收集Cookie存争议 网民有知情权和选择权

继央视3.15晚会曝光了Cookie相关的新闻后，Cookie与网络隐私权问题便成为网友关注焦点。笔者通过对业内人士采访发现，Cookie背后却是隐含着巨大的商业价值，目前已有大批网友呼吁保护隐私问题。

揭秘

Cookie背后的商业隐私

2013年央视315晚会曝光了一些互联网广告企业利用Cookies分析用户上网行为，窃取个人隐私后，不少业内人士开始就Cookie是否存在泄露用户隐私问题展开了辩论和揭秘。

有业内人士介绍，之所以称此次315晚会曝光的是人为事故，主要原因还是Cookie被滥用造成的。根据Cookie在维基百科中的解释，其存在是为了让网站能够辨别用户的身份，这样用户可以更好的访问网站进行交互。比如我们在网上购物时会用到“购物车”，即使你打开了另外一个商品页面，之前购物车中的商品也不会消失；当你在某网站看了几篇科技新闻后，你还会看到网站给你推荐的“猜你喜欢”内容。

你一定有这样的经历，登陆某网络论坛后关闭了该网页，当你再次打开时，你的论坛状态仍然显示的是“登陆”。这说明Cookie保存了你的用户名密码信息，但同时要注意的是，Cookie已经将这些敏感信息进行了不可逆加密。

可以看出，英文名为“小甜饼”的Cookie的诞生的确给网民上网带来了“甜头”，但同时一些互联网厂商也开始觊觎其背后的巨大商业价值。

据业内人士介绍，当用户访问某一个网站时，只有该网站有权建立并读取用户在该网站的相关Cookie信息，比如你访问了淘宝网购物，而你的购物车信息是不会被京东商城读取的。但是有一些互联网企业偏偏动起了歪脑筋，他们使用一种叫做“网络臭虫”方法在一些访问量巨大的网站加入一段臭虫代码，这样他们就可以收集该网站用户的网页浏览器、停留时间、购物商品等个人偏好信息，在统计分析这些个人信息后，这些公司就可以向用户精准投放广告，或者再向其他需要这些个人信息的公司出售获利。

业内观点

隐私Cookie泄露是安全厂商集体失职

对于Cookie泄露隐私的问题，实际上，Cookie中保存的用户名、密码等个人敏感信息通常经过加密，很难将其反向破解。但这并不意味着绝对安全，黑客可通过木马病毒盗取用户浏览器Cookie，直接通过偷取的Cookie骗取网站信任，这意味着黑客根本无需输入用户的账号密码也可登录网站。

对此，有业内人士认为，Cookie隐私的泄露，实际上是安全厂商集体失职所致。比如黑客通过构造一个有XSS（跨站脚本攻击）漏洞的网页，然后利用恶意脚本欺骗目标服务器，就可以直接盗取网站管理员的网站后台登陆Cookie，最后控制整个网站。而一旦该网站中存储了大量的注册用户信息，个人隐私同样面临泄露风险。

据介绍，自1993年Cookie诞生以来，其就拥有专属性原则，即A网站存放在Cookie中的用户信息，B网站是没有权限直接获取的。但是，现在一些第三方广告联盟的代码使用范围很广。这就造成用户在A网站搜索了一个关键字；用户继续访问B网站，由于B网站也使用了同一家的第三方广告代码，这个代码是可以从Cookie中获取用户在A网站搜索行为；进而展示更精准的推广广告。

因此，跨站Cookie恰恰就是用户隐私泄露的罪魁祸首，所以限制网站使用跨站Cookie，给用户提供禁止跟踪（DNT）功能选项已成为当务之急。

据了解，目前IE、Chrome、360、搜狗等浏览器均可以快速清除用户浏览器网页的Cookie信息。但从目前整体的隐私安全保护环境来看，安全软件仍然存在着巨大的防护缺口。所以安全软件也可以并且有必要提供定期清理网站Cookie，并监测跨站Cookie使用的功能，保护用户隐私安全。

收集Cookie存争议 应尊重网民知情权和选择权

目前，许多网民都开始寻找清除Cookies信息保护个人隐私的方法，仅新浪微博的搜索量就达到140万。实际上，围绕Cookies是否会泄露用户隐私的争论一直在持续，多数人都认为Cookies在为上网提供方便的同时，也面临着被部分企业窃取滥用的风险，目前有必要对我国的网络隐私保护规范立法，保护每个网民的个人利益。

据专业人士介绍，对普通网民来说，Cookies主要用来判定注册用户是否已经登录网站，这样可以免去用户重复登录网站的繁琐。试想如果你刷新一次微博都需要重新登陆，想必就没有多少人愿意上网了。

