概述

GDPR上路正好兩周，而我們為GDPR的研究已經持續了兩年，近兩個季度，我們在GDPR實踐的路上遇到了諸多難題，在GDPR的具體項目中，我們也正在由「律師」向「碼農律師」高速進化。

此系列為我們在跟進GDPR項目中的學習筆記，經整理成文後將陸續發布，請碼農朋友們多多指點迷津，也歡迎律師同行們多多交流。

Cookie是什麼，運營商的表述「舉重若輕」

按照各大網站在隱私政策中的描述，cookie是由運營方伺服器發送到客戶端並保存在客戶端的「小數據文件」，旨在「為您提供個性化服務」、「提升您的用戶體驗」。通常可見國內隱私政策中的對cookie的描述大概是以下樣式：

為實現您聯機體驗的個性化需求，使您獲得更輕鬆的訪問體驗。我們會在您的計算機或移動設備上發送一個或多個名為Cookies的小數據文件，指定給您的Cookies 是唯一的，它只能被將Cookies發布給您的域中的Web伺服器讀取。我們向您發送Cookies是為了簡化您重複登錄的步驟、存儲您的購物偏好或您購物車中的商品等數據進而為您提供購物的偏好設置、幫助您優化對廣告的選擇與互動、幫助判斷您的登錄狀態以及賬戶或數據安全。

誠然，我們可以理解按照目前的法律原則要求，隱私政策必須以便於用戶理解的簡明語言撰寫和表述，然而，類似的描述樣式實在過於「舉重若輕」，令人無法真正了解cookie的神通廣大。根據維基百科的定義，cookie是「指某些網站為了辨別用戶身份而儲存在用戶本地終端（Client Side）上的數據（通常經過加密）」，它的核心作用分為兩類：

(1) 記錄用戶的登陸憑據；

(2) 記錄用戶在頁面中的行為。

顯而易見，由於cookie可以記錄用戶在頁面中的行為，並且發送到伺服器端，因此cookie實際上成為了網站運營方監控、跟蹤用戶活動記錄的重要技術，也成為了隱私捍衛者的一大敵人。在GDPR（近期網紅，指《歐盟一般數據保護條例》）之前，歐盟公布的《隱私和電子通訊指令》（EPD）早已特別規定了cookie的使用。EPD最終停更於2009的修訂版中，最終嚴格要求網站運營方必須獲得用戶同意才可以通過cookie收集用戶信息。一位名叫David Naylor的計算機工程師顯然對這種嚴苛且對於用戶極不便利的要求感到很生氣，因此他專門設計了一個測試網頁來展示嚴格遵循EPD要求時對用戶帶來的不便（當然也同步展示了自己的不滿）。得益於David Naylor的氣憤，非工科背景的我們從這個網頁中生動形象地了解到了cookie所收集的信息範圍。截圖恭請共享：

彈窗1-需要單獨點擊同意

我們使用了Google Analytics（Google分析），Google分析需要利用cookies追蹤您訪問我們網站的各方面信息，包括您的地理位置，您的訪問途徑，訪問範圍，訪問時間，訪問的頁面及您在本網站上的搜索記錄。您同意我們存儲這些信息嗎？

彈窗2-需要單獨點擊同意

我們將使用Cookies來存儲您訪問本網站期間的偏好設置，例如字體大小以及有關注釋是否屬於無用信息，您同意我們存儲這些信息嗎？

彈窗3-需要單獨點擊同意

我們存儲您的IP地址用於欺詐檢測和防範，我們會與第三方SEO供應商合作為您提供更高品質的服務，並持續為您提供滿意的服務。您同意我們存儲這些信息嗎？

彈窗4-需要單獨點擊同意

我們使用cookies來記錄您與本網站的交互情況，例如您的登錄詳情，過往發布的評論和您喜歡的頭像。您同意我們存儲這些信息嗎？

彈窗5-需要單獨點擊同意

我們使用cookies作為「點擊追蹤」系統的一部分，以識別網站的流行導航元素，並會在您點擊了網頁上的哪些位置，我們基於此為您提供更好的用戶體驗，並且這會支持我們的網站設計師來表述其困惑——誰會去點擊「那」呢？畢竟「那」看上去都不像是個按鈕或是鏈接？所以……得傻成啥樣才會那麼做呢？您同意我們存儲這些信息嗎？

