◆ 条文要旨

本条是对目的限制原则的规定。

◆ 理解与适用

一、目的限制原则的概念

所谓目的限制原则（the principle of purpose limitation/ Zweckbindungsgrundsatz），也称目的拘束原则，是《个人信息保护法》中最基本的一项原则，其贯穿于个人信息处理活动，任何类型的个人信息处理者实施的任何类型的处理活动，都必须受到这一原则的拘束。由于目的限制原则是数据保护的基石和大多数其他基本要求的先决条件，故此，理论界也将目的限制原则称为个人信息保护法上的“帝王条款”。[122]

许多国家或地区的个人信息或数据保护立法都确立了目的限制原则，例如，欧盟《一般数据保护条例》第5条第1款（b）项规定：“为特定、明确、合法的目的收集个人数据，且随后不得以与该目的相违背的方式进行处理；第89条第1款中为实现公共利益存档目的、科学研究或历史研究、统计目的而进行的进一步数据处理不视为与最初目的相违背。”再如，日本《个人信息保护法》第15条规定：“个人信息处理业者在处理个人信息时，应当尽可能地将利用该个人信息的目的（以下称为‘利用目的’）特定。个人信息处理业者若要变更利用目的，则不得超出足以合理地认为与变更前的利用目的具有关联性之范围。”第16条第1款、第2款规定：“个人信息处理业者不得未事先取得本人的同意，而超出达到依照前一条的规定所特定的利用目所必要的范围，处理个人信息。个人信息处理业者在因合并或其他事由而从其他个人信息处理业者处承受业务并取得个人信息后，不得未事先取得本人的同意，而超出达到业务承受前该个人信息的利用目的所必要的范围，处理个人信息。”韩国《个人信息保护法》第3条第1—3款规定：“个人信息处理者应当明确处理个人信息的目的，并限于其目的之必要范围内合法、正当地收集最低限度的个人信息。个人信息处理者应当在处理个人信息目的之必要范围内适当地处理个人信息，不能将其用于目的之外的其他用途。个人信息处理者应在个人信息处理目的之必要范围内，保障个人信息的准确性、完整性和最新性。”再如，我国台湾地区“个人信息保护法”第5条规定：“个人资料之搜集、处理或利用，应尊重当事人之权益，依诚实及信用方法为之，不得逾越特定目的之必要范围，并应与搜集之目的具有正当合理之关联。”从上述规定可以看出，目的限制原则主要包含两个维度：一是目的特定维度（the purpose specification dimension），即必须是出于特定、明确、合法的目的而收集个人数据，否则不得收集或进行其他的处理活动；二是兼容使用维度（the compatible use dimension），即被收集的数据必须以符合特定目的的方式进行处理，即对数据的处理与特定的、明确的、合法的目的存在合理的联系，没有超越处理的目的。

在《个人信息保护法》颁布前，我国《网络安全法》《民法典》等法律没有规定目的限制原则，[123]在这些法律明确规定的合法、正当和必要等三项原则中，必要原则可以认为是目的限制原则的具体体现。因为，所谓必要与否，只能是就个人信息处理目的而言是否必要加以判断的。我国《个人信息保护法》第6条对目的限制原则作出了详细的规定，从这一规定可以看出我国法上的目的限制原则更加丰富，包含了三个层次：一是目的特定，即处理个人信息应当具有明确、合理的目的；二是直接相关，即处理个人信息的活动必须与处理目的直接相关；三是采取对个人权益影响最小的方式。此外，《个人信息保护法》第6条第2款还专门对收集个人信息这一处理活动中应当限于实现处理目的的最小范围作了规定。

