摘 要：目的限制原則是數(shù)據(jù)保護法的基礎(chǔ)性原則，其邏輯起點是個人信息自決權(quán)，在保護創(chuàng)新和防范風險的價值體系中有著重要的平衡功能。在我國個人信息保護法體系中，目的限制原則包含目的明確合理、直接相關(guān)處理、對個人權(quán)益影響最小三個方面。目的限制原則作為一般條款，具有抽象性和模糊性，實踐適用時存在著較大挑戰(zhàn)。單純從個人信息分類視角出發(fā)論證目的限制原則的適用，忽略了個人信息處理行為對信息自決范圍的影響，也未重視信息處理行為與風險控制之間的關(guān)系。通過法學方法論中一般條款的價值補充方法，從立法、行政、司法角度對目的限制原則進行價值補充，通過信息處理行為進行類型化，結(jié)合信息處理場景一致性理論進行分析，從中尋找目的限制原則適用的理論體系和具體規(guī)則。

關(guān)鍵詞： 目的限制原則；信息自決權(quán)；一般條款的具體化；類型化

中圖分類號：D922．16；D923 文獻標識碼： A 文章編號：1003-7217（2023）06-0146-08

一、緣 起

目的限制原則作為數(shù)據(jù)保護法的基礎(chǔ)性原則，被稱為個人信息保護的“帝王條款”［1］。歐盟《一般數(shù)據(jù)保護條例》（General Data Protection Regulation， GDPR）（以下簡稱GDPR）第5條明確規(guī)定，個人數(shù)據(jù)應(yīng)該是為特定、明確、合法的目的而被收集，且個人信息的進一步處理不得與初始目的不兼容①。我國《個人信息保護法》第6條也規(guī)定了目的限制原則，要求處理個人信息應(yīng)當具有明確、合理的目的，并應(yīng)當與處理的目的直接相關(guān)，采取對個人權(quán)益影響最小的方式。個人信息保護的基本精神是預(yù)防性的，防范信息處理者泄露個人信息是數(shù)據(jù)保護法的立法主旨，防止侵害自然人的人格權(quán)。目的限制原則有助于提高透明度、法律確定性和可預(yù)測性；通過對控制者如何使用其數(shù)據(jù)設(shè)定限制來保護數(shù)據(jù)主體，并加強處理的公平性。同時，兼容使用的概念也為數(shù)據(jù)控制者提供了一定程度的靈活性［2］。數(shù)據(jù)保護的核心是可控制性和可預(yù)測性。法律要求信息處理者在處理信息之初，必須明確處理信息的目的，且須在該目的的兼容范圍內(nèi)使用。

目的限制原則自產(chǎn)生以來，一直存在著各種理論爭議：一是目的限制與創(chuàng)新之間的矛盾。該原則的自然秉性是保護隱私權(quán)，從而要求信息處理者只能在與初始目的兼容的情形下使用。但是將大數(shù)據(jù)分析控制在初始目的狹小范圍，有限制創(chuàng)新之嫌。如何兼顧保護隱私和鼓勵創(chuàng)新，該矛盾如解決不好，會弱化目的限制原則的適用，導(dǎo)致目的限制原則出現(xiàn)存廢之爭［3］。二是大數(shù)據(jù)分析、人工智能的發(fā)展與目的限制原則的價值沖突。大數(shù)據(jù)分析的價值往往在于收集數(shù)據(jù)后再去尋找具體目的，并且大數(shù)據(jù)分析很有可能以最初收集數(shù)據(jù)尚未預(yù)想的方式來分析數(shù)據(jù)。三是目的限制原則含義的模糊性與法律的可預(yù)測性、確定性的矛盾。處理信息的目的能否明示一個寬泛的范圍，后續(xù)使用便在該范圍內(nèi)使用？如果可以，則大大削弱了該原則的功能，該原則將流于表面，不再具有實質(zhì)意義。GDPR第29條數(shù)據(jù)保護工作組在其“關(guān)于目的限制的第03/2013號意見”中對目的限制原則的內(nèi)容進行了一定程度的細化［2］。GDPR第6條第4款也對目的是否兼容作出了相關(guān)規(guī)定。我國個人信息保護關(guān)于目的限制原則的具體化應(yīng)當如何展開，這是本文的著力點。

二、目的限制原則的制度邏輯與實現(xiàn)張力

（一）信息自決下的目的限制

隱私的含義具有模糊性或者不確定性。自從1890年Warren和Brandeis首次提出隱私的概念后，傳統(tǒng)的觀念認為隱私是一種獨處的權(quán)利（right to be let alone）［4］。這是一種消極權(quán)利保護模式。數(shù)字時代的到來，大數(shù)據(jù)的發(fā)展，侵害隱私的行為及方式越來越多樣化，通過積極方式保護隱私的要求逐漸顯現(xiàn)。德國法院通過法官造法的方式，在1983年的人口普查案中創(chuàng)設(shè)了個人信息自決權(quán)［5］?，F(xiàn)代社會自動化處理技術(shù)運用極廣，自然人有權(quán)對抗個人信息的濫用，這才是人格權(quán)自由發(fā)展的前提。自然人可以自主決定個人生活事實是否公開以及公開的范圍和類型，這是保護人格尊嚴的要求。

目的限制原則的理論構(gòu)建，是個人信息自決權(quán)的體現(xiàn)。首先，處理信息的目的足夠清晰和可預(yù)測，用戶才有控制其信息不當使用之可能。信息主體完全理解處理信息的目的，他們才能以最有效的方式行使自己的權(quán)利，如查閱權(quán)、更正權(quán)等。其次，個人信息不能被無限制處理，故要求信息處理者在處理個人信息時，必須有明確的目的和范圍。再次，個人有權(quán)自主決定個人信息的使用與公開，自然要求信息處理者在收集個人信息的最初的范圍內(nèi)使用，如果超越初始目的，則侵犯了個人信息自決權(quán)。最后，個人信息自決權(quán)受到重大公共利益的限制，故各國法律一般設(shè)置了法律保留事項，處理這些事項并不違反目的限制原則。

