大數據時代，技術和商業的發展極大地促進了個人信息的開發和利用，但也對人的主體地位、社會秩序和國家安全構成了嚴重威脅。目前，我國個人信息保護立法重公法規范、輕私法規范，民事基本法規范支撐缺失。

　　一、個人信息民法保護的基礎性

　　民法作為保護人之主體性的重要手段，能夠為個人信息保護提供堅實的基礎。立法設計應當確立兩大基本理念：一是個人信息的自主控制；二是個人信息和數據的區分保護。

　　按照《立法法》第8條的規定，事關民事基本制度的事項應當由全國人大制定法律加以規定。對正處于民事權利生成階段的個人信息權而言，需要在民事基本法的框架內進行設權性界定。無論刑法還是行政法，沒有民事基本法對個人信息權利的設權性界定，其規則合法性基礎都是不穩固的。在個人信息民法定位模糊的情況下，刑法、行政法等公法規范對個人信息的保護勢必成為無源之水、無本之木。此其一。圍繞個人信息形成的基本法律關系，主要是平等主體之間的關系，即信息主體與信息處理者之間圍繞個人信息產生的民事權利義務關系。雖然個人信息處理者也包含公權力機關，但后者應準用與民事主體同樣的規則。此其二。個人信息的救濟應主要依靠民事機制來實現。個人信息遭受侵害后，第一要務是通過侵權責任等私法規定對受害人的損害進行填補，行政手段和刑事處罰只具備補充性。此其三。

　　民法是維護人之主體地位的最重要手段。在民法中，主客體關系表現為支配與被支配的關系?！叭恕笔敲穹鞔_的權利主體，具備“身份”、“人格”或“權利能力”，而物只能作為被支配的客體。有學者敏銳地指出：“所有法律規范，皆以人作為法律效果之承受者。就此而言，一切法律皆為人法。不同的是，民法規范不僅將其法律效果指向人，更是直接對人的主體地位作出規定。公法上的人，無論憲法、行政法，抑或刑法，乃至于訴訟法，雖未必與私法上人的概念重合，但均以后者為基礎?！痹谖覈白匀蝗恕币辉~源于清末民初西學東漸。關于自然人的討論源于公私法的分野：私法只調整私人生活的關系，而私人生活關系中的人叫做自然人?？梢姡椒ㄅc自然人的密切關系，自中文世界中“私法”和“自然人”概念出現之初，就作為一種知識前見被固定下來。私法天然就承擔著保護人的自由、尊嚴、安全和財產的使命。

　　“傳統民法是一種主體化非常鮮明的秩序”，《法國民法典》、《德國民法典》等各國民法典莫不以“人”為開端。雖然“法人”也取得了民事主體資格，但最古老和最自然的法人類型是“社團”（人的集合體），而非后來形成的“基金會”或“財團”。也就是說，民法中的主體是以“自然人”為中心的。與此同時，民法中的人文主義價值也正在不斷彰顯。從近代民法到現代民法，人的自由和尊嚴獲得了更加充分的保障，弱勢群體也得到了更多的關注。具體到我國，人文主義作為民法典編纂的立法指導思想，還體現在“人格權獨立成編”的分則構造上。通過直接規定人的主體地位，并確立“以人為本”的基本價值，民法已經形成了穩定的主體結構和思想基礎。面對新興科技發展帶來的挑戰時，民法能及時和有效地作出回應。一方面，即使受到科技和商業發展的沖擊，民法中人的主體地位也不能動搖；另一方面，通過將新興科技及其產物納入其規制范圍，民法可以不斷完善和擴展以人為核心的法律秩序。

　　歷史已經并將繼續證明，單純依靠自上而下的管理命令和禁止規定，難免會導致對信息主體合法權益的忽視，排斥私權主體對信息社會治理的參與，使個人信息保護的“權利法”淪為行政色彩濃重的“管理法”，無法從根本上保障人的合法權利。只有“管理法”和“權利法”并重，正視個人信息的私法屬性，通過界定民事權益的方式賦予自然人對其個人信息的前提性權利，才能使信息主體充分參與信息社會治理，增加技術和商業主體發展的規則確定性，逐漸形成個人信息保護與利用的制度性激勵，實現多方合作治理的新格局。

