彭飞荣 ：《个人信息保护法》第 13 条第 1 款第2 项（合同中个人信息处理）评注

《个人信息保护法》第13条第1款第2项前段吸收借鉴了比较法上的优秀成果，历经数审到最终落地，对本项的存废有巨大的争议。我国立法者在法律继受中，曾想放弃将“订立”作为合法性处理阶段这一思路。本项由2020年10月31日《中华人民共和国个人信息保护法（草案）》确定，历经2021年4月26日《中华人民共和国个人信息保护法（草案）》（二审稿）、2021年8月17日《中华人民共和国个人信息保护法（草案）》（三审稿），至2021年8月20日最终稿公布，均未改变本项内容，仍保留了“订立、履行”合同的表述。

比较法上考察此项立法的先例，可根据实证法中是否规定有处理阶段，进而划分为两种不同的立法模式。第一种模式以我国台湾地区为典型，即不明确规定具体阶段，“个人资料保护法”第19条第1款第2项将“与当事人有契约或类似契约之关系”作为合法性基础，在具备特定目的及采取适当安全措施的条件下，非公务机关可对个人信息进行搜集与整理工作；日本的《个人信息保护法》同样采用了此种立法模式，在第16条前两款规定“基于使用目的的限制”，而在第三款规定了法定许可的例外情形。第二种模式则是以欧洲数据保护立法模式为代表，为此种法定许可例外确立了具体阶段的限制，具体在1995年的《数据保护指令》（DataProtectionDirective，以下简称“DPD”）第7条规定，“如果一个合同主体（数据主体）的数据对另一个合同主体（数据处理主体）履行其间合同是必要的，那么后者对这些数据的处理操作有法律依据”。2016年GDPR第6条第（1）款（b）项在移植该条规定的基础上，更精确表述为：“处理是数据主体作为合同主体履行合同之必要，或者处理是因数据主体在订立合同前的请求（attherequestof）而采取的必要措施，则无需数据主体同意”，至此，GDPR细化了具体阶段的实施要求，在“履行”阶段与第一种立法例别无二致，而在“订立合同前”则需数据主体请求方可实施此种“必要措施”。有学者认为，GDPR中该项规定的核心在于“履行合同”，因为合同关系本身或者订立合同的意图并不能为个人数据处理行为提供法律依据，所以在“订立合同前”需请求方可做出。总体而言，在普遍承认增设“法定许可”作为例外的立法背景下，不同立法范式的分野仅在于是否需明确规定阶段这一限制要件。其中，对于“履行合同”这一阶段作为合法性基础并无趋异，区别仅在于：“订立合同前”全过程是否均能作为依据，以及是否需要数据主体的主动要求。

就规范文义而言，我国《个人信息保护法》的规定更多采纳了第二种立法模式，但同时放弃了主观要件，并非条文的简单移植；而在GB/T35273-2020《信息安全技术个人信息安全规范》的g项中“根据个人信息主体要求签订和履行合同所必需的”，似乎又采用了GDPR中的主观要件，作为国家推荐性标准在《个人信息保护法》的基准下，进一步严苛该项的适用。按照前述GDPR立法理由的评述，若要扩张阶段至“订立合同”阶段，则需要限定以主观要件来缓和该项与“知情-同意”规则体系的紧张关系，或再进一步对该项的适用及与体系耦合关系作正当性论证。由此可察，我国在此的立法设计上有别于上述的比较法例，在对其加以“改造”的同时，尚需应用法解释方法对其进行价值同化，以解决本土法实践中存在的相应问题。

本项将“合同”作为法律行为客体，并将其作为判断“必需”的条件，系该项适用范围判断的依据。就本体概念的文义解释而言，其应包含但不仅限于劳动法上的合同、行政法上的合同、民法上的合同等。但从目的解释而言，在日常交易中，一般所指称的“合同”往往是民法意义上的合同，若要单独开辟一套专属于个人信息保护法意义上有关合同的定义，不符合经济效益原则。

除此以外，就体系解释而言，《个人信息保护法》在其他条款中已对民法意义之外合同的个人信息处理行为的合法性来源进行规定，无需叠床架屋另行规定，例如：第2项后段的特别规定“按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需”中，规定了与劳动合同相关的处理个人信息的合法性来源，可兹劳动法意义上的合同参照；而行政法上的合同则兼具行政性与协议性，需根据其是否为平等主体进行考虑是否适用该条款，就行政协议而言，该款第3项“为履行法定职责或者法定义务所必需”以及第三节“国家机关处理个人信息的特别规定”中规定了与行政协议相关的处理个人信息的合法性来源。且从条文所处的位置来看，条款间没有排序，系同一层级，若将该项中的“合同”一词解释为包括了其他定义上的合同可能有重复立法之嫌疑。因此，可推知此处的“合同”解释为民法上的合同更为妥当。

当然，此种看法也存在很大的争议空间。在《个人信息保护法》起草过程中，劳动合同有关条款的制定有较多论证，其中有观点认为，相关条款的设立没有必要，理由在于其合法性依据可以是“为订立履行个人作为一方当事人的合同所必需”或“为履行法定职责或者法定义务所必需”，即被所论项中“合同”所涵摄；而行政合同既有行政行为的属性又采取了合同的方式，其中是否存在“订立或履行该协议所必需”的个人信息的情形需要具体判断。此外，在其他条款内，有对于“行政合同”“劳动合同”的相关规定并不必然影响该条文中合同的定义。这些条文之间可能存在着一般规范和特殊规范的关系，并不属于重复立法。对于未被单独规定的不属于民法典意义上的合同类型，易形成法律上的漏洞。

