张勇 程雯暄｜数字化转型下个人信息处理目的限制原则优化及刑法适用

在数字经济时代背景下，个人信息利用需求骤增，商业价值属性日益显现，数字经济发展迅猛。同时，不当收集使用个人信息、超越收集目的过度处理信息等侵害信息主体合法权益的行为频发，相关情境下信息处理主体往往通过概括同意式的方式对获取的信息进行不当利用，从传统的非法获取行为转向新型的使用型侵权，社会危害性趋于严重。如何在个人信息权利保护和使用之间寻求平衡，需要从立法和司法上加以解决。我国个人信息保护法第6条确立了目的限制原则，该原则作为个人信息保护制度的基石，能够有效避免个人信息的非法收集和过度使用，但如果不能准确把握个人信息处理目的限制原则的价值内涵，则会出现过度限缩个人信息利用发展空间的问题。实践中，如何合理适用个人信息处理目的限制原则，确保其在法治轨道上有序运行，是实现数字化转型发展的关键。

一、个人信息处理目的限制原则及其适用根据

我国个人信息保护法确立了“合法、正当、必要、诚信”的基本原则，并通过目的限定对个人信息处理行为予以限缩，第6条明确规定了目的限制这一具体原则。目的限制原则是基本原则的延伸和扩展，任何信息处理者进行任何处理活动都应当受目的限制原则的拘束。目的限制原则虽并非法律规则，但仍具有司法适用价值。在有关个人信息处理的法律规制存在不足的情况下，该原则发挥着纽带和转化作用，司法适用价值不可忽视。

从域外立法来看，目的限制原则的价值功能被诸多国家和地区予以认可，如欧盟一般数据保护条例、日本个人信息保护法、韩国个人信息保护法等等对于目的限制均作出具体规定。从我国立法上看，在个人信息保护法出台前，部分涉个人信息保护的规范也曾要求相关主体事先言明个人信息处理目的，但究竟何为“目的”未能予以明确。2012年《关于加强网络信息保护的决定》确认了合法、正当、必要的基本原则，在此基础上又进一步确立了信息控制者的告知义务、获取信息主体的授权义务以及守约义务。个人信息保护法对目的限制原则作出了详细的规定。不同于域外的“目的特定”+“目的兼容”立法模式，我国通过明确、合理、直接相关、最小方式等规范要素对信息处理目的加以限制。目前，学者们已经认识到个人信息保护应当适应数字时代发展的要求，个人信息权具有区别于传统民法领域财产权、隐私权的独特性质，属于数据时代背景下的新型人格权利类型。在刑法中，侵犯公民个人信息罪的保护法益是作为个人信息权核心权能的个人信息自主（决）权，而侵犯的具体法益因行为类型不同而存在差异，非法提供、获取行为侵犯的法益是个人信息转移自主，非法使用行为侵犯的法益是个人信息使用自主。相应地，目的限制原则也体现在两个阶段：一为收集阶段的目的明确，其要求信息处理者在收集前，应当具有特定的收集、使用目的并将目的进行清晰表述；二为处理阶段的使用限制，其要求信息处理者在实际使用个人信息时，不得违背最初约定目的，并采取对个人权益影响最小的方式处理。目的明确与使用限制二者相辅相成、相互制约，前者是信息处理行为的逻辑起点，只有在明确告知信息处理目的并获取信息主体的有效同意后，才能进一步使用。同时，后续的信息处理行为不得超越初始目的可能的范围，否则目的明确原则将如同虚设。

法律原则作为法律规则的基础或本源的原理和准则，代表着法律价值的宣示，是法律价值追求的明确表达。法律确定性的实现，不但要求具有完整的规则体系，同时还须通过法律原则的阐释予以完善。同作为法律的基本要素，与法律规则相比，法律原则具有其独特功能：（1）解释功能。当法律适用存在困境时，裁判者需要依赖原则的价值对相关争议予以阐明，这是法律原则在规则背后所发挥的间接功能。（2）确定功能。当法律规则的条文内涵难以准确界定，法律原则可以在宏观层面为条文内涵之明确提供标准，进而使法律规则从模糊走向明晰，发挥确定效力。（3）补漏功能。由于语言的匮乏以及认知的局限，立法漏洞与空白在所难免。法律原则作为救济、补充法律漏洞的基本机制，在漏洞填补中发挥着直接功能。当法律规则存在时，应当根据法律规则解决问题，法律原则在此情况下间接地发挥指导功能；而当规则失效或者规则不能时，法律原则在实践意义上就是法律规则。规则的适用可能导致个案出现合法但不合理的不公情形时，原则可以排除规则适用，直接介入争议以保证个案公正。

