[摘要]當(dāng)前互聯(lián)網(wǎng)企業(yè)通過Cookie技術(shù)在用戶終端進(jìn)行信息讀取和收集操作，近年來(lái)，歐洲一些國(guó)家在Cookie領(lǐng)域?qū)γ绹?guó)互聯(lián)網(wǎng)企業(yè)采取了一系列懲罰措施，并從立法層面上推出了《電子隱私條例》草案，作為《通用數(shù)據(jù)保護(hù)條例》（以下簡(jiǎn)稱為“GDPR”）和2002/58/EC的補(bǔ)充和更新規(guī)則，該草案計(jì)劃于今年年底前獲得批準(zhǔn)并生效①。本文將在此背景下對(duì)歐盟范圍內(nèi)的Cookie和電子隱私保護(hù)機(jī)制進(jìn)行探討，以為我國(guó)相關(guān)機(jī)構(gòu)提供借鑒和應(yīng)對(duì)策略。

[關(guān)鍵詞]Cookie；電子隱私；GDPR；電子隱私條例

[中圖分類號(hào)]TN915.08 [文獻(xiàn)標(biāo)識(shí)碼]B

[DOI]：10.20122/j.cnki.2097-0536.2023.07.009

一、歐盟關(guān)于Cookie技術(shù)使用的法規(guī)與原則

Cookie是一種存儲(chǔ)在互聯(lián)網(wǎng)設(shè)備上的微型文本文件，具有眾多功能，包括追蹤用戶在網(wǎng)頁(yè)上的行為、記錄用戶輸入的信息和驗(yàn)證訪問在線服務(wù)的用戶身份[1]。如果用戶訪問的網(wǎng)站存儲(chǔ)了Cookie，則稱為第一方Cookie。但當(dāng)用戶瀏覽網(wǎng)站時(shí)，存儲(chǔ)Cookie并非僅限于主機(jī)域。除了主機(jī)域，其他域也可以存儲(chǔ)Cookie，這些則被稱為第三方Cookie。有些網(wǎng)站甚至允許數(shù)量夸張的廣告網(wǎng)絡(luò)的第三方Cookie在用戶設(shè)備上存儲(chǔ)[2]。此外，根據(jù)Cookie在關(guān)閉瀏覽器后立即到期或持續(xù)存在，可以將其分類為會(huì)話Cookie和持久Cookie[3]。隨著Cookie在用戶行為追蹤、個(gè)人信息分析以及行為廣告投放等方面的廣泛應(yīng)用，大眾擔(dān)憂個(gè)人數(shù)據(jù)可能會(huì)被收集并濫用，用于與原始收集目的不一致甚至相沖突的其他用途[4]。同時(shí)，由于大部分的數(shù)據(jù)處理過程都在后臺(tái)進(jìn)行，并且在線追蹤過程常常缺乏透明度，增加了用戶因自身行為和喜好被相關(guān)機(jī)構(gòu)過度分析而被操控的可能性[5]。

在全球范圍內(nèi)，歐盟的法規(guī)體系對(duì)于Cookie的管理在形式上為互聯(lián)網(wǎng)用戶提供了嚴(yán)格且保護(hù)性的法律框架。目前，2002/58/EC號(hào)指令以及其在2009年的修訂版2009/136/EC號(hào)指令（以下統(tǒng)稱為“電子隱私指令”）是主導(dǎo)Cookie使用的主要法規(guī)。電子隱私指令的核心目標(biāo)是確保電子通信的隱私權(quán)，其中包含了基于知情同意原則的個(gè)人信息處理規(guī)定。根據(jù)電子隱私指令的第5.3條款[6]，網(wǎng)站運(yùn)營(yíng)商在使用Cookie存儲(chǔ)和/或訪問用戶計(jì)算機(jī)上的數(shù)據(jù)之前，必須取得用戶的知情同意。唯一的例外是技術(shù)性Cookie，這些Cookie的使用是“僅為了在電子通信網(wǎng)絡(luò)上進(jìn)行通信傳輸，或者在提供用戶明確要求的信息社會(huì)服務(wù)時(shí)是絕對(duì)必要的”。2009年引入的修訂條款從允許用戶選擇拒絕的模式，轉(zhuǎn)變?yōu)楸仨毇@取用戶同意的模式。這意味著除非使用是直接與提供的服務(wù)相關(guān)否則任何使用Cookie的行為都必須得到用戶的同意[7]。

