熊晓能
摘 要:互联网产业的发展使cookie技术应用逐渐普及,但因为法律规范滞后、运营商管理失当和互联网自身存在缺陷等原因,cookie技术的运用在我国现行个人信息保护体系下正面临一系列困境。cookie技术缺乏有效规制、用户个人信息保护失灵、用户难以通过诉讼维权等问题阻碍了互联网产业良性发展。传统隐私权保护体系难以对cookie技术侵权进行合理规制,而个人信息权的出现为cookie技术的法律规制开辟了新路径。应当通过推动《个人信息保护法》出台并使其与现行法律体系进行有效衔接,将“告知同意”类型化分析等措施构建个人信息权保护体系,对cookie技术进行法律规制。
关键词:大数据;个人信息权;cookie技术
中图分类号:D922.17 文献标志码:A 文章编号:1673-291X(2020)05-0188-02
一、问题的提出
Cookie技术是一种互联网客户端技术,用户一旦通过运用该技术的浏览器登入网站,该网站的后台处理器就会通过浏览器在用户电脑硬盘中生成经过加密且只有该网站才能够识别读取的cookie文件,其中储存着用户在该网站上的操作和浏览记录,当用户再次浏览该网站时,网站就会通过浏览器搜索电脑上是否存有该网站的cookie文件,并以此识别用户身份,从而输出特定的网页内容。在此基础之上,运营商们推出了诸如“记住密码”、定向广告以及“个性推荐”等浏览器或者APP常见的个性化服务功能。然而,这些cookie技术的良性应用并不能掩盖其存在非法暴露用户个人信息,侵犯用户个人信息权的风险。
长期以来,由于我国法律体系中个人信息权并非独立概念,仅是隐私权的一种表现形式,我国学者对于cookie技术应用侵权的研究大多集中于隐私权角度。但是,隐私权的客体是个人隐私,保护对象是那些个人不希望他人知晓或干涉的私密领域,而公共领域有关的个人信息则不再属于隐私权保护范畴。个人信息权的内涵不止于此,还包括那些已经公开的个人信息,就保护范围而言,隐私权已经无法为其提供有效保护。2017年3月15日,我国《民法总则》正式颁布。该法明确规定了个人信息保护原则,首次从民法的角度确认了个人信息权,要求“任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息”。cookie技术通过收集和分析用户线上浏览痕迹等数据信息,运营商据此构建该用户的特定模型,从而达到攫取商业利益的目的。这种做法应当属于《民法总则》中关于个人信息非法收集、使用、加工的规定,运营商如果在未取得用户有效授权的情况下利用cookie技术实现上述商业目的,则不符合《民法通则》关于获取用户个人信息应当依法取得和使用的要求。当下我国cookie技术运用中个人信息系保护正面临着一些困境,随着个人信息权在民法上的确立,通过个人信息权对运营商运用cookie技术进行法律规制将成为在大数据时代背景对用户下个人信息进行有效保护的有效方法。
二、我国cookie技术运用中个人信息保护面临困境
由于定向广告等cookie应用技术的复杂性,用户和运营商各自获取的信息并非完全一致,很多时候用户并不了解其线上活动产生的信息被收集情况,也不知道自己的信息会被传输到哪里,更无法得知运营商会如何通过这些个人信息实现其商业目的。基于这些原因,用户信息被暴露于外的风险日益增加,个人信息权保护问题在大数据时代显得越发突出,我国cookie技术运用过程中的个人信息保护正面临困境。
(一)我国现行法律体系无法有效规制
cookie技术根据我国现行法律规定和有关行业惯例,网络运营商收集和利用用户个人信息进行商业活动通常不构成侵权。现阶段,我国判断运营商对用户信息的收集和利用是否构成侵权的依据,仍是侵权责任的构成要件标准,通过评价运营商主观是否存在过错和是否造成损害后果来认定是否侵权。虽然我国《侵权责任法》对于隐私权侵权的认定及其保护制度已存在一定的规定,为个人信息权和个人信息保护的相关立法奠定了初步的权利基础,但是由于隐私权内涵的局限性,传统的隐私权保护模式已经不能满足规制cookie技术这种高新技术的需要。另外,我国现行法律对个人信息的保护重点放在事后救济上,在个人信息的搜集、处理及利用等事前阶段用户提前预防和自我保护措施较为缺乏,这种仅凭借单一事后救济的保护模式无法及时有效地保护用户个人信息权。与消极滞后、被动防御的隐私权不同,个人信息权并非只能一味处于防守状态,权利人除了能够被动应对来自他人的侵权行为之外,还应当可以在他人未经其许可擅自收集、利用其个人信息时积极请求行为人更改或者删除其个人信息,以排除他人的非法利用行为或者使个人信息恢复到正确的状态。个人信息保护问题不仅关系到用户的个人信息安全和个人利益,特定情况下还会牵涉到公益领域。此种情况下,单一的事后预防无法及时应对突发的公益侵权事件,所以对于個人信息的事前预防和事中处理就显得越发重要。
(二)用户个人信息权缺乏保障