目的限制原则具有丰富的司法实践指导功能。当前社会对于信息呈现出更高维度的利用需求，利用形式也不断创新，使得个人信息保护面临日新月异的风险和挑战。涉个人信息保护规范一经收集，就可能因面临新的个人信息处理手段而出现规制漏洞。在个人信息处理的新形势下，内涵相对固定的规则应对乏力或规则存在漏洞之时，目的限制原则的适用便能彰显其固有价值：一方面，个人信息保护规范为了规制未知风险，设立时往往采用相对模糊的立法语言，而无法对相关情况进行详尽列举。

例如，个人信息保护法第13条第5项规定：“为公共利益实施新闻报道、舆论监督等行为，在合理的范围内处理个人信息”，但此处“合理范围”如何理解？在司法适用时，仍然需要借助目的限制原则进行解释，这也是对具体条文内涵的确定；另一方面，涉个人信息保护规范在数据时代仍然面临不断完善的挑战，但法律的修改不能过于频繁，因此在出现规则真空时就需要借助个人信息处理目的限制原则填补漏洞。

个人信息保护法对目的限制原则予以明确，该原则作为法律价值的宣示原则，旨在保护个人信息权益的同时，也能协调个人权益与科技创新、经济发展的关系。然而，目的限制原则究竟发挥着怎样的价值作用？究竟应当如何在不同法域运用？实践中目的限制原则仍存在难以涵摄之处，存在制度障碍与衔接障碍。（1）制度障碍，即法律原则缺乏具体细则和可操作性。一方面，目的限制原则作为法律原则本身，如何在实践中发挥指导作用并不明确、具体，需进一步思考和探索；另一方面，条文规定的目的明确、目的合理、直接目的相关等要求面临被虚置的现实问题，内涵过于抽象，详尽地阐释收集目的难以实现，信息控制主体为了避免违反规定而付出高昂成本，通常尽可能延伸目的限制范围，对“目的”一词采取更为笼统、宽泛的表述，致使信息主体知情却无法预估后续行为。（2）衔接障碍，即法律原则与其他法律规范适用的衔接规则不明。作为个人信息保护法律体系的核心，个人信息保护法的原则理应具有丰富的指导功能，如民法典第1035条、网络安全法第41条、消费者权益保护法第29条都体现了该原则的价值内涵，然而，目的限制原则本身应当如何对个人信息保护法以外的其他部门法发挥实践指导作用尚存疑问；实践中，如何指导司法机关对个人信息处理行为进行合理规制，也值得进一步探究。

二、个人信息处理目的限制原则的优化模式

目的限制原则作为我国信息保护法的基石原则，具有冲突解释效力、空白漏洞填补、个案正义实现等功能，在实践中发挥着不可替代的作用，但其严格的目的限制不利于当下信息多样性利用的现实需求。因此，有必要借鉴各国对于个人信息处理目的限制原则的处理，对我国目的限制原则进行优化，以推动我国目的限制原则实现信息保护和鼓励创新双重价值取向的衡平。

欧美国家较早就开始了对个人信息的立法保护，《关于隐私保护与个人数据跨境流动指南》创立了一系列数据控制主体应当遵循的基本原则，为最初的数据保护立法奠定了基础。欧盟于1995年发布的《个人数据保护指令》最先对目的限制原则进行了具体规定，要求数据处理目的应严格符合“特定、明确、合法”特征，为缓解适用的僵硬性，又提出了“兼容性适用”规定，具体判断标准为“适当性使用”，但未能对具体内涵予以明确。由于95指令本身没有法律效力，需要成员国将适当性使用的规定转化为国内法实施，然而各国对于适当性的判断存在较大差异：比利时以信息主体的“合理期待”为标准；英国和希腊借助“公平性”“合法性”来判断；德国通过“平衡测试”进行衡量。2013年，29条数据保护工作组指出，基于与约定不相同的目的而进行的后续处理行为，并不一定构成对初始目的的违反。2016年，欧盟通过一般数据保护条例延续了此前工作组对于兼容性的判断，即处理目的和约定目的应当相同，但允许出现与约定目的相符而并不相同的额外目的。“兼容性使用”作为一个转接通道，对信息利用具有一定的积极意义。但实践中对于信息处理能否兼容，仍以信息收集时的初始目的为基点，忽视了对处理目的的动态考察。2017年第108号公约提出“不应以信息主体可能认为无法预料、不适当或反感的方式处理信息”，“无法预料”方式是指将主体暴露于不同风险或比初始的预设风险更大的风险。总体而言，欧盟目前采取的兼容性评估标准，可以理解为“主观标准+客观标准”，以“合理隐私期待”作为主观标准，以数据处理者的初始目的为“客观标准”。