同時(shí)，GDPR進(jìn)一步規(guī)定了作為處理個(gè)人數(shù)據(jù)基礎(chǔ)的同意原則。在GDPR中，“同意”被定義為數(shù)據(jù)主體通過自由、明確、知情和特定的行為表示其意愿，這種表示應(yīng)針對(duì)第6條下的一個(gè)或多個(gè)具體目的。同意應(yīng)“通過明確的積極行為表達(dá)，明確表明數(shù)據(jù)主體同意處理與其相關(guān)的個(gè)人數(shù)據(jù)”[8]。這種明確的同意可以隨時(shí)被撤銷。如果數(shù)據(jù)處理有多個(gè)目的，那么每一個(gè)目的都應(yīng)獲得單獨(dú)的同意。由于Cookie的使用在很大程度上取決于用戶首次訪問網(wǎng)站時(shí)所接收到的橫幅通知，因此這些橫幅要求以透明和簡(jiǎn)潔的方式告知用戶Cookie的存在、用戶的相關(guān)權(quán)利，并請(qǐng)求用戶對(duì)其安裝進(jìn)行同意。然而盡管GDPR對(duì)使用Cookie有明確規(guī)定，但許多在線數(shù)據(jù)控制者仍默認(rèn)啟用預(yù)選復(fù)選框，導(dǎo)致用戶在默認(rèn)情況下接受其設(shè)備上的第一方或第三方Cookie。這種做法并不被司法實(shí)踐所認(rèn)可。不僅如此，用戶也必須被告知Cookie的持續(xù)時(shí)間和第三方可能訪問其數(shù)據(jù)的情況，因?yàn)檫@兩點(diǎn)都是處理個(gè)人數(shù)據(jù)的具體方式。值得注意的是，在規(guī)范Cookie技術(shù)方面，電子隱私指令所發(fā)揮的約束作用要高于GDPR，這不僅僅是由于兩部法律所調(diào)整的重點(diǎn)不同，還體現(xiàn)在具體監(jiān)督與執(zhí)行層面上的差異。在構(gòu)建GDPR框架時(shí)，為防止因涉及多個(gè)歐盟國(guó)家的個(gè)人數(shù)據(jù)處理而導(dǎo)致監(jiān)管機(jī)構(gòu)行動(dòng)分散，制定者們引入了一種被稱為“主管機(jī)關(guān)主導(dǎo)”或“一站式服務(wù)”的監(jiān)管處理機(jī)制[9]，使得數(shù)據(jù)處理只需同一個(gè)主要監(jiān)管機(jī)構(gòu)進(jìn)行交涉，極大減少了繁冗的程序問題，但在實(shí)際操作中逐漸受到了各國(guó)及研究學(xué)者的批評(píng)[10]。在電子隱私領(lǐng)域中，電子隱私指令框架并沒有“一站式”處理的概念，有關(guān)于電子通信領(lǐng)域中的隱私保護(hù)規(guī)范仍然由歐盟各成員國(guó)自行決定，為處理相應(yīng)問題留有了足夠的余地。

