前言

2019年10月1日，欧盟法院（CJEU）就编号为Case C-673/17的涉Cookie案件做出判决，此裁判主要涉及在线游戏公司Planet49组织的彩票活动，德国消费者组织联合会向德国法院就德国公司Planet49在推广在线游戏中使用预选框取得用户同意以保存Cookie的形式提起诉讼，德国联邦法院请求欧盟法院就欧盟有关保护电子通信隐私的法律进行解释。该判决强调，通过“预选框”的方式所取得的用户同意，不能作为有效同意，因为数据处理者无法假设未取消要求的人会积极参与。

本案在全球引起广泛关注和强烈反响，其属于欧盟涉及Cookie运用规则的里程碑案件，也是欧盟《一般数据保护条例》（GDPR）持续贯彻适用过程中的最新司法判例，对于欧盟个人数据保护乃至互联网治理的后续发展具有风向标意义。

一、欧盟法院Cookies案件的具体背景与案情

此案与在线游戏公司Planet49组织的在线彩票有关：在参加彩票活动之前，用户必须输入他们的姓名和邮箱地址，并在显示两个复选框之前，可以点击参与按钮，至少在第一个复选框中打勾，则才有可能参加彩票。

第一个复选框要求用户同意从选定的赞助商和合作伙伴处接收营销信息，并且此复选框未预先选中，此处用户可以自主选择特定的赞助商与合作方的营销消息。但是，第二个复选框已预先选中，网络运营者的这一设计主要是想更大概率的取得用户同意Cookie收集，并将这些信息用于广告目的和分析。

在第二个复选框旁边的描述中，向用户提供了有关Cookie的用途、网络分析服务提供商的简要信息、关于用户可以随时删除Cookie的事实。通过单击描述中的链接“您可以在此处了解更多信息”，可以为用户提供有关所安装的Cookie的更多详细信息，包括Cookie功能的简短描述以及Cookie可以跟踪用户的事实、注册了相关网络分析服务的广告合作伙伴的网站。同时网站进一步规定，将不会创建涉及多个广告合作伙伴的用户资料。

德国消费者组织联合会将Planet49公司诉至德国法院，声称有关的用户同意取得方式不符合德国对于欧盟2002/58电子隐私指令（the ePrivacy Directive）的适用。

德国联邦法院（Bundesgerichtshof）在受理此案时，发现对法律的解释以及法律的适用存在争议。此案主要涉及欧盟第2002/58号电子隐私指令（电子隐私指令the ePrivacy Directive）和欧盟第2016/679号条例（一般数据保护条例EU General Data Protection Regulation）以及欧盟第1995/46号指令（欧盟数据保护指令）的适用问题。

关于95/46指令和2016/679条例的适用性问题，2017年7月14日，德国联邦法院进行最后一次听证会，根据2016/679条例第94(1)条，自2018年5月25日起，95/46指令被该条例替代，而移交欧盟法院时，2016/679条例并未正式施行。但是德国联邦法院在法庭听证会上陈述认为，联邦提出诉讼程序要求Planet49禁止未来的某种行动，这并非是不可想象的。据移交法院查明，根据国家判例中有关禁令法律地位的论述，2016/679条例可以适用于本案。

而针对争议问题，德国联邦法院决定中止诉讼程序，并将下列问题提交欧盟法院进行初步裁决：

1、(a)如果通过预先选中的复选框允许网站存储信息或访问已存储在用户终端设备中的信息，用户需要取消选中该复选框以拒绝其同意，这是否构成2002/58指令第5（3）条和第2（f）条，以及95/46指令中第2（h）条含义范围内的有效同意？

(b)结合2002/58指令第5（3）条和第2（f）条和95/46指令中第2（h）条来看，储存或访问的信息是否为个人数据，在结论上是否会有差异？

(c)在问题1（a）中提到的情况下，是否构成2016/679条例中第6(1)(a)条含义中的有效同意？

2、服务提供者需要根据2002/58指令第5（3）条向用户提供明确而全面的信息都包括哪些？是否包括Cookie操作的持续时间和第三方是否可以访问Cookie等信息？

二、欧盟法院Cookies案件的判决内容与主要指向

（一）预先选中的复选框不是获得有效同意的方法

欧盟法院认为，第2002/58号指令第5（3）条规定，成员国应确保，只有在给用户提供了明确和全面的信息，特别是关于处理目的的信息后，才允许访问已存储在用户终端设备中的信息，但是这不应妨碍只是通过电子通信网络传输通信而进行的任何技术存储或访问。

根据该解释，用户必须采取行动才能表示同意。在这方面，从第2002/58号指令的第17条中可以清楚地看出，就该指令而言，可以通过任何适当的方法来表示用户的同意，从而可以自由、明确、知情地指示用户的意愿，包括“通过访问互联网网站时在方框中打勾”。

