◆ 条文要旨

本条是对个人信息处理活动应当遵循的合法、正当、必要以及诚信原则的规定。

◆ 理解与适用

一、规定个人信息处理活动基本原则的意义

《个人信息保护法》是规范个人信息处理活动的法律，从作为信息主体的角度来说是个人信息保护法，而从处理者的角度来说就是个人信息处理规则法。因此，《个人信息保护法》的基本原则实际上就是个人信息处理活动应当遵循的基本原则。个人信息处理的主体复杂，既有作为民事主体的公司企业等法人、非法人组织以及自然人，也有国家机关以及法律、法规授权的具有公共事务职能的组织。各类主体从事个人信息处理活动的目的、地域也各不相同，既有网络公司等企业出于推销产品或服务等营利目的而从事的性质上属于平等主体之间的民事活动，也有国家机关等为了履行法定职责、法定义务而实施的各类行政管理活动；既有在我国境内实施的个人信息处理行为，也有个人信息的跨境提供。总之，除了《个人信息保护法》予以排除的情形（第72条第1款），这些主体实施的性质迥异的个人信息处理活动都为《个人信息保护法》所规范。

《个人信息保护法》专设“个人信息处理规则”（第2章）以及“个人信息跨境提供的规则”（第3章）这两章对个人信息处理活动作出详细的规范。尽管如此，由于个人信息处理活动的类型众多，涉及自然人的基本权利、人身财产权益的保护与信息合理利用的协调，不仅是国内法的问题，还涉及我国法律的域外效力。特别是随着科技的发展，实践中各种新型的个人信息处理活动层出不穷，即便是条文数量再多的立法也难以一一预见并加以调整。故此，有必要依据我国《宪法》保障人权的精神以及民法和行政法等部门法的基本原则及精神理念，明确《个人信息保护法》的基本原则，也就是个人信息处理活动应当遵循的基本原则，从而避免立法上挂一漏万，及时填补法律的空白，解释法律条款的精神实质，适应保障人权、推动网络信息科技发展、促进数字社会、数字政府以及数字经济的建设。

从比较法上来看，许多国家的个人数据或个人信息保护法都明确了个人信息处理活动应当遵循的基本原则。例如，1980年《经济合作与发展组织关于隐私保护和个人数据跨境流动的指导原则》详细列举了收集限制原则、数据质量原则、列明目的原则、使用限制原则、安全保护原则、公开原则、个人参与原则、责任原则等八项原则。欧盟《一般数据保护条例》第5条是对“与个人数据处理相关的原则”的规定，该条明确了合法、正当与透明原则，目的限制原则，数据最小化原则，准确原则，存储限制原则，完整与保密原则，责任原则。2017年修订的德国《联邦数据保护法》第47条规定：“处理个人数据应当遵循下列原则：1.合法公平地处理；2.为了特定、明确且合法的目的而收集的并以不违反这些目的的方式进行处理；3.就处理目的而言适当、相关且不过度；4.准确且于必要时更新，考虑到处理目的，应采取一切合理步骤来确保不准确的个人数据被删除或更正；5.以允许识别数据主体的形式所保存的时间不超过处理该数据之目的所必需的时间；6.以确保个人数据适当安全的方式进行处理，包括使用适当的技术或组织措施来防止未经授权或非法处理以及防止意外丢失，破坏或损坏。”该条确立了个人数据处理应当遵循以下几项基本原则（Datenverarbeitungsgrundsätze），即“合法与依据诚信处理的原则” （Rechtmäßigkeit und Verarbeitung nach Treu und Glauben）、“目的限制原则”（Zweckbindung）、“数据最小化与比例原则”（Datenminimierung und Verhältnismäßigkeit）、“正确性原则”（Richtigkeit）、“限制存储”（Speicherbegrenzung）以及“系统数据保护原则”（Systemdatenschutz）。德国学者认为，上述基本原则本身就存在于国家公法当中并一直得到运用，它们本质上是法治国的法律保留原则并且主要是比例原则的体现，构建了数据法的客观法秩序，规定这些原则的意义在于：一方面，它们明确了形成数据处理体系和数据处理操作实施的抽象目标；另一方面，它们可以作为解释具体法律规范的结构化原则、优化目标以及指南。[110]

