数字法治政府建设背景下的个人信息行政法保护

李月

〔摘要〕 随着大数据和信息网络的飞速发展，大量个人信息侵害行为涉及公共管理领域，需要对公民施以更加完备的个人信息行政法保护措施。从个人信息保护的自身困境来看，衍生性数据背景下个人信息享有者面临数据入侵、信息壁垒、多元主体利益冲突等困境。从个人信息保护的实践困境来看，传统保护路径中规制对象以私法主体为主，而公共领域的社会治理方式表现出逐渐明显的数据依赖，导致当前的个人信息保护措施面临法律规范缺位的困境。因此，应当进一步完善个人信息保护的行政法规制措施，在明确个人信息受保护权内涵的基础上，构建数据财产权属主体的“二元模式”，并进一步明确个人信息受保护权相对于数据财产权的优先性。

〔关键词〕 数字法治政府；个人信息保护；数据确权；行政法规制；信息依赖

〔中图分类号〕D922.1〔文献标识码〕A 〔文章编号〕1009-1203（2023）01-0074-07

在数字法治政府建设背景下，数据作为一种社会治理方式，越来越成为行政机关行使职权的基础性要素。在行政执法、行政决策、文书公开等法治政府建设的关键性环节中，行政机关对个人信息的收集、储存、管理等一系列处理行为，已经形成了不同程度的信息依赖。从理论层面来看，行政机关以个人信息以及由此衍生的一系列数据为基础，有助于实现对多元治理对象的有效整合。与此同时，其以大数据、算法等新兴技术为手段，有助于构建统一的政府决策、行政处罚、智能监管体制，从而助推政府治理向现代化、智能化转型。但是，从实践层面来看，当前在个人信息保护的行政法领域，还面临一系列亟待解决的难题。一方面，从个人信息保护的现状来看，现行法律规范中的规制对象主要是作为个人信息处理者的私法主体，而目前我国对数字法治政府建设的要求，主要是为行政机关提供指引性方向，鼓励建立以大数据为基础、“线上+线下”相结合的新型治理模式，鲜有对行政机关作为个人信息处理者的体系化规制措施，这样就会导致行政机关在一定程度上面临规制缺位的困境。另一方面，行政机关在智慧化转型中逐渐参与到数据治理过程中，享有个人信息处理者的地位。针对私营企业、网络平台等个人信息处理者，我国构建了以行政机关为核心监管主体的个人信息保护监管体系，但是，当行政机关作为个人信息处理者时，会出现监管主体同时是被监管对象的情形，导致行政机关在一定程度上面临自我监管的困境。因此，如何从行政法的角度有效保护个人信息享有者的受保护权，是亟待解决的问题。

一、现实需求：个人信息行政法保护的必要性

毋庸置疑，法治社会的发展离不开自由市场中私人主体的自我调节和自我治理。私法领域，通常从个人信息受保护权与隐私权的法律规则适用关系、个人信息保护的基本原则等角度展开研究。但是，随着大数据和信息网络的飞速发展，大量个人信息处理者具有公共管理职能。对公民个人信息受保护权形成侵害的主体，有时表现为具有强大“数据权力”的组织。以个人信息数据化为基本特征的数据处理行为，使得私法视域下的市场调控规则遭遇挑战。一方面，公共秩序和公共福利的推进，依托于由大量个人信息生成的数据资源，存在大规模信息泄漏的风险〔1〕。另一方面，个人信息享有者和处理者在数据获取、信息流动等方面存在一定程度的信息壁垒和技术隔阂，公民防范个人信息侵害的难度较大。

一般情形下的个人信息侵害事件具有孤立性、个体性、静态性的特点，基本可以还原为个人信息处理者对某一信息主体的单独侵权，而大数据时代的个人信息侵权通常以社会性侵权为主〔2〕，这就对个人信息保护措施提出了更高的要求：不能仅具有私人主体的特殊指向性，而要从更加广阔的视角解决综合性的社会治理问题。

