葉涵

2019年11月8日，西班牙數(shù)據(jù)保護局（AEPD）發(fā)布了《Cookie使用指南》（以下簡稱“《指南》”），更新了之前西班牙關(guān)于Cookie的使用標(biāo)準(zhǔn)，以適應(yīng)其國內(nèi)法律及歐盟的《一般數(shù)據(jù)保護條例》和有關(guān)數(shù)據(jù)保護與數(shù)字權(quán)利保障的基本法（3/2018）的新規(guī)定。該《指南》明確要求互聯(lián)網(wǎng)企業(yè)使用Cookie時需要獲得用戶主動、具體的同意，并對信息透明以及同意的具體要求等義務(wù)性規(guī)定加以規(guī)定，并結(jié)合多個例子，具體指導(dǎo)互聯(lián)網(wǎng)服務(wù)提供者如何合法、合規(guī)地使用Cookie及相關(guān)技術(shù)。

Cookie技術(shù)為什么重要

互聯(lián)網(wǎng)行業(yè)中Cookie是普遍使用的一項技術(shù)，當(dāng)用戶使用相關(guān)服務(wù)時，服務(wù)商會向用戶的終端設(shè)備發(fā)送一個或多個Cookie，以便收集和存儲用戶訪問、使用服務(wù)時的信息。這些用戶數(shù)據(jù)可促進服務(wù)提供者提供穩(wěn)定、安全的服務(wù)，也可以為顯示相關(guān)廣告或設(shè)計更符合用戶需求的新產(chǎn)品提供依據(jù)。隨著近年來信息技術(shù)變革和數(shù)字經(jīng)濟的崛起，Cookie對于互聯(lián)網(wǎng)企業(yè)的重要性與日俱增。但是，Cookie技術(shù)強大的信息追蹤、收集功能也引發(fā)了人們對其可能侵犯用戶隱私、泄露個人信息的擔(dān)憂。

針對上述潛在的技術(shù)風(fēng)險，歐盟從保護個人隱私角度最先開始立法，并逐步成為互聯(lián)網(wǎng)Cookie規(guī)則的標(biāo)桿。如2002年歐盟制定的《電子隱私法案》中就規(guī)定：“用戶的電子通信終端設(shè)備上存儲的任何信息均屬于用戶的隱私信息，應(yīng)受到歐盟相關(guān)法律的保護。”2009年在修訂該法案時，其中最大的變化則是：服務(wù)提供商在用戶的終端設(shè)備上用Cookie獲取個人數(shù)據(jù)不能基于“默認同意”，而是需要用戶“主動地選擇同意”，也就是說，用戶從“選擇退出”（opt-out）改為了“選擇加入”（opt-in）。到了2016年，歐盟的《一般數(shù)據(jù)保護條例》中明確指出：具有唯一指向性和身份識別性的Cookie屬于個人數(shù)據(jù)。這也就意味著，除非在例外情形下，Cookie的收集和使用必須得到用戶的同意。

歐盟對Cookie的使用規(guī)則中最為關(guān)鍵的是“同意規(guī)則”。通常來說，第一方緩存的使用不需要獲得用戶的知情同意，但使用第三方緩存和持久緩存時就需要獲得用戶的知情同意。在獲取用戶同意的方式上，歐盟提出的標(biāo)準(zhǔn)是：用戶應(yīng)完全了解正在使用的網(wǎng)站收集相關(guān)數(shù)據(jù)的目的，以及可能對用戶個人隱私帶來的危害。

近期，西班牙數(shù)據(jù)保護局發(fā)布的《Cookie使用指南》，旨在指導(dǎo)互聯(lián)網(wǎng)服務(wù)商在使用Cookie獲取用戶數(shù)據(jù)時應(yīng)符合主動同意規(guī)則。盡管這部《指南》因?qū)ookie采取嚴(yán)格的規(guī)則而受到批評，但是該規(guī)定與歐盟數(shù)據(jù)保護規(guī)則和相關(guān)判例采用的觀點基本一致。

針對同意規(guī)則，歐盟近期有一個典型案例。案件起因是一家名為“Planet49”的在線游戲公司試圖通過用戶預(yù)先選中的復(fù)選框來存儲用戶的Cookie，進而通過Cookie收集信息、推廣在線游戲，德國消費者協(xié)會以侵犯用戶隱私起訴了該公司。2019年10月，歐洲法院對“Planet49”案作出的一項裁定中，明確要求“互聯(lián)網(wǎng)服務(wù)商不得以‘預(yù)先勾選方框的方式告知用戶其手機或電腦將被植入Cookie”。同時，法院指出用戶同意必須是“具體的”。這項裁決意味著在所有歐盟成員國和地區(qū)，任何一家互聯(lián)網(wǎng)企業(yè)要使用Cookie技術(shù)獲取用戶信息，必須先取得用戶的具體同意。在個人數(shù)據(jù)信息保護不斷加強的背景下，歐盟這一案例也直接影響了西班牙《指南》的相關(guān)內(nèi)容。

