一、導言：《個人信息保護法》作為數字化時代重要的現實立法

《個人信息保護法》2021年8月20日出臺，順應了我國數字化發展背景下關系每個人最直接、最現實利益的立法需要。個人信息保護是網絡信息化時代開始凸顯的一種新型的、基礎性的重要個人利益。2020年10月13日提請首次審議時，《關于〈中華人民共和國個人信息保護法（草案）〉的說明》（以下簡稱《個保法草案說明》）就指出：“在信息化時代，個人信息保護已成為廣大人民群眾最關心最直接最現實的利益問題之一……制定一部個人信息保護方面的專門法律，將廣大人民群眾的個人信息權益實現好、維護好、發展好，具有重要意義?！盵2]可見，《個人信息保護法》是我國置身數字化時代不可或缺的一項基礎性立法。

《個人信息保護法》在全部網絡信息法律體系中占據最基礎的位置，體現了網絡信息領域法律的主要形成和發展基礎。我國在《個人信息保護法》之前就制定了《網絡安全法》《電子商務法》和《數據安全法》等，這些法律展示了網絡信息空間不同的規范重點，但都沒有成為網絡信息領域法律的體系基礎?！秱€人信息保護法》的出臺填補了這個空白。雖然對網絡信息空間的言論自由、網絡安全、知識產權、電子商務等利益保護和規制也應是網絡空間規范重點。[3]但從人本主義角度，由于個人信息保護的需要最為基礎，所以仍以《個人信息保護法》為最重要、最必要。[4]

認識《個人信息保護法》的基礎意義，必須緊貼數字化時代背景，把握其蘊含的最基本需求和根本矛盾。隨著網絡信息科技取得顛覆性發展，互聯網從簡單信息化階段發展到復雜數字化階段，世界進入了大數據時代。[5]早期互聯網更多追求信息交互意義上的互聯互通，當下互聯網則追求基于移動手機、大數據、云計算、人工智能、物聯網等新技術帶來的數字資源化實踐，演化出數字經濟、數字社會和數字管理的繁榮前景。一方面，數據變得極其重要，數據資源晉升為新的戰略資源，大數據戰略上升為國家戰略[6]，我國當然也不例外。[7]另一方面，大數據戰略驅動下的網絡和數字創新和應用，也導致層出不窮的問題，其中顯著問題之一就是數字化發展和個人信息保護日益陷入復雜的矛盾關系。數字化發展使得個人信息得以大量顯現和形成，并因具有極高數據化價值而備受產業和管理青睞，但同時也伴生出對個人的大量的負面效應，特別是其中未經同意的處理和愈演愈烈的濫用導致個人受到相應的損害或風險。著名隱私和個人信息法專家丹尼爾·索羅夫（Daniel J.Solove）和保羅·斯瓦茨（Paul M.Schwartz）指出，“我們生活在一個由技術形塑和信息推動的世界，技術設備——如移動電話、視頻和音頻記錄設備、計算機和互聯網——已經徹底改變了我們捕捉世界信息和相互溝通的能力。信息是當今社會的生命線。我們的日?；顒釉絹碓蕉嗟厣婕靶畔⒌膫鬟f和記錄。政府于個人出生、婚姻、離婚、財產、法院訴訟、機動車輛、投票活動、犯罪違規、專業許可和其他活動有關的記錄中收集了大量的個人信息。私營部門實體還積累了龐大的個人信息數據庫，用于營銷或準備信用記錄……這些新技術，加上企業和政府越來越多地使用個人信息，對保護隱私提出了新的挑戰?！盵8]換言之，個人信息本身成為對個人來說越來越具有重大利益相關或者說重要影響的屬性，進而導致全新的個人信息相關保護的根本需要。

在此背景下，重視個人信息保護問題，將個人信息保護立法確立為一種新型領域立法，并且系統性地加以制定，逐漸成為數字化時代法律新發展趨勢。據不完全統計，從20世紀70年代開始至今，有關國際組織和歐盟等先后出臺了個人信息保護領域的準則、指導原則和法規，全世界有140多個國家或地區出臺了關于個人信息保護的法律。[9]其中，歐盟、日本的相關個人信息保護立法最受關注，影響較大。歐盟[10]和日本[11]制定了關于個人信息保護的綜合基本立法。而我國更加追求一種水到渠成的效果。[12]一種頗具代表性的觀點認為，盡管加強個人信息保護已經成為社會共識，但個人信息保護極具爭議，其基本理論問題難以定論，因此應當保持立法上的謹慎。[13]此前，我國也存在對數字經濟應當采取謹慎立法的呼聲，希望以包容創新、漸進規范的做法，給予網絡和數字創新必要窗口期。這種呼聲反映到個人信息保護上，就是希望不要過于嚴格，而應當在充分甚至優先支持網絡數字化快速繁榮的條件下處理個人信息保護的要求。[14]

此次《個人信息保護法》面世，意味著我國對于數字化背景下個人信息保護的要求、范圍、方式等作出了重要的系統的立法決斷。當然，此前針對現實突出的必須要解決的個人信息保護要求，不斷通過適時修改或者制定相關法律，加以階段性跟進，包括在刑民等基本法上，都作出了明顯的努力。[15]但是新出臺的《個人信息保護法》具有劃時代的意義，其與此前階段性的努力存在重要差異。即不再體現為只突出支持數字化創新發展，而是明確以“促進數字經濟健康發展”為目標，要求“應當統籌個人信息保護與利用，通過立法建立權責明確、保護有效、利用規范的制度規則，在保障個人信息權益的基礎上，促進信息數據依法合理有效利用”[16]，因此作出了促進數字化創新發展和個人信息保護并重的重要跨越。那么，應當如何解讀這部立法作出的重要跨越，或者說如何準確認識它的基本體系和主要制度呢？與過去比較，有哪些重要發展和變化？與其他國家比較又存在哪些重要的相同和不同呢？筆者擬從其定位、功能預設等角度對該法加以審視，旨在彰顯其主要體系的基礎所在，并借此體會法律體系及其功能正在發生急劇演化的震撼現實。

二、《個人信息保護法》的基本法定位及與《民法典》規定的關系

（一）作為與其他基本法具有并存地位的新型領域基本法

《個人信息保護法》在第1條開宗明義地宣示和規定了其基本宗旨和制定根據，“為了保護個人信息權益，規范個人信息處理活動，促進個人信息合理利用，根據憲法，制定本法”。這一宣示明確了自身作為個人信息新型領域的專門法暨基本法的定位。

