我国Cookie技术隐私保护方案的完善——对欧盟法的考察与借鉴

华 清，周秀娟

（长春理工大学，吉林长春，130022）

我国互联网行业在近几年发展势头迅猛，根据中国互联网络信息中心（CNNIC）在2017年发布的《中国互联网络发展状况统计报告》，报告内容显示截止2017年12月，我国网民规模达7.31亿，全年共计新增网民4299万人。中国网民规模已经相当于欧洲人口总量。在面对如此庞大的互联网用户的现实状况下，关于Cookie技术存在的隐私安全问题成为互联网中的重要隐患，亟需对其进行研究考察以保护广大网民的隐私安全需求，分析其问题来源、性质并提出合理的解决方案。

一、互联网时代下Cookie技术的运用及对隐私权保护的冲击

（一）Cookie技术概述

Cookie翻译成中文是“小甜品”的意思，但在互联网世界里其代指小量信息。该技术在1993年3月由网景公司的前职员Lou Montulli发明，Cookie技术是一种存储在互联网浏览器上的信息，由电脑服务器产生，当用户重新通过电脑服务器登录浏览器时，可以找回上次浏览的记录，给用户带来一种如同在吃甜品的感觉。通俗来说，Cookie就是用户使用的服务器为准确地识别用户，在电脑里存储一些关于用户信息的资料，当用户下次登录浏览器时，服务器会依据之前存储的Cookie内容来预判用户的下一步可能进行的操作行为。

Cookie可以依据存在的时间分为临时Cookie（Session Cookie）与永久Cookie（Persistent Cookie）。临时Cookie是只存在于用户在持续使用浏览器期间，一旦关闭浏览器，临时Cookie文件就会被自动删除。其特征就是一次性，不可间断且间断后不可恢复。只有当用户在持续使用某一浏览器时，该浏览器会记录下这次用户的信息，并在本次使用期间向用户提供相应的信息服务；永久Cookie是将用户的信息永久保存在计算机硬盘中，即使在用户重启计算机后，这些Cookie信息依然存在，在用户再次打开浏览器时便会推送相关信息。

（二）Cookie技术运用

Cookie技术的设计初衷有两个，一个是为用户提供人性化服务；另一个是可以通过该技术了解用户行为，更好地知道用户习性。在具体运用上主要有以下几个内容：

一是自动登录功能。当用户登录一个需要帐号和密码的网站时，Cookie技术就可以存储下该帐号与密码的信息；当用户选择记住密码时，在下次登录该网站时，Cookie就会自动识别出用户并向用户发出问候及自动输入帐号密码。

二是推送定向广告。通过追踪用户的浏览信息、点击频率、停留时间等，运用高级计算分析法推出用户可能想要的内容，然后浏览器就会以窗口弹出等方式提醒用户其分析出的结果并供用户选择。例如，当用户在浏览器上浏览了关于去北京的交通方式，此时网站就会利用Cookie技术分析出用户可能去北京旅游，并向用户推送关于北京旅游的广告。

三是购物网站的购物车功能。其本质就是Cookie信息的记忆功能，该信息记录着用户拟购买的商品数量及规格，在用户结束浏览欲结算购物车里商品时，其实就是将之前的Cookie信息统一来进行结算，Cookie信息起到了一个临时记忆的作用。

（三）Cookie技术与隐私保护的冲突

1.Cookie技术引发的典型案例

Cookie技术下存储的用户信息是否是隐私权所保护的客体存在着争议，其争议来源是中国的“Cookie隐私第一案”，2013年南京市市民朱某起诉百度搜索公司。原告朱某诉称，当其打开自己电脑的浏览器进入“百度搜索引擎”并搜索相关关键字时，“百度搜索引擎”会在她登录其它网站上出现相类似的广告推送。原告据此认为，百度公司是利用 Cookie技术，在未经原告同意的情况下，收集、记录、分析原告所搜索的关键字及其浏览的内容，这些被存储下来的Cookie信息记录着原告的个人爱好、生活习性等私人信息，百度公司利用这些信息向原告定向推送广告，并以此获得第三方的广告费，原告认为这种行为严重侵犯了其隐私权。南京市中级人民法院于2015年5月6日对此案作出终审判决①江苏省南京市中级人民法院，（2014）宁民终字第5028号。：认为百度定向广告行为不构成侵犯朱某的隐私权，撤销原审判决，驳回原告诉讼请求。在此前，一审法院认为百度公司收集并利用朱某的Cookie信息属于侵犯朱某的隐私权，判决原告朱某胜诉。一、二审出现截然不同的判决结果，说明Cookie技术的性质界定在我国司法实践中存在较大争议。［1］

