大数据时代信息自由利用与隐私权保护的困境与出路*
——以“中国Cookie隐私第一案”为分析对象

郭秉贵

（西南政法大学行政法学院，重庆 401120）

一、引言

当数据信息“升格”为生产要素后，①2020年4月9日发布的《中共中央、国务院关于构建更加完善的要素市场化配置体制机制的意见》第一次将数据作为一种新型生产要素，明确了完善数据生产要素配置的相关举措，强调要推动经济社会发展，必须充分发掘数据价值，实现数据赋能。接下来的关键就是制定规则，既需要进一步明确何为隐私，何为个人信息，又要努力实现数据信息自由利用与信息权益保护之间的平衡。为协调信息自由利用与隐私权保护之关系，《中华人民共和国民法典》（以下简称《民法典》）将“私人生活安宁”纳入隐私权保护范围，进一步丰富和充实了隐私权的内涵，引领隐私权保护进入《民法典》新时代。法律的生命力在于实施，未来还要通过司法实践，真正实现个人信息保护的有法必依。[4]本文以北京百度网讯科技公司与朱某隐私权纠纷案②参见江苏省南京市鼓楼区人民法院（2013）鼓民初字第3031号、江苏省南京市中级人民法院（2014）宁民终字第5028号。（也称“中国Cookie隐私第一案”）为分析对象，从Cookie信息利用引发的信息自由利用与隐私权保护之争出发，通过分析该案的一、二审判决及其论证思路，检视当前Cookie信息利用与隐私权保护之困境，结合《民法典》的相关规定，探索大数据时代信息自由利用与隐私权保护的平衡之道。

二、网络痕迹信息自由利用与隐私权保护之争

（一）Cookie信息与隐私安全

Cookie技术主要用于服务器与浏览器之间的信息交互，在全球范围内被网络服务商广泛采用。其基本原理是建立起用户浏览器与网站服务器之间的联系，当用户利用浏览器访问网站时，网站服务器就会自动发送一个Cookie信息存储于用户浏览器，服务器端对浏览器浏览的网页内容通过技术分析预测出浏览器一方的个性需求，再通过此种预测向浏览器端提供个性化推介服务。③朱某与北京百度网讯科技公司隐私权纠纷上诉案判决书中有对百度网讯公司个性化推荐服务技术原理的介绍，参见江苏省南京市中级人民法院（2014）宁民终字第5028号。对Cookie技术的运作流程进行分解，主要包括两个重要环节：一是对网络浏览信息、痕迹的记录、收集；二是对收集到的信息、痕迹进行二次利用，如精准投放弹窗广告、商业营销等个性化推介。[5]从法律的视角进行分析，前者涉及收集用户网络信息、痕迹的正当性问题，其关键在于是否经过被收集者的知情同意，在“技术中立”的情境下是否会侵害用户的隐私权。后者则直接关涉到信息的处理与利用，具体体现为网络信息、痕迹经技术处理后的定向输出过程，该环节可能危及用户的隐私安全。当然，对Cookie技术的应用应抱以科学、客观的态度，如果没有该项技术，许多互联网带来的便利及一些优质的用户体验将不复存在，但也要正视该项技术应用过程中存在的隐私安全隐患，促进网络痕迹信息的合法、合理使用。本文的探讨正是基于这一前提而展开。

（二）“中国Cookie隐私第一案”

在大数据时代，普通网民究竟还有没有隐私？这也是网民朱某心中存在的疑问。朱某在家中和单位上网浏览相关网站过程中，发现利用百度搜索引擎搜索一些关键词后，会在浏览其他网站时出现与关键词相关的广告推送。朱某对这一过程进行了公证，证明其通过百度网站搜索“减肥”“人工流产”“隆胸”等关键字之后，再进入其他网站时，就会分别出现有关减肥、流产和隆胸的广告。朱某认为，百度公司未经其知情同意，利用网络技术记录和跟踪其搜索的关键词，将其兴趣爱好、上网偏好等显露在相关网站上，并利用记录的关键词进行广告投放，侵害了其隐私权，遂起诉百度公司，请求判令立即停止侵害，赔偿精神损失。以上事实在一审、二审中均得到了认定，但因采取不同的论证路径，两级法院作出了迥然相异的判决：一审法院判定百度网讯公司承担侵犯朱某隐私权的法律责任，而二审法院认为百度网讯公司的个性化推介行为不构成对朱某隐私权的侵犯，驳回朱某全部的诉讼请求。