首先，該法通過基本宗旨的宣示，明確了自身是個人信息領域的專門法，即屬于“為了保護個人信息權益，規范個人信息處理活動，促進個人信息合理利用”的法律。個人信息領域是否具有制定專門立法必要，過去對此存在爭議。[17]網絡立法早期，美國曾經出現所謂“馬法之爭”，以知名學者因斯布魯克（Frank H.Easterbrook）為代表的一種觀點認為，對網絡領域像勞動法等那樣進行專門立法毫無必要，無論調整對象還是調整手段都不具備成立獨立法律部門的條件，而所謂網絡法不過是將相關部門法的某些部分合起來的一種說法罷了。[18]這種觀點遭到新興領域學者反對，后者更有說服力地論證了網絡法存在獨立的必要和趨勢。其認為，網絡空間是正在快速成長起來的一個特殊法律調整空間，涌現出傳統領域所不具有的法律規制問題，傳統法律并不能調整，因此應該將網絡法創設為一個新的有機的整體，所以網絡法不可能是從憲法、民事訴訟法、合同法以及行政法等中剝離出來相關部分的簡單混合。[19]隨著互聯網大數據背景下信息化、數字化的不斷席卷，網絡背景下個人信息保護等問題作為需要規制的新型問題越來越顯示出足夠迫切而重大的獨立立法需求，這種爭議聲逐漸消失了?，F在，各國已不再猶豫或吝惜去出臺包括個人信息保護法在內的網絡信息立法，需要考慮的已變成應該如何確保相關專門立法具有適時性和合理性等新問題。歐盟在2000年《基本權利憲章》專門設定第8條，賦予個人數據保護獨立基本權利的品格，甚至為個人信息保護確立憲法上的直接依據[20]，并在此基礎上制定專門的2016年《一般數據保護條例》。我國2020年出臺《民法典》，以追求合乎“時代性”為要求，在第四編人格權第六章創設個人信息保護，確立了有關個人信息保護的基本私法制度，但很快就發現依靠部門法調整存在不足，無論從調整對象還是從調整方法上都有必要對個人信息保護制定一部專門的更加系統的法律，為此又出臺了《個人信息保護法》?？梢?，《個人信息保護法》是對自身作為一種新型領域的獨立法律的積極回應。

其次，該條明確標示“根據憲法，制定本法”，是我國現行網絡法律中唯一一部直接標示“根據憲法”制定的法律。此處“根據憲法”的表述，不僅是程序上也是實質意義上的，全國人民代表大會憲法和法律委員會為此在其最終審議結果報告中作出了說明，指出《個人信息保護法》直接依據憲法確立保障公民的人格尊嚴和其他權益的要求，即國家尊重和保障人權、公民的人格尊嚴不受侵犯、公民的通信自由和通信秘密受法律保護三項規定。[21]這表明，該法不僅是個人信息保護領域的基本法，也是整個網絡信息法律體系的基本法，同時也成為與刑民基本法并存的基本法。立法過程中，存在與現行刑法、民法關系的討論。有觀點建議將之設計為《民法典》的單行法，作為《民法典》中有關個人信息保護基本私法制度的具體化法。[22]但相反觀點認為，個人信息保護法是嶄新的法律部門，作為正在興起的網絡信息法的核心組成部分，不能將《個人信息保護法》簡單處理為《民法典》的下位法，個人信息保護與其可以作為人格權保護是兩個不同的問題，否則等于“將傳統的人格權理論和制度套用到個人信息保護領域，必然出現各種不適配問題”，“只有科學認識這兩部法律的關系，才能使個人信息保護法針對信息時代個人信息保護所面臨的現實問題，設計相應有針對性的制度，而不是被傳統民事法律制度所束縛”。[23]《個人信息保護法》放棄了作為《民法典》下位單行法的定位，而是通過直接標示“根據憲法，制定本法”，將自身設定為具有與刑法、民法基本法同等地位的個人信息保護領域的基本法，同時也是全部網絡信息法律體系的基本法。由此，《個人信息保護法》和刑民基本法成立一種并存交叉關系，而非隸屬關系，其相互關系，不是通過一般法和特殊法的關系模式來確定，而是通過相互的轉介條款來進行指引或銜接。

在這種意義上，《個人信息保護法》對現行法律體系無疑具有一種不可忽視的體系建構作用，形成了重要的體系發展。首先，意味著在數字化時代，既有的法律體系發展出一個新的獨立部分，即個人信息保護法以及以之為基礎的網絡法律。在該新的獨立法域，個人信息保護法居于最基礎的地位，比《網絡安全法》《電子商務法》《數據安全法》等其他網絡法律具有更高地位，不僅是個人信息保護領域的基本法，也是整個網絡信息法或者網絡空間法的基本法。作為領域基本法，它與其他網絡法律的關系，既有一般法與特殊法的關系，也有新法與舊法的關系，還存在上位法與下位法的關系。其次，意味著在數字化時代，個人信息保護法作為領域基本法，具有獨立的基本地位，應該具有與民法、刑法基本法平等的法律地位，而不能被看成部門基本法的下位法。它雖然與刑法、民法基本法難免發生交叉規范關系，但是其作為獨立的核心內容，即體現在《個人信息保護法》中的主要制度，卻是源于自身領域的特殊規范需求，并且體現自身特殊的調整特點，有自己的獨立范疇和邏輯訴求。

（二）作為新型領域基本法與《民法典》相關規定的體系關系

《個人信息保護法》對于《民法典》這樣一部在我國當前法律體系中唯一被冠以“法典”之名的民事基本法，必須予以充分尊重。這不僅是法律之間必須遵循的基本協調所要求的，也是由《民法典》被明確賦予具有“固根本、穩預期、利長遠的基礎性法律”[24]的地位所決定的。事實上，《個人信息保護法》在起草過程中，能夠與《民法典》進行協調的都自覺進行了協調。[25]但是又應該注意，《個人信息保護法》既然被設計為是“根據憲法”而制定的具有基本法地位的法律，那么就應該維護其具有的獨立并存地位，在充分尊重民法典而進行協調的同時，必須明確這種充分尊重是有限度的，不得違背并存關系的基本要求。

首先，兩部法律作為并存基本法，適用時在相同主題事項上應該保持體系融貫，彼此呼應。這種融貫基礎不是依據一般法與特殊單行法的關系，而是從并存基礎上對兩部基本法所提出平等協調、相互補充的立法和適用關系?！睹穹ǖ洹穼τ趥€人信息保護作出了基本規定，可以將之定性為關于個人信息的基本民事制度，主要體現為第一編總則第五章“民事權利”的第111條、第127條和第四編人格權編第六章“隱私權和個人信息保護”的有關規定。《民法典》是從人格權益角度確立個人信息保護制度的，但在“個人信息保護”名義下，第六章第1034～1039條實際規范在內容上卻包括關于個人信息的權利、個人信息處理者的義務以及相關處理行為規范、免責事由和國家機關等具有公共職能主體的特殊義務。從其體系整合角度而言，第六章相關基礎規范沒有特殊的，都要回溯人格權一般規定、民事權利一般規定加以補全，相關民事責任保護方式沒有特殊規范的，則要銜接侵權責任編相關規定、民事責任一般規定。

其一，應注意《民法典》對于個人信息保護提出了將個人信息保護和數據保護并置的原則思路（第111條和第127條）。[26]這些在《個人信息保護法》并沒有排除，在適用中應該成為個人信息保護的更高體系架構。第111條第一句話宣示個人信息受法律保護，第二句話對需要獲得他人個人信息的任何組織或個人，就其活動設定了行為規范，可以從中解釋出規定了個人信息獲取者的三項行為義務，包括一項“應為”的作為義務（應當依法取得并確保信息安全）和兩項“禁止”的不作為義務（不得非法收集、使用、加工、傳輸他人的個人信息；不得非法買賣、提供或者公開他人個人信息）。第127條與第111條并存，明確了數據與個人信息具有保護上的并置關系，規定“法律對數據、網絡虛擬財產的保護有規定的，依照其規定”。在此，應關注立法部門在未來制定數據保護法的可能。

