有关欧盟cookies一案的“补刀”意见
The following article is from 互联网mate Author 游手好闲的笑笑
德国消费者组织联合会向德国法院就德国公司Planet49在推广在线游戏中使用预先勾选复选框取得用户同意以保存cookies的形式提起诉讼,德国联邦法院请求欧盟法院就欧盟有关保护电子通信隐私的法律问题进行解释。有关该案所涉及的事实和争议问题请见欧盟法院裁决:存储cookies需要用户主动同意,有关本案的说理部分请见欧盟法院有关cookies一案的裁定说理。同时,欧盟法院((CJEU) Advocate General Maciej Szpunar还针对本案给出了洋洋洒洒一百多段的non-binding opinion,小编节选了其中额外提到了“单独同意”和第一个复选框合法性问题的部分,远程感受一下Planet49的Aced
本案诉求
在考虑相关法律要求是否适用于本案时,我将首先谈到问题1(a)和(c),即关于cookies的设置和使用是否得到有效同意的问题。这主要针对第二个复选框。
此外,出于对完整性和清晰性的考虑,同意的要求在适用于cookies和更普遍的个人数据处理方面没有很大的不同,即使移交法院没有明确询问这个问题,但为了对欧盟法律作出正确且统一的解释,我认为有必要简要分析下有关第一个复选框是否具备处理个人数据的有效同意的问题。我也了解到,在本案审理过程中,联邦法院(Bundesgerichtshof)同样需要对第一个复选框的合法性问题作出裁决。
问题1(a)和(c)
移交法院询问通过预先选中的复选框允许网站存储信息或访问已存储在用户终端设备中的信息,用户需要取消选中该复选框以拒绝其同意,这是否构成2002/58指令第5(3)条和第2(f)条,以及95/46指令中第2(h)条含义范围内的有效同意。
就本问题而言,解读95/46指令第2(h)条和2016/679条例第4(11)条的关键在于“自由给出”和“知情”的同意。由此产生的问题是,在移交法院所描述的情况下,是否可以在知情的情况下自由地给予同意。
在这方面,双方的争议焦点主要集中在勾选或取消勾选预先选中的复选框是否满足这些要求。即变成了有关主动还是被动的争论。然而,尽管这一方面很重要,但它只是法律要求的一部分。因为它只涉及了主动同意的要求,而没有提及单独同意的要求。
在我看来,基于现有法律要求,本案中的情形不能构成有效同意。
首先,在用户不同意设置cookies的情况下要求用户主动取消复选框中的勾选,这不构成满足法律要求的积极同意。在这种情况下,实际上不可能客观判断用户是否基于自由和知情的基础上作出同意的决定。相比之下,要求用户勾选一个复选框还更可能作出判断。
更重要的是,参与在线的彩票活动和同意设置cookies并不是同一个行为。但这正是本案中涉及的情况,用户只需点击一次参与按钮即可同时参与彩票活动并同意设置cookies。同时做出的两个意向表达(参与彩票活动和同意设置cookies)不能通过点击一个参与按钮实现。在本案中,对cookies的同意在性质上似乎是附加的,从某种意义上说,并不清楚它是否构成单独行为的一部分。换言之,勾选(或取消勾选)cookies上的复选框看起来像是对最终具有法律约束力的“点击”参与按钮行为的预备行为。
在这种情况下,用户无法针对在其终端设备中存储信息或获取已存储信息的行为自由地给出单独的同意。
此外,上文提到,用户只有在至少勾选了第一个复选框的情况下才有可能参加活动。因此,参加活动并不以同意设置和获取cookies为条件。对于一个用户来说,完全可以只勾选第一个复选框。
但据我所知,用户从来没有被告知这一点。这不符合上述全面告知用户的标准。
综上,针对问题1(a)和(c),我的建议是:关于cookies的设置和使用是否得到有效同意的问题,根据2002/58指令第2(f)条、第5(3)条和95/46指令第2(h)条的规定,不能构成有效同意,并且这里的同意不是单独给予的,而是在确认参与在线活动的同时给予的。即使结合GDPR进行解释结论依然。
关于第一个复选框
尽管转交法院的问题中仅提及了第二个复选框,但我想就第一个复选框的问题提出两项具体意见,这可能有助于转交法院作出最后裁决。
第一个复选框中不涉及cookies的问题,而只涉及到处理个人数据。在此,用户仅仅同意清单上的企业通过邮寄、电话或电子邮件与其联系,而不包括信息在其设备上存储信息。
首先,主动和单独的同意以及提供全面信息的标准显然也适用于第一个复选框。这里“主动同意”似乎不成问题,因为复选框没有被预先勾选。相比之下,我对单独同意存在怀疑。根据上述分析,就本案的事实而言,为了获取处理个人数据的同意,更好的展现形式是有一个单独的按钮可以点击,而不仅仅是一个勾选框。
其次,关于与活动组织者和合作伙伴联系的第一个复选框,应考虑到2016/679条例第7(4)条。根据这项规定,在评估是否自由给予同意时,应最大限度地考虑,在履行合同包括提供服务时,是否以同意处理对履行该合同而言不必要的个人数据为条件。因此,2016/679号条例第7(4)条现将“禁止捆绑”行为写入法律。
从“应最大限度考虑”一词可以看出,禁止捆绑并非绝对。
在此,主审法院需要评估用户在参与彩票活动中给出同意的个人数据是否具有必要性。参与活动的根本目的是“出售”个人数据(即同意被所谓的“赞助商”联系以获得促销优惠)。也就是说,提供个人数据是用户参加彩票活动的主要义务。在这种情况下,我觉得处理这些个人数据对于参加活动而言是必要的。
未完待续
GDPR相关文章请见:
互联网mate
一小撮人眼中的互联网世界:我们站在法律和互联网的十字路口,与同样在此张望的人共觅方向。
1
编辑:笑笑
转载需注明出处,谢谢!
热切期盼与您的交流,认识我们的请直接微信,不认识的请后台留言。
更多出海互联网行业干货与资讯分享,欢迎关注资深出海法律顾问Jackie的公众号业务合作、投稿、学术交流,欢迎添加微信:jie-72,烦请备注名称+单位+意向
编辑简介