二、代表國(guó)家法國(guó)涉及Cookie技術(shù)采取的懲罰措施及其司法實(shí)踐

正如前文所述，歐盟各國(guó)在電子隱私指令框架內(nèi)對(duì)Cookie技術(shù)的使用規(guī)范享有一定的自主權(quán)，其中法國(guó)的情況最為顯著。在2020年和2021年，法國(guó)對(duì)谷歌及其母公司Alphabet和臉書公司的不當(dāng)使用Cookie技術(shù)進(jìn)行了調(diào)查，并根據(jù)調(diào)查結(jié)果，對(duì)三公司施加巨額罰款。處罰的原因主要集中在三個(gè)方面：首先，是否已經(jīng)正確地告知用戶其設(shè)備上即將放置的跟蹤器的用途；其次，用戶是否有實(shí)際的權(quán)力拒絕這些跟蹤器；最后，用戶如何實(shí)現(xiàn)這一拒絕權(quán)，也就是說，Cookie通知橫幅的設(shè)計(jì)是否不當(dāng)，導(dǎo)致拒絕跟蹤器的過程比接受跟蹤器更為復(fù)雜。

（一）關(guān)于用戶是否已經(jīng)正確被告知將在其設(shè)備上放置的跟蹤器的目的

根據(jù)法國(guó)《數(shù)據(jù)自由法》第82條，所有電子通信服務(wù)的用戶都應(yīng)被“清楚和全面地告知”有關(guān)讀取和寫入其終端設(shè)備操作的目的，以及他們反對(duì)這些操作的手段[11]。然而，其時(shí)谷歌公司只是在法國(guó)版搜索引擎頁(yè)面的底部設(shè)置了一個(gè)簡(jiǎn)單的信息橫幅，即使用戶點(diǎn)擊了“提供”按鈕，他們也無(wú)法獲得關(guān)于Cookie隱私規(guī)則或拒絕在其設(shè)備上安裝Cookie的準(zhǔn)確信息。此后，谷歌改用了彈窗形式向用戶解釋Cookie的使用。然而，法國(guó)數(shù)據(jù)保護(hù)監(jiān)管機(jī)構(gòu)國(guó)家信息與自由委員會(huì)（以下簡(jiǎn)稱“CNIL”）和法國(guó)國(guó)務(wù)委員會(huì)仍認(rèn)為這種方式不夠充分，因?yàn)橛脩粜枰扇☆~外的操作才能了解詳細(xì)信息。最后，谷歌提供了直接描述追蹤器使用目的的彈窗，明確Cookie技術(shù)的六個(gè)目標(biāo)，即：確保服務(wù)正常運(yùn)行、衡量受眾、提高服務(wù)質(zhì)量、傳遞廣告、提供個(gè)性化內(nèi)容和顯示廣告后，方滿足法律的要求。

（二）關(guān)于用戶是否有實(shí)際的拒絕權(quán)

在論證谷歌公司需要修改告知方式的同時(shí)，CNIL還發(fā)現(xiàn)，在橫幅通知出現(xiàn)時(shí)，一些廣告Cookie已經(jīng)被安裝在了谷歌公司用戶的終端設(shè)備上，這意味著用戶的選擇沒有得到充分考慮。這種做法顯然違反了法規(guī)。盡管谷歌公司曾試圖以Cookie適用的法律框架尚未鞏固為理由進(jìn)行辯護(hù)，但這一論點(diǎn)被認(rèn)為是不充分的，因?yàn)榧词笴NIL的指南較新，這種違規(guī)行為也明顯直接觸及了現(xiàn)有的法律框架[12]。

（三）關(guān)于用戶如何實(shí)現(xiàn)拒絕權(quán)