其二，應注意《民法典》區分規定了隱私權和個人信息保護，第四編第六章明確將隱私權和個人信息保護區分開來。這種作法形式上與歐盟相似?！睹穹ǖ洹返?032條確立隱私權及隱私范疇。第1034條則確立個人信息保護及個人信息范疇。作為隱私權保護對象的隱私，指向的是私人生活安寧和相關私密領域，顯然不僅是信息私密，既有物理意義的身體隱私，也有社會意義的空間隱私，還有信息意義的隱私，而作為個人信息保護對象的個人信息，則被界定為可識別個人的各種信息?？梢钥吹剑瑑烧叩膮^分是明顯的，但也有交叉，即在信息隱私領域，個人信息概念涵蓋了信息隱私，也就是說個人不愿為他人知曉的私密信息雖然應當劃入隱私權保護，但同時也落在個人信息保護的對象范疇?！睹穹ǖ洹窞榇嗽诘?034條第3款明確相互的法律適用關系是，將隱私權規定視為特殊規定，個人信息保護規定視為一般規定，特殊規定沒有規定的，可以適用個人信息保護規定。上述區分隱私權和個人信息保護以及處理二者相互交叉領域關系的規則當然也應該為《個人信息保護法》所尊重。

其三，《個人信息保護法》和《民法典》之間還有意通過相關設計不完全規定或引介規定，打通體系，對接相互的規定?！秱€人信息保護法》第69條規定，“處理個人信息侵害個人信息權益造成損害，個人信息處理者不能證明自己沒有過錯的，應當承擔損害賠償等侵權責任”。該條除了提出過錯推定歸責的特殊要求之外，也從指向侵權責任的角度，與《民法典》有關侵權責任的規定聯系起來。[27]《民法典》也有類似的規定，如第1037條第2款規定：“自然人發現信息處理者違反法律、行政法規的規定或者雙方的約定處理其個人信息的，有權請求信息處理者及時刪除?！逼渲?，“法律”當然也包括《個人信息保護法》。

其次，這兩部法律作為并存基本法，在個人信息保護制度設計上也存在明顯的差異，對此應當從維護個人信息保護法作為具有獨立并存地位的領域基本法角度處理這些差異規定的適用關系。對差異規定應區分情況，適用功能評價原則。鑒于《個人信息保護法》屬于領域新法，與《民法典》相比，其發生修補的，應適用修補優先，如果不屬于修補的差異，則適用互補。兩部法律的差異，很大部分是由功能差異形成的，后面相關部分將具體展開研究?！秱€人信息保護法》的功能差異使其不僅在調整方法上具有綜合立法的特點，而且具體調整規則設計存在較為明顯的功能差異面向。從調整方法來看，相比作為部門法的民法，需要融合多種不同性質的調整方法，其相關保護制度不只是民事的，而是多種保護面向的，還包括行政的、刑事的甚至訴訟程序方面的保護制度，也包括涉外的保護規則。從功能差異來看，《個人信息保護法》的相關保護制度顯然不可能是相關部門法規則的簡單具體化和特殊化，而是基于自身復雜的特殊調整功能要求的新體系規則建構。比如，《個人信息保護法》規定個人信息處理者的義務，除了私法義務還增加了管理義務；規定履行個人信息保護職責的部門的規定（涉及部門分工、職責、管理、執法等管理規定），實際為增設了體現管理保護功能的增強制度。這些都是旨在加強個人信息保護的新機制，是《民法典》所沒有的。對此，當然應當從功能評價的角度加以適用，不能因為《民法典》沒有規定就作出否定。

當然，有些差異可能與功能預設無關，而純屬于兩部法律之間的體系矛盾。這種情況，原則上應該堅持先用并存協調的原則加以調和，如果確實存在難以調和的矛盾，則宜采取新法優于舊法的原則（而非特別法優于一般法的規則，也不是上位法優于下位法的規則）來作體系平衡。在此，《個人信息保護法》即為新法。

三、《個人信息保護法》對《民法典》個人信息保護私法制度的重要修補

《個人信息保護法》堅持自己作為具有并存地位的領域基本法的定位，從現實合理需要出發，不僅從自身作為領域法的全功能體系出發建立了系統化的個人信息保護制度，而且對于其中相關私法制度，也從實際合理的需求出發，作出更加完善規定。只要經過科學民主的論證和討論，發現《民法典》規定存在不足應當修補的，就果斷予以修補。具體而言，《個人信息保護法》無論在關于個人信息的概念上，還是在相關權利和義務等規定上都對《民法典》的相關規定做出了重要的修補，而不只是簡單細化和補充。這些修補不能視為對《民法典》的違反或抵觸，而應該是有效的、合理的修改、完善。

（一）關于個人信息等概念的修補

《民法典》通過第1034條第2款，將個人信息界定為，“個人信息是以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人的各種信息，包括自然人的姓名、出生日期、身份證件號碼、生物識別信息、住址、電話號碼、電子郵箱、健康信息、行蹤信息等”?！秱€人信息保護法》第4條第1款也對“個人信息”予以界定，“個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息，不包括匿名化處理后的信息”。比較起來，后者不僅表述更加簡潔，而且也有范圍上的明顯變化，明確排除了“匿名化處理后的信息”，也就是說匿名化處理后的信息不再納入個人信息的范疇，自然也就不適用個人信息保護?？梢?，《個人信息保護法》關于個人信息的概念界定，對《民法典》定義做出了不可忽略的修補。此項修補由于僅采取抽象而沒有采取列舉加概括的定義方式，顯得更加模糊；但是明確排除匿名化處理后的信息，對于執行匿名化的個人信息處理者來說，是極大的利好，鼓勵了它們積極開發和應用符合要求的匿名化處理技術。[28]《個人信息保護法》第4條第2款還重新界定了個人信息的處理范圍，包括“個人信息的收集、存儲、使用、加工、傳輸、提供、公開、刪除等”，對比《民法典》第1035條第2款的界定，即“個人信息的處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開等”，明顯增加了對刪除的列舉，這就使得“刪除”明確進入應當受到規范的個人信息處理活動的范圍。

（二）關于自然人對個人信息的權利的修補和增加

《民法典》第1037條規定了自然人對其個人信息的相關權利，其中第1款規定了查閱或者復制的權利、針對錯誤提出異議并請求及時更正的權利；第2款規定了存在違法或違反約定的處理情形下的請求刪除的權利。對比起來，《個人信息保護法》規定的個人信息權利的范圍，出現了明顯的擴展。一方面，通過第45條（查閱權、復制權）、第46條第1款和第2款（從更正權發展為更正補充權）和第47條（刪除權），繼續確認《民法典》已經明確的上述有關個人信息的權利，但作出了進一步完善；另一方面，還通過第44條增加規定了知情權、決定權、限制和拒絕他人處理權，通過第45條第3款增加了可攜帶權，通過第48條增加請求解釋權。第二次草案稿開始，還規定了對死者個人信息的保護，第三次草案稿完善為自然人個人信息死后由其近親屬在一定范圍獲得保護，并尊重死者生前的安排。[29]值得說明的是可攜帶權，實際到了最終審議階段才對該項權利的增設作出決斷。[30]立法過程存在較大猶豫，主要原因是學界和產業界對是否引入可攜帶權存在疑慮，反對觀點認為如果引入會給我國個人信息處理者帶來巨大負擔，不利于產業發展。[31]立法者最終決定引入數據可攜帶權，對于維護數據條件下的公平競爭具有積極意義。數據企業特別是頭部企業任意進行數據封鎖，阻斷數據流通，甚至進行數據壟斷，從反不正當競爭和壟斷的角度看，業已成為一種現實危害[32]，而可攜帶權有利于破除這種封鎖，所以規定其極有必要。[33]

