◆ 条文要旨

本条是对国家积极参与个人信息保护国际规则的制定以及个人信息保护的国际交流与合作的规定。

◆ 理解与适用

进入21世纪后，世界经济一体化的程度日渐加深，尤其是随着网络信息科技的高速发展，互联网的虚拟性、开放性和全球性打破了国家主权实体边界的物理限制，数据和个人信息通过网络科技可以在全世界范围内流动。因此，个人信息保护已经不是单纯的一国国内法的问题，而是与全世界各个国家地区的人民、各国国家安全和国家利益息息相关。虽然围绕着个人信息和数据保护，在国际层面上始终存在复杂的利益冲突和国家之间的斗争。但是，也有共识与合作。2015年12月16日，习近平总书记在第二届世界互联网大会开幕式上发表的主旨演讲中提出了共同构建网络空间命运共同体的“五点主张”，即加快全球网络基础设施建设，促进互联互通；打造网上文化交流共享平台，促进交流互鉴；推动网络经济创新发展，促进共同繁荣；保障网络安全，促进有序发展；构建互联网治理体系，促进公平正义。2018年11月7日，习近平总书记在致第五届世界互联网大会的贺信中指出：“世界各国虽然国情不同、互联网发展阶段不同、面临的现实挑战不同，但推动数字经济发展的愿望相同、应对网络安全挑战的利益相同、加强网络空间治理的需求相同。各国应该深化务实合作，以共进为动力、以共赢为目标，走出一条互信共治之路，让网络空间命运共同体更具生机活力。”

依据《个人信息保护法》第12条，首先，国家积极参与个人信息保护国际规则的制定。目前尚无全球性的个人信息保护规则，多是区域性规则、公约以及国家之间的协议，如欧盟《一般数据保护条例》。在个人信息保护的公约方面，影响最大的就是1981年欧洲理事会（Council of Europe）发布的《关于个人数据自动化处理的个人保护公约》（Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data）。由于该公约在欧洲理事会《欧洲条约集》（European Treaty Series）中编号108，故此，其也被简称为“108号公约”（Convention 108）。该公约经数次修订后，除了向欧洲理事会成员国和欧盟开放外，也面向非欧洲国家以及国际组织开放签署。截至2019年3月，公约的缔约方有中欧洲理事会成员国26个（英国、德国、法国、俄罗斯、瑞典、芬兰、挪威、荷兰、比利时、西班牙、葡萄牙、意大利、爱尔兰、匈牙利、冰岛等主要欧洲国家），有非欧洲理事会成员国1个（即乌拉圭）。我国应当积极参与个人信息保护国际规则的制定，掌握规则制定的话语权，成为国际规则的参与者与主导者，从而更好地维护自身利益。其次，促进个人信息保护方面的国际交流与合作，推动与其他国家、地区、国际组织之间的个人信息保护规则、标准等的互认。例如，在个人信息跨境流动方面，以工业互联网、车联网等重点领域为突破口，积极寻求与重要的贸易伙伴通过双边、多边协议建立个人信息与数据跨境流动认证等信任机制。

◆ 相关规定

《数据安全法》第11条

---

[1] Graham Greenleaf，Global data privacy laws 2021：Despite Covid delays，145 laws show GDPR dominance，（2021） 169 Privacy Laws & Business International Report，P.1.

[2] Graham Greenleaf，Global data privacy laws 2021：Despite Covid delays，145 laws show GDPR dominance，（2021） 169 Privacy Laws & Business International Report，P.3.

[3] 喻海松：《网络犯罪二十讲》，法律出版社2018年版，第203页。

[4] 2015年第十二届全国人大常委会第十六次会议通过的《刑法修正案（九）》第253条之一作了进一步完善，对向他人出售或者提供公民个人信息，情节严重的予以刑事制裁，并取消了原来对获取或非法出售个人信息的主体范围的限制。

[5] 《消费者权益保护法》中增加个人信息保护的规定，就是为了更好地保护消费者的个人信息。参见李适时（第十二届全国人大常委会法制工作委员会主任）：《关于〈中华人民共和国消费者权益保护法修正案（草案）〉的说明》，2013年4月23日在第十二届全国人民代表大会常务委员会第二次会议上。

