我國(guó)個(gè)性化推薦中個(gè)人信息保護(hù)存在的問題分析綜述目錄TOC\o"1-2"\h\u15018我國(guó)個(gè)性化推薦中個(gè)人信息保護(hù)存在的問題分析綜述 146011.1個(gè)人信息保護(hù)邊界模糊 1207731.1.1個(gè)人信息可識(shí)別性的認(rèn)定問題 1140201.1.2網(wǎng)絡(luò)行為信息的法律屬性爭(zhēng)議 213271.2用戶的個(gè)人信息權(quán)益無法得到保障 487091.2.1信息收集階段：告知同意原則的落空 4249451.2.2信息使用階段：個(gè)人信息“失控”風(fēng)險(xiǎn) 61.1個(gè)人信息保護(hù)邊界模糊1.1.1個(gè)人信息可識(shí)別性的認(rèn)定問題盡管我國(guó)個(gè)人信息保護(hù)的相關(guān)立法中均明確規(guī)定了個(gè)人信息的可識(shí)別性，但在個(gè)性化推薦中個(gè)人信息保護(hù)的司法實(shí)踐中，法院對(duì)于個(gè)人信息可識(shí)別性的理解卻存在著一定的問題。下文以我國(guó)第一起cookie隱私權(quán)糾紛案——朱某訴百度隱私權(quán)侵權(quán)案[[]江蘇省南京市中級(jí)人民法院(2014)寧民終字第5028號(hào).[]江蘇省南京市中級(jí)人民法院(2014)寧民終字第5028號(hào).2013年5月6日，朱某向南京鼓樓區(qū)法院提起訴訟，稱其利用百度搜索引擎搜索含有“減肥”“豐胸”等關(guān)鍵詞的相關(guān)信息后，在瀏覽其他屬于百度網(wǎng)盟的網(wǎng)站時(shí)，竟然出現(xiàn)了與關(guān)鍵詞相關(guān)的廣告推送。朱某認(rèn)為，百度使用cookie技術(shù)將她的個(gè)人需求、愛好等信息對(duì)相關(guān)網(wǎng)站進(jìn)行披露，并使用這些信息在相關(guān)網(wǎng)頁上投放定向廣告，已經(jīng)構(gòu)成了對(duì)其隱私權(quán)的侵害。一審法院判決指出百度公司的行為確已符合法律規(guī)定的侵犯隱私權(quán)的情形，因而支持了原告的訴求；但二審法院的判決結(jié)果卻截然相反。本案中，導(dǎo)致二審法院推翻一審判決最關(guān)鍵的因素是：法院認(rèn)為用戶搜索關(guān)鍵詞的行為信息不具備可識(shí)別性。二審法院認(rèn)為，盡管朱某搜索“減肥”“豐胸”等詞條的行為確實(shí)帶有隱私性質(zhì)，但是搜索記錄已經(jīng)與信息主體的真實(shí)身份分離開來，因此，朱某的關(guān)鍵詞搜索記錄實(shí)際上并非法律意義上的個(gè)人信息；此外，法院認(rèn)為在百度公司的整個(gè)定向推送過程中，百度沒有通過朱某搜索關(guān)鍵詞信息推測(cè)其真實(shí)身份，因此最終駁回了朱某的起訴。本文認(rèn)為，本案中，法院對(duì)個(gè)人信息法律屬性的理解存在以下幾大問題：將個(gè)人信息與隱私的概念相混淆。本案中，一審法院與二審法院在判決中都未對(duì)隱私與個(gè)人信息作出明確的區(qū)分，而是直接將該案中的個(gè)人信息納入隱私范疇內(nèi)討論，這是《民法典》頒布前我國(guó)司法實(shí)踐中的常見問題。《民法典》出臺(tái)后，對(duì)于隱私與個(gè)人信息做出了明確區(qū)分，并對(duì)隱私保護(hù)、個(gè)人信息保護(hù)分別制定了基本規(guī)則，因此，本文認(rèn)為上述誤區(qū)在當(dāng)前的法律背景下已經(jīng)能夠得到妥善解決，故不作為重點(diǎn)討論。將個(gè)人信息的可識(shí)別性錯(cuò)誤地解釋為直接識(shí)別。本案中，二審法院認(rèn)為搜索關(guān)鍵詞的行為信息無法與信息主體身份直接對(duì)應(yīng)，因此不屬于個(gè)人信息，即只有能憑借某一信息識(shí)別歸屬主體身份時(shí)，該信息才屬于個(gè)人信息。