作者：程啸清华大学法学院教授、博士生导师

本文来源《国家检察官学院学报》。

个人信息保护法是规范个人信息处理活动，明确个人在个人信息处理活动中的权利、个人信息处理者的义务以及法律责任的法律。从作为信息主体的角度来说，个人信息保护法就是个人信息保护权益法，从处理者的角度来看，则是个人信息处理规则法。故此，个人信息保护法的基本原则就是个人信息处理者在处理活动中应当遵循的基本原则。这些原则一方面有利于形成科学的个人信息处理法律体系，另一方面也有助于解释和补充个人信息保护法的具体法律规定。故此，许多国家的个人数据或个人信息保护法都明确了个人信息处理活动应当遵循的基本原则。例如，年的《经济合作与发展组织（OECD）关于隐私保护和个人数据跨境流动的指导原则》详细列举了收集限制原则、数据质量原则、列明目的原则、使用限制原则、安全保护原则、公开原则、个人参与原则、责任原则等八项原则。欧盟《一般数据保护条例》第5条是对“与个人数据处理相关的原则”的规定，该条明确了合法、正当与透明原则，目的限制原则，数据最小化原则，准确原则，存储限制原则，完整与保密原则，责任原则。年修订的德国《联邦数据保护法》第47条规定：“处理个人数据应当遵循下列原则：1.合法公平地处理；2.为了特定、明确且合法的目的而收集的并以不违反这些目的的方式进行处理；3.就处理目的而言适当、相关且不过度；4.准确且于必要时更新；考虑到处理目的，应采取一切合理步骤来确保不准确的个人数据被删除或更正；5.以允许识别数据主体的形式所保存的时间不超过处理该数据之目的所必需的时间；6.以确保个人数据适当安全的方式进行处理，包括使用适当的技术或组织措施来防止未经授权或非法处理以及防止意外丢失，破坏或损坏。”该条确立了个人数据处理应当遵循的“合法与依据诚信处理的原则（RechtmigkeitundVerarbeitungnachTreuundGlauben）”“目的限制原则（Zweckbindung）”“数据最小化与比例原则（DatenminimierungundVerhltnismigkeit）”“正确性原则（Richtigkeit）”“限制存储（Speicherbegrenzung）”以及“系统数据保护原则（Systemdatenschutz）”。

我国法律也对个人信息处理活动的基本原则作出了规定。《全国人民代表大会常务委员会关于加强网络信息保护的决定》第2条规定：“网络服务提供者和其他企业事业单位在业务活动中收集、使用公民个人电子信息，应当遵循合法、正当、必要的原则，明示收集、使用信息的目的、方式和范围，并经被收集者同意，不得违反法律、法规的规定和双方的约定收集、使用信息。网络服务提供者和其他企业事业单位收集、使用公民个人电子信息，应当公开其收集、使用规则。”该法实际上明确了个人信息处理应当遵循合法、正当、必要以及公开等四项原则。《网络安全法》第41条第1款规定：“网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。”《民法典》第条第1款第1句进一步明确规定：“处理个人信息的，应当遵循合法、正当、必要原则，不得过度处理”。

在我国《个人信息保护法》的起草过程中，立法机关认为，应当在《民法典》《网络安全法》等法律规定的基础上，进一步充实完善个人信息处理的基本原则，并将它们贯穿于个人信息处理的全过程、各环节。年8月20日，十三届全国人大常委会第三十次会议审议通过了《中华人民共和国个人信息保护法》（以下称《个人信息保护法》），这是我国第一部个人信息保护方面的专门性法律。该法在第一章总则用了六个条文（第5-10条）对个人信息保护法的基本原则作出了规定，明确了在个人信息处理活动中应当遵循合法、正当、必要、诚信、目的限制、公开透明、质量、安全等八项原则。本文将对这些原则的涵义、功能、要求及具体适用等问题加以讨论，以供理论界与实务界参考。

一、合法、正当、必要和诚信原则

《个人信息保护法》第5条规定：“处理个人信息应当遵循合法、正当、必要和诚信原则，不得通过误导、欺诈、胁迫等方式处理个人信息。”该条明确了个人信息处理中应当遵循的合法、正当、必要和诚信原则。其中，前三个原则在《网络安全法》《民法典》中就有规定，诚信原则则是《个人信息保护法》依据《民法典》新增加的基本原则。

