个人信息与隐私的界分及保护权利——案例法理分析

（一）“上网轨迹”信息的概念及性质

1.“上网轨迹”信息的范围界定

所谓“上网轨迹”信息，并非仅指上述案例中的“关键词”检索记录，而指用户通过网络活动在网络上留下的一切信息，这些信息可以反映个人网上活动轨迹。例如，用户在何时浏览过什么网页，内容是什么，搜索过何物，购买过什么东西，使用了何种软件应用，使用时间多长等。这些信息多呈现碎片化状态，因为目前用户不同的网络活动信息为不同的网络服务商所控制。

由此，可以从两个角度来看待上网轨迹信息，一是互联网用户的角度；二是网络服务商的角度。对用户个人而言，这些信息就像其日常行程一样，比如去过何地，做过何事。由于人们对移动终端的依赖性非常大，生活中的大部分时间都与互联网关联，因此每天都有大量的轨迹信息产生。一旦这些信息能够特定化，那么用户在网上的活动将变得透明化。在物联网时代，甚至整个人都将成为透明的人，一切活动都曝光在网络的“监视”和“追踪”之下。对网络服务商而言，所有用户的轨迹信息都存储于其服务器上，是一个庞大的集合，只有他们才能真正控制和利用这些信息。他们可以通过技术手段将其搜集的庞大信息库与具体的网站、商家或广告商联系，实现巨大的商业利益。这些信息是网络服务商的一笔巨大财富，正如有人说“在信息时代下，得信息者得天下”。

2.“上网轨迹”信息的法律性质

关于上网轨迹等信息的法律性质，理论上仍没有形成一致意见。主要有以下几种不同的观点：

（1）隐私说。关于何为隐私，在理论上有两种不同的认识。一种观点认为，在我国，“隐私仅指那些私密性的信息或私人活动，如个人身体状况、家庭状况、婚姻状况等，个人不愿意公开披露且不涉及公共利益的部分都可以成为个人隐私”。换言之，隐私仅指那些十分敏感且不愿为他人知晓的信息，一旦公开将会对隐私权人造成非常严重的后果。另一种观点又称“大隐私说”，认为在信息社会隐私的概念也有扩大，不仅包括那些敏感的私密信息，一切与私人生活有关的资料都可以归入隐私的范畴，主张通过隐私权来保护个人相关资料，例如德国和美国的立法。在第一种观点下，“上网轨迹”信息只有极少部分属于隐私，不受隐私权的保护。但在第二种观点下，“上网轨迹”信息则几乎都属于隐私，受隐私权的保护。

（2）个人信息说。个人信息又称个人资料，是指个人的姓名、性别、身高、血型、住所、职业、财产及婚姻状况等可以直接或间接识别该个人的资料。多数学者认为关于个人信息的定义应采“识别说”。所谓“识别”即指信息与信息本人存在某一客观确定的可能性，通俗地说就是通过信息能够把本人“认出来”。随着互联网的普遍使用，一般认为互联网上具有识别性的信息也属于个人信息，诸如个人的上网轨迹、上网习惯以及兴趣偏好等。国家工信部颁布的《电信和互联网用户个人信息保护规定》中对个人信息的界定也持此种观点，其规定：“个人信息是指……账号和密码等能够单独或者与其他信息结合识别用户的信息以及网络用户使用服务的时间、地点等信息。”此处的网络用户使用服务的时间、地点等信息就是“上网轨迹”信息的一种。

（3）网络碎片信息说。这一概念其实是个人信息的另一面，在朱某诉百度侵权案中，二审法院法官即持此种观点。他们认为，诸如“上网轨迹”等信息并不具备个人信息的识别性要求。因为“识别性”要求能与特定的自然人相联系，但是“上网轨迹”信息所呈现出来的所谓兴趣偏好、网络习惯等只能与特定的终端设备相联系，并不能真正“识别”终端设备后的自然人。这一类信息仅仅是存储于网络服务商服务器中的大量网络碎片信息而已，网络服务商对其利用也并非针对单独的个人信息，而是作为整体的信息利用。因此“上网轨迹”等信息并不符合个人信息的构成要件，不应将之视为个人信息。同时，既然这些“碎片信息”并不属于个人信息，而其又具有极大的商业价值，那么理应将其作为“一般物”看待。

