5日本人抢劫2中国人 一强盗受伤死亡 事发经过是...

[xv]参见王东伟：《法治理念下规范性文件的法院审查研究》，《时代法学》2015年第3期，第116页。

[xliv]审理行政案件纪要也仅提到可以在裁判理由部分对行政规范性文件是否合法、有效进行评述。[xlii]参见孔祥俊：《论法官在法律规范冲突中的选择适用权》，《法律适用》2004年第4期，第5页。

文章来源：《法学研究》2021年第5期。再次，法官经审查发现规章或行政规范性文件并非合法有效时，进行否定性评价需要把握好尺度。从我国裁判文书说理改革的理论要求和制度趋势来看，无论行政裁判还是民事裁判，法官均应在裁判文书中适当呈现其对规章或行政规范性文件的审查情况，阐明其引用或不引用的理由。对于这些程序的启动条件、工作流程、操作要点等，该通知也进行了较为详细的规定。此外，规章或行政规范性文件经审查认定为合法有效后，人民法院在援引时还应当遵守二者在裁判文书中的引用规则，即只能将二者作为说理依据而不能作为裁判依据引用。

从裁判文书释法说理的基本要求及我国裁判文书说理改革的趋势看，无论审查结果如何，人民法院都应在理由部分阐明审查经过及审查结果，以体现其履行了先审后引和充分审查的义务。在宁波万博通信设备有限公司与柯善琼劳动争议纠纷案中，二审法院以并未与其他更高效力层次的法律法规或社会保险政策相抵触回应上诉人对于行政规范性文件合法性的质疑。张新宝：从隐私到个人信息：利益再衡量的理论与制度安排，《中国法学》2015年第3期，第38页以下。

一方面，必要原则要求个人信息处理不得超出正当目的，并且对个人造成最小损害，禁止损害过度。[3]张新宝：个人信息收集：告知同意原则适用的限制，《比较法研究》2019年第6期，第12页。《一般数据保护条例》第9.2条（b）项规定，为实现数据控制者或数据主体在劳动、社会保障以及社会保障法的范畴内履行义务、实现特定权利所必需，可以依法处理数据。[14]参见注[1]，梁泽宇文，第16页。

[21]在欧盟，《一般数据保护条例》第5条明确了正当的目的变更条件，规定如果后续数据处理基于第89条第1款，是为了实现公共利益归档目的、科学或历史研究目的、统计目的，不应被视为违背原初目的。如黄某诉腾讯微信读书案，法院认为，微信读书收集用户的微信好友列表，是为了在关联产品微信读书中开展基于微信好友关系的社交功能，所以收集原告好友列表不违反必要原则。

尽管正当、必要原则有利于弥补网络市场中意思自治与契约自由的缺陷，可以矫正个人信息处理者同个人之间日益严重失衡的不平等态势，但应防止无限扩大其内涵与适用范围。之所以将体现公法比例原则的正当、必要原则规定于私法之中，就是为了弥补数字时代意思自治与契约自由的缺陷，矫正个人信息处理者同个人之间日益严重失衡的不平等态势。[36]参见天津市滨海新区人民法院（2019）津0116民初2091号民事裁定书。其二，与原初目的没有合理关联的个人信息处理，即使是为了追求其他正当目的，也不具有正当性。

如果个人信息处理对个人造成的损害同其所促进的公共利益不成比例，个人信息处理就不具有必要性。[15] 当前法律对于个人信息处理的正当原则规定得比较宽泛。三是规定目的正当原则。如张新宝认为，必要原则包括充足、相关、不过量等要素，告知同意原则要受到必要原则的制约。

[53]尤其在数字时代，网络市场失灵更容易发生，引发的后果更为严重，必须通过公法矫正互联网空间的私法自治不足。《个人信息保护法》第6条体现了必要原则，要求处理个人信息应当采取对个人权益影响最小的方式，不得过度收集个人信息。

{2}张新宝：个人信息收集：告知同意原则适用的限制，《比较法研究》2019年第6期。2012年欧洲委员会修正通过的《个人数据处理中的个人保护公约》第5条第1项明确规定：无论是为了公共利益还是私人利益，数据处理应当与其所追求的合法目的成比例，在处理过程的各个阶段均应确保有关的所有利益，同相冲突的权利与自由始终保持公正的平衡。

