欧盟将利用 ePrivacy 和 GDPR 打击非法的 Cookie 墙

发布时间：2023年1月31日，作者：Glyn Moody

欧盟通用数据保护条例GDPR最大的问题之一就是，它导致了各种恼人的弹出窗口和网页，要求用户授权使用 Cookie 来跟踪在线活动。

很多人未能意识到的是，网站经常故意将这些请求设计得烦人，以推使访问者快速接受而不去查看具体细节以便快速跳过。这些所谓的“Cookie 墙”很多在2002年的 ePrivacy 指令下是非法的，该指令是为了应对20年前由于使用 Cookies 而引发的日益严重的问题而制定的。

由于 Cookie 墙仍然是一个重大问题，欧洲 Cookie 横幅工作组于2021年成立。它们的第一份报告刚刚发布，尽管很好地列出了 Cookie 横幅的主要问题，但在提出具体建议方面却不够明确。

Cookie 墙尽管有立法，依旧屡禁不绝

近年来，关于 Cookies 滥用的几项裁决已经出台。例如，正如我们在2019年所报道的，欧盟最高法院欧洲法院Court of Justice of the European Union裁定，使用预先选中的复选框preticked checkboxes获取 Cookie 同意无效。该法院的新闻稿解释说，这一裁决是依据 ePrivacy 指令作出的，但与 GDPR “相结合阅读”表明它们之间的相互关系。

2020年10月，法国数据保护机构 CNIL 也指出原文在法语GDPR 对于以往由 ePrivacy 法规覆盖的 Cookies 管理产生了重要影响，因此 CNIL 也因此更新了相关建议。

几个月后，CNIL 分别对 Google 和 Amazon 处以1亿欧元和3500万欧元的罚款，理由是它们的 Cookie 管理做法与欧盟法律不符。2021年4月，CNIL 发起了“在线调查，以识别与 Cookies 相关的潜在违规行为”，结果发现许多在线网站在接受或拒绝 Cookies 的便捷性上做得并不对等，这一要求十分关键。因此，CNIL 向20家组织发出了正式通知，要求它们遵守 Cookie 的要求。

法国的这一数据保护机构一直走在要求网站遵守欧盟隐私法律的最前沿，但在2021年5月，另一位隐私捍卫者 Max Schrems 和他的组织 noybeu 也加入了斗争。正如本博客所报道，noybeu 向多家公司发出超过500份草案投诉，声称它们使用了非法的 Cookies。Schrems 说：

一些公司显然在尽力让隐私成为用户的负担，而他们有责任让隐私变得尽可能简单。几乎所有用户面临的数据保护情况都是由公司设计的，它们通常故意将隐私设置的设计变成噩梦，同时又将责任归咎于 GDPR。这种叙述在众多页面上重复，导致用户开始认为这些疯狂的横幅是法律所要求的。

Cookie 横幅过于复杂

noybeu 的研究发现，在500个被投诉的网站中，有81的初始页面根本没有提供“拒绝”选项。用户不得不深入子菜单才能找到隐藏的“拒绝”选项。另有73的网站使用误导性的颜色和对比度来引导用户点击“接受”选项。总计90的网站没有提供易于撤回同意的方式。

除了量化这一问题的规模外，Schrems 的研究和警告信还产生了重要的连锁反应。CNIL 在2023年的一份新闻稿中解释说，这促使了欧盟数据保护机构采取协调行动，通过监管机构欧洲数据保护委员会EDPB。这并不如看上去那么简单：

一个汇集所有自愿参与的欧洲数据保护机构的工作组被创建，以共同分析这些投诉所提出的各种问题，尽管根据 GDPR 提供的合作机制“一站式服务”机制不适用于读取和/或写入用户终端的信息如 Cookies 的情况。

实际上，即使 Cookies 和其它跟踪设备的存储在 ePrivacy 指令中有明确涵盖第5条第3款在法国数据保护法中转化为第82条，EDPB 认为，投诉数量和涉及的国家，以及这个问题对保护互联网用户隐私的重要性，合理地要求在欧洲层面进行某种协调。

也就是说，虽然 GDPR 明确创建了一个“一站式服务”机制，以便对数据保护采取协作方法，早期的 ePrivacy 指令并未如此，并且要求国家机构独立监管这一方面。然而，Cookies 使用时保护隐私的重要性，合理地要求制定统一的欧洲策略，以整合 ePrivacy 指令和 GDPR 的相互要求。

Cookie 横幅工作组报告

2021年9月，成立了一个“Cookie 横幅工作组”以协调全欧的应对，在2023年1月18日，该工作组发布了其工作报告。

报告确认相关法律是 ePrivacy 指令，但“某些来自 GDPR 的概念例如有效同意的条件和知情权对于判断是否违反了转化为国家法律的 ePrivacy 指令至关重要”。

它讨论了 Cookie 横幅的具体方面，包括拒绝按钮、预选框、横幅设计以及撤回同意的图标。它还触及了黑暗模式这一引人关注的领域用户界面设计的某些方面，旨在引导或甚至欺骗用户采取他们可能不会选择的行动，这是在2018年力所闻达的。

尽管 EDPB 认识并列举了不法 Cookie 请求的各种问题，对隐私而言这是个好消息，但对于它在打击这些问题上的建议却不够强有力和明确显得令人失望。该报告最后指出，潜在的滥用做法必须在“逐案判断”基础上进行评估这意味着我们可以预计在这个领域还会有更多的投诉和裁决。

尝试私人互联网接入服务

图片由 Stable Diffusion 创建。