原创 范哲 上海市法学会 东方法学 收录于话题#法学257#核心期刊254#原创首发386#上海法学研究172

范哲 华东政法大学硕士研究生。

内容摘要

《第45次中国互联网络发展状况统计报告》指出，网络用户的个人信息保护问题逐渐成为社会焦点问题。然而对于网络活动中产生的个人网络活动踪迹信息即Cookies信息的法律性质，我国目前相关立法中并无直接规定，导致在司法实践中出现认定不一致问题。Cookies信息具备个人信息可识别性特征，可通过直接识别或间接识别联系到具体信息主体，应该纳入个人信息范畴。对Cookies的保护方式不应该采取以往司法实践中“对个人信息采用隐私权保护方式”，应该适用专门的个人信息保护规定。对于识别出一般性的个人信息采用个人信息保护方式，而对于识别出的私密信息，可以借助隐私权的保护方式，对于隐私权没有规定的，进而适用个人信息保护的规定。

关键词：Cookies 信息可识别性 个人信息保护 私密信息 隐私权

根据《第45次中国互联网络发展状况统计报告》（以下简称《统计报告》），截至2020年3月，我国网民规模达9.04亿，与此同时，我国手机网民规模达8.97亿。网民规模人数的不断扩大，这也意味着网络安全隐患不断增多。《统计报告》称，截至2020年3月，遭遇个人信息泄露问题的网民比例达到23.3%。中国有超过五分之一的网民遭遇个人信息泄露问题，这其中还不包括不知晓自身个人信息已经泄露的网民群体。由此可见，个人信息保护问题日趋严峻。有国外学者认为依据“网络自我管辖理论”，不应将传统现实世界的法律制度应用到网络独立领域中。但是，网络并非法外之地，仍需要将现实的法律制度根据网络领域的特征作出调整，从而加以适用现实制度以规制网络活动中出现的种种问题。

大数据时代下，网络服务提供者成为最重要的个人信息的收集者与利用者。就像过去互联网呈指数发展一样，网络活动踪迹信息的使用也是如此。网络服务者如何利用Cookie技术来收集互联网用户的个人信息，现在是争论激烈的互联网隐私问题之一。百度公司与朱某隐私权纠纷案被称为“中国Cookies隐私权纠纷第一案”，虽然该案经过二审已经尘埃落定，但是由该案引起的个人网络活动踪迹信息（以下简称Cookies信息）保护问题——界定Cookies信息的法律性质及其保护方式，仍是一个尚有争议的议题。在大数据时代背景下，维护个人信息权益与促进信息自由是规制网络活动中不可或缺的重要命题，需要对现有的法律观念与规则进行反思。

一、案件事实与法院裁判要点

（一）案件事实

朱烨在利用家中和单位的网络上网浏览相关网站过程中，发现利用“百度搜索引擎”搜索相关关键词后，会在特定的网站上出现与关键词有关的广告。为了证明该过程的真实性，2013年4月17日，朱烨再次重复上述操作时，邀请了南京市钟山公证处对该过程进行了公证。2013年5月6日，朱烨认为，百度网讯公司利用网络技术，未经朱烨的知情和选择，记录和跟踪了朱烨所搜索的关键词，将朱烨的兴趣爱好、生活学习工作特点等显露在相关网站上，并利用记录的关键词，对朱烨浏览的网页进行广告投放，侵害了朱烨的隐私权，使朱烨感到恐惧，精神高度紧张，影响了正常的工作和生活，故诉至南京市鼓楼区人民法院。

（二）法院裁判要点

一审法院认为Cookie技术本身并不存在侵权问题，承认Cookie技术的中立性。首先在关于朱烨的网络活动踪迹是否属于个人隐私的问题上，一审法院认为个人隐私除了用户个人信息外还包含私人活动、私人领域。朱烨利用三个特定词汇进行网络搜索的行为，将在互联网空间留下私人的活动轨迹，这一活动轨迹展示了个人上网的偏好，反映个人的兴趣、需求等私人信息，在一定程度上标识个人基本情况和个人私有生活情况，属于个人隐私的范围。其次，百度网讯公司在使用Cookie技术的同时，收集了朱烨的网上活动轨迹，并根据朱烨的上网信息在百度网讯公司的合作网站上展示与朱烨上网信息有一定关联的推广内容，进一步利用了他人隐私进行商业活动，且该利用并不是Cookie技术使用的必然结果，已经构成侵犯他人的隐私权。

