2019年7月18日,法国数据保护局(简称CNIL)发布了《关于Cookies和类似技术的指南》[1](简称《指南》)。废止了其在2013年发布的《关于Cookies的建议》[2],并重新构建了适用于法国的使用Cookies和类似技术的隐私保护规则,主要立法依据为《欧盟电子隐私权指令》以及《通用数据保护规则》(简称GDPR)中关于知情同意的要求等。《指南》的主要内容包括:
适用范围:《指南》适用于在与公众开放的电信网络连接的任何用户设备上存储或访问信息的任何技术,如平板电脑、智能手机、笔记本电脑/计算机、游戏机和联网车辆。具体包括使用Cookies和类似技术的行为(如本地存储、共享对象、指纹识别技术、IDFA,IDFV,Android ID等操作系统生成的标识符以及MAC地址,序列号或任何其他设备ID等设备标识符)。
有效同意要求:《指南》重申,同意必须是自愿的、具体的、知情的和明确的,并且必须由用户明确的确认行为产生。
自愿的: 阻止未授权的用户访问网站或移动应用的“Cookies墙”是非法的。
具体的:用户有权就每个目的或类型的Cookies作出同意。如果可以接受用户的全面同意(例如,通过“全部接受”按钮),则用户还必须有权就每个目的作出细化的同意;
知情的:必须至少向用户告知数据控制者的身份、使用Cookies和类似技术的目的,以及是否有权撤销同意。此外,用户必须能够在同意前了解使用Cookies和类似技术的所有实体。在告知同意时,必须向用户提供详尽且定期更新的相关实体列表。
明确/清晰的确认行动:仅继续浏览网站或移动应用程序、向下滚动网站或移动应用程序页面不再被视为有效同意。
证明已获同意: 使用Cookies和类似技术的企业必须建立相关机制,保障他们能够随时证明已获得有效的同意。依靠合同条款要求一个运营商代表另一方获得有效同意,而企业自身没有获得同意,是不足以表明已经满足了要求;
涉及设置/阅读Cookies的多方角色义务:在2018年欧盟法院对Wirtschaftsakademie的裁决[3]之后,《指南》意识到,如果使用Cookies和类似技术涉及多个运营商,那些运营商可能被视为单独的数据控制者、联合数据控制者或数据处理者。作为联合数据控制者的运营商必须执行GDPR第26条[4]的规定,以确定其各自的合规义务。
使用浏览器设置:浏览器设置不足以达到有效同意的要求。
分析Cookies的豁免:在严格条件下,分析Cookies可以免除同意的要求。
制裁: CNIL可能会对受法国相关法律约束的企业实施任何纠正措施和制裁,而不依赖于GDPR合作和一致性机制的规定,因为Cookies规则是落实《欧盟电子隐私指令》的国内立法规定的。
下一步,《指南》将发布相关部门关于获得用户同意的实践方式的建议,并将这些建议将向公众征求意见。预计的最终版本预计将在2020年第一季度发布。随后CNIL将设置六个月的过渡期,允许企业自行调整以符合《指南》和新建议的要求。
[1]原文地址:https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000038783337
[2]原文地址:https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000028380230&categorieLien=cid
[3]根据该判例,欧洲法院认为特定页面的管理员(Wirtschaftsakademie)必须被视为与Facebook联合处理数据的数据控制者共同承担责任。http://curia.europa.eu/juris/document/document.jsf;jsessionid=94B304F2EA7937BBD97E742738B9CD22?text=&docid=202543&pageIndex=0&doclang=EN&mode=lst&dir=&occ=first&part=1&cid=3616812
[4] GDPR第26条对共同控制人作出规定:如果两个或两个以上的控制者共同确定数据加工的目的和方式,则为共同控制人。他们应以透明的方式确定各自对履行GDPR规定的义务及责任,特别是在行使数据主体的权利及各自在收集个人数据时应提供信息方面的职责。
作者简介:李雅文,中国信息通信研究院互联网法律研究中心研究员
声明:本文来自CAICT互联网法律研究中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。