（三）“Cookie隐私第一案”判决分析

一审判决坚决地捍卫了隐私权。一审法院重点对个人隐私、隐私权、侵权行为等进行了论证，其基本论证逻辑为：隐私权证成——侵权行为认定——侵权责任承担。首先，法院认为个人隐私除了用户个人信息外还包含私人活动、私有领域。朱某利用特定词汇进行网络搜索会在互联网空间留下痕迹信息，展示其上网偏好及需求，一定程度上标识个人私生活情况，属于个人隐私的范围。其次，百度使用Cookie技术收集信息需要保障用户知情权，百度网页虽有说明和提醒的内容，但难以识别并加以注意，不足以保障用户的知情权。再次，Cookie技术本身并不存在侵权问题，但使用Cookie技术收集网上活动轨迹，利用用户隐私进行商业活动，这并非Cookie技术使用的必然结果。在此基础上，一审法院判定百度网讯公司侵犯了朱某的隐私权。面对科学技术发展产生的新问题，一方面是大数据时代互联网企业发展必不可少的Cookie技术，另一方面是Cookie技术应用带来的隐私安全隐患，一审法院大胆探索，论证Cookie信息的隐私属性是其亮点所在。

二审判决旨在实现信息自由利用与信息权益保护之平衡。二审法院与一审法院的论证思路截然不同，其将争议焦点直接聚焦到百度网讯公司的个性化推介服务、Cookie信息的匿名化与可识别性等关键问题上，采取核心争点一一论证的进路。法院认为通过使用搜索引擎形成的检索关键词记录，虽然反映了网络用户的网络活动轨迹及上网偏好，但因痕迹信息具有匿名性，无法确定具体的信息归属主体，因此不属于个人信息范畴。法院坚持“技术中立”的立场，认为Cookie技术运作属于计算机系统内部操作，没有任何的公开行为，不符合利用网络公开个人信息侵害个人隐私的行为特征。此外，法院认定百度网讯公司在《使用百度前必读》中已经告知用户可以通过禁用、清除Cookie信息等方式阻止个性化推介，采取明示告知和默示同意的方式保障了用户的选择权和知情权。在此基础上，二审法院作出了与一审法院截然相反的判决，其判决背后蕴含的理念是对“以部分信息换取便利”持容忍态度，网络用户在免费享受互联网技术服务带来便利的同时，亦应对该技术带来的不便持有一定的宽容度。二审法院意在通过此判决实现规范互联网秩序与保障互联网科技发展之平衡。

三、网络痕迹信息利用与隐私权保护的现状及问题

（一）“Cookie隐私第一案”引发的争论

“中国Cookie隐私第一案”从一审到二审判决的反转引发了广泛的讨论与关注，主要呈现出三种分化的意见。第一种观点支持二审法院的判决，认为利用Cookie技术收集的信息虽具有隐私属性，但不符合个人信息和个人隐私“可识别性”的要求，因而不构成侵犯隐私权。[6]第二种观点反对二审法院的判决，基于对技术本身的工具理性和对技术运用行为的价值理性之间的区分，认为“技术中立”之表象难掩“追逐利益”之实质，尽管个性化推介本质上是由技术所驱动的，但仅凭这点就豁免网络服务商对个性化推荐中的侵权内容承担的责任并不适当。[7]也有学者指出，人们对网络隐私安全的情感需求日益强烈，司法实践应顺应公众的感情需求，适时认定Cookie跟踪在未征得用户同意的前提下收集用户上网信息构成侵犯隐私权。[8]第三种观点则认为两级法院的判决都存在明显不足之处，一审法院不适当地将个人隐私的概念泛化，二审法院没有对Cookie信息是否属于个人隐私作出判断，在理论上混淆了个人隐私和个人信息的概念。[9]尽管三种观点的理由各不相同，但都在一定程度上表明了厘清Cookie信息属性及其与个人隐私和个人信息之间的关系是此类案件裁判的关键所在。

