劉忠炫

數(shù)字信息時代，個人信息權益保護與信息利用等不同制度功能之間的有序協(xié)調，國家、企業(yè)和個體等不同主體之間的利益訴求的合理平衡，一直是現(xiàn)代個人信息法律制度建構過程中的爭論焦點。于信息主體而言，在符合何種條件下，個人信息由他人處理能實現(xiàn)自身權益保護的最大化；于信息處理者而言，在滿足何種法律基準下，處理個人信息能保障信息流動的高效化。本質上，個人信息處理的標準是前述問題的癥結所在，旨在兼顧利益調和的同時防止對個人信息的濫用。由此，個人信息處理的基本原則應運而生?！吨腥A人民共和國民法典》（以下簡稱“《民法典》”）第1035條首次在民事基本法層面確立了個人信息處理的三大基本原則，即合法、正當、必要原則。這其中，必要性原則在實質層面發(fā)揮著個人信息處理的“閥門”調節(jié)作用，明確了信息處理者處理個人信息的合理界限，以及信息主體對他人處理本人信息的容忍限度，從而實現(xiàn)“人格利益與信息自由”①齊愛民、李儀：《論利益平衡視野下的個人信息權制度——在人格利益與信息自由之間》，《法學評論》2011年第3期。之間的平衡。鑒于必要性原則本身的抽象性與信息處理場景的復雜性，明晰必要性原則的法律內涵，以情境化的思維對必要性原則的功能適用展開具體分析，充分考量不同利益維度下的信息處理差異，是解決個人信息過度處理問題的題中之義，進而服務于當下我國個人信息保護法的制定與未來司法實踐的開展。本文擬以個人信息處理的法律關系為基礎，從主體、內容（以信息處理目的為主）、客體三個視角切入，探尋必要性原則在信息處理中的一般內涵、判斷標準和特殊適用等關鍵問題，以期進一步準確界定個人信息的處理限度。

一、必要性原則在個人信息處理中的功能與挑戰(zhàn)

（一）作為人格權益保護與財產價值利用之間的平衡

《民法典》第1034條第2款規(guī)定：“個人信息是以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人的各種信息……”盡管《民法典》在人格權編正式納入了個人信息保護的相關規(guī)則，但學界對個人信息的法律權屬性質仍存在爭議，并提出了具體人格權說①參見楊立新：《個人信息：法益抑或民事權利——對〈民法總則〉第111條規(guī)定的“個人信息”之解讀》，《法學論壇》2018年第1期。、人格利益說②參見程嘯：《民法典編纂視野下的個人信息保護》，《中國法學》2019年第4期。、財產權說③參見劉德良：《個人信息的財產權保護》，《法學研究》2007年第3期。、新型公法權利說④參見周漢華：《個人信息保護的法律定位》，《法商研究》2020年第3期。等諸多觀點。學者就加強個人信息保護本身已達成一致共識，區(qū)別僅在于具體的保護理念、方法與路徑上。如前述定義，“個人信息的本質在于其能夠單獨或者結合其他信息識別特定個人身份的屬性?！雹輳埿聦殻骸丁疵穹倓t〉個人信息保護條文研究》，《中外法學》2019年第1期。此種直接指向作為主體之個人的特質，使得個人信息與人格尊嚴和人格自由之間存在密切關系，而后者是整個人格權法的價值基礎。⑥參見王利明：《民法典人格權編的亮點與創(chuàng)新》，《中國法學》2020年第4期。

早在1845年，馬克思在《關于費爾巴哈的提綱》中寫道：“人的本質不是單個人所固有的抽象物，在其現(xiàn)實性上，它是一切社會關系的總和?！雹咧醒腭R克思恩格斯列寧斯大林著作編譯局：《馬克思恩格斯選集》（第1卷），人民出版社1995年版，第60頁。這表明了人的社會性與群體性的基本觀念，并強調了人格的社群塑造性與依賴性。個人信息是主體參與社會交往的直接載體，發(fā)揮著個人人格表現(xiàn)和人格發(fā)展的功能。通過對個人信息的公開、使用、接收反饋，信息主體得以在社會參與中逐步形成完善的社會形象或人格形象，并對此不斷修正，保障此種形象的完整性、真實性與心理預期。此外，基于隱私觀念和獨處利益的需要，權利主體亦有權拒絕對本人信息的過度披露與使用，從而實現(xiàn)對個人形象的控制和自主。⑧美國知名隱私權學者艾倫·威斯汀（Alan Westin）就將隱私權定義為：“隱私是指個人、團體或機構自主決定何時、如何以及在何種程度上向他人傳播自己信息的權利?！盇lanWestin, Privacy and Freedom, Atheneum Press, 1967, p.7.在此意義上，信息主體對個人信息流轉范圍和流轉方式的控制，與個人人格的發(fā)展密切聯(lián)系，這也是在現(xiàn)實社會中保護個人信息相關權益的價值基礎。⑨參見王利明：《人格權法研究》（第3版），中國人民大學出版社2018年版，第621頁。信息自決正是個人信息保護的核心。正如有學者指出，個體人格的建構在相當程度上依賴于他人對自己的認識，控制個人信息的傳播屬于人的基礎利益，是個體自由發(fā)展人格的組成部分，有內在重要性。⑩參見于柏華：《處理個人信息行為的合法性判準——從〈民法典〉第 111 條的規(guī)范目的出發(fā)》，《華東政法大學學報》2020年第 3 期。信息技術的規(guī)?；\用，使得碎片化的個人痕跡被不斷整合，進而形成具象化的用戶畫像（User Profiling）。“個人作為目的性的存在，只有消除個人對信息化形象被他人操控的疑慮和恐慌，保持其信息化人格與其自身的一致性而不被扭曲，才能有自尊并受到他人尊重地生存與生活。因此，個人信息對于信息主體的人格尊嚴和自由價值，應當是個人信息保護立法中首要考慮的因素?！?張新寶：《從隱私到個人信息：利益再衡量的理論與制度安排》，《中國法學》2015年第3期。

