如何设置一份符合GDPR的cookie隐私协议

数字时代，精准化定位、个性化营销，已经成为众多企业的品牌战略。企业希望通过细致的用户画像，制作富有特色的广告和产品文宣，从而在最大化地吸引消费人群的同时，降低广告成本。而这种细致的用户画像，离不开门户网站和营销平台通过cookie技术捕获和记录的大量用户个人信息。2018年5月，欧盟颁布实施《通用数据保护条例》（General Data Protection Regulation, GDPR），将“用户同意”作为企业收集消费者个人信息的前提条件之一。

作为捕获个人信息的重要技术，cookie需要怎样的隐私协议？本文将分析GDPR下的同意制度，并在此基础上，为拟订cookie协议提供合规建议。

一、GDPR下的同意制度

个人数据的处理，是指对任何可以识别为与某一特定自然人相关的信息所进行的收集、检索、传输、使用、删除等计算机操作。[1]GDPR第6条第（1）款规定，企业进行个人信息处理的充分条件之一是，获得用户的“同意”。[2]

具体而言，GDPR中的“同意”包括以下四大构成要件：[3]

• 意思表示自由（freely given），

• 针对具体事项（specific），

• 充分知悉个人信息使用的相关情况（informed），以及

• 授权表述清晰（unambiguous indication）。

1. 意思表示自由

自由，是指自然人能够根据其个人意志，在作为或不作为，某一特定作为或另一特定作为之间做出选择的权利。[4]在互联网中，“意思表示自由”意味着，基于个人信息的用户不能基于“欺诈”、“胁迫”，做出所谓的“同意”表示。为此，GDPR设置的标准是：“同意”的做出，是否以用户向企业或平台提供不必要的个人信息为条件。[5]换句话说，如果用户无法就其个人信息的使用进行自由的选择，或者在其个人信息被过度收集的情况下，做出“拒绝”的意思表示或撤回之前的“同意”表示，那么，该“同意”表示很可能无效的。[6]

2. 针对具体事项

在商业化使用个人信息的过程中，用户隐私的一大风险是：功能蠕变（function creep），企业在获得个人信息之后，未经用户同意，将该用户的个人信息用于其他目的，从而导致用户实际上对其个人信息的授权和使用失去掌控。[7]针对这一风险，GDPR第6条第（1）款第（a）项规定，用户给予同意的对象，必须是一项或多项内容“具体”的数据使用目的。[8]换句话说，企业在设置隐私协议时，必须明确其特定的使用目的；如果企业对特定信息的收集、使用有多个同时并存的目的，或者，企业希望在获得个人信息后，将其用于新的商业目的，企业必须就此另外获得用户的“同意”。例如，一家流媒体平台，希望根据用户的观看记录推荐新电影或新电视剧，为此，该流媒体平台必须就“收集用户观看记录并用于电影和电视剧推荐”设置隐私协议。如果，该流媒体平台，还希望将这些用户的观看记录用于“发送商业广告”，那么该流媒体平台需要就此另外设置隐私协议并获得用户的“同意”。如果企业存在与第三方合作共享个人信息的情况，那么对于第三方的个人信息使用目的变更，企业亦需征求用户同意。[9]

3. 充分知悉个人信息使用的相关情况

在决定授权企业使用个人信息时，用户通常需要审慎考虑，不可冲动行事或草率决定。而这种谨慎的前提是，用户需要“真正”理解其个人信息将被如何收集与使用。也就是说，在征求用户同意前，企业应当将与做出个人信息授权这一决定相关的关键信息充分告知用户。一般而言，在获取用户同意，收集个人信息前，企业需要告知：信息采集企业的身份信息、参与数据收集与使用的第三方的身份信息、被采集的个人信息的类型、采集个人信息的目的、被采集的个人信息将进行何种数据处理、用户的撤销权、使用自动化决策的相关情况、企业对个人信息所采取的保护措施，以及在该保护措施失效的情况下用户可能面临的数据传输风险。[10]

