李 想

(中南財(cái)經(jīng)政法大學(xué)法學(xué)院，湖北 武漢 430073;甘肅政法大學(xué)，甘肅 蘭州 730070)

一、問(wèn)題的提出

我國(guó)于2021年1月1日實(shí)施的《中華人民共和國(guó)民法典》(以下簡(jiǎn)稱《民法典》)通過(guò)六條法律規(guī)定，進(jìn)一步明確了保護(hù)個(gè)人信息的原則、范圍、方式(1)程嘯.論侵害個(gè)人信息的民事責(zé)任[J].暨南學(xué)報(bào)(哲學(xué)社會(huì)科學(xué)版),2020,42(2):39-47.。其中第1035條的規(guī)定，在2017年實(shí)施的《中華人民共和國(guó)網(wǎng)絡(luò)安全法》(以下簡(jiǎn)稱《網(wǎng)絡(luò)安全法》)的“合法、正當(dāng)、必要”三個(gè)正面原則的基礎(chǔ)上，增加了“不得過(guò)度處理”的反面要求，進(jìn)一步限制信息處理者的權(quán)利，強(qiáng)化其義務(wù)，保障信息主體信息權(quán)益的實(shí)現(xiàn)。因?yàn)?，“過(guò)度處理”個(gè)人信息，會(huì)造成個(gè)人信息的濫用，影響個(gè)人信息權(quán)益的實(shí)現(xiàn)，威脅個(gè)人信息安全(2)洪延青.過(guò)度收集個(gè)人信息如何破解及國(guó)家標(biāo)準(zhǔn)的路徑選擇[J].中國(guó)信息安全,2019,(1):90-93.，危害社會(huì)公共利益，甚至影響我國(guó)數(shù)據(jù)戰(zhàn)略的發(fā)展和實(shí)現(xiàn)(3)程嘯.論我國(guó)民法典中的個(gè)人信息合理使用制度[J].中外法學(xué),2020,32(4):1001-1017.。所以，《民法典》通過(guò)明確個(gè)人信息處理的原則，禁止信息的過(guò)度處理，保護(hù)個(gè)人信息安全，是尊重我國(guó)憲法保障的個(gè)人自由、尊嚴(yán)、幸福權(quán)利，加強(qiáng)人格利益關(guān)懷的體現(xiàn)(4)張新寶.個(gè)人信息收集：告知同意原則適用的限制[J].比較法研究,2019,(6):1-20.，亦是建構(gòu)我國(guó)個(gè)人信息法律保護(hù)體系的重大進(jìn)步。

雖然當(dāng)前個(gè)人信息的法律保護(hù)已非新命題，但縱觀世界各國(guó)及各地區(qū)個(gè)人信息保護(hù)的法律規(guī)范，除2018年實(shí)施的被稱為“史上最嚴(yán)格個(gè)人信息保護(hù)法律規(guī)范”的歐盟《一般數(shù)據(jù)保護(hù)條例》(General Data Protection Regulation，以下簡(jiǎn)稱GDPR)的“數(shù)據(jù)最小化”(Data Minimisation)原則(5)GDPR Art. 5 Principles relating to processing of personal data：“……1.Personal data shall be：……(c)adequate, relevant and limited to what is necessary in relation to the purposes for which they are processed (‘data minimisation’)”.https://gdpr-info.eu/art-5-gdpr/，最后訪問(wèn)時(shí)間：2020年6月18日。外，再未有與《民法典》“不得過(guò)度處理”個(gè)人信息這一規(guī)定相近之內(nèi)容，說(shuō)明此規(guī)定不僅有創(chuàng)新性且頗具研究?jī)r(jià)值。然而，學(xué)界針對(duì)《民法典》“不得過(guò)度處理”個(gè)人信息這一新規(guī)的研究，仍散見于個(gè)人信息收集、使用的方式、原則(6)高志明.個(gè)人信息流轉(zhuǎn)環(huán)節(jié)的法律規(guī)制[J].上海政法學(xué)院學(xué)報(bào)(法治論叢),2015,(5):9-30.該成果主要通過(guò)研究個(gè)人信息收集的目的、方式、范圍等，探討個(gè)人信息處理的法律規(guī)制問(wèn)題；張新寶.個(gè)人信息收集：告知同意原則適用的限制[J].比較法研究,2019,(6):1-20.該成果主要針對(duì)個(gè)人信息收集過(guò)程中的告知同意原則做出分析和闡釋，未涉及過(guò)度處理個(gè)人信息的研究。，個(gè)人信息與隱私權(quán)保護(hù)(7)張新寶.從隱私到個(gè)人信息:利益再衡量的理論與制度安排[J].中國(guó)法學(xué),2015,(3):38-59；程嘯. 我國(guó)民法典對(duì)隱私權(quán)和個(gè)人信息的保護(hù)[N]. 人民法院報(bào),2020-07-30(005).，個(gè)人信息的過(guò)度收集(8)王荊陽(yáng). 嚴(yán)管APP過(guò)度收集個(gè)人信息[N]. 經(jīng)濟(jì)日?qǐng)?bào),2020-07-16(003)； 洪延青.過(guò)度收集個(gè)人信息如何破解及國(guó)家標(biāo)準(zhǔn)的路徑選擇[J].中國(guó)信息安全,2019,(1):90-93.上述成果，均聚焦于破解個(gè)人信息過(guò)度收集的困局，但針對(duì)其他處理個(gè)人信息的行為缺乏研究。，個(gè)人信息保護(hù)立法(9)陳勝.歐盟《通用數(shù)據(jù)保護(hù)條例》對(duì)我國(guó)個(gè)人信息保護(hù)立法的借鑒及影響[Z].法眼看南海，2020,10.等方面，未見針對(duì)該規(guī)定的解析和專題探究。

鑒于此，本文從解析《民法典》“不得過(guò)度處理”個(gè)人信息的理?yè)?jù)與意涵入手，探討《民法典》規(guī)定“不得過(guò)度處理”個(gè)人信息的重要性和必要性；挖掘“不得過(guò)度處理”個(gè)人信息的規(guī)定，因缺乏可操作性所帶來(lái)的實(shí)現(xiàn)困局；尋找“不得過(guò)度處理”個(gè)人信息的實(shí)現(xiàn)路徑。

二、“不得過(guò)度處理”個(gè)人信息規(guī)定的理?yè)?jù)與意涵

我國(guó)2017年實(shí)施的《中華人民共和國(guó)民法總則》并未對(duì)處理個(gè)人信息的原則作出規(guī)定，而同年頒布實(shí)施的《網(wǎng)絡(luò)安全法》第41條(10)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》第41條規(guī)定：“網(wǎng)絡(luò)運(yùn)營(yíng)者收集、使用個(gè)人信息，應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則……。”僅規(guī)定了處理個(gè)人信息應(yīng)當(dāng)遵循合法、正當(dāng)、必要原則。相比之下，《民法典》第1035條規(guī)定信息處理者處理個(gè)人信息應(yīng)遵循合法、正當(dāng)、必要原則，不得過(guò)度處理是比較全面的(11)《中華人民共和國(guó)民法典》第1035條規(guī)定：“處理個(gè)人信息的，應(yīng)當(dāng)遵循合法、正當(dāng)、必要原則，不得過(guò)度處理……。”?！安坏谩倍郑沽恕斑^(guò)度處理”個(gè)人信息的行為，是我國(guó)法律首次提出的處理個(gè)人信息的反面要求?！安坏眠^(guò)度處理”個(gè)人信息，是對(duì)合法、正當(dāng)、必要原則的補(bǔ)充和強(qiáng)化，亦是構(gòu)建我國(guó)個(gè)人信息法律保護(hù)體系過(guò)程中的顯著進(jìn)步。

