一、问题的提出

《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）对国家机关处理个人信息行为采用了一般规定与特别规定相结合的立法模式。该法第二章“个人信息处理规则”共分三节，第一节“一般规定”与第二节“敏感个人信息的处理规则”的区分标准为个人信息的内容，而第一节“一般规定”与第三节“国家机关处理个人信息的特别规定”的区分标准是个人信息的处理主体。第三节首条即第33条概括性地规定：“国家机关处理个人信息的活动，适用本法；本节有特别规定的，适用本节规定。”该法第34条至第37条为特别条款。其中，第34条至第36条侧重于国家机关处理个人信息的程序要求，与一般个人信息处理者相比，并不具有多少特殊性；第37条规定的是经法律、法规授权的具有管理公共事务职能的组织一并适用国家机关处理个人信息的有关规定。

立法资料显示，《个人信息保护法》草案一审稿和二审稿第35条规定“国家机关为履行法定职责处理个人信息，应当依照本法规定向个人告知并取得其同意”，但最终通过的文本只保留了“告知”，却删除了“同意”这一个人信息保护的实质性条件。[1]全国人大宪法和法律委员会关于草案三审稿的修改意见报告并未说明删除的原因。[2]在立法过程中，有学者认为《个人信息保护法》草案一审稿和二审稿第13条已规定“为履行法定职责或者法定义务所必需”情形下处理个人信息无须取得同意，第35条再行规定“同意”会使第13条的相关内容失去独立的法律价值。[3]然而，也有学者看到了“同意”的重要性，认为虽然个人信息处理前的“同意”之真实性难以保障，但个人信息主体的“同意”代表了本人对其个人信息的控制力，欠缺“同意”或否认“同意”属于因噎废食。[4]考诸变化的原因，有学者猜测立法者可能是权衡了第13条与第35条之间的衔接与协调关系，并认为即使第35条规定了“同意”，国家机关为了便于履行职责，不断地扩张解释以扩大除外情形的适用范围，最终也会导致“同意”条款被架空。[5]“告知与同意”是个人信息处理中保护公民个人信息的核心规则，从一审稿和二审稿中的“告知并取得其同意”到正式法律文本仅保留了“告知”，这一立法变化预示《个人信息保护法》实际上在规制国家机关处理个人信息方面力有不逮，若没有更明确、更独立、更专门的法律机制，仅以一条抽象的除外条款就足以悬置国家机关处理个人信息时的权利保护条款。因此，若将一般个人信息处理者与国家机关两类不同主体合体于一部法律，欲毕其功于一役，实则难以达到预期效果，《个人信息保护法》第二章第三节亦将成为摆设。

笔者曾围绕我国个人信息保护的立法模式比较过两份《个人信息保护法》专家建议稿和域外相关立法实践，并提出适宜选择分散立法的个人信息保护模式。[6]2021年《个人信息保护法》颁行后，笔者观察了法律实施后的理论研究和适用实践，认为有必要重提旧事。“我国信息数据资源80%以上掌握在各级政府手里”是一个不争的事实，[7]尤其是庞大的政府数据库存储着海量的个人敏感信息。当下，我国已启用国家网络身份认证公共服务平台，公民通过平台申领网号、网证，申领过程中的个人信息处理行为引发公众的不安和担忧。国家以落实《个人信息保护法》和保障公民个人信息为目标，创制申领网号、网证制度，[8]此举是否具有合法性与正当性？如何防范此过程中个人信息权益被侵害呢？无论如何，我们都不能预先假定政府不会犯错。此外，行政机关在利用个人信息进行自动化决策或执法过程中，当下的《个人信息保护法》能否在适用上实现应用场景全覆盖呢？笔者已观察到有学者将《个人信息保护法》第24条直接平移至对行政机关处理个人信息的规制，但这一观点是否合理还有待论证。[9]由此，更让笔者强烈意识到个人信息保护不应只着眼或满足于《个人信息保护法》，个人信息保护立法的未来着力点应是规制国家机关的个人信息处理行为，探索建立一套既符合个人信息保护的基本机制，又适合中国国情，且行之有效的立法体系。

二、《个人信息保护法》的立法模式解读

《个人信息保护法》是我国个人信息保护立法的集大成者。有观点认为《个人信息保护法》对国家机关和私人组织的个人信息处理活动采用了一体调整的立法模式。[10]还有观点认为《个人信息保护法》采取了统一立法模式，但又将国家机关单列一节，有别于欧盟公私不加区分的统一立法模式。[11]结合《个人信息保护法》立法框架和内容，笔者认为《个人信息保护法》虽在形式上是公私一体的统一立法，但由于国家机关的个人信息处理条款具有宣示性、象征性，该法在实质上仍是一部私法规范，属于单一立法而不是统一立法。

（一）从立法背景看，《个人信息保护法》的规制对象不以国家机关为重点

《个人信息保护法》增加“国家机关处理个人信息的特别规定”，一方面是对《中华人民共和国民法典》（以下简称《民法典》）第1039条内容的再次确认，另一方面也是对各方要求加强国家机关处理个人信息法律规制呼声的积极回应。《关于〈中华人民共和国个人信息保护法（草案）〉的说明》指出，制定本法的必要性是基于现实生活中企业、机构甚至个人从商业利益等出发，随意或违法获取、使用、买卖个人信息等问题日益突出。同时，它对设专节规定国家机关处理个人信息的规则加以说明：“在应对新冠肺炎疫情中，大数据应用为联防联控和复工复产提供了有力支持。为此，草案将应对突发公共卫生事件，或者紧急情况下保护自然人的生命健康，作为处理个人信息的合法情形之一。需要强调的是，在上述情形下处理个人信息，也必须严格遵守本法规定的处理规则，履行个人信息保护义务。”[12]

由此可见，《个人信息保护法》设置国家机关处理个人信息专节是对应对突发公共卫生事件，或者紧急情况下保护自然人的生命健康的一种回应，否则没有必要单独在草案说明中予以特别强调。但从整体上看，《个人信息保护法》的立法过程被设定了浓厚的民法基调，明显缺少了宪法层面的考量。实际上，从《民法典》第1039条开始调整国家机关个人信息处理行为时起，“民法的手就伸得有点长”。[13]《中华人民共和国个人信息保护法（草案）》两次公开征求意见时都没有写“根据宪法，制定本法”，间接反映了立法起草过程中缺乏宪法学者的参与。值得注意的是，全国人大宪法和法律委员会在常委会进行第二次审议后，才建议在第1条中增加“根据宪法，制定本法”。很明显，《个人信息保护法》立法过程中的聚焦点是以互联网企业为代表的私人组织对个人信息的收集与利用，这在很大程度上支配了立法者与参与者的思考方向，也决定了《个人信息保护法》在国家机关处理个人信息规则设定方面的考虑不足。

