目录
一、 场景描述 1
二、 法律问题拆解 2
(一) cookie的技术原理 2
(二) cookie类型 2
(三) cookie收集信息的授权模式:明示与默示 3
(四) cookie期限 4
(五) cookie传输信息的“同源策略” 5
(六) Cookie的非正常获取与违法评价 6
三、 整体评价 7
一 、场景描述
cookie最早是网景公司的前雇员Lou Montulli在1993年3月的发明,是网站服务器在用户本地客户端留下的一个小文件或者数据包,cookie虽小作用却非常大,总体上有两个方面,一是进行状态保持,保留住用户前一次登陆的状态,用户再次登录网站时可以免去诸多操作(例如用户名、密码、语言、字体大小和其他浏览偏好);二是追踪用户行为轨迹,了解用户的使用习惯,根据这些数据与用户进行深入的互动,典型的应用就是目前千人千面的广告、信息定向推送。
由于cookie的工作机制不容易被用户察觉,但却可以收集大量的用户信息,被网络服务提供者广泛使用,因此在数据合规层面是一个非常值得关注的焦点问题。
上诉人北京百度网讯科技有限公司与被上诉人朱烨隐私权纠纷一案的民事判决书,顾俊与奇智软件(北京)有限公司、北京奇虎科技有限公司隐私权纠纷
二 、法律问题拆解
(一)cookie的技术原理
Cookie 在计算机中是网站服务器端发送给用户端并存储在浏览器目录中的文本文件,以浏览器为桥梁,当浏览器运行时,存储在 RAM 中发挥作用 (此种 Cookies 称作 Session Cookies),一旦用户从该网站或服务器退出,Cookie 可存储在用户本地的硬盘上 (此种 Cookies 称作 Persistent Cookies)。
Cookie 是在 HTTP 协议下,服务器可以维护和跟踪客户信息的一种方式,它通常包含有关用户的信息(例如上次访问时间)。通俗而言,就是指某些网站为了辨别用户身份、进行跟踪而存储在用户本地终端上的小数据,这些数据通常会经过加密处理,经过加密处理后的 Cookie 文件通常显示为一长串数字。
Web 服务器创建了 Cookie 后,只要在其有效期内,当用户访问同一个 Web服务器时,浏览器首先要检查本地的 Cookie,并将其原样发送给 Web 服务器。
(二)cookie类型
意大利隐私保护局2014年5月8日颁布过“有关cookie信息提供和获取使用许可的简化安排”,该安排从cookie的功能和目的角度对cookie进行分类,cookie被区分为技术性cookie和分析性cookie( technical cookies and profiling cookies)。
技术性cookie对这些对于网站的正常运行和体验较为重要。例如,这些cookie允许用户在网站的不同部分之间导航并使用某些功能。如果拒绝这些cookie,网站的某些部分可能无法正常运行。
分析性cookie(又叫功能性cookie)允许网站记住用户做出的选择(例如语言选择)和行为轨迹,使得网站能够个性化用户的后续使用体验。
另外还有一种类型是:“第三方cookie”,这些Cookie来自网站所有者之外的第三方,例如Google Analytics,可以帮助网站所有者衡量用户与网站内容的互动情况,当用户浏览各个网页时,Google Analytics(分析)向网站所有者提供 JavaScript 代码(库),用来记录与用户查看的网页相关的信息(例如浏览网页的网址、用户访问次数等)。
以上三种类型的cookie中,后两种尤其值得从法律层面给予关注,因为分析性cookie并非网站运行所必需,而是主要用于了解用户使用习惯和偏好,而第三方cookie则并非直接来自于网站,其收集到的信息用户更加难以察觉和控制。
(三)cookie收集信息的授权模式:明示与默示
业内目前使用cookie的授权方式,主要是通过协议、声明,有单独出具的,也有嵌入用户协议或隐私政策中的,前者为明示授权同意,后者为默示授权同意。
上诉人北京百度网讯科技有限公司与被上诉人朱烨隐私权纠纷一案(2014宁民终字第5028号中)中,南京中院认可了在匿名信息等非敏感信息的情况下,cookie收集政策可以嵌入隐私政策的做法,法院认为:“在《使用百度前必读》中,百度网讯公司已经明确说明cookie技术、使用cookie技术的可能性后果以及通过提供禁用按钮向用户提供选择退出机制,朱烨在百度网讯公司已经明确告知上述事项后,仍然使用百度搜索引擎服务,应视为对百度网讯公司采用默认“选择同意”方式的认可”。