4. 授权表述清晰

“审慎考虑”所带来的第二大要求是，用户必须就其授权做出积极肯定的、明确无误的意思表示。而作为个人信息的收集方，企业则必须为用户对其个人信息授权的审慎行事提供便利和保障，不能利用互联网的特性或者人性的弱点，诱使用户做出所谓的“同意”表示。这就意味着，企业需要设计符合计算机互联网环境的进行清晰的意思表示的方式。数字时代，人们在使用电脑和手机时，需要点击大量的按键。这就使得一些点击和勾选会成为用户的习惯性动作或下意识操作，而非其真实的意思表示。例如，滚动网页，可能仅仅是出于浏览文字和图片的习惯；点击打开某一网页，可能仅仅是因为误触屏幕，等等。对此，企业在征求用户授权时，需要使用一些有别于常见的计算机或手机的使用操作的方式；同时，当用户基于计算机或智能手机进行个人信息授权时，企业不能对用户进行不必要的干扰。[11]

二、如何设置一份符合GDPR的cookie隐私协议

Cookie是一种收集特定用户在某一网站或应用平台上的浏览痕迹的技术。该技术允许网站在一段时间内“记住”用户的行为或偏好。企业可以在此基础上为每个用户建立个人档案，并利用这些用户行为和偏好的数据，进行定向营销。作为一种与“特定自然人”相关联的“网上标识”，cookie的使用需要遵守GDPR中有关个人信息收集的原则规则。也就是说，如果企业设置面向欧盟用户的门户网站或应用平台在欧盟开展业务，相关网站和应用平台中的cookie应当符合上述“意思表示自由”、“针对具体事项”、“充分知悉个人信息使用的相关情况”、“授权表述清晰”四大要求。具体而言，企业需要做到：

1. 企业应当在用户进入网站或应用平台的第一时间，在进入页面或端口，向用户提交cookie隐私协议申请。《获得cookie用户同意指南》（Working Document 02/2013 Providing Guidance on Obtaining Consentfor Cookies，以下简称《cookie指南》）强调，“同意”的表示，需要在用户的个人信息“被实际处理之前”（before the data processing starts）做出。在实践中，cookie会在用户登录并使用网站或应用平台的同时，捕获和记录用户的浏览信息。因此，为了切实保障用户的个人隐私，《cookie指南》指出，在欧盟开展互联网业务的企业，需要在网站进入页面或平台登录端口，向用户提交cookie隐私协议。[12]

2. 充分告知用户cookie的相关信息。充分知悉个人信息使用的相关情况，是用户就收集个人信息做出真实意思表示的前提。对cookie技术使用而言，这意味着企业需要就网站或应用平台所使用的所有类型的cookie，向用户提供cookie类型、cookie的功能或使用目的、cookie所收集的个人信息的类型、是否涉及向第三方提供个人信息，以及用户如何更改非必需的cookie的偏好设置。值得注意的是，由于cookie技术的特性，企业还须告知用户cookie的持续时间；并且，确保cookie的生命周期与该cookie的使用目的相互吻合。[13]

3. 用户能够就不同种类的cookie做出接受与否的选择；企业不能将提供全部个人信息的cookie作为浏览网页的前提条件。根据自身需要和意愿，在不同选项之间自由做出选择，是保障用户“意思表示自由”的需要。当个人信息收集的目的可以被拆分时，企业应当就每一特定的个人信息收集目的，单独地向用户征求同意，这一规则也适用于cookie技术。在实践中，单一网站或应用平台可能提供多种服务，而有些cookie所对应的服务，并非用户单纯登录网站或应用平台所必须的基础功能。对于非必要的cookie，企业应当保留用户的选择权，而不能将所有cookie合并征求用户同意。[14]

OneTrust为某欧洲网站提供的用户端cookie偏好管理设置界面

4. 同理，在征求用户同意时，企业应当设置单独、明显的cookie隐私协议界面，不能将使用cookie与其他内容相混淆。Planet49 GmbH案中，涉案企业将“允许赞助商和合作伙伴提供优惠信息”和“允许网站获取用户的浏览记录”合并，这一行为被法官判定为不符合相关法律要求。[15]

5. 确保用户在cookie隐私协议界面做出“积极”的意思表示。《cookie指南》肯定了企业通过在启动画面、横幅、对话框等功能组件中设置“点击确认”，征求用户同意的模式，但同时表示，这种“用户同意模式”必须是一个“积极”的意思表示。因此，单纯地停留在网站或应用平台，不能被认定为用户已就收集其个人信息做出同意表示。于此同时，cookie隐私协议界面中也不能将“同意”或“已勾选”作为默认选项。这是因为，人们在使用计算机时，有不更改默认设置的习惯，因此，从自然人使用网站和应用程序的习惯这一角度考虑，上述默认选项不符合意思表示“积极”这一条件。[16]

—— THE END ——