对于侵害个人信息权益的行为，数据主体（自然人）可以向法院提起诉讼。就个人起诉而言，其主要形式是民事诉讼，民事诉讼的基础是自然人对其个人信息享有权益。作为个人信息保护领域的领先立法，欧盟GDPR设定了六种权利，分别是获得权、更正权、删除权（被遗忘权）、限制处理权、数据可携权和反对权，这些权利的性质值得探究：它们是宪法意义上的基本权利，还是民法意义上的私权利，或是皆而有之带有双重属性？上述权利可以通过民事诉讼获得救济，首先至少应属私权利，同时可能也属于宪法意义上的基本权利。

　　民法总则第一百一十一条规定，“自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的，应当依法取得并确保信息安全，不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息”。民法总则第一百二十七条规定，“法律对数据、网络虚拟财产的保护有规定的，依照其规定”。有观点认为，依据上述规定，自然人已经享有个人信息权、数据主体已经享有数据权。这种观点并不正确，根据第一百二十七条的文义不能解读出数据权是显而易见的，也不能依据第一百一十一条解读出个人信息权。个人信息基本可分为四大类：第一类生活记录信息，是个人生活相关的客观记录；第二类观察者信息，包括外部对个人的评价；第三类检测信息，这也是客观纪录，但涉及科学检测；第四类自我报告信息，是个人的自我评价。个人信息总体上可区分为以上四类，从这些信息可以分析出个人的人格。法律意义上的个人信息，大体上不会超出上述范围。欧盟GDPR强调用户画像、个人特征分析的概念，因为从个人信息可以大体确定一个自然人是什么样的人。但是，个人信息是否属于民法上的客体，值得疑问。

　　民法处理人与人之间的人身和财产关系，和个人信息相关的也不外乎人身和财产关系。把个人信息单独作为一种权利客体，会冲击现行民事权利保护体系。如果将个人信息权类型化并赋予它类似于所有权的权能，包括占有、使用、收益和处分，实际上和现实并不相符，因为有相当部分的个人信息允许企业采集、使用，收集和分析。个人信息本身具有很高的经济和社会价值，互联网产业、数据产业发展都有赖于此，只是必须在投资激励和人格权保护之间取得平衡。有的个人信息公开后个人无权要求删除，比如生效判决书依法上网公布，除了法定情形个人不能要求法院删除。在个人信息上设定类似于所有权的绝对权，可行性微乎其微。即使将个人信息权类型化，这种权利也不可能像物权、知识产权一样成为全面的绝对权，而是一种基于政策考量和利益衡量并经特别制度设计的民事权利，目的是确保自然人利益受到侵害后有救济手段，如此则通过侵权法即可实现。社会实践中，关于个人信息的采集和使用已经形成综合性的法律关系，民事、行政、刑事问题交织在一起，必须进行分解处理：事前、事中应该以行政管理、自我管理为主，从源头上治理；事后以民事救济、刑事保护为主，主要以诉讼的方式进行。

（本文源自网络，如有侵权，请联系删除）