彈窗6-需要單獨點擊同意

我們網站上會有來自於Google 的第三方廣告，這些廣告會使用cookies來提高您看到的廣告的準確性（沒錯，這就是傳說中的精準營銷），並會通過您的性別、購物偏好，鞋子尺碼、配偶生日和你的頭髮顏色來吸引您繼續去訪問下一個網站的垃圾內容。您同意我們存儲這些信息嗎？

彈窗7-需要單獨點擊同意

我們會為您提供第三方網站的鏈接，這些第三方會使用cookies記錄您是否點擊了網站上的廣告，從而讓我們賺到足夠的錢可以去買貴貴的褲子並做個華麗的髮型。您同意我們存儲這些信息嗎？

彈窗8-需要單獨點擊同意

我們網站上展示的帖子有時候會含有來自第三方網站（例如YouTube）的視頻，這些視頻會使用cookies記錄您是否會對「貓的誘惑」或者「人滑到樹里去了」感興趣。難道您不同意我們不保存這些信息嗎？

彈窗9-需要單獨點擊同意

我們會使用cookies（餅乾）那是因為它實在是太好吃了，還可以粘上巧克力來吃……吧唧~吧唧~吧唧~~。您同意那些餅乾很好吃嗎？

彈窗10-需要單獨點擊同意

我們會使用cookies來記錄您是否同意此次訪問並在您未來的訪問中查看這些cookies。嗯？

彈窗11-需要單獨點擊同意

我們使用cookies來追蹤律師，希望律師們能暫時忘掉這段不一定能夠反應實際立法事實的惡作劇，這些事實毫無疑問是無害的啦，並且還被資本主義走狗和反歐盟的流氓陰謀集團給誇大了啦。自由貿易議程實際上對保護隱私以防其被濫用的影響真的很小。或者，這將不可避免地發展為一個意想不到的後果，也是一個惡作劇訴訟者合法競爭或關閉一些有趣和有用的營銷渠道的機會，因為您個人的不喜歡這些。難道您不不不同意我們不存儲這些信息嗎？ 不。

[忍不住笑出聲四次，拿去學習不用謝]

Cookie早已引起監管關注，但GDPR令它前途更加渺茫

如前所述，在GDPR之前，歐盟公布的《隱私和電子通訊指令》（EPD）早已特別規定了cookie的使用（EPD中對於Cookie的使用主要規定於第5（3）條）。也就是說，cookie早已引起了歐盟監管當局的關注。但是，cookie無疑具有提高用戶體驗，推動更準確有效的廣告營銷，甚至具有驗證用戶身份等風險控制等積極作用，因此，在EPD修訂的數個版本，明顯透露了監管者對於Cookie的複雜心態：

- 在2002年版本的EPD中，法規條目主要強調相關主體在通過cookie收集用戶信息時的透明性，以及用戶在面對cookie時的拒絕權，即用戶在沒有明確拒絕的前提下，相關主體即可通過cookie收集用戶信息；

- 2009年版本的EPD中，該法規條目被修訂為強調用戶的事先同意，即相關主體僅在取得用戶事先同意的情況下，方可通過cookie收集用戶信息——上文中測試網頁的工程師就是被這次修訂所激怒的；

- 歐盟的立法者在認識到2009版本的EPD中對cookie的要求過於嚴苛後，曾以條文說明的方式對用戶獲取同意的行使做出了一些緩和。即：提示義務及提供拒絕權的義務可以在如下情況得到免除：該存儲或是讀取是為了滿足訂閱者或者用戶的某種明確提出的特別服務要求。在技術上具有可行性及滿足效率原則的前提下，在符合GDPR中的相關條文的前提下，用戶同意進行相關處理的表示可以通過在瀏覽器或者其他應用端作出恰當設置的方式完成。

但是，29條工作小組（GDPR中的歐盟數據委員會前身）認為，在追蹤信息時，仍然需要獲得用戶確認的事先同意。但是，一旦用戶同意了追蹤，之後的每個單獨的追蹤不再需要得到用戶同意。但是必須周期性地讓用戶重複同意選擇。

可見，在GDPR之前，監管者的立法著眼點存在一個重要的局限，即僅針對cookie技術本身實施監管，因此反覆討論cookie技術運用的過程與細節。

而如今，GDPR的立法者改變了視角，他們跳出了局限於cookie本身的討論，而從cookie運用中收集的數據的結果出發對數據的使用進行監管。這一監管思路，體現在GDPR創新規定的「數據畫像」（profiling）條款中。

