【律师视点】周杨：GDPR实践笔记 | GDPR辖内，cookie应何去何从？

周  杨

北京德和衡律师事务所合伙人律师

GDPR于5月25日生效，而笔者及团队为GDPR的研究已经持续了两年，近两个季度，笔者及团队在GDPR实践的路上遇到了诸多难题，在GDPR的具体项目中，我们也正在由「律师」向「码农律师」高速进化。

本文为笔者及团队成员在跟进GDPR项目中的学习笔记，请码农朋友们多多指点迷津，也欢迎律师同行们多多交流。

Cookie是什么，运营商的表述「举重若轻」

按照各大网站在隐私政策中的描述，cookie是由运营方服务器发送到客户端并保存在客户端的「小数据文件」，旨在「为您提供个性化服务」、「提升您的用户体验」。通常可见国内隐私政策中的对cookie的描述大概是以下样式：

为实现您联机体验的个性化需求，使您获得更轻松的访问体验。我们会在您的计算机或移动设备上发送一个或多个名为Cookies的小数据文件，指定给您的Cookies 是唯一的，它只能被将Cookies发布给您的域中的Web服务器读取。我们向您发送Cookies是为了简化您重复登录的步骤、存储您的购物偏好或您购物车中的商品等数据进而为您提供购物的偏好设置、帮助您优化对广告的选择与互动、帮助判断您的登录状态以及账户或数据安全。

诚然，我们可以理解按照目前的法律原则要求，隐私政策必须以便于用户理解的简明语言撰写和表述，然而，类似的描述样式实在过于「举重若轻」，令人无法真正了解cookie的神通广大。根据维基百科的定义，cookie是「指某些网站为了辨别用户身份而储存在用户本地终端（Client Side）上的数据（通常经过加密）」，它的核心作用分为两类：

(1)     记录用户的登陆凭据；

(2)     记录用户在页面中的行为。

显而易见，由于cookie可以记录用户在页面中的行为，并且发送到服务器端，因此cookie实际上成为了网站运营方监控、跟踪用户活动记录的重要技术，也成为了隐私捍卫者的一大敌人。在GDPR（近期网红，指《欧盟一般数据保护条例》）之前，欧盟公布的《隐私和电子通讯指令》（EPD）早已特别规定了cookie的使用。EPD最终停更于2009的修订版中，最终严格要求网站运营方必须获得用户同意才可以通过cookie收集用户信息。一位名叫David Naylor的计算机工程师显然对这种严苛且对于用户极不便利的要求感到很生气，因此他专门设计了一个测试网页来展示严格遵循EPD要求时对用户带来的不便（当然也同步展示了自己的不满）。得益于David Naylor的气愤，非工科背景的我们从这个网页中生动形象地了解到了cookie所收集的信息范围。截图恭请共享：

弹窗1-需要单独点击同意

我们使用了Google Analytics（Google分析），Google分析需要利用cookies追踪您访问我们网站的各方面信息，包括您的地理位置，您的访问途径，访问范围，访问时间，访问的页面及您在本网站上的搜索记录。您同意我们存储这些信息吗？

弹窗2-需要单独点击同意

我们将使用Cookies来存储您访问本网站期间的偏好设置，例如字体大小以及有关注释是否属于无用信息，您同意我们存储这些信息吗？

弹窗3-需要单独点击同意

我们存储您的IP地址用于欺诈检测和防范，我们会与第三方SEO供应商合作为您提供更高品质的服务，并持续为您提供满意的服务。您同意我们存储这些信息吗？

弹窗4-需要单独点击同意

我们使用cookies来记录您与本网站的交互情况，例如您的登录详情，过往发布的评论和您喜欢的头像。您同意我们存储这些信息吗？

弹窗5-需要单独点击同意

我们使用cookies 作为“点击追踪”系统的一部分，以识别网站的流行导航元素，并会在您点击了网页上的哪些位置，我们基于此为您提供更好的用户体验，并且这会支持我们的网站设计师来表述其困惑——谁会去点击“那”呢？毕竟“那”看上去都不像是个按钮或是链接？所以……得傻成啥样才会那么做呢？您同意我们存储这些信息吗？

弹窗6-需要单独点击同意

我们网站上会有来自于Google 的第三方广告，这些广告会使用cookies来提高您看到的广告的准确性（没错，这就是传说中的精准营销），并会通过您的性别、购物偏好，鞋子尺码、配偶生日和你的头发颜色来吸引您继续去访问下一个网站的垃圾内容。您同意我们存储这些信息吗？