（二）Cookie信息与隐私及个人信息的关系

从上述案件截然不同的裁判思路、各利益相关主体的争议以及理论探讨的多元性来看，对于Cookie信息法律属性之认定尚存在较大的差异性和不确定性。大数据时代，无论是出于对信息的保护还是信息资源的有效利用，难以回避的一个问题是如何处理个人信息与隐私的关系。界分个人信息和隐私的重要目的之一在于区分不同的保护方式，即在不同类型的权益遭受侵害时，为权益人提供不同的救济和保护方式。信息数据化的今天，伴随着互联网科技的飞速发展，个人信息和隐私的形态及观念已经发生了较大改变，突破了范围相对固定的物理空间。一般而言，个人信息更多聚焦于数据信息范畴，隐私不仅包括私密信息，还包括自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动。①《中华人民共和国民法典》第1032条规定：自然人享有隐私权。任何组织或者个人不得以刺探、侵扰、泄露、公开等方式侵害他人的隐私权。隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。“Cookie隐私第一案”一审法院就认为隐私除了用户个人信息外还包含私人活动、私有领域，进而认定百度的侵权行为给朱某的精神安宁和私生活安宁带来了一定的影响。但尽管在判决中对Cookie信息的隐私属性进行了论证，却未能就隐私与个人信息的关系作出进一步澄清。二审法院认为Cookie信息具有隐私属性，但因其与网络用户身份相分离不再属于个人信息范畴，不符合隐私和个人信息的“可识别性”要求，其论证过程中存在隐私和个人信息的含混不清、逻辑反复，亦为理解Cookie信息的属性带来了一定困惑。

由此可见，要完全厘清Cookie信息与隐私及个人信息的关系并非易事。但在《民法典》将“私人生活安宁”纳入隐私权保护范围的契机下，对这一问题的认识也能带来一定启发：理论层面上，隐私权主要是一种精神性的人格权，其财产价值不突出，隐私之“隐”在于不想让私密信息、私人生活暴露于外界，隐私之“私”则在于私生活之安宁不被打扰。生活安宁权与生活秘密权是个人享有的基本权利，也是隐私的主要内容。[10]司法实务中，司法适用隐私权规定时，一般认为具有隐私性质的人格利益，本质上应与家庭和财产安全、私人生活等具有高度的关联性。[11]由此可见，即使是匿名收集的Cookie信息，削弱或阻断了信息数据与个人身份之间的关联性，但由于个性化推介涉及信息数据的再利用问题，因此，即便难以对Cookie信息的属性作出非常清晰的界定，相关主体在利用信息数据开展商业活动时，也不得侵扰“私人生活安宁”。

（三）Cookie信息利用与隐私权保护之困境

正如上文所述，理论界及司法实践中通常以明确Cookie信息属性及其与个人隐私和个人信息之间的关系作为相关案件法律适用的前提，但此种进路可能陷入网络痕迹信息的范围难以明确、网络痕迹信息利用缺乏有效规制、网络痕迹信息自由利用与隐私权保护失衡等现实困境。

1.2 清理的方法可分为割除清理、火烧清理和用化学药剂清理。割除清理可以是人工，也可以用机具，如推土机、割灌机、切碎机等机具。清理后归堆和平铺，并用火烧方法清除。也可以采用喷洒化学除草剂，杀死灌木和草类植物。整地方式分为全面整地和局部整地。局部整地又分为带状整地和块状整地。全面整地是翻垦造林地全部土壤，主要用于平坦地区。局部整地是翻垦造林地部分土壤的整地方式。包括带状整地和块状整地。

