English
 
查看详细details
您当前所在位置:首页 奥航智讯 行业最新动态 查看详细
行业最新动态 会员企业动态 GDPR
浏览历史超8成用户可识别个人身份 网络平台收集是否侵犯隐私?
文章来源:奥航智讯  作者:SCA  发布时间:2020-09-23  浏览次数:751

浏览历史算隐私吗?


网络浏览历史,是用户进行网络活动时留下的痕迹。近日,浏览器开发商Mozilla的研究人员对5.2万名Firefox 用户在两周的浏览历史进行分析,结果显示99%的浏览历史是独一无二的。超过八成的用户可以通过浏览历史识别出他们的身份。


根据上述研究,网络的浏览历史或者其他网络轨迹都有可能成为识别自己身份的符码,于用户而言具有很强的人格身份属性。


通常情况下,用户在使用搜索引擎、社交媒体、视频网站等网络平台时都能够看到自己的浏览历史,但同时平台也会收集、利用这些数据,以提高自身服务,并进行更精准的广告投放。


那么网络平台是如何收集和使用浏览历史数据的?浏览历史是否属于用户的个人隐私?网络平台应需要遵循什么规范? 


用户浏览历史有什么用?


目前,多数APP和网络平台都会记录下用户的浏览历史,并根据浏览历史描绘出用户画像,进行更精准的内容推荐和广告投放。


21世纪经济报道记者发现,各大网络平台都会在其《隐私规则》上列明如何采集和使用用户的浏览历史等信息。


例如,百度的隐私政策显示,在使用百度平台的产品和服务时,百度服务器会记录下所访问服务的URL(网址)等信息;在使用百度好看视频,小视频、爱奇艺视频时,百度会将用户的观影习惯和爱好的相关个人信息与爱奇艺分享。百度会将采集到的这些信息用于个性化内容推荐、提升广告触达率等方面。


抖音和今日头条也表示,会采集用户的日志信息,包括点击、关注、收藏、搜索、浏览、分享等;在使用搜索服务时,会搜集关键词信息、日志记录;使用cookie(追踪缓存)对浏览活动进行记录。它们称这些做法是为了“保障推荐内容的质量和向用户推荐可能感兴趣的视频及相关信息”。同时平台还表示,会与广告合作伙伴共享这些信息,以提升广告的有效触达率。


在使用微信公众号、搜一搜、视频号等功能时,微信会对用户阅读或观看的信息内容、搜索记录、评论互动等行为进行搜集并使用。微信称这是为了更好地展示广告、进行信息安全提示、基于特征标签进行间接人群画像并提供更具个性化的服务和内容。


根据淘宝的隐私政策,平台会收集和使用用户在访问或使用淘宝平台网站或客户端时的服务日志信息,包括浏览记录、点击查看记录、搜索查询记录等,提取用户的偏好特征,并向用户推送可能感兴趣的商业广告及其他信息。 


是否属于个人信息或隐私?


网络平台常用计算机的cookie功能来追踪用户行为,记录并获取用户的访问信息,包括用户的浏览历史。通过收集和利用用户的“浏览历史”,以提升用户体验和广告触达率。


既然“浏览历史”等由用户使用互联网服务时所产生的数据具有相当的商业价值和人格利益,那么这些数据是否属于用户的个人信息而应当受到法律的保护?


2018年正式实施的《欧盟通用数据保护条例(GDPR)》被称为是“史上最严格的数据保护法案”。GDPR规定,当数据可被用来直接或间接识别自然人时,其就是个人数据/信息。如果网络的cookie痕迹可生成个人画像或档案从而识别到具体自然人,这些痕迹就具有身份识别性。


这意味着,如果用户浏览历史可以直接或与其他信息结合识别到特定自然人的话,那么浏览历史也属于个人数据。


我国针对cookie痕迹是否属于个人信息的问题,其实经历了多年的争论。


2013年,被称为“中国cookie隐私第一案”中,就体现出了这样的争议。原告称,使用百度搜索“减肥”“丰胸”等关键词后,某些网站上会出现与这些关键词高度相关的广告。原告认为,百度擅自记录和跟踪了自己搜索的关键词,并利用搜索记录进行广告投放。


该案一审法院认定,原告的搜索记录是其在互联网空间留下私人的活动轨迹,反映其个人兴趣爱好等私人信息,属于个人隐私的范围。二审法院则认为,虽然搜索记录反映了网络用户的网络活动轨迹及上网偏好,具有隐私属性,但这种网络活动轨迹及上网偏好一旦与网络用户身份相分离,便无法确定具体的信息归属主体,不再属于个人信息范畴。


从二审判决看来,法院认为搜索记录、浏览历史等网络活动轨迹如果不能够直接指向个人,则不能认为是个人信息。但有更多的学者质疑,单纯的某一项轨迹可能无法直接指向特定用户,但如果结合数个网络轨迹是否有可能可以指向特定用户。


近年,随着《网络安全法》《个人信息安全规范》《民法典》的出台,对于这个问题才逐渐有了明确的判断标准。


我国的《个人信息保护法》尚未出台,但去年10月新发布的《个人信息保护法(专家意见稿)》中,第五十三条明确规定了“网络浏览历史”应当属于个人信息。


2017年6月实施的《网络安全法》对个人信息的定义采取了直接识别和间接识别(其他信息辅助识别)的认定标准。将个人信息定义为:以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。今年新出台的《民法典》也沿用了《网络安全法》对个人信息的定义。


虽然上述规定并没有写明“浏览历史”等cookie数据属于个人信息,但《个人信息安全规范》明确,“通过日志储存的个人信息主体操作记录,包括网站浏览记录、软件使用记录、点击记录、收藏列表等个人上网记录”都属于个人信息。


