您的位置: 网界网 > 周报全文 > 正文

[周报全文]Cookie应适用而不滥用

2013年04月15日 16:30:18 | 作者:网界网记者 岑义涛 | 来源:网界网 | 查看本文手机版

摘要:网易、品友互动等互联网公司由于涉嫌使用Cookie盗取用户个人信息,而成为了今年央视“315”晚会的矛头所向。在“315”晚会中,央视报道网易向第三方机构泄露用户Cookie,以及利用用户资料牟利。经此报道,Cookie这一IT圈内的著...

标签
Cookie

Cookie侵犯隐私了吗?

由于整个抓取、分析、呈现的过程都是由程序自动实现的,因此互联网公司对于Cookie的分析仅限于用户的一些访问信息。比如说访问时间、频率、喜好、年龄等等,而不会细化到家庭住址、电话、姓名等信息。也就是说,所谓精准营销是指:互联网公司知道用户可能更愿意看到的内容,而不会知道每个用户的个人属性。当然,不同用户对于隐私有自己的评价标准。因此何为隐私信息还需要用户自己判断,很难给出一个公共的标准。

对于用户来说,就一定要“人为刀俎我为鱼肉”吗?在用户方,也就是浏览器端所持有的两种Cookie,即临时Cookie(Session Cookie)和本地Cookie(Third-party Cookie),两者都是基于浏览器的。也就是说,不同的浏览器Cookie不同,不能被跨浏览器使用。而二者的区别在于,本地Cookie在创建时被服务器指定了Expire 值,用来标识过期时间。也就是说,只要是在过期时间到达之前,抑或是用户自行删除,这种Cookie会一直存放在本地。而临时Cookie则没有Expire值,当浏览器关闭后,该Cookie会自行删除。除此之外,还有一种Cookie,名为Flash Cookie。由于该Cookie是依托于Flash的,导致该Cookie可以被不同的浏览器访问。该文件并不能通过浏览器被删除,需要删除该文件只需找到Flash的存放目录即可。

对于Cookie信息的使用,W3C也做出过努力。P3P(the Platform for Privacy Preferences)就是成果之一,是该组织制订的一项关于隐私的标准。P3P是一种可以提供这种个人隐私保护的策略,使用户可以在浏览网页时,选择是否被第三方收集并利用自己的个人信息。如果网站不遵守P3P标准,那么有关它的Cookies将被自动拒绝,并且P3P还能够自动识别多种Cookies的嵌入方式。

此外,W3C还发起了Do not Track(DNT)的隐私保护运动。在支持DNT功能的浏览器中,用户可以选择开启该功能,借以保护自己的行为不被商业网站所追踪。在今年的RSA大会上也被提及,倡议更多的浏览器开发厂商支持这一功能,以便更好地保护用户隐私。当用户在浏览器中选择开启DNT功能时,浏览器会在 HTTP通信时添加一个“头信息”(headers),这个头信息向商业网站的服务器表明用户不希望被追踪,遵守该规则的网站就不会追踪用户的个人信息来用于更精准的在线广告投放。

当然,如果用户选择了不上传Cookie文件,而网站还是获取到了,这就是网站的不道德行为,甚至是违法行为,也是很明显地在侵犯用户隐私。

如果没有Cookie

事实上,很多互联网公司都未曾积极响应W3C发起DNT的隐私保护运动,其原因也并不只是赢利的问题,而是一旦没有或者全部禁用了Cookie,互联网行业的运营模式将产生巨大的变革。如上所说,广告的精准投放,或者说定制化投放,很大程度上依赖于对Cookie数据的分析,一旦停止Cookie的上传,禁止网站对用户的访问进行跟踪,当前的广告投放精准度势必会受到严重威胁。

然而(+微信关注网络世界),在用户端还存在另一个问题。当用户的访问行为不再能被追踪,网站也将不能利用用户的历史访问来向用户定制化呈现页面内容,其访问体验也将大打折扣。当用户的访问行为不再能被网站追踪到之后,用户可能再也看不到“猜你喜欢”,或者“推荐阅读”之类的信息。而对于此类信息的好恶,也是因人而异,就像每个人对于隐私的定义不同一样。

作为互联网公司,不能做Cookie收集、分析,也就无法了解用户的需求,无法对用户群进行分析,现有的广告投放系统将不再能提供很高的有效性。而广告投放又是互联网公司实现赢利的重要因素,所以整个互联网产业模式也将产生很大的改变。

当然,上面所说只是假设,真正的巨头公司不会坐以待毙。一旦强制不能使用Cookie,巨头们也会使用别的技术来实现与Cookie相似,或者更高级的功能。而他们所需要做的,就是通过修改用户条款的方式通知用户,但是又有多少用户会仔细阅读那些纷繁冗长的条款呢?

即使没有Cookie,隐私问题也依然存在。近日360安全软件频频被揭露上传用户文件的事件。而此类事件也势必会发生在其他常用的软件上。再加上各种病毒、木马的肆虐,以及XSS(跨站点脚本攻击)、CSRF(跨站点请求伪造)等等利用Cookie的黑客攻击手段。因此,用户的隐私问题绝不是一个Cookie这么简单。

结束语

当然,对于Cookie的态度,公司和个人用户都应该重新审视,不能认为Cookie的存在时间长,推动了互联网商业模式的发展就能够被用来收集用户的各种资料。由于Cookie被滥用,确实在某种程度上危及了个人的隐私安全。瑞典已经通过对Cookie立法,要求利用Cookie的网站必须说明其属性,并且指导用户如何禁用Cookie。而我国还没有在这方面有相关法律法规对Cookie的使用进行限制。在个人用户方面,如果认为自己的访问行为等等信息均为个人隐私,完全可以在浏览器中开启DNT功能,或者在关闭浏览器时清除Cookie。

而媒体也需要扮演好信息纽带的桥梁,尽量减少信息不对称的情况,做到报道如实、中立、全面,让用户有较好的认知。博客中国创始人方兴东也曾公开表示,媒体对Cookie的片面化、简单化、妖魔化的报道,引起用户无谓的恐慌,不利于问题的认清与解决。Cookie的有效合理使用是互联网的优势所在,也是互联网的价值,不能把Cookie问题简单化、绝对化,要做的是防止滥用而不是不用。

对于这些Cookie信息,公司或网站需要很妥善地处理和保管。如果需要分析,也应只分析具有统计学意义的相关数据,比如年龄、性别、地域、职业等等,而对于涉及个人姓名、详细住址、证件号码等数据应予以删除处理。因此,对于Cookie来说,要适用而不是滥用。要做到这点,需要的不仅是法律法规的约束,更需要提升公民和从业者的约束力以及道德修养。(更多内容详见: http://www.cnw.com.cn/P/4808

1 2
[责任编辑:孙可 sun_ke@cnw.com.cn]