（一）合法原则

合法原则（DerRechtmigkeitsgrundsatz）是指，个人信息处理者在对个人信息进行收集、存储、加工、使用、提供、公开、删除等处理活动时，应严格遵循法律、行政法规的规定，采取合法的方式，不得违法处理个人信息。之所以如此，是因为对于个人信息的任何处理活动，客观上都是对自然人的个人信息权益的干扰或破坏，故此，必须有法律的依据或正当化事由。否则，该等处理行为就是对个人信息权益的侵害，属于非法行为。所谓“合法”方式中的“法”的范围比较广泛，不仅包括全国人大及其常委会制定的法律，也包括行政法规、地方性法规、司法解释、部门规章、地方政府规章、强制性标准等。《个人信息保护法》从正反两方面对于合法原则作出了规定。正面的规定为《个人信息保护法》第5条，要求处理个人信息应当遵循合法原则。反面规定就是该法第10条，即任何组织、个人不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供、公开他人个人信息；不得从事危害国家安全、公共利益的个人信息处理活动。具体来说，合法原则体现在以下几方面：

1.只有符合法律、行政法规规定的情形时，个人信息处理者才能处理个人信息。该处理行为才是合法的，对于这些情形的全面列举在《个人信息保护法》第13条。该条列举了七种情形，如取得个人的同意；为订立或者履行个人作为一方当事人的合同所必需；为履行法定职责或者法定义务所必需等，只有符合其中的某一种情形，处理行为才是合法的，否则就是非法行为。

2.个人信息处理者处理个人信息的目的和处理方式应当是合法的（即追求合法的利益），不能侵害自然人的人格尊严、人身自由和人身财产权益，也不能损害社会公共利益或国家利益。处理者必须采取合法的方式（符合比例原则的方式）开展具体的处理活动，确保个人信息处理活动符合法律、行政法规的规定，即个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等，采取措施确保个人信息处理活动符合法律、行政法规的规定。

3.禁止从事任何非法的个人信息处理活动。依据《民法典》第条第2句以及《网络安全法》第44条，任何组织或者个人需要获取他人个人信息的，应当依法取得并确保信息安全，不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息。据此，《个人信息保护法》第10条也规定，任何组织、个人不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息；不得从事危害国家安全、公共利益的个人信息处理活动。

（二）正当原则

正当原则，也称公正原则（fairness），是指处理个人信息的行为必须是正当的，处理者不应当通过不公正的方法，如通过欺骗或者在信息主体完全不知情的情况下来处理其个人信息。正当（fairness）是各国个人信息保护立法中所确立的一项基本原则。欧盟《一般数据保护条例》第5条第1款（a）规定，应当“以合法、公正、透明的方式处理”个人数据。日本《个人信息保护法》第3条规定：“在尊重个人人格的理念下，个人信息应被慎重对待，鉴于此，应当实现个人信息之正当处理。”第17条第1款规定：“个人信息处理业者不得以虚假及其他不正当手段获取个人信息。”韩国《个人信息保护法》第3条第1款规定：“个人信息处理者应当明确处理个人信息的目的，并限于其目的之必要范围内合法、正当地收集最低限度的个人信息。”

我国《个人信息保护法》第5条明确规定，处理个人信息应当遵循正当原则，同时，禁止处理者通过误导、欺诈、胁迫等方式处理个人信息，因为这些方法都是不正当的（也是违反诚信原则的）。实践中，不少APP运营者就是通过误导、欺诈等不公正的方式来收集用户的个人信息，如在非服务所必需或无合理场景的情形下，以所谓积分、奖励、优惠等方式欺骗误导用户提供身份证号码以及个人生物特征等个人信息。有些APP还通过胁迫的方式来收集用户的个人信息，如一些网贷平台要求用户申请贷款时除提供自己的个人信息外还必须提供亲朋好友的身份证号码、手机号码等个人信息，否则就不发放贷款，一旦用户贷款偿还上出现逾期，则不断地骚扰其亲朋好友。这些对个人信息的处理行为都违反了正当的原则，属于违法行为。个人信息处理者通过欺诈、胁迫等方式取得个人的同意而处理个人信息的，该处理活动依然是违法的，不得以取得自然人的同意作为抗辩。对此，《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》第4条有明确的规定：“有下列情形之一，信息处理者以已征得自然人或者其监护人同意为由抗辩的，人民法院不予支持：（一）信息处理者要求自然人同意处理其人脸信息才提供产品或者服务的，但是处理人脸信息属于提供产品或者服务所必需的除外；（二）信息处理者以与其他授权捆绑等方式要求自然人同意处理其人脸信息的；（三）强迫或者变相强迫自然人同意处理其人脸信息的其他情形。”

