數(shù)據(jù)處理目的改變之法律挑戰(zhàn)與對(duì)策

楊爍 王玉寶

摘 要：目的限制原則要求信息處理者對(duì)數(shù)據(jù)進(jìn)一步處理不得與初始目的不兼容，大數(shù)據(jù)和人工智能的發(fā)展對(duì)該原則發(fā)起了挑戰(zhàn)。大數(shù)據(jù)分析使用不同的算法分析數(shù)據(jù)，人工智能通過對(duì)所持有的數(shù)據(jù)進(jìn)行訓(xùn)練，要求重新使用數(shù)據(jù)創(chuàng)造新的價(jià)值。改變數(shù)據(jù)處理目的，須在信息主體的基本權(quán)利保護(hù)、風(fēng)險(xiǎn)控制與促進(jìn)創(chuàng)新之間構(gòu)建一個(gè)新的平衡。為了給數(shù)據(jù)的進(jìn)一步處理提供一定的靈活性，通過場景一致性構(gòu)建兼容使用理論;為科學(xué)研究、統(tǒng)計(jì)目的使用數(shù)據(jù)推定具有兼容性，從而釋放大數(shù)據(jù)分析的價(jià)值，并提高法律的可預(yù)測性。更進(jìn)一步，通過代碼塑造數(shù)據(jù)處理目的改變?cè)俅卫脭?shù)據(jù)的行為規(guī)范。數(shù)據(jù)的設(shè)計(jì)和默認(rèn)保護(hù)理念認(rèn)為代碼架構(gòu)可以通過數(shù)據(jù)處理場景，將目的限制原則內(nèi)置到信息系統(tǒng)當(dāng)中，通過組織和技術(shù)保障措施確保數(shù)據(jù)重新使用具有兼容性與合法性，并保障數(shù)據(jù)安全。

關(guān)鍵詞：目的限制原則;兼容性;目的改變;數(shù)據(jù)設(shè)計(jì)和默認(rèn)保護(hù)

[中圖分類號(hào)] D901 [文章編號(hào)] 1673-0186（2024）002-0116-016

[文獻(xiàn)標(biāo)識(shí)碼] A? ? ? [DOI編碼] 10.19631/j.cnki.css.2024.002.009

目的限制原則是各國數(shù)據(jù)保護(hù)法的基礎(chǔ)性原則，要求進(jìn)一步處理個(gè)人信息不得與初始目的不兼容①。數(shù)據(jù)具有成本，但是也遵循報(bào)酬遞增規(guī)律[1]。頻繁使用數(shù)據(jù)，可以使得成本遞減，利潤增加。數(shù)據(jù)作為非競爭性資源，具有再利用數(shù)據(jù)的規(guī)模經(jīng)濟(jì)和范圍經(jīng)濟(jì)效益。但是，目的限制原則與大數(shù)據(jù)分析的價(jià)值可能背向而行。大數(shù)據(jù)分析的價(jià)值往往在于收集數(shù)據(jù)后再去尋找具體目的，并且大數(shù)據(jù)分析很有可能以最初收集數(shù)據(jù)尚未預(yù)想的方式來分析數(shù)據(jù)[2]。有觀點(diǎn)認(rèn)為允許在沒有預(yù)先確定目的之場景下處理數(shù)據(jù)，是創(chuàng)新快速發(fā)展的必要條件，主張為了發(fā)揮大數(shù)據(jù)的潛力，應(yīng)該以空前未有的規(guī)模收集數(shù)據(jù)，并允許為不同的目的重復(fù)使用[3]。有批評(píng)聲音甚至指出歐盟《一般數(shù)據(jù)保護(hù)條例》（General Data Protection Regulation， GDPR）（以下簡稱“GDPR”）已經(jīng)與大數(shù)據(jù)不兼容[4]。大數(shù)據(jù)分析與目的限制原則存在矛盾，為了遵守該原則，信息處理者應(yīng)當(dāng)告知個(gè)人他們進(jìn)一步處理個(gè)人信息的方式，并密切關(guān)注該處理形式，以保證后續(xù)處理處于兼容性范圍，從而認(rèn)為執(zhí)行這些任務(wù)是昂貴的、困難的，甚至是不可能[4]1006。相反，有學(xué)者通過計(jì)算機(jī)科學(xué)及交叉學(xué)科研究的視角駁斥了以上觀點(diǎn)。他提出數(shù)據(jù)最小化和目的限制原則可以在數(shù)據(jù)驅(qū)動(dòng)的環(huán)境中，特別是算法分析、個(gè)性化和決策系統(tǒng)有意義地實(shí)施。這兩項(xiàng)法律原則在管理個(gè)人數(shù)據(jù)處理風(fēng)險(xiǎn)方面繼續(xù)發(fā)揮重要作用，它們甚至可能通過減少數(shù)據(jù)中的噪音來提高人工智能系統(tǒng)的穩(wěn)健性[5]。為了保護(hù)數(shù)據(jù)主體，目的限制原則是要求信息處理者采取相關(guān)保障措施，當(dāng)然也為信息處理者的行為賦予一定的靈活性[6]3。目的限制原則長期以來被認(rèn)為是數(shù)據(jù)保護(hù)的基石，也是大多數(shù)其他基本要求的先決條件[7]。該原則要求信息處理目的必須特定、明確、合法，這意味著信息處理者不能以創(chuàng)新為名，對(duì)信息主體的權(quán)利、自由和利益造成不相稱的干擾。

因此，GDPR仍然堅(jiān)持目的限制原則，我國法律也規(guī)定了目的限制原則。GDPR第二章原則第五條個(gè)人數(shù)據(jù)處理原則規(guī)定，個(gè)人數(shù)據(jù)應(yīng)為特定、明確、合法的目的被收集，并且個(gè)人數(shù)據(jù)的進(jìn)一步處理不得與該目的不兼容①?！吨腥A人民共和國個(gè)人信息保護(hù)法》第一章第六條規(guī)定了目的限制原則，處理個(gè)人信息應(yīng)當(dāng)控制在收集個(gè)人信息之初始目的直接相關(guān)的范圍內(nèi)，在沒有合法基礎(chǔ)的情形下，擅自改變目的，則違背目的限制原則。

數(shù)據(jù)處理目的改變之理論構(gòu)建，在數(shù)據(jù)經(jīng)濟(jì)發(fā)展和個(gè)人基本權(quán)利保護(hù)的緊張關(guān)系中起著舉足輕重的作用。嚴(yán)格遵守目的限制原則，可能會(huì)限制某些提高經(jīng)濟(jì)效率的數(shù)據(jù)使用，阻礙技術(shù)進(jìn)步;過度使用數(shù)據(jù)，可能會(huì)給個(gè)人基本權(quán)利、隱私等造成侵害。我國學(xué)術(shù)界在這方面的研究，處于初步階段，主要著眼于三個(gè)方面：一是對(duì)目的限制原則含義進(jìn)行一般解釋[8]，或者進(jìn)行價(jià)值補(bǔ)充[9]，或者對(duì)其中一方面的探討，如對(duì)“目的特定”的理解[10]，強(qiáng)調(diào)目的改變須再次征求信息主體同意[11];二是針對(duì)特殊場景目的限制原則的應(yīng)用研究，如刑事偵查場景中目的限制原則的適用[12]，偵查需要目的與隱私權(quán)保護(hù)[13]，科學(xué)研究場景中目的限制原則的突破[14]。三是對(duì)數(shù)據(jù)處理目的改變的理論研究，有觀點(diǎn)主張進(jìn)一步處理數(shù)據(jù)，特殊情況下允許超越初始目的，但不能超越個(gè)人預(yù)期[15]。但是，對(duì)數(shù)據(jù)處理目的改變的邏輯結(jié)構(gòu)與理論基礎(chǔ)尚無深入的探討，思考數(shù)據(jù)處理目的改變之路徑選擇及理論生成，正是本文研究之目的所在。

一、數(shù)據(jù)處理目的改變之路徑選擇

對(duì)數(shù)據(jù)進(jìn)一步處理重新使用，是數(shù)據(jù)價(jià)值實(shí)現(xiàn)的關(guān)鍵環(huán)節(jié)，但是改變目的處理個(gè)人數(shù)據(jù)可能侵害個(gè)人基本權(quán)利。因此在保護(hù)基本權(quán)利與數(shù)據(jù)再使用之間如何進(jìn)行平衡，則遇到了理論難題和實(shí)踐矛盾。

（一）數(shù)據(jù)處理目的改變與基本權(quán)利保護(hù)

