第六条 【个人信息处理的基本原则】

处理个人信息应当具有明确、合理的目的，并应当与处理目的直接相关，采取对个人权益影响最小的方式。

收集个人信息，应当限于实现处理目的的最小范围，不得过度收集个人信息。

【释义】

本条确立了处理个人信息的基本原则：目的性原则、必要性原则与收集个人信息的基本原则“最小范围原则”。所谓目的性原则，是指个人信息处理活动必须具有明确的目的，处理目的必须具有一定的合理性，全部个人信息处理活动必须围绕该目的展开。所谓必要性原则，是指个人信息处理活动应与处理目的直接相关，采取对个人权益影响最小的方式。所谓“最小范围原则”，是指个人信息收集活动应限于实现处理目的的最小范围，尽可能少地收集个人信息，不可过度收集个人信息。《个人信息保护法》第6条确立了收集处理个人信息的基本原则，是个人信息收集处理主体开展相应活动的基本行动指南，也是国家机关处置个人信息受侵害案件的基本指导思想，是实用性和指导意义较强的一项原则性规定。

本条规定在审议颁布的过程中，经历的重要修改有两次：一是新增了“采取对个人权益影响最小的方式”规定，补充完善了必要性原则的具体内涵；二是将“个人信息处理活动”与“个人信息收集活动”区分开来，并为个人信息收集活动规定了“最小范围原则”。新增“采取对个人权益影响最小的方式”规定表明，立法者将其关注的焦点由个人信息处理过程扩展到处理结果，由处理行为扩展到处理对象，更加贴近个人信息权益保护的立法宗旨，突出了自然人在个人信息处理活动中的主体地位。而把“个人信息处理”与“个人信息收集”区分开来，意味着立法者对个人信息的生命周期与处理活动有了更为清晰的认识，司法实践中也更具有可操作性。本条第2款最后部分新增的禁止性规定，似有表意重复之嫌，但却是对近期社会实践中部分应用软件过度收集个人信息现象的有效回应。整体而言，两次修改进一步完善确立了目的性原则、必要性原则与最小范围原则，使该条规定逐步臻于完善，具有更好的法律可行性。

本条规定所确立的目的性原则、必要性原则与最小范围原则，实际上是行政法研究中常见的比例原则于个人信息保护方面的扩大化运用，所以也可笼统地简称为“比例原则”“最小化原则”等。行政法上的比例原则是指行政机关在执行具体行政行为时，应当在全面权衡公共利益与个人利益的基础上，选择对相对人影响最小的方式，不能超过必要限度。比例原则的核心内容在于考察执行此手段所实现的目标价值与损害公民基本权利的减少价值之间的权衡关系。理解这一要义有助于正确适用个人信息保护法的“最小化原则”——核心内容是个人信息处理者执行信息处理手段所实现的目标价值与损害公民个人信息保护权的减少价值之间的权衡关系，亦即“信息利用”与“信息保护”之间的权衡关系。在此基础上，尽可能使个人信息处理活动对个人权益影响最小、收集个人信息范围最小便可。

个人信息保护法的最小化原则早有先例。2016年《网络安全法》第41条明确规定“收集、使用个人信息，应当遵循合法、正当、必要的原则”“网络运营者不得收集与其提供的服务无关的个人信息”。国家标准《个人信息安全规范》中对最小化原则进行了更为详细的解释：一是收集的个人信息类型应与其产品或服务的业务功能直接关联，缺失这些个人信息则产品或服务的业务功能无法实现；二是自动采集条件下个人信息的采集频率应是产品或服务正常所需的最小化频率；三是间接获取的个人信息数量应当是所必需的最小数量。这些规范具有极强的法律可行性与可操作性，适用个人信息保护法的最小化原则时，可予参考。

欧盟2018年出台《一般数据保护条例》，其中规定了“目的受限”（Purpose Limitation）与“数据最小化”（Data Minimization）两项数据处理基本原则。目的受限原则要求，数据处理者必须从开始就明确处理目的，并于文档中记录和公开处理目的，处理活动限于处理目的所描述的范围。数据最小化原则提出了数据的三项检查要素：充足性，足以正确实现指定的处理目的；相关性，与处理目的具有合理联系；必要性，不超过处理目的所必要的数据范围。GDPR中有关目的受限、数据最小化的实施标准，有助于正确把握和适用我国个人信息保护法的最小化原则。

以《个人信息保护法》为核心，下游的政策法规、司法解释、国家标准等规范正逐步形成体系，个人信息最小化与比例原则将有更详细、更规范、更可行的司法依据。例如，国内手机App过度收集个人信息之风日盛，据2018年中国消费者协会一份报告数据显示，国内100款主流手机App中，有多达91款存在过度收集个人信息的情况，有47款隐私政策不及格。[27]2021年3月，工信部、公安部等部门联合发布《常见类型移动互联网应用程序必要个人信息范围规定》，以“列举明示即排除其他”的方式，就常见类型App的必要数据范围作出详细限定。结合《个人信息保护法》规定，相信可以有效遏制手机App过度收集个人信息的不良现象。

综上来说，本条规定所确立之目的性原则、必要性原则与最小范围原则，或言“比例原则”“最小化原则”，存在行政法、相关法、域外规范、政策法规、司法解释与国家标准等法源内容，理解这些法源内容，有助于本条原则性规定的正确理解和适用。正确理解和适用个人信息保护法的最小化原则，关键点和难点均在于如何平衡“信息保护”与“信息利用”、个人权益与社会公益之间的关系，根据具体情况具体把握此间轻重。

【关联规定】

《中华人民共和国网络安全法》第41条，《中华人民共和国数据安全法》第32条，《电信和互联网用户个人信息保护规定》第9条，《规范互联网信息服务市场秩序若干规定》第16条，《网络交易监督管理办法》第13条

（撰稿人：徐实、张建悦、赵精武）