在6月初的会议上,第29条工作组(以下简称“工作组”) 意见 关于Cookie的信息,分析了知情同意要求的豁免,并设置了修订后的电子隐私指令如何影响Cookie的使用。

经修订的《电子隐私权指令2009/136 / EC》第5.3条规定,当Cookie符合以下条件时,Cookie无需获得知情同意:

A.“仅用于通过电子通讯网络进行通讯传输”或

B.“为了使订户或用户明确要求提供信息社会服务的提供者提供服务,这是绝对必要的”。

工作组认为,A中“唯一目的”的限制性性质特别限制了这种豁免,以至于使用有助于,加快或规范通信传输的cookie不在知情同意豁免范围之内。

为了满足上述B,cookie必须通过两项测试才能免除:

  • 用户必须采取积极行动,以请求明确界定的范围的服务
  • 该cookie是必需的,因此,如果该cookie被禁用,则请求的服务将不起作用

工作组指出,免除Cookie的使用寿命应与其用途有关,并且考虑到普通用户的合理期望,它们必须在不再需要时过期。

在并非严格必要的情况下,“第三方” cookie更有可能需要征得同意,因为数据保护风险来自处理的目的,而不是来自cookie中包含的信息。

  • 当Cookie具有多种功能时,仅当所有不同目的分别满足豁免条件时,它们才可以免于同意要求。该意见通过具体讨论“用户输入” Cookie,身份验证Cookie,以用户为中心的安全性Cookie,多媒体播放器Cookie和负载平衡Cookie,用户界面,提供了一些有用的示例,其中Cookie将免除或不会免除同意要求。自定义Cookie和社交插件内容共享Cookie。
  • 工作组认为不在许可范围之外的Cookie包括社交插件跟踪cookie,用于行为广告的第三方cookie和第一方分析cookie,即使工作组认识到此类cookie隐私性较低。如果它们是有限的汇总统计数据,并且网站运营商提供有关Cookie的清晰信息和适当的隐私保护措施(例如,选择退出数据收集和匿名化),则可能会带来风险。