信用中国（内蒙古阿拉善）

社会信用体系建设有赖于信用信息的汇聚与传送，这推动了信用信息的数字化发展。按照收集主体不同，信用信息可分为公共信用信息与非公共信用信息。其中公共信用信息是指“国家机关和法律、法规授权的具有管理公共事务职能的组织在履行法定职责、提供公共服务过程中产生和获取的信用信息”。基于履行法定职责产生、获取与传送信用信息，是公共信用信息区别于非公共信用信息的重要特征。目前来看，《个人信息保护法》与现行信用立法对公共信用信息处理的规定较为原则，且公共信用“具有鲜明的中国语境，是传统与域外信用法所未有的”，信用的界定与公共信用信息的利用“应当类型化与场景化”，因而对公共信用信息的数字化展开研究具有必要性。

广义的公共信用信息数字化泛指依靠各类数字技术手段(编码、算法、人工智能等)对信息进行处理的各种行为(传送、分析、评价等)，基于主题限制，本文所称的公共信用信息数字化特指通过数字技术实现公共信用信息的流通。公共信用信息的数字化产生了政府治理的有效性与合法性之间的紧张关系。

一方面，公共信用信息数字化提升了政府治理的有效性。公共信用信息的数字化使得各种公共信用信息的跨领域、跨部门传送成为可能，极大地提升了公共信用信息流通、使用的效率，是守信激励与失信惩戒的重要支撑。

另一方面，这种数字化又面临着合法性约束不足的问题，可能对信息主体的权益造成侵害。现行信用立法更多地以公共信用信息流通的有效性为追求目标。《个人信息保护法》第二章第三节仅要求行政机关处理个人信息“为履行法定职责”即可，对公共信用信息传送的合法性约束不足。实践中法院也仅审查公共信用信息的归集与传送是否具有法定根据，而对应当具备何种依据以及如何保障传送过程的合法性缺乏关注。

而现有理论研究主要聚焦于如何加强信息技术在公共信用信息管理中的运用，试图解决“信息孤岛”“信息的安全性”“数据归集的标准尚未统一”等问题，主张构建“可持续的公共信用信息共享机制”，忽视了信用大数据治理对法治与权利保护带来的影响。虽然有个别学者围绕个人信息对在国家机关之间的一体化和点状式传输形态提出了“类型化治理”的思路，但是公共信用信息的数字化仍有待展开专门探讨。

本文试图在阐明公共信用信息数字化逻辑的基础上，指出既有法律规制方案的不足，并探讨公共信用信息数字化的限度，进而为公共信用信息数字化的制度完善提供建议。

公共信用信息数字化体现为在公共信用信息收集后，通过公共信用信息平台的归集、信息传送等处理行为，来实现公共信用信息的聚合与有效利用。这种数字化旨在满足公共信用信息利用的需求，提升政府治理的效能。

(一) 公共信用信息数字化的功能

公共信用信息的数字化旨在便利行政法规范的适用，助推行政机关实施信用监管，以及提升信息流通与信息利用的效能。

第一，公共信用信息的数字化有助于便利行政法规范的适用。行政法规范的适用包括法定构成要件涵摄与法定裁量权衡，时常需要以其他行政机关掌握的有关行政处罚、行政许可、行政强制等方面的公共信用信息为基础。

一是法定构成要件涵摄产生公共信用信息需求。例如，《直销管理条例》第7条规定了直销企业的设立条件之一是“投资者具有良好的商业信誉，在提出申请前连续5年没有重大违法经营记录”。那么投资者是否具有重大违法经营记录，许可机关应当依职权查明，而这往往需要通过其他行政机关获得相应信息。

二是法定裁量权衡产生公共信用信息需求。行政机关在决定行政检查的范围与频次(如列为重点监管对象)、在行政许可中是否将行政相对人列为重点审查对象、是否适用告知承诺等便利服务措施、进行行政处罚裁量等情形下，都需要获取相关的公共信用信息。

第二，公共信用信息的数字化还可通过公共信用信息的聚合与评价，形成行为人的“信用画像”，助推行政机关实施信用监管。公共信用评价以行政监管信息(如行政处罚信息、行政强制信息、严重失信主体名单信息)等为基础，根据各项指标得分和模型算法计算最终综合评分，并确定信息主体的信用等级供有关政府部门使用。信用评价结果的使用既包括采取差异化的监管措施(如提高抽查比例与频次、优化政务服务、进行约谈、督促整改)，也可能针对行为人违法记录体现的信用人格施加独立的不利对待(如纳入严重失信主体名单、市场或行业禁入)。

