W&W解读|欧洲动态|指南+1！Cookie等跟踪技术指南草案通过

Original 王捷资深出海法律顾问出海互联网法律观察

2024-08-25

文/ 邹思乐倪子媛

W&W国际法律团队

专注互联网出海法律实务：

W&W国际法律团队深耕海外多地区多条业务线，通过多年来积累的出海法律服务经验以及资源优势，结合本土化的合规经验与国际化的思维，致力于为出海互联网企业提供专业的一站式法律解决方案，为逐鹿海外的互联网企业提供优质及多元化的法律服务，为各类新型业务搭建运营合规体系及提供有效的风险评估及合规解决方案。

互联网前沿领域法律服务：

W&W国际法律团队深耕出海法律实务的同时，也紧跟互联网前沿动态，可以为互联网企业提供前沿领域的法律服务，为企业开拓新的业务领域保驾护航，比如AIGC产品全链路合规法律服务，包括AI与数据合规， AIGC与知识产权布局、侵权风险防范，内容审核标准制定等。

覆盖以下行业领域：

物联网、智能家居、智能汽车、车联网、芯片制造、Web3.0、NFT、AI、电子设备及智能终端制造、数字化安全、IOT、云计算与服务、社交网络平台、电子商务、短视频视听直播、网络游戏、人力资源等行业领域。

（此处仅展示部分内容，如有任何需求，请尽管与我们联系。）

引言

欧洲数据保护委员会（European Data Protection Board，下称EDPB）于2023年11月15日宣布在其第87次全体会议上通过了《隐私与电子通信指令（2002/58/EC）》（Privacy and Electronic Communications，下称《电子隐私指令》）第5(3)条的技术范围指南（下称“指南”）。在该指南中，EDPB 讨论了《电子隐私指令》第 5(3)条对不同技术方案的适用性，旨在明确哪些技术操作（特别是新出现的跟踪技术）属于《电子隐私指令》的范围。

背景

新的跟踪技术与《电子隐私指令》

新的跟踪技术的出现，既取代了现有的跟踪工具（例如 Cookie），又创造了新的商业模式，这已成为数据保护方面的一个重要问题。

《电子隐私指令》第5(3)条的根本目的是保护在线浏览的用户免受 Cookie 和类似跟踪技术的影响。其规定“只有在征得同意或出于特定目的的必要性的基础上，才允许在用户或使用者（subscriber or user）的终端设备中存储信息或获取已存储的信息”。该条款的目的是保护用户的终端设备，因为这属于用户私人领域的一部分。根据关于Cookie同意豁免的第4/2012号意见（Working Party Opinion 4/2012 on Cookie Consent Exemption）第29条，《电子隐私指令）第5(3)条不仅适用于cookie，也适用于 "类似技术"。然而，目前还没有一份全面的清单，列出第 5(3) 条适用范围所涵盖的技术操作。

换言之，《电子隐私指令）第5(3)条的适用范围仍不明确，无法厘清该条款是否适用于新兴跟踪技术。

主要内容解读

主要概念解析

本指南旨在对《电子隐私指令》第 5(3)条的适用范围进行技术分析，即梳理 "存储信息或获取存储在用终端设备中的信息 "这一短语所涵盖的内容。该指南不涉及讨论在“哪些情况下的处理操作可能适用《电子隐私指令》规定的同意豁免。指南的最后一部分对一些常见跟踪技术的具体使用案例进行了分析，但并非穷尽式列举。

根据《电子隐私指令》第5（3）条，如果满足以下条件则适用该条款：

a. 所进行的操作涉及“信息”（information）。需要注意的是，这里使用的术语不是“个人数据”（personal data），而是“信息”。

b. 所进行的操作涉及用户的“终端设备”（Terminal Equipment of a Subscriber or User）。

c. 所进行的操作是在“提供公共通信网络中的公开可用电子通信服务（electronic communications services）”的背景下进行的。

d. 所进行的操作确实构成了“获取访问权”（gaining access）或“存储”（storage）。这两个概念可以独立研究，具体分析见下文。

信息（information）VS个人数据？

信息比个人数据的概念更宽泛。《电子隐私指令》使用“信息”这一术语而非“个人数据”（personal data），与该指令的立法目的与范围有关。第 5(3)条的目的是保护用户的私人领域，但即使不涉及任何个人数据，用户私人领域仍有被入侵的风险，例如在用户终端上存储病毒。因此 "信息 "一词的定义不应局限于与已识别或可识别的自然人有关的属性。欧盟法院也在判例中表明：“第 5(3)条的保护适用于存储在终端设备中的任何信息，无论其是否属于个人数据……”