個人信息兼具人格利益與財產利益、個體性與社會性等諸多利益面向。傳統(tǒng)大陸法系的民法典以人格權的消極權能為核心，由侵權責任制度提供事后救濟與保護。“現(xiàn)代人格權理論發(fā)展的核心是使人格權獲得積極權能。”?韓強：《人格權確認與構造的法律依據(jù)》，《中國法學》2015年第3期。因為人格權的倫理價值是充分實現(xiàn)所有的人的主體價值，而“人的主體價值經濟化是提升和強化人的主體價值的有效路徑之一”?孟勤國：《論人格權的倫理價值》，《財經法學》2019年第4期。。個人信息除了個人尊嚴與自主價值，財產利益與使用價值亦是其重要的功能內涵。在信息時代，數(shù)據(jù)作為重要的生產要素，已經成為信息產業(yè)發(fā)展的核心動力?！秶倚畔⒒l(fā)展戰(zhàn)略綱要》指出，信息資源日益成為重要的生產要素和社會財富，應當進一步“開發(fā)信息資源，釋放數(shù)字紅利”。信息正是在當下具備了與以往不同的時代價值，使得各類主體不斷增強對信息資源的競爭和利用。于國家而言，信息具有公共管理價值，需要通過對公民信息的收集、整理和分析達到國家管理和公共決策的目的，重大突發(fā)公共衛(wèi)生事件中個人信息的處理就是典型。而企業(yè)在市場預測、產品營銷和發(fā)展創(chuàng)新等方面也離不開信息數(shù)據(jù)的支持，這也導致諸多企業(yè)一再突破法律邊界，不當收集和侵犯個人信息。

在大數(shù)據(jù)背景下，個人信息處理行為既會引發(fā)數(shù)據(jù)安全風險等負外部性，也會帶來分享經濟價值實現(xiàn)等正外部性，因此需要實現(xiàn)大數(shù)據(jù)產業(yè)創(chuàng)新與個人信息安全的有機平衡。①參見胡朝陽：《大數(shù)據(jù)背景下個人信息處理行為的法律規(guī)制——以個人信息處理行為的雙重外部性為分析視角》，《重慶大學學報（社會科學版）》2020年第1期。對社會人格形象的合理預期，是基于信息主體維護人格尊嚴之必要；而以何種人格形象參與社會交往，則是信息主體自主權之范疇。實際上，一般的社會交往與參與，對個人信息的需求度不高。隨著私密程度的深入，信息主體會逐漸減少對個人信息的披露與使用，并且單一的個人信息本身的經濟利益和管理價值有限。因此，真正對信息主體產生威脅的行為應當是規(guī)?；?、常態(tài)化和自動化的信息處理行為。信息處理者只有通過經常性、規(guī)模性的處理方式，才可能獲取數(shù)據(jù)利用價值。因此，個人利益與信息利用之間沖突的深層邏輯即在于以何種標準劃定信息處理的限度和邊界，必要性原則正是在此種背景下得以發(fā)揮其平衡的功能。一方面，必要性原則旨在柔性處理信息利用與保護之間的關系，避免“全有/全無——絕對支配/過度濫用”的信息處理極端；另一方面，通過推動信息主體對個人信息利益的適度讓與，同時限制信息處理者的過度處理行為，在實現(xiàn)目的之必要范圍內最大化雙方的信息利益，保持雙方利益的均衡與比例性。于此，既滿足了信息處理者必要的信息需求，又實現(xiàn)了對信息主體最低程度的權益侵擾。

（二）防止必要性原則在個人信息處理中的虛化

必要性原則的核心功能在于防止信息處理者對個人信息的過度處理，對必要性原則的探討實質上是對信息處理程度的判斷。根源在于信息處理者和信息主體之間的差異化以及不平等的市場主體地位，前者因為規(guī)模、技術、資源等的優(yōu)勢，居于市場主導地位，加劇了兩者之間的信息不對稱情況。此外，信息數(shù)據(jù)巨大的經濟效益會對信息處理者產生更為強烈的信息利用激勵，而非信息保護激勵。在信息控制者利用激勵與保護激勵明顯失衡的結構下，如果缺乏外部干預與政府監(jiān)管，勢必在“叢林法則”下導致對個人信息的肆意濫用，這是各國普遍重視個人信息保護的重要理由。因此，必須探索激勵相容的個人數(shù)據(jù)治理之道。②參見周漢華：《探索激勵相容的個人數(shù)據(jù)治理之道——中國個人信息保護法的立法方向》，《法學研究》2018年第2期。

早期，中國關于個人信息保護的立法較為遲緩，這與中國的社會經濟狀況、互聯(lián)網科技發(fā)展程度、中國的隱私理念，以及公民對法律的需求有重要的關系。2012年的《全國人民代表大會常務委員會關于加強網絡信息保護的決定》（以下簡稱“《決定》”）是我國個人信息保護立法的重要起點?！稕Q定》第2條明確提出：“網絡服務提供者和其他企業(yè)事業(yè)單位在業(yè)務活動中收集、使用公民個人電子信息，應當遵循合法、正當、必要的原則，明示收集、使用信息的目的、方式和范圍，并經被收集者同意，不得違反法律、法規(guī)的規(guī)定和雙方的約定收集、使用信息?！北匾栽瓌t被正式提出，并作為個人信息處理的基本原則。此后，《消費者權益保護法》第29條、《網絡安全法》第41條、《電子商務法》第23條、《民法典》第1035條再次重申了個人信息處理中的必要性原則。問題在于，前述法律均未對必要性原則的法律內涵、具體標準、適用類型等進行解釋與說明，在一定程度上使得必要性原則僅成為立法路徑的延續(xù)與權利的抽象宣示，難以發(fā)揮其實質作用。2020年3月，全國信息安全標準化技術委員會發(fā)布的《信息安全技術個人信息安全規(guī)范》（GB/T 35273-2020）“4 個人信息安全基本原則”中對必要性原則進行了具體化，即“最小必要——只處理滿足個人信息主體授權同意的目的所需的最少個人信息類型和數(shù)量。目的達成后，應及時刪除個人信息”。但作為國家推薦標準，其本身不具有強制性效力，必要性原則依然被束之高閣。

