你的cookie“餅干”安全嗎

文 律商聯訊特約撰稿 寧宣鳳

在格林童話《漢澤爾與格萊特》的世界中，小朋友通過在路上撒下小餅干屑的方式標記他們走過的路，最終走出了黑暗的森林。在數字世界中，網絡運營者同樣可以通過“cookie”追蹤用戶行為，記錄并獲取用戶的訪問信息，實現統計網站訪客數量、精準營銷、記錄用戶喜好、操作等功能。

這里的cookie是指用戶瀏覽或訪問網站時，各網站服務器在用戶的本地設備（例如電腦、手機等）上安裝和存儲的小型文本文件，它通常包含有標識符、站點名稱、號碼和字符。cookie追蹤功能的日益強大引發了數字用戶對其可能侵犯隱私、泄露個人信息的普遍擔憂。在隱私和個人信息保護越來越受重視的時代背景下，各國家/地區也愈加重視對cookie的法律規制。

那么，cookie為什么可能侵犯隱私，泄露個人信息？各主要司法轄區如何看待cookie相關的個人信息保護問題？相關的法律法規源起何方，又有何特點？在以下內容中，本文將首先介紹cookie的技術特征，在此基礎上分別介紹歐盟、美國和中國的相關規制情況，并簡要探討相關合規建議，以饗讀者。

此cookie非彼餅干也

就像口味不同的餅干一樣，cookie根據各自的技術特點、用途和功能可以分為不同種類。

按照存儲時間的長短，cookie可分為會話緩存（session cookie）和持久緩存（persistent cookie）。session cookie一般只在瀏覽器上短期保存，通常關閉瀏覽器時即被系統清除。這種cookie不會寫入硬盤，通常也不收集有關用戶的信息。持久緩存則寫入硬盤并保存在設備中，下一次用戶返回時，網站仍然可以對它進行調用，這也是我們中絕大多數人所熟悉的cookie。

按照網站主體的不同，cookie可以分為第一方緩存（first-party cookie）和第三方緩存（third-party cookie）。第一方緩存由用戶訪問的網站放置于用戶終端設備，例如，當電商平臺A設置一個cookie用來記錄小明在購物車里放了10盒趣多多，即為第一方緩存。第三方緩存則是由與用戶訪問的網站以外的其他第三方放置在用戶設備上的cookie，例如，假設廣告營銷公司答應幫助趣多多進行宣傳推廣，并與電商平臺約定在其網站上放置廣告，那么，當小明訪問某電商平臺時，廣告網絡會傳送一個趣多多的廣告到小明查看的頁面，并在他的電腦上放置一個cookie。

第三方緩存通常基于定向廣告等目的放置，因此也被稱為追蹤緩存（tracking cookie）。在實踐中，許多廣告營銷公司基于與廣告商之間的合作，會與大量其他網站簽約并向其提供廣告，當小明訪問這些網站時，廣告營銷公司可以再次調用此前小明訪問電商平臺A時放置的cookie，也就是說，廣告營銷公司可以在多個網站上追蹤小明的行為。嚴格來講，cookie只是本地設備上的臨時存儲文件，雖然這些文件可以通過簡單的編輯器查看，但其本身無法從用戶的設備收集數據。cookie也不是病毒，它無法在用戶的設備上安裝惡意軟件。但cookie可能被網絡運營者惡意地使用，淪為侵害他人權利的工具。

歐盟cookie規則的發展

作為數據保護領域的先驅與標桿，歐盟早在多年前從保護在線隱私的角度出發，針對cookie進行了專門的立法，并隨著對數據保護和cookie的認識不斷加深，不斷完善和補充其規則體系。

1. cookie同意規則的出現和轉變

1997年，歐盟針對電信領域個人數據處理中的隱私權保護問題出臺了《電信行業數據保護指令》（97/66/EC）；2002年，歐盟頒布《電子隱私法令》（e-Privacy Directive），將適用范圍擴展至覆蓋互聯網上的數據傳輸；其中規定，用戶的電子通信終端設備上存儲的任何信息均屬于用戶的隱私信息，應受到相關歐盟法律的保護。監測軟件、網站信標、隱藏標示符及其他類似設備（例如cookie）可能會被放置在用戶終端設備上，用以收集用戶的信息。使用該等設備應僅限于合法目的并獲得用戶的知情同意。