有学者批评认为，我国《个人信息保护法》第13条第1款第2项在借鉴欧盟GDPR相关规定时，不适当地扩张了适用范围，将合同还没有成立仅仅是缔约磋商或者初步接触的情形也作为不适用告知同意规则的例外。这种观点的合理之处已在上述表明，但就比较法例而言，我国于此的适用范围介于两种模式之间，并非是“不当地扩张”，而是需在解释论上精细化其适用范围。

德国法自耶林提出缔约过失责任的系统理论以来，新债法改革后于第311条第2款共确立了三种先合同义务产生的情形：第一种情形为“合同磋商的开始”，系一种事实过程，该过程并不必然要求存在意思表示，例如仅就合同的预期订立所进行的初步洽谈也属于该过程，但该初步讨论需具有后续法律行为可能；第二种情形为“合同的准备”，该阶段先合同义务的产生，需使得一方当事人基于可能发生的法律行为，允许对方影响其权利、权益以及利益，或者将权利、权益以及利益给另一方当事人，例如企业于招投标程序中的竞标行为，不问最终是否订立合同，即符合上述要件，或又如潜在的客户进入营业场所；第三种情形为“类似的交易上的接触”，也是上述两项的兜底要件。此种接触须基于双方同意，限制于交易性接触中，而非纯粹的社会接触，其理由在于，立法考虑到在部分交易情形中潜在的合同相对方可能在实际订立合同前将自身权利、权益以及利益让渡给另一方，如向律所、医院致电预约咨询的人就此已建立了对价关系，因此需要产生先合同义务。

参照德国法对先合同义务三种情形的框架性描述，映射于《个人信息保护法》的法域中，双方主体确实可能在合同成立前存在谈判、合同准备与类似的交易接触，由此产生的信赖由诚实信用原则所保护，双方主体之间产生的协作、照顾和保护等义务群，在《个人信息保护法》第9条也有责任原则与安全原则作为相当的法律基础。

但值得注意的是，大陆法系一些国家于该理论法律移植过程中并未完全继受德国的观点，如法国、比利时等国则以侵权行为法替代缔约过失责任的功能，在区分上也并未同德国一般精细至各个阶段，而我国台湾地区则以概括条款进行规定。我国尽管在原《民法通则》第61条第1款，原《合同法》第42条、第43条，《民法典》第500条对缔约过失责任的一般原则与具体适用进行论述，但以上先合同义务是否均能在我国实证法体系下证成，用以明确“订立”的内涵，仍有待进一步讨论。

放置于具体场景来分析德国法所确定“三阶段”理论的应用价值，若该理论框架能籍以明确“订立”内涵，并无立法缺陷，即可为我国于该项进一步解释提供参考。

在传统线下购物场景中，如潜在的个人信息交易主体在进入门店或者营业场所时，且不问其是否有确定的购买意图，可能仅有了解信息的意图，均已进入“合同的准备”环节，如若认可该阶段系“订立”环节，则商家即可采集其个人信息，即使有必要性原则的限制，仍极易导致对个人信息的过度采集。因此德国《联邦数据保护法》自2018年删除了原先第28条第1款第1段第1项的规定，转而采纳了GDPR中需“经信息主体要求采取措施”这一主观要件以缓和原先的立法缺陷。

相比而言，线上场景中却较难判断，我国并未对此作出法律规定，比较法上可参照《国际合同使用电子通信公约》规定进行区分。以常见的网络购物为例，用户浏览商品界面系商家为对不特定交易用户发出可期待的信息宣传，可视为“合同磋商的开始”阶段，此阶段难以认为商家可以获取信息主体的交易信息等个人信息；用户将商品加入购物车的行为并未进入缔约阶段，应视为进入合同准备阶段，在此环节确实已涉及到个人信息，但此阶段的个人信息是由用户主动同意提供；用户提交订单则视为信息主体发出要约，收货人相关信息以及电话号码为必需信息，如果用户拒绝提供则可适用第16条拒绝交易；“结账”环节则属于履行买卖合同的付款义务，此阶段可以适用本条未经用户同意对其金融信息进行获取。由此可见，在线环节也难以将先合同义务中“磋商的开始”作为合法性处理的基础，而至于“准备”环节，则通常也是由信息主体主动提供，并无法定许可适用之必要。

综上所述，为避免过度采集和处理个人信息，合同订立环节应当在解释论上被严格地限缩，一方面承认合同成立以及之前的先合同义务中的“合同准备”阶段系其订立过程，另一方面也应规范“合同准备”阶段当且仅当具有信息主体主动要求这一要件时，才能作为处理个人信息的合法性基础。

2.合同履行阶段

该项规定区分了“为履行合同所必需”以及“非必需”两种条件，仅限“为履行合同所必需”方可为个人信息处理行为的合法性基础，对于“特定但客观上必要”的数据处理目的也被排除在限定范围外。可见，“履行合同所必需”的要求显然高过一般合同的履行条件，“必需”作为核心需被严格解释。规范文本并未对该关键点作进一步地澄清，而EDPB作为欧盟GDPR的权威解释来源，就GDPR的相关类似规范（GDPR第7条第4款）进一步指出，当数据处理者希望说明数据处理行为系基于履行与数据主体间的合同时，需要评估何为履行合同的客观上必要（objectivelynecessary）。我国尽管对此并未明确规定，但《个人信息保护法》在第6条中规定“与处理目的直接相关”，可以解读为一种客观标准，具体而言：

