Cookie信息的權(quán)屬界定及保護研究

池天成

(安徽大學(xué) 法學(xué)院，安徽 合肥 230000)

一、問題的提出：Cookie技術(shù)對個人網(wǎng)絡(luò)隱私的威脅

當(dāng)用戶瀏覽網(wǎng)頁時，服務(wù)器通常會以加密的方式，儲存包括用戶ID、密碼、瀏覽網(wǎng)頁、搜索關(guān)鍵詞、停留時間等在內(nèi)的信息，[1]即Cookie 信息。由于Cookie 信息可以清晰地反映用戶的行為偏好和個人興趣，互聯(lián)網(wǎng)運營商們開始利用此類信息進行商業(yè)化運作。例如，運營商通過收集一定時期內(nèi)用戶在互聯(lián)網(wǎng)上的蹤跡信息，預(yù)測用戶的偏好，再基于預(yù)測投放定向廣告，以此獲得收益。較之傳統(tǒng)模式，“定向廣告”提高了廣告投放的針對性和有效性，在一定程度上也迎合了用戶的需要，避免了隨機投放廣告造成的成本浪費。然而，在此過程中涉及運營商利用Cookie技術(shù)對用戶信息的收集、應(yīng)用和傳輸，這些行為不僅對用戶的私生活造成了侵擾，還可能帶來信息泄露的風(fēng)險。

近年來頻繁發(fā)生的Cookie隱私侵權(quán)案就是這一擔(dān)憂的現(xiàn)實折射。在這些案件中，運營商通常以Cookie信息經(jīng)過匿名化處理，不具有可識別性，不能指向特定個人為由進行抗辯，法院基于技術(shù)中立通常也接受此種抗辯理由。直至2012年，Netflix信息泄露事件的爆發(fā)徹底推翻了“Cookie信息不具可識別性”的論斷。該事件中，有兩名研究人員通過“反匿名算法”識別出Netflix“匿名數(shù)據(jù)集”中的很多用戶。[2]39這一事件說明，當(dāng)前Cookie技術(shù)的安全性尚無法得到完全保證，既然如此，我們就只能通過事先規(guī)制運營商的采集、使用行為來實現(xiàn)對個人Cookie信息的保護。然而，鑒于當(dāng)前我國Cookie信息的權(quán)屬性質(zhì)尚未被明確，立法保護也因此缺乏落腳點。鑒于此，本文通過分析Cookie信息的性質(zhì)，為其尋找立法層面的權(quán)屬依據(jù)，進而提出相關(guān)完善建議，以期對日后研究有所助益。

二、Cookie信息的權(quán)屬界定

在所有網(wǎng)絡(luò)隱私侵權(quán)糾紛案中，2014年“百度公司與朱某隱私糾紛案”(下文簡稱“百度隱私糾紛案”)具有一定的代表性，謹以此案揭示我國司法界在界定Cookie信息性質(zhì)時所面臨的困惑。本案中，原告朱某認為百度公司在其不知情的情況下向其瀏覽網(wǎng)站投放定向廣告的行為暴露了其興趣愛好、生活特點，使其感到恐懼，精神高度緊張，影響了其正常生活，故向法院提起隱私侵犯之訴。一審法院認定百度公司侵犯了朱女士的隱私權(quán)，但是在界定Cookie信息屬性時卻出現(xiàn)了搖擺：判決書先后指出“朱某的網(wǎng)絡(luò)活動蹤跡反映了個人的興趣、需求等私人信息”“百度網(wǎng)訊公司侵犯朱燁隱私權(quán)的行為使朱燁困擾于自己不愿為他人所知的私人活動已經(jīng)被他人知曉”，即一審法院先后認定Cookie信息為“個人信息”和“私人活動”，然而這兩者并不具有同一性。二審判決的措辭同樣令人費解：一方面，認定“該數(shù)據(jù)信息的匿名化特征不符合‘個人信息’的可識別性要求”，將Cookie信息排除在“個人信息”范圍之外。另一方面，又認可檢索關(guān)鍵詞記錄“具有隱私屬性”，認定其為“碎片化信息”，如此一來，Cookie信息所為何物變得愈發(fā)撲朔迷離。

且不論判決結(jié)果正確與否，至少從判決書本身來看，兩級法院均試圖對Cookie信息進行認定，但是又均在“個人信息”和“個人隱私”之間搖擺不定，最終以失敗告終。原因很簡單，在我國，個人隱私和個人信息呈現(xiàn)出一種錯綜交叉的關(guān)系，即有部分個人信息具有敏感性屬于個人隱私，其他個人信息因高度公開性不屬于個人隱私。[2]39因此，在探討Cookie信息的權(quán)利歸屬之前筆者欲對隱私權(quán)和個人信息權(quán)從理論層面進行辨析。

