欧盟法院有关cookies一案的裁定说理
德国消费者组织联合会向德国法院就德国公司Planet49在推广在线游戏中使用预先勾选复选框取得用户同意以保存cookies的形式提起诉讼,德国联邦法院请求欧盟法院就欧盟有关保护电子通信隐私的法律问题进行解释。有关该案所涉及的事实和争议问题请见欧盟法院裁决:存储cookies需要用户主动同意,以下为本案的说理部分,其中车轱辘话和与本案争议问题关系不大的部分已被小编酌情删减。
初步查明
作为初步裁决,对本案主要诉讼中的事实考虑95/46指令和2016/679条例的适用性是适当的。
根据2016/679条例第94(1)条,自2018年5月25日起,95/46指令被该条例废除并替代。
事实上,这一日期距离移交法院于2017年7月14日举行最后一次听证会的日期要近,也与成员国法院提交初步裁决请求的日期更接近。
诚然,移交法院指出,鉴于第一个问题中涉及到的2016/679指令自2018年5月25日开始生效,因此在处理案件时可能需要考虑到条例的规定。此外,正如德国政府在法庭听证会上所陈述的那样,联邦提出诉讼程序要求Planet49禁止未来的某种行动,这并非是不可想象的。据移交法院查明,根据国家判例法中有关禁令法律地位的陈述(see, as regards an action for a declaratory judgment,judgment of 16 January 2019, Deutsche Post, C 496/17, EU:C:2019:26, paragraph38),2016/679条例可以适用于本案。
在这种情况下,鉴于根据2016/679条例第94(2)条,2002/58指令中提及有关95/46指令的内容将被解释为适用2016/679条例的规定,因此,在本案中,根据联邦法院请求的事项和时间,2002/58指令中的内容同时指向95/46指令和2016/679条例也在情理之中。
因此,无论适用95/46指令还是2016/679条例,都必须回答移交法院所提到的问题。
问题1(a)和(c)
关于问题1(a)和(c),移交法庭实质上是在询问:如果将2002/58指令第2(f)条和第5(3)条和95/46指令第2(h)条和2016/679条例第6(1)(a)条放在一起来看,网站以cookies的形式通过预先选中的复选框(用户必须取消选择以拒绝其同意)的方式存储或获取已存储在用户终端设备中的信息,是否构成上述条款中的“有效同意”。
作为初步裁决事项,需要注意到,参与Planet49彩票营销活动的用户需要在注册页面上录入自己的姓名和地址,因此被放置在用户终端设备上的cookies包含了分配给该用户注册数据的一段字符串。移交法院还补充说,通过这段字符串可以与数据建立连接,如果该用户上网,就可以将个人与cookies存储的数据之间连接起来,这样,通过cookies收集数据也是对个人数据进行处理的一种形式。这些陈述得到了Planet49的证实,Planet49在其书面意见中指出,第二个复选框所指的同意意在取得收集和处理个人数据的授权,而不是匿名化数据。
根据这些解释,应当指出,根据2002/58指令第5(3)条,成员国应确保,只有在向用户提供了明确且全面的信息并已经取得其同意的情况下,才允许在其终端设备中存储或获取已存储的信息,根据95/46指令,还需要披露数据处理的目的。
关于2002/58指令第5(3)条的措词,应当明确指出,尽管该规定明确要求用户必须对在其终端设备中存储和访问cookies给出同意,但并没有阐明用户给出同意的具体方式。“给予他或她的同意”的表述,需要根据用户采取哪种行动来给予他或她的同意来进行解释。在这个问题上,从2002/58指令序言中的第17条中可以清楚地看出,根据该指令的目的,可以采取任何适当的方法让用户给出同意以传达出基于自由、明确且知情的用户意愿,包括“在访问网站时勾选复选框”的形式。
鉴于2002/58指令第5(3)条的立法背景,该指令第2(f)条定义了“同意”,同时,95/46指令中定义了“数据主体同意”。2002/58指令序言中第17条指出,鉴于该指令的规范目的,用户同意应该具有与数据主体同意相同的含义,具体参照95/46指令的规定。
