法国数据保护监管机构(CNIL)有关cookies和其他追踪方式的指引(全文翻译)
The following article comes from 互联网mate Author 娟娟
引言
作为针对定向广告行动计划的一部分,法国数据保护机构国家信息和自由委员会(下称CNIL)于2019年7月发布了关于cookies和其他追踪方式的指引。指引中概述了适用的法律规定。在2020年初,他们将出台相关补充建议,旨在为利益相关者在实操中获得用户同意的方式提供指导。DPO社群的孙娟娟同学将CNIL的法文指引全文翻译,供大家参考。
此前本公号关于定向广告和Cookies等追踪方式发表的部分文章如下:
CNIL有关cookies和其他追踪方式的指引
2019年7月4日第2019-093号审议会,通过了关于将1978年1月6日修改后的法律第82条适用于用户终端的读取或写入操作(尤其是有关cookies和其他追踪方式)。
CNIL负责审查针对1978年1月6日第78-17号修订信息、文档及其自由的法律合规情况(下文简称《信息和自由法》),同时也审查与保护个人数据相关法律的执行情况。
本指导意见的目的在于回顾适用于客户终端读取或写入操作的法律,尤其是使用cookies和其他跟踪方式的规定。相关规定源于为实施欧盟第2002/58/EC号有关修订《隐私与电子通信指令》(或称E-Privay指令)条款而转换为法国《信息和自由法》第82条的本国法规定,以及欧洲数据保护委员会(EDPS)指南中解释的GDPR第4条有关同意的规定。
当违反这些规定时,委员会指出其可以根据法律第3条规定对其管辖内的机构采取任何矫正性和制裁性措施,尤其是单独适用GDPR第7章有关“合作和一致性“规定的内容,其中第82条规定便是源于转换相关指导意见的规定。
《信息和自由法》第82条规定:
除非事先通知,否则控制者或其代表应清楚且完整地告知所有电子通信服务的订阅者或用户:1. 以电子传输方式意图读取所有存储于电子通讯终端设备中的存储信息或在该设备中写入信息的任何行为的目的;2. 可以提出异议的方式。仅当订阅者或用户在收到该信息后明确表示同意后,读取或者写入信息的行为才被允许,这种同意可以表现为其连接设备或其他任何由其控制的设备所显示的参数。
该意在转换落实的《隐私与电子通信指令》第5(3)条也规定了在任何意在订阅者或用户终端设备存储信息或获取存储信息的行为之前都应征得同意,除了例外情形。
委员会指出本指引仅针对《信息和自由法》第82条的适用,此外,当最终处理的个人数据使用了以读取或者写入收集的数据时,也应遵循所有适用法律的相关规定。
这些规定中提及的同意应符合GDPR中第4(11)条明确的定义和条件。
GDPR通过提供有关获取条件和证明其收集必要性的信息,加强了主体同意的要求。
为强化保护个人权利,委员会已经废除了2013年12月5日第2013-378号有关通过由1978年1月6日法律第32-II条提及的cookies和其他追踪方式的建议(下文简称有关cookies和其他追踪方式的建议),并由当下的指导意见所替代。日后,该指导意见将由部门性的建议予以补充,尤其是明确如何征得同意的实操性要求。
第1条 本指引的适用范围
本指引适用于所有通过电子传输获取存储于订阅者或用户终端数据的操作或者将数据写入该设备的操作。
委员会指出第2008/63/EC号指令第1条规定了终端设备是指“与公共电信网络接口直接或间接相连,以便发送、处理或接受信息的设备。无论是直接还是间接,连接的方式可以为电线、光线或电磁;当设备位于终端和网络接口之间时,连接方式为间接的。”
这一定义涵盖了许多常用设备,包括平板电脑、多功能移动设备(智能手机)、固定或可移动的电脑、游戏手柄、联网电视机、车联网、语音助手,以及所有其他连入公共电信网络的对象。
本指引适用于所有的操作系统、应用程序(如浏览器)或者使用终端。
本指引针对HTTP cookies的使用,其是这些使用行为最常应用的方式,但可应用的方式还包括其他途径,本地共享对象偶尔会使用“Flash cookie”,在HTML 5中使用的本地存储“local storage”,终端通过指纹实现的识别,操作系统生成的识别(广告标识符(IDFA)、供应商标识符(IDFV)、Android识别码(AndroidID)等。硬件识别码 (MAC地址、序列号或者其他用于识别设备的识别码)等。为了适用本指导意见,术语“追踪(traceur)”适用于法律第82条中提及的所有设备。
