朱芸阳:定向广告中个人信息的法律保护研究——兼评 “ Cookie 隐私第一案”两审判决(一)
摘 要: 数据收集和再识别技术的应用,使得网络用户在线行为形成的Cookie 信
息应当认定属于个人信息的范畴。网络服务提供者依照法律规定和行业惯例,收集和利用个人信息进行个性化推荐服务,通常不构成侵害隐私权。判断在定向广告投放中不当收集和利用个人信息是否构成隐私侵权,仍然应当依照侵权责任的构成要件,判断是否存在主观过错和损害事实。由于我国现有法律体系下的隐私权是一种消极性的、防御性的权利,且定向广告具有定向技术的复杂性,网络服务提供者和用户间存在信息不对称,因此难以符合主观过错、损害事实的构成要件。应当通过立法保障用户对个人信息的事先自决控制。
关键词: 定向广告; 隐私侵权; 个人隐私; 个人信息
一、问题的提出: 个性化推荐服务带来的隐私忧患
在大数据时代之下,网络服务提供者成为互联网中最为重要的信息收集者和利用者。不仅在网络交易中会记录个人消费信息,以及姓名、地址等个人信息,甚至网络用户不经意间地鼠标滑动,都会留下敲击记录 ① 。这些浏览记录不仅体现出用户的爱好偏向、性格特征,甚至可能会涉及个人隐私,因此,网络活动中的隐私权保护问题面临着极大挑战,近期被称为 “Cookie 隐私第一案”而引起热议的 “北京百度网讯科技公司(以下简称“百度”) 与朱烨隐私权纠纷案”正是反映了网络用户的隐私担忧。据原告朱烨诉称,2013 年她在家中和单位上网浏览相关网站过程中,发现利用 “百度搜索引擎”搜索关键词 “减肥 ” 、“人工流产 ” 、“隆胸”后,会在特定网站上出现与关键词相关的广告。原告认为被告百度未经其知情和选择,利用网络技术记录和跟踪朱烨所搜索的关键词,将其兴趣爱好、生活学习工作特点等显露在相关网站上,并利用记录的关键词,对其浏览的网页进行广告投放,侵害了其隐私权,使其感到恐惧,精神高度紧张,影响了正常的工作和生活。因此,原告朱烨向南京市鼓楼区人民法院起诉百度,请求判令立即停止侵害,并赔偿精神损害抚慰金。就被告的个性化推荐是否构成侵犯原告的隐私权,南京市中级人民法院于2015 年5 月6 日对此案作出与一审判决截然相反的终审判决,认定不构成侵犯原告的隐私权。判决结果的急剧反转,反映出司法实践中对于个性化推荐服务的性质界定存在巨大争议。
无独有偶,在美国2001 年 “诉双击隐私诉讼案”(In re DoubleClick Inc.Privacy Litig.) ① 开启Cookie 隐私诉讼先例,至2014 年历时三年方才尘埃落定的 “诉谷歌隐私政策案”(In reGoogle,Inc.Privacy Policy Litigation.) ② ,用户针对网络服务提供者收集信息的隐私侵权之诉从未间断。个性化推荐服务中定向技术具有复杂性,网络服务提供者和用户间存在严重的信息不对称,这使得如何规制网络服务提供者收集和利用Cookie 信息,一直是各国关注的隐私权保护重点问题。2009 年修订的欧盟 《电子隐私指令》(E- PrivacyDirective,2009/136/EU) 主要对利用Cookie 技术及类似技术收集用户信息的行为做出明确规范,甚至被直接称为 “欧盟Cookie 法” 。伴随着大数据收集和处理技术的日新月异,数据 “取之于民,用之于民”的定向广告一直备受质疑,网络服务提供者收集和利用用户相关行为信息,从而提供个性化推荐服务,是否会侵害隐私权呢? 本文将对Cookie 信息的法律性质进行认定,对个性化推荐服务是否会构成侵权进行定性分析,评析 “Cookie 隐私第一案”中两审判决是否恰当,从而为我国个人信息保护立法带来启示。
二、个性化推荐服务行为的性质界定
“Cookie 隐私第一案”中的个性化推荐服务,即 2014 年自律性行业标准文件 《中国互联网定向广告用户信息保护行业框架标准》(以下简称 “定向广告标准”) 中的 “定向广告” ,是指“通过收集一段时间内特定计算机或移动设备在互联网上的相关行为信息,例如浏览网页、使用在线服务或应用等,预测用户的偏好或兴趣,再基于此种预测,通过互联网对特定计算机或移动设备投放广告的行为。 ”因为定向广告投放所依据的是用户的在线行为信息,并且有别于 “不同客户、同种广告”的传统广告模式,是通过人群定向、主题词定向等方式实现精确定位,也常被称为 “在线行为广告”(online behavioral advertising) 或者精准营销。
