欧洲下一个重要项目之一是“ ePrivacy”的扩展(除其他外,它规范了网站上cookie的使用)。尽管欧盟立法者仍在进行电子隐私权改革,但电子隐私权法规有望更新的项目之一是使用“ cookie墙”。最近,奥地利和英国的数据保护机构(DPA)采取了涉及使用Cookie墙的执法行动,尽管有不同的发现和结论。

饼干墙

Cookie墙会阻止个人访问网站,除非他们首先接受Cookie和类似技术的使用。当前的《电子隐私权指令》不禁止使用Cookie墙。

但是,欧洲数据保护委员会(EDP​​B)(第29条工作组的继任者)发表了不具约束力的意见,即应根据新的欧盟ePrivacy规则禁止使用cookie壁。的 EDP​​B争辩 Cookie墙违反了《通用数据保护条例》(GDPR):“为了按照GDPR的要求自由给予同意,不得以用户同意处理个人数据或处理与终端设备相关或由其处理的信息为条件来访问服务和功能。最终用户,这意味着应明确禁止使用cookie墙。”

但是,围绕即将到来的《电子隐私法规》的谈判仍在进行中,因此目前尚不清楚在最终版本中是否明确禁止Cookie墙。

事实

欧洲最近发生的两起与报纸在线发行有关的案件:奥地利报纸 er标准 在奥地利和美国 Washington 发布 in the 英国.

对于每份在线报纸,都会为个人提供带cookie的免费访问选项或不带cookie的付费访问选项的选择。没有cookie,没有免费访问选项。

奥地利人DPA’s view

奥地利人DPA dismissed a complaint in November 2018 by an individual who had argued that er标准的Cookie墙使该个人的同意未得到自由授予,因此根据GDPR第7(4)条无效。

奥地利人DPA indicated that cookie walls are not prohibited; er标准的Cookie墙提供了一定程度的选择,可以自由选择是否同意。首先,个人完全掌控局势– er 标准 仅在个人做出有意识和明智的决定后允许放置cookie之后放置cookie。其次,个人可以通过进入付费订阅或退出而拒绝同意 er 标准的网站。

此外,奥地利DPA指出,应考虑不使用cookie的付费访问选项的价格。如果价格太高,则表示已支付的选择权会成为拒绝同意Cookie的负面结果,这可能会使个人的同意无效;在这里,奥地利DPA认为 er标准的价格“不会过高”。实际上,同意Cookie会对个人产生积极的结果,因为它们可以无限制地访问报纸的文章。

但是,奥地利DPA并未讨论如果个人撤回对Cookiewall的同意会发生什么情况。这表明在此特定情况下,无需担心个人是否可以有效地撤回同意。 (实际上,当个人撤回同意时, er标准的网站只是再次显示Cookie墙。)

英国DPA的做法

根据一份报告声明,可用 这里,英国DPA –信息专员办公室(ICO)–对奥地利DPA采取了截然不同的方法。据报道,到2018年底,ICO已向 华盛顿邮报。鉴于 发布 ICO在美国以外的地区运营,因此不在ICO的直接管辖范围内,因此ICO只能发布声明(而不是触发任何执法行动)。尽管如此,尽管ICO与执法行动的立场不同,但ICO的声明还是一个很好的试金石,检验ICO如何对带有cookie墙的英国网站做出反应。

ICO据称已获得了ICO的同意。 发布的读者应与他们访问 发布 网站,因为接受Cookie是访问文章的唯一方法(除了支付月费)。根据这种设置,ICO得出以下结论: 华盛顿州 发布 违反了GDPR原则,因为它没有给个人“真正选择和控制如何使用其[个人]数据。”根据ICO的说法,这意味着不能随意给予cookie同意,因此根据GDPR第7(4)条无效。

组织应如何应对?

在ePrivacy及其不断更新的背景下,关于禁止cookie壁垒尚无明确的监管共识。英国和奥地利的DPA采取的不同方法并不表示DPA之间在Cookie壁对同意的影响上达成一致(甚至是协调)。令人惊讶的是,鉴于这恰恰是期望对GDPR的解释进行协调的领域。因此,EDPB介入并弄清这些差异会有所帮助。

同时,组织应密切关注ePrivacy的发展,尤其是监视有关潜在禁止cookie墙或其他cookie行为的进一步发展。