個人信息保護“目的限制原則”的反思與重構(gòu)
——以《個人信息保護法》第6條為中心

朱榮榮

內(nèi)容提要:目的限制原則作為個人信息處理的基本原則，要求信息處理活動不得溢出信息收集時的初始目的，以保障信息主體對個人信息的自主控制與支配。然而，大數(shù)據(jù)時代個人信息的多維度利用日趨常態(tài)化與復(fù)雜化，導(dǎo)致信息處理目的難以在信息收集階段完全確定下來，嚴格的目的限制原則忽視了個人信息的利用價值。信息保護與信息利用均為法律追求的價值目標(biāo)，不能顧此失彼，因此，有必要在個人信息類型化視角下重塑目的限制原則的規(guī)范內(nèi)涵。申言之，處理個人敏感信息必須恪守目的限制原則，禁止超越初始目的范圍處理之；處理個人一般信息原則上亦須遵從目的限制原則，但特殊情形下允許超越初始目的而處理信息，前提是不得引發(fā)高于信息主體所預(yù)期的風(fēng)險。

大數(shù)據(jù)時代，對于個人信息的獲取與利用愈益普遍，信息處理者在挖掘、分析個人信息時可能在一定程度上侵害信息主體的合法權(quán)益。為規(guī)制不當(dāng)?shù)男畔⑻幚硇袨?，《中華人民共和國個人信息保護法》(以下簡稱《個人信息保護法》)第6條確立了目的限制原則，該條規(guī)定“處理個人信息應(yīng)當(dāng)具有明確、合理的目的，并應(yīng)當(dāng)與處理目的直接相關(guān)，采取對個人權(quán)益影響最小的方式。收集個人信息，應(yīng)當(dāng)限于實現(xiàn)處理目的的最小范圍，不得過度收集個人信息”。目的限制原則作為個人信息保護制度的基石，(1)Vgl.Peter Schantz,DS-GVO Art.5 Grunds?tze für Die Verarbeitung Personenbezogener Daten,in Heinrich Amadeus Wolff,Stefan Brink(eds),BeckOK Datenschutzrecht(33rd edn,2020),Rn.12.能夠有效避免濫用個人信息現(xiàn)象的發(fā)生。

隨著大數(shù)據(jù)分析技術(shù)的不斷發(fā)展，社會對于個人信息的利用需求達到了前所未有的高度，目的限制原則要求處理個人信息應(yīng)當(dāng)具有明確、合理的目的，且后續(xù)的信息處理應(yīng)當(dāng)與初始目的直接相關(guān)，極大地壓縮了信息利用的空間，不符合信息保護與信息利用動態(tài)平衡之立法理念。有鑒于此，有必要對目的限制原則進行深度考察，尋求其在新時代背景下合理的因應(yīng)之道。

一、目的限制原則的內(nèi)涵闡釋與法理基礎(chǔ)

(一)目的限制原則的基本內(nèi)涵

根據(jù)《個人信息保護法》第6條可知目的限制原則包含兩個方面，即目的明確與使用限制。前者指收集個人信息應(yīng)當(dāng)具有明確、合理的目的，不得過度收集個人信息；后者指個人信息的處理應(yīng)當(dāng)與初始目的直接相關(guān)，如果信息處理行為超出了初始目的則為法律所不許?？梢?，目的明確與使用限制是不可分割的有機整體，兩者相輔相成、相互制約，目的明確原則是信息處理行為的邏輯起點，只有在收集階段明確告知信息處理的具體目的并獲取信息主體的有效同意方可處理他人信息。同時，為確保信息處理目的的效力性，后續(xù)的信息處理行為應(yīng)當(dāng)與處理目的直接相關(guān)，不得超越初始目的可能的范圍恣意處理個人信息，否則目的明確原則將形同具文。

目的明確原則是維護個人基本尊嚴的重要工具，在收集和利用個人信息時，忽視或淡化“目的”意味著人格尊嚴將受到嚴重的侵蝕。(2)See Joseph A.Cannataci,Jeanne Pia Mifsud Bonnici,The End of the Purpose-Specification Principle in Data Protection,24 International Review of Law,Computers & Technology,102(2010).信息主體與信息處理者之間信息不對稱的客觀事實要求信息處理者在收集信息之時應(yīng)當(dāng)善盡說明義務(wù)，避免信息主體因信息的不充分而做出錯誤的決策。目前，我國《民法典》第1035條、《網(wǎng)絡(luò)安全法》第41條、《消費者權(quán)益保護法》第29條等諸多規(guī)范都要求信息處理者明示信息處理的目的，但對于“目的”的具體要求則未言明。《個人信息保護法》第6條規(guī)定，目的明確原則應(yīng)當(dāng)滿足兩個要件，即目的明確與目的合理。目的明確性要求收集個人信息應(yīng)當(dāng)具有明確的、特定的目的，過于寬泛與模糊的目的可能被認為是不合法的，目的明確性迫使信息處理者在收集信息之前審慎思考信息處理的目的，可以在一定程度上制約信息處理者恣意處理信息。信息處理者在形成明確的信息處理目的之后，還須將此目的以一種可被理解的方式清楚地表達出來，確保相關(guān)主體對信息處理目的的認知不存在歧義。關(guān)于目的明確性的形式要求，立法沒有明文規(guī)定，從規(guī)范目的來看，目的明確性旨在保障信息主體充分知悉信息處理的目的，因此，信息處理者借助于何種形式表明其目的在所不問。目的合理性要求信息處理目的必須符合社會一般人的事理認知，不得違反基本的倫理道德與公序良俗。目的合理性包含兩個要素，即制度層面的目的合法與價值層面的目的正當(dāng)。目的合法是信息處理的最低要求，信息處理者處理他人個人信息應(yīng)當(dāng)具備合法性事由，包括約定事由與法定事由，約定事由指雙方當(dāng)事人可以自行約定信息處理的具體事項，法律不得無故加以干涉。法定事由則指法律所規(guī)定的無需獲取信息主體同意即可處理信息的事由，包括訂立或履行合同所必需、履行法定職責(zé)或法定義務(wù)等。目的正當(dāng)性指收集個人信息必須具有充足的價值基礎(chǔ)，合理兼顧信息主體與信息處理者的利益，目的正當(dāng)性的判定依附于個案具體情境，隨著社會的發(fā)展以及立法理念的變遷而動態(tài)調(diào)整。

