摘要：在数字时代，“权利”的概念正在遭受危机，而“权益”的概念正在兴起。学者更易使用个人信息权益、数据权益等概念，立法者同样更易接受个人信息权益之类的表述。但是，权益概念含糊其辞，其到底是未达到权利程度的利益还是权利和利益的组合？以我国立法上已经引入的“个人信息权益”概念为例，分解之后可以发现其中隐含着一个中层概念“个人信息权利”，权益之中存有明确的权利内容，包括作为核心权能的知情权、决定权和作为附属权能的查阅权、复制权、更正权、删除权等。“个人信息权益”是权利和利益的组合体，呈现出“有限权能+兜底利益”的新结构。兜底利益使权益概念具有开放性和灵活性，既避免了权利内容的过早固化，又为司法实践中权益保护的未来发展提供拓展空间。在数字时代，权利概念在适应新的环境和需求中不断演变，并正在以新的面孔出现。

　　关键词：权益  权利  个人信息权益  有限权能  兜底利益

　　一、问题的提出

　　在数字时代，“权利”的概念正在遭受危机，而“权益”的概念正在兴起。一方面，权利的保护对象和行使方式都在发生改变，传统的权利概念面临挑战，有学者提出了“信息社会的权利认同危机”，更有学者提出了“所有权的终结”之问，认为“所有权不再被重视的时代不但无可避免而且已经到来”。另一方面，权益的概念正在兴起。在以往，权益并不是一个突出的概念，但在数字时代，学者更易使用个人信息权益、数据权益等概念，并且立法者也更易接受个人信息权益之类的表述。我们甚至可以想象，权益在未来也许会成为法学中的一个主打概念。但是，权益概念天生具有模糊性的弊端——权益采取混合表述，含糊其辞，权益到底是“未达到权利程度的利益”还是“权利和利益的组合”？这需予以明确。

　　我国的数据保护立法从个人信息保护开始，这体现了数字时代的数据保护仍然秉持人格尊严优先的基本理念。作为个人信息保护法律体系的概念基石，我国立法上创造出“个人信息权益”这一独特概念，但未对这一概念进行界定。与此同时，我国立法上也采用权利化的表述，《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）第四章专章规定了“个人在个人信息处理活动中的权利”。在相同法律中分别使用“权益”和“权利”，体现了立法者在概念使用上尚未形成确信，也给学界留下了如何理解权益概念、如何理解权益和权利关系的理论难题。

　　本文将以立法上已经引入的“个人信息权益”这一典型的权益概念为例，探讨权益究竟是未上升为权利的利益还是权利和利益的组合这一问题。本文将从权益保护的基本原理出发，论证“权益”是权利和利益的组合，进而识别出个人信息权益中的权利成分，主张“个人信息权益”概念中隐含着“个人信息权利”，前者是后者的上位概念。本文也将探讨以“个人信息权益”为典型的新型权益结构的特征和本质，为这一中国立法独创概念的理论内涵和贡献提供一种新的解读。

　　以个人信息权益的概念为例，对“权益”的基本内涵展开研究具有重要的理论和现实意义。在理论上，权利可谓法学中的核心概念，但“在法律和法学文献中没有一个词比权利更加含糊不清”，“权益”概念为此增添了新的模糊性。因此，研究权利/权益的基本问题对于权利理论的发展，尤其是对于新兴权利理论的发展将具有重要的推动作用。在实践上，相关法律尚处实施初期，对个人信息权益这一核心概念的研究将具有“承前启后”的重要意义： 一方面，明晰个人信息权益的内涵，厘清相关概念之间的谱系，可为个人信息保护法律的体系化解释奠定基础；另一方面，揭示现行立法术语模糊性带来的理论与实践困惑，解决法律体系基础模糊的问题，为未来个人信息保护法律的具体适用和体系发展提供指引。

　　二、 “个人信息权益”概念的理解分歧

　　在《中华人民共和国民法典》（以下简称《民法典》）和《个人信息保护法》的立法过程中，不少学者主张个人信息的权利化保护，提出“个人信息权”的术语。然而，这一概念也遭到了较大阻力，反对者担忧个人信息的权利化保护会阻碍信息流通。在如此背景下，立法者为了谨慎起见，顾及信息自由和合理使用，并没有明确采纳“个人信息权”的表述，而是采用了一个较为模糊的概念，即“个人信息权益”。立法上在采取“个人信息权益”概念之时，并未对其进行界定，这就导致了对其基本内涵的不同理解。毕竟，越是模糊的概念，越是容易产生解释分歧，也越是需要学界孜孜以求地探索其应有含义。

