随着《关于加强网络信息保护的决定》《电信和互联网用户个人信息保护规定》《网络安全法》《民法典》《个人信息保护法》等法律法规的相继出台，“合法、正当、必要原则”已成为个人信息处理的基本原则。然而，不但现行法就如何准确界定并正确适用“合法、正当、必要原则”没有给出明确答案，而且学界对正当目的原则的表述也仅停留在简单概念层面，且对必要原则的研究尚未深入展开。需要基于中国现行法并结合比较法经验，从公私法融合的视角，对个人信息处理的“合法、正当、必要原则”进行系统研究，探寻个人信息保护的平衡之道，以期为企业、监管机构、法院等提供智识参考。

正当、必要原则对个人信息保护与利用的价值

由于法律原则具有较大的灵活性，正当、必要原则不但可以填补个人信息处理法律规则的漏洞，还在个人信息保护和利用方面存在有以下价值：

弥补日益流于形式的告知同意机制的缺陷

告知同意原则要求将个人信息处理的目的、范围、方式等事项明确告知个人，并获得同意。而如今，个人信息处理者通过契约创立大量“私人规则”，使得被告知的服务协议或隐私政策大多冗长晦涩，缺乏协商余地，进而导致个人不得不接受即使是有失偏颇的告知事项。告知同意机制步入困境，逐渐降低了数据保护的功能。作为个人信息处理的重要实体原则，正当、必要原则可以弥补日益流于形式的告知同意机制的缺陷。

有效规范告知同意机制的例外情形

获得个人同意，并非合法处理个人信息的唯一条件。我国《信息安全技术个人信息安全规范》《民法典》《个人信息保护法》均表明告知同意机制存在例外情形。在这些例外情形下，个人信息权利更容易受到侵犯，而正当、必要原则可以有效规范告知同意机制的例外情形。

有利于破解个人信息权利化的困境

学界目前对如何更好地保护个人信息，有“赋权说”和“行为主义规制说”两种理解。我国《民法典》和《个人信息保护法》将个人信息作为权益加以保护，未明确设立个人信息基础性权利。在个人信息权利化存在理论挑战与实践困境的情境下，有必要把重心放在实质规范个人信息处理行为上，强化对个人信息处理的正当、必要原则约束。

个人信息处理的正当原则：目的特定、明确、合理

正当原则是合法处理个人信息的首要条件，也是对个人信息处理目的的要求。个人信息处理的正当目的包括公共目的和私人目的，目的可以由法律列举，也可以根据具体情形进行实质判断。

个人信息处理目的应特定、明确

目的特定、明确是正当处理个人信息的前提。政府和私主体处理个人信息的目的需要特定、明确，不同的是，政府只能是出于维护公共利益的目的，而私主体可以出于维护自身利益、个人利益、第三人利益、公共利益等多种目的。然而，当前法律对个人信息处理的正当原则规定得比较宽泛，并且过度要求个人信息处理目的特定、明确，可能会限制个人信息的充分流通利用，因此应允许适度的目的变更。变更后的目的不但应该与原初目的之间具有合理关联性，而且必须符合个人的合理预期。

个人信息处理目的应合理

目的合理，要求公私主体在处理个人信息时，应符合公共利益和合法的私人利益。一方面，在政府出于公共利益处理个人信息的范围和频度不断扩张的同时，私人也能为了公共利益进行个人信息处理，并且二者处理时目的都应具备合理性。另一方面，为了特定情形下的私人利益，未经个人同意也可进行个人信息处理，如为履行合同的目的、为保护个人或其他自然人的重大利益、为内部管理的目的以及为提供安全稳定的产品或服务的目的。

个人信息处理的必要原则：禁止过度损害和保障不足

探讨必要原则的内涵，不应割裂其同正当原则的关系而过度扩大其内涵。同主要评价目的的正当原则相对应，必要原则主要是对个人信息处理手段的规范，并包括禁止过度损害和禁止保障不足两大方面。具体而言：

合理关联性：个人信息处理不得超出正当目的

我国《个人信息保护法》第6条“应当与处理目的直接相关”的规定过于狭窄，与处理目的间接相关但具有合理关联性的个人信息处理，也具有正当性。具体而言，合理关联性表现为以下几个方面：其一，收集与正当目的相关联的最少够用的个人信息。其二，与原初目的没有合理关联的个人信息处理，即使是为了追求其他正当目的，也不具有正当性。其三，第三方应在授权目的范围内合理使用个人信息。其四，应在合理期限内存储个人信息。

个人信息处理应实现最小损害

《个人信息保护法》第6条明确规定，“采取对个人权益影响最小的方式”处理个人信息。其一，应比较个人信息处理不同方案的损害大小，如果有多种个人信息处理方式同样有助于实现正当目的，应选择没有损害或最小损害的处理手段。其二，对于必要情形的个人信息处理，应进行个人信息风险评估，较为准确地挑选出最小损害的处理方式。其三，对个人信息进行分类分级管理，严格限定对私密信息的处理。分类管理既能促进个人信息流通利用，也可以保障个人信息处理不造成过度损害。

个人信