目前，我國對于使用限制的判定標(biāo)準采取的是“關(guān)聯(lián)性”，要求信息處理行為不得與初始目的不具有關(guān)聯(lián)性。然而，立法對于“關(guān)聯(lián)性”的具體內(nèi)涵沒有予以明確，《個人信息保護法》認為信息處理行為應(yīng)當(dāng)與信息收集時的初始目的具有“直接關(guān)聯(lián)性”，張新寶教授起草的《個人信息保護法(專家建議稿)》主張信息處理行為應(yīng)當(dāng)與初始目的具有“合理關(guān)聯(lián)性”。《信息安全技術(shù) 個人信息安全規(guī)范》(2020年)則認為，“關(guān)聯(lián)性”包括“直接關(guān)聯(lián)性”與“合理關(guān)聯(lián)性”，其規(guī)定“使用個人信息時，不應(yīng)超出與收集個人信息時所聲稱的目的具有直接或合理關(guān)聯(lián)的范圍”。對于何謂“合理關(guān)聯(lián)”，《信息安全技術(shù) 個人信息安全規(guī)范》(2020)并沒有給出明確的答案，而是具體描述了屬于“合理關(guān)聯(lián)”的信息利用情形，其認為“將所收集的個人信息用于學(xué)術(shù)研究或得出對自然、科學(xué)、社會、經(jīng)濟等現(xiàn)象總體狀態(tài)的描述，屬于與收集目的具有合理關(guān)聯(lián)的范圍之內(nèi)”。不同于我國，域外立法采取的是“兼容性”標(biāo)準，第29條數(shù)據(jù)保護工作組指出，不同于初始目的的進一步處理并不意味著與初始目的自動地不兼容，某些情況下，信息處理雖然與初始目的不同，但二者可能是相符的。(3)See Article 29 Data Protection Working Party,Opinion 03 /2013 on purpose limitation 15(Article 29 Data Protection Working Party 00569/13/EN 2013),p.21.關(guān)于“關(guān)聯(lián)性”與“兼容性”的關(guān)系，有學(xué)者認為，在大數(shù)據(jù)產(chǎn)業(yè)下，數(shù)據(jù)機構(gòu)對數(shù)據(jù)的二次利用往往跟初始目的沒有關(guān)聯(lián)性，但這并不意味著一定不相兼容。(4)參見謝琳：《大數(shù)據(jù)時代個人信息使用的合法利益豁免》，載《政法論壇》2019年第1期。換句話說，較之“關(guān)聯(lián)性”，“兼容性”的涵攝范圍更廣，“關(guān)聯(lián)性”要求后續(xù)的信息處理對于初始目的的嚴格遵循，可能在一定程度上阻礙大數(shù)據(jù)產(chǎn)業(yè)的發(fā)展以及創(chuàng)新型社會的構(gòu)建。

(二)目的限制原則的法理基礎(chǔ)

第二次世界大戰(zhàn)結(jié)束后，國際社會開始深刻反思戰(zhàn)爭期間各種非人道的行為，普遍呼吁建立尊重基本人權(quán)的法律制度。黑格爾認為，人格的要義在于，我作為這個人，在內(nèi)部任性、沖動和情欲以及在直接外部的定在等一切方面都完全是被規(guī)定了的和有限的，并在有限性中知道自己是某種無限的、普遍的、自由的東西。(5)參見〔德〕黑格爾：《法哲學(xué)原理》，范揚、張企泰譯，商務(wù)印書館2017年版，第51頁。當(dāng)前，不論英美法系抑或大陸法系，相關(guān)制度安排均強調(diào)對于個人信息的利用不得以犧牲人格尊嚴為代價。受社會和他人尊重是人的一種基本需要，是人作為法律關(guān)系主體所享有的最基本的人格價值，自然人維護個人信息的準確性、控制個人信息的利用范圍是保證個人尊嚴得到社會認可的體現(xiàn)。(6)參見張濤：《個人信息的法學(xué)證成:兩種價值維度的統(tǒng)一》，載《求索》2011年第12期。在“小數(shù)據(jù)時代”，由于信息收集技術(shù)與收集能力普遍處于不發(fā)達狀態(tài)，信息主體尚能有效控制信息是否被處理以及處理的方式，然而，隨著大數(shù)據(jù)技術(shù)的突飛猛進，通過個人信息介入個人生活的廣度和深度實現(xiàn)了從量變到質(zhì)變，當(dāng)個人成為純粹的“個人信息客體”，被隨意監(jiān)控、分析和操縱，個人的內(nèi)在決策和外在形象都被控制時，個人作為人的完整性和主體地位便已分崩離析，個人的獨立和尊嚴將直接受到挑戰(zhàn)。(7)參見郭瑜：《個人數(shù)據(jù)保護法研究》，北京大學(xué)出版社2012年版，第84頁。為穩(wěn)固個人的主體性地位，《個人信息保護法》構(gòu)造了以“人”為中心的制度體系，確保個人對信息的自主性與控制性，目的限制原則即是個人控制體系中重要的組成部分。

目的限制原則要求信息處理者在收集信息時明確告知信息主體信息處理的具體目的，并嚴格限定后續(xù)信息處理的方式，同時給予信息主體同意或反對的權(quán)利，能夠在一定程度上保障信息主體自主控制信息被以何種方式處理，防止信息處理者以信息主體未能預(yù)見到的方式處理信息。自主決定與自愿承擔(dān)風(fēng)險是私人自治的重要體現(xiàn)，尊重個人自主決定是否接受信息處理可能造成的風(fēng)險形塑了個人自治空間，法律對于信息主體真實的意思表示應(yīng)予尊重，不得任意干涉。作為個人信息的原始所有者，信息主體對于個人信息的收集與利用享有絕對的支配力與控制力，除法律明確規(guī)定信息處理的合法性基礎(chǔ)外，信息處理者只有在獲得信息主體的同意或授權(quán)時才能收集或利用信息。目的限制原則要求信息處理者在收集信息階段應(yīng)向信息主體詳細披露信息處理的方式、可能產(chǎn)生的風(fēng)險等事項，并承諾在約定的目的范圍內(nèi)處理信息。一般而言，借由信息處理者收集信息時的說明義務(wù)，信息主體能夠預(yù)判讓渡信息可能需要承受的風(fēng)險，并在此基礎(chǔ)上作出是否許可他人使用其信息的意思表示。信息主體對于自我信息的控制力與支配力是目的限制原則的理論基礎(chǔ)，亦是制約信息處理者尊重目的限制原則的動力來源，只有承認信息主體有權(quán)自主決定信息被如何收集與利用，才能促使信息處理者主動尋求信息主體的授權(quán)許可。為了獲得信息主體的有效同意，信息處理者須將信息處理的目的向信息主體明示，并承諾在約定的目的范圍內(nèi)處理信息，信息處理者超過約定的目的范疇處理信息可能承擔(dān)違約或侵權(quán)責(zé)任。

