cookies 采集
编辑整理:整理来源:搜狗问问,浏览量:49,时间:2022-11-29 14:49:02
cookies 采集,cookies 采集,cookies 采集
Cookie这个小甜饼,一直饱受争议。
2013年央视3.15晚会曾质疑“精准营销”的互联网广告公司利用Cookie窃取用户隐私,不论各家企业如何澄清,舆论仍以一边倒之势使Cookie背负“恶名”。
2014-2015年间,国内又上演了Cookie隐私侵权第一案:朱某以搜索引擎利用Cookie技术记录和跟踪其搜索的关键词并对其浏览的网页进行广告投放而造成其隐私权被侵犯为由起诉百度(下称“Cookie案”)。一审法院认为百度侵犯隐私权;而市中院在二审中全盘推翻一审观点:认为Cookie虽具有隐私性质,但不属于个人信息,百度的个性化推荐是通过技术手段完成,并没有向第三方或公众展示及公开用户的Cookie信息,因此不构成侵权。终审判决一出,互联网业界一片狂喜,Cookie被司法裁决认定为中立技术,污名褪去。
然而,有关Cookie的争论并未因此而终止。就在最近两年,国内外关于信息数据保护的立法和行业标准密集出台。
国内的《网络安全法》于2017年6月1日正式施行;被称为“史上最严”的欧盟《数据保护通用条例》(下称“GDPR”)于2016年4月14日经欧洲议会通过,并于2018年5月25日开始实施;中国互联网及数据信息业界为应对变化,多家机构联合起草了《信息安全技术个人信息安全规范》(GB/T35273-2017)(下称《规范》),由国家质检总局和国家标准化委员会于2017年12月29日发布,并于2018年5月1日起实施。
在新的法律环境下,重新检视和评估Cookie案的结论,对互联网业界将不无裨益。
1.Cookie信息是否属于个人信息?
Cookie案的二审法院认定Cookie信息不是个人信息的理由是:“一旦与网络用户身份相分离,便无法确定具体的信息归属主体,不再属于个人信息范畴”。显然,二审法院遵循的是直接的、单独的可识别原则,即认为只有某一信息可直接指向个人,且仅有该信息即可确定具体个人的,该信息才属于个人信息,否则不归入个人信息范畴。
如果Cookie案发生在当下,法院对Cookie的性质也许会有不同认定。因为基于安全优先的价值立场,《网络安全法》对个人信息的定义相对宽松,该法第七十六条第(五)项规定:“个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等”。
据此,可识别(不论单独还是结合识别)是个人信息的关键认定标准。然而,可识别原则在具体场景仍可能难以理解,Cookie信息即如此。Cookie信息在用户端储存是唯一的,理论上可指向具体个人,但该等信息是经过加密、匿名化等处理的,且一个浏览器、一个终端可能多人使用,如此情形下能否指向具体个人则可能成疑。对此,美国加州大学法学院Schwartz教授和华盛顿大学法学院Solove教授关于可识别的个人信息应分为“已被识别”(identified)和“可以被识别(identifiable)”的观点值得借鉴。关于前者不难理解,关于后者我认为“可识别”就是在技术上的可行性。一些信息表面上看已经匿名化处理,但实际上这些匿名信息是可以被利用以指向某一个具体的个人。
相比《网络安全法》,作为行业标准的《规范》对个人信息规定的外延更广、更清晰。根据《规范》,个人信息除了可识别个人身份的信息外,还包括“反映特定自然人活动情况”的信息。而且,《规范》还以示例的方式列举了个人信息(见下图)。
“个人上网记录”被《规范》的附录明确列入个人信息范畴。然而仍具争议的是,《规范》附录所列的“个人上网记录”,是指“通过日志储存的用户记录”,即储存位置在服务器,而Cookie信息是储存在用户端的。这反映了业界对Cookie信息的纠结态度。
我认为,结合《网络安全法》和《规范》,以“可结合识别身份”和“反映个人活动”两个原则,可基本锁定Cookie信息的个人信息属性。
反对者会认为,Cookie信息仅储存在用户端,是为了优化用户上网体验而存在(如登陆账号记忆和购物车记录)。从用户便利性角度看,Cookie技术的确类似于诸如汽车座椅记忆功能,因为两者均由用户自行设定或触发。
但是,我认为两者的运作逻辑根本相异:汽车座椅记忆功能不会把你的坐姿数据传送给厂商或其他服务提供商,而Cookie技术会在用户再次使用同一网络或相关网络(即广告联盟网站)服务时调取用户端数据,并利用该数据给用户画像,虽然很多网络服务商为用户提供“禁用Cookie”或“DNT”(Do NotTrack)功能,但这一功能需要用户手动设置,默示情形下是启动Cookie的。因此,我认为不能因Cookie信息不被服务器储存而否定其个人信息属性。
2.中国语境下采集Cookie信息的同意机制
《网络安全法》明确规定了个人信息采集、使用须经数据主体同意的原则,该法第四十一条规定“网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意”。然而,《网络安全法》并未进一步规定同意的形式。换言之,默示同意是否为可接受的同意形式?
