□
宁宣凤
|
金杜律师事务所高级合伙人、合规团队负责人
□
吴涵
|
金杜律师事务所合伙人
大数据时代下,新技术伴随着新需求喷涌而出,不断催生着新兴商业模式,成就了一个又一个现象级的科技和网络巨头企业。不过,科技的进步并未突破经济学原理,新技术的意义和价值,最终仍体现为经济效率的显著提升;在“流量为王”的时代,面对海量网络用户的来来往往,如何提升营销效率、通过更低的成本精确识别用户群体、培养并创造需求,成为平台门户、流量入口和其他各类企业的统一需求。
为此,消费者行为追踪与分析技术应运而生,通过对消费者既往行为的追踪、汇集与分析,依靠技术手段对消费者需求进行合理推测,最终体现为精准营销、定向投递广告等推广手段。对于各类企业而言,相较于传统广告手段的“一视同仁”,消费者行为追踪与分析技术使得互联网营销变得“看菜吃饭、量体裁衣”:同样营销成本的付出,由于受众群体几乎全都属于产品/服务的潜在兴趣方,转化率得到了显著提升。而对于消费者,网络带来的海量信息同时导致了信息拥堵和“选择恐惧症”,企业通过行为追踪与分析推测出消费者的偏好并进行定制化的推荐,节省了消费者信息筛选的成本,大大提升了网络使用的效率。但是,消费者在享受便利的同时,也需要付出相应的代价,即将自身的网络行为暴露于企业的视野下。消费者披着以技术为名的“皇帝的新衣”,敞亮地向大家展示自己在网络上的一举一动。
为了提升营销效率,通过消费者行为追踪与分析技术,网站运营者等企业可以更加准确地定位目标群体,并针对性地推介产品和服务,而cookie技术正是消费者行为追踪与分析技术中最为重要的一种。网站运营者可以在用户浏览或访问网站时,从服务器端向用户的本地设备(如电脑、手机等)安装和存储一系列的小型文本文件,通常包含标识符、站点名称、号码和字符。网站运营者通过cookie,能记录并获取用户的访问信息,如用户的身份识别号码、密码,用户访问该站点的次数和时间,以及用户浏览页面的记录等,进而追踪用户的网络行为,实现统计网站访客数量、精准营销以及记录用户喜好、操作等功能。
显然,cookie技术的应用对于急需拓展用户、挖掘需求的企业而言无疑是一个宝藏,对于消费者而言一定程度上虽然也带来了便利,但同时也伴随着网络行踪等可能较为私密信息的暴露。为此,cookie技术自其诞生和大规模应用以来,就伴随着持续不断的争议和质疑。
在中国cookie隐私第一案——北京百度网讯科技公司与朱烨隐私权纠纷案中,cookie技术的应用及cookie文件的属性等问题,也构成了双方争议的核心关注点,在中国引发了各界广泛的讨论和关注。
朱烨只是互联网大潮中的一名普通网民,但她在上网过程中发现,不管她使用的是家中的电脑还是使用单位的电脑,只要她使用百度搜索相关关键词后,再访问某些网站时就会出现与该关键词有关的广告。这一发现让朱烨不禁怀疑,百度究竟是使用了什么样的网络技术,竟然像“老大哥”(Big Brother)一样,能够从一个网站到另一个网站,不断地“注视”着自己并推送广告;现在推送的是广告,万一以后开始暴露自己一些更加私密的兴趣爱好和生活、学习、工作相关的特点怎么办。
为了验证自己的怀疑,朱烨甚至寻求了公证员的帮助。2013年4月17日,在公证员在场情况下,朱烨通过百度搜索“减肥”,然后再在地址栏输入“www.4816.com”并进入该网站,这时网页顶部赫然出现了一个“减肥瘦身、左旋咖啡”的广告,网页右面则有一个“增高必看”的广告,点击“增高必看”广告左下面的“掌印”标识,会出现网址为http://wangmeng.baidu.com的网页,它正是“百度网盟推广官方网站”。同样,当朱烨在4816主页的地址栏中输入“www.paolove.com”,点击后进入泡爱网时,也发现该网站网页的两边会出现“减肥必看”“左旋咖啡轻松甩脂”的广告。随后,朱烨多次删除浏览的历史记录,更换了“人工流产”“隆胸”等关键词,再次访问4816和泡爱网等网站时,毫无意外地均出现了与关键词密切相关的广告。
