【数据法学】 李燕:网络行为定向广告中的个人信息保护问题探究
The following article is from 网安寻路人 Author 李燕
B D A I L C
欢 迎 关 注
Claude Monet
网络行为定向广告中的个人信息
保护问题探究
文 / 美团点评法律与政策研究院 李燕
一、网络行为定向广告的定义与基本模式
网络行为定向广告(Online Behavior Advertising)是定向广告的一种特殊形式,就其定义来看,中国广告协会将其界定为“通过收集一段时间内特定计算机或互联网移动设备在互联网上的相关行为信息,例如浏览网页、使用在线服务或应用的行为等,预测用户的偏好或兴趣,再基于此种预测,通过互联网对特定计算机或移动设备投放广告的行为”。[1]
简而言之,网络行为定向广告(以下简称定向广告)是利用算法追踪消费者的搜索、浏览、成交等网络行为,构建模型从而计算购买偏好,进而向消费者传送基于其个人兴趣而定制的广告。就其本质而言是大数据技术应用于广告行业的产物,使得广告在互联网上的投放结果更为准确和高效,企业从而得以为消费者提供更加精确、更为优质的服务体验。
定向广告的基础是对消费者网络行为的追踪,美国伊利诺伊州大学法学院的法律博士Angelica Nizio曾按照追踪主体不同,将其分为第一方(First-party)追踪、第三方(Third-party)追踪以及网络服务提供者(Internet Service Providers)追踪等三种基础模式[2]。
a)第一方追踪(First-party)比较容易理解。通常是消费者浏览网站时,网站在消费者的电脑上安装“小型文本文件”(cookie),通常包含标识符、站点名称以及一些号码和字符,使该网站记住消费者偏好,从而在随后的一段时间登录同样的网站时为其定制广告。
b)第三方追踪(Third-party),包括一个广告网络平台。广告网络需首先与广告商和大量网站签约并向各家网站提供广告商的广告,广告网络在消费者的电脑上放置一个cookie,并在消费者浏览所有网站中跟踪消费者。例如,基于消费者对某酒店预订网站的访问,广告网络可能会推测打算去某地旅行,当该消费者访问另一个网站时可能会被推送一则关于去该地旅行的广告。中央电视台3.15曾曝光几家网络公司利用第三方追踪搜集几亿Cookie信息,这些公司获取的用户cookie,基本都是通过在别的网站加代码实现的。
c)网络服务提供者(ISPs,Internet Service Providers)。网络服务提供者是提供访问和使用网络服务的组织,其基于与广告网络的约定将用户的浏览行为传输给广告网络建立个人资料库,帮助定向广告商界定向何种消费者提供何种方式的广告。
二、 运营定向广告所面临的
合规风险与伦理责任
定向广告倚赖于对信息的搜集和分析,在此领域中个人信息保护面临的数据合规和伦理问题,主要出现在个人信息的收集、存储、使用、流转和删除等阶段。
从数据管控的维度来看,首先,在收集环节可能会存在信息收集过度的问题。市场上部分网站或通过Cookie等技术对用户的网络行为进行记录,移动互联网技术出现后,还可能涉及对用户实时地理位置(行踪轨迹)等敏感类个人信息的记录。目前法律法规仅对授权规则作粗线条勾勒,并未明确约束信息收集者的行为,规定何种信息可以被收集,应采用何种方式被收集。在收集阶段,负责任的数据运营商必须将用户权益列为首要位置,收集信息的目的要足够明确并告知用户,避免非法收集信息和过度收集信息等问题。在Facebook事件中,其在2014年前允许各种第三方程序在获得用户同意后能够读取其朋友的信息,对第三方合作伙伴使用用户信息缺乏必要、特定、明确目的的考量与约束,并且缺乏对第三方程度的基本审计,致使第三方程序获取海量用户信息有机可趁。
其次,在存储环节可能存在信息泄露的风险。造成个人信息泄露一方面可能由于数据保护技术不够严谨和发达,另一方面还存在着第三方恶意攻击网站等非法获取个人信息的违法行为。
最后可能存在二次开发的问题。在个人信息的收集和存储越来越方便的背景下,加上企业对信息处理能力的增强,个人信息具有二次开发的增值价值。经授权获取的个人信息的控制者如何使用这些数据,能否将其用于和最初收集目的完全不同的领域,在流转环节如何妥善处理,这些都是定向广告对个人信息保护提出的挑战。总之,企业仅能出于合法、正当、必要、特定、明确的目的才能与第三方共享用户的个人信息,并且只共享提供服务所必要的最小够用的信息。
