央視“3·15”晚會讓一個互聯網專業技術名詞一夜間走進了公眾的視野，它就是Cookie，中文的意思“小甜餅”。由于它記錄著用戶上網的行為以及上網特點，可以讓網民快速使用互聯網服務，而無需每一次都要重新輸入信息，一方面為網民帶來了上網的便利，而另一方面卻埋下了安全隱患。一些網絡公司通過收集用戶的Cookie信息來分析用戶的上網行為，進而販賣給廣告商。

     對于廣大網民來說，Cookie到底是工具還是黑手一時間成為業界爭論的焦點。為此由北京商報主辦的“科技青商匯”論壇特邀請技術、行業、媒體、法律四方面人士解讀Cookie引發的隱私安全風暴。

     Cookie無罪：別指摘

     “Cookie就像菜刀，是廚房好幫手，但有人卻拿來行兇，說到底菜刀本身是無罪的”，知名知識產權律師、北京德和衡律師事務所合伙人姚克楓如是定義被視為“洪水猛獸”的Cookie。

     一般來講，Cookie就是用戶數據包，它記錄著用戶上網的行為、上網特點以及上網輸入的文字，甚至是用戶名、密碼，也可能包含其他隱私內容。因為央視“3·15”晚會的曝光，個別互聯網公司濫用Cookie，這一詞匯甚至成了與網絡風險畫等號的“洪水猛獸”。

     但北京郵電大學信息安全中心副教授辛陽認為，Cookie是無罪的。他進一步解釋稱，“企業采用Cookie的初衷是為了讓用戶更便利地使用服務，而不必每次上網都重新載入個人信息”。

     對普通網民來說，Cookie主要用來判定注冊用戶是否已經登錄網站，這樣可以免去用戶重復登錄網站的繁瑣，試想如果用戶每刷新一次微博、郵箱都需要重新登錄，將極大影響用戶體驗，想必就沒有多少人愿意再上網交流了。Cookie的另外用途是網上購物的“購物車”功能：網民可能會在一段時間內在同一家網站的不同頁面中選擇不同的商品，這些信息都會寫入Cookie以方便最后網購結賬。

     事實上，在Cookie引發爭議之后，行業也在探索解決之道，有的建議“禁掉Cookie”。博客中國副總裁谷龍介紹，谷歌最新的瀏覽器已經提供關閉Cookie的功能，但負面效果是上網變得非常慢，需要反復確認用戶身份，帶來了種種不便。

     “Cookie禁了也沒用，”辛陽說：“有心使壞的企業還會找到其他方法讀取用戶隱私，比如App軟件的服務器端就可以進行讀取。”

     企業有責：別濫用

     目前Cookie引起強烈爭議的就是互聯網企業通過分析Cookie研究用戶上網行為，再精準廣告定位而引發的隱私泄露問題。

     很多人不了解Cookie在隱私泄露中扮演的角色，實際上是不法企業利用Cookie存儲用戶信息的特性，使用一種叫做“網絡臭蟲”的方法來獲取用戶Cookie，分析上網行為。

     譬如，在一些訪問量巨大的網站植入一段臭蟲代碼，這樣“網絡臭蟲”就可以收集訪問該網站網民的Cookie數據。由于Cookie數據中包含著諸如網頁瀏覽器、停留時間、購物商品等個人偏好信息，因此個人信息被“網絡臭蟲”截取，這些企業統計分析這些個人信息后，賣給其他互聯網公司牟取暴利。如果一個被植入“網絡臭蟲”的網站一天一個頁面有1000萬人訪問，那么這個試圖竊取的公司一天就獲取了1000萬份個人信息。收集Cookie這種行為在互聯網領域并不罕見。譬如搜索引擎服務提供商及其聯盟網站，每天大約跟蹤1.2億網民的Cookie。如果這些Cookie被泄露，將會讓互聯網基本信任體系崩盤。

     為此，創新工場CEO李開復建議所有網站，首先要告知用戶哪些信息被使用，其次保證不濫用信息，最后提供“禁止跟蹤”選項保護用戶隱私。諸如微軟、谷歌，國內的360、搜狗均已采取類似行動。

