对搜索引擎中个人信息保护的法律分析
——以定向广告的投放为视角

张长伟 赵明明

中央民族大学法学院

一、相关概念及法律分析

（一）Cookies技术

Cookies，中文名称为小型文本文件，指用户浏览某网站时，该网站为了辨别用户身份而储存在用户本地终端上的数据，伴随着用户请求和页面在 Web 服务器和浏览器之间传递。它记录了用户ID、密码等信息，用于用户身份的辨别。Cookies技术是搜索引擎向用户投放定向广告行为的核心技术，投放所依赖的用户信息数据完全需要通过Cookies技术获取。

（二）定向广告

用户曾使用搜索引擎搜索某一关键字，即使关闭该网络站点或者浏览器程序，当访问另一网络站点时或者再次运行浏览器打开新的网页时，其内嵌的广告窗会显示与关键字一致或者相似的广告。这种投放方式即定向广告行为，其普遍性与精准性，时常使用户担心个人隐私的泄露。

（三）个人信息

个人信息，是一切可以识别本人的信息的总和，Cookies收集到的零散个人信息经过统计、分析能够产生巨大的商业利益，是否应该适用添附规则？笔者认为，应该限制个人权利的扩张。Cookies应用商收集的个人信息，属于用户个人，零散的信息在被加工之前，客观上并不具有商业价值的属性。用户仅享有个人信息知情权和个人信息自决权，并不享有财产权以及对再次开发的控制权。这就阻断了个体信息与集体信息（可以建成“数据库”）的权利纠葛，对商业发展无疑是有利的。

（四）搜索引擎运作模式

搜索引擎主要是利用各种站点作为载体，通过Cookies技术，来实现对终端信息的抓取，进行信息处理后再将用户搜索的对应信息反馈给用户以及投放定向广告等营销行为。针对此过程所遵循的规则，互联网领域有传统的“告知―同意”规则，以及美国联邦贸易委员会推出DNT（do not track）规则。

二、搜索引擎信息运作模式中存在的问题

（一）搜索引擎中信息抓取主体责任和义务不明

在搜索引擎对个人信息进行运作的时候，首先出现的是抓取主体。如上文所述，搜索引擎主要是利用各种站点作为载体，通过Cookies技术，实来现对终端信息的抓取。由此，搜索引擎以及各站点便是作为提供服务的经营者一方，由于经营者是为消费者提供商品和服务的市场主体，是与消费者直接交易的另一方，进而，明确经营者的责任和义务对于保护消费者权益来说至为重要。要论各个站点的责任和义务，必须理清楚他们所使用的关于Cookies技术的相关问题。对于Cookies，在用户体验方面，它具有不可替代性①，但同时，Cookies技术在抓取个人信息方面，具有模糊性，存在侵犯个人权利的风险。

首先值得肯定的是：Cookies的最大特点是具有不可跨域名性加之各个网站的不同加密技术，确实对交互信息产生一定程度的保护效果。但是，实际上在搜索引擎信息抓取和分析之后的信息投放行为上，Cookies技术并非如此简单：存在站点内部广告行为和第三方广告行为，前者的抓取主体较为明确；而后者需要进一步的解释。比如，打开亚马逊网时，所呈现的网页并非一个，而至少有两个，分别是亚马逊商城网页（下文称为“主站点”）和广告联盟网页（下文称为“副站点”），只是副站点往往显示为一个矩形广告页面；是故，在打开网页的过程中，存在两个以上的Cookies交互。因此，对所有的运行Cookies技术来获取信息的主体，法律均应加以规制。

