网络精准营销中的隐私权保护

2022-09-10

一、问题的提出

互联网时代的精准营销让我们每个人都享受了很大的便利, 可以更加迅速的获取自己的偏好信息, 但是同样的, 我们也承受着它所带来的不利后果。继2013年央视3.15晚会曝光基于Cookie数据的精准营销后, 被称为“Cookie隐私第一案”的朱烨诉百度侵犯隐私权一案也引起了人60%们的极大关注, 朱烨认为, 百度未经其知情和选择, 利用Cookie搜集的关键词进行广告投放, 侵害了其隐私权, 影响了其正常的工作和生活。2015年5月6日南宁市中级人民法院做出二审判决, 与一审判决截然相反的是, 二审判决认为百度没有侵犯朱烨的隐私权, 该案本身的戏剧化发展也表明了我国对于此种情况下隐私权保护的立法缺失和实践中对于网络精准营销的性质存在着巨大的争议。

互联网精准营销本是广告营销的一种方式, 技术和服务本不存在原罪, 但是如果不界定该种服务的边界和厘清责任的承担, 那么就会使用户的隐私“裸奔”而无法得到保护。因此, 本文将介绍网络精准营销的性质并对该行为是否侵犯用户隐私权、隐私权的法律规定以及使用精准营销的网络服务商应该尽到的注意义务进行分析, 以确定精准营销行为的注意义务边界, 更好地保护用户的隐私权。

二、Cookie及精准营销概况

(一) Cookie是什么?

通俗地说, Cookie是一种能够让网站Web服务器把少量数据储存到客户端的硬盘或内存里, 或是从客户端的硬盘里读取数据的一种技术。用户在登录某一网站时, 网站会将用户的浏览记录、IP地址、网卡好, 用户名、密码等信息, 存放到用户电脑一个叫Cookie的数据包中, 当用户下次再登录该网站时, 网站便可以利用Cookie文件自动识别用户, 是一种方便用户上网的技术。一般情况下, Cookie信息只能被放置它的网站所获取。

但事实上, 除了放置Cookie的网站, 第三方网站或商家也可以通过在该网站放置代码的方式来获取到该网站的Cookie信息并加以搜集和商业化利用。Cookie既可以用来储存有关使用者的偏好信息, 也可以作为收集网络用户信息的工具, 被形象的比喻为“网络身份证”。

(二) 精准营销介绍

“定向广告”是指:“通过收集一段时间内特定计算机或移动设备在互联网上的相关行为信息, 例如浏览网页、使用在线服务或应用等, 预测用户的偏好或兴趣, 再基于此种预测, 通过互联网对特定计算机或移动设备投放广告的行为。”此处的定向广告即是本文所说的精准营销中所投放的广告。大数据背景下, 网络时代的精准营销中, Cookie不仅仅被用来方便用户上网, 用户所使用的网站乃至第三方都会利用Cookie所搜集到的大量用户信息进行数据分析和广告投放。

根据2013年央视3.15晚会所披露的情况来看, Cookie不仅可以获取到用户的用户名和密码乃至通讯录、地址等信息, 甚至用户几时几分浏览的什么网页都在被监控的范围内, 这不禁令人毛骨悚然。网站也正是据此所搜集到的信息来对网络用户进行分析, 了解用户需求, 并进行精准的广告投放。那么这种Cookie数据搜集和监控乃至利用行为是否侵犯了用户的个人隐私呢?在现实生活中, 若有人跟踪或监控别人的行为毫无疑问是侵犯他人隐私的行为, 严重的还有可能构成犯罪, 那么在网络空间中, 难道此种行为就不侵犯他人隐私了吗?

我国现行法律对个人隐私的范围没有比较明确的规定, 对于个人信息和个人隐私的界限划分仍未明确, 并且尚未厘清对于网络服务提供者搜集用户个人信息的界限。因此有灰色地带存在, 网络服务提供者可以肆无忌惮的搜集和利用个人信息, 也导致了实践中法院会倾向于保护网络行业发展而非个人信息, 往往会做出精准营销行为不侵权的判决结果。精准营销行为搜集用户信息究竟是否侵犯用户的隐私权?要解决这个问题首先要界定个人隐私的保护范围和边界。

(三) 关键词等Cookie信息的法律属性

以Cookie隐私第一案两审法院不同的判决结果为例, Cookie信息是否属于个人隐私的范围, 是一个重要的争议焦点。一审法院认为个人隐私除了用户个人信息外还包含私人活动、私有领域, 原告利用关键词进行网络搜索的行为, 将在网络空间留下私人的活动轨迹, 属于个人隐私的范围。但二审法院认为, 因为Cookie信息存在匿名化特征, 百度公司并不能将Cookie信息与原告本人相对应起来, 因此, Cookie信息不符合个人信息的可识别性要求, 不属于个人信息的范畴。

