Cookie信息的法律属性与刑法适用规则
摘要:互联网给我们的生活带来了极大的便利,但Cookie技术被广泛滥用严重危害了用户的人身和财产权益,需要运用刑法进行底线的规制设定来维持正常的网络秩序。司法实践中法院对Cookie信息是否属于个人信息存在分歧,应先明确Cookie信息的法律属性,然后完善刑法适用规则,在定罪上选择侵犯公民个人信息罪,把握合理经营与触犯刑法的界限;在量刑上要分析四种容易遇到的司法难点问题,分别是Cookie信息与公民个人信息数量不一致、获取个人信息是下一个犯罪的前提、出售或提供相同信息给不同主体、涉及三类信息无法达到法律规定数量的情况,需要根据各自特点进行具体问题具体分析。
关键词:Cookie信息;非法获取;个人信息;法律属性;刑法适用
一、引言
随着互联网的快速发展,Cookie技术被广泛应用,然而法律法规滞后、互联网企业管理失当等,导致像网易、品友、易传媒等网站非法捜集用户Cookie信息的问题层出不穷,通过Cookie信息对其涵盖的地域、兴趣爱好、IP地址等信息进行分析,最终达到对其用户进行精准识别和定位。互联网时代,Cookie技术是一种被普遍采用的技术,主要是收集用户的用户名、密码、兴趣以及上网轨迹等个人信息。技术初衷是通过分析Cookie信息,来掌握用户的上网偏好或习惯,以便提供更好的个性化服务或产品。但是,非法获取Cookie信息被滥用的行为大量存在,给公民的人身和财产利益造成了潜在的巨大威胁。司法实践中对Cookie信息是否属于个人信息的认定存在分歧,在《民法典》、《刑法》、《网络安全法》中均对个人信息作出了规定,但都因规定过于原则导致权利受到侵害时比较被动,因此需要从Cookie信息的法律属性进行分析以更好地保护公民个人信息安全。[1]
二、现状分析:Cookie信息的技术属性与司法认定差异
(一)Cookie信息的技术属性分析
Cookie信息是指储存在用户本地终端上的数据,实际上指某些网站为了辨别用户身份,进行Session跟踪而储存在用户本地终端上的数据(通常经过加密),由用户客户端计算机暂时或永久保存的信息。例如,网络用户某甲用自己手机浏览A公司的网址,在这中间则是向特定的网络服务器发送一个请求,网络服务器接到请求后便作出回应,便告知某甲的手机游览器端需要存储一些数据,当某甲下次访问该网址,则可以通过浏览器端存储的数据识别某甲,继而向某甲输出特定的内容。(如图1所示)
(图1:Cookie信息的技术原理)
Cookie信息是记载着信息的载体,是一串字符,通过特定的技术识别出具体的个人信息。然而,不同互联网企业所搜集的Cookie信息范围有所不同,并没有一个相对统一的格式,一般都会包括: 登录状态、登录用户名及密码、访问者所访问服务器的域名,访问开始及结束的时间,访问的网页内容、在每个网页的停留时间以及访问者的IP地址等。
(二)Cookie信息的司法认定差异
笔者通过中国裁判文书网已发布的文书检索,发现对Cookie信息进行认定的案件一共有5件。
(表1:司法实践中对Cookie信息的认定)
类型 | 案 件 | 案 号 | 裁 判 要 旨 |
民事 | 朱某诉百度公司一案 | (2013)鼓民初字第3031号(一审) | Cookie信息属于个人隐私,用户的上网偏好某种程度上可以识别某些私人信息 |
朱某诉百度公司一案 | (2014)宁民终字第5028号(二审) | Cookie信息属于不可识别的个人信息,具有隐私属性但无法确定信息归属主体,故不属于个人信息 | |
刑事 | 余某非法获取公民个人信息罪一案 | (2018)浙01刑终441号 | Cookie信息属于身份认证信息 |
毛某非法获取计算机系统数据罪一案 | (2014)深南法刑初字第692号 | Cookie信息属于身份认证信息 | |
黄某、翁某非法获取计算机系统数据罪一案 | (2014)余杭刑初字第1231号 | Cookie信息属于公民个人信息 |
正如表1所示,对Cookie信息法律属性的认定无论在民事还是刑事案件中都存在着较大分歧。在民事案件中,有的认为属于个人信息,有的认为属于个人隐私,是隐私权保护的范畴;有的则认为Cookie信息根本不具备可识别性,只是一串代码,无法实现从信息到个人的过程。在刑事案件中,有的法官则认为Cookie信息属于计算机犯罪中保护的数据,则可能构成非法获取计算机信息系统数据罪。有的法官就认为Cookie信息属于公民个人信息,对于违反国家规定将信息提供给他人情节严重的,则构成侵犯公民个人信息罪。
随着大家对个人信息地越来越重视,《民法典》、《刑法》、《网络安全法》等均对个人信息保护进行了规定。然而现实中对于Mac地址、设备ID、Cookie信息是否属于个人信息存在较大争议,故要遏制Cookie技术被滥用,必须先对Cookie信息的法律属性进行分析。[2]
三、理论探索:Cookie信息的法律属性分析
(一)行业对Cookie信息属性的现状分析
互联网行业内对Cookie信息是不是个人信息的态度,可以从各自的隐私保护指引中对Cookie信息收集使用的目的看出。笔者通过梳理了多款用户数量较多的APP,通过互联网公司,特别是互联网行业各类型的头部公司对Cookie信息的看法,对其的隐私政策进行了分析。
(表2:各大互联网企业收集Cookie信息的目的)
互联网企业 | Cookie信息收集使用的目的 |
淘宝网 | 主要为了保障产品与服务的安全、高效运转;展示可能感兴趣的信息或功能,并优化对广告的选择。 |
微博 | 保障产品或服务的安全、高效运转;帮助改进服务效率,提升登录和响应速度;简化操作步骤;推荐、展示、推送可能感兴趣的内容或账号;了解偏好和使用习惯,进行数据分析,以改善产品服务、推荐感兴趣的信息或功能,并优化您对广告的选择。 |
支付宝 | 帮助省去重复输入的步骤;判断账户安全状态。 |
腾讯视频 | 确保平台的正常运转;简化重复操作的步骤(如注册、登录)、便于查看使用历史(如视频观看历史);提供更切合个人需要或您更感兴趣的服务内容;保护信息和账号安全性;提升产品和服务等。 |
抖音 | 保障产品与服务安全、高效运转;帮助获取更轻松的访问体验;推荐、展示、推送可能感兴趣的内容或账号。 |
高德地图 | 保障产品与服务安全、高效运转;省去重复填表、输入搜索内容的步骤和流程 |
如表2所示,各大互联网企业获取Cookie信息真正的目的还是为了进行内容或广告的精准投放,达到千人千面的效果,从本质上讲就是各大互联网企业的互联网产品给每个人呈现的内容都是不一样的。
(二)Cookie信息属于公民个人信息
Cookie信息的法律属性存在较大分析,主要存在三种学说。学说一:隐私说。所谓的隐私就是比较私密的信息,不愿意公开的信息,而Cookie信息一般也较为秘密,按照常理判定也不愿意被公开,符合隐私的特征。由于个人信息与隐私具有重合性,且个人信息包括并大于隐私,在适用时优先适用隐私规则。[3]学说二:个人信息说。个人信息是指通过活动轨迹通过数字化的方式能够识别具体身份,虽然单单通过Cookie信息无法指定特定人,但通过分析、整合可以识别到特定的人,因此属于个人信息。[4]学说三:计算机数据说。Cookie信息只是存储于用户计算机端的一串数据,不具备可识别性。此外,无法确认具体的信息归属主体,其终端一般为手机、电脑等,不能定向识别到使用该终端的用户身份。[5]
笔者认为,Cookie信息属于个人信息。第一,对于个人信息的定义在《民法典》、《网络安全法》、《个人信息保护法(草案)》、《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《解释》)均有规定,其中《网络安全法》对个人信息的定义最为全面,并列举了姓名、出生日期、身份证号码、个人生物识别信息、住址及电话六种主要信息,但是这六种信息已经不能完全覆盖当下五花八门的信息类别,需要随着时代发展不断完善和扩充,而Cookie信息显然属于个人信息定义范畴内的信息。[6]第二,在司法实践里对个人信息的认定,一直采取单独识别和结合识别标准,也就是说一切可识别到特定人的信息,都是个人信息。反之,不可识别到特定人的信息,不是个人信息。Cookie信息能与其他信息相结合识别到特定的人,达到了结合识别的标准,符合个人信息的特征。第三,手机、笔记本作为终端,一般存在特定用户长期使用,特别是随着移动互联网的普及,人类对手机依赖程度越来越高后,设备中的Cookie信息实际上具备了识别用户身份的特征。以手机为例,像当下许多软件可以通过短信验证码登录,侧面说明了手机与人是一一对应的,而Cookie信息附属在手机上,且每台手机Cookie信息必不相同,更加说明了该信息与人是一一对应的。