　　从概念诞生的背景看，“个人信息权益”是摒弃权利概念的产物，难免使人觉得它是一个与权利相对应的概念，甚至低于权利的概念。长期以来，“在私法领域中，个人信息权益的性质素有民事权利与民事利益之争”。学者们为了将“权益”与“权利”加以区分，有将“权益”理解为利益的倾向。有论著认为“自然人对个人信息享有相应的民事权益，确切地说，这种民事权益就是自然人享有的……民事利益”。这种观点具有较大影响力。有学者认为“个人信息上的权益是一种具体的人格利益”；还有学者认为，为了应对个人信息处理给自然人带来的各种危险，“法律必须承认自然人对自己的个人信息享有一种防御性的利益即个人信息权益，并对其给予保护。”某篇文章归纳称：“学界主流观点认为个人信息权益属于民事利益的范畴。”不仅私法学者存在将“权益”理解为利益的倾向，公法学者的相关论述中也不乏如此理解，存在“作为利益的个人信息权益”的表述。由此看来，似乎权益就是未达到权利化保护程度的利益。个人信息保护具有领域法的特色，不仅公法、私法的部门法学者予以关注，法理学者也进行了一些原理性研究。有法理学者在论及个人信息保护时，归纳认为：“目前争论的要点在于，个人信息的保护模式应采取权利模式（个人信息权）还是利益模式（个人信息权益）。”个人信息权益的“利益说”的影响力可见一斑。

　　其实不然，就“权益”的语义而言，可以有“权利和利益”“权利或利益”“权利的利益”等不同理解。“权益”一词在语义上未必指向未上升为权利的利益。已有学者意识到权益概念具有复合性。张新宝教授认为个人信息权益由“本权权益”与保护“本权权益”的权利构成，而所谓“本权权益”指的是人格尊严、人身财产安全、通信秘密等利益。这种观点倾向于将人格尊严、人身财产安全等利益作为个人信息权益的根本和核心，而将权利视为保护这些利益的工具或手段。王锡锌教授更是明确地将《个人信息保护法》规定的“个人在个人信息处理活动中的权利”视为工具或手段，并且是一种“工具性、程序性的行政法权利”。程啸教授则认为“个人在个人信息处理活动中的权利”属于个人信息权益的权能。然而，这一观点潜伏着一个问题： 权能是相对于权利而言的，为什么权益这一概念下面也有权能？既然有权能，为什么不能组成权利？现有相关文献似乎非常避讳去明确地谈论个人信息权益是权利和利益的组合，并且很少将权利作为个人信息权益的根本和核心。为了推进相关研究，本文将旗帜鲜明地主张“个人信息权益”中“权益”是包含权利和利益的组合，并着重探讨其中的权利成分，以彰显其与利益的区别。

　　三、“个人信息权益”： 权利和利益的组合体

　　（一） “权益”不是利益，而是“权利+利益”

　　本文之所以主张“个人信息权益”中“权益”是“权利+利益”，主要是依据“权益”一词在我国法律体系中的含义，主要目的在于避免将权益概念与利益或法益概念混淆。

　　1. 制度层面：“权益”是权利和利益的组合

　　“权益”似乎是一个中国特色的术语，英文中存在权利（right）和利益（interest）两个单独术语，但罕见“权益”这样的复合术语。那么，对“权益”一词的理解就需要在我国法律制度的语境下展开。我国多部法律以“权益”命名，包括《中华人民共和国消费者权益保护法》（以下简称《消费者权益保护法》）、《中华人民共和国妇女权益保障法》（以下简称《妇女权益保障法》）、《中华人民共和国老年人权益保障法》（以下简称《老年人权益保障法》）、《中华人民共和国军人地位和权益保障法》（以下简称《军人地位和权益保障法》）和《中华人民共和国归侨侨眷权益保护法》（以下简称《归侨侨眷权益保护法》）。这些法律都针对特定主体进行专门立法，对其权益加以特别保护。这些法律还有个共同点： 虽题为“权益保护/保障”，但在具体内容中又都明确包含权利保护。比如，《消费者权益保护法》第二章专门规定了“消费者的权利”。又如，《妇女权益保障法》第二章为“政治权利”，第六章虽题为“财产权益”，但该章七条之中又有三条使用了权利化的表达。《军人地位和权益保障法》关于权益保障的第三至五章分别以“荣誉维护”“待遇保障”和“抚恤优待”为题，在标题中虽未使用“权利”或“权益”，但其中第16条、第38条和第39条分别规定了军人应当享有政治权利、休假权和受教育权。《老年人权益保障法》虽未专章规定权利，但在多个法条中均规定了老年人享有的权利；该法第3条第1款规定“国家保障老年人依法享有的权益”，但在紧接着的第2款又转为权利表述，规定了老年人有“享受社会服务和社会优待的权利”等三项社会性权利。简言之，这些法律中的所谓“权益”都包括“权利”。《归侨侨眷权益保护法》第1条更是直接将法律题名中的“权益”替换为“权利和利益”。上述法律可以初步说明，中国法律制度中的“权益”包括权利和利益，“个人信息权益”这一概念也应该包括相应的权利和利益。

　　或许有读者会质疑，上述援引的法律涉及公法，至少并非纯粹的私法，因此，将权益理解为“权利+利益”在私法中未必成立。其实，在私法语境下同样可以得出上述结论。例如，《民法典》在整体上是权利保护法，但在第1条又使用了“为了保护民事主体的合法权益”的表述，其目的就是为了囊括法典中规定的权利和利益。权益包括权利和利益，这其实是民法学界的常见理解。当民法学者使用“权益”这一术语时，往往指向权利和利益。当学者使用“权益区分保护”这样的术语时，所要讨论的是权利与利益的区分保护，其中的“权益”指向权利与利益。我国主流的侵权责任法教材也认为：“民事权益即民事权利与民事利益之统称。”因此，私法上的“权益”概念通常也指向“权利+利益”，这一理解并不存在障碍。