例如《安全生产法》第78条要求有关行政机关针对“存在失信行为的生产经营单位及其有关从业人员”除了采取加大执法频次措施，还应实施行业或者职业禁入。

又如《全国失信惩戒措施基础清单(2025年版)》限制“依法依规被列入严重失信主体名单的经营主体”申请财政性资金项目。行政机关界定“失信”“严重失信”，需要在全面收集公共信用信息的基础上对行为人的信用状态进行评价。

可见，公共信用信息的数字化能为信用评价以及后续的信用监管提供必要支撑。

第三，公共信用信息的数字化有助于提升信息流通与信息利用的效能。运用大数据、人工智能等新一代信息技术，实现信用数据的归集、共享、评价与利用，是社会信用体系建设的重要基础。在公共信用信息的归集、共享甚至评价中逐步实现行政自动化，能降低信息流通的成本，提高信息处理的效率。

除了暂不具备对接条件的情形，信息提供单位将本单位业务系统、行业信用数据库与地方公共信用信息平台对接，采用服务接口、数据推送等方式实现公共信用信息自动归集。地方再根据国家、省公共信用信息归集的要求，向上级信用信息平台报送公共信用信息。除了归集的自动化，公共信用信息还可通过公共信用信息系统实现自动共享，通过技术实现自动比对、自动拦截。

公共信用信息的自动化处理在一些地方立法中得到明确规定。如《厦门经济特区社会信用条例》第18条第2款规定:“行政机关、法律法规授权的具有管理公共事务职能的组织应当与市公共信用信息平台建立网络链接，实现对失信的社会信用主体的自动比对、自动拦截、自动监督、自动惩戒和自动反馈。”信用管理系统还可自动计算并生成信用等级，这种自动化运用日趋普遍。

(二) 公共信用信息数字化的特征

公共信用信息数字化的特征包括信息收集的全面性、信息流通的跨部门性、信息处理的多环节性与信息利用的多元性。

其一，信息收集的全面性。公共信用信息平台是信用信息归集、共享、评价与利用的重要载体，“对平台的技术开发与构建必然以便利和最大化实现信用信息的归集、共享与利用为目标”。由政府归集公共信用信息，“有利于在短时间内形成覆盖比较全面的信用信息数据系统”。

有关社会信用体系建设的多个文件强调信用数据归集的全面性，要求对政府部门信用信息做到“应归尽归”，“构建形成覆盖全部信用主体、所有信用信息类别、全国所有区域的信用信息网络”。

学理上也主张对公共信用信息“应归尽归”，“只有充分、完整的信用信息才能准确地反映市场主体的信用状况”，才能“对被评价主体的信用状况进行客观、公正的评价”。从政策实施来看，中央与地方都倾向于建立统一的信用信息共享平台，大力推进各部门信用信息的交换与共享，意图“在公共管理中加强信用信息应用，提高履职效率”。公共信用信息数字化追求信息收集的全面性，旨在尽可能发挥信用大数据利用的效果。

其二，信息流通的跨部门性。我国社会信用体系建设以“部门联动，社会协调”为原则，“跨地区、跨部门、跨领域”的守信联合激励和失信联合惩戒机制必然要求信用信息的整合与利用，进而减少监管信息的不对称，提升信用数字化的治理效果。

例如，《证券法》第118条要求设立证券公司须满足主要股东及公司的实际控制人“最近三年无重大违法违规记录”，《基础设施和公用事业特许经营管理办法》第19条要求“信用状况良好”者应当被优先选择为特许经营者，这意味着相应监管措施需要获得其他领域相关信用信息的支撑。

部门联动在个别地方立法中也有规定。如《天津市优化营商环境条例》第66条要求“实行跨地区、跨部门、跨领域的守信联合激励和失信联合惩戒”。公共信用信息流通的跨部门性既有助于各种行政法规范的有效实施，也能够为强化威慑违法行为提供信息资源。