而Cookies的另外用途是网上购物的“购物车”功能。网民可能会在一段时间内在同一家网站的不同页面中选择不同的商品，这些信息都会写入 Cookies以方便最后网购结账。

但目前Cookies还有一个引起强烈争议的应用就是精准广告定位引起的隐私泄露。一些互联网企业使用Cookies跟踪的方式搜集用户的上网习惯，甚至跨越不同的网站记录某一个用户身份、在网页的浏览行为等特点，从而向用户精准推送广告。但这显然没有充分尊重网民的知情权和选择权。

互联网业内人士表示，许多浏览器软件推出的多项清理Cookie功能，无疑给用户网民提供了自主保护个人隐私的工具。央视315晚会对cookie的态度虽然有争议，但却让更多的人开始关注网络隐私保护，这对整个中国互联网发展都会起到正面的推动作用。

业内推荐

“禁止跟踪”功能 放置隐私泄露

对于隐私泄露问题，创新工场CEO李开复建议，所有邮箱首先要告知用户那些信息被使用，其次保证不滥用信息，并提供“禁止跟踪”选项，保护隐私。

据介绍，“禁止跟踪”（DNT）是国际互联网联盟在2012年提出的网络隐私保护标准。为实现商业利益最大化，一些网站采用跨站跟踪和Cookie跟踪等手段收集用户上网行为数据。但是，过度搜集此类数据涉嫌侵犯用户网络隐私。禁止跟踪的出现就是为了限制部分互联网企业过度使用用户隐私进行商业利益活动。

据了解，目前包括微软IE、谷歌Chrome、360安全浏览器等都推出的“禁止跟踪”功能，可以有效阻止某些网站的Cookies跟踪和跨站跟踪行为，对于那些不遵守禁止跟踪协议的网站，这些浏览器还提供了隐私保护浏览器模式以及Cookies清理。而对于央视315晚会节目中曝光的“难以清除”的Flash Cookie，360安全浏览器目前也推出了一键清理功能，可以有效防范个别企业滥用用户Cookie信息的行为。

值得一提的是，禁止跟踪功能目前仍然只是一个协议，所以必须要互联网企业自身自律，然而部分企业可能不遵守这个协议仍然收集用户隐私信息。所以目前许多浏览器软件及安全软件都推出了Cookies清理功能，也就是将隐私保护权交还给用户，同时配合“禁止跟踪”功能，可以最大化的保护个人隐私不被滥用。

而对互联网企业来说，在处理用户个人信息的问题上应明确自己的使用目的，不应滥用个人信息于不正当目的或出售给第三方广告营销公司。而在收集用户信息时也应明确告知用户哪些信息被采集以及使用目的，让用户真正明白、安全上网。

在上周日法制晚报社举办的以“Cookie引发的互联网隐私以及行业基础信任问题”为主题的研讨会上，来自各方的专家就Cookie泄露隐私问题进行了讨论和介绍。有观点认为，从行业来看，Cookie本身并没有罪，关键还是需要企业本身自律，同时通过国家制定行业标准保护用户隐私安全。

观点

尊重用户知情权和选择权 滥用Cookie不妥当

对于用户Cookie隐私泄露问题，知名知识产权律师、北京德和衡律师事务所合伙人姚克枫认为，作为工具来说，Cookie本身不能说是个错误。

姚克枫介绍，隐私在法律上的概念是，自己不为外人所知，也不同意让外人所知的信息。这些信息可能别人已经知道一些，也可能不知道，无论别人是否知道，自己并不想让别人知道的信息，这是做隐私法律概念上的定义。

“除非我们之前签了协议。如果没有经过我的同意，网站将我的个人信息披露给第三方，第三方利用我的信息做事情，法律上就涉及到隐私问题了。互联网用户每个人都有知情权，被第三方网站拿走的，第三方网站滥用的行为就侵犯到个人隐私问题。”

姚克枫告诉笔者，用户的Cookies如果用于商业用途，那就必须要尊重用户的知情权和选择权。这就是说，第一用户有权知道存储个人信息的Cookies到底用在什么商业用途上；第二用户有权利拒绝Cookies被用于商业用途。

而滥用Cookie最大的问题是精准广告，一些广告联盟，很多小网站和大的搜索引擎网站合作，联盟广告商利用了搜索引擎你上网的习惯、内容和信息，收集起来以后在联盟网站上投放，被其他网站利用。