二审法院认为依据《中华人民共和国侵权责任法》与《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》（以下简称规定），判断百度网讯公司是否侵犯隐私权，应严格遵循网络侵权责任的构成要件。首先，百度网讯公司在提供个性化推荐服务中运用网络技术收集、利用的是未能与网络用户个人身份对应识别的数据信息，该数据信息的匿名化特征不符合“个人信息”的可识别性要求。搜索引擎形成的检索关键词记录，虽然反映了网络用户的网络活动轨迹及上网偏好，具有隐私属性，但是这种网络活动轨迹及上网偏好一旦与网络用户身份相分离，便无法确定具体的信息归属主体，不再属于个人信息范畴。其次，百度网讯公司利用网络技术向朱烨使用的浏览器提供个性化推荐服务不属于规定第12条规定的侵权行为。规定第12条强调了“利用网络公开个人隐私和个人信息的行为”和“造成损害”是利用信息网络侵害个人隐私和个人信息的侵权构成要件。本案中，百度网讯公司并未直接将提供搜索引擎服务而产生的海量数据库和Cookie信息向第三方或公众展示，没有任何公开的行为。此外，朱烨也没有提供证据证明自己因百度网讯公司的个性化推荐服务对其造成了事实上的实质性损害。综上，二审法院判决驳回朱烨的全部诉讼请求。

比较一审法院和二审法院的判决观点，法院都认为Cookie技术中立，关键在于网络服务者如何利用Cookie技术收集网络用户的信息以及如何处理用户信息。一审法院认为Cookies信息一定程度上反应用户的个人生活情况，属于个人信息范畴，但是缺乏严谨的论证理由，并未将Cookies信息进行区分讨论，只是模糊地将Cookies信息认定为个人信息。虽然二审法院判定检索关键词等记录不属于个人信息，但是在论证过程中一方面又认为具有隐私属性，另一方面由于“匿名化”而无法识别到个人信息主体，从而否认了个人信息属性。但是无论是个人信息还是隐私，其前提条件都应该是“可识别性”要求，如果某些信息被认定为隐私，那当然属于个人信息。况且，信息匿名化并不代表一定不能识别到具体的个人信息主体。二审法院的法律推理在此发生了变化，从“某事是否是隐私信息”的日常隐私判断转向了“某隐私数据是否具有个人数据识别性特征”的网络隐私判断，尽管夹杂法院对于隐私和个人信息不加区分的认知混乱，却是法院正视网络行为复杂性的重要表现。

二、案件的争议焦点：Cookies信息的法律性质

（一）Cookie的内涵特征与运行机理

无论是个人信息还是个人隐私，都需要讨论的前提条件是“信息识别性”特征，这也是该案二审法院的争议焦点所在。倘若某些信息无法识别具体信息主体，便不会引起私法权益上的争议。在讨论信息识别性特征之前，我们有必要厘清Cookies信息的内涵特征与运作机理，从而能够更加准确地界定Cookies信息的法律性质。另外“个人信息”“个人数据”两个名词，在学界引起较大理论争议，并对其作出了区分。但是笔者在文中并未对个人信息、个人数据作出严格区分，更注重法律保护客体的内涵，个人信息与个人数据可能只是称谓不同，在本文中二者通用。