（二）从法律定位看，《个人信息保护法》是调整个人信息处理行为的基础性立法

就《个人信息保护法》的法律定位而言，有学者认为它是一部保护个人信息的综合性立法，其所包含的个人信息的私法规则与《民法典》构成特别法与一般法的关系，《个人信息保护法》的适用需在《民法典》的体系框架中展开。[14]也有学者将《个人信息保护法》定位于与《民法典》并存的基本法，是保护个人信息的基础性法律，即一种新型的领域立法。[15]上述两个观点是对我国《宪法》和《立法法》所确立的法律位阶体系的错误认知。个人信息的保护需置于特定场景下选择法律适用。在《民法典》所规范的个人信息保护场景内，可将《个人信息保护法》视为《民法典》的具体化，但如果离开这个特定场景，两部法律间并不存在一般与特别的关系。根据我国《立法法》第103条，特别规定与一般规定、新的规定与旧的规定的适用规则仅针对同一机关制定的法律、法规、规章等，发生不一致时，特别规定优先于一般规定、新的规定优先于旧的规定。《民法典》是全国人大制定的基本法律。我国《立法法》虽没明确区分基本法律与一般法律的界限，但就效力而言，根据我国《宪法》第62条和第67条，全国人大制定的基本法律位阶高于全国人大常委会制定的一般法律。也就是说，当《个人信息保护法》与《民法典》不一致时，应以《民法典》为准。因此，这两部法律不可能是一般法与特别法的关系，更不可能是并存的基本法。

有学者认为《个人信息保护法》是数字时代个人信息保护的基本法，具有公法属性，与《民法典》一起形成个人信息保护公法私法共同协力的进路。[16]但是，公法与私法的判断标准在于法律所调整的社会关系和对象的不同，而非法律本身的地位。《个人信息保护法》在个人信息保护领域内具有重要地位，是一部基础性、统领性法律，但并不是一部公法。又有学者认为《个人信息保护法》是领域法，在私法中属于民事单行法，同时又容纳了公法规范。[17]另有学者认为《个人信息保护法》是民法与行政法的交叉型法律，主体是私法规范，与《民法典》之间是特别法与普通法的关系。[18]还有学者认为《个人信息保护法》是数字时代的前沿性法律，亦为领域法属性的数字法律，具有前置性、不完整领域法、不真正附属刑法等特征。[19]甚至有学者直言，《个人信息保护法》兼具公法属性与私法属性已是共识。[20]

上述观点观察到了《个人信息保护法》与民法、刑法以及行政法等部门法的交叉，但事实上，法律规范内容的交叉恰恰反映了《个人信息保护法》居于个人信息保护领域内基础性立法的地位，而不是某一领域内的单行法。除此之外，《个人信息保护法》的调整对象不单纯是行政机关，而是包括所有的国家机关，因此其不仅仅与行政法交叉，同宪法更有相关性。《个人信息保护法》保护的对象是个人信息，从侵权主体来看，个人信息主体既可能遭受私权主体的侵犯，也可能面临公权主体的侵害；从责任形式来看，既可能让侵权者承担民事责任，也可能追究行政责任，还有可能课予刑事责任。由此可见，《个人信息保护法》概括式地规定了可以适用于所有领域的个人信息处理的基本规则，以及个人信息处理中个人的一般权利和处理者的一般义务，但具体如何适用还需结合个人信息所处的具体场景，即个人信息面临的威胁来源以及威胁的程度来确定。因此，从法律定位看，《个人信息保护法》是保护公民个人信息、调整个人信息处理行为的基础性立法，亦是一般性立法。

（三）从法律调整对象看，《个人信息保护法》实质上是规范私权主体的单一立法

表面上，《个人信息保护法》既规范私权主体也规范国家机关，但实质上，其以规范私权主体为目标，是单一立法而不是统一立法。《个人信息保护法》第2条规定：“自然人的个人信息受法律保护，任何组织、个人不得侵害自然人的个人信息权益。”有学者认为该条款中的“任何组织”包含了国家公权力机关。[21]类似的表述还出现在第10条“任何组织、个人不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息”。同时，《个人信息保护法》中的“国家机关”则出现于第33条至第37条以及第68条。

这里的“任何组织”是否包含国家机关呢？如果包含，那么除第33条至第37条的特别规定外，《个人信息保护法》所确立的一般规则是否全部适用于国家机关处理个人信息的活动？它所列举的个人在个人信息处理活动中的所有权利，是否同样对抗国家的信息处理行为？并且，法律责任中的行政处罚和民事侵权赔偿机制是否也全部适用于国家机关？

一方面，应当从立法语言角度观察。立法语言应以简明扼要、无歧义为基本要求。若“任何组织”涵盖国家机关，则法律的全部内容自然适用于国家机关，除非与一般组织相比，国家机关处理个人信息有更严格或特别的要求，那么可以在一般要求的内容上进行叠加，否则无须单独另设“国家机关”相关章节。在没有更严格或特别的要求下，若“任何组织”包含“国家机关”，那么以专节规定国家机关处理个人信息的规则，就极有可能引发作为组织的国家机关与其他一般组织之间在法律适用上的分歧与模糊。

另一方面，必须从法律实施角度审视。个人信息保护涉及两种行为，即个人信息的处理行为和履行保护个人信息义务的行为。违法处理个人信息或未履行个人信息保护义务都应承担法律责任。《个人信息保护法》第七章（第66条至第71条）构建了相应的法律责任和救济条款。在法律责任方面，该法第66条设定了违法行为或不履行保护义务的行政处罚，即由履行个人信息保护职责的部门责令改正、给予警告、没收违法所得、暂停或终止程序服务以及罚款等；第67条设定了记入信用档案并予以公示的惩戒手段；第69条规定了承担赔偿等侵权责任；第71条规定了治安管理处罚或追究刑事责任。在法律救济方面，该法第70条设置了人民检察院或其他法定组织的个人信息公益诉讼制度。上述五个条文的适用主体为泛指的《个人信息保护法》所调整的对象，第68条则特别指向国家机关：“国家机关不履行本法规定的个人信息保护义务的，由其上级机关或者履行个人信息保护职责的部门责令改正；对直接负责的主管人员和其他直接责任人员依法给予处分。”这是对国家机关不履行个人信息保护义务所设定的专门责任条款，属于行政内部责任机制的一种。该条款仅仅规定了国家机关的行政责任，即责令改正或依法处分，而没有涉及国家赔偿责任。如果《个人信息保护法》第68条仅仅针对国家机关不履行保护义务，而不包括国家机关违法处理个人信息的行为，那么当国家机关处理个人信息行为违法时，第66条、第67条、第69条是否同样适用呢？

国家机关处理个人信息活动的最本质特点是“权力行为”，是实现权力职能、履行权力职责的手段，与私人组织或私人处理个人信息活动存在本质区别。国家机关处理个人信息行为属于国家权力行使行为，其必然基于履行法定职责。国家机关包括立法、行政、司法、监察等机关，其中以行政机关处理个人信息最为主要、最为常见。当国家权力行为出现违法情形时，应根据不同权力的属性启动相应的责任追究机制。例如，立法行为不当可以通过合宪性审查或合法性审查加以撤销或改变，行政行为违法可以通过行政复议或行政诉讼加以撤销或确认无效等，对个人信息权益造成损害的可以要求其承担国家赔偿责任。因此，当国家机关作为个人信息处理主体时，《个人信息保护法》第七章所设定的行政处罚责任或民事侵权赔偿责任都无法适用，责令停止营业或纳入信用档案也不可能有适用余地。该法第70条所规定的公益诉讼，如果针对行政机关，则可适用行政公益诉讼，但其他国家机关就无法适用；第71条所规定的治安管理处罚或刑事责任可适用于国家机关的工作人员违法或犯罪行为，但不能适用于国家机关本身。

