张 雨

一、 网络定向广告的本质是信息的交互与融合

网络定向广告(又被称作网络行为定向广告)是指网络服务提供者利用网络追踪技术收集、整合网络用户的信息，并按照用户的特征进行类型化存储，然后再利用网络广告配送技术向特定的网络用户发送“个性化”的广告内容。网络定向广告在本质上是一种信息的交互与融合。定向广告的投放需要以大量的数据存储为基础，以便能在最大范围内搜索并追踪特定用户的网络行为，而通过与预设的行为模型进行匹配，就能精准预测到该网络用户的消费偏好。围绕着信息的收集、加工与利用，网络定向广告的投放被划分为线下信息收集、市场细分、信息匹配与客户定向四个阶段。(1)FTC, Data Brokers， A call for Transparency and Accountability, available at https://www.ftc.gov/reports/data-brokers-call-transparency-accountability-report-federal-trade-commission-may-2014。其涉及的主体包括广告商、数据经纪商、广告投放目标网站与消费者。广告商是广告服务的需求方，数据经纪商是广告服务的提供方，广告投放目标网站是广告的媒介，消费者则是目标客户。因前三者均具有提供网络服务的功能，一般将其统称为“网络服务提供者”。

在市场细分阶段之前，广告商基于其线下的营销活动可以对其消费者的信息进行收集。例如，消费者在广告商实体店购买商品成为其会员，而向其提供信息。数据经纪商也可以将广告商线下收集的消费者信息附加至cookies信息之中，以便对消费者的线上活动进行追踪，此即“数据打通”。在市场细分阶段，数据经纪商根据广告商的要求制作消费者行为样本信息，以帮助广告商找到最符合其营销目标的消费者信息。针对老客户，数据经纪商将其数据库中的信息与广告商所提供的客户清单信息进行比对，以此来预测老客户对新产品的兴趣度。针对新客户，数据经纪商可以直接帮助广告商在其数据库中找到新目标消费者的信息片段。在信息匹配阶段，数据经纪商将上一阶段制作而成的消费者行为样本信息与广告投放目标网站上的外围信息进行匹配，以此来预判该目标网站是否有相匹配的目标消费者群体。广告投放目标网站主要是注册网站。数据经纪商通过购买注册网站上的消费者信息片段，并通过与之长期合作以保证该网站预留充足的广告投放空间。一般来说，数据经纪商常常是该注册网站的关联公司或者合作伙伴。在客户定向阶段，数据经纪商利用目标网站的网络服务器在用户浏览器上植入信息记录程序(如cookies、web beacon, pixel、web bug等程序)以收集、追踪、定位消费者信息的过程。一旦用户访问该目标网站，用户的浏览器客户端就被植入信息记录程序。在信息记录程序中，数据经纪商通过附加样本行为信息片段的方式来筛选并识别特定消费者。数据经纪商收集的信息，不仅包括用户输入的文本信息，还包括用户的点击行为、浏览痕迹等信息。一般来说，“定向”主要有两种形式：一种是访客找回，其目标对象是曾经访问过网页并已对广告品牌有所了解的用户，其通常只展示用户曾经浏览过、搜索过或者购买过的产品；另一种是跨渠道营销，其目标对象是不同渠道的同一受众消费者，但是以上不同渠道之间通常是合作伙伴关系或者是关联公司关系。

二、“定向”存在侵害隐私权与信息权的嫌疑

从网络定向广告投放的基本流程(见图1)来看，“定向”是网络广告商实现精准营销的关键环节。“定向”至少包括三个方面的内容：一是收集消费者的信息；二是对消费者的特征进行分析与类型化；三是筛选、识别目标消费者并向其投送广告。前一项内容一般被描述为“追踪”，而后两项内容则是对目标消费者的“识别与锁定”。可见，网络定向广告实质上是一系列连续的信息收集、处理与利用行为，而这种信息收集、处理与利用行为具有侵害消费者隐私与信息权益的嫌疑。

