歐盟視角下Cookies與電子隱私保護機制

[摘要]當(dāng)前互聯(lián)網(wǎng)企業(yè)通過Cookie技術(shù)在用戶終端進行信息讀取和收集操作，近年來，歐洲一些國家在Cookie領(lǐng)域?qū)γ绹ヂ?lián)網(wǎng)企業(yè)采取了一系列懲罰措施，并從立法層面上推出了《電子隱私條例》草案，作為《通用數(shù)據(jù)保護條例》（以下簡稱為“GDPR”）和2002/58/EC的補充和更新規(guī)則，該草案計劃于今年年底前獲得批準(zhǔn)并生效①。本文將在此背景下對歐盟范圍內(nèi)的Cookie和電子隱私保護機制進行探討，以為我國相關(guān)機構(gòu)提供借鑒和應(yīng)對策略。

[關(guān)鍵詞]Cookie；電子隱私；GDPR；電子隱私條例

[中圖分類號]TN915.08 [文獻標(biāo)識碼]B

[DOI]：10.20122/j.cnki.2097-0536.2023.07.009

一、歐盟關(guān)于Cookie技術(shù)使用的法規(guī)與原則

Cookie是一種存儲在互聯(lián)網(wǎng)設(shè)備上的微型文本文件，具有眾多功能，包括追蹤用戶在網(wǎng)頁上的行為、記錄用戶輸入的信息和驗證訪問在線服務(wù)的用戶身份[1]。如果用戶訪問的網(wǎng)站存儲了Cookie，則稱為第一方Cookie。但當(dāng)用戶瀏覽網(wǎng)站時，存儲Cookie并非僅限于主機域。除了主機域，其他域也可以存儲Cookie，這些則被稱為第三方Cookie。有些網(wǎng)站甚至允許數(shù)量夸張的廣告網(wǎng)絡(luò)的第三方Cookie在用戶設(shè)備上存儲[2]。此外，根據(jù)Cookie在關(guān)閉瀏覽器后立即到期或持續(xù)存在，可以將其分類為會話Cookie和持久Cookie[3]。隨著Cookie在用戶行為追蹤、個人信息分析以及行為廣告投放等方面的廣泛應(yīng)用，大眾擔(dān)憂個人數(shù)據(jù)可能會被收集并濫用，用于與原始收集目的不一致甚至相沖突的其他用途[4]。同時，由于大部分的數(shù)據(jù)處理過程都在后臺進行，并且在線追蹤過程常常缺乏透明度，增加了用戶因自身行為和喜好被相關(guān)機構(gòu)過度分析而被操控的可能性[5]。

在全球范圍內(nèi)，歐盟的法規(guī)體系對于Cookie的管理在形式上為互聯(lián)網(wǎng)用戶提供了嚴(yán)格且保護性的法律框架。目前，2002/58/EC號指令以及其在2009年的修訂版2009/136/EC號指令（以下統(tǒng)稱為“電子隱私指令”）是主導(dǎo)Cookie使用的主要法規(guī)。電子隱私指令的核心目標(biāo)是確保電子通信的隱私權(quán)，其中包含了基于知情同意原則的個人信息處理規(guī)定。根據(jù)電子隱私指令的第5.3條款[6]，網(wǎng)站運營商在使用Cookie存儲和/或訪問用戶計算機上的數(shù)據(jù)之前，必須取得用戶的知情同意。唯一的例外是技術(shù)性Cookie，這些Cookie的使用是“僅為了在電子通信網(wǎng)絡(luò)上進行通信傳輸，或者在提供用戶明確要求的信息社會服務(wù)時是絕對必要的”。2009年引入的修訂條款從允許用戶選擇拒絕的模式，轉(zhuǎn)變?yōu)楸仨毇@取用戶同意的模式。這意味著除非使用是直接與提供的服務(wù)相關(guān)否則任何使用Cookie的行為都必須得到用戶的同意[7]。

