于瑩,石浩男

摘 要：Cookie跟蹤侵犯用戶隱私已是不爭(zhēng)的事實(shí)。以“雙擊訴訟”（DoubleClick Inc. Privacy Litig.）為代表的美國經(jīng)驗(yàn)表明，否認(rèn)Cookie跟蹤隱私權(quán)侵權(quán)責(zé)任的成立，在主觀要件、損害后果等裁判理由的背后，是隱私權(quán)保護(hù)讓位于互聯(lián)網(wǎng)行業(yè)發(fā)展的侵權(quán)法理念與價(jià)值選擇。在我國《侵權(quán)責(zé)任法》的立法與司法現(xiàn)狀之下，Cookie跟蹤隱私權(quán)侵權(quán)責(zé)任的成立亦面臨制度困境。但網(wǎng)絡(luò)隱私安全的情感需求日益強(qiáng)烈、技術(shù)進(jìn)步逐漸抵消互聯(lián)網(wǎng)商業(yè)成本的發(fā)展趨勢(shì)表明，應(yīng)明確網(wǎng)絡(luò)服務(wù)商對(duì)用戶隱私的注意義務(wù)，在一般過錯(cuò)責(zé)任原則的框架下重新解釋隱私權(quán)侵權(quán)責(zé)任的構(gòu)成要件。因應(yīng)社會(huì)發(fā)展，隱私權(quán)的內(nèi)涵也由此獲得了豐富和擴(kuò)展。

關(guān)鍵詞：Cookie跟蹤;隱私權(quán);“雙擊訴訟”;注意義務(wù)

作者簡(jiǎn)介：于瑩，女，吉林大學(xué)法學(xué)院教授、博士生導(dǎo)師，從事民商法研究;石浩男，女，吉林大學(xué)法學(xué)院博士研究生，從事民商法研究。

中圖分類號(hào)：D913 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1000-7504（2015）01-0089-08

央視“3·15”晚會(huì)集中曝光的互聯(lián)網(wǎng)廣告、搜索公司通過Cookie跟蹤用戶習(xí)慣、竊取用戶信息，愛聊等通信軟件自動(dòng)讀取用戶通信錄等侵犯用戶隱私的行為，以及廣告企業(yè)掌握的龐大Cookie數(shù)據(jù)庫讓網(wǎng)絡(luò)用戶不寒而栗，其對(duì)隱私的攝取引起公眾的關(guān)注。Cookie既可以用來儲(chǔ)存有關(guān)使用者喜好的信息，也可以作為收集網(wǎng)絡(luò)用戶個(gè)人信息的工具。這一方面導(dǎo)致用戶郵箱被垃圾郵件充塞，另一方面用戶的購物習(xí)慣、消費(fèi)喜好、經(jīng)濟(jì)狀況等信息會(huì)被專門的數(shù)據(jù)庫加工整理，販賣給商家，其隱私被泄露。雖然隱私遭到侵犯，卻很少有當(dāng)事人對(duì)此提起訴訟要求賠償。1

針對(duì)Cookie跟蹤是否以及如何構(gòu)成對(duì)用戶隱私權(quán)的侵犯這一問題，本文首先梳理以“雙擊訴訟”為代表的美國經(jīng)驗(yàn)，在法院的論證中歸納Cookie跟蹤侵權(quán)責(zé)任構(gòu)成要件方面美國的制度選擇，并著力分析這一做法背后的侵權(quán)法理念與價(jià)值選擇。在此基礎(chǔ)上，在我國立法與司法的現(xiàn)狀中考證Cookie跟蹤侵權(quán)責(zé)任的成立，指出其面對(duì)的制度困境。最后，在網(wǎng)絡(luò)隱私安全的情感需求日益強(qiáng)烈、技術(shù)進(jìn)步逐漸抵消互聯(lián)網(wǎng)商業(yè)成本的時(shí)代背景下，重新解釋Cookie跟蹤隱私權(quán)侵權(quán)責(zé)任的構(gòu)成要件，給出我國的制度選擇。

一、Cookie跟蹤侵犯隱私權(quán)的否證：美國“雙擊訴訟”的立場(chǎng)

針對(duì)Cookie的侵權(quán)行為，美國從1996年起便不斷地有用戶提起訴訟。其中的一個(gè)典型例子是2001年美國的“雙擊訴訟”。1“雙擊”公司在2001年已經(jīng)是互聯(lián)網(wǎng)上最大的網(wǎng)絡(luò)廣告商。它利用Cookie技術(shù)，與11 000多個(gè)網(wǎng)站合作收集網(wǎng)絡(luò)用戶信息，并把他們作為發(fā)布廣告的對(duì)象。針對(duì)該公司的用戶人數(shù)眾多，依聯(lián)邦法律提起集團(tuán)訴訟，指控其在光顧“雙擊”合作網(wǎng)站的用戶的電腦硬盤上設(shè)置Cookie，并依據(jù)聯(lián)邦法律——電子通信隱私法（Electronic Communications Privacy Act，簡(jiǎn)稱ECPA）、聯(lián)邦竊聽法案（Federal Wiretap Act，簡(jiǎn)稱FWA）、計(jì)算機(jī)欺詐與濫用法（Computer Fraud and Abuse Act，簡(jiǎn)稱CFAA）——提出三個(gè)訴訟請(qǐng)求。與此同時(shí)，依據(jù)州法律提出四項(xiàng)訴訟請(qǐng)求：（1）構(gòu)成普通法上的侵犯隱私權(quán);（2）構(gòu)成普通法上的不當(dāng)?shù)美?（3）構(gòu)成普通法上對(duì)財(cái)產(chǎn)權(quán)的侵害;（4）違反了紐約一般商事法第22A章第350節(jié)以及第349節(jié)下的第a項(xiàng)。但是，一審的紐約南區(qū)地方法院駁回了原告依據(jù)聯(lián)邦成文法的三項(xiàng)訴訟請(qǐng)求，并拒絕對(duì)依據(jù)州普通法提出的訴訟請(qǐng)求行使補(bǔ)充管轄權(quán)。

