欧盟为何仍沉醉于Cookie合规？

在一个跨国快消品企业的DPIA项目中，我们中方数据合规法务对于欧盟总部派员审计人员提出的“咱的中国官方网站为什么没有实施Cookie同意？如此严重的问题必须列为合规整改之首”的审计意见表达了惊愕之意，同样，总部审计人员对中方的惊愕也表示了惊愕——他们无法理解中国对Cookie的看法竟然可能是“早被淘汰的合规话题”。

事实上，Cookie仅仅只是这些合规观念冲突的冰山一角。

Cookie治理直接来源于《ePrivacy Directive》（“ePD”），而ePD本质上是一部隐私法，用于保护用户任一终端设备中中的信息——类似于保护私人房屋一样：未经同意，不得窥探和进入。

在欧盟层面，欧洲数据保护委员会（EDPB）扮演了核心的“立法解释者”和“行动协调者”角色。其在2023年底发布的《关于电子隐私指令第5(3)条技术范围的指南》（Guidelines 2/2023），堪称一座里程碑。该指南首次系统性地将Cookie规则的适用范围，从传统的浏览器Cookie，扩展至URL追踪、像素追踪、设备指纹识别、唯一标识符（Unique ID）乃至物联网（IoT）设备的数据收集等所有新兴追踪技术，宣告了任何试图绕过Cookie同意墙的技术“创新”都将面临严格审视。

紧接着，EDPB的“Cookie横幅工作组”（Cookie Banner Taskforce）在2023年初发布的报告，更是将矛头直指网站普遍存在的“暗黑模式”（dark patterns），明确要求Cookie同意横幅上的“拒绝”选项必须与“接受”选项同样便捷，禁止任何形式的预勾选和误导性设计。

在成员国层面，笔者初步统计，当前至少有包括奥地利、比利时等15个欧盟成员国的数据保护机构曾发布过和Cookie有关的合规指南。而各国监管机构则扮演了“执法先锋”的角色，将EDPB的原则转化为具体的罚单和国内指南。

德国的《电信和电信媒体数据保护法》（TTDSG，现已更名为TDDDG）以其高达30万欧元的Cookie违规罚款，为企业划定了清晰的红线。法国数据保护局（CNIL）则以其持续的强硬执法著称，在2024年底再次向多家使用“暗黑模式”的网站发出整改令，并强调拒绝Cookie必须像接受一样简单。同样，意大利（Garante）和西班牙（AEPD）的数据保护机构也毫不手软，前者明确禁止以“合法利益”作为使用追踪技术的借口，后者则在2024年开出多张罚单，执法力度显著增强。这一系列行动表明，欧盟对Cookie的监管已经从“立法”阶段，全面进入了“执法”深水区。

简单来说，ePD关注的核心要素，一是信息，二是终端，三是访问或存储。严格来说，ePD不处理任何和个人数据保护有关的问题，那是GDPR的事。

与GDPR严格聚焦于“个人数据”（personal data）不同，ePD在其关键的第5条第3款中，刻意选用了范围更广的词汇——“信息”（information），并且明确指出此信息并不等同于个人数据。

这意味着，无论一个Cookie携带的是一个独特的、可直接或间接识别到个人的标识符（此时它无疑是个人数据），还是仅仅是一个匿名的、用于网站功能的技术性标记，只要它涉及在用户的电脑、智能手机或其他联网设备上进行“存储”或“访问”的行为，就落入了《电子隐私指令》的管辖范围。欧洲法院（CJEU）在著名的“Planet49”案（C-673/17）中明确了这一点，裁定保护适用于终端设备中存储的“任何信息”，无论其是否为个人数据，其目的在于保护用户免受隐藏标识符和其他类似设备在用户不知情的情况下进入其终端设备的风险。

因此，对于“Cookie是个人数据还是信息”这个问题，欧盟的答案是：它首先是“信息”，必须遵守《电子隐私指令》的规定（主要是征得同意）；如果这些信息又能关联到已识别或可识别的自然人，那么它“同时”也是个人数据，还必须遵守GDPR的所有规定（如明确处理目的、保障数据主体权利等）。这种双重身份，使得Cookie合规成为一个复杂但逻辑严谨的法律迷宫。

ePD序言24条规定，“终端设备……以及存储在这些设备上的任何信息，都是用户私人领域的一部分，需要根据《欧洲人权与基本自由保护公约》得到保护。” 终端设备包括承载所有显示、处理、存储和外设硬件（例如智能手机、笔记本电脑、联网汽车或联网电视、智能眼镜）。更详细而言，包括传统设备（笔记本电脑、智能手机、平板电脑）、智能家居设备（智能电视、智能音箱、智能冰箱等）、 可穿戴设备（智能手表、健身手环、智能眼镜）、联网汽车（车载信息娱乐系统、车联网（V2X）通信单元）以及物联网（IoT）设备 （工业传感器、智能电表、环境监测器等）。关键的判断标准在于，该设备是否是通信的“端点”（endpoint），而不仅仅是一个被动传输信息的中继（relay）。

而关于存储或访问，一方面指可存储于用户终端，另一方面指可从用户终端访问，以及直接形成上行数据至服务端。另如 WP29 意见 9/2014 关于将指令 2002/58/EC 应用于设备指纹识别的应用中所指出的："使用"存储或访问"一词表明，存储和访问不需要在同一通信中发生，也不需要由同一方执行。"根据ePD第5条第3款，信息的存储是指将信息放置在用户或订户终端设备的物理电子存储介质上，存储的概念并不取决于信息所存储的媒介类型。

而当访问只读值（即，终端中生成数据且未进行存储）时（例如通过操作系统 API 请求网络接口的MAC地址），同样需要获得同意。终端中安装的本地应用程序会严格使用终端内部的信息，例如智能手机系统 API（访问摄像头、麦克风、GPS 传感器、加速器芯片、无线电芯片、本地文件访问、联系人列表、标识符访问等）。对于处理设备内部存储或生成信息的网络浏览器（如 cookies、本地存储、WebSQL，甚至是用户自己提供的信息）也可能存在这种情况。

有意思的是，EDPB指出，应用程序使用上述在终端中生成的信息不受第 5(3)条 ePD 的约束，前提是该信息不离开设备。笔者理解在上一段技术方案中，此处的“豁免”，指安装在终端中的应用程序利用于终端中生成的数值，但此类数值一没有存储，二也没有上传至服务端时的情形。而但当该信息或该信息的任何衍生物通过通信网络访问时，第5(3)条 ePD 可能适用。

应用程序或网站的JavaScript代码（例如：），会让用户的浏览器自动向服务端发送请求，虽然该行为是用户的浏览器执行的，但行为的发起方是网站或第三方脚本提供者。因此，此行为仍然属于访问行为，属于第 5(3) 条下的“访问信息”行为，必须事先征得用户同意。

这些类Cookie技术在实践中可能无所不在。比如，检测收件人何时阅读了邮件并提示发件人的像素追踪技术，通过URL追踪以确认产生佣金交易的推广者用户来源或者广告用户访问来源；通过客户端 API 将本地处理产生的信息回传服务器。

当前，国内产品几乎100%的隐私政策一直按惯例加了“Cookie及其同类技术”这一段表述。而事实上，这一章节本质上是有些“不伦不类”的存在，是“半中半洋”的“畸形”条款，是在个人信息无限扩大认定的裹挟下，在没有对隐私和个人信息两个核心概念进行区别的情况下而形成的“不敢删除”。

（封面由AI生成）

声明：本文来自麻策的备忘录，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。