申言之，法院認(rèn)為只有直接識(shí)別的個(gè)人信息才是現(xiàn)行法規(guī)中所確定的個(gè)人信息范疇。相比之下，目前域外司法實(shí)踐中對(duì)于個(gè)人信息的定義大多采取了廣義的識(shí)別標(biāo)準(zhǔn)[[]王融,反轉(zhuǎn)的法律天平——我國(guó)cookie隱私第一案判決[J].現(xiàn)代電信科技,2015年第5期.]。隨著信息社會(huì)的發(fā)展，如果僅將具備可識(shí)別性的信息限縮解釋為獨(dú)立識(shí)別型的信息，則無法充分保障公民的個(gè)人信息權(quán)益。此外，二審法院在其裁判理由中表示，百度公司在利用cookie進(jìn)行個(gè)性化推薦時(shí)，沒有且無必要將原告的搜索記錄和朱某的真實(shí)身份信息聯(lián)系起來”；然而，“沒有必要”識(shí)別并不意味著“沒有可能”識(shí)別。對(duì)個(gè)人信息進(jìn)行判斷的關(guān)鍵在于其是否具備識(shí)別的可能性，而非識(shí)別是否具有必要性[[]朱蕓陽,定向廣告中個(gè)人信息的法律保護(hù)研究——兼評(píng)“cookie隱私第一案兩審判決”[J].社會(huì)科學(xué),2016年第1期.]。故判斷網(wǎng)絡(luò)行為信息是否在法律保護(hù)的個(gè)人信息范疇內(nèi)，核心在于現(xiàn)有的技術(shù)條件下，網(wǎng)絡(luò)服務(wù)提供者是否具備通過網(wǎng)絡(luò)行為信息識(shí)別用戶真實(shí)[]王融,反轉(zhuǎn)的法律天平——我國(guó)cookie隱私第一案判決[J].現(xiàn)代電信科技,2015年第5期.[]朱蕓陽,定向廣告中個(gè)人信息的法律保護(hù)研究——兼評(píng)“cookie隱私第一案兩審判決”[J].社會(huì)科學(xué),2016年第1期.1.1.2網(wǎng)絡(luò)行為信息的法律屬性爭(zhēng)議大數(shù)據(jù)時(shí)代下，個(gè)人信息的內(nèi)涵不斷變化、豐富，個(gè)性化推薦領(lǐng)域尤甚。綜合來看，個(gè)性化推薦中既包括具有身份識(shí)別性的個(gè)人信息，也存在許多法律屬性模糊的信息。前者主要包括用戶的姓名、電話、住址等可關(guān)聯(lián)到信息主體具體身份的個(gè)人信息，但此類信息在個(gè)性化推薦中所占比例較小，這是因?yàn)閭€(gè)性化推薦往往具有動(dòng)態(tài)性、時(shí)效性，因此隨著時(shí)間的推移，網(wǎng)站對(duì)于用戶的描述需要不斷更新，才能精準(zhǔn)反映用戶的特征[[]李一帆.個(gè)性化推送中的個(gè)人信息保護(hù)問題研究[J].中國(guó)應(yīng)用法學(xué),2021年第1期.]。目前，個(gè)性化推薦中主要涉及的信息大多是以cookie等技術(shù)手段獲取的記錄用戶網(wǎng)絡(luò)行為的信息，例如用戶的搜索關(guān)鍵詞記錄、瀏覽頁面記錄、停留網(wǎng)頁時(shí)長(zhǎng)等。網(wǎng)絡(luò)行為信息是個(gè)性化推薦中最主要且最有價(jià)值的的信息來源，目前大部分網(wǎng)站的個(gè)性化推薦也基本是以用戶的網(wǎng)絡(luò)行為分析用戶偏好、習(xí)慣，從而進(jìn)行定向廣告的投放。然而，目前我國(guó)理論界與實(shí)務(wù)界對(duì)于網(wǎng)絡(luò)行為信息的法律屬性認(rèn)定仍存在著較大爭(zhēng)議：一方面，我國(guó)制定法中對(duì)于該類信息的性質(zhì)并未作出直接、明確的規(guī)定?！睹穹ǖ洹返?034條中列舉的個(gè)人信息中包括一項(xiàng)自然人的“行蹤信息”，但對(duì)于該“行蹤信息”的具體指向范圍，理論界仍存在一定爭(zhēng)議。