池天成

(安徽大学 法学院，安徽 合肥 230000)

一、问题的提出：Cookie技术对个人网络隐私的威胁

当用户浏览网页时，服务器通常会以加密的方式，储存包括用户ID、密码、浏览网页、搜索关键词、停留时间等在内的信息，[1]即Cookie 信息。由于Cookie 信息可以清晰地反映用户的行为偏好和个人兴趣，互联网运营商们开始利用此类信息进行商业化运作。例如，运营商通过收集一定时期内用户在互联网上的踪迹信息，预测用户的偏好，再基于预测投放定向广告，以此获得收益。较之传统模式，“定向广告”提高了广告投放的针对性和有效性，在一定程度上也迎合了用户的需要，避免了随机投放广告造成的成本浪费。然而，在此过程中涉及运营商利用Cookie技术对用户信息的收集、应用和传输，这些行为不仅对用户的私生活造成了侵扰，还可能带来信息泄露的风险。

近年来频繁发生的Cookie隐私侵权案就是这一担忧的现实折射。在这些案件中，运营商通常以Cookie信息经过匿名化处理，不具有可识别性，不能指向特定个人为由进行抗辩，法院基于技术中立通常也接受此种抗辩理由。直至2012年，Netflix信息泄露事件的爆发彻底推翻了“Cookie信息不具可识别性”的论断。该事件中，有两名研究人员通过“反匿名算法”识别出Netflix“匿名数据集”中的很多用户。[2]39这一事件说明，当前Cookie技术的安全性尚无法得到完全保证，既然如此，我们就只能通过事先规制运营商的采集、使用行为来实现对个人Cookie信息的保护。然而，鉴于当前我国Cookie信息的权属性质尚未被明确，立法保护也因此缺乏落脚点。鉴于此，本文通过分析Cookie信息的性质，为其寻找立法层面的权属依据，进而提出相关完善建议，以期对日后研究有所助益。

二、Cookie信息的权属界定

在所有网络隐私侵权纠纷案中，2014年“百度公司与朱某隐私纠纷案”(下文简称“百度隐私纠纷案”)具有一定的代表性，谨以此案揭示我国司法界在界定Cookie信息性质时所面临的困惑。本案中，原告朱某认为百度公司在其不知情的情况下向其浏览网站投放定向广告的行为暴露了其兴趣爱好、生活特点，使其感到恐惧，精神高度紧张，影响了其正常生活，故向法院提起隐私侵犯之诉。一审法院认定百度公司侵犯了朱女士的隐私权，但是在界定Cookie信息属性时却出现了摇摆：判决书先后指出“朱某的网络活动踪迹反映了个人的兴趣、需求等私人信息”“百度网讯公司侵犯朱烨隐私权的行为使朱烨困扰于自己不愿为他人所知的私人活动已经被他人知晓”，即一审法院先后认定Cookie信息为“个人信息”和“私人活动”，然而这两者并不具有同一性。二审判决的措辞同样令人费解：一方面，认定“该数据信息的匿名化特征不符合‘个人信息’的可识别性要求”，将Cookie信息排除在“个人信息”范围之外。另一方面，又认可检索关键词记录“具有隐私属性”，认定其为“碎片化信息”，如此一来，Cookie信息所为何物变得愈发扑朔迷离。

且不论判决结果正确与否，至少从判决书本身来看，两级法院均试图对Cookie信息进行认定，但是又均在“个人信息”和“个人隐私”之间摇摆不定，最终以失败告终。原因很简单，在我国，个人隐私和个人信息呈现出一种错综交叉的关系，即有部分个人信息具有敏感性属于个人隐私，其他个人信息因高度公开性不属于个人隐私。[2]39因此，在探讨Cookie信息的权利归属之前笔者欲对隐私权和个人信息权从理论层面进行辨析。

首先，从权利价值进行考量。私人隐私和个人信息都具有人格尊严和自由的人格权益，不同之处在于个人信息还包含财产性利益。波斯纳认为，人们无一例外地拥有信息，这些信息在有些时候对他人和社会是有价值的，他们会愿意付出代价来购买这些信息。在市场经济环境下，个人信息的商业价值是有目共睹的，商家想方设法收集消费者的个人信息并不为了了解这些消费群体，而是为了通过分析这些信息共性来满足其自身或其他使用人的需要，更直白地说，商家收集个人信息只是建立和扩展财源的一种途径。其次，从权利内涵来看，隐私权的重心在于保护个人秘密不被披露，不在于保护这种秘密的控制与利用。[3]而个人信息权背后体现的则主要是法律对个人控制其资料信息的尊重，这种控制表现在信息的所有者有权了解搜集信息的主体，被搜集的内容、用途、是否客观全面等。[5]189再次，从权利性质来看。隐私权是一种绝对单纯地对抗他人不法侵入的消极性权利，强调绝对保护，在该权利遭受损害之前，个人无法积极主张行使。[4]而个人信息权作为一项积极性权利，权利人有权要求未经许可收集、利用的行为人更改或删除其个人信息，进而排除他人非法利用行为或者使个人信息恢复到正确状态。最后，从范围上看，个人信息包括隐私信息，但并非所有个人信息都属于隐私，只有让主体人格尊严受到严重社会影响或者导致主体社会评价被降低的个人信息才能称得上是隐私。[5]197

