欧洲数据保护委员会(EDPB)在2023年11月14日发布了关于e-Privacy Directive 2002/58/EC第5(3)条的新指南Guidelines 2/2023。替代ePD的ePR(e-Privacy Regulation)目前还处在最终谈判阶段,ePD依然生效。
ePD Article?5(3). Member States shall ensure that the use of electronic communications networks to store information or to gain access to information stored in the terminal equipment of a subscriber or user is only allowed on condition that the subscriber or user concerned is provided with clear and comprehensive information in accordance with Directive 95/46/EC, inter alia about the purposes of the processing, and is offered the right to refuse such processing by the data controller. This shall not prevent any technical storage or access for the sole purpose of carrying out or facilitating the transmission of a communication over an electronic communications network, or as strictly necessary in order to provide an information society service explicitly requested by the subscriber or user.
ePD Article5(3).?成员国应确保,只有在根据指令95/46/EC,向相关用户或用户提供清晰全面的信息,特别是关于处理目的的信息的情况下,才允许使用网络存储信息或访问存储在用户或用户的终端设备中的信息,并且拥有拒绝数据控制者进行这种处理的权利。这不应阻止任何仅为通过电子通信网络进行或促进通信传输而进行的技术存储或访问,或为提供用户或用户明确要求的信息社会服务而严格必要的技术存储和访问。
指南对Article5(3)的适用范围做了解释,EDPB认为传统cookie之外的各种用户跟踪技术都应该受到该规则的约束。如果一项技术被纳入范围,那么根据该技术的使用目的,其使用将和Cookie一样,需要同意为基础。
背景
在Guidelines 2/2023引言部分,EDPB解释了颁布这个指南的初衷。
适用范围
总之:宽泛。例如:
2.存储或访问的信息的性质和数量也无关紧要。请注意,这些信息是否是个人数据也无关紧要。(指南2.2节)
3.?也许最具争议的是,EDPB还建议,谁发出向访问实体传输信息的指令可能并不重要——终端设备主动发送信息也可能被约束。(指南第19条)
哪些技术纳入范围
EDPB在指南中也举了一些例子,例如:
最后
该指南将在2023年12月28日之前公开征求公众意见。从企业合规角度来看,在一些场景中,获得用户同意是有难度的。从用户的角度来看,在一个用户已经被cookie同意弹出窗口轰炸的世界里,“同意疲劳”的问题也会出现。
参考文章:EU: New EDPB guidelines on the scope of the ‘cookie rule’ | Privacy Matters (dlapiper.com)
Guidelines 2/2023原文:Guidelines 2/2023 on Technical Scope of Art. 5(3) of ePrivacy Directive | European Data Protection Board (europa.eu)
e-Privacy Directive原文:EUR-Lex - 32002L0058 - EN (europa.eu)
阅读更多:
用九智汇受邀参加WELEGAL与六和律师事务所线下沙龙活动:《数据如何合规出境》