你的cookie“餅干”安全嗎

文 律商聯(lián)訊特約撰稿 寧宣鳳

在格林童話《漢澤爾與格萊特》的世界中，小朋友通過在路上撒下小餅干屑的方式標記他們走過的路，最終走出了黑暗的森林。在數(shù)字世界中，網(wǎng)絡運營者同樣可以通過“cookie”追蹤用戶行為，記錄并獲取用戶的訪問信息，實現(xiàn)統(tǒng)計網(wǎng)站訪客數(shù)量、精準營銷、記錄用戶喜好、操作等功能。

這里的cookie是指用戶瀏覽或訪問網(wǎng)站時，各網(wǎng)站服務器在用戶的本地設備（例如電腦、手機等）上安裝和存儲的小型文本文件，它通常包含有標識符、站點名稱、號碼和字符。cookie追蹤功能的日益強大引發(fā)了數(shù)字用戶對其可能侵犯隱私、泄露個人信息的普遍擔憂。在隱私和個人信息保護越來越受重視的時代背景下，各國家/地區(qū)也愈加重視對cookie的法律規(guī)制。

那么，cookie為什么可能侵犯隱私，泄露個人信息？各主要司法轄區(qū)如何看待cookie相關的個人信息保護問題？相關的法律法規(guī)源起何方，又有何特點？在以下內(nèi)容中，本文將首先介紹cookie的技術特征，在此基礎上分別介紹歐盟、美國和中國的相關規(guī)制情況，并簡要探討相關合規(guī)建議，以饗讀者。

此cookie非彼餅干也

就像口味不同的餅干一樣，cookie根據(jù)各自的技術特點、用途和功能可以分為不同種類。

按照存儲時間的長短，cookie可分為會話緩存（session cookie）和持久緩存（persistent cookie）。session cookie一般只在瀏覽器上短期保存，通常關閉瀏覽器時即被系統(tǒng)清除。這種cookie不會寫入硬盤，通常也不收集有關用戶的信息。持久緩存則寫入硬盤并保存在設備中，下一次用戶返回時，網(wǎng)站仍然可以對它進行調(diào)用，這也是我們中絕大多數(shù)人所熟悉的cookie。

按照網(wǎng)站主體的不同，cookie可以分為第一方緩存（first-party cookie）和第三方緩存（third-party cookie）。第一方緩存由用戶訪問的網(wǎng)站放置于用戶終端設備，例如，當電商平臺A設置一個cookie用來記錄小明在購物車里放了10盒趣多多，即為第一方緩存。第三方緩存則是由與用戶訪問的網(wǎng)站以外的其他第三方放置在用戶設備上的cookie，例如，假設廣告營銷公司答應幫助趣多多進行宣傳推廣，并與電商平臺約定在其網(wǎng)站上放置廣告，那么，當小明訪問某電商平臺時，廣告網(wǎng)絡會傳送一個趣多多的廣告到小明查看的頁面，并在他的電腦上放置一個cookie。

第三方緩存通?；诙ㄏ驈V告等目的放置，因此也被稱為追蹤緩存（tracking cookie）。在實踐中，許多廣告營銷公司基于與廣告商之間的合作，會與大量其他網(wǎng)站簽約并向其提供廣告，當小明訪問這些網(wǎng)站時，廣告營銷公司可以再次調(diào)用此前小明訪問電商平臺A時放置的cookie，也就是說，廣告營銷公司可以在多個網(wǎng)站上追蹤小明的行為。嚴格來講，cookie只是本地設備上的臨時存儲文件，雖然這些文件可以通過簡單的編輯器查看，但其本身無法從用戶的設備收集數(shù)據(jù)。cookie也不是病毒，它無法在用戶的設備上安裝惡意軟件。但cookie可能被網(wǎng)絡運營者惡意地使用，淪為侵害他人權(quán)利的工具。

歐盟cookie規(guī)則的發(fā)展

作為數(shù)據(jù)保護領域的先驅(qū)與標桿，歐盟早在多年前從保護在線隱私的角度出發(fā)，針對cookie進行了專門的立法，并隨著對數(shù)據(jù)保護和cookie的認識不斷加深，不斷完善和補充其規(guī)則體系。

1. cookie同意規(guī)則的出現(xiàn)和轉(zhuǎn)變

1997年，歐盟針對電信領域個人數(shù)據(jù)處理中的隱私權(quán)保護問題出臺了《電信行業(yè)數(shù)據(jù)保護指令》（97/66/EC）；2002年，歐盟頒布《電子隱私法令》（e-Privacy Directive），將適用范圍擴展至覆蓋互聯(lián)網(wǎng)上的數(shù)據(jù)傳輸；其中規(guī)定，用戶的電子通信終端設備上存儲的任何信息均屬于用戶的隱私信息，應受到相關歐盟法律的保護。監(jiān)測軟件、網(wǎng)站信標、隱藏標示符及其他類似設備（例如cookie）可能會被放置在用戶終端設備上，用以收集用戶的信息。使用該等設備應僅限于合法目的并獲得用戶的知情同意。