那么，《民法典》規(guī)定“不得過(guò)度處理”的理?yè)?jù)為何？其意涵又應(yīng)如何理清？明確這兩個(gè)問(wèn)題，有助于理解《民法典》增加該條規(guī)定的立法目的(12)楊立新：《中華人民共和國(guó)民法典》條文精釋與實(shí)案全析[M].北京：中國(guó)人民大學(xué)出版社，2020.1682.“要求信息處理者不得非法、非正當(dāng)、非必要、超出限度處理個(gè)人信息”。及必要性和重要性，對(duì)研究《民法典》此項(xiàng)規(guī)定的創(chuàng)新性、科學(xué)性至關(guān)重要。

(一)《民法典》規(guī)定“不得過(guò)度處理”個(gè)人信息的理?yè)?jù)

解析《民法典》第1035條規(guī)定的不得過(guò)度處理個(gè)人信息的理?yè)?jù)，可以從兩方面入手：

一是從《民法典》增加“不得”這一禁止性規(guī)定的目的入手。《民法典》這樣規(guī)定的主要目的是強(qiáng)化合法、正當(dāng)、必要原則的力度，彌補(bǔ)其不足。理解此立法目的，可通過(guò)詳析《網(wǎng)絡(luò)安全法》第41條(13)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》第41條規(guī)定：“網(wǎng)絡(luò)運(yùn)營(yíng)者收集、使用個(gè)人信息，應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則，公開收集、使用規(guī)則，明示收集、使用信息的目的、方式和范圍，并經(jīng)被收集者同意。網(wǎng)絡(luò)運(yùn)營(yíng)者不得收集與其提供的服務(wù)無(wú)關(guān)的個(gè)人信息，不得違反法律、行政法規(guī)的規(guī)定和雙方的約定收集、使用個(gè)人信息，并應(yīng)當(dāng)依照法律、行政法規(guī)的規(guī)定和與用戶的約定，處理其保存的個(gè)人信息。”規(guī)定和《民法典》第1035條(14)《中華人民共和國(guó)民法典》第1035條規(guī)定：“處理個(gè)人信息的，應(yīng)當(dāng)遵循合法、正當(dāng)、必要原則，不得過(guò)度處理，并符合下列條件：(一)征得該自然人或者其監(jiān)護(hù)人同意，但是法律、行政法規(guī)另有規(guī)定的除外；(二)公開處理信息的規(guī)則；(三)明示處理信息的目的、方式和范圍；(四)不違反法律、行政法規(guī)的規(guī)定和雙方的約定。個(gè)人信息的處理包括個(gè)人信息的收集、存儲(chǔ)、使用、加工、傳輸、提供、公開等?！币?guī)定間的區(qū)別和聯(lián)系實(shí)現(xiàn)。

如下表1所示：

表1 《網(wǎng)絡(luò)安全法》第41條與《民法典》第1035條的規(guī)定

從表1可以看出，《網(wǎng)絡(luò)安全法》第41條與《民法典》第1035條規(guī)定的內(nèi)容基本一致：規(guī)定信息處理的原則均為合法、正當(dāng)、必要，涉及的信息主體均為個(gè)人，并具有“公開信息處理規(guī)則，明示信息處理的目的、方式、范圍，征得信息主體的同意，不違反法律法規(guī)的規(guī)定和雙方約定”四項(xiàng)相同的條件細(xì)則。而兩者的區(qū)別在于以下四點(diǎn)：第一，《網(wǎng)絡(luò)安全法》規(guī)定處理個(gè)人信息的義務(wù)主體僅局限網(wǎng)絡(luò)運(yùn)營(yíng)者，而《民法典》將其擴(kuò)大為所有信息處理者。第二，《民法典》第1035條將《網(wǎng)絡(luò)安全法》第41條“與提供服務(wù)無(wú)關(guān)”的闡述修改為“不得過(guò)度處理”，拓展了禁止處理信息的范圍。第三，《網(wǎng)絡(luò)安全法》第41條將“網(wǎng)絡(luò)運(yùn)營(yíng)者不得收集與其提供服務(wù)無(wú)關(guān)的個(gè)人信息”的規(guī)定并列于其他條件細(xì)則同等地位，而《民法典》第1035條規(guī)定則將不得過(guò)度處理的要求置于合法、正當(dāng)、必要原則之后，作為三原則的限定條件，而非歸屬于條件細(xì)則，足見其地位和重要性高于其他條件細(xì)則。第四，《網(wǎng)絡(luò)安全法》僅規(guī)定了信息處理的方式為收集、使用兩項(xiàng)，而《民法典》第1035條把處理個(gè)人信息的方式擴(kuò)大為七項(xiàng)(15)《中華人民共和國(guó)民法典》第1035條規(guī)定：“……個(gè)人信息的處理包括個(gè)人信息的收集、存儲(chǔ)、使用、加工、傳輸、提供、公開等。”與2019年12月公布的《中華人民共和國(guó)民法典(草案)》相比，該條將信息收集行為列為處理的方式之一，未再作單獨(dú)規(guī)定，亦將信息處理的方式和范圍擴(kuò)大到七個(gè)方面。，更為全面和細(xì)致。從以上四點(diǎn)不難看出，《民法典》不得過(guò)度處理的規(guī)定，比其他四項(xiàng)條件細(xì)則地位更重要、范圍更廣、強(qiáng)度更大，是合法、正當(dāng)、必要原則的重要補(bǔ)充。

二是隨著我國(guó)網(wǎng)絡(luò)信息技術(shù)的快速發(fā)展，相關(guān)法律已不適應(yīng)目前對(duì)個(gè)人信息法律保護(hù)的需要。如《網(wǎng)絡(luò)安全法》僅規(guī)定信息處理的合法、正當(dāng)、必要原則，已無(wú)法有效控制信息處理者過(guò)度處理個(gè)人信息的行為，產(chǎn)生了諸多不符合信息處理之目的、方式、范圍等過(guò)度處理個(gè)人信息獲利的行為，產(chǎn)生了較大的社會(huì)危害(此類現(xiàn)象將在后續(xù)章節(jié)詳述)。因此《民法典》增加“不得過(guò)度處理”個(gè)人信息的禁止性規(guī)定，加強(qiáng)對(duì)信息處理者的義務(wù)要求，除保障信息處理的合法、正當(dāng)、必要性外，亦可限制信息處理的目的、方式和范圍，屬維護(hù)個(gè)人信息權(quán)益的創(chuàng)新性規(guī)定。

