新EDPB指南：不只是Cookie

欧洲数据保护委员会（EDPB）在2023年11月14日发布了关于e-Privacy Directive 2002/58/EC第5（3）条的新指南Guidelines 2/2023。替代ePD的ePR（e-Privacy Regulation）目前还处在最终谈判阶段，ePD依然生效。

ePD Article?5（3）. Member States shall ensure that the use of electronic communications networks to store information or to gain access to information stored in the terminal equipment of a subscriber or user is only allowed on condition that the subscriber or user concerned is provided with clear and comprehensive information in accordance with Directive 95/46/EC, inter alia about the purposes of the processing, and is offered the right to refuse such processing by the data controller. This shall not prevent any technical storage or access for the sole purpose of carrying out or facilitating the transmission of a communication over an electronic communications network, or as strictly necessary in order to provide an information society service explicitly requested by the subscriber or user.

ePD Article5（3）.?成员国应确保，只有在根据指令95/46/EC，向相关用户或用户提供清晰全面的信息，特别是关于处理目的的信息的情况下，才允许使用网络存储信息或访问存储在用户或用户的终端设备中的信息，并且拥有拒绝数据控制者进行这种处理的权利。这不应阻止任何仅为通过电子通信网络进行或促进通信传输而进行的技术存储或访问，或为提供用户或用户明确要求的信息社会服务而严格必要的技术存储和访问。

指南对Article5（3）的适用范围做了解释，EDPB认为传统cookie之外的各种用户跟踪技术都应该受到该规则的约束。如果一项技术被纳入范围，那么根据该技术的使用目的，其使用将和Cookie一样，需要同意为基础。

背景

在Guidelines 2/2023引言部分，EDPB解释了颁布这个指南的初衷。

1. 根据ePD?Article5（3）的描述，他不仅适用于Cookie，也适用于“类似技术”。然而目前并没有Article5（3）所涵盖的技术操作的全面清单。
2. 由于跟踪技术的新进展，尤其是在过去的十年里，随着嵌入操作系统的标识符的使用越来越多，也需要提供进一步的指南。
3. 由于Article5（3）适用范围的模糊性，导致部分企业实施替代Cookie的跟踪技术解决方案，用来规避合规义务。

适用范围

总之：宽泛。例如：

1. 信息在终端设备上存储多长时间并不重要。任何信息的短暂存储（例如，在RAM或CPU缓存中）就足够了。（指南第2.6节）

2.存储或访问的信息的性质和数量也无关紧要。请注意，这些信息是否是个人数据也无关紧要。（指南2.2节）

3.?也许最具争议的是，EDPB还建议，谁发出向访问实体传输信息的指令可能并不重要——终端设备主动发送信息也可能被约束。（指南第19条）

哪些技术纳入范围

EDPB在指南中也举了一些例子，例如：

1. URL和像素跟踪：例如，跟踪用于确定电子邮件是否已打开的像素，或跟踪网站用于识别网站流量来源的链接，例如用于营销归因。
2. 本地处理：例如，使用网站上的API远程访问本地生成的信息。
3. 仅基于IP的跟踪：例如，源自用户路由器的静态出站IPv4的传输，用于跨多个域跟踪用户，用于在线广告目的。
4. 物联网（IoT）报告：例如，智能家用设备直接或通过中间设备（如手机）将信息传输到制造商控制的远程服务器。

最后

该指南将在2023年12月28日之前公开征求公众意见。从企业合规角度来看，在一些场景中，获得用户同意是有难度的。从用户的角度来看，在一个用户已经被cookie同意弹出窗口轰炸的世界里，“同意疲劳”的问题也会出现。

参考文章：EU: New EDPB guidelines on the scope of the ‘cookie rule’ | Privacy Matters (dlapiper.com)

Guidelines 2/2023原文：Guidelines 2/2023 on Technical Scope of Art. 5(3) of ePrivacy Directive | European Data Protection Board (europa.eu)

e-Privacy Directive原文：EUR-Lex - 32002L0058 - EN (europa.eu)

阅读更多：

深度分析-《数据视角下的隐私合规》

深度分析-《数据视角下的隐私合规 II》

深度分析-《数据视角下的隐私合规 III》

深度分析-EDPB个人数据泄漏通知指南摘要及合规建议

深度分析：EDPB数据主体权利-访问权指南摘要及合规建议

EDPB关于通过视频设备处理个人数据的指南摘要及合规建议

App隐私合规评估实务和要点

TikTok被罚3.5亿欧元，你应该知道以下几点

没错！非洲肯尼亚刚刚发布了3项隐私处罚

技术分享-动态脱敏

智能网联时代汽车行业数据合规挑战

隐私工程实践路径系列：PIA篇（上）

落地实践-数据分类分级实践难点

数据分类分级-敏感图片识别

深度解读-《个人信息保护合规审计管理办法（征求意见稿）》

隐私工程实践路径系列：PIA篇（下）技术助力

智能网联汽车如何做好用户告知

用九智汇分享：《数字经济合规实务》

数据分类分级-结构化数据识别与分类的算法实践

数据分类分级-隐私管理与保护

“Autosec 安全之星” 用九智汇再获殊荣！

汽车智能网联时代如何解决用户隐私问题？

数据分类分级-敏感数据识别工程实践

用九智汇参编《隐私工程白皮书》正式发布，附下载链接

喜讯！用九智汇入选IAPP中国区服务供应商

这家母公司位于中国的企业因数据问题遭到CNIL处罚！

垦丁律师事务所麻策律师一行到访用九智汇交流合作

用九智汇通过ISO 27001、ISO 27701双重认证

我撒过最多的谎：已阅读并同意相关协议

用九智汇受邀参加WELEGAL与六和律师事务所线下沙龙活动：《数据如何合规出境》

用九智汇入选《数据安全保护义务履行参考案例集》

数字水印在知识产权保护中的应用？

最新！H&M因隐私问题遭到瑞典IMY处罚

第三方SDK合规浅析

关于个人信息权利与响应，你知道多少？

深度分析：EDPB跨境数据合规指南-BCRs认证

深度分析：EDPB关于GDPR下行政罚款计算的指南V2.1

GDPR开发者指南

智能网联汽车行业数据合规解决方案（上）

企业出海数据合规：选择加入和选择退出

企业出海数据合规：CCPA与CPRA的关系

企业出海合规：GDPR和CCPA差异知多少

EDPB-关于在联网车辆和移动相关应用中处理个人数据的第01/2020号指南2.0版（全文翻译）

智能网联汽车行业数据合规解决方案（下）

企业出海如何做好网站Cookie合规

企业出海数据合规：“躲不了”的GDPR域外管辖