[6] 我国个人信息泄露以及非法数据交易现象极为严重，尤其是“徐某玉因信息泄露而被骗学费引发急病发作死亡”以及“清华大学教师被电信诈骗1700多万元”这两则因个人信息被泄露而给受害人造成重大损失的案件，在社会上产生了很大的影响，进而推动了《民法总则》第111条关于个人信息保护规定的出台。参见杨立新：《个人信息：法益抑或民事权利——对〈民法总则〉第111条规定的“个人信息”之解读》，载《法学论坛》2018年第1期。

[7] 张新宝：《〈民法总则〉个人信息保护条文研究》，载《中外法学》2019年第1期。

[8] 《民法典》的物权编和侵权责任编中也有涉及个人信息保护的规定，如《民法典》第219条规定：“利害关系人不得公开、非法使用权利人的不动产登记资料。”第1226条规定：“医疗机构及其医务人员应当对患者的隐私和个人信息保密。泄露患者的隐私和个人信息，或者未经患者同意公开其病历资料的，应当承担侵权责任。”

[9] 中国互联网络信息中心：《第48次中国互联网络发展状况统计报告》（2021年6月），载微信公众号“网络传播杂志”，2021年8月27日。

[10] 全国人大常委会法制工作委员会副主任刘俊臣：《关于〈中华人民共和国个人信息保护法（草案）〉的说明》，2020年10月13日在第十三届全国人民代表大会常务委员会第二十二次会议上。

[11] 德国学者Winfried基于对国际法、欧盟法和德国法的分析，归纳了10种法律应当规范的数据处理的风险类型：（1）使个人更容易遭受犯罪侵害；（2）对公众形象的羞辱和损害；（3）造成选择性目标损害（歧视与羞辱）；（4）信息永久性：信息的永久存储以及获得和检索的可能能够不断重建个体行为，从而减少集体社交遗忘的机会；（5）去情境化的风险；（6）信息产生阶段的风险：自动从各种来源获得新知识的可能性产生了新的危险，例如使用数据分析方法所获得的个人信息；（7）信息的不准确，即非结构化的数据源、不受控制和不透明的处理程序和数据伪造产生的数据质量差的风险，而数据质量差又会引起不同的风险；（8）把人仅仅当作物体来对待：特别是通过完全自动化的个人决定将产生把人降格为物体的危险；（9）他律，即对个人行为的操纵既可以在微观上对人类的行为自由产生消极的影响，也可以在宏观上对政治进程产生消极的影响；（10）对合理的保密期望的落实感到失望。See Veil & Winfried，The GDPR：The Emperor's New Clothes-On the Structural Shortcomings of Both the Old and the New Data Protection Law （December 21，2018）.Vgl.Neue Zeitschrift für Verwaltungsrecht 10/2018：686-696，at SSRN：https：//ssrn.com/abstract＝3305056（Last visited on July 6，2019）.

[12] 高富平：《个人信息处理：我国个人信息保护法的规范对象》，载《法商研究》2021年第2期。

[13] 全国人大常委会法制工作委员会副主任刘俊臣：《关于〈中华人民共和国个人信息保护法（草案）〉的说明》，2020年10月13日在第十三届全国人民代表大会常务委员会第二十二次会议上。

[14] 全国人民代表大会常务委员会副委员长王晨：《关于〈中华人民共和国民法典（草案）〉的说明》，2020年5月22日在第十三届全国人民代表大会第三次会议上，载中国人大网，http：//www.npc.gov.cn/npc/c30834/202005/50c0b507ad32464aba87c2ea65bea00d.shtml，最后访问时间：2020年5月29日。

[15] 平衡自然人权益的保护与个人信息或个人数据的合理利用是我国公法学界与私法学界的共识。相关论文可参见蔡培如、王锡锌：《论个人信息保护中的人格保护与经济激励机制》，载《比较法研究》2020年第1期；周汉华：《探索激励相容的个人数据治理之道——中国个人信息保护法的立法方向》，载《法学研究》2018年第2期；王利明：《论个人信息权的法律保护——以个人信息权与隐私权的界分为中心》，载《现代法学》2013年第4期。