(二)《民法典》“不得過(guò)度處理”個(gè)人信息規(guī)定的意涵

依前述，《民法典》“不得過(guò)度處理”的規(guī)定是對(duì)合法、正當(dāng)、必要原則的重要補(bǔ)充，禁止信息處理者“過(guò)度處理”個(gè)人信息的行為。那么，何為過(guò)度？“過(guò)度”一詞，源自《左傳·襄公十四年》：“有君而為之貳，使師保之，勿使過(guò)度?！?16)漢典中關(guān)于“過(guò)度”的解釋即“超越適當(dāng)?shù)南薅??！都t樓夢(mèng).第六七回》：況且姑娘這病，原是素日憂慮過(guò)度，傷了氣血?！薄斑^(guò)度”，指超過(guò)限度。見《左傳·襄公十四年》：“有君而為之貳，使師保之，勿使過(guò)度。”https://www.zdic.net/hans/%E8%BF%87%E5%BA%A6，最后訪問(wèn)時(shí)間：2020年10月20日。其在《新華詞典》(第12版)的解釋中是指“數(shù)量或程度超出限度或程度”。此前，在我國(guó)法律規(guī)范中使用“過(guò)度”一詞的法規(guī)有《國(guó)務(wù)院辦公廳關(guān)于治理商品過(guò)度包裝工作的通知》(以下簡(jiǎn)稱《治理過(guò)度包裝的通知》)(17)《國(guó)務(wù)院辦公廳關(guān)于治理商品過(guò)度包裝工作的通知》第2條規(guī)定：“抓緊制定完善標(biāo)準(zhǔn)、法規(guī)和政策，禁止生產(chǎn)、銷售過(guò)度包裝商品……從包裝層數(shù)、包裝用材、包裝有效容積、包裝成本比重、包裝物的回收利用等方面，對(duì)商品包裝進(jìn)行規(guī)范，引導(dǎo)企業(yè)在包裝設(shè)計(jì)和生產(chǎn)環(huán)節(jié)中減少資源消耗，降低廢棄物產(chǎn)生，方便包裝物回收再利用?！薄?guó)家食品藥品監(jiān)管總局公告2016年第153號(hào)：《關(guān)于發(fā)布過(guò)度重復(fù)藥品提示信息的公告》，二者規(guī)定的“過(guò)度”含義亦主要指“超出應(yīng)有限度或程度”。如：《治理過(guò)度包裝的通知》所指的“過(guò)度包裝”主要是通過(guò)對(duì)商品進(jìn)行層次過(guò)多、空隙過(guò)大、材料失當(dāng)、難以回收、成本過(guò)高、搭售貴重物品等方式的包裝，達(dá)到超出原有價(jià)值銷售商品的目的(18)張?jiān)?解讀治理商品過(guò)度包裝工作的通知[J].包裝世界,2009,(2):9.。這說(shuō)明超出商品銷售應(yīng)有之目的、方式、范圍的包裝行為，即屬于“過(guò)度包裝”。據(jù)此可見，《民法典》第1035條所限制的“過(guò)度處理”行為亦應(yīng)指超出處理信息之目的、方式、范圍的信息處理行為?！安坏眠^(guò)度處理”應(yīng)指禁止超出應(yīng)有限度或程度處理個(gè)人信息。而不超出“程度”或“限度”，即合理適度的界限何在？因《民法典》未如《治理過(guò)度包裝的通知》一樣作出詳細(xì)規(guī)定或說(shuō)明，故探析不得過(guò)度處理的意涵，應(yīng)從合法、正當(dāng)、必要原則的要求和合理適度的范圍展開。

合法、正當(dāng)、必要是世界各國(guó)和組織相關(guān)法律通常采用的處理個(gè)人信息的原則。此三原則始見于美國(guó)1970年頒布的《公平信用報(bào)告法》(Fair Credit Reporting Act of 1970)。1980年國(guó)際經(jīng)合組織(Organization for Economic Co-operation and Development，以下簡(jiǎn)稱OECD)發(fā)布的《個(gè)人數(shù)據(jù)保護(hù)和專業(yè)流通操作指南》中規(guī)定了處理個(gè)人信息應(yīng)遵循的八項(xiàng)原則，包括：限制收集、資料完整正確、特定目的(包括收集和使用)、限制利用、安全保護(hù)、公開、個(gè)人參與和責(zé)任歸屬。德國(guó)、英國(guó)、日本等國(guó)的個(gè)人信息保護(hù)法律規(guī)范，均有要求收集、使用個(gè)人信息應(yīng)保證行為合法、明示目的、限制范圍等規(guī)定。

總而言之，上述各國(guó)、各組織的法律所規(guī)定的個(gè)人信息處理原則均包括了合法、正當(dāng)、必要原則，要求信息收集、使用者應(yīng)遵照法律規(guī)定，明示信息收集、使用的目的，限于業(yè)務(wù)需要和法律規(guī)定范圍內(nèi)，依照與信息主體間的約定收集、使用個(gè)人信息，我國(guó)《民法典》第1035條，對(duì)此亦作出了相同的規(guī)定。所以，不得過(guò)度處理個(gè)人信息的規(guī)定作為合法、正當(dāng)、必要原則的補(bǔ)充，應(yīng)理解為：信息處理者在符合法律、行政法規(guī)所規(guī)定的范圍內(nèi)，依照雙方約定，通過(guò)公開信息處理的規(guī)則、明示信息處理的目的、規(guī)范處理個(gè)人信息的行為，保障信息處理的合法、正當(dāng)、必要性，限制處理信息的目的、方式、范圍，合理適度處理個(gè)人信息。

而信息處理的合理適度范圍在《民法典》中主要體現(xiàn)在：總則編中不得違反公序良俗、誠(chéng)實(shí)信用、不濫用權(quán)利的原則及人格權(quán)編中第999條關(guān)于人格權(quán)的合理使用等規(guī)定中。具體到個(gè)人信息合理使用的規(guī)定，則體現(xiàn)在第1035條之處理個(gè)人信息的免責(zé)事由中。這一“合理”處理個(gè)人信息的范圍，主要表現(xiàn)在對(duì)社會(huì)公共利益的維護(hù)、保護(hù)個(gè)人信息權(quán)益主體的合法權(quán)益、正確處理已公開的個(gè)人信息方面(19)程嘯.論我國(guó)民法典中的個(gè)人信息合理使用制度[J].中外法學(xué),2020,32(4):1001-1017.。而此“適度”的內(nèi)涵是要求信息處理者在符合合法、正當(dāng)、必要原則的前提下，不超出業(yè)務(wù)需求和目的、不違背信息主體意愿、不超出法律或法規(guī)限制的范圍處理個(gè)人信息。其中，不超出業(yè)務(wù)需求和目的包含了對(duì)信息處理者處理信息目的、行為和范圍的限制，即處理信息的目的限于其業(yè)務(wù)需要，處理信息的行為限于信息流轉(zhuǎn)過(guò)程中的所有環(huán)節(jié)，范圍則應(yīng)限定為符合前述《民法典》規(guī)定的基本原則，及前述合理的要求下。不違背信息主體意愿則體現(xiàn)在《民法典》第1035條和第1036條正反兩方面所規(guī)定的個(gè)人信息主體的授權(quán)上，即信息主體有在不違反法律的前提下授權(quán)他人處理本人信息的自決權(quán)利(20)程嘯.論我國(guó)民法典中的個(gè)人信息合理使用制度[J].中外法學(xué),2020,32(4):1004.。而不超過(guò)法律、法規(guī)限制的范圍，則體現(xiàn)在信息處理者應(yīng)公開披露信息處理的規(guī)則和明示信息處理的范圍上。

