无家可归者不可能永远住在非法搭建在合法私有土地上的棚屋内，政府最终要解决他们的居所问题。

在实现对公民健康的保障这一制度目标上，各国首先都依赖于医疗卫生政策来构建起本国的医疗卫生制度体系尤其是医疗卫生给付体系，这种政策驱动型的健康保障模式，是政府基于人民至上的理念和对人民负责的政治伦理主动构建起来的健康保障制度体系。通过立法等手段为人民健康设置制度上的权利，就意味着必须为其提供制度性的救济。

据统计，自1999年至2008年，平均每年每百万人29件，而哥斯达黎加的人口总数是400万。具体而言，在政策驱动型的健康保障制度体系中引入权利范式作为补充，促进政策型健康保障模式向法治型保障模式的转换，具有以下三方面制度性的优势：一是通过引入权利范式保障公民个体的健康，有助于实现健康保障体系的制度性、实质性平等。到2008年，因为卫生系统的规制失败，法院已经明显成为哥伦比亚人获得药品、手术和治疗的一个必要的安全阀。[45]而不管是司法克制还是司法能动，都取决于法院或主审法官的自我选择，两者都是基于裁判的时机、社会需求、司法原则、法官的偏好等因素共同作用的结果。[18]Mark Tushnet, Taking the Constitution Away from the Courts, Princeton University Press, 2000， p.169. [19]〔美〕M. J. C·维尔：《宪政与分权》，苏力译，生活·读书·新知三联书店1997年版，第147页。

相对于国家其他分支机构而言，通过法院及其司法方式实施社会权的制度性优势，既是司法与立法和行政两大分支机构的关系与分工的经典问题，亦是社会权实施的特殊性在三者制度角色上的实践差异。三是通过立法、执法、司法的介入，形成健康保障的完整法治体系。⑥另一方面也受到高扬个人自主决定的欧陆人格权学说的影响。

这些广泛存在于各种处理场景下的系统性损害风险，往往具有复合的、多层次的形态，需要立法者与执法者予以充分评估与管控，并展开预防性、全环节的保护，其核心要素在于对平台为代表的数据权力进行约束。(44)如何有效预防这些风险，在用户个人信息权益、平台数据权益、数据市场竞争以及数据安全等多维视角下设定可携带权的内涵及行使方式，避免权利束由个人权利异化为数据处理者的扩张工具，这些还需要在数据治理实践中进行动态评估和优化。国家机关处理个人信息在性质上属于国家机关的职权行为，国家机关与个人之间形成的是公法上的权利义务关系。事实上，《民法典》第1034-1039条中所规定的这些内容，几乎直接来自此前《网络安全法》第41-43条关于网络个人信息保护条款的规定，这其实也表明，《民法典》的相关条文只是个人信息国家保护义务在《民法典》中的投影。

其二，这些权利所指向的客体并非个人信息，而是信息处理者处理个人信息的活动。又如，还有学者提出，应当从场景化与行为主义的视角理解权利束的内涵，以执法案例的汇编与完善勾勒个人信息保护的边界。

因此，个人在此情况下有权退出或部分退出数据处理过程。④概括而言，尽管存在体系定位上的差异，这些研究基本都分享下列共识：自然人对其个人信息享有民事权益，应当采取由民法赋权的逻辑，保护自然人对其个人信息被他人收集、存储、转让和使用过程中的自主决定的利益，具体表现为知情权、决定权、删除权等权项的行使。(37)See Dennis D.Hirsch,"Going Dutch? Collaborative Dutch Privacy Regulation and the Lessons It Holds for U.S.Privacy Law," Michigan State Law Review,vol.2013,no.1,2013,pp.148-157. (38)参见高秦伟：《个人信息保护中的企业隐私政策及政府规制》，《法商研究》2019年第2期。应当承认，依实体性权利的定性，在私法上设计个人信息权利束的逻辑，为理解权利束的法律性质提供了一个重要视角，其在个人信息保护制度尚未健全的阶段亦具有重要的实践功能。

也即是说，需要厘清在个人信息处理活动中，国家为何要保护？要保护什么？明确这两个问题，才能更好地回答保护法定位下如何进行保护的问题，这就是目的—手段逻辑。对此，监管机构可以积极行使职权介入，针对未满足特定个人信息保护标准的处理行为，运用多种行政手段展开纠偏。与之相应，信息处理者应当建立个人行使权利的申请受理和处理机制，同时需要遵守对个人信息使用方式的既定义务与程序要求，从而形成有利于保障相对人权益的稳定的、可预期的个人信息处理行为规范。私权保护框架寄希望于个人积极地展开维权与诉讼，但这种机制是个体化的、事后的且低效的，无法应对大规模、持续性、累积性的个人信息处理风险。

实际上，在个人信息和数据处理过程中，真正需要国家积极介入的原因在于：个人面临着受平台权力或数据权力(data power)支配、压迫甚至奴役的现实风险，容易因为被工具化及数字化而丧失作为人的主体性地位。为此，需要确保国家对个人数据治理中权利义务配置的负责性、审慎性与平衡性。

然而，在个人与个人信息处理者之间的不对称权力结构中，面对信息处理者大规模处理个人信息带来的风险，试图依靠个体化的自主控制来制约信息处理者滥用权力、避免遭受侵害的私法保护模式，在很大程度上却可能沦为个人信息保护的乌托邦。(12)在近年来的制度实践中，无论是GDPR为预防数据处理风险所作的长达99条的监管和合规要求及其执法活动，(13)还是美国联邦贸易委员会对企业隐私政策的个案审查和规制，(14)都体现出国家主导下企业内部规制与行政外部规制的结构耦合。