弹窗7-需要单独点击同意

我们会为您提供第三方网站的链接，这些第三方会使用cookies记录您是否点击了网站上的广告，从而让我们赚到足够的钱可以去买贵贵的裤子并做个华丽的发型。您同意我们存储这些信息吗？

弹窗8-需要单独点击同意

我们网站上展示的帖子有时候会含有来自第三方网站（例如YouTube）的视频，这些视频会使用cookies记录您是否会对“猫的诱惑”或者“人滑到树里去了”感兴趣。难道您不同意我们不保存这些信息吗？

弹窗9-需要单独点击同意

我们会使用cookies（饼干）那是因为它实在是太好吃了，还可以粘上巧克力来吃……吧唧~吧唧~吧唧~~。您同意那些饼干很好吃吗？

弹窗10-需要单独点击同意

我们会使用cookies来记录您是否同意此次访问并在您未来的访问中查看这些cookies。嗯？

弹窗11-需要单独点击同意

我们使用cookies来追踪律师，希望律师们能暂时忘掉这段不一定能够反应实际立法事实的恶作剧，这些事实毫无疑问是无害的啦，并且还被资本主义走狗和反欧盟的流氓阴谋集团给夸大了啦。自由贸易议程实际上对保护隐私以防其被滥用的影响真的很小。或者，这将不可避免地发展为一个意想不到的后果，也是一个恶作剧诉讼者合法竞争或关闭一些有趣和有用的营销渠道的机会，因为您个人的不喜欢这些。难道您不不不同意我们不存储这些信息吗？ 不。（拿去学习不用谢）

Cookie早已引起监管关注，但GDPR令它前途更加渺茫

如前所述，在GDPR之前，欧盟公布的《隐私和电子通讯指令》（EPD）早已特别规定了cookie的使用（EPD中对于Cookie的使用主要规定于第5（3）条）。也就是说，cookie早已引起了欧盟监管当局的关注。但是，cookie无疑具有提高用户体验，推动更准确有效的广告营销，甚至具有验证用户身份等风险控制等积极作用，因此，在EPD修订的数个版本，明显透露了监管者对于Cookie的复杂心态：

❖在2002年版本的EPD中，法规条目主要强调相关主体在通过cookie收集用户信息时的透明性，以及用户在面对cookie时的拒绝权，即用户在没有明确拒绝的前提下，相关主体即可通过cookie收集用户信息；

❖2009年版本的EPD中，该法规条目被修订为强调用户的事先同意，即相关主体仅在取得用户事先同意的情况下，方可通过cookie收集用户信息——上文中测试网页的工程师就是被这次修订所激怒的；

❖欧盟的立法者在认识到2009版本的EPD中对cookie的要求过于严苛后，曾以条文说明的方式对用户获取同意的行使做出了一些缓和。即：提示义务及提供拒绝权的义务可以在如下情况得到免除：该存储或是读取是为了满足订阅者或者用户的某种明确提出的特别服务要求。在技术上具有可行性及满足效率原则的前提下，在符合GDPR中的相关条文的前提下，用户同意进行相关处理的表示可以通过在浏览器或者其他应用端作出恰当设置的方式完成。

但是，29条工作小组（GDPR中的欧盟数据委员会前身）认为，在追踪信息时，仍然需要获得用户确认的事先同意。但是，一旦用户同意了追踪，之后的每个单独的追踪不再需要得到用户同意。但是必须周期性地让用户重复同意选择。

可见，在GDPR之前，监管者的立法着眼点存在一个重要的局限，即仅针对cookie技术本身实施监管，因此反复讨论cookie技术运用的过程与细节。

而如今，GDPR的立法者改变了视角，他们跳出了局限于cookie本身的讨论，而从cookie运用中收集的数据的结果出发对数据的使用进行监管。这一监管思路，体现在GDPR创新规定的「数据画像」（profiling）条款中。

根据GDPR的表述，「数据画像」是指对个人数据采取的任何自动化处理的方式，包括评估某个自然人特定方面的情况，尤其是为了分析和预测该自然人的工作表现、经济状况、健康、个人喜好、兴趣、可信度、行为举止、所在位置或行迹。这个概念广泛的外延几乎囊括了目前的cookie收集数据的全部目的。换言之，cookie若需要继续使用，则运营方需要遵循GDPR对数据画像的相应规定。

