数据处理目的限制原则的价值补充与实践挑战

摘 要：目的限制原则是数据保护法的基础性原则，其逻辑起点是个人信息自决权，在保护创新和防范风险的价值体系中有着重要的平衡功能。在我国个人信息保护法体系中，目的限制原则包含目的明确合理、直接相关处理、对个人权益影响最小三个方面。目的限制原则作为一般条款，具有抽象性和模糊性，实践适用时存在着较大挑战。单纯从个人信息分类视角出发论证目的限制原则的适用，忽略了个人信息处理行为对信息自决范围的影响，也未重视信息处理行为与风险控制之间的关系。通过法学方法论中一般条款的价值补充方法，从立法、行政、司法角度对目的限制原则进行价值补充，通过信息处理行为进行类型化，结合信息处理场景一致性理论进行分析，从中寻找目的限制原则适用的理论体系和具体规则。

关键词： 目的限制原则；信息自决权；一般条款的具体化；类型化

中图分类号：D922．16；D923 文献标识码： A 文章编号：1003-7217（2023）06-0146-08

一、缘 起

目的限制原则作为数据保护法的基础性原则，被称为个人信息保护的“帝王条款”［1］。欧盟《一般数据保护条例》（General Data Protection Regulation， GDPR）（以下简称GDPR）第5条明确规定，个人数据应该是为特定、明确、合法的目的而被收集，且个人信息的进一步处理不得与初始目的不兼容①。我国《个人信息保护法》第6条也规定了目的限制原则，要求处理个人信息应当具有明确、合理的目的，并应当与处理的目的直接相关，采取对个人权益影响最小的方式。个人信息保护的基本精神是预防性的，防范信息处理者泄露个人信息是数据保护法的立法主旨，防止侵害自然人的人格权。目的限制原则有助于提高透明度、法律确定性和可预测性；通过对控制者如何使用其数据设定限制来保护数据主体，并加强处理的公平性。同时，兼容使用的概念也为数据控制者提供了一定程度的灵活性［2］。数据保护的核心是可控制性和可预测性。法律要求信息处理者在处理信息之初，必须明确处理信息的目的，且须在该目的的兼容范围内使用。

目的限制原则自产生以来，一直存在着各种理论争议：一是目的限制与创新之间的矛盾。该原则的自然秉性是保护隐私权，从而要求信息处理者只能在与初始目的兼容的情形下使用。但是将大数据分析控制在初始目的狭小范围，有限制创新之嫌。如何兼顾保护隐私和鼓励创新，该矛盾如解决不好，会弱化目的限制原则的适用，导致目的限制原则出现存废之争［3］。二是大数据分析、人工智能的发展与目的限制原则的价值冲突。大数据分析的价值往往在于收集数据后再去寻找具体目的，并且大数据分析很有可能以最初收集数据尚未预想的方式来分析数据。三是目的限制原则含义的模糊性与法律的可预测性、确定性的矛盾。处理信息的目的能否明示一个宽泛的范围，后续使用便在该范围内使用？如果可以，则大大削弱了该原则的功能，该原则将流于表面，不再具有实质意义。GDPR第29条数据保护工作组在其“关于目的限制的第03/2013号意见”中对目的限制原则的内容进行了一定程度的细化［2］。GDPR第6条第4款也对目的是否兼容作出了相关规定。我国个人信息保护关于目的限制原则的具体化应当如何展开，这是本文的着力点。

二、目的限制原则的制度逻辑与实现张力

（一）信息自决下的目的限制

隐私的含义具有模糊性或者不确定性。自从1890年Warren和Brandeis首次提出隐私的概念后，传统的观念认为隐私是一种独处的权利（right to be let alone）［4］。这是一种消极权利保护模式。数字时代的到来，大数据的发展，侵害隐私的行为及方式越来越多样化，通过积极方式保护隐私的要求逐渐显现。德国法院通过法官造法的方式，在1983年的人口普查案中创设了个人信息自决权［5］。现代社会自动化处理技术运用极广，自然人有权對抗个人信息的滥用，这才是人格权自由发展的前提。自然人可以自主决定个人生活事实是否公开以及公开的范围和类型，这是保护人格尊严的要求。

目的限制原则的理论构建，是个人信息自决权的体现。首先，处理信息的目的足够清晰和可预测，用户才有控制其信息不当使用之可能。信息主体完全理解处理信息的目的，他们才能以最有效的方式行使自己的权利，如查阅权、更正权等。其次，个人信息不能被无限制处理，故要求信息处理者在处理个人信息时，必须有明确的目的和范围。再次，个人有权自主决定个人信息的使用与公开，自然要求信息处理者在收集个人信息的最初的范围内使用，如果超越初始目的，则侵犯了个人信息自决权。最后，个人信息自决权受到重大公共利益的限制，故各国法律一般设置了法律保留事项，处理这些事项并不违反目的限制原则。