综上述所,Cookie信息虽然形式上看只是储存在用户设备端上的一个数据,本质上却记载着公民个人信息,能够结合识别出特定人身份的信息。随着对个人信息保护制度的不断完善,对个人信息治理体系和治理规则在不断提高,2017年最高法、最高检颁布《解释》,核心是对入罪门槛的界定,而互联网时代非法获取Cookie信息的行为很容易达到入罪门槛,因此当下急需对刑法适用进行探讨。新业态的出现其实在早期需要及时运用刑法设置底线,确保一个基本的井然有序的网络环境,减少无序发展,提升网络环境的法治治理水平和治理能力。
四、司法构建:Cookie信息的刑法适用规则
(一)定罪分析:侵犯公民个人信息罪
1.侵犯公民个人信息罪与非法获取计算机系统数据罪分析。如上文所述,Cookie信息做为公民的个人信息,需要及时运用侵犯公民个人信息罪进行保护。然而行为人通过技术非法获取Cookie信息应是侵犯公民个人信息罪亦或是非法获取计算机系统数据罪,笔者认为应定侵犯公民个人信息罪。
当行为人非法获取Cookie信息的同时可能触犯了上述两个罪名,因行为只实施了一个行为,却触犯了两个罪名,属于想象竞合犯,需择一重罪处罚。[7]然而两罪的最高刑是一样的,实践中对罪刑轻重会存在难以区分的情况,此时需要考虑到两罪的入罪条件。根据《计算机犯罪的司法解释》第一条对于身份信息的入罪需达到500组以上。而在《解释》第五条则按照信息的敏感程度(笔者将其分为:重度敏感、中度敏感、一般敏感三类信息),分别是50条、500条和5000条以上满足入罪条件。所以两罪在非法获取行踪轨迹、通讯内容、征信信息、财产信息时入罪标准有较大出入,非法获取计算机系统数据罪入罪标准显然高于非法侵害公民个人信息罪,若按照非法获取计算机系统数据罪定罪则不利于对Cookie信息这类敏感个人信息的保护。为了更好地体现罪刑相适应、罪刑法定,也为了更好地保护公民个人信息,显然对非法获取Cookie信息以侵犯公民个人信息罪定罪更为合适。而且从法益保护的角度,Cookie信息被非法获取之所以需要保护是因为侧重点在于其属于公民的个人信息,而不是因为Cookie信息属于计算机数据,且在人的基本权利显然高于物的衍生权利,所以定侵犯公民个人信息罪能更好地保护权利人的人身和财产权益。
2.合法经营活动的定罪量刑分析。获取Cookie信息大部分情况下是为了精准推送内容或者广告,并没有违法经营活动,因此《解释》第六条做出了规定,但若触犯了《解释》第五条第一款第三项、四项以外的个人信息仍可能构成犯罪,但笔者认为两条属于普通规定与特殊规定的的关系,应当适用特殊规定。例如,从事合法经营获取公民Cookie信息8000条,按照第五条规定行为人构成了侵犯公民个人信息罪,但若经营者实际获利未超过五万元则不构成侵犯公民个人信息罪。在司法实践中的难点就在于对获利所得的认定上,需要灵活运用举证责任分配,因为获利所得计算的主要证据在经营者已方,需要让经营者积极配合司法机关进行获利所得的认定,例如提供广告合同、客户数据、后台运行数据等。[8]
(二)量刑分析:完善对Cookie信息数量的认定规则
Cookie信息具有特殊性,在数量的认定上与公民个人信息存在一定的区别,笔者认为需要考虑以下几个方面。
1.Cookie信息与公民个人信息数量不一致——应按照实际获取公民个人信息数量进行认定。当下一般人手一部手机,若非法获取Cookie信息,则实际获取的个人信息数量是与获取的Cookie信息数量是一致的,然而拥有2部以上手机的情况逐渐增多,会导致获取的个人信息实际会小于获取Cookie信息的数量,无法实现一一对应。笔者认为司法实践中应当以实际获取公民个人信息的数量为准。因为例如一人拥有5部手机获取全部的Cookie信息,经过综合判定得出其实际只获得了一个人的个人信息,实质性侵害的法益也仅仅为一个人的法益。
所以在个人信息数量进行认定时,不能仅仅依据Cookie信息的数量,而是要通过个人信息本身的含义,审查认定实际获取个人信息的数量。
