《民法典》“不得过度处理”个人信息规定实现路径探析*

李 想

(中南财经政法大学法学院，湖北 武汉 430073;甘肃政法大学，甘肃 兰州 730070)

一、问题的提出

我国于2021年1月1日实施的《中华人民共和国民法典》(以下简称《民法典》)通过六条法律规定，进一步明确了保护个人信息的原则、范围、方式(1)程啸.论侵害个人信息的民事责任[J].暨南学报(哲学社会科学版),2020,42(2):39-47.。其中第1035条的规定，在2017年实施的《中华人民共和国网络安全法》(以下简称《网络安全法》)的“合法、正当、必要”三个正面原则的基础上，增加了“不得过度处理”的反面要求，进一步限制信息处理者的权利，强化其义务，保障信息主体信息权益的实现。因为，“过度处理”个人信息，会造成个人信息的滥用，影响个人信息权益的实现，威胁个人信息安全(2)洪延青.过度收集个人信息如何破解及国家标准的路径选择[J].中国信息安全,2019,(1):90-93.，危害社会公共利益，甚至影响我国数据战略的发展和实现(3)程啸.论我国民法典中的个人信息合理使用制度[J].中外法学,2020,32(4):1001-1017.。所以，《民法典》通过明确个人信息处理的原则，禁止信息的过度处理，保护个人信息安全，是尊重我国宪法保障的个人自由、尊严、幸福权利，加强人格利益关怀的体现(4)张新宝.个人信息收集：告知同意原则适用的限制[J].比较法研究,2019,(6):1-20.，亦是建构我国个人信息法律保护体系的重大进步。

虽然当前个人信息的法律保护已非新命题，但纵观世界各国及各地区个人信息保护的法律规范，除2018年实施的被称为“史上最严格个人信息保护法律规范”的欧盟《一般数据保护条例》(General Data Protection Regulation，以下简称GDPR)的“数据最小化”(Data Minimisation)原则(5)GDPR Art. 5 Principles relating to processing of personal data：“……1.Personal data shall be：……(c)adequate, relevant and limited to what is necessary in relation to the purposes for which they are processed (‘data minimisation’)”.https://gdpr-info.eu/art-5-gdpr/，最后访问时间：2020年6月18日。外，再未有与《民法典》“不得过度处理”个人信息这一规定相近之内容，说明此规定不仅有创新性且颇具研究价值。然而，学界针对《民法典》“不得过度处理”个人信息这一新规的研究，仍散见于个人信息收集、使用的方式、原则(6)高志明.个人信息流转环节的法律规制[J].上海政法学院学报(法治论丛),2015,(5):9-30.该成果主要通过研究个人信息收集的目的、方式、范围等，探讨个人信息处理的法律规制问题；张新宝.个人信息收集：告知同意原则适用的限制[J].比较法研究,2019,(6):1-20.该成果主要针对个人信息收集过程中的告知同意原则做出分析和阐释，未涉及过度处理个人信息的研究。，个人信息与隐私权保护(7)张新宝.从隐私到个人信息:利益再衡量的理论与制度安排[J].中国法学,2015,(3):38-59；程啸. 我国民法典对隐私权和个人信息的保护[N]. 人民法院报,2020-07-30(005).，个人信息的过度收集(8)王荆阳. 严管APP过度收集个人信息[N]. 经济日报,2020-07-16(003)； 洪延青.过度收集个人信息如何破解及国家标准的路径选择[J].中国信息安全,2019,(1):90-93.上述成果，均聚焦于破解个人信息过度收集的困局，但针对其他处理个人信息的行为缺乏研究。，个人信息保护立法(9)陈胜.欧盟《通用数据保护条例》对我国个人信息保护立法的借鉴及影响[Z].法眼看南海，2020,10.等方面，未见针对该规定的解析和专题探究。

鉴于此，本文从解析《民法典》“不得过度处理”个人信息的理据与意涵入手，探讨《民法典》规定“不得过度处理”个人信息的重要性和必要性；挖掘“不得过度处理”个人信息的规定，因缺乏可操作性所带来的实现困局；寻找“不得过度处理”个人信息的实现路径。

二、“不得过度处理”个人信息规定的理据与意涵

我国2017年实施的《中华人民共和国民法总则》并未对处理个人信息的原则作出规定，而同年颁布实施的《网络安全法》第41条(10)《中华人民共和国网络安全法》第41条规定：“网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则……。”仅规定了处理个人信息应当遵循合法、正当、必要原则。相比之下，《民法典》第1035条规定信息处理者处理个人信息应遵循合法、正当、必要原则，不得过度处理是比较全面的(11)《中华人民共和国民法典》第1035条规定：“处理个人信息的，应当遵循合法、正当、必要原则，不得过度处理……。”。“不得”二字，禁止了“过度处理”个人信息的行为，是我国法律首次提出的处理个人信息的反面要求。“不得过度处理”个人信息，是对合法、正当、必要原则的补充和强化，亦是构建我国个人信息法律保护体系过程中的显著进步。

