目的限制原则

目的限制原则（the principle of purpose limitation）

　　目的限制原则，也称目的拘束原则，是个人信息保护法中最基本的一项原则，贯穿于个人信息处理活动的全过程，无论处理者是谁，也不管属于何种类型的处理活动，都必须受到该原则的拘束。目的限制原则是个人信息保护的基石，在个人信息保护法中具有重要的地位，该原则也被称为个人信息保护法的“帝王条款”。

　　根据《个人信息保护法》第6条可知目的限制原则包含两个方面，即目的明确与使用限制。前者指收集个人信息应当具有明确、合理的目的，不得过度收集个人信息；后者指个人信息的处理应当与初始目的直接相关，如果信息处理行为超出了初始目的则为法律所不许。可见，目的明确与使用限制是不可分割的有机整体，两者相辅相成、相互制约，目的明确原则是信息处理行为的逻辑起点，只有在收集阶段明确告知信息处理的具体目的并获取信息主体的有效同意方可处理他人信息。同时，为确保信息处理目的的效力性，后续的信息处理行为应当与处理目的直接相关，不得超越初始目的可能的范围恣意处理个人信息，否则目的明确原则将形同具文。

　　目的明确原则是维护个人基本尊严的重要工具，在收集和利用个人信息时，忽视或淡化“目的”意味着人格尊严将受到严重的侵蚀。信息主体与信息处理者之间信息不对称的客观事实要求信息处理者在收集信息之时应当善尽说明义务，避免信息主体因信息的不充分而做出错误的决策。目前，我国《民法典》第1035条、《网络安全法》第41条、《消费者权益保护法》第29条等诸多规范都要求信息处理者明示信息处理的目的，但对于“目的”的具体要求则未言明。《个人信息保护法》第6条规定，目的明确原则应当满足两个要件，即目的明确与目的合理。目的明确性要求收集个人信息应当具有明确的、特定的目的，过于宽泛与模糊的目的可能被认为是不合法的，目的明确性迫使信息处理者在收集信息之前审慎思考信息处理的目的，可以在一定程度上制约信息处理者恣意处理信息。信息处理者在形成明确的信息处理目的之后，还须将此目的以一种可被理解的方式清楚地表达出来，确保相关主体对信息处理目的的认知不存在歧义。关于目的明确性的形式要求，立法没有明文规定，从规范目的来看，目的明确性旨在保障信息主体充分知悉信息处理的目的，因此，信息处理者借助于何种形式表明其目的在所不问。目的合理性要求信息处理目的必须符合社会一般人的事理认知，不得违反基本的伦理道德与公序良俗。目的合理性包含两个要素，即制度层面的目的合法与价值层面的目的正当。目的合法是信息处理的最低要求，信息处理者处理他人个人信息应当具备合法性事由，包括约定事由与法定事由，约定事由指双方当事人可以自行约定信息处理的具体事项，法律不得无故加以干涉。法定事由则指法律所规定的无需获取信息主体同意即可处理信息的事由，包括订立或履行合同所必需、履行法定职责或法定义务等。目的正当性指收集个人信息必须具有充足的价值基础，合理兼顾信息主体与信息处理者的利益，目的正当性的判定依附于个案具体情境，随着社会的发展以及立法理念的变迁而动态调整。

　　目前，我国对于使用限制的判定标准采取的是“关联性”，要求信息处理行为不得与初始目的不具有关联性。然而，立法对于“关联性”的具体内涵没有予以明确，《个人信息保护法》认为信息处理行为应当与信息收集时的初始目的具有“直接关联性”，张新宝教授起草的《个人信息保护法(专家建议稿)》主张信息处理行为应当与初始目的具有“合理关联性”。《信息安全技术个人信息安全规范》(2020年)则认为，“关联性”包括“直接关联性”与“合理关联性”，其规定“使用个人信息时，不应超出与收集个人信息时所声称的目的具有直接或合理关联的范围”。对于何谓“合理关联”，《信息安全技术个人信息安全规范》(2020)并没有给出明确的答案，而是具体描述了属于“合理关联”的信息利用情形，其认为“将所收集的个人信息用于学术研究或得出对自然、科学、社会、经济等现象总体状态的描述，属于与收集目的具有合理关联的范围之内”。不同于我国，域外立法采取的是“兼容性”标准，第29条数据保护工作组指出，不同于初始目的的进一步处理并不意味着与初始目的自动地不兼容，某些情况下，信息处理虽然与初始目的不同，但二者可能是相符的。关于“关联性”与“兼容性”的关系，有学者认为，在大数据产业下，数据机构对数据的二次利用往往跟初始目的没有关联性，但这并不意味着一定不相兼容。换句话说，较之“关联性”，“兼容性”的涵摄范围更广，“关联性”要求后续的信息处理对于初始目的的严格遵循，可能在一定程度上阻碍大数据产业的发展以及创新型社会的构建。