（二）搜索引擎中信息抓取对象权利不明

此处举例说明：A使用电脑X后，没有清空记录，当B使用该电脑X时，依赖Cookies技术进行投放的广告，是针对A的，因为技术只能识别终端，而不能识别终端的使用者。即便如此，也不能否认用户作为权利主体的地位。Cookies技术所抓取的信息，本质上是属于用户的，是人的产物，而非终端机器的代码。域外的信息数据立法将保护对象限定为自然人，不包括法人，如德国的《联邦个人数据保护法》第3条第1款、日本的《个人资讯保护法》第2条、我国香港特区的《个人资料（隐私）条例》第2条、我国台湾的《个人资讯保护法》第2条等。对于侵犯法人信息数据的行为，各国主要通过商业竞争法等加以规制。

鉴于消费者权利本位，用户进入某站点，该站点在写入Cookies之前，应该向用户发出对话窗口，向用户说明一下情况并且询问用户是否允许创建Cookies。只有在用户许可的情况下，主站点和副站点才能应用Cookies技术收集信息。当前，各个网站仅以发布隐私声明等布告方式加以告知，并未保障用户的个人信息知情权和自决权。

（三）搜索引擎信息运作的规则不明

关于搜索引擎对信息的运作模式的规范，互联网领域除了传统的“告知―同意”规则，还有美国联邦贸易委员会推出DNT（do not track）规则。无论是制度设计，还是价值取向，二者具有较大差异。Cookies功能需要浏览器的支持，如果浏览器不支持Cookies或者把Cookies禁用，Cookies功能就会失效，不同的浏览器采用不同的方式保存Cookies。 “告知―同意”规则是各国通用的规则，其默认用户同意开启Cookies；需要用户手动将浏览器中的Cookies设置为禁用模式，才能不被“追踪”。《中国互联网定向广告用户信息保护行业框架标准》中已经规定有该规则。而DNT规则指浏览器默认开启请勿追踪模式，向访问的站点出示“DNT”的代码，则该站点有权选择是否创建Cookies；基于商业信誉以及FTC的监督，一旦该站点承诺不“追踪”，将会不运行Cookies。前者默认开启，对普通用户起不到保护的作用；后者依赖于行业自律，并且在美国遭到了广告行业的抵制，没有付诸全面实施。

三、搜索引擎信息运作模式中存在问题的解决路径

（一）搜索引擎中信息抓取主体责任和义务方面

针对多主体参与的模糊性就引起的义务不清、责任不明等法律问题，笔者提出以下观点。

第一，仅主站点承担告知义务。鉴于主站点是普通用户唯一可以接触的、并必然进行意思交流的主体，其应该承担起告知义务。目前，《消费者权益保护法》第20条规定了经营者真实信息告知义务，“经营者向消费者提供有关商品或者服务的质量、性能、用途、有效期限等信息，应该真实、全面，不得作虚假或者引人误解的宣传”。抓取行为属于为提供服务而进行的附带行为，相对于民法上的附随义务更应该告知。至于告知方式，暂且不表，将在下文的规则部分加以讨论。

第二，主站点和副站点承担真正连带责任。二者存在信息的分享，其合意行为符合《侵权责任法》规定了共同侵权。可以界定主站点和副站点应该承担真正连带责任。一般而言，主站点数量多、分布较散、技术力量和经济实力弱，副站点是资金雄厚、技术力量强的广告联盟运行者。这种责任分配，一方面，有利于权益受损的用户得到充分的补偿；另一方面，加强广告联盟公司的责任感，可以推进相关技术的提升。

第三，广告联盟公司负有封锁信息的义务。对信息加以封锁的目的，乃是确保经Cookies收集的个人信息具有封闭性，即使该信息处于公共领域且不存在被获取的障碍。只有广告联盟公司切实履行封锁信息的义务，才能避免政府和私人对用户的侵害。我国对违反该义务的行为规定有刑事责任和民事责任。例如，《刑法》第253条以及《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》中均有相关规定。

