数据安全 | 欧盟对cookie使用的法律规制
关键词:区块链;人工智能;大数据;智能合约;涉外法律服务;专业律师
本期关键词:cookie;同意原则;GDPR;通用数据保护条例;欧盟
本文约2457字,大约需要阅读5分钟。
本期推文介绍的是数据处理中的一个常见应用cookie及欧盟对其使用的法律规制。
一
Cookie的工作机制
Cookie 是指从网站发送并在用户浏览网站时通过网站用户的网络浏览器存储的小块数据,是网站为了辨别用户身份、追踪用户上网行为而暂时或永久性储存在用户设备上的数据。其产生的目的是为了解决用于互联网浏览器和服务器间进行通信传输的HTTP协议不能表示状态从而无法判断客户端身份的问题。
Cookie由服务器产生。当用户访问一个网站时,用户的浏览器会发送一个请求;网站服务器回复请求的信息的同时也发送cookie给用户的浏览器。当用户以后浏览同一个网站时,网站可以检索存储在cookie中的数据,以通知网站用户之前的活动。用户的浏览器中可能存储了数以千计的 cookie,可以来自第一方或第三方,可以是临时的或永久的,并且可以用于大量不同的目的。该技术一般用于统计用户访问数量;在用户登录网站、注册新用户、购买商品等操作时,收集包括用户个人信息在内的各种信息,如姓名、性别、年龄、电话、地址、信用卡号、邮箱、位置信息等;提供个性化服务;互联网定向广告;在多语言网站上选择语言等。
Cookies 技术本身是中立的,但如果cookie未能得到良好的使用,同样会为用户带来安全风险。
Cookie 可能对用户个人隐私构成严重风险。近年来,cookie在跟踪用户方面的使用发生了显著变化,从简单的操作(例如计算广告展示次数、查看次数和点击次数)到限制弹出窗口和保留广告序列,营销 cookie 现在能够执行用户分析和网站偏好跟踪。而基于利用 cookie 漏洞的欺诈和网络攻击有多种类型,可能会导致严重的安全事件。如果 cookie 被窃取,攻击者可能能够冒充用户并获得未经授权的访问。
二
Cookie涉诉涉罚案例
1
CNIL处罚谷歌、亚马逊
2020年12月10日,谷歌和亚马逊因被认定违反欧盟数据保护相关法律,被法国数据保护机构“国家信息与自由委员会”(以下简称“CNIL”)分别处以1亿欧元和3,500万欧元的罚款,原因是谷歌和亚马逊在“没有事先获得同意,也没有提供足够的信息”的情况下,在法国用户的电脑上放置跟踪cookies,利用cookies“跟踪”用户,以便提供个性化的广告。该行为属于不当使用Cookie跟踪技术,已违反了欧盟第2002/58号《电子隐私指令》(e-Privacy Directive)。
2
德国“Planet49”
德国消费者组织联合会向法院起诉了“Planet49”公司,理由是这家公司试图通过预先选中的复选框来存储用户的cookie,通过cookie收集信息并推广在线游戏。
2019年10月1日,欧盟法院裁定,网站的用户必须对其浏览器上cookie的存储和访问具有足够的控制力,网站通过预先选中的复选框并不能有效地构成“用户的同意”。用户的同意必须是具体而明确的。用户有权取消选择复选框并拒绝作出“同意”的意思表示。该决定不受用户浏览器上存储或访问的信息是否为个人数据的影响。此外,欧盟法院还指出,服务提供商必须提供给用户的信息还包括:cookie的操作持续时间,以及第三方访问这些cookie的具体情形。
三
欧盟对Cookie的法律规制
1
《电子隐私指令》
欧盟明确对Cookie机制予以规制的规定最早出现于2002年《电子隐私指令》,要求在按照《数据保护指令(95/46/EC)》充分告知用户关于cookie的全面信息,且给予用户拒绝的权利后,方可在终端设备上存储或访问cookie的信息。
2009年修订后的《电子隐私指令》将cookie的合规要求从Opt-out(选择退出)改为Opt-in(选择进入),即从告知和拒绝权改为了需要经过用户同意方可存储和访问Cookie。第29条工作组后续发布了相关指引,明确了同意的具体条件以及可豁免同意的Cookie类型。