当前对个人信息保护的争论聚焦于三个方面：一是如何界定大数据背景下个人信息受保护权的内涵，二是如何认定个人信息保护的理论基点和权利基础，三是如何设定个人信息保护的法律模式。这三方面具有逻辑上的递进性。数智时代，个人信息基于互联网的传播、存储、加工属性，已经衍生出具有鲜明数据特征的财产性利益。在个人身份识别层面，如何提炼出大数据时代个人信息的特征，并研究数据财产对个人信息享有者的增益性影响，是准确界定当下个人信息受保护权的前提。在界定个人信息受保护权内涵的基础上，明确个人信息享有者权利的理论基点和权利基础，是为个人信息享有者提供规范化保护的前提。在明确了理论层面问题的基础上，需要进一步研究个人信息行政法保护的具体进路。

与个人信息私法规制措施相比，行政法保护路径的不同之处在于，其主要以维护和促进公共利益为价值导向。公共利益是行政法适用和解释的普遍原则〔3〕。行政法领域的规制措施集中在两个方面：一是为个人信息处理者设置规范化的监管制度和具有可操作性的执行机制。二是配套相应的行政处罚和权利救济制度。面对个人信息数据处理者享有的强大数据权利，行政法保护路径相对于私法规制措施，能够为个人信息享有者提供更加充分、有效的保护。

二、自身困境：數据模式下个人信息的衍生侵害与自治难题

基于个人信息而生成的数据，在带来一系列增益性数据权利的同时，也导致了数据入侵、信息壁垒、多元主体利益冲突等困境。

（一）衍生性数据背景下个人信息保护的困境

一般情况下，个人信息被纳入人格权保护范畴，保护方法采用个人赋权的模式，保护目标设定为个人信息权，保护范式适用“私人主导的同意权事前预防和民事诉讼事后救济”的体系，救济方法采用违约或侵权等民事路径〔4〕。在这一模式下，私法领域采用的方式主要是构建个人信息权利主体的自我规制路径，突出个人信息的人身依附性。然而，随着数据经济的兴起，数据日益成为举足轻重的新型资产，有关个人信息和数据资产的利益关系也变得越来越复杂〔5〕。

数智背景下个人信息的承载形式主要表现为数据，流通方式主要表现为个人信息享有者进行存储、利用等。从这个角度来看，互联网时代个人信息的本质是数据。个人信息使用者在规模化流通、收集、存储个人信息的过程中，个人信息通常以数据的形式呈现出来，产生了具有财产性的权利。财产性数据权利使个人信息享有者面临一定程度的困境，主要表现在以下两个方面：一方面，难以界定衍生性数据利益与原生性数据利益的边界，导致个人信息享有者面临数据入侵的风险。个人信息享有者和个人信息处理者均享有基于数据而产生的利益，但是这两种利益的权利来源不同。一般情况下，前者享有的利益具有人身依附性，属于原生性数据利益；后者享有的利益以前者为基础，属于衍生性数据利益。在个人信息的认定标准具有强主观性的现状下，衍生性数据利益与原生性数据利益的边界难以界定。由此带来的直接负面影响是，难以判定原生性数据的合理演变范围。换言之，衍生性数据利益是否造成对原生性数据利益的非法入侵，已经成为个人信息保护过程中有关数据权属争议问题的难点。另一方面，权利主体呈现出多元化的状态，导致个人信息处理者和个人信息享有者之间可能存在利益竞争。个人信息处理者对衍生性数据享有权利，这类权利主体众多，主要包括两大类型：一是行政机关及被授权的行使公共管理职权的社会组织，二是虽不享有法定公共管理职权，但在某一领域、某一行业履行一定范围社会管理职责的组织或个人。不难看出，权利主体表现出多元性。与此同时，数据权利也呈现出集合性的特点。在大数据被广泛应用于公共管理的时代背景下，个人信息不仅具有识别特定个体属性的功能，更进一步衍生出具有次生价值的财产权利。数据权利是信息基础上产生的多项集合的“权利束”，无法简单地将其看作某一类单一的权利〔6〕。因此，多元主体背景下，数据的集合性必然导致个人信息面临多方权利共存的现象，进而使得不同权利主体之间存在权利博弈的风险。

（二）个人信息的自治属性不强

大数据时代，个人信息享有者应当对个人信息有充分的自主决定权。“信息自决权”的概念起源于德国，是根据《德意志联邦共和国基本法》第1条第1款的“人性尊严”条款和第2条第1款的“一般人格权”条款衍生出的权利，因此个人信息在人格尊严和基本人权的意义上受到保护〔7〕。德国法中规定的个人信息自决权，一方面包括权利主体依法控制相关信息的权利，另一方面包括权利主体自主决定相关信息是否可以被传播、利用、收集的权利。

