域外观察 | 法国个人信息保护机构大力支持关于追踪程序的新规,谷歌苹果因违反新规在法国遭受投诉
全文共计约3200字,细读时间约10分钟
作者|黄潇怡 信通院互联网法律研究中心研究员
王漪清 中国信息通信研究院互联网法律研究中心实习生
【关键词】在线跟踪程序、个人数据、同意有效性
4月2日,法国国家信息与自由委员会(CNIL)发布《Cookie和其他追踪程序的新规则:CNIL的支持和未来行动的评估》,回顾了从2020年10月1日新规发布至2021年3月31日过渡期结束期间,CNIL的监管重点(例如通过cookie和追踪程序收集的同意必须通过“明确积极的作为”来完成),并提出了未来的行动计划。与此同时,Google的Android广告工具因“在人们不知情的情况下,在人们的手机上创建广告标识符”而被投诉至CNIL。
一、背景
2013年,CNIL通过了1978年1月6日法律第32-II条提及的“cookies和其他追踪方式”的建议(2013-378号建议),以指导参与者实施关于Cookie的读写操作的法规。2018年5月25日,《通用数据保护条例》(GDPR)的生效加强了同意有效性的要求,使上述法规部分不适用。CNIL承诺分两个阶段对其进行更新,并于2019年7月4日审议通过,将修改后的1978年1月6日法律第82条中“有关cookies和其他追踪方式”的条款适用于用户终端的读取或写入操作;又于2020年9月17日对条款进行了调整,并于2020年10月1日发布《关于“Cookie和其他追踪程序”的修订指南及建议》(以下简称“新规则”),同时废除第2013-378号建议。适用规则的演变为互联网用户提供了一个转折点,将使他们能够更好地控制在线跟踪程序。新规则于2021年1月14日开始公开征求公众意见,并于2021年3月31日结束过渡期。
二、CNIL提供的支持以及未来的行动
(一)对接口和设置进行必要的改进,以支持用户进行明确的选择
新规则明确说明了适用规则的改进,使互联网用户能够更好地控制在线追踪程序。
1、互联网用户清楚了解追踪程序的用途
当用户必须做出选择时,必须将与追踪程序相关的所有用途呈现给用户。为了清楚和简洁起见,第一个描述可能仅限于对Cookie所追求的目标的简要介绍(第一级信息),然后进行更详细的描述(第二级信息)。
2、拒绝追踪程序应和接受它们一样简单
互联网用户必须通过明确的积极行为(例如,单击Cookie横幅中的“我接受”)同意追踪程序的存放。用户的沉默(可以通过简单的导航来实现)此后必须被解释为拒绝,任何对服务功能不必要的追踪程序都不能在用户的设备上存放。
CNIL还认为,在与“全部接受”按钮相同的级别和格式上集成“全部拒绝”按钮,可以让互联网用户有一个明确而简单的选择;也可以让用户通过关闭cookie横幅来拒绝追踪程序。另一方面,在实践中,仅仅在“全部接受”按钮之外,加上一个“配置”按钮,往往会阻碍拒绝,因此违反GDPR的要求。
(二)追踪程序墙(“cookie墙”)的法律适用问题
“Cookie墙”的做法实际上是以“接受追踪程序存放”作为访问站点的条件。在欧洲立法者最终明确这一问题之前,CNIL将依据现有的判例法文本,根据具体情况确定个人同意是否自由,以及“Cookie墙”是否合法。
CNIL将密切关注,当拒绝不必要的跟踪程序阻碍了用户进行访问时,是否存在真正令人满意的替代方案,特别是由同一服务提供商提供的替代方案。
cookie墙:州议会的决定和未来的电子隐私法规 CNIL认为,互联网用户在没有同意或撤回同意的情况下不应遭受不便;并认为,按照欧洲数据保护主管(EDPS)的原则,“cookie墙”的做法是非法的。 根据委员会2020年6月19日的决定,CNIL不能以“可能将数据用于广告目的”为条件,笼统和绝对地禁止访问网站。 最近,EDPS发表了一份声明,认为需要获得自由表达的同意,应该阻止服务提供商以同意作为获取服务的条件的做法。因此,应由同一服务提供商向用户提供公平的替代方案,无论业务部门和业务模式如何。 |
(三)CNIL的其他支持行动
CNIL的主要目标是让参与者全面持久的合规。因此,自2020年10月1日新规则发布起,CNIL首先征求公众意见,并优先采用循序渐进的方法来阐明适用的规则,CNIL采取了许多行动来支持相关专业人员。
1、面向私营和公共部门专业人士的十八场网络研讨会
在2020年11月至2021年2月之间,组织了18次网络研讨会,回答了来自私营和公共部门(出版商、广告商、电子商务、公共部门、解决方案提供商、行业协会等)的许多专业人员的法律和技术问题。通过网络研讨会,CNIL完成针对Cookie和其他追踪程序的常见问题解答。
2、CNIL网站上提供了许多实用的技巧和工具
CNIL在其网站上提供了许多实用建议和工具,尤其是:
旨在总结法规关键要素的实用手册;
评估程序:使提供商能够核实和衡量,其解决方案是否有效地免除了“同意”的要求;
Cookie Viz软件:可以在访问网站时查看第三方cookie;
教育性视频:介绍了互联网用户规则的变化。
3、针对公共和私人组织的宣传活动
