裴丽佳香港大学法律学院硕士研究生
纪福和
四川自由贸易试验区人民法院四级法官助理
要目
一、问题的提出二、cookie类型界分与性质争议的比较考察三、cookie技术应用背景下“同意规则”内涵的比较考察四、本土省思:cookie法律保护“双重构造”的提出
从信息技术层面看,以来源、持续性、使用功能等为标准,可将cookie进行二次类型界分。在认定cookie是否构成个人信息时,“识别说”的观点被较普遍地采纳。cookie作为处理数据、信息、隐私等问题的核心程序,欧盟相关文件的演变体现了着“同意规则”从“最低标准”到“重点解释”“特别法规”的进阶完善。反观我国本土实践,应充分借鉴域外有益实践,完善cookie法律保护“双重构造”,即横向上以民法典、个人信息保护法、网络安全法、数据安全法等规范为主体的多维保护体系;纵向上以“分类分级”保护强度为特点的规则集合,从而实现cookie自由流通、有效利用与依法规范、安全保障的有机动态平衡。
2015年中国cookie隐私权纠纷第一案后,随着个人信息保护法等法律规范的相继出台,网络消费者对个人隐私数据的关注持续提升,诸如“废除cookie确认弹窗”等呼声不断扩大。而尽管社会热度尤其是抵制cookie适用的观点日益增加,但实践效果却不尽然,如作为全球数字广告业的重要一极的谷歌公司,曾宣布彻底淘汰适用第三方cookie,以启用全新的FLoC技术,但不久前透露原有替代计划将推迟至2024年。究其原因,固然包括技术迭代之客观基础,平台竞争之利益权衡,但cookie相关规范命题未得到充分法理支撑的理论缺陷亦不容忽视。另一方面,学界对个人网络活动踪迹信息的保护研究似乎未能实现“步调一致”。首先,在研究领域方面,通常仅围绕“第一案”显著要素开展关联研究,如分析研究定向广告投放中收集、利用个人信息是否构成隐私侵权的问题,又如探索网络广告发布商对用户个人cookie信息的商业化使用限度;但未将研究视野扩展至cookie与既有个人信息、隐私保护的应然关系等基础命题上。其次,在研究内容方面,学界分析了cookie使用的规制原则,如明确合法性、必要性、利益衡平三项原则,又如强调网络平台的“通知—删除”“Do Not Track”义务;但对获取数据主体同意的法律性质、“同意规则”的认定标准等实务问题关注不足。最后,在研究方法方面,能够对典型个案进行微观解剖,如聚焦“第一案”讨论cookie文件的属性问题等;但对域外实践缺乏对比分析,尤其是各国对cookie法律性质、应用规则等新近动态关注不足,同时,未结合民法典人格权编、个人信息保护法、网络安全法等展开延伸讨论。基于此,本文围绕个人网络活动追踪中“同意规则”的规范诠释与应用争议主题,兼顾域外考察与实证研究视角,尝试对相关问题作初步探讨。从信息技术层面看,cookie是指服务器中维护客户端计算机信息的一种方式,其工作原理包括“发送请求—产生报头—读取Set—cookie—产生报头—产生应答”等环节。通俗地讲,使用者初次访问网站或者特定网络服务时,服务器会传输cookie储存至使用者终端,之后再次访问同一网站或特定服务时,浏览器便将cookie回传服务器,网站读取后可掌握既往操作细节。cookie外在表现为字符串,且须通过特定程序方可识别,应用场景包括定制特殊空间、统计访问流量、维护客户信息等。具体可分为第一方cookie、第三方cookie两类。前者指当前访问网站直接植入的cookie,后者指并非当前网站提供,而是由第三方(通常是广告商或其他统计系统)所发布的cookie,其显著特点是可以用作跨网站监测。而无论是否是同一网站,其具体功能包括前端日志打点、广告营销扩展等。相关研究表明,在目前最受欢迎的100个网站中,有85个网站使用第三方cookie,其中更有21个网站的第三方cookie数量超过100个。两者的区分标准是cookie中的域名是否与所访问的网站一致。具体可分为即时性cookie、持续性cookie两类。