論個人信息處理的必要原則

郭逸斐，張 莉

(福建師范大學法學院,福建福州 350117)

個人信息作為一種人格權益被規定進人格權編，是保護公民人格權的一項重要舉措，體現公民作為個人信息的主體，其人身自由、人格尊嚴受到法律保護的理念。我國已經邁入數字經濟時代，數據成為一種重要的生產要素，市場主體通過各類APP為目標用戶提供服務。一方面，市場主體可以刻畫用戶形象，根據用戶喜好和需求優化用戶體驗；另一方面，此種商業模式也對公民個人信息安全構成威脅，在實踐中突出表現為對公民非必要的個人信息的大量索取。個人信息是數字信息時代溝通交流的基本要素，而個人信息的保護行為和處理行為之間存在張力，對此類現象若要進行規制，重點在于防止過度處理信息與權利濫用[1]。個人信息保護的相關規定究其根源是為了解決個人信息高效利用與信息安全保障之間的矛盾[1]。因此，有必要加強個人信息保護所需的預防措施，例如加密和去識別化措施[2]；也應明確個人信息收集與運用的程序和方法以免被濫用于必要目的以外的其他目的。后者，就是個人信息處理的必要原則，是更高水準保護個人信息保護的基本要求。為此，有學者認為，個人信息的處理需要滿足特定目的，在可用可不用的時候盡量不使用；在必須使用的時候也僅能滿足必要的使用目的，不能無端擴大信息處理的范圍[3]。

雖然《民法典》涉及個人信息處理的必要原則，但規定過于抽象。因此，有必要針對該原則適用的多樣性場景，明確個人信息處理中必要原則的基本內容。本文嘗試從理論維度出發，結合我國相關立法，探討個人信息處理必要原則的內涵與價值、法理依據，并明確必要原則的適用標準，以期為我國未來相關的司法實踐提供可操作性的建議，助力我國個人信息保護相關立法的完善，在保障個人信息主體合法權益的同時，為個人信息處理者提供合規指引。

一、個人信息處理必要原則的制度內涵

個人信息處理必要原則，又稱作信息最小化原則或“最少必要”原則(minimum and necessary)，是指在進行個人信息處理活動時，必須要以能夠實現或者滿足處理目的所需之必要的個人信息為限度，個人信息處理者所收集或處理的個人信息應當僅限于滿足其使用目的的最小范圍[4]。具體而言，在處理個人信息時，只要能夠滿足信息處理的目的，能夠少收集的信息就盡量少收集；收集非敏感的個人信息能夠達到信息處理的目的，就不應當收集敏感信息，不應當擴大信息處理的范圍[5]。實踐中還應當做到，滿足處理目的實現所必需的個人信息的數量和種類應被嚴格限制，收集個人信息的頻率也應盡量低。作為個人信息處理者的法定義務，不能通過格式條款排除必要原則，更不能在處理個人信息時逾越界限。例如，在APP注冊賬號時，非有必要理由，不得要求用戶提供家庭住址等敏感個人信息，除非根據行政部門相關強制性規定用戶必須提供。例如，需要實名制認證才能辦理的業務，包括網絡金融、電信等。個人信息涉及個人的隱私，過度使用不僅會對他人造成不必要的干擾，還可能會侵害他人權利[4]。

(一)必要原則始于對個人信息的處理

個人信息保護的需求產生于數字經濟時代?！睹穹ǖ洹芬幎?，個人信息的處理必須堅持“合法、正當、必要原則”，《個人信息保護法》規定，處理個人信息應當遵循“合法、正當、必要和誠信原則”“處理個人信息應當與處理目的直接相關”“應當限于實現處理目的的最小范圍”。較早的一些規范性文件也對“合法、正當、必要原則”做了規定。如《網絡安全法》規定：“不得收集與其提供的服務無關的個人信息?！薄峨娦藕突ヂ摼W用戶個人信息保護規定》規定：“不得收集其提供服務所必需以外的用戶個人信息或者將信息用于提供服務之外的目的?！笨傊?，必要原則指的是即使正當、合法地處理了個人信息，也不得超出必要的范疇或過度處理，否則視作對個人信息的侵害。

