来源： 网安寻路人  原创： 李燕

编者按：

随着国家标准《个人信息安全规范》（GB/T 35273-2017）的正式发布【国家标准《个人信息安全规范》全文】，社会各界对该标准的关注在逐渐升温。本公号将陆续邀请一些参与到该标准制定，或者在其工作中实际运用过该标准的朋友撰写文章，请他们和大家分享对该标准的看法，或者转载对该标准的评论文章。本文作者是京东金融研究院研究员李燕。

网络行为定向广告中的个人信息保护问题初探

一、 网络行为定向广告定义与基本模式

网络行为定向广告（Online Behavior Advertising）是定向广告的一种特殊形式，就其定义来看，中国广告协会将其界定为“通过收集一段时间内特定计算机或互联网移动设备在互联网上的相关行为信息，例如浏览网页、使用在线服务或应用的行为等，预测用户的偏好或兴趣，再基于此种预测，通过互联网对特定计算机或移动设备投放广告的行为”。

简而言之，网络行为定向广告（以下简称定向广告）是利用算法追踪消费者的搜索、浏览、成交等网络行为，构建模型从而计算购买偏好，进而向消费者传送基于其个人兴趣而定制的广告。就其本质而言是大数据技术应用于广告行业的产物，使得广告在互联网上的投放结果更为准确和高效，企业从而得以为消费者提供更加精确、更为优质的服务体验。

定向广告的基础是对消费者网络行为的追踪，美国伊利诺伊州大学法学院的法律博士Angelica Nizio曾按照追踪主体不同，将其分为第一方（First-party）追踪、第三方（Third-party）追踪以及网络服务提供者（Internet Service Providers）追踪等三种基础模式。

a) 第一方追踪（First-party）比较容易理解。通常是消费者浏览网站时，网站在消费者的电脑上安装“小型文本文件”（cookie），通常包含标识符、站点名称以及一些号码和字符，使该网站记住消费者偏好，从而在随后的一段时间登录同样的网站时为其定制广告。

b) 第三方追踪（Third-party），包括一个广告网络平台。广告网络需首先与广告商和大量网站签约并向各家网站提供广告商的广告，广告网络在消费者的电脑上放置一个cookie，并在消费者浏览所有网站中跟踪消费者。例如，基于消费者对某酒店预订网站的访问，广告网络可能会推测打算去某地旅行，当该消费者访问另一个网站时可能会被推送一则关于去该地旅行的广告。中央电视台3.15曾曝光几家网络公司利用第三方追踪搜集几亿Cookie信息，这些公司获取的用户cookie，基本都是通过在别的网站加代码实现的。

c) 网络服务提供者（ISPs, Internet Service Providers）。网络服务提供者是提供访问和使用Internet服务的组织，其基于与广告网络的约定将用户的浏览活动传输给广告网络建立个人资料库，帮助定向广告商界定向何种消费者提供何种方式的广告。

二、 数据全周期保护视阈中的定向广告

定向广告的模式决定了它倚赖于对信息的搜集和分析，在此领域中个人信息保护面临可能存在的问题，主要出现在个人信息的收集、存储、使用以及流转等环节。

从数据生命周期角度来看，首先，在收集环节可能会存在信息收集过度的问题。市场上部分网站或通过Cookie等技术对用户的网络行为进行记录，移动互联网技术出现后，还可能涉及对用户实时地理位置（行踪轨迹）等敏感类个人信息的记录。目前法律法规仅对授权规则作粗线条勾勒，并未明确约束信息收集者的行为，规定何种信息可以被收集，应采用何种方式被收集。其次，在存储环节可能存在信息泄露的风险。造成个人信息泄露一方面可能由于数据保护技术不够严谨和发达，另一方面还存在着第三方恶意攻击网站等非法获取个人信息的违法行为。再者，在使用和流转环节可能存在二次开发的问题。在个人信息的收集和存储越来越方便的背景下，加上对信息处理能力的增强，个人信息具有二次开发的增值价值。经授权获取的个人信息的控制者如何使用这些数据，能否将其用于和最初收集目的完全不同的领域，在流转环节如何妥善处理，这些都是定向广告对个人信息保护提出的挑战。

