规范要让相关人员能够预测自身行为的法律后果，就需要具体化。

[60] 个人信息保护法第47条关于删除权的规定，明显也是从行政规制的角度展开的。请求权不过是债权的一项核心权能。

行政监管部门虽然具有监管的专业和能力优势，但监管部门对自身利益的考虑、监管部门与监管对象之间的复杂关系，难免带来监管动力匮乏、监管俘获，甚至政商合谋等问题，进而诱发监管失灵。此外，监管者还可以要求个人信息处理者在信息处理前对权利束的行使和相关请求受理机制进行妥善规定，以实现事前防范与主动防护，提升隐私政策的民主性、合理性、公平性。如果个人信息处理活动既违反了权利束对应的合规要求，也给个人民事实体权益造成了实际损害，个人可以提起民事诉讼请求损害赔偿。例如，在美国加州的消费者隐私保护法的适用中，最有力的规制方式是由专业的执法机构进行行政执法，违反个人信息处理规则的行为，往往由行政机构或独立监管机构进行调查，并由州总检察长向法院提起诉讼。严格来讲，更准确、完整的概念表达应是个人信息保护权利束。

（二）个人信息处理规则与个人信息权利束的功能互补 个人信息处理规则与个人信息权利束在内容上高度同构，但这并不意味着，在规定了处理规则后，就无需再规定个人信息权利束。[49]GDPR和我国个人信息保护法所规定的个人信息权利束，都是围绕受保护权的落实而进行的赋权，是国家规制策略的组成部分，将这些权利称为个人信息受保护权利束，或许更为恰当。而进行过程性保护，正是保护法作为一种规范类型，不同于民事权利法的重要特征。

这在一定程度上表明，对个人而言，可携权是一项权利，但对国家而言，要设定该项权利的内容，还需要平衡个人信息保护的目标、个人信息处理者的合法权益，以及其他法益之间的关系，在综合考虑各种利益的基础上提供更为具体的规则。风险规制有赖于特定的组织形态，而法院显然不是在相关领域建构风险规制策略的专家。最后，将个人信息权利束理解为人格权请求权，并认为其是一种绝对请求权的观点，也值得商榷。该规定不应被简单理解为赋予了个人针对侵犯权利束的行为直接提起民事诉讼的权利，更不是设定了以私人执行为中心的对权利束的民事保障机制。

作为处理规则的告知义务与作为权利的知情权，二者是完全同构的。[62]例如，个人信息权利束中的知情权、决定权，能够促成个人信息处理过程中的程序正义和沟通理性。

[32] 对个人信息权利束法律性质的理解，直接影响到个人信息保护法实施中的权利保障机制问题。公允地说，损害扩容命题认识到个人信息权利束的行使是为了控制权益受侵害的风险，以及降低个人对此种风险的担忧和焦虑，但其可能忽视了风险规制的路径与民事责任路径在底层逻辑上的差异。这种法秩序并不是可由个人与信息处理者通过协商、合意而形成或变更的私法秩序，而是由国家建构并维护的公法秩序。面对涉及风险规制和调控的行政规制活动，法院会受到角色、专业、资源等方面的限制，即便其作出裁判，裁判结果也难以具有规模化的监管效应。

损害的扩容一旦成立，作为制度性保障的权利束也就当然应被纳入民事责任的视野中，这也是各类个人信息保护民法调整路径所隐含的逻辑。[48]我国个人信息保护法第四章规定的是个人在个人信息处理活动中的权利，在概念限定上体现了立法者的深思熟虑：这些权利并不是个人对其信息的支配和控制权，而是个人对个人信息处理者及其处理行为进行制约的工具和手段。在现代国家，维护人民的和平、安全和公众福利属于国家目的范畴。《宪章》第8条规定了个人信息之保护，其第1款至第3款分别规定：（1）人人均享有个人信息受保护之权利。

如果主要通过民事诉讼保障个人信息权利束，将不利于对违法处理个人信息活动所侵害的客观法秩序进行修复或矫正。[59]See Aysem Diker Vanberg, The Right to Data Portability in the GDPR: What Lessons Can Be Learned from the EU Experience?,21 Journal of International Law 10(2018). [60]参见王锡锌：《个人信息可携权与数据治理的分配正义》，《环球法律评论》2021年第6期，第6页。

个人信息权利束中的各项权利，与个人信息处理行为的合规要求相对应，是国家赋予个人参与个人信息保护任务的工具性、手段性权利。进入专题： 个人信息权利束 个人信息处理规则 。