网络服务提供者通过Cookie 技术所收集的用户在线行为信息,正是追踪用户行为、投放定向广告中最重要的基础数据。Cookie 技术能够实现服务器与客户终端浏览器之间的信息交互,为了辨别访客身份,当用户浏览某个网页时,服务器会在客户本地终端(包括电脑、智能手机等)的浏览器端相应地存储一个文本文件,该文件通常会以加密的方式,储存包括用户ID、密码、浏览网页、搜索关键词、停留时间等在内的状态信息。当浏览器再次向服务器发送请求时,会将前述 Cookie 发送给服务器,网站服务提供者会根据Cookie 信息建立关于访客的数字化个人档案资料,通过数据技术进行归档,例如收集、汇编和比对数据库中的个人数据的方式来对访客进行分析和归类。由于网络服务提供者可以通过Cookie 信息追踪并且报告用户的在线行为 ③ ,这些
Cookie 信息又能够反映用户的行为偏好和搜索记录,商家可以据此缩小范围,向其精准展示那些可以引起特定人群兴趣的产品 ④ ,因此,Cookie 信息被广泛应用于定向广告领域。
三、关键词等Cookie 信息的法律属性
1. 两审法院对于Cookie 信息性质认定的分歧
Cookie 信息是否属于个人隐私的范围,是两审法院的第一个重要分歧所在。一审法院认为,原告朱烨利用关键词搜索行为的活动轨迹属于个人隐私的范围,但对隐私权的客体表述存在矛盾之处,即属于个人隐私范围的 “关键词搜索行为留下的活动迹” ,即认为隐私权的客体到底是“私人活动” ,还是用户上网信息本身? 二审法院做出了与一审法院截然对立的判断,但二审判决的措辞同样令人疑惑,检索关键词记录既 “具有隐私属性” ,但又 “不再属于个人信息范畴” ,那么 , “个人信息”与 “个人隐私”究竟是何种关系? 一审二审法院对Cookie 信息的性质认定虽截然相反,但都做出了含糊不清的表述。笔者认为,两审法院的观点论证都存在明显不足,一审法院不适当地将个人隐私的概念泛化,而二审法院没有对Cookie 信息是否属于个人隐私做出判断,仅讨论是否属于个人信息的范畴,在理论上混淆了两者的概念,未能厘清两者之间的关系。下文将对Cookie 信息是否属于个人信息和个人隐私的范围分别分析。
2. 关键词等Cookie 信息是个人隐私吗?
“隐私”一词从 “privacy”翻译而来 。 “隐私权”始于美国沃伦(Samuel Waren) 与布兰代斯(Louis Brandeis) 发表的 《论隐私权》一文 ① 。信息性隐私权是美国隐私权的重要分支,即“他人享有的决定如何、何时、在多大程度上披露其个人信息的权利”② 。我国1986 年 《民法通则》并未就隐私权作出规定。2009 年 《侵权责任法》第2 条第一次明确隐私权是与生命权、名誉权、肖像权等并列的一项具体人格权,作为独立的民事权益加以保护。通说认为,隐私权是指自然人享有的私人生活安宁与私人信息秘密依法受到保护,不被他人非法侵扰、知悉、搜集、利用和公开的一种人格权。
不同于美国将 “可识别个人身份的信息”(Personally Identifiable Information),又简称 “个人信息” ,作为限定美国联邦和各州制定法的隐私权保护界限,我国现有立法上并没有将个人信息和个人隐私作为同等概念。原因如下: 第一,隐私通常被认为 “是一种私密性的信息或私人活动,如个人身体状况、家庭状况、婚姻状况等,凡是个人不愿意公开披露且不涉及公共利益的部分都可以成为个人隐私”③ 。个人隐私不限于信息的形式存在,还可以个人空间、个人生活的方式体现。第二,当个人隐私以信息为载体时,个人信息的范畴也大于个人隐私。2012 年 《关于加强网络信息保护的决定》 ,作为我国第一部专门有关个人信息保护的立法,对两类个人信息予以保护,一是个人的隐私信息,强调该信息对于个人的秘密性,二是能够识别个人身份的信息,强调与特定个人的相关性和可识别性 ④ 。《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》(以下简称 “网络侵权适用规定”) 第12 条第1 款采用“个人隐私和其他个人信息”的表达方式,个人信息包括个人隐私 ⑤ 。我国现行法律只是对个人隐私和可识别个人身份的信息进行保护,因为受到 《关于加强网络信息保护的决定》的限制,这些个人信息也只有满足与特定自然人的相关性和可识别性的标准,才有保护的必要 ⑥ 。