關于個人信息保護權利的性質及其基礎，一直存在疑慮。從比較法上看，有從人格尊嚴與自由角度來說的，這種觀點支持了所謂個人信息自決權的理論。[34]但也有兼從社會功能角度來說的，認為關于個人信息的權利不是絕對的，而應該結合社會功能來理解。[35]這種觀點支持個人信息相關權利的分叉和具體功能化。[36]目前后一種觀點逐漸占據優勢，傾向于兼顧人格價值和社會功能，從維護個人在數字化時代的人格必要尊嚴和自由以及維護公平實踐[37]等不同角度，結合起來設定和理解關于個人信息的權利。2018年《加利福尼亞州消費者隱私保護法》和2021年的《弗吉尼亞州消費者數據保護法》，甚至把重心轉移到了公平實踐之上。在這種情況下，個人就個人信息處理應受保護的權益，就體現為在合理范圍內不受干涉和應受公平利用對待的各種利益，既有對于相關處理活動的必要知情權、同意或自主決定權等與尊嚴自由相關的一般人格利益，也有應受公平和平等對待等特殊人格利益，甚至還因個人信息的經濟功能產生了財產化、可公開化的合理要求。[38]

（三）關于個人信息處理者的義務的修補和增加

《民法典》在第1038條設定了個人信息處理者的一般私法義務，第1款規定個人信息處理者兩項不作為義務，即禁止泄露或篡改的義務和禁止未經同意向他人非法提供的義務；第2款規定兩項作為義務，即應當采取必要措施確保個人信息安全的義務，以及應當在發生或者可能發生個人信息損害時采取及時補救措施并按規定告知和報告的義務。相比《民法典》這一規定，《個人信息保護法》關于個人信息處理的義務，顯然作出了巨大的完善，具有相當范圍的增量，既有私法義務規范，更有《民法典》所未有的管理義務規范，形成了一個更加復雜的與處理場景和安全風險密切結合的多組不同性質義務配合的體系，體現出義務人自主管理和非自主管理的雙重性。第51條涉及的是私法義務規范，對比《民法典》第1038條規定，進行了一定的擴充，而不僅是具體化、明確化。規定個人信息處理者應當根據個人信息處理的具體情況，采取確定的六項措施來確保個人信息處理活動合法合規，并防止未經授權的訪問和個人信息泄露、篡改、丟失。第52～58條，則都是關于管理義務的規定，是《民法典》所沒有的，體現了《個人信息保護法》超出一般私法治理的綜合治理的義務配置特點，第52條規定，規?；膫€人信息處理者具有設置個人信息保護負責人并進行報送備案的義務，顯然這是一項以強化自主管理為特點的管理義務，不僅有利于保護個人信息權益，也兼具公共治理屬性，避免規模數據的安全風險。第53條對符合本法適用的境外個人信息處理者，設定應在中國設立個人信息保護專門機構或指定代表并報送備案的義務。第54條規定，個人信息處理者對其個人信息處理活動具有定期合規審計義務。第55條和第56條規定，個人信息處理者對處理敏感個人信息、利用自動化決策、委托他人處理、向他人提供或公開、向境外提供以及其他對個人權益有重大影響的個人信息處理活動，具有事先作影響評估和記錄處理情況的義務。第57條規定，個人信息處理者在個人信息發生泄露或可能泄露時，具有補救和通知義務。第58條規定，重要互聯網平臺作為個人信息處理者，具有特殊的引入外部監管、正確制定平臺規則、有效管控平臺內違法違規產品和服務、定期發布社會責任報告和接受社會監督的更加嚴格的加強內部管理和防范風險的義務。其中，對于重要互聯網平臺作為個人信息處理者的嚴格管理和防范義務，是第二次草案稿開始增加的，《個人信息保護法》增加了應正確制定平臺規則以更好明確平臺產品和服務處理個人信息活動規范的管理義務。這是對于現實中各大互聯網平臺應當承擔更大責任加強保護個人信息的社會呼聲的回應，也順應了國際平臺治理規范的新發展趨勢。[39]第59條規定，對接受委托處理個人信息的受托人，具有保障個人信息安全等協助義務。上述義務都是對于非基于公共職能的個人信息處理者設定的。政府機關等承擔公共職能的機構及其工作人員則存在特殊性，《民法典》第1039條規定，其作為個人信息處理者應承擔對隱私和個人信息的保密義務，以及禁止泄露或非法向他人提供的義務。

（四）關于個人信息處理者對于個人信息處理規則的修補

《民法典》對于個人信息保護的設計，突出了“權利—義務—行為規范”的三層基本私法保護體系設計，也就是說在規定權利、義務的同時，還設定了個人信息處理者從事處理活動的行為規范。這種設計的復雜性已經不同于傳統人格權或者其他絕對權的一般規定模式，構成了一種明顯的反差。包括第1035條、第1036條兩個行為規范條款。第1035條屬于積極規范，規定了處理行為的原則和條件等要求。其中，原則為“處理個人信息的，應當遵循合法、正當、必要原則，不得過度處理”；條件有四：應征得該自然人或者其監護人同意，除非法律法規有例外規定；公開處理信息的規則；明示處理信息的目的、方式和范圍；不違反法律、行政法規的規定和雙方的約定。第1036條屬于消極規范，規定了行為免責事項，在三種情況下可以不承擔民事責任。即在自然人或者其監護人同意范圍內合理實施的行為；合理處理該自然人自行公開的或者其他已經合法公開的信息，但是該自然人明確拒絕或者處理該信息侵害其重大利益的除外；為維護公共利益或者該自然人合法權益，合理實施的其他行為。

《個人信息保護法》對于《民法典》上述個人信息處理行為規則，基于自身更加系統的設計優勢，作出了細化發展，也作出了明顯的修補?！秱€人信息保護法》注意原則與規則的區分，第一章總則規定了有關個人信息處理的原則。即通過第5～10條，宣示了關于個人信息處理的六項原則。第5條為遵循合法、正當、必要、誠信的原則，第6條為遵循目的限制和影響最小化原則（符合明確、合理的目的，并與之直接相關以及采取對個人權益影響最小的方式），第7條為遵循公開、透明原則（公開處理規則以及明示處理的目的、方式和范圍），第8條為保障個人信息質量的原則（“處理個人信息應當保證個人信息的質量，避免因個人信息不準確、不完整對個人權益造成不利影響”）[40]，第9條為處理者應對活動負責和采取必要措施保障安全的原則，第10條為禁止從事違法和危害國家安全、公共利益的個人信息處理活動的原則。這些原則，應該通過“原則+規則”的解釋架構，一并融入第二章個人信息處理規則加以適用。第二章“個人信息處理規則”，不僅區分《民法典》所沒有注意區分的一般信息和敏感信息，對處理個人信息的活動建立了雙層行為標準，而且還從特殊主體角度關注了《民法典》上雖然作出了義務配置但在行為規范卻有失考慮的國家機關，增補規定其處理個人信息時的相應行為規范要求。相關行為規則，具體可以做以下展開理解。

