一、问题的提出

在数字政府建设的当下，行政机关间大规模共享包括个人信息在内的数据信息已然是一项普遍的事实。[1]这类跨机关的个人信息处理活动，虽然基于“整体政府”的理念提升了行政效能与公共服务质量，减轻了信息重复收集的成本及对公民的困扰[2]，但在这一过程中公民的个人信息被进一步整合、滥用、泄露的风险也相对升高。因此，随着数字化技术发展日新月异，如何在通过个人信息共享提升政府服务品质与运作效率的同时，充分保障公民的个人信息权益，是当前亟待解决的问题。

不过，无论是在理论研究层面还是制度实践层面，当下我国对行政机关间共享个人信息活动的法治约束都存在不足。在理论层面，既有研究对行政机关处理个人信息的关注点主要集中在“外部收集”或“对外公布”这类具备权力行使外观的信息处理行为上。[3]但是，对于“不可见”“隐蔽”的个人信息共享行为如何约束这一问题，理论界更多只是抽象地探讨政府数据共享制度应遵循的基本原则，缺乏精细化、专门化、体系化的阐述。[4]在为数不多的涉及个人信息共享行为法律控制的研究中，相关的分析框架也存在明显不足：例如，有研究对国家机关间传输个人信息的实践作了初步梳理，总结了个案式传输和规模化传输两种样态，但是，这种类型化的方式在逻辑上并不周延。该种观点认为个案式传输是执行行政任务中点对点式的，规模化传输则是平台化、宽泛化的由当下的政务数据共享政策所驱动的。[5]但实际上，个案式传输指向的是当事人和行政机关间的“个案法律关系”，规模化传输中的“规模”却指向的是行政机关之间基于信息处理系统的互动频率，两者很难进行准确的二元划分。并且，这种划分方法无法从共享职责和目的出发，真正完善共享行为的合法性要件和立法技术。总的来看，在行政机关共享个人信息活动之侵害风险日益加剧、外部性日益明显的当下，既有研究尚无法准确定位个人信息共享行为的性质、类型与边界，难以对这一现象作出充分的回应。

在制度实践层面，当下的国家治理以持续性的信息处理为重要基础，通过政府信息共享形成的“大数据”，与不断更新迭代的算法相结合，对传统的行政权力进行了赋能。但是，与日益频繁的信息共享活动相比，目前鲜见专门控制行政机关间共享个人信息的约束性、保障性规则。例如，《全国一体化政务大数据体系建设指南》（国办函〔2022〕102号）强调通过跨地区、跨部门、跨层级的个人数据共享规制社会风险、提升公共服务质量；不过，相应的共享行为合法性审查机制尚付之阙如。

在一般性规则层面，《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）第二章第三节对行政机关在内的国家机关处理个人信息的行为作了原则性规定，同时在第20~23条对多个信息处理者处理个人信息的行为进行了规则表达。但是，这些规范如何适用于行政机关间共享个人信息的活动，仍然不甚清楚。诚然，通过政策主张与激励机制破除政府部门间的“数据孤岛”有其现实合理性，但个人信息共享活动的法治化、规范化、理性化也不容或缺。此时，究竟如何将个人信息保护的规范、原理、框架有效地融入行政机关间共享个人信息的场景中？

对此，有必要立足全球视野，比照国内外实践，全面而深入地揭示行政机关间个人信息共享的法律性质、基本类型、主要风险与控制工具，进而从法律依据、个人权利、组织保障等角度，系统性地构建行政机关间共享个人信息行为的法治约束框架。

二、行政机关间共享个人信息行为的特征与类型

对行政机关间共享个人信息行为展开法治约束，首先要明确此类行为的基本特征与运作逻辑。进而，梳理来源机关处理信息与接收机关处理信息之间的关系，根据不同的法律关系展开类型化分析。

（一）为履行法定职责而进行信息共享的行为特征

《个人信息保护法》对国家机关处理信息与私人机构处理信息进行了一体化调整。这是否意味着行政机关间共享个人信息这一处理行为，与私人机构之间共享个人信息的行为具有相同的法律性质？回答应当是否定的。实际上，行政机关间共享个人信息的行为具有行政性，与私人机构之间共享个人信息的行为存在很大差异。

一方面，共享行为的目的不同。私人机构间共享个人信息，主要是因为接受者需要分析利用这些信息，进而对个人提供特定服务、开展民商事活动。行政机关间共享个人信息，则是因为行政机关在履行法定职责的过程中，需要利用这部分个人信息来行使行政职权、完成行政任务。[6]例如，在行政许可与行政处罚实施的过程中，接收机关获取个人信息可为其开展事实认定活动提供基础；个人信息所指向的个人特征也是接收机关行使裁量权、选择处理措施的重要依据。又如，在城市管理与公共服务过程中，接收机关需要汇总大量的个人信息形成大数据辅助决策。此外，在一些行政行为的作出与执行阶段，接收机关还可将获取到的个人信息作为重要媒介对外行使职权，如实施通报批评、个人表彰等信息发布行为。

另一方面，共享行为中信息处理者的自主性不同。私人机构共享个人信息主要是在民商事活动中发生的，个人信息处理者可以自主决定处理的目的和方式。个人则在信息处理关系中获取私人机构所提供的相应服务。这类“交换关系”下的共享行为具有私益性，故通常以个人同意作为正当基础。[7]与之相比，行政机关间共享个人信息的行为具有法定性和公共性，共享的目的、范围、方式、种类等事项并不能由行政机关自主决定或与个人信息主体协商决定，而是取决于法定授权。《个人信息保护法》第34条规定：“国家机关为履行法定职责处理个人信息，应当依照法律、行政法规规定的权限、程序进行，不得超出履行法定职责所必需的范围和限度。”此时，行政机关间的个人信息共享行为应当服务于行政机关的职权行使需要，既不能针对不属于行政机关法定职责的事项而共享个人信息，也不能针对法定职责内容共享非必需的个人信息。[8]正如美国学者杰森·马里萨arisam）所指出的，有别于私人市场，以公职人员为核心参与者的政府间“市场”不应仅追求效率提升，还要考虑公民权益保障、政府责任和权力制衡，必须受到行政法的严格约束。[9]

就此，私人机构之间共享个人信息的相关规则，并不能当然地适用于行政机关间共享个人信息的活动。对于行政机关而言，数据共享不仅影响行政决策和监管效率，更直接关系到公民权益保护、行政透明度和法治政府建设的公信力。《个人信息保护法》第20~23条对四种不同的多主体处理个人信息的情形作出了规定，分别是个人信息共同处理、委托处理、特殊情形下转移，以及向其他处理者提供，这些都自然涉及个人信息在不同主体之间的共享。但是，这些规定主要针对私人机构处理个人信息的场景展开：个人信息共同处理（第20条）、委托处理（第21条）都强调“按照双方约定的权利义务”进行信息处理，前者指向处理者在民法上的连带责任，后者指向处理者之间基于委托合同的责任；特殊情形下的个人信息转移（第22条）主要是针对企业法人的合并、分立、破产等变动，向其他处理者提供信息（第23条）则强调“接收方变更原先的处理目的、处理方式的，应当依照本法规定重新取得个人同意”。很显然，这些规则是以私人机构间共享信息进行预设，针对的是能够自主决定处理目的和处理方式的私主体，因此，并不能直接适用于行政机关间为履行法定职责而共享个人信息的行为。

