欧洲观察 | 法国:CNIL确认谷歌履行了关于使用Cookie的合规指令
W&W国际法律团队
专注互联网出海法律实务:
W&W国际法律团队深耕海外多地区多条业务线,通过多年来积累的出海法律服务经验以及资源优势,结合本土化的合规经验与国际化的思维,致力于为出海互联网企业提供专业的一站式法律解决方案,为逐鹿海外的互联网企业提供优质及多元化的法律服务,为各类新型业务搭建运营合规体系及提供有效的风险评估及合规解决方案。
互联网前沿领域法律服务:
W&W国际法律团队深耕出海法律实务的同时,也紧跟互联网前沿动态,可以为互联网企业提供前沿领域的法律服务,为企业开拓新的业务领域保驾护航,比如AIGC产品全链路合规法律服务,包括AI与数据合规, AIGC与知识产权布局、侵权风险防范,内容审核标准制定等。
覆盖以下行业领域:
物联网、智能家居、智能汽车、车联网、芯片制造、Web3.0、NFT、AI、电子设备及智能终端制造、数字化安全、IOT、云计算与服务、社交网络平台、电子商务、短视频视听直播、网络游戏、人力资源等行业领域。
(此处仅展示部分内容,如有任何需求,请尽管与我们联系。)
引言
鉴于当前世界各国在科技与网络领域的监管呈现复合型趋势,W&W地区观察专题将触及个人信息保护、数据合规、网络安全、人工智能、数字经济等板块,跟踪并解读全球主流出海目标国在上述领域中的立法、监管动向,提示企业合规要点,为企业开展出海业务、部署国内合规工作提供参考。
01
法国:CNIL确认谷歌履行了关于使用Cookie的合规指令
2023年8月1日,法国数据保护机构(CNIL)公布了编号为SAN-2023-012的决定, 该决定于2023 年 7 月 13 日发布确认了针对谷歌公司和谷歌爱尔兰有限公司的禁令,确认其符合 2021 年 12 月 31 日发布的第 SAN-2021-023 号决定。在该决定中,CNIL 对谷歌公司和谷歌爱尔兰公司分别处以 9000 万欧元和 6000 万欧元的罚款,原因是他们未能使在 google.fr 和 youtube.com 上拒绝使用 cookies 的操作与接受 cookies 的操作同样简便,违反了 1978 年 1 月 6 日颁布的第 78-17 号《关于数据处理、数据文件和个人自由的法案》第 82 条的规定。
决定的背景:
CNIL 特别强调,在 2021 年 12 月 31 日的决定中,除了处以上述总额达 1.5 亿欧元的罚款外,CNIL 还命令谷歌在 google.fr 和 youtube.com 网站上为用户拒绝使用 cookies 提供便利。
CNIL的调查结果:
根据上述情况,CNIL 指出谷歌于 2022 年 4 月 4 日对该命令做出回应,概述了其已进行了技术上所做的技术改变。具体而言,谷歌在 Cookie 按钮旁边安装了一个标有 "仅允许必要使用 Cookie "的拒绝按钮。
结果:
综上,CNIL认为谷歌的行为符合2021年12月31日裁决下达的命令,并确认无需支付违规后每天追加100,000欧元的罚款。
垦丁W&W简评:
《法国数据保护法》第82条规定,“除非事先通知,任何电子通信服务的用户或使用者必须被该服务的控制者或代表以明确和完整的方式告知”(1)任何将通过电子传输获取已存储在其电子通信终端设备中的信息,或记录此类设备中的信息的行动的目的;(2)其所拥有的异议手段。仅当订阅者或用户在收到该信息后明确表示同意后,读取或者写入信息的行为才被允许,这种同意可以表现为其连接设备或其他任何由其控制的设备所显示的参数。”依据该规定,在编写或读取cookies和其他追踪器的任何操作之前,除某些特殊情况外,电子通信服务提供商有义务获得用户的同意。出海欧洲涉及类似业务并进行经营的企业,首先应明确及充分的告知用户使用Cookie的目的以及相应的目的下会收集和使用哪些数据。其次,用户的明确同意应当以其积极的行为表达确认,而不能通过默认等方式代替用户行使授权。同时企业还应当为用户提供便捷有效的拒绝存储Cookie的选项。
02
欧盟:数据保护委员会在第83次全体会议上讨论关于DPC对TikTok的决定草案
2023 年 7 月 28 日,欧洲数据保护委员会(EDPB)公布了定于 2023 年 8 月 2 日召开的第 83 次全体会议的议程。特别是,议程指出EDPB将重点讨论数据保护委员会(DPC)关于 TikTok 的决定草案所引发的争议。
垦丁W&W简评:
此前,DPC于2022年9月13日宣布,它已向欧盟其他监管机构提交了一份关于对TikTok进行大规模调查的决定草案。DPC重点调查其对儿童个人数据的处理,即默认情况下公开处理与18岁以下用户有关的平台设置,以及对13岁以下用户的年龄验证措施。依据GDPR第60条规定的程序,DPC向其他监管机构提交决定草案,其他机构有一个月的时间审查决定草案并提出任何相关且合理的反对意见。建议出海企业实时关注该决定草案的相关动态,针对性地自查企业内部关于儿童用户年龄验证的设置以及儿童个人数据处理活动等保障措施是否到位。
03
英国:确认第一个执法数据充分性决定
2023年7月7日,英国政府通过议会立法,做出了自脱欧以来的第一个执法充分性决定。该充分性决定允许英国执法当局出于执法目的自由地将个人数据传输给根西岛管辖区当局。根据英国政府,充分性决定允许在没有额外保障或授权的情况下从英国转移个人数据,并保证根西岛管辖区强有力的隐私法将为英国公民的个人数据和权利提供保护。
英国政府还在评估泽西行政区和马恩岛的执法数据充分性,该评估将在不久的将来完成。
垦丁W&W简评:
执法数据充分性决定是指政府确定一个国家、组织或部门拥有保护英国个人数据所需的必要数据保护和隐私标准,从而无需进一步的保护或特定授权即可传输个人数据。这一决定涉及与信息专员办公室合作,完成对该国执法数据保护立法的全面评估。建议出海企业持续关注英国该评估后续相关动态。
近期推荐阅读:
吐故纳新 | 2023年特刊之V4.0版《个人信息保护与数据合规法律汇编》
挥毫泼墨谱合规 | 2023《全球数据合规法律观察报告》重磅发布
要点分析 | 欧盟Artificial Intelligence Act 解读(二)
要点分析 | 欧盟Artificial Intelligence Act 解读(一)
要点分析 | 中国《生成式人工智能服务管理办法(征求意见稿)》解读
重榜发布 | 《AIGC产业发展与法律合规实务手册》(第一版)
重磅蓝皮书 | 《中国个人信息保护法与海外多国/地区数据合规法律企业合规要点比较报告》发布
欧洲观察 | 欧盟消费者组织呼吁在最终确定的《人工智能(草案)》中确保消费者保护
欧洲观察 | 欧盟与新西兰缔结自由贸易协定,其中包括数据保护承诺
北美观察 | 美国加利福尼亚州消费者保护局将审查联网汽车的隐私保护措施
王 捷 律师
垦丁广州联合创始人、执行主任、垦丁国际业务部负责人
W&W国际法律团队创始人
业务领域:
个人信息保护与全球数据合规、数据合规、互联网与网络法实务合规、企业出海合规、网络安全
王律师持有CIPP/E(国际信息隐私专家认证/欧盟)、区块链应用操作员资格证书、数据安全师、数据合规官资格证书,是联合国世界丝绸之路委员会专家,中国国际贸易促进委员会深圳调解中心专家调解员,广东省法学会信息通讯法学研究会理事,荷兰RuG国际经济法与商法硕士。
王律师曾在阿里巴巴大文娱集团、国际律所与海外仲裁委员会工作积累了12年+科技型公司实务经验,具备中外律所从业背景。专业能力模块包括产品风险管控、业务流程搭建、竞对攻防布局、政府监管合规、海外公司治理等。王律师已为多家头部与一线的知名互联网公司、大中型外资企业及大型国企提供专业法律服务,行业覆盖物联网、智能终端制造、IOT、云计算与服务、社交网络平台、电子商务及平台、智能汽车与车机系统、芯片制造业、网络游戏、Web 3.0、NFT、AI、以及GPT等新兴领域。
王律师擅长解决由互联网、数据及智能技术引发的数据安全风险与合规解决方案落地,包括数据保护与合规、产品风险管控、业务流程搭建、风险分析评估、政府监管合规、竞对攻防布局,已为各类涉互联网企业拓展全球市场提供法律支持,尤其擅长为企业出海欧美、东南亚、印度、日韩、中东、中国港澳台地区等新兴及重要市场提供有效的合规解决方案与落地支持。
同时,王律师独著《Comparison of Various Compliance Points of Data Protection Laws in Ten Countries/Regions》,在全球最高分的六篇论文中,荣获国际知名隐私组织FPF第 12 届政策制定者年度隐私论文奖,该文章同时被评为年度隐私政策制定者“必读”文章。其耕笔的多篇互联网与数据合规文章收录于国际知名专业数据库。
联系方式:jie.wang@kindinglaw.com
+86 13650790754
欢迎对数据合规感兴趣的法务同行加入
【全球数据合规实务群】
请添加主编微信(jie-72)
(入群请详细备注姓名、单位、研究领域)
资讯编写
叶影
垦丁律师事务所W&W国际法律团队实习生