[62]See Salome Viljoen, A Relational Theory of Data Governance,131 Yale L. J.573(2021). [63]参见前引[38]，王锡锌文，第131页以下。

在此背景下，我国应综合考量法治发展水平、市场经济秩序、公民权利意识、国家赔偿能力和合宪性审查进展等因素，在法的安定性、信赖利益、公民权利、公共利益等诸多利益之间权衡利弊，掌握溯及尺度，以有效缓解违宪问题引发的利益争端。因为再审和撤销，都需要重新审查之前的案件和行政行为，这会给再审法院和行政机关带来十分沉重的负担，庞大的案件甚至会导致国家机构瘫痪。

第二，从实质的角度分析，合宪性审查的溯及力问题涉及法秩序稳定与个案正义的价值选择，无论偏向于哪一维度都具备一定的合理性。（3）延期至合宪性审查决定公布后的一段时间失效。而对于行政行为，我国可在将来的《行政程序法》或目前各单行的行政行为法中，将违宪情况列为中止执行的法定条件，破除不停止执行原则。如1940年美国联邦最高法院在Chicot County Drainage Dist.案中指出，司法裁判无效的法律效果可能要在不同的层面被考虑——在特殊关系中，个人和企业，特殊的行为，如私人和官方的行为。比如，对夫妻一方与债权人恶意串通坑害另一方，另一方在毫不知情的情况下无端背负巨额债务的案件等，应当依法予以纠正。

违反上位法的法律应该自始无效，否则必将导致相同法律关系下不同法律结果的不公正状态，从而违反法律平等这一宪法原则。二、合宪性审查溯及力的争议与回应 合宪性审查溯及力的核心问题是合宪性审查机关作出的撤销决定是否会溯及影响至之前的司法裁判等行为，其前提是必须存在一个合宪性审查决定。以行政监管为中心，并不排斥民事诉讼等私法救济途径。

[61]这意味着，在个人信息保护法律体系和相关实践中，个人并不只是消极的受保护对象，也是可积极参与个人信息保护的主体。例如，个人的通信信息承载着宪法上的公民通信秘密权益，并非纯粹的民事权益。王利明：《论我国〈民法总则〉的颁行与民法典人格权编的设立》，《政治与法律》2017年第8期，第6页。文章来源：《法学研究》2022年第5期。

[48]我国个人信息保护法第四章规定的是个人在个人信息处理活动中的权利，在概念限定上体现了立法者的深思熟虑：这些权利并不是个人对其信息的支配和控制权，而是个人对个人信息处理者及其处理行为进行制约的工具和手段。关键词:  个人信息权利束 个人信息处理规则 行政监管 侵权责任 个人信息保护法 民法典和个人信息保护法实施以来，司法实践中出现了不少个人因个人信息处理者侵害其查阅权、删除权而提起的民事诉讼。

这种受保护权所强调的国家保护机制，与民事权利行使主要依赖的平等协商、自治等机制有所区别。但是，在个人信息保护法实施之后，一律通过民事诉讼保障个人信息权利束，可能带来一系列问题。这些权利对应着个人信息处理活动的合规要求，二者共同构成了个人信息处理规则。[48]GDPR第1条规定：本条例保护自然人之基本权利和自由，特别是其个人数据受保护之权利。

法院在判定个人信息处理者是否需要承担侵权责任时，往往也需要对信息处理行为是否违法进行判断。作者简介：王锡锌，法学博士，北京大学法学院教授。与个人信息处理者的法定删除义务相对应，个人的删除请求权可以理解为个人对个人信息处理者删除义务的监督权，而不能被解释为人格权请求权的延伸。例如，个人信息保护法第47条设定了个人信息处理者主动删除个人信息的法定要求，同时也规定个人有权要求处理者删除，这体现了合规监管和个人监督两种保护手段的功能互补。

[33]参见周汉华：《平行还是交叉——个人信息保护与隐私权的关系》，《中外法学》2021年第5期，第1175页。李晓明：《合规概念的泛化及新范畴的确立：组织合规》，《法治研究》2022年第2期，第137页以下。

[30]Vgl. Marion Albers, Informationelle Selbstbestimmung, Baden-Baden,2005, S.238 ff.转引自谢远扬：《〈民法典人格权编（草案）〉中个人信息自决的规范建构及其反思》，《现代法学》2019年第6期，第142页。[76]美国学者舒尔茨在系统考察个人信息权利束相关执法机制后指出，面对个人信息保护需求不断强化的现实，一些监管部门反应迟缓、缺乏履职动力、规制措施僵化，有必要针对权利束中的特定内容，赋予私人一定限度的执行权，发挥掌握一手信息、富有公共精神的公民的领头羊作用。