那么，《民法典》规定“不得过度处理”的理据为何？其意涵又应如何理清？明确这两个问题，有助于理解《民法典》增加该条规定的立法目的(12)杨立新：《中华人民共和国民法典》条文精释与实案全析[M].北京：中国人民大学出版社，2020.1682.“要求信息处理者不得非法、非正当、非必要、超出限度处理个人信息”。及必要性和重要性，对研究《民法典》此项规定的创新性、科学性至关重要。

(一)《民法典》规定“不得过度处理”个人信息的理据

解析《民法典》第1035条规定的不得过度处理个人信息的理据，可以从两方面入手：

一是从《民法典》增加“不得”这一禁止性规定的目的入手。《民法典》这样规定的主要目的是强化合法、正当、必要原则的力度，弥补其不足。理解此立法目的，可通过详析《网络安全法》第41条(13)《中华人民共和国网络安全法》第41条规定：“网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。网络运营者不得收集与其提供的服务无关的个人信息，不得违反法律、行政法规的规定和双方的约定收集、使用个人信息，并应当依照法律、行政法规的规定和与用户的约定，处理其保存的个人信息。”规定和《民法典》第1035条(14)《中华人民共和国民法典》第1035条规定：“处理个人信息的，应当遵循合法、正当、必要原则，不得过度处理，并符合下列条件：(一)征得该自然人或者其监护人同意，但是法律、行政法规另有规定的除外；(二)公开处理信息的规则；(三)明示处理信息的目的、方式和范围；(四)不违反法律、行政法规的规定和双方的约定。个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等。”规定间的区别和联系实现。

如下表1所示：

表1 《网络安全法》第41条与《民法典》第1035条的规定

从表1可以看出，《网络安全法》第41条与《民法典》第1035条规定的内容基本一致：规定信息处理的原则均为合法、正当、必要，涉及的信息主体均为个人，并具有“公开信息处理规则，明示信息处理的目的、方式、范围，征得信息主体的同意，不违反法律法规的规定和双方约定”四项相同的条件细则。而两者的区别在于以下四点：第一，《网络安全法》规定处理个人信息的义务主体仅局限网络运营者，而《民法典》将其扩大为所有信息处理者。第二，《民法典》第1035条将《网络安全法》第41条“与提供服务无关”的阐述修改为“不得过度处理”，拓展了禁止处理信息的范围。第三，《网络安全法》第41条将“网络运营者不得收集与其提供服务无关的个人信息”的规定并列于其他条件细则同等地位，而《民法典》第1035条规定则将不得过度处理的要求置于合法、正当、必要原则之后，作为三原则的限定条件，而非归属于条件细则，足见其地位和重要性高于其他条件细则。第四，《网络安全法》仅规定了信息处理的方式为收集、使用两项，而《民法典》第1035条把处理个人信息的方式扩大为七项(15)《中华人民共和国民法典》第1035条规定：“……个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等。”与2019年12月公布的《中华人民共和国民法典(草案)》相比，该条将信息收集行为列为处理的方式之一，未再作单独规定，亦将信息处理的方式和范围扩大到七个方面。，更为全面和细致。从以上四点不难看出，《民法典》不得过度处理的规定，比其他四项条件细则地位更重要、范围更广、强度更大，是合法、正当、必要原则的重要补充。

二是随着我国网络信息技术的快速发展，相关法律已不适应目前对个人信息法律保护的需要。如《网络安全法》仅规定信息处理的合法、正当、必要原则，已无法有效控制信息处理者过度处理个人信息的行为，产生了诸多不符合信息处理之目的、方式、范围等过度处理个人信息获利的行为，产生了较大的社会危害(此类现象将在后续章节详述)。因此《民法典》增加“不得过度处理”个人信息的禁止性规定，加强对信息处理者的义务要求，除保障信息处理的合法、正当、必要性外，亦可限制信息处理的目的、方式和范围，属维护个人信息权益的创新性规定。

