第六条 【目的限制原则】

【条文主旨】

本条是关于个人信息处理中的“目的限制”原则的规定。

【条文理解】

目的限制原则是在基本原则——“合法、正当、必要、诚信”的统领下，对其必要原则的具体化。目的限制原则贯穿个人信息处理活动全过程，无论处理者是谁，采用何种处理方式，都必须受到该原则的限制。1980年，经济合作与发展组织在《关于保护隐私和个人数据跨国流通指导原则》中首先对目的限制原则作了规范的表述：“收集个人信息的目的应在不迟于收集时予以特定，且后续的使用应当被限制于满足这些目的，或者不违背这些目的的其他目的，而其他目的也应当在变更目的时予以特定。”[16]欧盟GDPR第三十九条指出，个人数据应当充分、相关并且仅限于处理目的所需的必要数据……只有在处理目的不能通过其他方式合理实现的情况下，才能进行个人数据处理。在我国《信息安全技术 个人信息安全规范》第5.2条中基于目的限制原则，对个人信息处理者提出如下要求：（1）收集的个人信息的类型应与实现产品或服务的业务功能有直接关联；直接关联是指没有上述个人信息的参与，产品或服务的功能无法实现。（2）自动采集个人信息的频率应是实现产品或服务的业务功能所必需的最低频率。（3）间接获取个人信息的数量应是实现产品或服务的业务功能所必需的最少数量。

一般来说，对目的限制原则的理解有两个层面，第一层是在信息收集阶段的目的明确，即收集信息时，信息收集者应有特定的、明确的目的；第二层是在后续的信息使用阶段的使用限制，即后续对信息实际进行处理时的目的，不得与初始目的相违背。

根据本条规定，目的限制原则有以下要求：

第一，处理个人信息应当具有明确、合理的目的。所谓目的明确，首先是指对于目的的表达，即个人信息处理者需要用清晰明确的表达说明其处理目的，而不能将目的隐藏起来或者表达得含混不清，应当尽可能保证个人信息主体、个人信息处理者乃至第三方都能够对该目的达成较为一致的理解；此外，目的本身也应当是明确的，即是有边界范围的，不能是漫无目标、没有限制的。所以对于目的的描述必须提供足够的细节，使之具备辨识度。在某些情况下，如果表达的是非常广泛的处理目的，即使进行了清晰明确的表达，也不符合目的明确的要求。比如企业在隐私政策中表明：“本公司将收集用户个人信息用于公司业务发展所需和用户体验提升。”此类表述就不符合目的明确的要求。所谓目的合理，首先要求目的必须是合法的，但这只是对处理目的的基本要求，处理目的是否合理，应当基于个案的具体情况，权衡处理者与信息主体等各方的权益和自由，最好地实现个人信息权益的保护与个人信息的合理利用之间的利益协调与平衡。当然，目的的合理性也会随着时间的推移而发生变化，这取决于科学技术的发展以及社会和文化态度的变化。个人信息的处理活动对个人权益产生的危险越大，处理目的的明确性与合理性的要求就应当越高。例如，对于敏感信息的处理，个人信息保护法第二十八条第二款就明确要求必须具有特定的目的和充分的必要性。[17]

第二，个人信息处理活动必须与处理目的直接相关。处理目的是对个人信息处理活动进行判断的标准和核心，收集信息的必要性、收集范围是不是最小范围、储存期限的长短都需要通过规范处理目的来进行判定。通过规范处理目的来限制个人信息处理活动，有利于保护信息主体的权益，因为按照告知同意原则，在收集信息之前需要向个人信息主体清晰明确告知处理的目的和方式，在此基础上个人信息主体做出同意时，会对其个人信息采取利用方式处理后可能带来的风险，有相对清晰的认知和预期，而且还可以根据预估到的风险做出相对应的防范措施，这样，整个个人信息的流动都是处于一种相对可控的范围内。而对于信息处理者来说，相对稳定的处理范畴有助于其不断加强对处理过程中可能发生的风险的认知，从而可以采取措施控制风险或者提前布置应对措施。如果不对信息处理范围加以限制，则信息的流通会趋于不可控，其后果对于个人信息主体和个人信息处理者来说都是不可预测的。

