传媒教育网

标题: 何渊:详解欧盟cookie第一案,附判决书全文! [打印本页]

作者: 刘海明    时间: 2019-10-3 16:44
标题: 何渊:详解欧盟cookie第一案,附判决书全文!
10月1日,欧盟法院就“cookie合规”作出了一个备受关注的裁决:欧盟数据控制者和数据处理者不能通过“预选框”的方式来有效地获得数据主体的同意,而更强调的是数据主体的积极同意和实质同意。毫无疑问的是,这个新规则会对很多网络运营者带来挑战和冲击,他们必须重新评估和更新其Cookie同意规则,否则将面临巨额的罚款和品牌的损失。

因为对法律适用存在争议,所以德国联邦法院联邦议院(Bundesgerichtshof)请求欧盟法院就第2002/58 /号指令第5条第3款和第2条f款的含义以及相关的95/46 / EC指令第2(h)条和第2016/679号条例第6(1)(a)条的适用作出初步裁定,具体涉及欧盟《在线隐私指令》(the ePrivacy Directive)和欧盟《通用数据保护条例》(EU General Data Protection Regulation)。

案情

德国消费者组织联合会(The German Federation of Consumer Organisations)在德国法院起诉了一家名为“Planet49”的德国公司,这家公司试图通过预先选中的复选框来存储用户的cookie,并通过cookie收集信息并推广在线游戏。

该案涉及在线游戏公司Planet49组织的彩票活动。如要获得彩票,用户必须先按提示输入他们的邮政编码、姓名和地址,然后出现两个带有说明文字的复选框:第一个复选框要求用户同意与第三方公司联系以获取促销优惠;第二个复选框包含一个预选的勾号,要求用户同意在其设备上安装cookie。为了能够参加彩票活动,用户需要勾选第一个复选框。

争点

欧盟法院关注的争点是“用户的同意是否成立”。在本案中,用户必须通过‘取消选择’预先勾选框的方式来表达“同意的拒绝”,而“预先勾选框”是否构成商户获得在用户配备的终端上存储信息和存储cookie的“有效同意”?欧盟法院还进一步澄清:信息服务提供商是否需要向用户提供有关cookie操作持续时间的信息,以及是否允许第三方访问cookie。

关键点之一:必须通过积极的行为获得同意

通过适用欧盟第95/46号指令和第2016/679号条例中的“同意条款”,欧盟法院认为,用户必须通过某种积极行为获得用户的同意,预选框不构成数据主体的有效同意。

由于第2002/58 / EC号指令第5条第3款的措词是,用户必须“明示授予”其终端设备上的cookie存储和访问权限,因此法院承认该声明“不……表明必须给予同意的方式。”指令95/46第2(h)条将“数据主体的同意”定义为“任何自由给出的关于其意愿的具体而知情的意思表示,数据主体通过这种意愿表示同意接受与他有关的个人数据。”在此定义中,欧盟法院的意见集中在“指示”一词上,这“显然是指主动而不是被动的行为。”

因此,如果预设了用户同意的格式条款,则该用户并不会给予积极的同意。正如欧盟法院的裁决书所说,“如果用户不同意安装cookie,则要求用户积极地删除方框中的勾子并因此变得活跃,这不符合主动同意的标准。……相反,要求用户在方框中打勾则比较符合‘积极的同意’”。实际上,GDPR的第32条列举了“在访问互联网网站时打勾”的例子,说明了如何从用户获得有效的同意。

关键点之二:同意要求也适用于“非个人数据”的信息

正如欧盟法院裁定书所指出的那样,第2002/58号指令第5(3)条提到的“信息存储,或获得对已存储信息的访问权”,这里的信息既指GDPR第4(1)条规定的“个人数据”,也包括“非个人数据”。GDPR第24、25节以及第29工作组的意见都佐证了上述观点。

关键点之三:必须提供使用cookie持续时间和第三方访问等信息

欧盟法院裁定书认为,服务提供商必须提供给用户的信息还包括:cookie的操作持续时间,以及第三方访问这些cookie的具体情形。

尚未解决的问题

“同意”是个人数据合规领域至关重要的话题,监管机构、立法机关、司法机关以及数据法共同体都应当为此而共同努力,虽然欧盟法院增强了“同意”的清晰度和主动性,但仍有很多悬而未决的问题。

如用户的“自由的同意”是否是商户以“广告”为目的而处理用户个人数据的前提条件?这就是所谓“ Cookie墙”问题。欧盟各国对此存在很大的争议,法国、德国、荷兰等国的DPA反对“ Cookie墙”,而英国信息专员办公室则支持“ Cookie墙”。

未来制度的设想

在5G和人工智能双擎驱动的时代,“以同意为基础”的数据保护制度是否已经过时?

一方面,“同意”使得数据主体事实上承担了过多的法律义务,而减轻了数据控制者和数据处理者的法律责任,即只要获得了数据主体的“具体而明确的同意”,数据控制者和数据处理者怎么处理其个人数据都是合法合理的,而由此造成的不利后果,只能由数据主体来承担。

另一方面,“隐私政策”使得“同意”变得可有可无,缺乏实际效果。“隐私政策”的过长篇幅和艰涩的法律术语,使得数据主体产生严重的畏难情绪,即使数据主体有时间完整阅读“隐私政策”,也会深陷泥潭、云里雾里以及不知所云。

因此,我们是否有可能构建一种全新的数据保护制度,即从“数据主体中心主义”为基石的事先“同意”制度转到以“数据控制者和处理者”为焦点的事后责任追究制度?不仅要构建严格的刑罚制度,而且还要构建数据主体对抗数据控制者的利器——真正意义上的民事集体诉讼和公益诉讼机制,更重要的是构建具有足够威慑力的行政处罚机制——以行政和解协议为基石。上述制度是否可行,还有待于进一步论证和阐述。

来源:数据法盟
链接:https://mp.weixin.qq.com/s/8rqDF4aRrxTY92Qd8rkiuA

编辑:晓晴






欢迎光临 传媒教育网 (http://idealisan.eu.org/) Powered by Discuz! X3.2