文 | 北京師範大學 吳沈括 崔婷婷
隨著數字經濟時代的全面到來,數據已成為社會經濟發展的基礎性戰略資源。如何建構合理有效的、涵蓋從收集到刪除全生命周期的數據流轉規則,具有重大的戰略意義。歐盟作為數據保護的先行者,在數據保護的立法層面、圍繞相應制度設計的執法層面,就數據流轉規則的諸多內容進行了嘗試。新近的司法動向日益呈現出成員國和歐盟法院司法的雙層互動,以及對於歐盟法律規範多層綜合運用的顯著特徵。
2019年10月1日,歐盟法院就編號為Case C-673/17的涉Cookie(即某些網站為了辨別用戶身份而儲存在用戶本地終端的小型文本文件)案件作出判決。此裁判主要涉及在線遊戲公司Planet49在推廣在線遊戲中使用「預選框」取得用戶同意以保存Cookie的行為。德國消費者組織聯合會就此行為向德國聯邦法院起訴Planet49公司。德國聯邦法院請求歐盟法院就歐盟有關保護電子通信隱私的法律進行解釋。歐盟法院判決強調,通過「預選框」的方式所取得的用戶同意,不能作為有效同意,更強調的應是數據主體的積極同意和實質同意。
本案在全球引起廣泛關注和強烈反響,其屬於歐盟涉及Cookie運用規則的裡程碑案件,也是歐盟《一般數據保護條例》持續貫徹適用過程中的最新司法判例,對於歐盟個人數據保護乃至網際網路治理的後續發展具有風向標意義。
Cookie案件的具體背景與案情
此案與在線遊戲公司Planet49組織的在線彩票活動有關。在參加活動之前,用戶必須輸入姓名和郵箱地址,然後會出現兩個帶有說明文字的複選框。第一個複選框要求用戶同意從選定的贊助商和合作夥伴處接收營銷信息。此複選框未預先選中。為了能夠參加活動,用戶需勾選第一個複選框。第二個複選框要求用戶同意在其設備上安裝Cookie。該複選框已預先選中。網絡運營者的這一設計主要是想更大概率地取得用戶同意,並將這些信息用於廣告目的和分析。第二個複選框其後的相關描述向用戶提供了有關Cookie的用途、網絡分析服務提供商的簡要信息、用戶可以隨時刪除Cookie的事實。通過單擊描述中的連結「您可以在此處了解更多信息」,可以看到更多有關用戶安裝Cookie的詳細信息,包括Cookie功能的簡短介紹、Cookie可以跟蹤用戶的事實等。
德國消費者組織聯合會認為有關用戶同意取得的方式不符合德國對於歐盟第2002/58號《電子隱私指令》的適用,遂將Planet49公司訴至法院。
德國聯邦法院在受理此案時,發現對法律的解釋以及法律的適用存在爭議。此案主要涉及歐盟第2002/58號《電子隱私指令》和歐盟第2016/679號《一般數據保護條例》以及歐盟第1995/46號《數據保護指令》的適用問題。
自2018年5月25日起,《數據保護指令》被《一般數據保護條例》替代。而德國聯邦法院將該案移交歐盟法院時,《一般數據保護條例》尚未正式施行。德國聯邦法院查明,根據國家判例中有關禁令法律地位的論述,《一般數據保護條例》可以適用於本案。
而針對爭議問題,德國聯邦法院決定中止訴訟程序,並將下列問題提交歐盟法院進行初步裁決:
1.(1)如果通過預先選中的複選框允許網站存儲信息或訪問已存儲在用戶終端設備中的信息,用戶需要取消選中該複選框以拒絕。此舉是否構成《電子隱私指令》《數據保護指令》含義範圍內的有效同意?
(2)結合《電子隱私指令》《數據保護指令》來看,儲存或訪問的信息是否為個人數據?在裁定結論上是否有差異?
(3)在問題1(1)中提到的情況下,是否構成《一般數據保護條例》中第6(1)(a)條的有效同意?
2.網絡服務運營者需要根據《電子隱私指令》第5(3)條向用戶提供的明確而全面的信息包括哪些?是否包括Cookie操作的持續時間、第三方是否可以訪問Cookie等信息?