事实上，各国监管者对行为追踪所涉及的消费者个人信息保护问题持有较高关注。在行政监管层面，2009年美国联邦贸易委员会曾针对网络行为广告提出自律性治理原则，聚焦定向广告中的数据授权、存储、使用等方面，主要包括透明度和消费者控制（Transparency and consumer control）；保证行为定向广告收集到的用户数据的合理安全（To provide reasonable security for any data），仅在完成合法经营活动或实施法律需要时才保留数据；当网络行为广告要使用消费者的敏感数据时，要获取消费者肯定性的明示同意（To obtain affirmative express consent before collecting）等方面。

三、 Cookie是否属于个人信息之辩

我们进一步探讨定向广告中的Cookie信息是否属于个人信息。从域外法规制经验来看，2018年生效的欧盟《一般数据保护条例》（GDPR）指出，网络设备、应用、工具、协议中留存的Cookie痕迹如果具有唯一指向性，这些Cookie痕迹可生成个人档案识别具体自然人，即具有身份识别性。GDPR第26条前注（recital）说明，当数据可被用来直接或间接识别自然人时，那么其就是个人数据/信息。这意味着不是所有但大部分被用来识别用户的Cookie痕迹要受GDPR规制，这就包括有关广告、功能服务的Cookie痕迹，例如调查和聊天工具中Cookie痕迹。此外，搜集Cookie痕迹要获得用户同意，并在操作界面上予以明示，获得同意后还需给予用户选择权——如撤回同意等。

当前，在中国个人信息处理规范相对不足的背景下，国家推荐标准《信息安全技术 个人信息安全规范》的出台在软法层面无疑填补了诸多规则空白，为定向广告业务提供了可参照的依据，在此标准中，如需判别Cookie等个人浏览记录是否属于个人信息，应考虑以下两条路径：一是识别，即从信息到个人，由信息本身的特殊性识别出特定自然人，个人信息应有助于识别出特定个人。二是关联，即从个人到信息，如已知特定自然人，则由该特定自然人在其活动中产生的信息（如个人浏览记录等）即为个人信息。符合上述两种情形之一的信息，均应判定为个人信息。

在国内司法实践中，对个性化推荐服务即定向广告Cookie的性质认定存在认识上的分歧，“Cookie第一案”反映了此种争议。基本案情为原告朱女士诉称2013年在上网浏览相关网站过程中发现，利用百度搜索引擎搜索“减肥”“丰胸”“人工流产”等关键词，并浏览相关内容后，在某些网站就会相应地出现与关键词高度相关的广告。原告认为百度公司未经其知情和选择，即利用网络技术记录和跟踪了所搜索的关键词，将其兴趣爱好、生活学习工作特点等显露在相关网站上，并利用记录的关键词，对浏览的网页进行广告投放，侵害了其隐私权，使其感到恐惧，精神高度紧张，影响了正常的工作和生活。故诉至法院，请求判令百度立即停止侵害，赔偿精神损害抚慰金和公证费。

一审的南京市鼓楼区人民法院判决支持了原告朱烨的部分诉讼请求，但是二审的南京市中级人民法院撤销了一审判决，认定“百度的个性化推荐行为不构成侵犯朱烨的隐私权”，判决驳回原告朱烨的全部诉讼请求。从一审判决“隐私权侵权”到二审认定“不侵权”，针对同一事实，两级法院得出了截然相反的法律判决。

二审法院的裁判理由及依据聚焦于如何处理好民事权益保护与信息自由利用之间的关系，认为百度公司收集、利用的是未能与网络用户个人身份对应识别的数据信息，该数据信息的匿名化特征不符合“个人信息”的可识别性要求。百度个性化推荐服务收集和推送的信息终端是浏览器，没有定向识别该浏览器的网络用户身份。其次，百度公司并未直接将数据向第三方或向公众展示，没有任何的公开行为。百度利用cookie等网络技术向朱烨使用的浏览器提供个性化推荐服务不属于《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件使用法律若干规定》第十二条规定的侵权行为。同时，个性化推荐服务客观上存在帮助网络用户过滤海量信息的便捷功能，网络用户在免费享受该服务便利性的公式，应对该服务的不便性持有一定的宽容度。再次，针对原审法院认为百度公司没有尽到显著提醒说明义务的问题，二审法院认为，cookie技术是当前互联网领域普遍采用的一种信息技术，基于此而产生的个性化推荐服务仅涉及匿名信息的收集、利用，网络服务提供者对此依法明示告知即可。百度在《使用百度前必读》中已经予以说明并为用户提供了退出机制，在此情况下，朱烨仍然使用百度搜索引擎服务，应视默认许可。

