新媒体环境下隐私保护法律问题的研究成果

单纯的互联网技术本体是中立的，技术所追求的功效既无所谓善，亦无所谓恶。但技术的运用则必然涉及善恶问题，价值准则第一性，技术运用第二性，即从善扬恶的技术运用必然要符合价值在先、技术在后的控制逻辑。技术运用有禁区，如果技术开发与运用同人类的根本利益相悖，与人道主义原则偏离，与被社会普遍认可的道德与法规相抵牾，就需要摈弃技术自我决定、不受任何约束的技术至上论或技术自主论。互联网技术运用难免从恶如流，与资本对技术挟持及蓄势不可分割，强大的资本趋利惯性及技术隐蔽性使得诸多规范性约束形同虚设。互联网技术并非不证自明地就能造福于人类，它的促进福利的程度取决于技术运用者在何种程度上自律的能力。一方面，司法实践不乏鼓励互联网技术运用而采取技术中立原则免于追究行为人法律责任的判决；另一方面，倾斜保护技术运用的司法理念却导致了个人隐私与信息保护日益加剧的面临四面楚歌的困境。

（一）技术性风险：故意收集泄露个人隐私信息

没有用户信息的支撑，就没有互联网技术的运用。正是对海量的用户信息的不同目的与手段、不同范畴、不同呈现方式等的挖掘与多次性利用，才使得互联网技术具有市场运用价值。因此，互联网技术天然地与用户个人隐私与信息产生关联，而市场利益至上的商业法则使得这种关联性变成了冲突与对立。

2015年央视的“3·15”晚会首次曝光了手机用户免费使用WiFi对个人信息带来不安全的严峻问题。其实，这只是网络用户在互联网环境下隐私信息被泄露的一个环节，互联网技术对个人信息的劫持是存在于整个技术运用流程的一种普遍现象。互联网连接是一个涉及众多技术端点、设备及服务提供商的合作性节点链条，普通用户所接触的互联网服务是基于浏览器、服务器模式（BS模式），只要是在传统的网络协议HTTP下的明文传输方式（即浏览器与服务器之间的信息传输采用超文本传输协议），用户通过浏览器在网页上的每一次点击，都会经过中间代理服务器、通信服务运营商、公司的网管等一列中间环节，用户的“行踪”在各环节中都可以被“劫持”，只要技术端点的运行主体愿意。而点击的痕迹也同时被网络终端设备的Cookie、浏览器、操作系统等记录。用户搜索过程中，信息“劫持”（无论是DNS还是TCP劫持）的后果可能会出现“偷梁换柱”的跳转，或者代之以广告等，所有使用HTTP协议的站点都存在这一风险。就搜索行为而言，要保证用户信息不被随意劫持，必须使用加密协议HTTPS。该协议对传输的数据进行加密，而加密和解密过程仅在传输数据的浏览器与服务器之间进行。但国内一些网站并未普遍使用HTTPS协议，除了成本因素外，还有一些其他影响要素。证书颁发的认证机构（CA，通常是国外的网络公司）对拟认可的网站需要进行严格审查，有些审查标准对于国内一些网站很难达到，比如互联网政策环境方面的要求，使用HTTPS协议可能会使得政府对网站内容监管难度加大。正是应对用户对个人隐私与信息保护意愿更加强烈的需要，不少涉及链接服务及内容服务的网站采用了HTTPS协议标准。