第2002/58号指令第2（f）条规定，用户的“同意”相当于第95/46号指令中的用户的同意。而第95/46号指令中第2（h）条规定，用户的同意“是指就其意愿而自由地作出的任何具体的和知情的表示，以此表示他同意处理与他有关的个人资料”。第95/46号指令第7(a)条规定，如用户已“明确”表示同意，则用户的同意可使该等处理合法。只有数据当事人主动作出同意的行为，以声明或“明确的肯定行动”的形式表示的愿望，才能表示同意处理与他或她有关的个人资料。

因此，现在明确规定了主动同意才可符合该项规定。“就其意愿”的要求显然是指积极的而不是消极的行为。然而，在复选框中以预先选择的标记形式给出的同意并不意味着网站用户的积极行为，也不是“明确”表示同意的行为。同时这个“意愿”必须是“具体的”，因为它必须特别与有关数据的处理有关，而不能从用户为其他目的而提出的意愿的指示中推断出来。

第2016/679号条例第6(1)(a)条规定，同意必须是任何自由给出的、明确的、知情的和明确的数据主体意愿的陈述，完成说明或明确的赋权动作。第2016/679号条例第32条规定，同意须以明确的肯定行动表示，明确表示资料当事人同意处理与他或她有关的个人资料，例如以书面声明，包括以电子方式或口头声明。这包括在浏览互联网网站时勾选方格、选择资讯社会服务的技术设定，或者在此情况下清楚表明用户接受处理其个人资料的另一项声明或行为。因此，沉默、预先标记的空格或不作为不应构成同意。

此外，同意应包括为同一或多个目的而进行的所有处理活动，当处理有多个目的时，所有的目的都应该得到同意。如果以电子方式提出要求，必须获得用户的同意，则该项要求必须清楚、简明，并不得对所提供的服务的使用造成不必要的干扰。

欧盟法院确定，第2002/58号指令要求的用于存储或访问Cookie的同意必须符合第2016/679号条例的同意要求，这等于确认了欧洲数据保护委员会（EDPB）在其关于第2002/58号指令与第2016/679号条例之间相互关系的第5/2019号意见中的立场。

综上所述，对于Planet49在其在线彩票中使用复选框的事实而言，首先，如果用户必须通过取消选中复选框来反对使用Cookie，而不是相反地采取行动，则这并不构成同意行为，因为同意机制应包括以下各个主要要素：（1）具体告知、（2）事先同意、（3）用户的积极行为和（4）自由选择的能力。

欧盟法院指出，网站应当采取一种机制，规定“在征得同意的时间和地点，就Cookie的使用提供清晰、全面和可见的通知”，并且用户必须能够访问所有必要的信息，包括有关网站使用的Cookie的不同类型或目的的信息。如果用户参加彩票而没有取消复选框，则不知道用户是否真的确认了该复选框，在此意义上，不能确定用户是否做出了明智的选择。

Planet49并未辩称用户未取消预先制定的同意声明即构成有效同意，相反地Planet49辩称，当用户积极单击在线彩票的参与按钮时，这些用户会给予有效同意。但是欧盟法院驳回了这一论点，理由是同意必须特定地指向相关个人数据的处理，并不能源自对具有不同目标的愿望的暗示，而在本案的情况下，参加彩票活动和同意Cookie的运作无法捆绑在一起。

因此，如果仅通过预先选中的复选框允许用户存储Cookie或访问用户终端设备上已经存储的信息，用户必须取消选中该复选框以拒绝他的同意，则并不构成第2002/58号指令及第2016/679号条例所指的有效同意。

（二）无论所存储或访问的信息是否构成个人数据，均适用第2002/58号指令

欧盟法院裁判强调，Planet49组织的彩票活动中，用户必须在彩票注册表中输入其姓名和邮箱地址，同时被分配一个注册码，而安装在用户终端设备上的Cookie包含该注册码。欧盟法院认为，当用户使用互联网时，通过联系该注册码和用户注册信息，能够产生自然人（用户）和Cookie所保存的数据之间的联结，因此通过Cookie收集该注册码是一种处理个人数据的方式。这些判断也得到了Planet49的确认，Planet49在其书面意见中指出，第二个复选框所指的同意旨在授权收集和处理个人数据，而不是匿名数据。

欧盟法院进一步主张，第2002/58号指令的目的在于保护用户免受对其私人生活的任何干扰，而不论这种干扰是否涉及个人数据。此外，第2002/58号指令是强调“信息存储”和“获得对已存储信息的访问权”的概念，而没有将该信息限定为个人数据。因此，基于第2002/58号指令的目的，存储或访问的信息（或Cookie）是否构成个人数据并不产生实质影响。

（三）第2002/58号指令中网络服务运营者的信息义务还包括Cookie的运行期限以及是否允许第三方访问Cookie的问题

欧盟法院主张，根据处理个人数据时的公平性原则，在本案情况下，Cookie被用于收集有关在线彩票合作伙伴产品的广告目的的信息、Cookie运行的持续时间以及是否允许第三方访问Cookie这三个问题应当构成第2002/58号指令要求的“清晰而全面的告知”的组成部分。