首先，“履行合同所必需”要求其指向行为为履行合同所必备要素，并不包括信息处理者单方面施加给信息主体的情况。例如，个人信息主体与房屋中介公司签订居间合同，为保证房屋的顺利租赁，应当提供给中介公司个人身份信息、不动产相关信息，这是直接相关的信息，也是“客观必要”的信息。但是中介公司如要求信息主体填写收入信息以评估房屋转售价格区间、其他不动产信息，这就是与处理目的并不直接相关，属于信息处理者单方面施加而不能被豁免的情形。

其次，合同中包含了某些处理活动并不意味着信息处理活动系履行合同的必需。仅仅在合同中引用或者提及信息处理行为不足以适用《个人信息保护法》第13条第1款第2项。这在本法落地之前的司法裁判中已经予以阐明，如“微信读书案”中，尽管腾讯公司抗辩提出微信读书不仅在《用户协议》等文件中已告知用户，还在具体使用场景中对用户进行提示，其有权使用用户读书信息等信息。但是法院认为，在未明确告知用户的情况下，微信读书将用户的读书信息开放，不符合用户的合理预期，存在较高侵犯用户隐私的风险。可见实践中平台公司利用提供的电子格式合同与用户签订协议，并不能成为认定依据。

最后，信息处理者应能够通过合同具体条文以及合同双方都理解的目的来证明其处理行为的必需性。这不仅需基于信息处理者的视角，同时也需基于缔结合同时信息主体的合理视角，并考虑在信息处理行为不进行时，合同是否能被履行。

除此之外，信息处理者应当证明个人信息的处理行为是基于与个人信息主体之间的有效合同而产生，且为履行该合同所必需，并且需要满足《个人信息保护法》第5-9条的原则性规定，才能依据《个人信息保护法》第13条第1款第2项进行“同意豁免”。

（二）有效合同

《民法典》对合同效力性规定有有效、无效以及效力待定之区分。有效合同于合同主体间形成“法锁”，即所谓债之关系，为后续合同履行提供合法性基础，合同主体处理信息的基础也正是在于合同，是合同的缔结使当事人之间产生合同法律关系，合同无效、撤销（《民法典》第155条）或者终止后（《民法典》合同编第七章以下）合同效力性丧失，自然丧失合法性基础。具体情形包括但不限于违反法律行政法规效力性强制性规定的合同无效，恶意串通损害他人利益的合同无效，欺诈、胁迫等行为导致合同撤销，当事人之间合同已经解除等。

一般而言，当合同基础不再存续，实现合同目的自然无从谈起，根据《个人信息保护法》第47条第1款第1项与第2项的规定，除却第47条第2款的例外规定情形，处理个人信息不再为订立、履行合同所必要，因此处理者需要停止处理该个人信息。比较法上，在“冈萨雷斯案”中，为在拍卖中获取更多潜在竞价者的关注，信息主体的个人信息出现在《先锋报》的一份清单中，而在合同关系终止后，仍能通过搜索其全名获取当时全部案涉信息，由此法院判定案涉信息存在不当性，具有“遗忘”之必要。同样于GDPR第6条第（1）款第b项规定的合同必须有效，如在成员国之间认为该合同无效，则其不能作为适用该项规定的法律依据。由此可知，该项规定需以有效合同作为适用的前提，而在合同效力性终结后，合同目的自然不再存续，则处理主体应根据《个人信息保护法》第47条的相关规定对信息主体的相关数据予以删除。

“个人作为一方当事人”存在两层含义：第一，主体间应为平等主体关系，此为民事合同关系成立之要求；第二，一方当事人需为自然人，即信息主体，另一方为个人信息处理者，其内涵不仅限于自然人，还可包括法人以及非法人组织，具体适用情形包含但不限于共同处理个人信息、委托处理信息、合并、分立等原因下转移个人信息的规定、向其他个人信息处理者提供个人信息的情形。

（一）信息主体需要满足年龄与民事行为能力双重要件

对于无民事行为能力人与限制民事行为能力人是否能成为本项中的信息主体，存在不同观点。支持者认为：第一，本项并未明确限制主体类型，应将其作为个人信息合法性基础的统一规则；第二，根据《个人信息保护法》第31条第1款规定，个人信息处理者处理不满14周岁未成年人个人信息的，应当取得未成年人的父母或者其他监护人的同意，个人信息保护法中信息主体的特别规定旨在需要同意情形下为保护缺乏同意能力人（Einwilligungsfähigkeit）的权益，是“最有利于未成年人原则”的体现，因此将本条作为一般规则，而辅以其他对特殊主体的例外规定，具有立法技术上的简洁性。而反对者则认为，结合《个人信息保护法》第28条可知，立法者将不满14周岁未成年人的个人信息囊括入敏感个人信息的范畴，参考《个人信息保护法》第二章中单独一节对敏感个人信息的规定，可以得知，敏感个人信息和非敏感个人信息是《个人信息保护法》从规范个人信息处理行为的角度进行的一种重要分类。相较于非敏感个人信息，敏感个人信息与信息主体的财产权和人格尊严有着密切的联系，若敏感个人信息被泄露或非法使用，必将会对信息主体的人身、财产权益造成严重的损害，因此对于敏感个人信息的处理，应提出更加严格的要求。在区分的基础上，立法者针对信息处理者在处理规则上提出了不同的要求，有意提高处理者对敏感个人信息处理时的法定义务，因此对于敏感个人信息的处理不适用该合法依据规则。GDPR中对于敏感个人信息以及第6(1)(b)条的关系认定同样如此，有学者认为，对于GDPR第9条意义上的敏感个人数据，签订合同不会使为合同目的的敏感个人数据处理自动合法化。第9(1)条规定的对敏感个人数据处理禁止的唯一豁免是第9(2)(a)条规定的数据主体的明确同意。