（一）駁回依聯(lián)邦成文法的訴訟請(qǐng)求：Cookie跟蹤侵犯隱私權(quán)的要件

1.駁回依ECPA的訴訟請(qǐng)求：“用戶”與“合法授權(quán)”的界定

原告稱，“雙擊”公司通過在用戶電腦上設(shè)置Cookie，未經(jīng)授權(quán)進(jìn)入了提供電子信息的設(shè)備并獲得了儲(chǔ)存的電子通信信息，違反了ECPA第二章的第2701條a項(xiàng)之規(guī)定。盡管法院認(rèn)同原告這一主張，但由于該行為同時(shí)屬于第2701條c項(xiàng)免除責(zé)任的情形，即如果行為是經(jīng)過（有線或電子通信）服務(wù)的使用者就他的或者提供給他的通信的授權(quán)則免除法律責(zé)任。因?yàn)椤半p擊”合作網(wǎng)站也是ECPA中規(guī)定的“用戶（user）”，因此當(dāng)用戶向“雙擊”合作網(wǎng)站提交包含個(gè)人信息的請(qǐng)求時(shí)，合作網(wǎng)站作為用戶對(duì)“雙擊”的授權(quán)足以使被告免除責(zé)任。

筆者認(rèn)為這里包含了兩個(gè)重要的爭(zhēng)議：一是“雙擊”合作網(wǎng)站是否也屬于“用戶”？二是即使“雙擊”合作網(wǎng)站也屬于用戶，他的單方允許能否成為對(duì)“雙擊”公司收集用戶（網(wǎng)站的一般公眾使用者）信息的一種合法授權(quán)？

18 U.S.C.第2510條將“用戶”定義為，“任何一個(gè)使用電子通信服務(wù)或得到服務(wù)商充分授權(quán)使用此類服務(wù)的個(gè)人或?qū)嶓w”。從表面意義上來看，“雙擊”合作網(wǎng)站屬于“用戶”。因?yàn)樗麄兗仁菍?shí)體，也使用了網(wǎng)絡(luò)服務(wù)，并且通過訂購得到了網(wǎng)絡(luò)服務(wù)商的授權(quán)。原告對(duì)此提出了兩點(diǎn)抗辯：對(duì)“用戶”一詞最自然的理解應(yīng)是訂購網(wǎng)絡(luò)服務(wù)的自然人，而不是網(wǎng)頁提供者;作為自然人的用戶擁有財(cái)產(chǎn)權(quán)和隱私權(quán)概念下的個(gè)人電腦設(shè)備，訪問的網(wǎng)站卻無此權(quán)利。因此只有自然人本人才能授權(quán)別人接近和使用自己的電腦設(shè)備。但法院堅(jiān)持“雙擊”合作網(wǎng)站屬于“用戶”。首先，依據(jù)18 U.S.C.第2510條，網(wǎng)站是經(jīng)過網(wǎng)絡(luò)服務(wù)供應(yīng)商（ISP）授權(quán)使用互聯(lián)網(wǎng)的實(shí)體，“實(shí)體”一詞的定義說明法律沒有區(qū)分自然人和非自然人的使用者。而且不是只有“自然人”才能注冊(cè)使用互聯(lián)網(wǎng)，任何主體在使用網(wǎng)絡(luò)時(shí)，不是網(wǎng)絡(luò)服務(wù)供應(yīng)商，就是使用網(wǎng)絡(luò)服務(wù)供應(yīng)商服務(wù)的主體。其次，第2701條c項(xiàng)明確規(guī)定，（有線或電子通信）服務(wù)的使用者有權(quán)對(duì)他的或者提供給他的通信進(jìn)行授權(quán)。也就是說，不是只有本人才能進(jìn)行授權(quán)。還有一種假設(shè)，盡管原告沒有提到也特別值得一提，即原告可以從網(wǎng)站只是一個(gè)被動(dòng)的、消極的存儲(chǔ)容器的角度主張只有人才是“用戶”，網(wǎng)站只是供人來使用的。但是網(wǎng)站的工作原理證明這種假設(shè)是錯(cuò)誤的。因?yàn)榫W(wǎng)絡(luò)功能需要通過打包轉(zhuǎn)換以及動(dòng)態(tài)路徑的選擇才能得以實(shí)現(xiàn)，人們不可能從一個(gè)消極的接收器那里獲得信息。2綜上，法院依據(jù)ECPA的規(guī)定認(rèn)定“雙擊”合作網(wǎng)站屬于“用戶”。

至于“雙擊”合作網(wǎng)站的單方允許能否成為對(duì)“雙擊”公司收集用戶信息的一種合法授權(quán)，法院認(rèn)為，原告通過GET、POST、GIF向“雙擊”合作網(wǎng)站提交信息都表明他們想要瀏覽這個(gè)網(wǎng)站。在GET和POST情形下，用戶是自愿輸入信息，比如查詢的內(nèi)容、交易指令以及個(gè)人信息等。在GIF情形下，信息的收集是通過用戶使用鼠標(biāo)或其他工具瀏覽網(wǎng)頁時(shí)產(chǎn)生。盡管用戶是通過點(diǎn)擊，而不是通過輸入來發(fā)送請(qǐng)求，但這種點(diǎn)擊仍是有意識(shí)的、自愿的。綜上，法院認(rèn)為用戶請(qǐng)求瀏覽網(wǎng)站時(shí)通過GET、POST、GIF提交的信息都是出于自愿的，依據(jù)第2701條c項(xiàng)的規(guī)定，網(wǎng)站對(duì)自愿提供給它的通信內(nèi)容可以授權(quán)其他人使用。