前者也可称为会话cookie,通常储存于内存,与缓存相比,占用空间更少并可自动过期。后者则不会随着浏览器关闭而消失,除非使用者自行删除或设定期限。具体可分为必要cookie、效能cookie、功能cookie、营销cookie四类。其中,必要cookie也可称为基本cookie,如记录网购情况的记录类cookie、防止个人资料泄露的安全类cookie。以欧盟为例,判断是否属于必要cookie(必要程度须达到“严格必要”)在个案处理过程中尚有争议。效能cookie通常被称为统计cookie,主要用于统计使用者最常浏览的网页地址及服务,可以是第一方cook-ie,也可能由外部第三方植入。功能cookie也被称为偏好cookie,可用作网站识别使用者过往的选择,如记录记住首选项(包括过往选择的语言或地区等),可针对性提供天气预报或交通讯息等。营销cookie也可称为定位cookie,通过追踪使用者的网络活动,用于广告信息统计,多为第三方cookie。1.欧盟通用数据保护条例(GDPR):足以识别自然人的标识符
通览GDPR全文,其正文均未直接提及cookie相关内容,仅在前言部分第30条前半部分规定“可以通过自然人自有设备、应用程序、工具和通讯协议(互联网协议地址、cookie标识或其他标识符)与自然人本人产生连结关系”。而关于此类标识符与个人信息的关系,第30条后半部分规定“前述标识符可被用于创建个人档案并产生特殊识别性,尤其是当该信息结合了唯一识别内容服务器提供的其他信息”。由此可知,GDPR将cookie定位于标识符(identifiers),而只有在具有足以识别特定自然人的属性时,cookie方可认定为个人信息。当然,此处所指的识别仅指识别“个人”而非识别“身份”,即不需要直接对应自然人的社会身份。其中,需要注意的是,对于本身不具有直接识别性的标识符来说,在结合唯一识别内容或其他资料足以识别自然人情况下,该结合资料也可称为个人信息(或“泛在的个人信息”或“间接识别”)。2.美国相关数据保护法案:可连接到特定自然人或合理关联的个人信息
事实上,在隐私权得到的美国联邦以及各州重视之前,美国并未有专门法案明文规范cookie的获取与使用。通常的做法是,有关机构主张只要确保消费者有选择拒绝提供的权利,并不会禁止在消费者未感知到的情况下通过cookie获取关键资料(而事实上,大部分消费者并不了解cookie的潜在商业价值)。2018年6月,加州消费者隐私法(CCPA)正式通过,被公认是美国第一部全方位的个人信息保护法,该法案扩展了个人信息的定义,与加州民法典及其他隐私保护立法不同,CCPA将信息主体扩大到“个人和家庭”。按其定义,个人信息是指“能够直接或间接地识别、关系到、描述、能够相关联或可合理地连接到特定消费者或家庭的信息”,并通过列举方式明确规定“互联网或其他电子网络的活动信息(包括但不限于设备标志、IP地址、cookie、像素标签等)”为个人信息,明文规定cookie的个人信息性质。2021年3月2日,弗吉尼亚州州长签署批准了消费者数据保护法(VCDPA),该法案于2023年1月1日起生效。其规定个人信息指“与已识别或可识别的自然人相关联或合理关联的任何信息”,并区分了个人信息和敏感信息。关于cookie的程序规范,法案明确对涉及定向广告等可能提升消费者风险的处理需开展数据保护评估。3.日本个人信息保护法:能够识别特定个人的线上识别标志
