《個人信息保護法》第13條第1款第2項（合同中個人信息處理）評注

摘 要：《個人信息保護法》第13 條第1 款第2 項前段“為訂立、履行個人作為一方當事人的合同所必需”，確立了合同訂立與履行中個人信息處理行為的合法性基礎。其中，就“合同”的適用應限定于民事合同關系；“訂立與履行中”可解釋為從先合同義務中的“合同準備”到合同履行完畢這一全過程。主體要件“個人作為一方當事人”應作目的論限縮，個人信息主體需滿足年齡與民事行為能力雙重要件。對“必需”的判定應當以合同目的作為判斷基準，且禁止將個人信息處理行為直接作為合同目的，必要時可引入“場景理論”模型開展續造工作，結合合同類型、合同關系的內容以及基本目標，比照規范性文件、交易習慣等予以確定。

關鍵詞：個人信息處理 第13 條第1 款第2 項 必需 合法性基礎

《中華人民共和國個人信息保護法》第13 條第1 款第2 項前段：符合下列情形之一的，個人信息處理者方可處理個人信息：（二）為訂立、履行個人作為一方當事人的合同所必需。

第2 款規定：依照本法其他有關規定，處理個人信息應當取得個人同意，但是有此項規定情形的，不需取得個人同意。

一、規范意旨

個人信息的處理活動，涉及自然人①的個人信息收集、存儲、使用、加工、傳輸、提供、公開、刪除等行為。自然人對其個人信息享有民事權益，無論個人信息作為一種“權利”抑或是“利益”，自然人均享有防止個人信息被非法處理而導致人身、財產權益受到損害的權益。②但同時，維續社會共同體以尊重必要的強制秩序為前提，自然人對其個人信息并不享有絕對的支配權和控制權。面對個人基本權利與商業、科技發展之間日益尖銳的沖突時，立法者會對民事權益進行合理限制，使得某些客觀上屬于“侵害”個人信息權益的處理行為，在法律上避免將其評價為不法行為。立法者通過弱化權利排他性的方式降低對權益利用的交易成本，設立個人信息處理的合法性依據，作為調和個人信息權益擴張與限制之爭的“折中途徑”。③

規范與平衡個人信息權益的嘗試同樣可見諸比較法。如歐盟《一般數據保護條例》（General Data Protection Regulation，以下簡稱“GDPR”）序言即指出：“保護個人數據的權利不是一項絕對權利，必須考慮其在社會上的作用并應當根據比例性原則與其他基本權利保持平衡。”《2020 年加州隱私權法》中第3 條C 部分第1 條也同樣提到：“落實消費者的權利和企業的責任，同時注意對企業和創新的影響。”但緊接著即言“消費者隱私和開發有益的新產品和服務的目標不一定不相容。”而在日本與中國臺灣地區，盡管分別在其《（日本）個人信息保護法》以及“個人資料保護法”（Personal Data Protection Act，以下簡稱“PDPA”）中并未具文說明，但在條文中仍設立了“個人同意的例外”“免于告知義務”等相關規定，以此進行利益平衡。

我國立法者顯然也是考慮到上述要點，因而在立法上既考慮維護個人信息權益，同時也設立例外規定來保持個人信息保護法體例上的整體融洽性。《中華人民共和國個人信息保護法》（以下簡稱《個人信息保護法》）基于知情- 同意規則體系，進一步區分了“基于同意的處理”（Processing Based on Consent） 與“基于法定許可的處理”（Processing Based on a legal Permission）情形，為部分信息處理行為的合法性提供了依據，而《個人信息保護法》第13 條第1 款第2 項則正是法定許可的具體規范。并且，《中華人民共和國民法典》（以下簡稱《民法典》）第999 條以及第1036 條第3 項即規定了公共利益、個人合法權益等法定許可情形，某種意義上，該項也算是《民法典》第1036 條第3 項“為維護該自然人合法權益”的特別規定，將《個人信息保護法》與外部法律體系相勾連。

依照該項規定，當個人作為一方當事人，與另一方當事人訂立或者履行合同時，相對方作為信息處理者，可在符合“必需”情況下，無需經過該個人同意，徑行處理其某些個人信息。該項以“必需”一詞，在一般條款與固定要件之外確定了一種“動態條款”的規范④，對《個人信息保護法》所確立的知情- 同意規則體系做出了突破，因此需在法律解釋上對其范圍以及要件的理解與適用做一定限縮。

二、立法沿革與比較法例

《個人信息保護法》第13 條第1 款第2 項前段吸收借鑒了比較法上的優秀成果，歷經數審到最終落地，對本項的存廢有巨大的爭議。我國立法者在法律繼受中，曾想放棄將“訂立”作為合法性處理階段這一思路。⑤本項由2020 年10 月31 日《中華人民共和國個人信息保護法（草案）》確定，歷經2021 年4 月26 日《中華人民共和國個人信息保護法（草案）》（ 二審稿）、2021 年8 月17 日《中華人民共和國個人信息保護法（草案）》（ 三審稿），至2021 年8 月20 日最終稿公布，均未改變本項內容，仍保留了“訂立、履行” 合同的表述。

比較法上考察此項立法的先例，可根據實證法中是否規定有處理階段，進而劃分為兩種不同的立法模式。第一種模式以我國臺灣地區為典型，即不明確規定具體階段，“個人資料保護法”第19 條第1 款第2 項將“與當事人有契約或類似契約之關系”作為合法性基礎，在具備特定目的及采取適當安全措施的條件下，非公務機關可對個人信息進行搜集與整理工作；日本的《個人信息保護法》同樣采用了此種立法模式，在第16 條前兩款規定“基于使用目的的限制”，而在第三款規定了法定許可的例外情形。第二種模式則是以歐洲數據保護立法模式為代表，為此種法定許可例外確立了具體階段的限制，具體在1995 年的《數據保護指令》（Data Protection Directive，以下簡稱“DPD”）第7 條規定，“如果一個合同主體（數據主體） 的數據對另一個合同主體（數據處理主體）履行其間合同是必要的，那么后者對這些數據的處理操作有法律依據”。2016 年GDPR 第6 條第（1）款（b）項在移植該條規定的基礎上，更精確表述為：“處理是數據主體作為合同主體履行合同之必要，或者處理是因數據主體在訂立合同前的請求（at the request of）而采取的必要措施，則無需數據主體同意”，至此，GDPR 細化了具體階段的實施要求，在“履行”階段與第一種立法例別無二致，而在“訂立合同前”則需數據主體請求方可實施此種“必要措施”。有學者認為，GDPR 中該項規定的核心在于“履行合同”，因為合同關系本身或者訂立合同的意圖并不能為個人數據處理行為提供法律依據，所以在“訂立合同前”需請求方可做出。⑥總體而言，在普遍承認增設“法定許可”作為例外的立法背景下，不同立法范式的分野僅在于是否需明確規定階段這一限制要件。其中，對于“履行合同” 這一階段作為合法性基礎并無趨異，區別僅在于：“訂立合同前”全過程是否均能作為依據，以及是否需要數據主體的主動要求。

