數據處理目的改變之法律挑戰與對策

楊爍 王玉寶

摘 要：目的限制原則要求信息處理者對數據進一步處理不得與初始目的不兼容，大數據和人工智能的發展對該原則發起了挑戰。大數據分析使用不同的算法分析數據，人工智能通過對所持有的數據進行訓練，要求重新使用數據創造新的價值。改變數據處理目的，須在信息主體的基本權利保護、風險控制與促進創新之間構建一個新的平衡。為了給數據的進一步處理提供一定的靈活性，通過場景一致性構建兼容使用理論;為科學研究、統計目的使用數據推定具有兼容性，從而釋放大數據分析的價值，并提高法律的可預測性。更進一步，通過代碼塑造數據處理目的改變再次利用數據的行為規范。數據的設計和默認保護理念認為代碼架構可以通過數據處理場景，將目的限制原則內置到信息系統當中，通過組織和技術保障措施確保數據重新使用具有兼容性與合法性，并保障數據安全。

關鍵詞：目的限制原則;兼容性;目的改變;數據設計和默認保護

[中圖分類號] D901 [文章編號] 1673-0186（2024）002-0116-016

[文獻標識碼] A? ? ? [DOI編碼] 10.19631/j.cnki.css.2024.002.009

目的限制原則是各國數據保護法的基礎性原則，要求進一步處理個人信息不得與初始目的不兼容①。數據具有成本，但是也遵循報酬遞增規律[1]。頻繁使用數據，可以使得成本遞減，利潤增加。數據作為非競爭性資源，具有再利用數據的規模經濟和范圍經濟效益。但是，目的限制原則與大數據分析的價值可能背向而行。大數據分析的價值往往在于收集數據后再去尋找具體目的，并且大數據分析很有可能以最初收集數據尚未預想的方式來分析數據[2]。有觀點認為允許在沒有預先確定目的之場景下處理數據，是創新快速發展的必要條件，主張為了發揮大數據的潛力，應該以空前未有的規模收集數據，并允許為不同的目的重復使用[3]。有批評聲音甚至指出歐盟《一般數據保護條例》（General Data Protection Regulation， GDPR）（以下簡稱“GDPR”）已經與大數據不兼容[4]。大數據分析與目的限制原則存在矛盾，為了遵守該原則，信息處理者應當告知個人他們進一步處理個人信息的方式，并密切關注該處理形式，以保證后續處理處于兼容性范圍，從而認為執行這些任務是昂貴的、困難的，甚至是不可能[4]1006。相反，有學者通過計算機科學及交叉學科研究的視角駁斥了以上觀點。他提出數據最小化和目的限制原則可以在數據驅動的環境中，特別是算法分析、個性化和決策系統有意義地實施。這兩項法律原則在管理個人數據處理風險方面繼續發揮重要作用，它們甚至可能通過減少數據中的噪音來提高人工智能系統的穩健性[5]。為了保護數據主體，目的限制原則是要求信息處理者采取相關保障措施，當然也為信息處理者的行為賦予一定的靈活性[6]3。目的限制原則長期以來被認為是數據保護的基石，也是大多數其他基本要求的先決條件[7]。該原則要求信息處理目的必須特定、明確、合法，這意味著信息處理者不能以創新為名，對信息主體的權利、自由和利益造成不相稱的干擾。

因此，GDPR仍然堅持目的限制原則，我國法律也規定了目的限制原則。GDPR第二章原則第五條個人數據處理原則規定，個人數據應為特定、明確、合法的目的被收集，并且個人數據的進一步處理不得與該目的不兼容①?！吨腥A人民共和國個人信息保護法》第一章第六條規定了目的限制原則，處理個人信息應當控制在收集個人信息之初始目的直接相關的范圍內，在沒有合法基礎的情形下，擅自改變目的，則違背目的限制原則。

數據處理目的改變之理論構建，在數據經濟發展和個人基本權利保護的緊張關系中起著舉足輕重的作用。嚴格遵守目的限制原則，可能會限制某些提高經濟效率的數據使用，阻礙技術進步;過度使用數據，可能會給個人基本權利、隱私等造成侵害。我國學術界在這方面的研究，處于初步階段，主要著眼于三個方面：一是對目的限制原則含義進行一般解釋[8]，或者進行價值補充[9]，或者對其中一方面的探討，如對“目的特定”的理解[10]，強調目的改變須再次征求信息主體同意[11];二是針對特殊場景目的限制原則的應用研究，如刑事偵查場景中目的限制原則的適用[12]，偵查需要目的與隱私權保護[13]，科學研究場景中目的限制原則的突破[14]。三是對數據處理目的改變的理論研究，有觀點主張進一步處理數據，特殊情況下允許超越初始目的，但不能超越個人預期[15]。但是，對數據處理目的改變的邏輯結構與理論基礎尚無深入的探討，思考數據處理目的改變之路徑選擇及理論生成，正是本文研究之目的所在。

一、數據處理目的改變之路徑選擇

對數據進一步處理重新使用，是數據價值實現的關鍵環節，但是改變目的處理個人數據可能侵害個人基本權利。因此在保護基本權利與數據再使用之間如何進行平衡，則遇到了理論難題和實踐矛盾。

（一）數據處理目的改變與基本權利保護

數據處理目的改變之歷史沿革與基本權利保護密切關聯。1950年通過的《歐洲人權公約》（ECHR）第八條規定了從有權享有使自己的私人和家庭生活、家庭和通信得到尊重的權利①。該條包括了隱私保護，在存在“干涉隱私”的情形，須有法律根據和明確合法目的，作為評估干涉必要性的前提條件。歐洲委員會發布的《關于個人數據自動化處理的個人保護公約》（下稱“108號公約”）引入了保護個人數據的概念[6]7。第108號公約第5條確立了數據保護法的基本原則，包括合法原則、公平原則和相稱性原則，也規定了目的說明和目的必須合法的要求。同時，還引入了不兼容的概念，不能以與特定目的“不兼容”的方式使用數據②。1980年通過的《經合組織指南》進一步規范了兼容使用的概念。該指南允許將數據“后續使用”用于不同的目的，只要這些目的與最初的目的不相矛盾，并且在每次目的改變時都進行具體說明。該指南提到了兼容使用要求的兩種例外情況：“經數據主體同意”或“經法律的權威”[16]?！兜?5/46/EC號保護個人在數據處理和自動移動中權利指令》引入了為歷史、統計或科學目的進一步處理數據的規定;只要成員國確保有適當的保障措施，這些都不被認為是不兼容的[6]9-10。