其三，信息处理的多环节性。公共信用信息的数字化涵盖了收集、归集、共享环节，并延伸至利用环节。收集行为是公共信用信息数字化的开端，受《行政处罚法》《行政强制法》等单行法调整。归集行为则汇聚各个行政机关的信用信息，使得信用信息的存取搜索功能更强，进而为后续的传送与利用行为奠定基础。

公共信用信息平台将信息传送给利用机关，属于传送或共享环节。接收机关在接收(采取截取、查询、比对等方式)信用信息后作出信用奖惩，构成公共信用信息数字化的终端，属于利用环节。这些不同行为类型环环相扣，且具有双元性。如纳入公共信用信息平台，同时涵盖了信息来源机关的传输行为与公共信用信息平台的收集行为。

其四，信息利用的多元性。具体而言，公共信用信息利用大致可分为基于原始信息的利用与基于加工信息的利用两种类型。二者的区别在于是否经过信用评价。基于原始信息的利用，是指行政机关通过法定构成要件的解释与法定裁量因素的考虑，需要直接利用相关的公共信用信息。基于加工信息的利用，是指行政机关针对信用评价结果信息(如严重失信)采取特定的信用措施(如限制市场或行业准入)。

公共信用信息数字化包含了多个公权力行为，因而应当受公法约束。目前对公共信用信息数字化进行公法规制的法律依据主要是《个人信息保护法》与各个地方的信用立法。但现行立法并不能够实现对公共信用信息数字化的充分约束。

(一) 公共信用信息数字化的法律授权模糊

现行立法规定行政机关为履行法定职责处理公共信用信息，但对公共信用信息处理需要何种法律授权并未明确规定。

其一，公共信用信息数字化采用大规模数据库的法律依据不足。与从信息来源主体到信息利用主体的“点到点”传输不同，公共信用信息数字化以大规模数据库(即公共信用信息平台)为中心，涉及收集、归集、传送、利用等多个环节。而现行立法并未区分大规模数据库、一体化传输与小规模、个别性的信息处理行为。

地方信用立法普遍规定社会信用信息平台作为本地区社会信用信息的归集与管理平台，但立法层级仅为地方性法规，且对信用信息的范围、使用条件、处理程序等缺乏具体规定。《个人信息保护法》在第二章第三节“国家机关处理个人信息的特别规定”中明确国家机关可以“为履行法定职责处理个人信息”，同样适用于行政机关处理公共信用信息，但“履行法定职责”的内涵不清。

这种大规模信用数据库的建立，固然有助于提升行政机关履行法定职责的效能，但会扩大信用信息的流通范围，增加信息主体权益受侵害的风险。仅依赖模糊的法律授权，尚不足以有效防范一体化汇聚带来的“信息监控风险”“模糊性授权的实质违法风险”“大规模泄露的数据安全风险”等各种风险。

换言之，建立信用大数据库，虽因提升行政效能、降低行政成本而具有一定的正当性，但应当接受更严格的法律保留。相关立法应当作出必要回应。

其二，行政协助规范不宜作为公共信用信息数字化的法律根据。科以信息来源机关传送义务，在地方信用立法中较为常见。“吴某丽诉北京市东城区城市管理综合行政执法局行政处罚案”的再审裁判也一定程度上将行政协助规范作为信息传送的合法性根据。

一般性地规定行政协助的立法例是《湖南省行政程序规定》，其中的第17条第1款第3项规定，“执行公务所必需的文书、资料、信息为其他行政机关所掌握，自行收集难以获得的”，行政机关应当请求相关行政机关协助。然而行政协助是指彼此互不隶属的行政机关为执行行政任务展开的分工合作，具有临时性、局部性、辅助性与补充性的特征。因此行政协助规范属于程序规范，不能架空行政机关之间管辖权的分工，不能作为公共信用信息处理的权限根据。

公共信用信息传送是否具备合法性，还需结合有关公共信用信息处理的实体法进行检视，如考察利用机关是否拥有根据公共信用信息作出行政决定的法律授权。

其三，公共信用信息的数字化未根据对信息主体权益影响的差异，采取不同的法律保留。以个人信息的处理为例，《个人信息保护法》第34条规定国家机关为履行法定职责处理个人信息“应当依照法律、行政法规规定的权限、程序进行”，似乎表明公共信用信息的处理应当具有“法律、行政法规”层面的依据。

