评析
浏览记录是一种在web应用程序中存储互联网用户特定信息的方法,其在性质上属于相关网站请求互联网用户的浏览器存储于该用户的计算机或移动设备的硬盘之中的一种小型文本数据(通常小于1 k)。[2]浏览记录使得相关网站能够“记住”互联网用户的行为或偏好。虽然大多数网络浏览器支持浏览记录,但是互联网用户可以设置其浏览器而对浏览记录予以拒绝,并且也可以删除浏览记录。不过,尽管许多互联网用户将其浏览器的“浏览记录设置”设定为关闭浏览器时自动删除浏览记录,但经验证据显示,互联网用户很少改变浏览器的默认设置,此现象被称为“默认惰性”。[3]
目前,众多互联网网站将浏览记录用于识别用户,记住用户的喜好并允许用户在切换浏览页面或在之后访问这些网站时,无须重新输入信息即可有效地进行浏览。浏览记录亦可用于收集在线行为广告和营销所使用的信息。[4]
按照技术特点、用途和功能等维度,浏览记录可以分为不同种类。例如,按照存储时间的长短可将浏览记录分为对话浏览记录和持久浏览记录,其中对话浏览记录只在浏览器上保存一段时间,一旦超过该时间就会被系统清除,而持久浏览记录则保存在用户本地硬盘的浏览记录文件中,下一次用户返回时,仍然可以对它进行浏览。而按照实现功能和目的的不同,可将浏览记录分为安全浏览记录和跟踪浏览记录,其中安全浏览记录通常用于实现网站用户登录和访问的安全验证目的,而跟踪浏览记录则用于记录并跟踪用户的网页浏览记录,由此推测用户的喜好并推送相关广告。此外,按照网站主体的不同,还可以将浏览记录分为第一方浏览记录和第三方浏览记录,其中第一方浏览记录是由用户访问或与其发生交互的网站的服务器放置在用户终端设备的浏览记录,而第三方浏览记录则是由与用户访问的网站相关的其他第三方放置在用户终端设备上的浏览记录。[5]
目前,欧盟有关浏览记录的法律规定主要是于2002年7月12日通过的《欧盟电子隐私指令》。该《指令》第5条第3款原先规定,欧盟成员国应确保在用户终端设备中存储信息或者访问已存储在该等设备中的信息的前提是,已依照《95/46指令》的规定向相关用户提供有关数据处理目的的清晰和全面的信息,且已给予该用户拒绝数据控制者进行该等数据处理的权利。2009年11月通过的欧盟《2009/136指令》(又称《浏览记录指令》)将该款规定修改为,欧盟成员国应确保在用户终端设备中存储信息或者访问已存储在该等设备中的信息的前提是,相关用户已作出同意,且已依照《95/46指令》的规定向该用户提供有关数据处理目的的清晰和全面的信息。由该款规定可见,目前,在欧盟法项下,相关网站使用浏览记录存储互联网用户的个人数据须满足两个前提条件:一是相关用户已作出同意;二是已向相关用户提供有关数据处理目的的清晰和全面的信息。本案中,欧洲法院对“同意”的含义以及“明确和全面的信息”范围进行了明确。
第一,本案明确了欧盟法律规定的相关用户的同意必须是积极的同意,而非消极的同意;必须是明确的同意,即与数据的处理明确相关的同意,而非从数据主体出于其他目的而作出的意思表示中推定的同意。此前,《95/46指令》将“数据主体的同意”界定为数据主体自愿作出的、具体的、知情的意思表示,借助该表示,数据主体表明其同意处理与其有关的个人数据。2016年制定的《一般数据保护条例》将该定义修改为,数据主体自愿作出的、具体的、知情的、明确的意思表示。其通过声明或明确肯定的行为作出的这种意思表示,表明其同意对其相关的个人数据进行处理。
本案中,欧洲法院对上述两个定义进行了分析并认定,首先,欧盟法规定的数据主体的同意是积极的同意而非消极的同意。至于何谓积极的同意,尽管欧洲法院未就此作出明确界定,但欧盟第29条数据保护工作组于2013年10月通过的《关于就浏览记录获取同意的指南的02/2013工作文件》无疑具有一定的借鉴意义。根据该指南,积极的同意是指互联网用户采取的诸如点击相关网站进入页面上的链接、图片或其他内容等行为,该行为通常建立在可追踪的互联网用户向网站提出的请求的基础之上。这些请求的形式使网站运营商确信,相关用户已积极请求与网站互动,并因此对浏览记录予以同意(假定该用户已经充分知情),而且该用户的行为是其同意的积极反映。在任何情况下,互联网用户的哪个行为代表其对浏览记录予以同意必须向该用户明确说明。还应保证的是,经由积极行为作出的选择应建立在相关浏览记录将因该行为而得以设置的清晰的信息之上。该信息应以互联网用户能够确认该信息,而非误以为该信息系广告之方式呈现。因此,确保显示用户积极行为的按钮、链接或选择框位于或接近该信息被呈现的位置,对于确信该用户能够就其行为求助于该信息是必要的。此外,该信息应呈现于网站上,直至互联网用户表示同意方可消失。