(二)《民法典》“不得过度处理”个人信息规定的意涵

依前述，《民法典》“不得过度处理”的规定是对合法、正当、必要原则的重要补充，禁止信息处理者“过度处理”个人信息的行为。那么，何为过度？“过度”一词，源自《左传·襄公十四年》：“有君而为之贰，使师保之，勿使过度。”(16)汉典中关于“过度”的解释即“超越适当的限度。《红楼梦.第六七回》：况且姑娘这病，原是素日忧虑过度，伤了气血。”“过度”，指超过限度。见《左传·襄公十四年》：“有君而为之贰，使师保之，勿使过度。”https://www.zdic.net/hans/%E8%BF%87%E5%BA%A6，最后访问时间：2020年10月20日。其在《新华词典》(第12版)的解释中是指“数量或程度超出限度或程度”。此前，在我国法律规范中使用“过度”一词的法规有《国务院办公厅关于治理商品过度包装工作的通知》(以下简称《治理过度包装的通知》)(17)《国务院办公厅关于治理商品过度包装工作的通知》第2条规定：“抓紧制定完善标准、法规和政策，禁止生产、销售过度包装商品……从包装层数、包装用材、包装有效容积、包装成本比重、包装物的回收利用等方面，对商品包装进行规范，引导企业在包装设计和生产环节中减少资源消耗，降低废弃物产生，方便包装物回收再利用。”、国家食品药品监管总局公告2016年第153号：《关于发布过度重复药品提示信息的公告》，二者规定的“过度”含义亦主要指“超出应有限度或程度”。如：《治理过度包装的通知》所指的“过度包装”主要是通过对商品进行层次过多、空隙过大、材料失当、难以回收、成本过高、搭售贵重物品等方式的包装，达到超出原有价值销售商品的目的(18)张越.解读治理商品过度包装工作的通知[J].包装世界,2009,(2):9.。这说明超出商品销售应有之目的、方式、范围的包装行为，即属于“过度包装”。据此可见，《民法典》第1035条所限制的“过度处理”行为亦应指超出处理信息之目的、方式、范围的信息处理行为。“不得过度处理”应指禁止超出应有限度或程度处理个人信息。而不超出“程度”或“限度”，即合理适度的界限何在？因《民法典》未如《治理过度包装的通知》一样作出详细规定或说明，故探析不得过度处理的意涵，应从合法、正当、必要原则的要求和合理适度的范围展开。

合法、正当、必要是世界各国和组织相关法律通常采用的处理个人信息的原则。此三原则始见于美国1970年颁布的《公平信用报告法》(Fair Credit Reporting Act of 1970)。1980年国际经合组织(Organization for Economic Co-operation and Development，以下简称OECD)发布的《个人数据保护和专业流通操作指南》中规定了处理个人信息应遵循的八项原则，包括：限制收集、资料完整正确、特定目的(包括收集和使用)、限制利用、安全保护、公开、个人参与和责任归属。德国、英国、日本等国的个人信息保护法律规范，均有要求收集、使用个人信息应保证行为合法、明示目的、限制范围等规定。

总而言之，上述各国、各组织的法律所规定的个人信息处理原则均包括了合法、正当、必要原则，要求信息收集、使用者应遵照法律规定，明示信息收集、使用的目的，限于业务需要和法律规定范围内，依照与信息主体间的约定收集、使用个人信息，我国《民法典》第1035条，对此亦作出了相同的规定。所以，不得过度处理个人信息的规定作为合法、正当、必要原则的补充，应理解为：信息处理者在符合法律、行政法规所规定的范围内，依照双方约定，通过公开信息处理的规则、明示信息处理的目的、规范处理个人信息的行为，保障信息处理的合法、正当、必要性，限制处理信息的目的、方式、范围，合理适度处理个人信息。

而信息处理的合理适度范围在《民法典》中主要体现在：总则编中不得违反公序良俗、诚实信用、不滥用权利的原则及人格权编中第999条关于人格权的合理使用等规定中。具体到个人信息合理使用的规定，则体现在第1035条之处理个人信息的免责事由中。这一“合理”处理个人信息的范围，主要表现在对社会公共利益的维护、保护个人信息权益主体的合法权益、正确处理已公开的个人信息方面(19)程啸.论我国民法典中的个人信息合理使用制度[J].中外法学,2020,32(4):1001-1017.。而此“适度”的内涵是要求信息处理者在符合合法、正当、必要原则的前提下，不超出业务需求和目的、不违背信息主体意愿、不超出法律或法规限制的范围处理个人信息。其中，不超出业务需求和目的包含了对信息处理者处理信息目的、行为和范围的限制，即处理信息的目的限于其业务需要，处理信息的行为限于信息流转过程中的所有环节，范围则应限定为符合前述《民法典》规定的基本原则，及前述合理的要求下。不违背信息主体意愿则体现在《民法典》第1035条和第1036条正反两方面所规定的个人信息主体的授权上，即信息主体有在不违反法律的前提下授权他人处理本人信息的自决权利(20)程啸.论我国民法典中的个人信息合理使用制度[J].中外法学,2020,32(4):1004.。而不超过法律、法规限制的范围，则体现在信息处理者应公开披露信息处理的规则和明示信息处理的范围上。