对此，有学者认为对“法定职责”中的“法”应采广义解释，提出的理由包括:法律、法规授权的具有管理公共事务职能的组织也依法享有信息处理权;基于规章行使职权也需要获取个人信息;《个人信息保护法》第34条旨在“强调履行法定职责不能沦为处理个人信息的宽泛借口，而应是真实的依法履职”。

上述分析确有道理。将个人信息处理的依据限于“法律、行政法规”，忽视了行政活动的多样性，特别是因为信用激励与信用惩戒的类型不同，法律保留原则所要求的合法性根据也应呈现不同形式和位阶。所以对《个人信息保护法》第34条与第13条中的“履行法定职责”应采取广义理解，“法”的范围应当涵盖所有形式的法律规范。

但现行法律并未明确，不同类型的信息处理行为需要具备何种类型的合法性依据。不同公共信用信息处理对信息主体权益的影响不同。有的信息处理行为(如行政系统内部的信息传送)不会直接设定信息主体的权利义务，但可能侵害信息主体的信息自决权，增加信息主体权益受信息利用行为侵害的风险;有的信息处理行为(如接受机关利用信息实施信用激励)旨在授予信息主体利益;有的信息处理行为(如接受机关利用信息实施信用惩戒)则旨在限制或剥夺信息主体权益。依据层级化的法律保留理论，信息处理行为对信息主体权益的影响不同，在合法性根据的要求上应有区别。这有必要对公共信用信息数字化行为进一步类型化，进而确定相应的合法性根据。

(二) 公共信用信息数字化的程序规定匮乏

公共信用信息平台可以向哪些行政机关传送信息、传送的范围如何、传送的条件是什么、采用何种传送方式(依职权推送、依申请查询还是自动截取)，应当受到更为具体的程序限制。而现行立法对此付之阙如。

其一，公共信用信息数字化中的告知程序过于原则。一些地方的公共信用信息管理办法仅规定行政机关认定失信应当事先履行告知义务，但未要求在归集、传送环节履行告知义务。《个人信息保护法》仅通过第35条规定，国家机关为履行法定职责处理个人信息应当履行告知义务，但向谁告知、告知什么、以什么方式告知等仍不明确。

这与事先防范公共信用信息滥用的风险预防理念仍有距离。履行信用信息处理的告知义务，能够在一定程度上防止行政机关的后续处理偏离合法正当目的，也“有利于形成信息主体对后续处理行为的可预见性期待”。

其二，公共信用信息数字化中的信息主体参与存在不足。《个人信息保护法》有关个人在信息处理活动中的权利规定，并不能充分应对公共信用信息的数字化。该法第24条第3款规定，通过自动化决策方式作出对个人权益有重大影响的决定，个人有权要求个人信息处理者予以说明，并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。这不能有效限制公共信用信息自动化传送带来的权力滥用风险。这是因为公共信用信息的传送仅构成内部行为，并不直接对信息主体设定权利义务，信息主体无法事先提起救济。

例如，在“黄某祥诉杭州市人民政府其他行政复议案”中，法院认为，这种传送行为“显系公共信用信息归集发布中的过程性行为，对原告的权利义务不产生实际影响”，因而拒绝受理信息主体针对信息传送行为提起的司法救济。

此外，现行立法仅强调公共信用信息处理须以履行法定职责为基础，对信息主体参与的规定不足。《个人信息保护法》第44条虽然规定了个人对其个人信息的处理享有知情权、决定权与反对权，但明确“法律、行政法规另有规定的除外”。而与私人处理个人信息一般适用“告知—同意”规则不同，针对行政机关履行法定职责处理个人信息时，法律并未要求保障个人的决定权与反对权。

一些地方制定了公共信用信息管理办法，但主要规定的是信息主体对公共信用信息错误、侵犯其商业秘密或个人隐私等权益的异议权以及享有信用信息修复的权利，同样未对公共信用信息传送过程中信息主体的反对权进行规定。

公共信用信息数字化追求信息的全面性、跨部门性与处理的自动化，公共信用信息的归集、传送与利用往往超出信息收集之目的，且每一环节对信息处理的目的不同，这减弱了信息主体对信用信息的控制权，加剧了信息主体权益因跨部门信用惩戒受到侵害的风险。在提高公共信用信息数字化透明度的同时，强化信息主体的参与权，将有助于在过程环节制约行政机关对公共信用信息的处理。

