欧盟法院的最新判决重申了Cookies有效的用户同意必须获得用户积极主动、意思明确的表示，以及进行“清晰而全面地告知”，包括Cookies的使用目的、Cookies运行的持续时间以及是否允许第三方访问Cookies。
?吴沈括
北京师范大学互联网发展研究院院长助理、网络法治国际中心执行主任崔婷婷北京师范大学网络法治国际中心研究助理
随着数字经济时代的全面到来，数据已成为社会经济发展的基础性战略资源，如何建构合理有效的、涵盖从收集到删除全生命周期的数据流转规则具有重大的战略意义。欧盟作为数据保护的先行者，在数据保护的立法层面和围绕相应制度设计的执法层面，就数据流转规则的诸多方面做出了多样的尝试。
2019年10月1日，欧盟法院就“Cookies合规”做出了一个备受关注的裁决。此案中，德国消费者组织联合会向德国联邦法院起诉德国在线游戏公司Planet49，后者在推广在线游戏中使用预选框取得用户同意以保存Cookies。
德国联邦法院请求欧盟法院就欧盟有关保护电子通信隐私的法律进行解释。该判决强调，通过预先勾选同意的“预选框”方式取得的用户同意，不能作为有效同意。因为网站不能假设用户未取消这个预选框就是一种明确的同意。
本案在全球引起广泛关注和强烈反响，属于欧盟涉及Cookies运用规则的里程碑案件，也是欧盟《一般数据保护条例》（GDPR）持续贯彻适用过程中的最新司法判例，对于欧盟个人数据保护乃至互联网治理的后续发展具有风向标意义。

?
欧盟Cookies案件的具体背景与案情
此案与在线游戏公司Planet49组织的在线彩票有关。在参加彩票活动之前，用户必须输入他们的姓名和邮箱地址，并在显示两个复选框之前，可以点击参与按钮，用户至少在第一个复选框中打勾，才能参加彩票活动。
第一个复选框要求用户同意从选定的赞助商和合作伙伴处接收营销信息，此复选框未预先选中，此处用户可以自主选择特定的赞助商与合作方的营销消息。  
  第二个复选框已替代用户预先选中，网络运营者的这一设计的主要目的是想更大概率地取得用户同意Cookies的收集，并将这些信息用于广告目的和数据分析。
在第二个复选框旁边的描述中，向用户提供了有关Cookies的用途、网络分析服务提供商的简要信息，以及用户可以随时删除Cookies的提醒。通过单击描述中的链接“您可以在此处了解更多信息”，可以为用户提供有关所安装的Cookies的更多详细信息，包括Cookies功能的简短描述以及Cookies可以跟踪用户的事实、注册了相关网络分析服务的广告合作伙伴的网站。同时网站进一步规定，将不会创建提供给多个广告合作伙伴的用户资料。

德国消费者组织联合会将Planet49公司诉至德国法院，声称有关的用户同意取得方式不符合德国对于《电子隐私指令》（the ePrivacy Directive）的适用。
德国联邦法院（Bundesgerichtshof）在受理此案时，发现对法律的解释以及法律的适用存在争议。此案主要涉及欧盟第2002/58号电子隐私指令（《电子隐私指令》the ePrivacy Directive，以下简称电子隐私指令）和欧盟第2016/679号条例（《一般数据保护条例》EU General Data Protection Regulation，以下简称GDPR）以及欧盟第1995/46号指令（《欧盟数据保护指令》，以下简称95指令）的适用问题。
关于95指令和GDPR的适用性问题，2017年7月14日，德国联邦法院进行最后一次听证会，根据GDPR第94(1)条，自2018年5月25日起，95指令被GDPR替代，而移交欧盟法院时，GDPR并未正式施行。但是德国联邦法院在法庭听证会上陈述认为，联邦提出诉讼程序要求Planet49公司禁止未来的某种行动，这并非是不可想象的。据移交法院查明，根据国家判例中有关禁令法律地位的论述，GDPR可以适用于本案。

