對搜索引擎中個人信息保護的法律分析
——以定向廣告的投放為視角

張長偉 趙明明

中央民族大學法學院

一、相關概念及法律分析

（一）Cookies技術

Cookies，中文名稱為小型文本文件，指用戶瀏覽某網(wǎng)站時，該網(wǎng)站為了辨別用戶身份而儲存在用戶本地終端上的數(shù)據(jù)，伴隨著用戶請求和頁面在 Web 服務器和瀏覽器之間傳遞。它記錄了用戶ID、密碼等信息，用于用戶身份的辨別。Cookies技術是搜索引擎向用戶投放定向廣告行為的核心技術，投放所依賴的用戶信息數(shù)據(jù)完全需要通過Cookies技術獲取。

（二）定向廣告

用戶曾使用搜索引擎搜索某一關鍵字，即使關閉該網(wǎng)絡站點或者瀏覽器程序，當訪問另一網(wǎng)絡站點時或者再次運行瀏覽器打開新的網(wǎng)頁時，其內(nèi)嵌的廣告窗會顯示與關鍵字一致或者相似的廣告。這種投放方式即定向廣告行為，其普遍性與精準性，時常使用戶擔心個人隱私的泄露。

（三）個人信息

個人信息，是一切可以識別本人的信息的總和，Cookies收集到的零散個人信息經(jīng)過統(tǒng)計、分析能夠產(chǎn)生巨大的商業(yè)利益，是否應該適用添附規(guī)則？筆者認為，應該限制個人權利的擴張。Cookies應用商收集的個人信息，屬于用戶個人，零散的信息在被加工之前，客觀上并不具有商業(yè)價值的屬性。用戶僅享有個人信息知情權和個人信息自決權，并不享有財產(chǎn)權以及對再次開發(fā)的控制權。這就阻斷了個體信息與集體信息（可以建成“數(shù)據(jù)庫”）的權利糾葛，對商業(yè)發(fā)展無疑是有利的。

（四）搜索引擎運作模式

搜索引擎主要是利用各種站點作為載體，通過Cookies技術，來實現(xiàn)對終端信息的抓取，進行信息處理后再將用戶搜索的對應信息反饋給用戶以及投放定向廣告等營銷行為。針對此過程所遵循的規(guī)則，互聯(lián)網(wǎng)領域有傳統(tǒng)的“告知―同意”規(guī)則，以及美國聯(lián)邦貿(mào)易委員會推出DNT（do not track）規(guī)則。

二、搜索引擎信息運作模式中存在的問題

（一）搜索引擎中信息抓取主體責任和義務不明

在搜索引擎對個人信息進行運作的時候，首先出現(xiàn)的是抓取主體。如上文所述，搜索引擎主要是利用各種站點作為載體，通過Cookies技術，實來現(xiàn)對終端信息的抓取。由此，搜索引擎以及各站點便是作為提供服務的經(jīng)營者一方，由于經(jīng)營者是為消費者提供商品和服務的市場主體，是與消費者直接交易的另一方，進而，明確經(jīng)營者的責任和義務對于保護消費者權益來說至為重要。要論各個站點的責任和義務，必須理清楚他們所使用的關于Cookies技術的相關問題。對于Cookies，在用戶體驗方面，它具有不可替代性①，但同時，Cookies技術在抓取個人信息方面，具有模糊性，存在侵犯個人權利的風險。

首先值得肯定的是：Cookies的最大特點是具有不可跨域名性加之各個網(wǎng)站的不同加密技術，確實對交互信息產(chǎn)生一定程度的保護效果。但是，實際上在搜索引擎信息抓取和分析之后的信息投放行為上，Cookies技術并非如此簡單：存在站點內(nèi)部廣告行為和第三方廣告行為，前者的抓取主體較為明確；而后者需要進一步的解釋。比如，打開亞馬遜網(wǎng)時，所呈現(xiàn)的網(wǎng)頁并非一個，而至少有兩個，分別是亞馬遜商城網(wǎng)頁（下文稱為“主站點”）和廣告聯(lián)盟網(wǎng)頁（下文稱為“副站點”），只是副站點往往顯示為一個矩形廣告頁面；是故，在打開網(wǎng)頁的過程中，存在兩個以上的Cookies交互。因此，對所有的運行Cookies技術來獲取信息的主體，法律均應加以規(guī)制。