与欧盟不同，美国未采用可能阻碍信息发展的严格目的限制原则，而是通过对场景规则的构建来面对个人信息保护与利用的困境。起初，由海伦·尼森鲍姆提出的场景完整性理论具有极强的包容性和灵活性，其主张信息的保护和处理应当在特定情境与相应规则下进行，综合具体场景的多种因素判断是否对信息主体利益造成侵犯。2012年白宫文件中明确提出了“尊重场景原则”，在符合一定场景下，企业直接收集或使用信息无需征得消费者同意，但与收集时目的具有实质不同或基于商业利益考量等收集用户敏感个人信息的除外。这一原则被加州消费者隐私法案吸收。但此时的“尊重场景原则”因具备较强的流动性和宽容性，并不利于保护当事人的合理预期。2020年加州隐私权法案在此基础上进一步完善，采取“初始目的”与“场景路径”双重认定模式，规定企业对于个人信息的处理应当是合理的、必要的，不能超越初始目的过度处理，或相同情境内允许基于其他目的进行妥当范围内的处置。

如前所述，欧盟从保护公民个人权利角度出发，通过对个人信息在收集阶段的严格把控和使用阶段的限制，来平衡信息自由流动和基本权利保护的需求，在规范层面对我国具有较强的借鉴意义，但在现实层面，我国信息产业情况又与美国相似，甚至体量大于美国，信息发展需求要求我国的目的限制原则不能过于严苛。对此，我国学界对于目的限制原则提出了各种优化方案及学说：（1）“合法利益测试说”，认为“目的限制原则”不适宜信息时代的发展，应当通过对合法利益的评估来决定信息处理行为的性质，当信息处理行为以实现合法利益为目标，当信息处理者能够证明其所要实现的利益处于更优越地位时，就具备了免于获取信息主体同意的权利。（2）“优位利益豁免规则”，这是对前一学说的优化，其将核心从信息利益的合法性转移至动态利益的平衡，将优位利益作为规则适用的“主体”加以控制，不具备优位性的利益则直接排除在豁免规则之外。（3）“扩张解释目的说”，主张综合考量信息收集时的情形、信息的性质等因素，对信息收集时初始目的进行扩张，放宽对目的明确的要求，为信息收集阶段留有充足空间，而在信息使用阶段严守法律规定或约定目的。（4）“风险限定说”，主张将“目的限定”替换为“风险限定”，该说认为，信息处理行为妥当与否的判断标准在于该行为是否引发了不合理的风险。（5）“目的特定说”，认为“目的特定”是原则中不可缺少的重要规范要素，是用户知情同意的前提，也受制于“目的合理”、指导“目的明确”，主张通过“与处理目的直接相关”来适当扩张“特定目的”，允许数据控制者在“特定目的”的合理辐射与外部风控下对“特定目的”进行突破。

上述优化方案各有优劣。“合法利益测试说”在一定程度上缓和了对信息处理初始目的的严格限制，但将目的限制原则彻底放弃的观点过于激进，并且创设了“合法利益”这一模糊且抽象的概念，具体内涵及外延的认定困难，亦可能为信息处理者的非法处理行为提供辩护。“扩张解释目的说”保障了“初始目的”存在的价值，但通过综合考量模式将原本的目的内涵予以扩充，这往往会稀释初始目的的明确性，难以对信息处理者的后续处理行为进行有效限缩。“风险限定说”符合实践中对于信息多元化利用的需求，但该学说罔顾信息收集时的初始目的，其将目光投向信息处理的结果，信息主体难以形成合理预期，同时也会致使信息处理者“赌徒式”投机思维的出现，不利于社会的有序发展。“目的特定说”关注到各规范要素间的关系，但我国立法明确规定只有处理敏感个人信息时才要求“特定”，如此不仅突破了成文法规定，还会忽略一般个人信息和敏感个人信息的差异性。

