从莱温斯基到毕福剑，从邮件被黑客窥视到snapchat的大规模泄密事件，在互联网可以把任何信息瞬间传遍全球的时代，个人隐私还有没有自由的空间？

　　之前备受争议的百度Cookie隐私权纠纷一案，随着南京中院终审判决尘埃落定。法院认定用户的搜索历史不属于个人信息，然后据此认定“百度收集和利用南京网民朱女士的个人隐私进行商业活动侵犯其隐私权与事实不符”。 隐私与个人信息是否应同等对待？对网络用户个人信息的商业开发是否应被允许？网络用户又是否应享有“被遗忘的权利”？

　　个人信息与隐私很重要的一个区别在于：前者强调个人身份的识别性，但隐私却无需与自然人的主体身份相挂钩，只要这个信息具有一定的私密性，一般就可认定为隐私。所以，两者并不完全重合。

　　之所以要区分隐私与个人信息，主要是因为法律对两者的保护及救济方式不同。首先，虽然某些信息可能不属于个人信息范畴，但如果满足隐私的构成要件，则当事人仍可以主张隐私权侵权的救济；其次，隐私权侵权可以发生在隐私的收集、使用和公开等任何环节，而个人信息侵权只局限于公开环节，如果该个人信息属于隐私，且在收集阶段未取得当事人的同意，那么该行为虽不构成个人信息侵权，仍属于隐私侵权；再者，对于同意的方式，究竟要求明示同意还是默示同意，法律未做区分，通常理解应当是需要明示同意。对于个人信息，只有收集个人敏感信息时才需要明示同意，一般信息的收集只需要获得用户的默许同意。

　　另一问题是：网络运营商将收集到的用户信息用于广告推广等商业目的，是否触犯法律的底线？网络运营商收集和使用用户个人信息，必须遵守必要性原则（即仅收集和使用为实现商业目的所必需的个人信息），并经过用户的同意。至于如何界定“必要性原则”，国内法律尚一片空白。实践中，网络运营商的普遍做法是在隐私声明中将其收集使用个人信息的目的描述成提升产品服务及用户体验，进而为商业行为“洗白”。

　　法律规制的缺位导致对“必要性原则”的解读完全掌握在网络运营商的手中。或许我们可以借鉴白宫近期公布的《消费者隐私法案》：企业在使用、公开个人信息时应当与消费者合理预期的目的相符。这种立法模式不再一味地由网络公司垄断设定标准，更多的强调用户对“必要性”的解读，有利于在用户与网络公司间寻找博弈平衡点，值得借鉴。

　　还有一些情况，譬如第三方网站上存在你不欲为人知的个人信息，公众通过搜索引擎可以找到，这显然不为你乐见。对于这种情况，欧盟法院在最近裁决中认定用户享有“被遗忘的权利”，有权要求搜索引擎从搜索结果中将陈旧的、不完整、不恰当或不相关的信息删除，即使这些结果所显示的信息是真实的。搜索引擎虽然不是该条信息的最初发布者，但其行为已经属于对个人信息的处理行为，用户有权向Google主张“被遗忘的权利”。

　　个人信息一旦放上网络，其传播走向就难受控制，而“被遗忘的权利”实际上强调的是信息主体对个人信息的自主控制权。这一权利一经确认，就得到了热烈响应。截至6月17日，Google已收到近30万笔请求，评估网址近百万，并对其中的四成进行了移除。该权利对谷歌等带来的影响不容小觑，它在大幅增加运营成本的同时，也赋予网络公司自行审查的权利，使其“既当裁判又做运动员”，成为了言论自由与个人隐私权的终局裁判者。此外这一权利也引发会否对言论自由、信息自由及公众知情权造成威胁的诸多争议。虽然《欧盟个人数据保护法令》已将保护言论自由等公共利益规定为行使“被遗忘权利”的例外情形，但究竟如何摆正承载两者的天平还有待观察。

　　大数据时代已经到来，个人信息作为宝贵的数据资源，关乎互联网行业的走势及发展，乃至各种新兴商业模式的整合与重构，但另一方面大数据又紧系信息主体的隐私权和个人尊严等基本人身权利。如何平衡个人信息保护、行业发展以及公共利益之间的关系，这一难题还需要政府部门在法律框架下尽早解决。

来源于 《财新周刊》 2015年第33期 出版日期 2015年08月24日