2.駁回依FWA的訴訟請(qǐng)求：“犯罪或侵權(quán)的目的”的判斷

原告訴稱，將Cookie安置在原告硬盤上構(gòu)成了截取電子通信行為，違反了ECPA的第一章?！半p擊”公司承認(rèn)使用Cookie技術(shù)構(gòu)成了截取電子通信的行為，但認(rèn)為自己的行為不必承擔(dān)責(zé)任，因?yàn)槠湫袨榉?8 U.S.C.第2511條第2、第4項(xiàng)的“一方同意”的情形，即在通信一方同意的情況下，截取行為并不違法，除非截取行為是出于“犯罪或者侵權(quán)的目的”。最終法院判定存在“一方同意”的情形，理由與駁回第一個(gè)訴訟請(qǐng)求相同。至于被告是否存在“犯罪或侵權(quán)目的”，原告認(rèn)為，既然被告實(shí)施了侵權(quán)行為，其主觀上一定具備實(shí)施侵權(quán)的目的。法院最終否定了被告存在實(shí)施侵權(quán)的意圖。法院詳細(xì)介紹了立法過程，指出犯罪或侵權(quán)意圖要被嚴(yán)格解釋為適用于諸如錄制他人談話以備脅迫或敲詐的行為，而大量的證據(jù)表明，“雙擊”公司收集用戶信息的目的是正當(dāng)?shù)纳虡I(yè)目的，而非犯罪或侵權(quán)。而且法院還依據(jù)法院判決說明，原告不能僅憑被告實(shí)施了侵權(quán)或犯罪行為就認(rèn)定其具有犯罪或侵權(quán)的意志。1

筆者存在這樣一個(gè)疑問：將犯罪或侵權(quán)意圖嚴(yán)格限制在諸如錄制他人談話以備脅迫或敲詐的行為，相較于現(xiàn)在的侵權(quán)責(zé)任法中行為人違反注意義務(wù)即構(gòu)成主觀上的過錯(cuò)，范圍是否過于狹窄，是否導(dǎo)致許多侵權(quán)行為無法得到救濟(jì)？

3. 駁回依CFAA的訴訟請(qǐng)求：“損害或損失”的構(gòu)成

原告訴稱，被告違反了計(jì)算機(jī)欺詐與濫用法。該法的主要目的是保護(hù)聯(lián)邦政府以及金融和醫(yī)療機(jī)構(gòu)等“受保護(hù)的計(jì)算機(jī)”。該法禁止為了獲取敏感信息如有關(guān)國防、金融和消費(fèi)者信用記錄等信息，未經(jīng)授權(quán)而進(jìn)入“受保護(hù)計(jì)算機(jī)系統(tǒng)”。2依據(jù)18 U.S.C.第1030條（a）項(xiàng)的規(guī)定，任何人在沒有授權(quán)或超越授權(quán)范圍的情況下有目的地接近受保護(hù)的計(jì)算機(jī)并從中獲取信息，如果該行為涉及州際或國家之間的通信，那么將受到18 U.S.C.第1030條（c）的懲罰。同時(shí)，CFAA也通過18 U.S.C.第1030條（g）為受害者提供了一種民事救濟(jì)。依據(jù)該項(xiàng)規(guī)定，任何人若因其他人違反本節(jié)的行為而遭受損害或損失，均可以對(duì)違反者提起民事訴訟以尋求補(bǔ)償性賠償金和禁令救濟(jì)或其他等同的救濟(jì)。但這里的賠償金僅限于經(jīng)濟(jì)上的損害賠償，且18 U.S.C.第1030條（e）（8）明確規(guī)定對(duì)數(shù)據(jù)、項(xiàng)目、體系或信息的完整性或可用性的破壞必須滿足以下條件之一時(shí)才可以構(gòu)成“損害”：（A）一年內(nèi)對(duì)一個(gè)或一個(gè)以上的個(gè)體造成的損失累積起來必須達(dá)到5 000美元; （B）損害了醫(yī)療系統(tǒng);（C）造成身體上的損害;（D）威脅到公共健康和安全。

此處，引起爭(zhēng)議的是，“損害（damage）”與“損失（loss）”的含義是否相同。18 U.S.C.第1030條（g）規(guī)定，被害人對(duì)遭受的損害或損失均可以提起民事訴訟。但18 U.S.C.第1030條（e）（8）卻設(shè)定了“損失”必須達(dá)到5 000美元的最低救濟(jì)門檻。在本案中，“雙擊”公司并沒有辯稱原告的電腦不在本法案“受保護(hù)的計(jì)算機(jī)”范圍內(nèi)，或它對(duì)用戶信息的收集是經(jīng)過授權(quán)的，而是從原告所主張的損失數(shù)額沒有達(dá)到5 000美元最低救濟(jì)門檻的角度進(jìn)行抗辯。原告認(rèn)為，“損失”不同于“損害”，因此不適用于第1030條（e）（8）所設(shè)定的最低門檻要求。

法院在對(duì)某一法條進(jìn)行解釋時(shí)，首先要考慮字面解釋是否可行，如果字面解釋導(dǎo)致法律含義模糊不清，再通過立法歷史和其他材料進(jìn)行解釋。從字面上來看，1030（g）將“損害”和“損失”并列為訴由，表明兩者含義是不同的，但1030（e）（8）對(duì)“損害”的情形進(jìn)行列舉時(shí)又在（A）項(xiàng)中使用“損失”一詞，似乎又表明“損失”包含在“損害”中，因此僅從字面解釋無法明確立法的含義。通過對(duì)立法歷史的考察，法院發(fā)現(xiàn)“損害”和“損失”是作為兩種不同的情形使用的。因?yàn)椤皳p害”僅指經(jīng)濟(jì)上的損失，但在很多情形下受害者的損失很難準(zhǔn)確地用經(jīng)濟(jì)上的損失來評(píng)估，因此為了彌補(bǔ)“損害”一詞的局限性，故增用“損失”一詞以達(dá)到保護(hù)的目的。但無論是“損害”還是“損失”均需達(dá)到5 000美元的最低救濟(jì)門檻。據(jù)此法院認(rèn)為，第1030條（g）項(xiàng)下的“損失”同樣需要滿足1030條（e）（8）所設(shè)定的5 000美元的最低門檻要求。

