王正超：政务数据共享与个人信息保护的平衡｜比例原则

来源：法学学术前沿

发布日期：2026年04月12日    

L L L 法学学术前沿

涉个人信息政务数据共享活动中比例原则的适用

作者：王正超，东南大学法学院博士研究生

来源：《法学》2026年第2期。

为塑造法学学术前沿微信公众平台的风格，微信推送的外标题系编辑根据文章理解所加，不代表作者立场。

内容摘要

《政务数据共享条例》中个人信息保护规范供给不足，政务数据共享与个人信息保护的平衡难题亟待破解。在既有个人信息保护方案中，赋权保护模式强调“个体自决”，但易陷入刚性保护的正当性与可行性困境；风险评估模式依托“行政自制”，却因规范性与约束性缺失而效果不彰。比例原则可为此提供纾解路径：通过差异化的审查强度设置与类型化的审查基准构建，增强权利保护弹性与适应性；以其成熟的规范结构与可操作的审查技术，形成对行政自制的“再规制”；凭借内涵贯通性与视角统合性特质，在两种模式之间发挥协调作用。基于此，可构建比例原则审查基准体系如下：适当性审查依据数据提供与使用行为的行政干预强度差异，设立形式与实质审查基准；必要性审查结合信息敏感程度与行为干预强度，划分合理、审慎与充分审查基准；均衡性审查根据一般与敏感信息所关涉个人权益差异，确立消极与积极审查基准。

关键词

政务数据共享  个人信息保护  比例原则  审查强度  审查基准

随着《政务数据共享条例》（以下简称《条例》）于2025年8月1日正式施行，我国政务数据共享工作迈入法治化建设新阶段，如何平衡其与个人信息保护之间的张力成为亟须回应的重要议题。《条例》第37条第1款明确涉及个人信息的政务数据共享活动应当遵守《个人信息保护法》等法律法规，从而在规范层面实现二者的衔接适用。然而，《个人信息保护法》在制度设计上主要以私人机构为调整对象，对国家机关处理个人信息的法律控制相对不够充分，因而在规范政务数据共享这一公权力活动方面存在适用局限。在追求数据高效流通利用的共享语境下，个人信息权益或因公共利益优位性而受限制，而如何实现对个人信息权益的“限制之限制”，成为政务数据共享中个人信息保护的关键所在。在此背景下，比例原则为公共利益与个人权益之间的合理平衡提供了重要分析框架。我国《个人信息保护法》虽在若干条款中已体现比例原则意旨，但整体上仍呈现粗线条、零散化的特点。而在《条例》现行制度框架下，比例原则具备可操作的适用空间：在事前目录编制环节，为个人信息保护影响评估提供规范指引；在事中供需对接环节，为数据共享申请与审核提供判断标准；在事后监督救济环节，为投诉、举报等外部审查机制提供审查尺度。有鉴于此，本文拟将比例原则系统引入涉及个人信息的政务数据共享场域，构建精细化、类型化的比例原则审查基准体系，以提升个人信息保护规范适用的确定性与可预期性。

一、政务数据共享中个人信息保护的方案审视

比例原则作为一个方法论意义上的工具性原则，本质上是由多个子原则层层递进、环环相扣构成的结构性规范。有学者指出，“比例原则在性质上是一种目的中立的论证框架，而非一套实质标准”。这意味着，比例原则在个人信息保护中的适用需与具体的个人信息处理情境相结合，方能充分发挥其形式价值，实现对实体权益的工具性保护。因此，有必要先行考察既有个人信息保护模式，全面梳理涉及个人信息的政务数据共享情境中的具体考量因素，基于既有模式的适用局限，明确比例原则的功能定位。当前，学界围绕如何构建个人信息保护模式，主要存在“基于权利的方法”与“基于风险的方法”两条路径。前者以“立法赋予权利—信息主体行使权利”为基本逻辑，试图通过赋予个体控制性权利来建构个人信息保护规则；后者则主张“根据具体场景中的风险水平来判断如何对个人信息处理提出要求”，强调对个人信息处理风险的评价与管理。两种方法虽各有侧重，但并非非此即彼的替代关系，二者在《个人信息保护法》中均有所体现，并通过《条例》相关引致条款得以在政务数据共享场域中展开适用。

（一）基于权利的方法：赋权保护模式

基于权利的方法，系以赋予个体对涉及自身的信息以控制性权利即“个人信息自决权”为核心的保护方法，由此形成的个人信息保护模式通常被概括为赋权保护模式。该模式在法律上赋予信息主体同意、拒绝、删除等一系列权利，使信息主体能够控制其个人信息的使用，从而使“个人信息的使用体现信息主体的意志力，具有赋权效果”。在此基础上，赋权保护模式论者进一步指出，“唯有予以个人信息以权利地位才能体现对其保护的重视，且唯有明确其权利地位才能让信息得以充分利用，实现信息之所以为信息的本质诉求”。由此可见，赋权保护模式本质上是对个人基于自由意志决定其信息何时、何地、以何种方式被处理的制度性肯认。在实证法层面，《欧盟基本权利宪章》已将个人信息权利确立为一项基本权利，堪称赋权保护模式的典范。相比之下，我国虽未将个人信息权利上升为基本权利，但《个人信息保护法》第四章明确规定个人在个人信息处理活动中的一系列权利，并在该法第35条规定，国家机关为履行法定职责处理个人信息时应当履行告知义务，这一规定保障了作为个人信息权利体系核心的知情权，《条例》第37条第1款对《个人信息保护法》的引致适用，意味着赋权保护模式在涉及个人信息的政务数据共享活动中同样存在适用空间。

1.赋权保护模式的运行逻辑。具体而言，赋权保护模式在政务数据共享活动中的运行遵循“确权—行权—维权”的传统权利保护逻辑。

其一，在确权阶段，该模式强调个人信息之上所承载的利益应由个体支配而非社会或行政权力所控制，通过构建个人信息权利体系，抵御高权行政活动的干预。正如有学者在《个人信息保护法》制定过程中所指出的，“个人信息控制权是需要通过个人信息保护法确立的一项新型公法权利”，不同于传统隐私权保护路径，个人信息控制权抑或信息自决权的本质在于“信息主体对其自身信息的选择与控制，即信息主体自由地自我决定其个人信息何时、何地、以何种方式被他人尤其是国家收集、储存、处理以及利用”。赋权保护模式正是以此类个体自决性或控制性权利为“支点”，构建“强保护”模式对抗处于优势地位的行政机关。

