”。如：《治理過度包裝的通知》所指的“過度包裝”主要是通過對商品進行層次過多、空隙過大、材料失當、難以回收、成本過高、搭售貴重物品等方式的包裝，達到超出原有價值銷售商品的目的(18)張越.解讀治理商品過度包裝工作的通知[J].包裝世界,2009,(2):9.。這說明超出商品銷售應有之目的、方式、范圍的包裝行為，即屬于“過度包裝”。據(jù)此可見，《民法典》第1035條所限制的“過度處理”行為亦應指超出處理信息之目的、方式、范圍的信息處理行為。“不得過度處理”應指禁止超出應有限度或程度處理個人信息。而不超出“程度”或“限度”，即合理適度的界限何在？因《民法典》未如《治理過度包裝的通知》一樣作出詳細規(guī)定或說明，故探析不得過度處理的意涵，應從合法、正當、必要原則的要求和合理適度的范圍展開。

合法、正當、必要是世界各國和組織相關法律通常采用的處理個人信息的原則。此三原則始見于美國1970年頒布的《公平信用報告法》(Fair Credit Reporting Act of 1970)。1980年國際經(jīng)合組織(Organization for Economic Co-operation and Development，以下簡稱OECD)發(fā)布的《個人數(shù)據(jù)保護和專業(yè)流通操作指南》中規(guī)定了處理個人信息應遵循的八項原則，包括：限制收集、資料完整正確、特定目的(包括收集和使用)、限制利用、安全保護、公開、個人參與和責任歸屬。德國、英國、日本等國的個人信息保護法律規(guī)范，均有要求收集、使用個人信息應保證行為合法、明示目的、限制范圍等規(guī)定。

總而言之，上述各國、各組織的法律所規(guī)定的個人信息處理原則均包括了合法、正當、必要原則，要求信息收集、使用者應遵照法律規(guī)定，明示信息收集、使用的目的，限于業(yè)務需要和法律規(guī)定范圍內(nèi)，依照與信息主體間的約定收集、使用個人信息，我國《民法典》第1035條，對此亦作出了相同的規(guī)定。所以，不得過度處理個人信息的規(guī)定作為合法、正當、必要原則的補充，應理解為：信息處理者在符合法律、行政法規(guī)所規(guī)定的范圍內(nèi)，依照雙方約定，通過公開信息處理的規(guī)則、明示信息處理的目的、規(guī)范處理個人信息的行為，保障信息處理的合法、正當、必要性，限制處理信息的目的、方式、范圍，合理適度處理個人信息。

而信息處理的合理適度范圍在《民法典》中主要體現(xiàn)在：總則編中不得違反公序良俗、誠實信用、不濫用權(quán)利的原則及人格權(quán)編中第999條關于人格權(quán)的合理使用等規(guī)定中。具體到個人信息合理使用的規(guī)定，則體現(xiàn)在第1035條之處理個人信息的免責事由中。這一“合理”處理個人信息的范圍，主要表現(xiàn)在對社會公共利益的維護、保護個人信息權(quán)益主體的合法權(quán)益、正確處理已公開的個人信息方面(19)程嘯.論我國民法典中的個人信息合理使用制度[J].中外法學,2020,32(4):1001-1017.。而此“適度”的內(nèi)涵是要求信息處理者在符合合法、正當、必要原則的前提下，不超出業(yè)務需求和目的、不違背信息主體意愿、不超出法律或法規(guī)限制的范圍處理個人信息。其中，不超出業(yè)務需求和目的包含了對信息處理者處理信息目的、行為和范圍的限制，即處理信息的目的限于其業(yè)務需要，處理信息的行為限于信息流轉(zhuǎn)過程中的所有環(huán)節(jié)，范圍則應限定為符合前述《民法典》規(guī)定的基本原則，及前述合理的要求下。不違背信息主體意愿則體現(xiàn)在《民法典》第1035條和第1036條正反兩方面所規(guī)定的個人信息主體的授權(quán)上，即信息主體有在不違反法律的前提下授權(quán)他人處理本人信息的自決權(quán)利(20)程嘯.論我國民法典中的個人信息合理使用制度[J].中外法學,2020,32(4):1004.。而不超過法律、法規(guī)限制的范圍，則體現(xiàn)在信息處理者應公開披露信息處理的規(guī)則和明示信息處理的范圍上。

