个人信息，包括姓名、年龄、性别、职业、收入、住址、兴趣爱好等等，涉及到各项人格权利，其中最重要的是隐私。简单来说，隐私是保留个人秘密不被他人知晓、保留个人生活空间不被他人打扰的一种权利。

　　在注重个人价值的西方国家，隐私权早被视为一项基本的公民权利。但在我国的立法中，隐私权并未作为一项单独的权利得到立法保护，最为接近的是民法及相关司法解释中所提到的对于宣扬他人隐私致使他人名誉受到损害时按照侵害名誉权处理的规定。值得注意的是，并非所有的个人信息均涉及名誉，正常情况下公布仅仅与个人身份有关的信息并不会造成个人名誉受到损害——以手机号码为例，一旦泄露，可能会导致你经常接到无良商家的骚扰电话或短信，但并不会损害你的名誉。

　　随着信息社会的到来，个人信息的商业价值日益凸显。很多国家将个人信息保护单独立法，即是保护个人的人格权益，也是保护个人的财产权利。

　　但是，和所有的权利一样，个人信息并不是一项绝对的权利。国家机构为了执行其立法、执法、司法、行政的职能在很多情况下都要采集个人信息。医疗、电信、金融、交通、教育等各种盈利或非盈利性机构为了提供服务也需要采集个人信息。个人为了社交的需要，也会通过不同的方式和平台主动的提供个人信息。我们的户口、身份证、银行卡、淘宝账号、电子邮件、微博哪一项不是个人信息的记录?如果不提供这些个人信息，从大的方面讲我们的社会将无法有序运行，从小的方面讲我们就享受不到这些和我们生活息息相关的服务。我们愿意把个人信息提供给商业机构，从本质上来讲是一种商业交换。个人信息和其他财产一样可以资本化、可以流通，并在此过程中创造经济价值和社会财富。

　　Cookie追踪过程是否程序合法?

　　互联网重塑了我们的现代社会。个人在互联网上的活动产生海量的个人信息。信息流通的方式变得数据化。信息交换的速度也因互联网的存在而几何级增长。各种传统行业因为互联网而改变其传统模式，各种新兴行业也应运而生。第三方数据公司，是传统广告行业链上衍生出来的一个环节。

　　我们每天上网，搜寻信息、联系朋友、消磨时间。互联网理所当然成为一个新的广告投放平台。大的网络平台如Google、百度、雅虎等都有广告位，广告主购买广告位投放广告，并聘请第三方的公司对广告投放的效果进行检测和评价;这和传统的媒体广告运作模式并无本质区别。

　　作为消费者，我们的网上行为和我们的线下行为一样反映了我们的需要和偏好;广告主为了更加精准地投放广告对这种行为模式进行分析，研究我们经常浏览什么网站、搜索什么信息、可能对什么信息感兴趣。这本身也不是一个全新概念，因为传统的媒体广告模式下也有行为主义定向(behavioraltargeting)和用户档案创建(profiling)。例如，信用卡公司通过要求申请人填写完整的申请表格了解持卡人的财产状况和其他个人信息，并通过追踪持卡人的消费记录进一步了解其消费习惯，据此发行适合各类人群的不同种类的信用卡，并与不同商家合作推出各种优惠促销促进持卡人消费。与传统的方式相比，在线追踪只不过是通过信息技术的手段使得信息的搜集和分析更加便捷。

　　“Cookies”就是在线追踪的一种技术手段。Cookie是某些网站在用户访问时通过用户的浏览器所储存在用户电脑里的信息，利用这个信息，网站可以追踪用户的网页浏览活动。许多大的网络平台都装有这种Cookies，目的是为了方便用户对网站的体验和使用，例如我们在亚马逊网站上买书，可以随时把选中的电子书放入购物车，网页会根据我们浏览的项目推荐我们可能感兴趣的项目，在结账时付款信息和邮寄地址栏里会跳出我们之前所填写过的内容——这都得益于Cookies。

　　在网站上投放广告的广告主、营销公司和第三方的数据公司，在征得该网站同意后，也能在网站上设置Cookies，目的是为了实现更精准的广告投放。因为网上采集的海量信息分析需要专业技术，广告主往往依赖于第三方的数据公司。在网络广告和新兴传媒发达的欧美国家，这已经不是什么行业秘密。

　　数据采集方应该增加透明度，给予消费者自愿选择的权利。

　　合法与非法的界限到底在哪?