歐盟關于cookie的同意規則經歷了從2002年e-Privacy Directive“選擇退出（opt-out）”到 2009 年修訂版 e-Privacy Directive“選擇加入（opt-in）”的變化。2002年e-Privacy Directive只要求網站告知用戶，并提供選擇退出的機會，就可以在用戶的終端設備上存儲cookie；2009年，歐盟對“e-Privacy Directive”進行了修訂，在用戶的終端設備上存儲cookie不再能基于默認同意，而是從選擇退出改為了選擇加入，即需要用戶主動選擇同意。

2. GDPR影響下的新進展

2016年公布、2018年實施的《歐盟通用數據保護條例（GDPR）》明確特定類型cookie即構成個人數據。GDPR指出，網絡設備、應用、工具、協議中留存的cookie痕跡如果具有唯一指向性，這些cookie痕跡可生成個人畫像或檔案從而識別到具體自然人，即具有身份識別性。GDPR第26條前言說明，當數據可被用來直接或間接識別自然人時，其就是個人數據/信息。由此可見，GDPR明確了可以直接或與其他信息結合識別到特定自然人的cookie數據即為個人數據，受GDPR規制。

2017年1月，歐盟委員會提出了《隱私和電子通信條例》（“Regulation on Privacy and Electronic Communications”）。 該 條 例 作 為 GDPR的特別法，意欲取代當前的《電子隱私指令》，旨在規制電子通信服務并保護與用戶終端設備相關的信息，使這一領域的立法要求與GDPR相協調。

e-Privacy Regulation針對cookie以及網站信標、圖像像素等其他類似設備識別技術的使用提出了更為嚴格的規則。例如：

（1） 只有在使用cookie是為用戶提供服務所直接必需或者網站運營者已獲得用戶同意的情況下，網站才能訪問用戶的手機或電腦等設備、收集設備類型、瀏覽器型號等信息。也就是說，cookie的使用一般需要用戶同意，但在一些特定情況下，不需要用戶的同意，例如，在電子通信網絡中傳輸信息所必要的、提供用戶請求的信息社會服務所必要的、或是用于測量網頁訪問人數。具體而言，可能包括用于在一次會話中用戶登錄后識別用戶的驗證cookie、用于在一次會話中播放視頻或音頻內容而存儲技術數據的多媒體播放器cookie、用于一次會話中存儲語言或字體偏好的用戶界面定制化cookie等。不過，即便這些cookie的使用無須獲得用戶同意，對用戶就此進行告知仍然是一種推薦的做法。

（2） 針對cookie的同意更難獲取，因為該等同意必須符合GDPR中的相同標準，即必須有數據主體明確的肯定性確認行為。這意味著一些現有的做法需要重新審視，例如，僅展示標語，聲明繼續使用網站就構成同意可能將難以滿足法律的要求。

在GDPR體系下，數據主體的同意必須是：自由做出；具體；在充分告知的基礎上做出；以及是數據主體不含糊的意思表示。

總體而言，在歐盟法律體系下，cookie由于具有特定個人識別性，被多部立法明確規定為個人數據，受到相應保護；在這一立場不變的前提下，隨著數據保護法律制度的更新換代，cookie領域的特別立法亦不斷完善和推進，從選擇退出到選擇加入的轉變集中體現了歐盟對于規制cookie的嚴格態度。

美國：缺乏針對cookie的明確規定

美國在個人數據的保護方面的立法路徑與歐盟不同，聯邦層面沒有專門針對個人信息保護的立法，相關的內容散見于行業規定以及州層面的立法。例如，規制健康醫療領域數據的《健康保險可攜與責任法》（“Health Insurance Portability and Accountability Act”），保護兒童在線隱私的《兒童在線隱私保護法》（“Children’s Online Privacy Protection Act”）等。這種傾向也影響到美國針對cookie的立法。一般而言，并沒有法律明文規定禁止使用追蹤緩存，聯邦貿易委員會也不將追蹤緩存的使用本身解讀為不公平或欺詐行為。

