數字法治政府建設背景下的個人信息行政法保護

李月

〔摘要〕 隨著大數據和信息網絡的飛速發展，大量個人信息侵害行為涉及公共管理領域，需要對公民施以更加完備的個人信息行政法保護措施。從個人信息保護的自身困境來看，衍生性數據背景下個人信息享有者面臨數據入侵、信息壁壘、多元主體利益沖突等困境。從個人信息保護的實踐困境來看，傳統保護路徑中規制對象以私法主體為主，而公共領域的社會治理方式表現出逐漸明顯的數據依賴，導致當前的個人信息保護措施面臨法律規范缺位的困境。因此，應當進一步完善個人信息保護的行政法規制措施，在明確個人信息受保護權內涵的基礎上，構建數據財產權屬主體的“二元模式”，并進一步明確個人信息受保護權相對于數據財產權的優先性。

〔關鍵詞〕 數字法治政府；個人信息保護；數據確權；行政法規制；信息依賴

〔中圖分類號〕D922.1〔文獻標識碼〕A 〔文章編號〕1009-1203（2023）01-0074-07

在數字法治政府建設背景下，數據作為一種社會治理方式，越來越成為行政機關行使職權的基礎性要素。在行政執法、行政決策、文書公開等法治政府建設的關鍵性環節中，行政機關對個人信息的收集、儲存、管理等一系列處理行為，已經形成了不同程度的信息依賴。從理論層面來看，行政機關以個人信息以及由此衍生的一系列數據為基礎，有助于實現對多元治理對象的有效整合。與此同時，其以大數據、算法等新興技術為手段，有助于構建統一的政府決策、行政處罰、智能監管體制，從而助推政府治理向現代化、智能化轉型。但是，從實踐層面來看，當前在個人信息保護的行政法領域，還面臨一系列亟待解決的難題。一方面，從個人信息保護的現狀來看，現行法律規范中的規制對象主要是作為個人信息處理者的私法主體，而目前我國對數字法治政府建設的要求，主要是為行政機關提供指引性方向，鼓勵建立以大數據為基礎、“線上+線下”相結合的新型治理模式，鮮有對行政機關作為個人信息處理者的體系化規制措施，這樣就會導致行政機關在一定程度上面臨規制缺位的困境。另一方面，行政機關在智慧化轉型中逐漸參與到數據治理過程中，享有個人信息處理者的地位。針對私營企業、網絡平臺等個人信息處理者，我國構建了以行政機關為核心監管主體的個人信息保護監管體系，但是，當行政機關作為個人信息處理者時，會出現監管主體同時是被監管對象的情形，導致行政機關在一定程度上面臨自我監管的困境。因此，如何從行政法的角度有效保護個人信息享有者的受保護權，是亟待解決的問題。

一、現實需求：個人信息行政法保護的必要性

毋庸置疑，法治社會的發展離不開自由市場中私人主體的自我調節和自我治理。私法領域，通常從個人信息受保護權與隱私權的法律規則適用關系、個人信息保護的基本原則等角度展開研究。但是，隨著大數據和信息網絡的飛速發展，大量個人信息處理者具有公共管理職能。對公民個人信息受保護權形成侵害的主體，有時表現為具有強大“數據權力”的組織。以個人信息數據化為基本特征的數據處理行為，使得私法視域下的市場調控規則遭遇挑戰。一方面，公共秩序和公共福利的推進，依托于由大量個人信息生成的數據資源，存在大規模信息泄漏的風險〔1〕。另一方面，個人信息享有者和處理者在數據獲取、信息流動等方面存在一定程度的信息壁壘和技術隔閡，公民防范個人信息侵害的難度較大。

一般情形下的個人信息侵害事件具有孤立性、個體性、靜態性的特點，基本可以還原為個人信息處理者對某一信息主體的單獨侵權，而大數據時代的個人信息侵權通常以社會性侵權為主〔2〕，這就對個人信息保護措施提出了更高的要求：不能僅具有私人主體的特殊指向性，而要從更加廣闊的視角解決綜合性的社會治理問題。

