熊曉能

摘 要：互聯(lián)網(wǎng)產(chǎn)業(yè)的發(fā)展使cookie技術(shù)應(yīng)用逐漸普及，但因為法律規(guī)范滯后、運營商管理失當和互聯(lián)網(wǎng)自身存在缺陷等原因，cookie技術(shù)的運用在我國現(xiàn)行個人信息保護體系下正面臨一系列困境。cookie技術(shù)缺乏有效規(guī)制、用戶個人信息保護失靈、用戶難以通過訴訟維權(quán)等問題阻礙了互聯(lián)網(wǎng)產(chǎn)業(yè)良性發(fā)展。傳統(tǒng)隱私權(quán)保護體系難以對cookie技術(shù)侵權(quán)進行合理規(guī)制，而個人信息權(quán)的出現(xiàn)為cookie技術(shù)的法律規(guī)制開辟了新路徑。應(yīng)當通過推動《個人信息保護法》出臺并使其與現(xiàn)行法律體系進行有效銜接，將“告知同意”類型化分析等措施構(gòu)建個人信息權(quán)保護體系，對cookie技術(shù)進行法律規(guī)制。

關(guān)鍵詞：大數(shù)據(jù);個人信息權(quán);cookie技術(shù)

中圖分類號：D922.17? ? ? 文獻標志碼：A? ? ? 文章編號：1673-291X（2020）05-0188-02

一、問題的提出

Cookie技術(shù)是一種互聯(lián)網(wǎng)客戶端技術(shù)，用戶一旦通過運用該技術(shù)的瀏覽器登入網(wǎng)站，該網(wǎng)站的后臺處理器就會通過瀏覽器在用戶電腦硬盤中生成經(jīng)過加密且只有該網(wǎng)站才能夠識別讀取的cookie文件，其中儲存著用戶在該網(wǎng)站上的操作和瀏覽記錄，當用戶再次瀏覽該網(wǎng)站時，網(wǎng)站就會通過瀏覽器搜索電腦上是否存有該網(wǎng)站的cookie文件，并以此識別用戶身份，從而輸出特定的網(wǎng)頁內(nèi)容。在此基礎(chǔ)之上，運營商們推出了諸如“記住密碼”、定向廣告以及“個性推薦”等瀏覽器或者APP常見的個性化服務(wù)功能。然而，這些cookie技術(shù)的良性應(yīng)用并不能掩蓋其存在非法暴露用戶個人信息，侵犯用戶個人信息權(quán)的風(fēng)險。

長期以來，由于我國法律體系中個人信息權(quán)并非獨立概念，僅是隱私權(quán)的一種表現(xiàn)形式，我國學(xué)者對于cookie技術(shù)應(yīng)用侵權(quán)的研究大多集中于隱私權(quán)角度。但是，隱私權(quán)的客體是個人隱私，保護對象是那些個人不希望他人知曉或干涉的私密領(lǐng)域，而公共領(lǐng)域有關(guān)的個人信息則不再屬于隱私權(quán)保護范疇。個人信息權(quán)的內(nèi)涵不止于此，還包括那些已經(jīng)公開的個人信息，就保護范圍而言，隱私權(quán)已經(jīng)無法為其提供有效保護。2017年3月15日，我國《民法總則》正式頒布。該法明確規(guī)定了個人信息保護原則，首次從民法的角度確認了個人信息權(quán)，要求“任何組織和個人需要獲取他人個人信息的，應(yīng)當依法取得并確保信息安全，不得非法收集、使用、加工、傳輸他人個人信息，不得非法買賣、提供或者公開他人個人信息”。cookie技術(shù)通過收集和分析用戶線上瀏覽痕跡等數(shù)據(jù)信息，運營商據(jù)此構(gòu)建該用戶的特定模型，從而達到攫取商業(yè)利益的目的。這種做法應(yīng)當屬于《民法總則》中關(guān)于個人信息非法收集、使用、加工的規(guī)定，運營商如果在未取得用戶有效授權(quán)的情況下利用cookie技術(shù)實現(xiàn)上述商業(yè)目的，則不符合《民法通則》關(guān)于獲取用戶個人信息應(yīng)當依法取得和使用的要求。當下我國cookie技術(shù)運用中個人信息系保護正面臨著一些困境，隨著個人信息權(quán)在民法上的確立，通過個人信息權(quán)對運營商運用cookie技術(shù)進行法律規(guī)制將成為在大數(shù)據(jù)時代背景對用戶下個人信息進行有效保護的有效方法。