[16] 《全国人民代表大会宪法和法律委员会关于〈中华人民共和国个人信息保护法（草案）〉审议结果的报告》。

[17] 石佳友：《个人信息保护法与民法典如何衔接协调》，载《人民论坛》2021年1月中期。王泽鉴教授也认为，个人信息保护法保护的个人信息上的人格权，故此属于民法的特别法。参见王泽鉴：《人格权：法释义学、比较法、案例研究》，台湾作者印行2012年版，第252页。

[18] 周汉华：《个人信息保护的法律定位》，载《法商研究》2020年第3期。

[19] 杨芳：《个人信息保护法保护客体之辨——兼论个人信息保护法和民法适用上之关系》，载《比较法研究》2017年第5期。

[20] 王苑：《个人信息保护在民法中的表达——兼论民法与个人信息保护法之关系》，载《华东政法大学学报》2021年第2期。

[21] 李适时主编：《中华人民共和国消费者权益保护法释义（最新修正版）》，法律出版社2013年版，第52页。

[22] 张新宝：《〈民法总则〉个人信息保护条文研究》，载《中外法学》2019年第1期。

[23] 杨立新：《个人信息：法益抑或民事权利——对〈民法总则〉第111条规定的“个人信息”之解读》，载《法学论坛》2018年第1期。

[24] 王利明：《论个人信息权的法律保护——以个人信息权与隐私权的界分为中心》，载《现代法学》2013年第4期。也有个别学者认为，个人信息权属于财产权，即是自然人对其个人信息的商业价值进行支配的一种新型财产权，参见刘德良：《个人信息的财产权保护》，载《法学研究》2007年第3期。还有人认为，个人信息完全可以通过扩张隐私权的方式予以保护，没有必要确立个人信息权这一新型的人格权，参见徐明：《大数据时代的隐私危机及其侵权法应对》，载《中国法学》2017年第1期。

[25] 参见王利明主编：《中华人民共和国民法总则详解》（上），中国法制出版社2017年版，第465页。

[26] 龙卫球、刘保玉：《中华人民共和国民法总则释义与适用指导》，中国法制出版社2017年版，第404页。

[27] 参见叶金强：《〈民法总则〉“民事权利章”的得与失》，载《中外法学》2017年第3期。

[28] 著名法学家王利明教授在多个场合和论文中都呼吁应当规定个人信息权。参见王利明：《论个人信息权的法律保护——以个人信息权与隐私权的界分为中心》，载《现代法学》2013年第4期。

[29] 例如，有观点认为，承认个人信息的民法保护就等于在民法上将自然人对个人信息的权利界定为绝对权和支配权，而这会产生很大的弊端，会造成信息无法自由地流动，将每个人变成一座孤岛而无法进行正常的社会交往。参见丁晓东：《个人信息私法保护的困境与出路》，载《法学研究》2018年第6期。

[30] 杨芳：《个人信息保护法保护客体之辨——兼论个人信息保护法和民法适用上之关系》，载《比较法研究》2017年第5期。

[31] 参见程啸：《论大数据时代的个人数据权利》，载《中国社会科学》2018年第3期；程啸：《民法典编纂视野下的个人信息保护》，载《中国法学》2019年第4期。

[32] 参见周汉华：《个人信息保护的法律定位》，载《法商研究》2020年第3期。

[33] 对于主要国家或地区个人信息保护立法和执法情况的详细介绍，可参见王融：《大数据时代：数据保护与流动规则》，人民邮电出版社2017年版，第35页以下；李爱君、苏桂梅主编：《国际数据保护规则要览》，法律出版社2018年版。

[34] 参见王利明：《论个人信息权在人格权法中的地位》，载《苏州大学学报》2012年第6期。

[35] 齐爱民：《论个人信息的法律属性与构成要素》，载《情报理论与实践》2009年第10期。

[36] 王利明主编：《中华人民共和国民法总则详解》（上册），中国法制出版社2017年版，第456页。

[37] 参见张新宝：《〈民法总则〉个人信息保护条文研究》，载《中外法学》2019年第1期；刘金瑞：《个人信息与权利配置——个人信息自决权的反思和出路》，法律出版社2017年版，第109页以下。