但细究以上相左观点，可发现就实践处理而言，两方于主体范围的认定上并无区别，即当信息处理者在处理不满14周岁的未成年人个人信息时，无法“无需对方同意”。但是《民法典》对民事行为能力以双重判标作为划分依据，即年龄（8岁、18岁、附加限制的16岁）以及行为辨认能力（不能辨认、不能完全辨认），如此会产生民法与个人信息保护法之间的龃龉。在第28条的制定过程中，其实对于14周岁的年龄标准即有所论争，支持观点主要认为该标准与《未成年人保护法》第72条保持了高度一致，但反对观点不仅认为该标准以主体年龄进行分类，与该条下其他六项分类标准存在显著差异，而且指出年龄划分会在全球化背景下遇到窘境，不同国家对于民事行为能力的要求不同，情况也需要具体考量，如美国《儿童在线隐私保护法》（COPPA）即规定年龄13周岁作为分类标准，这对于某些面向多国或全球开放的在线服务商有着较大的挑战，不利于我国相关商业活动的开展。

更关键的在于，基于《民法典》第143条的要求，订立合同应当符合相应的民事行为能力，由此产生的问题：那些无法做出同意表示的主体，如何能适用本条规则？前已论述，本条的适用前提在于存在有效合同。因此，在具体处理中，首先对主体做民事行为有效性判断，当且仅当存在有效合同时才适用本条；其次，对于不满14周岁的主体并不适用本条，本条与敏感个人信息相互嵌合，避免存在叠床架屋的立法缺陷。因此笔者认为，在具体实践中，可参仿现行处理方案：信息处理者在未得到明确标识下时，一般将主体视为具有可签订合同能力的人，而在得到相关申请或其他信息能推翻以上假定时，再选择适用如返还费用、删除信息等处理行为。

（二）个人信息主体存在多方情形时应分别处理

个人信息处理者内涵包括自然人、法人与非法人组织，但对于信息主体内涵是否包括多方主体，并未明确。由于我国规定的是“个人作为一方当事人”，那么“订立合同的主体”与“信息主体”不是同一主体时，此处的个人是仅仅指合同的主体还是包括合同涉及到的第三人抑或是涵盖了别的范围？

根据《民法典》第119条所规定的合同相对性原则，“法锁”仅存在于订立合同的双方当事人。为契合现代交易的便捷性以及效率性，代理制度便随之诞生。代理制度由代理人以被代理人名义从事民事法律行为，其法律后果由被代理人承受。具体代理事项包括共同处理个人信息，委托处理信息，合并、分立等原因下转移个人信息，向其他个人信息处理者提供个人信息的情形。对应实践中存在两种情形，第一为自然人作为代理人，则存有代理人与信息处理者之间的合同关系，代理人与被代理人之间的代理关系，此时被代理人无需介入合同关系中披露个人信息，因此仅适用于代理人与信息处理者之间；第二为组织机构作为代理人，同样存在上述两种法律关系。非自然人的组织无法作为本条的适用主体，而本人与代理人之间可以予以适用，“为订立、履行合同所必需”的限度应当仅包括代理关系所必需，以及代理人代为订立、履行合同所必需。

六、“必需”的判定标准

反求于判例，司法实践中对于“合同所必需”的认定主要分为两类，第一类即指合同必备条款，如李玄时、广州市昌松老年旅游服务有限公司劳动争议纠纷案件中，法院认为知识技能、学历、学位、职业资格、工作经历等为履行劳动合同所必需，劳动者均有如实告知说明的义务；第二类则以具体判例的形式指出合同所必需要件，如甲公司与乙公司进出口代理合同纠纷再审案中，最高法院认为对外结算、支付、报关、商检等手续履行是进口合同所必需等。

在比较法上，《巴西通用数据保护法》（LGPD）第7条规定“根据本法第四章的规定，公共行政部门处理和共享使用为履行法律法规所要求的，或者基于合同、协议或者类似文件所必须的数据”“应数据主体的要求，应履行以该数据主体为一方当事人的协议或者与该协议相关的初步程序所必需”，在这些情况下，个人数据是可以被处理的。其规定中的“初步程序”与“履行阶段”与我国作出的立法安排如出一辙，但其对于“必需”的确定仍不明确。《印度个人数据保护法案》（PDPB）第16条中对为雇佣相关目的而必需的个人数据处理做出四种不同情形的详细规定，相比我国法规，其对不需获得同意的情形做了更为明确的限定。但是，其并没有把“履行合同义务”作为合法处理的依据，这也就意味着在实际的业务中，会使得很多基于合同业务关系的个人数据的处理变得比较困难。在澳门地区《个人资料保护法》第6条第1款进一步对必要情况进行了规定，即“执行数据当事人作为合同一方的合同，或应当事人要求执行订立合同或法律行为意思表示的预先措施”。相较于《个人信息保护法》第13条第2款，其进一步扩大了必要情况的具体情形。除适用于双方当事人之间的合同外，其还可以适用于应当事人要求为订立合同的预先措施以及基于当事人意思表示的预先措施。