通俗地说Cookie是一种能够让网站万维网服务数据储存到客户端的硬盘或内存里，或是从客户端到硬盘里读取数据的一种技术。Cookie文件则是指在浏览某个网站时，由万维网服务器的脚本创建的存储在浏览器客户端计算机上的一个小文本文件，其格式为：用户名@网域地址.txt.Cookies文件里经常包含以下信息：发送Cookie的实体名称；客户端的IP地址；Cookie的到期日期；创建Cookie的时间和日期；使用Cookie之前是否必须存在安全的网络连接；用户提供给网站的信息比如用户姓名、电子邮件地址、邮政地址；有关用户浏览习惯的信息等。

总结来看，Cookie技术具有以下功能：第一，识别特定网站的用户，并因此充当“电子身份证”；第二，通知网站服务器该互联网用户先前已经访问，并使服务器能够记住有关该用户的信息；第三，可用于收集有关网站访问者的信息；第四，可用于创建有关用户访问偏好与浏览习惯的配置文件；第五，促进使用网站的便利性和提供用户自定义服务。

存入和访问Cookies信息的过程如下：用户在浏览器中键入希望访问查看的网站，浏览器会从该网站请求发送页面，该网站在收到浏览器请求之后，要么创建新Cookies信息来发送到浏览器，要么使用之前访问过该网址的浏览器计算机上已经创建的Cookies信息。然后，网站会在用户浏览时会不断更新Cookies信息。没有Cookies信息，将会降低用户浏览器访问网址的效率与稳定性，因为用户在访问过程中将需要重复输入这些信息。

（二）Cookies信息具备个人信息识别性特征

网络服务提供者利用Cookie技术收集到的有关用户的Cookies信息，如果要认定其属于个人信息范畴，那么必须符合核心特征即“信息识别性”。正如二审法院在判决中引用的电信和互联网用户个人信息保护规定对个人信息的界定：“本规定所称用户个人信息，是指电信业务经营者和互联网信息服务提供者在提供服务的过程中收集的用户姓名、出生日期、身份证件号码、住址、电话号码、账号和密码等能够单独或者与其他信息结合识别用户的信息以及用户使用服务的时间、地点等信息。”其中条文中的“能够单独或者与其他信息结合识别用户的信息”表明我国关于公民个人信息的界定标准采用识别说。我国网络安全法第76条第5款也是采用的识别说。学理上，识别说的具体标准可以分为直接识别和间接识别，所谓直接识别，即数据信息本身可联系到具体个人，如肖像、姓名、身份证号码、社会保险号码等；所谓间接识别，即根据某一数据，再加上其他数据或者知识，才可将数据联系到具体个人，如性别、爱好、兴趣、习惯等。

直接识别标准相对而言比较简单，识别标准的复杂性反映在网络行为上，即是间接识别与网民匿名的关系，另外间接识别与网络匿名之间关系，概念上无法准确界定，需要在具体实践中充分考虑情景条件而判断认定。杰里·埃伯森总结了许多网络用户认为的网络服务提供者使用Cookies信息过程中存在的问题，其中便有几项涉及网络匿名信息的识别：（1）尽管Cookie中包含的信息是匿名的，但当用户从该特定网站购买商品并提供其姓名，地址和信用卡详细信息时，该网站的经营者不仅知道该用户的互联网地址和购物偏好，还会获取用户的真实姓名、电子邮件地址。运营商可以将该个人信息出售给第三方；（2）一些网站运用其他手段方式将Cookie中包含的匿名信息与个人身份信息进行相识别匹配，从而识别到信息主体，比如美国的“双击（DoubleClick）公司案件”。

双击公司是美国的一家网络广告服务商，在2000年美国电子隐私信息中心就双击公司违规信息收集的行为向美国联邦贸易委员会提起申诉。双击公司首先通过隐私协议告知用户，网站通过Cookie从用户的计算机收集的信息将保持匿名。但是双击公司与一家拥有全国性营销信息数据库的公司合并后，打算将有关网上购买记录、用户名称、地址等匿名信息以及合并后获得的其他个人身份信息进行组合，结果，许多网络用户认为双击公司会利用数据库技术识别匿名信息，从而侵犯了他们的隐私权。