在《个人信息保护法》出台之前，我国法律也对个人信息处理活动的基本原则作出了规定。《全国人民代表大会常务委员会关于加强网络信息保护的决定》第2条规定：“网络服务提供者和其他企业事业单位在业务活动中收集、使用公民个人电子信息，应当遵循合法、正当、必要的原则，明示收集、使用信息的目的、方式和范围，并经被收集者同意，不得违反法律、法规的规定和双方的约定收集、使用信息。网络服务提供者和其他企业事业单位收集、使用公民个人电子信息，应当公开其收集、使用规则。”该法实际上明确了四项个人信息处理的原则，即合法原则、正当原则、必要原则以及公开原则。《网络安全法》延续了这一规定，其第41条第1款规定：“网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。”我国《民法典》第1035条第1款第1句明确了合法、正当与必要这三项原则，即“处理个人信息的，应当遵循合法、正当、必要原则，不得过度处理”。

在《个人信息保护法》的起草过程中，立法机关认为，应当在《民法典》《网络安全法》等法律规定的基础上，进一步充实完善个人信息处理的基本原则。《个人信息保护法》第5条至第10条对个人信息处理活动应当遵循的基本原则作出了规定，分别明确了合法原则、正当原则、必要原则、诚信原则、目的限制原则、公开透明原则、质量原则、安全原则等基本原则。

二、合法原则

合法原则（Der Rechtmäßigkeitsgrundsatz），是指个人信息处理者在对个人信息进行收集、存储、加工、使用、提供、公开等处理活动时，应当严格遵循法律的规定，采取合法的方式，不得违法处理个人信息。之所以如此，是因为对于个人信息的任何处理活动，客观上都是对自然人的个人信息权益的干扰或破坏，故此必须有法律的依据或正当化事由。否则，该等处理行为就是对个人信息权益的侵害，属于非法行为。所谓“合法”方式中“法”的范围比较广泛，不仅包括全国人大及其常委会制定的法律，也包括行政法规、地方性法规、司法解释、部门规章、地方政府规章、强制性标准等。[111]具体而言，合法原则体现在以下几个方面：

1.只有符合法律、行政法规规定的情形时，个人信息处理者才能处理个人信息。该处理行为才是合法的，对于这些情形的全面列举在我国《个人信息保护法》的第13条，该条列举了七种情形，如取得个人的同意，为订立或者履行个人作为一方当事人的合同所必需，为履行法定职责或者法定义务所必需等。只有符合其中的某一种情形，处理行为才是合法的，否则就是非法行为。

2.个人信息处理者处理个人信息的目的是合法的（即追求合法的利益），不能侵害自然人的人格尊严和人身财产权益，也不能损害社会公共利益或国家利益。对此，我国《个人信息保护法》在第10条进行了具体的规定。

3.即便是在告知并取得有效的个人同意等合法处理个人信息的情形中，处理者也必须采取合法的方式（符合比例原则的方式）开展具体的处理活动，确保个人信息处理活动符合法律、行政法规的规定。一方面，个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等，采取措施确保个人信息处理活动符合法律、行政法规的规定。另一方面，任何组织、个人不得非法收集、使用、加工、传输他人的个人信息，不得非法买卖、提供或者公开他人的个人信息，不得从事危害国家安全、公共利益的个人信息处理活动。

三、正当原则

正当原则，也称公正原则，是指处理个人信息的行为必须是正当的，处理者不应当通过不公正的方法，如通过欺骗或者在信息主体完全不知情的情况下处理其个人信息。[112]正当（fairness）是世界各国个人信息保护立法中所确立的一项基本原则。欧盟《一般数据保护条例》第5条第1款（a）项规定，应当“以合法、公正、透明的方式处理”个人数据。日本《个人信息保护法》第3条规定：“在尊重个人人格的理念下，个人信息应被慎重对待，鉴于此，应当实现个人信息之正当处理。”第17条第1款规定：“个人信息处理业者不得以虚假及其他不正当手段获取个人信息。”韩国《个人信息保护法》第3条第1款规定：“个人信息处理者应当明确处理个人信息的目的，并限于其目的之必要范围内合法、正当地收集最低限度的个人信息。”

