随着社会发展人们逐渐离不开互联网,大数据精准营销是大数据应用的典型场景之一,也是互联网推广行业升级转型的重要体现。然而,大数据精准营销在发展过程中,也面临着法律与合规的问题,其中最为突出的是数据获取与数据使用。本文旨在结合案例,对此做出简要分析。
1、案情与法院判决
事实与诉由:原告朱某在家中和单位上网浏览相关网站过程中,发现利用百度搜索引擎搜索相关关键词后,会在百度广告联盟的特定网站上出现与关键词相关的广告。朱烨认为,百度公司未经其知情和选择,利用网络cookie技术记录和跟踪朱烨所搜索的关键词,将其兴趣爱好、个人需求等显露在相关网站上,并利用记录的关键词,对其浏览的网页进行广告投放,侵害了其隐私权,使其感到恐惧,精神高度紧张,影响了正常的*和生活。2013年5月6日,朱某向南京市鼓楼区人民法院起诉百度公司,请求判令立即停止侵害,赔偿精神损害抚慰金10000元,承担公证费1000元。
南京市鼓楼区人民法院一审判决认为,个人隐私应*含个人的私人活动和私有领域。朱某利用特定词汇在百度进行网络搜索的行为,将在互联网空间留下私人活动的轨迹,而这一活动轨迹展示了其个人上网的偏好,反映个人的兴趣、需求等私人信息,在一定程度上标识个人基本情况和个人私有生活情况,属于个人隐私的范围。因而,一身判决百度公司构成侵犯个人隐私。二审则认为:收集网上浏览信息,该信息的匿名化特征,不符合个人信息的“可识别性”要求,而对于信息推送问题,二审法院认为,推送信息的终端是浏览器,而不是具体个人。
本案还有一个焦点,即百度公司在隐私政策中的告知是否充分。一审法院认为,虽然百度在网页中有《使用百度前必读》,但位置处于网页最下端,且字体名下较小,不足以起到明示告知和选择同意的效力。二审法院则认为,因为百度公司在《使用百度前必读》已经明示了使用cookie技术的方式、使用cookie技术的后果,且提供了禁用cookie的渠道,因此,视为百度已经明示告知,从而不构成侵权。
2、《网络安全法》视角的重新审视
由于该案件发生在《网络安全法》及2017《关于侵犯公民个人信息案件的解释》、《信息安全技术-个人信息安全规范》等法律、规范性文件颁布和生效之前,南京鼓楼区法院与南京中级法院的判决各有论据。
如果以新的规则审视该案件,以下两点是需要特别关注的:
其一、cookie信息是否属于个人信息?
最高人民法院2017年颁布的《关于侵犯公民个人信息案件的解释》*条,明确将“以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,*括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等”纳入个人信息范畴。按照广义的理解,行踪轨迹也可以*括网络浏览记录。而在《信息安全技术-个人信息安全规范》中,除了沿用这一概念外,还采取列举方式对个人信息进行了表述,其中,个人上网记录(网络日志储存的用户操作记录,*括网站浏览记录、软件使用记录、点击记录等),个人常用设备信息(*括硬件序列号、设备MAC地址、软件列表、唯一设备识别码(如IMEI/android ID/IDFA/OPENUDID/GUID、SIM卡IMSI信息等),均被纳入个人信息范围。按照这一原则,百度cookie案件所确定的个人信息判定原则已经被改变。
其二、cookie信息的获取方式和使用方式告知是否充分?
《网络安全法》等法律法规、规范对于信息收集和使用,均确立了明示同意原则。即网络运营者收集、使用个人信息,应当公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。根据《信息安全技术-个人信息安全规范》的界定,收集个人信息前,应向个人信息主体明确告知所提供产品或服务的不同业务功能分别收集的个人信息类型,以及收集、使用规则,并获得个人信息主体的授权同意。
明示同意,意味着网页的告知内容及禁用某项应用的内容应相对醒目和便于用户识读。对此,由于已经无法获得当时百度网页的告知内容,故无法做出明确的判断。但法官基于自由心证的判断,在保护网络用户与维持网络经营者经济利益面前,应采取衡平的准则,偏向弱势一方的利益保护。
网络精准营销是互联网时代的大数据应用典型案例,也是个人信息保护领域需要关注的问题。百度cookie案的审理,以及在新法规形势下的再审视,对于衡平个人隐私与企业商业利益不无裨益。