公证员可能也未预料到互联网技术对于人们行为的监控与追踪已经发展到了如此境地,但在亲眼见证全过程后依据事实情况向朱烨出具了公证书。
拿到公证书的朱烨有了足够的底气,2013年5月6日她将百度告上法庭,控诉百度利用网络技术,未经其知情和选择,记录和跟踪了其所搜索的关键词,将其兴趣爱好和生活、学习、工作特点等显露在相关网站上,并利用记录的关键词,对其浏览的网页进行广告投放,侵害了其隐私权,使其感到恐惧,精神高度紧张,影响了其正常的工作和生活,要求法院判令百度立即停止侵权行为,赔偿其精神损害抚慰金10000元,并承担公证费1000元。
值得一提的是,朱烨案的发生时间为2013年(终审判决于2015年作出),当时中国尚缺乏足够坚实的个人隐私和信息保护法律基础,能供法院作为判决依据、参考的法律文件仅包括:《全国人民代表大会常务委员会关于加强网络信息保护的决定》(以下简称《人大决定》)、《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》(以下简称《最高法规定》)、《电信和互联网用户个人信息保护规定》(以下简称《电信规章》)、《信息安全技术公共及商用服务信息系统个人信息保护指南》(以下简称《个人信息保护指南》)等。
这些文件中,《人大决定》虽然效力层级高,但其中的条款规定、要求过于原则和概括,导致对于实际行为认定和定性过程的指导性十分有限;《最高法规定》则主要着眼于网络侵权,其中涉及个人隐私和个人信息的主要行为为“利用网络公开”,与使用cookie技术进行消费者追踪的关联度不高;《电信规章》本身作为工信部发布的部门规章,并不能直接作为司法裁判的依据,虽然其中对于用户个人信息保护进行了专门规定,但无法为法院审判提供除借鉴思路以外的其他帮助;而《个人信息保护指南》属于国家指导性标准,仅供使用者参考,既无强制性的法律效力,也无法为司法裁判提供明确的审判依据来源。这一背景也为朱烨案审判结果的大反转提供了空间,正是法律基础的薄弱给了法官充足的分析和论证空间,同样本案审判过程中进行的讨论也为后来的立法、执法和司法提供了宝贵的指引。
在这样的背景下,一审法院或是出于理论储备丰富程度的考虑,回避了cookie信息是否属于个人信息的判断问题,而是将主要的论证精力和分析均集中在隐私权及侵权行为的分析上,认为个人隐私除了用户个人信息外还包含私人活动、私有领域;而朱烨进行搜索的几个特定关键词构成了其在互联网空间留下的私人的活动轨迹,展示了其个人上网过程中的偏好,一定程度上标识出朱烨个人的基本情况及个人私生活情况,因而属于个人隐私的范围。同时,法院也恪守了“技术中立”原则,指出cookie技术本身并不侵权,但百度收集、利用他人隐私进行商业活动的行为并非cookie技术的必然结果。法院进一步指出,侵犯隐私权的行为表现形式并非仅限于“公开、宣扬他人隐私”,也应当包含未经同意情况下的“收集、利用他人信息”等其他对个人隐私权造成损害的情形。在此前提下,一审法院认为百度毫无疑问侵犯了朱烨的隐私权。
虽然一审法院强势地站在个人隐私权一方,但在判决之中却仍然不可避免地暴露出裁判依据匮乏、理论储备欠缺情形下判决理由的羸弱。例如,就cookie信息的定性而言,一审法院将cookie信息定性为个人隐私,这一判断就可能存在不妥之处。一般而言,无论是个人信息还是个人隐私,前提在于应当与特定个人身份相关,一张无法辨认身份的照片不属于个人信息,也不可能属于个人隐私。在本案中,百度通过对cookie信息的收集,即便结合其他信息,能否准确识别到朱烨这样的单个用户尚且不论,识别的成本也可能过高而使得企业无法承受。
