2019年11月8日,西班牙数据保护局(AEPD)发布《Cookie使用指南》(以下简称《指南》),明确使用Cookie时获得用户同意的必要性,规定了信息透明以及同意的具体要求等义务性规定,还附有实用案例,指导服务提供者合法合规使用Cookie。

前言:什么是Cookie?

在对《指南》内容进行介绍前,本文先来明确到底什么才是Cookie,Cookie有哪些类型,以及Cookie的用途是什么。

1. 定义

Cookie是互联网中普遍使用的信息技术,当用户使用相关服务时,服务提供者会使用技术向用户的终端设备发送一个或多个Cookie,以便收集和存储用户访问、使用服务时的信息。

2. 类型

Cookie总是保存在用户终端设备上,按在用户终端设备上的存储位置,可分为内存Cookie和硬盘Cookie。内存Cookie由浏览器维护,保存在内存中,浏览器关闭后就消失了,其存在时间是短暂的。硬盘Cookie保存在硬盘里,有一个过期时间,除非用户手工清理或到了过期时间,硬盘Cookie不会被删除,其存在时间是长期的。所以依据存在时间,可分为非持久Cookie和持久Cookie。

3. 用途

Cookie的作用有两种:一是技术性的,保障产品和服务的安全、高效运转,提升用户登录和相应速度,比如重复登陆网站时不用再输入账号密码;二是记录性的,利用Cookie来了解用户的偏好和使用习惯,进行数据分析,制作用户画像,为用户推荐、推送、展示感兴趣的内容或者进行商业化广告的营销。因此,Cookie对于企业有极强的商业价值。

《指南》主要内容

服务提供者在使用Cookie应当获得用户的明确、具体和完整的同意,以便用户理解使用目的和用途。

(一)透明度要求

1.应告知的信息

具体而言服务提供者应当告知用户以下信息:

(1)Cookie的含义以及功能;

(2)有关使用的Cookie类型及其用途的信息;

(3)明确使用Cookie的主体;

(4)有关如何接受、拒绝、撤销同意或删除Cookie的信息;

(5)在可能的情况下,服务提供者向第三方传输数据的信息;

(6)涉及使用对用户具有法律效力或以类似方式对用户产生重大影响的自动决策时,告知用户自动化决策的逻辑以及此类处理对用户的重要性和预期后果;

(7)不同目的下数据的保存期限;

(8)其他与Cookie相关的信息。

2. 告知的要求

(1)告知的信息必须是简洁、透明以及可理解的;

(2)必须使用清晰的语言,避免使用会使用户产生混淆的表述;

(3)告知的信息必须便于获取;

3. 告知信息分层

隐私声明可以采用分层的形式展现,防止用户产生阅读疲劳。例如在第一层中展示告知的基本信息以及第二层信息的链接;在第二层信息展现Cookie相关的完整告知信息。

(二)同意的要求

1.获得用户同意

除例外情形,服务提供者收集和使用Cookie,在任何情形下都必须征得用户的同意。可以通过明确的展示(例如,通过单击指示“同意”,“我接受”或其他类似术语的部分)获得此同意。也可以通过从用户执行的明确动作中推断出用户的同意,在这种情况下,已经为用户提供了有关Cookie用途以及是否由服务提供者和/或第三方使用的清晰等信息。具体而言:

(1)提供同意的方式可有所不同。通过用户的点击或类似行为获得同意,无疑将有助于证明已获得同意,该方式可能最适合注册用户。此外,允许通过用户行为认为已获得同意,但应是用户的行为有足够的确定性,能够体现出知情且明确的同意;

(2)用户必须执行了某种类型的操作;

(3)必须事先告知用户同意Cookie的具体行为,例如,如果用户继续浏览网站;

(4)在任何情况下,用户均可拒绝接受Cookie;

(5)Cookie的告知信息应当与其他信息分开;

(6)接受网站或服务的使用条款或条件与接受隐私政策或Cookie告知信息是分开的;

2. 特殊主体的同意——14岁以下儿童

在技术可行的前提下,对于收集和使用14岁以下儿童的Cookie,服务提供者应当作出合理的努力,核实或者验证儿童监护人是否同意处理儿童的Cookie。同时,在验证监护人的同意时,应当考虑Cookie的不同风险等级,对于较低风险的Cookie,可以使用较为简单的验证措施。例如,对于未注册的儿童,如果对其设备上的Cookie需要进行分析,可以事先致电儿童监护人,以获得同意。还可以在分层的信息告知中的第一层说明,如果您未满14岁,在继续浏览页面前,应当通知您的监护人接受、配置或者拒绝Cookie。

