BP和印度信任组建天然气合资公司

通过政治动员进一步赋能的公共利益，会使人们认为个体利益的牺牲更加理所当然，舍小为大的过程也可以变得简单粗暴，保护个体利益的主张有可能得不到公共部门的合理对待，甚至难以获得舆论支持，而是被危机压倒一切不惜任何代价的声浪所淹没。

[66]在新冠疫情防控中，地方层面的指挥机构也出现了相同的变化轨迹，即由党的系统主导应急决策和指挥。[37]在高层发出政治号召之后，代表政治忠诚度的初心使命就成为最重要的合法性机制，激励公职人员承担更多工作和更好地完成这些工作。

日常的治理效能是检验国家制度的标尺，非常的危难时刻更是检测国家制度的‘试剂。[15]党领导社会，则是在各个社会单元中设立基层组织，使其成为战斗堡垒。首先，这是最高领导人首次在重大突发事件的应对中一再专门强调依法治理，并被有关部门付诸有力行动。[62]参见龙太江：《社会动员与危机管理》，载《华中科技大学学报（社会科学版）》2004年第1期，第39页。只有这样做，才可能保持法律责任追溯的闭环链条，使应急行政活动最终仍能落入法律设定的基本行为框架之内。

[57]同前注[27]，王浦劬、汤彬文，第21页。[42]突发事件应对中的法治，要义在于实现特殊状态下公、私权之间的再平衡，即为国家紧急权力拓展必要空间的同时施予约束，使其不被滥用和长期化。不过，这一规定并非将个人信息权利束当作民事权利进而直接链接到民事侵权诉讼。

若是将传统的人格权制度直接套用到个人信息权利束的适用上，不仅会导致民法内在的体系混乱，也会引发个人信息保护法律适用难题。(35)参见张平：《大数据时代个人信息保护的立法选择》，《北京大学学报》2017年第3期。不论是传统的公共和私人机构还是新兴的网络平台，都通过对个人信息的采集、分析、处理、决策等方式深刻影响甚至决定个人的生活，对个人的人格尊严、安宁、隐私、财产等权益带来各种潜在风险。(33)See Christopher Kuner,Lee A.Bygrave and Christopher Docksey,eds.,The EU General Data Protection Regulation(GDPR):A Commentary,New York:Oxford University Press,2020,p.1174. (34)参见戴昕：《数据隐私问题的维度扩展与议题转换：法律经济学视角》，《交大法学》2019年第1期。

利益说的论证，如程啸：《论我国民法典中的个人信息合理使用制度》，《中外法学》2020年第4期。如果我们用国家控制和个人自主作为坐标系的两个维度，可以按国家控制与个人自主的变量关系，将经济社会领域的法律规范大致分为管理法促进法权利法保护法四个类型。

国家并非要保护个人对其信息的支配与控制，而是赋予个人各种手段和工具，在个人与信息处理者之间形成工具理性的制衡结构与行为模式，进而保障个人免受数据权力的支配、减少数据处理风险，相应地也就保护了与个人信息相关的个人尊严、隐私、财产等实体价值。这一防御性权能主要表现为知情权、查询权、复制权所要求的信息披露机制以及说明理由、更正与异议权等对应的发言参与机制。这种情况下的同意，如果非要用民法的意思自治来解释，未免会显得牵强。(45)See Helen Nissenbaum,"Privacy as Contextual Integrity," Washington Law Review,vol.79,no.1,2004,p.128. (46)See Conselho da Europa,Handbook on European Data Protection Law,Luxembourg:European Union Agency for Fundamental Rights and Council of Europe,2018,pp.225-227. 进入专题： 个人信息权利束 国家保护义务 工具性权利 。

例如，隐私保护政策的文本具有高度的专业性、复杂性，而个人往往缺乏时间与能力对涉及方方面面的隐私政策条文进行有效理解。国家通过对权利束具体权能的保护，直接目的是要求个人信息处理者合规，而非对私权损害的救济。(33)也就是说，无论是可以依法向人民法院提起诉讼还是有权获得有效的司法救济，这些关于个人诉权的规定，都不应被解释为确立了一套直接针对权利束的民事诉讼机制，而是强调个人信息保护法秩序内在地具有保护个人权益的目标和功能，因而在监管执法处理的前置性程序要求下，个人依然可以主张保护请求权，并享有在穷尽行政救济途径后提起诉讼的权利。⑤也即是说，这些研究者普遍将个人信息权利束作为个人信息民事权(益)衍生出的具体权项，将个人信息民事权利束—个人信息处理者义务框架作为个人数据治理的基本框架。

在这个意义上，个人在信息处理活动中的权利规则以及信息处理者的义务规则，乃是国家响应个人信息受保护权这一宪法权利的要求，履行其积极保护义务的结果，而不是通过私法上的个人信息权逻辑演绎的结果。⑥See Lawrence Lessig,"The Architecture of Privacy," 1 Vanderbilt Journal of Entertainment Law and Practice,vol.1,1998.我国学界的相关引入与主张，参见龙卫球：《数据新型财产权构建及其体系研究》，《政法论坛》2017年第4期。

从国家规制视角探寻个人信息权利束的法理基础，不能将视野局限于规制层面，而需要从更高层次的宪法维度寻求答案。我国民法学界通常将权利束的性质理解为个人自主控制范式下的民事权利，并将其解释为个人信息权的具体权能。

