药品安全

(14)白皮书《中国特色社会主义法律体系》(2011年10月)对于宪法相关法、民法商法、行政法、经济法、社会法这五个法律部门的解说，都指明了它们各自调整的社会关系。

另外，补偿不过是为政府的权力设置的制约条件，并不会改变政府的法律地位。第一种是主观主义立场，认知者所认为的看似正确决定什么是正确的。

如此看来，权利分析理论的作用似乎不大，但事实并非如此。据此而论，权利分析理论至少具有最小客观主义立场上的客观性。第二种是最小客观主义立场，共同体所认为的看似正确决定什么是正确的。若将法律成分分解为一束法律枝丫，我们将发现，每一个法律枝丫都可被分解为自己的构成要素，我们可如此无限向下细分。被告主张，在他被允许根据替代性规则制作劣质面包之前，不存在减少损失的问题，在政府相关规定生效后，他确实按照对己最有利的方式使用了面粉。

该法规定，如果银行管理人员有过错，银行买方可以针对其过错提起诉讼。⑨与此同时，对权利分析理论的质疑亦不绝于耳。他进而指出，国家在个人信息保护中发挥着双重作用：其一，创造与维持运行良好的隐私市场。

例如，不同行业领域赋予个人信息主体信息处理介入权程度是不同的，这也是个人信息权益的多元性与场景性所决定的。这些权利对于数据处理的公平准确起到了工具性的作用，特别是在纠正事实和推断错误方面。因此，个人在此情况下有权退出或部分退出数据处理过程。例如，最高人民法院于2021年8月1日实施的《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》，在第2条中将信息处理者违反知情—同意规则的行为一概视为侵犯人格权益的行为，可以提起民事诉讼。

(23)See Neil Richards and Woodrow Hartzog,"Taking Trust Seriously in Privacy Law," Stanford Technology Law Review,vol.19,no.1,2015,p.436. (24)参见王锡锌、彭錞：《个人信息保护法律体系的宪法基础》，《清华法学》2021年第3期。国家机关处理个人信息在性质上属于国家机关的职权行为，国家机关与个人之间形成的是公法上的权利义务关系。

在此基础上，数据处理者完全可以在国家的政策激励与责任约束的合力之下，将其个人信息保护水准作为企业竞争策略，从而可持续地优化企业内部的隐私治理体系，创造更有效的合规文化与隐私友好政策。除了信息披露机制外，更正权、异议权、要求说明权等权利规则所对应的理由说明与对话机制，对于促进信息处理活动的规范化也具有重要作用。同时需要注意的是，将个人信息权利束定性为公法权利与通过公法机制予以保障，并不会阻隔个人通过民事途径获取相应救济的渠道。(12)在近年来的制度实践中，无论是GDPR为预防数据处理风险所作的长达99条的监管和合规要求及其执法活动，(13)还是美国联邦贸易委员会对企业隐私政策的个案审查和规制，(14)都体现出国家主导下企业内部规制与行政外部规制的结构耦合。

现实情况是，这些围绕权利束的维权，主要并非依靠个人的自我控制与诉讼，而是依靠国家主导下监管机构的有效监管。(42) 第二，审慎对待可携带权的功能。⑨王怀勇、常宇豪：《个人信息保护的理念嬗变与制度变革》，《法制与社会发展》2020年第6期。其次，信息披露也有助于信息主体了解信息的去向和使用目的，便于个人作出理性决策。

反映到个人信息处理领域，国家一方面采取全方位的规制来规范信息处理活动，同时也对个人赋予一系列旨在制衡信息处理者权力、促进处理活动规范化的权利。(35)相比之下，根据国家保护义务逻辑，只要信息处理者违反权利束规则所对应的行为模式与法定义务，不论其是否造成信息主体实际损害，都可认定为违法。

(一)个人信息权利束实践的程序正义功能 1.知情、参与的程序保护 权利束的基本权能是保障个人的知情和参与，为个人提供基础性的、防御性的程序保护，亦即确保数据处理过程中个人保持清醒的在场。(11)又如，伊莱克特拉·比蒂(Elettra Bietti)指出，在缺乏国家主导的有力监管的情形下，个体视角下的同意只是一张免费通行证(free pass)，无法有效防范平台权力(platform power)所带来的结构性伤害。