换言之,在大数据时代下,碎片化的信息通过一定程度的积累均可能对个体产生识别性,因此匿名就成为一个程度问题:技术上,大部分信息都可能在极端情况下识别至个体,不考虑成本地拓展对个人的识别性,可能产生信息识别效果的泛化,导致企业承受不合理的法律负担。此外,朱烨发现百度使用cookie技术进行用户追踪的场景也包括了单位电脑的使用场景,类似单位电脑这样的公用场景下,cookie信息对朱烨的识别性可能更低,即便cookie信息描绘出了当前浏览器曾经使用者的偏好,这一偏好和朱烨的对应性也很难达到定位个人的程度。为此,一审法院虽论证了cookie信息中的“隐私属性”,却未能充分论证本案中cookie信息的“个人识别性”,进而产生这些cookie信息虽然描述出某人的隐私特征,却无法判断该信息究竟是属于张三的、李四的还是朱烨的。这样的情况下就认定cookie信息属于个人隐私,可能造成过于宽泛的个人隐私范围划定。
二审法院在进行法律分析与论证前,对于cookie技术特征和百度个性化推荐服务的技术原理进行了更为细致的梳理。
(1)cookie技术主要是用于服务器与浏览器之间的信息交互,使用cookie技术可以支持服务器端在浏览器端存储和检索信息。当浏览器访问服务器时,服务器在向浏览器返回HTTP对象的同时会发送一条状态信息保存到浏览器,这个状态信息被称为cookie信息,主要说明哪些范围的URL(链接)是有效的。此后,浏览器再向服务器发送请求时,都会将cookie信息一并发送给服务器。服务器据此可以识别独立的浏览器,以维护服务器与浏览器之间处于会话中的状态,如判定该浏览器是否已经登录过网站,是否在下一次登录网站时保留用户信息简化登录手续等。当网络用户电脑中有多个不同内核浏览器时,就会被服务器识别为多个独立访客;当多个网络用户在同一电脑上使用同一个浏览器时,则会被识别为一个独立访客。
(2)百度个性化推荐服务的技术原理是,当网络用户利用浏览器访问百度网站时,百度网站服务器就会自动发送一个cookie信息存储于网络用户浏览器。通过建立cookie联系后,百度网站服务器端对浏览器浏览的网页内容通过技术分析后,推算出浏览器一方可能的个性需求,再基于此种预测向浏览器的不特定使用人提供个性化推荐服务。
在对cookie技术和百度个性化推荐服务技术原理有所了解后,二审法院在法律层面的解读与一审法院发生了彻底的反转,进而作出了与一审判决迥异的裁判。
二审法院判决认为,cookie信息虽具有隐私性质,但不属于个人信息,理由在于“用户通过使用搜索引擎形成的检索关键词记录,虽然反映了网络用户的网络活动轨迹及上网偏好,具有隐私属性,但这种网络活动轨迹及上网偏好一旦与网络用户身份相分离,便无法确定具体的信息归属主体,不再属于个人信息范畴”,因此也就不存在侵犯朱烨隐私权的可能。此外,二审法院还针对一审审判中未予细致分析的个性化推荐服务进行了法律定性,认为“推荐服务只发生在服务器与特定浏览器之间,没有对外公开宣扬特定网络用户的网络活动轨迹及上网偏好”。最终,二审法院驳回了朱烨的全部诉讼请求。
二审法院与一审法院完全相悖的判决及其观点论证引起了极大的争议,在舆论上出现了两极分化:反对者认为二审判决显失公平,完全无视个人信息的重要性,公民基本权利保护落空,且论理上逻辑反复、概念混淆,对于个人隐私和个人信息的边界划分起到了负面作用;赞成者认为判决中对于案情和技术背景的梳理得当,对于商业利用与个人权利之间的法律关系提出了合理且有依据的认定,在合理保护个人信息安全的基础上,有利于互联网产业的发展,为后续的法律制定和司法裁判提供了良好的借鉴。
