欧盟视角下Cookies与电子隐私保护机制

[摘要]当前互联网企业通过Cookie技术在用户终端进行信息读取和收集操作，近年来，欧洲一些国家在Cookie领域对美国互联网企业采取了一系列惩罚措施，并从立法层面上推出了《电子隐私条例》草案，作为《通用数据保护条例》（以下简称为“GDPR”）和2002/58/EC的补充和更新规则，该草案计划于今年年底前获得批准并生效①。本文将在此背景下对欧盟范围内的Cookie和电子隐私保护机制进行探讨，以为我国相关机构提供借鉴和应对策略。

[关键词]Cookie；电子隐私；GDPR；电子隐私条例

[中图分类号]TN915.08 [文献标识码]B

[DOI]：10.20122/j.cnki.2097-0536.2023.07.009

一、欧盟关于Cookie技术使用的法规与原则

Cookie是一种存储在互联网设备上的微型文本文件，具有众多功能，包括追踪用户在网页上的行为、记录用户输入的信息和验证访问在线服务的用户身份[1]。如果用户访问的网站存储了Cookie，则称为第一方Cookie。但当用户浏览网站时，存储Cookie并非仅限于主机域。除了主机域，其他域也可以存储Cookie，这些则被称为第三方Cookie。有些网站甚至允许数量夸张的广告网络的第三方Cookie在用户设备上存储[2]。此外，根据Cookie在关闭浏览器后立即到期或持续存在，可以将其分类为会话Cookie和持久Cookie[3]。随着Cookie在用户行为追踪、个人信息分析以及行为广告投放等方面的广泛应用，大众担忧个人数据可能会被收集并滥用，用于与原始收集目的不一致甚至相冲突的其他用途[4]。同时，由于大部分的数据处理过程都在后台进行，并且在线追踪过程常常缺乏透明度，增加了用户因自身行为和喜好被相关机构过度分析而被操控的可能性[5]。

在全球范围内，欧盟的法规体系对于Cookie的管理在形式上为互联网用户提供了严格且保护性的法律框架。目前，2002/58/EC号指令以及其在2009年的修订版2009/136/EC号指令（以下统称为“电子隐私指令”）是主导Cookie使用的主要法规。电子隐私指令的核心目标是确保电子通信的隐私权，其中包含了基于知情同意原则的个人信息处理规定。根据电子隐私指令的第5.3条款[6]，网站运营商在使用Cookie存储和/或访问用户计算机上的数据之前，必须取得用户的知情同意。唯一的例外是技术性Cookie，这些Cookie的使用是“仅为了在电子通信网络上进行通信传输，或者在提供用户明确要求的信息社会服务时是绝对必要的”。2009年引入的修订条款从允许用户选择拒绝的模式，转变为必须获取用户同意的模式。这意味着除非使用是直接与提供的服务相关否则任何使用Cookie的行为都必须得到用户的同意[7]。

同时，GDPR进一步规定了作为处理个人数据基础的同意原则。在GDPR中，“同意”被定义为数据主体通过自由、明确、知情和特定的行为表示其意愿，这种表示应针对第6条下的一个或多个具体目的。同意应“通过明确的积极行为表达，明确表明数据主体同意处理与其相关的个人数据”[8]。这种明确的同意可以随时被撤销。如果数据处理有多个目的，那么每一个目的都应获得单独的同意。由于Cookie的使用在很大程度上取决于用户首次访问网站时所接收到的横幅通知，因此这些横幅要求以透明和简洁的方式告知用户Cookie的存在、用户的相关权利，并请求用户对其安装进行同意。然而尽管GDPR对使用Cookie有明确规定，但许多在线数据控制者仍默认启用预选复选框，导致用户在默认情况下接受其设备上的第一方或第三方Cookie。这种做法并不被司法实践所认可。不仅如此，用户也必须被告知Cookie的持续时间和第三方可能访问其数据的情况，因为这两点都是处理个人数据的具体方式。值得注意的是，在规范Cookie技术方面，电子隐私指令所发挥的约束作用要高于GDPR，这不仅仅是由于两部法律所调整的重点不同，还体现在具体监督与执行层面上的差异。在构建GDPR框架时，为防止因涉及多个欧盟国家的个人数据处理而导致监管机构行动分散，制定者们引入了一种被称为“主管机关主导”或“一站式服务”的监管处理机制[9]，使得数据处理只需同一个主要监管机构进行交涉，极大减少了繁冗的程序问题，但在实际操作中逐渐受到了各国及研究学者的批评[10]。在电子隐私领域中，电子隐私指令框架并没有“一站式”处理的概念，有关于电子通信领域中的隐私保护规范仍然由欧盟各成员国自行决定，为处理相应问题留有了足够的余地。