（二）通过目的控制风险

互联网时代，我们的隐私受到了威胁，大数据时代加深了这种威胁和风险，因为大数据的核心思想是用规模剧增来改变现状［6］。大数据的价值主要有三个层次：一是来源于该大数据的基本用途；二是随着技术的发展，其价值更多来源于对大数据的二次利用；三是数据的收集本来无意于用作其他用途，但是该数据隐藏着其他价值，最终产生诸多新的用途［6］。基于此，很多信息处理者有着尽可能多地收集数据的动机，期待从中挖掘隐藏的价值和商机。同时，该行为也造成了更大的风险。大数据分析可能带来对隐私的侵犯；由于算法的不透明性，而且很难被发现，可能带来算法歧视的风险；由于算法推荐的影响，用户接收信息的片面化，可能带来形成“信息茧房”等风险［7］。

法律的主要目的是保护人们免受伤害并控制风险，为了达到该目的，法律普遍是通过某些原则或者规则来约束造成风险的相关行为。上述的二次利用和不可知的新用途，违反了数据保护法的一个核心规则——告知同意规则；同时也违背了数据保护法的一个基本原则——目的限制原则。根据世界各地数据保护的共识，信息处理者必须告知自然人，该告知应当具体、明确、合理，且取得个人的同意。个人信息的处理目的、方式、种类等发生变更的，应当取得个人二次同意。我国《个人信息保护法》第13条和第14条也对“告知同意”规则进行了明确。数据二次利用和新用途利用，并未经过个人的同意。如果这种二次利用或者新用途利用，与初始目的不兼容，则违背了目的限制原则，侵害了个人信息自决权，将产生较大的隐私风险。目的限制原则能够有效地控制大数据分析所带来的诸多风险。但是，它是否阻碍技术发展、影响创新？

（三）减少数据噪声增强创新动力

机器学习在工业环境中的许多应用，是基于数据的再利用，有观点认为数据的再利用颠覆了目的限制原则。有学者主张，为了让大数据发挥其潜力，须尽可能以前所未有的规模收集数据，并须一次一次地为不同的目的重复使用［8］。允许在没有预定目的的情况下处理数据，以创新为借口主张放弃目的限制原则。有学者通过计算机科学及交叉学科研究的视角驳斥以上观点，提出数据最小化和目的限制原则可以在数据驱动的环境中，特别是算法分析、个性化和决策系统有意义地实施，甚至可能通过减少数据中的噪声来提高人工智能系统的稳健性 ［9］。

目的限制原则要求信息处理者不能以与初始目的不兼容的方式使用，并不代表该原则阻碍创新。Maximilian von Grafenstein指出目的限制原则是一种监管手段，其立法主旨首先是要保护个人信息自决权，免受因数据处理给个人带来风险，并尊重个人的基本权利。在目的限制原则的范围内，数据处理者可以进行兼容使用，为数据处理者留下足够的空间。数据处理者的这一行动范围，使其能够与监管工具相结合，将目的限制原则转化为一种创新增强机制［3］。运用数据分析进行的技术发展，不能以牺牲个人信息自决权、侵害隐私为代价，应当在合法的范围内进行创新。目的限制原则控制了信息处理者无边界的信息处理行为，保护了自然人的人格权，同时也在一个良性的范围内增强创新动力。

三、目的限制原则的价值补充体系

（一）价值补充：以抽象解释抽象的困境

法律规范存在着大量的不确定概念和一般条款，这些不确定概念和一般条款过于模糊，通过传统的解释方法已经无法完成相关工作。因此，需要在传统的解释路径外实施进一步的工作，称之为具体化或者价值补充［10］。法律解释是确定规范的含义，具体化是创造性地充实一些原则性的规定。本质上，一般条款是立法者留给司法者的造法空间，被称为“预先设计的法律对特殊案件的个别性让步”［11］。不确定概念或者一般条款，其主要的机理在于使法律运作能适应社会经济发展，并引进社会变迁中的价值观念，与时俱进地实现其规范功能。具体化的价值判断，应当结合当今社会的客观伦理秩序和公平正义［11］。一般条款具有高度的概括性，无法明确把握其概念核心；不确定概念存在概念核心，只是其尚须借助方法上的辅助手段予以探究。理论上，不确定概念和一般条款之间，实在无法作出精确的区分［10］。

