谷歌加“全部拒绝”按钮,CNIL 解除 Cookie 禁令

谷歌加“全部拒绝”按钮,CNIL 解除 Cookie 禁令

Kaamel Lab
Kaamel Lab 2023年8月9日

法国数据保护机构 CNIL 于 2023 年 7 月 13 日解除了对谷歌的 Cookie 禁令——此前谷歌在其搜索引擎和 YouTube 上为法国用户增设了“全部拒绝”的 Cookie 按钮。该禁令源于 2021 年 12 月 31 日的决定:CNIL 认定谷歌违反电子隐私指令(ePrivacy Directive)的 Cookie 规则,除罚款 1.5 亿欧元外,还要求其提供与“接受”一样简便的“拒绝”路径。这个案子把 Cookie 合规的重点,落在了“拒绝是否和接受一样容易”。

TL;DR

从 1.5 亿欧元罚款到解除禁令

2021 年 12 月 31 日,CNIL 依据 ePrivacy 指令对 Google LLC 和 Google Ireland 的 Cookie 问题实施禁令并罚款 1.5 亿欧元,同时命令二者在三个月内修改 google.fr 和 youtube.com 上的用户同意方式,为法国用户提供一种拒绝 Cookie 的途径,且这种途径应与接受一样简单,逾期则每天罚款 10 万欧元。随后,谷歌在两个网站的 Cookie 接受按钮旁设置了“全部拒绝”按钮;由于已满足禁令条件,CNIL 在 2023 年解除了对这两家公司的禁令。

CNIL 关于 Cookie 与追踪器的第 2020-091 号决定文件

Cookie 是某些网站为辨别用户身份而储存在用户终端上的数据。按欧盟《通用数据保护条例》(GDPR),企业在收集数据前必须获得用户明确、清晰、在充分知情下自由作出的同意;美国加州消费者隐私法(CCPA)也有类似强调保护隐私权与消费者权益的规定。因此,基于 Cookie 的应用必须经用户同意才能收集信息,许多网站在打开页面时会显示 Cookie 提示框询问是否同意。

显示“接受”与“拒绝所有”两个并列按钮的 Cookie 同意横幅

CNIL 的执法并未就此结束。解除禁令不影响它依据法国《数据保护法》第 82 条,审查 google.fr 和 youtube.com 上 Cookie 同意窗口是否合规,包括必要类 Cookie(可豁免同意)的分类、是否提供“清晰而完整”的信息、以及是否按 Cookie 的类别和目的征求同意。CNIL 保留后续合规审查的可能,并在必要时重启调查。监管机构以“日结”罚款督促整改的逻辑,也见于FTC 三度追罚 Meta 中提到的 CNIL 对 Microsoft 的 Cookie 处罚。

CNIL 认定违规的三个维度

在欧盟,规制 Cookie 的主要法规是电子隐私指令(2002/58/EC)。其第 5.3 条要求网站在存储或访问用户设备上的数据前取得知情同意,唯一例外是“仅为通信传输、或为提供用户明确要求的服务所绝对必要”的技术性 Cookie;2009 年的修订将模式从允许用户事后拒绝,转变为必须事先获取同意。用户能否有效行使权利,很大程度取决于首次访问时的横幅通知——它须透明简洁地告知 Cookie 的存在、用户权利、保留时间及被第三方访问的可能。法国对违规的处罚集中在三个维度:

对出海企业的启示

欧盟对 Cookie 的规制越来越倾向于保护个人信息与知情同意,本案给出的合规标尺很具体:拒绝必须和接受一样简单、横幅出现前不得抢先部署非必要 Cookie、告知必须清晰完整。出海企业在开展业务时应严格遵守欧盟及目标国的规范,避免因 Cookie 横幅设计不当造成经济损失。Cookie 合规的清单化操作,可参考比利时 DPA 发布的 Cookie 检查清单 ;广告场景下的同意模式适配,见如何应对 Google 对广告主的 Consent Mode 适配要求 ;谷歌因隐私问题面临的集体诉讼,见谷歌被指大规模侵犯用户隐私的集体诉讼

开启你的合规之旅!

与 Kaamel 的隐私专家取得联系

https://kaamel.com
info@kaamel.com
340 E Middlefield Rd, Mountain View, CA 94043
AICPA Drata
© 2024 Kaamel Inc. All rights reserved.