95/46指令第2(h)条将“数据主体同意”定义为“用户用于表达其意愿的任何自由、具体和知情的指示,表明同意与其个人数据的处理活动”。
Advocate General在其意见第60条中提到,数据主体表达意愿的“指示”需要是积极的主动行为,而不是被动行为。然而,在复选框中以预先勾选形式给出的同意并不是用户的积极行为。
这一解释也被95/46指令第7条印证,它列出了个人数据处理活动被视为合法的案件清单(see, to that effect, judgmentsof 24 November 2011, Asociación Nacional de EstablecimientosFinancieros de Crédito, C‑468/10 and C‑469/10, EU:C:2011:777,paragraph 30, and of 19 October 2016, Breyer, C‑582/14, EU:C:2016:779,paragraph 57)。
此外,95/46指令第7(a)条规定,数据主体同意可以为处理活动提供合法性依据,前提是数据主体已经“明确”给出了他或她的同意。只有数据主体为了给予同意而采取的积极行为才能满足这一要求。
在此,实践中似乎不可能客观地判断,用户是否已经通过不取消预先勾选的复选框来表达其对于数据处理活动的同意,甚至都无从判断用户是否知悉该同意的情况。用户在继续其访问网站的活动之前,可能不会阅读已勾选复选框中附带的信息,甚至不会注意到该复选框,这种情况并不少见。
最后,关于2002/58指令第5(3)条的起源,该规定的初始措辞仅规定了用户在收到符合95/46指令中的明确且全面、尤其是关于数据处理目的的信息之后,“有权拒绝”cookies的储存。而2009/136指令对该条款的措词作了实质性修正,改为“征得其同意”。因此,2002/58指令第5第(3)条的立法渊源似乎表明,今后不可以再推定用户同意,而必须是用户采取积极行为的结果。
综上,结合2002/58指令第2(f)条、第5(3)条和95/46指令第2(h)条中有关同意的规定,网站通过预先选中的复选框(用户必须取消选择以拒绝同意)的方式存储或获取已存储在用户终端设备中的信息,不能构成有效同意。
应该指出的是,95/46指令第2(h)条中提到的数据主体基于意愿作出的指示必须是“特定的”,即它必须具体指向涉及的数据处理活动,并且不能从数据主体对其他目的的指示中推断出来。
本案中,与Planet49声称的相反,用户点击按钮选择参与该公司组织的彩票营销活动的事实不能支持用户已经就网站存储cookies给出有效同意的结论。
前述解释同样适用于2016/679条例。
正如Advocate General意见第70条指出的那样,2016/679指令第4(11)条对于“数据主体的同意”的措辞,特别是问题1(c)中提到的第6(1)(a)条,似乎比95/46指令第2(h)条更为严格,因为它要求一个“自由给出的、具体的、知悉的、明确的”表达数据主体愿望的指示,并通过声明或“明确的肯定性行动”来表示对于与他或她有关的个人数据处理的同意。
因此,2016/679条例明确规定了积极的同意。根据其序言第32条,给予同意可以包括在访问网站时勾选方框的形式。另一方面,序言也明确排除了“默示、预勾选或不作为”的行为构成同意。
因此,结合2002/58指令第2(f)条、第5(3)条和2016/679条例中第4(11)条、第6(1)(a)条中有关同意的规定,网站通过预先选中的复选框(用户必须取消选择以拒绝同意)的方式存储或获取已存储在用户终端设备中的信息,不能构成有效同意。
问题1(b)
关于问题1(b),移交法庭询问:结合2002/58指令第5(3)条、第2(f)条,95/46指令中第2(h)条以及2016/679条例第6(1)(a)条来看,储存或访问的信息是否为后两者中定义的个人数据,在解释上会有差异吗?
