大家在瀏覽外國網(wǎng)站的時(shí)候，大概率會(huì)遇見這樣的對(duì)話框，它們可能出現(xiàn)在網(wǎng)頁正中央，也可能出現(xiàn)在頁面頂部或者底部。

每次如果訪問國外的某些網(wǎng)站，都要彈出這個(gè)提示框，都要點(diǎn)擊一個(gè)“我同意”。事實(shí)上T君基本沒有見過有的框框有“我不同意”選項(xiàng)。這個(gè)框框的意義是什么呢？

往下看，T君為大家揭秘。

【本篇全文3133字，閱讀時(shí)長預(yù)計(jì)10分鐘】

什么是Cookie？

Cookie，其復(fù)數(shù)形式為Cookies。這個(gè)單詞原意為“小甜餅”，在網(wǎng)絡(luò)技術(shù)當(dāng)中指某些網(wǎng)站為了辨別用戶身份而儲(chǔ)存在用戶本地終端（Client Side）上的數(shù)據(jù)（通常經(jīng)過加密）。這個(gè)網(wǎng)絡(luò)術(shù)語并沒有一個(gè)正式的中文譯名，大家都直稱其Cookie(s)。

Cookie保存在客戶端中,意思是它就保存在你的電腦里面，而非網(wǎng)絡(luò)當(dāng)中。依據(jù)在客戶端中的存儲(chǔ)位置，可分為內(nèi)存Cookie和硬盤Cookie。內(nèi)存Cookie由瀏覽器維護(hù)，保存在內(nèi)存中，瀏覽器關(guān)閉后就消失了，其存在時(shí)間是短暫的。硬盤Cookie保存在硬盤里，有一個(gè)過期時(shí)間，除非用戶手工清理或到了過期時(shí)間，硬盤Cookie不會(huì)被刪除。

如果在一臺(tái)計(jì)算機(jī)中安裝多個(gè)瀏覽器，每個(gè)瀏覽器都會(huì)以獨(dú)立的空間存放Cookie。因?yàn)镃ookie中不但可以確認(rèn)用戶信息，還能包含計(jì)算機(jī)和瀏覽器的信息，所以一個(gè)用戶使用不同的瀏覽器登錄或者用不同的計(jì)算機(jī)登錄，都會(huì)得到不同的Cookie信息；另一方面，對(duì)于在同一臺(tái)計(jì)算機(jī)上使用同一瀏覽器的多用戶群，Cookie不會(huì)區(qū)分他們的身份，除非他們使用不同的用賬戶登錄計(jì)算機(jī)。

計(jì)算機(jī)為什么需要Cookie?

Cookie是讓網(wǎng)絡(luò)與用戶“交互”的必需品。

某網(wǎng)站的Cookie使用告知是這么寫的：

We use cookies to personalise content and ads, to provide social media features and to analyse our traffic. We also share information about your use of our site with our social media, advertising and analytics partners who may combine it with other information that you’ve provided to them or that they’ve collected from your use of their services

有了Cookie,瀏覽器便會(huì)記住大家在淘寶上先買了SK-II，后買了iPhone12 Pro Max，并將商品信息順利傳到購物車當(dāng)中，再從購物車傳遞到付款頁面。

有了Cookie，瀏覽器還會(huì)記住我們的的用戶名和密碼，這樣下一次登陸網(wǎng)站時(shí)便可以省事兒。

Cookie帶來的隱私爭(zhēng)議

互聯(lián)網(wǎng)在近十年來發(fā)生了巨大變化。如今數(shù)萬億美元的數(shù)據(jù)經(jīng)濟(jì)正在以前所未有的規(guī)模推動(dòng)用戶數(shù)據(jù)收集。

上面提到瀏覽器儲(chǔ)存的Cookie可以記錄你購買的商品，那Cookie也可以知道你瀏覽的新聞、看過的電影，你在網(wǎng)上搜索的疾病與藥物……Cookie對(duì)于個(gè)體用戶訪問數(shù)據(jù)的記錄，以及其在網(wǎng)站與本地計(jì)算機(jī)之間傳輸?shù)奶匦裕沟脗€(gè)體用戶隱私問題自然暴露出來。用戶開始擔(dān)心自己的數(shù)據(jù)被接受cookie的服務(wù)商或者第三方數(shù)據(jù)收集者不法利用。