同时需要看到，行政机关间共享个人信息的行为也不是一种并不直接关涉当事人权益的内部行政活动。行政机关为实现行政目的而进行的个人信息共享，虽然没有直接作用于个人信息主体的权力外观，但也属于《个人信息保护法》所规定的“个人信息处理”，仍然会对个人信息权益带来相应的风险。《个人信息保护法》在三审时于第1条添加了“根据宪法”这一立法依据，全国人大宪法和法律委员会对此给出的解释是：“我国宪法规定，国家尊重和保障人权，公民的人格尊严不受侵犯，公民的通信自由和通信秘密受法律保护。制定实施本法对于保障公民的人格尊严和其他权益具有重要意义。”就此，行政机关在内的国家机关进行个人信息共享活动，对个人在宪法上享有的个人信息权益可能造成威胁，具有外部性。[10]《个人信息保护法》第35条规定“国家机关为履行法定职责处理个人信息，应当依照本法规定履行告知义务”，这也表明：行政机关在内的国家机关实施的个人信息处理行为对外影响了个人信息权益，基于程序正义的要求，除非出现妨碍职责履行、损害公益这一例外，否则应当及时告知个人，允许个人积极进行参与和监督。实际上，从行政救济法的视角看，承认个人信息共享行为的“外部性”旨在容许个人积极行使更正、删除等个人信息主体权利，进而消除违法的个人信息共享行为所带来的影响：在权利行使与保障的过程中，审查机构自然会对个人信息共享行为的合法性进行判断。这与当事人通过提起撤销之诉撤销行政法律行为以进行权益救济的传统路径之间存在区别。[11]

综上，行政机关间共享个人信息行为具有行政性、法定性、外部性，虽然不属于行政法律行为，但也有必要对其设置基本的合法性要件。具体而言，行政机关间共享个人信息行为应当满足主体合法、权限合法、程序合法、内容合法的要求。[12]其中，主体合法是最为基本的要求，来源机关不能基于“履行法定职责所必需”而将个人信息提供给不具备管理公共事务职能的私人机构：也就是说，共享行为中的接受者必须是履行公共行政管理职能的组织，否则便属于主体不合法。例如，在传染病危机应对中，在缺乏组织法规定的情况下，许多社区、物业管理部门、企事业单位分享了应对危机的管理权和监督权，进而与疾控部门共享了大量的个人信息。[13]这类共享行为并没有组织法委托或其他行政事务管辖规则的规定作为基础，因而难以满足主体合法的要求。

从理论上看，对行政机关间共享个人信息的行为进行合法性评价，其难点在于权限合法要件的判断。换言之，行政机关间共享个人信息行为中的“法定职责”到底是什么？是指来源机关的法定职责还是接收机关的法定职责，抑或两者兼备？从性质上看，法定职责中的“法”是组织法还是行为法，抑或程序法？只有厘清了这些问题，才能有效地展开后续分析。一方面，在程序合法性维度上，明晰行政机关共享个人信息时应当遵循哪些流程、告知哪些内容，个人应当了解到哪些事项并相应地行使自身的程序权利。[14]另一方面，在内容合法性维度上，以“法定职责”的规范内涵为基础，判断哪些是“为履行法定职责”而“所必需”进行共享的信息，运用合理关联性、最小损害性、最大有效性等比例原则的分析框架，展开对个人信息共享范围和限度的控制，确保具体的共享操作具有适当性、必要性和均衡性。[15]此时，要分析权限合法要件这一“阿基米德支点”，本质上是要厘清这样一个问题：来源机关处理个人信息，与接收机关从来源机关处获取个人信息并展开利用，这两者之间到底是一种什么样的法律关系？也就是要厘清来源机关处理个人信息的目的与接收机关利用个人信息的目的之间的关联。下文主要围绕权限合法性的判定问题，以目的限定原则在行政机关共享个人信息场景中的适用为切入点展开分析。

（二）行政机关对个人信息的目的内与目的外共享

从逻辑上看，信息来源机关和信息接收机关所履行的法定职责未必相同，因此处理的目的也可能存在不同，需要进行类型化区分。实际上，《个人信息保护法》第20~23条虽然主要针对私人机构处理个人信息，但是也高度关注多主体之间共享个人信息时的处理目的，并展开了类型化控制。例如，在特殊情形下的个人信息转移中，如果处理目的没有发生变化，只需要告知个人接受主体的身份与联系信息即可：但是，如果接受主体处理的目的发生了变化，则需要详细告知个人接受主体处理的目的、方式，并取得个人的单独同意。又如，在向其他个人信息处理者提供个人信息的场景中，信息来源方与信息接收方各自决定处理的目的，此时的信息提供行为需要取得个人的单独同意。但如果双方之间是委托处理关系，而委托处理关系下的个人信息共享行为服务于原有的处理目的，便没有取得单独同意的要求。也就是说，上述规范强调了这样的法理：在原有目的内进行共享与原有目的外进行共享应当分别适用不同的规则，并对后者进行更加严格的限制。[16]

这种审慎对待个人信息共享之目的的理念，理论渊源是公开信息实践中的“目的限定”原则。该原则被认为是个人信息保护法上的“帝王条款”。例如，作为世界各国个人信息保护法立法重要参考依据之一的经合组织（OECD）发布的《隐私保护与个人数据跨境流动准则》所包含的八大原则中，便强调目的明确化原则（purpose specification principle）收集个人信息须明确其目的，其利用应与收集目的一致；以及利用限制原则或法律另—未得个人信息主体同意或法律另有规定者，处理者所收集的个人信息不得为收集时所定目的外之利用。[17]这些原则的规范目标相同，即将信息处理者收集的个人信息尽可能限制在特定目的范围内，消除处理者恣意利用的空间，防止个人信息在缺乏约束的情况下被泄露与滥用。这种强调“目的限定”的保护模式也为欧盟、美国等世界多数地区和国家的个人信息保护立法所沿袭。[18]例如，欧盟《一般数据保护条例》便在第5条规定：“个人数据的收集应当具有具体的、清晰的和正当的目的，对个人数据的处理不应当违反初始目的。”从法理基础上看，目的限定原则围绕着信息处理目的与信息处理手段之间关系的理性化而展开，旨在促进“信息主体一信息处理者”这一权力不对称关系中的利益平衡。这实际上体现了公法上比例原则的规范意旨慎—信息的无限共享与重复利用会给公民权益带来严重威胁.需要审慎权衡数据共享风险与大数据汇集所带来的赋能功效，确保数据共享的均衡性、必要性与适当性。[19]

因此，在目的限定视域下，有必要类型化行政机关对个人信息进行的“目的内共享”与“目的外共享”这两类处理行为，从而区分其运作逻辑、共享风险并进行相应的控制。

1.目的内共享的类型与依据

从逻辑上看，“目的内共享”中来源机关与接收机关可能存在不同的法律关系，主要有以下三种类型：

第一，基于组织法上的授权、事务委托、层级监督等关系发生的个人信息共享，主要是组织法上职责关系而产生的附随效果。例如，行使相对集中行政处罚权的行政机关，以及负责机构任务协调的部门，自然直接获取到原有权机关掌握的相关卷宗材料、执法资料。又如，受委托机关为行使职权，也应从委托机关处获取相关必要信息。此类情形中，组织法上的管辖权配置与内部监督协调关系自然延伸出个人信息共享的结果，这与《个人信息保护法》中关于个人信息委托处理、例外情形下转移处理的规定具有相通性。

第二，基于内部决策程序中信息交互的要求，个人信息作为辅助决策的材料在不同主体之间的移转。行政主体内部沟通程序涉及谁来牵头，哪个机构、哪些人员负责何种事项，谁来组织论证会及听证会，谁来调查事实，谁参与讨论，谁最后决定等内部的请示汇报、讨论决定等。[20]此时，针对特定的行政任务，决策流程中的不同机关需要共同或先后作出判断，如上下级机关之间的审查、批准与备案，跨地域案件中不同机关确定管辖权归属的沟通过程等，因而自然会发生附随的个人信息共享。[21]这类行为主要依靠行政内部程序法来进行控制与限定，对其设定权、法律责任、流程进行规范。

第三，兼容于“同一目的”情形。例如，美国《隐私权法》设置了常规使用（routine use）机制，强调个人信息提供给其他行政机关使用时，如果具备高度的职责关联性与相似度，可以认定依然属于原收集目的的范畴，这些情形需要在联邦公报上明确公布，满足目的一致性（通过目的解释衡量）与履行告知义务的要求。例如，基于联邦税务管理目的而收集的联邦纳税人信息可被披露给州税务机构，以达到州税务管理的目的。[22]又如，在日本法上，民政部门登记的居民基本信息属于各种行政活动所需的基础性信息，这类信息向税务部门、福利保障部门、统计部门的共享被认定为“一般性的信息收集”，符合目的限定要求。[23]再如，在德国法上，针对关联的社会行政机关之间彼此共同协力、先后阶段完成社会保障类行政任务过程中的信息共享行为，可以认为属于目的内利用。[24]