其二，在行权阶段，个人信息权利以“疏导权力的透明性工具”的形式贯穿行政活动全过程，通过告知、同意、查阅、复制、更正、删除等多样化的权利工具组合，确保权利行使的可操作性。因此，赋权保护模式具有一定的功能主义色彩，通过借助“权利工具箱”深度介入行政活动，从而形成对行政机关的有效制衡。

其三，在维权阶段，当行政活动中的个人信息权利受到侵害时，赋权保护模式依赖传统的权利救济路径。有学者指出，“针对行政机关违法处理个人信息、侵害个人信息权益的行为，信息主体可以主张间接与直接两种救济路径”，前者体现为法院或行政复议机关对行政行为的结果审查，后者则依靠履行个人信息保护职责部门的行政救济。《条例》第37条第2款赋予当事人对政务数据共享过程中侵犯其合法权益的行为以投诉举报权，即体现了赋权保护模式下的权利救济逻辑。

2.赋权保护模式的适用困境。然而，赋权保护模式看似为政务数据共享活动提供了一种理想化的个人信息保护方案，但其在现实适用中仍面临诸多困境。

其一，正当性困境。赋权保护模式以“个体自决”为核心，在个人信息的“防御性保护”与“积极性利用”的价值取舍中，体现出鲜明的个人本位倾向，但在强调“数据利他主义”的共享语境下，这种立场显得不合时宜。在政务数据共享中，个人信息的公共属性与社会价值已获充分揭示，行政机关的重大决策越发依赖个人信息的系统性汇集与跨部门共享，其整体效用已远超个体信息的简单累加。在此情境下，个体的自决权与控制权应在一定程度上为公共利益作出让步，若过度强调个体对自身信息的绝对化控制，则可能抑制数据利用的正向效应，削弱政务数据共享的制度功能。

其二，可行性困境。赋权保护模式在理念上的“个体控制”与实践中的“行政控制”之间存在错位，行政机关对个人信息的处理具有法定性、强制性与内部性等特征，个体难以真正实现其权利主张，致使权利保护容易流于形式。《条例》第3条明确政务数据共享是“因依法履行职责需要”而开展，即行政机关共享个人信息基于法定授权，而非私人领域“交换关系”中的意思自治与平等协商，这意味着个人对其信息的控制是“虚幻”的，“个体控制”的权利保护逻辑实际上难以为继。在数字政府建设中，共享语境下对个人信息匿名化处理的要求相较于公共数据开放等呈现外部面向的行政活动不仅更为宽松，而且即便采取了相应的匿名化措施，参与共享的行政机关仍可能通过整合、比对与联结等手段实现对信息的可识别性还原。同时，技术的深度介入更是强化了共享行为的隐蔽性，个人权益遭受侵害的事实越发难以察觉和预见。其结果是，在信息高度不对称条件下个体权利行使与救济也因此受限，个人信息权利在很大程度上停留于文本宣示层面。

（二）基于风险的方法：风险评估模式

与“基于权利的方法”聚焦个人信息主体不同，“基于风险的方法”将目光转移到个人信息处理行为上来，通过风险识别、分析与管理等动态控制手段，降低个人信息权益受侵害的概率与程度。基于个人信息所具有的公共属性，有学者指出，“由于个人信息保护的公共目标和功能可能被个人私益保护的进路所覆盖或消解，因此有必要将社会风险控制作为个人信息保护的重要维度来对待”；在此意义上，“风险已成为世界各国和地区保护个人信息的新边界和关键指标”，“确立以风险治理为视角的个人信息保护新型模式至关重要”。在具体运行层面，“基于风险的方法”的关键在于风险分析，其具有“将个人信息保护从‘纸面的官僚要求’向‘实践中的合规’转变”等优势。围绕风险分析工具的制度化运用，有学者进一步指出，“通过个人信息保护影响评估，国家机关可以评估其个人信息处理行为是否合规，可以发现风险的大小并采取相应的安全保障措施”；同时，以影响评估作为制度“支点”，“能够保留适切空间，探寻个人信息保护与大数据开发利用之间的平衡”。由此，“基于风险的方法”在政务数据共享等公权力活动中主要呈现为以个人信息保护影响评估为核心的风险评估模式。我国《个人信息保护法》第55条和第56条分别规定了个人信息保护影响评估的适用情形与具体内容，经由《条例》第13条第1款的原则性规定，标志着风险评估模式在政务数据共享领域中的制度化确立。

1.风险评估模式的运行机制。具体而言，风险评估模式在政务数据共享活动中的运行机制主要包括以下要素。

其一，在评估时间上，风险评估根植于事前预防理念，强调在个人信息处理启动之前即行实施。《条例》第13条第1款将其明确为“编制政务数据目录”环节，由于政务数据共享实行统一目录管理，这意味着行政机关在着手开展涉及个人信息的政务数据共享活动时，应履行个人信息保护影响评估义务。正如有学者指出，“鉴于个人所处数字环境的复杂性以及个人信息保护风险的不确定性和不可逆性”，“有必要将风险预防原则作为我国个人信息保护的基本原则”，而个人信息保护影响评估制度正是对该原则的具体展开。尤其是涉及个人信息的政务数据共享活动往往具有累积性、过程性等特点，其对个人权益的侵害可能经过多个行政机关、多个处理场景的联结产生“连锁效应”。此种情境下，事后损害计算和补救的意义较为有限，而前置性的风险评估则能有效弥补传统事中监督与事后救济的不足。

其二，在评估主体上，风险评估作为一种内生化、“自我规制”式的制度安排，在私人机构处理个人信息的场景下由私人主体承担评估义务，而在行政机关处理个人信息时，则由行政机关自身作为评估主体。结合《条例》第11条和第13条可知，政务数据目录编制部门应作为个人信息保护影响评估的主体。这一安排通过将风险评估义务置于个人信息实际控制者身上，使其通过自我规制与内部合规来保障个人信息权益，而非仅依赖个人信息主体基于控制性权利的外部主张。