　　二、權利保護模式在我國民法上的意義

　　從立法論的角度，我國民法應當確立獨立的個人信息權。

　　首先，權利保護模式設置了一道“防火墻”，有利于防止科技和商業的非理性發展。在比較法上，GDPR確立了一整套信息權利和嚴格保護標準，是權利保護模式的典型立法。有觀點認為，GDPR與大數據時代的整體環境不協調，會增加信息企業的合規成本，對數字產業的創新和發展造成負面影響。個人信息保護立法的確需要考慮信息主體與技術、商業主體之間的利益平衡。但是，技術和商業的發展并非是立法唯一的考量，不能因為技術和商業的發展而放棄對個人信息的保護。GDPR嚴格保護個人信息，同時并未忽視對技術和商業主體的保護，在其名稱中就強調了信息流動的重要性。

　　盡管個人信息保護需要兼顧技術和商業的發展，但是從根本上來說，經濟發展要服務于人的發展，不能以犧牲人的自由、尊嚴、安全和財產為代價，重走環境問題“先污染后治理”的老路。只有充分重視對基本權利和社會秩序等基礎價值的堅守，才能夠協調好個人信息權利保護和信息流通之間的關系，避免對人類社會造成無法挽回的傷害。在我國，在信息主體、技術商業主體、公權力和公共利益的關系中，信息主體處于最弱勢的地位，只有增強信息主體的權重，才能實現各方利益的平衡。

　　其次，權利保護模式能夠為個人信息提供確定的權利基礎，提升預期的穩定性。在我國的間接保護模式中，個人信息保護所依托的人身權益既可能是姓名權，也可能是名譽權、榮譽權、肖像權或隱私權。個人信息保護的權利基礎處于變動和游移的狀態，在具體個案中勢必陷入糾結境地。而在權利保護模式中，個人信息權是個人信息保護明確的權利基礎。憑借這種確定和具體的民事權利，信息主體能夠支配和決定其個人信息的利用和呈現方式，有效地防止他人的非法侵害。

　　再次，從民事權利與利益的關系來看，權利化更有利于對個人信息的保護。不同于純粹的法益，民事權利具備明確的正當化基礎和清晰的外延，在法律上也可以獲得更加切實的保障。對照來看，在法益保護模式中，法律僅對他人的特定行為進行控制，無法適應侵害行為在類型和方式上的擴展；在權利保護模式中，個人信息是具體民事權利的客體，屬于通過法律確認并加以特別保護的“具備相對重要性”的對象，獲得保護的力度最強?；诖朔N地位，個人信息權可以納入到成熟的民事權利體系，適用既有的法律救濟規范。

　　最后，權利保護模式有利于人格權編的體系和諧。2018年8月27日《民法典各分編（草案）》人格權編（一次審議稿）（以下簡稱“一審稿”）第六章規定了“隱私權和個人信息”，2019年4月19日《民法典人格權編（草案）》（二次審議稿）（以下簡稱“二審稿”）將第六章章名改為“隱私權和個人信息保護”。人格權編是人格權這類民事權利的系統規定，“個人信息”作為其中唯一的人格法益，不符合人格權編的體系定位。在二審稿第六章中，相較于隱私權的規定（2個條文259字），個人信息部分的條文數量更多、內容也更豐富（6個條文788字），而立法僅將個人信息作為法益規定，會導致“權利規定單薄、法益規定豐滿”的失衡現象。因此，人格權編只有采取權利保護模式，才能夠滿足體系和諧這一科學立法的要求。

　　三、個人信息權的體系效應

　　在立法上承認個人信息權，勢必會產生一系列后果。有觀點主張，個人信息流通具有公共性價值，認可個人信息之上存在獨立的民事權利會妨害信息自由，進而對公眾知情權和公共事務造成負面影響。理想的方案是通過公法和私法的協力來構建嚴謹、系統的個人信息保護法律體系。

　　首先，個人信息流通具有公共性價值并不等于個人信息具有公共性價值。退一步來說，即便個人信息具有公共性價值，也不能推導出個人信息屬于公共物品。將個人信息作為公共物品的觀點，實際上是在個人信息領域確立“叢林規則”，弱肉強食在所難免。

　　其次，個人信息確權不等于妨礙信息自由。確權行為本身是在確定個人信息權利保護和行為自由（信息自由）之間的邊界，試圖兼顧個人信息權利保護和信息自由的雙重目標。正如每個實體財產上都有權利存在，但這并不妨礙人們使用或轉讓財產的自由，相反是正常市場交易的前提和基礎。

