IAPP肖恩 | COOKIE到底是不是个人信息
隐私专家国际协会上海分会 Shawn
文字整理/吴恩惠律师
https://v.qq.com/txp/iframe/player.html?vid=b0527f5vz9s&width=500&height=375&auto=0
谢谢,我先自我介绍一下。江湖艺名,肖恩老师,IAPP上海分会的联席主席。 IAPP是什么?它是隐私专家国际协会的英文缩写。IAPP是一个全球协会,它是全球最大的关于个人信息保护以及隐私合规的专业社区,IAPP目前在中国内地已经有三个地方分会,分别是上海,北京,以及最新加入的深圳。今天看到有这么多一起做数字合规的同事,我在考虑是不是以后在杭州也应当成立一个分会,这样杭州的朋友就不用再辛苦的跑到上海、北京或深圳来参加IAPP的活动。
今天我要讲的题目是,COOKIE到底是不是个人信息?为什么要选这个课题呢,第一,刚好与史老师演讲中提到的一个观点有关,网络法的问题可能都是一个跨领域的问题,包括法律,科技,还有设计。可以先告诉大家,这三个领域的要素,接下来的15分钟都会有谈到。第二,垦丁麻策律师跟我说今天要讲的东西必须要短小,要精悍,所以我选了一个非常微观的东西切入,最后,为什么选择讲COOKIE这个技术?是因为最近听到一个律师和工程师的互相吐槽,工程师抱怨律师的要求不合理,连COOKIE都不能用,我还怎么开发系统?律师呢?则抱怨工程师不配合网络法合规要求。所以这里面产生了一个思维上的冲突,搞技术的和搞合规的在面对同样一个问题的时候,他们的思维往往不一样,而合适的沟通其实恰恰可以完美解决这个似乎不可能的任务。
首先,我会带大家来回顾一下或者认识一下COOKIE,然后谈谈它对隐私意味着什么,最后分享一下怎么样收集COOKIE可以做得更好,让我们的消费者用户更加愉悦。
我想给大家先来科普一下历史,十多年前的2000年,当时我们上网经常访问的网站都是什么样子的?通常都是静态的新闻和信息,是非交互式的,所有用户看到的东西都是一样的,对不对?那个时候上网还是用电话线拨号,还没有宽带,非常怀念那个简单的时代。当时肖恩老师,就是走在装逼前沿的,人家爱拿着报纸看新闻,而我拿起笔记本电脑看搜狐。
时间推移到2005年,那个时候突然开始有了邮箱,每个人能够拥有自己的邮箱,是非常时尚的事情,要靓号更是需要抢注,这个时候互联网多用户应用的概念就出来。而此时却伴随出现了一个难题,我们上网用的HTTP协议,它是无状态的协议,服务器是没法分辨清楚,自己现在处理的是史老师还是肖恩老师的邮箱。一秒钟之间,服务器要处理成百上千条请求,而请求可能来自中国不同的城市,来自不同的用户,它怎么样识别呢?这个时候聪明的工程师引入一个叫做“会话”的概念,英文叫做“Session”。Session的作用类似一份账本,今天这个用户来访问我这个网站,我在账本里面添加一条:用户A,史老师,然后分配一个会话序列号,这个序号,会永远包含在你和网站来来回回的通信当中。如此,傻傻的系统才能够去识别到底是跟史老师还是和肖恩老师在通信。
时间又慢慢的往后推,大家都觉得每次登录很麻烦,移动的手机端也开始出现了,大家都在追求一种叫做永久登录的东西,打一个勾,下次自动登录,再也不需要重复输入用户名密码了。伴随着这样一个需求,后面的技术就出来了,把某一部分账本上的数据记录在你电脑上,把你的用户名和哈希过的密码放在你的电脑上,你每次登陆的时候,他只要比对一下用户电脑里以及系统里的记录,就能知道这是我已经认证过的用户了,我认识他,于是达到了自动登录的功能。但众所周知,方便的同时又带来了一个安全问题,如果黑客能够把电脑上的COOKIE想办法拿下来,放在他自己的电脑上,这个时候系统一样会把你认为是一个验证过的用户让你成功登录,这是2010年。
开完这个会再过几个礼拜,大家都要争先恐后的去剁手,对不对?你知道背后有多少系统在同一个时间需要同时服务用户,这个时候COOKIE又有一个新的任务,我们称为负载均衡,前面有几千万用户的请求,我后面也有几千万的服务器在背后同时为你服务。
COOKIE是互联网应用的一块基石,可能是几十块基石里面的一块,但它一定是一块非常重要的。那么COOKIE对隐私来说,它意味着什么呢?