这一防御性权能主要表现为知情权、查询权、复制权所要求的信息披露机制以及说明理由、更正与异议权等对应的发言参与机制。财产权保护的论证，如龙卫球：《数据新型财产权构建及其体系研究》，《政法论坛》2017年第4期。(25)保护法这一概念的提炼，来自北京大学法学院张守文教授。实际上，如果从功能效果上看，权利束的公法保障不仅不会削弱对个人的民法保护，还可以弥补民法个案救济模式的不足，共同回应个人信息保护的系统性问题。这一类型的权能是立法者进行立法裁量后确定的结果，基本属于立法者的形成自由与裁量空间，而非不言自明的、绝对的权利。(30)在国家主导的规制网络中，个人信息权利束成了个人发挥积极力量、制衡数据权力的重要工具，其作用在于充实(empower)个人信息受保护权，促进信息处理行为的规范化，从而有效地保护个人信息所承载或关联的各种法益——包括以尊严为核心的基本权利以及人格、财产等民事权利或利益。

由于个人与信息处理者之间力量失衡，很难寄希望于通过个人与信息处理者之间的反复博弈而自发地生成公平合理的数据治理秩序。(20)参见丁晓东：《个人信息权利的反思与重塑——论个人信息保护的适用前提与法益基础》，《中外法学》2020年第2期。

面对数据权力的滥用，仅仅寄希望于个人对其信息进行自我保护显然是不够的。(20)这一观点从具体执法操作层面对权利束的行使提供了指引，但并未对权利束性质提供整全的理解。

(38) 三、个人信息权利束的功能展开 个人信息权利束的工具性价值在实践中如何落实与完善？这需要我们明确工具性权利束的法律适用理念：一方面，权利束应当保障个人在信息处理过程中的参与和全环节在场，并通过程序机制促进个人与信息处理者理性交涉，这是权利束蕴含的程序正义功能的体现。其三，对理由说明与案例积累中相关要素的提炼和公布，也可搭建一个数据处理理由展示和检阅的平台，还可以为监管机构的执法与审查提供线索。

此时，从工具有效性而非自主支配的民事权利角度进行理解，更有利于形成灵活的程序框架，合理配置双方的权责。(37)See Dennis D.Hirsch,"Going Dutch? Collaborative Dutch Privacy Regulation and the Lessons It Holds for U.S.Privacy Law," Michigan State Law Review,vol.2013,no.1,2013,pp.148-157. (38)参见高秦伟：《个人信息保护中的企业隐私政策及政府规制》，《法商研究》2019年第2期。①权利束(bundle of rights)的概念来源于财产法，此种观念认为某些特定类型的权利是人造物，可以为人类需求和价值的变化而变化、通过法律技术采取不同的构造，而不必拘泥于既存的、将权利绝对化的教义的束缚，进而有利于还原特定权利的性质与功能，使其真正为灵活的法律治理服务。控制数据权力滥用的风险，正是个人信息保护法律制度的核心使命。

国家通过对权利束具体权能的保护，直接目的是要求个人信息处理者合规，而非对私权损害的救济。二、作为工具性权利的个人信息权利束 在个人信息国家保护框架下，可进一步分析个人信息权利束的功能。

相应地，在知情权面临空洞化和形式化的情景中，个人决定权的有效性也将不可避免地落空，因为决定权的有效性是以充分、有效的知情为基础的。首先，国家可以设定这一处理规则的最低保护标准，并建立直接针对处理规则合理性的投诉举报与程序响应机制。

已经有学者从国家规制视角对个人信息保护制度构建展开了探讨。在保护手段上依靠对个人赋权及其自我保护。

而在私法责任方面，民法框架下的侵权责任，主要是在与信息处理活动相关的个人的人格权、财产权遭受侵害或面临侵害危险时才可适用，且须经由司法途径展开。第2条又规定：自然人的个人信息受法律保护，任何组织、个人不得侵害自然人的个人信息权益。我国《个人信息保护法》借鉴GDPR模式，在立法表达中将权利束整合于个人在个人信息处理活动中的权利这一概念中。在我国法上，个人信息受保护权可依据《宪法》第38条纳入基本权利范围，以其主观权利和客观法面向所对应的国家消极保护与积极保护义务为主线，建构出一套基础稳固、内容完整、结构合理的个人信息保护法律体系。

这些民事实体权益的私法保障及个人自我保护的诉讼方式，可以结合权利束被侵犯的情形得到类型化。与私权视角下个人自主控制的目标相比，国家建构个人信息保护规则的主要目的是保障数据处理活动全环节的公平性、合理性和谨慎性，追求个人信息处理风险与流通收益的均衡，而不是限制或禁止信息处理活动。

保护法则基于调整权力不对称结构的需要，采取个体赋权与国家规制相辅相成的策略。在这个意义上，试图建构一项民法上的个人信息权，并将权利束作为其具体权能的观点，其实是混淆了个人信息保护中手段与目的、工具理性与价值理性的关系。

最后，从个人信息保护的手段和方式协同关系看，提前入场的司法救济将与公法规制手段之间产生适用冲突，造成两种保护手段的适用错位。从功能上看，个人信息权利束既是个人制衡信息处理者的工具，也是国家对数据处理者的规制策略。