首先，關于個人信息處理者對一般個人信息的處理行為規范。第二章第一節“一般規定”作出全面規定。第13條設定了可以處理他人個人信息的七種情形，否則不得處理他人的個人信息。這七種情形，實際蘊含了處理個人信息需以同意為條件的原則，但是比《民法典》的規定更加具體，除了第1項為取得他人同意，其他六項反向列舉了不需要同意的具體情形，包括：為訂立、履行個人作為一方當事人的合同或人力資源管理所必需[41]，為履行法定職責所必需，為應對突發公共衛生事件或者緊急情況下為保護自然人的生命健康和財產安全所必需，合理范圍處理個人自行公開或已經合法公開的信息，為公共利益實施新聞報道、輿論監督等在合理范圍內處理個人信息[42]，以及法律、行政法規規定的其他情形。

第14～17條，是對于同意的具體要件、撤回、效力、知情告知要求與豁免等的規定，這些在《民法典》上鮮有涉及，因此是重要的細化和完善。第14條規定了基于個人同意的情形（第13條第1項）取得同意的要件。明確為，須以充分知情和明確作出為基本要求；必要時，法律行政法規可以規定單獨同意或書面同意；此外，個人信息處理發生重要變更，還應重新取得同意。第15條規定同意的撤回條件、方式和效力。第16條規定個人信息處理者不得以個人不同意或撤回同意為由，拒絕提供產品或服務，除非信息屬于必需。這一條具有很強的現實性，很多所謂免費網絡產品和服務的提供者為了收集他人個人信息，采取強制個人同意的辦法，否則就不提供產品或服務。有了這一條，就明確了這種行為的違法性。第17條規定同意要件中的達到充分知情的具體要求，即為個人信息處理者必須以顯著方式、清晰易懂的語言真實、準確、完整地向個人告知本條列舉的必要事項。《個人信息保護法》相比第二次草案稿，添加了“真實、準確、完整”幾個字，更加明確保護個人的嚴格立場，防止不充分知情的濫用。第18條規定告知（充分知情）的豁免，包括兩種情形，即法律行政法規規定不需要告知的情況和出現緊急時的情況（但消除后仍然要及時告知）。第19條規定了個人信息保存期限。從有利于個人出發，應為實現處理目的所必要的最短時間。

第20～23條是關于共同處理、委托處理、因主體變更需要轉移、向第三方提供處理的特殊行為規則。第20條規定多人共同處理時的行為規則和加重責任。即內部可以約定如何處理，但對外不改變個人信息的權利，出現損害應承擔連帶責任。第21條規定委托處理時的行為規則和相應責任?？傮w上，委托人仍然是個人信息處理者，承擔行為責任，受托人作為協助者承擔相應行為責任。具體而言，委托人依據合同授權處理，并承擔監督；受托人依據合同處理；合同不生效、無效、被撤銷或者終止，則應當將個人信息返還個人信息處理者，或者予以刪除，不得保留；未經個人信息處理者授權，不得再轉托。第22條規定因合并、分立、解散、被宣告破產等需要轉移個人信息的行為規則。原則上允許轉移，但應當告知個人，并由接收者繼續履行義務。接收方變更原先的處理重要事項的，則需要取得重新同意。這一規定適應了營業轉讓的合理需要，避免了發生濫用加害個人信息的情況。第23條規定向第三方提供處理的個人信息的一般規則，即采取告知加取得單獨同意的嚴格要求。

第24條規定了個人信息處理者利用自動化決策時的特殊行為規則，對于處理者規定了應當正當公平使用的嚴格義務，并賦予個人相應受保護的法律地位。這一條在立法中備受關注，對立法規范基礎究竟為何存在疑惑，最終立法者將之落到了個人應受公平實踐對待的要求上。第一，要求保證決策透明和結果公平公正，《個人信息保護法》明確作出禁止價格歧視的要求[43]；第二，通過自動化決策向個人進行信息推送、商業營銷，要求應當同時提供不針對其個人特征的選項，或者提供拒絕的方式；第三，個人信息處理者自動化決策涉及對個人權益影響的決定時，個人有權要求解釋并有權拒絕僅通過自動化決策作出決定。對比《一般數據保護條例》的相關規則，后者是放在“數據畫像”語境意義上來看待對個人數據進行自動化處理（見第4條關于“數據畫像”的定義[44]）的一種行為要求，放在第三章“數據主體權利”第四節“反對權和自動化決策”之下，與個人信息主體的反對權聯系在一起，體現反對權的運用。在此語境下，第22條對“自動化決策，包括數據畫像”予以具體化規定，明確數據主體原則上不受不利于自己的自動化決策限制、數據控制者可運用時應當保護數據主體的權利、自由和合法利益等規則。這里，歐盟規則通過反對權綜合了權利、自由和合法利益來評價基于個人信息自動化決策行為規則的適用基礎。其中，所謂合法利益，自然也應該包括應受公平對待的利益。[45]

第25條規定個人信息處理者禁止公開的行為規則，除非取得個人單獨同意，否則不得公開個人信息。第26條對現實中最受關注的在公共場所安裝圖像采集、個人身份識別設備的個人信息處理行為建立了基本準則，采取了限制立場。第一，應當為維護公共安全所必需；第二，遵守國家有關規定，并設置顯著的提示標志；第三，收集的信息只能用于維護公共安全目的，不得他用，此項僅可以通過個人單獨同意改變。第27條規定對已經公開的個人信息處理的行為規則。原則上，允許在合理范圍處理自愿公開和合法公開的個人信息；但有兩個例外，個人明確拒絕的除外，此外處理對個人權益有重大影響的也應當取得個人同意。

其次，關于個人信息處理者對敏感個人信息的處理行為規范。第二章第二節“敏感個人信息的處理規則”專門就敏感個人信息的處理作出更嚴格的行為規范。個人信息處理者處理敏感個人信息，先要遵循本節規范，本節沒有規定的回歸一般規定和相關原則。第28條第1款界定了何謂敏感個人信息，即“敏感個人信息是一旦泄露或者非法使用，容易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害的個人信息，包括生物識別、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌跡等信息，以及不滿十四周歲未成年人的個人信息”。該條采取列舉加抽象的規定模式。抽象上的界定，是指一旦泄露或非法使用，容易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害。這里強調的是“容易”兩個字。列舉上的界定，《個人信息保護法》和兩次草案審議稿不完全一致，最終綜合討論意見，列舉的有生物識別、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌跡等信息?！秱€人信息保護法》還特別加上了“不滿十四周歲未成年人的個人信息”，將之歸入敏感個人信息，旨在回應關于強化保護未成年人個人信息的社會呼聲。[46]第28條第2款規定了敏感個人信息處理的兩個特殊前提：一是具有特定的目的和充分的必要性；二是《個人信息保護法》新增加的一項要求，即采取嚴格保護措施。否則，不得處理敏感個人信息。第29條規定敏感個人信息處理須遵循嚴格同意條件，而不是一般個人信息的同意條件。這種嚴格同意體現為“應當取得個人的單獨同意”，如果法律、行政法規規定應當取得書面同意的，還要取得書面同意。第30條規定處理敏感個人信息，除了存在法律法規等規定保密等不需要告知的情形，原則上還應履行告知的要求。告知內容，包括處理必要性和對個人權益的影響等。第31條規定處理不滿十四周歲未成年人的個人信息的特殊規則。即應當取得未成年人的父母或其他監護人的同意；該條第2款還要求個人信息處理者應當制定專門處理規則。第32條規定法律行政法規對敏感個人信息處理有特殊限制的，還應取得相關許可或遵循限制規定。

