Cookies无小事,合规需谨慎
导读
2022年6月27日,法国最高行政法院(Conseil d'État)维持了法国数据保护局(CNIL)2020年12月针对亚马逊违法使用Cookies的行政处罚。针对CNIL开具的高达3500万欧元的罚单,亚马逊进行了持续一年半的行政复议。而法国最高行政法院的决定为本次处罚画上句号。
本案对大型网络平台使用Cookies收集个人信息的合法合规边界,具有较为重要的启示意义。
案件事实
amazon.fr是Amazon Europe Core(亚马逊欧洲核心公司)在法国设立的承担推广及营销作用的公司。而Amazon Europe Core在利用amazon.fr开展营销工作时,通过特殊的cookies设置,大量收集了“amazon.fr”网站端的用户的数据并存放于其终端上。
而CNIL通过针对该商业模式的调查后,发现了两项违反《法国数据保护法》第82条的行为:
1
未经用户事先同意而存放cookie
当用户访问amazon.fr 网站的页面时,无论其访问路径是直接进入“amazon.fr”网站,还是通过广告进入该网站的“产品”页面,在其进行任何操作之前,用于广告目的的大量cookie会自动储存在其计算机上。CNIL认为,使用这种类型的cookie并非服务所必须,因此只有在用户表示同意后才能存储。在到达网站的同时存放cookie这种做法在性质上与应当获取用户“事先”同意这一法定要求不符。
2
amazon.fr网站没有向用户提供
必要告知或说明
亚马逊提供的关于“cookies”的访问或注册操作的信息要么不完整,要么不存在。该网站弹出的提示横幅内容为“通过使用本网站,您接受我们使用cookie,从而允许我们提供和改进服务。阅读更多。” 而当用户点击“阅读更多的选项时”,用户无法知悉亚马逊投放于其计算机上的cookies主要用于显示个性化广告,亚马逊也没有向用户解释用户可以拒绝这些cookies以及如何拒绝。另外,当用户通过点击其它网站上发布的广告访问“amazon.fr”网站时,将会自动储存同样的cookies,而亚马逊并没有向用户提供存储cookies的相关信息。
违法性分析
《法国数据保护法》第82条规定,“除非事先通知,任何电子通信服务的用户或使用者必须被该服务的控制者或代表以明确和完整的方式告知:(1)任何将通过电子传输获取已存储在其电子通信终端设备中的信息,或记录此类设备中的信息的行动的目的;(2)其所拥有的异议手段。仅当订阅者或用户在收到该信息后明确表示同意后,读取或者写入信息的行为才被允许,这种同意可以表现为其连接设备或其他任何由其控制的设备所显示的参数。”依据该规定,在编写或读取cookies和其他追踪器的任何操作之前,除某些特殊情况外,电子通信服务提供商有义务获得用户的同意。
在本案中,亚马逊使用cookies并非为提供线上交流服务所必须,而是出于广告推送目的,不属于指南中所规定的可以不经过事先同意而使用cookies的情形。而从《法国数据保护法》第82条上看,cookies的使用须(1)在事先明确和完整地告知用户相关使用信息的基础上(2)获得用户的事先同意。针对第(1)项,“amazon.fr”中弹出的告知横幅为“通过使用本网站,您接受我们使用cookies,从而允许我们提供和改进服务。阅读更多。”这一提示仅指明使用cookies是为了允许亚马逊提供和改进其服务,并未具体说明针对具体类型数据cookies的使用是出于何种具体的目的,也并未说明用户对使用cookies提出异议的方式,并不满足明确和完整地告知用户使用信息的要求。而对于用户通过点击其它网站上发布的广告访问“amazon.fr”网站的情形,亚马逊没有进行任何的事先告知。
此外,用户在点击进入“amazon.fr”网站时,亚马逊已经开始使用cookies,此时再弹出使用cookies的提示,并不满足信息“事先提供”的时间要求。针对第(2)项,当用户访问“amazon.fr”网站的任何页面时,即用户到达“amazon.fr”网站时,亚马逊即开始使用cookies,即便网站在用户到达的同时弹出了告知横幅,实际上也仅构成事后的通知,而用户此时所表示的同意则应认定为事后的同意,不符合事先同意这一要求。且亚马逊的告知横幅中并未涉及用户是否可以对cookies使用提出异议及提出异议的方式,亚马逊未能充分保障用户的数据知情同意权的实现,违反了《法国数据保护法》第82条。
2020年12月7月,CNIL做出处理决定,认定亚马逊欧洲核心公司违反《法国数据保护法》第82条,并对其处以3500万欧元的罚款。
2022年6月27日,法国最高行政法院作出决定,维持了CNIL处理决定中的两项违反法国数据保护法第82条的行为:未经事先同意而存放cookie和未通知用户。同时,考虑到违规行为的严重程度、处理范围和公司的财务能力,法国最高行政法院认为CNIL判处的罚款金额适当。
合规提示
Cookies怎么设置、设置什么、何时设置,每一个细节,都决定平台企业广告营销等活动是否处于合法合规的边界。
我们建议出海企业,尤其是在欧洲设立官网并进行经营的企业,关注以下合规要点:
提供足够信息,充分告知用户存储cookies的目的以及相应目的下会使用哪些数据。
获得用户的明确同意。首先,用户需要知情,明确了解什么数据被用于何种存储的目的;其次,用户应当以积极的行为表达确认,而不能通过默认等方式代替用户的明确授权。
提供用户便捷有效的拒绝存储cookies的选项。
保证符合数据使用最小化原则、目的限制原则等要求。
cookies存储的数据保留期限,应当与目的实现相一致。
★
长按二维码一键关注