     資深媒體人、《商業價值》主編張鵬表示，企業在收集用戶個人信息時要特別慎重“用戶的個人信息相當于個人財產，上傳個人信息的目的是換取互聯網服務，這必須是透明和等價的交換”。

     不道德的企業借機搜集用戶數據，借口是必須使用用戶位置或通訊錄才能完成某項服務。辛陽擔憂，普通公眾很難判斷一款互聯網服務索取哪些個人信息是合理的。

     法律呼聲：必先行

     其實，不僅僅在國內，網絡個人隱私信息的安全也是全球化的議題，包括微軟、谷歌、蘋果等巨頭在內的眾多互聯網公司都已經全面推出清除“跟蹤Cookie”的行動。

     “企業自律，也應該有行業自律，把Cookie使用規則、隱私問題上升到行業規范，把基本標準制定出來，可能是比較好的監督機制。”姚克楓坦言，國內對隱私保護的法律法規尚不健全，而具體到Cookie這樣細化的法規也不太現實，行業可以先行制定行規。

     “解決隱私問題要相信市場，相信競爭，誰做了壞事，用戶自然會用腳投票。行業要自律，把事情說清楚和講到位，讓市場充分選擇。”張鵬如是認為。

     姚克楓建議，行業自律應該涉及“個人信息什么情況下使用是妥當的，什么情況下使用是不妥當的”，“企業如何利用Cookie，不給第三方網站泄露內容”也應該列入自律之列。

     另一種必不可少的方法是第三方安全認證機制和機構。企業自說自話無法讓輿論信服。然而企業自律和行業自律永遠是預防為主，在隱私泄露不可能完全杜絕的今天，法律層面的懲戒意義才是長遠之計。據悉，國外已經有很健全的法律準則和環境去推進互聯網隱私保護。去年，美國聯邦貿易委員會就對谷歌做出罰款2250萬美元的決定，原因是谷歌涉嫌通過瀏覽器追蹤用戶。而在國內，之前發生的天涯論壇泄露4000萬用戶數據等事件中，當事企業并未受到來自監管部門的實質性處罰。

     “我希望法律更健全一些。至少對隱私、互聯網隱私、隱私泄露有更明確的法律定義，這樣有利于行業由此制定自律規則，也能在嚴重事件后保護用戶知情權、同意權”，姚克楓坦言，每年國內因互聯網隱私泄露宣判的案件還很少。

     觀點

     Cookie泄露隱私是安全廠商集體失職

     在“3·15”晚會曝光互聯網公司通過Cookie泄露隱私是行業潛規則的同時，安全廠商也該集體反思自己的失職。

     實際上，Cookie中保存的用戶名、密碼等個人敏感信息通常經過加密，很難將其反向破解。但這并不意味著絕對安全，黑客可通過木馬病毒盜取用戶瀏覽器Cookie，直接通過偷取的Cookie騙取網站信任?？梢钥闯?，木馬病毒入侵用戶電腦是導致用戶個人信息泄露的一大元兇。

     自1993年Cookie誕生以來，其就擁有專屬性原則，即A網站存放在Cookie中的用戶信息，B網站是沒有權限直接獲取的。但是，現在一些第三方廣告聯盟的代碼使用范圍很廣。這就造成用戶在A網站搜索了一個關鍵字，用戶繼續訪問B網站，由于B網站也使用了同一家的第三方廣告代碼，這個代碼可以從Cookie中獲取用戶在A網站的搜索行為，進而展示更精準的推廣廣告。比如搜索“糖尿病”等關鍵詞，再訪問其聯盟網站，頁面會立刻出現糖尿病治療廣告。如果并未事先告之，經用戶同意，此做法有對隱私構成侵犯的嫌疑。目前這個還處在灰色地帶。

     因此，跨站Cookie恰恰就是用戶隱私泄露的罪魁禍首，所以限制網站使用跨站Cookie，給用戶提供禁止跟蹤(DNT)功能選項已成為當務之急。據了解，目前IE、Chrome、360、搜狗等瀏覽器均可以快速清除用戶瀏覽器網頁的Cookie信息。但從目前整體的隱私安全保護環境來看，安全軟件仍然存在著巨大的防護缺口。所以安全軟件也可以并且有必要提供定期清理網站Cookie，并監測跨站Cookie使用的功能，保護用戶隱私安全。