二、大數(shù)據(jù)時代目的限制原則的現(xiàn)實困境

目的限制原則的效力范圍從信息收集開始，及于整個信息處理過程，在包括個人信息的存儲、變更、傳遞與使用等的各個階段，始終可以發(fā)揮其作用。(8)參見謝永志：《個人數(shù)據(jù)保護法立法研究》，人民法院出版社2013年版，第57頁。目的限制原則這種充足的法律效力力求全面保障信息主體的合法權(quán)益，然而在具體實踐中，目的限制原則面臨以下諸多齟齬。

(一)信息處理目的難以在收集階段完全確定

目的限制原則要求信息處理的目的應(yīng)在不遲于信息收集之時予以確定，且目的必須是明確的、合理的。目的限制原則可以有效保證信息主體事先知道信息利用的目的和范圍，并能夠控制信息收集在事先約定的范圍內(nèi)進行。(9)參見王秀哲：《大數(shù)據(jù)時代個人信息法律保護制度之重構(gòu)》，載《法學(xué)論壇》2018年第6期。然而，在信息的流轉(zhuǎn)、共享等信息的二次利用成為信息產(chǎn)業(yè)普遍遵循的商業(yè)運作模式的背景下，傳統(tǒng)的目的限制原則受到挑戰(zhàn)。目的限制原則依賴于一個前提條件，即信息處理目的在收集信息之時予以確定是可能的，然而大數(shù)據(jù)分析技術(shù)的價值恰恰在于提取隱藏的信息或?qū)π畔⑦M行變革性利用，這使得信息處理者無法在信息收集階段詳細闡明信息的所有可能用途。(10)See Alessandro Mantelero,The Future of Consumer Data Protection in the E.U.Rethinking the “notice and Consent” Paradigm in the New Era of Predictive Analytics,30 Computer Law & Security Review,643-660(2014).于此情形，信息處理者為保障信息處理活動的順暢進行，傾向于將信息處理目的以一種模糊或?qū)挿旱姆绞奖磉_出來，導(dǎo)致信息主體無法預(yù)期后續(xù)的信息處理行為，這種信息的不對稱可能引發(fā)社會歧視、差別性對待等不公平現(xiàn)象。

目的限制原則要求對于信息的處理必須與信息收集時的初始目的具有直接相關(guān)性，反向推之，當(dāng)信息處理目的與初始目的不一致時，信息處理者應(yīng)當(dāng)及時告知信息主體變更目的的緣由并再次征得信息主體的同意。大數(shù)據(jù)技術(shù)的運用使得在信息收集、利用、存儲等任何階段都可能發(fā)生信息主體同意信息收集時所未預(yù)期的信息處理方式,過于頻繁地向信息主體告知變更事項不僅增加了信息處理者的工作負擔(dān)，也在一定程度上干擾了信息主體的正常生活。此外，目的限制原則植根于私人自治理論，該理論預(yù)設(shè)信息主體只有充分了解信息處理目的才能決定是否將信息移交給信息處理者。然而，大數(shù)據(jù)環(huán)境中信息處理的復(fù)雜性，尤其是自動化決策技術(shù)的運用，增加了信息主體理解與選擇的難度。實踐中，信息主體很少仔細閱讀冗長而繁雜的隱私協(xié)議，或者囿于自身有限的理性及相關(guān)知識的匱乏難以理解具體條款的含義，減損了信息主體同意的有效性。更為重要者，由于信息主體與信息處理者在市場地位、議價能力等方面具有實質(zhì)不對等性，信息主體即使認識到隱私協(xié)議的不合理性也無法要求信息處理者對相關(guān)事項予以更正。

(二)忽視了個人信息的利用價值

個人信息所承載的利益形態(tài)具有多元性與復(fù)雜性，隨著大數(shù)據(jù)處理技術(shù)逐漸滲入社會生活各個方面，在日常的人際交往與社會生活中，個人需要不斷地與他人交換信息，公務(wù)機關(guān)與非公務(wù)機關(guān)亦頻繁收集大量信息以改善行政管理或提供更好的服務(wù)，社會對于個人信息的客觀需求愈益增多。實際上，個人信息不僅與人格尊嚴及人格自由密切相關(guān)，更是相關(guān)產(chǎn)業(yè)存在和發(fā)展的基石，因此不能只關(guān)注信息保護，而應(yīng)將信息保護與信息利用放在同一維度。(11)參見謝遠揚：《〈民法典人格權(quán)編(草案)〉中“個人信息自決”的規(guī)范建構(gòu)及其反思》，載《現(xiàn)代法學(xué)》2019年第6期。值得肯定的是，立法不再單方面強調(diào)信息主體利益的保護，歐盟《一般數(shù)據(jù)保護條例》(General Data Protection Regulation，GDPR)及我國《個人信息保護法》都開宗明義地指出，應(yīng)注重信息保護與信息利用之間的平衡。近年來，我國信息產(chǎn)業(yè)發(fā)展迅速，對個人信息利用的需求也越來越大，大數(shù)據(jù)分析技術(shù)通過結(jié)合不同來源的數(shù)據(jù)可能發(fā)現(xiàn)新的趨勢、模式和關(guān)系，目的限制原則制約了大數(shù)據(jù)的規(guī)模和使用，可能造成經(jīng)濟和社會效益的重大損失。(12)See Bart Custers,Helena Ursic,Big Data and Data Reuse:A Taxonomy of Data Reuse for Balancing Big Data Benefits and Personal Data Protection,6 International Data Privacy Law,5(2016).根據(jù)目的限制原則的邏輯進路，當(dāng)信息處理目的實現(xiàn)時信息處理者必須盡快刪除個人信息，不得留存?zhèn)€人信息，更不得將信息用于其他目的，這嚴重降低了信息的利用效率，阻礙了信息價值的開發(fā)與再利用。從實際層面考量，多數(shù)情況下大數(shù)據(jù)分析所涉及的方法和使用模式是信息處理者以及信息主體在收集信息時沒有預(yù)料到的，為了遵守目的限制原則，信息處理者必須密切監(jiān)視處理過程以確保信息處理沒有超出約定的范圍，然而采取這些措施可能是代價高昂的、困難的甚至是不可能的。(13)See Tal Z.Zarsky,Incompatible:The GDPR in the Age of Big Data,47 Seton Hall Law Review,1006(2017).