比较而言，目的限制原则对于收集、使用信息阶段的要求，使得信息处理者在活动开始前就对个人权益的影响进行评估，并在后续处理活动中保持处理目的的关联性，虽然存在弹性不足的问题，没有“兼容性”涵摄范围广泛，但对于个人信息的权益保护仍发挥着至关重要的作用，不应完全摒弃。本文较为赞同“优位利益豁免说”，本文认为建立适当的优位利益识别机制揭示了大数据时代信息的本质特征，即信息本身所承载的利益具有的多元化特性。不同的个人信息与自然人的关联性是不同的，各方所代表的利益相互交织，面对信息保护与信息利用的矛盾时，信息的内容决定信息处理风险的高低。统一的个人信息保护模式会忽视个人信息的差异性及其对个人的影响程度，缺乏针对不同类型数据信息的差异保护，也难以实现数据保护与利用的平衡。个人信息固有的差异性要求我们对不同个人信息予以不同程度保护，根据欧美对于信息保护的限度和我国方案，对不同类型的信息处理分别予以适用完善，适度释放信息的经济价值，促进数字经济的有序发展。

三、个人信息处理目的限制原则的类型化适用

在倡导信息共享与流通的大趋势下，信息利用的内在需求要求摒弃对信息主体利益过度保护的观念，充分挖掘个人信息的利用价值，适当允许对个人信息的二次利用，在一定程度上重视信息处理的效率。由于不同信息与自然人的人格密切程度存在差异，在适用目的限制原则过程中，需要考虑到不同个人信息间的差异性。通过对个人信息的类型化处理，对信息处理行为予以差别对待，才能避免个人信息概念的模糊缺陷，防止规范适用的空洞化。目前，我国民法典、个人信息保护法、《征信业管理条例》等诸多规范性文件均对个人信息的类型化予以明确规定。如民法典第1034条和第1036条，将个人信息区分为私密信息与非私密信息、已经合法公开的个人信息与未公开的个人信息。个人信息保护法将个人信息区分为一般个人信息与敏感个人信息、已公开的个人信息与未公开的个人信息，不同类型化的个人信息之间可能存在交叉重叠之处，对此，应当延续个人信息保护法的分类标准，对个人信息分为敏感个人信息和一般个人信息，在此基础上，将目的限制原则予以类型化适用。

敏感个人信息与信息主体的人格尊严、人格自由密切相关，一旦超越初始目的进行二次使用，不仅会给信息主体的人身权益造成物质性以及非物质性的严重损害，如包括财产损失、精神伤害等，侵害补救也相当困难。个人信息保护法第28条阐明了敏感个人信息的价值，并对敏感个人信息的种类进行了列举；同时规定，只有在具有特定目的和充分必要性，并采取严格保护措施的情况下才能处理敏感个人信息。根据立法旨意与信息类型，在处理敏感个人信息过程中，应当恪守目的限制原则相关规定，避免在初始目的之外实施信息处理行为。

具体而言，目的限制原则要求收集信息具有明确、合理目的，不得过度收集，在使用期间不能超出约定的初始目的。由于敏感个人信息关涉个人尊严，立法对于敏感个人信息还要求“具有特定的目的”“充分必要性”及“采取严格保护措施”。其中对于“特定目的”的内涵，笔者认为，可以参考GDPR对于“特定（specified）”标准的理解，要求目的内涵具有足够的辨识度，目的特定与明确、合理的要求层层递进，目的特定指导着目的明确，受制于目的合理；实质上，目的合理是比例原则在个人信息保护法中的规范表达，其中便涉及利益衡量的内容。有学者建议，可以借助公法领域的比例原则进行判断，利用比例原则的阶层构造，为敏感个人信息的判断模型提供精确指引。这恰好符合对敏感个人信息进行充分必要性的保护。参考比例原则下的必要性原则进行判断，要求信息处理者选择对主体侵害最小的处理措施，由此借助比例原则的阶层式构造，对敏感个人信息的判断模式提供了精细的分析工具；在处理敏感个人信息阶段，应当严守“关联性”要求，而不能对目的特定进行突破，并采取严格保密措施。