由此，在国家机关处理个人信息的场景下，《个人信息保护法》无法制裁其违法侵权行为，该法的大部分条款也无法约束其行为。该法第2条和第10条中的“任何组织”在法律实施上实际上排除了国家机关，其更类似于一种法律上对个人信息保护的纲领性或宣示性确认，即任何组织都须保护个人信息，国家机关也不例外。有观点就认为，从《个人信息保护法》的立法结构来看，第2条是原则中的原则，属于最具抽象性与统领性的条款，它的作用在于强化各主体对个人信息保护的认识，并形成相应的约束作用，在个人信息保护规则不够完备的情况下，为《个人信息保护法》的适用提供基础性的参考。[22]显而易见，关于国家机关处理个人信息适用《个人信息保护法》的规定，具有很强的象征性立法色彩。[23]

（四）小结

综上，笔者认为，《个人信息保护法》表面上采用了将国家机关和私人组织一体化规范的立法模式，但这只是通过宣示性的象征条款为我国国家机关处理个人信息活动的单独立法奠定基础。说到底，《个人信息保护法》在实质上仍是一部私法规范，属于单一立法架构。《个人信息保护法》所构建的个人信息处理规则和个人信息保护框架，对于国家机关处理个人信息的活动有立法上的先导性和纲要性。从国家权力角度看，政府是建立和维护个人信息处理规则与秩序的立法者、管理者和裁判者，但其本身又是最大的个人信息处理者，这将极大地考验未来《个人信息保护法》的执行和适用。

三、个人信息保护立法模式选择的宪法逻辑

经全国人大常委会第二次审议后，全国人大宪法和法律委员会在《中华人民共和国个人信息保护法（草案）》审议结果的报告中建议在“制定本法”前增加“根据宪法”，并指出原因在于：“我国宪法规定，国家尊重和保障人权；公民的人格尊严不受侵犯；公民的通信自由和通信秘密受法律保护。”[24]这就是个人信息保护立法的宪法依据。但是，人们对个人信息保护的权利基础这一根本问题依然存在较大分歧，不仅民法学界与公法学界有不同意见，而且公法学界内部即宪法学者和行政法学者也观点不一。在个人信息保护问题中，围绕私权或公权、民事权利或基本权利的争论忽视了权利的本质。将某权利纳入民法或宪法，不能解释为此权利是民法或宪法给予的，而应理解为该权利得到了民法或宪法层面上的确认和保障。个人信息保护立法的权利基础问题是理解和建构个人信息保护法制的关键，也决定着我国个人信息保护制度的未来改革方向。

（一）个人信息受法律保护与个人信息权利之区分

1.从《民法总则》到《民法典》的个人信息保护立法争论

在《民法典》出台之前，《民法总则》已先行生效。围绕《民法总则》第111条，民法学界存在两种主要观点。一是，虽然《民法总则》没有直接表述个人信息权，但第111条已明确了“个人信息权”。自然人这一民事主体对其个人信息享有民事权利的宣示性规定，也是一种确权规定。我国民法已实质性地确立了个人信息权，并将个人信息权作为一项具体人格权来看待。[25]二是，《民法总则》没有使用“个人信息权”的表述，其第111条只是为保护个人信息提供了基本法律依据，[26]个人信息保护采用的是行为规制模式而非权利模式。[27]但也有学者指出，“无论将个人信息理解为权利还是利益，都不妨碍法律将其确定为自然人的人身非财产性质的人格权（权益）且具有支配性特征；其义务主体负有作为和不作为的义务”。[28]还有学者一方面认为“使用个人信息须经信息主体‘同意’暗含着法律认可个人信息由个人支配或控制，个人享有个人信息的使用决定权，包括是否允许他人使用、如何使用”；[29]另一方面又坚持认为《民法总则》“只是宣布个人信息应当受法律保护，并未将个人信息明确为一种具体的人格权”。[30]用未采纳“个人信息权”的立法表述来证明受法律保护的个人信息权益不是一项独立的权利，既显示出思维方式的固化，亦反映了对立法技术的无知。一项权利为何只有法律明确称其为“××权”才是权利？用“受法律保护”来表述难道不是等价的吗？综观《民法总则》第五章“民事权利”，人身自由、人格尊严等使用的都是“受法律保护”，但没有人会认为人身权和人格权不是权利。

《民法典》出台后，《民法总则》第111条过渡为《民法典》第111条，同时，《民法典》人格权编增加“隐私权与个人信息保护”作为单独一章。然而，这一立法并没有解决《民法总则》时期“个人信息权”是否为权利的争论。首先，第111条中的“个人信息受法律保护”立法表述没有改变，过去的争论依然延续。其次，人格权独立成编，其中第六章为“隐私权与个人信息保护”。立法表述采用“个人信息保护”，但又将它与隐私权合并于一章。既然隐私权是一项法定的权利，那么“个人信息保护”究竟是应理解为与隐私权并列的个人信息权，还是应理解为只是个人信息受法律保护呢？问题仍旧回归至上述《民法总则》时期的争论。最后，虽然关于人格权是否需要在《民法典》中独立成编的争论已经尘埃落定，但是学界仍未将个人信息权益的性质厘清，认识反而更为混乱。一部崭新的《民法典》刚制定出来就被质疑存在诸多不能自圆甚至矛盾、重叠的内容，这可能与我国立法过程的开放度不足相关，也可能和不同学术观点都试图影响立法但决策者难以取舍与整合有关。[31]

2.个人信息自决权应作为一种人格权

个人信息是个人信息权保护的客体，犹如人身是人身权利保护的对象一般。当法律明确规定个人信息受法律保护之时起，个人信息相关权利就已是法律明示的权利，就如同人身自由受法律保护必然意味着人身权利的存在。当被问及与个人信息相关的权利属于何种性质的权利，是人格权还是财产权，是绝对权还是相对权时，才需要考虑个人信息这一客体所承载的利益是何种性质的权益。若以法律上没有规定个人信息相关权利或由于个人信息具有公共性等特点，就否认个人信息相关权利的存在，是颠倒逻辑关系的认知。有学者曾以知识产权为参照证成个人信息权属于民事权利，指出个人信息权和知识产权相似，并不是以占有为权利的基点，而是以特定信息的利用行为作为支点，并认为此权包含个人信息利用的知情权、个人信息利用的决定权以及个人信息的完整准确权，且满足绝对权的特征，应融入民事权利体系中绝对权的“大家庭”。[32]个人信息保护指向的是利益，但源于个人对其个人信息有决定权，即信息自决权。个人信息源于个人，首先应服务于个人利益，而个人利益与公共利益的平衡则须以保护个人利益为前提。由于“自主价值提供了信息利用的前提条件”，“个人有权自主决定对自己个人信息的使用方式、内容和范围”，“他人不得以违反本人意愿的方式对个人信息进行处理”。[33]由此可见，尊重和保护个人信息中的自主价值，将授权或同意作为合理使用的一般要件，才能真正发挥个人信息的经济价值和社会价值。