由此可見，不得過(guò)度處理的規(guī)定主要是為了加強(qiáng)合法、正當(dāng)、必要的程度，以及通過(guò)禁止“過(guò)度處理”的行為，實(shí)現(xiàn)個(gè)人信息權(quán)益的保護(hù)，這亦充分體現(xiàn)了我國(guó)《民法典》通過(guò)增加個(gè)人信息權(quán)益保護(hù)的規(guī)定加強(qiáng)人格利益關(guān)懷(21)張新寶.從隱私到個(gè)人信息:利益再衡量的理論與制度安排[J].中國(guó)法學(xué),2015,(3):38-59.，維護(hù)國(guó)家信息流轉(zhuǎn)安全和信息系統(tǒng)健康發(fā)展(22)程嘯.論《民法典》對(duì)人格權(quán)中經(jīng)濟(jì)利益的保護(hù)[J].新疆師范大學(xué)學(xué)報(bào)(哲學(xué)社會(huì)科學(xué)版),2020,41(6):109-120.的重要意義。

三、實(shí)現(xiàn)“不得過(guò)度處理”個(gè)人信息規(guī)定存在的障礙

研究“不得過(guò)度處理”個(gè)人信息規(guī)定實(shí)現(xiàn)過(guò)程中的障礙，需從法律本身的缺陷和現(xiàn)實(shí)挑戰(zhàn)兩方面入手。然而，縱觀前述各國(guó)和各組織的個(gè)人信息保護(hù)的法律規(guī)定，目前均未見與“不得過(guò)度處理”相同之描述，即《民法典》第1035條規(guī)定出臺(tái)前，尚未有此類規(guī)則，明確強(qiáng)調(diào)禁止過(guò)度處理個(gè)人信息和要求信息處理的合理適度。那么如何預(yù)見不得過(guò)度處理個(gè)人信息規(guī)定實(shí)現(xiàn)過(guò)程中可能存在的問(wèn)題呢？我們不妨借鑒與不得過(guò)度處理規(guī)定相似之歐盟GDPR的“數(shù)據(jù)最小化(Data Minimisation)”原則的規(guī)定，和其實(shí)現(xiàn)過(guò)程中面臨的主要問(wèn)題，結(jié)合我國(guó)個(gè)人信息權(quán)益法律保護(hù)的現(xiàn)狀，來(lái)透視不得過(guò)度處理個(gè)人信息規(guī)定實(shí)現(xiàn)過(guò)程中可能遇到的障礙。

(一)歐盟GDPR之“數(shù)據(jù)最小化”原則

2016年歐盟頒布的GDPR，已于2018年5月25日正式實(shí)施。與前述各國(guó)、各組織的規(guī)定和歐盟1995年的《數(shù)據(jù)保護(hù)指令》(EDPD)的規(guī)定相比，GDPR強(qiáng)化了限制處理個(gè)人信息的原則及其內(nèi)容，主要包括：保障數(shù)據(jù)處理的合法、合理和透明性，明確數(shù)據(jù)處理的目的，及數(shù)據(jù)處理的最小化原則等。從其規(guī)定的內(nèi)容來(lái)看，歐盟GDPR“數(shù)據(jù)最小化”原則，與我國(guó)《民法典》規(guī)定的“不得過(guò)度處理”個(gè)人信息的規(guī)定十分相似，“數(shù)據(jù)最小化”的要求有：不得超限處理個(gè)人信息和要求過(guò)度授權(quán)，并主要通過(guò)限制信息處理的目的、方式、范圍，保存信息的期限，強(qiáng)調(diào)數(shù)據(jù)處理的最小范圍，維護(hù)數(shù)據(jù)主體的自由選擇權(quán)，保障個(gè)人信息權(quán)益的實(shí)現(xiàn)。

一方面，GDPR第2條規(guī)定通過(guò)對(duì)數(shù)據(jù)處理的全環(huán)節(jié)規(guī)制，形成監(jiān)管閉環(huán)。其規(guī)定的個(gè)人信息處理主要指自動(dòng)化處理、半自動(dòng)化處理和非自動(dòng)化處理(23)GDPR第2條規(guī)定：“本條例適用于全自動(dòng)個(gè)人數(shù)據(jù)處理、半自動(dòng)個(gè)人數(shù)據(jù)處理，以及形成或旨在形成用戶畫像的非自動(dòng)個(gè)人數(shù)據(jù)處理……?！薄Ｒ粍t，為了限制信息處理的范圍。在自動(dòng)化處理、半自動(dòng)化處理中，數(shù)據(jù)最小化需要遵循的原則是保證數(shù)據(jù)輸入和輸出均滿足執(zhí)行數(shù)據(jù)處理目的所需的最小限度。并運(yùn)用合理手段保證對(duì)信息處理的測(cè)試、檢查、驗(yàn)證，使數(shù)據(jù)處于最小限度(24)Antignac T, Sands D, Schneider G. Data Minimisation: a Language—Based Approach (Long Version)[J].arXiv:1611.05642v1 [cs.CR] 17 Nov 2016.。二則，為了限制信息處理的方式。與前述OECD、英國(guó)、德國(guó)、日本等國(guó)家和國(guó)際組織的法律規(guī)定將信息處理的方式限定為收集、使用不同，GDPR對(duì)信息處理的環(huán)節(jié)規(guī)定更詳細(xì)。其第4條定義(Definitions)描述的“處理(Processing)”包括了信息收集、存儲(chǔ)、調(diào)整、更改、分析、使用、加工、傳輸、公開、刪除等方式(25)GDPR第4條規(guī)定：“……(2)‘處理’是指任何一項(xiàng)或多項(xiàng)針對(duì)單一個(gè)人數(shù)據(jù)或系列個(gè)人數(shù)據(jù)所進(jìn)行的操作行為，不論該操作行為是否采取收集、記錄、組織、構(gòu)造、存儲(chǔ)、調(diào)整、更改、檢索、咨詢、使用、通過(guò)傳輸而公開、散布或其他方式對(duì)他人公開、排列或組合、限制、刪除或銷毀而公開等自動(dòng)化方式?！薄?/p>

