解析欧盟法院对与Cookies相关的告知和同意的最新判决(DPO社群成员观点)
案件事实及判决摘要:
德国联邦法院请求欧盟法院就欧盟有关保护电子通信隐私的法律进行解释。
欧盟法院裁定,网站采取预先勾选征得用户对于存储cookies的同意是无效的,因为用户需要去掉勾选才能拒绝同意。
该裁定不受在用户设备上存储或访问的信息是否为个人数据的影响。欧盟法律旨在保护用户的私生活免受侵扰,特别是避免隐藏的标识符和其他类似设备在用户不知情的情况下进入其终端设备的风险。
法院指出,同意必须是具体的,因此用户选择参与彩票促销的按钮不足支持用户对网站存储cookies给出了有效同意的结论。
此外法院还指出,服务提供者必须向用户提供包括cookies操作的期限以及第三方是否可以访问这些cookies的相关信息。
争议问题
第一段带有复选框但没有被预先勾选(第一个复选框)的提示如下:
点开第一个复选框旁边的“赞助商和合作伙伴”和“此处”的超链接是包含57家公司的列表,其中有他们的地址、运营商业广告的部门以及广告投放的方法(电子邮件、邮寄或电话)。每家公司的名称后面都有带下划线的“退订”。列表前面有如下表述:
“点击‘退订’链接,我决定不允许相关合作伙伴/赞助商对我投放广告。如果我没有退订任何一个或者达到足够数量的合作伙伴/赞助商,Planet49将酌情为我选择合作伙伴/赞助商(最大数量:30个)。”
“这些名为ceng_cache, ceng_etag, ceng_png 和gcr的cookies,是由您使用的浏览器在硬盘上以指定的方式存储的小文件,并通过访问这些小文件以获得某些信息,从而更便捷用户使用并有效投放广告。Cookies包含一串随机生成的特定数字(ID),它会同时与您的注册信息进行关联。如果您访问了注册为Remintrex广告合作伙伴的网站(为查明是否注册,请参阅广告合作伙伴的数据保护声明),Remintrex会通过其中集成的iFrame自动记录您(或已存储ID的用户)访问了该网站,以及您对哪个商品感兴趣,是否进行了交易等。
随后,Planet49可以根据您在注册时对于彩票广告营销给出的同意对您进行邮件广告营销,其中也包括您在广告商合作伙伴网站上的行为偏好。在撤回对于广告投放的许可后,您当然不会再收到任何电子邮件广告。Cookies所包含的信息仅限广告商合作伙伴投放广告之目的。这些信息是为每个广告合作伙伴分别收集、存储和使用的。在任何情况下都不会创建涉及多个广告合作伙伴的用户配置文件。各广告合作伙伴也不会收集任何用户的个人数据。
如果您对使用cookies没有兴趣,可以随时通过浏览器删除它们。您可以在浏览器的[帮助]功能中进行操作。
Cookie无法运行任何程序或进行病毒传播。
你有权随时撤销这个同意。您可以将撤销申请以书面形式发送到Planet49 [地址],也可以给我们的客户服务部发送电子邮件[电子邮件地址]。”
鉴于相关法律规定,德国联邦法院就Planet49通过www.dein-macbook.de网站上的第二个复选框从用户处获得的同意的有效性,以及关于2002/58指令第5(3)条所规定信息披露义务的程度犹疑不决,因此决定中止诉讼程序,并将下列问题提交欧盟法院进行初步裁决:
1 、(a)如果通过预先选中的复选框允许网站存储信息或访问已存储在用户终端设备中的信息,用户需要取消选中该复选框以拒绝其同意,这是否构成2002/58指令第5(3)条和第2(f)条,以及95/46指令中第2(h)条含义范围内的有效同意?
(b)结合2002/58指令第5(3)条和第2(f)条和95/46指令中第2(h)条来看,储存或访问的信息是否为个人数据,结论上会有差异吗?
(c)在问题1(a)中提到的情况下,是否构成2016/679条例中第6(1)(a)条含义中的有效同意?
2、服务提供者需要根据2002/58指令第5(3)条向用户提供明确而全面的信息都包括哪些?包括cookies操作的持续时间和第三方是否可以访问cookies这些信息吗?
