目的限定視角下行政機關間共享個人信息行為的法治約束

摘 要：行政機關間共享個人信息的行為具有行政性、法定性、外部性，應當滿足主體合法、權限合法、程序合法、內容合法的要求。從“目的限定”角度觀察，行政機關間的個人信息共享可以分為“目的內共享”與“目的外共享”兩種類型。目的內共享行為情形有限、風險較低，主要以組織法規則、行政決策程序規則或是目的兼容規則作為依據。相較而言，目的外共享行為具有更強的隱蔽性、規模性、風險性，加劇了行政權力與相對人權利關系結構的失衡，需要展開嚴密、專門的法律控制。對此，應以共享行為的“可預見性”為中心，從共享前提、正當事由、個人參與和組織保障四個維度構建目的外共享行為的法治約束框架。

關鍵詞：目的限定；個人信息共享；整體政府；可預見性；數字法治政府

中圖分類號：DF36

文獻標志碼：A

DOI：10.3969/j.issn.1001-2397.2025.02.09 開放科學（資源服務）標識碼（OSID）：

目 次

一、問題的提出

二、行政機關間共享個人信息行為的特征與類型

三、目的外共享行為的風險及法治約束的必要性

四、目的外共享行為的法治化路徑：以可預見性為中心

五、目的外共享行為法治約束框架的具體展開

六、結語

一、問題的提出

在數字政府建設的當下，行政機關間大規模共享包括個人信息在內的數據信息已然是一項普遍的事實?！颈疚牟粎^分“個人信息共享”與“個人數據共享”。同時，對行政機關與法律法規授權的履行公共行政管理職能的組織之間共享個人信息的行為進行一體討論，為行文便利，統一使用“行政機關間共享個人信息行為”這一概念?！窟@類跨機關的個人信息處理活動，雖然基于“整體政府”的理念提升了行政效能與公共服務質量，減輕了信息重復收集的成本及對公民的困擾【參見王敬波：《數字政府的發展與行政法治的回應》，載《現代法學》2023年第5期，第116頁?！浚谶@一過程中公民的個人信息被進一步整合、濫用、泄露的風險也相對升高。因此，隨著數字化技術發展日新月異，如何在通過個人信息共享提升政府服務品質與運作效率的同時，充分保障公民的個人信息權益，是當前亟待解決的問題。

不過，無論是在理論研究層面還是制度實踐層面，當下我國對行政機關間共享個人信息活動的法治約束都存在不足。在理論層面，既有研究對行政機關處理個人信息的關注點主要集中在“外部收集”或“對外公布”這類具備權力行使外觀的信息處理行為上?！緟⒁娕礤T：《論國家機關處理個人信息的合法性基礎》，載《比較法研究》2022年第1期，第162-176頁；趙宏：《信息自決權在我國的保護現狀及其立法趨勢前瞻》，載《中國法律評論》2017年第1期，第147-161頁。】但是，對于“不可見”“隱蔽”的個人信息共享行為如何約束這一問題，理論界更多只是抽象地探討政府數據共享制度應遵循的基本原則，缺乏精細化、專門化、體系化的闡述。【有研究對政務數據共享的法治邊界進行整體分析，但尚未對個人數據共享行為的基本類型、合法性要件等內容進行詳細論述。參見邢會強：《政務數據共享與個人信息保護》，載《行政法學研究》2023年第2期，第68-81頁?！吭跒閿挡欢嗟纳婕皞€人信息共享行為法律控制的研究中，相關的分析框架也存在明顯不足：例如，有研究對國家機關間傳輸個人信息的實踐作了初步梳理，總結了個案式傳輸和規?；瘋鬏攦煞N樣態，但是，這種類型化的方式在邏輯上并不周延。該種觀點認為個案式傳輸是執行行政任務中點對點式的，規模化傳輸則是平臺化、寬泛化的由當下的政務數據共享政策所驅動的。【基于共享規模進行類型劃分的相關論述，參見羅英：《個人信息在國家機關之間傳輸的類型化治理》，載《法學》2023年第9期，第33-47頁。實際上，該文章中列舉的個案式傳輸的例子，如聯防聯控、資格審查、向上級報送許可申請材料，在當下數字政府建設實踐中都可能是基于政務數據平臺開展的規模化的傳輸。】但實際上，個案式傳輸指向的是當事人和行政機關間的“個案法律關系”，規?；瘋鬏斨械摹耙幠！眳s指向的是行政機關之間基于信息處理系統的互動頻率，兩者很難進行準確的二元劃分。并且，這種劃分方法無法從共享職責和目的出發，真正完善共享行為的合法性要件和立法技術?？偟膩砜矗谛姓C關共享個人信息活動之侵害風險日益加劇、外部性日益明顯的當下，既有研究尚無法準確定位個人信息共享行為的性質、類型與邊界，難以對這一現象作出充分的回應。

在制度實踐層面，當下的國家治理以持續性的信息處理為重要基礎，通過政府信息共享形成的“大數據”，與不斷更新迭代的算法相結合，對傳統的行政權力進行了賦能。但是，與日益頻繁的信息共享活動相比，目前鮮見專門控制行政機關間共享個人信息的約束性、保障性規則。例如，《全國一體化政務大數據體系建設指南》（國辦函〔2022〕102號）強調通過跨地區、跨部門、跨層級的個人數據共享規制社會風險、提升公共服務質量；不過，相應的共享行為合法性審查機制尚付之闕如。在一般性規則層面，《中華人民共和國個人信息保護法》（以下簡稱《個人信息保護法》）第二章第三節對行政機關在內的國家機關處理個人信息的行為作了原則性規定，同時在第20～23條對多個信息處理者處理個人信息的行為進行了規則表達。但是，這些規范如何適用于行政機關間共享個人信息的活動，仍然不甚清楚。誠然，通過政策主張與激勵機制破除政府部門間的“數據孤島”有其現實合理性，但個人信息共享活動的法治化、規范化、理性化也不容或缺。此時，究竟如何將個人信息保護的規范、原理、框架有效地融入行政機關間共享個人信息的場景中？

對此，有必要立足全球視野，比照國內外實踐，全面而深入地揭示行政機關間個人信息共享的法律性質、基本類型、主要風險與控制工具，進而從法律依據、個人權利、組織保障等角度，系統性地構建行政機關間共享個人信息行為的法治約束框架。

二、行政機關間共享個人信息行為的特征與類型

對行政機關間共享個人信息行為展開法治約束，首先要明確此類行為的基本特征與運作邏輯。進而，梳理來源機關處理信息與接收機關處理信息之間的關系，根據不同的法律關系展開類型化分析。

（一）為履行法定職責而進行信息共享的行為特征

《個人信息保護法》對國家機關處理信息與私人機構處理信息進行了一體化調整。這是否意味著行政機關間共享個人信息這一處理行為，與私人機構之間共享個人信息的行為具有相同的法律性質？回答應當是否定的。實際上，行政機關間共享個人信息的行為具有行政性，與私人機構之間共享個人信息的行為存在很大差異。

一方面，共享行為的目的不同。私人機構間共享個人信息，主要是因為接受者需要分析利用這些信息，進而對個人提供特定服務、開展民商事活動。行政機關間共享個人信息，則是因為行政機關在履行法定職責的過程中，需要利用這部分個人信息來行使行政職權、完成行政任務?！緟⒁娡蹂a鋅：《行政機關處理個人信息活動的合法性分析框架》，載《比較法研究》2022年第2期，第97-99頁?！坷纾谛姓S可與行政處罰實施的過程中，接收機關獲取個人信息可為其開展事實認定活動提供基礎；個人信息所指向的個人特征也是接收機關行使裁量權、選擇處理措施的重要依據。又如，在城市管理與公共服務過程中，接收機關需要匯總大量的個人信息形成大數據輔助決策。此外，在一些行政行為的作出與執行階段，接收機關還可將獲取到的個人信息作為重要媒介對外行使職權，如實施通報批評、個人表彰等信息發布行為。