綜合以上判決理由，我們可以得出：對(duì)于被告使用Cookie跟蹤用戶習(xí)慣、竊取用戶信息的行為，原告若要使其承擔(dān)侵權(quán)責(zé)任，首先需要證明被告實(shí)施了侵權(quán)行為;其次需要證明單獨(dú)的一個(gè)侵權(quán)行為所造成的損害后果，無論是“損害或損失”均須達(dá)到5 000美元的最低數(shù)額要求;再次需要證明被告主觀上存在犯罪或侵權(quán)的目的，且這種犯罪或侵權(quán)意圖要被嚴(yán)格解釋為諸如錄制他人談話以備脅迫或敲詐等行為;最后還需要排除被告不具備“獲得一方同意”的免責(zé)事由。

（二）否認(rèn)Cookie跟蹤侵犯隱私權(quán)：侵權(quán)法理念與價(jià)值選擇

美國第二次侵權(quán)行為法重述中說明：“在社會(huì)上，每個(gè)人均必須忍受某種程度的干擾、不便及干涉，且必須忍受某種程度的危險(xiǎn)，以使吾等得以共同生活。有組織形態(tài)的社會(huì)之所以存在，在于‘互惠原則及‘自己存活并讓他人存活之法則，從而侵權(quán)行為法并非在任何人之行為，對(duì)于他人造成有害效果時(shí)，均課予法律責(zé)任或移轉(zhuǎn)損害于他人?！蓛H在‘加害人之行為對(duì)被害人造成損害或危險(xiǎn)，超越被害人（在系爭(zhēng)環(huán)境下，無法獲得補(bǔ)償時(shí)）所應(yīng)該承受之范圍，始課予加害人責(zé)任。”1

美國第二次侵權(quán)行為法重述規(guī)定，構(gòu)成私的妨害行為必須符合三個(gè)要件：第一，被告之行為須為故意或過失，或?qū)儆诋惓ＮｋU(xiǎn)活動(dòng);第二，被告之行為必須欠缺合理性;第三，原告必須遭受重大損害，且該損害必須是社會(huì)上正常人所受之損害（亦即，非原告特別敏感所受之損害）。在財(cái)產(chǎn)受害時(shí)，該財(cái)產(chǎn)在通常情形下，必須為正常目的之使用而受之損害。

由此，我們可以推斷：第一，在被告之干擾行為并非重大且為社會(huì)上一般人所通常經(jīng)歷并無法避免時(shí)，此種妨害行為不應(yīng)成立侵權(quán)責(zé)任;第二，受害人所遭受之損害，必須依一般社會(huì)人的觀念認(rèn)定為重大損害;第三，被告之行為必須欠缺合理性，即在被告賠償被害人之后，不至于因此停止其營業(yè)活動(dòng)，否則，可認(rèn)為是其正常營業(yè)之必須而排除違法性。換言之，損害賠償責(zé)任之成立，目的不在于阻止被告之行為，而在于使被告承擔(dān)賠償損害之成本。是以，被告能否負(fù)擔(dān)成本，對(duì)于其行為是否構(gòu)成不合理之干擾行為，即具有重要性。[1]（P71）

結(jié)合美國法院的判決理由來看：首先，受害人仍難以主張自己遭受了重大損害2;其次，基于“任何對(duì)互聯(lián)網(wǎng)的規(guī)制不應(yīng)阻礙其發(fā)展”這一基本原則，在對(duì)此技術(shù)的合理性沒有達(dá)成一致意見前，在“隱私權(quán)保護(hù)”與“互聯(lián)網(wǎng)行業(yè)的發(fā)展”兩個(gè)相沖突的利益之間，法院的態(tài)度會(huì)暫時(shí)傾向于后者，以實(shí)現(xiàn)社會(huì)利益的最大化;再次，Cookie跟蹤軟件尚難被認(rèn)定為“異常危險(xiǎn)活動(dòng)”，故無法適用無過錯(cuò)責(zé)任原則，因此要求被告之行為須為故意或過失行為。若僅是出于“精準(zhǔn)投放廣告”的商業(yè)目的，鑒于目前跨站跟蹤分析用戶上網(wǎng)習(xí)慣的做法已成為搜索等互聯(lián)網(wǎng)企業(yè)的普遍做法，法院很難據(jù)此認(rèn)為被告具有侵權(quán)的故意或過失。在美國，Cookie跟蹤軟件之所以不構(gòu)成對(duì)公民普通法上隱私權(quán)的侵害，是法院在平衡互聯(lián)網(wǎng)行業(yè)的利益后通過對(duì)現(xiàn)有的法律規(guī)則進(jìn)行解釋，有意做出的傾向性選擇。

二、Cookie跟蹤侵犯隱私權(quán)的中國制度現(xiàn)狀

Cookie跟蹤侵犯了用戶隱私是一個(gè)確定的事實(shí)，但是否所有侵害隱私的行為均成立侵權(quán)責(zé)任，還要看是否具有法律依據(jù)和司法實(shí)踐的態(tài)度。

（一）Cookie跟蹤隱私權(quán)侵權(quán)責(zé)任的立法檢視

1. 我國侵權(quán)責(zé)任法的功能定位：以受害人自我負(fù)擔(dān)為原則的補(bǔ)償功能

關(guān)于侵權(quán)責(zé)任法的功能，盡管我國學(xué)術(shù)界存在單一功能說、雙重功能說和多重功能說三種主張，但是都認(rèn)為補(bǔ)償功能是其基本功能，即填補(bǔ)損害的功能。