另一方面，GDPR規(guī)定強(qiáng)調(diào)數(shù)據(jù)主體的有效知情和真實(shí)授權(quán)，保障信息主體的撤回權(quán)。個(gè)人對(duì)自身信息有有效知情和授權(quán)的權(quán)利，早在歐盟1995年的《數(shù)據(jù)保護(hù)指令》(EDPD)中即有規(guī)定。EDPD確認(rèn)了當(dāng)事人拒絕的權(quán)利，即：信息主體有權(quán)反對(duì)資料控制者處理其個(gè)人資料，資料控制者在處理資料時(shí)，亦不能再涉及這些已被拒絕處理的資料(26)孔令杰.個(gè)人資料隱私的法律保護(hù)(電子書)[M].武漢：武漢大學(xué)出版社,2009.760.。與該指令相比，GDPR“數(shù)據(jù)最小化”原則更加明確指向尊重?cái)?shù)據(jù)主體的個(gè)人意愿，包括：收集數(shù)據(jù)必須得到數(shù)據(jù)主體的明確(書面)授權(quán)，不能以格式條款限制數(shù)據(jù)主體的權(quán)利等(27)何治樂(lè),黃道麗. 歐盟《一般數(shù)據(jù)保護(hù)條例》的出臺(tái)背景及影響[J]， 信息安全與通信保密,2014(10):72-75.。保障個(gè)人對(duì)自身信息享有絕對(duì)控制權(quán)，任何組織收集、使用個(gè)人信息均應(yīng)獲取真實(shí)有效的授權(quán)(28)GDPR第4條規(guī)定：“ 定義……(11)數(shù)據(jù)主體的‘同意’指的是數(shù)據(jù)主體通過(guò)一個(gè)聲明，或者通過(guò)某項(xiàng)清晰的確信行動(dòng)而自由作出的、充分知悉的、不含混的、表明同意對(duì)其相關(guān)個(gè)人數(shù)據(jù)進(jìn)行處理的意愿。”https://gdpr-info.eu/art-4-gdpr/，最后訪問(wèn)時(shí)間：2020年8月18日。。GDPR著重強(qiáng)調(diào)了數(shù)據(jù)主體的書面、明示授權(quán)和自由真實(shí)的意思表示。為體現(xiàn)真實(shí)、有效的授權(quán)意愿，數(shù)據(jù)主體不做選擇的行為，不能視為明示同意的行為。即限制了數(shù)據(jù)處理方通過(guò)一攬子條款或格式條款，強(qiáng)制獲取非有效、非真實(shí)同意的可能性。且個(gè)人可撤回授權(quán)，數(shù)據(jù)處理者不得限制個(gè)人撤回的權(quán)利，即“撤回應(yīng)像授權(quán)時(shí)一樣容易”(29)GDPR第7條規(guī)定：“同意的條件1.當(dāng)處理是建立在同意基礎(chǔ)上的，控制者需要能證明，數(shù)據(jù)主體已經(jīng)同意對(duì)其個(gè)人數(shù)據(jù)進(jìn)行處理。2.如果數(shù)據(jù)主體的同意是在涉及到其他事項(xiàng)的書面聲明的情形下作出的，請(qǐng)求獲得同意應(yīng)當(dāng)完全區(qū)別于其他事項(xiàng)，并且應(yīng)當(dāng)以一種容易理解的形式，使用清晰和平白的語(yǔ)言。任何違反本條例的聲明都不具有約束力。3.數(shù)據(jù)主體應(yīng)當(dāng)有權(quán)隨時(shí)撤回其同意。在撤回之前，對(duì)于基于同意的處理，其合法性不受影響。在數(shù)據(jù)主體表達(dá)同意之前，數(shù)據(jù)主體應(yīng)當(dāng)被告知這點(diǎn)。撤回同意應(yīng)當(dāng)和表達(dá)同意一樣簡(jiǎn)單。4.分析同意是否是自由做出的，應(yīng)當(dāng)最大限度地考慮一點(diǎn)是：對(duì)契約的履行——包括履行條款所規(guī)定的服務(wù)——是否要求同意履行契約所不必要的個(gè)人數(shù)據(jù)處理?！?。

第三方面，GDPR保障個(gè)人信息的被遺忘權(quán)。GDPR第13條規(guī)定的數(shù)據(jù)被遺忘權(quán)，指?jìng)€(gè)人刪除、限制、更正互聯(lián)網(wǎng)上誤導(dǎo)、尷尬、無(wú)關(guān)或不合時(shí)宜的個(gè)人信息的能力(30)GDPR第13條規(guī)定：“ 收集數(shù)據(jù)主體個(gè)人數(shù)據(jù)時(shí)應(yīng)當(dāng)提供的信息(a)個(gè)人數(shù)據(jù)將被儲(chǔ)存的期限，以及確定此期限的標(biāo)準(zhǔn)……”。其在“數(shù)據(jù)最小化”原則中主要體現(xiàn)在限制信息處理者重復(fù)利用個(gè)人信息方面。該原則已被多國(guó)和組織的法律規(guī)范所采納，如：美國(guó)CFPB的隱私保護(hù)規(guī)則亦參照了GDPR的這一規(guī)定，要求信息處理者保證在依照信息收集的初始目的完成信息處理后，及時(shí)刪除此類信息，使信息不被重復(fù)使用，或用于其他目的(31)Consumer Financial Protection Bureau CFPB：Privacy， https://www.consumerfinance.gov/privacy/“Data minimization The CFPB will limit the collection of PII to what is needed to accomplish the stated purpose for its collection. The CFPB will keep PII only as long as needed to fulfill its stated purpose.”最后訪問(wèn)時(shí)間：2020年8月17日。。

(二)“不得過(guò)度處理”個(gè)人信息規(guī)定實(shí)現(xiàn)的法律障礙

與上述GDPR的“數(shù)據(jù)最小化”原則較詳盡的規(guī)定相比，《民法典》僅有“不得過(guò)度處理”一條規(guī)定，且未做細(xì)化。故實(shí)現(xiàn)《民法典》第1035條不得過(guò)度處理個(gè)人信息的規(guī)定，仍存在下述法律障礙：

第一，相較“數(shù)據(jù)最小化”原則，“不得過(guò)度處理”的規(guī)定與“合法、正當(dāng)、必要”原則之間的區(qū)別未明確，尚缺乏具體范圍和實(shí)際操作性。前述“合法、正當(dāng)、必要”原則主要要求信息處理者在法律規(guī)定和當(dāng)事人約定的范圍內(nèi)，明確信息收集目的，并依業(yè)務(wù)、研究需要收集、使用個(gè)人信息。但其對(duì)信息處理者的義務(wù)規(guī)定不明確，使“合法、正當(dāng)、必要”的限度由信息處理者自行解釋和確定，反成信息處理者的“借口”，無(wú)法有效限制信息的過(guò)度處理行為。而“不得過(guò)度處理”作為合法、正當(dāng)、必要原則的補(bǔ)充，其與合法、正當(dāng)、必要原則間的區(qū)別和聯(lián)系，尚未通過(guò)法律規(guī)定予以明確，也并未像歐盟GDPR一樣做出詳細(xì)要求和解釋，所以將其作為裁判依據(jù)缺乏可操作性，可能使該規(guī)定最終流于形式，實(shí)施受阻。

