FT:对Cookie使用的监管,欧盟走到了哪一步?(图)
欧洲批评者将这种基于用户画像的广告模式称作“监控资本主义”。在欧洲议会甚至出现了禁止个性化广告、将其直接堵死的声音。
本月初,谷歌在一篇博文中宣告,在Chrome停用第三方Cookie之后,将不会建立新的替代标识符来跟踪用户,也不会在产品中使用类似的技术。作为拥有全球第一大浏览器、以广告为核心业务的谷歌,如何兼顾个性化广告和用户隐私的浏览环境,是个难题。2019年公布的“隐私沙盒”计划(Privacy Sandbox),就是谷歌正在进行的探索。去年年初,谷歌预告Chrome两年内不再支持第三方cookie。
继Safari和Firefox之后,谷歌决定停用第三方Cookie,是隐私和数据保护大势所趋之下所作的权衡之举。
一方面是互联网用户的隐私保护意识在增强。去年五月,市场调查公司YouGov对德国网民所作的问卷调查显示,63%的受访者表示对不断弹出的Cookie提示感到厌烦或者受限制,33%的人希望互联网服务商能提供Cookie替代方案。
另一方面则是来自监管的压力。欧洲批评者将这种基于用户画像的广告模式称作“监控资本主义”。在欧洲议会甚至出现了禁止个性化广告、将这种商业模式直接堵死的声音。目前,欧盟委员会正对谷歌的广告业务进行反垄断调查,审查谷歌在广告生态系统中的角色和位置,以及它如何处理个人数据。
然而,严格地说,欧盟并没有一部专门规范Cookie、且适用于所有成员国的法规。出台于2002年,修订于2009年的《电子隐私指令》(ePrivacy Directive)被称作“欧盟Cookie准则”,但它不直接对各国产生法律约束力。按规定,该准则需各成员国最晚2011年在各自法规中得到呈现和贯彻,可是这个落实的过程并不理想。
以德国为例,和欧盟《电子隐私指令》中使用Cookie必须得到用户明确同意的规定不同,德国《电信媒体法》(TMG)却规定:在用户没有提出反对的情况,服务商允许对用户进行以广告,市场研究等为目的的跟踪。也就是说,服务商没有义务让用户对使用Cookies表示主动同意。这里的区别其实就是,在Cookie接受机制上,欧盟规定的是“选择加入”(opt in),而德国却许可“选择退出”(opt out)。
对于德国法律和欧盟指令不一致的“尴尬”局面,德国联邦最高法院在去年5月的一次判决中做出了新的诠释。德国消费者中心将一家网站告上法庭,理由为网站虽然在用户打开网页时征求用户Cookies使用同意,但是选项已被预设为勾选状态。判决表明,只有主动给予的同意才是合法的同意,事先勾选的同意是无效的。也就是说,法院将《电信媒体法》中的“没有反对”,诠释为“表示同意”。
而在2019年,欧洲法院也对此也有过判决,法院的立场也很明确:在使用Cookie之前,必须征得用户的主动同意。
这两个判决,其实就是Cookie接受机制中典型的opt in和opt out的问题,法院明确表示,必须用opt in取代opt out。且强调了“同意”的三个原则:主动,即用户自己主动选择同意;自愿,在不受损失的情况下同意接受;以及知情,即明确告知用户意图,而不能将目的隐藏在冗长的政策条文当中。
这就涉及到了“同意”这个核心问题:什么叫“同意”?以怎样的方式获得用户的同意?
法院并没有做出什么开天辟地的壮举。其实,对欧盟成员国有直接法律约束力的《通用数据保护条例》(GDPR)已经对“同意”做出了详尽的定义:数据主体自由给出、具体的、知情的、不含糊的声明或明确的肯定性行为。所以,一些网站所声明的“如果继续使用网站将默认为同意”违反了《通用数据保护条例》的规定。
在“同意”这个问题上,谷歌已经栽过跟头。2019年初,法国国家信息自由委员会(CNIL)因谷歌在收集和处理个人数据上缺乏透明度,且在用于个性化广告用途的数据收集和使用上,没有取得合法的用户同意,给谷歌开出了迄今以来最大的一张《通用数据保护条例》罚单5千万欧元。
在法国国家信息自由委员会看来,用户创建账号时,谷歌将呈现个性化广告预设为勾选状态不符合“不含糊”原则,而让用户只能对包括用于个性化广告在内的所有数据处理进行打包式同意,不符合“具体”原则。
当然,《通用数据保护条例》保护的是个人数据。那么,Cookie是否属于个人数据?《通用数据保护条例》将一切可以用来识别或用来识别自然人的数据都属于个人数据,比如IP地址。一旦对个人数据进行处理,则会涉及到该法规。而cookie和类似技术的使用显然符合识别性和处理这两个条件。《电子隐私指令》则从“隐私权”的角度来定义这一问题:用户的电子通信终端设备和设备中储存的任何信息属于用户的隐私范畴,在未取得用户同意的情况下,对这些信息的跟踪属于侵犯隐私。Cookie有不同的分类方式,在欧盟法规语境中将其大致分为两类:用于用于确保网站正常运作等绝对必要的技术类Cookie和用于广告、分析等非绝对必要的技术类Cookie。第二种Cookie必须征得用户的主动同意才能使用。
然而,尽管《电子隐私指令》能对成员国的相关法律起到准则作用,但它不能决定各国的具体贯彻情况,尽管可以将Cookie解读为个人数据,但《通用数据保护条例》对Cookie的内容只是一笔带过。欧盟想改变这样一个略显无力的局面,试图推出一部规范电子通讯服务、适用所有成员国的法律。
四年之前,欧盟委员会提交了一份《电子隐私法规》草案(ePrivacy Regulation),使命是取代现存的《电子隐私指令》,对《通用数据保护条例》进行具体化和补充:《通用数据保护条例》保护的是个人数据,包括在线的和离线的,而《电子隐私法规》集中在电子通讯服务领域保护用户隐私。这个原本计划与《通用数据保护条例》双剑合璧、施展身手的法规,一路走得磕磕绊绊。
上个月,欧盟理事会终于在草案上取得一致立场。Cookie和类似的跟踪技术成为新法案的靶子之一,而“同意“问题则是其核心问题之一。新法案中规定,如果终端用户没有真正的和自由的选择,或者说无法在不遭受损失的前提下撤销同意,那就是无效的同意。真正的选择就是,除了同意之外,还有其他选项。终端用户可以在浏览器中设置接受某些Cookie的白名单,同时随时可以撤销同意。
该法案接下来的程序是欧盟委员会、欧洲议会和欧盟理事会之间的三方谈判。如果谈判顺利,法案将在2023年生效。不过,顺利的可能性并不大。成员国的内部分歧仍然很大。德国联邦数据保护专员(BfDI)已经明确表示法案没有达到应有的隐私保护水平,批评其对“Cookie Walls”的许可是种退步倒退。
看来,法案很有可能将延续其磕磕绊绊的命运,对Cookie使用的监管也是。