从我国现行法律规范来看，有关个人信息保护的规定已经初步涉及信息自决的内容。例如，《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）虽然没有明确以信息自决权的形式作出规定，但是其立法意旨中存在与《德国联邦数据保护法》中个人信息权利主体享有知情权、决定权类似的内容。《个人信息保护法》第13条第1款明确了个人信息处理者应当遵循的“知情—同意规则”，第14、15条规范了该项规则的适用前提、特殊情形和撤回同意权限等内容。

对比前文所述信息自决权的内涵，在肯定我国《个人信息保护法》有关“知情—同意规则”这一优势的同时，也应当认识到现行规定仍然有进一步完善的空间。该法目前对个人信息享有者的规定，主要表现为保障其享有普遍的知情权和同意权，对“基于个人同意处理个人信息”进行语义学解释，法律规范在较大范围内对个人信息享有者行使同意的权限保留了开放性，对此主要有两种理解。第一种理解，从宏观层面进行解释。个人信息处理者仅需获得个人信息享有者普遍意义上的同意权即可，处理方式、处理程序等具体权限均由个人信息处理者享有。第二种理解，从微观层面进行解释。个人信息处理者仅履行程序层面的操作义务，个人信息享有者对信息处理的具体内容享有最终决定权。由此可见，有关个人信息权利主体对自决权的支配力度，目前尚未形成具有普遍接受性的统一观点，现行法律规范在实践适用层面仍处于较为模糊的状态。

三、实践困境：传统保护路径的局限和数智治理的信息依赖

数智治理表现出对个人信息的高度依赖性。国家层面明确要求推进数字化赋能城市治理、社区治理、乡村治理。行政机关将大量个人信息作为运行的基础，信息决策、数据执法、智慧监管等治理方式被广泛适用。与之形成对比的是，我国个人信息保护的传统路径中，规制对象以网络运营者为主。由此导致的问题是：针对行政机关作出的个人信息侵权行为，当前的监管与处理机制存在法律规范缺位的困境。

（一）个人信息保护的传统路径及其局限

目前我国个人信息保护的规制对象主要是私法主体。现行有效的个人信息保护法律规范体系，以《中华人民共和国民法典》（以下简称《民法典》）为核心，以《个人信息保护法》、《中华人民共和国网络安全法》（以下简称《网络安全法》）、《中华人民共和国数据安全法》（以下简称《数据安全法》）等特殊领域的法律规范为基础。《民法典》人格权编主要明确了个人信息处理者应当遵守的合法、知情—同意、公开、正当和必要原则。特殊领域如《网络安全法》，适用对象主要是网络运营者，如进行网络建设、运营、维护的主体，鲜少涉及对行政机关的规制。具体来说，现有法律规范在规制行政机关处理个人信息的行为时，存在以下两方面困境：

一方面，现行法律规范中为个人信息处理者设定的义务，未考虑到行政机关作为行政法规制主体的特殊身份。以《网络安全法》为例，第41条第2款规定“网络运营者不得收集与其提供的服务无关的个人信息”。由于现代国家实行的是一种“混合行政”体制，其中私人和公共机构共同进行公共管理，提供公共服务〔8〕，所以行政机关作为进行公共管理的一种公共机构，实践中涉及管理网络信息、提供网络服务等事项，理想状态下应当成为前述条文的规范对象。但是，行政机关提供公共服务的边界难以界定。行政的目的是实现公共资源利用的最大化，公共资源即全民利益，而全民利益即代表无数个体的最终利益和根本利益〔9〕。因此，何为“与行政行为相关的个人信息”，在个案中将难以认定。与之形成对比的是，私营企业等社会组织具有明确的服务范围，呈现相关内容的载体一般是国家市场监督管理机关准许从事某项生产经营活动的凭证。由此可见，《网絡安全法》中有关网络运营者的规制主体，在个案适用中以不具有行政管理职权的公民或社会组织为主。当行政机关作为个人信息处理者对个人信息进行收集、利用时，相关法律制度出现了一定程度的规范失灵现象。