數(shù)據(jù)處理目的改變之歷史沿革與基本權(quán)利保護(hù)密切關(guān)聯(lián)。1950年通過的《歐洲人權(quán)公約》（ECHR）第八條規(guī)定了從有權(quán)享有使自己的私人和家庭生活、家庭和通信得到尊重的權(quán)利①。該條包括了隱私保護(hù)，在存在“干涉隱私”的情形，須有法律根據(jù)和明確合法目的，作為評(píng)估干涉必要性的前提條件。歐洲委員會(huì)發(fā)布的《關(guān)于個(gè)人數(shù)據(jù)自動(dòng)化處理的個(gè)人保護(hù)公約》（下稱“108號(hào)公約”）引入了保護(hù)個(gè)人數(shù)據(jù)的概念[6]7。第108號(hào)公約第5條確立了數(shù)據(jù)保護(hù)法的基本原則，包括合法原則、公平原則和相稱性原則，也規(guī)定了目的說明和目的必須合法的要求。同時(shí)，還引入了不兼容的概念，不能以與特定目的“不兼容”的方式使用數(shù)據(jù)②。1980年通過的《經(jīng)合組織指南》進(jìn)一步規(guī)范了兼容使用的概念。該指南允許將數(shù)據(jù)“后續(xù)使用”用于不同的目的，只要這些目的與最初的目的不相矛盾，并且在每次目的改變時(shí)都進(jìn)行具體說明。該指南提到了兼容使用要求的兩種例外情況：“經(jīng)數(shù)據(jù)主體同意”或“經(jīng)法律的權(quán)威”[16]?！兜?5/46/EC號(hào)保護(hù)個(gè)人在數(shù)據(jù)處理和自動(dòng)移動(dòng)中權(quán)利指令》引入了為歷史、統(tǒng)計(jì)或科學(xué)目的進(jìn)一步處理數(shù)據(jù)的規(guī)定;只要成員國確保有適當(dāng)?shù)谋Ｕ洗胧?，這些都不被認(rèn)為是不兼容的[6]9-10。

理論上，目的限制原則的堅(jiān)持，是保護(hù)個(gè)人基本權(quán)利和自由的要求。確保信息處理者尊重目的限制原則，是信息自決權(quán)尊重個(gè)人合理期待的必然結(jié)果。目的限制原則可以增強(qiáng)信息主體對(duì)個(gè)人信息的控制，促進(jìn)社會(huì)公眾對(duì)數(shù)據(jù)環(huán)境的信任，創(chuàng)造和諧的網(wǎng)絡(luò)空間。相對(duì)應(yīng)的是，目的限制原則在一定程度上削弱了信息處理者對(duì)數(shù)據(jù)市場的控制地位，從而允許新的競爭者進(jìn)入市場，促進(jìn)有序競爭，培養(yǎng)合法安全的創(chuàng)新土壤。

（二）數(shù)據(jù)處理目的改變之路徑構(gòu)建

在收集個(gè)人信息的初始目的范圍內(nèi)處理個(gè)人信息，是一種理想的追求。隨著技術(shù)的進(jìn)步，需要在新的目的范圍內(nèi)重新使用數(shù)據(jù)。如何在保護(hù)個(gè)人基本權(quán)利、促進(jìn)創(chuàng)新、加強(qiáng)風(fēng)險(xiǎn)控制上達(dá)到一個(gè)合理的平衡，這給法律理論和實(shí)踐提出了新的挑戰(zhàn)。理論上，個(gè)人信息處理目的改變有以下五種可能路徑：一是基于信息主體同意或者國家機(jī)關(guān)履行法定職責(zé)或者法定義務(wù)所必需等合法性基礎(chǔ)③?；谛畔⒅黧w同意進(jìn)行數(shù)據(jù)重新利用，當(dāng)然具有合法性基礎(chǔ)，但是又面臨一個(gè)重要的問題，即同意的有效性問題。國家機(jī)關(guān)處理個(gè)人信息須遵循法定義務(wù)，涉及公共利益與私人利益的協(xié)調(diào)，其范圍與限度須謹(jǐn)慎④。二是個(gè)人信息匿名化。已經(jīng)匿名化處理的信息，不再是個(gè)人信息保護(hù)法的調(diào)整范圍，改變目的對(duì)數(shù)據(jù)重新利用，自然沒有障礙⑤。此時(shí)，個(gè)人信息處理者可以改變目的，自由分析數(shù)據(jù)，但是大數(shù)據(jù)分析方法已經(jīng)可以重新識(shí)別以前被匿名的個(gè)人數(shù)據(jù)，使得該數(shù)據(jù)又進(jìn)入了個(gè)人信息保護(hù)法的調(diào)整范圍。匿名化的信息仍然有可能給信息主體帶來剩余風(fēng)險(xiǎn)，匿名化不應(yīng)該被視為一次性的工作，信息處理者應(yīng)該定期重新評(píng)估相關(guān)的風(fēng)險(xiǎn)[17]4。而且，匿名化的信息，大大降低了數(shù)據(jù)的商業(yè)利用價(jià)值。三是為一個(gè)較為寬泛的目的收集個(gè)人信息，該目的涵蓋了將來所需要使用的情形。根據(jù)GDPR，一個(gè)籠統(tǒng)模糊的目的，如“改善用戶”“營銷目的”“安全目的”等，并不符合“目的具體”的要求[6]16。第29條數(shù)據(jù)保護(hù)工作組認(rèn)為“目的明確的最終目標(biāo)是確保目的的具體化，而不會(huì)對(duì)其含義或意圖含糊不清或模棱兩可”[6]17。我國個(gè)人信息保護(hù)法規(guī)定了“目的明確”，就是已經(jīng)承認(rèn)了目的必須具體或者特定。由此可見，一個(gè)寬泛的目的，不符合目的限制原則的要求。四是構(gòu)建兼容性使用的路徑，須通過兼容性測試①。數(shù)據(jù)處理目的改變，如果符合兼容性的要求，則并不違反目的限制原則，為數(shù)據(jù)的進(jìn)一步處理開辟了一條可行通道，這也是歐盟數(shù)據(jù)保護(hù)法發(fā)展史上在個(gè)人基本權(quán)利保護(hù)和數(shù)據(jù)有效利用方面的一個(gè)重要平衡。五是符合公共利益存檔目的、科學(xué)研究、歷史研究或者統(tǒng)計(jì)等目的，但應(yīng)當(dāng)采取適當(dāng)保障措施②?！吨腥A人民共和國個(gè)人信息保護(hù)法》第八章第七十二條明確了各級(jí)人民政府及其有關(guān)部門組織實(shí)施的統(tǒng)計(jì)、檔案管理活動(dòng)的處理行為，須依照法律規(guī)定，屬于法律保留事項(xiàng)。但是對(duì)于其他科學(xué)研究目的進(jìn)一步處理行為，沒有規(guī)定。如何構(gòu)建為研究目的進(jìn)一步使用個(gè)人信息的理論體系，亟待深入梳理。

后兩種路徑，對(duì)大數(shù)據(jù)分析具有重大意義。對(duì)于個(gè)人信息處理目的改變的理論構(gòu)建，本文從兼容使用開始推進(jìn)，論證為科學(xué)研究目的進(jìn)一步處理個(gè)人信息的推定兼容性規(guī)則，并在此基礎(chǔ)上探究數(shù)據(jù)設(shè)計(jì)和默認(rèn)保護(hù)的優(yōu)勢及理論進(jìn)路，層層遞進(jìn)，構(gòu)建數(shù)據(jù)處理目的改變有效利用數(shù)據(jù)的理論圖景。

二、兼容使用語境下之目的改變

數(shù)據(jù)進(jìn)一步使用之目的與初始目的如果存在兼容性或者直接相關(guān)性，則表明兩個(gè)目的之間并不存在著沖突，且并未超越數(shù)據(jù)主體的可能預(yù)期。兼容使用的理論基礎(chǔ)須通過分析數(shù)據(jù)處理場景與平衡主體利益進(jìn)行構(gòu)建。

（一）殊途同歸：兼容使用與直接相關(guān)

人們?cè)絹碓秸J(rèn)識(shí)到，在不同情況下產(chǎn)生的數(shù)據(jù)具有長期的和多方面的重要效用，遠(yuǎn)遠(yuǎn)超出了最初收集這些數(shù)據(jù)的用途。改變目的進(jìn)一步處理數(shù)據(jù)，在信息主體和信息處理者之間作出一個(gè)適當(dāng)?shù)钠胶?，自然成為一個(gè)迫切需要研究的課題。我國法律規(guī)定處理個(gè)人信息需與初始目的“直接相關(guān)”，采取“直接相關(guān)”的表述。通過文義解釋，直接相關(guān)并不要求后續(xù)處理目的與初始目的完全相同。如果后續(xù)處理目的和初始目的不同，需考慮有無直接相關(guān)性。個(gè)人信息的處理目的、處理方式和處理的個(gè)人信息種類發(fā)生變更的，應(yīng)當(dāng)重新取得個(gè)人同意③。處理目的變更，實(shí)質(zhì)上產(chǎn)生新的處理行為[18]。如果新的處理目的與初始目的不同，但是直接相關(guān)，不能認(rèn)為改變了數(shù)據(jù)處理目的。因此，該條規(guī)定的“變更”，從體系解釋出發(fā)，應(yīng)當(dāng)是進(jìn)一步處理個(gè)人信息與初始目的沒有“直接相關(guān)”。GDPR第二章第五條要求不得采取與數(shù)據(jù)收集目的不兼容（incompatible）的方式進(jìn)一步處理數(shù)據(jù)。與數(shù)據(jù)收集目的不兼容并不等同于與初始目的不同（different），GDPR并未禁止通過不同目的進(jìn)一步處理數(shù)據(jù)，僅僅是禁止與初始目的不兼容的目的來進(jìn)一步處理數(shù)據(jù)[19]79。如果數(shù)據(jù)后續(xù)處理目的改變，但是和初始目的兼容，并未違反GDPR的規(guī)定;當(dāng)然如果數(shù)據(jù)后續(xù)處理目的改變，與初始目的不兼容，則必須重新取得數(shù)據(jù)主體的同意或者具有其他處理數(shù)據(jù)的合法性基礎(chǔ)?？梢?，我國法律關(guān)于個(gè)人信息進(jìn)一步處理的規(guī)定與GDPR的規(guī)定有著殊途同歸的效果。