信息(存储的和/或查询)是否属于GDPR中的个人数据,并不是适用第2002/58/EC号指令第5条第3款的前提条件。因此,无论相关的数据是否为个人信息,都可适用第82条规定。
最后,委员会也请有关机构注意如下事实:
所有基于追踪的处理,当其涉及个人数据时,有的时候是直接可识别的,如电子邮件地址,通常则是间接可识别的,如cookies的唯一识别码,IP地址,终端设备识别码或者用户终端的组成内容,由指纹技术提供的指纹识别,又或者是由软件或操作系统生成的识别码,都应遵循GDPR的要求。
第2条 征得同意的方式
根据《信息和自由法》、《通用数据保护法令》和国家信息和自由委员会指导意见中有关同意要求,在未获得用户同意前不得读取或写入追踪信息,为此需要获得基于个人意愿以明确的声明或积极行为表达的自由、具体、明确的同意。
关于同意的自由性
委员会认为只有数据主体可有效地作出选择且在没有给出同意或者撤回同意的时不会遭致重大不便时,同意才是有效的。在这个方面,委员会指出欧盟数据保护委员会在《隐私与电子通信指令》(修订版)及其对《隐私保护和通讯保密的影响声明》中认为针对那些不同意被跟踪的人采取阻止访问网站或移动应用的行为(cookies墙)违反了GDPR。欧盟数据保护委员会认为在这样的假设下,用户不能拒绝被追踪且不会遭受到不利后果(无法访问所需网站)。
关于同意的具体性
委员会指出数据主体应能够针对每一个独立的目的以独立且具体的方式作出同意。此外,提供全面同意的方式也是可以的,但应针对每个目的增加给出具体同意的可能性,而不是以前者替代后者。因此,当不能针对每个目的以独立方式给出同意时,一揽子接受使用条件不得作为征得同意的有效方式。
关于同意的明确性
委员会指出信息应使用为所有人提供简明易懂的语言,且确保用户可以充分知晓各类追踪方式的不同目标。委员会认为使用过于复杂的法律术语或技术术语就违背了上述要求。
委员会指出信息应当完整、显而易见且在征询同意时凸显该信息。简单提及一般性的使用条件是不够的。
根据第82条规定,在征得同意前,应让用户至少知悉如下信息:
当读取或写入操作后需要处理个人数据且是以同意为前提时,针对用户提供的预先信息(l’information préalable)应当补充完整,以便符合GDPR指导意见就同意作出的要求。
委员会指出为了确保同意的明确性,用户应可以在给出同意前明确了解采用追踪方式的所有实体(entités)。此外,有关这些实体的清单及其定期更新情况应在征求用户同意时提供给他们。
关于同意的明确性
委员会强调同意是由了解其选择后果且有能力作出该选择的人以积极行动给出的明示。持续地浏览网页、使用应用程序或切换网页、应用程序并不构成作出上述同意的积极行动。委员会还认为使用预先勾选的内容,所有针对使用条件的一揽子接受都不能被视为明确作出同意的积极行为。因此,需要设置一定的系统来征得同意,而可操作的方式应能确保用户从用户友好型且人机适应性的措施中受益。
关于作出同意
GDPR第7条规定同意应是可以证明的,这意味着研发追踪方式的机构应建立相关机制用于证明,以便征得用户的有效同意。当这些机构自身不征集数据主体的同意时,委员会指出仅通过合同条款便使得其中一方代表另一方获得有效的同意是不能替代上述义务要求的。
关于撤回同意
委员会指出拒绝或撤回同意应和给予同意一样容易。尤其是,当用户同意跟踪被追踪时应有权在任何时候撤回这一同意。应采取用户友好型的措施来保证所有人像给出同意那样可以轻易地撤回其同意。
第3条 各方的角色和责任
征求同意义务所涉及的技术不得系统地适用于个人数据的处理活动。然而,在许多情形下,在许多情况下,读写操作将涉及个人数据,并将构成处理个人数据的组成部分,为了遵守《信息和自由法》其他条款以及GDPR,有必要明确各方的角色和责任。
如在许多情况下,追踪行为仅涉及一个实体,则其承担所有的责任来履行征求同意的义务(例如网站使用追踪器用于统计服务的使用情况)。在其他情形下,本指导意见涉及的读取和写入操作会由多个参与者共同实现(例如在访问网站时放置cookies的网站发布者和广告商)。对于后者,这些实体将被视为是“独有”的数据控制者、共同控制者或数据处理者。
在其他情形中,委员会也观察到使用追踪的第三方也可以就这一追踪的使用承担完全且独立的责任,这意味着其应独立承担征求用户同意的义务。