另一方面，当行政机关违规侵害公民个人信息时，现行规范难以对其实施有效的监管和惩治措施。行政机关在个人信息使用中的定位，不仅是个人信息处理者，还是个人信息的网络监管者。依据《数据安全法》的规定，开展数据处理活动的主体要在各自领域承担数据安全监管职责。同时，该法还规定了当公民的个人信息受到侵害时，享有向监管部门投诉、举报的权利。在这样的规范模式下，当行政机关对个人信息进行收集或者处理时，同时也承担相应的监管职责。这就导致，若个人信息享有者受到来自行政机关的侵害，将出现被举报投诉主体与监管主体合一的困境。这种现象形成了行政机关自我监管的制度壁垒，难以实现有效的权力监管和权利救济。

一切有权力的人都容易滥用权力，有权力的人们使用权力一直到遇有界限的地方才休止〔10〕。防治滥用权力的方式，在于对权力施加另一种具有强制力的权力。就个人信息保护而言，虽然网络服务提供者等私法主体应当承担一定的职责，但并不应因此否定行政机关相应的职责，二者应当共同负担保护个人信息的职责〔11〕。具体而言，应当明确将行政机关纳入法律规范的调整范围，为行政机关收集、利用个人信息等一系列行为设置体系化的行政法规制措施。

（二）数字法治政府的信息依赖及其风险

我国已经进入数字法治政府建设的关键时期，国家层面对行政机关深入探索智能化、信息化管理提出了系统性要求。举例来说，《中共中央关于制定国民经济和社会发展第十四个五年规划和二〇三五年远景目标的建议》作为全面指引我国“十四五”时期发展方向的纲领性文件，明确要求行政机关要提升公共服务和社会治理的数字化、智能化水平。《法治政府建设实施纲要（2021-2025年）》作为未来五年内我国法治政府建设的指导性文件，一方面从宏观视角要求行政机关要健全政府机构智能体系，另一方面以法治政府建设的具体领域为视角，明确了构建信息化数字政府的具体任务。以行政监管为例，要求行政机关健全以“双随机、一公开”监管和“互联网+”监管为基本方式、以重点监管为补充、以信用监管为基础的新型监管机制。

从全面发展的视角来看，其他领域的单行法律规范也部分涉及电子政务的个人信息依赖问题。以《优化营商环境条例》为例，该条例要求行政机关运用互联网、大数据等技术手段，加强监管信息归集共享和关联整合，提升监管的精准化、智能化水平。

由此可见，数字法治政府对个人信息表现出高依赖性。数据是数字化转型的产物，并且已经成为数字环境下政府治理的基础〔12〕。随着智慧治理的推进，政府信息公开、重大行政决策、精细化执法体制建设、智慧监管等一系列政府行为都需要以个人信息为基础。可以预见的是，行政执法会呈现出对个人信息数据库高依赖性的趋势，以个人信息为基础的数据资源将进一步实现深度融合。在数字法治政府的成熟阶段，智慧城市具有自动化决策、精细化治理的特征，将进一步形成覆盖全国的数据共享平台。

数字法治政府对个人信息的广泛依赖，加大了在信息获取、处理、公布等环节信息披露、数据侵权等风险。然而，如前文所述，个人信息保护的传统路径以规制私法主体为核心，因此，亟需明确数字法治政府建设过程中的个人信息适用规则，将行政机关对个人信息的加工、处理等一系列行为纳入较为细致的法律规制框架，提升政府治理的规范性，从而对个人信息形成切实的保护。

四、路径解析：个人信息行政法保护的进路

在数智时代，实现个人信息保护需要兼顾私法与行政法的共同规制。从当前的规制措施来看，私法领域规制措施逐渐丰富，亟需为个人信息受保护权提供有效的行政法保护。具体来说，首先需要明确个人信息受保护权的认定标准，再以此为基础构建数据赋权的规范模式。

