大数据开采出个人信息潜在经济利益,也引起个人信息侵权案件的激增之态。《民法总则》第111条将个人信息纳入私法保护框架,但其对个人信息的认定要素、权利属性、侵权后果等均未界定,民法典草案第1034条继承了《民法总则》的规定,以行为规范而非权利化模式对个人信息加以保护。其他诸如《网络安全法》《侵权责任法》等相关法律的规定在司法实践中也面临对个人信息侵权救济不能的困境。文章从个人信息民事规制路径的选择出发,探讨个人信息当为利益还是权利,也即权利路径与行为路径的选择问题,并以此为基,讨论个人信息权利客体及权能配置,最终得出我国民法典制定背景下个人信息权的确权规则。比较法视野下,各国个人信息侵权救济路径不一、立法体例各异,美国以信息隐私权为权利基础,实行分散立法、行业自律模式保护个人信息;德国从一般人格权出发,抽象出信息自决权这一核心权利,侧重对个人信息保护秩序的构建;欧盟抽象出个人数据保护权这一框架性权利,在信息流转中实现对利益博弈主体的行为规制。而我国面临的现状是:首先立法分散且以行为规制为主。个人信息保护的请求权基础不明,权利客体不定,其次,目前司法实践在“隐私权等具体权利+侵权责任”双重保护模式下进行个人信息侵权救济,但该模式不仅无法涵盖所有信息侵扰行为的救济,且与我国私法权利体系安排不一致,实践和立法的脱节呼吁对个人信息权利体系予以重新认识。反思我国个人信息民事确权困境,存在权益区分规则在人格法益适用中的失效和个人信息权利客体不明晰两大因素。新型利益的法律认可面临权利泛化的本质担忧和权益区分标准不确定的方法论缺陷。同时人格权客体认定的难题影响了个人信息权利客体的确定,以法律关系表达权利客体的方式并不适用于个人信息确权过程。客体不明直接表现为权属边界确定困难,理论界呼声较高的隐私权模式和一般人格权模式各有利弊,但面对我国风险日益增大的信息侵权行为依然面临救济不能的难题。首先,隐私权模式依赖于对隐私的扩张解释,这与我国人格权现有体系不一致;同时实践中不涉及隐私的个人信息加害行为愈演愈烈。其次,一般人格权模式的成效依赖于德国对一般人格权的精细解释,但在我国,无论是法教义学出发,还是从法经济学角度理解,一般人格权都无法涵盖个人信息的财产属性。排除上述两种路径,结合比较法经验,以“具体人格权”为权利基础,在信息流转中对个人信息利用行为予以权利化规制,进而形成个人信息权能束可成为我国个人信息权利体系的表达模式。方法论的失效和权利客体的模糊阻碍了个人信息确权之路,两大问题的解决分别对应两组概念的厘清。第一,正确分析权利的本质与权利的适当运用是面对“权益之争”的正确回应姿态。解析人格利益向人格权的蜕变过程,客体的明确和积极权能的产生促成人格利益的权利化,而个人信息承载着勾勒人格图像的功能,且其权属边界相对明确,这两大特征赋予了个人信息权利化的正当性。第二,权利客体的明确依赖于“个人信息本身、个人信息背后的利益、个人信息权利客体”三个概念的厘定。具体而言,个人信息为权利载体,保护利益为权利目的,以客体要素说为理论基础,个人信息权利客体应当是人格要素和财产要素。人格要素和财产要素在不同领域的分配使个人信息上包含人格利益、财产利益、和公共利益三种不同的利益,诸方利益在交织与平衡中勾勒出个人信息权的基本框架。作为框架性权利,权能体系将成为个人信息权的法律表达。个人信息权能体系的构建需明确权能配置规则和具体权能内容。权能的配置规则需借助利益衡量方法和要素分配视角:对人格价值较高的个人信息,提炼权利内核,且严格规定市场交易行为;对人格价值不太高的个人信息,可放宽市场交易的限制,以发挥经济价值。对公共利益的保护应穿插于权利保护的始终。以信息流转为线索,个人信息权存在积极权能和消极权能,积极权能包括自觉或知悉信息被处理的知情同意权和信息查询权、报酬请求权和保证信息正确与完整的信息更正权、信息删除权等;消极权能包括信息处理需符合特定目的的信息封锁权,信息流转需保障安全的信息安全权等。围绕知情同意权这一核心权能,我国可构建多个辅助权能并存的个人信息权能体系,该体系的构建既有利于实践中个人信息侵权行为的类型化分析,且能检视不同类型侵权行为的裁判规则差异。