（三）必要原则

必要原则是指处理个人信息的活动都应当是对于实现个人信息处理目的而言是必要的，凡是不必要的个人信息处理活动都不应当开展。该原则是比例原则在个人信息保护法中的体现。比例原则（derGrundsatzderVerhaeltnismaessigkeit）是一项非常重要的法律原则，在公法和私法领域都适用。比例原则有广狭义之分，狭义的比例原则主要适用于负担行政行为以及所有的行政领域，而广义的比例原则产生于法治国家原则，不仅约束行政，也约束立法，同时被适用于一般性确定基本权利的界线，“即作为个人自由请求权和限制自由的公共利益之间的权衡要求适用”。在行政法领域，比例原则包含三项要求：其一，必要性原则，即行政机关拟实施行政行为特别是实施对行政相对人的权利不利的行政行为时，只有认定该行为对达到相应的行政目的是必要的时候，才能实施；其二，适当性原则，即行政机关在实施行政行为前必须进行利益衡量，只有确认该行为对于实现相应的行政目的是适当的且可能取得的利益大于可能损害的利益时，才能实施；其三，最小损害原则，即行政机关必须在多种方案中选择对行政相对人权益损害最小的方案实施。在民法中，比例原则意味着“只有在以下情形当中，个人自由及其私法自治才能受到干预，即对于维护更高的利益而言这是必要的，且此种干预既适于实现预期的目标，也是实现该目的的最缓和的方式”。

必要原则也是各国个人信息或个人数据保护立法所坚持的一项基本原则。例如，欧盟《一般数据保护条例》导言部分第39条指出：“个人数据应当充分、相关并且仅限于其处理目的所需的必要数据。这尤其要求确保对个人数据的存储期限的必要限制。只有在处理目的不能通过其他方式合理实现的情况下，才能进行个人数据处理。为确保个人数据的保存时间不超过必要时间，应由控制者制定时间限制以进行删除或定期审查”。该条例第5条第1款将必要原则概括为“充分、相关，及以个人数据处理目的之必要为限度进行处理”，“准确、必要、及时：以个人数据处理目的为限，应采取一切合理步骤确保不准确的个人数据被及时地处理、删除或修正”。再如，《巴西通用数据保护法》第6条第3款规定，个人数据处理活动应当遵循必要性原则，即“将处理限制在实现其目的所需的最低限度，涵盖与数据处理目的相关的、成比例的和非过量的数据”。

《个人信息保护法》颁布前，我国的《网络安全法》《民法典》等法律对于必要原则就做出了相应的规定。如《网络安全法》第41条第1款规定，网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则。《民法典》第条第1条规定，处理个人信息的，应当遵循合法、正当、必要原则，不得过度处理。但是，这些法律都没有对必要原则的具体要求加以明确。从《个人信息保护法》的规定来看，必要原则主要体现在以下三方面：首先，收集个人信息应当遵循必要的原则，限制在实现处理目的所需要的最小范围，不得过度收集个人信息（第6条第2款）；其次，处理敏感的个人信息应当具有充分的必要性，否则不得处理（第28条第2款）；再次，个人信息保存期限应当为实现处理目的所必要的最短的时间，除非法律、行政法规另有规定（第19条）。

（四）诚信原则

诚信原则，也称诚实信用原则（TreuundGlauben），它不仅是私法领域的最高原则之一，也是公法领域的基本原则。诚实信用原则要求秉持诚实、恪守承诺，及当事人应当真实真诚，如实披露相关信息，不坑蒙拐骗，不欺诈他人，同时严格承诺，讲求信用。

