个人网络行为信息的法律规制

引言：寻求写作上的突破？我们特意为您精选了1篇个人网络行为信息的法律规制范文，希望这些范文能够成为您写作时的参考，帮助您的文章更加丰富和深入。

个人网络行为信息也称网络行为数据，是网络服务提供商采取小型文本文件、应用软件开发工具包或实体标签等技术手段跟踪并收集到的用户信息，①包括但不限于网上通信记录、交易记录、搜索历史、访问记录、阅读记录等。智能技术的泛在普适性以及互联网用户数量的逐日激增，催生了海量的个人网络行为信息，它们成为大数据分析的基础资源。虽然个人网络行为信息“已经具备受法律保护之权益或权利的实质要件”，②但对其的过度收集和滥用屡见不鲜，而信息主体对此毫无招架之力。如何围绕个人网络行为信息构筑周延的法律保护体系是值得探讨的课题。

一、个人网络行为信息是特殊的个人信息

个人网络行为信息的汇聚集合，构成了取之不尽、用之不竭的数据资源，是商业领域和公共领域的大数据分析要素。可以说，相较于传统的、静态的个人信息，处于动态变化中的个人网络行为信息更具分析和利用价值。个人网络行为信息虽然伴随着个人活动产生，与个人相关，却因无法直接识别到个人，故而长期未被纳入个人信息的保护范畴。立法上对个人网络行为信息的界定经历了从模糊到清晰的过程。

（一）个人网络行为信息长期游离于个人信息之外

个人网络行为信息是人们在使用互联网服务的过程中自然生成的。自用户接入互联网起，个人网络行为信息就在源源不断地产生，并且在用户“无意识状态下不知不觉地被互联网企业的自动化信息抓取工具所采集”。③一方面，收集个人网络行为信息最为常用的Cookie技术，一般是将个人活动与特定计算机或设备相连，而在搜索引擎等无需用户注册即可使用的场景下，Cookie就不一定能收集到用户的身份信息；另一方面，为了能够对个人网络行为信息进行深度加工利用，信息控制者亦会宣称对其进行匿名化处理。而立法上长期以“识别说”作为个人信息的认定标准，并将经过匿名化处理的信息排除出个人信息的范畴。因此，个人网络行为信息在很长一段时间内未能引起人们足够的重视，也没有被当作个人信息进行严格保护。

（二）欧美关于个人网络行为信息的立法演变

欧盟虽然倾向于对“个人数据”进行宽泛定义，但在个人网络行为信息的定性上仍有分歧。早在1995年欧洲议会和理事会颁布的《关于在处理个人数据方面保护个人和此类数据自由流动的第95/46/EC号指令》明确指出，个人数据是与已识别或可识别的自然人（信息主体）有关的任何信息。④个人网络行为信息完全具备个人数据的上述特征，即与个人相关，可以为识别到自然人提供若干参考因素。然而，成员国法院并未完全认可上述观点。比如，在2017年的PeterNowakv.DataProtectionCommissioner一案中，诺瓦克因没有通过爱尔兰特许会计师协会的考试而提交了查阅与考试相关的个人数据请求，会计师协会以考试脚本没有包含个人数据为由拒绝提供。爱尔兰巡回法院认为，根据本国法律，考试脚本不构成个人数据。爱尔兰高等法院后来将这一问题提交欧洲法院裁决。欧洲法院最终支持了诺瓦克，认为他在考试中提交的答案反映了他在特定领域的知识和能力程度，构成与他本人有关的信息，并且阅卷机能够通过识别号码，准确无误地识别到考生个人。⑤直到2018年5月《通用数据保护条例》（GDPR）出台,欧盟才对个人网络行为信息的法律属性进行了明确。它将“个人数据”定义为“可被识别的自然人的任何信息”，并在前言第30条特别指出，Cook⁃ie标识符等可能会留下自然人的上网痕迹，结合唯一识别信息以及服务器收到的其他信息后，可用来建立自然人个人数据的数据画像并识别自然人。⑥根据这一定义，个人网络行为信息具备识别到自然人的可能性，而只要能够识别到自然人，就应当属于个人信息。美国也经历了对个人网络行为信息的法律属性认识上的转变。个人身份信息是美国信息隐私权监管中最核心的概念之一。⑦很长一段时间，个人身份信息仅局限于和个人姓名等特定标识符联系在一起的信息。照此标准，个人网络行为信息难以被纳入法律保护范围，所以，个人网络行为信息被“数据经纪人”大规模地收集、加工、出售。直到2013年的“谷歌隐私政策案”中，美国加州北部地区法院对用户的浏览记录、搜索记录等行为信息的属性予以明确。法院指出，即便用户没有登录谷歌账户，谷歌也会继续在匿名配置文件中聚合数据，并且Cookie可储存长达180天的搜索记录；当消费者重新登录账户时，匿名的个人信息会自动关联账户，所以用户浏览记录和搜索记录是典型的个人身份信息。⑧在立法层面，于2020年1月生效的《加利福尼亚州消费者隐私法案》（CC⁃PA）率先将个人网络行为信息纳入了个人信息保护范畴。CCPA将个人数据定义为“直接或间接地识别、关系到、描述、能够相关联或可合理地连结到特定消费者或家庭的数据”，其中“间接地识别到”“关系到”“能够相关联或可合理地连结到”等宽泛表述，大大拓宽了个人信息保护的范围。此外，CCPA还通过列举的方式明确将“购买、获得或考虑过的个人财产，产品或服务的记录，或其他采购或消费的历史或倾向等”商业信息，“浏览历史、搜索历史和关于消费者与因特网网站、应用程序或广告交互的信息等”因特网或其他电子网络活动信息，都归入个人信息。⑨

（三）我国对个人网络行为信息的立法转向

我国长期采用“识别说”作为个人信息的认定标准。2012年《全国人民代表大会常务委员会关于加强网络信息保护的决定》规定，国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息。因此，在2013年的“朱烨诉百度案”中，南京市中级人民法院将搜索记录、浏览记录归于“无法与网络用户个人身份对应识别的数据”，认为个人网络行为信息的匿名化特征不符合个人信息的可识别性要求，理由是“这种网络活动轨迹及上网偏好一旦与网络用户身份相分离，便无法确定具体的信息归属主体，不再属于个人信息范畴。”⑩2018年“淘宝诉美景公司不正当竞争案”中，杭州市中级人民法院也坚持同样的观点，即不论行为人性别、职业、区域及偏好等信息是否可以从行为信息中推导得出，行为信息都属于无法单独或通过与其他信息相结合而识别自然人个人身份的脱敏信息。