大數(shù)據(jù)時代的一個顯著特征是，個人信息的價值不再單純地來自其基本用途而更多源于信息的二次利用，很多信息在收集之時并無意用作其他用途，最終卻產(chǎn)生了很多創(chuàng)新性的用途。(14)參見〔英〕維克托·邁爾-舍恩伯格、肯尼斯·庫克耶：《大數(shù)據(jù)時代：生活、工作與思維的大變革》，盛楊燕、周濤譯，浙江人民出版社2013年版，第197頁。目的限制原則要求信息處理的方式應(yīng)嚴格限定于初始目的范圍內(nèi)，不利于新產(chǎn)品、新服務(wù)的研發(fā)。此外，目的限制原則過于強調(diào)信息主體利益的保護，忽視了目的范圍之外的信息利用可能造福于社會。2008年，Google公司利用用戶的搜索關(guān)鍵詞成功預(yù)測流感爆發(fā)趨勢即為很好的例證，Google公司最初收集用戶搜索關(guān)鍵詞的目的在于改善搜索引擎功能，對于流感趨勢的預(yù)測顯然逾越了Google公司收集信息時的初始目的，但毋庸置疑的是，流感趨勢預(yù)測對于公共衛(wèi)生部門及時采取防治措施提供了較大幫助?？梢?，嚴格的目的限制原則不符合大數(shù)據(jù)背景下信息多樣性利用的現(xiàn)實需求，阻礙了信息經(jīng)濟與信息產(chǎn)業(yè)的進一步發(fā)展。

三、目的限制原則的改革方案及評價

(一)域外立法變革路徑——以歐美為考察對象

目的限制原則最早由美國學(xué)者艾倫·威斯汀(Alan Westin)提出，威斯汀主張政府所收集的個人信息只能用于特定目的，不得用于其他目的或者進一步流轉(zhuǎn)，除非提供信息的個人或群體的身份特征已經(jīng)完全從該信息中移除，或者他們自由地對進一步流轉(zhuǎn)表示同意。(15)參見梁澤宇：《個人信息保護中目的限制原則的解釋與適用》，載《比較法研究》2018年第5期。立法上，目的限制原則可以追溯至1980年的《關(guān)于隱私保護與個人數(shù)據(jù)跨境流動的指南》，可以說，歐美國家對于目的限制原則關(guān)注的時間較早，積累了豐富的經(jīng)驗，通過考察歐美法的相關(guān)規(guī)定，可以為我國目的限制原則的優(yōu)化調(diào)整尋求經(jīng)驗借鑒。

為緩和嚴格的目的限制原則適用上的僵硬性，95指令規(guī)定了“兼容性使用”(compatible use)，但并未正面規(guī)定“兼容性使用”的具體內(nèi)涵以及判斷標(biāo)準，以致歐盟國家在評估兼容性時采取了不同的判定標(biāo)準。具體來說，比利時主要根據(jù)信息主體的“合理期待”來判斷兼容性，英國和希臘則通過“公平性”(fairness)與“合法性”(lawfulness)衡量兼容性，德國和荷蘭則借助于“平衡測試”(balance tests)加以判定。(16)See Judith Rauhofer,Look to Yourselves,That We Lose Not Those Things Which We Have Wrought:What Do Proposed Changes to the Purpose Limitation Principle Mean for Public Bodies’ Rights to Access Third-Party Data,28 International Review of Law,Computers & Technology,146-147(2014).2013年，第29條數(shù)據(jù)保護工作組發(fā)布了有關(guān)目的限制原則的意見書，明確指出“不同于初始目的的進一步處理并不意味著與初始目的自動地不兼容，在某些情況下，雖然信息的處理與初始目的不同，但二者可能是相符的”(17)前引〔3〕,第21頁。。關(guān)于如何判定“兼容性”，第29條數(shù)據(jù)保護工作組認為應(yīng)當(dāng)考慮信息收集目的與信息處理目的之間的關(guān)系、信息收集的具體情境與信息主體的合理預(yù)期、信息的性質(zhì)與信息處理對信息主體的影響以及信息處理者采取的保障措施等。(18)參見前引〔3〕,第23-26頁?！兑话銛?shù)據(jù)保護條例》承繼了第29條數(shù)據(jù)保護工作組關(guān)于兼容性使用的判定方式，成為指導(dǎo)歐盟域內(nèi)判斷信息處理是否合乎初始目的的重要依據(jù)。有學(xué)者認為，雖然相關(guān)立法列舉了“兼容性”的考量因素，但實踐中判定信息處理是否與初始目的相兼容，仍需根據(jù)個案具體情境加以判斷。(19)See Bert-Jaap Koops,The(In) Flexibility of Techno-Regulation and the Case of Purpose-Binding,5 Legisprudence,179(2011).有學(xué)者更是直言，“兼容性評估”在大數(shù)據(jù)背景下有些抽象和困難，兼容性評估要求考慮信息收集時的具體情境、信息的性質(zhì)等各種因素，而大數(shù)據(jù)的運行需要分析不同環(huán)境中的數(shù)據(jù)，使得靜態(tài)的要素評價幾無可能。(20)See Tal Z.Zarsky,Incompatible:The GDPR in the Age of Big Data,47 Seton Hall Law Review,1008(2017).“兼容性使用”作為一個轉(zhuǎn)接通道，為超越初始目的之外的信息利用提供了理論基礎(chǔ)，緩和了信息保護與信息利用之間的緊張關(guān)系，拓展了信息利用的空間，具有一定的積極意義。然而，“兼容性使用”在判斷后續(xù)的信息處理是否具有正當(dāng)性時仍以信息收集時的初始目的為基點，忽視了時間、環(huán)境等外在因素的變遷可能導(dǎo)致信息處理目的的更迭。2017年，第108號公約協(xié)商委員會主張，不應(yīng)以信息主體可能認為無法預(yù)料的、不適當(dāng)?shù)幕蛄钊朔锤械姆绞教幚硇畔?，將信息主體暴露于不同的風(fēng)險或比初始目的所預(yù)設(shè)的更大的風(fēng)險，可以視為以無法預(yù)料的方式處理信息。(21)See Guidelines on the Protection of Individuals with Regard to the Processing of Personal Data in a World of Big Data,available at https://rm.coe.int/16806ebe7a,last visited on May 27,2021.指南改變了歐盟一直以來所遵循的目的限制原則的調(diào)整思路，為目的限制原則在新時代背景下的靈活運用開辟了新的方向，遺憾的是，指南僅具有參考性意義，不具有強制的法律效力。