理論上，目的限制原則的堅持，是保護個人基本權利和自由的要求。確保信息處理者尊重目的限制原則，是信息自決權尊重個人合理期待的必然結果。目的限制原則可以增強信息主體對個人信息的控制，促進社會公眾對數據環境的信任，創造和諧的網絡空間。相對應的是，目的限制原則在一定程度上削弱了信息處理者對數據市場的控制地位，從而允許新的競爭者進入市場，促進有序競爭，培養合法安全的創新土壤。

（二）數據處理目的改變之路徑構建

在收集個人信息的初始目的范圍內處理個人信息，是一種理想的追求。隨著技術的進步，需要在新的目的范圍內重新使用數據。如何在保護個人基本權利、促進創新、加強風險控制上達到一個合理的平衡，這給法律理論和實踐提出了新的挑戰。理論上，個人信息處理目的改變有以下五種可能路徑：一是基于信息主體同意或者國家機關履行法定職責或者法定義務所必需等合法性基礎③?；谛畔⒅黧w同意進行數據重新利用，當然具有合法性基礎，但是又面臨一個重要的問題，即同意的有效性問題。國家機關處理個人信息須遵循法定義務，涉及公共利益與私人利益的協調，其范圍與限度須謹慎④。二是個人信息匿名化。已經匿名化處理的信息，不再是個人信息保護法的調整范圍，改變目的對數據重新利用，自然沒有障礙⑤。此時，個人信息處理者可以改變目的，自由分析數據，但是大數據分析方法已經可以重新識別以前被匿名的個人數據，使得該數據又進入了個人信息保護法的調整范圍。匿名化的信息仍然有可能給信息主體帶來剩余風險，匿名化不應該被視為一次性的工作，信息處理者應該定期重新評估相關的風險[17]4。而且，匿名化的信息，大大降低了數據的商業利用價值。三是為一個較為寬泛的目的收集個人信息，該目的涵蓋了將來所需要使用的情形。根據GDPR，一個籠統模糊的目的，如“改善用戶”“營銷目的”“安全目的”等，并不符合“目的具體”的要求[6]16。第29條數據保護工作組認為“目的明確的最終目標是確保目的的具體化，而不會對其含義或意圖含糊不清或模棱兩可”[6]17。我國個人信息保護法規定了“目的明確”，就是已經承認了目的必須具體或者特定。由此可見，一個寬泛的目的，不符合目的限制原則的要求。四是構建兼容性使用的路徑，須通過兼容性測試①。數據處理目的改變，如果符合兼容性的要求，則并不違反目的限制原則，為數據的進一步處理開辟了一條可行通道，這也是歐盟數據保護法發展史上在個人基本權利保護和數據有效利用方面的一個重要平衡。五是符合公共利益存檔目的、科學研究、歷史研究或者統計等目的，但應當采取適當保障措施②?！吨腥A人民共和國個人信息保護法》第八章第七十二條明確了各級人民政府及其有關部門組織實施的統計、檔案管理活動的處理行為，須依照法律規定，屬于法律保留事項。但是對于其他科學研究目的進一步處理行為，沒有規定。如何構建為研究目的進一步使用個人信息的理論體系，亟待深入梳理。

后兩種路徑，對大數據分析具有重大意義。對于個人信息處理目的改變的理論構建，本文從兼容使用開始推進，論證為科學研究目的進一步處理個人信息的推定兼容性規則，并在此基礎上探究數據設計和默認保護的優勢及理論進路，層層遞進，構建數據處理目的改變有效利用數據的理論圖景。

二、兼容使用語境下之目的改變

數據進一步使用之目的與初始目的如果存在兼容性或者直接相關性，則表明兩個目的之間并不存在著沖突，且并未超越數據主體的可能預期。兼容使用的理論基礎須通過分析數據處理場景與平衡主體利益進行構建。

（一）殊途同歸：兼容使用與直接相關

人們越來越認識到，在不同情況下產生的數據具有長期的和多方面的重要效用，遠遠超出了最初收集這些數據的用途。改變目的進一步處理數據，在信息主體和信息處理者之間作出一個適當的平衡，自然成為一個迫切需要研究的課題。我國法律規定處理個人信息需與初始目的“直接相關”，采取“直接相關”的表述。通過文義解釋，直接相關并不要求后續處理目的與初始目的完全相同。如果后續處理目的和初始目的不同，需考慮有無直接相關性。個人信息的處理目的、處理方式和處理的個人信息種類發生變更的，應當重新取得個人同意③。處理目的變更，實質上產生新的處理行為[18]。如果新的處理目的與初始目的不同，但是直接相關，不能認為改變了數據處理目的。因此，該條規定的“變更”，從體系解釋出發，應當是進一步處理個人信息與初始目的沒有“直接相關”。GDPR第二章第五條要求不得采取與數據收集目的不兼容（incompatible）的方式進一步處理數據。與數據收集目的不兼容并不等同于與初始目的不同（different），GDPR并未禁止通過不同目的進一步處理數據，僅僅是禁止與初始目的不兼容的目的來進一步處理數據[19]79。如果數據后續處理目的改變，但是和初始目的兼容，并未違反GDPR的規定;當然如果數據后續處理目的改變，與初始目的不兼容，則必須重新取得數據主體的同意或者具有其他處理數據的合法性基礎?？梢?，我國法律關于個人信息進一步處理的規定與GDPR的規定有著殊途同歸的效果。

