采用这样的法律审模式，有利于将法律解释、法律适用分歧的化解纳入到审级框架内，避免再以行政化的方式破坏审级独立与司法公正。

对于公民的行为，在法治国家通行的是法无明文即可为的原则。二是虽然提交了申请材料，但有关主管部门经审查认为不符合条件而未予批准，没有颁发金融业务许可证。

这是一个兜底式条款，也是在非法经营罪中争议最大的问题。农药的生产是指农药从原料到产品的整个产出过程，严格来说，农药产出以后对农药进行包装的行为已经不属于狭义上的生产。未经许可，任何单位或者个人不得生产、销售、购买、运输民用爆炸物品，不得从事爆破作业。应该指出，以上三个都是必须进行实体性认定的构成要件，尤其是违反国家规定，必须要援引其所违反国家规定的具体条款，以此作为认定经营行为的违法性的规范根据。国务院虽然是国家最高行政机关，但根据我国宪法的规定，国务院具有行政立法权。

[9]以上对于特许和许可之间的在违法性质区分上的论述，对于正确理解这两种许可对于构成非法经营罪的意义具有重要参考价值。因此，被告人郭嵘未取得临时登记证分装农药的行为属于《农药管理条例实施办法》36条规定的擅自分装农药的行政违法行为，而不能认定为《农药管理条例》40条规定的非法生产农药的行政违法行为。但如果转换视角，从现实中的企业角度观察，企业面临的困境其实就是知情同意模式机制的衰微，以及责任的扩张。

其二则是市场机制，即便企业能够在实定法层面撇清责任，但是如果爆发危机，其实仍然难以逃避严重的事实后果。当身份证号、手机号、淘宝账号、实名快递信息等等信息网络互联互通起来的时候，当网页浏览记录，点击记录与信息终端被关联起来的时候，公民个人早已无法判断信息的威胁可能在哪里。在机构和个人之间，机构对于个人信息的利用在何种程度上是合法的，抽象而言，双方的意思自治在何种程度上有效，并发挥何种作用？具体而言，个人的同意要到何种程度，国家是否有基于对公民权利的保护义务，对企业采取规制手段的必要？（而这是否会对企业的营业自由构成限制？）凡此种种，无不关涉基本权利保护的宪法命题。从经济的角度观察，信息经济的业态成为引领创新，促进增长的新引擎，过去不易捕捉储存，难以开发利用的信息，成为经济发展的新能源。

其实，即便不从严格的学理出发，大家也能发现当代的企业与消费者之间其实并非那么平等的民事主体关系。个人在朋友圈小范围的信息传播行为，也可能经由信息平台的抓取、传播，超出其原本预想的具体情境脉络，构成对个人名誉、隐私的显著损害。

企业往往以获取个人信息为提供服务的前提条件，而在这个移动支付、网络社交、自媒体、云传播的时代，个人面对网络平台，尤其是具有较高市场占有率的机构，几无拒绝的空间。一方面，当下的个人信息侵害具有较强的风险性，任何一个环节都可能构成个人信息侵害的潜在原因。知情同意模式当然是一种个人信息保护的基础架构，它要求唯有经过数据主体的同意，个人信息的处理才能变得合法。作者简介：张翔，法学博士，中国人民大学法学院教授。

更何况，此次FB事件显示出，个人信息保护不仅与个人信息权或是隐私权保护有关，毋宁还与整个国家的民主制度相关。但这并不意味着，在个人信息保护这一具有公共性质的事务上，国家就应包揽一切。当技术与经济带来更多的不确定性的时候，也就是法律作为稳定预期的提供者发挥更大作用的时候。第二部分主要是从个人信息保护出发，讨论企业何以受宪法拘束的原理，勾勒国家可能对企业采取的手段。

这种交织杂糅的状态使得各方主体间的法律关系错综复杂，行为涉及公、私领域，需要协调的利益处于各种层次，单一的公法控制或是私法调整都显不足，目前流行的各种主张也急需体系化与精密化。三、知情同意模式的衰微与企业更多的社会责任 如前所述，基于基本权保护义务所展开的国家规制行为，将通过立法、行政、司法等多种手段对机构的个人信息收集处理进行规制。

更何况，消费者与选民是一体两面，政治压力会催动对于企业的法律责任的增加。企业应当以更加严格的、实质的个人信息保护主张，比如 情境脉络式的保护，确保个人信息的情境脉络完整性（contextual integrity），比如经过严格分析的风险评估与保护机制，代替简单的知情同意机制，积极开展自我规制。