《规范》比《网络安全法》规定得更具体,它把个人信息中的一部分归为“个人敏感信息”,对于个人敏感信息的收集,须经个人信息主体明示同意(explicit consent)。《规范》虽非法律、法规等有法律约束力的强制规范性文件,但在司法实践中仍有参照的意义(Cookie案中就援引了当时2012年版的《规范》)。
因此,在适用国内法律的情境下,采集Cookie信息是否需要明示同意取决于Cookie信息是否属于个人敏感信息。根据《规范》,个人敏感信息是指“一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息”。这一定义是含混的,因此容易被滥用。“人身和财产安全”的危害尚可度量;而名誉、身心健康的损害则难以用客观标准判定,特别是后者。
在互联网服务提供商仅展现“隐私政策”而未要求用户主动“勾选同意”的情况下,用户可以“身心健康可能收到损害”为由起诉服务提供商。当然,“身心健康可能受到损害”的举证责任应该在原告一方,注意,此处需证明的是“可能”受到损害而不是实际受损害,是经由证明“可能受损害”而证明服务提供商“未经同意”的主观过错。至于司法实践中“身心健康可能受到损害”的证明标准,则很大程度存在于裁判者的自由裁量空间之中。
我倾向认为,不宜将个人敏感信息作宽泛解释,Cookie信息不应视为个人敏感信息,因为这将过分加重互联网服务商的责任,影响创新和技术发展。因此,在国内法律环境下,司法裁判者应严格控制“身心健康可能受到损害”的适用范围,遏制滥用该定义而可能发生的诉讼潮。
3. 欧盟语境下的同意机制及救济
欧盟的GDPR也将“个人数据”的一部分归为“特殊类型的个人数据”,明确规定此类数据为“显示(注:原文用词是“revealing”)种族或民族渊源、政治观点、宗教或哲学信念或工会成员、基因数据、为了识别特定自然人的生物数据、以及和自然人健康、性生活或性取向相关的数据”。GDPR还明确,该类数据应被禁止采集,除非取得数据主体的明示同意(explicit consent)。(原文规定见下图)
显然,根据GDPR的定义,Cookie信息不能直接显示(revealing)数据主体的有关身份信息,仅反映数据主体的上网活动轨迹,因此在欧盟语境下,Cookie不属于需经明示同意方能采集的“特殊类型的个人数据”。
进一步探究,Cookie信息作为一般个人数据,采集是否需要经数据主体同意或明示同意呢?
GDPR对“同意”的定义为:“any freely given,specific,informed andunambiguousindicationof the data subject’s wishes by which he or she, by astatementor by aclearaffirmative action,signifies agreementto the processing of personal data relating to him or her。”
GDPR的上述规定,虽对“同意”的形式提出了很高的要求,但我们注意到它并未用明示同意(explicit consent)的措辞,只是要求同意是“具体”(specific)、“不含混”(unambiguous),并体现为一项“声明”(statement)、“行动”(action)和“意思表示”(signify)。
因此可以推断,GDPR的同意形式并未排除默示同意,但网络服务商通过仅仅展示隐私政策而取得用户一揽子授权的形式,似乎也不满足GDPR的“具体”(specific)要求。
再进一步追问,欧盟语境下,网络服务商现有的仅展示隐私政策而取得用户一揽子授权的模式,若不符合GDPR的“同意”条件,是否就不能出于商业目的采集个人数据呢?