目的限制原则作为一般条款，其法律规定的内容当中也存在着不确定概念，通过法律解释的方法难以完成任务，须诉诸价值补充的方法对该原则进行创造性地补充。有观点认为，对信息处理目的是否有明确的判断，应当依据“合法、正当、必要”的基本原则，综合考虑其他因素［12］。判断一个一般条款，又诉诸一个“合法、正当、必要”原则的一般条款，以一个抽象原则解释另一个抽象原则，进入了一种循环论证，自然有所欠缺，难以真正解决问题。在法律体系当中，法律的原则会通过具体规则来实现。构建目的限制原则在个人信息保护法中的规则体系，自然成为走出该困境的首要任务。

（二）体系构建：以信息处理生命周期为依托

立法者如果在一般条款之外引入了立法定义或者例示性规定，则可以为“具体化”工作提供体系上的帮助［10］。个人信息的处理对自然人在隐私和数据保护方面的基本权利有较大影响，故必然会对其使用进行某种程度和范围的限制。《个人信息保护法》第6条第1款规定目的限制原则，其内容主要包括三个方面：一是明确、合理的目的；二是与处理目的直接相关；三是对个人权益影响最小的方式。个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等，这是个人信息处理的生命全周期。目的限制原则在个人信息处理生命周期中，呈現着不同的要求和规则体系。

1.目的明确、合理。处理个人信息应当具有明确、合理的目的。（1）目的明确。目的明确（purposes must be explicit），应理解为有清晰、确定之目的。从主体角度，该明确应该是对于信息主体、信息处理者、监管者均为明确；从内容视角，该明确应当具有可操作性；从行为出发，对于信息处理的各种行为，均须明晰。目的明确的时间，应该在处理个人信息前（《个人信息保护法》第17条）；应当以显著方式、清晰易懂的语言，真实、准确、完整地向个人告知；如果通过制定个人信息处理规则的方式告知，那么该处理规则应当公开，并且便于查阅和保存（《个人信息保护法》第17条）。

（2）目的合理。

处理个人信息应当具有合理的目的。GDPR第5条所要求的是目的合法（purposes must be legitimate）。只要符合《个人信息保护法》第13条所规定的处理个人信息的情形，均属于具有合法目的。合法通常情况下具有合理性，这种例示性规定，是立法对目的合理的具体化。一个特定目的之合法性，与时间的推移有关，取决于科技发展、社会变化和文化变迁［2］。但是合法与合理并不等同，目的合理须考虑个案，权衡信息处理者和信息主体各方权益，根据公平原则判断［13］。如果随着社会经济发展和技术进步，处理信息的目的尽管符合法律规定，但是并不合理，依照我国法律，也是违反目的限制原则的行为。

（3）是否要求目的具体。

GDPR第5条在目的明确、合法之前规定了目的具体（或者目的特定）（purposes must be specified）。我国《个人信息保护法》并未规定“目的具体”。处理目的必须足够详细，以确定何种处理属于和不属于特定的目的，该特定目的影响评估报告的合规与合理（《个人信息保护法》第56条），且决定着数据保障措施的应用（《个人信息保护法》第51条）。因此，一个笼统模糊的目的，如改善用户、营销目的、安全目的等，并不符合目的具体的要求［2］。GDPR第29条数据保护工作组认为“目的明确的最终目标是确保目的的具体化，而不会对其含义或意图含糊不清或模棱两可”［2］。从这个角度出发，我国法律规定了目的明确，就是已经承认了目的必须具体或者特定，因为目的具体和目的明确相辅相成不可分。没有目的具体，则会严重削弱目的限制原则，难以更好地维护个人信息权益。

2.直接相关。目的明确后，不管是当前处理还是后续处理，信息处理者处理个人信息必须与初始目的直接相关。GDPR采取兼容性理论，不得以与该目的不兼容的方式进一步处理。通过规定任何进一步的处理只要不是不相容的，并且满足合法性的要求，就可以得到授权，立法者似乎打算在进一步的使用方面给予一些灵活性。这种进一步的使用可能与最初的目的紧密结合，也可能不同［2］。GDPR并未禁止通过不同目的进一步处理信息，仅仅是禁止与初始目的不兼容的目的来处理信息［14］。

对于判断后续处理目的与初始目的是否兼容，GDPR第6条第4款给出了须考虑的因素，如收集目的和进一步处理目的的联系程度、数据处理者和信息主体的关系等。当然，如果要改变信息处理的目的，即使该目的与初始目的相容，也应当将新目的告知信息主体。如果新目的与初始目的不兼容，那么必须重新取得信息主体的同意，或者必须具有其他法律依据进行信息处理［14］。

