導讀第277期編號：HDFYZYJJ2017277單位｜恒都律師事務所綜合法律及爭議解決事業部作者｜信息保護和網絡安全專業組徐丹璐編者｜恒都微信運營團隊Cook....

第277期 編號：HDFYZYJJ2017277

單位｜恒都律師事務所 綜合法律及爭議解決事業部

作者｜信息保護和網絡安全專業組 徐丹璐

編者｜恒都微信運營團隊

Cookies 從英文直譯過來是“小甜餅”、“餅干”的意思，然而在電腦/互聯網術語中卻沒這么簡單。早在2013年央視的3?15晚會中，就曾披露過多家互聯網廣告營銷公司涉嫌通過cookies等方式，侵犯用戶的個人隱私信息，當時著實引發一陣全民刪除cookies的潮流，然而4年過去，我們能否安心地使用cookies呢？

本文擬簡要介紹cookies的來龍去脈以及國內外個人數據立法保護現狀，期待多少引起正在閱讀文章的你的重視，為互聯網使用安全度的提升做出一點點力所能及的幫助。

一、cookies的前生今世

cookies是網站通過瀏覽器等存儲在電腦或者移動設備上的數據信息，能夠幫助網站長時間地“記住”或者保留你訪問該網站的具體行為或者個人偏好。

二、歐盟對個人互聯網隱私的立法保護

歐盟自上世紀九十年代開始就試圖通過立法來對個人數據進行保護，于1995年通過了《數據保護指令》，全名為Proposalfor a Council Directive Concerning the Protection of Individuals in Relation tothe Processing of Personal Data，為個人數據的保護設立了最低的標準。

然而在1995年，互聯網還沒有對人們的日常生活產生如今天一般深刻的影響，因而前述指令的保護僅僅限定在基礎信息，目的也是確保用戶個人信息的準確度。進入二十世紀后，隨著互聯網的普及，網絡用戶的需求已經拓展到控制個人數據/信息的獲取渠道及適用范圍等，故2002年歐盟通過《隱私與電子通訊指令》，全名為Directiveon Privacy and Electronic Communications，規定了網絡服務提供商需征得用戶同意后再收集和使用用戶個人信息，確定了互聯網時代個人信息保護的基本原則，但并未落實到操作層面。

2009年11月，歐盟通過了《歐洲Cookie指令》，即EU CookieDirective，著重對cookie的使用加以規范，要求網絡服務提供者必須在用戶首次訪問時關閉cookie功能，待用戶確認后再開啟。2016年，歐盟通過了《一般數據保護條例》，即GeneralData Protection Regulation，確立了全新的互聯網時代保護個人數據信息框架，對個人數據進行了嚴格保護，并具備可執行性，是對95年最低標準的全面修正，歐盟對個人信息的保護提到了前所未有的高度。

其實，從這幾個規范的名稱也可以看出歐盟對于個人數據保護的重視程度正在不斷提升，經歷了由Proposal（提案）到Directive（指令）再到Regulation（條例）的變化，這種升級換代尤其體現在法律效力上，歐盟的Directive（指令）是需要各成員國據此在本國立法才能執行，而Regulation（條例）通過后則直接在歐盟整體范圍內生效。這種變化一方面對應了互聯網的飛速發展，另一方面則是反映了人們對個人信息保護的重視程度不斷提升，信息保護的邊界亟待確定，法律必須找到網絡服務提供商和用戶之間利益的平衡點，才能推動而不是阻礙科技和社會的發展進步。

《一般數據保護條例》要求網絡服務提供商在對用戶個人數據進行收集和使用前必須明確進行告知并且獲得用戶的明確同意，包括數據內容范圍和使用方式，同時確定了用戶的個人數據刪除權，即所謂的“被遺忘權”。這些對于企業基于大數據進行的技術創新和應用開發可能產生極為不利的影響。不管該條例的實際影響究竟如何，它在某種程度上預示了企業無法再理所當然地無償利用用戶個人數據謀取商業利益，而是必須接受法律的嚴格規制。

三、我國立法現狀

2016年11月7日十二屆全國人大常委會第二十四次會議表決通過了《網絡安全法》，自2017年6月1日起施行，其突出亮點之一在于進一步完善了個人信息保護規則。然而這些規則發揮作用的前提是，對于保護對象——“個人信息”有全面、詳盡、完整而規范的定義，如果個人信息的定義模糊不清，那么保護個人信息的“實錘”也無處可落。

《網絡安全法》第七十六條第（五）項規定，“個人信息，是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別自然人個人身份的各種信息，包括但不限于自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等。”

僅就該條關于個人信息的定義來看，仍然是著眼于自然人“線下生活”中必要的基本信息，而對于網絡生活中所必須的賬號和密碼，以及更重要的網絡行為信息，如cookies，卻未提及。2013年頒布的《電信和互聯網用戶個人信息保護規定》中第四條規定，“本規定所稱用戶個人信息，是指電信業務經營者和互聯網信息服務提供者在提供服務的過程中收集的用戶姓名、出生日期、身份證件號碼、住址、電話號碼、賬號和密碼等能夠單獨或者與其他信息結合識別用戶的信息以及用戶使用服務的時間、地點等信息。”

對比一下我們可以發現，《網絡安全法》的關注重點在于“自然人個人身份”相關的各種信息，而《電信和互聯網用戶個人信息保護規定》中“個人信息”的定義除了包括用戶信息外，還包括用戶使用服務的時間地點等信息，《網絡安全法》的保護范圍實際上無形中進行了一定限縮。

結合我們日常網絡生活的經驗，其實不難發現，除了個人身份相關信息、使用網絡服務的時間地點等信息，網絡服務的使用習慣也是網絡時代個人信息的重要組成部分，更是各大網絡服務提供商的采集目標。這些信息的綜合即構成了本文所說的“cookies”，《網絡安全法》未能對這部分信息保護予以明確，實屬遺憾。

一般而言，法律的制定應當與社會環境需要相呼應，歐盟通過的《一般數據保護條例》在響應一般民眾對個人數據保護的強烈呼聲的同時，對網絡服務企業的科技創新卻產生很大打擊，也許正是有鑒于此，我國的《網絡安全法》試圖通過模糊邊界為互聯網企業的生存提供一些灰色地帶可供利用。在這種情況下，用戶更應當有清醒地認識并對個人數據加以必要保護，目前絕大多數瀏覽器都默認支持并打開cookies，而用戶可以通過預先設置刪除cookies或者禁止網站安放cookies，多少可以避免個人信息“裸奔”的尷尬處境。