（三）个人“信息权利束”具有宪法权利属性

　　从法律规制的视角看，信息权利人行使“信息权利束”的法定权利与个人信息处理者履行法定义务，是国家对个人信息处理活动予以规制的产物，两者的契合与共同发挥功能作用，构成了公民个人信息处理的法治规则。《宪法》第三十三条规定：“国家尊重和保障人权。”这条规定是在大数据时代，随着数字经济的快速发展而对人权保障提出的新要求。《宪法》第三十八条规定：“中华人民共和国公民的人格尊严不受侵犯。禁止用任何方法对公民进行侮辱、诽谤和诬告陷害。”这条《宪法》规定，事实上就是个人“信息权利束”的宪法基础，正是在此基础上构建了一套“基础稳固、内容完整、结构合理的个人信息保护法律体系”。国家构建公民个人信息处理的制度框架体系，在个人信息权利人与个人信息处理者之间形成清晰的信息处理权利义务关系，通过彼此制衡最终达到和实现公民个人尊严保障及相关法益保护的目的。即是说依据《宪法》保护规定，任何人任何机构对个人信息处理不得逾越“人格尊严”的法律底线，这是我国宪法和民法的最基本的共同要求。《民法典》是我国典型的“权利法”，但它不是完全意义上的个人信息“保护法”，也不是个人“信息权利束”的确认者。《民法典》第一千零三十四条至第一千零三十九条规定的个人信息保护，只是个人信息国家保护义务在《民法典》中的投影而已。《个人信息保护法》开启了专门立法保护个人信息的新时代。《个人信息保护法》第一条开宗明义地指出：“为了保护个人信息权益，规范个人信息处理活动，促进个人信息合理利用，根据宪法，制定本法。”这既是立法权法定原则的规范要求，也是对个人信息权益保护的《宪法》定位，有利于认识和证成个人信息权是具有《宪法》性质的基本权利。它一方面表明《个人信息保护法》对《宪法》的遵循和依从关系，另一方面致力于构建“国家保护个人信息义务”的框架，赋予国家对个人“信息权利束”保护义务，既维护信息权利人个人信息的合法权益，又保障信息处理者和信息开发者合法利用有效信息资源，推进信息资源共建、共治、共享，降低信息监管和执法成本、提升国家数据治理水平。尽管《民法典》与《个人信息保护法》在保护个人信息权能和功能上存在显著区别，但是《民法典》与《个人信息保护法》规定的权利结构却基本相同。譬如，《民法典》在第一千零三十七条规定了个人信息主体的查阅权、复制权、异议权和删除权；《个人信息保护法》在第四十四条至第四十七条则规定了个人信息主体的知情权、决定权、查阅权、复制权、异议权、删除权与可携带权。国家构建个人信息保护法律体系的目的，不是要禁止个人信息的流通和运用，而是要保障数据处理活动全过程、全链条的公平性、合理性和谨慎性，以求达到和实现个人信息处理风险与流通效益的均衡。即是说《个人信息保护法》规定了个人信息处理的一般规则与特别规则，构建起个人信息处理活动规范化的基本框架；对个人在个人信息处理活动中的权利、个人信息处理者的义务以及履行个人信息保护职责的部门也做出了规定。个人“信息权利束”作为公法工具性权利的界定，表明任何侵害个人“信息权利束”的行为，将不只是单纯的民事侵权，而是公然抑或直接侵犯公法上的“法秩序”。尽管《民法典》规定的民事侵权责任机制，已经在围绕个人信息侵权损害展开民事赔偿和法律救济；但国家仍不忘规制信息权人秉持权利规则、信息处理者恪守义务规则，这是国家权力机关履行“个人信息受保护——国家保护义务”的体现。

　　（四）强化个人信息主体权利体系的法治保障

　　尽管《民法典》和《个人信息保护法》都具有保护个人信息主体（即个人信息权利人）的法律规定，但是《民法典》和《个人信息保护法》毕竟是两部性质和功能不同的法律。譬如，《民法典》在第一千零三十七条中，概括性地规定了个人信息主体所享有的一系列民事权利，并且使这些权利具有“请求权”的基本特征。即是说《民法典》从立法价值到规定基本原则、具体制度均体现了时代性；《个人信息保护法》则从保护信息权利人合法信息权益，支持信息处理者合法利用和开发数据资源的视角，对个人信息处理者泄露、毁损和窃取信息权利人信息的行为进行规制，回应了当下以及未来人们对于个人信息权利保护的重点，凸显了前瞻个人信息保护的前景。再从法的延续性和继承关系看，《个人信息保护法》所规定的知情权、决定权等系列权利，正是对《民法典》相关民事权利的延续、继承和发展。因而无论现在抑或将来，任何割裂、否认《个人信息保护法》和《民法典》内在联系的观点和做法，都是不符合我国成文法特质要求和脱离我国立法实际的。正在修订中的《电信和互联网用户个人信息保护规定》，将是一份对公民个人信息保护予以规制的规范性法律文件，也是强化应用程序责任链管理、健全个人信息保护的制度规范。之所以需要尽快修订曾起过开先河作用的《电信和互联网用户个人信息保护规定》，是因为它对网络运营主体收集、使用个人信息的规范比较粗糙、缺乏明确的指引，事后救济不足以保护个人信息的需要。为了遏制对个人信息权益的侵害并加大处罚力度，《中华人民共和国刑法修正案（九）》专门增设了侵犯个人信息罪、拒不履行信息网络安全管理罪等罪名。《中华人民共和国网络安全法》也规定了网络运营者收集、使用个人信息的一般原则和保护义务，规定了违反相关义务的行政处罚规范。我国推出的《信息安全技术个人信息安全规范》（GB/T35273-2017）等标准，已成为衡量和认定网络运营者是否落实主体义务的主要依据。为了加强对个人信息主体民事权利体系的制度构建，建议在“十四五”规划期间乃至更长的时间内，由最高人民法院针对个人网络信息保护做出专门的司法解释，对侵权违约责任构成要件予以明确规范，对侵权违约责任的赔偿计算方式、赔偿标准予以明确厘定，将大规模个人网络信息泄露事件纳入公益诉讼案件受理范围。