cookie信息是不是个人信息——解读百度与朱烨隐私权纠纷案

  作者 | 王融 中国信息通信研究院

  作者 | 互联网法律研究中心副主任

  来源 | 智合东方

  引言:2015年5月6日,南京市中级人民法院对“北京百度网讯科技公司(以下简称百度)与朱烨隐私权纠纷案”作出终审判决,撤销南京市鼓楼区人民法院一审判决,认定“百度的个性化推荐行为不构成侵犯朱烨的隐私权”,判决驳回原告朱烨的全部诉讼请求。 从一审判决“隐私权侵权”到二审认定“不侵权”,针对同一事实,两级法院得出了截然相反的法律判决。两份判决见证了天平两端的利益纠葛,一审判决代表了消费者的胜利,二审判决则是互联网产业的成功逆袭。两份判决鲜活的展示了法律天平的反转过程。

  | 一、反转的天平——截然不同的判决观点

  本案的事实与诉由是:原告朱烨在家中和单位上网浏览相关网站过程中,发现利用百度搜索引擎搜索相关关键词后,会在百度广告联盟的特定网站上出现与关键词相关的广告。例如,朱烨在通过百度网站搜索“减肥”、“人工流产”、“隆胸”关键字后,再进入“4816”网站和“500看影视”网站时,就会分别出现有关减肥、流产和隆胸的广告。

  朱烨认为,百度公司未经其知情和选择,利用网络技术记录和跟踪朱烨所搜索的关键词,将其兴趣爱好、个人需求等显露在相关网站上,并利用记录的关键词,对其浏览的网页进行广告投放,侵害了其隐私权,使其感到恐惧,精神高度紧张,影响了正常的工作和生活。2013年5月6日,朱烨向南京市鼓楼区人民法院起诉百度公司,请求判令立即停止侵害,赔偿精神损害抚慰金10000元,承担公证费1000元。

  两级法院对上述事实部分没有异议,而在法律的具体适用和最终结论方面产生了重大分歧,具体包括三个方面:

  (一)关于关键词等cookie信息的性质界定。一审法院认定是个人隐私。其论证认为:朱烨的关键词展示了个人上网的偏好,在一定程度上标识个人基本情况和个人私有生活情况,属于个人隐私的范围;二审法院认为虽具有隐私性质,但不属于个人信息。其认为:网络用户通过使用搜索引擎形成的检索关键词记录,虽然反映了网络用户的网络活动轨迹及上网偏好,具有隐私属性,但这种网络活动轨迹及上网偏好一旦与网络用户身份相分离,便无法确定具体的信息归属主体,不再属于个人信息范畴。

  (二)关于百度是否侵害了用户的隐私权。在对cookie的认识分歧基础上,两级法院也相应得出了相反结论。一审法院认为:隐私权侵权不仅有公开、宣扬他人隐私的方式,也包括不当收集、利用他人隐私信息的方式,百度的侵权即属于后者;对此,二审法院针锋相对,认为判断百度是否侵犯隐私权,应严格遵循网络侵权责任的构成要件,即《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》(以下简称《规定》)中明确的 “利用网络公开个人隐私和个人信息的行为”和“造成损害”的侵权构成要件,百度的个性化推荐是通过技术手段完成,并没有向第三方或公众展示及公开用户的cookie信息,因此不构成侵权。

  (三)关于百度是否保障了用户的知情权与选择权。百度在首页设置了《使用百度前必读》链接,链接中包括“隐私权保护声明”,通过该声明,百度介绍了收集、使用cookie的目的,以及收集的信息类型,并为用户提供了停用选择。针对这一事实,一审与二审法院做出的法律判断大相径庭。