必要原則也是各國個人信息保護立法中普遍規定的一項基本原則。歐盟在《一般數據保護條例》中規定：“個人數據應當充分、相關且不得超出其達到處理目的所需的必要數據”?！爸挥性谔幚砟康牟荒芡ㄟ^其他方式實現的情況下，才能進行個人數據處理”。另外還規定：“控制者應當制定時間限制以進行刪除或定期審查”。歐盟在《條例》中把必要原則概括為“充分、相關，處理行為不得超出實現目的的必要限度”。美國在1970年《公平信用報告法》中規定消費者對個人信息擁有訪問權和更正權，且相關機構不得以公開的方式處理個人信息。2019年，美國舊金山市頒布了《反監控條例》，作為全球首個禁止人臉識別技術的規定，禁止政府機關使用人臉識別技術，以防人臉信息的濫用。2022年日本新修訂的《個人信息保護法》新增了人臉識別信息使用等規定，要求個人信息處理者應當明確人臉識別信息的具體數據、使用目的等，并應當根據達到使用目的所必需的最小范圍設定數據保留期限。巴西的《通用數據保護法》也規定，個人信息的處理必須遵循必要原則，將“個人信息的處理限制在實現其處理目的所需的最低限度，此處的個人信息包括與數據處理目的相關的、成比例的和非過量的數據”。

在個人信息處理領域，必要原則的最直接對象就是個人信息的處理行為，對此，有學者認為，必要原則包含理由充分、手段適當等要素，并認為“必要原則可以制約告知統一原則”[6]。也有學者認為，必要原則可以解釋為兩個方面，一是數據使用最小化，二是造成影響盡量小[7]。筆者認為，對于個人信息的處理必須在達到目的所需最低范圍之內，必須明確個人信息處理的邊界。

(二)比例原則在個人信息保護之中的適用

個人信息處理必要原則也是比例原則在個人信息保護領域的體現，體現為減小對私權的干涉[8]。比例原則作為行政法的基本原則，要求選擇既能夠達成目的、又對相對方侵害最小的手段。雖誕生于公法，但比例原則由于其適度、均衡的內涵和對實現實質正義的重要作用，漸漸擴大了影響范圍，也對私法領域產生了重要影響。廣義的比例原則由法治國家的原則產生，可以作為確定基本權利的界限，如作為個人利益和公共利益之間的權衡界定[9]。在民法領域，比例原則形成了維護私法自治的兩道“防火墻”，表現為對外與對內兩個方面，對外比例原則有助于對抗國家公權力的過度干涉；對內比例原則可以防止占據強勢地位的私法主體濫用權利[10]。在民法領域，個人信息處理也應受比例原則的約束。私法自治天生的缺陷便是導致市場失靈，現代國家常見的情形是公法介入私法。在大數據時代，為了盡量避免市場失靈導致的嚴重后果，個人信息領域必須有公法參與以彌補私法調整的不足[11]。個人信息的處理行為也需要遵從符合比例原則中的必要性、適當性和最小損害原則的要求。

(三)必要原則是個人信息處理者應承擔的法定義務

必要原則要求個人信息處理者承擔相應的法定義務。首先，必要性原則指的是個人信息處理者處理個人信息的行為應當為達成目的之必要[12]。如某些APP對無關業務，如用戶通訊錄的收集行為就構成對個人信息處理權的濫用。其次，適當性原則指的是個人信息處理者對個人權益的損害不得超出了其所實現的利益。個人信息的處理主體應當追求手段和實現目的之間的性價比，個人信息處理之后的價值應當高于對個人信息的主體的權益造成的損害。最后，最小損害原則指的是個人信息處理者在處理個人信息之時，在保證達到目的的情況下，盡可能選擇對相對人損害最小的方式[13]。當存在多種可以達到處理目的的方式之時，個人信息處理者必須選擇對個人信息主體權益損害最小的方式，如果處理少量信息就可以達到處理目的，就不處理其他信息；如果處理普通信息就可以達到處理目的，就不處理敏感信息。

