域外观察 | 法国个人信息保护机构大力支持关于追踪程序的新规，谷歌苹果因违反新规在法国遭受投诉

全文共计约3200字，细读时间约10分钟

作者|黄潇怡 信通院互联网法律研究中心研究员

       王漪清 中国信息通信研究院互联网法律研究中心实习生

【关键词】在线跟踪程序、个人数据、同意有效性

2013年，CNIL通过了1978年1月6日法律第32-II条提及的“cookies和其他追踪方式”的建议（2013-378号建议），以指导参与者实施关于Cookie的读写操作的法规。2018年5月25日，《通用数据保护条例》（GDPR）的生效加强了同意有效性的要求，使上述法规部分不适用。CNIL承诺分两个阶段对其进行更新，并于2019年7月4日审议通过，将修改后的1978年1月6日法律第82条中“有关cookies和其他追踪方式”的条款适用于用户终端的读取或写入操作；又于2020年9月17日对条款进行了调整，并于2020年10月1日发布《关于“Cookie和其他追踪程序”的修订指南及建议》（以下简称“新规则”），同时废除第2013-378号建议。适用规则的演变为互联网用户提供了一个转折点，将使他们能够更好地控制在线跟踪程序。新规则于2021年1月14日开始公开征求公众意见，并于2021年3月31日结束过渡期。

新规则明确说明了适用规则的改进，使互联网用户能够更好地控制在线追踪程序。

1、互联网用户清楚了解追踪程序的用途

当用户必须做出选择时，必须将与追踪程序相关的所有用途呈现给用户。为了清楚和简洁起见，第一个描述可能仅限于对Cookie所追求的目标的简要介绍（第一级信息），然后进行更详细的描述（第二级信息）。

2、拒绝追踪程序应和接受它们一样简单

互联网用户必须通过明确的积极行为（例如，单击Cookie横幅中的“我接受”）同意追踪程序的存放。用户的沉默（可以通过简单的导航来实现）此后必须被解释为拒绝，任何对服务功能不必要的追踪程序都不能在用户的设备上存放。

CNIL还认为，在与“全部接受”按钮相同的级别和格式上集成“全部拒绝”按钮，可以让互联网用户有一个明确而简单的选择；也可以让用户通过关闭cookie横幅来拒绝追踪程序。另一方面，在实践中，仅仅在“全部接受”按钮之外，加上一个“配置”按钮，往往会阻碍拒绝，因此违反GDPR的要求。

“Cookie墙”的做法实际上是以“接受追踪程序存放”作为访问站点的条件。在欧洲立法者最终明确这一问题之前，CNIL将依据现有的判例法文本，根据具体情况确定个人同意是否自由，以及“Cookie墙”是否合法。

CNIL将密切关注，当拒绝不必要的跟踪程序阻碍了用户进行访问时，是否存在真正令人满意的替代方案，特别是由同一服务提供商提供的替代方案。

CNIL的主要目标是让参与者全面持久的合规。因此，自2020年10月1日新规则发布起，CNIL首先征求公众意见，并优先采用循序渐进的方法来阐明适用的规则，CNIL采取了许多行动来支持相关专业人员。

1、面向私营和公共部门专业人士的十八场网络研讨会

在2020年11月至2021年2月之间，组织了18次网络研讨会，回答了来自私营和公共部门（出版商、广告商、电子商务、公共部门、解决方案提供商、行业协会等）的许多专业人员的法律和技术问题。通过网络研讨会，CNIL完成针对Cookie和其他追踪程序的常见问题解答。

2、CNIL网站上提供了许多实用的技巧和工具

CNIL在其网站上提供了许多实用建议和工具，尤其是：

3、针对公共和私人组织的宣传活动

CNIL已向近200个地方当局、政府部门和运营商发送了通知和电子邮件，鼓励他们对站点和移动应用程序进行审核，以便在必要时尽快采取措施来满足法规要求。

此外，CNIL还设立了一个观察站，通过监测互联网用户浏览的第一个页面上存放的cookie，定期对法国浏览人数最多的1000个网站上存放cookie做法进行分析。为了提高人们对不合规情况下可能产生的风险的认识，CNIL决定根据调查分析结果，致函约100个在法国拥有大量用户的网站，这些网站均未经用户事先同意就放置cookie。