作为兼具「最高立法水平」、「最严处罚」、「最广管辖」的GDPR，其对cookie的规制显然将令全球范围的cookie技术应用者感到毛骨悚然和一片茫然。

在GDPR辖内，cookie将面临前所未有的「同意」困难

不得不说，GDPR确实具备了高水准的立法水平，立法者也显示出了卓越的前瞻性和对现有信息技术的熟悉。在GDPR的具体实施项目中，我们也在同步学习着cookie的知识，同时我们了解到，在cookie之外，早已出现了收集和监控用户行为的其他技术方案，例如，单点登陆，即基于对账户的活动行为记录，将同一账户适用于多个网站登陆的模式实现用户数据收集和画像；例如，利用向网页埋入代码的形式，收集用户的活动记录。后者经常被利用于与cookie结合收集并非自身用户的行为信息，例如央视曝光的网易贩卖用户信息的新闻，其本质就是曝光了网易允许第三方向网易网站页面植入代码的行为。

因此，通过对最终数据处理方式来规制具体技术是GDPR巧妙的明智之举。凡是需要对数据进行「数据画像」利用的，都应遵循GDPR中对「数据画像」所涉数据的收集规则，即仅在符合以下三种情形下的数据画像活动才是合法的（GDPR第22条），且还应针对不同情形向数据主体提供申诉渠道：

❖基于数据主体明确同意；

❖基于履行合同的必要；

❖基于欧盟或成员国的法律规定。

现实的情况是，cookie所收集的大部分的信息只能通过获得用户的「同意」来获取，仅有身份安全验证、防止交易欺诈等小部分信息可以适用「履行合同必要」的合法事由。而GDPR对「同意」的严格要求早已众所周之。

GDPR 第7条 同意的条件

1.当数据处理必须基于数据主体的同意时,数据控制者应当证明数据主体已经对处理其个人数据的行为予以同意。

2.如果数据主体是通过书面声明的方式表示同意的,而该声明还涉及其他事项,则同意在形式上应当满足:明显区分于其他事项,以明了且易获取的形式,使用清楚简单的语言。该声明中任何与本条例规定相违背的内容不发生法律约束力。

3.数据主体有权在任何时候撤销其同意。该撤销不具有溯及力。在作出同意的意思表示之前,应将上述事项明确告知数据主体。撤销同意和作出同意应一样容易。

4.在评估时应当尽最大可能考虑数据主体的同意是否是基于自由意志作出,尤其是在包含服务条款的合同的履行是以数据主体同意其个人数据被处理为条件,而该数据处理又不为履行合同所必要。

坦率地说，在这种高标准的严要求下，取得「同意」将搭载高昂的合规成本，除了跟进与「同意」相随的各类后续用户权利实现保障外，用户可能将点击数倍于上文工程师测试页面中的「确认」按钮，甚至于发布单列的书面声明同意——传统的统一概括的同意具有极高的风险，现实中的情况是，在GDPR正式生效的第二天，Google 与 Facebook 就被奥地利的隐私权倡议组织“None of Your Business”控告，核心事由即为「Google 及 Facebook 强迫用户签署同意用户数据被搜集及处理的条款」。

可是，在追求高效、便利的大数据时代，在cookie及其同类技术已经极为普遍的现实下，类似的要求确实令人感到与时代大潮背道而驰，可是，在用户个人数据被滥用的当下，面对用户对自身数据的流向毫不知情的无助，以及数据被屡屡用于违法犯罪行为的情形，我们仍只能期待从政府高度入手监管。无论是从数据控制者的角度，还是从监管者的角度，还是从数据主体广大用户们的角度，我相信最终的解决方案，一定是某种互利共生的平衡，而绝不是网络主权或人权中的无情厮杀。

或许您还想看

【律师视点】周杨：网络用户协议基本释疑

【律师视点】周杨：数据合规律师对Facebook数据泄露事件的经验总结

■ 作者简介

周杨，北京德和衡律师事务所律师，合伙人，2012年之前在内资知识产权律师事务所担任公司部律师及负责人，主要负责高新技术、知识产权相关的企业法律事务，处理事务包含企业法律风险合规处理、投资并购及争议解决。2012年之后在国内著名互联网企业360专业从事产品合规及争议解决工作，并在后续执业中专注于互联网高新技术企业及前沿领域研究，擅长领域主要包含数据安全保护、信息安全、电子商务、科技金融、网络文化、软件研发、版权运营。

■ 联系方式

电话：18610123230

邮箱：zhouyang@deheng.com

✦本文仅代表作者观点，如需转载、节选，请在文首注明作者及来源。

更多内容，敬请关注：德衡商法网

www.deheng.com（英文）

www.deheng.com.cn（中文）

德衡律师集团全国免费服务热线：

手机拨打：4001191080

座机拨打：8008600880