不同于歐盟立法，美國主要通過場景規(guī)則的構(gòu)建來改革目的限制原則所面臨的困境，場景規(guī)則的提出與美國隱私概念的不確定性有關(guān)，自1890年沃倫(Samuel D.Warren)與布蘭迪斯(Louis D.Brandeis)提出隱私這一概念以來，理論界關(guān)于隱私的具體內(nèi)涵一直存在爭議。在此背景下，美國學(xué)者海倫·尼森鮑姆(Helen Nissenbaum)提出了場景完整性理論(contextual integrity theory)，主張隱私的保護應(yīng)與特定情境聯(lián)系起來，信息的收集和傳播應(yīng)當(dāng)符合具體情境并遵守特定情境下的相應(yīng)規(guī)則，隱私是否受到侵害需要綜合考量具體場景下的多種因素。(22)See Helen Nissenbaum,Privacy as Contextual Integrity,79 Washington Law Review,136-157(2004).場景完整性理論由于其強大的包容性與靈活性得到立法者的青睞，2012年，白宮在一份文件中明確提出“尊重場景原則”(respect for context principle)，消費者有權(quán)期待企業(yè)收集、使用以及披露個人數(shù)據(jù)的方式與其提供數(shù)據(jù)時的場景相一致。(23)See See White House,Consumer Data Privacy in a Networked World:A Framework for Protecting Privacy and Promoting Innovation in the Global Digital Economy,available at https://obamawhitehouse.archives.gov/sites/default/files/privacy-final.pdf,last visited on Aug.20,2021.與此同時，聯(lián)邦貿(mào)易委員會強調(diào)在符合一定場景下企業(yè)可以直接收集或使用消費者信息而無需征得消費者的同意，除非企業(yè)以信息收集時所聲稱的實質(zhì)性不同的方式使用信息或出于某些目的而收集敏感信息。(24)See Federal Trade Commission,Protecting Consumer Privacy in an Era of Rapid change,March.2012,available at https://www.ftc.gov/sites/default/files/documents/reports/federal-trade-commission-report-protecting-consumer-privacy-era-rapid-change-recommendations/120326privacyreport.pdf,last visited on Jul.19,2021.2018年，《加州消費者隱私法案》(California Consumer Privacy Act，CCPA)吸收了“尊重場景規(guī)則”，法案明確“若個人信息的處理符合信息收集時的具體情境，則認為信息處理行為是合理的、適當(dāng)?shù)摹?25)The California Consumer Privacy Act of 2018(CCPA),available at https://leginfo.legislature.ca.gov/faces/billTextClient.xhtml?bill_id=201720180SB1121,last visited on Jul.11,2021.?！白鹬貓鼍耙?guī)則”主張不應(yīng)嚴格固守信息收集時的初始目的，若后續(xù)的信息處理符合信息收集時的具體場景則判定信息處理行為是合法的，但“場景”具有流動性與易變性，不利于當(dāng)事人合理預(yù)期的形成。有鑒于此，2020年的《加州隱私權(quán)法案》(The California Privacy Rights Act，CPRA)對目的限制原則進行了調(diào)整，采取“初始目的”與“場景路徑”雙重認定模式，其規(guī)定“企業(yè)收集、使用、存儲、共享消費者個人信息應(yīng)當(dāng)是合理的、必要的，并且與信息收集時的初始目的相符，或具有與信息收集時的情境相適應(yīng)的其他披露目的”。易言之，若個人信息的后續(xù)處理與初始目的或信息收集時的場景相符，就應(yīng)當(dāng)認定為正當(dāng)?shù)男畔⑻幚硇袨椤?/p>

(二)理論界的改革方案

大數(shù)據(jù)環(huán)境下，目的限制原則暴露出來的弊端愈來愈多，學(xué)界對此進行了反思并提出不同的改革方案?！昂戏ɡ鏈y試說”認為“目的限制原則”已經(jīng)無法適應(yīng)社會發(fā)展的需要，應(yīng)當(dāng)評估為實現(xiàn)某項合法利益可以在何種程度上正當(dāng)化信息處理行為，以此決定信息處理行為是否妥當(dāng)。(26)See Lokke Moerel,Corien Prins，Privacy for the Homo Digitalis:Proposal for a New Regulatory Framework for Data Protection in the Light of Big Data and the Internet of Things,available at https://papers.ssrn.com/sol3/papers.cfm?abstract_id=2784123,last visited on Apr.23,2021.“擴張解釋目的說”主張綜合考量信息收集時的情形、信息的性質(zhì)以及信息處理對信息可能造成的后果等因素，來擴張解釋信息收集時初始目的，禁止任何逾越初始目的的信息利用行為。(27)參見前引〔15〕,梁澤宇文。“風(fēng)險限定說”建議融入場景與風(fēng)險的理念，以“風(fēng)險限定”替代“目的限定”，亦即處理個人信息不能引發(fā)高于原有程度的、用戶無法預(yù)期的風(fēng)險。(28)參見范為：《大數(shù)據(jù)時代個人信息保護的路徑重構(gòu)》，載《環(huán)球法律評論》2016年第5期。風(fēng)險限定論認為，判定信息的利用是否具有正當(dāng)性關(guān)鍵在于信息處理是否引發(fā)了不合理的風(fēng)險，這種不合理的風(fēng)險包括精神壓力、差別待遇、人身財產(chǎn)損害的可能性以及是否符合信息主體的預(yù)期與信息披露時的情境。(29)參見李媛：《大數(shù)據(jù)時代個人信息保護研究》，華中科技大學(xué)出版社2019年版，第200頁。

關(guān)于前述改革方案，“合法利益測試說”的觀點較為激進，其認為應(yīng)當(dāng)徹底放棄“目的限制原則”的基礎(chǔ)性地位，主張以“合法利益”作為信息處理是否具有正當(dāng)性的唯一判斷標(biāo)準，如果信息處理是為實現(xiàn)某項合法利益所必需，則該信息處理具有妥適性，反之則否?！昂戏ɡ鏈y試說”在一定程度上緩和了后續(xù)信息處理受限于初始目的的局限性，能夠為實踐中信息處理的適時變動提供理論依據(jù)。然而，“合法利益”是模糊且抽象的法律概念，其具體內(nèi)涵及外延有待于個案情境中予以判定，由此可能導(dǎo)致不同主體對于“合法利益”存在不同的解釋，無法為司法實踐提供明確的指導(dǎo)。從實際層面考量，信息主體由于信息不對稱、專業(yè)能力的匱乏等現(xiàn)實因素很難舉證證明信息處理者所聲稱的“合法利益”是否合理，可能致使“合法利益測試”異化為強勢地位的信息處理者肆意處理他人信息的辯護工具?！皵U張解釋目的說”避免了后續(xù)信息處理溢出初始目的范圍可能面臨的“目的落空”之詰問，保障了“初始目的”存在的價值，但其通過采取綜合考量模式來擴張解釋信息處理的初始目的不僅不合理地改變了原本意義上的“目的”，還在一定程度上淡化了目的明確性，導(dǎo)致當(dāng)事人無法產(chǎn)生合理的預(yù)期。需明確的是，個人信息保護并非旨在保護信息本身不被收集、利用，而是保護信息主體免受信息處理可能造成的傷害，嚴格限制信息的收集而放松信息的利用不符合時代發(fā)展趨勢?！帮L(fēng)險限定說”不要求信息處理者對于初始目的的嚴格遵循，只要信息處理者將信息處理可能引發(fā)的“風(fēng)險”控制在合理范圍之內(nèi)就可以自由處理信息，符合實踐中多元化的信息利用需求。然而，罔顧信息收集時的初始目的，不利于信息主體合理預(yù)期的形成以及社會的有序發(fā)展。