　　2. 理论层面：“权利”和“权益”都不能简单还原为“利益”

　　将权益理解为“权利+利益”，实质上是为了避免将“权益”简单地还原甚至等同为“利益”。尽管权利、权益两个概念都与利益相关，但这并不意味着可以将权利与利益进行等同，同理也不能将权益与利益进行等同。

　　就权利与利益的关系而言，一方面，在权利和利益区分保护的视野下，权利和利益是一对相对的概念，代表着不同的保护程度；另一方面，权利和利益又有很大的关联，权利是保护利益的一种法律手段。其实，在利益法学理论中，不仅权利是保护利益的手段，法律规范也是一种利益评价的结果。利益是一个源自生活的概念。利益法学方法论代表人物黑克认为“在日常生活中我们将各种生活要求称作利益”。“要求”实际上也是权利的内涵之一。作为霍菲尔德四分法下的狭义权利，“主张权”的实质内涵就是一种要求。我国主流文献中也不乏将权利与利益进行关联的论述，比如有学者认为：“权利乃是经过社会权衡、协调、界定而得到公认和一定保障应受分配之利益。”可见，权利和利益的概念的确存在紧密联系。既然法律上将权利和利益进行区分保护，那么就需要找到不同于利益的权利内涵。不同于利益论，另一流派从力量的角度去探求权利的本质，又分为法律之力和意思之力两大分支，形成了法力说和意志论。法力说强调法律或国家力量对权利的保障之力，意志论则将个人意志作为权利之基础。目前民法学界主流观点是将意志论和利益论相结合，认为权利是“旨在维护特定利益之意志支配力”。此类观点旨在避免将权利简单地还原为利益。

　　就权益与利益的关系而言，“权益”的确很容易使人联想到利益。将权益视为与权利相对应的概念，实际上是将权益与利益或法益相混淆，忽视了权益中的“权”字，将其简单还原为利益了。

　　我们不能忽视权益中的“权”字。在法学理论中，“权”可以是权利或权力。个人信息权益的主体是自然人，主要是从私人享有权利的角度而言，而不是从公权力角度而言。当然，权利的概念中也包含着权力的意思。在霍菲尔德的权利理论中，权利由狭义上的权利（主张权）、特权、权力和豁免权组成。私人享有的权利中也存有权力成分，处分权就是一种典型的私人可以行使的权力。因此，就私人而言，可以用“权利”来统称其可享有的资格、能力等法律之力，简称的“权”字一般指向权利。

　　进一步地，关于“个人信息权益”中的“权”字，为了旗帜鲜明地与后一字“益”（利益）加以区别，宜从意志论的角度，或至少从与意志论相结合的角度加以理解。意志论与利益论是理解权利的两大理论。利益论使得权利和利益产生关联，更使权益和利益纠缠不清，不利于权益概念的理解。权利的意志论则强调个人自决，与人格权具有较高的契合性。个人信息权益中的权利秉持人格权基因，有着个人自决的内涵，也适合从意志论的角度加以理解。对个人信息权利的内涵，更多地从个人自决的角度加以理解，如此方能寻得不同于利益的权利内涵。当然，“权益”这一概念可以兼容意志论和利益论，当我们将其中的“权”作意志论的理解之后，其中的“益”仍然需要在利益论下进行理解。因此，作为权利和利益综合体的“权益”概念可被理解为意志论与利益论的综合。无论如何，“权益”概念之理解应当超越单纯的利益论。

　　总之，“权利”和“权益”一字之差，“利”和“益”皆可指向利益，但两者皆不能简单还原为利益。“个人信息权益”也有着超越“利益”的内涵，那就是其中的“权利”成分。

　　（二） 个人信息权益中“权利”和“利益”的内涵

　　1. 个人信息权益中隐含之“中层概念”： 个人信息权利

　　《个人信息保护法》第44至50条集中规定了“个人在个人信息处理活动中的权利”，包括知情权、决定权、查阅权、复制权、转移权、更正权、删除权等具体权利内容。本文认为，在这些具体的权利内容和上位概念“个人信息权益”之间，隐含着一个“中层概念”即“个人信息权利”。我们有必要把这一概念从《个人信息保护法》中挖掘出来。

　　个人信息的具体权利内容需要一个统辖性的权利概念即“个人信息权利”。《个人信息保护法》第44至50条规定的诸项权利虽皆有“权利”之名，却实为权能。依主流观点，权利与权能的区别标准在于是否具有相对独立性。以所有权为例，其为物权的子概念，具有相对独立性。而占有、使用、收益、处分等权能则为权利所生之能力，依附于权利，尚未达到相对独立的程度，在财产领域表现为不能独立转让。围绕着个人信息处理而展开的知情权、决定权、查阅权、删除权等尚不构成自给自足的权利，并不具有相对独立的地位，只是权能，需要一个上一层级的权利概念予以统辖。因此，若能识别出“个人信息权益”中隐含的“个人信息权利”概念，知情权、决定权、查阅权、复制权等不再是分散的权利束，而是个人信息权利的权能。

