Cookie信息的權屬界定及保護研究

池天成

(安徽大學 法學院，安徽 合肥 230000)

一、問題的提出：Cookie技術對個人網絡隱私的威脅

當用戶瀏覽網頁時，服務器通常會以加密的方式，儲存包括用戶ID、密碼、瀏覽網頁、搜索關鍵詞、停留時間等在內的信息，[1]即Cookie 信息。由于Cookie 信息可以清晰地反映用戶的行為偏好和個人興趣，互聯網運營商們開始利用此類信息進行商業化運作。例如，運營商通過收集一定時期內用戶在互聯網上的蹤跡信息，預測用戶的偏好，再基于預測投放定向廣告，以此獲得收益。較之傳統模式，“定向廣告”提高了廣告投放的針對性和有效性，在一定程度上也迎合了用戶的需要，避免了隨機投放廣告造成的成本浪費。然而，在此過程中涉及運營商利用Cookie技術對用戶信息的收集、應用和傳輸，這些行為不僅對用戶的私生活造成了侵擾，還可能帶來信息泄露的風險。

近年來頻繁發生的Cookie隱私侵權案就是這一擔憂的現實折射。在這些案件中，運營商通常以Cookie信息經過匿名化處理，不具有可識別性，不能指向特定個人為由進行抗辯，法院基于技術中立通常也接受此種抗辯理由。直至2012年，Netflix信息泄露事件的爆發徹底推翻了“Cookie信息不具可識別性”的論斷。該事件中，有兩名研究人員通過“反匿名算法”識別出Netflix“匿名數據集”中的很多用戶。[2]39這一事件說明，當前Cookie技術的安全性尚無法得到完全保證，既然如此，我們就只能通過事先規制運營商的采集、使用行為來實現對個人Cookie信息的保護。然而，鑒于當前我國Cookie信息的權屬性質尚未被明確，立法保護也因此缺乏落腳點。鑒于此，本文通過分析Cookie信息的性質，為其尋找立法層面的權屬依據，進而提出相關完善建議，以期對日后研究有所助益。

二、Cookie信息的權屬界定

在所有網絡隱私侵權糾紛案中，2014年“百度公司與朱某隱私糾紛案”(下文簡稱“百度隱私糾紛案”)具有一定的代表性，謹以此案揭示我國司法界在界定Cookie信息性質時所面臨的困惑。本案中，原告朱某認為百度公司在其不知情的情況下向其瀏覽網站投放定向廣告的行為暴露了其興趣愛好、生活特點，使其感到恐懼，精神高度緊張，影響了其正常生活，故向法院提起隱私侵犯之訴。一審法院認定百度公司侵犯了朱女士的隱私權，但是在界定Cookie信息屬性時卻出現了搖擺：判決書先后指出“朱某的網絡活動蹤跡反映了個人的興趣、需求等私人信息”“百度網訊公司侵犯朱燁隱私權的行為使朱燁困擾于自己不愿為他人所知的私人活動已經被他人知曉”，即一審法院先后認定Cookie信息為“個人信息”和“私人活動”，然而這兩者并不具有同一性。二審判決的措辭同樣令人費解：一方面，認定“該數據信息的匿名化特征不符合‘個人信息’的可識別性要求”，將Cookie信息排除在“個人信息”范圍之外。另一方面，又認可檢索關鍵詞記錄“具有隱私屬性”，認定其為“碎片化信息”，如此一來，Cookie信息所為何物變得愈發撲朔迷離。

且不論判決結果正確與否，至少從判決書本身來看，兩級法院均試圖對Cookie信息進行認定，但是又均在“個人信息”和“個人隱私”之間搖擺不定，最終以失敗告終。原因很簡單，在我國，個人隱私和個人信息呈現出一種錯綜交叉的關系，即有部分個人信息具有敏感性屬于個人隱私，其他個人信息因高度公開性不屬于個人隱私。[2]39因此，在探討Cookie信息的權利歸屬之前筆者欲對隱私權和個人信息權從理論層面進行辨析。

首先，從權利價值進行考量。私人隱私和個人信息都具有人格尊嚴和自由的人格權益，不同之處在于個人信息還包含財產性利益。波斯納認為，人們無一例外地擁有信息，這些信息在有些時候對他人和社會是有價值的，他們會愿意付出代價來購買這些信息。在市場經濟環境下，個人信息的商業價值是有目共睹的，商家想方設法收集消費者的個人信息并不為了了解這些消費群體，而是為了通過分析這些信息共性來滿足其自身或其他使用人的需要，更直白地說，商家收集個人信息只是建立和擴展財源的一種途徑。其次，從權利內涵來看，隱私權的重心在于保護個人秘密不被披露，不在于保護這種秘密的控制與利用。[3]而個人信息權背后體現的則主要是法律對個人控制其資料信息的尊重，這種控制表現在信息的所有者有權了解搜集信息的主體，被搜集的內容、用途、是否客觀全面等。[5]189再次，從權利性質來看。隱私權是一種絕對單純地對抗他人不法侵入的消極性權利，強調絕對保護，在該權利遭受損害之前，個人無法積極主張行使。[4]而個人信息權作為一項積極性權利，權利人有權要求未經許可收集、利用的行為人更改或刪除其個人信息，進而排除他人非法利用行為或者使個人信息恢復到正確狀態。最后，從范圍上看，個人信息包括隱私信息，但并非所有個人信息都屬于隱私，只有讓主體人格尊嚴受到嚴重社會影響或者導致主體社會評價被降低的個人信息才能稱得上是隱私。[5]197

