網(wǎng)易、品友互動等互聯(lián)網(wǎng)公司由于涉嫌使用Cookie盜取用戶個(gè)人信息而成為了今年央視315晚會的矛頭所向。在315晚會中，央視報(bào)道網(wǎng)易向第三方機(jī)構(gòu)泄露用戶Cookie以及利用用戶資料牟利。經(jīng)此報(bào)道，Cookie這一IT圈內(nèi)的著名詞匯被推到了輿論的風(fēng)口浪尖之上。

節(jié)目播出之后，在網(wǎng)上引起了廣泛的討論。IT業(yè)內(nèi)人士普遍持一種不屑一顧的態(tài)度，盡管如此，各大門戶網(wǎng)站還是出了很多文章來向眾多不明真相的群眾釋疑，何為Cookie，以及它與隱私的關(guān)系。筆者認(rèn)為，要想知道為什么Cookie會有如央視所說的能力，還需要從互聯(lián)網(wǎng)商業(yè)化的歷史了解。而對于Cookie這樣一種備受爭議的文件，不論是企業(yè)還是個(gè)人都需要予以重視。

互聯(lián)網(wǎng)商業(yè)化的基石

Cookie在被發(fā)明之初是為了解決HTTP協(xié)議的無狀態(tài)性，維持客戶端與服務(wù)器通信會話的狀態(tài)，進(jìn)而用來實(shí)現(xiàn)交互式的Web應(yīng)用程序。另外，網(wǎng)站為了辨別用戶身份而將相關(guān)信息記錄在Cookie中，儲存在用戶本地終端(手機(jī)或電腦)上，這些數(shù)據(jù)以文本形式存在，且通常都會進(jìn)行加密處理。當(dāng)用戶在瀏覽網(wǎng)頁時(shí)，瀏覽器會在Cookie中記錄用戶在網(wǎng)頁上所輸入的文字，當(dāng)該名用戶再次瀏覽該網(wǎng)頁時(shí)，瀏覽器就能通過Cookie直接判斷該名使用者身份，從而送出特定的網(wǎng)頁內(nèi)容。需要聲明的是，Cookie是個(gè)人用戶在某一網(wǎng)站的唯一標(biāo)識，也就是說，每一個(gè)網(wǎng)站都會為用戶生成一個(gè)Cookie文件，用來跟蹤用戶訪問行為。

不論是互聯(lián)網(wǎng)的精準(zhǔn)廣告投遞模式，還是用戶通過瀏覽器訪問互聯(lián)網(wǎng)的體驗(yàn)逐步提升，都是建立在借用Cookie數(shù)據(jù)的基礎(chǔ)之上。而廣告的精準(zhǔn)投放，正是目前互聯(lián)網(wǎng)公司賴以生存的基石。提到互聯(lián)網(wǎng)廣告，雅虎和谷歌是不得不說的兩家公司。首先，翻看互聯(lián)網(wǎng)的歷史可以了解到，作為互聯(lián)網(wǎng)革命先驅(qū)的雅虎，創(chuàng)立了通過向廣告主收費(fèi)，以達(dá)到讓用戶免費(fèi)使用網(wǎng)絡(luò)服務(wù)的互聯(lián)網(wǎng)公司生存模式，同時(shí)也刺激了電子商務(wù)的發(fā)展。此后，谷歌將此模式發(fā)展、進(jìn)化，從而產(chǎn)生了根據(jù)用戶喜好來定向投放廣告的模式，使得廣告投放的更加精準(zhǔn)、有效。而這其中的關(guān)鍵，則是對于Cookie的成功利用。

通過對Cookie文件的分析，可以得知用戶的年齡、性別、興趣喜好、收入水平等，以及訪問某網(wǎng)站的頻率、時(shí)間段、對于內(nèi)容的好惡，從而更加有針對性地向用戶投放廣告。當(dāng)用戶登錄旅游相關(guān)的網(wǎng)站時(shí)，網(wǎng)站也會通過分析Cookie中存放的信息，為用戶提供符合其偏好的目的地或行程組合等等。此種例子不勝枚舉，正是由于Cookie的存在，互聯(lián)網(wǎng)才迎來了其能夠改變世界的那一天。而對于用戶來說，又是否感覺到訪問互聯(lián)網(wǎng)的體驗(yàn)越來越好了呢?正是由于網(wǎng)站對于用戶/用戶群的差異化呈現(xiàn)，才有了用戶對于上網(wǎng)體驗(yàn)質(zhì)的提升。

Cookie侵犯隱私了嗎?