日本个人信息保护法第2条规定,个人信息是指与自然人有关的信息,如出生日期等可识别特定个人的记录。2015年修法新增“个人识别符号”,具体包括两类:一是指纹、脸部特征等生物识别资料;二是护照、驾照号码等具有独特性的编号资料。2021年5月,日本通过个人信息保护法修正案,其中关于个人信息的定义,修正案首次将官方规定与民间做法统一起来,明确个人信息定义为“包括容易与其他信息相互核对,从而能够识别特定个人的信息(以容易识别可能性判断)”关于cookie与个人信息的关系问题,通常分为“单纯存在”“结合存在”两种情况讨论。就前者而言,因通常无法识别特定自然人信息,故通常无法个人信息;但在后者情况下,如网站将用户cookie与账号等信息结合起来便可能成为受法律保护的个人信息。综上,欧盟GDPR与日本实务界均认为,cookie属于“线上识别标志”,但不必然属于个人信息,而只有达到足以识别特定自然人的程度方可视为个人信息。同时,GDPR也认为,若线上识别标志可以结合其他资料识别当事人身份,此结合后的材料也可视为个人信息。相比之下,尽管美国相关数据法案如CCPA似乎直接将cookie认定为个人信息,但从其定义看,特定cookie构成个人信息的前提仍然是“可合理地连接到特定消费者或家庭”,因此,三种定义方式存在殊途同归的微妙关系。三、cookie技术应用背景下“同意规则”内涵的比较考察1995年《数据保护指令》:奠定处理个人数据的基本原则为全面建立覆盖整个欧洲的数据保护体系,1980年欧洲经济合作与发展组织发起关于保护个人隐私与跨境流通的建议,并将“未经数据主体同意,不得披露同意数据”列为基本原则。《数据保护指令》第2条规定,“同意”是指数据主体通过专门或者通知的指示,表示同意个人数据被处理的意愿,从而为欧盟成员国立法保护个人数据设立了最低标准。2002年《电子隐私指令》(ePD):从“提供充足讯息”向“用户已表示同意”的转变欧盟于2002年通过《电子隐私指令》,该指令第5条第3项实际明确了使用cookie的法律框架,具体规定了两项实质性义务与例外情形。义务之一为提供准确信息,尤其是关于处理信息的目的;义务之二为“拒绝”(refuse)提供cookie的权利,同时也隐含用户必须认同拒绝进一步访问网站或者使用服务的后果。从整体看,只有在向网络用户提供清晰明确讯息的情况下,《电子隐私指令》才允许对其个人资料(包括cookie)进行搜集分析;同时,提供信息、拒绝权或请求权的方式也应当尽可能方便用户。2009年,欧盟对该指令作进一步完善,将前述“提供充足信息”要求修改为“用户已表示同意”条件,突出其以“隐私控制理论”为理论基础的鲜明特点。而关于“同意”标准的适用标准,一般认为应当遵循1995年《数据保护指令》针对同意所做的相关规定。2006年《电子通信资料留存指令》:无法限制政府权力滥用的实例为有效对抗恐怖主义,欧盟希望突破个人资料保护的外利用目的原则,将境内电子通信平台资料留存更长时间,以此作为后续资料分析的重要来源,因此在2006年通过《电子通信资料留存指令》(Data Retention Directive,DRD)。然而,由于该指令所强调的政府留存个人信息行为与欧盟向来强调个人资料保护的惯例具有明显冲突,因而在DigitalRightsIreland案中,欧盟法院以DRD允许国家机构留存个人信息材料,但缺乏充足有效的安全防范机制为由,判决该指令无效。2018年欧盟GDPR:“同意规则”的权威确认与操作细化GDPR第6条明确了处理个人数据(含cookie)的前提条件,尤其是当数据主体是儿童时,要求数据主体已经同意出于一个或多个特定目的处理其个人数据。而在当事人同意的认定标准与行为规范方面,GDPR作了进一步细化,当事人的“同意”是指数据主体通过声明或者明确的、肯定的行动表示同意处理与其相关的个人数据的任何自由、具体、知情和明确的意愿表示,单纯沉默、预先勾选以及不作为都不构成有效力的“同意”。同时,关于同意条件的证明与撤回等问题,GDPR明确,如果数据主体的同意是在涉及其他事项的书面声明中作出的,则该同意请求应当清晰地与其他事项区分开来,数据主体可以随时撤回同意,但撤回同意不得影响此前基于同意处理数据的合法性,而撤回同意的程序设置应当与给予同意同样便捷。另外,取得数据主体同意的证明责任由数据控制者承担。以上规定进一步明确了“同意”的有效标准,并配套对其表现形式、证明责任、撤回同意等问题做了同步规定。