关于这一原理，欧盟第29条工作组也指出，目的限定原则并非要求“静止不变的禁止”，其目标在于防止数据处理过程所伴生的缺乏可预见性的损害。因此，信息控制者应当进行“兼容性测试”，如果数据进一步处理没有风险，或风险的水平足够低以致可以进行处理活动，那么进一步处理会被视为是兼容的。[25]也就是说，需要对“个人信息处理目的”进行动态、务实的解释，根据“目的限定原则”的功能来判断来源机关向接收机关提供信息行为的风险、认定其兼容性，在确保处理目的解释客观性、科学性的前提下兼顾数据二次合理利用的需求[26]例如，在我国实践中，不同地域、不同层级的履行传染病防控职责的部门之间共享个人健康信息，用于各自管辖范围内的研判、疫苗管理等活动，并建立互认机制，也属于此类兼容于“同一目的”情形。当然，对目的兼容性或合乎个人合理预期的二次利用目的的理解应当有限度，否则将最终架空个人信息处理的基本原则。

应该看到，上述情形主要涉及来源机关与接收机关之间一致或紧密关联的法定职责，针对较为特定的行政事务与职权行使而展开“目的内共享”行为。此时，信息处理的目的与法定职责基本是“一元”的，主要是基于组织法、程序法与目的兼容规则的设计而发生机关间的个人信息共享。整体来看，由于信息共享与利用需要处于同一目的之内，“目的内共享”的范围、情形是较为有限的。因此，这类行为基本符合“目的限定”原则的规范意旨，处理风险较为可控。在合法性评价上，如果来源机关自身处理个人信息的活动具有法律授权且处理目的是正当的，那在具备组织法规则、决策程序规则或是目的兼容规则作为依据的条件下，来源机关对接收机关进行目的内共享便满足了“权限合法”的要求。进而，行政机关在共享个人信息时应当告知信息主体“目的内共享”的规则依据与参与共享的主体信息，满足程序合法性要求。同时，在内容合法性上，所共享的个人信息也应当限定在实现该目的所必需的范围内。

2.目的外共享的多元化场景

在更多的场景中，个人信息来源机关与个人信息接收机关往往各有其法定的管辖权，来源机关基于其执行法定职务必要而收集个人信息，而接收机关为执行其法定职务而使用传递的个人信息。然而，这些目的往往并不相同且无法兼容。在现代社会，如果完全禁止行政机关在原初、特定目的外利用个人信息，则有需求的行政机关便不得不重复收集个人信息，这会降低个人信息利用的灵活性与有用性，可能造成行政效率不彰、增加公共事务负担的后果。因此，为了提升公共服务的品质与效率，以及在特定情形中需保护相关方权益或社会公共利益，在某些情况和条件下，应允许行政机关将其所控制的个人信息进行原初目的外之利用，即将信息提供给履行其他法定职责的行政机关的“目的外共享”。

应该注意到，目的外共享行为与《个人信息保护法》第23条规定的个人信息提供行为具有共通性，属于多个具有独立处理目的的信息处理者之间共享个人信息的行为。此时，来源机关和接收机关各自的处理目的是独立的，基于行政活动的广泛性与个人数据的非物质性、非消耗性，多元行政机关可以为各种目的无限次地使用和重用同一个人数据。从现实需求与实践图景看，为缩短行政流程，减少行政成本，履行不同法定职责的行政机关间传送与比对个人信息的活动日益频繁。无论是秩序行政与风险行政下迅捷的违法事实认定（如警察部门向税务部门共享信息），还是给付与规划行政中申请人基本情况的准确核实（如行政许可部门与财产登记部门间的信息传输），都往往有赖于掌握不同信息机关间的“目的外共享”。[27]进一步，随着数字政府建设的推进，政府部门间的大规模数据共享与利用渐成常态，一个个大型的专门数据库与信息共享平台逐步建立，各个数据库之间的联动可增加整体行政效率并降低错误发生概率。[28]例如，在“让数据多跑路，群众少跑腿”的服务目标驱动下，各职能部门之间打通部门隔阂，将各部门数据进行汇集，形成政务大数据。政务数据库与信息共享平台可以打通不同机关间的信息资源、提升政府整体运作的行政效能，同时为公共数据开放奠定基础。在数字行政背景下，这已然越来越普遍化、规模化、泛在化，值得认真对待。

同时需要注意的是，在实践中，基于规范目的判断个人信息传输究竟是“目的外”还是“目的内”共享并不容易，有必要进一步挖掘“目的内”和“目的外”的判断依据。对此，德国法上通过区分三种个人信息处理来作出类型化判断：（1）为执行某法律规定，涵摄构成要件要素是否该当时所需之信息，可称之为“涵摄信息”（Subsumtionsinformationen）。（2）其他对于决定具有意义之事实状况资料，例如确定处罚数额所需的当事人情况，可称之为“决定信息”（Entscheidungsinformationen）。（3）能从中推导出涵摄信息或是决定信息是否存在，或是否正确之信息，可称之为“辅助信息”（Hilfsin formationen）。[29]不过，即便作出初步分类，也需要处理法律规范中存在不确定法律概念、规范目的较为含糊的问题，增强共享目的识别的客观性、说服力与可操作性。对此，可借鉴不确定法律概念具体化与行政裁量权控制的既有原理理建立综合性的框架：一是规则控制，尽可能在法律中明确不同领域行政机关的个人信息处理目的，并在立法说明中予以阐释。若是法律规则存在空白，则可要求参与共享的行政机关基于其职权依据细化个人信息处理规则，明确共享的具体目的。二是原则控制，基于比例原则、法的安定性原则、公平原则等原则的要求，在缺乏具体规则时，明确对处理目的的解释选择方案，抑制行政机关基于自身逐利需求或避责动机而对个人信息处理目的作出不当解释。三是程序控制，将行政机关处理个人信息的过程置于公众的评估和监督之下，强化行政机关在特定行政场景与行政活动中的理由说明与风险沟通义务，促进共享行为中行政裁量的理性化和正当化。四是审查控制，通过复议与诉讼程序等监督程序不断积累个案经验。[30]通过上述不同法律工具的协同，可以进一步明晰“目的内共享”和“目的外共享”的区分依据及操作规则。

三、目的外共享行为的风险及法治约束的必要性

在我国数字政府建设的过程中，数据共享逐渐从机关间协助履职的非常态化活动，转变为整个政府治理体系中重要且常态化的数据赋能路径。国务院《政务信息资源共享管理暂行办法》（国发〔2016〕51号）规定政务数据“以共享为原则，不共享为例外”。《全国一体化政务大数据体系建设指南》进一步强调“数据资源一体化”理念，一方面，要求推动数据资源“按需归集、应归尽归”，通过逻辑接入与物理汇聚两种方式归集全国政务数据资源，并进行统筹管理；另一方面，突出“形成覆盖国家、省、市等层级的全国一体化政务数据共享交换体系”的任务。这设定了数据资源先行汇聚再按需分配的架构。地方层面，具有代表性的《浙江省公共数据条例》第23条要求“列入不共享数据的，应当提供明确的法律、法规、规章或者国家有关规定依据”。可以看到，这些政策文件与法规范没有对个人数据共享作出特别规定，而是放入整个政务数据集聚共享的大框架内展开，将不同部门间的数据共享与数据归集作为理所当然的数据治理原则与路径，并未划定个人数据共享的边界。那么，是否可以认为，在数字赋能驱动政府行政的当下，基于行政效能提升、行政管理成本降低的收益考量，可以淡化乃至放弃“目的限定”原则.转而将个人信息的“目的外共享”作为政府数据管理的主线与数字政府建设的应有之义？