第一，网络痕迹信息范围难以清晰界定。以Cookie信息为代表的网络痕迹信息，作为互联网科技发展的产物，无论是出于对隐私权的保护还是信息资源的有效利用，难以回避的一个问题是如何界定此类信息的范围及属性。作为新兴信息种类，在我国具体的立法实践中，目前尚未对网络痕迹信息的范围及其法律属性予以明确规定，此类信息利用与隐私权保护问题更多的是根据社会生活的实际，通过司法实践逐渐加以充实和丰富。司法实践中通常采取的进路是通过界定Cookie信息与个人隐私及个人信息的关系，进而作出是否侵犯隐私权的判决。但在个人信息和隐私的概念内涵存在争议、司法实践中对二者界定不清的情况下，①如在李某与上海映迪贸易商行、中视创艺(北京)影视文化传媒有限公司肖像权纠纷案（上海市青浦区人民法院（2017）沪0118民初6453号）中，法院判定被告映迪贸易商行在其运行的网络平台擅自抓取、保存原告个人信息并对外推送的行为，已构成对原告个人信息权和隐私权的侵犯；陈某某与张某某名誉权纠纷案（广东省珠海市香洲区人民法院(2018)粤0402民初7843号）中，法院认定擅自公开他人个人信息的，侵犯了他人的隐私权或个人信息权。此种进路可能遭遇困境。尽管依据某些特征可以描绘出个人信息与隐私之界限的大概框架，例如个人信息关注的是识别，隐私保护重在保密；个人信息更多聚焦于信息范畴，隐私不仅包括私密信息，还包括私密空间、私密活动；个人信息保护的前提是信息自由流动，隐私的本质是限制信息流动等，[12]但这些界分的标准整体上较为宏观，尚未与作为区分目的的差异性保护规则相对接，从而导致司法实践中对隐私、个人信息的判断甚为模糊。[13]这也使得依据Cookie信息与个人信息及个人隐私之间的关系来界定其本身的法律属性存在一定的不确定性，例如在“Cookie隐私第一案”中一、二审判决的结果完全不同，其后的类似案件中有直接认定Cookie信息为个人信息的，也有引入非个人信息的概念进行更为复杂的区分的（如表1所示）。尽管这些实践在网络痕迹信息属性界定更加精细化方面做出了努力，但一定程度上也导致司法实践中对于Cookie信息法律属性之认定产生了更多的差异性和不确定性，短时间内可能难以形成统一的裁判标准。

表1 个案中Cookie信息法律属性的认定及裁判结果②表1中所统计的信息均来自北大法宝中检索的案例及裁判文书。案例编号分别为：江苏省南京市鼓楼区人民法院（2013）鼓民初字第3031号；江苏省南京市中级人民法院（2014）宁民终字第5028号；杭州铁路运输法院（2017）浙8601民初3306号；杭州市中级人民法院（2018）浙01民终7312号。

第二，网络痕迹信息利用缺乏有效规制。大数据的价值不再单纯来源于它的基本用途，而更多源于它的二次利用。[14](P197)其显著特征在于加工利用信息的综合能力大大提高，通过对碎片化数据信息的聚合、挖掘，综合再现信息主体的整体形象、特征、需求等。相较于信息的收集、记录，网络痕迹信息的二次利用，例如，通过预测用户需求提供大量个性化推介服务更容易侵犯用户的隐私权。以精准投放弹窗广告为例，虽然《中华人民共和国广告法》第四十四条明确规定，“利用互联网发布、发送广告，不得影响用户正常使用网络。在互联网页面以弹出等形式发布的广告，应当显著标明关闭标志，确保一键关闭”。但实际情况是，不少弹窗都把关闭按钮做得很不显眼，有时用户点击后非但不能关闭广告，反而会进入广告页面，越关越多、越关越烦。[15]随着大数据、人工智能的兴起，通过互联网综合分析用户网络行为、整合上网痕迹信息的能力越来越强，弹窗广告精准推送水平越来越高，推送频率和数量大幅度增加，给用户带来极大困扰。[16]在缺乏有效约束的条件下，网络痕迹信息的收集利用和信息保护，几乎全部依靠搜索引擎管理者及互联网企业等信息利用者的自律，肆无忌惮地收集、利用信息可能导致定向广告推介的泛滥，智能辅助下用户众多碎片化信息的聚合和深度挖掘也会使得信息的“可识别性”不断提升，处于无所不在的网络痕迹信息跟踪之中，无异于一种“数据监控”。[17](P161)尽管发布广告作为互联网平台盈利的主要来源是一种常见的商业形式，而Cookie技术与广告的结合也并非天然邪恶，但如果通过Cookie技术收集、利用大量的个人数据信息，通过轰炸式的弹窗广告形成发达的产业链毫无节制地获取利益，在滋扰用户私人生活安宁的同时，也将带来一定的隐私安全隐患。正是在此意义上，有学者直言不讳地指出Cookie技术跟踪侵犯用户隐私已是不争的事实。[8]

