央視“3·15”晚會(huì)讓一個(gè)互聯(lián)網(wǎng)專業(yè)技術(shù)名詞一夜間走進(jìn)了公眾的視野，它就是Cookie，中文的意思“小甜餅”。由于它記錄著用戶上網(wǎng)的行為以及上網(wǎng)特點(diǎn)，可以讓網(wǎng)民快速使用互聯(lián)網(wǎng)服務(wù)，而無需每一次都要重新輸入信息，一方面為網(wǎng)民帶來了上網(wǎng)的便利，而另一方面卻埋下了安全隱患。一些網(wǎng)絡(luò)公司通過收集用戶的Cookie信息來分析用戶的上網(wǎng)行為，進(jìn)而販賣給廣告商。

     對(duì)于廣大網(wǎng)民來說，Cookie到底是工具還是黑手一時(shí)間成為業(yè)界爭(zhēng)論的焦點(diǎn)。為此由北京商報(bào)主辦的“科技青商匯”論壇特邀請(qǐng)技術(shù)、行業(yè)、媒體、法律四方面人士解讀Cookie引發(fā)的隱私安全風(fēng)暴。

     Cookie無罪：別指摘

     “Cookie就像菜刀，是廚房好幫手，但有人卻拿來行兇，說到底菜刀本身是無罪的”，知名知識(shí)產(chǎn)權(quán)律師、北京德和衡律師事務(wù)所合伙人姚克楓如是定義被視為“洪水猛獸”的Cookie。

     一般來講，Cookie就是用戶數(shù)據(jù)包，它記錄著用戶上網(wǎng)的行為、上網(wǎng)特點(diǎn)以及上網(wǎng)輸入的文字，甚至是用戶名、密碼，也可能包含其他隱私內(nèi)容。因?yàn)檠胍?ldquo;3·15”晚會(huì)的曝光，個(gè)別互聯(lián)網(wǎng)公司濫用Cookie，這一詞匯甚至成了與網(wǎng)絡(luò)風(fēng)險(xiǎn)畫等號(hào)的“洪水猛獸”。

     但北京郵電大學(xué)信息安全中心副教授辛陽認(rèn)為，Cookie是無罪的。他進(jìn)一步解釋稱，“企業(yè)采用Cookie的初衷是為了讓用戶更便利地使用服務(wù)，而不必每次上網(wǎng)都重新載入個(gè)人信息”。

     對(duì)普通網(wǎng)民來說，Cookie主要用來判定注冊(cè)用戶是否已經(jīng)登錄網(wǎng)站，這樣可以免去用戶重復(fù)登錄網(wǎng)站的繁瑣，試想如果用戶每刷新一次微博、郵箱都需要重新登錄，將極大影響用戶體驗(yàn)，想必就沒有多少人愿意再上網(wǎng)交流了。Cookie的另外用途是網(wǎng)上購(gòu)物的“購(gòu)物車”功能：網(wǎng)民可能會(huì)在一段時(shí)間內(nèi)在同一家網(wǎng)站的不同頁面中選擇不同的商品，這些信息都會(huì)寫入Cookie以方便最后網(wǎng)購(gòu)結(jié)賬。

     事實(shí)上，在Cookie引發(fā)爭(zhēng)議之后，行業(yè)也在探索解決之道，有的建議“禁掉Cookie”。博客中國(guó)副總裁谷龍介紹，谷歌最新的瀏覽器已經(jīng)提供關(guān)閉Cookie的功能，但負(fù)面效果是上網(wǎng)變得非常慢，需要反復(fù)確認(rèn)用戶身份，帶來了種種不便。

     “Cookie禁了也沒用，”辛陽說：“有心使壞的企業(yè)還會(huì)找到其他方法讀取用戶隱私，比如App軟件的服務(wù)器端就可以進(jìn)行讀取。”

     企業(yè)有責(zé)：別濫用

     目前Cookie引起強(qiáng)烈爭(zhēng)議的就是互聯(lián)網(wǎng)企業(yè)通過分析Cookie研究用戶上網(wǎng)行為，再精準(zhǔn)廣告定位而引發(fā)的隱私泄露問題。

