王黎黎

（大連海洋大學(xué)，遼寧 大連 116023）

2021年11月10日，英國(guó)最高法院就勞埃德訴谷歌案（Lloyd v Google LLC〔2021〕UKSC 50）作出判決，該判決被認(rèn)為是近年來(lái)最令人期待的判決之一，因?yàn)樗谀撤N程度上將對(duì)數(shù)據(jù)隱私領(lǐng)域的訴訟產(chǎn)生重大的影響。英國(guó)法院將重點(diǎn)聚焦在代表授權(quán)及損害賠償，然而本案更能代表的是在個(gè)人信息保護(hù)中知情同意規(guī)則的法律適用之檢視。

一、勞埃德訴谷歌案的案情及理論焦點(diǎn)

關(guān)于勞埃德（Richard Lloyd）先生（以下簡(jiǎn)稱勞埃德）訴谷歌公司（Google LLC）（以下簡(jiǎn)稱谷歌）一案，最初倫敦高等法院阻止了對(duì)谷歌提起上訴的企圖，但上訴法院維持了這一決定。谷歌隨后對(duì)這一決定提出上訴，此案由此升級(jí)到英國(guó)最高法院，并最終作出裁判。

（一）勞埃德訴谷歌案的案件事實(shí)［1］

勞埃德在商業(yè)訴訟出資人Therium訴訟資金IC的財(cái)務(wù)支持下，向谷歌提出索賠，指控其違反了《1998年數(shù)據(jù)保護(hù)法》第4（4）條規(guī)定的數(shù)據(jù)控制者職責(zé)。該指控稱，在2011年末和2012年初的幾個(gè)月里，谷歌秘密跟蹤了數(shù)百萬(wàn)蘋果用戶的互聯(lián)網(wǎng)活動(dòng)，并在未經(jīng)用戶知情或同意的情況下將以這種方式收集的數(shù)據(jù)用于商業(yè)目的。

這一違法事件發(fā)生在2011年8月9日至2012年2月15日之間，谷歌涉嫌使用所謂的“Safari解決方案”繞過蘋果的隱私設(shè)置。谷歌有一個(gè)名為“雙擊廣告Cookie”的Cookie，可以作為第三方Cookie運(yùn)行。如果用戶訪問了包含雙擊廣告內(nèi)容的網(wǎng)站，則會(huì)將其放置在設(shè)備上。雙擊廣告Cookie使谷歌能夠識(shí)別該設(shè)備對(duì)任何顯示其廣域網(wǎng)廣告的網(wǎng)站的訪問網(wǎng)絡(luò)廣告和收集相當(dāng)數(shù)量的信息。它可以告訴用戶訪問某個(gè)網(wǎng)站的日期和時(shí)間、用戶在那里停留的時(shí)間、訪問哪些頁(yè)面的時(shí)間以及瀏覽哪些廣告的時(shí)間。在某些情況下，通過瀏覽器的IP地址，可以識(shí)別用戶的大致地理位置。

盡管Safari的默認(rèn)設(shè)置阻止了所有第三方Cookie，但這些設(shè)置的全面應(yīng)用將阻止使用某些流行的web功能，所以蘋果公司設(shè)計(jì)了一些例外。這些例外情況一直存在，直到2012年3月系統(tǒng)發(fā)生變化。但與此同時(shí)，例外情況使得谷歌有可能設(shè)計(jì)和實(shí)施Safari解決方案。其效果是，每當(dāng)用戶訪問包含雙擊廣告內(nèi)容的網(wǎng)站時(shí)，在用戶不知情或不同意的情況下，立即將雙擊廣告Cookie放在蘋果設(shè)備上。

通過這種方式，谷歌不僅能夠收集或推斷與用戶上網(wǎng)習(xí)慣和地點(diǎn)有關(guān)的信息，而且還能夠收集或推斷與其興趣和消遣、種族或民族、社會(huì)階級(jí)、政治或宗教信仰或從屬關(guān)系、健康、性興趣、年齡、性別和財(cái)政狀況。此外，據(jù)說谷歌聚合瀏覽器從顯示類似模式的用戶那里生成信息，創(chuàng)建了“足球愛好者”或“時(shí)事愛好者”等標(biāo)簽組。谷歌的雙擊服務(wù)隨后向訂閱廣告的廣告商提供這些群組標(biāo)簽，供他們?cè)谶x擇廣告目標(biāo)人群時(shí)選擇。

據(jù)此勞埃德認(rèn)為在上述時(shí)間內(nèi)所有蘋果用戶都受到了損失，其能夠作為所有用戶的代表要求谷歌進(jìn)行金錢賠償。

（二）勞埃德訴谷歌案的裁判結(jié)果及依據(jù)

本案法官最終裁決支持谷歌，認(rèn)為勞埃德因?yàn)楣雀琛拔唇?jīng)同意”的網(wǎng)絡(luò)跟蹤行為而代表眾多蘋果用戶要求賠償?shù)男袨椴荒軌虮恢С?。法官的主要理由有如下幾點(diǎn)：

第一，關(guān)于“損害”，法官?zèng)]有支持“數(shù)據(jù)失控”這一概念，即每一個(gè)受重大數(shù)據(jù)泄露影響的數(shù)據(jù)主體都有權(quán)因其個(gè)人數(shù)據(jù)的“失控”而獲得賠償。相反，法院確認(rèn)，只有在數(shù)據(jù)主體遭受某種形式的物質(zhì)損害，即有形的財(cái)務(wù)損失，或遭受痛苦的情況下，才能對(duì)因違反《1998年數(shù)據(jù)保護(hù)法》的行為作出賠償。

