作者：丁文  知产财经全媒体

　　作为Facebook广告商之一的美国著名视频平台HBO，近日卷入一场隐私纠纷之中。3月8日，HBO遭消费者集体诉讼，指控其与Facebook共享订阅者的观影历史，称HBO向Facebook提供其客户名单，使得Facebook可以结合会员的观影数据和社交平台的个人资料进行交叉数据分析，从而向HBO的会员提供更具针对性的广告。原告称，HBO从未从会员处获得上述披露数据行为的许可，违反了美国1988年《视频隐私保护法》。[1]

　　而早在今年2月，Meta（Facebook母公司）和原告达成和解，同意支付9000万美元以了结一桩长达10年的隐私诉讼，和解协议还要求Meta删除所有在此期间错误收集的数据。这起诉讼发生在2012年，起因在于2010年Facebook的一项名为“Open Graph”的插件更新，该更新声明Facebook可使用插件来存储Cookies，追踪用户何时在其他网站上点击Facebook的“Like”按钮。该插件可以让Facebook利用Cookies，记录用户浏览了哪些有“Like”按钮插件的网站，以及用户的浏览、购买内容——甚至在用户退出/注销Facebook账户之后依然可以，这些信息被记录后出售给Facebook广告商。[2]

　　当前，各国政府对数据安全问题都给予极大的关注，越来越多与数据隐私相关的罚单和诉讼悬在互联网企业的头上，成为企业无法回避的问题，其中“Cookies”一词在诸多“数据泄露”大新闻中频繁出现。

　　“是否同意Cookies？”

　　Cookies是网站创建的用于记录用户信息、执行特定功能的小型电子文本，该文本存储于电脑或移动智能终端本地的特定目录下。根据不同标准，Cookies可分为不同类型。按照生命周期和功能用途不同，Cookies可分为临时Cookies（Session Cookies）和持久Cookies（Persistent Cookies），前者存储于浏览器内存中，并不写入终端硬盘，当用户关闭浏览器时即自动清除，后者则通常以预先定义的时间用加密的方式存储于终端硬盘，并不因浏览器的关闭而自动清除。

　　按所属域（domain）的不同，Cookies又可分为第一方Cookies（First-party Cookies）和第三方Cookies（Third-party Cookies），第一方Cookies由被访问网站的服务器设置且与该网站属于同一个域，它们使网站所有者可以收集分析数据，记住语言设置以及执行其他有助于提供良好用户体验的有用功能；第三方Cookies则由直接访问的域以外的域创建，用于跨站点跟踪，重定向和广告投放等。一些Cookies是实现网站功能所必需（essential）的，如load balancing session Cookies、user input Cookies、authentication Cookies，如果禁用这些Cookies可能导致网站无法正常打开和运行，或者部分功能无法使用；另外一些Cookies则用于记录和分析用户信息和偏好习惯，甚至是第三方Cookies，如social plug-in tracking Cookies、third party advertising Cookies和first party analytics Cookies，禁用这些Cookies不影响对网站基本功能的使用。

　　Cookies泄露与个性化广告

　　因Cookies问题引发的数据安全隐患大体有两种，一是被动的Cookies泄露，二是主动的Cookies追踪。

　　由于与操作系统、浏览器、网站和网络这四个因素密切相关，通过网站的服务器端代码、浏览器、网站脚本都可以抓取到Cookies，Cookies存在不小的敞口风险。2017年，雅虎承认在过去两年间，有入侵者进行“Cookies伪造”（Forged Cookies）攻击，造成3200万账户泄露，并警告其用户可能被入侵窃取的信息包括姓名、邮箱、哈希密码、电话号码、生日和一些加密或者未加密的安全问题和答案。通过“Cookies伪造”攻击，攻击者在无需输入密码的情况下，只需伪造一个web浏览器token即Cookies来诱使浏览器相信雅虎用户已经登录，从而访问用户账户。接二连三的Cookies泄露事件严重打击了雅虎的信誉，雅虎也因为这一系列的打击最终以3.5亿美元的超低价被Verizon通信公司收购（起始估值48亿美元）。[3]