     很多人不了解Cookie在隱私泄露中扮演的角色，實(shí)際上是不法企業(yè)利用Cookie存儲(chǔ)用戶信息的特性，使用一種叫做“網(wǎng)絡(luò)臭蟲”的方法來獲取用戶Cookie，分析上網(wǎng)行為。

     譬如，在一些訪問量巨大的網(wǎng)站植入一段臭蟲代碼，這樣“網(wǎng)絡(luò)臭蟲”就可以收集訪問該網(wǎng)站網(wǎng)民的Cookie數(shù)據(jù)。由于Cookie數(shù)據(jù)中包含著諸如網(wǎng)頁瀏覽器、停留時(shí)間、購(gòu)物商品等個(gè)人偏好信息，因此個(gè)人信息被“網(wǎng)絡(luò)臭蟲”截取，這些企業(yè)統(tǒng)計(jì)分析這些個(gè)人信息后，賣給其他互聯(lián)網(wǎng)公司牟取暴利。如果一個(gè)被植入“網(wǎng)絡(luò)臭蟲”的網(wǎng)站一天一個(gè)頁面有1000萬人訪問，那么這個(gè)試圖竊取的公司一天就獲取了1000萬份個(gè)人信息。收集Cookie這種行為在互聯(lián)網(wǎng)領(lǐng)域并不罕見。譬如搜索引擎服務(wù)提供商及其聯(lián)盟網(wǎng)站，每天大約跟蹤1.2億網(wǎng)民的Cookie。如果這些Cookie被泄露，將會(huì)讓互聯(lián)網(wǎng)基本信任體系崩盤。

     為此，創(chuàng)新工場(chǎng)CEO李開復(fù)建議所有網(wǎng)站，首先要告知用戶哪些信息被使用，其次保證不濫用信息，最后提供“禁止跟蹤”選項(xiàng)保護(hù)用戶隱私。諸如微軟、谷歌，國(guó)內(nèi)的360、搜狗均已采取類似行動(dòng)。

     資深媒體人、《商業(yè)價(jià)值》主編張鵬表示，企業(yè)在收集用戶個(gè)人信息時(shí)要特別慎重“用戶的個(gè)人信息相當(dāng)于個(gè)人財(cái)產(chǎn)，上傳個(gè)人信息的目的是換取互聯(lián)網(wǎng)服務(wù)，這必須是透明和等價(jià)的交換”。

     不道德的企業(yè)借機(jī)搜集用戶數(shù)據(jù)，借口是必須使用用戶位置或通訊錄才能完成某項(xiàng)服務(wù)。辛陽擔(dān)憂，普通公眾很難判斷一款互聯(lián)網(wǎng)服務(wù)索取哪些個(gè)人信息是合理的。

     法律呼聲：必先行

     其實(shí)，不僅僅在國(guó)內(nèi)，網(wǎng)絡(luò)個(gè)人隱私信息的安全也是全球化的議題，包括微軟、谷歌、蘋果等巨頭在內(nèi)的眾多互聯(lián)網(wǎng)公司都已經(jīng)全面推出清除“跟蹤C(jī)ookie”的行動(dòng)。

     “企業(yè)自律，也應(yīng)該有行業(yè)自律，把Cookie使用規(guī)則、隱私問題上升到行業(yè)規(guī)范，把基本標(biāo)準(zhǔn)制定出來，可能是比較好的監(jiān)督機(jī)制。”姚克楓坦言，國(guó)內(nèi)對(duì)隱私保護(hù)的法律法規(guī)尚不健全，而具體到Cookie這樣細(xì)化的法規(guī)也不太現(xiàn)實(shí)，行業(yè)可以先行制定行規(guī)。

     “解決隱私問題要相信市場(chǎng)，相信競(jìng)爭(zhēng)，誰做了壞事，用戶自然會(huì)用腳投票。行業(yè)要自律，把事情說清楚和講到位，讓市場(chǎng)充分選擇。”張鵬如是認(rèn)為。

     姚克楓建議，行業(yè)自律應(yīng)該涉及“個(gè)人信息什么情況下使用是妥當(dāng)?shù)模裁辞闆r下使用是不妥當(dāng)?shù)?rdquo;，“企業(yè)如何利用Cookie，不給第三方網(wǎng)站泄露內(nèi)容”也應(yīng)該列入自律之列。