由此可见，不得过度处理的规定主要是为了加强合法、正当、必要的程度，以及通过禁止“过度处理”的行为，实现个人信息权益的保护，这亦充分体现了我国《民法典》通过增加个人信息权益保护的规定加强人格利益关怀(21)张新宝.从隐私到个人信息:利益再衡量的理论与制度安排[J].中国法学,2015,(3):38-59.，维护国家信息流转安全和信息系统健康发展(22)程啸.论《民法典》对人格权中经济利益的保护[J].新疆师范大学学报(哲学社会科学版),2020,41(6):109-120.的重要意义。

三、实现“不得过度处理”个人信息规定存在的障碍

研究“不得过度处理”个人信息规定实现过程中的障碍，需从法律本身的缺陷和现实挑战两方面入手。然而，纵观前述各国和各组织的个人信息保护的法律规定，目前均未见与“不得过度处理”相同之描述，即《民法典》第1035条规定出台前，尚未有此类规则，明确强调禁止过度处理个人信息和要求信息处理的合理适度。那么如何预见不得过度处理个人信息规定实现过程中可能存在的问题呢？我们不妨借鉴与不得过度处理规定相似之欧盟GDPR的“数据最小化(Data Minimisation)”原则的规定，和其实现过程中面临的主要问题，结合我国个人信息权益法律保护的现状，来透视不得过度处理个人信息规定实现过程中可能遇到的障碍。

(一)欧盟GDPR之“数据最小化”原则

2016年欧盟颁布的GDPR，已于2018年5月25日正式实施。与前述各国、各组织的规定和欧盟1995年的《数据保护指令》(EDPD)的规定相比，GDPR强化了限制处理个人信息的原则及其内容，主要包括：保障数据处理的合法、合理和透明性，明确数据处理的目的，及数据处理的最小化原则等。从其规定的内容来看，欧盟GDPR“数据最小化”原则，与我国《民法典》规定的“不得过度处理”个人信息的规定十分相似，“数据最小化”的要求有：不得超限处理个人信息和要求过度授权，并主要通过限制信息处理的目的、方式、范围，保存信息的期限，强调数据处理的最小范围，维护数据主体的自由选择权，保障个人信息权益的实现。

一方面，GDPR第2条规定通过对数据处理的全环节规制，形成监管闭环。其规定的个人信息处理主要指自动化处理、半自动化处理和非自动化处理(23)GDPR第2条规定：“本条例适用于全自动个人数据处理、半自动个人数据处理，以及形成或旨在形成用户画像的非自动个人数据处理……。”。一则，为了限制信息处理的范围。在自动化处理、半自动化处理中，数据最小化需要遵循的原则是保证数据输入和输出均满足执行数据处理目的所需的最小限度。并运用合理手段保证对信息处理的测试、检查、验证，使数据处于最小限度(24)Antignac T, Sands D, Schneider G. Data Minimisation: a Language—Based Approach (Long Version)[J].arXiv:1611.05642v1 [cs.CR] 17 Nov 2016.。二则，为了限制信息处理的方式。与前述OECD、英国、德国、日本等国家和国际组织的法律规定将信息处理的方式限定为收集、使用不同，GDPR对信息处理的环节规定更详细。其第4条定义(Definitions)描述的“处理(Processing)”包括了信息收集、存储、调整、更改、分析、使用、加工、传输、公开、删除等方式(25)GDPR第4条规定：“……(2)‘处理’是指任何一项或多项针对单一个人数据或系列个人数据所进行的操作行为，不论该操作行为是否采取收集、记录、组织、构造、存储、调整、更改、检索、咨询、使用、通过传输而公开、散布或其他方式对他人公开、排列或组合、限制、删除或销毁而公开等自动化方式。”。