（二）通過目的控制風險

互聯(lián)網(wǎng)時代，我們的隱私受到了威脅，大數(shù)據(jù)時代加深了這種威脅和風險，因為大數(shù)據(jù)的核心思想是用規(guī)模劇增來改變現(xiàn)狀［6］。大數(shù)據(jù)的價值主要有三個層次：一是來源于該大數(shù)據(jù)的基本用途；二是隨著技術(shù)的發(fā)展，其價值更多來源于對大數(shù)據(jù)的二次利用；三是數(shù)據(jù)的收集本來無意于用作其他用途，但是該數(shù)據(jù)隱藏著其他價值，最終產(chǎn)生諸多新的用途［6］?；诖?，很多信息處理者有著盡可能多地收集數(shù)據(jù)的動機，期待從中挖掘隱藏的價值和商機。同時，該行為也造成了更大的風險。大數(shù)據(jù)分析可能帶來對隱私的侵犯；由于算法的不透明性，而且很難被發(fā)現(xiàn)，可能帶來算法歧視的風險；由于算法推薦的影響，用戶接收信息的片面化，可能帶來形成“信息繭房”等風險［7］。

法律的主要目的是保護人們免受傷害并控制風險，為了達到該目的，法律普遍是通過某些原則或者規(guī)則來約束造成風險的相關(guān)行為。上述的二次利用和不可知的新用途，違反了數(shù)據(jù)保護法的一個核心規(guī)則——告知同意規(guī)則；同時也違背了數(shù)據(jù)保護法的一個基本原則——目的限制原則。根據(jù)世界各地數(shù)據(jù)保護的共識，信息處理者必須告知自然人，該告知應(yīng)當具體、明確、合理，且取得個人的同意。個人信息的處理目的、方式、種類等發(fā)生變更的，應(yīng)當取得個人二次同意。我國《個人信息保護法》第13條和第14條也對“告知同意”規(guī)則進行了明確。數(shù)據(jù)二次利用和新用途利用，并未經(jīng)過個人的同意。如果這種二次利用或者新用途利用，與初始目的不兼容，則違背了目的限制原則，侵害了個人信息自決權(quán)，將產(chǎn)生較大的隱私風險。目的限制原則能夠有效地控制大數(shù)據(jù)分析所帶來的諸多風險。但是，它是否阻礙技術(shù)發(fā)展、影響創(chuàng)新？

（三）減少數(shù)據(jù)噪聲增強創(chuàng)新動力

機器學習在工業(yè)環(huán)境中的許多應(yīng)用，是基于數(shù)據(jù)的再利用，有觀點認為數(shù)據(jù)的再利用顛覆了目的限制原則。有學者主張，為了讓大數(shù)據(jù)發(fā)揮其潛力，須盡可能以前所未有的規(guī)模收集數(shù)據(jù)，并須一次一次地為不同的目的重復(fù)使用［8］。允許在沒有預(yù)定目的的情況下處理數(shù)據(jù)，以創(chuàng)新為借口主張放棄目的限制原則。有學者通過計算機科學及交叉學科研究的視角駁斥以上觀點，提出數(shù)據(jù)最小化和目的限制原則可以在數(shù)據(jù)驅(qū)動的環(huán)境中，特別是算法分析、個性化和決策系統(tǒng)有意義地實施，甚至可能通過減少數(shù)據(jù)中的噪聲來提高人工智能系統(tǒng)的穩(wěn)健性 ［9］。

目的限制原則要求信息處理者不能以與初始目的不兼容的方式使用，并不代表該原則阻礙創(chuàng)新。Maximilian von Grafenstein指出目的限制原則是一種監(jiān)管手段，其立法主旨首先是要保護個人信息自決權(quán)，免受因數(shù)據(jù)處理給個人帶來風險，并尊重個人的基本權(quán)利。在目的限制原則的范圍內(nèi)，數(shù)據(jù)處理者可以進行兼容使用，為數(shù)據(jù)處理者留下足夠的空間。數(shù)據(jù)處理者的這一行動范圍，使其能夠與監(jiān)管工具相結(jié)合，將目的限制原則轉(zhuǎn)化為一種創(chuàng)新增強機制［3］。運用數(shù)據(jù)分析進行的技術(shù)發(fā)展，不能以犧牲個人信息自決權(quán)、侵害隱私為代價，應(yīng)當在合法的范圍內(nèi)進行創(chuàng)新。目的限制原則控制了信息處理者無邊界的信息處理行為，保護了自然人的人格權(quán)，同時也在一個良性的范圍內(nèi)增強創(chuàng)新動力。

三、目的限制原則的價值補充體系

（一）價值補充：以抽象解釋抽象的困境

法律規(guī)范存在著大量的不確定概念和一般條款，這些不確定概念和一般條款過于模糊，通過傳統(tǒng)的解釋方法已經(jīng)無法完成相關(guān)工作。因此，需要在傳統(tǒng)的解釋路徑外實施進一步的工作，稱之為具體化或者價值補充［10］。法律解釋是確定規(guī)范的含義，具體化是創(chuàng)造性地充實一些原則性的規(guī)定。本質(zhì)上，一般條款是立法者留給司法者的造法空間，被稱為“預(yù)先設(shè)計的法律對特殊案件的個別性讓步”［11］。不確定概念或者一般條款，其主要的機理在于使法律運作能適應(yīng)社會經(jīng)濟發(fā)展，并引進社會變遷中的價值觀念，與時俱進地實現(xiàn)其規(guī)范功能。具體化的價值判斷，應(yīng)當結(jié)合當今社會的客觀倫理秩序和公平正義［11］。一般條款具有高度的概括性，無法明確把握其概念核心；不確定概念存在概念核心，只是其尚須借助方法上的輔助手段予以探究。理論上，不確定概念和一般條款之間，實在無法作出精確的區(qū)分［10］。

