网络安全合规政策下,如何使用Cookie 和同类技术
网络安全合规政策下,如何使用Cookie 和同类技术
2013年,南京市中级人民法院对“北京百度网讯科技公司与朱烨隐私权纠纷案”作出终审判决,撤销一审判决,认定“百度网讯公司的个性化推荐行为不构成侵犯朱烨的隐私权”(以下简称“cookie案”)。该案中的cookie技术导致原告在利用家中和单位的网络上网浏览相关网站过程中,利用“百度搜索引擎”搜索相关关键词后,会在特定的网站上出现与关键词有关的广告。因此,原告认为其隐私权被侵害。庭审中的争议焦点之一即为原告网络活动踪迹是否属于个人隐私的问题。
百度公司辩称本案中的搜索关键词和个性化推广内容与原告不存在特定指向关系,不存在网络侵犯隐私权的基础。cookie技术是一项合法的、基础的、中立的工具,与特定的人相联系,也不包含《电信和互联网用户个人信息保护规定》第四条规定的个人身份识别信息。
一审法院认为网络活动轨迹展示了个人上网的偏好,反映个人的兴趣、需求等私人信息,在一定程度上标识个人基本情况和个人私有生活情况,属于个人隐私的范围。二审法院认为该数据信息是未能与网络用户个人身份对应识别的数据信息,不符合“个人信息”的可识别性要求。网络用户通过使用搜索引擎形成的检索关键词记录,虽然反映了网络用户的网络活动轨迹及上网偏好,但这种网络活动轨迹及上网偏好一旦与网络用户身份相分离,便无法确定具体的信息归属主体。因此具有隐私属性,但不属于个人信息范畴。
因当时网络安全法及其配套法规均未出台,对个人信息的定义及外延均不明确,且在当时及当前的司法实践及法律构建中,仍存在对个人信息及隐私权的混同。但是本案对一窥大数据下普遍使用的cookie技术以及其收集的信息如何使用仍有借鉴意义。本文就法律下cookie及同类技术的本质,利用该种收集的信息是否为当前网安法下的个人信息,并结合cookie隐私纠纷第一案简单谈谈如何合规。
一、 cookie技术本身的中立性
http本身是无状态的协议,服务器不会自动记录信息和内容。所以每次断开服务器后需再次请求,每次请求都会产生新的http协议,从而服务器再进行新一轮的响应。这显然是不符合当前的交互式web应用的发展的。作为商家,为了售卖产品,需要了解到用户的定位,因此如果每个用户发出请求的时候能够标明特征,那么商家就根据每个用户做出不同的反应。这就是cookie技术发展的启发。
Cookie由服务器产生,用户请求时,服务器发送Cookie给用户的浏览器。用户下次再请求同一网站的时候,cookie就由浏览器再发送给服务器。与cookie类似的技术还有beacon。Web beacon是一种嵌入网页或电子邮件中的微小到甚至1*1像素的图片,通常不可见。
这两种技术一般用于计算用户访问数量;在用户登录网站、注册新用户、购买商品等操作时,收集包括用户个人信息在内的各种信息,如姓名、性别、年龄、电话、地址、信用卡号、邮箱、位置信息等;提供个性化服务;互联网定向广告。
以上可见,cookie技术本身只是信息收集的工具,而非个人信息。但是其所收集的信息可能会构成网安法及配套法律法规保护下的个人信息。
二、 通过cookie和同类技术收集的信息是否属于个人信息
2017年6月1日实施的《网络安全法》第76条规定, 个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息, 包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。可见,个人信息的定义具有可识别性的特征,并采取了直接识别和间接识别相结合的认定标准。对于这一标准,我国的其他有关立法也较为统一,可见《电信和互联网用户个人信息保护规定》、《信息安全技术公共及商用服务信息系统个人信息保护指南》、《信息安全技术 个人信息安全规范》等。
2017年12月29日发布的《个人信息安全规范》附录A明确将包括网站浏览记录、软件使用记录、点击记录在内的个人上网记录均列明为个人信息。
2019年3月3日 发布的《App违法违规收集使用个人信息自评估指南》中第21项评估点“若使用Cookie及其同类技术收集个人信息”,评估标准为“是否向用户明示当使用Cookie等同类技术(包括脚本、Clickstream、Web信标、Flash Cookie、内嵌Web链接、sdk等)收集个人信息时,应向用户明示所收集个人信息的目的、类型”。虽然该《自评估指南》仅针对APP,但考虑到是否为个人信息并不受是app还是website作为媒介的影响,一定程度上可以视为当前执法机构的参考依据
综上,虽然各商家为了避免被认定为个人信息,通常会在有关cookie的使用中明确说明“运用cookie所收集到的信息并不包涵能识别特定个人的信息”,但是随着网络追踪技术的发展,个人上网的长期以来的偏好,反映个人的兴趣、需求等私人信息一定程度上能够筛选并识别出信息主体,尤其是现在,各类网站使用快速登录技术,各项基础数据能够被广泛汇总,这种风险不断提高,从而在执法实践中可能会被认定为个人信息。
三、 使用cookie及同类技术如何合规
目前并未出台任何针对cookie及同类技术的单独法律法规。如其属于个人信息,则对其的收集、使用和处理应遵守《网安法》及其他相关法律法规、国家标准对个人信息保护的要求。但是,因其本身技术的特殊性,实践中应当注意以下几点:
1. 实施cookie技术前,应慎重考虑使用的必要性
