张建文，刘啸天

(西南政法大学 民商法学院，重庆 401120)

一、问题之提出

2020年5月28日通过的《中华人民共和国民法典》(以下简称“《民法典》”)第999条确立了人格权合理使用的一般规则。条文以公共利益对自然人人格权进行限制，规定为公共利益实施新闻报道、舆论监督等行为的，可以合理使用民事主体的个人信息等人格权益(1)2020年5月28日通过的《中华人民共和国民法典》第999条规定：“为公共利益实施新闻报道、舆论监督等行为的，可以合理使用民事主体的姓名、名称、肖像、个人信息等；使用不合理侵害民事主体人格权的，应当依法承担民事责任。”本文只讨论个人信息的合理使用。。其后，《民法典》在人格权编第六章“隐私权与个人信息保护”中的第1036条以免责事由的方式规定了处理个人信息可获合理使用的具体情形[1]，结合总则部分的原则性规定和侵权责任编的具体规定，这些情形共同构成了《民法典》中个人信息合理使用法律的规范体系。有学者据此认为，个人信息合理使用在规范意义上的界限已然确定，并据此归纳出涵盖实施新闻报道、舆论监督等行为与维护公共利益、维护自然人的合法权益、处理已合法公开的个人信息四种情形的情形边界[2]。实际上，《民法典》对个人信息保护的规定只属于总括规定，具体条文中不乏“其他”“等”此类指代不明且主观性强的描述，大量条款均有待在单行法中进一步完善，过早对合理使用作出周延性的界定尚显草率。

有关个人信息合理使用规则适用情形的问题主要集中在商业用途是否可以构成合理使用这一焦点上。有学者认为，公共利益是限制人格权的主要理由，在适用合理使用规则时，必须从公共利益出发，以公共利益作为必要要件对具体情形作进一步审查[3]。与此相反，也有学者从个人信息共享的角度出发，认为可以参考欧盟《通用数据保护条例》中的规定，以正当利益作为合理使用的目的导向，将数据控制者或第三方的合法利益与公共利益、数据控制者的法定职责及数据主体或其他自然人的重大利益一同归在正当利益的项下被赋予处理的合法性[4]。更有学者另辟蹊径，结合对具体案例的分析(2)见北京互联网法院(2019)京0491民初6694号民事判决书，以下简称“抖音App案”。，认为对信息主体进行过高程度的保护将会导致具体情形下的利益失衡，使信息处理者的成本过高且不利于信息产业的发展，进而论证提出可以在特定情形下将特定行业的利益视为公共利益，商业用途自然也就在个人信息合理使用的“开放情形清单”之内[5]。此外，也有学者从防止个人信息中体现的人的尊严性的贬损和个人信息合理使用的扩大化倾向的角度出发，认为不应在法律条文已有较为明确规定的情形下，任由司法恣意扩大信息处理中合理使用和豁免民事责任的情形[6]。

合理使用的情形清单应是一个开放性、动态性的清单，应结合科学技术、经济社会发展水平进行适时修正。作为信息处理者处理个人信息的合法性基础，知情同意原则自从确立以来就在个人信息保护领域占有不可动摇的地位。但就国内外的实践情况而言，知情同意原则在实际作用时面临困境，很难发挥预设的作用，甚至只是形同虚设，进而致使以此为基础的个人信息保护制度被架空[7]。知情同意原则所面临的困境由信息的自身特性决定，因此只能采取其他措施在程度上对该规则的缺陷进行弥补，但无法彻底解决问题。据此，有学者提议引入经济激励机制，使信息处理者与信息主体共享信息利用过程产生的经济收益，将其作为实现个人信息保护与信息利用自由双重目标的一种平衡方案[8]。合理使用规则本就是在特殊情形下对知情同意原则的一种变通，在面对现实情形中的个人信息保护与利用难以平衡的困境时，不如大胆承认商业用途中个人信息合理使用的合法性。实际上，根据司法实践和现有法律规定，个人信息的合理使用也并不必然排除出于商业目的的使用[5]148。