但此補(bǔ)償功能是以受害人自我負(fù)擔(dān)為原則，以加害人負(fù)擔(dān)損害為例外的。而非以加害人負(fù)擔(dān)損害為原則，以受害人負(fù)擔(dān)損害為例外。這就要求必須具備使加害人負(fù)擔(dān)損害的充分理由，方有其承擔(dān)侵權(quán)責(zé)任的適用余地。這從侵權(quán)責(zé)任法的規(guī)范構(gòu)造可以窺見：當(dāng)損害發(fā)生后，受害人欲尋求侵權(quán)法救濟(jì)，必須負(fù)擔(dān)舉證責(zé)任，歸責(zé)事由（原則）也是損害由受害人轉(zhuǎn)移給加害人負(fù)擔(dān)的合理理由，構(gòu)成要件的符合性也是加害人侵權(quán)責(zé)任成立的必然要求。但如果將侵權(quán)責(zé)任法定位于以加害人負(fù)擔(dān)損害為原則，以受害人負(fù)擔(dān)損害為例外，則在損害發(fā)生場(chǎng)合，損害的發(fā)生將被視為加害人承擔(dān)責(zé)任的唯一構(gòu)成要件，加害人只能主張存在特定的免責(zé)事由，如不可抗力、意外事故、受害人過錯(cuò)等。1

2. 我國侵權(quán)責(zé)任法的進(jìn)步：隱私權(quán)的確認(rèn)

在侵權(quán)責(zé)任法頒布之前，我國對(duì)隱私權(quán)的保護(hù)采取的是一種間接保護(hù)的方式。我國《憲法》第38條、第39條、第40條關(guān)于公民人格尊嚴(yán)、私人住宅、通信自由和通信秘密的保護(hù)規(guī)定為其他部門法及司法解釋保護(hù)公民個(gè)人隱私留下了廣闊的空間。民法、刑法、訴訟法及未成年人保護(hù)法、統(tǒng)計(jì)法、銀行管理暫行條例等單行法規(guī)中都有關(guān)于隱私權(quán)保護(hù)的零散規(guī)定。最高人民法院《關(guān)于貫徹執(zhí)行中華人民共和國〈民法通則〉若干問題的意見（試行）》第140條，最高人民法院《關(guān)于審理名譽(yù)權(quán)案件若干問題的解答》等對(duì)于侵犯隱私的行為依侵害名譽(yù)權(quán)處理。最高人民法院《關(guān)于確定民事侵權(quán)精神損害賠償責(zé)任若干問題的解釋》則將隱私作為一項(xiàng)獨(dú)立的人格利益，不失為立法的一大進(jìn)步。但是，間接保護(hù)模式未從法律上將隱私作為一項(xiàng)獨(dú)立民事權(quán)利，無法解決我國在隱私權(quán)保護(hù)領(lǐng)域的難題，如隱私權(quán)保護(hù)與名譽(yù)權(quán)保護(hù)的交叉及與言論表達(dá)自由和新聞出版自由的界限等，更無法面對(duì)信息技術(shù)的高速發(fā)展和電子產(chǎn)品的廣泛應(yīng)用對(duì)網(wǎng)絡(luò)空間個(gè)人隱私權(quán)提出的挑戰(zhàn)。

侵權(quán)責(zé)任法的頒布使得隱私權(quán)成為一項(xiàng)獨(dú)立的人格權(quán)，使得隱私脫離法益的統(tǒng)轄被納入權(quán)利的范疇，明確了隱私權(quán)獨(dú)立的人格權(quán)屬性，這意味著我國告別了“以名譽(yù)權(quán)間接保護(hù)隱私”的歷史，開啟了“隱私權(quán)保護(hù)”的新階段。將隱私權(quán)納入人格權(quán)體系反映了人格權(quán)保護(hù)背景需求的變化，即人格權(quán)的保護(hù)已經(jīng)從物質(zhì)性的人格權(quán)轉(zhuǎn)移成為社會(huì)屬性的人格權(quán)。[2]

雖然在立法層面上，我國侵權(quán)責(zé)任法明確規(guī)定了隱私權(quán)，為Cookie跟蹤侵權(quán)提供了救濟(jì)的可能，但鑒于侵權(quán)責(zé)任法的補(bǔ)償功能建立在“以受害人自我負(fù)擔(dān)為原則，以加害人負(fù)擔(dān)為例外”的基礎(chǔ)上，侵犯隱私權(quán)必須適用過錯(cuò)責(zé)任原則，由原告承擔(dān)舉證責(zé)任，因此受害人能否得到實(shí)際賠償主要取決于司法實(shí)踐的態(tài)度。

（二）Cookie跟蹤隱私權(quán)侵權(quán)責(zé)任的司法困境

1. 隱私權(quán)本身的不確定性、開放性及發(fā)展性

如上文所述，“權(quán)利”的實(shí)質(zhì)是一種利益的權(quán)利化，那么“隱私權(quán)”的實(shí)質(zhì)就是隱私的權(quán)利化。盡管在將隱私權(quán)利化的過程中依賴的是一般理性人的客觀標(biāo)準(zhǔn)，但究竟何為客觀標(biāo)準(zhǔn)下的隱私，學(xué)界仍無法達(dá)成一致意見。傳統(tǒng)的見解認(rèn)為隱私是指?jìng)€(gè)人自我獨(dú)處，該見解一方面所涵括范圍過廣，容易將不應(yīng)涵蓋之物包括在內(nèi)，另一方面，其傳達(dá)出的消極意義，難以保護(hù)應(yīng)受保護(hù)的其他私領(lǐng)域利益。最近的見解在肯定隱私包括個(gè)人自我獨(dú)處的同時(shí)，更加強(qiáng)調(diào)個(gè)人對(duì)其個(gè)人資料的控制，賦予了隱私概念積極的意義。隱私概念的發(fā)展正是在知識(shí)經(jīng)濟(jì)時(shí)代這一大背景下完成的，該時(shí)代的典型特征之一就是生活方式的數(shù)字化。隨著智能化綜合網(wǎng)絡(luò)的建立，各種信息化終端設(shè)備無處不在。如以數(shù)據(jù)流量為載體的微信、愛聊、連我等通信工具逐漸代替了傳統(tǒng)的書信交流，甚至是電話短信業(yè)務(wù);社交網(wǎng)絡(luò)逐漸代替了以面對(duì)面交流為主的各種聚會(huì);個(gè)人電子賬戶的建立使得網(wǎng)上電子支付取代了傳統(tǒng)的實(shí)體繳納;購物網(wǎng)站逐漸代替實(shí)體店成為大眾購物的首選……人們?cè)诒M情享受高科技手段帶來便捷的同時(shí)，也不得不忍受頻發(fā)的網(wǎng)絡(luò)個(gè)人隱私泄露。