　　目的限制原则具有以下两方面重要的意义：一方面，它有利于更好地保护个人信息权益。合法的个人信息处理活动就是两类：一是基于个人同意处理个人信息，二是依据法律、行政法规的规定处理个人信息。在基于个人同意而处理个人信息时，处理者必须告知个人信息被处理的自然人并取得同意。告知的事项就包括处理目的，因为如果不告知明确的处理目的，个人不可能作出自愿的同意，处理者所取得的个人同意也是无效的。即便是取得了个人的同意后所进行的个人信息处理活动，也不能超越处理目的和处理方式。否则，处理活动也是非法的，构成对个人信息权益的侵害。在依据法律、行政法规的规定处理个人信息时，虽然处理者不需要取得个人的同意就可以处理个人信息，甚至有些情况下连告知义务都可以免除，但是，法律、行政法规之所以赋予个人信息处理者这一“特权”，是为了维护更高位阶的利益，如社会公共利益或国家利益等。因此，个人信息处理活动同样要受到该目的的限制，否则处理活动也是非法的。由此可见，目的限制原则对于保护个人信息权益至关重要。

　　另一方面，目的限制原则有效协调了个人权益保护和科技创新、经济发展之间的关系。该原则要求个人信息处理者开始处理活动之前，就必须具有明确、合理的处理目的。故此，处理者可以据此了解并评估其将要实施的处理活动对个人权益的影响，并且由于处理者必须将在该目的范围内进行处理活动，所以这种对个人权益的影响也将被限制在初始目的的范围内。因为，处理目的同一性要求后续的处理活动不能创造出与原来的风险不同性质的风险或者增加风险。这样一来，目的限制原则不仅保护了个人权益，也为处理者提供了足够的空间，使得其能够根据具体情况的特殊性，通过重新取得个人同意而变更处理目的抑或维持原有的处理目的等方式找到最佳的解决方案。换言之，目的限制原则通过提供客观的法律尺度，使得处理者能及时评估各种风险，有利于科技创新与发展数字经济。

　　依据个人信息保护法第六条的规定，目的限制原则有以下具体要求：

　　1.处理个人信息应当具有明确、合理的目的。之所以要求处理目的必须是明确、合理的，理由在于：只有处理目的是明确的、合理的，才能确定处理活动是否符合法律、行政法规的规定，处理者也才能据此采取相应的个人信息保护措施。此外，明确、合理的目的也有利于贯彻落实个人信息处理中的公开透明原则与责任原则，尊重个人对其个人信息的处理所享有的知情权、决定权，使个人信息处理者为其处理行为负责。

　　所谓明确的目的意味着：（1）个人信息处理者应当使用清晰的、明确的言词表达出其处理的目的，即目的必须是清晰地、明确地被表达出来的，不能是秘密、隐匿或者含糊不清的；（2）处理者的处理目的是有限定范围的，不能是毫无限制、漫无目标的。即便使用了清晰的言语，但是，如果表示的是非常广泛的处理目的，则此种处理目的也是不明确的。例如，网络企业在告知个人时宣称“本公司有权将所收集的个人信息用于任何本公司业务发展所需之合法用途”，显然此类表述中的处理目的就是不明确的。个人信息的处理活动对个人权益产生的危险越大，处理目的的明确性与合理性的要求就应当越高。例如，对于敏感信息的处理，个人信息保护法第二十八条第二款就明确要求必须具有特定的目的和充分的必要性。

　　所谓合理的目的，当然首先必须是合法的目的。但是，合法目的并非都是合理的目的。合法性只是对处理目的的基本要求，处理的目的合理与否，应当在考虑个案的具体因素的基础上，权衡处理者与信息主体等各方的权益和自由，最好地实现个人信息权益的保护与个人信息的合理利用之间的利益协调与平衡。当然，目的的合理性也会随着时间的推移而变化，这取决于科学技术的发展以及社会和文化态度的变化。