  一审法院认为,百度采取的是“默示同意”原则,不足以保障用户的知情权和选择权。判决书中阐述:“由于百度公司在网站中默认的是网民同意百度网讯公司使用cookie技术收集并利用网民的上网信息,网民可能根本就不知道自己的私人信息会被搜集和利用,更无从对此表示同意,这就要求百度网讯公司在默认“选择同意”时要承担更多、更严格的说明和提醒义务,以便网民对百度网讯公司的行为有充分的了解,进而作出理性的选择。但百度网讯公司网页中的《使用百度前必读》标识,虽有说明和提醒的内容,但该字却放在了网页的最下方,不仅字体明显较小,而且还夹放在相关标识中间,实在难以识别并加以注意,无法起到规范的说明和提醒作用。

  相反,二审法院认为:百度公司保障了用户的知情权和选择权。法院认为百度提供的隐私权保护声明及退出机制,已足以保障用户权利。此外,法院还参考国家推荐性标准《信息安全技术公共及商用服务信息系统个人信息保护指南》(GB/Z28828-2012),认为非敏感的个人信息的收集、使用仅需要适用默示原则,何况百度收集的信息仅是网络碎片化信息,并不属于个人信息,因此更不需要适用明示同意原则。

  | 二、对判决观点的评议

  (一)关于关键词等cookie信息的性质界定,两级法院的观点论证都存有明显的不足,特别是对于隐私与个人信息的关系,表现出理论上的混淆

  隐私与个人信息在概念上相互独立,也互有交集。一方面,在包含的权益内容类型上,隐私权大于个人信息权益。隐私权除了包括隐私性的个人信息外(国外也称为信息隐私权,information privacy),还包括个人居住的安宁以及私人生活的免受打扰,这一点在一审判决中也有阐述,但遗憾的是,一审判决仅认定了朱烨的搜索活动具有隐私属性,但没有明确交代搜索关键词等cookie信息是否为个人信息;另一方面,如果仅讨论与个人相关的信息,则个人信息范围大于隐私(或者说信息隐私)。个人信息不仅包括隐私性的个人信息,还包括可公开、可利用的个人信息。但无论是个人信息,抑或是隐私信息,其前提都应当是具有身份可识别性。脱离了特定身份,则不是个人信息,更遑论隐私。反过来,如果一项信息被认定为隐私信息,则也应当是个人信息。然而二审判决中,在认可搜索关键词具有隐私属性的前提下,法官又认为关键词不属于个人信息范畴,这一论证逻辑令人费解。

  (二)二审法院对于cookie信息不属于个人信息的判断与论证缺乏说服力

  一审法院聚焦于隐私权及侵权行为的分析,回避了对于cookie信息是否属于个人信息的判断问题。二审法院虽直面该问题并给出了明确结论,但论证缺乏说服力。二审法院在判断该问题时,援引了工信部《电信和互联网用户个人信息保护规定》(以下简称《规章》)对个人信息的界定。《规章》第四条规定:个人信息是指电信业务经营者和互联网信息服务提供者在提供服务的过程中收集的网络用户姓名、出生日期、身份证件号码、住址、电话号码、账号和密码等能够单独或者与其他信息结合识别用户的信息以及网络用户使用服务的时间、地点等信息。法院认为百度公司个性化推荐服务收集和推送信息的终端是浏览器,没有定向识别使用该浏览器的网络用户身份。并据此认为关键词等cookie信息不属于个人信息。而从笔者对于该规章的理解来看,对于特定的cookie信息属于个人信息,规章的定义已经预留了空间。规章对于用户个人信息的定义采取了“识别说”,识别标准既包括直接识别,也包括间接识别;既包括单独能否识别用户的信息,也包括与其他信息相结合识别用户的信息;既包括绝对的识别,如姓名,身份证件号码,也包括相对的识别,如账号和密码。并且规章明确补充了网络用户使用服务的时间、地点的信息属于个人信息范畴。

  百度在隐私权保护声明中也提及:百度收集的信息包括日志信息,如服务的使用情况、IP地址、访问日期和时间等,以及设备信息,如手机的国际移动设备身份码(IMEI)、手机的网络设备的硬件地址(MAC)等信息。对于百度而言,这些信息的结合已经具有了高度的识别性,足以能够指向特定用户。但法院得出的结论是:百度没有且无必要将搜索关键词记录和朱烨的个人身份信息联系起来。可以看到法院将规章的个人信息识别标准狭义化了,仅采取了直接的、绝对的识别标准。