就規范文義而言，我國《個人信息保護法》的規定更多采納了第二種立法模式，但同時放棄了主觀要件，并非條文的簡單移植；而在GB/T 35273-2020《信息安全技術個人信息安全規范》的g 項中“根據個人信息主體要求簽訂和履行合同所必需的”，似乎又采用了GDPR 中的主觀要件，作為國家推薦性標準在《個人信息保護法》的基準下，進一步嚴苛該項的適用。按照前述GDPR 立法理由的評述，若要擴張階段至“訂立合同”階段，則需要限定以主觀要件來緩和該項與“知情- 同意”規則體系的緊張關系，或再進一步對該項的適用及與體系耦合關系作正當性論證。由此可察，我國在此的立法設計上有別于上述的比較法例，在對其加以“改造”的同時，尚需應用法解釋方法對其進行價值同化，以解決本土法實踐中存在的相應問題。

三、適用范圍

本項將“合同”作為法律行為客體，并將其作為判斷“必需”的條件，系該項適用范圍判斷的依據。就本體概念的文義解釋而言，其應包含但不僅限于勞動法上的合同⑦、行政法上的合同⑧、民法上的合同等⑨。但從目的解釋而言，在日常交易中，一般所指稱的“合同”往往是民法意義上的合同，若要單獨開辟一套專屬于個人信息保護法意義上有關合同的定義，不符合經濟效益原則。

除此以外，就體系解釋而言，《個人信息保護法》在其他條款中已對民法意義之外合同的個人信息處理行為的合法性來源進行規定，無需疊床架屋另行規定，例如：第2 項后段的特別規定“按照依法制定的勞動規章制度和依法簽訂的集體合同實施人力資源管理所必需”中，規定了與勞動合同相關的處理個人信息的合法性來源，可茲勞動法意義上的合同參照；而行政法上的合同則兼具行政性與協議性，需根據其是否為平等主體進行考慮是否適用該條款，⑩就行政協議而言，該款第3 項“為履行法定職責或者法定義務所必需”以及第三節“國家機關處理個人信息的特別規定”中規定了與行政協議相關的處理個人信息的合法性來源。且從條文所處的位置來看，條款間沒有排序，系同一層級，若將該項中的“合同”一詞解釋為包括了其他定義上的合同可能有重復立法之嫌疑。因此，可推知此處的“合同”解釋為民法上的合同更為妥當。

當然，此種看法也存在很大的爭議空間。在《個人信息保護法》起草過程中，勞動合同有關條款的制定有較多論證，其中有觀點認為，相關條款的設立沒有必要，理由在于其合法性依據可以是“為訂立履行個人作為一方當事人的合同所必需”或“為履行法定職責或者法定義務所必需”，即被所論項中“合同”所涵攝；而行政合同既有行政行為的屬性又采取了合同的方式，其中是否存在“訂立或履行該協議所必需” 的個人信息的情形需要具體判斷。?此外，在其他條款內，有對于“行政合同”“勞動合同”的相關規定并不必然影響該條文中合同的定義。這些條文之間可能存在著一般規范和特殊規范的關系，并不屬于重復立法。對于未被單獨規定的不屬于民法典意義上的合同類型，易形成法律上的漏洞。

綜上所述，該條款中所指稱的合同并不與民法典意義上的合同完全相同，存在其獨特的含義。但由于重構一個合同體系的條款尚未成熟，以及現有相關司法實踐中對“合同”的定義往往與民法典意義上的合同有著較高的重合度，因此，可以將民法典意義上的合同作為其界定的基礎，在有必要的情況下進行一定的擴張解釋。

四、客觀要件

（一）處于合同訂立與履行的階段

1. 合同訂立階段

合同“訂立”有別于合同“成立”，前者為動態概念，如《民法典》合同編第二章（合同的訂立）以下， 后者為靜態概念，常作為一種約束力、效力的判斷，如《民法典》第465 條、第490 條等。在訂立合同過程中， 我國《民法典》第500 條以及我國臺灣地區“民法”第245 條之一均有規定先合同義務的產生。?臺灣地區進一步將該義務體現于“個人資料保護法施行細則”第27 條，其指出，作為處理信息合法性基礎的階段還包括“與必要第三人接觸、磋商或聯系行為”，該條直接參引的是德國《民法典》第311 條第2 款的規定， 即認為在合同成立之前存有締約階段，其過程中當事人負有依誠信而為義務，其義務始于要約生效，終于合同生效，目的在于彌合合同成立之前階段受害方信賴利益損失保護不周延的缺陷，德國法基于該款之上對先合同義務確定了三階段的細化規定。

有學者批評認為，我國《個人信息保護法》第13 條第1 款第2 項在借鑒歐盟GDPR 相關規定時，不適當地擴張了適用范圍，將合同還沒有成立僅僅是締約磋商或者初步接觸的情形也作為不適用告知同意規則的例外。?這種觀點的合理之處已在上述表明，但就比較法例而言，我國于此的適用范圍介于兩種模式之間，并非是“不當地擴張”，而是需在解釋論上精細化其適用范圍。

德國法自耶林提出締約過失責任的系統理論以來，新債法改革后于第311 條第2 款共確立了三種先合同義務產生的情形：第一種情形為“合同磋商的開始”，系一種事實過程，該過程并不必然要求存在意思表示，例如僅就合同的預期訂立所進行的初步洽談也屬于該過程，?但該初步討論需具有后續法律行為可能；?第二種情形為“合同的準備”，該階段先合同義務的產生，需使得一方當事人基于可能發生的法律行為，允許對方影響其權利、權益以及利益，或者將權利、權益以及利益給另一方當事人?，例如企業于招投標程序中的競標行為，不問最終是否訂立合同，即符合上述要件，或又如潛在的客戶進入營業場所；第三種情形為“類似的交易上的接觸”，也是上述兩項的兜底要件。此種接觸須基于雙方同意，限制于交易性接觸中，而非純粹的社會接觸，其理由在于，立法考慮到在部分交易情形中潛在的合同相對方可能在實際訂立合同前將自身權利、權益以及利益讓渡給另一方，如向律所、醫院致電預約咨詢的人就此已建立了對價關系，因此需要產生先合同義務。?