[38] 在我国法学界，就人格权究竟是宪法权利还是民法上的权利存在争议，主流的观点对二者均予以认可，同时加以区分。相关争议，可参见尹田：《论人格权的本质——兼评我国民法草案关于人格权的规定》，载《法学研究》2003年第4期；王利明：《人格权法研究（第三版）》，中国人民大学出版社2018年版，第18-20页；马俊驹：《人格和人格权理论讲稿》，法律出版社2009年版，第89-96页；刘凯湘：《人格权的宪法意义与民法表述》，载《社会科学战线》2012年第2期；林来梵、骆正言：《宪法上的人格权》，载《法学家》2008年第5期；张善斌：《民法人格权和宪法人格权的独立与互动》，载《法学评论》2016年第6期；王锴：《论宪法上的一般人格权及其对民法的影响》，载《中国法学》2017年第3期。

[39] [美]艾伦·德肖维茨：《你的权利从哪里来？》，黄煜文译，北京大学出版社2014年版，第8页。

[40] James Q.Whitman，The Two Western Cultures of Privacy：Dignity Versus Liberty，The Yale Law Journal，Vol.113：1165.

[41] 郭瑜：《个人数据保护法研究》，北京大学出版社2012年版，第49页。

[42] 刘德良：《个人信息的财产权保护》，载《法学研究》2007年第3期；刘金瑞：《个人信息与权利配置——个人信息自决权的反思和出路》，法律出版社2017年版，第256页。

[43] 王泽鉴：《人格权法：法释义学、比较法、案例研究》，台湾作者印行2012年版，第344页。

[44] 程合红：《商事人格权论——人格权的经济利益内涵及其实现与保护》，中国人民大学出版社2002年版，第51页。

[45] 郑成思：《商品化权刍议》，载《中华商标》1996年第2期；吴汉东：《形象的商品化与商品化的形象权》，载《法学》2004年第10期；吴汉东：《无形财产权基本问题研究（第三版）》，中国人民大学出版社2013年版。

[46] 孔祥俊：《姓名权与姓名的商品化权益及其保护》，载《法学》2018年第3期。

[47] 参见王利明：《人格权法研究（第三版）》，中国人民大学出版社2018年版，第223页。

[48] 姚辉：《关于人格权商业化利用的若干问题》，载《法学论坛》2011年第6期；王叶刚：《人格权中经济价值法律保护模式探讨》，载《比较法研究》2014年第1期。

[49] 徐明：《大数据时代的隐私危机及其侵权法应对》，载《中国法学》2017年第1期；丁晓东：《个人信息私法保护的困境与出路》，载《法学研究》2018年第6期。

[50] 王利明：《论个人信息权的法律保护——以个人信息权与隐私权的界分为中心》，载《现代法学》2013年第4期；张新宝：《从隐私到个人信息：利益再衡量的理论与制度安排》，载《中国法学》2015年第3期。

[51] [美]路易斯·D.布兰代斯等：《隐私权》，宦盛奎译，北京大学出版社2014年版。

[52] See William L.Prosser，Privacy，48 Cal.L.Rev.383，1960.

[53] [美]阿丽塔·L.艾伦、理查德·C.托克音顿：《美国隐私法：学说、判例与立法》，冯建妹、石宏等译，中国民主法制出版社2004年版，第7页。

[54] 王泽鉴：《人格权法：法释义学、比较法、案例研究》，台湾作者印行2012年版，第217页以下。

[55] 王泽鉴：《人格权法：法释义学、比较法、案例研究》，台湾作者印行2012年版，第225页。

[56] 参见程啸：《侵权责任法（第二版）》，法律出版社2015年版，第165-166页。

[57] 王利明：《论个人信息权的法律保护——以个人信息权与隐私权的界分为中心》，载《现代法学》2013年第4期。

[58] “王某诉张某奕名誉权、隐私权纠纷案”，北京市朝阳区人民法院（2008）朝民初字第10930号民事判决书。

[59] 因此，不使用他人姓名而是用数字、编号来代替，是对人格尊严的侵害，如纳粹的集中营中使用编号来称呼被关押的犹太人。

[60] 王利明：《论个人信息权的法律保护——以个人信息权与隐私权的界分为中心》，载《现代法学》2013年第4期。

[61] 有观点认为，隐私权人也具有积极的权能，如隐私隐瞒权、隐私处分权和信息自主权。其中隐私处分权包括隐私公开权和隐私许可权。隐私许可权意味着隐私权人可以授权他人使用自己的隐私。参见张红：《人格权各论》，高等教育出版社2015年版，第522页。