　　需要指出的是，我国立法使用“个人在个人信息处理活动中的权利”这一冗长表述，只是表达出了权利的主体，限定了权利所处的场景或领域。其并未对权利本身的内涵进行归纳，容易给人一种分散的诸项权利之感。但是，围绕着“个人信息处理”所展开的利益归属安排仍然以个人信息为核心。并且，这一冗长表述下的诸项权利均以知情权和决定权为中心而展开，既不分散，也非并列，形成了有着层级结构的权能体系，能够组合成个人信息权利。立法者使用“个人在个人信息处理活动中的权利”，可能是意图限定这种权利的适用场景和领域。然而，根据《个人信息保护法》第4条的概念界定，“个人信息的处理”涵盖从收集到删除的完整流程，其范围甚广。因此，“个人在个人信息处理活动中的权利”实际上是围绕个人信息的全生命周期构建权利。这一冗长表述表明了此种权利有别于传统的权利尤其是所有权，但实际上仍然构建出了关于个人信息的权利。与其使用“个人在个人信息处理活动中的权利”的冗长表述，不如直接承认个人信息权利并使用相应的简明表述。

　　个人信息权利足以构成自给自足的独立权利，这本质上源于个人信息保护所具有的独立价值内涵。一种观点倾向于否定个人信息权利的独立价值和独立地位，将其作为保护目标性法益的工具，这种观点也体现在立法机关部分工作人员编写的释义书中。诚然，所有权利均旨在保护一定法益，权利在此意义上可被理解为保护法益的工具，但是权利具有独立存在的价值。个人信息权利独立性的根源亦在于其独立的价值内涵。与隐私权不同，保护个人信息的意义不在“不欲为他人所知”，而在于由个人信息构筑的个人身份被他人正确、完整地认知。数字时代个人身份或数字画像的生成源于个人信息处理，自然人需要对个人信息的处理享有知情权、决定权等权能，由这些权能构成的个人信息权利具有独立存在的价值。

　　其实，从法律效果上看，“个人信息权益”的保护力度并不亚于其他有名权利的保护。比如，个人信息除了民事保护之外，还有专门的行政保护和刑事保护。又如，在侵权损害赔偿的举证责任上，侵害隐私权奉行传统的过错责任原则，但根据《个人信息保护法》第69条规定，侵害个人信息权益改采过错推定原则。对于“权益”的保护力度不亚于有名权利，该如何解释？一种可行的解释方案是将“权益”理解为权利和利益的综合体，权益之中包含着权利。

　　2. “个人信息权利”的中心地带： 知情权、决定权

　　在地位上，决定权是“个人信息权利”的核心权能，知情权又是决定权的前提保障，两者构成个人信息权利的主要内涵。知情权、决定权是个人信息权利的基础性、总括性规定，也构成个人信息权利的原点和起点。上述定位也与《个人信息保护法》的基本架构相符。《个人信息保护法》具有“一体两面”的特征。从个人视角看，该法是个人信息权益的保护法；从个人信息处理者视角看，则是对其处理行为的规制法。个人信息处理行为的规制主要建立在告知同意基础上，知情权、决定权则对应于告知同意规则而生，构成告知同意规则的权利基础。由此，无论是对处理行为的规制，还是个人权利，均围绕着告知同意或知情决定展开，两者在体系上具有一致性和融贯性。

　　在内容上，知情权、决定权虽然具有概括性，但也有着明确的权能限定。第一，知情权、决定权有着领域限定或情景限定，并非一种宽泛的支配权。这种权利范围仅限于个人信息处理活动中，针对的是“个人信息的处理”。当然，“个人信息的处理”范围甚广，涵盖从收集到最终的公开或删除的全过程，几乎涉及所有利用个人信息的行为。相应地，个人信息的权利也是针对个人信息的利用行为设权。这在本质上体现了在非物质化客体上设权的结构特征，个人信息权利不可能建立在对客体的占有和支配之上，而是针对客体的利用行为而展开。与商标权的类比或许可以有所启迪。所谓商标权，我国立法上的表述为“商标专用权”，强调了是针对商标的使用建立的排他性权利，而非对商标这一非物质化客体的占有和支配。知情权、决定权针对个人信息的处理，解决了在非物质化客体上设权的困境，同时使个人信息权利有了明确的权能限定，避免过于抽象、泛泛而谈。第二，知情权、决定权虽然概括抽象，但其对应的义务具体明确，可谓具有“义务限定”。《个人信息保护法》具有关于告知、同意的具体规则，划定了个人信息处理者的义务，相应地也限定了知情权和决定权的内容。由上可见，知情权、决定权一方面具有概括性的特征，另一方面又有着较为明确的“情景限定”和“义务限定”。在法律实施中，因违反知情权、决定权而引发的侵权之诉可通过相应的义务来限定权利的保护范围，如此方能明确知情权、决定权的内容，使其在具体案件中得以适用，避免其停留在理念层面而形同虚设。2021年7月出台的《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》第2条第2项和第3项将违反告知规则和同意规则的行为定性为侵害自然人人格权益的行为，在《个人信息保护法》对个人信息权利内容进行细化之后，可更明确地将此类行为判定为对知情权、决定权的侵害。