兼容性或者直接相關(guān)的判斷，應(yīng)當(dāng)確保在每一個(gè)場景下對(duì)所有利益相關(guān)者的權(quán)利、自由進(jìn)行平衡;一方面要保護(hù)個(gè)人信息主體的權(quán)利，另一方面也要照顧信息處理者的利益。從我國個(gè)人信息保護(hù)法和GDPR的規(guī)定進(jìn)行考察，數(shù)據(jù)會(huì)更頻繁地被重新用于新的目的，為了應(yīng)對(duì)大數(shù)據(jù)分析的各種要求，給予個(gè)人信息處理一定的靈活性，法律為此提供了一些路徑，兼容使用便是其中之一。關(guān)于兼容使用或者直接相關(guān)使用的理論生成，需通過評(píng)估方式、考量因素及場景一致性進(jìn)行構(gòu)建。

（二）利益平衡：兼容使用的評(píng)估方式和考量因素

首先，兼容性的評(píng)估方式體現(xiàn)利益平衡。兼容性評(píng)估一般有兩種形式：一是形式性評(píng)估。比較最初由信息處理者提供的目的，與任何進(jìn)一步處理的用途，找出后續(xù)的用途是否被涵蓋。高度相似的目的與初始目的有清晰的重疊更有可能被認(rèn)定具有兼容性。不相關(guān)的、模糊的或開放式的新目的不太可能兼容。二是實(shí)質(zhì)性評(píng)估。超越信息處理者的正式文件，以確定初始目的和進(jìn)一步處理的目的，考慮到它們被理解的方式，結(jié)合處理信息背景和其他因素進(jìn)行綜合評(píng)估認(rèn)定[6]21-22。第一種評(píng)估方式過于機(jī)械，通過信息處理者提供的隱私政策等正式文件確定初始目的和后續(xù)目的的關(guān)系，信息處理者享有過于寬泛的操作空間，忽略了信息主體基本權(quán)利的保護(hù)。實(shí)踐中，信息處理者會(huì)著眼于隱私政策等文件的各種處理信息策略的運(yùn)用，以確保進(jìn)一步處理信息的可能性。如在醫(yī)療機(jī)構(gòu)收集醫(yī)療信息場景，醫(yī)療機(jī)構(gòu)告知患者收集健康信息是用于治療疾病、公共衛(wèi)生和醫(yī)學(xué)研究。如果醫(yī)療機(jī)構(gòu)后續(xù)用于公共衛(wèi)生和醫(yī)療研究，形式上屬于初始目的。但是關(guān)于公共衛(wèi)生和醫(yī)學(xué)研究的目的，在醫(yī)療場景實(shí)質(zhì)上是不必要的，不是專門為這些目的收集信息。因此后續(xù)進(jìn)行公共衛(wèi)生和醫(yī)學(xué)研究的個(gè)人信息處理，仍然屬于進(jìn)一步處理，需進(jìn)行兼容性評(píng)估。第二種評(píng)估方法著眼于實(shí)質(zhì)，有助于經(jīng)濟(jì)社會(huì)發(fā)展及信息處理者和信息主體之間的利益平衡。

其次，兼容性評(píng)估的考量因素。我國《信息安全技術(shù)? 網(wǎng)絡(luò)數(shù)據(jù)處理安全要求（GB/T 41479—2022）》的表述“不應(yīng)收集與其提供的服務(wù)無直接或無合理關(guān)聯(lián)”，將直接相關(guān)和“合理關(guān)聯(lián)”類似理解，從“關(guān)聯(lián)性”入手，但是“合理關(guān)聯(lián)”也具有較大不確定性。評(píng)估收集個(gè)人信息的初始目的和進(jìn)一步處理的目的之間的兼容性，GDPR規(guī)定了必要的考量因素①。一是需考量進(jìn)一步處理個(gè)人信息與收集目的之關(guān)聯(lián)。根據(jù)我國法律規(guī)定，前后兩個(gè)目的之間的聯(lián)系應(yīng)該是“直接相關(guān)”，如果有介入因素，一般認(rèn)為不是直接相關(guān)。如客戶與在線商家簽訂的每日將鮮牛奶送貨上門的合同，商家收集客戶的地址、電話、銀行賬戶等信息，目的就是送貨。后續(xù)送貨處理這些個(gè)人信息，屬于“直接相關(guān)”，具有兼容性。當(dāng)然，此處也符合履行合同所必需②。如果后續(xù)處理行為是為了推銷其他產(chǎn)品或者提供給其他信息處理者，甚至對(duì)信息主體的計(jì)算機(jī)設(shè)備進(jìn)行識(shí)別，如蘋果操作系統(tǒng)的電腦或者Windows操作系統(tǒng)的電腦，從而進(jìn)行價(jià)格歧視，則難以認(rèn)為是直接相關(guān)，不符合兼容性標(biāo)準(zhǔn)。二是個(gè)人信息處理的場景。某一場景收集信息，可能是基于一種特殊場景目的收集個(gè)人信息，如果信息處理者將該個(gè)人信息應(yīng)用于不相關(guān)的場景，不具有直接相關(guān)性，其目的當(dāng)然不具有兼容性。信息處理者通過在線購物場景收集個(gè)人信息，進(jìn)行特征分析，利用秘密算法預(yù)測信息主體的生理狀況，如是否懷孕、是否生病等，從而推送相關(guān)商品，超越了信息主體的期待可能性，很難認(rèn)為符合兼容性或者直接相關(guān)性。三是個(gè)人信息的性質(zhì)。我國個(gè)人信息保護(hù)法將個(gè)人信息主要分為一般個(gè)人信息和敏感個(gè)人信息③。敏感個(gè)人信息的后續(xù)處理和一般個(gè)人信息的后續(xù)處理，其考量因素應(yīng)該有所區(qū)別。再者，處理個(gè)人信息與刑事犯罪相關(guān)聯(lián)的，應(yīng)當(dāng)在官方機(jī)構(gòu)的控制之下或者是在相關(guān)法律規(guī)定的條件下進(jìn)行④?？梢?，敏感個(gè)人信息后續(xù)處理的兼容性范圍相對(duì)于一般個(gè)人信息則更狹窄。四是進(jìn)一步處理信息的行為對(duì)信息主體造成的后果及影響。個(gè)人信息中承載著自然人的基本權(quán)利、自由、隱私等價(jià)值，后續(xù)處理行為是否造成個(gè)人人格尊嚴(yán)、財(cái)產(chǎn)權(quán)利的損害，是否造成情感上的焦慮、痛苦，都應(yīng)該考慮在內(nèi)。進(jìn)一步處理的影響越是負(fù)面或不確定，遠(yuǎn)遠(yuǎn)超出了信息主體期待的預(yù)期，就越難以被認(rèn)定具有兼容性。五是適當(dāng)?shù)谋Ｕ洗胧Ｐ畔⑻幚碚咴诤罄m(xù)處理中是否進(jìn)行了恰當(dāng)?shù)谋Ｕ洗胧?。個(gè)人信息后續(xù)處理可能需要采取技術(shù)措施，以確保功能分離[6]26-27。適當(dāng)?shù)谋Ｕ洗胧?，屬于兼容性評(píng)估的考量因素，但并不當(dāng)然認(rèn)為采取必要的措施，就可以進(jìn)行進(jìn)一步處理。

上述因素，應(yīng)當(dāng)結(jié)合具體案件綜合評(píng)估。借鑒第29條數(shù)據(jù)保護(hù)工作組提供的一個(gè)案例，進(jìn)行分析[6]60-61。一個(gè)市場領(lǐng)先的社交網(wǎng)絡(luò)和照片分享網(wǎng)站，允許用戶上傳照片供自己使用并選擇特定朋友分享。該網(wǎng)站的隱私政策保證這些照片只與“你想要的人，在你想要的時(shí)候”分享。兩年后，該網(wǎng)站改變其隱私政策，通過電子郵件通知客戶，新的隱私政策即將生效，除非用戶在30天內(nèi)刪除照片，否則將被視為同意授權(quán)該網(wǎng)站為任何目的使用所上傳的照片，包括但不限于推廣該網(wǎng)站。客戶必須接受新的隱私政策，否則不能繼續(xù)瀏覽該網(wǎng)站。本案涉及同意的有效性及合法性等問題，但本文主要分析其兼容性。首先，網(wǎng)站收集照片等信息的初始目的是“允許用戶向特定人在特定時(shí)間分享照片”，進(jìn)一步處理目的是“任何目的使用”并不直接相關(guān)，而且完全超出了初始使用的場景和用戶的可能預(yù)期的范圍。照片信息如果涉及隱私等敏感個(gè)人信息，則后續(xù)處理對(duì)用戶影響巨大，即使采取了必要措施也不能認(rèn)定構(gòu)成兼容使用。