但是，对于敏感个人信息的处理应当辩证看待，并非一律坚持严格的“禁止目的外用”，应注意以下两点：其一，以优位利益豁免规则为理论基础，当二次利用行为所实现的利益优于信息主体的个人信息权时，信息处理者对敏感个人信息的二次利用行为即为合法处理。这是由于公民个人信息所承载的权益，不仅代表着独立个体的信息权益，还必须服从社会公共利益的要求。如GDPR所言，个人数据不宜作为一种个人绝对权，应当考虑其在社会的作用，并与其他权利相衡量。敏感个人信息于公民个人而言，一旦遭受泄露往往会造成个人权益的严重侵害，但当其面对的是如公共面向的重大利益时，则需要对不同利益进行客观看待，甚至在一定程度上将信息利用置于更优先地位。优位利益识别机制的构建，可以参考借鉴欧盟“平衡测试”的规则。其二，对个人身份的可识别性及其敏感程度进行判断。个人信息的本质特征可以归为个体特征的“可识别性”，敏感个人信息之所以具有高度危险性，正是因为敏感个人信息与信息主体的人格尊严和人格自由密切相关，但并非所有个人身份都具有同等的保护价值，不同信息的敏感程度也存在差异。倘若对敏感个人信息进行妥善地去识别化，信息主体权益侵害的风险则会大大降低，并且在个人信息去识别化过程中对信息价值进行了挖掘和增值。应当注意的是，对敏感个人信息进行去识别化或二次处理，应注意采取必要的保障措施，来避免对数据主体造成过度影响。在数字化转型背景下，如何平衡个人信息所蕴含的多元价值才是更高层次的追求，基于敏感个人信息对于信息主体人身权益的重要性而言，对敏感个人信息处理应当“以严格遵守目的为原则，以额外允许为例外”，以此来兼顾多方主体在个人信息之上的多元利益。

一般个人信息的价值往往需要通过二次利用予以呈现，对于目的限制原则，不能一味机械地奉行。一方面，一般个人信息与信息主体的联系虽然不甚紧密，但个人信息的价值不再仅停留于基本用途，而要依靠其二次利用，并在此过程不断地发现信息的新价值和新应用；另一方面，在人格权商业化利用理论的影响下，允许权利主体将某些人格权之客体授权或转让他人，在划定目的变更的合理范围前提下，允许对目的限制原则进行有序合理的突破。以使信息权利主体充分获得经济利益。

实践中，如何落实对一般个人信息处理限度的判断，应当结合我国个人信息利用和发展的实际情况，对欧美的适当性原则和场景规则进行扬弃。在此方面，美国在国际立法中率先构建了场景与风险理念为核心的架构，欧盟《数据保护通用条例》的亮点也在于倡导基于具体场景的风险评估。“场景”与“风险”理念虽存在差异，但二者实质上均为个人信息者提供合理保障服务，场景是出发点，风险管理是实现手段，风险管理基于相应的个人信息处理场景。本文认为，场景决定着信息主体在特定应用场景下的“合理隐私期待”，在我国本土化环境看来，即与初始目的相关联的期待。在我国个人信息体量的现实考量下，应当结合“风险管理”和“目的逻辑相关”两方面，对我国一般个人信息的利用合理与否进行衡量，在目的逻辑关联限度内，将处理信息可能引发的风险控制在合理范围。主要考察如下因素：（1）信息敏感性程度。信息的核心在于识别性，存在直接识别（即通过信息可以直接确认某人身份）和间接识别（即结合其他信息可以确认身份）两种类型，一般个人信息虽不如敏感个人信息与人格尊严的联系密切，但仍存在敏感度的差异，通常敏感性程度越高，处理行为受限越多。（2）信息处理者的风险控制能力。其与风险实现的可能性与严重程度息息相关，能力越强，则风险发生的可能性越低、风险的严重性亦越低。（3）目的逻辑关联程度。允许一般个人信息的处理与初始目的存在一定的偏离，但后续处理应当与初始目的存在包容或递进的关系，以保护信息主体合理的信赖。若信息处理产生的风险超出目的逻辑致使合理预期落空，则为法律所不允许。

应当注意，个人信息保护法与刑法在个人信息的识别与保护上存在差别，相对来说，刑法敏感个人信息的范围狭窄。2017年“两高”联合颁布的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》（以下简称《侵犯个人信息刑案解释》）第5条将个人信息分为三个等级，即“行踪轨迹信息、通信内容、征信信息、财产信息”，“住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息”以及除以上个人信息之外的“其他公民个人信息”。根据个人信息保护法第28条规定，生物识别信息、宗教信仰信息以及不满14周岁的未成年人的个人信息都属于敏感个人信息。因此根据《侵犯个人信息刑案解释》的规定，这些信息可能难以受到刑法的妥善保护。但后发布的个人信息保护法具有更强的时代适应性，因此，一方面，宜将上述三类个人信息作为第一档或第二档个人信息升格保护；另一方面，在个人信息保护领域，刑法应当固守其保障法地位，所保护的个人信息类型应当限于前置法特别保护的信息数据，并进行适当的缩减，承载较低价值或较少利益的信息数据本就不应该受到过多的法律保护，更不应当由刑法介入保护。如无法识别特定自然人的信息应当排除在公民个人信息范围外，又如，个人上网所产生的不含密码等重要内容的cookies信息数据，虽属于个人网络行为轨迹信息数据，但此类单个信息数据承载的价值较低，没有必要纳入刑法的保护范畴。