不少大企业——比如谷歌、Facebook和亚马逊——所持有的数百万用户信息的确是可以进行个体识别的。比如谷歌的数据可以让别人了解你的健康问题、性取向或是政治立场。这些信息是可以和用户的真名联系起来的。如果公司将Cookies信息识别到具体的用户，则该Cookies信息会成为个人数据的一部分。例如，在网页使用过程中，如果客户在放置了广告的网站上填写订单表格，则可以将可识别的数据与已存储在Cookie上的现有数据进行联系或合并，并为有关人员提供可识别的个人资料。随着科学技术的进步，已经逐渐使收集的数据信息可以识别到个人，在相对较新的一些有名案例中，已经说明了如何将明显不同的数据链接到可识别的个人，在这些案例中，公开发布了“匿名”数据库，研究人员能够将匿名数据与其他数据库中包含的信息进行关联。依赖匿名化的保密措施在大数据技术手段发展下，已经逐渐显现其功能的局限，日益变得失灵。在信息数据库与识别性技术面前，无论个人信息匿名与否，可以通过识别个人信息而直接指向信息主体，这使得信息主体极易直接暴露在信息控制者之下，从而极易侵害信息主体的权益。

（三）Cookies信息具备人格利益

上文已经提到，个人网络活动踪迹信息具有身份识别性，是利用Cookie技术获取的与特定用户之间具有关联性的信息。

欧盟一般数据保护条例（以下简称GDPR）的价值取向是促进个人信息自由流动与保护人的基本权利与自由，其第一款规定，保护自然人的个人数据处理是一项基本权利。另外，GDPR序言中明确了Cookies信息属于本条例规定的个人信息，即自然人可能与他们的设备、应用、工具、协议等产生的在线标识符产生关联，例如IP地址、Cookie或其他标识符（如射频识别标签）。这些都可能用于创建数据主体画像并对其进行识别，特别是当其与唯一标识符和服务器接收的其他信息相结合时。因此，可以推断出欧盟数据法下，信息主体有权保护其Cookies信息，这属于一项个人基本权利范畴。GDPR将个人数据保护视作一项来源于两项欧盟条约规定的基本权利。欧盟基本权利宪章第8条规定：“人人有权保护与其自身相关的个人数据。”欧盟运作条约第16条也规定了类似的内容，尊重保护个人数据基本权利。欧盟国家认为数据保护的概念源于隐私权，两者都有助于维护基本价值和权利，隐私和数据保护虽然联系在一起，但在世界范围内通常被视为两项独立的权利。

欧盟将隐私权与个人数据保护区分为两项不同的权利，但是也未明确界定二项权利的范畴。相较于国内，个人信息保护是否为一项独立的权利仍有争论。但是民法典强化了对公民人格权的保护，使“人格权”独立成编，并以人格尊严的至高无上为根本出发点，加大了对公民隐私权的保护力度，特别是构筑了个人信息保护的防火墙。分析第四编“人格权”立法体例来看，其第六章规定了“隐私权和个人信息保护”，将个人信息放置在“人格权”之编下，实质上认可了个人信息的人格利益。

通过以上分析，国外立法一般都承认Cookies信息属于个人信息的范畴，不仅由于Cookies信息具备可识别性特征，同时还具备一般性的人格利益。民法典第1034条关于个人信息的定义：“个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息，包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。”考虑到我国民法典已经明确认可了个人信息的人格利益，可以对1034条进行扩大解释，将Cookies信息纳入个人信息范畴中，从而避免司法实践中对Cookies信息性质认定不统一的尴尬境地。

因此，我国在司法实践中应当将Cookies信息认定为个人信息，对其予以保护。在定性清晰的前提下，真正引起争议的是我国目前立法体系如何对Cookies信息进行保护，而这一问题的实质仍是如何选择个人信息保护与隐私侵权保护方式。关于这一问题，笔者将在下文予以阐述。