（三）場景一致：兼容使用的理論生成

海倫·尼森鮑姆（Helen Nissenbaum）教授認(rèn)為，隱私權(quán)并非一種保持私密的權(quán)利，也不是信息控制權(quán)，而是一種確保個(gè)人信息以合理方式流動(dòng)的權(quán)利[20]117?；谠撜J(rèn)知，其構(gòu)建了場景一致性框架。場景一致性的基本構(gòu)成要素是：社會(huì)規(guī)范和場景相關(guān)的信息規(guī)范。場景相關(guān)的信息規(guī)范包括四大要素：場景、行為主體、屬性（信息類型）、傳輸原則。違反這些規(guī)范時(shí)，場景一致性受到侵犯，也就是對(duì)隱私的侵犯[20]117-144。個(gè)人信息大量涉及個(gè)人隱私，處理個(gè)人信息改變目的兼容使用的評(píng)估，需重點(diǎn)評(píng)估個(gè)人信息收集與后續(xù)處理的場景，不同場景的價(jià)值和目的張力，對(duì)是否構(gòu)成兼容使用有著重要的意義。

社會(huì)規(guī)范要素是人們認(rèn)為應(yīng)該做的事情，社會(huì)認(rèn)可或者不認(rèn)可的事情，是一種社會(huì)強(qiáng)制性規(guī)范，并非可做可不做的描述性規(guī)范。場景要素是信息規(guī)范的背景，適用條件。信息規(guī)范要素涉及三大行為主體：信息發(fā)送者、信息接收者和信息主體。信息屬性（信息類型、性質(zhì)）要素決定某些場景中是否恰當(dāng)，如醫(yī)療場景中醫(yī)生詢問患者身體健康狀況屬于適當(dāng)，工作場景中老板作相同的事情則不合適。傳輸原則要素是對(duì)某個(gè)場景中信息從一方傳輸給另一方的約束。傳輸可能需要主體知道（告知），或者需要主體允許（同意），或者兩者均要求（告知—同意）[20]127-135。例如在金融場景中，有關(guān)金融交易（信息類型）中產(chǎn)生的客戶（信息主體）的所有信息，均傳輸給相關(guān)金融公司的代理人（接收者和發(fā)送者）或者第三方（接收者），受相關(guān)規(guī)則（信息規(guī)范）規(guī)定的關(guān)于保密、通知、同意等傳輸原則的約束[20]139-140。通過這種場景一致性框架，對(duì)信息流動(dòng)進(jìn)行結(jié)構(gòu)化分析，構(gòu)建目的改變的兼容性判斷標(biāo)準(zhǔn)。

上文兼容性評(píng)估的因素，與場景一致性理論的信息規(guī)范要素不謀而合，運(yùn)用場景一致性理論構(gòu)建兼容使用的評(píng)估，順理成章。再者，場景一致性框架在進(jìn)行評(píng)估分析時(shí)，需考慮受有關(guān)實(shí)踐影響的道德和政治因素，如對(duì)自主和自由的危害，對(duì)正義、公平、平等等價(jià)值的影響。還需詢問實(shí)踐案件如何直接影響場景的價(jià)值、目標(biāo)和導(dǎo)向，使得該理論有著邏輯張力和蓬勃生命力。

三、推定兼容性場合下之目的改變

實(shí)踐中，為科學(xué)研究和統(tǒng)計(jì)目的進(jìn)一步處理數(shù)據(jù)，具有重大的經(jīng)濟(jì)和社會(huì)價(jià)值，且有一定的公益性質(zhì)。在這種場景下，兼容使用理論應(yīng)當(dāng)作出一定的回應(yīng)。

（一）為科學(xué)研究和統(tǒng)計(jì)目的進(jìn)一步處理

為了回應(yīng)大數(shù)據(jù)分析對(duì)目的限制原則的挑戰(zhàn)，GDPR規(guī)定在科學(xué)研究和統(tǒng)計(jì)目的場景下改變數(shù)據(jù)處理目的可以得到豁免。醫(yī)學(xué)和健康研究越來越依賴于處理和鏈接大量與遺傳和健康相關(guān)的數(shù)據(jù)，隱私保護(hù)所需的傳統(tǒng)、高度具體的同意書和匿名化可能不適合數(shù)據(jù)密集型的縱向人群研究[21]。因此，對(duì)科學(xué)研究進(jìn)一步處理數(shù)據(jù)應(yīng)該有法律和技術(shù)應(yīng)對(duì)。我國法律也對(duì)統(tǒng)計(jì)、檔案管理活動(dòng)設(shè)置了例外規(guī)則①。統(tǒng)計(jì)法、社會(huì)保險(xiǎn)法、檔案法等，對(duì)各級(jí)政府機(jī)構(gòu)實(shí)施統(tǒng)計(jì)、檔案管理的規(guī)則有所規(guī)定，信息主體應(yīng)當(dāng)提供相關(guān)信息，并非基于同意規(guī)則②。但是對(duì)于科學(xué)研究、非政府機(jī)關(guān)的統(tǒng)計(jì)等目的處理個(gè)人信息的行為，并無特別規(guī)則。從解釋論出發(fā)，如果收集個(gè)人信息后，改變目的進(jìn)行科學(xué)研究、統(tǒng)計(jì)，則仍須符合直接相關(guān)或者兼容性標(biāo)準(zhǔn)。實(shí)踐中，進(jìn)行兼容性評(píng)估具有較大的不確定性，從而導(dǎo)致信息處理者對(duì)科學(xué)研究、統(tǒng)計(jì)等行為產(chǎn)生各種焦慮心態(tài)，甚至不敢進(jìn)一步處理，影響積極性。

在歐盟，為科學(xué)研究和統(tǒng)計(jì)目的（即為實(shí)現(xiàn)公共利益存檔目的、科學(xué)研究或歷史研究目的、統(tǒng)計(jì)目的）進(jìn)一步處理個(gè)人信息，不視為與最初目的不兼容③。根據(jù)GDPR的規(guī)定，收集個(gè)人信息后進(jìn)行科學(xué)研究和統(tǒng)計(jì)目的使用，采取了適當(dāng)?shù)谋Ｗo(hù)措施，則推定具有兼容性，豁免兼容性評(píng)估。該規(guī)定有助于提高法律的可預(yù)測性和確定性。

GDPR對(duì)科學(xué)研究和統(tǒng)計(jì)的概念沒有明確規(guī)定，但是序言中進(jìn)行了一定程度的描述?？茖W(xué)研究目的所進(jìn)行的個(gè)人數(shù)據(jù)處理，包括基礎(chǔ)和應(yīng)用研究、在公共衛(wèi)生領(lǐng)域?yàn)楣怖娑M(jìn)行的研究等④。歷史研究目的，包括為了宗譜目的進(jìn)行的研究⑤。統(tǒng)計(jì)目的是指統(tǒng)計(jì)調(diào)查或生成統(tǒng)計(jì)結(jié)果所需的所有個(gè)人信息收集和處理操作。統(tǒng)計(jì)的結(jié)果屬于匯總信息，不得用于對(duì)個(gè)人的決策⑥。統(tǒng)計(jì)目的在解釋上比較寬泛，既包括科學(xué)研究目的統(tǒng)計(jì)，也包括商業(yè)目的統(tǒng)計(jì)。信息處理者可以使用數(shù)據(jù)庫進(jìn)行統(tǒng)計(jì)分析，研究消費(fèi)者購買行為的消費(fèi)偏好或者決策，無須信息主體同意。再者，信息處理者可以將此類數(shù)據(jù)庫提供給另一信息處理者進(jìn)行統(tǒng)計(jì)，但必須采取適當(dāng)?shù)谋Ｗo(hù)措施[19]80。為科學(xué)研究和統(tǒng)計(jì)目的進(jìn)一步處理個(gè)人信息，之所以豁免兼容性評(píng)估，其原因具有多樣性。首先科學(xué)研究和統(tǒng)計(jì)目的有一定的公益性質(zhì)，為了促進(jìn)技術(shù)創(chuàng)新;其次，統(tǒng)計(jì)目的也可能為商業(yè)目的，對(duì)商業(yè)活動(dòng)尤其重要，信息處理者使用消費(fèi)者數(shù)據(jù)庫進(jìn)行統(tǒng)計(jì)分析，研究消費(fèi)者的購買偏好或者決策，不需要信息主體同意;再次，統(tǒng)計(jì)分析并不需要識(shí)別組員，信息處理者應(yīng)當(dāng)采取數(shù)據(jù)的假名化等措施[19]80。