从实施效果看,相关机构研究数据表明在GDPR生效后,欧盟本地新闻网站中第三方cookie的使用量降低了22%。同时需要注意的是,ePD关于“同意”内容与程序要件的规定与GDPR不同,后者的严苛程度明显更高。关于两者的选择适用问题,否定论者认为,GDPR第95条已明确,该条例既不应对自然人或法人施加在欧盟网络上处理电子通信服务相关的额外义务,不应在ePD规定的特定义务基础之上附加额外义务,因此不应适用GDPR关于同意程序的严格规定。但从系统解释角度看,ePD第17条规定,本指令所规定的“同意”与1995年《数据保护指令》中特别规定的当事人同意具有相同内涵,即数据主体可通过任何方式基于同意,使其可以自由地以其意志表达具体意思。同时,GDPR第94条规定,对于已废止指令(《数据保护指令》)的引用应解释为对本条例的引用。GDPR对于同意的要求毋宁说是“附加责任”,更应当被认为是对数据主体权益的进阶完善。因此,ePD关于同意的条件与程序仍应符合GDPR的要求。2020年《EDPB同意指南》:cookie墙与“滚动同意”问题的进阶解释2020年5月4日,欧洲数据保护委员会(EDPB)通过《EDPB同意指南》,对当事人同意规则中的两个问题作了特别说明。一是关于通过cookie墙获得的当事人同意问题。文件认为,网络运营商将获取数据主体信息作为继续使用网络服务的前提条件违背了“选择自由”的基本原则,因此不能构成真正的同意。二是关于数据主体滚动网页是否属于“有效同意”的问题。文件明确,同意的外观形式应当是明确的,而因无法与其他行为严格区分,单纯、无规律地滚动或浏览网页不能被认定为已取得数据主体的同意。2021年《电子隐私条例》(ePR)草案:特别法规定中“同意规则”的体系完善与技术进步2021年2月10日,历时四年多,欧盟成员国最终就最新修订《电子隐私条例》达成一致。与ePD相比,ePR将管理范围扩展到了终端用户的设备信息(如cookie),而其条例属性确保其自动执行效力,在整个欧盟都具有法律拘束力,以扩大当前电子隐私指令的范围,并调整欧盟成员国现有的各种在线隐私规则,从而与作为一般法律的GDPR共同构成欧盟数据保护立法框架的重要部分。在当事人同意规则部分,ePR将GDPR中的原则性规定具体转化为电子通信领域的通用规则,一是再次强调了取得数据主体同意应作为收集数据的前提条件及若干例外情形,具体包括为:(1)提供电子通信所必需的;(2)对于提供数据主体明确要求;(3)唯一目的是进行受众测量,且收集数据对于实现该目的来说是必要的;(4)对于软件更新而言是必要的;(5)拨打紧急电话时确定具体位置时必需;(6)除上述条件之外,应重点考虑使用处理及存储功能的目的、应用场景、相关信息的性质、后续处理活动及可能对数据主体造成的影响、是否采取加密或匿名化等保障措施等。二是明确禁止cookie墙制度。ePR规定,对于以接受cookie作为访问服务的条件实质上剥夺了数据主体的选择权,因此不构成有效的同意。三是提供了批量同意cookie收集申请的技术路径。为避免终端用户可能收到巨大体量的申请,ePR支持通过软件设置,同意网络服务者在一项或多项服务中收集处理cookie,即“白名单”制度,鼓励数据主体在时间操作中添加相关设置,并可随时修改设置与撤回同意。四是探索了认定有效同意的“三阶层”标准。首先,ePR认同GDPR中关于“同意”的定义与相关条件;其次,在具有技术可能性条件下,允许数据主体通过应用程序或相当手段表示同意;最后,当事人可随时撤回同意,尤其是在处理行为属于持续性行为情况下,应当每隔六个月提醒其可即时撤回同意。但应注意,它ePR仅适用于通过电子通信传输的包含个人数据的处理行为,而不适用于任何类型数据。(见表1)表1 欧盟规范性文件中“同意规则”演变情况表
