[13]《最高人民法院关于审理民事、行政诉讼中司法赔偿案件适用法律若干问题的解释》第14条在现行法的框架内，对停产停业期间必要的经常性费用开支所包含的内容作了细化规定，即法人、其他组织和个体工商户为维系停产停业期间运营所需的基本开支，包括留守职工工资、必须缴纳的税费、水电费、房屋场地租金、设备租金、设备折旧费等必要的经常性费用。

（2）在代表机关和工作机关之间，现行宪法充实了全国人大常委会的职权，形成了一院双层的组织结构。[57]全国人大常委会办公厅研究室：《人民代表大会制度建设四十年》，中国民主法制出版社1991年版，第76页。

化解政治机关和代表机关之间的内在紧张关系，需要全国人大双向发力，既要提高政治执行力，也要充分收集和反馈民意，形成政治代表制和法律代表制的有效互动。[41]蔡定剑：《人民代表大会与人民代表大会制度的概念和性质》，载《人大研究》1992年第10期。全国人大既是执政党用于执掌政权的政治机关，也是人民群众对美好生活提出期待和向往的代表机关。换言之，全国人大作为工作机关，既是实现其他三重属性的载体，也需要依赖其他三重属性确保其工作的政治方向，这要求不断协调工作中的政策问题和法律技术问题。（3）由于全国人大作为国家权力机关，才能在分配职权的同时保留最为关键的立法权、任免权、决定权和监督权，并为行使这些职权建立内部组织和工作制度，从而成为工作机关。

[11]《毛泽东选集》（第二卷），人民出版社1991年版，第677页。（3）面临其内部紧张关系，如何提出缓和紧张关系的理论方案，前瞻人大制度的发展前景。民法学者注意到，民法典人格权编第六章规定了自然人对个人信息的利用有知情权、同意权，可以依法查阅、复制个人信息，发现信息错误时有权提出异议并请求更正，发现信息处理者违法违规或违反约定处理信息时有权要求删除等。

[64] 再次，对个人进行赋权，可以使个人对个人信息处理者的合规情况进行个体化、全方面的监督，以弥补行政监管在资源和信息方面的不足。[75]欧盟法院从有利于控制个人信息处理风险、在制度实效上最大程度保护个人信息的角度，认可了公益诉讼在GDPR框架下的有效性。第四，个人向法院提起民事诉讼，请求法院判令个人信息处理者履行义务。为此，个人信息保护法第63条、第64条专门规定了监管和执法机构所具有的调查权、强制权，以及相关权力的行使规则。

德国联邦最高法院认为，GDPR的规范适用和执法基本上应由行政监管处理。这些处理规则直接回应了个人信息保护法第1条所设定的保护个人信息权益、规范个人信息处理活动之立法目标，构建了由国家主导、个人参与的个人信息处理活动的法秩序。

在公益与私益联系日益紧密的现代社会中，在一些法律实施存在不足、所涉法益重要且紧密关涉个人权益的领域，允许个人提起超个人利益之诉来维护法秩序、促进法律执行，具有一定的正当性。[72]也就是说，在个人不能证明存在实际损害的情况下，仅仅因为个人信息处理者违反信息处理的程序性要求，个人不能获得起诉资格。面对具有规模性和事前可规范性的个人信息处理活动，行政规制在保护个人信息方面具有更高的效率。既然我国实定法上并不存在作为一项民事权利的个人信息权，将个人信息权利束理解为个人信息权的权能，在逻辑上就失去了前提。

[27]即便在德国，立法机关也没有将个人信息自决权作为个人信息保护的基础。据统计，2018年5月GDPR实施以来，截至2022年5月，各国监管机构对GDPR框架下的违规行为实施了至少1093次行政罚款，罚款金额总计超过16.35亿欧元。[14]进一步地，持本说的学者认为，对上述权利的保护，可直接依据人格权请求权提出请求或提起诉讼。但是，无论将个人信息权利束理解为个人信息权的权能、个人信息权益的权能，还是一般人格权请求权，在逻辑上都有值得进一步商榷的空间。

例如，美国加州的消费者隐私保护法规定的消费者信息经济激励机制，就是协同规制要求与个人选择、促进二者功能互补的尝试。因此，具有一定专业性和组织性的社会执行机制，应成为以监管为中心的保障机制的重要补充，在治理格局中发挥杠杆效应。

吕炳斌：《个人信息权作为民事权利之证成：以知识产权为参照》，《中国法学》2019年第4期，第45页以下。他们把个人信息权利束视为一项能够激活民事责任的手段，并将其纳入民事权益体系与民事诉讼处理范围，主张以个人行权与诉讼的方式来控制风险，进而缓解个人的恐惧不安。