各国监管者对网络行为追踪所涉及的消费者个人信息保护问题非常关注。在行政监管层面,美国联邦贸易委员会于2009年曾针对网络行为广告提出自律性治理原则,聚焦定向广告中的数据授权、存储、使用等方面,主要包括透明度和消费者控制(Transparency and consumer control);保证行为定向广告收集到的用户数据的合理安全(To provide reasonable security for any data),仅在完成合法经营活动或实施法律需要时才保留数据;当网络行为广告要使用消费者的敏感数据时,要获取消费者肯定性的明示同意(To obtain affirmative express consent before collecting)等方面。[3]2018年6月美国加利福尼亚州议会通过的《2018加州消费者隐私法案》也是在脸书与政治定向广告所引发的隐私门事件发生后赋予了消费者对个人信息的访问权、删除权、知情权等一系列消费者隐私权利。
三、 不同法域背景下Cookie
是否属于个人信息之辩
我们进一步探讨定向广告中的Cookie信息是否属于个人信息。从域外法规制经验来看,2018年生效的欧盟《通用数据保护条例》(GDPR)指出,网络设备、应用、工具、协议中留存的Cookie痕迹如果具有唯一指向性,这些Cookie痕迹可生成个人档案识别具体自然人,即具有身份识别性。第26条前注说明,当数据可被用来直接或间接识别自然人时,那么其就是个人数据/信息。这意味着不是所有但大部分被用来识别用户的Cookie痕迹要受GDPR规制,这就包括有关广告、功能服务的Cookie痕迹,例如调查和聊天工具中Cookie痕迹。此外,搜集Cookie痕迹要获得用户同意,并在操作界面上予以明示,获得同意后还需给予用户选择权——如撤回同意等。将于2020年1月1日生效的《2018加州消费者隐私法案(Assembly Bill 375)》中对个人信息采取了列举式广泛定义,包括直接或间接地识别、关联、描述、能够相关联或可合理连结到特定消费者或家庭的信息,包括但不限于唯一识别符或唯一个人识别符(这其中包括但不限于Cookies类似技术),将Cookie列为个人信息范畴。
当前,在中国个人信息处理规范相对不足的背景下,国家推荐标准《信息安全技术 个人信息安全规范》的出台在软法层面无疑填补了诸多规则空白,为定向广告业务提供了可参照的依据,在此标准中,如需判别Cookie等个人浏览记录是否属于个人信息,应考虑以下两条路径:一是识别,即从信息到个人,由信息本身的特殊性识别出特定自然人,个人信息应有助于识别出特定个人。二是关联,即从个人到信息,如已知特定自然人,则由该特定自然人在其活动中产生的信息(如个人浏览记录等)即为个人信息。符合上述两种情形之一的信息,均应判定为个人信息。
在国内司法实践中,对个性化推荐服务即定向广告Cookie的性质认定存在认识上的分歧,“Cookie第一案”反映了此种争议。基本案情为原告朱女士诉称2013年在上网浏览相关网站过程中发现,利用百度搜索引擎搜索“减肥”“丰胸”“人工流产”等关键词,并浏览相关内容后,在某些网站就会相应地出现与关键词高度相关的广告。原告认为百度公司未经其知情和选择,即利用网络技术记录和跟踪了所搜索的关键词,将其兴趣爱好、生活学习工作特点等显露在相关网站上,并利用记录的关键词,对浏览的网页进行广告投放,侵害了其隐私权,使其感到恐惧,精神高度紧张,影响了正常的工作和生活。故诉至法院,请求判令百度立即停止侵害,赔偿精神损害抚慰金和公证费。
参与一审审判的南京市鼓楼区人民法院在判决中支持了原告朱烨的部分诉讼请求,但是二审的南京市中级人民法院撤销了一审判决,认定“百度的个性化推荐行为不构成侵犯朱烨的隐私权”,判决驳回原告朱烨的全部诉讼请求。从一审判决“隐私权侵权”到二审认定“不侵权”,针对同一事实,两级法院得出了截然相反的法律判决。
二审法院的裁判理由及依据聚焦于如何处理好民事权益保护与信息自由利用之间的关系,认为百度公司收集、利用的是未能与网络用户个人身份对应识别的数据信息,该数据信息的匿名化特征不符合“个人信息”的可识别性要求。百度个性化推荐服务收集和推送的信息终端是浏览器,没有定向识别该浏览器的网络用户身份。其次,百度公司并未直接将数据向第三方或向公众展示,没有任何的公开行为。百度利用cookie等网络技术向朱烨使用的浏览器提供个性化推荐服务不属于《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件使用法律若干规定》第十二条规定的侵权行为。同时,个性化推荐服务客观上存在帮助网络用户过滤海量信息的便捷功能,网络用户在免费享受该服务便利性的公式,应对该服务的不便性持有一定的宽容度。再次,针对原审法院认为百度公司没有尽到显著提醒说明义务的问题,二审法院认为,cookie技术是当前互联网领域普遍采用的一种信息技术,基于此而产生的个性化推荐服务仅涉及匿名信息的收集、利用,网络服务提供者对此依法明示告知即可。百度在《使用百度前必读》中已经予以说明并为用户提供了退出机制,在此情况下,朱烨仍然使用百度搜索引擎服务,应视默认许可。