第二，“不得過(guò)度處理”缺乏進(jìn)一步解釋和詳細(xì)規(guī)定。一則，我國(guó)尚未頒布實(shí)施《個(gè)人信息保護(hù)法》，未對(duì)個(gè)人信息的授權(quán)、收集、使用、傳輸?shù)拳h(huán)節(jié)作出專門規(guī)定，僅依靠《民法典》第1035條的規(guī)定，難免略顯單薄，無(wú)法達(dá)到應(yīng)有效果。二則，“不得過(guò)度處理”的規(guī)定未明確信息主體明示、明確的授權(quán)。與GDPR相比，我國(guó)《民法典》尚未通過(guò)個(gè)人信息保護(hù)的原則和規(guī)定，詳細(xì)體現(xiàn)尊重個(gè)人真實(shí)授權(quán)的意思表示。第1035條僅確認(rèn)處理信息應(yīng)獲得信息主體或其法定監(jiān)護(hù)人的同意，且不違反雙方約定，應(yīng)明示處理信息的方式和范圍(32)《中華人民共和國(guó)民法典》第1035條規(guī)定：“……(一)征得該自然人或者其監(jiān)護(hù)人同意，但是法律、行政法規(guī)另有規(guī)定的除外；……(四)不違反法律、行政法規(guī)的規(guī)定和雙方的約定?！保狈?duì)信息主體真實(shí)意思表示，主動(dòng)、明示授權(quán)之權(quán)利的規(guī)定。雖然第1036條規(guī)定“處理已公開的信息時(shí)，對(duì)信息主體明示拒絕處理的信息，不得進(jìn)行處理且不得視為免責(zé)事由”(33)《中華人民共和國(guó)民法典》第1036條規(guī)定：“處理個(gè)人信息，有下列情形之一的，行為人不承擔(dān)民事責(zé)任：(一)在該自然人或者其監(jiān)護(hù)人同意的范圍內(nèi)合理實(shí)施的行為；(二)合理處理該自然人自行公開的或者其他已經(jīng)合法公開的信息，但是該自然人明確拒絕或者處理該信息侵害其重大利益的除外?！?，但這屬于信息主體對(duì)信息處理的拒絕權(quán)。而《民法典》規(guī)定的通過(guò)告知同意原則獲取個(gè)人信息處理授權(quán)的方式，可能影響信息主體參與信息處理的權(quán)利，或作為信息處理者利用格式條款、一攬子授權(quán)，違背信息主體的真實(shí)意愿，處理個(gè)人信息的“萬(wàn)用法則”(34)張新寶.個(gè)人信息收集：告知同意原則適用的限制[J].比較法研究,2019,(6):1-20.。故，《民法典》現(xiàn)有的“不得過(guò)度處理”規(guī)定，依舊有可能使信息主體無(wú)法實(shí)現(xiàn)出于自愿做出真實(shí)有效授權(quán)的行為。三則，“不得過(guò)度處理”未對(duì)信息處理的時(shí)限作出要求。我國(guó)《民法典》尚未對(duì)個(gè)人信息的被遺忘權(quán)作出詳細(xì)規(guī)定，亦未明確“不得過(guò)度處理”個(gè)人信息應(yīng)設(shè)置的信息最長(zhǎng)處理時(shí)限。

3.實(shí)現(xiàn)“不得過(guò)度處理”規(guī)定面臨的現(xiàn)實(shí)障礙

雖然相較《民法典》“不得過(guò)度處理”的規(guī)定，GDPR的“數(shù)據(jù)最小化”原則更詳盡亦更嚴(yán)厲，但其在實(shí)現(xiàn)過(guò)程中仍遭遇諸多阻礙?！皵?shù)據(jù)最小化”原則實(shí)現(xiàn)的受阻，主要體現(xiàn)在難以控制美國(guó)和歐洲許多知名互聯(lián)網(wǎng)企業(yè)信息處理者過(guò)度收集、使用用戶信息的行為方面。

如此類企業(yè)有一項(xiàng)行業(yè)通行規(guī)則：“追蹤墻”(Tracking walls)(35)追蹤墻：旨在通過(guò)監(jiān)控使用者的行為，用在線收集到的信息向人們展示有針對(duì)性的廣告。。其含義為，用戶必須在初次使用或登錄該網(wǎng)站時(shí)，同意“要么接受要么離開(Take-It-Or-Leave-It)”的隱私協(xié)議。用戶必須允許網(wǎng)站對(duì)其進(jìn)行的“Tracking”，即記錄用戶使用網(wǎng)站的行為，甚至要求用戶同意第三方的“Tracking”。這一項(xiàng)“規(guī)定”，主要是源于網(wǎng)站運(yùn)營(yíng)商進(jìn)行廣告推送的需求，及與其他網(wǎng)絡(luò)服務(wù)提供商合作的需要。通過(guò)對(duì)用戶的持續(xù)跟蹤，網(wǎng)站運(yùn)營(yíng)商可以獲取用戶的瀏覽偏好、習(xí)慣等信息進(jìn)行數(shù)據(jù)分析，從而推測(cè)用戶的消費(fèi)偏好，進(jìn)行較精準(zhǔn)的廣告營(yíng)銷投放。同時(shí)，大型互聯(lián)網(wǎng)運(yùn)營(yíng)商為了拓展合作伙伴的需要，把收集不屬于其業(yè)務(wù)范圍需要的信息對(duì)外提供并據(jù)此獲利。

如今，GDPR實(shí)施已逾兩年，但上述問(wèn)題仍屢禁不止，主要的原因來(lái)自信息超限處理的收益遠(yuǎn)超依照GDPR懲罰的數(shù)額。GDPR實(shí)施后，有多家知名互聯(lián)網(wǎng)企業(yè)因違反其個(gè)人信息保護(hù)規(guī)定被罰，最著名的當(dāng)屬美國(guó)互聯(lián)網(wǎng)企業(yè)Google。2019年1月，法國(guó)數(shù)據(jù)保護(hù)監(jiān)管機(jī)構(gòu)CNIL(36)Commission Nationale de l’information et des Libertes (French: French Data Protection Authority).依據(jù)GDPR的規(guī)定，對(duì)Google開出了一張5000萬(wàn)歐元(折合人民幣約3.8億)的罰單，稱Google使用“Tracking walls”非法收集個(gè)人信息，且將個(gè)人信息用于其廣告推送業(yè)務(wù)。法國(guó)CNIL提出的兩項(xiàng)處罰理由中第2條稱，用戶對(duì)Google的“同意”授權(quán)行為既非自愿，內(nèi)容也不明確。故因涉嫌過(guò)度收集用戶信息和違反客戶意愿強(qiáng)行取得過(guò)度授權(quán)處罰Google，目的是要求Google實(shí)現(xiàn)用戶自身控制數(shù)據(jù)信息的權(quán)利，充分告知用戶風(fēng)險(xiǎn)，尊重用戶，獲得真實(shí)、有效同意。

這一案例，是歐盟在GDPR實(shí)施后開出的最大罰單，但與Google強(qiáng)制追蹤用戶信息的廣告收益相比仍是杯水車薪。2019年，歐盟委員會(huì)再次因 Google“濫用在線廣告主導(dǎo)地位”，對(duì)其罰款 16.9 億美元(約合人民幣 113 億元)。歐盟競(jìng)爭(zhēng)事務(wù)專員Margrethe Vestager解釋，Google為了壟斷市場(chǎng)，通過(guò)限制他方競(jìng)爭(zhēng)的方式最大限度獲取廣告收益。而這筆罰款，僅占2018年Google通過(guò)壟斷地位和濫用個(gè)人信息追蹤行為獲取的總收益的1.29%(37)CSDN資訊：Google 再被罰！https://blog.csdn.net/csdnnews/article/details/88729962，最后訪問(wèn)時(shí)間：2020年7月21日。?？梢?，嚴(yán)厲的法律規(guī)定，如果不配合足夠的懲罰措施，仍難解決信息超限處理的問(wèn)題。