前两种观点产生分歧的主要原因在于对个人信息与隐私的界分不同。“大隐私说”对隐私做扩大解释，试图将个人信息的保护纳入隐私权的保护范围。“个人信息说”则主张将个人信息独立于隐私单独保护，希望在此基础上确立个人信息保护权，而隐私的概念不做改变，仍指具有私密性的敏感信息。笔者赞同后一种观点，即将隐私和个人信息作出界分，以不同的权利来保护。事实上隐私和个人信息在许多方面都存在不同，个人信息侧重识别性，只要能增加识别对象的资料都可能成为个人信息，并不具有私密性，甚至大多数的个人信息本身都要求在特定范围内公开。而隐私则侧重于私密性，一旦公开就将对权利人造成非常严重的后果，属于绝对不能公开的敏感信息。个人信息的外延远远超出了隐私权的范畴。至于“网络碎片信息说”，笔者认为就目前而言法院的认定并无不妥，但是从发展的眼光来看，这一观点仍需商榷。因为虽然cookie等技术只是将这些信息与笔记本电脑、手机等终端相连，并没有特定化“自然人”。但是随着笔记本电脑的普及和移动智能手机的发展，几乎人人都有自己特定的终端。这些终端设备恰如个人连入互联网空间的媒介，是个人在互联网空间世界里的延伸，特定的终端其实就意味着特定的“个人”。而且一旦能特定化终端，特定化到个人也并非难事。随着互联网的不断发展，尤其是在未来的物联网时代之下，这一特征将会更加明显。因此，我们不能仅因终端与个人的分离就断然认为这类信息不属于个人信息，事实上“朱某诉百度纠纷”的产生也说明了普通用户自己也将“上网轨迹”等信息看作个人信息，从而受到商业化利用的影响。

综上，“上网轨迹”等信息理应归入个人信息的范畴，但由于个人信息本身外延可能包含隐私。“上网轨迹”信息也可能包含隐私的内容，关键看这些“轨迹信息”是否属于不能公开的敏感信息。

（二）“上网轨迹”信息的权利保护类型与权利归属

个人信息既具有人格属性，又具有财产属性，是信息时代下一种重要的存在。个人信息应该纳入法律的保护范围这点毋庸置疑，但应将其纳入何种法律体系下保护则存在不同的意见。只有确定了保护个人信息的权利类型，才能进一步探讨这种权利的归属权。理论界关于这一问题，主要有以下几种观点：第一，将个人信息作为隐私权的客体来保护。这一观点，在前文已有涉及，值得商榷。第二，设立个人信息权来保护个人信息，大多数人都持这种观点。第三，由所有权来保护个人信息的财产属性。下面主要介绍后两种观点：(www.xing528.com)

1.个人信息保护权说

持这种观点的学者认为，个人信息保护权是直接保护个人信息的权利，应纳入人格权的保护体系，对其体现出的经济利益也在人格权的体系下进行保护，因为在现代社会下，人格权也具有很大的财产利益，已经开始被商品化了。法律之所以保护个人信息是为了维护个人的人格尊严和人格平等，保证个人对自己的信息享有平等支配的权利。如果将个人信息权作为财产权，将有损人格的平等性。由于每个个人的社会地位和经济状况不同，因此其信息资料也会有不同的价值，对其的保护程度自然也会有差异。但对个人信息所体现的人格利益本应进行平等保护，不应有任何差异。而且将个人信息权作为人格权已经成为世界各国的立法趋势。个人信息权的核心体现为对个人信息的控制权，又称“个人信息自决权”。这种控制表现为个人有权了解谁在搜集其信息资料、搜集了怎样的信息资料、搜集这些信息资料从事何种用途、所搜集的信息资料是否客观全面、个人对这些信息资料的利用是否有权拒绝，以及个人对信息资料是否有自我利用或允许他人利用的权利等内容。

在这种模式之下，个人信息权自然归属于个人，属于人格权的一种，信息控制者商业化利用这些信息必须征得个人用户的同意，并且尽到足够的说明和提示义务，否则都将成对用户个人信息权的侵犯。

2.所有权说

该说认为，在互联网时代，个人信息具有极大的商业价值，信息控制者采集个人信息并是为了了解个人，而是为了建立庞大的数据库。该数据库所存储的信息既可以与商家合作，将其用于商业广告的精准投放和个性化服务推荐，也可以利用其庞大的个人数据分析某种群体的共性来满足其自身或其他资料库使用人的需要。甚至用于社会服务，例如预测流行病等。所以对于网络服务商等信息控制者而言，个人信息并非针对个人的信息，而是一种“大数据”，不具有人身属性，而具有非常高的价值，可以作为商品利用、出让，为其带来经济利益，本质上是一种财产利益，应由所有权保护。这种观点将个人信息作为有使用价值和交换价值且能为信息控制者控制的“物”来对待，采用所有权的保护模式。但是没有进一步说明个人信息的所有权属于个人还是信息控制者。