三、现实困境：我国运用隐私侵权保护模式会产生现实局限性

从百度公司与朱某隐私权纠纷案推断出，司法实践中我国保护Cookies信息采用隐私权保护的模式。但是必须强调的是虽然美国采用隐私权保护的模式，但美国法中的隐私权和我国法律语境下的隐私权并不完全一致。沃伦和布兰代斯发表的《论隐私权》一文，为美国隐私权的内涵奠定了基调。然而随着科学技术和社会观念的发展，冲击了传统的隐私概念和隐私意识，美国联邦最高法院通过司法判例建立所谓的“新隐私权”，包括四种类型——自治性隐私权、物理性隐私权、信息性隐私权、财产性隐私权。因此，从大陆法系的视角来看，美国法上的隐私权利其实是一项有关公民的一般人格权和政治权利的复杂权利体系，混乱而庞杂。而我国隐私权是一个具体人格权，其保护范围要相对明确得多，因此在面对新问题时，其无法像美国法中隐私权那样灵活应对。

（一）Cookies信息并不完全属于个人隐私

根据我国民法典第1032条之规定，隐私是指自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。隐私强调私人生活安宁与私密性。同时第1034条强调个人信息中的私密信息，适用有关隐私权的规定。但是何谓私密信息，私密信息具备何种特征，立法中并没明确规定。但是根据规定第12条的内容“网络用户或者网络服务提供者利用网络公开自然人基因信息、病例资料、健康检查资料、犯罪记录、家庭地址、私人活动等个人隐私和其他个人信息”，将一些个人信息纳入隐私范畴，除条文中列举的上述特殊信息外，其他信息属于个人信息。因此，笔者推断民法典中第1034条的“个人信息中的私密信息”可以指自然人基因信息、病例资料、健康检查资料、犯罪记录、家庭地址、私人活动等信息。

根据上文对Cookies信息所包含内容的分类讨论，可以推断出通过Cookies信息可以识别出一些个人私密信息比如健康问题、性取向、家庭地址等，除此之外还有一些一般个人信息。Cookies信息不仅包含了私密信息，也同样涵盖了一般个人信息，因此对Cookies信息保护采用“隐私权保护”一刀切的做法是不合理的，难以真正保护受侵害的信息主体。真正应该将Cookies信息进行区分，对私密信息可以采用隐私权保护规定，而对一般个人信息可以采用个人信息保护规定。对于“百度公司与朱某隐私权纠纷”，笔者认为关键词搜索记录与上网偏好信息首先具备可识别性特征，属于个人信息范畴；其次是该类信息并不具备隐私属性，并未侵犯到朱某的私人生活安宁；最后虽然不能隐私权侵权责任救济，但是可以适用个人信息保护的规定，比如自然人发现信息处理者违反法律、行政法规的规定或者双方的约定处理其个人信息的，有权请求信息处理者及时删除。

（二）难以认定“实际侵权损害事实”要件

针对个人网络踪迹信息提起的财产权益受侵犯的诉讼，虽然美国采用隐私权保护模式，但是个人信息受侵害一方胜诉的几率较小，主要是由于美国侵权法对于因财产权益受损而获得赔偿设定了较为严格的条件，原告需要证明自身受到了“严重的损害”成为重要的证明标准，现实的难题主要包括：第一，不满足法定的“损害或损失”定义的要求；第二，不满足法定的“损害或损失”数额要求；第三，未能证明受到损失。比如在“DoubleClick案件”中法院裁定，尽管DoubleClick公司未经授权访问了原告的计算机，但后者无法证明他们遭受了至少5000美元的损害或损失。

我国侵权责任的构成要见一般分为：侵权行为、侵权结果、过错和侵权行为与侵权结果之间的因果关系。在利用个人网络活动踪迹信息的侵权案件中，信息主体若要证明实际损害，也并非易事。在“百度公司与朱某隐私权纠纷案”中，二审法院也认定朱某也没有提供证据证明自己因百度公司的个性化推荐服务对其造成了事实上的实质性损害。