  如果说规章不能作为审判的依据,只能作为参考的话,那么《全国人大关于网络信息保护的决定》(以下简称《决定》)对于个人信息的表述也采用了广义的识别标准。《决定》第一条即明确:国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息。“能够识别”包括了直接识别与间接识别的情形。

  实际上,自个人信息保护法诞生以来,各国对于个人信息定义,均都采取了广义的识别标准。在当前的网络环境下,如果仅将识别性限定为直接识别,将根本无法满足对于公民基本权利的保护需求。

  (三)对于法院审理困境的理解

  “以事实为依据,以法律为准绳”是法院审案的基本准则。作为大陆法系国家,我国司法界距离“法官造法”还很遥远。法院审案的法律依据依赖于现有的法律制度。遗憾的是我国隐私与个人信息保护贫瘠的法律基础,没有给法官提供“发挥空间”。在隐私保护方面,我国几乎没有隐私保护的法律传统,隐私权也是在2009年才第一次被作为公民享有的基本民事权益被写入《侵权责任法》,而2014年最高法的《规定》仅将隐私与个人信息的侵权方式严格限定为“公开行为”,尽管这与现实的网络环境中存在着巨大脱节,但法官们的审理依然无法突破这一限定;而在个人信息保护方面,尽管制定《个人信息保护法》已是社会各界多年的呼声,但至今没有正式列入国家立法计划。在法律层面,我国没有关于个人信息的基本定义。面对如此简陋的制度基础,让法官们对关乎公民基本权利保护,关乎互联网产业发展的cookie规则去作出最佳的利益平衡,也真是难为了。

  | 三、寻找更佳的利益平衡点

  (一)对于用户个人信息的收集与利用,普通消费者与互联网企业正处在一个极度不对等的位置上

  审视我们当前所处的网络时代,互联网新技术新业务正前所未有的改变着个人信息的收集和使用方式,对个人信息保护带来巨大挑战。云计算让个人信息远离个人终端,用户对于个人信息的控制能力大大降低,个人甚至并不清楚其个人数据的存储位置;移动互联网更让信息收集变得无处不在,且所收集的信息高度个人化,比如通讯录、照片、邮件、APP应用的使用信息等;大数据的出现,更是极大地刺激了企业收集用户信息的动机。更多的数据,更加长久地保存起来。为提供此类收集行为的合法性。互联网企业的隐私政策也越来越多的采取格式条款方式,对用户的各类信息进行“一揽子”打包,赋予企业进行收集、取得的权利。即使在个人信息保护法健全的国家,用户的知情、同意、选择权利也正面临空洞化的危机。

  (二)在不对等的关系中,法律应当发挥合理的纠正功能

  在这场数据的盛宴中,法律应当发挥合理平衡公民基本权利与产业发展的基本功能。但平衡点在哪里?是像二审判决所阐述的观点么?“网络用户在免费享受该服务便利性的同时,亦应对个性化推荐服务的不便性持有一定的宽容度。”以及“网络服务提供者对个性化推荐服务依法明示告知即可,网络用户亦应当努力掌握互联网知识和使用技能,提高自我适应能力。”此种观点,无疑使得用户与企业不平等的关系更加雪上加霜。瞧,既然cookie不具有个人信息属性,企业甚至连用户的默示同意都不需要,只需告知即可。但实际上,任何希望有长远发展的互联网企业也不会这么做,这既不符合企业长远利益,也不符合国际通行的规则。因为,这不科学。

  (三)欧美在不同程度上,均承认cookie的个人信息属性

  技术的立场是中立的,但它会带来两面的结果。正如cookie为用户使用网络带来了极大的便利,它同样也存在着隐私泄露的风险。为应对Cookie这柄“双刃剑”对用户隐私带来的安全风险,各国通过立法手段、技术手段对cookie的使用进行规范。但可以看到,不论是以严格保护个人信息著称的欧盟,还是倡导行业自律的美国,都在不同程度上承认了cookie的个人信息属性,并采取了针对性规范。