第二，關(guān)于在代表訴訟中要求損害賠償?shù)膯栴}，法官認(rèn)為針對(duì)谷歌提出的索賠作為代表性的損害賠償訴訟是不可行的。勞埃德試圖通過本案上訴法院在《民事訴訟規(guī)則》第19.6條中描述為“代表程序的不同尋常和創(chuàng)新使用”［2］來(lái)克服這一困難，并在訴訟中主張能夠代表數(shù)百萬(wàn)用戶中的每一個(gè)的做法是不被允許的。①勞埃德承認(rèn)，如果必須對(duì)每個(gè)用戶可獲得的賠償進(jìn)行單獨(dú)評(píng)估，他不能使用此程序代表其他蘋果用戶索賠。但他認(rèn)為，這種個(gè)別評(píng)估是不必要的。他辯稱，作為一個(gè)法律問題，可以根據(jù)《1998年數(shù)據(jù)保護(hù)法》對(duì)個(gè)人數(shù)據(jù)“失去控制”給予賠償，而無(wú)需證明索賠人因違規(guī)而遭受任何經(jīng)濟(jì)損失或精神痛苦。勞埃德進(jìn)一步辯稱，對(duì)于數(shù)據(jù)保護(hù)權(quán)利受到侵犯的每個(gè)人，可以適當(dāng)?shù)嘏薪o“統(tǒng)一金額”的損害賠償，而無(wú)需調(diào)查其個(gè)案的任何特定情況。每人可獲得的損害賠償金額將是一個(gè)爭(zhēng)議的問題，但索賠信中提出了750英鎊的數(shù)字。乘以勞埃德先生聲稱代表的人數(shù)，將產(chǎn)生約30億英鎊的賠償金。如果他為了代表遭受相同損失的每一成員提出代表訴訟，勞埃德必須證明，這些人中的每一個(gè)人的權(quán)利都遭受了侵犯，并因此受到損害。

第三，在法律適用上，最高院適用的是《1998年數(shù)據(jù)保護(hù)法》，而非英國(guó)GDPR《通用數(shù)據(jù)保護(hù)條例》（General Data Protection Regulation），后者與《2018年數(shù)據(jù)保護(hù)法》一起取代了《1998年數(shù)據(jù)保護(hù)法》。①法官在論述中提及《GDPR》（《通用數(shù)據(jù)保護(hù)條例》，General Data Protection Regulation）第82（1）條規(guī)定，“因違反本條例而遭受物質(zhì)或非物質(zhì)損害”的人應(yīng)有權(quán)獲得損害賠償。此外第85段指出：“如果不及時(shí)適當(dāng)?shù)亟鉀Q個(gè)人數(shù)據(jù)泄露問題，可能會(huì)對(duì)自然人造成物理、物質(zhì)或非物質(zhì)損害，例如失去對(duì)其個(gè)人數(shù)據(jù)的控制或限制其權(quán)利、歧視、身份盜竊或欺詐、財(cái)務(wù)損失、未經(jīng)授權(quán)的化名撤銷、聲譽(yù)受損受專業(yè)保密保護(hù)的個(gè)人數(shù)據(jù)的保密性或任何其他對(duì)有關(guān)自然人造成重大經(jīng)濟(jì)或社會(huì)不利影響”。但是法官認(rèn)為盡管GDPR的語(yǔ)言與1998年法案存在相似之處，即它區(qū)分了造成損害的行為和損害本身。但GDPR指的是“侵權(quán)”而不是“違反”；此外盡管序言第85條提到了失控，但并不認(rèn)為所有侵權(quán)行為都會(huì)導(dǎo)致失控。

第13（1）條規(guī)定：“因數(shù)據(jù)控制員違反本法案任何要求而遭受損害的個(gè)人有權(quán)從數(shù)據(jù)控制員處獲得損害賠償”。（DPA1998）

第13（2）條規(guī)定：“因數(shù)據(jù)控制員違反本法案任何要求而遭受痛苦的個(gè)人有權(quán)從數(shù)據(jù)控制員處獲得該痛苦的賠償，前提是：（a）該個(gè)人也因違反本法案而遭受損害……”（DPA1998）②關(guān)于法律適用，法官認(rèn)為勞埃德對(duì)第13條的適用是存在錯(cuò)誤的，第一，數(shù)據(jù)主體尋求恢復(fù)的損害必須是由于數(shù)據(jù)控制者的違反而遭受的。這清楚地表明“違反”不同于“違約”，將兩者混為一談不符合法定語(yǔ)言。第二點(diǎn)是，第13（2）條提到了數(shù)據(jù)控制者違反的兩種后果，即損害和痛苦。根據(jù)最初的法定措辭，后者只有在前者也可以成立的情況下才可獲得賠償。因此，法官Leggatt認(rèn)為，第13（2）條中提及的損害，以及引申為第13（1）條，在邏輯上必須意味著物質(zhì)損害，如金錢損失。