另一方面，共享行為中信息處理者的自主性不同。私人機構共享個人信息主要是在民商事活動中發生的，個人信息處理者可以自主決定處理的目的和方式。個人則在信息處理關系中獲取私人機構所提供的相應服務。這類“交換關系”下的共享行為具有私益性，故通常以個人同意作為正當基礎?！緟⒁姵虈[：《論個人信息共同處理者的民事責任》，載《法學家》2021年第6期，第22-25頁?！颗c之相比，行政機關間共享個人信息的行為具有法定性和公共性，共享的目的、范圍、方式、種類等事項并不能由行政機關自主決定或與個人信息主體協商決定，而是取決于法定授權?！秱€人信息保護法》第34條規定：“國家機關為履行法定職責處理個人信息，應當依照法律、行政法規規定的權限、程序進行，不得超出履行法定職責所必需的范圍和限度。”此時，行政機關間的個人信息共享行為應當服務于行政機關的職權行使需要，既不能針對不屬于行政機關法定職責的事項而共享個人信息，也不能針對法定職責內容共享非必需的個人信息?！緟⒁姼咧竞辏骸秱€人信息保護的公共利益考量— —以應對突發公共衛生事件為視角》，載《東方法學》2022年第3期，第26頁。】正如美國學者杰森·馬里薩姆（Jason Marisam）所指出的，有別于私人市場，以公職人員為核心參與者的政府間“市場”不應僅追求效率提升，還要考慮公民權益保障、政府責任和權力制衡，必須受到行政法的嚴格約束?！維ee Jason Marisam， The Interagency Marketplace， 96 Minnesota Law Review 886， 886-951 （2012）.】

就此，私人機構之間共享個人信息的相關規則，并不能當然地適用于行政機關間共享個人信息的活動。對于行政機關而言，數據共享不僅影響行政決策和監管效率，更直接關系到公民權益保護、行政透明度和法治政府建設的公信力?！秱€人信息保護法》第20～23條對四種不同的多主體處理個人信息的情形作出了規定，分別是個人信息共同處理、委托處理、特殊情形下轉移，以及向其他處理者提供，這些都自然涉及個人信息在不同主體之間的共享。但是，這些規定主要針對私人機構處理個人信息的場景展開：個人信息共同處理（第20條）、委托處理（第21條）都強調“按照雙方約定的權利義務”進行信息處理，前者指向處理者在民法上的連帶責任，后者指向處理者之間基于委托合同的責任；特殊情形下的個人信息轉移（第22條）主要是針對企業法人的合并、分立、破產等變動，向其他處理者提供信息（第23條）則強調“接收方變更原先的處理目的、處理方式的，應當依照本法規定重新取得個人同意”。很顯然，這些規則是以私人機構間共享信息進行預設，針對的是能夠自主決定處理目的和處理方式的私主體，因此，并不能直接適用于行政機關間為履行法定職責而共享個人信息的行為。

同時需要看到，行政機關間共享個人信息的行為也不是一種并不直接關涉當事人權益的內部行政活動。行政機關為實現行政目的而進行的個人信息共享，雖然沒有直接作用于個人信息主體的權力外觀，但也屬于《個人信息保護法》所規定的“個人信息處理”，仍然會對個人信息權益帶來相應的風險。《個人信息保護法》在三審時于第1條添加了“根據憲法”這一立法依據，全國人大憲法和法律委員會對此給出的解釋是：“我國憲法規定，國家尊重和保障人權，公民的人格尊嚴不受侵犯，公民的通信自由和通信秘密受法律保護。制定實施本法對于保障公民的人格尊嚴和其他權益具有重要意義。”就此，行政機關在內的國家機關進行個人信息共享活動，對個人在憲法上享有的個人信息權益可能造成威脅，具有外部性?！娟P于《個人信息保護法》規定“根據憲法，制定本法”的理據，參見張翔：《個人信息權的憲法（學）證成— —基于對區分保護論和支配權論的反思》，載《環球法律評論》2022年第1期，第57頁。】《個人信息保護法》第35條規定“國家機關為履行法定職責處理個人信息，應當依照本法規定履行告知義務”，這也表明：行政機關在內的國家機關實施的個人信息處理行為對外影響了個人信息權益，基于程序正義的要求，除非出現妨礙職責履行、損害公益這一例外，否則應當及時告知個人，允許個人積極進行參與和監督。實際上，從行政救濟法的視角看，承認個人信息共享行為的“外部性”旨在容許個人積極行使更正、刪除等個人信息主體權利，進而消除違法的個人信息共享行為所帶來的影響；在權利行使與保障的過程中，審查機構自然會對個人信息共享行為的合法性進行判斷。這與當事人通過提起撤銷之訴撤銷行政法律行為以進行權益救濟的傳統路徑之間存在區別。【參見黃智杰：《行政活動中個人信息權益救濟的兩種路徑》，載《法制與社會發展》2023年第5期，第211頁。】

綜上，行政機關間共享個人信息行為具有行政性、法定性、外部性，雖然不屬于行政法律行為，但也有必要對其設置基本的合法性要件。具體而言，行政機關間共享個人信息行為應當滿足主體合法、權限合法、程序合法、內容合法的要求?！拘姓顒拥姆ㄖ位s束機制主要從行為主體、權限、內容、程序四個方面展開，行政機關處理個人信息的行為應當滿足這些方面的要求。參見王錫鋅：《行政機關處理個人信息活動的合法性分析框架》，載《比較法研究》2022年第3期，第96頁?！科渲?，主體合法是最為基本的要求，來源機關不能基于“履行法定職責所必需”而將個人信息提供給不具備管理公共事務職能的私人機構；也就是說，共享行為中的接受者必須是履行公共行政管理職能的組織，否則便屬于主體不合法。例如，在傳染病危機應對中，在缺乏組織法規定的情況下，許多社區、物業管理部門、企事業單位分享了應對危機的管理權和監督權，進而與疾控部門共享了大量的個人信息?！緟⒁娡跣瘢骸吨卮髠魅静∥C應對的行政組織法調控》，載《法學》2020年第3期，第84頁。】這類共享行為并沒有組織法委托或其他行政事務管轄規則的規定作為基礎，因而難以滿足主體合法的要求。

從理論上看，對行政機關間共享個人信息的行為進行合法性評價，其難點在于權限合法要件的判斷。換言之，行政機關間共享個人信息行為中的“法定職責”到底是什么？是指來源機關的法定職責還是接收機關的法定職責，抑或兩者兼備？從性質上看，法定職責中的“法”是組織法還是行為法，抑或程序法？只有厘清了這些問題，才能有效地展開后續分析。一方面，在程序合法性維度上，明晰行政機關共享個人信息時應當遵循哪些流程、告知哪些內容，個人應當了解到哪些事項并相應地行使自身的程序權利?！緟⒁娛Y紅珍：《〈個人信息保護法〉中的行政監管》，載《中國法律評論》2021年第5期，第51頁?！苛硪环矫?，在內容合法性維度上，以“法定職責”的規范內涵為基礎，判斷哪些是“為履行法定職責”而“所必需”進行共享的信息，運用合理關聯性、最小損害性、最大有效性等比例原則的分析框架，展開對個人信息共享范圍和限度的控制，確保具體的共享操作具有適當性、必要性和均衡性?！緟⒁妱啵骸墩搨€人信息處理的合法、正當、必要原則》，載《法學家》2021年第5期，第13-14頁。】此時，要分析權限合法要件這一“阿基米德支點”，本質上是要厘清這樣一個問題：來源機關處理個人信息，與接收機關從來源機關處獲取個人信息并展開利用，這兩者之間到底是一種什么樣的法律關系？也就是要厘清來源機關處理個人信息的目的與接收機關利用個人信息的目的之間的關聯。下文主要圍繞權限合法性的判定問題，以目的限定原則在行政機關共享個人信息場景中的適用為切入點展開分析。

（二）行政機關對個人信息的目的內與目的外共享

從邏輯上看，信息來源機關和信息接收機關所履行的法定職責未必相同，因此處理的目的也可能存在不同，需要進行類型化區分。實際上，《個人信息保護法》第20～23條雖然主要針對私人機構處理個人信息，但是也高度關注多主體之間共享個人信息時的處理目的，并展開了類型化控制。例如，在特殊情形下的個人信息轉移中，如果處理目的沒有發生變化，只需要告知個人接受主體的身份與聯系信息即可；但是，如果接受主體處理的目的發生了變化，則需要詳細告知個人接受主體處理的目的、方式，并取得個人的單獨同意。又如，在向其他個人信息處理者提供個人信息的場景中，信息來源方與信息接收方各自決定處理的目的，此時的信息提供行為需要取得個人的單獨同意。但如果雙方之間是委托處理關系，而委托處理關系下的個人信息共享行為服務于原有的處理目的，便沒有取得單獨同意的要求。也就是說，上述規范強調了這樣的法理：在原有目的內進行共享與原有目的外進行共享應當分別適用不同的規則，并對后者進行更加嚴格的限制?！緟⒁姉詈蠎c主編：《中華人民共和國個人信息保護法釋義》，法律出版社2022年版，第173頁。】