答案应当是否定的。实际上，与一元法定职责下“行政机关一信息主体”间的个人信息处理行为相比，在二元乃至多元的履行不同法定职责的行政机关之间“目的外共享”的行为，相较于“目的内共享”下特定行政任务达成的信息利用，具备规模性、累积性、隐蔽性、高度不对称性的特点，具有远高于前者的个人信息权益侵害风险。首先，在个人信息共享的过程中，分散在不同部门的个人片段生活记录能够脱离原有的单独化、个别化的处理脉络，被集中起来加以辨识、分类、联结与整合，进行日益迅捷与全面的数据挖掘，这可能带来对公民私生活的窥探与私人空间的冒犯。其次，信息共享发生在履行不同任务的多个行政机关之间，没有直接作用于当事人的权力外观，当事人往往无从得知其个人信息基于其他目的被使用的具体情况，这会加剧个人的恐慌、担忧与不信任感 [31]再次，个人信息共享后可能经由不同行政机关联结多个场景下的权益，一旦原始来源处的信息出现错误，将带来很强的连锁效应，如公共服务中的歧视、误判等。[32]最后，高频、缺乏节制的个人信息流转与集中汇集将增大信息安全风险，妨碍公民人格的发展。总体而言，目的外共享行为对个体的人格尊严、私人生活安宁、信息安全等法益都可能造成不利影响，有必要对这类高风险的个人信息处理行为展开专门化、高标准约束。[33]这意味着，不能仅仅为了提升接收机关履职的行政效率，便全面化、一体化，不加区分地在政府内部推行个人数据的归集与共享。

尤其应该看到，在我国实践中，行政机关在风险预防、福利管理与社会调控中势必会采集大量的公民信息。这些信息一旦可以轻易地超出原初目的而服务于其他多个行政机关的多元行政任务，将使得个人的各类特征信息在无数场景下，无边界地、无频次限制地被整合与利用，个人的主体性与隐私将面临威胁。对此，相应的安全管理手段固然重要，但并不能从根本上消除共享风险：由于“可识别性”是个人信息发挥利用价值的基础，只要“可识别性一信息利用价值”的逻辑存在，即便采取了相应的技术措施，在个人信息服务于行政效能提升的绝大多数场景中，行政机关必然还是可以通过一定的手段回溯、锚定到个人。并且，随着算法决策与自动化技术的发展，行政机关挖掘、整合数据的规模、能力和效率都大大加强。在这种层层叠加、可以无限联结的个人信息共享利用关系中，个人信息权益受损的风险将会不断累积和延展。

目的外共享行为对个人信息权益影响巨大，应当予以特别规制。对此，各国个人信息保护法其实也选择将行政机关（国家机关）的“目的内利用（共享）”作为一般性情形，原则上普遍容许。同时，对“目的外利用（共享）”行为进行专门的规则表达与制度设计，将其控制在特定范围内，以防范共享过程中个人信息权益减损的巨大风险。如德国《联邦个人信息保护法》（Bundesdatenschutzgesetz）第23条、第25条对公务机关在利用目的外传输共享个人信息的行为进行了单独规定。又如，欧盟《关于各类官方机构处理个人数据的条例》第5条规定欧盟官方机构原则上只能进行目的内共享，需严格控制例外。再如，日本《行政机关保有的个人信息保护法》第8条原则上禁止行政机关所保有的个人信息被目的外利用提供，并对例外事由进行严格限定。实际上，对“目的外共享”行为进行专门化约束，并不排斥合理、必要的政府内部信息流通，而是要求政府充分尊重个人的主体性地位和相关权益，在法治化轨道上开展对个人信息的内部重复利用。由此，既可以推动行政机关采取数据分级分类管理措施，合理配置自身资源与政策注意力，从而将“政策驱动”转变为“规范指引”，通过规范化、标准化、理性化的方式约束数据共享中的不规范现象，也能够在更大的时空范围内促进公民对数字政府建设的信任与信心.推进数字化改革行稳致远。

四、目的外共享行为的法治化路径：以可预见性为中心

在明确目的外共享行为法治约束必要性的前提下，需要进一步分析的问题是，究竟如何将数字化技术驱动下的“目的外共享”纳入法治化轨道？对此，应当在行政法治价值目标的引领下，围绕数据共享活动的技术特性和权力属性，匹配相应的法律控制技术和工具。

从行政法治的基本要求看，“无理由则无行政行为”，行政机关只有在具备明确、充分的法律依据和实质理由的情况下方能开展个人信息处理行为，这既有助于抑制行政机关的恣意，也有助于说服行政相对人，也便于私人寻求救济和司法实施审查。[34]其价值内核在于稳定信息主体的规范预期，使信息主体能够较好地认知特定的信息处理行为的风险、收益、预期损害，进而理性、自主地采取行动和规划生活。可以说，个体视角下政府行为的“可预见性”正是法治作为“程序之治”的核心内涵，这对政府行为的程序性品格提出了规范要求。在行政机关处理个人信息的场景下，目的限定原则的具体适用，应当基于风险规制与各方利益平衡的需要，围绕处理目的改变而衍生的个人信息权益侵害风险展开，确保信息主体对信息处理风险及相关防范措施的可预见性。[35]

在此意义上，如果行政机关间共享个人信息行为的依据存在被随意解释的风险，个人信息的目的外共享行为被不当泛化，信息主体的个人信息权益将陷入一种不确定的状态。作为行政机关干预公民个人信息权益的活动，目的外共享行为超出了原有的信息处理目的，带来了额外的、不容忽视的个人信息权益侵害风险，应当通过新的法律机制重新确保个人信息主体的可预见性。而在发展和完善行政法治的控制技术之时，目的外共享行为应当符合该信息主体作为一般理性人在特定场景中所能够产生的合理期待，充分体现出对信息主体的价值关怀。

而从当代个人信息保护的基本原理观察，个人与信息处理者之间应当通过个人信息处理规则形成理性化的制衡关系，通过程序要素平衡个人与信息处理者之间的权力势能差。[36]尤其是对于呈现“不可见趋势”的信息共享行为，更应当强调透明度与可预见性的要求，使得个人信息的利用（包括主体、依据、过程、后果等）处在信息主体所能预见的范围内，进而为个人信息主体的参与、监督、制衡提供基础条件，真正限制个人信息在共享过程中被漫无边际、无节制地利用。这就要求对“目的外共享”的情形进行严格的限定，并使个人信息主体能够对这些有限的利用情形充分地知悉、判断并作出回应。相较于传统的行政行为合法性审查，大数据时代个人信息处理的“可预见性”要求：信息主体能够对目的外共享行为进行全流程参与和监督，不局限于传统行政法治针对具体损害进行的事后救济与纠偏。国家应当围绕数字技术的具体应用方式，为此提供相应的制度、组织与程序保障，使公民免于在数字技术加持的行政权力面前处于“信息惶恐”状态。具体而言，“可预见性”应当以行政管理领域的一般理性人（普通公众在有限信息和认知条件下的合理预期）为参照对象，即以社会中大多数人面对信息不完全、时间成本等现实下的理性预期为考量，而不要求拥有理想化的完全理性或技术专家、政策精英水平作为标准，从而为普通公民的人格自由发展留下妥适的空间。就此，立法者和司法机关在分析行政机关共享个人信息属于“目的内共享”还是“目的外共享”时，也应当采取“普通理性人”的视角，考虑在现有法律规范和行政管理背景下，一般公众对行政数据共享目的的合理预期。

同时应该看到，个人信息保护法体系中关于行政机关间个人信息共享的专门化约束，可能会与行政程序法中关于职务协助的规定之间产生交叉，需要厘清两者之间的适用关系。例如，《江苏省行政程序条例》第28条第1款第3项规定：“有下列情形之一的，行政机关可以书面请求相关行政机关协助：（三）执行公务所必需的文书、资料、信息为其他行政机关所掌握，自行收集难以获得的”，第29条第1款第1句规定“协助事项属于被请求机关职权范围内的，被请求机关应当依法及时履行协助义务，不得推诿或者拒绝”，此类条文便涉及行政机关基于职务协助需求而向其他行政机关提供个人信息的问题。从表面上看，个人信息的“目的外共享”属于职务协助的情形，似乎可以直接找到明确的法律依据和适用框架。但从深层次的法理上看，行政机关彼此间的职务协助属于内部行政程序，所调整的应是不直接关涉当事人基本权利、无需社会主体参与及制衡的事项。基于此，目的外共享行为对个人信息权益造成了直接的干预，不能仅交由内部行政法调整，而是需要直接面向行政救济与行为审查展开制度设计。也就是说，不能主张职务协助程序规定的优先适用或概括性授权，否则笼统基于内部职务协助而容许个人信息的目的外利用，将与个人信息保护的规范意旨之间产生严重背离。