第四，法院認(rèn)為本案與以往的訴訟不同。2012年8月，谷歌同意支付2250萬(wàn)美元的民事罰款，以解決美國(guó)聯(lián)邦貿(mào)易委員會(huì)提出的指控。2013年11月，谷歌同意支付1700萬(wàn)美元，以解決在美國(guó)針對(duì)其提起的基于消費(fèi)者的訴訟。在英格蘭和威爾士，2013年6月，三名個(gè)人起訴谷歌，根據(jù)《1998年數(shù)據(jù)保護(hù)法》和普通法提出同樣的指控并要求賠償濫用私人信息。［3］在司法管轄權(quán)糾紛之后，他們的索賠在谷歌提供辯護(hù)之前得到解決。此次訴訟的創(chuàng)新之處在于，勞埃德并不像三位索賠人那樣，僅憑自己的權(quán)利要求損害賠償。他聲稱代表英格蘭和威爾士的所有居民，他們?cè)谙嚓P(guān)時(shí)間擁有一部蘋果手機(jī)，其數(shù)據(jù)是谷歌未經(jīng)他們同意而獲得的，并有權(quán)代表所有這些人追討損失。

（三）勞埃德訴谷歌案中關(guān)于知情同意規(guī)則的理論焦點(diǎn)

谷歌在勞埃德訴谷歌案中的行為侵犯了蘋果用戶的個(gè)人信息權(quán)益，并且違反了個(gè)人信息保護(hù)中關(guān)于知情同意規(guī)則的要求。

最高院認(rèn)可對(duì)谷歌違反義務(wù)的指控。大法官Reed認(rèn)為谷歌在數(shù)月內(nèi)秘密跟蹤數(shù)百萬(wàn)蘋果用戶的互聯(lián)網(wǎng)活動(dòng)，并將獲得的數(shù)據(jù)用于商業(yè)目的的行為本身是違反法律要求的。

在判決的第21段中，最高院認(rèn)為谷歌在本案中沒有遵守這一要求：從數(shù)據(jù)主體處獲得的信息沒有被公平處理，除非數(shù)據(jù)控制員告知數(shù)據(jù)主體處理數(shù)據(jù)的目的——據(jù)說谷歌在本案中沒有遵守這一要求。

在判決第22段中強(qiáng)調(diào)谷歌在本案中涉及到的處理數(shù)據(jù)行為沒有遵守?cái)?shù)據(jù)保護(hù)原則，即數(shù)據(jù)所有人已經(jīng)同意谷歌處理數(shù)據(jù)。谷歌處理的單獨(dú)用戶的數(shù)據(jù)沒有進(jìn)行告知并得到用戶的同意，同時(shí)谷歌的行為不存在公共利益等責(zé)任豁免情形，并不能夠證明其對(duì)數(shù)據(jù)的處理具有正當(dāng)性。

本案法官在141段中強(qiáng)調(diào)，如果個(gè)人在本案中就谷歌濫用私人信息提出侵權(quán)索賠，那么自然會(huì)獲得用戶損害賠償。Gulati案［4］的判決表明，可以對(duì)濫用私人信息本身給予損害賠償，理由是，除了可能造成的任何實(shí)質(zhì)性損害或痛苦外，這妨礙了索賠人行使其控制信息使用的權(quán)利。毫無(wú)疑問，一個(gè)人的互聯(lián)網(wǎng)瀏覽歷史信息是一項(xiàng)具有商業(yè)價(jià)值的資產(chǎn)。［5］

二、Cookie技術(shù)下網(wǎng)絡(luò)瀏覽信息與知情同意規(guī)則之法律分析

谷歌一案涉及的核心是未經(jīng)個(gè)人同意而利用Cookie技術(shù)獲得的個(gè)人信息用于商業(yè)目的而引發(fā)的訴訟。根據(jù)維基百科的定義，Cookie是指小型文本文件，某些網(wǎng)站為了辨別用戶身份而儲(chǔ)存在用戶本地終端（Client Side）上的數(shù)據(jù)（通常經(jīng)過加密）。Cookie技術(shù)曾被認(rèn)為是造成個(gè)人隱私侵害的原因之一。［6］結(jié)合本案中谷歌就是未經(jīng)用戶的“同意”，使用其存儲(chǔ)于互聯(lián)網(wǎng)用戶硬盤上的網(wǎng)絡(luò)信息，包括用戶的瀏覽記錄、訪問的網(wǎng)頁(yè)名稱及其域名、訪問時(shí)間及頻率等信息。

（一）Cookie技術(shù)下網(wǎng)絡(luò)瀏覽信息的法律屬性界定

在谷歌案件中，法官Leggatt論述谷歌通過Cookie技術(shù)所收集的信息再利用以實(shí)現(xiàn)廣告投放等獲得了巨額的利潤(rùn)。這一犀利的點(diǎn)評(píng)也揭示了谷歌在世界范圍內(nèi)不斷受到訴訟的根本原因之一，即沒有遵守?cái)?shù)據(jù)使用的原則獲取數(shù)據(jù)并從中受益。谷歌系列被訴案件①谷歌公司在美國(guó)、德國(guó)、澳大利亞、英國(guó)以及歐盟都涉及到數(shù)據(jù)糾紛案件。表明Cookie技術(shù)下網(wǎng)絡(luò)瀏覽信息兼具人格屬性與財(cái)產(chǎn)屬性。有學(xué)者界定“網(wǎng)絡(luò)行為數(shù)據(jù)”是指網(wǎng)絡(luò)服務(wù)提供者通過Cookies等互聯(lián)網(wǎng)跟蹤記錄程序收集的反映用戶個(gè)人在線行為活動(dòng)的數(shù)據(jù)，包括用戶的瀏覽記錄、交易記錄、檢索記錄等。［7］