欧盟法院认为，很明显，在用户的终端设备上存储或访问Cookie时，必须遵守告知要求，而第2016/679号条例也遵循这一要求，即所要收集的信息应该是清晰而全面的告知用户。根据上述要求，要提供的信息必须包含Cookie运作的持续时间以及第三方是否可以访问这些Cookie。

那么，网络服务运营者必须向用户提供有关Cookie使用的哪些告知？

为使告知变得“清晰且全面”（如第2002/58号指令所要求的），必须明确告知用户第三方是否有权访问Cookie数据集，如果有权访问，则必须披露这些第三方以及第三方访问Cookie收集的数据。此外，必须明确说明Cookie的运行持续时间，数据保留期限（即Cookie的到期日期），还必须告知用户他们可以全部接受、部分接受或者完全不接受Cookie的方式，以及将来如何更改其Cookie设置。关于Cookie的告知必须是某种特定的方式，以允许用户“能够容易地确定他可能给予的任何同意的后果……并能够评估其行为的效果”。

另外，关于以获得同意为条件提供服务的问题，在确定是否构成“自由给予”同意时，需要考虑的因素之一是用户是否可以在不同意处理个人数据的情况下访问所提供的服务（即“捆绑式同意”）。当然，禁止捆绑同意不是绝对的原则，其关键因素是所提供服务的“基本目的”：如果处理的个人数据对于提供该服务的基本目的是必不可少的，那么该服务需要获得同意。在Planet49的业务中，参与彩票活动的基本目的是“销售”个人数据（即用户同意通过第一个复选框与之联系以获得促销优惠）。由于用户参加彩票的主要要求是提供数据字段所要求的个人数据，因此处理此个人数据对于参与彩票是“必要的”。

（四）Cookie的使用必须符合GDPR（2016/679条例）

欧盟法院在Planet49案中确认了欧洲数据保护委员会（EDBP）和国家监管机构的实践做法，但是没有明确地特别提及这些立场。欧盟法院认为，尽管受到特殊法规也即第2002/58号指令的约束，但使用Cookie和其他在线跟踪方法和技术（例如Flash Cookie、标签、脚本、像素以及设备指纹等）的同意仍无法回避GDPR中规定的同意要求。

对此，欧盟法院认为通常必须在整个欧盟范围内对欧盟法律进行自洽和统一的解释。法院在此声明中隐含地承认了第2002/58号指令的各种国内法落实方式和来自各个成员国国家监管机构的不同实务做法。但是，由于这些差异在一个以上的成员国中运营时可能会导致法律上的不确定性，欧盟法院希望欧洲数据保护委员会（EDPB）或即将颁布的《欧盟电子隐私条例》能够解决这一问题。

三、欧盟法院Cookies案件的主要影响与启示

在司法层面而言，欧盟法院的这一裁判对“用户同意”做了一个非常细致的解释，网络服务提供者在存储或者获取用户Cookies时，必须获得用户积极主动的同意，例如在本案中，取消预选框的行为并不是用户积极主动的同意行为，不能构成有效的同意，实质上意味着在类似本案的场景中，征得用户同意的方式与GDPR中的同意是相同的。

与此相呼应，在执法监管层面，整体而言欧盟境内各国数据保护机构越来越重视Cookie的合规性，无论是在线行为广告还是各类场景中的应用程序：例如德国巴伐利亚州数据保护机关对40个大公司在各个领域的Cookie做法进行了审计，但没有发现任何一家经过审核的公司的Cookie做法合规，因此可能会受到罚款。而欧洲数据保护委员会（EDPB）还决心推动欧盟立法者完成新的《欧盟电子隐私条例》，以取代当前的第2002/58号指令，将可能会看到对Cookie要求的重大革新。

在商业运营层面，欧盟的Cookie判决为企业的合规操作提供了直接的行为指引：公司和企业必须修改“以继续浏览本网站即表示您同意使用Cookie”（或类似形式）为基础的Cookie标语，以实现明确的选择进入同意（Opt-in）方法。在获得明确的选择进入同意之前，应确保没有设置Cookie。如果提供或访问服务必须给予同意，则应确保该场景中收集特定的个人数据是提供服务所必需的。

在更具体的实操层面，随着GDPR合规要求的激增，对Cookie做法的监管审查通常使许多企业焦急寻找恰当的解决方案，对于使用Cookie且需要征得同意的公司和个人而言，欧盟法院Cookie判决实质上强调了一种实操方案：

（1）审查Cookie同意机制，并特别审查有关使用预选框的机制的存在情况。使用预先勾选的同意框不会形成有效的Cookie同意，对此必须引入相应的替代机制；

（2）审查Cookie政策，并确保用户收到有关Cookie操作的持续时间以及是否允许第三方访问这些Cookie的明确告知。