最后，關于國家機關處理個人信息處理者的處理行為規范。即第二章第三節“國家機關處理個人信息的特別規定”。《民法典》第1039條規定了國家機關等作為個人信息處理者承擔的義務，但未具體規定行為規范。《個人信息保護法》對此作出了完善。第34條規定了國家機關處理活動受法定職責限制的要求。這一規定是《民法典》所沒有的，從而為國家機關能否從事處理活動以及在什么范圍從事活動限定了前提、范圍和程序。國家機關為履行法定職責處理個人信息，必須有所依據，應當依照法律、行政法規規定的權限、程序進行，并不得超出履行法定職責所必需的范圍和限度。第35條規定國家機關還應當履行告知義務的要求。但此項要求可因法律行政法規具有保密規定而排除，或者因告知會導致履職妨礙而排除。第36條規定國家機關對其掌握的個人信息應為境內存儲的要求，如確需向境外提供，則應做安全評估。第37條規定本節國家機關的特殊規定也適用于法律法規授權的具有管理公共事務職能的組織為履職處理個人信息的活動。

四、《個人信息保護法》的保護功能預設及其綜合治理保護體系

（一）《個人信息保護法》保護功能預設及其背景

各國目前對于個人信息的規范體系，一個突出的共同特點就是都是在“保護法”的功能取向下展開其內部體系，無一例外冠以“保護”之名，我國也不例外?！秱€人信息保護法》明確宣示以個人信息保護為功能預設。該法第1條關于立法宗旨的宣示，即“為了保護個人信息權益，規范個人信息處理活動，促進個人信息合理利用”，明確把“保護”放在首位。也就是說，這部法律的根本定性是保護法，重在保護“個人信息權益”。相比較“保護”，后面的“規范”和“促進”是手段和方法，是以保護為基本功能前提下的規范和促進?！秱€人信息保護法》在第2條明確宣示自然人對于個人信息具有受法律保護的地位，即“自然人的個人信息受法律保護，任何組織、個人不得侵害自然人的個人信息權益”，繼續強化了本法作為保護法的設計要求和基本追求。

然而，第2條也顯示出作為本法保護對象的是所謂“個人信息權益”，與傳統民事權利概念比較起來，表述上具有模糊性。理解上，它是存在于“個人信息受法律保護”語境中的法益，《一般數據保護條例》等甚至稱之為個人信息保護權。在《民法總則》的制定和《民法典》的編纂過程中，有觀點建議使用“個人信息權”作為相關表述。[47]但無論是《民法總則》《民法典》還是現在的《個人信息保護法》都沒有使用個人信息權概念而是采取了“個人信息保護”的框架表述。這是因為，個人對于因個人信息處理活動而涉及的個人相關利益，反映到法律保護上比較復雜，不適合簡單表述為“個人信息權”的架構。“個人信息受保護的權利與其他人格權在考量因素上有所不同，個人信息的保護要恰當平衡信息的利益與數據共享利用之間的關系”。[48]歐盟雖然在基本權利的高度看待個人信息保護要求，但是同樣也沒有確立個人數據權這樣的簡單概念。首先，在序言第1項宣稱，“自然人在個人數據處理過程中獲得保護是一項基本權利”，這一表述其實呼應了《歐盟基本權利憲章》第8條第1款和《歐盟運行條約》第16條第1款關于個人信息的保護表述，即“人人均有權就其個人數據獲得保護的權利”。其次，在序言第3項還明確指出，個人數據的處理應服務于人類，保護個人數據的權利不是絕對權利，需要結合考慮其社會功能并依據比例原則與其他基本權利保持平衡。也就是說，盡管個人信息保護是必要的，但不能簡單定義為個人信息權保護，或者說絕對的個人信息權利保護。個人信息保護存在個人法益確定的微妙性，而且還存在個人利益與其他基本權利以及社會功能的平衡問題。美國雖然將個人信息保護視為隱私權一部分，通過發展“信息隱私”（Information Privacy）概念將其納入，但也是在原本就多樣化的隱私權概念實踐基礎上進行謹慎而有區別的保護實踐，與依據憲法第四修正案和通過普通法實踐在更早就獲得保護的有形隱私（如身體隱私、空間隱私）、財產隱私和決定因素等形成有所區別，作為一個更加微妙的動態領域而作出必要差異化對待，實際上也可以歸入廣義“信息法”（Information Law）的一部分，成為一個更加需要“私人與公共”（the Private and the Public）關系平衡的復雜領域。[49]

《個人信息保護法》作為保護法面世，源于個人信息處理時呈現的個人權益具有微妙性和復雜性，又導致了保護的微妙性和復雜性，體現為一種獨特的系統保護機制要求，不僅因此區別于部門法的單一機制，也區別于不同部門法機制的簡單疊加。《個人信息保護法》作為保護法，立足點也在于維護個人利益，這一點很容易與民法聯系起來，因為民法就是以保護個人利益為目的的法律。但是從保護法角度立法，重點不僅在于保護對象的微妙和復雜，也在于需要確立與這種保護要求適應的極其復雜的規范手段和體系。這種復雜規范機制和體系的設計，導致《個人信息保護法》與《民法典》之間存在巨大差異，從而不能成為《民法典》的下位單行法，而具備了領域基本法的獨立價值。2020年出臺的《民法典》為了體現時代性，彰顯對于新型領域個人利益的及時關注，將個人信息保護納入進來，就個人信息活動涉及的個人利益保護要求設立相關基本私法制度。但是，立法者發現難以使用個人信息權的概念來簡單統括個人信息保護在民法上所體現的要求，而是在個人信息處理保護規范語境采用了“自然人關于個人信息的權利+個人信息處理者的義務+處理行為規范”的復雜架構。即使是這樣，不難發現，這種納入民法典的努力因受限于民法的規范體系和機制，并不能充分滿足個人信息保護需要。為此，《民法典》出臺之后，我國社會各方面仍然“廣泛呼吁出臺專門的個人信息保護法”，以便“增強法律規范的系統性、針對性和可操作性，在個人信息保護方面形成更加完備的制度、提供更加有力的法律保障”。[50]《個人信息保護法》的制定正是為了回應這種對更加完備、有效的個人信息保護規范體系的要求。

