【即便和本文的主题无关，我仍然想在文章的开头向防疫站疫第一线的医护人员、创造奇迹的建设者和自觉在家隔离的同胞们表示最高的敬意，尤其是一线的医护人员，虽然有人认为这个假期有些无聊，但正是医护人员的无畏让我们还能相对安心地无聊。】

　　这三个念头，第一个想想就好了，但第二第三个念头不止应当想想，而且应当好好想想，因为这两个念头关系到目前大环境下非常严肃的两个网络环境下个人隐私信息法律保护的问题：

　　这两个问题，即便不展开讨论，也能够准确的看出共同的关键词就是“个人隐私信息”和“保护”。而这两个词也是法律分析的关键抓手，尤以厘清“个人隐私信息”的定义最为关键。

　　如前所述，目前法律框架下网络环境中的“个人隐私信息”指向是相同的，但请注意这里说的是“指向”而不是“定义”，“指向”相同意味着受保护的法律权利和个体利益应当是统一的，即任何个人身份信息、互联网活动或利用互联网反映与记录的活动信息都应当活动保护，不因场景的变化或主体的差异而有所区别。但这似乎是一种“应然”，说得再直白点是一种“愿景”和“期待”。

　　在现行法律及其他规范性文件当中，“个人隐私信息”的定义不完全一样，至少包括以下几种：

　　上面罗列的这些规定事实上仅占到现行涉及“个人隐私信息”的规范性文件（包含法律、行政法规、部门规章、行业标准、司法解释）很少一部分。截止2020.2.2可以查询到的现行有效且直接或者间接关系到“个人隐私信息”的规定，至少有70余部。单就罗列上述6部规范中的“个人隐私信息”定义，就足以让人眼花缭乱。

　　属于最高位阶法律且颁布较早的《全国人民代表大会常务委员会关于加强网络信息保护的决定》（序号1，下称“决定”）采取了概括式的定义方式，但并未罗列具体个人隐私信息种类，而之后颁布同位阶法律或者职能部门规章或指导具体行业的国家标准，在沿袭《决定》的部分定义后，还会针对本规定专门调整的对象的不同，相应罗列可能受本规定调整的个人隐私信息种类。

　　上述罗列的序号6国家标准《信息安全技术个人信息安全准则规范》（，下称“安全规范”）虽然在定义部分中没有对概括式描述进行相应“举例”，但是在附录A中罗列了13种个人隐私信息示例。

　　这种位阶往下、内容递进式的立法方式，实际上也是互联网环境变化迅速、产业需求更新频繁的结果，稳定的上位法守住“底线”，立法及修订程序相对简便的下位法则负责“随行就市”。

　　美国2015年发布的《消费者隐私权法案Consumer Privacy Billof Rights ACT of 2015》同样允许具体行业能够准确的通过法案的原则性要求制定具体细则，但是细则应当由联邦贸易委员会（FTC）认证。虽然这项法案目前仍然躺在美国国会半死不活尚未通过，但是相似立法原则反映的是中美共同立法思路背后同样发达的互联网产业。

　　2) 第二类是以上述序号4《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》（下称“网络侵权规定”）为代表，明确将个人隐私包含在个人隐私信息中，但没有对个人隐私信息作出概括性定义；

　　针对当前网络传播内容特点，将个人隐私信息限缩在“你是谁”的范围内，显然已经不合时宜，对此刚刚于2020年1月1日生效的《加利福尼亚州消费者隐私法案California Consumer Privacy Act》对个人隐私信息进行定义时，将“因特网浏览历史、搜索历史、网站交互信息、地理位置数据、音视频内容等”均囊括在内。当然也有的人觉得加州法案过于扩大了个人隐私信息范围。

　　但新技术新需求的出现，导致过于限缩或相对滞后的个人隐私信息定义，给司法实践带来了难题或者挑战，确是不争的事实。

　　网络浏览器Cookie本质上属于记录客户端行动轨迹，以提升客户看网站体验和增加访问便利的一种网络技术工具。那么如果网络服务提供者，利用了cookie记录内容，推送用户非主动选择或索取的信息服务，算不算对个人隐私信息的侵害呢？

　　（2014）宁民终字第5028号案及其一审判决给出了完全相反的答案。案件经过是朱某在某搜索引擎搜索过相关这类的产品字眼，此后朱某浏览其他视频网站时也会在相关网站的侧边广告商弹出其搜索过的同种类型的产品广告，朱某认为搜索引擎不当记录其搜索关键字，并将其兴趣爱好、个人需求显露在网站上，在此基础上所投放广告是对其个人隐私的侵害。

　　本案一审认为cookie信息属于个人隐私，而二审却推翻了这种认定。二审认为cookie信息即便具有隐私属性，但只能指向特定设备，却不一定可以关联到特定个人，而脱离了网络用户身份，无法确定归属主体的信息，则不应当属于个人隐私信息范畴。

　　值得注意的是，二审法院否定cookie个人隐私信息属性所依据的就是上述序号4司法解释第十二条的规定，该规定没有对个人隐私信息进行概括式定义，所示例的个人隐私又不包含网络活动轨迹。在所引用规范先天不足的情况下，期望审判人员依据设备号、IP地址、网络账号名称等内容，能动判定cookie可以指向特定个人，所面临的个体及个案判定差异可能性太大。

