大數據時代cookie技術中的法律規制問題研究

熊曉能

摘 要：互聯網產業的發展使cookie技術應用逐漸普及，但因為法律規范滯后、運營商管理失當和互聯網自身存在缺陷等原因，cookie技術的運用在我國現行個人信息保護體系下正面臨一系列困境。cookie技術缺乏有效規制、用戶個人信息保護失靈、用戶難以通過訴訟維權等問題阻礙了互聯網產業良性發展。傳統隱私權保護體系難以對cookie技術侵權進行合理規制，而個人信息權的出現為cookie技術的法律規制開辟了新路徑。應當通過推動《個人信息保護法》出臺并使其與現行法律體系進行有效銜接，將“告知同意”類型化分析等措施構建個人信息權保護體系，對cookie技術進行法律規制。

關鍵詞：大數據;個人信息權;cookie技術

中圖分類號：D922.17? ? ? 文獻標志碼：A? ? ? 文章編號：1673-291X（2020）05-0188-02

一、問題的提出

Cookie技術是一種互聯網客戶端技術，用戶一旦通過運用該技術的瀏覽器登入網站，該網站的后臺處理器就會通過瀏覽器在用戶電腦硬盤中生成經過加密且只有該網站才能夠識別讀取的cookie文件，其中儲存著用戶在該網站上的操作和瀏覽記錄，當用戶再次瀏覽該網站時，網站就會通過瀏覽器搜索電腦上是否存有該網站的cookie文件，并以此識別用戶身份，從而輸出特定的網頁內容。在此基礎之上，運營商們推出了諸如“記住密碼”、定向廣告以及“個性推薦”等瀏覽器或者APP常見的個性化服務功能。然而，這些cookie技術的良性應用并不能掩蓋其存在非法暴露用戶個人信息，侵犯用戶個人信息權的風險。

長期以來，由于我國法律體系中個人信息權并非獨立概念，僅是隱私權的一種表現形式，我國學者對于cookie技術應用侵權的研究大多集中于隱私權角度。但是，隱私權的客體是個人隱私，保護對象是那些個人不希望他人知曉或干涉的私密領域，而公共領域有關的個人信息則不再屬于隱私權保護范疇。個人信息權的內涵不止于此，還包括那些已經公開的個人信息，就保護范圍而言，隱私權已經無法為其提供有效保護。2017年3月15日，我國《民法總則》正式頒布。該法明確規定了個人信息保護原則，首次從民法的角度確認了個人信息權，要求“任何組織和個人需要獲取他人個人信息的，應當依法取得并確保信息安全，不得非法收集、使用、加工、傳輸他人個人信息，不得非法買賣、提供或者公開他人個人信息”。cookie技術通過收集和分析用戶線上瀏覽痕跡等數據信息，運營商據此構建該用戶的特定模型，從而達到攫取商業利益的目的。這種做法應當屬于《民法總則》中關于個人信息非法收集、使用、加工的規定，運營商如果在未取得用戶有效授權的情況下利用cookie技術實現上述商業目的，則不符合《民法通則》關于獲取用戶個人信息應當依法取得和使用的要求。當下我國cookie技術運用中個人信息系保護正面臨著一些困境，隨著個人信息權在民法上的確立，通過個人信息權對運營商運用cookie技術進行法律規制將成為在大數據時代背景對用戶下個人信息進行有效保護的有效方法。

二、我國cookie技術運用中個人信息保護面臨困境

由于定向廣告等cookie應用技術的復雜性，用戶和運營商各自獲取的信息并非完全一致，很多時候用戶并不了解其線上活動產生的信息被收集情況，也不知道自己的信息會被傳輸到哪里，更無法得知運營商會如何通過這些個人信息實現其商業目的。基于這些原因，用戶信息被暴露于外的風險日益增加，個人信息權保護問題在大數據時代顯得越發突出，我國cookie技術運用過程中的個人信息保護正面臨困境。