而针对争议问题，德国联邦法院决定中止诉讼程序，并将下列问题提交欧盟法院进行初步裁决：
(a) 如果通过预先选中的复选框允许网站存储信息或访问已存储在用户终端设备中的信息，用户需要取消选中该复选框以拒绝其同意，这是否构成《电子隐私指令》下的有效同意？
(b) 结合《电子隐私指令》第5(3)条和第2(f)条和95指令中第2(h)条来看，储存或访问的信息是否为个人数据，在结论上是否会有差异？
(c) 在问题(a)中提到的情况下，是否构成GDPR中第6(1)(a)条含义中的有效同意？
服务提供者需要根据《电子隐私指令》向用户提供明确而全面的信息都包括哪些？是否包括Cookies操作的持续时间和第三方是否可以访问Cookies等信息？
?欧盟Cookies案件的判决内容与主要指向
首先，预先选中的复选框不是获得有效同意的方法。
欧盟法院认为，《电子隐私指令》第5(3)条规定，只有在给用户提供了明确和全面的信息，特别是关于处理目的的信息后，才允许访问已存储在用户终端设备中的信息。

根据该解释，用户必须采取行动才能表示同意。从《电子隐私指令》的第17条清楚地指出，可以通过任何适当的方法来表示用户的同意，从而表示用户自由、明确、知情的的意愿，包括“通过访问互联网网站时在方框中打勾”。
而《电子隐私指令》第2(f)条规定，用户的“同意”相当于95指令中的用户的同意。，即用户的同意“是指就其意愿而自由地作出的任何具体的和知情的表示，以此表示他同意处理与他有关的个人资料”。
95指令还规定，只有数据当事人主动做出同意的行为，以声明或“明确的肯定行动”的形式表示的愿望，才能表示同意处理与他或她有关的个人资料。

因此，“就其意愿”的要求显然是指积极的而不是消极的行为。然而，在复选框中以预先选择同意的标记形式给出的意愿并不意味着用户的积极行为，也不是“明确”表示同意的行为。同时这个“意愿”必须是“具体的”，因为它必须特定地指向相关个人数据的处理，而不能从用户为其他目的而提出的同意中推断出来。
而GDPR也有同样的表述：同意必须是任何自由给出的、明确的、知情的数据主体意愿的陈述、说明或明确的赋权行为（第6(1)(a)条）。
GDPR第32条还规定，同意须以明确的肯定行动表示，明确表示资料当事人同意处理与他或她有关的个人资料，例如书面声明，包括电子方式或口头声明。这包括在浏览互联网网站时勾选方格、选择资讯社会服务的技术设定，或者在此情况下清楚表明用户接受处理其个人资料的另一项声明或行为。因此，默认的、预先标记的空格不应构成同意。
此外，同意如果涉及到多个目的时，所有的目的都应该得到同意。如果以电子方式获取同意，则该项要求必须清楚、简明，不得造成不必要的干扰。

综上所述，对于Planet49公司在在线彩票中使用“预选”的方式选择复选框的事实而言，首先，用户必须通过取消选中复选框来反对使用Cookies，这并不构成同意行为。
欧盟法院指出，网站应当采取一种机制，规定“在征得同意的时间和地点，就Cookies的使用提供清晰、全面和可见的通知”，并且用户必须能够访问所有必要的信息，包括有关网站使用的Cookies的不同类型或目的的信息。如果用户参加彩票活动而没有取消复选框，则不知道用户是否真的确认了该复选框，在此意义上，不能确定用户是否做出了明智的选择。
Planet49公司并未辩称用户未取消预先制定的同意声明即构成有效同意。相反，Planet49公司辩称，当用户积极单击在线彩票的参与按钮时，这些用户会给予有效同意。但是欧盟法院驳回了这一论点，理由是同意必须特定地指向相关个人数据的处理，并不能从用户为其他目的而提出的同意中推断出来，而在本案的情况下，参加彩票活动和同意Cookies的运作无法捆绑在一起。
其次，无论所存储或访问的信息是否构成个人数据，均适用《电子隐私指令》。
欧盟法院强调， Planet49公司组织的彩票活动中，用户必须在彩票注册表中输入其姓名和邮箱地址，同时被分配一个注册码，而安装在用户终端设备上的Cookies包含该注册码。欧盟法院认为，当用户使用互联网时，通过联系该注册码和用户注册信息，能够产生自然人（用户）和Cookies所保存的数据之间的联结，因此通过Cookies收集该注册码是一种处理个人数据的方式。
这些判断也得到了Planet49公司的确认。Planet49公司在其书面意见中指出，第二个复选框所指的同意旨在授权收集和处理个人数据，而不是匿名数据。