根据消费者投诉，“手机百度”“百度浏览器”两款手机APP在消费者安装前，未告知其所获取的各种权限及目的，在未取得用户同意的情况下，获取诸如“监听电话、定位、读取短彩信、读取联系人、修改系统设置”等各种权限。作为搜索及浏览器类应用，服务提供商就上述权限并非提供正常服务所必须，已超出合理的范围。基于此，2017年7月，江苏省消费者权益保护委员会就手机APP侵犯个人信息安全问题向北京百度网讯科技有限公司发送《关于手机应用程序获取权限问题的调查函》，要求其就旗下“手机百度”“百度浏览器”两款手机APP存在的相关问题派员前来接受约谈。但是，百度公司仅对该问题作了简单的书面说明，并将权限通知及选择等义务推卸给手机操作系统。在江苏省消费者权益保护委员会多次催促、公开监督下，该企业于2017年11月前来接受约谈。但在最终提交的整改方案中，对“手机百度”“百度浏览器”中“监听电话”“读取短彩信”“读取联系人”等涉及消费者个人信息安全的相关权限拒不整改，也未有明确措施提示消费者APP所申请获取权限的目的、方式和范围并供消费者选择，无法有效保障消费者知情权和选择权。为维护广大消费者的合法权益，2017年12月11日，江苏省消费者权益保护委员会根据《消费者权益保护法》第三十六条、第三十七条第七款、《江苏省消费者权益保护条例》第五十一条第一款以及《最高人民法院关于审理消费民事公益诉讼案件适用法律若干问题的解释》等相关规定，向南京市中级人民法院提起诉讼，请求法院依法判决北京百度网讯科技有限公司停止其相关侵权行为。2018年3月，鉴于百度公司对APP整改到位，能保障消费者个人的信息安全，江苏省消费者权益保护委员会向南京市中级人民法院提出撤诉。

手机APP超越权限获取用户个人隐私与信息并非个别现象。根据腾讯社会研究中心、DCCI互联网数据中心发布的《网络隐私安全及网络欺诈行为研究分析报告》（2017年第一季度），96.6%的安卓应用以及69.3%的IOS应用在获取用户隐私信息，其中25%的安卓应用是在“越界获取”，即读取那些与应用功能无关的隐私信息；常用工具、生活购物、影音娱乐等类别的应用更是越界获取用户隐私信息的高发地带^[13]。而工信部2017年第二、三季度分别对55家手机应用商店的应用软件进行技术检测，结果显示第二季度不良软件42款、第三季度不良软件31款，其中突出问题之一就是违规收集、使用用户信息，体现为未经用户授权，APP自动具有了发送短信、读取短信、查看通讯录、连接互联网、读取定位信息、获取微信聊天内容等权限^[14]。

据2018年5月8日人民网报道，一些第三方应用程序（APP）号称可以“直连央行征信系统”，用户在手机上下载软件就能查询个人征信记录。但近期央行下发的《关于进一步加强征信信息安全管理的通知》（银发〔2018〕102号文，简称“102号文”）则让代查征信APP擅自收集用户信息的违法行为现出原形：这些APP属于未经授权认可的，央行从未授权任何APP提供个人信用报告查询服务，央行严禁接入征信系统。央行征信中心官网首页标有醒目的加粗红字：“安全提示：征信中心未授权任何第三方应用程序（APP）提供个人信用报告查询服务，敬请广大用户注意。”用户在使用这些APP过程中，可能已经泄露了最需要保护的个人隐私。如打开苹果手机的APP商店，用“征信”关键字搜索，就出现10多条号称可以“直连央行征信系统”进行个人征信查询的APP。一款由杭州某信息技术公司开发的名为“征信—个人征信查询”的APP介绍称“直连央行征信，征信报告免费领取”。用户在使用此类APP时，要通过手机和验证码注册，并进行身份验证。在身份验证的过程中，用户需要输入身份证、姓名等个人信息。同时，还要回答一些问题甚至还可能被要求输入银行卡等信息。众多代查个人征信的APP都会要求获取用户手机多项隐私权限，包括位置、电话号码、访问摄像头，甚至包括读取短信和通讯记录等。有用户称，在使用手机号注册后，第二天就接到各种贷款电话。通过这些涉及个人信息的操作，确实可以查询到央行征信报告。征信报告记载了个人通讯方式、住址、婚姻状况、职业信息、银行贷款记录、信用卡透支记录等详细信息。这些最需要保护的个人隐私，却被APP轻而易举地留存使用。所谓的“直连央行征信系统”，也只是APP通过用户自己的信息去央行征信系统查询，APP充当了中介的作用，但个人隐私已经被这些APP劫持。根据央行征信中心数据，目前，企业和个人征信系统只是接入商业银行、农村信用社、信托公司、财务公司、汽车金融公司、小额贷款公司等各类放贷机构。“102号文”要求，严格授权查询机制，未经授权严禁查询征信报告，规范内部人员和国家机关查询办理流程，严禁未经授权认可的APP接入征信系统^[15]。