姚克枫观点认为，从互联网企业角度来说应该加强自律，保存好个人信息，不要泄漏，也不要给第三方。对行业而言，互联网企业应该有行业自律，行业只有自律了，把Cookie、隐私上升到一定规范，把标准制定出来，什么情况下是妥当的，什么情况下是不妥当的，把它拟出来。而从主管机关、网络管理者角度来说，应该制定规范和指引，规范大企业和小企业如何利用Cookie，不要给第三方网站泄漏内容。

“坦白说中国的法律对这块不是很健全，我们也呼吁，法律层面上能够尽快地完善立法，尤其是对网络上这种追踪行为、给第三方提供（用户个人信息）的行为怎么定性。尽管现在企业自律、行业自律，行业还没有健全，法律有个基本原则——用户同意知情权，这个权利一定要给用户。总之，滥用Cookie的行为从哪个角度讲都是不妥当的行为。”姚克枫表示。

姚克枫：知名知识产权律师、北京德和衡律师事务所合伙人

　　观点

辛阳：北京邮电大学信息安全中心副教授、灾备技术国家工程实验室总工

Cookie就像菜刀一样，说它有隐患，它可以杀人，也可以切菜。不能把所有的责任归咎于菜刀。

研讨会上，北京邮电大学信息安全中心副教授、灾备技术国家工程实验室总工辛阳教授首先为在场的听众解释了什么是Cookie，Cookie究竟存在怎样的问题。

据辛阳教授介绍，北京邮电大学信息安全中心是国内最早进行信息安全研究的，从1989年就开始，而灾备实验室是我国第一个国家级灾备技术工程实验室。今天的话题是围绕着三个内容来讨论，一是互联网，二是隐私，三是Cookie。把三者关系解释清楚可能隐私问题就解释清楚了。

辛阳介绍，所谓隐私，是针对群体利益和公众利益的内容，包括三个方面：个人信息、个人事物、个人领域，这三个方面不想让别人知道或不希望别人打扰的方面。而且这个隐私最传统的意义是和羞耻感是关联在一起的，不告诉你是怕丢人。

在辛阳看来，信息社会一定会是往前发展的，而且发展得越来越快，计算机技术已经有几十年，互联网已经发展几十年，网络安全才几年受重视，人类历史这么长，我们这么短，现在物联网、云计算技术，把所有的信息集中在一起，隐私实际已经没了。

“隐私的意义拓展到互联网，就是你知道我访问什么网页，在互联网上把我家或我的电话号码公布了，不但是丢人的问题，而是更广意义的延伸。小范围内我俩是好朋友，你知道是没有关系的，而让全中国13亿人口都知道了，很多不安就出现了，所以互联网隐私范畴就扩大化了。”辛阳这样做了比喻。

而在本次的重点Cookie的介绍中，辛阳认为，Cookie诞生点是人本善的，从很美好的初衷来的，因为它和互联网的特点是关联的，互联网也希望给个人用户提供很好的体验，提供精确的内容。比如上次你喜欢看什么网页，开始的时候可能10步才到那个网页，要花时间。但有了Cookie之后一步就可以打开那个网页。

如果从学术角度讲，Cookie就是数据包，它记录着用户上网的行为以及上网特点以及上网输入的文字，甚至是用户名、密码，当然还有其他隐私内容。从企业角度讲，会把你的行为记录下来存在电脑上，下次来访问的时候我就知道你是谁，你喜欢什么，不喜欢什么，就可以给你提供更好的服务，而不是像第一次那样麻烦。因此，Cookie的初衷和目的是很好的。

当谈到Cookie是不是存在安全隐患时，辛阳表示，“它本身不能说有安全隐患。安全方面来说，操作系统存在安全隐患，系统存在漏洞等安全隐患，可能会被黑客利用。但Cookie和擦做系统是两个问题。操作系统相当于建一个楼，本身没装防盗门，所以贼就可以从没装防盗门的地方钻进来。Cookie的性质不一样，比如记录用户名或密码，一些很客观的数据放在这里，不同的人用它做不同的用途，产生不同的结果。”

观点

谷龙：博客中国副总裁

保护个人隐私 要把权力交给用户

对于个人隐私的泄露，在互联网专业人士博客中国副总裁谷龙看来，近几年已经成为常态化的问题

“1996年、1997年上网，申请电子邮件帐户还要反复跟你说三个月换一次密码，几个月调整一次，现在很少有这方面的安全教育。”谷龙谈到中国早期互联网发展的时候这样回忆。

谷龙认为目前国内互联网行业在谈隐私的时候没有严格的界定，法律上也没有清晰的界定，个人信息是需要在使用互联网的过程中披露的，比如在淘宝电子商务上买东西，要登记姓名、住址、电话等。但用户并不希望个人信息被不相干的网站去抓取和利用。

