(电子商务研究中心讯) 背景链接:
据“3·15”晚会报道,部分公司利用Cookie收集用户信息,并据此精准投放广告。例如,某公司自称能掌握全国90%的互联网用户信息,包括性别、年龄、职业、身份、收入、受教育程度、邮件注册等。一时间,使用Cookie是否等于侵犯个人隐私、如何保护网民合法权益等问题引发广泛关注。
一、什么是Cookie
(一)Cookie和第三方Cookie
Cookie,有时也用其复数形式Cookies,是指网站为了辨别用户身份,进行session跟踪而储存在用户本地终端上的数据(通常经过加密)。
Cookie浓缩了互联网技术和互联网广告的发展历史,也是各国法律界关于隐私争论的一个焦点。Cookie最早由Netscape公司(最早的浏览器即出自这家公司)的Lou Montulli发明,1998年被授予专利号。从1995年开始,IE等浏览器逐渐开始支持Cookie。发明并使用Cookie的最初目的其实是简化用户的操作。
今年“3·15”晚会所报道的Cookie问题主要是指第三方Cookie。当用户访问A网站时,A网站会在用户的电脑里存放A域名的Cookie,即第一方Cookie;如果A网站的网页里有某个图片(或者广告)来自B网站,那么B网站则有可能在用户的电脑中存放一个B域名的Cookie,就是第三方Cookie。许多第三方统计工具和互联网广告,其实都是基于第三方Cookie运作。
(二)Cookie的作用
网站利用Cookie信息,一方面为用户提供个性化服务;另一方面,对数据信息进行集合化分析,对于网站完善其研发及经营策略具有重要的参考价值。
Cookie的一个典型应用是网络购物。虚拟购物车现在已经是一个很成熟的技术,但在互联网发展早期,网站服务器很难知道这一秒的访问和下一秒的访问是否来自同一个用户,也就无法记录和归总用户的选择清单,这大大增加了用户的网购成本。虚拟购物车在用户没有登录时仍然能够保存其选购的物品,保障购物行为的一致性和延续性,这就是Cookie的功劳。
Cookie的另一典型应用是网站自动登录。当用户第一次登录某个网站时,往往要输入用户名和密码,下面还有个选项“下次自动登录”,如果用户勾选了,下次访问同一网站时,用户名和密码会自动生成。
Cookie的典型应用还包括视频接放。用户在视频网站上观看视频时,如果因其他事情中断,下次再登录网站后还可以从原先断掉的地方继续观看,这也是Cookie的功劳。
二、关于Cookie和隐私的两个核心问题
(一)使用Cookie是否等同于泄露隐私
1.隐私和个人信息的概念
隐私是一个法律上的概念,我国目前在讨论相关立法及法律问题时,采用“个人信息”概念者居多。对于个人信息的称谓,各国个人信息保护法中有个人资料、个人数据、个人隐私、个人信息等不同表述。例如,我国台湾地区采用“个人资料”,欧盟及其成员国使用“个人数据”,日、韩采用“个人信息”,而美国多用“隐私”。
不同概念的内涵略有差别,但目前各国个人信息保护法对于个人信息的定义,一般以“识别”为核心标准,即指与个人相关的,能够直接或间接识别特定自然人的信息。
2.个人信息的商业使用
个人信息商业使用的核心特征是信息使用服务于商业目的。尽管公司、企业是个人信息商业使用的主体,但判定是否属于商业使用个人信息并不能以使用主体为标准。依托信息通信技术及网络,国家机关、事业单位甚至个人同样可以实现对个人信息的收集汇聚并加以商业利用。
同时,商业目的不仅包括通过使用个人信息直接获得经济收益,也包括使用个人信息帮助设计产品或服务,提高用户体验,从而间接获取经济收益。在实践中,服务于商业目的包括对用户个人信息的收集、整理、更新、分析、挖掘、统计,以服务于企业设计产品、市场营销、客户开发、渠道拓展等,直接或间接取得商业利润和其他商业回报。
关于个人信息“使用”的概念界定,各国立法规定不同。
第一种是狭义界定,将个人信息使用行为作为一种具体的处理行为。欧盟《个人数据保护指令》引入了“处理”概念,将其作为个人信息保护法调整的大类行为,吸收合并了几乎有关个人信息保护的所有行为。该指令第2条(b)项规定,个人数据处理,是指对个人数据所作的任何操作或一组操作,操作可以通过自动或非自动的方式进行,如收集、记录、组织、储存、改变或变更、检索、咨询、使用或通过传输进行公开,以及传播或使其能够被使用、排列或组合、组块、删除或销毁。日本、韩国以及阿根廷都采用了这一做法。
第二种是较为广义的界定,将使用与搜集、处理行为并列。如我国台湾地区的《个人资料保护法》,调整的行为包括搜集、处理、利用。其中,处理是指为建立或利用个人数据文件所为数据之记录、输入、储存、编辑、更正、复制、检索、删除、输出、连结或内部传送。利用是指将搜集之个人数据为处理以外之使用。