目前，與cookie聯系較為緊密的法律包括《聯邦消費者欺詐與濫用法》（“Federal Consumer Fraud and Abuse Act”），其曾被用于基于行為廣告目的使用cookie的公司。州層面例如加州也要求當使用cookie收集消費者在不同網站上的活動時，須進行相應的披露。不僅如此，《聯邦貿易委員會法》（“Federal Trade Commission Act”）也被當作法律依據來管理/起訴不當披露其使用追蹤緩存的行為。

自2011年起，美國出臺了各種法案，但后來由于難以在建立標準和可行的立法方面達成一致，均以撤回或失敗告終。其中，為了保護網上用戶的隱私，讓用戶有權選擇不被第三方網站跟蹤，美國曾嘗試引入“請勿追蹤（Do Not Track）”立法。請勿追蹤源自“Do Not Call”規則，依據該規則，電話推銷員不能電話聯系選擇退出的人。但是，目前多數網站均選擇了無視請勿追蹤請求，因此聯邦貿易委員會意圖推動的請勿追蹤計劃也成了一紙空文。

總體而言，美國對于cookie的使用采用的不是“選擇加入”而是“選擇退出”機制；其整體立法側重的不是對使用cookie本身的規制，而是從保護用戶權益不受損害的角度通過侵權等方面的法律進行管理。

中國：cookie是否屬于個人信息？

cookie是否屬于個人信息的問題曾經經歷了多年的討論，隨著《中華人民共和國網絡安全法》（以下簡稱“網絡安全法”）和國家標準《信息安全技術-個人信息安全規范》（以下簡稱”個人信息安全規范”）的出臺，cookie是否屬于個人信息的判斷有了較為明確的官方意見。

1. 百度cookie第一案

在國內司法實踐中，對個性化推薦服務即定向廣告cookie（追蹤緩存）的性質認定存在認識上的分歧。2013年的cookie第一案反映了此種爭議。原告訴稱，其在使用百度搜索引擎搜索“減肥”“豐胸”等關鍵詞并瀏覽相關內容后，在某些網站就會相應地出現與關鍵詞高度相關的廣告。原告認為百度公司未經其知情和選擇，即記錄和跟蹤了所搜索的關鍵詞，將其興趣愛好等顯露在相關網站上，并對瀏覽的網頁進行廣告投放，侵害了其隱私權。

一審法院認定追蹤緩存是個人隱私。二審法院認為其雖具有隱私性質，但不屬于個人信息。其認為：網絡用戶通過使用搜索引擎形成的檢索關鍵詞記錄，雖然反映了網絡用戶的網絡活動軌跡及上網偏好，具有隱私屬性，但這種網絡活動軌跡及上網偏好一旦與網絡用戶身份相分離，便無法確定具體的信息歸屬主體，不再屬于個人信息范疇。

cookie第一案的判斷學術界存在很多爭議。二審法院認定，cookie與網絡用戶身份的分離使得cookie缺乏直接指定向個人的可能性，但更多的學者質疑，與cookie同步收集的信息包括服務的使用情況、IP地址、訪問日期和時間、設備信息等，是否有可能與cookie相結合，能夠指向特定用戶。

隨著大數據技術的發展以及國際上對于“個人信息”認定標準的進一步深化討論，《網絡安全法》和《個人信息安全規范》對于cookie是否應該被認定為“個人信息”的問題提供了更為清晰的判斷標準。