图1 网络行为定向广告投放流程图(2)图为作者绘制。

第一，“定向”未经用户同意而秘密收集消费者信息。cookies是“定向”最常用的技术手段，其潜伏在消费者的浏览器存储之中。只要消费者不删除cookies，广告商与数据经纪商就能随时获取消费者所有的信息动态。除此以外，广告商还可以甄别用户所使用的特定网络浏览器以及装载在其系统内的字体设定等特征，来画出用户的“指纹图谱”，依靠该指纹图谱来全面跟踪、监视消费者。(3)Chris Jay Hoofngle, Ashkan Soltani.etc, Behavioral Advertising: The Offer You Cannot Refuse, Havard Law &Policy Review, Vol.6,2012; Lisa Weintraub Schifferle, Online tracking - more than cookies， https://www.consumer.ftc.gov/articles/0042-online-tracking, visited on Nov.12,2019.针对cookies，消费者可以通过设置其浏览器配置，定期删除等手段防止其网络行为被追踪记录，但数据经纪商与广告商为了更加精准地掌握消费者信息，又开发出了新的更具隐蔽性的技术手段。例如，Adobe 公司开发的Flash cookies存储在浏览器目录之外。即使用户换了网络服务器，网站也能读取这些Flash cookies。除了设置cookies隐蔽之外， “定向”监视的隐蔽性还表现在消费者对信息控制者的未知。例如，某些第三方网站在知名网站上设置只有像素大小的“网络臭虫”来收集个人信息。网络用户在访问知名网站时，其浏览器就有可能会被植入第三方网站的信息记录程序，而自己却毫不知情。消费者根本就无法辨别是谁在何时何地收集并利用了其个人信息。

第二，“定向”利用大数据精准识别至特定消费者个人。广告商与数据经纪商对消费者的“身份锁定”包含有两重内涵：一是识别消费者的网络身份；二是将消费者的网络身份与现实身份进行匹配。消费者网络身份的确认是将收集的数据与个人相联系的过程。一般来说，数据经纪商所收集的信息并不包含有姓名、物理地址或其他直接表明消费者个人身份的识别符号。(4)Dustin D.Berger, Balancing Consumer Privacy With Behavioral Targeting,Santa Clara Computer & High Technology Law Journal, Vol.27,2011.广告商与数据经纪商只能通过Cookies及其类似信息记录程序中独一无二的识别序号来识别消费者。对于广告商与数据经纪商而言，消费者网络身份的识别只需要读取该识别序号即可。例如，在“访客找回”过程中，数据经纪商利用cookies收集消费者的搜索、浏览与购买痕迹信息，通过识别序号提取信息后就能找到该特定的消费者。然而，此时广告商找到的可能仅仅是消费者的网络终端设备，即“电子人”(5)Daniel J. Solove, The Digital Person: Technology and Privacy in the Information Age, published by: New York University Press, 2006,pp.13-18.。某些广告商要更加精准地营销，需要找到“现实人”。要实现“电子人”与“现实人”身份的匹配，cookies识别序号并不能实现。(6)Daniel J. Solove, A Taxonomy of Privacy, University of Pennsylvania Law, Vol.154,No.3,2006,pp.477-564.“电子人”与“现实人”身份的对接需要借助数据附加与数据聚合等手段。例如，数据附加是广告商向数据经纪商购买其目标客户群的额外信息以便进行邮件、电话、E-mail 等信息进行影响。广告商购买的额外信息主要是一些能够直接接触到现实消费者的信息，如手机号码、家庭住址、电子邮箱等。数据聚合则可以通过汇总并整合消费者在不同网络平台或者其他信息渠道上所遗留的信息片段，以此来描绘消费者整体形象，从而找到现实中的消费者本人。