法庭说理
一、初步查明
作为初步裁决,对本案主要诉讼中的事实考虑95/46指令和2016/679条例的适用性是适当的。
根据2016/679条例第94(1)条,自2018年5月25日起,95/46指令被该条例废除并替代。
事实上,这一日期距离移交法院于2017年7月14日举行最后一次听证会的日期要近,也与成员国法院提交初步裁决请求的日期更接近。
诚然,移交法院指出,鉴于第一个问题中涉及到的2016/679指令自2018年5月25日开始生效,因此在处理案件时可能需要考虑到条例的规定。此外,正如德国政府在法庭听证会上所陈述的那样,联邦提出诉讼程序要求Planet49禁止未来的某种行动,这并非是不可想象的。据移交法院查明,根据国家判例法中有关禁令法律地位的陈述(see, as regards an action for a declaratory judgment, judgment of 16 January 2019, Deutsche Post, C 496/17, EU:C:2019:26, paragraph38),2016/679条例可以适用于本案。
在这种情况下,鉴于根据2016/679条例第94(2)条,2002/58指令中提及有关95/46指令的内容将被解释为适用2016/679条例的规定,因此,在本案中,根据联邦法院请求的事项和时间,2002/58指令中的内容同时指向95/46指令和2016/679条例也在情理之中。
因此,无论适用95/46指令还是2016/679条例,都必须回答移交法院所提到的问题。
问题1(a)和(c)
关于问题1(a)和(c),移交法庭实质上是在询问:如果将2002/58指令第2(f)条和第5(3)条和95/46指令第2(h)条和2016/679条例第6(1)(a)条放在一起来看,网站以cookies的形式通过预先选中的复选框(用户必须取消选择以拒绝其同意)的方式存储或获取已存储在用户终端设备中的信息,是否构成上述条款中的“有效同意”。
作为初步裁决事项,需要注意到,参与Planet49彩票营销活动的用户需要在注册页面上录入自己的姓名和地址,因此被放置在用户终端设备上的cookies包含了分配给该用户注册数据的一段字符串。移交法院还补充说,通过这段字符串可以与数据建立连接,如果该用户上网,就可以将个人与cookies存储的数据之间连接起来,这样,通过cookies收集数据也是对个人数据进行处理的一种形式。这些陈述得到了Planet49的证实,Planet49在其书面意见中指出,第二个复选框所指的同意意在取得收集和处理个人数据的授权,而不是匿名化数据。
根据这些解释,应当指出,根据2002/58指令第5(3)条,成员国应确保,只有在向用户提供了明确且全面的信息并已经取得其同意的情况下,才允许在其终端设备中存储或获取已存储的信息,根据95/46指令,还需要披露数据处理的目的。
关于2002/58指令第5(3)条的措词,应当明确指出,尽管该规定明确要求用户必须对在其终端设备中存储和访问cookies给出同意,但并没有阐明用户给出同意的具体方式。“给予他或她的同意”的表述,需要根据用户采取哪种行动来给予他或她的同意来进行解释。在这个问题上,从2002/58指令序言中的第17条中可以清楚地看出,根据该指令的目的,可以采取任何适当的方法让用户给出同意以传达出基于自由、明确且知情的用户意愿,包括“在访问网站时勾选复选框”的形式。
鉴于2002/58指令第5(3)条的立法背景,该指令第2(f)条定义了“同意”,同时,95/46指令中定义了“数据主体同意”。2002/58指令序言中第17条指出,鉴于该指令的规范目的,用户同意应该具有与数据主体同意相同的含义,具体参照95/46指令的规定。
95/46指令第2(h)条将“数据主体同意”定义为“用户用于表达其意愿的任何自由、具体和知情的指示,表明同意与其个人数据的处理活动”。
Advocate General在其意见第60条中提到,数据主体表达意愿的“指示”需要是积极的主动行为,而不是被动行为。然而,在复选框中以预先勾选形式给出的同意并不是用户的积极行为。
这一解释也被95/46指令第7条印证,它列出了个人数据处理活动被视为合法的案件清单(see, to that effect, judgmentsof 24 November 2011, Asociación Nacional de Establecimientos Financieros de Crédito, C‑468/10 and C‑469/10, EU:C:2011:777, paragraph 30, and of 19 October 2016, Breyer, C‑582/14, EU:C:2016:779, paragraph 57)。
此外,95/46指令第7(a)条规定,数据主体同意可以为处理活动提供合法性依据,前提是数据主体已经“明确”给出了他或她的同意。只有数据主体为了给予同意而采取的积极行为才能满足这一要求。