二、代表国家法国涉及Cookie技术采取的惩罚措施及其司法实践

正如前文所述，欧盟各国在电子隐私指令框架内对Cookie技术的使用规范享有一定的自主权，其中法国的情况最为显著。在2020年和2021年，法国对谷歌及其母公司Alphabet和脸书公司的不当使用Cookie技术进行了调查，并根据调查结果，对三公司施加巨额罚款。处罚的原因主要集中在三个方面：首先，是否已经正确地告知用户其设备上即将放置的跟踪器的用途；其次，用户是否有实际的权力拒绝这些跟踪器；最后，用户如何实现这一拒绝权，也就是说，Cookie通知横幅的设计是否不当，导致拒绝跟踪器的过程比接受跟踪器更为复杂。

（一）关于用户是否已经正确被告知将在其设备上放置的跟踪器的目的

根据法国《数据自由法》第82条，所有电子通信服务的用户都应被“清楚和全面地告知”有关读取和写入其终端设备操作的目的，以及他们反对这些操作的手段[11]。然而，其时谷歌公司只是在法国版搜索引擎页面的底部设置了一个简单的信息横幅，即使用户点击了“提供”按钮，他们也无法获得关于Cookie隐私规则或拒绝在其设备上安装Cookie的准确信息。此后，谷歌改用了弹窗形式向用户解释Cookie的使用。然而，法国数据保护监管机构国家信息与自由委员会（以下简称“CNIL”）和法国国务委员会仍认为这种方式不够充分，因为用户需要采取额外的操作才能了解详细信息。最后，谷歌提供了直接描述追踪器使用目的的弹窗，明确Cookie技术的六个目标，即：确保服务正常运行、衡量受众、提高服务质量、传递广告、提供个性化内容和显示广告后，方满足法律的要求。

（二）关于用户是否有实际的拒绝权

在论证谷歌公司需要修改告知方式的同时，CNIL还发现，在横幅通知出现时，一些广告Cookie已经被安装在了谷歌公司用户的终端设备上，这意味着用户的选择没有得到充分考虑。这种做法显然违反了法规。尽管谷歌公司曾试图以Cookie适用的法律框架尚未巩固为理由进行辩护，但这一论点被认为是不充分的，因为即使CNIL的指南较新，这种违规行为也明显直接触及了现有的法律框架[12]。

（三）关于用户如何实现拒绝权

第二种保障的是用户享有拒绝权，第三种则是保障用户在实现拒绝权时没有受到设计因素上的阻碍。本案中，谷歌公司与脸书公司在Cookie通知上并未提供直接的、立即可用的拒绝选项，而是将拒绝选项放置在第二级菜单中，用户需要激活多个选项并确认操作。这种行为明显违背了CNIL的指导方针，即用户拒绝Cookie的难易程度应与接受Cookie相同，最为便捷的做法就是在“接受所有”（Accept all）和“自定义”（Customized）选项旁增设“拒绝所有”（Reject all）选项。两家公司针对此项指控，辩称特定的电子隐私指令还是作为个人数据普通法的GDPR，都没有要求在Cookie通知横幅需要在第一层设置拒绝按钮。虽然两部法规中确实没有明确详细说明用户界面中接受和拒绝按钮的具体设计和位置，但总体原则强调了用户有权给予自由、具体、知情和明确的同意。这通常被解释为需要在接受和拒绝Cookie之间有一个公平和简单的选择。而两家公司只提供第二级拒绝的选项，意味着用户需要额外的步骤才能够实现拒绝权，这有可能被视为使用户更难拒绝Cookie，从而阻碍了他们提供自由和知情同意的能力，这与GDPR的原则相悖。实践中，一些数据处理者知道多元选项会对用户产生实质性的影响[13]。CNCL基于此理由对两家公司的处罚，也得到了法国国务委员会的支持[14]。