四、本土省思:cookie法律保护“双重构造”的提出横向上:以民法典、个人信息保护法、网络安全法、数据安全法等规范为主体的多维保护体系 通过梳理2019年以来的裁判文书发现,司法实践中涉cookie民事纠纷案件存在一定规律。第一,从地域分布看,广东、北京两省市为主要的案件来源,案件合计占比达到65.7%,与当地经济发展速度较快不无关系。(见图1)第二,从案由类型看,知识产权与竞争纠纷占比超过八成,达到88.3%;合同、准合同纠纷次之,占比为7.6%;而与“个人利益最密切”的人格权纠纷案件仅有1起。(见图2)第三,从案件标的额情况看,案件标的额主要集中在10万元以下,标的额较小。第四,从引用法律规范看,由于案由主要为知识产权纠纷,因此法律条文主要涉及著作权法、《著作权实施条例》及相关司法解释的规定。(见图4)。从个案上看,排除仅用作公证程序中固定特定网页证据的前置清理程序内容外,司法实践中cookie的应用场景较为固定,如作为网络平台账号类信息的技术原理说明,个案中,被告辩称会员账号技术原理是把会员cookie保存下来,每次向平台发申请的时候就一并提交会员cookie;又如作为声明不涉及收集个人信息的提示举例,在个案中,被告主张“用户隐私保护”中载明“……我们不会收集您的浏览历史、cookie以及其他涉及您个人的数据。收集到的数据,我们仅以汇总分析的目的使用,以便改进我们的产品”等,以上运用场景充分表明cookie定制特殊空间、统计访问流量、维护客户信息等方面的重要作用。图2 案件案由分布情况图
图4 法律规范引用情况图
而纵览当前法律规范演变进程,法院在认定涉cookie重要事实与综合运用法律方面仍有议论余热。如有评论者认为,个人信息的范围大于隐私,个人信息包括了公开周知的信息,不只有隐私,但无论是个人信息还是隐私,都需具备“可识别性”。而照此理解,cookie隐私权纠纷“第一案”中二审法院在认定“搜索关键词”构成隐私的情况下,否认其属于个人信息,存在逻辑冲突。又如评论者认为,二审法院对于cookie不属于个人信息的判断本身就不具有说服力,主要理由为法院片面理解了工信部《电信和互联网用户个人信息保护规定》中关于“可识别性”的规定,仅将其界定为“直接识别”。上述争议的核心分歧在于对cookie技术与现有关于个人信息、隐私等相关法律保护体系应然关系的理解不同,而在民法典、个人信息保护法、网络安全法、数据安全法等相关法规不断健全的情况下,有必要对相关法律保护体系作出明晰梳理。第一,关于个人信息与隐私的关系问题。从制度规定看,两者关系经历了从“融合”到“分立”的变迁。如2012年全国人大常委会《关于加强网络信息保护的决定》第1条规定“国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息”,又如2013年《关于依法惩处侵害公民个人信息犯罪活动的通知》第2条规定“公民个人信息包括公民的姓名……能够识别公民个人身份或者涉及公民个人隐私的信息、数据资料”。直到2016年网络安全法规定“依法负有网络安全监督管理职责的部门及其工作人员,必须对在履行职责中知悉的个人信息、隐私和商业秘密严格保密……”,对两者作了严格区分。2021年民法典设立专章对公民隐私权和个人保护作出规定,明确隐私的外延还包含私密空间、私密活动等,并对属于隐私的个人信息的法律保护原则作出规定。从理论分析看,个人信息偏向主动行使、自主支配的权利,以“可识别性”为主要特征,侵害形态主要为非法利用相关信息;隐私则属于被动性、排他性的权利,以“隐秘性”为主要特征,并不强调“可识别”特点,而侵害形态则主要为非法窃听、偷窥、拍摄等,二者存在交叉关系。而在具体选择适用法律时,作为个人信息保护的基本法律,个人信息保护法与民法典也并不是单纯特别法与一般法的关系。首先,前者对后者的相关规定做了补充和延伸,如个人信息处理的基本原则等。其次,前者运用转介条款等实际指向后者的具体规定,如共同处理个人信息造成侵害后果的应当承担连带责任。最后,前者偏向事前的预防性工作,后者则主要针对侵害结果发生后的救济与处理。