二、我國cookie技術(shù)運用中個人信息保護面臨困境

由于定向廣告等cookie應(yīng)用技術(shù)的復(fù)雜性，用戶和運營商各自獲取的信息并非完全一致，很多時候用戶并不了解其線上活動產(chǎn)生的信息被收集情況，也不知道自己的信息會被傳輸?shù)侥睦?，更無法得知運營商會如何通過這些個人信息實現(xiàn)其商業(yè)目的?；谶@些原因，用戶信息被暴露于外的風(fēng)險日益增加，個人信息權(quán)保護問題在大數(shù)據(jù)時代顯得越發(fā)突出，我國cookie技術(shù)運用過程中的個人信息保護正面臨困境。

（一）我國現(xiàn)行法律體系無法有效規(guī)制

cookie技術(shù)根據(jù)我國現(xiàn)行法律規(guī)定和有關(guān)行業(yè)慣例，網(wǎng)絡(luò)運營商收集和利用用戶個人信息進行商業(yè)活動通常不構(gòu)成侵權(quán)?，F(xiàn)階段，我國判斷運營商對用戶信息的收集和利用是否構(gòu)成侵權(quán)的依據(jù)，仍是侵權(quán)責(zé)任的構(gòu)成要件標準，通過評價運營商主觀是否存在過錯和是否造成損害后果來認定是否侵權(quán)。雖然我國《侵權(quán)責(zé)任法》對于隱私權(quán)侵權(quán)的認定及其保護制度已存在一定的規(guī)定，為個人信息權(quán)和個人信息保護的相關(guān)立法奠定了初步的權(quán)利基礎(chǔ)，但是由于隱私權(quán)內(nèi)涵的局限性，傳統(tǒng)的隱私權(quán)保護模式已經(jīng)不能滿足規(guī)制cookie技術(shù)這種高新技術(shù)的需要。另外，我國現(xiàn)行法律對個人信息的保護重點放在事后救濟上，在個人信息的搜集、處理及利用等事前階段用戶提前預(yù)防和自我保護措施較為缺乏，這種僅憑借單一事后救濟的保護模式無法及時有效地保護用戶個人信息權(quán)。與消極滯后、被動防御的隱私權(quán)不同，個人信息權(quán)并非只能一味處于防守狀態(tài)，權(quán)利人除了能夠被動應(yīng)對來自他人的侵權(quán)行為之外，還應(yīng)當可以在他人未經(jīng)其許可擅自收集、利用其個人信息時積極請求行為人更改或者刪除其個人信息，以排除他人的非法利用行為或者使個人信息恢復(fù)到正確的狀態(tài)。個人信息保護問題不僅關(guān)系到用戶的個人信息安全和個人利益，特定情況下還會牽涉到公益領(lǐng)域。此種情況下，單一的事后預(yù)防無法及時應(yīng)對突發(fā)的公益侵權(quán)事件，所以對于個人信息的事前預(yù)防和事中處理就顯得越發(fā)重要。