（二）搜索引擎中信息抓取對象權利不明

此處舉例說明：A使用電腦X后，沒有清空記錄，當B使用該電腦X時，依賴Cookies技術進行投放的廣告，是針對A的，因為技術只能識別終端，而不能識別終端的使用者。即便如此，也不能否認用戶作為權利主體的地位。Cookies技術所抓取的信息，本質(zhì)上是屬于用戶的，是人的產(chǎn)物，而非終端機器的代碼。域外的信息數(shù)據(jù)立法將保護對象限定為自然人，不包括法人，如德國的《聯(lián)邦個人數(shù)據(jù)保護法》第3條第1款、日本的《個人資訊保護法》第2條、我國香港特區(qū)的《個人資料（隱私）條例》第2條、我國臺灣的《個人資訊保護法》第2條等。對于侵犯法人信息數(shù)據(jù)的行為，各國主要通過商業(yè)競爭法等加以規(guī)制。

鑒于消費者權利本位，用戶進入某站點，該站點在寫入Cookies之前，應該向用戶發(fā)出對話窗口，向用戶說明一下情況并且詢問用戶是否允許創(chuàng)建Cookies。只有在用戶許可的情況下，主站點和副站點才能應用Cookies技術收集信息。當前，各個網(wǎng)站僅以發(fā)布隱私聲明等布告方式加以告知，并未保障用戶的個人信息知情權和自決權。

（三）搜索引擎信息運作的規(guī)則不明

關于搜索引擎對信息的運作模式的規(guī)范，互聯(lián)網(wǎng)領域除了傳統(tǒng)的“告知―同意”規(guī)則，還有美國聯(lián)邦貿(mào)易委員會推出DNT（do not track）規(guī)則。無論是制度設計，還是價值取向，二者具有較大差異。Cookies功能需要瀏覽器的支持，如果瀏覽器不支持Cookies或者把Cookies禁用，Cookies功能就會失效，不同的瀏覽器采用不同的方式保存Cookies。 “告知―同意”規(guī)則是各國通用的規(guī)則，其默認用戶同意開啟Cookies；需要用戶手動將瀏覽器中的Cookies設置為禁用模式，才能不被“追蹤”?！吨袊ヂ?lián)網(wǎng)定向廣告用戶信息保護行業(yè)框架標準》中已經(jīng)規(guī)定有該規(guī)則。而DNT規(guī)則指瀏覽器默認開啟請勿追蹤模式，向訪問的站點出示“DNT”的代碼，則該站點有權選擇是否創(chuàng)建Cookies；基于商業(yè)信譽以及FTC的監(jiān)督，一旦該站點承諾不“追蹤”，將會不運行Cookies。前者默認開啟，對普通用戶起不到保護的作用；后者依賴于行業(yè)自律，并且在美國遭到了廣告行業(yè)的抵制，沒有付諸全面實施。

三、搜索引擎信息運作模式中存在問題的解決路徑

（一）搜索引擎中信息抓取主體責任和義務方面

針對多主體參與的模糊性就引起的義務不清、責任不明等法律問題，筆者提出以下觀點。

第一，僅主站點承擔告知義務。鑒于主站點是普通用戶唯一可以接觸的、并必然進行意思交流的主體，其應該承擔起告知義務。目前，《消費者權益保護法》第20條規(guī)定了經(jīng)營者真實信息告知義務，“經(jīng)營者向消費者提供有關商品或者服務的質(zhì)量、性能、用途、有效期限等信息，應該真實、全面，不得作虛假或者引人誤解的宣傳”。抓取行為屬于為提供服務而進行的附帶行為，相對于民法上的附隨義務更應該告知。至于告知方式，暫且不表，將在下文的規(guī)則部分加以討論。

第二，主站點和副站點承擔真正連帶責任。二者存在信息的分享，其合意行為符合《侵權責任法》規(guī)定了共同侵權?？梢越缍ㄖ髡军c和副站點應該承擔真正連帶責任。一般而言，主站點數(shù)量多、分布較散、技術力量和經(jīng)濟實力弱，副站點是資金雄厚、技術力量強的廣告聯(lián)盟運行者。這種責任分配，一方面，有利于權益受損的用戶得到充分的補償；另一方面，加強廣告聯(lián)盟公司的責任感，可以推進相關技術的提升。

第三，廣告聯(lián)盟公司負有封鎖信息的義務。對信息加以封鎖的目的，乃是確保經(jīng)Cookies收集的個人信息具有封閉性，即使該信息處于公共領域且不存在被獲取的障礙。只有廣告聯(lián)盟公司切實履行封鎖信息的義務，才能避免政府和私人對用戶的侵害。我國對違反該義務的行為規(guī)定有刑事責任和民事責任。例如，《刑法》第253條以及《最高人民法院關于審理利用信息網(wǎng)絡侵害人身權益民事糾紛案件適用法律若干問題的規(guī)定》中均有相關規(guī)定。