五、目的外共享行为法治约束框架的具体展开

以“可预见性”为中心设定目的外共享行为的法治约束框架，有赖于不同的法律控制技术与制度工具之合力。其中，在权限合法性维度上，不仅要以接收机关后续的法定职责履行为前提，还应当对目的外共享设定专门化、限定性的正当事由。为了确保共享行为切实符合权限合法要求，且不超出履行法定职责所必需的范围和限度，还应当保障个人的有效参与和程序制衡，同时辅以相应的组织保障与监督架构。以下结合比较法上的已有规则和原理，从共享前提、正当事由、个人参与和组织保障四个维度提炼和展开“可预见性”的基本保障要素，并观照我国实践进行相应的反思与展望。

（一）共享前提：接收机关职责明确

政府在履行公共服务和管理职能过程中采集和产生的数据，只能在法定职权范围内基于公共利益目标被使用。在此意义上，接收机关具有利用个人信息的明确职权依据，共享行为中“所必需”的个人信息的范围与用途才能得到具体化，进而为个人信息主体提供明确的预期。在比较法上，德国《联邦个人信息保护法》第23条、日本《行政机关保有的个人信息保护法》第8条等规范都要求行政机关间进行“目的外共享”时，首先要确保接收机关在法定所掌事务的必要限度内活动。并且，从规范类型上看，“接收机关法定职责”中的“法”应是特定的行政行为法，而不应是宽泛的组织法。这是因为，管辖权的功能在于界定政府系统内部不同机关掌理事务的范围，而并非在“行政机关一公民”维度赋予政府可对外行使的特定职权。若采取组织法授权模式，“目的”往往无比宽泛，如“传染病防控”“治安管理”等，比例原则的适用也成了无根之木。

因此，审查接收机关处理该共享信息的法律依据，是对共享行为进行合法性分析的首要步骤。例如，交通部门向税务部门共享涉及个人税务违法的信息，先要看哪一项行政行为法的授权（如税务行政处罚）可以让税务部门能够获取这些信息。以此为基础，后续再分析行政机关间的共享行为是否符合单独的、法定的正当化事由。如果接收机关根本没有权限来处理这部分共享的个人信息，便可径行认定共享行为违法。

目前，国务院《政务信息资源共享管理暂行办法》第14条对信息共享中接收机关的履责要求进行了初步明确。[37]不过，从具体的行政管理领域来看，当下的许多实践场景仍有较大的完善空间。例如，在传染病防控信息共享中，有关“传染病防治”的具体权责清单在很大程度上没有得到具体化与公开化，哪些机关有权在政务协同办公系统中获取其他部门收集的个人健康信息，并不清楚，亟待完善。又如，一些地方性法规强调各个政府职能部门要向大数据部门建立的共享平台及时汇集数据，其实也是在接收机关没有具体职责需要时预先存储个人数据。[38]这种目的不特定的信息汇聚会进一步削弱个人信息处理活动的可预见性，同时也在一定程度上增大了安全风险，值得审慎对待。

（二）正当事由：限定性的例外依据

在接收机关职责明确的基础上，应将“目的外共享”的情形限定在必要的、特定的场景当中，对共享本身的正当化事由进行列举，从而最大程度上从源头层面控制共享行为。大体而言，目的外共享行为的正当化事由主要可以类型化为以下几项：

1.法律明确授权

行政机关间共享个人信息的行为往往具有强制性的特点，尤其在服务于秩序行政与风险行政的需求时，体现出“基于公益限制私益”的理念。此时，可以从“公益导向”展开分析：具体领域的法律上是否有专门、明确的规范进行授权，可以为目的外共享行为提供清楚的规则表达，进而确定所必需信息的范围与利用程序。由此，最大程度上让信息主体知道行政机关对其个人信息权益作出了怎样的安排，同时也能在源头上控制行政权力滥用的风险。从原理上看，此处的法律明确授权与前述的目的兼容规则，虽然在适用情形与侧重点上存在差异，但在规范意旨上也有一定的相通性。前者针对来源机关与接收机关各自独立、差异较大的行政任务，规定更加细密，源头上就要求严格控制：后者针对来源机关与接收机关高度类似的行政任务，虽然因风险较低而在法律依据上的控制比较宽松，但在后续也应当有适当的监督审查机制，避免行政机关对此类情形进行宽泛化认定，将“目的”进行过度扩张而规避法律控制。可以说，两者都是既“授权”也“限权”，强调消除行政机关裁量滥用与恣意的空间。

根据程序上的主动性进行区分，可以将此类法律授权规定初步分为请求式规定与义务式规定，从而设定不同的实施流程与权责分配机制。前者如社会保障部门基于警察部门、危险防止机关的请求所为的被动共享；后者如依照传染病防治法的通报义务、税收法上的涉逃漏税信息通报义务进行的主动共享。同时，针对利用风险较高的敏感个人信息，应进一步强化“原则上禁止共享”的观念，对法律保留与法律明确性的强度提出更高的要求。[39]

2.保障重要法益

规则的列举未必能契合现实情况的多样性。行政机关间的信息共享所涉及事务庞大，各领域收集、利用的公民个人信息的类型、性质不同，须考量的信息有用性、公益性、潜在利用风险也均不同。为让行政机关能够因事制宜，各国个人信息保护法往往规定，经由个人信息权益与公共利益或第三人利益的权衡后，可在必要情形中进行“目的外共享”，即在正当事由中设置重要法益权衡型的不确定法律概念，并在后续实践过程中具体展开。例如，德国《联邦个人信息保护法》第23条列举的情形，就包括有必要避免对公共利益造成重大不利影响或对公共安全、国防或国家安全构成威胁：防止对他人权利的严重损害。又如，日本《行政机关保有的个人信息保护法》第8条第3款规定，当向其他行政机关、独立行政法人提供所保存的个人信息时，接收的行政主体应当具有使用该信息的“相当的理由”，如防止严重违法行为的需要、事实上存在的行政资源的限度等。再如，在我国，行政机关可以援引《个人信息保护法》第13条第1款第4项“为应对突发公共卫生事件或者紧急情况下保护自然人人身财产安全所必需”来处理个人信息。此等处理行为不具有法律的明文授权，但因为属于应急所必需的，也具有正当性。

然而，此类不确定法律概念给予了行政机关很大的裁量空间，容易在实际操作中造成权力滥用现象。因此，各国纷纷运用各类制度工具对其进行控制，根据侧重点的不同，主要可以分为以下几种模式：

（1）“规则细化”为中心的模式，以德国为代表。这种模式侧重在各个部门行政法领域中，将“公共利益”等不确定法律概念精细地列举与展开。例如，德国《联邦登记法》（Bundesmeldegesetz）第33~43条对登记机关的对外传输行为进行情形列举与内容细化。又如，德国《社会法典》（Das Sozialgesetzbuch）第十编第68~73条对社会行政机关基于国家安全、强制执行等目的而共享相关个人信息的情形进行了逐条的专门化规定。[40]这意在通过严密、高度理性化的立法体系来规避不确定法律概念的直接适用，最大限度消除执行机关的裁量空间。

（2）过程监督控制为中心的模式，以日本为代表。在立法不够严密的情况下，日本要求行政机关应该尽量制定与公开其关于公益权衡规范的具体基准，并设计相关审查机制来保障不确定法律概念适用的公正性，确保“相当之理由”的客观性。例如，在日本具体实践中，许多地方个人信息保护机构都要求，为了最大程度上防止行政机关滥用裁量权提供个人信息，应当在行政机关作出最后判断前建立预防机制，即在听取个人信息保护机构的意见后，方能进行“目的外共享”。与此同时，来源机关应确认自己对接收机关的要求事项，如要求不得对第三方再提供、个人信息使用后之删除或返还、遵守规范情形的掌握与反馈等，并完善各项后续追踪程序，以最大限度避免个人信息的后续滥用或泄露。

