目的限制原则

第五节　目的限制原则

目的限制原则是个人信息保护法的基本原则之一，是和目的明确原则紧密配合的一个原则。目的明确原则旨在要求个人信息管理者进行个人信息处理应有明确的目的，目的限制原则旨在确保信息管理者收集和处理个人信息应受“明确目的”之限制。

一、目的限制原则及其例外和突破

（一）目的限制原则的概念和内容

目的限制原则（Purpose Limitation Principle）是指个人信息的收集和利用均限于最初确立的目的，与该目的保持一致；并应采取公平合理的收集方式。

目的限制原则是民法上的诚实信用原则和行政法上的比例原则的体现。擅自改变收集目的，是对信息主体的欺诈，直接违反了诚实信用原则。对收集目的的改变，同时违反了行政法的比例原则。国家机关收集和利用个人信息，必须在职责范围内进行。随着经济和社会的发展，国家对个人信息进行处理和利用的需求越来越多，这就需要在国家权力和私人权利之间确立一条明确的界限，这条界限就是机关职责。任何国家机关都不得从事超出自身职责的个人信息收集和利用。

（二）目的限制原则的例外

欧盟指令第7条是关于超出了目的之外的个人信息处理的特殊情形，这些情形的判定标准为正当性（legitimacy）标准，符合正当性标准的可为目的外处理，否则不可以进行目的外处理。这些情形包括。

（1）信息主体的明确同意；

（2）有关个人信息的处理是与信息主体缔结合同所必须；

（3）个人信息管理者为目的外处理满足法定条件；

（4）个人信息管理者为目的外处理是为保护信息主体的根本利益所必须；

（5）个人信息管理者为目的外处理是执行基于公共利益或运用行政权力的任务所必须；

（6）个人信息管理者为目的外处理是为实现和保护处于优先地位的“正当利益”所必须。

关于目的限制原则最明显的例子就是，如果客户填写个人信息是为了开账单或结账，那么商家就不可以将此信息收集后出售，或者进行自己的广告宣传。但是，若客户在客房丢失了钥匙，商家可以利用客户为结账而留的个人信息进行联系，因为这是出于保护客户“正当利益”的需要，构成正当的目的外使用。

限制原则有三方面的主要内容:信息最小化标准、限制收集和限制利用。

（三）目的限制原则的突破

欧盟指令允许基于“描述历史、分析目的或科学目的”而进行的个人信息处理，突破指令第6条第1款第2项确立的目的限制原则。但是，这一突破有一个“公法”上的前提，那就是成员国必须提供适当的保护。指令的“说明”（29）规定:如果各成员国采取了适当的保护措施，出于历史、统计和学术研究目的而对个人资料所作的进一步处理不被视为与先前收集资料时的目的不一致；为了对有关特殊个人采取措施和做出决定，这些保护措施应特别将资料利用排除在外。同时指令指出，在第9条规定的“个人资料的处理和表达自由”和第13条规定的免除和限制的情况下，允许进一步减小目的限制原则的适用。

二、信息最小化标准

信息最小化标准要求信息管理者所收集的个人信息数量应限定在收集和处理目的实现所需的信息的最小范围内。

信息最小化标准要求，必然会对数据分析产生影响。甚至有时候判断是否达到了最小化的要求本身都充满了争议。但我们必须意识到，信息的减少可能产生质量较低或者不够全面的数据分析结果，从而抑制信息处理目的的实现；然而信息最小化要求并不是为了给数据分析制造障碍，而是保护个人免收不必要的信息收集和处理的伤害。所以，该要求的实现，取决于信息管理者的信息分析能力和水平。

欧盟指令第6条第1款第3项直接规定了最小化要求，规定收集个人信息的数量应限制在实现收集和处理目的所需要的最小范围内。最小化标准是和匿名制度联系在一起的，换句话说，匿名制度是最小化标准的一个体现。欧盟指令第6条第1款第5项规定，个人信息保护法关于匿名制度的一般表述是，在法律对个人标志性不做要求的情况下，信息管理者应该就个人信息进行匿名处理；除非为了个人信息收集和处理目的实现，而必须保持信息主体的可辨别性。匿名制度在对于一个提供了适当的保护方式的国家中进行的涉及历史记录、分析和科学目的个人信息处理时，可以例外。欧盟的上述规定，包含了一个除非存在相反的司法利益的情形下，匿名优先的普遍原则，但这种规定比较而言还是相对较弱的，体现了欧盟对用技术手段保证相互匿名的积极态度。

德国联邦资料保护法对匿名的规定比欧盟指令更严格。它在第三部分中规定个人信息处理系统的设计和选择，应在满足收集目的的情况下，尽量少或不处理和不使用个人信息。并规定在满足了“联系保护程度”的要求的基础上，在可能和合理努力可做到的范围内，应以匿名或笔名形式处理个人信息。