其三，在评估内容上，《个人信息保护法》第56条规定，个人信息保护影响评估不仅涵盖个体权益损害风险，还包括“处理目的与方式是否合法、正当、必要”“保护措施是否合法、有效并与风险程度相适应”等内容。这要求行政机关在开展涉及个人信息的政务数据共享前，应系统识别处理操作可能存在的各种潜在不利后果，并采取针对性措施予以缓解。同时，该条对评估报告及处理情况记录设定至少三年的保存期限，从而强化行政机关等个人信息处理者的可问责性，倒逼前述评估内容的有效落实。

2.风险评估模式的适用局限。尽管风险评估模式在制度设计上具备前置性与预防性优势，但其在政务数据共享活动中的实际适用效果仍存在明显局限。

其一，规范性不足。风险评估作为一种分析工具，却缺乏具有共识性与结构化的评估标准，难以导出普遍化、客观化的结论。“基于风险的方法”本质上是一种概率性、程度性的判断方式，在潜在威胁识别、保护措施有效性预测等方面均存在较大不确定性，而在个人信息保护领域又与价值判断密切交织，因此难以如环境影响评估或药品安全评估般形成技术化、可验证的统一标准。在私人机构处理个人信息的场景下，个人信息保护影响评估体现为一种“元规制”路径，即规制机构主要通过推动或鼓励规制对象建立内部规制体系来实现规制目标，而非直接施加详细的外部管制规范。此时由规制对象自行开展的风险评估往往呈现出分散化与形式化的特征，不仅缺乏专业共同体内部形成统一标准的动力，还易沦为程序化的合规表态。在政务数据共享中，行政机关实施的风险评估同样陷入“自证合规”的困境，“在这个意义上，个人信息保护中的风险评价无法完全定位为追求某种客观标准的满足，而是试图塑造机构内部的激励和文化，从而更类似于生物医学研究中机构伦理委员会开展的伦理审查。”

其二，约束性不足。行政机关实施风险评估存在“既当运动员、又当裁判员”的结构悖论，既缺乏外部监督制约，也缺少内部分权平衡。在私人机构处理个人信息的场景下，个人信息保护影响评估作为“受规制的自我规制”，其上仍有行政规制与司法救济对其予以约束。然而，在行政机关处理个人信息时，上述“三层制”事实上被压缩为“单层制”，行政机关除自我规制以外，还缺乏更高层级“规制机构”的引导，且因个人信息主体处于信息不对称地位，难以寻求有效的司法救济。同时，行政机关内部亦未能实现风险评估与风险管理的“功能分化”，原本应当“数据主管部门是风险的发现人，由控制、处理数据的其他部门实施风险缓解措施。前者是‘吹哨者’，而由后者‘踩刹车’”，《条例》第13条第1款却规定由政务数据目录编制部门“一肩挑”，致使风险评估极易被行政机关操纵和滥用，从而偏离其保障个人信息权益的制度初衷。

二、既有个人信息保护模式下比例原则的功能定位

在梳理政务数据共享中个人信息保护的两种主要方案之后，可以发现，赋权保护模式与风险评估模式虽各具合理的理论基础，但均难以回避其适用局限：前者易导致权利保护僵化与行政效率受限，后者则因规范性与约束性缺失而滋生行政恣意与个体权益保障弱化。正是在此背景下，比例原则因其兼具平衡公私法益的价值旨趣与审查强度设置、审查结构展开等技术路径，在《条例》现行制度框架下呈现出可被规范化适用的空间。作为公法领域处理“行政目的实现—相对人权利保护”关系的基本原则，比例原则通过对涉及个人信息的政务数据共享活动的目的、手段与附带后果进行层次化、情境化审查，为判断共享公益目的实现过程中对个人信息权益的限制是否属于合理限度，提供了可操作的规范标准。需要强调的是，比例原则的功能定位并非在赋权保护与风险评估之外另辟路径，而是以更高位阶的规范性原则，为二者提供结构化的解释逻辑与统合框架，从而突破其各自局限并实现融贯适用。

（一）赋权保护模式下的增益功能

在赋权保护模式下，尽管其面临的双重困境看似矛盾：一方面，正当性困境表现为权利保护绝对化，导致对数据共享的过度否决；另一方面，可行性困境表现为权利保护形式化，难以发挥实质效用。但问题的根本症结在于，该模式未能区分具体行为对个体权益影响的差异，而是采取全有或全无的“二元化”判断，对所有情境赋予不可权衡、相同强度的保护。这种“定型化”的刚性保护方式，在低风险场景下造成过度保护而招致正当性质疑，在高风险场景中则陷入保护失灵而引发可行性批评。在此方面，依托《条例》第37条第1款与第2款的制度结构，比例原则“可基于个人信息的敏感程度、信息处理的权力来源、信息处理对于个体权益限制的严重程度、信息处理的风险评估结果、处理目的所意欲实现的公益或私益目的等因素确定类型化的审查基准体系”，从而实现权利保护的差异化配置，增强赋权保护模式的弹性与可操作性。

1.通过比例原则不同审查强度的设置，可以调节梯度化的权利保护水平，从而缓解赋权保护模式在政务数据共享中面临的正当性张力。以个人信息自决权为核心的控制范式“使得人们陷入虚幻的安全，误以为对个人信息能够绝对控制，而忽视真正的风险”。真正值得关注的，并非行政机关对个人信息主体“支配权”的限制，“毋宁是怎样防止已经被收集的信息被进一步利用来妨碍个人的自决和发展”。基于此，可以对政务数据共享中的个人信息权益进行类型化区分：一类是保障个人信息主体对信息处理过程的参与和监督的工具性、程序性权利，譬如知情、更正、删除等；另一类则是直接关涉个人生存与发展的实体性权利，譬如个人自治、生活安宁、身份完整、人身与财产安全等。进行此种区分的意义在于，它有助于揭示，不同类型的个人信息权益在价值位阶上并非完全等同。若不加区分地对所有权利施以同等强度的保护，不仅可能导致保护资源的错配，还容易引发“权利通胀”，甚至异化为数据共享利用的“贸易壁垒”。