（一）我國現行法律體系無法有效規制

cookie技術根據我國現行法律規定和有關行業慣例，網絡運營商收集和利用用戶個人信息進行商業活動通常不構成侵權。現階段，我國判斷運營商對用戶信息的收集和利用是否構成侵權的依據，仍是侵權責任的構成要件標準，通過評價運營商主觀是否存在過錯和是否造成損害后果來認定是否侵權。雖然我國《侵權責任法》對于隱私權侵權的認定及其保護制度已存在一定的規定，為個人信息權和個人信息保護的相關立法奠定了初步的權利基礎，但是由于隱私權內涵的局限性，傳統的隱私權保護模式已經不能滿足規制cookie技術這種高新技術的需要。另外，我國現行法律對個人信息的保護重點放在事后救濟上，在個人信息的搜集、處理及利用等事前階段用戶提前預防和自我保護措施較為缺乏，這種僅憑借單一事后救濟的保護模式無法及時有效地保護用戶個人信息權。與消極滯后、被動防御的隱私權不同，個人信息權并非只能一味處于防守狀態，權利人除了能夠被動應對來自他人的侵權行為之外，還應當可以在他人未經其許可擅自收集、利用其個人信息時積極請求行為人更改或者刪除其個人信息，以排除他人的非法利用行為或者使個人信息恢復到正確的狀態。個人信息保護問題不僅關系到用戶的個人信息安全和個人利益，特定情況下還會牽涉到公益領域。此種情況下，單一的事后預防無法及時應對突發的公益侵權事件，所以對于個人信息的事前預防和事中處理就顯得越發重要。

（二）用戶個人信息權缺乏保障

個人信息權通常可以劃分為個人信息知情權和個人信息自決權。我國《加強網絡信息保護的決定》和《個人信息保護規定》都要求，運營商應當在履行告知義務并取得用戶有效授權的情況下，在許可范圍內收集和使用用戶的個人信息。在“朱燁訴百度公司隱私侵權案”中，二審法院認為百度公司采取明示告知和默示同意相結合的模式，充分履行了告知義務，足以保障用戶的知情權和選擇權。然而，問題在于，以百度公司為代表的互聯網運營商所采用的告知方式往往不能起到有效的規范和提醒作用，使用戶確實有效地實現信息自主權。運營商告知形式和內容不具有實質意義。隱私保護聲明等形式的格式條款形同虛設，網絡運營商并沒有為自己設置注意義務，而且這類聲明內容簡單，不涉及個人信息的使用和安全保證，多為免責條款。明示告知的形式不醒目且沒有選擇余地，以嗶哩嗶哩彈幕網站為例，該網站通過《嗶哩嗶哩彈幕網用戶使用協議》告知用戶相關條款，但該協議通篇是以很小字體呈現，用戶極少有耐心讀到最后，而且該協議的全文是以鏈接的形式呈現，這使得仔細閱讀全文的用戶更加稀少。此外，該網站并沒有單獨的cookie信息收集協議，這些內容都放在了《嗶哩嗶哩彈幕網用戶使用協議》里，用戶在選擇接受協議的同時也概括性接受了運營商對其cookie信息的收集;一旦拒絕協議，則無法使用該網站提供的服務。這一點，在其收集客戶端表現的更為突出，拒絕接受協議后將自動退出APP。

三、cookie技術運行中個人信息權保護路徑

通過以上對cookie技術以及個人信息權保護的論述，在大數據時代背景下，要想健全個人信息權以實現對cookie技術運行進行有效規制，需要對保護路徑重新構建。既需要完善現有的個人信息保護理論，也需要加強個人信息保護的實踐運用;既需要從立法層面將cookie技術納入個人信息權規制范圍，也需要執法層面推出有效的管理措施;既需要督促運營商全面履行義務、積極承擔相應的責任，也需要充分保障用戶認識和行使個人信息權。

