西班牙发布新指南对Cookie监管趋严

　　近期，西班牙数据保护局发布的《Cookie使用指南》，旨在指导互联网服务商在使用Cookie获取用户数据时应符合主动同意规则‍‌‍‍‌‍‌‍‍‍‌‍‍‌‍‍‍‌‍‍‌‍‍‍‌‍‍‍‍‌‍‌‍‌‍‌‍‍‌‍‍‍‍‍‍‍‍‍‌‍‍‌‍‍‌‍‌‍‌‍。尽管这部《指南》因对Cookie采取严格的规则而受到批评，但是该规定与欧盟数据保护规则和相关判例采用的观点基本一致‍‌‍‍‌‍‌‍‍‍‌‍‍‌‍‍‍‌‍‍‌‍‍‍‌‍‍‍‍‌‍‌‍‌‍‌‍‍‌‍‍‍‍‍‍‍‍‍‌‍‍‌‍‍‌‍‌‍‌‍。

　　2019年11月8日，西班牙数据保护局(AEPD)发布了《Cookie使用指南》(以下简称“《指南》”)，更新了之前西班牙关于Cookie的使用标准，以适应其国内法律及欧盟的《一般数据保护条例》和有关数据保护与数字权利保障的基本法(3/2018)的新规定‍‌‍‍‌‍‌‍‍‍‌‍‍‌‍‍‍‌‍‍‌‍‍‍‌‍‍‍‍‌‍‌‍‌‍‌‍‍‌‍‍‍‍‍‍‍‍‍‌‍‍‌‍‍‌‍‌‍‌‍。该《指南》明确要求互联网企业使用Cookie时需要获得用户主动、具体的同意，并对信息透明以及同意的具体要求等义务性规定加以规定，并结合多个例子，具体指导互联网服务提供者如何合法、合规地使用Cookie及相关技术。

　　Cookie技术为什么重要

　　互联网行业中Cookie是普遍使用的一项技术，当用户使用相关服务时，服务商会向用户的终端设备发送一个或多个Cookie，以便收集和存储用户访问、使用服务时的信息。这些用户数据可促进服务提供者提供稳定、安全的服务，也可以为显示相关广告或设计更符合用户需求的新产品提供依据。随着近年来信息技术变革和数字经济的崛起，Cookie对于互联网企业的重要性与日俱增。但是，Cookie技术强大的信息追踪、收集功能也引发了人们对其可能侵犯用户隐私、泄露个人信息的担忧。

　　针对上述潜在的技术风险，欧盟从保护个人隐私角度最先开始立法，并逐步成为互联网Cookie规则的标杆。如2002年欧盟制定的《电子隐私法案》中就规定：“用户的电子通信终端设备上存储的任何信息均属于用户的隐私信息，应受到欧盟相关法律的保护。”2009年在修订该法案时，其中最大的变化则是：服务提供商在用户的终端设备上用Cookie获取个人数据不能基于“默认同意”，而是需要用户“主动地选择同意”，也就是说，用户从“选择退出”(opt-out)改为了“选择加入”(opt-in)。到了2016年，欧盟的《一般数据保护条例》中明确指出：具有唯一指向性和身份识别性的Cookie属于个人数据。这也就意味着，除非在例外情形下，Cookie的收集和使用必须得到用户的同意。

　　欧盟对Cookie的使用规则中最为关键的是“同意规则”。通常来说，第一方缓存的使用不需要获得用户的知情同意，但使用第三方缓存和持久缓存时就需要获得用户的知情同意。在获取用户同意的方式上，欧盟提出的标准是：用户应完全了解正在使用的网站收集相关数据的目的，以及可能对用户个人隐私带来的危害。

　　针对同意规则，欧盟近期有一个典型案例。案件起因是一家名为“Planet49”的在线游戏公司试图通过用户预先选中的复选框来存储用户的Cookie，进而通过Cookie收集信息、推广在线游戏，德国消费者协会以侵犯用户隐私起诉了该公司。2019年10月，欧洲法院对“Planet49”案作出的一项裁定中，明确要求“互联网服务商不得以‘预先勾选方框’的方式告知用户其手机或电脑将被植入Cookie”。同时，法院指出用户同意必须是“具体的”。这项裁决意味着在所有欧盟成员国和地区，任何一家互联网企业要使用Cookie技术获取用户信息，必须先取得用户的具体同意。在个人数据信息保护不断加强的背景下，欧盟这一案例也直接影响了西班牙《指南》的相关内容。