有鑒于此，《中華人民共和國個人信息保護法（草案二審稿）》（以下簡稱“《草案二審稿》”）第6條對必要性原則予以進一步補充與細化，將個人信息處理限于實現(xiàn)處理目的所必要的最小范圍，并采取對個人權益影響最小的方式，殊值贊同。然而，在大數(shù)據(jù)時代，個人信息的使用場景紛繁復雜，超出立法所能規(guī)范與預見的能力，單一的信息處理判斷標準不盡合理，以用戶為中心、結果為導向進行動態(tài)界定的思路，即場景與風險導向的新理念由此日益為國際上所倡導，要求在相應場景中具體地評估數(shù)據(jù)處理行為的風險。①參見范為：《大數(shù)據(jù)時代個人信息保護的路徑重構》，《環(huán)球法律評論》2016年第5期。該理念源于美國學者海倫·尼森鮑姆（Helen Nissenbaum）的“情景完整性”（Contextual Integrity）理論。該理論強調，應當依據(jù)信息處理的不同場景，考慮信息處理的不同風險、主體預期、公共利益等因素，判斷信息處理的合理性與保護程度，避免脫離場景的抽象化判斷。②Helen Nissenbaum, Privacy as Contextual Integrit, 79(1) Wash.L.Rev.1, 119 (2004).因此，服務于妥當界定必要性原則內涵的出發(fā)點和司法個案法律適用的基本目的，秉持具體問題具體分析的辯證唯物主義認識論原則，基于重要的信息處理維度，展開對必要性原則的細致分析，具有必要性與合理性。

二、目的維度下對必要性原則的省思

（一）信息處理目的下的必要性原則之內涵

“個人信息（個人數(shù)據(jù)）保護法肇始于計算機應用，為解決個人信息電子化處理引發(fā)的個人權益保護問題，個人信息處理（數(shù)據(jù)處理）就成為個人信息保護法的基石性概念?！雹鄹吒黄剑骸秱€人信息處理：我國個人信息保護法的規(guī)范對象》，《法商研究》2021年第2期。本質上，個人信息保護法是通過對信息處理行為的規(guī)制實現(xiàn)對信息主體的權益保護，必要性原則的直接作用對象即是信息處理行為，通過適度限制對個人信息的處理，從而劃定信息利用的邊界。然而，信息處理行為又最終服務于信息處理目的，從這個意義上講，必要性原則是以規(guī)制處理行為為媒介，進而形成與信息處理目的之間的制度互動，根本是為了實現(xiàn)信息處理之目的與手段間的利益均衡?？梢哉J為，必要性原則的實質是公法上所謂帝王條款“比例原則”在個人信息領域的部分投射。

在公法上，比例原則主要是通過對“手段”和“目的”之關聯(lián)性的考察對國家行為進行檢視的，旨在防止公權力對私權的過度干預。④參見張紅：《指紋隱私保護：公、私法二元維度》，《法學評論》2015年第1期。比例原則基于其適度、均衡的理念，以及對實質正義的追求，逐漸得到私法領域的認可，對包括民法在內的整個法律秩序發(fā)生作用。有學者指出,“比例原則構成了維護私法自治的兩道‘防火墻’：對外，其可以有效抵御國家公權力的過度介入；對內，其可以確保私法自治不被處于強勢地位的私主體所濫用?！雹萼崟詣Γ骸侗壤瓌t在民法上的適用及展開》，《中國法學》2016年第2期。根據(jù)比例原則的邏輯，在個人信息保護領域，信息處理行為與信息處理目的之間應當符合比例原則中“適當性原則”“必要性原則”“均衡性原則”的要求。首先，個人信息處理的行為應當有助于信息處理目的之實現(xiàn)，若處理特定的個人信息不能實現(xiàn)既定的目的，則構成對信息處理的濫用，典型的如新聞資訊軟件對通訊錄信息的收集。其次，在數(shù)個可實現(xiàn)初始目的的方式上，應當采用對信息主體權益侵害最小的方式，若處理一般信息即可實現(xiàn)處理目的的，不得處理敏感信息；而更為直接的要求是，在最小化的信息提供范圍可實現(xiàn)處理目的的，禁止過度處理。最后，信息處理所追求的目的應當與手段之間相稱，要求信息處理所實現(xiàn)之價值高于對權益造成的侵害。

盡管在“禁止過度”的理念上有著共通性，但比例原則與個人信息處理中的必要性原則存在一定的區(qū)別，如必要性原則本身無法判斷手段與目的之間的均衡性。因此，筆者認為，個人信息處理中的必要性原則主要是對信息處理目的和信息利用范圍的要求，核心是在保障信息處理目的之基礎上實現(xiàn)對信息處理的最小化，即對信息主體權益侵擾之最輕化。因此，必要性原則在個人信息處理中的具體要求如下。

第一，個人信息處理應當與擬實現(xiàn)的信息處理目的之間具備關聯(lián)性，若處理個人信息本身無助于特定目的的實現(xiàn)，則處理行為違反必要性原則。在“凌某某訴北京微播視界科技有限公司案”中，法院認為，原告未注冊抖音App時，其不存在在軟件中建立社交關系的可能，被告收集原告的姓名和手機號碼信息，并存儲于后臺系統(tǒng)中，超出必要限度。①參見“凌某某訴北京微播視界科技有限公司隱私權、個人信息權益網絡侵權責任糾紛案”，北京互聯(lián)網法院（2019）京0491民初6694號民事判決書。在本案中，用戶在僅出于軟件一般瀏覽而非注冊社交目的之情形下，服務商收集其通信信息顯然無助于實現(xiàn)前述目的，超出必要限度。需要說明的是，必要性原則本身無法判定目的的正當性與合理性，其作用在于，特定目的確定后，考察處理個人信息是否為實現(xiàn)該目的所必需。因此，明確與特定的目的構成必要性原則適用的前提。