這種審慎對待個人信息共享之目的的理念，理論淵源是公開信息實踐中的“目的限定”原則。該原則被認為是個人信息保護法上的“帝王條款”。例如，作為世界各國個人信息保護法立法重要參考依據之一的經合組織（OECD）發布的《隱私保護與個人數據跨境流動準則》所包含的八大原則中，便強調目的明確化原則（purpose specification principle）— —收集個人信息須明確其目的，其利用應與收集目的一致；以及利用限制原則（use limitation principle）— —未得個人信息主體同意或法律另有規定者，處理者所收集的個人信息不得為收集時所定目的外之利用?！緟⒁娭軡h華主編：《個人信息保護前沿問題研究》，法律出版社2006年版，第16頁。】這些原則的規范目標相同，即將信息處理者收集的個人信息盡可能限制在特定目的范圍內，消除處理者恣意利用的空間，防止個人信息在缺乏約束的情況下被泄露與濫用。這種強調“目的限定”的保護模式也為歐盟、美國等世界多數地區和國家的個人信息保護立法所沿襲。【參見丁曉東：《論個人信息法律保護的思想淵源與基本原理— —基于“公平信息實踐”的分析》，載《現代法學》2019年第3期，第96-103頁。】例如，歐盟《一般數據保護條例》便在第5條規定：“個人數據的收集應當具有具體的、清晰的和正當的目的，對個人數據的處理不應當違反初始目的。”從法理基礎上看，目的限定原則圍繞著信息處理目的與信息處理手段之間關系的理性化而展開，旨在促進“信息主體—信息處理者”這一權力不對稱關系中的利益平衡。這實際上體現了公法上比例原則的規范意旨— —信息的無限共享與重復利用會給公民權益帶來嚴重威脅，需要審慎權衡數據共享風險與大數據匯集所帶來的賦能功效，確保數據共享的均衡性、必要性與適當性?！娟P于比例原則的法理基礎與規范內涵，可參見劉權：《比例原則》，清華大學出版社2022年版，第20-24頁?！?/p>

因此，在目的限定視域下，有必要類型化行政機關對個人信息進行的“目的內共享”與“目的外共享”這兩類處理行為，從而區分其運作邏輯、共享風險并進行相應的控制。

1.目的內共享的類型與依據

從邏輯上看，“目的內共享”中來源機關與接收機關可能存在不同的法律關系，主要有以下三種類型：

第一，基于組織法上的授權、事務委托、層級監督等關系發生的個人信息共享，主要是組織法上職責關系而產生的附隨效果。例如，行使相對集中行政處罰權的行政機關，以及負責機構任務協調的部門，自然直接獲取到原有權機關掌握的相關卷宗材料、執法資料。又如，受委托機關為行使職權，也應從委托機關處獲取相關必要信息。此類情形中，組織法上的管轄權配置與內部監督協調關系自然延伸出個人信息共享的結果，這與《個人信息保護法》中關于個人信息委托處理、例外情形下轉移處理的規定具有相通性。

第二，基于內部決策程序中信息交互的要求，個人信息作為輔助決策的材料在不同主體之間的移轉。行政主體內部溝通程序涉及誰來牽頭，哪個機構、哪些人員負責何種事項，誰來組織論證會及聽證會，誰來調查事實，誰參與討論，誰最后決定等內部的請示匯報、討論決定等。【參見何海波：《內部行政程序的法律規制（上）》，載《交大法學》2012年第1期，第129頁?！看藭r，針對特定的行政任務，決策流程中的不同機關需要共同或先后作出判斷，如上下級機關之間的審查、批準與備案，跨地域案件中不同機關確定管轄權歸屬的溝通過程等，因而自然會發生附隨的個人信息共享?！纠纾吨腥A人民共和國人民警察法》第16條規定：“公安機關因偵查犯罪的需要，根據國家有關規定，經過嚴格的批準手續，可以采取技術偵察措施?！贝藭r若是由上級機關的上一層級負責人批準，自然要以下級機關上報信息作為決策基礎。】這類行為主要依靠行政內部程序法來進行控制與限定，對其設定權、法律責任、流程進行規范。

第三，兼容于“同一目的”情形。例如，美國《隱私權法》設置了常規使用（routine use）機制，強調個人信息提供給其他行政機關使用時，如果具備高度的職責關聯性與相似度，可以認定依然屬于原收集目的的范疇，這些情形需要在聯邦公報上明確公布，滿足目的一致性（通過目的解釋衡量）與履行告知義務的要求。例如，基于聯邦稅務管理目的而收集的聯邦納稅人信息可被披露給州稅務機構，以達到州稅務管理的目的?！久绹鴮W者普遍認為，應當嚴格限制此種兼容情形的認定，避免實踐中的適用泛化。See Daniel J. Solove amp; Paul M. Schwartz， Information Privacy Law， New York： Wolters Kluwer， 2018， p.886.】又如，在日本法上，民政部門登記的居民基本信息屬于各種行政活動所需的基礎性信息，這類信息向稅務部門、福利保障部門、統計部門的共享被認定為“一般性的信息收集”，符合目的限定要求?！緟⒁姡廴眨葜形饔秩骸度毡拘姓ā罚t譯，北京大學出版社2020年版，第114頁?！吭偃?，在德國法上，針對關聯的社會行政機關之間彼此共同協力、先后階段完成社會保障類行政任務過程中的信息共享行為，可以認為屬于目的內利用?！綱gl.Binne， Wolfgang und Carsten Kremer， 2018. §10： Sozialdatenschutz. In： Franz Ruland， Ulrich Becker， Peter Axer und Bernd Baron von Maydell， Hrsg. Sozialrechtshandbuch： SRH. 6. Aufl. Baden-Baden： Nomos， Rn.83-174.】

關于這一原理，歐盟第29條工作組也指出，目的限定原則并非要求“靜止不變的禁止”，其目標在于防止數據處理過程所伴生的缺乏可預見性的損害。因此，信息控制者應當進行“兼容性測試”，如果數據進一步處理沒有風險，或風險的水平足夠低以致可以進行處理活動，那么進一步處理會被視為是兼容的。【See Draft Outline for WP29 Opinion on “Purpose Limitation”， p.13-14，2013， https：//ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2013/wp203_en.pdf，last visited on May.5，2023.】也就是說，需要對“個人信息處理目的”進行動態、務實的解釋，根據“目的限定原則”的功能來判斷來源機關向接收機關提供信息行為的風險、認定其兼容性，在確保處理目的解釋客觀性、科學性的前提下兼顧數據二次合理利用的需求。【參見李艾真、張碩：《論個人信息保護“目的限定原則”的兼容性標準》，載《情報理論與實踐》2024年第5期，第78頁?！坷?，在我國實踐中，不同地域、不同層級的履行傳染病防控職責的部門之間共享個人健康信息，用于各自管轄范圍內的研判、疫苗管理等活動，并建立互認機制，也屬于此類兼容于“同一目的”情形。當然，對目的兼容性或合乎個人合理預期的二次利用目的的理解應當有限度，否則將最終架空個人信息處理的基本原則。

應該看到，上述情形主要涉及來源機關與接收機關之間一致或緊密關聯的法定職責，針對較為特定的行政事務與職權行使而展開“目的內共享”行為。此時，信息處理的目的與法定職責基本是“一元”的，主要是基于組織法、程序法與目的兼容規則的設計而發生機關間的個人信息共享。整體來看，由于信息共享與利用需要處于同一目的之內，“目的內共享”的范圍、情形是較為有限的。因此，這類行為基本符合“目的限定”原則的規范意旨，處理風險較為可控。在合法性評價上，如果來源機關自身處理個人信息的活動具有法律授權且處理目的是正當的，那在具備組織法規則、決策程序規則或是目的兼容規則作為依據的條件下，來源機關對接收機關進行目的內共享便滿足了“權限合法”的要求。進而，行政機關在共享個人信息時應當告知信息主體“目的內共享”的規則依據與參與共享的主體信息，滿足程序合法性要求。同時，在內容合法性上，所共享的個人信息也應當限定在實現該目的所必需的范圍內。

2.目的外共享的多元化場景

在更多的場景中，個人信息來源機關與個人信息接收機關往往各有其法定的管轄權，來源機關基于其執行法定職務必要而收集個人信息，而接收機關為執行其法定職務而使用傳遞的個人信息。然而，這些目的往往并不相同且無法兼容。在現代社會，如果完全禁止行政機關在原初、特定目的外利用個人信息，則有需求的行政機關便不得不重復收集個人信息，這會降低個人信息利用的靈活性與有用性，可能造成行政效率不彰、增加公共事務負擔的后果。因此，為了提升公共服務的品質與效率，以及在特定情形中需保護相關方權益或社會公共利益，在某些情況和條件下，應允許行政機關將其所控制的個人信息進行原初目的外之利用，即將信息提供給履行其他法定職責的行政機關的“目的外共享”。

