第五節(jié)　目的限制原則

目的限制原則是個人信息保護法的基本原則之一，是和目的明確原則緊密配合的一個原則。目的明確原則旨在要求個人信息管理者進行個人信息處理應有明確的目的，目的限制原則旨在確保信息管理者收集和處理個人信息應受“明確目的”之限制。

一、目的限制原則及其例外和突破

（一）目的限制原則的概念和內(nèi)容

目的限制原則（Purpose Limitation Principle）是指個人信息的收集和利用均限于最初確立的目的，與該目的保持一致；并應采取公平合理的收集方式。

目的限制原則是民法上的誠實信用原則和行政法上的比例原則的體現(xiàn)。擅自改變收集目的，是對信息主體的欺詐，直接違反了誠實信用原則。對收集目的的改變，同時違反了行政法的比例原則。國家機關(guān)收集和利用個人信息，必須在職責范圍內(nèi)進行。隨著經(jīng)濟和社會的發(fā)展，國家對個人信息進行處理和利用的需求越來越多，這就需要在國家權(quán)力和私人權(quán)利之間確立一條明確的界限，這條界限就是機關(guān)職責。任何國家機關(guān)都不得從事超出自身職責的個人信息收集和利用。

（二）目的限制原則的例外

歐盟指令第7條是關(guān)于超出了目的之外的個人信息處理的特殊情形，這些情形的判定標準為正當性（legitimacy）標準，符合正當性標準的可為目的外處理，否則不可以進行目的外處理。這些情形包括。

（1）信息主體的明確同意；

（2）有關(guān)個人信息的處理是與信息主體締結(jié)合同所必須；

（3）個人信息管理者為目的外處理滿足法定條件；

（4）個人信息管理者為目的外處理是為保護信息主體的根本利益所必須；

（5）個人信息管理者為目的外處理是執(zhí)行基于公共利益或運用行政權(quán)力的任務所必須；

（6）個人信息管理者為目的外處理是為實現(xiàn)和保護處于優(yōu)先地位的“正當利益”所必須。

關(guān)于目的限制原則最明顯的例子就是，如果客戶填寫個人信息是為了開賬單或結(jié)賬，那么商家就不可以將此信息收集后出售，或者進行自己的廣告宣傳。但是，若客戶在客房丟失了鑰匙，商家可以利用客戶為結(jié)賬而留的個人信息進行聯(lián)系，因為這是出于保護客戶“正當利益”的需要，構(gòu)成正當?shù)哪康耐馐褂谩?/p>

限制原則有三方面的主要內(nèi)容:信息最小化標準、限制收集和限制利用。

（三）目的限制原則的突破

歐盟指令允許基于“描述歷史、分析目的或科學目的”而進行的個人信息處理，突破指令第6條第1款第2項確立的目的限制原則。但是，這一突破有一個“公法”上的前提，那就是成員國必須提供適當?shù)谋Ｗo。指令的“說明”（29）規(guī)定:如果各成員國采取了適當?shù)谋Ｗo措施，出于歷史、統(tǒng)計和學術(shù)研究目的而對個人資料所作的進一步處理不被視為與先前收集資料時的目的不一致；為了對有關(guān)特殊個人采取措施和做出決定，這些保護措施應特別將資料利用排除在外。同時指令指出，在第9條規(guī)定的“個人資料的處理和表達自由”和第13條規(guī)定的免除和限制的情況下，允許進一步減小目的限制原則的適用。

二、信息最小化標準

信息最小化標準要求信息管理者所收集的個人信息數(shù)量應限定在收集和處理目的實現(xiàn)所需的信息的最小范圍內(nèi)。

信息最小化標準要求，必然會對數(shù)據(jù)分析產(chǎn)生影響。甚至有時候判斷是否達到了最小化的要求本身都充滿了爭議。但我們必須意識到，信息的減少可能產(chǎn)生質(zhì)量較低或者不夠全面的數(shù)據(jù)分析結(jié)果，從而抑制信息處理目的的實現(xiàn)；然而信息最小化要求并不是為了給數(shù)據(jù)分析制造障礙，而是保護個人免收不必要的信息收集和處理的傷害。所以，該要求的實現(xiàn)，取決于信息管理者的信息分析能力和水平。

