律师:个人隐私vs广告,合法非法界限在哪?

 邮箱网  0条评论  7959次浏览  2013年03月20日 星期三 12:41

分享到: 更多
我们愿意把个人信息提供给商业机构,从本质上来讲是一种商业交换。个人信息和其他财产一样可以资本化、可以流通,并在此过程中创造经济价值和社会财富。

本文为adexchanger.cn广告技术流总编张迪为创事记约稿,作者SallyQ,现在一外资律师事务所工作,拥有中国律师执业资格和纽约州执业资格,曾就读于复旦大学,芝加哥大学。

精准广告投放这一新兴行业日前因为央视的3.15晚会成为公众焦点。广告业的朋友感叹自己一不小心就从高新技术变成了人民公敌。作为法律人,不免从法律的角度看问题——互联网不是第一次遭遇隐私权这个话题,何去何从,有待理性的立法来给一个公允的标准。令人遗憾的是,在社会发展日新月异的互联网时代,立法者的智慧往往会滞后半拍。立法缺失、媒体先行,虽可以引发社会关注推动立法进步,但舆论过早的片面导向却可能将新兴行业扼杀在摇篮里。

个人信息保护——到底哪些是隐私?

个人信息,包括姓名、年龄、性别、职业、收入、住址、兴趣爱好等等,涉及到各项人格权利,其中最重要的是隐私。简单来说,隐私是保留个人秘密不被他人知晓、保留个人生活空间不被他人打扰的一种权利。

在注重个人价值的西方国家,隐私权早被视为一项基本的公民权利。但在我国的立法中,隐私权并未作为一项单独的权利得到立法保护,最为接近的是民法及相关司法解释中所提到的对于宣扬他人隐私致使他人名誉受到损害时按照侵害名誉权处理的规定。值得注意的是,并非所有的个人信息均涉及名誉,正常情况下公布仅仅与个人身份有关的信息并不会造成个人名誉受到损害——以手机号码为例,一旦泄露,可能会导致你经常接到无良商家的骚扰电话或短信,但并不会损害你的名誉。

随着信息社会的到来,个人信息的商业价值日益凸显。很多国家将个人信息保护单独立法,即是保护个人的人格权益,也是保护个人的财产权利。

但是,和所有的权利一样,个人信息并不是一项绝对的权利。国家机构为了执行其立法、执法、司法、行政的职能在很多情况下都要采集个人信息。医疗、电信、金融、交通、教育等各种盈利或非盈利性机构为了提供服务也需要采集个人信息。个人为了社交的需要,也会通过不同的方式和平台主动的提供个人信息。我们的户口、身份证、银行卡、淘宝账号、电子邮件、微博哪一项不是个人信息的记录?如果不提供这些个人信息,从大的方面讲我们的社会将无法有序运行,从小的方面讲我们就享受不到这些和我们生活息息相关的服务。我们愿意把个人信息提供给商业机构,从本质上来讲是一种商业交换。个人信息和其他财产一样可以资本化、可以流通,并在此过程中创造经济价值和社会财富。

央视旗下互联网企业CNTV就允许第三方Cookie植入,说明CCTV互联网部门是明白其中的奥妙的。

Cookie追踪过程是否程序合法?

互联网重塑了我们的现代社会。个人在互联网上的活动产生海量的个人信息。信息流通的方式变得数据化。信息交换的速度也因互联网的存在而几何级增长。各种传统行业因为互联网而改变其传统模式,各种新兴行业也应运而生。第三方数据公司,在央视报道中被赋予了不少神秘色彩,其实,这也不过是传统广告行业链上衍生出来的一个环节。

我们每天上网,搜寻信息、联系朋友、消磨时间。互联网理所当然成为一个新的广告投放平台。大的网络平台如Google、百度、雅虎等都有广告位,广告主购买广告位投放广告,并聘请第三方的公司对广告投放的效果进行检测和评价;这和传统的媒体广告运作模式并无本质区别。

作为消费者,我们的网上行为和我们的线下行为一样反映了我们的需要和偏好;广告主为了更加精准地投放广告对这种行为模式进行分析,研究我们经常浏览什么网站、搜索什么信息、可能对什么信息感兴趣。这本身也不是一个全新概念,因为传统的媒体广告模式下也有行为主义定向(behavioral targeting)和用户档案创建(profiling)。例如,信用卡公司通过要求申请人填写完整的申请表格了解持卡人的财产状况和其他个人信息,并通过追踪持卡人的消费记录进一步了解其消费习惯,据此发行适合各类人群的不同种类的信用卡,并与不同商家合作推出各种优惠促销促进持卡人消费。与传统的方式相比,在线追踪只不过是通过信息技术的手段使得信息的搜集和分析更加便捷。

央视报道中反复出现的“Cookies”就是在线追踪的一种技术手段。Cookie是某些网站在用户访问时通过用户的浏览器所储存在用户电脑里的信息,利用这个信息,网站可以追踪用户的网页浏览活动。许多大的网络平台都装有这种Cookies,目的是为了方便用户对网站的体验和使用,例如我们在亚马逊网站上买书,可以随时把选中的电子书放入购物车,网页会根据我们浏览的项目推荐我们可能感兴趣的项目,在结账时付款信息和邮寄地址栏里会跳出我们之前所填写过的内容——这都得益于Cookies。

在网站上投放广告的广告主、营销公司和第三方的数据公司,在征得该网站同意后,也能在网站上设置Cookies,目的是为了实现更精准的广告投放。因为网上采集的海量信息分析需要专业技术,广告主往往依赖于第三方的数据公司。在网络广告和新兴传媒发达的欧美国家,这已经不是什么行业秘密,但在央视的报道中,记者得知门户网站允许第三方公司在其网站上安装Cookie时还是表现了相当的惊讶,很大程度上是因为国内对这个行业完全缺乏了解。

目前,这些新兴技术公司因为央视的报道摘掉神秘的面纱,从幕后走到台前,也未必不是一件好事。另外央视旗下互联网企业CNTV就允许第三方Cookie植入,说明CCTV互联网部门是明白其中的奥妙的,并应该做过评估,而315晚会记者应该是以新闻性为出发点报道了这个产业。作为第三方公司的销售,这种夸大技术追踪效用的行为,值得反省并规避。

数据采集方应该增加透明度,给予消费者自愿选择的权利。

合法与非法的界限到底在哪?