非也。GDPR在同意机制以外为商业利用数据留了一扇窗口:即基于数据控制者或第三方的正当利益(legitimate interests),可采集个人数据。(见下图GDPR的规定)
如此以来,是否可以推断:根据GDPR,网络服务商可依正当利益(legitimate interests)原则在未取得用户明示同意(explicit consent)的情况下采集海量Cookie信息、进行用户画像从而精准推广产品、服务或进行自动化决策?
回答同样是否定的。一般的数据采集可根据正当利益(legitimate interests)原则进行,但鉴于用户画像(profiling)将利用海量数据,GDPR对其作出了特别限制:即若依据用户画像提供的自动化决策,而用户画像依赖的数据未经数据主体明示同意采集的,则数据主体有权不遵从、不接受(注:原文为“not to be subject”)该自动化决策的对其产生法律或其他类似的严重影响(注:原文为“legal effects or significantly affects”)的结论(注:具体场景可能是根据用户画像而确定的保险保费、贷款申请等)。(见下图GDPR的规定)
而对于用户的救济,GDPR则赋予其撤回同意和反对的权利。其设计逻辑是:基于同意基础采集的数据,用户可撤回;而基于非同易的合法基础采集的数据,用户可反对(为平衡服务商与用户利益,还规定了已经明示同意的,用户不得行使反对权)。
关于撤回同意权在第七条第3项规定作了如下规定:“The data subject shall have theright to withdrawhis or her consent at any time. 2The withdrawal ofconsent shall not affect the lawfulness of processing based on consent before itswithdrawal”。而反对权,则在第三章第四部分做了专门规定(见下图)。
用户救济方面,国内的《规范》也规定了用户的撤回同意权利,但与GDPR同时匹配撤回同意和反对权的规定相比较,我们发现,基于GDPR规定的正当利益(legitimate interests)原则而不经用户同意采集数据,会产生一个意味深长的、与适用中国法律完全相异的效果:因用户使用互联网服务前提是默示同意服务商所展示的“隐私政策”,当用户不同意个人数据(个人信息)被采集时,依国内《规范》行使撤回同意权,此时根据“隐私政策”,服务商将终止提供服务(或用户退出服务);而根据GDPR规定,用户可行使反对权而阻止服务商采集个人数据,因此时服务商提供服务是基于正当利益(legitimate interests)而非基于用户同意,故在用户行使反对权后,服务商无权终止服务,用户仍可在反对服务商采集数据情形下继续是否互联网服务。
综上,我归纳了Cookie案在适用中国和欧盟法律上的差异(见下图)。
可见,欧盟的GDPR规定较清晰,但也相对严苛。而中国的规定相比欧盟宽松,但尚存模糊地方,原告(用户)的证明责任相对较重。所以,对于中国企业,似乎仍可以以仅展示隐私政策以取得用户一揽子默示同意/授权的方式继续“混下去”。但需要特别提醒的是,并不要以为欧盟法律和中国企业不相关,GDPR的严苛还体现在它的属人管辖原则,即如果中国企业提供的产品或服务是针对欧盟公民的,则难逃GDPR的管辖。(GDPR的管辖规定见下图)
4.隐私政策展示的注意细节
最后,有一个细节还需要提醒中国企业的。在通过仅展示隐私政策而获得用户一揽子默示同意/授权的模式下,仍应注意隐私政策的展示方式。《规范》明确规定,“隐私政策应公开发布且易于访问”。
“公开发布”几乎所有企业都能做到,但“易于访问”则是不少企业需要改进的细节。还是拿Cookie案的主角百度举例,其隐私政策是否“易于访问”则有疑问。我亲测发现的问题是,当以登陆状态打开百度网页时(同样是基于Cookie技术,我每次打开百度主页都是默认登陆状态),拉动右边的滚动条,网页会不断加载新内容,从而是无法拉到底部看到“使用百度前必读”中的隐私政策。
所以在此场景下,百度的隐私政策不仅是不易于访问,而且是被推送内容的不断加载而“刻意隐藏”了。这一细节,不得不引起重视。
-The End-
声明
1、本文系“创投法律顾问”梁灯律师原创。本文仅为作者个人观点,不代表作者所任职机构的立场。
2、其他媒体、网站或刊物如需转载,须事前获得作者授权。
3、获得授权的转载须严格遵守以下规范:须在文章首部显著位置注明作者“梁灯”及出处“创投法律顾问”公众号两项信息,且不得改动本文原标题进行转载。
4、本文不能视为正式法律意见。