法律对个人信息进行保护具有保护个人信息权益和促进个人信息合理使用的双重目的。在承认商业用途中合理使用的合法性前提之下，需要进一步完善相关制度设计，构建个人信息合理使用的外在制度限制。个人信息蕴含人格尊严价值和资源价值，目前我国立法侧重于对人格尊严性的保护，普遍忽略了信息处理者的权利保障，但相关国家标准和司法裁判已开始逐步肯定信息业者在信息业务中所具有的正当利益[9]。全国信息安全标准化技术委员会发布了《信息安全技术 个人信息安全规范》，在“5.6征得授权同意的例外”一条中列举了11项无需征得同意即可收集个人信息的情形。其中，“维护所提供产品或服务的安全稳定运行所必需的，如发现、处置产品或服务的故障”一项可视为因商业用途而合理使用的开端。此规范虽然没有强制适用的效力，但仍可在一定程度上反映其中的价值导向。在司法实践中，“抖音app”一案的法官认为，可以在具体应用场景中考察某个商业用途是否构成个人信息合理使用的情形，这实际上在司法中确立了商业用途合理使用规则，为判断信息处理者处理行为合理与否提供了一条新的思路。在此背景下，如何对个人信息的合理使用进行合理规制是亟需解决的问题。笔者主要从个人信息商业用途合理使用正当性证成与个人信息合理使用中“合理”的判断标准两个方面展开论述。

二、扩张中的个人信息合理使用：从公共利益到商业用途

(一)个人信息合理使用的提出与发展

合理使用规则发端于18世纪英国的判例，法院承认节略行为(abridgement)具有合理性，认为合理地使用他人著作具有公益性质[10]。经过长期的发展，合理使用制度于1911年正式进入英国的版权法。合理使用是现代各国在著作权领域普遍采用的一项制度，多数国家在立法条文中对合理使用的范围、条件等均有列举规定。

个人信息合理使用是参照知识产权领域的合理使用制度，结合个人信息保护法律的规定和司法实践总结而来的一项规则，其本旨是为了维护公共利益的用途而对权利人的权利行使进行限制。个人信息合理使用规则具有以下特点：第一，个人信息合理使用实际上是对个人信息处理中知情同意原则的豁免；第二，个人信息合理使用的范围包括可不经信息主体同意而对个人信息进行处理的所有情形；第三，个人信息合理使用的本质是法律基于利益平衡对人格权益进行的限制；第四，表达用语具有多样性，我国《民法典》有“合理使用”“合理实施”“免责事由”三种表述，还有欧盟《通用数据保护条例》(General Data Protection Regulation,GDPR)采用“处理的合法性”的说法，日本的“例外情形”等。

现代社会科学技术及创新创作在不断更新发展，严格的合理使用制度已不能满足司法实践的需求。“转换性使用”规则即是对合理使用的外部引导，由美国联邦最高法院于1994年在“Campbell”一案中确立。转换性使用规则意在通过引导创新性使用，使原作品在使用中被赋予新的价值、功能或性质。转换性使用规则的优势主要体现在对合理使用规则价值判断基础的调整[12]，不再考虑使用目的的限制，以全新的、更偏向于效益的角度对合理使用的检验标准进行重构，实际上也为以商业用途为目的的合理使用合法性基础提供了开端。更有学者以用户创造使用(user generated content，UGC)著作权的合理使用为视角，提出在我国现有制度的基础上构建更加开放的合理使用制度是最佳选择，因为这样既有实际司法经验的支持，也符合UGC的发展需要[13]。

(二)个人信息合理使用规则的域外规定

合理使用规则实际上是对知情同意原则的法定豁免，将其引入个人信息保护领域以来，已被包括我国在内的多个国家采纳。尤其是新型冠状病毒肺炎疫情(以下简称“新冠肺炎疫情”)爆发之后，在重大公共卫生事件中基于公共利益的需要对个人信息的合理使用为疫情防控工作提供了巨大便利。纵观各个国家和地区的个人信息保护法律制度对合理使用内在界限的规定，描述上虽有差别，但总体趋于一致，可为我国相关立法提供参考。