應該注意到，目的外共享行為與《個人信息保護法》第23條規定的個人信息提供行為具有共通性，屬于多個具有獨立處理目的的信息處理者之間共享個人信息的行為。此時，來源機關和接收機關各自的處理目的是獨立的，基于行政活動的廣泛性與個人數據的非物質性、非消耗性，多元行政機關可以為各種目的無限次地使用和重用同一個人數據。從現實需求與實踐圖景看，為縮短行政流程，減少行政成本，履行不同法定職責的行政機關間傳送與比對個人信息的活動日益頻繁。無論是秩序行政與風險行政下迅捷的違法事實認定（如警察部門向稅務部門共享信息），還是給付與規劃行政中申請人基本情況的準確核實（如行政許可部門與財產登記部門間的信息傳輸），都往往有賴于掌握不同信息機關間的“目的外共享”?！緟⒁娡蹯o、劉曉晨：《政府數據共享的法治路徑和突破點》，載《中國司法》2019年第11期，第36-38頁?！窟M一步，隨著數字政府建設的推進，政府部門間的大規模數據共享與利用漸成常態，一個個大型的專門數據庫與信息共享平臺逐步建立，各個數據庫之間的聯動可增加整體行政效率并降低錯誤發生概率?！緟⒁姼咔貍ィ骸稊底终尘跋滦姓ㄖ蔚陌l展及其課題》，載《東方法學》2022年第2期，第176頁。】例如，在“讓數據多跑路，群眾少跑腿”的服務目標驅動下，各職能部門之間打通部門隔閡，將各部門數據進行匯集，形成政務大數據。政務數據庫與信息共享平臺可以打通不同機關間的信息資源、提升政府整體運作的行政效能，同時為公共數據開放奠定基礎。在數字行政背景下，這已然越來越普遍化、規模化、泛在化，值得認真對待。

同時需要注意的是，在實踐中，基于規范目的判斷個人信息傳輸究竟是“目的外”還是“目的內”共享并不容易，有必要進一步挖掘“目的內”和“目的外”的判斷依據。對此，德國法上通過區分三種個人信息處理來作出類型化判斷：（1） 為執行某法律規定，涵攝構成要件要素是否該當時所需之信息，可稱之為“涵攝信息”（Subsumtionsinformationen）。（2）其他對于決定具有意義之事實狀況資料，例如確定處罰數額所需的當事人情況，可稱之為“決定信息”（Entscheidungsinformationen）。（3）能從中推導出涵攝信息或是決定信息是否存在，或是否正確之信息，可稱之為“輔助信息”（Hilfsinformationen）?！綱gl. U. Dammann， in： S. Simitis （Hrsg.）， Bundesdatenschutzgesetz， 7. Aufl.， 2011， § 15 Rn. 11-17.】不過，即便作出初步分類，也需要處理法律規范中存在不確定法律概念、規范目的較為含糊的問題，增強共享目的識別的客觀性、說服力與可操作性。對此，可借鑒不確定法律概念具體化與行政裁量權控制的既有原理，建立綜合性的框架：一是規則控制，盡可能在法律中明確不同領域行政機關的個人信息處理目的，并在立法說明中予以闡釋。若是法律規則存在空白，則可要求參與共享的行政機關基于其職權依據細化個人信息處理規則，明確共享的具體目的。二是原則控制，基于比例原則、法的安定性原則、公平原則等原則的要求，在缺乏具體規則時，明確對處理目的的解釋選擇方案，抑制行政機關基于自身逐利需求或避責動機而對個人信息處理目的作出不當解釋。三是程序控制，將行政機關處理個人信息的過程置于公眾的評估和監督之下，強化行政機關在特定行政場景與行政活動中的理由說明與風險溝通義務，促進共享行為中行政裁量的理性化和正當化。四是審查控制，通過復議與訴訟程序等監督程序不斷積累個案經驗?！緟⒁娡蹂a鋅：《自由裁量權基準：技術的創新還是誤用》，載《法學研究》2008年第5期，第47頁。】通過上述不同法律工具的協同，可以進一步明晰“目的內共享”和“目的外共享”的區分依據及操作規則。

三、目的外共享行為的風險及法治約束的必要性

在我國數字政府建設的過程中，數據共享逐漸從機關間協助履職的非常態化活動，轉變為整個政府治理體系中重要且常態化的數據賦能路徑。國務院《政務信息資源共享管理暫行辦法》（國發〔2016〕51號）規定政務數據“以共享為原則，不共享為例外”?！度珖惑w化政務大數據體系建設指南》進一步強調“數據資源一體化”理念，一方面，要求推動數據資源“按需歸集、應歸盡歸”，通過邏輯接入與物理匯聚兩種方式歸集全國政務數據資源，并進行統籌管理；另一方面，突出“形成覆蓋國家、省、市等層級的全國一體化政務數據共享交換體系”的任務。這設定了數據資源先行匯聚再按需分配的架構。地方層面，具有代表性的《浙江省公共數據條例》第23條要求“列入不共享數據的，應當提供明確的法律、法規、規章或者國家有關規定依據”?？梢钥吹?，這些政策文件與法規范沒有對個人數據共享作出特別規定，而是放入整個政務數據集聚共享的大框架內展開，將不同部門間的數據共享與數據歸集作為理所當然的數據治理原則與路徑，并未劃定個人數據共享的邊界。那么，是否可以認為，在數字賦能驅動政府行政的當下，基于行政效能提升、行政管理成本降低的收益考量，可以淡化乃至放棄“目的限定”原則，轉而將個人信息的“目的外共享”作為政府數據管理的主線與數字政府建設的應有之義？

答案應當是否定的。實際上，與一元法定職責下“行政機關—信息主體”間的個人信息處理行為相比，在二元乃至多元的履行不同法定職責的行政機關之間“目的外共享”的行為，相較于“目的內共享”下特定行政任務達成的信息利用，具備規模性、累積性、隱蔽性、高度不對稱性的特點，具有遠高于前者的個人信息權益侵害風險。首先，在個人信息共享的過程中，分散在不同部門的個人片段生活記錄能夠脫離原有的單獨化、個別化的處理脈絡，被集中起來加以辨識、分類、聯結與整合，進行日益迅捷與全面的數據挖掘，這可能帶來對公民私生活的窺探與私人空間的冒犯。其次，信息共享發生在履行不同任務的多個行政機關之間，沒有直接作用于當事人的權力外觀，當事人往往無從得知其個人信息基于其他目的被使用的具體情況，這會加劇個人的恐慌、擔憂與不信任感。【參見鄭曉軍：《數據跨部門流動的風險與問責》，載《中國行政管理》2022年第11期，第52頁?！吭俅危瑐€人信息共享后可能經由不同行政機關聯結多個場景下的權益，一旦原始來源處的信息出現錯誤，將帶來很強的連鎖效應，如公共服務中的歧視、誤判等?！維ee Arjan Widlak amp; Rik Peeters， Administrative Errors and the Burden of Correction and Consequence： How Information Technology Exacerbates the Consequences of Bureaucratic Mistakes for Citizens， 12（1） International Journal of Electronic Governance 40 ，51（2020）.】最后，高頻、缺乏節制的個人信息流轉與集中匯集將增大信息安全風險，妨礙公民人格的發展?？傮w而言，目的外共享行為對個體的人格尊嚴、私人生活安寧、信息安全等法益都可能造成不利影響，有必要對這類高風險的個人信息處理行為展開專門化、高標準約束?！具`法的個人信息處理活動對個人實體性權益的具體影響，參見王錫鋅：《個人信息權益的三層構造及保護機制》，載《現代法學》2021年第5期，第110頁。】這意味著，不能僅僅為了提升接收機關履職的行政效率，便全面化、一體化，不加區分地在政府內部推行個人數據的歸集與共享。

尤其應該看到，在我國實踐中，行政機關在風險預防、福利管理與社會調控中勢必會采集大量的公民信息。這些信息一旦可以輕易地超出原初目的而服務于其他多個行政機關的多元行政任務，將使得個人的各類特征信息在無數場景下，無邊界地、無頻次限制地被整合與利用，個人的主體性與隱私將面臨威脅。對此，相應的安全管理手段固然重要，但并不能從根本上消除共享風險：由于“可識別性”是個人信息發揮利用價值的基礎，只要“可識別性—信息利用價值”的邏輯存在，即便采取了相應的技術措施，在個人信息服務于行政效能提升的絕大多數場景中，行政機關必然還是可以通過一定的手段回溯、錨定到個人。并且，隨著算法決策與自動化技術的發展，行政機關挖掘、整合數據的規模、能力和效率都大大加強。在這種層層疊加、可以無限聯結的個人信息共享利用關系中，個人信息權益受損的風險將會不斷累積和延展。

