「Cookies」—餅乾或是毒藥？

張耀中／資策會科法中心法律研究員

當美國因為布希總統於911事件以後下令要求國安局（National Security Agency, NSA）針對國內電話進行監聽一事，正吵得沸沸揚揚的時候，該單位最近又被發現未依法律規定，將長期性「Cookies」放置於網站造訪者之電腦，且保存期限長達30年（直到2035年）。其後，又有66位聯邦參眾議員被發現也利用長期性「Cookies」，追蹤來訪者上網紀錄情事。雖說國安局與受指控之國會參眾議員均表示並非故意使用長期性「Cookies」這類工具，但「華府保護隱私權團體民主與科技中心」則表示，此一現象顯示聯邦政府機關缺乏對於隱私權規範之認知，違反國家最基本的隱私保護規範還不自知。

所謂「Cookies」，係指網站伺服器管理者存在用戶者端（造訪者端）的檔案，記錄該用戶造訪該網站的過程與從事之活動，使得使用者下次進行相同網路瀏覽行為更為容易。「Cookies」最典型的應用是判定註冊用戶是否已經登錄網站，使用者可能會得到提示，是否在下一次進入此網站時保留使用者訊息以便簡化登錄手續。由於「Cookies」資料夾中保存個人造訪網站之時間及所有瀏覽動作，甚至是帳號密碼等資料，可能會有侵犯個人隱私與資料之虞。若網站管理者惡意於「Cookies」中暗藏駭客程式或是間諜軟體，藉以竊取使用者電腦中之其他資料或是將之做為發動攻擊之跳板時，則可能又會涉及刑法妨害電腦使用罪章之情事。

美國預算管理局早於2000年公布之備忘錄中，明白宣示聯邦政府機關除在「必要需求」（compelling need）下，不得使用長期性的「Cookies」；所有留在造訪者端的「Cookies」，必須隨著用戶關閉視窗而被消除。國安局遭檢舉使用長期性「Cookies」，已明顯違反備忘錄之規定 ；但對於那些同樣使用長期性「Cookies」的國會參眾議員來說，則由於國會並不受預算管理局所公布之備忘錄規範，其行為雖然可議，但並不違法。

就我國而言，我國並未如同美國有禁止政府機關網站使用長期性「Cookies」的制度，更遑論對於非政府單位進行規範。但由於「Cookies」中所記錄之資料，可能包含個人之帳號密碼、消費習慣（如購物網站）、消費方式等資料，加上用戶上網之IP位置或是會員資料使管理者得以直接或間接識別該個人，屬於「電腦處理個人資料保護法」規範的範疇。對於該資料之收集、處理與利用，必須要符合經由當事人同意或其他個資法之規定始得為之。此外，亦可能會有涉及隱私權侵犯之問題。

為避免灰色地帶，對於「Cookies」的使用，絕大部分的網站會於該網站首頁或是明顯之地方公告其「隱私權政策」，明白告知造訪者該網站使用「Cookies」的情形與特殊用途（例如Yahoo之隱私權政策中即表明，透過該網頁所連結之廣告商有可能在造訪者電腦設定並取用「Cookies」）。透過隱私權政策之公告，除可讓使用者造訪該網站時了解其對於部分隱私權應無期待之可能性外，另外則取得當事人同意，使該網站可以在隱私權政策公布的範圍內蒐集、處理與利用該個人資料。

網站業者在合理且正常的情況下使用「Cookies」，加上使用者清楚瞭解其可能被蒐集資料之情形與被利用之狀況時，「Cookies」的使用其實可以替網站業者與使用者兩方均帶來方便。

但若有不法業者惡意透過「Cookies」之設置，於造訪者電腦中植入木馬程式或是間諜軟體，將使用者之電腦作為駭客入侵的跳板或透過輸入取得使用者之帳號密碼以獲取其他利益時，則可能會對使用者造成嚴重之傷害。雖說我國刑法36章已通過「妨害電腦使用罪章」，明白規定入侵他人電腦（§358）、取得他人電磁記錄（§359）與干擾他人電腦置生損害（§360）之罰則，但如何舉證或是對於公司網站應如何適用等，將會是事情發生後難以解決之問題。

為避免惡意的「Cookies」，惟有用戶應建立良好之電腦使用習慣，使用者應盡量少上不熟悉之網站、定期清除電腦中「Cookies」，並進行掃毒，讓惡意的「Cookies」對個人電腦之傷害降到最低。