CNIL已向近200个地方当局、政府部门和运营商发送了通知和电子邮件,鼓励他们对站点和移动应用程序进行审核,以便在必要时尽快采取措施来满足法规要求。
此外,CNIL还设立了一个观察站,通过监测互联网用户浏览的第一个页面上存放的cookie,定期对法国浏览人数最多的1000个网站上存放cookie做法进行分析。为了提高人们对不合规情况下可能产生的风险的认识,CNIL决定根据调查分析结果,致函约100个在法国拥有大量用户的网站,这些网站均未经用户事先同意就放置cookie。
(四)2021年的优先事项
CNIL将按照其指南中的概述以及GDPR的第4.11条和第7条中关于同意的规定进行检查,以评估与追踪程序有关的规则的适用性。
与“追踪程序”相关的互联网用户投诉越来越多,CNIL希望通过这一行动,满足对网络追踪越来越敏感的网络用户的期望。
如果通过检查或投诉发现存在违规行为, CNIL可以使用其“工具箱”中的所有手段,如有必要,可发布正式通知或公开制裁。
三、谷歌、苹果的广告追踪程序面临的投诉
法国CNIL在Cookie和其他追踪程序的新规则中明确声明,互联网用户必须通过明确的积极行为(例如单击Cookie横幅中的“我接受”)同意追踪程序的存放,用户的沉默此后必须被解释为拒绝。在此之前,CNIL针对Cookie和其他追踪程序还发布了《Cookie和其他追踪程序准则》《Cookie和其他追踪程序的建议》等文本,以便在线追踪程序合规,以及更全面的保护用户的相关数据权利。规则颁布后引发了大量针对Cookie和其他追踪程序违法行为的投诉,一方面说明了规则的实践性,另一方面也反映了社会公众保护个人数据的维权意识不断提升。
2021年4月7日,谷歌的安卓广告工具因“未征得用户的同意,违反了欧盟的规定”而成为法国隐私保护主义者马克斯·施雷姆斯的控诉对象。由施雷姆斯成立的组织 Noyb在4月7日的一份声明中指出,谷歌的软件在用户不知情的情况下在其手机上创建了一个广告标识符。该投诉被提交给了法国的数据保护监督机构 CNIL。该组织表示,“这些追踪程序显然需要用户同意,但谷歌“忽视了这一法律要求”。因此,Noyb对谷歌的追踪代码提出了投诉。谷歌的媒体代表没有立即进行回复。
施雷姆斯因与Facebook展开较量而声名鹊起,并称将寻找“影响更大甚至最大的案件”。2013年,施雷姆斯根据欧盟-美国安全港协议(EU-US Safe Harbour agreement)向爱尔兰数据保护机构投诉Facebook将欧洲公民的数据传输到其加州总部。施雷姆斯诉称,欧盟无法保证当公民的数据被转移到美国时其隐私同样受到尊重,因为美国的监管法律要求私人公司将数据交给政府。该案最终提交欧洲法院(ECJ),该法院在2015年最终否决了安全港协议。2016年,欧盟以数据充分性决定取代了安全港,该决定被称为"隐私盾(Privacy Shield)"。在施雷姆斯煽动的另一起案件之后,欧洲法院在2020年7月又推翻了“隐私盾”判决。现在,只有在数据主体同意或因履行合同需要传输的情况下,才能进行跨大西洋个人数据传输。
除此之外,Noyb还瞄准了苹果公司(Apple Inc.)的广告追踪。该组织在去年11月提交给西班牙和德国当局的投诉中指控,苹果在其设备上非法安装“广告商身份识别(Identification for Advertisers)”程序,这项服务帮助苹果和其应用程序在未经用户同意的情况下跟踪用户的行为和消费偏好。
Cookie和其他追踪程序追踪功能的日益强大,引发了互联网用户对其可能侵犯隐私、泄露个人信息的普遍担忧,各国家/地区也越加重视对cookie的法律规制。例如欧盟GDPR将 “可以直接识别到或结合其他信息间接识别到特定自然人的cookie数据”纳入个人数据的范围进行规制,欧盟及其成员国将在此基础之上不断完善和更新该领域的立法和实践。
敬请期待
6月24日:半导体作为自然资源——探索中美技术竞赛的国家安全层面
6月29日:欧盟明确社交媒体平台的个人数据保护要求
7月05日:欧盟高风险人工智能监管的五大亮点
7月09日:重返亚太将是美国主导全球数据治理规则的战略起点
中心研究|十问十答看懂我国个人信息去标识化规则中心会议|《个人信息保护法(草案二次审议稿)》研讨会顺利召开中心研究|商务部《阻断办法》解读与“国际阻断立法”比较研究
中心研究|数据治理 |数据价值演变下的个人信息保护:反思与重构
域外观察|数字市场秩序 | 欧盟公布《数字服务法案》和《数字市场法案》,单一数字市场促进举措大力推进
中心研究|数据跨境流动 |RCEP迈出全球数据跨境流动规则体系构建重要一步
中心研究|未成年网络保护 | 《未成年人保护法》修订:十大制度亮点推动未成年人网络保护进入新阶段
域外观察|欧洲议会发表了《欧洲数字主权》报告
中心研究|关于美国实体清单制裁事件有关情况的梳理
全文翻译|新加坡发布《个人数据保护法(修订)》草案
全球跨境数据流动国际规则及立法趋势观察和思考
域外观察│美国制裁华为相关法律问题梳理中心研究│个人信息保护中的“用户同意”规则:问题与解决中心研究│人工智能发展与个人隐私保护问题