　　最后，擔心確權會妨礙信息自由的觀點，是認為信息自由具有優先正當性。信息自由的背后是技術和商業主體的利益，也有公眾知情的權利。技術和商業的發達以及公眾的知情權，無疑具有重要的意義。但是，技術和商業的發達、公眾知情的根本目的還是為了人，而確權背后實際上就是信息主體。信息主體的信息利益是人的自由、尊嚴、安全和財產，是人的主體性。與人的主體地位相比較，信息自由不具有當然優先的正當性。在信息主體和技術、商業主體以及公眾知情權之間尋求平衡，不能犧牲信息主體來成就信息自由。

　　四、個人信息權的性質

　　在《民法總則》的立法過程中，個人信息與知識產權的關系曾引發關注。在2016年2月3日《民法總則》（征求意見稿）中，并沒有“個人信息”或“數據”的規定。2016年6月27日《民法總則》（一審稿） 第108條第4項將“信息數據”增加為知識產權的保護客體， 沒有對“個人信息”和“數據”加以區分。2016年11月2日《民法總則》（二審稿）將“個人信息”和“數據”移出知識產權的保護范圍， 并分別加以規定。《民法總則》保持了這種區分。

　　在目前的技術條件下，個人信息背后的經濟價值已經能夠被深度挖掘，個人信息牽涉的利益關系顯然要比傳統的人格利益更為復雜。有學者主張，法律規則設計需要充分考慮個人信息的資源性和財產性特征，應當在個人信息上設立財產權。也有學者主張，之所以不能賦予個人信息權類似于所有權的權能，是因為現實中相當一部分個人信息允許企業采集、使用和分析。關于個人信息權的性質， 還有多種主張?？梢姡瑐€人信息權的體系定位還有深入討論的必要。

　　在法律發展的早期，人們用所有權來描述典型的利益控制狀態。但是，隨著法律文化的發達，逐步形成不同權利對應不同利益控制的格局。在康德看來，人自身是目的而非手段，天生只具備自由的權利，人無法強制自身而為限制，所以對自身不能享有任何權利。薩維尼也認為，若肯定“對自我之人的支配”將使主體和客體混在一起，不僅產生矛盾，也忽視了人的倫理價值。德國民法受此影響，最初沒有規定人格權。后來為因應人格保護的需要，新的權利觀念逐漸產生。與所有權不同，人格權是法律所賦予之力，以滿足其人之為人的利益。個人信息權就是這個意義上的權利。

　　盡管以所有權為代表的物權和人格權共用一個“權”字，同屬于民事權利，但是，二者的內涵存在重大差異。物權客體必須存在于人身之外。而個人信息與信息主體存在著天然的聯系，與生命、身體、健康、姓名、名譽、肖像等具有共同的人格屬性。人們無法用所有權中的占用、使用、收益、處分權能來描述權利主體對個人信息的控制方式。因此，盡管個人信息具備經濟價值，但不能成為物權的客體，難以置身于財產權利體系。

　　個人信息應當作為人格權的客體，但無論被定位為既有具體人格權的客體還是一般人格權的客體，其本質還是屬于間接的保護，既無法調整個人信息保護中復雜的利益關系，也不能給人們的行為提供確定性指引。同時，即使在人格權法定主義看來，人格權類型也并非絕對封閉，具備一定程度的開放性。既然已有的人格權類型難以實現對個人信息的充分保護，立法就應當將個人信息權作為一種新類型的具體人格權。

　　對《人格權編（草案）》相關部分的修改建議主要為：首先，明確承認“個人信息權”的權利屬性。其次，應當明確信息主體同意的基礎地位，妥善設計和詳細規定同意權的內容。再次，應當借鑒部門法和域外法的相關規定，對個人信息的類型和權利內容進行更典型和充分的列舉。最后，個人信息權應當與隱私權分離，專章加以規定。

　　確定個人信息民法保護的基本理念和主要途徑，遠不是個人信息保護法律制度的終點。在權利保護模式的框架內，理論界和實務界應當繼續共同努力，深入討論個人信息權的制度和規則，處理好個人信息權利保護、促進信息自由流通和維護公共利益三者之間的關系，探究個人信息權的特征（絕對性抑或支配性）、內容（具體的權能或子權利）、行使（權利界限以及需要平衡的不同利益）、救濟（責任方式、歸責原則和損害賠償）以及相關配套措施（訴訟方式、程序銜接）等一系列微觀層面的問題，從而推動個人信息民法保護“中國模式”的形成。