为适应网络用户不断提高的使用体验需要以及满足用户大量的信息存储之需，云存储服务成为诸多互联网企业所青睐的业务，如百度云所提供的云磁盘存储强调“可靠安全的存储服务”。但百度网盘存储内容并不安全可靠，通过第三方网盘搜索引擎可以获取百度网盘用户的大量照片、通讯录等隐私信息内容。据媒体报道，2017年7月，有微信公众号发文称，百度网盘上大量隐私信息被流出。随后记者在不同的第三方网盘搜索引擎输入例如“照片”“通讯录”“内部文件”等关键词，每一个搜索引擎都有大量相关信息可随意浏览、下载。这些信息既包括一些日常生活照片、知名高校某届总裁培训班的通讯录，还有明确标注着“内部资料注意保存”的政府文件。而一家网盘搜索引擎自称，其为最大的百度云网盘资源搜索中心，“千万级数据量，让您一网打尽所有的百度网盘资源”。媒体记者随机打开一位百度网盘用户在2017年2月份上传的照片，这份名为“2017闺蜜照片”的文件夹共有170多张女性照片，该文件夹的设置为“永久有效”。而在被同样设置为“永久有效”的另一位用户的照片文件夹中，出现了许多衣着较为暴露的女性照片。输入“通讯录”的检索结果则有更为详细的私人信息。其中北京某知名高校第六届“总裁研修班”通讯录中，不仅包括参加该研修班的92位成员的姓名、手机号码、家庭住址、工作单位、邮箱以及每一位成员的照片。在一份上传时间为2017年6月的文件夹中，包括从该银行广州分行、珠海分行、成都各网点到该银行全国科技部高管等十几份不同的通讯录。从公司员工到执行总裁，通讯录收录有他们的职务、座机、地址和手机号码。同样，这份文件夹的有效时间也是“永久有效”。2016年下半年，百度曾发布消息称，百度云用户已突破1 000万，用户上传的文件数量也超过5亿个。百度云目前提供网盘、通讯录、相册等服务。针对此类情况，百度官方给出的解释则为：百度网盘为了保护用户数据安全，避免隐私泄露，在分享文件时，设置了“加密分享”，提示有选择“加密分享”，仅限拥有密码者查看。而部分用户还是会选择“公开分享”，也有明确提示“公开，即任何人可查看、下载，同时出现在你个人主页”^[16]。从百度网盘分享的设置程序来看，百度方面虽已作了相应的提示，除了用户自身的隐私保护意识不强之外，如何避免第三方网盘搜索引擎可以获取百度网盘用户信息，如何避免仅仅设置一个简单的判断题交给用户自己选择，百度云存储在技术方面还有待改进。

自2017年2月起，有多名手机用户反映，其与家人、朋友或同事之间的谈话可能被今日头条APP“偷听”，因为谈话所涉及的话题在隔天就被今日头条及时以相同话题的文章推送，虽然这些用户没有就其所谈话题通过手机进行任何的搜索或浏览相关资讯。用户推测，这种及时性的话题文章推送与今日头条APP利用手机麦克风“记录”日常谈话有关。而用户的怀疑事项也正是2017年8月江苏省消费者协会所举行的“关于手机应用程序侵犯消费者个人信息安全”发布会重点关注的问题之一。省消协法援部工作人员通过现场检测证实，一部手机上装载的100多个APP中，79个应用可获取定位权限，23个可以直接向通讯录上的联系人发送短信，96个可以直接发送彩信，此外还有14个应用可以监听电话和挂断电话。更令人担忧的是，这些权限获取是在不知不觉中完成的。技术检测人员表示：“其实我们现在能看到的这些权限设置，也不是全部的，这只是我这个手机能检测出来的。还有很多手机，消费者完全看不到权限设置，软件就已经自动安装完毕了。”现场检测的这100多个APP应用对于智能手机用户而言并不陌生，如百度阅读、百度输入法、百度浏览器、手机百度、平安壹钱包、蜻蜓FM、爱奇艺、网易支付等。