　　3. 辅助权能： 查阅、复制、更正、删除等权能

　　相比决定权的核心地位以及知情权的前提保障地位，查阅权、复制权、更正权、删除权、转移权等为辅助权能，具有辅助性和工具性等特征。具体而言，查阅权和复制权由知情权衍生而出，更正权、删除权、转移权则落入决定权的辐射范畴。在内容上，这些辅助权能的内涵较为明确，均依托于具体的行为，均系请求个人信息处理者为特定行为，其实现需要个人信息处理者相应行为的配合。因而，在性质上，这些辅助权能具有请求权属性。此外，更正权、删除权针对的是个人信息不完整、不准确或者个人信息处理已无必要、个人信息处理者违规处理等情形，在性质上还具有救济性。需要说明的是，这些请求权、救济权属性的辅助权能的存在并不影响在整体上将其上位概念“个人信息权利”以及进一步的上位概念“个人信息权益”理解为具有对世性、排他性，毕竟，其核心权能“决定权”具有无可置疑的排他性，任何人均不得干涉，这也是人格权(益)的本质内涵所在。

　　将查阅、复制、更正、删除等定位为个人信息权利的权能之后，对这些辅助权能的妨碍或侵害也应具有可诉性，相应的责任是排除妨碍以实现这些权能。由于这些权能具有辅助性、工具性的特征，本身并不直接产生损害赔偿问题。从现实案例来看，原告要求银行更正上报的征信信息、要求银行“消除不良银行记录”、要求单位更正登记错误的社保信息、“要求野生动物世界删除收集的其个人人脸识别信息”、要求餐饮公司删除点餐时收集的个人信息等都体现了更正权、删除权的诉讼存在现实需求，且呈现出场景多样化的状况。个人信息的查阅、复制纠纷在实践中较为罕见，但也有发生，因为在原理上并不排斥查阅权、复制权的可诉性，任何一项权能都应当得到法律保障，否则权能的设计就会落空。关于这些权能的诉讼通常应定性为民事侵权之诉。从现实情况来看，滥诉的顾虑是多余的。在制度上应当积极保障这些权能的可诉性，从而发挥司法裁判的引导功能，促进个人信息保护法治实践的发展。

　　4. 兜底的利益

　　“个人信息权益”将“权”与“益”并列，那么利益到底是什么？利益可以被理解为个人信息上承载的利益，是个人信息保护旨在实现的目标性法益，也可以被理解为未上升为权利的利益，是权利的兜底。为了维护个人信息权益概念的独立价值，本文认为个人信息权益中的“益”指的是兜底的利益。诚然，个人信息上承载着人格尊严的法益，也关联着人身、财产安全的法益，但个人信息保护法律规范对这些承载或关联的法益的保护具有间接性。人格尊严、人身安全、财产安全、通信秘密等法益均有另外的专门保护机制。如果将这种承载或关联的法益理解为个人信息权益中的“益”，那么以往的任何权利也同样具有承载或关联的法益，“权益”概念的创新性、特殊性和独立价值将不复存在。

　　本文认为，个人信息权益中的“益”主要起到兜底作用。个人信息权利作为大数据时代的一种新兴权利，其具体化难免存在限度，无法满足所有权利诉求。权利是社会生活多样性的法律抽象，通过民主程序形成，体现着人民的权利诉求和立法者的价值判断。立法者只能将获得价值共识的利益权利化。此外，权利一经固定即难修改。为了避免新兴权利的过早固化，同时又提供较为全面的保护，以利益作为兜底是一种较好的立法选择。“个人信息权益”中的“益”正是起到一种兜底功能，对法律尚未抽象成权利的利益内容提供兜底保护。当然，利益的内容具有模糊性，不及由具体权能界定的权利的内容明确。正如王利明教授指出：“利益不是由法律事先明确规定的，也无法明确规定，其往往都是由法官在新型纠纷发生后，根据个案总结提炼出来的成果，可以说是发展中的、未完成形态的权利。”兜底的利益具有开放性，也具有未来面向，可为未来新兴利益的保护提供空间。

　　当然，如果司法实践中要将某种新型利益纳入个人信息权益的保护范围，需要承担较大的论证成本。尽管具体的论证工作需于个案中完成，但这种利益的筛选应当基于保护性法律的价值取向和基本原则，从而可有两个基本标准： 一是体现维护人格尊严及其自由发展的价值取向；二是符合《个人信息保护法》第5条确立的个人信息处理的合法、正当、必要和诚信原则。

　　法官可以通过对兜底利益的筛选发展出新的权益内容。兜底利益的主要功能在于为个人信息权益的未来发展提供空间。基于个人信息保护和利用的协调和平衡，为了克服知情权、决定权概括性、模糊性的弊端，本文对其进行了权能限定，从而明确他人的行为界限。与之相应，其余潜在利益的保护需通过兜底利益的通道进行。明确的权利内容可以按照权利保护模式进行相应强度的保护，而模糊的利益的保护则需通过严格地筛选和论证。

　　综上，个人信息权益并非利益，而是权利和利益的综合体，在内容上呈现层级结构。就权利而言，各项权能又形成了“非并列式”的层级结构，既有总括性的核心权能，又有散射的辅助权能。就利益而言，兜底的利益为个人信息权益的未来发展预留了空间。个人信息权益的术语恰如其分地反映了正在权利化的进程的个人信息保护中既有纯粹的利益保护，也有权利保护。其中的权利在内容上有着领域限定、权能限定，并非一种宽泛的所有权或支配权。我们也正是在此意义上承认个人信息权利。在数字时代，数据法治需要平衡个人权益保护与促进数据流通利用。权能有限的个人信息权利对数据开发、利用和流通的影响是有限的，可谓已控制在合理的范围内。