换言之，信息的概念既包括非个人数据，也包括个人数据。至于这些数据是如何存储的，由谁存储（包括外部实体、用户、制造商或任何其他情况）并不会造成影响。

什么是用户的终端设备？

根据2008/63/EC指令，“终端设备”被定义为：“直接或间接连接到公共电信网络接口的设备，用以发送、处理或接收信息”。《电子隐私指令》前言第24条清楚地阐述了终端设备在第5（3）条所提供的保护中的作用：《电子隐私指令》所保护的用户隐私不仅关乎用户信息的保密性，也涉及保护用户终端设备的完整性。这一理解贯穿整个指南中对终端设备概念的解释。

具体而言，对终端设备的理解为，只要设备不是通信的端点，或者设备仅作为通信中继（只是传递信息而不对该信息进行任何修改），它就不应被视为《电子隐私指令》所述的终端设备。

另外，用户可以拥有或租用或以其他方式获得终端设备。多个用户可以在共用同一终端设备。无论电子通信是否由用户发起，或者用户是否意识到电子通信的进行，《电子隐私指令》都对用户的终端设备提供保护。

什么是电子通信网络？

电子通信网络（electronic communications network）的概念在《电子隐私指令》内没有定义。这个概念最初出现在2002/21/EC指令（Directive 2002/21/EC）中，后来被《欧洲电子通信法典》（the European Electronic Communications Code）所取代。现在的定义是：

"电子通信网络 "是指传输系统（无论是否基于永久性基础设施或集中管理），以及交换或路由设备（switching or routing equipment）和其他资源，包括非活动的网络元素，它们允许通过有线、无线电、光学或其他电磁方式传输信号、包括卫星网络、固定网络（包括互联网）和移动网络、电缆系统（只要它们是用于传输信号）、用于无线电和电视广播的网络以及有线电视网络。

此定义说明传输技术是中立的。根据此定义，电子通信网络是任何允许在其节点之间传送电子信号的网络系统。根据《欧洲电子通信法典》，电子通信网络的概念不取决于基础设施的公共或私人性质，也不取决于网络的部署或管理方式。因此，电子通信网络的定义足够广泛，可以涵盖任何类型的基础设施。它包括由运营商管理/不管理的网络、由一组运营商共同管理的网络，也包括临时网络等。

如何理解“获取访问权”？

为了正确理解“获得访问权”的概念，重要在于理解《电子隐私指令》的范围，指令第1条说明：“本指令旨在确保在电子通信领域处理个人数据时基本权利和自由，特别是隐私权……”。因此，《电子隐私指令》是一部保护通信机密性和设备完整性的隐私保护法律。对于自然人而言，用户的终端设备是他们私人领域的一部分，未经他们知晓访问其上存储的信息可能严重侵犯他们的隐私。

存储和访问不需要同时存在

根据WP29 Opinion 9/2014的表述：“《电子隐私指令》第5（3）条使用‘存储或访问’这些词表明，存储和访问不需要在同一通信中发生，也不需要由同一方执行。因此，由一方存储的信息（包括用户或设备制造商存储的信息）随后被另一方访问，也属于第5条（3款）的适用范围。换句话说，访问权这一概念的适用对终端设备上信息的来源没有限制。

获得访问权的具体表现场景

根据指南，《电子隐私指令》第5（3）条所述的“获得访问权”，应当解释为访问实体（accessing entity）希望获得存储在终端设备中的信息，并为此主动采取措施。通常情况下，表现为访问实体主动向终端设备发送特定指令，以便接收目标信息。例如，在使用cookies时，访问实体指示终端设备在每个后续的HTTP（超文本传输协议）调用中主动发送信息。

再比如，当访问实体在用户的终端上分发软件，该软件随后会主动通过网络调用API（应用程序编程接口）端点。

如何理解存储的信息和存储？

存储（storage）

第5（3）条意义上的“信息存储”是指将信息放置在作为用户终端设备一部分的物理电子存储介质（physical electronic storage medium）上。通常，信息不是通过另一方直接访问而存储在用户的终端设备中的，而是通过指示终端设备上的软件生成特定信息。通过此类指令进行的存储被视为由另一方直接启动，例如利用浏览器 cookie 存储等既定协议以及定制软件。

