但是，因理论研究不足、规范设置过于原则化以及司法实践任意突破判断标准，我国法院在行政重复起诉的判断方面尚存许多缺憾。

从制度属性、审查目的、主动程度、处理方式等方面来看，为满足裁判说理需要而进行的合法有效审查与司法审查存在实质区别。[xxxvii]并且，立法法中已经专门设置了备案审查制度，法官应尊重立法与司法的权限划分。

[xiii]参见王汉斌：《关于〈中华人民共和国行政诉讼法（草案）〉的说明》，《最高人民法院公报》1989年第2期，第311页。[xi]立法法第2条规定：法律、行政法规、地方性法规、自治条例和单行条例的制定、修改和废止，适用本法。若经审查认为二者并非合法有效，法官无需在裁判文书中明示二者或其条款违法，更不能作出撤销二者或其条款的司法结论，只需指出其不宜作为本案裁判说理依据即可。[lxiv]参见前引[3]，于立深文，第22页以下。[xix]参见张红：《论国家政策作为民法法源》，《中国社会科学》2015年第12期，第136页。

[lxviii]2018年行诉法解释第148条规定的行政规范性文件不合法的判断标准，同样对应着制定权限、条文内容、制定程序三个方面。[xviii]参见前引[3]，于立深文，第15页以下。广义的必要原则就是传统三阶比例原则，它要求行为手段具有适当性、必要性和均衡性。

[3]张新宝：个人信息收集：告知同意原则适用的限制，《比较法研究》2019年第6期，第12页。只要同个人达成了平等自愿的充分合意，个人信息处理者就可以按约定对个人信息进行处理。[23]参见商希雪：超越私权属性的个人信息共享——基于《欧盟一般数据保护条例》正当利益条款的分析，《法商研究》2020年第2期，第58页。为了有效保护个人信息，还需要对个人信息处理目的进行限制。

（2）个人数据被收集时的情形，尤其是关于数据主体与数据控制者之间的关系。实际上，《数据安全法》第21条明确规定国家建立数据分类分级保护制度。

综上，个人信息处理的正当目的包括公共目的和私人目的。不得高频率反复收集相关个人信息。对于生物识别、医疗健康、金融帐户、行踪轨迹等敏感个人信息，《个人信息保护法》第28条要求只有在具有特定的目的和充分的必要性，并采取严格保护措施的情形下才可处理。{2}张新宝：个人信息收集：告知同意原则适用的限制，《比较法研究》2019年第6期。

《个人信息保护法》第9、38、47、59条要求采取必要措施保障个人信息安全。个人信息处理者应积极预防个人信息安全风险。对于个人信息保护主要存在两种进路：一是主张赋予权利，二是主张规范个人信息处理行为。个人信息侵权可出现于个人信息处理的多个环节，损害具有普遍性、衍生性和继发性等特点。

对个人信息分类，必然涉及分级。正当原则是对个人信息处理目的的正当性评价，聚焦于个人信息处理目的本身。

必要原则可以防止个人信息处理脱缰。不同场景的处理目的与方式可能会发生变化，如果反复利用告知同意机制，不仅会使用户产生同意疲劳而疲于同意，而且还会增加互联网企业的运营成本。

作为个人信息处理的重要实体原则，正当、必要原则可以弥补日益流于形式的告知同意机制的缺陷。[6]参见［美］伊恩·艾瑞斯：《大数据：思维与决策》，宫相真译，人民邮电出版社2014年版，第63页。{3}程啸：论我国民法典中的个人信息合理使用制度，《中外法学》2020年第4期。准确把握合法、正当、必要原则的规范内涵，并加以正确适用，有利于实现个人信息保护与流通利用的平衡。如《一般数据保护条例》第6条（b）项规定：履行数据主体作为一方当事人的合同，或在订立合同前为实施数据主体要求的行为所必要的数据处理。必要原则包括禁止过度损害和禁止保障不足两大方面。

倘若该项措施有效性很强，相对于成本而言成比例，个人信息处理者就有义务采取该项措施。《信息安全技术个人信息安全规范》规定了征得授权同意的11种例外情形，包括履行法定义务、保障公共利益、履行合同、开展合法的新闻报道、维护产品或服务的安全稳定运行等。

[52]比例原则约束一切国家公权力，属于公法的帝王原则。例如近些年来，移动互联网应用程序（APP）存在过度收集用户信息的现象，APP强制要求用户必须同意读取短信内容、访问通讯录、获取地理位置、获取摄像录音授权等高达数百项的权限。

[1]另有学者研究了个人信息保护中的利益平衡，提出应实现个人、信息业者和国家利益的三方平衡。告知同意原则建立在个人意志自由与意思自治的基础上，体现了对用户权利的尊重，在某种程度上可以防止个人信息滥用。

应当从整体上理解具有内在统一关系的合法、正当、必要原则，不宜无限扩大任何一者的内涵，否则任何一个子原则就可能涵盖其他子原则的内容。从另一个角度而言，如果私主体的个人信息处理违反了比例原则，如个人信息处理目的不正当、超出必要的限度，或没有采取必要的措施保障个人信息安全，监管机构和法院就可能会适用比例原则否定个人信息处理行为。[25]参见广州互联网法院（2019）粤0192民初11652号民事判决书。《网络安全法》第10条、《电子商务法》第30条要求，采取技术措施和其他必要措施，保障网络安全、稳定运行。

目的达成后，应及时删除个人信息。《电信和互联网用户个人信息保护规定》《网络安全法》等对于个人信息的收集范围作了总体性要求。

对于私主体而言，无论是为了公共利益还是私人利益处理个人信息，只要涉及利益冲突，就应实现利益均衡。其第55条要求在处理敏感个人信息、利用个人信息进行自动化决策、委托处理、向第三方提供或公开个人信息、向境外提供个人信息等情形下，均应事前进行评估。

美国旧金山为何禁止官方使用人脸识别技术？，《中国经济周刊》2019年第10期，第103页。第26条规定在公共场所安装图像采集、个人身份识别设备，只能用于维护公共安全的目的。

禁止个人信息处理目的宽泛、抽象。[55]京东法律研究院：《欧盟数据宪章——〈一般数据保护条例〉（GDPR）评述及实务指引》，法律出版社2018年版，第52页。[8]参见万方：隐私政策中的告知同意原则及其异化，《法律科学》2019年第2期，第63—65页。[21]在欧盟，《一般数据保护条例》第5条明确了正当的目的变更条件，规定如果后续数据处理基于第89条第1款，是为了实现公共利益归档目的、科学或历史研究目的、统计目的，不应被视为违背原初目的。

尽管大多数国家和地区已普遍确立了个人信息处理的告知同意机制，但却无法从根本上实质保护个人信息。其第2条适用范围只是排除了部分公共机构的数据处理行为，如排除了有权机关为预防、调查、侦查、起诉刑事犯罪，或为执行刑罚的目的（包括预防与抵御公共安全风险）所进行的个人数据处理。

[13]齐爱民：论个人信息的法律保护，《苏州大学学报（哲学社会科学版）》2005年第2期，第33页。综上，正当、必要原则有助于弥补日益流于形式的告知同意机制的缺陷，可以有效规范告知同意机制的例外情形，有利于破解个人信息权利化的困境。

欧盟《一般数据保护条例》第6条规定了处理个人数据的6种合法性条件，同意仅为其中一种情形。而且，告知同意并非个人信息处理的唯一合法原则，其适用存在的例外情形应受正当、必要原则的实体约束。