一、我国个人信息保护的法律模式
现实存在的个人信息风险与侵害问题，将引起信息主体对信息处理行为的焦虑、不安，甚至是对信息处理者的不信任，并因此拒绝个人信息被采集。这样的结果不仅会阻碍信息利用、数据价值发挥，也会影响数据经济与数据要素市场的发展，最终影响数据时代生产力的进步，并因此不利于社会、人类的整体发展。
国家通过立法、司法、行政等手段保护个人信息，是破除个人信息权益受侵犯顾虑、鼓励数据开发利用的最有效方法。
目前，在我国现行有效的法律中，对于个人信息保护采用的是专门立法与分散立法结合的模式。《民法典》确定了个人信息权益的属性、个人信息处理的原则与责任等基本内容，而《个人信息保护法》以专门法、单行法、综合法的形式给出了以个人信息处理为核心的具体规范。
同时，在《数据安全法》《刑法（2020年修正）》《网络安全法》《电子商务法》《消费者权益保护法》《治安管理处罚法》《传染病防治法》等法律中，以及最高人民法院、最高人民检察院发布的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》（以下简称《司法解释》）中，分散地存在着有关个人信息保护的内容。
可见，个人信息保护问题涉及不同主体与不同领域，需要在宪法、民法、刑法、行政法、国际法等部门法之间建立起协调统一、兼顾私法与公法保护的法律体系。
法律保护个人信息权益，是建立在兼顾个人信息保护与利用的基础之上的。在个人信息保护问题上，从个人信息处理者与个人信息主体双方立场出发，法律层面基本形成了对个人信息处理者提出法律要求与对个人信息主体提供权利救济的双向保护模式。

二、我国个人信息保护的法律思路
（一）我国个人信息保护的法律客体与对象
个人信息保护，顾名思义是对“个人信息”的保护。个人信息是法律保护的客体，个人信息权利（权益）是法律保护的对象。国家、企业、组织、个人等一切不特定主体均不得侵犯自然人的个人信息权益。
《个人信息保护法》第4条第1款将个人信息定义为：以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息。另外还强调了不包括匿名化处理后的信息，与《民法典》《网络安全保护法》《司法解释》等对个人信息的定义并无实质性区别，可见上述法律文件对个人信息概念的界定基本一致，将个人信息定义为可识别特定自然人的信息已成为当前的法律共识。
《民法典》虽然没有直接提出“个人信息权”，但是在总则部分明确了“自然人的个人信息受法律保护”。从体例安排与内容上看，《民法典》将有关个人信息保护的内容放在其他人格权之后，在人格权编第六章隐私权和个人信息部分利用6个条款对个人信息的定义、处理原则、免责事由、主体权利、保护义务等作出了规定，可见《民法典》选择将个人信息作为一种“权益”进行保护，而非“权利”。
依据《民法典》对个人信息的法律定位，《个人信息保护法》则明确使用了“个人信息权益”这一概念。个人信息权益是自然人基于人身自由、人格尊严产生的其他类型的人格权益。
个人信息是识别个人身份的关键依据。保护个人信息，是为了防止因个人信息处理而产生的对自然人财产、精神、尊严、自由等的侵害。
为了在法律上避免过度保护“个人信息”，《民法典》《个人信息保护法》已明确了“个人信息权益”，兼顾个人信息的保护与合理利用，没有将其界定为“个人信息权利”，但并不影响法律将其确定为自然人的人格权益的本质属性。
个人信息权益以知情权、同意权为核心内容，同时还包括了决定权、撤回同意权、查阅权、复制权、异议权、更正权、删除权等重要内容。
（二）我国个人信息分类保护的法律适用与逻辑
现行法中基本确立了个人信息分类保护的模式，个人信息可分为私密信息与非私密信息，又可分为敏感个人信息与非敏感个人信息，这两种分类并不是完全对立的，彼此之间也存在一定的交集。