但是，仅仅依靠整齐划一的规则体系和监管手段，可能会限制数据治理结构的弹性和灵活度。结语 现代社会的个人信息处理行为都具有大规模、系统化、持续性的特点。个人信息保护法第69条第1款规定：处理个人信息侵害个人信息权益造成损害，个人信息处理者不能证明自己没有过错的，应当承担损害赔偿等侵权责任。最后，将个人信息权利束理解为人格权请求权，并认为其是一种绝对请求权的观点，也值得商榷。以监管为中心，要求国家结合保护法和规制法的机制需求，设计专门的组织、程序、配套制度，确保监管机制具有制度实效，但这并不排斥其他保障机制作为监管和执法机制的必要辅助和补充。个人信息权利束的规制工具性质，以及个人信息权利束与个人信息处理规则的同构性，决定了对个人信息权利束的保障，应主要通过行政监管和执法机制展开，形成以行政监管为中心的保障机制。

[5]参见[德]卡尔·拉伦茨：《德国民法通论》上册，王晓晔等译，法律出版社2003年版，第264页。[77]不过，需要注意的是，个人维护规制秩序的私人行动，也可能受到利己动机的影响，故私人执行只能是公法秩序维护机制的例外，其需经法律条款明确授权方可创设，并应限定在特定领域、特定条件之下。

[28]正如有学者指出的，信息自决权不是法学意义上的权利，[29]毋宁说是一种保护人格尊严的理念。[10]他们强调保护个人信息权益对维护个人理性、尊严与自主性的重要作用，认为个人信息利益保护是一般人格权在信息时代发展中所形成的新的社会形态的具体展现。

[3]申卫星认为，个人信息的知情权、决定权、查阅权、复制权、更正权、删除权等，均为个人信息权的权能。例如，程啸认为，民法上不应当简单地通过将自然人的个人信息固定为个人信息权并确定各项权能的模式来保护个人信息，[7]查阅权、复制权、可携权等个人在个人信息处理活动中的权利，都不属于独立的人格权益，而是个人信息权益的权能。

如果违法处理个人信息的行为在侵害个人信息权利束的同时，也侵害了民事实体权益，个人可依法提起侵权之诉。此处所讲的一般人格权，主要指宪法层面作为基本权利的个人信息自决权，而宪法基本权利的请求权，并不必然是民事请求权。在组织和程序保障层面，司法机构及民事诉讼程序，难以有效应对大规模的风险控制任务。[23]参见张新宝：《论个人信息权益的构造》，《中外法学》2021年第5期，第1147页。

就知情权而言，其对应着个人信息处理者的告知义务。我国个人信息保护法第70条规定：个人信息处理者违反本法规定处理个人信息，侵害众多个人的权益的，人民检察院、法律规定的消费者组织和由国家网信部门确定的组织可以依法向人民法院提起诉讼。

个人信息权利束与个人信息处理者的合规义务，其实是个人信息保护手段的一体两面。[43]参见丁晓东：《个人信息保护：原理与实践》，法律出版社2021年版，第63页。

[69]也就是说，GDPR第79条所规定的有权获得有效的司法救济，并非确立了一套个人直接发动民事诉讼程序的机制，而只是强调个人信息保护法秩序内在地具有保护个人权益的功能，在监管执法处理的前置性程序要求下，个人依然享有在穷尽行政救济途径后提起诉讼的权利。[52]参见刘云：《论个人信息非物质性损害的认定规则》，《经贸法律评论》2021年第1期，第66页以下。

首先，个人可以通过提起侵权责任之诉实现对权利束的间接保障。在公益与私益联系日益紧密的现代社会中，在一些法律实施存在不足、所涉法益重要且紧密关涉个人权益的领域，允许个人提起超个人利益之诉来维护法秩序、促进法律执行，具有一定的正当性。[9]王利明：《论个人信息删除权》，《东方法学》2022年第1期，第39页。注释: [1]对于知情权、决定权、查阅权、复制权等个人在个人信息处理活动中的权利而言，个人信息权利束只是一个简化的概念表达。

[28]关于德国个人信息保护立法的发展过程，参见李欣倩：《德国个人信息立法的历史分析及最新发展》，《东方法学》2016年第6期，第118页以下。以行政监管为中心对个人信息权利束进行保障，是个人信息保护法内在逻辑的必然要求，其能够更高效地规制个人信息处理活动，更有效地实现保障个人信息权益和规范信息处理活动的双重目标。

这一基本权利反射到国家一方，意味着国家应当履行个人信息保护义务。[5]例如，支配权是权利人对权利客体直接支配的权能。

无论GDPR，还是我国个人信息保护法，都在法律文件名称中突出了保护这一关键概念。（三）个人行使本法规定权利的方式和程序。