二、個人信息處理必要原則的適用價值

在個人信息相關的法律制度不斷探索和完善的過程中，不規范處理個人信息的現象依舊層出不窮，為個人的隱私和社會的安定帶來了隱患。一方面，必要原則在人格權益保護和財產利益保護中起到了協調作用。有學者認為，為平衡保護人格利益與信息自由的關系,應在我國法律制度的背景下，回應社會現實問題，借鑒歐盟的經驗，在必要范圍內，使本人自由支配個人信息并排除他人侵害[14]。另一方面，盡管告知同意規則在處理個人信息方面的重要性已經得到學界普遍認識，但有學者提出，告知同意規則也存在缺陷，也應受到必要原則的約束[6]。最后，必要原則在彌補了傳統的告知同意規則的不足的同時，實際上還發揮了制度的兜底作用。

(一)有利于實現人格權益保護和財產利益保護之間的平衡

對于個人信息的屬性當前學界仍存在爭議，有學者認為個人信息是權利，不是法益[15]，有學者認為個人信息僅是受法律保護的利益而非民事權利[16]，有學者主張個人信息是自然人享有的人格權益[17]，還有學者提出個人信息是一種財產權[18]，還有學者進一步提出個人信息權益是一種天然包含財產屬性的人格權益[19]?？傮w而言，學界就應當加強對于個人信息保護的方面已達成共識，僅僅在具體的保護方式上存在爭議。根據《民法典》的規定，個人信息具有“可識別性”。個人信息是與可被識別或已被識別的特定自然人有關的各類信息，而個人信息與人格尊嚴也存在重要的聯系，體現著個人的人格尊嚴和自由，是人格權的重要組成部分，對個人的人身、財產安全具有重要的意義。因此，筆者認為，個人信息蘊含著人格尊嚴，是理應由自然人享有的一種人格權益。他人需要尊重該權益，不得侵害，不得不經同意而處理個人信息[17]。個人信息主體通過信息的公開、利用等，逐漸形成自身的公共形象，并對此進行完善，因而有學者提出，對個人信息行使自我決定權，可以維護與個人信息有關的權益[20]。甚至有學者認為，要保證個人對信息的完全控制權[21]。個人信息自決權賦予信息主體在任何時候，對任何涉及自身信息的處理行為，無論處理主體，抑或是處理的內容和方法都可以介入的權利，不論處理行為是否合理[22]。個人信息必要性原則的重要價值在于禁止對個人信息的過度處理，形成對個人信息處理的判斷標準，這也是由于個人信息處理者和個人信息主體之間顯著的不平等地位決定的。

(二)有利于彌補告知同意規則的缺陷

告知同意規則，也稱作知情同意規則，最早為德國1970年的《數據保護法》所確認，目前已成為世界上絕大多數國家和地區個人信息保護法中的基本規則。告知同意規則是指個人信息處理者應當將個人信息處理的目的、方式等實際狀況明確告知對方并取得其認可后，才可以進行信息處理活動，除非法律、行政法規另有規定[23]?！睹穹ǖ洹返?035條也規定了告知同意規則，最新出臺的《個人信息保護法》也明確了同意和撤回同意的制度，《網絡安全法》也明確了規定收集和使用個人信息必須經被收集者同意。

告知同意規則本意是尊重個人意愿，目標是防止個人信息濫用，的確有一定效果。但在數字經濟時代，告知同意規則在事實上面臨困境，個人信息處理者在與個人信息主體的博弈中明顯處于優勢地位，個人信息處理者往往會在經濟利益的驅使下，加大對個人信息的使用。有學者認為，在對個人信息的利用與保護所受到的激勵明顯不平衡的情況下，如果缺乏干預監管，必然導致對個人信息被濫用。因此，必須探索激勵和監管并行的個人信息治理之道[24]。