（一）明确个人信息受保护权的内涵

完善个人信息行政法保護路径的首要任务，是对个人信息受保护权进行清晰的界定。如果不能明确个人信息权利的概念和内涵，个人信息保护工具的适用也会失去价值指引，进而会造成保护手段与目的的错配〔13〕。传统对个人信息的认定，主要存在两种不同的观点：一种观点认为个人信息属于隐私权的一种，另一种观点认为个人信息属于独立的人格权。笔者赞同后一种观点，认为前一种观点将个人信息列入隐私权的范畴，忽视了个人信息属于复合性权利的本质。不能将个人信息归入隐私权的理由如下。第一，对个人信息的认定，不以此信息是否具有隐秘性为要素。只要某信息直接或者通过与其他信息相关联的方式，能够明确指向特定主体，就可以将其认定为个人信息，隐秘性并非构成个人信息的必要条件。第二，隐私权不能满足个人信息受保护权的可识别性要求。通常情况下，个人信息具有可识别性，这就意味着个人信息具有积极性、公共性的面向。但是隐私权侧重于保护个人的生活安宁与行为秘密不受侵犯，具有消极性、防御性的特征〔14〕。可见，个人信息不像隐私那样不为人知晓〔15〕。第三，隐私权受保护的内容不符合个人信息受保护权的要求。个人信息受保护权的重心，在于个人信息保护的义务主体能够依法储存、利用相关信息，而对隐私权进行保护的重心，却在于防治信息的非法披露行为。可见，个人信息受保护权与隐私权的内容存在差异。第四，法律规范层面，个人信息具有独立的人格权属性。从具体法律条文来看，《民法典》承认个人信息的“二分性”，既包括私密性信息，也包括非涉密信息。《民法典》在第四编人格权编明确了个人信息保护的法律定位，并在第六章将隐私权和个人信息保护作为两个并列的规制对象。

由此看来，不能将个人信息直接纳入隐私权的保护范围，而应当正视个人信息受保护权作为独立人格权的定位。将个人信息受保护权视为独立的人格权，意味着应当注重对义务主体的要求。一般情况下，人格权的义务主体不限于权利享有者，而是同时需要其他组织和个人共同表现出对人格权的尊让。在行政法领域，义务承担者主要表现为行政机关和具有公共管理职权的网络运营商、数据处理机构等，因此从个人信息受保护权的义务主体来看，以行政机关为代表的个人信息存储者、处理者等，均是承担个人信息保护义务的应然主体。与此同时，还应当注重个人信息受保护权对权利内容的要求。在具体人格权中，生命权、姓名权等权利的内容较为清晰，具有较强的指向性，但是现行法律规范对个人信息的界定，集中在信息的可识别性层面，这就决定了个人信息受保护权的内容不限于某一特定领域，而是对特定身份的识别，包含多元化内容。因此，从个人信息受保护的内容来看，当事人享有的个人信息受保护权是一种复合性权利，区别于一般意义上的姓名权、肖像权等权利。

（二）构建数据财产权属主体的“二元模式”

关于数据财产权的定位问题，目前主要存在两种观点。一种观点认为，商业化是人格权的权能发生扩张的表现，并不存在具有独立权利属性的商品化权利〔16〕。另一种观点认为，人格权商品化过程中生成了与其并列的权利，即独立的财产性权利。针对后一种观点，又进一步分化出两种有关数据财产权的不同观点，争议焦点为个人信息享有者是否应当作为数据财产权的应然主体。其一，认为个人信息是数据财产权产生的基础，数据财产权属于个人信息的衍生性权利，因此个人信息享有者应当是数据财产权的主体。其二，认为数据财产权的客体并非由个人信息简单叠加而来，而是经由个人信息处理者通过批量化的汇总、分析等环节后生成。经过这一过程，以集成化、类型化为特征的数据财产权与原始个人信息相比，具有本质性区别。因此，个人信息享有者并不具有初始的数据财产权。

笔者认为，针对数据财产权的权属争议问题，不能以截然的二分法界定。数据财产权的权利主体具有多元复合性，理由如下：

一方面，不能将个人信息享有者认定为数据财产权的单一权利主体。从权利的生成方式来看，数据财产权经由个人信息处理者加工后生成。数据财产权虽然以个人信息为基础，但是其已经产生了独立于个人信息的财产价值。因此，若仍然将个人信息享有者认定为数据财产权的唯一主体，将忽略个人信息处理者加工行为的价值，造成的负面影响主要表现为两点：一是将显著降低个人信息处理者生成规模化数据的积极性。二是数据处理行为主体与数据权属主体分离，极易引发一系列权属争议问题。