综上，通过目的限制原则对不同信息进行特别保护，在发挥信息利用的效用同时，也可以将刑法所保护的个人信息数据类型限定在最小必要限度，为将来适时调整过度处理个人信息行为的犯罪圈预留了必要的缓冲空间。如为了科研目的而处理个人信息数据、企业知识产权数据及公共数据，即便未经特定主体授权，也不宜认定为犯罪，为了合法经营目的而非法获取一般数据，数量较少的，通常也只竞争法调整即可。

四、过度处理个人信息行为的刑法规制路径

我国禁止过度处理个人信息，然而对于“合法获取、不当滥用”的行为缺乏足够的规制，只是通过间接手段予以惩治。根据不同类型的个人信息，目的限制原则对于信息收集和处理两个层面提出要求，而刑法只对非法提供、非法获取行为进行规制。依据刑法前置法中的目的限制原则，个人信息的收集和处理具有同等重要性，相应地，不同阶段的行为不当对于个人信息权益的侵害具有同等社会危害性。因此，在我国有关个人信息处理行为的法律规制滞后、相关罪名的前置法规制失范的情况下，刑法规制的重心应当从非法获取行为转向过度处理行为，有效发挥目的限制原则的司法适用和指导功能，并合理分配个人信息处理的安全保障义务，将被害人同意作为违法阻却事由，从严把握刑法规制的限度。

在个人信息收集和处理阶段，信息控制主体通过法律规定或当事人约定的方式，取得合法性基础，享有个人信息处理权，因而具有权利外观，但这并不意味着其可以享有超越目的无限制处理个人信息的权利。信息控制主体虽然具有信息处理的权利外观，但其违反目的限制原则的要求而进行的信息处理行为，就是过度处理。具有信息处理权利外观的信息控制主体，违反目的限制原则的要求而进行的信息处理行为。主要表现为违反目的处理与超越范围处理，个人信息过度处理行为虽然具有合法性基础，但其使得不同类型的信息主体负担超出正当性与必要性要求的容忍义务，逾越权利行使的社会性与正当性界限，构成权利滥用行为。

伴随个人信息保护规范体系的完善，侵犯公民个人信息行为愈发复杂多变，“合法获取、不当滥用”的侵害个人信息新形式也层出不穷，体现了我国现行法律对于过度处理行为的规制仍存在诸多不足。个人信息保护法作为我国个人信息保护的专门立法，不少条款包括目的限制原则条文均体现了对于信息使用自主权能的重视，但在具体适用中因其抽象性、概括性而减损其指导价值，也会导致信息处理者基于利益考量采用笼统语言钻解释的漏洞。网络安全法对于信息自主的认识过于片面，仅通过规范个人信息收集方式、对违法收集行为进行处罚等限制转移的手段予以保护。民法典对于合法获取、非法滥用的行为作出规定，要求使用个人信息“合法、正当、必要……不得过度处理”，由于缺乏相应的责任条款予以归责，法律规范的可操作性有限，难以发挥解决个人信息侵害问题的效用。我国现行刑法有关公民个人信息相关的犯罪，如侵犯公民个人信息罪、非法获取计算机信息系统数据罪等，都难以直接解决过度处理个人信息的情况。只有当过度处理行为作为某罪的前置或帮助行为时，如欲达到诈骗的目的而以过度处理公民个人信息为手段，才能够依据完成未遂形态理论、共犯理论等进行处理。相较于民法、行政法将过度处理行为作为一种独立的行为类型予以规定，现行刑法对个人信息保护的重点是非法获取、处理、泄露等转移型行为，仅惩罚转移型侵害行为，立法者对侵犯公民个人信息犯罪所保护的法益的理解过于片面，其将个人信息自主简单等同于个人信息的转移自主，个人信息的使用自主却缺乏直接保护。当下，个人信息使用自主权已经成为个人信息权利体系的核心，其重要性已经超越了个人信息的传输自主权。在信息利益的推动下，诸如第三方插件授权滥用和过于宽泛的格式化授权等问题已经浮出水面，进一步凸显了对于保护个人信息使用自主权的迫切需求。因此，在目的限制原则的指导下，有必要同等保护个人信息使用自主权，将法律规制的重点从非法获取个人信息的行为转向过度处理个人信息的行为。