首先，從權(quán)利價值進行考量。私人隱私和個人信息都具有人格尊嚴和自由的人格權(quán)益，不同之處在于個人信息還包含財產(chǎn)性利益。波斯納認為，人們無一例外地擁有信息，這些信息在有些時候?qū)λ撕蜕鐣怯袃r值的，他們會愿意付出代價來購買這些信息。在市場經(jīng)濟環(huán)境下，個人信息的商業(yè)價值是有目共睹的，商家想方設(shè)法收集消費者的個人信息并不為了了解這些消費群體，而是為了通過分析這些信息共性來滿足其自身或其他使用人的需要，更直白地說，商家收集個人信息只是建立和擴展財源的一種途徑。其次，從權(quán)利內(nèi)涵來看，隱私權(quán)的重心在于保護個人秘密不被披露，不在于保護這種秘密的控制與利用。[3]而個人信息權(quán)背后體現(xiàn)的則主要是法律對個人控制其資料信息的尊重，這種控制表現(xiàn)在信息的所有者有權(quán)了解搜集信息的主體，被搜集的內(nèi)容、用途、是否客觀全面等。[5]189再次，從權(quán)利性質(zhì)來看。隱私權(quán)是一種絕對單純地對抗他人不法侵入的消極性權(quán)利，強調(diào)絕對保護，在該權(quán)利遭受損害之前，個人無法積極主張行使。[4]而個人信息權(quán)作為一項積極性權(quán)利，權(quán)利人有權(quán)要求未經(jīng)許可收集、利用的行為人更改或刪除其個人信息，進而排除他人非法利用行為或者使個人信息恢復(fù)到正確狀態(tài)。最后，從范圍上看，個人信息包括隱私信息，但并非所有個人信息都屬于隱私，只有讓主體人格尊嚴受到嚴重社會影響或者導(dǎo)致主體社會評價被降低的個人信息才能稱得上是隱私。[5]197

通過對兩種權(quán)利的比較分析，筆者認為Cookie信息更適合被納入到個人信息權(quán)的保護范圍，基于兩點理由：其一，價值體現(xiàn)上，Cookie信息具有一般人格利益和財產(chǎn)利益。前文業(yè)已提出，Cookie信息具有間接的身份識別性，它可以識別個人的上網(wǎng)蹤跡、瀏覽記錄，勾勒出用戶的上網(wǎng)軌跡，是一種全過程的記錄。同時，Cookie信息也具有財產(chǎn)利益：大數(shù)據(jù)時代，互聯(lián)網(wǎng)運營商通過Cookie技術(shù)挖掘用戶個人各項數(shù)據(jù)記錄并向其精準投放個性化廣告，這一技術(shù)開創(chuàng)了互聯(lián)網(wǎng)環(huán)境下“依靠廣告提供免費服務(wù)”的商業(yè)模式。同其他個人信息一樣，Cookie信息也具有交易性和稀缺性，網(wǎng)絡(luò)服務(wù)商從廣大用戶處搜集的數(shù)字足跡信息越準確和詳盡，這些信息用于商業(yè)廣告的價值就越大。其二，基于信息保護的立場?；ヂ?lián)網(wǎng)服務(wù)商將Cookie信息投入商業(yè)使用往往會經(jīng)歷三個環(huán)節(jié)：收集信息、公開信息和利用信息，用戶基于不同的權(quán)利主張，侵權(quán)訴求成立與否也有所不同。若以隱私權(quán)為權(quán)利主張，個人只有當(dāng)Cookie信息被公開時才能請求權(quán)利救濟。然而在網(wǎng)絡(luò)高度發(fā)達的今天，具有敏感性質(zhì)的個人信息一旦被公開，就可能造成無法彌補的損失，例如頻頻發(fā)生的“人肉搜索”案。相比之下，個人信息權(quán)作為一項積極性權(quán)利，在他人未經(jīng)許可對其信息進行收集時，權(quán)利主體即可尋求法律保護。鑒于網(wǎng)絡(luò)用戶與運營商信息嚴重不對稱的特殊地位，有必要對運營商從信息獲取的源頭就加以限制，即要求運營商在收集Cookie信息前需征得用戶的明示或默示同意。

三、Cookie信息保護路徑的完善

當(dāng)前，歐盟和美國在個人信息保護方面起著引領(lǐng)作用，對世界各國制定自己的個人信息保護法具有普遍的參考意義。但是兩者制度在某些方面體現(xiàn)出較大的差異性，在此筆者欲通過對兩者制度進行比較，在結(jié)合本國國情基礎(chǔ)上，為我國Cookie信息保護制度的完善探尋出路。