通過對兩種權利的比較分析，筆者認為Cookie信息更適合被納入到個人信息權的保護范圍，基于兩點理由：其一，價值體現上，Cookie信息具有一般人格利益和財產利益。前文業已提出，Cookie信息具有間接的身份識別性，它可以識別個人的上網蹤跡、瀏覽記錄，勾勒出用戶的上網軌跡，是一種全過程的記錄。同時，Cookie信息也具有財產利益：大數據時代，互聯網運營商通過Cookie技術挖掘用戶個人各項數據記錄并向其精準投放個性化廣告，這一技術開創了互聯網環境下“依靠廣告提供免費服務”的商業模式。同其他個人信息一樣，Cookie信息也具有交易性和稀缺性，網絡服務商從廣大用戶處搜集的數字足跡信息越準確和詳盡，這些信息用于商業廣告的價值就越大。其二，基于信息保護的立場。互聯網服務商將Cookie信息投入商業使用往往會經歷三個環節：收集信息、公開信息和利用信息，用戶基于不同的權利主張，侵權訴求成立與否也有所不同。若以隱私權為權利主張，個人只有當Cookie信息被公開時才能請求權利救濟。然而在網絡高度發達的今天，具有敏感性質的個人信息一旦被公開，就可能造成無法彌補的損失，例如頻頻發生的“人肉搜索”案。相比之下，個人信息權作為一項積極性權利，在他人未經許可對其信息進行收集時，權利主體即可尋求法律保護。鑒于網絡用戶與運營商信息嚴重不對稱的特殊地位，有必要對運營商從信息獲取的源頭就加以限制，即要求運營商在收集Cookie信息前需征得用戶的明示或默示同意。

三、Cookie信息保護路徑的完善

當前，歐盟和美國在個人信息保護方面起著引領作用，對世界各國制定自己的個人信息保護法具有普遍的參考意義。但是兩者制度在某些方面體現出較大的差異性，在此筆者欲通過對兩者制度進行比較，在結合本國國情基礎上，為我國Cookie信息保護制度的完善探尋出路。

(一)歐美個人信息保護制度的比較

兩者的主要區別體現在對個人信息采取的保護模式上。美國采取行業自律為主導的模式，即主要依靠網絡服務者的自我約束和行業協會的監督。然而，美國的行業自律規則通常只對內部產生效力，言外之意，對于大量未加入自律組織的公司來說，起不到任何約束和規范作用。例如，由美國隱私在線聯盟(OPA)制定的隱私指引只能要求參加相關自律組織的成員承諾并遵守。在立法方面，美國力圖尋找一個平衡點，以協調用戶隱私權保障與互聯網行業發展之間的關系。然而，其通過擴張適用普通法的隱私權概念來完善個人信息保護法，實則是以“舊瓶裝新酒”的方式保護個人信息，[6]在很大程度上依然表現出對行業自律規則的巨大依賴。歐盟對個人信息采用立法主導保護模式，即通常由政府從法律上確立網絡信息權保護的各項基本原則與各項具體的法律規定、制度，并在此基礎上建立相應的司法或行政救濟措施。在所有關于個人信息保護的立法中，歐盟制定的《數據保護指令》具有里程碑式的意義，其明確規定數據信息主體享有“權利保護獲取權、拒絕權和獲得救濟的權利”。在《指令》的基礎上，于2018年5月通過實施的歐盟《通用數據保護條例》(General Data Protection Regulation，簡稱GDPR)進一步提高了對個人信息保護力度。該條例在《數據保護條令》的基礎上進一步擴大了“個人數據”的范圍，并且賦予了歐盟域外管轄權——只要與歐盟企業發生業務往來，或涉及存儲、處理、交換任何歐盟公民數據都在該條例管轄之內，故被稱為“史上最嚴”個人信息保護條例。[7]