（3）专门化协定细化为中心的模式，以英国和美国为代表。英国《个人信息保护法》虽然没有对行政机关的“目的外共享”进行详细的立法表达，但在第121条要求个人信息保护主管机关制定个人信息共享行为准则，细化因公共利益需要而共享个人信息的情形。在此基础上，英国行政机关之间的个人信息共用协定主要包含以下要素：共用目的、参与机关、决策流程、保障措施等，其内容多寡可能因其所共用规模及繁简程度而异。在当事人提起异议、监督机关审查目的外共享行为是否合法时，受审查机关即可凭借此类协议文件，表明自身已然对具体的必要性公益情形进行了具体化，进而证明该机关已积极作为、尽到充分注意的义务、没有滥用裁量权。与之类似，1988年，美国制定了《电脑比对及隐私保护法》（Computer Matching and Privacy Protection Act），要求参与数据比对的机关须与其他所有参与机关签订书面协议。需要注意的是，在紧急情况下，行政机关间共享个人信息往往成为应对突发事件、保障公共安全和维护重大法益的必要手段。由于紧急情境下制定规则或逐一征询每位信息主体同意既耗时又难以实现，不应苛责行政机关事前做好准备。即便如此，必须强化事后监督和审查机制，确保共享范围严格限于应急处理所需，并在危机解除后及时采取删除或匿名化措施，降低信息共享的长期风险。

3.取得个人同意

在缺少“公益导向”的特定正当化事由的情形下，行政机关间的个人信息共享应当经由同意程序而保障个人的知情和参与，提升共享活动的透明度与理性化程度。自OECD原则中将同意与法律规定作为允许信息共享的一般性例外事由后，同意开始成为各国个人信息保护法针对“目的外共享”所普遍规定的例外依据。其中的原因在于：同意程序可以保证当事人已经对特定的信息共享行为之风险及其便利性进行了权衡，对信息的范围围利用方式等有了相当的了解和斟酌，这尊重了当事人的自主性，充分保障了其知情权与参与权，使其对信息共享活动能够保持合理的预期。从实践中看，这更多体现在福利行政这类权力色彩较淡的场景之中。[41]但是需要注意，在行政机关将同意作为共享个人信息的正当事由时，应确保同意是真实、自愿、不受胁迫而作出的。只有在不同意或撤回同意也完全不影响获得行政机关的给付、同时也不会招致行政机关的不利对待时，该同意才是有效的。[42]并且，当下“同意”概念的内涵也有了一定的拓展，例如，德国《联邦个人信息保护法》第23条将“推定同意”作为“目的外共享”的正当依据之一。-显然这符合信息主体的利益，没有理由假设信息主体会拒绝同意。

整体而言，对照相关国家的规则实践来看，我国当下的已有立法规范密度过低，细化程度不足，缺乏各个领域单独的正当化事由证成，亟待综合运用立法明确授权、过程监督、专门化目录或协定等不同工具改进现状。在具体的法律控制技术上，应该看到，在各个领域的部门行政法中全覆盖式地要求法律明确授权的路径，对立法的理性要求很高，立法负担很重，进程也较为缓慢。况且，过分依赖立法的精细化、羁束式控制，其实也难以契合日新月异的个人信息处理的需要。就此而言，更应该针对一些风险较高的、典型的个人信息共享活动加强立法控制，要求法律上的明确授权和列举；同时，针对纷繁的共享实践，应采用完善共享协定（目录）的制定、强化对共享必要性的利益考量论证与过程审查等方式，不断提升目的外共享行为的可预见性。[43]例如，在社会信用体系建设中，各地在编制个人信用信息共享目录时，应当针对每个特定场景进行专门化考量与论证，并对外进行充分的理由阐明与意见沟通，从而为社会主体提供更加明确的信息流通预期。又如，在“码治理”场景中，紧密关涉公民基本权利保障的个人信息（如涉及住宅、人格尊严的个人行程轨迹，涉及就业经济权利的疾病记录）之共享，应当严格按照法律或法律授权制定的行政法规中的专门化规范来运行，也就是要根据接收机关处理共享信息的风险来调整法律控制的强度，并设置相应不予共享个人信息的“负面清单”。

（三）个人参与：程序性权利的保障

个人的参与是规范目的外共享行为的重要支撑。在行政机关间共享个人信息活动中强化对个人程序性权利的保障，不仅有利于缓解个体的“无力感”、促进对行政权力的制衡，也能够提升信息共享行为的理性化、规范化程度。

在个人程序性权利体系中，首要的是充分保障信息主体的知情权，从而为其行使更正、删除等个人信息权利并进行后续救济提供基础性条件。应该看到，在个人信息共享时，说明个人信息的种类与细节，详细列明共享的目的、正当化事由、当事人权利等内容非常重要，因为当事人清楚地获知了个人信息处理情况，如果认为来源机关不当地将其信息向其他机关共享，更容易采取行动及时制止、避免可能发生的损害。因此，行政机关实施目的外共享行为，需要以对当事人的充分告知为原则，在不同场景中分别运用清单化告知、单独告知等适宜形式，并在技术系统内部完善个人行使查询权的路径，对接收机关的履职内容、传输信息的种类范围、共享的专门依据等进行具体呈现，否则便属于程序违法。[44]进一步而言，从告知的便捷性看，来源机关原先已进行信息收集、与当事人之间已然有告知程序，此时以来源机关为主来履行告知义务往往更加便捷、可行：与此同时，为保障信息主体的知情权，接收机关应该检查来源机关的告知义务履行情况。

在知情权基础上，还应该强调对信息主体更正权、异议权与删除权的保障。首先，个人信息共享应当强调对信息正确性的要求，以免因信息共享造成多元关联权益之损害与修正的困难。其次，当有依据表明共享行为风险较大，如共享的个人信息将会被不当发布、产生重大损失与心理伤害的可能性已经存在，或者行政机关无法准确说明共享行为的法律依据时，应当保障当事人的异议权或停止利用请求权。最后，对个人信息的共享，仍应以接收机关履行法定职责、完成其特定目的之必要范围为限，使用目的达成或认定为无依据处理时即应删除或销毁相关个人信息，避免让信息主体承受无法预期的风险。与之相对应，应当完善数据保存期限的规定、公民删除权的规则表达与具体程序，控制政府对所掌握数据量的过度追求。[45]

在权利救济层面，需明确上述程序性权利如何保障，并协调对个人信息权益的间接救济路径（针对接收机关利用共享的个人信息作出的行政行为主张救济）与直接救济路径（直接针对信息共享行为主张救济）。[46]从行政过程论的视角来看，在启动行政调查程序并请求来源机关共享个人信息后，一些接收机关会利用所获取的个人信息来行使特定职权、作出行政决定。在这些场景中，个人信息共享行为具有“过程性行为”或“程序性行为”的特征。基于程序效率的考量，如果对共享行为的质疑可能影响行政决定的顺利作出，个人信息权利的行使将受到一定的限制。对此，当事人一般只能等待实体决定作出后，在对实体决定提起诉讼时一并主张作为“程序性行为”的个人信息共享行为违法。然而，如果个人信息共享行为和实体决定不直接相关，程序性权利的行使不会减损实体决定作出的效率，信息主体也可以单独针对目的外共享行为而向行政机关主张上述权利，并在权利无法落实时寻求及时且有效的救济。[47]

