随着数字时代的深入发展，个人信息的法律保护已成全球共识。在我国，《网络安全法》《电子商务法》《民法典》相继实施，《数据安全法》《个人信息保护法》即将出台，个人信息保护法律体系已初具规模。在此背景下，探寻何为该体系的概念基础（Conceptual Foundation），对充分解释和有效规范该体系的核心概念，具有承前启后的重要意义。“承前”意义在于从恰当的概念基础出发，可以推导出一幅内部逻辑协调的“概念地图”，为既存的个人信息保护规范提供系统化说明；“启后”意义则在于揭示现行立法与实践之不足，为下一步改进完善提供查漏补缺的指引。

　　对此，学界目前的主流观点有二：首先，应以法律权利作为我国个人信息保护法律体系的概念基础。尽管有学者提出个人信息处理规制的行为主义进路，试图绕开个人信息赋权的难题，但这是绕不开的，因为对信息处理者特定行为是否规制、如何规制，归根结底取决于信息主体对个人信息是否享有、享有何种值得法律保护的利益。只有在确定个人信息权益究竟属于何种法律权利的基础上，才能进一步推演相应的法律义务、责任和规范，达至一套个人信息保护法律体系。其次，在此前提下，学界主流观点认为我国个人信息保护法律体系的概念基础是作为民事权利的个人信息权，据此推导出信息处理者负有不得侵害个人信息的民法义务，民事责任是个人信息保护的基本手段，《民法典》是个人信息保护领域的基本规范，同其它个人信息保护立法（如《个人信息保护法》）属于一般法和特别法的关系。

　　本文赞同我国个人信息保护法律体系应以法律权利为概念基础，但认为恰当的选择并非作为民事权利的个人信息权，而是作为宪法基本权利的个人信息受保护权。具体论证分三步展开：第一，梳理民事权利基础论的理路，剖析其三项核心命题，并展开反思；第二，论证个人信息保护能在我国宪法上获得安顿，并应以“个人信息受保护权”的概念来表达；第三，在宪法上个人信息受保护权的视野下，通过展开其内容、功能与限制，建构我国个人信息保护法律体系。

来源 | 北大法宝法学期刊库《清华法学》2021年第3期，北大法律信息网