【条文主旨】
本条是关于个人信息处理的目的限制原则和最小化原则的规定。
【条文理解】
一、本条历史沿革
鉴于目的限制原则的极端重要性,《个人信息保护法(草案)》第6条即有明确规定:“处理个人信息应当具有明确、合理的目的,并应当限于实现处理目的的最小范围,不得进行与处理目的无关的个人信息处理。”《个人信息保护法(草案二次审议稿)》第6条的表述有所变化,具体内容为:“处理个人信息应当具有明确、合理的目的,并应当限于实现处理目的所必要的最小范围、采取对个人权益影响最小的方式,不得进行与处理目的无关的个人信息处理。”《个人信息保护法(草案三次审议稿)》将该条改造为两款,第1款内容规定:“处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。”第2款内容规定:“收集个人信息,应当限于实现处理目的的最小范围。”最终通过的本法第6条,在《个人信息保护法(草案三次审议稿)》的基础上又有增加,即在保留《个人信息保护法(草案三次审议稿)》第6条第1款的基础上,在其第2款之后增加一句话“不得过度收集个人信息”。比之《个人信息保护法(草案三次审议稿)》第6条,本法第6条第2款增加的“不得过度收集个人信息”这句话,看似无关紧要,实则更进一步强调了收集个人信息时的适度要求。因为收集是个人信息处理的最先环节,在收集环节就明确禁止过度收集个人信息,对于此后个人信息处理的全生命周期都无疑是开了一个好头,也为以后各环节个人信息的合法合规处理奠定了最好的基础。
二、目的限制原则的理解
所谓目的限制原则,就是个人信息的处理应限于最初的收集目的,在后续的个人信息处理中也应与该目的保持一致,除非经过个人的明确同意,否则不得在目的之外处理个人信息,该原则又被称为目的特定原则、目的拘束原则。目的限制原则在个人信息保护法中的作用和价值可以比肩诚信原则在民法中的地位,堪称《个人信息保护法》的“帝王条款”。[1]
(一)目的限制原则的渊源
目的限制原则最早见诸欧盟理事会的决议。1973年,欧盟理事会第(73)22号决议中指出:信息应与信息存储之目的相关,……未经授权,不得将信息用于存储目的之外或传输给第三方。在第(74)29号决议中又规定,公共部门的电子数据库在处理信息时也应与信息存储之目的相关。例外情况是,经法律允许或政府批准,信息可以超出此前确定的目的。欧盟95指令第6条在规定个人数据处理原则时,明确了个人数据的目的限制原则。该指令第6条第1款b项规定,信息处理者在收集、处理个人信息时必须处于明确、特定的目的,并且后续处理不得超出收集他们时的目的范围。这里的目的明确,已经具备了限制超范围处理个人信息的意味,已经成为个人数据保护的核心要素。按照这一原则,数据控制者在收集数据时如果没有指定目的,则无法明确后续的处理活动是否为法律所允许。[2]2016年欧盟GDPR更以鲜明的态度确认目的限制原则。根据GDPR第5条第1款b项规定,为具体、明确且合法的目的进行收集,且不得对数据进一步进行不符合上述目的的处理;根据第89条(1)规定,出于公共利益、科学、历史研究或数据统计考虑,以对数据存储归档为目的,对数据进行进一步处理,不应被视为不符合最初目的(“目的限制”)。
由此可见,目的限制的要求是个人数据保护的前提条件,没有这一要求,知情同意等处理个人数据的要求也将无法实现。
(二)我国个人信息保护领域的目的限制原则的确立与实践
在本法之前,我国在法律层面并未确认目的限制原则。《
网络安全法》和《
民法典》虽然有一些个人信息保护的内容,但并未对目的限制原则进行明确。在实践中,目的限制原则实际上也已经在探索。在国家标准化委员会2012年11月发布的《信息安全技术公共及商用服务信息系统个人信息保护指南》(GB/Z 28828—2012)已经对目的限制原则有所涉及。该《保护指南》第4.2条a款即规定了目的明确原则,并在其后的规范中加以具体化。第5.2.1条明确规定,收集个人信息要有特定、明确、合理的目的;第5.3.1条规定,不违背收集阶段已告知的使用目的,或超出告知范围对个人信息进行加工;第5.4.1条规定,不违背收集阶段告知的转移目的,或超出告知的转移范围转移个人信息。