两审法院关于Cookie信息的定位均不十分全面, 一审法院的表述将“活动轨迹”表述为个人隐私而不是活动轨迹所留下的信息本身, 相对来说泛化了个人隐私的范围;而二审法院仅仅以匿名化为理由就否决了Cookie信息是个人信息, 也有牵强附会之嫌。

个人作为社会成员, 对其隐私的保护必然要有界限, 因为权利不仅仅是对权利人的保护, 还是对社会公众自由的限制, 因此必然不能无限制的放大个人隐私的范畴而让其他社会成员无所适从。因而界定Cookie信息是否属于个人隐私的范畴, 应当遵循“合理期待”原则, 从主客观统一的角度来判断该信息是否处于不愿为他人所知的秘密状态。概言之, 若Cookie信息属于隐私权的客体, 应当属于该主体以及他所处的社会普通人群通常都会期待具有私密性、不愿意被公开的隐私。随着社会的发展, 合理期待的范围也有可能随之改变, 也就是说, Cookie信息是否属于个人隐私不能一概而论, Cookie信息中所包含的个人信息可能有些是用户同意网站可以获取的, 但有些则可能是用户不愿意被获取或收集并利用的个人隐私, 比如在上述案件中, 除非原告采取了相应的措施, 比如修改浏览器设置或百度设置中禁用Cookie等方式, 否则很难认定原告对其个人信息不被获取具有“合理期待”, 因此Cookie信息属于用户的个人信息还是个人隐私还要在具体的实践和个案中具体分析。对于Cookie信息中属于个人隐私范畴的内容必须要加以保护, 网站必须保证用户的选择权和拒绝权, 否则就必然会侵犯用户的隐私权。

三、精准营销承担隐私权侵权责任的制度困境

(一) 侵害隐私权的侵权责任构成要件

我国现行《侵权责任法》第六条第一款规定了一般侵权责任的过错归责原则, 侵害隐私权的行为也属于一般侵权责任的范畴, 同样适用过错归责原则, 即:行为人因过错侵害他人民事权益, 应当承担侵权责任。侵害侵权责任的认定仍然要遵循一般的构成要件:

(1) 侵权行为。即行为人存在侵害他人隐私权的违法行为。侵害隐私权的违法行为是指违反保护个人隐私的法律规定侵害他人隐私权益的作为行为, 包括侵入侵扰、监听监视、刺探、搜查、干扰、披露、公开宣扬等加害方式;侵害他人隐私权的行为并不以在公开场合进行为必要, 有些情形即使在非公开场合做出, 无第三人知晓, 也没有传播行为, 但只要受害人能证明侵害行为的存在, 就可以认定为是侵害隐私权的行为, 如监听监视的行为。

(2) 损害后果。即行为人侵害他人隐私权造成的损害后果, 常常表现为精神损害, 但不仅仅包括精神损害。

(3) 因果关系。即行为人所为的侵权行为与损害后果之间存在因果关系。通说认为在认定因果关系时应采取相当因果关系说, 即根据社会一般人的经验和常识判断行为和结果之间是否具有因果关系。

(4) 主观过错。侵害隐私权的行为是一般侵权行为, 因此过错是责任构成要件之一, 包括故意和过失两个方面。对于加害人的过错, 根据一般侵权责任原理, 受害人要负举证责任。

(二) 精准营销承担侵权责任的制度困境

通过对Cookie数据的搜集和利用进行精准营销这一行为模式在认定承担侵权责任时具有制度上的困境, 这一点不仅仅在我国当前的法律制度下有所体现, 在美国也存在着类似的情况, 美国所发生的类似案例, 大多数并未认定互联网公司的此类行为侵害用户的隐私权, 法院在保护互联网发展与保护个人隐私之间选择了前者。在我国, 要求精准营销行为承担侵权责任同样存在着一些难题:

1. 侵权行为的证明困境

网络精准营销行为主要是通过对Cookie数据的搜集和利用来进行的, 在用户使用网站或安装软件时, Cookie都是默认自动启动的, 与第三方进行同盟时, 第三方只需要在网页中加入一个代码即可以获取用户的Cookie信息, 跟踪用户的所有行为, 而这些跟踪行为大多数情况下用户并不知情。另外, 这种技术具有很强的专业性, 很多用户对此没有意识, 或者就算意识到, 也并不清楚如何拒绝或停用Cookie。也正是由于此, 导致用户在发现自己受到侵害时, 保存收集证据都是很困难的事情, 因为网站作为数据控制者, 可以轻易的抹去一切跟踪数据和痕迹。

