我國個人信息保護法中的目的限制原則

胡利玲

（中國政法大學民商經濟法學院 北京 100088）

《個人信息保護法》（以下簡稱《個保法》）在第5～9條分別規定了個人信息處理的合法、正當、必要與誠信原則，目的限制原則，公開透明原則，質量原則和責任原則五大基本原則。這些基本原則既是處理者開展個人信息處理活動的基本遵循，也是構建個人信息保護具體規則的制度基礎。其中目的限制原則以個人信息處理的目的為核心，對處理者處理個人信息的限度提出了全面的要求［1］。《個保法》第6 條規定：“處理個人信息應當具有明確、合理的目的，并應當與處理目的直接相關，采取對個人權益影響最小的方式。收集個人信息，應當限于實現處理目的的最小范圍，不得過度收集個人信息。”本條即是個人信息處理的目的限制原則的立法體現。該原則被認為是個人信息保護制度的基石，也是大多數其他基本要求的先決條件［2］。本文以我國《個人信息保護法》的條文為依據，結合比較法的規定，對個人信息處理基本原則中的目的限制原則加以詳細解讀。

1 目的限制原則的基本含義和規范內容

所謂目的限制原則，也稱目的拘束原則，是指個人信息的處理應有明確合理的目的，并在后續的個人信息處理中也應與初始目的保持一致，除非經過個人的明確同意，否則不得在目的之外處理個人信息，并應以最小范圍收集個人信息及以對個人權益影響最小使用個人信息。目的限制原則的法理基礎是個人信息主體對于其個人信息享有控制力與支配力，并享有受法律保護的民事權益——人格利益。目的限制原則要求信息處理者在收集信息時明確告知信息主體信息處理的具體目的，并嚴格限定后續信息處理的方式，同時給予信息主體同意或拒絕的權利，在一定程度上可保障信息主體自主控制信息被以何種方式處理，防止信息處理者以信息主體未能預見到的方式處理信息［3］。

該原則最早由美國學者艾倫·威斯汀（Alan Westin）提出，其主張政府所收集的個人信息只能用于特定目的，不得用于其他目的或者進一步流轉，除非提供信息的個人或群體的身份特征已經完全從該信息中移除，或他們自由地對進一步流轉表示同意。而1980年經濟合作發展組織在《關于保護隱私和個人數據跨國流通指導原則》中首先對該原則作了規范表述［4］。目前該原則已為許多國家或地區的個人信息或數據保護立法所確立。最典型的如歐盟《通用數據保護條例》（GDPR），其第5 條（1）（b）規定“個人數據的收集應基于特定的、明確和合法的目的”（即目的限制）；第5 條（1）（c）規定“個人數據應相對于處理目的而言適當、相關并在必要的范圍內”（即數據最小化）。前者指處理者應當為特定、明確和合法的目的收集個人數據，并且個人數據的后續處理不得違反此等目的；后者指處理者處理個人數據應當充分、相關并且限制于為實現該個人數據處理目的所需的最小限度內［1］。

我國《個保法》第6條規定：“處理個人信息應當具有明確、合理的目的，并應當與處理目的直接相關，采取對個人權益影響最小的方式。收集個人信息，應當限于實現處理目的的最小范圍，不得過度收集個人信息。”根據這一規定，目的限制原則同時涵蓋了數據最小化原則。因此，我國《個保法》上的目的限制原則從規范意義上應包含三方面的內容。第一，處理個人信息應當具有明確、合理的目的，即“目的明確、合理”。它要求，首先，處理個人信息應有明確的目的，否則其行為屬于對個人信息的濫用。其次，處理個人信息的目的具有合理性，即“在滿足合法、正當要求的前提下，不為個人帶來過重的負擔或者過高的風險［1］。”第二，處理個人信息應與處理目的直接相關。它要求后續的個人信息處理中應與初始目的保持一致，除非經過個人的明確同意，否則不得在目的之外處理個人信息。可簡化為“使用限制”。第三，處理個人信息應當采取對個人權益影響最小的方式，并限于實現處理目的的最小范圍，不得過度收集個人信息。前者簡化為“權益影響最小化”，后者簡化為“數據最小化”。

2 處理個人信息應當具有明確、合理的目的——目的明確、合理

2.1 目的明確

歐盟GDPR 第5 條（1）（b）規定：“個人數據的收集應基于特定、明確和合法的目的。……。”據此，GDPR在目的明確方面，規定了特定、明確、合法標準。歐盟第29 條工作組在關于處理個人數據的目的限制的意見中指出收集個人數據必須基于清晰的用途，而且還須清晰地表達出來，即必須以某種可理解的形式清楚地揭示、解釋或闡述其用途。由此推斷，這項要求應在開始收集個人數據前完成。以確保用途清晰、容易理解。尤其是用途的清晰必須以適當的方式進行表達，以保證控制者和任何第三方處理者，以及數據保護機構和相關數據主體都能對它有相同的理解，……。清晰的用途說明，能使控制者打算如何使用收集到的個人數據變得透明；能幫助所有處理數據的人、數據主體、監管機構和其他利益相關方對如何使用數據有共同的理解。相應地也會降低數據主體與控制者雙方期望不同的風險［5］。