“隱私概念的不確定性，固然造成法律適用的不安定，但亦因其開放性，而能適應(yīng)社會(huì)經(jīng)濟(jì)及現(xiàn)代科技的發(fā)展，而對(duì)隱私權(quán)的侵害提供必要的保護(hù)?！盵3]隱私權(quán)本身具有不確定性、開放性及發(fā)展性，決定了我國侵權(quán)責(zé)任法雖然可以從立法層面確立隱私權(quán)，但卻無法明確將侵犯隱私權(quán)的行為類型化，只能根據(jù)社會(huì)生活的實(shí)際發(fā)展情況，通過司法實(shí)踐逐漸加以充實(shí)和豐富。

2. 隱私權(quán)侵權(quán)責(zé)任的證明難題

侵權(quán)責(zé)任歸責(zé)原則是法官在考量責(zé)任負(fù)擔(dān)時(shí)的必備要素。依我國侵權(quán)責(zé)任法，過錯(cuò)推定責(zé)任與無過錯(cuò)責(zé)任僅適用于法律明文規(guī)定的特定情形，過錯(cuò)責(zé)任原則是責(zé)任承擔(dān)的一般原則。針對(duì)Cookie跟蹤侵犯用戶隱私這一行為必須適用過錯(cuò)責(zé)任原則，由受害人舉證證明符合過錯(cuò)責(zé)任的構(gòu)成要件。

實(shí)證考察，受害人難以完成這一任務(wù)，也就無法得到隱私權(quán)的切實(shí)保護(hù)。

（1）受害人難以證明加害人實(shí)施了加害行為

第一，由于信息不對(duì)稱，很多受害人意識(shí)不到個(gè)人隱私正受到侵害。Cookie的操作原理是網(wǎng)絡(luò)服務(wù)商向其聯(lián)盟網(wǎng)站嵌入跟蹤代碼，當(dāng)用戶打開這個(gè)網(wǎng)站時(shí)，這段嵌入的代碼會(huì)向其發(fā)送信息跟蹤用戶的上網(wǎng)行為。Cookie在用戶瀏覽網(wǎng)頁時(shí)是默認(rèn)啟動(dòng)的，此過程甚至連一些聯(lián)盟網(wǎng)站都不知悉，更何況缺乏專業(yè)技術(shù)的受害人。1第二，受害人對(duì)Cookie侵犯隱私的過程一無所知。由于Cookie的工作原理是一組跟蹤代碼，普通用戶看不見，摸不著，更談不上了解，因此很難。第三，難以保存證據(jù)。即使受害人發(fā)現(xiàn)Cookie在追蹤自己的上網(wǎng)習(xí)慣，但他很難保存證據(jù)，而網(wǎng)絡(luò)服務(wù)商卻非常容易抹去其追蹤的痕跡。

（2）受害人難以證明自己遭受了損害

第一，單純情感上的傷害難以獲得法院的支持。相比起物質(zhì)上的損害，受害人感受到的更多的是一種情感上的被冒犯。盡管學(xué)界一致認(rèn)為，隱私權(quán)不同于名譽(yù)權(quán)的關(guān)鍵因素在于隱私權(quán)保護(hù)的是個(gè)人對(duì)其私生活的自主性，名譽(yù)權(quán)保護(hù)的是個(gè)人獲得的良好社會(huì)評(píng)價(jià)。因此，違背當(dāng)事人意志獲得隱私即構(gòu)成對(duì)隱私權(quán)的侵犯，不以將獲得的隱私對(duì)外公開為必要。按照學(xué)界的觀點(diǎn)，在未征得用戶同意的情況下，擅自通過Cookie收集用戶的上網(wǎng)行為侵犯了個(gè)人對(duì)其私生活的自主權(quán)，即認(rèn)定對(duì)用戶造成了損害。但實(shí)務(wù)中，法院對(duì)“損害”的認(rèn)定不盡相同。部分法院贊同學(xué)界的觀點(diǎn)，認(rèn)為“個(gè)人信息的私密性是隱私權(quán)的重要內(nèi)容，私人信息為第三人所知本身即為損害”2。而部分法院則持不同意見，認(rèn)為公開本身并不構(gòu)成損害，當(dāng)事人必須另行提供證據(jù)證明其遭受了其他損害。3可見，“情感上的傷害”并沒有被司法實(shí)務(wù)界無爭(zhēng)議地認(rèn)定為隱私權(quán)被侵犯的損害后果。參考美國法院的態(tài)度，利用Cookie跟蹤精準(zhǔn)投放廣告造成的“信息選擇減少”、“花費(fèi)時(shí)間進(jìn)行反Cookie跟蹤設(shè)置”、“電腦性能降低”等不便能否被認(rèn)定為是一種客觀上的“損害后果”仍是未知數(shù)。

第二，侵權(quán)責(zé)任法要求損害必須具有可補(bǔ)救性?？裳a(bǔ)救性是指可補(bǔ)救的必要性和可能性?；凇叭魏螌?duì)互聯(lián)網(wǎng)的規(guī)制不應(yīng)阻礙其發(fā)展”這一基本原則，在目前的情況下，嚴(yán)禁利用Cookie跟蹤精準(zhǔn)投放廣告將會(huì)使網(wǎng)絡(luò)服務(wù)商蒙受巨大的經(jīng)濟(jì)損失。在“兩害相權(quán)取其輕”的情況下，法院很難將個(gè)人隱私權(quán)保護(hù)絕對(duì)化。