由此可見，不得過度處理的規(guī)定主要是為了加強合法、正當、必要的程度，以及通過禁止“過度處理”的行為，實現(xiàn)個人信息權(quán)益的保護，這亦充分體現(xiàn)了我國《民法典》通過增加個人信息權(quán)益保護的規(guī)定加強人格利益關懷(21)張新寶.從隱私到個人信息:利益再衡量的理論與制度安排[J].中國法學,2015,(3):38-59.，維護國家信息流轉(zhuǎn)安全和信息系統(tǒng)健康發(fā)展(22)程嘯.論《民法典》對人格權(quán)中經(jīng)濟利益的保護[J].新疆師范大學學報(哲學社會科學版),2020,41(6):109-120.的重要意義。

三、實現(xiàn)“不得過度處理”個人信息規(guī)定存在的障礙

研究“不得過度處理”個人信息規(guī)定實現(xiàn)過程中的障礙，需從法律本身的缺陷和現(xiàn)實挑戰(zhàn)兩方面入手。然而，縱觀前述各國和各組織的個人信息保護的法律規(guī)定，目前均未見與“不得過度處理”相同之描述，即《民法典》第1035條規(guī)定出臺前，尚未有此類規(guī)則，明確強調(diào)禁止過度處理個人信息和要求信息處理的合理適度。那么如何預見不得過度處理個人信息規(guī)定實現(xiàn)過程中可能存在的問題呢？我們不妨借鑒與不得過度處理規(guī)定相似之歐盟GDPR的“數(shù)據(jù)最小化(Data Minimisation)”原則的規(guī)定，和其實現(xiàn)過程中面臨的主要問題，結(jié)合我國個人信息權(quán)益法律保護的現(xiàn)狀，來透視不得過度處理個人信息規(guī)定實現(xiàn)過程中可能遇到的障礙。

(一)歐盟GDPR之“數(shù)據(jù)最小化”原則

2016年歐盟頒布的GDPR，已于2018年5月25日正式實施。與前述各國、各組織的規(guī)定和歐盟1995年的《數(shù)據(jù)保護指令》(EDPD)的規(guī)定相比，GDPR強化了限制處理個人信息的原則及其內(nèi)容，主要包括：保障數(shù)據(jù)處理的合法、合理和透明性，明確數(shù)據(jù)處理的目的，及數(shù)據(jù)處理的最小化原則等。從其規(guī)定的內(nèi)容來看，歐盟GDPR“數(shù)據(jù)最小化”原則，與我國《民法典》規(guī)定的“不得過度處理”個人信息的規(guī)定十分相似，“數(shù)據(jù)最小化”的要求有：不得超限處理個人信息和要求過度授權(quán)，并主要通過限制信息處理的目的、方式、范圍，保存信息的期限，強調(diào)數(shù)據(jù)處理的最小范圍，維護數(shù)據(jù)主體的自由選擇權(quán)，保障個人信息權(quán)益的實現(xiàn)。

一方面，GDPR第2條規(guī)定通過對數(shù)據(jù)處理的全環(huán)節(jié)規(guī)制，形成監(jiān)管閉環(huán)。其規(guī)定的個人信息處理主要指自動化處理、半自動化處理和非自動化處理(23)GDPR第2條規(guī)定：“本條例適用于全自動個人數(shù)據(jù)處理、半自動個人數(shù)據(jù)處理，以及形成或旨在形成用戶畫像的非自動個人數(shù)據(jù)處理……。”。一則，為了限制信息處理的范圍。在自動化處理、半自動化處理中，數(shù)據(jù)最小化需要遵循的原則是保證數(shù)據(jù)輸入和輸出均滿足執(zhí)行數(shù)據(jù)處理目的所需的最小限度。并運用合理手段保證對信息處理的測試、檢查、驗證，使數(shù)據(jù)處于最小限度(24)Antignac T, Sands D, Schneider G. Data Minimisation: a Language—Based Approach (Long Version)[J].arXiv:1611.05642v1 [cs.CR] 17 Nov 2016.。二則，為了限制信息處理的方式。與前述OECD、英國、德國、日本等國家和國際組織的法律規(guī)定將信息處理的方式限定為收集、使用不同，GDPR對信息處理的環(huán)節(jié)規(guī)定更詳細。其第4條定義(Definitions)描述的“處理(Processing)”包括了信息收集、存儲、調(diào)整、更改、分析、使用、加工、傳輸、公開、刪除等方式(25)GDPR第4條規(guī)定：“……(2)‘處理’是指任何一項或多項針對單一個人數(shù)據(jù)或系列個人數(shù)據(jù)所進行的操作行為，不論該操作行為是否采取收集、記錄、組織、構(gòu)造、存儲、調(diào)整、更改、檢索、咨詢、使用、通過傳輸而公開、散布或其他方式對他人公開、排列或組合、限制、刪除或銷毀而公開等自動化方式。”。

另一方面，GDPR規(guī)定強調(diào)數(shù)據(jù)主體的有效知情和真實授權(quán)，保障信息主體的撤回權(quán)。個人對自身信息有有效知情和授權(quán)的權(quán)利，早在歐盟1995年的《數(shù)據(jù)保護指令》(EDPD)中即有規(guī)定。EDPD確認了當事人拒絕的權(quán)利，即：信息主體有權(quán)反對資料控制者處理其個人資料，資料控制者在處理資料時，亦不能再涉及這些已被拒絕處理的資料(26)孔令杰.個人資料隱私的法律保護(電子書)[M].武漢：武漢大學出版社,2009.760.。與該指令相比，GDPR“數(shù)據(jù)最小化”原則更加明確指向尊重數(shù)據(jù)主體的個人意愿，包括：收集數(shù)據(jù)必須得到數(shù)據(jù)主體的明確(書面)授權(quán)，不能以格式條款限制數(shù)據(jù)主體的權(quán)利等(27)何治樂,黃道麗. 歐盟《一般數(shù)據(jù)保護條例》的出臺背景及影響[J]， 信息安全與通信保密,2014(10):72-75.。保障個人對自身信息享有絕對控制權(quán)，任何組織收集、使用個人信息均應獲取真實有效的授權(quán)(28)GDPR第4條規(guī)定：“ 定義……(11)數(shù)據(jù)主體的‘同意’指的是數(shù)據(jù)主體通過一個聲明，或者通過某項清晰的確信行動而自由作出的、充分知悉的、不含混的、表明同意對其相關個人數(shù)據(jù)進行處理的意愿。”https://gdpr-info.eu/art-4-gdpr/，最后訪問時間：2020年8月18日。。GDPR著重強調(diào)了數(shù)據(jù)主體的書面、明示授權(quán)和自由真實的意思表示。為體現(xiàn)真實、有效的授權(quán)意愿，數(shù)據(jù)主體不做選擇的行為，不能視為明示同意的行為。即限制了數(shù)據(jù)處理方通過一攬子條款或格式條款，強制獲取非有效、非真實同意的可能性。且個人可撤回授權(quán)，數(shù)據(jù)處理者不得限制個人撤回的權(quán)利，即“撤回應像授權(quán)時一樣容易”(29)GDPR第7條規(guī)定：“同意的條件1.當處理是建立在同意基礎上的，控制者需要能證明，數(shù)據(jù)主體已經(jīng)同意對其個人數(shù)據(jù)進行處理。2.如果數(shù)據(jù)主體的同意是在涉及到其他事項的書面聲明的情形下作出的，請求獲得同意應當完全區(qū)別于其他事項，并且應當以一種容易理解的形式，使用清晰和平白的語言。任何違反本條例的聲明都不具有約束力。3.數(shù)據(jù)主體應當有權(quán)隨時撤回其同意。在撤回之前，對于基于同意的處理，其合法性不受影響。在數(shù)據(jù)主體表達同意之前，數(shù)據(jù)主體應當被告知這點。撤回同意應當和表達同意一樣簡單。4.分析同意是否是自由做出的，應當最大限度地考慮一點是：對契約的履行——包括履行條款所規(guī)定的服務——是否要求同意履行契約所不必要的個人數(shù)據(jù)處理。”。

第三方面，GDPR保障個人信息的被遺忘權(quán)。GDPR第13條規(guī)定的數(shù)據(jù)被遺忘權(quán)，指個人刪除、限制、更正互聯(lián)網(wǎng)上誤導、尷尬、無關或不合時宜的個人信息的能力(30)GDPR第13條規(guī)定：“ 收集數(shù)據(jù)主體個人數(shù)據(jù)時應當提供的信息(a)個人數(shù)據(jù)將被儲存的期限，以及確定此期限的標準……”。其在“數(shù)據(jù)最小化”原則中主要體現(xiàn)在限制信息處理者重復利用個人信息方面。該原則已被多國和組織的法律規(guī)范所采納，如：美國CFPB的隱私保護規(guī)則亦參照了GDPR的這一規(guī)定，要求信息處理者保證在依照信息收集的初始目的完成信息處理后，及時刪除此類信息，使信息不被重復使用，或用于其他目的(31)Consumer Financial Protection Bureau CFPB：Privacy， https://www.consumerfinance.gov/privacy/“Data minimization The CFPB will limit the collection of PII to what is needed to accomplish the stated purpose for its collection. The CFPB will keep PII only as long as needed to fulfill its stated purpose.”最后訪問時間：2020年8月17日。。

(二)“不得過度處理”個人信息規(guī)定實現(xiàn)的法律障礙

與上述GDPR的“數(shù)據(jù)最小化”原則較詳盡的規(guī)定相比，《民法典》僅有“不得過度處理”一條規(guī)定，且未做細化。故實現(xiàn)《民法典》第1035條不得過度處理個人信息的規(guī)定，仍存在下述法律障礙：

第一，相較“數(shù)據(jù)最小化”原則，“不得過度處理”的規(guī)定與“合法、正當、必要”原則之間的區(qū)別未明確，尚缺乏具體范圍和實際操作性。前述“合法、正當、必要”原則主要要求信息處理者在法律規(guī)定和當事人約定的范圍內(nèi)，明確信息收集目的，并依業(yè)務、研究需要收集、使用個人信息。但其對信息處理者的義務規(guī)定不明確，使“合法、正當、必要”的限度由信息處理者自行解釋和確定，反成信息處理者的“借口”，無法有效限制信息的過度處理行為。而“不得過度處理”作為合法、正當、必要原則的補充，其與合法、正當、必要原則間的區(qū)別和聯(lián)系，尚未通過法律規(guī)定予以明確，也并未像歐盟GDPR一樣做出詳細要求和解釋，所以將其作為裁判依據(jù)缺乏可操作性，可能使該規(guī)定最終流于形式，實施受阻。

第二，“不得過度處理”缺乏進一步解釋和詳細規(guī)定。一則，我國尚未頒布實施《個人信息保護法》，未對個人信息的授權(quán)、收集、使用、傳輸?shù)拳h(huán)節(jié)作出專門規(guī)定，僅依靠《民法典》第1035條的規(guī)定，難免略顯單薄，無法達到應有效果。二則，“不得過度處理”的規(guī)定未明確信息主體明示、明確的授權(quán)。與GDPR相比，我國《民法典》尚未通過個人信息保護的原則和規(guī)定，詳細體現(xiàn)尊重個人真實授權(quán)的意思表示。第1035條僅確認處理信息應獲得信息主體或其法定監(jiān)護人的同意，且不違反雙方約定，應明示處理信息的方式和范圍(32)《中華人民共和國民法典》第1035條規(guī)定：“……(一)征得該自然人或者其監(jiān)護人同意，但是法律、行政法規(guī)另有規(guī)定的除外；……(四)不違反法律、行政法規(guī)的規(guī)定和雙方的約定。”，缺乏對信息主體真實意思表示，主動、明示授權(quán)之權(quán)利的規(guī)定。雖然第1036條規(guī)定“處理已公開的信息時，對信息主體明示拒絕處理的信息，不得進行處理且不得視為免責事由”(33)《中華人民共和國民法典》第1036條規(guī)定：“處理個人信息，有下列情形之一的，行為人不承擔民事責任：(一)在該自然人或者其監(jiān)護人同意的范圍內(nèi)合理實施的行為；(二)合理處理該自然人自行公開的或者其他已經(jīng)合法公開的信息，但是該自然人明確拒絕或者處理該信息侵害其重大利益的除外。”，但這屬于信息主體對信息處理的拒絕權(quán)。而《民法典》規(guī)定的通過告知同意原則獲取個人信息處理授權(quán)的方式，可能影響信息主體參與信息處理的權(quán)利，或作為信息處理者利用格式條款、一攬子授權(quán)，違背信息主體的真實意愿，處理個人信息的“萬用法則”(34)張新寶.個人信息收集：告知同意原則適用的限制[J].比較法研究,2019,(6):1-20.。故，《民法典》現(xiàn)有的“不得過度處理”規(guī)定，依舊有可能使信息主體無法實現(xiàn)出于自愿做出真實有效授權(quán)的行為。三則，“不得過度處理”未對信息處理的時限作出要求。我國《民法典》尚未對個人信息的被遺忘權(quán)作出詳細規(guī)定，亦未明確“不得過度處理”個人信息應設置的信息最長處理時限。

3.實現(xiàn)“不得過度處理”規(guī)定面臨的現(xiàn)實障礙

雖然相較《民法典》“不得過度處理”的規(guī)定，GDPR的“數(shù)據(jù)最小化”原則更詳盡亦更嚴厲，但其在實現(xiàn)過程中仍遭遇諸多阻礙。“數(shù)據(jù)最小化”原則實現(xiàn)的受阻，主要體現(xiàn)在難以控制美國和歐洲許多知名互聯(lián)網(wǎng)企業(yè)信息處理者過度收集、使用用戶信息的行為方面。

如此類企業(yè)有一項行業(yè)通行規(guī)則：“追蹤墻”(Tracking walls)(35)追蹤墻：旨在通過監(jiān)控使用者的行為，用在線收集到的信息向人們展示有針對性的廣告。。其含義為，用戶必須在初次使用或登錄該網(wǎng)站時，同意“要么接受要么離開(Take-It-Or-Leave-It)”的隱私協(xié)議。用戶必須允許網(wǎng)站對其進行的“Tracking”，即記錄用戶使用網(wǎng)站的行為，甚至要求用戶同意第三方的“Tracking”。這一項“規(guī)定”，主要是源于網(wǎng)站運營商進行廣告推送的需求，及與其他網(wǎng)絡服務提供商合作的需要。通過對用戶的持續(xù)跟蹤，網(wǎng)站運營商可以獲取用戶的瀏覽偏好、習慣等信息進行數(shù)據(jù)分析，從而推測用戶的消費偏好，進行較精準的廣告營銷投放。同時，大型互聯(lián)網(wǎng)運營商為了拓展合作伙伴的需要，把收集不屬于其業(yè)務范圍需要的信息對外提供并據(jù)此獲利。

如今，GDPR實施已逾兩年，但上述問題仍屢禁不止，主要的原因來自信息超限處理的收益遠超依照GDPR懲罰的數(shù)額。GDPR實施后，有多家知名互聯(lián)網(wǎng)企業(yè)因違反其個人信息保護規(guī)定被罰，最著名的當屬美國互聯(lián)網(wǎng)企業(yè)Google。2019年1月，法國數(shù)據(jù)保護監(jiān)管機構(gòu)CNIL(36)Commission Nationale de l’information et des Libertes (French: French Data Protection Authority).依據(jù)GDPR的規(guī)定，對Google開出了一張5000萬歐元(折合人民幣約3.8億)的罰單，稱Google使用“Tracking walls”非法收集個人信息，且將個人信息用于其廣告推送業(yè)務。法國CNIL提出的兩項處罰理由中第2條稱，用戶對Google的“同意”授權(quán)行為既非自愿，內(nèi)容也不明確。故因涉嫌過度收集用戶信息和違反客戶意愿強行取得過度授權(quán)處罰Google，目的是要求Google實現(xiàn)用戶自身控制數(shù)據(jù)信息的權(quán)利，充分告知用戶風險，尊重用戶，獲得真實、有效同意。

這一案例，是歐盟在GDPR實施后開出的最大罰單，但與Google強制追蹤用戶信息的廣告收益相比仍是杯水車薪。2019年，歐盟委員會再次因 Google“濫用在線廣告主導地位”，對其罰款 16.9 億美元(約合人民幣 113 億元)。歐盟競爭事務專員Margrethe Vestager解釋，Google為了壟斷市場，通過限制他方競爭的方式最大限度獲取廣告收益。而這筆罰款，僅占2018年Google通過壟斷地位和濫用個人信息追蹤行為獲取的總收益的1.29%(37)CSDN資訊：Google 再被罰！https://blog.csdn.net/csdnnews/article/details/88729962，最后訪問時間：2020年7月21日。。可見，嚴厲的法律規(guī)定，如果不配合足夠的懲罰措施，仍難解決信息超限處理的問題。

雖然我國《民法典》不得過度處理個人信息的規(guī)定，尚未遭遇到如歐盟GDPR“數(shù)據(jù)最小化”原則實現(xiàn)過程中一樣的窘境，但隨著我國信息技術(shù)的發(fā)展，信息量的增加和信息流動速度的加快，個人信息所潛藏的巨大利益，亦成為了信息處理者鋌而走險，通過“過度處理”個人信息獲利的主要動因。我國個人信息的過度處理主要體現(xiàn)在：2020年7月16日，央視通過網(wǎng)絡直播曝光13款APP使用SDK竊取用戶信息的行為，竊取的信息包括短信驗證碼、聯(lián)系人、地理位置、設備信息等關鍵信息(38)新浪網(wǎng)：315晚會曝光SDK竊取個人隱私信息：涉及多款金融App，2020年7月16日，https://tech.sina.cn/2020-07-17/detail-iivhuipn3545633.d.html?vt=4&pos=18，最后訪問時間：2020年7月20日。，而此類信息多屬超出其業(yè)務或提供服務所需的信息。同日，中央網(wǎng)信辦、工信部、公安部、市場監(jiān)督管理總局，聯(lián)合發(fā)布《關于開展APP違法違規(guī)收集使用個人信息專項治理的公告》，其中點名督促整改的APP達40款，普遍存在強制一攬子授權(quán)、收集信息超出業(yè)務所需范圍、非法使用傳輸個人信息、沒有公開的信息收集規(guī)則、無法注銷賬號等問題(39)證券時報網(wǎng)：老虎證券、同花順等40款APP被監(jiān)管點名，使用要注意了！2020年7月19日，http://finance.ifeng.com/c/7oQYJFYzg9I，最后訪問時間：2020年7月20日。。說明超出業(yè)務需求、超過必要限度、違背信息主體意愿、超出法律或法規(guī)要求的范圍、出于廣告營銷和拓展業(yè)務等目的處理個人信息的行為，是目前大多互聯(lián)網(wǎng)企業(yè)運營中均存在的問題，亦屬突出的行業(yè)痹癥。在普遍傾向逐利、忽視個人信息權(quán)益保護的信息市場推動下日趨嚴重。而我國《民法典》不得過度處理個人信息的規(guī)定，尚未設定懲罰限度和罰款額度，足可預見亦將同樣面臨懲罰措施、手段、力度不足，無法根除信息處理者通過濫用個人信息獲利的障礙。

四、實現(xiàn)“不得過度處理”個人信息規(guī)定的路徑

前述《民法典》不得過度處理個人信息規(guī)定的實現(xiàn)，雖面臨諸多挑戰(zhàn)和問題，但通過對比前述GDPR“數(shù)據(jù)最小化”的規(guī)定及其實現(xiàn)過程中所遇問題之鏡鑒，可嘗試探討不得過度處理個人信息規(guī)定實現(xiàn)之路經(jīng)。通過制定《個人信息保護法》，補充細則、加強監(jiān)管等方式，實現(xiàn)我國個人信息法律保護的系統(tǒng)化。具體建議如下：

