x

【法国Cookie墙】法国:CNIL为cookie墙敞开大门-仔细审视新标准

cioctocdo
28 August 2022
SEO Title
France: CNIL opens door to cookie walls - a closer look at the new criteria

法国数据保护局(“CNIL”)于2022年5月16日发布了其指南,概述了评估cookie墙合法性的标准,即互联网用户接受在其终端设备上存放cookie或类似跟踪技术的情况下限制访问服务的做法。特别是,该指南遵循了国务院2020年6月19日的决定,该决定认为CNIL不能像其在关于cookie和类似跟踪器的指南(“cookie指南”)的第一版中所预期的那样,全面禁止使用cookie墙,因此,在其最终有效版本中,一般不禁止此类做法。在这篇深入的文章中,我们将更仔细地研究CNIL制定的标准,同时也将指南定位在围绕cookie墙的复杂监管动态的更大背景下。

出身背景

如前所述,CNIL的新指南是在国家和欧盟层面上几个主要监管利益相关者编织的复杂监管拼凑的背景下制定的。多年来,Cookie墙一直是电子隐私监管的主要争议话题,其实施是否违反数据保护法下的同意自由这一关键原则是争论的焦点。

夹在EDPB和国务院之间?

欧洲普遍的监管方法是欧洲数据保护委员会(“EDPB”)在其关于2016/679号条例下同意的第05/2020号指南中目前倡导的方法,其中EDPB明确规定,“为了自由给予同意,对服务和功能的访问不得以用户同意存储信息或获取信息为条件(《指南》第39段)。

在法国,按照EDPB的方法,CNIL试图通过最初于2019年7月通过的cookie指南,对cookie墙进行全面禁止。然而,法国国务委员会随后发布了一项决定,废除了cookie准则中关于禁止cookie墙壁的规定,理由是CNIL已超出其法定权力。然而,值得注意的是,国务委员会并没有明确规定cookie墙本身的有效性,而是规定了CNIL的权力范围。

Fieldfisher的合伙人Sixtine Crouzet进一步阐明了上述情况及其对法国cookie实践的影响:

“CNIL处于一个尴尬的境地——夹在EDPB的解释和国务委员会的决定之间,它必须遵守。这一新的指导方针在一定程度上是受欢迎的,因为它试图填补法国自那时以来一直存在的监管空白。在法院的裁决之后,CNIL改变了其对饼干墙的立场:它认为饼干墙需要:根据具体情况进行评估,以确保用户对Cookie的同意是“自由给予的”。虽然CNIL必须打开cookie墙的大门,但网站或移动应用程序没有任何明确和具体的标准来进行个案分析。从那时起,尽管缺乏监管指导,cookie墙和付费墙的做法在网上蓬勃发展”。

CNIL的指南和电子隐私条例草案

在五年的审议过程中,cookie墙的监管一直是利益相关者的几个关键症结之一,这五年审议了关于尊重私人生活和保护电子通信中个人数据的法规提案,并废除了第2002/58/EC号指令(隐私和电子通信法规)(“电子隐私条例草案”)将看到跨国公司现在熟悉的零散的成员国对Cookie的监管方法整合到一个统一的欧盟层面。虽然其他欧盟数据和数字倡议,如《数据治理法案》和《数字市场法案》已通过欧盟当局之间的三阶段谈判,但自2021 2月以来,有关电子隐私条例草案的官方沟通一直处于停滞状态,当欧洲联盟理事会宣布成员国已同意开始谈判的授权时,欧洲议会将。

根据理事会授权建立的文本,cookie墙是允许的,前提是用户可以在以下两种情况中选择:

  • 同意出于某些目的使用Cookie;和
  • 由同一供应商提供的不需要使用Cookie的“同等报价”。

考虑到上述情况,克劳泽对CNIL新指南的可能保质期进行了以下评估:

“乍一看,时间安排表明,CNIL的指导意见是暂时的,因为未来的ePrivacy法规一旦通过,将直接适用于法国,并将优先于监管指导意见。然而,CNIL立场与2021 2月与欧洲议会开始三方会谈谈判前理事会商定的立场相似ent和委员会就最终文本达成一致。如果委员会的立场在三部曲过程中幸存下来,这意味着CNIL指南的最终文本可能部分符合最终电子隐私条例”。

评估标准

在上述背景下,CNIL发布的新指南强调,尽管《一般数据保护条例》(条例(欧盟)2016/679)(“GDPR”)下的“自由”同意要求不会导致对cookie墙做法的全面禁止,但其合法性必须评估,特别是:,在用户拒绝在其终端设备上存放cookie的情况下,提供真实和令人满意的替代方案。

标准1:服务提供商或第三方必须提供“真实和公平的替代方案”,以替代围墙内容或服务

作为确保cookie墙不违反同意自由要求的第一个标准,CNIL的指南规定:

  • 出版商必须提供真实、公平的替代方案,允许访问网站,但这并不意味着必须同意使用其数据;或
  • 出版商必须能够证明,特别是向CNIL证明,另一家出版商提供了这样的替代方案,而不必设置cookie墙。

除上述内容外,CNIL还指出,在任何情况下,设置cookie墙的网站发布者必须警惕互联网用户的权力不平衡,这将损害选择自由,并明确规定,发布者必须因此确保用户易于使用其他访问服务或内容的方式。此外,CNIL进一步规定,如果出版商对所提供的内容或服务具有排他性,或者当用户几乎没有或没有服务替代品,因此在使用Cookie方面没有实际选择时,可能会出现这种不平衡,例如在主要或基本服务提供商的情况下。

Crouzet在评论这一标准时指出,“去年,EDPB呼吁欧洲立法者明确禁止“要么接受,要么离开”的cookie做法,这使得访问服务的条件是强制接受cookie。然而,EDPB确实认为用户可以在接受cookies或相同服务提供商提供的“公平选择”之间做出选择。”。

尽管注意到关键监管利益相关者所倡导的方法之间的相关性,但克劳泽强调,仍然需要关于这一标准的更精细的指导:

“虽然理事会、EDPB和CNIL都提到了“公平”和“同等”报价的概念,但它们都没有提供实际因素来澄清这一概念。这是否取决于网站的主要功能是否可用?取决于大多数内容是否可自由访问?如果用户不接受Cookie,则要求用户登录网站如何?或者更一般地说,要求用户使用Cookiers提供其个人数据?提供一个有更多无追踪器广告的网站怎么样?"

