本文作者

宁宣凤

合伙人

合规业务部

susan.ning@cn.kwm.com

宁宣凤律师的主要执业领域为网络安全与数据合规。宁律师曾为多家国内外知名企业提供数据合规尽职调查、风险评估、合规体系建设等法律服务。作为国内最早涉足该类法律实务的律师之一，宁律师在为客户提供网络安全与数据合规法律咨询服务方面有着丰富的经验。

吴涵

合伙人

合规业务部

wuhan@cn.kwm.com

吴涵律师的主要执业领域为网络安全与数据合规。吴律师曾多次协助客户进行自查并完善网络安全和数据合规体系，为客户提供网络安全和数据合规培训等。 项目涉及金融支付与清算、保险、网约车平台、消费电子、互联网广告、日化等行业。

黄若

律师助理

合规业务部

摘要

Cookie追踪功能的日益强大引发了数字用户对其可能侵犯隐私、泄露个人信息的普遍担忧。Cookie为什么可能侵犯隐私，泄露个人信息？欧盟、美国和中国如何看待cookie相关的个人信息保护问题？企业又该如何合规地吃下这块“饼干”？

在格林童话《汉泽尔与格莱特》的世界中，小朋友通过在路上洒下小饼干屑的方式标记他们走过的路，最终走出了黑暗的森林。在数字世界中，网络运营者同样可以通过“cookie”追踪用户行为，记录并获取用户的访问信息[1]，实现统计网站访客数量、精准营销、记录用户喜好、操作等功能。这里的cookie是指用户浏览或访问网站时，各网站服务器在用户的本地设备（例如电脑、手机等）上安装和存储的小型文本文件，它通常包含有标识符、站点名称、号码和字符。

Cookie追踪功能的日益强大引发了数字用户对其可能侵犯隐私、泄露个人信息的普遍担忧。在隐私和个人信息保护越来越受重视的时代背景下，各国家/地区也越加重视对cookie的法律规制。那么，cookie为什么可能侵犯隐私，泄露个人信息？各主要司法辖区如何看待cookie相关的个人信息保护问题？相关的法律法规源起何方，又有何特点？在以下内容中，本文将首先介绍cookie的技术特征，在此基础上分别介绍欧盟、美国和中国的相关规制情况，并简要探讨相关合规建议，以飨读者。

此cookie非彼饼干也

就像口味不同的饼干一样，cookie根据各自的技术特点、用途和功能可以分为不同种类。

按照存储时间的长短，cookie可分为会话缓存（session cookie）和持久缓存（persistent cookie）。session cookie一般只在浏览器上短期保存，通常关闭浏览器时即被系统清除。这种cookie不会写入硬盘，通常也不收集有关用户的信息。持久缓存则写入硬盘并保存在设备中，下一次用户返回时，网站仍然可以对它进行调用，这也是我们中绝大多数人所熟悉的cookie。

按照网站主体的不同，cookie可以分为第一方缓存（first-party cookie）和第三方缓存（third-party cookie）。第一方缓存由用户访问的网站放置于用户终端设备，例如，当电商平台A设置一个cookie用来记录小明在购物车里放了十盒趣多多，即为第一方缓存。第三方缓存则是由与用户访问的网站以外的其他第三方放置在用户设备上的cookie，例如，假设广告营销公司答应帮助趣多多进行宣传推广，并与电商平台约定在其网站上放置广告，那么，当小明访问某电商平台时，广告网络会传送一个趣多多的广告到小明查看的页面，并在他电脑上放置一个cookie。

第三方缓存通常基于定向广告等目的放置，因此也被称为追踪缓存（tracking cookie）。在实践中，许多广告营销公司基于与广告商之间的合作，会与大量其他网站签约并向其提供广告，当小明访问这些网站时，广告营销公司可以再次调用此前小明访问电商平台A时放置的cookie，也就是说，广告营销公司可以在多个网站上追踪小明的行为。严格来讲，cookie只是本地设备上的临时存储文件，虽然这些文件可以通过简单的编辑器查看，但其本身无法从用户的设备收集数据。cookie也不是病毒，它无法在用户的设备上安装恶意软件。但cookie可能被网络运营者恶意地使用，沦为侵害他人权利的工具。

欧盟cookie规则的发展

作为数据保护领域的先驱与标杆，欧盟早在多年前从保护在线隐私的角度处发，针对cookie进行了专门的立法，并随着对数据保护和cookie的认识不断加深，不断完善和补充其规则体系。