第二，個人信息處理應當限于實現(xiàn)處理目的之最小范圍，即數(shù)據(jù)最小化（Data Minimization）。顯而易見，信息主體和信息處理者之間的博弈主要在于信息本身的程度與范圍上。敏感程度越高、信息范圍越大則對信息主體帶來的潛在信息風險越高。因此，在實現(xiàn)處理目的的基礎上，最小化的數(shù)據(jù)利用通常代表了最低程度的信息風險和權益侵害。要求信息處理者在處理信息時盡可能選擇較低敏感程度和較少數(shù)量的信息去實現(xiàn)信息處理目的，這也是必要性原則的核心意旨。實際上，早在個人信息制度建立之初，有關限制信息處理的基本原則就被確定下來。20世紀70年代，誕生于美國的“公平信息實踐”就明確了信息處理的限制原則；80年代經濟合作與發(fā)展組織（OECD）制定的《隱私保護與個人數(shù)據(jù)跨境流通指南》，90年代歐盟《個人數(shù)據(jù)保護指令》（95/46/EC）也進一步強調了信息的收集、使用限制原則；2016年的歐盟《一般數(shù)據(jù)保護條例》（GDPR）（以下簡稱“《條例》”）則在第5條個人數(shù)據(jù)處理原則中明確提出了數(shù)據(jù)最小化原則：個人數(shù)據(jù)的處理應當是為了實現(xiàn)數(shù)據(jù)處理目的而適當?shù)?、相關的和必要的。②參見丁曉東：《論個人信息法律保護的思想淵源與基本原理——基于“公平信息實踐的分析》，《現(xiàn)代法學》2019年第3期。

第三，個人信息處理應當限于實現(xiàn)處理目的之最短期限。如前所述，信息處理是手段，服務于最終目的。在個人信息保護領域，“處理個人信息應當有特定目的，并且應當依據(jù)該特定的、明確的目的進行，通常不得超出目的范圍處理個人信息，與實現(xiàn)所涉目的無關的個人信息不得處理”③黃薇：《中華人民共和國民法典人格權編解讀》，中國法制出版社2020年版，第217頁。。一般而言，基于特定性要求，目的本身具有存續(xù)期限。這意味著，旨在實現(xiàn)信息處理目的之個人信息也應當限于實現(xiàn)目的之最短期限。若目的不再存續(xù)，或已經實現(xiàn)，繼續(xù)處理個人信息則不再具有正當性。而在不定期或較長期限內處理個人信息，本身難言符合信息主體對自身權益的合理期待，也徒增信息泄露或不正當使用的風險。在此意義上，《草案二審稿》第20條關于信息處理期限的規(guī)定略顯體系違和，應當從個人信息處理規(guī)則中移除，放置于總則部分的必要性原則處。

第四，個人信息處理應當采取對個人權益影響最小的方式。禁止過度，需要對信息處理目的與手段進行雙重考察?！睹穹ǖ洹返?035條第2款規(guī)定：“個人信息的處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開等?！睂€人權益影響最小的方式是指在包括個人信息的收集、存儲、使用等具體行為中，信息處理者應當審慎評估其信息處理方式，并采取必要手段，如信息匿名化、分散化存儲、提高安全標準等，盡可能降低信息處理風險，滿足信息主體的合理預期。這實際上體現(xiàn)出一種自設計時起的隱私保護理念（Privacy by Design），即從系統(tǒng)最初的開發(fā)階段就主動嵌入個人信息保護的需求，倡導通過法律、技術等綜合手段來保護個人信息，強調信息保護的積極預防。④參見鄭志峰：《通過設計的個人信息保護》，《華東政法大學學報》2018年第6期。

（二）信息主體的“合理信息期待”及其限制

信息處理程度往往與潛在的信息風險呈正向比例，而不同類型和場景下的信息處理行為所帶來的信息風險具有一定的區(qū)別，信息主體的隱私或者信息期待亦有不同。正因為如此，有論者提出對個人信息保護應當采取一種基于場景的行為主義規(guī)制模式，即在具體場景中確立個人信息收集與利用行為的合理邊界，根據(jù)不同行為所可能侵犯個體與社會的權益而進行不同程度的規(guī)制。①參見丁曉東：《個人信息的雙重屬性與行為主義規(guī)制》，《法學家》2020年第1期。場景導向本質是一種風險導向，而風險導向又反映出信息主體的差異化訴求和權利期待?；貧w情景完整性理論的制度目的，考察不同信息處理場景的出發(fā)點在于確立具體情形下信息處理的客觀風險，以及信息主體對自己權益受到保護的合理信賴與期待，這正是判斷信息處理限度的合理標準，與“合理隱私期待”標準有異曲同工之妙。合理的隱私期待標準最早由美國聯(lián)邦最高法院于1967年在“Katz v.United States②Katz v.United States, 389 U.S.347 (1967).案”中提出，以此判斷當事人是否享有隱私權。“合理隱私期待”標準包括兩方面要件：“首先是主觀要件，即個人的行為是否表現(xiàn)出他確實享有主觀的隱私期待；其次是客觀要件，即社會是否認可他的隱私期待是‘合理的’?！雹鄱偶t原：《隱私權的判定——“合理隱私期待標準”的確立與適用》，《北方法學》2015年第6期。在個人信息處理語境下，信息處理者采取的信息處理行為是否符合必要性原則的要求，首先需要評估此種信息處理行為的風險程度，進而考察此種信息風險是否符合信息主體的合理心理預期，而風險程度往往與信息主體身份、信息處理目的、處理的信息類型、具體信息處理行為、信息范圍有關，應當進行綜合考量。其次，應當以一般理性人的客觀視角審查前述信息主體對個人信息保護的期待是否合理，即前述信息風險在該種場景下能否被社會一般公眾所接受。最后，若信息處理者的信息處理行為未超過信息主體在特定場景下的合理信息期待，原則上認為該處理行為未超過必要的限度。