欧盟法院进一步主张，《电子隐私指令》的目的在于保护用户免受对其私人生活的任何干扰，而不论这种干扰是否涉及个人数据。《电子隐私指令》是强调“信息存储”和“获得对已存储信息的访问权”的概念，而没有将该信息限定为个人数据。因此，基于《电子隐私指令》的目的，存储或访问的信息（或Cookies）是否构成个人数据并不产生实质影响。
第三，《电子隐私指令》中网络服务运营者的信息义务还包括Cookies的运行期限以及是否允许第三方访问Cookies的问题。
欧盟法院主张，根据处理个人数据时的公平性原则， Cookies的使用目的、Cookies运行的持续时间以及是否允许第三方访问Cookies这三个问题应当构成《电子隐私指令》要求的“清晰而全面的告知”的组成部分。
具体来说，为使告知变得“清晰且全面”（如《电子隐私指令》所要求的），必须明确告知用户第三方是否有权访问Cookies数据集，如果有权访问，则必须披露这些第三方以及第三方访问Cookies收集的数据。

此外，必须明确说明Cookies的运行持续时间，数据保留期限（即Cookies的到期日期），还必须告知用户他们可以全部接受、部分接受或者完全不接受Cookies的方式，以及将来如何更改其设置。关于Cookies的告知必须是某种特定的方式，以允许用户“能够容易地确定他给予同意的后果……并能够评估其行为的效果”。
另外，关于以获得同意为条件提供服务的问题，在确定是否构成“自由给予”同意时，需要考虑的因素之一是用户是否可以在不同意处理个人数据的情况下访问所提供的服务（即“捆绑式同意”）。
当然，禁止捆绑同意不是绝对的原则，其关键因素是所提供服务的“基本目的”：如果处理的个人数据对于提供该服务的基本目的是必不可少的，那么该服务需要获得同意。
在Planet49公司的业务中，参与彩票活动的基本目的是“销售”个人数据（即用户同意通过第一个复选框与之联系以获得促销优惠）。由于用户参加彩票的主要要求是提供所要求的个人数据，因此处理此个人数据对于参与彩票是“必要的”。

?
欧盟Cookies案件的主要影响与启示
在司法层面而言，欧盟法院的这一裁判对“用户同意”做了一个非常细致的解释，网络服务提供者在存储或者获取用户Cookies时，必须获得用户积极主动的同意。
例如在本案中，取消预选框的行为并不是用户积极主动的同意行为，不能构成有效的同意，实质上意味着在类似本案的场景中，征得用户同意的方式与GDPR中的同意是相同的。
与此相呼应，在执法监管层面，整体而言欧盟境内各国数据保护机构越来越重视Cookies的合规性，无论是在线行为广告还是各类场景中的应用程序：例如德国巴伐利亚州数据保护机关对40个大公司在各个领域的Cookies做法进行了审计，但发现没有任何一家经过审核的公司的Cookies做法合规，这些公司可能会受到罚款。
而欧洲数据保护委员会（EDPB）还决心推动欧盟立法者完成新的《欧盟电子隐私条例》，以取代当前的《电子隐私指令》，将来可能会看到对Cookies要求的重大革新。

在商业运营层面，欧盟的Cookies判决为企业的合规操作提供了直接的行为指引：公司和企业必须修改“继续浏览本网站即表示您同意使用Cookies”（或类似形式）的Cookies标语，以实现明确的选择进入同意（Opt-in）方法。在获得明确的选择进入同意之前，应确保没有设置Cookies。如果提供或访问服务必须给予同意，则应确保该场景中收集特定的个人数据是提供服务所必需的。
在更具体的实操层面，随着GDPR合规要求的激增，对Cookies做法的监管审查通常使许多企业焦急寻找恰当的解决方案，对于使用Cookies且需要征得同意的公司和个人而言，欧盟法院Cookies判决实质上强调了一种实操方案：
审查Cookies同意机制，并特别审查使用预选框的机制的情况。使用预先勾选的同意框不会形成有效的Cookies同意，对此必须引入相应的替代机制；
审查Cookie政策，并确保用户收到有关Cookies操作的持续时间以及是否允许第三方访问这些Cookies的明确告知。
▌往期回顾