比例原则的引入，正为破解这一权利保护的“同质化困境”提供了可分层、可权衡的实现路径。该原则并非采用纵深一致的审查方式，而是根据“公共利益的重大和紧迫程度”“个人利益的重要程度和位阶”“事务的专业性程度”等标准灵活调整审查强度，以增强其适用理性与适应性。其中，个人利益的重要程度和位阶尤为关键：所受侵害的权利越重要、位阶越高，审查强度便越严格。政务数据共享中的个人信息保护亦可依据比例原则，设置审查强度渐次变化的“连续光谱”，对不同类型的个人信息权利实施有差别地体察与关照，以防止权利泛化导致的制度僵化，为数据的合理共享与高效利用留出必要空间。由此，比例原则并非削弱《条例》第37条第1款对个人信息权利保护的制度承诺，而是通过审查强度的差异化设置，使该承诺在不同共享情境下以更为合理的方式得以兑现。

2.通过比例原则审查基准体系的构建，可以提供精细化的权利保护装置，从而纾解赋权保护模式在实践运行中的可行性困境。权利概念的主观性与模糊性使得权利持有者与义务承担者往往在权利的理解与实现方式上存在差异，结果是“赋予个人权利的同时，也将执行与保障的责任转嫁给个人”。然而，在政务数据共享中，个人信息主体往往处于信息不对称、资源不匹配的不对等地位，既难以判断个人信息处理行为是否已构成不当干预，也无法在主张权力监督与救济时清晰界定行政机关应当承担的义务范围与责任程度，致使监督救济机制因缺乏统一、可操作的判断标准而面临落空。在此背景下，比例原则通过构建结构化的审查基准体系，能够有效弥补上述权利保障“空泛化”的缺陷。

以比例原则审查强度为轴线，可以形成宽松、中度与严格三层基准，通过在子原则层面进一步细化，构建出层次分明、情境化适用的判断框架，为权利保护提供一套相对客观、可分级的操作装置。比较法经验亦可证明其可行性：德国联邦法院基于不同类型的政府行为发展出“明显不当性审查”“可支持性审查”“强烈内容审查”三重基准；日本法上则依据权利内容与形态等因素确立了“合理性基准”“严格的合理性基准”“严格的基准”审查体系。这些例证表明，比例原则不仅能提升权利保护的理性程度，还具备将价值理念转化为可执行标准的潜力。借鉴此思路，在政务数据共享中可构建与个人信息权利保护水平相适应的比例原则审查基准体系，该体系既覆盖不同类型的个人信息权利，也明确行政机关在不同处理行为下的义务与责任，并与相应的审查强度相匹配。由此，个人信息主体在主张投诉、举报等监督救济时，不再仅能笼统援引抽象权利，而是可以借助比例原则的结构化判断框架，对个人信息处理行为是否超出合理限度进行分层次、情境化的论证，从而降低权利主张与救济启动的制度门槛，使《条例》第37条第2款所设定的监督救济机制真正具备可操作性与可适用性。

（二）风险评估模式下的限制功能

在风险评估模式下，规范性与约束性的双重缺失，最终均归结于一种境地：由于行政权天然具有扩张倾向，行政机关的自我规制即“行政自制”往往在公共利益名义下挤压个人权益空间，从而形成“强共享、弱保护”的格局。该模式虽强调灵活与前瞻，但“‘风险’不能成为一个不证自明的概念，如果法律层面对预防何种风险缺乏明确指向，现实层面又无法发展出测量和预测风险水平的客观方法，风险也可能成为一个容易被操纵、滥用的概念”。在《条例》及《个人信息保护法》对此仅作了宽泛规定的情形下，比例原则作为一种具备体系化判断能力的规范工具，通过在《条例》第13条第1款、第20条及第37条第2款等制度环节中的适用，能够有效提升风险评估的内部规范化与外部可约束性，从而形成对风险评估这一行政自制活动的“再规制”。

1.比例原则“目的—手段—后果”的三段式规范结构具备良好的内在规范品格，能够弥补风险评估在规范性上的不足，引导政务数据共享目录编制、供需对接等环节形成统一的内部判断标准。结合《条例》第13条第1款、《个人信息保护法》第56条来看，其对评估内容的规定主要采取列举式表述，如“处理目的、方式等是否合法、正当、必要”“对个人权益的影响及安全风险”“保护措施是否合法、有效并与风险程度相适应”等，相关要素之间缺乏清晰的内在逻辑与价值统合机制，更接近于注意事项的松散罗列，而非体系化的判断标准，致使评估结论易流于主观化与碎片化。同时，规范性不足还体现在《条例》第20条所确立的政务数据共享供需对接机制中，无论是申请还是审核环节，二者均需对使用依据、使用场景、使用范围、共享方式及使用期限等内容作出判断，但现行规范并未对此提供统一的判断标准。

相比之下，比例原则本身包含着“一种契合伦理共识、进退有度的内涵旨趣”，其所内含的“目的—手段—后果”三段式规范结构，能够为上述环节提供共同的价值坐标与逻辑框架，并可通过三个紧密衔接的要素比对得出个人信息处理行为对个人权益的影响是否合理的规范判断：首先，“目的—手段”比对，即检验所采取的个人信息处理手段是否有助于政务数据共享目的的实现；其次，“手段—后果”比对，即在同等有效实现目的的前提下，是否选取了对个人权益侵害最小的处理方式；最后，“目的—后果”比对，即权衡个人信息处理所带来的公共利益与对个人权益造成的损害之间是否合乎比例。通过此三要素的逐层比对，比例原则不仅与个人信息保护影响评估所需考量的因素高度契合，更能通过其内在的规范理性，将分散的评估要素整合为一套普遍化、可重复使用的判断结构。由此，比例原则能够在“事前目录编制—事中供需对接”两个关键环节中，补足风险评估的规范性基础，推动风险评估真正发挥事前预防与风险控制的制度功能。