一方面，互聯(lián)網(wǎng)服務(wù)商需要對(duì)用戶數(shù)據(jù)的合法利用作出承諾，另一方面，用戶有必要知道他們的數(shù)據(jù)“去了哪里”，以及被“如何使用”。歐盟在這一方面走在了世界前列，頒布了一項(xiàng)法律以限制互聯(lián)網(wǎng)服務(wù)商對(duì)于Cookie的利用。

關(guān)于歐盟Cookie Law

歐盟（EU） Cookie law的正式名稱是ePrivacy Directive，于2002年在歐盟表決通過，于2009年進(jìn)行過一次修改。

歐盟Cookie law主要目的是強(qiáng)制執(zhí)行對(duì)于個(gè)人數(shù)據(jù)之隱私權(quán)的保障。對(duì)于數(shù)據(jù)保護(hù)的思想來源可追溯至《歐盟基本權(quán)利憲章》（EU Charter of Fundamental Rights）第8條中所說的那樣：

“Everyone has the right to the protection of personal data”, 以及“such data must be processed fairly for specified purposes and on the basis of the consent of the person concerned”.

歐盟Cookie law的目的是為了保護(hù)用戶免受網(wǎng)絡(luò)跟蹤、用戶分析、未經(jīng)請(qǐng)求的營銷策略和第三方非自愿收集數(shù)據(jù)的侵?jǐn)_。其主要目標(biāo)是保護(hù)“電子通信領(lǐng)域的私人生活權(quán)，通信保密性和個(gè)人數(shù)據(jù)保護(hù)”（the right to private life, the confidentiality of communications and the protection of personal data in the electronic communications sector）。

大家每次訪問一些國外的網(wǎng)站，彈出的Cookie告知消息都是網(wǎng)站在歐盟Cookie law的監(jiān)管下對(duì)用戶隱私權(quán)、知情權(quán)之保護(hù)的體現(xiàn)。

Cookie Law的落實(shí)并不理想

T君在文章開頭說過，不少網(wǎng)站只有一個(gè)“同意”或者“OK”按鈕，似乎我們別無選擇。那這樣還有什么意義呢？似乎是徒增麻煩。

而實(shí)際上，Cookie Law做出的規(guī)定是：

...no cookies and trackers must be placed before prior consent from the user, besides those strictly necessary for the basic function of a website...

也就是“除非用戶同意，網(wǎng)站不得使用任何Cookie或者網(wǎng)絡(luò)追蹤技術(shù)“。

的確，不少網(wǎng)站似乎只是實(shí)踐了“知情權(quán)”。告訴用戶“我們要用Cookie，用Cookie可以增強(qiáng)用戶體驗(yàn)哦”，然后大家沒得選，只能點(diǎn)擊“俺同意”。而實(shí)際上我們的個(gè)人數(shù)據(jù)仍然漂浮在價(jià)值“數(shù)萬億美元“的信息洪流當(dāng)中，除了點(diǎn)點(diǎn)頭，什么也做不了。

這其中的原因也很復(fù)雜，T君大致歸納為兩點(diǎn)：

一是Cookie Law已經(jīng)是一部年紀(jì)很大的“法律”，這里加引號(hào)是因?yàn)樗鼘?shí)際上并不是傳統(tǒng)意義上的法律。2002年出臺(tái)后，直到2009年有了當(dāng)前唯一一次修訂，這次修訂距今已經(jīng)有11年了。而互聯(lián)網(wǎng)在2009到2020這11年，已經(jīng)算是翻天覆地。因此Cookie Law亟需根據(jù)當(dāng)下新技術(shù)進(jìn)行更新。