第三，采取对个人权益影响最小的方式。个人权益的范围很广，既包括基本权利如人格尊严和人身自由，也包括民法上的自然人的人身财产权益等，还包括消费者权益保护法、未成年人保护法、妇女权益保障法、残疾人保障法、老年人权益保障法等法律规定的特殊群体的自然人享有的权益。个人信息处理者的信息处理活动，不可避免地会对信息主体的权益造成影响，但是当有多种不同的处理方式都可以达成处理目的时，个人信息处理者应当选择对个人信息主体权益影响最小的方式。从具体操作上来说，个人信息处理者应当在达成使用目的的前提下，使用尽可能少的个人信息，并尽可能减少处理的次数。需要注意的是，根据个人信息类型的不同，对个人信息主体可能造成的侵权风险也不同，所以对于一些特殊的、可能对个人权益带来更大影响的个人信息，应当采用更高的必要性标准，例如，我国个人信息保护法第二十八条第二款规定，对于敏感个人信息的处理，要求处理者必须具有“充分的必要性”。

第四，收集个人信息应当限于实现处理目的的最小范围，不得过度收集个人信息。收集是个人信息生命周期的起点，一旦被收集，就可能面临后续一系列的处理行为，过度收集个人信息，对于个人信息主体来说，会导致个人信息泄露、篡改、丢失的风险增加，自身权益可能会受到损害，对于个人信息处理者来说，也需要耗费更多的成本对数据进行存储和日常管理。所谓“实现处理目的的最小范围”，是指如果不对该信息进行处理，处理目的就完全无法达成，或者核心、主要的目的无法达成。《常见类型移动互联网应用程序必要个人信息范围规定》第三条规定：“本规定所称必要个人信息，是指保障App基本功能服务正常运行所必需的个人信息，缺少该信息App即无法实现基本功能服务。具体是指消费侧用户个人信息，不包括服务供给侧用户个人信息。”该规定中，对于不同领域的主要App为实现其基本功能所必需的个人信息类型进行了列举。

【适用指南】

如何判断处理行为和处理目的“直接相关”？首先，个人信息处理者对于个人信息的一系列处理行为都应当是在该处理目的之内，即从处理目的出发，可以完全覆盖一系列处理行为，所有处理行为都可以指向该处理目的；但是“直接相关”是否要求所有的处理行为都只指向特定的处理目的呢？有观点认为在判断是否“直接相关”上，应当采取非常严格的标准，即处理者的行为与该明确、合理的处理目的具有内在的、密切的关联性，该行为只能实现这一处理目的，而不能或无法实现其他的处理目的。[18]在实践中，同样的行为可以指向很多不同目的，比如通过对个人信息进行分析给信息主体“画像”，这一处理行为既可以指向进行精准广告推送的目的，也可以指向提供特定服务的目的，在这种情况下，很难使处理行为仅仅对应一个单一的目的，而且随着技术水平的提升和商业模式的升级，这样的一一对应可能更难实现。因此对于“直接相关”的理解，可以更多地从必要性的角度出发，比如《信息安全技术 个人信息安全规范》中对此的解释是：直接关联是指没有上述个人信息的参与，产品或服务的功能无法实现。具体实践中可以对多个因素进行综合判断，包括某处理行为是否可以达成特定目的；是否只能达成特定目的；为了达成特定目的，该处理行为是不是唯一渠道或者最优渠道，是否符合行业惯例；该处理行为可能造成何种后果；等等。通过对个人信息主体利益和个人信息处理效率进行平衡，综合多方因素判断处理行为和处理目的之前的关系密切程度。

实践中，一些应用软件强制捆绑，要求消费者提供大量的个人信息，如果不提供信息，则无法使用其服务。或者在用户协议或隐私政策中，对于个人信息处理目的描述不够清晰明确，比如仅提出“改善用户体验或者提升数据安全的需要”。这些都属于目的限制原则下的高风险行为。《常见类型移动互联网应用程序必要个人信息范围规定》第四条明确要求，“App不得因为用户不同意提供非必要个人信息，而拒绝用户使用其基本功能服务”。此外，该规定中还首次将小程序明确纳入App收集个人信息的监管范围。该规定第五条划定了三十九种常见类型App的基本功能服务和必要个人信息范围。从划分逻辑上来看，将App的功能划分为“基础功能”和“扩展功能”，并依据基础功能划分必要个人信息范围。如果企业基于“基础功能”以外的“扩展功能”来收集个人信息，则面临需要另行获得消费者的授权或者单独同意，不可以基于消费者不提供扩展功能所需要的个人信息而拒绝为其提供基础服务。为此，企业应慎重使用扩展功能的描述和个人信息获得的范围。

【相关规定】

《中华人民共和国个人信息保护法》第二十八条第二款；《常见类型移动互联网应用程序必要个人信息范围规定》第三条、第四条、第五条。