2. 《網絡安全法》和《個人信息安全規范》對追蹤緩存屬性的再思考

2017年6月1日實施的《網絡安全法》中對個人信息的定義即采取了直接識別和間接識別相結合的認定標準。此外，2017年12月29日發布的《個人信息安全規范》進一步指出，判定某項信息是否屬于個人信息，應考慮兩條路徑：一是識別，即從信息到個人，由信息本身的特殊性識別出特定自然人，個人信息應有助于識別出特定個人；二是關聯，即從個人到信息，如已知特定自然人，則由該特定自然人在其活動中產生的信息（如個人位置信息、個人通話記錄、個人瀏覽記錄等）即為個人信息。符合上述兩種情形之一的信息，均應判定為個人信息。《個人信息安全規范》附錄A將包括網站瀏覽記錄、軟件使用記錄、點擊記錄在內的個人上網記錄均列明為個人信息。《網絡安全法》和《個人信息安全規范》對于個人信息的認定一定程度上參考了國際上普遍被認可的學說，同時也充分認可大數據關聯分析技術能夠通過結合多類數據提高指定特定個人的可能性。

如上所述，在當前的技術水平下，用戶的網站瀏覽記錄等追蹤緩存信息與終端設備信息、賬戶信息等相結合即可很容易地識別到特定個人，可能會被認定為個人信息。在目前尚無針對cookie的特殊規則的情況下，對其進行收集、使用和任何處理，理論上均應遵守《網絡安全法》及其他相關法律法規、國家標準對個人信息保護的一般要求。這些要求主要包括，應當在收集個人信息時征得用戶的同意，并遵循合法、正當、必要的原則，公開收集、使用規則，明示收集、使用信息的目的、方式和范圍。同時，不得泄露、篡改、毀損收集的個人信息；未經被收集者同意，不得向他人提供個人信息。此外，還應當采取技術措施和其他必要措施，確保收集的個人信息安全，防止信息泄露、毀損、丟失。

企業如何吃下這塊“餅干”

盡管各個國家對于cookie數據收集和使用等行為的規制可能有所不同，但在互聯網企業全球化運營及數據全球流動的背景下，企業應結合中國和歐盟等主要司法轄區中國際通用的原則，對自己收集和使用cookie數據的行為進行自我檢查和評估。具體而言，我們建議企業首先應當：

1. 考察cookie的使用情況和必要性分析

確認自身所使用的cookie種類、性質、第一方還是第三方、與用戶其他信息關聯度等特點，并據此逐一檢查cookie的使用是否是實現某項功能所必須的，是否一定需要用戶同意，以及是否有任何非侵入的替代方案等。

2. 評估各類cookie對用戶隱私的影響

雖然目前并未在法律規定層面明確需要將cookie進行進一步的分類，但從企業合規的角度出發，對用戶行為介入越深入的cookie可能會對用戶隱私造成更大的影響，從而給企業帶來更大的合規風險，因此需要優先級更高的同意獲取等合規措施安排。

3. 針對每一類cookie評估其所需要符合的“同意”要求

針對不同種類的cookie，評估取得同意的不同要求。例如，第一方緩存的使用無須獲取數據主體的知情同意，但所有第三方緩存和持久緩存的使用均須獲得數據主體的知情同意。此外，還應針對每一類cookie評估合理地獲取同意方式。例如，對于具有主頁等主體交互頁面的網站，采用彈窗等相應技術實現直接向用戶要求同意的方式會較為有效；而對于一些注冊界面為用戶交互頁面的網站，通過使用條款或隱私政策進行告知也不失為一種方式，盡管在進行更新時仍可能需要通過其他方式進行告知的補充，但也能極大地減少用戶同意的成本。

此外，對于一些cookie使用非常重要、具有持續性的網站而言，比如在線視頻觀看的網站，由于cookie對于用戶行為的介入較深，使用目的包括個性化推薦等對用戶體驗造成的影響可能較大，因此為用戶提供cookie設置界面和按鈕，甚至通過單獨的跳轉頁面實現告知用戶同意，能夠為網站提供更多的合規保障。

4. 將語言通俗化

以通俗易懂、不含晦澀技術術語的語言進行告知，在數據保護領域的立法中成為一個越來越普遍的規則。由于用戶的技術水平通常有限，過于復雜和技術化的表述將使得告知流于形式，因此，為保證對用戶的告知滿足充分知情同意的要求，網站在專門的cookie政策或提示中應注意將語言通俗化，避免普通用戶的理解障礙，影響用戶同意的效力。