作者：丁文  知產(chǎn)財(cái)經(jīng)全媒體

　　作為Facebook廣告商之一的美國著名視頻平臺(tái)HBO，近日卷入一場(chǎng)隱私糾紛之中。3月8日，HBO遭消費(fèi)者集體訴訟，指控其與Facebook共享訂閱者的觀影歷史，稱HBO向Facebook提供其客戶名單，使得Facebook可以結(jié)合會(huì)員的觀影數(shù)據(jù)和社交平臺(tái)的個(gè)人資料進(jìn)行交叉數(shù)據(jù)分析，從而向HBO的會(huì)員提供更具針對(duì)性的廣告。原告稱，HBO從未從會(huì)員處獲得上述披露數(shù)據(jù)行為的許可，違反了美國1988年《視頻隱私保護(hù)法》。[1]

　　而早在今年2月，Meta（Facebook母公司）和原告達(dá)成和解，同意支付9000萬美元以了結(jié)一樁長(zhǎng)達(dá)10年的隱私訴訟，和解協(xié)議還要求Meta刪除所有在此期間錯(cuò)誤收集的數(shù)據(jù)。這起訴訟發(fā)生在2012年，起因在于2010年Facebook的一項(xiàng)名為“Open Graph”的插件更新，該更新聲明Facebook可使用插件來存儲(chǔ)Cookies，追蹤用戶何時(shí)在其他網(wǎng)站上點(diǎn)擊Facebook的“Like”按鈕。該插件可以讓Facebook利用Cookies，記錄用戶瀏覽了哪些有“Like”按鈕插件的網(wǎng)站，以及用戶的瀏覽、購買內(nèi)容——甚至在用戶退出/注銷Facebook賬戶之后依然可以，這些信息被記錄后出售給Facebook廣告商。[2]

　　當(dāng)前，各國政府對(duì)數(shù)據(jù)安全問題都給予極大的關(guān)注，越來越多與數(shù)據(jù)隱私相關(guān)的罰單和訴訟懸在互聯(lián)網(wǎng)企業(yè)的頭上，成為企業(yè)無法回避的問題，其中“Cookies”一詞在諸多“數(shù)據(jù)泄露”大新聞中頻繁出現(xiàn)。

　　“是否同意Cookies？”

　　Cookies是網(wǎng)站創(chuàng)建的用于記錄用戶信息、執(zhí)行特定功能的小型電子文本，該文本存儲(chǔ)于電腦或移動(dòng)智能終端本地的特定目錄下。根據(jù)不同標(biāo)準(zhǔn)，Cookies可分為不同類型。按照生命周期和功能用途不同，Cookies可分為臨時(shí)Cookies（Session Cookies）和持久Cookies（Persistent Cookies），前者存儲(chǔ)于瀏覽器內(nèi)存中，并不寫入終端硬盤，當(dāng)用戶關(guān)閉瀏覽器時(shí)即自動(dòng)清除，后者則通常以預(yù)先定義的時(shí)間用加密的方式存儲(chǔ)于終端硬盤，并不因?yàn)g覽器的關(guān)閉而自動(dòng)清除。

　　按所屬域（domain）的不同，Cookies又可分為第一方Cookies（First-party Cookies）和第三方Cookies（Third-party Cookies），第一方Cookies由被訪問網(wǎng)站的服務(wù)器設(shè)置且與該網(wǎng)站屬于同一個(gè)域，它們使網(wǎng)站所有者可以收集分析數(shù)據(jù)，記住語言設(shè)置以及執(zhí)行其他有助于提供良好用戶體驗(yàn)的有用功能；第三方Cookies則由直接訪問的域以外的域創(chuàng)建，用于跨站點(diǎn)跟蹤，重定向和廣告投放等。一些Cookies是實(shí)現(xiàn)網(wǎng)站功能所必需（essential）的，如load balancing session Cookies、user input Cookies、authentication Cookies，如果禁用這些Cookies可能導(dǎo)致網(wǎng)站無法正常打開和運(yùn)行，或者部分功能無法使用；另外一些Cookies則用于記錄和分析用戶信息和偏好習(xí)慣，甚至是第三方Cookies，如social plug-in tracking Cookies、third party advertising Cookies和first party analytics Cookies，禁用這些Cookies不影響對(duì)網(wǎng)站基本功能的使用。