01

Cookie同意规则的出现和转变

1997年，欧盟针对电信领域个人数据处理中的隐私权保护问题出台了《电信行业数据保护指令》（97/66/EC）[2]；2002年，欧盟颁布《电子隐私法令》（e-Privacy Directive）[3]，将适用范围扩展至覆盖互联网上的数据传输；其中规定，用户的电子通信终端设备上存储的任何信息均属于用户的隐私信息，应受到相关欧盟法律的保护。监测软件、网站信标、隐藏标示符及其他类似设备（例如cookie）可能会被放置在用户终端设备上，用以收集用户的信息。使用该等设备应仅限于合法目的并获得用户的知情同意[4]。

欧盟关于cookie的同意规则经历了从2002年e-Privacy Directive“选择退出（opt-out）”到2009年修订版e-Privacy Directive[5]“选择加入（opt-in）”的变化。2002年e-Privacy Directive只要求网站告知用户，并提供选择退出的机会，就可以在用户的终端设备上存储cookie[6]； 2009年，欧盟对“e-Privacy Directive”进行了修订，在用户的终端设备上存储cookie不再能基于默认同意，而是从选择退出改为了选择加入，即，需要用户主动选择同意[7]。

02

GDPR影响下的新进展

2016年公布、2018年实施的《欧盟通用数据保护条例（GDPR）》[8]明确特定类型cookie即构成个人数据。GDPR指出，网络设备、应用、工具、协议中留存的cookie痕迹如果具有唯一指向性，这些cookie痕迹可生成个人画像或档案从而识别到具体自然人，即具有身份识别性[9]。GDPR第26条前言说明，当数据可被用来直接或间接识别自然人时，其就是个人数据/信息。由此可见，GDPR明确了可以直接或与其他信息结合识别到特定自然人的cookie数据即为个人数据，受GDPR规制。

2017年1月，欧盟委员会提出了《隐私和电子通信条例》（Regulation on Privacy and Electronic Communications）[10]。该条例作为GDPR的特别法[11]，意欲取代当前的《电子隐私指令》，旨在规制电子通信服务并保护与用户终端设备相关的信息，使这一领域的立法要求与GDPR相协调。

E-Privacy Regulation针对cookie以及网站信标、图像像素等其他类似设备识别技术的使用提出了更为严格的规则。例如：

（1）  只有在使用cookie是为用户提供服务所直接必需或者网站运营者已获得用户的同意的情况下，网站才能访问用户的手机或电脑等设备、收集设备类型、浏览器型号等信息。

也就是说，cookie的使用一般需要用户同意，但在一些特定情况下，不需要用户的同意，例如，在电子通信网络中传输信息所必要的、提供用户请求的信息社会服务所必要的、或是用于测量网页访问人数。具体而言，可能包括用于在一次会话中用户登录后识别用户的验证cookie、用于在一次会话中播放视频或音频内容而存储技术数据的多媒体播放器cookie、用于一次会话中存储语言或字体偏好的用户界面定制化cookie等。不过，即便这些cookie的使用无需获得用户同意，对用户就此进行告知仍然是一种推荐的做法。

（2）  针对cookie的同意更难获取，因为该等同意必须符合GDPR中的相同标准，即必须有数据主体明确的肯定性确认行为。这意味着一些现有的做法需要重新审视，例如，仅展示标语，声明继续使用网站就构成同意可能将难以满足法律的要求。

在GDPR体系下，数据主体的同意必须是：

• 自由作出；

• 具体；

• 在充分告知的基础上作出；以及

• 是数据主体不含糊的意思表示。

总体而言，在欧盟法律体系下，cookie由于具有特定个人识别性，被多部立法明确规定为个人数据，受到相应保护；在这一立场不变的前提下，随着数据保护法律制度的更新换代，cookie领域的特别立法亦不断完善和推进，从选择退出到选择加入的转变集中体现了欧盟对于规制cookie的严格态度。

美国：缺乏针对cookie的明确规定

美国在个人数据的保护方面的立法路径与欧盟不同，联邦层面没有专门针对个人信息保护的立法，相关的内容散见于行业规定以及州层面的立法。例如，规制健康医疗领域数据的《健康保险可携与责任法》（Health Insurance Portability and Accountability Act），保护儿童在线隐私的《儿童在线隐私保护法》（Children’s Online Privacy Protection Act）等。这种倾向也影响到美国针对cookie的立法。一般而言，并没有法律明文规定禁止使用追踪缓存，联邦贸易委员会也不将追踪缓存的使用本身解读为不公平或欺诈行为。