在此,实践中似乎不可能客观地判断,用户是否已经通过不取消预先勾选的复选框来表达其对于数据处理活动的同意,甚至都无从判断用户是否知悉该同意的情况。用户在继续其访问网站的活动之前,可能不会阅读已勾选复选框中附带的信息,甚至不会注意到该复选框,这种情况并不少见。
最后,关于2002/58指令第5(3)条的起源,该规定的初始措辞仅规定了用户在收到符合95/46指令中的明确且全面、尤其是关于数据处理目的的信息之后,“有权拒绝”cookies的储存。而2009/136指令对该条款的措词作了实质性修正,改为“征得其同意”。因此,2002/58指令第5第(3)条的立法渊源似乎表明,今后不可以再推定用户同意,而必须是用户采取积极行为的结果。
综上,结合2002/58指令第2(f)条、第5(3)条和95/46指令第2(h)条中有关同意的规定,网站通过预先选中的复选框(用户必须取消选择以拒绝同意)的方式存储或获取已存储在用户终端设备中的信息,不能构成有效同意。
应该指出的是,95/46指令第2(h)条中提到的数据主体基于意愿作出的指示必须是“特定的”,即它必须具体指向涉及的数据处理活动,并且不能从数据主体对其他目的的指示中推断出来。
本案中,与Planet49声称的相反,用户点击按钮选择参与该公司组织的彩票营销活动的事实不能支持用户已经就网站存储cookies给出有效同意的结论。
前述解释同样适用于2016/679条例。
正如Advocate General意见第70条指出的那样,2016/679指令第4(11)条对于“数据主体的同意”的措辞,特别是问题1(c)中提到的第6(1)(a)条,似乎比95/46指令第2(h)条更为严格,因为它要求一个“自由给出的、具体的、知悉的、明确的”表达数据主体愿望的指示,并通过声明或“明确的肯定性行动”来表示对于与他或她有关的个人数据处理的同意。
因此,2016/679条例明确规定了积极的同意。根据其序言第32条,给予同意可以包括在访问网站时勾选方框的形式。另一方面,序言也明确排除了“默示、预勾选或不作为”的行为构成同意。
因此,结合2002/58指令第2(f)条、第5(3)条和2016/679条例中第4(11)条、第6(1)(a)条中有关同意的规定,网站通过预先选中的复选框(用户必须取消选择以拒绝同意)的方式存储或获取已存储在用户终端设备中的信息,不能构成有效同意。
问题1(b)
关于问题1(b),移交法庭询问:结合2002/58指令第5(3)条、第2(f)条,95/46指令中第2(h)条以及2016/679条例第6(1)(a)条来看,储存或访问的信息是否为后两者中定义的个人数据,在解释上会有差异吗?
根据上文第45段的论述,本案中存储cookies的行为等同于处理个人数据。
同时法院注意到,2002/58指令第5(3)条提到的“储存信息”和“获取已储存的信息”,并没有特指个人数据。
正如Advocate General意见第107条所述,该条款旨在保护用户私人领域免受侵扰,而不管该侵扰是否涉及个人数据。
这一解释也由2002/58指令序言第24条印证,根据该指令,在电子通信网络用户的终端设备中存储信息也属于根据《欧洲保护人权和基本自由公约》需要保护的私人领域的一部分。这种保护适用于存储在终端设备中的任何信息,无论它是否属于个人数据,特别是像序言中提到的那样,指令旨在避免隐藏的标识符和其他类似设备在用户不知情的情况下进入其终端设备的风险。
综上,对问题1(b)的回答是,结合2002/58指令第5(3)条、第2(f)条,95/46指令中第2(h)条以及2016/679条例第6(1)(a)条来看,不应对网站用户终端设备上存储或访问的信息是否属于后两者中定义的个人数据而在解释上有所区别。
问题2
关于问题2,移交法院想问,服务提供者需要根据2002/58指令第5(3)条向用户提供信息是否包括cookies操作的持续时间以及第三方是否可以访问cookies。
上文第46段已经明确指出,2002/58指令第5(3)条要求用户已给出同意的前提是,网站已经根据95/46指令提供了明确且全面的信息,其中包括关于数据处理的目的。
正如Advocate General意见第115条所述,明确且全面的信息意味着用户能够很容易地确定他或她给出同意后的可能后果,并确保所给予的同意是充分知情的。因此相关信息必须是清晰易懂且足够详细的,便于用户能够理解cookies的功能。
根据法院提交的资料,本案中的cookies旨在收集与彩票营销活动组织者合作伙伴的产品有关的用于广告用途的信息,因此有关cookies操作的持续时间以及第三方是否可以访问这些cookies,属于根据2002/58指令第5(3)条必须向用户提供的明确且全面信息的一部分。
这里有必要明确下95/46指令第10条,参考2002/58指令第5(3)条和2016/679条例第13条,列出了控制者必须向数据主体提供的信息清单。
根据95/46指令第10条,控制者除了提供有关控制者身份和数据处理目的的信息之外,针对数据处理的具体情况,为保证数据主体的数据被公平处理,还需要提供其他进一步的信息,如数据接收者或接收者类别等必要信息。
