在“一体调整”立法模式下，监督主要采取私法保护模式，即事后损害赔偿救济。整体上讲，私法保护模式的缺陷主要表现在两方面：一方面，若采用民事纠纷机制解决行政机关的信息侵权责任，依据“谁主张、谁举证”的举证原则，就需要由信息利益受到侵害的个人承担举证责任，但由于个人收集证据能力的有限性，充分举证是比较困难的，尤其在大数据时代，数据运用的复杂性与隐秘性特征使得证明行政机关的信息公开行为造成信息主体实质性损害的难度大大增加，依靠个人的力量几乎是不可能做到的；另一方面，重视事后救济赔偿机制的作用而忽视了事前监督机制的建立完善。敏感个人信息事前保护机制的建立完善可以有效保障其使用过程的安全性。通过事前完善的监督体系，可以避免敏感个人信息受到损害，尤其在互联网上，因数据的规模性、集合性特征，一旦发生个人信息侵害事件，通常涉及的人员数量都比较大，若不加以及时制止和纠纷解决，就很容易演变成群体性事件，增大安全防护的成本。

关于个人信息保护的法律制度，我国在立法上采取了“一体调整”模式。目前，学界对该模式利弊的讨论还是较为充分的，形成了“支持说”“反对说”“折中说”三种观点。“支持说”支持从民法的路径建构保护制度；“反对说”则主张从公法的角度建立保护制度；而“折中说”是在权衡前面两种主张优劣的基础上，提出综合保护路径的观点。事实上，随着数据时代的降临，政府机关拥有了强大的“数据权力（Data Power）”,从功能主义角度思考，仅仅依靠私法是不能够为个人信息尤其是敏感个人信息提供全面、有效保护的，公法理应介入。

基于《民法典》第1034条规定，很多学者将信息处理者义务理解为不得侵犯私法主体享有的个人信息民事权益，继而形成“个人信息民事权—个人信息处理义务”的民事权利义务分析框架。但将个人信息权益私权化，存在明显不足。一方面个人信息在所有权上并不具备完全的排他性，而是内在具有公共性、交易性与社会性的特征，如果认为个人信息的处置完全应由个人决定，“基于自己意思自主地决定个人信息能否被他人收集、储存并利用”，将阻碍社会的正常交往，也会影响信息价值的充分实现；另一方面忽视了在处理个人信息过程中，国家机关与个人之间明显的不对等关系，建构在意思自治、平等协商基础之上的私权保护模式是无法有效约束国家机关的。“面对国家对个人信息权利的威胁，民法并不能提供充分的保护，仅仅规定权利是不够的，因为它们太容易虚化，最终沦为‘字面上的权利’。”因此，应当建构完善个人信息保护的公法制度，重视国家机关的规制作用，实践中站在维权最前沿的始终是监管者而非个人。

从国家规制视角探寻个人信息权益保护的法理基础，追根溯源，个人信息国家义务保护的根源在于宪法“尊重和保障人权”的相关规定。“尊重”强调国家对个人信息权益不得侵犯，严格遵守法律保留原则，依法履权，除非履职需要，否则不得处理个人信息；“保障”则要求国家积极作为，通过立法、加强监管或强化事后惩戒制度等多种方式，保护公民享有的个人信息权益免受非法侵害。尤其是在大数据时代，构建与维护的法秩序不仅能保护个人信息的安全，还要保障数据的充分利用，而能胜任这项任务的只能是国家，并非个人。

与私人处理个人信息不同，行政机关信息公开中处理个人信息行为性质上应属于行政行为，具有明显的“行政性”特征。因此，对其行为过程的规范，应纳入行政法治的框架，从行为主体、权限、内容、程序以及归责等维度展开。

首先，使用目的具有公共性。政府机关公开有关个人信息是为了履行其法定的公共职责，充分发挥政府信息对人民群众服务作用。质言之，公共利益需要是证成政府行为合法性与正当性的唯一理由。比如基于更好维护公共交通安全的需要，公安机关有权公开终身禁驾人员的个人信息；又如为了避免更多人感染病毒，卫生行政部门在疫情防控期间可以公开疑似感染者的活动轨迹，等等。