（二）用戶個人信息權(quán)缺乏保障

個人信息權(quán)通常可以劃分為個人信息知情權(quán)和個人信息自決權(quán)。我國《加強網(wǎng)絡(luò)信息保護的決定》和《個人信息保護規(guī)定》都要求，運營商應(yīng)當在履行告知義務(wù)并取得用戶有效授權(quán)的情況下，在許可范圍內(nèi)收集和使用用戶的個人信息。在“朱燁訴百度公司隱私侵權(quán)案”中，二審法院認為百度公司采取明示告知和默示同意相結(jié)合的模式，充分履行了告知義務(wù)，足以保障用戶的知情權(quán)和選擇權(quán)。然而，問題在于，以百度公司為代表的互聯(lián)網(wǎng)運營商所采用的告知方式往往不能起到有效的規(guī)范和提醒作用，使用戶確實有效地實現(xiàn)信息自主權(quán)。運營商告知形式和內(nèi)容不具有實質(zhì)意義。隱私保護聲明等形式的格式條款形同虛設(shè)，網(wǎng)絡(luò)運營商并沒有為自己設(shè)置注意義務(wù)，而且這類聲明內(nèi)容簡單，不涉及個人信息的使用和安全保證，多為免責(zé)條款。明示告知的形式不醒目且沒有選擇余地，以嗶哩嗶哩彈幕網(wǎng)站為例，該網(wǎng)站通過《嗶哩嗶哩彈幕網(wǎng)用戶使用協(xié)議》告知用戶相關(guān)條款，但該協(xié)議通篇是以很小字體呈現(xiàn)，用戶極少有耐心讀到最后，而且該協(xié)議的全文是以鏈接的形式呈現(xiàn)，這使得仔細閱讀全文的用戶更加稀少。此外，該網(wǎng)站并沒有單獨的cookie信息收集協(xié)議，這些內(nèi)容都放在了《嗶哩嗶哩彈幕網(wǎng)用戶使用協(xié)議》里，用戶在選擇接受協(xié)議的同時也概括性接受了運營商對其cookie信息的收集;一旦拒絕協(xié)議，則無法使用該網(wǎng)站提供的服務(wù)。這一點，在其收集客戶端表現(xiàn)的更為突出，拒絕接受協(xié)議后將自動退出APP。

三、cookie技術(shù)運行中個人信息權(quán)保護路徑

通過以上對cookie技術(shù)以及個人信息權(quán)保護的論述，在大數(shù)據(jù)時代背景下，要想健全個人信息權(quán)以實現(xiàn)對cookie技術(shù)運行進行有效規(guī)制，需要對保護路徑重新構(gòu)建。既需要完善現(xiàn)有的個人信息保護理論，也需要加強個人信息保護的實踐運用;既需要從立法層面將cookie技術(shù)納入個人信息權(quán)規(guī)制范圍，也需要執(zhí)法層面推出有效的管理措施;既需要督促運營商全面履行義務(wù)、積極承擔相應(yīng)的責(zé)任，也需要充分保障用戶認識和行使個人信息權(quán)。

一方面，推動個人信息保護法的出臺，促進其與相關(guān)法律的銜接。目前，我國還沒有一部完整且獨立的個人信息保護法，關(guān)于個人信息權(quán)保護的有關(guān)規(guī)定僅散落于《民法總則》、《網(wǎng)絡(luò)安全法》等法律以及部門規(guī)章。而由于整體呈現(xiàn)出“碎片化”趨勢，各部法律法規(guī)的立法目的和主旨又存在差異，實踐運用中往往會出現(xiàn)相互矛盾的情形。對于類似于cookie技術(shù)等較為新的產(chǎn)業(yè)，現(xiàn)有的碎片式法規(guī)涉及較少，甚至是空白狀態(tài)。2018年9月10日，中國人大網(wǎng)公布《十三屆全國人大常委會立法規(guī)劃》，《個人信息保護法》正式納入立法規(guī)劃。我們在慶祝我國個人信息權(quán)保護即將迎來新篇章的同時，還應(yīng)當清醒地認識到《個人信息保護法》只是個人信息權(quán)保護的第一步，能否將其與各部門法進行有效銜接，發(fā)揮《個人信息法》提綱挈領(lǐng)作用，將是衡量《個人信息保護法》作用的重要標準。cookie技術(shù)屬于互聯(lián)網(wǎng)技術(shù)，《網(wǎng)絡(luò)安全法》等互聯(lián)網(wǎng)有關(guān)法律法規(guī)目前對其尚未能進行合理有效的規(guī)制。在《個人信息保護法》即將出臺的背景下，新法能否從法律層面將cookie技術(shù)納入個人信息權(quán)規(guī)制范疇，互聯(lián)網(wǎng)相關(guān)法律能否就cookie技術(shù)運用中可能出現(xiàn)的個人信息保護問題，與新法達成一致，這些將是新法出臺后我們需要進一步考慮的問題。

