如果个人对自己的信息不享有权利，何来这些具体权项？在《民法典（草案）》中，个人对自己信息的控制能力远远大于隐私权仅仅限于被侵犯后的事后救济，将隐私权界定为权利而将个人信息界定为权益，法理依据显然不足。

[59]对于公众的知情权而言，这种删除权的任意行使会造成信息的真空，甚至造成信息的失真。相比起传统的个人信息权利，信息信托权利常常需要结合场景与信息关系来确定权利的边界。

[35] 对于这样一种关系，以公平信息实践为基础的个人信息权利保护制度采取了多种法律部门综合保护的进路。尤其是个人信息权利保护的适用前提，尽管个人信息权利保护的中文文献已经浩如烟海，但中文文献对这一问题的讨论仍然处于空白。第一，不同国家和地区的法律都表明了这一点。但个人信息权利保护或所谓的信息隐私，其思想框架却起源于阿兰·威斯丁(Alan Westin)对于个人信息控制的主张。此外，很多场景下的个人信息收集与流通其实具有公共功能，允许个人对于个人信息行使纠正权、删除权等功能，会极大地妨碍个人信息的合理流通与公众的知情权。

即使法律对个人身份的验证程序作出严格规定，此类风险也可能因为公民信息访问权、携带权的行使而加大。[33] 因此，个人相对于执法机构的权利仍然限定于传统核心隐私的范畴。一个人在公共场所出现，其他个人完全可以自由地获取他的信息，只有诸如闭路电视系统的运行者（控制者）采集他的信息才需要遵守个人信息保护法的规定。

从某种程度上讲，这些立法只是为义务主体设定了义务，并未规定权利主体的权利，存在较为明显的基础缺失问题。公法权利更多属于积极权利，权项因此更为丰富，不只事后才能寻求损害赔偿救济。如果其要求被拒绝，他有权获知理由并可以提出挑战。同时还要看到的差别是，对于纯粹的民事侵权行为，如网络上披露他人隐私、侵犯名誉权等，如果没有达到一定的程度，公权力并不需要介入，依靠民事侵权赔偿机制就可以达到保护私权利的目的。

很难设想实践中有收集与处理分离，只收集不处理，或者只处理不收集的活动。但是，从第111条被放在《民法总则》第5章民事权利的整体结构看，它好像又可以被视为一项权利，并且是具体人格权，由此导致对文本的多种不同解读。

三、立法中需要明确的几个问题 当前，民法典起草已近尾声，即将出台，个人信息保护法已经列入本届全国人大一类立法计划，正在加紧起草过程中。这样一来，信息主体的权利就转变为信息控制者的相应法律义务，违反法律义务就等于是对信息主体权利的侵犯，由此实现信息主体控制自己信息不被非法处理的权利保护目标。美国于1970年制定《公平信用报告法》《银行保密法》，1974年制定适用于联邦政府机构的《隐私权法》。2.个人信息保护法宜确立信息主体权利及信息控制者激励相容机制 进入大数据时代，信息主体控制自己信息不被信息控制者违法处理或滥用的权利，是整个个人信息保护制度运行的基石。

民法典是基本法，将由全国人大通过，而个人信息保护法属于一般法律，将由全国人大常委会通过。个人数据应该与它们将要被使用的目的和该目的所必要的程度相关，个人数据应该精确、完整和被保持为最新状态。3.民法典与个人信息保护法宜尽量减少不一致的规定 比较《民法典（草案）》与全国人大法工委已经在一定范围征求意见的《中华人民共和国个人信息保护法（草案征求意见稿）》（以下简称征求意见稿）可以发现，两者存在比较明显的不一致，主要表现在两个方面：一是基本概念与范畴不对应。与国际趋势相反，我国民法界一直推动将个人信息保护纳入人格权编，与隐私权并列在一起，并主张将个人信息保护法作为民法的特别法，由此强行将两项根本不同的制度熔于一炉。

首先，《民法典（草案）》人格权编共6章，第3章为姓名权和名称权，第4章为肖像权，第6章为隐私权和个人信息保护。最后，从其他新型权利立法与民法的关系看，都是先由单行法明确新型权利及其运行的基本制度，然后再由民事立法等相关立法与之衔接，通过民事责任追究促进新型权利的实现，而不是先由民事立法确立每一项新型权利，然后再由单行法进行衔接。

