網易、品友互動等互聯網公司由于涉嫌使用Cookie盜取用戶個人信息而成為了今年央視315晚會的矛頭所向。在315晚會中，央視報道網易向第三方機構泄露用戶Cookie以及利用用戶資料牟利。經此報道，Cookie這一IT圈內的著名詞匯被推到了輿論的風口浪尖之上。

節目播出之后，在網上引起了廣泛的討論。IT業內人士普遍持一種不屑一顧的態度，盡管如此，各大門戶網站還是出了很多文章來向眾多不明真相的群眾釋疑，何為Cookie，以及它與隱私的關系。筆者認為，要想知道為什么Cookie會有如央視所說的能力，還需要從互聯網商業化的歷史了解。而對于Cookie這樣一種備受爭議的文件，不論是企業還是個人都需要予以重視。

互聯網商業化的基石

Cookie在被發明之初是為了解決HTTP協議的無狀態性，維持客戶端與服務器通信會話的狀態，進而用來實現交互式的Web應用程序。另外，網站為了辨別用戶身份而將相關信息記錄在Cookie中，儲存在用戶本地終端(手機或電腦)上，這些數據以文本形式存在，且通常都會進行加密處理。當用戶在瀏覽網頁時，瀏覽器會在Cookie中記錄用戶在網頁上所輸入的文字，當該名用戶再次瀏覽該網頁時，瀏覽器就能通過Cookie直接判斷該名使用者身份，從而送出特定的網頁內容。需要聲明的是，Cookie是個人用戶在某一網站的唯一標識，也就是說，每一個網站都會為用戶生成一個Cookie文件，用來跟蹤用戶訪問行為。

不論是互聯網的精準廣告投遞模式，還是用戶通過瀏覽器訪問互聯網的體驗逐步提升，都是建立在借用Cookie數據的基礎之上。而廣告的精準投放，正是目前互聯網公司賴以生存的基石。提到互聯網廣告，雅虎和谷歌是不得不說的兩家公司。首先，翻看互聯網的歷史可以了解到，作為互聯網革命先驅的雅虎，創立了通過向廣告主收費，以達到讓用戶免費使用網絡服務的互聯網公司生存模式，同時也刺激了電子商務的發展。此后，谷歌將此模式發展、進化，從而產生了根據用戶喜好來定向投放廣告的模式，使得廣告投放的更加精準、有效。而這其中的關鍵，則是對于Cookie的成功利用。

通過對Cookie文件的分析，可以得知用戶的年齡、性別、興趣喜好、收入水平等，以及訪問某網站的頻率、時間段、對于內容的好惡，從而更加有針對性地向用戶投放廣告。當用戶登錄旅游相關的網站時，網站也會通過分析Cookie中存放的信息，為用戶提供符合其偏好的目的地或行程組合等等。此種例子不勝枚舉，正是由于Cookie的存在，互聯網才迎來了其能夠改變世界的那一天。而對于用戶來說，又是否感覺到訪問互聯網的體驗越來越好了呢?正是由于網站對于用戶/用戶群的差異化呈現，才有了用戶對于上網體驗質的提升。

Cookie侵犯隱私了嗎?

由于整個抓取、分析、呈現的過程都是由程序自動實現的，因此互聯網公司對于Cookie的分析，僅限于用戶的一些訪問信息，比如說訪問時間、頻率、喜好、年齡等等。而不會細化到家庭住址、電話、姓名等信息。也就是說，所謂精準營銷是指：互聯網公司知道用戶可能更愿意看到的內容，而不會知道每個用戶的個人屬性。當然，不同用戶對于隱私有自己的評價標準。因此何為隱私信息還需要用戶自己判斷，很難給出一個公共的標準。

對于用戶來說，就一定要“人為刀俎我為魚肉”嗎?在用戶方，也就是瀏覽器端，所持有兩種Cookie，即臨時Cookie(Session Cookie)和本地Cookie(Third-party Cookie)。兩者都是基于瀏覽器的。也就是說，不同的瀏覽器Cookie不同，不能被跨瀏覽器使用。而二者的區別在于，本地Cookie在創建時被服務器指定了Expire 值，用來標識過期時間，也就是說，只要是在過期時間到達之前，抑或是用戶自行刪除，這種Cookie會一直存放在本地;而臨時Cookie則沒有Expire值，當瀏覽器關閉后，該Cookie會自行刪除。除此之外，還有一種Cookie，名為Flash Cookie。由于該Cookie是依托于Flash的，導致該Cookie可以被不同的瀏覽器訪問。該文件并不能通過瀏覽器被刪除，需要刪除該文件只需找到Flash的存放目錄即可。