部分學(xué)者認(rèn)為此處的行蹤信息可以被廣義理解為用戶的網(wǎng)絡(luò)瀏覽記錄等行為信息，但也有學(xué)者認(rèn)為“行蹤信息”僅指代物理層面上的地理位置變動(dòng)信息，不包括抽象的網(wǎng)絡(luò)瀏覽痕跡[[]高富平,獲取行蹤軌跡與“入刑”[N].人民法院報(bào),2017年11月B06版.]。目前，我國(guó)唯一直接明確提及網(wǎng)絡(luò)行為信息的是我國(guó)市場(chǎng)監(jiān)督管理總局、國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)制定的《信息安全技術(shù)個(gè)人信息安全規(guī)范》（下文簡(jiǎn)稱“《規(guī)范》”），《規(guī)范》附錄A[]李一帆.個(gè)性化推送中的個(gè)人信息保護(hù)問題研究[J].中國(guó)應(yīng)用法學(xué),2021年第1期.[]高富平,獲取行蹤軌跡與“入刑”[N].人民法院報(bào),2017年11月B06版.第一，從我國(guó)現(xiàn)行立法觀之，《民法典》、《網(wǎng)絡(luò)安全法》并沒有將匿名化的信息排除在個(gè)人信息外，而僅規(guī)定向第三方提供匿名化的信息時(shí)可以不經(jīng)自然人同意，可是對(duì)于這些匿名化的信息，信息處理者仍然需要履行個(gè)人信息保護(hù)的法律義務(wù)，如不得泄露、非法買賣等；第二，從個(gè)性化推薦的技術(shù)原理來看，隨著大數(shù)據(jù)時(shí)代下信息識(shí)別技術(shù)的發(fā)展與成熟，匿名化的信息并非絕對(duì)不可復(fù)原：首先，許多用戶對(duì)于相關(guān)網(wǎng)站或App的訪問次數(shù)較為頻繁，在長(zhǎng)期訪問的過程中，網(wǎng)站經(jīng)營(yíng)者掌握的用戶信息數(shù)量也會(huì)越來越多，從而可能通過cookie的長(zhǎng)期追蹤分析出用戶的真實(shí)身份；其次，對(duì)于規(guī)模較大、且已形成網(wǎng)絡(luò)聯(lián)盟的網(wǎng)絡(luò)服務(wù)提供者（如騰訊、百度等）而言，進(jìn)行個(gè)性化推薦所依據(jù)的基礎(chǔ)信息不僅包括用戶的網(wǎng)絡(luò)行為信息，還包括用戶的線下購物記錄、位置信息等涉及不同來源、不同設(shè)備的一系列信息，加之挖掘分析信息技術(shù)的不斷進(jìn)步，網(wǎng)絡(luò)行為信息也完全具有去匿名化、還原用戶身份的可能性。2016年，一名德國(guó)研究員在第33屆ChaosComputerClub會(huì)議上公布其研究成果：匿名的點(diǎn)擊流信息完全可以識(shí)別出用戶的真實(shí)身份，只需用戶訪問不超過10個(gè)域名即可[[]“個(gè)人隱私保護(hù)之殤：所謂的匿名化數(shù)據(jù)，十足可以演變成’DarkData’”.搜狐網(wǎng),/a/161723833_804262,最后訪問時(shí)間:2020.1.20.][]“個(gè)人隱私保護(hù)之殤：所謂的匿名化數(shù)據(jù)，十足可以演變成’DarkData’”.搜狐網(wǎng),/a/161723833_804262,最后訪問時(shí)間:2020.1.20.[]“即使對(duì)數(shù)據(jù)作了匿名化處理，找出你是誰還是很容易”,搜狐網(wǎng),/a/331909156_308467?scm=.最后訪問時(shí)間：20.2用戶的個(gè)人信息權(quán)益無法得到保障1.2.1信息收集階段：告知同意原則的落空告知同意原則是個(gè)人信息保護(hù)的基本原則之一，該原則在我國(guó)多部個(gè)人信息保護(hù)法律規(guī)范中均有所體現(xiàn)，最新公布的《草案》對(duì)于告知同意原則也作出了明確規(guī)定。