目的限制原则(the principle of purpose limitation),也称目的拘束原则,是个人信息保护法中最基本的一项原则,贯穿于个人信息处理活动的全过程,无论处理者是谁,也不管属于何种类型的处理活动,都必须受到该原则的拘束。目的限制原则是个人信息保护的基石,在个人信息保护法中具有重要的地位,该原则也被称为个人信息保护法的“帝王条款”。2021年8月20日,十三届全国人大常委会第三十次会议审议通过了《中华人民共和国个人信息保护法》(以下简称个人信息保护法),该法首次对目的限制原则作出了规定。个人信息保护法第六条规定:“处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。”
一、目的限制原则的重要意义
目的限制原则具有以下两方面重要的意义:一方面,它有利于更好地保护个人信息权益。合法的个人信息处理活动就是两类:一是基于个人同意处理个人信息,二是依据法律、行政法规的规定处理个人信息。在基于个人同意而处理个人信息时,处理者必须告知个人信息被处理的自然人并取得同意。告知的事项就包括处理目的,因为如果不告知明确的处理目的,个人不可能作出自愿的同意,处理者所取得的个人同意也是无效的。即便是取得了个人的同意后所进行的个人信息处理活动,也不能超越处理目的和处理方式。否则,处理活动也是非法的,构成对个人信息权益的侵害。在依据法律、行政法规的规定处理个人信息时,虽然处理者不需要取得个人的同意就可以处理个人信息,甚至有些情况下连告知义务都可以免除,但是,法律、行政法规之所以赋予个人信息处理者这一“特权”,是为了维护更高位阶的利益,如社会公共利益或国家利益等。因此,个人信息处理活动同样要受到该目的的限制,否则处理活动也是非法的。由此可见,目的限制原则对于保护个人信息权益至关重要。
另一方面,目的限制原则有效协调了个人权益保护和科技创新、经济发展之间的关系。该原则要求个人信息处理者开始处理活动之前,就必须具有明确、合理的处理目的。故此,处理者可以据此了解并评估其将要实施的处理活动对个人权益的影响,并且由于处理者必须将在该目的范围内进行处理活动,所以这种对个人权益的影响也将被限制在初始目的的范围内。因为,处理目的同一性要求后续的处理活动不能创造出与原来的风险不同性质的风险或者增加风险。这样一来,目的限制原则不仅保护了个人权益,也为处理者提供了足够的空间,使得其能够根据具体情况的特殊性,通过重新取得个人同意而变更处理目的抑或维持原有的处理目的等方式找到最佳的解决方案。换言之,目的限制原则通过提供客观的法律尺度,使得处理者能及时评估各种风险,有利于科技创新与发展数字经济。
二、目的限制原则的具体要求
依据个人信息保护法第六条的规定,目的限制原则有以下具体要求:
1.处理个人信息应当具有明确、合理的目的。之所以要求处理目的必须是明确、合理的,理由在于:只有处理目的是明确的、合理的,才能确定处理活动是否符合法律、行政法规的规定,处理者也才能据此采取相应的个人信息保护措施。此外,明确、合理的目的也有利于贯彻落实个人信息处理中的公开透明原则与责任原则,尊重个人对其个人信息的处理所享有的知情权、决定权,使个人信息处理者为其处理行为负责。
所谓明确的目的意味着:(1)个人信息处理者应当使用清晰的、明确的言词表达出其处理的目的,即目的必须是清晰地、明确地被表达出来的,不能是秘密、隐匿或者含糊不清的;(2)处理者的处理目的是有限定范围的,不能是毫无限制、漫无目标的。即便使用了清晰的言语,但是,如果表示的是非常广泛的处理目的,则此种处理目的也是不明确的。例如,网络企业在告知个人时宣称“本公司有权将所收集的个人信息用于任何本公司业务发展所需之合法用途”,显然此类表述中的处理目的就是不明确的。个人信息的处理活动对个人权益产生的危险越大,处理目的的明确性与合理性的要求就应当越高。例如,对于敏感信息的处理,个人信息保护法第二十八条第二款就明确要求必须具有特定的目的和充分的必要性。
所谓合理的目的,当然首先必须是合法的目的。但是,合法目的并非都是合理的目的。合法性只是对处理目的的基本要求,处理的目的合理与否,应当在考虑个案的具体因素的基础上,权衡处理者与信息主体等各方的权益和自由,最好地实现个人信息权益的保护与个人信息的合理利用之间的利益协调与平衡。当然,目的的合理性也会随着时间的推移而变化,这取决于科学技术的发展以及社会和文化态度的变化。