　　Cookies泄露與個(gè)性化廣告

　　因Cookies問題引發(fā)的數(shù)據(jù)安全隱患大體有兩種，一是被動(dòng)的Cookies泄露，二是主動(dòng)的Cookies追蹤。

　　由于與操作系統(tǒng)、瀏覽器、網(wǎng)站和網(wǎng)絡(luò)這四個(gè)因素密切相關(guān)，通過網(wǎng)站的服務(wù)器端代碼、瀏覽器、網(wǎng)站腳本都可以抓取到Cookies，Cookies存在不小的敞口風(fēng)險(xiǎn)。2017年，雅虎承認(rèn)在過去兩年間，有入侵者進(jìn)行“Cookies偽造”（Forged Cookies）攻擊，造成3200萬賬戶泄露，并警告其用戶可能被入侵竊取的信息包括姓名、郵箱、哈希密碼、電話號(hào)碼、生日和一些加密或者未加密的安全問題和答案。通過“Cookies偽造”攻擊，攻擊者在無需輸入密碼的情況下，只需偽造一個(gè)web瀏覽器token即Cookies來誘使瀏覽器相信雅虎用戶已經(jīng)登錄，從而訪問用戶賬戶。接二連三的Cookies泄露事件嚴(yán)重打擊了雅虎的信譽(yù)，雅虎也因?yàn)檫@一系列的打擊最終以3.5億美元的超低價(jià)被Verizon通信公司收購（起始估值48億美元）。[3]

　　2022年1月，法國數(shù)據(jù)隱私監(jiān)管機(jī)構(gòu)“國家信息與自由委員會(huì)”（CNIL）對(duì)谷歌處以創(chuàng)紀(jì)錄的1.5億歐元（約合1.69億美元）罰款，主要因?yàn)樵摴玖罨ヂ?lián)網(wǎng)用戶難以擺脫Cookies的在線追蹤。出于同樣的原因，CNIL同時(shí)還宣布對(duì)Facebook罰款6000萬歐元（約合6782萬美元）。CNIL在一份聲明中稱：“我們發(fā)現(xiàn)，互聯(lián)網(wǎng)用戶很難擺脫facebook.com、google.fr和youtube.com網(wǎng)站的Cookies追蹤。相反，用戶選擇接受Cookies追蹤倒是很容易。”CNIL表示，谷歌和Facebook提供了一個(gè)虛擬按鈕，允許用戶立即接受Cookies追蹤，但卻沒有提供同樣的選項(xiàng)，讓用戶輕松地拒絕它們。除了罰款，CNIL還要求谷歌和Facebook兩家公司在三個(gè)月內(nèi)進(jìn)行整改，否則將面臨每天10萬歐元（約合11.3萬美元）的額外罰款，這些整改措施包括：谷歌和Facebook有義務(wù)為法國互聯(lián)網(wǎng)用戶提供拒絕Cookies追蹤的更簡(jiǎn)單工具，以確保追蹤前得到用戶的同意。這不是谷歌、Facebook第一次因?yàn)镃ookies追蹤問題被罰，事實(shí)上就在今年3月，針對(duì)Facebook在2018年6月至12月期間發(fā)生的12起獨(dú)立的數(shù)據(jù)泄露事件，愛爾蘭數(shù)據(jù)保護(hù)委員會(huì)(DPC)對(duì)Facebook處以1700萬歐元的罰款處罰。

　　北京己任律師事務(wù)所資深律師呂沛在接受《知產(chǎn)財(cái)經(jīng)》采訪時(shí)指出，使用Cookies有助于實(shí)現(xiàn)網(wǎng)站功能并提升用戶體驗(yàn)，同時(shí)網(wǎng)站可通過獲取Cookies記錄的用戶信息，實(shí)現(xiàn)用戶畫像分析、消費(fèi)習(xí)慣分析，從而在定向廣告推送、精準(zhǔn)營(yíng)銷數(shù)據(jù)交易、精準(zhǔn)研發(fā)等多領(lǐng)域獲得經(jīng)濟(jì)效益。特別是第三方Cookies通過跟蹤用戶的跨域網(wǎng)站訪問行為來進(jìn)行精準(zhǔn)營(yíng)銷，可以帶動(dòng)包括廣告主、在線出版商、第三方數(shù)字廣告公司、媒體、平臺(tái)等在內(nèi)的整個(gè)價(jià)值鏈。

　　“網(wǎng)站運(yùn)營(yíng)者可能在用戶弱感知的情況下，通過Cookies過度收集和處理用戶個(gè)人信息，甚至不當(dāng)共享給第三方，尤其是持久Cookies即使在用戶退出網(wǎng)絡(luò)賬戶后仍可追蹤用戶的線上行為，涉嫌未經(jīng)授權(quán)同意處理個(gè)人信息，Meta在剛剛和解的隱私訴訟中被詬病的違法行為之一即包括此項(xiàng)?！眳闻媛蓭煴硎?，“而且由于普通用戶與擁有第三方Cookies的公司并沒有直接的商業(yè)聯(lián)系，所以往往會(huì)出現(xiàn)用戶的網(wǎng)絡(luò)訪問數(shù)據(jù)被隨意采集和濫用的情況，且出現(xiàn)問題后較難追責(zé)?！?/p>

