域外法治 | 欧盟法院运用Cookie规则的启示

文 | 北京师范大学 吴沈括 崔婷婷

随着数字经济时代的全面到来，数据已成为社会经济发展的基础性战略资源。如何建构合理有效的、涵盖从收集到删除全生命周期的数据流转规则，具有重大的战略意义。欧盟作为数据保护的先行者，在数据保护的立法层面、围绕相应制度设计的执法层面，就数据流转规则的诸多内容进行了尝试。新近的司法动向日益呈现出成员国和欧盟法院司法的双层互动，以及对于欧盟法律规范多层综合运用的显著特征。

2019年10月1日，欧盟法院就编号为Case C-673/17的涉Cookie（即某些网站为了辨别用户身份而储存在用户本地终端的小型文本文件）案件作出判决。此裁判主要涉及在线游戏公司Planet49在推广在线游戏中使用“预选框”取得用户同意以保存Cookie的行为。德国消费者组织联合会就此行为向德国联邦法院起诉Planet49公司。德国联邦法院请求欧盟法院就欧盟有关保护电子通信隐私的法律进行解释。欧盟法院判决强调，通过“预选框”的方式所取得的用户同意，不能作为有效同意，更强调的应是数据主体的积极同意和实质同意。

本案在全球引起广泛关注和强烈反响，其属于欧盟涉及Cookie运用规则的里程碑案件，也是欧盟《一般数据保护条例》持续贯彻适用过程中的最新司法判例，对于欧盟个人数据保护乃至互联网治理的后续发展具有风向标意义。

此案与在线游戏公司Planet49组织的在线彩票活动有关。在参加活动之前，用户必须输入姓名和邮箱地址，然后会出现两个带有说明文字的复选框。第一个复选框要求用户同意从选定的赞助商和合作伙伴处接收营销信息。此复选框未预先选中。为了能够参加活动，用户需勾选第一个复选框。第二个复选框要求用户同意在其设备上安装Cookie。该复选框已预先选中。网络运营者的这一设计主要是想更大概率地取得用户同意，并将这些信息用于广告目的和分析。第二个复选框其后的相关描述向用户提供了有关Cookie的用途、网络分析服务提供商的简要信息、用户可以随时删除Cookie的事实。通过单击描述中的链接“您可以在此处了解更多信息”，可以看到更多有关用户安装Cookie的详细信息，包括Cookie功能的简短介绍、Cookie可以跟踪用户的事实等。

德国消费者组织联合会认为有关用户同意取得的方式不符合德国对于欧盟第2002/58号《电子隐私指令》的适用，遂将Planet49公司诉至法院。

德国联邦法院在受理此案时，发现对法律的解释以及法律的适用存在争议。此案主要涉及欧盟第2002/58号《电子隐私指令》和欧盟第2016/679号《一般数据保护条例》以及欧盟第1995/46号《数据保护指令》的适用问题。

自2018年5月25日起，《数据保护指令》被《一般数据保护条例》替代。而德国联邦法院将该案移交欧盟法院时，《一般数据保护条例》尚未正式施行。德国联邦法院查明，根据国家判例中有关禁令法律地位的论述，《一般数据保护条例》可以适用于本案。

而针对争议问题，德国联邦法院决定中止诉讼程序，并将下列问题提交欧盟法院进行初步裁决：

1．（1）如果通过预先选中的复选框允许网站存储信息或访问已存储在用户终端设备中的信息，用户需要取消选中该复选框以拒绝。此举是否构成《电子隐私指令》《数据保护指令》含义范围内的有效同意？

（2）结合《电子隐私指令》《数据保护指令》来看，储存或访问的信息是否为个人数据？在裁定结论上是否有差异？

（3）在问题1（1）中提到的情况下，是否构成《一般数据保护条例》中第6（1）（a）条的有效同意？

2．网络服务运营者需要根据《电子隐私指令》第5（3）条向用户提供的明确而全面的信息包括哪些？是否包括Cookie操作的持续时间、第三方是否可以访问Cookie等信息？

（一）预先选中的复选框不是获得有效同意的方法

欧盟法院认为，《电子隐私指令》第5（3）条规定，成员国应确保，只有在给用户提供了明确和全面的信息后，才允许访问存储在用户终端设备中的信息，但这不应妨碍只是通过网络传输而进行的任何技术存储或访问。