在最终面世的《民法典》中，人格权独立成编，个人信息保护作为其第六章的主要内容被纳入该编。《民法典》第990条是人格权的基础性条款。该条第1款在列举生命权、身体权等具体人格权利的前提下，于第2款又规定了“除前款规定外，自然人享有基于人身自由、人格尊严产生的其他人格权益”。该款构成了“非典型人格法益”，创设了我国民法中的“一般人格权”，而自决地位是人格自由的关键，某些人格标识类自决如“个人信息被遗忘权”就涉及“非典型人格法益”的保护。[34]因此个人信息自决权应视作一种人格权，这样就可以在借鉴知识产权的权利结构的基础上，解决个人信息上财产利益的保护问题。与知识产权类似，个人信息自决权的规制焦点应当是对客体的利用行为，并在这些利用方式上设置排他性的权利。[35]笔者赞同将个人信息保护纳入人格权编，但并不否认个人信息具有财产利益属性，当个人信息体现财产性价值时，依财产权保护的法律规则确定其保护程度即可。简单地讲，个人信息保护之所以需要单独规定，恰恰是因为个人信息内容涉及人格利益，此时需要运用特殊的个人信息保护原理与立法予以保障。

（二）以民事权利为基础的立法不足以保护个人信息

个人信息的收集，即使是匿名并经过处理的，仍有可能侵犯人的尊严，因为信息收集与处理过程把人当成了客体，人由此异化为各种信息的集合。在个人信息的收集、处理和利用过程中，法律必须保障个人人格自由的内在领域。恰如有学者所言：“人的尊严是整合法律体系的基础规范，是一种不可随意修正的永久规范。”[36]数字信息技术的快速发展必然对个人的人格产生巨大的影响，如果一个人不知道或不能充分预料到自己的哪些信息会被披露，或不知道别人对自己了解多少时，将会极大地影响其诸多决定和行为，他也许不再参与非必要的社会活动，不再积极地行使某些权利，如表达自由、职业自由或信仰自由等，这意味着他的个性自由发展受到限制，而个人的自觉和自由发展无疑是一个自由社会不可或缺的要素。

周汉华教授是以公法视角研究个人信息的先行者。他认为，个人信息权利是个人对与自己有关的各种信息进行收集、储存、传播、修改等行为所享有的决定权和控制权，属于一项宪法上的基本权利。[37]另有学者指出将宪法上的个人信息受保护权作为权利基础，对我国个人信息保护法律体系具有三个方面的优化意义，即厚基础、全覆盖和规范化。[38]受保护的个人信息的本质究竟是权利还是权益，在民事立法中产生了诸多争论。周教授认为，产生歧见的根源就在于将人格权与个人信息保护这两项根本不同的制度强行并列，并试图以传统民事权利话语体系来界定个人信息保护。他进一步指出，个人信息保护法须将个人信息控制权确立为一项新型的公法权利，[39]个人信息保护立法不应也不能回避基本权利话语。[40]

随着信息技术的发展，人类进入智慧社会，以数字人权为代表的“第四代人权”应运而生，国家需要为其提供有效的法治化保障。[41]在这一认识的基础上，个人信息保护立法的逻辑前提应立足于宪法上基本权利的保障，而不是一般的民事权利的保护。当公安部推行网号、网证制度并通过制定部门规章的形式来确认权力合法性时，对相关行政权的约束显然无法通过《个人信息保护法》得以实现，更不可能通过《民法典》来规制，盖因其不在两部法律的规范射程之内。

（三）重申个人信息保护立法应以基本权利为基础

民法学界关于个人信息保护之权利基础的研究成果极为丰富，公法学界的理论产出虽处于明显的下风，但亦有不少学者持续输出意见。王锡锌教授关于个人信息保护的著述颇丰，是公法领域个人信息保护研究的扛鼎者。他认为个人信息保护并非是保护个人对其个人信息的控制性人格权益，而是为了规制个人信息处理风险，防范与救济信息处理和利用活动中可能产生的侵害。所以应从宪法、民法与行政法维度形成防范各类风险、辐射信息处理全流程、公法与私法多元手段协同的个人信息保护机制。[42]但这样的分析，一方面显示出研究维度的不全面，如遗漏了刑法层面的保护，另一方面忽视了任何权利的保护机制本身就是多维度的。其实，无论进行何种保护，首先需要确定的是保护的权利基础。针对个人信息保护的权利基础，王教授提出了“个人信息受保护权”，并将其定位于《宪法》第38条人格尊严条款涵盖的基本权利。[43]他进一步指出，将个人信息作为私权客体的权利保护模式存在规范逻辑与制度功能上的局限，面对数据平台和国家机关所拥有的强大数据权力，通过私法路径和方式，很难为个人信息提供充分、全面和有效的保护。因此他认为，个人信息保护的宪法基础是国家所负有的保护义务，个人信息保护义务对应的是“个人信息受保护权”这一基本权利。[44]王教授将个人信息保护的权利基础定位于基本权利，但把原因归于私法保护不足，存在对基本权利的误读。在权利属性与权利保护的关系上，应当是权利属性决定保护方式，而不是保护方式决定权利属性。基本权利并不意味着只得到宪法的保护，而民法保护的也不只是民事权利，如财产权是纳入宪法的基本权利，而财产权则大多通过民事法律进行保护。

然而，也有学者认为需要反思和重塑个人信息的国家保护义务理论，如李海平教授认为《个人信息保护法》在立法体例上将国家机关和私主体一体化规范，且设定了个人信息处理者要遵循比例原则、正当程序原则、平等原则等公法原则，由此，作为私主体的信息处理者当然会承担这些公法原则衍生而来的公法义务。进而，他指出国家保护义务理论无力解释作为私主体的信息处理者何以承担公法义务，并认为基于国家保护义务理论的个人信息受保护权以受保护为权利内容，其内容高度依赖于立法形成，这在宪法上成了形式化和空心化的权利。因此，李教授提出适度延伸个人信息基本权的效力范围，并坚称《个人信息保护法》在形式上已确认了基本权利对私主体个人信息处理行为的直接效力。[45]笔者认为，私权主体与公权主体分别承担私法义务与公法义务，个人信息处理活动中的私主体不可能承担公法义务，以公私领域都可通用的原则推导出私主体的公法义务并反思国家保护义务理论的恰当性，这本身也值得反思。

无论是高举国家保护义务理论，还是反思国家保护义务理论的不足，都忽视了保护的源头，即权利本身。在确认某项权利为宪法上基本权利的前提下，基于基本权利理论的发展才有了国家保护义务之说。在基本权利功能的分类与诠释方面，耶利内克的“身份理论”被视为基础性理论。[46]在其1892年出版的代表作《主观公法权利体系》中，个人在国家中有四种不同的地位或身份：（1）服从地位（个人只有义务）；（2）消极地位（个人的自由身份）；（3）积极地位（国家的成员资格）；（4）主动地位（设置国家机关的主体）。第一种身份是个体对国家的服从，不可能支持个体的公法权利。与后三种身份相对应的，分别是基本权利所具有的防御权、给付权以及参与权。[47]张翔教授关于基本权利双重功能的一系列研究，其理论来源也是德国宪法理论中的基本权利功能体系。[48]基本权利有主观权利维度和客观法维度，客观法维度的接受方是国家权力，是作为国家义务的基本权，有义务作为或不作为，而主观权利维度的接受方是每个人，作为个人权利的基本权，要求国家作为或不作为。[49]