三、我国网络行为定向广告法律规制现状与司法实践

自2013年央视“3·15”晚会曝光了易传媒等网络广告公司利用cookies技术跟踪用户之后，网络用户们对网站浏览器利用cookies收集个人信息开始有所关注。2015年“朱烨诉百度”案则正式揭开了中国的网络定向广告隐私侵权第一案。尽管该案件最终判决原告败诉，但从一审判决与二审判决的审判逻辑来看，我国司法实践对于个人信息的保护思路已经从单纯的隐私信息保护向一般个人信息保护转变。一审判决将cookies信息假定为“个人隐私信息”进行论证，而二审判决则将其假定为“一般个人信息”，并适用“个人识别性”标准来判断是否侵犯个人信息权。(7)王融：《反转的法律天平——我国cookies隐私第一案判决》，《现代电信科技》2015年10月。至此，网络定向广告中的个人信息保护问题在我国引起了广泛讨论。

(一)我国网络定向广告法律规制的现状

法律规制是指依据法律或者其他的正式规则，通过行政机构及其授权的第三方主体对规制对象进行监控来获取规制所需信息，以强制执行的手段来实现行为矫正。我国目前有关网络定向广告规制的法律法规主要包括《中华人民共和国广告法》(以下简称广告法)、《中华人民共和国侵权责任法》(以下简称侵权责任法)、《中华人民共和国消费者权益保护法》(以下简称消费者权益保护法)等，行业标准则主要包括《中国互联网定向广告用户信息保护行业框架标准》(以下简称行业框架标准)与《信息安全技术——个人信息安全规范》(国家标准GB/T35273—2017，以下简称个人信息安全规范标准)。前三大法律对互联网广告行业及其引发的侵权行为进行规制，形成了基本的法律规制框架。而广告协会互动网络分会制定的行业框架标准则是专门针对网络行为定向广告中的个人信息保护问题所制定的行业规范，该标准明确了网络定向广告的具体内涵，并规定了相关主体在网络定向广告投放过程中有关个人信息保护方面需要遵循的自律性规则。但在效力层级上，该标准只是一个行业性标准，尚没有成为一个具有普遍效力的官方正式规则。除此之外，个人信息安全规范标准则专门针对个人信息保护制定了一系列行业标准。根据以上规范性文件，网络定向广告投放过程中所涉及的网络个人信息主要有三类：个人隐私信息、能够识别个人身份的信息以及用户使用网络服务的时间与位置信息。(8)2012年全国人大常委会颁布的《关于加强网络信息保护的决定》规定：国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息。2013年工业和信息化部颁布的《电信和互联网用户个人信息保护规定》第四条规定：本规定所称用户个人信息，是指电信业务经营者和互联网信息服务提供者在提供服务的过程中收集的用户姓名、出生日期、身份证件号码、住址、电话号码、账号和密码等能够单独或者与其他信息结合识别用户的信息以及用户使用服务的时间、地点等信息。

(二)对我国网络定向广告隐私侵权第一案的分析与检讨

在“朱烨诉百度”一案中，朱烨起诉百度的侵权行为是“利用网络技术记录与追踪搜索关键词，将其兴趣爱好、生活学习工作等信息显露在网上，并向其进行个性化广告推荐”(9)朱芸阳：《定向广告中个人信息的法律保护研究——兼评“cookie隐私第一案”两审判决》，《社会科学》2016年第1期。。一审判决认为百度的行为侵犯了朱烨的隐私权，因为隐私侵权包括不当收集、利用他人隐私信息，其采纳的是一种“个人信息控制”理论。二审判决则认为，关键词信息并没有向第三方或者公众展示，不符合隐私侵权的要件，并且关键词信息只能识别到朱烨所使用的浏览器，而不能直接识别出朱烨本人。其采纳的是一种“免于公开+秘密”隐私理论。两次判决争议的焦点有二：一是“定向”信息是否具有个人识别性，二是“定向”信息是否具有隐私性。可见，目前我国司法实践对于网络行为定向广告是否构成侵权的判断主要有“个人识别性”与“隐私性”两个标准。