根据该项规定，用户必须采取行动才能表示同意。《电子隐私指令》第17条也明确指出，可以通过适当的方法来表示用户的同意，从而可以自由、明确、知情地指示用户的意愿，包括“通过访问互联网网站时在方框中打勾”。

《电子隐私指令》第2（f）条规定，用户的同意等同于《数据保护指令》中的同意。而《数据保护指令》第2（h）条规定，用户的同意是指“就其意愿自由作出的任何具体、知情的表示，以此表示其同意处理与本人有关的个人资料”。《数据保护指令》第7（a）条规定，只有数据当事人主动作出同意的行为，以声明或“明确的肯定行动”等形式作出意愿表示，才意味着同意处理与其本人有关的个人资料。

“就其意愿”的要求显然是指积极的而非消极的行为。在复选框中以预先选择的标记形式给出的同意，并不意味着网站用户的积极行为，也不是“明确”表示同意的行为。同时，这一“意愿”必须是“具体的”，而不能从用户的其他意愿中推断出来。

《一般数据保护条例》第6（1）（a）条规定，同意必须是“自由给出的、明确的、知情的数据主体意愿的陈述、说明或赋权动作”。《一般数据保护条例》第32条规定，同意须以明确的肯定行动表示当事人同意处理其个人资料，例如书面声明、电子方式或口头声明等，也包括在浏览互联网网站时勾选方框、选择资讯服务的技术设定，或者在此情况下清楚表明用户同意处理其个人资料的另一项声明或行为。因此，沉默、预先标记的空格或不作为不应构成同意。

此外，同意应包括为同一或多个目的而进行的所有处理活动，当包括多个目的时，所有目的都应得到同意。如果以电子方式提出需求，则内容必须清楚、简明，并不得造成干扰。

欧盟法院确定，《电子隐私指令》要求的用于存储或访问Cookie的同意必须符合《一般数据保护条例》相关规定，这等于确认了欧洲数据保护委员会对于《电子隐私指令》与《一般数据保护条例》之间相互关系的立场。

欧盟法院表示，对于Planet49公司在其在线活动中使用复选框的事实而言，如果用户必须通过取消选中复选框来反对使用Cookie，则并不构成同意行为。

欧盟法院指出，网站应当采取一种机制，规定“在征得同意的时间和地点，就Cookie的使用提供清晰、全面和可见的通知”，并且用户必须能够访阅所有必要的信息，包括有关网站使用Cookie的不同类型或目的。如果用户没有取消复选框，则无法确认用户的真实意图。

Planet49公司辩称，当用户积极点击活动参与按钮时，未取消预先制定的同意声明，即构成有效同意。欧盟法院驳回了这一论点。理由是，同意必须明确特定地指向相关个人数据的处理，不能源自其他目的行为的暗示。而在本案的情况下，“参加活动”和“同意保存Cookie”两项行为目的无法捆绑在一起。因此，如果用户必须取消选中复选框以表示拒绝，则不构成《电子隐私指令》及《一般数据保护条例》中所规定的有效同意。

（二）无论储存或访问的信息是否为个人数据，均适用《电子隐私指令》

在Planet49公司组织的彩票活动中，用户必须在彩票注册表中输入其姓名和邮箱地址。同时，被分配一个注册码。而安装在用户终端设备上的Cookie包含该注册码。欧盟法院由此认为，当用户使用互联网时，通过注册码和用户注册信息，能够产生自然人（用户）和Cookie所保存的数据之间的联结。因此，通过Cookie收集该注册码是一种处理个人数据的方式。这些判断也得到了Planet49公司的确认。Planet49公司在其书面意见中指出，第二个复选框所指的同意旨在授权收集和处理个人数据，而不是匿名数据。

欧盟法院进一步主张，《电子隐私指令》的目的在于保护用户免受对其私人生活的干扰，而不论这种干扰是否涉及个人数据。此外，《电子隐私指令》强调“信息存储”和“获得对已存储信息的访问权”两个概念，没有将该信息限定为个人数据。因此，基于《电子隐私指令》，存储或访问的信息是否为个人数据并不产生实质影响。

（三）网络服务运营者的信息义务还包括Cookie的运行期限及第三方访问权限

欧盟法院主张，根据处理个人数据时的公平性原则，在本案情况下，《电子隐私指令》要求的“清晰而全面的告知”应包括：Cookie将被用于收集有关在线彩票合作伙伴产品的广告目的信息、Cookie运行的持续时间及是否允许第三方访问Cookie三个问题。