（二）推定兼容性使用的保障措施

科學(xué)研究和統(tǒng)計(jì)目的豁免兼容性評(píng)估的一個(gè)基本前提是，須為信息主體的權(quán)利和自由采取必要的保障措施。這些保障措施的理論主線主要包括信息最小化原則、匿名化或者假名化機(jī)制。

第一，信息最小化原則。信息最小化是目的限制的必然邏輯結(jié)果，信息最小化自然應(yīng)該是相對(duì)于目的而設(shè)計(jì)。信息最小化原則禁止過度處理個(gè)人數(shù)據(jù)，在最小范圍內(nèi)進(jìn)行數(shù)據(jù)處理，以實(shí)現(xiàn)數(shù)據(jù)處理目的①。一般認(rèn)為大數(shù)據(jù)分析，信息處理者盡可能地收集更多的信息，從而發(fā)現(xiàn)信息的更多無從預(yù)期的價(jià)值。研究表明，在許多數(shù)據(jù)驅(qū)動(dòng)的環(huán)境中，使用越來越大的數(shù)據(jù)量會(huì)導(dǎo)致收益遞減，一些算法技術(shù)事實(shí)上就是將數(shù)據(jù)最小化，實(shí)際上減少了一個(gè)模型使用的數(shù)據(jù)量，表明在某些情況下，數(shù)據(jù)限制可能會(huì)導(dǎo)致模型的改進(jìn)[5]。這些研究支持了信息最小化原則在大數(shù)據(jù)分析中仍然行之有效，甚至有助于提高分析的效率和準(zhǔn)確性。信息最小化也是一種風(fēng)險(xiǎn)管理措施，因?yàn)樘幚磉^量的信息會(huì)導(dǎo)致不必要的風(fēng)險(xiǎn)。為科學(xué)研究和統(tǒng)計(jì)目的，自然應(yīng)當(dāng)遵守信息最小化原則，采取對(duì)個(gè)人權(quán)益影響最小的方式。

第二，匿名化或者假名化機(jī)制。為科學(xué)研究和統(tǒng)計(jì)目的進(jìn)一步處理所須采取的保障措施，如果通過匿名化或者假名化機(jī)制能夠?qū)崿F(xiàn)，則應(yīng)當(dāng)采取相關(guān)措施。匿名化信息仍可能對(duì)信息主體造成潛在風(fēng)險(xiǎn)，信息處理者有責(zé)任定期重新評(píng)估相關(guān)風(fēng)險(xiǎn)。這種重新評(píng)估應(yīng)當(dāng)考慮技術(shù)、法律和實(shí)際情況的變化，以確保匿名化信息的安全性和隱私保護(hù)。信息處理者應(yīng)采取必要措施，包括但不限于技術(shù)審查、風(fēng)險(xiǎn)評(píng)估和隱私影響評(píng)估，以及在必要時(shí)更新匿名化策略和措施，以應(yīng)對(duì)新的風(fēng)險(xiǎn)和威脅。假名化包括在記錄中用一個(gè)屬性替換另一個(gè)屬性，自然人仍有可能被間接識(shí)別。假名化減少了信息與信息主體的原始身份的聯(lián)系，也是一種有用的安全措施[17]20-21。

（三）權(quán)利克減

根據(jù)《中華人民共和國個(gè)人信息保護(hù)法》的規(guī)定，個(gè)人在個(gè)人信息處理活動(dòng)中享有知情權(quán)、決定權(quán);查閱、復(fù)制權(quán);可攜帶權(quán);更正、補(bǔ)充權(quán);刪除權(quán);解釋說明權(quán)等等。遵守信息主體的這些權(quán)利規(guī)則，自然是對(duì)大數(shù)據(jù)、人工智能方面的研究活動(dòng)進(jìn)行了一定程度的限制。GDPR在平衡信息主體和信息處理者之間的利益情況下，允許為科學(xué)研究和統(tǒng)計(jì)目的進(jìn)一步處理個(gè)人信息，可以再次利用個(gè)人信息，而且信息主體的個(gè)別權(quán)利還受到相應(yīng)的減少。GDPR對(duì)信息主體權(quán)利的克減，目的是使歐盟對(duì)研究和創(chuàng)新的投資更具吸引力。

GDPR規(guī)定，當(dāng)為科學(xué)或歷史研究目的、統(tǒng)計(jì)目的進(jìn)行個(gè)人數(shù)據(jù)處理時(shí)，個(gè)人信息主體的權(quán)利可能對(duì)特定目的之實(shí)現(xiàn)產(chǎn)生嚴(yán)重的損害，歐盟或成員國法律可以針對(duì)訪問權(quán)、更正權(quán)、限制處理權(quán)、拒絕權(quán)等權(quán)利設(shè)定克減條款②。當(dāng)然，作為信息主體權(quán)利克減的補(bǔ)償，信息處理者必須對(duì)信息主體的權(quán)利和自由作出有力的保障措施，以確保信息的安全及尊重信息主體的合理期待，否則，為統(tǒng)計(jì)或研究目的重新使用數(shù)據(jù)將不能被視為具有合法性基礎(chǔ)。

（四）兼容使用的合法性基礎(chǔ)

個(gè)人信息處理目的改變，即使通過兼容性測試，也不足以確定合法性，仍須符合處理個(gè)人信息的合法性基礎(chǔ)。即使是為了科學(xué)研究和統(tǒng)計(jì)目的進(jìn)一步處理個(gè)人信息，豁免兼容性評(píng)估，也仍須確保合法性。目的限制原則和個(gè)人信息處理的合法性基礎(chǔ)是兩個(gè)獨(dú)立的和累積的要求[6]39。因此GDPR序言第50條表明信息處理者應(yīng)在“滿足了原始處理的合法性的所有要求”之后，對(duì)進(jìn)一步處理進(jìn)行正式的兼容性測試①。確定進(jìn)一步處理的兼容性是允許進(jìn)一步處理的一個(gè)必要條件，但不是一個(gè)充分條件。即使進(jìn)一步處理符合兼容性的標(biāo)準(zhǔn)，但是如果出現(xiàn)其他限制因素，該處理行為仍然不能被允許[22]。

因此，經(jīng)過兼容性評(píng)估，或者是為了科學(xué)研究和統(tǒng)計(jì)目的，進(jìn)一步處理個(gè)人信息，需要尋找其合法性基礎(chǔ)。這些合法性基礎(chǔ)包括個(gè)人同意、實(shí)施法律規(guī)定的義務(wù)等。根據(jù)我國法律規(guī)定，合法性基礎(chǔ)還包括緊急情況下保護(hù)生命健康和財(cái)產(chǎn)安全、為公共利益實(shí)施新聞報(bào)道等②。對(duì)數(shù)據(jù)進(jìn)一步處理是否符合兼容性使用標(biāo)準(zhǔn)與合法性基礎(chǔ)須分別認(rèn)定。

四、數(shù)據(jù)處理目的改變對(duì)代碼的呼喚

改變數(shù)據(jù)處理目的須符合兼容使用標(biāo)準(zhǔn)，但是進(jìn)行個(gè)案評(píng)估效率比較低下。理論上可以將目的改變之兼容使用規(guī)則盡可能地融入代碼當(dāng)中，從事后歸責(zé)轉(zhuǎn)向事前預(yù)防，提高效率和確定性。技術(shù)影響法律規(guī)則生成，法律也會(huì)影響技術(shù)發(fā)展?，F(xiàn)代社會(huì)的隱私危機(jī)由網(wǎng)絡(luò)化產(chǎn)生，網(wǎng)絡(luò)化思維訓(xùn)練經(jīng)常被忽視[23]。

（一）將目的限制規(guī)范嵌入代碼

基于上文的分析，目的改變的兼容性評(píng)估、為科學(xué)研究和統(tǒng)計(jì)目的重新使用數(shù)據(jù)，為大數(shù)據(jù)分析和人工智能留下了足夠?qū)拸V的空間，同時(shí)也在一定程度上兼顧了信息主體基本權(quán)利的保護(hù)，避免受創(chuàng)新帶來現(xiàn)實(shí)風(fēng)險(xiǎn)。然而，必須承認(rèn)，兼容性評(píng)估具有較大的不確定性，在法律的可預(yù)測性方面有所欠缺。推定兼容性規(guī)定下為科學(xué)研究和統(tǒng)計(jì)目的再次使用數(shù)據(jù)，引入了保障措施介入的理論邏輯。