當前對個人信息保護的爭論聚焦于三個方面：一是如何界定大數據背景下個人信息受保護權的內涵，二是如何認定個人信息保護的理論基點和權利基礎，三是如何設定個人信息保護的法律模式。這三方面具有邏輯上的遞進性。數智時代，個人信息基于互聯網的傳播、存儲、加工屬性，已經衍生出具有鮮明數據特征的財產性利益。在個人身份識別層面，如何提煉出大數據時代個人信息的特征，并研究數據財產對個人信息享有者的增益性影響，是準確界定當下個人信息受保護權的前提。在界定個人信息受保護權內涵的基礎上，明確個人信息享有者權利的理論基點和權利基礎，是為個人信息享有者提供規范化保護的前提。在明確了理論層面問題的基礎上，需要進一步研究個人信息行政法保護的具體進路。

與個人信息私法規制措施相比，行政法保護路徑的不同之處在于，其主要以維護和促進公共利益為價值導向。公共利益是行政法適用和解釋的普遍原則〔3〕。行政法領域的規制措施集中在兩個方面：一是為個人信息處理者設置規范化的監管制度和具有可操作性的執行機制。二是配套相應的行政處罰和權利救濟制度。面對個人信息數據處理者享有的強大數據權利，行政法保護路徑相對于私法規制措施，能夠為個人信息享有者提供更加充分、有效的保護。

二、自身困境：數據模式下個人信息的衍生侵害與自治難題

基于個人信息而生成的數據，在帶來一系列增益性數據權利的同時，也導致了數據入侵、信息壁壘、多元主體利益沖突等困境。

（一）衍生性數據背景下個人信息保護的困境

一般情況下，個人信息被納入人格權保護范疇，保護方法采用個人賦權的模式，保護目標設定為個人信息權，保護范式適用“私人主導的同意權事前預防和民事訴訟事后救濟”的體系，救濟方法采用違約或侵權等民事路徑〔4〕。在這一模式下，私法領域采用的方式主要是構建個人信息權利主體的自我規制路徑，突出個人信息的人身依附性。然而，隨著數據經濟的興起，數據日益成為舉足輕重的新型資產，有關個人信息和數據資產的利益關系也變得越來越復雜〔5〕。

數智背景下個人信息的承載形式主要表現為數據，流通方式主要表現為個人信息享有者進行存儲、利用等。從這個角度來看，互聯網時代個人信息的本質是數據。個人信息使用者在規模化流通、收集、存儲個人信息的過程中，個人信息通常以數據的形式呈現出來，產生了具有財產性的權利。財產性數據權利使個人信息享有者面臨一定程度的困境，主要表現在以下兩個方面：一方面，難以界定衍生性數據利益與原生性數據利益的邊界，導致個人信息享有者面臨數據入侵的風險。個人信息享有者和個人信息處理者均享有基于數據而產生的利益，但是這兩種利益的權利來源不同。一般情況下，前者享有的利益具有人身依附性，屬于原生性數據利益；后者享有的利益以前者為基礎，屬于衍生性數據利益。在個人信息的認定標準具有強主觀性的現狀下，衍生性數據利益與原生性數據利益的邊界難以界定。由此帶來的直接負面影響是，難以判定原生性數據的合理演變范圍。換言之，衍生性數據利益是否造成對原生性數據利益的非法入侵，已經成為個人信息保護過程中有關數據權屬爭議問題的難點。另一方面，權利主體呈現出多元化的狀態，導致個人信息處理者和個人信息享有者之間可能存在利益競爭。個人信息處理者對衍生性數據享有權利，這類權利主體眾多，主要包括兩大類型：一是行政機關及被授權的行使公共管理職權的社會組織，二是雖不享有法定公共管理職權，但在某一領域、某一行業履行一定范圍社會管理職責的組織或個人。不難看出，權利主體表現出多元性。與此同時，數據權利也呈現出集合性的特點。在大數據被廣泛應用于公共管理的時代背景下，個人信息不僅具有識別特定個體屬性的功能，更進一步衍生出具有次生價值的財產權利。數據權利是信息基礎上產生的多項集合的“權利束”，無法簡單地將其看作某一類單一的權利〔6〕。因此，多元主體背景下，數據的集合性必然導致個人信息面臨多方權利共存的現象，進而使得不同權利主體之間存在權利博弈的風險。

（二）個人信息的自治屬性不強

大數據時代，個人信息享有者應當對個人信息有充分的自主決定權。“信息自決權”的概念起源于德國，是根據《德意志聯邦共和國基本法》第1條第1款的“人性尊嚴”條款和第2條第1款的“一般人格權”條款衍生出的權利，因此個人信息在人格尊嚴和基本人權的意義上受到保護〔7〕。德國法中規定的個人信息自決權，一方面包括權利主體依法控制相關信息的權利，另一方面包括權利主體自主決定相關信息是否可以被傳播、利用、收集的權利。