（二）搜索引擎中信息抓取對象權利方面

筆者認為，用戶僅存在個人信息知情權和個人信息自決權兩項權利。

第一，個人信息知情權。首先，該權利根植于對人的尊重，任何社會場域的活動，都應該貫徹“以人為本”的理念；其次，對信息的知悉是主體做出決策的前提和基礎，“程序的正當過程的最低標準是：公民的權利義務將因為決定而受到影響時，在決定之前他必須有行使陳述權和知情權的公正的機會”②；最后，通過“告知―知悉”的過程進行信息交流，使用戶充分理解、進而支持Cookies應用，推動商業(yè)模式的優(yōu)化和技術進步。

第二，個人信息自決權。用戶獨立擁有且封閉化保存的個人信息，是沒有商業(yè)價值可言的；有社會的地方才有法律，個人信息在大數(shù)據(jù)交互和分析中獲得法律屬性。通過Cookies收集的個人信息，如何被使用分析、被共享的領域和范圍、被保存的時間、能否被修改等，都應該獲得個人的許可。個人是利益的最好決定者。但是，經(jīng)Cookies收集的個人信息的性質(zhì)和公共利益的需要，導致該權利的行使受到諸多限制，比如公序良俗、法律的強制性規(guī)定等。

（三）搜索引擎信息運作的規(guī)則方面

根據(jù)搜索引擎的整體運作模式，以及從定向廣告行為入手分析而得的Cookies技術的特征，筆者提出以信息分類為基礎、行業(yè)自律為主、行政規(guī)范為輔的規(guī)制路徑。

（1）信息分類為基礎。作為搜索引擎運作中的核心技術，Cookies不僅被定向廣告行為所青睞，而且是購物車、網(wǎng)站免登陸等應用的核心技術。因而默認禁止Cookies，是完全不可取的。Cookies技術所收集的信息，涉及個人隱私的部分占有很小的比例。因此，需要從法律層面建立起信息分類制度，將敏感個人信息和非敏感個人信息加以區(qū)別對待。這樣，能夠為技術的發(fā)展，提供更多的自由空間。

（2）行業(yè)自律為主。歐洲將個人信息保護作為人權問題或者政治問題對待，美國卻作為經(jīng)濟問題對待，這種取向的差異，成為美國的創(chuàng)新能力遠超歐洲的原因之一。因而，從經(jīng)濟立法角度對行業(yè)規(guī)范進行明確的規(guī)定，并通過市場監(jiān)管等手段來保障法律的實施，讓整個經(jīng)濟市場的經(jīng)營環(huán)境得到控制和凈化，從一定程度上使得市場機制得到正常發(fā)揮。

（3）行政規(guī)范為輔。個人利益的保護離不開行政方面的規(guī)范。正如經(jīng)濟法產(chǎn)生的一方面原因就是要規(guī)范政府的調(diào)控和規(guī)制能力一般，由于技術、資金等方面的巨大不平衡，單獨的用戶無法與廣告聯(lián)盟等經(jīng)營者抗衡，處于極度的弱勢地位。正因為此，才應該從經(jīng)濟立法的角度入手來規(guī)范政府的行為，讓其在規(guī)范的程度內(nèi)來發(fā)揮自身的作用。一方面需要完善《消費者權益保護法》以及各類監(jiān)管法，另一方面需要行政部門的監(jiān)督和懲戒，需要充分發(fā)揮經(jīng)濟立法中行政執(zhí)法機構的作用。

因此，在搜索引擎對信息的運行模式涉及的信息抓取主體方面，應明確其責任和義務；用戶方面，應明確其個人信息知情權和個人信息自決權，增強個人信息保護和維護權利的意識。在搜索引擎對信息的整體運作模式方面，筆者建議在個人信息分類的基礎上，實行雙軌制。即針對非敏感個人信息，采用DNT規(guī)則；針對敏感個人信息，采取“告知―同意”規(guī)則并且開啟默認禁止創(chuàng)設Cookies。在此基礎上，行業(yè)自律和行政規(guī)范雙軌并舉。如此，用戶有明確的權利意識，充分競爭的經(jīng)營者營造出行業(yè)自律的市場環(huán)境，以及政府積極地且恰當?shù)匦惺狗少x予的權力。如此從經(jīng)濟立法對該領域進行規(guī)范，便能使得該領域不再是法律規(guī)制的灰色地帶，而用戶作為消費者的權利本位的實現(xiàn)便不再困難。

注釋：

①例如，亞馬遜網(wǎng)站的隱私聲明“如果您關閉或拒絕接受我們的cookies, 您將不能使用向您的購物車添加商品、進入結算頁面、或者使用您需要登錄后才能使用的本網(wǎng)站產(chǎn)品和服務?！?；百度搜索的隱私權保護聲明“如果您選擇拒絕cookie，則您可能無法登錄或使用依賴于cookie的百度服務或功能?！钡?。

②季衛(wèi)東：《法律程序的意義（增訂版）》，北京：中國法制出版社，2011年版，第37頁。