第二點(diǎn)則涉及到歐盟的制度。Cookie law的正式名稱是ePrivacy Directive。而Directive的執(zhí)行，在歐盟當(dāng)中是這樣規(guī)定的：各個(gè)成員國根據(jù)本國實(shí)際情況，制定本國的法律將directive的內(nèi)容涵蓋進(jìn)去。也就是說各個(gè)歐盟成員國須要將ePrivacy Directive當(dāng)中的數(shù)據(jù)保護(hù)和隱私權(quán)條款納入本國法律。這就導(dǎo)致不同國家對(duì)于這個(gè)“指導(dǎo)性綱領(lǐng)”的闡釋與執(zhí)行各不相同，進(jìn)而導(dǎo)致當(dāng)下仍然存在著用戶只能選擇“同意”的無意義的Cookie使用提示，也會(huì)因?yàn)楦鞯鼗ヂ?lián)網(wǎng)法律不一而引發(fā)不公平競(jìng)爭(zhēng)。

因此歐盟現(xiàn)在正在考慮將ePrivacy Directive升級(jí)為ePrivacy Regulation。成為regulation之后，便是一部由歐盟頒布并無差別強(qiáng)制執(zhí)行的真正的法律。同時(shí)ePrivacy Regulation還將進(jìn)行內(nèi)容大更新以適應(yīng)最新的技術(shù)發(fā)展。

一個(gè)理想的Cookie使用提示

從Cookie Law到GDPR

歐盟在網(wǎng)絡(luò)隱私保護(hù)上已經(jīng)走在前列，不只是因?yàn)镃ookie Law，還有一部更加重磅的法律，叫做《通用數(shù)據(jù)保護(hù)條例》（General Data Protection Regulation），簡(jiǎn)稱GDPR。

GDPR于2016年通過，自2018年5月實(shí)施（間隔近兩年是為了給企業(yè)提供緩沖期），對(duì)所有歐盟成員國都具有約束力。它的范圍比Cookie Law大得多，因?yàn)樗⒅財(cái)?shù)據(jù)保護(hù)，以及公司和組織必須確保信息利用透明度和用戶協(xié)議同意，同時(shí)GDPR并不限制數(shù)據(jù)類型(即保護(hù)的不只是數(shù)字用戶信息)。

從數(shù)據(jù)保護(hù)聯(lián)想到“本地化”

GDPR被稱為世界上最嚴(yán)格的數(shù)據(jù)保護(hù)法案。紐約時(shí)報(bào)曾在GDPR生效當(dāng)日刊文《G.D.P.R., a New Privacy Law, Makes Europe World’s Leading Tech Watchdog》。限于篇幅，對(duì)于GDPR的具體內(nèi)容留給大家自行了解。在這里T君主要以借此一些“本地化”的想法。只是這里不是外國產(chǎn)品走入中國，而是中國企業(yè)“出海”至歐洲。

首先來看這一法案有多么嚴(yán)厲呢？

單從罰金數(shù)額來看：違法企業(yè)最高處罰金額可至2000萬歐元（約1.5億人民幣）或企業(yè)全球年?duì)I業(yè)額的4%，兩者中取其高值。而最低處罰標(biāo)準(zhǔn)則是1000萬歐元或企業(yè)全球營業(yè)額的2%，同樣是兩者取其高。

舉個(gè)例子，18年4月Facebook曾出現(xiàn)過大規(guī)模隱私泄露事件，幸虧彼時(shí)GDPR還有1個(gè)月才生效，否則Facebook最多被罰去年全球營收406億美元的4%，也就是16.26億美元,約合108.68億人民幣。

另一個(gè)體先其嚴(yán)厲的方面則是GDPR的作用對(duì)象：

1.This Regulation applies to the processing of personal data in the context of the activities of an establishment of a controller or a processor in the Union, regardless of whether the processing takes place in the Union or not.

2. This Regulation applies to the processing of personal data of data subjects who are in the Union by a controller or processor not established in the Union, where the processing activities are related to:

(a) the offering of goods or services, irrespective of whether a payment of the data subject is required, to such data subjects in the Union; or

(b) the monitoring of their behaviour as far as their behaviour takes place within the Union.