另一方面，也不能将个人信息处理者认定为数据财产权的单一权利主体。从权利的产生基础来看，数据财产权以个人信息为基础。没有批量化的个人权利，就没有具备商品化价值的数据财产权。因此，数据财产权中仍然存在身份识别要素。若将个人信息处理者认定为数据财产权的唯一主体，将忽略个人信息享有者的基本人格权。

综上所述，理想状态下，应当构建数据财产权属主体的“二元模式”。数据基于个人信息而生成，数据财产权的利益主体是多方面的，应当承认个人信息享有者和处理者在数据财产领域均享有权属地位。

（三）明确个人信息受保护权相对于数据财产权的优先性

个人信息享有者和处理者同时具有数据财产权的权利主体地位。值得注意的是，当个人信息享有者主张权利时，很多时候将对数据存储者、处理者产生直接影响，反之亦然。因此，在“两权分离”模式下，应当对个人信息享有者和处理者的数据权属进行分配〔17〕，具体来说，要明确权利冲突解决规则。

总体原则是个人信息享有者权利优先。数据权利基于个人信息生成，数据的财产属性基于个人信息享有者知情同意后产生。因此，对个人信息享有者给予充分保护，是数据得以利用的前提和数据价值得以发挥的基础。个人信息享有者权利优先原则主要包含“充分尊重”和“不得拒绝”两项子规则。

充分尊重规则，是指个人信息享有者在合法范围内行使数据权利时，个人信息处理者应当充分尊重个人信息享有者的行为。此项规则的法理依据在于，个人信息处理者享有的权利属于衍生性的财产性权利。康德从法哲学的角度提出了“人是一切行为的目的”〔18〕的论述，个人信息享有者的人格权直接体现为人格尊严，对个人信息的保護实际上是对人的主体性和目的性的保护。从这个角度来看，个人信息处理者应当对个人信息享有者予以合法范围内的尊让。充分尊重规则包括以下两个递进的程序：第一，个人信息处理者对具有强烈个人指向性的信息进行处理时，应当事先取得原始个人信息享有者的同意。举例来说，个人信息处理者利用个人信息对特定个人进行画像时，应当充分保障个人的知情权和参与权，以促进信息对称，即达到“他知”与“自知”的一致性〔19〕。第二，即使个人信息处理者在获得个人信息享有者同意的前提下，对个人信息附加了加工处理行为，也并不因此获得具有对世效力的数据所有权。一般情况下，个人信息处理者享有的数据权能仅限于使用和获得收益两项内容。充分尊重规则能够实现个人信息保护与数据发展的平衡，一方面能够充分保护个人信息享有者的基本人格权，另一方面能够促进个人信息处理者发展数据经济的积极性。

不得拒绝规则，是指当个人信息享有者在合法范围内行使数据权利时，个人信息处理者不得以获取更大范围的财产利益为由，对个人信息享有者的行为施加任何形式的干预、阻碍、拒绝。举例来说，部分电子商务平台在未经用户允许的前提下，对少数内容精致的“买家秀”进行优化处理后，上传至商品销售页面进行宣传，以达到刺激用户消费的目的。若某用户拒绝购物平台将带有本人信息的内容作为宣传手段，将可能对电子商务平台的预期经济收益带来一定程度的负面影响。此情况下，电子商务平台是否有权拒绝用户对个人信息的这一处理行为？依据《民法典》和《个人信息保护法》的规定，个人信息处理规则要达到的程度是“合法、合理、规范”。因此，只要个人信息享有者行使权利的方式不存在不合法、不合理或者不规范之处，此行为就受到法律保护，这是不得拒绝规则最直观的体现。

承认个人信息享有者权利的优先地位，并不意味着一味削弱个人信息处理者的权利。若个人信息享有者未依法或者依规行使个人权利，则个人信息处理者有权主张合法范围内的正当权利。个人信息处理者的权利获得法律保护的范围，以已取得权利的实际受损程度为限。对于个人信息处理者尚未取得的权利，则以一般理性人为视角，若合理预期内的正当权利必然会发生，则此部分利益也应当被纳入受保护的范围。

