何渊：详解欧盟cookie第一案，附判决书全文！

刘海明

10月1日，欧盟法院就“cookie合规”作出了一个备受关注的裁决：欧盟数据控制者和数据处理者不能通过“预选框”的方式来有效地获得数据主体的同意，而更强调的是数据主体的积极同意和实质同意。毫无疑问的是，这个新规则会对很多网络运营者带来挑战和冲击，他们必须重新评估和更新其Cookie同意规则，否则将面临巨额的罚款和品牌的损失。

因为对法律适用存在争议，所以德国联邦法院联邦议院（Bundesgerichtshof）请求欧盟法院就第2002/58 /号指令第5条第3款和第2条f款的含义以及相关的95/46 / EC指令第2（h）条和第2016/679号条例第6（1）（a）条的适用作出初步裁定，具体涉及欧盟《在线隐私指令》（the ePrivacy Directive）和欧盟《通用数据保护条例》（EU General Data Protection Regulation）。

案情

德国消费者组织联合会（The German Federation of Consumer Organisations）在德国法院起诉了一家名为“Planet49”的德国公司，这家公司试图通过预先选中的复选框来存储用户的cookie，并通过cookie收集信息并推广在线游戏。

该案涉及在线游戏公司Planet49组织的彩票活动。如要获得彩票，用户必须先按提示输入他们的邮政编码、姓名和地址，然后出现两个带有说明文字的复选框：第一个复选框要求用户同意与第三方公司联系以获取促销优惠；第二个复选框包含一个预选的勾号，要求用户同意在其设备上安装cookie。为了能够参加彩票活动，用户需要勾选第一个复选框。

争点

欧盟法院关注的争点是“用户的同意是否成立”。在本案中，用户必须通过‘取消选择’预先勾选框的方式来表达“同意的拒绝”，而“预先勾选框”是否构成商户获得在用户配备的终端上存储信息和存储cookie的“有效同意”？欧盟法院还进一步澄清：信息服务提供商是否需要向用户提供有关cookie操作持续时间的信息，以及是否允许第三方访问cookie。

关键点之一：必须通过积极的行为获得同意

通过适用欧盟第95/46号指令和第2016/679号条例中的“同意条款”，欧盟法院认为，用户必须通过某种积极行为获得用户的同意，预选框不构成数据主体的有效同意。

由于第2002/58 / EC号指令第5条第3款的措词是，用户必须“明示授予”其终端设备上的cookie存储和访问权限，因此法院承认该声明“不……表明必须给予同意的方式。”指令95/46第2（h）条将“数据主体的同意”定义为“任何自由给出的关于其意愿的具体而知情的意思表示，数据主体通过这种意愿表示同意接受与他有关的个人数据。”在此定义中，欧盟法院的意见集中在“指示”一词上，这“显然是指主动而不是被动的行为。”

因此，如果预设了用户同意的格式条款，则该用户并不会给予积极的同意。正如欧盟法院的裁决书所说，“如果用户不同意安装cookie，则要求用户积极地删除方框中的勾子并因此变得活跃，这不符合主动同意的标准。……相反，要求用户在方框中打勾则比较符合‘积极的同意’”。实际上，GDPR的第32条列举了“在访问互联网网站时打勾”的例子，说明了如何从用户获得有效的同意。

关键点之二：同意要求也适用于“非个人数据”的信息

正如欧盟法院裁定书所指出的那样，第2002/58号指令第5（3）条提到的“信息存储，或获得对已存储信息的访问权”，这里的信息既指GDPR第4（1）条规定的“个人数据”，也包括“非个人数据”。GDPR第24、25节以及第29工作组的意见都佐证了上述观点。

关键点之三：必须提供使用cookie持续时间和第三方访问等信息

欧盟法院裁定书认为，服务提供商必须提供给用户的信息还包括：cookie的操作持续时间，以及第三方访问这些cookie的具体情形。

尚未解决的问题

“同意”是个人数据合规领域至关重要的话题，监管机构、立法机关、司法机关以及数据法共同体都应当为此而共同努力，虽然欧盟法院增强了“同意”的清晰度和主动性，但仍有很多悬而未决的问题。

如用户的“自由的同意”是否是商户以“广告”为目的而处理用户个人数据的前提条件？这就是所谓“ Cookie墙”问题。欧盟各国对此存在很大的争议，法国、德国、荷兰等国的DPA反对“ Cookie墙”，而英国信息专员办公室则支持“ Cookie墙”。

未来制度的设想

在5G和人工智能双擎驱动的时代，“以同意为基础”的数据保护制度是否已经过时？

一方面，“同意”使得数据主体事实上承担了过多的法律义务，而减轻了数据控制者和数据处理者的法律责任，即只要获得了数据主体的“具体而明确的同意”，数据控制者和数据处理者怎么处理其个人数据都是合法合理的，而由此造成的不利后果，只能由数据主体来承担。

另一方面，“隐私政策”使得“同意”变得可有可无，缺乏实际效果。“隐私政策”的过长篇幅和艰涩的法律术语，使得数据主体产生严重的畏难情绪，即使数据主体有时间完整阅读“隐私政策”，也会深陷泥潭、云里雾里以及不知所云。

因此，我们是否有可能构建一种全新的数据保护制度，即从“数据主体中心主义”为基石的事先“同意”制度转到以“数据控制者和处理者”为焦点的事后责任追究制度？不仅要构建严格的刑罚制度，而且还要构建数据主体对抗数据控制者的利器——真正意义上的民事集体诉讼和公益诉讼机制，更重要的是构建具有足够威慑力的行政处罚机制——以行政和解协议为基石。上述制度是否可行，还有待于进一步论证和阐述。

来源：数据法盟

链接：https://mp.weixin.qq.com/s/8rqDF4aRrxTY92Qd8rkiuA

编辑：晓晴