三、案例评析
Cookie技术能够实现服务器与客户终端浏览器之间的信息交互,为了辨别访客身份,当用户浏览某个网页时,服务器会在客户本地终端(包括电脑、智能手机等)的浏览器端相应地存储一个文本文件,该文件通常会以加密的方式,储存包括用户ID、密码、浏览网页、搜索关键词、停留时间等在内的状态信息。当浏览器再次向服务器发送请求时,会将前述Cookie发送给服务器,网站服务提供者会根据Cookie信息建立关于访客的数字化个人档案资料,通过数据技术进行归档,例如收集、汇编和比对数据库中的个人数据的方式来对访客进行分析和归类。[6]
本案被称作中国“Cookie隐私第一案”。总体来看,二审判决较好地平衡了Cookie技术运用、ISP商业模式选择与个人信息、隐私保护的关系。但一些问题仍有待进一步研究探讨:
(一)网络活动轨迹及上网偏好是否属于个人信息或隐私
二审判决承认网络活动轨迹及上网偏好“具有隐私属性”,但不属于“个人信息”,据此认定百度未侵犯隐私。朱烨是以隐私权被侵犯提起的诉讼,论证的核心应当是网络活动轨迹及上网偏好是否属于“隐私”,而非其是否属于“个人信息”。二审认定其“具有隐私属性”,本质上是承认其隐私性质,就本案而言,再论证其是否属于“个人信息”似乎意义不大。当然,网络活动轨迹及上网偏好是否属于“个人信息”,以及个人信息与隐私的关系,不但在立法上存在差异,在执行中也有争议。
本案中,关于个人信息的界定,百度引用了国家质量监督检验检疫总局、国家标准化管理委员会2012年11月5日批准发布的《信息安全技术 公共及商用服务信息系统个人信息保护指南》(GB/Z 28828—2012),该指南明确个人信息是指可为信息系统所处理、与特定自然人相关、能够单独或通过与其他信息结合识别该特定自然人的计算机数据。该标准采纳的是“识别说”,即个人信息须是“单独或通过与其他信息结合识别该特定自然人”,根据该界定,个人信息范围较窄。
二审法院以《电信和互联网用户个人信息保护规定》对个人信息的界定“个人信息是指电信业务经营者和互联网信息服务提供者在提供服务的过程中收集的网络用户姓名、出生日期、身份证件号码、住址、电话号码、账号和密码等能够单独或者与其他信息结合识别用户的信息以及网络用户使用服务的时间、地点等信息”为依据,认为“网络活动轨迹及上网偏好一旦与网络用户身份相分离,便无法确定具体的信息归属主体,不再属于个人信息范畴”。这种认定缺乏说服力。因为《电信和互联网用户个人信息保护规定》对个人信息的界定包括两类:一是“能够单独或者与其他信息结合识别用户的信息”(“识别说”);二是“网络用户使用服务的时间、地点等信息”(不要求识别身份)。二审法院仅仅因为不能“识别身份”提出网络活动轨迹及上网偏好不属于第一种个人信息,但对于是否属于“网络用户使用服务的时间、地点等信息”并没有论证,在这种情况下得出网络活动轨迹及上网偏好不属于“个人信息范畴”的结论,有失严谨。
百度为什么引用了《信息安全技术 公共及商用服务信息系统个人信息保护指南》(GB/Z 28828—2012),而没有引用《电信和互联网用户个人信息保护规定》?可能的原因是前者对个人信息的界定较窄,只要证明“网络活动轨迹及上网偏好”不能识别个人身份即可;而后者对个人信息的界定较宽,即便证明“网络活动轨迹及上网偏好”不能识别个人身份,也无法得出其不属于个人信息的结论。从《信息安全技术 公共及商用服务信息系统个人信息保护指南》(GB/Z 28828—2012)和《电信和互联网用户个人信息保护规定》的关系来讲,对个人信息的认定应当适用后者。而从《电信和互联网用户个人信息保护规定》的规定,不能得出“网络活动轨迹及上网偏好不属于个人信息”的结论。
其实,在该案审判时,已经有关于个人信息和隐私关系的规定。2012年《全国人民代表大会常务委员会关于加强网络信息保护的决定》第1条规定:“国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息。”根据该规定,个人信息包括两类:一是能够识别公民个人身份的信息;二是涉及个人隐私的信息。二审法院既然已经认定网络活动轨迹及上网偏好“具有隐私属性”,那么按照2012年的该规定将其认定为个人信息似乎水到渠成。2017年《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第1条规定,刑法第253条之一规定的“公民个人信息”,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信方式、住址、账号密码、财产状况、行踪轨迹等。该规定也是从广义上界定个人信息的。
2016年的网络安全法采取了“识别说”,该法第76条规定,个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。