依据我国《个人信息保护法》第5条，处理个人信息应当遵循正当原则，同时，禁止处理者通过误导、欺诈、胁迫等方式处理个人信息，因为这些方法都是不公正、不正当的（也是违反诚信原则的）。实践中，不少应用软件运营者就是通过误导、欺诈等不公正的方式来收集用户的个人信息，例如，在非服务所必需或无合理场景的情形下，以所谓积分、奖励、优惠等方式欺骗误导用户提供身份证号码以及个人生物特征等个人信息。[113]有些应用软件还通过胁迫的方式来收集用户的个人信息，例如，一些网贷平台要求用户申请贷款时除提供自己的个人信息外还必须提供亲朋好友的身份证号码、手机号码等个人信息，否则就不发放贷款，一旦用户贷款偿还上出现逾期，则不断骚扰其亲朋好友。这些对个人信息的处理行为都违反了正当的原则，属于违法行为。个人信息处理者通过欺诈、胁迫等方式取得个人的同意而处理个人信息的，该处理活动依然是违法的，不得以取得了自然人的同意作为抗辩。对此，《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》第4条有明确的规定：“有下列情形之一，信息处理者以已征得自然人或者其监护人同意为由抗辩的，人民法院不予支持：（一）信息处理者要求自然人同意处理其人脸信息才提供产品或者服务的，但是处理人脸信息属于提供产品或者服务所必需的除外；（二）信息处理者以与其他授权捆绑等方式要求自然人同意处理其人脸信息的；（三）强迫或者变相强迫自然人同意处理其人脸信息的其他情形。”

四、必要原则

必要原则是指处理个人信息的活动都应当是对于实现个人信息处理目的而言是必要的，凡是不必要的个人信息处理活动都不应当开展。必要原则是比例原则在《个人信息保护法》中的体现。比例原则（der Grundsatz der Verhältnismäβigkeit）是一项非常重要的法律原则，在公法和私法领域都适用。比例原则有广义和狭义之分，狭义的比例原则主要适用于负担行政行为以及所有的行政领域，而广义的比例原则产生于法治国家原则，不仅约束行政，也约束立法，同时被适用于一般性确定基本权利的界限，“即作为个人自由请求权和限制自由的公共利益之间的权衡要求适用”[114]。在行政法领域，比例原则包含三项要求：其一，必要性原则，即行政机关拟实施行政行为特别是实施对行政相对人的权利不利的行政行为时，只有认定该行为对达到相应的行政目的是必要的时候，才能实施；其二，适当性原则，即行政机关在实施行政行为前必须进行利益衡量，只有确认该行为对于实现相应的行政目的是适当的且可能取得的利益大于可能损害的利益时，才能实施；其三，最小损害原则，即行政机关必须在多种方案中选择对行政相对人权益损害最小的方案实施。[115]在民法中，比例原则意味着“只有在以下情形当中，个人自由及其私法自治才能受到干预，即对于维护更高的利益而言这是必要的，且此种干预既适于实现预期的目标，也是实现该目的的最缓和的方式”[116]。

个人信息或个人数据处理的必要原则也是世界各国个人信息或个人数据保护立法所坚持的一项基本原则。例如，欧盟《一般数据保护条例》导言部分第39条指出：“个人数据应当充分、相关并且仅限于其处理目的所需的必要数据。这尤其要求确保对个人数据的存储期限的必要限制。只有在处理目的不能通过其他方式合理实现的情况下，才能进行个人数据处理。为确保个人数据的保存时间不超过必要时间，应由控制者制定时间限制以进行删除或定期审查。”该条例第5条第1款将必要原则概括为“充分、相关，以及以个人数据处理目的之必要为限度进行处理”，“准确、必要、及时：以个人数据处理目的为限，应采取一切合理步骤确保不准确的个人数据被及时地处理、删除或修正”。再如，巴西《通用数据保护法》第6条第3款规定，个人数据处理活动应当遵循必要性原则，即“将处理限制在实现其目的所需的最低限度，涵盖与数据处理目的相关的、成比例的和非过量的数据”。