兼容性或者直接相關的判斷，應當確保在每一個場景下對所有利益相關者的權利、自由進行平衡;一方面要保護個人信息主體的權利，另一方面也要照顧信息處理者的利益。從我國個人信息保護法和GDPR的規定進行考察，數據會更頻繁地被重新用于新的目的，為了應對大數據分析的各種要求，給予個人信息處理一定的靈活性，法律為此提供了一些路徑，兼容使用便是其中之一。關于兼容使用或者直接相關使用的理論生成，需通過評估方式、考量因素及場景一致性進行構建。

（二）利益平衡：兼容使用的評估方式和考量因素

首先，兼容性的評估方式體現利益平衡。兼容性評估一般有兩種形式：一是形式性評估。比較最初由信息處理者提供的目的，與任何進一步處理的用途，找出后續的用途是否被涵蓋。高度相似的目的與初始目的有清晰的重疊更有可能被認定具有兼容性。不相關的、模糊的或開放式的新目的不太可能兼容。二是實質性評估。超越信息處理者的正式文件，以確定初始目的和進一步處理的目的，考慮到它們被理解的方式，結合處理信息背景和其他因素進行綜合評估認定[6]21-22。第一種評估方式過于機械，通過信息處理者提供的隱私政策等正式文件確定初始目的和后續目的的關系，信息處理者享有過于寬泛的操作空間，忽略了信息主體基本權利的保護。實踐中，信息處理者會著眼于隱私政策等文件的各種處理信息策略的運用，以確保進一步處理信息的可能性。如在醫療機構收集醫療信息場景，醫療機構告知患者收集健康信息是用于治療疾病、公共衛生和醫學研究。如果醫療機構后續用于公共衛生和醫療研究，形式上屬于初始目的。但是關于公共衛生和醫學研究的目的，在醫療場景實質上是不必要的，不是專門為這些目的收集信息。因此后續進行公共衛生和醫學研究的個人信息處理，仍然屬于進一步處理，需進行兼容性評估。第二種評估方法著眼于實質，有助于經濟社會發展及信息處理者和信息主體之間的利益平衡。

其次，兼容性評估的考量因素。我國《信息安全技術? 網絡數據處理安全要求（GB/T 41479—2022）》的表述“不應收集與其提供的服務無直接或無合理關聯”，將直接相關和“合理關聯”類似理解，從“關聯性”入手，但是“合理關聯”也具有較大不確定性。評估收集個人信息的初始目的和進一步處理的目的之間的兼容性，GDPR規定了必要的考量因素①。一是需考量進一步處理個人信息與收集目的之關聯。根據我國法律規定，前后兩個目的之間的聯系應該是“直接相關”，如果有介入因素，一般認為不是直接相關。如客戶與在線商家簽訂的每日將鮮牛奶送貨上門的合同，商家收集客戶的地址、電話、銀行賬戶等信息，目的就是送貨。后續送貨處理這些個人信息，屬于“直接相關”，具有兼容性。當然，此處也符合履行合同所必需②。如果后續處理行為是為了推銷其他產品或者提供給其他信息處理者，甚至對信息主體的計算機設備進行識別，如蘋果操作系統的電腦或者Windows操作系統的電腦，從而進行價格歧視，則難以認為是直接相關，不符合兼容性標準。二是個人信息處理的場景。某一場景收集信息，可能是基于一種特殊場景目的收集個人信息，如果信息處理者將該個人信息應用于不相關的場景，不具有直接相關性，其目的當然不具有兼容性。信息處理者通過在線購物場景收集個人信息，進行特征分析，利用秘密算法預測信息主體的生理狀況，如是否懷孕、是否生病等，從而推送相關商品，超越了信息主體的期待可能性，很難認為符合兼容性或者直接相關性。三是個人信息的性質。我國個人信息保護法將個人信息主要分為一般個人信息和敏感個人信息③。敏感個人信息的后續處理和一般個人信息的后續處理，其考量因素應該有所區別。再者，處理個人信息與刑事犯罪相關聯的，應當在官方機構的控制之下或者是在相關法律規定的條件下進行④?？梢?，敏感個人信息后續處理的兼容性范圍相對于一般個人信息則更狹窄。四是進一步處理信息的行為對信息主體造成的后果及影響。個人信息中承載著自然人的基本權利、自由、隱私等價值，后續處理行為是否造成個人人格尊嚴、財產權利的損害，是否造成情感上的焦慮、痛苦，都應該考慮在內。進一步處理的影響越是負面或不確定，遠遠超出了信息主體期待的預期，就越難以被認定具有兼容性。五是適當的保障措施。信息處理者在后續處理中是否進行了恰當的保障措施。個人信息后續處理可能需要采取技術措施，以確保功能分離[6]26-27。適當的保障措施，屬于兼容性評估的考量因素，但并不當然認為采取必要的措施，就可以進行進一步處理。

上述因素，應當結合具體案件綜合評估。借鑒第29條數據保護工作組提供的一個案例，進行分析[6]60-61。一個市場領先的社交網絡和照片分享網站，允許用戶上傳照片供自己使用并選擇特定朋友分享。該網站的隱私政策保證這些照片只與“你想要的人，在你想要的時候”分享。兩年后，該網站改變其隱私政策，通過電子郵件通知客戶，新的隱私政策即將生效，除非用戶在30天內刪除照片，否則將被視為同意授權該網站為任何目的使用所上傳的照片，包括但不限于推廣該網站?？蛻舯仨毥邮苄碌碾[私政策，否則不能繼續瀏覽該網站。本案涉及同意的有效性及合法性等問題，但本文主要分析其兼容性。首先，網站收集照片等信息的初始目的是“允許用戶向特定人在特定時間分享照片”，進一步處理目的是“任何目的使用”并不直接相關，而且完全超出了初始使用的場景和用戶的可能預期的范圍。照片信息如果涉及隱私等敏感個人信息，則后續處理對用戶影響巨大，即使采取了必要措施也不能認定構成兼容使用。