目的限制原則作為一般條款，其法律規(guī)定的內(nèi)容當中也存在著不確定概念，通過法律解釋的方法難以完成任務(wù)，須訴諸價值補充的方法對該原則進行創(chuàng)造性地補充。有觀點認為，對信息處理目的是否有明確的判斷，應(yīng)當依據(jù)“合法、正當、必要”的基本原則，綜合考慮其他因素［12］。判斷一個一般條款，又訴諸一個“合法、正當、必要”原則的一般條款，以一個抽象原則解釋另一個抽象原則，進入了一種循環(huán)論證，自然有所欠缺，難以真正解決問題。在法律體系當中，法律的原則會通過具體規(guī)則來實現(xiàn)。構(gòu)建目的限制原則在個人信息保護法中的規(guī)則體系，自然成為走出該困境的首要任務(wù)。

（二）體系構(gòu)建：以信息處理生命周期為依托

立法者如果在一般條款之外引入了立法定義或者例示性規(guī)定，則可以為“具體化”工作提供體系上的幫助［10］。個人信息的處理對自然人在隱私和數(shù)據(jù)保護方面的基本權(quán)利有較大影響，故必然會對其使用進行某種程度和范圍的限制?！秱€人信息保護法》第6條第1款規(guī)定目的限制原則，其內(nèi)容主要包括三個方面：一是明確、合理的目的；二是與處理目的直接相關(guān)；三是對個人權(quán)益影響最小的方式。個人信息的處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開、刪除等，這是個人信息處理的生命全周期。目的限制原則在個人信息處理生命周期中，呈現(xiàn)著不同的要求和規(guī)則體系。

1.目的明確、合理。處理個人信息應(yīng)當具有明確、合理的目的。（1）目的明確。目的明確（purposes must be explicit），應(yīng)理解為有清晰、確定之目的。從主體角度，該明確應(yīng)該是對于信息主體、信息處理者、監(jiān)管者均為明確；從內(nèi)容視角，該明確應(yīng)當具有可操作性；從行為出發(fā)，對于信息處理的各種行為，均須明晰。目的明確的時間，應(yīng)該在處理個人信息前（《個人信息保護法》第17條）；應(yīng)當以顯著方式、清晰易懂的語言，真實、準確、完整地向個人告知；如果通過制定個人信息處理規(guī)則的方式告知，那么該處理規(guī)則應(yīng)當公開，并且便于查閱和保存（《個人信息保護法》第17條）。

（2）目的合理。

處理個人信息應(yīng)當具有合理的目的。GDPR第5條所要求的是目的合法（purposes must be legitimate）。只要符合《個人信息保護法》第13條所規(guī)定的處理個人信息的情形，均屬于具有合法目的。合法通常情況下具有合理性，這種例示性規(guī)定，是立法對目的合理的具體化。一個特定目的之合法性，與時間的推移有關(guān)，取決于科技發(fā)展、社會變化和文化變遷［2］。但是合法與合理并不等同，目的合理須考慮個案，權(quán)衡信息處理者和信息主體各方權(quán)益，根據(jù)公平原則判斷［13］。如果隨著社會經(jīng)濟發(fā)展和技術(shù)進步，處理信息的目的盡管符合法律規(guī)定，但是并不合理，依照我國法律，也是違反目的限制原則的行為。

（3）是否要求目的具體。

GDPR第5條在目的明確、合法之前規(guī)定了目的具體（或者目的特定）（purposes must be specified）。我國《個人信息保護法》并未規(guī)定“目的具體”。處理目的必須足夠詳細，以確定何種處理屬于和不屬于特定的目的，該特定目的影響評估報告的合規(guī)與合理（《個人信息保護法》第56條），且決定著數(shù)據(jù)保障措施的應(yīng)用（《個人信息保護法》第51條）。因此，一個籠統(tǒng)模糊的目的，如改善用戶、營銷目的、安全目的等，并不符合目的具體的要求［2］。GDPR第29條數(shù)據(jù)保護工作組認為“目的明確的最終目標是確保目的的具體化，而不會對其含義或意圖含糊不清或模棱兩可”［2］。從這個角度出發(fā)，我國法律規(guī)定了目的明確，就是已經(jīng)承認了目的必須具體或者特定，因為目的具體和目的明確相輔相成不可分。沒有目的具體，則會嚴重削弱目的限制原則，難以更好地維護個人信息權(quán)益。

2.直接相關(guān)。目的明確后，不管是當前處理還是后續(xù)處理，信息處理者處理個人信息必須與初始目的直接相關(guān)。GDPR采取兼容性理論，不得以與該目的不兼容的方式進一步處理。通過規(guī)定任何進一步的處理只要不是不相容的，并且滿足合法性的要求，就可以得到授權(quán)，立法者似乎打算在進一步的使用方面給予一些靈活性。這種進一步的使用可能與最初的目的緊密結(jié)合，也可能不同［2］。GDPR并未禁止通過不同目的進一步處理信息，僅僅是禁止與初始目的不兼容的目的來處理信息［14］。