在用户的终端设备上存储或访问Cookie时，网络服务运营者必须遵守告知要求，即应将所要收集的信息清晰而全面地告知用户。

根据《电子隐私指令》的规定，为使告知内容“清晰且全面”，网络服务运营者须明示用户第三方是否有权访问Cookie数据集；如果有权访问，则网络服务运营者必须披露第三方通过访问Cookie收集的数据。此外，网络服务运营者须明确告知用户Cookie的运行持续时间、数据保留期限、未来如何更改Cookie设置，以及用户可以全部接受、部分接受或者完全不接受Cookie的方式。关于Cookie的告知形式，必须是某种特定的方式，以便允许用户“能够容易地明确其给予的任何同意的后果……并能够评估其行为的效果”。

另外，关于以获得同意为条件提供服务的问题。欧盟法院认为，在确定是否构成“自由给予”同意时，需要考虑的因素之一是，用户是否可以在不同意处理个人数据的情况下访问所提供的服务，即是否为“捆绑式同意”。当然，禁止“捆绑式同意”不是绝对的原则，其关键因素是所提供服务的基本目的：如果个人数据对于提供该服务的基本目的而言是必不可少的，那么该服务需要获得同意。在Planet49公司的业务中，参与彩票活动需要用户提供个人数据，即用户通过同意第一个复选框以获得促销优惠。由于用户参加活动的主要前提是提供数据字段所要求的个人数据，因此处理此个人数据对于参与活动而言是“必要的”。

（四）Cookie的使用规则必须符合《一般数据保护条例》

在Planet49公司一案中，欧盟法院确认了欧洲数据保护委员会和国家监管机构的实践做法，但没有表示明确授权这些立场。欧盟法院认为，尽管受到《电子隐私指令》的约束，但使用Cookie和其他在线跟踪方法和技术（例如标签、脚本、像素及设备指纹等）的同意仍无法回避《一般数据保护条例》中规定的同意要求。

对此，欧盟法院认为，通常必须在整个欧盟范围内对欧盟法律进行自洽和统一的解释。在此裁决中，欧盟法院承认了《电子隐私指令》的各种国内法落实方式和来自各个成员国国家监管机构的不同实务做法。但是，这些差异在一个以上的成员国中运营时可能会导致法律上的不确定性。欧盟法院表示，希望欧洲数据保护委员会或即将颁布的《欧盟电子隐私条例》能够解决这一问题。

就司法层面而言，欧盟法院的这一裁判对“用户同意”原则作出了非常细致的解释，网络服务运营者在存储或获取用户Cookie时，必须获得用户积极主动的同意。例如，在本案中，取消预选框的行为并不是用户积极主动的同意行为，因而不能构成有效同意。这一裁判实质上意味着，在类似本案的场景中，征得用户同意的方式也必须符合《一般数据保护条例》的有关规定。

与此相呼应，在执法监管层面，整体而言，欧盟境内各国数据保护机构越来越重视Cookie的合规性，包括在线行为广告及各类场景中的应用程序。例如，德国巴伐利亚州数据保护机构对40家大型公司在各个领域的涉Cookie做法进行了审查，但没有发现任何一家公司的Cookie做法完全合规。欧洲数据保护委员会决心推动欧盟立法者完成新的《欧盟电子隐私条例》，以取代当前的《电子隐私指令》。

在商业运营层面，欧盟法院对Cookie案件的裁决为企业的合规操作提供了直接的行为指引：公司和企业必须修改“继续浏览本网站即表示您同意使用Cookie”或类似形式的Cookie标语，以实现明确的“选择-进入”同意。在获得明确的“选择-进入”同意之前，应确保没有设置Cookie。如果提供或访问服务必须给予同意，则应确保特定的个人数据是提供服务所必需的。

在更具体的实操层面，随着《一般数据保护条例》合规要求的激增，许多企业需寻找恰当的解决方案，以符合规定并通过审查。

对于公司和用户双方而言，欧盟法院对Cookie案件的裁决实质上强调了一种实操方案。首先，应查看Cookie的同意机制，并特别查看是否有使用预选框的情况存在。使用预先勾选的同意框不会形成有效的Cookie同意，对此必须引入相应的替代机制。其次，应查看具体的Cookie政策，并确保包括Cookie的运行持续时间、数据保留期限及是否允许第三方访问等内容。

【国家社会科学基金项目（批准号：15CFX035）的阶段性成果】