既然在推定兼容性的場景下，技術(shù)措施的運(yùn)用是必須的，那么能否有一個(gè)大膽的設(shè)想，將數(shù)據(jù)保護(hù)的原則和規(guī)范，融合進(jìn)信息系統(tǒng)的架構(gòu)當(dāng)中，從而增強(qiáng)目的限制原則的可操作性和吸引力。將數(shù)據(jù)保護(hù)的法律規(guī)則通過代碼進(jìn)行自動(dòng)化，塑造信息處理者和信息主體的行為模式，這也許是人類的一種雄心壯志，但也不是海市蜃樓，起碼人們已經(jīng)邁出了第一步。歐盟法律中“設(shè)計(jì)和默認(rèn)的數(shù)據(jù)保護(hù)（Data protection by design and by default）”（以下簡稱“DPbDD”）正是將這一理念運(yùn)用的例證①。DPbDD主要針對(duì)信息系統(tǒng)的開發(fā)，目的是確保在這種開發(fā)的整個(gè)生命周期中適當(dāng)考慮到與隱私有關(guān)的利益[24]106。數(shù)據(jù)設(shè)計(jì)保護(hù)的概念是建立在加拿大安大略省的前信息和隱私專員安·卡沃基安（Ann Cavoukian）制定的七項(xiàng)基本原則之上。主要包括：主動(dòng)防御;默認(rèn)隱私保護(hù);隱私嵌入設(shè)計(jì);完整功能正和而非零和;全生命周期保護(hù);開放與透明;以用戶為中心②。DPbDD的核心是通過設(shè)計(jì)和默認(rèn)確保適當(dāng)和有效的數(shù)據(jù)保護(hù)，信息處理者應(yīng)能夠證明在處理過程中采取了適當(dāng)?shù)谋Ｕ洗胧?，以確保數(shù)據(jù)保護(hù)原則以及信息主體的權(quán)利、自由得到切實(shí)有效的實(shí)現(xiàn)。技術(shù)或組織措施保障可以是任何先進(jìn)的技術(shù)解決方案和人員的基本培訓(xùn)，如個(gè)人數(shù)據(jù)的假名化;以結(jié)構(gòu)化的、常見的機(jī)器可讀格式存儲(chǔ)個(gè)人數(shù)據(jù);建立隱私和信息安全管理系統(tǒng)，以合同方式責(zé)成處理者實(shí)施具體的數(shù)據(jù)最小化做法，等等[25]7。在確定所需措施時(shí)，信息處理者必須考慮到處理的性質(zhì)、范圍、背景和目的[25]9。

個(gè)人信息處理的設(shè)計(jì)應(yīng)以實(shí)現(xiàn)這些目的所必需的方式來決定。如果要進(jìn)行進(jìn)一步的處理，信息處理者必須首先確保這種處理之目的與初始目的兼容，并相應(yīng)地設(shè)計(jì)這種處理。新的目的是否符合要求，應(yīng)根據(jù)兼容性標(biāo)準(zhǔn)來評(píng)估[25]19-20。關(guān)鍵的設(shè)計(jì)和默認(rèn)目的限制要素可能包括：目的特定、明確、合法（設(shè)計(jì)處理之前確定處理的目的）;目的導(dǎo)向（信息處理目的決定哪些信息的處理具有必要性，并以該目的設(shè)定處理的界限）;兼容性（限制進(jìn)一步的處理，任何新目的之處理都必須與初始目的兼容，以此指導(dǎo)相關(guān)的設(shè)計(jì)）;再利用的限制（運(yùn)用技術(shù)措施以限制重新利用個(gè)人信息的可能性，包括加密等技術(shù)措施，當(dāng)然也包括政策、合同義務(wù)等組織措施）;審查（信息處理者應(yīng)當(dāng)定期審查處理行為是否為收集信息目的所必須，并根據(jù)目的限制測試相應(yīng)的設(shè)計(jì)[25]20）。

（二）歐盟憲法結(jié)構(gòu)中的數(shù)據(jù)設(shè)計(jì)和默認(rèn)保護(hù)

GDPR第25條也面臨著規(guī)范含義模糊的問題。根據(jù)歐盟法院（CJEU）運(yùn)用的法律解釋方法，GDPR第25（1）條并不反映隱私的設(shè)計(jì)。有觀點(diǎn)認(rèn)為，該條被寫成一個(gè)萬能條款，沒有自己的身份，歐盟法院將不得不利用目的論推理來認(rèn)定該條款規(guī)定了數(shù)據(jù)的設(shè)計(jì)和默認(rèn)保護(hù)制度，如果它不這樣做，歐洲公民將失去可能是一個(gè)強(qiáng)大的數(shù)據(jù)保護(hù)工具[26]149。通過目的解釋，可以認(rèn)為GDPR第25條規(guī)定了隱私的設(shè)計(jì)保護(hù)?？紤]到一個(gè)平臺(tái)的技術(shù)架構(gòu)可以挑戰(zhàn)我們的隱私，將隱私保護(hù)的規(guī)則編碼到產(chǎn)品或系統(tǒng)的DNA中，并遠(yuǎn)離那些不能被設(shè)計(jì)保護(hù)隱私的產(chǎn)品，可以幫助實(shí)現(xiàn)GDPR的目標(biāo)[26]。

歐洲人權(quán)法院（ECHR）的判例表明，與DPbDD相關(guān)的理念存在于歐盟的憲法結(jié)構(gòu)中，至少在保障有關(guān)健康的個(gè)人數(shù)據(jù)方面是如此。最重要的案例是歐洲人權(quán)法院2008年的I v. Finland案①。法院認(rèn)為芬蘭沒有采取技術(shù)或者組織措施保障公立醫(yī)院的數(shù)據(jù)安全，違反《歐洲人權(quán)公約》（ECHR）第8條關(guān)于確保尊重私人生活的積極義務(wù)。尊重健康數(shù)據(jù)的保密性，不僅對(duì)尊重患者的隱私至關(guān)重要，而且對(duì)維護(hù)患者對(duì)醫(yī)療專業(yè)和醫(yī)療服務(wù)的信心也是關(guān)鍵的。法院指出患者的醫(yī)療數(shù)據(jù)在關(guān)鍵時(shí)刻沒有得到充分保護(hù)以防止未經(jīng)授權(quán)的訪問。這種防止未經(jīng)授權(quán)的訪問，當(dāng)然是體現(xiàn)在數(shù)據(jù)系統(tǒng)的代碼設(shè)計(jì)當(dāng)中，技術(shù)上也能夠?qū)崿F(xiàn)?？梢?，本案起碼在個(gè)人健康數(shù)據(jù)保護(hù)方面，認(rèn)為設(shè)計(jì)的隱私存在于歐洲憲法結(jié)構(gòu)當(dāng)中。

歐盟法院在著名的谷歌訴西班牙案中，法院要求谷歌（和其他搜索引擎運(yùn)營商）重新配置這些操作的系統(tǒng)方面，使其更有利于隱私，間接地培養(yǎng)了GDPR第25條的目標(biāo)[24]。在數(shù)據(jù)的默認(rèn)保護(hù)方面，德國柏林地方法院在德國消費(fèi)者組織聯(lián)合會(huì)針對(duì)臉書公司起訴時(shí)，裁定臉書公司默認(rèn)的數(shù)據(jù)共享設(shè)置非法[19]277。社交網(wǎng)絡(luò)服務(wù)不能僅因用戶激活了位置功能，就將該用戶的訪問目的地信息通知該社交網(wǎng)絡(luò)的所有成員。

數(shù)據(jù)的默認(rèn)保護(hù)是正確實(shí)施數(shù)據(jù)的設(shè)計(jì)保護(hù)的條件，其與民法侵權(quán)責(zé)任的事后救濟(jì)模式不同，是通過事先對(duì)信息系統(tǒng)的設(shè)計(jì)，未雨綢繆防止侵犯個(gè)人信息權(quán)益，積極預(yù)防而不是被動(dòng)補(bǔ)救。

（三）我國司法實(shí)踐中數(shù)據(jù)設(shè)計(jì)保護(hù)的萌芽

我國個(gè)人信息保護(hù)法并未規(guī)定數(shù)據(jù)的設(shè)計(jì)和默認(rèn)保護(hù)規(guī)則，但是在規(guī)定信息處理者的義務(wù)時(shí)，要求信息處理者采取相關(guān)措施確保個(gè)人信息處理活動(dòng)符合法律、行政法規(guī)的規(guī)定②。法律授權(quán)數(shù)據(jù)保護(hù)從設(shè)計(jì)過程的一開始就建立起來，將數(shù)據(jù)保護(hù)的原則納入信息系統(tǒng)技術(shù)的開發(fā)中，這是數(shù)據(jù)的設(shè)計(jì)和默認(rèn)保護(hù)的追求。這些措施雖然包括技術(shù)措施和組織措施，但是這些規(guī)定能否解釋出將數(shù)據(jù)保護(hù)嵌入設(shè)計(jì)中的理念，值得探究。

實(shí)踐中，胡女士、上海攜程商務(wù)有限公司（以下簡稱“攜程公司”）侵權(quán)責(zé)任糾紛案，一審和二審判決的思路，反映了法院對(duì)數(shù)據(jù)設(shè)計(jì)和默認(rèn)保護(hù)的相關(guān)態(tài)度③。胡女士通過攜程旅行App訂購酒店，并未享受優(yōu)惠價(jià)，且多支付了一倍房價(jià)。一審法院判決攜程公司限于判決生效之日起三十日內(nèi)在其運(yùn)營的攜程旅行App中為胡女士增加不同意其現(xiàn)有《服務(wù)協(xié)議》和《隱私政策》仍可繼續(xù)使用的選項(xiàng)，或者在判決生效之日起三十日內(nèi)為胡女士修訂攜程旅行App的《服務(wù)協(xié)議》和《隱私政策》，去除對(duì)用戶非必要信息收集和使用的相關(guān)內(nèi)容（修訂版本需提交法院審定同意）。二審法院改判，認(rèn)為攜程公司如果不收集胡女士的姓名、手機(jī)、身份信息等就無法實(shí)現(xiàn)酒店預(yù)訂的服務(wù)事項(xiàng)。如允許消費(fèi)者不提供任何個(gè)人信息，仍可使用攜程App要求攜程公司提供服務(wù)，是對(duì)攜程公司的過分苛責(zé)，平臺(tái)會(huì)因此喪失經(jīng)營基礎(chǔ)資源。