而对我国个人信息保护法立法起草影响较大的GDPR，其在《欧盟基本权利宪章》第8条的基础上，确立了第6条作为处理个人信息的合法性基础，以及该条适用的前提，即基于“特定的目的”。欧盟数据保护委员会（TheEuropeanDataProtectionBoard，简称“EDPB”）指出，考虑到日益重要且内容丰富的在线服务背景，通过制定第6条下第1款b项，以此对个人信息处理的适当性提供指导，为相关信息服务的适当限制提供合法性基础。对于“必需”的判定，其提供了一种整体评估的视角，不仅要契合GDPR第1条所规定的目标，以及第5条所确定的目的限制原则、最小化损害原则等，而且需要探求合同主体的“合理期望”，即需基于合同目的本身作“必要性”的判断。具体如EDPB认为Meta平台在其用户服务合同中增加的“个性化广告服务条款”并不属于“必需”，因为信息个体只将其作为一个聊天工具，缺少“推送广告”的合理期望，所以对其进行巨额罚款。而值得注意的是，该项决定推翻了此前爱尔兰数据保护委员会做出的决定。由此可见，尽管上述指引为判断准则确定了解释的考量要素，但仍然存在主观解释以及自由裁量的空间，容易导致“同合同不同判”的结果。

因此，在既有经验材料下，立法上尚无对于“必需”的明确解释，司法中也并未形成明确规则，有待于此后就个案形成指导判例，在比较法上可以借鉴采用明确的立法或者司法解释予以澄清，也可在司法过程中结合《个人信息保护法》的“必要性原则”进行利益衡量确定是否为“必需”。但是，对于现有的立法缺陷，在规范法视角下，更应当以漏洞填充方式应对该条之阙如。

（二）目的论下的解释

“必需”作为一种利益平衡下的产物，其目的在于保护交易与经营自由，合同的订立与履行需要以信息主体的个人信息作为必要的基础，处理这些信息符合合同各方的利益，因此于“必需”的判定，应当考虑可能影响双方当事人利益之要素，诸如合同类型、性质、目的和内容，交易习惯等等。对如此不确定的法律概念进行裁判，立法者也期待并且授权法官对此进行利益权衡。结合《个人信息保护法》的“目的限制原则”，其不仅体现在搜集阶段要求目的明确，也要求在实际使用个人信息阶段的目的不得与约定的目的相悖。体现于合同的订立、履行过程中，具体要求如下：

1.与产品或服务直接相关的合同

除却前文所述对合同应当限制为民事合同这一前提外，条文中的“合同”也应当理解为同产品或服务直接相关的合同，而非仅将个人信息处理行为作为合同目的的合同。在Huber案件中，欧盟法院根据欧盟EC95/46号指令认为，德国中央登记册上管理与外国公民有关的信息登记是不“必需”的，这种出于统计目的在存储与处理个人数据之间并非“直接相关”。申言之，案例法中所提及的“直接相关”，在于信息主体所提供的个人信息与合同所提供的产品或者服务需为直接关系，而非间接关系，如EDPB第2/2019号指引中所提及的，为改进现有服务或在现有服务上开发新功能而进行的数据处理是不合适的，虽然实践中多数信息处理者会将改进及修改服务列为合同条款中的合同目的，如Meta公司利用所谓的“合同”，未经用户明确同意，将其数据用于个性化广告推送，被处以3.9亿欧元的天价罚单。根据该条文意旨，以及EDPB于Meta案件中的观点，通常认为广告等处理不能被视为是履行与用户间的合同所客观必要的条件，否则平台方即可利用提供格式合同方的优势地位，架空个人信息主体的知情同意规则，对此应当对“直接相关”做严格地目的性限缩。

2.将合同目的作为判断基准

“必需”是合同目的的直接体现，则需探求合同目的以作为判断基准。合同目的的确定，首先应当依据当事人之间的约定，若无约定或者无法确定合同目的，则可尝试探究理性当事人于合同订立阶段，为追求何种利益而决定订立合同。其后可以根据合同性质以及必备要素进行综合考量，最终才求助于法官的自由裁量。如此规定，理由在于：一方面，通过双方意思自治原则以限制法官的价值判断，从而限缩法官自由裁量权。对于合同目的与“必需”的探求，不能单纯地通过经验来确认，也不能通过自证（直觉主义）来加以论证。另一方面也在于具体场景难以为法律文本所穷尽，法律具有其固有的不周延性，赋予个案一定的自由裁量可以以一定程度法律确定性价值的牺牲，达成个案正义。

3.是否符合“最小影响”原则

“最小影响”原则（dataminimisation）由欧盟GDPR中第5条第1款c项所确定，用以指导个人数据处理活动中“必需”的概念范围。在Schecke案中，德国联邦农业和食品局（Bundesanstalt）的网站向公众提供EAGF和EAFRD援助受益人的姓名，法院认为这构成了对信息主体私生活的干扰，最终判决删除部分信息，采用侵害性更小的措施来让政府履行其信息公示义务。此后，欧盟Rīgassatiksme案件中重申了这一点，认为“关于处理个人数据的必要性的条件的理解，应牢记必须仅在绝对必要的情况下，才能适用与保护个人数据有关的减损和限制”。同样在我国《个人信息保护法》中，尽管并未以单独条文的形式展现这一原则，但是在该法第6条“目的限制”原则中，可以引申出至少包含目的特定、直接相关、最小影响三个层次的内涵，根据一般条款与第13条之间的关系，可得知对于“必需”的确定，不仅需要基于合同目的对“必需”进行评估，还需要进一步比较为实现相同目的的各处理行为间影响性的大小。