另外,以下情况不能视为有效的同意:一是互联网用户仅点击“有关浏览记录的更多信息”这一链接,因为该用户已明确要求更多的信息;二是缺乏任何行动也不能视为有效的同意。因此,如果互联网用户进入展示有关浏览记录使用信息的相关网页,且未开始进行积极的行动,而仅是在相关页面上逗留而未采取任何进一步的行动,则难以认定同意已经明确地作出。换言之,在互联网用户已被充分告知其行为代表什么的情况下,该用户表示其同意浏览记录的过程系通过肯定的行动或其他积极的行为完成。因此,互联网用户可以通过点击位于或靠近有关浏览记录使用信息的按钮或链接,或勾选位于或靠近上述信息的选择框(若上述行动系结合已提供的信息采取),或任何其他网站经营者可以明确认定系代表同意的积极的行为来表示其知情的同意。[6]
其次,欧洲法院还认定,欧盟法规定的数据主体的同意必须是明确的同意,即与数据处理明确相关的同意,而非从数据主体出于其他目的而作出的意思表示中推定的同意。换言之,“笼统的、未明确数据处理的准确目的的同意是不可接受的”。[7]实践中,网站经营者如欲取得互联网用户对其使用浏览记录存储其个人数据的明确同意,需遵循以下原则:①明确目的以防止功能蠕变(在数据主体同意收集数据之后,逐步扩大或模糊数据处理的目的)。②有关同意的请求应详细和清晰,这意味着,就不同目的寻求同意的网站经营者,应针对每个目的提供分别的选择性加入机制,以使用户能够就特定目的作出特定同意。③将有关获取数据处理活动的同意的信息,从有关其他事项的信息中清楚地区分开来。[8]
第二,本案明确了欧盟法规定的应向数据主体提供的有关数据处理目的的清晰和全面的信息,包括浏览记录的运作期间以及第三方是否能够访问浏览记录这两类信息。根据欧洲法院在本案判决中的诠释,“清晰和全面的信息”系指互联网用户能够易于确定其作出的同意的后果,并确保其同意是在充分知情的情况下作出的相关信息。这些信息必须是清晰易懂且充分详尽的,以使互联网用户能够理解所使用的浏览记录的运作。本案中,欧洲法院明确,“清晰和全面的信息”不仅包括第三方是否能够访问浏览记录这一信息,因为该信息属于《95/46指令》第10条以及《一般数据保护条例》第13条明确规定的、数据控制者应向数据主体提供的数据接收方或接收方的种类信息,而且也包括《95/46指令》第10条虽未列明,但《一般数据保护条例》第13条明确规定的浏览记录的运作期间信息。另外,结合欧盟法律的规定以及实践,以下信息也属于应向数据主体提供的清晰和全面的信息:网站经营者的身份;需要获得同意的每一个人数据处理操作的目的;何种个人数据会被收集和使用;撤回同意的权利的存在;将个人数据用于自动决策机制(包括画像)的信息;相关个人数据传输至第三国的风险等。(https://www.daowen.com)
【注释】
[1]http://curia.europa.eu/juris/document/document.jsf?text=&docid=218462&page Index=0&doclang=en&mode=lst&dir=&occ=first&part=1&cid=2013814.
[2]Opinion of Advocate General Szpunar,delivered on 21 March 2019.
[3]Opinion of Advocate General Szpunar,delivered on 21 March 2019.
[4]Ibid.
[5]何渊等.大数据战争:人工智能时代不能不说的事[M].北京:北京大学出版社,2019:39.
[6]Article 29 Data Protection Working Party,Working Document 02/2013 providing guidance on obtaining consent for cookies[EB/OL].[2020-09-19].https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2013/wp208_en.pdf.
[7]Ibid.
[8]Article 29 Data Protection Working Party,Guidelines on Consent under Regulation 2016/679[EB/OL].[2020-09-19].https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=623051.