同時，GDPR進一步規(guī)定了作為處理個人數(shù)據(jù)基礎(chǔ)的同意原則。在GDPR中，“同意”被定義為數(shù)據(jù)主體通過自由、明確、知情和特定的行為表示其意愿，這種表示應(yīng)針對第6條下的一個或多個具體目的。同意應(yīng)“通過明確的積極行為表達，明確表明數(shù)據(jù)主體同意處理與其相關(guān)的個人數(shù)據(jù)”[8]。這種明確的同意可以隨時被撤銷。如果數(shù)據(jù)處理有多個目的，那么每一個目的都應(yīng)獲得單獨的同意。由于Cookie的使用在很大程度上取決于用戶首次訪問網(wǎng)站時所接收到的橫幅通知，因此這些橫幅要求以透明和簡潔的方式告知用戶Cookie的存在、用戶的相關(guān)權(quán)利，并請求用戶對其安裝進行同意。然而盡管GDPR對使用Cookie有明確規(guī)定，但許多在線數(shù)據(jù)控制者仍默認(rèn)啟用預(yù)選復(fù)選框，導(dǎo)致用戶在默認(rèn)情況下接受其設(shè)備上的第一方或第三方Cookie。這種做法并不被司法實踐所認(rèn)可。不僅如此，用戶也必須被告知Cookie的持續(xù)時間和第三方可能訪問其數(shù)據(jù)的情況，因為這兩點都是處理個人數(shù)據(jù)的具體方式。值得注意的是，在規(guī)范Cookie技術(shù)方面，電子隱私指令所發(fā)揮的約束作用要高于GDPR，這不僅僅是由于兩部法律所調(diào)整的重點不同，還體現(xiàn)在具體監(jiān)督與執(zhí)行層面上的差異。在構(gòu)建GDPR框架時，為防止因涉及多個歐盟國家的個人數(shù)據(jù)處理而導(dǎo)致監(jiān)管機構(gòu)行動分散，制定者們引入了一種被稱為“主管機關(guān)主導(dǎo)”或“一站式服務(wù)”的監(jiān)管處理機制[9]，使得數(shù)據(jù)處理只需同一個主要監(jiān)管機構(gòu)進行交涉，極大減少了繁冗的程序問題，但在實際操作中逐漸受到了各國及研究學(xué)者的批評[10]。在電子隱私領(lǐng)域中，電子隱私指令框架并沒有“一站式”處理的概念，有關(guān)于電子通信領(lǐng)域中的隱私保護規(guī)范仍然由歐盟各成員國自行決定，為處理相應(yīng)問題留有了足夠的余地。

二、代表國家法國涉及Cookie技術(shù)采取的懲罰措施及其司法實踐

正如前文所述，歐盟各國在電子隱私指令框架內(nèi)對Cookie技術(shù)的使用規(guī)范享有一定的自主權(quán)，其中法國的情況最為顯著。在2020年和2021年，法國對谷歌及其母公司Alphabet和臉書公司的不當(dāng)使用Cookie技術(shù)進行了調(diào)查，并根據(jù)調(diào)查結(jié)果，對三公司施加巨額罰款。處罰的原因主要集中在三個方面：首先，是否已經(jīng)正確地告知用戶其設(shè)備上即將放置的跟蹤器的用途；其次，用戶是否有實際的權(quán)力拒絕這些跟蹤器；最后，用戶如何實現(xiàn)這一拒絕權(quán)，也就是說，Cookie通知橫幅的設(shè)計是否不當(dāng)，導(dǎo)致拒絕跟蹤器的過程比接受跟蹤器更為復(fù)雜。

（一）關(guān)于用戶是否已經(jīng)正確被告知將在其設(shè)備上放置的跟蹤器的目的

根據(jù)法國《數(shù)據(jù)自由法》第82條，所有電子通信服務(wù)的用戶都應(yīng)被“清楚和全面地告知”有關(guān)讀取和寫入其終端設(shè)備操作的目的，以及他們反對這些操作的手段[11]。然而，其時谷歌公司只是在法國版搜索引擎頁面的底部設(shè)置了一個簡單的信息橫幅，即使用戶點擊了“提供”按鈕，他們也無法獲得關(guān)于Cookie隱私規(guī)則或拒絕在其設(shè)備上安裝Cookie的準(zhǔn)確信息。此后，谷歌改用了彈窗形式向用戶解釋Cookie的使用。然而，法國數(shù)據(jù)保護監(jiān)管機構(gòu)國家信息與自由委員會（以下簡稱“CNIL”）和法國國務(wù)委員會仍認(rèn)為這種方式不夠充分，因為用戶需要采取額外的操作才能了解詳細(xì)信息。最后，谷歌提供了直接描述追蹤器使用目的的彈窗，明確Cookie技術(shù)的六個目標(biāo)，即：確保服務(wù)正常運行、衡量受眾、提高服務(wù)質(zhì)量、傳遞廣告、提供個性化內(nèi)容和顯示廣告后，方滿足法律的要求。