為避免信息控制者利用訂約優(yōu)勢過度收集個人信息，有必要從外部對個人信息的收集范圍予以限制，這是一種法律政策的選擇結果，體現(xiàn)出立法者基于現(xiàn)實情況代替信息主體作出的一項最為安全的選擇，頗具法律父愛主義（Paternalism）色彩。④參見劉明：《淺析個人信息收集行為的必要性要求》，《中國信息安全》2019年第3期。這意味著，前述限制也可能基于其他法律政策而有所調整?！稐l例》第5條詳細列舉了個人數(shù)據(jù)處理的基本原則，包括目的限制、數(shù)據(jù)最小化、存儲限制等。但是，該條例在信息處理原則中又明確規(guī)定，基于公共利益、科學、歷史研究或統(tǒng)計目的，并采取了該條例第89條規(guī)定的必要措施而進一步處理數(shù)據(jù)的，不視為違反目的限制原則，并可以超過處理個人數(shù)據(jù)之目的所必需的存儲期限。同時，該條例第89條指出，出于公共利益等特定目的，可以對信息主體的部分權利進行適當克減。⑤See “REGULATION (EU) 2016/679 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL”, https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32016R0679&qid=1621917614723 (Last visited by May 15, 2021).這表明，個人信息處理目的之性質，特別是基于公共利益目的之個人信息處理，會對信息處理的必要性原則產生影響。本質上，這是基于個人信息的公共屬性，基于維護特定公共利益而對權利主體的信息權益所作的必要的和適當?shù)南拗啤＞唧w到必要性原則中，公共利益對信息主體權益限制的直接表現(xiàn)為，對信息處理限度和合理信息期待的一定突破，但此種突破并非是對必要性原則的全面推翻，而是對必要性原則，特別是數(shù)據(jù)最小化要求的一種必要修正，以服務于更高利益之實現(xiàn)，構成一種“限制的限制”。

三、主體維度下對必要性原則的檢視

（一）公權力主體作為信息處理者對信息處理限度的影響

“個人信息不僅關涉?zhèn)€人利益，而且關涉他人和整個社會利益，個人信息具有公共性和社會性。傳統(tǒng)的個人信息個人控制理論是建立在個人主義觀念下，忽視了個人信息的社會性、公共性，不僅不能全面反映個人信息的法律屬性，而且不能適應大數(shù)據(jù)時代個人信息利用的新環(huán)境和新方式?！雹俑吒黄剑骸秱€人信息保護：從個人控制到社會控制》，《法學研究》2018年第3期。這是因為，小數(shù)據(jù)時代的個人信息主要體現(xiàn)為個體性，社會性較弱，使用目的多為對信息主體的識別；而大數(shù)據(jù)時代參與個人信息保護與利用的是數(shù)量龐大、實力懸殊且呈現(xiàn)出鮮明群體性特征的信息主體和信息處理者。關涉的利益不僅是信息主體的人格尊嚴和信息處理者的商業(yè)利益，更有數(shù)字經濟的發(fā)展和大數(shù)據(jù)紅利的分享。②參見王懷勇、常宇豪：《個人信息保護的理念嬗變與制度變革》，《法制與社會發(fā)展》2020年第6期。前述觀點，進一步強調了個人信息的社會公共性質，具有合理性，即使是出于維護人格尊嚴和自由之目的，在“德國人口普查案”中發(fā)展出的信息自決權，也并非說明個人對其信息享有所謂絕對不受限制的支配權，基于個人與團體間的社會關聯(lián)性和拘束性，信息自主權必須容忍重大公益的限制。③參見王澤鑒：《人格權法》，北京大學出版社2013年版，第200頁。

基于前述分析，公共權力主體作為信息處理者，因公共利益目的履行公共職責而賦予其信息處理行為的正當性。因此，在信息處理過程中，正當?shù)膶嵸|性公共利益確實得以對信息主體的信息權益構成合理制約，意味著在特定情形下，允許政府適度突破信息處理必要性之常規(guī)邊界，保障公共利益先行。以重大突發(fā)公共衛(wèi)生事件為例，《中華人民共和國傳染病防治法》第23條規(guī)定：“疾病預防控制機構應當主動收集、分析、調查、核實傳染病疫情信息?！辫b于科技和醫(yī)療衛(wèi)生條件等客觀因素之限制，人類尚且無法對一切可能發(fā)生的傳染性病毒作出準確、快速的判斷，在疫情期間，通過盡可能數(shù)量的疫情數(shù)據(jù)采集，進行病毒溯源是應對疫情的必然舉措。在這個過程中，如果僅僅以“數(shù)據(jù)最小化”作為信息處理的基準，必然難以及時有效地應對未知的疫情風險。這正是必要性原則在面對特定情形下的合理修正。

新興的利益訴求與表達往往催生新型的利益格局與秩序。工業(yè)社會時期，個人信息主要體現(xiàn)為自然人的隱私權益，政府等公共權力主體作為“守夜人”并未直接介入其中的利益分配。信息時代，國家除了傳統(tǒng)隱私權保護時期中立超然的裁判者身份外，其不再單純以超然利益關系的治理者出現(xiàn)，它同時也是最大的個人信息收集、處理、儲存和利用者，國家同時具有了管理者和利用者的雙重身份。④參見張新寶：《從隱私到個人信息：利益再衡量的理論與制度安排》，《中國法學》2015年第3期。同時，為了保障公民、法人和其他組織依法獲取政府信息，提高政府工作的透明度，建設法治政府⑤參見《中華人民共和國政府信息公開條例》第1條之立法目的。，國家又負有公開自身政務信息的法定職責。在某種意義上，國家在信息領域兼具“信息處理者”“信息主體”“信息裁判者”三重主體身份。相較于一般的信息處理者，國家作為公共權力的合法擁有者，對信息主體的權益威脅更甚。這是因為，作為公共資源的直接管理者與集中者，相較于其他主體，國家在信息技術時代掌握了更多足以完整描摹個人圖像的信息獲取渠道和信息處理技術，其獲得信息并施加影響的可能性已增加到前所未有的程度，“監(jiān)控國家”的風險也因此驟然增高。⑥參見趙宏：《從信息公開到信息保護：公法上信息權保護研究的風向流轉與核心問題》，《比較法研究》2017年第2期。