相比《网络安全法》和《民法典》,上述规范还增加了对个人敏感信息的判定说明,“网页浏览记录”就包含在个人敏感信息类型内,即“一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。通常情况下,14岁以下(含)儿童的个人信息和涉及自然人隐私的信息属于个人敏感信息。”


“浏览历史,是可能具有隐私属性的个人信息。”中国政法大学传播法研究中心副主任朱巍向21世纪经济报道记者表示,按照民法典的规定,隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。网上信息浏览记录是用户的网上私密行为,属于隐私权的保护范围。如果根据这些浏览历史能够直接或间接识别到特定自然人则应当属于个人信息,否则是隐私信息。 


浏览历史的使用规范


在“浏览历史”等网络轨迹被视作个人信息甚至是个人敏感信息的背景下,平台能否对这些信息进行采集和使用?需要遵循哪些规范?


朱巍认为,浏览历史数据的权利要交到用户手中,但网络服务提供者可能具有用户浏览历史的使用权,前提是要先征得用户同意,并由保障用户对浏览历史的保留或者清除的权利。


根据《民法典》和《消费者权益法》的要求,处理个人信息的,应当遵循合法、正当、必要原则,不得过度处理。具体包括要先征得自然人或其监护人同意、公开处理、明示处理、不违反双方约定。


《网络安全法》针对网络服务提供者对个人信息的处理也有明确规定,网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。


朱巍说,平台的隐私规则需要给出明确的提示,比如要说明平台收集这些信息的用途,并保障用户知情权、同意权、退出权。


事实上,新用户在使用网络产品服务前,往往需要先点击同意其用户协议或者隐私规则,否则可能无法使用它的全部功能。一旦同意上述条款,就意味着用户同意授权平台对包括“浏览历史”等个人信息的采集和使用。


用户在同意平台的隐私政策后,使用过程中,也有权暂停该平台对其个人信息的搜集和使用。


2002年欧盟颁布《电子隐私法令》(e-Privacy Directive)要求只要网站提供了推出的机会,就可以使用cookie储存用户的网络轨迹。2009年,欧盟对这一条款进行了修订,从选择退出改为选择加入,需要用户主动同意才能够收集用户的网络轨迹。


我国《个人信息安全规范》强调应充分保障用户自由选择和控制个人信息的主动权,规定了平台不仅要给用户退出个性化推荐模式的选项,还要向用户提供将个性化推荐所依据的个人信息删除或匿名化的选项。保障用户对个性化推荐所依据的个人信息进行自主调控的能力。


但事实上,目前许多平台都没有在显著的位置上提供“一键退订”的功能,需要点击进行多步操作才能退订。


由此看来,平台对用户的“浏览记录”等数据的采集和使用,都要遵循“事先征得用户同意”和“保障用户选择和退出权”的原则,但也有例外情况。


2016年,英国出台《调查权力法案》(IPA),规定允许警方与安全部队访问这些网站浏览记录数据。互联网服务供应商需要保留用户的每个域名的浏览记录,以便执法机构对相关用户进行调查。据BBC报道,时任内政大臣的特雷莎梅表示,这项法律对于对抗恐怖分子是必要的,能够更为充分地保护公民。


根据上述国内网络平台的隐私规则,如果是在与国家安全、公共利益、犯罪侦查、起诉、审判和判决等直接相关的情形下,平台收集和使用个人信息无需征得用户授权同意,此时平台搜集和利用这些信息则出于证据留存等需要。


收集使用陷侵权争议


近年,中外法律和标准都已经对有了网络服务经营者收集、使用用户浏览历史等网络轨迹数据有了明确的要求,但仍有不少平台陷入了类似的侵权纠纷中。


对于平台违规采集或者使用用户的浏览历史数据,朱巍表示,如果平台过度采集用户的浏览历史,或者没有征得用户同意,或者用户表示要删除,但平台没有删,都可能会侵犯消费者的自由选择权或知情权。


除了上文已经提及的朱某诉百度网讯科技有限公司Cookie隐私案外,2014年12月,荷兰数据保护局(DPA)向谷歌提出警告,称谷歌公司未经用户同意就使用浏览历史和位置等用户私人信息向其提供定制广告的做法违反了荷兰数据保护法案,责令谷歌停止侵权行为,否则将面临最高1500万欧元的罚款。此前,谷歌曾推出新的隐私政策,规定将结合来自于搜索引擎查询请求、电子邮件、第三方网站追踪、位置数据和视频浏览等数据,向用户提供定制广告。


今年,“爱奇艺超前点播”一案的原告吴某再次起诉爱奇艺,称爱奇艺在诉讼过程中,擅自查看原告的登录和观影记录,并在诉讼过程中进行披露,侵犯了自己的隐私权。


爱奇艺对此回应称,在“超前点播”一案中提交的所有信息,都是根据相关法规和诉讼需要,且申请了不公开质证,以确保信息不会流向第三方。目前该案还在进一步审理中。(文章来源:21世纪经济报道,作者:张雅婷,实习生白桦)


 
奥航智讯官方微信
联系我们 | CONTACT US
  • 公司地址:上海市浦东新区 周康路26号 周浦万达E栋1016室
  • 联系电话:021-51099961
  • 企业邮箱:contact@smart-alliance.com
  • W  E  B  :  www.smart-alliance.com
在线留言 | FEEDBACK
Copyright 2012-2024 SC Alliance, All Rights Reserved        沪ICP备14020833号-1        上海奥航智能科技有限公司