这样有利于将听取的意见跟所承办案件需要解决的问题紧密结合起来，有助于争议的实质性化解。

可以说，被全世界所公认的现代法律的最高准则就是人的尊严，这种关于个人尊严的思想，享有一种道德（或宗教）法则的当然地位，这种法则是根本的、终极的、压倒一切的，它为判断道德是非提供了一项当之无愧的普遍原则。[32]正是凭借自由，人们才能够进行自我选择，并以负责任的姿态承担行为的后果。

我们使你既不属于天堂，又不属于地上，使你既非可朽，亦非不朽，使你好像是自己的塑造者，既有自由选择，又有光荣，能将你自己造成你所喜欢的任何模样。这种价值关乎一个人生命中的潜能。因此，道德的人格不是别的，它是受道德法则约束的一个有理性的人的自由。……人类的尊严正在于他具有这样的普遍立法能力，虽然同时他也要服从同一规律。[70]同前注[60]，[匈]阿格妮丝·赫勒书，第9页。

例如一个再怎么教子有方的人，也不可能把自己的子女打造成和他自己一模一样的人来，因为特定的人的心路历程所形成的背景无法再现、不可复原，就此而言，独特性本身也是不可仿效和继承的。哈耶克指出：自由不仅意味着个人能够拥有选择的机会并承受选择的重负，而且还意味着他必须承担其行动的后果，接受对其行动的赞扬或谴责。[13]参见张新宝：《〈民法总则〉个人信息保护条文研究》，载《中外法学》2019年第1期，第65-67页。

这里的措辞极其精准，表明《民法典》确立的并非个人信息权，而是个人信息受保护权，前者指向信息主体对个人信息的自决与控制，后者指向信息主体在个人信息处理过程中应得的保护。较之私人维权，它更集中有力。对平等关系下的侵害主体适用过错推定责任并无必要。[34]同前注[5]，张里安、韩旭至文，第124页。

鉴于个人信息侵权和侮辱、诽谤一样都可能严重危害公民个人尊严，建议将严重侵害个人信息受保护权，民事责任不足应对，但还未达到严重危害社会秩序和国家利益程度的情形纳入刑事自诉案件范围，以进一步提高个人信息保护立法的执行效率。此外，《电子商务法》第25条、《契税法》第13条、《社会保险法》第92条、《医疗保障基金使用监督管理条例》第32条、《戒毒条例》第7条等也有类似规定。

这正是个人信息保护法草案一审稿、二审稿第四章以个人在个人信息处理活动中的权利，而非个人信息权为标题的关键原因。[91]参见刘权：《目的正当性与比例原则的重构》，载《中国法学》2014年第4期，第135-136、139-140页。在《民法典》之前，早有一系列法律规定了对抗国家的个人信息公法权利，包括《护照法》第12条、《居民身份证法》第6条、《国家情报法》第19条等。之所以要在民法之外引入其它部门法的多重保护，恰恰是因为信息主体和处理者之间高度不平等，[22]以个体维权、诉讼为核心的民法机制无力纠偏，亟需公共监管、执法和处罚为核心的行政法、刑法机制来驰援。

公开劳动者的个人资料信息和使用劳动者的技术、智力成果，须经劳动者本人书面同意。刘德良：《个人信息的财产权保护》，载《法学研究》2007年第3期，第80页。这是基本权利间接第三人效力（Mittelbare Drittwirkung der Grundrechte）所要求的。[9]严鸿雁：《论个人信息权益的民事权利性质与立法路径——兼评〈个人信息保护法〉（专家建议稿）的不足》，载《情报理论与实践》2013年第4期，第46页。

[23]另一方面，对抗私主体的民事权利无法派生对抗公主体的公法权利及配套的公法保护机制。据此，《个人信息保护法草案（二审稿）》第69条规定：个人信息处理者违反本法规定处理个人信息，侵害众多个人的权益的，国家网信部门确定的组织可以依法向人民法院提起诉讼。