3. 其他规定

(1)变更Cookie使用。变更Cookie使用的,应当重新获得用户的同意。此外,作为一般规则,在未变更Cookie使用用途的情形下,只要已经获得用户的有效同意,则此后用户访问服务的同一网页无需每次获得同意。

(2)同意的更新。建议以适当的间隔对同意进行更新,每次用户的同意期最好不要超过24个月。

(3)撤回同意。用户必须能够随时撤回之前的同意,而且应当以一种简单的方式来撤回同意,因此服务提供者应当提供有关用户如何撤回同意的信息和便利措施。

(4)在用户拒绝服务提供者使用Cookie,会影响用户的访问时,应当告知用户该后果。

各国对Cookie的定性

(一)国际对于Cookie的规定

目前,欧盟、美国在不同程度上均承认 Cookie的个人信息属性。在欧盟,GDPR中明确特定类型Cookie属于个人数据,规定网络设备、应用、工具、协议中留存的cookie痕迹如果具有唯一指向性,这些cookie痕迹可生成个人画像或档案从而识别到具体自然人,即具有身份识别性。也就是,除非在例外情形下,Cookie的收集和使用需要用户同意。此外,《隐私和电子通信条例》中规定,只有在使用Cookie是为用户提供服务所直接必需或者网站运营者已获得用户的同意的情况下,网站才能访问用户的手机或电脑等设备、收集设备类型、浏览器型号等信息。在司法判例中也体现了Cookie的个人信息属性,2019年10月,欧盟法院对德国公司Planet推广在线游戏获取用户Cookie信息案件进行裁判,强调通过预先勾选同意的“预选框”方式取得的用户同意,不能作为有效同意。因为网站不能假设用户未取消这个预选框就是一种明确的同意。在美国,《加州消费者隐私保护法》中,美国将Cookie信息纳入个人信息界定范围。但对于Cookies信息的收集和使用采用了“Opt-Out”的模式,用户只有选择退出,才可不被企业追踪上网日志信息,否则将默认允许企业追踪Cookies信息。

(二)我国对于Cookie的规定

目前,我国并未出台统一的个人信息保护专门法。在个人信息保护领域,采用分散立法模式。根据当前立法,对于Cookie的定性较为模糊。《网络安全法》第76条第5款规定:个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。可见,该条并未将Cookie列举为个人信息,Cookie是否是个人信息取决于能否单独或与其他信息组合识别自然人身份。但《信息安全技术个人信息安全规范》附录A将则是直接将包括网站浏览记录、软件使用记录、点击记录在内的个人上网记录均列明为个人信息。

但值得注意的是,在司法实践中,对Cookie的性质认定存在认识上的分歧。在“朱某诉百度隐私权案”中,针对同一事实,南京市两级法院作出了截然相反的法律裁决。一审法院认为,百度公司没有尽到显著提醒说明的义务。百度公司在网站中默认的是用户同意百度使用Cookie技术收集并利用用户的上网信息,用户可能根本就不知道自己的私人信息会被收集和利用,这就要求百度在默认“选择同意”时要承担更多、更严格的说明和提醒义务,以便用户对百度公司的行为作出理性的选择。但百度网页中的《使用百度前必读》标识虽有说明和提醒的内容,但其设置方式(相关标识处于网页最下方,且字体明显较小)造成用户难以识别这一标识并加以注意,无法起到规范的说明和提醒作用,不足以让朱烨明了存在“选择同意”的权利。二审法院认为,网络用户通过使用搜索引擎形成的检索关键词记录,虽然反映了网络用户的网络活动轨迹及上网偏好,具有隐私属性,但这种网络活动轨迹及上网偏好一旦与网络用户身份相分离,便无法确定具体的信息归属主体,不再属于个人信息范畴。平台公司个性化推荐服务收集和推送信息的终端是浏览器,没有定向识别使用该浏览器的网络用户身份。

建议:考虑到Cookie的商业价值,我国在《个人信息保护法》的制定过程中,对于个人信息的范围应当仔细考量,顾及对用户的个人信息保护与企业创新发展之间的平衡问题,避免在立法中拟定过高的监管目标,同时在制度设计上,要注重对用户权益的有效保障,为用户提供更加具有操作性的选择措施。

作者简介:杨婕,中国信息通信研究院互联网法律研究中心研究员

声明:本文来自CAICT互联网法律研究中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。