其三，公共信用信息数字化中的内部约束不足。现行立法仅关注信息处理各个环节的合法性，而未从信息处理的整个链条关注各个环节信息处理的合法性是否得到切实保障。行政机关所履行法定职责是否要求作出相应的信息处理行为，所作出信息处理行为是否超出履行法定职责所必需的范围和限度，立法既未明确对这些问题作出回应，也未针对这些问题建立机制，来确保行政机关的信息处理遵循合法性的边界。

而且，公共信用信息数字化的相关立法对信息处理行为的约束过于宽松。例如，《北京市城乡规划条例》第68条规定，执法机关应当将违法建设当事人受到行政处罚或者行政强制的情况共享到本市的公共信用信息平台，行政机关根据本市关于公共信息管理规定可以对其采取惩戒措施。

该规定过于追求公共信用信息聚合的目标，却未对公共信用信息传送给哪一行政机关、传送的信息范围、采取惩戒措施是否具有相应的信息需求等重要问题进行回应。当公共信用信息传送后的利用行为对相对人权益产生侵害时，法院仅对利用行为本身的合法性进行审查，而不会审查公共信用信息传送过程中内部行为的合法性。这使得公共信用信息数字化带来的信息主体权益侵害风险尚缺乏有效手段进行预防。

实践中，自动化技术在公共信用信息数字化中的运用，进一步加剧了公共信用信息数字化产生的权益侵害风险。这种自动化应用机制固然可以提升信用监管和法律实施的效能，但也增加了法定职责履行的合法性风险，可能无法识别公共信用信息利用的法定需求。

例如，存在《商标法》第68条规定行为且情节严重的主体，知识产权部门可以决定停止受理其办理商标代理业务，公共信用信息平台系统能否认定“情节严重”恐有疑问。针对“有较严重的不良信用记录”不适用告知承诺、容缺受理存在同样的认定难题。换言之，自动化技术的过度运用只会缩减甚至抹杀不确定法律概念与行政裁量的适用空间。

(三) 公共信用信息数字化忽视了信息利用的差异

传送机关为履行自己职责需要向其他行政机关传送信息的情形较为少见，而接收机关为履行自己职责需从其他机关处获得信息的情形则较为普遍。中央有关社会信用体系建设的文件提出“将市场主体基础信息、执法监管和处置信息、失信联合惩戒信息等与相关部门业务系统按需共享”。一些地方信用立法明确“将信用主体的公共信用信息与有关部门和单位业务系统按需共享”。

“按需共享”可以解释为以公共信用信息的输出端为出发点，决定哪些公共信用信息应当共享给哪些机关。“按需共享”体现了需求驱动的公共信用信息传送机制。

公共信用信息共享固然“是以信用为基础的新型监管机制有效运行的技术保障”，但由技术驱动治理创新带来的风险也不容忽视。即便公共信用信息在归集权限与内容上具有合法性，也不意味着可在行政机关之间恣意共享。公共信用信息的规模化归集、智能化推送、自动化惩戒大大增加了信用信息主体权益受侵害的风险。行政机关处理公共信用信息，不仅需要满足合法性根据，还应当具备实质正当性。

《全国公共信用信息基础目录(2025年版)》要求公共信用信息归集遵循“合法、正当、必要、最小化原则”，以及《个人信息保护法》第34条规定的“不得超出履行法定职责所必需的范围”、第5条规定的“正当、必要”以及第6条规定的“采取对个人权益影响最小的方式”“应当限于实现处理目的的最小范围”，都构成了行政机关处理公共信用信息的实质正当性限制。

但无论是地方信用立法还是《个人信息保护法》，都未明确信息传送的具体方式。而公共信用信息的利用复杂多样，既有法定构成要件涵摄与法定裁量(即“优化法律实施”)需要利用相关信息，也有基于信用信息评价实施失信惩戒的利用(即“强化法律实施”)。

这两种利用类型存在显著差异。法定构成要件与法定裁量运用属于法律规范适用的范畴，能够通过经典的行政法学方法澄清相应的公共信用信息需求。而基于信用信息评价对失信行为采取失信惩戒，则是针对既有违法制裁手段不足而采用的新型治理手段，无法简单地通过法律规范适用来澄清相应的公共信用信息需求。因而有必要对公共信用信息利用进行类型化，并针对公共信用信息数字化构建差异化的规制，进而真正落实“按需共享”以及最小化利用的法定要求。