本案中，攜程公司收集個(gè)人信息的目的過于寬泛，不符合明確、合理目的的要求。對(duì)個(gè)人信息的收集超出了最小范圍之限，對(duì)用戶個(gè)人信息的使用并不滿足于提供服務(wù)本身，而是包括更進(jìn)一步的商業(yè)利用。攜程公司對(duì)于個(gè)人信息的處理，并不是與初始目的直接相關(guān)，不具有兼容性，且未采取對(duì)個(gè)人權(quán)益影響最小的方式?？梢姡瑪y程公司的行為，違反目的限制原則。對(duì)個(gè)人數(shù)據(jù)進(jìn)行的操作應(yīng)限于必要的范圍，某些個(gè)人數(shù)據(jù)對(duì)實(shí)現(xiàn)某一目的是必要的，這并不意味著可以對(duì)數(shù)據(jù)進(jìn)行所有類型和頻率的處理操作?？刂普哌€應(yīng)該注意不要擴(kuò)大兼容目的之界限，并牢記哪些處理是在數(shù)據(jù)主體的合理期望范圍內(nèi)[25]13。攜程公司的行為，已經(jīng)完全超越了數(shù)據(jù)主體的合理期待范圍。信息主體要求攜程公司將信息處理的原則和規(guī)則，融入《服務(wù)協(xié)議》《隱私政策》，嵌入技術(shù)系統(tǒng)當(dāng)中，自然是一種正當(dāng)?shù)囊?。一審法院將這一理念體現(xiàn)在判決當(dāng)中，要求《服務(wù)協(xié)議》和《隱私政策》的修訂，須經(jīng)法院審定同意，值得肯定。

（四）代碼規(guī)范目的改變

萊斯格直接提出了“代碼即法律”的觀點(diǎn)。數(shù)字經(jīng)濟(jì)時(shí)代，代碼以類似于法律的方式規(guī)范和塑造行為、價(jià)值觀和自由。計(jì)算機(jī)代碼和軟件架構(gòu)嵌入了某些價(jià)值觀并影響人們?cè)诰W(wǎng)上可以做什么和不能做什么。代碼設(shè)置數(shù)字限制、默認(rèn)值和自由度，代碼與正式法律、社會(huì)規(guī)范和市場一樣，充當(dāng)了網(wǎng)絡(luò)空間行為的法律形式和約束。代碼不是中立的，它可以啟用更開放、自由的系統(tǒng)，也可以啟用更封閉、限制性的系統(tǒng)[27]6。將數(shù)據(jù)保護(hù)的原則和規(guī)則嵌入代碼，這是我們所追求的目標(biāo)。代碼可以通過訪問控制強(qiáng)制數(shù)據(jù)最小化。代碼架構(gòu)可以通過數(shù)據(jù)處理場景，將目的限制原則內(nèi)置到信息系統(tǒng)當(dāng)中，通過匿名化、加密、訪問控制等技術(shù)保障措施確保個(gè)人信息的安全性。政府對(duì)網(wǎng)絡(luò)空間的監(jiān)管不僅應(yīng)關(guān)注法律，還應(yīng)關(guān)注底層技術(shù)代碼和架構(gòu)的塑造。這些理念都是數(shù)據(jù)的設(shè)計(jì)和默認(rèn)保護(hù)所追求的。

在編程中，可以通過代碼將目的限制原則嵌入數(shù)據(jù)保護(hù)的設(shè)計(jì)。信息收集階段，要求最小化數(shù)據(jù)收集，只收集完成任務(wù)所需的最少數(shù)據(jù)，只存儲(chǔ)完成任務(wù)所需的最少量數(shù)據(jù)。例如，如果只需要用戶的電子郵件地址進(jìn)行驗(yàn)證，那么就不應(yīng)收集他們的生日或住址。信息使用階段，確保數(shù)據(jù)只用于它的初始目的。例如，收集電子郵件地址用于驗(yàn)證，就不應(yīng)該用它來發(fā)送營銷郵件，除非用戶明確同意。關(guān)于改變目的進(jìn)一步處理，要求代碼設(shè)計(jì)相關(guān)場景，將兼容性評(píng)估融入設(shè)計(jì)當(dāng)中。默認(rèn)不共享，除非用戶明確同意，否則不與第三方共享數(shù)據(jù)。存儲(chǔ)的數(shù)據(jù)應(yīng)該是加密的，以防止未經(jīng)授權(quán)的訪問，且應(yīng)當(dāng)是有期限的。數(shù)據(jù)保護(hù)的目標(biāo)，應(yīng)當(dāng)保護(hù)信息主體對(duì)自己個(gè)人信息的控制權(quán)，包括訪問、更正、刪除自己的個(gè)人信息等權(quán)利。通過代碼嵌入目的限制原則的規(guī)范，有助于減少數(shù)據(jù)泄露風(fēng)險(xiǎn)，保護(hù)用戶隱私，增強(qiáng)可預(yù)測性。當(dāng)然，這也給信息處理者增加了實(shí)施的成本和技術(shù)挑戰(zhàn)，需要投入更多的資源來保證數(shù)據(jù)的加密存儲(chǔ)和訪問控制。

數(shù)據(jù)的設(shè)計(jì)和默認(rèn)保護(hù)，將目的限制原則的三個(gè)方面：目的明確、合理;處理直接相關(guān);對(duì)個(gè)人權(quán)益影響最小，設(shè)計(jì)進(jìn)信息系統(tǒng)當(dāng)中。當(dāng)然，代碼并非萬能，不能解決所有問題，仍需結(jié)合兼容性評(píng)估理論，通過司法實(shí)踐與信息主體的互動(dòng)，形成相對(duì)確定又能適應(yīng)數(shù)字經(jīng)濟(jì)發(fā)展的數(shù)據(jù)再利用理論。代碼就是法律，代碼規(guī)范行為，軟件和技術(shù)架構(gòu)以類似于物理世界法律的方式對(duì)網(wǎng)絡(luò)空間施加規(guī)則。代碼的變化改變社會(huì)，隨著代碼的發(fā)展，它以新的方式塑造和規(guī)范網(wǎng)絡(luò)空間，從而實(shí)現(xiàn)新的自由或限制。通過代碼進(jìn)行監(jiān)管正在興起，政府和公司越來越多地使用代碼而不是法律來規(guī)范行為。對(duì)代碼的監(jiān)管，成為數(shù)據(jù)監(jiān)管的重要主題[27]74-79。代碼的這種重要意義，固然不能只留給編碼人員——整個(gè)社會(huì)必須塑造它，行政監(jiān)管、司法規(guī)范、社會(huì)監(jiān)督應(yīng)當(dāng)構(gòu)成一個(gè)塑造網(wǎng)絡(luò)行為的整體，促進(jìn)數(shù)字經(jīng)濟(jì)的良性發(fā)展。

五、結(jié)語：代碼與兼容性互動(dòng)下之立法構(gòu)想

數(shù)字經(jīng)濟(jì)時(shí)代，大數(shù)據(jù)技術(shù)更新日新月異。法律與代碼均對(duì)人們的行為模式產(chǎn)生重大影響。大數(shù)據(jù)技術(shù)已經(jīng)有足夠能力對(duì)不同來源的實(shí)時(shí)海量數(shù)據(jù)進(jìn)行新的使用。信息處理者收集了大量的數(shù)據(jù)，持有巨大的數(shù)據(jù)集。人工智能可以通過對(duì)所持有的數(shù)據(jù)進(jìn)行訓(xùn)練或者分析，重新使用這些數(shù)據(jù)創(chuàng)造新的價(jià)值，成為信息處理者的機(jī)會(huì)和期待。信息處理者在分析數(shù)據(jù)時(shí)，可能會(huì)產(chǎn)生新的使用目的，這些目的在數(shù)據(jù)收集之初也許未曾預(yù)料。大數(shù)據(jù)和人工智能的運(yùn)用，給人類社會(huì)帶來了新的突破和巨大的貢獻(xiàn)，如治療疾病、科學(xué)研究等。但是，數(shù)字技術(shù)在給人類帶來好處之余，也同時(shí)存在著風(fēng)險(xiǎn)和挑戰(zhàn)，大量數(shù)據(jù)涉及個(gè)人隱私，對(duì)信息主體的隱私、尊嚴(yán)、自由等產(chǎn)生重大干預(yù)。

