【如何做一块安全的饼干】之cookies的用户告知与法律基础

魏彤出海互联网法律观察

2024-08-25

文/ 魏彤垦丁律所W&W团队海外数据合规顾问

越来越多的app和网站页面中开始出现单独的cookies政策。cookies作为一种追踪方式对于畅游网络的我们来说并不陌生，在欧盟ePrivacy Directive生效之后，更是格外受到网络服务提供商的重视，今天我们在合规角度，说说如何做到确保用户被正确告知了关于cookies的信息。

一、

哪些关于cookies的信息需要被告知

GDPR明确要求了追踪工具的使用需要满足“透明和信息告知”要求，并且在第29条工作组的文件中进行了详细阐释。但具体如何达成该要求，即便在欧盟内部，不同成员国的数据监管机构的思路都不完全相同，更不用说视角放之全球。下文中提到的思路与建议均为从普适角度切入，如需针对性的针对某一特定市场／特定国家进行cookies合规设计，请依文末方式联系本团队。

大多数国家的数据监管机构接受以两层递进的方式对cookies相关信息进行描述。

在形式层面，需要保证用于描述的语句，以清晰准确的词句和句子结果来表述，过于复杂的句式结构、易引发歧义的表述方法和不必要的技术术语、法律术语要在最大程度上进行避免。

图片来源网络

尤其在涉及到儿童被包含在目标用户群当中时，表述方式需要相应的调整得更加易懂，比如同样的产品在智能电视、平板、笔记本电脑端的cookies政策的表述，考虑到更可能接触儿童用户，就要进行一定的合规考虑，语句是否需要设计得更为通俗易懂，

而在具体内容层面，主要思路为在第一层进行较为基础的信息介绍，此处可以放在隐私政策等其他政策文件中作为其一部分；第二部分再进行更为具体的阐述，一般会作为单独的cookies政策来体现。具体来讲，

第一层需包含：

·网站发布者或应用所有者的身份（如果无法直接轻松理解的话）。在大多数情况下，在第一层给出公司经营者所有的商标即可，在第二层再对公司的注册名称进行展示。

·指出是否使用了第一方或第三方Cookies，其名称分类及其用途。

ICO和CNIL都建议在此处使用cookies的标准化名称，并在可能的情况下将其划分类别，并适当解释每个类别的目的和特征（例如分析性cookie）。另外，CNIL建议在下拉菜单中显示通用目的和进一步的解释。

一些流量很大的网站（例如新闻网页）通常会使用数十个甚至数百个cookies，这时不需要单独为每个cookies提供过多的信息。

·给出有关处理的数据类型的一般信息。比如根据收集的目的来对数据类型进行说明是一种推荐做法。

·用户撤回同意的机制。

·给出清晰的链接链到第二层的其他信息。

在对第一层信息进行展示时，一般来说UI应提供三个按钮选项：两个同样大小、颜色的高亮按钮“同意”、“拒绝”和为更好的透明度给予用户的“自定义”按钮（此处无强制要求和同意拒绝按钮外形表象完全相同）。此处对于UI一致的要求，源于不能运用视觉表现来促使用户更倾向于选择点击“同意”按钮。一个16号字的闪闪发光ACCEPT搭配4号字的浅灰色REJECT明显是不合规的，同样的，预先在勾选框中选中“同意”也并不能算作合规的进行了cookies合规展示并获得了用户同意。

图片来源网络

第二层的信息根据GDPR第13条的要求，需要包括数据被处理相关的信息，以及cookies如何工作和cookies使用的目的，比如：

·cookies收集的信息传输给第三方时。必须将该第三方姓名清楚地标出。不允许使用“合作伙伴”或“第三方”来代称。

因为这种情况下的同意缺乏具体性，也无法达成充分的告知。GDPR要求用户在给出同意之前必须具有识别第三方实体的能力，且数据控制者须做到提供达信息准确和访问所述信息便利。

一些公司和产品甚至设计了单独的同意书：一种用于使用非必要的cookie，另一种用于向第三方披露。

·传输到第三国的情形，尤其是在没有提供足够保护的情况下。

·Cookies的保存期限

通常而言，cookies政策、cookies开关和同意管理平台（CMP）中的cookies相关信息被视为第二层的cookies信息告知。

二、

使用cookies的法律基础是什么？

- 事先告知的同意

和用其他方式获取用户信息一样，一般来说，使用cookies这种追踪技术的法律基础是要获取数据主体（用户）事先告知的同意。

举例来说，以下场景中的cookies使用必须要得到用户事先告知的同意：

·在线广告cookies

·Cookies 监控

·收集用户的行为和喜好的cookies

·信息会传输给第三方的cookies

- 例外情况：数据控制者的合法权益

除了获取用户的明确同意之外，第29条工作小组在Article 29 Working Party Opinion 4/2012 on Cookie Consent Exemption中还规定了例外情况的使用要求：

·仅用于在电子通信网络上进行通信传输的目的；或

·为达到订阅用户或用户的明确要求，对于信息社会服务的提供者来说有绝对的必要

只有严格的符合“合法权益”要求的cookies才可以在获取同意前就进行预安装

在具体应用中，如下的一些cookies比如在购物车、认证、个性化定制、安全、负载平衡等场景中的cookies 会使用“数据控制者的合法权益”来作为法律基础。

- 关于数据分析型cookies

除了上述明确列举的cookies类型，还有一种开发者们经常涉及到但较难明确归类法律基础的cookies类别-用于统计网站／App使用情况和数据分析的cookies。

同在GDPR框架下，欧盟各国的具体立法和态度，对于该类cookies的法律基础要求也不尽相同。比如在德国和法国，只要不把收集到的信息分享传输给第三方，数据分析型的cookies是可以不获得用户的事先同意，把“合法权益”作为法律基础来使用的；而另一些国家比如英国和西班牙就更倾向于要求数据分析型cookies必须获得数据主体的事先告知的同意，除非该适用情形严格的遵循了第29条工作小组的“对于信息社会服务的提供者来说有绝对的必要”要求。

下一篇我们来具体说说“同意”的具体思路和要求，敬请期待！

作者简介

魏彤，垦丁律所W&W国际团队数据隐私合规顾问，前欧盟DPO。

联系方式：15926458510

团队简介：垦丁海外律师团队深耕海外多地区多条业务线，通过多年来积累的出海法律服务经验以及资源优势，结合本土化的合规经验与国际化的思维，致力于为出海互联网企业提供专业的一站式法律解决方案，为逐鹿海外的互联网企业提供优质及多元化的法律服务，为各类新型业务搭建运营合规体系及提供有效的风险评估及合规解决方案。

#更多往期出海业务精彩文章#

【突发】特朗普签署总统令：正式封杀微信TikTok，45天后生效

突发！美国政府宣布扩大洁网计划来保护美国资产

美国封禁TikTok事件追踪：各方声明汇总

04/08 日本发布命令暂停在网站上公布个人信息

【快讯】虎牙海外获巴西法院支持禁止当地主播在YouTube直播

「重磅」《跨境电子商务零售进口法规案例汇编》发布

「重磅」《2020互联网出海热门地区投资法律介绍》发布

印度封杀中国APP，谈谈出海印度企业的风险应对策略

针对印度政府禁止59款中国APP最完全版解读

「突发」印度政府宣布封禁59款中国APP ，包括微信和抖音海外版

「重磅」《2020互联网出海全球数据合规法律观察报告》发布