欧洲数据保护委员会(EDPB)在2023年11月14日发布了关于e-Privacy Directive 2002/58/EC第5(3)条的新指南Guidelines 2/2023。替代ePD的ePR(e-Privacy Regulation)目前还处在最终谈判阶段,ePD依然生效。
ePD Article 5(3). Member States shall ensure that the use of electronic communications networks to store information or to gain access to information stored in the terminal equipment of a subscriber or user is only allowed on condition that the subscriber or user concerned is provided with clear and comprehensive information in accordance with Directive 95/46/EC, inter alia about the purposes of the processing, and is offered the right to refuse such processing by the data controller. This shall not prevent any technical storage or access for the sole purpose of carrying out or facilitating the transmission of a communication over an electronic communications network, or as strictly necessary in order to provide an information society service explicitly requested by the subscriber or user.
ePD Article5(3). 成员国应确保,只有在根据指令95/46/EC,向相关用户或用户提供清晰全面的信息,特别是关于处理目的的信息的情况下,才允许使用网络存储信息或访问存储在用户或用户的终端设备中的信息,并且拥有拒绝数据控制者进行这种处理的权利。这不应阻止任何仅为通过电子通信网络进行或促进通信传输而进行的技术存储或访问,或为提供用户或用户明确要求的信息社会服务而严格必要的技术存储和访问。
指南对Article5(3)的适用范围做了解释,EDPB认为传统cookie之外的各种用户跟踪技术都应该受到该规则的约束。如果一项技术被纳入范围,那么根据该技术的使用目的,其使用将和Cookie一样,需要同意为基础。
背景
在Guidelines 2/2023引言部分,EDPB解释了颁布这个指南的初衷。
1.根据ePD Article5(3)的描述,他不仅适用于Cookie,也适用于“类似技术”。然而目前并没有Article5(3)所涵盖的技术操作的全面清单。
2.由于跟踪技术的新进展,尤其是在过去的十年里,随着嵌入操作系统的标识符的使用越来越多,也需要提供进一步的指南。
3.由于Article5(3)适用范围的模糊性,导致部分企业实施替代Cookie的跟踪技术解决方案,用来规避合规义务。
适用范围
总之:宽泛。例如:
1.信息在终端设备上存储多长时间并不重要。任何信息的短暂存储(例如,在RAM或CPU缓存中)就足够了。(指南第2.6节)
2.存储或访问的信息的性质和数量也无关紧要。请注意,这些信息是否是个人数据也无关紧要。(指南2.2节)
3.也许最具争议的是,EDPB还建议,谁发出向访问实体传输信息的指令可能并不重要——终端设备主动发送信息也可能被约束。(指南第19条)
哪些技术纳入范围
EDPB在指南中也举了一些例子,例如:
1.URL和像素跟踪:例如,跟踪用于确定电子邮件是否已打开的像素,或跟踪网站用于识别网站流量来源的链接,例如用于营销归因。
2.本地处理:例如,使用网站上的API远程访问本地生成的信息。
3.仅基于IP的跟踪:例如,源自用户路由器的静态出站IPv4的传输,用于跨多个域跟踪用户,用于在线广告目的。
4.物联网(IoT)报告:例如,智能家用设备直接或通过中间设备(如手机)将信息传输到制造商控制的远程服务器。
最后
该指南将在2023年12月28日之前公开征求公众意见。从企业合规角度来看,在一些场景中,获得用户同意是有难度的。从用户的角度来看,在一个用户已经被cookie同意弹出窗口轰炸的世界里,“同意疲劳”的问题也会出现。
参考文章:EU: New EDPB guidelines on the scope of the ‘cookie rule’ | Privacy Matters (dlapiper.com)
Guidelines 2/2023原文:Guidelines 2/2023 on Technical Scope of Art. 5(3) of ePrivacy Directive | European Data Protection Board (europa.eu)
e-Privacy Directive原文:EUR-Lex - 32002L0058 - EN (europa.eu)