（三）引入“场景理论”作漏洞填补

上述以多种解释工具对“必需”的内涵进行丰富与细化，但是传统解释框架囿于法律自身的局限，不免有不确定性及僵硬性的缺陷。基于信息流动与隐私保护有具体适用场景的特点，“场景理论”（contextualintegritytheory）被提出，该理论相对于传统理论更为准确，也更符合信息规范，可有效规范信息主体于各种场景下的行为，其近来已成为个人信息保护领域具有较强解释力的学说。自海伦·尼森鲍姆（HelenNissenbaum）提出该理论以来，美国立法如《消费者隐私权利法案》（TheConsumerPrivacyBillofRights，以下简称“CPBR”）、《2018年加州消费者隐私法案》（CaliforniaConsumerPrivacyAct，以下简称“CCPA”）等信息保护立法即贯彻该理论，以“场景”为核心界定个人信息的保护限度。其后有鉴于“场景”的流动性与易变性，《2020年加州隐私权法案》（TheCaliforniaPrivacyRightsAct，以下简称“CPRA”）采取“初始目的”与“场景路径”双重认定模式，以进一步更好认定信息处理行为正当性与否。国内也有部分学者意识到该理论的潜在价值，试图将其引入以加强个人信息的保护，甚至有学者认为可以“场景与风险导向”替代知情同意规则。

与此同时，尽管我国仍依从欧盟GDPR主要以传统的“知情-同意”规则架构为基础，但在行政法规、规章类如《区块链信息服务管理规定》《互联网新闻信息服务管理规定》等中，其他规范性文件如《移动互联网应用程序信息服务管理规定》《互联网信息搜索服务管理规定》等均对细化的场景进行描述。可见，“场景理论”作为“必需”的法律漏洞填补的尝试，无疑具有重要意义。

在《个人信息保护法》框架下，“场景理论”并非一味追求个人信息主体的同意。而是需要结合信息处理时的具体场景因素，引入法律规范、行业规则、商业习惯、合理期待等作为判断规则，聚焦于合同的订立、履行过程，在“场景授权”下被认为能被豁免同意的信息处理行为，便可视为是“必需”的行为，无须个人信息主体的进一步同意。

基于《民法典》合同编对有名合同与无名合同的处理，可对“场景理论”中的信息类型、参与主体、传输原则三要素加以改造，进而形成图1中具象化的裁判规则，对订立、履行合同所必需的判断提供指引。首先确定合同类型，有名合同于《民法典》合同编有明确条文提供指引，且此类合同在实践中已形成高度共识，较为容易判断。但对于无名合同以及存在合同联立的情形，则需进入第二阶段的判断，即明确合同关系的内容以及基本目标，对此不仅需要以信息处理者的合理视角判断，更应当以信息主体的一般视角确认合同的真实目的；后续的两步是对于第二阶段的补充，在法律、行政性法规以及其他规范性文件能予以明确的情况下，一般采信其效力，未予明确的，结合商事习惯，以一般人的视角做出判断。

在既有司法实务中，具备将“场景理论”作为判断“合理预期”的实践经验基础，如在法律咨询场景中，当事人向律师陈述其纠纷时，双方处于“合同准备”阶段，系“订立个人作为一方的合同”，合同类型为服务合同，内容为当事人提供案件相关事实与个人信息，律师提供法律服务；对合同的必备要素确定可根据律师执业伦理以及《律师法》的规定，当事人信息的提供并非是一种自愿性原则，而是近乎强制性规则，律师也应当遵循对当事人的信息严格保密原则，由此可确定，当事人与办案相关的个人信息系本项下的“必需”。又如在信贷场景，借款人与银行订立贷款合同，根据《贷款通则》第27条的规定，银行需获取借款人的征信等个人信用信息，则这些信息为本项下的“必需”。在并无规范文件可供参照情况下，诉诸常识或共识也能确定其内涵，如借贷合同中，债权人取得债务人个人信息并进行催讨，属于在合理预期内，可认为是社会生活常识，不构成侵权，但如果债权人取得债务人多位亲友联系方式，拨打骚扰电话以及群发短信催讨债务，则并不符合合理预期，不构成履行借贷合同所“必需”。

通过以上分析可发现，静态的个人信息保护存在个体主义的特征，存在“必需”内涵难以界定、知情同意规则式微的困境。但若将社会视为场景，则可借助各社会领域既存的规范以及感性认知加以动态保护，抛开既往对“必需”的准确定义，代之以场景标准，其可能是明示的规则或法律规范，也可能隐含在惯例、实践或习惯中。鉴于此，可尝试引入该理论填补“必需”判定的漏洞，为该项的切实落地实施提供基础。

除上述讨论外，对于“为订立、履行个人作为一方当事人的合同所必需”（《个人信息保护法》第13条第1款第2项的前段）的理解，还应当结合《个人信息保护法》第6条、第16条以及《民法典》第1034条-1039条做出合理的体系解释。