對于判斷后續(xù)處理目的與初始目的是否兼容，GDPR第6條第4款給出了須考慮的因素，如收集目的和進一步處理目的的聯(lián)系程度、數(shù)據(jù)處理者和信息主體的關(guān)系等。當然，如果要改變信息處理的目的，即使該目的與初始目的相容，也應(yīng)當將新目的告知信息主體。如果新目的與初始目的不兼容，那么必須重新取得信息主體的同意，或者必須具有其他法律依據(jù)進行信息處理［14］。

我國《個人信息保護法》借鑒GDPR的規(guī)定，要求個人信息的處理目的發(fā)生變更時，應(yīng)當將變更部分告知個人（《個人信息保護法》第17條第2款）；變更個人信息的處理目的，應(yīng)當重新取得個人同意（《個人信息保護法》第14條第2款）。GDPR第5條第1款第b項明確允許為公共利益進行檔案管理，出于實現(xiàn)科學研究、歷史研究或者統(tǒng)計目的進一步處理個人信息。這些活動雖然與初始目的不符，卻仍被允許，是因為其為信息主體提供了適當?shù)谋Ｗo措施以及自由。

3.對個人權(quán)益影響最小的方式。在處理個人信息有多種不同方式時，應(yīng)當選擇對個人權(quán)益影響最小的方式進行，這是必要原則的要求，也是比例原則的體現(xiàn)［15］。大數(shù)據(jù)的發(fā)展，有出現(xiàn)盡可能擴大數(shù)據(jù)收集范圍和以不同目的處理信息的動機和趨勢，目的限制原則和數(shù)據(jù)最小化原則仍須堅持［9］。數(shù)據(jù)最小化原則屬于在收集數(shù)據(jù)時采取對個人權(quán)益影響最小的方式。個人信息保存期間也采取了對個人權(quán)益影響最小的方式，個人信息的保存期限應(yīng)當為實現(xiàn)處理目的所必要的最短時間（《個人信息保護法》第19條）。

綜上，對于目的限制原則，立法對其進行了一定程度的價值補充，主要是通過個人信息處理的生命全周期涉及的處理行為進行具體化。目的限制原則的進一步處理，除了符合上述規(guī)則體系之外，仍然要求有合法性基礎(chǔ)。我國法律規(guī)定了處理個人信息合法性基礎(chǔ)采取二元結(jié)構(gòu)的立法模式：告知同意與法定處理（《個人信息保護法》第13條）。基于私益處理個人信息，須告知個人并取得同意；出于公益處理個人信息，法定允許處理，無須同意?；趯嵺`中處理個人信息的場景比較多元，一般的立法規(guī)則無法窮盡所有場景，難以應(yīng)對實踐的需要。

（三）公法介入：行政規(guī)范與行業(yè)規(guī)范的干預(yù)

除了立法對目的限制原則進行價值補充之外，立法還授權(quán)行政機關(guān)通過規(guī)范性文件進行具體化。有些行業(yè)規(guī)范也進行了一定程度的細化，值得借鑒?！秱€人信息保護法》生效后，有關(guān)個人信息保護的配套法規(guī)密集發(fā)布，從效力層級看，針對個人信息保護的監(jiān)管規(guī)范逐漸細化，不同部門針對各自領(lǐng)域出臺了大量的規(guī)范性文件和部門規(guī)章，國家標準也起到了重要的指導(dǎo)和引領(lǐng)作用［16］。對于在各場景的個人信息處理行為中，目的限制原則是如何通過行政規(guī)范、行業(yè)規(guī)范實現(xiàn)具體化，本文進行了不完全統(tǒng)計分析，見表1。

根據(jù)統(tǒng)計，行政規(guī)范、行業(yè)規(guī)范對目的限制原則有了一定程度的具體化，針對其判斷和展開給出了重要層面的思維拓展和操作路徑。首先，關(guān)于“目的具體”?！缎畔踩夹g(shù) 移動互聯(lián)網(wǎng)應(yīng)用程序（App）收集個人信息基本要求》（GB/T 41391-2022）規(guī)定，收集個人信息應(yīng)具有明確、合理、具體的個人信息處理目的?！缎畔踩夹g(shù) 網(wǎng)絡(luò)數(shù)據(jù)處理安全要求》（GB/T 41479-2022）也規(guī)定，不應(yīng)僅以改善服務(wù)質(zhì)量、提升用戶體驗、定向推送信息、研發(fā)新產(chǎn)品等為目的，強制要求、誤導(dǎo)用戶同意收集個人信息?？梢?，一個寬泛的目的，并不構(gòu)成目的明確，需要具體的要求。

其次，對于“與處理目的直接相關(guān)”?！缎畔踩夹g(shù) 網(wǎng)絡(luò)數(shù)據(jù)處理安全要求》（GB/T 41479-2022）的表述“不應(yīng)收集與其提供的服務(wù)無直接或無合理關(guān)聯(lián)”，將直接相關(guān)和合理關(guān)聯(lián)類似理解，從關(guān)聯(lián)性入手。有些規(guī)范性文件規(guī)定了“必要個人信息處理”的概念，如基于身份證件號碼或者統(tǒng)一社會信用代碼、移動電話號碼等方式的真實身份信息認證。對于必要個人信息的處理，當然屬于直接相關(guān)。

再次，針對“采取對個人權(quán)益影響最小的方式”。很大一部分規(guī)范性文件規(guī)定了“最小必要收集”的規(guī)則。國家標準指出，個人權(quán)益影響通常與個人信息的敏感程度相關(guān)，個人信息越敏感，其處理活動對個人權(quán)益影響越大；當收集一般個人信息或敏感個人信息均能滿足App服務(wù)目的時，收集一般個人信息屬于對個人權(quán)益影響較小的方式［17］。