由于整個(gè)抓取、分析、呈現(xiàn)的過程都是由程序自動實(shí)現(xiàn)的，因此互聯(lián)網(wǎng)公司對于Cookie的分析，僅限于用戶的一些訪問信息，比如說訪問時(shí)間、頻率、喜好、年齡等等。而不會細(xì)化到家庭住址、電話、姓名等信息。也就是說，所謂精準(zhǔn)營銷是指：互聯(lián)網(wǎng)公司知道用戶可能更愿意看到的內(nèi)容，而不會知道每個(gè)用戶的個(gè)人屬性。當(dāng)然，不同用戶對于隱私有自己的評價(jià)標(biāo)準(zhǔn)。因此何為隱私信息還需要用戶自己判斷，很難給出一個(gè)公共的標(biāo)準(zhǔn)。

對于用戶來說，就一定要“人為刀俎我為魚肉”嗎?在用戶方，也就是瀏覽器端，所持有兩種Cookie，即臨時(shí)Cookie(Session Cookie)和本地Cookie(Third-party Cookie)。兩者都是基于瀏覽器的。也就是說，不同的瀏覽器Cookie不同，不能被跨瀏覽器使用。而二者的區(qū)別在于，本地Cookie在創(chuàng)建時(shí)被服務(wù)器指定了Expire 值，用來標(biāo)識過期時(shí)間，也就是說，只要是在過期時(shí)間到達(dá)之前，抑或是用戶自行刪除，這種Cookie會一直存放在本地;而臨時(shí)Cookie則沒有Expire值，當(dāng)瀏覽器關(guān)閉后，該Cookie會自行刪除。除此之外，還有一種Cookie，名為Flash Cookie。由于該Cookie是依托于Flash的，導(dǎo)致該Cookie可以被不同的瀏覽器訪問。該文件并不能通過瀏覽器被刪除，需要刪除該文件只需找到Flash的存放目錄即可。

對于Cookie信息的使用，W3C也做出過努力。P3P(the Platform for Privacy Preferences)就是成果之一，是該組織制訂的一項(xiàng)關(guān)于隱私的標(biāo)準(zhǔn)。P3P是一種可以提供這種個(gè)人隱私保護(hù)的策略，使用戶可以瀏覽網(wǎng)頁時(shí)，選擇是否被第三方收集并利用自己的個(gè)人信息。如果網(wǎng)站不遵守P3P標(biāo)準(zhǔn)，那么有關(guān)它的Cookies將被自動拒絕，并且P3P還能夠自動識破多種Cookies的嵌入方式。

此外，W3C還發(fā)起了Do not Track(DNT)的保護(hù)隱私運(yùn)動。在支持DNT功能的瀏覽器中，用戶可以選擇開啟該功能，借以保護(hù)自己的行為不被商業(yè)網(wǎng)站所追蹤。在今年的RSA大會上也被提及，倡議更多的瀏覽器開發(fā)廠商支持這一功能，以便更好地保護(hù)用戶隱私。當(dāng)用戶在瀏覽器中選擇開啟DNT功能時(shí)，瀏覽器會在 HTTP通信時(shí)添加一個(gè)“頭信息”(headers)，這個(gè)頭信息向商業(yè)網(wǎng)站的服務(wù)器表明用戶不希望被追蹤，遵守該規(guī)則的網(wǎng)站就不會追蹤用戶的個(gè)人信息來用于更精準(zhǔn)的在線廣告。

當(dāng)然，如果用戶選擇了不上傳Cookie文件，而網(wǎng)站還是獲取到了，這就是網(wǎng)站的不道德行為甚至是違法行為，也是很明顯的在侵犯用戶隱私。

如果沒有Cookie

事實(shí)上，很多互聯(lián)網(wǎng)公司都未曾積極響應(yīng)W3C發(fā)起DNT的隱私保護(hù)運(yùn)動。其原因也并不只是盈利的問題，而是一旦沒有或者全部禁用了Cookie，互聯(lián)網(wǎng)行業(yè)的運(yùn)營模式將產(chǎn)生巨大的變革。如上所說，廣告的精準(zhǔn)投放，或者說定制化投放，很大程度上依賴于對Cookie數(shù)據(jù)的分析，一旦停止Cookie的上傳，禁止網(wǎng)站對用戶的訪問進(jìn)行跟蹤，當(dāng)前的廣告投放精準(zhǔn)度勢必會受到致命威脅。

