《地方各级人民政府机构设置和编制管理条例》第3条。

[59]宣布紧急状态不仅在于为法律状态的切换提供标识，为紧急权力的运用提供合法性，还具有重要的政治动员功能。[14]党领导国家，不仅通过法律程序掌握国家政权，还通过制度性嵌入、功能性嵌入、主体性嵌入、过程性嵌入等多种方式深度介入国家治理过程。

最为典型的例子就是，新冠疫情进入常态化防控阶段之后，很多局部暴发甚至只是零星发生疫情的地方言必称战时机制战时状态，并在此口号下脱法而为，层层加码防疫措施。31个省级指挥机构（领导小组或指挥部）中有30个由党委书记领衔（其中5个为书记单独领衔，25个为党政负责人共同领衔），只有1个由行政负责人单独领衔。[77]如果按照这种理解，党的领导确实无需入法，因为党依法掌握国家政权之后，法律只需要调整国家机器的运行过程，无需再规定党在这个过程中如何领导。对于突发事件应对中的政治动员，现行法采取前置和外置于应急行政过程的设计，明显脱离实际，无法回应实践。但是，政治动员所产生的强大政治势能和激起的地方绩效竞争容易诱发应急措施过度施行，扩大应急行政中公、私权两端的失衡状态，特别是造成应急行政政治化，悬置应急法治的制度框架。

[28]在重大突发事件应对中，科层间的交易成本将阻碍组织的高效运行。2017年之前，我国的法律体系中极少出现关于中国共产党及其组织的表述，党的领导不入法是一个不成文的立法规则。这表现在，权利束中的具体权能可以疏通个人在信息处理过程中的利益表达渠道，通过出场、在场、发言等方式，提高个人针对信息处理者的谈判地位和筹码，帮助个人争取到对等交涉地位的主导权。

这些权利的配置需要根据功能适当原则展开：在数据处理的特定节点，由个人进行发言对抗乃至退出，对于制衡信息处理者具有较大作用，因而需要国家合理、均衡地配置这些权能。若转换到监管视角，此种侵害行为实际上就是信息处理者违反合规义务的行为。一言以蔽之，在信息化时代，国家没有必要、也没有可能去保护个人对其个人信息的独占性控制和支配。也即是说，其判断核心要素在于：个人信息处理行为是否已背离信息处理的本意，超出信息主体所能容忍的限度与基本预期，并可能或事实上对信息主体的人格或财产权益造成侵害。

第二，促进法以倡导性规定、激励性规定为主要内容，国家扮演的是经济产业或社会事务发展的引导者、推动者的角色，代表性立法如《电影产业促进法》《就业促进法》等。实际上，在个人信息和数据处理过程中，真正需要国家积极介入的原因在于：个人面临着受平台权力或数据权力(data power)支配、压迫甚至奴役的现实风险，容易因为被工具化及数字化而丧失作为人的主体性地位。

⑧相关梳理参见余成峰：《信息隐私权的宪法时刻》，《中外法学》2021年第1期。在这个意义上，个人在信息处理活动中的权利规则以及信息处理者的义务规则，乃是国家响应个人信息受保护权这一宪法权利的要求，履行其积极保护义务的结果，而不是通过私法上的个人信息权逻辑演绎的结果。(26)归纳可见，虽然在不同的个人信息保护法文本中，权利束可能以不同结构进行规则表达，但都体现为一套制衡性的处理规则及个人—信息处理者间权利义务关系的配置，不同立法模式并不影响对其权利性质的界定。国外实践中已意识到这一问题，例如，在Rijkeboer案中，欧盟法院指出：欧盟成员国应为信息查询与获取确定内容范围与时限，这构成了两者之间权利义务关系的合理平衡。

仅仅依据《民法典》的这些规定就将这些权利界定为民事权利，逻辑上有倒果为因之嫌。实践中需要监管部门通过持续的规制策略调整，不断进行成本收益分析与规制方式匹配，限定、调整与完善可携带权的适用场景及条件。国家并非要保护个人对其信息的支配与控制，而是赋予个人各种手段和工具，在个人与信息处理者之间形成工具理性的制衡结构与行为模式，进而保障个人免受数据权力的支配、减少数据处理风险，相应地也就保护了与个人信息相关的个人尊严、隐私、财产等实体价值。消费者欺诈导致不公平契约的订立与履行。

在法律性质上，个人信息处理规则属于公法秩序，是国家为了规范个人信息处理活动而选择的规制策略，其背后体现的是个人信息立法的保护法使命：基于个人与个人信息处理者之间的不对称权力结构，个人信息保护必须体现国家对个人的赋权和支援，而不是听任和观望处于弱势一方的个人与强势的信息处理者进行空手博弈。强调个人自主控制信息将无法为信息处理者的规则设计与适用预留必要空间，可能导致对信息流通和数据利用的过度抑制。