　　阻止Cookies追蹤與反競(jìng)爭(zhēng)

　　接連遭遇天價(jià)罰單后，谷歌采取了積極的整改措施。2019年，谷歌推出了一項(xiàng)名為“隱私沙盒”（Privacy Sandbox）的計(jì)劃，旨在逐步淘汰Chrome瀏覽器中的第三方Cookies。然而，這又引發(fā)了新的問題。英國競(jìng)爭(zhēng)及市場(chǎng)管理局（CMA）擔(dān)心該計(jì)劃會(huì)阻礙數(shù)字廣告市場(chǎng)的競(jìng)爭(zhēng)，并發(fā)起了調(diào)查，廣告商對(duì)此更是一片反對(duì)之聲。

　　這就不禁令人感到困惑，谷歌好像怎么做都不對(duì)，不改Cookies政策被法國罰，改了Cookies政策被英國查？對(duì)此，北京己任律師事務(wù)所顧問（合伙人級(jí)）薛穎律師在接受《知產(chǎn)財(cái)經(jīng)》采訪時(shí)表示，英法兩國的上述執(zhí)法行為不能進(jìn)行簡(jiǎn)單比較，更不能得出簡(jiǎn)單結(jié)論認(rèn)為法國對(duì)谷歌和Facebook的處罰和英國對(duì)谷歌“隱私沙盒”（Privacy Sandbox）技術(shù)的態(tài)度體現(xiàn)了兩國在隱私監(jiān)管上有實(shí)質(zhì)不同。盡管三個(gè)案子、兩家企業(yè)均涉及Cookies，但兩國監(jiān)管機(jī)構(gòu)處理的法律問題不同、法律依據(jù)也有差異：法國國家信息與自由委員會(huì)（CNIL）主要關(guān)心的是個(gè)人信息保護(hù)問題，處罰的是兩家企業(yè)因未提供與接受Cookies一樣便捷的拒絕Cookies的方式而侵犯數(shù)據(jù)主體同意權(quán)、違反法國數(shù)據(jù)保護(hù)法（French Data Protection Act）的行為；而英國競(jìng)爭(zhēng)和市場(chǎng)管理局（CMA）主要關(guān)心的是谷歌通過“隱私沙盒”（Privacy Sandbox）替代Cookies可能引發(fā)的競(jìng)爭(zhēng)和消費(fèi)者權(quán)益保護(hù)問題，要預(yù)防的是英國競(jìng)爭(zhēng)法（Competition Act 1998）所禁止的市場(chǎng)支配地位濫用行為（包括侵蝕Chrome瀏覽器用戶在精準(zhǔn)營(yíng)銷和廣告推送方面的個(gè)人信息處理自決權(quán)）。而且，CMA在官方文件中披露，其在整個(gè)調(diào)查過程中都與英國信息專員辦公室（ICO）密切合作，在處理Cookies引發(fā)的競(jìng)爭(zhēng)問題時(shí)并未遺漏個(gè)人信息保護(hù)的維度，英國也已于2021年6月28日通過了歐盟委員會(huì)的個(gè)人信息保護(hù)充分性認(rèn)定（adequacy decision），被認(rèn)為保護(hù)水平與包括法國在內(nèi)的歐盟區(qū)域等同。

　　上述案件的確也體現(xiàn)出個(gè)人信息保護(hù)合規(guī)和監(jiān)管的復(fù)雜性，可能形成與競(jìng)爭(zhēng)法和消費(fèi)者權(quán)益保護(hù)的交叉。CMA對(duì)“隱私沙盒”計(jì)劃的主要擔(dān)憂是其對(duì)于數(shù)字廣告市場(chǎng)的競(jìng)爭(zhēng)影響。從隱私保護(hù)角度而言，“隱私沙盒”計(jì)劃旨在逐步淘汰和替代谷歌瀏覽器以外的第三方Cookies，會(huì)降低用戶信息被第三方Cookies不當(dāng)收集和處理的隱患，可能有利于實(shí)現(xiàn)用戶個(gè)人信息保護(hù)。但從競(jìng)爭(zhēng)法角度考慮，“隱私沙盒”計(jì)劃限制第三方Cookies使用，可能限制第三方廣告商獲取用戶信息和基于用戶信息開展數(shù)字廣告業(yè)務(wù)，鞏固和增強(qiáng)谷歌在數(shù)字廣告市場(chǎng)上的影響力和優(yōu)勢(shì)地位，有助于其實(shí)施多種濫用市場(chǎng)支配地位行為，如通過限制向第三方提供與用戶追蹤相關(guān)的功能而抑制廣告庫存供應(yīng)市場(chǎng)和廣告技術(shù)供應(yīng)市場(chǎng)的競(jìng)爭(zhēng)，通過轉(zhuǎn)移關(guān)鍵功能給Chrome瀏覽器，對(duì)自有在線廣告業(yè)務(wù)實(shí)施自我優(yōu)待，以及濫用其在瀏覽器的支配地位侵犯Chrome用戶的個(gè)人信息自決權(quán)。因此，雖然限制使用第三方Cookies可能有利于實(shí)現(xiàn)用戶個(gè)人信息保護(hù)，但同時(shí)有必要基于具體場(chǎng)景，審查此種限制是否存在排除限制競(jìng)爭(zhēng)的效果，并分析為實(shí)現(xiàn)個(gè)人信息保護(hù)之目的限制和排除競(jìng)爭(zhēng)是否必要。即使是必要的，其程度是否與個(gè)人信息保護(hù)之目的相匹配，即考察必要性原則和成比例原則。