我国《个人信息保护法》借鉴GDPR的规定，要求个人信息的处理目的发生变更时，应当将变更部分告知个人（《个人信息保护法》第17条第2款）；变更个人信息的处理目的，应当重新取得个人同意（《个人信息保护法》第14条第2款）。GDPR第5条第1款第b项明确允许为公共利益进行档案管理，出于实现科学研究、历史研究或者统计目的进一步处理个人信息。这些活动虽然与初始目的不符，却仍被允许，是因为其为信息主体提供了适当的保护措施以及自由。

3.对个人权益影响最小的方式。在处理个人信息有多种不同方式时，应当选择对个人权益影响最小的方式进行，這是必要原则的要求，也是比例原则的体现［15］。大数据的发展，有出现尽可能扩大数据收集范围和以不同目的处理信息的动机和趋势，目的限制原则和数据最小化原则仍须坚持［9］。数据最小化原则属于在收集数据时采取对个人权益影响最小的方式。个人信息保存期间也采取了对个人权益影响最小的方式，个人信息的保存期限应当为实现处理目的所必要的最短时间（《个人信息保护法》第19条）。

综上，对于目的限制原则，立法对其进行了一定程度的价值补充，主要是通过个人信息处理的生命全周期涉及的处理行为进行具体化。目的限制原则的进一步处理，除了符合上述规则体系之外，仍然要求有合法性基础。我国法律规定了处理个人信息合法性基础采取二元结构的立法模式：告知同意与法定处理（《个人信息保护法》第13条）。基于私益处理个人信息，须告知个人并取得同意；出于公益处理个人信息，法定允许处理，无须同意。基于实践中处理个人信息的场景比较多元，一般的立法规则无法穷尽所有场景，难以应对实践的需要。

（三）公法介入：行政规范与行业规范的干预

除了立法对目的限制原则进行价值补充之外，立法还授权行政机关通过规范性文件进行具体化。有些行业规范也进行了一定程度的细化，值得借鉴。《个人信息保护法》生效后，有关个人信息保护的配套法规密集发布，从效力层级看，针对个人信息保护的监管规范逐渐细化，不同部门针对各自领域出台了大量的规范性文件和部门规章，国家标准也起到了重要的指导和引领作用［16］。对于在各场景的个人信息处理行为中，目的限制原则是如何通过行政规范、行业规范实现具体化，本文进行了不完全统计分析，见表1。

根据统计，行政规范、行业规范对目的限制原则有了一定程度的具体化，针对其判断和展开给出了重要层面的思维拓展和操作路径。首先，关于“目的具体”。《信息安全技术 移动互联网应用程序（App）收集个人信息基本要求》（GB/T 41391-2022）规定，收集个人信息应具有明确、合理、具体的个人信息处理目的。《信息安全技术 网络数据处理安全要求》（GB/T 41479-2022）也规定，不应仅以改善服务质量、提升用户体验、定向推送信息、研发新产品等为目的，强制要求、误导用户同意收集个人信息。可见，一个宽泛的目的，并不构成目的明确，需要具体的要求。

其次，对于“与处理目的直接相关”。《信息安全技术 网络数据处理安全要求》（GB/T 41479-2022）的表述“不应收集与其提供的服务无直接或无合理关联”，将直接相关和合理关联类似理解，从关联性入手。有些规范性文件规定了“必要个人信息处理”的概念，如基于身份证件号码或者统一社会信用代码、移动电话号码等方式的真实身份信息认证。对于必要个人信息的处理，当然属于直接相关。

再次，针对“采取对个人权益影响最小的方式”。很大一部分规范性文件规定了“最小必要收集”的规则。国家标准指出，个人权益影响通常与个人信息的敏感程度相关，个人信息越敏感，其处理活动对个人权益影响越大；当收集一般个人信息或敏感个人信息均能满足App服务目的时，收集一般个人信息属于对个人权益影响较小的方式［17］。

最后，关于改变目的。在系统权限方面，有些规范规定，应仅声明和申请实现App服务目的最小范围的系统权限，不应申请与App业务功能无关的系统权限，权限的使用目的、使用场景发生变化时，应重新告知用户并取得同意；在数据安全方面，国家标准规定，改变处理个人信息的目的，应及时告知信息主体，修改个人信息保护政策，并二次征得个人信息主体同意。

综上，行政规范、行业规范对目的限制原则进行了程度较大的具体化。特别是针对不同场景的信息处理规则，平衡了信息主体的期待与信息处理者的处理需求。囿于行政规范的性质，对于违反目的限制原则的行为效力、民事责任等，自然阙如，仍须结合民事法律体系以及民事个案进行价值补充。