一方面，考虑数据主体的利益，特别是在处理数据不符合指令的情况下，以查询为基础，进而其纠正，删除和阻止数据处理的权利，以及反对信息处理和提起法律诉讼的权利。这也表明，个人信息权利束与信息处理者义务的设定，本质上都是国家规制的策略和方式。具体而言，这些权利的启动要件基本集中在违法处理、超出原定目的处理、违反约定处理等情形。(36)相比之下，由专门的数据保护机构通过执法体制对个人信息权利束进行保障，可将一次性的立法规则延伸到持续性的、反复的合规监管过程中，这有助于有效应对信息隐私生态系统中不断变化的侵害风险。作为国家规制策略中的工具性权利，个人信息权利束的实践展开，首先需要注重程序正义下个体的知情、参与和双方的交涉促进，同时在分配正义下合理配置个人与信息处理者之间的权利义务，不断发展和提升国家的规制理性如我国、巴西、印度等国家参照GDPR模式，对权利束进行专章规定，进而充分保障自然人在数据处理过程中的深度参与以及积极行动，并由行政监管和执法作为后盾和支援。

再如，监管者审查信息处理者是否尽到删除义务时需要权衡考虑不删除的风险、删除的成本、其他替代措施的可行性等诸多制度因素。在个人信息处理场景中，这种权力又衍生出平台的数据权力。

由此，国家主导下的个人信息保护的法秩序得以初步建立。权利法的重心在于立法确认个体权利、明确利益分配格局后自发形成内生秩序，因此强调个体与市场的自治，对国家权力的介入较为审慎乃至排斥。

⑥另一方面也受到高扬个人自主决定的欧陆人格权学说的影响。(18)这表明，个人信息权利束并不是先在的民事权利集合。

若是将传统的人格权制度直接套用到个人信息权利束的适用上，不仅会导致民法内在的体系混乱，也会引发个人信息保护法律适用难题。(17) 再次，将权利束理解为民事权利，无法对国家机关处理个人信息的情形进行合理的解释。第三，权利法以私权的赋予或确认为主要内容，国家依据尊重私主体意思自治、维护私法交易秩序的主线展开制度建构，以各类民商事立法为代表。这也意味着民法学和公法学需要加强对话，共同协作，形成个人信息公法保护与民法保护机制的协同。

《个人信息保护法》第45条第3款对可携带权作出规定时，既规定了个人信息处理者应当提供转移的途径这一合规义务，但同时也设定了符合国家网信部门规定条件这一弹性前置要件，这也反映了国家对可携带权实践中的分配正义考量。如果把个人信息权利束中的权利都界定为个体人格权益，将违反个人信息处理规则的行为都视为民事侵权行为，那么还需要行政监管和执法干什么呢？个人信息保护法专门设计行政监管和执法体系岂不多此一举？归结而言，对个人信息权利束保障策略和方式的选择，还需回归个人信息权利束的法律性质和生成逻辑。

第二，私法责任对应的个案救济往往是分散化、个别化的，对单个主体的法益保障无法穿透个案而解决数据处理中内在的、系统性的问题。实践中，机构和平台对个人信息的过度采集、过度挖掘、算法驱动的自动化决策、个人信息泄露及非法流通利用等情形时有发生，这些本质上都是数据权力滥用的表现。

违背合规要求，构成对公法上秩序的侵害，而这正是个人信息保护的立法中设定国家监管和行政执法的逻辑。⑤参见程啸：《论大数据时代的个人数据权利》，《中国社会科学》2018年第3期。

在比较法上，不论是欧盟采取的在宪法层面明确规定个人信息受保护权——而非个人信息权的做法，(22)还是美国公平信息实践中国家参与隐私规则建构与维护的行动，(23)其实都将权利束理解为国家为了矫正信息处理者与个人之间的权力不对称结构、防止个人信息被滥用，而通过立法赋予个人一系列权利的制度性安排。构造并且维系这个法秩序格局的主体只能是国家，而非个人。公允地说，从司法的视角来看，将侵犯个人信息权利束的行为一概视为直接侵犯民法人格权益的行为，进而纳入民事侵权责任体系之中，这种司法实践在个人信息保护法制不完善、行政监管机制不健全的阶段，其用心可以理解。(41) (二)个人信息权利束实践的分配正义功能 在程序正义的基础上，还应当看到，个人数据处理关系涉及多个互动博弈的权利与权力主体间关系，既囊括了数字经济时代公民个人、企业的利益与公共福祉的增进，也涉及高度策略化的主权安全和国际博弈问题。

③在保护强度上，将个人信息作为权利还是利益进行保护亦众说纷纭。这也正是《个人信息保护法》在权利束规定之外，亦详细设计了履行个人信息保护职责的部门法律责任等相应制度的原因所在。

从国家保护和规制策略视角理解权利束的性质和功能，有助于更好地建构保护法理念下公正、透明、理性的数据治理公法秩序，促进数据治理体系的结构优化和能力提升。民事侵权责任的认定与承担，应结合个案中个人民事权益受损情况、加害行为的性质以及相应的利益衡量规则展开，只有在侵害权利束的行为同时也侵害了民事实体权益时，才能激活民事侵权诉讼机制。

私权保护框架寄希望于个人积极地展开维权与诉讼，但这种机制是个体化的、事后的且低效的，无法应对大规模、持续性、累积性的个人信息处理风险。法院也无须识别和判定实体的民事法益损害，可直接认定民事侵权责任。