我國《個保法》并沒有對“目的明確”作進一步的具體解釋。但本文認為，借鑒歐盟GDPR的上述規定，并從應然角度出發，目的明確的要求是：第一，個人信息處理的目的應特定、明確、合法，而且應在開始收集信息前即確定；第二，處理目的應被清晰、明確地表達出來而非隱匿或含混不清；第三，處理目的應具有一定的限定性而非寬泛無限制。也有學者建議在借鑒歐盟GDPR規定基礎上，我國法院在決定目的是否明確時，可考慮以下要素：約定目的與雙方預期的關系；個人信息被收集時的情形，尤其是關于信息主體和信息控制者的關系；個人信息的性質；按照該目的進行處理個人信息對信息主體可能造成的后果；適當的保障措施的存在，如加密或匿名化處理等。如必須將個人信息用于約定目的之外的額外目的的，則信息控制主體應當取得信息主體的二次同意［4］。

2.2 目的合理

所謂目的合理，應首先須為合法，此外，信息處理目的必須符合社會一般人的事理認知，不得違反基本的倫理道德與公序良俗。即符合制度層面的目的合法與價值層面的目的正當［3］。目的合法是信息處理的最低要求，在此前提下，處理的目的合理與否，應當在考慮個案的具體因素的基礎上，權衡處理者與信息主體等各方的權益和自由，最好實現個人信息權益的保護與個人信息的合理利用之間的利益協調與平衡［6］。此外，目的的合理性也會隨著時間的推移而變化，這取決于科學技術的發展，以及社會和文化態度的變化［7］。

3 處理個人信息應當與處理目的直接相關——使用限制

根據立法的要求，信息處理行為應當與信息收集時的初始目的具有“直接關聯性”。即“處理者只能對個人信息實施符合初始目的的相應的處理活動，不得從事與處理目的無關的個人信息處理”［8］。最終立法上的這一規定與學者建議稿、草案二審稿及歐盟的做法都有不同。

在《個保法》制定過程中，張新寶教授曾在其起草的《個人信息保護法（專家建議稿）》中，主張信息處理行為應當與初始目的具有“合理關聯性”［9］。在草案二審稿第6 條中規定的是，個人信息處理者不得進行與處理目的“無關”的個人信息處理。而比較法上，歐盟采取的是“數據兼容處理”（簡稱“兼容性”）標準。根據GDPR的規定，數據的控制者“所進行的進一步處理不能違反這些目的”，但數據的控制者可以對數據執行被認為與收集數據時的目的即初始目的相互兼容的所有操作，“以不同之目的進行后續處理，并不一定意味著與約定目的相違背”［10］。在使用限制上，歐盟的立法似乎具有比較大的彈性和寬容性。但同時，GDPR 在第5 條（4）提出了兼容性的主要判斷標準：（1）任何在個人信息被收集時的目的和預期進一步處理的目的之間的聯系；（2）個人信息被收集時的情形，尤其是關于信息主體和控制者的關系；（3）個人信息的性質；（4）預期進一步處理給信息主體可能造成的后果；（5）適當的可能包括加密或匿名化的保障措施的存在［4］。當然歐盟有條件地允許信息控制主體超出初始約定的做法，也在歐盟內部引起巨大爭論，以致有人擔憂，允許超出初始目的使用信息，會逐漸掏空整個目的限制原則的制度基礎，使目的明確環節所產生的信息主體預期失去其本應有的意義［11］。

我國《個保法》要求個人信息處理的活動“應當與處理目的直接相關”，既沒有采學者的“合理關聯”建議，也沒有采歐盟的“兼容處理”做法，而是最終采用了更加嚴格的規定。通過“直接”二字強調對處理者超出原有處理目的進行后續處理的限制。據此，“如處理者超出原有處理目的對個人信息作后續處理，則后續處理行為應當被視為是與原有處理行為相獨立的另一處理行為或者被視為處理目的的變更。依照《個保法》第13條和第14條第2款的規定，處理者原則上不得進行此等后續處理，除非其另行取得個人同意或者后續處理具備其他合法事由”［1］。