（二）《個人信息保護法》作為保護法的體系展開

早期信息隱私或個人信息保護實踐，由于受到傳統民法觀念或者簡單自由主義觀念的影響，提倡依靠個人信息主體自我管理模式，希望通過在明確設定私法意義上的權利、義務和行為規范的條件下，引導權利、義務或行為主體自主自覺，進而達成個人信息保護的善治。其關鍵是鼓勵個人信息權利主體積極行權和主張保護。首先，明確設定的相關權利，包括知情權、同意權、查閱權、異議更正權、刪除權、可攜帶權等，為個人提供達成可自主控制自己信息的相關權利。其次，也設定了個人信息處理者相應的私法保護義務和行為規范，希望借此形成一種約束。一方面鼓勵義務人和行為人自覺，另一方面通過民事責任和行為否定效果來保障這種自覺。[51]但是事實證明這種模式是失靈的，相關權利義務乃至行為規則經常形同虛設，因為作為自主管理機制的關鍵主體即個人信息權利主體，除了面臨認知困境（隱私政策的信息不對稱），也面臨著結構問題（規模問題、結合問題、評估損害問題等）[52]，往往處于一種無知無力的困局，因此很難符合法律設計的預期。

《個人信息保護法》針對這一失靈加以重點改進，希望提供一個更加充分、更加有效的保護體系。其最終確立起來的保護規范體系，體現了一種以保護目的的新型法律體系的鮮明特點和趨勢。即自主管理和外部管理協同、一般責任和特殊責任配合的多元促進和保障的綜合保護體系，體現為“自然人關于個人信息的權利+個人信息處理者的義務+處理行為規范+管理保護規范+特殊法律責任”的綜合治理保護的一般邏輯結構。一方面，以問題為導向，結合對個人信息保護自主管理實踐悖論的認知，對相關基本私法制度及其支持的自主管理體系進行了有效化的極大完善，在私法結構上更加復雜化，且更加突出以建構行為規范為重心。這樣，個人信息保護自主管理的“權利—義務—具體行為規范”的邏輯體系就更加完整了。另一方面，以保護為目的，引入個人信息保護的外部管理機制和特殊法律責任機制，有針對性的管理和嚴厲的特殊責任雙管齊下，重點防治這一領域個人信息處理者追求贏者通吃。

（三）完善自主管理體系與作為重點的個人信息處理行為規范機制

《個人信息保護法》注重完善個人信息自主管理體系，首先體現為對于相關權利義務行為規范作出更加合理配置，其次也體現為對于如何能夠盡量減少或避免自主管理的失靈作出必要修補。比如，對一些權利義務的條件或行使作出了更加細化的指引，對一些易于濫用或規避的方面明確規定了不得濫用或規避的情形，等等。相比《民法典》，《個人信息保護法》對于個人信息的相關權利、義務和行為規范的規定，所做的修補是體系化、細節化的。

《個人信息保護法》修補和完善的重點之一，就是設置了一套嚴密的個人信息處理行為規范。這種思路意識到，對于個人信息處理活動，盡管個人信息權利義務設定本身很重要，但就對規范路徑的精準施策來說卻存在不足。“規范個人信息處理活動”最重要的是對于處理行為的規制，通過此種具體行為規制，可以更好地觸及個人信息保護中各種矛盾關系的落腳點。目前各國對于個人信息保護的規范體系，共同的特點是在“個人信息保護”的框架下突出強調對個人信息處理者行為進行規范的重要性，而不是簡單依賴相關個人信息的權利義務的設定。我國《個人信息保護法》也不例外。按照第1條解釋，《個人信息保護法》保護功能的實現途徑，是“規范個人信息處理活動”。顯然，重點要落在對處理活動的規范上。當然，這種規范設計有兩個額外要求：其一，應該是積極的，即同時“促進個人信息合理利用”，這意味著規范個人信息活動，不能因噎廢食，而應同時符合數字化社會的發展需要，保持必要的數據流動、共享，促進數字經濟發展。其二，這種規范設計，最終需要服務于保護“個人信息權益”的根本目的?？傮w上而言，《個人信息保護法》通過“行為原則+行為規則”的規定模式，融貫相關權利義務規定，在“一般個人信息”“敏感個人信息”“國家機關作為個人信息處理者”三項區分基礎上，建立了一個極其繁復的處理行為規范體系。

《個人信息保護法》自主保護功能的發揮，重點就落在對這一行為規范體系的具體執行和監督上。這一行為規范體系，既是個人信息處理者的具體行為指引，也是當事人和管理者據以清晰判斷處理活動是否合法合規的具體標準。個人信息處理行為的合法合規，首先體現為對具體行為規范的遵循。傳統人格權，如生命權、身體權、健康權等，隨著醫療、精神病院等社會體系的發展，在保護上已經有些復雜，但是尚無以設計具體行為規范為重點的必要，通過確認基本人格權范疇以及對應的他人不得干涉的絕對義務，通常就可以發揮規范保護的效果。此后當名譽權、姓名權、肖像權、隱私權等逐漸發展起來，情況就變得有些不同，這些權利本身的邊界存在模糊性，難以通過簡單確認權利和規定他人不得干涉的絕對義務就達成規范保護效果，有必要引入一些行為規范，從而具有更加精確的規范性和指引性，通常體現為一些禁止方面的行為規范，此外也可能規定減免責任的行為情形，其中夾雜著一定范圍平衡保護思想。但是，對于行為規范依舊沒有達到如此重要的地步。到了個人信息保護出現和發展起來，情況更不一樣了，由于個人信息保護體現的相關權利和義務設計具有明顯的模糊性和多樣分叉的特點，依靠傳統的權利義務規定的規范模式顯然難以起到精確規范和指引的效果，有必要突出對個人信息處理行為的規范，以此表達法律保護的明確和具體性，從而體現出由權利義務規范向行為規范重心遷移的顯著變化。

（四）《個人信息保護法》外部治理保護體系及其積極管理和特殊法律責任機制

《個人信息保護法》反思了在復雜數字化背景下，個人信息保護僅依靠自我管理模式的重要不足，對于個人信息保護不是簡單從自主管理中就可以實現。現實中，個人信息處理者具有極其旺盛的逐利需求，同時又往往處于數字權利和信息不對稱的絕對優勢地位，容易因巨大利益誘惑而背離保護要求。所以，除了對相關自主管理本身進行完善之外，還應從切實保障個人信息保護有效性的角度，建立更加合理、科學和合乎實際的全面治理保護體系。其中，重點為引入外部治理保護體系，通過外部加壓，打造個人信息保護的堅固防護網。主要機制包括確立積極管理和特殊法律責任。其中“積極管理”制度主要體現在第六章“履行個人信息保護職責的部門”，特殊法律責任制度則體現在第七章“法律責任”。

首先，引入有強度的積極管理制度。對個人信息保護是否應當以及如何引入外部積極管理這個問題，理論上存在對于家長式規范可行性的疑慮。即使是奉行自由經濟的歐盟，也在這方面果斷采取贊成的立場，《一般數據保護條例》確立有強度的積極管理，建立專門監管機構，賦予強大的管理權、執法權和問責權，形成了一種通過積極管理而達成個人信息更好保護的治理示范。我國立法過程對于應當引入本身也爭議不大，有爭議的是強度問題，即應該在自主管理和外部管理之間保持怎樣的平衡，如何更好配合，授予誰來管理，賦予多大管理職權以及哪些職權，采取何種措施保障管理職權落在實處，等等。這些方面的決斷取決于很多條件和因素，既有數字化特定發展階段對于治理的規律性要求，也有國情習慣要求。《個人信息保護法》在第六章“履行個人信息保護職責的部門”，立足中國管理體制及其發展的實際特點，吸收歐盟和有關國家專門化監管的經驗，在合理化的基礎上構建起一套專門化的明顯體現外部強力的管理保護制度，呈現出三個方面的內容特點。