Cookie信息是否属于个人隐私信息的范围,是两级法院的第一个重要分歧所在。一审法院认为,原告朱烨利用关键词搜索行为的活动轨迹属于个人隐私的范围,但对隐私权的客体表述存在矛盾之处,没有说清隐私权的客体到底是“私人活动”,还是“用户上网产生的信息本身”。二审法院做出与一审法院截然对立的判断,但判决的措辞令人困惑,检索关键词记录既“具有隐私属性”,但又“不再属于个人信息范畴”。
两级法院对本案作出的判决论述中,都倾向于将Cookie类信息采用隐私定义方式予以界定,事实上缩小了个人信息的范围。实际上是对Cookie是否属于个人信息,以及个人信息与个人隐私如何界分上没有释明。
个人信息不仅仅是个人隐私的载体,伴随着大数据的发展,还塑造了个人的虚拟形象,带有明显的人格利益和财产属性。目前中国个人信息保护在理念、原则、立法和实践上还处于启蒙阶段。一方面,社会各界缺乏对个人信息的保护意识,对概念的认识不清晰。另一方面,国内没有一部专门的个人信息保护法,法律多是以分散、原则性条款予以规定,实务中难予适用。而建立起完善的个人信息保护体系是人权保护的应有之义,同时也是大数据相关行业发展的必要基础。
笔者认为,首先,未来在个人信息的立法中,首先需考虑明确个人信息保护法的客体即个人信息而非数据或隐私。从技术角度看,数据是原始的事实或观察的结果,是对客观事物的逻辑归纳,用于表示客观事物未经加工的原始素材。[4]在计算机科学中,数据是指所有能输入到计算机并被计算机程序处理的符号的介质的总称。而信息是指为一定目的经加工、解释后的数据。据此,数据本身并没有意义,可以理解为一堆符号的集合,而信息是数据集合、加工、处理后的结果,具有独立的意义。
目前关于个人信息保护的价值基础主要个人信息控制理论、领域理论和自我表现理论等论证。[5]个人信息控制理论典型的为美国以一系列单行立法和司法判决形成的隐私权为基础的个人信息保护制度,这里的隐私权实际上是脱胎于普通法中生活权和独处权的框架性权利。该理论认为对个人信息的保护体现为个体对自我披露的控制。领域理论的代表为德国,德国学者通过“同心圆”的方式将个体人格的活动领域分为隐秘领域、秘密领域和个人领域。[6]越接近核心,保护的力度越大。但是这种理论由于对领域间的界限难以判定也逐渐遭到了德国联邦宪法法院的扬弃。自我表现理论是对领域理论的修正。其出发点是认为人格只有通过“自我表现”才能存在,“自我表现”的实质则是对个人信息的利用,而个人信息则在“自我表现”中起到了媒介作用。[7]两大法系在个人信息保护的价值基础上渐渐殊途同归,认为核心在于保护个人对自己信息利用的控制,即个人信息控制权。
从公法学尤其是在宪法学领域来看,个人信息保护主要侧重于防止国家公权力的侵犯,该视角的讨论滥觞尤以德国1983年的人口普查法违宪案为典型。正是这一事件推动德国创立了作为基本权利的信息自决权理论,将个人对自己信息的控制权视为一项基本权利,其定位是“对国家因现代信息技术而获得的极大的监控的可能性的一种反应”。[8]在美国,主要是在司法判例中形成了将个人信息纳入宪法基本权利的保护模式。
从私法领域的研究来看,王利明教授认为,个人信息是指与特定个人相关联的、反映个体特征的、具有可识别性的符号系统,包括个人身份、工作、家庭、财产、健康等方面信息[9]。他主要从论证“个人信息权是一种独立的民事权利”出发,认定个人信息是一种私益,且涉及的范围非常广泛,既包括个人的直接识别和间接识别的任何信息,也包括其家庭的相关信息。这种思路下,王利明教授主张的是采取大陆法系国家的人格权保护模式,类型化为独立的个人信息权,将其纳入人格权的保护机制,从而否认了个人信息属于隐私权的内容,因为个人信息中的有些内容是可以公开且必须公开的。[10]
如果认为个人信息和隐私权两者是包容关系,那么就应该遵循“奥卡姆剃刀”原则中的“如无必要勿增实体”的思想,尽量避免一遇到问题就想方设法创设新权利来解决的思路。但是,个人信息和隐私权的内容并不完全重合,创设一种类型化的新型民事权利,严格把握既有的隐私权内涵,防止其扩张,并且考虑两者的价值取向保持明显差异是基础。