從我國現行法律規范來看，有關個人信息保護的規定已經初步涉及信息自決的內容。例如，《中華人民共和國個人信息保護法》（以下簡稱《個人信息保護法》）雖然沒有明確以信息自決權的形式作出規定，但是其立法意旨中存在與《德國聯邦數據保護法》中個人信息權利主體享有知情權、決定權類似的內容。《個人信息保護法》第13條第1款明確了個人信息處理者應當遵循的“知情—同意規則”，第14、15條規范了該項規則的適用前提、特殊情形和撤回同意權限等內容。

對比前文所述信息自決權的內涵，在肯定我國《個人信息保護法》有關“知情—同意規則”這一優勢的同時，也應當認識到現行規定仍然有進一步完善的空間。該法目前對個人信息享有者的規定，主要表現為保障其享有普遍的知情權和同意權，對“基于個人同意處理個人信息”進行語義學解釋，法律規范在較大范圍內對個人信息享有者行使同意的權限保留了開放性，對此主要有兩種理解。第一種理解，從宏觀層面進行解釋。個人信息處理者僅需獲得個人信息享有者普遍意義上的同意權即可，處理方式、處理程序等具體權限均由個人信息處理者享有。第二種理解，從微觀層面進行解釋。個人信息處理者僅履行程序層面的操作義務，個人信息享有者對信息處理的具體內容享有最終決定權。由此可見，有關個人信息權利主體對自決權的支配力度，目前尚未形成具有普遍接受性的統一觀點，現行法律規范在實踐適用層面仍處于較為模糊的狀態。

三、實踐困境：傳統保護路徑的局限和數智治理的信息依賴

數智治理表現出對個人信息的高度依賴性。國家層面明確要求推進數字化賦能城市治理、社區治理、鄉村治理。行政機關將大量個人信息作為運行的基礎，信息決策、數據執法、智慧監管等治理方式被廣泛適用。與之形成對比的是，我國個人信息保護的傳統路徑中，規制對象以網絡運營者為主。由此導致的問題是：針對行政機關作出的個人信息侵權行為，當前的監管與處理機制存在法律規范缺位的困境。

（一）個人信息保護的傳統路徑及其局限

目前我國個人信息保護的規制對象主要是私法主體。現行有效的個人信息保護法律規范體系，以《中華人民共和國民法典》（以下簡稱《民法典》）為核心，以《個人信息保護法》、《中華人民共和國網絡安全法》（以下簡稱《網絡安全法》）、《中華人民共和國數據安全法》（以下簡稱《數據安全法》）等特殊領域的法律規范為基礎。《民法典》人格權編主要明確了個人信息處理者應當遵守的合法、知情—同意、公開、正當和必要原則。特殊領域如《網絡安全法》，適用對象主要是網絡運營者，如進行網絡建設、運營、維護的主體，鮮少涉及對行政機關的規制。具體來說，現有法律規范在規制行政機關處理個人信息的行為時，存在以下兩方面困境：

一方面，現行法律規范中為個人信息處理者設定的義務，未考慮到行政機關作為行政法規制主體的特殊身份。以《網絡安全法》為例，第41條第2款規定“網絡運營者不得收集與其提供的服務無關的個人信息”。由于現代國家實行的是一種“混合行政”體制，其中私人和公共機構共同進行公共管理，提供公共服務〔8〕，所以行政機關作為進行公共管理的一種公共機構，實踐中涉及管理網絡信息、提供網絡服務等事項，理想狀態下應當成為前述條文的規范對象。但是，行政機關提供公共服務的邊界難以界定。行政的目的是實現公共資源利用的最大化，公共資源即全民利益，而全民利益即代表無數個體的最終利益和根本利益〔9〕。因此，何為“與行政行為相關的個人信息”，在個案中將難以認定。與之形成對比的是，私營企業等社會組織具有明確的服務范圍，呈現相關內容的載體一般是國家市場監督管理機關準許從事某項生產經營活動的憑證。由此可見，《網絡安全法》中有關網絡運營者的規制主體，在個案適用中以不具有行政管理職權的公民或社會組織為主。當行政機關作為個人信息處理者對個人信息進行收集、利用時，相關法律制度出現了一定程度的規范失靈現象。