二、目的限制原则的意义

之所以《个人信息保护法》要以目的限制原则作为最基本的原则之一，而且该原则具有举足轻重的地位，根本原因在于以下两个方面：

一方面，目的限制原则有利于更好地保护个人信息权益。对于个人信息的处理，无非就是两种情形：要么基于个人同意而处理个人信息，要么依据法律、行政法规的规定处理个人信息。在基于个人同意而处理个人信息的情形中，处理者在处理个人信息之前必须告知其个人信息被处理的自然人并取得同意。如果不告知明确的目的，而是模糊的、笼统的，那么个人就不可能作出真正的自愿的同意。也就是说，处理者所取得的信息主体的同意也是无效的。同样，在取得个人同意后进行的个人信息处理活动，不能超越自然人同意的处理目的的范围，如果超越了这一范围，就等于自然人没有同意，此种处理活动也是非法的，构成对个人信息权益的侵害。在依据法律、行政法规的规定，无须个人同意即可实施的个人信息处理活动中，虽然处理者不需要告知并取得个人的同意就可以处理个人信息，但是法律、行政法规之所以赋予个人信息处理者这样的“特权”，目的在于维护更高位阶的利益，即出于正当的目的，如履行法定职责或法定义务，维护社会公共利益或国家利益或维护自然人的生命财产安全等。因此，个人信息处理活动必须受到该目的的限制，不能超越该目的限制的范围甚至完全背道而驰。否则，这种个人信息处理活动也是非法的，构成对个人信息权益的侵害。不仅如此，无论个人信息的处理是否基于个人同意，如果处理者不告知明确的处理目的，也会导致个人无法针对处理者主张相应的权利，例如，在处理目的已经实现、无法实现或为实现处理目的而不再必要的情形下，个人信息处理者应当删除个人信息，如果没有删除，个人可以要求处理者删除个人信息（《个人信息保护法》第47条第1款第1项）。由此可见，目的限制原则对于保护个人权益是非常重要的。

另一方面，目的限制原则也有效协调了个人权益的保护和网络科技创新、数字经济发展之间的关系。目的限制原则要求个人信息处理者在开始处理活动之前，就必须确定个人信息处理的目的，即个人信息处理必须具有明确、合理、合法的目的。这就使得个人信息处理者可以据此发现其即将开展的个人信息处理活动对于个人权益可能产生的各种影响，从而提前采取相关措施，将对个人权益的影响降到最小，为个人提供预防性的保护，这对于个人权益的保护而言显然是极为有利的。就个人信息处理者而言，确定了明确、合理的处理目的后，就使得处理者可预先发现个人信息处理中的风险，并且由于目的限制原则要求处理者将个人信息的处理限定在该目的范围内，不得过度收集个人信息，这就意味着个人信息处理所造成的风险始终被限制在初始目的的范围内，目的同一性要求后续的处理活动中不能创造出与原来的风险不同性质的风险或者增加原来的风险。这样一来，目的限制原则不仅保护了个人的自主权，也为个人信息的处理者提供了足够的空间，使得其能够根据具体情况的特殊性，通过变更处理目的重新取得个人同意抑或维持原有的处理目的等方式找到最佳解决方案。故此，目的限制原则通过提供客观上的法律尺度，使得处理者能及时评估各种处理活动的风险，有利于创新活动的开展。[124]

三、目的限制原则的具体要求

（一）明确、合理的目的

《个人信息保护法》第6条第1款规定，处理个人信息应当具有明确、合理的目的。这就是说，在处理个人信息之前就必须有明确、合理的处理目的，因为依据《个人信息保护法》第17条的规定，个人信息处理者在处理个人信息前，应当告知的事项就包括处理目的。因此，在收集个人信息前，就必须有明确、合理的目的，否则就无法告知个人信息将要被收集的个人。

1.明确的目的

所谓明确的目的意味着：首先，个人信息处理者应当使用清晰的、明确的言辞表达出其处理的目的，即目的必须是清晰地、明确地被表达出来的，而不能是秘密的、隐匿的或者含混不清的；其次，明确的目的还意味着处理者的处理目的是有限定范围的，不能是毫无限制、漫无目标的。即便使用了清晰的言语，但是表达了非常广泛的处理目的，此种处理目的也是不明确的。例如，网络企业在告知个人时宣称“本公司有权将所收集的个人信息用于任何本公司业务发展所需之合法用途”，显然此类表述中的处理目的就是不明确的。个人信息的处理活动对个人权益产生的危险越大，则对于处理目的的明确性与合理性的要求就越高。例如，对于敏感信息的处理，《个人信息保护法》第28条第2款就明确要求必须具有特定的目的。

之所以要求处理目的必须明确，理由在于：只有处理目的是明确的，才能确定处理活动是否符合法律、行政法规的规定，处理者才能据此采取相应的个人信息保护措施。例如，我国《个人信息保护法》第51条就明确规定，个人信息处理者应当根据个人信息的处理目的等，采取相应的措施确保个人信息处理活动符合法律、行政法规的规定，并防止未经授权的访问以及个人信息的泄露等。此外，明确的目的也有利于实现公开透明原则以及责任原则，尊重个人对其个人信息的处理所享有的知情权、决定权，使个人信息处理者为其处理行为负责。

2.合理的目的

个人信息处理的目的不仅仅应当是明确的，还必须是合理的。合理的目的首先应当是合法的目的，如果处理个人信息是为了履行法定的职责或者告知并取得个人的同意，则该处理就具有合法的目的。[125]也就是说，如果符合《个人信息保护法》第13条第1款所列举的情形而处理个人信息的，当然处理目的是合法的。不过，合法性只是对处理目的的基本要求，因为合法目的并非都是合理的目的。处理的目的合理与否，应当在考虑个案的具体因素的基础上，权衡处理者与信息主体等各方的权益和自由，最好实现个人信息权益的保护与个人信息的合理利用之间的利益协调与平衡。[126]当然，目的的合理性也会随着时间的推移而变化，这取决于科学技术的发展以及社会和文化态度的变化。[127]