雖然我國(guó)《民法典》不得過(guò)度處理個(gè)人信息的規(guī)定，尚未遭遇到如歐盟GDPR“數(shù)據(jù)最小化”原則實(shí)現(xiàn)過(guò)程中一樣的窘境，但隨著我國(guó)信息技術(shù)的發(fā)展，信息量的增加和信息流動(dòng)速度的加快，個(gè)人信息所潛藏的巨大利益，亦成為了信息處理者鋌而走險(xiǎn)，通過(guò)“過(guò)度處理”個(gè)人信息獲利的主要?jiǎng)右?。我?guó)個(gè)人信息的過(guò)度處理主要體現(xiàn)在：2020年7月16日，央視通過(guò)網(wǎng)絡(luò)直播曝光13款A(yù)PP使用SDK竊取用戶信息的行為，竊取的信息包括短信驗(yàn)證碼、聯(lián)系人、地理位置、設(shè)備信息等關(guān)鍵信息(38)新浪網(wǎng)：315晚會(huì)曝光SDK竊取個(gè)人隱私信息：涉及多款金融App，2020年7月16日，https://tech.sina.cn/2020-07-17/detail-iivhuipn3545633.d.html?vt=4&pos=18，最后訪問(wèn)時(shí)間：2020年7月20日。，而此類信息多屬超出其業(yè)務(wù)或提供服務(wù)所需的信息。同日，中央網(wǎng)信辦、工信部、公安部、市場(chǎng)監(jiān)督管理總局，聯(lián)合發(fā)布《關(guān)于開展APP違法違規(guī)收集使用個(gè)人信息專項(xiàng)治理的公告》，其中點(diǎn)名督促整改的APP達(dá)40款，普遍存在強(qiáng)制一攬子授權(quán)、收集信息超出業(yè)務(wù)所需范圍、非法使用傳輸個(gè)人信息、沒(méi)有公開的信息收集規(guī)則、無(wú)法注銷賬號(hào)等問(wèn)題(39)證券時(shí)報(bào)網(wǎng)：老虎證券、同花順等40款A(yù)PP被監(jiān)管點(diǎn)名，使用要注意了！2020年7月19日，http://finance.ifeng.com/c/7oQYJFYzg9I，最后訪問(wèn)時(shí)間：2020年7月20日。。說(shuō)明超出業(yè)務(wù)需求、超過(guò)必要限度、違背信息主體意愿、超出法律或法規(guī)要求的范圍、出于廣告營(yíng)銷和拓展業(yè)務(wù)等目的處理個(gè)人信息的行為，是目前大多互聯(lián)網(wǎng)企業(yè)運(yùn)營(yíng)中均存在的問(wèn)題，亦屬突出的行業(yè)痹癥。在普遍傾向逐利、忽視個(gè)人信息權(quán)益保護(hù)的信息市場(chǎng)推動(dòng)下日趨嚴(yán)重。而我國(guó)《民法典》不得過(guò)度處理個(gè)人信息的規(guī)定，尚未設(shè)定懲罰限度和罰款額度，足可預(yù)見亦將同樣面臨懲罰措施、手段、力度不足，無(wú)法根除信息處理者通過(guò)濫用個(gè)人信息獲利的障礙。

四、實(shí)現(xiàn)“不得過(guò)度處理”個(gè)人信息規(guī)定的路徑

前述《民法典》不得過(guò)度處理個(gè)人信息規(guī)定的實(shí)現(xiàn)，雖面臨諸多挑戰(zhàn)和問(wèn)題，但通過(guò)對(duì)比前述GDPR“數(shù)據(jù)最小化”的規(guī)定及其實(shí)現(xiàn)過(guò)程中所遇問(wèn)題之鏡鑒，可嘗試探討不得過(guò)度處理個(gè)人信息規(guī)定實(shí)現(xiàn)之路經(jīng)。通過(guò)制定《個(gè)人信息保護(hù)法》，補(bǔ)充細(xì)則、加強(qiáng)監(jiān)管等方式，實(shí)現(xiàn)我國(guó)個(gè)人信息法律保護(hù)的系統(tǒng)化。具體建議如下：

(一)通過(guò)制定《個(gè)人信息保護(hù)法》，細(xì)化不得過(guò)度處理個(gè)人信息的行為

早在2018年10月，全國(guó)人大發(fā)布的《民法典各分編(草案)征求意見稿》即已明確，下一步將制定《個(gè)人信息保護(hù)法》。而如今《民法典》已出臺(tái)，《民法典》人格權(quán)的獨(dú)立成編，亦有利于《個(gè)人信息保護(hù)法》的盡快實(shí)現(xiàn)(40)王利明.民法典人格權(quán)編中動(dòng)態(tài)系統(tǒng)論的采納與運(yùn)用[J].法學(xué)家,2020,(4):1-12.。所以，《個(gè)人信息保護(hù)法》的頒布指日可待。

雖然GDPR“數(shù)據(jù)最小化”原則在實(shí)現(xiàn)過(guò)程中存在諸多問(wèn)題，但當(dāng)前我國(guó)《民法典》規(guī)定的“不得過(guò)度處理”因細(xì)則不明、范圍不確定、內(nèi)容不完整，在實(shí)施過(guò)程中面臨的問(wèn)題相較“數(shù)據(jù)最小化”會(huì)更多。故在《個(gè)人信息保護(hù)法》中，應(yīng)通過(guò)借鑒“數(shù)據(jù)最小化”原則的規(guī)定，完善、明確、細(xì)化“不得過(guò)度處理”的規(guī)定，如處理信息的具體范圍、限度等。保障信息主體對(duì)自身信息處理的知情、同意、明示授權(quán)、撤回授權(quán)的權(quán)利等。

第一， 通過(guò)明確“不得過(guò)度處理”與“合法、正當(dāng)、必要”原則間的關(guān)系，可有效指導(dǎo)司法機(jī)關(guān)依照“法律要求、當(dāng)事人授權(quán)、業(yè)務(wù)需要、最小限度、處理方式”等，判明信息處理者處理個(gè)人信息的“合法、正當(dāng)、必要”和“不過(guò)度”間的界限。

第二， 借鑒GDPR“數(shù)據(jù)最小化”原則，完善不得過(guò)度處理個(gè)人信息的法律規(guī)定，通過(guò)確保個(gè)人信息主體的控制權(quán)和真實(shí)有效授權(quán)，保障個(gè)人信息的適度授權(quán)。即信息主體應(yīng)通過(guò)明示方式，確認(rèn)對(duì)信息處理的授權(quán)，限制信息處理的目的。信息處理者處理個(gè)人信息應(yīng)有具體、明確且正當(dāng)目的，并在信息處理過(guò)程中始終遵循最初目的。信息處理者收集信息時(shí)應(yīng)向信息主體明示收集信息的范圍。除用于科學(xué)研究和維護(hù)公共利益外，個(gè)人信息的處理應(yīng)始終圍繞數(shù)據(jù)處理者此前明示的范圍進(jìn)行。亦表示，信息主體明確知道信息處理的目的、范圍和權(quán)限，并出于自由意愿，明確同意信息處理者在僅限該范圍內(nèi)處理其信息。