1.对“个人识别性”标准的分析与检讨

网络信息是否构成个人信息，其标准在于“是否具有身份识别性”或者说“信息能否指向特定个人”。一般来说，信息与个人之间的关系有三种形式：一是个人是信息的来源体，二是信息是对个人的描绘，三是信息是对个人的工具性映射(10)Jerry Kang, Information Privacy in Cyberspace Transaction, Stanford Law Review, Vol.50,No.4,1998.。在第一种情形下，个人是信息的创造者与生成者。例如，个人在注册网站上登记的信息，个人利用网络与他人对话的信息等。在第二种情形下，信息是对个人特征的描述。尽管个人并不是该信息的创造者，但是从信息内容上可以识别出对该特定个人的描述。在内容上，信息既可以是对个人生物性特征的描述(如身高、血型、体重、DNA等)，也可以是对个人社会性特征的描述(如婚姻状况、性取向、宗教信仰等)。在形式上，信息既可以是详细而整体的描述，也可以是抽象而分散的描述。例如，信息既可以具体到某人在某时访问了某一个网页并浏览了某一个产品，也可以只包含有某一独有的特征要素。在第三种情形下，信息在内容与形式上均与个人没有直接的关系，但是却由于特定的指代与映射关系而成为个人身份的象征。例如，银行账号、手机号码、社保账号、登录密码等。第三种类型的信息往往是为了保障用户在网上使用特定服务的安全而设置的代码信息。以上三种形式的个人信息并不是相互排斥的，而总是相互重叠与融合。因而，除了直接识别之外，个人信息还可以通过多种信息片段的组合、比对等间接方式得以识别。

在网络定向广告的投放流程中，“定向”阶段所收集、处理与利用的信息既包括实时的消费者信息，又包括上一阶段处理之后的消费者样本行为信息。前一类型的信息是直接来源于消费者的信息，而后一类型的信息则是一种对消费者某一特征进行描述的信息。例如，广告商需要向“爱好皮草”的消费者投放定向广告。张三曾在某搜索引擎中输入“紫貂皮大衣”这一关键词。“爱好皮草”这一信息就属于一种类型化信息，而张三的“紫貂皮大衣”就是来源于消费者的信息。信息记录程序要完成的任务就是要找到符合“爱好皮草”这一特征的消费者，其工作原理就是看该消费者是否在网络上搜索、浏览、购买过皮草。只要消费者浏览器中的信息记录程序识别到该消费者符合以上特征，该程序就会及时向广告商发出通知，张三就会在其浏览的网页中看到广告商的皮草广告。可见，“紫貂皮大衣”这一关键词是泄漏张三网上行踪的关键。尽管张三输入的“紫貂皮大衣”关键词只能反映出张三的部分特征，但是这并不妨碍广告商据此来识别网上的“张三”。此即“定向”的第一种形式“访客找回”。在“朱烨诉百度”一案中，百度所采用的正是“访客找回”定向技术。然而，我国司法实践却并不认同“张三”的这一网络身份，需要证明的是“张三”的网上身份具有与其现实身份等同的可能性。从网络定向广告的投放来看，“张三”的现实身份具有识别的可能性。广告投放目标网站常常是一些访问量比较大的注册网站，网站在注册过程中会掌握用户的基本信息，其中手机号码与联系方式信息是经常被收集的信息。有些网站甚至直接使用用户的手机号码作为登录的账号。随着实名制手机号码的推广，广告商只要掌握了用户的手机号码，就完全可以直接联系到现实中的消费者。与此同时，数据经纪商与网站一般都是关联公司或者合作伙伴，在内部实现了用户信息的共享与融合。在多个渠道信息融合的过程中，数据经纪商完全可以将其收集到的个人信息进行交互从而完整勾画出消费者的特征。例如，如果广告商想要进一步了解“张三”的信息，并通过其他渠道向“张三”投放广告，其还可以采用“跨渠道营销”的定向方式。数据经纪商可以根据广告商的要求，在其库存数据库或者其他公开渠道中找到“张三”，并不断地附加“张三”的信息，如张三的住址信息、手机号码、E-mail等。随着信息的不断附加与完善，“张三”的身份信息逐渐明晰。这也就意味着广告商不仅能找到网上的“张三”，也完全有可能找到现实中的“张三”。因此，在网络广告“定向”过程中，消费者的信息完全具有“个人身份识别”的可能性。