基于以上分析，在目的限制原则的指导下，在刑事立法和司法层面，应当适度扩张侵犯公民个人信息罪的规制范围，合理分配个人信息处理的安全义务，与此同时，基于刑法谦抑性的理念，明确过度处理个人信息行为入罪的具体边界，将被害人同意作为违法阻却事由，实现个人信息使用权能的周延保护与刑法规制限度的适当把控。

（1）扩充侵犯公民个人信息罪的构成要件内容，将非法使用行为纳入本罪规制范围。从法益保护属性出发，个人信息使用自主是个人信息权益的一部分，应将其放入个人信息自主法益进行保护，避免割裂个人信息自主法益的完整性。此前不法评价重心在于信息的获取、转移，过度处理行为类型被规制后，则不应再限于非法转移行为，这也是法益保护统一性的要求。然而，如何在刑法范畴内对侵犯公民个人信息使用自主法益进行判断？本文认为，应当与目的限制原则对于敏感个人信息和一般个人信息的要求相结合，从而对个人信息使用自主法益的侵害进行分类判断。一方面，侵犯公民个人信息的重要前置法就是个人信息保护法，其将敏感个人信息的处理单独成节重点保护，划分出不同类型的个人信息，基于法秩序统一视角，应当分类判定。另一方面，考虑到本罪的立法目的是打击社会危害性高、严重侵犯公民个人信息的行为，而不同类型的个人信息与公民人身权和财产权之间的联系程度存在差异。因此，对于侵犯不同类型个人信息的行为，需要进行分类判定，以确保罪责和刑罚的一致性。具体而言，对于敏感个人信息，应当坚守目的限制原则，只有在特殊情况下才能允许额外的信息使用；而对于一般个人信息，可以允许适度的信息利用，但必须与初始目的有逻辑关联。通过目的限制原则的要求加以具体判断，倘若超出法律所允许的处理范围，且情节严重的，则视为其侵犯了公民个人信息权。（2）对过度处理行为的内涵进行具体限定。“过度处理”一词较为抽象，应当对其进行进一步限制，以符合法律的明确性标准和罪刑法定要求。基于侵害个人信息使用自主权的定位，过度处理应当界定为违反收集目的的非法使用。结合目的限制原则和刑法条文本身来看，侵犯公民个人信息罪中的行为方式具有一定的发生逻辑，获取、窃取等行为是第一阶段，属于收集阶段，而后过度处理行为与非法出售、非法提供行为属于二阶段，位于使用层面。“过度”的认定标准应当参照个人信息保护法确定。一般而言，行为人非法获取个人信息后，常伴随提供、滥用等行为，不能期待行为人对信息保护而不使用，甚至其直接目的就在于将信息二次转出，以谋取利益。此时行为人对同一信息的数次侵害行为无需重复评价。《侵犯个人信息刑案解释》第11条的规定也反映了此种立场，非法获取个人信息后又出售或提供的，信息条数不重复计算。对于非法获取后又过度处理的行为，可以根据期待可能性理论，比照侵犯公民个人信息罪第三款进行处罚。（3）设置过度处理行为入罪的罪量要素，区分过度处理个人信息的犯罪行为与非法使用的一般违法行为。刑法中，对于不同信息的利用行为，因个人信息属性不同而存在保护力度的差异。具体设定可以参考《侵犯个人信息刑案解释》的规定，结合目的限制原则对不同信息类型的要求，对过度处理行为中的“情节严重”进行类型化处理，同时关注过度处理行为的性质恶劣程度，作为解释“情节严重”的具体参考标准。以上，通过将非法使用行为纳入本罪规制范围，对过度处理行为的内涵进行具体限定，并设置过度处理行为入罪的罪量要素，对过度处理个人信息行为的入罪标准加以明确。