  欧盟,cookie的收集与使用需遵循严格的知情同意原则。欧盟于2009年修改了《电子隐私指令》(e privacy directive 2002/58/EC),其中对于cookie的收集使用作出了明确的要求,因此也被形象的称之为“cookie 指令”。指令第五条第三款规定:服务提供商在用户终端上存储和访问信息,应当依据个人数据保护指令(92/46/EC)的要求,事先向用户提供准确和完整的相关信息,包括信息收集和处理的目的等,征得用户的同意。并向用户提供拒绝此类数据处理的选择。指令进一步要求:用户的同意必须是明示和特定的,默示或推定的同意不足以满足cookie指令的要求。尽管由于欧盟cookie指令规定的过于严格,目前在执行中还面临一些问题,但欧盟法律对于cookie信息属性的明确界定,使得互联网产业界对于cookie的收集和使用采取了严格的保护标准,提升了用户信息安全的保护水平。

  美国,隐私执法中将cookie纳入PII保护范围。美国的隐私立法与执法与欧盟有较大的差别。虽然美国在立法中没有明确cookie的个人信息属性,但在隐私执法中,cookie被看作具有个人信息性质。在美国隐私保护法律语境中,一般使用个人可识别信息,PII概念(personally indentifiable information),美国国家标准与技术研究院(National institute of standard and technology,NIST)对于PII的定义是:由相关机构掌握的有关个人的任何信息,包括:

  (1)该信息可以被用来识别或者跟踪个人的身份,例如姓名,社会保障号出生日期,姓氏、生物特征记录,IP地址(在某些情形下)、登录帐号等;

  (2)其他任何与个人已关联或者可关联的信息,例如医疗、教育、财务、雇佣信息等。此外,NIST还列举了潜在的PII信息,其中明确包括了网络cookie。

  美国最主要的隐私执法机构——美国联邦贸易委员会(FTC)发布的隐私保护指南对于美国互联网产业界的隐私保护实践具有着重要的指导意义,甚至有学者认为FTC的隐私指南实际上发挥着类似法律的效力。2012年,FTC发布隐私保护指南:《在一个充满快速变化的时代,保护消费者隐私——2012年关于隐私权的建议》中,FTC提出隐私保护框架应当适用于:商业实体对于能够被合理地与特定的消费者、电脑以及其他设备相联系的消费者数据的收集和使用行为。该定义突破了传统的个人信息定义中与个人相关联的设定,而是扩展到了用户所使用的设备,如笔记本,智能手机等。这为cookie纳入PII 保护范围进一步扫清了障碍。

  (四)案例已终审,期待未来立法对失衡天平予以矫正

  中国cookie第一案的终审法槌已然落下,虽然其具有重要的标杆意义,但并不代表未来的cookie规制思路。我们仍有机会通过立法、司法解释等途径对失衡的天平予以补救。建议:

  1.在立法和执法实践中,认可cookie信息的个人信息属性,将互联网企业的信息收集、使用行为纳入个人信息保护法的基本规范。企业在收集、使用cookie 信息时,应当向用户提供更完善的知情同意机制,让用户在充分知情的基础上,合理评估和预测个人网络行为的隐私风险,不论是接受还是拒绝cookie,用户都能实现自主选择。这不仅保障了用户的权益,使得用户从个人信息被追踪、被监控的恐惧中逃脱出来,也有利于企业提升用户个人信息的保护水平,增强安全防范能力。

  2.通过司法解释的完善,扩展隐私权侵权形式。传统的隐私权发端于报纸、广播等媒体产业规模化之后,主要对抗媒体的不当公开行为。然而生活在网络通信如此发达的今天,人们普遍所感受到隐私侵害形式已经不局限于隐私的公开,更常见的是困扰是个人信息被不当利用后对个人生活安宁的打扰。因此建议通过司法解释扩展隐私权的侵权形式,为公民隐私权保护提供更畅通的救济渠道。