目前，与cookie联系较为紧密的法律包括《联邦消费者欺诈与滥用法》（Federal Consumer Fraud and Abuse Act），其曾被用于基于行为广告目的使用cookie的公司。州层面例如加州也要求当使用cookie收集消费者在不同网站上的活动时，需进行相应的披露。不仅如此，《联邦贸易委员会法》（Federal Trade Commission Act）也被当作法律依据来管理/起诉不当披露其使用追踪缓存的行为。

自2011年起，美国出台了各种法案，但后来由于难以在建立标准和可行的立法方面达成一致，均以撤回或失败告终。其中，为了保护网上用户的隐私，让用户有权选择不被第三方网站跟踪，美国曾尝试引入“请勿追踪（Do Not Track）”立法。请勿追踪源自“Do Not Call”规则，依据该规则，电话推销员不能电话联系选择了退出的人。但是，目前多数网站均选择了无视请勿追踪请求，因此联邦贸易委员会意图推动的请勿追踪计划也成了一纸空文。

总体而言，美国对于cookie的使用采用的不是“选择加入”而是“选择退出”机制；其整体立法侧重的不是对使用cookie本身的规制，而是从保护用户权益不受损害的角度通过侵权等方面的法律进行管理。

中国：cookie是否属于个人信息？

Cookie是否属于个人信息的问题曾经经历了多年的讨论，随着《中华人民共和国网络安全法》（“《网安法》”）和国家标准《信息安全技术-个人信息安全规范》（“《个人信息安全规范》”）[12]的出台，cookie是否属于个人信息的判断有了较为明确的官方意见。

01

Cookie同意规则的出现和转变

在国内司法实践中，对个性化推荐服务即定向广告cookie（追踪缓存）的性质认定存在认识上的分歧。2013年的“cookie第一案”反映了此种争议。原告诉称，其在使用百度搜索引擎搜索“减肥”“丰胸”等关键词并浏览相关内容后，在某些网站就会相应地出现与关键词高度相关的广告。原告认为百度公司未经其知情和选择，即记录和跟踪了所搜索的关键词，将其兴趣爱好等特点等显露在相关网站上，并对浏览的网页进行广告投放，侵害了其隐私权。

一审法院认定追踪缓存是个人隐私。二审法院认为其虽具有隐私性质，但不属于个人信息。其认为：网络用户通过使用搜索引擎形成的检索关键词记录，虽然反映了网络用户的网络活动轨迹及上网偏好，具有隐私属性，但这种网络活动轨迹及上网偏好一旦与网络用户身份相分离，便无法确定具体的信息归属主体，不再属于个人信息范畴。

在于“cookie”第一案的判断学术界存在很多的争论。二审法院认定，cookie与网络用户身份的分离使得cookie缺乏直接指定向个人的可能性，但更多的学者质疑，与cookie同步收集的信息包括服务的使用情况、IP地址、访问日期和时间、设备信息等，是否有可能与cookie相结合，能够指向特定用户。[13]

随着大数据技术的发展以及国际上对于“个人信息”认定标准的进一步深化讨论，《网安法》和《个人信息安全规范》对于cookie是否应该被认定为“个人信息”的问题提供了更为清晰的判断标准。

02

《网安法》和《个人信息安全规范》对追踪缓存属性的再思考

2017年6月1日实施的《网安法》中对个人信息的定义即采取了直接识别和间接识别相结合的认定标准。[14]此外，2017年12月29日发布的《个人信息安全规范》进一步指出，判定某项信息是否属于个人信息，应考虑两条路径：

• 一是识别，即从信息到个人，由信息本身的特殊性识别出特定自然人，个人信息应有助于识别出特定个人；

• 二是关联，即从个人到信息，如已知特定自然人，则由该特定自然人在其活动中产生的信息（如个人位置信息、个人通话记录、个人浏览记录等）即为个人信息。

符合上述两种情形之一的信息，均应判定为个人信息。《个人信息安全规范》附录A将包括网站浏览记录、软件使用记录、点击记录在内的个人上网记录均列明为个人信息。《网安法》和《个人信息安全规范》对于个人信息的认定一定程度上参考了国际上普遍被认可的学说，同时也充分认可大数据关联分析技术能够通过结合多类数据提高指定特定个人的可能性。

如上所述，在当前的技术水平下，用户的网站浏览记录等追踪缓存信息与终端设备信息、账户信息等相结合即可很容易地识别到特定个人，可能会被认定为个人信息。在目前尚无针对cookie的特殊规则的情况下，对其进行收集、使用和任何处理，理论上均应遵守《网安法》及其他相关法律法规、国家标准对个人信息保护的一般要求。这些要求主要包括，应当在收集个人信息时征得用户的同意，并遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围。同时，不得泄露、篡改、毁损收集的个人信息；未经被收集者同意，不得向他人提供个人信息。此外，还应当采取技术措施和其他必要措施，确保收集的个人信息安全，防止信息泄露、毁损、丢失。

