大家在浏览外国网站的时候,大概率会遇见这样的对话框,它们可能出现在网页正中央,也可能出现在页面顶部或者底部。
每次如果访问国外的某些网站,都要弹出这个提示框,都要点击一个“我同意”。事实上T君基本没有见过有的框框有“我不同意”选项。这个框框的意义是什么呢?
往下看,T君为大家揭秘。
【本篇全文3133字,阅读时长预计10分钟】
什么是Cookie?
Cookie,其复数形式为Cookies。这个单词原意为“小甜饼”,在网络技术当中指某些网站为了辨别用户身份而储存在用户本地终端(Client Side)上的数据(通常经过加密)。这个网络术语并没有一个正式的中文译名,大家都直称其Cookie(s)。
Cookie保存在客户端中,意思是它就保存在你的电脑里面,而非网络当中。依据在客户端中的存储位置,可分为内存Cookie和硬盘Cookie。内存Cookie由浏览器维护,保存在内存中,浏览器关闭后就消失了,其存在时间是短暂的。硬盘Cookie保存在硬盘里,有一个过期时间,除非用户手工清理或到了过期时间,硬盘Cookie不会被删除。
如果在一台计算机中安装多个浏览器,每个浏览器都会以独立的空间存放Cookie。因为Cookie中不但可以确认用户信息,还能包含计算机和浏览器的信息,所以一个用户使用不同的浏览器登录或者用不同的计算机登录,都会得到不同的Cookie信息;另一方面,对于在同一台计算机上使用同一浏览器的多用户群,Cookie不会区分他们的身份,除非他们使用不同的用账户登录计算机。
计算机为什么需要Cookie?
Cookie是让网络与用户“交互”的必需品。
某网站的Cookie使用告知是这么写的:
We use cookies to personalise content and ads, to provide social media features and to analyse our traffic. We also share information about your use of our site with our social media, advertising and analytics partners who may combine it with other information that you’ve provided to them or that they’ve collected from your use of their services
有了Cookie,浏览器便会记住大家在淘宝上先买了SK-II,后买了iPhone12 Pro Max,并将商品信息顺利传到购物车当中,再从购物车传递到付款页面。
有了Cookie,浏览器还会记住我们的的用户名和密码,这样下一次登陆网站时便可以省事儿。
Cookie带来的隐私争议
互联网在近十年来发生了巨大变化。如今数万亿美元的数据经济正在以前所未有的规模推动用户数据收集。
上面提到浏览器储存的Cookie可以记录你购买的商品,那Cookie也可以知道你浏览的新闻、看过的电影,你在网上搜索的疾病与药物……Cookie对于个体用户访问数据的记录,以及其在网站与本地计算机之间传输的特性,使得个体用户隐私问题自然暴露出来。用户开始担心自己的数据被接受cookie的服务商或者第三方数据收集者不法利用。
一方面,互联网服务商需要对用户数据的合法利用作出承诺,另一方面,用户有必要知道他们的数据“去了哪里”,以及被“如何使用”。欧盟在这一方面走在了世界前列,颁布了一项法律以限制互联网服务商对于Cookie的利用。
关于欧盟Cookie Law
欧盟(EU) Cookie law的正式名称是ePrivacy Directive,于2002年在欧盟表决通过,于2009年进行过一次修改。
欧盟Cookie law主要目的是强制执行对于个人数据之隐私权的保障。对于数据保护的思想来源可追溯至《欧盟基本权利宪章》(EU Charter of Fundamental Rights)第8条中所说的那样:
“Everyone has the right to the protection of personal data”, 以及“such data must be processed fairly for specified purposes and on the basis of the consent of the person concerned”.
欧盟Cookie law的目的是为了保护用户免受网络跟踪、用户分析、未经请求的营销策略和第三方非自愿收集数据的侵扰。其主要目标是保护“电子通信领域的私人生活权,通信保密性和个人数据保护”(the right to private life, the confidentiality of communications and the protection of personal data in the electronic communications sector)。
大家每次访问一些国外的网站,弹出的Cookie告知消息都是网站在欧盟Cookie law的监管下对用户隐私权、知情权之保护的体现。
Cookie Law的落实并不理想
T君在文章开头说过,不少网站只有一个“同意”或者“OK”按钮,似乎我们别无选择。那这样还有什么意义呢?似乎是徒增麻烦。
而实际上,Cookie Law做出的规定是:
...no cookies and trackers must be placed before prior consent from the user, besides those strictly necessary for the basic function of a website...