通过对两种权利的比较分析，笔者认为Cookie信息更适合被纳入到个人信息权的保护范围，基于两点理由：其一，价值体现上，Cookie信息具有一般人格利益和财产利益。前文业已提出，Cookie信息具有间接的身份识别性，它可以识别个人的上网踪迹、浏览记录，勾勒出用户的上网轨迹，是一种全过程的记录。同时，Cookie信息也具有财产利益：大数据时代，互联网运营商通过Cookie技术挖掘用户个人各项数据记录并向其精准投放个性化广告，这一技术开创了互联网环境下“依靠广告提供免费服务”的商业模式。同其他个人信息一样，Cookie信息也具有交易性和稀缺性，网络服务商从广大用户处搜集的数字足迹信息越准确和详尽，这些信息用于商业广告的价值就越大。其二，基于信息保护的立场。互联网服务商将Cookie信息投入商业使用往往会经历三个环节：收集信息、公开信息和利用信息，用户基于不同的权利主张，侵权诉求成立与否也有所不同。若以隐私权为权利主张，个人只有当Cookie信息被公开时才能请求权利救济。然而在网络高度发达的今天，具有敏感性质的个人信息一旦被公开，就可能造成无法弥补的损失，例如频频发生的“人肉搜索”案。相比之下，个人信息权作为一项积极性权利，在他人未经许可对其信息进行收集时，权利主体即可寻求法律保护。鉴于网络用户与运营商信息严重不对称的特殊地位，有必要对运营商从信息获取的源头就加以限制，即要求运营商在收集Cookie信息前需征得用户的明示或默示同意。

三、Cookie信息保护路径的完善

当前，欧盟和美国在个人信息保护方面起着引领作用，对世界各国制定自己的个人信息保护法具有普遍的参考意义。但是两者制度在某些方面体现出较大的差异性，在此笔者欲通过对两者制度进行比较，在结合本国国情基础上，为我国Cookie信息保护制度的完善探寻出路。

(一)欧美个人信息保护制度的比较

两者的主要区别体现在对个人信息采取的保护模式上。美国采取行业自律为主导的模式，即主要依靠网络服务者的自我约束和行业协会的监督。然而，美国的行业自律规则通常只对内部产生效力，言外之意，对于大量未加入自律组织的公司来说，起不到任何约束和规范作用。例如，由美国隐私在线联盟(OPA)制定的隐私指引只能要求参加相关自律组织的成员承诺并遵守。在立法方面，美国力图寻找一个平衡点，以协调用户隐私权保障与互联网行业发展之间的关系。然而，其通过扩张适用普通法的隐私权概念来完善个人信息保护法，实则是以“旧瓶装新酒”的方式保护个人信息，[6]在很大程度上依然表现出对行业自律规则的巨大依赖。欧盟对个人信息采用立法主导保护模式，即通常由政府从法律上确立网络信息权保护的各项基本原则与各项具体的法律规定、制度，并在此基础上建立相应的司法或行政救济措施。在所有关于个人信息保护的立法中，欧盟制定的《数据保护指令》具有里程碑式的意义，其明确规定数据信息主体享有“权利保护获取权、拒绝权和获得救济的权利”。在《指令》的基础上，于2018年5月通过实施的欧盟《通用数据保护条例》(General Data Protection Regulation，简称GDPR)进一步提高了对个人信息保护力度。该条例在《数据保护条令》的基础上进一步扩大了“个人数据”的范围，并且赋予了欧盟域外管辖权——只要与欧盟企业发生业务往来，或涉及存储、处理、交换任何欧盟公民数据都在该条例管辖之内，故被称为“史上最严”个人信息保护条例。[7]