(一)歐美個人信息保護制度的比較

兩者的主要區(qū)別體現(xiàn)在對個人信息采取的保護模式上。美國采取行業(yè)自律為主導(dǎo)的模式，即主要依靠網(wǎng)絡(luò)服務(wù)者的自我約束和行業(yè)協(xié)會的監(jiān)督。然而，美國的行業(yè)自律規(guī)則通常只對內(nèi)部產(chǎn)生效力，言外之意，對于大量未加入自律組織的公司來說，起不到任何約束和規(guī)范作用。例如，由美國隱私在線聯(lián)盟(OPA)制定的隱私指引只能要求參加相關(guān)自律組織的成員承諾并遵守。在立法方面，美國力圖尋找一個平衡點，以協(xié)調(diào)用戶隱私權(quán)保障與互聯(lián)網(wǎng)行業(yè)發(fā)展之間的關(guān)系。然而，其通過擴張適用普通法的隱私權(quán)概念來完善個人信息保護法，實則是以“舊瓶裝新酒”的方式保護個人信息，[6]在很大程度上依然表現(xiàn)出對行業(yè)自律規(guī)則的巨大依賴。歐盟對個人信息采用立法主導(dǎo)保護模式，即通常由政府從法律上確立網(wǎng)絡(luò)信息權(quán)保護的各項基本原則與各項具體的法律規(guī)定、制度，并在此基礎(chǔ)上建立相應(yīng)的司法或行政救濟措施。在所有關(guān)于個人信息保護的立法中，歐盟制定的《數(shù)據(jù)保護指令》具有里程碑式的意義，其明確規(guī)定數(shù)據(jù)信息主體享有“權(quán)利保護獲取權(quán)、拒絕權(quán)和獲得救濟的權(quán)利”。在《指令》的基礎(chǔ)上，于2018年5月通過實施的歐盟《通用數(shù)據(jù)保護條例》(General Data Protection Regulation，簡稱GDPR)進一步提高了對個人信息保護力度。該條例在《數(shù)據(jù)保護條令》的基礎(chǔ)上進一步擴大了“個人數(shù)據(jù)”的范圍，并且賦予了歐盟域外管轄權(quán)——只要與歐盟企業(yè)發(fā)生業(yè)務(wù)往來，或涉及存儲、處理、交換任何歐盟公民數(shù)據(jù)都在該條例管轄之內(nèi)，故被稱為“史上最嚴”個人信息保護條例。[7]

不同保護模式下側(cè)重的利益也有所不同。如前文所述，美國法官對于PII的認定采取限縮解釋政策，這在某種程度上否定了Cookie信息的個人信息屬性。此種界定存在一定隱患：法官對于利益保護的偏向可能會不斷促使互聯(lián)網(wǎng)運營者在客戶信息保密方面松懈的責(zé)任意識。美國頻頻發(fā)生的“信息泄露”事件就是對這一模式弊端的最佳佐證。歐盟則更傾向于在立法上通過限制互聯(lián)網(wǎng)運營商的信息處理權(quán)限來實現(xiàn)對個人信息的保護。此種模式會促進網(wǎng)絡(luò)服務(wù)提供者搜集用戶個人信息的行為更加規(guī)范，相對于用戶來講也更加透明。然而，過于嚴格的數(shù)據(jù)收集和處理規(guī)則在客觀上也會增加信息產(chǎn)業(yè)的運營成本，降低網(wǎng)絡(luò)服務(wù)的輸出效率，長此以往可能會嚴重阻礙互聯(lián)網(wǎng)產(chǎn)業(yè)的發(fā)展。

由此可見，無論美國還是歐盟，其保護模式都具有略顯極端的利益偏向色彩，我國對于兩種模式均不可照搬適用，而是應(yīng)當(dāng)在個人信息保護與互聯(lián)網(wǎng)產(chǎn)業(yè)發(fā)展之間建立一種平衡模式。

(二)我國保護Cookie信息的應(yīng)然舉措

在個人信息范圍不明的情況下，Cookie信息的保護無從談起，因此我國首先應(yīng)當(dāng)通過立法完善個人信息保護制度，明確個人信息保護范圍。此外，可以互聯(lián)網(wǎng)商提供的隱私協(xié)議為文本依托加強運營商對用戶Cookie信息的保護義務(wù)。

