法律論文：從Cookie看網(wǎng)絡(luò)個(gè)人信息保護(hù)與利用的平衡

法律論文：從Cookie看網(wǎng)絡(luò)個(gè)人信息保護(hù)與利用的平衡

背景鏈接：據(jù)“3·15”晚會(huì)報(bào)道，部分公司利用Cookie收集用戶信息，并據(jù)此精準(zhǔn)投放廣告。例如，某公司自稱能掌握全國(guó)90%的互聯(lián)網(wǎng)用戶信息，包括性別、年齡、職業(yè)、身份、收入、受教育程度、郵件注冊(cè)等。一時(shí)間，使用Cookie是否等于侵犯?jìng)€(gè)人隱私、如何保護(hù)網(wǎng)民合法權(quán)益等問(wèn)題引發(fā)廣泛關(guān)注。一、什么是Cookie(一)Cookie和第三方CookieCookie，有時(shí)也用其復(fù)數(shù)形式Cookies，是指網(wǎng)站為了辨別用戶身份，進(jìn)行session跟蹤而儲(chǔ)存在用戶本地終端上的數(shù)據(jù)(通常經(jīng)過(guò)加密)。Cookie濃縮了互聯(lián)網(wǎng)技術(shù)和互聯(lián)網(wǎng)廣告的發(fā)展歷史，也是各國(guó)法律界關(guān)于隱私爭(zhēng)論的一個(gè)焦點(diǎn)。Cookie最早由Netscape公司(最早的瀏覽器即出自這家公司)的LouMontulli發(fā)明，1998年被授予專利號(hào)。從1995年開(kāi)始，IE等瀏覽器逐漸開(kāi)始支持Cookie。發(fā)明并使用Cookie的最初目的其實(shí)是簡(jiǎn)化用戶的操作。今年“3·15”晚會(huì)所報(bào)道的Cookie問(wèn)題主要是指第三方Cookie。當(dāng)用戶訪問(wèn)A網(wǎng)站時(shí)，A網(wǎng)站會(huì)在用戶的電腦里存放A域名的Cookie，即第一方Cookie；如果A網(wǎng)站的網(wǎng)頁(yè)里有某個(gè)圖片(或者廣告)來(lái)自B網(wǎng)站，那么B網(wǎng)站則有可能在用戶的電腦中存放一個(gè)B域名的Cookie，就是第三方Cookie。許多第三方統(tǒng)計(jì)工具和互聯(lián)網(wǎng)廣告，其實(shí)都是基于第三方Cookie運(yùn)作。(二)Cookie的作用網(wǎng)站利用Cookie信息，一方面為用戶提供個(gè)性化服務(wù)；另一方面，對(duì)數(shù)據(jù)信息進(jìn)行集合化分析，對(duì)于網(wǎng)站完善其研發(fā)及經(jīng)營(yíng)策略具有重要的參考價(jià)值。Cookie的一個(gè)典型應(yīng)用是網(wǎng)絡(luò)購(gòu)物。虛擬購(gòu)物車現(xiàn)在已經(jīng)是一個(gè)很成熟的技術(shù)，但在互聯(lián)網(wǎng)發(fā)展早期，網(wǎng)站服務(wù)器很難知道這一秒的訪問(wèn)和下一秒的訪問(wèn)是否來(lái)自同一個(gè)用戶，也就無(wú)法記錄和歸總用戶的選擇清單，這大大增加了用戶的網(wǎng)購(gòu)成本。虛擬購(gòu)物車在用戶沒(méi)有登錄時(shí)仍然能夠保存其選購(gòu)的物品，保障購(gòu)物行為的一致性和延續(xù)性，這就是Cookie的功勞。Cookie的另一典型應(yīng)用是網(wǎng)站自動(dòng)登錄。當(dāng)用戶第一次登錄某個(gè)網(wǎng)站時(shí)，往往要輸入用戶名和密碼，下面還有個(gè)選項(xiàng)“下次自動(dòng)登錄”，如果用戶勾選了，下次訪問(wèn)同一網(wǎng)站時(shí)，用戶名和密碼會(huì)自動(dòng)生成。Cookie的典型應(yīng)用還包括視頻接放。用戶在視頻網(wǎng)站上觀看視頻時(shí)，如果因其他事情中斷，下次再登錄網(wǎng)站后還可以從原先斷掉的地方繼續(xù)觀看，這也是Cookie的功勞。二、關(guān)于Cookie和隱私的兩個(gè)核心問(wèn)題(一)使用Cookie是否等同于泄露隱私1.隱私和個(gè)人信息的概念隱私是一個(gè)法律上的概念，我國(guó)目前在討論相關(guān)立法及法律問(wèn)題時(shí)，采用“個(gè)人信息”概念者居多。對(duì)于個(gè)人信息的稱謂，各國(guó)個(gè)人信息保護(hù)法中有個(gè)人資料、個(gè)人數(shù)據(jù)、個(gè)人隱私、個(gè)人信息等不同表述。