内容摘要：

个人信息处理过程中应遵循的最基础的原则之一是必要原则，只有与处理个人信息的目的直接相关的，实现处理目的的最小范围内的，方视为必要个人信息。而为了平衡个人信息处理范围限定的必要性及个人信息的合理流动和使用，《中华人民共和国个人信息保护法》及司法实践中就个人信息的“合理使用”进行了规定和考量。本文在分析个人信息处理的必要性原则基础上，对个人信息使用的合理性进行了探讨。

关键词：

背景介绍，处理原则，必要性，合理性

近年来,产业互联网发展步伐进一步加快,互联网技术对传统产业的产品设计、生产流程、产品销售等全过程渗透增强,并促使传统产业向智能化、数字化、网络化纵深发展。数据显示,2019年,我国产业互联网整体交易规模达到了48万亿元,中商产业研究院预测，2021年我国产业互联网交易规模将达60万亿元1。电子商务、移动支付、互联网物流等领域，越来越多的社会组织、个人都参与到了互联网商业活动中，无人机、自动车牌识别技术、上网记录搜集技术（Cookie）、智能手机、可穿戴设备、人脸识别系统等渗透到个人生活的方方面面，运营商可便利地获取个人信息，并通过“用户画像”的方式精准处理个人信息，谋取利益。为了保护个人信息权益，规范个人信息处理活动，促进个人信息合理使用，我国建立了以《中华人民共和国个人信息保护法》（以下简称“《个人信息保护法》”）为核心的法律规范体系，明确了个人信息权益、个人信息处理者的行为规范及其法律责任。

一、个人信息处理原则

《个人信息保护法》第5至7条规定了处理个人信息的基本原则，包括处理个人信息应当遵循合法、正当、必要和诚信原则；应当与处理目的直接关联，具有明确合理目的，且限于实现处理目的的最小范围；应当遵循公开、透明原则，公开处理规则，明确处理目的、方式和范围。

根据前述处理个人信息的基本原则可推知，个人信息的处理方应当以用户知情、同意作为处理个人信息的基本规则。以获取和处理个人信息范围需具备合理、必要性为准则，从而界定了处理个人信息的程序和边界。本文就如何判定处理个人信息的合理、必要范围以及个人信息的“合理使用”进行探讨。

二、企业就个人信息处理中“合理、必要”原则的合规适用

法律是企业业务合规工作的底线，如何能够正确适用法律法规？需在准确理解和解释法律法规的基础上，正确处理个人信息，避免法律法规适用偏差带来的经营风险。

（一）必要原则的合规适用问题

为贯彻落实《中华人民共和国网络安全法》关于“网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则”“网络运营者不得收集与其提供的服务无关的个人信息”等规定，国家互联网信息办公室、工业和信息化部、公安部、国家市场监督管理总局联合制定了《常见类型移动互联网应用程序必要个人信息范围规定》（以下简称“规定”），《规定》明确了39类服务所APP服务涉及的必要个人信息范围，如（一）地图导航类，基本功能服务为“定位和导航”，必要个人信息为：位置信息、出发地、到达地。（二）网络约车类，基本功能服务为“网络预约出租汽车服务、巡游出租汽车电召服务”，必要个人信息包括：1.注册用户移动电话号码；2.乘车人出发地、到达地、位置信息、行踪轨迹；3.支付时间、支付金额、支付渠道等支付信息（网络预约出租汽车服务）。上述规定为企业适用《个人信息保护法》中有关“必要”原则具有明确的指示作用，即只有与处理个人信息的目的直接相关的，实现处理目的的最小范围内的，方视为必要个人信息。换而言之，如不能对此类个人信息进行处理，则无法提供基础性服务的信息，才符合必要信息的范围限定。

例如：郭X与XX野生动物世界有限公司（以下简称“野生动物世界”）服务合同纠纷【（2019）浙0111民初6971号】2，野生动物世界在为郭X办理年卡之时，收集了郭X与其妻子的姓名、身份证号码、指纹和人脸识别信息，并收集了郭X的电话号码等信息。关于野生动物世界收集的郭X及其妻子的人脸识别信息，野生动物世界抗辩系为后续采用人脸识别方式入园做准备，法院认为，合同当事人在办卡时签订的是采用指纹识别方式入园的服务合同，野生动物世界收集郭X及其妻子的人脸识别信息，超出了必要原则的要求，不具有正当性。尽管野生动物世界在涉指纹识别的“年卡办理流程”中规定流程包含“至年卡中心拍照”，但其并未告知郭X与其妻子拍照即已完成对人脸信息的收集及其收集目的，郭X与其妻子同意拍照的行为，不应视为对野生动物世界通过拍照方式收集两人人脸识别信息的同意。综上，郭X要求野生动物世界删除收集的其个人的人脸识别信息，理由正当，应予以支持。