不同保護模式下側重的利益也有所不同。如前文所述，美國法官對于PII的認定采取限縮解釋政策，這在某種程度上否定了Cookie信息的個人信息屬性。此種界定存在一定隱患：法官對于利益保護的偏向可能會不斷促使互聯網運營者在客戶信息保密方面松懈的責任意識。美國頻頻發生的“信息泄露”事件就是對這一模式弊端的最佳佐證。歐盟則更傾向于在立法上通過限制互聯網運營商的信息處理權限來實現對個人信息的保護。此種模式會促進網絡服務提供者搜集用戶個人信息的行為更加規范，相對于用戶來講也更加透明。然而，過于嚴格的數據收集和處理規則在客觀上也會增加信息產業的運營成本，降低網絡服務的輸出效率，長此以往可能會嚴重阻礙互聯網產業的發展。

由此可見，無論美國還是歐盟，其保護模式都具有略顯極端的利益偏向色彩，我國對于兩種模式均不可照搬適用，而是應當在個人信息保護與互聯網產業發展之間建立一種平衡模式。

(二)我國保護Cookie信息的應然舉措

在個人信息范圍不明的情況下，Cookie信息的保護無從談起，因此我國首先應當通過立法完善個人信息保護制度，明確個人信息保護范圍。此外，可以互聯網商提供的隱私協議為文本依托加強運營商對用戶Cookie信息的保護義務。

1.明確個人信息的保護范圍

我國《侵權責任法》采取的“全面列舉具體人格權+抽象的一般人格權利益保護”[8]的模式雖然賦予了法官更大的自由裁量空間，但是過大的裁量權往往也容易造成同案不同判的結果，導致法律適用統一性的滅失。面對個人隱私信息不斷遭受網絡技術的挑戰和侵害，我國有必要將個人信息權納入《侵權責任法》的保護范圍，以為個人尋求權利救濟提供法律依據。在確立個人信息權的同時，還要進一步明確個人信息的范圍。根據國家市場監督局和國家標準化委員會2019年發布的《信息安全技術個人信息安全規范(草案)》(以下簡稱“《規范》”)中的界定，“個人信息是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定 自然人身份或者反映特定自然人活動情況的各種信息。”可見，該條對于個人信息采取的是“直接識別+間接識別”的認定模式，然而《規范》在“個人信息的判定標準”中卻提到：“從個人到信息，如已知特定自然人，則由該特定自然人在其活動中產生的信息 (如個人位置信息、個人通話記錄、個人瀏覽記錄等)即為個人信息。”[9]該內容又將個人信息的范圍限縮至“可直接識別的信息”，將“間接識別”的信息排除在外，《規范》前后矛盾的內容反映了當前我國立法對于個人信息范圍的規定十分不明確。據此，筆者認為，為了更大程度地保護可通過技術進行識別的個人信息，同時也為了應對將來可能出現的新類型的個人信息，我國應當堅持“直接識別+間接識別”的認定模式，在這種模式下能夠間接識別到特定個人的Cookie信息必然也會落入個人信息權的保護范圍。

2.強化網絡運營商對用戶信息的保護義務

首先，落實實質公開告知原則。當前互聯網運營商都制定了類似《隱私條例》的隱私政策，但是此類條例并未正真貫徹落實公開告知原則。一方面，條款的位置通常較為隱蔽，且未以明顯的方式進行標識。例如，百度公司雖然在網站首頁設置了《使用百度前必讀》的鏈接，但由于該鏈接位于頁面底端，字體較小且顏色偏淺，用戶一般很難注意到。另一方面，此類條例雖然意在公示其如何收集、使用、存儲、分享以及轉讓用戶個人信息，但是整體上較為形式主義，并未對收集、利用的信息進行詳細列舉。因此，應要求互聯網運營商從實質層面上落實公開告知原則，即應當將隱私政策放在網站首頁的顯眼位置，同時內容也應具體化、細致化，對其收集、利用的信息應當予以明示列舉，以最大程度地保障用戶的知情權。其次，應當完善同意制度。個人信息權設立目標是保障個人對自身信息的控制權，例如，根據GDPR規定，若網站想要利用信息記錄程序(Cookies)或者其他類似技術獲取用戶電腦上儲存的信息或者追蹤用戶的網絡行為習慣，需要得到用戶的同意后方可進行。[10]我國應當明確要求網絡運營商在采集、使用用戶Cookie信息時需要通知并取得用戶同意。為減少運營商的網絡運行成本，也為避免對用戶頻繁的干擾，可以根據Cookie信息的敏感程度以及使用用途分別采取明示和默示同意制度。對于信息敏感程度的認定應當站在一般人的角度，如涉及疾病、性、基因、醫療等方面的信息應判定為敏感信息。運營商在采集敏感信息前必須履行提前告知義務，并由用戶作出準許與否的決定，若用戶不予準許的，運營商禁止采集，已經采集的應當及時予以刪除；出于其他目的的，運營商應當及時履行告知義務，此種情況下無需征得用戶的明示同意。對于一般信息則采用默示同意，由用戶在簽訂隱私協議時采取概括同意。