私密信息与非私密信息承载着不同的法益，而敏感个人信息与非敏感个人信息的主要区别在于处理规则上。不同类型的个人信息适用不同的权利规定、不同的处理规则和不同的权利救济方式与责任承担。私密信息与敏感个人信息承载更高位阶的法益，法律应更严格地加以保护。
根据《民法典》第1032条对隐私的规定，私密信息属于隐私，是有关自然人的私人生活安宁和不愿为他人知晓的个人信息，自然人的私密信息的范围十分广泛，凡是自然人不愿意为他人知晓的信息，无论是婚姻信息、财产信息、健康信息、家庭住址、病历资料、犯罪记录、个人人生经历、嗜好、性取向、日记、私人信件以及其他个人不愿公开的信息等，都可以纳入私密信息的范围。
《民法典》第1034条第3款规定：“个人信息中的私密信息，适用有关隐私权的规定；没有规定的，适用有关个人信息保护的规定。”对于私密信息的保护，优先适用隐私权的规定，其次适用个人信息权益的规定，处理非私密信息不适用隐私权规定。非法处理私密信息，侵犯的是隐私权；非法处理非私密信息，侵犯的是个人信息权益。
处理私密信息与非私密信息都需要经过权利人的同意或依据法律（行政法规）规定，但处理私密信息需要更严格的“明确同意”“本人同意”或依据更高位阶的法律规定。
只要未经信息主体明确同意或法律明确规定，不管是否发生了损害结果，都构成对权利人隐私的侵犯，应当承担侵权责任。
《个人信息保护法》第28条规定：“敏感个人信息是一旦泄露或者被非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息”。
敏感个人信息与非敏感个人信息处理均适用有关个人信息权益的规定，但处理敏感个人信息应具有特定的目的和充分的必要性，需要更严格的“单独同意”“详细告知”等，需要采取更严格的保护措施。
但是，侵害个人敏感信息与侵害一般个人信息一样，造成损害结果是侵权责任构成要件之一，没有损害发生的，不构成对个人信息的侵权。

三、政府数据开放过程中个人信息处理者及其责任
个人信息保护的核心就是规范个人信息的处理。在政府数据开放中，为了防范个人信息风险，保障个人信息权益，必须准确定位政府数据开放过程中的个人信息处理者，约束其处理行为，促进其履行保护义务。
政府数据开放过程中个人信息的处理应符合《个人信息保护法》《民法典》等对个人信息处理活动的一般规定、敏感个人信息处理规则、个人信息跨境提供规则和国家机关处理个人信息的特别规定，个人信息处理者与职责部门应履行个人信息保护义务。
（一）政府数据开放过程中个人信息处理者较多
从我国地方政府数据开放实践来看，通常由履行数据管理职能的政府部门（以下称为政府数据管理部门）作为政府数据开放平台的建设与管理主体，通过委托或服务购买等方式选择合格的企业单位对平台进行运营与维护。
在政府数据开放过程中，经历了各部门、单位收集积累数据→政府数据管理部门搭建管理平台→各部门、单位提供数据→平台开放数据→用户获取使用数据等多重环节。
这些环节涉及到诸多数据提供部门、政府数据管理部门、平台运营维护公司和不特定的个人、企业等平台用户，这些主体均可能成为政府数据开放过程中的个人信息处理者，其个人信息处理活动均受《民法典》《个人信息保护法》的调整，应依法履行个人信息保护的作为与不作为义务。
自然人之间因个人、家庭事务处理个人信息的不属于《个人信息保护法》调整的范围，但如果涉及私密信息则适用《民法典》有关隐私权的规定。
（二）政府数据开放过程中个人信息处理者的确定
一方面，平台用户的个人信息在政府数据开放平台上被采集，政府数据管理部门则是个人信息的处理者；另一方面，开放数据来源主体的个人信息在政府数据开放平台上被开放。个人信息的采集部门、政府数据管理部门、开放平台用户等均为个人信息的处理者。在政府数据管理部门委托企业采集、保存个人信息（或未经委托，企业超越合同约定内容擅自采集、保存个人信息）的情形下，政府数据管理部门与受托企业均为个人信息处理者。