　　四、 “有限权能+兜底利益”新结构的理论意蕴与实践意义

　　（一）“有限权能+兜底利益”新结构的理论意蕴

　　上文的研究揭示出个人信息权益中存在“有限权能+兜底利益”的新结构。在本质上，权能的有限性源于保护对象或客体的非物质化特性。由于不存在物理上的支点，相应权利无法建立在对客体的占有和完全控制之上。如果按照世界是由物质、能量、信息三大要素组成的观点，法律保护的非物质化客体基本上可归入信息类别。保护财产类信息的典型是知识产权，而保护人格类信息的典型是个人信息权益。无论是知识产权还是个人信息权益，其实都采取了有限权能的设权结构。以保护文学艺术领域表达信息的著作权为例，著作权法保护复制权、发行权、表演权、信息网络传播权等权利，此类权利虽具有一定独立性，但相对于著作权而言仍是权能，可见著作权也是以列举有限权能的方式进行，而非一种圆满状态的所有权。

　　在信息上设权，之所以是有限权能而不是完整状态的支配权，进一步的原因在于信息本身具有自由流通的属性。对信息的所有权势必影响信息的自由流通，既不可行，也不合理。此时，架构有限的权能，自然是一种更佳的路径。并非所有对信息的自决行为都要获得权利保护，只有那些重要的、具有较高发生率的行为才能获得人们的价值共识，从而通过民主程序采用行为规制权利化的保护方式。若是所有与决定信息如何处理、如何利用相关的行为都获得保护，都被权利人控制，其实质上就是一种变相的所有权，背离了信息设权的基本原理。权能的有限性意味着对信息的有限保护，背后体现的正是信息保护和信息流通利用之间的平衡。

　　相比以往的信息设权方式，个人信息权益的一个创新之处在于其存在最后的兜底利益。仍以著作权为例，著作权由明确列举的权能和最后一个兜底的权能组成，《中华人民共和国著作权法》（以下简称《著作权法》）第10条在列举了具体的各项权利之后，最后增加了一项“应当由著作权人享有的其他权利”，体现出比个人信息权益更高的权利化程度。《著作权法》已经列举了十六项具体的权利，并且有的权利的外延还具有延展性，从而这些具体权利基本上可以囊括对作品信息的利用方式，加上最后的“其他权利”是为了应对立法者未能预见的情形。并且，在著作权法的体系下，新兴的利益要获得保护，必须能达到权利化的程度，满足权利的排他性、社会典型公开性等要件，否则就不能纳入权利，而只能作为他人可以自由利用的公共领域存在。个人信息权益有所不同，并不存在兜底的权能，却存在兜底的利益，这实际上具有更大的灵活性。即使需要保护的利益没有达到权利的程度和密度，不满足权利的要件，也可能获得保护。当然，在保护的论证要求和保护的程度上会存在差别。权益的灵活概念对于新兴的个人信息保护还是比较匹配的，既具有灵活性，又具有拓展的空间。如果要求个人信息上的利益达到权利化的程度才能获得保护，那反而会缩小其保护范围。可见，个人信息权益的概念并不是缩小个人信息保护范围，也没有降低个人信息保护程度，而是秉承着加强或强化个人信息保护的政策导向，给实践提供了更多的拓展空间。

　　从更广泛的意义上而言，“有限权能+兜底利益”的新结构为数字时代新兴权利/权益的保护提供了可资借鉴的新型路径。在数字时代，我们将面临更多的在非物质化客体上如何设权的问题，或许可以依循“有限权能+兜底利益”这一新的既具有明确权能、又颇具拓展空间的设权路径。这正是“权益”的概念和架构在数字时代的时代内涵和意义所在。

　　（二）识别出由有限权能组成的个人信息权利的实践意义

　　“有限权能+兜底利益”的新结构以有限权能为主，并且这些权能在立法上都已经冠以权利之名，在这些权能之上可以组成上位的个人信息权利概念。识别出有限权能组成的个人信息权利具有重要意义。我国《个人信息保护法》的实施尚不够理想，这体现出个人信息保护的法律体系不够扎实，根源则在于作为体系基础的个人信息权益概念含糊不清。因此，识别出权益概念中的权利成分，使这一概念明确化，对于《个人信息保护法》的实施和体系化发展均将具有重要意义。