个人信息国家保护义务理论的讨论须以其基本权利属性的证成为前提，因此，个人信息保护立法首先需要确立的是权利基础，即保护何种权利。张翔教授基于对区分保护论和支配论的反思证成了“个人信息权”的宪法价值，并认为应将个人信息权确立为宪法位阶的基本权利。他还通过人权条款笼罩下的通信权和人格尊严条款，证成了“基本权利束”性质的个人信息权。[50]笔者也曾论证个人信息自决权属于一项基本权利的正当性，并认为其属于宪法未列举之基本权利。[51]然而，在民法学界强调以民事权利为基础研究个人信息保护时，宪法学与行政法学界对个人信息保护的观点亦存在一些混乱。在此笔者想重申，个人信息保护立法应以基本权利为基础，高瞻于宪法视野，而不要局限于民法范畴。至于将这个权利命名为“个人信息自决权”还是“个人信息权”，抑或是“个人信息受保护权”“个人信息权利”“个人信息控制权”等，其实都没有本质性的区别（基于前期研究和使用习惯，笔者于本文中沿用“信息自决权”概念）。

在法学领域内，对于个人信息保护的权利基础这一基本问题，应达成如下共识：一是，民法所保护的是权利免受来自私权主体的侵害，而宪法重在保护权利免受来自公权主体的侵害；二是，民事权利与宪法上的基本权利不是独立、并行的关系，二者不应非此即彼，而是由基本权利决定民事权利，民事权利的尽头是基本权利；三是，基本权利与民事权利保护的法律面向与价值不同。具体来说，基本权利除了确认其最高位阶的保护地位外，更重要的在于对该权利的保护，一方面是防御国家公权力的侵害，即基本权利的消极保护面向，另一方面是国家有义务防止该权利被他人侵犯，即基本权利的积极保护面向；而民事权利则仅从民法面向避免此权利受到私权主体的侵害，这本身也是国家通过民事立法保护公民基本权利的体现。区分民法与宪法的权利，并不意味着必须两者选其一，而是在权利保护的视角上要区分民法与宪法，民法上的权利保护重在确保权利不受另一私权主体的侵犯，而宪法上的权利保护则是重在防止权利受到公权力主体的侵犯。以基本权利作为个人信息保护立法基础的核心在于，通过信息自决权的基本权利防御功能和国家保护义务，构建出一幅个人信息保护立法的全景图。

（四）个人信息保护立法完善的宪法要求

就近代立宪主义精神，限制权力与保障权利应是具有高度共识的两项宪法价值。两者之中，限制权力是手段，保障权利是目的。限制权力不是为了限制而限制，限制的目的在于保障公民权利，而保障公民权利并不意味着一味地对国家权力进行缩减。个人信息自决权的保障与政府管理权力的限制在每一个具体事件中都需要守住宪法价值，这是个人信息保护立法的宪法前提。[52]

1.国家保护公民个人信息的最佳状态：保持权利与权力的动态平衡

宪法的精髓在于恰当处理公民权利与国家权力之间的对立统一关系，宪法有效实施的标志正是公民权利与国家权力之间的良性互动与协调。在公民个人信息自决权与政府收集、储存以及使用个人信息等处理行为的互动结构中，可以实现且比较理想的状态是，个人信息自决权与国家公权力之间呈现强弱对比但又不失平衡，并且它们在不同领域和不同时期都能有效互动且适时调整力量对比关系。若要实现这样的平衡状态需要诸多因素的合力作用，但有两样东西不能少。一是法治规则。权力须有界限，而此界限由一国宪法与法律加以设定。国家公权力在收集、储存以及使用个人信息的任何一个环节都应有法律的明确授权，并遵循权力运行的法定程序。二是妥协精神。无论是权利还是权力都须有妥协的勇气和智慧，权利不是一味索取，而权力也不是一味掠夺。当政府的权力与公民的权利之间形成动态平衡时，社会才有可能趋于和谐并充满活力与生机。公民为了保护自身的个人信息，在充分掌握自己信息的选择权与控制权的同时，也需要兼顾公共利益的需求，甚至为之牺牲自己的部分权益，同时，当国家公权力为了实现统治与管理职能而收集、储存与使用个人信息时，也需要止步于绝对不能侵犯的公民个人信息领域。

2.国家保护公民个人信息的基准：控制权力运行与防止权利滥用

国家保护公民个人信息的基准有两个维度：一是公民权利有足以制约国家权力的能力；二是国家权力足以防止公民权利的滥用。众所周知，权力是一把双刃剑，一方面，人们希冀通过强大的权力来维护社会发展，形成有序的社会生产与生活状态，努力避免无政府状态，但另一方面，强势权力一经产生就有可能失控。权力和权利的运动规律是，“权利既要赋予权力行使者足够的权力，以保障权利，也要注意对权力予以必要的制约，以控制权力的范围；权力的界限既不能过大，不是越强的权力就越好，也不能过小，不是越小的权力就越好”。[53]本源上，国家权力源于人民权利，这决定了国家权力天然地应接受公民权利的制约。任何一个制度的构建，首先必须保证公民有足够的监督与控制能力来制约国家权力，确保国家权力维护和促进而不是损害社会整体利益。在设计个人信息立法保护制度的过程中，上述两个基准一个都不能少，但两者中，前者为首要基准，必须优先满足。为满足公民权利足以制约国家权力这一基准，国家在设计个人信息保护的立法、执法和司法制度时，需要满足合法性、合理性的要求。国家权力的取得必须合法化，未经正当程序的授权就不能产生新的国家权力，国家权力必须受制于公民权利，国家权力的自由裁量同样不得侵犯公民权利。

四、国家机关处理个人信息行为单独立法的必要性及思路

自2000年全国人大常委会通过《关于维护互联网安全的决定》以来，经过二十余年个人信息保护立法的研究与建设，制度成果已较充分地通过《刑法》《民法典》《网络安全法》《数据安全法》等法律予以体现，《个人信息保护法》则是个人信息保护立法的集大成者。当前围绕个人信息保护的立法及其理论有如下趋势：一是以民法视角的讨论为主流；二是以数据产业化为导向，鼓励个人信息的处理和交易；三是轻视个人信息的人格利益而过于强调其财产属性；四是个人信息保护立法侧重于私权领域的控制而忽视公权领域的规范。“一国法律生活中，最基本的关系是权利和权力的关系，最基本的矛盾是权利与权力间的矛盾，具有全局性。”[54]个人信息保护的权利基础应是基本权利而不是民事权利，个人信息保护的立法也不应只是以规范一般个人信息处理者为主的《个人信息保护法》，而应对公权力领域内的个人信息处理和利用进行充分的回应并加以规制。

（一）规制公权力领域个人信息处理行为的必要性

有民法学者早就提出民事权利有控制国家权力的功能。[55]还有民法学者认为，在宪法不能全然发挥作用的前提下，立法者应有野心通过编纂《民法典》发挥宪法功能，使其展示更大威力。[56]然而，《民法典》和《个人信息保护法》都不足以也不可能调整公权力领域内的个人信息处理行为，“民事法律关系的内容是权利与权利，应避免使用权力之类术语来定义其内部组织或描述其功能。在数字化时代，《民法典》应着力保障在数字化背景下备受威胁的个人隐私权，促进民事主体实质性享有平等的发展权利，但不宜承担公法功能”。[57]

