希腊《cookie使用指南》发布
2020年2月25日,希腊数据保护局发布了关于cookie(以及类似技术)使用的指导意见。该指南重申了关于同意的规则,并规定了属于同意豁免的cookie的示例。与管理局之前的立场一致,web分析cookie不能免于同意。该指南还审查了提供信息和获得同意的方法,并列出了不好的做法。数据控制者有两个月的宽限期来调整他们的工作。该指南并不构成对现行管制框架或管理局的个案法的改变,控制者必须遵守这些规定。
指南的建议适用于:
使用HTTP / S Cookie,Flash Cookie,HTML 5的本地存储,设备指纹识别,OS标识符(无论是否用于广告目的:IDFA、IDFV、Android ID等),材料标识符( Mac地址、序列号或其他设备标识符)等。
下面的文档使用术语“跟踪器”来描述这些技术。
获得同意和豁免的义务
1、在设备上使用跟踪器,原则上须取得使用者的同意,不论是否对个人数据进行任何处理。
2、免于获得同意义务的跟踪器是那些在技术上对于连接到网站或提供用户明确要求的互联网服务所必需的跟踪器。
3、无需同意的跟踪器类别(cookie和类似技术)的非详尽列表:
1)为了在整个会话期间进行标识或维护订阅者或用户在该会话期间上传的内容(例如“购物篮”);
2)将订阅者或用户连接到需要身份验证的服务;
3)为了用户的安全;
4)在会话期间执行负载平衡;
5)维护用户对网站呈现方式的偏好,例如语言偏好或保存搜索历史;
6)用于广告目的的跟踪器(网络广告)不能豁免,须获得同意,只有在用户提供了知情同意之后才允许使用;
7)第三方跟踪器(例如用于网络分析目的的Google Analytics)的使用需要用户的事先同意。
不好的实践做法:
1、在不向用户提供相关信息的情况下,使用必要的cookie来操作网站。
2、使用谷歌分析cookie进行统计分析(web分析),只通知用户使用这些cookie,而不向用户提供拒绝使用cookie的选项,甚至不提供有关此类使用的信息。
信息提供的方法和内容
1、可以通过使用适当的机制(例如弹窗或横幅)在提供商的网站上提供信息和同意;
2、允许使用多个层次提供信息,只要至少告知用户使用的跟踪器的类别并征求用户的同意;
3、信息消息(通过弹窗或其他方式)应提供有关每个跟踪器用途的特定信息,而不是有关使用跟踪器的一般信息。
4、对于用于相同目的的每个跟踪器或跟踪器类别,必须说明持续时间、控制者的身份以及数据的接收方或接收方的类别。
5、通知的内容必须易于在任何设备上阅读,它可以显示在任何设备上(便携式设备或桌面)。
不好的实践做法:
1、在通用隐私声明中仅提供有关跟踪器使用的通用信息。
2、弹出窗口中的第一层通知仅限于对跟踪器的使用的一般引用,例如cookie可以获得更好的体验,更好的呈现等。
3、由于没有在不同的设备(便携设备或桌面)上正确显示,通知的文本不易阅读。
如何获得用户同意
1、同意需要用户明确的肯定行动。预先选中的方框、继续使用网站或滚动不构成获得同意的有效方式。
2、允许使用cookie的浏览器设置不被视为同意。
3、在没有任何选择的情况下(既不接受也不拒绝跟踪器),不必使用任何无关紧要的跟踪器。
4、用户必须能够通过相同数量的操作(即点击)接受或拒绝使用非必要的跟踪器(无论是全部或每个类别单独)。
5 、用户必须能够以相同的方式撤回同意,并且与他们同意的方式一样容易。
6、拒绝使用cookie不得导致对网站内容的访问被阻止(避免“cookie墙”)。
7、为了确保用户不会受到“接受”选项优于“拒绝”选项的设计的影响,建议信息提示要同样容易阅读,按钮的大小、颜色和字体也相同。
8、不管跟踪器是被接受还是被拒绝,为了再次询问用户(关于跟踪器的使用),必须在相同的时间之后重新出现弹出窗口;这意味着用户选择的持续时间必须与用户接受或拒绝跟踪器的时间相同,使用跟踪器记住此选择在技术上是必需的。
不好的实践做法:
1、为了获得用户同意只提供一个选择,例如“好吧,我被告知”或“好吧,我同意”。如果不做出选择,无法选择继续无缝使用该网站。
2、在弹出窗口中没有拒绝跟踪器的选项,只有接受所有跟踪器的选项。
3、在点击“更多信息”或“设置”超链接后,只在第二层提供拒绝跟踪器的选项。
4、关闭弹窗或信息框会导致使用不必要的跟踪器。
5、继续使用网站或在弹窗出现后滚动会导致使用不必要的跟踪器。
6、“接受”按钮或“同意”选项的大小和颜色被强调,例如字号大、加粗或预先勾选。
7、弹窗只允许用户接受非必要的跟踪器,并指向一个通用的隐私通知。
8、在用户接受或拒绝跟踪器之后,没有选项可以更改这些首选项。
9、用户接受或拒绝跟踪器后,只能通过更改浏览器设置来更改这些首选项。
10、在拒绝跟踪器的情况下,用户经常被邀请通过弹窗做出新的选择,而如果用户接受跟踪器,则不会出现此类情形。