2.Cookie信息的法律性质

笔者认为要想确定Cookie信息的法律性质，首先要明确隐私权客体的范围。佟柔先生从禁止非法介入的角度将隐私权定义为生活秘密权，是一种以自己的个人私生活秘密和生活自由为内容，禁止他人非法干涉的人格权。［2］张新宝先生的观点是：隐私权是指自然人依法享有的私人生活安宁与私人信息秘密依法受到保护，不被他人非法知悉、利用、搜集、侵扰和公开的一种人格权。［3］由此可以分析出，隐私权的客体是指个人私密的信息和不愿意公开的私人活动。个人信息中会包含一些个人隐私，取决于个人是否愿意公开。另外，个人隐私不仅仅只有信息这一种表现载体，个人的爱好、活动都可以是个人隐私。最后，隐私权侵害并不要求出现实际的损害。只要行为人的行为致使他人的隐私被侵害或有被侵害危险，即构成对隐私权侵害的损害后果。［4］所以Cookie信息记录用户的浏览爱好、习性就是记录了用户的隐私内容并导致用户的隐私有被侵害的危险。笔者据此分析认为，Cookie信息中涉及用户不愿意公开的个人信息部分是隐私权保护的客体。

综上可见，利用Cookie技术所进行收集、整合的客体为个人的信息记录，是广义上的隐私的一部分，而无论该项收集、整合的目的是否为使用和推广或者获利，只要进行了未经同意的收集活动，均认为其是侵犯隐私权的行为。因此，Cookie技术的应用给隐私权的保护带来了前所未有的困难。

二、对欧盟Cookie技术隐私保护方案的考察

（一）欧盟法上Cookie技术隐私保护方案的现状

欧盟对于互联网时代下的个人隐私权保护相当重视，建立了一套系统的网络隐私权保护的法律体系。欧盟立足于本区域的网络技术发展现状，在1996年根据欧盟95/46/EC指令，成立了欧盟数据保护工作组（Working Party on the Protection of Individuals with regards to the Processing of Personal Data）。这是一家独立的咨询建议机构，其职责如下：一是向欧盟提供有关数据保护的专业咨询服务；二是使1995年欧盟95/46/EC指令在全欧盟成员国统一推广适用；三是针对Cookie技术有关的个人信息保护问题提出专业意见。［5］可以说该数据工作组是欧盟数据保护立法体系中最重要的一个机构。

除此之外，欧盟还在2004年设立了欧洲数据保护监督人（The European Date Protection Supervisor）。这是一家独立的监督机构，其工作内容是：监督欧盟机构在数据处理上保障个人隐私；尽力使欧盟机构在设立新法与新政策时有保护个人隐私的部分；并与欧盟数据保护工作组通力合作，共同维护个人隐私安全。［6］

（二）欧盟法上Cookie技术隐私保护方案的解读

Cookie技术获取的信息是否取得用户同意，是判定其是否侵犯隐私权的关键。欧盟法对这个问题有详细的规定。

首先，在取得同意的时间及形式上有所规定。2009年欧盟09/130/EC指令第五条规定，在进行个人数据存储与分析之前，必须取得用户本人许可同意。也就是说，浏览器在通过Cookie技术收集、整理、分析用户个人信息之前，必须取得用户的授权或许可，否则就是非法取得他人信息数据。在取得同意的形式上，指令规定必须是明示许可，不可以用默示许可代替，并且要向互联网用户提供完整而清晰的说明书，内容里应当详尽地向用户介绍其权利与义务，以确保用户的知情权。

其次，在获取同意的主体上有所规定。在《关于网络定向广告的2/2010意见》中规定，获取同意的主体是网站所有者及网络广告商，因为在实际操作的过程中是这两者使用Cookie技术进行用户的信息存储。两者都是在取得用户的许可同意后才可以用Cookie技术进行信息的收集与分析。且欧洲数据保护监督人也同意这一规定。

