依照内部理论，决定某一行为或状态是否受到基本权保障只有一个步骤，即判断该行为或状态是否属于基本权内在限制所划定的保护范围之内。

在教育方式上，是选择在学校接受教育还是在家接受教育。最近民政部就农村留守儿童摸底排查情况召开了新闻发布会，依据父母双方外出务工或一方外出务工另一方无监护能力、不满十六周岁的定义标准，民政部调查发现农村留守儿童有902万，主要分布在中西部地区，其中江西、四川、贵州、安徽、河南、湖南和湖北等省的农村留守儿童数量都在70万以上。

父母委员会的任务有：向父母或者班级父母代表告知最新的学校问题，或者告知学校会议（Schulkonferenz）或者学校董事会（Schulvorstand）的重要决定。调查发现多数父母只是对自家孩子在学校的表现感兴趣，对学校的管理不太有兴趣。家长会召开的目的是向任课老师咨询与课程和教学有关的重要问题。1986年至1989年，基础教育改革的重心转移到对教育权力的重新配置，以实现学校管理权的进一步下移，这样就赋予了教师、学校、社区、家长和其他一些利益集团一定的教育决策权，以改变教育决策权过度集中在州和学区的状况。在亲子关系中，父母居于中心位置。

改革开放前，全国青少年犯罪人数在青少年总人数中为0.3‰，而90年代以来，已上升至3‰，提高了10倍。[35] 夏泽祥：未列举权利的认定方法与判断标准，《山东社会科学》2010年第7期，第113-115页。[44]参见前注[39]，杨芳文。

在此基础上，该学者得出如下结论：对个人信息的法律规制不应再基于私权观念赋予公民对个人信息的处置权，而应当将个人信息作为公共物品，基于公共利益来对个人信息的使用目的和方式加以公法上的规制。[23]正如国务院《促进大数据发展行动纲要》(国发[2015]50号)所指出的那样，大数据应用能够揭示传统技术方式难以展现的关联关系，推动政府数据开放共享，促进社会事业数据融合和资源整合，将极大提升政府整体数据分析能力，为有效处理复杂社会问题提供新的手段。[33]在出现网络谣言的情况下，政府还可以追踪谣言信息的源头，进而采取针对性的措施。然而，纵观现行法律规范，仍可发现其明显短板，即集中于规制对个人信息的获取和暴露两个环节，强烈体现出立法特别关注以信息主体对个人信息的自我控制，而对信息的使用环节不甚关注，尤其是关于公共部门对个人信息的使用问题，法律基本上是留白的。

以户籍信息为例，历史中的户籍制度是指通过各级权力机构对其所辖范围内的户口进行调查、登记、申报，并按一定的原则进行立户、分类、划等和编制，以此作为掌握人口信息、征调税役、分配资源和维持秩序的基础，它是一项涉及政治、经济、军事、文化教育和法律的综合性社会制度。再次，政府信息公开法制也无法将行政机关使用个人信息的行为完全加以规范，尽管在个人信息保护法制缺失的情况下时常通过政府信息公开中的相关条款搭便车地解决个别问题。

仅仅用于识别某类人的信息，与之前用于识别某个人的信息并不完全相同，大多数时候是基于个人的既往活动而形成的轨迹信息、偏好信息。[30] 再其次，个人信息还可以被用于社会安全事件中的网络舆情管理和危机沟通。从表面上看，人的行为带有偶然性和不确定性，但利用大数据进行关联性分析，其行为规律是可以被预测的，对公共事件所涉人和物相关数据进行安全风险关联性比对分析，就可以探知风险点，并预测可能的发展趋势。概言之，个人信息往往产生于信息主体与信息收集系统的互动之中，而这些信息在被聚合起来进行再分析时所产生的价值远远大于其在单个状态下的价值，同时，个人信息被聚合使用之后的价值又往往使信息主体自身直接受益。

比例原则是行政法的支柱之一，在行政法学中所扮演的角色，可以拟‘诚信原则在民法中所居之‘帝王条款之地位。[37]在德国，联邦法院和宪法法院的判例确认了对个人信息自决权的保护是宪法和私法的共同使命，所有违反当事人意志的个人信息处理活动构成对个人信息自决权的侵害，无论侵权人为国家机关还是私主体。[56]早在1980年经合组织(OECD)的《个人数据保护和转移流通操作指南》提出的个人信息保护八项原则中的收集限制原则就已经明确了这一点。凡是关系到别人权利的行为而其准则与公共性不能一致的，都是不正义的。