以个人的知情权为例，个人信息保护法第44条规定，个人对其个人信息的处理享有知情权、决定权。这将导致个人信息民事诉讼案件数量暴增，使法院面临巨大的诉讼压力。谢鸿飞认为，在个人信息保护、环境生态保护等领域，有条件地承认预期侵权制度，肯定未来被侵权的风险构成法律上的损害，并基于精算规则予以赔偿，能使侵权责任法动态适应现代风险社会和复杂社会的需求。[71]See Thomas D. Haley, Data Protection in Disarray,95 Wash. L. Rev.1193(2020). [72]See Spokeo, Inc.v. Robins,578 U. S.330(2016). [73]参见个人信息保护法第65条。个人信息自决权理论认为，个人对其个人信息享有绝对的、控制性的权利。但是，在个人信息保护法实施之后，一律通过民事诉讼保障个人信息权利束，可能带来一系列问题。

[48]GDPR第1条规定：本条例保护自然人之基本权利和自由，特别是其个人数据受保护之权利。[16]前引[9]，王利明文，第50页。

适用于平等主体之间的民事权利义务模式，很难有效应对组织化、大规模、持续性的个人信息处理活动。[59]由于可携权是一种能够促进实现个人信息权益、个人信息处理者利益、技术创新和产业发展之间再平衡的策略性规制工具，如何协调可携权所涉及的各种利益和价值，是对可携权作出具体制度安排时需要关注的焦点。

二、个人信息权利束的受保护权性质 有民法学者提出，个人信息保护法是民法典的特别法，属于民事法律规范体系。[9] 3.一般人格权请求权说 持该观点的民法学者认为，个人信息权利束中的各项权利，是以人格权请求权的方式出现的。

[22]因此，将个人信息权益仅仅理解为民事权益，并由此将个人信息权利束作为其权能，在逻辑上不够周延。德国联邦最高法院认为，GDPR的规范适用和执法基本上应由行政监管处理。[29]前引[26]，杨芳文，第29页。[76]美国学者舒尔茨在系统考察个人信息权利束相关执法机制后指出，面对个人信息保护需求不断强化的现实，一些监管部门反应迟缓、缺乏履职动力、规制措施僵化，有必要针对权利束中的特定内容，赋予私人一定限度的执行权，发挥掌握一手信息、富有公共精神的公民的领头羊作用。

叶名怡认为，这些权利是个人信息权的固有内容和自然延伸。例如，个人可以依法向负有个人信息保护职责的部门投诉举报，如果监管部门不履行法定职责，或者个人对监管机构的处理不服，个人有权依照行政诉讼法等法律向法院提起行政诉讼。

如果个人信息处理活动既违反了权利束对应的合规要求，也给个人民事实体权益造成了实际损害，个人可以提起民事诉讼请求损害赔偿。[58]个人信息保护法第45条第3款规定：个人请求将个人信息转移至其指定的个人信息处理者，符合国家网信部门规定条件的，个人信息处理者应当提供转移的途径。

GDPR第三章规定的数据主体的权利，实际上是国家为促进个人信息受保护权实现之目的，通过制定规则与采取监管措施赋予个人对抗数据处理者的手段和工具。结语 现代社会的个人信息处理行为都具有大规模、系统化、持续性的特点。

这种通过民事诉讼途径请求法院对个人信息权利束中的权利提供司法保障和救济的实践，[1]在理论层面预设了个人信息权利束中的权利属于民事权益，在规则层面以个人信息保护法第50条为依据。此处所讲的一般人格权，主要指宪法层面作为基本权利的个人信息自决权，而宪法基本权利的请求权，并不必然是民事请求权。将个人信息处理规则与个人信息保护权利束结合起来观察，不难发现二者之间具有内在的一致性。首先，在个人信息权利束框架中，个人是权利的主体。

从权利的发生机制看，工具性权利并非由个人对其个人信息的占有和控制衍生而来，而是国家履行保护义务的结果。[63]从国际上典型的数据保护规范的发展脉络来看，不同时期、各种版本的公平信息实践原则，不论1980年经合组织发布的《关于隐私保护和个人数据跨境流通指南》、1981年欧洲理事会成员国签署的《有关个人数据自动化处理中的个体保护公约》，还是1995年欧盟发布的《关于涉及个人数据处理的个人保护以及此类数据自由流动的指令》，都设置了知情、同意、访问、更正等程序性权利。

（一）以监管为中心的制度设计及实践展开 国家对个人信息保护法秩序的维护，体现在个人信息保护法的制度设计中，其具体从三个方面展开：（1）行政监管的组织设计。本文不对二者的内涵作出实质区分，且仅在讨论欧盟立法时，使用个人数据的表述。

[4]申卫星：《论个人信息权的构建及其体系化》，《比较法研究》2021年第5期，第4页。[56]乌尔里希·齐白认为，合规计划规定的是一种对——首先是法定的，有时又是伦理的或其他的——预定目标的遵守程序。