（三）場景一致：兼容使用的理論生成

海倫·尼森鮑姆（Helen Nissenbaum）教授認為，隱私權并非一種保持私密的權利，也不是信息控制權，而是一種確保個人信息以合理方式流動的權利[20]117?；谠撜J知，其構建了場景一致性框架。場景一致性的基本構成要素是：社會規范和場景相關的信息規范。場景相關的信息規范包括四大要素：場景、行為主體、屬性（信息類型）、傳輸原則。違反這些規范時，場景一致性受到侵犯，也就是對隱私的侵犯[20]117-144。個人信息大量涉及個人隱私，處理個人信息改變目的兼容使用的評估，需重點評估個人信息收集與后續處理的場景，不同場景的價值和目的張力，對是否構成兼容使用有著重要的意義。

社會規范要素是人們認為應該做的事情，社會認可或者不認可的事情，是一種社會強制性規范，并非可做可不做的描述性規范。場景要素是信息規范的背景，適用條件。信息規范要素涉及三大行為主體：信息發送者、信息接收者和信息主體。信息屬性（信息類型、性質）要素決定某些場景中是否恰當，如醫療場景中醫生詢問患者身體健康狀況屬于適當，工作場景中老板作相同的事情則不合適。傳輸原則要素是對某個場景中信息從一方傳輸給另一方的約束。傳輸可能需要主體知道（告知），或者需要主體允許（同意），或者兩者均要求（告知—同意）[20]127-135。例如在金融場景中，有關金融交易（信息類型）中產生的客戶（信息主體）的所有信息，均傳輸給相關金融公司的代理人（接收者和發送者）或者第三方（接收者），受相關規則（信息規范）規定的關于保密、通知、同意等傳輸原則的約束[20]139-140。通過這種場景一致性框架，對信息流動進行結構化分析，構建目的改變的兼容性判斷標準。

上文兼容性評估的因素，與場景一致性理論的信息規范要素不謀而合，運用場景一致性理論構建兼容使用的評估，順理成章。再者，場景一致性框架在進行評估分析時，需考慮受有關實踐影響的道德和政治因素，如對自主和自由的危害，對正義、公平、平等等價值的影響。還需詢問實踐案件如何直接影響場景的價值、目標和導向，使得該理論有著邏輯張力和蓬勃生命力。

三、推定兼容性場合下之目的改變

實踐中，為科學研究和統計目的進一步處理數據，具有重大的經濟和社會價值，且有一定的公益性質。在這種場景下，兼容使用理論應當作出一定的回應。

（一）為科學研究和統計目的進一步處理

為了回應大數據分析對目的限制原則的挑戰，GDPR規定在科學研究和統計目的場景下改變數據處理目的可以得到豁免。醫學和健康研究越來越依賴于處理和鏈接大量與遺傳和健康相關的數據，隱私保護所需的傳統、高度具體的同意書和匿名化可能不適合數據密集型的縱向人群研究[21]。因此，對科學研究進一步處理數據應該有法律和技術應對。我國法律也對統計、檔案管理活動設置了例外規則①。統計法、社會保險法、檔案法等，對各級政府機構實施統計、檔案管理的規則有所規定，信息主體應當提供相關信息，并非基于同意規則②。但是對于科學研究、非政府機關的統計等目的處理個人信息的行為，并無特別規則。從解釋論出發，如果收集個人信息后，改變目的進行科學研究、統計，則仍須符合直接相關或者兼容性標準。實踐中，進行兼容性評估具有較大的不確定性，從而導致信息處理者對科學研究、統計等行為產生各種焦慮心態，甚至不敢進一步處理，影響積極性。

在歐盟，為科學研究和統計目的（即為實現公共利益存檔目的、科學研究或歷史研究目的、統計目的）進一步處理個人信息，不視為與最初目的不兼容③。根據GDPR的規定，收集個人信息后進行科學研究和統計目的使用，采取了適當的保護措施，則推定具有兼容性，豁免兼容性評估。該規定有助于提高法律的可預測性和確定性。

GDPR對科學研究和統計的概念沒有明確規定，但是序言中進行了一定程度的描述?？茖W研究目的所進行的個人數據處理，包括基礎和應用研究、在公共衛生領域為公共利益而進行的研究等④。歷史研究目的，包括為了宗譜目的進行的研究⑤。統計目的是指統計調查或生成統計結果所需的所有個人信息收集和處理操作。統計的結果屬于匯總信息，不得用于對個人的決策⑥。統計目的在解釋上比較寬泛，既包括科學研究目的統計，也包括商業目的統計。信息處理者可以使用數據庫進行統計分析，研究消費者購買行為的消費偏好或者決策，無須信息主體同意。再者，信息處理者可以將此類數據庫提供給另一信息處理者進行統計，但必須采取適當的保護措施[19]80。為科學研究和統計目的進一步處理個人信息，之所以豁免兼容性評估，其原因具有多樣性。首先科學研究和統計目的有一定的公益性質，為了促進技術創新;其次，統計目的也可能為商業目的，對商業活動尤其重要，信息處理者使用消費者數據庫進行統計分析，研究消費者的購買偏好或者決策，不需要信息主體同意;再次，統計分析并不需要識別組員，信息處理者應當采取數據的假名化等措施[19]80。

（二）推定兼容性使用的保障措施

科學研究和統計目的豁免兼容性評估的一個基本前提是，須為信息主體的權利和自由采取必要的保障措施。這些保障措施的理論主線主要包括信息最小化原則、匿名化或者假名化機制。