在微信讀書案中，騰訊在《微信讀書軟件許可及服務協議》中規定：“軟件的使用信息向有微信好友關系的其他用戶開放瀏覽可見，你及其他用戶將有權瀏覽對方的軟件使用信息?！雹俑鶕f議，騰訊告知原告會向和其有好友關系的其他用戶開放瀏覽可見，但其并沒有明確告知原告，微信讀書軟件將自動向關注原告的好友公開原告的個人讀書信息。顯然，雖告知了原告，原告也已簽訂，但該個人信息處理行為超出了字面意義。結合最小必要原則來加以判斷，向微信好友公開原告的讀書信息并不必要，且造成了原告的困擾，已超出了必要范圍，違背了必要原則。法院認為，自動關注好友并默認公開讀書信息的方法，對原告個人信息權益造成的負面影響顯然不符合比例，公開原告讀書信息時侵擾了原告的社交自由和人格形象構建自由②。在微博訴脈脈案中，法院認為，脈脈要求用戶注冊時上傳通訊錄，從中非法獲取用戶通訊錄中聯系人的信息，在未征求用戶及聯系人的情況下，將聯系人的職業、教育等信息進行展示，在與微博的合作結束后，脈脈繼續使用所獲得的聯系人信息，沒有進行及時刪除，判決脈脈停止侵害，消除影響，賠償損失③?？梢姼嬷庖巹t在實際運用中往往具有局限性，容易使個人信息處理者陷入“陷阱”。

鑒于告知同意規則存在局限性，必要原則的存在可以規范個人信息的處理者的行為，一定程度上彌補告知同意規則的缺陷，在完成個人信息處理目的同時保障個人信息可控，減輕個人信息處理的風險。因而有必要進行對個人信息處理必要原則的深入研究，并以必要原則作為判斷標準，作為個人信息的合理處理之道。

(三)必要性原則在個人信息保護方面具有兜底性

在許多情況下，個人信息處理者可以不經過個人同意依規定直接處理個人信息。如《民法典》規定不經同意也有權對個人信息進行使用的制度?！秱€人信息保護法》第13條也規定告知同意規則僅僅是合法處理個人信息的一種情形。而隨著大數據時代的到來，在個人信息的處理活動中，無法適用告知同意規則的情形也會越來越多，這勢必增加個人信息的安全隱患。

根據我國《民法典》第990條規定，一般人格權是自然人享有的“基于人身自由、人格尊嚴產生的其他人格權益”。一般人格權的規定使得人格權制度可以保持開放性，并發揮了解決具體人格權制度難以因應社會發展的問題的兜底的作用，例如，聲音被《民法典》納入保護范圍，不是作為一項具體的具體人格權，而是受法律保護的利益。一般人格權以人格尊嚴為核心內容，并成為了吸收人格權益的口袋，為新型人格權的保護提供依據[25]。在具體人格權的規定無法適用時，應當根據其與人格尊嚴的相關度，援引人格尊嚴條款對其提供保護。另外，由于新型人格權益的快速發展與法律的滯后性存在天然的矛盾，我國作為成文法國家，對法官的自由裁量權進行了嚴格限制，要求處理問題不能“無法可依”[26]。個人信息處理的必要原則本身也具有類似的制度兜底性，必要原則可以在難以適用告知同意規則的情況下發揮兜底作用，以適應我國信息技術領域的快速發展。但同時，必要原則作為兜底原則，不能任意擴大其適用范圍，否則裁判的不確定性將會增加?？傊?，必要原則可以為個人信息的處理活動提供指引和保障，通過必要原則判斷是否符合“必需”的要求，個人信息處理者是否依法履行合同規定、是否履行了法定義務等。

三、個人信息處理必要原則的適用標準

筆者認為，個人信息處理中的必要原則至少包含著對信息處理目的、處理手段、處理范圍、處理時限等方面的要求。為了防止個人信息處理者對個人信息進行不法處理，首先，需要確保所處理的信息是能實現其處理目的范圍內的最少信息，且一旦缺少該關鍵的個人信息將該服務無法正常進行。其次，需要處理的個人信息要與該項服務密切關聯，例如，社交軟件不能自動搜集個人住址信息。另外，個人信息處理者還應當保證不能無限擴大對個人信息的使用范圍，并且應當對掌握個人信息的期限進行嚴格的限制。最后，應在最大程度上減少對個人信息主體權益的損害，經過概括，筆者認為，“必要原則”的適用標準至少應當有四個方面，首先是目的特定性、其次是密切關聯性、再次是損害最小性，最后是期限受限性。