關(guān)于Cookie技術(shù)下網(wǎng)絡(luò)瀏覽信息的屬性爭(zhēng)論，源于我國(guó)號(hào)稱為中國(guó)Cookie第一案的朱燁隱私權(quán)糾紛一案②參見江蘇省南京市中級(jí)人民法院〔2014〕寧民終字第5028號(hào)，中國(guó)裁判文書網(wǎng)。，一審法院③參見江蘇省南京市鼓樓區(qū)人民法院〔2013〕鼓民初字第3031號(hào)，中國(guó)裁判文書網(wǎng)。認(rèn)為網(wǎng)絡(luò)瀏覽信息屬于私人的私有領(lǐng)域范疇，屬于隱私權(quán)所保護(hù)的個(gè)人權(quán)益范圍；然而二審法院在審理中認(rèn)為，收集網(wǎng)上瀏覽信息，該信息的匿名化特征，不符合個(gè)人信息的“可識(shí)別性”要求，而對(duì)于信息推送問題，二審法院認(rèn)為，推送信息的終端是瀏覽器，而不是具體個(gè)人④參見江蘇省南京市中級(jí)人民法院〔2014〕寧民終字第5028號(hào)，中國(guó)裁判文書網(wǎng)。。因此Cookie技術(shù)下的網(wǎng)絡(luò)瀏覽信息不屬于個(gè)人隱私的范疇，其不構(gòu)成對(duì)原告隱私權(quán)的侵害。

我國(guó)最高人民法院2017年頒布的《關(guān)于侵犯公民個(gè)人信息案件的解釋》第1條，明確將“以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識(shí)別特定自然人身份或者反映特定自然人活動(dòng)情況的各種信息，包括姓名、身份證件號(hào)碼、通信通訊聯(lián)系方式、住址、賬號(hào)密碼、財(cái)產(chǎn)狀況、行蹤軌跡等”納入個(gè)人信息范疇。隨后我國(guó)頒布的《個(gè)人信息保護(hù)法》第四條中再次延伸了這一理念，規(guī)定個(gè)人信息是以電子或者其他方式記錄的與已識(shí)別或者可識(shí)別的自然人有關(guān)的各種信息，不包括匿名化處理后的信息。同時(shí)在第28條中規(guī)定了敏感個(gè)人信息，一旦泄露或者非法使用，容易導(dǎo)致自然人的人格尊嚴(yán)受到侵害或者人身、財(cái)產(chǎn)安全受到危害的個(gè)人信息，包括生物識(shí)別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息，以及不滿14周歲未成年人的個(gè)人信息。通過上述法律規(guī)定，Cookie技術(shù)下網(wǎng)絡(luò)瀏覽信息是以電子方式記錄的與個(gè)人相關(guān)的各種信息，同時(shí)可以根據(jù)不同的內(nèi)容對(duì)網(wǎng)絡(luò)瀏覽信息進(jìn)行分類保護(hù)。上述網(wǎng)絡(luò)瀏覽信息中如果涉及到個(gè)人留在網(wǎng)站的信用卡及其密碼等信息則屬于敏感個(gè)人信息的范疇。

（二）Cookie技術(shù)下知情同意規(guī)則之擔(dān)憂

在朱燁隱私權(quán)糾紛一案中，終審法院論述Cookie技術(shù)是在世界范圍網(wǎng)絡(luò)服務(wù)商所使用的一項(xiàng)技術(shù)，主要用于服務(wù)器與瀏覽器之間的信息交互，其基本原理是建立起用戶瀏覽器與網(wǎng)站服務(wù)器之間的聯(lián)系，當(dāng)用戶利用瀏覽器訪問網(wǎng)站時(shí)，網(wǎng)站服務(wù)器就會(huì)自動(dòng)發(fā)送一個(gè)Cookie信息存儲(chǔ)于用戶瀏覽器，服務(wù)器端對(duì)瀏覽器瀏覽的網(wǎng)頁(yè)內(nèi)容通過技術(shù)分析預(yù)測(cè)出瀏覽器一方的個(gè)性需求，再通過此種預(yù)測(cè)向?yàn)g覽器端提供個(gè)性化推介服務(wù)①參見江蘇省南京市中級(jí)人民法院〔2014〕寧民終字第5028號(hào)，中國(guó)裁判文書網(wǎng)。。Cookie技術(shù)下網(wǎng)絡(luò)瀏覽信息本身屬于個(gè)人信息的范疇，但是隨著大數(shù)據(jù)時(shí)代的到來(lái)，各種網(wǎng)絡(luò)上的個(gè)人信息與個(gè)人數(shù)據(jù)都成為數(shù)字時(shí)代的生產(chǎn)資料，相應(yīng)的網(wǎng)絡(luò)瀏覽信息本身的經(jīng)濟(jì)價(jià)值也在增高?；ヂ?lián)網(wǎng)企業(yè)獲取、收集網(wǎng)絡(luò)瀏覽信息進(jìn)行整合之后，可以實(shí)現(xiàn)對(duì)用戶的精準(zhǔn)廣告投放，同時(shí)用戶在一定程度上并不知情自己的個(gè)人信息被利用的事實(shí)。例如在法國(guó)訴谷歌案件中，兩家歐洲非營(yíng)利性隱私和數(shù)字權(quán)利組織相繼向法國(guó)國(guó)家信息與自由委員會(huì)投訴稱，谷歌在處理個(gè)人用戶數(shù)據(jù)方面采用了“強(qiáng)制同意”政策，其收集的數(shù)據(jù)包含大量用戶個(gè)人信息，這些信息還在用戶不知情的情況下被用于商業(yè)廣告用途。2021年4月谷歌在澳大利亞面臨的訴訟也涉及到Cookie技術(shù)下的網(wǎng)頁(yè)瀏覽信息，谷歌能夠獲取用戶個(gè)人信息，并利用這些信息對(duì)營(yíng)銷策略進(jìn)行優(yōu)化。此外，還將這些信息分享給商家的合作伙伴，實(shí)現(xiàn)廣告的個(gè)性化定制。［8］一般來(lái)說，Cookie獲取權(quán)限需要獲得用戶同意，但不同國(guó)家針對(duì)該條款的規(guī)定不同。在相關(guān)案件中，谷歌就是突破用戶同意，收集并再次利用該信息進(jìn)行商業(yè)化廣告投放應(yīng)用。很早就有美國(guó)學(xué)者指出，由網(wǎng)站提示的Cookie相關(guān)條款并不能被網(wǎng)絡(luò)使用者所理解，因此并沒有提供充分的“知情同意”。［9］