根據GDPR的表述，「數據畫像」是指對個人數據採取的任何自動化處理的方式，包括評估某個自然人特定方面的情況，尤其是為了分析和預測該自然人的工作表現、經濟狀況、健康、個人喜好、興趣、可信度、行為舉止、所在位置或行跡。這個概念廣泛的外延幾乎囊括了目前的cookie收集數據的全部目的。換言之，cookie若需要繼續使用，則運營方需要遵循GDPR對數據畫像的相應規定。

作為兼具「最高立法水平」、「最嚴處罰」、「最廣管轄」的GDPR，其對cookie的規制顯然將令全球範圍的cookie技術應用者感到毛骨悚然和一片茫然。

在GDPR轄內，cookie將面臨前所未有的「同意」困難

不得不說，GDPR確實具備了高水準的立法水平，立法者也顯示除了卓越的前瞻性和對現有信息技術的熟悉。在GDPR的具體實施項目中，我們也在同步學習著cookie的知識，同時我們了解到，在cookie之外，早已出現了收集和監控用戶行為的其他技術方案，例如，單點登陸，即基於對賬戶的活動行為記錄，將同一賬戶適用於多個網站登陸的模式實現用戶數據收集和畫像；例如，利用向網頁埋入代碼的形式，收集用戶的活動記錄。後者經常被利用於與cookie結合收集並非自身用戶的行為信息，例如央視曝光的網易販賣用戶信息的新聞，其本質就是曝光了網易允許第三方向網易網站頁面植入代碼的行為。

因此，通過對最終數據處理方式來規制具體技術是GDPR巧妙的明智之舉。凡是需要對數據進行「數據畫像」利用的，都應遵循GDPR中對「數據畫像」所涉數據的收集規則，即僅在符合以下三種情形下的數據畫像活動才是合法的（GDPR第22條），且還應針對不同情形向數據主體提供申訴渠道：

‐ 基於數據主體明確同意；

‐ 基於履行合同的必要；

‐ 基於歐盟或成員國的法律規定。

現實的情況是，cookie所收集的大部分的信息只能通過獲得用戶的「同意」來獲取，僅有身份安全驗證、防止交易欺詐等小部分信息可以適用「履行合同必要」的合法事由。而GDPR對「同意」的嚴格要求早已眾所周之。

GDPR 第7條 同意的條件

1.當數據處理必須基於數據主體的同意時,數據控制者應當證明數據主體已經對處理其個人數據的行為予以同意。

2.如果數據主體是通過書面聲明的方式表示同意的,而該聲明還涉及其他事項,則同意在形式上應當滿足:明顯區分於其他事項,以明了且易獲取的形式,使用清楚簡單的語言。該聲明中任何與本條例規定相違背的內容不發生法律約束力。

3.數據主體有權在任何時候撤銷其同意。該撤銷不具有溯及力。在作出同意的意思表示之前,應將上述事項明確告知數據主體。撤銷同意和作出同意應一樣容易。

4.在評估時應當盡最大可能考慮數據主體的同意是否是基於自由意志作出,尤其是在包含服務條款的合同的履行是以數據主體同意其個人數據被處理為條件,而該數據處理又不為履行合同所必要。

坦率地說，在這種高標準的嚴要求下，取得「同意」將搭載高昂的合規成本，除了跟進與「同意」相隨的各類後續用戶權利實現保障外，用戶可能將點擊數倍於上文工程師測試頁面中的「確認」按鈕，甚至於發布單列的書面聲明同意——傳統的統一概括的同意具有極高的風險，現實中的情況是，在GDPR正式生效的第二天，Google 與 Facebook 就被奧地利的隱私權倡議組織「None of Your

Business」控告，核心事由即為「Google 及 Facebook 強迫用戶簽署同意用戶數據被搜集及處理的條款」。

可是，在追求高效、便利的大數據時代，在cookie及其同類技術已經極為普遍的現實下，類似的要求確實令人感到與時代大潮背道而馳，可是，在用戶個人數據被濫用的當下，面對用戶對自身數據的流向毫不知情的無助，以及數據被屢屢用於違法犯罪行為的情形，我們仍只能期待從政府高度入手監管。無論是從數據控制者的角度，還是從監管者的角度，還是從數據主體廣大用戶們的角度，我相信最終的解決方案，一定是某種互利共生的平衡，而絕不是網路主權或人權中的無情廝殺。

推薦閱讀：

相关文章