海报丨外防输入、内防反弹！山西省疫情防控办发出健康提示

〔45 〕将仲裁机构定位为社团法人的，主要是大陆法系国家或地区;而将仲裁机构定位为公司的，多是英美法系国家或地区。

[29]2017年，法工委先后对一些法规中存在的问题向制定机关发出书面研究意见，要求制定机关进行修改、废止。曾任全国人大常委会委员长的李鹏同志说过，全国人大常委会认为事先协商很重要，对国务院的行政法规行使撤销权会造成很大影响，人大也从来没有撤销过，[24]如全国人大法工委对有关组织法、选举法的规范性文件的审查就是通过内部沟通的渠道纠正的。

表2  我国20世纪80年代讨论的违宪审查[21] 几十年后的今天，当党的十九大报告提出合宪性审查命题时，不论是中央文件还是其后的学界探讨，都集中在怎么审查规范性法律文件方面，违宪审查的政治功能已经淡出人们的视野，这是由当下中国的实际情况决定的，是求真务实的。[32]同前注[6]，张春生、秦前红、张翔文。沟通有的时候也做了不少艰苦工作。那么，还可进一步问，全国人大违宪怎么办？这是绝对不可能的突发公共卫生事件中信息公开从危机管理的角度来看是一项系统性工程，而不同于简单的政府信息公开。

[18] 参见［德］齐佩利乌斯：《法学方法论》，金振豹译，法律出版社2018年版，第57页。虽然我国并没有根据《宪法》的紧急状态条款制定统一的紧急状态法，但是也将其内容分散式的规定在各个子分类领域。判断个人信息处理者是否采取了必要的安全保障措施，应当在比例原则语境下考量成本。

它既要求处理个人信息时应在有助于目的实现的必要范围内运用最小损害的手段，又要求采取必要措施最大程度保障个人信息安全。中国《关于加强网络信息保护的决定》较早规定了告知同意原则，要求明示收集、使用信息的目的、方式和范围，并经被收集者同意，之后的相关法律作了类似规定。[57]《一般数据保护条例》存在多处要求数据处理具有合比例性的规定。欧盟《一般数据保护条例》第6条规定了处理个人数据的6种合法性条件，同意仅为其中一种情形。

[5] 一、正当、必要原则于个人信息保护与利用的价值 正当、必要原则有利于实现个人信息保护与利用的平衡。运用个人信息实现公共利益的行为必将更加普遍。

通过比例原则可以确立不同场景下个人信息的合理使用规则，以判定个人信息是否合规。《网络安全法》《关于加强网络信息保护的决定》《消费者权益保护法》等要求发生网络安全事件时，应立即采取补救措施阻断传播采取其他必要措施予以制止，否则应承担相应的责任。《个人信息保护法》确立的个人信息保护影响评估制度具有重要的时代价值，但可能范围过宽。[33]参见郭瑜：《个人数据保护法研究》，北京大学出版社2012年版，第152页。

（二）有效规范告知同意机制的例外情形 获得个人同意，并非合法处理个人信息的唯一条件。市场失灵是私法自治天生的基因缺陷，公法介入私法自治是现代国家不可避免的制度安排。多大程度的使用才算合理使用，如何判断履行合同、履行法定职责等所必需，均离不开正当、必要原则的有效指引。[23]《民法典》第1036条规定，为了维护公共利益可以合理使用个人信息。