四、個人信息的類型化分析

(一)個人信息類型化的必要性

1.個人信息固有的差異性

個人信息范圍廣泛、種類繁雜，不同的個人信息與自然人的關(guān)聯(lián)性是不同的，面對豐富龐雜的個人信息集群，統(tǒng)一個人信息的保護模式忽視了個人信息的差異性及其對個人的影響程度，因此，區(qū)分規(guī)制個人信息從而提供更為細致的保護實乃現(xiàn)實必需。

司法實踐中，法院首先認為信息的內(nèi)容決定信息處理風(fēng)險的高低，如果所涉信息的內(nèi)容是普通個人信息，則訴請通常不會得到法院的支持，但如果相關(guān)的個人信息涉及當(dāng)事人的隱私，或者個人信息屬于敏感事項，那么相關(guān)的訴請就有很大的可能獲得法院的支持，因此，只有對受保護的個人信息進行類型化處理，才能“避免個人信息概念的模糊性缺陷，防止規(guī)范適用的空洞化”(30)前引〔11〕,謝遠揚文，第146頁。。個人信息固有的差異性要求我們對不同個人信息給予不同程度的保護，這是平等原則的內(nèi)在要求，平等并非意味著忽視個人信息的差異性刻意追求均等化保護。平等原則包括兩重含義：平等的必須平等對待，不平等的必須不平等對待。這意味著平等原則不僅僅允許差別的存在，而且允許差別對待。(31)參見〔德〕伯恩·魏德士：《法理學(xué)》，丁小春、吳越譯，法律出版社2003年版，第165頁。個人信息之間天然地存在差異，不加區(qū)分地對所有個人信息實行同等保護，違背了平等原則的實質(zhì)內(nèi)涵。

2.促進信息市場有序發(fā)展

歷史上，無數(shù)次思想啟蒙與思想解放運動的經(jīng)驗告誡我們，人類從愚昧無知走向文明發(fā)展的關(guān)鍵就在于信息的獲取與利用。目前，信息的共享與流通已成必然趨勢，信息壁壘逐漸被打破，任何阻礙或隔絕信息流通的行為都是違背社會實際發(fā)展現(xiàn)狀的。信息時代對于個人信息利用的內(nèi)在需求要求我們必須摒棄傳統(tǒng)的只關(guān)注于信息主體利益的滯后觀念，適度地釋放信息的經(jīng)濟價值才能有利于社會的有序發(fā)展。在信息處理過程中，信息主體的利益與信息處理者的利益處于持續(xù)的博弈之中，過于強化信息主體利益的保護，必將侵蝕信息的合理利用空間；反之，偏重信息處理者的利益，則勢必影響信息主體的利益。

大數(shù)據(jù)時代，信息經(jīng)濟已成為我國市場經(jīng)濟發(fā)展的重要組成部分，個人信息一體化的保護模式增加了信息處理者處理信息的顧慮，信息處理者可能因懼怕動輒承擔(dān)法律責(zé)任而放棄信息產(chǎn)品的研發(fā)與升級，這對于我國信息產(chǎn)業(yè)的長足發(fā)展是不利的。從成本收益的角度分析，統(tǒng)一保護模式雖然使公民信息得到了絕對的保護，但國家為此投入了大量成本，包括司法成本、社會成本等，總體上無益于社會效益的增加，因而并非是最優(yōu)的資源配置方式。(32)參見董悅：《公民個人信息分類保護的刑法模式構(gòu)建》，載《大連理工大學(xué)學(xué)報(社會科學(xué)版)》2020年第2期。

(二)個人信息類型化的路徑選擇

1.個人信息類型化的理論嘗試與規(guī)范應(yīng)對

關(guān)于個人信息的類型化區(qū)分，我國理論層面與規(guī)范層面存在不同的觀點，就理論層面來說，可謂眾說紛紜，以下簡要概述。有學(xué)者依據(jù)個人信息與人格關(guān)系的緊密程度將個人信息區(qū)分為人格緊密型個人信息和人格疏遠型個人信息，凡符合直接識別性、敏感性、個體性強三個特征之一的個人信息即為人格緊密型個人信息，反之則為人格疏遠型個人信息。(33)參見項定宜、申建平：《個人信息商業(yè)利用同意要件研究——以個人信息類型化為視角》，載《北方法學(xué)》2017年第5期。還有學(xué)者立足于個人信息生命周期及其在不同周期階段呈現(xiàn)的利益形態(tài)，將個人信息劃分為個人私密信息、個人事實信息以及個人預(yù)測信息。(34)參見袁泉、王思慶：《個人信息分類保護制度及其體系研究》，載《江西社會科學(xué)》2020年第7期。還有學(xué)者將個人信息劃分為自然性個人信息與社會性個人信息，自然性個人信息是信息主體與生俱來且無法輕易改變的信息，社會性個人信息是信息主體為了社會生活所必須而由個人主動或被動地獲取的相應(yīng)符號或信息。(35)參見劉迎霜：《大數(shù)據(jù)時代個人信息保護再思考——以大數(shù)據(jù)產(chǎn)業(yè)發(fā)展之公共福利為視角》，載《社會科學(xué)》2019年第3期。由上述不完全列舉可知，我國學(xué)者在個人信息類型化問題上各執(zhí)己見，但其區(qū)別規(guī)制個人信息的意旨均在細化個人信息的保護方式，并在此基礎(chǔ)上平衡信息主體與信息處理者的利益。

就規(guī)范層面來說，截至目前，我國諸多規(guī)范均對個人信息的類型化予以了明確規(guī)定。2012年發(fā)布的《信息安全技術(shù) 公共及商用服務(wù)信息系統(tǒng)個人信息保護指南》第3.2條明確表示“個人信息可以分為個人敏感信息和個人一般信息”?！睹穹ǖ洹返?034條第3款依據(jù)信息的私密性將個人信息區(qū)分為私密信息與非私密信息，第1036條則根據(jù)公開與否將個人信息區(qū)分為已經(jīng)合法公開的個人信息與未公開的個人信息。新近頒布的《個人信息保護法》延續(xù)了區(qū)別規(guī)制個人信息的立法理念，將個人信息區(qū)分為個人一般信息與個人敏感信息以及已公開的個人信息與未公開的個人信息?？梢?，我國立法對于個人信息的類型化存在不同的規(guī)定，由此引發(fā)的問題是，不同類型化的個人信息之間可能存在交叉重疊之處，例如，性取向可能同時屬于個人敏感信息、私密信息以及非公開個人信息，此時應(yīng)當(dāng)選取何種保護路徑不僅關(guān)系當(dāng)事人合法權(quán)益的保護，還關(guān)系法律體系的內(nèi)在協(xié)調(diào)。