（二）合理原则的合规适用

鉴于如对个人信息过度保护会妨碍个人信息的合理流动和使用，给互联网商业主体的经营带来障碍，所以《个人信息保护法》第13条第2至7款，就个人信息“合理使用”的情形进行了规定，即前述情形中处理个人信息不以取得个人同意为前提。但纵观前述“合理使用”情形中处理个人信息还需遵循“合理性”的要求。同时，司法实践中对处理个人信息的行为，也会在“必要”的基础上，结合处理行为的“合理性”综合考量。

如肖XX与XX贸易有限公司等网络侵权责任纠纷【（2019）京0491民初313号判决书】3，肖XX从XX电子商务有限公司处购买到XX贸易有限公司销售的有关牙膏产品，后因其与平台内经营者XX贸易有限公司产生纠纷，向XX电子商务有限公司客服进行投诉，XX电子商务有限公司介入后向平台内经营者提供了肖XX的联系方式和投诉内容，肖XX认为XX电子商务有限公司前述行为侵犯了其个人信息权益，遂诉至法院。XX电子商务有限公司答辩过程中称相关涉案产品是由XX贸易公司销售，二被告并没有将原告的个人信息用于非法目的或商业用途，是因原告向XX电子商务有限公司售后提出了赔偿要求，由于供应商对该产品更了解，能够更好地为客户提供售后服务，电子商务公司根据用户注册协议以及用户隐私政策提供给供应商，以便给客户更好解决售后问题。电子商务公司不同意原告的诉讼请求。后经法院查明判定：电子商务公司系XX商城的经营者，XX商城系电子商务平台，经营者和用户通过该电子商务平台进行诸多商品和服务的交易，必将涉及交易双方大量信息的采集、保存、管理、使用，原告在XX商城注册时，已经浏览了《XX隐私政策》条款，虽然原告认为就隐私政策存在“并不太懂条款，有些信息太隐晦，没有太多解释，也没有明确合伙伙伴是哪个，供应商是哪个”等情形，但鉴于电子商务平台上涉及海量的商品和服务，涉及的销售商、供应商等关联方的信息亦系海量的，不可能一一列出具体的名称，在相关条款中进行概括描述并无不当，原告作为具有完全民事行为能力的成年人足以理解上述条款的内容，故《XX隐私政策》对原告具有约束力。用户向平台内经营者购买商品或服务时需要提供收货地址、收货人姓名、联系方式等个人信息，平台内需要保存上述信息，用户与平台内经营者产生纠纷时，电子商务平台经营者有义务协助解决纠纷，包括居中调解、向交易关联方核实、披露交易方必要的信息等。据原告所述，其在购物后即对所购商品进行投诉，要求赔偿，电子商务公司将原告的联系方式和投诉情况告知商品的生产商，由生产商对原告投诉的情况进行核实系协助解决平台交易纠纷，对上述信息的使用亦未超出《XX隐私政策》的范围，不构成对原告个人权利的侵犯。故原告要求二被告承担侵权责任于法无据，法院不予支持。从前述案例中可以推导出，法院通过案件事实认定：XX电子商务公司及电子商务平台就原告个人信息的处理未超过合理的范围，所以就原告诉求并未支持，该案例为企业适用个人信息处理中的合理原则提供了参考。

结语

综上，社会现实的多变、复杂性与法律法规的相对稳定和原则性，对企业合规提出了挑战，只有深刻领会立法目的，准确解读法律法规，方可避免企业经营中的相关风险，这需要企业及专业人士根据实际经营需要，共同探讨并合理适用相关法律法规。

1. 《中国互联网发展历程及现状（简介互联网近6年的发展情况）》https://www.jlr360.com/xwzx/gppz/283235.html，2022年4月21日访问。

2.中国裁判文书网https://wenshu.court.gov.cn/website/wenshu/181107ANFZ0BXSK4/index.html?docId=0d5660e6ee794498bbf8ac7d00a8dddb，2022年4月21日访问。

3.中国裁判文书网https://wenshu.court.gov.cn/website/wenshu/181107ANFZ0BXSK4/index.html?docId=739dc7ce410d4bd8a425aa79002a68a2，2022年4月21日访问。

作者介绍

霍鹏岩律师，北京市京师（大连）律师事务所，中国政法大学硕士研究生毕业，从事诉讼、非诉工作十三年，有政府机关、央企、私企、律所等丰富工作经验及社会阅历，擅长公司法、企业合规、知识产权法、房地产法等业务领域，熟悉法院审判主流思路与态度。