2.对“隐私性”标准的分析与检讨

从“朱烨诉百度”一案的两次判决来看，我国司法实践对于判断信息“隐私性”的标准存在比较明显的分歧。一审判决适用的是“个人信息控制”隐私理论，二审判决适用的是“免于公开+秘密”隐私理论。出现这种分歧的原因主要有二：一是隐私概念本身的不确定性；二是我国现行法律没有清晰地界定隐私概念的范畴。在形式上，隐私不仅包括私人领域免受侵入、自主选择不受干预的消极形式，还包括个人信息控制这一积极形式。(11)Jerry Kang, Jerry Kang, Information Privacy in Cyberspace Transaction, Stanford Law Review, Vol.50,No.4,1998.在内容上，隐私则包含有至少六重内涵：独处权、有限自我接近、秘密、个人信息控制、人格、亲密。(12)Daniel J. Solove, Conceptualizing Privacy, Canifornia Law Review, Vol.90,No.4,2002.隐私概念的不确定性导致其法律适用结果具有不可预见性。尽管我国法律暂时缺乏对隐私的明确界定，但司法实践一般多采用狭义隐私概念。隐私信息一般被狭义地界定为“不宜向第三方公开的秘密信息”。此界定在形式上侧重于消极保护，在内容上有过于狭隘的嫌疑。不论是一审判决的“个人信息控制”隐私理论，还是二审判决的“免于公开+秘密”隐私理论，均存在不足。

第一，“免于公开”标准过于狭隘。首先，公开对象被限定为“第三人”，但“第三人”却并不确定。信息本身就是与他人交往、交易过程中产生的，在本质上就具有一定的公开性。网络的开放与共享特性使得绝对保密的信息根本就不存在，因为网络平台让信息的传输总是有迹可循。网络定向广告通过设置cookies、间谍软件等隐蔽的手段潜伏在消费者的计算机及其他网络终端设备之中，随时监视消费者的网上行为，这本身就打破了“公开”的界限。其次，个人在网络上的行为活动建立在一种潜在的信任关系之上：个人相信网络服务提供者不会将其个人信息向第三方公开。然而，在网络行为定向广告中，网络服务提供者(如注册网站)通过与消费者签订隐私政策的方式获取个人同意而利用其信息，但是却并没有真正履行“不向第三方公开用户信息”的义务，而是将其收集到的个人信息提供给数据经纪商与广告商。原因在于这些网站与数据经纪商、广告商之间通常存在着关联关系或者合作关系。而网络用户却根本就不知道广告商、数据经纪商与网站之间的这种关系，更不知道网站会与其分享哪些信息。即使用户怀疑其信息被不正当地公开与使用了，也很难辨别出是哪个信息利用者的过错。因而，个人也很难找到他们应当起诉的被告，从而丧失了有效的私法救济权。

第二，“秘密”标准界定过窄。首先，秘密具有相对性。例如，甲在网上与乙进行对话，告知乙其得了性病。在甲与乙之间，“甲得性病”这一信息不属于秘密，因为甲基于自愿而告知乙。但某广告商丙利用间谍软件窃取了甲与乙的会话信息，并向其投放定向广告。在甲与丙之间，甲的信息就属于秘密。其次，秘密的信息并非全是隐私，而隐私也不一定全是秘密。“秘密”或者“保密”只是隐私的一个特征，并不能涵括所有的隐私内涵。网络定向广告向消费者推送具有隐私属性的信息可能并不一定是秘密。最后，个人将其信息上传至网络，目的可能并不是要完全阻隔他人获取其信息，而是为了与他所期待的特定人群进行信息分享。但如果严格适用“免于公开”标准，个人信息只要存在被他人知悉或者公开的可能性，不论他人是否已经真实接收到该信息，均会使该信息不再具备“隐私利益”。