笔者认为信息主体难以主张损害赔偿的原因有以下两点：

第一是举证责任的规定，主张损害赔偿的信息主体就必须通过举证证明，但是相较于信息主体与信息控制者的实力能力差距，再加之网络空间下查找损害事实的技术性障碍，往往会使信息主体难以提供实际证据从而证明自身遭受的损害事实；

第二是法院对侵犯隐私权“损害后果”的认定，即是否必须达到相当程度的损害后果？不可否认的是个人网络活动踪迹信息具备财产权益，但以隐私权的侵权损害后果标准适用侵害个人信息的损害后果，恰恰是混淆个人信息与隐私信息的表现。个人信息与隐私信息存在差别，不然民法典也不会将二者分开规定。

（三）作为消极性权利的隐私权无法积极主动保护个人信息

我国立法规定隐私是指自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。隐私权特别注重“隐”，其含义包括两方面的内容：一方面，其是指独处的生活状态或私人事务；另一方面，它是指私生活秘密不受他人的非法披露。与此相应，对隐私权的侵害主要是非法的披露和骚扰。隐私权是一种单独对抗他人不法侵入的消极性权利，强调绝对保护，在该权利遭受侵害之前，个人无法积极主动行使权利；但是，个人信息权则不同，它作为一种积极的权利，在他人未经许可收集、利用其个人信息时，权利人有权要求行为人更改或删除其个人信息，可以排除他人的非法利用行为或使个人信息恢复到正确的状态。

就个人网络活动踪迹信息而言，收集个人网络活动踪迹信息需要获得信息主体的明确同意并且告知使用用途，并且在处理过程中要仅限于告知使用用途，未经信息主体同意，不得将收集的信息泄露或者售卖给第三方主体，违反了以上信息处理要求，信息控制者的行为就应该被认为侵犯个人信息权益的违法行为。

单纯依靠隐私权对个人信息提供全面保护具有现实的局限性，这种局限性来自两者在价值取向上的分歧，前者归根结底还是维护私人生活安宁，而后者注重的是对个人信息这一具体对象的自主支配和处分。虽然在功能上隐私权能够满足一定的现实需要，然而和实际的需求仍有所差距，这些差距是无法单单通过对隐私权的解释得以填补，因为作为一个具体人格权，对其内涵的扩张有其既定界限。

四、出路猜想——个人信息保护方式与隐私权侵权保护方式并存

（一）隐私权客体的隐私和个人信息并不完全对应

作为隐私权客体的隐私和个人信息并不具有完全对应的关系，二者客体具有交错性。隐私是指个人私生活安宁与私密空间不受他人非法的披露与骚扰，而个人信息则是相对具体的，并且隐私也属于个人信息的一部分。个人信息注重身份的可识别性，无论是通过直接识别手段还是间接识别手段，都是以信息的形式表现出来，并且许多个人信息并不具有私密性。在社会生活中，因为个人姓名信息、个人身份信息、电话号码等信息的搜索和公开涉及公开管理需要，其必须在一定范围内为社会特定人或者不特定人所周知，因此，显然难以将这些个人信息归入到隐私权的范畴。另外，相较于隐私披露造成的损害后果的不可逆性，一旦隐私在网络空间遭受披露，其私密性就无法得到回复。而个人信息具备可重复利用的特征，对个人信息的侵害，所造成的损害通常具备可恢复性。

二者在保护客体上的交错性，通常会导致侵害后果上的竞合性，比如随意披露他人私密性的个人信息，可能同时也会涉及对隐私的侵犯。在我国司法实践中，因为法律上并不能排除两种保护对象之间的交叉，法院经常采取隐私权的保护方法为个人信息的权利人提供救济。但是如果是因为侵害后果的竞合性，便会产生多种权利或权益遭受损害的事实，从而引起多种权利救济方式，只是由于竞合情形，应该由当事人选择其中一种权利救济途径，即选择个人信息保护方式或者隐私权保护方式，而不是认定只能通过隐私权的方式提供保护。