根据上文第45段的论述,本案中存储cookies的行为等同于处理个人数据。
同时法院注意到,2002/58指令第5(3)条提到的“储存信息”和“获取已储存的信息”,并没有特指个人数据。
正如Advocate General意见第107条所述,该条款旨在保护用户私人领域免受侵扰,而不管该侵扰是否涉及个人数据。
这一解释也由2002/58指令序言第24条印证,根据该指令,在电子通信网络用户的终端设备中存储信息也属于根据《欧洲保护人权和基本自由公约》需要保护的私人领域的一部分。这种保护适用于存储在终端设备中的任何信息,无论它是否属于个人数据,特别是像序言中提到的那样,指令旨在避免隐藏的标识符和其他类似设备在用户不知情的情况下进入其终端设备的风险。
综上,对问题1(b)的回答是,结合2002/58指令第5(3)条、第2(f)条,95/46指令中第2(h)条以及2016/679条例第6(1)(a)条来看,不应对网站用户终端设备上存储或访问的信息是否属于后两者中定义的个人数据而在解释上有所区别。
问题2
关于问题2,移交法院想问,服务提供者需要根据2002/58指令第5(3)条向用户提供信息是否包括cookies操作的持续时间以及第三方是否可以访问cookies。
上文第46段已经明确指出,2002/58指令第5(3)条要求用户已给出同意的前提是,网站已经根据95/46指令提供了明确且全面的信息,其中包括关于数据处理的目的。
正如Advocate General意见第115条所述,明确且全面的信息意味着用户能够很容易地确定他或她给出同意后的可能后果,并确保所给予的同意是充分知情的。因此相关信息必须是清晰易懂且足够详细的,便于用户能够理解cookies的功能。
根据法院提交的资料,本案中的cookies旨在收集与彩票营销活动组织者合作伙伴的产品有关的用于广告用途的信息,因此有关cookies操作的持续时间以及第三方是否可以访问这些cookies,属于根据2002/58指令第5(3)条必须向用户提供的明确且全面信息的一部分。
这里有必要明确下95/46指令第10条,参考2002/58指令第5(3)条和2016/679条例第13条,列出了控制者必须向数据主体提供的信息清单。
根据95/46指令第10条,控制者除了提供有关控制者身份和数据处理目的的信息之外,针对数据处理的具体情况,为保证数据主体的数据被公平处理,还需要提供其他进一步的信息,如数据接收者或接收者类别等必要信息。
虽然数据处理的持续时间不作为该信息的一部分,但是,从95/46指令第10条中使用的“至少”一词中可以清楚地看出,该信息并没有被详尽列出。提供有关cookies操作持续时间应当被视为满足该条款中提供与数据被公平处理相关信息的要求,一个无限长的持续时间意味着网站将收集大量关于用户网络行为的信息,以及他们访问彩票活动组织者广告合作伙伴网站的频率。
2016/679条例第13(2)(a)条支持了这一解释,该条规定,为了确保公平和透明的处理,控制者必须向数据主体提供有关个人数据储存期限的信息,如果不能,则至少需要提供确定存储期限标准的信息。
至于第三方是否可以获取cookies,则是包含在95/46指令第10(c)条和2016/679条例第13(1)(e)条中规定的需要提供的信息范围之内,其明确规定需要提供有关数据接收者或其类别的信息。
综上,问题2的答案是,对于2002/58指令第5(3)条中网络服务提供者需要向用户提供的信息,应当包括cookies操作的持续时间以及第三方是否可以访问这些cookies。
结论
法院又不厌其烦地将上述三个问题的结论重复了一遍,就酱~
GDPR相关文章请见:
互联网mate
一小撮人眼中的互联网世界:我们站在法律和互联网的十字路口,与同样在此张望的人共觅方向。
1
编辑:笑笑
转载需注明出处,谢谢!
热切期盼与您的交流,认识我们的请直接微信,不认识的请后台留言。