（三）宪法的强大制度支撑作用 坚持把宪法确立的制度体系更好地转化为治国理政的强大效能是坚持依宪治国、依宪执政第二个层面的重大作用。

国家保护私营经济的合法的权利和利益，对私营经济实行引导、监督和管理。党的十八大提出: 更大程度更广范围发挥市场在资源配置中的基础性作用。

禁止非法搜查或者非法侵入公民的住宅。(3) 对农村集体经济组织经营体制条款的修改 在农村，集体所有制经济是主要的经济形式。继往开来，我国现行宪法要始终紧随时代脉搏发展变化，为中国式现代化发展夯实制度根基。近年来，立法体制改革、社会体制改革等影响深远的改革都严格依据宪法规定进行。2. 对社会主义经济制度的重建 现行宪法全面反映了党的十一届三中全会之后的路线方针政策，把 集中力量进行社会主义现代化建设规定为国家根本任务，确立了社会主义经济制度的基本结构。

可以看到，备案审查制度的发展已经使我国的宪法监督实现制度性激活，加强宪法实施、维护宪法权威的制度性机制更加健全。1. 合宪性审查程序的构建 自中国特色宪法监督制度创立以来，如何有效发现和纠正与宪法相抵触的规范性文件，就成为这一制度发展中的主要问题意识。在理论上，学者们对于个人信息权或者个人信息保护权的法律地位及实现路径有不同的主张，形成了私法上的隐私权说人格权说财产权说等观点和公法上的基本权利说等观点。

个人信息保护问题带有强烈的技术性和隐蔽性，有些问题需要专业的技术检测才能发现。信息不对称不仅是市场失灵的重要原因，而且是规制失灵的关键诱因，因此，信息收集是所有规制体系的核心，尤其是在以风险的可能性和严重性为关注重点的风险规制中。欧盟《一般数据保护条例》中的诸多条款均是围绕基于风险的方法而展开的，如控制者责任(第24条)、通过设计及默认方式保护数据(第25条)、保存处理活动记录(第30条)、数据保护影响评估(第35条)、数据泄露通知(第33-34条)等。(13)See Gloria Gonzalez Fuster,The Emergence of Personal Data Protection as a Fundamental Right of the EU,Springer,2014,p.2. (14)申卫星：《论个人信息权的构建及其体系化》，载《比较法研究》2021年第5期，第3页。

与环境保护影响评估以及欧盟的数据保护影响评估相比，我国个人信息保护影响评估制度仍然较为粗疏，其在实践中的效果仍然有待检验。(43) 2.完善个人信息保护风险规制中的信息收集机制。

风险管理是一项复杂的、系统性的、多方面的活动，需要整个组织的参与。(3)社会损害，主要包括社会信任丧失、政府权力滥用等。欧盟委员会报告指出，只有18%的受访者表示完全阅读了隐私政策，49%的受访者表示部分阅读了隐私政策，内容冗长且复杂是不阅读的主要原因，而绝大多数人习惯性地接受同意对话，甚至不看所提供的信息。规制机构应当对规制对象的不同动机做出调整。

从其他领域的风险管理经验来看，风险性损害确实难以进行精确测量，但是仍然存在可以测量和量化的因素。由此可知，个人信息风险管理事实上与公法中的比例原则密切相关，其主要目标是依据不同的风险等级采取适当的保护措施，并非一刀切地实现零风险。内容提要：在大数据时代，个人信息保护面临新的威胁和挑战。2013年，经济合作与发展组织对1980年通过的《经合组织个人数据隐私保护和跨境流动准则》进行了修订，其中很多条款均是为了实施基于风险的方法。

基于风险的方法嵌入个人信息保护中的现实基础是信息安全风险的合理分配。第三，即使个人能够获得完整的信息，并且能够成功地计算出个人信息决策的优化策略，其仍然有可能偏离理性策略。

无论是在智识上还是实践中，基于风险的方法之理论视角和实践工具均已日臻成熟。(15)对个人信息主体而言，只有在信息处理者违反其对信息主体的义务时，信息主体才能追究相应的法律责任。

目前，《个人信息保护法》并未明确影响到底是什么，这需要个人信息处理者去完成。(3)技术，组织应当确保所购买的硬件或者软件符合成本效益，有意义且有效用。第一，通过事前咨询、教育和指导等措施加强事前规制。(41)我国《个人信息保护法》第62条规定，国家网信部门统筹协调有关部门制定个人信息保护具体规则、标准。基于权利的方法引入个人信息保护中的逻辑前提是假定个人能够自主管理他们的个人信息，即所谓的个人信息自我管理或者个人信息自我决定，这种逻辑的立论基础是理性选择理论和私法自治原则。至于如何形成基于风险的个人信息保护合规制度体系，则可以充分借鉴风险管理的一般原理及其在其他领域的实践经验。