1.域外立法中个人信息合理使用的具体情形

欧盟GDPR对合理使用的规定主要体现在第6条“处理的合法性”、第9条“对特殊类型的个人数据的处理”和第23条“限制”三个条款中。GDPR关于处理个人信息合法性的规定因逻辑严谨、考虑周详而略显繁杂。概括来说，根据GDPR的规定，五种未经同意处理个人信息情况可援引合理使用规则进行豁免：一是为了公共目的的需要，数据控制者履行法定职能或执行任务的需要；二是紧急情况下为了保护信息主体或者其他自然人核心利益所必须；三是信息主体已经合法公开的信息，信息处理者对其处理不受限制；四是非盈利机构正当活动的需要或者为了科研目的利用，并采取合适和特定的保护措施；五是信息处理对于信息控制者或第三方所追求的正当利益是必要的。同时，在紧急情况下，如在疫情防控期间，除了按照GDPR等数据保护的相关规定收集处理信息之外，欧盟成员国也可以采取紧急立法，放宽法律对个人信息保护的要求[14]，以求更好地保护出于更高位阶的利益。除GDPR之外，巴西《通用数据保护法》第7条和第10条、日本《个人信息保护法》第16～18条以及我国台湾地区“个人资料保护法”中多个条款均对个人信息收集和处理过程中的合理使用情形作出规定，其范围与GDPR的有关规定大致相似。

2.域外立法中基于商业用途的个人信息合理使用

GDPR第6条第1款规定，“处理对于控制者或第三方所追求的正当利益是必要的”，信息控制者的处理行为具有合法性。对于此处“正当利益”的理解，GDPR前言部分曾对具体范畴进行了列举，其中就有“市场营销”一项。GDPR之前的《欧盟数据保护指令》就有对正当利益条款的规定，更进一步地，GDPR直接将“市场营销”列入“正当利益”之中。欧盟对信息的商业使用持允许和鼓励的态度，为信息业者出于商业用途合理使用个人信息留下空间[4]59。

除欧盟之外，其他国家个人信息保护法律的合理使用规则也大都准许数据控制者为了自身利益合理处理个人信息。巴西《通用数据保护法》第7条对此有与GDPR近乎一致的规定，“个人数据在为满足控制者或第三方合法利益所必须时可被处理”，承认为商业用途合理使用个人信息的合法性。日本《个人信息保护法》第18条规定，“有可能因将该个人信息的利用目的通知给本人、或者予以公布，而侵害该个人信息处理业者的权利或正当利益时”，个人信息处理者可无需将变更后的信息利用目的通知本人或者予以公布，相当于间接承认了为某种程度上基于商业用途的个人信息合理使用。我国台湾地区“个人资料保护法”虽未直接规定信息控制者可为自己的正当利益合理使用个人信息，但在第18条规定“对当事人权益无侵害”时，非公务机关可以对个人资料进行收集或处理而无需经当事人同意，可见台湾地区也未将出于商业用途的个人信息合理使用情形排除在外。

3.域外立法中个人信息合理使用规则的参考价值

与我国相比，域外个人信息领域方面的立法开始较早，经过长时间的修改和完善，基本形成了可以合理应对个人信息保护问题的法律体系，对我国立法具有相当的参考价值。个人信息合理使用效仿知识产权领域的合理使用规则，诸多国家的个人信息保护立法皆有相似规定，其中细节虽有不同，但大体上在适用范围和判断标准上保持一致。我国个人信息保护方面的立法起步较晚，但可以利用后发优势，在吸取其他立法例经验教训的基础上，形成更具体系性、更加完善的法律规范。我国《民法典》对人格权益的合理使用规则进行总体性的规定，具体到个人信息保护领域，可以在即将颁布的《中华人民共和国个人信息保护法》中进行细化，确立范围明确、标准清晰的个人信息合理使用规则。

