第三節(jié) 目的明確原則

目的明確原則是個人信息保護法的首要原則，在原則體系中處于核心地位。目的明確原則被認為是對個人信息處理進行監(jiān)管的首要手段，要求信息管理者在個人信息處理之前應(yīng)有特定而明確的目的，否則進行的個人信息收集和處理為非法。就好比孫悟空用金箍棒為唐僧畫的一個圈，只有圈內(nèi)活動是安全的，圈外活動是危險的。則目的明確原則的核心是限制信息管理者在收集和處理個人信息方面的隨意性，以最大可能地防止個人信息脫離信息主體的掌控，被泄露和非法使用。

一、目的明確原則的概念

目的明確原則（Purpose Specification Principle）被不同的立法和學者冠以不同的稱謂，有稱目的拘束原則，有稱目的特定原則。目的明確原則是指收集個人信息的目的，必須在收集前將加以確定，確定的目的必須通過一定的方式明確化；發(fā)生目的變更時，變更后的目的也必須及時予以明確。確立目的明確原則的目標在于確保信息主體和社會對個人信息處理的可預(yù)見性。收集個人信息的目的是指信息管理者收集、處理或利用個人信息所希望達到的目標。對國家機關(guān)而言是指根據(jù)行使職權(quán)、履行職責的需要處理和利用個人信息所具有的目的，民事主體收集個人信息的目的限于自身的商業(yè)或事業(yè)目的。我國臺灣省資料法授權(quán)有關(guān)組織規(guī)定收集的目的，該法頒布實施后，法務(wù)部會同目的事業(yè)主管機關(guān)規(guī)定了“人身保險業(yè)務(wù)”“人事行政管理”“土地行政”“公共衛(wèi)生”“公共關(guān)系”“火災(zāi)預(yù)防”等108項收集目的。

二、目的明確原則與比例原則

個人信息保護法上的目的明確原則是比例原則的具體體現(xiàn)。比例原則作為行政法的基本原則，體現(xiàn)了行政法的基本價值理念，貫穿于行政法的各項制度和特別法之中，指導著行政法及其特別法的制定和實施，在行政法領(lǐng)域具有最高效力。比例原則在監(jiān)督行政機關(guān)依法行使職權(quán)，保護行政相對人權(quán)益方面發(fā)揮著不容忽視的、積極有效的作用。個人信息保護法的宗旨之一在于監(jiān)督行政機關(guān)依法處理個人信息，一方面，對其合法處理個人信息的行為加以確認和維護，確保國家目標的實現(xiàn)；另一方面，對其非法處理個人信息的行為予以制止和懲罰，以維護個人的合法權(quán)益。我國資料法第6條規(guī)定:“個人資料之搜集或利用，應(yīng)尊重當事人之權(quán)益，依誠實及信用方法為之，不得逾越特定目的之必要范圍?！薄耙勒\實信用方法為之”的規(guī)定，是民法基本原則誠實信用原則的體現(xiàn)和要求，因為誠信原則是民法的基本原則。個人信息保護法一部分規(guī)范調(diào)整民事主體處理個人信息的行為，一部分調(diào)整行政機關(guān)處理個人信息的行為，因此個人信息保護法屬于領(lǐng)域法，既有民法屬性，也表現(xiàn)出行政法特質(zhì)?！安坏糜庠教囟康闹匾秶钡囊?guī)定，是比例原則的表現(xiàn)和要求。唯有民法誠實信用原則和行政法比例原則，在個人信息保護法領(lǐng)域的貫徹，個人權(quán)利才能在法律預(yù)設(shè)范疇內(nèi)得到保障。