然而，在用戶端還存在另一個(gè)問題。當(dāng)用戶的訪問行為不再能被追蹤，網(wǎng)站也將不能對于用戶的歷史訪問來向用戶定制化呈現(xiàn)頁面內(nèi)容，其訪問體驗(yàn)也將大打折扣。當(dāng)用戶的訪問行為不再能被網(wǎng)站追蹤到之后，用戶可能再也看不到“猜你喜歡”或者“推薦閱讀”之類的信息。而對于此類信息的好惡，也是因人而異。就像每個(gè)人對于隱私的定義不同一樣。

作為互聯(lián)網(wǎng)公司，不能做Cookie收集、分析，也就無法了解用戶的需求，無法對用戶群進(jìn)行分析，現(xiàn)有的廣告投放系統(tǒng)將不再能提供很高的有效性，而廣告投放又是互聯(lián)網(wǎng)公司實(shí)現(xiàn)盈利的重要因素，所以整個(gè)互聯(lián)網(wǎng)產(chǎn)業(yè)模式也將產(chǎn)生很大的改變。

當(dāng)然，上面所說只是假設(shè)，真正的巨頭公司不會坐以待斃。一旦強(qiáng)制不使用Cookie，巨頭們也會使用別的技術(shù)來實(shí)現(xiàn)與Cookie相似或者更高級的功能。而他們所需要做的，就是通過修改用戶條款的方式通知用戶，但是又有多少用戶會仔細(xì)閱讀那些紛繁冗長的條款呢?

即使沒有Cookie，隱私問題也依然存在。近日360安全軟件頻頻被揭露上傳用戶文件的事件。而此類事件也勢必會發(fā)生在其他人們常用的軟件上。再加上各種病毒、木馬的肆虐，以及XSS(跨站點(diǎn)腳本攻擊)、CSRF(跨站點(diǎn)請求偽造)等等利用Cookie的黑客攻擊手段。因此，用戶的隱私問題，絕不是一個(gè)Cookie這么簡單。

結(jié)束語

當(dāng)然，對于Cookie的態(tài)度，公司和個(gè)人用戶都應(yīng)該重新審視。不能認(rèn)為Cookie的存在時(shí)間長，推動了互聯(lián)網(wǎng)商業(yè)模式的發(fā)展，就能夠被用來收集用戶的各種資料。由于Cookie被濫用，確實(shí)在某種程度上危及了個(gè)人的隱私安全。瑞典已經(jīng)通過對Cookie立法，要求利用Cookie的網(wǎng)站必須說明其屬性，并且指導(dǎo)用戶如何禁用Cookie。而我國還并沒有在這方面有相關(guān)法律法規(guī)對Cookie的使用進(jìn)行限制。在個(gè)人用戶方面，如果認(rèn)為自己的訪問行為等等信息均為個(gè)人隱私，完全可以在瀏覽器中開啟DNT功能，或者在關(guān)閉瀏覽器時(shí)清除Cookie。

媒體也需要扮演好信息紐帶的橋梁，盡量減少信息不對稱的情況。盡量做到報(bào)道如實(shí)，中立，全面，讓用戶有較好的認(rèn)知。博客中國創(chuàng)始人方興東也曾公開表示，媒體報(bào)道對Cookie的片面化、簡單化、妖魔化的報(bào)道，引起用戶無謂的恐慌，不利于問題認(rèn)清與解決。Cookie的有效合理使用，是互聯(lián)網(wǎng)的優(yōu)勢所在，也是互聯(lián)網(wǎng)的價(jià)值，不能把Cookie問題簡單化絕對化，要做的是防止濫用，而不是不用。

對于這些Cookie信息，公司或網(wǎng)站需要很妥善地處理和保管。如果需要分析，也應(yīng)只分析具有統(tǒng)計(jì)學(xué)意義的相關(guān)數(shù)據(jù)，比如年齡、性別、地域、職業(yè)等等，而對于涉及個(gè)人姓名、詳細(xì)住址、證件號碼等等的數(shù)據(jù)，應(yīng)予以刪除處理。因此，對于Cookie來說，要適用而不是濫用。要做到這點(diǎn)，需要的不僅是法律法規(guī)的約束，更加需要提升公民和從業(yè)者的約束力以及道德修養(yǎng)。