Cookie案件的判決內容與主要指向
(一)預先選中的複選框不是獲得有效同意的方法
歐盟法院認為,《電子隱私指令》第5(3)條規定,成員國應確保,只有在給用戶提供了明確和全面的信息後,才允許訪問存儲在用戶終端設備中的信息,但這不應妨礙只是通過網絡傳輸而進行的任何技術存儲或訪問。
根據該項規定,用戶必須採取行動才能表示同意。《電子隱私指令》第17條也明確指出,可以通過適當的方法來表示用戶的同意,從而可以自由、明確、知情地指示用戶的意願,包括「通過訪問網際網路網站時在方框中打勾」。
《電子隱私指令》第2(f)條規定,用戶的同意等同於《數據保護指令》中的同意。而《數據保護指令》第2(h)條規定,用戶的同意是指「就其意願自由作出的任何具體、知情的表示,以此表示其同意處理與本人有關的個人資料」。《數據保護指令》第7(a)條規定,只有數據當事人主動作出同意的行為,以聲明或「明確的肯定行動」等形式作出意願表示,才意味著同意處理與其本人有關的個人資料。
「就其意願」的要求顯然是指積極的而非消極的行為。在複選框中以預先選擇的標記形式給出的同意,並不意味著網站用戶的積極行為,也不是「明確」表示同意的行為。同時,這一「意願」必須是「具體的」,而不能從用戶的其他意願中推斷出來。
《一般數據保護條例》第6(1)(a)條規定,同意必須是「自由給出的、明確的、知情的數據主體意願的陳述、說明或賦權動作」。《一般數據保護條例》第32條規定,同意須以明確的肯定行動表示當事人同意處理其個人資料,例如書面聲明、電子方式或口頭聲明等,也包括在瀏覽網際網路網站時勾選方框、選擇資訊服務的技術設定,或者在此情況下清楚表明用戶同意處理其個人資料的另一項聲明或行為。因此,沉默、預先標記的空格或不作為不應構成同意。
此外,同意應包括為同一或多個目的而進行的所有處理活動,當包括多個目的時,所有目的都應得到同意。如果以電子方式提出需求,則內容必須清楚、簡明,並不得造成幹擾。
歐盟法院確定,《電子隱私指令》要求的用於存儲或訪問Cookie的同意必須符合《一般數據保護條例》相關規定,這等於確認了歐洲數據保護委員會對於《電子隱私指令》與《一般數據保護條例》之間相互關係的立場。
歐盟法院表示,對於Planet49公司在其在線活動中使用複選框的事實而言,如果用戶必須通過取消選中複選框來反對使用Cookie,則並不構成同意行為。
歐盟法院指出,網站應當採取一種機制,規定「在徵得同意的時間和地點,就Cookie的使用提供清晰、全面和可見的通知」,並且用戶必須能夠訪閱所有必要的信息,包括有關網站使用Cookie的不同類型或目的。如果用戶沒有取消複選框,則無法確認用戶的真實意圖。
Planet49公司辯稱,當用戶積極點擊活動參與按鈕時,未取消預先制定的同意聲明,即構成有效同意。歐盟法院駁回了這一論點。理由是,同意必須明確特定地指向相關個人數據的處理,不能源自其他目的行為的暗示。而在本案的情況下,「參加活動」和「同意保存Cookie」兩項行為目的無法捆綁在一起。因此,如果用戶必須取消選中複選框以表示拒絕,則不構成《電子隱私指令》及《一般數據保護條例》中所規定的有效同意。
(二)無論儲存或訪問的信息是否為個人數據,均適用《電子隱私指令》
在Planet49公司組織的彩票活動中,用戶必須在彩票註冊表中輸入其姓名和郵箱地址。同時,被分配一個註冊碼。而安裝在用戶終端設備上的Cookie包含該註冊碼。歐盟法院由此認為,當用戶使用網際網路時,通過註冊碼和用戶註冊信息,能夠產生自然人(用戶)和Cookie所保存的數據之間的聯結。因此,通過Cookie收集該註冊碼是一種處理個人數據的方式。這些判斷也得到了Planet49公司的確認。Planet49公司在其書面意見中指出,第二個複選框所指的同意旨在授權收集和處理個人數據,而不是匿名數據。
歐盟法院進一步主張,《電子隱私指令》的目的在於保護用戶免受對其私人生活的幹擾,而不論這種幹擾是否涉及個人數據。此外,《電子隱私指令》強調「信息存儲」和「獲得對已存儲信息的訪問權」兩個概念,沒有將該信息限定為個人數據。因此,基於《電子隱私指令》,存儲或訪問的信息是否為個人數據並不產生實質影響。
(三)網絡服務運營者的信息義務還包括Cookie的運行期限及第三方訪問權限