　　网站、广告行业和第三方数据公司所从事的网上数据搜集和追踪，对消费者来说有利有弊。好处是网站可以据此提供更加方便的用户体验、更加个性化的浏览内容;另外，商业广告也能够更加有效的直达可能产生消费需求的用户群体，这都将使消费者直接或间接受益。弊端是，网站、广告行业和第三方数据公司所收集的信息，如果没有行业自律和法律监管，有可能被滥用，侵犯消费者的隐私权和其他权利。

　　权衡利弊，制定游戏规则才是当务之急。然而，即使是在一贯注重隐私权保护的欧盟和美国，在这方面的立法都还处于谨慎的探索阶段——欧盟去年提出新的《数据保护法案》的草稿，目前尚在审议和不断修改的过程中，最乐观的估计也要今年年底才能定稿和通过;美国到目前为止，尚未专门针对网上数据搜集和保护制定统一的联邦法律，而是主要通过联邦贸易委员会(FTC)从公平贸易和防止市场欺诈的角度进行个案调查，并推动和指导行业协会制定和完善行业自我约束机制;美国出现了Truste等私有网站隐私认证公司，这表明消费者是有隐私意识的，更愿意上Truste认证过的网站，美国是通过私有公司的商业利益诉求来满足监督与供需关系，并不会抹杀市场的创造性。

　　从欧盟和美国的实践来看，目前的立法趋势有以下几点：

　　一、要求数据采集方增加透明度。即告知消费者其数据采集行为、采集的数据的内容及用途，并在某些情况下要求数据采集方向被采集数据的消费者开放其数据。美国FTC在其2012年发布的《消费者隐私保护报告》中还首次提出了关于要求第三方数据中介机构(DataBrokers)向消费者公开身份的建议，FTC建议这些机构创建一个统一的网站，向消费者介绍其所从事的业务并允许消费者浏览其所收集的针对该消费者的数据。但这一措施目前还只是停留在建议的阶段，并没有强制执行。

　　二、要求数据采集方给予消费者自愿选择的权利。消费者可以接受也可以拒绝其个人数据被采集。这与传统的市场理论是一脉相承的，个人数据作为一项财产，消费者应该有自愿交易的权利;个人数据被采集对消费者而言，有利也有弊，理性的消费者均可以自行权衡轻重。值得商讨的实施中的细节——需要怎样的程序和行为来确认消费者的选择?

　　争论的焦点是在消费者不选择的情况下，如何默认消费者是否同意追踪。目前，欧盟的《数据保护条例》的草稿，要求数据采集方获得消费者在知情的基础上自愿作出的明确同意，包括在浏览某一网站时在网站提供的备选框中打钩，但前提是网站在要求消费者打钩的声明中关于数据采集的要求必须清晰、简明且不应不正当地影响或中断网站正在向消费者提供的服务。

　　美国FTC倡导的则是更具可操作性的“DoNotTrack”(DNT)，大致思路就是利用某种技术方式让消费者可以通过浏览器向其浏览的网站发出“别跟踪我”的信号，收到消费者的讯号的网站将必须遵守消费者的选择，停止跟踪。但目前，对于很多技术细节还在热议过程中，包括具体采用什么技术方案来审核(Cookies,HTTP header, 或其他方式)，如何监督网站是否遵守，网站收到DNT讯号后是否还是可以为了定向广告之外的其他的目的保留跟踪和某些Cookies。

　　三、对个人数据视其性质区别对待。欧盟的《数据保护条例》规定只有可以明确指向或可辨识个人身份的信息才属于该条例保护的个人数据的范畴，匿名信息不在此列。FTC的《消费者隐私保护报告》也开宗明义地提到了其仅适用于可以联系到某个特定消费者或特定一台电脑的信息，且同意“如果数据采集人采取合理措施避免身份识别、并承诺不识别也不允许下游的使用者或接收方通过该等信息进行身份识别，则可以不适用报告中的建议方案”。

　　另外，欧盟和美国均区分各类个人信息，并将与健康、性、宗教信仰、儿童等有关的信息视为特别敏感的信息，加以特别保护。对于正规的第三方数据采集方而言，其采集数据的目的并不是为了识别用户个人身份，或是获取敏感信息，而是通过自动化的大数据分析为广告投放提供建议;因此，从行业自律的角度来说，最好的方法就是在收集过程中屏蔽敏感信息，强化数据安全保护，避免无关的人员接触信息并严格禁止任何员工对所接触到的信息进行身份识别。