(三)个人信息合理使用在我国立法中的解释

在数字经济时代，个人信息的收集、处理和利用等方面的技术迅速发展，个人信息成为重要的资源，在促进商业发展、增进公共福祉的同时也要注意对信息主体的保护。个人信息包含人格尊严和自由价值、商业价值和公共管理价值，立法时要考虑到三方利益的平衡[15]。正确的做法是先确认信息主体享有的民事权益，同时规定个人信息合理使用制度，有效地对信息主体的民事权益、信息自由、商业活动自由和公共利益进行协调[16]。因此，合理使用不应仅局限于公共利益之目的。

1.《民法典》规定

《民法典》第999条规定，“为公共利益实施新闻报道、舆论监督等行为的”，可以合理使用个人信息等人格权益，这并不意味着对个人信息的合理使用一定要以公共利益为前提。此条规定在人格权编的总则部分，属于关于人格权的一般性规定，意指自然人的人格权均要受到因公共利益而进行的新闻报道、舆论监督等言论自由行为的限制，不能据此认为此条就构成了合理使用的周延性前提。理由如下：第一，《民法典》第999条中对于合理使用情形的规定不够全面，仅新闻报道、舆论监督无法满足司法实践的需求，还需个人信息保护领域的其他立法对其进行完善。第1036条补充了合理使用的个人信息，包括“合理处理该自然人自行公开的或者其他已经合法公开的信息”在内的其他情形。虽然是以免责事由的方式对个人信息处理行为的责任豁免进行规定，实际上与合理使用的效果别无二致。第二，合理使用并非只能出于公共利益的目的。第1020条关于肖像权的合理使用条款规定，必要时可以为“个人学习、艺术欣赏、课堂教学或者科学研究”的目的合理使用已公开的肖像，实际上已将合理使用的目的扩张到公共利益之外。第三，《民法典》第1023条引致性条款规定，“对姓名等的许可使用，参照适用肖像许可使用的有关规定”。根据此条立法理念，对个人信息的处理也可以参考第1020条的规定。虽然第1020条并未直接规定商业用途，至少可以说明个人信息的合理使用并非只能出于公益目的。

2.其他规定

《中华人民共和国个人信息保护法(草案二次审议稿)》(以下简称“《个人信息保护法(二审稿)》”)第13条规定了可以合理使用个人信息的四种具体情形，分别是履行法定职责或义务、应对突发公共卫生事件或紧急情况保护自然人利益、合法公开的个人信息以及为公共利益实施新闻报道、舆论监督等行为，法律、行政法规另有规定的除外。单从字面意义上看，容易认为基于商业用途合理使用个人信息在我国很困难，实际却并非如此：首先，《个人信息保护法(二审稿)》第13条写的是“符合下列情形之一的，个人信息处理者方可处理个人信息”，并没有明文规定这就是“合理使用”，因而里面所列举的情形也并非是周延的“情形清单”；其次，第13条第四款规定，“依照本法规定在合理的范围内处理已公开的个人信息”可获豁免，而处理已公开的个人信息并未要求限定于“公共利益”，即并未排除“商业用途”；最后，合理使用规则本质上是在法律规定基础上综合总结出的豁免清单，决定了其是发展变化着的“开放清单”，不应仅局限于“公共利益”。

个人信息具有公共属性，价值在流通和利用中得以彰显。数据的分享和流动是目前我国网络产业得以蓬勃发展的根本原因所在[17]，对信息业者的行为进行规制是为了防止对个人信息的滥用导致对自然人的人格权造成损害，而非为了阻止个人信息的利用。我国2020年3月6日发布的国家标准《信息安全技术 个人信息安全规范》在“5.6征得授权同意的例外”中列举出11项合理使用的情形。其中，明确规定如“维护所提供产品或服务的安全稳定运行所必需”，个人信息控制者可无需经过信息主体的同意实施收集、处理个人信息的行为，实际上反映出认可出于商业用途合理使用个人信息的价值倾向。允许企业在不侵害个人人格权益、不损害公共利益的前提下对个人信息进行合理使用，兼有促进商业发展和公共利益的双重作用：一是有利于提高相关行业的发展能力和经济效益，二是可以提升相关领域的创新水平和产出水准。