笔者认为，上述两种观点皆有道理，他们从不同的角度出发探讨了对个人信息保护的不同模式。对个人信息的保护应综合采用个人信息保护权模式和所有权模式。换言之，应将个人信息中的人格利益和财产利益分离开来，分别由个人信息权和所有权保护。这二者之间并不存在冲突，一个对象可以同时成为人格权和财产权的客体，且由不同的主体分别享有。正如一幅美术作品的著作权，既具有人身属性，又具有财产属性。其人身属性由作者享有，而其财产利益则可由作品所有权人享有。在个人信息保护中，个人对其信息享有个人信息权，属人格权，信息控制者对这些庞大的碎片信息享有所有权，可进行商业化利用。前者体现为个人对信息的“控制权”，即对是否允许互联网服务商收集其信息，作何用途的知情和同意权。一旦用户同意信息搜集者搜集利用信息，则个人信息中的商业价值即让渡给了信息控制者。事实上在许多场合，个人提供信息是其享受互联网服务付出的一部分代价，例如，搜索记录对应的搜索服务、购买记录对应的平台服务，等等。而且对个体而言，个人信息经济价值并不大，也不会有人专门将自己的信息作为财产出卖。后者体现为信息控制者对其合法搜集的个人信息数据库拥有所有权，自己可以将其出让、利用，只要不侵犯用户的个人信息权和隐私权即可。个人信息数据库作为整体是一个巨大的财产宝藏，其财产权基础来源于用户对其个人信息经济利益的让渡。事实上，这些信息本身处于信息控制者的服务器上，也只有信息控制者能够利用。总而言之，对于“上网轨迹”等个人信息，个人对其享有个人信息权，为人格权，主要体现为对个人信息的“控制权”。而信息控制者对其合法搜集的个人信息数据库享有所有权，可以对其进行商业化使用。

（三）“上网轨迹”信息商业化利用的界限

“上网轨迹”信息既是个人信息权的客体，又是信息控制者财产所有权的客体。若这些“上网轨迹”信息还属于个人隐私的话，还是隐私权的客体。正因如此，才会频繁发生个人信息被滥用的情况，才导致实践中许多无法认定的模糊边界问题。既然个人信息的商业化利用已经成为不可阻挡的趋势，那么何不顺应其发展，允许信息控制者合理地利用自己的权利。但是在其商业化利用这些个人信息时，应为其加上枷锁，划定权利边界。只有如此，才能真正解决个人信息被滥用的问题，也才能对诸如朱某诉百度等案件有一个更好的认定。具体而言，“上网轨迹”信息的商业化利用应注意与两种权利的冲突关系：一个是与个人信息权的冲突，另一个是与隐私权的冲突。

1.与个人信息权的边界

个人信息商业化利用的前提是信息的收集与取得合法，信息控制者只有在征得个人同意后获取的信息才能做商业化利用。这本质上是要保障个人对其信息被搜集以及使用方式的知情权，即个人信息的商业化利用不应侵犯用户的个人信息权。在“朱某诉百度纠纷案”中一个主要的争议点即在于个人对信息控制者搜集和处理自己“上网轨迹”信息的“同意”应为“明示同意”还是“默示同意”。笔者认为，由于上网轨迹信息产生量十分庞大，对其搜集只需采用“默示同意”即可，但对这些信息的处理和利用可以借鉴《信息安全技术公共及商用服务信息系统个人信息保护指南》（GB／Z 28828－2012）中的规定。针对敏感信息，需要取得个人的明示同意，而对于非敏感的个人信息只需取得个人的默示同意即可。但是在默示同意的模式下，要求信息控制者尽到更多的提示义务，不能将这一注意义务转嫁到个人身上，进一步减损个人信息控制权。同样，个人信息的商业化利用应该按照用户所许可的使用方式使用，不应超出用户的许可范围。

2.与隐私权的边界

对于“上网轨迹”信息中个人不愿为他人知晓的敏感隐私信息，即使用户因为默示同意而允许了搜集，也不能将之用于商业化利用。因为隐私的保护模式主要在于事后救济，一旦因为这些信息的商业化使用侵犯了个人隐私，信息控制者则应该对此承担责任，无论其是否取得许可。而且诸如百度公司等信息控制者在其商业化使用“上网轨迹”信息的过程中，完全可以做到对隐私的保护。例如，将诸如疾病、两性等比较私密的检索词或者购买记录等信息屏蔽，不向第三者提供，或者在代码中加入相关的语言，使之不出现于个人的终端上，更好地保护个人隐私。信息控制者在享有“上网轨迹”等信息带来的巨大利益时，也应心存良知，对个人信息的保护担负起更大的责任。这二者之间并没有本质冲突，如此才能实现互联网技术的发展和个人信息保护之间的平衡。