(见图5)第二,关于cookie与个人信息、隐私的关系。首先,从cookie与个人信息的关系看,民法典第1034条、网络安全法第76条规定,个人信息的形式要件包括电子或其他方式,实质要件是足以识别特定自然人,包括电子邮箱、健康信息、行踪信息等,而个人信息保护法第4条则在此基础上将“匿名化处理后的信息”排除在个人信息之外。关于匿名信息的性质问题,上述条文貌似存在内部冲突。而匿名化规则具体内容不明确,可能导致处理后的个人信息陷入重新识别后进入数据流动的风险等。本文认为,从体系解释角度看,上述条文间并不存在本质冲突,现实中是否存在绝对的“匿名化”信息本身即存在争议,如某法院认为即使原告主张浏览记录、交易行为等已经过匿名化处理,但其仍然可能通过与其他信息的集合产生识别个人的风险,因此不属于匿名化信息。从立法意图看,制定匿名化规则的逻辑在于,在个人信息因删除过多“个人”要素或内容,导致其分析利用价值降低的情况下,保障信息的正常流通与交换。因此,匿名化规则本身兼具技术规则与认定标准的双重属性,具有过程导向与结果导向的双重规制意义,与“可识别性”标准构成相对概念,而并不是对个别的、静态的信息不属于个人信息的绝对判断。因此,我国实际与欧盟、日本、美国等国家或地区相关规定采取类似的认定标准,即当cookie达到足以识别特定自然人的程度方可视为个人信息。其次,从cookie与隐私的关系看,隐私本质上是自然人不受不法刺探、侵扰、泄露、公开的具体人格权,“原则上不涉及大规模流通和利用”。但结合cookie的形态界分,对于功能cookie、营销cookie等商用场景cookie,网络用户在设置网页界面、搜索关键词、储存账号密码等过程中难免会涉及个人信息甚至私密信息,如手机号码、银行账号等,一旦公开将极大影响个人的隐私安全,因此可能构成隐私。而相比之下,对于通常的类似语言偏好、缩放比例等cookie信息等,除可能存在“无法识别到个人”的现实风险外,对于个人隐私的影响程度也较弱,因此对于该类cookie,可能既不属于个人信息、也不属于隐私。(见图6)
图6 常见cookie与个人信息、隐私关系示意图
第三,关于cookie与网络平台、数据载体的关系从相同点看,网络安全法、数据安全法、个人信息保护法三部法律都产生于大数据、人工智能飞速发展的时代背景,本质上服务保障于数据或信息的生产、经营行为。具体来看,网络是信息流通的基础,数据是信息交互的载体,信息的扩散性、价值性、无形性等特性决定其需要受到充分利用与有效规制。如在网络购物领域,消费者必须在电商平台提供必要的个人数据方可完成电子交易,其中必要的数据即包含身份认证信息、互联网IP地址信息、浏览记录信息等cookie信息。同时,三部法律均将合法、正当要求作为处理原则,并通过直接或转介条款明确,将个人同意作为相关信息、数据处理的核心规则。(见表2)从差异点看,三部法律的调整对象与方式不同。网络安全法的调整对象主要为广义的网络安全,即预防网络攻击、入侵、破坏等行为,将网络数据安全置于附属地位(提及保障网络数据的完整性、保密性等)。据安全法的调整对象则是数据处理活动,具体包括数据的收集、存储、使用、公开等环节,而上述行为可能通过网络实施,也可能通过线下进行。个人信息保护法的调整对象是个人信息中承载的人格尊严等人格权益,同时其在规定个人信息处理者义务的同时明确了信息所有者的合法权利。综上,尽管具体的保护主体、阶段、方式、特点等存在区别,但从横向上看,用户cookie实际同时处于民法典、个人信息保护法、网络安全法、数据安全法的多维保护范围,网络运营者可能同时成为数据安全负责人、个人信息处理者,而在保护措施中,尤以“同意规则”为核心内容。
表2 网络安全法、数据安全法、个人信息保护法涉信息数据处理条款情况表1.分类分级:cookie法律保护“纵向延伸”的理论基础与规范框架