四、场景构建：目的限制原则的实践呼唤

法院裁判是个案，不管在个案中法官进行法律解释还是法律续造，仅对个案适用。但是，通过裁判说理，法院的裁决往往能超越个案，产生间接的影响［18］。事实上，我国最高人民法院也是通过发布指导案例的形式，为各级法院的裁判提供一定的参考，这有助于维持司法裁判的一致性和连续性，促进法的安定。如果法律的文义模糊不清，那么研究迄今为止的案例，对于一般条款或者不确定概念自然是一种恰当的解决方法［10］。法官的判决必须正确评价法律规范的意义，也应当正确评价生活实践的意义，法官必须在法律规范所意涵的类型中掌握生活事实［19］。依据不确定概念或者一般条款而具体化的个别案例，可以作为将来需要处理的案例的比较基础［11］。对于目的限制原则的案例进行类型化分析，将来遇到具体案件时，可以依据该类型认定，无须直接诉诸抽象的目的限制原则，实现相同案件相同处理的平等原则。

对于类型化根据，有观点认为应该从信息分类出发，主张处理个人敏感信息必须恪守目的限制原则；处理个人一般信息，特殊情形下允许超越初始目的［20］。这种思路仅仅看到了个人信息的分类。但是，不管是敏感个人信息还是一般个人信息，之所以要规定目的限制原则，其理论基础在于信息自决权与风险控制。单纯从信息分类的视角出发论证目的限制原则的处理范围，忽略了个人信息处理行为对信息自决范围的影响，也未重视信息处理行为与风险控制之间的关系。再者，欧盟GDPR对数据保护的立法模式主要是针对数据处理行为进行规范，我国《个人信息保护法》借鉴这种行为规范模式，规定了个人信息全生命周期保护。这个过程中的处理行为，其风险控制和利益保护有所差异，自然其处理规则也有不同。在德国著名的人口普查案中，德国法院也指出信息处理行为的影响不能仅仅根据信息的类型来确定，起着决定性作用的是信息的处理方式。大数据技术的普及和深化，完全有可能将个人信息全面综合起来分析，形成完整的人格画像。在自动化的信息技术下，已经不再有不重要的信息［21］。

基于此，本文试图主要从信息处理行为视角对目的限制原则的案例进行类型化分析比较，也结合信息分类理论，以期找出司法对该原则的一些具体化意见。我们将信息处理分为三个阶段：信息收集阶段、信息使用阶段、信息流通阶段。本文在“威科先行”数据库通过民事案由“隐私权、个人信息保护纠纷”进行搜索，共检索到2021年1月1日以来公开的841个案件。基于这些案件，以及各法院专门公开的典型案例，对于每一类型的案例进行观察，并结合场景一致性理论进行分析［22］。处理个人信息行为的合法性，需结合具体场景进行判断［23］。

（一）信息收集阶段

收集个人信息，应当限于实现处理目的的最小范围，不得过度收集个人信息。

1.互联网平台收集信息的场景。第一，直接关联理论。有法院认为互联网平台收集个人信息的范围和类型，应当与实现产品或者服务的功能直接相关［24］。第二，比例原则。实现功能的目的与收集的范围须成合理比例［24］。第三，合理期待理论。在个人同意的范围内收集个人信息，保证用户对个人信息的知情权并符合其“合理期待”［24］。目的限制原则的理论基础在于信息自决权，构建合理期待理论，是信息自决权的要求。第四，履行合同所需。收集、处理客户账户、设备地址、联系电话、送货地址等信息，系履行合同所需［23］。第五，超越隐私政策收集个人信息属于违法。

2.安装监控收集信息场景。对于该场景收集个人信息的规则，法院基本上达成了一致。首先，安装摄像头只要能采集他人的私人生活等信息，对他人居住安宁造成了侵扰，安装者即使是出于保护自身人身安全和财产安全也要尽到注意义务，不能超出了合理限度［25，26］。其次，安装摄像头距离他人较远，其主要拍摄范围为自己门前区域，其目的是保护个人财产安全及相应的公共安全，则属合理［27，28］。

3.不作为的侵权场景。个人信息处理行为既包括作为，也包括不作为。法院对不作为的消极行为判断容易得多。如没有依法采取必要措施保护个人信息安全、对涉及个人信息安全的事故未及时采取补救措施等，导致个人信息被他人窃取、篡改或不当使用［29］。未在显著位置公布隐私政策，未主动提示用户阅读收集个人信息规则等行为不符合“公开收集使用规则”“明示收集使用个人信息的目的、方式和范围”等规定，属于违法处理用户个人信息的侵害行为［30］。