（3）受害人難以證明加害人具有過錯(cuò)

隱私權(quán)作為一項(xiàng)獨(dú)立的人格權(quán)，雖然屬于絕對(duì)權(quán)，但與生命權(quán)、健康權(quán)、身體權(quán)、物權(quán)、名譽(yù)權(quán)等絕對(duì)權(quán)相比，權(quán)利定義不精確，權(quán)利外延不明確，因此在進(jìn)行違法性判斷時(shí)，要求加害人主觀上認(rèn)知并存在侵害故意。[1]（P36）第一，依據(jù)漢德公式規(guī)則1，很難認(rèn)定網(wǎng)站存在注意義務(wù)。依據(jù)目前的司法實(shí)踐看，難以認(rèn)定存在預(yù)期事故損失，且網(wǎng)絡(luò)服務(wù)商預(yù)防未來事故的成本將遠(yuǎn)超出預(yù)期事故損失，據(jù)此很難認(rèn)定網(wǎng)絡(luò)服務(wù)商對(duì)用戶負(fù)有注意義務(wù)，因此主觀上也就不存在過錯(cuò)。第二，國內(nèi)網(wǎng)站的隱私保護(hù)聲明形同虛設(shè)，網(wǎng)絡(luò)服務(wù)商不可能為自己設(shè)定注意義務(wù)。這些聲明大多內(nèi)容簡(jiǎn)單，且不涉及個(gè)人資料的使用說明以及相關(guān)的安全保證，相反，還附上了許多免責(zé)條款。

為了規(guī)范我國計(jì)算機(jī)信息網(wǎng)絡(luò)的發(fā)展，有關(guān)部門曾相繼出臺(tái)了一些規(guī)定，也涉及網(wǎng)絡(luò)個(gè)人隱私權(quán)的法律保護(hù)問題。如《互聯(lián)網(wǎng)信息服務(wù)管理辦法》、《互聯(lián)網(wǎng)電子公告服務(wù)管理規(guī)定》、《計(jì)算機(jī)信息網(wǎng)絡(luò)聯(lián)網(wǎng)管理暫行規(guī)定實(shí)施辦法》、《計(jì)算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護(hù)管理辦法》、《全國人大常委會(huì)關(guān)于維護(hù)互聯(lián)網(wǎng)安全的決定》。但這些規(guī)定多是原則性的，過于籠統(tǒng)，不便于實(shí)際操作，根本無法為網(wǎng)絡(luò)隱私權(quán)提供足夠的保護(hù)。

三、Cookie跟蹤隱私權(quán)侵權(quán)責(zé)任的中國選擇

（一）隱私權(quán)的本質(zhì)在于保護(hù)精神情感

在我國，對(duì)隱私的保護(hù)經(jīng)歷了從間接保護(hù)到獨(dú)立保護(hù)，從指?jìng)€(gè)人自我獨(dú)處到肯定個(gè)人自我獨(dú)處，也強(qiáng)調(diào)對(duì)其個(gè)人資料的控制的發(fā)展歷程。隱私權(quán)的出現(xiàn)和發(fā)展是法律對(duì)人類文明進(jìn)步的回應(yīng)，人們?nèi)找鎻?qiáng)烈的情感生活和更加敏銳的感官要求得到法律的承認(rèn)和保護(hù)。文明的進(jìn)步帶來了生活的高強(qiáng)度與復(fù)雜性，導(dǎo)致了某種程度上與世隔絕的必要，然而，現(xiàn)代化的企業(yè)和發(fā)明創(chuàng)造通過侵犯?jìng)€(gè)人隱私，使其遭受的精神上的傷痛，遠(yuǎn)甚于單純的肉體傷害可能造成的折磨。[3]可以說，隱私權(quán)從一開始就是為保護(hù)人類的精神情感而誕生的，因此，物質(zhì)損害不是侵犯隱私權(quán)的必然結(jié)果，更不應(yīng)成為“損害后果”的唯一判斷標(biāo)準(zhǔn)。侵犯隱私權(quán)造成的“損害后果”應(yīng)是一般公眾所理解的對(duì)私生活安寧的高度冒犯和私人信息的不當(dāng)披露。隨著我國經(jīng)濟(jì)的持續(xù)發(fā)展以及教育程度的不斷提高，人們對(duì)于網(wǎng)絡(luò)隱私安全的情感需求必然日益強(qiáng)烈，Cookie跟蹤記錄用戶資料，收集用戶上網(wǎng)信息的行為必然會(huì)日漸引起大部分人的反感。2這就要求司法實(shí)踐順應(yīng)公眾的情感需求，適時(shí)認(rèn)定Cookie跟蹤在未征得用戶同意的前提下收集用戶上網(wǎng)信息構(gòu)成侵犯隱私權(quán)。

（二）網(wǎng)絡(luò)服務(wù)商對(duì)用戶隱私負(fù)有注意義務(wù)

1. 網(wǎng)絡(luò)服務(wù)商可以承擔(dān)預(yù)防事故的成本

雖然在處理網(wǎng)絡(luò)侵權(quán)案件時(shí)，仍應(yīng)秉承“任何對(duì)互聯(lián)網(wǎng)的規(guī)制不應(yīng)阻礙其發(fā)展”這一基本原則，但隨著互聯(lián)網(wǎng)行業(yè)的高速發(fā)展，很多技術(shù)難題已經(jīng)得到解決。從目前的情況看，Cookie跟蹤軟件并不是不能克服的技術(shù)難題，而是網(wǎng)絡(luò)服務(wù)商為實(shí)現(xiàn)精準(zhǔn)廣告投放的商業(yè)目的而普遍實(shí)施的行為。法律可以要求網(wǎng)絡(luò)服務(wù)商通過明示提醒，征得用戶同意，這樣做，在技術(shù)上是完全可行的，其付出商業(yè)成本也不大，用戶的隱私權(quán)也得到尊重。而網(wǎng)絡(luò)服務(wù)商既然可以承擔(dān)預(yù)防事故的成本，就應(yīng)該對(duì)用戶的隱私負(fù)有注意義務(wù)，未經(jīng)允許擅自跟蹤用戶上網(wǎng)習(xí)慣主觀上存在過錯(cuò)。