歐盟關于cookie的同意規(guī)則經(jīng)歷了從2002年e-Privacy Directive“選擇退出（opt-out）”到 2009 年修訂版 e-Privacy Directive“選擇加入（opt-in）”的變化。2002年e-Privacy Directive只要求網(wǎng)站告知用戶，并提供選擇退出的機會，就可以在用戶的終端設備上存儲cookie；2009年，歐盟對“e-Privacy Directive”進行了修訂，在用戶的終端設備上存儲cookie不再能基于默認同意，而是從選擇退出改為了選擇加入，即需要用戶主動選擇同意。

2. GDPR影響下的新進展

2016年公布、2018年實施的《歐盟通用數(shù)據(jù)保護條例（GDPR）》明確特定類型cookie即構(gòu)成個人數(shù)據(jù)。GDPR指出，網(wǎng)絡設備、應用、工具、協(xié)議中留存的cookie痕跡如果具有唯一指向性，這些cookie痕跡可生成個人畫像或檔案從而識別到具體自然人，即具有身份識別性。GDPR第26條前言說明，當數(shù)據(jù)可被用來直接或間接識別自然人時，其就是個人數(shù)據(jù)/信息。由此可見，GDPR明確了可以直接或與其他信息結(jié)合識別到特定自然人的cookie數(shù)據(jù)即為個人數(shù)據(jù)，受GDPR規(guī)制。

2017年1月，歐盟委員會提出了《隱私和電子通信條例》（“Regulation on Privacy and Electronic Communications”）。 該 條 例 作 為 GDPR的特別法，意欲取代當前的《電子隱私指令》，旨在規(guī)制電子通信服務并保護與用戶終端設備相關的信息，使這一領域的立法要求與GDPR相協(xié)調(diào)。

e-Privacy Regulation針對cookie以及網(wǎng)站信標、圖像像素等其他類似設備識別技術的使用提出了更為嚴格的規(guī)則。例如：

（1） 只有在使用cookie是為用戶提供服務所直接必需或者網(wǎng)站運營者已獲得用戶同意的情況下，網(wǎng)站才能訪問用戶的手機或電腦等設備、收集設備類型、瀏覽器型號等信息。也就是說，cookie的使用一般需要用戶同意，但在一些特定情況下，不需要用戶的同意，例如，在電子通信網(wǎng)絡中傳輸信息所必要的、提供用戶請求的信息社會服務所必要的、或是用于測量網(wǎng)頁訪問人數(shù)。具體而言，可能包括用于在一次會話中用戶登錄后識別用戶的驗證cookie、用于在一次會話中播放視頻或音頻內(nèi)容而存儲技術數(shù)據(jù)的多媒體播放器cookie、用于一次會話中存儲語言或字體偏好的用戶界面定制化cookie等。不過，即便這些cookie的使用無須獲得用戶同意，對用戶就此進行告知仍然是一種推薦的做法。

（2） 針對cookie的同意更難獲取，因為該等同意必須符合GDPR中的相同標準，即必須有數(shù)據(jù)主體明確的肯定性確認行為。這意味著一些現(xiàn)有的做法需要重新審視，例如，僅展示標語，聲明繼續(xù)使用網(wǎng)站就構(gòu)成同意可能將難以滿足法律的要求。

在GDPR體系下，數(shù)據(jù)主體的同意必須是：自由做出；具體；在充分告知的基礎上做出；以及是數(shù)據(jù)主體不含糊的意思表示。

總體而言，在歐盟法律體系下，cookie由于具有特定個人識別性，被多部立法明確規(guī)定為個人數(shù)據(jù)，受到相應保護；在這一立場不變的前提下，隨著數(shù)據(jù)保護法律制度的更新?lián)Q代，cookie領域的特別立法亦不斷完善和推進，從選擇退出到選擇加入的轉(zhuǎn)變集中體現(xiàn)了歐盟對于規(guī)制cookie的嚴格態(tài)度。

美國：缺乏針對cookie的明確規(guī)定

美國在個人數(shù)據(jù)的保護方面的立法路徑與歐盟不同，聯(lián)邦層面沒有專門針對個人信息保護的立法，相關的內(nèi)容散見于行業(yè)規(guī)定以及州層面的立法。例如，規(guī)制健康醫(yī)療領域數(shù)據(jù)的《健康保險可攜與責任法》（“Health Insurance Portability and Accountability Act”），保護兒童在線隱私的《兒童在線隱私保護法》（“Children’s Online Privacy Protection Act”）等。這種傾向也影響到美國針對cookie的立法。一般而言，并沒有法律明文規(guī)定禁止使用追蹤緩存，聯(lián)邦貿(mào)易委員會也不將追蹤緩存的使用本身解讀為不公平或欺詐行為。