第三，网络痕迹信息自由利用与隐私权保护失衡。司法实践中，Cookie信息利用是否合法主要判断标准之一是信息收集是否正当，也即将重心聚焦于是否通过正当途径收集信息。相应地，构建的权利保护体系也是以此为基础，以用户的知情同意作为平衡信息自由利用与隐私权保护的主要标准。为尽可能广泛地获取信息，互联网平台隐私政策的设置往往比较隐蔽，用户有时并没有意识到自己已经同意了他人知晓其隐私，比如浏览某些网站需要同意其隐私条款才能继续进入，而权利人并没有仔细阅读具体条款，为了进入网站点击了同意，因而呈现出不完全真正意思表示的知情同意。[18]此种情形下，面对资金、技术实力雄厚的信息利用者以及设置较为隐蔽的隐私权保护条款，仅仅依靠用户的知情同意远远难以达到信息自由利用与隐私权保护相平衡的程度。显然，相关立法及司法案例中逐步确立的“信息收集——知情同意——自由利用”的模式更有利于互联网平台信息的自由利用，也即只要互联网平台通过正当途径收集信息，自由利用信息便不会被认定为侵犯用户隐私权。①信息利用满足最基本的两个条件即可：一是从规则公开方面来看，网络经营平台已向用户公开了涉及个人信息、非个人信息收集规定的《法律声明及隐私权政策》；二是从取得用户同意方面来看，网络经营平台在其用户注册账号时通过服务协议、法律声明及隐私权政策的形式取得了授权许可。在该种模式下，用户一键同意隐私政策后交付所有，再无抵抗之力，但互联网的弹窗广告一键关闭后却可能卷土重来，用户的弱势地位可见一斑。[19]在Cookie隐私第一案中，百度网讯公司就声称其在网络上公示了搜索引擎平台隐私权政策，取得了用户的默示同意，自由利用Cookie信息（甚至是包含“隆胸”“人工流产”等涉医疗类比较敏感的信息）精准投放相关广告并不侵犯隐私权。当前，知情同意模式的困境在于虽然保证了信息收集的正当性，但却难以顾及信息处理、利用过程中可能引发的潜在侵权风险，从而难以真正实现信息自由利用与隐私权保护的有效平衡。

四、大数据时代隐私权保护的进路选择

互联网与大数据技术的发展，使得个人信息的收集、利用与共享变得较为容易，科技的进步以及社会的发展不断扩充隐私的内涵，与此同时，新的隐私侵权行为方式和类型也不断出现。《民法典》与时俱进，在人格权编中对“隐私”的定义再做完善，增加“维护私人生活安宁”的规定，使维护私人生活安宁、排除他人非法侵扰成为隐私权的一项重要内容，加强了对隐私权的保护。以私人生活安宁为出发点，在互联网较为发达的现代社会，网络安宁也非常重要。时下，网络科技创新已成为互联网经济增长的一个强劲动力，如果完全禁止Cookie技术跟踪，将会对互联网经济的发展产生较大冲击，可能会抑制互联网科技的发展，但如果完全秉持技术中立的观点，仅辅之以信息收集的知情同意作为平衡信息自由利用与隐私权保护的标准，精准营销、弹窗广告背后潜藏的巨大商业利益，将会驱使信息利用者不断采用新技术对用户网络行为进行跟踪，继而采用频发弹窗广告等形式，滋扰、破坏私人网络安宁。基于此，如何妥当平衡二者之间的关系，成为当前亟待解决的问题。

（一）理念转变：隐私权保护的是人而不是类型化的信息

“Cookie隐私第一案”一、二审判决的关键在于对Cookie信息法律属性的认定。然而在大数据时代各种不同种类的信息边界日益模糊，明确界定其概念和范围变得愈加困难，以Cookie信息的定性作为法律适用的前提与边界，采取不同的判断标准可能会给司法实践带来一定的混乱。退一步讲，即使对其进行明确界定，是否就一定能够有效平衡信息自由利用与隐私权保护之关系呢？当注意力过于集中在网络痕迹信息属性认定及其与个人隐私和个人信息的关系时，问题的表述方式可能存在一定的误导性：从抽象的角度来看，这种决定某一特定类型信息是否受到法律保护的努力转移了人们对实质问题的注意力。因为，隐私权保护的是人，而不是某种特定类型的信息。

