附问答全文 | 奥地利发布关于Cookie和数据保护的13个Q&A
欢迎点击上方 TMT法律论坛 关注我们
导读
Law
★
NEWS
★
近日,奥地利数据保护机构(Datenschutzbehörde,“Dsb”)发布指南,对如下13个与Cookie相关的数据保护常见问题作出解答:
什么是Cookie?
规制Cookie的法律框架是什么?
哪些情况下,我可以向数据保护机构投诉网站不当使用Cookie?
Cookie是个人数据吗?
什么情况下可以认定使用Cookie是“技术上必要”的?
什么是Cookie横幅(Cookie Banner),我的网站是否需要设置Cookie横幅?
Cookie横幅应如何设计以确保获得有效的同意?
同意按钮是否必须与不同意按钮设置不同的颜色?
什么是“付费或同意”?这是法律所允许的吗?
当我使用Cookie时,我是否总有通知网站访问者该情形的义务?
我应如何履行在我的网站上提供有关Cookie使用信息的义务?
我可以使用广告行业标准或“Cookie同意工具”来设计Cookie横幅吗?
如果我的网站上设置或读取了Cookie,我是否负责数据保护?
获取问答全文,请点击文末“阅读原文”。
★
重点内容
★
一、Cookie是否是个人数据?
Dsb明确一般情况下,Cookie(或更确切地说:Cookie中包含的信息)本身不符合GDPR第4条第1款对“个人数据”的定义,但是在某些个例中,Cookie中包含的信息可以与其他信息相互结合以识别或关联至个人,由此构成“个人数据”。例如,当Cookie中包含UUID或其他在线标识符,且网站运营商有能力将这些标识符与特定个人相关联时。
二、“技术上必要的Cookie”
和“技术上非必要的Cookie”
Dsb进一步将Cookie区分为“技术上必要的Cookie”和“技术上非必要的Cookie”。
技术上必要的Cookie,即从技术角度上看,在相应网站上或通过多个网站或终端设备使用Cookie记录和评估人员行为的服务是必要的,如电商网站用于保存购物车内容的Cookie。一般来说,社交媒体服务和广告插件相关的Cookie不是技术上必要的Cookie。
对于技术上必要的Cookie,在使用前无需获得网站访问者的同意,因此也无需设置Cookie横幅。
技术上非必要的Cookie在使用前则必须获得网站访问者的同意,且该同意须符合GDPR第4条第11款和第7条的要求。网站运营者应当通过设置Cookie横幅获得网站访问者对设置和读取Cookie的同意。
三、如何设计Cookie横幅
Dsb指出,通过Cookie横幅获取同意需注意:
在使用Cookie前必须事先获得同意;
确保同意由数据主体清晰、主动、自愿作出,仅通过浏览器设置允许Cookie的使用或在Cookie横幅中默认同意不视为有效同意,不得强迫或引导用户作出同意(如通过颜色区分使得“同意”按钮更为显眼),用户拒绝同意不应影响其对网站的访问,选择同意应当与拒绝同意一样简单;
Cookie横幅中应清晰描述如何撤回同意,撤回同意应与同意一样简单。
四、如何通过Cookie横幅履行告知义务
无论使用“技术上必要的Cookie”或“技术上非必要的Cookie”,若涉及处理个人数据,则根据GDPR第4条规定,数据处理者均应充分履行告知义务。
当通过Cookie横幅取得访问者同意时,在Cookie横幅中至少应告知用户:
数据控制者的身份;
数据处理的详细目的和法律依据;
明确可随时撤回同意并提供撤回方式;
置入详细说明数据处理规则的隐私政策超链接。
五、Cookie墙
在使用Cookie墙(Cookie Wall)的情况下,用户可以选择付费浏览网站或同意网站运营者使用Cookie。
目前,Dsb认可此种做法的合法性,但这一做法尚未得到欧洲法院的判例支持。同时,Dsb指出,网站运营者设置Cookie墙时,应保证:
遵循所有数据保护法,特别是GDPR的要求处理数据;
网站运营者不得为公共当局或其他公共机构;
网站所提供的内容或服务不具有排他性;
网站运营者在市场上无垄断地位或准垄断地位;
付费方案价格公平、合理;
若用户选择付费,则不得将用户个人数据用于个性化广告。
在法国国家信息保护委员会(CNIL)5月16日发布的新Cookie评估标准中,CNIL同样支持了网站运营者在用户拒绝Cookie追踪的情况下,要求用户付费以弥补广告损失的做法。
CNIL进一步指出,网站运营者采用这一做法时,必须:
告知用户其数据的使用情况;
在最小必要范围内收集数据;
改变数据使用目的时,须事先明确告知用户并在必要时征得同意;
允许用户根据Cookie目的自主选择接受或拒绝部分数据跟踪。
同时,CNIL建议网站公布付费模式的定价规则以证明其合理性。
作者往期文章推荐
中伦解读
域外关注
本期编辑:陈瑊 陈煜烺 林婉琪