劃重點：詳解《指南》新規(guī)則

西班牙數(shù)據(jù)保護局發(fā)布的《指南》中最核心的要求是互聯(lián)網(wǎng)服務(wù)提供者在使用Cookie時應(yīng)當(dāng)獲得用戶的明確、具體、完整的同意，以便用戶理解Cookie的具體用途。從《指南》所規(guī)定的具體要求來看，以下規(guī)則需要重點關(guān)注：

第一，互聯(lián)網(wǎng)服務(wù)提供者要明確告知用戶與Cookie相關(guān)的信息?！吨改稀芬蠡ヂ?lián)網(wǎng)服務(wù)提供者應(yīng)當(dāng)告知的信息包括：Cookie的含義以及功能，使用的Cookie的主體、類型及其用途，如何接受、拒絕、撤銷同意或刪除Cookie，服務(wù)提供者可能向第三方傳輸數(shù)據(jù)，告知用戶自動化決策的邏輯、此類處理對用戶產(chǎn)生的預(yù)期后果，以及不同目的下數(shù)據(jù)的保存期限，等等。

第二，告知上述與Cookie相關(guān)的信息必須簡潔、透明、清楚，用語應(yīng)當(dāng)通俗易懂，避免使用戶產(chǎn)生混淆。

第三，《指南》借鑒了歐盟的一般數(shù)據(jù)保護規(guī)則，明確規(guī)定“除例外情形，服務(wù)提供者收集和使用Cookie，在任何情形下都必須征得用戶的同意”。這種同意可以通過指示“同意”“我接受”或其他類似術(shù)語獲得;也可以從用戶執(zhí)行的明確動作中推斷出用戶的同意，如用戶繼續(xù)瀏覽網(wǎng)站，這一點與其他歐洲國家發(fā)布的指南不同。但是在任何情況下，用戶均可拒絕接受Cookie，而在用戶拒絕服務(wù)提供者使用Cookie時，應(yīng)當(dāng)告知其后果。需要注意的是，Cookie的告知信息與接受服務(wù)的使用條款、其他信息分開，也就是說拒絕之后也不能終止網(wǎng)頁訪問。

第四，《指南》也規(guī)定了特殊用戶的同意規(guī)則，即在技術(shù)可行的前提下，對于追蹤和使用14歲以下兒童信息的Cookie，互聯(lián)網(wǎng)服務(wù)提供者核實或者驗證兒童監(jiān)護人是否同意使用兒童的Cookie，并且遵守數(shù)據(jù)最小化原則。

第五，通常情況下，如果網(wǎng)站服務(wù)商未變更Cookie使用用途，只要已經(jīng)獲得過用戶的有效同意，此后該用戶訪問同一網(wǎng)頁時就不需要每次都進行選擇是否接受Cookie協(xié)議。但是如果服務(wù)商變更使用Cookie，就應(yīng)當(dāng)重新獲得用戶的同意。

《指南》不完美卻有參照價值

雖然西班牙數(shù)據(jù)保護局發(fā)布的這一《指南》不具有法律效力，但是由于細化了西班牙《信息社會服務(wù)法》相關(guān)條款的適用，所以對整個互聯(lián)網(wǎng)行業(yè)中的Cookie政策會產(chǎn)生直接的影響。奧斯本·克拉克律師事務(wù)所的合伙人在接受采訪時總結(jié)了該《指南》存在的三點不足：一是通過“繼續(xù)瀏覽操作”接受Cookie的觀點已經(jīng)存在，但它可能會偏離原有《2016/679條例》第29條的“同意準(zhǔn)則”的本意;二是在保護未成年人方面，從原來僅收集統(tǒng)計數(shù)據(jù)的情況下通過單擊鼠標(biāo)以征求父母同意的警告，到在將Cookie用于自定義目的的情況下能夠檢測錯誤輸入和驗證碼的生日復(fù)選框，實際上這類機制在互聯(lián)網(wǎng)生態(tài)系統(tǒng)中并不新鮮，有時這種規(guī)定反而不能適當(dāng)程度地保護未成年人的權(quán)利和自由;三是《指南》對用戶撤回同意進行了詳細地描述，要求服務(wù)商提供措施，使用戶撤回同意應(yīng)與給予同意一樣便利，但實際上原來“同意準(zhǔn)則”已有類似規(guī)定。

考慮到互聯(lián)網(wǎng)行業(yè)Cookie的多種復(fù)雜性，這份《指南》的制定者也意識到了上述規(guī)則可能存在的一些問題，因此在序言中坦言“該規(guī)則并不是為了提供一種萬能的解決方案以符合相關(guān)法律，而只是為互聯(lián)網(wǎng)服務(wù)提供者做出最佳決策提供一種指引”。盡管有上述不足，西班牙制定的這份《指南》對其他國家制定相關(guān)Cookie規(guī)則都具有十分重要的借鑒意義。

編輯：黃靈 ?yeshzhwu@foxmail.com