信息技术的日新月异冲击着以公平信息实践为基础的法律框架。在无处不在的信息收集、使用面前，传统的个人信息保护制度所承诺的个体对于其个人信息的控制权化作幻影。更严重的是，海量信息背后蕴藏的巨大经济利益滋生了一条黑色产业链，将个人信息主体暴露在风险之中。
从表面上看，传统个人信息保护制度的失灵是公平信息实践过分依赖通知和选择制度的结果。大部分个人信息保护立法都包含了通知和选择制度。例如，《一般数据保护条例中》要求数据控制者告知收集、处理个人数据的用途（第5条），且数据主体的同意是合法处理个人数据的首要标准（第6条）。我国的《网络安全法》第四十一条亦规定，网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。对同意和用户控制的过度关注使得以公平信息实践为基础的个人信息保护规则迅速倒向对用户同意的形式要求。企业通常以隐私政策为载体，向用户告知个人信息的收集、使用、储存情况，并寻求用户的同意。但是，隐私政策仅仅制造出一种用户有能力控制其个人信息的假象。企业的法律义务往往在告知用户并获得其同意的那一刻便已经完成；至于此后企业需采取何种实质措施来保护用户的个人信息，法律对于并无明确指示。因此，基于通知和选择制度的个人信息保护往往流于形式，未能减少滥用个人信息的现象。就结果而言，“隐私保护并未得到改善，个人和企业却需要为官僚主义的法律买单，而我们每个人迷恋于通知和选择制度而未能去发现更好的办法。”
在通知和选择制度的僵化背后，是传统个人信息保护制度对个人权利进路的依赖。这种个人权利进路在个人信息保护领域长期居于主导地位。在个人权利的视角下，个人信息保护被描绘成一项私人权利，从而将个人作为其个人信息的守护者。无论是美国的侵权规则还是欧洲的财产规则，背后的逻辑都是如此。个人权利进路的核心在于将如何处置个人信息的权利赋予个人，由个人决定如何使用这项权利，以及出现侵权行为时是否予以追究。个人权利进路顾及了人群中对于个人信息保护的偏好差异，因而允许权利人根据自身情况作出决定，达到节约社会资源的目的。然而，个人权利进路忽视了个人信息主体在认识和物质条件上的有限性。为了实现传统个人信息保护制度所要求的知情同意，个人须在选择同意之前浏览网站提供的隐私政策。但是，隐私政策由专业律师或者技术人员起草，普通人往往难以理解其中的内容。即便能够理解隐私政策中的内容，个人也没有足够的时间和精力来悉数阅读生活中遇到的每一份隐私政策。因此，期待常人能在知情的前提下根据自由意志决定个人信息的披露和使用方式是不切实际的。
另一方面，个人权利进路难以自然地促使行业惯例向有利于个人信息保护的方向转变。个人信息滥用在一定程度上可归咎于现行的以收集和使用个人信息为基础的互联网商业模式。用户以个人信息为对价交换商品或服务，而经营者通过整合、分析用户的个人信息，精准地投放广告来维持运营。在个人权利进路的逻辑中，如果由保护个人信息产生的边际收益高于相应的边际成本，则自然会出现有利于个人信息保护的制度，即以付费模式取代当前的“免费”模式。然而，个人信息的价值具有低密度性，这导致私人对其个人信息的估价很低。以谷歌为例，为了阻止收集个人信息的行为，谷歌的美国用户愿意支付的费用的中位数仅为20美元/年；同时，近6成的受访者表示愿意在每次搜索时支付不到1美分来保护自己的个人信息。这意味着如果谷歌转型付费模式而不收集用户的个人信息，它最多每年能获得30亿美元，这远低于谷歌目前通过个人信息获得的高达700亿美元的年收入。[ 需要注意的是，用户为保护个人信息而愿意支付的成本是针对所有收集个人信息的网站，并不限于谷歌一家公司。所以，这种情况下单一平台能够获得的收入将少于估算的总额。]所以，在用户的支付意愿没有显著提升的情况下，基于信息收集和使用的商业模式仍将延续。
此外，将个人信息保护权利化的做法容易将私人与社会对立起来，同时未能充分考虑其他社会主体的重要性。个人信息保护首先将影响企业对于个人信息的正常使用。个人信息的收集和使用带来了前所未有的技术创新，而严格限制个人信息的收集和使用将束缚企业进步的步伐。有鉴于此，在信息技术发达的美国，法院对于个人信息保护的主张持谨慎态度。例如，在德怀尔诉美国运通案（Dwyer v. American Express Co.）中，法院认为美国运通将持卡人的姓名出售给商家的行为“没有剥夺持卡人对其姓名所享有的经济价值”。在索雷尔诉艾美仕市场研究公司案（Sorrell v. IMS Health, Inc.）中，美国联邦最高法院因佛蒙特州限制销售、公开和使用就医信息的法律侵犯了医药公司等机构的言论自由，故宣布该法律违宪。此外，个人信息保护在某些情况下还与安全、新闻自由等社会所珍视的价值相冲突。过分强调个人信息保护的私人属性反而将它置于社会利益的对立面。
综上所述，面对日益复杂的信息技术，私人不一定其个人信息最好的守护者，而个人权利进路也不能为个人信息保护提供坚实的理论基础。将个人信息保护作为一项个人权利的做法过分强调了个人信息保护的防御性价值，却忽视了个人信息对于社会发展的积极作用。因此，我们需要一个新的理论来诠释个人信息保护。