（二）關(guān)于用戶是否有實際的拒絕權(quán)

在論證谷歌公司需要修改告知方式的同時，CNIL還發(fā)現(xiàn)，在橫幅通知出現(xiàn)時，一些廣告Cookie已經(jīng)被安裝在了谷歌公司用戶的終端設(shè)備上，這意味著用戶的選擇沒有得到充分考慮。這種做法顯然違反了法規(guī)。盡管谷歌公司曾試圖以Cookie適用的法律框架尚未鞏固為理由進行辯護，但這一論點被認(rèn)為是不充分的，因為即使CNIL的指南較新，這種違規(guī)行為也明顯直接觸及了現(xiàn)有的法律框架[12]。

（三）關(guān)于用戶如何實現(xiàn)拒絕權(quán)

第二種保障的是用戶享有拒絕權(quán)，第三種則是保障用戶在實現(xiàn)拒絕權(quán)時沒有受到設(shè)計因素上的阻礙。本案中，谷歌公司與臉書公司在Cookie通知上并未提供直接的、立即可用的拒絕選項，而是將拒絕選項放置在第二級菜單中，用戶需要激活多個選項并確認(rèn)操作。這種行為明顯違背了CNIL的指導(dǎo)方針，即用戶拒絕Cookie的難易程度應(yīng)與接受Cookie相同，最為便捷的做法就是在“接受所有”（Accept all）和“自定義”（Customized）選項旁增設(shè)“拒絕所有”（Reject all）選項。兩家公司針對此項指控，辯稱特定的電子隱私指令還是作為個人數(shù)據(jù)普通法的GDPR，都沒有要求在Cookie通知橫幅需要在第一層設(shè)置拒絕按鈕。雖然兩部法規(guī)中確實沒有明確詳細(xì)說明用戶界面中接受和拒絕按鈕的具體設(shè)計和位置，但總體原則強調(diào)了用戶有權(quán)給予自由、具體、知情和明確的同意。這通常被解釋為需要在接受和拒絕Cookie之間有一個公平和簡單的選擇。而兩家公司只提供第二級拒絕的選項，意味著用戶需要額外的步驟才能夠?qū)崿F(xiàn)拒絕權(quán)，這有可能被視為使用戶更難拒絕Cookie，從而阻礙了他們提供自由和知情同意的能力，這與GDPR的原則相悖。實踐中，一些數(shù)據(jù)處理者知道多元選項會對用戶產(chǎn)生實質(zhì)性的影響[13]。CNCL基于此理由對兩家公司的處罰，也得到了法國國務(wù)委員會的支持[14]。

三、歐盟電子隱私指令的發(fā)展動態(tài)以及對我國相關(guān)企業(yè)的啟示

2017年1月由歐盟委員會推出替代當(dāng)前電子隱私指令的《電子隱私條例》草案（E-privacy Regulation），旨在統(tǒng)一規(guī)范歐盟所有成員國在提供和使用電子通信服務(wù)期間進行的電子通信數(shù)據(jù)處理。原計劃與2018年5月的GDPR同時生效，然而由于大型科技公司激烈的反對與游說，談判的難度超出預(yù)期，批準(zhǔn)時間推遲到了今年年底前?！峨娮与[私條例》草案關(guān)于Cookie技術(shù)使用規(guī)范適用于所有類型的數(shù)據(jù)控制者，包括“Over-the-Top”（OTT）服務(wù)[15]。其中規(guī)定除非滿足第8條的例外情況，否則禁止使用Cookie。并且對于已同意數(shù)據(jù)處理的用戶，每12個月需要提醒一次他們有權(quán)撤回同意。此外，新規(guī)定似乎合法化了Cookie墻（Cookie Walls）的使用，即用戶在沒有選擇的情況下被迫接受Cookies，否則無法訪問網(wǎng)站。雖然歐洲數(shù)據(jù)保護委員會認(rèn)為Cookie墻與歐洲法規(guī)不兼容，但在理事會通過的文本中只要用戶能做出真實的選擇，Cookie墻是可以接受的[16]。除此之外，用戶可以通過瀏覽器設(shè)置同意使用Cookie，但是用戶直接聲明的同意始終優(yōu)先于通過瀏覽器設(shè)置表達的同意。

