正在进行中的欧盟Cookie传奇中的最新章节之一以欧洲联盟法院(CJEU)在 Planet49表壳。欧盟法院裁定:

(i)默示同意已不再足够,要求网站运营商寻求用户的积极同意,而这不能通过预先选中的框获得;和

(ii)仅在普通用户可以理解Cookie的功能及其功能的情况下,才能充分告知获得的任何同意。

考虑到欧盟过去几年的曲奇发展,此案的结果虽然至关重要,但并不令人惊讶。

2003年,当前的《隐私和电子通信指令》(电子隐私指令)生效后,Cookie和类似技术的使用不如现在那样先进,并且没有以相同的方式和如此复杂的方式处理用户的个人信息。 16年后,Cookie和类似技术已成为几乎每项业务必不可少的部分。公司通过此类技术了解到的用户兴趣和互联网行为的有用详细信息数量巨大,而且似乎是无限的。如您所期望的那样,随着技术的飞速发展,欧盟数据保护机构(DPA)已发现这些技术是数据金矿。

尽管欧盟对即将取代现有的《电子隐私指令(法规)》的即将到来的《电子隐私法规》的确切措词进行了反省,但一些DPA决定将事情交由他们自己处理。仅今年一年,整个欧盟的数个DPA都主动修订了其监管指南,这在一定程度上反映了其他方面,甚至比Planet49的裁决更进一步。

欧盟法院的Planet49裁决

联邦国防军和国防军Verbraucherzentrale Bundesverband eV v Planet49 GmbH(案例C-673 / 17) 专注于Planet49在其网站上投放的促销彩票。如果用户希望输入彩票,他们将看到两个复选框:(1)一个未选中的框,用于接收第三方广告;(2)一个预先选中的框,允许Planet49设置cookie来跟踪用户的在线行为。

欧洲法院决定:

  • A 预先选中的复选框不构成有效的Cookie同意。网站运营商必须从用户那里获得表明明确同意的肯定行为。
  • Cookie同意的要求与《欧盟通用数据保护条例》(GDPR), 不管 放置cookie时是否处理个人信息。
  • 网站运营商必须 通知用户:(i)Cookie保留期限
    (ii)是否允许第三方访问Cookie
    .
  • 必须向用户提供 清晰,全面的信息,使他们可以轻松确定提供同意的后果。该信息应该是明确的,并且对于普通的互联网用户来说应该是容易理解的,并且应该足够详细,以使用户能够了解Cookie的功能。

DPA作为辅助角色

如上所述,Planet49裁定是在几项DPA准则之后提出的。特别是,我们专注于 英国信息专员办公室 (ICO)和 法国国家情报和自由委员会 (CNIL)。两项准则均与Planet49裁决一致,即使判决中未明确提及。下表列出了两个DPA之间主要问题的简单比较:

  ICO CNIL
默许 默示同意已不再足够-Cookie和类似技术需要GDPR式同意。用户必须采取明确,积极的措施来同意非必要的cookie。预先打勾的盒子或继续使用网站是无效的同意。
饼干墙 限制访问用户以影响用户提供同意的Cookie墙可能无效。 Cookie壁与GDPR不兼容,因为它们不允许用户在拒绝/撤回同意的情况下进行选择而不会带来重大不便。
基本饼干 对于提供用户请求的服务所必需的cookie和传输信息所必需的cookie,不需要同意。
分析Cookie Google Analytics(分析)Cookie并非绝对必要,需要用户同意。 如果满足某些条件,包括但不限于将任何分析Cookie的寿命限制在13个月内,并且网站运营商进行了分析(因此只有第一方分析是,允许)。
同意书 使用Cookie的组织必须能够证明已获得同意的证据。
透明义务 用户必须获得与处理其个人信息时相同的信息,包括使用的cookie和使用目的。这扩展到第三方设置的任何cookie。 除了一般信息要求(例如,控制者的身份,Cookie的目的以及如何撤回同意)之外,指南还规定,使用Cookie的所有实体(包括第三方)的详尽且定期更新的列表。”收集同意书时,所有信息必须完整,可见并突出显示。

