2018年3月18日，北京市律师协会民法专业委员会组织了”互联网企业对隐私信息的确认和保护研讨会”，与会人员包括法官、律师、高校学者、互联网企业等。研讨会通过案例研讨对隐私信息的确认及保护原则进行各方观点的交流与探讨，旨在促进我国互联网行业对个人隐私信息保护的进步。研讨会针对个人信息保护的司法救济、互联网企业应如何获取及使用个人信息进行了研讨。
　　【案件基本情况】
　　2014年庞某须到四川庐州出差，委托其助理通过“去哪儿网”购买东航机票。购票后第二天，庞某接二连三收到诈骗短信称东航将取消该航班。后经电话求证，东航表示该航并未取消（后该航班因其他原因而取消）。庞某因网上购买机票而遭到个人信息泄露，故将去哪儿网公司与东航诉至法院，要求二被告赔礼道歉并赔偿精神损失。
2017年3月27日，北京市第一中级人民法院对庞某与北京趣拿公司、东方航空公司隐私权纠纷案做出终审判决，认定二被告侵犯了庞某的隐私权，支持了庞某提出的赔礼道歉的诉求，驳回了赔偿损失的诉求。
　　一、个人信息保护的案由选择
　　与会者一致认为，个人信息受到侵害时应当得到救济，但司法救济过程中的首要问题是个人信息受侵害后诉至法院的案由选择。不同于个人隐私，个人信息是社会交往中须向外公示的信息，诸如姓名和手机号等信息。因此，个人信息受侵害后选择什么案由起诉至法院是需要进行研究的问题。
　　有观点认为，2011年最高人民法院关于民事案由规定了14大类43个小类具体422个民事案由，其中第一个就是人格权纠纷，但与个人信息保护相关的具体案由仅一个隐私权纠纷，因此，当事人选择隐私权纠纷作为案由是适当的。
　　同时，另有观点提出，依据司法实践中对消费者权益纠纷案件的审理，个人信息的保护也可依据《消费者权益保护法》第14条之规定，即消费者在购买、使用商品和接受服务时，享有人格尊严、民族风俗习惯得到尊重的权利，享有个人信息依法得到保护的权利。同时，该法第29条也规定经营者对消费者个人信息的保护包括经消费者个人同意对其信息的收集、利用和处理等内容。
　　二、个人隐私信息的确认
　　在互联网时代，个人信息的公开及使用已经成为数字化生活不可或缺的组成部分。在海量信息中，哪些信息属于个人隐私信息，与会者提出了不同的观点。
　　有观点认为，个人信息系整体性的信息，由若干子信息构成，只要若干信息中有一个是个人隐私信息，当其他信息与该隐私信息相结合，便可从整体上确认为个人隐私。研讨案例中，庞某被泄露的信息包括姓名、手机号、行程安排等。根据司法解释已经明确行程信息是可以作为隐私来保护的，航程信息属于行程信息的范围，因此即便庞某的姓名和手机号不是个人隐私，但是被泄露的信息整体上也应该归属于隐私的范围。
　　有观点认为，个人信息和个人隐私存在一定的差异和重合之处。个人信息强调的是个人指向性，只要信息能够指向个人，与个人相关联，能够识别到个人的，均属个人信息。而个人隐私属于另一层面的概念，即不愿意公开告诉他人的信息，强调的是信息的私密性。诚然，个人隐私中的很多内容都属于个人信息，但也有不属于的，比如一些个人信件，虽为隐私信息，但并不能独立指向个人，因此不属于个人信息。个人信息与个人隐私属于两个不同维度的概念，因此其保护方式也有所区别。个人隐私系法律明确规定的个人权利，在现有法律框架下以个人权利的方式进行保护是毫无争议的。但目前，个人信息尚不属于法律明确规定的个人权利，而仅属于个人利益（除此外个人利益还包括个人尊严、商业价值、公共管理的价值等内容），它的保护方式比较特殊，并非绝对地排他性保护，而是根据物尽其用原则进行保护，将保护和合理利用相结合。
