因此，在总论层面，行政事前答复还需要在将来的行政程序法中加以规范。

[36]如《湖南省行政程序规定》第1条规定：为了规范行政行为，促进行政机关合法、公正、高效行使行政职权，保障公民、法人或者其他组织的合法权益，推进依法行政，建设法治政府，根据宪法和有关法律法规，结合本省实际，制定本规定。这种法治不统一的状况，与我国立法法的规定并不一致。

这就使得规章的制定缺失实践基础，缺失理论基础，而且当一个地方政府在制定某一或者某些规章时，与其他地方进行攀比，这就形成了在我国规章制定中的规章抄袭问题，就是此一地方的政府规章照抄彼一地方政府规章。而在没有规划的情况下，规章的制定行为则更多的受到了政策的制约。第三，规章制定作为形象工程。[31]而制裁条款就是有关法律责任的条款，我国在依法治国的顶层设计中调整了行政决策行为，就是行政主体如果实施了错误的行政决策，或者在行政决策中存在不作为，他将要终身承担责任。仅从字面意义上看，安定性所要求的是相对的确定性、相对的不变性等，而稳定性也就保证了法的相对确定的状态。

由此可见，制裁不仅仅是法律中的条款的类型问题，一定意义上讲，它是法律的本质问题。就一个完整的法律规范和典则而论，通常应当包括假定条款、处理条款和制裁条款三个有机的构成，各个条款在法律规范中所起的作用各不相同，但从法律逻辑上讲，三者缺一不可。正如学者所言，德国法院对于个人信息自决权的正当化论证有其特殊的案件背景，信息自决权的主张者忽略了这些案例的具体背景，扩大了核心表述的适用范围，从而也就使所谓的信息自决权脱离了正当化的基础。

例如，欧洲《一般数据保护条例》第32条规定了与风险相称的技术与组织措施：在考虑了最新水平、实施成本、处理的性质、处理的范围、处理的场景与目的之后，以及处理给自然人权利与自由带来的伤害可能性与严重性之后，控制者和处理者应当采取包括但不限于如下的适当技术与组织措施，以便保证和风险相称的安全水平。在这本奠定现代信息隐私法的经典著作中，威斯丁只在几处蜻蜓点水式地引用了沃伦、布兰代斯的侵权文献，[24]对于普罗斯的侵权法分类，威斯丁根本没有提到。即便网站提供了清晰的风险预警，个体具有极高的风险意识，人们也不可能合理预见到与隐私权益相伴而生的种种风险。该案判决认为，德国基本法第1条第1款所提到的个人尊严可以作为德国民法上的渊源性权利，[26]个体作为人的尊严和发展其个体人格的利益应当受到民法的保护，这一人格权可以对抗不特定第三人。

[61]波斯特指出，隐私侵权法看似是个人防御集体对个体空间或个人人格加以侵犯的手段，实则带有社群主义的面相，因为只有在社群共同体中，个人的合理空间或人格才具有实现的可能。第一个论点是比较法上的事实判断：域外的隐私权益保护经历了从隐私权到个人信息权的演进，并且都采取了私法的保护模式。

在他们看来，从侵权责任转换到财产责任，实际上赋予了当事人以更多自决权或谈判的权利，从逻辑上讲，应当可以更好地保护隐私权益。[15] 综上，当前我国个人信息法律保护研究将个人信息视为私权的客体，且认为私法能够有效保护公民的相关隐私权益，这一结论的得出有赖于上述两个论点的成立：其一，在域外实践方面，个人信息法律保护的权利基础沿着从隐私权到个人信息权的路径发展，且未偏离私法保护的轨道。[49] 个人往往缺乏隐私权益保护意识。在陌生人社会里，人们对隐私保护的预期可能更高，甚至期望彻底实现信息的匿名化，达到人们相互之间无法直接辨识彼此身份的程度。

对于一般企业与机构的个人信息收集与利用，可以借鉴和采用风险评估与风险预防制度，实现对相关风险的有效管理。作者指出，随着美国社会的发展和学说的跟进，在私法领域内隐私权被赋予了更加丰富的内涵，扩充为信息隐私权、空间隐私和自我决定的隐私。1989年，罗伯特·波斯特发表了《隐私的社会基础：普通法侵权中的共同体与自我》一文。当下，隐私或隐私权益已成为全球互联网与信息技术领域的通用术语。

[13]代表性的论述，参见王鲁东：《个人信息权法律保护探析》，《中共青岛市委党校（青岛行政学院学报）》2008年第10期，第93页以下。在这份报告中，美国医疗、教育与福利部将个人信息定义为任何可识别个人的信息，规定这些信息的收集、披露和使用都必须遵循所谓的合理信息实践原则。

[28]1973年，德国联邦最高法院在伊朗王后案中最终确立了对个人隐私的人格权保护，法院认为基本法第1条和第2条保护了个人的隐私领域，个人有权实现独处的愿望，保持自身不被外界打扰。面对越来越复杂的信息收集方式和信息的不规范流转，个人也很难对相关风险加以判断和防范。