网站、广告行业和第三方数据公司所从事的网上数据搜集和追踪,对消费者来说有利有弊。好处是网站可以据此提供更加方便的用户体验、更加个性化的浏览内容;另外,商业广告也能够更加有效的直达可能产生消费需求的用户群体,这都将使消费者直接或间接受益。弊端是,网站、广告行业和第三方数据公司所收集的信息,如果没有行业自律和法律监管,有可能被滥用,侵犯消费者的隐私权和其他权利。

权衡利弊,制定游戏规则才是当务之急。然而,即使是在一贯注重隐私权保护的欧盟和美国,在这方面的立法都还处于谨慎的探索阶段——欧盟去年提出新的《数据保护法案》的草稿,目前尚在审议和不断修改的过程中,最乐观的估计也要今年年底才能定稿和通过;美国到目前为止,尚未专门针对网上数据搜集和保护制定统一的联邦法律,而是主要通过联邦贸易委员会(FTC)从公平贸易和防止市场欺诈的角度进行个案调查,并推动和指导行业协会制定和完善行业自我约束机制;美国出现了Truste等私有网站隐私认证公司,这表明消费者是有隐私意识的,更愿意上Truste认证过的网站,美国是通过私有公司的商业利益诉求来满足监督与供需关系,并不会抹杀市场的创造性。

从欧盟和美国的实践来看,目前的立法趋势有以下几点:

一、要求数据采集方增加透明度。即告知消费者其数据采集行为、采集的数据的内容及用途,并在某些情况下要求数据采集方向被采集数据的消费者开放其数据。美国FTC在其2012年发布的《消费者隐私保护报告》中还首次提出了关于要求第三方数据中介机构(Data Brokers)向消费者公开身份的建议,FTC建议这些机构创建一个统一的网站,向消费者介绍其所从事的业务并允许消费者浏览其所收集的针对该消费者的数据。但这一措施目前还只是停留在建议的阶段,并没有强制执行。

二、要求数据采集方给予消费者自愿选择的权利。消费者可以接受也可以拒绝其个人数据被采集。这与传统的市场理论是一脉相承的,个人数据作为一项财产,消费者应该有自愿交易的权利;个人数据被采集对消费者而言,有利也有弊,理性的消费者均可以自行权衡轻重。值得商讨的实施中的细节——需要怎样的程序和行为来确认消费者的选择?

争论的焦点是在消费者不选择的情况下,如何默认消费者是否同意追踪。目前,欧盟的《数据保护条例》的草稿,要求数据采集方获得消费者在知情的基础上自愿作出的明确同意,包括在浏览某一网站时在网站提供的备选框中打钩,但前提是网站在要求消费者打钩的声明中关于数据采集的要求必须清晰、简明且不应不正当地影响或中断网站正在向消费者提供的服务。

美国FTC倡导的则是更具可操作性的“Do Not Track”(DNT),大致思路就是利用某种技术方式让消费者可以通过浏览器向其浏览的网站发出“别跟踪我”的信号,收到消费者的讯号的网站将必须遵守消费者的选择,停止跟踪。但目前,对于很多技术细节还在热议过程中,包括具体采用什么技术方案来审核(Cookies, HTTP header, 或其他方式),如何监督网站是否遵守,网站收到DNT讯号后是否还是可以为了定向广告之外的其他的目的保留跟踪和某些Cookies。

三、对个人数据视其性质区别对待。欧盟的《数据保护条例》规定只有可以明确指向或可辨识个人身份的信息才属于该条例保护的个人数据的范畴,匿名信息不在此列。FTC的《消费者隐私保护报告》也开宗明义地提到了其仅适用于可以联系到某个特定消费者或特定一台电脑的信息,且同意“如果数据采集人采取合理措施避免身份识别、并承诺不识别也不允许下游的使用者或接收方通过该等信息进行身份识别,则可以不适用报告中的建议方案”。

另外,欧盟和美国均区分各类个人信息,并将与健康、性、宗教信仰、儿童等有关的信息视为特别敏感的信息,加以特别保护。对于正规的第三方数据采集方而言,其采集数据的目的并不是为了识别用户个人身份,或是获取敏感信息,而是通过自动化的大数据分析为广告投放提供建议;因此,从行业自律的角度来说,最好的方法就是在收集过程中屏蔽敏感信息,强化数据安全保护,避免无关的人员接触信息并严格禁止任何员工对所接触到的信息进行身份识别。

(作者声明:本文所有言论仅代表个人观点,与供职的律师事务所无关;且纯属为个人兴趣所作的研究,亦不应作为向客户提供的法律意见。如需要专业的法律意见,建议与其本人进一步接洽nikita.mq.111@gmail.com。)

文章来源:新浪创事记

标签:cookie用户隐私

我的评论:

请  后发表评论。