有學者認為，將個人信息處理活動限定在與處理目的直接相關的范圍內，有利于保護個人信息權益。如果允許超出處理目的處理個人信息，由此帶來的風險將不可預測。故在判斷上，應采取“非常嚴格”的標準，考察處理者后續實施的處理行為的目的是否被告知個人的處理目的所包含，或者雖然不包含但合理的人都認為二者之間是密切聯系的［2］。但也有學者認為，《個保法》過于嚴格的目的限制，可能造成個人信息價值的浪費，也會阻礙信息的流通和創新，故在對約束個人信息處理活動的處理目的進行解釋時，應留有必要的彈性空間，以促進行業創新和個人信息的合理利用。特別是“在處理者基于個人同意處理個人信息的情形，如將處理目的限定得過于狹窄，不僅會導致處理者需要頻繁取得個人同意，不利于充分發揮個人信息的價值尤其是二次利用的增值價值”［1］。也有學者主張應在個人信息類型化下重塑目的限制原則。認為處理個人敏感信息必須恪守目的限制原則，禁止超越初始目的范圍處理；但在處理個人一般信息時，除了原則上須遵從目的限制原則外，特殊情形下應允許超越初始目的而處理信息，只要不引發高于信息主體所預期的風險。理由也主要是：大數據時代個人信息的多維度利用日趨常態化與復雜化，導致信息處理目的難以在信息收集階段完全確定下來，嚴格的目的限制原則忽視了個人信息的利用價值［3］。

此外，筆者注意到《信息安全技術個人信息安全規范》（GB/T 35273-2020）沒有單采“直接關聯”，而是規定“關聯性”包括“直接關聯性”與“合理關聯性”——“使用個人信息時，不應超出與收集個人信息時所聲稱的目的具有直接或合理關聯的范圍”。但對何謂“合理關聯”未予定義，而是描述了“合理關聯”的具體信息利用情形，即第7.3條（a）規定的“將所收集的個人信息用于學術研究或得出對自然、科學、社會、經濟等現象總體狀態的描述，屬于與收集目的具有合理關聯的范圍之內”。

4 “權益影響最小化”與“數據最小化”

4.1 權益影響最小化

《個保法》第6 條第1 款規定：“處理個人信息應當采取對個人權益影響最小的方式。”此即權益影響最小化限制。它要求在有多種處理方式可供選擇時，應當選擇其中既能實現個人信息處理目的，又對個人權益的影響最小的方式，這也是比例原則中“最小損害原則”的要求［12］。換言之，處理者應盡可能減少對個人信息的處理以及對個人信息的使用次數，以避免對個人信息權益造成不利的影響，其促進的個人利益或公共利益應與被侵害的權益成比例［13］。這是因為個人信息處理可能對個人信息造成難以預測的危險和損害，故為保護個人信息權益，應當對個人信息處理的限度作出最小化的限制［14］。

4.2 數據最小化

《個保法》第6條第2款規定：“收集個人信息，應當限于實現處理目的的最小范圍，不得過度收集個人信息。”此即數據最小化限制。從我國立法規定看，數據最小化限制是目的限制原則在個人信息收集階段的體現。它是指個人信息的收集應以必要為原則，如果沒有這些個人信息，個人信息處理者的處理目的就完全無法實現或者說主要、核心的目的無法實現。凡是超過必要范圍而收集個人信息，都應屬于過度收集。

值得一提的是，盡管立法上對上述兩個限制沒有進一步的規定，但《深圳經濟特區數據條例》中對兩個限制進行了更為具體的規定，其對典型情形的列舉，不失為一種努力［15］。此外，《常見類型移動互聯網應用程序必要個人信息范圍規定》的做法也是一種可復制的做法。其規定了移動智能終端上運行的APP所收集的必要個人信息，并對最常見類型的39種APP的基本功能以及為實現基本功能所需要的必要個人信息的范圍進行了列舉［16］。例如，網絡約車類的基本功能服務為“網絡預約出租汽車服務、巡游出租汽車電召服務”，必要個人信息包括：（1）注冊用戶移動電話號碼；（2）乘車人出發地、到達地、位置信息、行蹤軌跡；（3）支付時間、金額、渠道等支付信息（網絡預約出租汽車服務）。據此，如果收集用戶人臉識別信息、年齡信息、職業信息、親情關系等則明顯屬于過度收集。

5 結語

目的限制原則是個人信息處理的基本原則。該原則要求個人信息的處理應有明確合理的目的，并在后續的個人信息處理中也應與初始目的保持一致，除非經過個人的明確同意，否則不得在目的之外處理個人信息，并要求以數據最小化收集個人信息，以對個人權益影響最小化使用個人信息。其法理基礎是個人信息主體對于其個人信息享有控制力與支配力，并享有受法律保護的民事權益。個人信息是一種人格權益，涉及個人的人格尊嚴。因此信息主體的人格尊嚴和自由價值是個人信息保護立法中首要考慮的因素。但同時也需考慮信息的合理利用。《個保法》實施不久，包括目的限制原則在內的規范的適用效果尚待 觀察。