以少胜多——谈个人信息保护的数据最小化原则

首刊于律商视点（2020-08-06)

收集个人信息前必须取得个人的同意，已经成为企业普遍了解的常识和操作惯例。当用户首次在某个APP上登录或者首次浏览某网站时，通常界面上出现弹窗提示，告知个人信息将被收集或者网站使用Cookie保存访问信息，要求用户点击允许。但是，一旦取得了个人的同意，是否就意味着诸事大吉，企业责任履行完毕？其实不然。企业在收集个人信息以及此后的使用和保存信息等环节，仍需受若干法律要求的约束，特别是需要遵守数据最小化原则。

GDPR率先树立了数据最小化原则

关于数据最小化原则的直接表述，见于2018年5月25日生效实施，被称作个人信息保护全球立法标杆的欧盟《通用数据保护条例》（GDPR）。GDPR第5/1/c 条[1]要求个人信息应“充分、相关并且应限制于实现该个人数据处理目的所需的最小限度内”。结合GDPR开篇部分鉴于（whereas）条款第39点[2]以及英国个人信息保护机构 --信息专员办公署（the UK Information Commissioner’s Office, “ICO”）[3]的相关解释来加以理解，数据最小化原则要求企业在收集和使用个人信息时，以实现产品和服务的功能目的为基准，以此来判断为实现功能目的对应的数据需求的必要性，以及衡量在功能目的可获实现的前提下数据需求的最小范围可能。仔细琢磨，数据最小化原则认可数字化产品和服务对于数据的依赖，但强调有准确的目的性，以及数据收集和使用的适度化 。当然，把握“适度”绝非易事。GDPR 的前身即《个人信息保护指令》（95/46/EC）第6/1/c 条[4]曾要求个人信息应” 充分、相关并且应不过度地实现数据收集和后续处理的目的”。相互对照，旧法采用正话反说的措辞即“不过度”（not excessive）, 而GDPR则改措辞为“限制于最小限度”（limited to），并直截了当地将该条概括为数据最小化原则，立法主张更加直白明晰。

过度收集的由起：互联互通的信息网络与作祟的商业贪婪心

在现实生活中，互联网线上和线下个人信息遭过度收集的现象屡见不鲜。今年1月，工信部公布了侵害用户权益的APP的黑名单[5]，其中大多数涉及过度采集个人信息。另有例证报道，有的企业将索要个人信息权限与提供服务相捆绑，个人若不提供位置信息就无法使用APP；或是酒店预订APP每隔一秒就上传一次用户的精确定位信息[6]，等等。

过度收集个人信息何以大行其道？除了监管整治缺位之外，对信息收集者即企业加以分析，笔者认为有主客观两方面的原因造成：客观上来看，继互联网普及之后，物联网蓬勃兴起令信息传感设备（如射频识别（RFID）、红外感应器、全球定位系统等）被广泛使用，使得个人信息持续不断地大量产生，随之而来的是信息的收集成本和技术门槛大幅降低。而主观上来看，个人信息被过度收集，归因于部分企业的商业贪婪心在作祟。一方面，“大数据”概念受到一些企业的盲目追捧，被认为数据越多越好，可以用来进行精准营销等商业利用，即便某些数据暂时用不上，也先收集占有以备日后之需；另一方面，这些贪婪的企业往往对于个人信息权利主体的认识薄弱，混沌不分用户个人信息与企业信息财产之间的界限。

必须明确的是，尽管企业收集取得了用户个人信息，其法律关系乃个人同意向企业披露其个人信息并允许企业使用，个人作为信息产生者仍然保有信息主体的法律身份，并享有对于信息的支配权。按照我国《民法典》的规定，若企业违法处理个人信息的，个人有权撤回其同意的意思表示，并有权要求企业删除信息[7]。大数据是商界的热词，但是个人信息不属于大数据，从法律上讲，个人信息有着鲜明的个人特征，与大数据不相交融。只有当个人信息彻底去除了个人标识且该去除不可逆，即经过匿名化 （deidentification）处理后，个人信息才发生性质变化而与个人权利主体脱离，进入大数据的范畴，继而成为企业信息财产。