目的明確原則是比例原則在個人信息保護法上的具體體現(xiàn)。目的明確原則，主要是指收集個人信息的目的，必須在收集前特定和明確化。該原則的配套原則為目的限制原則，強調(diào)個人信息的利用應(yīng)僅明確目的的限制，不得進行與收集目的相沖突的利用，而當目的發(fā)生變更時，變更后的目的必須明確和特定。目的明確原則，貫穿于個人信息保護的整個過程，是個人信息保護法的基本原則之一。目的明確原則的貫徹，保證了個人信息在整個處理過程中的品質(zhì)，個人信息始終用于該特定的目的，不會因用于其他目的而表現(xiàn)出斷章取義或不完整的情形。目的明確原則不排除在當事人同意或法律授權(quán)的情況下利用目的的變更。這一方面充分尊重了信息主體的個人信息權(quán)，另一方面降低了信息處理和利用的成本，滿足了社會和國家利用個人信息的需要，解決了本人利益與國家、社會利益相互沖突的問題，為兩者的協(xié)調(diào)共存找到了平衡點。^[6]

三、目的明確原則的內(nèi)涵

簡言之，目的明確原則由特定目的、明確目的和目的正當三方面的內(nèi)容組成。詳述如下:

（一）特定目的

所謂特定目的是指對個人信息的處理必須具備法定的或約定的特定目的，收集個人信息必須受特定目的的限制。根據(jù)我國臺灣省資料法第3條第9項規(guī)定，特定目的是指，“由法務(wù)部會同中央目的事業(yè)主管機關(guān)定之者”。法務(wù)部會同中央目的事業(yè)主管機關(guān)規(guī)定了“人身保險業(yè)務(wù)”“人事行政管理”“土地行政”“公共衛(wèi)生”“公共關(guān)系”“火災(zāi)預(yù)防”等108項目的。依照特定目的原則的要求，處理個人信息前應(yīng)該具備特定目的?！疤囟康摹睂覚C關(guān)來說就是根據(jù)行使職權(quán)、履行職責的需要處理和利用個人信息所具有的目的。國家機關(guān)處理個人信息（包括收集、處理和利用）的特定目的的確定應(yīng)以其行使職權(quán)履行職責為標準。非國家機關(guān)處理個人信息的特定目的一般與其事業(yè)相關(guān)，具體目的的特定多采取聲明或約定的方式。如鳳凰衛(wèi)視網(wǎng)站聲明:“鳳凰網(wǎng)收集這類關(guān)于個人身份的信息主要是為了其注冊成員能夠更容易和更滿意地使用鳳凰網(wǎng)的網(wǎng)頁。我們的目標是向所有的互聯(lián)網(wǎng)用戶提供愉快、有益、有趣的上網(wǎng)經(jīng)歷。而這些個人信息有助于我們實現(xiàn)這一目標?！?sup>[7]其中“更容易和更滿意地使用鳳凰網(wǎng)的網(wǎng)頁”就是鳳凰衛(wèi)視網(wǎng)站收集個人信息的特定目的。必須說明的是，特定目的必須是指現(xiàn)在的目的，將來的目的不構(gòu)成特定目的，而恰恰是對特定目的的違反。收集個人信息必須受特定目的的拘束，不能因不特定和不存在的目的收集個人信息。

特定目的不存在時信息管理者的義務(wù)問題。特定目的消滅包括以下情形:（1）特定目的已滿足；（2）特定目的無法滿足或已無滿足的必要。大致有兩種情況:①作為信息管理者的國家機關(guān)經(jīng)裁撤或改組；②作為信息管理者的非國家機關(guān)停業(yè)、歇業(yè)、解散、破產(chǎn)或營業(yè)目的變更；（3）其他足以認定特定目的無法完成的情況。特定目的消滅后，信息管理者的首要義務(wù)是刪除保存的個人信息。但保護公共利益有必要、信息主體同意或法律有規(guī)定的其他情形除外。

（二）明確目的

明確目的是指處理個人信息的特定目的應(yīng)該明確。所謂明確通常是指信息管理者收集個人信息的特定目的（先于收集前限定）必須用文件確定下來（排除口頭方式和不確定的電子方式），然后，用相對具體、精確的方式再現(xiàn)。