如前所述，《个人信息保护法》与现行信用法律体系不足以充分约束公共信用信息的数字化。加强公共信用信息数字化的约束，应当在公共信用信息利用逻辑的基础上，厘定公共信用信息数字化的法律保留基础，确立公共信用信息数据库的明确法律授权，建构公共信用信息数字化的组织和程序保障，并细化公共信用信息数字化的类型化约束。

(一) 厘定公共信用信息数字化的法律保留基础

公共信用信息数字化的过程虽然环环相扣，前一处理措施是后一处理措施的前提，最终服务于信用奖惩，但是各个环节的处理行为具有独立性。后续环节信息处理行为具有合法性根据，并不能表明前端环节信息处理行为的合法性。

其一，公共信用信息的处理应当具有行为法根据。在确定履行法定职责的合法性根据上，理论上存在组织法规范、行为法规范与规制法规范的划分。组织法规范是将行政事务分配给不同行政机关的法律规范。鉴于处理公共信用信息应当具有明确目的，组织法规范不宜作为履行法定职责的依据。规制法规范是确保职责履行的目的规范与程序规范。

如前文所述，行政协助规范不宜作为公共信用信息数字化的法律根据。因而，公共信用信息处理应当具有行为法根据。

其二，将公共信用信息传送给利用机关的法律根据，源于对公共信用信息利用的法律规范。“可归集的公共信用数据并非都是可共享的”，传送行为的合法性应当诉诸公共信用信息利用的法律依据。公共信用信息的利用包括守信奖励与失信惩戒，失信惩戒又包含对信息主体权益产生不同影响的措施。这要求根据公共信用信息利用措施的差异，针对公共信用信息数字化建立类型化的法律保留。

由此有必要对信用奖惩的现行根据进行检视。例如，《全国失信惩戒措施基础清单(2025年版)》中“纳入严重失信主体名单”的不少情形仅依据国务院政策文件，相应的信用信息传送亦缺乏充足的法律根据。

其三，公共信用信息的归集应当具有专门的法律根据。公共信用信息的归集属于公共信用信息收集目的外的利用，并非信用奖惩机关获得信用信息的唯一手段。这种大规模数据库具有利用目的不明确与数据扩散难以控制的特征，难免导致信息主体权益因后续各种可能的信用惩戒受侵害的风险增加。

与“点到点”的传送可追溯至信息利用的法律授权不同，公共信用信息的归集在“点到点”之间增加了信息汇聚环节，难以直接通过信息利用的法律授权证立合法性，因而应当具有专门的法律授权。

(二) 确立公共信用信息数据库的明确法律授权

公共信用信息数字化逻辑体现的大数据、跨部门与自动化，以及我国社会信用体系建设追求功能的多元性，决定了公共信用信息汇聚的“宽入口”。

一则，信用监管是借助信用信息共享平台实现信息的归集与共享，充分利用大数据与信息技术，这必然要求信用数据的全面性。

二则，在社会信用体系建设多元功能下，确定公共信用信息的标准与方式不一致，几乎无法形成统一的界定标准。

三则，信用评价具有综合性与行业性，往往不局限于单一行为的评价。与违法评价的单一性不同，信用评价旨在考察信息主体在社会和经济活动中遵守法定义务与履行约定义务的状态。信息归集的全面性是信用评价准确、合理与有效的重要保障。

公共信用信息平台具有大规模数据库的属性，应当具有独立的法律授权。在德国，缺乏具体目的而预存资料原则上受到禁止(das Verbot der Vorratsdatenspeicherung)，除非有法律的特别授权。公共信用信息的汇聚可能形成个人画像，因而存在侵害信息主体个人尊严的倾向。

此外，信用惩戒针对的是行为人的违法记录而非行为人的违法行为，具有典型的“行为人责任”属性，应当受到严格的法律约束。为避免信用惩戒适用“行为人责任”产生正当性与合法性危机，对前端的信用数据库建构专门的法律约束尤为重要。

尽管现行地方信用立法一般都明确公共信用信息平台具有汇聚与共享信用信息的功能，但法律位阶低，也不能统合全国性的公共信用信息数字化。在未来，公共信用信息数据库应由具有法律位阶的中央信用立法予以明确规定。