我们应当从基本权利出发，协调和平衡个人信息在多种场景下的多种利益冲突、保护和利用。当个人信息自决权作为基本权利时，既要强调国家不侵犯它的消极义务，也要强调国家保护它的积极义务，如履行建立个人信息保护的制度、组织和程序以及救济等职责，进而形成个人信息保护的完整立法体系。为应对现代化进程中的社会风险，公共空间大规模监控的运用体现了风险治理从个人本位走向社会本位的转变趋势，并促进了个人信息保护从自主支配到有序共享的逻辑转换。不过，国家必须确保社会安全保障与个人信息保护之间的适当平衡，加强个人信息收集、存储、使用的阶段性控制，建立个人信息合理使用制度，实现个人信息的有序共享。[58]公民在大规模的监控社会中无所遁形，不断地被分类，从而失去个性、自由。正如有学者指出的：“信息自决权理论，不仅有助于我们在信息化时代下强化对国家过度收集和不当使用个人信息的防御，藉由这一理论同样能够将在民法、刑法以及行政法领域内分别展开个人信息保护，有效地统合于宪法的整体秩序下，并最终实现对个人信息保护制度的体系化构建。”[59]

数字技术的发展催生了数字权力，数字权力与国家权力的结合则极易形成监控型国家。监控型国家是信息国家的一种特殊情形，这不是一种国家形态，而是一种治理方式，是信息技术加速发展和应用的必然结果，因此，关键问题不是是否会出现一个监控型国家，而是在于我们将拥有何种监控型国家。政府最重要的方法不再是监视或威胁启动监视，而是分析与勾勒数据间的联系，而这些都发生于被监控者毫不知情的情况下。最好的隐私保护是遗忘，但是监控型国家是一个永不遗忘的国家。[60]由于数字技术治理的异化和基层治理的简约化动机，数字化公权力在其天然扩张性驱使下向其最大边界滑动，延伸到社会和个人生活的精细之处，直至将个体异化为被数字控制的对象。[61]

（二）个人信息保护立法模式的不同选择

各国在个人信息保护的探索中，呈现出不同的立法选择和价值判断，个人信息保护的立法模式也各不相同。有学者认为个人信息保护与利用有两种模式，一是欧盟经验，即国家立法模式；二是美国经验，即企业自律模式。[62]也有学者将世界各国个人信息保护的立法模式概括为统一立法模式、分散立法模式、行业自由模式、安全港模式。[63]法律是一个国家政治、经济、文化的现实镜像，每一个国家的个人信息保护立法都有其自身的特色。因此，立法模式只能是一种整体上的大致分类，而不可能存在两个完全相同的个人信息立法保护模式的国家。采用欧盟式统一立法模式的，在同一部法律中，有公私不加区别的，如奥地利、波兰、阿根廷，也有分章来区分公私的，如德国。采用美国式分散立法模式的，在规范公共权力时通常采用单独立法，而对私权主体领域的规制则很少采用单独立法的方式。不过，最值得作为立法参考对象的是邻国日本与韩国。

日本的个人信息保护立法从对电子化政府的规制开始，1988年该国《行政机关计算机处理个人信息保护法》出台。在法律适用的范围与立法理念上，它吸收了美国1974年《隐私法》的精髓，一方面突出公民避免来自公权力侵犯的立法理念，另一方面仅限适用于行政机关处理个人信息的行为。但是，从法律内容看，其又充分体现了1980年经济合作与发展组织（OECD）隐私保护指导原则的基本精神与内容。[64]随着1995年欧盟《个人数据保护指南》的通过，日本政府深感国内仅适用于行政机关的个人信息保护法制水准赶不上欧盟水平，也深恐给日本在欧洲的贸易市场带来不利影响，遂开始着手个人信息保护法制的改革。2003年是日本个人信息保护立法的分水岭，立法成果最终以《个人信息保护法》《行政机关个人信息保护法》《独立行政法人个人信息保护法》《信息公开、个人信息保护审查会设置法》《行政机关个人信息保护法等施行准备法》等五部关联法的面貌呈现。上述五部法中的《个人信息保护法》从名称上看，应当归类为一部综合性的法律，即不区分公私领域，但就其内容看，是一部专门规范当信息处理主体为“个人”时应该如何保护个人信息的普通法。[65]可以说，日本《个人信息保护法》是一部兼具普适性与个别性的独特法律，兼采欧洲型立法及美国型立法之长。[66]2020年，日本《个人信息保护法》迎来大修，整合了其他个人信息保护的相关法律。此后，新一轮修改又再启动，日本于2022年5月18日前完成了《个人信息保护法》《行政机关个人信息保护法》《独立行政法人个人信息保护法》的一体化，2023年5月19日前完成了《个人信息保护法》和各地方公共团体的个人信息保护立法的一体化。[67]

从20世纪80年代开始，韩国着手就特定领域内的个人信息保护进行单独立法，如1983年制定了《电子通信基本法》，后又陆续在贸易业务自动化、金融实名交易及秘密保障等领域进行个人信息的立法保护。1994年，韩国制定了《公共机关个人信息保护法》，并于1999年进行局部修订，该法的制定对于韩国个人信息保护制度具有里程碑的意义。彼时，韩国并没有制定综合性的个人信息保护法律，《公共机关个人信息保护法》是韩国个人信息保护的基础性法律。根据该法的规定，对于公共机关以外的个人或团体处理个人信息的行为，必须参照适用公共机关处理个人信息的规则。2011年，韩国《个人信息保护法》获得通过，将之前的分散立法模式过渡到统一立法模式。[68]

（三）我国宜采用分散立法模式并着力于行政领域内的单独立法

我国个人信息保护的立法路径是刑事立法先行，其他部门法跟进，最终集中立法形成《个人信息保护法》，基本建成了一套较为完备的个人信息保护法律体系。在刑事立法层面，2009年《刑法修正案（七）》规定了出售、非法提供公民个人信息罪和非法获取公民个人信息罪，2015年《刑法修正案（九）》又取消了原先两个具体罪名，规定了一个外延更大、更概括的罪名，即侵犯公民个人信息罪。在民事立法层面，2017年《民法总则》第111条率先规定了个人信息保护，2020年《民法典》人格权编进行了拓展性制度建构，将隐私权和个人信息保护以专章进行规定，确立了个人信息保护在私法上的基础性制度。

在《个人信息保护法》出台前，关于我国个人信息保护采用何种立法模式，在学界上有统一立法和分散立法两种观点，前者以欧盟为典型，即让一部法律同时适用于公权与私权主体，后者以美国为典型，即针对公权与私权主体分别立法。三部由专家学者起草的个人信息保护法建议稿，均采用了统一立法模式。对公权主体而言，齐爱民稿使用了国家机关但未列明法律、法规授权的组织的提法；周汉华稿采用了政府机关以及法律、法规授权的具有行政职能的组织的提法；张新宝与葛鑫稿则采用了政务部门和政府部门及法律、法规授权具有行政职能的组织的提法，同时又规定了权力机关、审判机关、检察机关、军事机关等国家机关参照政务机关。[69]从形式看，2021年《个人信息保护法》采用了统一立法模式，并以专节内容规定国家机关处理个人信息活动。但如前文所述，国家机关处理个人信息行为的规制仅是表面上的，是象征性立法。立法机关或许有苦衷，但至少表明其注意到了对国家机关处理个人信息活动进行法律控制的必要性，可是对其如何进行控制仍是一个未完成的课题。