第26条规定在公共场所安装图像采集、个人身份识别设备，只能用于维护公共安全的目的。在合理的成本范围内，采取切实有效的组织与技术措施，最大程度保障个人信息安全。

（三）个人信息处理的均衡性：利益衡量 必要原则要求个人信息处理应具有均衡性。正当、必要原则可以有效规范告知同意机制的例外情形。

[13]齐爱民：论个人信息的法律保护，《苏州大学学报（哲学社会科学版）》2005年第2期，第33页。该条实际上是比例原则的体现，对个人信息处理目的和手段提出了要求。至于个人信息处理的哪些目的是合理的，法律对于常见情形可以作出列举，即明确规定合法利益的类型。在南昌抢楼汇网络科技公司诉广东云上城网络科技公司案中，法院认为，原、被告未经业主本人同意而大量收集并录入业主信息，将个人信息用于非物业管理所需，用于商业用途，侵犯了业主的隐私。2021年8月20日颁布的《个人信息保护法》规定，处理个人信息应当遵循合法、正当、必要和诚信原则采取对个人权益影响最小的方式不得过度收集个人信息，并17处使用不确定性法律概念必要必需。《个人信息保护法》第6条规定处理个人信息应当具有明确、合理的目的，不足以囊括对目的的所有要求，还应加上特定标准。

中国《宪法》第51条的权利的限度条款和第33条第3款的国家尊重和保障人权条款，内在蕴含了比例原则。个案中个人信息处理目的的合理性，需要根据具体情形进行实质判断。

不同场景的处理目的与方式可能会发生变化，如果反复利用告知同意机制，不仅会使用户产生同意疲劳而疲于同意，而且还会增加互联网企业的运营成本。一是规定目的明确原则。

综上，正当、必要原则有助于弥补日益流于形式的告知同意机制的缺陷，可以有效规范告知同意机制的例外情形，有利于破解个人信息权利化的困境。[18]很多数据在收集的时候并无意用作其他用途，而最终却产生了很多创新性的用途。

个人信息处理者应尽量运用先进安全的数字科技，避免对个人造成过度损害，防止对其造成不必要的干扰。如果个人信息处理目的过于宽泛、抽象，不仅无法有效指引后续的个人信息处理活动，无法有力限制个人信息处理范围，而且也无法使个人形成合理预期而可能始终处于信息惶恐状态。在很多情形下，个人不得不接受即使是有失偏颇的告知事项。《民法典》第一编总则第111条、第四编人格权编第六章隐私权与个人信息，都只是使用了个人信息权益。

个人信息处理应在实现目的的必要范围内、对使用方式进行限制等，实际上是对个人信息处理手段的要求，应受必要原则的调整。[40]程啸：论我国民法典中的个人信息合理使用制度，《中外法学》2020年第4期，第1008页。

政府在进行个人信息处理时，必须是为了实现特定、明确的具体公共利益。在凌某某诉北京微播视界科技有限公司案中，法院认为，未经信息主体同意而进行超过合理期限的存储，可能不合理扩大了个人信息泄露或被不当利用的风险，不符合必要原则。

对于国家机关而言，只要个人信息处理涉及利益冲突，就需要通过合比例性权衡实现利益均衡。[10]参见高富平：个人信息保护：从个人控制到社会控制，《法学研究》2018年第3期。

中国法院在案例中确立了第三方使用数据的三重授权原则。[6]参见［美］伊恩·艾瑞斯：《大数据：思维与决策》，宫相真译，人民邮电出版社2014年版，第63页。《个人信息保护法》第6条要求不得过度收集个人信息，应当限于实现处理目的的最小范围。只要同个人达成了平等自愿的充分合意，个人信息处理者就可以按约定对个人信息进行处理。

个人信息处理目的的合理变更应当有限度，否则将最终掏空正当原则的整个制度基础。梁泽宇：个人信息保护中目的限制原则的解释与适用，《比较法研究》2018年第5期。

然而，对于究竟如何准确界定并正确适用合法、正当、必要原则，现行法律规定没有给出明确的标准答案，相关学术研究也不多。日本《个人信息保护法》第15条第2款规定：个人信息处理者变更利用目的的，不得超出一定合理的范围，变更后的目的应与变更前的目的具有相当关联性。

美国《加利福尼亚州消费者隐私法案》（CCPA）对于出售消费者数据、用于财务激励等数据处理的同意机制作了规定。对于私主体而言，无论是为了公共利益还是私人利益处理个人信息，只要涉及利益冲突，就应实现利益均衡。