　　2.个人信息处理活动必须与处理目的直接相关。这是因为：首先，处理目的在整个处理活动中占据核心的位置，它决定了个人信息处理者的行为是否合法，如收集的个人信息是否为必要信息、收集的范围是否属于最小范围，储存个人信息的期限是否是最短时间等，这些都必须通过处理目的来判断。其次，将个人信息处理活动限定在与处理目的直接相关的范围之内，有利于保护个人信息权益。无论个人信息处理是否基于个人同意，原则上处理者在处理个人信息前应当告知处理的目的和处理方式，除非法律、行政法规规定应当保密或者不需要告知（个人信息保护法第十八条）。因此，个人通过了解个人信息处理目的可以预见个人信息处理活动可能给其造成的风险，同样，处理者也可以据此控制处理活动中的风险并预先作出安排。如果可以超出处理目的而进行各种处理活动，那么由此带来的风险无论是对处理者而言，还是对个人而言，都是不可预测的。

　　所谓“与处理目的直接相关”中的“处理目的”，是指个人信息处理者在处理个人信息前，以符合法律规定的方式告知个人的“处理目的”。例如，A公司在收集个人信息时，通过所谓的个人信息处理规则等方式告知的处理目的。“直接相关”意味着处理者所开展的一系列的个人信息处理行为都应当是在该处理目的之内的，具有密切的关联性。例如，张三在A公司的网上商城订购新鲜牛奶，A公司每周送一箱到张三家中，为此张三提供了银行账号和家庭住址、联系方式等个人信息。此后，A公司每周处理一次张三的这些信息，显然都是与处理目的——向张三销售并配送牛奶——直接相关的。但是，如果A公司为了推销本公司的其他产品（包括相关的奶制品或其他品牌的牛奶）而利用张三的个人信息进行广告推送，那么这一处理活动就与处理目的并不直接相关。在判断是否“直接相关”上，应当采取非常严格的标准，即处理者的行为与该明确、合理的处理目的具有内在的、密切的关联性，该行为只能实现这一处理目的，而不能或无法实现其他的处理目的。

　　3.采取对个人权益影响最小的方式。个人权益就是指因个人信息处理活动可能影响到的自然人的各种权益，既包括宪法上的基本权利如人格尊严和人身自由，也包括民法典规定的自然人的人身财产权益等，还包括消费者权益保护法、未成年人保护法、妇女权益保障法、残疾人保障法、老年人权益保障法等法律规定的特殊群体的自然人享有的权益。个人处理者处理个人信息的活动，不可避免会对个人的权益造成各种影响。就个人信息处理者而言，在有多种处理方式可供选择时，应当选择其中既能够实现个人信息处理目的，同时对个人权益的影响又是最小的方式，这也是比例原则中“最小损害原则”的要求。换言之，处理者应尽可能减少所处理的个人信息的处理以及对个人信息的使用次数，以避免对个人信息权益造成不利的影响。需要注意的是，所谓必要性的要求取决于处理行为对个人权益的影响大小，对于个人权益影响越大的行为，必要性的要求就越高。例如，我国个人信息保护法第二十八条第二款规定，对于敏感个人信息的处理，要求处理者必须具有“充分的必要性”。

　　4.收集个人信息应当限于实现处理目的所必要的最小范围，不得过度收集个人信息。这是因为，一方面，个人信息的非法处理往往是从过度收集个人信息开始的，过度的收集来的个人信息又面临被非法买卖或泄露的风险。故此，有必要在个人信息处理中明确禁止过度收集个人信息。另一方面，必要原则也是个人信息处理的基本原则，不必要的个人信息收集行为对于个人信息处理者来说也未必是好事，它会导致个人信息泄露、篡改、丢失的风险增加，从而使得处理者必须为了保护个人信息安全而付出更大的成本，如采取更强的安全技术措施、需要进行个人信息影响评估并记录等。所谓“实现处理目的的最小范围”，是指如果没有某些个人信息，则处理目的完全无法实现或者主要的、核心的目的无法实现。例如，App的运营者处理个人信息的目的是为了提供某种产品或某种服务，那么，只有缺少了就无法实现提供该产品或服务的功能的个人信息，才是必须收集的个人信息，这些信息的范围就是实现处理目的的最小范围。例如，《常见类型移动互联网应用程序必要个人信息范围规定》第三条规定：“本规定所称必要个人信息，是指保障App基本功能服务正常运行所必需的个人信息，缺少该信息App即无法实现基本功能服务。具体是指消费侧用户个人信息，不包括服务供给侧用户个人信息。”该规定第五条针对最常见类型的39种App的基本功能以及为实现该基本功能所需的必要的个人信息的范围逐一作出了列举。