因此，Cookie技術(shù)下網(wǎng)絡(luò)瀏覽信息與知情同意規(guī)則的聯(lián)系表現(xiàn)在兩方面，一方面是互聯(lián)網(wǎng)公司能夠存儲(chǔ)并利用網(wǎng)絡(luò)瀏覽信息時(shí)所得到的“知情同意”；［10］另一方面是當(dāng)互聯(lián)網(wǎng)公司將這些網(wǎng)絡(luò)瀏覽信息進(jìn)行數(shù)據(jù)分析利用，再次進(jìn)行如廣告的精準(zhǔn)投放利用時(shí)所涉及的“知情同意”，即互聯(lián)網(wǎng)企業(yè)是否將其使用數(shù)據(jù)的目的及方式等明確地告知當(dāng)事人并獲得對(duì)方的同意。

三、Cookie技術(shù)下知情同意規(guī)則法律適用之困境

關(guān)于知情同意規(guī)則的適用，歐盟以及本案作出判決的英國(guó)和我國(guó)都有相應(yīng)的案例，我國(guó)《個(gè)人信息保護(hù)法》對(duì)知情同意規(guī)則的適用也做出了相較于GDPR的更新，然而從目前相關(guān)的案例看，知情同意規(guī)則的適用仍然存在困境。

（一）Cookie技術(shù)下知情同意規(guī)則之真實(shí)同意

在勞埃德與谷歌一案中，法官并沒有詳細(xì)論證“知情同意規(guī)則”，只是支持原告認(rèn)為被告谷歌沒有或者用戶同意的訴訟請(qǐng)求。

在法國(guó)訴谷歌案件中［11］，主要的焦點(diǎn)問題是谷歌將用戶“同意”選項(xiàng)設(shè)定為“全局默認(rèn)設(shè)置”，不符合監(jiān)管機(jī)構(gòu)所規(guī)定的“特定同意”要求。谷歌要求用戶必須完全同意隱私政策中的服務(wù)條款和數(shù)據(jù)處理?xiàng)l款，而非區(qū)分各種不同目的來(lái)同意各項(xiàng)條款。此外CNIL（法國(guó)國(guó)家信息與自由委員會(huì)）還表示，谷歌目前用于征求安卓軟件用戶個(gè)人信息的彈出式窗口似乎暗含威脅意味：如果用戶不接受這些條款，服務(wù)將無(wú)法提供。很顯然，歐盟GDPR嚴(yán)格規(guī)定企業(yè)獲取數(shù)據(jù)時(shí)應(yīng)當(dāng)遵守?cái)?shù)據(jù)保護(hù)的首要原則，如數(shù)據(jù)主體通過書面聲明的方式作出同意，且書面聲明涉及其他事項(xiàng)，那么同意應(yīng)以易于理解且與其他事項(xiàng)顯著區(qū)別的形式呈現(xiàn)。構(gòu)成違反本法的聲明的任何部分，均不具約束力。但是谷歌依然選擇預(yù)先勾選了廣告?zhèn)€性化的顯示框規(guī)避真實(shí)明確同意的要求。

同一時(shí)間，谷歌在澳大利亞的案件中［12］，更能夠真實(shí)地反映真實(shí)同意的困境。在該案例中，用戶無(wú)法自由選擇，即用戶在使用安卓設(shè)備時(shí)關(guān)于“位置歷史記錄”這一選項(xiàng)的默認(rèn)設(shè)置為關(guān)閉，但是根據(jù)谷歌技術(shù)的要求，只要“網(wǎng)絡(luò)和應(yīng)用活動(dòng)”的設(shè)置為“打開”狀態(tài)，那么無(wú)論用戶是否將“位置歷史記錄”關(guān)閉，谷歌都能夠收集用戶的這一信息。這一案件雖然并沒有出現(xiàn)終審結(jié)果，但是它反映了知情同意規(guī)則的使用難點(diǎn)，那就是用戶是否能夠真實(shí)的同意，這種同意是否被真實(shí)的尊重？明明在設(shè)置上可以選擇關(guān)閉，但是實(shí)質(zhì)上依然處于被收集的狀態(tài)，那么用戶的同意有何意義？

