设为首页 | 加入收藏
主页 > 百家高手心水论坛 >

从百度隐私案看个人信息和隐私保护

2019-09-24 16:35   来源:未知   作者:admin

  技术从来都是一把双刃剑,在带来便利的同时,也可能会带来新的问题。日前,江苏省南京市中级人民法院针对百度公司被诉侵犯隐私一案作出终审判决,诉讼的核心争议,就是基于cookie技术的个性化推荐行为是否侵犯了用户的隐私权。

  该案原告认为,百度公司利用网络技术(cookie技术),未经其知情和选择,记录和跟踪了其所搜索的关键词,将其兴趣爱好、生活学习工作特点等显露在相关网站上,并利用记录的关键词,对其浏览的网页进行广告投放,继而侵害了其隐私权,因此请求法院判令百度公司赔偿。

  南京中院在界定cookie技术的基础上,首先指出百度公司利用cookie技术收集、利用的数据信息虽然具有隐私属性,但是其终端只是特定IP地址的浏览器,并不与特定的用户必然关联,因而不属于法律保护的个人信息;其次认定百度公司利用网络技术处理检索关键词等数据信息均在计算机系统内完成,不构成“公开行为”,用户也未因此受到“事实上的实质性损害”;再次强调网络用户“应当努力掌握互联网知识和使用技能,提高自我适应能力”的同时,将百度公司公示《使用百度前必读》和提供禁用cookie按钮等,管l家婆平特玄机,认定为符合国家公共政策导向的尊重用户选择权和知情权的机制。

  这是一个比较系统的涉及cookie技术司法界定、个人信息和隐私权保护的案件,对于正确认知cookie技术和网络隐私、甚至应对技术创新与权利保障之间的张力都有相当好的参考价值。而且,法院在判决中适用非强制性国家标准作出司法裁量,对于司法裁判积极应对网络时代新型争议也有一定的启示价值。

  第一,cookie技术本身是中立的,并不必然导致隐私泄露。诚如判决中所指出的,“cookie技术是当前互联网领域普遍采用的一种信息技术,基于此而产生的个性化推荐服务仅涉及匿名信息的收集、利用,且使用方式仅为将该匿名信息作为触发相关个性化推荐信息的算法之一”;“Cookie技术主要是用于服务器与浏览器之间的信息交互,”其价值在于便利用户登录网站和提高用户上网体验。尽管cookie会收集用户名、计算机名、电子邮箱、使用的浏览器、曾经访问的网址等信息,但是这些信息锁定的终端是浏览器,而不是用户的个人身份,在经过加密处理后,这一收集、存储行为本身一般是无害的。用户个人信息和隐私的泄露主要与有关安全保障机制是否健全相关。在数据信息已成为互联网企业最重要的战略资产的情况下,信息安全必然被有长远眼光的企业视为自身成长发展的优先考量。政府、社会、用户应当和企业共同积极谋划安全技术的发展和安全机制的完善,而不应纠结于cookie技术的生死。

  第二,个性化推荐是在cookie技术基础上的网络应用创新。一方面,它根据用户既往的网络活动轨迹、行为偏好,向用户提供更有针对性的服务信息(包括更可能感兴趣的商业广告),使得用户在网络冲浪中更快地找到兴趣点;另一方面,它也搭建了服务信息的供需“直通车”,降低了商业活动的信息不对称,让商家更直接地面向消费者,有利于网络经济的发展,属于典型的“互联网+”思维。因此,应当允许个性化推荐商业活动的健康发展。当然,健康发展同时也意味着规范发展,既要结合公序良俗考虑一些特定场景的推荐行为是否合适、推荐方式是否妥当,也要为用户提供拒绝、退出的机制或渠道。

  第三,个人信息与隐私是有交叉、但并不完全相同的法律概念,存在着一定的差异。与隐私权已经有了一百多年的发展和保护历程相比,个人信息则是进入数字化时代后才被广泛重视。而且,在很多情况下,个人信息的保护还需要借助既有的隐私保护原则和规则来实现。但是,从实践来看,个人信息保护调整范围较广,有关法律规范的调整对象主要包括但不限于对个人信息的收集、加工、转移、删除等处理行为;隐私法律规范则主要调整隐私的公开或披露行为。再者,个人信息得到保护有一定的限制条件,即法律一般只保护能够单独或者与其他信息结合识别用户的信息,但是,隐私的保护,除非法定事由或当事人身份特殊(如属于公众人物),一般不受克减。当然,涉及隐私的个人信息就适用后者的保护规则,可以得到更强的保护。

  第四,匿名化处理后的数据信息不再符合可识别性的要求,不属于法律保护的“个人信息”范畴。数据信息被匿名化处理后,将无法与网络用户的个人身份“对应识别”,也就不能指向特定的“信息归属主体”,因此,原告也就无法就此主张权利。事实上,匿名化处理或者去身份化处理的完善正是大数据时代通过技术手段实现个人信息和隐私保障的重要手段,也是在技术进步与权利保护之间实现平衡的关键支点。

  第五,使用免费服务和收费服务应当有不同的预期,享受免费服务应当对服务本身有更大的容忍度。如同判决所指出的那样,“个性化推荐服务客观上存在帮助网络用户过滤海量信息的便捷功能,网络用户在免费享受该服务便利性的同时,亦应对个性化推荐服务的不便性持有一定的宽容度。”世界上没有免费的午餐,在市场经济环境下,更是如此。在数字化时代,免费服务的对价往往就是用户自己的信息或者在服务过程中所生成的信息。用户在享受免费服务时,应当更加审慎,对其背后的商业模式应当有比较清醒的认识。

  第六,知情权和选择权能否得到保障,是用户个人信息权益是否受到尊重的关键;“同意”的实现则是知情权和选择权兑现的重要途径。实践中,同意有两种形式,明示同意和默示同意。前者也称为opt-in,意味着只有在用户明确表示同意或认可的情况下,才能启动某些网络服务活动;后者也称为opt-out,意味着网络服务活动可以在未获得用户同意或认可的情况下启动,但是当用户拒绝的情况下即行终止,即将用户的“未拒绝”或者点击等登陆行为视为其已经同意或认可。网络服务以网络时代的快节奏在运行,默示同意显然更符合网络服务的及时、高效要求,也更利于提高用户的上网体验。但是,在一些可能涉及用户关键权益的情境下,效率就要让位于公平正义。因此,才有信息安全技术公共及商用服务信息系统个人信息保护指南》(GB/Z28828-2012)第5.2.3条的规定:“处理个人信息前要征得个人信息主体的同意,包括默许同意或明示同意。收集个人一般信息时,可认为个人信息主体默许同意,如果个人信息主体明确反对,要停止收集或删除个人信息;收集个人敏感信息时,要得到个人信息主体的明示同意。”

  第七,网络服务不断发展变化,用户应当不断掌握相关知识和技能。网络时代的理性人标准应当不同于前网络时代的理性人标准,至少,在网络知识和技能方面,应当推定前者拥有高于后者的水平。这也意味着,在网络时代适用前网络时代的法律原则和法律规则时,必须注意这方面的差异。提升用户的网络知识和技能,需要服务提供者的辅助教育,也需要用户自身的自我教育,更需要政府和社会的宣传引导。

  相信对本案的广泛讨论和传播,至少可以提高参与者对cookie技术和个性化推荐服务的认知水平。