第三，“个人信息控制”标准也存在缺陷。首先，个人信息具有复杂性。其既是一种个人的自我表达，又是一系列事实的构成，还是关于个人自身行为的历史记录。且个人信息常常处于与他人的关系之中，因而个人要对其信息施加控制总会受到处于该关系中的其他当事方影响。如果将个人信息与传统交易中的商品等同视之，就会产生权利归属的争议(13)Julie E. Cohen, Examined Lives: Informational Privacy and the Subject as Object, Stanford Law Review, Vol.52,No.5,2000.。例如，在网络定向广告投放过程中，数据经纪商、广告商以及广告投放网站处于信息控制者的地位，其实质上占有了“个人信息”。但是个人信息在内容、形式等多个方面却与信息主体密切联系。其次，个人信息控制标准并没有明确定义“控制”。对“控制”的理解经常与“占有”、“所有”等方式相联系。但是个人信息不仅包含财产性利益，还包含人格尊严性利益。网络定向广告对个人信息的利用只能是对财产性利益的占有，而不是对人格尊严利益的占有。最后，个人对其信息的控制受到情境等外界因素的制约，并非适用于所有的情形。“控制”潜在地蕴含有一种权力等级内涵，即谁占有某物就能基于该物而对他人之行为施加影响。(14)C. Edwin Baker, Property and Its Relation to Constitutionally Protected Liberty, University of Pennsylvania Law Review,Vol.134,No.4,1986.例如，在网络信息传递过程中，信息控制者与信息主体之间的权利是不对称的，个人能否对其信息做出有意义的选择尚存可疑。在网络定向广告中，网站常常通过与网络用户签订“隐私政策”的方式来获得消费者的同意。但是大部分消费者的这种“同意”并非建立在详细知悉定向风险的基础之上，而是因为消费者只能被动地点击“同意”按钮，否则其就被排除在网站之外。

四、我国网络行为定向广告法律规制在个人信息保护方面的不足

从宏观上来说，目前我国网络行为定向广告之所以难以受到法律规制，一方面是由于规制标准与监督机制的欠缺与不完善，另一方面则是由于受到互联网产业部门利益博弈的牵制，行为矫正目标难以实现。(15)任何规制方式均包含有三大要素：一是规制机制所涉及的目的、标准及规范，二是监督或反馈活动信息的机制，三是行为调整与矫正机制。Andrew Murray and Colin Scott, Controlling the New Media: Hybrid Responses to New Forms of Power, The Modern Law Review, Vol.65, No.4,2002,pp.491-516.具体而言，其存在如下不足：

第一，规制标准不明确。正如前文所述，我国司法实践对于网络行为定向广告侵权标准的判断存在局限性。造成这种局限性的原因主要在于：一是网络广告“定向”手段使得“隐私信息”与“个人信息”的界限模糊不清。网络定向广告利用“定向”技术对个人信息进行添加、聚合，从而使很多在现实情形中不构成隐私的信息片段转化为隐私信息。但消费者却不能适用隐私权规范获得救济。二是网络广告“定向”侵权客体不清晰。正如上文所分析的那样，我国现行法律对于“隐私权”与“个人信息权”的规定也不甚明确。当事人在起诉时很难明确区分“隐私权”与“个人信息权”这两个界限模糊的权利，司法实践在适用标准上也很难达到一致。司法实践对“隐私权”的狭义界定使得很多网络信息被排除在“隐私信息”的范畴之外。而“个人信息权”的个人识别性标准也过于狭隘，网络用户的“电子人”身份必须与“现实人”身份相对接才能认定其信息具有个人识别性。以上种种原因导致网络用户因网络定向广告侵权所受之损害难以获得救济。