另外,可识别性是数据被纳入个人信息范畴的重要标识。以识别性是否直接,可以将个人信息分为直接可识别的个人信息与间接可识别的个人信息,而各国的立法实践不论采“个人数据”还是采“个人信息”,但本质上都强调数据或信息需要与特定的自然人身份相结合,其中可识别性是非常重要的特征。比1981欧洲议会《有关个人数据自动化处理之个人保护公约》(简称1981公约)、1995欧盟《个人数据保护指令》(简称1995指令)和最新的2016欧盟《一般数据保护条例》(简称2016条例)中都规定,个人数据(personal data)是指已识别的或可识别的与自然人有关的任何信息。随着认识的深化,定义不断扩展,还出现了数据主体(data subject)的定义,以阐明当数据与自然人结合后的数据人之特征。数据主体,即可识别的自然人,是指能通过姓名、身份证号、地理位置、网上标识符或者根据物理、生理、基因、心理、经济、文化或者社会身份等特定因素直接或间接识别出来的自然人。[11]《2018加州消费者隐私法案》也将Cookies作为唯一标识符纳入个人信息范畴,可识别、关系到、描述、能够相关联或可合理地连接到特定消费者或家庭的信息,这包括但不限于cookies。从《通用数据保护条例》《2018加州消费者隐私法案》《信息安全技术 个人信息安全规范》均反映了此种思路。
四、定向广告中个人
信息保护向何处去
网络定向广告并非生来带有“原罪”,在高度重视隐私保护的欧盟、美国,定向广告是主流做法和发展趋势。在用户免费使用、广告收益为收入来源的互联网商业新经营模式之下,以用户兴趣偏好、个性特征为基础的定向广告技术具有增强用户体验和促进经济效益的双重优势;网站也会改善服务和质量,提升广告点击量,如此循环实现良性发展。但是,当消费者使用网络服务,向网络服务提供者提供个人信息时,仍然是存在合理期待的,希望商家能够以与提交个人信息的情境相适应的方式来使用信息。大数据背景下大量的创新来源于对个人信息的创造性利用,而获取和维系网络用户的信任对于持续促进社会经济效益也同等至关重要。所以为了实现保护个人人格权和促进互联网创新之间的平衡,应当重视个人信息保护,规范个人信息收集和利用等行为。判断定向广告中不当收集和利用个人信息是否构成隐私侵权,仍然应当依照侵权责任的构成要件,判断是否存在主观过错和损害事实。
但是定向广告个人信息的保护不能只局限于隐私侵权模式的保护。毕竟相关规则都侧重于事后救济,在个人信息的搜集、处理及利用阶段当事人不享有任何权利,这种事后救济方式无法充分保护当事人的权利。大数据背景下大量的创新来源于对个人信息的创造性利用,而获取和维系网络用户的信任对于持续促进社会经济效益也同等至关重要。所以为了实现保护个人人格权和促进互联网创新之间的平衡,应当制定专门的个人信息保护法律规范,并且借鉴相关立法经验,明确何种情形下将作为法律适用的触发条件,例如,使用“可识别性”(Identifiable)和“已识别”(Identified)作为法律适用的触发条件。
这种思路下,个人信息立法的核心内容应该是用户对个人信息的自决控制。首先在信息源头赋予当事人信息自主决定权利。即每项个人信息的搜集,不论是否涉及隐私都需要尊重当事人的自决或自主权利。只要是与个人有关的信息,个人就应该有自主决定是否、在何种范围、向何人如何公开。
在给予消费者的保护路径上有两种模式,一是欧盟的“事先同意+撤回同意权+删除权”和美国加利福尼亚州的“收集前被告知权+删除权”。欧盟要求“数据主体通过书面声明的方式作出同意”,明示同意的方式会最大程度上保障用户的知情权和选择权,但可能因降低用户使用体验而不受用户欢迎,也会制约互联网行业的创新和发展,目前全球排名前列的互联网多数来源于美国即为明证。选择何种机制,须考虑到选择机制本身的可执行性。
大数据时代,企业应该吸取Facebook隐私门事件的教训,在面对海量数据的管控时,应做到更富主动性和透明度的隐私合规管理。以隐私合规领域所推崇的隐私设计(Privacy by design)理念为例,企业可通过在内部建立隐私事务管理部门、规划数据保护战略、制定隐私政策程序、定期更新隐私规程、加强安全审计等加强个人信息保护。此外,企业还可定期开展隐私影响评估(Privacy impact assessment),根据业务现状、威胁环境、法律法规、标准要求等情况持续修正个人信息保护边界,调整安全控制措施,使个人信息处理过程处于风险可控的状态。再者,企业凡涉及数据业务合作、投资或者并购等活动,只要标的公司的业务涉及数据,需先行评估数据合规问题,对数据“入口”和“出口”进行严格把控。一方面对任何数据引入都应履行尽职调查,确保引入数据合法性:审查个人信息提供方的主体资质及个人信息来源,评估第三方的业务场景是否可能获得所共享的数据;要求第三方提供用户授权凭证(隐私政策、隐私条款、收集场景及授权文件)等,并予以记录。另一方面数据一旦离岸,下游的使用场景和二次分发都不可控,因此,在没有合理使用场景且未获得收集者单独且明确的同意授权前提下,禁止直接对外输出。在具体开展定向广告业务中,应该规范个人信息收集和利用等行为,将合规意识和商业伦理有机结合,构建围绕大数据全生命周期的可管、可控、可信的数据安全体系,避免数据安全事件,将负责任、有底线的企业形象传递给用户,赢得用户的持续信赖。