另一方面，GDPR规定强调数据主体的有效知情和真实授权，保障信息主体的撤回权。个人对自身信息有有效知情和授权的权利，早在欧盟1995年的《数据保护指令》(EDPD)中即有规定。EDPD确认了当事人拒绝的权利，即：信息主体有权反对资料控制者处理其个人资料，资料控制者在处理资料时，亦不能再涉及这些已被拒绝处理的资料(26)孔令杰.个人资料隐私的法律保护(电子书)[M].武汉：武汉大学出版社,2009.760.。与该指令相比，GDPR“数据最小化”原则更加明确指向尊重数据主体的个人意愿，包括：收集数据必须得到数据主体的明确(书面)授权，不能以格式条款限制数据主体的权利等(27)何治乐,黄道丽. 欧盟《一般数据保护条例》的出台背景及影响[J]， 信息安全与通信保密,2014(10):72-75.。保障个人对自身信息享有绝对控制权，任何组织收集、使用个人信息均应获取真实有效的授权(28)GDPR第4条规定：“ 定义……(11)数据主体的‘同意’指的是数据主体通过一个声明，或者通过某项清晰的确信行动而自由作出的、充分知悉的、不含混的、表明同意对其相关个人数据进行处理的意愿。”https://gdpr-info.eu/art-4-gdpr/，最后访问时间：2020年8月18日。。GDPR着重强调了数据主体的书面、明示授权和自由真实的意思表示。为体现真实、有效的授权意愿，数据主体不做选择的行为，不能视为明示同意的行为。即限制了数据处理方通过一揽子条款或格式条款，强制获取非有效、非真实同意的可能性。且个人可撤回授权，数据处理者不得限制个人撤回的权利，即“撤回应像授权时一样容易”(29)GDPR第7条规定：“同意的条件1.当处理是建立在同意基础上的，控制者需要能证明，数据主体已经同意对其个人数据进行处理。2.如果数据主体的同意是在涉及到其他事项的书面声明的情形下作出的，请求获得同意应当完全区别于其他事项，并且应当以一种容易理解的形式，使用清晰和平白的语言。任何违反本条例的声明都不具有约束力。3.数据主体应当有权随时撤回其同意。在撤回之前，对于基于同意的处理，其合法性不受影响。在数据主体表达同意之前，数据主体应当被告知这点。撤回同意应当和表达同意一样简单。4.分析同意是否是自由做出的，应当最大限度地考虑一点是：对契约的履行——包括履行条款所规定的服务——是否要求同意履行契约所不必要的个人数据处理。”。

第三方面，GDPR保障个人信息的被遗忘权。GDPR第13条规定的数据被遗忘权，指个人删除、限制、更正互联网上误导、尴尬、无关或不合时宜的个人信息的能力(30)GDPR第13条规定：“ 收集数据主体个人数据时应当提供的信息(a)个人数据将被储存的期限，以及确定此期限的标准……”。其在“数据最小化”原则中主要体现在限制信息处理者重复利用个人信息方面。该原则已被多国和组织的法律规范所采纳，如：美国CFPB的隐私保护规则亦参照了GDPR的这一规定，要求信息处理者保证在依照信息收集的初始目的完成信息处理后，及时删除此类信息，使信息不被重复使用，或用于其他目的(31)Consumer Financial Protection Bureau CFPB：Privacy， https://www.consumerfinance.gov/privacy/“Data minimization The CFPB will limit the collection of PII to what is needed to accomplish the stated purpose for its collection. The CFPB will keep PII only as long as needed to fulfill its stated purpose.”最后访问时间：2020年8月17日。。

(二)“不得过度处理”个人信息规定实现的法律障碍

与上述GDPR的“数据最小化”原则较详尽的规定相比，《民法典》仅有“不得过度处理”一条规定，且未做细化。故实现《民法典》第1035条不得过度处理个人信息的规定，仍存在下述法律障碍：

第一，相较“数据最小化”原则，“不得过度处理”的规定与“合法、正当、必要”原则之间的区别未明确，尚缺乏具体范围和实际操作性。前述“合法、正当、必要”原则主要要求信息处理者在法律规定和当事人约定的范围内，明确信息收集目的，并依业务、研究需要收集、使用个人信息。但其对信息处理者的义务规定不明确，使“合法、正当、必要”的限度由信息处理者自行解释和确定，反成信息处理者的“借口”，无法有效限制信息的过度处理行为。而“不得过度处理”作为合法、正当、必要原则的补充，其与合法、正当、必要原则间的区别和联系，尚未通过法律规定予以明确，也并未像欧盟GDPR一样做出详细要求和解释，所以将其作为裁判依据缺乏可操作性，可能使该规定最终流于形式，实施受阻。