（二）搜索引擎中信息抓取对象权利方面

笔者认为，用户仅存在个人信息知情权和个人信息自决权两项权利。

第一，个人信息知情权。首先，该权利根植于对人的尊重，任何社会场域的活动，都应该贯彻“以人为本”的理念；其次，对信息的知悉是主体做出决策的前提和基础，“程序的正当过程的最低标准是：公民的权利义务将因为决定而受到影响时，在决定之前他必须有行使陈述权和知情权的公正的机会”②；最后，通过“告知―知悉”的过程进行信息交流，使用户充分理解、进而支持Cookies应用，推动商业模式的优化和技术进步。

第二，个人信息自决权。用户独立拥有且封闭化保存的个人信息，是没有商业价值可言的；有社会的地方才有法律，个人信息在大数据交互和分析中获得法律属性。通过Cookies收集的个人信息，如何被使用分析、被共享的领域和范围、被保存的时间、能否被修改等，都应该获得个人的许可。个人是利益的最好决定者。但是，经Cookies收集的个人信息的性质和公共利益的需要，导致该权利的行使受到诸多限制，比如公序良俗、法律的强制性规定等。

（三）搜索引擎信息运作的规则方面

根据搜索引擎的整体运作模式，以及从定向广告行为入手分析而得的Cookies技术的特征，笔者提出以信息分类为基础、行业自律为主、行政规范为辅的规制路径。

（1）信息分类为基础。作为搜索引擎运作中的核心技术，Cookies不仅被定向广告行为所青睐，而且是购物车、网站免登陆等应用的核心技术。因而默认禁止Cookies，是完全不可取的。Cookies技术所收集的信息，涉及个人隐私的部分占有很小的比例。因此，需要从法律层面建立起信息分类制度，将敏感个人信息和非敏感个人信息加以区别对待。这样，能够为技术的发展，提供更多的自由空间。

（2）行业自律为主。欧洲将个人信息保护作为人权问题或者政治问题对待，美国却作为经济问题对待，这种取向的差异，成为美国的创新能力远超欧洲的原因之一。因而，从经济立法角度对行业规范进行明确的规定，并通过市场监管等手段来保障法律的实施，让整个经济市场的经营环境得到控制和净化，从一定程度上使得市场机制得到正常发挥。

（3）行政规范为辅。个人利益的保护离不开行政方面的规范。正如经济法产生的一方面原因就是要规范政府的调控和规制能力一般，由于技术、资金等方面的巨大不平衡，单独的用户无法与广告联盟等经营者抗衡，处于极度的弱势地位。正因为此，才应该从经济立法的角度入手来规范政府的行为，让其在规范的程度内来发挥自身的作用。一方面需要完善《消费者权益保护法》以及各类监管法，另一方面需要行政部门的监督和惩戒，需要充分发挥经济立法中行政执法机构的作用。

因此，在搜索引擎对信息的运行模式涉及的信息抓取主体方面，应明确其责任和义务；用户方面，应明确其个人信息知情权和个人信息自决权，增强个人信息保护和维护权利的意识。在搜索引擎对信息的整体运作模式方面，笔者建议在个人信息分类的基础上，实行双轨制。即针对非敏感个人信息，采用DNT规则；针对敏感个人信息，采取“告知―同意”规则并且开启默认禁止创设Cookies。在此基础上，行业自律和行政规范双轨并举。如此，用户有明确的权利意识，充分竞争的经营者营造出行业自律的市场环境，以及政府积极地且恰当地行使法律赋予的权力。如此从经济立法对该领域进行规范，便能使得该领域不再是法律规制的灰色地带，而用户作为消费者的权利本位的实现便不再困难。

注释：

①例如，亚马逊网站的隐私声明“如果您关闭或拒绝接受我们的cookies, 您将不能使用向您的购物车添加商品、进入结算页面、或者使用您需要登录后才能使用的本网站产品和服务。”；百度搜索的隐私权保护声明“如果您选择拒绝cookie，则您可能无法登录或使用依赖于cookie的百度服务或功能。”等。

②季卫东：《法律程序的意义（增订版）》，北京：中国法制出版社，2011年版，第37页。