例如，我國(guó)臺(tái)灣地區(qū)采用“個(gè)人資料”，歐盟及其成員國(guó)使用“個(gè)人數(shù)據(jù)”，日、韓采用“個(gè)人信息”，而美國(guó)多用“隱私”。不同概念的內(nèi)涵略有差別，但目前各國(guó)個(gè)人信息保護(hù)法對(duì)于個(gè)人信息的定義，一般以“識(shí)別”為核心標(biāo)準(zhǔn)，即指與個(gè)人相關(guān)的，能夠直接或間接識(shí)別特定自然人的信息。2.個(gè)人信息的商業(yè)使用個(gè)人信息商業(yè)使用的核心特征是信息使用服務(wù)于商業(yè)目的。盡管公司、企業(yè)是個(gè)人信息商業(yè)使用的主體，但判定是否屬于商業(yè)使用個(gè)人信息并不能以使用主體為標(biāo)準(zhǔn)。依托信息通信技術(shù)及網(wǎng)絡(luò)，國(guó)家機(jī)關(guān)、事業(yè)單位甚至個(gè)人同樣可以實(shí)現(xiàn)對(duì)個(gè)人信息的收集匯聚并加以商業(yè)利用。同時(shí)，商業(yè)目的不僅包括通過(guò)使用個(gè)人信息直接獲得經(jīng)濟(jì)收益，也包括使用個(gè)人信息幫助設(shè)計(jì)產(chǎn)品或服務(wù)，提高用戶體驗(yàn)，從而間接獲取經(jīng)濟(jì)收益。在實(shí)踐中，服務(wù)于商業(yè)目的包括對(duì)用戶個(gè)人信息的收集、整理、更新、分析、挖掘、統(tǒng)計(jì)，以服務(wù)于企業(yè)設(shè)計(jì)產(chǎn)品、市場(chǎng)營(yíng)銷、客戶開(kāi)發(fā)、渠道拓展等，直接或間接取得商業(yè)利潤(rùn)和其他商業(yè)回報(bào)。關(guān)于個(gè)人信息“使用”的概念界定，各國(guó)立法規(guī)定不同。第一種是狹義界定，將個(gè)人信息使用行為作為一種具體的處理行為。歐盟《個(gè)人數(shù)據(jù)保護(hù)指令》引入了“處理”概念，將其作為個(gè)人信息保護(hù)法調(diào)整的大類行為，吸收合并了幾乎有關(guān)個(gè)人信息保護(hù)的所有行為。該指令第2條(b)項(xiàng)規(guī)定，個(gè)人數(shù)據(jù)處理，是指對(duì)個(gè)人數(shù)據(jù)所作的任何操作或一組操作，操作可以通過(guò)自動(dòng)或非自動(dòng)的方式進(jìn)行，如收集、記錄、組織、儲(chǔ)存、改變或變更、檢索、咨詢、使用或通過(guò)傳輸進(jìn)行公開(kāi)，以及傳播或使其能夠被使用、排列或組合、組塊、刪除或銷毀。日本、韓國(guó)以及阿根廷都采用了這一做法。第二種是較為廣義的界定，將使用與搜集、處理行為并列。如我國(guó)臺(tái)灣地區(qū)的《個(gè)人資料保護(hù)法》，調(diào)整的行為包括搜集、處理、利用。其中，處理是指為建立或利用個(gè)人數(shù)據(jù)文件所為數(shù)據(jù)之記錄、輸入、儲(chǔ)存、編輯、更正、復(fù)制、檢索、刪除、輸出、連結(jié)或內(nèi)部傳送。利用是指將搜集之個(gè)人數(shù)據(jù)為處理以外之使用。第三種是廣義界定，認(rèn)為使用包括處理和轉(zhuǎn)移行為。如奧地利《聯(lián)邦個(gè)人數(shù)據(jù)保護(hù)法》第四條第(8)規(guī)定，數(shù)據(jù)使用是對(duì)數(shù)據(jù)應(yīng)用程序中的數(shù)據(jù)進(jìn)行的各種操作，既包括數(shù)據(jù)處理，也包括數(shù)據(jù)傳遞。目前，我國(guó)關(guān)于個(gè)人信息商業(yè)使用的主流觀點(diǎn)主要是廣義界定，即指服務(wù)于商業(yè)目的，在取得個(gè)人信息的基礎(chǔ)上，對(duì)個(gè)人信息所作出的錄入、存儲(chǔ)、修改、復(fù)制、檢索、整理、標(biāo)注、比對(duì)、挖掘、傳輸、披露、公開(kāi)等處理和利用行為。信息時(shí)代，尤其未來(lái)的大數(shù)據(jù)時(shí)代，離不開(kāi)個(gè)人信息的商業(yè)使用，而Cookie是實(shí)現(xiàn)個(gè)人信息使用的重要基礎(chǔ)技術(shù)之一。使用Cookie不等于泄露隱私，用戶提供一部分個(gè)人信息是獲得更好互聯(lián)網(wǎng)服務(wù)的前提，也是互聯(lián)網(wǎng)行業(yè)能夠不斷創(chuàng)新、挖掘用戶需求、推出更適合用戶需求的產(chǎn)品的基礎(chǔ)之一。