也就是“除非用户同意,网站不得使用任何Cookie或者网络追踪技术“。
的确,不少网站似乎只是实践了“知情权”。告诉用户“我们要用Cookie,用Cookie可以增强用户体验哦”,然后大家没得选,只能点击“俺同意”。而实际上我们的个人数据仍然漂浮在价值“数万亿美元“的信息洪流当中,除了点点头,什么也做不了。
这其中的原因也很复杂,T君大致归纳为两点:
一是Cookie Law已经是一部年纪很大的“法律”,这里加引号是因为它实际上并不是传统意义上的法律。2002年出台后,直到2009年有了当前唯一一次修订,这次修订距今已经有11年了。而互联网在2009到2020这11年,已经算是翻天覆地。因此Cookie Law亟需根据当下新技术进行更新。
第二点则涉及到欧盟的制度。Cookie law的正式名称是ePrivacy Directive。而Directive的执行,在欧盟当中是这样规定的:各个成员国根据本国实际情况,制定本国的法律将directive的内容涵盖进去。也就是说各个欧盟成员国须要将ePrivacy Directive当中的数据保护和隐私权条款纳入本国法律。这就导致不同国家对于这个“指导性纲领”的阐释与执行各不相同,进而导致当下仍然存在着用户只能选择“同意”的无意义的Cookie使用提示,也会因为各地互联网法律不一而引发不公平竞争。
因此欧盟现在正在考虑将ePrivacy Directive升级为ePrivacy Regulation。成为regulation之后,便是一部由欧盟颁布并无差别强制执行的真正的法律。同时ePrivacy Regulation还将进行内容大更新以适应最新的技术发展。
一个理想的Cookie使用提示
从Cookie Law到GDPR
欧盟在网络隐私保护上已经走在前列,不只是因为Cookie Law,还有一部更加重磅的法律,叫做《通用数据保护条例》(General Data Protection Regulation),简称GDPR。
GDPR于2016年通过,自2018年5月实施(间隔近两年是为了给企业提供缓冲期),对所有欧盟成员国都具有约束力。它的范围比Cookie Law大得多,因为它注重数据保护,以及公司和组织必须确保信息利用透明度和用户协议同意,同时GDPR并不限制数据类型(即保护的不只是数字用户信息)。
从数据保护联想到“本地化”
GDPR被称为世界上最严格的数据保护法案。纽约时报曾在GDPR生效当日刊文《G.D.P.R., a New Privacy Law, Makes Europe World’s Leading Tech Watchdog》。限于篇幅,对于GDPR的具体内容留给大家自行了解。在这里T君主要以借此一些“本地化”的想法。只是这里不是外国产品走入中国,而是中国企业“出海”至欧洲。
首先来看这一法案有多么严厉呢?
单从罚金数额来看:违法企业最高处罚金额可至2000万欧元(约1.5亿人民币)或企业全球年营业额的4%,两者中取其高值。而最低处罚标准则是1000万欧元或企业全球营业额的2%,同样是两者取其高。
举个例子,18年4月Facebook曾出现过大规模隐私泄露事件,幸亏彼时GDPR还有1个月才生效,否则Facebook最多被罚去年全球营收406亿美元的4%,也就是16.26亿美元,约合108.68亿人民币。
另一个体先其严厉的方面则是GDPR的作用对象:
1.This Regulation applies to the processing of personal data in the context of the activities of an establishment of a controller or a processor in the Union, regardless of whether the processing takes place in the Union or not.
2. This Regulation applies to the processing of personal data of data subjects who are in the Union by a controller or processor not established in the Union, where the processing activities are related to:
(a) the offering of goods or services, irrespective of whether a payment of the data subject is required, to such data subjects in the Union; or
(b) the monitoring of their behaviour as far as their behaviour takes place within the Union.
(来源:GDPR, Article 3)
简言之,在欧盟地区的企业肯定需要遵守GDPR,而非欧盟企业只要处理欧盟居民的数据也必须遵守GDPR。
中国企业开拓欧洲市场,必须遵守目标地区的法律法规,这也算是广义的对产品进行“本地化”。而GDPR之严格在世界上绝无仅有,这便对企业提出了巨大的挑战。
GDPR将用户的信息权利无限放大,将近乎一切信息与隐私的管理责任归于服务商。GDPR就好像一张细密的蜘蛛网,厂商需要跨越它们而不能沾到半点儿。厂商因此在技术、管理、法务等方面产生巨大成本。对于小企业、初创企业来说难度非常大;纵使是互联网大厂也需要对此进行多方面调整。
Facebook、推特、苹果、谷歌、微软这些耳熟能详的“巨佬”在GDPR面前无一幸免。而国内企业也只有极少数通过了GDPR第三方检验机构的验收,包括华为、第四范式等。
我国对信息安全做出的努力
2018年5月1日,我国《信息安全技术个人信息安全规范》正式实施。
中国电子技术标准化研究院何延哲博士是《规范》的起草人之一,他表示:在制定期间参照了《网络安全法》等一系列中国在个人信息保护方面提出要求的法律法规,也参考了欧盟的《通用数据保护条例》,即GDPR、ISO29000系列等国际范围内的个人信息保护法律法规及标准。
当然,《规范》更重要的是依据我国互联网发展实际情况。总体来说《规范》不如GDPR严格,但是也对数据追踪与收集等方面做出了相对细致的责任界定。
结语:
有时候写作的灵感就在一瞬间,从无数次的点击“OK”来允许网站关闭那个无意义的Cookie弹窗开始累计怒气,怒气值攒满了就决定写了。这篇科普性质的文章最后还是多少要往“本地化”方面贴近一些……然而受学识和阅历所限,没有办法在这方面展开太多。
不过能够帮助大家简单了解一些这方面的知识,我的“科普”目的也就达到了。信息安全与隐私保护,是我们在这个互联网时代都应该知晓的。
参考资料:
[1] 维基百科的“Cookie”词条:
https://zh.wikipedia.org/wiki/Cookie
[2]文章提到的《纽约时报》关于GDPR的文章:
https://www.nytimes.com/2018/05/24/technology/europe-gdpr-privacy.html
[3]欧盟官方网站中数据保护(Data Protection)的相关信息:
https://ec.europa.eu/info/law/law-topic/data-protection_en
特别说明:本文仅用于学术交流,如有侵权请后台联系小编删除。
- END -
转载来源:T君的本地化日常
转载编辑:张启雯
网友评论