2. 網(wǎng)絡(luò)服務(wù)商注意義務(wù)的認(rèn)定應(yīng)遵循現(xiàn)代侵權(quán)法的理念

美國法院基于電子通信隱私法18 U.S.C.第2701條c項(xiàng)的規(guī)定，認(rèn)為網(wǎng)站對(duì)自愿提供給它的通信內(nèi)容可以授權(quán)其他人使用。依目前一般人的觀念，用戶對(duì)與網(wǎng)站之間的通信雖是出于自愿，但是用戶對(duì)網(wǎng)站給予個(gè)人信息的保護(hù)有一個(gè)合理的期待，網(wǎng)站對(duì)此應(yīng)負(fù)有注意義務(wù)。

對(duì)于用戶自愿提供給網(wǎng)站的內(nèi)容，網(wǎng)站并不能隨意支配。楊立新教授曾提出“相關(guān)隱私”的概念，所謂“相關(guān)隱私”，是指民事主體之間有著共同內(nèi)容的隱私，既包含著本人的隱私，也包含著其他相關(guān)人的隱私，這種相關(guān)隱私涉及相關(guān)聯(lián)的每一個(gè)人的隱私及其權(quán)利。相關(guān)隱私的關(guān)系人負(fù)有對(duì)其他關(guān)系人的保護(hù)注意義務(wù)，宣揚(yáng)自己的隱私，訴說自己的隱私，如果侵害他人的權(quán)利或利益，同樣構(gòu)成侵權(quán)。[4]

3. 明示征得用戶同意已成為國際共識(shí)

對(duì)于這種“跨站跟蹤用戶Cookies”行為，已遭到國際上各組織和公司的紛紛譴責(zé)。W3C（萬維網(wǎng)聯(lián)盟）率先推出了網(wǎng)絡(luò)隱私保護(hù)標(biāo)準(zhǔn)——“禁止跟蹤”（DNT，Do Not Track）。2012年11月，360安全瀏覽器也推出保護(hù)網(wǎng)民隱私的重要功能——默認(rèn)開啟網(wǎng)絡(luò)“反跟蹤”（DNT，Do Not Track）功能，杜絕一些互聯(lián)網(wǎng)企業(yè)通過Cookies跟蹤網(wǎng)民上網(wǎng)行為。微軟隨后宣布支持該標(biāo)準(zhǔn)。2012年2月，歐盟數(shù)據(jù)保護(hù)監(jiān)督委員會(huì)通過了《關(guān)于對(duì)網(wǎng)絡(luò)中性、交通管制以及隱私和個(gè)人數(shù)據(jù)保護(hù)的意見》。2012年5月歐盟即開始實(shí)施Cookie法案，規(guī)定了Cookie可記錄的內(nèi)容，并且規(guī)定所有網(wǎng)站在使用Cookies的時(shí)候必須得到用戶授權(quán)。

（三）一般過錯(cuò)責(zé)任原則的適用與隱私權(quán)內(nèi)涵的擴(kuò)展

與過錯(cuò)推定責(zé)任原則、無過錯(cuò)責(zé)任原則嚴(yán)格的適用情形相比，Cookie跟蹤侵犯隱私權(quán)行為并不具有人身損害的高度危險(xiǎn)性，因此仍應(yīng)適用一般過錯(cuò)責(zé)任原則。原告應(yīng)舉證證明網(wǎng)站存在未經(jīng)用戶允許利用Cookie跟蹤精準(zhǔn)投放廣告的行為;該行為對(duì)自己精神、情感造成高度冒犯即構(gòu)成損害后果;網(wǎng)絡(luò)服務(wù)商未經(jīng)用戶允許使用Cookie跟蹤軟件違反了保護(hù)用戶隱私的注意義務(wù)，主觀上即存在過錯(cuò)。在網(wǎng)絡(luò)服務(wù)商負(fù)擔(dān)保護(hù)用戶隱私注意義務(wù)的前提下，受害人只須主張其未經(jīng)授權(quán)跟蹤用戶上網(wǎng)習(xí)慣即可證明其主觀存在過錯(cuò)。依據(jù)一般人的理性觀念，將對(duì)精神情感的冒犯確認(rèn)為“損害后果”是確保用戶隱私權(quán)得以實(shí)現(xiàn)的重要條件?？梢?，盡管針對(duì)此種行為適用的侵權(quán)歸責(zé)原則沒有改變，但隨著社會(huì)經(jīng)濟(jì)的不斷發(fā)展，通過對(duì)“注意義務(wù)”和“損害后果”的適當(dāng)解釋和補(bǔ)充，隱私權(quán)的內(nèi)涵不斷得到擴(kuò)展，以使其更好地適應(yīng)社會(huì)需要。

[1] 陳聰富：《侵權(quán)違法性與損害賠償》，北京：北京大學(xué)出版社，2012.

[2] 王澤鑒：《人格權(quán)的具體化及其保護(hù)范圍·隱私權(quán)篇（上）》，載《比較法研究》2008年第6期.

[3] Samuel D. Warren，Louis D. Brandeis：《論隱私權(quán)》，李丹譯，載《哈佛法律評(píng)論（侵權(quán)法學(xué)精粹）》，北京：法律出版社，2005.

[4] 楊立新：《民法該如何保護(hù)“相關(guān)隱私”》，載《檢察日?qǐng)?bào)》2004年4月1日.

[責(zé)任編輯 李宏弢]