综上所述，现有立法未能有效落实宪法上个人信息受保护权的主观权利功能。[85]参见劳东燕：《个人数据的刑法保护模式》，载《比较法研究》2020年第5期，第43页。

赵宏：《〈民法典〉时代个人信息权的国家保护义务》，载《经贸法律评论》2021年第1期，第6-19页。但问题是：何种标准才能更好地落实宪法上的个人信息受保护权？这就涉及如何判断基本权利的内在限制，即其本身所固有的、非外在的限制。[40] 与美、德类似，我国宪法没有明文肯认个人信息保护。这正是为什么个人信息保护法草案一审稿、二审稿第34条规定国家机关为履行法定职责处理个人信息，应当依照法律、行政法规规定的权限、程序进行，不得超出履行法定职责所必需的范围和限度。启后意义则在于揭示现行立法与实践之不足，为下一步改进完善提供查漏补缺的指引。同前注[1]，梅夏英文，第848-849页。

[5] 第二，主张个人信息权益不具有公法权利属性。公权力机关侵害个人信息权，私权利主体同样可要求其承担法律责任。

Marise Cremona et al.eds.，New Technologies and EU Law, Oxford University Press, 2017，p.140. [62]同前注[16]，王锡锌文，第150-153页。[60]该传统为欧盟1995年数据保护指令、《欧盟基本权利宪章》以及GDPR所延续。

这既是我国《宪法》第38条人格尊严不受侵犯的题中之义，也是个人信息受保护权的根本目标，即通过控制个人信息处理活动，在不限制个人信息自由流动和利用的前提下，确保个人信息处理不逾越人格尊严底线。[16]个体主义权利进路下，个人信息权极易沦为纸面上的权利。

[52]同前注[33]，姚岳绒文，第73页。摘要:  我国个人信息保护法律体系需要一个兼具解释和规范价值的核心概念作为基础。[53]参见石佳友：《网络环境下的个人信息保护立法》，载《苏州大学学报（哲学社会科学版）》2012年第6期，第86页。[74]即便是同一工具性权利，对公权处理者和私人处理者的要求也不一样。

如前所言，个人信息民事权利无法对抗公权信息处理者。但区分该条指向的到底是人的尊严还是一般人格权，对于把个人信息保护纳入我国宪法基本权利而言，意义并不大。

第三，追求个人信息保护手段的适当性。[68]在主观权利面向下，基本权利主要具有防御权功能，即对抗公权主体，国家负有避免侵害基本权利的消极（不作为）义务。

在此意义上，后者是前者的具体化。这也再次说明民法规范不能作为我国个人信息保护法律体系的基本法。

为达到这一目的，当个人与信息处理者之间存在不平等关系时，通过赋予个人知情、决定、查询、复制、更正、携带、删除等一系列工具性、中介性、程序性的权利，以实现其与信息处理者之间的制衡结构，[67]避免其沦为客体。[17]丁晓东：《个人信息的双重属性与行为主义规制》，载《法学家》2020年第1期，第70页。[48]同上注，第110-111页。[77]三是侵害防止功能，即建立具体制度，通过这些制度的运行，保护个人免受第三人的侵害。

[87]参见程莹：《元规制模式下的数据保护与算法规制——以欧盟〈通用数据保护条例〉为研究样本》，载《法律科学》2019年第4期，第48页。在此背景下，探寻何为该体系的概念基础（Conceptual Foundation），对充分解释和有效规范该体系的核心概念，具有承前启后的重要意义。

这标志着立法者在立法形成空间内，不断调适个人信息的认定标准。尽管如此，为了确保雇员在雇主处理其个人信息过程中的尊严地位，劳动法上也对雇员个人信息保护做出了专门规定。

在私权利保护的问题上，不存在公权力机关比非公权力机关处于更优越地位的情况。[81]关于宪法是否具有一阶价值的争论，参见张翔：《宪法与部门法的三重关系》，载《中国法律评论》2019年第1期，第27-28页。