[62] 北京互联网法院（2019）京0491民初16142号民事判决书。

[63] 程晓霞、余民才主编：《国际法（第六版）》，中国人民大学出版社2021年版，第48页以下。

[64] 霍政欣：《国内法的域外效力：美国机制、学理解构与中国路径》，载《政法论坛》2020年第2期。

[65] 张明楷：《刑法学（第五版）》（上册），法律出版社2016年版，第73页。

[66] Paul Voigt & Axel von dem Bussche，The EU General Data Protection Regulation（GDPR）：A Practical Guide，Springer，2017，P.22.

[67] 俞胜杰：《〈通用数据保护条例〉第3条（地域范围）评注——以域外管辖为中心》，载《时代法学》2020年第2期。

[68] ECJ，ruling of 1 October 2015，Weltimmo，C-230/14.

[69] Paul Voigt & Axel von dem Bussche，The EU General Data Protection Regulation（GDPR）：A Practical Guide，Springer，2017，P.23.

[70] ECJ，ruling of 13 May 2014，Google Spain，C-131/12，rec.55； Plath，in：Plath，Art.3 （2016），rec.9.

[71] 有的学者称为“目标指向标准”或“目标意图标准”，参见孔庆江、于华溢：《数据立法域外适用现象及中国因应策略》，载《法学杂志》2020年第8期；俞胜杰：《〈通用数据保护条例〉第3条（地域范围）评注——以域外管辖为中心》，载《时代法学》2020年第2期；还有的学者称为“市场地原则”，参见金晶：《欧盟〈一般数据保护条例〉：演进、要点与疑义》，载《欧洲研究》2018年第4期。

[72] 王虎华：《国际公法学》，北京大学出版社2015年版，第85页。

[73] Paul Voigt & Axel von dem Bussche，The EU General Data Protection Regulation（GDPR）：A Practical Guide，Springer，2017，P.26.

[74] Paul Voigt & Axel von dem Bussche，The EU General Data Protection Regulation（GDPR）：A Practical Guide，Springer，2017，P.27.

[75] Alich/Voigt，CR 2012，344，345.

[76] 张新宝、葛鑫：《个人信息保护法（专家建议稿）及立法理由书》，中国人民大学出版社2021年版，第4页以下。

[77] 诚如学者所言，这种态度与我国在近代曾作为西方列强“治外法权”的受害国，从而对于域外管辖制度有比较负面的历史记忆密切相关。参见石佳友：《我国证券法的域外效力研究》，载《法律科学》2014年第5期。

[78] 全国人大常委会法制工作委员副主任刘俊臣：《关于〈中华人民共和国个人信息保护法（草案）的说明〉》，2020年10月13日在第十三届全国人民代表大会常务委员会第二十二次会议上。

[79] 韩旭至：《个人信息的法律界定及类型化研究》，法律出版社2018年版，第31页以下。

[80] “北京百度网讯科技有限公司与朱某隐私权纠纷案”，南京市中级人民法院（2014）宁民终字第5028号民事判决书。

[81] Maria Christia Caldarola & Joachim Schrey：《大数据与法律实务指南》，赵彦清、黄俊凯译，台湾元照出版公司2020年版，第52页。

[82] [德]Christopher Kuner：《欧洲数据保护法：公司遵守与管制（第二版）》，旷野等译，法律出版社2008年版，第83页。

[83] 《公安部：全国公民身份证号码重号人数由171万人减至8人》，https：//www.guancha.cn/minsheng/2017_04_27_405647.shtml。

[84] 南京市中级人民法院（2014）宁民终字第5028号民事判决书。对该案中间接识别问题的论述可参见李谦：《人格、隐私与数据：商业实践及其限度——兼评中国Cookie隐私权纠纷第一案》，载《中国法律评论》2017年第2期。