其次，行为过程具有高权性、强制性。行政行为最主要的特点就是高权性、强制性，行政主体与行政相对人之间并不是处于对等的地位，对于前者单方面作出的行为，后者是需要服从遵守的，并没有“讨价还价”的余地。虽然个人信息保护法中确立了特别告知同意规则，但是行政机关认为不公开将会对公共利益造成重大影响的，可以不需要获得信息主体的同意而直接公开，例如，公安部门和卫生行政部门基于公共利益所需，都无需以信息主体“同意”作为权力行使的前提性条件。

再者，公开的内容具有法定性。行政法治的基本要求就是要坚持依法行政，即一切行政行为应依法而为，受法之拘束。政府信息公开中处理的个人信息按照法律要求都应是与行政部门履职有关的，具有明确的法定性特征。一般而言，民法对于个人信息的处理遵循意思自治，只要平等的民事主体之间基于真实意愿的表达，在不违反法律强制性规定的前提下，就可以协商议定后自由处置个人信息。而政府部门处理个人信息时，却有特殊的限制性规定，依据《个人信息保护法》相关规定，行政机关处理个人信息不得超出履行法定职责所需的范围与限度。

在法律性质上，政府机关公开敏感个人信息是典型的“行政行为”，具有公共性、高权性、强制性等特点，面对政府机关对个人信息权益的威胁，仅靠民法并不能提供充分保护，应纳入行政法治框架约束，运用正当程序、比例原则、法律保留等公法思维、公法方式，对行政机关处理个人信息行为予以规范和约束。虽然在“一体调整”模式下，《个人信息保护法》也强调国家机关处理个人信息有特别规定的，从其特别规定，但立法上这方面的特殊规定还是较为欠缺，停留于“象征性立法”。

事实上，在个人信息保护的制度建构中，公法与私法不是非此即彼的关系，目的都是一致的，都是为了更好地保护公民的个人信息权益。截至目前，全球有超过120多个国家制定了专门的个人信息保护法，公私法相融的治理体系被普遍接受。作为个人信息保护方面的基本法律，所有的处理行为，不论是国家机关还是个人所为都应遵守《民法典》《个人信息保护法》《中华人民共和国数据安全法》《网络安全法》等法律规定的原则与规则。但对行政机关而言，仅靠这些规定是不足以保护公民的个人信息权益的，设立特别的制度予以规范很有必要。质言之，一旦纳入公法的治理框架，相较于侧重事后救济的私法保护模式，公法保护模式更注重事前事中的监督，救济的渠道更丰富，方式更多样，效果也更显著。

行政机关作为国家公权力的行使者，除维护公共秩序与安全外，承担着保护公民基本权利与自由的责任，“人权是我们时代的观念，是已经得到普遍接受的唯一的政治与道德观念”。虽然，政府信息公开也是为了实现公民知情权，但是公开的范围与方式都应当是有限制的，政府不应以“公共利益”需要为由无节制地肆意公开个人信息，尤其是敏感个人信息，“敏感信息可能给信息主体带来更大的侵害风险，故适用不同于一般信息的处理规则、受到更强力度的保护措施”。针对实践中已经暴露的种种问题，需要放置在政府信息公开活动中行政机关处理敏感个人信息的整个过程予以系统思考。换言之，敏感个人信息行政机关保护义务的落实与展开，是一个综合不同法律理念和规制工具的体系化过程，吸纳多方力量参与，最终实现充分保护的目的。

敏感个人信息保护首要解决的问题就是敏感个人信息的识别。《个人信息保护法》第28条第1款在对敏感个人信息的种类作出具体列举以后又使用了“等”字，这也就意味着立法者也承认敏感个人信息的范围应具有开放性，并不局限于法律所列举的这七类，大量的新型的个人信息很可能也会被认定为敏感个人信息。换言之，法律授予行政部门相当的裁量权，即可以根据具体场景判断新类型的个人信息是否属于敏感个人信息。而在政府信息公开活动中，行政机关判断“敏感性”的依据主要是信息主体、信息性质以及公开目的，为此，敏感个人信息的认定应严格遵循以下三方面的标准。