平台运营维护公司不采集、保存个人信息，仅提供网站运行、技术保障、日常维护等服务的，不属于个人信息处理者。政府数据开放中的个人信息处理者无论在哪个环节处理个人信息，都应依法遵守个人信息处理规则，履行个人信息保护的作为与不作为义务，不得侵犯个人信息权益。
政府数据开放过程中委托处理个人信息的活动十分普遍。在政府数据管理部门委托平台运营维护公司处理个人信息的情形下，政府数据管理部门应当与受托公司明确约定处理目的、期限、方式、种类、保护措施、权利义务等具体内容，并监督受托公司的个人信息处理活动；政府数据管理部门应当事前进行个人信息保护影响评估，并对处理情况进行记录；受托公司应严格按约定处理个人信息，不得转委托，保障个人信息安全，协助委托方履行个人信息保护义务。
（三）政府数据开放过程中个人信息处理者的责任
在政府数据开放过程中，个人信息处理者违反有关个人信息保护法律规定的，应依法承担法律责任，包括刑事责任、民事责任和行政责任。依据《刑法》第二百五十三条、《司法解释》构成犯罪的，应依法承担刑事责任。依据《民法典》《个人信息保护法》《消费者权益保护法》《传染病防治法》等，侵犯信息主体隐私权、个人信息权益的，依法承担民事责任。依据《个人信息保护法》《治安管理处罚法》，在个人信息处理活动中有违法行为的，由有关行政机关、主管部门、职责部门、公安机关等作出行政处罚；国家机关不履行个人信息保护义务的，由其上级机关或者职责部门责令改正，对直接负责的主管人员和其他直接责任人员依法给予处分。

四、政府数据开放过程中个人信息权益保护的实现
（一）政府数据开放过程中信息主体权利的行使
个人信息主体依法享有个人信息权益，包括知情权、决定权、查阅权、复制权、转移权、更正权、拒绝权、删除权等权利，信息主体死亡后，其近亲属可行使上述权利。在政府数据开放过程中，开放平台用户与开放数据来源主体均为信息主体，但两者具体权利内容与权利行使方式是有区别的。政府数据开放平台用户通过平台服务协议与政府数据管理部门约定其个人信息收集利用的目的、范围、方式、期限等内容，同时也通过协议签订实现对个人信息的知情权、决定权两大核心权利。平台用户向政府数据管理部门请求复制、转移、更正、删除其个人信息，政府数据管理部门作为个人信息处理者应当及时回应，两者之间权利义务关系相对清晰、明确。
开放数据来源主体作为信息主体，其获得的个人信息是基于其政务服务等行为由数据提供部门采集的，经过汇集、整理、加工，由政府数据管理部门统一在平台上开放。
开放数据来源主体权利的行使并不像平台用户那样简单，需要向一个或者多个部门提出请求，权利行使与保障更为困难。同时，当个人信息被平台用户获取使用时，还会涉及开放数据来源主体向平台用户主张自身权利的问题。
值得注意的是用户通过政府数据开放平台获取的个人信息属于已经合法公开的个人信息，用户对个人信息进行处理无需告知或取得信息主体的同意，但该信息主体明确拒绝或者处理该信息侵害其重大利益的除外。
（二）有关职责部门负有个人信息保护与监督管理义务
《个人信息保护法》第60条将国家网信部门、国务院有关部门、县级以上地方人民政府有关部门确定为履行个人信息保护职责的部门。
第61条明确了个人信息保护职责的内容，包括宣传教育、指导、监督、接受处理投诉举报、组织测评、调查处理违法活动和法律、行政法规规定的其他职责。职责部门所负有的个人信息保护义务来源于法定职责，而非基于个人信息处理活动。不同于其他数据处理活动，在政府数据开放过程中，职责部门应面对更多的处理主体与更复杂的处理流程，规范、监督“隐藏”在大量开放数据处理行为中的个人信息处理行为。
职责部门要规范个人信息处理活动，监督个人信息处理者履行保护义务，也要保障个人信息权益不受侵害，对侵犯个人信息的行为作出救济。更重要的是，职责部门要兼顾个人权利与公共利益，在行政职权范围内协调个人信息保护与利用之间的关系。