(四)个人信息合理使用在我国司法实践中的扩张

在司法实践中，法院在对互联网企业对个人信息的收集和处理是否构成合理使用进行认定时，并未严格按照《民法典》中关于合理使用的规定进行判断。在“抖音app案”中，北京互联网法院认为，对信息主体产生的所有个人信息均进行严格保护会导致具体场景下的利益失衡；因此，适度允许互联网企业在确保安全的前提下合理使用个人信息，继而认定被告未经同意读取通讯录的行为属于对个人信息的合理使用。在“黄女士与腾讯科技有限公司等网络侵权责任纠纷案”(3)见(2019)京0491民初16142号，以下简称“微信读书案”。中，法院更是直接认定在不违反法律规范及不侵害用户合法权益的前提下，被告腾讯公司可在关联产品中合理利用开发及运营微信时所积累的用户关系数据。从上述司法案例来看，《民法典》中的合理使用制度不能满足司法实践的要求，法院在具体案件中往往直接规避对相关条款的引用。与制定合理使用规则时采用的较为审慎的态度相比，该规则在实际中的扩张已成事实。

前述两个案例在对被告是否构成合理使用进行论证分析时，均抛弃了合理使用的情形限制，只对“合理”进行论证，而未说明为何属“合理使用情形”。“合理”属主观要件，“合理使用情形”属客观界限，抛开客观只谈主观或将主观当作客观，容易不合理地人为扩张“合理使用情形”，损害信息主体的个人信息权益。结合上述域外法例与我国司法实践，以限定目的的角度对合理使用的情形进行界定：一是信息控制者履行法定职责或法定义务；二是为公共利益实施的新闻报道、舆论监督等行为；三是紧急情况下维护信息主体或第三人的重大合法权益；四是为了教学、科学研究目的对信息进行收集、处理；五是信息控制者为了自身正当利益合理实施的行为。需要强调的是，以上情形并非是一个完全封闭的清单，合理使用的内在界限应是半开放式的，可以随着社会现实的发展适当扩大或缩小。

合理使用的情形清单是一个规范式的界限，实践中判断一个行为是否构成合理使用时，确认该行为是否属于合理使用的情形只是第一步，还需判断标准对该行为是否满足“合理”的要求进行认定和审查，采用其他制度对合理使用的适用进行监督和限制。下面将对个人信息合理使用的作用标准和制度限制进行论述。

三、“合理”的判断标准：比例原则的引入与细化

(一)个人信息合理使用的可行路径

合理使用是个人信息保护法律领域中一项重要规则。根据合理使用规则，信息处理者可以不经信息主体的同意对其个人信息进行处理。合理使用以个人信息保护中的利益均衡为基础，是一项“理性主义的公平的规则”，且“该规则充满理性主义并具有弹性而无法定义”[18]。关于“合理”的界定尚未明确且颇有争论。在理论和实践中，现主要有“隐私属性说”“双清单说”“三方面说”等观点。

1.隐私属性说[19]

在著作权领域，有学者认为，应将对著作权人隐私利益的保护作为判断合理使用的重要标准之一。当法官对权利保护和合理使用进行衡量时，作品中所体现的著作权人隐私越多，法官对合理使用规则的采用就应当越谨慎。著作权中蕴含人格利益和经济利益，其中所体现的人格利益越重要，在进行判断时经济利益所起的作用就会越小。该种学说将上述观点引入个人信息保护中，认为对信息主体来说，信息处理者的处理行为影响的是个人信息和隐私，更加适合以隐私作为关键因素来对合理使用进行评估。如果某项信息所具有的隐私属性较强，在认定合理使用时需要更加慎重、严格地考虑处理活动对个人可能产生的影响，减少适用合理使用的概率。如果信息中的隐私属性很弱或者根本没有，在考虑适用合理使用时就不必对信息处理活动可能造成的影响过于警惕。在不违反法律的其他规定时，可以认为不经信息主体同意的信息处理活动，不构成侵权。