參照德國法對先合同義務三種情形的框架性描述，映射于《個人信息保護法》的法域中，雙方主體確實可能在合同成立前存在談判、合同準備與類似的交易接觸，由此產生的信賴由誠實信用原則所保護，雙方主體之間產生的協作、照顧和保護等義務群，在《個人信息保護法》第9 條也有責任原則與安全原則作為相當的法律基礎。

但值得注意的是，大陸法系一些國家于該理論法律移植過程中并未完全繼受德國的觀點，如法國、比利時等國則以侵權行為法替代締約過失責任的功能，在區分上也并未同德國一般精細至各個階段，而我國臺灣地區則以概括條款進行規定。我國盡管在原《民法通則》第61 條第1 款，原《合同法》第42 條、第43 條，《民法典》第500 條對締約過失責任的一般原則與具體適用進行論述，但以上先合同義務是否均能在我國實證法體系下證成，用以明確“訂立”的內涵，仍有待進一步討論。

放置于具體場景來分析德國法所確定“三階段”理論的應用價值，若該理論框架能籍以明確“訂立” 內涵，并無立法缺陷，即可為我國于該項進一步解釋提供參考。

在傳統線下購物場景中，如潛在的個人信息交易主體在進入門店或者營業場所時，且不問其是否有確定的購買意圖，可能僅有了解信息的意圖，均已進入“合同的準備”環節，?如若認可該階段系“訂立” 環節，則商家即可采集其個人信息，即使有必要性原則的限制，仍極易導致對個人信息的過度采集。因此德國《聯邦數據保護法》自2018 年刪除了原先第28 條第1 款第1 段第1 項的規定，?轉而采納了GDPR 中需“經信息主體要求采取措施”這一主觀要件以緩和原先的立法缺陷。

相比而言，線上場景中卻較難判斷，我國并未對此作出法律規定，比較法上可參照《國際合同使用電子通信公約》規定?進行區分。以常見的網絡購物為例，用戶瀏覽商品界面系商家為對不特定交易用戶發出可期待的信息宣傳，21可視為“合同磋商的開始”階段，此階段難以認為商家可以獲取信息主體的交易信息等個人信息；用戶將商品加入購物車的行為并未進入締約階段，應視為進入合同準備階段，22在此環節確實已涉及到個人信息，但此階段的個人信息是由用戶主動同意提供；用戶提交訂單則視為信息主體發出要約，23收貨人相關信息以及電話號碼為必需信息，如果用戶拒絕提供則可適用第16 條拒絕交易；“結賬”環節則屬于履行買賣合同的付款義務，24此階段可以適用本條未經用戶同意對其金融信息進行獲取。25 由此可見，在線環節也難以將先合同義務中“磋商的開始”作為合法性處理的基礎，而至于“準備”環節， 則通常也是由信息主體主動提供，并無法定許可適用之必要。

綜上所述，為避免過度采集和處理個人信息，合同訂立環節應當在解釋論上被嚴格地限縮，一方面承認合同成立以及之前的先合同義務中的“合同準備”階段系其訂立過程，另一方面也應規范“合同準備” 階段當且僅當具有信息主體主動要求這一要件時，才能作為處理個人信息的合法性基礎。

2. 合同履行階段

該項規定區分了“為履行合同所必需”以及“非必需”兩種條件，僅限“為履行合同所必需”方可為個人信息處理行為的合法性基礎，對于“特定但客觀上必要”的數據處理目的也被排除在限定范圍外。可見，“履行合同所必需”的要求顯然高過一般合同的履行條件，“必需”作為核心需被嚴格解釋。規范文本并未對該關鍵點作進一步地澄清，而EDPB 作為歐盟GDPR 的權威解釋來源，就GDPR 的相關類似規范（GDPR 第7 條第4 款）進一步指出，當數據處理者希望說明數據處理行為系基于履行與數據主體間的合同時，需要評估何為履行合同的客觀上必要（objectively necessary）。我國盡管對此并未明確規定，但《個人信息保護法》在第6 條中規定“與處理目的直接相關”，可以解讀為一種客觀標準，具體而言：

首先，“履行合同所必需”要求其指向行為為履行合同所必備要素，并不包括信息處理者單方面施加給信息主體的情況。例如，個人信息主體與房屋中介公司簽訂居間合同，為保證房屋的順利租賃，應當提供給中介公司個人身份信息、不動產相關信息，這是直接相關的信息，也是“客觀必要”的信息。但是中介公司如要求信息主體填寫收入信息以評估房屋轉售價格區間、其他不動產信息，這就是與處理目的并不直接相關，屬于信息處理者單方面施加而不能被豁免的情形。

其次，合同中包含了某些處理活動并不意味著信息處理活動系履行合同的必需。僅僅在合同中引用或者提及信息處理行為不足以適用《個人信息保護法》第13 條第1 款第2 項。這在本法落地之前的司法裁判中已經予以闡明，如“微信讀書案”中，盡管騰訊公司抗辯提出微信讀書不僅在《用戶協議》等文件中已告知用戶，還在具體使用場景中對用戶進行提示，其有權使用用戶讀書信息等信息。但是法院認為， 在未明確告知用戶的情況下，微信讀書將用戶的讀書信息開放，不符合用戶的合理預期，存在較高侵犯用戶隱私的風險。26可見實踐中平臺公司利用提供的電子格式合同與用戶簽訂協議，并不能成為認定依據。

最后，信息處理者應能夠通過合同具體條文以及合同雙方都理解的目的來證明其處理行為的必需性。這不僅需基于信息處理者的視角，同時也需基于締結合同時信息主體的合理視角，并考慮在信息處理行為不進行時，合同是否能被履行。

除此之外，信息處理者應當證明個人信息的處理行為是基于與個人信息主體之間的有效合同而產生， 且為履行該合同所必需，并且需要滿足《個人信息保護法》第5-9 條的原則性規定，才能依據《個人信息保護法》第13 條第1 款第2 項進行“同意豁免”。

（二）有效合同

《民法典》對合同效力性規定有有效、無效以及效力待定之區分27。有效合同于合同主體間形成“法鎖”，即所謂債之關系，為后續合同履行提供合法性基礎，合同主體處理信息的基礎也正是在于合同，是合同的締結使當事人之間產生合同法律關系，合同無效、撤銷（《民法典》第155 條）或者終止后（《民法典》合同編第七章以下）合同效力性喪失，自然喪失合法性基礎。具體情形包括但不限于違反法律行政法規效力性強制性規定的合同無效，惡意串通損害他人利益的合同無效，欺詐、脅迫等行為導致合同撤銷，當事人之間合同已經解除等。

