比利时 DPA 发布 Cookie 合规检查清单

比利时 DPA 发布 Cookie 合规检查清单

Kaamel Lab
Kaamel Lab 2023年11月1日

比利时数据保护局(Belgian DPA)于 2023 年 10 月 20 日发布了一份 Cookie 检查清单,帮助企业对齐现行法规。核心规则很直接:除严格必要的情形外,企业只有在事先取得自由、具体、知情、明确且积极表示的同意后,才能设置 Cookie。该清单是自评工具,不具法律强制力,但汇总了 ePrivacy 指令与 GDPR 下的关键义务。

TL;DR

Cookie 最初是促进用户设备与服务器通信的”迷你文件”,如今被用于提升性能、受众测量、记住偏好、存储购物车、投放定向广告等。按用途可分为连接支持、受众测量(分析/统计)、营销与行为广告、身份验证、安全、负载均衡、界面个性化等类别;按存储域可分为第一方与第三方 Cookie——第三方 Cookie 允许跨站点追踪用户、建立画像用于精准营销;按存续时间可分为会话 Cookie 与持久 Cookie。存储时间不得超过实现目的所需,免同意 Cookie 应在”不再需要即过期”。

哪些情况无需同意

只有两类 Cookie 免于同意,DPA 称之为”功能性 Cookie”:一是为向用户提供其明确请求的服务所绝对必要(如购物车 Cookie、网银安全 Cookie),二是为通过电子通信网络发送通信所绝对必要(如负载均衡 Cookie)。实践中的例子还包括会话期的身份验证 Cookie、以用户为中心的安全 Cookie、媒体播放器会话 Cookie、以及短时的界面偏好 Cookie。即便免同意,企业仍须清晰告知这些 Cookie 的用途和原因。值得注意的是,第一方受众测量(统计/分析)Cookie 不属于免同意范畴,也不能以网站所有者的合法利益为基础处理。

有效同意的四要件

DPA 强调同意必须由用户采取积极行动作出,且事先被告知后果。它须满足四要件。自由:用户拒绝不应遭受负面后果,不能以同意换取”利益”或”奖励”。具体:用户须明确知道各类 Cookie 的作用,并能对特定类别单独同意或拒绝,不能被要求”全部同意”。知情:在收集同意前须清晰说明控制者身份、Cookie 目的、收集的数据及存续时长,并告知包括撤回权在内的数据主体权利。可撤回:撤回须与给予同意一样便捷,且撤回后不仅停止放置新 Cookie,还应处理已存在设备上的 Cookie 及其此前收集的数据。DPA 特别指出,继续浏览、点击游戏参与按钮、确认购买或接受一般条件,都不构成对非功能性 Cookie 的有效同意;浏览器默认设置也因不够具体而不能作为同意。同意四要件在其他法域的落地可对照法国 CNIL 取消对谷歌 Cookie 同意禁令

清单中的同意设计规则

清单把同意拆解为可核对的设计要求:非必要 Cookie 在取得同意前不得存放或读取;不得使用”Cookie 墙”阻断拒绝者访问;“接受所有”与”拒绝所有非必要”按钮须设在同一级别;不得使用以颜色诱导选择等”欺骗性设计”。告知应分”层级”进行——第一层用加粗、项目符号清晰列出各处理目的与接受/拒绝方式及后果,较低层级提供按类别分类、含目的与存续时长的完整 Cookie 清单。此外,企业应仅在有限期限内保存记录用户偏好的 Cookie(通常认为 6 个月合理),并在 Cookie 政策中标注日期和版本号。

比利时 DPA 清单中不合规与合规的 Cookie 同意横幅对比示意

社交插件也需先同意:Facebook 的”点赞”、X 的”推文”、Google 的”+1”等插件的源代码会使用 Cookie,即使用户在这些平台无账户也能被详细追踪,因此存储前必须取得同意。

对出海企业的启示

比利时清单虽无强制力,但它把 GDPR 与 ePrivacy 的同意要求翻译成了可执行的界面规范,对面向欧盟用户的网站和 App 有直接参考价值。落地上应做到三点:把 Cookie 按目的分类并支持分类勾选;同意横幅避免 Cookie 墙、预勾选和视觉诱导,接受与拒绝按钮同级;提供便捷的撤回入口并真正清理已放置的 Cookie。同意机制与广告平台的联动可参考如何应对 Google Consent Mode 适配要求,而第三方追踪的风险面可参考潜藏在表面下的像素追踪

开启你的合规之旅!

与 Kaamel 的隐私专家取得联系

https://kaamel.com
info@kaamel.com
340 E Middlefield Rd, Mountain View, CA 94043
AICPA Drata
© 2024 Kaamel Inc. All rights reserved.