目的限制原則

出自 MBA智库百科(https://wiki.mbalib.com/)

目的限制原則（the principle of purpose limitation）

　　目的限制原則，也稱目的拘束原則，是個人信息保護法中最基本的一項原則，貫穿於個人信息處理活動的全過程，無論處理者是誰，也不管屬於何種類型的處理活動，都必須受到該原則的拘束。目的限制原則是個人信息保護的基石，在個人信息保護法中具有重要的地位，該原則也被稱為個人信息保護法的“帝王條款”。

　　根據《個人信息保護法》第6條可知目的限制原則包含兩個方面，即目的明確與使用限制。前者指收集個人信息應當具有明確、合理的目的，不得過度收集個人信息；後者指個人信息的處理應當與初始目的直接相關，如果信息處理行為超出了初始目的則為法律所不許。可見，目的明確與使用限制是不可分割的有機整體，兩者相輔相成、相互制約，目的明確原則是信息處理行為的邏輯起點，只有在收集階段明確告知信息處理的具體目的並獲取信息主體的有效同意方可處理他人信息。同時，為確保信息處理目的的效力性，後續的信息處理行為應當與處理目的直接相關，不得超越初始目的可能的範圍恣意處理個人信息，否則目的明確原則將形同具文。

　　目的明確原則是維護個人基本尊嚴的重要工具，在收集和利用個人信息時，忽視或淡化“目的”意味著人格尊嚴將受到嚴重的侵蝕。信息主體與信息處理者之間信息不對稱的客觀事實要求信息處理者在收集信息之時應當善盡說明義務，避免信息主體因信息的不充分而做出錯誤的決策。目前，我國《民法典》第1035條、《網路安全法》第41條、《消費者權益保護法》第29條等諸多規範都要求信息處理者明示信息處理的目的，但對於“目的”的具體要求則未言明。《個人信息保護法》第6條規定，目的明確原則應當滿足兩個要件，即目的明確與目的合理。目的明確性要求收集個人信息應當具有明確的、特定的目的，過於寬泛與模糊的目的可能被認為是不合法的，目的明確性迫使信息處理者在收集信息之前審慎思考信息處理的目的，可以在一定程度上制約信息處理者恣意處理信息。信息處理者在形成明確的信息處理目的之後，還須將此目的以一種可被理解的方式清楚地表達出來，確保相關主體對信息處理目的的認知不存在歧義。關於目的明確性的形式要求，立法沒有明文規定，從規範目的來看，目的明確性旨在保障信息主體充分知悉信息處理的目的，因此，信息處理者藉助於何種形式表明其目的在所不問。目的合理性要求信息處理目的必須符合社會一般人的事理認知，不得違反基本的倫理道德與公序良俗。目的合理性包含兩個要素，即制度層面的目的合法與價值層面的目的正當。目的合法是信息處理的最低要求，信息處理者處理他人個人信息應當具備合法性事由，包括約定事由與法定事由，約定事由指雙方當事人可以自行約定信息處理的具體事項，法律不得無故加以干涉。法定事由則指法律所規定的無需獲取信息主體同意即可處理信息的事由，包括訂立或履行合同所必需、履行法定職責或法定義務等。目的正當性指收集個人信息必須具有充足的價值基礎，合理兼顧信息主體與信息處理者的利益，目的正當性的判定依附於個案具體情境，隨著社會的發展以及立法理念的變遷而動態調整。

　　目前，我國對於使用限制的判定標準採取的是“關聯性”，要求信息處理行為不得與初始目的不具有關聯性。然而，立法對於“關聯性”的具體內涵沒有予以明確，《個人信息保護法》認為信息處理行為應當與信息收集時的初始目的具有“直接關聯性”，張新寶教授起草的《個人信息保護法(專家建議稿)》主張信息處理行為應當與初始目的具有“合理關聯性”。《信息安全技術個人信息安全規範》(2020年)則認為，“關聯性”包括“直接關聯性”與“合理關聯性”，其規定“使用個人信息時，不應超出與收集個人信息時所聲稱的目的具有直接或合理關聯的範圍”。對於何謂“合理關聯”，《信息安全技術個人信息安全規範》(2020)並沒有給出明確的答案，而是具體描述了屬於“合理關聯”的信息利用情形，其認為“將所收集的個人信息用於學術研究或得出對自然、科學、社會、經濟等現象總體狀態的描述，屬於與收集目的具有合理關聯的範圍之內”。不同於我國，域外立法採取的是“兼容性”標準，第29條數據保護工作組指出，不同於初始目的的進一步處理並不意味著與初始目的自動地不兼容，某些情況下，信息處理雖然與初始目的不同，但二者可能是相符的。關於“關聯性”與“兼容性”的關係，有學者認為，在大數據產業下，數據機構對數據的二次利用往往跟初始目的沒有關聯性，但這並不意味著一定不相兼容。換句話說，較之“關聯性”，“兼容性”的涵攝範圍更廣，“關聯性”要求後續的信息處理對於初始目的的嚴格遵循，可能在一定程度上阻礙大數據產業的發展以及創新型社會的構建。