2.个人信息处理活动必须与处理目的直接相关。这是因为:首先,处理目的在整个处理活动中占据核心的位置,它决定了个人信息处理者的行为是否合法,如收集的个人信息是否为必要信息、收集的范围是否属于最小范围,储存个人信息的期限是否是最短时间等,这些都必须通过处理目的来判断。其次,将个人信息处理活动限定在与处理目的直接相关的范围之内,有利于保护个人信息权益。无论个人信息处理是否基于个人同意,原则上处理者在处理个人信息前应当告知处理的目的和处理方式,除非法律、行政法规规定应当保密或者不需要告知(个人信息保护法第十八条)。因此,个人通过了解个人信息处理目的可以预见个人信息处理活动可能给其造成的风险,同样,处理者也可以据此控制处理活动中的风险并预先作出安排。如果可以超出处理目的而进行各种处理活动,那么由此带来的风险无论是对处理者而言,还是对个人而言,都是不可预测的。
所谓“与处理目的直接相关”中的“处理目的”,是指个人信息处理者在处理个人信息前,以符合法律规定的方式告知个人的“处理目的”。例如,A公司在收集个人信息时,通过所谓的个人信息处理规则等方式告知的处理目的。“直接相关”意味着处理者所开展的一系列的个人信息处理行为都应当是在该处理目的之内的,具有密切的关联性。例如,张三在A公司的网上商城订购新鲜牛奶,A公司每周送一箱到张三家中,为此张三提供了银行账号和家庭住址、联系方式等个人信息。此后,A公司每周处理一次张三的这些信息,显然都是与处理目的——向张三销售并配送牛奶——直接相关的。但是,如果A公司为了推销本公司的其他产品(包括相关的奶制品或其他品牌的牛奶)而利用张三的个人信息进行广告推送,那么这一处理活动就与处理目的并不直接相关。在判断是否“直接相关”上,应当采取非常严格的标准,即处理者的行为与该明确、合理的处理目的具有内在的、密切的关联性,该行为只能实现这一处理目的,而不能或无法实现其他的处理目的。
3.采取对个人权益影响最小的方式。个人权益就是指因个人信息处理活动可能影响到的自然人的各种权益,既包括宪法上的基本权利如人格尊严和人身自由,也包括民法典规定的自然人的人身财产权益等,还包括消费者权益保护法、未成年人保护法、妇女权益保障法、残疾人保障法、老年人权益保障法等法律规定的特殊群体的自然人享有的权益。个人处理者处理个人信息的活动,不可避免会对个人的权益造成各种影响。就个人信息处理者而言,在有多种处理方式可供选择时,应当选择其中既能够实现个人信息处理目的,同时对个人权益的影响又是最小的方式,这也是比例原则中“最小损害原则”的要求。换言之,处理者应尽可能减少所处理的个人信息的处理以及对个人信息的使用次数,以避免对个人信息权益造成不利的影响。需要注意的是,所谓必要性的要求取决于处理行为对个人权益的影响大小,对于个人权益影响越大的行为,必要性的要求就越高。例如,我国个人信息保护法第二十八条第二款规定,对于敏感个人信息的处理,要求处理者必须具有“充分的必要性”。
4.收集个人信息应当限于实现处理目的所必要的最小范围,不得过度收集个人信息。这是因为,一方面,个人信息的非法处理往往是从过度收集个人信息开始的,过度的收集来的个人信息又面临被非法买卖或泄露的风险。故此,有必要在个人信息处理中明确禁止过度收集个人信息。另一方面,必要原则也是个人信息处理的基本原则,不必要的个人信息收集行为对于个人信息处理者来说也未必是好事,它会导致个人信息泄露、篡改、丢失的风险增加,从而使得处理者必须为了保护个人信息安全而付出更大的成本,如采取更强的安全技术措施、需要进行个人信息影响评估并记录等。所谓“实现处理目的的最小范围”,是指如果没有某些个人信息,则处理目的完全无法实现或者主要的、核心的目的无法实现。例如,App的运营者处理个人信息的目的是为了提供某种产品或某种服务,那么,只有缺少了就无法实现提供该产品或服务的功能的个人信息,才是必须收集的个人信息,这些信息的范围就是实现处理目的的最小范围。例如,《常见类型移动互联网应用程序必要个人信息范围规定》第三条规定:“本规定所称必要个人信息,是指保障App基本功能服务正常运行所必需的个人信息,缺少该信息App即无法实现基本功能服务。具体是指消费侧用户个人信息,不包括服务供给侧用户个人信息。”该规定第五条针对最常见类型的39种App的基本功能以及为实现该基本功能所需的必要的个人信息的范围逐一作出了列举。