这样可以通过立法范围划分，由个人信息保护法确定实体规范和程序规范，由民法典确定民事责任，实现两部法律的衔接。1970年，德国黑森州制定全世界首部《数据保护法》。

另外，这种观念和认识一旦外溢至个人信息保护法立法，还会导致个人信息保护权属基础不明，法律关系模糊等连锁反应。《民法典（草案）》第1035条移植了《网络安全法》第41的规定，要求收集、处理个人信息的，应当遵循合法、正当、必要原则，并明确了相应的条件。每个人在交换过程中，随时都在获取交往对象的个人信息，或者主动或者被动。在人格权与身份权两个条文中间加入一个个人信息受法律保护的条文，使个人信息保护是否属于权利以及个人信息保护是否属于具体人格权等问题，都不甚明确。再次，《民法典（草案）》一方面将个人信息定位为权益而非权利，另一方面，又确立了个人对自己信息的同意权（第1035条），知情权、更正权与删除权等（第1036条），横贯个人信息处理的事前、事中与事后全部生命周期，等于是确立了个人对自己信息的完全控制权。相反，对于公法权利的侵犯，不论程度如何，均需要由公权力执法机关提供保护。

如果侵权方是公权力机关，民事责任机制更是无能为力。在整个条文中，对个人信息保护的规定并无权字。

只要个人信息保护法加以明确规定，权利主体就享有这些具体的控制权利。民事立法一直用传统隐私权观念来构筑个人信息保护法律制度，一是直接将个人信息作为保护客体，二是将义务主体界定为任何组织或者个人，存在明显的保护客体泛化与义务主体泛化双重弊端。

他还指出，人格权的第一个特殊性是防御性，即法律将侵害人格权的加害行为纳入侵权责任法的适用范围，以便对加害人追究侵权责任。20世纪60年代末70年代初，由于计算机和信息系统的采用，欧洲与美国最早关注到个人信息使用与滥用问题，认识到需要确保某些记录的保密性和安全性，限制对某些记录的访问或被用于初始用途之外的用途，以保护个人信息不被滥用。

个人信息保护的客体是个人信息，而个人信息的范围非常广，通常包括任何已识别或者可识别特定个人的信息，范围远远大于个人不愿为人所知、披露后会导致社会评价降低的私密信息（隐私）。可以看到，我国的环境权、受教育权、消费者权利等均未在《民法典（草案）》中加以规定，而是先由相关单行法分别予以确认，再通过包括民法典在内的法律，共同制裁侵犯这些权利的行为。进入专题： 个人信息保护 。作者：周汉华，中国社会科学院法学研究所副所长、研究员。

3.权利性质的特殊性 人格权属于消极权利，权项并不需要列明，法律上并不详细规定各种类型的人格权，而是在人格权遭受侵害之后，由法官援引侵权法的规则对权利人提供救济，以不受非法侵犯造成损害后果为权利边界，遭受损害后通过侵权赔偿加以救济。《民法总则》第109条规定了一般人格权，第110条集中规定了具体人格权，如果个人信息属于人格权，理应作为其中之一加以规定。

到20世纪70年代末，1979年制定的《中华人民共和国刑事诉讼法》第111条和《中华人民共和国人民法院组织法》第7条都继续沿用阴私的提法。只要数据控制者违反法定义务，不论是否造成信息主体实际损害，都可以认定为违法，个人信息保护执法机构就可以通过公法执法发现并制裁违法，维护法律秩序。

至于民事救济机制，在公法权利框架之下同样也可以发挥应有的作用。可以看出，这一时期法律的保护客体主要是当事人在诉讼程序上不公开审理的权利。

为此，欧盟《一般数据保护条例》与很多国家的个人信息保护法均明确将纯粹个人或者家庭生活中处理的个人信息，排除在法律保护范围之外。1980年，由发达国家组成的经合组织通过《隐私保护和个人数据跨境流动指南》，确定了8项原则：（1）收集限制原则。个人数据应该受到合理的安全保护，以免发生诸如丢失或未经授权的获取、破坏、使用、修改或披露等问题。将收集与处理并列，会使大量的处理活动均需要按照收集环节的要求，履行告知同意程序，从而增加合规成本。

随着信息化的普及，个人信息保护已经迅速成为一项独立的法律制度，全世界已有100多个国家制定专门的个人信息保护法律，确立了独立运行的制度。《网络安全法》第41条规定的收集、使用是一个行为的不同阶段，均属于处理活动。

在上海市第二中级人民法院审理的上海美尔雅医疗美容门诊部有限公司与张燕肖像权纠纷案等案件中，均以社会评价的降低作为判断名誉权、隐私权侵权的主要标准。但是，并不是所有违反公法义务的行为都会产生民事损害后果，这就涉及如何科学设计救济机制的问题，以避免制度被滥用或空转。

从救济效果看，构成人格权民事侵权必须满足侵权赔偿的法定构成要件，尤其是必须以造成实际损害为前提条件，被侵权人还需要承担举证责任。以传统民事权利话语体系界定个人信息权利，将个人信息保护纳入私法人格权范畴，与隐私权并列在一节中，必然会出现逻辑矛盾与实践冲突。