基于目的限制原则，个人信息收集和使用的基础和前提是信息主体知情同意，信息主体对处理行为表示真实且明示的同意后，便阻却了信息控制主体收集和处理行为的违法性，后续的风险和结果自然转移到其自身承担。然而，值得思考的是，在信息利用商业化过程中，收益主要由控制者和处理者所享有，相应风险也由此创设，但二者并非主要的风险承担者。相反，数据主体只要一经同意，后续使用风险及其现实化的后果都需自身负责。这样的归责方式不仅有失公平，也难以起到威慑与预防的效果，对数据使用缺乏必要的激励。在风险社会的当下，法律无法对社会风险进行根本控制，始终存在一部分无法消除的风险，此类风险的解决应当根据主体间能力的大小进行分配。此种风险分配归责理论，同样适用于个人信息的刑法保护。从风险合理分配角度考虑，应当逐渐形成风险属于谁的范围，就由谁管辖，从而建立“谁使用谁负责”的责任机制。在个人信息保护的重心从信息收集阶段转向使用阶段之时，还应当强化责任原则，由控制者与处理者作为主要责任主体，对相应风险及结果负责。此外，还应当注重强化信息使用者的义务，在信息使用环节遵守相应的注意规范与技术标准，因违背规则而引发的风险，理应由控制者与处理者来负责。

被害人同意理论是一种法益主体对于他人的侵害表示同意而自愿承担损害后果的出罪机制，目的是保障个人信息权中知情权和决定权的实现。在信息保护与利用场景中，信息主体若对处理行为表示同意，或能够推测其具有肯定意愿，则行为人不具有责难可能性。然而如何发挥目的限制原则的出罪功能，值得进一步探讨。本文认为，可以结合具体情况，在构成要件符合性和违法性阶层启动目的限制原则的实质出罪机制。一方面，目的限制原则本身首先应当作为侵犯公民个人信息罪中的规范构成要件要素，其作为空白罪状中的行为规范，对侵犯公民个人信息行为具有定型作用，属于刑法第253条“国家有关规定”的下位范畴，目的限制原则对信息处理者提出目的应符合明确、合理的要求，也赋予了信息主体对处理目的和方式进行自我决定的权能。即便信息主体同意会导致其他利益的损失，但这是基于其自身自由意志做出的利益衡量，不具有法益侵害性。因此，获得信息主体对处理目的同意后的处理行为，并不违反“国家有关规定”，此时构成要件并不充足，不符合侵犯公民个人信息罪的构成要件所表征的不法类型，因而在构成要件符合性层面不成立犯罪。另一方面，在目的限制原则与国家有关规定存在冲突的情况下，是否可以出罪、出罪机制置于何种阶层？本文认为，目的限制原则仍可以作为违法阻却事由，在法规、构成要件外发挥违法性判断的出罪功能。信息主体的同意与国家有关规定存在冲突，此时的处理行为已经符合犯罪构成要件要素，但基于对个人自决权的尊重，对目的的“同意”可以在违法性的实质判断中阻却违法，遵循着“积极推定不法-消极排除不法”的认定模式予以出罪。此外，在具备一定条件的情况下，即使欠缺信息主体的明示同意，也可以认为信息主体存在对处理其个人信息的拟制同意，即对信息采取弱同意理论，从而排除处理行为的违法性。比如在已公开个人信息的情形下，绝大多数处理皆未取得信息主体的明示同意，也不可能要求对于公开信息的处理逐个获取信息主体的明示同意，否则将严重阻碍对已公开个人信息的利用。如果侵害信息主体的重大利益或信息主体明确表示拒绝，则不能应用弱同意理论作为违法阻却事由进行出罪。综上，在信息主体明确同意按目的处理的情况下，目的限制原则可以在构成要件符合性和违法性阶层发挥出罪功能，即使欠缺信息主体的明确同意，在目的限制原则允许的限度内，推定拟制同意也可以构成信息主体同意，阻却过度处理行为的违法性。

结语

数字经济发展赋予了个人信息更多的价值，法律需要兼顾个人信息权益保护与价值利用的均衡。如何在个人信息保护法已有的收集、处理原则和规则的基础上，对以往过于严格的目的限制原则的适用机制进行优化，对于数字化转型发展来说至关重要。在目的限制原则的指导下，运用类型化思维和方法，处理敏感个人信息时“以严格遵守目的为原则，以额外允许为例外”，而对于一般个人信息，可以适度允许初始目的范围外的信息利用行为。在刑事法领域，一方面，将滥用个人信息行为纳入刑法规制范围，另一方面，明确过度处理个人信息行为入罪的边界，防止不当扩张犯罪圈。由此，则能够兼顾个人信息保护与利用的双重价值目标，实现个人信息处理中各方主体的利益平衡，促进我国数字化转型发展和刑事治理的现代化。