(一)目的特定性

目的特定性指的是個人信息的處理必須是因為特定、明確的目的而進行的。歐盟在《一般數據保護條例》第5條中規定：“應以特定、明確、合法的目的收集個人數據，且不得違反該特定目的進行處理?！比毡驹凇秱€人信息保護法》第15條中規定：“在處理個人信息時應當使目的特定化?！表n國在《個人信息保護法》第3條規定：“應當明確處理個人信息的目的，個人信息處理者要在目的范圍內收集最低限度的個人信息?！?/p>

我國的《民法典》和《個人信息保護法》并沒有對目的特定性進行規定，但目的特定性應當是個人信息處理之中的應有之義。一方面，在告知同意原則的語境下，個人信息處理者在處理個人信息之前必須將目的明確告知被處理者，如果信息不特定，是模糊籠統的，個人信息的主體就難以做出真實的意思表示。另一方面，根據法律規定，在一些情形下無需個人信息主體的同意也可以進行個人信息的處理，但這種情形必須是基于特定的、正當的目的，如為了維護公共利益、履行法定職責等。對于個人信息處理者而言，目的特定性還能使得其在進行個人信息的處理活動之前預見可能產生的影響和風險，從而將個人信息的處理限定在特定的范圍之內，有效規避風險。上述三類情形都體現了個人信息的處理目的需要具有特定性。在實踐中，為了提供更優質的服務，便利人們生活，網絡平臺經營者或服務商基于特定的、合理的目的收集必需的個人信息。比如在使用外賣點餐軟件的過程中，如果用戶不提供自己的位置信息，商家就不能找到客戶，會造成諸多不便。目的特定性可以提供客觀上的法律尺度，有利于發展數字經濟，促進科技創新[27]。

(二)密切關聯性

密切關聯性指個人信息的處理方式應當和處理目的之間存在密切的關聯性。密切關聯性有助于提高個人信息處理的效率，明確個人信息的處理限度。日本在《個人信息保護法》中規定，個人信息處理者變更使用目的，變更后的目的應與變更前的目的具有關聯性[28]。具體而言，首先，只能收集目的密切關聯的個人信息，在能夠實現合理目的的情況下，盡可能收集最低限度的個人信息，即一旦缺少該信息將導致無法正常提供核心服務或產品。對個人信息的處理者而言，掌握越詳盡的客戶信息，就越方便刻畫用戶形象，從而投其所好，推銷自己的產品，但應注意不可逾矩，處理的個人信息應當僅限于和提供此項服務所密切關聯的，具有不可替代性，不應處理無關信息。例如搜索引擎不得收集個人聲音信息和人臉信息，這類信息與其提供的服務并無密切關聯性。其次，應當保證收集的個人信息手段本身的適當性。毫無疑問，網絡平臺經營者或服務商對個人信息的收集方式與其需要實現的目的之間應當有關聯性，即信息處理的方式對于目的的實現是密切關聯且不可替代的，但如果信息處理的方式不適當，不具有關聯性，即使獲得的個人信息內容和提供的服務內容密切關聯，也應當認定此種情況屬于違法，這是為了保障個人信息處理者使用的處理方式的合理、適當，相關個人信息的處理方式必須以法律規定為準。

(三)最小處理性

最小處理性指對個人信息處理應當采取對個人信息主體影響最小的方式?！兑苿踊ヂ摼W應用(App)收集個人信息基本規范(草案)》規定，如果App收集的信息超出“必要”的部分，必須每項都征得用戶同意，《民法典》第1035條也規定了禁止過度處理個人信息。筆者認為，禁止過度處理的內涵便是以影響最小的方式處理個人信息。最小處理性標準可以有三個方面的內涵。首先，個人信息處理者如果有多種方案可供選擇，且都能達到信息處理的目的，應當選擇沒有影響或影響最小的方式。在“中國人臉識別第一案”中，動物園方告知原告必須經過人臉識別，原告拒絕園方對其進行人臉信息收集，在提出要退款遭拒后提起訴訟，一審二審法院都認為，人臉信息具有敏感性，收集人臉信息超出了“必要原則的要求”，可能會對當事人的人身安全和財產安全造成安全隱患，未經同意不得進行收集④。其次，應當通過降低個人信息的可識別性，來降低對個人信息主體的影響。具體而言，可以通過匿名、分散存儲等方式使得個人信息難以通過與其他信息的結合來達到對特定個人的識別。這樣可以有效地對降低個人信息處理中的安全風險，體現必要性原則中最小處理性的內涵。最后，個人信息的處理范圍應當僅限于實現處理目的之要求，由于個人信息的敏感程度越高，信息收集的范圍越大，對個人信息造成的安全隱患就越大，因此，最小處理性的要求也體現在所使用的個人信息在敏感程度和收集范圍方面盡可能維持在可達到目的之最低水平。

