胡利玲

（中国政法大学民商经济法学院 北京 100088）

《个人信息保护法》（以下简称《个保法》）在第5～9条分别规定了个人信息处理的合法、正当、必要与诚信原则，目的限制原则，公开透明原则，质量原则和责任原则五大基本原则。这些基本原则既是处理者开展个人信息处理活动的基本遵循，也是构建个人信息保护具体规则的制度基础。其中目的限制原则以个人信息处理的目的为核心，对处理者处理个人信息的限度提出了全面的要求［1］。《个保法》第6 条规定：“处理个人信息应当具有明确、合理的目的，并应当与处理目的直接相关，采取对个人权益影响最小的方式。收集个人信息，应当限于实现处理目的的最小范围，不得过度收集个人信息。”本条即是个人信息处理的目的限制原则的立法体现。该原则被认为是个人信息保护制度的基石，也是大多数其他基本要求的先决条件［2］。本文以我国《个人信息保护法》的条文为依据，结合比较法的规定，对个人信息处理基本原则中的目的限制原则加以详细解读。

1 目的限制原则的基本含义和规范内容

所谓目的限制原则，也称目的拘束原则，是指个人信息的处理应有明确合理的目的，并在后续的个人信息处理中也应与初始目的保持一致，除非经过个人的明确同意，否则不得在目的之外处理个人信息，并应以最小范围收集个人信息及以对个人权益影响最小使用个人信息。目的限制原则的法理基础是个人信息主体对于其个人信息享有控制力与支配力，并享有受法律保护的民事权益——人格利益。目的限制原则要求信息处理者在收集信息时明确告知信息主体信息处理的具体目的，并严格限定后续信息处理的方式，同时给予信息主体同意或拒绝的权利，在一定程度上可保障信息主体自主控制信息被以何种方式处理，防止信息处理者以信息主体未能预见到的方式处理信息［3］。

该原则最早由美国学者艾伦·威斯汀（Alan Westin）提出，其主张政府所收集的个人信息只能用于特定目的，不得用于其他目的或者进一步流转，除非提供信息的个人或群体的身份特征已经完全从该信息中移除，或他们自由地对进一步流转表示同意。而1980年经济合作发展组织在《关于保护隐私和个人数据跨国流通指导原则》中首先对该原则作了规范表述［4］。目前该原则已为许多国家或地区的个人信息或数据保护立法所确立。最典型的如欧盟《通用数据保护条例》（GDPR），其第5 条（1）（b）规定“个人数据的收集应基于特定的、明确和合法的目的”（即目的限制）；第5 条（1）（c）规定“个人数据应相对于处理目的而言适当、相关并在必要的范围内”（即数据最小化）。前者指处理者应当为特定、明确和合法的目的收集个人数据，并且个人数据的后续处理不得违反此等目的；后者指处理者处理个人数据应当充分、相关并且限制于为实现该个人数据处理目的所需的最小限度内［1］。

我国《个保法》第6条规定：“处理个人信息应当具有明确、合理的目的，并应当与处理目的直接相关，采取对个人权益影响最小的方式。收集个人信息，应当限于实现处理目的的最小范围，不得过度收集个人信息。”根据这一规定，目的限制原则同时涵盖了数据最小化原则。因此，我国《个保法》上的目的限制原则从规范意义上应包含三方面的内容。第一，处理个人信息应当具有明确、合理的目的，即“目的明确、合理”。它要求，首先，处理个人信息应有明确的目的，否则其行为属于对个人信息的滥用。其次，处理个人信息的目的具有合理性，即“在满足合法、正当要求的前提下，不为个人带来过重的负担或者过高的风险［1］。”第二，处理个人信息应与处理目的直接相关。它要求后续的个人信息处理中应与初始目的保持一致，除非经过个人的明确同意，否则不得在目的之外处理个人信息。可简化为“使用限制”。第三，处理个人信息应当采取对个人权益影响最小的方式，并限于实现处理目的的最小范围，不得过度收集个人信息。前者简化为“权益影响最小化”，后者简化为“数据最小化”。

2 处理个人信息应当具有明确、合理的目的——目的明确、合理

2.1 目的明确

欧盟GDPR 第5 条（1）（b）规定：“个人数据的收集应基于特定、明确和合法的目的。……。”据此，GDPR在目的明确方面，规定了特定、明确、合法标准。欧盟第29 条工作组在关于处理个人数据的目的限制的意见中指出收集个人数据必须基于清晰的用途，而且还须清晰地表达出来，即必须以某种可理解的形式清楚地揭示、解释或阐述其用途。由此推断，这项要求应在开始收集个人数据前完成。以确保用途清晰、容易理解。尤其是用途的清晰必须以适当的方式进行表达，以保证控制者和任何第三方处理者，以及数据保护机构和相关数据主体都能对它有相同的理解，……。清晰的用途说明，能使控制者打算如何使用收集到的个人数据变得透明；能帮助所有处理数据的人、数据主体、监管机构和其他利益相关方对如何使用数据有共同的理解。相应地也会降低数据主体与控制者双方期望不同的风险［5］。