在个人信息的处理活动中，处理者也应当遵循诚信原则。对此，一些国家或地区的法律有明确的规定。例如，《巴西通用数据保护法》第6条规定，个人数据处理活动应遵循诚信和相应的原则。再如，我国台湾地区“个人资料保护法”第5条规定：“个人资料之搜集、处理或利用，应尊重当事人之权益，依诚实及信用方法为之，不得逾越特定目的之必要范围，并应与搜集之目的具有正当合理之关联”。

在我国法律中，诚信原则是非常重要的一项原则，被许多法律加以规定。《民法典》第7条规定：“民事主体从事民事活动，应当遵循诚信原则，秉持诚实，恪守承诺。”这就是说，在从事民事活动时，民事主体应当讲诚信、守信用，以善意的方式行使权利、履行义务，不诈不欺，言行一致，信守诺言。除了《民法典》之外，还有不少法律都明确规定了诚信原则，例如《反不正当竞争法》第2条第1款规定：“经营者在生产经营活动中，应当遵循自愿、平等、公平、诚信的原则，遵守法律和商业道德。”《电子商务法》第5条规定：“电子商务经营者从事经营活动，应当遵循自愿、平等、公平、诚信的原则，遵守法律和商业道德，公平参与市场竞争，履行消费者权益保护、环境保护、知识产权保护、网络安全与个人信息保护等方面的义务，承担产品和服务质量责任，接受政府和社会的监督。”《消费者权益保护法》第4条规定：“经营者与消费者进行交易，应当遵循自愿、平等、公平、诚实信用的原则。”

我国《个人信息保护法》第5条明确将诚实信用原则作为个人信息处理活动应当遵循的一项基本原则。这就是说，处理者在从事个人信息处理活动时，应当始终秉持诚实、恪守承诺，不通过任何欺诈、误导、胁迫等方式处理个人信息；在取得个人同意或符合法律、行政法规规定的其他情形而可以处理个人信息时，也应当讲求诚信，严格按照法律规定和约定处理信息，不从事任何违反处理目的和处理方式的处理活动。

二、目的限制原则

（一）目的限制原则的涵义

所谓目的限制原则（theprincipleofpurposelimitation/Zweckbindungsgrundsatz），也称目的拘束原则，是个人信息保护法中最基本的一项原则，贯穿于整个个人信息处理活动，无论处理者是谁，也不管属于何种类型的处理活动，都必须受到该原则的拘束。由于目的限制原则是数据保护的基石和大多数其他基本要求的先决条件，故此，理论界也将目的限制原则称为个人信息保护法上的“帝王条款”。

许多国家或地区的个人信息或数据保护立法都确立了目的限制原则。例如，欧盟《一般数据保护条例》第5条第1款（b）规定：“为特定、明确、合法的目的收集个人数据，且随后不得以与该目的相违背的方式进行处理；第89条第1款中为实现公共利益存档目的、科学研究或历史研究、统计目的而进行的进一步数据处理不视为与最初目的相违背。”日本《个人信息保护法》第15条规定：“个人信息处理业者在处理个人信息时，应当尽可能地将利用该个人信息的目的（以下称为“利用目的”）特定。个人信息处理业者若要变更利用目的，则不得超出足以合理地认为与变更前的利用目的具有关联性之范围”。第16条第1、2款规定：“个人信息处理业者不得未事先取得本人的同意，而超出达到依照前一条的规定所特定的利用目的所必要的范围，处理个人信息。个人信息处理业者在因合并或其他事由而从其他个人信息处理业者处承受业务并取得个人信息后，不得未事先取得本人的同意，而超出达到业务承受前该个人信息的利用目的所必要的范围，处理个人信息。”再如，韩国《个人信息保护法》第3条第1至3款规定：“个人信息处理者应当明确处理个人信息的目的，并限于其目的之必要范围内合法、正当地收集最低限度的个人信息。个人信息处理者应当在处理个人信息目的之必要范围内适当地处理个人信息，不能将其用于目的之外的其他用途。个人信息处理者应在个人信息处理目的之必要范围内，保障个人信息的准确性、完整性和最新性。”从上述规定可以看出，目的限制原则主要包含了两个维度：一是目的特定维度（thepurposespecificationdimension），即必须是为了特定、明确、合法的目的而收集个人数据，否则不得收集或进行其他的处理活动；二是兼容使用维度（the