面对用户及第三方指控“麦克风窃听”，2018年1月今日头条官方头条号在《致广大用户关于授权今日头条使用手机麦克风的说明》中称：除非用户明确点击授权，否则无论哪种手机机型，今日头条都无法获得麦克风权限，无法收到用户任何语音信号。从技术角度看，目前声音信息技术的处理，也远达不到通过麦克风获取个人隐私的水平，其也绝不会在用户不知情的情况下搜集用户隐私^[17]。针对这一回应，有专家表示，理论上APP是能够调用手机麦克风获取音频信息的。有没有被调用麦克风要看用户的具体使用情况，如果用户在说话时这款APP没有常驻后台，那么它就不具备录音的条件。另外还要检查用户说话的时候是不是有其他的APP处在打开状态，因为现在能常驻后台的APP比较多，不能排除嫌疑。2018年1月，工信部网站发布消息称，针对近期媒体报道相关手机应用软件存在侵犯用户个人隐私的问题，工业和信息化部信息通信管理局约谈了百度、支付宝和今日头条，认为三家企业均存在用户个人信息收集使用规则、使用目的告知不充分的情况，要求三家企业本着充分保障用户知情权和选择权的原则立即进行整改。

（二）恶意软件攻击、盗取个人资料

网络经济犯罪以非法获取个人信息并实施勒索、诈骗、盗取钱财为主要类型，由于智能客户端的运用系统的安全标准尚处在初始阶段，通过恶意软件攻破安全防卫脆弱的系统、盗取用户个人关键资料的不法行为在移动互联网环境下变得更为容易与普遍。2017年安卓系统技术漏洞问题引起用户及有关组织及监管部门关注，一种针对安卓手机操作系统的新型攻击软件“应用克隆”被揭开，这种“攻击软件”能瞬间把用户的手机应用系统克隆到攻击者的手机上。攻击者向用户发送一条包含恶意链接的手机短信，用户在自己的手机上看到的是一个真实的抢红包网页，一旦点击，其账户就会被“克隆”到攻击者的手机中。以支付宝为例，攻击者手机上的克隆支付宝账户不仅户名和用户头像完全一致，而且所获权限一致，可以直接进行各种操作。与以往攻击手段相比，克隆软件的隐蔽性更强。如同盗贼想进入酒店房间，过去他需要把锁弄坏，但现在只需复制一张房卡，可以随时进出，并以房客名义在酒店消费。从事网络技术安全的专业人士表示，该类攻击软件是基于移动应用的一些基本特点设计的，该攻击软件几乎适用于所有移动应用。该专业人士经测试显示，“应用克隆”对大多数移动应用有效，在200个移动应用中发现27个存在漏洞，比例超过10%。作为普通用户，对于“应用克隆”的防范只能是被动采取安全防护措施，即对不明来源的链接尽量少点击，不太确定的二维码不要轻易扫描。

多个网络运行安全事项2017年面临被恶意软件攻破的危机，如复杂度最高、感染用户数量最大的木马之一“暗云Ⅲ”2017年6月在数百万用户电脑大量扩散，病毒自动开机启动，被入侵电脑沦为不法黑客发起DDoS攻击的“傀儡”。又如用于保护WiFi网络安全的WPA2安全加密协议2017年10月被不法黑客破解，用户连接的绝大多数WiFi处于易受攻击状态，信用卡、密码、聊天记录、照片、电子邮件等重要信息随时有可能被不法黑客窃取，涉及平台包括安卓系统、IOS系统以及Windows操作系统。再如，2017年11月，潜伏17年的Office远程代码执行漏洞（CVE- 2017-11882）的攻击代码被公开，影响范围包括任意版本的Office软件，任何人都可以利用此漏洞发起攻击，通过钓鱼邮件或网络共享的办公文档诱骗用户点击，如果用户不慎打开恶意文档，电脑就会被黑客远程控制。(www.xing528.com)