第一，信息最小化原則。信息最小化是目的限制的必然邏輯結果，信息最小化自然應該是相對于目的而設計。信息最小化原則禁止過度處理個人數據，在最小范圍內進行數據處理，以實現數據處理目的①。一般認為大數據分析，信息處理者盡可能地收集更多的信息，從而發現信息的更多無從預期的價值。研究表明，在許多數據驅動的環境中，使用越來越大的數據量會導致收益遞減，一些算法技術事實上就是將數據最小化，實際上減少了一個模型使用的數據量，表明在某些情況下，數據限制可能會導致模型的改進[5]。這些研究支持了信息最小化原則在大數據分析中仍然行之有效，甚至有助于提高分析的效率和準確性。信息最小化也是一種風險管理措施，因為處理過量的信息會導致不必要的風險。為科學研究和統計目的，自然應當遵守信息最小化原則，采取對個人權益影響最小的方式。

第二，匿名化或者假名化機制。為科學研究和統計目的進一步處理所須采取的保障措施，如果通過匿名化或者假名化機制能夠實現，則應當采取相關措施。匿名化信息仍可能對信息主體造成潛在風險，信息處理者有責任定期重新評估相關風險。這種重新評估應當考慮技術、法律和實際情況的變化，以確保匿名化信息的安全性和隱私保護。信息處理者應采取必要措施，包括但不限于技術審查、風險評估和隱私影響評估，以及在必要時更新匿名化策略和措施，以應對新的風險和威脅。假名化包括在記錄中用一個屬性替換另一個屬性，自然人仍有可能被間接識別。假名化減少了信息與信息主體的原始身份的聯系，也是一種有用的安全措施[17]20-21。

（三）權利克減

根據《中華人民共和國個人信息保護法》的規定，個人在個人信息處理活動中享有知情權、決定權;查閱、復制權;可攜帶權;更正、補充權;刪除權;解釋說明權等等。遵守信息主體的這些權利規則，自然是對大數據、人工智能方面的研究活動進行了一定程度的限制。GDPR在平衡信息主體和信息處理者之間的利益情況下，允許為科學研究和統計目的進一步處理個人信息，可以再次利用個人信息，而且信息主體的個別權利還受到相應的減少。GDPR對信息主體權利的克減，目的是使歐盟對研究和創新的投資更具吸引力。

GDPR規定，當為科學或歷史研究目的、統計目的進行個人數據處理時，個人信息主體的權利可能對特定目的之實現產生嚴重的損害，歐盟或成員國法律可以針對訪問權、更正權、限制處理權、拒絕權等權利設定克減條款②。當然，作為信息主體權利克減的補償，信息處理者必須對信息主體的權利和自由作出有力的保障措施，以確保信息的安全及尊重信息主體的合理期待，否則，為統計或研究目的重新使用數據將不能被視為具有合法性基礎。

（四）兼容使用的合法性基礎

個人信息處理目的改變，即使通過兼容性測試，也不足以確定合法性，仍須符合處理個人信息的合法性基礎。即使是為了科學研究和統計目的進一步處理個人信息，豁免兼容性評估，也仍須確保合法性。目的限制原則和個人信息處理的合法性基礎是兩個獨立的和累積的要求[6]39。因此GDPR序言第50條表明信息處理者應在“滿足了原始處理的合法性的所有要求”之后，對進一步處理進行正式的兼容性測試①。確定進一步處理的兼容性是允許進一步處理的一個必要條件，但不是一個充分條件。即使進一步處理符合兼容性的標準，但是如果出現其他限制因素，該處理行為仍然不能被允許[22]。

因此，經過兼容性評估，或者是為了科學研究和統計目的，進一步處理個人信息，需要尋找其合法性基礎。這些合法性基礎包括個人同意、實施法律規定的義務等。根據我國法律規定，合法性基礎還包括緊急情況下保護生命健康和財產安全、為公共利益實施新聞報道等②。對數據進一步處理是否符合兼容性使用標準與合法性基礎須分別認定。

四、數據處理目的改變對代碼的呼喚

改變數據處理目的須符合兼容使用標準，但是進行個案評估效率比較低下。理論上可以將目的改變之兼容使用規則盡可能地融入代碼當中，從事后歸責轉向事前預防，提高效率和確定性。技術影響法律規則生成，法律也會影響技術發展?，F代社會的隱私危機由網絡化產生，網絡化思維訓練經常被忽視[23]。

（一）將目的限制規范嵌入代碼

基于上文的分析，目的改變的兼容性評估、為科學研究和統計目的重新使用數據，為大數據分析和人工智能留下了足夠寬廣的空間，同時也在一定程度上兼顧了信息主體基本權利的保護，避免受創新帶來現實風險。然而，必須承認，兼容性評估具有較大的不確定性，在法律的可預測性方面有所欠缺。推定兼容性規定下為科學研究和統計目的再次使用數據，引入了保障措施介入的理論邏輯。

既然在推定兼容性的場景下，技術措施的運用是必須的，那么能否有一個大膽的設想，將數據保護的原則和規范，融合進信息系統的架構當中，從而增強目的限制原則的可操作性和吸引力。將數據保護的法律規則通過代碼進行自動化，塑造信息處理者和信息主體的行為模式，這也許是人類的一種雄心壯志，但也不是海市蜃樓，起碼人們已經邁出了第一步。歐盟法律中“設計和默認的數據保護（Data protection by design and by default）”（以下簡稱“DPbDD”）正是將這一理念運用的例證①。DPbDD主要針對信息系統的開發，目的是確保在這種開發的整個生命周期中適當考慮到與隱私有關的利益[24]106。數據設計保護的概念是建立在加拿大安大略省的前信息和隱私專員安·卡沃基安（Ann Cavoukian）制定的七項基本原則之上。主要包括：主動防御;默認隱私保護;隱私嵌入設計;完整功能正和而非零和;全生命周期保護;開放與透明;以用戶為中心②。DPbDD的核心是通過設計和默認確保適當和有效的數據保護，信息處理者應能夠證明在處理過程中采取了適當的保障措施，以確保數據保護原則以及信息主體的權利、自由得到切實有效的實現。技術或組織措施保障可以是任何先進的技術解決方案和人員的基本培訓，如個人數據的假名化;以結構化的、常見的機器可讀格式存儲個人數據;建立隱私和信息安全管理系統，以合同方式責成處理者實施具體的數據最小化做法，等等[25]7。在確定所需措施時，信息處理者必須考慮到處理的性質、范圍、背景和目的[25]9。