当前，我国个人信息保护的立法模式宜采用分散立法模式，国家机关以及准国家公权组织与私人组织应分别置于不同法律部门中，用不同法律规范进行调整。笔者一直持分散立法的观点并建议优先制定行政领域内的个人信息保护规范。[70]在《个人信息保护法》实施后，应当调整公权力领域的个人信息处理行为，对国家机关的个人信息处理行为进行单独立法，而不只是满足于《个人信息保护法》的五个条文。根据《个人信息保护法》第34条的规定，国家机关处理个人信息属于“履行法定职责”的行为，再结合该条中根据“法律、行政法规”处理，可以确定“法定职责”的“法”应是法律和行政法规。从基本权利保护出发，基于保障宪法上“人的尊严和通信自由与秘密”之目的，国家机关涉及个人信息处理的事项应为法律保留事项，必须由全国人大及其常委会制定法律，或经其授权由国务院制定行政法规。

日韩两国的个人信息保护立法进程对我们有极大的启发，它们都以分散立法为先导，并以规范公共机关的个人信息处理行为为重点。我国《个人信息保护法》与2003年日本《个人信息保护法》的法律定位更加类似，盖因它们具有普适性、统领性与基础性的保护功能。日本以日本《个人信息保护法》为基础，对国家行政机关、地方公共团体、独立行政法人等分别制定不同的个人信息保护配套法规，并在信用、医疗、电信、教育等领域制定专门法，以之适用于不同的个人信息保护内容。[71]自2021年起，日本开始追求立法统一化，将以往分散制定的单行法律进行整合，使得日本《个人信息保护法》的条文从88条增至185条，由此形成统一的立法模式。“日本将从横向上统一目前‘官民分治’的法律体系，也将从纵向上统一国家与地方的法规，建立独立一元的监督机构，在保护个人权利的同时，也促进数据的使用和活用。”[72]

分散立法先行，待各领域立法成熟后进行科学整合，形成统一立法的模式，是值得我国借鉴的个人信息保护立法的路径。以《个人信息保护法》为统领，积极且持续地制定和完善不同领域的单行法律。行政领域内个人信息立法保护严重不足，明显落后于民事与刑事领域的立法。笔者建议先从最紧迫同时又具可操作性的行政领域内的个人信息保护立法研究与建设着手。

【注释】

[1]《〈个人信息保护法〉全文与各次审议稿对照》， https://m.thepaper.cn/baijiahao_14150253，2025年1月20日访问。

[2]参见江必新：《全国人民代表大会宪法和法律委员会关于〈中华人民共和国个人信息保护法〉（第三次审议稿）修改意见的报告》（2021年8月19日在第十三届全国人民代表大会常务委员会第三十次会议上），载《中华人民共和国全国人民代表大会常务委员会公报》2021年第6号。

[3]参见程啸：《论我国个人信息保护法中的个人信息处理规则》，载《清华法学》2021年第3期。

[4]参见张新宝、葛鑫：《个人信息保护法（专家建议稿）及立法理由书》，中国人民大学出版社2021年版，第190-191页。

[5]参见周汉华主编：《个人信息保护法条文精解与适用指引》，法律出版社2022年版，第237页。

[6]参见姚岳绒：《宪法视野中的个人信息保护》，法律出版社2012年版，第312-323页。

[7]参见《李克强：信息数据“深藏闺中”是极大浪费》， https://www.guancha.cn/economy/2016_05_15_360316.shtml, 2025年1月4日访问。

[8]国家网络身份认证公共服务是指国家根据法定身份证件信息，依托国家统一建设的网络身份认证公共服务平台，为自然人提供申领网号、网证以及进行身份核验等服务。规定此事项的《国家网络身份认证公共服务管理办法》由公安部部务会议审议通过，并经国家网信办、民政部等部门同意公布，自2025年7月15日起实施。

[9]参见王明敏：《行政机关利用个人信息进行自动化决策的合宪性检视》，载《法学》2025年第2期。

[10]参见王锡锌：《行政机关处理个人信息活动的合法性分析框架》，载《比较法研究》2022年第3期。

[11]参见丁晓东：《〈个人信息保护法〉的比较法重思：中国道路与解释原理》，载《华东政法大学学报》2022年第2期。

[12]刘俊臣：《关于〈中华人民共和国个人信息保护法（草案）〉的说明》（2020年10月13日在第十三届全国人民代表大会常务委员会第二十二次会议上），载《中华人民共和国全国人民代表大会常务委员会公报》2021年第6号。

[13]《民法典》第1039条规定国家机关不得泄露或向他人非法提供自己所知悉的个人信息。然而，国家机关的个人信息处理行为不应成为民法调整的对象，这在民法学界是有共识的。官方释义书就承认：“从严格意义上讲，本条关于国家机关、承担行政职能的法定机构及其工作人员在履行职责过程中承担对自然人的隐私或者个人信息保密义务的规定不属于民法典规定的内容。”黄薇主编：《中华人民共和国民法典释义》（下），法律出版社2020年版，第1934页。

[14]参见王利明：《论〈个人信息保护法〉与〈民法典〉的适用关系》，载《湖湘法学评论》2021年第1期。

[15]参见龙卫球：《〈个人信息保护法〉的基本法定位与保护功能——基于新法体系形成及其展开的分析》，载《现代法学》2021年第5期。

[16]参见汪庆华：《个人信息权的体系化解释——兼论〈个人信息保护法〉的公法属性》，载《环球法律评论》2022年第1期。

[17]参见何松威：《论领域法的私法研究范式——以〈个人信息保护法〉研究为例》，载《当代法学》2022年第4期。

[18]参见石佳友：《个人信息保护法的私法维度——兼论〈民法典〉与〈个人信息保护法〉的关系》，载《比较法研究》2021年第5期。

[19]参见童云峰：《个人信息保护法与侵犯公民个人信息罪的衔接机制》，载《中外法学》2024年第2期。

[20] 参见丁晓东：《〈个人信息保护法〉的比较法重思：中国道路与解释原理》，载《华东政法大学学报》2022年第2期。

[21]参见蒋红珍：《〈个人信息保护法〉中的行政监管》，载《中国法律评论》2021年第5期。

[22]参见周汉华主编：《个人信息保护法条文精解与适用指引》，法律出版社2022年版，第41页。

[23]参见王锡锌：《行政机关处理个人信息活动的合法性分析框架》，载《比较法研究》2022年第3期。

[24]江必新《：全国人民代表大会宪法和法律委员会关于〈中华人民共和国个人信息保护法（草案）〉审议结果的报告》（2021年8月17日在第十三届全国人民代表大会常务委员会第三十次会议上），载《中华人民共和国全国人民代表大会常务委员会公报》2021年第6号。

[25]参见陈甦主编：《民法总则评注》（下册），法律出版社2017年版，第785页；杨立新：《个人信息：法益抑或民事权利——对〈民法总则〉第111条规定的“个人信息”之解读》，载《法学论坛》2018年第1期；叶名怡：《论个人信息权的基本范畴》，载《清华法学》2018年第5期。