在连带责任的情况下,控制者一并决定了处理的目标和方式,委员会指出根据GDPR第26条规定,他们应以透明的方式明确各自的责任以便确保符合该条例的要求,尤其是针对征求有效同意和予以证明的要求。
最后,处理者是指将信息写入和/或获取存储于订阅者或用户终端设备的人员,仅代表控制者且无需通过追踪来自行收集数据。委员会指出如果建立委托处理关系,控制者和处理者应当通过合同或其他法律方式来明确各自义务,以遵循GDPR第28条的规定。
第4条 关于终端参数设置
《信息和自由法》第82条规定同意可源于个人连接设备中的参数设置或者所有其控制下的其他设备的参数设置。
委员会认为就现有技术而言,这些浏览器中的参数使得用户可以明确表示其有效的同意。
首先,如果这些浏览网站提供许多设置以使用户可以通过cookies来作出选择,但需要指出的是作出上述表示的条件并不能确保当事人获得足够多的预先信息。
其次,无论采用何种机制,浏览器如不允许根据不同的目标来区分cookies,便意味着用户无法通过明确的方式就每个目标作出同意。
最后,当下的浏览器参数不允许以cookies以外的技术来明示选择,如指纹来跟踪浏览情况。
即便如此,浏览器也在持续发展中,以便可以整合那些允许征求同意且符合GDPR要求的机制。委员会认为这样的发展一方面可以保障互联网用户掌握有效且简便的工具来使其可以简明地作出同意,另一方面,确保没有能力或技能来建立同意机制的发布者可以依靠这种机制。
第5条 关于追踪测试受众的特殊情况
网站可能需要测试其网站或应用的受众情况,或者测试不同的版本以根据各自的情况来优化自身。追踪是实现这一目标的常用方式,且在一些情形下,这些设备被视为应用户需求提供服务所必须的,与此同时,它们既不具有侵入性也可以免于征求同意的要求。例如,频率统计和意在测量同一网站不同版本表现的测试(通常被称为“A/B测试”),可使得网站检测其网站或应用程序中的导航或组织内容问题。
因此,委员会认为要受依赖于征求同意的豁免,其处理应符合如下条件:
必须由网站或其处理者负责实施。
相关情况应事先告知当事人。
其应有权利在终端、操作系统、应用和网站上通过简便易行的反对机制提出异议。
一旦提出反对,终端上不得进行任何读取和写入操作。
目的应限于
测试受众的显示内容,以评估网站或应用程序的发布内容和适配性;
网站受众分类是为了评估网站编排形式的有效性,而不会针对某个人;
在全球范围内动态调整网站。
收集的个人数据不得与其他处理进行交叉印证(例如其他网站的客户画像或者频率统计),也得不传输给第三方。跟踪工具的使用也必须严格限于匿名统计信息的生成。其范围也仅限于单个网站或应用之内且不得跟踪在其他网站上使用不同应用或浏览器的用户。
通过IP地址定位上网用户时不得提供比城市更为精确的地理信息。
当地理信息确认后也应对收集的IP地址进行删除或者匿名化处理。
处理所用追踪的时限不得超过13个月,即便有新的访问也不能自动延长这一期限。
通过追踪收集的信息最多保留25个月。
第6条 无需征得事先同意的读取或写入
第82条规定如果从用户终端设备访问存储或写入信息符合下述内容,则不适用事先同意的要求:
唯一的目的是允许或便利在线交互;
根据用户明确要求为提供线上交流所必须的。
该法律也没有要求对于允许或便利在线交互的追踪提供异议机制,又或者根据用户明确要求为提供线上交流所必须的。然而,为了确保操作的高度透明性,用户应有权知晓它们的设置情况和目的,例如通过在使用机构的隐私政策中提及这些内容。
第7条 废除第2013-378号建议
本决议将废除2013年第2013-378号有关通过1978年1月6日法律第32-II条提及的cookies和其他追踪方式的建议。本决议应公布在法国官方公报上。
数据保护官(DPO)社群主要成员是个人信息保护和数据安全一线工作者。他们主要来自于国内头部的互联网公司、安全公司、律所、会计师事务所、高校、研究机构等。在从事本职工作的同时,DPO社群成员还放眼全球思考数据安全和隐私保护的最新动态、进展、趋势。2018年5月,DPO社群举行了第一次线下沙龙。沙龙每月一期,集中讨论不同的议题。目前DPO社群已经超过200人。关于DPO社群和沙龙更多的情况如下:
DPO社群成果
线下沙龙实录见:
评估GDPR效果和影响:
线上沙龙见:
时评见:
DPO社群成员观点