个人信息保护法旨在防范对人格和财产的抽象加害危险，构成人格利益和财产利益的前置保护性规范，因此，其和侵权行为法对人格权（尤其是隐私权和名誉权）)的保护不相排斥，而是互相结合，二者遵行的是不同的评价机制。采用互相结合的保护方式，能够更加灵活有效的保护个人信息权益，侵害个人信息保护规则的行为未必一定侵害人格权，是否侵害人格权仍应该依据具体案件情形，依照人格权的保护规则进行判断。

（二）现行民法典规定提供了框架方向

民法典第6章规定了“隐私权和个人信息保护”，将个人信息与隐私权进行并列立法规定，虽然在语言表述上未直接说明个人信息权，但是已明确表述了个人信息与隐私权之间存在差异，保护权益不同，因此对个人信息应该采用专有的保护方式，在司法实践中应该逐渐转变“对个人信息保护往往采用隐私权模式”思维。虽然目前我国没有专门的“个人信息保护法”，但是民法典第1034条至第1039条规定了几项原则性内容，包括处理个人信息要获得自然人同意，自然人可以查阅、更正等个人信息，信息处理者采取措施保障个人信息安全的义务等。

民法典第1039条确定了自然人个人信息受法律保护的重要原则，笔者认为对第1039条的理解应该分为两个层次：第一是个人信息仍适用个人信息保护的规定；第二是对于个人信息其中属于私密信息的，适用隐私权的规定，对于隐私权没有规定的，私密信息可以使用个人信息保护的规定的。因此可以看出，个人信息保护方式与隐私权保护方式并不是相互排斥，而是隐私权保护方式着重适用于个人信息中的私密信息。

对于个人网络活动踪迹信息而言，由于其具备可识别性特征，无论是通过直接识别还是通过结合其他标识间接识别信息主体，应该纳入个人信息范畴，对其采用个人信息保护方式。至于个人网络活动踪迹信息中可识别出的私密信息，可以借鉴《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》第12条所列举的自然人基因信息、病例资料、健康检查资料、犯罪记录、家庭地址、私人活动等，适用隐私权保护的规定，对于其他一般性的网络活动踪迹信息仍可以适用个人信息保护方式规定。

结 语

欧盟一般数据保护条例序言中明确了Cookies信息属于本条例规定的个人信息，并且于2009年修改了电子隐私指令，该指令对Cookies信息的收集使用作出了明确的要求，也被称之为“Cookie指令”。美国目前虽然没有有关个人信息保护的联邦立法，但是2018年加州政府通过的消费者隐私保护法案被认为美国国内当前最严格的消费者数据隐私保护立法，其中将包含Cookies在内的“唯一个人标识符”纳入个人信息定义范畴。因此，无论是在个人信息保护法领域较为完善的美国还是欧盟，都承认了Cookies信息属于个人信息范畴。个人信息保护与信息自由流通问题已经引起全世界社会的关注，对于我国而言，不仅因为Cookies信息具备可识别性这一核心特征，也为了逐渐完善国内个人信息保护程度，应该在立法中明确Cookies信息属于个人信息，防止在司法实践中出现认定分歧的局面。

鉴于个人信息和隐私权二者侵权结果的竞合性，我国司法实践中，因法院经常采取隐私权的保护方法是为个人信息的权利人提供救济。虽然在功能上隐私权能够满足一定的现实需要，然而和实际的需求仍有所差距，这些差距是无法单单通过对隐私权的解释得以填补，因为作为一个具体人格权，对其内涵的扩张有其既定界限。个人信息保护法旨在防范对人格和财产的抽象加害危险，构成人格利益和财产利益的前置保护性规范，因此，其和侵权行为法对人格权（尤其是隐私权和名誉权）)的保护不相排斥，而是互相结合，二者遵行的是不同的评价机制。因此，对Cookies信息而言，一般性的个人信息采用个人信息保护方式，而对于所识别出的私密信息，可以借助隐私权的保护方式，对于隐私权没有规定的，适用个人信息保护的规定。

原标题：《范哲：我国个人网络活动踪迹信息保护模式的困境与出路》

阅读原文