2. 损害后果的证明困境

前文已述, 侵犯隐私权的损害后果常常表现为精神损害, 虽然近几年在司法实践中精神损害赔偿逐渐承认和受到保护, 但是相比物质损害来说, 其“损害结果”的认定和保护都更为严格。法院对此也有着不同的观点, 有法院认为, “个人信息的私密性是其重要内容, 就侵害的成立而言无须考虑第三人究竟给原告带来的是利益还是损害, 私人信息为第三人所知本身即为损害。”而有其他法院认为, 原告应当证明被告所实施的行为对其造成了实际的损害后果。前文所述“Cookie隐私第一案”中的两审法院同样也展现出了不同的立场。一审法院采取了“私人活动为第三人所知本身即为损害”的立场, 而二审法院认为, 原告应当证明“造成事实上的实质性损害”。

精神损害赔偿的获取则更加困难, 精神损害赔偿必须在受害人的精神损害达到“严重”的情况下才可以适用, 但是“严重”的标准在实践中是一个未知数, 法官可以自由判断。通常认为, 只要达到一般合理之人均认为加害人造成受害人一定程度的精神损害, 是通常不能容忍和接受的, 就可以主张精神损害赔偿。但精神损害一般表现为对心理上的影响, 具体可能会表现为不安、苦恼、羞辱等精神痛苦, 通常并不能以十分外的形式表现出来, 因此难以具体判断, 原告也难以证明自己所遭受到的具体的实质性损害后果。在此类案件中, 法院通常认为精准营销行为中的Cookie信息搜集已经成为互联网惯例, 因此互联网用户应当对此有相当的心理预期和承受能力, 一般不认定据此而给人造成的心理损害构成精神损害的损害后果。

另外, 有学者认为, 个人信息作为载体, 其上既体现着个体的人格利益, 也体现着个体的财产利益, 具有双重属性。因此要加强对个人信息的财产权保护。从这个角度出发, 搜集、利用用户的个人信息这一行为若不经过用户同意, 不仅侵犯了用户的人身权, 还侵犯了用户对个人信息所享有的财产权。

3. 因果关系与主观过错的证明困境

由于网络本身所具有的隐蔽性与复杂性, 上文也已论述了侵权行为所具有的隐蔽性, 因此受害者要试图保存证据并理清侵权行为与损害后果之间的因果关系是非常困难的, 尤其在大多数情况下还有第三方主体的存在, 要证明因果关系更是难上加难。

另外, 受害者还需要证明对于精准营销行为, 互联网公司是具有主观过错的, 随着互联网的发展, Cookie已渐成惯例 (但是不代表惯例就是正确的) , 个人隐私的边界还没有较为明确的法律规定, 因此很难确定互联网公司的注意义务, 在用户默认同意的情况下, 互联网公司搜集和利用个人信息和隐私的行为很难被认定为主观故意。

四、遏制精准营销侵权的制度构建

可以看出, 在现行法律体制下, 要认定精准营销行为侵犯用户隐私权, 要求互联网公司承担侵权责任是一件很困难的事情, 但是精准营销行为就真的不侵权了吗?互联网公司究竟应尽到怎样的注意义务?在我国的司法实践中, 通常根据行为人是否尽到相应的注意义务来判断是否侵犯他人隐私权, 这种注意义务可能是法定的、约定的或者行业惯例等符合社会生活准则的保密义务。互联网公司在精准营销的过程中若违反相应的注意义务就有可能被认定为存在过错。

(一) 划定个人信息种类

《信息安全技术公共及商用服务信息系统个人信息保护指南》将个人信息分为个人敏感信息和个人一般信息, 规定除了收集个人敏感信息时需要明示同意之外, 收集个人一般信息时默许同意即可。其将个人敏感信息界定为:“一旦遭到泄露或修改, 会对标识的个人信息主体造成不良影响的个人信息。”例如个人敏感信息可以包括身份证号码、手机号码、种族、政治观点、宗教信仰、基因、指纹等。但现在关于个人信息搜集的协议中并未对此进行任何的区分, Cookie中所有关于用户的信息, 都是会被默认搜集和利用的。

为了保证互联网的发展, 不能一味地限制其对个人信息的搜集, 因此可以借鉴该种分类方式将个人信息分为个人一般信息和个人敏感信息。对于个人敏感信息或者是个人隐私的搜集, 必须要经过用户的明示同意, 并且要以弹窗通知等较为明显的方式标注出来, 使用户可以自由选择是否同意或拒绝。这种分类需要在实践中进一步加以细分, 如搜索关键词等信息是不是个人隐私的范畴?可能还需要视该关键词的性质来确定。对于泄露或者公开之后会对个人造成不良影响的信息, 自然应当属于明示许可的范畴。

(二) 互联网注意义务分析

我国《电信和互联网用户个人信息保护规定》以及《加强网络信息保护的决定》中均有关于收集、使用用户个人信息的规范要求, 网站在精准营销过程中搜集使用用户个人信息必须要正确履行相关告知义务, 否则就会构成侵权。上述条文中规定网站必须“明确告知”, 但并未规定用户的同意机制, 用户是否需要明示同意才能保证其知情权和选择权?