對于Cookie信息的使用，W3C也做出過努力。P3P(the Platform for Privacy Preferences)就是成果之一，是該組織制訂的一項關于隱私的標準。P3P是一種可以提供這種個人隱私保護的策略，使用戶可以瀏覽網頁時，選擇是否被第三方收集并利用自己的個人信息。如果網站不遵守P3P標準，那么有關它的Cookies將被自動拒絕，并且P3P還能夠自動識破多種Cookies的嵌入方式。

此外，W3C還發起了Do not Track(DNT)的保護隱私運動。在支持DNT功能的瀏覽器中，用戶可以選擇開啟該功能，借以保護自己的行為不被商業網站所追蹤。在今年的RSA大會上也被提及，倡議更多的瀏覽器開發廠商支持這一功能，以便更好地保護用戶隱私。當用戶在瀏覽器中選擇開啟DNT功能時，瀏覽器會在 HTTP通信時添加一個“頭信息”(headers)，這個頭信息向商業網站的服務器表明用戶不希望被追蹤，遵守該規則的網站就不會追蹤用戶的個人信息來用于更精準的在線廣告。

當然，如果用戶選擇了不上傳Cookie文件，而網站還是獲取到了，這就是網站的不道德行為甚至是違法行為，也是很明顯的在侵犯用戶隱私。

如果沒有Cookie

事實上，很多互聯網公司都未曾積極響應W3C發起DNT的隱私保護運動。其原因也并不只是盈利的問題，而是一旦沒有或者全部禁用了Cookie，互聯網行業的運營模式將產生巨大的變革。如上所說，廣告的精準投放，或者說定制化投放，很大程度上依賴于對Cookie數據的分析，一旦停止Cookie的上傳，禁止網站對用戶的訪問進行跟蹤，當前的廣告投放精準度勢必會受到致命威脅。

然而，在用戶端還存在另一個問題。當用戶的訪問行為不再能被追蹤，網站也將不能對于用戶的歷史訪問來向用戶定制化呈現頁面內容，其訪問體驗也將大打折扣。當用戶的訪問行為不再能被網站追蹤到之后，用戶可能再也看不到“猜你喜歡”或者“推薦閱讀”之類的信息。而對于此類信息的好惡，也是因人而異。就像每個人對于隱私的定義不同一樣。

作為互聯網公司，不能做Cookie收集、分析，也就無法了解用戶的需求，無法對用戶群進行分析，現有的廣告投放系統將不再能提供很高的有效性，而廣告投放又是互聯網公司實現盈利的重要因素，所以整個互聯網產業模式也將產生很大的改變。

當然，上面所說只是假設，真正的巨頭公司不會坐以待斃。一旦強制不使用Cookie，巨頭們也會使用別的技術來實現與Cookie相似或者更高級的功能。而他們所需要做的，就是通過修改用戶條款的方式通知用戶，但是又有多少用戶會仔細閱讀那些紛繁冗長的條款呢?

即使沒有Cookie，隱私問題也依然存在。近日360安全軟件頻頻被揭露上傳用戶文件的事件。而此類事件也勢必會發生在其他人們常用的軟件上。再加上各種病毒、木馬的肆虐，以及XSS(跨站點腳本攻擊)、CSRF(跨站點請求偽造)等等利用Cookie的黑客攻擊手段。因此，用戶的隱私問題，絕不是一個Cookie這么簡單。

結束語

當然，對于Cookie的態度，公司和個人用戶都應該重新審視。不能認為Cookie的存在時間長，推動了互聯網商業模式的發展，就能夠被用來收集用戶的各種資料。由于Cookie被濫用，確實在某種程度上危及了個人的隱私安全。瑞典已經通過對Cookie立法，要求利用Cookie的網站必須說明其屬性，并且指導用戶如何禁用Cookie。而我國還并沒有在這方面有相關法律法規對Cookie的使用進行限制。在個人用戶方面，如果認為自己的訪問行為等等信息均為個人隱私，完全可以在瀏覽器中開啟DNT功能，或者在關閉瀏覽器時清除Cookie。

媒體也需要扮演好信息紐帶的橋梁，盡量減少信息不對稱的情況。盡量做到報道如實，中立，全面，讓用戶有較好的認知。博客中國創始人方興東也曾公開表示，媒體報道對Cookie的片面化、簡單化、妖魔化的報道，引起用戶無謂的恐慌，不利于問題認清與解決。Cookie的有效合理使用，是互聯網的優勢所在，也是互聯網的價值，不能把Cookie問題簡單化絕對化，要做的是防止濫用，而不是不用。

對于這些Cookie信息，公司或網站需要很妥善地處理和保管。如果需要分析，也應只分析具有統計學意義的相關數據，比如年齡、性別、地域、職業等等，而對于涉及個人姓名、詳細住址、證件號碼等等的數據，應予以刪除處理。因此，對于Cookie來說，要適用而不是濫用。要做到這點，需要的不僅是法律法規的約束，更加需要提升公民和從業者的約束力以及道德修養。