　　2022年1月，法国数据隐私监管机构“国家信息与自由委员会”（CNIL）对谷歌处以创纪录的1.5亿欧元（约合1.69亿美元）罚款，主要因为该公司令互联网用户难以摆脱Cookies的在线追踪。出于同样的原因，CNIL同时还宣布对Facebook罚款6000万欧元（约合6782万美元）。CNIL在一份声明中称：“我们发现，互联网用户很难摆脱facebook.com、google.fr和youtube.com网站的Cookies追踪。相反，用户选择接受Cookies追踪倒是很容易。”CNIL表示，谷歌和Facebook提供了一个虚拟按钮，允许用户立即接受Cookies追踪，但却没有提供同样的选项，让用户轻松地拒绝它们。除了罚款，CNIL还要求谷歌和Facebook两家公司在三个月内进行整改，否则将面临每天10万欧元（约合11.3万美元）的额外罚款，这些整改措施包括：谷歌和Facebook有义务为法国互联网用户提供拒绝Cookies追踪的更简单工具，以确保追踪前得到用户的同意。这不是谷歌、Facebook第一次因为Cookies追踪问题被罚，事实上就在今年3月，针对Facebook在2018年6月至12月期间发生的12起独立的数据泄露事件，爱尔兰数据保护委员会(DPC)对Facebook处以1700万欧元的罚款处罚。

　　北京己任律师事务所资深律师吕沛在接受《知产财经》采访时指出，使用Cookies有助于实现网站功能并提升用户体验，同时网站可通过获取Cookies记录的用户信息，实现用户画像分析、消费习惯分析，从而在定向广告推送、精准营销数据交易、精准研发等多领域获得经济效益。特别是第三方Cookies通过跟踪用户的跨域网站访问行为来进行精准营销，可以带动包括广告主、在线出版商、第三方数字广告公司、媒体、平台等在内的整个价值链。

　　“网站运营者可能在用户弱感知的情况下，通过Cookies过度收集和处理用户个人信息，甚至不当共享给第三方，尤其是持久Cookies即使在用户退出网络账户后仍可追踪用户的线上行为，涉嫌未经授权同意处理个人信息，Meta在刚刚和解的隐私诉讼中被诟病的违法行为之一即包括此项。”吕沛律师表示，“而且由于普通用户与拥有第三方Cookies的公司并没有直接的商业联系，所以往往会出现用户的网络访问数据被随意采集和滥用的情况，且出现问题后较难追责。”

　　阻止Cookies追踪与反竞争

　　接连遭遇天价罚单后，谷歌采取了积极的整改措施。2019年，谷歌推出了一项名为“隐私沙盒”（Privacy Sandbox）的计划，旨在逐步淘汰Chrome浏览器中的第三方Cookies。然而，这又引发了新的问题。英国竞争及市场管理局（CMA）担心该计划会阻碍数字广告市场的竞争，并发起了调查，广告商对此更是一片反对之声。

　　这就不禁令人感到困惑，谷歌好像怎么做都不对，不改Cookies政策被法国罚，改了Cookies政策被英国查？对此，北京己任律师事务所顾问（合伙人级）薛颖律师在接受《知产财经》采访时表示，英法两国的上述执法行为不能进行简单比较，更不能得出简单结论认为法国对谷歌和Facebook的处罚和英国对谷歌“隐私沙盒”（Privacy Sandbox）技术的态度体现了两国在隐私监管上有实质不同。尽管三个案子、两家企业均涉及Cookies，但两国监管机构处理的法律问题不同、法律依据也有差异：法国国家信息与自由委员会（CNIL）主要关心的是个人信息保护问题，处罚的是两家企业因未提供与接受Cookies一样便捷的拒绝Cookies的方式而侵犯数据主体同意权、违反法国数据保护法（French Data Protection Act）的行为；而英国竞争和市场管理局（CMA）主要关心的是谷歌通过“隐私沙盒”（Privacy Sandbox）替代Cookies可能引发的竞争和消费者权益保护问题，要预防的是英国竞争法（Competition Act 1998）所禁止的市场支配地位滥用行为（包括侵蚀Chrome浏览器用户在精准营销和广告推送方面的个人信息处理自决权）。而且，CMA在官方文件中披露，其在整个调查过程中都与英国信息专员办公室（ICO）密切合作，在处理Cookies引发的竞争问题时并未遗漏个人信息保护的维度，英国也已于2021年6月28日通过了欧盟委员会的个人信息保护充分性认定（adequacy decision），被认为保护水平与包括法国在内的欧盟区域等同。