我国《个保法》并没有对“目的明确”作进一步的具体解释。但本文认为，借鉴欧盟GDPR的上述规定，并从应然角度出发，目的明确的要求是：第一，个人信息处理的目的应特定、明确、合法，而且应在开始收集信息前即确定；第二，处理目的应被清晰、明确地表达出来而非隐匿或含混不清；第三，处理目的应具有一定的限定性而非宽泛无限制。也有学者建议在借鉴欧盟GDPR规定基础上，我国法院在决定目的是否明确时，可考虑以下要素：约定目的与双方预期的关系；个人信息被收集时的情形，尤其是关于信息主体和信息控制者的关系；个人信息的性质；按照该目的进行处理个人信息对信息主体可能造成的后果；适当的保障措施的存在，如加密或匿名化处理等。如必须将个人信息用于约定目的之外的额外目的的，则信息控制主体应当取得信息主体的二次同意［4］。

2.2 目的合理

所谓目的合理，应首先须为合法，此外，信息处理目的必须符合社会一般人的事理认知，不得违反基本的伦理道德与公序良俗。即符合制度层面的目的合法与价值层面的目的正当［3］。目的合法是信息处理的最低要求，在此前提下，处理的目的合理与否，应当在考虑个案的具体因素的基础上，权衡处理者与信息主体等各方的权益和自由，最好实现个人信息权益的保护与个人信息的合理利用之间的利益协调与平衡［6］。此外，目的的合理性也会随着时间的推移而变化，这取决于科学技术的发展，以及社会和文化态度的变化［7］。

3 处理个人信息应当与处理目的直接相关——使用限制

根据立法的要求，信息处理行为应当与信息收集时的初始目的具有“直接关联性”。即“处理者只能对个人信息实施符合初始目的的相应的处理活动，不得从事与处理目的无关的个人信息处理”［8］。最终立法上的这一规定与学者建议稿、草案二审稿及欧盟的做法都有不同。

在《个保法》制定过程中，张新宝教授曾在其起草的《个人信息保护法（专家建议稿）》中，主张信息处理行为应当与初始目的具有“合理关联性”［9］。在草案二审稿第6 条中规定的是，个人信息处理者不得进行与处理目的“无关”的个人信息处理。而比较法上，欧盟采取的是“数据兼容处理”（简称“兼容性”）标准。根据GDPR的规定，数据的控制者“所进行的进一步处理不能违反这些目的”，但数据的控制者可以对数据执行被认为与收集数据时的目的即初始目的相互兼容的所有操作，“以不同之目的进行后续处理，并不一定意味着与约定目的相违背”［10］。在使用限制上，欧盟的立法似乎具有比较大的弹性和宽容性。但同时，GDPR 在第5 条（4）提出了兼容性的主要判断标准：（1）任何在个人信息被收集时的目的和预期进一步处理的目的之间的联系；（2）个人信息被收集时的情形，尤其是关于信息主体和控制者的关系；（3）个人信息的性质；（4）预期进一步处理给信息主体可能造成的后果；（5）适当的可能包括加密或匿名化的保障措施的存在［4］。当然欧盟有条件地允许信息控制主体超出初始约定的做法，也在欧盟内部引起巨大争论，以致有人担忧，允许超出初始目的使用信息，会逐渐掏空整个目的限制原则的制度基础，使目的明确环节所产生的信息主体预期失去其本应有的意义［11］。

我国《个保法》要求个人信息处理的活动“应当与处理目的直接相关”，既没有采学者的“合理关联”建议，也没有采欧盟的“兼容处理”做法，而是最终采用了更加严格的规定。通过“直接”二字强调对处理者超出原有处理目的进行后续处理的限制。据此，“如处理者超出原有处理目的对个人信息作后续处理，则后续处理行为应当被视为是与原有处理行为相独立的另一处理行为或者被视为处理目的的变更。依照《个保法》第13条和第14条第2款的规定，处理者原则上不得进行此等后续处理，除非其另行取得个人同意或者后续处理具备其他合法事由”［1］。