到了2017年《信息安全技术个人信息安全规范》(GB/T 35273—2017)中,同样在第4条b款中规定了目的明确原则,即具有合法、正当、必要、明确的个人信息处理目的。并在其后关于个人信息的收集、保存、使用、访问、共享、转让等各个环节予以具体化。
2020年《信息安全技术个人信息安全规范》(GB/T?35273—2020)中,也是在第4条b款中规定了目的明确原则,但具体内涵变化为:具有明确、清晰、具体的个人信息处理目的。其后,也是在关于个人信息的收集、保存、使用、访问、共享、转让等各个环节予以具体化。尤其是在使用环节,第7.3条明确规定了个人信息使用的目的限制。
以上国家标准,虽然不具有强制性的法律效力,但无疑是对个人信息处理实践的有益引导,对于个人信息保护意识中的目的限制原则养成具有积极意义。
(三)目的限制原则的内涵
1.处理个人信息的目的应当明确、合理。处理个人信息的目的应当明确,这是对个人信息处理目的的描述性要求,就是指个人信息处理者在处理个人信息时必须将其处理目的清楚无误地表达出来。具体有三个层面的要求:一是个人信息处理目的必须表达出来。如果个人信息处理者仅仅是自己清楚其处理目的,而没有将其处理目的表达出来,那就无从判断处理个人信息的目的到底是什么,进而从根本上不可能符合个人信息处理目的应当明确的要求。二是个人信息处理目的必须有清晰可见的范围。个人信息处理者在表达其处理目的时应当使用通常的语言,清晰易懂地呈现出其处理的目的范围。如果个人信息处理者表达出来的目的没有明确的界限,则可能导致对目的理解的无限放大,从根本上有悖于目的限制原则的本旨。三是个人信息处理的目的必须向个人本人明示。个人信息处理过程中权益可能受影响最大的就是其个人信息被他人处理的个人。所以,处理个人信息的目的应当明确,不仅仅是描述上的明确,还应包括对象上的明确,即需要将个人信息的处理目的明确地告知信息主体个人。
处理个人信息的目的还应当合理,这是对个人信息处理目的的正当性要求。处理个人信息的目的虽然很明确,但如果明显不合理,则仍然有违目的限制原则。比如,实践中经常有提供扫码乘车或骑车服务的App力图收集个人终端上的照片或视频,这就属于完全不合理的收集目的,明显违背目的限制原则,应当引起高度警惕。当然,目的合理性也会随着时间的推移而发生变化,这取决于科学技术的发展以及社会和文化态度的变化。[3]
2.处理个人信息应与其处理目的直接相关。所谓直接相关,强调的是相关的紧密程度,即只有那些与处理目的紧密相关的个人信息处理活动才是符合目的限制原则的。那些与处理目的一般相关和间接相关的处理活动,则是违背目的限制原则的。较为典型的例子有,提供美图服务的App,对于收集用户终端上的照片是直接相关的,但对于收集用户终端上的视频则不是直接相关的。尽管有时美图软件也可以提供修改视频的服务,但如果用户仅仅是请求使用App进行单纯的美图操作,则App不应收集与美图服务并不直接相关的视频信息。
3.采取对个人权益影响最小的方式。个人信息的处理往往可以采取很多种方式,但是个人信息处理者应当采取其中影响最小的方式,这是比例原则的必然要求。比例原则被认为包含三项基本原则:合目的性原则,要求权力(权利)的行使方式应该有助于实现其目的,否则宁可不采;必要性原则,要求权力(权利)的行使方式以必要为限,确保损害最小;均衡性原则,要求权力(权利)行使方式所获收益与所受损失合乎比例,不能明显失衡、得不偿失。[4]采取权益影响最小方式,属于比例原则中均衡性原则的要求,也是权利不得滥用的民法基本原则在个人信息处理中的具体体现。
三、关于最小化原则的理解
所谓最小化原则,就是在收集个人信息时,应当限于实现处理目的的最小范围,不得过度收集个人信息。最小化原则需要从以下三个方面进行理解:
第一,最小化原则是就个人信息的收集而言的。个人信息的全生命周期包括收集、保存、使用、加工、传输、提供、公开、删除等各个环节,但《个人信息保护法》规定的最小化原则是仅就收集阶段的要求,可谓是目的限制原则在个人信息收集环节的具体适用。由于个人信息的收集是此后各个环节的基础,只要在收集环节贯彻了最小化原则,则个人信息处理的其他环节就戴上了“紧箍咒”,不会产生大的偏差。