     另一種必不可少的方法是第三方安全認(rèn)證機(jī)制和機(jī)構(gòu)。企業(yè)自說自話無法讓輿論信服。然而企業(yè)自律和行業(yè)自律永遠(yuǎn)是預(yù)防為主，在隱私泄露不可能完全杜絕的今天，法律層面的懲戒意義才是長(zhǎng)遠(yuǎn)之計(jì)。據(jù)悉，國(guó)外已經(jīng)有很健全的法律準(zhǔn)則和環(huán)境去推進(jìn)互聯(lián)網(wǎng)隱私保護(hù)。去年，美國(guó)聯(lián)邦貿(mào)易委員會(huì)就對(duì)谷歌做出罰款2250萬美元的決定，原因是谷歌涉嫌通過瀏覽器追蹤用戶。而在國(guó)內(nèi)，之前發(fā)生的天涯論壇泄露4000萬用戶數(shù)據(jù)等事件中，當(dāng)事企業(yè)并未受到來自監(jiān)管部門的實(shí)質(zhì)性處罰。

     “我希望法律更健全一些。至少對(duì)隱私、互聯(lián)網(wǎng)隱私、隱私泄露有更明確的法律定義，這樣有利于行業(yè)由此制定自律規(guī)則，也能在嚴(yán)重事件后保護(hù)用戶知情權(quán)、同意權(quán)”，姚克楓坦言，每年國(guó)內(nèi)因互聯(lián)網(wǎng)隱私泄露宣判的案件還很少。

     觀點(diǎn)

     Cookie泄露隱私是安全廠商集體失職

     在“3·15”晚會(huì)曝光互聯(lián)網(wǎng)公司通過Cookie泄露隱私是行業(yè)潛規(guī)則的同時(shí)，安全廠商也該集體反思自己的失職。

     實(shí)際上，Cookie中保存的用戶名、密碼等個(gè)人敏感信息通常經(jīng)過加密，很難將其反向破解。但這并不意味著絕對(duì)安全，黑客可通過木馬病毒盜取用戶瀏覽器Cookie，直接通過偷取的Cookie騙取網(wǎng)站信任?？梢钥闯?，木馬病毒入侵用戶電腦是導(dǎo)致用戶個(gè)人信息泄露的一大元兇。

     自1993年Cookie誕生以來，其就擁有專屬性原則，即A網(wǎng)站存放在Cookie中的用戶信息，B網(wǎng)站是沒有權(quán)限直接獲取的。但是，現(xiàn)在一些第三方廣告聯(lián)盟的代碼使用范圍很廣。這就造成用戶在A網(wǎng)站搜索了一個(gè)關(guān)鍵字，用戶繼續(xù)訪問B網(wǎng)站，由于B網(wǎng)站也使用了同一家的第三方廣告代碼，這個(gè)代碼可以從Cookie中獲取用戶在A網(wǎng)站的搜索行為，進(jìn)而展示更精準(zhǔn)的推廣廣告。比如搜索“糖尿病”等關(guān)鍵詞，再訪問其聯(lián)盟網(wǎng)站，頁面會(huì)立刻出現(xiàn)糖尿病治療廣告。如果并未事先告之，經(jīng)用戶同意，此做法有對(duì)隱私構(gòu)成侵犯的嫌疑。目前這個(gè)還處在灰色地帶。

     因此，跨站Cookie恰恰就是用戶隱私泄露的罪魁禍?zhǔn)?，所以限制網(wǎng)站使用跨站Cookie，給用戶提供禁止跟蹤(DNT)功能選項(xiàng)已成為當(dāng)務(wù)之急。據(jù)了解，目前IE、Chrome、360、搜狗等瀏覽器均可以快速清除用戶瀏覽器網(wǎng)頁的Cookie信息。但從目前整體的隱私安全保護(hù)環(huán)境來看，安全軟件仍然存在著巨大的防護(hù)缺口。所以安全軟件也可以并且有必要提供定期清理網(wǎng)站Cookie，并監(jiān)測(cè)跨站Cookie使用的功能，保護(hù)用戶隱私安全。