而即便国家机关一时规制不足，一旦爆发出消费者的大规模反弹，也既有可能回到规制过度，所谓一统就死，一放就乱。新的责任机制、监管方式，越来越多的基于敏感信息的规制，信息处理行为风险性的规制等等更具实质性规则的标准将逐步出台。为此，笔者认为，应该从宪法维度，将个人信息保护的法治命题置于三方关系的框架中予以讨论。企业的责任，狭义上当然是法律责任，以实定法的规范为限度。于是，无论是公、私机构，都高度注重对个人信息的收集与处理，开发各种应用。基本权利保护是国家的价值目标，也是国家的宪法义务，国家应该采取包括立法、行政、司法在内的各种手段推动个人信息保护。

FB事件的罪魁祸首当然是剑桥分析公司，FB监管不力的责任其实至今未能明白确定，但显然FB方面已付出了相当代价。另一方面，个人远非平等民事关系中预设了具有高度理性与判断能力的主体，消费者能否有效阅读或理解，专业、细致以至于冗长的个人信息/隐私保护条款暂且不论，面对复杂的互联网信息业态，各种潜在的个人信息处理行为，个人在根本上缺乏有效研判风险的能力。

私法规范所预设的主体平等，在事实层面却是结构性不平等。在司法层面，法官在适用相关法条的时候也受到基本权利客观法效果的影响，其可能的展开形态包括借用基本权利第三人效力理论，法律的合宪性解释理论对民法等法律发挥中的概括性条款予以解释，乃至于续造。

而国家机关的规制，特别是行政机关的规制虽具有一定的专业性，但面对社会舆论压力，难免出现形式化的要求和一刀切的规制过度。结语 个人信息保护不仅是一个简单先进的技术与既定的法律的衔接问题，还关涉我们能否充分有效利用宪法与法律保护人的尊严，关涉我们能否在信息社会实现民主与法治。

为此，对于涉及政治观点、宗教信仰等的个人信息，因其具有政治关联性，是否应当采取特别的措施进行保护，凡此皆应从宪法高度进行审视。自那时起，信息自决权、信息隐私权的主张，FTC的规制、FIPS的实践，及至于即将到来的GDPR，作为法律系统的应对方案层出不穷。且不论以史上最严的个人信息保护规范闻名的GDPR，近期我国出台的《信息安全规范》也对个人信息保护提出了更高的要求，尽管现阶段其尚不具有直接的法律拘束力，但毫无疑问，作为法律责任发展的方向，责任的扩张已为定局。尽管营业自由是宪法保障的基本权利，但在人格尊严为支撑的个人信息保护的公共利益面前，仍然会受到一定限制。

另一方面，风险本身具有主观性，积极的自我规制有助于引导树立正确的个人信息观念，形塑个人信息操作、利用的合理秩序。从根本上，这也是个人信息权作为基本权利对整个法秩序提出的要求。

从科技的角度观察，大数据、云计算、人工智能以及各种便利、强大的终端设备的出现为海量信息的运用提供了技术条件。当代的个人信息保护议题至少可以追溯到上世纪六十年代大规模电子数据库的建立。

机构拥有技术、人员和资金的优势，对行业的发展现状、运行机制、内部格局都最为熟稔，自我可控制具有可行性。比如公权机关可能利用商业机构的技术优势与收集渠道，共同绘制所谓人格图像，这存在严重侵害个人人格的风险

其实，即便不从严格的学理出发，大家也能发现当代的企业与消费者之间其实并非那么平等的民事主体关系。至于行政规制的手段则更为多样，支付宝因为个人信息保护不力被处以罚款，工业和信息化部信息通信管理局约谈百度、支付宝与今日头条，凡此种种都是国家可能对私主体展开规制的形态。在司法层面，法官在适用相关法条的时候也受到基本权利客观法效果的影响，其可能的展开形态包括借用基本权利第三人效力理论，法律的合宪性解释理论对民法等法律发挥中的概括性条款予以解释，乃至于续造。另一方面，个人远非平等民事关系中预设了具有高度理性与判断能力的主体，消费者能否有效阅读或理解，专业、细致以至于冗长的个人信息/隐私保护条款暂且不论，面对复杂的互联网信息业态，各种潜在的个人信息处理行为，个人在根本上缺乏有效研判风险的能力。

在这种情况下，作为拥有结构性优势的企业，不应也不能再以简单的个人信息协议作为自己合法合规的基础，而是应该深切认识到伴随自己能力的增长，自己的责任——无论是法律责任或是社会责任——都将出现扩张。而这对于作为信息主体的个人来说，在创造了巨大便利的同时，也导致个人信息受到更大威胁。

当代的个人信息保护议题至少可以追溯到上世纪六十年代大规模电子数据库的建立。为此，企业应当加强对实质的个人信息保护标准的探索，积极主动摸索行业规律，制定公开透明的行业标准，以自我规制补充个人信息保护法制的滞后与不足。

比如公权机关可能利用商业机构的技术优势与收集渠道，共同绘制所谓人格图像，这存在严重侵害个人人格的风险。尽管营业自由是宪法保障的基本权利，但在人格尊严为支撑的个人信息保护的公共利益面前，仍然会受到一定限制。