企业如何

吃下这块“饼干”？

尽管各个国家对于cookie数据收集和使用等行为的规制可能有所不同，但在互联网企业全球化运营及数据全球流动的背景下，企业应结合中国和欧盟等主要司法辖区中国际通用的原则，对自己收集和使用cookie数据的行为进行自我检查和评估。具体而言，我们建议企业首先应当：

01

考察cookie的使用情况和必要性分析

确认自身所使用的cookie种类、性质、第一方还是第三方、与用户其他信息关联度等特点，并据此逐一检查cookie的使用是否是实现某项功能所必须，是否一定需要用户同意，以及是否有任何非侵入的替代方案等。

02

评估各类cookie对用户隐私的影响

虽然目前并未在法律规定层面明确需要将cookie进行进一步地分类，但从企业合规的角度出发，对用户行为介入越深入的cookie可能会对用户隐私造成更大的影响，从而给企业带来更大的合规风险，因此需要优先级更高的同意获取等合规措施安排。

03

针对每一类cookie评估其所需要符合的“同意”要求

针对不同种类cookie，评估取得同意的不同要求。例如，第一方缓存的使用不需要获取数据主体的知情同意，但所有第三方缓存和持久缓存的使用均需获得数据主体的知情同意。[15] 此外，还应针对每一类cookie评估合理的获取同意方式。例如，对于具有主页等主体交互页面的网站，采用弹窗等相应技术实现直接向用户要求同意的方式会较为有效；而对于一些注册界面为用户交互页面的网站，通过使用条款或隐私政策进行告知也不失为一种方式，尽管在进行更新时仍可能需要通过其他方式进行告知的补充，但也能极大地减少用户同意的成本。此外，对于一些cookie使用非常重要、具有持续性的网站而言，比如在线视频观看的网站，由于cookie对于用户行为的介入较深，使用目的包括个性化推荐等对用户体验造成影响可能较大，因此为用户提供cookie设置界面和按钮，甚至通过单独的跳转页面实现告知和用户同意，能够为网站提供更多的合规保障。

04

将语言通俗化

以通俗易懂、不含晦涩技术术语的语言进行告知，在数据保护领域的立法中成为了一个越来越普遍的规则。由于用户的技术水平通常有限，过于复杂和技术化的表述将使得告知流于形式，因此，为保证对用户的告知满足充分知情同意的要求，网站在专门的cookie政策或提示中应注意将语言通俗化，避免普通用户的理解障碍，影响用户同意的效力。

[1] 例如用户的身份识别号码、密码、用户访问该站点的次数和时间、用户浏览页面的记录等。

[2] Directive 97/66/EC of the European Parliament and of the Council of 15 December 1997 concerning the processing of personal data and the protection of privacy in the telecommunications sector.

[3] Directive 2002/58/EC of the European Parliament and of the Council of 12 July 2002 concerning the processing of personal data and the protection of privacy in the electronic communications sector (Directive on privacy and electronic communications)

[4] Paragraphs 24 and 25 of 2002 E-Privacy Directive.

[5] DIRECTIVE 2009/136/EC OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 25 November 2009 amending Directive 2002/22/EC on universal service and users’ rights relating to electronic communications networks and services, Directive 2002/58/EC concerning the processing of personal data and the protection of privacy in the electronic communications sector and Regulation (EC) No 2006/2004 on cooperation between national authorities responsible for the enforcement of consumer protection laws.

[6] Article 5.3 of the 2002 E-Privacy Directive.

[7] Article 2(5) of the 2009 E-Privacy Directive.

[8] REGULATION (EU) 2016/679 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation).

[9] Paragraph 30 of the GDPR.

[10] Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL concerning the respect for private life and the protection of personal data in electronic communications and repealing Directive 2002/58/EC.

[11]《欧盟<隐私与电子通信条例>草案评述》，曹建峰、李金磊，腾讯研究院。

[12] 由中国国家标准化管理委员会发布，为推荐性国家标准，不具有强制效力，但可作为企业合规的参照。

[13] 参见《反转的法律天平 – 我国cookie隐私第一案判决》， 2015年10月，王融，中国信息通信研究院。

[14]《网安法》第76（5）条：个人信息，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。

[15] 详见EU advisory body on data protection - Working Party 29: Opinion 04/2012 on cookie consent exemptions.

注：本文首发于律商网。