個人信息處理的設計應以實現這些目的所必需的方式來決定。如果要進行進一步的處理，信息處理者必須首先確保這種處理之目的與初始目的兼容，并相應地設計這種處理。新的目的是否符合要求，應根據兼容性標準來評估[25]19-20。關鍵的設計和默認目的限制要素可能包括：目的特定、明確、合法（設計處理之前確定處理的目的）;目的導向（信息處理目的決定哪些信息的處理具有必要性，并以該目的設定處理的界限）;兼容性（限制進一步的處理，任何新目的之處理都必須與初始目的兼容，以此指導相關的設計）;再利用的限制（運用技術措施以限制重新利用個人信息的可能性，包括加密等技術措施，當然也包括政策、合同義務等組織措施）;審查（信息處理者應當定期審查處理行為是否為收集信息目的所必須，并根據目的限制測試相應的設計[25]20）。

（二）歐盟憲法結構中的數據設計和默認保護

GDPR第25條也面臨著規范含義模糊的問題。根據歐盟法院（CJEU）運用的法律解釋方法，GDPR第25（1）條并不反映隱私的設計。有觀點認為，該條被寫成一個萬能條款，沒有自己的身份，歐盟法院將不得不利用目的論推理來認定該條款規定了數據的設計和默認保護制度，如果它不這樣做，歐洲公民將失去可能是一個強大的數據保護工具[26]149。通過目的解釋，可以認為GDPR第25條規定了隱私的設計保護?？紤]到一個平臺的技術架構可以挑戰我們的隱私，將隱私保護的規則編碼到產品或系統的DNA中，并遠離那些不能被設計保護隱私的產品，可以幫助實現GDPR的目標[26]。

歐洲人權法院（ECHR）的判例表明，與DPbDD相關的理念存在于歐盟的憲法結構中，至少在保障有關健康的個人數據方面是如此。最重要的案例是歐洲人權法院2008年的I v. Finland案①。法院認為芬蘭沒有采取技術或者組織措施保障公立醫院的數據安全，違反《歐洲人權公約》（ECHR）第8條關于確保尊重私人生活的積極義務。尊重健康數據的保密性，不僅對尊重患者的隱私至關重要，而且對維護患者對醫療專業和醫療服務的信心也是關鍵的。法院指出患者的醫療數據在關鍵時刻沒有得到充分保護以防止未經授權的訪問。這種防止未經授權的訪問，當然是體現在數據系統的代碼設計當中，技術上也能夠實現?？梢?，本案起碼在個人健康數據保護方面，認為設計的隱私存在于歐洲憲法結構當中。

歐盟法院在著名的谷歌訴西班牙案中，法院要求谷歌（和其他搜索引擎運營商）重新配置這些操作的系統方面，使其更有利于隱私，間接地培養了GDPR第25條的目標[24]。在數據的默認保護方面，德國柏林地方法院在德國消費者組織聯合會針對臉書公司起訴時，裁定臉書公司默認的數據共享設置非法[19]277。社交網絡服務不能僅因用戶激活了位置功能，就將該用戶的訪問目的地信息通知該社交網絡的所有成員。

數據的默認保護是正確實施數據的設計保護的條件，其與民法侵權責任的事后救濟模式不同，是通過事先對信息系統的設計，未雨綢繆防止侵犯個人信息權益，積極預防而不是被動補救。

（三）我國司法實踐中數據設計保護的萌芽

我國個人信息保護法并未規定數據的設計和默認保護規則，但是在規定信息處理者的義務時，要求信息處理者采取相關措施確保個人信息處理活動符合法律、行政法規的規定②。法律授權數據保護從設計過程的一開始就建立起來，將數據保護的原則納入信息系統技術的開發中，這是數據的設計和默認保護的追求。這些措施雖然包括技術措施和組織措施，但是這些規定能否解釋出將數據保護嵌入設計中的理念，值得探究。

實踐中，胡女士、上海攜程商務有限公司（以下簡稱“攜程公司”）侵權責任糾紛案，一審和二審判決的思路，反映了法院對數據設計和默認保護的相關態度③。胡女士通過攜程旅行App訂購酒店，并未享受優惠價，且多支付了一倍房價。一審法院判決攜程公司限于判決生效之日起三十日內在其運營的攜程旅行App中為胡女士增加不同意其現有《服務協議》和《隱私政策》仍可繼續使用的選項，或者在判決生效之日起三十日內為胡女士修訂攜程旅行App的《服務協議》和《隱私政策》，去除對用戶非必要信息收集和使用的相關內容（修訂版本需提交法院審定同意）。二審法院改判，認為攜程公司如果不收集胡女士的姓名、手機、身份信息等就無法實現酒店預訂的服務事項。如允許消費者不提供任何個人信息，仍可使用攜程App要求攜程公司提供服務，是對攜程公司的過分苛責，平臺會因此喪失經營基礎資源。