目的限制原則恰好在數(shù)據(jù)的再利用和個(gè)人基本權(quán)利保護(hù)方面獲得了適當(dāng)?shù)钠胶?，這兩者關(guān)系如果處理得當(dāng)，則可以為大數(shù)據(jù)生態(tài)系統(tǒng)和人工智能建立信任，促進(jìn)技術(shù)良性發(fā)展。在此基礎(chǔ)上，本文為我國個(gè)人信息保護(hù)法中關(guān)于數(shù)據(jù)處理目的改變的規(guī)范體系進(jìn)行立法理論構(gòu)想。一般情況下，信息處理者改變目的重新利用數(shù)據(jù)，須通過兼容性評(píng)估;為科學(xué)研究、統(tǒng)計(jì)目的進(jìn)一步處理數(shù)據(jù)，推定具有兼容性，但是必須采取相應(yīng)保障措施。不管是符合兼容性的進(jìn)一步利用數(shù)據(jù)或者是為科學(xué)研究、統(tǒng)計(jì)目的利用數(shù)據(jù)，都須有合法性基礎(chǔ)?；ヂ?lián)網(wǎng)世界，代碼影響著個(gè)人的行為，塑造著政府、企業(yè)、個(gè)人的行為模式。隨著科技的發(fā)展，技術(shù)手段可以將法律的原則和規(guī)則，融入代碼當(dāng)中，構(gòu)建網(wǎng)絡(luò)世界的價(jià)值與規(guī)范?；诖耍瑪?shù)據(jù)的設(shè)計(jì)和默認(rèn)保護(hù)制度隨之而來，也在相應(yīng)法律規(guī)范和實(shí)踐當(dāng)中開創(chuàng)了一定的運(yùn)作路徑。將目的限制原則的價(jià)值理念和規(guī)則體系設(shè)計(jì)進(jìn)入信息系統(tǒng)當(dāng)中，作為默認(rèn)的保護(hù)方式。信息處理者應(yīng)選擇并負(fù)責(zé)實(shí)施默認(rèn)的處理設(shè)置和選項(xiàng)，以便在默認(rèn)情況下只進(jìn)行為實(shí)現(xiàn)設(shè)定的合法目的所嚴(yán)格需要的處理。信息處理者也應(yīng)該評(píng)估信息處理的合法性基礎(chǔ)。在此系統(tǒng)的相關(guān)場景當(dāng)中對(duì)數(shù)據(jù)的再利用當(dāng)然也須通過代碼采取合適的保障措施。代碼技術(shù)的發(fā)展和更新，也影響著數(shù)據(jù)的設(shè)計(jì)保護(hù)規(guī)則的變化，兼容性評(píng)估和代碼規(guī)制自然存在著長期良性的互動(dòng)。

參考文獻(xiàn)

[1]? 蘭斯·E.戴維斯，道格拉斯·C.諾思.制度變遷與美國經(jīng)濟(jì)增長[M].張志華，譯.上海：格致出版社，上海人民出版社，2019：18.

[2]? 維克托·邁爾-舍恩伯格，肯尼思·庫克耶. 大數(shù)據(jù)時(shí)代：生活、工作與思維的大變革[M].盛楊燕，周濤，譯. 杭州：浙江人民出版社，2013：195-198.

[3]? VIKTOR MAYER-SCHONBERGER， YANN PADOVA. Regime change： enabling big data through Europe's new data protection regulation[J]. Columbia Science and Technology Law Review， 2016： 315-335.

[4]? TAL Z. ZARSKY. Incompatible： The GDPR in the age of big data[J]. Seton Hall Law Review， 2017： 995-1020.

[5]? MICHELE FINCK， ASIA BIEGA. Reviving Purpose Limitation and Data Minimisation in Data-Driven Systems[J]. Technology and Regulation， 2021（8）：44-61.

[6]? ARTICLE 29 DATA PROTECTION WORKING PARTY. Opinion 03/2013 on purpose limitation[R]. Brussels， Belgium， 2013.

[7]? CHRISTOPHER KUNER， LEE A. BYGRAVE， CHRISTOPHER DOCKSEY. The EU General Data Protection Regulation： A Commentary[M]. Oxford：Oxford University Press， 2020：315.

[8]? 李惠宗.個(gè)人資料保護(hù)法上的帝王條款——目的拘束原則[J].法令月刊，2013（1）：38-61.

[9]? 楊樹忍.數(shù)據(jù)處理目的限制原則的價(jià)值補(bǔ)充與實(shí)踐挑戰(zhàn)[J].財(cái)經(jīng)理論與實(shí)踐，2023（6）：146-153.

[10]? 牛彬彬.論《個(gè)人信息保護(hù)法》目的限制原則中的“目的特定”[J].學(xué)術(shù)交流， 2023（6）：64-78.

[11]? 梁澤宇.個(gè)人信息保護(hù)中目的限制原則的解釋與適用[J].比較法研究， 2018（5）：16-30.

[12]? 李汀.刑事偵查中個(gè)人信息保護(hù)的目的限制原則：歐盟經(jīng)驗(yàn)與中國路徑[J].時(shí)代法學(xué)，2023（3）：70-81.

[13]? 羅亞文.沖突與協(xié)調(diào)：偵查階段隱私權(quán)保障研究[J].重慶社會(huì)科學(xué)，2022（9）：117-128.

[14]? 孫禎鋒.比較法視域下科學(xué)研究處理個(gè)人數(shù)據(jù)的法律界限[J].科技進(jìn)步與對(duì)策，2022（24）：91-99.

[15]? 朱榮榮.個(gè)人信息保護(hù)“目的限制原則”的反思與重構(gòu)——以《個(gè)人信息保護(hù)法》第6條為中心[J].財(cái)經(jīng)法學(xué)，2022（1）：18-31.

[16]? OECD. OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data[R].Paris，F(xiàn)rance， 1980：3.

[17]? ARTICLE 29 DATA PROTECTION WORKING PARTY. Opinion 05/2014 on Anonymisation Techniques[R]. Brussels， Belgium， 2014.

[18]? 楊合慶.中華人民共和國個(gè)人信息保護(hù)法釋義[M].北京：法律出版社，2022：57.

[19]? 馬里厄斯·克里奇斯托弗克.歐盟個(gè)人數(shù)據(jù)保護(hù)制度：《一般數(shù)據(jù)保護(hù)條例》[M].張韜略，譯.北京：商務(wù)印書館，2023.

[20]? 海倫·尼森鮑姆. 場景中的隱私——技術(shù)、政治和社會(huì)生活中的和諧[M].王苑，等譯.北京：法律出版社，2022.

[21]? HO C H. Challenges of the EU general data protection regulation'for biobanking and scientific research[J]. Journal of Law， Information and Science， 2017（1）： 84-103.

[22]? REGINA BECKER et al.. Secondary Use of Personal Health Data： When Is It 'Further Processing' Under the GDPR， and What Are the Implications for Data Controllers？[J]. European Journal of Health Law， 2023，（30）：129-157.

[23]? 阿圖爾·考夫曼，溫弗里德·哈斯默爾.當(dāng)代法哲學(xué)和法律理論導(dǎo)論[M].鄭永流，譯.北京：法律出版社，2013：532-533.

[24]? LEE A. BYGRAVE. Data Protection by Design and by Default： Deciphering the EUs Legislative Requirements[J]. Oslo Law Review， 2017（4）：105-120.

[25]? THE EUROPEAN DATA PROTECTION BOARD. Guidelines 4/2019 on Article 25 Data Protection by Design and by Default（Version 2.0）[R]. Brussels， Belgium， 2020.

[26]? WALDMAN， ARI EZRA. Data Protection by Design？ A Critique of Article 25 of the GDPR[J]. Cornell International Law Journal， 2020（1）：147-167.

[27]? 勞倫斯·萊斯格.代碼2.0：網(wǎng)絡(luò)空間中的法律（修訂版）[M].李旭，沈偉偉，譯.北京：清華大學(xué)出版社，2018.

Legal Challenges and Countermeasures of Changes in Purpose of Data Processing

Yang Shuo? ?Wang Yubao

（School of Law，Sun Yat-sen University， Guangzhou 510275， China; School of Law，Lanzhou University， Lanzhou730000，China）

Abstract： The principle of purpose limitation requires information processors not to further process data that is incompatible with the original purpose. The development of big data and artificial intelligence has challenged this principle. Big data analysis uses different algorithms to analyze data， and artificial intelligence requires the reuse of data to create new value by training the data it holds. To change the purpose of data processing， a new balance must be established between the protection of the basic rights of information subjects， risk control and innovation promotion. In order to provide a certain degree of flexibility for further processing of data， a theory of compatible use is constructed through scene consistency; the use of data for scientific research and statistical purposes is presumed to be compatible， thereby releasing the value of big data analysis and improving the predictability of laws. Going one step further， shape the purpose of data processing through code to change the behavioral norms for reusing data.The concept of data protection by design and by default believe that the code structure can use data processing scenarios to build the principle of purpose limitation into the information system， and ensure the compatibility and legality of data re-use through organizational and technical safeguards， and ensure data security.

Key Words： the principle of purpose limitation; compatibility; change of purpose; data protection by design and by default