《信息安全技术 个人信息安全规范等》明确说明个人信息应当遵循最少够用原则。即只处理满足个人信息主体授权同意的目的所需要的最少个人信息类型和数量。《网络安全法》明确说明网络运营者不得收集与其提供的服务无关的个⼈信息。因此使用cookie技术收集的信息应当合法、正当、必要的原则,不可以超过收集信息时确定的目的范围,并且该范围应当与其服务是相匹配的。但事实上,有些网站及app在设置功能以及书写隐私政策时,一味追求功能的扩大化,无限增加用户同意的范围。
2019年7月,由中国消费者协会等相关部门共同成立的App专项治理工作组发布《关于督促40款存在收集使用个人信息问题的App运营者尽快整改的通知》,指包括宜人贷、拉卡拉等40款App在个人信息收集使用方面存在问题。App专项治理工作组负责人在介绍App违法违规收集使用个人信息专项治理相关工作进展情况时透露, 从网民反映的问题看,主要集中在五个方面,其中之一就是实际收集的个人信息与业务功能无关,如金融借贷类App收集用户通讯录等,占比约31.2%。因此,网站及商家应当注意其收集信息是否确有必要使用cookie及同类技术收集信息。
2. 将语言通俗化,并充分告知用户,充分保证知情权
《App违法违规收集使用个人信息行为认定方法(征求意见稿)》将“有关收集使用规则的内容晦涩难懂、冗长繁琐”列为没有明示收集使用个人信息的目的、方式和范围的情形。因此,对cookie技术进行说明时也需要特别注意语言的平实,易懂。这是因为cookie及同类技术本身具有专业性,而除非用户有相应的技术背景,一般不会探究该类技术的使用方式,使得这种隐私规则变成商家的保护盾,不能真正保证用户的知情权。
因此,为保证对用户的告知满足充分知情同意的要求,在隐私规则中应注意将语言通俗化,避免普通用户的理解障碍,影响用户同意的效力。我们注意到部分商家的隐私规则在涉及cookie时会使用外链,加以增强用户的背景知识。
此外,许多网站或者app的隐私政策以链接形式存在,字体小且位于网站底端,用户需要主动阅读。目前,普遍认为,在普通用户对于计算机技术的认识程度并不高,但其有可能在不知情的情况下侵犯隐私权这一重要人格权利时,商家应当承担更多的明示告知责任。比如上面的“cookie案”,一审法院认为百度公司对用户是否使用cookie技术采用的是“默示同意”的模式,对于大多数对互联网知识了解不多的网民来说,也许并不知道自己的信息将被收集、处理和使用,更不用说表示同意与否。这就要求百度公司在“默示同意”的模式下承担更多的说明、提醒义务,以保证网民的知情权从而做出理性的选择。百度公司将自身的隐私政策以链接形式置于网站底部,字号小还夹在其他文字中间,难以起到充分的说明、提醒作用,不足以保障用户的知情权。虽然二审法院并未采取一审法院的观点,但我们可知如何保障知情权也可能会影响到商家责任的认定。
3. 设置明确的退出机制
用户应当可以随时行使“拒绝权”及“删除权”,商户应当在技术范围明确“拒绝权”及“删除权”的具体流程,并设置删除相关的个人信息,以及浏览痕迹、搜索记录和详细订单等的合理期限。
此外,我们发现网络 beacon通常与cookie放置在隐私规则的同一章中,通用模板为“为实现您联机体验的个性化需求,使您获得更轻松的访问体验。我们会在您的计算机或移动设备上发送一个或多个名为Cookies的小数据文件,指定给您的Cookies 是唯一的,它只能被将Cookies发布给您的域中的Web服务器读取。……除 Cookie 外,我们还会在网站上使用网络Beacon等其他同类技术。我们的网页上常会包含一些电子图像(称为"单像素" GIF 文件或 "网络 beacon")。……”。而从技术层面,用户可以在浏览器内禁用cookie,但对如何禁用beacon,这一点大多商家都避而不谈。
4. 是否存在与第三方共享或者向第三方售卖个人信息
上述“cookie”案中,百度公司在提起上诉的理由中提到:“《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》第十二条第一款将“公开”作为互联网环境下侵犯隐私权的构成要件。且百度网讯公司并未向第三人提供、公开原告的信息,原告的信息在原告的电脑中,在其控制之下,并没有为公众所知悉”。百度公司提交了《百度联盟会员注册协议》,该协议为百度公司租用合作网站位置提供个性化推荐服务的依据,协议中表明合作并不涉及向联盟合作网站提供Cookie信息,百度只是租用联盟合作网站的位置,通过在其网页中放置特定代码,并将代码引导的有效显示、点击和效果记录作为百度与联盟合作网站之间结算的依据。二审法院也认可“利用网络公开个人隐私和个人信息的行为”和“造成损害”是利用信息网络侵害个人隐私和个人信息的侵权构成要件,并认为“本案中,百度网讯公司利用网络技术通过百度联盟合作网站提供个性化推荐服务,其检索关键词海量数据库以及大数据算法均在计算机系统内部操作,并未直接将百度网讯公司因提供搜索引擎服务而产生的海量数据库和cookie信息向第三方或公众展示,没有任何的公开行为,不符合《规定》第十二条规定的利用网络公开个人信息侵害个人隐私的行为特征”,因而支持了百度公司的答辩意见。
但,实践中,大量网站与其他广告网站合作,涉及到公民信息以及个人信息的售卖,转让。《信息安全技术 个人信息安全规范》对转让有较为复杂的要求,未经用户许可的售卖或者转让可能会不符合合规的要求,甚至侵犯刑事法律。
综上,cookie案的判决结果有其个案性,并不可以直接推论出使用cookie及同类技术就不会侵犯公民的隐私权或者此类方法收集的信息不属于个人信息。具体还需要根据商家的业务类型、信息种类等进行判断,从而达到合规的要求。