一般而言，當合同基礎不再存續，實現合同目的自然無從談起，根據《個人信息保護法》第47 條第1 款第1 項與第2 項的規定，除卻第47 條第2 款的例外規定情形，處理個人信息不再為訂立、履行合同所必要，因此處理者需要停止處理該個人信息。比較法上，在“岡薩雷斯案”中，為在拍賣中獲取更多潛在競價者的關注，信息主體的個人信息出現在《先鋒報》的一份清單中，而在合同關系終止后，仍能通過搜索其全名獲取當時全部案涉信息，由此法院判定案涉信息存在不當性，具有“遺忘”之必要。28同樣于GDPR 第6 條第（1）款第b 項規定的合同必須有效29，如在成員國之間認為該合同無效，則其不能作為適用該項規定的法律依據。30由此可知，該項規定需以有效合同作為適用的前提，而在合同效力性終結后，合同目的自然不再存續，則處理主體應根據《個人信息保護法》第47 條的相關規定對信息主體的相關數據予以刪除。

五、主體要件

“個人作為一方當事人”存在兩層含義：第一，主體間應為平等主體關系，此為民事合同關系成立之要求；第二，一方當事人需為自然人，即信息主體，31另一方為個人信息處理者，其內涵不僅限于自然人，還可包括法人以及非法人組織，具體適用情形包含但不限于共同處理個人信息、委托處理信息、合并、分立等原因下轉移個人信息的規定、向其他個人信息處理者提供個人信息的情形。

（一）信息主體需要滿足年齡與民事行為能力雙重要件

對于無民事行為能力人與限制民事行為能力人是否能成為本項中的信息主體，存在不同觀點。支持者認為：第一，本項并未明確限制主體類型，應將其作為個人信息合法性基礎的統一規則；第二，根據《個人信息保護法》第31 條第1 款規定，個人信息處理者處理不滿14 周歲未成年人個人信息的，應當取得未成年人的父母或者其他監護人的同意，個人信息保護法中信息主體的特別規定旨在需要同意情形下為保護缺乏同意能力人（Einwilligungsf?higkeit）的權益，是“最有利于未成年人原則”的體現，32因此將本條作為一般規則，而輔以其他對特殊主體的例外規定，具有立法技術上的簡潔性。而反對者則認為，結合《個人信息保護法》第28 條可知，立法者將不滿14 周歲未成年人的個人信息囊括入敏感個人信息的范疇，參考《個人信息保護法》第二章中單獨一節對敏感個人信息的規定，可以得知，敏感個人信息和非敏感個人信息是《個人信息保護法》從規范個人信息處理行為的角度進行的一種重要分類。相較于非敏感個人信息， 敏感個人信息與信息主體的財產權和人格尊嚴有著密切的聯系，若敏感個人信息被泄露或非法使用，必將會對信息主體的人身、財產權益造成嚴重的損害，因此對于敏感個人信息的處理，應提出更加嚴格的要求。33在區分的基礎上，立法者針對信息處理者在處理規則上提出了不同的要求，有意提高處理者對敏感個人信息處理時的法定義務，因此對于敏感個人信息的處理不適用該合法依據規則。GDPR 中對于敏感個人信息以及第6（1）（b） 條的關系認定同樣如此，有學者認為，對于GDPR 第9 條意義上的敏感個人數據， 簽訂合同不會使為合同目的的敏感個人數據處理自動合法化。第9（1） 條規定的對敏感個人數據處理禁止的唯一豁免是第9（2）（a） 條規定的數據主體的明確同意。34

但細究以上相左觀點，可發現就實踐處理而言，兩方于主體范圍的認定上并無區別，即當信息處理者在處理不滿14 周歲的未成年人個人信息時，無法“無需對方同意”。但是《民法典》對民事行為能力以雙重判標作為劃分依據，即年齡（8 歲、18 歲、附加限制的16 歲）以及行為辨認能力（不能辨認、不能完全辨認），如此會產生民法與個人信息保護法之間的齟齬。在第28 條的制定過程中，其實對于14 周歲的年齡標準即有所論爭，支持觀點主要認為該標準與《未成年人保護法》第72 條保持了高度一致，但反對觀點不僅認為該標準以主體年齡進行分類，與該條下其他六項分類標準存在顯著差異，而且指出年齡劃分會在全球化背景下遇到窘境，不同國家對于民事行為能力的要求不同，情況也需要具體考量，如美國《兒童在線隱私保護法》（COPPA）即規定年齡13 周歲作為分類標準，這對于某些面向多國或全球開放的在線服務商有著較大的挑戰，不利于我國相關商業活動的開展。

更關鍵的在于，基于《民法典》第143 條的要求，訂立合同應當符合相應的民事行為能力，由此產生的問題：那些無法做出同意表示的主體，如何能適用本條規則？前已論述，本條的適用前提在于存在有效合同。因此，在具體處理中，首先對主體做民事行為有效性判斷，當且僅當存在有效合同時才適用本條；其次，對于不滿14 周歲的主體并不適用本條，本條與敏感個人信息相互嵌合，避免存在疊床架屋的立法缺陷。因此筆者認為，在具體實踐中，可參仿現行處理方案：信息處理者在未得到明確標識下時，一般將主體視為具有可簽訂合同能力的人，而在得到相關申請或其他信息能推翻以上假定時，再選擇適用如返還費用、刪除信息等處理行為。

（二）個人信息主體存在多方情形時應分別處理

個人信息處理者內涵包括自然人、法人與非法人組織，但對于信息主體內涵是否包括多方主體，并未明確。由于我國規定的是“個人作為一方當事人”，那么“訂立合同的主體”與“信息主體”不是同一主體時，此處的個人是僅僅指合同的主體還是包括合同涉及到的第三人抑或是涵蓋了別的范圍？

根據《民法典》第119 條所規定的合同相對性原則，“法鎖”僅存在于訂立合同的雙方當事人。為契合現代交易的便捷性以及效率性，代理制度便隨之誕生。代理制度由代理人以被代理人名義從事民事法律行為，其法律后果由被代理人承受。具體代理事項包括共同處理個人信息，委托處理信息，合并、分立等原因下轉移個人信息，向其他個人信息處理者提供個人信息的情形。對應實踐中存在兩種情形，第一為自然人作為代理人，則存有代理人與信息處理者之間的合同關系，代理人與被代理人之間的代理關系，此時被代理人無需介入合同關系中披露個人信息，因此僅適用于代理人與信息處理者之間；第二為組織機構作為代理人，同樣存在上述兩種法律關系。非自然人的組織無法作為本條的適用主體，而本人與代理人之間可以予以適用，“為訂立、履行合同所必需”的限度應當僅包括代理關系所必需，以及代理人代為訂立、履行合同所必需。