　　目的限制原則具有以下兩方面重要的意義：一方面，它有利於更好地保護個人信息權益。合法的個人信息處理活動就是兩類：一是基於個人同意處理個人信息，二是依據法律、行政法規的規定處理個人信息。在基於個人同意而處理個人信息時，處理者必須告知個人信息被處理的自然人並取得同意。告知的事項就包括處理目的，因為如果不告知明確的處理目的，個人不可能作出自願的同意，處理者所取得的個人同意也是無效的。即便是取得了個人的同意後所進行的個人信息處理活動，也不能超越處理目的和處理方式。否則，處理活動也是非法的，構成對個人信息權益的侵害。在依據法律、行政法規的規定處理個人信息時，雖然處理者不需要取得個人的同意就可以處理個人信息，甚至有些情況下連告知義務都可以免除，但是，法律、行政法規之所以賦予個人信息處理者這一“特權”，是為了維護更高位階的利益，如社會公共利益或國家利益等。因此，個人信息處理活動同樣要受到該目的的限制，否則處理活動也是非法的。由此可見，目的限制原則對於保護個人信息權益至關重要。

　　另一方面，目的限制原則有效協調了個人權益保護和科技創新、經濟發展之間的關係。該原則要求個人信息處理者開始處理活動之前，就必須具有明確、合理的處理目的。故此，處理者可以據此瞭解並評估其將要實施的處理活動對個人權益的影響，並且由於處理者必須將在該目的範圍內進行處理活動，所以這種對個人權益的影響也將被限制在初始目的的範圍內。因為，處理目的同一性要求後續的處理活動不能創造出與原來的風險不同性質的風險或者增加風險。這樣一來，目的限制原則不僅保護了個人權益，也為處理者提供了足夠的空間，使得其能夠根據具體情況的特殊性，通過重新取得個人同意而變更處理目的抑或維持原有的處理目的等方式找到最佳的解決方案。換言之，目的限制原則通過提供客觀的法律尺度，使得處理者能及時評估各種風險，有利於科技創新與發展數字經濟。

　　依據個人信息保護法第六條的規定，目的限制原則有以下具體要求：

　　1.處理個人信息應當具有明確、合理的目的。之所以要求處理目的必須是明確、合理的，理由在於：只有處理目的是明確的、合理的，才能確定處理活動是否符合法律、行政法規的規定，處理者也才能據此採取相應的個人信息保護措施。此外，明確、合理的目的也有利於貫徹落實個人信息處理中的公開透明原則與責任原則，尊重個人對其個人信息的處理所享有的知情權、決定權，使個人信息處理者為其處理行為負責。

　　所謂明確的目的意味著：（1）個人信息處理者應當使用清晰的、明確的言詞表達出其處理的目的，即目的必須是清晰地、明確地被表達出來的，不能是秘密、隱匿或者含糊不清的；（2）處理者的處理目的是有限定範圍的，不能是毫無限制、漫無目標的。即便使用了清晰的言語，但是，如果表示的是非常廣泛的處理目的，則此種處理目的也是不明確的。例如，網路企業在告知個人時宣稱“本公司有權將所收集的個人信息用於任何本公司業務發展所需之合法用途”，顯然此類表述中的處理目的就是不明確的。個人信息的處理活動對個人權益產生的危險越大，處理目的的明確性與合理性的要求就應當越高。例如，對於敏感信息的處理，個人信息保護法第二十八條第二款就明確要求必須具有特定的目的和充分的必要性。

　　所謂合理的目的，當然首先必須是合法的目的。但是，合法目的並非都是合理的目的。合法性只是對處理目的的基本要求，處理的目的合理與否，應當在考慮個案的具體因素的基礎上，權衡處理者與信息主體等各方的權益和自由，最好地實現個人信息權益的保護與個人信息的合理利用之間的利益協調與平衡。當然，目的的合理性也會隨著時間的推移而變化，這取決於科學技術的發展以及社會和文化態度的變化。