比如他在淘宝上购物，只在淘宝上使用这个信息，别的网站要通过别的手段，比如通过浏览器、Cookie或其他木马方式取得这个信息，这显然是不应该的。实际很多互联网公司目前在利用这个方式在做，比如广告商、健康网站、搜索引擎擅自利用之前用户访问的网站和它进行匹配，实际已经侵犯到了用户的隐私。

对于侵犯隐私的问题，谷龙认为，隐私保护是个平衡的话题，不是绝对的话题，是需要各方的平衡。其中，媒体的责任是要让大家知道什么是隐私，怎么样防护，让大家知道，不再那么紧张和害怕。而立法、法律也有法律的层面，真正触犯到法律边界的进行处罚和惩戒。厂商则是通过自己的良心和社会责任，通过市场，用户的选择来约束厂商。这是一个一定要综合考虑的事情。

在谷龙看来，应该把权利交给用户。谷龙表示，信息保护是用户具有网络支配权、选择权、知情权等权利。“在你使用一个网络产品时要知道你那些个人信息是怎么使用的，你可以选择提交给它还是不提交给它。搜索信息的时候要让用户知道网站抓取哪些信息，用于做什么？用户得有选择权。还需要用户知道这个信息是不是被别人做其他的用途。救济权，有隐私侵权之后用户要获得救济赔偿。”

观点

张鹏：资深媒体人、《商业价值》主编

应推动隐私保护从商业领域规范化

互联网的本质是什么？资深媒体人、《商业价值》主编张鹏在研讨会上也表达了观点。张鹏认为，互联网的本质是低成本制造更多的信息，低成本更快速地传播更多的信息，造成信息之间的流动速度加快，出现更多的信息。

在张鹏看来，个人信息的流动促进了互联网的服务，但要让公众了解个人信息所有权属于用户本身。“以前还有争论，用户个人信息是不是属于网站？以后我们要有这个意识，用户的个人信息是个人资产，可以用来交换价值，不是用来卖钱。比如做社会调查，完了给你送一个小礼品，也有人填写个人信息，北京平均15元/人出让个人信息。”张鹏表示。

张鹏认为，下一步媒体应该推动隐私保护从商业领域规范化，推动企业获取信息应该透明，清晰告诉用户为什么拿个人信息，资产是用户的，就要跟用户商量做不做这个交易。

“我拿你的信息，给你更多的服务。比如有的输入法读取用户输入信息是方便打字，所有的输入法在云端，不能简单说是窃取隐私，是不是事先沟通清楚了，获得用户理解认同很重要。”

张鹏表示，在信息保护的今天，用户对于企业的信任很重要。“我同意个人信息交换，也可以不同意，但有些服务就变得没法弄。比如装APP，里面有一堆权限吗，在于你信不信这个企业。对企业来讲，拿了用户信息会进一步要求他对数据挖掘能力的提升，你拿了用户的信息是不是给人提供很好的体验，说明做的东西有问题。”

在张鹏看来，互联网发展过程中，隐私的问题不可能绝对杜绝的。“世界上杀人的事儿都不能杜绝，隐私这个事儿怎么可能杜绝，只能说严惩，事后处理。”张鹏打了个比方，美国每年死在枪下的人那么多，美国也在争论枪械管制，互联网有一定的手段和提供一定的工具，造成风险。

张鹏认为，我们要了解整个社会的发展，从原来非数字化的人到一个数字化人的进化过程中必须完成的过程，积累到一定量突变，最后大家把这个事情控制在可控范围内，比如杀人、抢劫一定是控制在一定范围内大家觉得才可以。

“对这个事儿真正的力量，我不是说严重违法违规的问题去允许，比如盗取信息去诈骗或刷卡，这不用讨论，肯定法律严惩。但没有造成严重的后果不用急于在法律上延展。计算机技术刚刚开始，刚开始就限定最后很多东西会变得可笑。要相信市场，相信媒体的使用，谁做了坏事我应该让大家这是坏事，大家自然会用脚投票，我不去用它。”

张鹏表示，要相信市场，行业要自律，包括媒体有行业责任感，把事情说清楚和讲到位，让市场充分选择，这是大理石进程中必须要考虑的事情。

最后张鹏表示，要谨防个人隐私问题成为行业企业互扔的板砖，媒体别被当枪使。因为如果按现在尚不清晰的标准——个人信息等同于隐私，全互联网企业都可以拉去批斗。所以，企业应该避免因私利把整个行业的水搅混，这对行业发展不负责任。