Marise Cremona et al.eds.，New Technologies and EU Law, Oxford University Press, 2017，p.140. [62]同前注[16]，王锡锌文，第150-153页。

[82]参见陈征：《论部门法保护基本权利的义务及其待解决的问题》，载《中国法律评论》2019年第1期，第53-55页。而在客观法面向下，基本权利则要求国家帮助和促进基本权利实现，尤其是在基本权利受到第三方影响时，国家有为其提供保护的积极（作为）义务。

此种功能下，个人信息受保护权处理的是国家—个人—第三方的三边关系，国家为使个人尊严免受第三方侵害而积极提供保护。根据《干部档案工作条例》第31条和《企业职工档案工作管理规定》第17条，任何个人不得查阅本人档案。这种内在限制不应过大，否则会不当限缩宪法保护的范围。[21] 第二，个人信息权益不仅具有民事权利属性，也具有公法权利属性。《个人信息保护法草案（一审稿）》《个人信息保护法草案（二审稿）》第4条表述为：个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息。

例如《希腊宪法》第9条规定：任何人就其个人信息的收集、处理和使用，尤其是通过电子手段为之的，受到法律保护。[34]同前注[5]，张里安、韩旭至文，第124页。只有在民法典中确认个人信息权后，才能为个人信息保护的特别立法提供民事基本法依据。

当然，第35条还进一步规定：国家机关为履行法定职责处理个人信息，应当依照本法规定向个人告知并取得其同意。[82]参见陈征：《论部门法保护基本权利的义务及其待解决的问题》，载《中国法律评论》2019年第1期，第53-55页。而在客观法面向下，基本权利则要求国家帮助和促进基本权利实现，尤其是在基本权利受到第三方影响时，国家有为其提供保护的积极（作为）义务。此种功能下，个人信息受保护权处理的是国家—个人—第三方的三边关系，国家为使个人尊严免受第三方侵害而积极提供保护。

根据《干部档案工作条例》第31条和《企业职工档案工作管理规定》第17条，任何个人不得查阅本人档案。这种内在限制不应过大，否则会不当限缩宪法保护的范围。

[21] 第二，个人信息权益不仅具有民事权利属性，也具有公法权利属性。《个人信息保护法草案（一审稿）》《个人信息保护法草案（二审稿）》第4条表述为：个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息。例如《希腊宪法》第9条规定：任何人就其个人信息的收集、处理和使用，尤其是通过电子手段为之的，受到法律保护。[34]同前注[5]，张里安、韩旭至文，第124页。

刘德良：《个人信息的财产权保护》，载《法学研究》2007年第3期，第80页。有学者进一步把权利主体限于个人，明确个人信息权是信息主体对其信息享有占有、使用、收益、处分，并防止他人侵害的权利，[55]这使个人信息权变成个人信息自决/控制权的缩写。另见周汉华：《探索激励相容的个人数据治理之道——中国个人信息保护法的立法方向》，载《法学研究》2018年第2期，第21页。个人信息保护法草案正是通过赋予个人工具性权利束，来平衡这种场景下的非对称权力结构。

[33]这一主张遭遇了两种批评：一是批评这要求宪法法院或宪法裁判空间，并不符合我国当前国情。张红：《〈民法典（人格权编）〉一般规定的体系构建》，载《武汉大学学报（哲学社会科学版）》2020年第5期，第155-173页。

理由如下：①作为民事权利的个人信息权无法对抗公权力机关。[34]二是批评将保护个人信息提高到基本权利的地位有过度强化个人信息保护之嫌，在与信息自由流通以及信息产业发展间容易产生摩擦。

第27条规定，在公共场所安装图像采集、个人身份识别设备，应当为维护公共安全所必需。冯果、薛亦飒：《从权利规范模式走向行为控制模式的数据信托——数据主体权利保护机制构建的另一种思路》，载《法学评论》2020年第3期，第70-73页。[88]同前注[13]，张新宝文，第72-73页。屠振宇：《宪法隐私权研究——一项未列举基本权利的理论论证》，法律出版社2008年版，第五章。相反，对公权信息处理者来说，其个人信息处理活动是以法律授权而非信息主体的知情—同意为基本原则。参见叶名怡：《个人信息的侵权法保护》，载《法学研究》2018年第4期，第94页。

[23]同前注[16]，王锡锌文，第149页。这些规范都是在落实过度禁止（überma#223;verbot）要求，防止个人信息处理突破比例原则的边界。

[72]2021年修订的《行政处罚法》第50条也有此问题。[92]参见陈潭：《单位身份的松动：中国人事档案制度研究》，南京大学出版社2007年版，第66-68页。

这是因为在德国基本法上，人的尊严和一般人格权的主要差异是前者不可干预，而后者可被干预，[48]我国宪法则没有这个差别，因为根据《宪法》第51条，两者都应受公共利益和他人权利限制。③当然，民法学者意识到国家早已成为个人信息的处理者，也承认公法保护的重要性，[24]但因担心承认个人信息公法权利会导致公权机关优位和公权膨胀，仍坚持个人信息仅仅是民事权利客体。

摘要:  我国个人信息保护法律体系需要一个兼具解释和规范价值的核心概念作为基础。[23]另一方面，对抗私主体的民事权利无法派生对抗公主体的公法权利及配套的公法保护机制。[71]因此，对私人信息处理者而言，信息主体的知情—同意是信息处理的基本原则，除非立法有例外规定。参见龙卫球：《数据新型财产权构建及其体系研究》，载《政法论坛》2017年第4期，第70-73页。

这些规范均表明处理个人信息必须符合法定条件。[14]参见梅夏英：《数据的法律属性及其民法定位》，载《中国社会科学》2016年第9期，第164页。

[8]尽管个人信息受保护权的使用、收集过程中存在着行政管理部门的公法行为，但这只需要规定政府部门在信息管理过程中的职责与责任即可，个人信息保护法的核心内容应是民法规范，政府部门的公权在个人信息领域不宜膨胀。这些行为只能对应公法义务。

有鉴于此，我国应当采用个人信息受保护权这一概念。[89]同前注[75]，叶名怡文，第94-95页。

但个人信息并非如此，在现代社会，其保护和流转价值并重，不存在孰为前提、孰为例外。这也能解释为什么《民法典》第993条在设定人格利益许可使用制度时，只列举了姓名、名称、肖像，而没有提及个人信息，因为个人信息的流转、交易与传统民法上的人格利益许可使用并不相同。[13]参见张新宝：《〈民法总则〉个人信息保护条文研究》，载《中外法学》2019年第1期，第65-67页。例如美国《隐私法案》就只规定公民对联邦政府的信息处理活动享有知情权、查阅权、复制权、更正权、补充权，而未规定删除权。

第三，在宪法上个人信息受保护权的视野下，通过展开其内容、功能与限制，建构我国个人信息保护法律体系。[25]但现代公法权利的本意是主观公权利，反映了约束公权、张扬人权的政治哲学，[26]与民法私权神圣、私法自治的价值导向若合符节。

但区分该条指向的到底是人的尊严还是一般人格权，对于把个人信息保护纳入我国宪法基本权利而言，意义并不大。[3]②认为个人信息权本质上是一种对世、排他、绝对的个人信息自决权，保护自然人对个人信息的自我占有和支配。

《网络安全法》第41条要求网络运营者依照法律、行政法规的规定处理其保存的个人信息。丁晓东：《个人信息私法保护的困境与出路》，载《法学研究》2018年第6期，第194-206页。