（二）Cookie技術(shù)下知情同意規(guī)則之二次利用網(wǎng)絡(luò)瀏覽信息

在上文提及的法國(guó)與谷歌一案中，谷歌未提供用戶數(shù)據(jù)的便捷訪問渠道，沒有告知用戶數(shù)據(jù)處理目的，數(shù)據(jù)存儲(chǔ)時(shí)間或用于廣告?zhèn)€性化的個(gè)人數(shù)據(jù)類別，同時(shí)對(duì)收集的信息進(jìn)行利用，法院認(rèn)為這一行為造成用戶無(wú)法管理其個(gè)人信息的使用。

根據(jù)美國(guó)康奈爾大學(xué)學(xué)者的調(diào)查，自從歐盟GDPR生效以來(lái)，許多公司不得不調(diào)整數(shù)據(jù)處理流程、同意書和隱私政策，以符合GDPR的透明度要求。在文章中，作者通過分析GDPR對(duì)歐盟所有27個(gè)成員國(guó)流行網(wǎng)站的影響來(lái)監(jiān)測(cè)這一事件。對(duì)于每個(gè)國(guó)家，我們定期檢查其500個(gè)最受歡迎的網(wǎng)站（總共6 579個(gè)），了解其隱私政策的存在和更新。雖然許多網(wǎng)站已經(jīng)有隱私政策，但我們發(fā)現(xiàn)，在一些國(guó)家，截至2018年5月25日，多達(dá)15.7%的網(wǎng)站增加了新的隱私政策，導(dǎo)致84.5%的網(wǎng)站都有隱私政策，其中72.6%的網(wǎng)址隱私政策更新日期接近。最明顯的是，62.1%的歐洲網(wǎng)站現(xiàn)在顯示Cookie同意通知，比2018年1月增加了16%。我們的分析表明，核心web安全機(jī)制會(huì)給根據(jù)GDPR規(guī)則實(shí)施許可帶來(lái)問題，選擇退出第三方Cookie需要第三方合作。作者在本文的最終結(jié)論是，GDPR正在使網(wǎng)絡(luò)更加透明，但仍然缺乏功能性和可用性機(jī)制，無(wú)法讓用戶同意或拒絕在互聯(lián)網(wǎng)上處理他們的個(gè)人數(shù)據(jù)。［13］

此外，在澳大利亞競(jìng)爭(zhēng)和消費(fèi)者訴谷歌案中［14］，相關(guān)行為經(jīng)濟(jì)學(xué)家認(rèn)為關(guān)于用戶對(duì)各種屏幕的反映是不真實(shí)的，不能確定用戶對(duì)選項(xiàng)的勾選意味著同意對(duì)網(wǎng)絡(luò)瀏覽信息的再次利用，也體現(xiàn)了在某種情況下知情同意規(guī)則適用的局限性。

在我國(guó)的Cookie案件中，就百度公司在隱私政策中的告知是否充分。一審法院認(rèn)為①參見江蘇省南京市鼓樓區(qū)人民法院〔2013〕鼓民初字第3031號(hào)，中國(guó)裁判文書網(wǎng)。，雖然百度公司在網(wǎng)頁(yè)中有《使用百度前必讀》，但位置處于網(wǎng)頁(yè)最下端，且字體較小，不足以起到明示告知和選擇同意的效力。二審法院則認(rèn)為，因?yàn)榘俣裙驹凇妒褂冒俣惹氨刈x》已經(jīng)明示了使用Cookie技術(shù)的方式、使用Cookie技術(shù)的后果，且提供了禁用Cookie的渠道，因此，視為百度公司已經(jīng)明示告知，從而不構(gòu)成侵權(quán)。②參見江蘇省南京市中級(jí)人民法院〔2014〕寧民終字第5028號(hào)，中國(guó)裁判文書網(wǎng)。如果該案發(fā)生在《個(gè)人信息保護(hù)法》施行后，且原告所主張的是侵害個(gè)人信息權(quán)，那是否結(jié)果可能會(huì)不一樣呢？《個(gè)人信息保護(hù)法》明確規(guī)定在利用個(gè)人信息中，如果接收方變更原先的處理目的、處理方式，應(yīng)當(dāng)依照本法規(guī)定重新取得個(gè)人同意。因此法律在規(guī)定中考慮到了這種情況，而本問題討論的依舊是適用中的困境。