國家作為信息處理者還具備其他主體所沒有的行為特征，包括公共性、強制性、壟斷性等?！靶姓黧w對個人信息的收集、處理和利用是行政事實行為。它是行政主體基于職權而實施的，是運用行政權力的結果。”⑦劉?。骸墩搨€人信息的行政法保護》，《行政法學研究》2007年第2期?；谏鐣补芾碇康模靡院戏ǘ?guī)?；?、常態(tài)化、高頻次地處理公民個人信息，盡管公權力行使應當以追求公共利益為目的，但“由于公共利益并不指向特定的主體，具體內容依時空、語境發(fā)生變化，表現(xiàn)出不確定性，因此公共利益極易成為公權力機關實施自利行為（如政府單純追求政績）的便車”。⑧寧園：《健康碼運用中的個人信息保護規(guī)制》，《法學評論》2020年第6期。此外，相較于傳統(tǒng)時期的公共安全治理機制與治理流程，大數(shù)據(jù)時代公共安全決策的流程將由危機事件發(fā)生后的“應對”轉變?yōu)槲C事件發(fā)生前的“預測”，而此種“預測”往往體現(xiàn)為對規(guī)模數(shù)據(jù)信息的收集、挖掘、分析。①參見張春艷：《大數(shù)據(jù)時代的公共安全治理》，《國家行政學院學報》2014年第5期。

政府處理個人信息的風險不僅不會因為公共利益而降低，反而因其獨特的身份相較于其他信息處理者而言又顯著提升了信息主體的信息風險。因而，對政府的信息處理行為必須進行合理規(guī)范，最基礎的要求則是此類信息處理行為必須具備合法性授權，因為程序正義是現(xiàn)代國家治理的核心，也是權力正當性的外在合法表征。在實質層面，還應當對公共利益進行必要審查，排除部門或機構利益等形式上的公共利益，區(qū)分不同場景中公共利益的具體內涵，進行合理的利益衡量。②參見寧立成、崔志敏：《疫情防控中公權力主體處理個人信息的正當性分析》，《現(xiàn)代法治研究》2020年第4期。最后，個體權利在應急狀態(tài)下確實會受到一定的限制，但這種限制絕不能演變?yōu)閷ζ錂嗬膹氐着懦吞涂眨膊荒苎葑優(yōu)閷緳嗬举|內容的徹底否定和消解。因此，人性尊嚴是作為個人權利限制的根本界限③參見趙宏：《疫情防控下個人的權利限縮與邊界》，《比較法研究》2020年第2期。，同樣也是限制信息處理必要性原則的根本標準。歐洲數(shù)據(jù)保護專員公署（EDPS）指出，更好地尊重和維護人的尊嚴，可以制衡目前個人所面臨的普遍監(jiān)視和權力不對稱，這是新的數(shù)字倫理核心。④The European Data Protection Supervisor, Towards a New Digital Ethics: Data, Dignity and Technology (2015), https://edps.europa.eu/dataprotection/our-work/publications/opinions/towards-new-digital-ethics-data-dignity-and_en (Last visited by May15, 2021).因此，有論者表示，“基于控制‘數(shù)據(jù)權力’這一侵害風險源的需要，國家一方面應避免過度侵入個人信息領域；另一方面應通過制度性保障、組織與程序保障以及侵害防止義務的體系化，營造個人信息保護的制度生態(tài)”⑤王錫鋅：《個人信息國家保護義務及展開》，《中國法學》2021年第1期。。權力的擴張和正當使用必須通過法律來限制，有學者呼吁從限權角度制定規(guī)范政府公權力處理個人信息的專門立法。⑥參見王秀哲：《我國個人信息立法保護實證研究》，《東方法學》2016年第3期。

（二）特殊信息主體的權利保障與信息處理限制

如果說基于社會公共利益政策需要，公權力機關在處理個人信息時需要適當緩和信息處理之限度，那么同樣基于特殊/優(yōu)先保護的人權理念，在處理部分特殊信息主體的個人信息時，該信息處理行為應當施以更為嚴格的限制，兒童個人信息處理即是例證。1959年聯(lián)合國大會通過的《兒童權利宣言》明確指出，兒童因其身心尚未成熟，于出生前及出生后均需特別保障與照料，包括適當之法律保護在內。該宣言確立了兒童權利的十大原則，原則之二即是兒童的特別保護與利益最大化原則。1989年聯(lián)合國大會通過的《兒童權利公約》（以下簡稱“《公約》”）進一步強調，關于兒童的一切行動，不論是由公私社會福利機構、法院、行政當局或立法機構執(zhí)行，均應以保護兒童的最大利益為首要考慮。其中，《公約》第16條直接規(guī)定了對兒童隱私、家庭、住宅和通信的保護。正如《兒童權利宣言》所言，兒童由于其身心發(fā)育程度的限制，缺乏合理的辨識能力和風險抵御能力，對其行為及其后果缺乏有效認知，加之互聯(lián)網應用日益普及并已然成為兒童學習生活重要組成部分，同時信息資源業(yè)已呈現(xiàn)巨大經濟價值⑦參見王勇旗：《網絡環(huán)境中兒童個人信息的人格權化保護》，《現(xiàn)代傳播（中國傳媒大學學報）》2020年第10期。，兒童個人信息保護已是未成年人網絡安全制度的核心議題。