　　1. 法律适用方面的意义

　　在侵权责任法层面，权利和利益均可得到侵权法的保护，但是权利和利益的裁判证立方式是有区别的，此即权利和利益的区分保护说。权利可以按照权利化的思路进行保护，利益的保护则首先需要论证其是否属于合法权益。前者明确，可直接认定，并可根据侵害权利直接征引违法性；后者模糊，往往缺乏立法上的明确界定，需要依据个人信息保护法治的价值取向和内在原则与他人行为自由进行衡量，方能得出是否侵权的结论。就制度成本而言，承认个人信息权利可降低权利人维权成本及相应的裁判成本。自人类进入信息网络时代后，侵害个人信息的事件频发，个人又处于侵权认知上的劣势地位，对个人信息进行权利化保护，可降低权利人维权时的说明和论证负担。权利的英文词源“right”一词包含着正确、正当之意。某一类利益得到权利化的保护，意味着此类利益获得法律保护的正当性无需权利人再行论证。相应地，裁判者也可根据权利保护提供的思维导图，按图索骥，更为扎实地推理，实现裁判成本的降低，在认知经济性上具有优势。从概率上说，由于权利的内容是对社会现实的反应，具有更高的密度，对权利的侵害相对而言更为常见，降低这部分内容的行权成本即是降低整体制度成本。至于利益保护的内容，由于缺乏价值共识，尚需更多的个案论证。利益保护诉求的频率较低，将较高的论证成本施加给司法实践并不会造成过多负担。概言之，提倡“权利和利益组合说”，识别出其中的权利，对权利和利益按照不同的思路进行区分保护，有利于实现强弱分明的保护效果。对明确列举的权利内容按照权利思维进行保护，而不是基于模糊的权益概念进行考量，有利于个人信息保护法律的落地实施。

　　于人格权法而言，界分权利和利益的意义还体现在人格权请求权、人格权禁令等权利保护方式的正确适用。在立法上，《民法典》第995条规定的人格权请求权以“人格权受到侵害的”为前提，第997条规定的人格权禁令也以“民事主体有证据证明行为人正在实施或者即将实施侵害其人格权的违法行为”为前提。在理论上，“对人格权请求权是否可以扩张适用于个人信息等人格利益的保护，存在一定的争议”。类似地，人格权禁令这一非诉性质的保护制度能否适用于个人信息权益，也颇具争议。认为人格权请求权、人格权禁令的适用范围限于权利的观点，不仅具有文义解释上的依据，也有其理论上的正当性。如果将具有模糊性的人格利益纳入人格权禁令的适用范围，将会不当影响他人的行为自由。本文认为，此类“人格权”的保护方式能否适用于个人信息，其症结在于个人信息权益的内涵认识问题。按照本文的解释方案，个人信息权益中包括个人信息权利，而个人信息权利具有较为明确的内容，将具有确定性的权利内容纳入人格权请求权和禁令的适用范围，不会不当影响他人的行为自由。这样的解释方案可为实践指引方向。比如，司法实务中存在将人格权禁令扩大适用到个人信息权益的倾向，但简单地以扩张解释的名义恐怕难以服众，学界存在的相关争议即是明证。若能承认个人信息权益中的权利成分，或许可以平息争议、化解难题。在信息网络时代，泄漏个人信息、拒不删除个人信息等情形均有可能导致个人权益遭受难以弥补的损害，有必要给予人格权禁令的救济，而这种禁令可以建立在内涵较为明确的决定权、删除权等权能的基础上。当然，如果是模糊的利益内容，不应享有人格权请求权、人格权禁令救济。因此，严格来说，并不是个人信息权益可以享有人格权请求权、人格权禁令的保护，而是其中的权利成分可以享有这种保护方式。

　　2. 法律体系发展方面的意义

　　个人信息保护法律体系的根基是否牢固，不仅影响法律的实施效果，也会影响法律的体系构建和未来发展。个人信息保护法律体系的大厦不宜建立在模糊的权益概念基础上，需要有明确且牢固的根基。在大数据时代，经由技术/算法赋权，个人信息处理者拥有了一种事实上的权力，不断被数据化的个人只有通过法律赋权，得到法律的倾斜性保护，才能拥有对抗个人信息处理者权力的有力武器。这正是个人信息权利在全球兴起的时代背景和动因所在。在我国，受传统文化影响，人们的隐私意识较为淡薄。在大数据时代隐私保护向个人信息保护延展的背景下，若对个人信息的保护根基做模糊化处理，可能会给公众带来个人信息在法律上的保护程度较低、性质模糊等错误认知，个人信息利用的乱象难以从根本上得到遏制，数字时代的个人尊严也难以得到充分保障。识别出个人信息权益中的权利内容，承认其权利成分，并进行相应强度的保护，可对个人信息保护法律体系的发展起到提纲挈领的引导作用。

　　从更广泛的数字法治体系看，承认个人信息权益中的权利成分有助于为商业数据的产权化铺平道路。目前，我国立法就个人信息采用“个人信息权益”的表述，有关政策文件就商业数据则采用“数据产权”的权利化表述，这两个概念并不平衡与协调。个人信息保护与企业数据产权应当构成一种“分权制衡”关系。有必要承认个人信息权利，个人信息权利将对数据财产权构成制约，但只要企业数据中涉及的个人信息的获取和加工处理均建立在个人授权的基础上，其劳动所得的数据财产便具有了正当化、权利化的基础。在承认个人信息权利的基础上，才可能去构建企业数据财产权。否则，一味主张企业的数据财产权保护，忽视个人信息的权利化保护，将会失之偏颇并可能导致企业数据财产权失去构建的根基。正如学者指出：“为了促进信息的利用，将个人信息权利化是唯一的道路。”个人信息的保护和利用看似矛盾，实则内藏支持关系。加强个人信息保护，承认其权利成分，可为数据产权化打开方便之门。