[85] 《全国人民代表大会常务委员会关于加强网络信息保护的决定》第6条规定：“网络服务提供者为用户办理网站接入服务，办理固定电话、移动电话等入网手续，或者为用户提供信息发布服务，应当在与用户签订协议或者确认提供服务时，要求用户提供真实身份信息。”《网络安全法》第24条第1款规定：“网络运营者为用户办理网络接入、域名注册服务，办理固定电话、移动电话等入网手续，或者为用户提供信息发布、即时通讯等服务，在与用户签订协议或者确认提供服务时，应当要求用户提供真实身份信息。用户不提供真实身份信息的，网络运营者不得为其提供相关服务。”此外，工信部颁布的《电话用户真实身份信息登记规定》第6条规定：“电信业务经营者为用户办理入网手续时，应当要求用户出示有效证件、提供真实身份信息，用户应当予以配合。用户委托他人办理入网手续的，电信业务经营者应当要求受托人出示用户和受托人的有效证件，并提供用户和受托人的真实身份信息。”据工信部2017年发布的消息，2016年工信部共组织1.2亿电话用户进行实名补登记，至此全部电话用户均实现实名登记。

[86] Article 29 Data Protection Working Party，Opinion 4/2007 On the Concept of Personal Data，01248/07/EN WP 136，P.13.

[87] 欧盟第29条工作组（Article 29 Data Protection Working Party）是根据1995年欧洲议会和欧盟理事会《关于涉及个人数据处理的个人保护以及此类数据自由流动的指令（95/46/EC）》第29条建立的由各欧盟成员国数据保护机关代表所组成的独立咨询机关。

[88] Article 29 Data Protection Working Party，Opinion 4/2007 On the Concept of Personal Data，01248/07/EN WP 136，P.12.

[89] Article 29 Data Protection Working Party，Opinion 4/2007 On the Concept of Personal Data，01248/07/EN WP 136，P.10-11.

[90] Christopher Kuner，Lee A.Bygrave&Christopher Docksey ed.，The EU General Data Protection Regulation （GDPR）：A Commentary，Oxford University Press，2020，P.110.

[91] “余某与北京酷车易美网络科技有限公司隐私权纠纷案”，广州互联网法院（2021）粤0192民初928号民事判决书。

[92] 我国《网络安全法》第42条第1款第2句规定“经过处理无法识别特定个人且不能复原的除外”，指的就是个人信息的匿名化。

[93] Art.29 Data Protection Working Party，WP 216 （2014），P.12.

[94] Art.29 Data Protection Working Party，WP 216 （2014），P.16.

[95] Paul Ohm，Broken Promises of Privacy，57 UCLA Law Review，1701（2010）.

[96] Paul Ohm，Broken Promises of Privacy，57 UCLA Law Review，1701（2010），at 1718.

[97] DPD与GDPR对于个人数据处理的定义基本相同，二者唯一的区别在于它们列举的“处理”的具体类型有些区别，GDPR列举处理类型中增加了“建构”（structuring），同时用“限制”（restriction）取代了“冻结”（blocking），因为后者被认为是含混不清的概念。Christopher Kuner，Lee A.Bygrave & Christopher Docksey ed.，The EU General Data Protection Regulation （GDPR）：A Commentary，Oxford University Press，2020，P.118.

[98] 2012年11月5日，国家质量监督检验检疫总局、国家标准化管理委员会发布的《信息安全技术 公共及商用服务信息系统个人信息保护指南》中出现了“个人信息处理”的概念，该指南将“个人信息处理”界定为：“处置个人信息的行为，包括收集、加工、转移、删除。”

[99] 石冠彬主编：《中华人民共和国民法典立法演进与新旧法对照》，法律出版社2020年版，第387页。

[100] 黄薇主编：《中华人民共和国民法典人格权编解读》，中国法制出版社2020年版，第218-219页。

[101] Christopher Kuner，Lee A.Bygrave & Christopher Docksey ed.，The EU General Data Protection Regulation （GDPR）：A Commentary，Oxford University Press，2020，P.119.

