在规范意义上，法的渊源指的是司法裁判和行政执法过程中的依据来源，在法律适用中发挥着权威理由的角色。

而且，需要注意的是，对此持相反认识的也并不鲜见。[74] Elizabeth Magill， Agency Self-Regulation， George Washington Law Review， 2009， 77， p. 861. [75]熊樟林：《重大行政决策概念证伪及其补正》，《中国法学》2015年第3期。

[73]周佑勇：《行政裁量基准研究》，北京：中国人民大学出版社，2015年，第43页。其中，根据法律规范对行政行为拘束的程度不同，行政行为可分为羁束行为和裁量行为。第二，丰富裁量基准的制定技术。规章可以在上位法设定的行政许可事项范围内，对实施该行政许可作出具体规定。而且，更为关键的是，《行政许可法》第17条还间接性地规定：除本法第十四条、第十五条规定的外，其他规范性文件一律不得设定行政许可。

譬如，盐野宏在《行政法总论》中，关于行政机关的行动基准，平行列举了解释基准裁量基准给付规则指导纲要四种形式，相互有别[63]。黄云、马柏慧：《绿色零售法律探究——从沃尔玛假冒绿色猪肉案切入》，《政治与法律》2012年第11期。个保法第6条规定个人信息处理的目的明确、合理原则以及必要和目的限制原则。

[14]实施这种一般禁止，例外许可性质的公法上的严格保护的原因又可追溯到历史上各国个人信息保护立法的主要动因，即随着上世纪60年代巨型计算机技术的运用，政府自动化处理个人信息的能力和范围剧增，其建立的巨型数据库能够大规模集中收集和存储和处理个人信息，对公民隐私权造成巨大威胁。此时的告知是对前两种的有力补充。文章来源：《人权》2022年第3期 进入专题： 个人信息保护 政府机关处理个人信息行为 告知义务理论 。基于该委托关系的个人信息传输，并未超出个人基于原有告知内容产生的预期，因此无需重复告知。

[20]由此，在政府处理告知义务制度的建构中也不能照搬适用于私法主体的告知规则，而需在公法框架下进行体系化架构。首先，《宪法》第38条的人格尊严条款可以作为个人信息权的宪法基础，虽然学界对于该条款属于具体基本权利抑或是原则性的权利保护条款还存在争议，但这并不影响我们借鉴美国宪法学中的晕影理论（ Penumbra Theory） [22]从该条款中解释出个人信息受保护权这一新型基本权利，因为一方面人格尊严本身就蕴含着人民享有基本权利的意旨，另一方面人格尊严是宪法基本权利的逻辑起点和价值内涵。

在上述两种情形下，政府机关都是个人信息的实际处理者，均需履行告知义务。第3修正案禁止士兵在和平时期未经房主同意驻扎在其住宅，这包含了隐私权的内容。[45]参见《个人信息保护法》第28-31条以及《信息安全技术人脸识别数据安全要求（征求意见稿）》第5、6条之规定。[39] 在有特定告知对象的情形下，考虑到对信息主体权益的充分保障，应优先适用逐一告知方式，当该告知方式存在显著困难或者成本过高时，方可使用发布公告等不特定告知方式。

在我国，数据已与土地、劳动力、资本、技术等传统要素并列为五大生产要素，[10]数据要素的高效配置，是推动数字经济发展的关键一环，大数据在社会治理和数字政府建设中发挥了举足轻重的作用。首先，现行法律规范对政府机关处理个人信息的告知义务还未进行体系化的全面规制并突出政府机关处理个人信息的公法特性。[28]而且在大数据和人工智能时代，随着电子政务和数字政府的推广，政府作为最大的个人信息处理者，滥用行政权侵犯公民个人信息权益的风险很大。第二，告知内容因告知方式而异。

值得注意的是，尽管个保法显示了政府应主动探知信息主体年龄的立法意向，但此种要求很可能因为难度过大而被虚置。郑子璇，中国人民大学法学院2018级法律硕士。

其中，个人信息的保存期限是个人信息保护立法普遍规定的告知内容，但却较少在政府告知中被提及。[44]考虑到敏感信息被泄露或滥用将带来更大危害，在遵循比例原则和利益衡量原则的基础上，政府应当为敏感个人信息提供更为坚实的保护，并通过区分保护的方式降低行政成本，为收集敏感信息设置更为严格的必要性和目的限制要求，相关告知的内容也应增加处理该类信息的必要性以及对个人权益的影响等内容，并且一般应当获得信息主体的同意。