第二，“不得过度处理”缺乏进一步解释和详细规定。一则，我国尚未颁布实施《个人信息保护法》，未对个人信息的授权、收集、使用、传输等环节作出专门规定，仅依靠《民法典》第1035条的规定，难免略显单薄，无法达到应有效果。二则，“不得过度处理”的规定未明确信息主体明示、明确的授权。与GDPR相比，我国《民法典》尚未通过个人信息保护的原则和规定，详细体现尊重个人真实授权的意思表示。第1035条仅确认处理信息应获得信息主体或其法定监护人的同意，且不违反双方约定，应明示处理信息的方式和范围(32)《中华人民共和国民法典》第1035条规定：“……(一)征得该自然人或者其监护人同意，但是法律、行政法规另有规定的除外；……(四)不违反法律、行政法规的规定和双方的约定。”，缺乏对信息主体真实意思表示，主动、明示授权之权利的规定。虽然第1036条规定“处理已公开的信息时，对信息主体明示拒绝处理的信息，不得进行处理且不得视为免责事由”(33)《中华人民共和国民法典》第1036条规定：“处理个人信息，有下列情形之一的，行为人不承担民事责任：(一)在该自然人或者其监护人同意的范围内合理实施的行为；(二)合理处理该自然人自行公开的或者其他已经合法公开的信息，但是该自然人明确拒绝或者处理该信息侵害其重大利益的除外。”，但这属于信息主体对信息处理的拒绝权。而《民法典》规定的通过告知同意原则获取个人信息处理授权的方式，可能影响信息主体参与信息处理的权利，或作为信息处理者利用格式条款、一揽子授权，违背信息主体的真实意愿，处理个人信息的“万用法则”(34)张新宝.个人信息收集：告知同意原则适用的限制[J].比较法研究,2019,(6):1-20.。故，《民法典》现有的“不得过度处理”规定，依旧有可能使信息主体无法实现出于自愿做出真实有效授权的行为。三则，“不得过度处理”未对信息处理的时限作出要求。我国《民法典》尚未对个人信息的被遗忘权作出详细规定，亦未明确“不得过度处理”个人信息应设置的信息最长处理时限。

3.实现“不得过度处理”规定面临的现实障碍

虽然相较《民法典》“不得过度处理”的规定，GDPR的“数据最小化”原则更详尽亦更严厉，但其在实现过程中仍遭遇诸多阻碍。“数据最小化”原则实现的受阻，主要体现在难以控制美国和欧洲许多知名互联网企业信息处理者过度收集、使用用户信息的行为方面。

如此类企业有一项行业通行规则：“追踪墙”(Tracking walls)(35)追踪墙：旨在通过监控使用者的行为，用在线收集到的信息向人们展示有针对性的广告。。其含义为，用户必须在初次使用或登录该网站时，同意“要么接受要么离开(Take-It-Or-Leave-It)”的隐私协议。用户必须允许网站对其进行的“Tracking”，即记录用户使用网站的行为，甚至要求用户同意第三方的“Tracking”。这一项“规定”，主要是源于网站运营商进行广告推送的需求，及与其他网络服务提供商合作的需要。通过对用户的持续跟踪，网站运营商可以获取用户的浏览偏好、习惯等信息进行数据分析，从而推测用户的消费偏好，进行较精准的广告营销投放。同时，大型互联网运营商为了拓展合作伙伴的需要，把收集不属于其业务范围需要的信息对外提供并据此获利。

如今，GDPR实施已逾两年，但上述问题仍屡禁不止，主要的原因来自信息超限处理的收益远超依照GDPR惩罚的数额。GDPR实施后，有多家知名互联网企业因违反其个人信息保护规定被罚，最著名的当属美国互联网企业Google。2019年1月，法国数据保护监管机构CNIL(36)Commission Nationale de l’information et des Libertes (French: French Data Protection Authority).依据GDPR的规定，对Google开出了一张5000万欧元(折合人民币约3.8亿)的罚单，称Google使用“Tracking walls”非法收集个人信息，且将个人信息用于其广告推送业务。法国CNIL提出的两项处罚理由中第2条称，用户对Google的“同意”授权行为既非自愿，内容也不明确。故因涉嫌过度收集用户信息和违反客户意愿强行取得过度授权处罚Google，目的是要求Google实现用户自身控制数据信息的权利，充分告知用户风险，尊重用户，获得真实、有效同意。

这一案例，是欧盟在GDPR实施后开出的最大罚单，但与Google强制追踪用户信息的广告收益相比仍是杯水车薪。2019年，欧盟委员会再次因 Google“滥用在线广告主导地位”，对其罚款 16.9 亿美元(约合人民币 113 亿元)。欧盟竞争事务专员Margrethe Vestager解释，Google为了垄断市场，通过限制他方竞争的方式最大限度获取广告收益。而这笔罚款，仅占2018年Google通过垄断地位和滥用个人信息追踪行为获取的总收益的1.29%(37)CSDN资讯：Google 再被罚！https://blog.csdn.net/csdnnews/article/details/88729962，最后访问时间：2020年7月21日。。可见，严厉的法律规定，如果不配合足够的惩罚措施，仍难解决信息超限处理的问题。