目前，與cookie聯(lián)系較為緊密的法律包括《聯(lián)邦消費者欺詐與濫用法》（“Federal Consumer Fraud and Abuse Act”），其曾被用于基于行為廣告目的使用cookie的公司。州層面例如加州也要求當使用cookie收集消費者在不同網(wǎng)站上的活動時，須進行相應的披露。不僅如此，《聯(lián)邦貿(mào)易委員會法》（“Federal Trade Commission Act”）也被當作法律依據(jù)來管理/起訴不當披露其使用追蹤緩存的行為。

自2011年起，美國出臺了各種法案，但后來由于難以在建立標準和可行的立法方面達成一致，均以撤回或失敗告終。其中，為了保護網(wǎng)上用戶的隱私，讓用戶有權(quán)選擇不被第三方網(wǎng)站跟蹤，美國曾嘗試引入“請勿追蹤（Do Not Track）”立法。請勿追蹤源自“Do Not Call”規(guī)則，依據(jù)該規(guī)則，電話推銷員不能電話聯(lián)系選擇退出的人。但是，目前多數(shù)網(wǎng)站均選擇了無視請勿追蹤請求，因此聯(lián)邦貿(mào)易委員會意圖推動的請勿追蹤計劃也成了一紙空文。

總體而言，美國對于cookie的使用采用的不是“選擇加入”而是“選擇退出”機制；其整體立法側(cè)重的不是對使用cookie本身的規(guī)制，而是從保護用戶權(quán)益不受損害的角度通過侵權(quán)等方面的法律進行管理。

中國：cookie是否屬于個人信息？

cookie是否屬于個人信息的問題曾經(jīng)經(jīng)歷了多年的討論，隨著《中華人民共和國網(wǎng)絡安全法》（以下簡稱“網(wǎng)絡安全法”）和國家標準《信息安全技術-個人信息安全規(guī)范》（以下簡稱”個人信息安全規(guī)范”）的出臺，cookie是否屬于個人信息的判斷有了較為明確的官方意見。

1. 百度cookie第一案

在國內(nèi)司法實踐中，對個性化推薦服務即定向廣告cookie（追蹤緩存）的性質(zhì)認定存在認識上的分歧。2013年的cookie第一案反映了此種爭議。原告訴稱，其在使用百度搜索引擎搜索“減肥”“豐胸”等關鍵詞并瀏覽相關內(nèi)容后，在某些網(wǎng)站就會相應地出現(xiàn)與關鍵詞高度相關的廣告。原告認為百度公司未經(jīng)其知情和選擇，即記錄和跟蹤了所搜索的關鍵詞，將其興趣愛好等顯露在相關網(wǎng)站上，并對瀏覽的網(wǎng)頁進行廣告投放，侵害了其隱私權(quán)。

一審法院認定追蹤緩存是個人隱私。二審法院認為其雖具有隱私性質(zhì)，但不屬于個人信息。其認為：網(wǎng)絡用戶通過使用搜索引擎形成的檢索關鍵詞記錄，雖然反映了網(wǎng)絡用戶的網(wǎng)絡活動軌跡及上網(wǎng)偏好，具有隱私屬性，但這種網(wǎng)絡活動軌跡及上網(wǎng)偏好一旦與網(wǎng)絡用戶身份相分離，便無法確定具體的信息歸屬主體，不再屬于個人信息范疇。

cookie第一案的判斷學術界存在很多爭議。二審法院認定，cookie與網(wǎng)絡用戶身份的分離使得cookie缺乏直接指定向個人的可能性，但更多的學者質(zhì)疑，與cookie同步收集的信息包括服務的使用情況、IP地址、訪問日期和時間、設備信息等，是否有可能與cookie相結(jié)合，能夠指向特定用戶。

隨著大數(shù)據(jù)技術的發(fā)展以及國際上對于“個人信息”認定標準的進一步深化討論，《網(wǎng)絡安全法》和《個人信息安全規(guī)范》對于cookie是否應該被認定為“個人信息”的問題提供了更為清晰的判斷標準。