2
《欧盟通用数据保护条例》
《欧盟通用数据保护条例(GDPR)》生效后,明确网络设备、应用、工具、协议中留存的cookie痕迹如果具有唯一指向性,这些cookie痕迹可生成个人画像或档案从而识别到具体自然人,即具有身份识别性,构成个人数据。关于cookie同意的条件要求适用于GDPR关于同意的严格要求,即须符合通过声明或肯定的行为、自由作出、具体、知情且明确的同意。
GDPR第 4 条给出了有效同意的四个要素:自由给予的同意、具体的同意、知情同意、明确同意。
用户不应当为被迫同意处理其个人数据。任何阻止用户行使自由意志的同意都是无效的。
有效同意是具体的。这意味着请求 cookie 同意必须有特定的原因。GDPR 强调对特定 cookie 同意进行细化。这意味着如果 cookie 有多个用途,用户必须为每个用途做出选择。
GDPR 规定必须是知情同意,数据处理者必须在获得用户同意之前向用户提供有关 cookie 的必要信息。
有效的同意必须是明确的。必须有明确或肯定的行动表明用户已同意使用该服务。
GDPR第 7 条规定了有效同意的附加条件:同意的证明、同意的撤销。
获得使用 cookie 的同意是不够的。数据控制者必须记录所有用户同意,同意记录将有助于证明cookie的合规性。GDPR 强调,数据控制者有义务出示证据。
用户撤回同意必须像给予同意一样便捷。一旦用户撤回同意,网站必须立即停止使用 cookie。
2020 年 5 月 4 日,EDPB 对GDPR下的《同意指南》进行了修订,并进一步说明了以下两点内容:
通过cookie walls的同意是无效的。cookie walls是关于网站上 cookie 的弹出窗口,除非用户同意使用所有 cookie,否则它会限制用户对网站的访问。cookie walls的使用引起了消费者和数据保护监管机构的关注,均认为它迫使用户表示同意。EDPB 已明确,使用 cookie 墙获得的同意无效,因为它违反了有效同意的“自由给予”条件。
用户在不同意或拒绝 cookie 通知的情况下滚动或浏览网站或类似的用户活动等行为在任何情况下都不能满足明确和肯定性行为的要求,不构成同意。这种“默示同意”在 GDPR 下无效。它同时违反了有效同意的明确条件和撤回同意的附加条件。
我国《网络安全法》第41条规定,“网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意”,即明确了我国个人信息采集应遵循告知同意的基本原则;《个人信息保护法(草案)》中也明确了“撤回同意”的概念;国家互联网信息办公室、工业和信息化部、公安部、国家市场监督管理总局四部门也联合发布了《常见类型移动互联网应用程序必要个人信息范围规定》,旨在规范移动互联网应用程序(App)个人信息收集行为,保障公民个人信息安全。但与欧盟的法规相比较,对数据处理者的用户个人信息收集行为的约束尚有不足。或许我们也可以参考GDPR下同意原则的规定,对个人信息采集“同意原则”进一步细化规定,更好地保护用户免受其数据处理者对其私人生活的干扰,尤其是避免隐藏标识符和其他类似设备在用户不知情的情况下进入用户终端设备的风险。
陆续更新,敬请期待
如认为本文侵犯版权,请及时联系闪涛律师团队。
关键词:区块链;人工智能;大数据;智能合约;涉外法
团队介绍
闪涛律师团队专注于提供涉外法律服务、“一带一路”海外投资、跨境争议解决、公司法务、并购、解散、破产、清算、金融、证券、私募、区块链、人工智能、智能合约、大数据等领域。
闪涛律师,广东广信君达律师事务所高级合伙人,广东外语外贸大学法学院教授、硕士研究生导师,中南财经政法大学博士研究生。
闪涛律师是中华全国律师协会涉外法律事务领军人才库人选,司法部“全国千名涉外律师人才名录”,司法部、全国律师协会“一带一路”跨境律师人才库首批成员,司法部、全国律师协会“一带一路”项目沙特阿拉伯国别协调人,广东省涉外律师领军人才库成员。
点一下在看再走吧