四、Cookie技術(shù)下知情同意規(guī)則法律適用之對(duì)策

（一）知情同意規(guī)則是個(gè)人信息保護(hù)中的核心內(nèi)容

在涉及到個(gè)人隱私權(quán)發(fā)展時(shí)，知情同意規(guī)則并沒有被重點(diǎn)強(qiáng)調(diào)，往往強(qiáng)調(diào)的是確定隱私的邊界。在美國(guó)，實(shí)際上知情同意規(guī)則最初是在醫(yī)學(xué)領(lǐng)域所確定并發(fā)展起來(lái)的。“Informed consent”一詞在美國(guó)可以追溯到1957年Salgo v.Leland Stanford Jr.University Board of Trustees的判決中，在該案件中法庭詢問病人在接受治療前是否被充分告知并同意進(jìn)行治療。到了70年代后，知情同意規(guī)則的適用范圍變大，擴(kuò)大至公民權(quán)利、婦女權(quán)利以及消費(fèi)者權(quán)利等領(lǐng)域。［15］隨后2012年美國(guó)提出了消費(fèi)者隱私權(quán)利法案，旨在加強(qiáng)對(duì)消費(fèi)者網(wǎng)絡(luò)隱私的保護(hù)，限制互聯(lián)網(wǎng)公司對(duì)消費(fèi)者隱私數(shù)據(jù)的收集、保存、公開等行為；為了打擊秘密追蹤行為，要求谷歌、雅虎、微軟和AOL在瀏覽器上安裝“不追蹤”按鈕，使消費(fèi)者能夠更方便地決定是否接受上述公司的追蹤行為。2018年美國(guó)《加州消費(fèi)者隱私權(quán)法案》進(jìn)一步規(guī)定企業(yè)在采集個(gè)人信息時(shí)，需要在采集行為發(fā)生前或發(fā)生時(shí)通知消費(fèi)者，通知內(nèi)容包括擬采集的信息類別、使用目的等。此外，法案規(guī)定企業(yè)在采集額外信息類別或?qū)⑿畔⒂糜谄渌康臅r(shí)，也應(yīng)當(dāng)對(duì)消費(fèi)者進(jìn)行符合要求的通知。

歐盟在2012年關(guān)于Cookie的一項(xiàng)指令要求，互聯(lián)網(wǎng)企業(yè)利用Cookie追蹤用戶的使用習(xí)慣，必須取得使用者的“明確同意”，特別是涉及到互聯(lián)網(wǎng)定向廣告的投放。隨后歐盟在GDPR中繼續(xù)規(guī)定數(shù)據(jù)主體的“同意”是指數(shù)據(jù)主體依照其意愿自愿做出的任何指定的、具體的、知情的及明確的指示。通過聲明或明確肯定的行為作出的這種指示，意味著其同意與他或她有關(guān)的個(gè)人數(shù)據(jù)被處理。

英國(guó)從《1998年數(shù)據(jù)保護(hù)法案》到GDPR及《數(shù)據(jù)保護(hù)法案》（2018），為了進(jìn)一步強(qiáng)化對(duì)個(gè)人的保護(hù)，新法案將給予公民更多的個(gè)人信息控制權(quán)。實(shí)際上對(duì)同意規(guī)則采用了更嚴(yán)格的方法，一是在“知情——同意”制度方面，個(gè)人同意的更加嚴(yán)格，增加了若干新的條件，例如要求同意必須是“明確且易于撤銷的”。特別是當(dāng)處理個(gè)人敏感數(shù)據(jù)時(shí)，同意必須非常明確。此外在個(gè)人數(shù)據(jù)獲取方面，新法案允許個(gè)人向數(shù)據(jù)控制者要求披露與其相關(guān)的數(shù)據(jù)，并且不得收費(fèi)。在勞埃德訴谷歌一案中，誠(chéng)如法官給出的建議一樣，如果勞埃德以個(gè)人名義起訴谷歌，要求就不當(dāng)使用個(gè)人信息獲得賠償，也許訴訟結(jié)果就會(huì)發(fā)生改變。

在我國(guó)Cookie第一案中，二審法院認(rèn)為Cookie技術(shù)是當(dāng)前互聯(lián)網(wǎng)領(lǐng)域普遍采用的一種信息技術(shù)，使用方式僅為將該匿名信息作為觸發(fā)相關(guān)個(gè)性化推薦信息的算法之一，網(wǎng)絡(luò)用戶應(yīng)當(dāng)提高互聯(lián)網(wǎng)適應(yīng)能力。且百度公司在《使用百度前必讀》中，已經(jīng)說明Cookie技術(shù)、使用Cookie技術(shù)的可能性后果以及通過提供禁用按鈕向用戶提供選擇退出機(jī)制，原告在該種情況下仍然使用百度搜索引擎服務(wù)，應(yīng)視為對(duì)百度公司采用默認(rèn)“選擇容易”方式的認(rèn)可①參見江蘇省南京市中級(jí)人民法院〔2014〕寧民終字第5028號(hào)，中國(guó)裁判文書網(wǎng)。。但是隨著我國(guó)《民法典》以及《個(gè)人信息保護(hù)法》的施行，知情同意規(guī)則也成為我國(guó)個(gè)人信息適用的首要保護(hù)原則。我國(guó)《個(gè)人信息保護(hù)法》確立了知情同意的基本原則，未經(jīng)個(gè)人信息處理者同意，受托人不得委托他人處理個(gè)人信息。

（二）Cookie技術(shù)下知情同意規(guī)則適用的具體對(duì)策

知情同意規(guī)則作為個(gè)人信息保護(hù)的基本原則，其設(shè)置的最終目的就在于獲得用戶的真實(shí)同意，相應(yīng)地就要求企業(yè)在獲取、收集個(gè)人信息時(shí)應(yīng)當(dāng)滿足合法、正當(dāng)、必要和誠(chéng)信的原則，特別是不得通過誤導(dǎo)、欺詐、脅迫等方式處理個(gè)人信息。