2. 《網(wǎng)絡安全法》和《個人信息安全規(guī)范》對追蹤緩存屬性的再思考

2017年6月1日實施的《網(wǎng)絡安全法》中對個人信息的定義即采取了直接識別和間接識別相結(jié)合的認定標準。此外，2017年12月29日發(fā)布的《個人信息安全規(guī)范》進一步指出，判定某項信息是否屬于個人信息，應考慮兩條路徑：一是識別，即從信息到個人，由信息本身的特殊性識別出特定自然人，個人信息應有助于識別出特定個人；二是關聯(lián)，即從個人到信息，如已知特定自然人，則由該特定自然人在其活動中產(chǎn)生的信息（如個人位置信息、個人通話記錄、個人瀏覽記錄等）即為個人信息。符合上述兩種情形之一的信息，均應判定為個人信息?！秱€人信息安全規(guī)范》附錄A將包括網(wǎng)站瀏覽記錄、軟件使用記錄、點擊記錄在內(nèi)的個人上網(wǎng)記錄均列明為個人信息?！毒W(wǎng)絡安全法》和《個人信息安全規(guī)范》對于個人信息的認定一定程度上參考了國際上普遍被認可的學說，同時也充分認可大數(shù)據(jù)關聯(lián)分析技術能夠通過結(jié)合多類數(shù)據(jù)提高指定特定個人的可能性。

如上所述，在當前的技術水平下，用戶的網(wǎng)站瀏覽記錄等追蹤緩存信息與終端設備信息、賬戶信息等相結(jié)合即可很容易地識別到特定個人，可能會被認定為個人信息。在目前尚無針對cookie的特殊規(guī)則的情況下，對其進行收集、使用和任何處理，理論上均應遵守《網(wǎng)絡安全法》及其他相關法律法規(guī)、國家標準對個人信息保護的一般要求。這些要求主要包括，應當在收集個人信息時征得用戶的同意，并遵循合法、正當、必要的原則，公開收集、使用規(guī)則，明示收集、使用信息的目的、方式和范圍。同時，不得泄露、篡改、毀損收集的個人信息；未經(jīng)被收集者同意，不得向他人提供個人信息。此外，還應當采取技術措施和其他必要措施，確保收集的個人信息安全，防止信息泄露、毀損、丟失。

企業(yè)如何吃下這塊“餅干”

盡管各個國家對于cookie數(shù)據(jù)收集和使用等行為的規(guī)制可能有所不同，但在互聯(lián)網(wǎng)企業(yè)全球化運營及數(shù)據(jù)全球流動的背景下，企業(yè)應結(jié)合中國和歐盟等主要司法轄區(qū)中國際通用的原則，對自己收集和使用cookie數(shù)據(jù)的行為進行自我檢查和評估。具體而言，我們建議企業(yè)首先應當：

1. 考察cookie的使用情況和必要性分析

確認自身所使用的cookie種類、性質(zhì)、第一方還是第三方、與用戶其他信息關聯(lián)度等特點，并據(jù)此逐一檢查cookie的使用是否是實現(xiàn)某項功能所必須的，是否一定需要用戶同意，以及是否有任何非侵入的替代方案等。

2. 評估各類cookie對用戶隱私的影響

雖然目前并未在法律規(guī)定層面明確需要將cookie進行進一步的分類，但從企業(yè)合規(guī)的角度出發(fā)，對用戶行為介入越深入的cookie可能會對用戶隱私造成更大的影響，從而給企業(yè)帶來更大的合規(guī)風險，因此需要優(yōu)先級更高的同意獲取等合規(guī)措施安排。

3. 針對每一類cookie評估其所需要符合的“同意”要求

針對不同種類的cookie，評估取得同意的不同要求。例如，第一方緩存的使用無須獲取數(shù)據(jù)主體的知情同意，但所有第三方緩存和持久緩存的使用均須獲得數(shù)據(jù)主體的知情同意。此外，還應針對每一類cookie評估合理地獲取同意方式。例如，對于具有主頁等主體交互頁面的網(wǎng)站，采用彈窗等相應技術實現(xiàn)直接向用戶要求同意的方式會較為有效；而對于一些注冊界面為用戶交互頁面的網(wǎng)站，通過使用條款或隱私政策進行告知也不失為一種方式，盡管在進行更新時仍可能需要通過其他方式進行告知的補充，但也能極大地減少用戶同意的成本。

此外，對于一些cookie使用非常重要、具有持續(xù)性的網(wǎng)站而言，比如在線視頻觀看的網(wǎng)站，由于cookie對于用戶行為的介入較深，使用目的包括個性化推薦等對用戶體驗造成的影響可能較大，因此為用戶提供cookie設置界面和按鈕，甚至通過單獨的跳轉(zhuǎn)頁面實現(xiàn)告知用戶同意，能夠為網(wǎng)站提供更多的合規(guī)保障。

4. 將語言通俗化

以通俗易懂、不含晦澀技術術語的語言進行告知，在數(shù)據(jù)保護領域的立法中成為一個越來越普遍的規(guī)則。由于用戶的技術水平通常有限，過于復雜和技術化的表述將使得告知流于形式，因此，為保證對用戶的告知滿足充分知情同意的要求，網(wǎng)站在專門的cookie政策或提示中應注意將語言通俗化，避免普通用戶的理解障礙，影響用戶同意的效力。