虽然我国《民法典》不得过度处理个人信息的规定，尚未遭遇到如欧盟GDPR“数据最小化”原则实现过程中一样的窘境，但随着我国信息技术的发展，信息量的增加和信息流动速度的加快，个人信息所潜藏的巨大利益，亦成为了信息处理者铤而走险，通过“过度处理”个人信息获利的主要动因。我国个人信息的过度处理主要体现在：2020年7月16日，央视通过网络直播曝光13款APP使用SDK窃取用户信息的行为，窃取的信息包括短信验证码、联系人、地理位置、设备信息等关键信息(38)新浪网：315晚会曝光SDK窃取个人隐私信息：涉及多款金融App，2020年7月16日，https://tech.sina.cn/2020-07-17/detail-iivhuipn3545633.d.html?vt=4&pos=18，最后访问时间：2020年7月20日。，而此类信息多属超出其业务或提供服务所需的信息。同日，中央网信办、工信部、公安部、市场监督管理总局，联合发布《关于开展APP违法违规收集使用个人信息专项治理的公告》，其中点名督促整改的APP达40款，普遍存在强制一揽子授权、收集信息超出业务所需范围、非法使用传输个人信息、没有公开的信息收集规则、无法注销账号等问题(39)证券时报网：老虎证券、同花顺等40款APP被监管点名，使用要注意了！2020年7月19日，http://finance.ifeng.com/c/7oQYJFYzg9I，最后访问时间：2020年7月20日。。说明超出业务需求、超过必要限度、违背信息主体意愿、超出法律或法规要求的范围、出于广告营销和拓展业务等目的处理个人信息的行为，是目前大多互联网企业运营中均存在的问题，亦属突出的行业痹症。在普遍倾向逐利、忽视个人信息权益保护的信息市场推动下日趋严重。而我国《民法典》不得过度处理个人信息的规定，尚未设定惩罚限度和罚款额度，足可预见亦将同样面临惩罚措施、手段、力度不足，无法根除信息处理者通过滥用个人信息获利的障碍。

四、实现“不得过度处理”个人信息规定的路径

前述《民法典》不得过度处理个人信息规定的实现，虽面临诸多挑战和问题，但通过对比前述GDPR“数据最小化”的规定及其实现过程中所遇问题之镜鉴，可尝试探讨不得过度处理个人信息规定实现之路经。通过制定《个人信息保护法》，补充细则、加强监管等方式，实现我国个人信息法律保护的系统化。具体建议如下：

(一)通过制定《个人信息保护法》，细化不得过度处理个人信息的行为

早在2018年10月，全国人大发布的《民法典各分编(草案)征求意见稿》即已明确，下一步将制定《个人信息保护法》。而如今《民法典》已出台，《民法典》人格权的独立成编，亦有利于《个人信息保护法》的尽快实现(40)王利明.民法典人格权编中动态系统论的采纳与运用[J].法学家,2020,(4):1-12.。所以，《个人信息保护法》的颁布指日可待。

虽然GDPR“数据最小化”原则在实现过程中存在诸多问题，但当前我国《民法典》规定的“不得过度处理”因细则不明、范围不确定、内容不完整，在实施过程中面临的问题相较“数据最小化”会更多。故在《个人信息保护法》中，应通过借鉴“数据最小化”原则的规定，完善、明确、细化“不得过度处理”的规定，如处理信息的具体范围、限度等。保障信息主体对自身信息处理的知情、同意、明示授权、撤回授权的权利等。

第一， 通过明确“不得过度处理”与“合法、正当、必要”原则间的关系，可有效指导司法机关依照“法律要求、当事人授权、业务需要、最小限度、处理方式”等，判明信息处理者处理个人信息的“合法、正当、必要”和“不过度”间的界限。

第二， 借鉴GDPR“数据最小化”原则，完善不得过度处理个人信息的法律规定，通过确保个人信息主体的控制权和真实有效授权，保障个人信息的适度授权。即信息主体应通过明示方式，确认对信息处理的授权，限制信息处理的目的。信息处理者处理个人信息应有具体、明确且正当目的，并在信息处理过程中始终遵循最初目的。信息处理者收集信息时应向信息主体明示收集信息的范围。除用于科学研究和维护公共利益外，个人信息的处理应始终围绕数据处理者此前明示的范围进行。亦表示，信息主体明确知道信息处理的目的、范围和权限，并出于自由意愿，明确同意信息处理者在仅限该范围内处理其信息。