2.双开放清单说[5]138-141

与著作权中的合理使用类似，个人信息领域也对合理使用的适用情形作出规定。但合理使用中的“情形清单”是以列举加标准兜底的方式概括，具有模糊性，仅依靠“情形清单”难以满足实践中的需要。持此种观点的学者认为，在对合理使用进行检验时，除了需要“情形清单”外，还要以“评估清单”进行第二重检验。同时，由于个人信息的内容和使用场景多元，同样的信息在不同的场景对不同的人会产生不同的效果，个人信息的合理使用应结合场景化理论作个案判断。因此，不同于著作权领域的双封闭清单，作为个人信息合理使用判断标准的“情形清单”和“评估清单”应是开放清单。

3.三方面说

“三方面说”来源于“抖音app”案的司法实践。此案中，法院认定手机通讯录属于个人信息，同时每条联系方式又属于该联系人的个人信息。在对该类个人信息进行处理时，原则上需征得手机用户和其他联系人的双重同意。法院注意到，如果在所有情况下均严格地适用“知情同意”原则，可能会导致“具体场景下的利益失衡”。在大数据时代，个人信息是最重要的数据来源，对个人信息采取过于绝对化的保护不利于信息产业的发展。因此，认定具体场景的处理行为是否适用合理使用时，在“未对信息主体造成不合理的损害”前提下，可以认为某些信息处理行为不用经过信息主体的许可。具体应用时，主要从“信息的特点与属性”“信息使用的方式和目的”以及“对各方利益可能产生的影响”三方面进行综合分析。需要强调的是，在具体场景下被认定为合理使用的信息处理行为，也要满足法律规定的处理个人信息的其他要求，如《民法典》第1035条提到的合法、正当、必要原则。

(二)个人信息合理使用规则的价值导向

《个人信息保护法(二审稿)》第1条规定，制定该法目的是为了“保护个人信息权益，规范个人信息处理活动，促进个人信息合理利用”。个人信息虽由个人产生，但其本质具有公共属性，在赋予信息主体私权以更好地保护个人信息权益的同时，也要考虑个人信息合理利用价值的实现。数据私权化无疑会对信息的分享产生实质性影响，但因为数据逃逸与传播的门槛较低，数据私权在实践中易受侵害且丧失。通过限制信息主体的自决权，对信息的保护和利用进行中和，维持信息处理活动中各方利益的平衡，是合理使用规则的价值所在。

1.合理使用的立法逻辑

法律是最低的行为准则，它并不规定生活中的所有事项，只对必要部分进行规管，这是由法律自身的逻辑属性所决定。在对个人信息保护工作进行立法时，法律不会对信息的所有处理行为都加以管理，以免法律关系背后的利益关系失去平衡。因此，在确定相关规范时可选择两种方式以满足其逻辑上的要求：其一是制订普遍适用的法律规范，对一切情形均予以涵盖，可设置特定的豁免防止法律过于绝对化；其二是制订适用于指明的情形的法律，对相关情形进行穷尽式列举，以彰显立法之合理性。一般而言，有关个人信息保护方面的立法采用的是第一种方式。当社会现实发生变化时，这种方式可以使法律的修改变得更为容易[20]，司法人员判定新情况也会更加灵活。

我国个人信息保护领域的立法采用一般性规定加豁免的模式。豁免条款本身就是该法律模式的一部分，唯有包含对特殊情况的豁免(即合理使用)的法律规范才是完整的，在具体适用时不会因缺漏而造成不合理的结果。在个人信息保护法律体系这个有机的系统之中，合理使用规则与其他规范构成一个一致性的整体，每一部分各自发挥作用且不致产生冲突或缺漏。

