欧盟法院裁决:存储cookies需要用户主动同意
——默认勾选式同意无效
德国消费者组织联合会向德国法院就德国公司Planet49在推广在线游戏中使用预先勾选复选框取得用户同意以保存cookies的形式提起诉讼。上述cookies旨在收集相关信息用于宣传Planet49合作伙伴的产品。德国联邦法院请求欧盟法院就欧盟有关保护电子通信隐私的法律进行解释。欧盟法院裁定,网站采取预先勾选征得用户对于存储cookies的同意是无效的,因为用户需要去掉勾选才能拒绝同意。该裁定不受在用户设备上存储或访问的信息是否为个人数据的影响。欧盟法律旨在保护用户的私生活免受侵扰,特别是避免隐藏的标识符和其他类似设备在用户不知情的情况下进入其终端设备的风险。法院指出,同意必须是具体的,因此用户选择参与彩票促销的按钮不足支持用户对网站存储cookies给出了有效同意的结论。此外法院还指出,服务提供者必须向用户提供包括cookies操作的期限以及第三方是否可以访问这些cookies的相关信息。
以下为诉讼程序和初步裁决中所涉及的事实和争议问题:
2013年9月24日,Planet49在www.dein-macbook.de网站上开展了一项彩票营销活动,有意愿参与的用户需要输入他们的邮政编码,同时会转跳输入他们姓名和地址的网站。在输入地址页面下是两段带有复选框的解释性提示。
第一段带有复选框但没有被预先勾选(第一个复选框)的提示如下:
“我同意某些赞助商和合作伙伴通过邮寄或电话或电子邮件/短信向我提供相关商业信息。我可以在此处自主决定,否则将交由活动组织者决定。我可以随时撤销这个同意。有关这方面的更多信息,请点击这里。”
第二段带有复选框且被预先勾选(第二个复选框)的提示如下:
“我同意接受Remintrex网络分析服务。这可能产生如下效果:在完成彩票注册后,此次彩票活动的组织者[Planet49]将设置cookies,这使得Planet49能够针对我在其广告合作伙伴网站上的网络行为进行分析,从而向我投放基于兴趣的Remintrex广告。我可以随时删除cookies。你可以点击这里了解更多。”
只有在第一个复选框被勾选时才可以参与彩票营销活动。
点开第一个复选框旁边的“赞助商和合作伙伴”和“此处”的超链接是包含57家公司的列表,其中有他们的地址、运营商业广告的部门以及广告投放的方法(电子邮件、邮寄或电话)。每家公司的名称后面都有带下划线的“退订”。列表前面有如下表述:
“点击‘退订’链接,我决定不允许相关合作伙伴/赞助商对我投放广告。如果我没有退订任何一个或者达到足够数量的合作伙伴/赞助商,Planet49将酌情为我选择合作伙伴/赞助商(最大数量:30个)。”
单击第二个复选框旁边“此处”上的超链接时,将显示以下信息:
“这些名为ceng_cache, ceng_etag, ceng_png 和gcr的cookies,是由您使用的浏览器在硬盘上以指定的方式存储的小文件,并通过访问这些小文件以获得某些信息,从而更便捷用户使用并有效投放广告。Cookies包含一串随机生成的特定数字(ID),它会同时与您的注册信息进行关联。如果您访问了注册为Remintrex广告合作伙伴的网站(为查明是否注册,请参阅广告合作伙伴的数据保护声明),Remintrex会通过其中集成的iFrame自动记录您(或已存储ID的用户)访问了该网站,以及您对哪个商品感兴趣,是否进行了交易等。
随后,Planet49可以根据您在注册时对于彩票广告营销给出的同意对您进行邮件广告营销,其中也包括您在广告商合作伙伴网站上的行为偏好。在撤回对于广告投放的许可后,您当然不会再收到任何电子邮件广告。Cookies所包含的信息仅限广告商合作伙伴投放广告之目的。这些信息是为每个广告合作伙伴分别收集、存储和使用的。在任何情况下都不会创建涉及多个广告合作伙伴的用户配置文件。各广告合作伙伴也不会收集任何用户的个人数据。
如果您对使用cookies没有兴趣,可以随时通过浏览器删除它们。您可以在浏览器的[帮助]功能中进行操作。
你有权随时撤销这个同意。您可以将撤销申请以书面形式发送到Planet49 [地址],也可以给我们的客户服务部发送电子邮件[电子邮件地址]。”
鉴于相关法律规定,德国联邦法院就Planet49通过www.dein-macbook.de网站上的第二个复选框从用户处获得的同意的有效性,以及关于2002/58指令第5(3)条所规定信息披露义务的程度犹疑不决,因此决定中止诉讼程序,并将下列问题提交欧盟法院进行初步裁决:
1(a)如果通过预先选中的复选框允许网站存储信息或访问已存储在用户终端设备中的信息,用户需要取消选中该复选框以拒绝其同意,这是否构成2002/58指令第5(3)条和第2(f)条,以及95/46指令中第2(h)条含义范围内的有效同意?
(b)结合2002/58指令第5(3)条和第2(f)条和95/46指令中第2(h)条来看,储存或访问的信息是否为个人数据,结论上会有差异吗?
(c)在问题1(a)中提到的情况下,是否构成2016/679条例中第6(1)(a)条含义中的有效同意?
2、服务提供者需要根据2002/58指令第5(3)条向用户提供明确而全面的信息都包括哪些?包括cookies操作的持续时间和第三方是否可以访问cookies这些信息吗?
有关本案的说理部分,本公号将在后续更新,或者视小编心情,就酱~假期快乐
互联网mate
一小撮人眼中的互联网世界:我们站在法律和互联网的十字路口,与同样在此张望的人共觅方向。
1
转载需注明出处,谢谢!
热切期盼与您的交流,认识我们的请直接微信,不认识的请后台留言。