[102] 《信息安全技术 个人信息安全规范》（GB/T 35273—2020）第3.5条将个人信息的收集界定为“获得对个人信息的控制权的行为”，该条注释指出：“包括由个人信息主体主动提供、通过与个人信息主体交互或记录个人信息主体行为等自动采集行为，以及通过共享、转让、搜集公开信息等间接获取个人信息等行为。如果产品或服务的提供者提供工具供个人信息主体使用，提供者不对个人信息进行访问的，则不属于本标准所称的收集。例如，离线导航软件在终端获取个人信息主体位置信息后，如果不回传至软件提供者，则不属于个人信息主体位置信息的收集。”

[103] 该指南由公安部网络安全保卫局、北京网络行业协会、公安部第三研究所于2019年4月10日发布。

[104] 有学者认为，立法使用个人数据的概念更为准确。参见郭瑜：《个人数据保护法研究》，北京大学出版社2012年版，第127-128页；谢永志：《个人数据保护法立法研究》，人民法院出版社2013年版，第6页。

[105] 日本学者对个人信息和个人数据的关系做了较为清晰的阐述，参见[日]松本恒雄、斋藤雅弘、町村泰贵主编：《电子商务法》，朴成姬译，北京大学出版社2019年版，第170-172页。

[106] [英]维克托·迈尔-舍恩伯格、肯尼斯·库克耶：《大数据时代：生活、工作与思维的大变革》，盛杨燕、周涛译，浙江人民出版社2013年版，第9页。

[107] 普适计算意味着人类收集信息的能力越来越强，通过在人类生活的物理环境中广泛部署微小的计算设备即传感器及其技术的应用，人类有能力开始大规模记录物理世界的状态。

[108] 涂子沛：《数据之巅：大数据革命、历史、现实与未来》，中信出版社2014年版，第281-282页。

[109] European Data Protection Supervisor，Opinion 7/2015，Meeting the challenges of big data：A call for transparency，user control，data protection by design and accountability，19 November 2015，P.8.

[110] Gola/Heckmann，Bundesdatenschutzgesetz，13.Auflage，Beck，2019，Rn.2-3.

[111] 欧盟《一般数据保护条例》第5条第1款（a）项也确立了合法原则。欧盟第29条工作组（Article 29 Data Protection Working Party）认为，所谓合法中的“法”应当作最广义的解释，包括各种形式的成文法和普通法、初级立法和次级立法、市政法令、先例、宪法原则、基本权利、其他法律原则以及判例，因为这些“法律”将由主管法院解释和考虑。See，Art.29 Data Protection Working Party，WP 203 （2013），P.20.

[112] Christopher Kuner，Lee A.Bygrave & Christopher Docksey ed.，The EU General Data Protection Regulation （GDPR）：A Commentary，Oxford University Press，2020，P.314.

[113] 参见《工业和信息化部关于开展纵深推进APP侵害用户权益专项整治行动的通知》（工信部信管函〔2020〕164号）。

[114] [德]哈特穆特·毛雷尔：《行政法学总论》，高家伟译，法律出版社2000年版，第238-239页。

[115] 姜明安主编：《行政法与行政诉讼法（第七版）》，北京大学出版社、高等教育出版社2019年版，第77页。

[116] Larenz/Wolf，Allgemeiner Teil des Bügerlichen Rechts，9Aufl.，Beck，2004，§1，Rn.4.我国学者对民法中比例原则的详细讨论，参见郑晓剑：《比例原则在民法上的适用及展开》，载《中国法学》2016年第2期。

[117] 例如，《信息安全技术 个人信息安全规范》（GB/T 35273—2020）第4条将必要原则称为“最小必要”原则，并界定为“只处理满足个人信息主体授权同意的目的所需的最少个人信息类型和数量。目的达成后，应及时删除个人信息”。此外，该标准第5.2条认为，基于收集个人信息的最小必要这一原则，对个人信息控制者应提出如下要求：（1）收集的个人信息的类型应与实现产品或服务的业务功能有直接关联，直接关联是指没有上述个人信息的参与，产品或服务的功能无法实现；（2）自动采集个人信息的频率应是实现产品或服务的业务功能所必需的最低频率；（3）间接获取个人信息的数量应是实现产品或服务的业务功能所必需的最少数量。