第三， 沉默、未打勾或不作为，不构成同意。参照GDPR书面、明示的授权要求，不得过度处理个人信息的规定，亦应保障信息主体的明示授权权利，限制信息处理者通过一揽子授权，强迫信息主体做出违反自身意愿的授权行为。信息处理者应严格遵照《民法典》第1035条、第1036条的规定处理个人信息，授权应依信息处理者业务需要以最小限度进行。对于特殊事项，应设立单独授权，保障用户单项授权的权利。

第四， 信息处理者对信息处理范围的描述应明确、具体，不得模糊。围绕信息处理的目的，信息处理者应在适当、相关、必要的范围内处理个人信息。收集、存储、使用、传输、加工、提供、公开个人信息的，其行为均应合法、正当、必要，在业务需要的范围内最小化处理个人信息。且信息处理不得偏离明示的收集、处理信息的目的。随时保持信息处理过程的公开、透明，保障用户对自身信息的处理行为的知情权利。信息处理应符合法律规定和双方约定，遵照明示的目的、方式和范围进行，不得超出，否则即应视为“过度处理个人信息”行为，承担相应的法律责任。

第五， 在撤回授权时，个人有权要求信息处理者删除已撤回授权的信息，并明确表示不再向信息处理者提供相应信息。信息处理者不得以任何方式限制信息主体这一拒绝权，或妨碍信息主体的撤回授权行为。如：通过限制撤销、注销、删除账户的方式，或通过拒绝公开服务信息的方式，限制或拒绝用户的撤回权利。信息处理者处理信息的过程应始终向信息主体公开，保证处理信息始终围绕其目的和限度进行。信息主体可监督信息处理者的信息处理行为，随时发现信息处理超限行为，要求信息处理者停止侵害等。

第五，信息处理应遵循最长期限要求。参照GDPR的“数据最小化”原则和美国CFPB隐私保护规定经验，不得过度处理个人信息亦应确保及时删除已依最初目的处理完成的信息。或对信息设定最高处理时限，保证信息在限定的目的、时间、范围内处理完成，不得再次处理或用于其他目的。

(二)完善监管，加大对过度处理个人信息行为的处罚力度

借鉴欧盟GDPR“数据最小化”因设定惩罚力度过小、惩罚措施不到位导致的现实困局，监管部门应加强对信息处理者的教育，保障《民法典》“不得过度处理”个人信息规定的实现。要求信息处理者规范自身从业者的信息处理行为，规定信息处理者应遵循的准则和义务，及“过度处理个人信息”应承担的法律责任和后果。

通过加强各监管部门之间的沟通，以及增加对信息超限处理的处罚力度，保障“不得过度处理”规定的顺利实现。通过各部门联动方式，严控信息流转。要求信息处理者检验、测试、审查信息输入，保证输出过程的技术、人员处于合理权限、最小限度要求下。严厉打击信息处理者超限处理个人信息的行为，加大处罚力度，要求信息处理者将信息处理的合理适度置于信息处理的收益之前。通过法律规定明确个人信息处理者超限处理个人信息应承担的法律责任和惩罚数额等。如：超限处理个人信息获利的，应处以非法获利的30%以上罚款，尤其是对广告推送、大数据分析，过度处理个人信息非法牟利的行为。提高罚款额度，有利于对信息处理者起到震慑作用，防范信息处理者的逐利行为。增加部门沟通，有利于联合执法，保障信息流转安全。

五、结语

随着信息技术的发展，互联网上个人的ID已取代了个人现实中的身份，个人信息已形成新的个人人格特点代号。无论信息是否私密或不想被他人知悉，均无法阻挡个人信息的不断产生，范围的逐渐扩大，利用率的迅速提高。且新技术环境下，个人信息受侵害案件时有发生，个人信息买卖、非法提供，已成网络生态治理顽疾。故，通过民事立法确认个人信息保护的原则和处理个人信息的规则，实有必要。与《中华人民共和国网络安全法》、OECD的《个人数据保护和专业流通操作指南》、德国《联邦数据保护法》相比，《民法典》参照GDPR的规定，着重强调了“不得过度处理个人信息”的规则，具有创新性，值得重视。未来实施中，该原则应进一步解释、细化，从而保障我国个人信息权益法律保护的实现，使我国信息行业健康有序的发展，为实现5G时代物联网发展需求作出贡献。