歐盟法院主張,根據處理個人數據時的公平性原則,在本案情況下,《電子隱私指令》要求的「清晰而全面的告知」應包括:Cookie將被用於收集有關在線彩票合作夥伴產品的廣告目的信息、Cookie運行的持續時間及是否允許第三方訪問Cookie三個問題。
在用戶的終端設備上存儲或訪問Cookie時,網絡服務運營者必須遵守告知要求,即應將所要收集的信息清晰而全面地告知用戶。
根據《電子隱私指令》的規定,為使告知內容「清晰且全面」,網絡服務運營者須明示用戶第三方是否有權訪問Cookie數據集;如果有權訪問,則網絡服務運營者必須披露第三方通過訪問Cookie收集的數據。此外,網絡服務運營者須明確告知用戶Cookie的運行持續時間、數據保留期限、未來如何更改Cookie設置,以及用戶可以全部接受、部分接受或者完全不接受Cookie的方式。關於Cookie的告知形式,必須是某種特定的方式,以便允許用戶「能夠容易地明確其給予的任何同意的後果……並能夠評估其行為的效果」。
另外,關於以獲得同意為條件提供服務的問題。歐盟法院認為,在確定是否構成「自由給予」同意時,需要考慮的因素之一是,用戶是否可以在不同意處理個人數據的情況下訪問所提供的服務,即是否為「捆綁式同意」。當然,禁止「捆綁式同意」不是絕對的原則,其關鍵因素是所提供服務的基本目的:如果個人數據對於提供該服務的基本目的而言是必不可少的,那麼該服務需要獲得同意。在Planet49公司的業務中,參與彩票活動需要用戶提供個人數據,即用戶通過同意第一個複選框以獲得促銷優惠。由於用戶參加活動的主要前提是提供數據欄位所要求的個人數據,因此處理此個人數據對於參與活動而言是「必要的」。
(四)Cookie的使用規則必須符合《一般數據保護條例》
在Planet49公司一案中,歐盟法院確認了歐洲數據保護委員會和國家監管機構的實踐做法,但沒有表示明確授權這些立場。歐盟法院認為,儘管受到《電子隱私指令》的約束,但使用Cookie和其他在線跟蹤方法和技術(例如標籤、腳本、像素及設備指紋等)的同意仍無法迴避《一般數據保護條例》中規定的同意要求。
對此,歐盟法院認為,通常必須在整個歐盟範圍內對歐盟法律進行自洽和統一的解釋。在此裁決中,歐盟法院承認了《電子隱私指令》的各種國內法落實方式和來自各個成員國國家監管機構的不同實務做法。但是,這些差異在一個以上的成員國中運營時可能會導致法律上的不確定性。歐盟法院表示,希望歐洲數據保護委員會或即將頒布的《歐盟電子隱私條例》能夠解決這一問題。
Cookie案件的主要影響與啟示
就司法層面而言,歐盟法院的這一裁判對「用戶同意」原則作出了非常細緻的解釋,網絡服務運營者在存儲或獲取用戶Cookie時,必須獲得用戶積極主動的同意。例如,在本案中,取消預選框的行為並不是用戶積極主動的同意行為,因而不能構成有效同意。這一裁判實質上意味著,在類似本案的場景中,徵得用戶同意的方式也必須符合《一般數據保護條例》的有關規定。
與此相呼應,在執法監管層面,整體而言,歐盟境內各國數據保護機構越來越重視Cookie的合規性,包括在線行為廣告及各類場景中的應用程式。例如,德國巴伐利亞州數據保護機構對40家大型公司在各個領域的涉Cookie做法進行了審查,但沒有發現任何一家公司的Cookie做法完全合規。歐洲數據保護委員會決心推動歐盟立法者完成新的《歐盟電子隱私條例》,以取代當前的《電子隱私指令》。
在商業運營層面,歐盟法院對Cookie案件的裁決為企業的合規操作提供了直接的行為指引:公司和企業必須修改「繼續瀏覽本網站即表示您同意使用Cookie」或類似形式的Cookie標語,以實現明確的「選擇-進入」同意。在獲得明確的「選擇-進入」同意之前,應確保沒有設置Cookie。如果提供或訪問服務必須給予同意,則應確保特定的個人數據是提供服務所必需的。
在更具體的實操層面,隨著《一般數據保護條例》合規要求的激增,許多企業需尋找恰當的解決方案,以符合規定並通過審查。
對於公司和用戶雙方而言,歐盟法院對Cookie案件的裁決實質上強調了一種實操方案。首先,應查看Cookie的同意機制,並特別查看是否有使用預選框的情況存在。使用預先勾選的同意框不會形成有效的Cookie同意,對此必須引入相應的替代機制。其次,應查看具體的Cookie政策,並確保包括Cookie的運行持續時間、數據保留期限及是否允許第三方訪問等內容。
【國家社會科學基金項目(批准號:15CFX035)的階段性成果】