《條例》列舉了諸多在個人數(shù)據(jù)處理過程中可能導致人身、物質或非物質損害進而威脅個人權利與自由的風險來源，包括處理自然人的敏感信息、大規(guī)模處理個人信息、數(shù)據(jù)主體被剝奪數(shù)據(jù)控制權等，其中，處理兒童等弱勢群體的個人信息行為赫然在列。為此，《條例》在涉及兒童數(shù)據(jù)處理方面設置了諸多特別規(guī)則，以加強對兒童個人信息處理行為的規(guī)制?！稐l例》第6條在判斷信息處理行為的合法性時，明確將兒童的特別利益及其基本權利和自由放置于比信息控制者或第三方利益更為優(yōu)越的位置；第8條規(guī)定了處理兒童數(shù)據(jù)時的差異化授權同意條件；第57條在規(guī)定監(jiān)管機關的職責時，明確要求其就針對兒童信息處理的活動給予特別關注。事實上，加強未成年人的網絡保護早已是國際社會的共識。美國國會在1998年制定了《兒童網上隱私保護法》（Children’s Online Privacy Protection Act），規(guī)范網站和其他網絡服務提供者通過互聯(lián)網收集兒童個人信息的行為。英國2017年的《數(shù)字經濟法》、日本2008年的《青少年網絡環(huán)境優(yōu)化法》都對未成年人面臨的網絡信息風險進行了規(guī)制。①參見周學峰：《未成年人網絡保護制度的域外經驗與啟示》，《北京航空航天大學學報（社會科學版）》2018年第4期。

在個人信息處理過程中，兒童個人信息容易受到網絡主體的非法收集和濫用，兒童更易遭受外界的不當侵害與成長干預，妨礙其健康的心智培養(yǎng)與價值塑造，進而威脅其人格尊嚴與發(fā)展自由。因此，嚴格限制針對兒童個人信息的處理確有必要，這是一種法律政策上“弱式意義上的平等對待”②王軼：《民法價值判斷問題的實體性論證規(guī)則——以中國民法學的學術實踐為背景》，《中國社會科學》2004年第6期。的價值判斷。我國互聯(lián)網信息辦公室通過的《兒童個人信息網絡保護規(guī)定》（以下簡稱“《規(guī)定》”）第8條規(guī)定：“網絡運營者應當設置專門的兒童個人信息保護規(guī)則和用戶協(xié)議，并指定專人負責兒童個人信息保護?！蓖瑫r，就兒童個人信息處理的原則、條件、內容、程序設置特別規(guī)則。其中，《規(guī)定》第15條明確要求：“網絡運營者對其工作人員應當以最小授權為原則，嚴格設定信息訪問權限，控制兒童個人信息知悉范圍。”這是對個人信息處理必要性原則的特別規(guī)定，即兒童信息的最小授權和傳播規(guī)則，這與處理一般主體個人信息的要求有明顯差異，是對個人信息處理權限的進一步限縮。當然，由于個人信息于社會交往之重要價值，兒童亦概莫能外。因此，嚴格限制兒童個人信息的處理并非排斥，更非禁止處理兒童信息，只是要求信息處理者履行更為嚴苛的信息處理義務。

四、客體維度下對必要性原則的審度

（一）基于信息處理風險的個人信息類型區(qū)分

“個人信息的保護范圍可大體界定為與公民個體的獨立意志和交互行為的獨立自主具有密切聯(lián)系的信息?！雹弁趵鳎骸逗投煌弘[私權與個人信息的規(guī)則界分和適用》，《法學評論》2021年第2期。前述觀點中，個人信息的保護范圍與個人信息的“識別性”定義具有一致性，均強調個人信息與自然人的身份關聯(lián)。但是，不同類型的個人信息的私密性不同，與主體的身份關聯(lián)性亦有差異，導致信息處理的風險程度各異，因此，“根據(jù)個人信息不同階段評估其存在的風險來界定個人信息具有一定的合理性”④陽雪雅：《論個人信息的界定、分類及流通體系——兼評〈民法總則〉第111條》，《東方法學》2019年第4期。。信息風險與信息主體的合理信息期待密切相關，因而反映風險程度的不同信息類別亦會對個人信息的處理限度產生影響。

根據(jù)信息的私密程度、敏感程度及其對信息主體的風險影響程度，可以將個人信息類型化為一般個人信息和敏感個人信息。諸多現(xiàn)行規(guī)范也是在評估信息處理給自然人可能造成的損害和風險基礎上對一般信息和敏感信息進行區(qū)分的?！秱€人信息安全規(guī)范》規(guī)定，敏感個人信息是指“一旦泄露、非法提供或濫用可能危害人身和財產安全，極易導致個人名譽、身心健康受到損害或歧視性待遇等的個人信息?！薄恫莅付徃濉返?9條第2款將敏感個人信息界定為：“一旦泄露或者非法使用，可能導致個人受到歧視或者人身、財產安全受到嚴重危害的個人信息，包括種族、民族、宗教信仰、個人生物特征、醫(yī)療健康、金融賬戶、個人行蹤等信息。”相較于一般信息，敏感信息具有如下顯著特點。

首先，敏感信息與信息主體的人格尊嚴更為密切，具有高度的人身依附性、專屬性等一般信息不具備的信息特質。以指紋、虹膜、基因等生物識別信息為例，它們能直接反映自然人獨一無二與不可替代性的身體、生理或行為等主體本質特征⑤參見冉克平：《論個人生物識別信息及其法律保護》，《社會科學輯刊》2020年第6期。，是人格尊嚴完整的必備要素。敏感信息的缺失或扭曲會直接帶來主體完整性貶損的不利后果。

其次，敏感信息的私密程度更高，許多屬于受隱私權和個人信息權益保護的雙重客體。盡管對個人信息的法律屬性存在爭議，但隱私權作為自然人排他、支配的絕對權是學界之共識。隱私權的本質是私人利益的自我保有和隱藏，從合理隱私期待的視角看，信息主體通常不愿意自己的敏感信息被其他主體所獲取。

再次，敏感信息的處理行為往往伴隨著更高的社會風險。這是因為，敏感個人信息比普通個人信息承載了更高的人格尊嚴要素，敏感信息的泄露和非法使用將使主體的生存權、發(fā)展權、自由權、尊嚴權、就業(yè)權等具有人權性質的基礎性權利遭受重大損害。①參見田野、張晨輝：《論敏感個人信息的法律保護》，《河南社會科學》2019年第7期。

最后，敏感信息在大數(shù)據(jù)背景下蘊含著更為豐富的公共管理和商業(yè)利用價值?；谌四樧R別的視頻監(jiān)控與公共場所安檢，基于人體基因信息的生物醫(yī)藥技術研發(fā)，基于通訊錄及其內容的社交軟件運用，都足以激勵信息業(yè)者對個人敏感信息的處理甚至濫用。