另一方面，當行政機關違規侵害公民個人信息時，現行規范難以對其實施有效的監管和懲治措施。行政機關在個人信息使用中的定位，不僅是個人信息處理者，還是個人信息的網絡監管者。依據《數據安全法》的規定，開展數據處理活動的主體要在各自領域承擔數據安全監管職責。同時，該法還規定了當公民的個人信息受到侵害時，享有向監管部門投訴、舉報的權利。在這樣的規范模式下，當行政機關對個人信息進行收集或者處理時，同時也承擔相應的監管職責。這就導致，若個人信息享有者受到來自行政機關的侵害，將出現被舉報投訴主體與監管主體合一的困境。這種現象形成了行政機關自我監管的制度壁壘，難以實現有效的權力監管和權利救濟。

一切有權力的人都容易濫用權力，有權力的人們使用權力一直到遇有界限的地方才休止〔10〕。防治濫用權力的方式，在于對權力施加另一種具有強制力的權力。就個人信息保護而言，雖然網絡服務提供者等私法主體應當承擔一定的職責，但并不應因此否定行政機關相應的職責，二者應當共同負擔保護個人信息的職責〔11〕。具體而言，應當明確將行政機關納入法律規范的調整范圍，為行政機關收集、利用個人信息等一系列行為設置體系化的行政法規制措施。

（二）數字法治政府的信息依賴及其風險

我國已經進入數字法治政府建設的關鍵時期，國家層面對行政機關深入探索智能化、信息化管理提出了系統性要求。舉例來說，《中共中央關于制定國民經濟和社會發展第十四個五年規劃和二〇三五年遠景目標的建議》作為全面指引我國“十四五”時期發展方向的綱領性文件，明確要求行政機關要提升公共服務和社會治理的數字化、智能化水平。《法治政府建設實施綱要（2021-2025年）》作為未來五年內我國法治政府建設的指導性文件，一方面從宏觀視角要求行政機關要健全政府機構智能體系，另一方面以法治政府建設的具體領域為視角，明確了構建信息化數字政府的具體任務。以行政監管為例，要求行政機關健全以“雙隨機、一公開”監管和“互聯網+”監管為基本方式、以重點監管為補充、以信用監管為基礎的新型監管機制。

從全面發展的視角來看，其他領域的單行法律規范也部分涉及電子政務的個人信息依賴問題。以《優化營商環境條例》為例，該條例要求行政機關運用互聯網、大數據等技術手段，加強監管信息歸集共享和關聯整合，提升監管的精準化、智能化水平。

由此可見，數字法治政府對個人信息表現出高依賴性。數據是數字化轉型的產物，并且已經成為數字環境下政府治理的基礎〔12〕。隨著智慧治理的推進，政府信息公開、重大行政決策、精細化執法體制建設、智慧監管等一系列政府行為都需要以個人信息為基礎。可以預見的是，行政執法會呈現出對個人信息數據庫高依賴性的趨勢，以個人信息為基礎的數據資源將進一步實現深度融合。在數字法治政府的成熟階段，智慧城市具有自動化決策、精細化治理的特征，將進一步形成覆蓋全國的數據共享平臺。

數字法治政府對個人信息的廣泛依賴，加大了在信息獲取、處理、公布等環節信息披露、數據侵權等風險。然而，如前文所述，個人信息保護的傳統路徑以規制私法主體為核心，因此，亟需明確數字法治政府建設過程中的個人信息適用規則，將行政機關對個人信息的加工、處理等一系列行為納入較為細致的法律規制框架，提升政府治理的規范性，從而對個人信息形成切實的保護。

四、路徑解析：個人信息行政法保護的進路

在數智時代，實現個人信息保護需要兼顧私法與行政法的共同規制。從當前的規制措施來看，私法領域規制措施逐漸豐富，亟需為個人信息受保護權提供有效的行政法保護。具體來說，首先需要明確個人信息受保護權的認定標準，再以此為基礎構建數據賦權的規范模式。