本案中，攜程公司收集個人信息的目的過于寬泛，不符合明確、合理目的的要求。對個人信息的收集超出了最小范圍之限，對用戶個人信息的使用并不滿足于提供服務本身，而是包括更進一步的商業利用。攜程公司對于個人信息的處理，并不是與初始目的直接相關，不具有兼容性，且未采取對個人權益影響最小的方式?？梢?，攜程公司的行為，違反目的限制原則。對個人數據進行的操作應限于必要的范圍，某些個人數據對實現某一目的是必要的，這并不意味著可以對數據進行所有類型和頻率的處理操作?？刂普哌€應該注意不要擴大兼容目的之界限，并牢記哪些處理是在數據主體的合理期望范圍內[25]13。攜程公司的行為，已經完全超越了數據主體的合理期待范圍。信息主體要求攜程公司將信息處理的原則和規則，融入《服務協議》《隱私政策》，嵌入技術系統當中，自然是一種正當的要求。一審法院將這一理念體現在判決當中，要求《服務協議》和《隱私政策》的修訂，須經法院審定同意，值得肯定。

（四）代碼規范目的改變

萊斯格直接提出了“代碼即法律”的觀點。數字經濟時代，代碼以類似于法律的方式規范和塑造行為、價值觀和自由。計算機代碼和軟件架構嵌入了某些價值觀并影響人們在網上可以做什么和不能做什么。代碼設置數字限制、默認值和自由度，代碼與正式法律、社會規范和市場一樣，充當了網絡空間行為的法律形式和約束。代碼不是中立的，它可以啟用更開放、自由的系統，也可以啟用更封閉、限制性的系統[27]6。將數據保護的原則和規則嵌入代碼，這是我們所追求的目標。代碼可以通過訪問控制強制數據最小化。代碼架構可以通過數據處理場景，將目的限制原則內置到信息系統當中，通過匿名化、加密、訪問控制等技術保障措施確保個人信息的安全性。政府對網絡空間的監管不僅應關注法律，還應關注底層技術代碼和架構的塑造。這些理念都是數據的設計和默認保護所追求的。

在編程中，可以通過代碼將目的限制原則嵌入數據保護的設計。信息收集階段，要求最小化數據收集，只收集完成任務所需的最少數據，只存儲完成任務所需的最少量數據。例如，如果只需要用戶的電子郵件地址進行驗證，那么就不應收集他們的生日或住址。信息使用階段，確保數據只用于它的初始目的。例如，收集電子郵件地址用于驗證，就不應該用它來發送營銷郵件，除非用戶明確同意。關于改變目的進一步處理，要求代碼設計相關場景，將兼容性評估融入設計當中。默認不共享，除非用戶明確同意，否則不與第三方共享數據。存儲的數據應該是加密的，以防止未經授權的訪問，且應當是有期限的。數據保護的目標，應當保護信息主體對自己個人信息的控制權，包括訪問、更正、刪除自己的個人信息等權利。通過代碼嵌入目的限制原則的規范，有助于減少數據泄露風險，保護用戶隱私，增強可預測性。當然，這也給信息處理者增加了實施的成本和技術挑戰，需要投入更多的資源來保證數據的加密存儲和訪問控制。

數據的設計和默認保護，將目的限制原則的三個方面：目的明確、合理;處理直接相關;對個人權益影響最小，設計進信息系統當中。當然，代碼并非萬能，不能解決所有問題，仍需結合兼容性評估理論，通過司法實踐與信息主體的互動，形成相對確定又能適應數字經濟發展的數據再利用理論。代碼就是法律，代碼規范行為，軟件和技術架構以類似于物理世界法律的方式對網絡空間施加規則。代碼的變化改變社會，隨著代碼的發展，它以新的方式塑造和規范網絡空間，從而實現新的自由或限制。通過代碼進行監管正在興起，政府和公司越來越多地使用代碼而不是法律來規范行為。對代碼的監管，成為數據監管的重要主題[27]74-79。代碼的這種重要意義，固然不能只留給編碼人員——整個社會必須塑造它，行政監管、司法規范、社會監督應當構成一個塑造網絡行為的整體，促進數字經濟的良性發展。

五、結語：代碼與兼容性互動下之立法構想

數字經濟時代，大數據技術更新日新月異。法律與代碼均對人們的行為模式產生重大影響。大數據技術已經有足夠能力對不同來源的實時海量數據進行新的使用。信息處理者收集了大量的數據，持有巨大的數據集。人工智能可以通過對所持有的數據進行訓練或者分析，重新使用這些數據創造新的價值，成為信息處理者的機會和期待。信息處理者在分析數據時，可能會產生新的使用目的，這些目的在數據收集之初也許未曾預料。大數據和人工智能的運用，給人類社會帶來了新的突破和巨大的貢獻，如治療疾病、科學研究等。但是，數字技術在給人類帶來好處之余，也同時存在著風險和挑戰，大量數據涉及個人隱私，對信息主體的隱私、尊嚴、自由等產生重大干預。

目的限制原則恰好在數據的再利用和個人基本權利保護方面獲得了適當的平衡，這兩者關系如果處理得當，則可以為大數據生態系統和人工智能建立信任，促進技術良性發展。在此基礎上，本文為我國個人信息保護法中關于數據處理目的改變的規范體系進行立法理論構想。一般情況下，信息處理者改變目的重新利用數據，須通過兼容性評估;為科學研究、統計目的進一步處理數據，推定具有兼容性，但是必須采取相應保障措施。不管是符合兼容性的進一步利用數據或者是為科學研究、統計目的利用數據，都須有合法性基礎?；ヂ摼W世界，代碼影響著個人的行為，塑造著政府、企業、個人的行為模式。隨著科技的發展，技術手段可以將法律的原則和規則，融入代碼當中，構建網絡世界的價值與規范?；诖?，數據的設計和默認保護制度隨之而來，也在相應法律規范和實踐當中開創了一定的運作路徑。將目的限制原則的價值理念和規則體系設計進入信息系統當中，作為默認的保護方式。信息處理者應選擇并負責實施默認的處理設置和選項，以便在默認情況下只進行為實現設定的合法目的所嚴格需要的處理。信息處理者也應該評估信息處理的合法性基礎。在此系統的相關場景當中對數據的再利用當然也須通過代碼采取合適的保障措施。代碼技術的發展和更新，也影響著數據的設計保護規則的變化，兼容性評估和代碼規制自然存在著長期良性的互動。

參考文獻

[1]? 蘭斯·E.戴維斯，道格拉斯·C.諾思.制度變遷與美國經濟增長[M].張志華，譯.上海：格致出版社，上海人民出版社，2019：18.