分析美国政府所采取的一系列个人信息保护措施和美国国会的一系列个人信息立法，不难发现，这些措施和立法都集中于某些风险较大的领域，规制的对象是政府、学校、医院等大型机构及企业的大规模个人信息收集行为。See George R.Milne Mary J.Culnan, Strategies for Reducing Online Privacy Risks: Why Consumers Read (or Dont Read) Online Privacy Notices,18 J.Interactive Marketing 15,20-21(2004). [52]See Omri Ben-Shahar Carl E.Schneider, The Failure of Mandated Disclosure,159 U.Pa.L.Rev.647,671(2011). [53]See Richard H.Thaler Cass R.Sunstein, Nudge: Improving Decisions About Health, Wealth, and Happiness, New Haven, CT: Yale University Press,2008, p.9. [54]See Alessandro Acquisti Jens Grossklags, What Can Behavioral Economics Teach Us About Privacy? in Digital Privacy: Theory, Technologies and Practices, Acquisti, De Capitani di Vimercati, Gritzalis, Lambrinoudakis (eds.), Auerbach Publications,2007, p.363. [55]See Bianca Bosker, Facebook Privacy Policy Explained: Its Longer than the Constitution, Huffington Post, Apr.8,2014. [56]See Lorrie Faith Cranor, Necessary But Not Sufficient: Standardized Mechanisms for Privacy Notice and Choice,10 J.Telecomm. High Tech.L.273,274(2012). [57]学者对于改善隐私政策的建议很多，有学者主张必须将企业的隐私政策和企业商标进行捆绑，也有学者主张应当要求企业的隐私政策变得极具警示性，采取类似香烟广告上的警示。未来对于民法总则的解释有必要继承这一智慧，避免以泛化的私法权利思维来解释第111条。通过在特定场景中进行赋权与倾斜保护，而非一般性的赋权，公民个体将能对自身信息与相关权益进行有效的自我保护，企业、政府机构和社会也能实现对个人信息的合理利用。然而，个人信息的法律性质如何界定？法律又当采取何种手段保护个人信息？针对上述问题，学界仍有争议。之所以要保护个人信息，很大程度上是因为个人信息的保护不足或保护不当会给公民个体带来无法预见或无法预防的风险。

在一些研究者看来，德国和欧盟的隐私权益法律保护也经历了相似历程。[61]See Robert C.Post, The Social Foundations of Privacy: Community and the Self in the Common Law Tort,77 Cal.L.Rev.957-998(1989). [62]参见前引[50]，Nissenbaum文，第67页以下。

在欧盟层面，有关个人信息或个人数据保护的立法也采取了类似进路。（二）个人信息的财产法保护 保护隐私权益的另一种私法进路，是将个人信息权利化，设想一种对抗不特定第三人的个人信息自决权或财产权。

普通法上的隐私侵权确定了个人隐私的边界，其所做的无非是保护社会规范，即建构个人和共同体身份的文明规则。同时，采取公法框架进行风险规制，保护个人信息。

对隐私权益必须进行场景化的理解，个人信息流通具有公共性价值。[47]参见前引[32]，杨芳文，第30页。在比较法的视野下考察，域外的隐私权益[4]保护正经历着从私法主导到消费者法与公法主导相结合的变迁。[65]正如有的学者所言，分析隐私必须将隐私放在信息共享的场景下，用社会学的人际信任的原则，而不是基于权利教义的自主和选择框架。

[24]威斯丁在著作中提及沃伦与布兰代斯《隐私权》之处，参见前引[10]，Westin文，第346页，第348-349页，第355页。[22] 分析威斯丁的《隐私与自由》同样会发现，威斯丁对于隐私与个人信息的探讨以计算机与现代科技的兴起为背景，并没有将个人信息泛化为一种私法意义上的权利。

德国联邦最高法院有关个人信息权的判决是在特定语境下作出的。在域外的个人信息保护中，这一思路也得到了体现。

个人必须能够知道其哪种类型的信息是被记录的，哪种类型的信息是被使用的。以Facebook隐私政策的解释为例，其篇幅之长甚至超过美国宪法。

该法将可识别个人的信息作为核心概念，从信息的收集到信息的储存和使用，只要涉及可识别个人的信息，电讯公司就必须遵循一系列合理信息实践原则。[28]Federal Constitutional Court, BGHZ 26,349, quoted from Paul M.Schwartz and Karl-Nikolaus Peifer, Prossers Privacy and the German Right of Personality: Are Four Privacy Torts Better than One Unitary Concept?,98 Cal.L.Rev.1925(2010). [29]Federal Constitutional Court, BVerfGE 34,269,281, quoted from Id. [30]前引[11]，彭礼堂等文，第57页。经过波斯特、尼森鲍姆等人的奠基性研究，如今的隐私研究尽管仍然众说纷纭，场景化和共同体的分析思路，却已为越来越多的学者所接受。凌学东、鞠晔：《网络消费者个人信息综合保护机制研究》，《兰州学刊》2016年第8期，第157页以下。

[66]类似的立场，参见周汉华：《探索激励相容的个人数据治理之道——中国个人信息保护法的立法方向》，《法学研究》2018年第2期，第3页以下。在理论界，这种隐私权益的场景化理解与共同体视角也日渐成为主流。

戴安娜·齐默曼认为，对于普罗斯所归纳的公开个人隐私事实之诉，原告往往很难获胜。参见前引[63]，Waldman文，第560页以下。

宜通过消费者法化，重新激发个人信息私法保护的活力。再次，由于私人主体更有动力和积极性去维护自身利益，加强个人信息的私法保护，也有助于发动公民个体力量维护其自身权益。