告知同意原則要求網(wǎng)站經(jīng)營(yíng)者收集、使用個(gè)人信息前充分告知當(dāng)事人其信息被收集、處理的方式并征得信息主體的同意。然而，在個(gè)性化推薦中，告知同意原則卻并未得到妥善落實(shí)，其具體表現(xiàn)如下：(1)對(duì)個(gè)人信息的秘密收集在個(gè)性化推薦過程中，大量網(wǎng)站都存在著秘密收集用戶信息的情況，包括在用戶的瀏覽器中暗中植入cookie以追蹤用戶的網(wǎng)絡(luò)行為、預(yù)裝后門程序[[]后門程序一般是指那些繞過安全性控制而獲取對(duì)程序或系統(tǒng)訪問權(quán)的程序方法。參見百度百科：/item/后門程序/108154?fr=aladdin最后訪問時(shí)間：2020.5.17.]竊取用戶隱私、非法截獲用戶的無線網(wǎng)絡(luò)盜取信息等等。例如，2019年，外媒曝光谷歌通過其云計(jì)算服務(wù)秘密收集了幾百萬份患者的病歷，用于定制個(gè)性化的醫(yī)療產(chǎn)品和服務(wù)，谷歌近150名員工可以對(duì)這些病歷自由訪問，而醫(yī)生和患者對(duì)此均不知情[[]“谷歌‘南丁格爾計(jì)劃’曝收集數(shù)百萬個(gè)人健康信息”,網(wǎng)易科技，/19/1112/07/ETP2N1QI00097U7R.html，最后訪問于2020.5.17.]。2020年，TikTok、Linkedin等App也相繼被曝秘密收集用戶的剪貼板信息，盡管上述公司均聲稱其秘密收集行為屬于系統(tǒng)漏洞，但無法確定網(wǎng)絡(luò)服務(wù)提供者是否已經(jīng)利用這些秘密收集來的信息進(jìn)行個(gè)性化推薦，[]后門程序一般是指那些繞過安全性控制而獲取對(duì)程序或系統(tǒng)訪問權(quán)的程序方法。參見百度百科：/item/后門程序/108154?fr=aladdin最后訪問時(shí)間：2020.5.17.[]“谷歌‘南丁格爾計(jì)劃’曝收集數(shù)百萬個(gè)人健康信息”,網(wǎng)易科技，/19/1112/07/ETP2N1QI00097U7R.html，最后訪問于2020.5.17.(2)隱私政策的局限性目前，各大網(wǎng)站與App為了消除用戶對(duì)個(gè)人信息收集使用規(guī)則的疑慮，基本都制定了隱私政策（又稱個(gè)人信息保護(hù)政策、個(gè)人信息保護(hù)及隱私政策），在政策中告知網(wǎng)站收集、使用用戶個(gè)人信息的范圍、方式及與第三方共享信息的情況。隱私政策實(shí)質(zhì)上是用戶與網(wǎng)站之間簽訂的協(xié)議，根據(jù)該協(xié)議，用戶在向網(wǎng)站提交個(gè)人信息的同時(shí)，也有權(quán)要求網(wǎng)站提供全面的網(wǎng)絡(luò)服務(wù)；相對(duì)地，網(wǎng)站得到了收集、使用用戶信息的權(quán)利，但也負(fù)擔(dān)著保護(hù)用戶信息、提供服務(wù)的義務(wù)。網(wǎng)站隱私政策的制定看似保障了用戶對(duì)收集、利用其信息的知情權(quán)與選擇權(quán)，但實(shí)際則不然：第一，從隱私政策的設(shè)置方式來看，目前各大網(wǎng)站或APP的隱私政策普遍存在識(shí)別度低的特點(diǎn)：一方面，部分網(wǎng)站或APP根本未設(shè)置單獨(dú)的隱私政策，而是將隱私政策的內(nèi)容包含在用戶服務(wù)協(xié)議中；另一方面，盡管一些網(wǎng)站或APP設(shè)置了獨(dú)立的隱私政策，但仍存在著提示位置不顯眼、回溯切屏次數(shù)多、隱私政策無索引及內(nèi)容跳轉(zhuǎn)渠道等交互問題，為用戶查看和閱讀隱私政策帶來了極大的不便利性；第二，從隱私政策的內(nèi)容來看，許多網(wǎng)站和APP隱私政策的可讀性較弱。