目的外共享行為對個人信息權益影響巨大，應當予以特別規制。對此，各國個人信息保護法其實也選擇將行政機關（國家機關）的“目的內利用（共享）”作為一般性情形，原則上普遍容許。同時，對“目的外利用（共享）”行為進行專門的規則表達與制度設計，將其控制在特定范圍內，以防范共享過程中個人信息權益減損的巨大風險。如德國《聯邦個人信息保護法》（Bundesdatenschutzgesetz）第23條、第25條對公務機關在利用目的外傳輸共享個人信息的行為進行了單獨規定。又如，歐盟《關于各類官方機構處理個人數據的條例》第5條規定歐盟官方機構原則上只能進行目的內共享，需嚴格控制例外。再如，日本《行政機關保有的個人信息保護法》第8條原則上禁止行政機關所保有的個人信息被目的外利用提供，并對例外事由進行嚴格限定。實際上，對“目的外共享”行為進行專門化約束，并不排斥合理、必要的政府內部信息流通，而是要求政府充分尊重個人的主體性地位和相關權益，在法治化軌道上開展對個人信息的內部重復利用。由此，既可以推動行政機關采取數據分級分類管理措施，合理配置自身資源與政策注意力，從而將“政策驅動”轉變為“規范指引”，通過規范化、標準化、理性化的方式約束數據共享中的不規范現象，也能夠在更大的時空范圍內促進公民對數字政府建設的信任與信心，推進數字化改革行穩致遠。

四、目的外共享行為的法治化路徑：以可預見性為中心

在明確目的外共享行為法治約束必要性的前提下，需要進一步分析的問題是，究竟如何將數字化技術驅動下的“目的外共享”納入法治化軌道？對此，應當在行政法治價值目標的引領下，圍繞數據共享活動的技術特性和權力屬性，匹配相應的法律控制技術和工具。

從行政法治的基本要求看，“無理由則無行政行為”，行政機關只有在具備明確、充分的法律依據和實質理由的情況下方能開展個人信息處理行為，這既有助于抑制行政機關的恣意，也有助于說服行政相對人，也便于私人尋求救濟和司法實施審查?！緟⒁娡踬F松：《論行政裁量理由的說明》，載《現代法學》2016年第5期，第38頁?！科鋬r值內核在于穩定信息主體的規范預期，使信息主體能夠較好地認知特定的信息處理行為的風險、收益、預期損害，進而理性、自主地采取行動和規劃生活?？梢哉f，個體視角下政府行為的“可預見性”正是法治作為“程序之治”的核心內涵，這對政府行為的程序性品格提出了規范要求。在行政機關處理個人信息的場景下，目的限定原則的具體適用，應當基于風險規制與各方利益平衡的需要，圍繞處理目的改變而衍生的個人信息權益侵害風險展開，確保信息主體對信息處理風險及相關防范措施的可預見性。【這需要將“基于風險的個人信息保護”與“基于權利的個人信息保護”更好地融合起來，參見趙鵬：《“基于風險”的個人信息保護？》，載《法學評論》2023年第4期，第123-136頁；張濤：《風險預防原則在個人信息保護中的適用與展開》，載《現代法學》2023年第5期，第52-72頁?！?/p>

在此意義上，如果行政機關間共享個人信息行為的依據存在被隨意解釋的風險，個人信息的目的外共享行為被不當泛化，信息主體的個人信息權益將陷入一種不確定的狀態。作為行政機關干預公民個人信息權益的活動，目的外共享行為超出了原有的信息處理目的，帶來了額外的、不容忽視的個人信息權益侵害風險，應當通過新的法律機制重新確保個人信息主體的可預見性。而在發展和完善行政法治的控制技術之時，目的外共享行為應當符合該信息主體作為一般理性人在特定場景中所能夠產生的合理期待，充分體現出對信息主體的價值關懷。

而從當代個人信息保護的基本原理觀察，個人與信息處理者之間應當通過個人信息處理規則形成理性化的制衡關系，通過程序要素平衡個人與信息處理者之間的權力勢能差?！緟⒁姴膛嗳纾骸稓W盟法上的個人數據受保護權研究— —兼議對我國個人信息權利構建的啟示》，載《法學家》2021年第5期，第22頁。】尤其是對于呈現“不可見趨勢”的信息共享行為，更應當強調透明度與可預見性的要求，使得個人信息的利用（包括主體、依據、過程、后果等）處在信息主體所能預見的范圍內，進而為個人信息主體的參與、監督、制衡提供基礎條件，真正限制個人信息在共享過程中被漫無邊際、無節制地利用。這就要求對“目的外共享”的情形進行嚴格的限定，并使個人信息主體能夠對這些有限的利用情形充分地知悉、判斷并作出回應。相較于傳統的行政行為合法性審查，大數據時代個人信息處理的“可預見性”要求：信息主體能夠對目的外共享行為進行全流程參與和監督，不局限于傳統行政法治針對具體損害進行的事后救濟與糾偏。國家應當圍繞數字技術的具體應用方式，為此提供相應的制度、組織與程序保障，使公民免于在數字技術加持的行政權力面前處于“信息惶恐”狀態。具體而言，“可預見性”應當以行政管理領域的一般理性人（普通公眾在有限信息和認知條件下的合理預期）為參照對象，即以社會中大多數人面對信息不完全、時間成本等現實下的理性預期為考量，而不要求擁有理想化的完全理性或技術專家、政策精英水平作為標準，從而為普通公民的人格自由發展留下妥適的空間。就此，立法者和司法機關在分析行政機關共享個人信息屬于“目的內共享”還是“目的外共享”時，也應當采取“普通理性人”的視角，考慮在現有法律規范和行政管理背景下，一般公眾對行政數據共享目的的合理預期。

同時應該看到，個人信息保護法體系中關于行政機關間個人信息共享的專門化約束，可能會與行政程序法中關于職務協助的規定之間產生交叉，需要厘清兩者之間的適用關系。例如，《江蘇省行政程序條例》第28條第1款第3項規定：“有下列情形之一的，行政機關可以書面請求相關行政機關協助：（三）執行公務所必需的文書、資料、信息為其他行政機關所掌握，自行收集難以獲得的”，第29條第1款第1句規定“協助事項屬于被請求機關職權范圍內的，被請求機關應當依法及時履行協助義務，不得推諉或者拒絕”，此類條文便涉及行政機關基于職務協助需求而向其他行政機關提供個人信息的問題。從表面上看，個人信息的“目的外共享”屬于職務協助的情形，似乎可以直接找到明確的法律依據和適用框架。但從深層次的法理上看，行政機關彼此間的職務協助屬于內部行政程序，所調整的應是不直接關涉當事人基本權利、無需社會主體參與及制衡的事項?；诖?，目的外共享行為對個人信息權益造成了直接的干預，不能僅交由內部行政法調整，而是需要直接面向行政救濟與行為審查展開制度設計。也就是說，不能主張職務協助程序規定的優先適用或概括性授權，否則籠統基于內部職務協助而容許個人信息的目的外利用，將與個人信息保護的規范意旨之間產生嚴重背離。

五、目的外共享行為法治約束框架的具體展開

以“可預見性”為中心設定目的外共享行為的法治約束框架，有賴于不同的法律控制技術與制度工具之合力。其中，在權限合法性維度上，不僅要以接收機關后續的法定職責履行為前提，還應當對目的外共享設定專門化、限定性的正當事由。為了確保共享行為切實符合權限合法要求，且不超出履行法定職責所必需的范圍和限度，還應當保障個人的有效參與和程序制衡，同時輔以相應的組織保障與監督架構。以下結合比較法上的已有規則和原理，從共享前提、正當事由、個人參與和組織保障四個維度提煉和展開“可預見性”的基本保障要素，并觀照我國實踐進行相應的反思與展望。

（一）共享前提：接收機關職責明確

政府在履行公共服務和管理職能過程中采集和產生的數據，只能在法定職權范圍內基于公共利益目標被使用。在此意義上，接收機關具有利用個人信息的明確職權依據，共享行為中“所必需”的個人信息的范圍與用途才能得到具體化，進而為個人信息主體提供明確的預期。在比較法上，德國《聯邦個人信息保護法》第23條、日本《行政機關保有的個人信息保護法》第8條等規范都要求行政機關間進行“目的外共享”時，首先要確保接收機關在法定所掌事務的必要限度內活動。并且，從規范類型上看，“接收機關法定職責”中的“法”應是特定的行政行為法，而不應是寬泛的組織法。這是因為，管轄權的功能在于界定政府系統內部不同機關掌理事務的范圍，而并非在“行政機關—公民”維度賦予政府可對外行使的特定職權。若采取組織法授權模式，“目的”往往無比寬泛，如“傳染病防控”“治安管理”等，比例原則的適用也成了無根之木。