我們要對(duì)個(gè)人信息條款的內(nèi)容設(shè)置進(jìn)行改良，使得《個(gè)人信息保護(hù)法》的知情同意原則得到具體體現(xiàn)。上文中提及的澳大利亞競(jìng)爭(zhēng)和消費(fèi)者訴谷歌案中，谷歌被訴就存在脅迫用戶同意的情形。這就要求對(duì)關(guān)于個(gè)人信息的條款進(jìn)行合理設(shè)置。一方面在形式上，我們要改變一攬子同意的方式，防止用戶因?yàn)椤巴馄凇被蛘卟辉敢飧冻鰰r(shí)間進(jìn)行長(zhǎng)篇小字的閱讀而只能選擇同意個(gè)人信息條款；更要停止“被迫同意”的設(shè)置方式，即如果不接受該個(gè)人信息條款的設(shè)置則無(wú)法進(jìn)行相應(yīng)的使用。特別是以格式條款形式出現(xiàn)的隱私政策無(wú)法對(duì)用戶的個(gè)人信息進(jìn)行個(gè)性化設(shè)置。在傳統(tǒng)“同意”模式下，信息收集者與信息主體之間有一道難以逾越的巨大鴻溝——“打包式”同意，在“概括同意”和“被迫同意”的前提下，聲稱保護(hù)用戶個(gè)人隱私的隱私政策卻沒有達(dá)到預(yù)期的效果。［16］另一方面，我們要進(jìn)行內(nèi)容的合理規(guī)劃，將個(gè)人信息條款簡(jiǎn)明扼要地表達(dá)清楚，停止將重要的告知內(nèi)容隱藏在長(zhǎng)篇的法律責(zé)任論述中，從而真正落實(shí)充分告知的透明性，從而獲取知情后的同意。

我們要通過強(qiáng)化法律責(zé)任來(lái)具體落實(shí)知情同意原則，特別是在個(gè)人信息的二次利用中［17］，例如谷歌案件中對(duì)網(wǎng)絡(luò)痕跡信息進(jìn)行再次利用定向輸出時(shí)就會(huì)違反個(gè)人信息這一原則，應(yīng)當(dāng)承擔(dān)不僅僅局限于罰款的法律責(zé)任。我們肯定科技發(fā)展所帶來(lái)的改變，但是我們也要對(duì)這種改變予以應(yīng)對(duì)。［18］互聯(lián)網(wǎng)公司利用Cookie技術(shù)收集的個(gè)人信息，通過對(duì)這些與個(gè)人相關(guān)的網(wǎng)絡(luò)瀏覽痕跡進(jìn)行再次整合與利用，從而實(shí)現(xiàn)彈窗式的精準(zhǔn)廣告投放的行為本身，是應(yīng)當(dāng)受到法律規(guī)制并承擔(dān)違反最低義務(wù)的法律責(zé)任。例如在上文中法國(guó)訴谷歌一案中，谷歌對(duì)這種彈窗的按鈕設(shè)置非常隱蔽，同時(shí)谷歌并不認(rèn)為其行為違反個(gè)人信息的正當(dāng)性?！熬W(wǎng)絡(luò)行為數(shù)據(jù)的產(chǎn)生過程高度受控于網(wǎng)絡(luò)服務(wù)提供者所提供的技術(shù)服務(wù)，我們?cè)诘卿洝Ⅻc(diǎn)擊與瀏覽任何一個(gè)網(wǎng)站時(shí)，除非服務(wù)商主動(dòng)加以刪除，否則產(chǎn)生的全部網(wǎng)上行為記錄都會(huì)被實(shí)時(shí)儲(chǔ)存在該網(wǎng)站的服務(wù)器當(dāng)中?！保?9］因此明確違反知情同意的法律責(zé)任，在司法與執(zhí)法層面落實(shí)《個(gè)人信息保護(hù)法》中關(guān)于知情同意規(guī)則的確認(rèn)。

本文中勞埃德訴谷歌實(shí)際上是目前我們面臨互聯(lián)網(wǎng)企業(yè)巨頭的一個(gè)縮影，它側(cè)面反映了個(gè)人在面對(duì)谷歌這樣的互聯(lián)網(wǎng)公司，如何能夠真正地實(shí)現(xiàn)知情同意規(guī)則的法律適用。同樣在百度一案中也反映出在我國(guó)，這一問題同樣存在。

本文之所以選擇英國(guó)勞埃德訴谷歌一案進(jìn)行分析，還在于英國(guó)自2020年1月退出歐盟后，歷經(jīng)11個(gè)月過渡期，已經(jīng)于2021年1月1日起開始自主運(yùn)行本國(guó)的數(shù)據(jù)保護(hù)制度，獨(dú)立于歐盟治理框架。英國(guó)對(duì)歐盟GDPR的一系列改革對(duì)于我國(guó)個(gè)人信息的保護(hù)都具有一定參考價(jià)值。

我們已經(jīng)從接聽騷擾電話的時(shí)代邁入了互聯(lián)網(wǎng)中個(gè)人信息流失的時(shí)代，信息已經(jīng)成為市場(chǎng)流通中的“生產(chǎn)要素”，我們接受這種技術(shù)發(fā)展帶來(lái)的便利的同時(shí)，更要保護(hù)我們的個(gè)人信息。目前我國(guó)的《個(gè)人信息保護(hù)法》已經(jīng)明確規(guī)定了個(gè)人信息的使用原則，但是如何在具體的個(gè)人信息保護(hù)中實(shí)現(xiàn)法律適用是我們必須并且能夠在未來(lái)解決的新問題之一。