有学者认为，将个人信息处理活动限定在与处理目的直接相关的范围内，有利于保护个人信息权益。如果允许超出处理目的处理个人信息，由此带来的风险将不可预测。故在判断上，应采取“非常严格”的标准，考察处理者后续实施的处理行为的目的是否被告知个人的处理目的所包含，或者虽然不包含但合理的人都认为二者之间是密切联系的［2］。但也有学者认为，《个保法》过于严格的目的限制，可能造成个人信息价值的浪费，也会阻碍信息的流通和创新，故在对约束个人信息处理活动的处理目的进行解释时，应留有必要的弹性空间，以促进行业创新和个人信息的合理利用。特别是“在处理者基于个人同意处理个人信息的情形，如将处理目的限定得过于狭窄，不仅会导致处理者需要频繁取得个人同意，不利于充分发挥个人信息的价值尤其是二次利用的增值价值”［1］。也有学者主张应在个人信息类型化下重塑目的限制原则。认为处理个人敏感信息必须恪守目的限制原则，禁止超越初始目的范围处理；但在处理个人一般信息时，除了原则上须遵从目的限制原则外，特殊情形下应允许超越初始目的而处理信息，只要不引发高于信息主体所预期的风险。理由也主要是：大数据时代个人信息的多维度利用日趋常态化与复杂化，导致信息处理目的难以在信息收集阶段完全确定下来，严格的目的限制原则忽视了个人信息的利用价值［3］。

此外，笔者注意到《信息安全技术个人信息安全规范》（GB/T 35273-2020）没有单采“直接关联”，而是规定“关联性”包括“直接关联性”与“合理关联性”——“使用个人信息时，不应超出与收集个人信息时所声称的目的具有直接或合理关联的范围”。但对何谓“合理关联”未予定义，而是描述了“合理关联”的具体信息利用情形，即第7.3条（a）规定的“将所收集的个人信息用于学术研究或得出对自然、科学、社会、经济等现象总体状态的描述，属于与收集目的具有合理关联的范围之内”。

4 “权益影响最小化”与“数据最小化”

4.1 权益影响最小化

《个保法》第6 条第1 款规定：“处理个人信息应当采取对个人权益影响最小的方式。”此即权益影响最小化限制。它要求在有多种处理方式可供选择时，应当选择其中既能实现个人信息处理目的，又对个人权益的影响最小的方式，这也是比例原则中“最小损害原则”的要求［12］。换言之，处理者应尽可能减少对个人信息的处理以及对个人信息的使用次数，以避免对个人信息权益造成不利的影响，其促进的个人利益或公共利益应与被侵害的权益成比例［13］。这是因为个人信息处理可能对个人信息造成难以预测的危险和损害，故为保护个人信息权益，应当对个人信息处理的限度作出最小化的限制［14］。

4.2 数据最小化

《个保法》第6条第2款规定：“收集个人信息，应当限于实现处理目的的最小范围，不得过度收集个人信息。”此即数据最小化限制。从我国立法规定看，数据最小化限制是目的限制原则在个人信息收集阶段的体现。它是指个人信息的收集应以必要为原则，如果没有这些个人信息，个人信息处理者的处理目的就完全无法实现或者说主要、核心的目的无法实现。凡是超过必要范围而收集个人信息，都应属于过度收集。

值得一提的是，尽管立法上对上述两个限制没有进一步的规定，但《深圳经济特区数据条例》中对两个限制进行了更为具体的规定，其对典型情形的列举，不失为一种努力［15］。此外，《常见类型移动互联网应用程序必要个人信息范围规定》的做法也是一种可复制的做法。其规定了移动智能终端上运行的APP所收集的必要个人信息，并对最常见类型的39种APP的基本功能以及为实现基本功能所需要的必要个人信息的范围进行了列举［16］。例如，网络约车类的基本功能服务为“网络预约出租汽车服务、巡游出租汽车电召服务”，必要个人信息包括：（1）注册用户移动电话号码；（2）乘车人出发地、到达地、位置信息、行踪轨迹；（3）支付时间、金额、渠道等支付信息（网络预约出租汽车服务）。据此，如果收集用户人脸识别信息、年龄信息、职业信息、亲情关系等则明显属于过度收集。

5 结语

目的限制原则是个人信息处理的基本原则。该原则要求个人信息的处理应有明确合理的目的，并在后续的个人信息处理中也应与初始目的保持一致，除非经过个人的明确同意，否则不得在目的之外处理个人信息，并要求以数据最小化收集个人信息，以对个人权益影响最小化使用个人信息。其法理基础是个人信息主体对于其个人信息享有控制力与支配力，并享有受法律保护的民事权益。个人信息是一种人格权益，涉及个人的人格尊严。因此信息主体的人格尊严和自由价值是个人信息保护立法中首要考虑的因素。但同时也需考虑信息的合理利用。《个保法》实施不久，包括目的限制原则在内的规范的适用效果尚待 观察。