歐盟指令第6條第1款第3項直接規(guī)定了最小化要求，規(guī)定收集個人信息的數(shù)量應限制在實現(xiàn)收集和處理目的所需要的最小范圍內(nèi)。最小化標準是和匿名制度聯(lián)系在一起的，換句話說，匿名制度是最小化標準的一個體現(xiàn)。歐盟指令第6條第1款第5項規(guī)定，個人信息保護法關(guān)于匿名制度的一般表述是，在法律對個人標志性不做要求的情況下，信息管理者應該就個人信息進行匿名處理；除非為了個人信息收集和處理目的實現(xiàn)，而必須保持信息主體的可辨別性。匿名制度在對于一個提供了適當?shù)谋Ｗo方式的國家中進行的涉及歷史記錄、分析和科學目的個人信息處理時，可以例外。歐盟的上述規(guī)定，包含了一個除非存在相反的司法利益的情形下，匿名優(yōu)先的普遍原則，但這種規(guī)定比較而言還是相對較弱的，體現(xiàn)了歐盟對用技術(shù)手段保證相互匿名的積極態(tài)度。

德國聯(lián)邦資料保護法對匿名的規(guī)定比歐盟指令更嚴格。它在第三部分中規(guī)定個人信息處理系統(tǒng)的設計和選擇，應在滿足收集目的的情況下，盡量少或不處理和不使用個人信息。并規(guī)定在滿足了“聯(lián)系保護程度”的要求的基礎上，在可能和合理努力可做到的范圍內(nèi)，應以匿名或筆名形式處理個人信息。

三、限制收集（Collection Limitation）

（一）限制收集的內(nèi)涵

限制收集是指個人信息的收集應有法律上的依據(jù)或當事人的同意，對個人信息的收集手段應加以限制，并應將信息的收集限定在最小范圍內(nèi)。限制收集主要包括四個方面的內(nèi)容:①依法收集。個人信息的收集應有法律上的依據(jù)或當事人的同意。②范圍限制。信息處理主體收集的信息越多、范圍越廣，對個人權(quán)利侵犯的可能性就越大，所以必須要明確信息收集的范圍，規(guī)定哪些信息可以收集，哪些信息禁止收集。收集目的之外的個人信息應限制收集，敏感個人信息應禁止收集。聯(lián)合國指南第A編第5條規(guī)定，“……有可能引起不法的、武斷的歧視的資料，包括關(guān)于民族和種族、膚色、性生活、政治觀點、宗教、哲學和其他信仰及作為一個協(xié)會或者工會會員的信息，都不應被編輯”。③主體限制。除了行政要求和特殊情況下，個人信息主體必須是民法上的完全民事行為能力人。④方法限制。信息管理者收集個人信息，必須告知收集該個人信息的性質(zhì)和用途、收集者的身份等事項，禁止用不法或不公正的手段搜集信息。這項原則在英國個人資料保護法上被稱為公平原則。

然而，個人信息為當事人的權(quán)利客體，尤其是商業(yè)機構(gòu)對個人信息的開發(fā)和利用應該得到信息主體的同意；但是，要一一取得個人的同意代價過高，有時候甚至使得個人信息的收集變得不可能。為了平衡各方利益，解決這個問題，美國專門出臺了《格雷姆-里奇-貝里利（Gramm-Leach-Bliley）關(guān)于消費者金融信息隱私規(guī)定》（簡稱“GLB”）。GLB于1999年由克林頓總統(tǒng)簽署，并于2001年開始生效。GLB允許企業(yè)聯(lián)合提供在線金融產(chǎn)品，這使得不同的公司共享消費者的個人金融信息的行為合法化。

（二）限制收集和限制利用以及直接收集的關(guān)系

1.限制收集與限制利用的關(guān)系

OECD指針第二部分國內(nèi)適用的基本原則第7條規(guī)定，應對個人資料的收集加以限制，應該用合法的、公正的手段獲取資料，必要時，應告知資料主體或獲得資料主體的同意。筆者主張的目的限制原則，不僅包含限制收集的內(nèi)容，還包含限制利用的內(nèi)容，對這兩方面的限制才是完整的，才能達成保護個人信息的作用。OECD指針也注意到了這一點，因此其在確立限制收集原則之后，于第10條確立了限制利用原則。具體內(nèi)容為:不得為明確目的以外的揭露、提供或利用個人資料，除非:

（1）本人同意；或者

（2）有法律規(guī)定。

鑒于限制收集和限制利用的限制都出自“明確目的”，因此將二者結(jié)合在一起，確立了目的限制原則。

2.限制收集和直接收集的關(guān)系

德國聯(lián)邦個人資料保護法第13條第2項前句規(guī)定:“個人資料應該向當事人收集。”這個原則又被稱為直接收集原則，它限制的主要是收集應該面向信息主體進行這一要素，而不能涵蓋限制收集的其他方面的內(nèi)容。這也體現(xiàn)了直接收集原則和目的限制原則的關(guān)系，筆者主張應確立涵蓋直接收集內(nèi)容的目的限制原則，而不再將直接收集作為我國個人信息保護法的基本原則。

四、限制利用（Use Limitation）

（一）限制利用的內(nèi)涵

限制利用是指個人信息在利用時應該嚴格限定在收集的目的范圍內(nèi)，不應作收集目的之外利用。限制利用被OECD指針確立為一項獨立的個人信息保護原則，主要指不得為第9條規(guī)定的明確目的以外的目的揭露、提供或利用個人資料。這個內(nèi)容主要體現(xiàn)在以下立法例之中。我國臺灣省省個人資料保護法第6條規(guī)定:“個人資料的收集或利用，應尊重當事人之權(quán)益，依誠實及信用方法為之，不得逾越特定目的之必要范圍。”德國90資料保護法第14條規(guī)定:“單純基于資料保護檢查、資料安全或確保資料處理設備的合法運用的目的，而儲存?zhèn)€人資料者，僅得依其目的而使用。”荷蘭1998年《個人數(shù)據(jù)保護法》第10條規(guī)定；個人數(shù)據(jù)的收集目的和處理目的實現(xiàn)后，該個人數(shù)據(jù)不得以數(shù)據(jù)主體被識別的形式繼續(xù)儲存。^[10]

（二）限制利用和目的明確原則的關(guān)系

限制利用承繼了目的明確原則的精神，并成為其輔助原則。目的明確原則的用作著重于目的的明確化和特定化，而限制利用側(cè)重于收集的個人信息的利用只能在明確的目的范圍之內(nèi)。也有法律文件和學者將限制利用和目的明確原則合稱“目的拘束原則”。從這個角度看，限制利用的主要內(nèi)容是處理和利用個人信息應受明確目的的拘束。信息管理者只能依收集時的目的儲存、變更、傳輸個人信息或利用個人信息，不得為其他目的對個人信息進行處理和利用。鳳凰衛(wèi)視網(wǎng)站在其網(wǎng)頁上指出:“請了解，在未經(jīng)您同意及確認之前，本網(wǎng)站不會將您為參加本網(wǎng)站之特定活動所提供的資料利用于其他目的。”^[11]這是對目的拘束原則的承諾。

限制利用原則與目的明確原則關(guān)系密切，限制利用原則的核心在于沒有當事人的授權(quán)或法律特別規(guī)定，信息管理者不得超出收集目的利用個人信息，而目的明確原則則側(cè)重于要求信息管理者在收集個人信息之前必須具備明確的收集目的。

（三）限制收集原則的例外

雖然限制利用原則對于當事人的權(quán)利保護意義重大，是全球個人信息保護法普遍堅持的原則之一，但它的適用也有例外情形，這種例外概括起來主要有五點:第一，為了國家利益或者社會公共利益；第二，為保護信息主體的重大合法權(quán)益（包括人身、財產(chǎn)或其他利益）；第三，為保護第三人的重大合法權(quán)益；第四，信息主體書面同意；第五，法律有特別規(guī)定。

1.OECD指針

OECD指針第二部分第9條為限制收集原則設定了兩種情況下的例外:

（1）本人同意；或者

（2）有法律規(guī)定。

2.我國臺灣省“資料保護法”

我國臺灣省“資料保護法”對“公務機關(guān)”和非公務機關(guān)的目的明確原則的例外情形分別做了詳細的規(guī)定。該法第8條規(guī)定:“公務機關(guān)”對個人信息之利用，應于法令職掌必要范圍內(nèi)為之，并與搜集之特定目的相符。但有下列情形之一者，得為特定目的外之利用:

（1）法令明文規(guī)定者。

（2）有正當理由而僅供內(nèi)部使用者。

（3）為維護“國家”安全者。

（4）為增進公共利益者。

（5）為免除當事人之生命、身體、自由或財產(chǎn)上之急迫危險者。

（6）為防止他人權(quán)益之重大危害而有必要者。

（7）為學術(shù)研究而有必要且無害于當事人之重大利益者。

（8）有利于當事人權(quán)益者。

（9）當事人書面同意者。

該法第23條規(guī)定:非公務機關(guān)對個人信息之利用，應于搜集之特定目的必要范圍內(nèi)為之。但有下列情形之一者，得為特定目的外之利用:

（1）為增進公共利益者。

（2）為免除當事人之生命、身體、自由或財產(chǎn)上之急迫危險者。

（3）為防止他人權(quán)益之重大危害而有必要者。

（4）當事人書面同意者。

五、個人醫(yī)療信息和征信信息的限制利用

（一）個人醫(yī)療信息與限制利用

個人醫(yī)療信息的限制利用主要是指醫(yī)療機構(gòu)處理和利用個人醫(yī)療信息應受醫(yī)療目的的拘束。醫(yī)療機構(gòu)只能依醫(yī)療的目儲存、變更、傳輸個人醫(yī)療信息或利用個人醫(yī)療信息，不得為超出此目的對個人醫(yī)療信息進行處理和利用。根據(jù)限制利用原則的要求，超出此目的范圍的行為，比如醫(yī)院為了贏利而出售患者個人醫(yī)療信息的行為，構(gòu)成非法和侵權(quán)。個人醫(yī)療信息在不同醫(yī)療機構(gòu)之間的傳輸受限制利用原則的限制。傳輸個人醫(yī)療信息應遵循醫(yī)療目的，且傳輸過程中的個人醫(yī)療信息接受方，應依傳輸目的利用個人醫(yī)療信息，不得超出此目的利用個人醫(yī)療信息。

個人醫(yī)療信息的利用，往往和患者的生命和健康息息相關(guān)。因此，在利用權(quán)限上，有突破限制利用原則的客觀需要。筆者認為，除了OECD指針為限制收集原則設定了兩種情況下的例外——本人同意或者法律規(guī)定外，為免除當事人之生命、身體上的緊急危險也應該作為個人醫(yī)療信息限制利用的例外條款。同時，我們必須看到，個人醫(yī)療信息對于醫(yī)療機構(gòu)教學、科研乃至社會秩序和國家安全都有重要的意義。對教學醫(yī)院而言，教學與研究為非常重要的任務，但并非每位患者都自愿將自己的個人醫(yī)療信息作為教材或者示范。若取得每位患者的“本人同意”，在操作上十分困難。在教學與研究需要的情形下，對個人醫(yī)療信息的利用，應堅持患者身份保密原則。在使用時應刪除患者的基本身份信息（如姓名、單位、身份證號、電話與住址等）。嚴重的流行病將威脅社會秩序，SARS、禽流感、豬鏈球菌等都曾現(xiàn)實地危及到人們的生產(chǎn)和生活。若有疫情發(fā)生，應立即建立流行病患者個人醫(yī)療信息檔案，并公告其他醫(yī)療機構(gòu)。根據(jù)我國《執(zhí)業(yè)醫(yī)師法》第二十九條的規(guī)定，醫(yī)師發(fā)現(xiàn)傳染病疫情時，應當按照有關(guān)規(guī)定及時向所在機構(gòu)或者衛(wèi)生行政部門報告。警察機關(guān)以國家安全為由向醫(yī)療機構(gòu)提出查閱個人醫(yī)療信息的要求，醫(yī)療機構(gòu)有作真實陳述和報告的義務。

（二）個人征信信息與限制利用

征信機構(gòu)應該保證利用信息的目的正當，只有為了信用授予或用于其他正當目的才能利用信息，不能超出收集目的利用個人信息。根據(jù)美國公FCRA第615條的規(guī)定，只有符合規(guī)定目的和條件的機構(gòu)和人才能使用信用報告，否則即便當事人同意也構(gòu)成違法。這些目的包括:①奉法院的命令或聯(lián)邦大陪審團的傳票；②與信用交易有關(guān)；③就業(yè)目的；④承做保險；⑤與合法業(yè)務需要有關(guān)。我國《上海信用管理辦法》的規(guī)定，就信貸、賒銷、租賃、就業(yè)、保險、擔保等意向或者其他正當理由，并經(jīng)被征信個人授權(quán)才可以公開個人信息報告。^[12]