因此，審查接收機關處理該共享信息的法律依據，是對共享行為進行合法性分析的首要步驟。例如，交通部門向稅務部門共享涉及個人稅務違法的信息，先要看哪一項行政行為法的授權（如稅務行政處罰）可以讓稅務部門能夠獲取這些信息。以此為基礎，后續再分析行政機關間的共享行為是否符合單獨的、法定的正當化事由。如果接收機關根本沒有權限來處理這部分共享的個人信息，便可徑行認定共享行為違法。

目前，國務院《政務信息資源共享管理暫行辦法》第14條對信息共享中接收機關的履責要求進行了初步明確?！尽墩招畔①Y源共享管理暫行辦法》第14條第2款規定：“使用部門對從共享平臺獲取的信息，只能按照明確的使用用途用于本部門履行職責需要，不得直接或以改變數據形式等方式提供給第三方，也不得用于或變相用于其他目的?！薄坎贿^，從具體的行政管理領域來看，當下的許多實踐場景仍有較大的完善空間。例如，在傳染病防控信息共享中，有關“傳染病防治”的具體權責清單在很大程度上沒有得到具體化與公開化，哪些機關有權在政務協同辦公系統中獲取其他部門收集的個人健康信息，并不清楚，亟待完善。又如，一些地方性法規強調各個政府職能部門要向大數據部門建立的共享平臺及時匯集數據，其實也是在接收機關沒有具體職責需要時預先存儲個人數據?！緟⒁姟顿F陽市政府數據共享開放條例》（2017年1月24日貴陽市第十三屆人民代表大會常務委員會第四十八次會議通過）第10條、第12條?！窟@種目的不特定的信息匯聚會進一步削弱個人信息處理活動的可預見性，同時也在一定程度上增大了安全風險，值得審慎對待。

（二）正當事由：限定性的例外依據

在接收機關職責明確的基礎上，應將“目的外共享”的情形限定在必要的、特定的場景當中，對共享本身的正當化事由進行列舉，從而最大程度上從源頭層面控制共享行為。大體而言，目的外共享行為的正當化事由主要可以類型化為以下幾項：

1.法律明確授權

行政機關間共享個人信息的行為往往具有強制性的特點，尤其在服務于秩序行政與風險行政的需求時，體現出“基于公益限制私益”的理念。此時，可以從“公益導向”展開分析：具體領域的法律上是否有專門、明確的規范進行授權，可以為目的外共享行為提供清楚的規則表達，進而確定所必需信息的范圍與利用程序。由此，最大程度上讓信息主體知道行政機關對其個人信息權益作出了怎樣的安排，同時也能在源頭上控制行政權力濫用的風險。從原理上看，此處的法律明確授權與前述的目的兼容規則，雖然在適用情形與側重點上存在差異，但在規范意旨上也有一定的相通性。前者針對來源機關與接收機關各自獨立、差異較大的行政任務，規定更加細密，源頭上就要求嚴格控制；后者針對來源機關與接收機關高度類似的行政任務，雖然因風險較低而在法律依據上的控制比較寬松，但在后續也應當有適當的監督審查機制，避免行政機關對此類情形進行寬泛化認定，將“目的”進行過度擴張而規避法律控制?？梢哉f，兩者都是既“授權”也“限權”，強調消除行政機關裁量濫用與恣意的空間。

根據程序上的主動性進行區分，可以將此類法律授權規定初步分為請求式規定與義務式規定，從而設定不同的實施流程與權責分配機制。前者如社會保障部門基于警察部門、危險防止機關的請求所為的被動共享；后者如依照傳染病防治法的通報義務、稅收法上的涉逃漏稅信息通報義務進行的主動共享。同時，針對利用風險較高的敏感個人信息，應進一步強化“原則上禁止共享”的觀念，對法律保留與法律明確性的強度提出更高的要求?！娟P于敏感個人信息的界定，參見莫琳：《敏感個人信息的界定及其完善》，載《財經法學》2023年第2期，第21-35頁?！?/p>

2.保障重要法益

規則的列舉未必能契合現實情況的多樣性。行政機關間的信息共享所涉及事務龐大，各領域收集、利用的公民個人信息的類型、性質不同，須考量的信息有用性、公益性、潛在利用風險也均不同。為讓行政機關能夠因事制宜，各國個人信息保護法往往規定，經由個人信息權益與公共利益或第三人利益的權衡后，可在必要情形中進行“目的外共享”，即在正當事由中設置重要法益權衡型的不確定法律概念，并在后續實踐過程中具體展開。例如，德國《聯邦個人信息保護法》第23條列舉的情形，就包括有必要避免對公共利益造成重大不利影響或對公共安全、國防或國家安全構成威脅；防止對他人權利的嚴重損害。又如，日本《行政機關保有的個人信息保護法》第8條第3款規定，當向其他行政機關、獨立行政法人提供所保存的個人信息時，接收的行政主體應當具有使用該信息的“相當的理由”，如防止嚴重違法行為的需要、事實上存在的行政資源的限度等。再如，在我國，行政機關可以援引《個人信息保護法》第13條第1款第4項“為應對突發公共衛生事件或者緊急情況下保護自然人人身財產安全所必需”來處理個人信息。此等處理行為不具有法律的明文授權，但因為屬于應急所必需的，也具有正當性。

然而，此類不確定法律概念給予了行政機關很大的裁量空間，容易在實際操作中造成權力濫用現象。因此，各國紛紛運用各類制度工具對其進行控制，根據側重點的不同，主要可以分為以下幾種模式：

（1）“規則細化”為中心的模式，以德國為代表。這種模式側重在各個部門行政法領域中，將“公共利益”等不確定法律概念精細地列舉與展開。例如，德國《聯邦登記法》（Bundesmeldegesetz）第33～43條對登記機關的對外傳輸行為進行情形列舉與內容細化。又如，德國《社會法典》（Das Sozialgesetzbuch）第十編第68～73條對社會行政機關基于國家安全、強制執行等目的而共享相關個人信息的情形進行了逐條的專門化規定?！綛inne， Wolfgang und Carsten Kremer， 2018. §10： Sozialdatenschutz. In： Franz Ruland， Ulrich Becker， Peter Axer und Bernd Baron von Maydell， Hrsg. Sozialrechtshandbuch： SRH. 6. Aufl. Baden-Baden： Nomos， Rn.83-174.】這意在通過嚴密、高度理性化的立法體系來規避不確定法律概念的直接適用，最大限度消除執行機關的裁量空間。

（2）過程監督控制為中心的模式，以日本為代表。在立法不夠嚴密的情況下，日本要求行政機關應該盡量制定與公開其關于公益權衡規范的具體基準，并設計相關審查機制來保障不確定法律概念適用的公正性，確?！跋喈斨碛伞钡目陀^性。例如，在日本具體實踐中，許多地方個人信息保護機構都要求，為了最大程度上防止行政機關濫用裁量權提供個人信息，應當在行政機關作出最后判斷前建立預防機制，即在聽取個人信息保護機構的意見后，方能進行“目的外共享”。與此同時，來源機關應確認自己對接收機關的要求事項，如要求不得對第三方再提供、個人信息使用后之刪除或返還、遵守規范情形的掌握與反饋等，并完善各項后續追蹤程序，以最大限度避免個人信息的后續濫用或泄露。

（3）專門化協定細化為中心的模式，以英國和美國為代表。英國《個人信息保護法》雖然沒有對行政機關的“目的外共享”進行詳細的立法表達，但在第121條要求個人信息保護主管機關制定個人信息共享行為準則，細化因公共利益需要而共享個人信息的情形。在此基礎上，英國行政機關之間的個人信息共用協定主要包含以下要素：共用目的、參與機關、決策流程、保障措施等，其內容多寡可能因其所共用規模及繁簡程度而異。在當事人提起異議、監督機關審查目的外共享行為是否合法時，受審查機關即可憑借此類協議文件，表明自身已然對具體的必要性公益情形進行了具體化，進而證明該機關已積極作為、盡到充分注意的義務、沒有濫用裁量權。與之類似，1988年，美國制定了《電腦比對及隱私保護法》（Computer Matching and Privacy Protection Act），要求參與數據比對的機關須與其他所有參與機關簽訂書面協議。需要注意的是，在緊急情況下，行政機關間共享個人信息往往成為應對突發事件、保障公共安全和維護重大法益的必要手段。由于緊急情境下制定規則或逐一征詢每位信息主體同意既耗時又難以實現，不應苛責行政機關事前做好準備。即便如此，必須強化事后監督和審查機制，確保共享范圍嚴格限于應急處理所需，并在危機解除后及時采取刪除或匿名化措施，降低信息共享的長期風險。