实践中的难点在于，如何确认哪个行政机关是个人信息权利的义务主体？从处理者视角观察，多方共同、持续的处理活动可能带来组织间相互推诿的现象，即便某个组织履行了配合义务，也可能仅仅针对汇集活动的部分环节和处理细节展开，阻碍数据主体程序性权利的实现；还可能引发多头回应，增加无谓的成本。从信息主体视角观察，一般公众面对众多部门和机构的个人信息收集行为，多数难以识别和梳理哪些机关获取了其个人信息、可能传输和流动到哪里去，预见能力受到限制，寻求监督和救济的成本很高。在这一方面，德国法上的“数据保护驾驶舱”（Datenschutz cockpit）提供了 一定的解决思—数据保护驾驶舱的建立是为了实现当局之间数据传输的透明度，使公民可以通过一个中央位置查看其身份号码的使用情况，不必同时面向多个参与数据汇集的部门主张权利。在枝杈纵横、蜿蜒复杂的数据流通结构中，“数据保护驾驶舱”以便捷、友好、清晰的方式帮助数据主体了解数据汇集的情况，从而促进其在数据汇集活动中的参与和监督。[48]归结而言，生成明确的个人信息流向路径的示意图（包括确定的路径和现存可能的路径）并告知相关个体，才能使个人的知情权充分落到实处，为个人维护其个人信息权益提供线索和依据。行政法上的信息共享应当强调权责一致与有效监督，通过监督与救济机制的引入，信息共享行为方能在行政法框架内形成有权必有责、用权受监督、失职要问责的良性运行状态，确保行政机关既能高效共享信息又不偏离法治轨道。

（四）组织保障：完善内部运行架构

应该看到，随着数字化技术的发展，行政机关依靠单向技术赋能的知识、技术、话语优势，更容易规避个人的参与和监督。此时，行政机关内部人员利用优势地位滥用个人信息的风险加剧，个人的技术、资源、能力则相对有限，难以依靠单个信息主体外部的诉讼维权活动充分进行法治约束。实际上，从各国实践来看，在大规模、自动化、电子化的信息分享与比对下，往往只有少数人受到明显伤害而提起司法救济程序。许多个体对政府的大规模电子化建设缺乏认知、监督、维权的能力。例如，日本个人向行政机关主张更正权、停止利用请求权、删除权的实践案例非常少[49]又如，美国个人针对信息共享提起维权诉讼与国家赔偿的难度也非常大。[50]因此，有必要在个人分散化、个别化的外部维权路径之外，从组织保障层面对政府内部进行信息共享的具体运行架构加以完善。通过内部监督与流程改进来提升信息共享行为的程序理性与公正性。

在我国目前的法律体系中，关于行政机关间个人信息共享的专门授权规范尚不完备.需要在立法上展开长期的体系构建。此外，容许个人信息共享时的“重要法益”标准缺少共识、利益衡量的标准与方法有待逐步建立。因此，更需要在政府系统内设定专责组织，全局性、前瞻性地规划及施行个人信息保护的流程和必要措施，常态化地监督来源机关与接收机关履行保护义务，并在相关争议发生时有能力发挥协调、裁决与权利救济的功能。[51]例如，美国实践中便要求高阶隐私官员应监督、协调及促进机关整体信息隐私政策完善，履行下列职责：实施隐私影响评估：督促机关遵循隐私法规定保障公民信息权利；复核机关政策、法规与行动对隐私的影响：针对隐私保护现况提出报告；保证信息处理系统的缺陷修正程序适当；确保公职人员与承包商均受妥善训练。[52]这些具体的要素需要在行政机关处理个人信息的专门规范中进行相应规则表达。在落实过程当中，应避免大数据发展部门管理下“技术至上”“效率优先”思维的绝对性主导。[53]同时，应根据职能分离原则设计监督机制，避免接收机关或者大数据发展部门“既当运动员又当裁判员”的现象，保证信息共享行为的公平、公开、理性。[54]其中，数据共享的风险评估部门与风险管理部门也有必要实现“相对的功能分化”[55]。

数据风险管理的重点是数据汇聚与安全隔离的平衡。政务数据的一体性，核心应该是数据接口的一体性，为数据传输提供便利，而不是强行将各个行政机关掌握的数据完全合一，建立集中、统一的数据池。当前，分散存储的数据单位面临较大安全漏洞，未来数据体量、计算成本与安全压力将迫使政务数据向云平台汇聚。但在这一过程中，仍必须做好逻辑隔离和访问控制，确保各机关基于各自职责享有限定访问权限，并统筹考虑个人信息权益保障和行政任务需要，设立数据删除或匿名化期限。由此，避免政务数据治理机构集中过多数据处理权限，防范政府内部数据权力滥用风险。[56]在一些行政场景中，掌握数据的各政府部门只需使用专属接口，按标准流程回复相关信息、提供查询结果即可，不必和其他部门共享原始数据。由此，通过“数据可用不可见，原始数据不出域”的技术方案，只共享结论性信息，降低其中的隐私风险与安全风险，贯彻比例原则的最小损害要求。此外，除了户籍信息、法人代表信息等基础数据库的建设外，应当审慎进行数据库的合并，更多采用分布式管理基础上单次比对、调取的模式，从而在避免重复采集数据的基础上降低隐私与权力滥用风险。

六、结语

从“目的限定”角度切入，可将行政机关间的个人信息共享分为“目的内共享”与“目的外共享”两种类型。目的内共享行为情形有限、风险较低，可以通过组织法规则、行政决策程序规则或是目的兼容规则进行控制。相较而言，目的外共享行为具有更强的隐蔽性、规模性、风险性，加剧了行政权力与相对人权利关系结构的失衡，需要展开严密、专门的法律控制。有必要认真对待与审视数字政府建设中行政机关间共享个人信息的活动，在“程序之治”面向下提升目的外共享行为的可预见性，并进一步从共享前提、正当事由、个人参与和组织保障四个维度构建目的外共享行为的法治约束框架。面对数字赋能与个人信息权益保障之间的张力，将行政法治的治理理念与控制技术融入原本“隐秘角落处”的个人信息共享活动，正是建设“数字法治政府”的必由之路。

---

【注释】

基金项目：国家社科基金项目“社会信用体系的法律保障机制研究”（21&ZD199）

[1]本文不区分“个人信息共享”与“个人数据共享”。同时，对行政机关与法律法规授权的履行公共行政管理职能的组织之间共享个人信息的行为进行一体讨论，为行文便利，统一使用“行政机关间共享个人信息行为”这一概念。

[2]参见王敬波：《数字政府的发展与行政法治的回应》，载《现代法学》2023年第5期，第116页。

[3]参见彭醇：《论国家机关处理个人信息的合法性基础》，载《比较法研究》2022年第1期，第162-176页；赵宏：《信息自决权在我国的保护现状及其立法趋势前瞻》，载《中国法律评论》2017年第1期，第147-161页。

[4]有研究对政务数据共享的法治边界进行整体分析，但尚未对个人数据共享行为的基本类型、合法性要件等内容进行详细论述。参见邢会强：《政务数据共享与个人信息保护》，载《行政法学研究》2023年第2期，第68-81页。

[5]基于共享规模进行类型划分的相关论述，参见罗英：《个人信息在国家机关之间传输的类型化治理》，载《法学》2023年第9期，第33-47页。实际上，该文章中列举的个案式传输的例子，如联防联控、资格审查、向上级报送许可申请材料，在当下数字政府建设实践中都可能是基于政务数据平台开展的规模化的传输。

[6]参见王锡锌：《行政机关处理个人信息活动的合法性分析框架》，载《比较法研究》2022年第2期，第97-99页。

[7]参见程啸：《论个人信息共同处理者的民事责任》，载《法学家》2021年第6期，第22-25页。

[8]参见高志宏：《个人信息保护的公共利益考量-以应对突发公共卫生事件为视角》，载《东方法学》2022年第3期，第26页。

[9]See Jason Marisam，The Interagency Marketplace，96 Minnesota Law Review886，886-951（2012）.