一方面，部分隱私政策內(nèi)容不完整且多使用模糊概括性語言，使用戶難以理解其內(nèi)容；另一方面，部分隱私政策看似內(nèi)容翔實(shí)具體，但實(shí)質(zhì)上頻繁使用晦澀的專業(yè)術(shù)語且缺少專業(yè)名詞的注釋，因而對(duì)于一般用戶而言，即使閱讀該隱私政策也可能無法完全理解網(wǎng)站在其中對(duì)個(gè)人信息處理與利用的相關(guān)描述，故此類隱私政策實(shí)質(zhì)上與“格式條款”相差無幾。在這樣的情況下，用戶如果想要使用網(wǎng)站服務(wù)，只能選擇全盤接受隱私政策，完全沒有與網(wǎng)站進(jìn)行談判的能力[[]KateCrawlord&JasonSchultz,BigDataandDueProcess:TowardaFrameworktoRedressPredictivePrivacyHarms[J],55BostonCollegeLawReview,93(2014).]；第三，很多情況下，網(wǎng)站經(jīng)營(yíng)者經(jīng)常單方改變隱私政策，而未事先將具體的修改事項(xiàng)告知用戶。伴隨著大數(shù)據(jù)時(shí)代的發(fā)展，網(wǎng)站收集、使用用戶信息的范圍將逐步擴(kuò)大，網(wǎng)站經(jīng)營(yíng)者可能超出個(gè)性化推薦的實(shí)質(zhì)需要，收集大量非必要或無關(guān)的用戶信息。對(duì)此，即使網(wǎng)站在隱私政策中寫明其收集信息的范圍，由于隱私政策不透明或存在強(qiáng)迫用戶同意的格式條款，用戶可能難以對(duì)自己信息被收集、整合、使用過程中存在的風(fēng)險(xiǎn)作出預(yù)判，或者根本沒有拒絕信息收集的能力。在這種情況下，一旦用戶的個(gè)人信息或隱私受到侵害，隱私政策反而會(huì)成為網(wǎng)站逃避責(zé)任的擋箭牌，無法為用戶的[]KateCrawlord&JasonSchultz,BigDataandDueProcess:TowardaFrameworktoRedressPredictivePrivacyHarms[J],55BostonCollegeLawReview,93(2014).1.2.2信息使用階段：個(gè)人信息“失控”風(fēng)險(xiǎn)(1)網(wǎng)絡(luò)服務(wù)提供者對(duì)個(gè)人信息的超范圍使用在個(gè)性化推薦中，網(wǎng)站收集到用戶的個(gè)人信息并進(jìn)入使用階段后，用戶的個(gè)人信息極有可能產(chǎn)生被過度挖掘和利用的風(fēng)險(xiǎn)，具體表現(xiàn)如下：一方面，用戶在長(zhǎng)期訪問某一網(wǎng)站或App的情況下，網(wǎng)站收集的用戶信息數(shù)量會(huì)隨著時(shí)間的累積逐漸增多，在這種情況下，網(wǎng)絡(luò)服務(wù)提供者雖然無法通過用戶的某一單獨(dú)信息識(shí)別出特定自然人，但通過用戶畫像等技術(shù)的應(yīng)用，網(wǎng)絡(luò)服務(wù)提供者實(shí)際已經(jīng)能夠?qū)此茻o關(guān)的信息進(jìn)行交叉分析，從而窺探到用戶的私密信息。另一方面，網(wǎng)絡(luò)服務(wù)提供者在收集到足夠數(shù)量的用戶信息、并建立龐大的信息庫后，很可能在用戶不知情的情況下對(duì)這些信息進(jìn)行共享和交易。目前，國(guó)內(nèi)網(wǎng)站信息共享的方式多種多樣，跨軟件、跨平臺(tái)的信息使用隨處可見。其中最為常見的是廣告聯(lián)盟，它是為網(wǎng)站提供推廣及信息內(nèi)容展示的技術(shù)服務(wù)平臺(tái)。目前，我國(guó)較為知名的廣告聯(lián)盟有百度網(wǎng)絡(luò)廣告聯(lián)盟、騰訊推廣聯(lián)盟、阿里媽媽等，它們的內(nèi)在機(jī)理大體相同，即用戶注冊(cè)、登錄或?yàn)g覽廣告聯(lián)盟下的某一子網(wǎng)站后，其注冊(cè)、登錄時(shí)留存的相關(guān)信息或?yàn)g覽網(wǎng)頁