侵入家庭防盗监控摄像系统并使得视频资料在网上实时公开，是恶意软件威胁私人生活隐私的又一突出问题。2017年6月，国家质检总局对市场上的智能摄像头进行了监测，在40批样品中，32批存在安全隐患，28批数据传输没有加密，20批初始密码是“弱口令”。在此后国家互联网应急中心的调查中，随机挑选的两个摄像头品牌就存在十几万个弱口令漏洞，极易受攻击。之后，央视曝光了一起家用摄像头遭破解的案例，用户家庭隐私被公开贩卖，用户真实生活被“直播”。2017年8月，浙江景宁县公安局破获一起网上售卖“家庭摄像头”破解软件案，警方查实已被破解的家庭摄像头IP近万个，涉及云南、江西、浙江等地。7月中旬，景宁警方发现有人在QQ群贩卖家庭摄像头破解软件，并在入侵家庭摄像头后拍摄私密视频售卖。专案组调查发现，河北邢台人王某组建5个QQ群，在群里发一些用破解软件拍到的激情视频和视频截图，以不同的价格分别推销家庭摄像头破解软件和IP破解软件。王某还利用该软件入侵家庭摄像头，偷录激情视频存入网络云盘贩卖牟利。警方表示，至少有数十人购买过破解软件，这些人都可能涉嫌非法获取计算机信息系统数据罪。警方查明，王某手中被查出有1万余个包含摄像头品牌、型号、IP地址、账户名和密码的信息，意味着这1万多个摄像头覆盖下的场景已无隐私可言。王某因涉嫌非法获取计算机信息系统数据罪被刑事拘留^[18]。

家庭生活被“失控”的摄像头同步网上“直播”已经成为一种公开叫卖的“生意”。据媒体报道，摄像头账户的价格因场景而分级，一般性的摄像头场景（被称为“普通小台”）即安放在家庭客厅、餐厅、办公室等的摄像头，价格为5—10元；被称为“精品”的资源，则瞄准卧室的床、浴室、按摩院等私密场所，价格从10元到50元不等。那些有年轻女性居住的家庭摄像头账号则更被买家青睐。被偷窥者们往往毫无察觉，除非偷窥者频繁旋转摄像头。2017年6月浙江杭州某姓女主人突然发现安装在家中客厅的摄像头开始异常转动，她手机登录监控APP后发现，除自己之外，还有另一个陌生账户在线。随后，女主人前往派出所报案。同传统的与电脑连接或硬盘存储录像的摄像头不同，市场流行的智能摄像头直接使用WiFi联网，配有移动应用远程查看。用户安装智能监控后只需下载专用的客户端，即可实现远程操控监控。除实时监控及远程操控角度外，许多与智能摄像头搭配使用的监控软件还有录像、录音等功能。名为“刺客”“千里眼”“守望者”等软件下载后经过简单操作，可以扫描到数十个账号密码，输入相应播放软件，实时监控画面随即弹出。从事互联网安全的相关专业人士表示，安全漏洞主要来自技术标准过低，监控摄像头安全隐患主要涉及生产端的粗放生产、云端和集中管理平台的网络安全防护脆弱及应用端弱口令问题，但目前最易出现问题的是应用端弱口令，即摄像头出厂设置时各端口所用账号密码为默认设置的简单密码（如123）或无密码。据国家互联网应急中心观测到的数据，政府、高校及行业单位正陆续建立一些与交通、环境、能源、校园管理相关的智能监控平台，这些智能监控平台漏洞占比达到1.9%。虽然这一占比较低，不过一旦被黑客攻击，遭到泄露的敏感监控视频就可能包括国防安全信息、金融交易信息、商业办公机密等^[19]。