五、结语

数智时代，我国大力推行大数据战略，以个人信息为基础要素的大数据成为提升政府治理能力的新途径〔20〕。以行政机关为代表的具有公共管理职能的组织，对个人信息的收集、存储、利用大多基于公共服务过程中的数据共享需要。因此，不能简单以对待一般个人信息处理者的方式对其进行规制。对个人信息受保护权的性质、公共行政的特征进行解析，内在要求是完善行政机关的保护义务，促进大数据的合理利用，以此达到保护个人合法权利的目的。在大数据时代，个人信息受保护权不仅要求国家落实防御权导向下的消极保护义务，更要求其在客观法导向下落实制度性保障、组织与程序保障、侵害防治等积极保护义务〔21〕。也就是说，个人信息保护的行政法规制具有必要性。

大数据是数字法治政府建设的基础支撑，个人信息行政法保护的首要任务是数据确权。个人信息受保护权具有相对于数据财产权的优先性，具体体现为个人信息享有者在合法范围内行使数据权利时，个人信息处理者应当遵循充分尊重规则和不得拒绝规则。行政法规制措施一方面能够积极保障个人信息受保护权在数智时代衍生出的新兴权利（典型如数据财产权）在合法范围内得到实现，另一方面能够防治新兴权利对个人信息的侵害。实际上，个人信息的行政法保护并非全新的规制措施，而是在私法规制基础上对个人信息保护体系的完善。未来的课题是如何将行政法规制措施与私法规制措施进行更好的融合，为个人信息构建起更加精细的保护网，进一步推动数字法治政府建设和个人信息保护在数智时代的同步发展。

〔参 考 文 献〕

〔1〕梅夏英.在分享和控制之间 数据保护的私法局限和公共秩序构建〔J〕.中外法学，2019 （04）：845-870.

〔2〕王怀勇，常宇豪.个人信息保护的理念嬗变与制度变革〔J〕.法制与社会发展，2020（06）：140-159.

〔3〕刘 国.个人信息保护的公法框架研究——以突发公共卫生事件为例〔J〕.甘肃社会科学，2020（04）：155-162.

〔4〕杨立新.侵权法论〔M〕.北京：人民法院出版社，2005：779.

〔5〕龙卫球.数据新型财产权构建及其体系研究〔J〕.政法论坛，2017（04）：63-77.

〔6〕王利明.论数据权益：以“权利束”为视角〔J〕.政治与法律，2022（07）：99-113.

〔7〕张忆然.大数据时代“个人信息”的权利变迁与刑法保护的教义学限缩——以“数据财产权”与“信息自决权”的二分为视角〔J〕.政治与法律，2020（06）：53-67.

〔8〕李洪雷.行政法释义学：行政法学理的更新〔M〕.北京：中国人民大学出版社，2014：221.

〔9〕王海峰.试论行政协议的边界〔J〕.行政法学研究，2020（05）：24-36.

〔10〕孟德斯鸠.论法的精神：上册〔M〕.张雁深，译.北京：商务印书馆，1961：154.

〔11〕杨 峻.论网络服务提供者的公共行政职能及法律规制——以个人信息保护为视角〔J〕.社会科学战线，2018（08）：265-270.

〔12〕關保英，汪骏良.基于合作治理的数字法治政府建设〔J〕.福建论坛（人文社会科学版），2022（05）：188-200.

〔13〕王锡锌.个人信息权益的三层构造及保护机制〔J〕.现代法学，2021（05）：105-123.

〔14〕刘 权.个人信息保护的权利化分歧及其化解〔J〕.中国法律评论，2022（06）：107-120.

〔15〕申卫星.论个人信息保护与利用的平衡〔J〕.中国法律评论，2021（05）：28-36.

〔16〕王利明.人格权法研究〔M〕.北京：法律出版社，2005：282.

〔17〕申卫星.让数据共享在信息社会中发挥积极作用〔N〕.社会科学报，2021-11-18（01）.

〔18〕康 德.判断力批判：下册〔M〕.韦卓民，译.北京：商务印书馆，1964：144.

〔19〕高富平.论个人信息保护的目的——以个人信息保护法益区分为核心〔J〕.法商研究，2019（01）：93-104.

〔20〕吕廷君.大数据时代政府数据开放及法治政府建设〔M〕.北京：人民出版社，2019：134.

〔21〕王锡锌.个人信息国家保护义务及展开〔J〕.中国法学，2021（01）：145-166.

责任编辑 梁华林