2.获取个人信息是下一个犯罪的前提——应以获取数量作为公民个人信息的数量进行认定。实践中,行为人通过技术获取Cookie信息进行综合分析进行内容、广告精准推送。可能会存在行为人获取了1000个Cookie信息,但是实际只对100个Cookie信息进行分析,也就是从信息到个人的过程,那么如何认定就成了一大难题。存在两种标准,结果标准和形式标准。结果标准就是无论行为人实际上获取了多少个Cookie信息,但实际上只对其中一部分Cookie信息进行了识别,从实质结果角度衡量,即只对100个Cookie信息进行评价。形式标准就是客观上可能侵害的法益数量来进行认定,无论对Cookie信息实际进行了多少识别,仍然按照1000个Cookie信息进行定罪量刑。笔者认为数量的认定因遵循形式标准,按照实际获取的Cookie信息进行认定,因为刑法对于该罪的设定来看,该罪名属于典型的行为犯,即只需要实施了获取的行为,无论获取的是直接可以识别的个人信息还是需要结合识别的个人信息,虽然《解释》中设定了入罪门槛,但并不意味着这是结果犯,《解释》设置的数量是为了方便司法实践的操作。此外,按照实质标准认定,实则是对没有进行处理的信息保护的脱离,其实另外900个Cookie信息的潜在危险仍然存在。退一步讲,侵害公民个人信息罪保护的法益是公民的个人信息,而此时行为人已经对1000个Cookie信息持有人的个人信息进行了侵害,若不对另外900个Cookie信息进行评价显然不符合立法本意。
3.出售或提供相同信息给不同主体——累计个人信息的数量认定。《解释》的第十一条规定了对于非法获取个人信息后又出售或提供给给统一单位或个人的,不再重复计算个人信息的数量,因为侵害的法益始终具有同一性,后面的行为吸收了前面的准备行为,因此无须重复计算个人信息条数。但如果将个人信息这些数据给不同的单位或个人,因为对于不同单位或个人来说这些信息都是全新的,而且行为人实施了两次行为,所以应累计计算,而且该行为会给被害人造成潜在的危险机率增加,行为人的社会危害性也相对较高。
4.涉及三类信息无法达到法律规定的数量的情况——按照比例原则认定个人信息的数量。《解释》第五条对于个人信息敏感程度的不同对相关的数量也作出了要求,按照重度敏感、中度敏感和一般敏感分别是50条、500条和5000条。但是可能存在行为人所获取的数量均未达到,比如行为人获取重度敏感信息30条,中度敏感信息300条,一般敏感信息3000条,若对该行为不定罪量刑显然不合乎常理。这就需要充分发挥法官的自由裁量权,从司法解释进行推算,按照比例原则将重度、中度、一般的比例为1:10:100,所以10条中度敏感信息相当于1条重度敏感信息,以此类推,行为人获取的重度敏感信息是90条(中度敏感信息300条等于重度敏感信息30条,一般敏感信息3000条等于30条重度敏感信息),行为人达到了侵犯公民个人信息的入罪标准。
五、结语
现代技术获取Cookie信息不难识别到个人,一旦被非法获取、利用,将带来巨大的危害。因此除了事先经过明确同意,按照法律规定的收集和利用外,其他一切非法获取Cookie信息的行为都可能构成侵犯公民个人信息罪。法院在认定Cookie信息数量时需要分别考虑Cookie信息与公民个人信息数量不一致、获取个人信息是下一个犯罪的前提、出售或提供相同信息给不同主体、涉及三类信息无法达到法律规定的数量四种情况,以更好地保护公民个人信息的安全,促进个人信息领域的治理能力和治理体系现代化。
[1] 王利明:《民法典开启权利保护的新时代》,载《检察日报》2020年5月20日第3版。
[2] 喻海松:《网络犯罪二十讲》,法律出版社2021年版,第215页。
[3] 王利明:《和而不同:隐私权与个人信息的规则界分与适用》,载《法学评论》2021年第2期。
[4] 张新宝:《互联网生态“守门人”个人信息保护特别义务设置研究》,载《比较法研究》2021年第2期。
[5] 吴沈括:《个人信息刑法保护与网络企业风控思维》,载《人民检察》2018年第18期。
[6] 张延来:《网络法战地笔记》,法律出版社2019年版,第192页。
[7] 张明楷:《刑法学》,法律出版社2016年第5版,第462页。
[8] 刘宪权、房慧颖:《侵犯公民个人信息罪定罪量刑标准再析》,载《华东政法大学学报》2017年第6期。