恶意软件攻击网络安全，泄露、盗取个人数据呈现国际化趋势。腾讯安全2018年1月发布的《2017年度互联网安全报告》披露：2017年年初，多家国际知名企业曝出用户私人敏感数据，其中包括全球四大会计师事务所之一的德勤、加拿大电信巨头贝尔公司、知名教育平台Edmodo以及知名云服务商CloudFlare等。泄漏的信息主要为用户的隐私信息、私人账户信息、企业内部敏感文件及公司内往来邮件内容等，波及全球超两亿用户。2017年上半年全球泄露或被盗的数据达19亿条，这一数字已经超过了2016年全年被盗数据总量，其中，仅雅虎一家就达到了30亿条。数据被盗取、泄漏的原因之一即是网络系统遭受外部攻击^[20]。

企业成为恶意软件攻击的主要对象，这些恶意软件包括软件供应链接、勒索病毒、钓鱼邮件APT攻击、DNS劫持等。软件供应链攻击是指在合法软件正常传播和升级过程中，利用软件供应商的各种疏忽和漏洞，对合法软件进行劫持或篡改，从而绕过传统安全产品检查，达到非法目的的攻击。该类恶意软件并不是一种新的攻击类型，但2017年呈现集中爆发的态势。勒索病毒的攻击性及影响后果严重性更为突出，2017年5月，一款名为WannaCry的蠕虫勒索软件袭击全球网络，通过加密电脑文档向用户勒索比特币。至少150个国家、30多万名用户受到攻击感染，包括政府部门、教育、医院、能源、通信、制造业等多个行业，造成损失达80亿美元。中国部分Windows操作系统用户遭受感染，某些大型企业的应用系统和数据库文件被加密勒索。钓鱼邮件APT（Advanced Persistent Threat）是一种利用先进的攻击手段对特定目标进行长期持续性网络侵入的攻击形式。APT目标攻击针对企业内部的个人或团体、伪造包含目标对象相关信息的电子邮件，员工打开附件，显示伪装的正常文件，而该文件在后台释放恶意代码，外联恶意网站并取得联系。外部的APT攻击组织接收到信息后，则会遥控下载更多的恶意组件，并对企业内部网络进行攻击和信息收集。DNS（Domain Name System）劫持，或称域名劫持，指对正常的域名解析请求加以拦截，转而反馈给用户一个假的IP地址或令请求失去响应，导致打开的任意网址指向定制的钓鱼网站或是恶意网站，进而获取用户个人信息。DNS劫持会导致其用户无法正常浏览页面，尤其是访问热度较高的域名被劫持，将直接导致应用业务流程中断，严重损害网站运营效果，也可能导致用户隐私数据泄露。

此外，通过技术手段的网络窃听、监听问题亦日益突出。随着电信科技和网络技术的发展，个人、机构和有关政府部门对个人实施窃听或监听已变得越来越容易。网上不仅到处有售各种手机和网络聊天窃听工具的，近年来更是屡屡曝光私家侦探、商业机构或一些地方部门的窃听和出卖信息的行为，这些无疑是对个人隐私权的伤害。隐私权的一个核心，就是个人信息保密权和通讯秘密权，它是公民维护人格尊严的必要条件。无论何种方式的监听或窃听，都是在当事人不知情状况下进行，是对公民意志和生活的强行介入，尤其窃听触及当事人的家庭或社会关系时，更会给个人带来严重的不安全感。隐私权作为公民的一种基本人权，国家和法律显然有保护义务。监听作为一种侦查手段，最初只有国家安全机关方可使用。由于工作的需要，公安、检察、纪检等部门也开始使用这种手段。国内对于保护公民免于被窃听的法律保护还不完善，即便窃听行为被发现了，也很难诉诸法律。意大利制定了《反窃听法案》、英国有《通讯截获法》、日本颁布了《犯罪侦查中监听通讯的法律》等，制定这些法律的目的，就是为了限制公权力对公民隐私权的伤害，在法律中严格界定了监听实施的主体、适用条件和程序，同时也明确了各种非法监听的法律后果。这些国家的法律，多把侦查、安全机关的监听视为国家的一种刑事强制措施，并对监听设定了严格的司法审查程序。只有对这种公权力进行严格规范和限制，才能保证其不会随意侵害到公民的隐私权。