正如个保法第28条规定，敏感个人信息一旦遭到泄露或者非法使用，将造成人格尊严受损或者人身和财产安全危机，一般认为，应当对一般信息和敏感信息进行区分保护，从而平衡个人权利的保护与个人信息的利用。[13]这明显不同于私法意思自治原则，以及私法领域的基本行为准则——法无禁止即自由。而理论界对于告知同意规则的反思批判多是由民法学者展开的，主要针对私法主体适用该规则处理个人信息出现的问题，例如该规则的内在缺陷、异化现象、与个人信息社会属性以及大数据经济发展的冲突等。除此之外，为充分保护未成年人，学界已基本达成共识，认为处理未成年人个人信息应当告知其监护人。在同一目的下，接收个人信息的政府机关相当于原机关的延伸，个人信息并未落入其他主体手中。根据个保法第59条，受托人应协助政府履行告知义务。

[24] Pieroth,Schlink. Grundrechte Staatsrecht II. 28. Auflage, C.F. Müller, 2012:Rn. 57, S. 16. [25] Georg Jellinek. System der subjektiven öffentlichen Rechte. 2. Aufl. 1919: S. 87. [26]张翔:《论基本权利的防御权功能》,载《法学家》2005年第2期,第66页。[9]据笔者亲身经历，普查员入户采集个人信息时，并未使用可以进行数据加密保护的电子化采集设备，而是采取填写纸质表格的方式。

与此同时，告知程序也体现了个人参与原则（Individual Participation  Principle） [30]，通过保障信息主体的参与权突出了在大数据时代人的主体性地位和个人自决权。[18]第三，从信息处理行为的性质角度而言，政府机关处理个人信息是一种行政活动方式，可以被视为特殊的行政事实行为，其一般不直接对信息主体的实体权利义务产生影响，且通常从外部基本看不到该事实行为，尤其在运用大数据分析或算法的自动化决策中。

构成例外许可依据的一般是信息主体的同意或法律的授权。[29]政府机关在利用自动化行政程序处理个人信息时，应当遵循上述技术性正当程序，告知相对人信息处理行为并遵守相关算法公开规则。

我们认为，对政府机关处理个人信息而言，明确、合理指目的具体、清晰，且与政府机关的职责相匹配。[6]即个人基于自决的理念有权自主决定在什么时候、在什么限度内，关于他个人生活的事实可以被披露。[4]告知是告知同意制度的核心组成部分。二、政府机关处理个人信息告知义务的公法理论基础 从理论视角考察，与私人主体处理个人信息不同，政府机关处理个人信息具有鲜明的公法属性，这体现在以下四个方面：个人信息处理规则本身具有的一般禁止、例外许可的公法属性、政府处理个人信息在行为性质上的公法特征、告知义务具有的基本权利防御功能以及告知义务作为制约政府信息权力的程序工具价值。

[17] Johannes Masing. Herausforderungen des Datenschutzes. NJW, 2012: S.2305. [18]参见周汉华:《中华人民共和国个人信息保护法(专家建议稿)及立法研究报告》, 法律出版社 2006 年版, 第 66 页。[19]私法主体处理个人信息则是双方基于同意这一合意基础上的民事法律行为。

[17]二者的主要区别如下：首先，处理个人信息的合法基础不同。据学者研究，较多政府巨型数据库的运作并不公开透明，并未受到法律、行政法规或者规章基于保护个人权利的限制和约束。

但如何具体实施还有很多问题需要探讨，囿于篇幅，本文只探讨其中的告知义务问题。因此，非常有必要对信息行政行为进行全方面的法律规制。

[40]但是，公共管理等概念极为宽泛，使得政府各机关部门之间的信息处理隔离机制近乎失效。作者简介：喻文光，法学博士，中国人民大学法学院副教授，未来法治研究院研究员。其中，在江西省乐安县人民检察院督促规范政府信息公开行政公益诉讼案中，针对行政机关在履行政府信息公开职能时泄露不应公开的公民个人信息的情形，检察机关通过制发诉前检察建议，依法督促行政机关履职整改，保护公民个人信息安全。第二，告知的内容变更时。

告知方式一般包括树立提示标志、发布公告或者规则等，如个保法第17条第3款就规定了制定个人信息处理规则这一方式，《告知同意指南》附录D也建议在用户端、问询处、柜台、办公室等处提供规则文本以供查阅。书面与口头告知的区别主要在于是否有书面凭证。

由于个人信息处理规则本身以及告知义务均具有公法属性，政府机关处理个人信息活动亦具有公法性质，尤其是告知义务具有的宪法价值和控权功能，对于告知义务的制度建构不能完全照搬适用于私法主体的规则，而应当针对政府机关处理个人信息活动的公法特性，克服目前粗疏零散的立法弊端，从法律主体、程序、内容、违法后果及法律救济等方面进行体系化的公法建构。便利起见，可由受托人告知，但受托人应当披露背后的个人信息处理者。

最为典型的就是图像监控和身份识别场景中的告知。[38] 非特定告知适用于信息主体不特定、告知内容同一，且一般无需征求信息主体明示同意的情形，例如自动测温器采集行人体温时的告知。