1.明確個人信息的保護范圍

我國《侵權(quán)責(zé)任法》采取的“全面列舉具體人格權(quán)+抽象的一般人格權(quán)利益保護”[8]的模式雖然賦予了法官更大的自由裁量空間，但是過大的裁量權(quán)往往也容易造成同案不同判的結(jié)果，導(dǎo)致法律適用統(tǒng)一性的滅失。面對個人隱私信息不斷遭受網(wǎng)絡(luò)技術(shù)的挑戰(zhàn)和侵害，我國有必要將個人信息權(quán)納入《侵權(quán)責(zé)任法》的保護范圍，以為個人尋求權(quán)利救濟提供法律依據(jù)。在確立個人信息權(quán)的同時，還要進一步明確個人信息的范圍。根據(jù)國家市場監(jiān)督局和國家標準化委員會2019年發(fā)布的《信息安全技術(shù)個人信息安全規(guī)范(草案)》(以下簡稱“《規(guī)范》”)中的界定，“個人信息是指以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合識別特定 自然人身份或者反映特定自然人活動情況的各種信息?！笨梢姡摋l對于個人信息采取的是“直接識別+間接識別”的認定模式，然而《規(guī)范》在“個人信息的判定標準”中卻提到：“從個人到信息，如已知特定自然人，則由該特定自然人在其活動中產(chǎn)生的信息 (如個人位置信息、個人通話記錄、個人瀏覽記錄等)即為個人信息。”[9]該內(nèi)容又將個人信息的范圍限縮至“可直接識別的信息”，將“間接識別”的信息排除在外，《規(guī)范》前后矛盾的內(nèi)容反映了當(dāng)前我國立法對于個人信息范圍的規(guī)定十分不明確。據(jù)此，筆者認為，為了更大程度地保護可通過技術(shù)進行識別的個人信息，同時也為了應(yīng)對將來可能出現(xiàn)的新類型的個人信息，我國應(yīng)當(dāng)堅持“直接識別+間接識別”的認定模式，在這種模式下能夠間接識別到特定個人的Cookie信息必然也會落入個人信息權(quán)的保護范圍。

2.強化網(wǎng)絡(luò)運營商對用戶信息的保護義務(wù)

首先，落實實質(zhì)公開告知原則。當(dāng)前互聯(lián)網(wǎng)運營商都制定了類似《隱私條例》的隱私政策，但是此類條例并未正真貫徹落實公開告知原則。一方面，條款的位置通常較為隱蔽，且未以明顯的方式進行標識。例如，百度公司雖然在網(wǎng)站首頁設(shè)置了《使用百度前必讀》的鏈接，但由于該鏈接位于頁面底端，字體較小且顏色偏淺，用戶一般很難注意到。另一方面，此類條例雖然意在公示其如何收集、使用、存儲、分享以及轉(zhuǎn)讓用戶個人信息，但是整體上較為形式主義，并未對收集、利用的信息進行詳細列舉。因此，應(yīng)要求互聯(lián)網(wǎng)運營商從實質(zhì)層面上落實公開告知原則，即應(yīng)當(dāng)將隱私政策放在網(wǎng)站首頁的顯眼位置，同時內(nèi)容也應(yīng)具體化、細致化，對其收集、利用的信息應(yīng)當(dāng)予以明示列舉，以最大程度地保障用戶的知情權(quán)。其次，應(yīng)當(dāng)完善同意制度。個人信息權(quán)設(shè)立目標是保障個人對自身信息的控制權(quán)，例如，根據(jù)GDPR規(guī)定，若網(wǎng)站想要利用信息記錄程序(Cookies)或者其他類似技術(shù)獲取用戶電腦上儲存的信息或者追蹤用戶的網(wǎng)絡(luò)行為習(xí)慣，需要得到用戶的同意后方可進行。[10]我國應(yīng)當(dāng)明確要求網(wǎng)絡(luò)運營商在采集、使用用戶Cookie信息時需要通知并取得用戶同意。為減少運營商的網(wǎng)絡(luò)運行成本，也為避免對用戶頻繁的干擾，可以根據(jù)Cookie信息的敏感程度以及使用用途分別采取明示和默示同意制度。對于信息敏感程度的認定應(yīng)當(dāng)站在一般人的角度，如涉及疾病、性、基因、醫(yī)療等方面的信息應(yīng)判定為敏感信息。運營商在采集敏感信息前必須履行提前告知義務(wù)，并由用戶作出準許與否的決定，若用戶不予準許的，運營商禁止采集，已經(jīng)采集的應(yīng)當(dāng)及時予以刪除；出于其他目的的，運營商應(yīng)當(dāng)及時履行告知義務(wù)，此種情況下無需征得用戶的明示同意。對于一般信息則采用默示同意，由用戶在簽訂隱私協(xié)議時采取概括同意。