（一）本项与第6条

无论何种类型的个人信息处理活动，都应当受到原则的限定。《个人信息保护法》第6条规定为“目的限制原则”（theprincipleofpurposelimitation），被誉为个人信息保护法上的“帝王条款”，其内涵之丰富至少包含目的特定、直接相关、最小影响三个层次。结合第13条第1款第2项的规定，可理解如下：第一，在目的特定的要求下，合同订立、履行的目的应当仅限于单次合同本身，并不涉及后续其它行为；第二，在直接相关的要求下，合同目的同产品或服务直接相关，而非仅将个人信息处理行为作为合同目的；第三，在最小影响的要求下，要求符合比例原则的“最小损害”规则，尽可能减少对于个人信息的处理，质言之，若存在有现实的、侵入性更小的替代方案，则该处理即不符合“最小损害原则”，属于非“必需”。映射于具体应用之中，应当首先考察是否符合本条的法定情形，再结合第6条判断是否符合原则性规定。如平台作为信息处理者，在与自然人订立、履行买卖合同时，不能对个人信息一揽子收纳，而应当遵从目的限制原则，仅限于个人地址、移动电话号码两类个人信息，无权将用户身份证号等个人信息认为“必要”个人信息。但是原则本身较为抽象，且内涵的适用需要根据个案进行解释，需要配套制度以及判例对其具体化，现有《常见类型移动互联网应用程序必要个人信息范围规定》第3条对此作出解释，并对常见的39类App需要处理的必要个人信息范围以规章形式作出指引；司法实践中或根据具体场景判断，或根据发生背景判断，但总体并未形成一致的裁判规则，仍亟待实务和司法审判进一步结合具体场景开展研究。

（二）本项与第16条

《个人信息保护法》第16条规定：“个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由，拒绝提供产品或者服务；处理个人信息属于提供产品或者服务所必需的除外。”该条规定在个人信息是“必需”情形下，赋予信息处理者选择交易与否的权利，但无论何者，都应当履行告知义务。

实践中，本条的意义更多体现于规制信息处理者滥用知情-同意制度的行为。例如，在网络合同订立过程中，提供方常常设置冗长且复杂的“迷宫条款”，目的在于规避法律风险，获取用户的“同意”。用户与提供方不仅存在“信息鸿沟”，更多情形是平台以禁止用户使用APP为“要挟”而要求其使用某项服务——用户只要不同意手机App等互联网应用所要求的概括同意，就完全无法使用或在相当程度上无法使用该App的服务。但从信息处理者角度出发，在大数据时代，个人信息处理量级以万级计数，在此情况下，需要征求海量的用户同意必然导致信息处理利用效率下降，进而对经济与社会发展造成影响，损耗消费者可得福利。

对于本条与第13条第1款第2项两者之间存在的联系，即当个人信息属于“必需”时，信息处理者既可以选择依据第13条无需个人同意处理其个人信息，也可以根据第16条拒绝提供服务或产品。在交易场景中这是不言自明的道理，如在网络购物场景中，买家不同意提供相关地址、联系方式信息，后续合同履行显然难以为继。并且本条也受第6条目的限制原则的约束，使得信息处理者无法“要挟”用户提供个人信息。本条的主要规范目的其实在于前半句，切实落实“知情-同意”规则，规制信息处理者的强制缔约行为。

（三）本项与第20、21、22、23条

基于目前线上、线下交易主体呈现多元化、复杂化的样态，法律如欲对其加以规制或调和，得需先对法律主体间的关系加以明确。《个人信息保护法》第20-23条即对个人信息处理中多方主体的权责进行了细化规定。第20条规定了共同处理个人信息的情形，常见于目前平台的“生态链”，包括但不仅限于母子公司以及股权控制关系的多公司，个人经同意允许一方信息处理者遵循双方的协议处理其个人信息，共同处理者根据法条规定也应当符合其先前的协议约定，存在相同的处理目的和处理方式，因此，第13条第1款2项也同样适用于共同信息处理者；第21条规定了委托处理个人信息的情形，委托人与受托人成立委托合同关系，如数据分析、数据营销，但是需要注意在此种情形下，并不当然符合第13条第1款第2项的豁免情形，理由在于，以个人为一方的合同订立、履行可能并非以此作为“必需”，应当取得个人同意；第22条是存在合并、分立等原因下转移个人信息的规定，由于法律主体地位发生变化而导致个人信息转移，本条承继《民法典》第67条1款的规定，新主体对债权债务继受取得，在原处理方式、处理目的下继续履行义务；第23条规定向其他个人信息处理者提供个人信息的情形，属于系列条款中使用最为频繁的法条，个人信息处理者在多方场景中分为提供方与接收方的角色，例如在网约车场景中，无论是营运车主与用户之间成立了独立的运输合同关系（则可直接适用第13条）抑或是用户仅与平台成立、与营运车主之间并未成立合同关系（则可认为营运车主为接收方，适用第23条），平台作为信息提供方，营运车主作为接收方，无需再次取得个人同意。

（四）本项与第28、29、30、31条

敏感个人信息关乎个人的人身、财产安全，《个人信息保护法》以第28条至31条对于敏感个人信息从定义到处理规则作出了规定。对于敏感个人信息的内涵，我国在《个人信息保护法》出台之前，并未明确敏感与非敏感个人信息的区分，直至该法确立后于第28条规定：一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户行踪轨迹等信息，以及不满14周岁未成年人的个人信息。由此可以看出，在个人信息保护法制定的时候，立法者可能考虑到我国社会的普遍关注等多方面原因，使用了“概括+列举”的定义方式，并采用“等信息”一般概括条款作立法上的法律保留。此种立法技术优势在于，能为立法者以及司法者在应对新兴技术挑战时从容解释，但缺陷也在于“射程”过于宽泛。敏感个人信息对于信息处理者有更高的处理要求，将该条泛化解释可能会导致个人信息私权与公权关系失范由此有两条进路能予应对，其一是严格解释，避免“向一般条款逃遁”，其二则在于明确合法性基础与敏感个人信息处理之间的关系。