文章来源：中国宪政网 进入专题： 个人信息 社会风险 社会安全事件 。[45]参见陈晓勤：《公共行政领域中的个人信息保护》，《法学杂志》2013年第10期。

[51]在其他情况下，行政机关只能对个人信息加以聚合性利用，即在不识别特定人身份的前提下进行社会风险的评估预测以及社会安全事件处置过程中的决策、模拟、资源配置和舆情管理等。四、对社会风险治理中利用个人信息的限制 从个人信息保护的角度来看，不论是公共部门还是私营部门，只要掌握大量的个人信息，均存在滥用或侵犯个人权利的可能。

第一，对个人信息的利用要遵守聚合利用原则。[8]一直以来，政府就是最大的个人信息收集、处理、储存和利用者，政府公权力所及之处必然涉及个人信息的收集、处理和利用。[4]参见王利明：《论个人信息权在人格权法中的地位》，《苏州大学学报》2012年第6期。[59]在我国，《全国人大常委会关于加强网络信息保护的决定》《网络安全法》都移植了用户同意机制，但其适用对象都没有将行政机关涵盖在内，前者的规定适用于网络服务提供者和其他企业事业单位，后者的规定则适用于网络产品、服务的提供者。[59]参见蒋舸：《个人信息保护法立法模式的选择——以德国经验为视角》，《法律科学》2011年第2期。[50]参见黄顺：《8万治安高危人员被清出深圳》，《深圳商报》2011年4月11日，第A05版

政府在社会风险治理中对个人信息的利用可以总结为两类：一是对个人进行识别，进而对识别出的对象进行标记、监控、追踪乃至采取控制措施，这是一种个别化的利用。[35]同前注[12]，周汉华书，第52页。

追捕被通缉或者批准、决定逮捕的在逃的犯罪嫌疑人、被告人。[6]参见谢远扬：《信息论视角下个人信息的价值——兼对隐私权保护模式的检讨》，《清华法学》2015年第3期。

危机情景下的决策受到信息不完备、时间压力大等客观条件的约束，传统上认为主要只能依靠决策者在苛刻情境下所展现的个人经验和个人素质。[7]只有人们能够证明对个人信息的某种利用本来就具有直接促进社会公共福祉的价值——这种价值未必需要通过商业方式来实现，而且为信息主体本身所必需，同时对信息加以利用所伴生的风险是有限或可控的，人们才能够真正证成个人信息的公共性，才能够在法律上对信息主体的自主控制权作出必要限制。

还有部分学者进一步提出，应当将个人信息权确立为宪法上的一项基本权利。[63]陈新民：《中国行政法学原理》，中国政法大学出版社2002年版，第45页。二是信息扩散，公众在事件发生后的信息渴求直接推动了信息的扩散。[62]参见陈晓勤：《公共行政领域中的个人信息保护》，《法学杂志》2013年第10期。

为了保障信息主体的权利，政府在社会风险治理中利用个人信息的行为应当受到限制，不能套用个人信息保护的一般规则。[34]参见刘冰：《大数据时代的应急管理变革》，《学习时报》2014年12月22日。

[12]从我国的既有法律规范来看，尽管其对个人信息的定义在短时间内迅速扩充，但基本上没有脱离上述范畴。[48]现实中也确实出现了许多政府滥用个人信息进行身份识别并损害公民权利的做法。

[33]在出现网络谣言的情况下，政府还可以追踪谣言信息的源头，进而采取针对性的措施。究其原因，一是近十多年来个人信息的大数据应用在公、私两个领域的突飞猛进将原来的某些理论远远抛于身后。

总之，行政机关对个人信息利用的广度和强度一点都不亚于商业机构，但我国既有的个人信息保护规范体系却严重忽视了这一点。[69]这一框架对于促进个人信息利用的意义不言而喻，其不足则在于缺乏可以直接遵循的明确性规则，其实现必须依托利用者对信息风险等级划分和风险评估的规则及其工具的开发，以及政府对信息利用主体风险评估、风险控制过程的高效监管。[36]郑戈：《在鼓励创新与保护人权之间——法律如何回应大数据技术革新的挑战》，《探索与争鸣》2016年第7期。笔者认为，政府在社会风险治理中对个人信息的利用应受如下限制。

正因为如此，在法律上就信息主体对个人信息的自我控制权给予一定限制，赋予行政机关在必要情况下直接使用的权力，其正当性才更加充分。[22]参见单勇：《基于犯罪大数据的社会治安精准防控》，《中国特色社会主义研究》2016年第6期。

对政府利用个人信息的规制是当前个人信息保护中的一大短板。[53]其列举的个人敏感隐私信息包括有关医疗、基因、性生活、健康检查及犯罪前科记录等。

凡是关系到别人权利的行为而其准则与公共性不能一致的，都是不正义的。一方面，政府作为社会管理和社会福利的承担者，公共安全、公共管理和公共福利的推进都离不开对公民个人信息的掌握。