　　由上可见，承认个人信息权益中的权利成分，对个人信息保护法律的具体适用及其体系发展均具有重要意义。

　　（三）兜底利益的实践意义

　　前文从个人信息权益概念的创新性、独立性的角度论证了个人信息权益中的“益”应当具有独立价值，指向的是兜底的利益。兜底利益正是个人信息权益概念相对于权利概念的创新之处，其实践意义主要在于为司法预留足够的开放空间，为个人信息权利的未来发展提供可能。

　　个人信息保护是数字时代相对较新的法律领域，将个人信息保护的权利内容予以固化绝非可取之举。因此，立法上确需创立一个开放性的概念，而传统意义上的权利往往具有明确的权利内容，呈现出封闭式的结构，权益概念的开放性正是克服了这种弊端。当然，凡是法律上存在开放性的概念，在司法适用中对其开放适用需要持谨慎而非扩张适用的态度。其实，立法上正是将个人信息权益中未类型化的权益内容留待司法实践去论证和发展。此时，如果司法实践中要引入新的权益内容，需要承担较大的论证成本。毕竟，立法中引入的类型化的权利内容经过了民主的立法程序的多轮讨论，也参照了比较法上相对成熟的经验，未来的司法实践中如果有必要发展出新的权益内容，也不会一蹴而就，而是需要经过不断地探索、论证和纠正，其中也需要实务界和理论界的互动，最终形成社会共识。当这种社会共识形成之后，相应的利益内容也具有了社会典型性，不仅可以在司法实践中较为明确地加以保护，也可在未来的法律修改中通过立法吸纳的方式成为类型化的权利内容。

　　可见，兜底利益尽管不是个人信息权益中的主体部分，但却是个人信息权益中的特殊部分，其在实践中将发挥重要的功能，可为司法实践中个人信息保护提供灵活和开放的空间，也可以成为权利的“孵化器”，从兜底的利益中可以发展出未来的类型化权利内容。在数字时代，我们需要的正是这种开放式、具有未来可适性的概念，而不是封闭的、定型的权利概念。

　　五、结语

　　相比传统的权利概念而言，权益概念更具模糊性，但也具有独特的创新价值和独立内涵。权益并非未上升为权利的利益，而是权利和利益的组合，呈现出“有限权能+兜底利益”的新结构。一方面，权益也并非完全模糊的概念，其中有着明确的权利内容。以我国立法中已经引入的“个人信息权益”概念为例，分解之后可见其中隐含着一个中层概念“个人信息权利”。由此可见，尽管权益概念正在兴起，但权利的概念并未消亡，而是隐含于新兴的权益概念之中。尽管权利的概念可能会在数字时代中发生变化，但它们并非面临终结，而是在适应新的环境和需求中不断演变，并正在以新的面孔出现。个人信息权益的概念尽管是回避权利概念的产物，却与权利难解难分，其中有着明确的权利成分，并且以权利为主，利益为辅。这种理解将使个人信息法律体系的发展具有更为扎实的根基。就目前的《民法典》和《个人信息保护法》而言，个人信息权利已经形成了决定权、查阅权、复制权、更正权、删除权等具体的权利内容。另一方面，权益概念中存在着兜底利益，这使得这一基础概念具有开放性和灵活性，既避免了权利内容的过早固化，又可为司法实践中权益保护的未来发展提供拓展空间。

　　在数字时代，权益概念的兴起绝非偶然，这一概念所具有的开放性、灵活性正是时代所需，可满足数字时代新兴客体的保护需求。尽管经过历史沉淀的权利概念更为成熟，但就数字时代的新型客体保护而言，使用权益概念也较为适宜。相较于固化的权利概念，灵活、开放的权益概念可化解立法初期尚无法完整列举新兴权利的权能的问题。就个人信息保护而言，其中所涉利益关系甚为复杂，利益内容难以固化。其实，由于人格权保护都涉及多元价值的协调，人格权的概念本身就具有“巨大开放性”。“个人信息权益”的概念体现着人格权的开放性、包容性，并为个人信息利益较为完整的保护提供了可能性。个人信息保护目前正在权利化的进程之中，已经形成了一些具体的权利内容，但尚未终局定型。我国立法上将这种既有权利保护，又有利益保护的综合保护模式称为“权益”，符合实际情况。与此类似，数据财产权益的保护面临着同样复杂的利益衡量问题。目前，政策文件中提出了数据产权的概念，但法律上尚无此概念，司法实践中主要是将数据财产作为一种利益进行反不正当竞争的保护，政策和法律实践之间存在一定的割裂。权益概念的使用可以调和权利和利益之争。个人信息权益也经历过类似的争论，其概念和内容构造可为数据财产权益提供典范借鉴和指引作用。面向未来，数据财产权益可采取“有限权能+兜底利益”的结构，其中的有限权能同样蕴含内容有限的数据产权。在个人信息权益的内容基本形成之后，未来的重点是挖掘出数据财产权益概念之下的权能，以便形成数据权益的体系。

　　（作者：吕炳斌，复旦大学法学院教授、法学博士。本文原载于《交大法学》2025年第4期，转载对注释与参考文献进行了省略。本文转自数字法治微信公众号）