对个人信息的保护,是为了防止个人信息的外流或者经过数字化处理后被收集利用,从而使得个人人格权存在遭受损害的潜在风险,包括个人隐私泄露、个人形象扭曲甚至是对人身安全产生恐惧,因此,个人隐私保护是个人信息保护的根源所在。我们呼吁通过多方参与机制的方式来完善行业治理,既为网络服务提供者建立切实执行的行为准则,又保障用户对个人信息的自决控制,提高企业采集、使用和共享用户个人信息时披露的透明度。本文的相关探讨仅抛砖引玉求教于方家,未来中国在相关个人信息保护立法活动中仍需慎重考虑人权保护与产业发展之间如何予以平衡。
向上滑动阅览
[1] 中国广告协会互动网络分会:中国互联网定向广告用户信息保护框架标准释义和基本指引。
[2] Angelica Nizio, Note: Taking Matters into its Own Hands: Why Congress Should Pass Legislation to Allow the ftc to Regulate Consumer Online Privacy with a “do not Track” Mechanism, Journal of Law Technology & Policy , 2014.
[3]https://www.ftc.gov/news-events/press-releases/2009/02/ftc-staff-revises-online-behavioral-advertising-principles,accessed Feb 12, 2018.
[4] 上海新金融研究院:《个人信息保护国际比较研究》,中国金融出版社,2017年。第12页。
[5] 廖宇羿:“我国个人信息保护范围界定——兼论个人信息与个人隐私的区分”,载于《社会科学研究》,2016年第2期。
[6]王泽鉴:《人格权法》,北京大学出版社,2013年。第198页。
[7]谢远扬:“信息论视角下个人信息的价值——兼对隐私权保护模式的检讨”,载于《清华法学》,2015年第3期。
[8] [德]艾伯哈特·施密特·阿斯曼:《通过基本权利及宪法保障所进行的权利保护》,载于《中德法律研讨——对行政的法律约束和对个人权利的保护》,第270页。
[9]王利明:“论个人信息权在人格权法中的地位”, 载于《苏州大学学报(哲学社会科学版)》,2012年第6期。第69页。
[10]王利明:“个人信息如何保护”,载于《当代贵州》,2015年第26期。
[11] 1981公约:‘personal data’ means any information relating to an identified or identifiable individual (‘personal data’).
1995指令:‘personal data’ shall mean any information relating to an identified or identifiable natural person (‘data subject’); an identifiable person is one who can be identified, directly or indirectly, in particular by reference to an identification number or to one or more factors specific to his physical, physiological, mental, economic, cultural or social identity.
2016条例:‘personal data’ means any information relating to an identified or identifiable natural person (‘data subject’); an identifiable natural person is one who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, an identification number, location data, an online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that natural person.
本文刊载于《中国信息安全》2019年第5期
本文仅作学习交流之用
松村公太
往期荐读
编辑:钟柳依
欢迎点击“阅读原文”