第二種保障的是用戶享有拒絕權(quán)，第三種則是保障用戶在實(shí)現(xiàn)拒絕權(quán)時(shí)沒有受到設(shè)計(jì)因素上的阻礙。本案中，谷歌公司與臉書公司在Cookie通知上并未提供直接的、立即可用的拒絕選項(xiàng)，而是將拒絕選項(xiàng)放置在第二級(jí)菜單中，用戶需要激活多個(gè)選項(xiàng)并確認(rèn)操作。這種行為明顯違背了CNIL的指導(dǎo)方針，即用戶拒絕Cookie的難易程度應(yīng)與接受Cookie相同，最為便捷的做法就是在“接受所有”（Accept all）和“自定義”（Customized）選項(xiàng)旁增設(shè)“拒絕所有”（Reject all）選項(xiàng)。兩家公司針對(duì)此項(xiàng)指控，辯稱特定的電子隱私指令還是作為個(gè)人數(shù)據(jù)普通法的GDPR，都沒有要求在Cookie通知橫幅需要在第一層設(shè)置拒絕按鈕。雖然兩部法規(guī)中確實(shí)沒有明確詳細(xì)說明用戶界面中接受和拒絕按鈕的具體設(shè)計(jì)和位置，但總體原則強(qiáng)調(diào)了用戶有權(quán)給予自由、具體、知情和明確的同意。這通常被解釋為需要在接受和拒絕Cookie之間有一個(gè)公平和簡(jiǎn)單的選擇。而兩家公司只提供第二級(jí)拒絕的選項(xiàng)，意味著用戶需要額外的步驟才能夠?qū)崿F(xiàn)拒絕權(quán)，這有可能被視為使用戶更難拒絕Cookie，從而阻礙了他們提供自由和知情同意的能力，這與GDPR的原則相悖。實(shí)踐中，一些數(shù)據(jù)處理者知道多元選項(xiàng)會(huì)對(duì)用戶產(chǎn)生實(shí)質(zhì)性的影響[13]。CNCL基于此理由對(duì)兩家公司的處罰，也得到了法國(guó)國(guó)務(wù)委員會(huì)的支持[14]。

三、歐盟電子隱私指令的發(fā)展動(dòng)態(tài)以及對(duì)我國(guó)相關(guān)企業(yè)的啟示

2017年1月由歐盟委員會(huì)推出替代當(dāng)前電子隱私指令的《電子隱私條例》草案（E-privacy Regulation），旨在統(tǒng)一規(guī)范歐盟所有成員國(guó)在提供和使用電子通信服務(wù)期間進(jìn)行的電子通信數(shù)據(jù)處理。原計(jì)劃與2018年5月的GDPR同時(shí)生效，然而由于大型科技公司激烈的反對(duì)與游說，談判的難度超出預(yù)期，批準(zhǔn)時(shí)間推遲到了今年年底前?！峨娮与[私條例》草案關(guān)于Cookie技術(shù)使用規(guī)范適用于所有類型的數(shù)據(jù)控制者，包括“Over-the-Top”（OTT）服務(wù)[15]。其中規(guī)定除非滿足第8條的例外情況，否則禁止使用Cookie。并且對(duì)于已同意數(shù)據(jù)處理的用戶，每12個(gè)月需要提醒一次他們有權(quán)撤回同意。此外，新規(guī)定似乎合法化了Cookie墻（Cookie Walls）的使用，即用戶在沒有選擇的情況下被迫接受Cookies，否則無(wú)法訪問網(wǎng)站。雖然歐洲數(shù)據(jù)保護(hù)委員會(huì)認(rèn)為Cookie墻與歐洲法規(guī)不兼容，但在理事會(huì)通過的文本中只要用戶能做出真實(shí)的選擇，Cookie墻是可以接受的[16]。除此之外，用戶可以通過瀏覽器設(shè)置同意使用Cookie，但是用戶直接聲明的同意始終優(yōu)先于通過瀏覽器設(shè)置表達(dá)的同意。

盡管《電子隱私條例》批準(zhǔn)生效時(shí)間未定，但是可以預(yù)見在歐盟范圍內(nèi)，對(duì)于Cookie技術(shù)更多將傾向于個(gè)人信息與知情同意權(quán)利的保護(hù)。我國(guó)相關(guān)企業(yè)在進(jìn)行跨境數(shù)據(jù)業(yè)務(wù)時(shí)應(yīng)當(dāng)注意這種趨勢(shì)，嚴(yán)格符合歐盟及目標(biāo)國(guó)家的法律規(guī)范，避免出現(xiàn)經(jīng)濟(jì)損失。