（二）信息使用阶段

信息使用阶段要求“与处理目的直接相关，采取对个人权益影响最小的方式”，变更处理目的须经个人重新同意。

1.自动化决策推荐场景。第一，透明度原则。电商平台被认定构成“自动化决策”，则应当保证决策的透明度和结果公平、公正，不得在交易价格等条件上实行不合理的差别待遇。第二，合法、正当、必要原则。电商平台等利用个人信息进行自动化决策也应遵守“合法、正当、必要”原则，避免隐私泄露、算法歧视等风险，推动算法决策技术的合法应用与合理发展［23］。第三，信息处理者利用自动化决策方式进行信息处理活动，应当向个人提供便捷的拒绝方式。未向个人提供拒绝的方式或拒绝的方式完全不能达到便捷性要求，使用户不能依据自己的真实意思表示进行拒绝，则个人信息处理者违反了法定义务，应认定为侵害用户个人信息权益［31］。第四，信息处理者在未获得儿童监护人单独授权同意的情况下，基于算法的自动化决策将含有儿童用户个人信息的短视频向其他用户进行推送，应认定为违法处理儿童个人信息［32］。信息处理者对儿童用户进行画像，未获监护人同意默认开启个性化推荐，运用算法进行内容推送，应认定为违法处理儿童个人信息［32］。

2.儿童个人信息处理场景。第一，互联网平台在缺乏单独儿童个人信息/隐私保护政策，未采取合理措施通知监护人并征得监护人有效明示同意的情况下，处理儿童用户地理定位、联系方式等个人信息的，应认定为违法处理个人信息。第二，儿童个人信息属敏感个人信息，信息处理者未对儿童个人信息建立专门保护池，采取加密存储措施，应认定为违规存储儿童个人信息。第三，信息处理者在征得监护人同意前，对儿童用户未强制开启陌生人关注限制功能、未强制隐藏儿童用户位置等，应认定为未履行对儿童用户的隐私安全保护义务［32］。

（三）信息流通阶段

在本文的语境下，信息使用阶段主要是信息处理者本身处理个人信息，信息流通阶段涉及第三人处理个人信息，如提供、传输、公开等行为。

1.向第三人提供或公开个人信息场景。将个人信息传输给第三方，未征得同意，亦未曾明示处理信息的目的、方式和范围，自身存在过错，系对个人信息的违法使用、传输、提供、公开等，侵犯了个人信息权益［33］。第一，提交诉讼文书不等于同意公开个人信息［34］。第二，在诉讼中调取其已合法收集的个人信息进行公证并向法院提供，符合合法、正當、必要原则［35］。如果诉讼主体在诉讼活动中完全遵循《个人信息保护法》中的个人信息保护规则，会导致诉讼成本大幅增加，甚至可能致使一些诉讼活动难以开展［36］。第三，放贷银行在贷款人知情同意的情况下向中国人民银行个人信用信息基础数据库报送贷款人不良征信信息，属于个人信息的合理使用［37］。银行在审核贷款的过程中，通过在线双录视频的方式核实原告的身份信息、贷款意愿真实性等内容，符合合法、正当、必要原则［37］。第四，淘宝向平台商家提供个人信息，除了要考虑处理信息的合法性基础外，还须考虑是否依法采取必要措施保护个人信息安全；是否未尽到必要、合理的个人信息安全保障义务等不作为情形［29］。

2.开通第三方服务场景。第一，第三方信用服务。开通信用服务已尽到提醒注意义务，并取得用户同意，符合正当原则。该信用服务以最小的代价即对用户进行事先信誉评估，弥补了先享后付功能的短板，为信息处理者履行合同所必需，符合必要原则。案涉信用服务充分保障个人自主决定权，符合合法原则［38］。第二，第三方支付服务。付费通公司收集个人信息时，电商平台未以任何形式告知个人，更未以任何形式获得过个人的同意，亦不存在通过订立、履行合同必需规则或履行法定义务规则等获得处理个人信息的合法性基础［39］。第三，个人征信信息商业使用合法性基础。个人隐私保护不能相悖于政府、法院等国家机关对于个人征信信息的依法公开，个人信息主体对国家机关依法向社会公众公开的内容不享有隐私权。互联网平台经个人信息主体授权可以对个人征信信息进行合法性使用［40］。