不同保护模式下侧重的利益也有所不同。如前文所述，美国法官对于PII的认定采取限缩解释政策，这在某种程度上否定了Cookie信息的个人信息属性。此种界定存在一定隐患：法官对于利益保护的偏向可能会不断促使互联网运营者在客户信息保密方面松懈的责任意识。美国频频发生的“信息泄露”事件就是对这一模式弊端的最佳佐证。欧盟则更倾向于在立法上通过限制互联网运营商的信息处理权限来实现对个人信息的保护。此种模式会促进网络服务提供者搜集用户个人信息的行为更加规范，相对于用户来讲也更加透明。然而，过于严格的数据收集和处理规则在客观上也会增加信息产业的运营成本，降低网络服务的输出效率，长此以往可能会严重阻碍互联网产业的发展。

由此可见，无论美国还是欧盟，其保护模式都具有略显极端的利益偏向色彩，我国对于两种模式均不可照搬适用，而是应当在个人信息保护与互联网产业发展之间建立一种平衡模式。

(二)我国保护Cookie信息的应然举措

在个人信息范围不明的情况下，Cookie信息的保护无从谈起，因此我国首先应当通过立法完善个人信息保护制度，明确个人信息保护范围。此外，可以互联网商提供的隐私协议为文本依托加强运营商对用户Cookie信息的保护义务。

1.明确个人信息的保护范围

我国《侵权责任法》采取的“全面列举具体人格权+抽象的一般人格权利益保护”[8]的模式虽然赋予了法官更大的自由裁量空间，但是过大的裁量权往往也容易造成同案不同判的结果，导致法律适用统一性的灭失。面对个人隐私信息不断遭受网络技术的挑战和侵害，我国有必要将个人信息权纳入《侵权责任法》的保护范围，以为个人寻求权利救济提供法律依据。在确立个人信息权的同时，还要进一步明确个人信息的范围。根据国家市场监督局和国家标准化委员会2019年发布的《信息安全技术个人信息安全规范(草案)》(以下简称“《规范》”)中的界定，“个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定 自然人身份或者反映特定自然人活动情况的各种信息。”可见，该条对于个人信息采取的是“直接识别+间接识别”的认定模式，然而《规范》在“个人信息的判定标准”中却提到：“从个人到信息，如已知特定自然人，则由该特定自然人在其活动中产生的信息 (如个人位置信息、个人通话记录、个人浏览记录等)即为个人信息。”[9]该内容又将个人信息的范围限缩至“可直接识别的信息”，将“间接识别”的信息排除在外，《规范》前后矛盾的内容反映了当前我国立法对于个人信息范围的规定十分不明确。据此，笔者认为，为了更大程度地保护可通过技术进行识别的个人信息，同时也为了应对将来可能出现的新类型的个人信息，我国应当坚持“直接识别+间接识别”的认定模式，在这种模式下能够间接识别到特定个人的Cookie信息必然也会落入个人信息权的保护范围。

2.强化网络运营商对用户信息的保护义务

首先，落实实质公开告知原则。当前互联网运营商都制定了类似《隐私条例》的隐私政策，但是此类条例并未正真贯彻落实公开告知原则。一方面，条款的位置通常较为隐蔽，且未以明显的方式进行标识。例如，百度公司虽然在网站首页设置了《使用百度前必读》的链接，但由于该链接位于页面底端，字体较小且颜色偏浅，用户一般很难注意到。另一方面，此类条例虽然意在公示其如何收集、使用、存储、分享以及转让用户个人信息，但是整体上较为形式主义，并未对收集、利用的信息进行详细列举。因此，应要求互联网运营商从实质层面上落实公开告知原则，即应当将隐私政策放在网站首页的显眼位置，同时内容也应具体化、细致化，对其收集、利用的信息应当予以明示列举，以最大程度地保障用户的知情权。其次，应当完善同意制度。个人信息权设立目标是保障个人对自身信息的控制权，例如，根据GDPR规定，若网站想要利用信息记录程序(Cookies)或者其他类似技术获取用户电脑上储存的信息或者追踪用户的网络行为习惯，需要得到用户的同意后方可进行。[10]我国应当明确要求网络运营商在采集、使用用户Cookie信息时需要通知并取得用户同意。为减少运营商的网络运行成本，也为避免对用户频繁的干扰，可以根据Cookie信息的敏感程度以及使用用途分别采取明示和默示同意制度。对于信息敏感程度的认定应当站在一般人的角度，如涉及疾病、性、基因、医疗等方面的信息应判定为敏感信息。运营商在采集敏感信息前必须履行提前告知义务，并由用户作出准许与否的决定，若用户不予准许的，运营商禁止采集，已经采集的应当及时予以删除；出于其他目的的，运营商应当及时履行告知义务，此种情况下无需征得用户的明示同意。对于一般信息则采用默示同意，由用户在签订隐私协议时采取概括同意。