根据这两个DPA的指导,不难理解为什么不应将Planet49裁决视为一个离群值。实际上,许多监管机构已经提出了指导原则和建议,采取了与ICO和CNIL相似的立场,例如 荷兰语爱尔兰人 DPA。西班牙DPA(环保署)刚刚根据与Planet49裁决相同的依据对一家组织处以30,000欧元的罚款:隐含的cookie同意(如果未向用户提供选择退出cookie的选择)是无效的。 环保署罚款可能不是最后的罚款。

这并不是说所有DPA都相同。德国从未实施过电子隐私指令。但是,德国数据保护大会(这是所有德国DPA的组织) 2019年4月的指导,指出合法权益可用于某些非必要的Cookie,但前提是该使用与对用户隐私权的影响成比例。对于网站运营商而言,很难与ICO的观点一致,即主动同意是唯一的选择。

其他DPA仍在最终确定其指南中。例如,西班牙和丹麦分别表示计划在不久的将来发布修订的指南。目前尚不清楚该指南将带来什么,尽管预计DPA可能不会偏离其欧盟同行的上述方法。

总而言之,在这个主题上似乎没有实现整体协调,因此跨国组织将很难提出一种实用且经济高效的合规方法。

组织外卖

最新动态表明,网站运营商至少应考虑以下步骤:

  • 重新评估您的Cookie同意机制/工具,以检查是否没有预先选中或预先选择的同意框或滑块。用户必须能够主动打开/切换任何同意框/滑块,否则不认为它们提供了有效的同意。
  • 在Cookie横幅上同时包含“接受”和“拒绝”按钮,以便用户明确选择。欧盟机构(例如欧洲议会和委员会)都以这种方式设置了标语。请注意,如果用户单击“ x”按钮使标语消失,则并不表示他们已经同意。
  • 查看您的Cookie和类似技术的通知 确定:(i)是否充分涵盖了Planet49裁决中指定的信息(即保留期和第三方接收人),以及(ii)以清晰,简洁和用户友好的方式编写,本指南将理解一个普通的互联网用户(而不仅仅是起草它的隐私律师和IT团队)。

如上所示,DPA似乎不同意应将哪些Cookie排除在同意要求之外。同样,这导致每个欧盟成员国制定不同的规则,该法规将理想地解决这一情况。在此之前,您需要考虑是否要使用满足最严格DPA要求的泛欧洲方法,或者是采用更细微的方法。

永无止境的故事

我们不能忽视该条例正在进行的叙述,该条例最近经过一段时间的惯性后出现了一些动静。根据 法规的最新草案 (截至2019年10月),使用这些技术需要GDPR标准的同意。但是,跟踪受众测量(由第三方处理器执行),安全性,防欺诈和技术故障检测的技术也有例外。这些例外似乎采取了一种商业友好的方法,并且在某些方面并不像ICO的立场那样具有限制性。特别是,ICO指南明确将受众测量cookie定义为分析cookie。 (如上所述,ICO要求获得分析Cookie的同意。)

欧洲理事会计划在2019年12月之前完成草案定稿,并于2020年1月与欧洲议会进行讨论。

越来越明显的是,在接下来的几个月以及以后的几个月里,cookie将会成为越来越多的法规审查领域。对于某些行业,例如分析和广告,Planet49裁定和周围的DPA指南将最大程度地阻碍将来的产品开发和营销工作。出于简单的心理考虑,要求用户明确同意将导致Cookie接受率大大降低。普通用户更有可能永久关闭cookie横幅,而无需单击接受按钮或更改cookie设置。组织已向我们报告,对所有分析Cookie实施ICO的同意方法实际上已废除了其分析指标。因此,要求GDPR标准同意进行不侵犯隐私的分析,甚至可能不涉及个人信息的分析,似乎都太过分了。

Planet49裁决和DPA指南可能已经窃取了即将出台的有关有效同意的规定的规定。但是,GDPR和《条例》绝不妨碍组织开展业务或挫败整个行业。欧盟仍然有机会采取一种更实用,更友好的商业方式,而不损害个人的隐私权。因此,组织只能希望该法规的最终版本将免除那些不侵犯隐私的Cookie的同意要求,以协调各种DPA之间的意见冲突。当涉及cookie和类似技术时,这似乎是该法规要解决的最紧迫的悬而未决的问题。

因此,这还不是一个幸福的故事,并且情节变浓了。