(一)通過制定《個人信息保護法》，細化不得過度處理個人信息的行為

早在2018年10月，全國人大發(fā)布的《民法典各分編(草案)征求意見稿》即已明確，下一步將制定《個人信息保護法》。而如今《民法典》已出臺，《民法典》人格權(quán)的獨立成編，亦有利于《個人信息保護法》的盡快實現(xiàn)(40)王利明.民法典人格權(quán)編中動態(tài)系統(tǒng)論的采納與運用[J].法學家,2020,(4):1-12.。所以，《個人信息保護法》的頒布指日可待。

雖然GDPR“數(shù)據(jù)最小化”原則在實現(xiàn)過程中存在諸多問題，但當前我國《民法典》規(guī)定的“不得過度處理”因細則不明、范圍不確定、內(nèi)容不完整，在實施過程中面臨的問題相較“數(shù)據(jù)最小化”會更多。故在《個人信息保護法》中，應通過借鑒“數(shù)據(jù)最小化”原則的規(guī)定，完善、明確、細化“不得過度處理”的規(guī)定，如處理信息的具體范圍、限度等。保障信息主體對自身信息處理的知情、同意、明示授權(quán)、撤回授權(quán)的權(quán)利等。

第一， 通過明確“不得過度處理”與“合法、正當、必要”原則間的關系，可有效指導司法機關依照“法律要求、當事人授權(quán)、業(yè)務需要、最小限度、處理方式”等，判明信息處理者處理個人信息的“合法、正當、必要”和“不過度”間的界限。

第二， 借鑒GDPR“數(shù)據(jù)最小化”原則，完善不得過度處理個人信息的法律規(guī)定，通過確保個人信息主體的控制權(quán)和真實有效授權(quán)，保障個人信息的適度授權(quán)。即信息主體應通過明示方式，確認對信息處理的授權(quán)，限制信息處理的目的。信息處理者處理個人信息應有具體、明確且正當目的，并在信息處理過程中始終遵循最初目的。信息處理者收集信息時應向信息主體明示收集信息的范圍。除用于科學研究和維護公共利益外，個人信息的處理應始終圍繞數(shù)據(jù)處理者此前明示的范圍進行。亦表示，信息主體明確知道信息處理的目的、范圍和權(quán)限，并出于自由意愿，明確同意信息處理者在僅限該范圍內(nèi)處理其信息。

第三， 沉默、未打勾或不作為，不構(gòu)成同意。參照GDPR書面、明示的授權(quán)要求，不得過度處理個人信息的規(guī)定，亦應保障信息主體的明示授權(quán)權(quán)利，限制信息處理者通過一攬子授權(quán)，強迫信息主體做出違反自身意愿的授權(quán)行為。信息處理者應嚴格遵照《民法典》第1035條、第1036條的規(guī)定處理個人信息，授權(quán)應依信息處理者業(yè)務需要以最小限度進行。對于特殊事項，應設立單獨授權(quán)，保障用戶單項授權(quán)的權(quán)利。

第四， 信息處理者對信息處理范圍的描述應明確、具體，不得模糊。圍繞信息處理的目的，信息處理者應在適當、相關、必要的范圍內(nèi)處理個人信息。收集、存儲、使用、傳輸、加工、提供、公開個人信息的，其行為均應合法、正當、必要，在業(yè)務需要的范圍內(nèi)最小化處理個人信息。且信息處理不得偏離明示的收集、處理信息的目的。隨時保持信息處理過程的公開、透明，保障用戶對自身信息的處理行為的知情權(quán)利。信息處理應符合法律規(guī)定和雙方約定，遵照明示的目的、方式和范圍進行，不得超出，否則即應視為“過度處理個人信息”行為，承擔相應的法律責任。