第二，规制权力不集中。根据广告业协会行业框架标准的规定，中国广告协会互动网络分会是我国目前对网络行为定向广告的主要行业监管机构，其他单位依据框架标准设立的执行委员会接受其监督。但该框架标准只是一种行业标准，缺乏正式规则的强制性与权威性。而根据《广告法》第四十九条的规定，市场监督管理部门应当建立健全广告监测制度。尽管市场监督管理部门具有足够的强制性与权威性，但广告业并不是其唯一的监管对象。而网络行为定向广告所侵害的权益主要是消费者的隐私权益与信息权益，且侵害行为具有隐蔽性与举证责任困难的特点。市场监督管理部门不仅要耗费巨大的时间与精力来对其进行识别与判断，还要面临数量巨大的投诉意见处理任务。这势必会导致救济的不及时与规制的不到位。与此同时，我国当前也暂未成立专门的个人信息利用管理机构，对信息控制者的信息处理行为进行监督与审查。这就在一定程度上导致了规制机构在规制权力方面的分散，从而使得某些疑难复杂的网络行为、定向广告侵权行为游离于法律规制的边界之外。

第三，规制手段单一滞后。单一滞后会使得规制机制难以应对新技术发展带来的难题。尽管我国目前已经制定了相关的个人信息利用标准，如2017年颁布的个人信息安全规范标准，但是以上标准在某些方面仍然难以适应新技术发展带来的难题。该标准要求网络广告商们在利用个人信息时获得信息主体的同意，并允许用户选择是否同意。但广告商与数据经纪商们开发出更隐蔽、更难以甄别的程序，让用户的选择权失效。例如，消费者可以通过删除其浏览器中存储的cookies，来规避某些网上追踪与信息聚合。而某些网站，如美国的葫芦网(hulu.com)可以利用cookies恢复技术与缓存实体标记 (cache Etags)使消费者疲于删除与屏蔽cookies。(16)Chris Jay Hoofngle, Ashkan Soltani.etc, Behavioral Advertising: The Offer You Cannot Refuse, Havard Law &Policy Review, Vol.6,2012.因为这些追踪载体对消费者的屏蔽与删除具有对抗性。消费者即使删除cookies，也能自行恢复跟踪，而消费者却毫不知情。与以上现实不适应的是，我国目前的网络广告规制手段仍然比较传统且单一，且常常具有滞后性。传统的命令—控制型规则强调对抗并通过威慑的方式来实现法律遵从，势必会迫使网络服务提供者采取更为灵活与隐蔽的方式来制造“信息缺口”，使得权利被侵害的网络用户之权利更难获得救济。当然，广告商与数据经纪商也可以利用新技术优势故意扩大这一“信息缺口”从而使其免受法律规制。除此以外，广告商与数据经纪商的网络跟踪技术更新过快，单纯依靠消费者而缺乏专业机构的介入很难及时洞察其最新发展动态。规制机构需要借助专业的信息技术及时追踪网络行为定向广告投放者的新技术发展，并对该新技术发展所带来的规制问题进行评估与分析。但有时即使有专业机构的介入，也很难赶上广告商们的技术开发速度。

五、对网络定向广告中的个人信息保护的建议

由以上分析可知，网络定向广告法律规制困境之根本在于广告商、数据经纪商与消费者的权利不对称。网络定向广告法律规制只能在维护互联网产业部门利益与网络用户个人权益平衡的基础之上进行。作为网络服务提供者一方，广告商与数据经纪商占据了网络平台这一重要的市场资源。要完全颠覆网络服务提供者的强势地位在现实上尚不可能。当前我国的网络广告“定向”侵权法律规制不应只从消费者一端强调“用户自行决定”的权利，而应当增强对广告商与数据经纪商信息收集、处理与利用行为的规制。具体而言，应从以下几个方面进行规制：