2.比例原则“适当性—必要性—均衡性”的递进式审查逻辑，能够补足风险评估的约束性缺失，为监督救济环节提供可操作的外部审查技术。《条例》第13条第1款虽将个人信息保护影响评估确立为行政机关的强制性义务，但并未规定不履行该义务的法律责任；而《个人信息保护法》第68条虽设置了国家机关不履行个人信息保护义务的行政责任，但该责任要件过于概括化。作为一种“自我约束、自我克制、积极行政”的机制，个人信息保护影响评估实际上属于“行政自制”，其是否履行虽具法定性，但如何履行几乎完全取决于行政机关的自主裁量，甚至只需完成形式上的评估即可“免责”，至于评估的内容是否规范、程序是否正当、结论是否合理，均缺乏实质性约束。对此，比例原则在外部审查层面的功能价值得以彰显，其可针对个人信息处理行为及其作出依据——个人信息保护影响评估活动，为监管机构及司法机关提供统一、可操作的审查框架，即对个人信息处理行为的外部审查，实际上同时构成了对个人信息保护影响评估活动本身的实质性检验。

具体而言，比例原则以“非常精细严密的思考框架，涵括了人类进行合乎理性的权衡所应考虑的各种因素，并以步骤化、可操作化的方式呈现出来”，其审查逻辑不仅层层递进，且需逐一通过：首先，适当性审查，又称合目的性审查，侧重检验风险评估对处理目的与手段关联性的判断是否成立，其标准相对宽松，大多数行为均可通过，若此环节不通过则审查终止，无须进行后续审查；其次，必要性审查，又称最小侵害性审查，要求审视风险评估是否在充分比较不同处理方案后选择对个人权益侵害最小的路径，此为较为严格的审查环节，仅对个人权益损害最小的手段能够通过；最后，均衡性审查，又称狭义比例原则，进一步考察风险评估是否合理权衡了公共利益与个人权益之间的关系，即便行为符合前两层要求，若其造成的个人权益损害与所追求的公共利益之间不成比例，则仍应被否决。通过引入比例原则这一宽严相济、清晰统一且具共识性的审查技术，有助于提升《条例》第37条第2款所设监督救济机制的可适用性，从而将风险评估从封闭的“自查自评”机制，转型为可被外部检验的理性决策过程。

（三）两种模式之间的协调功能

赋权保护与风险评估作为当前两种具有代表性的个人信息保护方案，各自承载着不同的价值关切与制度理性，其关系更宜被理解为互补而非替代。无论是欧盟《通用数据保护条例》（GDPR），还是我国《个人信息保护法》，立法者均未将两种模式截然对立，而是尝试将其共同纳入规范体系之中。然而，双轨并行的制度设计亦不可避免地面临新的挑战：在具体情境中，权利导向与风险导向可能发生价值判断或操作逻辑上的冲突，亟须一种能够贯通两种模式、避免其各行其是的协调框架。正如有学者所指出的，“未来的重要课题是如何将‘基于权利的方法’和‘基于风险的方法’进行更好融合”。正是在此意义上，比例原则展现出作为统摄性规范工具的独特价值，为整合两种模式提供了重要的理论资源与实践路径。

1.比例原则在两种模式之间具有规范内涵上的贯通性，可作为二者共通的规范基准。赋权保护模式与风险评估模式虽立足点不同，但它们都不约而同地蕴含“合比例性”的内在要求。赋权保护模式以尊重和维护个体对其信息的自主控制为核心，但并未主张权利的绝对性。正如欧盟GDPR序言第四项所申明的：“个人数据保护权并非绝对权，必须根据比例原则，考虑其在社会中的功用，与其他基本权利保持平衡。”这意味着，该模式虽以权利为逻辑起点，但仍需借助比例原则划定合理的保护边界，在个体权益与公共利益之间寻求相称的平衡。相应地，风险评估模式虽以风险为规制导向，却也强调规制措施须“与风险水平相称”。

欧盟前“第29条工作组”（WP29）曾明确提出，基于风险的方法应当引导采取“可伸缩且合比例的方法”来落实GDPR的原则。这一要求表明，合比例性已成为风险规制的基本准则，其功能在于防止行政机关以风险名义进行过度干预，从而在风险控制与权利保护之间确立合理界限。从表面上看，比例原则在两种模式中似乎扮演不同的角色：在赋权保护模式中限制权利的绝对化；在风险评估模式中限制权力的任意性。然而，上述不同功能侧面实则统一于同一规范结构——即在不同情境下对个人权益与公共利益之间的结构化权衡。站在个人权益的角度，它强调个人信息权利保护必须与公共利益成比例，从而使个体权利在必要时受到正当限制；而站在公共利益的角度，它又要求行政措施须与个人权益相称，从而对公权力行使加以实质约束。由此，无论是限制权利的过度扩张，还是防止权力对风险的操弄，合比例性均构成二者共同的内在规范底色，成为连接“权利话语”与“风险话语”的关键枢纽，使看似分殊的两种模式得以在共通的规范基准下实现融贯适用。

2.比例原则在两种模式之间具有观察视角上的统合性，可弥补各自立场的“单向度”局限。无论是赋权保护模式所立足的“个体自决”，还是风险评估模式所依赖的“行政自制”，均呈现单一视角的片面与偏狭特征，未能全面回应公私法益平衡这一个人信息保护的根本难题。赋权保护模式从个体权利视角出发，主张将权利规范、原则、标准与目标融入个人与社会发展的整体框架之中。然而，由于个体权利偏好与社会整体利益并非总是完全一致，该模式过度侧重主观权利保障，易陷入“单边保护”困境，不仅忽视了行政实践的复杂性，也可能导致政务数据共享与公共治理效率受阻。风险评估模式则以行政机关为中心，依托其自我规制，虽具备较强的现实适应性，但也存在忽视权益对话、弱化问责机制的“自我评判”弊端。

在这一语境下，比例原则凭借其特有的“目的—手段—后果”三阶审查结构，恰为统合上述双重视角提供了方法论支点：首先，基于“合目的性”审查，要求行政机关必须明确政务数据共享的公益目标及个人信息处理的助益作用，体现行政机关视角；其次，通过“最小侵益性”审查，判断是否存在对个人权益侵害更小的替代措施，凸显个体权利视角；最后，借由“损益均衡性”审查，综合权衡公益收益与私益损害，从而跳脱出“行政机关—个人”二元对立关系，以一种中立视角审慎评估整体合比例性，进而实现公私法益之间的结构化均衡。由此，比例原则提供了一种更高阶的、具有“平衡论”色彩的观察和分析框架，既纠正赋权保护视角下权利绝对化的偏颇，也抑制风险评估视角下行政裁量的恣意。它不取代任一模式，而是通过构建一种更加成熟、包容的“行政机关—个人”协同治理格局，将冲突的利益诉求纳入其中予以调和，使看似割裂的两种模式在同一决策逻辑下实现协同运作。