2.個人信息類型化的理想選擇

上述個人信息類型化的學(xué)說有一定的說服力，但都不足以成為重構(gòu)目的限制原則的根本性的類型劃分。筆者認為，以信息的敏感度將個人信息區(qū)別為個人一般信息與個人敏感信息進而對目的限制原則采取不同的解釋路徑，能統(tǒng)籌兼顧信息主體利益與信息處理者利益，實現(xiàn)信息保護與信息利用之間的動態(tài)平衡。根據(jù)《個人信息保護法》第28條之規(guī)定，“敏感個人信息是一旦泄露或者非法使用，容易導(dǎo)致自然人的人格尊嚴受到侵害或者人身、財產(chǎn)安全受到危害的個人信息，包括生物識別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息，以及不滿十四周歲未成年人的個人信息”。可見，個人敏感信息與個人一般信息的區(qū)分觸及了個人信息保護實質(zhì)意義上的差異性，較之于個人一般信息，侵害個人敏感信息對信息主體造成的損害更為嚴重，因而需要對其予以更嚴格的保護。

此外，以個人敏感信息與個人一般信息的區(qū)分來構(gòu)建個人信息保護規(guī)范體系符合國際立法趨勢，也契合了我國的立法規(guī)范。目前，比較法上大多國家和地區(qū)采取區(qū)別規(guī)制個人敏感信息與個人一般信息的立法體例。例如，1981年歐洲理事會頒布的《關(guān)于個人數(shù)據(jù)自動化處理的個人保護公約》、2018年生效的《歐盟一般數(shù)據(jù)保護條例》、2018年日本修正的《個人信息保護法》等。我國規(guī)范層面，《民法典》《個人信息保護法》《征信業(yè)管理條例》以及《信息安全技術(shù) 公共及商用服務(wù)信息系統(tǒng)個人信息保護指南》《信息安全技術(shù) 個人信息安全規(guī)范》等諸多規(guī)范性文件或直接或間接規(guī)定了敏感信息。司法實踐中，法院亦認為應(yīng)當(dāng)對于敏感信息予以特殊對待。在“羅某與巢某土地登記糾紛”一案中，法院認為，合法權(quán)利人對于房屋相關(guān)權(quán)屬信息為個人敏感信息，在非法定情形下，未經(jīng)權(quán)利人同意不應(yīng)公開。(36)參見江蘇省南京市中級人民法院(2020)蘇01行終480號行政判決書。在“朱燁與百度網(wǎng)訊科技公司隱私權(quán)糾紛”一案中，法院認為，將個人信息區(qū)分為個人敏感信息和非個人敏感信息的一般個人信息而允許采用不同的知情同意模式，能夠在保護個人人格尊嚴與促進技術(shù)創(chuàng)新之間尋求最大公約數(shù)。(37)參見江蘇省南京市中級人民法院(2014)寧民終字第5028號民事判決書?？梢哉f，個人敏感信息與個人一般信息的區(qū)別規(guī)制能夠成為我國個人信息分類保護的基礎(chǔ)性框架，是適合于我國個人信息類型化保護的理想的路徑選擇。

五、類型化視角下目的限制原則的重構(gòu)

(一)個人敏感信息：禁止目的外利用

個人敏感信息與信息主體的人格尊嚴以及人格自由密切相關(guān)，非法收集或不當(dāng)利用敏感信息可能對信息主體的人身權(quán)益造成嚴重損害，這種損害不局限于隱私侵害，而是包括財產(chǎn)損失、歧視性待遇、精神傷害等在內(nèi)的各種形式的物質(zhì)性以及非物質(zhì)性損害。處理敏感信息具有高度的危險性，因而在處理敏感信息時應(yīng)當(dāng)恪守目的限制原則，禁止超越初始目的范圍處理敏感信息。

如前所述，收集個人敏感信息必須具有明確、合理的目的，其中“合理性”的判定涉及價值層面沖突關(guān)系的利益衡量，可以借助于公法上的比例原則進行判定。比例原則緣起于德國警察法，后發(fā)展為公法領(lǐng)域的“帝王條款”，比例原則內(nèi)含三個子原則，即適當(dāng)性原則(Geeignetheit)、必要性原則(Erforderlichkeit)及狹義比例原則(Verhltnismigkeit im engeren Sinne)。(38)Vgl.Landessozialgericht Hamburg.Begrenzung der Erlschenswirkung bei Nichtanzeige einer Beschftigung， 2006 Heft 1,S.18.近年來，比例原則在我國呈現(xiàn)出不斷擴張的趨勢，不僅行政法、刑法等公法領(lǐng)域強調(diào)比例原則的指導(dǎo)價值，私法領(lǐng)域也逐漸認可比例原則的作用空間，更有學(xué)者主張比例原則應(yīng)當(dāng)作為民法的一項基本原則，強調(diào)比例原則在私法領(lǐng)域的普適性。(39)參見鄭曉劍：《比例原則在民法上的適用及展開》，載《中國法學(xué)》2016年第2期；紀海龍：《比例原則在私法中的普適性及其例證》，載《政法論壇》2016年第3期。比例原則作為方法論意義上的工具性原則，(40)See Aharon Barak,Proportionality,Constitutional Rights and Their Limitations,Cambridge University Press,2012,p.131.考察的是目的與手段之間是否均衡，處理敏感信息是否具有“合理性”亦在評價信息處理者的處理行為與其所意愿達成的目的之間是否合理，與比例原則內(nèi)蘊的價值取向具有一致性。此外，比例原則內(nèi)含的三個子原則呈現(xiàn)階層式的構(gòu)造，在具體適用上具有嚴格的順序限制。比例原則的階層式構(gòu)造以及順序判斷模式提供了精致的分析工具，使得“合理性”的判定既不過于空洞也有章可循。具體來說，適當(dāng)性原則要求信息處理者的行為應(yīng)當(dāng)有助于合法利益的實現(xiàn)，此處的“合法利益”應(yīng)作廣義的解釋，不僅包括法律明確規(guī)定的正當(dāng)性利益，還包括法律雖然沒有明確規(guī)定但從規(guī)范目的可推導(dǎo)出的合法性利益。需注意的是，適當(dāng)性原則要求信息處理者的行為具有實現(xiàn)合法權(quán)益之可能性即可，并不要求該合法利益必須真切地實現(xiàn)，由于事物的普遍聯(lián)系性，客觀上有利于實現(xiàn)合法利益的信息處理行為可能無限綿延，行為的作用力大小亦不相同，但不得將過于遙遠的作用力納入合理性范疇，否則可能堵塞信息主體獲取救濟的途徑。必要性原則要求信息處理者在處理敏感信息時必須選擇對信息主體侵害最小的處理措施，且所采取的措施必須具有經(jīng)濟性與便利性，若實現(xiàn)該信息處理目的成本過高，應(yīng)否定信息處理行為的合理性。均衡性原則要求處理敏感信息可能對信息主體利益造成的損害應(yīng)當(dāng)與所要實現(xiàn)的目的具有相稱性，不能顯著失衡，相稱性內(nèi)蘊多元的價值評價，需要在具體個案中綜合考量。

