所谓决议，就是要以决议之矢去中某个争议之的，无的放矢的决议是没有力量的。

叶剑英在修宪开始时说在明年上半年公布修改宪法草案，这里所指的当然是1981年上半年。16对于修宪要推迟，彭真代表宪法修改委员会给出的理由主要有两个方面：其一，宪法修改工作关系重大，牵涉到各方面一系列复杂的问题，需要进行大量的调查研究，广泛征求各地区、各方面的意见，这一理由属于常规操作，修宪确实兹事体大，涉及方方面面，是大家的事，是中国人民的大事。

521981年7月8日，彭真刚刚接手修宪，前述方案就已经形成，和小平同志谈过，宪法修改要以一九五四年宪法为基础。⑩《中国共产党中央委员会关于修改宪法和成立宪法修改委员会的建议》，载全国人大常委会法制工作委员会宪法室（编）：《中华人民共和国制宪修宪重要文献资料选编》，北京：中国民主法制出版社2021年版，第52页。42八二宪法在《决议》之后，在1982年9月党的十二大之后——国家经历了伟大的历史转折，也即邓小平所说的从十一届三中全会到十二大，我们打开了一条一心一意搞建设的新路43——其面貌一新归根到底在于它是以国家根本法对大国新路的一种表述、确认和保障。然而序言问题可以说是彭真接手后解决的第一个大问题。既然如此，为什么要讨论一个本不存在的东西何以不存在呢？五届全国人大三次会议所通过的修宪决议，大致构成了新宪法如何起草并通过的一部立法法，规定了修宪的主持机构，也设定了修宪的基本程序，包括从提出草案到交全国人大常委会公布，全民讨论，返回修改，而新宪法生成的最后一个程序，是提交本届全国人民代表大会第四次会议审议。

而宪法修改草案初稿的完成，尚且有待彭真阶段的加速，尤其是1981年10月5日至11月中旬的玉泉山集中27——苦力班子夜以继日，上午、下午、晚上，每天三班倒，日夜伏案起草宪法修改草案，28终于拿出了宪法修改草案的第一稿。12彭真：《关于中华人民共和国宪法修改草案的报告》，载《彭真文选（1941—1990）》，第435页。人人均有权查询其被处理的信息，并有权更正其个人信息。

在这种体系解释中，第50条中的依法提起诉讼，可以同时容纳依法提起行政诉讼和民事诉讼，只不过，提起不同诉讼所依之法不同。2.个人信息权益的权能说 一些民法学者不同意个人信息权的权能说，而选择将权利束与个人信息权益的概念联系起来。例如，吴香香认为，民法典第1037条的规定可作为人格权请求权中的消极防御请求权的规范基础。在规范适用上，从GDPR的规定来看，个人信息保护的救济权包括向监管机构投诉的权利（第77条）、对监管机构提起行政诉讼的权利（第78条）、对数据处理者提起诉讼的权利（第79条），以及主张损害赔偿的权利（第82条）。

其次，在社会组织维度，以公益诉讼为代表的社会执行机制，对于行政监管机制具有重要的补充作用。[20]参见王利明：《论个人信息权的法律保护——以个人信息权与隐私权的界分为中心》，《现代法学》2013年第4期，第63页以下。

个人信息保护法第三章所规定的个人信息跨境提供的规则，则体现出更为明显的国家规制色彩。[64]参见丁晓东：《论个人信息法律保护的思想渊源与基本原理——基于公平信息实践的分析》，《现代法学》2019年第3期，第96页以下。这在一定程度上表明，对个人而言，可携权是一项权利，但对国家而言，要设定该项权利的内容，还需要平衡个人信息保护的目标、个人信息处理者的合法权益，以及其他法益之间的关系，在综合考虑各种利益的基础上提供更为具体的规则。[8]程啸、王苑：《论我国个人信息保护法中的查阅复制权》，《法律适用》2021年第12期，第27页。

相较而言，履行个人信息保护职责的机构所进行的监管和执法，无论事前事中监管，还是事后处罚，都可以在保护个人信息权益的同时，产生监管的规模效应。[7]程啸：《民法典编纂视野下的个人信息保护》，《中国法学》2019年第4期，第39页。该案例意味着，欧盟的个人信息保护实践，在强调以监管为中心的同时，也开始注意到社会执行机制对行政监管的补充性效果。公允地说，损害扩容命题认识到个人信息权利束的行使是为了控制权益受侵害的风险，以及降低个人对此种风险的担忧和焦虑，但其可能忽视了风险规制的路径与民事责任路径在底层逻辑上的差异。

吕炳斌：《个人信息权作为民事权利之证成：以知识产权为参照》，《中国法学》2019年第4期，第45页以下。此外，检察机关也可以通过法律监督的方式对监管机构依法履职进行监督。

[55]参见王旭：《论国家在宪法上的风险预防义务》，《法商研究》2019年第5期，第117页以下。对个人信息权利束之法律性质的民法解读，可归纳为个人信息权的权能说、个人信息权益的权能说、一般人格权请求权说等几种代表性观点。