如果变更后的目的与原初目的明显没有合理关联，超出个人的合理预期，个人信息处理者应再次履行告知程序，获取二次同意。2020年颁布的《民法典》第1035条明确要求，处理个人信息的，应当遵循合法、正当、必要原则，不得过度处理。如果有多种个人信息处理方式同样有助于实现正当目的，应选择没有损害或最小损害的处理手段。同主要评价目的的正当原则相对应，必要原则主要是对个人信息处理手段的规范，它要求在必要限度内处理并保护个人信息。在适用范围上，合法、正当、必要原则对私主体和国家机关都具有约束力。在目的特定、明确的基础上，政府处理个人信息的目的还应当合理。

因为即使目的明确、合理，但仍然可能过于宽泛。《网络安全法》《关于加强网络信息保护的决定》《消费者权益保护法》等要求发生网络安全事件时，应立即采取补救措施阻断传播采取其他必要措施予以制止，否则应承担相应的责任。

其四，应在合理期限内存储个人信息。少数学者研究了数据处理中目的限定原则，将其分为目的明确和使用限制两方面。

判断个人信息处理者是否采取了必要的安全保障措施，应当在比例原则语境下考量成本。[10]参见高富平：个人信息保护：从个人控制到社会控制，《法学研究》2018年第3期。

[38]参见刘艳红：公共空间运用大规模监控的法理逻辑及限度——基于个人信息有序共享之视角，《法学论坛》2020年第2期，第5页。在合理的成本范围内，采取切实有效的组织与技术措施，最大程度保障个人信息安全。《个人信息保护法》第9、38、47、59条要求采取必要措施保障个人信息安全。正当原则要求个人信息处理必须出于特定、明确、合理的目的。

[56]同注[2]，Gillian Black and Leslie Stevens文，第107页。[9]行为主义规制说则认为，抽象赋权会妨碍个人信息的流通利用，应基于具体场景对个人信息处理行为实施差异化规制。

为了降低个人信息安全风险，较为准确地挑选出最小损害的处理方式，必要时需要全面评估个人信息风险。全国人大2012年发布的《关于加强网络信息保护的决定》较早规定了合法、正当、必要原则：网络服务提供者和其他企业事业单位在业务活动中收集、使用公民个人电子信息，应当遵循合法、正当、必要的原则。

如果将收集的信息用于合理关联的其他产品或服务，也应当认为符合必要原则。（二）个人信息处理应受比例原则约束的原因 比例原则是个人信息处理中平衡安全与效率的核心元素。

[29]个人信息买卖形成了黑色产业链，上游负责源头供货，中游负责数据加工处理，下游负责应用变现。法律原则具有较大的灵活性，当个人信息处理法律规则存在模糊性、不一致性、滞后性等问题时，适用正当、必要原则可以最大程度保护个人信息。关键词:  个人信息处理 合法、正当、必要原则 个人信息保护 比例原则 引言 在数字时代，如何规范日益增多的个人信息处理行为，既有效保障个人信息安全，又有力促进个人信息的合理利用，成为一项重要课题。如《一般数据保护条例》第5.1条（e）规定，如果采取了适当的技术和组织措施，基于实现公共利益归档目的、科学或历史研究目的或统计目的，可以较长时间存储个人数据。

如果个人信息处理导致利益失衡，则不符合必要原则。在实践中企业会尽量用模糊、宽泛的词汇来表述其约定目的，从而扩大个人信息的收集、使用范围，并降低其自身法律风险。

对于个人信息的种类，在黄某诉腾讯微信读书案中，法院将其分为三类：一是私密信息，应强化防御性保护。个人信息处理者为了公共利益而处理个人信息时，同国家机关一样，应追求利益均衡。

不同场景的处理目的与方式可能会发生变化，如果反复利用告知同意机制，不仅会使用户产生同意疲劳而疲于同意，而且还会增加互联网企业的运营成本。此外，正当、必要原则可以填补个人信息处理法律规则的漏洞。