从相互对立的观点立场之间的分歧来看,确定个人隐私与个人信息之间的关系对于本案裁判的合理性判定、cookie信息的定性都极为重要。
初看来,个人隐私与个人信息很容易被混为一谈。在美国,其个人信息保护的法律制度就主要基于隐私权保护而搭建。但从个人隐私与个人信息所对应的权益来看,除两者之间存在的相似性以外,在性质、客体等方面存在的差异和界分也是显然的。在《论个人信息权的法律保护——以个人信息权与隐私权的界分为中心》一文中,王利明教授就对个人信息权与隐私权的区别作了以下归纳:
(1)法律属性有所区别:通常而言,一个人是无法将自己的隐私用于换取财产性利益的,这侧面证明了,隐私权主要是一种精神性的人格权,其财产价值不突出,侵害隐私权主要导致的是精神损害;而相对地,我们在一些场景下,可以通过提供个人信息的方式“换取”相应的产品和服务(如通过登记姓名和手机号换取一些商家促销活动的抽奖机会等),为此,个人信息权作为一种综合性权利,兼具了人格利益与财产利益。
(2)所保护的客体不同,即个人隐私与个人信息的区别。
(3)具体的权利含义不同:隐私权的内容主要包括维护个人的私生活安宁、个人私密不被公开等,个人信息权主要是指对个人信息的支配和自主决定。
(4)各自得以保护的方式存在差异:隐私权相对而言更为消极,具有防御性,即隐私权通常是以事后救济的方式得以保护,采用精神损害赔偿的方式加以弥补,而个人信息权则是一种主动性的权利,不仅可以通过事后救济,还可以通过事前同意、权利的主动行使等方式得以实现。举例而言,当一个人受到窥视时,他能够选择的救济方式除了在事后要求赔偿和道歉以外,很难以事前拒绝其他人偷窥的方式主动行使权利,因为隐私权来源于人格权,其本身就带有默认拒绝受到其他人侵扰的含义,所以在行使权利时就显得更具防御性。
从个人隐私与个人信息的范围上看,两者之间既有交集,也存在各自独立的部分。一方面,如前所述,权益内涵和权利边界上的不同决定了隐私权大于个人信息权:除包括属于个人隐私的个人信息应当得到尊重和保护以外,还包括个人居住的安宁与私人生活的免受打扰。这一点在本案一审判决中也被明确提及,一审判决也认定了朱烨的搜索活动具有隐私属性。不过,一审法院的论证过程并没有明确分析并得出关于“搜索关键词等cookie信息是否为个人信息”的结论,因此分析方向虽然合理,但最终的结论却仅限于浅尝辄止,未能在理论上有所推进和澄清。另一方面,从广义角度(即包含直接识别和间接识别)来看,个人信息的范围毫无疑问大于个人隐私:个人隐私由于前提在于与特定个人具有关联性,因此将毫无疑问地构成个人信息,但除此以外,个人信息还包括可公开、可利用的个人信息,这些个人信息很可能不具有隐私属性而不属于个人隐私。但如前所述,无论是个人信息还是隐私信息,其前提都应当是具有身份可识别性。脱离了特定个人,这些信息就再也不是个人信息,更不是个人隐私。这也就产生了本案二审判决中最大的一个逻辑矛盾所在,即认可搜索关键词具有隐私属性的前提下,法官又认为关键词不属于个人信息,着实让人有一些费解。
就本案中所关注的cookie信息而言,“本案中所涉及的cookie信息是否属于个人隐私”这一问题可能难以从理论上得到肯定的结论。如前所述,虽然一审判决中论证了cookie信息一定程度上带有隐私属性,但个人隐私最终仍然应当与特定个人具有足够强的关联性,而cookie信息对个人的直接识别性很可能不够强,因此从隐私权的角度来看,隐私权更多强调的是私人生活的不受干扰,cookie信息与个人相对较弱的关联度使得其对私人生活产生负面影响的可能性相较于其他具有直接识别性的信息类型而言要低。