加强数据资源安全保护,建立大数据安全管理制度,实行数据资源分类分级管理,保障安全高效可信应用。从理论上看,分类分级本质上是依照不同参照、标准对各类信息或数据进行的细化界分,具有平衡各类信息或数据自由流通与安全保障的工具价值。而从法律规定看,网络安全法、数据安全法、个人信息保护法均直接或间接明确了分类分级的保护理念。(见表3)表3 网络安全法、数据安全法、个人信息保护法涉分类分级保护理念情况表
而从具体的分类标准看,个人信息保护法将个人信息分为一般信息和敏感信息两类。但批评者认为,该标准仍存在适用性不强的弊病,如敏感个人信息实际包括“涉特定内容的个人信息”“指定特定来源的个人信息”“相关特定个体的个人信息”三类,而现有标准无法清晰区分。在此基础上,有学者提出细化建议,如“五分法”方案,即“非敏感”“低敏感”“较敏感”“敏感”“极敏感”标识,或“一般数据”“敏感数据”“一般重要数据”“关键重要数据”“国家核心数据”等。但从作为分类分级原则的方便管理、防止交叉、突出重点等要求看,“五分法”及以上的分类分级办法将面临因过于细化而导致无法落地的困境。因此,结合优化分类分级方法的必要性与可行性,本文主张以“三分法”方案,将cookie法律保护标准分为“高度私密信息”(如家庭住址、银行账号等,本质上既属于隐私,也属于个人信息)、“普通私密信息”(如用户姓名、购物情况等,本质上不属于隐私但属于个人信息)、“其他信息”(如语言偏好、缩放比例等,本质上既不属于隐私,也不属于个人信息)三类,并依次匹配由强到弱的保护措施。此种分类方法既突破了原有“非黑即白”的划分局限,也避免了“低敏感”“较敏感”等模糊表述带来的适用风险。同时,其秉持了动态调整的设置理念,在数据规模、应用场景、社会风险发生重大变化时,可在法律基础上进行优化完善。而在该理念指导下,cookie法律保护实际形成“三分法”统摄下的规则集合,其中又以“同意规则”为核心,辅以最短保存期限、影响评估内容等层次化区分措施。2.分类分级理念下cookie“同意规则”的标准调适
对于“高度私密信息”与“普通私密信息”而言,由于其二者均属个人信息范畴,故应当适用个人信息保护法关于“同意规则”的既有规定,具体包括作为有效同意标准的前置性、自由性,不允许设置cookie墙,告知内容相对全面,允许撤回同意等。差异之处为,第一,关于豁免同意情形,前者应当严格限定在法律规定的六种情形,后者则可借鉴欧盟实践适当扩张,如在(1)提供电子通信所必需的;(2)对于提供数据主体明确要求;(3)唯一目的是进行受众测量,且收集数据对于实现该目的来说是必要的;(4)对于软件更新而言是必要的;(5)拨打紧急电话时确定具体位置时必须等情形时,可不必获得主体同意或可事后补充咨询等。第二,关于告知方式,前者应在常规告知内容上增加获取、处理cookie可能产生的后续风险,同时采取“变更告知+定期告知”等双重路径;后者则不需专门调整。第三,关于同意方式,前者应当采取“单独同意或书面同意”的必要路径,不允许采取预先勾选的方式,也不允许通过特定动作或行为表征同意的意思表示;后者则可灵活适用同意方式,允许设置“手势同意”模式,但同样不允许预先勾选。第四,关于撤回同意方式,前者应当至少每隔一个周做出一次行使撤回权利的提醒,且在主页面显示撤回入口;后者则可将期限延伸至一个月,且不强制在主页面显示撤回入口。而对于“其他信息”而言,由于其本身并不属于个人信息或隐私范畴,因此可采取相对灵活的规制路径,具体为,原则上不需要“同意前置”,但需重点考虑使用处理及存储功能的目的、应用场景、相关信息的性质、后续处理活动及可能对数据主体造成的影响、是否采取加密或匿名化等保障措施,最终确定是否采取个别同意程序。若采取同意程序,则需遵循个人信息保护法关于告知与撤回同意的规定,而在同意方式上,则可采取概括同意的方式,即设置“白名单”进行批量同意,且可采取预先勾选的形式,并允许设置网页滚动视为同意的程序,从而实现cookie自由流通、有效利用与依法规范、安全保障的有机动态平衡。(见图7)图7 “三分法”示意图