最后，欧盟还规定了同意豁免的情形。在2009年欧盟09/130/EC指令里规定了两种情况可以获得同意豁免。其一是相关Cookie信息对通信传输起到至关重要的作用；其二是该Cookie信息是浏览器运行所确实必需的内容。当然，欧盟委员会严格控制了该豁免情形的适用程度，防止被扩大解释与运用。例如，Cookie信息中关于购物网站记录用户购物车信息的行为是适用豁免条款的。

三、我国Cookie技术隐私保护中存在的缺失

（一）在网络隐私权立法上存在缺陷

我国目前相关的立法过于模糊，没有相应的惩罚措施。在涉及网络隐私权保护的问题上，我国没有出台专门的法律、法规，相关的规定都是零散地发布在其它法律、法规中，这就导致Cookie技术下隐私侵权案件很难找到完全对应的法条支持。另外，由于相关规定是原则性的规范，使得对法条的解读存在多种观点，在实践操作中难以统一执行，即使在得到法条支持的情况下，我国的法律并没有明确网络隐私侵权的处罚措施，这就给法院在判案的过程中带来了不确定性，会影响到法院的权威。南京市朱某诉百度公司案，一、二审法院给出相反的判决就体现了这一点。

表1 欧盟关于Cookie技术的法律框架

同时，我国相关立法进程缓慢，预见性差。法律具有滞后性这是难以避免的一个问题，但互联网时代是一个快速发展的时代，其具有更新换代周期短、数据量巨大等特征，因此现今社会对网络隐私权保护的呼声日益高涨，形势刻不容缓。而纵观欧盟规制Cookie技术的法律，可以明显地发现其在法律内容的更新上效率较高，并且对不同指令的修改内容较为详细，这就使得欧盟对Cookie技术的监管跟得上其互联网技术发展的时代步伐。

（二）监管主体及监管职责不明确

我国目前对于网络安全的监管主体不明确，关于监管职责的规定零碎化。根据表2的信息可以看出，我国对于网络安全的监管没有一个明确的责任机关，公安部、工业和信息化部等国家机关都出台相关的部门规章对网络安全进行规范。但这些规范的内容来看，大多数是一些原则性的规定，对于一些具体的实质性问题很难找到相关规定去解释，这就会导致相关规章难以被适用，无法实现其立法初衷。

另外，关于我国的互联网协会的监管职责也没有明确指出包含网络隐私安全这一部分，中国互联网协会的宗旨及任务里没有规定对网络安全的保护或监督，可见我国不论是行业外部还是行业内部都没有重视对网络安全这一方面的监管。但欧盟却做到了这一点，其在设立数据保护人这一机构时，对其主要职责的规定就是促使国家在制定法律的时候要尊重公民的隐私权，着重保护用户在上网时留下的个人隐私信息。

（三）行业协会的内部自律作用有限

行业协会的功能是为了更好地实行国家的法律、法规，并据此制定协会章程及规则来约束成员。其目的就是为了维护整个行业健康发展和维护成员的利益。我国互联网行业最具有代表性、范围最广的协会是中国互联网协会，该协会在2001年5月25日成立，会址在中国北京。中国互联网协会的宗旨是：遵守国家宪法、法律和法规，遵守社会道德风尚；坚持以创新的思维、协作的文化、开放的平台、有效的服务的指导思想，为会员的需要服务，为行业发展服务，为政府决策服务。

但该协会对于互联网用户的隐私权保护意识起步较晚，对网络隐私权的保护并没有制定出一套完整的保护体系，使得其对于保护用户隐私权难以发挥实质性作用。目前，中国互联网协会最值得肯定的地方是其在自律公约里规定了网络用户拥有知情权及选择权，这是对保护用户隐私权最基本的规定。［7］但对于Cookie技术获取信息是否取得用户同意、何时取得、如何取得等关键问题未作规定。欧盟在内部监管方面，是通过设立专门组织机构并配合独立的监督部门来完成对Cookie技术的监管，可以说这是一项非常有体系的监管模式，不仅在业务上专业化而且在操作过程中独立自主，不受外界干扰。