Cookie信息是否属于个人隐私信息的范围，是两级法院的第一个重要分歧所在。一审法院认为，原告朱烨利用关键词搜索行为的活动轨迹属于个人隐私的范围，但对隐私权的客体表述存在矛盾之处，没有说清隐私权的客体到底是“私人活动”，还是“用户上网产生的信息本身”。二审法院做出与一审法院截然对立的判断，但判决的措辞令人疑惑，检索关键词记录既“具有隐私属性”，但又“不再属于个人信息范畴”。

两级法院对本案作出的判决论述中，都倾向于将Cookie类信息采用隐私定义方式予以界定，事实上缩小了个人信息的范围。实际上是对Cookie是否属于个人信息，以及个人信息与个人隐私如何界分上没有释明。

事实上，个人信息不仅仅是个人隐私的载体，伴随着大数据的发展，还塑造了个人的虚拟形象，带有明显的人格利益和财产属性。目前中国个人信息保护在理念、原则、立法和实践上还处于启蒙阶段。一方面社会各界缺乏对个人信息的保护意识，对概念的认识不清晰。另一方面，国内没有一部专门的个人信息保护法，法律多是以分散、原则性条款予以规定，实务中难予适用。而建立起完善的个人信息保护体系是人权保护的应有之义，同时也是大数据相关行业发展的必要基础。

首先，需明确个人信息保护法的客体即个人信息而非数据或隐私。从技术角度看，数据是原始的事实或观察的结果，是对客观事物的逻辑归纳，用于表示客观事物未经加工的原始素材。在计算机科学中，数据是指所有能输入到计算机并被计算机程序处理的符号的介质的总称。而信息是指为一定目的经加工、解释后的数据。据此，数据本身并没有意义，可以理解为一堆符号的集合，而信息是数据集合、加工、处理后的结果，具有独立的意义。

目前关于个人信息保护的价值基础主要个人信息控制理论、领域理论和自我表现理论等论证。个人信息控制理论典型的为美国以一系列单行立法和司法判决形成的隐私权为基础的个人信息保护制度，这里的隐私权实际上是脱胎于普通法中生活权和独处权的框架性权利。该理论认为对个人信息的保护体现为个体对自我披露的控制。领域理论的代表为德国，德国学者通过“同心圆”的方式将个体人格的活动领域分为隐秘领域、秘密领域和个人领域。越接近核心，保护的力度越大。但是这种理论由于对领域间的界限难以判定也逐渐遭到了德国联邦宪法法院的扬弃。自我表现理论是对领域理论的修正。其出发点是认为人格只有通过“自我表现”才能存在，“自我表现”的实质则是对个人信息的利用，而个人信息则在“自我表现”中起到了媒介作用。两大法系在个人信息保护的价值基础上渐渐殊途同归，认为核心在于保护个人对自己信息利用的控制，即个人信息控制权。

从公法学尤其是在宪法学领域来看，个人信息保护主要侧重于防止国家公权力的侵犯，该视角的讨论滥觞尤以德国1983年的人口普查法违宪案为典型。正是这一事件推动德国创立了作为基本权利的信息自决权理论，将个人对自己信息的控制权视为一项基本权利，其定位是“对国家因现代信息技术而获得的极大的监控的可能性的一种反应”。在美国，主要是在司法判例中形成了将个人信息纳入宪法基本权利的保护模式。

从私法领域的研究来看，王利明教授认为，个人信息是指与特定个人相关联的、反映个体特征的、具有可识别性的符号系统，包括个人身份、工作、家庭、财产、健康等方面信息。他主要从论证“个人信息权是一种独立的民事权利”出发，认定个人信息是一种私益，且涉及的范围非常广泛，既包括个人的直接识别和间接识别的任何信息，也包括其家庭的相关信息。这种思路下，王利明教授主张的是采取大陆法系国家的人格权保护模式，类型化为独立的个人信息权，将其纳入人格权的保护机制，从而否认了个人信息属于隐私权的内容，因为个人信息中的有些内容是可以公开且必须公开的。

如果认为个人信息和隐私权两者是包容关系，那么就应该遵循“奥卡姆剃刀”原则中的“如无必要勿增实体”的思想，尽量避免一遇到问题就想方设法创设新权利来解决的思路。但是，个人信息和隐私权的内容并不完全重合，创设一种类型化的新型民事权利，严格把握既有的隐私权内涵，防止其扩张，并且考虑两者的价值取向保持明显差异是基础。