（二）个人信息处理活动必须与处理目的直接相关

目的限制原则要求，处理者只能对个人信息实施符合初始目的的相应的处理活动，不得从事与处理目的无关的个人信息处理。对此，欧盟《一般数据保护条例》提出了所谓“数据兼容处理”（compatible processing of data）的概念，也就是说，数据的控制者可以对数据执行被认为与收集数据时的目的即初始目的相互兼容的所有操作。[128]该条例第6条第4款还提出了以下判断标准，即“当处理活动并非为了个人数据被收集时的目的，并且未基于数据主体的同意，亦非基于在民主社会构成一个必要且适当的措施来保障本条例第23条第（1）款所述之目标的欧盟或成员国法律，控制者应当为了查明为其他目的进行的处理是否与个人数据被收集时的目的相一致而考虑，特别是：（a）任何在个人数据被收集时的目的和预期进一步处理的目的之间的联系；（b）个人数据被收集时的情形，尤其是关于数据主体和控制者之间的关系；（c）个人数据的性质，特别是依据本条例第9条被处理的特殊类型的个人数据，或者是依据本条例第10条与刑事定罪和罪行有关的个人数据；（d）预计进一步处理给数据主体可能造成的后果；（e）适当的可能包括加密或匿名化的保障措施的存在”。我国台湾地区“个人信息保护法”第5条则要求个人资料的处理应当与“收集之目的具有正当合理的关联”。理论界认为，所谓具有正当合理的关联是指个人资料的收集、处理或利用应当与收集的目的有正当合理的联系，不得与其他目的做不当的连接，即不当连接禁止原则，例如通讯录的制作和利用应当符合比例原则与具有正当合理的关联。[129]

我国《个人信息保护法》第6条第1款要求个人信息处理的活动“应当与处理目的直接相关”。之所以如此，是因为：首先，处理目的在整个处理活动中占据核心的位置，它决定了个人信息处理者的很多行为是否合法，如收集的个人信息是否为必要信息、收集信息的范围是否属于最小范围，储存个人信息的期限的长短，这些都必须通过处理目的来判断。其次，将个人信息处理活动限定在与处理目的直接相关的范围之内，有利于保护个人权益，防止遭受不测之损害或危险。无论个人信息处理是否基于个人同意，原则上处理者在处理个人信息前均应当告知个人处理信息的目的和处理方式，除非法律、行政法规规定应当保密或者不需要告知（《个人信息保护法》第18条）。因此，个人通过了解个人信息处理目的可以预见个人信息处理活动可能给其造成的风险，同样处理者也可以据此控制处理活动中的风险并预先作出安排。如果可以超出处理目的而进行各种处理活动，那么由此带来的风险无论是对处理者而言，还是对个人而言，都是不可预测的。

问题是，如何判断处理活动是“与处理目的直接相关”的呢？首先要明确的一点是《个人信息保护法》中“与处理目的直接相关”中的“处理目的”是指个人信息处理者在处理个人信息前，以符合法律规定的方式告知个人的“处理目的”。例如，A公司在收集个人信息时，通过所谓的个人信息处理规则等方式告知的处理目的。“直接相关”意味着处理者所开展的一系列个人信息处理行为都应当是在该处理目的之内的，具有密切的关联性。例如，张三在A公司的网上商城订购新鲜牛奶，A公司每周送一箱到张三家中，为此张三提供了银行账号和家庭住址、联系方式等个人信息。此后，A公司每周处理一次张三的这些信息，显然都是与处理目的——向张三销售并配送牛奶——直接相关的。但是，如果A公司为了推销本公司的其他产品（包括相关的奶制品或其他品牌的牛奶）而利用张三的个人信息进行广告推送，那么这一处理活动就与处理目的并不直接相关。在判断是否“直接相关”上，应当采取非常严格的标准，即考察处理者后续实施的处理行为的目的是否被告知个人的处理目的所包含，或者虽然不包含，但是合理的人认为二者之间是密切联系的。

