近日，工业和信息化部等三部门起草的《移动互联网应用程序个人信息保护管理暂行规定（征求意见稿）》（以下简称《征求意见稿》），向社会公开征求意见。《征求意见稿》坚持人民利益至上、坚持问题导向、坚持落实主体责任，有诸多亮点，对规范移动互联网应用程序个人信息处理活动，并促进个人信息合理利用，保护个人信息权益，有重要意义。《征求意见稿》明确规定了个人信息处理的“合法、正当、必要原则”，笔者集中对第5条、第7条提出修改意见。

“合法、正当、必要原则”，是数字时代个人信息处理最重要的实体原则。早在2012年，全国人大常委会发布的《关于加强网络信息保护的决定》就规定了“合法、正当、必要原则”：“网络服务提供者和其他企业事业单位在业务活动中收集、使用公民个人电子信息，应当遵循合法、正当、必要的原则。”此后，越来越多的规定提到了该原则。

就现行法而言，消费者权益保护法第29条规定，“经营者收集、使用消费者个人信息，应当遵循合法、正当、必要的原则”；网络安全法第41条规定：“网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则”；民法典第1035条明确规定，“处理个人信息的，应当遵循合法、正当、必要原则，不得过度处理”。可见，“合法、正当、必要原则”已成为我国的法定原则。《征求意见稿》不仅有必要直接规定“合法、正当、必要原则”，而且还应当对其具体化。

然而，《征求意见稿》的相关规定并不完善。其第5条提到：“App个人信息处理活动应当采用合法、正当的方式，遵循诚信原则，不得通过欺骗、误导等方式处理个人信息，切实保障用户同意权、知情权、选择权和个人信息安全，对个人信息处理活动负责。”没有具体明确“合法、正当”的内涵，又加了内涵更宽泛的“诚信原则”，不利于“合法、正当”原则的适用。此外，该条款对个人的权利列举并不完整，如遗漏了民法典所规定的查阅权、复制权、更正权、删除权等权利。

《征求意见稿》第7条规定“从事App个人信息处理活动的，应当具有明确、合理的目的，并遵循最小必要原则，不得从事超出用户同意范围或者与服务场景无关的个人信息处理活动。……”，没有明确必要原则的内涵，只作了一些列举。

笔者认为，《征求意见稿》应当从整体上理解具有内在统一关系的“合法、正当、必要原则”，不宜无限扩大任何一个子原则的内涵，否则该子原则就可能涵盖其他子原则。“合法、正当、必要原则”分别评价数据处理行为的形式合法性、目的正当性和手段必要性。“合法原则”属于形式合法性范畴，主要是指数据处理应符合法律的明确规定，如符合告知同意程序、符合存储期限的要求。“正当、必要原则”属于实质合法性范畴，是对数据处理目的与手段的合理性评价。

“正当原则”侧重于评价个人信息处理目的，它要求个人信息处理必须出于特定、明确、合理的目的。如果个人信息处理目的过于宽泛、抽象，不仅无法有效指引具体的个人信息处理活动，而且无法有力限制个人信息的处理范围而极易导致滥用个人信息。

然而，过度要求个人信息处理的目的特定、明确，可能会限制个人信息的充分利用，应允许适度的目的变更。如日本《个人信息保护法》第15条第2款规定，个人信息处理者变更利用目的的，不得超出一定合理的范围，变更后的目的应与变更前的目的具有相当关联性。“必要原则”包括禁止过度处理个人信息和禁止对个人信息保障不足两大方面。

因此，建议整合《征求意见稿》第5条、第7条的相关内容，明确App个人信息处理活动应当遵循“合法、正当、必要原则”，并明确其内涵。修改建议如下：

App个人信息处理活动应当遵循“合法、正当、必要原则”，切实保障用户权利和个人信息安全，对个人信息处理活动负责。

处理个人信息应当具有明确、特定、合理的目的，并应当限于实现处理目的所必要的最小范围、采取对个人损害最小的方式，不得从事超出用户同意范围或者与服务场景无关的个人信息处理活动。

App个人信息处理者应采取必要的组织、技术等措施，确保个人信息处于有效保护和合法利用的状态，以及保障持续安全状态的能力。

（作者系中央财经大学数字经济与法治研究中心执行主任、法学院副教授）