法院进一步阐述:《信息安全技术公共及商用服务信息系统个人信息保护指南》(GB/Z28828-2012)5.2.3条规定:“处理个人信息前要征得个人信息主体的同意,包括默许同意或明示同意。收集个人一般信息时,可认为个人信息主体默许同意,如果个人信息主体明确反对,要停止收集或删除个人信息;收集个人敏感信息时,要得到个人信息主体的明示同意。”参考该国家标准化指导性技术文件精神,将个人信息区分为个人敏感信息和非个人敏感信息的一般个人信息而允许采用不同的知情同意模式,旨在保护个人人格尊严与促进技术创新之间寻求最大公约数。举重以明轻,百度网讯公司在对匿名信息进行收集、利用时采取明示告知和默示同意相结合的方式亦不违反国家对信息行业个人信息保护的公共政策导向,未侵犯网络用户的选择权和知情权。“
另一个较有代表性的案例是陈鱼与杭州阿里妈妈软件服务有限公司网络服务合同纠纷(2017浙8601民初3306号)案,杭州铁路运输法院认为:“根据《阿里妈妈服务协议》5.1个人信息条款的约定,用户在使用阿里妈妈提供的服务时,同意被告收集其cookie记录。同时被告阿里妈妈公司作为服务提供商,负有管理职责,需要根据cookie记录对原告等淘宝客进行流量监管、结算费用,原告等在内的用户点击确认《法律声明等隐私权政策》,同意被告收集其cookie记录,故被告收集cookie记录是在用户同意授权的情况下进行的,用户可以根据自己的偏好管理或删除cookie,也可以清除计算机上保存的所有cookie,所以被告阿里妈妈公司在本案中使用cookie有合理性,原告诉称被告搜集用户cookie记录侵犯隐私权,不能成立。”
(四)cookie期限
cookie 的有效期是指一个 cookie 数据可以在浏览器或者客户端保留的时间长度,这跟关闭浏览器没有关系,默认情况下 cookie 的生存时间是窗口存活时间,也就是关闭浏览器就会过时,可以人为的设置 cookie 的有效时间,超过这个时间,点就是某个时间值,那么cookie就失效了。
有些网站将Cookie的生存周存设置为“0”或负值,这样在关闭浏览器时,就马上清除Cookie,不会记录用户信息,更加安全。但有些网站则设置了十年、二十年甚至上百年的有效期,这样的处理方式使得cookie将永久与用户处于会话状态,始终记录用户信息,这样的做法似乎缺少必要的理由,尤其是考虑到cookie从技术原理上看并非较为安全的一项技术方案,非常容易受到各种方式的技术攻击和窃取(详见国家通信行业标准《YD∕T2918-2015超文本传输协议状态(Cookie)管理机制技术规范》附录A“安全考量”),故此cookie的有效期应该控制在相对合理的时间范围内。
对于cookie有效期相关的法律文件,国内仅见于国家通信行业标准《YD∕T2918-2015超文本传输协议状态(Cookie)管理机制技术规范》,其中第8.4节“过期日期”提及:“尽管服务器可以把cookie的过期日期设为遥远的未来,但实际上大多数用户代理都不会把cookie保留几十年,与其无偿地使用长过期期限,服务器应通过为cookie选择合理的、与其目的相一致的过期期限来保护用户隐私。例如,服务器可以合理地将典型的会话标志设置成两周后过期“。
(五)cookie传输信息的“同源策略”
1995年,同源政策由 Netscape 公司引入浏览器。目前,所有浏览器都实行这个政策, "同源策略"(same-origin policy)是浏览器安全的基石。
最初,它的含义是指,A网页设置的 Cookie,B网页不能打开,除非这两个网页"同源"。所谓"同源"指的是"三个相同":协议相同、域名相同、端口相同。
举例来说,http://www.example.com/dir/page.html这个网址,协议是http://,域名是www.example.com,端口是80(默认端口可以省略)。它的同源情况如下。
http://www.example.com/dir2/other.html:同源
http://example.com/dir/other.html:不同源(域名不同)
http://v2.www.example.com/dir/other.html:不同源(域名不同)
http://www.example.com:81/dir/other.html:不同源(端口不同)
同源政策的目的,是为了保证用户信息的安全,防止恶意的网站窃取数据。
设想这样一种情况:A网站是一家银行,用户登录以后,又去浏览其他网站。如果其他网站可以读取A网站的 Cookie,会发生什么?
