告诉你真正的Cookie

　　近日，多家公司被曝涉嫌利用Cookie侵犯用户隐私，“Cookie”这一计算机专业术语瞬间成为时下热门话题。大为震惊的网友纷纷吐槽，担心自己隐私被泄露，一时间“谈Cookie色变”。Cookie真的这么可怕吗？

　　有它没它，大不同

　　Cookie的原意为“小甜饼”，在信息科技领域是指浏览网页时网站在用户电脑上存储的小型文本文件，20年前由网景浏览器发明，如今已在互联网上普遍应用。

　　Cookies是互联网技术发展的一大进步，它使http协议状态变得有序，让互联网浏览更具便携性与交互性。

　　“Cookie好比商店的积分卡，让老板在你下次光顾时，能很快认出并给你便利和优惠。”清华大学新闻传播学博士后吕宇翔形象地解释，“Cookie让你不用再次输入密码就能快捷登陆，还能享受免费的个性化服务，如推荐你可能喜欢的书目或电影。”

　　为用户提供免费服务的同时，网络公司也利用Cookie衍生出精准广告这一新产业。吕宇翔举例说：“谷歌、百度等广告服务商，能对自己用户的信息进行深度挖掘和分析，有针对性地投放广告。”精准广告成为网络公司合理获取利益的途径，使其能为用户提供更多优质免费服务。

　　完全禁用Cookie会如何？吕宇翔认为这样不明智，不仅会给普通用户带来不便，如每次打开网站都要重新登录，还使广告公司难了解用户需求，无法进行精准广告投放。业内人士认为，中国互联网广告行业处于发展早期，相关规范还不完善，需理性看待Cookie引发的争议，避免“一棒子打死”。

　　甜饼，还是毒药

　　正如菜刀可以切菜也能伤人一样，吕宇翔指出，Cookie给用户带来了便利的同时也易侵犯个人隐私。

　　Cookie里的信息是否属个人隐私？欧朋浏览器CEO宋麟介绍说，Cookie只能记录访问的IP、时间、用户名和密码等简单信息。吕宇翔再次引用积分卡的比喻：“与本人持积分卡去商店购物不同，网站无法知道你是谁，只能看到积分卡号和你浏览购买商品的记录。”

　　最近陷入舆论漩涡的第三方Cookie是否涉嫌非法获取个人隐私？品友互动CEO黄晓南指出，如果浏览器设置里Cookie是开启状态，就意味着用户同意第三方搜集相关信息，当然，用户也可在官网的“隐私条款”里选择关闭该服务。

　　针对搜集用户隐私的质疑，黄晓南回应，公司获取的都是匿名信息，包括用户浏览的网址及用户与广告相关的行为数据，不含个人隐私信息，且只保存一年。且大数据广告对数据挖掘界限明确，“是利用数学模型通过大量匿名的行为数据进行分析推断的”。

　　实际上匿名行为数据在法律标准上不在隐私范畴里，因为它没包含任何个人可识别信息。国际通用的个人信息标准被称为PII信息，即Personal Identifiable Information，用以识别个人身份如姓名、邮箱、结算信息及相关数据。关于个人信息与个人隐私的争议，目前国内暂无相关立法，具体的隐私概念及范畴尚无定论。

　　随着互联网的飞速发展，个性化、定制化的服务产品层出不穷。这些服务通常基于对用户大量网络行为信息的搜集分析。随着个性化需求日益强烈，类似Cookie的信息收集将会愈发频繁。

　　这在移动互联网时代体现得更为明显。拿出手机，搜索附近的咖啡馆，利用智能输入法快捷输入联系人姓名……这些便捷服务都需用户牺牲一部分自己的隐私：个人位置和联系人信息。

　　“隐私和个性化的关系并非那么冲突，”《连线》杂志创始主编凯文·凯利曾说，“想要这种个性化服务就必须有一些透明度。网民在两者间可有一个程度的选择。”清华大学新闻与传播学院教授金兼斌也认为，用户只有让渡一部分“隐私”，才能使用一部分功能。

　　如何更美味

　　吕宇翔认为，“Cookie好比草乌头（一种有毒中药），用好能治病，滥用会致命，应建立一种合理使用Cookie的规则。”网站一方面要尽到提前告知并争得用户同意的义务；另一方面要在规定范围内合理使用并妥善保管用户隐私。金兼斌认为，网站还应提供不被Cookie追踪的选择。

　　企业自律只是第一步。行业组织在监督行业发展、保护用户隐私上也应有所作为。4月2日，“中国网络营销行业用户数据规范联盟”在京成立，网易等十余家中国网络营销主要企业成为首批会员，并联名发布《网络行为数据使用公约》，这也是国内首个具有普遍行业约束力的数据使用规范。

　　随后，品友互动等网络营销企业在京签订《自律宣言》，该宣言定义了“网络营销业务”及“互联网数据研究业务”，明确规定收集、使用公民个人身份信息的原则和要求，限制恶意弹出广告等影响用户体验的行为。分析称，这一举措将有利于规范网络营销行为，促进网络营销行业健康发展。

　　金兼斌指出，“互联网隐私保护兹事体大，在恰当的时候应出台专门的法规。”目前，国内尚无针对Cookie跟踪方面的法律法规，而国外有相关的立法和案例可兹借鉴。欧盟有法律明确规定，若用Cookie追踪用户的使用习惯，网站必须取得用户的“明确同意”。瑞典立法要求利用Cookie的网站必须说明其属性，并指导用户如何禁用Cookie。

　　吕宇翔建议，在国内完善的监管机制尚未形成前，普通网民若担心隐私泄露，可将IE浏览器的“隐私”设置调到“高”级别，但不建议阻止所有Cookie。此外，应尽可能访问知名度和信誉度较高的网站，加倍留意要求填写个人信息的网站。