事实上，大数据场域中侵害隐私权的风险并非仅源于数据信息的收集、加工环节，更多的是来自其后的二次利用环节。因此，大数据时代隐私权的保护需要转变理念：法律对隐私权的保护应更多地关注信息处理、利用行为可能侵犯隐私权的风险，而不是仅将重心聚焦于信息类型的定性或信息是否通过正当途径收集。在遭遇现实困境的情况下，需要突破对网络痕迹信息定性的路径依赖，重视对信息利用环节的规制。关注重心和焦点的转移并非意味着信息收集环节的知情同意不重要，而是从个体应当有“一系列完整的信息权利”[20]这一角度出发，将法律规制的重心置于网络痕迹信息自由利用引发的风险之上，形成涵盖信息收集、处理、利用等不同环节的权利保护体系，以应对当前所面临的数据信息边界日益模糊、知情同意模式保护力度不足、信息自由利用缺乏有效规制等挑战。当然，为保持法律规范的明确性和可预见性，在立法和司法实践中逐渐明晰不同信息类型的概念内涵也很重要，这种持之以恒的努力不应被摒弃。

（二）进路选择：私人生活安宁是大数据时代隐私权保护的现实需求

在互联网较为发达的现代社会，私人网络安宁、通讯安宁等尤为重要，而这些应当成为私人生活安宁的题中应有之义。为适应互联网、高科技发展的需要，《民法典》人格权编中引入了私人生活安宁，对侵害私人生活安宁的各种行为作出了规定，其核心功能在于维护个人私人生活的安宁，保障个人的私益。虽然《民法典》并没有单独规定私人生活安宁权，但从解释上看，实际上是将个人生活安宁权包括在隐私权之中的，[21]随着网络信息技术的迅速发展和普及，社会生活逐步进入互联网时代，网络成为人们现代生活交往、互动联系的重要媒介。在提供便利的同时，电话骚扰、网络垃圾广告的骚扰等越来越多地影响人们的生活，严重影响人们的通讯安宁，[21]推销商品或服务的商业性骚扰也直接影响私人生活安宁，[22]通过电子媒介侵入和骚扰他人私人空间已成为司法实践中较为常见的侵犯私人生活安宁的情形，亟需法律予以规制。

在现代社会，赋予个人享有生活安宁权是隐私法的重要功能，[23](P53)法律保护私人生活安宁意味着个人对其私人生活享有不被干涉、不受打扰的权利。“Cookie隐私第一案”一审法院认为个人隐私除了用户个人信息外还包括私人活动、私有领域，判定百度的侵权行为给朱某的精神安宁和私人生活安宁带来了一定的影响，侵犯用户隐私权，这一判决具有一定的前瞻性，但遗憾的是其并未就Cookie信息自由利用与私人生活安宁保障问题予以充分论证。在《民法典》将私人生活安宁纳入隐私权保护范围的引领和推动下，将视野回归到信息主体的权利保障，重新审视信息自由利用与隐私权保护相平衡的问题，是突破当前网络痕迹信息自由利用与隐私权保护之困境一个可能的进路，可以为我国司法实践中有关网络痕迹信息过度利用，侵害私人生活安宁的案件提供明确的裁判指引。

（三）利益平衡：网络痕迹信息自由利用与隐私权保护的核心内容

网络痕迹信息自由利用与隐私权保护相平衡的前提是坚持权利保障的底线思维。当技术力量、资本力量都在为大数据而兴奋时，大家首先做的都是迅速、大规模地收集信息，但却忽略了一项重要原则：不能保护信息，就没有资格收集信息。[24]也就是说，隐私权保护的底线是不能基于任何考量而被牺牲的。长期以来，有一种观点认为“个人信息保护的利益，在面对国家安全、促进效率与企业发展的需要时，常常会被牺牲掉”。[25](P8-10)随着互联网科技的快速发展这种权利保护与科技创新对立冲突的观念似乎在不断加强。有时，信息保护与创新之间的张力显现于外，但更多时候，这种张力隐含于对个人信息不受约束的采集与处理过程中。[26](P173)在冲突论观点的影响下，这种张力无疑会增加信息主体和信息利用者的利益冲突，加剧信息主体与信息控制者之间的紧张对立关系，难以有效增进他们之间的互信。[27]相较于资金、技术实力雄厚的信息利用者，信息主体处于较为弱势的地位，这种对立关系可能会令互联网企业以牺牲信息主体的隐私权为代价换取利润最大化。要实现信息自由利用与隐私权保护之平衡，首先需要理顺权利保护与信息自由利用的关系。第一，必须承认隐私权保护和互联网企业信息自由利用都非常重要，是推动科技创新和法治社会发展必不可少的两个方面。第二，不能一味地追求网络痕迹信息的充分利用或是对隐私权的最强保护，亦需协调技术的发展以及其他同样值得兼顾的价值，应在不同的政策目标之间寻求适当的平衡。[28]第三，在坚持隐私权保护的底线之上，努力实现数据信息充分开发利用的目标。