三、涉个人信息政务数据共享活动中比例原则审查基准体系的建构

在涉及个人信息的政务数据共享场域中，比例原则上述功能的发挥，无论是对赋权保护模式的增益、对风险评估模式的限制，抑或是对两种模式的协调，都需依托一套类型化、体系化的操作工具，即比例原则审查基准体系。该体系主要以权力性质、手段限制所涉权利与利益类型为依据，设定差异化的审查强度，并通过类型化方法确定不同层级的适用基准，既避免“一刀切”式机械套用，缓解赋权保护模式在政务数据共享中面临的正当性与可行性张力，又通过为行政行为提供稳定的内部判断标准与外部审查技术，防止裁量随意化，从而弥补风险评估模式在规范性与约束性方面的不足。借助这一结构化的基准体系，比例原则得以超越抽象的形式价值，实现对具体实体因素的科学、一贯的分类与权衡，从而促成行政机关与个人在数据共享利用与个人信息保护之间的“最大共识”，最终形成稳定而可预期的个人信息保护规则。

（一）适当性审查基准的建构

适当性审查遵循目的导向，又称合目的性审查，核心在于判断“手段是否有助于促进目的实现”。需要指出的是，传统“三阶”比例原则并不直接审查目的本身的正当性。尽管有学者主张“目的正当性原则应作为比例原则的首要子原则”，或“在适当性原则中加入目的正当性的审查要求”，但亦有观点指出，“既然行政目的的设定与判断不具有裁量性且本质上属于合法性判断，就不应将其归入对裁量性行政行为进行合理性评价的比例原则，而应归入诚信原则。”据此，适当性审查应以既定目的为前提，重点检验手段与目的之间是否具有合理关联，若手段被证明是实现目的所需，即满足适当性要求。在政务数据共享中，依据《条例》第3条，政务数据共享行为可分为“提供”行为与“使用”行为两种类型，二者均以“依法履行职责”为目的。适当性审查的关键便在于，基于这两类行为在行为性质、责任主体及对个人权益的干预程度等方面的差异，通过为“依法履行职责”这一目的设置宽严有别的审查口径，调控“目的—手段”间联结的紧密性要求与论证负担，实现审查强度的类型化区分，从而为行政机关内部自我规范其共享行为提供明确指引，并为后续外部审查确立清晰、可预期的参照框架。

1.个人信息提供行为中合目的性的形式审查。此类行为主要表现为数据供给部门依据政务数据目录确定共享属性，并响应其他部门基于目录提出的申请，提供其所掌握的政务数据。由于提供行为多发生于行政系统内部，不直接涉及对外行政管理活动，个人信息处于“潜在被使用”状态，尚未构成直接的行政处置，其对个人权益的干预具有间接性和过程性。若对其设置过高的审查门槛，则容易抑制数据共享积极性，降低部门协作效率，最终阻碍公共治理目标的实现。因此，为鼓励数据供给部门及时、充分地供出数据，对此类行为宜适用较为宽松的形式审查基准。

具体而言，形式审查的“阿基米德支点”在于权限合法性，只要数据供给部门能够证明其提供行为具有组织法上的概括性职责依据，且未明显偏离部门职能范围，即可推定符合适当性要求，无须实质判断是否属实现自身职责之最优手段，亦不深究所供数据是否为其他部门所必需。所谓组织法依据，包括政府机构设置法、部门职权配置法、“三定”方案等规范中有关管理特定领域，收集、保存和利用数据的职能规定。譬如，自然资源主管部门基于不动产统一登记管理职责，可将不动产登记信息纳入有条件共享目录，明确使用条件与范围，以便其他行政部门在需要核实相对人信息时申请使用，从而发挥“数据多跑路、群众少跑腿”的制度效应。然而，形式审查并非完全放弃审查，其底线在于杜绝毫无法定职责依据的数据提供行为，以防止个人信息在部门间的无序流转。此种审查方式既能减少行政运作中的阻滞，又为后续数据使用环节的严格审查预留空间，最终形成“宽进严管”的分层治理格局。

2.个人信息使用行为中合目的性的实质审查。相较于提供行为，使用行为处于政务数据共享的终端环节，直接涉及个人信息的分析、应用乃至行政决策，因而对个人权益的干预更为直接和实质。数据需求部门通过提出申请并接收数据，获得对个人信息进一步处理的能力，这一过程极易引发个人信息滥用、目的外使用或过度干预等风险，从而削弱公众对政务数据共享的信赖。因此，有必要对此类行为适用更为严格的实质审查基准。实质审查要求，数据需求部门必须证明其使用行为具有行为法上的特别授权，而非仅凭组织法上的概括性职能依据，这是因为，“管辖权的功能在于界定政府系统内部不同机关掌理事务的范围，而并非在‘行政机关—公民’维度赋予政府可对外行使的特定职权，若采取组织法授权模式，‘目的’往往无比宽泛”。所谓行为法授权，是指法律、法规或规章中明确规定行政机关在何种情形下、为完成何种特定任务，可以调取和使用相关个人信息。

审查者需重点判断：一是使用行为所欲实现的行政目的是否有明确的法律依据；二是所请求的个人信息类型与范围是否与该目的存在实质关联。譬如，民政部门为核实救助申请家庭财产状况，而需获取自然资源部门的不动产登记信息时，必须援引《社会救助暂行办法》中关于查询家庭财产状况的具体条款，以证明该行为与救助资格审核职责直接相关。若仅以“负责社会救助工作”这一组织法职责为依据，则不足以认定符合适当性要求。实质审查能有效防范“泛职权化”风险，避免部门以“综合管理”等模糊事由随意调用个人信息。通过抬高审查门槛，促使行政机关在使用数据前进行审慎评估，确保每项个人信息处理行为都能经受住“依法履行职责”的合目的性拷问，从源头上遏制个人信息滥用，实现政务数据“供得出、流得动”与“用得好、保安全”的有机统一。