（一）明確個人信息受保護權的內涵

完善個人信息行政法保護路徑的首要任務，是對個人信息受保護權進行清晰的界定。如果不能明確個人信息權利的概念和內涵，個人信息保護工具的適用也會失去價值指引，進而會造成保護手段與目的的錯配〔13〕。傳統對個人信息的認定，主要存在兩種不同的觀點：一種觀點認為個人信息屬于隱私權的一種，另一種觀點認為個人信息屬于獨立的人格權。筆者贊同后一種觀點，認為前一種觀點將個人信息列入隱私權的范疇，忽視了個人信息屬于復合性權利的本質。不能將個人信息歸入隱私權的理由如下。第一，對個人信息的認定，不以此信息是否具有隱秘性為要素。只要某信息直接或者通過與其他信息相關聯的方式，能夠明確指向特定主體，就可以將其認定為個人信息，隱秘性并非構成個人信息的必要條件。第二，隱私權不能滿足個人信息受保護權的可識別性要求。通常情況下，個人信息具有可識別性，這就意味著個人信息具有積極性、公共性的面向。但是隱私權側重于保護個人的生活安寧與行為秘密不受侵犯，具有消極性、防御性的特征〔14〕。可見，個人信息不像隱私那樣不為人知曉〔15〕。第三，隱私權受保護的內容不符合個人信息受保護權的要求。個人信息受保護權的重心，在于個人信息保護的義務主體能夠依法儲存、利用相關信息，而對隱私權進行保護的重心，卻在于防治信息的非法披露行為。可見，個人信息受保護權與隱私權的內容存在差異。第四，法律規范層面，個人信息具有獨立的人格權屬性。從具體法律條文來看，《民法典》承認個人信息的“二分性”，既包括私密性信息，也包括非涉密信息。《民法典》在第四編人格權編明確了個人信息保護的法律定位，并在第六章將隱私權和個人信息保護作為兩個并列的規制對象。

由此看來，不能將個人信息直接納入隱私權的保護范圍，而應當正視個人信息受保護權作為獨立人格權的定位。將個人信息受保護權視為獨立的人格權，意味著應當注重對義務主體的要求。一般情況下，人格權的義務主體不限于權利享有者，而是同時需要其他組織和個人共同表現出對人格權的尊讓。在行政法領域，義務承擔者主要表現為行政機關和具有公共管理職權的網絡運營商、數據處理機構等，因此從個人信息受保護權的義務主體來看，以行政機關為代表的個人信息存儲者、處理者等，均是承擔個人信息保護義務的應然主體。與此同時，還應當注重個人信息受保護權對權利內容的要求。在具體人格權中，生命權、姓名權等權利的內容較為清晰，具有較強的指向性，但是現行法律規范對個人信息的界定，集中在信息的可識別性層面，這就決定了個人信息受保護權的內容不限于某一特定領域，而是對特定身份的識別，包含多元化內容。因此，從個人信息受保護的內容來看，當事人享有的個人信息受保護權是一種復合性權利，區別于一般意義上的姓名權、肖像權等權利。

（二）構建數據財產權屬主體的“二元模式”

關于數據財產權的定位問題，目前主要存在兩種觀點。一種觀點認為，商業化是人格權的權能發生擴張的表現，并不存在具有獨立權利屬性的商品化權利〔16〕。另一種觀點認為，人格權商品化過程中生成了與其并列的權利，即獨立的財產性權利。針對后一種觀點，又進一步分化出兩種有關數據財產權的不同觀點，爭議焦點為個人信息享有者是否應當作為數據財產權的應然主體。其一，認為個人信息是數據財產權產生的基礎，數據財產權屬于個人信息的衍生性權利，因此個人信息享有者應當是數據財產權的主體。其二，認為數據財產權的客體并非由個人信息簡單疊加而來，而是經由個人信息處理者通過批量化的匯總、分析等環節后生成。經過這一過程，以集成化、類型化為特征的數據財產權與原始個人信息相比，具有本質性區別。因此，個人信息享有者并不具有初始的數據財產權。

筆者認為，針對數據財產權的權屬爭議問題，不能以截然的二分法界定。數據財產權的權利主體具有多元復合性，理由如下：

一方面，不能將個人信息享有者認定為數據財產權的單一權利主體。從權利的生成方式來看，數據財產權經由個人信息處理者加工后生成。數據財產權雖然以個人信息為基礎，但是其已經產生了獨立于個人信息的財產價值。因此，若仍然將個人信息享有者認定為數據財產權的唯一主體，將忽略個人信息處理者加工行為的價值，造成的負面影響主要表現為兩點：一是將顯著降低個人信息處理者生成規模化數據的積極性。二是數據處理行為主體與數據權屬主體分離，極易引發一系列權屬爭議問題。