最后，關(guān)于改變目的。在系統(tǒng)權(quán)限方面，有些規(guī)范規(guī)定，應(yīng)僅聲明和申請實現(xiàn)App服務(wù)目的最小范圍的系統(tǒng)權(quán)限，不應(yīng)申請與App業(yè)務(wù)功能無關(guān)的系統(tǒng)權(quán)限，權(quán)限的使用目的、使用場景發(fā)生變化時，應(yīng)重新告知用戶并取得同意；在數(shù)據(jù)安全方面，國家標準規(guī)定，改變處理個人信息的目的，應(yīng)及時告知信息主體，修改個人信息保護政策，并二次征得個人信息主體同意。

綜上，行政規(guī)范、行業(yè)規(guī)范對目的限制原則進行了程度較大的具體化。特別是針對不同場景的信息處理規(guī)則，平衡了信息主體的期待與信息處理者的處理需求。囿于行政規(guī)范的性質(zhì)，對于違反目的限制原則的行為效力、民事責任等，自然闕如，仍須結(jié)合民事法律體系以及民事個案進行價值補充。

四、場景構(gòu)建：目的限制原則的實踐呼喚

法院裁判是個案，不管在個案中法官進行法律解釋還是法律續(xù)造，僅對個案適用。但是，通過裁判說理，法院的裁決往往能超越個案，產(chǎn)生間接的影響［18］。事實上，我國最高人民法院也是通過發(fā)布指導(dǎo)案例的形式，為各級法院的裁判提供一定的參考，這有助于維持司法裁判的一致性和連續(xù)性，促進法的安定。如果法律的文義模糊不清，那么研究迄今為止的案例，對于一般條款或者不確定概念自然是一種恰當?shù)慕鉀Q方法［10］。法官的判決必須正確評價法律規(guī)范的意義，也應(yīng)當正確評價生活實踐的意義，法官必須在法律規(guī)范所意涵的類型中掌握生活事實［19］。依據(jù)不確定概念或者一般條款而具體化的個別案例，可以作為將來需要處理的案例的比較基礎(chǔ)［11］。對于目的限制原則的案例進行類型化分析，將來遇到具體案件時，可以依據(jù)該類型認定，無須直接訴諸抽象的目的限制原則，實現(xiàn)相同案件相同處理的平等原則。

對于類型化根據(jù)，有觀點認為應(yīng)該從信息分類出發(fā)，主張?zhí)幚韨€人敏感信息必須恪守目的限制原則；處理個人一般信息，特殊情形下允許超越初始目的［20］。這種思路僅僅看到了個人信息的分類。但是，不管是敏感個人信息還是一般個人信息，之所以要規(guī)定目的限制原則，其理論基礎(chǔ)在于信息自決權(quán)與風險控制。單純從信息分類的視角出發(fā)論證目的限制原則的處理范圍，忽略了個人信息處理行為對信息自決范圍的影響，也未重視信息處理行為與風險控制之間的關(guān)系。再者，歐盟GDPR對數(shù)據(jù)保護的立法模式主要是針對數(shù)據(jù)處理行為進行規(guī)范，我國《個人信息保護法》借鑒這種行為規(guī)范模式，規(guī)定了個人信息全生命周期保護。這個過程中的處理行為，其風險控制和利益保護有所差異，自然其處理規(guī)則也有不同。在德國著名的人口普查案中，德國法院也指出信息處理行為的影響不能僅僅根據(jù)信息的類型來確定，起著決定性作用的是信息的處理方式。大數(shù)據(jù)技術(shù)的普及和深化，完全有可能將個人信息全面綜合起來分析，形成完整的人格畫像。在自動化的信息技術(shù)下，已經(jīng)不再有不重要的信息［21］。

基于此，本文試圖主要從信息處理行為視角對目的限制原則的案例進行類型化分析比較，也結(jié)合信息分類理論，以期找出司法對該原則的一些具體化意見。我們將信息處理分為三個階段：信息收集階段、信息使用階段、信息流通階段。本文在“威科先行”數(shù)據(jù)庫通過民事案由“隱私權(quán)、個人信息保護糾紛”進行搜索，共檢索到2021年1月1日以來公開的841個案件?；谶@些案件，以及各法院專門公開的典型案例，對于每一類型的案例進行觀察，并結(jié)合場景一致性理論進行分析［22］。處理個人信息行為的合法性，需結(jié)合具體場景進行判斷［23］。

（一）信息收集階段

收集個人信息，應(yīng)當限于實現(xiàn)處理目的的最小范圍，不得過度收集個人信息。

1.互聯(lián)網(wǎng)平臺收集信息的場景。第一，直接關(guān)聯(lián)理論。有法院認為互聯(lián)網(wǎng)平臺收集個人信息的范圍和類型，應(yīng)當與實現(xiàn)產(chǎn)品或者服務(wù)的功能直接相關(guān)［24］。第二，比例原則。實現(xiàn)功能的目的與收集的范圍須成合理比例［24］。第三，合理期待理論。在個人同意的范圍內(nèi)收集個人信息，保證用戶對個人信息的知情權(quán)并符合其“合理期待”［24］。目的限制原則的理論基礎(chǔ)在于信息自決權(quán)，構(gòu)建合理期待理論，是信息自決權(quán)的要求。第四，履行合同所需。收集、處理客戶賬戶、設(shè)備地址、聯(lián)系電話、送貨地址等信息，系履行合同所需［23］。第五，超越隱私政策收集個人信息屬于違法。