而且，确立公共信用信息数据库的法律授权应当符合法律明确性原则。法律明确性原则是法律保留原则的重要保障，如果法律明确性原则没有得到有效的贯彻，就会使得法律保留原则沦为空壳，使其空洞化。

法律保留原则源于民主与法治国原则，法律明确性要求则是法律保留原则的必要补充和具体化。为防范建立信用大数据库带来的信用信息滥用风险，法律还应当明确信用数据库的信息纳入范围、信息使用条件、信息处理程序、信息储存期间、相关主体的权利义务等重要事项。

(三) 完善公共信用信息数字化的程序保障

数据技术的深度利用与信用奖惩的广泛运用相结合，使得公共信用信息数字化产生强大的信用数据归集、流通和利用的效能。公共信用信息数字化的归集与传送一般发生于行政机关之间，除非向社会公开或被行政机关用于信用惩戒，属于行政机关的内部行为，并不直接对信息主体产生实际影响。信息主体只能事后针对信用信息公开或者信用惩戒行为寻求救济，而不能在信息处理的前端环节获得有效权益保护。因此，从法律制度上确立公共信用信息滥用的风险预防机制十分必要。而公共信用信息数字化中的组织和程序保障有助于贯彻风险预防理念。

其一，应当针对公共信用信息处理的特征明确查询机制。考虑到大数据处理的规模化，要求行政机关在不同环节主动履行告知义务会带来行政成本的显著增加，立法宜要求行政机关保存信息流通记录，并提供可由信息主体查询的渠道。可供查询的内容包括信用信息归集与传送的主体、依据、范围与方式等。

公共信用信息数字化并不遵循“点到点”的信息传送与利用逻辑，加上信用惩戒往往依赖以各种公共信用信息为基础的信用评价，这使得行政机关几乎无法告知公共信用信息流通的具体目的。信用奖惩类型多元带来信息利用目的的不确定性，使得以目的审查为核心的比例原则适用较为困难。而完善查询机制有助于提升公共信用信息数字化的透明度。

其二，应当赋予信息主体在公共信用信息数字化中的反对权。公共信用信息的数字化使得自动比对、自动拦截和自动惩戒成为可能，一些地方信用立法已将这些信息处理方式法定化。除了信用奖励、纳入重点监管范围、不适用告知承诺制等对信息主体不产生重大影响的信息利用情形，信息主体针对公共信用信息的自动比对、自动拦截和自动惩戒应当获得系统的提示与告知，并拥有反对的权利。如果个人提出明确反对，系统应当停止采用对公共信用信息的自动化处理方式。

此外，为了弥补行政机关依照法定职责处理公共信用信息带来的正当性不足，信息主体同样可以享有反对权。《欧盟一般数据保护条例》(GDPR)第6条就区分了“为履行公务机关的法律义务”与“为执行公务”:前者对应法律设定的羁束义务，公务机关应当作出信息处理;后者对应的是公务机关为执行公务可以作出信息处理，包含了权衡与裁量。

针对“为执行公务”的情形，该法第21条规定了数据主体的反对权，只有公务机关针对信息处理举证并提出“令人信服的正当化理由”，信息处理才能继续进行。如果公共信用信息的传送是出于接收机关适用法定构成要件或裁量的需要，那么符合法定职责要件就足以证成信息处理行为的正当性。

但如果公共信用信息的传送是出于接收机关针对失信行为施加独立惩戒，“公共信用信息—失信—失信惩戒”之间便不再呈现线性的逻辑关系，而是包含了权衡与裁量。在此情形下，立法应当明确信息主体在公共信用信息数字化中获得告知并提出反对的程序，同时设定行政机关针对信用信息处理的说明理由义务。这将有助于弥补法定职责要件约束带来的不足，加强对公共信用信息滥用风险的防范。

其三，应当赋予信息传送机关一定程度的审查义务。该种审查义务有助于更有效地约束公共信用信息的数字化，主要有以下理由。

首先，公共信用信息利用源于多种需要，包括法律适用(法定构成要件的涵摄与裁量因素的权衡)或者强化法律实施(例如施加独立的行业或市场禁入)，导致信用惩戒的滥用风险扩大。

其次，传送机关履行审查义务能够为信息主体提供更有效的权益救济。针对信用信息利用环节的惩戒行为展开司法审查，法院一般怠于对信用信息及其传送行为的合法性进行实质审查，因而对信息主体的权益救济有限。