[2]? 維克托·邁爾-舍恩伯格，肯尼思·庫克耶. 大數據時代：生活、工作與思維的大變革[M].盛楊燕，周濤，譯. 杭州：浙江人民出版社，2013：195-198.

[3]? VIKTOR MAYER-SCHONBERGER， YANN PADOVA. Regime change： enabling big data through Europe's new data protection regulation[J]. Columbia Science and Technology Law Review， 2016： 315-335.

[4]? TAL Z. ZARSKY. Incompatible： The GDPR in the age of big data[J]. Seton Hall Law Review， 2017： 995-1020.

[5]? MICHELE FINCK， ASIA BIEGA. Reviving Purpose Limitation and Data Minimisation in Data-Driven Systems[J]. Technology and Regulation， 2021（8）：44-61.

[6]? ARTICLE 29 DATA PROTECTION WORKING PARTY. Opinion 03/2013 on purpose limitation[R]. Brussels， Belgium， 2013.

[7]? CHRISTOPHER KUNER， LEE A. BYGRAVE， CHRISTOPHER DOCKSEY. The EU General Data Protection Regulation： A Commentary[M]. Oxford：Oxford University Press， 2020：315.

[8]? 李惠宗.個人資料保護法上的帝王條款——目的拘束原則[J].法令月刊，2013（1）：38-61.

[9]? 楊樹忍.數據處理目的限制原則的價值補充與實踐挑戰[J].財經理論與實踐，2023（6）：146-153.

[10]? 牛彬彬.論《個人信息保護法》目的限制原則中的“目的特定”[J].學術交流， 2023（6）：64-78.

[11]? 梁澤宇.個人信息保護中目的限制原則的解釋與適用[J].比較法研究， 2018（5）：16-30.

[12]? 李汀.刑事偵查中個人信息保護的目的限制原則：歐盟經驗與中國路徑[J].時代法學，2023（3）：70-81.

[13]? 羅亞文.沖突與協調：偵查階段隱私權保障研究[J].重慶社會科學，2022（9）：117-128.

[14]? 孫禎鋒.比較法視域下科學研究處理個人數據的法律界限[J].科技進步與對策，2022（24）：91-99.

[15]? 朱榮榮.個人信息保護“目的限制原則”的反思與重構——以《個人信息保護法》第6條為中心[J].財經法學，2022（1）：18-31.

[16]? OECD. OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data[R].Paris，France， 1980：3.

[17]? ARTICLE 29 DATA PROTECTION WORKING PARTY. Opinion 05/2014 on Anonymisation Techniques[R]. Brussels， Belgium， 2014.

[18]? 楊合慶.中華人民共和國個人信息保護法釋義[M].北京：法律出版社，2022：57.

[19]? 馬里厄斯·克里奇斯托弗克.歐盟個人數據保護制度：《一般數據保護條例》[M].張韜略，譯.北京：商務印書館，2023.

[20]? 海倫·尼森鮑姆. 場景中的隱私——技術、政治和社會生活中的和諧[M].王苑，等譯.北京：法律出版社，2022.

[21]? HO C H. Challenges of the EU general data protection regulation'for biobanking and scientific research[J]. Journal of Law， Information and Science， 2017（1）： 84-103.

[22]? REGINA BECKER et al.. Secondary Use of Personal Health Data： When Is It 'Further Processing' Under the GDPR， and What Are the Implications for Data Controllers？[J]. European Journal of Health Law， 2023，（30）：129-157.

[23]? 阿圖爾·考夫曼，溫弗里德·哈斯默爾.當代法哲學和法律理論導論[M].鄭永流，譯.北京：法律出版社，2013：532-533.

[24]? LEE A. BYGRAVE. Data Protection by Design and by Default： Deciphering the EUs Legislative Requirements[J]. Oslo Law Review， 2017（4）：105-120.

[25]? THE EUROPEAN DATA PROTECTION BOARD. Guidelines 4/2019 on Article 25 Data Protection by Design and by Default（Version 2.0）[R]. Brussels， Belgium， 2020.

[26]? WALDMAN， ARI EZRA. Data Protection by Design？ A Critique of Article 25 of the GDPR[J]. Cornell International Law Journal， 2020（1）：147-167.

[27]? 勞倫斯·萊斯格.代碼2.0：網絡空間中的法律（修訂版）[M].李旭，沈偉偉，譯.北京：清華大學出版社，2018.

Legal Challenges and Countermeasures of Changes in Purpose of Data Processing

Yang Shuo? ?Wang Yubao

（School of Law，Sun Yat-sen University， Guangzhou 510275， China; School of Law，Lanzhou University， Lanzhou730000，China）

Abstract： The principle of purpose limitation requires information processors not to further process data that is incompatible with the original purpose. The development of big data and artificial intelligence has challenged this principle. Big data analysis uses different algorithms to analyze data， and artificial intelligence requires the reuse of data to create new value by training the data it holds. To change the purpose of data processing， a new balance must be established between the protection of the basic rights of information subjects， risk control and innovation promotion. In order to provide a certain degree of flexibility for further processing of data， a theory of compatible use is constructed through scene consistency; the use of data for scientific research and statistical purposes is presumed to be compatible， thereby releasing the value of big data analysis and improving the predictability of laws. Going one step further， shape the purpose of data processing through code to change the behavioral norms for reusing data.The concept of data protection by design and by default believe that the code structure can use data processing scenarios to build the principle of purpose limitation into the information system， and ensure the compatibility and legality of data re-use through organizational and technical safeguards， and ensure data security.

Key Words： the principle of purpose limitation; compatibility; change of purpose; data protection by design and by default