只有當(dāng)Cookie被基于惡意目的濫用(而非合理使用)，也就是互聯(lián)網(wǎng)公司在個(gè)人信息保護(hù)與使用之間沒(méi)有把握好分寸的時(shí)候，才會(huì)發(fā)生個(gè)人信息泄露。(二)刪除Cookie是否等同于保護(hù)用戶利益如前文所述，Cookie是瀏覽器儲(chǔ)存在用戶電腦中的數(shù)據(jù)包，用戶可以通過(guò)瀏覽器的設(shè)置選擇留下Cookie或者清除Cookie，用戶也可以在電腦相應(yīng)的文件夾中將Cookie文件手動(dòng)刪除。正因?yàn)榫W(wǎng)絡(luò)用戶個(gè)人信息具有巨大價(jià)值，某些互聯(lián)網(wǎng)服務(wù)商利用自己的產(chǎn)品私自刪除其他互聯(lián)網(wǎng)服務(wù)商在用戶電腦中存儲(chǔ)的Cookie，這不僅涉嫌對(duì)用戶選擇權(quán)的侵害，還涉嫌不正當(dāng)競(jìng)爭(zhēng)。從我國(guó)現(xiàn)有法律來(lái)看，對(duì)未經(jīng)允許清除其他網(wǎng)絡(luò)服務(wù)商Cookie的行為已有所規(guī)范。《消費(fèi)者權(quán)益保護(hù)法》規(guī)定，消費(fèi)者享有知悉其購(gòu)買、使用的商品或者接受的服務(wù)的真實(shí)情況的權(quán)利，享有自主選擇商品或服務(wù)的權(quán)利。工信部《規(guī)范互聯(lián)網(wǎng)信息服務(wù)市場(chǎng)秩序若干規(guī)定》規(guī)定，互聯(lián)網(wǎng)信息服務(wù)提供者不得惡意干擾用戶終端上其他互聯(lián)網(wǎng)信息服務(wù)提供者的服務(wù)，惡意修改或者欺騙、誤導(dǎo)、強(qiáng)迫用戶修改其他互聯(lián)網(wǎng)信息服務(wù)提供者的服務(wù)或者產(chǎn)品參數(shù)，不得未經(jīng)提示并由用戶主動(dòng)選擇同意，修改用戶瀏覽器配置或者其他設(shè)置。此外，《互聯(lián)網(wǎng)終端軟件服務(wù)行業(yè)自律公約》也對(duì)類似行為進(jìn)行了自律規(guī)制。該《公約》規(guī)定，終端軟件下載或安裝時(shí)，如要附帶其他非直接相關(guān)功能，應(yīng)明確提示用戶，并提供明顯的使用或關(guān)閉該功能的方式，未經(jīng)用戶同意不得自動(dòng)運(yùn)行。除惡意廣告外，不得針對(duì)特定信息服務(wù)提供商攔截、屏蔽其合法信息內(nèi)容。不得濫用終端軟件的安全服務(wù)功能實(shí)施侵害其他企業(yè)和用戶合法權(quán)益的行為。開(kāi)展系統(tǒng)優(yōu)化服務(wù)時(shí)，應(yīng)當(dāng)尊重用戶的自主選擇，不得替用戶作出默認(rèn)選擇。三、網(wǎng)絡(luò)個(gè)人信息保護(hù)的國(guó)際趨勢(shì)(一)增加個(gè)人信息使用的透明度在搜索領(lǐng)域，Cookie是搜索引擎向用戶提供個(gè)性化服務(wù)及改進(jìn)、完善搜索技術(shù)、搜索算法和經(jīng)營(yíng)策略的重要依據(jù)。由此，全球各大搜索引擎均在增加個(gè)人信息使用透明度的前提下，收集Cookie信息并進(jìn)行機(jī)器學(xué)習(xí)、智能分析，這已成為搜索引擎行業(yè)的慣例及通行做法。增加個(gè)人信息使用的透明度，告知消費(fèi)者個(gè)人信息數(shù)據(jù)采集行為是目前世界各國(guó)在處理網(wǎng)絡(luò)個(gè)人信息保護(hù)與商業(yè)使用的問(wèn)題上所體現(xiàn)的重要趨勢(shì)。例如，Google和百度均在隱私權(quán)策略聲明或者隱私保護(hù)聲明中作出明確提示。(二)opt-out機(jī)制的廣泛運(yùn)用保障用戶的選擇權(quán)，是關(guān)于Cookie和個(gè)人信息保護(hù)問(wèn)題的關(guān)鍵之一。從國(guó)際立法制度看，目前互聯(lián)網(wǎng)用戶行使同意權(quán)主要有兩種方式，一種是事前的明示同意，是指在收集、使用個(gè)人信息之前，應(yīng)得到信息主體的明示同意，也稱“opt-in”模式；另一種是默示同意原則，是指可以在未征得信息主體明示同意情況下收集、使用個(gè)人信息，但應(yīng)保障信息主體的知情權(quán)，并提供可拒絕收集和使用的方式，也稱“o