要改变当前互联网信息自由利用与隐私权保护失衡的现状，除了关注信息收集的知情同意，更需要关注信息利用是否合法、合理，能否符合个人的合理期待以及是否会对个人的私人生活安宁产生影响。在信息收集阶段，尽管匿名收集的信息不一定会识别到特定个人，但大数据时代存在可能被识别的风险。因此，互联网企业等信息收集者应充分保障个人的知情权和选择权，公开收集信息的规则，明示收集信息的目的、方式和范围等。同时，信息的收集应当符合消费者的合理预期，应当给予消费者以拒绝信息收集的权利，避免秘密和不合理的收集。[29]当然，不能仅以知情同意作为信息自由利用的唯一条件，需要在信息的利用阶段确立隐私的合理期待原则①“隐私的合理期待”标准，源于美国联邦最高法院在1967年的卡兹诉美国一案（Katz v.United States，389 U.S.347）中作出的里程碑式的判决，主要考察行为的三个方面的要素：监视发生地、监视行为的侵扰程度、监视的对象或性质。作为限定条件。合理期待原则有两个方面的要求，一是个人表达出对隐私的实际（主观）期待；二是这种期待是能够为社会所承认为合理的。显然这两个要求是比较原则的，需要法官在个案场景中进行解释和发展。除此之外，美国学者在讨论隐私保护时提出了著名的“场景理论”，认为隐私保护的边界并非固定、僵化和非此即彼，而是应依据场景的不同，遵守不同的动态规则，以应对在不同场景中出现的不同因素。[30]裁判者需要综合考虑多个要素以及由这些要素相互作用形成的整个场景，以此决定隐私权保护程度的高低。

以合理期待原则作为判断标准，在Cookie隐私案中，相较于一般的数据信息，“隆胸”“人工流产”等涉医疗类较为敏感信息的二次利用可能给个体带来更多困扰。因此，即使个人授权网站收集其所有网络行为信息，也应当限制网站对此类敏感信息进行个性化推送，[16]明确量身定制弹窗广告的底线。对于广告推送的数量和频率，接收者明确表示拒绝接收弹窗广告的不得重复推送，不被打扰是私人生活安宁的基本内涵，这就要求弹窗广告推送严格遵循“禁止即停”原则，难以禁止的弹窗、贴边等广告形式必然是侵权、违法的。以场景理论为指导，在具体个案中亦需要赋予法官一定的自由裁量权，以实现个案公正。总之，通过保障信息收集的知情同意、信息利用的合理期待，明确弹窗广告禁止即停的基本原则，限制敏感类信息的个性化推介等，可以为大数据时代信息自由利用与隐私权保护之平衡勾勒出一个粗略框架。当然，网络痕迹信息自由利用滋扰私人生活安宁的具体范围、种类、程度等问题，仍有待在理论探索和司法实践中渐进突破。

五、结语

万物互联的时代，与个人相关的碎片化信息，广泛存在于网络和现实世界中。伴随着互联网所带来的社会形态的变化，人们在互联网上留下的信息、痕迹变得具有法律意义。让渡和分享部分数据信息让人们享受到了远超从前的生活便捷，但在便利的背后，隐私权保护却也面临着前所未有的挑战。透视“Cookie隐私第一案”中Cookie信息利用与隐私权保护之争，其背后更深层次蕴含的是如何有效平衡网络痕迹信息自由利用与隐私权保护之关系。除Cookie技术外，时下正逐步发展并推广的网络信标、图像像素等其他类似设备识别技术，想必也同样会给隐私权保护法律实践带来一定的挑战。面对科技发展产生的新兴信息类型，通过完全明晰其范围及法律属性进而实现信息自由利用与隐私权保护之平衡可能会遭遇一定困境。要走出当前所面临的困境，需要实现理念的转变，明确隐私权保护的是信息主体而不是某种特定类型的信息，选择“私人生活安宁”作为大数据时代隐私权保护的一个突破进路，坚持权利保障的底线思维，协调科学技术的发展以及其他同样值得兼顾的价值，在信息自由利用与隐私权保护之间寻求动态的平衡。