第五， 在撤回授權(quán)時，個人有權(quán)要求信息處理者刪除已撤回授權(quán)的信息，并明確表示不再向信息處理者提供相應信息。信息處理者不得以任何方式限制信息主體這一拒絕權(quán)，或妨礙信息主體的撤回授權(quán)行為。如：通過限制撤銷、注銷、刪除賬戶的方式，或通過拒絕公開服務信息的方式，限制或拒絕用戶的撤回權(quán)利。信息處理者處理信息的過程應始終向信息主體公開，保證處理信息始終圍繞其目的和限度進行。信息主體可監(jiān)督信息處理者的信息處理行為，隨時發(fā)現(xiàn)信息處理超限行為，要求信息處理者停止侵害等。

第五，信息處理應遵循最長期限要求。參照GDPR的“數(shù)據(jù)最小化”原則和美國CFPB隱私保護規(guī)定經(jīng)驗，不得過度處理個人信息亦應確保及時刪除已依最初目的處理完成的信息。或?qū)π畔⒃O定最高處理時限，保證信息在限定的目的、時間、范圍內(nèi)處理完成，不得再次處理或用于其他目的。

(二)完善監(jiān)管，加大對過度處理個人信息行為的處罰力度

借鑒歐盟GDPR“數(shù)據(jù)最小化”因設定懲罰力度過小、懲罰措施不到位導致的現(xiàn)實困局，監(jiān)管部門應加強對信息處理者的教育，保障《民法典》“不得過度處理”個人信息規(guī)定的實現(xiàn)。要求信息處理者規(guī)范自身從業(yè)者的信息處理行為，規(guī)定信息處理者應遵循的準則和義務，及“過度處理個人信息”應承擔的法律責任和后果。

通過加強各監(jiān)管部門之間的溝通，以及增加對信息超限處理的處罰力度，保障“不得過度處理”規(guī)定的順利實現(xiàn)。通過各部門聯(lián)動方式，嚴控信息流轉(zhuǎn)。要求信息處理者檢驗、測試、審查信息輸入，保證輸出過程的技術(shù)、人員處于合理權(quán)限、最小限度要求下。嚴厲打擊信息處理者超限處理個人信息的行為，加大處罰力度，要求信息處理者將信息處理的合理適度置于信息處理的收益之前。通過法律規(guī)定明確個人信息處理者超限處理個人信息應承擔的法律責任和懲罰數(shù)額等。如：超限處理個人信息獲利的，應處以非法獲利的30%以上罰款，尤其是對廣告推送、大數(shù)據(jù)分析，過度處理個人信息非法牟利的行為。提高罰款額度，有利于對信息處理者起到震懾作用，防范信息處理者的逐利行為。增加部門溝通，有利于聯(lián)合執(zhí)法，保障信息流轉(zhuǎn)安全。

五、結(jié)語

隨著信息技術(shù)的發(fā)展，互聯(lián)網(wǎng)上個人的ID已取代了個人現(xiàn)實中的身份，個人信息已形成新的個人人格特點代號。無論信息是否私密或不想被他人知悉，均無法阻擋個人信息的不斷產(chǎn)生，范圍的逐漸擴大，利用率的迅速提高。且新技術(shù)環(huán)境下，個人信息受侵害案件時有發(fā)生，個人信息買賣、非法提供，已成網(wǎng)絡生態(tài)治理頑疾。故，通過民事立法確認個人信息保護的原則和處理個人信息的規(guī)則，實有必要。與《中華人民共和國網(wǎng)絡安全法》、OECD的《個人數(shù)據(jù)保護和專業(yè)流通操作指南》、德國《聯(lián)邦數(shù)據(jù)保護法》相比，《民法典》參照GDPR的規(guī)定，著重強調(diào)了“不得過度處理個人信息”的規(guī)則，具有創(chuàng)新性，值得重視。未來實施中，該原則應進一步解釋、細化，從而保障我國個人信息權(quán)益法律保護的實現(xiàn)，使我國信息行業(yè)健康有序的發(fā)展，為實現(xiàn)5G時代物聯(lián)網(wǎng)發(fā)展需求作出貢獻。