第二,最小化原则要求收集个人信息的范围是满足处理目的的最小范围。为满足个人信息的处理目的而收集个人信息的范围不是漫无边界的,而是必须以满足处理目的为已足。比如,提供出行服务的个人信息处理者,只需要收集用户的位置信息和设备信息即为已足,如果还要求收集用户的通讯录,则构成对最小化原则的违反。
第三,最小化原则要求收集个人信息的程度是满足处理目的的最低程度。在绝大多数情况下,收集个人信息仅仅符合了最小化原则的范围要求是不够的,而必须在最小范围内同时满足最低程度要求。比如,提供出行服务的个人信息处理者,从范围上看只需要收集用户的位置信息和设备信息即为已足。但仅仅满足这一点,还不符合最小化原则的程度要求。按照最小化原则,提供出行服务的个人信息处理者不仅只能收集用户的位置信息和设备信息,而且在程度上只能收集用户在使用其服务时的位置信息和设备信息,而不能在用户不使用其服务时仍然收集用户的位置信息和设备信息。
【条文适用】
一、目的限制原则适用中需要注意的问题
(一)目的限制原则不宜直接作为请求权基础
可以作为请求权基础的规范必须首先是可以涵摄具体案件事实的最具体的民法规范条文。法官在判决说理时,必须首先以最具体的规则作为涵摄的大前提。只有当具体规则欠缺时,才可以一般规则作为大前提。比一般规则更为宏观的原则,一般不作为涵摄的大前提。[5]而目的限制原则恰恰是个人信息保护领域的宏观原则,在具体的案件审理过程中,可以援引本条规定进行判决说理,但不宜直接以本条作为支持原告诉讼请求的请求权基础规范。如果具体案件中违反目的限制原则的行为在本法中已经有相应规范的,可以直接以该具体规范作为请求权基础规范。比如,在个人信息处理过程中,处理者单方变更处理目的,个人请求处理者删除其个人信息的,则可以本法第47条第1款第4项确定的“个人信息处理者违反法律、行政法规或者违反约定处理个人信息,个人信息处理者应当主动删除个人信息;个人信息处理者未删除的,个人有权请求删除”规范作为请求权基础。如果相应的违反目的限制原则的行为在本法中没有具体规范,则可以通过类推适用、目的性扩张、目的性限缩等法学方法填补漏洞。如果仍然无法解决的,则可以目的限制原则作为基础进行价值补充,创设相应的具体规范,并以之作为请求权基础。
(二)违反目的限制原则的常见行为类型
违反本法规定的目的限制原则的常见行为有:未向个人明示个人信息的处理目的(本法第17条第1款第2项);个人信息处理目的变更而未取得个人重新同意(本法第14条第2款);委托处理个人信息时受托人超出约定的处理目的处理个人信息(本法第21条第2款);个人信息处理者因合并、分立、解散、被宣告破产等原因转移个人信息,接收人变更原先的处理目的而未经个人重新同意的(本法第22条);个人信息的处理目的已实现、无法实现或者为实现处理目的不再必要时仍然保留个人信息(本法第47条第1款第1项);个人信息保护影响评估中,没有制作关于个人信息处理目的的影响评估内容(本法第56条第1款第1项)。上述行为有的可能引起民事责任,有的可能引起行政责任,无论何种责任,都是捍卫目的限制原则的最有力武器。
二、违反最小化原则的认定
本法虽然没有明确地对违反最小化原则的行为类型予以明确,但因最小化原则本就是目的限制原则在个人信息收集阶段的具体贯彻和落实,因此,很多违反目的限制原则的行为实质上也违反了最小化原则。2019年11月,国家互联网信息办公室秘书局、工业和信息化部办公厅、公安部办公厅、国家市场监督管理总局办公厅共同发布的《App违法违规收集使用个人信息行为认定方法》对于审判实践中违反最小化原则的认定具有借鉴意义。参照该办法的规定,以下行为一般可以认定违反最小化原则:收集的个人信息类型或打开的可收集个人信息权限与现有业务功能无关;因用户不同意收集非必要个人信息或打开非必要权限,拒绝提供业务功能;App新增业务功能申请收集的个人信息超出用户原有同意范围,若用户不同意,则拒绝提供原有业务功能,新增业务功能取代原有业务功能的除外;收集个人信息的频度等超出业务功能实际需要;仅以改善服务质量、提升用户体验、定向推送信息、研发新产品等为由,强制要求用户同意收集个人信息;要求用户一次性同意打开多个可收集个人信息的权限,用户不同意则无法使用。