　　值得注意的是，今年2月份，CMA與谷歌已就“隱私沙盒”計(jì)劃達(dá)成共識(shí)，谷歌做出了多項(xiàng)承諾，下一階段CMA將監(jiān)督谷歌并確保“隱私沙盒”計(jì)劃以有利于消費(fèi)者的方式開發(fā)實(shí)行。但一部分德國出版商仍向歐盟委員會(huì)(European Commission)提起投訴，認(rèn)為谷歌的“隱私沙盒”計(jì)劃將會(huì)損害出版商的公平競(jìng)爭(zhēng)，且會(huì)導(dǎo)致谷歌對(duì)自己的在線廣告業(yè)務(wù)施以優(yōu)待，因此，“隱私沙盒”在競(jìng)爭(zhēng)法和隱私法框架下的合規(guī)穩(wěn)健性仍有相當(dāng)?shù)牟淮_定性。

　　關(guān)于是否應(yīng)該全面阻止網(wǎng)站進(jìn)行Cookies追蹤的問題，薛穎律師認(rèn)為，部分Cookies，特別是第一方臨時(shí)Cookies的應(yīng)用是實(shí)現(xiàn)網(wǎng)站功能所必需的，全面禁用Cookies會(huì)嚴(yán)重影響網(wǎng)站的正常運(yùn)行和用戶體驗(yàn)。谷歌計(jì)劃用“隱私沙盒”取代的也僅為跨域追蹤用戶在線行為的第三方Cookies（third-party Cookies, TPCs），如全面阻止/淘汰Cookies，對(duì)用戶、瀏覽器、第三方公司都將有巨大影響。因此，應(yīng)摒棄“all or nothing”的簡(jiǎn)單兩分法思路，區(qū)分不同類型，對(duì)網(wǎng)站運(yùn)行必需的Cookies可放松管制，甚至依循歐盟做法給予同意豁免（consent exemption），而對(duì)于并非網(wǎng)站運(yùn)行嚴(yán)格需要的，特別是對(duì)個(gè)人隱私有侵入性的監(jiān)控型Cookies應(yīng)制定全面嚴(yán)格的Cookies政策，確保用戶知悉Cookies應(yīng)用情況并有權(quán)利拒絕非必要Cookies應(yīng)用。

　　目前看來，由于GDPR的落地，大多有關(guān)Cookies問題的法律糾紛都發(fā)生在個(gè)人信息強(qiáng)保護(hù)的歐盟地區(qū)，但隨著我國個(gè)人信息保護(hù)水平和用戶隱私保護(hù)意識(shí)的提高，互聯(lián)網(wǎng)企業(yè)在我國運(yùn)營(yíng)時(shí)也不能忽視用戶隱私保護(hù)、數(shù)據(jù)合規(guī)等問題。如今，我國《個(gè)人信息保護(hù)法》已正式施行，相關(guān)法律法規(guī)、部門規(guī)章、行業(yè)標(biāo)準(zhǔn)、執(zhí)法案例和實(shí)踐指南也在快速動(dòng)態(tài)發(fā)展中，互聯(lián)網(wǎng)企業(yè)應(yīng)盡快建立法規(guī)跟蹤機(jī)制，密切關(guān)注立法和執(zhí)法動(dòng)態(tài)，將合規(guī)要求內(nèi)化到企業(yè)日常經(jīng)營(yíng)活動(dòng)中。

　　注釋:

　　[1]https://finance.sina.com.cn/tech/2022-03-10/doc-imcwipih7615828.shtml.

　　[2]https://finance.sina.com.cn/stock/usstock/c/2022-02-16/doc-ikyakumy6164879.shtml.

　　[3]http://m.ccidnet.com/pcarticle/10247816.