[118] 《App违法违规收集使用个人信息行为认定方法》第4条规定，以下行为可被认定为“违反必要原则，收集与其提供的服务无关的个人信息”：（1）收集的个人信息类型或打开的可收集个人信息权限与现有业务功能无关；（2）因用户不同意收集非必要个人信息或打开非必要权限，拒绝提供业务功能；（3）App新增业务功能申请收集的个人信息超出用户原有同意范围，若用户不同意，则拒绝提供原有业务功能，新增业务功能取代原有业务功能的除外；（4）收集个人信息的频度等超出业务功能实际需要；（5）仅以改善服务质量、提升用户体验、定向推送信息、研发新产品等为由，强制要求用户同意收集个人信息；（6）要求用户一次性同意打开多个可收集个人信息的权限，用户不同意则无法使用。

[119] 王利明、杨立新、王轶、程啸：《民法学（第六版）》（上册），法律出版社2020年版，第43页。

[120] 德国学者认为，在个人信息保护法中的诚信原则的含义不同于德国《民法典》第242条的诚信原则，处理个人信息时遵循诚信原则应当被解释为一种“关照义务”（Rücksichtnahmepflicht），其部分内容可以被解释为GDPR中的透明原则，即处理者不得秘密处理信息主体的个人信息。Gola/Heckmann，Bundesdatenschutzgesetz，13.Aufl.2019，Beck，Rn.14.

[121] 黄薇主编：《中华人民共和国民法典总则编解读》，中国法制出版社2020年版，第20页。

[122] 李惠宗：《个人资料保护法上的帝王条款——目的拘束原则》，载《法令月刊》第64卷第1期。

[123] 有的国家标准曾规定了“目的明确原则”，如《信息安全技术 公共及商用服务信息系统个人信息保护指南》（GB/Z 28828—2012）规定了目的明确原则，并将之界定为：“处理个人信息具有特定、明确、合理的目的，不扩大使用范围，不在个人信息主体不知情的情况下改变处理个人信息的目的。”

[124] Maximilian von Grafenstein，The Principle of Purpose Limitation in Data Protection Laws，Nomos，2018，P.649-653.

[125] Gola/Heckmann/Braun，13.Aufl.2019，BDSG § 47 Rn.17.

[126] Explanatory Report Convention 108 2018，P.8.

[127] Article 29 Working Party，Opinion 03/2013 on purpose limitation，WP 203，Adopted on 2 April 2013，P.19.

[128] Christopher Kuner，Lee A.Bygrave & Christopher Docksey ed.，The EU General Data Protection Regulation （GDPR）：A Commentary，Oxford University Press，2020，P.315.

[129] 林洲富：《个人资料保护法之理论与实务》，台湾元照出版公司2019年版，第27页。

[130] 2021年3月12日，国家互联网信息办公室秘书局、工业和信息化部办公厅、公安部办公厅、国家市场监督管理总局办公厅印发，国信办秘字〔2021〕14号。

[131] Paal/Pauly，DSGVO，Art.5 （2017），rec.39.

[132] “肖某与中国农业银行股份有限公司安远县支行名誉权纠纷案”，赣州市中级人民法院（2016）赣07民终930号民事判决书。

[133] [德]克里斯蒂安·冯·巴尔：《欧洲比较侵权行为法》（上卷），张新宝译，法律出版社2004年版，第10页。

[134] Paul Voigt & Axel von dem Bussche，The EU General Data Protection Regulation（GDPR）：A Practical Guide，Springer，2017，P.31.

[135] 依据《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第3条，向特定人提供公民个人信息，以及通过信息网络或者其他途径发布公民个人信息的，应当认定为《刑法》第253条之一规定的“提供公民个人信息”。

[136] 我国学者将社会利益界定为六种类型，即（1）公共秩序的和平与安全；（2）经济秩序的健康、安全及效率化；（3）社会资源与机会的合理保存与利用；（4）社会弱者利益（如市场竞争社会中的消费者利益、劳动者利益等等）的保障；（5）公共道德的维护；（6）人类朝文明方向发展的条件（如公共教育、卫生事业的发展）等。参见孙笑侠：《论法律与社会利益——对市场经济中公平问题的另一种思考》，载《中国法学》1995年第4期。

[137] 彭波、张璁、倪弋：《迈出建设网络强国的坚实步伐——习近平总书记关于网络安全和信息化工作重要论述综述》，载《人民日报》2019年10月19日。