《电子隐私指令》没有对信息在存储介质上的持续时间设定上限或下限，也没有对存储的信息量设定上限或下限。其对存储信息的介质类型（比如：硬盘驱动器 (HDD)、固态驱动器 (SSD)、闪存驱动器和随机存取存储器 (RAM)）也没有作出特殊规定，只要网络存储介质构成本地存储介质的功能等效物，那么该存储介质就被视为终端设备的一部分。

存储的信息（stored Information）

最后，“存储的信息”可能不仅仅是源自于上述《电子隐私指令》第5（3）中所描述的”信息存储“。它也可能源于用户、硬件制造商或任何其他实体存储；可能是终端内集成的传感器的结果；或者是通过在终端设备上执行的过程和程序产生的。

垦丁W&W简评

虽然《电子隐私指令》第 5(3)条的适用性已得到确立，并已在 Cookie 等某些跟踪技术中得到实施，但该条款仍存在适用范围含糊不清的问题。这将导致运营商大量采用其他新型跟踪技术来跟踪互联网用户，甚至逃避该条款规定的法律义务。

EDPB发布的跟踪技术指南对《电子隐私指令》第5（3）条涉及的五个关键定义进行了梳理，一方面，指南保留了欧盟现行有效的电子信息相关法规对于这些关键定义的解释，避免互相冲突；另一方面，指南对于第5（3）条的解释始终遵循《电子隐私指令》的立法宗旨，即确保在电子通信领域处理个人数据时基本权利和自由，不仅保护用户信息的保密性，也涉及保护用户终端设备的完整性。该指南对第5（3）条的适用范围做出了全面解释，以应对已出现以及未来可能出现的跟踪技术所引发的法律风险，也对企业进行跟踪技术的合规性审查提供了明确指引。

主编介绍

王捷 律师

垦丁国际业务部负责人、广州执行主任

W&W国际法律团队创始人

荣登律商联讯（LexisNexis）2023「40位40岁以下的法律精英」榜单

业务领域：

个人信息保护与全球数据合规、数据合规、互联网与网络法实务合规、企业出海合规、网络安全

王律师持有CIPP/E（国际信息隐私专家认证/欧盟）、区块链应用操作员资格证书、数据安全师、数据合规官资格证书，是联合国世界丝绸之路委员会专家，中国国际贸易促进委员会深圳调解中心专家调解员，广东省法学会信息通讯法学常务理事，荷兰RuG国际经济法与商法硕士。

王律师曾在阿里巴巴大文娱集团、国际律所与海外仲裁委员会工作积累了12年+科技型公司实务经验，具备中外律所从业背景。专业能力模块包括产品风险管控、业务流程搭建、竞对攻防布局、政府监管合规、海外公司治理等。王律师已为多家头部与一线的知名互联网公司、大中型外资企业及大型国企提供专业法律服务，行业覆盖物联网、智能终端制造、IOT、云计算与服务、社交网络平台、电子商务及平台、智能汽车与车机系统、芯片制造业、网络游戏、Web 3.0、NFT、AI、以及GPT等新兴领域。

王律师擅长解决由互联网、数据及智能技术引发的数据安全风险与合规解决方案落地，包括数据保护与合规、产品风险管控、业务流程搭建、风险分析评估、政府监管合规、竞对攻防布局，已为各类涉互联网企业拓展全球市场提供法律支持，尤其擅长为企业出海欧美、东南亚、印度、日韩、中东、中国港澳台地区等新兴及重要市场提供有效的合规解决方案与落地支持。

同时，王律师独著《Comparison of Various Compliance Points of Data Protection Laws in Ten Countries/Regions》，在全球最高分的六篇论文中，荣获国际知名隐私组织FPF第 12 届政策制定者年度隐私论文奖，该文章同时被评为年度隐私政策制定者“必读”文章。其耕笔的多篇互联网与数据合规文章收录于国际知名专业数据库。

联系方式：jie.wang@kindinglaw.com

+86 13650790754

推荐阅读：

垦丁荣誉｜王捷律师荣登律商联讯2023年 “40位40岁以下的法律精英”榜单

W&W国际法律团队 | 欧盟-美国隐私框架「DPF」解读全系列

W&W国际法律团队 | 印度2023数字个人数据保护法案最新要点解读

W&W团队解读|泰国最新个人数据跨境路径Q&A（附法规合集）

挥毫泼墨谱合规 | 2023《全球数据合规法律观察报告》重磅发布

合规实务 | AIGC非知识产权领域的法律风险与合规应对

合规实务 | AIGC知识产权领域的法律风险与合规应对

要点分析 | 欧盟Artificial Intelligence Act 解读（二）

要点分析 | 欧盟Artificial Intelligence Act 解读（一）