三、欧盟电子隐私指令的发展动态以及对我国相关企业的启示

2017年1月由欧盟委员会推出替代当前电子隐私指令的《电子隐私条例》草案（E-privacy Regulation），旨在统一规范欧盟所有成员国在提供和使用电子通信服务期间进行的电子通信数据处理。原计划与2018年5月的GDPR同时生效，然而由于大型科技公司激烈的反对与游说，谈判的难度超出预期，批准时间推迟到了今年年底前。《电子隐私条例》草案关于Cookie技术使用规范适用于所有类型的数据控制者，包括“Over-the-Top”（OTT）服务[15]。其中规定除非满足第8条的例外情况，否则禁止使用Cookie。并且对于已同意数据处理的用户，每12个月需要提醒一次他们有权撤回同意。此外，新规定似乎合法化了Cookie墙（Cookie Walls）的使用，即用户在没有选择的情况下被迫接受Cookies，否则无法访问网站。虽然欧洲数据保护委员会认为Cookie墙与欧洲法规不兼容，但在理事会通过的文本中只要用户能做出真实的选择，Cookie墙是可以接受的[16]。除此之外，用户可以通过浏览器设置同意使用Cookie，但是用户直接声明的同意始终优先于通过浏览器设置表达的同意。

尽管《电子隐私条例》批准生效时间未定，但是可以预见在欧盟范围内，对于Cookie技术更多将倾向于个人信息与知情同意权利的保护。我国相关企业在进行跨境数据业务时应当注意这种趋势，严格符合欧盟及目标国家的法律规范，避免出现经济损失。

注释：

①欧盟将Cookie问题纳入电子隐私（E-privacy）范畴，该概念首次正式出现在2002年的《关于在电子通信领域个人数据处理及保护隐私权的指令》（Directive on privacy and electronic communications，以下简称为“2002/58/EC指令”）中。该指令要求在访问或存储跟踪器（Cookie）之前，必须向互联网用户准确提供有关跟踪器目的的信息，并征得用户同意。只有那些唯一目的是通过电子方式进行通信或根据用户明确要求提供在线通信服务的Cookie才可例外，而所有以广告为目的的跟踪器则需满足信息和授权的双重要求。

参考文献：

[1]周黎，胡海涛.基于Cookie的单点登录和网络访问控制研究[J].现代信息科技，2022，6（8）：75-78.

[2]吕芹.Cookie：技术无罪[J].互联网周刊，2014（7）：28-29.

[3]Pamela Bump.The Death of the Third-Party Cookie： What Marketers Need to Know About Google's 2023 Phase-Out.[EB/OL].https：//blog.hubspot.com/marketing/third-party-cookie-phase-out

[4]梁雪松.基于Cookie的认证机制及其安全性分析[J].通信技术，2009，42（6）：132-134+137.

[5]廖秉宜，张慧慧，刘定文.精准广告技术中的个人信息保护——基于国内100个APP隐私政策中关于Cookie技术的文本分析[J].信息资源管理学报，2023，13（1）：103-114.

[6]Directive 2002/58/EC of the European Parliament and of the Council第5.3条[DB/OL].https：//www.legislation.gov.uk/eudr/2002/58/article/5

[7]Information About Our Use of Cookies.[DB/OL].https：//www.woflaw.com/site/help/privacy_help.html

[8]通用数据保护条例第24条.[DB/OL].https：//gdpr-info.eu/art-6-gdpr/

[9]One Stop Shop （OSS）Cross-border processing and the one stop shop.[DB/OL].https：//www.dataprotection.ie/en/organisations/international-transfers/one-stop-shop-oss

[10]Joe Jones.Practical considerations from EU enforcement： One-stop shop[DB/OL].https：//iapp.org/resources/article/practical-considerations-eu-enforcement-pt2/

[11]Loi n 78-17 du 6 janvier 1978 relative à l'informatique， aux fichiers et aux libertés第82条[DB/OL].https：//www.legifrance.gouv.fr/loda/article_lc/LEGIARTI000037813978

[12]France fines Google $120M and Amazon $42M for dropping tracking cookies without consent[EB/OL].https：//techcrunch.com/2020/12/10/france-fines-google-120m-and-amazon-42m-for-dropping-tracking-cookies-without-consent/

[13]Martin Degeling， Christine Utz.el.We Value Your Privacy ... Now Take Some Cookies：Measuring the GDPRs Impact on Web Privacy[DB/OL].https：//arxiv.org/pdf/1808.05096.pdf

[14]Advertising cookies： Google fined 100 million[EB/OL].conseil-etat.fr/en/news/advertising-cookies-google-fined-100-million

[15]ScOpe Of Application Of The E-Privacy Regulation[DB/OL].https：//cms.law/en/deu/insight/e-privacy/scope-of-application-of-the-e-privacy-regulation

[16]EU to Use ePrivacy and GDPR to Tackle Illegal Cookie Walls[DB/OL].https：//www.privateinternetaccess.com/blog/eu-illegal-cookie-walls/

作者简介：石泉（1993.7-），女，汉族，黑龙江牡丹江人，博士，研究方向：国际经济法。