3.取得個人同意

在缺少“公益導向”的特定正當化事由的情形下，行政機關間的個人信息共享應當經由同意程序而保障個人的知情和參與，提升共享活動的透明度與理性化程度。自OECD原則中將同意與法律規定作為允許信息共享的一般性例外事由后，同意開始成為各國個人信息保護法針對“目的外共享”所普遍規定的例外依據。其中的原因在于：同意程序可以保證當事人已經對特定的信息共享行為之風險及其便利性進行了權衡，對信息的范圍、利用方式等有了相當的了解和斟酌，這尊重了當事人的自主性，充分保障了其知情權與參與權，使其對信息共享活動能夠保持合理的預期。從實踐中看，這更多體現在福利行政這類權力色彩較淡的場景之中。【在一些場景中，為了提升公共服務的質量，行政機關還可以基于法律規定或主動承認個人在特定場景下的可攜帶權，允許個人向行政機關主張復制、移轉其個人信息以獲取更為便捷的公共服務。關于個人信息可攜帶權的實現機制，參見蔡培如：《個人信息可攜帶權的規范釋義及制度建構》，載《交大法學》2023年第2期，第72頁?！康切枰⒁?，在行政機關將同意作為共享個人信息的正當事由時，應確保同意是真實、自愿、不受脅迫而作出的。只有在不同意或撤回同意也完全不影響獲得行政機關的給付、同時也不會招致行政機關的不利對待時，該同意才是有效的?！維ee Article 29 Working Party， Guidelines on Consent under Regulation 2016/ 679， p.6-7 （10 April 2018）.】并且，當下“同意”概念的內涵也有了一定的拓展，例如，德國《聯邦個人信息保護法》第23條將“推定同意”作為“目的外共享”的正當依據之一— —顯然這符合信息主體的利益，沒有理由假設信息主體會拒絕同意。

整體而言，對照相關國家的規則實踐來看，我國當下的已有立法規范密度過低，細化程度不足，缺乏各個領域單獨的正當化事由證成，亟待綜合運用立法明確授權、過程監督、專門化目錄或協定等不同工具改進現狀。在具體的法律控制技術上，應該看到，在各個領域的部門行政法中全覆蓋式地要求法律明確授權的路徑，對立法的理性要求很高，立法負擔很重，進程也較為緩慢。況且，過分依賴立法的精細化、羈束式控制，其實也難以契合日新月異的個人信息處理的需要。就此而言，更應該針對一些風險較高的、典型的個人信息共享活動加強立法控制，要求法律上的明確授權和列舉；同時，針對紛繁的共享實踐，應采用完善共享協定（目錄）的制定、強化對共享必要性的利益考量論證與過程審查等方式，不斷提升目的外共享行為的可預見性?！緟⒁娡蹂a鋅：《政務數據匯集的風險及其法律控制》，載《華東政法大學學報》2024年第3期，第25頁?！坷?，在社會信用體系建設中，各地在編制個人信用信息共享目錄時，應當針對每個特定場景進行專門化考量與論證，并對外進行充分的理由闡明與意見溝通，從而為社會主體提供更加明確的信息流通預期。又如，在“碼治理”場景中，緊密關涉公民基本權利保障的個人信息（如涉及住宅、人格尊嚴的個人行程軌跡，涉及就業經濟權利的疾病記錄）之共享，應當嚴格按照法律或法律授權制定的行政法規中的專門化規范來運行，也就是要根據接收機關處理共享信息的風險來調整法律控制的強度，并設置相應不予共享個人信息的“負面清單”。

（三）個人參與：程序性權利的保障

個人的參與是規范目的外共享行為的重要支撐。在行政機關間共享個人信息活動中強化對個人程序性權利的保障，不僅有利于緩解個體的“無力感”、促進對行政權力的制衡，也能夠提升信息共享行為的理性化、規范化程度。

在個人程序性權利體系中，首要的是充分保障信息主體的知情權，從而為其行使更正、刪除等個人信息權利并進行后續救濟提供基礎性條件。應該看到，在個人信息共享時，說明個人信息的種類與細節，詳細列明共享的目的、正當化事由、當事人權利等內容非常重要，因為當事人清楚地獲知了個人信息處理情況，如果認為來源機關不當地將其信息向其他機關共享，更容易采取行動及時制止、避免可能發生的損害。因此，行政機關實施目的外共享行為，需要以對當事人的充分告知為原則，在不同場景中分別運用清單化告知、單獨告知等適宜形式，并在技術系統內部完善個人行使查詢權的路徑，對接收機關的履職內容、傳輸信息的種類范圍、共享的專門依據等進行具體呈現，否則便屬于程序違法。【參見喻文光、鄭子璇：《數字時代政府機關處理個人信息告知義務制度的公法建構》，載《人權》2022年第3期，第14-16頁?！窟M一步而言，從告知的便捷性看，來源機關原先已進行信息收集、與當事人之間已然有告知程序，此時以來源機關為主來履行告知義務往往更加便捷、可行；與此同時，為保障信息主體的知情權，接收機關應該檢查來源機關的告知義務履行情況。

在知情權基礎上，還應該強調對信息主體更正權、異議權與刪除權的保障。首先，個人信息共享應當強調對信息正確性的要求，以免因信息共享造成多元關聯權益之損害與修正的困難。其次，當有依據表明共享行為風險較大，如共享的個人信息將會被不當發布、產生重大損失與心理傷害的可能性已經存在，或者行政機關無法準確說明共享行為的法律依據時，應當保障當事人的異議權或停止利用請求權。最后，對個人信息的共享，仍應以接收機關履行法定職責、完成其特定目的之必要范圍為限，使用目的達成或認定為無依據處理時即應刪除或銷毀相關個人信息，避免讓信息主體承受無法預期的風險。與之相對應，應當完善數據保存期限的規定、公民刪除權的規則表達與具體程序，控制政府對所掌握數據量的過度追求?！緟⒁娚騻ィ骸墩摂底志o急狀態的恢復機制— —以新冠疫情防控為例》，載《清華法學》2021年第2期，第121-142頁?！?/p>

在權利救濟層面，需明確上述程序性權利如何保障，并協調對個人信息權益的間接救濟路徑（針對接收機關利用共享的個人信息作出的行政行為主張救濟）與直接救濟路徑（直接針對信息共享行為主張救濟）?！緦煞N救濟路徑的具體闡述，詳見黃智杰：《行政活動中個人信息權益救濟的兩種路徑》，載《法制與社會發展》2023年第5期，第213-217頁?！繌男姓^程論的視角來看，在啟動行政調查程序并請求來源機關共享個人信息后，一些接收機關會利用所獲取的個人信息來行使特定職權、作出行政決定。在這些場景中，個人信息共享行為具有“過程性行為”或“程序性行為”的特征?；诔绦蛐实目剂?，如果對共享行為的質疑可能影響行政決定的順利作出，個人信息權利的行使將受到一定的限制。對此，當事人一般只能等待實體決定作出后，在對實體決定提起訴訟時一并主張作為“程序性行為”的個人信息共享行為違法。然而，如果個人信息共享行為和實體決定不直接相關，程序性權利的行使不會減損實體決定作出的效率，信息主體也可以單獨針對目的外共享行為而向行政機關主張上述權利，并在權利無法落實時尋求及時且有效的救濟。【Vgl. Philipp Reimer， Verwaltungsdatenschutzrecht， Baden-Baden： Nomos， 2019， Rn. 315-317.】