标准2:付费墙价格必须“合理”

此外,CNIL概述说,在实践中不禁止提供付费替代方案(即要求接受Cookie或提供服务的报酬)。然而,CNIL规定,价格必须合理,即不得高到剥夺用户的真正选择。与设定具体阈值相反,CNIL指出,确定什么是“合理的”取决于个案分析,并进一步指出,希望实施付费墙的人必须能够证明所提供货币对价的合理性。此外,CNIL建议,为了提高透明度,应公布此类分析。

Crouzet强调了这一标准的新颖性,并分别指出了CNIL的组织实施和执行中的潜在困难:

“该委员会的授权并未明确提及付费墙。网站和应用程序一定很难将价格设定在“合理”的水平,并根据客观标准证明该水平是合理的。根据CNIL,一个组织可以要求用户支付订阅费或允许他们使用虚拟钱包进行准时付款。更具体地说,网站可以:选择计算他们从使用广告cookie中获得的收入,并要求拒绝广告cookie的用户在此基础上支付固定价格。因此,该价格将特定于网站的商业模式以及如何获得广告收入。如果关于价格水平的争议在全国独立选举之前结束,那么讨论将必然基于经济考虑,而全国独立选举并不习惯于解决这一问题。”

标准3:用户帐户创建必须符合指定目的

作为一项附加要求,CNIL规定,如果网站或应用运营商要求用户创建用户帐户,则必须确保该义务与预期目的相关,并注意到当允许选择订阅(每月或每年)的用户在其他终端上从该订阅中受益时,情况将如此。

此外,指南还规定,网站和应用程序在创建用户帐户时必须:

  • 告知用户其数据的使用情况;
  • 将收集的数据仅限于所追求目标所需的数据;和
  • 确保,如果发布者希望将创建帐户期间收集的数据用于其他目的,则其已事先明确告知用户,并在必要时获得用户同意用于这些新目的。

标准4:支付/cookie墙必须符合指定的cookie用途

CNIL回顾了既定原则,即无法根据追踪者的目标、目的或目的接受或拒绝追踪者,可能会影响用户的选择自由,从而影响同意的有效性,并强调,在实施cookie墙的地方,出版商必须证明其仅限于为提供的服务提供公平报酬的目的。为了说明这一要求,《指南》规定,如果出版商认为其服务的报酬取决于其可以从定向广告中获得的收入,则访问该服务只需要为此目的获得同意;拒绝同意用于其他目的不应妨碍访问本网站的内容。

标准5:如果选择了cookie墙的替代方案,则只能在有限的情况下存放cookie

该指南进一步规定,作为一般规则,如果用户选择发布者的cookie墙替代方案,则发布者不应存放cookie或类似跟踪器,但为提供所请求的服务而严格必要的cookies或类似跟跟踪器除外。然而,作为另一个例外,CNIL指出,如果用户需要访问第三方网站上托管的内容(例如,查看第三方站点托管的视频),出版商可以根据具体情况请求用户同意存放Cookie或类似跟踪器,前提是向用户提供所需信息,包括:

  • 激活外部内容需要特定目的的同意;
  • 外部内容提供商的隐私政策(法语)链接;
  • 随时轻易撤回同意的可能性;和
  • 未提供同意的后果,即无法访问服务。

组织的实施挑战

Crouzet在对上述标准进行总体评论时强调,“[w]在法国实施cookie墙的电子网站和应用程序需要根据CNIL指南记录这种做法的合法性。应用CNIL的标准必然会很困难,因为没有“一刀切”的理由,网站和应用程序必须根据具体情况起草该评估。更具体地说,“真实和公平的替代方案”标准意味着,实施cookie墙的网站必须对竞争对手的报价进行基准测试。此外,CNIL可能会期望他们超时更新评估,并监控替代方案是否仍然存在”。

执行和下一步

在指南发布后,各组织可能会质疑CNIL将如何执行这些标准,特别是考虑到CNIL最近针对使Cookie难以拒绝的做法开展的执法活动。在这一点上,克劳泽作出了以下评估:

“CNIL没有规定任何关于执行的时间表,也没有提到是否会有宽限期,因此,监管机构可能会等到欧盟共同立法者就电子隐私条例和cookie墙达成最终协议。到目前为止,CNIL对cookie规则的执行仅限于特定的违规领域,即nt for Cookie与拒绝Cookie以及用户设备上是否自动设置Cookie一样简单。然而,CNIL确实强调,它已经收到了来自面对cookie墙的用户的大量投诉。这表明,国家司法委员会仍然可以求助于执法来解决这些投诉”。

最后,克劳泽提请注意,CNIL选择将上述标准描述为“第一组标准”。克劳泽特在分析这一措辞时推测,“这意味着国家独立调查委员会将跟进并发布更多关于这一主题的指导意见。希望更多的指导意见将取决于电子隐私条例草案的演变。”

本文: