導(dǎo)讀第277期編號(hào)：HDFYZYJJ2017277單位｜恒都律師事務(wù)所綜合法律及爭(zhēng)議解決事業(yè)部作者｜信息保護(hù)和網(wǎng)絡(luò)安全專(zhuān)業(yè)組徐丹璐編者｜恒都微信運(yùn)營(yíng)團(tuán)隊(duì)Cook....

第277期 編號(hào)：HDFYZYJJ2017277

單位｜恒都律師事務(wù)所 綜合法律及爭(zhēng)議解決事業(yè)部

作者｜信息保護(hù)和網(wǎng)絡(luò)安全專(zhuān)業(yè)組 徐丹璐

編者｜恒都微信運(yùn)營(yíng)團(tuán)隊(duì)

Cookies 從英文直譯過(guò)來(lái)是“小甜餅”、“餅干”的意思，然而在電腦/互聯(lián)網(wǎng)術(shù)語(yǔ)中卻沒(méi)這么簡(jiǎn)單。早在2013年央視的3?15晚會(huì)中，就曾披露過(guò)多家互聯(lián)網(wǎng)廣告營(yíng)銷(xiāo)公司涉嫌通過(guò)cookies等方式，侵犯用戶的個(gè)人隱私信息，當(dāng)時(shí)著實(shí)引發(fā)一陣全民刪除cookies的潮流，然而4年過(guò)去，我們能否安心地使用cookies呢？

本文擬簡(jiǎn)要介紹cookies的來(lái)龍去脈以及國(guó)內(nèi)外個(gè)人數(shù)據(jù)立法保護(hù)現(xiàn)狀，期待多少引起正在閱讀文章的你的重視，為互聯(lián)網(wǎng)使用安全度的提升做出一點(diǎn)點(diǎn)力所能及的幫助。

一、cookies的前生今世

cookies是網(wǎng)站通過(guò)瀏覽器等存儲(chǔ)在電腦或者移動(dòng)設(shè)備上的數(shù)據(jù)信息，能夠幫助網(wǎng)站長(zhǎng)時(shí)間地“記住”或者保留你訪問(wèn)該網(wǎng)站的具體行為或者個(gè)人偏好。

二、歐盟對(duì)個(gè)人互聯(lián)網(wǎng)隱私的立法保護(hù)

歐盟自上世紀(jì)九十年代開(kāi)始就試圖通過(guò)立法來(lái)對(duì)個(gè)人數(shù)據(jù)進(jìn)行保護(hù)，于1995年通過(guò)了《數(shù)據(jù)保護(hù)指令》，全名為Proposalfor a Council Directive Concerning the Protection of Individuals in Relation tothe Processing of Personal Data，為個(gè)人數(shù)據(jù)的保護(hù)設(shè)立了最低的標(biāo)準(zhǔn)。

然而在1995年，互聯(lián)網(wǎng)還沒(méi)有對(duì)人們的日常生活產(chǎn)生如今天一般深刻的影響，因而前述指令的保護(hù)僅僅限定在基礎(chǔ)信息，目的也是確保用戶個(gè)人信息的準(zhǔn)確度。進(jìn)入二十世紀(jì)后，隨著互聯(lián)網(wǎng)的普及，網(wǎng)絡(luò)用戶的需求已經(jīng)拓展到控制個(gè)人數(shù)據(jù)/信息的獲取渠道及適用范圍等，故2002年歐盟通過(guò)《隱私與電子通訊指令》，全名為Directiveon Privacy and Electronic Communications，規(guī)定了網(wǎng)絡(luò)服務(wù)提供商需征得用戶同意后再收集和使用用戶個(gè)人信息，確定了互聯(lián)網(wǎng)時(shí)代個(gè)人信息保護(hù)的基本原則，但并未落實(shí)到操作層面。

2009年11月，歐盟通過(guò)了《歐洲Cookie指令》，即EU CookieDirective，著重對(duì)cookie的使用加以規(guī)范，要求網(wǎng)絡(luò)服務(wù)提供者必須在用戶首次訪問(wèn)時(shí)關(guān)閉cookie功能，待用戶確認(rèn)后再開(kāi)啟。2016年，歐盟通過(guò)了《一般數(shù)據(jù)保護(hù)條例》，即GeneralData Protection Regulation，確立了全新的互聯(lián)網(wǎng)時(shí)代保護(hù)個(gè)人數(shù)據(jù)信息框架，對(duì)個(gè)人數(shù)據(jù)進(jìn)行了嚴(yán)格保護(hù)，并具備可執(zhí)行性，是對(duì)95年最低標(biāo)準(zhǔn)的全面修正，歐盟對(duì)個(gè)人信息的保護(hù)提到了前所未有的高度。

其實(shí)，從這幾個(gè)規(guī)范的名稱(chēng)也可以看出歐盟對(duì)于個(gè)人數(shù)據(jù)保護(hù)的重視程度正在不斷提升，經(jīng)歷了由Proposal（提案）到Directive（指令）再到Regulation（條例）的變化，這種升級(jí)換代尤其體現(xiàn)在法律效力上，歐盟的Directive（指令）是需要各成員國(guó)據(jù)此在本國(guó)立法才能執(zhí)行，而Regulation（條例）通過(guò)后則直接在歐盟整體范圍內(nèi)生效。這種變化一方面對(duì)應(yīng)了互聯(lián)網(wǎng)的飛速發(fā)展，另一方面則是反映了人們對(duì)個(gè)人信息保護(hù)的重視程度不斷提升，信息保護(hù)的邊界亟待確定，法律必須找到網(wǎng)絡(luò)服務(wù)提供商和用戶之間利益的平衡點(diǎn)，才能推動(dòng)而不是阻礙科技和社會(huì)的發(fā)展進(jìn)步。

《一般數(shù)據(jù)保護(hù)條例》要求網(wǎng)絡(luò)服務(wù)提供商在對(duì)用戶個(gè)人數(shù)據(jù)進(jìn)行收集和使用前必須明確進(jìn)行告知并且獲得用戶的明確同意，包括數(shù)據(jù)內(nèi)容范圍和使用方式，同時(shí)確定了用戶的個(gè)人數(shù)據(jù)刪除權(quán)，即所謂的“被遺忘權(quán)”。這些對(duì)于企業(yè)基于大數(shù)據(jù)進(jìn)行的技術(shù)創(chuàng)新和應(yīng)用開(kāi)發(fā)可能產(chǎn)生極為不利的影響。不管該條例的實(shí)際影響究竟如何，它在某種程度上預(yù)示了企業(yè)無(wú)法再理所當(dāng)然地?zé)o償利用用戶個(gè)人數(shù)據(jù)謀取商業(yè)利益，而是必須接受法律的嚴(yán)格規(guī)制。

三、我國(guó)立法現(xiàn)狀

2016年11月7日十二屆全國(guó)人大常委會(huì)第二十四次會(huì)議表決通過(guò)了《網(wǎng)絡(luò)安全法》，自2017年6月1日起施行，其突出亮點(diǎn)之一在于進(jìn)一步完善了個(gè)人信息保護(hù)規(guī)則。然而這些規(guī)則發(fā)揮作用的前提是，對(duì)于保護(hù)對(duì)象——“個(gè)人信息”有全面、詳盡、完整而規(guī)范的定義，如果個(gè)人信息的定義模糊不清，那么保護(hù)個(gè)人信息的“實(shí)錘”也無(wú)處可落。

《網(wǎng)絡(luò)安全法》第七十六條第（五）項(xiàng)規(guī)定，“個(gè)人信息，是指以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識(shí)別自然人個(gè)人身份的各種信息，包括但不限于自然人的姓名、出生日期、身份證件號(hào)碼、個(gè)人生物識(shí)別信息、住址、電話號(hào)碼等。”

僅就該條關(guān)于個(gè)人信息的定義來(lái)看，仍然是著眼于自然人“線下生活”中必要的基本信息，而對(duì)于網(wǎng)絡(luò)生活中所必須的賬號(hào)和密碼，以及更重要的網(wǎng)絡(luò)行為信息，如cookies，卻未提及。2013年頒布的《電信和互聯(lián)網(wǎng)用戶個(gè)人信息保護(hù)規(guī)定》中第四條規(guī)定，“本規(guī)定所稱(chēng)用戶個(gè)人信息，是指電信業(yè)務(wù)經(jīng)營(yíng)者和互聯(lián)網(wǎng)信息服務(wù)提供者在提供服務(wù)的過(guò)程中收集的用戶姓名、出生日期、身份證件號(hào)碼、住址、電話號(hào)碼、賬號(hào)和密碼等能夠單獨(dú)或者與其他信息結(jié)合識(shí)別用戶的信息以及用戶使用服務(wù)的時(shí)間、地點(diǎn)等信息。”

對(duì)比一下我們可以發(fā)現(xiàn)，《網(wǎng)絡(luò)安全法》的關(guān)注重點(diǎn)在于“自然人個(gè)人身份”相關(guān)的各種信息，而《電信和互聯(lián)網(wǎng)用戶個(gè)人信息保護(hù)規(guī)定》中“個(gè)人信息”的定義除了包括用戶信息外，還包括用戶使用服務(wù)的時(shí)間地點(diǎn)等信息，《網(wǎng)絡(luò)安全法》的保護(hù)范圍實(shí)際上無(wú)形中進(jìn)行了一定限縮。

結(jié)合我們?nèi)粘＞W(wǎng)絡(luò)生活的經(jīng)驗(yàn)，其實(shí)不難發(fā)現(xiàn)，除了個(gè)人身份相關(guān)信息、使用網(wǎng)絡(luò)服務(wù)的時(shí)間地點(diǎn)等信息，網(wǎng)絡(luò)服務(wù)的使用習(xí)慣也是網(wǎng)絡(luò)時(shí)代個(gè)人信息的重要組成部分，更是各大網(wǎng)絡(luò)服務(wù)提供商的采集目標(biāo)。這些信息的綜合即構(gòu)成了本文所說(shuō)的“cookies”，《網(wǎng)絡(luò)安全法》未能對(duì)這部分信息保護(hù)予以明確，實(shí)屬遺憾。

一般而言，法律的制定應(yīng)當(dāng)與社會(huì)環(huán)境需要相呼應(yīng)，歐盟通過(guò)的《一般數(shù)據(jù)保護(hù)條例》在響應(yīng)一般民眾對(duì)個(gè)人數(shù)據(jù)保護(hù)的強(qiáng)烈呼聲的同時(shí)，對(duì)網(wǎng)絡(luò)服務(wù)企業(yè)的科技創(chuàng)新卻產(chǎn)生很大打擊，也許正是有鑒于此，我國(guó)的《網(wǎng)絡(luò)安全法》試圖通過(guò)模糊邊界為互聯(lián)網(wǎng)企業(yè)的生存提供一些灰色地帶可供利用。在這種情況下，用戶更應(yīng)當(dāng)有清醒地認(rèn)識(shí)并對(duì)個(gè)人數(shù)據(jù)加以必要保護(hù)，目前絕大多數(shù)瀏覽器都默認(rèn)支持并打開(kāi)cookies，而用戶可以通過(guò)預(yù)先設(shè)置刪除cookies或者禁止網(wǎng)站安放cookies，多少可以避免個(gè)人信息“裸奔”的尷尬處境。