（三）互联网运营：单方意愿利用隐私信息

2017年8月，腾讯、华为就手机用户数据问题发生争执，双方均主张用户微信聊天记录属于自己。2016年12月，华为推出的荣耀Magic手机基于微信聊天内容可自动加载地址、天气、时间等信息，在不同场景模式为用户提供特选服务体验。但华为想调用微信用户数据时遭到拒绝，腾讯称华为该款手机运行侵犯了腾讯微信数据和用户数据。华为则认为，手机权限获用户的授权同意，这些数据都在本地化处理，不会上传任何个人信息，不存在个人信息泄露问题。而类似的互联网企业之间针对用户数据权属发生纠纷的并不少见，如2017年6月菜鸟、顺丰之间发生的数据接口屏蔽事件。菜鸟于2017年6月通过官方微信发布消息，称顺丰关闭对菜鸟的数据接口，导致用户无法通过淘宝系渠道查看顺丰订单的物流信息，并要求淘宝买家禁止使用顺丰快递，卖家后台也无法填写顺丰运单号。随后，顺丰称并非自己关闭数据接口，而是菜鸟率先发难封杀丰巢。菜鸟希望丰巢提供与其无关的客户隐私数据，丰巢本着客户第一原则拒绝这一不合理要求，导致菜鸟切断丰巢信息接口，并将顺丰从阿里系平台的物流选项中剔除。同时暗指顺丰与菜鸟之争并非接口问题，而是阿里系希望顺丰由腾讯云切换到阿里云。对此，菜鸟回应则称，信息安全不能有任何折扣，菜鸟不会有任何让步，菜鸟并非行业的竞争者，目的是为了提升行业效率，确保信息安全。顺丰亦做出快速回应，顺丰绝不会将用户的隐私数据提供给不相关的平台。

类似的如何占有先机地争夺用户个人信息，在很大程度上构成互联网企业运营的策略及营利模式，但双方说辞均为保护用户的利益和隐私。实际上，无论冲突的哪一方都不是用户个人数据的所有者，不能成为合法的拥有者，用户个人数据属于用户。未经用户的明确授权，互联网企业所掌握的用户个人数据不得进行交易。在明确数据所有权的情况下，无论是网络平台还是硬件方，收集用户数据时就必须征得授权同意。华为称数据属于用户，在手机设置阶段，用户可通过开启和关闭智能服务的选择表示是否同意授权。但该款手机设置阶段的授权协议在所有的APP平台上都适用时，涉及隐私信息保护问题是否需要明细的授权说明？对于具体收集哪些信息、适用用途以及是否与第三方共享，如何给予明晰解释？就目前相关政策与立法还不明了的条件下，对于那些属于个人敏感信息的微信聊天内容，符合多数用户的天然期待，微信运营方应当对其妥善保存、保护，避免其泄露。如果手机APP要访问这些聊天内容并提供相应的智能化服务，应该经过微信运营方和用户的双重授权。

在信息功能与运用处理技术高度智能化且又高度复杂化的语境下，尽管体现主体真实意愿的授权行为本身对于技术外行的用户而言已经变得难以适应，或者说，要求用户对个人数据是否让渡运营者的授权决定能力实际上已经远远超出用户的判断能力，但用户的授权行为无论如何不可或缺。运营者凭借技术优势对用户个人数据的单方意志地占有与处置，不仅放大了授权行为的“应当”与“能够”之间的冲突，而且容易引发侵害隐私信息的权益纠纷。

