Cookies Walls以及滚动网页是否构成GDPR下的“明确同意”?
欧洲数据保护委员会(The European Data Protection Board, EDPB)于2020年5月4日通过了其最新的指南05/2020(《更新指南》),主要是就欧盟一般数据保护条例(“GDPR”)下的“明确同意”做了两方面的澄清。
在GDPR的规定下,数据控制者只能在符合某些条件的情况下处理数据主体的数据,其中一项条件是数据主体已经表示“明确同意”。
关于“明确同意”的概念非常重要,因为只有给予数据主体对其数据的控制权,并且无论数据主体是接受还是拒绝所提供的条款,都不影响其自身利益的情况下,这样的“同意”才是有法律依据的。
根据GDPR第4(11)条的规定,GDPR将“同意”定义为“自愿地、具体地、知情地和明确地表明数据主体的意愿,而数据主体通过声明或明确的同意行动表示同意处理与他或她有关的个人数据。”
在最新的《更新指南》中,主要是澄清了两方面的问题,即通过Cookies Walls的“同意”以及滚动网页的行为是否属于GDPR规定下的“明确同意”。
一、Cookies Walls
一般来说,Cookies Walls是一个弹窗,可以阻断数据主体对网页的使用直到数据主体同意使用Cookies来追踪数据主体的上网活动。
根据GDPR的规定,将同意与接受条款或条件捆绑在一起,或将合约或服务的提供与同意处理个人数据的要求捆绑在一起,而该等个人数据并非合约或服务的履行所必需,是极不可取的。如果同意是在这样的情况下做出的,便会被推定为并非自愿做出的同意,因此数据控制者处理个人数据便是不合法的。
那么,在这种情况下就产生了一个问题。数据控制者能否能通Cookies Walls来限制数据主体对其网站的访问?例如,除非数据主体按下“接受Cookies”的按钮,否则数据控制者会封锁其网站的内容。
对于上述问题,目前《更新指南》指出,对服务和功能的访问不能以数据主体同意在其终端设备(所谓的Cookie Walls)中存储信息或获得对已存储信息的访问为条件。
二、滚动网页
根据GDPR的规定,“同意”需要来自数据主体的声明或明确的同意行为。《更新指南》指出,最好的“明确的同意行为”是由数据主体提出的书面声明,但是《更新指南》也承认,这种正式的表示同意的方式通常是不现实的。
《更新指南》确认,在通过“我同意”的可选(非预先勾选的)选项输入框内的勾选行为可以被视为 “明确的同意行为”。
在实践中,数据控制者通常会要求数据主体通过一些特殊的行为方式来尽可能满足GDPR规定下“明确同意”的标准。比如:在屏幕上滚动工具条、在智能摄像机前摆动身体、顺时针或以8字形旋转智能手机等等。
《更新指南》认为,数据控制者有权制定符合他们规章制度的数据主体的“同意行为”,但该行为未必符合GDPR规定下的“明确同意”。比如,《更新指南》特别指出,滚动、滑动网页或类似的行为在任何情况下都不会满足“明确的同意行为”的要求,因为该行为很难与数据主体的其他行为进行区分。此外,数据主体继续使用网站的一般功能,同样不被认为是“明确的同意行为”,因为该行为同样很难与其他行为进行区分。
相关研究
-
11-052020
工程量清单项目特征描述不准确导致的争议及规避措施
工程量清单项目的特征决定了工程实体的实质内容,直接决定了工程实体的自身价值(价格),应予以详细而准确的表述和说明。 -
05-292020
企业赴美上市指南
美国的资本市场是以投资人选择为导向,以注册制为原则,赴美上市成功的关键在于企业的基本面和投资人的认可。 -
10-292020
《民法典》《九民纪要》下合同不成立、无效、被撤销或确定不发生效力的情形和法律后果简析
本文重点参考《<民法典>理解与适用》及《<九民纪要>理解与适用》中的观点,并简析《民法典》《九民纪要》下,合同不成立、无效、被撤销或确定不发生效力的情形和法律后果。 -
02-192020
《治安管理处罚法》五十一条第一款第一项不宜随意适用
这段时间,各地均采取了非常严格的防控措施,两高也相继出台文件,要求严打防控期间的种种破坏防疫工作的违法行为。我们也看到很多媒体在一些短视频平台或者微博这样的社交媒体上,发布一些破坏社会秩序、以及不服执法人员管控的视频,最终这些人都受到了法律的制裁。 -
04-222020
建设工程项目部印章对合同效力的影响及使用时的注意事项
本文将对盖章行为不规范引起的合同效力问题进行分析,主要讨论盖章主体没有权限以及使用未经备案公章盖章的行为效力。