我国有关数据最小化的法律规范

时下我国有关个人信息保护单行立法的工作仍在进行之中。令人欣慰的是，我国新颁布的《民法典》为个人信息保护保有了重要的一席之地，显示出民事立法与时俱进的鲜明特征。《民法典》第1035条规定，处理个人信息 “应当遵循合法、正当、必要原则，不得过度处理”，该法条的后款进一步设定处理信息需满足的程序要求，如征得同意、公开规则等。相对于数据最小化原则及其中的“充分、相关、限度”三要素，《民法典》所要求的”合法、正当、必要“原则是更上位的法治概念，且呼应《消费者权益保护法》的既有相同表述[8]。有意思的是，法律地位显赫的《民法典》在确立信息处理的核心原则之后，紧接着直指“过度处理”流弊，明确要求不得过度处理信息，颇显露出最高立法机构接地气的一面，也折射出信息过度收集已成困扰大众的公害。

《民法典》重申个人信息处理应“合法、正当、必要”，同时又直击过度处理，可以预见《个人信息保护法》将纵深阐释，而建立数据最小化原则或规则，恰可以成为落地的良好阶梯。事实上，有着“中国GDPR”之称的《信息安全技术 个人信息安全规范》（GB/T 35273）（“《规范》”）已经对数据最小化做出了具体细致的梳理。但《规范》的硬伤在于其不具有法律约束效力：《规范》是推荐性的国家标准，由企业和机构自主选择执行，不具备强制法律效力。尽管如此，《规范》至少有两方面的价值：其一，可以在《个人信息保护法》立法进程中被参考和吸收；其二，更可以作为企业在个人信息保护领域开展良好实践的对标。

《规范》的出台时间紧随GDPR颁布之后，内容条款之间闪耀着GDPR的精神与逻辑。《规范》以“最少够用”作为中国特色的数据最小化原则的措辞。“最少够用”被列为个人信息安全的七项原则之一，要求企业处理的个人信息应满足与个人约定目的之最少信息类型和数量，并且在目的完成后即予删除。

值得称道的是，《规范》对于数据最小化原则做了进一步的细化，且对信息收集、保存和授权访问等环节予以“最小化“规范，凸显操作性：

首先，个人信息收集阶段的最小化。《规范》具体指出收集的信息应与实现产品功能或服务的功能直接关联，换言之，缺了个人信息支持，是否就会导致产品不工作或者服务瘫痪？《规范》进一步指出自动采集信息的，其收集频率应该是支持产品和服务功能所需的最低频率。如前文提到的酒店预订APP逐秒上传用户定位信息，APP经营企业得被拷问如此过密采集频率，目的为何？

其次，个人信息保存期间的最小化。《规范》要求信息保存期间是实现目的需要的最短期间；目的一旦完成，控制数据的企业就应当做出选择：或者删除信息，或者将信息匿名化，即去除个人标识，从而转性为企业信息财产。

再次，个人信息访问的最小化。《规范》要求企业建立最小授权制度，即授权最少的操作人员接触最少必需的信息数量。这项接触和访问限制，类似于企业的商业秘密保护制度：仅允许有限员工为业务所需接触企业的相关商业秘密 (on a need-to-know basis)。

纵观《规范》对于数据最小化原则的阐释，企业不仅要在信息收集阶段遵循最小化，也要在信息保存阶段信守最小化。这也是为什么说GDPR和《规范》指向的是“处理”个人信息：个人信息处理（processing） 是个宽泛的法律行为概念，不仅指信息的收集，还包括存储、使用、加工、传输、提供、公开等行为[9]。

进一步而言，虽然《规范》有关于数据最小化的详尽要求，但现实的商业活动和社会生活中个人信息被任意收集和使用的乱象却比比皆是，亟需多管齐下加以治理。笔者认为，不仅要将《规范》中提到的数据最小化原则升格成为具有严格约束力的法律层面的要求，更要配备严格和严肃执法对企业行为切实产生威慑，此外也需要企业在数据收集和使用过程中端正关于个人信息保护的态度，恪守“数据节制”[10]。