就其一而言，在比较法上对于敏感个人信息的内涵有不同的界定，并采用了不同的立法技术。2018年的《个人数据处理中的个人保护公约》（TheConventionfortheProtectionofIndividualswithregardtoAutomaticProcessingofPersonalData，以下简称“公约”）在1981年、2012年两版公约基础上修订，“个人数据自动化处理”更改为“个人数据处理”，从而扩大了公约的适用范围，以应对日益进步与发展变化的互联网信息技术。该《公约》第6条规定，特殊类型的数据（即敏感数据）包括基因数据，涉及犯罪、刑事制裁和相关安全措施的数据，可以识别个人身份的生物特征数据，涉及个人的种族、政治观点、工会成员资格、宗教信仰或其他信仰、健康或性生活的数据。而GDPR在其基础上，又特别强调了基因数据、为了特定识别自然人的生物性识别数据也应被纳入保护范围。有别于这两种具体列举的立法模式，日本《个人信息保护法》则与我国相同，于第2条第3款为敏感个人信息规定了“其他不利益而需要在处理上予以特别注意的记述等之个人信息”。我国台湾地区的“个人资料保护法”第6条也同样采用该模式。

由此可见，我国《个人信息保护法》的立法模式并非无的放矢，如未列举但在比较上予以肯定的性生活记录、犯罪前科等信息，均可被解释入第28条第1款的“等信息”这一概念中，但与此同时敏感个人信息的边界为何，这一问题并未得到解决，只能仰赖于相关司法解释或实践判例，或以标准文件的形式予以细化规定。对于涉及到社会公益的场合，则需对合法性基础这一进路与敏感个人信息的调适进行解释。

敏感个人信息的特征在于“敏感性”，即法条中所表述为“一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害”，所以处理敏感个人信息需要有严格的要求。但同时也需要认识到，处理敏感个人信息的场景也往往关切到自然人巨大的利益，如在医疗场景中，只有对信息主体作为病患的既往病史有充分了解，才能对症下药；又如在新冠疫情期间，只有对信息主体的行踪轨迹信息有足够精确的把握，才能筛查与防范潜在的传染风险。因此，在比较法上，如欧盟的《一般数据保护条例》，韩国的《个人信息保护法》以及我国台湾地区的“个人资料保护法”均作出例外规定。而我国尽管没有明文确立例外规则，但可就《个人信息保护法》第13条作为合法性基础一般规范，与敏感个人信息具体场景中的适用进行法教义学上的改造。

我国《个人信息保护法》在第28条规定了“具有特定的目的”以及“充分的必要性”这两项要件：前项源于《个人信息保护法》第6条目的限制原则的要求，对于敏感个人信息的处理在“明确、合理的目的”要件之上增设了“特定的目的”这一限制，即只有当且仅当“特定”场景发生时，方可处理敏感个人信息。因此该条中的要件也有别于《个人信息保护法》第13条第1款第2项的一般要求，需进一步将合法性基础中的“必需”限定为“特定”这一概念。而“充分的必要性”这一要件则可等同于“必需”之概念，要求“与处理目的直接相关”，并且对于个人信息的收集要求“限于实现处理目的的最小范围”。

但是第29条对于处理敏感个人信息应当取得信息主体单独同意或者书面同意的规定，使得前述论证存在龃龉之处。就第29条的立法目的而言，其一方面通过单独的同意规定警示信息主体敏感信息处理的关切性，另一方面也极大程度避免了信息处理者利用格式合同“绕道”同意规则。由此就目的解释而言，第13条规范作为合法性基础如被严格解释，并非会阻碍第29条的立法目的实现，合法性基础应服膺于第29条的立法目的之下。而从体系解释来说，第13条位于第一章总则，根据“总-分”这种被浓厚德国潘德克顿体系影响的立法体例，合法性基础应具有统率作用。在两种解释工具似乎出现矛盾的情况下，还需落脚于最先发的文义解释之上。“必需”这一法律概念正如前述，具有极大的张力与弹性，因此需要采用多种解释工具加以细化，而当敏感个人信息作为处理对象时，不仅需要在前述基础上明确，还需要进一步将“必需”限定于“特定的处理目的”要件范围内。

而第30条要求在处理敏感个人信息过程中，个人信息处理者需要履行告知义务，除非依据《个人信息保护法》第18条和第35条的规定免予告知。该条为处理敏感个人信息的特别告知事项，并不与第13条确立的合法性基础相矛盾，系属于公开透明原则的应有之义。除此之外，《个人信息保护法》还于第51条确立了敏感个人信息处理者的管理与保密义务，与该条相辅相成，为信息处理者依据合法性基础处理信息后的相关义务加以明确。

八、举证责任

根据罗森贝克的证明责任一般原理，关于“合同所必需”的成立以及内容，由主张其适用的一方承担证明责任。证明内容不仅需证实应当被认定为“必需”的事实存在，而且应当证明其信息处理行为符合目的限制原则，符合“必需”价值。在举证不利或不能情况下，需承担如下风险：法官依照商业习惯、双方意愿、合同目的等判定其未经同意的个人信息处理行为并不受第13条所豁免，信息处理存在侵权行为。主张其存在一方通常为“信息处理者”，当然，个人信息主体也可能主张该项，以证明相对方具有信息处理的合法性基础。但应当认为这种主张构成“事后的同意”并非是一种“事前、事中同意”，并无法成为一种自认以改变原“未经同意处理个人信息”或者“超出同意范围处理个人信息”的法律事实。