（三）采取对个人权益影响最小的方式

所谓“个人权益”就是指因个人信息处理活动可能影响到的自然人的各种权益，包括宪法上的基本权利如人格尊严和人身自由，也包括《民法典》规定的自然人的人身财产权益，以及《消费者权益保护法》《未成年人保护法》《妇女权益保障法》《残疾人保障法》《老年人权益保障法》等规定的各种权益。个人处理者处理个人信息的活动，不可避免地会对个人的权益造成各种影响，基于个人的同意或者法律基于其他政策考虑而允许个人信息处理活动的开展，但是就个人信息处理者而言，在有多种处理方式可供选择时，应当选择其中既能够实现个人信息处理目的，同时对个人权益的影响又是最小的方式，这也是比例原则中“最小损害原则”的要求。换言之，处理者应尽可能减少所处理的个人信息的处理以及对个人信息的使用次数，以避免对个人信息权益造成不利的影响。需要注意的是，所谓必要性的要求取决于处理行为对个人权益的影响的大小，对于个人权益影响越大的行为，必要性的要求就越高。例如，我国《个人信息保护法》第28条第2款规定，对于敏感个人信息的处理，要求处理者必须具有“充分的必要性”。

四、个人信息最小化原则

《个人信息保护法》本条第2款规定的是个人信息最小化原则，也称数据最小化原则（Grundsatz der Datenminimierung）。依据该原则，个人信息处理者对个人信息的处理必须限于实现处理目的所必要的最小范围，不得过度收集个人信息。个人信息最小化原则既是必要原则的体现，也可以说是目的限制原则在个人信息收集环节的体现。一方面，个人信息的收集应当以必要为原则，不必要的个人信息的收集对于个人权益存在危险，对于处理者来说也不是好事（个人信息泄露的风险增加）；另一方面，是否必要要从处理目的能否实现的角度加以判断，只要收集的个人信息对于实现处理目的而言已经足够了，就不应当再收集了。凡是超过该范围而收集的个人信息，都不属于必要的个人信息。个人信息最小化原则对于保护个人信息权益而言，非常重要。因为，个人信息的非法处理往往是从过度收集个人信息开始的，过度收集来的个人信息又进一步面临被非法买卖或泄露的风险。故此，有必要在个人信息处理中明确这一原则。

所谓“实现处理目的的最小范围”，是指如果没有某些个人信息，则处理目的完全无法实现或者主要的、核心的目的无法实现。例如，App的运营者处理个人信息是为了提供某种产品或某种服务，那么，只有缺少就无法实现提供该产品或服务的功能的个人信息，才是必须收集的个人信息，这些信息的范围就是实现处理目的的最小范围。但是，实践中许多个人信息处理者都具有尽可能多地收集个人信息的冲动与渴望，故此，存在大量的过度收集个人信息的情形。依据国家网信办秘书局等单位颁布的《App违法违规收集使用个人信息行为认定方法》，以下行为可被认定为“违反必要原则，收集与其提供的服务无关的个人信息”：（1）收集的个人信息类型或打开的可收集个人信息权限与现有业务功能无关；（2）因用户不同意收集非必要个人信息或打开非必要权限，拒绝提供业务功能；（3）App新增业务功能申请收集的个人信息超出用户原有同意范围，若用户不同意，则拒绝提供原有业务功能，新增业务功能取代原有业务功能的除外；（4）收集个人信息的频度等超出业务功能实际需要；（5）仅以改善服务质量、提升用户体验、定向推送信息、研发新产品等为由，强制要求用户同意收集个人信息；（6）要求用户一次性同意打开多个可收集个人信息的权限，用户不同意则无法使用。国家网信办秘书局等单位颁布的《常见类型移动互联网应用程序必要个人信息范围规定》[130]第3条规定：“本规定所称必要个人信息，是指保障App基本功能服务正常运行所必需的个人信息，缺少该信息App即无法实现基本功能服务。具体是指消费侧用户个人信息，不包括服务供给侧用户个人信息。”该规定第5条针对最常见类型的39种App的基本功能以及为实现该基本功能所需的必要的个人信息的范围逐一作出了列举。例如，地图导航类的基本功能服务为“定位和导航”，必要个人信息为位置信息、出发地、到达地；网络约车类的基本功能服务为“网络预约出租汽车服务、巡游出租汽车电召服务”，必要个人信息包括：（1）注册用户移动电话号码；（2）乘车人出发地、到达地、位置信息、行踪轨迹；（3）支付时间、支付金额、支付渠道等支付信息（网络预约出租汽车服务）。再如，即时通信类的基本功能服务为“提供文字、图片、语音、视频等网络即时通信服务”，必要个人信息包括：（1）注册用户移动电话号码；（2）账号信息：账号、即时通信联系人账号列表。

◆ 相关规定

《全国人民代表大会常务委员会关于加强网络信息保护的决定》第2条；《网络安全法》第41条；《民法典》第1035条