根據(jù)英國1998年資料保護法附表1第二部分的規(guī)定，所謂明確目的是指取得資料的目的應(yīng)特別在資料控制者根據(jù)英國資料保護法（1998年）第2條交給資料本人的通知中以及資料控制者提交委員的通知中加以明確。也有立法例要求非國家機關(guān)應(yīng)將特定目的進行登記并獲得信息主體的同意，方符合明確目的的要求。鳳凰衛(wèi)視網(wǎng)站的聲明不僅滿足了特定目的原則，同時也滿足了明確目的原則——將特定目的進行了網(wǎng)站公告。目的變更后的目的明確問題。處理個人信息的特定目的不是絕對不可以變更的，完全禁止個人信息用于其他目的，不但阻礙個人信息的流通，也增加了個人信息利用的社會成本。在滿足法定條件下，依變更后的目的處理個人信息仍須貫徹明確原則，即將新的目的按照法律的要求進行明確。

（三）目的正當

特定而明確的個人信息處理目的還必須滿足正當性要求?！罢斝浴卑ê戏ê头仙鐣L俗，這是歐盟指令第6條明文規(guī)定過的。該條用的詞語是“l(fā)egitimate（正當）”而非“l(fā)awful（合法）”，如果將“l(fā)egitimate”解釋為合法（lawful），則會導致這個規(guī)則和該條確立的“公平與合法（lawful）”的處理規(guī)則部分重疊。更值得注意的是，“l(fā)egitimate”本身不僅包含了法律評價，而且還包含了潛在的社會評價——社會道德。因此，對個人信息的處理，不僅僅應(yīng)該滿足合法原則，而且應(yīng)該滿足民法確立的善良風俗原則。所以，這里的歐盟指令中的“正當”，不僅有符合法律規(guī)定的內(nèi)涵，而且還包含了善良風俗原則的內(nèi)容。

正當性標準比合法標準更為嚴格。除了合法以外，他還需要獲得社會認同。

四、全球立法中的目的明確原則

除了OECD關(guān)于目的明確原則的規(guī)定外，全球立法中尚有以下典型立法例對該原則作出了明確規(guī)定:

歐盟指令序言（28）規(guī)定，個人資料處理對于有關(guān)個人必須是合法的和公正的；特別是這些資料與處理目的之間的聯(lián)系必須充足、相關(guān)且不過度；這些目的必須清楚、合法而且在收集資料時就已確定；對收集的資料進行進一步處理的目的應(yīng)與最初明確的目的一致。指令第6條規(guī)定，個人資料應(yīng)為了特定、明確和合法的目的而收集，所進行的進一步處理不能與該目的不符。第10條規(guī)定，從資料主體處收集資料時的信息，資料管理主體須向信息主體提供以下信息，除非信息主體已經(jīng)獲得這些信息，比如處理資料的目的。

APEC隱私框架將該原則稱為“告知原則”。此前，2003年3月6日起草的中沿用了OECD的稱謂，稱為目的明確原則。《APEC隱私權(quán)原則》（第一版）第3條規(guī)定，“有關(guān)組織應(yīng)告知人們他們采集了誰的信息，他們是誰，以及他們將如何對待這些被采集的信息。個人信息不應(yīng)被用作與其被采集時的目的不一致的其他目的?！?004年簽署的《APEC隱私保護框》中關(guān)于告知原則規(guī)定在第三章，具體規(guī)定是:個人信息管理者對于其所收集和持有的個人信息應(yīng)要向信息主體提供清楚且容易取得的隱私保護政策聲明，包括收集個人信息的目的。從第一版到最后簽署的文件在原則標題和內(nèi)容方面的變化可以得知，APEC對OECD確立的目的明確原則在個人信息保護法上的優(yōu)越地位并不認同?！禔PEC隱私保護框架》第三章第15條規(guī)定了告知原則，具體內(nèi)容是個人信息管理者對于其所收集和持有的個人信息應(yīng)要向當事人提供清楚且容易取得的隱私保護政策聲明，包括:

（1）個人信息已被收集的事實聲明；

（2）收集個人信息的目的；

（3）揭露個人信息的對象；

（4）個人信息管理者的身份及地址，包括如何和個人信息管理者聯(lián)絡(luò)以及處理個人信息；

（5）個人信息管理者提供了關(guān)于個人限制使用、披露、進入和更正他們的個人信息的選擇和方法。

歐洲議會公約第5條“資料品質(zhì)”原則中規(guī)定，進行自動化處理的個人資料應(yīng)基于明確合法目的儲存，并不得以與這些目的相違背的方式利用。

德國資料法第4條規(guī)定，在信息主體同意的情形，應(yīng)該告知其儲存或預(yù)期的傳輸資料的目的，并應(yīng)其要求，告知其拒絕同意產(chǎn)生的后果。

愛爾蘭1998年頒布了《資料保護法》，并于2003年進行系統(tǒng)的修訂。修訂后其第2條規(guī)定，“資料應(yīng)該僅出于一個或多個特定、明確和合法的目的而獲得”。這是對目的明確原則的直接規(guī)定。

日本2005年個人情報保護法第15條規(guī)定，處理個人信息時，個人信息處理者必須盡可能地明確利用個人信息的目的，個人信息處理者變更利用目的的，變更后的目的不得超出被視為與變更之前相關(guān)的合理目的的范圍。

五、目的明確原則的意義

目的明確原則的一個重要意義在于禁止行政機關(guān)和民事主體超出收集目的收集個人信息。日本1988年《有關(guān)行政機關(guān)電子計算機自動化處理個人情報保護法》第4條第1項規(guī)定:“個人情報庫的建立，必須以完成行政機關(guān)法定任務(wù)為目的?！泵鞔_目的消滅后，信息管理者應(yīng)當刪除所保存的個人信息，但保護公共利益目的、信息主體同意或法律另有規(guī)定的情況除外。

六、目的明確原則和限制收集原則的關(guān)系

目的明確原則和限制收集原則的關(guān)系十分密切，因此出現(xiàn)了很多國際立法甚至混淆了目的明確原則和限制收集原則界線的現(xiàn)象。OECD在“第二部分國內(nèi)適用的基本原則”中第9條規(guī)定了“目的明確原則”:個人資料的收集目的在收集前就應(yīng)明確，其后的利用僅限于實現(xiàn)收集目的和與最初的收集目的不相抵觸的其他目的，目的變更也應(yīng)該是明確的。由此可見，OECD規(guī)定的目的明確原則，既包括目的明確的內(nèi)容，也包括目的限制的內(nèi)容（此內(nèi)容應(yīng)為限制收集原則），和OECD第7條規(guī)定的限制收集原則部分重合。

從中英文為詞義上講，目的明確原則（Purpose Specification Principle）僅有目的明確和特定的意思，而限制收集原則（Collection Limitation Principle）僅有個人信息收集受到特定目的限制的含義，因此兩個原則的界線還是比較清楚的。目的明確原則是指收集個人信息的目的，必須在收集前特定，此特定的目的必須通過一定方式予以明確化。盡管目的明確的要旨在于此后的收集和利用受到該目的的限制，但畢竟目的明確和目的限制是兩個有著獨立內(nèi)涵的概念，從原則上講，將二者分開，將更為清晰，也避免了兩個原則部分重合的弊端。OECD指導原則將目的明確原則和目的限制原則合二為一，這種設(shè)計并不合適，因為其與限制利用原則相重復，我國進行立法時應(yīng)該加以揚棄。OECD指導原則關(guān)于目的明確原則的“目的限制”內(nèi)容——“其后的利用僅限于實現(xiàn)收集目的和與最初的收集目的不相抵觸的其他目的”，和限制利用原則重復明顯，筆者主張我國未來立法應(yīng)簡化目的明確原則的內(nèi)容，限定在特定目的、明確目的和目的正當三個方面，而建議將收集個人信息受目的限制這方面的內(nèi)容并入目的限制原則之中。