第277期 编号:HDFYZYJJ2017277
单位|恒都律师事务所 综合法律及争议解决事业部
作者|信息保护和网络安全专业组 徐丹璐
编者|恒都微信运营团队
Cookies 从英文直译过来是“小甜饼”、“饼干”的意思,然而在电脑/互联网术语中却没这么简单。早在2013年央视的3•15晚会中,就曾披露过多家互联网广告营销公司涉嫌通过cookies等方式,侵犯用户的个人隐私信息,当时着实引发一阵全民删除cookies的潮流,然而4年过去,我们能否安心地使用cookies呢?
本文拟简要介绍cookies的来龙去脉以及国内外个人数据立法保护现状,期待多少引起正在阅读文章的你的重视,为互联网使用安全度的提升做出一点点力所能及的帮助。
一、cookies的前生今世
cookies是网站通过浏览器等存储在电脑或者移动设备上的数据信息,能够帮助网站长时间地“记住”或者保留你访问该网站的具体行为或者个人偏好。
网站开发者的本意是通过cookies来识别不同的访问者、记录用户的个人偏好、减少用户多次访问网站时需要重复录入信息的困扰,可见其初衷偏向于提升网站访问者的使用体验。
随着互联网信息技术开始覆盖和影响生活的方方面面,人们对互联网的使用也因为性格、年龄、学历、生活习惯偏好等的不同而呈现出多样化的趋势,网站开发者通过cookies收集的信息,可以对使用者的个人行为偏好或者习惯等进行记录和分析,进而有针对性地进行广告投放,使得广告偏向于展示与使用者浏览习惯相关的产品,从而增加访问率和点击量。
也就是说,cookies成为我们日常所说的“大数据”的触角,除了传统的浏览器对用户名、地址等简单信息的记录,越来越多的移动应用开发者通过记录和分析人们的日常使用习惯和浏览记录,实现了分析用户行为、提升使用体验的目的。所谓鱼和熊掌不可兼得,在我们享受大数据带来的便利时,也必须让渡部分个人隐私,并承担该部分信息披露可能带来的风险。
二、欧盟对个人互联网隐私的立法保护
欧盟自上世纪九十年代开始就试图通过立法来对个人数据进行保护,于1995年通过了《数据保护指令》,全名为Proposalfor a Council Directive Concerning the Protection of Individuals in Relation tothe Processing of Personal Data,为个人数据的保护设立了最低的标准。
然而在1995年,互联网还没有对人们的日常生活产生如今天一般深刻的影响,因而前述指令的保护仅仅限定在基础信息,目的也是确保用户个人信息的准确度。进入二十世纪后,随着互联网的普及,网络用户的需求已经拓展到控制个人数据/信息的获取渠道及适用范围等,故2002年欧盟通过《隐私与电子通讯指令》,全名为Directiveon Privacy and Electronic Communications,规定了网络服务提供商需征得用户同意后再收集和使用用户个人信息,确定了互联网时代个人信息保护的基本原则,但并未落实到操作层面。
2009年11月,欧盟通过了《欧洲Cookie指令》,即EU CookieDirective,着重对cookie的使用加以规范,要求网络服务提供者必须在用户首次访问时关闭cookie功能,待用户确认后再开启。2016年,欧盟通过了《一般数据保护条例》,即GeneralData Protection Regulation,确立了全新的互联网时代保护个人数据信息框架,对个人数据进行了严格保护,并具备可执行性,是对95年最低标准的全面修正,欧盟对个人信息的保护提到了前所未有的高度。
其实,从这几个规范的名称也可以看出欧盟对于个人数据保护的重视程度正在不断提升,经历了由Proposal(提案)到Directive(指令)再到Regulation(条例)的变化,这种升级换代尤其体现在法律效力上,欧盟的Directive(指令)是需要各成员国据此在本国立法才能执行,而Regulation(条例)通过后则直接在欧盟整体范围内生效。这种变化一方面对应了互联网的飞速发展,另一方面则是反映了人们对个人信息保护的重视程度不断提升,信息保护的边界亟待确定,法律必须找到网络服务提供商和用户之间利益的平衡点,才能推动而不是阻碍科技和社会的发展进步。
《一般数据保护条例》要求网络服务提供商在对用户个人数据进行收集和使用前必须明确进行告知并且获得用户的明确同意,包括数据内容范围和使用方式,同时确定了用户的个人数据删除权,即所谓的“被遗忘权”。这些对于企业基于大数据进行的技术创新和应用开发可能产生极为不利的影响。不管该条例的实际影响究竟如何,它在某种程度上预示了企业无法再理所当然地无偿利用用户个人数据谋取商业利益,而是必须接受法律的严格规制。
三、我国立法现状
2016年11月7日十二届全国人大常委会第二十四次会议表决通过了《网络安全法》,自2017年6月1日起施行,其突出亮点之一在于进一步完善了个人信息保护规则。然而这些规则发挥作用的前提是,对于保护对象——“个人信息”有全面、详尽、完整而规范的定义,如果个人信息的定义模糊不清,那么保护个人信息的“实锤”也无处可落。
《网络安全法》第七十六条第(五)项规定,“个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。”
仅就该条关于个人信息的定义来看,仍然是着眼于自然人“线下生活”中必要的基本信息,而对于网络生活中所必须的账号和密码,以及更重要的网络行为信息,如cookies,却未提及。2013年颁布的《电信和互联网用户个人信息保护规定》中第四条规定,“本规定所称用户个人信息,是指电信业务经营者和互联网信息服务提供者在提供服务的过程中收集的用户姓名、出生日期、身份证件号码、住址、电话号码、账号和密码等能够单独或者与其他信息结合识别用户的信息以及用户使用服务的时间、地点等信息。”
对比一下我们可以发现,《网络安全法》的关注重点在于“自然人个人身份”相关的各种信息,而《电信和互联网用户个人信息保护规定》中“个人信息”的定义除了包括用户信息外,还包括用户使用服务的时间地点等信息,《网络安全法》的保护范围实际上无形中进行了一定限缩。
结合我们日常网络生活的经验,其实不难发现,除了个人身份相关信息、使用网络服务的时间地点等信息,网络服务的使用习惯也是网络时代个人信息的重要组成部分,更是各大网络服务提供商的采集目标。这些信息的综合即构成了本文所说的“cookies”,《网络安全法》未能对这部分信息保护予以明确,实属遗憾。
一般而言,法律的制定应当与社会环境需要相呼应,欧盟通过的《一般数据保护条例》在响应一般民众对个人数据保护的强烈呼声的同时,对网络服务企业的科技创新却产生很大打击,也许正是有鉴于此,我国的《网络安全法》试图通过模糊边界为互联网企业的生存提供一些灰色地带可供利用。在这种情况下,用户更应当有清醒地认识并对个人数据加以必要保护,目前绝大多数浏览器都默认支持并打开cookies,而用户可以通过预先设置删除cookies或者禁止网站安放cookies,多少可以避免个人信息“裸奔”的尴尬处境。