另外，可识别性是数据被纳入个人信息范畴的重要标识。以识别性是否直接，可以将个人信息分为直接可识别的个人信息与间接可识别的个人信息，而各国的立法实践不论采“个人数据”还是采“个人信息”，但本质上都强调数据或信息需要与特定的自然人身份相结合，其中可识别性是非常重要的特征。比1981欧洲议会《有关个人数据自动化处理之个人保护公约》（简称1981公约）、1995欧盟《个人数据保护指令》（简称1995指令）和最新的2016欧盟《一般数据保护条例》（简称2016条例）中都规定，个人数据（personal data）是指已识别的或可识别的与自然人有关的任何信息。随着认识的深化，定义不断扩展，还出现了数据主体(data subject)的定义，以阐明当数据与自然人结合后的数据人之特征。数据主体，即可识别的自然人，是指能通过姓名、身份证号、地理位置、网上标识符或者根据物理、生理、基因、心理、经济、文化或者社会身份等特定因素直接或间接识别出来的自然人。从《通用数据保护条例》和《信息安全技术 个人信息安全规范》均反映了此种思路。

四、定向广告中个人信息保护向何处去

定向广告并非生来带有“原罪”，在高度重视隐私保护的欧盟、美国，定向广告是主流做法和发展趋势。在用户免费使用、广告收益为收入来源的互联网商业新经营模式之下，以用户兴趣偏好、个性特征为基础的定向广告技术具有增强用户体验和促进经济效益的双重优势；网站也会改善服务和质量，提升广告点击量，如此循环实现良性发展。但是，当消费者使用网络服务，向网络服务提供者提供个人信息时，仍然是存在合理期待的，希望能够以与提交个人信息的情境相适应的方式来使用信息。在定向广告的展业中，应受《侵权责任法》《关于加强网络信息保护的决定》《消费者权益保护法》等法律法规的保护。判断定向广告中不当收集和利用个人信息是否构成隐私侵权，仍然应当依照侵权责任的构成要件，判断是否存在主观过错和损害事实。

但是定向广告个人信息的保护不能只局限于隐私侵权模式的保护。毕竟相关规则都侧重于事后救济，在个人信息的搜集、处理及利用阶段当事人不享有任何权利，这种事后救济方式无法充分保护当事人的权利。大数据背景下大量的创新来源于对个人信息的创造性利用，而获取和维系网络用户的信任对于持续促进社会经济效益也同等至关重要。所以为了实现保护个人人格权和促进互联网创新之间的平衡，应当制定专门的个人信息保护法律规范，并且借鉴相关立法经验，明确何种情形下将作为法律适用的触发条件，例如，使用“可识别性”（Identifiable）和“已识别”（Identified）作为法律适用的触发条件。

这种思路下，个人信息立法的核心内容应该是用户对个人信息的事先自决控制，首先在信息源头赋予当事人信息自主决定权利。即每项个人信息的搜集，不论是否涉及隐私都需要尊重当事人的自决或自主权利。只要是与个人有关的信息，个人就应该有自主决定是否、在何种范围、向何人如何的公开。明示同意的方式固然会最大程度上保障用户的知情权和选择权，但过度加强对收集信息的规制，既可能因降低用户使用体验而不受用户欢迎，也会制约了互联网行业的创新和发展，目前全球排名前列的互联网多数来源于美国即为明证。同时，要求用户明示同意的做法过于严厉反而会缺乏执行力，在欧盟国家不仅多数网站难以遵守，目前多数主流浏览器都采用的是默示同意的模式，而且鲜有欧盟成员国的信息保护机关对网站进行处罚。选择何种同意机制，也必须同时考虑到选择机制本身的可执行性。

对个人信息的保护，是为了防止个人信息的外流或者经过数字化处理后被收集利用，从而使得个人人格权存在遭受损害的潜在风险，包括个人隐私泄露、个人形象扭曲甚至是对人身安全产生恐惧，因此，个人隐私保护是个人信息保护的根源所在。我们呼吁通过多方参与机制的方式来完善行业治理，既为网络服务提供者建立切实执行的行为准则，又保障用户对个人信息的事前自决控制。以上的讨论仅抛砖引玉，未来个人信息保护相关立法中仍需慎重考虑人权保护与产业发展之间如何予以平衡。

作者声明：

本文在京东金融总法律顾问、京东金融研究院负责人刘志坚先生的指导下完成，京东金融研究院法律研究中心朱婷对本稿写作亦有贡献，一并感谢。

另：

本文注释从略。可联系作者获取带注释的版本。