综上，通过信息收集、使用、流通三阶段案例类型关于目的限制原则在个案中的运用和具体化，有以下规则和理论进路值得关注：第一，个人信息处理合法基础与目的限制原则。法院对是否符合目的限制原则一般是通过寻找个人信息处理的合法性基础来认定，“告知同意”与“法定处理”二元模式在裁判实践中得到淋漓尽致的体现，只要信息处理行为符合这两种规则，一般认定遵循目的限制原则。第二，“合法、正当、必要”原则与目的限制原则的关系。法院在判断目的限制原则时，经常通过“合法、正当、必要”原则进行论证，对于信息最小化原则、透明度原则、比例原则也有所涉及，但展开不多。第三，不作为侵权理论进路构建与目的限制原则。法院对信息处理行为的不作为情形进行类型化，如未在显著位置公布隐私政策，未明示收集使用个人信息的目的、方式和范围等，从反面论证违反目的限制原则。第四，目的限制原则与信息自决权。目的限制原则与信息自决权关系密切，但是法院对此有所忽略。也有法院发展出了信息主体的合理期待理论［24］。第五，法院从目的限制原则本身去寻找和论证信息处理的合法性基础的情形不多，甚至可以认为寥寥无几。当然，目的限制原则作为一般条款，须与其他条款结合并进行具体化方能准确适用。

通过对司法案件的实证研究，场景一致性理论呼之欲出。场景一致性理论与类型化理论有异曲同工之妙。法院主要通过场景化来具体分析信息处理的合法性基础，这种方法有特殊情况特殊处理的优点。Helen Nissenbaum认为，隐私权并非一种保持私密的权利，也不是信息控制权，而是一种确保个人信息以合理方式流动的权利［22］。基于该认知，其构建了场景一致性框架。场景一致性的基本构成要素为社会规范和场景相关的信息规范。场景相关的信息规范包括四大要素：场景、行为主体、属性（信息类型）、传输原则。违反这些规范时，场景一致性受到侵犯，也就是对隐私的侵犯［22］。通过对信息处理各类场景的分析，构建信息处理行为的具体规则，并结合实践中发展出来的有关信息主体的合理预期理论、最小必要收集要求、不作为侵权理论等，从而构建目的限制原则价值补充的理论体系和实践路径。

五、结 语

目的限制原则作为《个人信息保护法》的基础性原则，贯穿数据保护的始终。由于其具有抽象性、模糊性和不确定性，属于一般条款，存在着适用的困难。因此，目的限制原则的理论基础是信息自决权，其对促进创新和防范风险有着重要平衡作用。本文通过一般条款价值补充的方法，对目的限制原则进行价值体系构建和实践路径展开。首先，立法者分别在个人信息处理的合法性基础（告知同意法定处理）、敏感个人信息处理、目的变更等规则，结合目的明确合理、使用直接相关、对个人权益影响最小等方面进行补充。其次，行政规范、行业规范也通过制定相关标准的方式，针对不同的场景，对目的限制原则进行具体化，增强可操作性。最后，民事司法裁判也在个案中通过说理的角度对目的限制原则进行价值补充，采取不作为侵权理论进路、通过不同场景的判断，结合合法、正当、必要原则进行具体化，构建了目的限制原则的适用大图景。

注释：

①  欧盟《一般数据保护条例》（General Data Protection Regulation，GDPR）第2章第5条。

参考文献：

［1］ 李惠宗.个人资料保护法上的帝王条款——目的拘束原则［J］.法令月刊，2013（1）：38-61.

［2］ Article 29 Data Protection Working Party.Opinion 03/2013 on purpose limitation［R］.Brussels， Belgium，2013：13-27.

［3］ Maximilian von Grafenstein.The principle of purpose limitation in data protection laws： The risk-based approach， principles， and private standards as elements for regulating innovation［M］.Germany：Nomos Verlagsgesellschaft mbH， 2018：649-670.

［4］ Warren S D，Brandeis L D.The right to privacy［J］.Harvard Law Review，1890，4（5）：193-220.

［5］ 王泽鉴.人格权法：法释义学、比较法、案例研究［M］.北京：北京大学出版社，2013.

［6］ 維克托·迈尔舍恩伯格，肯尼思·库克耶.大数据时代：生活、工作与思维的大变革［M］.盛杨燕，周涛，译.杭州：浙江人民出版社，2013.

［7］ Hannes Westermann.Change of purpose： The effects of the purpose limitation principle in the general data protection regulation on big data profiling［D］.Sweden：Faculty of Law Lund University， 2018.

［8］ Viktor Mayer-Schnberger，Yann Padova. Regime change？ Enabling big data through Europe’s new data protection regulation［J］.The Columbia Science and Technology Law Review，2016，17：315-335.

［9］ Michèle Finck，Asia Biega.Reviving purpose limitation and data minimisation in data-driven systems［J］.Technology and Regulation，2021（8）：44-61.

［10］托馬斯·M.J.默勒斯.法学方法论［M］.杜志浩，译.4版．北京：北京大学出版社，2022.