(四)期限受限性

期限受限性是指個人信息的存儲期限應當以完成個人信息處理目的所需的最短期限為限。存儲期限性要求在個人信息處理者在完成個人信息處理目的之后，不得繼續存儲非必要的個人信息。在實踐中，個人信息的處理者往往沒有明確信息的存儲期限，在已實現處理目的后，對于相關的個人信息依然予以保留和繼續使用，給個人信息的主體的信息安全造成威脅。因此，筆者認為，應當規定個人信息處理者需要明確信息的存儲期限，并取得信息被處理者的同意。由于信息處理者對實現處理目的之時間更為了解，應當規定個人信息處理者對于存儲期限的告知義務，要求主動對超出存儲期限的個人信息及時進行刪除。

另外，由于在個人信息保護領域，處理個人信息應當有特定目的，而目的本身往往具有時效性。這意味著，個人信息的處理也應當受限于實現目的之最短期限，如果既有的目的消失或已實現，則由原定原因而產生的處理個人信息的行為將不再具有正當性。但也存在例外情況，如基于公共利益的原因處理個人信息往往沒有明確期限限制；而如果基于其他原因處理個人信息往往需要受到存儲期限的限制。根據歐盟《通用數據保護條例》的規定，個人信息如果是為了公共利益和科研等目的，并且采取了數據安全的保障措施的，便可以延長存儲時間。我國《民法典》并沒有規定個人信息的存儲期限限制，但一些領域的法律對此有明確規定，如我國《電子商務法》第31條規定電商平臺經營者存儲含個人信息的期限應不少于三年⑤?！毒W絡安全法》第21條規定與個人信息相關的日志要保存至少6個月⑥?？傊?，為了更好地對個人信息進行保護，民法典還需要對個人信息的存儲時間進行明確。

四、結語

個人信息作為數字經濟時代的核心生產要素，個人信息的處理者對于個人信息也應取之有道、用之有道，這樣才能保障廣大人民群眾的合法權益。在我國當下數字經濟大力發展的時代，如何協調好個人信息保護和利用之間的關系是一個重要的課題，這也體現出了個人信息處理必要原則的價值。本文明確了個人信息處理必要原則的內涵，對個人信息處理必要原則的價值也進行了探討，并重點分析了必要原則的判斷標準，使得個人信息處理的限度得到一定程度的明晰。在未來，個人信息處理者應當進一步明確個人信息處理的邊界，重視個人信息主體的人格利益。個人信息必要原則的適用應當在保障合法的個人信息處理活動的同時，強化對個人信息主體人格利益的保障，同時基于我國的國情，借鑒域外個人信息立法中的相關經驗，建構起符合我國實際的個人信息處理必要原則的規范性審查框架，使得個人信息處理原則得以具象化對司法實踐中個人信息必要原則的有效適用提供明確的參考標準。

注釋：

①參見杭州市富陽區人民法院(2019)浙0111民初6971號民事判決書;杭州市中級人民法院(2020)浙01民終10940號民事判決書。

②參見黃某訴騰訊科技(深圳)有限公司等網絡侵權責任糾紛案，北京互聯網法院(2019)京0491民初16142號民事判決書。

③參見北京互聯網法院(2019)京0491民初16142號民事判決書。

④參見北京知識產權法院(2016)京73民終588號民事判決書。

⑤《電子商務法》第31條規定。

⑥《網絡安全法》第21條規定。