　　上述案件的确也体现出个人信息保护合规和监管的复杂性，可能形成与竞争法和消费者权益保护的交叉。CMA对“隐私沙盒”计划的主要担忧是其对于数字广告市场的竞争影响。从隐私保护角度而言，“隐私沙盒”计划旨在逐步淘汰和替代谷歌浏览器以外的第三方Cookies，会降低用户信息被第三方Cookies不当收集和处理的隐患，可能有利于实现用户个人信息保护。但从竞争法角度考虑，“隐私沙盒”计划限制第三方Cookies使用，可能限制第三方广告商获取用户信息和基于用户信息开展数字广告业务，巩固和增强谷歌在数字广告市场上的影响力和优势地位，有助于其实施多种滥用市场支配地位行为，如通过限制向第三方提供与用户追踪相关的功能而抑制广告库存供应市场和广告技术供应市场的竞争，通过转移关键功能给Chrome浏览器，对自有在线广告业务实施自我优待，以及滥用其在浏览器的支配地位侵犯Chrome用户的个人信息自决权。因此，虽然限制使用第三方Cookies可能有利于实现用户个人信息保护，但同时有必要基于具体场景，审查此种限制是否存在排除限制竞争的效果，并分析为实现个人信息保护之目的限制和排除竞争是否必要。即使是必要的，其程度是否与个人信息保护之目的相匹配，即考察必要性原则和成比例原则。

　　值得注意的是，今年2月份，CMA与谷歌已就“隐私沙盒”计划达成共识，谷歌做出了多项承诺，下一阶段CMA将监督谷歌并确保“隐私沙盒”计划以有利于消费者的方式开发实行。但一部分德国出版商仍向欧盟委员会(European Commission)提起投诉，认为谷歌的“隐私沙盒”计划将会损害出版商的公平竞争，且会导致谷歌对自己的在线广告业务施以优待，因此，“隐私沙盒”在竞争法和隐私法框架下的合规稳健性仍有相当的不确定性。

　　关于是否应该全面阻止网站进行Cookies追踪的问题，薛颖律师认为，部分Cookies，特别是第一方临时Cookies的应用是实现网站功能所必需的，全面禁用Cookies会严重影响网站的正常运行和用户体验。谷歌计划用“隐私沙盒”取代的也仅为跨域追踪用户在线行为的第三方Cookies（third-party Cookies, TPCs），如全面阻止/淘汰Cookies，对用户、浏览器、第三方公司都将有巨大影响。因此，应摒弃“all or nothing”的简单两分法思路，区分不同类型，对网站运行必需的Cookies可放松管制，甚至依循欧盟做法给予同意豁免（consent exemption），而对于并非网站运行严格需要的，特别是对个人隐私有侵入性的监控型Cookies应制定全面严格的Cookies政策，确保用户知悉Cookies应用情况并有权利拒绝非必要Cookies应用。

　　目前看来，由于GDPR的落地，大多有关Cookies问题的法律纠纷都发生在个人信息强保护的欧盟地区，但随着我国个人信息保护水平和用户隐私保护意识的提高，互联网企业在我国运营时也不能忽视用户隐私保护、数据合规等问题。如今，我国《个人信息保护法》已正式施行，相关法律法规、部门规章、行业标准、执法案例和实践指南也在快速动态发展中，互联网企业应尽快建立法规跟踪机制，密切关注立法和执法动态，将合规要求内化到企业日常经营活动中。

　　注释:

　　[1]https://finance.sina.com.cn/tech/2022-03-10/doc-imcwipih7615828.shtml.

　　[2]https://finance.sina.com.cn/stock/usstock/c/2022-02-16/doc-ikyakumy6164879.shtml.

　　[3]http://m.ccidnet.com/pcarticle/10247816.