2013年5月，朱某向南京市鼓楼区人民法院起诉北京百度网讯科技公司。原告诉称，她在家中和单位上网浏览相关网站过程中，发现利用“百度搜索引擎”搜索相关关键词后，在特定网站上就出现与关键词相关的广告。原告对这一过程进行了公证：原告分别在两家网站通过百度搜索“减肥”“人工流产”“隆胸”关键词后，再进入这两家网站时，就会分别出现有关减肥、流产和隆胸的广告。原告认为，百度公司未经其知情和选择，利用网络技术记录和跟踪自己所搜索的关键词，将自己的兴趣爱好、生活学习工作特点等显露在相关网站上，并利用记录的关键词对其浏览的网页进行广告投放，侵害了其隐私权。2014年10月，鼓楼区人民法院做出一审判决，认定被告北京百度网讯科技公司利用Cookie技术收集原告信息，并在原告不知情和不愿意的情状下进行商业利用，侵犯了原告的隐私权，原告要求北京百度网讯科技公司停止侵权的诉讼请求应予以支持。由于原告未能证明精神损害的严重后果，原告要求赔偿精神抚慰金的诉讼请求法院不予支持。2015年6月，南京市中级人民法院撤销一审判决，认定百度网讯公司的个性化推荐行为不构成侵犯被上诉人朱某的隐私权，驳回一审原告全部诉讼请求。对于百度公司利用Cookie技术为用户提供个性化推荐服务行为是否构成侵犯用户隐私权，二审法院在判决中做出如下认定：其一，百度公司收集、利用的是未能与网络用户个人身份对应识别的数据信息，该数据信息的匿名化特征不符合“个人信息”的可识别性要求。百度个性化推荐服务收集和推送的信息终端是浏览器，没有定向识别该浏览器的网络用户身份。其二，百度公司并未直接将数据向第三方或向公众展示，没有任何的公开行为。百度利用Cookie等网络技术向朱某使用的浏览器提供个性化推荐服务不属于《关于审理利用信息网络侵害人身权益民事纠纷案件使用法律若干规定》第十二条规定的侵权行为。同时，个性化推荐服务客观上存在帮助网络用户过滤海量信息的便捷功能，网络用户在免费享受该服务便利性的同时，应对该服务的不便性持有一定的宽容度。其三，针对原审法院认为百度公司没有尽到显著提醒说明义务的问题，二审法院认为，Cookie技术是当前互联网领域普遍采用的一种信息技术，基于此而产生的个性化推荐服务仅涉及匿名信息的收集、利用，网络服务提供者对此依法明示告知即可。百度在《使用百度前必读》中已经予以说明并为用户提供了退出机制，在此情况下，朱某仍然使用百度搜索引擎服务，应视为默认许可^[21]。

与一审法院意见相比，终审判决对互联网技术运用与网络运营模式给予了优先保护。法院认为Cookie技术对用户个人信息与浏览事项的收集与记录行为本身并不违法，而用户在有《使用百度前必读》条款约定的前提下选择了使用百度搜索引擎，视为默许接受依据其个人信息与浏览事项所提供的个性化推荐服务。而这种个性化推荐服务仅涉及匿名信息的收集、利用，不构成侵害隐私权的基本要件，即公开扩散明确而特定的指向。

针对此案最终判决结果，有些学者提出了不同看法，其中涉及互联网服务商使用Cookie软件收集用户信息、推送特定信息广告是否具有侵害用户隐私权的本质特征。质疑文章认为，使用Cookie软件收集的信息包括用户上网轨迹信息和上网浏览器地址，这些信息使得服务商可以轻易锁定特定的人，实现对公民私人生活的精准干涉，完全满足可识别性的要求，构成个人信息。虽然有些用户上网行为发生在公共场所中的终端设备，但更多的上网行为发生于私人终端。服务商使用Cookie软件收集用户的上网习惯，进而达到定向推送商业推广内容的目的，正是基于后一事实的存在。一概否认Cookie软件所收集信息的个人信息属性不具有特定指向性，不符合事实。而且，互联网服务商通过Cookie获得用户搜索关键词信息经过处理后，将特定广告投送到键入搜索关键词的特定浏览器上，终究是对该使用浏览器的特定人的上网行为造成了实际干扰，而上网通常是一种私人行为，具有不受外来干扰的期待^[22]。