［11］王泽鉴.法律思维与民法实例：请求权基础理论体系［M］.北京：中国政法大学出版社，2001.

［12］梁泽宇.个人信息保护中目的限制原则的解释与适用［J］.比较法研究，2018（5）：16-30.

［13］程啸.个人信息保护法：理解与适用［M］.北京：中国法制出版社，2021.

［14］马里厄斯·克里奇斯托弗克.欧盟个人数据保护制度［M］.张韬略，译.北京：商务印书馆，2023.

［15］刘权.目的正当性与比例原则的重构［J］.中国法学，2014（4）：133-150.

［16］张平.《个人信息保护法》一周年观察［M］.北京：法律出版社，2022.

［17］信息安全技术 移动互联网应用程序（App）收集个人信息基本要求：GB/T 41391-2022［S］.2022.

［18］卡尔·拉伦茨.法学方法论［M］.黄家镇，译.北京：商务印书馆，2020.

［19］亚图·考夫曼.类推与“事物本质”——兼论类型理论［M］.颜厥安，校．吴从周，译.台北：学林文化事业有限公司，1999.

［20］朱荣荣.个人信息保护“目的限制原则”的反思与重构——以 《个人信息保护法》第６条为中心［J］.财经法学，2022，43（1）：18-31.

［21］孔祥稳.个人信息自决权的理论批评与实践反思——兼论《个人信息保护法》第44条决定权之适用［J］.法治现代化研究，2022（4）：78-97.

［22］海伦·尼森鲍姆.场景中的隐私——技术、政治和社会生活中的和谐［M］.王苑，等译.北京：法律出版社，2022.

［23］上海市第二中级人民法院.民事判决书［R］．（2020）沪02民终5227号.

［24］广东省深圳市中级人民法院.民事判决书［R］.（2021）粤03民终9583号.

［25］辽宁省抚顺市新抚区人民法院.民事判决书［R］.（2023）辽0402民初355号.

［26］天津市北辰区人民法院.民事判决书［R］.（2023）津0113民初116号.

［27］山东省沂水县人民法院.民事判决书［R］.（2022）鲁1323民初5392号.

［28］北京市第三中级人民法院.民事判决书［R］.（2022）京03民终14685号.

［29］杭州互联网法院.民事判决书［R］.（2022）浙0192民初4259号.

［30］杭州互联网法院.民事判决书［R］.（2020）浙0192民初4252号.

［31］杭州互联网法院.民事判决书［R］.（2021）浙0192民初5626号.

［32］杭州互联网法院.民事判决书［R］.（2020）浙0192民初10993号.

［33］辽宁省庄河市人民法院.民事判决书［R］.（2022）辽0283民初6961号.

［34］辽宁省葫芦岛市连山区人民法院.民事判决书［R］.（2023）辽1402民初415号.

［35］北京互联网法院.民事判决书［R］.（2022）京0491民初19686号.

［36］谢登科.论在线诉讼中的个人信息保护［J］.中国政法大学学报，2022（1）：127-137.

［37］杭州互联网法院.民事判决书［R］.（2021）浙0192民初5426号.

［38］杭州互联网法院.民事判决书［R］.（2021）浙0192民初8058号.

［39］浙江省杭州市中级人民法院.民事判决书［R］.（2021）浙01民终12780号.

［40］杭州互联网法院.民事判决书［R］.（2018）浙0192民初302号.

（责任编辑：王铁军）

Value Supplements and Practical Challenges of the Principle

of Data Processing Purpose Limitation

YANG Shuren

（School of Law， Sun Yat-sen University， Guangzhou，Guangdong 510275，China）

Abstract：The principle of purpose limitation is a fundamental principle of data protection law， whose logical starting point is the right to self-determination of personal information， and has an important balancing function in the value system of protecting innovation and preventing risk. In China’s personal information protection law system， the principle of purpose limitation contains three aspects of clear and reasonable purpose， directly relevant processing， and minimal impact on the rights and interests of individuals. The purpose limitation principle， as a general clause， is abstract and vague， and there are difficulties in its application. In this paper， we adopt the concretization method of general clauses， combined with the analysis of typology theory， and explore the specific rules for the application of the purpose limitation principle from the direction of legislative， administrative， and judicial value supplementation and concretization of the purpose limitation principle.

Key words：purpose limitation principle; right to self-determination of information; concretization of general provisions; classification

收稿日期： 2023-03-23

基金项目：北京市社会科学基金一般项目（22FXB009）

作者简介： 杨树忍（1982—），男，广东湛江人，中山大学法学院博士研究生，研究方向：立法学、数字法学、民商法学。