不过,相对应地,在立法实践中,各国都对cookie信息属于个人信息采取了肯定性的积极回应。无论是严格保护cookie信息的欧盟,还是倡导自律、态度相对宽松的美国,均认为对个人具有识别性的cookie信息属于个人信息的范畴。2012年12月,美国联邦贸易委员会(FTC)发布命令,要求多个信息服务提供商提供如何收集和使用消费者信息的报告时,在附录中将“一项持续的识别符,如cookie用户编号或者处理器序列号”,与姓名、地址、邮件地址并列为个人信息。随后联邦贸易委员会在2013年依照《儿童网络隐私保护法》授权颁布的《儿童网络隐私保护规则》第312.2条“定义”第7项列举了可识别个人身份的信息,包括通过一段时间或者通过不同网站和在线服务,可以被用来识别个人的一种持续识别符。这种持续识别符包括但不限于:cookie用户编号、IP地址、处理器或者设备的序列号、唯一标识符。
因此,就cookie信息的定位、个人隐私与个人信息的关系,可以用下图来大致体现:
总结而言,抛开朱烨案中不同法院观点和立场的对错,就一审法院和二审法院各自的论理过程和依据充分性来看,确实各自存在着不同的缺陷和不足,但也同时存在着各自的闪光之处,如一审法院对于cookie信息隐私属性的认定、二审法院对于cookie技术原理的梳理和认定,均为未来与cookie相关的司法实践提供了宝贵的经验,一定程度上也给后续的个人信息相关立法提供了基础。
2017年6月1日,在朱烨案终审判决作出两年后,《网络安全法》正式生效,大大加快了中国个人信息保护相关的部门规章、司法解释、国家标准的出台与施行速度。目前有多个部门规章和国家标准已生效或正在广泛征求公众意见,从网络安全等级保护、关键信息基础设施保护、网络产品和服务安全审查、个人信息保护、数据本地化存储与跨境安全评估、网络安全事件应急等各个方面对网络安全和数据合规进行全面规制。在尚未制定成文的个人信息保护法出台前,《网络安全法》初步构建了中国个人信息保护原则与体系,从法律层面提供了个人信息保护的有力依据。
为此,如果本案的发生时间并非2013年而是现在,司法裁判的确定性无疑将显著提升,想必朱烨胜诉的喜悦也不会那么快被终审败诉而淹没。《网络安全法》明确了个人信息的定义,即以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。在此定义下,中国法律体系对个人信息的范围采用了直接识别说和间接识别说结合的形式,这使得“大部分cookie信息属于个人信息”已与世界其他主要司法辖区的立法和执法实践基本达成共识,在《网络安全法》体系下出台的国家标准《信息安全技术 个人信息安全规范》(GB/T 35273—2017)也在“附录A(资料性附录)个人信息示例”中明确列举了个人上网记录(cookie信息应属于个人上网记录中的一种)为个人信息。因此,如相关企业行为违反个人信息保护原则与体系,毫无疑问应依法承担相应的法律责任。
不过,即便在《网络安全法》初步构建起中国个人信息保护原则与体系后,仍然存在着诸多难以统一回答的问题,如如何避免个人信息定义的泛化和边界的过度扩展等。