2.合理使用的价值理念

现代社会中，对个人信息的保护通常伴随社会信息化过程。在信息的价值以前所未有的角度和力度被开发和利用之时，社会福祉增加的背后存在对个体权益的侵犯和忽视，更有某企业负责人曾明确表示人们更愿意用隐私来交换便利。加强个人信息的保护是近年来个人信息领域立法的主要立法倾向。个人信息源自信息主体，同时又只能在交互中发挥其真正价值。若给予自然人过高的自主权利，每个人都将成为一座孤岛，既无法进行正常的社会交往，也无法有效获取社会信息[21]，也会阻碍甚至阻滞数据经济的发展。因此，平衡好个人信息保护和合理利用之间的冲突是个人信息保护法的首要定位问题[22]。

合理使用规则是平衡个人信息保护与利用之间的冲突，实现多方共赢的可行方案。个人信息权益属于人格权益，体现了人权价值，对个人信息进行一般化保护是各个立法例的共同选择，赋予个人信息自决权益也是各国的共同做法。权利和义务从来就是相对的，对一个人的保护，往往是以牺牲另一个人的权利或利益为代价[23]。因此，对个人信息的保护也不能过于绝对。对各方利益进行调和，构成合理使用规则的价值基础。通过合理使用规则的制度设计，可以在保护个体人格利益的同时，兼顾数据企业的经济自由和公共机关的管理需求，实现法律价值的和谐。合理使用是对信息自决权利的限制，在某些情况下对个人信息自决权利进行约束，并在最低限度限制信息自决权利的同时使个人信息效益最大化，在最大程度上平衡个人信息领域中多方利益诉求的冲突。

(三)个人信息合理使用的判断标准

比例原则不仅具有拘束公权力的一面，还可为民法在理念和制度层面的更新提供重要的方法论支持[24]。个人信息保护涉及多方利益，在进行法律规制时最重要的是实现利益平衡，比例原则有助于找到其中的平衡点，在个人信息保护与合理利用之间划出一条界限。现代社会法律制度的设立以权利为导向，私权利在保护人格权益中发挥着重要作用。合理使用是为了防止个人信息自决权利过大，避免利益失衡而设立的对信息主体自决权利的干预。根据比例原则：干预相对于一个更高的利益而言是必要的；干预必须适合于达成所欲求之目的，而且要采用最和缓的手段来实现此目的[25]。通过对比例原则进行精细化操作，为具体情形下“合理”的认定提供更加具有操作性的作用标准，是在个人信息领域建立起更加稳固的利益平衡体系的有效路径。我国《民法典》与《个人信息保护法(草案二审稿)》对此已有规定。

1.适当性

手段适当性也即合目的性，主要是指手段与目的的关系，考虑的是手段是否以及多大程度上能够促进目的的实现。手段的运用在一定程度上促进目的的达成，因此，手段适当性主要考虑手段与目的的匹配程度，手段可完全实现目的，也可实现部分目的。通常来说，能够完全实现目的的手段是首选，但在有些情况下也会选择实现部分目的的手段，比如完全实现目的的手段代价过大，或者目的本身是为了进行程度上的限制。在个人信息保护领域，信息处理者处理个人信息的时间、范围和手段，应为实现其使用目的所必需，符合比例原则，并尊重用户合理预期[26]。《个人信息保护法(草案二审稿)》第6条规定，“不得进行与处理目的无关的个人信息处理”，以原则性标准对所有个人信息处理活动进行合目的性限制，并在第14、24、27和28等条文进行具体化。

2.必要性

必要性原则也叫最小侵害原则，要求手段具有不可替代性，即除了合理使用外没有更好的方式。如果采取其他不侵害或更少侵害个体信息自决权益依然能够实现目的，那么便不符合此项原则。我国迅速发展的指纹识别和人脸识别技术在一定程度上为人们生活提供了便利，并且对于维护治安有重要作用，人们可以自愿选择是否采纳此技术。是否有必要在社会上普及运用此类技术，仍需进一步讨论。推广此类技术，应当考虑到对个人自由产生的限制以及技术不完善带来的风险。