另一方面，重視運用cookie技術(shù)的合法性，充分尊重用戶個人信息權(quán)。告知同意機制作為傳統(tǒng)個人信息保護體系中最為重要的，甚至幾乎是唯一的手段，重視個人信息收集過程中個人在知情基礎(chǔ)上對信息的控制與選擇。如前文所述，基于運營商責(zé)任意識和用戶維權(quán)意識的缺失，現(xiàn)有的同意機制形同虛設(shè)。運營商在運用cookie技術(shù)處理用戶信息時，通常超越了該用戶的授權(quán)，甚至是沒有取得該用戶的有效授權(quán)。以往的告知同意機制都是在使用產(chǎn)品之前告知用戶，一旦用戶選擇同意，在使用過程中很難改變。而且這種告知同意一般具有整體性的特點，對于隱私和個人信息的區(qū)分不明確，通常出現(xiàn)在同一協(xié)議中，cookie技術(shù)使用條款是較為常見的表現(xiàn)形式。對傳統(tǒng)的告知同意模式進行變革，使之與大數(shù)據(jù)時代個人信息保護需求相契合成為當務(wù)之急。告知同意機制的重點在于用戶的知情和同意，只有當用戶充分知曉自身信息會被如何利用的情況下做出的同意才是對運營商的有效授權(quán)，這也體現(xiàn)出個人信息權(quán)知情權(quán)和個人信息自決權(quán)的有關(guān)內(nèi)容。運營商應(yīng)對其通過cookie技術(shù)使用用戶個人信息的情況對用戶進行告知，基于此，可以運用場景分析等方式對用戶的個人信息進行類型化分析。涉及信息與用戶切身利益存在直接關(guān)聯(lián)的情形，如身份證號碼、電話號碼等，運營商應(yīng)得到用戶的嚴格授權(quán)，即用戶完全知情且明確表示同意;而那些類似于瀏覽記錄等可能關(guān)系到用戶利益的情形，可以采取選擇授權(quán)的方式，即將其制成選項，讓用戶自己進行選擇;至于再次一級的信息則可以采取默認授權(quán)，即只要用戶不反對就可以使用。此外，用戶在授權(quán)后當然地享有退出的權(quán)利，并且這種退出的方法應(yīng)當足夠簡便易操作;用戶的同意并非一成不變，當用戶發(fā)覺其之前的授權(quán)超出自身預(yù)期時可以及時更正。只有這樣，用戶的個人信息權(quán)才能得到充分保障，運營商運用cookie技術(shù)獲取并使用用戶信息才是合法的。

大數(shù)據(jù)時代背景下，cookie技術(shù)運用中個人信息保護問題是一個長期性問題，以個人信息權(quán)保護體系替代傳統(tǒng)的隱私權(quán)保護體系能夠更為有效地保護用戶個人信息權(quán)。我國正處于營建個人信息權(quán)保護體系的攻堅期，對cookie技術(shù)運用中的個人信息保護問題應(yīng)當充分考慮互聯(lián)網(wǎng)產(chǎn)業(yè)的特點，在完善法規(guī)的基礎(chǔ)上突出運營商主體責(zé)任，充分尊重和保護用戶個人信息權(quán)，構(gòu)建適合中國的個人信息權(quán)保護體系對cookie技術(shù)進行有效規(guī)制。

參考文獻：

[1]? 王澤鑒.人格權(quán)的具體化及其保護范圍·隱私權(quán)篇（上）[J].比較法研究，2008，（6）：1-21.

[2]? 楊博.“大數(shù)據(jù)”時代背景下個人信息權(quán)的民事訴訟保護研究[J].研究生法學(xué)，2018，33（1）：20-40.

[3]? 戴正.數(shù)據(jù)企業(yè)的個人信息保護責(zé)任：從GDPR到中國[J].經(jīng)濟研究導(dǎo)刊，2018，（36）：17-19.