第一，强化网络定向广告投放者对网络用户的透明义务与通知义务。透明是消费者做出理性选择的必要条件。对于是否接纳网络广告定向，网络用户做出理性选择的前提在于对定向有足够多的了解。网络服务提供者应当定期公开其收集、利用个人信息的情况，让消费者对其网络信息利用的动态有更为直观的了解。这种信息利用情况的透明与公开必须成为一种常态，并受到中立的管理机构监督。该机构应当定期审核网络服务提供者对个人信息的收集与利用是否遵守基本的法律与原则，是否采取了合理的信息安全措施，是否与其公布的隐私政策内容相符。由于网络广告“定向”的隐蔽性，普通网络用户很难将其与一般广告进行区分。针对网络定向广告“访客找回”手段，网络广告商们应当在广告页面上设置特殊的标志以明确告知消费者“该广告内容具有定向功能”。这种“增强版的通知”给予了消费者更为直观的体验。消费者可以根据自身需求，选择是否同意定向追踪。针对网络定向广告“跨渠道营销”手段，网络服务者对消费者的通知义务应当体现在向消费者公布其关联公司与合作伙伴名单，并向消费者说明他们之间可能分享的消费者的信息类型以及使用该信息的方式。消费者在其权益被侵害时，初始网站应当与其关联公司与合作伙伴承担连带责任，以避免消费者获取司法救济路径受阻。

第二，规范化网络行为定向广告行业相关标准。为了应对广告商们层出不穷的新技术运用，规制机构不应当被其所困，而应从制定相关的个人信息保护标准着手。一方面，针对网络服务提供者使用cookies及其类似信息记录程序的行为，法律规制的重点应是网络行为定向广告软件设施技术标准的规范化。利用网络架构设计来预防网络行为定向广告侵权具有根本性的作用，强制性要求互联网公司在开发产品与服务的设计阶段就必须将“有利于个人信息保护”的理念融入其服务的每一个阶段与步骤，让程序设计人员在程序编写之时就必须考虑个人信息保护因素，并将其作为一个行业必须遵守的强制性标准。与此同时，除了对软件设施层面的技术标准进行规范化之外，任何网络服务技术的标准均离不开对硬件基础设施技术标准的遵从。网络定向广告的投放也需要基本的硬件设施的支持，规制机构可以通过对其上游供应商在产品技术标准上设置限制(如将数据存储量限定在特定范围之内等)来缩小网络定向广告的投放范围，从而达到间接规制网络定向广告投放者的目的。

第三，简化现有的“用户同意”选择机制。当前网络服务提供者提供给用户的选择模式主要有两种：一种是以用户为中心的选择性机制，另一种是以浏览器默认设置为基础的选择性机制。(17)Omer Tene and Jules Polonetsky, To Track or ‘Do Not Track’: Advancing Transparency and Individual Control in Online Behavioral Advertising, Minnesota Journal of Law, Science & Technology, Vol.13, No.1, 2012.以用户为中心的选择机制是一种直接面对消费者的对话框模式。消费者在注册或登录某一网站时，该对话框会弹出要求消费者对该网站的隐私政策选择“同意”或“拒绝”。2017年《个人信息安全规范标准》附录C提供了隐私政策内容的范本。大部分网站或者APP均会在选择同意的对话框底部以链接方式显示其隐私政策，有些网站或APP会强制要求用户点击隐私政策按钮并规定最低阅读时间，最后才允许用户点击同意进入网站或APP服务界面。但即使如此，还是很少有用户会专门花时间去阅读冗长的法律条款内容。可以说，正是冗长而又费解的隐私政策阻碍了消费者了解网络服务提供者隐私政策的积极性，使其丧失了对网络服务的知情权，影响了其最终的决策。而以浏览器默认设置为基础的选择机制则更为隐蔽。如果消费者不能及时修改该设置，则有可能在毫不知情的情形下“同意”了所有的信息记录程序的使用。因此，网络服务提供者需要提供给用户一个更为简单与直接的撤回其“同意”的机会。为了简化消费者的选择机制，网络服务提供者应当使用简单、清晰、易懂的语言让消费者有机会能更加直观地了解网站的信息利用政策，以便其对是否接受“定向”做出理性的决策。