2.安裝監(jiān)控收集信息場景。對于該場景收集個人信息的規(guī)則，法院基本上達成了一致。首先，安裝攝像頭只要能采集他人的私人生活等信息，對他人居住安寧造成了侵擾，安裝者即使是出于保護自身人身安全和財產(chǎn)安全也要盡到注意義務(wù)，不能超出了合理限度［25，26］。其次，安裝攝像頭距離他人較遠，其主要拍攝范圍為自己門前區(qū)域，其目的是保護個人財產(chǎn)安全及相應(yīng)的公共安全，則屬合理［27，28］。

3.不作為的侵權(quán)場景。個人信息處理行為既包括作為，也包括不作為。法院對不作為的消極行為判斷容易得多。如沒有依法采取必要措施保護個人信息安全、對涉及個人信息安全的事故未及時采取補救措施等，導(dǎo)致個人信息被他人竊取、篡改或不當使用［29］。未在顯著位置公布隱私政策，未主動提示用戶閱讀收集個人信息規(guī)則等行為不符合“公開收集使用規(guī)則”“明示收集使用個人信息的目的、方式和范圍”等規(guī)定，屬于違法處理用戶個人信息的侵害行為［30］。

（二）信息使用階段

信息使用階段要求“與處理目的直接相關(guān)，采取對個人權(quán)益影響最小的方式”，變更處理目的須經(jīng)個人重新同意。

1.自動化決策推薦場景。第一，透明度原則。電商平臺被認定構(gòu)成“自動化決策”，則應(yīng)當保證決策的透明度和結(jié)果公平、公正，不得在交易價格等條件上實行不合理的差別待遇。第二，合法、正當、必要原則。電商平臺等利用個人信息進行自動化決策也應(yīng)遵守“合法、正當、必要”原則，避免隱私泄露、算法歧視等風險，推動算法決策技術(shù)的合法應(yīng)用與合理發(fā)展［23］。第三，信息處理者利用自動化決策方式進行信息處理活動，應(yīng)當向個人提供便捷的拒絕方式。未向個人提供拒絕的方式或拒絕的方式完全不能達到便捷性要求，使用戶不能依據(jù)自己的真實意思表示進行拒絕，則個人信息處理者違反了法定義務(wù)，應(yīng)認定為侵害用戶個人信息權(quán)益［31］。第四，信息處理者在未獲得兒童監(jiān)護人單獨授權(quán)同意的情況下，基于算法的自動化決策將含有兒童用戶個人信息的短視頻向其他用戶進行推送，應(yīng)認定為違法處理兒童個人信息［32］。信息處理者對兒童用戶進行畫像，未獲監(jiān)護人同意默認開啟個性化推薦，運用算法進行內(nèi)容推送，應(yīng)認定為違法處理兒童個人信息［32］。

2.兒童個人信息處理場景。第一，互聯(lián)網(wǎng)平臺在缺乏單獨兒童個人信息/隱私保護政策，未采取合理措施通知監(jiān)護人并征得監(jiān)護人有效明示同意的情況下，處理兒童用戶地理定位、聯(lián)系方式等個人信息的，應(yīng)認定為違法處理個人信息。第二，兒童個人信息屬敏感個人信息，信息處理者未對兒童個人信息建立專門保護池，采取加密存儲措施，應(yīng)認定為違規(guī)存儲兒童個人信息。第三，信息處理者在征得監(jiān)護人同意前，對兒童用戶未強制開啟陌生人關(guān)注限制功能、未強制隱藏兒童用戶位置等，應(yīng)認定為未履行對兒童用戶的隱私安全保護義務(wù)［32］。

（三）信息流通階段

在本文的語境下，信息使用階段主要是信息處理者本身處理個人信息，信息流通階段涉及第三人處理個人信息，如提供、傳輸、公開等行為。

1.向第三人提供或公開個人信息場景。將個人信息傳輸給第三方，未征得同意，亦未曾明示處理信息的目的、方式和范圍，自身存在過錯，系對個人信息的違法使用、傳輸、提供、公開等，侵犯了個人信息權(quán)益［33］。第一，提交訴訟文書不等于同意公開個人信息［34］。第二，在訴訟中調(diào)取其已合法收集的個人信息進行公證并向法院提供，符合合法、正當、必要原則［35］。如果訴訟主體在訴訟活動中完全遵循《個人信息保護法》中的個人信息保護規(guī)則，會導(dǎo)致訴訟成本大幅增加，甚至可能致使一些訴訟活動難以開展［36］。第三，放貸銀行在貸款人知情同意的情況下向中國人民銀行個人信用信息基礎(chǔ)數(shù)據(jù)庫報送貸款人不良征信信息，屬于個人信息的合理使用［37］。銀行在審核貸款的過程中，通過在線雙錄視頻的方式核實原告的身份信息、貸款意愿真實性等內(nèi)容，符合合法、正當、必要原則［37］。第四，淘寶向平臺商家提供個人信息，除了要考慮處理信息的合法性基礎(chǔ)外，還須考慮是否依法采取必要措施保護個人信息安全；是否未盡到必要、合理的個人信息安全保障義務(wù)等不作為情形［29］。

2.開通第三方服務(wù)場景。第一，第三方信用服務(wù)。開通信用服務(wù)已盡到提醒注意義務(wù)，并取得用戶同意，符合正當原則。該信用服務(wù)以最小的代價即對用戶進行事先信譽評估，彌補了先享后付功能的短板，為信息處理者履行合同所必需，符合必要原則。案涉信用服務(wù)充分保障個人自主決定權(quán)，符合合法原則［38］。第二，第三方支付服務(wù)。付費通公司收集個人信息時，電商平臺未以任何形式告知個人，更未以任何形式獲得過個人的同意，亦不存在通過訂立、履行合同必需規(guī)則或履行法定義務(wù)規(guī)則等獲得處理個人信息的合法性基礎(chǔ)［39］。第三，個人征信信息商業(yè)使用合法性基礎(chǔ)。個人隱私保護不能相悖于政府、法院等國家機關(guān)對于個人征信信息的依法公開，個人信息主體對國家機關(guān)依法向社會公眾公開的內(nèi)容不享有隱私權(quán)?；ヂ?lián)網(wǎng)平臺經(jīng)個人信息主體授權(quán)可以對個人征信信息進行合法性使用［40］。