在我国，《个人信息保护法》颁布前，《网络安全法》《民法典》等法律对于必要原则就作出了相应的规定。《网络安全法》第41条第1款规定，网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则。《民法典》第1035条第1款规定，处理个人信息的，应当遵循合法、正当、必要原则，不得过度处理。但是，这些法律都没有对必要原则的具体要求加以明确。[117]从《个人信息保护法》的规定来看，必要原则主要体现在以下三方面：首先，收集个人信息应当遵循必要的原则，限制在实现处理目的所需要的最小范围，不得过度收集个人信息（第6条第2款）。[118]其次，处理敏感的个人信息应当具有充分的必要性，否则不得处理（第28条第2款）。最后，个人信息保存期限应当为实现处理目的所必要的最短时间，除非法律、行政法规另有规定（第19条）。

五、诚信原则

诚信原则，也称诚实信用原则（Treu und Glauben），它不仅是私法领域的最高原则之一，也是公法领域的基本原则。诚实信用原则要求秉持诚实、恪守承诺，以及当事人应当真实真诚，如实披露相关信息，不坑蒙拐骗，不欺诈他人，同时严格承诺，讲求信用。[119]

在个人信息的处理活动中，处理者也应当遵循诚信原则。对此，一些国家或地区的法律有明确的规定。[120]例如，巴西《通用数据保护法》第6条规定，个人数据处理活动应遵循诚信和相应的原则。再如，我国台湾地区“个人资料保护法”第5条规定：“个人资料之搜集、处理或利用，应尊重当事人之权益，依诚实及信用方法为之，不得逾越特定目的之必要范围，并应与搜集之目的具有正当合理之关联。”

在我国法律中，诚信原则是非常重要的一项原则，被许多法律加以规定。《民法典》第7条规定：“民事主体从事民事活动，应当遵循诚信原则，秉持诚实，恪守承诺。”这就是说，在从事民事活动时，民事主体应当讲诚信、守信用，以善意的方式行使权利、履行义务，不诈不欺，言行一致，信守诺言。[121]除了《民法典》之外，还有不少法律都明确规定了诚信原则，如《反不正当竞争法》第2条第1款规定： “经营者在生产经营活动中，应当遵循自愿、平等、公平、诚信的原则，遵守法律和商业道德。”《电子商务法》第5条规定：“电子商务经营者从事经营活动，应当遵循自愿、平等、公平、诚信的原则，遵守法律和商业道德，公平参与市场竞争，履行消费者权益保护、环境保护、知识产权保护、网络安全与个人信息保护等方面的义务，承担产品和服务质量责任，接受政府和社会的监督。”《消费者权益保护法》第4条规定：“经营者与消费者进行交易，应当遵循自愿、平等、公平、诚实信用的原则。”

我国《个人信息保护法》第5条明确将诚实信用原则作为个人信息处理活动应当遵循的一项基本原则，这就是说，处理者在从事个人信息处理活动时，应当始终秉持诚实、恪守承诺，不通过任何欺诈、误导、胁迫等方式处理个人信息，在取得个人同意或符合法律、行政法规规定的其他情形而可以处理个人信息时，也应当讲求诚信，严格按照法律规定和约定处理信息，不从事任何违反处理目的和处理方式的处理活动。

◆ 疑点与难点

民法与个人信息保护法上的胁迫

在民法上，胁迫是指以给自然人及其亲友的生命、身体、健康、名誉、荣誉、隐私、财产等造成损害或者以给法人、非法人组织的名誉、荣誉、财产等造成损害为要挟，迫使其作出不真实的意思表示。但是，在个人信息处理中，无须达到如此高的程度才能认定。也就是说，如果个人不同意处理其个人信息或者撤回其对个人信息处理的同意的，处理者就会遭到不利后果，那么就可以认定为强迫或变相强迫。并且，在是否通过胁迫方式处理个人信息发生争议时，个人信息处理者对此负有举证责任，即处理者应当证明个人是可以自愿地选择是否同意，并可在不损害其利益的情况下撤回同意。

◆ 相关规定

《全国人民代表大会常务委员会关于加强网络信息保护的决定》第2条；《网络安全法》第41条；《民法典》第1035条