六、“必需”的判定標準

（一）既有框架下的審視

在現行法上，“必需”一詞在《個人信息保護法》中共使用7 次，“必要”一詞使用10 次，并在《刑法》《民法典》《 廣告法》等法律中均有使用。這些條文規定的“必需”，有的表達是“必需的物資”（如《安全生產法》第23 條、第93 條，《民法典》第949 條等），有的表達是“必需采取的技術手段”（如《基本醫療衛生與健康促進法》第15 條、《刑事訴訟法》第150 條等），有的表達概念模糊，但仍然體現直接關聯性（如《廣告法》第18 條）。臺灣地區“民法”第153 條2 項中“必要”與本文所論述的“必需”內涵相似，但有學者也指出，契約必要之點的認定欠缺直接的規定，而仰賴司法者對契約類型與當事人個案主張的判斷，并非唾手可得。35

反求于判例，司法實踐中對于“合同所必需”的認定主要分為兩類，第一類即指合同必備條款36，如李玄時、廣州市昌松老年旅游服務有限公司勞動爭議糾紛案件中，法院認為知識技能、學歷、學位、職業資格、工作經歷等為履行勞動合同所必需，勞動者均有如實告知說明的義務；37第二類則以具體判例的形式指出合同所必需要件，如甲公司與乙公司進出口代理合同糾紛再審案中，最高法院認為對外結算、支付、報關、商檢等手續履行是進口合同所必需等。38

在比較法上，《巴西通用數據保護法》（LGPD）第7 條規定“根據本法第四章的規定，公共行政部門處理和共享使用為履行法律法規所要求的，或者基于合同、協議或者類似文件所必須的數據”“應數據主體的要求，應履行以該數據主體為一方當事人的協議或者與該協議相關的初步程序所必需”，在這些情況下，個人數據是可以被處理的。其規定中的“初步程序”與“履行階段”與我國作出的立法安排如出一轍， 但其對于“必需”的確定仍不明確。《印度個人數據保護法案》（PDPB）第16 條中對為雇傭相關目的而必需的個人數據處理做出四種不同情形的詳細規定，相比我國法規，其對不需獲得同意的情形做了更為明確的限定。但是，其并沒有把“履行合同義務”作為合法處理的依據，這也就意味著在實際的業務中，會使得很多基于合同業務關系的個人數據的處理變得比較困難。在澳門地區《個人資料保護法》第6 條第1 款進一步對必要情況進行了規定，即“執行數據當事人作為合同一方的合同，或應當事人要求執行訂立合同或法律行為意思表示的預先措施”。相較于《個人信息保護法》第13 條第2 款，其進一步擴大了必要情況的具體情形。除適用于雙方當事人之間的合同外，其還可以適用于應當事人要求為訂立合同的預先措施以及基于當事人意思表示的預先措施。

而對我國個人信息保護法立法起草影響較大的GDPR，其在《歐盟基本權利憲章》第8 條39的基礎上， 確立了第6 條作為處理個人信息的合法性基礎，以及該條適用的前提，即基于“特定的目的”。歐盟數據保護委員會（The European Data Protection Board，簡稱“EDPB”）指出，考慮到日益重要且內容豐富的在線服務背景，通過制定第6 條下第1 款b 項，以此對個人信息處理的適當性提供指導，為相關信息服務的適當限制提供合法性基礎。40對于“必需”的判定，其提供了一種整體評估的視角，不僅要契合GDPR 第1 條所規定的目標，以及第5 條所確定的目的限制原則、最小化損害原則等，而且需要探求合同主體的“合理期望”，即需基于合同目的本身作“必要性”的判斷。具體如EDPB 認為Meta 平臺在其用戶服務合同中增加的“個性化廣告服務條款”并不屬于“必需”，因為信息個體只將其作為一個聊天工具，缺少“推送廣告” 的合理期望，所以對其進行巨額罰款。41而值得注意的是，該項決定推翻了此前愛爾蘭數據保護委員會做出的決定。由此可見，盡管上述指引為判斷準則確定了解釋的考量要素，但仍然存在主觀解釋以及自由裁量的空間，容易導致“同合同不同判”的結果。

因此，在既有經驗材料下，立法上尚無對于“必需”的明確解釋，司法中也并未形成明確規則，有待于此后就個案形成指導判例，在比較法上可以借鑒采用明確的立法或者司法解釋予以澄清，也可在司法過程中結合《個人信息保護法》的“必要性原則”進行利益衡量確定是否為“必需”。但是，對于現有的立法缺陷，在規范法視角下，更應當以漏洞填充方式應對該條之闕如。

（二）目的論下的解釋

“必需”作為一種利益平衡下的產物，其目的在于保護交易與經營自由，合同的訂立與履行需要以信息主體的個人信息作為必要的基礎，處理這些信息符合合同各方的利益，因此于“必需”的判定，應當考慮可能影響雙方當事人利益之要素，諸如合同類型、性質、目的和內容，交易習慣等等。對如此不確定的法律概念進行裁判，立法者也期待并且授權法官對此進行利益權衡。結合《個人信息保護法》的“目的限制原則”，其不僅體現在搜集階段要求目的明確，也要求在實際使用個人信息階段的目的不得與約定的目的相悖。42體現于合同的訂立、履行過程中，具體要求如下：

1. 與產品或服務直接相關的合同

除卻前文所述對合同應當限制為民事合同這一前提外，條文中的“合同”也應當理解為同產品或服務直接相關的合同，而非僅將個人信息處理行為作為合同目的的合同。在Huber 案件中，歐盟法院根據歐盟EC 95/46 號指令認為，德國中央登記冊上管理與外國公民有關的信息登記是不“必需”的，這種出于統計目的在存儲與處理個人數據之間并非“直接相關”43。申言之，案例法中所提及的“直接相關”，在于信息主體所提供的個人信息與合同所提供的產品或者服務需為直接關系，而非間接關系，如EDPB 第2/2019 號指引中所提及的，為改進現有服務或在現有服務上開發新功能而進行的數據處理是不合適的，雖然實踐中多數信息處理者會將改進及修改服務列為合同條款中的合同目的，如Meta 公司利用所謂的“合同”， 未經用戶明確同意，將其數據用于個性化廣告推送，被處以3.9 億歐元的天價罰單。44根據該條文意旨，以及EDPB 于Meta 案件中的觀點，通常認為廣告等處理不能被視為是履行與用戶間的合同所客觀必要的條件，否則平臺方即可利用提供格式合同方的優勢地位，架空個人信息主體的知情同意規則，對此應當對“直接相關”做嚴格地目的性限縮。