　　有观点认为，个人信息要与民事主体有对应的关系，必须是能够识别为个人的信息。其中需要明确的是识别既包括直接识别，也包括间接识别。直接识别即是通过诸如姓名、电话号码、身份证号码直接对应到个体。包括监管在内的间接识别，如cookie，在消费者登陆网页时，网站为了辨别用户的身份进行跟踪而储存在用户本地终端上的数据，这些信息能否识别为个人信息，目前尚存争议。欧洲的规定是如果cookie信息能够把信息与信息主体对应起来，就将其认定为个人信息。
　　有观点认为，隐私权是指能够识别出个人的，且与公共利益、群体利益无关的私人信息，个人享有对这些信息的获取、纰漏、使用、处置的权利。基于此，个人信息与个人隐私的最大区别在于是否涉及公众利益或群体利益。为了公共利益的需要获取个人信息需要收到正当范围的限制，但目前立法并未对公共利益正当范围进行明确解释。
　　三、隐私信息泄露的举证责任分配
　　当发生隐私信息泄露纠纷时，原被告双方如何对隐私信息泄露事实进行举证是审判中的难点，庞案的一审判决即认为原告未能举证证明被告泄露了隐私信息，二审判决对举证责任进行了重点说明，对此，与会者也提出了不同的看法。
　　有观点提出，根据现有技术水平，难以查明信息泄露发生在哪一环节。因此，应当采取了高度盖然性的证明标准。通过双方的举证，由法院认定被告是否存在泄露信息的高度可能。
　　有观点提出，消费者很难对隐私信息泄露的过程承担举证责任，在个人隐私信息保护的案件中，在消费者进行了隐私信息泄露的初步举证后，应当由搜集和使用隐私信息的企业承担全部的举证责任。
　　四、互联网企业搜集和使用隐私信息的责任边界
　　通过庞案的判决，可以看出互联网企业不可能不受约束的搜集和使用个人隐私信息，但在互联网经济蓬勃发展的今天，互联网企业对隐私信息搜集和使用的责任边界在哪里，与会者进行了讨论。
　　有观点提出，利益平衡是处理此类问题的首要因素。中国互联网企业大多处于起步阶段，若对互联网企业保护隐私信息加以过重的责任，会阻碍我国互联网技术的发展。在以往的案件中，法院之所以没有旗帜鲜明地支持个人信息被泄露一方的诉讼请求，并非基于侵权责任难以成立的考量，更多的是从事情发生的普遍性与互联网企业的负担是否过重角度加以衡量。本次研讨案例的判决也对此内容加以考量，法院仅支持了赔礼道歉的诉讼请求，而驳回经济赔偿部分的诉求。这样不仅判决互联网企业承担了相应的侵权责任，也不至于给企业带来过重的负担，符合比例原则。
　　有观点提出，一个企业的长远发展和其消费者的利益是息息相关的，不能以侵犯消费者的利益为基础，不可让企业过度收集个人信息。一方面，诸如个人姓名、手机号码等消费者在日常生活中广泛应用于网络购物的信息一旦被严格地限制，将阻碍信息化进程。另一方面，企业应当在必要程度下收集个人信息，一旦收集过度将会造成潜在风险。2017年6月1日《网络安全法》生效，对企业获取以及使用个人信息作出了相对明确的规范，要求企业在收集和使用个人信息时承担相应的义务，比如受到合目的性与合法性原则的约束。合目的性原则就是合乎收集信息的使用目的，或者是源于信息收集的目的，而不做扩大的解释。
　　五、互联网企业搜集和使用隐私信息的合规工作
　　在已有司法判决的情况下，互联网企业如何合法合规地搜集和使用隐私信息已是急迫的问题，与会者初步提出了建议。
　　有观点提出，今年5月份即将生效的欧盟《一般数据保护法案》（General Data Protection Regulation，GDPR），提出面对史上最严数据保护法案，中国企业应当积极应对，完善公司内容合规性审查流程。
有观点提出，针对互联网企业如何应对当前国内法律亟待完善，国际法律过于严苛，我国法律界应当建立“正派原则”，即由互联网行业内部主动制定对信息数据的使用规范，防止用户数据未经授权再利用。此原则应该是符合我国当前科技发展水平与消费者维权意愿的行业自治规范。由互联网企业从自律的角度，提出一个行业的标准，既能保护企业对数据的合理使用，又能限制个别企业滥用信息数据的风险。