以百度公司的网站为例进行分析, 百度在其首页中设置的“使用百度前必读”链接十分不显眼, 平常人无法注意到并且了解到该协议, 根本无法起到明示告知的作用, 大多数用户并不知道自己的哪些信息被搜集, 并做了何种使用。该隐私权保护协议几乎形同虚设, 更不提其所附带的许多格式免责条款了。另外, 尽管百度在隐私权保护声明-个性化配置中设置了“选择停用”Cookie按钮, 似乎是告诉用户可以拒绝被搜集信息, 但是根据百度的声明, 停用Cookie按钮后, 仅仅能保证百度不再推荐推广信息, 而不是停用了百度的Cookie数据搜集功能, 也就是说, 百度依然是可以获取用户的Cookie数据信息的, 区别只是不再对用户进行个性化推送, 其是否会对Cookie数据进行商业化利用, 诸如与同盟网站共享数据或者网站被放置代码, 第三方获取用户的Cookie数据, 这些都未可知, 用户也根本无法拒绝。

因此, 上述这种通过所谓的“隐私权保护协议”其实并没有达到“明确告知”的程度, 用户的默认同意机制也没有保障其知情权, 更何况用户无法拒绝自己的信息被搜集, 根本没有选择权, 在这种默示同意进入的行业惯例以及表面上的隐私保护机制下, 用户的知情权和选择权并没有受到基本的保障, 不能认为网站已经尽到了其应尽的注意义务。

(三) 互联网公司注意义务的范围

如前文所述, 互联网公司负有保证用户知情权与选择权的注意义务, 告知必须以明示的方式来进行, 并且要给予用户以明确的通知, 让用户选择自己的信息是否被搜集和商业化利用。

1. 保障用户的知情权

互联网公司必须对在网站显眼位置标明关于Cookie数据的搜集和隐私权保护的相关协议, 这种标识必须以明示的方式来进行, 以充分保证用户的知情权, 用户可以通过该协议明确的知晓自己的哪些信息被搜集, 以及可能会被用于哪些商业用途。

2. 保障用户的选择权

Cookie的应用可能产生的侵权问题并非无法解决, 首先互联网公司要通过明示提醒, 给用户自我选择的权利, 一般信息经过默示同意, 敏感或隐私等信息在用户明示同意后, 才可以进行Cookie追踪, 这种提醒在技术上是可以完成的, 并且商业成本并不会十分高昂, 例如国外的一些知名的网络服务商都提供了“禁止追踪”选项设置来保护隐私, 我们也可以借鉴这种方式, 这样既可以保护用户的隐私, 也可以使网络服务商免于侵犯他人权益的困境。

3. 信息的保管义务

网络服务商除了要尽到应尽的注意义务之外, 对与用户同意被搜集的非公开信息还需要尽到善良管理人的注意和保管义务, 包括从技术上提高防黑、防盗应对措施、不得为牟利而不正当转卖用户信息等等, 否则就会构成侵权。

(三) 完善责任构成要件

在网络环境中, 信息公布不仅成本低, 而且受众对象广泛, 当侵害行为发生时, 将会产生严重后果。网络侵权下, 受害人所遭受的精神损害痛苦往往大于传统纸质媒体侵权所带来的痛苦。尽管我国侵权责任法对网络环境下的侵权做出了相关规定, 但其并没有对赔偿的特殊性做出规定, 按照其一般的侵权损害赔偿机制, 显然不能够对受害人提供充分的救济。现在司法实践中在确认精神损害赔偿时需要结合损害程度、侵权人主观过错、对受害人精神影响等诸多因素来综合确定, 而且法律要求只有在精神损害达到“严重”的程度时, 才能要求赔偿, 这些因素都不利于保护网络精准营销所侵害的隐私权。因此, 在对损害赔偿的具体计算问题上, 要考虑到网络侵权的特殊性, 若在互联网公司违反了其注意义务, 侵犯了用户的隐私权的情形下, 可以适当放宽用户对精神损害的证明标准, 以更好的保护当事人权利。

摘要：互联网精准营销行为是网络服务提供者搜集并利用网络用户的cookie数据来分析网络用户的偏好并针对此进行广告投放的一种营销方式, 但现行法律框架下, 关于网络服务提供者在精准营销行为中的注意义务的界定并不明确, 因此在实践中网络用户在其个人隐私受到侵害时很难要求网络服务提供者承担侵权责任, 本文对网络服务提供者在进行精准营销时所应尽到的注意义务进行的分析和探讨, 在网络服务提供者没有尽到其应尽的注意义务的情况下, 应当适当放宽对精神损害赔偿的证明标准, 以在维护互联网发展的同时, 更好地保护用户的隐私权。

关键词：cookie,精准营销,个人隐私,注意义务