2. 將合同目的作為判斷基準

“必需”是合同目的的直接體現，則需探求合同目的以作為判斷基準。合同目的的確定，首先應當依據當事人之間的約定，若無約定或者無法確定合同目的，則可嘗試探究理性當事人于合同訂立階段，為追求何種利益而決定訂立合同。45其后可以根據合同性質以及必備要素進行綜合考量，最終才求助于法官的自由裁量。如此規定，理由在于：一方面，通過雙方意思自治原則以限制法官的價值判斷，從而限縮法官自由裁量權。對于合同目的與“必需”的探求，不能單純地通過經驗來確認，也不能通過自證（直覺主義）來加以論證。另一方面也在于具體場景難以為法律文本所窮盡，法律具有其固有的不周延性，賦予個案一定的自由裁量可以以一定程度法律確定性價值的犧牲，達成個案正義。

3. 是否符合“最小影響”原則

“最小影響”原則（data minimisation）由歐盟GDPR 中第5 條第1 款c 項所確定，用以指導個人數據處理活動中“必需”的概念范圍。在Schecke 案中，德國聯邦農業和食品局（Bundesanstalt）的網站向公眾提供EAGF 和EAFRD 援助受益人的姓名，法院認為這構成了對信息主體私生活的干擾，最終判決刪除部分信息，采用侵害性更小的措施來讓政府履行其信息公示義務。46此后，歐盟Rīgas satiksme 案件中重申了這一點，認為“關于處理個人數據的必要性的條件的理解，應牢記必須僅在絕對必要的情況下，才能適用與保護個人數據有關的減損和限制”47。同樣在我國《個人信息保護法》中，盡管并未以單獨條文的形式展現這一原則，但是在該法第6 條“目的限制”原則中，可以引申出至少包含目的特定、直接相關、最小影響三個層次的內涵，根據一般條款與第13 條之間的關系，可得知對于“必需”的確定，不僅需要基于合同目的對“必需”進行評估，還需要進一步比較為實現相同目的的各處理行為間影響性的大小。

（三）引入“場景理論”作漏洞填補

上述以多種解釋工具對“必需”的內涵進行豐富與細化，但是傳統解釋框架囿于法律自身的局限，不免有不確定性及僵硬性的缺陷。基于信息流動與隱私保護有具體適用場景的特點，“場景理論”（contextual integrity theory）被提出，該理論相對于傳統理論更為準確，也更符合信息規范，可有效規范信息主體于各種場景下的行為，其近來已成為個人信息保護領域具有較強解釋力的學說。自海倫·尼森鮑姆（Helen Nissenbaum）提出該理論以來，48美國立法如《消費者隱私權利法案》（The Consumer Privacy Bill of Rights， 以下簡稱“CPBR”）、《2018 年加州消費者隱私法案》（California Consumer Privacy Act，以下簡稱“CCPA”） 等信息保護立法即貫徹該理論，以“場景”為核心界定個人信息的保護限度。其后有鑒于“場景”的流動性與易變性，《2020 年加州隱私權法案》（The California Privacy Rights Act，以下簡稱“CPRA”）采取“初始目的”與“場景路徑”雙重認定模式，以進一步更好認定信息處理行為正當性與否。國內也有部分學者意識到該理論的潛在價值，試圖將其引入以加強個人信息的保護，49甚至有學者認為可以“場景與風險導向” 替代知情同意規則。50

與此同時，盡管我國仍依從歐盟GDPR 主要以傳統的“知情- 同意”規則架構為基礎，但在行政法規、規章類如《區塊鏈信息服務管理規定》《互聯網新聞信息服務管理規定》等中，其他規范性文件如《移動互聯網應用程序信息服務管理規定》《互聯網信息搜索服務管理規定》等均對細化的場景進行描述。可見， “場景理論”作為“必需”的法律漏洞填補的嘗試，無疑具有重要意義。

在《個人信息保護法》框架下，“場景理論”并非一味追求個人信息主體的同意。而是需要結合信息處理時的具體場景因素，引入法律規范、行業規則、商業習慣、合理期待等作為判斷規則，聚焦于合同的訂立、履行過程，在“場景授權”下被認為能被豁免同意的信息處理行為，便可視為是“必需”的行為，無須個人信息主體的進一步同意。

基于《民法典》合同編對有名合同與無名合同的處理，可對“場景理論”中的信息類型、參與主體、傳輸原則三要素加以改造，進而形成圖1 中具象化的裁判規則，對訂立、履行合同所必需的判斷提供指引。首先確定合同類型，有名合同于《民法典》合同編有明確條文提供指引，且此類合同在實踐中已形成高度共識，較為容易判斷。但對于無名合同以及存在合同聯立的情形，則需進入第二階段的判斷，即明確合同關系的內容以及基本目標，對此不僅需要以信息處理者的合理視角判斷，更應當以信息主體的一般視角確認合同的真實目的；后續的兩步是對于第二階段的補充，在法律、行政性法規以及其他規范性文件能予以明確的情況下，一般采信其效力，未予明確的，結合商事習慣，以一般人的視角做出判斷。

在既有司法實務中，具備將“場景理論”作為判斷“合理預期”的實踐經驗基礎，如在法律咨詢場景中，當事人向律師陳述其糾紛時，雙方處于“合同準備”階段，系“訂立個人作為一方的合同”，合同類型為服務合同，內容為當事人提供案件相關事實與個人信息，律師提供法律服務；對合同的必備要素確定可根據律師執業倫理以及《律師法》的規定，當事人信息的提供并非是一種自愿性原則，而是近乎強制性規則，律師也應當遵循對當事人的信息嚴格保密原則，由此可確定，當事人與辦案相關的個人信息系本項下的“必需”。又如在信貸場景，借款人與銀行訂立貸款合同，根據《貸款通則》第27 條的規定，銀行需獲取借款人的征信等個人信用信息，51則這些信息為本項下的“必需”。在并無規范文件可供參照情況下，訴諸常識或共識也能確定其內涵，如借貸合同中，債權人取得債務人個人信息并進行催討，屬于在合理預期內， 可認為是社會生活常識，不構成侵權，52但如果債權人取得債務人多位親友聯系方式，撥打騷擾電話以及群發短信催討債務，則并不符合合理預期，不構成履行借貸合同所“必需”。53