注釋：

①歐盟將Cookie問題納入電子隱私（E-privacy）范疇，該概念首次正式出現(xiàn)在2002年的《關(guān)于在電子通信領(lǐng)域個(gè)人數(shù)據(jù)處理及保護(hù)隱私權(quán)的指令》（Directive on privacy and electronic communications，以下簡(jiǎn)稱為“2002/58/EC指令”）中。該指令要求在訪問或存儲(chǔ)跟蹤器（Cookie）之前，必須向互聯(lián)網(wǎng)用戶準(zhǔn)確提供有關(guān)跟蹤器目的的信息，并征得用戶同意。只有那些唯一目的是通過電子方式進(jìn)行通信或根據(jù)用戶明確要求提供在線通信服務(wù)的Cookie才可例外，而所有以廣告為目的的跟蹤器則需滿足信息和授權(quán)的雙重要求。

參考文獻(xiàn)：

[1]周黎，胡海濤.基于Cookie的單點(diǎn)登錄和網(wǎng)絡(luò)訪問控制研究[J].現(xiàn)代信息科技，2022，6（8）：75-78.

[2]呂芹.Cookie：技術(shù)無(wú)罪[J].互聯(lián)網(wǎng)周刊，2014（7）：28-29.

[3]Pamela Bump.The Death of the Third-Party Cookie： What Marketers Need to Know About Google's 2023 Phase-Out.[EB/OL].https：//blog.hubspot.com/marketing/third-party-cookie-phase-out

[4]梁雪松.基于Cookie的認(rèn)證機(jī)制及其安全性分析[J].通信技術(shù)，2009，42（6）：132-134+137.

[5]廖秉宜，張慧慧，劉定文.精準(zhǔn)廣告技術(shù)中的個(gè)人信息保護(hù)——基于國(guó)內(nèi)100個(gè)APP隱私政策中關(guān)于Cookie技術(shù)的文本分析[J].信息資源管理學(xué)報(bào)，2023，13（1）：103-114.

[6]Directive 2002/58/EC of the European Parliament and of the Council第5.3條[DB/OL].https：//www.legislation.gov.uk/eudr/2002/58/article/5

[7]Information About Our Use of Cookies.[DB/OL].https：//www.woflaw.com/site/help/privacy_help.html

[8]通用數(shù)據(jù)保護(hù)條例第24條.[DB/OL].https：//gdpr-info.eu/art-6-gdpr/

[9]One Stop Shop （OSS）Cross-border processing and the one stop shop.[DB/OL].https：//www.dataprotection.ie/en/organisations/international-transfers/one-stop-shop-oss

[10]Joe Jones.Practical considerations from EU enforcement： One-stop shop[DB/OL].https：//iapp.org/resources/article/practical-considerations-eu-enforcement-pt2/

[11]Loi n 78-17 du 6 janvier 1978 relative à l'informatique， aux fichiers et aux libertés第82條[DB/OL].https：//www.legifrance.gouv.fr/loda/article_lc/LEGIARTI000037813978

[12]France fines Google $120M and Amazon $42M for dropping tracking cookies without consent[EB/OL].https：//techcrunch.com/2020/12/10/france-fines-google-120m-and-amazon-42m-for-dropping-tracking-cookies-without-consent/

[13]Martin Degeling， Christine Utz.el.We Value Your Privacy ... Now Take Some Cookies：Measuring the GDPRs Impact on Web Privacy[DB/OL].https：//arxiv.org/pdf/1808.05096.pdf

[14]Advertising cookies： Google fined 100 million[EB/OL].conseil-etat.fr/en/news/advertising-cookies-google-fined-100-million

[15]ScOpe Of Application Of The E-Privacy Regulation[DB/OL].https：//cms.law/en/deu/insight/e-privacy/scope-of-application-of-the-e-privacy-regulation

[16]EU to Use ePrivacy and GDPR to Tackle Illegal Cookie Walls[DB/OL].https：//www.privateinternetaccess.com/blog/eu-illegal-cookie-walls/

作者簡(jiǎn)介：石泉（1993.7-），女，漢族，黑龍江牡丹江人，博士，研究方向：國(guó)際經(jīng)濟(jì)法。