(二)個人一般信息：適度允許目的外利用

大數(shù)據(jù)時代，個人的生活交往以及社會的存續(xù)發(fā)展離不開個人信息的收集與利用，對于與信息主體聯(lián)系不甚緊密的個人一般信息，應(yīng)更多關(guān)注于其在社會生活中的流轉(zhuǎn)與利用，原則上來說，信息處理者必須謹遵目的限制原則，但為滿足社會對于信息利用的需求，應(yīng)當(dāng)允許信息處理者在一定條件下超越初始目的范圍利用信息，前提是不得給信息主體造成不合理的風(fēng)險。

現(xiàn)代社會是風(fēng)險社會，各種各樣的風(fēng)險無處不在。貝克認為，風(fēng)險的概念直接與反思性現(xiàn)代化的概念相關(guān)，風(fēng)險可以被界定為系統(tǒng)地處理現(xiàn)代化自身引致的危險和不安全感的方式。(41)參見〔德〕烏爾里希·貝克：《風(fēng)險社會》，何博聞譯，譯林出版社2004年版，第19頁。還有學(xué)者認為，風(fēng)險是某種不可預(yù)見情形出現(xiàn)的可能性，其可能是自然事件或人類活動的結(jié)果，也可能是兩者共同作用的結(jié)果。(42)參見〔英〕羅伯特·鮑德溫、馬丁·凱夫、馬丁·洛奇編：《牛津規(guī)制手冊》，宋華琳等譯，上海三聯(lián)書店出版社2017年版，第348頁?？梢?，“風(fēng)險”一詞具有多重面向，其在不同語境中具有不同的含義。個人一般信息更多體現(xiàn)為信息利用價值，因此不宜片面強調(diào)信息處理對于初始目的的嚴格遵循，而應(yīng)要求信息處理者將信息處理可能引發(fā)的風(fēng)險控制在合理范圍之內(nèi)，以符合大數(shù)據(jù)時代信息多元利用的趨勢。一般來說，影響信息處理風(fēng)險程度的因素主要有以下幾項：第一，信息的敏感性程度。個人信息的核心特征在于識別性，識別包括直接識別與間接識別，直接識別指通過該信息可以直接確認某一自然人的身份，間接識別指通過該信息雖然不能直接確認某人的身份，但可以結(jié)合其他信息加以確定。(43)參見黃薇主編：《中華人民共和國民法典人格權(quán)編解讀》，中國法制出版社2020年版，第209頁。個人信息的此種特性決定了個人信息的范圍具有廣泛性與動態(tài)性，具體個案中，如果信息的敏感度越高，則信息處理行為受到的限制越多。第二，信息處理者的風(fēng)險控制能力。特定的行為或活動與特定的風(fēng)險相聯(lián)系，當(dāng)行為人以其行為開啟一定的風(fēng)險或者維持一定的風(fēng)險狀態(tài)時，該風(fēng)險實現(xiàn)時則行為人難辭其咎。(44)參見葉金強：《風(fēng)險領(lǐng)域理論與侵權(quán)法二元歸責(zé)體系》，載《法學(xué)研究》2009年第2期。通常來說，信息處理活動產(chǎn)生的風(fēng)險是由信息處理者制造的，信息處理者在享受信息處理帶來利益的同時亦負有合理控制風(fēng)險的義務(wù)。風(fēng)險實現(xiàn)的可能性以及風(fēng)險的嚴重性與信息處理者控制風(fēng)險的能力密切相關(guān)，信息處理者控制風(fēng)險的能力越強，則風(fēng)險發(fā)生的可能性越低、風(fēng)險的嚴重性亦越低。第三，信息主體的預(yù)見能力。合理的信賴受法律保護，信息處理者不得以信息主體基于信息收集時的初始目的所無法預(yù)期的方式處理信息。(45)See Dag Elgesem,The Structure of Rights in Directive 95/46/EC on the Protection of Individuals with regard to the Processing of Personal Data and the Free Movement of Such Data,1 Ethics &Information Technology,283-287(1999).信息處理者對于信息主體信賴其以約定方式利用信息的合理預(yù)期負有保護義務(wù)，不得無故使信息主體的合理預(yù)期落空，否則有礙于構(gòu)建良性的信息處理環(huán)境，若信息處理產(chǎn)生的風(fēng)險高于信息主體的合理預(yù)期則為法律所不允許，信息處理者需將相關(guān)風(fēng)險告知信息主體并重新獲得信息主體的授權(quán)同意。須注意的是，即使信息處理產(chǎn)生的風(fēng)險在合理范圍之內(nèi)，但信息主體明確表示拒絕接受信息處理的，信息處理者亦不得繼續(xù)處理信息，除非信息處理者有證據(jù)證明信息處理的利益大于信息主體的利益。

六、結(jié) 語

法律需要穩(wěn)定，但不能一成不變，所有關(guān)于法律的思考都是在努力調(diào)和穩(wěn)定與變化這兩種相互沖突的需求。(46)See Roscoe Pound,Interpretations of Legal History,Cambridge University Press,1967,p.1.目前，大數(shù)據(jù)技術(shù)滲透到社會生活的各個方面，信息科技的快速變革要求個人信息保護理念應(yīng)從嚴格限制信息收集轉(zhuǎn)向平衡兼顧信息保護與信息利用，傳統(tǒng)的目的限制原則無法有效應(yīng)對社會的發(fā)展變化，有必要對其加以修正。

個人信息種類繁雜，不同個人信息與信息主體的緊密程度差異甚大，統(tǒng)一的個人信息保護模式無法合理兼顧信息保護與信息利用之雙重價值目標(biāo)，類型化構(gòu)建個人信息保護制度實有必要。具體而言，由于個人敏感信息關(guān)系信息主體基本的人格尊嚴，在處理敏感信息時必須恪守目的限制原則，禁止恣意擴大初始目的應(yīng)有的范圍，而對于個人一般信息，可以適度允許超越初始目的范圍的信息利用行為，但不得超過信息收集時信息主體能夠合理預(yù)期的風(fēng)險。我國《個人信息保護法》雖然規(guī)定了目的限制原則，但基本沿用傳統(tǒng)的保護路徑，存在不足之處，應(yīng)適度調(diào)整目的限制原則的內(nèi)涵以期助力我國信息產(chǎn)業(yè)與信息社會的有序發(fā)展。