表2 我国关于Cookie技术隐私保护的法律框架

四、我国Cookie技术隐私保护的完善建议

（一）完善网络隐私保护法律体系

1.构建行之有效的网络隐私权民法保护体系

目前，我国有关网络隐私保护的法律过于分散且不详尽，很难面对快速发展的互联网时代，现有的法律对于保护网络隐私碎片化特征严重，网络用户的权利义务与救济方式零散，没有形成完整的民法保护体系。为此，在整个网络隐私体系的建设过程中：首先，以《民法总则》中的隐私权保护的基本条款为依托，构建隐私权的基本法学理论体系；其次，以《侵权责任法》为基本手段，将网络侵犯隐私权作为侵犯隐私权的特殊形式，建构网络侵犯隐私权的构成要件；最后，针对互联网新型技术导致的侵犯用户隐私权的情形，特别是Cookie技术导致的隐私侵害行为，应及时更新民事立法和司法解释，实现法律的前瞻性和有效性。在对现有的问题加以考虑并设计进行的同时，还要放眼未来，预测可能出现的网络隐私权冲突的问题，防患于未然。

2.构建适度合理的Cookie技术监管法律体系

在监管法律的构建中，应当明确以下内容：首先，在Cookie技术取得互联网用户隐私的同意时间及形式上有所规定。应当详细规定是事先取得还是在事后取得，是明示取得还是默示取得，对确定的授权内容及范围也应当有所规定。其次，在Cookie技术获取互联网用户隐私的同意主体上有所规定。浏览器所有者、网络广告商和网站所有者是否应当取得用户的同意，及其受同意的内容是否一致，在法律里都应当明确规定。最后，还应规定Cookie技术取得互联网用户隐私同意豁免的情形。由于侧重保护网络用户的信息安全，应当谨慎地对豁免情形进行确定，要做到侧重保护用户隐私，合理地、完全地明文列举出豁免情形，避免出现模糊不清从而扩大解释的情形。

（二）明确监管主体及职责

欧盟设立数据保护监督人这一点非常值得借鉴，可以说是一个创新式的模式。欧盟数据保护监督人这个机构有点类似于第三方独立机构，不仅在立法前提醒立法机关注重对网络隐私权的保护；在立法时给出专业的第三方建议；在法律颁布后，为法律的适用及推广发挥作用，还可以与监管机构合作共同使得网络隐私安全受到更好的保护。

从我国国情出发，在面对大量的网络隐私侵权案件时，一个确定的监管主体可以发挥其监管职责，尽力地去避免不法事件发生。依据我国的国情及网络安全的性质，同时借鉴欧盟的经验，应由工业与信息化部作为主要监管部门，中国互联网协会作为辅助监管部门。根据中央编办在2015年17号文件的内容来看，将“信息通信领域网络与信息安全保障体系建设”这一部分明确归为工业与信息化部的职责。工业与信息化部作为我国的中央政府组成部门，其在行政地位上级别较高，可以制定部门规章在全国范围内适用，这一点是有利于网络安全发展的。而中国互联网协会作为中国最有影响力、规模最大的行业协会，具有良好的基础和工作经验，只要其明确对网络安全的监督职责，积极配合国家法律法规的实行，相信在网络安全体系完善的过程中是可以发挥其价值的。我国可以借鉴欧盟的作法，设立一个独立的第三方数据保护机构，其职责就是发挥第三方独立的优势，在配合前面两者工作的同时，对网络信息安全保护提供自己的建议与发挥独立监督的作用。

（三）发挥行业协会内部自律的作用

一个强大而有执行力的互联网协会，可以实现整个行业各个方面健康、有序的发展。行业协会作为一种内部监管，能很好地弥补国家法律滞后性的缺陷。欧盟地区拥有一个较为安全的网络环境，与其拥有一套完整的监管体系是密不可分的。对于网络隐私权的保护，立法过程比较复杂且时间长，而行业协会可以快速感知该行业出现的问题，并及时制定规则来管控风险。因此，中国互联网协会要充分发挥其在全国范围内对网络隐私保护的影响力，认真分析实际面临的问题，及时制定出一整套的网络隐私保护规则来规范Cookie技术的使用。例如，可以学习欧盟法的经验，对Cookie技术下从事定向广告做出详细的规定；对存储Cookie信息的前提要件有哪些进行明确；完全式列举Cookie“同意”豁免的情形等。