在监管层面，国家可将权利束作为工具，推进个人信息保护规范实施中的策略选择和具体部署，形塑不同行业、不同场景下信息处理者的行为模式，在提高个人信息保护水平的同时兼顾对产业发展的引导和推动。(45)但需要注意的是，此类进攻性权能并不意味着个人对信息处理活动具备自决权。(46)可以说，相较于以程序正义为核心的防御性权能而言，进攻性权能对数据处理活动的干预性更强，对处理者义务设定与履行成本的要求更高，因而更应强调双方权责合理配置的分配正义。(42) 第二，审慎对待可携带权的功能。③在保护强度上，将个人信息作为权利还是利益进行保护亦众说纷纭。即便在一些情况下，个人的确是基于自由意志而同意信息处理者处理其某项信息，也难以意识到各种信息聚合之后所产生的风险，亦无法应对个人信息被侵害的集体性质问题。

实际上，国家机关处理个人信息时，个人往往无法启动权利束中的诸多具体权能，原因在于：在公法领域，国家机关处理个人信息的行为是职权行为，具有高权性、强制性、公益性的特点。很明显，这一司法解释的基本逻辑，就是将个人信息权利束界定为民法上的实体权益，并直接通过民事诉讼途径加以保障和救济。

(28)关于个人信息保护风险规制思路的展开，参见梅夏英：《在分享和控制之间：数据保护的私法局限和公共秩序构建》，《中外法学》2019年第4期。个体权利与主体利益分配也并不处于主要位置，特定产业或事业的发展则被作为首要目标。

个人则负有配合义务，不享有自主决定权以及基于私法权益的补偿请求权。这些权利对于数据处理的公平准确起到了工具性的作用，特别是在纠正事实和推断错误方面。

(31) 相较于私法赋权模式的事后维权机制，公法秩序下工具性权利的定位，一方面可以将平台责任前置，使监管者可以要求数据处理者在数据处理前便对权利束的行使与受理机制进行妥善规定，以实现事前防范与主动防护，在风险性信息处理行为尚未规模化发生时便设计、反思与完善更合理的用户规则，促进隐私政策的民主性、合理性、公平性。实践中，机构和平台对个人信息的过度采集、过度挖掘、算法驱动的自动化决策、个人信息泄露及非法流通利用等情形时有发生，这些本质上都是数据权力滥用的表现。例如，GDPR实施一年后，欧盟各国监管机构处理的投诉、数据泄露通知等行政案件总数突破28万件，成为维护个人信息受保护权利的最主要机制。(35)相比之下，根据国家保护义务逻辑，只要信息处理者违反权利束规则所对应的行为模式与法定义务，不论其是否造成信息主体实际损害，都可认定为违法。

最后，从风险控制的角度观察，信息披露也有利于相关个体及专业力量更加准确地评估、识别数据集聚的动态化、复杂性风险并采取相应风险防控手段。个人信息保护是大数据时代所呼唤的一种能够适应个人保护和数据利用双重目标的法秩序格局。

为此，本文从国家保护视角，结合比较法经验和我国实践，梳理个人信息权利束的理论脉络，重思权利束的法理基础与法律性质。事实上，在各国监管实践中，个人信息处理者的义务以及个人在信息处理中的权利，都是被当作信息处理机构的合规义务。

这种理解对个人信息权利束的性质和功能存在一定的误读。其次，信息披露也有助于信息主体了解信息的去向和使用目的，便于个人作出理性决策。

2.交涉促进功能 在保障个体知情参与、实现程序保护与防御功能之外，程序正义还内蕴了沟通理性的要求。个人信息处理者——特别是一些超大型平台，在技术、资源和话语等维度都具有相对于个人而言的巨大势能，因而形成一种事实上的平台权力。⑨王怀勇、常宇豪：《个人信息保护的理念嬗变与制度变革》，《法制与社会发展》2020年第6期。第三，权利法以私权的赋予或确认为主要内容，国家依据尊重私主体意思自治、维护私法交易秩序的主线展开制度建构，以各类民商事立法为代表。

从欧盟GDPR实施过程的实践看，情形正是如此。在法律性质上，个人信息处理规则属于公法秩序，是国家为了规范个人信息处理活动而选择的规制策略，其背后体现的是个人信息立法的保护法使命：基于个人与个人信息处理者之间的不对称权力结构，个人信息保护必须体现国家对个人的赋权和支援，而不是听任和观望处于弱势一方的个人与强势的信息处理者进行空手博弈。

以前文提及的知情—同意困境为例，这种国家保护的模式可以有效缓解同意的乌托邦困境。权利束的具体操作规则与合规要求也可以衔接民法上的侵权责任构成、不同责任承担方式的选择、证明责任分配等内容。

当下，将个人信息权利束理解为实体性民事权益的观念，在法律实践中仍具主导性影响，存在将个人信息权利束直接视为民法人格权益予以司法保护的态势。再次，从司法的效果看，此类民事诉讼中，法院最多只能针对个人的人格权益作出个案化处理，无法对信息处理活动的处理规则进行源头治理，个案化、个别化、碎片化的裁判对于解决个人信息处理的公共风险而言无疑是杯水车薪。