一方面，可携带权这一工具性权利允许用户将在某一平台所存储的数据转移到同类平台，降低了用户的平台转换成本，进而可缓解平台对数据的垄断以及由此造成用户被锁定的情况。本文写作得益于和张守文教授的多次讨论，特致谢忱。

在国际文件与各国个人信息保护立法中，权利束的立法表达存在以下三种基本模式：第一，专章规定模式。面对侦查机关处理个人信息的侦查行为，个人并不能以个人信息权对抗侦查机关，而只能以刑事诉讼中的程序性权利对侦查活动进行制衡。为此，本文从国家保护视角，结合比较法经验和我国实践，梳理个人信息权利束的理论脉络，重思权利束的法理基础与法律性质。例如，有观点认为必须明确信息主体的个人信息控制权。权利束可以促进个人与信息处理者理性交涉，设定双方进行理性对话和博弈的制度性条件。其三，这些权利是个人信息处理特定场景和过程中的权利，而非普遍的、绝对化的权利。

(36)相比之下，由专门的数据保护机构通过执法体制对个人信息权利束进行保障，可将一次性的立法规则延伸到持续性的、反复的合规监管过程中，这有助于有效应对信息隐私生态系统中不断变化的侵害风险。最后，从风险控制的角度观察，信息披露也有利于相关个体及专业力量更加准确地评估、识别数据集聚的动态化、复杂性风险并采取相应风险防控手段。

个人信息的可被处理性及可利用性不断增强。(40)工具性权利在国家保障下的行使，可以使信息处理者持续感受到个人信息受保护权规范性力量的作用。

这种观点所反映的，其实是将对个人信息的自我控制、自我保护作为路径的个人数据治理模式。面对这种情形，知情权的质量和效果非常有限。

其二，这一机制与信息披露机制相结合，可以迫使信息处理者不断地说理和论证，反思、检视信息处理过程与方式的妥当性与准确性，进而增强信息处理活动的理性化程度。进一步看，基于数据处理的累积效果，数据处理者对个人带来的风险和损害将具有连锁效应：在数据处理的不同环节都有可能发生数据滥用与安全风险，导致与个人信息相关法益的次生性损害。实际上，该条文在比较法上对应的渊源是GDPR第79条的规定：数据主体认为由于对其个人数据的处理不符合本条例而导致其在本条例项下的权利受到侵犯的，其有权获得有效的司法救济。(一)个人信息权利束私权化路径的局限 在既有关于权利束性质的探讨中，具有代表性的观点认为，权利束是个人对个人信息进行控制并展开自我保护的具体手段，是民事主体享有的对其个人信息的权利。

数据可携带权还可能引起各企业之间利用这一权利抢夺数据，加大不正当竞争和大企业垄断的趋势，挤压后发企业的发展空间。以此为基点，尝试厘清权利束在个人信息保护法律制度中的功能定位，进而对权利束的设定、行使、保障等规则进行提炼。

从权利性质看，个人信息权利束是国家履行积极保护义务、通过制度性保障对个人进行赋权的结果，本质是国家在保护法理念下赋予个人的保护手段和工具。这里的关键是维系个人与数据处理者之间的均衡关系。

例如，数据伪造导致的数据低质量可能引发个人经济机会减损及财产损失。如果我们用国家控制和个人自主作为坐标系的两个维度，可以按国家控制与个人自主的变量关系，将经济社会领域的法律规范大致分为管理法促进法权利法保护法四个类型。

如果其中任何一个因素缺失，例如个人不行使自己的权利或司法系统不能确保对这些权利主张作出一致的裁决，那么建立在个人支配权利基础上的治理机制就会落空，成为象征性治理。与此类权利对应的，是数据处理者需要建立信息披露机制与透明的操作规则。在监管层面，国家可将权利束作为工具，推进个人信息保护规范实施中的策略选择和具体部署，形塑不同行业、不同场景下信息处理者的行为模式，在提高个人信息保护水平的同时兼顾对产业发展的引导和推动。(27)例如，信息处理者可以通过挖掘信息形成特定的人格画像，侵入个人隐私并对私人决策形成支配和操纵。

(二)公法秩序下的工具性权利 个人信息权利束既是个人制衡信息处理者的工具，也是国家规制网络中的重要策略手段。从有效性(effectiveness)角度看，监管效率要求行政监管和执法前置，其他途径只是作为监管不足的最后补充手段。

国家必须在个人信息保护和数据治理体系中扮演重要的规制者角色。(19)参见周汉华：《个人信息保护的法律定位》，《法商研究》2020年第3期。

个人信息保护是大数据时代所呼唤的一种能够适应个人保护和数据利用双重目标的法秩序格局。落实到具体的法律适用顺序与适用方式上，以国家保护为本位的《个人信息保护法》所适用的基本逻辑，与以私法自治为本位的《民法典》相关制度应有所区别。