以cookie为例,经过多年的技术发展,cookie技术本身已经产生了诸多分支。按照技术特点、用途和功能等维度,cookie可以分为不同种类。例如,按照存储时间的长短可将cookie分为会话cookie和持久cookie,其中会话cookie只在浏览器上保存一段规定的时间,一旦超过该时间就会被系统清除,而持久cookie则保存在用户本地硬盘的cookie文件中,下一次用户返回时,仍然可以对它进行调用。而按照实现功能和目的的不同,可将cookie分为安全cookie和跟踪cookie,其中安全cookie通常用于实现网站用户登录和访问的安全验证目的,而跟踪cookie则用以记录并追踪用户的网页浏览记录,由此推测用户的喜好并推送相关广告。此外,按照网站主体的不同还可以将cookie分为第一方cookie和第三方cookie,其中第一方cookie是由用户访问或与其发生交互的网站的服务器放置在用户终端设备的cookie,而第三方cookie则是由与用户访问的网站相关的其他第三方放置在用户终端设备上的cookie。
不难看出,cookie种类的差异导致其功能和适用场景、收集的信息、与其他信息的关联性等方面均可能有所不同。因此,不同种类的cookie可能对自然人个体隐私造成不同的影响,对特定个体的识别性(含直接和间接)也相应地有所不同。所以,即便cookie信息对于个人具有识别性从而属于个人信息,但具体情况中对cookie信息的定性以及其对个人信息保护的影响,仍然需要根据具体的cookie技术种类和适用场景、功能、收集的信息内容以及与个人、其他信息之间的关联性等因素来综合判断,以避免过度拓展了个人信息的范围,给企业带来过于严重的合规负担。
更进一步而言,如若过度夸大间接识别的可能性,则所有与个人相关的信息在结合一定数量的其他信息后,均可能对特定个体产生足够强的识别性,这样无限制地“碎片拼合”既未反映企业的实际商业实践,也不利于平衡个人权利保护和商业模式发展,将可能带来更为高昂的社会成本。
关于cookie技术和信息使用的规则,不同法域也存在着极大的差异。
作为数据保护领域的先驱与标杆,欧盟早在多年前就从保护在线隐私的角度出发,针对cookie进行专门立法,并随着对数据保护和cookie的认识不断加深,不断完善和补充其规则体系。在欧盟法律体系下,cookie由于具有特定个人识别性,被多部立法明确规定为个人数据,受到相应保护。1997年,欧盟针对电信领域出台了《电信行业数据保护指令》(Directive 97/66/EC),并于2002年通过《电子隐私法令》(e-Privacy Directive)将适用范围扩展至覆盖互联网上的数据传输,规定用户的电子通信终端设备上存储的任何信息均属于用户的隐私信息,应受到欧盟相关法律的保护。
跟随《电子隐私法令》的修改,欧盟关于cookie的同意规则经历了从2002年“选择退出”(opt-out)到2009年“选择加入”(opt-in)的变化。2002年版的《电子隐私法令》中仅要求告知用户并提供选择退出的方式,即可正常使用cookie技术;而2009年修订后,《电子隐私法令》的要求发生变化,使用cookie技术不再能基于默认同意,而是需要以选择加入,即用户主动选择方式提供授权同意。而随着欧盟《通用数据保护条例》(GDPR)的实施,企业也面临更高的合规要求。例如,针对cookie的同意标准被提高:在GDPR体系下,数据主体的同意必须是(1)自由作出的;(2)具体的;(3)在充分告知的基础上作出的;以及是(4)数据主体不含糊的意思表示。为此,针对cookie的同意可能会被要求为数据主体明确的肯定性确认行为,这意味着一些现有的做法如仅展示标语、声明继续使用网站就构成同意等可能将难以满足GDPR的要求。
相较而言,美国针对cookie的使用规则更显“宽松”。自2011年起,美国尝试出台多项法案,但由于难以在建立标准和可行的立法方面达成一致,均以撤回或失败告终。其中,为了保护网上用户的隐私,让用户有权选择不被第三方网站跟踪,美国曾试图引入“请勿追踪”(Do Not Track)立法,但是,目前多数网站均选择了无视“请勿追踪”请求,因此联邦贸易委员会意图推动的“请勿追踪计划”也成了一纸空文。