一是確立了統籌協調與分工負責的多元管理體系。我國并不建立新的個人信息保護專門管理機構，而是采取對現有管理主體賦權管理方式。第60條規定了管理主體及其地位。其中第1款規定中央層面，國家網信部門負責統籌協調，國務院其他有關部門則依法分工負責；第2款規定地方政府有關部門職責則由國家有關規定確定。

二是確立了以防治為重點的積極管理模式。主要體現為賦予保護部門包括防治職權在內的強管理職責，從有效預防和避免的角度布局管理保護。第61條規定了管理主體的一般職責，適用于所有管理主體，共五項。包括開展宣傳教育、指導監督，接受處理投訴舉報，調查處理違法活動，法律、行政法規規定的其他職責等，《個人信息保護法》還增加了一項重要職責，“組織對應用程序等個人信息保護情況進行測評，并公布測評結果”。這是為了回應現實中濫用應用程序侵害個人信息的亂象而提出的一項職責。近年來，網信辦、工信部、公安部、市場監管總局等在內的有關部門，針對大量個人信息違法違規來自應用程序的情況，多次組織對App侵害用戶權益的專項治理行動，特別是對各個平臺上設置的各種應用程序進行測試檢查，發揮了較好的預防和及時治理的作用，對于保護個人信息起到明顯效果。[53]但是苦于管理授權不夠清晰，底氣不足。[54]這次立法明確了管理部門可以依據此項權力監管App，做了不擔心濫權，沒有做反而是不作為。第62條規定了專屬于國家網信部門的五項職責，為其開展相關工作提供了法律依據。這些工作兼具統籌協調的功能，但同時更是具體職責。包括制定個人信息保護的具體規則、標準，制定針對特殊方面的個人信息保護規則、標準，推進網絡身份認證公共服務，推進個人信息保護社會化服務體系建設等。《個人信息保護法》增加了第5項，“完善個人信息保護投訴、舉報工作機制”。[55]這項職權為網信部門及時發現保護問題提供了重要的信息途徑，屬于信息監管的前提機制。當然也要注意投訴舉報濫用，尤其要避免基于惡意競爭和報復而濫用的問題。

三是賦予一定范圍的調查權和處置權，相當于準司法權或執法權。法律在一些專業性很強、存在重要利益需要保護的領域，為了增強管理或監管的效率和權威，最大限度保證保護的可能和及時性，往往會給管理部門配置必要調查和處置權，使其在特定范圍內可以采取一些類似司法機關才可以采取的措施?！秱€人信息保護法》也不例外。第63條規定，履行個人信息保護職責的部門在履行職責中可采取的措施，一共有四項，包括詢問和調查情況，查閱、復制資料，實施現場檢查，檢查設備物品和查封或扣押等；當事人應當協助不得拒絕阻撓。第64條還規定了約談和合規審計以及移送犯罪嫌疑人[56]等特殊處置的權力，限于履行職責中發現較大風險或發生安全事件的情形。

其次，確立嚴厲的特殊法律責任制度?！秱€人信息保護法》第七章“法律責任”，從保護治理的角度，專門針對個人信息保護規定了前所未有的嚴格的特殊法律責任，為違反本法相關義務、行為規范和管理規范等的特殊責任。其中有三個值得注意的地方，一是出現許多新的行政處罰形式；二是罰款數額前所未有的高，這也是國際趨勢；三是對違法信息處理中的有關負責人員也施加責任。

第66條最為重要，規定了違反本法的特殊行政責任。即只要違反本法規定處理個人信息，或者處理個人信息未按照規定采取必要安全措施的，就可能產生特殊行政責任。這是一種新型治理式的行政責任，體現出與傳統行政責任不同的特點，突破了傳統責任原理，具有嚴厲性或加重懲罰性。區分一般情況和嚴重情況：一般情況，由履行保護責任部門責令改正，給予警告，沒收違法所得?！秱€人信息保護法》針對性地增加了“對違法處理個人信息的應用程序，責令暫停或者提供服務”；拒不改正的，并處一百萬元以下罰款；對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款。情節嚴重的，由省級以上履行保護職責的部門責令改正，沒收違法所得，并處五千萬元以下或上一年度營業額百分之五以下罰款，并可以責令暫停相關業務或者停業整頓、通報有關主管部門吊銷相關業務許可或者吊銷營業執照；對直接負責的主管人員和其他直接責任人員處十萬元以上一百萬元以下罰款，并可以決定禁止在一定期限內擔任相關企業的董事、監事、高級管理人員和個人信息保護負責人。[57]

第67條建立違法信用檔案記錄制度。第68條規定國家機關不履行本法規定的個人信息保護義務的特殊行政責任，包括責令改正和予以行政處分。此外，還規定了與刑法民法相關責任的關系。第69條規定個人信息處理者對個人信息加害，以推定過錯作為承擔侵權責任的基礎；并明確確定損害賠償責任的標準，即所受損失或獲得利益，難以取得的則根據實際情況確定；第71條規定同時應與治安管理責任和刑事責任對接。

五、結論：把握《個人信息保護法》體系理解和適用的雙重基礎

《個人信息保護法》作為領域新法體現了立法上的一種“冒險”，這種“冒險”的必要性在于必須勇敢地去迎接個人信息保護現實挑戰，滿足當下“數字人格”安身立命的需求。個人信息保護問題是新時代的產物。個人信息本身并非當然是個人利益，只有當人類進入網絡信息社會到一定階段之后，當個人信息收集、利用和各種處理活動獲得發展和蔓延，導致個人卷入其中，個人信息逐漸成為個人利益的牽引抑或載體，此時才出現了與個人信息處理相關的個人利益保護要求。然而這種保護要求，又具有以往所不具有的問題，與現今法律體系既有權利的保護要求比較，可謂差異顯著，體現了前所未有的相關個人利益保護的微妙性和復雜性，因而在保護制度設計要求上也應作出與之相適應的創新。這種創新極為不易，對之需要努力認識、發現、把握和形塑，進而才可能收入法律行囊。

新時代的新法里面藏著獨特的密碼，《個人信息保護法》當然不會例外。初始打量，可能感覺似乎其體系有點凌亂，與刑法、民法、行政法等任何單一部門法的體系都極為不同。但是只要用心體會，便可能發現這些貌似凌亂的規范之間其實存在某種緊密聯系。本文所作的正是這種體系解碼的努力。通過上述分析，我們注意到《個人信息保護法》確立在雙重基礎之上。一個是其作為基本法的定位。它作為領域基本法及與民刑等基本法并立的定位，對于法律體系作出重要擴展，新時代總的法律系統中，居于新發展的體系位置，與傳統法律體系形成互為補充、守護相望的關系。另一個則是它的功能預設。它立足個人信息保護利益的復雜性，同時基于超越自我管理局限的需要，通過以個人信息保護為基本功能設定，追求一種更加有效而全面的保護策略，進而形成一套自主管理和外部威壓互為配合的綜合保護規范體系。這兩大基礎構建了《個人信息保護法》全部體系和內容建構的雙核，成為其不可割裂的理解前提?？傊挥辛⒆汶p重基礎，才能夠真正領略《個人信息保護法》作為領域新法的基本價值和體系方法論，其未來實施也必定會在這兩個方面的融合中獲得圓滿。