綜上，通過信息收集、使用、流通三階段案例類型關(guān)于目的限制原則在個案中的運用和具體化，有以下規(guī)則和理論進路值得關(guān)注：第一，個人信息處理合法基礎(chǔ)與目的限制原則。法院對是否符合目的限制原則一般是通過尋找個人信息處理的合法性基礎(chǔ)來認定，“告知同意”與“法定處理”二元模式在裁判實踐中得到淋漓盡致的體現(xiàn)，只要信息處理行為符合這兩種規(guī)則，一般認定遵循目的限制原則。第二，“合法、正當、必要”原則與目的限制原則的關(guān)系。法院在判斷目的限制原則時，經(jīng)常通過“合法、正當、必要”原則進行論證，對于信息最小化原則、透明度原則、比例原則也有所涉及，但展開不多。第三，不作為侵權(quán)理論進路構(gòu)建與目的限制原則。法院對信息處理行為的不作為情形進行類型化，如未在顯著位置公布隱私政策，未明示收集使用個人信息的目的、方式和范圍等，從反面論證違反目的限制原則。第四，目的限制原則與信息自決權(quán)。目的限制原則與信息自決權(quán)關(guān)系密切，但是法院對此有所忽略。也有法院發(fā)展出了信息主體的合理期待理論［24］。第五，法院從目的限制原則本身去尋找和論證信息處理的合法性基礎(chǔ)的情形不多，甚至可以認為寥寥無幾。當然，目的限制原則作為一般條款，須與其他條款結(jié)合并進行具體化方能準確適用。

通過對司法案件的實證研究，場景一致性理論呼之欲出。場景一致性理論與類型化理論有異曲同工之妙。法院主要通過場景化來具體分析信息處理的合法性基礎(chǔ)，這種方法有特殊情況特殊處理的優(yōu)點。Helen Nissenbaum認為，隱私權(quán)并非一種保持私密的權(quán)利，也不是信息控制權(quán)，而是一種確保個人信息以合理方式流動的權(quán)利［22］?；谠撜J知，其構(gòu)建了場景一致性框架。場景一致性的基本構(gòu)成要素為社會規(guī)范和場景相關(guān)的信息規(guī)范。場景相關(guān)的信息規(guī)范包括四大要素：場景、行為主體、屬性（信息類型）、傳輸原則。違反這些規(guī)范時，場景一致性受到侵犯，也就是對隱私的侵犯［22］。通過對信息處理各類場景的分析，構(gòu)建信息處理行為的具體規(guī)則，并結(jié)合實踐中發(fā)展出來的有關(guān)信息主體的合理預(yù)期理論、最小必要收集要求、不作為侵權(quán)理論等，從而構(gòu)建目的限制原則價值補充的理論體系和實踐路徑。

五、結(jié) 語

目的限制原則作為《個人信息保護法》的基礎(chǔ)性原則，貫穿數(shù)據(jù)保護的始終。由于其具有抽象性、模糊性和不確定性，屬于一般條款，存在著適用的困難。因此，目的限制原則的理論基礎(chǔ)是信息自決權(quán)，其對促進創(chuàng)新和防范風險有著重要平衡作用。本文通過一般條款價值補充的方法，對目的限制原則進行價值體系構(gòu)建和實踐路徑展開。首先，立法者分別在個人信息處理的合法性基礎(chǔ)（告知同意法定處理）、敏感個人信息處理、目的變更等規(guī)則，結(jié)合目的明確合理、使用直接相關(guān)、對個人權(quán)益影響最小等方面進行補充。其次，行政規(guī)范、行業(yè)規(guī)范也通過制定相關(guān)標準的方式，針對不同的場景，對目的限制原則進行具體化，增強可操作性。最后，民事司法裁判也在個案中通過說理的角度對目的限制原則進行價值補充，采取不作為侵權(quán)理論進路、通過不同場景的判斷，結(jié)合合法、正當、必要原則進行具體化，構(gòu)建了目的限制原則的適用大圖景。

注釋：

①? 歐盟《一般數(shù)據(jù)保護條例》（General Data Protection Regulation，GDPR）第2章第5條。

參考文獻：

［1］ 李惠宗.個人資料保護法上的帝王條款——目的拘束原則［J］.法令月刊，2013（1）：38-61.

［2］ Article 29 Data Protection Working Party.Opinion 03/2013 on purpose limitation［R］.Brussels， Belgium，2013：13-27.

［3］ Maximilian von Grafenstein.The principle of purpose limitation in data protection laws： The risk-based approach， principles， and private standards as elements for regulating innovation［M］.Germany：Nomos Verlagsgesellschaft mbH， 2018：649-670.

［4］ Warren S D，Brandeis L D.The right to privacy［J］.Harvard Law Review，1890，4（5）：193-220.

［5］ 王澤鑒.人格權(quán)法：法釋義學、比較法、案例研究［M］.北京：北京大學出版社，2013.

［6］ 維克托·邁爾舍恩伯格，肯尼思·庫克耶.大數(shù)據(jù)時代：生活、工作與思維的大變革［M］.盛楊燕，周濤，譯.杭州：浙江人民出版社，2013.

［7］ Hannes Westermann.Change of purpose： The effects of the purpose limitation principle in the general data protection regulation on big data profiling［D］.Sweden：Faculty of Law Lund University， 2018.