一方面，推動個人信息保護法的出臺，促進其與相關法律的銜接。目前，我國還沒有一部完整且獨立的個人信息保護法，關于個人信息權保護的有關規定僅散落于《民法總則》、《網絡安全法》等法律以及部門規章。而由于整體呈現出“碎片化”趨勢，各部法律法規的立法目的和主旨又存在差異，實踐運用中往往會出現相互矛盾的情形。對于類似于cookie技術等較為新的產業，現有的碎片式法規涉及較少，甚至是空白狀態。2018年9月10日，中國人大網公布《十三屆全國人大常委會立法規劃》，《個人信息保護法》正式納入立法規劃。我們在慶祝我國個人信息權保護即將迎來新篇章的同時，還應當清醒地認識到《個人信息保護法》只是個人信息權保護的第一步，能否將其與各部門法進行有效銜接，發揮《個人信息法》提綱挈領作用，將是衡量《個人信息保護法》作用的重要標準。cookie技術屬于互聯網技術，《網絡安全法》等互聯網有關法律法規目前對其尚未能進行合理有效的規制。在《個人信息保護法》即將出臺的背景下，新法能否從法律層面將cookie技術納入個人信息權規制范疇，互聯網相關法律能否就cookie技術運用中可能出現的個人信息保護問題，與新法達成一致，這些將是新法出臺后我們需要進一步考慮的問題。

另一方面，重視運用cookie技術的合法性，充分尊重用戶個人信息權。告知同意機制作為傳統個人信息保護體系中最為重要的，甚至幾乎是唯一的手段，重視個人信息收集過程中個人在知情基礎上對信息的控制與選擇。如前文所述，基于運營商責任意識和用戶維權意識的缺失，現有的同意機制形同虛設。運營商在運用cookie技術處理用戶信息時，通常超越了該用戶的授權，甚至是沒有取得該用戶的有效授權。以往的告知同意機制都是在使用產品之前告知用戶，一旦用戶選擇同意，在使用過程中很難改變。而且這種告知同意一般具有整體性的特點，對于隱私和個人信息的區分不明確，通常出現在同一協議中，cookie技術使用條款是較為常見的表現形式。對傳統的告知同意模式進行變革，使之與大數據時代個人信息保護需求相契合成為當務之急。告知同意機制的重點在于用戶的知情和同意，只有當用戶充分知曉自身信息會被如何利用的情況下做出的同意才是對運營商的有效授權，這也體現出個人信息權知情權和個人信息自決權的有關內容。運營商應對其通過cookie技術使用用戶個人信息的情況對用戶進行告知，基于此，可以運用場景分析等方式對用戶的個人信息進行類型化分析。涉及信息與用戶切身利益存在直接關聯的情形，如身份證號碼、電話號碼等，運營商應得到用戶的嚴格授權，即用戶完全知情且明確表示同意;而那些類似于瀏覽記錄等可能關系到用戶利益的情形，可以采取選擇授權的方式，即將其制成選項，讓用戶自己進行選擇;至于再次一級的信息則可以采取默認授權，即只要用戶不反對就可以使用。此外，用戶在授權后當然地享有退出的權利，并且這種退出的方法應當足夠簡便易操作;用戶的同意并非一成不變，當用戶發覺其之前的授權超出自身預期時可以及時更正。只有這樣，用戶的個人信息權才能得到充分保障，運營商運用cookie技術獲取并使用用戶信息才是合法的。

大數據時代背景下，cookie技術運用中個人信息保護問題是一個長期性問題，以個人信息權保護體系替代傳統的隱私權保護體系能夠更為有效地保護用戶個人信息權。我國正處于營建個人信息權保護體系的攻堅期，對cookie技術運用中的個人信息保護問題應當充分考慮互聯網產業的特點，在完善法規的基礎上突出運營商主體責任，充分尊重和保護用戶個人信息權，構建適合中國的個人信息權保護體系對cookie技術進行有效規制。

參考文獻：

[1]? 王澤鑒.人格權的具體化及其保護范圍·隱私權篇（上）[J].比較法研究，2008，（6）：1-21.

[2]? 楊博.“大數據”時代背景下個人信息權的民事訴訟保護研究[J].研究生法學，2018，33（1）：20-40.

[3]? 戴正.數據企業的個人信息保護責任：從GDPR到中國[J].經濟研究導刊，2018，（36）：17-19.