[10]关于《个人信息保护法》规定“根据宪法，制定本法”的理据，参见张翔翔《个人信息权的宪法（学）证成支-基于对区分保护论和支配权论的反思》，载《环球法律评论》2022年第1期，第57页。

[11]参见黄智杰《行政活动中个人信息权益救济的两种路径》，载《法制与社会发展》2023年第5期，第211页。

[12]行政活动的法治化约束机制主要从行为主体、权限、内容、程序四个方面展开，行政机关处理个人信息的行为应当满足这些方面的要求。参见王锡锌：《行政机关处理个人信息活动的合法性分析框架》，载《比较法研究》2022年第3期，第96页。

[13]参见王旭：《重大传染病危机应对的行政组织法调控》，载《法学》2020年第3期，第84页。-

[14]参见蒋红珍：《〈个人信息保护法〉中的行政监管》，载《中国法律评论》2021年第5期，第51页。

[15]参见刘权：《论个人信息处理的合法、正当、必要原则》，载《法学家》2021年第5期，第13-14页。

[16]参见杨合庆主编编《中华人民共和国个人信息保护法释义》，法律出版社2022年版，第173页。

[17]参见周汉华主编：《个人信息保护前沿问题研究》，法律出版社2006年版，第16页。

[18]参见丁晓东：《论个人信息法律保护的思想渊源与基本原理 基于“公平信息实践”的分析》，载《现代法学》2019年第3期，第96-103页。

[19]关于比例原则的法理基础与规范内涵，可参见刘权：《比例原则》，清华大学出版社2022年版，第20-24页。

[20]参见何海波：《内部行政程序的法律规制（上）》，载《交大法学》2012年第1期，第129页。

[21]例如，《中华人民共和国人民警察法》第16条规定：“公安机关因侦查犯罪的需要，根据国家有关规定，经过严格的批准手续，可以采取技术侦察措施。”此时若是由上级机关的上一层级负责人批准，自然要以下级机关上报信息作为决策基础。

[22]美国学者普遍认为，应当严格限制此种兼容情形的认定，避免实践中的适用泛化。See Daniel J.Solove&Paul M.Schwartz，Information Privacy Law，New York：Wolters Kluwer，2018，p.886.

[23]参见[日]中西又三：《日本行政法》，江利红译，北京大学出版社2020年版，第114页。

[24]Vgl.Binne，Wolfgang und Carsten Kremer，2018.s10：Sozialdatenschutz.In：Franz Ruland，Ulrich Becker，Peter Axer und Bernd Baron von Maydell，Hrsg.Sozialrechtshandbuch：SRH.6.Aufl.Baden-Baden：Nomos，Rn.83-174.

[25]See Draft Outline for WP29 Opinion on“Purpose Limitation”，p.13-14，2013，https：//ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2013/wp203_en.pdf，lastvisitedonMay.5，2023.

[26]参见李艾真、张硕《论个人信息保护“目的限定原则”的兼容性标准》，载《情报理论与实践》2024年第5期，第78页。

[27]参见高秦伟：《数字政府背景下行政法治的发展及其课题》，载《东方法学》2022年第2期，第176页。

[28]参见王静、刘晓晨：《政府数据共享的法治路径和突破点》，载《中国司法》2019年第11期，第36-38页。

[29]Vgl.U.Dammann，in：S.Simitis（Hrsg.），Bundesdatenschutzgesetz，7.Aufl.，2011，S15 Rn.11-17.

[30]参见王锡锌：《自由裁量权基准：技术的创新还是误用》，载《法学研究》2008年第5期，第47页。

[31]参见郑晓军：《数据跨部门流动的风险与问责》，载《中国行政管理》2022年第11期，第52页。

[32]See Arjan Widlak&Rik Peeters，Administrative Errors and the Burden of Correction and Consequence：How Information Technology Exacerbates the Consequences of Bureaucratic Mistakes for Citizens，12（1）International Journal of Electronic Governance40，51（2020）.

[33]违法的个人信息处理活动对个人实体性权益的具体影响，参见王锡锌：《个人信息权益的三层构造及保护机制》，载《现代法学》2021年第5期，第110页。

[34]参见王贵松：《论行政裁量理由的说明》，载《现代法学》2016年第5期，第38页。

[35]这需要将“基于风险的个人信息保护”与“基于权利的个人信息保护”更好地融合起来，参见赵鹏：《“基于风险”的个人信息保护？》，载《法学评论》2023年第4期，第123-136页：张涛：《风险预防原则在个人信息保护中的适用与展开》，载《现代法学》2023年第5期，第52-72页。

[36]参见蔡培如：《欧盟法上的个人数据受保护权研究 兼议对我国个人信息权利构建的启示》，载《法学家》2021年第5期，第22页。

[37]《政务信息资源共享管理暂行办法》第14条第2款规定：“使用部门对从共享平台获取的信息，只能按照明确的使用用途用于本部门履行职责需要，不得直接或以改变数据形式等方式提供给第三方，也不得用于或变相用于其他目的。”

[38]参见《贵阳市政府数据共享开放条例》（2017年1月24日贵阳市第十三届人民代表大会常务委员会第四十八次会议通过）第10条、第12条。

[39]关于敏感个人信息的界定，参见莫琳：《敏感个人信息的界定及其完善》，载《财经法学》2023年第2期，第21-35页。

[40]Binne，Wolfgang und Carsten Kremer，2018.S10：Sozialdatenschutz.In：Franz Ruland，Ulrich Becker，Peter Axer und Bernd Baron von Maydell，Hrsg.Sozialrechtshandbuch：SRH.6.Aufl.Baden-Baden：Nomos，Rn.83-174.

[41]在一些场景中，为了提升公共服务的质量，行政机关还可以基于法律规定或主动承认个人在特定场景下的可携带权，允许个人向行政机关主张复制、移转其个人信息以获取更为便捷的公共服务。关于个人信息可携带权的实现机制，参见蔡培如《个人信息可携带权的规范释义及制度建构》，载《交大法学》2023年第2期，第72页。

[42]See Article29 Working Party，Guidelines on Consent under Regulation2016/679，p.6-7（10 April2018）.

[43]参见王锡锌：《政务数据汇集的风险及其法律控制》，载《华东政法大学学报》2024年第3期，第25页。

[44]参见喻文光、郑子璇：《数字时代政府机关处理个人信息告知义务制度的公法建构》，载《人权》2022年第3期，第14-16页。

[45]参见沈伟伟：《论数字紧急状态的恢复机制-以新冠疫情防控为例》，载《清华法学》2021年第2期，第121-142页。

[46]对两种救济路径的具体阐述，详见黄智杰杰《行政活动中个人信息权益救济的两种路径》，载《法制与社会发展》2023年第5期，第213-217页。

[47]Vgl.Projekt Gesamtsteuerung Registermodernisierung：Bericht zum Umsetzungsstand，Marz2022.

[48]Vgl.Philipp Reimer，Verwaltungsdatenschutzrecht，Baden-Baden：Nomos，2019，Rn.315-317.

[49]参见《关于〈行政机关保有的个人信息保护法〉施行情况的报告（2020年）》，载日本总务省官网，https：//www.soumu.go.jp/main_content/000805439.pdf，2024年9月19日访问。

[50]See Alex Kardon，Damages under the Privacy Act：Sovereign Immunity and a Call for Legislative Reform，34 Harvard Journal of Law&Public Policy705-716（2011）.

[51]《个人信息保护法》第68条第1款规定：“国家机关不履行本法规定的个人信息保护义务的，由其上级机关或者履行个人信息保护职责的部门责令改正；对直接负责的主管人员和其他直接责任人员依法给予处分。”这一规定的内容较为原则，具体的机构职能、监督权限划分、运作流程都很不清晰，仍需进一步细化展开。

[52]See U.S.GAO，Information Security：Weaknesses Continue Amid New Federal Efforts to Implement Requirements，GAO-12-137，p.4-7.国内学者的介绍，可参见谢尧雯：《论电子政务中的个人信息保护：美国经验与启示》，载《中国行政管理》2019年第2期，第140-146页。

[53]当下，各地往往强调大数据行政主管部门负责政府数据共享的统筹和指导工作，而忽视了政府法制部门及其他部门的参与。如《贵阳市政府数据共享开放条例》第4条对大数据行政主管部门主导地位的突出强调。

[54]例如，《贵阳市政府数据共享开放条例》第15条第3款规定：“数据提供机关不同意提供有条件共享的政府数据，数据需求机关因履行职责确需使用的，由市大数据行政主管部门协调处理。”但该法规没有设置对数据共享决策的监督机制。

[55]参见王贵松：《风险行政的组织法构造》，载《法商研究》2016年第6期，第18页。

[56]参见郑晓军：《反思公共数据归集》，载《华东政法大学学报》2023年第2期，第61页。