隐私权旨在维护人性尊严及人格自由发展,只有与特定主体相关联的个人隐私受到侵犯才有给予司法救济的意义,因此,个人隐私兼具秘密性与身份识别性。个人隐私属于个人信息的范畴,但不是所有的个人信息都具有私密性。例如,未公开的个人信息,包括个人银行账户、个人病历资料等,既属于可识别个人身份的信息也属于个人隐私。个人不愿对外公开的私密信息,如个人的家庭住址、银行账户等,即使有些个人信息己经被政府或者商业机构收集,但并不意味着这些个人信息己经丧失其私密性 ① 。因社会交往的需要而公开程度较高的个人信息,例如,姓名、工作单位、门牌号码,对这些个人信息的使用和收集,应当视行为人对这些信息的取得方式、披露方式、披露范围、披露目的及披露后果等因素综合认定是否侵权,司法实践中通常不认为是侵权行为 ② ,但在严重侵扰私人生活时,会认为是侵犯隐私权 ③ 。因此,我国现有法律语境下,个人信息是特指可识别个人身份的信息,相比较个人隐私侧重于秘密性而言,个人信息的判断标准更加客观化,注重信息的身份可识别性。我国对个人信息和个人隐私都提供了法律保障,但两者保护力度有所不同。
个人作为社会成员,隐私权的保护必然有所界限,不能因无限放大个人私生活的边界,而使社会中的其他人无所适从。因而界定个人隐私的合理范畴,应当遵循 “合理期待”的原则,从主客观统一的角度来判断是否处于不愿为他人所知的秘密状态。主观上,是指个人已经表现出对其主张的隐私存在真实的、主观的期待; 客观上,是指该期待是社会愿意承认合理的 ④ 。从主观上讲,个人通常应当采取明示或暗示的举措,表现出对其主张的隐私存在期待,个人的主观意图通常只有体现在客观的行为、语言或事实中,才可能被外界所感知。从客观来说,即使个人对隐私有主观上的期待,但这种期待如果只是个人的主观愿望,不能被社会认可是合理的,也不应当受到法律保护。例如,社会客观上认为需要被公众所知(例如,具有价值的新闻报道),或者事实上已经为他人所知。概言之,作为隐私权的客体,应当是该主体以及他所处的社会普通人群通常都会期待具有私密性、不愿意被公开的隐私。随着Cookie 技术在全球范围的广泛使用,人们对合理期待的范围也随之而改变。在本案中,除非原告采取相应的举措,比如通过修改浏览器设置拒绝Cookie 追踪,否则很难推断出原告对保持秘密状态、不受Cookie 技术追踪,存在合理期待。一审判决将关键词Cookie 信息认定为个人隐私,是扩大了隐私权保护的范围,将个人隐私的概念泛化。
3. 关键词等Cookie 信息是个人信息吗?
二审法院援引工信部 《电信和互联网用户个人信息保护规定》(以下简称 《个人信息保护规定》),认为原告百度收集利用的Cookie 信息不属于个人信息范畴,理由有三: 第一,数据信息具有匿名化特征,第二,收集和推送信息的终端是浏览器而不是原告个人,第三 ,“事实上百度网讯公司在提供个性化推荐服务中没有且无必要将搜索关键词记录和朱烨的个人身份信息联系起来” 。笔者认为,二审法院的论证混淆了识别身份的 “必要性”和 “可能性”。“没有”且“无必要”不等同“能够”,界定个人信息的范围,不是考虑识别用户身份的 “必要性”,而是考虑识别身份的“可能性” ,根据 《个人信息保护规定》的规定,识别既包括直接识别也包括间接识别,虽然本案中关键词等Cookie 信息不能直接识别用户身份,但如果与其他信息结合能够识别原告身份,也应该认定属于个人信息的范畴。因此,判断Cookie 信息是否属于个人信息,关键在于基于现有的数据分析技术,是否存在通过Cookie 信息直接或者间接识别个人身份的可能。
第一,匿名化并不等于不可识别。在可获得的数据源越来越丰富、数据处理能力越来越强的背景下,已经匿名化的数据集存在重新恢复身份数据的可能性,能够实现个人身份识别 。《定向广告标准》也规定,单位应采取合理、必要的措施,实现用户关联信息的去身份化,信息发生转移时要求第三方书面承诺,不会尝试将行为样本信息恢复为身份关联信息。
第二,多元化的数据来源,数据收集和再识别技术的使用,使得去身份化的Cookie 信息也存在间接识别的高度可能性。单次在线行为形成的Cookie 信息难以识别个人身份,但是Cookie技术作为一项持续的识别技术,网络服务提供者通过对用户在线行为的长期跟踪,例如百度网盟拥有超过60 万家网盟成员网站,几乎能够全网覆盖地收集用户的海量Cookie 信息,用户的行为数据在相当长一段时间内积累到一定程度,足以建立起识别特定个人的数字化个人档案资料。并且,用户长期固定使用同一浏览器,指向特定个人存在高度可能。我国实践中腾讯、淘宝、百度等大型网盟,用以定向广告的大数据不局限于Cookie 信息,还包括用户的消费信息、网页搜集信息、社交网络信息。因此,Cookie 信息与上述各类信息相结合,更加具有高度识别性,足以指向特定用户。阿里妈妈 “2012 年开始通过技术和样本数据已经能够识别部分受众,实现基于Cookie 的投放”的言论足以佐证这一可能。同样在美国,谷歌、Facebook、亚马逊等企业持有的数以百万用户信息也是可以实现个体识别 ① 。