　　个人隐私信息到底是财产权还是人身权，关系到在法律上保护方式和商业上应用方式的不同。

　　简单来说就是，若个人隐私信息被界定为人身权的一种，即便其能产生财产收益，但享受主体只能是产生信息的个人，即使将财产收益让渡给网络服务提供者，但网络服务提供者也不能随意交由第三人，因为人身权极强的人身属性要求任何人身权利所产生收益的分享都必须征得权利人的同意。此外，人身权属性也会导致个人信息收益无法继承。

　　更为重要的是，在目前互联网服务主要基于信息流转和授权的情况下，频繁的寻求授权和确认，对于使用者真实的体验来说简直就是灾难。

　　但是，若将人身权界定为财产权，虽然上述财产收益流转和继承问题能得到解决，但似乎完全割裂了个人隐私信息和特定主体之间的联系，随之而来的问题是一方面遭受侵害后能否寻求精神赔偿变得不太确定，另一方面则是切切实实削弱了个人对自身信息的控制。比如目前尚未落定的腾讯诉抖音擅自使用腾讯用户资料一案就是最好的注解。

　　本案的起因是抖音将通过和腾讯正常合作期间所获的的腾讯用户头像、用户关系等，擅自交付给了抖音的关联方多闪使用，为此腾讯对多闪提起了不正当竞争诉讼，而抖音抗辩其使用和转移用户资料完全是经过用户自己的同意。双方掐架正酣，但似乎把享有信息的个人完全晾在一边。导致这种神仙打架、小鬼遭殃局面的原因，部分就归咎于个人隐私信息的绝对财产权化，一旦经过许可后，就默认完整脱离了信息个人的控制，完全沦为网络服务提供者的财产。网络服务提供者为了追求利益最大化，可以独占个人隐私信息收益，包括维权收益。

　　疫情爆发至今已然浮现了不少传播肺炎患者或者活动轨迹的网络信息，这一些信息甚至具体到人名、身份证号码、联系方式和车次航班号等。基于对疫病的恐惧和防护的需要，对疫情的了解当然是应该和必要的，但并不是毫无限制的。

　　事实上按照有关规定法律，即便是为了控制疫情需要，个人隐私信息也不存在任何私自或任意传播的可能，《传染病防治法》仅仅规定了对疫情由有关部门了解汇总情况，同时又严格禁止了有关部门泄漏涉及个人隐私的信息。

　　当然在特别紧急的情况下，包括疫情等突发公共事件中，也并非一概不得披露有关特定个人的任何信息。从程序上来讲，综合《政府信息公开条例》、《信息安全技术个人隐私信息安全规范GB/T 35273—2017》等规定，在下列四种情况下可以公开：

　　2)出于维护个人隐私信息主体或其他个人的生命、财产等重大合法权益但又很难得到本人同意的；

　　3)即便未经本人同意，行政机关认为不公开会对公共利益造成重大影响的，主要涉及与公共安全、公共卫生、犯罪侦查、案件审判等；

　　1)网络安全法的这条规定所调整的主体是网络运营者，并不包含政府机关或其他公权力部门，公权力部门在未经个人同意披露个人隐私信息时可释放的内容边界在哪里，目前并不明确；

　　3)因为特殊原因经过公权力机关完整披露的个人信息，是不是能够其他目的，为网络服务提供放或其他个体使用，在个人隐私信息搜集时“目的限定”的原则，是否也应当适用于依法披露时？这同样找不到答案。

　　上述问题，在目前的法律框架下并不能得到系统性的明确，期待已列入2020立法计划的《个人隐私信息保护法》给出统一和可操作的答案。

　　虽然没经过统计，但是居家最近一段时间内利用互联网采购菜肉和其他生活资料的交易数量一定猛增。包括这些在线购物APP在内的几乎全部应用都已经启用和公示了《用户协议》和《隐私条款》，虽然基本上没有使用者会去仔细阅读，但正是这两个协议详细规定了应用搜集和使用个人隐私信息的途径、方式和用途等内容。

　　对于信息的搜集和使用，以《网络安全法》为代表的相关规范均规定了“合法、正当、必要”的三原则，简单解释就是必须做到个人知情同意、使用目的限定、范围最小必要。但这种原则在目前的网络业态中越发落伍。

　　当下各种应用交叉使用个人隐私信息的情况频繁发生，这种交叉使用包括个人明确许可的（如使用第三方账号登录某APP），也包括个人不知晓的（如购物应用推送最近在其他应用上浏览或搜索过的东西）。我们在享受网络应用带来便利的同时，却似乎从未被征求过是否允许自己的信息不断流动，久而久之可能带来的结果是，若严格按照法律要求落实“合法、正当、必要”，时时弹窗告知和勾选确认，反而会带来对使用者真实的体验下降的不适应。

　　因此，如何与行业发展、用户习惯相适应地、恰如其分地完善“合法、正当、必要”，至少是下位细则应当及时思考和完善的地方。

　　总而言之，现行法律对个人隐私信息的保护尚未达到系统、统一、充分、合适的标准，而对个人隐私信息保护的需求却是真实、迫切、广泛和持续的。对信息泄漏和滥用的“防疫”或许同样要求我们认认真真地对待、久久为功。

　　感谢Burke Moore律师、张嘉文律师助理对本文相关法规的搜集汇总。