虽然数据处理的持续时间不作为该信息的一部分,但是,从95/46指令第10条中使用的“至少”一词中可以清楚地看出,该信息并没有被详尽列出。提供有关cookies操作持续时间应当被视为满足该条款中提供与数据被公平处理相关信息的要求,一个无限长的持续时间意味着网站将收集大量关于用户网络行为的信息,以及他们访问彩票活动组织者广告合作伙伴网站的频率。
2016/679条例第13(2)(a)条支持了这一解释,该条规定,为了确保公平和透明的处理,控制者必须向数据主体提供有关个人数据储存期限的信息,如果不能,则至少需要提供确定存储期限标准的信息。
至于第三方是否可以获取cookies,则是包含在95/46指令第10(c)条和2016/679条例第13(1)(e)条中规定的需要提供的信息范围之内,其明确规定需要提供有关数据接收者或其类别的信息。
综上,问题2的答案是,对于2002/58指令第5(3)条中网络服务提供者需要向用户提供的信息,应当包括cookies操作的持续时间以及第三方是否可以访问这些cookies。
“额外补刀”
欧盟法院(CJEU) Advocate General Maciej Szpunar针对本案给出了洋洋洒洒一百多段的non-binding opinion,在此仅节选翻译了其中额外提到的“单独同意”和第一个复选框合法性问题的部分。
问题1(a)和(c)
移交法院询问通过预先选中的复选框允许网站存储信息或访问已存储在用户终端设备中的信息,用户需要取消选中该复选框以拒绝其同意,这是否构成2002/58指令第5(3)条和第2(f)条,以及95/46指令中第2(h)条含义范围内的有效同意。
关于第一个复选框
接下来,要看德国联邦法院多大程度上会“参考”欧盟法院(CJEU) Advocate General Maciej Szpunar的上述观点了。
简短评论
E-Privacy Directive(即2002/58指令)在2009年修订时,将用户授权模式从“opt-out”修改成了“opt-in”,即用“given his or her consent”替代了“the right to refuse”;而GDPR在生效后,将95/46指令中的同意进一步细化为积极的同意,即用“a clear affirmative act establishing a freely given, specific, informed and unambiguous indication of the data subject's agreement”替代了“freely given specific and informed indication of his wishes”。这也是本案中欧盟法院在回应联邦法院问询时的主要法律依据和论证思路,即网站存储或获取cookies的行为需要征得用户同意,且这种同意需要符合最新法律中有关具体形式的要求。
尽管目前版本的E-Privacy Regulation草案中,为了照顾用户体验(原来他们还知道有“用户体验”这个东东存在),设置了某些不涉及侵犯隐私的嵌入式cookies(如购物车记录、表格填写记录、短时间内登录记录等)无需征得用户同意场景的例外,但是结合立法流变和本案的裁定结果来看,我们有理由相信:在欧盟,绝大部分网络服务提供者在存储或者获取用户cookies时,其征得用户同意的路径与GDPR中的同意别无二致,且这个同意需要单独提示并获取,似乎仅仅采用一个复选框的方式都不能让欧盟法院满意。笔者不得不对欧盟用户同意被收集cookies的比例深感好奇。
诚然,国内立法层面对于cookies的立场尚不如欧盟来得鲜明,但是司法中已经不乏相关案例和争议出现。我们在讨论类似问题时自然也不能脱离国内的法律政策和产业实践语境。在笔者看来,至少有如下问题,值得我们在得出任何有价值的结论之前认真考虑:
了解cookies的基本原理和分类,其与个人信息的关系是什么?
法律通过保护cookies而追求的规范目的是什么?
事前同意对于收集cookies而言究竟是不是最佳的合法性路径?
在物联网、人工智能等场景中如何平衡用户同意的成本与提供服务所必需的关系?
值得注意的是,欧盟法院在回应问题1(b)时认为cookies是否属于个人数据对于本案的结论没有影响,其还引援了《欧洲保护人权和基本自由公约》中保护私人领域免受侵扰的条款。
那我们的选择,又是什么呢?(全文完)
数据保护官(DPO)社群主要成员是个人信息保护和数据安全一线工作者。他们主要来自于国内头部的互联网公司、安全公司、律所、会计师事务所、高校、研究机构等。在从事本职工作的同时,DPO社群成员还放眼全球思考数据安全和隐私保护的最新动态、进展、趋势。2018年5月,DPO社群举行了第一次线下沙龙。沙龙每月一期,集中讨论不同的议题。目前DPO社群已经超过200人。关于DPO社群和沙龙更多的情况如下:
DPO社群成果
线下沙龙实录见:
评估GDPR效果和影响:
线上沙龙见:
时评见:
DPO社群成员观点