另一方面，也不能將個人信息處理者認定為數據財產權的單一權利主體。從權利的產生基礎來看，數據財產權以個人信息為基礎。沒有批量化的個人權利，就沒有具備商品化價值的數據財產權。因此，數據財產權中仍然存在身份識別要素。若將個人信息處理者認定為數據財產權的唯一主體，將忽略個人信息享有者的基本人格權。

綜上所述，理想狀態下，應當構建數據財產權屬主體的“二元模式”。數據基于個人信息而生成，數據財產權的利益主體是多方面的，應當承認個人信息享有者和處理者在數據財產領域均享有權屬地位。

（三）明確個人信息受保護權相對于數據財產權的優先性

個人信息享有者和處理者同時具有數據財產權的權利主體地位。值得注意的是，當個人信息享有者主張權利時，很多時候將對數據存儲者、處理者產生直接影響，反之亦然。因此，在“兩權分離”模式下，應當對個人信息享有者和處理者的數據權屬進行分配〔17〕，具體來說，要明確權利沖突解決規則。

總體原則是個人信息享有者權利優先。數據權利基于個人信息生成，數據的財產屬性基于個人信息享有者知情同意后產生。因此，對個人信息享有者給予充分保護，是數據得以利用的前提和數據價值得以發揮的基礎。個人信息享有者權利優先原則主要包含“充分尊重”和“不得拒絕”兩項子規則。

充分尊重規則，是指個人信息享有者在合法范圍內行使數據權利時，個人信息處理者應當充分尊重個人信息享有者的行為。此項規則的法理依據在于，個人信息處理者享有的權利屬于衍生性的財產性權利。康德從法哲學的角度提出了“人是一切行為的目的”〔18〕的論述，個人信息享有者的人格權直接體現為人格尊嚴，對個人信息的保護實際上是對人的主體性和目的性的保護。從這個角度來看，個人信息處理者應當對個人信息享有者予以合法范圍內的尊讓。充分尊重規則包括以下兩個遞進的程序：第一，個人信息處理者對具有強烈個人指向性的信息進行處理時，應當事先取得原始個人信息享有者的同意。舉例來說，個人信息處理者利用個人信息對特定個人進行畫像時，應當充分保障個人的知情權和參與權，以促進信息對稱，即達到“他知”與“自知”的一致性〔19〕。第二，即使個人信息處理者在獲得個人信息享有者同意的前提下，對個人信息附加了加工處理行為，也并不因此獲得具有對世效力的數據所有權。一般情況下，個人信息處理者享有的數據權能僅限于使用和獲得收益兩項內容。充分尊重規則能夠實現個人信息保護與數據發展的平衡，一方面能夠充分保護個人信息享有者的基本人格權，另一方面能夠促進個人信息處理者發展數據經濟的積極性。

不得拒絕規則，是指當個人信息享有者在合法范圍內行使數據權利時，個人信息處理者不得以獲取更大范圍的財產利益為由，對個人信息享有者的行為施加任何形式的干預、阻礙、拒絕。舉例來說，部分電子商務平臺在未經用戶允許的前提下，對少數內容精致的“買家秀”進行優化處理后，上傳至商品銷售頁面進行宣傳，以達到刺激用戶消費的目的。若某用戶拒絕購物平臺將帶有本人信息的內容作為宣傳手段，將可能對電子商務平臺的預期經濟收益帶來一定程度的負面影響。此情況下，電子商務平臺是否有權拒絕用戶對個人信息的這一處理行為？依據《民法典》和《個人信息保護法》的規定，個人信息處理規則要達到的程度是“合法、合理、規范”。因此，只要個人信息享有者行使權利的方式不存在不合法、不合理或者不規范之處，此行為就受到法律保護，這是不得拒絕規則最直觀的體現。

承認個人信息享有者權利的優先地位，并不意味著一味削弱個人信息處理者的權利。若個人信息享有者未依法或者依規行使個人權利，則個人信息處理者有權主張合法范圍內的正當權利。個人信息處理者的權利獲得法律保護的范圍，以已取得權利的實際受損程度為限。對于個人信息處理者尚未取得的權利，則以一般理性人為視角，若合理預期內的正當權利必然會發生，則此部分利益也應當被納入受保護的范圍。