总体而言,美国对于cookie的使用采用了选择退出机制,整体立法更侧重于从保护用户权益不受损害的角度通过侵权等方面的法律进行管理。
这种立法思路和态度上的差异反映出对cookie技术的认识差异,也引发Facebook在比利时cookie案上的败诉。
2015年,当时比利时隐私保护委员会(Belgian Commission for the Protection of Privacy,CPP)委托比利时鲁汶大学的研究人员就Facebook收集和使用cookie数据的行为进行调研,调研结果表明Facebook未经数据主体的明示同意收集并使用cookie数据的行为违反了比利时《隐私法案》。比利时隐私保护委员会在2015年5月13日和2017年4月12日分别向Facebook提出了前后两份建议书,并提出整改建议。在建议书中,比利时隐私保护委员会主要关注两个方面的问题:(1)Facebook未就收集和使用cookie数据获得数据主体的充分知情同意;(2)Facebook在社交插件的场景下设置、使用某些类型的cookie并收集相关cookie数据不具有必要性。
然而,Facebook的整改始终未能让比利时隐私保护委员会满意。比利时隐私保护委员会据此将Facebook告上法庭,此案之后又历经上诉和再审,最后于2018年以Facebook败诉告终。2018年2月16日,比利时法院判决责令Facebook停止收集用户的cookie数据,并将已非法收集的所有比利时用户数据删除,否则将对Facebook处以每日25万欧元的罚款。
虽然我们无法将Facebook在比利时cookie案上的败诉归结于美欧两地之间不同的cookie使用规则和立法选择,但不可否认的是,类似Facebook一般具有全球性商业存在的跨国企业,在面临不同法域对于cookie技术的不同态度和各自使用规则时,无疑需要对自身的商业实践作出极大的调整,以适应当地法律的相关要求。
因此,虽然cookie信息与个人密切相关,cookie技术的使用也毫无疑问地将对个人权利造成影响,但不同法域的不同立法态度对企业使用cookie技术和信息时需要符合的法律要求产生了差异性和不确定性。为此,企业自然应当更为谨慎地判断cookie使用过程中应适用的规则。
从上述案件的裁判思路、各方的争议和理论上的繁杂来看,对于大数据时代的企业,cookie技术以及类似的消费者行为追踪和分析技术的应用必不可少,同时cookie技术的应用带来的困惑和迷思也同样影响巨大。虽然不同种类的cookie技术以及所收集的信息在个人识别性上有所差异,但从欧美长期的实践经验和中国逐步完善立法过程中取得的共识来看,“cookie信息属于个人信息”的结论已初见端倪。
为此,虽然cookie信息中属于个人隐私的部分难以得到明确而统一的结论,但由于cookie信息或直接或间接地对于特定个人具有识别性,企业在使用cookie技术、收集cookie信息时,理应谨慎地遵循适用个人信息保护法律的规定,履行相应的强制性义务,合理管控个人信息合规层面的法律风险。
此外,cookie技术作为消费者行为追踪和分析技术中目前最为常用且成熟的一种,即便在经过多年的应用和讨论之后仍然是隐私和数据保护法律领域的难点,时下正逐步完善并推广的网络信标、图像像素等其他类似设备识别技术,想必也同样将给个人隐私和个人数据保护的法律实践带来艰巨的挑战。
如何在技术高速发展的今天,保持技术对于个人隐私和信息保护的透明度,让公众了解技术实现的基本原理,以及可能对于个人隐私造成的影响,将是我们脱下“皇帝的新衣”的第一步。