三、限制收集（Collection Limitation）

（一）限制收集的内涵

限制收集是指个人信息的收集应有法律上的依据或当事人的同意，对个人信息的收集手段应加以限制，并应将信息的收集限定在最小范围内。限制收集主要包括四个方面的内容:①依法收集。个人信息的收集应有法律上的依据或当事人的同意。②范围限制。信息处理主体收集的信息越多、范围越广，对个人权利侵犯的可能性就越大，所以必须要明确信息收集的范围，规定哪些信息可以收集，哪些信息禁止收集。收集目的之外的个人信息应限制收集，敏感个人信息应禁止收集。联合国指南第A编第5条规定，“……有可能引起不法的、武断的歧视的资料，包括关于民族和种族、肤色、性生活、政治观点、宗教、哲学和其他信仰及作为一个协会或者工会会员的信息，都不应被编辑”。③主体限制。除了行政要求和特殊情况下，个人信息主体必须是民法上的完全民事行为能力人。④方法限制。信息管理者收集个人信息，必须告知收集该个人信息的性质和用途、收集者的身份等事项，禁止用不法或不公正的手段搜集信息。这项原则在英国个人资料保护法上被称为公平原则。

然而，个人信息为当事人的权利客体，尤其是商业机构对个人信息的开发和利用应该得到信息主体的同意；但是，要一一取得个人的同意代价过高，有时候甚至使得个人信息的收集变得不可能。为了平衡各方利益，解决这个问题，美国专门出台了《格雷姆-里奇-贝里利（Gramm-Leach-Bliley）关于消费者金融信息隐私规定》（简称“GLB”）。GLB于1999年由克林顿总统签署，并于2001年开始生效。GLB允许企业联合提供在线金融产品，这使得不同的公司共享消费者的个人金融信息的行为合法化。

（二）限制收集和限制利用以及直接收集的关系

1.限制收集与限制利用的关系

OECD指针第二部分国内适用的基本原则第7条规定，应对个人资料的收集加以限制，应该用合法的、公正的手段获取资料，必要时，应告知资料主体或获得资料主体的同意。笔者主张的目的限制原则，不仅包含限制收集的内容，还包含限制利用的内容，对这两方面的限制才是完整的，才能达成保护个人信息的作用。OECD指针也注意到了这一点，因此其在确立限制收集原则之后，于第10条确立了限制利用原则。具体内容为:不得为明确目的以外的揭露、提供或利用个人资料，除非:

（1）本人同意；或者

（2）有法律规定。

鉴于限制收集和限制利用的限制都出自“明确目的”，因此将二者结合在一起，确立了目的限制原则。

2.限制收集和直接收集的关系

德国联邦个人资料保护法第13条第2项前句规定:“个人资料应该向当事人收集。”这个原则又被称为直接收集原则，它限制的主要是收集应该面向信息主体进行这一要素，而不能涵盖限制收集的其他方面的内容。这也体现了直接收集原则和目的限制原则的关系，笔者主张应确立涵盖直接收集内容的目的限制原则，而不再将直接收集作为我国个人信息保护法的基本原则。

四、限制利用（Use Limitation）

（一）限制利用的内涵

限制利用是指个人信息在利用时应该严格限定在收集的目的范围内，不应作收集目的之外利用。限制利用被OECD指针确立为一项独立的个人信息保护原则，主要指不得为第9条规定的明确目的以外的目的揭露、提供或利用个人资料。这个内容主要体现在以下立法例之中。我国台湾省省个人资料保护法第6条规定:“个人资料的收集或利用，应尊重当事人之权益，依诚实及信用方法为之，不得逾越特定目的之必要范围。”德国90资料保护法第14条规定:“单纯基于资料保护检查、资料安全或确保资料处理设备的合法运用的目的，而储存个人资料者，仅得依其目的而使用。”荷兰1998年《个人数据保护法》第10条规定；个人数据的收集目的和处理目的实现后，该个人数据不得以数据主体被识别的形式继续储存。^[10]

（二）限制利用和目的明确原则的关系

限制利用承继了目的明确原则的精神，并成为其辅助原则。目的明确原则的用作着重于目的的明确化和特定化，而限制利用侧重于收集的个人信息的利用只能在明确的目的范围之内。也有法律文件和学者将限制利用和目的明确原则合称“目的拘束原则”。从这个角度看，限制利用的主要内容是处理和利用个人信息应受明确目的的拘束。信息管理者只能依收集时的目的储存、变更、传输个人信息或利用个人信息，不得为其他目的对个人信息进行处理和利用。凤凰卫视网站在其网页上指出:“请了解，在未经您同意及确认之前，本网站不会将您为参加本网站之特定活动所提供的资料利用于其他目的。”^[11]这是对目的拘束原则的承诺。