通過以上分析可發現，靜態的個人信息保護存在個體主義的特征，存在“必需”內涵難以界定、知情同意規則式微的困境。但若將社會視為場景，則可借助各社會領域既存的規范以及感性認知加以動態保護，拋開既往對“必需”的準確定義，代之以場景標準，其可能是明示的規則或法律規范，也可能隱含在慣例、實踐或習慣中。54鑒于此，可嘗試引入該理論填補“必需”判定的漏洞，為該項的切實落地實施提供基礎。

七、條文的體系解釋

除上述討論外，對于“為訂立、履行個人作為一方當事人的合同所必需”（《個人信息保護法》第13條第1 款第2 項的前段）的理解，還應當結合《個人信息保護法》第6 條、第16 條以及《民法典》第1034 條-1039 條做出合理的體系解釋。

（一）本項與第6 條

無論何種類型的個人信息處理活動，都應當受到原則的限定。《個人信息保護法》第6 條規定為“目的限制原則”（the principle of purpose limitation），被譽為個人信息保護法上的“帝王條款”，其內涵之豐富至少包含目的特定、直接相關、最小影響三個層次。55結合第13 條第1 款第2 項的規定，可理解如下：第一， 在目的特定的要求下，合同訂立、履行的目的應當僅限于單次合同本身，并不涉及后續其它行為；第二，在直接相關的要求下，合同目的同產品或服務直接相關，而非僅將個人信息處理行為作為合同目的；第三， 在最小影響的要求下，要求符合比例原則的“最小損害”規則，盡可能減少對于個人信息的處理，質言之， 若存在有現實的、侵入性更小的替代方案，則該處理即不符合“最小損害原則”，屬于非“必需”。映射于具體應用之中，應當首先考察是否符合本條的法定情形，再結合第6 條判斷是否符合原則性規定。如平臺作為信息處理者，在與自然人訂立、履行買賣合同時，不能對個人信息一攬子收納，而應當遵從目的限制原則，僅限于個人地址、移動電話號碼兩類個人信息，無權將用戶身份證號等個人信息認為“必要”個人信息。但是原則本身較為抽象，且內涵的適用需要根據個案進行解釋，需要配套制度以及判例對其具體化， 現有《常見類型移動互聯網應用程序必要個人信息范圍規定》第3 條對此作出解釋，56并對常見的39 類App 需要處理的必要個人信息范圍以規章形式作出指引；司法實踐中或根據具體場景判斷，或根據發生背景判斷57，但總體并未形成一致的裁判規則，仍亟待實務和司法審判進一步結合具體場景開展研究。

（二）本項與第16 條

《個人信息保護法》第16 條規定：“個人信息處理者不得以個人不同意處理其個人信息或者撤回同意為由，拒絕提供產品或者服務；處理個人信息屬于提供產品或者服務所必需的除外。”該條規定在個人信息是“必需”情形下，賦予信息處理者選擇交易與否的權利，但無論何者，都應當履行告知義務。

實踐中，本條的意義更多體現于規制信息處理者濫用知情- 同意制度的行為。例如，在網絡合同訂立過程中，提供方常常設置冗長且復雜的“迷宮條款”，目的在于規避法律風險，獲取用戶的“同意”。用戶與提供方不僅存在“信息鴻溝”，更多情形是平臺以禁止用戶使用APP 為“要挾”而要求其使用某項服務——用戶只要不同意手機App 等互聯網應用所要求的概括同意，就完全無法使用或在相當程度上無法使用該App 的服務。58但從信息處理者角度出發，在大數據時代，個人信息處理量級以萬級計數，在此情況下，需要征求海量的用戶同意必然導致信息處理利用效率下降，進而對經濟與社會發展造成影響，損耗消費者可得福利。

對于本條與第13 條第1 款第2 項兩者之間存在的聯系，即當個人信息屬于“必需”時，信息處理者既可以選擇依據第13 條無需個人同意處理其個人信息，也可以根據第16 條拒絕提供服務或產品。在交易場景中這是不言自明的道理，如在網絡購物場景中，買家不同意提供相關地址、聯系方式信息，后續合同履行顯然難以為繼。并且本條也受第6 條目的限制原則的約束，使得信息處理者無法“要挾”用戶提供個人信息。本條的主要規范目的其實在于前半句，切實落實“知情- 同意”規則，規制信息處理者的強制締約行為。

（三）本項與第20、21、22、23 條

基于目前線上、線下交易主體呈現多元化、復雜化的樣態，法律如欲對其加以規制或調和，得需先對法律主體間的關系加以明確。《個人信息保護法》第20-23 條即對個人信息處理中多方主體的權責進行了細化規定。第20 條規定了共同處理個人信息的情形，常見于目前平臺的“生態鏈”，包括但不僅限于母子公司以及股權控制關系的多公司，個人經同意允許一方信息處理者遵循雙方的協議處理其個人信息，共同處理者根據法條規定也應當符合其先前的協議約定，存在相同的處理目的和處理方式，因此，第13 條第1 款2 項也同樣適用于共同信息處理者；第21 條規定了委托處理個人信息的情形，委托人與受托人成立委托合同關系，如數據分析、數據營銷，但是需要注意在此種情形下，并不當然符合第13 條第1 款第2 項的豁免情形，理由在于，以個人為一方的合同訂立、履行可能并非以此作為“必需”，應當取得個人同意； 第22 條是存在合并、分立等原因下轉移個人信息的規定，由于法律主體地位發生變化而導致個人信息轉移，本條承繼《民法典》第67 條1 款的規定，新主體對債權債務繼受取得，在原處理方式、處理目的下繼續履行義務；第23 條規定向其他個人信息處理者提供個人信息的情形，屬于系列條款中使用最為頻繁的法條，個人信息處理者在多方場景中分為提供方與接收方的角色，例如在網約車場景中，無論是營運車主與用戶之間成立了獨立的運輸合同關系（則可直接適用第13 條）抑或是用戶僅與平臺成立、與營運車主之間并未成立合同關系（則可認為營運車主為接收方，適用第23 條），平臺作為信息提供方，營運車主作為接收方，無需再次取得個人同意。