第三,各国都对Cookie 信息属于个人信息也在做出积极回应。最高人民法院 《全国民事审判工作会议纪要》(2015 年4 月征求意见稿) 第20 条将网络浏览日志和使用的搜索引擎关键词纳入网络公民个人信息的范围加以保护。且不论通过指令来严格保护Cookie 信息的欧盟,甚至倡导行业自律的美国,都认为Cookie 信息属于个人信息的范畴。2012 年12 月美国隐私执法机构,美国联邦贸易委员会(FTC) 发布命令要求九大信息服务提供商提供如何收集和使用消费者信息的报告时,附录中将 “一项持续的识别符,例如Cookie 用户编号或者处理器序列号”,与姓名、地址、邮件地址并列为个人信息 ② 。随后FTC 在2013 年依照 《儿童网络隐私保护法》授权颁布的 《儿童网络隐私保护规则》(Children's Online Privacy Protection Rule) 第312.2 条 “定义”第7 项列举可识别个人身份的信息,包括 “通过一段时间或者通过不同网站和在线服务,可以被用来识别个人的一种持续识别符。这种持续识别符包括但不限于,Cookie 用户编号,IP地址,处理器或者设备的序列号,唯一标识符。 ”
因此,鉴于Cookie 信息间接识别身份的高度可能性,以及各国规制Cookie 信息的一致选择,将Cookie 信息认定属于个人信息范畴更为妥当,二审法院的判断不当。
参考文献:
[1]154 F.Supp.2d 497 (S.D.N.Y.2001).
[2]58 F.Supp.3d 968 (N.D.Cal.Jul 21,2014).
[3]Joanna Penn ,“Behavioral Advertising: The Cryptic Hunter and Gatherer of the Internet”,64 Fed.Comm.L.J.599,601(2012).
[4]Andrea S.Fuelleman ,“Right of Publicity: Is Behavioral Marketing Violating the Right to Control Your Identity Online?”,10 J.Marshall Rev.Intell.Prop.L.811,813- 14(2011).
Samuel Waren &Louis Brandeis ,“The Right to Privacy” ,4 [1]Harv.L. REV.193 (1890).
[2]Alan F.Westin,Privacy and Freedom (1st edition),Atheneum (1967).p.7.
[3]王利明: 《论个人信息权的法律保护— — —以个人信息权与隐私权的界分为中心 》 ,《现代法学》2013 年第4 期。
[4]第1 条: 国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息。任何组织和个人不得窃取或者以其他非法方式获取公民个人电子信息,不得出售或者非法向他人提供公民个人电子信息。
[5]第12 条第1 款: 网络用户或者网络服务提供者利用网络公开自然人基因信息、病历资料、健康检查资料、犯罪记录、家庭住址、私人活动等个人隐私和其他个人信息,造成他人损害,被侵权人请求其承担侵权责任的,人民法院应予支持。
[6]杨临萍等: 《〈最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定〉的理解与适用》 ,《法律适用》2014 年第12 期。
[1]王利明: 《论个人信息权的法律保护— —以个人信息权与隐私权的界分为中心》,《现代法学》2013 年第4 期。
[2]冒凤军诉中国电信集团黄页信息有限公司南通分公司等隐私权纠纷案,江苏省南通市中级人民法院,(2011) 通中民终字第0952 号。最高人民法院中国应用法学研究所: 《人民法院案例选》(第4 辑),人民法院出版社2011 年版,第42 页。
[3]例如在被称为 “人肉搜索第一案”中,北京市第二中级法院终审判决,披露王菲姓名、工作单位、家庭住址等个人信息的张乐奕和北京凌云互动信息技术有限公司(大旗网),构成对王菲隐私权的侵害。(2009) 二中民终字第5603 号。
[4]Katz v.U.S. ,389 U.S.347 (1967);Hill v.Nat'l Collegiate Athletic Ass'n,7 Cal.4th 1,26 Cal. Rptr.2d 834,865 P.2d 633
(1994).