个人信息权通常可以划分为个人信息知情权和个人信息自决权。我国《加强网络信息保护的决定》和《个人信息保护规定》都要求,运营商应当在履行告知义务并取得用户有效授权的情况下,在许可范围内收集和使用用户的个人信息。在“朱烨诉百度公司隐私侵权案”中,二审法院认为百度公司采取明示告知和默示同意相结合的模式,充分履行了告知义务,足以保障用户的知情权和选择权。然而,问题在于,以百度公司为代表的互联网运营商所采用的告知方式往往不能起到有效的规范和提醒作用,使用户确实有效地实现信息自主权。运营商告知形式和内容不具有实质意义。隐私保护声明等形式的格式条款形同虚设,网络运营商并没有为自己设置注意义务,而且这类声明内容简单,不涉及个人信息的使用和安全保证,多为免责条款。明示告知的形式不醒目且没有选择余地,以哔哩哔哩弹幕网站为例,该网站通过《哔哩哔哩弹幕网用户使用协议》告知用户相关条款,但该协议通篇是以很小字体呈现,用户极少有耐心读到最后,而且该协议的全文是以链接的形式呈现,这使得仔细阅读全文的用户更加稀少。此外,该网站并没有单独的cookie信息收集协议,这些内容都放在了《哔哩哔哩弹幕网用户使用协议》里,用户在选择接受协议的同时也概括性接受了运营商对其cookie信息的收集;一旦拒绝协议,则无法使用该网站提供的服务。这一点,在其收集客户端表现的更为突出,拒绝接受协议后将自动退出APP。
三、cookie技术运行中个人信息权保护路径
通过以上对cookie技术以及个人信息权保护的论述,在大数据时代背景下,要想健全个人信息权以实现对cookie技术运行进行有效规制,需要对保护路径重新构建。既需要完善现有的个人信息保护理论,也需要加强个人信息保护的实践运用;既需要从立法层面将cookie技术纳入个人信息权规制范围,也需要执法层面推出有效的管理措施;既需要督促运营商全面履行义务、积极承担相应的责任,也需要充分保障用户认识和行使个人信息权。
一方面,推动个人信息保护法的出台,促进其与相关法律的衔接。目前,我国还没有一部完整且独立的个人信息保护法,关于个人信息权保护的有关规定仅散落于《民法总则》、《网络安全法》等法律以及部门规章。而由于整体呈现出“碎片化”趋势,各部法律法规的立法目的和主旨又存在差异,实践运用中往往会出现相互矛盾的情形。对于类似于cookie技术等较为新的产业,现有的碎片式法规涉及较少,甚至是空白状态。2018年9月10日,中国人大网公布《十三届全国人大常委会立法规划》,《个人信息保护法》正式纳入立法规划。我们在庆祝我国个人信息权保护即将迎来新篇章的同时,还应当清醒地认识到《个人信息保护法》只是个人信息权保护的第一步,能否将其与各部门法进行有效衔接,发挥《个人信息法》提纲挈领作用,将是衡量《个人信息保护法》作用的重要标准。cookie技术属于互联网技术,《网络安全法》等互联网有关法律法规目前对其尚未能进行合理有效的规制。在《个人信息保护法》即将出台的背景下,新法能否从法律层面将cookie技术纳入个人信息权规制范畴,互联网相关法律能否就cookie技术运用中可能出现的个人信息保护问题,与新法达成一致,这些将是新法出台后我们需要进一步考虑的问题。
另一方面,重视运用cookie技术的合法性,充分尊重用户个人信息权。告知同意機制作为传统个人信息保护体系中最为重要的,甚至几乎是唯一的手段,重视个人信息收集过程中个人在知情基础上对信息的控制与选择。如前文所述,基于运营商责任意识和用户维权意识的缺失,现有的同意机制形同虚设。运营商在运用cookie技术处理用户信息时,通常超越了该用户的授权,甚至是没有取得该用户的有效授权。以往的告知同意机制都是在使用产品之前告知用户,一旦用户选择同意,在使用过程中很难改变。而且这种告知同意一般具有整体性的特点,对于隐私和个人信息的区分不明确,通常出现在同一协议中,cookie技术使用条款是较为常见的表现形式。对传统的告知同意模式进行变革,使之与大数据时代个人信息保护需求相契合成为当务之急。告知同意机制的重点在于用户的知情和同意,只有当用户充分知晓自身信息会被如何利用的情况下做出的同意才是对运营商的有效授权,这也体现出个人信息权知情权和个人信息自决权的有关内容。运营商应对其通过cookie技术使用用户个人信息的情况对用户进行告知,基于此,可以运用场景分析等方式对用户的个人信息进行类型化分析。涉及信息与用户切身利益存在直接关联的情形,如身份证号码、电话号码等,运营商应得到用户的严格授权,即用户完全知情且明确表示同意;而那些类似于浏览记录等可能关系到用户利益的情形,可以采取选择授权的方式,即将其制成选项,让用户自己进行选择;至于再次一级的信息则可以采取默认授权,即只要用户不反对就可以使用。此外,用户在授权后当然地享有退出的权利,并且这种退出的方法应当足够简便易操作;用户的同意并非一成不变,当用户发觉其之前的授权超出自身预期时可以及时更正。只有这样,用户的个人信息权才能得到充分保障,运营商运用cookie技术获取并使用用户信息才是合法的。
大数据时代背景下,cookie技术运用中个人信息保护问题是一个长期性问题,以个人信息权保护体系替代传统的隐私权保护体系能够更为有效地保护用户个人信息权。我国正处于营建个人信息权保护体系的攻坚期,对cookie技术运用中的个人信息保护问题应当充分考虑互联网产业的特点,在完善法规的基础上突出运营商主体责任,充分尊重和保护用户个人信息权,构建适合中国的个人信息权保护体系对cookie技术进行有效规制。
参考文献:
[1] 王泽鉴.人格权的具体化及其保护范围·隐私权篇(上)[J].比较法研究,2008,(6):1-21.
[2] 杨博.“大数据”时代背景下个人信息权的民事诉讼保护研究[J].研究生法学,2018,33(1):20-40.
[3] 戴正.数据企业的个人信息保护责任:从GDPR到中国[J].经济研究导刊,2018,(36):17-19.