（二）必要性审查基准的建构

必要性审查遵循后果导向，又称最小侵害性审查，重点考察行政机关在同等有效实现目的的前提下，是否选择了对个人权益损害最小的手段。有学者指出，必要性原则不仅包含“最小侵害”的明确要求，“还暗含‘相同有效性’（手段对目的的实现程度和促成效果相同）这一基本前提”。在此意义上，适当性审查旨在剔除与行政目的无关的手段，而必要性审查则需在剩余相关手段中进一步筛选，确保在达致目的的手段群中不存在对相对人权益侵害更小的替代方案。正如最高人民法院在“中国比例原则第一案”——“汇丰实业公司案”中所强调的：行政机关在追求行政目的实现时，“要尽可能使相对人的权益遭受最小侵害”。因此，必要性原则所要求的“必要性”是指“‘绝对必要性’（absolutelynecessary），即对于目的的实现来说，所采取的手段是绝对必要的，除此之外，别无他法”。在政务数据共享中，这一要求主要体现在两个方面：一是是否充分保障个人信息主体的知情权、参与权等权利；二是是否采取与风险水平相匹配的技术性和管理性防护措施。鉴于政务数据共享所涉个人信息敏感程度和处理行为干预强度存在差异，可依据这两个维度组合设置审查基准，通过在不同共享情境下对个人信息权利、行政机关义务与责任的分层配置，为权利主张提供可承载、可运作的制度 空间，从而提升权利行使与救济的可操作性。

1.个人信息处理中最小侵害性的合理审查。对于数据供给部门提供一般个人信息的行为，因所涉信息敏感度较低、行政干预性较弱，可以适用相对宽松的审查基准。此类信息通常包括个人的姓名、职务、联系方式等基本信息，其泄露或滥用虽然可能带来不便，但一般不会对个人权益造成严重损害。合理审查基准仅要求数据供给部门履行基础性数据安全保障义务，即采取合理措施保障所提供个人信息的准确性、完整性与保密性，防止信息被不当披露或泄露。

具体数据安全保障措施包括：对内建立身份认证、授权和访问控制机制，定期对信息系统进行安全检测，防范内部人员滥用权限；对外通过完善数据基础设施建设，制定应急预案，有效应对黑客攻击、计算机病毒等外部威胁，避免数据泄露或窃取。譬如，人力资源和社会保障部门提供高层次人才的姓名、学历、专业领域等基本信息，以供教育、科技部门用于人才政策匹配与服务对接时，只需进行常规加密处理、确保传输通道安全，并核实信息在提供时未存在明显错误或遗漏即可，无须采取高级加密手段或复杂权限控制措施。合理审查契合该类行为风险较低的特点，既能够保障个人信息安全，又可避免因过度保护而阻碍数据正常共享与流通，体现了风险分级、精准规制的治理理念。

2.个人信息处理中最小侵害性的审慎审查。对于数据供给部门提供敏感个人信息，以及数据使用部门使用一般个人信息的行为，因涉及较高信息敏感性或较强行政干预性，需适用高于合理审查的审慎审查基准，即要求行政机关以审慎态度开展个人信息处理活动。

一方面，对于数据供给部门提供敏感个人信息的行为，审慎审查要求除履行基础性数据安全保障义务外，还需引入个人正当程序权利制度。行政机关在提供此类信息前，应当履行告知义务，并赋予信息主体参与和监督的机会。在确认个人信息被处理后，信息主体还应享有更正权、删除权与异议权，以便在发现违法或不当处理时及时纠偏。同时，为避免权利停留在纸面，行政机关需建立便捷的内部救济机制，使信息主体能够在权利受到侵害之初即获得救济。譬如，税务部门提供个人纳税记录、收入明细等涉税数据，以供人力资源和社会保障部门用于社会保险待遇核定时，需提前告知个人数据共享的目的、范围和依据，并确保当事人可通过投诉受理、举报渠道和快速纠错机制等方式行使权利。另一方面，对于数据需求部门使用一般个人信息的行为，审慎审查要求除基础数据安全义务外，还应采取必要的风险防控措施，防止自动化决策、画像分析等技术手段导致的信息致敏化。一般个人信息在汇聚、关联后可能形成敏感画像，带来不亚于敏感个人信息的权益侵害风险。具体可通过数据分类分级、访问权限控制、操作留痕与定期审计等方式，限制信息的二次利用与关联分析，避免还原出个人敏感状态。譬如，公安部门为分析社会治安态势，使用市场监管部门的个体工商户注册信息时，需通过技术和管理手段，防止一般信息经聚合后形成反映个人经济状况的敏感画像，避免对个体工商户正常经营造成不当干扰。审慎审查基准通过上述分层设置，使个人信息权利获得与风险程度相适应的具体配置与实际运作空间，从而避免权利义务配置失衡所导致的保护过度或执行不能，在实现数据合理利用的同时，最大限度地降低个人信息处理风险，体现“保护与利用并重”的规制思路。

3.个人信息处理中最小侵害性的充分审查。对于数据需求部门使用敏感个人信息的行为，因兼具信息高敏感性与行政强干预性，通常涉及对敏感信息的深度处理，一旦被过度披露可能对个人权益造成重大且不可逆的影响，因此必须适用最高标准的充分审查基准。

一方面，充分审查要求全面保障信息主体的各项权利。数据需求部门应当检查数据供给部门的告知义务履行情况，除知情权、参与权、内部监督与救济外，还要提供外部救济途径。尤其是使用敏感个人信息作出行政决定的行为，该行为已具备独立性和成熟性，应当赋予其就行政决定的行政复议、行政诉讼等外部救济途径的权利。另一方面，借助信息处理保护技术强化敏感个人信息保护。首先，在不影响数据使用的前提下，采用去标识化、假名化、泛化等脱敏技术，删除能够直接识别身份的要素；其次，在可识别性构成信息利用价值的必要条件时，可通过“对敏感信息进行变形、分散等处理，以降低数据敏感度”；最后，必要时引入隐私计算等前沿技术，“实现数据的‘可用不可见’‘定量定向使用’”，从源头防范敏感个人信息被超范围使用或二次扩散的风险。譬如，民政部门在审核特殊群体社会救助资格，需要向卫生健康部门申请使用残疾人健康信息、精神疾病诊疗记录等个人信息时，由于此类信息直接关联个人尊严、隐私及社会评价，一旦泄露可能导致严重歧视或污名化后果，必须采取上述严格保护措施。充分审查以“全面保障+最高防护”约束行政权力，确保行政机关已穷尽一切技术及管理手段将个人权益侵害降至最低，从而有助于在高干预、高风险情境下，将核心个人信息权利从原则性宣示转化为可执行、可救济的实质性保护。