[32] 对个人信息权利束法律性质的理解，直接影响到个人信息保护法实施中的权利保障机制问题。侵犯这些权利并不直接等于侵犯个人的民法人格权益，个人不能仅以个人信息处理者侵犯其个人信息权利束中的权利为由提起民事诉讼。结语 现代社会的个人信息处理行为都具有大规模、系统化、持续性的特点。王利明：《论我国〈民法总则〉的颁行与民法典人格权编的设立》，《政治与法律》2017年第8期，第6页。这是因为，二者虽在内容上同构，但具有不同的作用方式，可以实现功能互补。二、个人信息权利束的受保护权性质 有民法学者提出，个人信息保护法是民法典的特别法，属于民事法律规范体系。

以监管为中心，要求国家结合保护法和规制法的机制需求，设计专门的组织、程序、配套制度，确保监管机制具有制度实效，但这并不排斥其他保障机制作为监管和执法机制的必要辅助和补充。正因如此，在个人信息保护的实践维度，无论对个人信息处理者的合规监管，还是对个人信息权利束的保障，都应以行政监管和执法为中心。

注释: [1]对于知情权、决定权、查阅权、复制权等个人在个人信息处理活动中的权利而言，个人信息权利束只是一个简化的概念表达。[9]王利明：《论个人信息删除权》，《东方法学》2022年第1期，第39页。

从规范逻辑角度看，个人信息权利束与个人信息处理规则具有内在同构性，个人信息处理者拒绝个人行使权利的请求的行为，同时也是违反个人信息处理规则的行为，故应当由履行个人信息保护职责的部门进行监督和追究行政法上的责任。[53]See Christopher H. Schroeder, Lost in the Translation: What Environmental Regulation Does That Tort Cannot Duplicate,41 Washburn L. J.583(2001); Michael G. Faure, The Complementary Roles of Liability, Regulation and Insurance in Safety Management: Theory and Practice,17 Journal of Risk Research 689(2014). [54]参见[英]洛克：《政府论》下册，瞿菊农等译，商务印书馆1964年版，第82页。

[38]参见王锡锌：《国家保护视野中的个人信息权利束》，《中国社会科学》2021年第11期，第122页。就欧盟立法而言，《宪章》第8条规定的人人均享有个人信息受保护之权利，既是对个人信息受保护权这项基本权利的宣告，也是对该项基本权利的内容及保护机制的要求。[75]See Meta Platforms Ireland Limited v Bundesverband der Verbraucherzentralen und Verbraucherverbände - Verbraucherzentrale Bundesverband eV, Case C-319/20, ECLI:EU:C:2022:322, Judgment of 28 April 2022. [76]参见张辉：《美国公民诉讼之私人检察总长理论解析》，《环球法律评论》2014年第1期，第164页以下。从权利的发生机制看，工具性权利并非由个人对其个人信息的占有和控制衍生而来，而是国家履行保护义务的结果。

（四）法律、行政法规规定应当告知的其他事项。本文不对二者的内涵作出实质区分，且仅在讨论欧盟立法时，使用个人数据的表述。

个人信息自决权理论认为，个人对其个人信息享有绝对的、控制性的权利。[63]从国际上典型的数据保护规范的发展脉络来看，不同时期、各种版本的公平信息实践原则，不论1980年经合组织发布的《关于隐私保护和个人数据跨境流通指南》、1981年欧洲理事会成员国签署的《有关个人数据自动化处理中的个体保护公约》，还是1995年欧盟发布的《关于涉及个人数据处理的个人保护以及此类数据自由流动的指令》，都设置了知情、同意、访问、更正等程序性权利。

就此来看，法律只是将个人信息作为一种保护对象。（一）以监管为中心的制度设计及实践展开 国家对个人信息保护法秩序的维护，体现在个人信息保护法的制度设计中，其具体从三个方面展开：（1）行政监管的组织设计。

[41]参见前引[18]，王锡锌文，第149页以下。应该承认，在个人信息保护法实施前，通过民事诉讼途径对个人信息权利束进行保护，有一定的现实原因，也发挥了相应的作用。[33]参见周汉华：《平行还是交叉——个人信息保护与隐私权的关系》，《中外法学》2021年第5期，第1175页。在组织和程序保障层面，司法机构及民事诉讼程序，难以有效应对大规模的风险控制任务。

[4]申卫星：《论个人信息权的构建及其体系化》，《比较法研究》2021年第5期，第4页。[19]在我国民法典和个人信息保护法的制定过程中，许多民法学者都曾提出引入个人信息权这一民事权利的主张，[20]但立法机关对此采取了谨慎态度。

[59]由于可携权是一种能够促进实现个人信息权益、个人信息处理者利益、技术创新和产业发展之间再平衡的策略性规制工具，如何协调可携权所涉及的各种利益和价值，是对可携权作出具体制度安排时需要关注的焦点。而欧盟法院则指出，允许消费者协会在没有数据主体授权的情况下提起代表诉讼，符合GDPR所追求的确保对个人数据高度保护之目标。

[64]参见丁晓东：《论个人信息法律保护的思想渊源与基本原理——基于公平信息实践的分析》，《现代法学》2019年第3期，第96页以下。为了监督监管机构切实履行保护个人信息的法定职责，个人也可以通过法定的投诉举报机制启动公共执行机制。

(责任编辑：威海市)