《信息安全技术 个人信息安全规范》(GB/T 35273—2017)规定,个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,如姓名、出生日期、身份证件号码、个人生物识别信息、住址、通信通讯联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。判定某项信息是否属于个人信息,应考虑以下两条路径:一是识别,即从信息到个人,由信息本身的特殊性识别出特定自然人,个人信息应有助于识别出特定个人。二是关联,即从个人到信息,如已知特定自然人,则由该特定自然人在其活动中产生的信息(如个人位置信息、个人通话记录、个人浏览记录等)即为个人信息。符合上述两种情形之一的信息,均应判定为个人信息。
信息是否属于个人信息或隐私,与是否侵害了个人的信息权利或隐私权是两个层面的问题。在本案中,将网络活动轨迹及上网偏好认定为个人信息,并不意味着百度就侵犯了朱烨的个人信息权或隐私权。遗憾的是,二审法院判决对该问题缺乏充分论证。
美国隐私执法中将Cookie的个人信息纳入个人可识别信息(PII)保护范围。虽然美国在立法中没有明确Cookie的个人信息属性,但在隐私执法中,Cookie被视为具有个人信息性质。美国国家标准与技术研究院对PII的定义是:由相关机构掌握的有关个人的任何信息,包括:(1)该信息可以被用来识别或者跟踪个人的身份,例如,姓名、社会保障号出生日期、姓氏、生物特征记录、IP地址(在某些情形下)、登录账号等;(2)其他任何与个人已关联或者可关联的信息,例如,医疗、教育、财务、雇佣信息等。此外,还列举了潜在的PII信息,其中明确包括了网络Cookie。[7]
(二)侵犯隐私是否必须以“公开信息”为条件
《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》第12条第1款规定:“网络用户或者网络服务提供者利用网络公开自然人基因信息、病历资料、健康检查资料、犯罪记录、家庭住址、私人活动等个人隐私和其他个人信息,造成他人损害,被侵权人请求其承担侵权责任的,人民法院应予支持。”百度提出,该司法解释将“公开”作为互联网环境下侵犯隐私权的构成要件。百度并未公开、宣扬朱烨隐私,朱烨的信息在朱烨的电脑中,在其控制之下,并没有为公众所知悉。此规定第12条强调的是公开他人隐私要承担责任,并不是规定所有侵犯他人隐私的行为必须以“公开”为要件。网络服务提供者未经他人同意收集他人信息、对他人进行监听监视等都可能侵犯他人隐私。判定百度是否承担责任,争议不应当是相关信息是否属于“个人信息”或隐私,而是百度对这些信息的收集、使用是否合法合理,这涉及个人信息的收集、使用规则。
(三)Cookie数据收集规则
关于信息收集。百度认为:百度网站首页《使用百度前必读》中的“隐私权保护声明”中已经明确告知用户使用Cookie技术是为用户提供服务,保障了用户的知情权。而且百度网站也提供了选择退出机制,朱烨也可以通过浏览器对Cookie进行设置,包括禁用Cookie或清除Cookie。朱烨认为:百度的默示同意规则增加了用户的注意义务和心理负担,向用户定向投放广告增加了不必要的网络流量。《使用百度前必读》和《隐私权保护声明》两个告知框位于百度首页的正下方,字体非常小,并没有以显著的方式告知用户。这些都不能认定百度尊重了网络用户充分的知情权和选择权。
2009年修订的欧盟《电子隐私指令》(E—Privacy Directive,2009/136/EU)主要对利用Cookie技术及类似技术收集用户信息的行为做出明确规范,被称为“欧盟Cookie法”。指令第5条第3款规定:服务提供商在用户终端上存储和访问信息,应当依据个人数据保护指令(92/46/EC)的要求,事先向用户提供准确和完整的相关信息,包括信息收集和处理的目的等,征得用户的同意。并向用户提供拒绝此类数据处理的选择。指令进一步要求:用户的同意必须是明示和特定的,默示或推定的同意不足以满足Cookie指令的要求。
示例:欧盟网络信息安全局网站对该网站使用Cookie的提示
在对比欧盟要求告知用户Cookie时必须明确提示的程度,我们可以发现,我国网站在用户保护方面还有待加强。很多网络用户根本不知道Cookie为何物,非常明确地提示用户Cookie的存在并解释Cookie的作用和目的,是获得用户同意的必经程序。另外,从网络安全教育来讲,要求ISP更高程度的明示义务,是对网络用户进行网络安全宣传的非常有效的方式,比传统的知识竞赛、简单说教有效的多。二审法院提出,“Cookie技术是当前互联网领域普遍采用的一种信息技术,……网络服务提供者对个性化推荐服务依法明示告知即可,网络用户亦应当努力掌握互联网知识和使用技能,提高自我适应能力”。这种思路恰恰是忽视了网络用户与网络服务提供者在网络技术知识方面的巨大差距,忽视网络运营者的义务,让网络用户“努力掌握互联网知识和使用技能”是舍本逐末之举。