一则，行政机关的信息传送行为会被法院界定为过程性行为，信息主体无法单独对之提起救济。

二则，公共信用信息的传送是否属于利用机关依法履行职责的需要，法院怠于进行实质审查。如将建筑市场主体的信用评价结果设定为投标人资质条件，虽然具有规范性文件依据，但未必基于依法履行职责的需要。最后，设定信息传送机关审查义务有域外立法例可供借鉴。如德国《萨尔州数据保护法》第6条规定，传送机关应当对传送的容许性(Zulässigkeit)负责。

值得注意的是，公共信用信息的传送机关包括收集机关与信息平台管理机关，二者的审查义务具有差异。收集机关依据法定传送义务将信息归入信息平台，并非将信息直接传送给利用机关(也是接收机关)，因而仅需对信息的真实性以及信息是否属于归集范围承担审查责任。信息平台管理机关向利用机关的传送则是基于利用机关依法履行职责的需要。

而利用机关往往并没有获得收集信息的专门授权，因而应当对就信息传送请求的合法性向信息平台管理机关举证说明并提供相关材料。针对传送信息是否基于接收机关依法履行职责的需要，信息平台管理机关应当承担审查义务。由于对信息传送的审查需要进行法律解释与裁量权衡，信息传送机关还应当安排具有一定专业知识的审查人员来履行审查义务。

(四) 细化公共信用信息数字化的类型化约束

由于公共信用信息利用目标具有多样性，信息共享带来信息扩散，甚至在“自动共享、自动惩戒”的加持下，会成倍地增加信息利用的滥用风险。公共信用信息的利用因所需的信息类型不同呈现差异，因而有必要在类型化的基础上设置不同的信息传送方式。

由于原始信息利用与加工信息利用存在根本差别，相应的传送方式可以划分为依职权传送与依申请传送。

其一，针对原始信息利用建构依职权传送方式。基于原始信息利用的信息需求可以通过对法定构成要件的涵摄与法定裁量的权衡予以确定。

在上述情形中，接收机关所需的信用信息或者由立法明确列举，或者可通过法律解释予以澄清。这些信息具有特定指向性与较高程度的明确性，传送机关可依据惩戒清单与信息清单进行有针对性的传送。信用信息清单应当列明法律依据，界定法律规范(包括法定构成要件、裁量要件与立法目的)蕴含的信用考量要求，并明确特定监管措施所需考量的信用信息以及信息接收机关的名称。不满足法定要求或者明确性程度较低的公共信用信息不得依托清单进行依职权传送。

其二，针对加工信息利用建构依申请传送方式。基于加工信息利用的信息需求依赖行政机关对公共信用信息的评价。信用评价是从违法转换为失信的工具。从地方社会信用条例来看，信用评价包括公共信用综合评价、行业信用评价与单一行为评价。

(1)公共信用综合评价。社会信用综合管理部门以公共信用信息为基础展开的全面评价，其评价范围跨领域、跨部门，涵盖各类公共信用信息。如《山东省公共信用综合评价指标体系(2022年版)》将行政处罚、违反信用承诺等多种信息纳入评价范围。

(2)行业信用评价。《全国失信惩戒措施基础清单(2025年版)》要求根据特定行业(领域)的违法记录进行评价，进而将信用主体纳入特定行业(领域)严重失信主体名单。

(3)单一行为评价。例如，《市场监督管理严重违法失信名单管理办法》通过第5—10条列举了数十种应当列入严重违法失信名单的特定违法行为，具体包括“按照从重处罚原则处以罚款”“降低资质等级，吊销许可证件、营业执照”等。

加工信息的利用并不是源于既有法律规范中构成要件与裁量的具体化需求，而是具有追求治理效果的意图。现行实践在既有违法处罚的基础上对失信状态予以规制，主要是为了通过扩大制裁范围、加大制裁力度来增强威慑。对加工信息的利用具有鲜明的功能主义倾向，使得所需利用的信用信息范围难以通过法律解释方法澄清，因而不宜由传送机关依职权传送。信息利用机关应当向传送机关提出申请，并提供满足传送合法性与实质理由的材料，包括列明针对违法行为的既有法律责任、所需信用信息的内容(针对哪种违法行为或信用评价结果需要强化惩戒)、施加额外信用惩戒的理由以及信息接收机关的名称。