限制利用原则与目的明确原则关系密切，限制利用原则的核心在于没有当事人的授权或法律特别规定，信息管理者不得超出收集目的利用个人信息，而目的明确原则则侧重于要求信息管理者在收集个人信息之前必须具备明确的收集目的。

（三）限制收集原则的例外

虽然限制利用原则对于当事人的权利保护意义重大，是全球个人信息保护法普遍坚持的原则之一，但它的适用也有例外情形，这种例外概括起来主要有五点:第一，为了国家利益或者社会公共利益；第二，为保护信息主体的重大合法权益（包括人身、财产或其他利益）；第三，为保护第三人的重大合法权益；第四，信息主体书面同意；第五，法律有特别规定。

1.OECD指针

OECD指针第二部分第9条为限制收集原则设定了两种情况下的例外:

（1）本人同意；或者

（2）有法律规定。

2.我国台湾省“资料保护法”

我国台湾省“资料保护法”对“公务机关”和非公务机关的目的明确原则的例外情形分别做了详细的规定。该法第8条规定:“公务机关”对个人信息之利用，应于法令职掌必要范围内为之，并与搜集之特定目的相符。但有下列情形之一者，得为特定目的外之利用:

（1）法令明文规定者。

（2）有正当理由而仅供内部使用者。

（3）为维护“国家”安全者。

（4）为增进公共利益者。

（5）为免除当事人之生命、身体、自由或财产上之急迫危险者。

（6）为防止他人权益之重大危害而有必要者。

（7）为学术研究而有必要且无害于当事人之重大利益者。

（8）有利于当事人权益者。

（9）当事人书面同意者。

该法第23条规定:非公务机关对个人信息之利用，应于搜集之特定目的必要范围内为之。但有下列情形之一者，得为特定目的外之利用:

（1）为增进公共利益者。

（2）为免除当事人之生命、身体、自由或财产上之急迫危险者。

（3）为防止他人权益之重大危害而有必要者。

（4）当事人书面同意者。

五、个人医疗信息和征信信息的限制利用

（一）个人医疗信息与限制利用

个人医疗信息的限制利用主要是指医疗机构处理和利用个人医疗信息应受医疗目的的拘束。医疗机构只能依医疗的目储存、变更、传输个人医疗信息或利用个人医疗信息，不得为超出此目的对个人医疗信息进行处理和利用。根据限制利用原则的要求，超出此目的范围的行为，比如医院为了赢利而出售患者个人医疗信息的行为，构成非法和侵权。个人医疗信息在不同医疗机构之间的传输受限制利用原则的限制。传输个人医疗信息应遵循医疗目的，且传输过程中的个人医疗信息接受方，应依传输目的利用个人医疗信息，不得超出此目的利用个人医疗信息。

个人医疗信息的利用，往往和患者的生命和健康息息相关。因此，在利用权限上，有突破限制利用原则的客观需要。笔者认为，除了OECD指针为限制收集原则设定了两种情况下的例外——本人同意或者法律规定外，为免除当事人之生命、身体上的紧急危险也应该作为个人医疗信息限制利用的例外条款。同时，我们必须看到，个人医疗信息对于医疗机构教学、科研乃至社会秩序和国家安全都有重要的意义。对教学医院而言，教学与研究为非常重要的任务，但并非每位患者都自愿将自己的个人医疗信息作为教材或者示范。若取得每位患者的“本人同意”，在操作上十分困难。在教学与研究需要的情形下，对个人医疗信息的利用，应坚持患者身份保密原则。在使用时应删除患者的基本身份信息（如姓名、单位、身份证号、电话与住址等）。严重的流行病将威胁社会秩序，SARS、禽流感、猪链球菌等都曾现实地危及到人们的生产和生活。若有疫情发生，应立即建立流行病患者个人医疗信息档案，并公告其他医疗机构。根据我国《执业医师法》第二十九条的规定，医师发现传染病疫情时，应当按照有关规定及时向所在机构或者卫生行政部门报告。警察机关以国家安全为由向医疗机构提出查阅个人医疗信息的要求，医疗机构有作真实陈述和报告的义务。

（二）个人征信信息与限制利用

征信机构应该保证利用信息的目的正当，只有为了信用授予或用于其他正当目的才能利用信息，不能超出收集目的利用个人信息。根据美国公FCRA第615条的规定，只有符合规定目的和条件的机构和人才能使用信用报告，否则即便当事人同意也构成违法。这些目的包括:①奉法院的命令或联邦大陪审团的传票；②与信用交易有关；③就业目的；④承做保险；⑤与合法业务需要有关。我国《上海信用管理办法》的规定，就信贷、赊销、租赁、就业、保险、担保等意向或者其他正当理由，并经被征信个人授权才可以公开个人信息报告。^[12]