第三， 沉默、未打勾或不作為，不構(gòu)成同意。參照GDPR書面、明示的授權(quán)要求，不得過(guò)度處理個(gè)人信息的規(guī)定，亦應(yīng)保障信息主體的明示授權(quán)權(quán)利，限制信息處理者通過(guò)一攬子授權(quán)，強(qiáng)迫信息主體做出違反自身意愿的授權(quán)行為。信息處理者應(yīng)嚴(yán)格遵照《民法典》第1035條、第1036條的規(guī)定處理個(gè)人信息，授權(quán)應(yīng)依信息處理者業(yè)務(wù)需要以最小限度進(jìn)行。對(duì)于特殊事項(xiàng)，應(yīng)設(shè)立單獨(dú)授權(quán)，保障用戶單項(xiàng)授權(quán)的權(quán)利。

第四， 信息處理者對(duì)信息處理范圍的描述應(yīng)明確、具體，不得模糊。圍繞信息處理的目的，信息處理者應(yīng)在適當(dāng)、相關(guān)、必要的范圍內(nèi)處理個(gè)人信息。收集、存儲(chǔ)、使用、傳輸、加工、提供、公開個(gè)人信息的，其行為均應(yīng)合法、正當(dāng)、必要，在業(yè)務(wù)需要的范圍內(nèi)最小化處理個(gè)人信息。且信息處理不得偏離明示的收集、處理信息的目的。隨時(shí)保持信息處理過(guò)程的公開、透明，保障用戶對(duì)自身信息的處理行為的知情權(quán)利。信息處理應(yīng)符合法律規(guī)定和雙方約定，遵照明示的目的、方式和范圍進(jìn)行，不得超出，否則即應(yīng)視為“過(guò)度處理個(gè)人信息”行為，承擔(dān)相應(yīng)的法律責(zé)任。

第五， 在撤回授權(quán)時(shí)，個(gè)人有權(quán)要求信息處理者刪除已撤回授權(quán)的信息，并明確表示不再向信息處理者提供相應(yīng)信息。信息處理者不得以任何方式限制信息主體這一拒絕權(quán)，或妨礙信息主體的撤回授權(quán)行為。如：通過(guò)限制撤銷、注銷、刪除賬戶的方式，或通過(guò)拒絕公開服務(wù)信息的方式，限制或拒絕用戶的撤回權(quán)利。信息處理者處理信息的過(guò)程應(yīng)始終向信息主體公開，保證處理信息始終圍繞其目的和限度進(jìn)行。信息主體可監(jiān)督信息處理者的信息處理行為，隨時(shí)發(fā)現(xiàn)信息處理超限行為，要求信息處理者停止侵害等。

第五，信息處理應(yīng)遵循最長(zhǎng)期限要求。參照GDPR的“數(shù)據(jù)最小化”原則和美國(guó)CFPB隱私保護(hù)規(guī)定經(jīng)驗(yàn)，不得過(guò)度處理個(gè)人信息亦應(yīng)確保及時(shí)刪除已依最初目的處理完成的信息?；?qū)π畔⒃O(shè)定最高處理時(shí)限，保證信息在限定的目的、時(shí)間、范圍內(nèi)處理完成，不得再次處理或用于其他目的。

(二)完善監(jiān)管，加大對(duì)過(guò)度處理個(gè)人信息行為的處罰力度

借鑒歐盟GDPR“數(shù)據(jù)最小化”因設(shè)定懲罰力度過(guò)小、懲罰措施不到位導(dǎo)致的現(xiàn)實(shí)困局，監(jiān)管部門應(yīng)加強(qiáng)對(duì)信息處理者的教育，保障《民法典》“不得過(guò)度處理”個(gè)人信息規(guī)定的實(shí)現(xiàn)。要求信息處理者規(guī)范自身從業(yè)者的信息處理行為，規(guī)定信息處理者應(yīng)遵循的準(zhǔn)則和義務(wù)，及“過(guò)度處理個(gè)人信息”應(yīng)承擔(dān)的法律責(zé)任和后果。

通過(guò)加強(qiáng)各監(jiān)管部門之間的溝通，以及增加對(duì)信息超限處理的處罰力度，保障“不得過(guò)度處理”規(guī)定的順利實(shí)現(xiàn)。通過(guò)各部門聯(lián)動(dòng)方式，嚴(yán)控信息流轉(zhuǎn)。要求信息處理者檢驗(yàn)、測(cè)試、審查信息輸入，保證輸出過(guò)程的技術(shù)、人員處于合理權(quán)限、最小限度要求下。嚴(yán)厲打擊信息處理者超限處理個(gè)人信息的行為，加大處罰力度，要求信息處理者將信息處理的合理適度置于信息處理的收益之前。通過(guò)法律規(guī)定明確個(gè)人信息處理者超限處理個(gè)人信息應(yīng)承擔(dān)的法律責(zé)任和懲罰數(shù)額等。如：超限處理個(gè)人信息獲利的，應(yīng)處以非法獲利的30%以上罰款，尤其是對(duì)廣告推送、大數(shù)據(jù)分析，過(guò)度處理個(gè)人信息非法牟利的行為。提高罰款額度，有利于對(duì)信息處理者起到震懾作用，防范信息處理者的逐利行為。增加部門溝通，有利于聯(lián)合執(zhí)法，保障信息流轉(zhuǎn)安全。

五、結(jié)語(yǔ)

隨著信息技術(shù)的發(fā)展，互聯(lián)網(wǎng)上個(gè)人的ID已取代了個(gè)人現(xiàn)實(shí)中的身份，個(gè)人信息已形成新的個(gè)人人格特點(diǎn)代號(hào)。無(wú)論信息是否私密或不想被他人知悉，均無(wú)法阻擋個(gè)人信息的不斷產(chǎn)生，范圍的逐漸擴(kuò)大，利用率的迅速提高。且新技術(shù)環(huán)境下，個(gè)人信息受侵害案件時(shí)有發(fā)生，個(gè)人信息買賣、非法提供，已成網(wǎng)絡(luò)生態(tài)治理頑疾。故，通過(guò)民事立法確認(rèn)個(gè)人信息保護(hù)的原則和處理個(gè)人信息的規(guī)則，實(shí)有必要。與《中華人民共和國(guó)網(wǎng)絡(luò)安全法》、OECD的《個(gè)人數(shù)據(jù)保護(hù)和專業(yè)流通操作指南》、德國(guó)《聯(lián)邦數(shù)據(jù)保護(hù)法》相比，《民法典》參照GDPR的規(guī)定，著重強(qiáng)調(diào)了“不得過(guò)度處理個(gè)人信息”的規(guī)則，具有創(chuàng)新性，值得重視。未來(lái)實(shí)施中，該原則應(yīng)進(jìn)一步解釋、細(xì)化，從而保障我國(guó)個(gè)人信息權(quán)益法律保護(hù)的實(shí)現(xiàn)，使我國(guó)信息行業(yè)健康有序的發(fā)展，為實(shí)現(xiàn)5G時(shí)代物聯(lián)網(wǎng)發(fā)展需求作出貢獻(xiàn)。