以少胜多——数据最小化的更广义价值

出色的企业法务不仅要熟悉掌握法律法规，也要擅长换位思考，从业务伙伴的角度去看待和分析问题，进而有效交流，以促使法律意见被心悦诚服地接受。当下，数据已经被美誉为数字经济发展的“石油”，但是除了存在最小化原则的合规约束之外，信息数据果真是越多越好吗？并非如此。大数据时代带来更严峻的网络安全挑战，在互联互通状态下，一旦单点安全漏洞被击破，整个网络系统及信息数据都面临泄露的风险。在企业日常运营中，保持良好数据操作习惯，做到最小化收集和保存个人信息以及及时删除信息，有助于减少万一发生信息泄露事件将招致的后果和损失。进一步而言，数据处于最小化状态，可以方便企业更高效地管理数据；长期来看，若有消费者或者用户个人依法行权要求访问、更正或者移转其信息，最小化状态的数据集能够使企业较快捷地答复需求。所以说，以少能够胜多（less is more）。从法务工作技巧来看，相比于简单陈述法条式地提出法务意见，尝试从法律和商业的视角来多维度地分析和解释数据最小化的合规需要以及运营层面的价值，后者会提升法务意见的立体感与丰满度，沟通贴合度更高，也更容易争取业务部门对法务意见的接受和采纳。

结语

培育个人信息“数据最小化”的合规良好操作，好比是提升肌体的免疫力。晴好寻常的日子里，也许不会去留意个体免疫力的差别，然而一旦病毒开始肆虐，免疫力就是抵抗病毒入侵肌体的战士，高下立判。同理，倘若安全事件不幸发生，企业平素秉持的数据最小化等良好习惯，可以构成防范和抵抗数据泄露后果的一道防线。反之，若平日里漠视用户权利、恣意过度收集和泛滥保存信息，实际上也是在自损免疫力，倘遭网络病毒攻击，难保一败涂地。网络化和电子化的个人信息收集，进行于虚拟无形之中，更需要企业在日常运营中合规自律，做好数据节制，不负数据主体的信任。

[1] General Data Protection Regulation. 第5/1/c条原文：”adequate, relevant and limited to what is necessary in relation to the purpose for which they are processed (data minimization)”.

[2] GDPR, Whereas (39) 原文相关内容：“… The personal data should be adequate, relevant and limited to what is necessary for the purpose for which they are processed. This requires, in particular, ensuring that the period for which the personal data are stored is limited to a strict minimum. Personal data should be processed only if the purpose for the processing could not reasonably be fulfilled by other means. In order to ensure that the personal data are not kept longer than necessary, time limits should be established by the controller for erasure or for a periodic review. …”

[3] ICO website. Principle (c): data minimisation.

[4] Directive 95/46/EC of The European Parliament and of The Council of 24 October 1995, on the protection of individuals with regard to the processing of personal data and on the free movement of such data. 第6/1/c 条原文: “adequate, relevant and not excessive in relation to the purposes for which they are collected and/or further processed”. 95/46/EC 自2018年5月25日被废止，即被GDPR取代。

[5] 工信部通报第二批侵害用户权益行为APP 15款产品在列  2020-01-09

[6] 例证描述出处：《网络安全标准实践指南—移动互联网应用程序（App）个人信息安全防范指引 》（征求意见稿v1.0-202003）全国信息安全标准化技术委员会秘书处2020年3月发布公开征求意见。www.tc260.org.cn/

[7] 《中华人民共和国民法典》（自2021年1月1日起施行）第1037条。

[8] 《中华人民共和国消费者权益保护法》（2013修正）第29条。

[9] 《中华人民共和国民法典》（自2021年1月1日起施行）第1035条。

[10] 2020年7月，全国信息安全标准化技术委员会发布《APP处理个人信息地自评估指南》（“《指南》”），列示评估要点之一是“遵循必要原则，仅收集与其提供地服务相关地个人信息”。但是《指南》没有进一步要求符合“最小化”收集，也缺少关于收集之外的其它信息处理步骤的最小化保存和接触的要求。