（四）本項與第28、29、30、31 條

敏感個人信息關乎個人的人身、財產安全，《個人信息保護法》以第28 條至31 條對于敏感個人信息從定義到處理規則作出了規定。對于敏感個人信息的內涵，我國在《個人信息保護法》出臺之前，并未明確敏感與非敏感個人信息的區分，直至該法確立后于第28 條規定：一旦泄露或者非法使用，容易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害的個人信息，包括生物識別、宗教信仰、特定身份、醫療健康、金融賬戶行蹤軌跡等信息，以及不滿14 周歲未成年人的個人信息。由此可以看出，在個人信息保護法制定的時候，立法者可能考慮到我國社會的普遍關注等多方面原因，使用了“概括+ 列舉”的定義方式，并采用“等信息”一般概括條款作立法上的法律保留。此種立法技術優勢在于，能為立法者以及司法者在應對新興技術挑戰時從容解釋，但缺陷也在于“射程”過于寬泛。敏感個人信息對于信息處理者有更高的處理要求，將該條泛化解釋可能會導致個人信息私權與公權關系失范，由此有兩條進路能予應對，其一是嚴格解釋，避免“向一般條款逃遁”，其二則在于明確合法性基礎與敏感個人信息處理之間的關系。

就其一而言，在比較法上對于敏感個人信息的內涵有不同的界定，并采用了不同的立法技術。2018 年的《個人數據處理中的個人保護公約》（The Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data，以下簡稱“公約”）在1981 年、2012 年兩版公約基礎上修訂，“個人數據自動化處理”更改為“個人數據處理”，從而擴大了公約的適用范圍，以應對日益進步與發展變化的互聯網信息技術。該《公約》第6 條規定，特殊類型的數據（即敏感數據）包括基因數據，涉及犯罪、刑事制裁和相關安全措施的數據，可以識別個人身份的生物特征數據，涉及個人的種族、政治觀點、工會成員資格、宗教信仰或其他信仰、健康或性生活的數據。而GDPR 在其基礎上，又特別強調了基因數據、為了特定識別自然人的生物性識別數據也應被納入保護范圍。有別于這兩種具體列舉的立法模式，日本《個人信息保護法》則與我國相同，于第2 條第3 款為敏感個人信息規定了“其他不利益而需要在處理上予以特別注意的記述等之個人信息”。我國臺灣地區的“個人資料保護法”第6 條也同樣采用該模式。

由此可見，我國《個人信息保護法》的立法模式并非無的放矢，如未列舉但在比較上予以肯定的性生活記錄、犯罪前科等信息，均可被解釋入第28 條第1 款的“等信息”這一概念中，但與此同時敏感個人信息的邊界為何，這一問題并未得到解決，只能仰賴于相關司法解釋或實踐判例，或以標準文件的形式予以細化規定59。對于涉及到社會公益的場合，則需對合法性基礎這一進路與敏感個人信息的調適進行解釋。

敏感個人信息的特征在于“敏感性”，即法條中所表述為“一旦泄露或者非法使用，容易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害”，所以處理敏感個人信息需要有嚴格的要求。但同時也需要認識到，處理敏感個人信息的場景也往往關切到自然人巨大的利益，如在醫療場景中，只有對信息主體作為病患的既往病史有充分了解，才能對癥下藥；又如在新冠疫情期間，只有對信息主體的行蹤軌跡信息有足夠精確的把握，才能篩查與防范潛在的傳染風險。因此，在比較法上，如歐盟的《一般數據保護條例》，韓國的《個人信息保護法》以及我國臺灣地區的“個人資料保護法”均作出例外規定。而我國盡管沒有明文確立例外規則，但可就《個人信息保護法》第13 條作為合法性基礎一般規范，與敏感個人信息具體場景中的適用進行法教義學上的改造。

我國《個人信息保護法》在第28 條規定了“具有特定的目的”以及“充分的必要性”這兩項要件：前項源于《個人信息保護法》第6 條目的限制原則的要求，對于敏感個人信息的處理在“明確、合理的目的” 要件之上增設了“特定的目的”這一限制，即只有當且僅當“特定”場景發生時，方可處理敏感個人信息。因此該條中的要件也有別于《個人信息保護法》第13 條第1 款第2 項的一般要求，需進一步將合法性基礎中的“必需”限定為“特定”這一概念。而“充分的必要性”這一要件則可等同于“必需”之概念，要求“與處理目的直接相關”，并且對于個人信息的收集要求“限于實現處理目的的最小范圍”。

但是第29 條對于處理敏感個人信息應當取得信息主體單獨同意或者書面同意的規定，使得前述論證存在齟齬之處。就第29 條的立法目的而言，其一方面通過單獨的同意規定警示信息主體敏感信息處理的關切性，另一方面也極大程度避免了信息處理者利用格式合同“繞道”同意規則。由此就目的解釋而言， 第13 條規范作為合法性基礎如被嚴格解釋，并非會阻礙第29 條的立法目的實現，合法性基礎應服膺于第29 條的立法目的之下。而從體系解釋來說，第13 條位于第一章總則，根據“總- 分”這種被濃厚德國潘德克頓體系影響的立法體例，合法性基礎應具有統率作用。在兩種解釋工具似乎出現矛盾的情況下，還需落腳于最先發的文義解釋之上。“必需”這一法律概念正如前述，具有極大的張力與彈性，因此需要采用多種解釋工具加以細化，而當敏感個人信息作為處理對象時，不僅需要在前述基礎上明確，還需要進一步將“必需”限定于“特定的處理目的”要件范圍內。

而第30 條要求在處理敏感個人信息過程中，個人信息處理者需要履行告知義務，除非依據《個人信息保護法》第18 條和第35 條的規定免予告知。該條為處理敏感個人信息的特別告知事項，并不與第13 條確立的合法性基礎相矛盾，系屬于公開透明原則的應有之義。除此之外，《個人信息保護法》還于第51 條確立了敏感個人信息處理者的管理與保密義務，與該條相輔相成，為信息處理者依據合法性基礎處理信息后的相關義務加以明確。

八、舉證責任

根據羅森貝克的證明責任一般原理，關于“合同所必需”的成立以及內容，由主張其適用的一方承擔證明責任。證明內容不僅需證實應當被認定為“必需”的事實存在，而且應當證明其信息處理行為符合目的限制原則，符合“必需”價值。在舉證不利或不能情況下，需承擔如下風險：法官依照商業習慣、雙方意愿、合同目的等判定其未經同意的個人信息處理行為并不受第13 條所豁免，信息處理存在侵權行為。主張其存在一方通常為“信息處理者”，當然，個人信息主體也可能主張該項，以證明相對方具有信息處理的合法性基礎。但應當認為這種主張構成“事后的同意”并非是一種“事前、事中同意”，并無法成為一種自認以改變原“未經同意處理個人信息”或者“超出同意范圍處理個人信息”的法律事實。