在不到一个月的时间里,法国数据保护局(CNIL)做出了三项主要决定[1] 在公司网站上进行在线控制和调查之后,对全球互联网服务提供商产生了影响。简而言之,这些决定突出了数据管理员在使用Cookie和其他跟踪器时的义务,特别是关于收集用户同意的方式以及必须提供给用户的信息级别的义务。公司有兴趣通过监视特定的法国要求来密切关注并调整其cookie遵从性。 CNIL最近宣布将给予六个月的时间来实施新的CNIL指南;即,要求数据控制器在2021年4月开始之前遵守新指南。

因此,对于所有覆盖法国市场的在线业务而言,遵守Cookie都是当务之急,必须认真考虑所涉及的跨境罚款。应用广告Cookie和其他跟踪器的公司在实施同意机制并起草用于告知用户的措辞,确保保留同意收集证据等时应充分了解这些实用建议。

自《通用数据保护条例》(GDPR)生效以来,这些决定所受到的处罚是CNIL有史以来最大的罚款。通过这些决定,CNIL将向全世界的公司展示其执法能力,而不论其地点或活动领域如何。

CNIL的方法已从预防转向执行

这三个决定与CNIL自2019年以来制定的新学说相一致。CNIL表示愿意利用其罚款能力制裁与收集和使用个人数据用于广告目的相关的做法,[2] 如果它认为这违反了适用法规。 CNIL的方法转变意味着,如果指称的违规被认为是重大的(考虑到自适用要求生效以来已经有足够的时间来确保合规),它现在可以决定直接移至即使目标公司已经开始实施纠正措施也将受到制裁。

毫无疑问,Cookie的合规性已成为CNIL关于数据隐私的主要问题之一。

这些决定还反映了CNIL在执行GDPR生效之前已经存在的数据保护要求方面的立场得到了加强,法国监管机构已针对该要求多次宣布愿意行使其权力控制和制裁。重要的是要注意,这些决定主要涉及在线平台对Cookie和其他跟踪器的使用,这些决定并不是严格按照GDPR或最新的CNIL指南做出的,而是基于ePrivacy指令(例如根据《法国数据保护法》第82条进行了移转。[3]

这也意味着该决定不具有适用《电子隐私权法规》的效果,自2018年以来,该法规的采用一再被推迟。也就是说,不同的法规影响了CNIL的严格方法。

换句话说,这些决定必须被解释为CNIL愿意不等待ePrivacy法规生效而开始在法国开始监管cookie的使用的意愿。正如之前宣布的那样,CNIL现在准备制裁任何据称未能遵守其认为已经可以执行的现有要求,当然包括与使用Cookie和其他跟踪器有关的严格同意要求。还应注意,欧洲的其他监管机构正在监视这种方法。

CNIL的管辖权

为提醒人们适用的管辖权规则,CNIL概述了其领土和物质管辖权,以管辖涉嫌与居住在法国的用户计算机上放置的cookie有关的违规行为。在这里,有问题的公司在其活动范围内存放了cookie,并在法国境内设有机构。这解释了CNIL宣布对此类公司实施制裁时的管辖权。 CNIL宣称拥有其领土管辖权,从而断言,所有网站所有者如果向法国用户提供服务,都可能会受到法国监管机构命令的控制和制裁程序的关注。这种做法与CNIL主席最近采取的立场是一致的。CNIL主席在几份声明中指出,CNIL将不再对罚款的跨国公司毫不犹豫,无论其网站位于何处。

处罚说明

CNIL在解释处罚时依据三个主要标准:

(i)涉嫌违规的范围,在某些情况下涉及与Cookie的使用有关的几个基本要求,即用户的信息和同意;

(ii)网站的范围广泛,在法国产生了巨大的影响(在某些情况下,多达5000万人);和

(iii)所谓的违规行为所产生的利益是基于使用广告Cookie所获得的利润。

应当指出的是,CNIL还从受众和法国在线市场份额方面详细审查了相关平台的范围(在一项制裁决定中,法国市场份额超过90%)。

要求事先同意的“刷新”:广告Cookie是CNIL关注的核心

根据GDPR启发的方法,同意是这三个决定的核心。

首先,CNIL坚定地坚持以下事实:未经用户事先同意,在任何情况下都不得丢弃对于执行服务而言不必要的cookie,例如出于广告目的的cookie。换句话说,此类Cookie要求用户事先采取积极行动;即,应有效地提供用户的知情同意。在此基础上,CNIL发现在进入网站时同时放置cookie应与事先同意​​的概念不符。 CNIL还认为,即使用户先前已经通过提供给用户的积极行动机制停用了广告的个性化设置,也不允许继续在广告用户的计算机上存储特定类别的Cookie以用于广告目的。

结果,应将主动同意的概念理解为一种积极而明确的行动,即通过单击一个按钮来排除沉默或不采取行动。在这方面,CNIL消除了法国数据控制者先前在用户问题上可能存在的不确定性’的沉默。 CNIL在这些决定中所持的立场也符合CNIL制定的最新同意标准,该标准也遵循英国和德国数据保护当局的指南:使用Cookie或在用户设备上存储或访问信息的任何技术。这种方法也可以在新的CNIL指南中找到,而CNIL已为参与者提供了六个月的遵守期限。

对要提供给数据主体的信息的全面分析

除了关注同意之外,CNIL还对提供给用户的有关cookie和可用的退出机制的信息进行了逐案分析。

CNIL认为,应该事先明确告知法国用户其计算机上Cookie的存放情况,因此,应了解此类Cookie的目的以及可用于拒绝它们的手段。

因此,CNIL认为显示在网页底部的信息标语是无效的,该信息标语提示了保密规则,但未提供与已经放置在其计算机上的cookie有关的任何信息。 CNIL还特别注意了放置Cookie的目的的描述水平,以及与用户拒绝Cookie的权利有关的信息,以及为此目的提供给他们的机制。

最后,应该注意的是,在将用户定向到另一个网站的链接的情况下,必须重申信息:因此,如果没有将任何信息传递给用户,则在第一个网站上实现的cookie选择将无法在第二个网站上转移。

结果,在实践中,尽管该决定未明确参考这些指南,但鉴于CNIL为确定所提供信息水平是否充分进行了合理的分析,最谨慎的方法是仔细检查最新的CNIL指南并以此为基础。

下一步:公司接下来会期望什么?

这些决定的主要成果是,在《电子隐私权条例》生效之前,法国数据保护机构在这方面似乎是先驱。由于2020年2月开始的公众咨询以及即将出版的CNIL建议的发布,未来几个月在这个主题上还会有更多的事情发生。数据控制器比以往任何时候都更容易启动计时器,以调整其合规性路径,并为CNIL的2021年4月截止日期做准备。

___________________

[1] 2020年12月7日关于亚马逊欧洲核心网的CNIL第SAN 2020-013号决定; 2020年12月7日CNIL第SAN 2020-012号决定,涉及Google LLC和Google Ireland Limited; CNIL关于2020年11月18日法国家乐福的SAN 2020-0008号决定和关于2020年11月18日家乐福银行的SAN 2020-0009号决定。

[2] CNIL 2019年1月21日第SAN-2019-001号决定。

[3] 信息自由法 (第78-17号法律),经修订。