（三）均衡性审查基准的建构

均衡性审查遵循价值导向，又称损益均衡性审查或狭义比例原则，旨在对行政机关所追求的公共利益与造成的个人权益损害进行相称性判断，防止行政机关为实现公益目标而过度牺牲个人权益。通俗而言，适当性审查是比例原则的前提，必要性审查是其基础，而“均衡性审查是比例原则概念的核心”。均衡性原则并非片面强调公共利益至上，而“要求公权力行为者在追求公共利益的同时，认真对待公民权利，审慎权衡相关利益”。由于公共利益与个人权益之间不存在预设的价值位阶，且难以通过成本收益分析等量化方法精确衡量，均衡性判断具有一定程度的“非理性”特征。在政务数据共享中，可依据“两头强化、三方平衡”的思路，即强化对敏感个人信息的保护与对一般个人信息的合理利用，既纾解赋权保护模式过度强调“防御性保护”的正当性困境，使个人信息权利承诺在具体行政情境中被有条件地实现，又确保在促进数据流动与发挥公共价值的同时，避免个人权益遭受过度侵害，从而实现公共利益与个人权益之间的理性平衡。

1.一般个人信息处理中损益均衡性的消极审查。对于涉及一般个人信息的政务数据共享行为，因所涉信息敏感度较低、对个人权益潜在影响相对有限，可适用均衡性审查中的消极审查基准。该基准要求审查者秉持谦抑立场，若行政机关能够证明公共利益与个人权益之间无明显失衡，且个人信息处理未对个人权益造成重大损害，即可认定符合均衡性要求。个人信息保护需求主要体现为个人生活安宁与不受侵扰，而行政机关共享数据则旨在发挥数据潜能、提升行政效率，两者利益或价值之间具有“不可通约性”，无法直接进行权衡比较。因此，在均衡性审查中，可尝试以公共利益为锚点，通过比对评估其对个人权益的干预是否适度，从而增强审查的可操作性与预见性。有学者即指出，“均衡性审查虽然形式上是在分析手段的均衡性，但实质上是在分析目的的必要性”。

就一般个人信息而言，主要侧重其合理利用，目的必要性审查强度稍弱，只要符合以下要求，便应予以认可：一是处理行为是否有助于实现公共利益，如履行法定职责或提供公共服务；二是处理范围是否与目的相适应，避免过度提供或使用；三是是否已采取适当安全措施防止信息泄露或滥用。譬如，统计部门为完成人口普查而使用公民基本信息，若其统计目的具有社会价值、使用范围严格限定于统计需要，且已采取必要的匿名化处理，即可认定符合均衡性要求。消极审查不仅体现了对行政裁量权的必要尊重，也有助于促进数据资源合理利用，从而避免因过度审查而抑制正常的政务数据共享活动，使个人信息保护在具体行政情境中能够通过可论证的均衡判断，与公共治理需求形成相对协调的关系。

2.敏感个人信息处理中损益均衡性的积极审查。对于涉及敏感个人信息的政务数据共享行为，因该类信息直接关涉人格尊严、人身与财产安全等核心权益，且一旦滥用则可能造成不可逆转的损害后果，必须适用积极审查基准。该基准要求行政机关承担更重的论证责任，需同时证明以下要件：一是若不进行该个人信息处理，将对公共利益造成重大、现实且紧迫的损害；二是所追求的公共利益具有显著重要性，明显高于可能导致的个人权益损失。敏感个人信息承载着更为重要的个人权益，因此审查应以私益保护为主要导向，显著提高目的必要性的审查强度，强调只有存在重大公共利益时方可进行干预。

审查时应重点考量以下方面：数据处理目的是否涉及重大公共利益，如国家安全、公共安全等；是否采取最高级别的保护措施，包括强加密、匿名化、严格访问控制等；是否建立完善的权利救济机制。譬如，在大型群众性活动的安全监管中，公安部门为防范重大公共安全风险而使用人脸识别等生物识别信息进行实时比对时，须证明相关风险具有现实性与紧迫性且无法通过非生物识别手段化解，并采取严格的信息保护措施，确保信息仅在公共安全治理必要范围内使用。积极审查通过抬高均衡性认定的门槛，确保仅存在真正重大且紧迫的公共利益需求时，方可对敏感个人信息进行干预，从而切实维护个人信息安全以及人格尊严、人身与财产安全等核心权益，使个人权益在公共利益名义下的让渡能够建立在严格论证与高度可接受性的基础之上。

四、结语

在当今“成比例”的时代，比例原则以其严谨的解释力与灵活的适应性而被广泛接纳，其规范理念亦可延伸至涉及个人信息的政务数据共享场域中。面对赋权保护模式在正当性与可行性上的困境，以及风险评估模式在规范性与约束性上的不足，比例原则展现出独特的纾解功能：通过设置梯度化的审查强度与构建精细化的审查基准体系，弥补赋权保护模式的僵化局限；通过提供内部控制标准与外部审查技术，实现对风险评估模式的规范与约束；凭借其内涵贯通与视角统合的特质，推动两种模式协同运作。在比例原则审查基准体系的构建上，依托“适当性—必要性—均衡性”审查框架，形成层次分明、环环相扣的适用体系：适当性审查区分数据提供与使用行为，分别适用形式与实质审查基准；必要性审查结合信息敏感度与行为干预强度，设立合理、审慎与充分三级审查基准；均衡性审查则基于信息所涉个人权益的重要性，划分消极与积极审查标准。这一结构化、类型化的审查基准体系，不仅能够增强比例原则在政务数据共享中的适用理性与可操作性，也将提升个人信息保护的可预见性与实效性。