文 律商聯(lián)訊特約撰稿 寧宣鳳

在格林童話《漢澤爾與格萊特》的世界中，小朋友通過在路上撒下小餅干屑的方式標(biāo)記他們走過的路，最終走出了黑暗的森林。在數(shù)字世界中，網(wǎng)絡(luò)運營者同樣可以通過“cookie”追蹤用戶行為，記錄并獲取用戶的訪問信息，實現(xiàn)統(tǒng)計網(wǎng)站訪客數(shù)量、精準(zhǔn)營銷、記錄用戶喜好、操作等功能。

這里的cookie是指用戶瀏覽或訪問網(wǎng)站時，各網(wǎng)站服務(wù)器在用戶的本地設(shè)備（例如電腦、手機(jī)等）上安裝和存儲的小型文本文件，它通常包含有標(biāo)識符、站點名稱、號碼和字符。cookie追蹤功能的日益強(qiáng)大引發(fā)了數(shù)字用戶對其可能侵犯隱私、泄露個人信息的普遍擔(dān)憂。在隱私和個人信息保護(hù)越來越受重視的時代背景下，各國家/地區(qū)也愈加重視對cookie的法律規(guī)制。

那么，cookie為什么可能侵犯隱私，泄露個人信息？各主要司法轄區(qū)如何看待cookie相關(guān)的個人信息保護(hù)問題？相關(guān)的法律法規(guī)源起何方，又有何特點？在以下內(nèi)容中，本文將首先介紹cookie的技術(shù)特征，在此基礎(chǔ)上分別介紹歐盟、美國和中國的相關(guān)規(guī)制情況，并簡要探討相關(guān)合規(guī)建議，以饗讀者。

此cookie非彼餅干也

就像口味不同的餅干一樣，cookie根據(jù)各自的技術(shù)特點、用途和功能可以分為不同種類。

按照存儲時間的長短，cookie可分為會話緩存（session cookie）和持久緩存（persistent cookie）。session cookie一般只在瀏覽器上短期保存，通常關(guān)閉瀏覽器時即被系統(tǒng)清除。這種cookie不會寫入硬盤，通常也不收集有關(guān)用戶的信息。持久緩存則寫入硬盤并保存在設(shè)備中，下一次用戶返回時，網(wǎng)站仍然可以對它進(jìn)行調(diào)用，這也是我們中絕大多數(shù)人所熟悉的cookie。

按照網(wǎng)站主體的不同，cookie可以分為第一方緩存（first-party cookie）和第三方緩存（third-party cookie）。第一方緩存由用戶訪問的網(wǎng)站放置于用戶終端設(shè)備，例如，當(dāng)電商平臺A設(shè)置一個cookie用來記錄小明在購物車?yán)锓帕?0盒趣多多，即為第一方緩存。第三方緩存則是由與用戶訪問的網(wǎng)站以外的其他第三方放置在用戶設(shè)備上的cookie，例如，假設(shè)廣告營銷公司答應(yīng)幫助趣多多進(jìn)行宣傳推廣，并與電商平臺約定在其網(wǎng)站上放置廣告，那么，當(dāng)小明訪問某電商平臺時，廣告網(wǎng)絡(luò)會傳送一個趣多多的廣告到小明查看的頁面，并在他的電腦上放置一個cookie。

第三方緩存通?；诙ㄏ驈V告等目的放置，因此也被稱為追蹤緩存（tracking cookie）。在實踐中，許多廣告營銷公司基于與廣告商之間的合作，會與大量其他網(wǎng)站簽約并向其提供廣告，當(dāng)小明訪問這些網(wǎng)站時，廣告營銷公司可以再次調(diào)用此前小明訪問電商平臺A時放置的cookie，也就是說，廣告營銷公司可以在多個網(wǎng)站上追蹤小明的行為。嚴(yán)格來講，cookie只是本地設(shè)備上的臨時存儲文件，雖然這些文件可以通過簡單的編輯器查看，但其本身無法從用戶的設(shè)備收集數(shù)據(jù)。cookie也不是病毒，它無法在用戶的設(shè)備上安裝惡意軟件。但cookie可能被網(wǎng)絡(luò)運營者惡意地使用，淪為侵害他人權(quán)利的工具。

歐盟cookie規(guī)則的發(fā)展

作為數(shù)據(jù)保護(hù)領(lǐng)域的先驅(qū)與標(biāo)桿，歐盟早在多年前從保護(hù)在線隱私的角度出發(fā)，針對cookie進(jìn)行了專門的立法，并隨著對數(shù)據(jù)保護(hù)和cookie的認(rèn)識不斷加深，不斷完善和補(bǔ)充其規(guī)則體系。

1. cookie同意規(guī)則的出現(xiàn)和轉(zhuǎn)變

1997年，歐盟針對電信領(lǐng)域個人數(shù)據(jù)處理中的隱私權(quán)保護(hù)問題出臺了《電信行業(yè)數(shù)據(jù)保護(hù)指令》（97/66/EC）；2002年，歐盟頒布《電子隱私法令》（e-Privacy Directive），將適用范圍擴(kuò)展至覆蓋互聯(lián)網(wǎng)上的數(shù)據(jù)傳輸；其中規(guī)定，用戶的電子通信終端設(shè)備上存儲的任何信息均屬于用戶的隱私信息，應(yīng)受到相關(guān)歐盟法律的保護(hù)。監(jiān)測軟件、網(wǎng)站信標(biāo)、隱藏標(biāo)示符及其他類似設(shè)備（例如cookie）可能會被放置在用戶終端設(shè)備上，用以收集用戶的信息。使用該等設(shè)備應(yīng)僅限于合法目的并獲得用戶的知情同意。

歐盟關(guān)于cookie的同意規(guī)則經(jīng)歷了從2002年e-Privacy Directive“選擇退出（opt-out）”到 2009 年修訂版 e-Privacy Directive“選擇加入（opt-in）”的變化。2002年e-Privacy Directive只要求網(wǎng)站告知用戶，并提供選擇退出的機(jī)會，就可以在用戶的終端設(shè)備上存儲cookie；2009年，歐盟對“e-Privacy Directive”進(jìn)行了修訂，在用戶的終端設(shè)備上存儲cookie不再能基于默認(rèn)同意，而是從選擇退出改為了選擇加入，即需要用戶主動選擇同意。

2. GDPR影響下的新進(jìn)展

2016年公布、2018年實施的《歐盟通用數(shù)據(jù)保護(hù)條例（GDPR）》明確特定類型cookie即構(gòu)成個人數(shù)據(jù)。GDPR指出，網(wǎng)絡(luò)設(shè)備、應(yīng)用、工具、協(xié)議中留存的cookie痕跡如果具有唯一指向性，這些cookie痕跡可生成個人畫像或檔案從而識別到具體自然人，即具有身份識別性。GDPR第26條前言說明，當(dāng)數(shù)據(jù)可被用來直接或間接識別自然人時，其就是個人數(shù)據(jù)/信息。由此可見，GDPR明確了可以直接或與其他信息結(jié)合識別到特定自然人的cookie數(shù)據(jù)即為個人數(shù)據(jù)，受GDPR規(guī)制。

2017年1月，歐盟委員會提出了《隱私和電子通信條例》（“Regulation on Privacy and Electronic Communications”）。 該 條 例 作 為 GDPR的特別法，意欲取代當(dāng)前的《電子隱私指令》，旨在規(guī)制電子通信服務(wù)并保護(hù)與用戶終端設(shè)備相關(guān)的信息，使這一領(lǐng)域的立法要求與GDPR相協(xié)調(diào)。

e-Privacy Regulation針對cookie以及網(wǎng)站信標(biāo)、圖像像素等其他類似設(shè)備識別技術(shù)的使用提出了更為嚴(yán)格的規(guī)則。例如：

（1） 只有在使用cookie是為用戶提供服務(wù)所直接必需或者網(wǎng)站運營者已獲得用戶同意的情況下，網(wǎng)站才能訪問用戶的手機(jī)或電腦等設(shè)備、收集設(shè)備類型、瀏覽器型號等信息。也就是說，cookie的使用一般需要用戶同意，但在一些特定情況下，不需要用戶的同意，例如，在電子通信網(wǎng)絡(luò)中傳輸信息所必要的、提供用戶請求的信息社會服務(wù)所必要的、或是用于測量網(wǎng)頁訪問人數(shù)。具體而言，可能包括用于在一次會話中用戶登錄后識別用戶的驗證cookie、用于在一次會話中播放視頻或音頻內(nèi)容而存儲技術(shù)數(shù)據(jù)的多媒體播放器cookie、用于一次會話中存儲語言或字體偏好的用戶界面定制化cookie等。不過，即便這些cookie的使用無須獲得用戶同意，對用戶就此進(jìn)行告知仍然是一種推薦的做法。

（2） 針對cookie的同意更難獲取，因為該等同意必須符合GDPR中的相同標(biāo)準(zhǔn)，即必須有數(shù)據(jù)主體明確的肯定性確認(rèn)行為。這意味著一些現(xiàn)有的做法需要重新審視，例如，僅展示標(biāo)語，聲明繼續(xù)使用網(wǎng)站就構(gòu)成同意可能將難以滿足法律的要求。

在GDPR體系下，數(shù)據(jù)主體的同意必須是：自由做出；具體；在充分告知的基礎(chǔ)上做出；以及是數(shù)據(jù)主體不含糊的意思表示。

總體而言，在歐盟法律體系下，cookie由于具有特定個人識別性，被多部立法明確規(guī)定為個人數(shù)據(jù)，受到相應(yīng)保護(hù)；在這一立場不變的前提下，隨著數(shù)據(jù)保護(hù)法律制度的更新?lián)Q代，cookie領(lǐng)域的特別立法亦不斷完善和推進(jìn)，從選擇退出到選擇加入的轉(zhuǎn)變集中體現(xiàn)了歐盟對于規(guī)制cookie的嚴(yán)格態(tài)度。

美國：缺乏針對cookie的明確規(guī)定

美國在個人數(shù)據(jù)的保護(hù)方面的立法路徑與歐盟不同，聯(lián)邦層面沒有專門針對個人信息保護(hù)的立法，相關(guān)的內(nèi)容散見于行業(yè)規(guī)定以及州層面的立法。例如，規(guī)制健康醫(yī)療領(lǐng)域數(shù)據(jù)的《健康保險可攜與責(zé)任法》（“Health Insurance Portability and Accountability Act”），保護(hù)兒童在線隱私的《兒童在線隱私保護(hù)法》（“Children’s Online Privacy Protection Act”）等。這種傾向也影響到美國針對cookie的立法。一般而言，并沒有法律明文規(guī)定禁止使用追蹤緩存，聯(lián)邦貿(mào)易委員會也不將追蹤緩存的使用本身解讀為不公平或欺詐行為。

目前，與cookie聯(lián)系較為緊密的法律包括《聯(lián)邦消費者欺詐與濫用法》（“Federal Consumer Fraud and Abuse Act”），其曾被用于基于行為廣告目的使用cookie的公司。州層面例如加州也要求當(dāng)使用cookie收集消費者在不同網(wǎng)站上的活動時，須進(jìn)行相應(yīng)的披露。不僅如此，《聯(lián)邦貿(mào)易委員會法》（“Federal Trade Commission Act”）也被當(dāng)作法律依據(jù)來管理/起訴不當(dāng)披露其使用追蹤緩存的行為。

自2011年起，美國出臺了各種法案，但后來由于難以在建立標(biāo)準(zhǔn)和可行的立法方面達(dá)成一致，均以撤回或失敗告終。其中，為了保護(hù)網(wǎng)上用戶的隱私，讓用戶有權(quán)選擇不被第三方網(wǎng)站跟蹤，美國曾嘗試引入“請勿追蹤（Do Not Track）”立法。請勿追蹤源自“Do Not Call”規(guī)則，依據(jù)該規(guī)則，電話推銷員不能電話聯(lián)系選擇退出的人。但是，目前多數(shù)網(wǎng)站均選擇了無視請勿追蹤請求，因此聯(lián)邦貿(mào)易委員會意圖推動的請勿追蹤計劃也成了一紙空文。

總體而言，美國對于cookie的使用采用的不是“選擇加入”而是“選擇退出”機(jī)制；其整體立法側(cè)重的不是對使用cookie本身的規(guī)制，而是從保護(hù)用戶權(quán)益不受損害的角度通過侵權(quán)等方面的法律進(jìn)行管理。

中國：cookie是否屬于個人信息？

cookie是否屬于個人信息的問題曾經(jīng)經(jīng)歷了多年的討論，隨著《中華人民共和國網(wǎng)絡(luò)安全法》（以下簡稱“網(wǎng)絡(luò)安全法”）和國家標(biāo)準(zhǔn)《信息安全技術(shù)-個人信息安全規(guī)范》（以下簡稱”個人信息安全規(guī)范”）的出臺，cookie是否屬于個人信息的判斷有了較為明確的官方意見。

1. 百度cookie第一案

在國內(nèi)司法實踐中，對個性化推薦服務(wù)即定向廣告cookie（追蹤緩存）的性質(zhì)認(rèn)定存在認(rèn)識上的分歧。2013年的cookie第一案反映了此種爭議。原告訴稱，其在使用百度搜索引擎搜索“減肥”“豐胸”等關(guān)鍵詞并瀏覽相關(guān)內(nèi)容后，在某些網(wǎng)站就會相應(yīng)地出現(xiàn)與關(guān)鍵詞高度相關(guān)的廣告。原告認(rèn)為百度公司未經(jīng)其知情和選擇，即記錄和跟蹤了所搜索的關(guān)鍵詞，將其興趣愛好等顯露在相關(guān)網(wǎng)站上，并對瀏覽的網(wǎng)頁進(jìn)行廣告投放，侵害了其隱私權(quán)。

一審法院認(rèn)定追蹤緩存是個人隱私。二審法院認(rèn)為其雖具有隱私性質(zhì)，但不屬于個人信息。其認(rèn)為：網(wǎng)絡(luò)用戶通過使用搜索引擎形成的檢索關(guān)鍵詞記錄，雖然反映了網(wǎng)絡(luò)用戶的網(wǎng)絡(luò)活動軌跡及上網(wǎng)偏好，具有隱私屬性，但這種網(wǎng)絡(luò)活動軌跡及上網(wǎng)偏好一旦與網(wǎng)絡(luò)用戶身份相分離，便無法確定具體的信息歸屬主體，不再屬于個人信息范疇。

cookie第一案的判斷學(xué)術(shù)界存在很多爭議。二審法院認(rèn)定，cookie與網(wǎng)絡(luò)用戶身份的分離使得cookie缺乏直接指定向個人的可能性，但更多的學(xué)者質(zhì)疑，與cookie同步收集的信息包括服務(wù)的使用情況、IP地址、訪問日期和時間、設(shè)備信息等，是否有可能與cookie相結(jié)合，能夠指向特定用戶。

隨著大數(shù)據(jù)技術(shù)的發(fā)展以及國際上對于“個人信息”認(rèn)定標(biāo)準(zhǔn)的進(jìn)一步深化討論，《網(wǎng)絡(luò)安全法》和《個人信息安全規(guī)范》對于cookie是否應(yīng)該被認(rèn)定為“個人信息”的問題提供了更為清晰的判斷標(biāo)準(zhǔn)。

2. 《網(wǎng)絡(luò)安全法》和《個人信息安全規(guī)范》對追蹤緩存屬性的再思考

2017年6月1日實施的《網(wǎng)絡(luò)安全法》中對個人信息的定義即采取了直接識別和間接識別相結(jié)合的認(rèn)定標(biāo)準(zhǔn)。此外，2017年12月29日發(fā)布的《個人信息安全規(guī)范》進(jìn)一步指出，判定某項信息是否屬于個人信息，應(yīng)考慮兩條路徑：一是識別，即從信息到個人，由信息本身的特殊性識別出特定自然人，個人信息應(yīng)有助于識別出特定個人；二是關(guān)聯(lián)，即從個人到信息，如已知特定自然人，則由該特定自然人在其活動中產(chǎn)生的信息（如個人位置信息、個人通話記錄、個人瀏覽記錄等）即為個人信息。符合上述兩種情形之一的信息，均應(yīng)判定為個人信息。《個人信息安全規(guī)范》附錄A將包括網(wǎng)站瀏覽記錄、軟件使用記錄、點擊記錄在內(nèi)的個人上網(wǎng)記錄均列明為個人信息?！毒W(wǎng)絡(luò)安全法》和《個人信息安全規(guī)范》對于個人信息的認(rèn)定一定程度上參考了國際上普遍被認(rèn)可的學(xué)說，同時也充分認(rèn)可大數(shù)據(jù)關(guān)聯(lián)分析技術(shù)能夠通過結(jié)合多類數(shù)據(jù)提高指定特定個人的可能性。

如上所述，在當(dāng)前的技術(shù)水平下，用戶的網(wǎng)站瀏覽記錄等追蹤緩存信息與終端設(shè)備信息、賬戶信息等相結(jié)合即可很容易地識別到特定個人，可能會被認(rèn)定為個人信息。在目前尚無針對cookie的特殊規(guī)則的情況下，對其進(jìn)行收集、使用和任何處理，理論上均應(yīng)遵守《網(wǎng)絡(luò)安全法》及其他相關(guān)法律法規(guī)、國家標(biāo)準(zhǔn)對個人信息保護(hù)的一般要求。這些要求主要包括，應(yīng)當(dāng)在收集個人信息時征得用戶的同意，并遵循合法、正當(dāng)、必要的原則，公開收集、使用規(guī)則，明示收集、使用信息的目的、方式和范圍。同時，不得泄露、篡改、毀損收集的個人信息；未經(jīng)被收集者同意，不得向他人提供個人信息。此外，還應(yīng)當(dāng)采取技術(shù)措施和其他必要措施，確保收集的個人信息安全，防止信息泄露、毀損、丟失。

企業(yè)如何吃下這塊“餅干”

盡管各個國家對于cookie數(shù)據(jù)收集和使用等行為的規(guī)制可能有所不同，但在互聯(lián)網(wǎng)企業(yè)全球化運營及數(shù)據(jù)全球流動的背景下，企業(yè)應(yīng)結(jié)合中國和歐盟等主要司法轄區(qū)中國際通用的原則，對自己收集和使用cookie數(shù)據(jù)的行為進(jìn)行自我檢查和評估。具體而言，我們建議企業(yè)首先應(yīng)當(dāng)：

1. 考察cookie的使用情況和必要性分析

確認(rèn)自身所使用的cookie種類、性質(zhì)、第一方還是第三方、與用戶其他信息關(guān)聯(lián)度等特點，并據(jù)此逐一檢查cookie的使用是否是實現(xiàn)某項功能所必須的，是否一定需要用戶同意，以及是否有任何非侵入的替代方案等。

2. 評估各類cookie對用戶隱私的影響

雖然目前并未在法律規(guī)定層面明確需要將cookie進(jìn)行進(jìn)一步的分類，但從企業(yè)合規(guī)的角度出發(fā)，對用戶行為介入越深入的cookie可能會對用戶隱私造成更大的影響，從而給企業(yè)帶來更大的合規(guī)風(fēng)險，因此需要優(yōu)先級更高的同意獲取等合規(guī)措施安排。

3. 針對每一類cookie評估其所需要符合的“同意”要求

針對不同種類的cookie，評估取得同意的不同要求。例如，第一方緩存的使用無須獲取數(shù)據(jù)主體的知情同意，但所有第三方緩存和持久緩存的使用均須獲得數(shù)據(jù)主體的知情同意。此外，還應(yīng)針對每一類cookie評估合理地獲取同意方式。例如，對于具有主頁等主體交互頁面的網(wǎng)站，采用彈窗等相應(yīng)技術(shù)實現(xiàn)直接向用戶要求同意的方式會較為有效；而對于一些注冊界面為用戶交互頁面的網(wǎng)站，通過使用條款或隱私政策進(jìn)行告知也不失為一種方式，盡管在進(jìn)行更新時仍可能需要通過其他方式進(jìn)行告知的補(bǔ)充，但也能極大地減少用戶同意的成本。

此外，對于一些cookie使用非常重要、具有持續(xù)性的網(wǎng)站而言，比如在線視頻觀看的網(wǎng)站，由于cookie對于用戶行為的介入較深，使用目的包括個性化推薦等對用戶體驗造成的影響可能較大，因此為用戶提供cookie設(shè)置界面和按鈕，甚至通過單獨的跳轉(zhuǎn)頁面實現(xiàn)告知用戶同意，能夠為網(wǎng)站提供更多的合規(guī)保障。

4. 將語言通俗化

以通俗易懂、不含晦澀技術(shù)術(shù)語的語言進(jìn)行告知，在數(shù)據(jù)保護(hù)領(lǐng)域的立法中成為一個越來越普遍的規(guī)則。由于用戶的技術(shù)水平通常有限，過于復(fù)雜和技術(shù)化的表述將使得告知流于形式，因此，為保證對用戶的告知滿足充分知情同意的要求，網(wǎng)站在專門的cookie政策或提示中應(yīng)注意將語言通俗化，避免普通用戶的理解障礙，影響用戶同意的效力。