實踐中的難點在于，如何確認哪個行政機關是個人信息權利的義務主體？從處理者視角觀察，多方共同、持續的處理活動可能帶來組織間相互推諉的現象，即便某個組織履行了配合義務，也可能僅僅針對匯集活動的部分環節和處理細節展開，阻礙數據主體程序性權利的實現；還可能引發多頭回應，增加無謂的成本。從信息主體視角觀察，一般公眾面對眾多部門和機構的個人信息收集行為，多數難以識別和梳理哪些機關獲取了其個人信息、可能傳輸和流動到哪里去，預見能力受到限制，尋求監督和救濟的成本很高。在這一方面，德國法上的“數據保護駕駛艙”（Datenschutzcockpit）提供了一定的解決思路— —數據保護駕駛艙的建立是為了實現當局之間數據傳輸的透明度，使公民可以通過一個中央位置查看其身份號碼的使用情況，不必同時面向多個參與數據匯集的部門主張權利。在枝杈縱橫、蜿蜒復雜的數據流通結構中，“數據保護駕駛艙”以便捷、友好、清晰的方式幫助數據主體了解數據匯集的情況，從而促進其在數據匯集活動中的參與和監督?！綱gl. Projekt Gesamtsteuerung Registermodernisierung： Bericht zum Umsetzungsstand，Mrz 2022.】歸結而言，生成明確的個人信息流向路徑的示意圖（包括確定的路徑和現存可能的路徑）并告知相關個體，才能使個人的知情權充分落到實處，為個人維護其個人信息權益提供線索和依據。行政法上的信息共享應當強調權責一致與有效監督，通過監督與救濟機制的引入，信息共享行為方能在行政法框架內形成有權必有責、用權受監督、失職要問責的良性運行狀態，確保行政機關既能高效共享信息又不偏離法治軌道。

（四）組織保障：完善內部運行架構

應該看到，隨著數字化技術的發展，行政機關依靠單向技術賦能的知識、技術、話語優勢，更容易規避個人的參與和監督。此時，行政機關內部人員利用優勢地位濫用個人信息的風險加劇，個人的技術、資源、能力則相對有限，難以依靠單個信息主體外部的訴訟維權活動充分進行法治約束。實際上，從各國實踐來看，在大規模、自動化、電子化的信息分享與比對下，往往只有少數人受到明顯傷害而提起司法救濟程序。許多個體對政府的大規模電子化建設缺乏認知、監督、維權的能力。例如，日本個人向行政機關主張更正權、停止利用請求權、刪除權的實踐案例非常少。【參見《關于〈行政機關保有的個人信息保護法〉施行情況的報告（2020年）》，載日本總務省官網，https：//www.soumu.go.jp/main_content/000805439.pdf，2024年9月19日訪問?！坑秩?，美國個人針對信息共享提起維權訴訟與國家賠償的難度也非常大?！維ee Alex Kardon， Damages under the Privacy Act： Sovereign Immunity and a Call for Legislative Reform， 34 Harvard Journal of Law amp; Public Policy 705-716（2011）.】因此，有必要在個人分散化、個別化的外部維權路徑之外，從組織保障層面對政府內部進行信息共享的具體運行架構加以完善。通過內部監督與流程改進來提升信息共享行為的程序理性與公正性。

在我國目前的法律體系中，關于行政機關間個人信息共享的專門授權規范尚不完備，需要在立法上展開長期的體系構建。此外，容許個人信息共享時的“重要法益”標準缺少共識、利益衡量的標準與方法有待逐步建立。因此，更需要在政府系統內設定專責組織，全局性、前瞻性地規劃及施行個人信息保護的流程和必要措施，常態化地監督來源機關與接收機關履行保護義務，并在相關爭議發生時有能力發揮協調、裁決與權利救濟的功能?！尽秱€人信息保護法》第68條第1款規定：“國家機關不履行本法規定的個人信息保護義務的，由其上級機關或者履行個人信息保護職責的部門責令改正；對直接負責的主管人員和其他直接責任人員依法給予處分?！边@一規定的內容較為原則，具體的機構職能、監督權限劃分、運作流程都很不清晰，仍需進一步細化展開?！坷?，美國實踐中便要求高階隱私官員應監督、協調及促進機關整體信息隱私政策完善，履行下列職責：實施隱私影響評估；督促機關遵循隱私法規定保障公民信息權利；復核機關政策、法規與行動對隱私的影響；針對隱私保護現況提出報告；保證信息處理系統的缺陷修正程序適當；確保公職人員與承包商均受妥善訓練。【See U.S. GAO， Information Security： Weaknesses Continue Amid New Federal Efforts to Implement Requirements， GAO-12-137，p.4-7. 國內學者的介紹，可參見謝堯雯：《論電子政務中的個人信息保護：美國經驗與啟示》，載《中國行政管理》2019年第2期，第140-146頁?！窟@些具體的要素需要在行政機關處理個人信息的專門規范中進行相應規則表達。在落實過程當中，應避免大數據發展部門管理下“技術至上”“效率優先”思維的絕對性主導。【當下，各地往往強調大數據行政主管部門負責政府數據共享的統籌和指導工作，而忽視了政府法制部門及其他部門的參與。如《貴陽市政府數據共享開放條例》第4條對大數據行政主管部門主導地位的突出強調?！客瑫r，應根據職能分離原則設計監督機制，避免接收機關或者大數據發展部門“既當運動員又當裁判員”的現象，保證信息共享行為的公平、公開、理性?！纠?，《貴陽市政府數據共享開放條例》第15條第3款規定：“數據提供機關不同意提供有條件共享的政府數據，數據需求機關因履行職責確需使用的，由市大數據行政主管部門協調處理。”但該法規沒有設置對數據共享決策的監督機制。】其中，數據共享的風險評估部門與風險管理部門也有必要實現“相對的功能分化”?！緟⒁娡踬F松：《風險行政的組織法構造》，載《法商研究》2016年第6期，第18頁。】

數據風險管理的重點是數據匯聚與安全隔離的平衡。政務數據的一體性，核心應該是數據接口的一體性，為數據傳輸提供便利，而不是強行將各個行政機關掌握的數據完全合一，建立集中、統一的數據池。當前，分散存儲的數據單位面臨較大安全漏洞，未來數據體量、計算成本與安全壓力將迫使政務數據向云平臺匯聚。但在這一過程中，仍必須做好邏輯隔離和訪問控制，確保各機關基于各自職責享有限定訪問權限，并統籌考慮個人信息權益保障和行政任務需要，設立數據刪除或匿名化期限。由此，避免政務數據治理機構集中過多數據處理權限，防范政府內部數據權力濫用風險?！緟⒁娻崟攒姡骸斗此脊矓祿w集》，載《華東政法大學學報》2023年第2期，第61頁?！吭谝恍┬姓鼍爸?，掌握數據的各政府部門只需使用專屬接口，按標準流程回復相關信息、提供查詢結果即可，不必和其他部門共享原始數據。由此，通過“數據可用不可見，原始數據不出域”的技術方案，只共享結論性信息，降低其中的隱私風險與安全風險，貫徹比例原則的最小損害要求。此外，除了戶籍信息、法人代表信息等基礎數據庫的建設外，應當審慎進行數據庫的合并，更多采用分布式管理基礎上單次比對、調取的模式，從而在避免重復采集數據的基礎上降低隱私與權力濫用風險。

六、結語

從“目的限定”角度切入，可將行政機關間的個人信息共享分為“目的內共享”與“目的外共享”兩種類型。目的內共享行為情形有限、風險較低，可以通過組織法規則、行政決策程序規則或是目的兼容規則進行控制。相較而言，目的外共享行為具有更強的隱蔽性、規模性、風險性，加劇了行政權力與相對人權利關系結構的失衡，需要展開嚴密、專門的法律控制。有必要認真對待與審視數字政府建設中行政機關間共享個人信息的活動，在“程序之治”面向下提升目的外共享行為的可預見性，并進一步從共享前提、正當事由、個人參與和組織保障四個維度構建目的外共享行為的法治約束框架。面對數字賦能與個人信息權益保障之間的張力，將行政法治的治理理念與控制技術融入原本“隱秘角落處”的個人信息共享活動，正是建設“數字法治政府”的必由之路。

The Legal Restrictions on Personal Information Sharing among "Administrative Organs under the Principle of Purpose Limitation

HUANG Zhijie

（Law School， Peking University， Beijing 100080， China）

Abstract：The sharing of personal information among administrative organs is characterized by its administrative， statutory， and extraterritorial nature. Such activities must comply with legal requirements regarding the legitimacy of entities， authority， procedures， and content. From the perspective of “purpose limitation”， personal information sharing can be categorized into “in-purpose sharing” and “out-of-purpose sharing.” In-purpose sharing is limited in scope， poses lower risks， and is primarily governed by organizational law， administrative decision-making procedures， or rules of purpose compatibility. In contrast， out-of-purpose sharing is more concealing， broader in scale， and riskier， further disrupting the balance between administrative power and individual rights. Consequently， it requires rigorous and specialized legal oversight. To this end， a legal framework for regulating out-of-purpose sharing should be established based on the predictability of sharing activities， encompassing four dimensions： prerequisites for sharing， legitimate justifications， individual participation， and organizational safeguards.

Key words： purpose limitation; personal information sharing;Holistic Government; predictability; rule-based digital government

本文責任編輯：林士平

青年學術編輯：楊尚東