五、結語

數智時代，我國大力推行大數據戰略，以個人信息為基礎要素的大數據成為提升政府治理能力的新途徑〔20〕。以行政機關為代表的具有公共管理職能的組織，對個人信息的收集、存儲、利用大多基于公共服務過程中的數據共享需要。因此，不能簡單以對待一般個人信息處理者的方式對其進行規制。對個人信息受保護權的性質、公共行政的特征進行解析，內在要求是完善行政機關的保護義務，促進大數據的合理利用，以此達到保護個人合法權利的目的。在大數據時代，個人信息受保護權不僅要求國家落實防御權導向下的消極保護義務，更要求其在客觀法導向下落實制度性保障、組織與程序保障、侵害防治等積極保護義務〔21〕。也就是說，個人信息保護的行政法規制具有必要性。

大數據是數字法治政府建設的基礎支撐，個人信息行政法保護的首要任務是數據確權。個人信息受保護權具有相對于數據財產權的優先性，具體體現為個人信息享有者在合法范圍內行使數據權利時，個人信息處理者應當遵循充分尊重規則和不得拒絕規則。行政法規制措施一方面能夠積極保障個人信息受保護權在數智時代衍生出的新興權利（典型如數據財產權）在合法范圍內得到實現，另一方面能夠防治新興權利對個人信息的侵害。實際上，個人信息的行政法保護并非全新的規制措施，而是在私法規制基礎上對個人信息保護體系的完善。未來的課題是如何將行政法規制措施與私法規制措施進行更好的融合，為個人信息構建起更加精細的保護網，進一步推動數字法治政府建設和個人信息保護在數智時代的同步發展。

〔參 考 文 獻〕

〔1〕梅夏英.在分享和控制之間 數據保護的私法局限和公共秩序構建〔J〕.中外法學，2019 （04）：845-870.

〔2〕王懷勇，常宇豪.個人信息保護的理念嬗變與制度變革〔J〕.法制與社會發展，2020（06）：140-159.

〔3〕劉 國.個人信息保護的公法框架研究——以突發公共衛生事件為例〔J〕.甘肅社會科學，2020（04）：155-162.

〔4〕楊立新.侵權法論〔M〕.北京：人民法院出版社，2005：779.

〔5〕龍衛球.數據新型財產權構建及其體系研究〔J〕.政法論壇，2017（04）：63-77.

〔6〕王利明.論數據權益：以“權利束”為視角〔J〕.政治與法律，2022（07）：99-113.

〔7〕張憶然.大數據時代“個人信息”的權利變遷與刑法保護的教義學限縮——以“數據財產權”與“信息自決權”的二分為視角〔J〕.政治與法律，2020（06）：53-67.

〔8〕李洪雷.行政法釋義學：行政法學理的更新〔M〕.北京：中國人民大學出版社，2014：221.

〔9〕王海峰.試論行政協議的邊界〔J〕.行政法學研究，2020（05）：24-36.

〔10〕孟德斯鳩.論法的精神：上冊〔M〕.張雁深，譯.北京：商務印書館，1961：154.

〔11〕楊 峻.論網絡服務提供者的公共行政職能及法律規制——以個人信息保護為視角〔J〕.社會科學戰線，2018（08）：265-270.

〔12〕關保英，汪駿良.基于合作治理的數字法治政府建設〔J〕.福建論壇（人文社會科學版），2022（05）：188-200.

〔13〕王錫鋅.個人信息權益的三層構造及保護機制〔J〕.現代法學，2021（05）：105-123.

〔14〕劉 權.個人信息保護的權利化分歧及其化解〔J〕.中國法律評論，2022（06）：107-120.

〔15〕申衛星.論個人信息保護與利用的平衡〔J〕.中國法律評論，2021（05）：28-36.

〔16〕王利明.人格權法研究〔M〕.北京：法律出版社，2005：282.

〔17〕申衛星.讓數據共享在信息社會中發揮積極作用〔N〕.社會科學報，2021-11-18（01）.

〔18〕康 德.判斷力批判：下冊〔M〕.韋卓民，譯.北京：商務印書館，1964：144.

〔19〕高富平.論個人信息保護的目的——以個人信息保護法益區分為核心〔J〕.法商研究，2019（01）：93-104.

〔20〕呂廷君.大數據時代政府數據開放及法治政府建設〔M〕.北京：人民出版社，2019：134.

〔21〕王錫鋅.個人信息國家保護義務及展開〔J〕.中國法學，2021（01）：145-166.

責任編輯 梁華林