《宪章》第8条围绕个人信息受保护之目标建构的个人信息受保护权，以及GDPR关于个人信息保护权利束的规定，都体现了国家应当履行个人信息保护义务的逻辑。[58]从立法过程可以看出，立法者在是否规定可携权的问题上进行过反复权衡。[54]要完成控制公共风险的任务，需要国家积极履行保护义务，[55]而非仅仅通过自主支配观念和分散化的私法救济机制对个人进行武装。侵权之诉的判决虽不具备普遍适用性与政策调适效果，但个案裁判依然可以对个人信息处理者规模化的违法行为产生一定威慑，从而间接保障个人信息权利束和合规要求的落实。第五，个人的诉讼请求并不包含民事侵权赔偿，而仅要求法院判令个人信息处理者满足个人行使个人信息权利束中某项权利的请求。从法解释的角度讲，仅仅依据民法典的相关规定，尚不足以断定个人信息权益是民事权益。

王锡锌、彭錞：《个人信息保护法律体系的宪法基础》，《清华法学》2021年第3期，第9页。在规范逻辑上，违法处理个人信息（侵害权利束）的行为，可以直接激活公共监管和执法机制，监管部门应依法查处违法处理个人信息的行为。

该条规定意味着，个人享有要求负有保护职责的部门履行法定职责的请求权，个人信息处理者对相应合规义务的履行，不仅要受到监管部门的主动监督，也可因个人向监管部门行使请求权而启动。这不但可以避免民事诉讼一事一诉的低效和判决效果的局限性问题，还可以通过形成一般性规则来对同类问题进行整体规制，实现对个人信息保护的效率优化。

这些权利并非个人民事权利的逻辑延伸，而是国家为了履行个人信息保护义务，通过制度性保障赋予个人的工具性权利。一些民法学者也注意到了个人信息立法的保护法属性，并从民法角度对保护法领域中权利保障机制的选择作出了解释，提出了损害扩容命题来寻求民法教义的更新。

（一）信息处理规则与个人信息权利束的内容同构 合规是指组织对其法定和约定义务的履行状态。[22]参见王锡锌：《个人信息权益的三层构造及保护机制》，《现代法学》2021年第5期，第117页以下。[66]（2）行政监管和执法的职权与程序设计。为了监督监管机构切实履行保护个人信息的法定职责，个人也可以通过法定的投诉举报机制启动公共执行机制。

鉴于此，本文将从论述个人信息权利束的法律性质入手，分析个人信息权利束与个人信息处理规则的内在一致性，然后在个人信息处理合规的视角下探讨个人信息权利束的保障机制，为个人信息保护法第50条提供一个法解释的逻辑框架和具体的解释方案。[53]See Christopher H. Schroeder, Lost in the Translation: What Environmental Regulation Does That Tort Cannot Duplicate,41 Washburn L. J.583(2001); Michael G. Faure, The Complementary Roles of Liability, Regulation and Insurance in Safety Management: Theory and Practice,17 Journal of Risk Research 689(2014). [54]参见[英]洛克：《政府论》下册，瞿菊农等译，商务印书馆1964年版，第82页。

面对兼具不确定性、专业性和高度技术化的数据治理政策所引发的权利束侵害争议，法院往往难以通过复杂的成本收益分析，在一定时空内作出一致的、具有高度政策性的解释。[26]如果承认在个人信息上存在一种近乎所有权的支配权，所谓的支配就不再仅仅是对自己个人信息的支配，而是对他人行为的支配。

[59]由于可携权是一种能够促进实现个人信息权益、个人信息处理者利益、技术创新和产业发展之间再平衡的策略性规制工具，如何协调可携权所涉及的各种利益和价值，是对可携权作出具体制度安排时需要关注的焦点。第3款进一步明确了，应当由独立的主管机构监督上述受保护权规则的遵守，即由行政机构对处理者活动是否合规进行监督。

德国联邦最高法院认为，GDPR的规范适用和执法基本上应由行政监管处理。[42]欧盟GDPR中的personal data通常被译作个人数据，我国个人信息保护法使用的是个人信息的概念。[59]See Aysem Diker Vanberg, The Right to Data Portability in the GDPR: What Lessons Can Be Learned from the EU Experience?,21 Journal of International Law 10(2018). [60]参见王锡锌：《个人信息可携权与数据治理的分配正义》，《环球法律评论》2021年第6期，第6页。二、个人信息权利束的受保护权性质 有民法学者提出，个人信息保护法是民法典的特别法，属于民事法律规范体系。

三、个人信息权利束与信息处理规则的同构 个人信息权利束，是国家为了落实个人信息保护义务，而对个人信息处理活动进行风险规制的产物，是个人信息受保护权的具体化。[18]参见王锡锌：《个人信息国家保护义务及展开》，《中国法学》2021年第1期，第147页。

仅仅依据这一条文，很难明确个人的知情权、决定权到底有哪些内容，要理解这些权利的内容，必须结合个人信息处理规则。[38]参见王锡锌：《国家保护视野中的个人信息权利束》，《中国社会科学》2021年第11期，第122页。

[6]参见前引[4]，申卫星文，第4页。个人针对侵害权利束的行为提起民事诉讼，应同时满足个人信息保护法第69条规定的侵权责任的成立要件，即个人信息处理行为不仅侵害个人信息权益，且已造成损害。