［8］ Viktor Mayer-Schnberger，Yann Padova. Regime change？ Enabling big data through Europe’s new data protection regulation［J］.The Columbia Science and Technology Law Review，2016，17：315-335.

［9］ Michèle Finck，Asia Biega.Reviving purpose limitation and data minimisation in data-driven systems［J］.Technology and Regulation，2021（8）：44-61.

［10］托馬斯·M.J.默勒斯.法學方法論［M］.杜志浩，譯.4版．北京：北京大學出版社，2022.

［11］王澤鑒.法律思維與民法實例：請求權(quán)基礎(chǔ)理論體系［M］.北京：中國政法大學出版社，2001.

［12］梁澤宇.個人信息保護中目的限制原則的解釋與適用［J］.比較法研究，2018（5）：16-30.

［13］程嘯.個人信息保護法：理解與適用［M］.北京：中國法制出版社，2021.

［14］馬里厄斯·克里奇斯托弗克.歐盟個人數(shù)據(jù)保護制度［M］.張韜略，譯.北京：商務(wù)印書館，2023.

［15］劉權(quán).目的正當性與比例原則的重構(gòu)［J］.中國法學，2014（4）：133-150.

［16］張平.《個人信息保護法》一周年觀察［M］.北京：法律出版社，2022.

［17］信息安全技術(shù) 移動互聯(lián)網(wǎng)應(yīng)用程序（App）收集個人信息基本要求：GB/T 41391-2022［S］.2022.

［18］卡爾·拉倫茨.法學方法論［M］.黃家鎮(zhèn)，譯.北京：商務(wù)印書館，2020.

［19］亞圖·考夫曼.類推與“事物本質(zhì)”——兼論類型理論［M］.顏厥安，校．吳從周，譯.臺北：學林文化事業(yè)有限公司，1999.

［20］朱榮榮.個人信息保護“目的限制原則”的反思與重構(gòu)——以 《個人信息保護法》第６條為中心［J］.財經(jīng)法學，2022，43（1）：18-31.

［21］孔祥穩(wěn).個人信息自決權(quán)的理論批評與實踐反思——兼論《個人信息保護法》第44條決定權(quán)之適用［J］.法治現(xiàn)代化研究，2022（4）：78-97.

［22］海倫·尼森鮑姆.場景中的隱私——技術(shù)、政治和社會生活中的和諧［M］.王苑，等譯.北京：法律出版社，2022.

［23］上海市第二中級人民法院.民事判決書［R］．（2020）滬02民終5227號.

［24］廣東省深圳市中級人民法院.民事判決書［R］.（2021）粵03民終9583號.

［25］遼寧省撫順市新?lián)釁^(qū)人民法院.民事判決書［R］.（2023）遼0402民初355號.

［26］天津市北辰區(qū)人民法院.民事判決書［R］.（2023）津0113民初116號.

［27］山東省沂水縣人民法院.民事判決書［R］.（2022）魯1323民初5392號.

［28］北京市第三中級人民法院.民事判決書［R］.（2022）京03民終14685號.

［29］杭州互聯(lián)網(wǎng)法院.民事判決書［R］.（2022）浙0192民初4259號.

［30］杭州互聯(lián)網(wǎng)法院.民事判決書［R］.（2020）浙0192民初4252號.

［31］杭州互聯(lián)網(wǎng)法院.民事判決書［R］.（2021）浙0192民初5626號.

［32］杭州互聯(lián)網(wǎng)法院.民事判決書［R］.（2020）浙0192民初10993號.

［33］遼寧省莊河市人民法院.民事判決書［R］.（2022）遼0283民初6961號.

［34］遼寧省葫蘆島市連山區(qū)人民法院.民事判決書［R］.（2023）遼1402民初415號.

［35］北京互聯(lián)網(wǎng)法院.民事判決書［R］.（2022）京0491民初19686號.

［36］謝登科.論在線訴訟中的個人信息保護［J］.中國政法大學學報，2022（1）：127-137.

［37］杭州互聯(lián)網(wǎng)法院.民事判決書［R］.（2021）浙0192民初5426號.

［38］杭州互聯(lián)網(wǎng)法院.民事判決書［R］.（2021）浙0192民初8058號.

［39］浙江省杭州市中級人民法院.民事判決書［R］.（2021）浙01民終12780號.

［40］杭州互聯(lián)網(wǎng)法院.民事判決書［R］.（2018）浙0192民初302號.

（責任編輯：王鐵軍）

Value Supplements and Practical Challenges of the Principle

of Data Processing Purpose Limitation

YANG Shuren

（School of Law， Sun Yat-sen University， Guangzhou，Guangdong 510275，China）

Abstract：The principle of purpose limitation is a fundamental principle of data protection law， whose logical starting point is the right to self-determination of personal information， and has an important balancing function in the value system of protecting innovation and preventing risk. In China’s personal information protection law system， the principle of purpose limitation contains three aspects of clear and reasonable purpose， directly relevant processing， and minimal impact on the rights and interests of individuals. The purpose limitation principle， as a general clause， is abstract and vague， and there are difficulties in its application. In this paper， we adopt the concretization method of general clauses， combined with the analysis of typology theory， and explore the specific rules for the application of the purpose limitation principle from the direction of legislative， administrative， and judicial value supplementation and concretization of the purpose limitation principle.

Key words：purpose limitation principle; right to self-determination of information; concretization of general provisions; classification

收稿日期： 2023-03-23

基金項目：北京市社會科學基金一般項目（22FXB009）

作者簡介： 楊樹忍（1982—），男，廣東湛江人，中山大學法學院博士研究生，研究方向：立法學、數(shù)字法學、民商法學。