CNIL将按照其指南中的概述以及GDPR的第4.11条和第7条中关于同意的规定进行检查，以评估与追踪程序有关的规则的适用性。

与“追踪程序”相关的互联网用户投诉越来越多，CNIL希望通过这一行动，满足对网络追踪越来越敏感的网络用户的期望。

如果通过检查或投诉发现存在违规行为， CNIL可以使用其“工具箱”中的所有手段，如有必要，可发布正式通知或公开制裁。

法国CNIL在Cookie和其他追踪程序的新规则中明确声明，互联网用户必须通过明确的积极行为（例如单击Cookie横幅中的“我接受”）同意追踪程序的存放，用户的沉默此后必须被解释为拒绝。在此之前，CNIL针对Cookie和其他追踪程序还发布了《Cookie和其他追踪程序准则》《Cookie和其他追踪程序的建议》等文本，以便在线追踪程序合规，以及更全面的保护用户的相关数据权利。规则颁布后引发了大量针对Cookie和其他追踪程序违法行为的投诉，一方面说明了规则的实践性，另一方面也反映了社会公众保护个人数据的维权意识不断提升。

2021年4月7日，谷歌的安卓广告工具因“未征得用户的同意，违反了欧盟的规定”而成为法国隐私保护主义者马克斯·施雷姆斯的控诉对象。由施雷姆斯成立的组织 Noyb在4月7日的一份声明中指出，谷歌的软件在用户不知情的情况下在其手机上创建了一个广告标识符。该投诉被提交给了法国的数据保护监督机构 CNIL。该组织表示，“这些追踪程序显然需要用户同意，但谷歌“忽视了这一法律要求”。因此，Noyb对谷歌的追踪代码提出了投诉。谷歌的媒体代表没有立即进行回复。

施雷姆斯因与Facebook展开较量而声名鹊起，并称将寻找“影响更大甚至最大的案件”。2013年，施雷姆斯根据欧盟-美国安全港协议（EU-US Safe Harbour agreement）向爱尔兰数据保护机构投诉Facebook将欧洲公民的数据传输到其加州总部。施雷姆斯诉称，欧盟无法保证当公民的数据被转移到美国时其隐私同样受到尊重，因为美国的监管法律要求私人公司将数据交给政府。该案最终提交欧洲法院（ECJ），该法院在2015年最终否决了安全港协议。2016年，欧盟以数据充分性决定取代了安全港，该决定被称为"隐私盾（Privacy Shield）"。在施雷姆斯煽动的另一起案件之后，欧洲法院在2020年7月又推翻了“隐私盾”判决。现在，只有在数据主体同意或因履行合同需要传输的情况下，才能进行跨大西洋个人数据传输。

除此之外，Noyb还瞄准了苹果公司(Apple Inc.)的广告追踪。该组织在去年11月提交给西班牙和德国当局的投诉中指控，苹果在其设备上非法安装“广告商身份识别（Identification for Advertisers）”程序，这项服务帮助苹果和其应用程序在未经用户同意的情况下跟踪用户的行为和消费偏好。

Cookie和其他追踪程序追踪功能的日益强大，引发了互联网用户对其可能侵犯隐私、泄露个人信息的普遍担忧，各国家/地区也越加重视对cookie的法律规制。例如欧盟GDPR将 “可以直接识别到或结合其他信息间接识别到特定自然人的cookie数据”纳入个人数据的范围进行规制，欧盟及其成员国将在此基础之上不断完善和更新该领域的立法和实践。

敬请期待

6月24日：半导体作为自然资源——探索中美技术竞赛的国家安全层面

6月29日：欧盟明确社交媒体平台的个人数据保护要求

7月05日：欧盟高风险人工智能监管的五大亮点

7月09日：重返亚太将是美国主导全球数据治理规则的战略起点