刚才回顾了历史上COOKIE的好几种应用,有的是说纯粹就是为了通信,有的是为了增加体验,不用再重新登录,还有的是为了增加性能,在高峰的时间支持上千万的用户。现在COOKIE,还对隐私产生了影响,因为COOKIE可以传递个人的数据。我举个例子,COOKIE里面可能会记录你登录淘宝之前是从哪一个页面过来的,百度?360? 还是从微博?就算你是从淘宝直接进去的,你之前是从哪一个营销活动进去的。
它也可以记录你是从哪一个页面关闭淘宝的。为什么要记录这些信息,因为对于商家来说这很重要,你点击过哪一个产品,你最喜欢哪一个产品,你从双11的预热花了十天去了解这个产品,你的其他上网行为,商家都很想知道,这就是用户画像。这边插一句,有一个术语叫做第三方COOKIE,在苹果手机、安卓手机里面会有这样一个设计,是否允许第三方收集你的用户信息。意味着你是不是允许一些网站上的一些广告的插件,去收集你在上网时候留下的行为,让他们来了解你是一个什么样的客户。是汽车爱好者还是一个数码爱好者?然后把最相关的广告传递给你。
COOKIE还可以进行跨设备识别,现在大家人手一台iPhone,iPad,还有笔记本、台式机,系统可以跨设备的认识你。又或者跨渠道识别你,今天你是在天猫平台上购物,明天你从天猫上拿到消费券,到实体店购物,是同一个消费者。系统可以从天上到地下,从你的设备、你的消费渠道来识别你,所以COOKIE有很大部分应用都是跟个人信息有关。
举一个例子,大家现在可以看到Apple的这个官方主页里面有了一个第三方插件,这个插件是什么用途呢?由于现场显示屏不是高清模式,看不清楚,我来帮大家看一下,这里头有ip地址、搜寻的记录、地理位置的信息、设备信息等等各式各样的个人信息。
网络跟踪,除了基于COOKIE的,还有很多不同的技术,今天就不再多介绍。
我们除了通过隐私政策,怎么样还能够让客户更愉悦的去接受我们收集个人信息呢?这个时候就涉及到交互设计了。
这边给了一个例子,当你访问一个网站的时候,系统正准备要收集你COOKIE,这个时候,用户看到一个清晰的提示框。它会告诉你为什么我们要收集COOKIE,作用是什么,你可以直接点击“确定”接受,也可以点击“了解更多”来进行深入了解?如果点击了更多的信息,就进入到下一个页面,其中的描述会对COOKIE做一些分类,告诉你基本功能类的COOKIE不能被禁用,否则你就不能正常访问网站了,还有一些是性能增强类,或者是第三方广告类,这两部分你都可以选择禁用,完了再点确定,这个时候网站就记录了你对COOKIE使用的一个具体意思表示,非常经典的例子。
非常感谢大家,时间有限今天就分享这些,谢谢!
---------------------
垦丁网络法携手Acelaw法培学院,
将在杭州举办全国第二届网络法实务研修班!
加本文末“小董先生”微信,并发送关键词“网络法实务班预报名”预报名吧
---------------------
网络法实务圈将陆续发布20位嘉宾演讲实录,敬请关注!
往期回顾:
05:新达达&京东到家王雯雯 | 传统商业模式在互联网环境下的机遇与挑战
08:联合信任时间戳陈二虎 ⎮ 网络时代下的电子取证与固化实务