在我国法律制度中，尽管个人信息权或者个人信息保护权这一术语并未明确出现在制定法中，但《民法典》和《个人信息保护法》所确立的法律规则却是基于承认个人信息为受法律保护的一项权利。根据这种观点，个人是前瞻者、效用最大化者、贝叶斯式的更新者，他们完全知情或者根据已知的随机分布概率作出决定。

(3)涉及许多人的违法行为。例如，在基于信用的监管机制中，其核心逻辑便是根据规制对象的信用风险高低，采取不同干预强度、不同检查频率的差异化规制措施，包括风险提示、信用教育、行政约谈、警告、罚款、吊销证照等。

第三，建立个人信息保护影响评估强制报告制度。1.为个人信息风险管理提供组织支持。

(4)确保权利持有者有意义的参与。例如，规制机构可以自己进行分析和实验，可以对他人提出报告、测试或者备案注册的法律要求，也可以通过向他人付费获得信息，还可以由投诉人或者举报人自愿提供信息。(38)随着风险社会和规制国家的交织演进，风险规制逐渐成为政府规制的重要内容，也是《个人信息保护法》风险化的重要表现。既要通过畅通渠道、给予奖励等方法完善个人信息处理违法的公众举报制度，同时也要完善内部吹哨人保护制度。

⑦受此影响，基于权利的方法最基本的动力之一便是，每个人都是权利持有者(rights-holders)，而每项权利都有相应的义务承担者(duty-bearers)，应当将公民权利的规范、原则、标准和目标纳入有关个人及社会发展计划的整个过程中。第四，在效果上，基于风险的方法并非全面改变已有的权利义务内容或者建构一个基于合规的规范性框架，而是更关注纸面上的权利义务如何更为实际地体现在个人信息保护实践中，并根据所涉及的风险对信息处理者的义务进行微调。

(5)年度执法重点或者专项执法范围内的违法行为。(二)个人信息保护中基于权利的方法 基于权利的方法引入个人信息保护中，不仅深受隐私的权利化传统之影响，而且还与个人信息在信息社会中所蕴含的价值密切相关。

大数据分析的目的之一便是在数据中找到意想不到的模式和相关性，这意味着无论是信息处理者还是信息主体都不太可能明确知道个人信息将用于发现什么。个人信息保护影响评估可以由组织内部或者外部的其他人来完成，但是信息处理者必须对该任务负最终责任。

(三)司法救济：将风险作为一种可补偿的损害 从广义上看，诉讼和行政规制均属于规制体系的组成部分，前者主要由私人民事诉讼在事后触发，由法院主导整个过程。(14)《民法典》第111条规定自然人的个人信息受法律保护，并在人格权编第六章隐私权和个人信息保护第1034—1039条系统规定了个人信息保护的制度体系，包括知情同意权、查阅与复制权、异议和更正权、删除权等。然而，书本上的法律并不总是能够成为或者类似于行动中的法律。在个人信息保护领域，风险评估已经从传统的隐私影响评估发展成为数据保护影响评估或者个人信息保护影响评估，并且被视为是基于风险的方法在个人信息保护领域的集中体现。

受《民法典》的影响，《个人信息保护法》第1条立法目的表述为为了保护个人信息权益……不过在第四章个人在个人信息处理活动中的权利中却通过个人有权……的表达方式赋予了信息主体知情权、决定权、查阅权、复制权、更正权、删除权等权利，其中，告知—同意是个人信息权利得以实现的首要机制。(51)See Daniel J.Solove,Danielle Keats Citron,Risk and Anxiety:A Theory of Data-Breach Harms,Texas Law Review,Vol.96,No.4,2018,p.774-775. (52)See Paul Bernal,Internet Privacy Rights:Rights to Protect Autonomy,Cambridge University Press,2014,p.12. (53)参见张守文：《经济法责任理论之拓补》，载《中国法学》2003年第4期，第15页。

(24)参见张新宝：《中国侵权行为法》(第2版)，中国社会科学出版社1998年版，第93页。第二，在模式上，基于风险的方法要求个人信息处理者和监管机构承担更为重要的风险管理义务，而不是将风险转移给个人信息主体。

在比较法中，欧盟《一般数据保护条例》在鉴于条款(Recital)第75条将对自然人权利和自由带来的风险类型化为客观的、物质的或者非物质的损害，具体表现为：个人数据处理可能导致歧视、身份盗窃或欺诈、财产损失、名誉损害、个人数据丧失专业保密性、匿名数据未经授权的去匿名化，及其他显著的经济或者社会危害在比较法中，《欧盟基本权利宪章》第8条个人数据保护规定，每个人均有权保护有关他或者她的个人数据，由此确立了个人数据保护权在欧盟的基本权利地位。