第三种是广义界定,认为使用包括处理和转移行为。如奥地利《联邦个人数据保护法》第四条第(8)规定,数据使用是对数据应用程序中的数据进行的各种操作,既包括数据处理,也包括数据传递。
目前,我国关于个人信息商业使用的主流观点主要是广义界定,即指服务于商业目的,在取得个人信息的基础上,对个人信息所作出的录入、存储、修改、复制、检索、整理、标注、比对、挖掘、传输、披露、公开等处理和利用行为。
信息时代,尤其未来的大数据时代,离不开个人信息的商业使用,而Cookie是实现个人信息使用的重要基础技术之一。使用Cookie不等于泄露隐私,用户提供一部分个人信息是获得更好互联网服务的前提,也是互联网行业能够不断创新、挖掘用户需求、推出更适合用户需求的产品的基础之一。只有当Cookie被基于恶意目的滥用(而非合理使用),也就是互联网公司在个人信息保护与使用之间没有把握好分寸的时候,才会发生个人信息泄露。
(二)删除Cookie是否等同于保护用户利益
如前文所述,Cookie是浏览器储存在用户电脑中的数据包,用户可以通过浏览器的设置选择留下Cookie或者清除Cookie,用户也可以在电脑相应的文件夹中将Cookie文件手动删除。
正因为网络用户个人信息具有巨大价值,某些互联网服务商利用自己的产品私自删除其他互联网服务商在用户电脑中存储的Cookie,这不仅涉嫌对用户选择权的侵害,还涉嫌不正当竞争。
从我国现有法律来看,对未经允许清除其他网络服务商Cookie的行为已有所规范。《消费者权益保护法》规定,消费者享有知悉其购买、使用的商品或者接受的服务的真实情况的权利,享有自主选择商品或服务的权利。
工信部《规范互联网信息服务市场秩序若干规定》规定,互联网信息服务提供者不得恶意干扰用户终端上其他互联网信息服务提供者的服务,恶意修改或者欺骗、误导、强迫用户修改其他互联网信息服务提供者的服务或者产品参数,不得未经提示并由用户主动选择同意,修改用户浏览器配置或者其他设置。
此外,《互联网终端软件服务行业自律公约》也对类似行为进行了自律规制。该《公约》规定,终端软件下载或安装时,如要附带其他非直接相关功能,应明确提示用户,并提供明显的使用或关闭该功能的方式,未经用户同意不得自动运行。除恶意广告外,不得针对特定信息服务提供商拦截、屏蔽其合法信息内容。不得滥用终端软件的安全服务功能实施侵害其他企业和用户合法权益的行为。开展系统优化服务时,应当尊重用户的自主选择,不得替用户作出默认选择。
三、网络个人信息保护的国际趋势
(一)增加个人信息使用的透明度
在搜索领域,Cookie是搜索引擎向用户提供个性化服务及改进、完善搜索技术、搜索算法和经营策略的重要依据。由此,全球各大搜索引擎均在增加个人信息使用透明度的前提下,收集Cookie信息并进行机器学习、智能分析,这已成为搜索引擎行业的惯例及通行做法。
增加个人信息使用的透明度,告知消费者个人信息数据采集行为是目前世界各国在处理网络个人信息保护与商业使用的问题上所体现的重要趋势。例如,Google和百度均在隐私权策略声明或者隐私保护声明中作出明确提示。
(二)opt-out机制的广泛运用
保障用户的选择权,是关于Cookie和个人信息保护问题的关键之一。从国际立法制度看,目前互联网用户行使同意权主要有两种方式,一种是事前的明示同意,是指在收集、使用个人信息之前,应得到信息主体的明示同意,也称“opt-in”模式;另一种是默示同意原则,是指可以在未征得信息主体明示同意情况下收集、使用个人信息,但应保障信息主体的知情权,并提供可拒绝收集和使用的方式,也称“opt-out”模式。
从国际立法的趋势来看,采纳“opt-out”模式日益普遍。以Cookie为例,“opt-out”模式会默认用户同意网站搜集Cookie,以此鼓励网络服务商根据用户信息的分析从而提供更加创新和优良的互联网产品及服务,当用户不同意时再选择拒绝。我国《信息安全技术公共及商用服务信息系统个人信息保护指南》也引入了这项基本制度,符合国际立法趋势。
四、结论
一言以蔽之,Cookie只是一项基础网络技术,与其他互联网技术一样,具有中立性和工具性,其存在本身并不涉及侵犯个人隐私问题,滥用Cookie而导致的侵权行为,是行为本身违法的问题。同样,对用户个人信息进行合理商业化使用的行为,也不应一刀切地被贴上“涉嫌侵害隐私”的标签。互联网用户个人信息的保护与商业使用,需要平衡。(来源:《中国工商报》 文/白正岩 编选:中国电子商务研究中心)