（二）禁止處理敏感個人信息作為一般性原則

基于一般信息與敏感信息的差異，我國學者提出了“兩頭強化”的信息處理理論，即“強化個人敏感信息的保護”和“強化個人一般信息的利用”，以期最大限度地調和個人信息保護與企業(yè)利用之間的矛盾。②參見張新寶：《我國個人信息保護法立法主要矛盾研討》，《吉林大學社會科學學報》2018年第5期。在比較法上，對個人敏感信息一般持保守而嚴苛的法律態(tài)度。德國立法明確地列出了種族、宗教信仰、犯罪記錄、政治觀點等屬于禁止收集的私密數(shù)據(jù)。美國對敏感信息的處理也作出了嚴格的限制，美國的征信機構雖然可以收集敏感信息，但是不得進行傳播，也不得在進行信用計分時加以考慮或計算，否則會被聯(lián)邦貿易委員會視為歧視性決定而受到懲罰。③參見張新寶：《個人信息收集：告知同意原則適用的限制》，《比較法研究》2019年第6期。歐盟《條例》第9條“特殊類型的個人數(shù)據(jù)處理”第1款，原則上明確禁止處理有關個人的種族、政治觀點、宗教、基因數(shù)據(jù)、性取向等敏感信息，只有例外符合第2款規(guī)定的封閉列舉式條件才能對前述個人敏感信息進行有限的處理。事實上，我國立法也一定程度地貫徹了前述禁止或限制處理個人敏感信息的國際理念。2013年國務院制定的《征信業(yè)管理條例》第14條第1款明確規(guī)定：“禁止征信機構采集個人的宗教信仰、基因、指紋、血型、疾病和病史信息以及法律、行政法規(guī)規(guī)定禁止采集的其他個人信息?！钡?款則規(guī)定征信機構在明確告知信息主體提供該信息可能產生的不利后果，并取得其書面同意的前提下，可以采集部分個人敏感財產信息。

《草案二審稿》第29條第1款規(guī)定：“個人信息處理者具有特定的目的和充分的必要性, 方可處理敏感個人信息。”“特定的目的”和“充分的必要性”構成敏感個人信息處理的限制性條件。同時，草案要求信息處理者采取高標準的授權同意模式，履行更為詳盡的敏感信息風險評估、說明義務。問題在于，針對敏感個人信息的處理，特別是涉及生物識別信息、兩性生活信息、宗教信息等極端敏感信息，國際和我國之前的一般立法理念是“原則禁止，例外允許”。此次《草案二審稿》則采取了“滿足條件，一般允許”的基本思路，不符合既往實踐。此外，“特定的目的”“充分的必要性”等限制條件的寬泛措辭也受到了一定的質疑，有學者認為應當增加“基于維護公共利益或個人的重大利益”的明確限定。④參見石佳友、劉思齊：《人臉識別技術中的個人信息保護——兼論動態(tài)同意模式的建構》，《財經法學》2021年第2期。

本文以為，現(xiàn)有個人信息保護法草案的立法理念和具體規(guī)則有待商榷。如前所述，敏感個人信息于信息主體而言具有人身專屬性、人格尊嚴完整性、非常規(guī)損害風險等特點，不能簡單類比一般個人信息的處理規(guī)則，僅在此基礎上規(guī)定若干額外信息處理要件。“人格尊嚴的保護屬于立法追求的目的價值，而個人信息的利用屬立法追求的工具價值，相較之下，目的價值應優(yōu)先于工具價值……大數(shù)據(jù)時代并沒有削弱個人敏感信息保護的基礎價值，而我們更應在保護的種類和方法上予以變更，以回應時代的發(fā)展?！雹莺臐骸段覈鴤€人敏感信息界定之構想》，《中國法學》2018年第5期。前述觀點一語中的，深刻揭露出個人敏感信息處理的核心要義。因此，我國未來的個人信息立法仍應秉持對敏感個人信息“原則禁止，例外允許”的基本理念。首先，建議草案于敏感信息處理規(guī)則中承繼前述理念，明確在一般原則下禁止對敏感個人信息的處理，特別是基于純粹的商業(yè)目的處理個人敏感信息；其次，應當在法律層面具體列舉敏感個人信息例外處理的情形與條件，避免部門立法對信息主體權益的不合理減損，同時設置較高的信息處理義務——風險評估、充分告知、書面同意、嚴格責任等，并以維護公共利益、重大個人利益和市場需要為核心標準；最后，《征信業(yè)管理條例》對敏感信息的二次分類具有參考意義，區(qū)分不同的信息處理目的、信息處理主體和被處理信息的性質，以行為主義規(guī)制的模式，對不同的風險場景進行差別化對待，避免“一刀切”的單一做法。

五、結 語

自工業(yè)革命伊始，科技與法律正在逐漸影響著人類社會的現(xiàn)代化進程，兩者之間的沖突、交互與協(xié)調方興未艾。數(shù)字信息科技的發(fā)展在推動社會向智能化發(fā)展的同時，也帶來了信息主體一定程度上被“數(shù)據(jù)化”“物化”的副作用，進而可能引發(fā)表象上信息主體喪失自我信息控制，實質上主體完整性式微的數(shù)字困境。為此，加強個人信息保護已成為信息時代之共識，個人信息立法也成為全球最為矚目的立法運動之一。不可否認，個人信息于數(shù)字經濟時代蘊藏著巨大的經濟利用價值，以及促進社會轉型發(fā)展和國家治理的功能。因此，信息權益保護與數(shù)據(jù)自由流通之間亟待平衡，必要性原則在此發(fā)揮了連接與平衡的橋梁作用。通過不同利益維度之審視，考察必要性原則的制度功能，信息處理限度得以具象化與實踐化，進而防止信息濫用與“數(shù)據(jù)產業(yè)的野蠻生長”①參見王利明：《數(shù)據(jù)共享與個人信息保護》，《現(xiàn)代法學》2019年第1期。，實現(xiàn)多元利益的有效激勵與最大化。