很显然,如果 Cookie 包含隐私(比如存款总额),这些信息就会泄漏。更可怕的是,Cookie 往往用来保存用户的登录状态,如果用户没有退出登录,其他网站就可以冒充用户,为所欲为。因为浏览器同时还规定,提交表单不受同源政策的限制。由此可见,"同源政策"是必需的,否则 Cookie 可以共享,互联网就毫无安全可言了。
实践中,对“同源策略”的违反主要发生在关联公司之间、合作伙伴之间。
关联公司为了共享用户数据,尤其是出于一个大流量应用为了向兄弟应用引流的目的,关联公司之前有可能将cookie收集的用户信息共享;合作伙伴之间,为了监督一方的工作效果(例如广告主为了检测广告商推广的效果,可能要求广告商提供cookie数据)。
除此以外,还有单独的网络广告公司,专门通过全网部署cookie获得用户信息,2013年央视315晚会披露,宽带运营商和广告公司进行无缝合作,向宽带用户推送广告,网络广告运营商通过向第三方网站加入代码获取用户电脑COOKIE信息轻易获取大量用户的个人信息,其中力美广告、品友互动、易传媒,传漾等整个网络广告行业top公司全部被央视点名。
这些共享操作可能在用户协议或隐私政策中有披露,也有些根本没有。
但事实上,这种共享行为不属于法无明文规定即可为的范畴,一旦cookie中记录了用户的个人信息和个人隐私,都将严格受到法律保护,未经明确授权同意,不得收集、使用、不得向第三方披露,本质上cookie信息违反同源策略进行共享的行为就是未经授权披露或提供信息的行为。
(六)Cookie的非正常获取与违法评价
Cookie的非正常获取在法律上可以理解为剥夺了用户知情权和同意权的信息获取方式,实践中非正常获取主要通过技术完成,并成为数据黑灰产业的重要环节,刑法上“非法获取公民个人信息罪”和“非法获取计算机信息系统数据罪”都可以进行规制。
案例
2014年5月初,被告人翁秀豪发现淘宝店铺源码存在漏洞,利用该漏洞获取访问淘宝用户的cookie(淘宝用户登录时产生的一组认证信息,利用cookie可以执行对应帐号权限内的所有操作,无需帐号、密码),通过上述方法非法获取淘宝用户cookie达2600万余组,并将获取的cookie存放在虚拟队列中。被告人黄后荣利用被告人翁秀豪事先编写的网络爬虫程序读取虚拟队列中的cookie并获取淘宝用户的交易订单数据(内容包含用户昵称、姓名、商品价格、交易创建时间、收货人姓名、收货人电话、收货地址等)达1亿余条。法院认为,被告人违反国家规定,侵入计算机信息系统,获取该计算机信息系统中存储、处理、传输的数据,情节特别严重,其行为均已构成非法获取计算机信息系统数据罪。
堪称“史上最大规模数据窃取案”被浙江绍兴越城区警方侦破。警方查明,一伙犯罪分子利用非法窃取的30亿条用户数据,操控用户账号进行微博、微信、QQ、抖音等社交平台的加粉、刷量、加群、违规推广,非法获利,旗下一家公司一年营收就超过3000万元。
据警方透露,该犯罪团伙依托北京一家以新媒体营销为主业的上市公司,通过与全国十余省市多家运营商签订营销广告系统服务合同,非法从运营商流量池中获取用户数据,接连导致百度、腾讯、阿里、今日头条等全国96家互联网公司用户数据被窃取,几乎国内所有的大型互联网企业均被“雁过拔毛”。
将自主编写的恶意程序放在运营商内部的服务器上,当用户的流量经过运营商的服务器时,该程序就自动工作,从中清洗、采集出用户cookie、访问记录等关键数据,用户在网上的搜索记录、出行记录、开房记录、交易记录等信息,均被窃取用户信息的犯罪团伙掌握,再将所有数据导出,存放在了瑞智华胜境内外的多个服务器上。根据警方统计的数据显示,该犯罪团伙窃取的公民数据已超过30亿条。
三 、整体评价
该场景下,目前业内普遍存在的cookie使用合规问题以及规则空白在于:
1、cookie的授权方式较为隐蔽,通常较少单独提供信息采集协议或者声明,而是嵌入到隐私政策或者用户协议中,这一点在目前的司法判例中也得到一定程度认可;
2、cookie的期限没有明确规范,不少分析性cookie设置了超长有效期,可以始终处于收集用户信息的状态,涉嫌违反必要性原则;
3、“同源策略”并没有严格执行。同源策略目前仍属于技术领域的一项类似“行业惯例”、“职业操守”性质的自律性规则,目前尚未见法律、国家标准或司法判例给予确认,事实上,cookie信息的随意共享是用户个人信息泄露的重要途径,应当对同源策略给予法律确认;
4、通过cookie非授权获取个人信息或隐私,显然构成违法行为,如果行为严重可能构成犯罪,这一点是法律已经确定的。
cookie收集与使用信息场景
作者:张延来来源:网络法实务圈

目录 一、 场景描述 1 二、 法律问题拆解 2 (一) cookie的技术原理 2 (二) cookie类型 2 (三) cookie收集信息的授权模式:明示与默示 3 (四) cookie期限 4