　　划重点：详解《指南》新规则

　　西班牙数据保护局发布的《指南》中最核心的要求是互联网服务提供者在使用Cookie时应当获得用户的明确、具体、完整的同意，以便用户理解Cookie的具体用途。从《指南》所规定的具体要求来看，以下规则需要重点关注：

　　第一，互联网服务提供者要明确告知用户与Cookie相关的信息。《指南》要求互联网服务提供者应当告知的信息包括：Cookie的含义以及功能，使用的Cookie的主体、类型及其用途，如何接受、拒绝、撤销同意或删除Cookie，服务提供者可能向第三方传输数据，告知用户自动化决策的逻辑、此类处理对用户产生的预期后果，以及不同目的下数据的保存期限，等等。

　　第二，告知上述与Cookie相关的信息必须简洁、透明、清楚，用语应当通俗易懂，避免使用户产生混淆。

　　第三，《指南》借鉴了欧盟的一般数据保护规则，明确规定“除例外情形，服务提供者收集和使用Cookie，在任何情形下都必须征得用户的同意”。这种同意可以通过指示“同意”“我接受”或其他类似术语获得;也可以从用户执行的明确动作中推断出用户的同意，如用户继续浏览网站，这一点与其他欧洲国家发布的指南不同。但是在任何情况下，用户均可拒绝接受Cookie，而在用户拒绝服务提供者使用Cookie时，应当告知其后果。需要注意的是，Cookie的告知信息与接受服务的使用条款、其他信息分开，也就是说拒绝之后也不能终止网页访问。

　　第四，《指南》也规定了特殊用户的同意规则，即在技术可行的前提下，对于追踪和使用14岁以下儿童信息的Cookie，互联网服务提供者核实或者验证儿童监护人是否同意使用儿童的Cookie，并且遵守数据最小化原则。

　　第五，通常情况下，如果网站服务商未变更Cookie使用用途，只要已经获得过用户的有效同意，此后该用户访问同一网页时就不需要每次都进行选择是否接受Cookie协议。但是如果服务商变更使用Cookie，就应当重新获得用户的同意。

　　《指南》不完美却有参照价值

　　虽然西班牙数据保护局发布的这一《指南》不具有法律效力，但是由于细化了西班牙《信息社会服务法》相关条款的适用，所以对整个互联网行业中的Cookie政策会产生直接的影响。奥斯本·克拉克律师事务所的合伙人在接受采访时总结了该《指南》存在的三点不足：一是通过“继续浏览操作”接受Cookie的观点已经存在，但它可能会偏离原有《2016/679条例》第29条的“同意准则”的本意;二是在保护未成年人方面，从原来仅收集统计数据的情况下通过单击鼠标以征求父母同意的警告，到在将Cookie用于自定义目的的情况下能够检测错误输入和验证码的生日复选框，实际上这类机制在互联网生态系统中并不新鲜，有时这种规定反而不能适当程度地保护未成年人的权利和自由;三是《指南》对用户撤回同意进行了详细地描述，要求服务商提供措施，使用户撤回同意应与给予同意一样便利，但实际上原来“同意准则”已有类似规定。

　　考虑到互联网行业Cookie的多种复杂性，这份《指南》的制定者也意识到了上述规则可能存在的一些问题，因此在序言中坦言“该规则并不是为了提供一种万能的解决方案以符合相关法律，而只是为互联网服务提供者做出最佳决策提供一种指引”。尽管有上述不足，西班牙制定的这份《指南》对其他国家制定相关Cookie规则都具有十分重要的借鉴意义。

　　互联网论文范文：移动互联网广告监管模式研究

　　摘要：随着移动互联网技术的发展和普及，移动互联网广告应运而生并发展极其迅速，推动着我国经济持续发展。与此同时，也应该关注到移动互联网广告存在的负面影响。文章在界定移动互联网广告的基础上，总结移动互联网广告的特点，梳理目前我国对该领域监管存在的问题，尝试构建符合我国国情的移动互联网广告监管模式，以期促进我国移动互联网广告健康发展。

转载请注明来自发表学术论文网：http://www.fbxslw.com/wslw/22603.html