此外，还需考虑豁免的程度和范围。通过对合理使用内容进一步细化并附加条件，以期对信息自决权益的限制降到最低。就企业经个人同意取得的个人信息而言，可以在取得信息的目的范围内处理个人信息而无需再经过自然人同意，但要严格限制信息的使用范围。为了公共利益而进行的新闻报道，其主要目的是为了通报事迹来引起公众的重视，无需通报当事人详细信息。因此，为了不过多侵害当事人的私隐，通常会对当事人的个人信息进行假名话或去标识化处理。

多数情况下，合理使用条款的存在是为了便于在特殊情况下达成特定目的而对个人信息进行处理，目的一旦实现，个人信息处理行为即应停止。为应对突发公共卫生事件，或者紧急情况下保护自然人的生命健康和财产安全而进行的处理个人信息活动，事件结束后处理行为应马上停止，且应妥善处理过程中得到的信息。目的达成使用即停止是必要性原则对合理使用规则的要求，这样可以确保在自然人信息自决权利被限制的情况下，私隐不会持续受到侵害。

3.狭义比例原则

合理使用规则下的信息处理活动虽无需得到信息主体的同意，但仍需考虑信息主体的利益保护问题。狭义比例原则的实质是从价值取向方面对制度的合理性进行审查，以价值判断为主，涉及到利益衡量的核心，即以价值高低来决定利益取舍。合法利益均应受到保护，而现实中往往有利益冲突的情形发生，此时就需要借助所涉利益的价值位阶来进行比较，以便保护更重要的利益，从而实现社会效益的最大化。

个人信息涉及个人的人格利益、信息业者的商业利益和国家社会管理的公共利益。其中，重要社会公共利益(如国家安全与社会安全)涉及最重要的社会价值，处于第一等级，一切其他利益都要为之让步；一般社会公共利益(如社会秩序与公共健康)处于第二等级，优先于一般人格利益与商业利益；个人的人格利益处于第三等级，在不与社会公共利益冲突的情况下受到法律保护；信息从业者的商业利益处于第四等级，不得与高位阶的社会价值相违背。法律对信息自决与豁免的规定要符合上述次序，优先对社会中公共利益和自然人的人格利益提供保护，给予信息业者的商业利益以必要的保护，在一定程度上保证个人信息商业自由。

狭义比例原则要求对个人信息的保护要以价值位阶为基础，对所涉各方利益进行衡量，以达到利益保护动态平衡为目的。主要路径是对各利益主体的核心利益加强保护，对非核心利益进行一定程度的让渡，作为他方实现其核心利益的条件和基础。需要注意的是，以狭义比例原则进行利益衡量并非是现实行为的最终结果，也要考虑具体情形中利益需求的紧急性以及社会影响等额外因素，我国《民法典》第998条便是此项要求的体现。这就需要在个案中结合场景化理论，将这些因素作为影响利益比重的客观原因加以分析，在对各方利益进行动态衡量的前提下审慎作出判断。

四、结 语

个人信息合理使用制度已基本确立，但具体适用中的要求和规管尚不完善。大数据时代中的个人信息具有天然的公共属性，以合理使用制度对蕴含在其中的人格尊严价值进行限制可以更好地发挥其公共管理价值和商业价值，但同时也要注意避免合理使用的泛化倾向，做好信息主体权利的基本保障。以个人信息合理使用的“目的界限”对合理使用规则的适用情形进行限制，再以比例原则的精细化操作对个人信息合理使用的适用过程进行调整，从而更好地平衡个人信息中的各方利益。还需进一步关注的是，在个人信息合理使用的情形下，如何为信息主体的权利提供保障，具体可以从国家、企业和个人三方面探讨。国家机关和企业内部对信息处理活动的监管手段已经或即将得到法律确认，信息主体自身的防御手段仍显不足，后续立法可参考其他立法例的规定，将反对权作为个人信息合理使用情形下的一项权利保障手段。