　　2.個人信息處理活動必須與處理目的直接相關。這是因為：首先，處理目的在整個處理活動中占據核心的位置，它決定了個人信息處理者的行為是否合法，如收集的個人信息是否為必要信息、收集的範圍是否屬於最小範圍，儲存個人信息的期限是否是最短時間等，這些都必須通過處理目的來判斷。其次，將個人信息處理活動限定在與處理目的直接相關的範圍之內，有利於保護個人信息權益。無論個人信息處理是否基於個人同意，原則上處理者在處理個人信息前應當告知處理的目的和處理方式，除非法律、行政法規規定應當保密或者不需要告知（個人信息保護法第十八條）。因此，個人通過瞭解個人信息處理目的可以預見個人信息處理活動可能給其造成的風險，同樣，處理者也可以據此控制處理活動中的風險並預先作出安排。如果可以超出處理目的而進行各種處理活動，那麼由此帶來的風險無論是對處理者而言，還是對個人而言，都是不可預測的。

　　所謂“與處理目的直接相關”中的“處理目的”，是指個人信息處理者在處理個人信息前，以符合法律規定的方式告知個人的“處理目的”。例如，A公司在收集個人信息時，通過所謂的個人信息處理規則等方式告知的處理目的。“直接相關”意味著處理者所開展的一系列的個人信息處理行為都應當是在該處理目的之內的，具有密切的關聯性。例如，張三在A公司的網上商城訂購新鮮牛奶，A公司每周送一箱到張三家中，為此張三提供了銀行賬號和家庭住址、聯繫方式等個人信息。此後，A公司每周處理一次張三的這些信息，顯然都是與處理目的——向張三銷售並配送牛奶——直接相關的。但是，如果A公司為了推銷本公司的其他產品（包括相關的奶製品或其他品牌的牛奶）而利用張三的個人信息進行廣告推送，那麼這一處理活動就與處理目的並不直接相關。在判斷是否“直接相關”上，應當採取非常嚴格的標準，即處理者的行為與該明確、合理的處理目的具有內在的、密切的關聯性，該行為只能實現這一處理目的，而不能或無法實現其他的處理目的。

　　3.採取對個人權益影響最小的方式。個人權益就是指因個人信息處理活動可能影響到的自然人的各種權益，既包括憲法上的基本權利如人格尊嚴和人身自由，也包括民法典規定的自然人的人身財產權益等，還包括消費者權益保護法、未成年人保護法、婦女權益保障法、殘疾人保障法、老年人權益保障法等法律規定的特殊群體的自然人享有的權益。個人處理者處理個人信息的活動，不可避免會對個人的權益造成各種影響。就個人信息處理者而言，在有多種處理方式可供選擇時，應當選擇其中既能夠實現個人信息處理目的，同時對個人權益的影響又是最小的方式，這也是比例原則中“最小損害原則”的要求。換言之，處理者應儘可能減少所處理的個人信息的處理以及對個人信息的使用次數，以避免對個人信息權益造成不利的影響。需要註意的是，所謂必要性的要求取決於處理行為對個人權益的影響大小，對於個人權益影響越大的行為，必要性的要求就越高。例如，我國個人信息保護法第二十八條第二款規定，對於敏感個人信息的處理，要求處理者必須具有“充分的必要性”。

　　4.收集個人信息應當限於實現處理目的所必要的最小範圍，不得過度收集個人信息。這是因為，一方面，個人信息的非法處理往往是從過度收集個人信息開始的，過度的收集來的個人信息又面臨被非法買賣或泄露的風險。故此，有必要在個人信息處理中明確禁止過度收集個人信息。另一方面，必要原則也是個人信息處理的基本原則，不必要的個人信息收集行為對於個人信息處理者來說也未必是好事，它會導致個人信息泄露、篡改、丟失的風險增加，從而使得處理者必須為了保護個人信息安全而付出更大的成本，如採取更強的安全技術措施、需要進行個人信息影響評估並記錄等。所謂“實現處理目的的最小範圍”，是指如果沒有某些個人信息，則處理目的完全無法實現或者主要的、核心的目的無法實現。例如，App的運營者處理個人信息的目的是為了提供某種產品或某種服務，那麼，只有缺少了就無法實現提供該產品或服務的功能的個人信息，才是必須收集的個人信息，這些信息的範圍就是實現處理目的的最小範圍。例如，《常見類型移動互聯網應用程式必要個人信息範圍規定》第三條規定：“本規定所稱必要個人信息，是指保障App基本功能服務正常運行所必需的個人信息，缺少該信息App即無法實現基本功能服務。具體是指消費側用戶個人信息，不包括服務供給側用戶個人信息。”該規定第五條針對最常見類型的39種App的基本功能以及為實現該基本功能所需的必要的個人信息的範圍逐一作出了列舉。