盡管《電子隱私條例》批準(zhǔn)生效時間未定，但是可以預(yù)見在歐盟范圍內(nèi)，對于Cookie技術(shù)更多將傾向于個人信息與知情同意權(quán)利的保護。我國相關(guān)企業(yè)在進行跨境數(shù)據(jù)業(yè)務(wù)時應(yīng)當(dāng)注意這種趨勢，嚴(yán)格符合歐盟及目標(biāo)國家的法律規(guī)范，避免出現(xiàn)經(jīng)濟損失。

注釋：

①歐盟將Cookie問題納入電子隱私（E-privacy）范疇，該概念首次正式出現(xiàn)在2002年的《關(guān)于在電子通信領(lǐng)域個人數(shù)據(jù)處理及保護隱私權(quán)的指令》（Directive on privacy and electronic communications，以下簡稱為“2002/58/EC指令”）中。該指令要求在訪問或存儲跟蹤器（Cookie）之前，必須向互聯(lián)網(wǎng)用戶準(zhǔn)確提供有關(guān)跟蹤器目的的信息，并征得用戶同意。只有那些唯一目的是通過電子方式進行通信或根據(jù)用戶明確要求提供在線通信服務(wù)的Cookie才可例外，而所有以廣告為目的的跟蹤器則需滿足信息和授權(quán)的雙重要求。

參考文獻：

[1]周黎，胡海濤.基于Cookie的單點登錄和網(wǎng)絡(luò)訪問控制研究[J].現(xiàn)代信息科技，2022，6（8）：75-78.

[2]呂芹.Cookie：技術(shù)無罪[J].互聯(lián)網(wǎng)周刊，2014（7）：28-29.

[3]Pamela Bump.The Death of the Third-Party Cookie： What Marketers Need to Know About Google's 2023 Phase-Out.[EB/OL].https：//blog.hubspot.com/marketing/third-party-cookie-phase-out

[4]梁雪松.基于Cookie的認(rèn)證機制及其安全性分析[J].通信技術(shù)，2009，42（6）：132-134+137.

[5]廖秉宜，張慧慧，劉定文.精準(zhǔn)廣告技術(shù)中的個人信息保護——基于國內(nèi)100個APP隱私政策中關(guān)于Cookie技術(shù)的文本分析[J].信息資源管理學(xué)報，2023，13（1）：103-114.

[6]Directive 2002/58/EC of the European Parliament and of the Council第5.3條[DB/OL].https：//www.legislation.gov.uk/eudr/2002/58/article/5

[7]Information About Our Use of Cookies.[DB/OL].https：//www.woflaw.com/site/help/privacy_help.html

[8]通用數(shù)據(jù)保護條例第24條.[DB/OL].https：//gdpr-info.eu/art-6-gdpr/

[9]One Stop Shop （OSS）Cross-border processing and the one stop shop.[DB/OL].https：//www.dataprotection.ie/en/organisations/international-transfers/one-stop-shop-oss

[10]Joe Jones.Practical considerations from EU enforcement： One-stop shop[DB/OL].https：//iapp.org/resources/article/practical-considerations-eu-enforcement-pt2/

[11]Loi n 78-17 du 6 janvier 1978 relative à l'informatique， aux fichiers et aux libertés第82條[DB/OL].https：//www.legifrance.gouv.fr/loda/article_lc/LEGIARTI000037813978

[12]France fines Google $120M and Amazon $42M for dropping tracking cookies without consent[EB/OL].https：//techcrunch.com/2020/12/10/france-fines-google-120m-and-amazon-42m-for-dropping-tracking-cookies-without-consent/

[13]Martin Degeling， Christine Utz.el.We Value Your Privacy ... Now Take Some Cookies：Measuring the GDPRs Impact on Web Privacy[DB/OL].https：//arxiv.org/pdf/1808.05096.pdf

[14]Advertising cookies： Google fined 100 million[EB/OL].conseil-etat.fr/en/news/advertising-cookies-google-fined-100-million

[15]ScOpe Of Application Of The E-Privacy Regulation[DB/OL].https：//cms.law/en/deu/insight/e-privacy/scope-of-application-of-the-e-privacy-regulation

[16]EU to Use ePrivacy and GDPR to Tackle Illegal Cookie Walls[DB/OL].https：//www.privateinternetaccess.com/blog/eu-illegal-cookie-walls/

作者簡介：石泉（1993.7-），女，漢族，黑龍江牡丹江人，博士，研究方向：國際經(jīng)濟法。