（來源：GDPR, Article 3）

簡(jiǎn)言之，在歐盟地區(qū)的企業(yè)肯定需要遵守GDPR，而非歐盟企業(yè)只要處理歐盟居民的數(shù)據(jù)也必須遵守GDPR。

中國企業(yè)開拓歐洲市場(chǎng)，必須遵守目標(biāo)地區(qū)的法律法規(guī)，這也算是廣義的對(duì)產(chǎn)品進(jìn)行“本地化”。而GDPR之嚴(yán)格在世界上絕無僅有，這便對(duì)企業(yè)提出了巨大的挑戰(zhàn)。

GDPR將用戶的信息權(quán)利無限放大，將近乎一切信息與隱私的管理責(zé)任歸于服務(wù)商。GDPR就好像一張細(xì)密的蜘蛛網(wǎng)，廠商需要跨越它們而不能沾到半點(diǎn)兒。廠商因此在技術(shù)、管理、法務(wù)等方面產(chǎn)生巨大成本。對(duì)于小企業(yè)、初創(chuàng)企業(yè)來說難度非常大；縱使是互聯(lián)網(wǎng)大廠也需要對(duì)此進(jìn)行多方面調(diào)整。

Facebook、推特、蘋果、谷歌、微軟這些耳熟能詳?shù)摹熬蘩小痹贕DPR面前無一幸免。而國內(nèi)企業(yè)也只有極少數(shù)通過了GDPR第三方檢驗(yàn)機(jī)構(gòu)的驗(yàn)收，包括華為、第四范式等。

我國對(duì)信息安全做出的努力

2018年5月1日，我國《信息安全技術(shù)個(gè)人信息安全規(guī)范》正式實(shí)施。

中國電子技術(shù)標(biāo)準(zhǔn)化研究院何延哲博士是《規(guī)范》的起草人之一，他表示：在制定期間參照了《網(wǎng)絡(luò)安全法》等一系列中國在個(gè)人信息保護(hù)方面提出要求的法律法規(guī)，也參考了歐盟的《通用數(shù)據(jù)保護(hù)條例》，即GDPR、ISO29000系列等國際范圍內(nèi)的個(gè)人信息保護(hù)法律法規(guī)及標(biāo)準(zhǔn)。

當(dāng)然，《規(guī)范》更重要的是依據(jù)我國互聯(lián)網(wǎng)發(fā)展實(shí)際情況?？傮w來說《規(guī)范》不如GDPR嚴(yán)格，但是也對(duì)數(shù)據(jù)追蹤與收集等方面做出了相對(duì)細(xì)致的責(zé)任界定。

結(jié)語：

有時(shí)候?qū)懽鞯撵`感就在一瞬間，從無數(shù)次的點(diǎn)擊“OK”來允許網(wǎng)站關(guān)閉那個(gè)無意義的Cookie彈窗開始累計(jì)怒氣，怒氣值攢滿了就決定寫了。這篇科普性質(zhì)的文章最后還是多少要往“本地化”方面貼近一些……然而受學(xué)識(shí)和閱歷所限，沒有辦法在這方面展開太多。

不過能夠幫助大家簡(jiǎn)單了解一些這方面的知識(shí)，我的“科普”目的也就達(dá)到了。信息安全與隱私保護(hù)，是我們?cè)谶@個(gè)互聯(lián)網(wǎng)時(shí)代都應(yīng)該知曉的。

參考資料：

[1] 維基百科的“Cookie”詞條：

https://zh.wikipedia.org/wiki/Cookie

[2]文章提到的《紐約時(shí)報(bào)》關(guān)于GDPR的文章：

https://www.nytimes.com/2018/05/24/technology/europe-gdpr-privacy.html

[3]歐盟官方網(wǎng)站中數(shù)據(jù)保護(hù)（Data Protection）的相關(guān)信息：

https://ec.europa.eu/info/law/law-topic/data-protection_en

特別說明：本文僅用于學(xué)術(shù)交流，如有侵權(quán)請(qǐng)后臺(tái)聯(lián)系小編刪除。

- END -

轉(zhuǎn)載來源：T君的本地化日常

轉(zhuǎn)載編輯：張啟雯