[26]参见王利明主编：《中华人民共和国民法总则详解》（上册），中国法制出版社2017年版，第456页。

[27]参见叶金强：《〈民法总则〉“民事权利章”的得与失》，载《中外法学》2017年第3期。

[28]张新宝：《〈民法总则〉个人信息保护条文研究》，载《中外法学》2019年第1期。

[29]高富平：《个人信息保护：从个人控制到社会控制》，载《法学研究》2018年第3期。

[30]高富平：《论个人信息保护的目的——以个人信息保护法益区分为核心》，载《法商研究》2019年第1期。

[31]2017年11月，我国立法机关草拟了《中华人民共和国民法人格权编（草案）（室内稿）》。它是立法机关工作部门提出的内部讨论稿，未曾公开，仅向部分学者征求意见，后因人格权立法的争论而意外公开，成为一个公开的秘密。虽然后来学界针对该编章节体系和具体内容的争论非常激烈，但直到2020年全国人大最终审议前，仍有不少关键问题未达成共识。参见杨立新：《民法分则设置人格权编的法理基础——对人格权编不能在民法分则独立规定四个理由的分析》，载《中国政法大学学报》2018年第4期。

[32]参见吕炳斌：《个人信息权作为民事权利之证成：以知识产权为参照》，载《中国法学》2019年第4期。

[33]谢远扬：《信息论视角下个人信息的价值：兼对隐私权保护模式的检讨》，载《清华法学》2015年第3期。

[34]参见温世扬：《〈民法典〉视域下的一般人格权》，载《中国法学》2022年第4期。

[35]参见吕炳斌：《个人信息权作为民事权利之证成：以知识产权为参照》，载《中国法学》2019年第4期。

[36]胡玉鸿：《人的尊严的法律属性辨析》，载《中国社会科学》2016年第5期。

[37]参见周汉华：《中华人民共和国个人信息保护法（专家建议稿）及立法研究报告》，法律出版社2006年版，第66页。

[38]参见王锡锌、彭錞：《个人信息保护法律体系的宪法基础》，载《清华法学》2021年第3期。

[39]参见周汉华：《个人信息保护的法律定位》，载《法商研究》2020年第3期。

[40]参见周汉华：《探索激励相容的个人数据治理之道——中国个人信息保护法的立法方向》，载《法学研究》2018年第2期。

[41]参见马长山：《智慧社会背景下的“第四代人权”及其保障》，载《中国法学》2019年第5期。

[42]参见王锡锌：《个人信息权益的三层构造及保护机制》，载《现代法学》2021年第5期。

[43]参见王锡锌、彭錞：《个人信息保护法律体系的宪法基础》，载《清华法学》2021年第3期。

[44]参见王锡锌：《个人信息国家保护义务及展开》，载《中国法学》2021年第1期。

[45]参见李海平：《个人信息国家保护义务理论的反思与重塑》，载《法学研究》2023年第1期。

[46]参见李建良：《宪法理论与实践》（三），新学林出版2004年版，第1-71页。

[47]参见[德]格奥格·耶利内克：《主观公法权利体系》，曾韬、赵天书译，中国政法大学出版社2012年版，第87-171页；徐以祥：《耶里内克的公法权利思想》，载《比较法研究》2009年第6期。

[48]参见张翔：《基本权利的双重性质》，载《法学研究》2005年第3期；张翔：《论基本权利的防御权功能》，载《法学家》2005年第2期；张翔：《基本权利的受益功能与国家的给付义务——从基本权利分析框架的革新开始》，载《中国法学》2006年第1期。

[49]参见[德]福尔克尔·埃平、塞巴斯蒂安·伦茨、菲利普·莱德克：《基本权利》（第8版），张冬阳译，北京大学出版社2023年版，第5页。

[50]参见张翔：《个人信息权的宪法（学）证成——基于对区分保护论和支配权论的反思》，载《环球法律评论》2022年第1期。

[51]参见姚岳绒：《论信息自决权作为一项基本权利在我国的证成》，载《政治与法律》2012年第4期。

[52]参见姚岳绒：《宪法视野中的个人信息保护》，法律出版社2012年版，第291-305页。

[53]湛中乐、肖能：《论政治社会中个体权利与国家权力的平衡关系——以卢梭社会契约论为视角》，载《政治与法律》2010年第8期。

[54]童之伟：《法权说对各种“权”的基础性定位》，载《学术界》2021年第2期。

[55]参见徐国栋：《民法典与权力控制》，载《法学研究》1995年第1期。

[56]参见王涌：《民法典编纂的雄心、野心与平常心》，载微信公众号“中国民商法律网”, https://mp.weixin.qq.com/s/Y45AocpGuXU0-EHX8VZ5kQ, 2025年1月20日访问。

[57]童之伟：《宪法与民法典关系的四个理论问题》，载《政治与法律》2020年第5期。

[58]参见刘艳红：《公共空间运用大规模监控的法理逻辑及限度——基于个人信息有序共享之视角》，载《法学论坛》2020年第2期。

[59]赵宏：《从信息公开到信息保护：公法上信息权保护研究的风向流转与核心问题》，载《比较法研究》2017年第2期。

[60]参见[美]杰克·巴尔金：《基于信息的治理：美国宪法能否回应大数据时代的挑战？》，康向宇译，载张志铭等编：《师大法学》第1辑，法律出版社2019年版，第51-72页。

[61]参见郭春镇：《对“数据治理”的治理：从“文明码”治理现象谈起》，载《法律科学》2021年第1期。

[62]参见张新宝：《隐私权的法律保护》（第2版），群众出版社2004年版，第140页。

[63]参见齐爱民：《拯救信息社会中的人格》，北京大学出版社2009年版，第177-194页。

[64]参见[日]野村好弘：《情报公开和个人情报的保护》，肖贤富译，载《环球法律评论》1992年第1期。

[65]根据日本2003年《个人信息保护法》第2条的规定，“个人信息处理业者”是指将个人信息数据库用于其业务的当事人，但国家机关、地方公共团体、独立行政法人以及对个人权利利益造成危害的可能性较小且由政令规定的当事人除外。参见周汉华主编：《域外个人数据保护法汇编》，法律出版社2006年版，第366页。

[66]参见[日]宇贺克也：《个人情报保护法法制》，有斐阁2019年版，第14-15页；[日]宇贺克也：《个人情报保护法逐条解说》（第6版），有斐阁2018年版，第26页。转引自黄柏：《日本〈个人信息保护法〉的最新修改及动向》，载李成玲主编：《日本法研究》第7卷，延边大学出版社2021年版，第101页。

[67]参见《個人情報保護法改正の概要》， https://www.pref.fukuoka.lg.jp/contents/kojinjohohogoseido-kaisei.html, 2025年4月15日访问。

[68]参见林宗浩：《韩国隐私权的宪法保护》，载《太平洋学报》2009年第7期；林宗浩、张倩：《韩国个人信息保护法制的经验与启示》，载周长军主编：《山东大学法律评论》（日韩法专辑），山东大学出版社2019年版，第316-327页。

[69]参见周汉华：《中华人民共和国个人信息保护法（专家建议稿）及立法研究报告》，法律出版社2006年版，第3-10页；齐爱民：《中华人民共和国个人信息保护法学者建议稿》，载《河北法学》2019年第1期；张新宝、葛鑫：《个人信息保护法（专家建议稿）及立法理由书》，中国人民大学出版社2021年版，第177页、第250页。

[70]参见姚岳绒：《宪法视野中的个人信息保护》，法律出版社2012年版，第312-354页。

[71]参见张红：《大数据时代日本个人信息保护法探究》，载《财经法学》2020年第3期。

[72]黄柏：《日本〈个人信息保护法〉的最新修改及动向》，载李成玲主编：《日本法研究》第7卷，延边大学出版社2021年版，第113页。