作者：許    斌 博士

審閱：葉奇鑫 律師

王慕民 律師

 

全文約1400字，閱讀約需5分鐘

 

12月10日，法國個資保護主管機關國家資訊自由委員會（Commission Nationale de l'Informatique et des Libertés, CNIL）連續發布兩則重磅公告，以違法使用cookie為由，對Google罰鍰1億歐元（約合新台幣34億元）（註1）、對Amazon罰鍰3500萬歐元（約合新台幣11億元）（註2）。

 

●    Cookie與歐盟cookie法

 

Google與Amazon被罰的主要原因，都是因為違反法國個資法使用cookie。Cookie是一種小型文字檔案，網站將cookie儲存於使用者的瀏覽器中，用以追蹤記錄使用者的線上行為資訊。Cookie可能為網站運行所必要，也可能是為了行為分析、廣告行銷等目的。

 

歐盟法中，cookie之使用主要受電子隱私指令（ePrivacy Directive）規範；在cookie可直接或間接識別特定自然人時，亦適用GDPR。法國於2018年修正《資訊技術、資料文檔與自由法》（註3），將歐盟法轉化為國內法。修正後的第82條規定，網站如要使用cookie或其他追蹤技術，須取得使用者事先同意。

 

●    雖有cookie政策還是被罰

 

Google和Amazon的隱私權條款中均包含使用cookie之相關說明。但CNIL於今年上半年分別對google.fr和amazon.fr進行調查，發現使用者訪問兩家網站時，Google和Amazon均會自動將廣告cookie儲存在使用者裝置中。CNIL認為，兩家公司的隱私權條款雖包含cookie相關內容，但皆未向使用者告知cookie已被儲存於本地，亦未說明儲存之cookie係用於廣告目的。這種「默默植入」的行為違反了《資訊技術、資料文檔與自由法》第82條。

 

本次對Google的罰鍰由美國的Google LLC和愛爾蘭子公司Google Ireland Limited分擔。而對Amazon的罰鍰由盧森堡的Amazon Europe Core負擔。雖然受罰公司皆位於法國境外，CNIL認為，由於google.fr和amazon.fr兩家網站直接影響法國數百萬使用者，其依《資訊技術、資料文檔與自由法》第3條享有管轄權。CNIL還說明，使用cookie係歐盟電子隱私指令（ePrivacy Directive）規範之事項，因此兩則裁罰皆不適用GDPR之一站式（one-stop-shop）會員國主管機關合作機制。

 

●    歐盟cookie監理總體觀察

 

近年來，歐盟對於cookie的監理愈加重視。歐盟機構層面，歐盟法院（CJEU）於2019年10月針對cookie條款之「同意」作出裁決（註4），歐洲個人資料保護委員會（EDPB）於2020年5月針對cookie wall議題作出指引（註5）。會員國層面，英國、法國、德國、西班牙、愛爾蘭等會員國於最近兩年內相繼發布專門性的cookie指引，2020年11月底，義大利個人資料保護署（Garante per la Protezione dei Dati Personali，GPDP）亦就cookie指引公開徵求意見（註6）。

 

本次對Google的1億歐元罰鍰不僅是CNIL截至目前所作出的最高額裁罰，也創下歐盟隱私保護罰鍰的新紀錄，將此前的最高紀錄—CNIL對Google的5000萬歐元罰鍰—直接翻倍。這似乎呈現出，歐盟不僅「cookie法」規則越來越豐富，執法與裁罰力度也將隨之增強。

 

據媒體報導（註7），對於CNIL本次裁罰，Google和Amazon分別表示不服。兩家公司得於收到裁罰決定後四個月內，向法國最高行政法院（Conseil d’État）起訴。兩家公司會否爭執CNIL之裁罰決定，達文西個資暨高科技法律事務所將為各位持續關注。

 

 

______________________________

 

註1：CNIL對Google裁罰決定公告原文請見：https://www.cnil.fr/en/cookies-financial-penalties-60-million-euros-against-company-google-llc-and-40-million-euros-google-ireland。

註2：CNIL對Amazon裁罰決定公告原文請見：https://www.cnil.fr/en/cookies-financial-penalty-35-million-euros-imposed-company-amazon-europe-core。

註3：法國《資訊技術、資料文檔與自由法》原文請見：https://www.cnil.fr/fr/la-loi-informatique-et-libertes。

註4：CJEU相關裁決原文請見：http://curia.europa.eu/juris/document/document.jsf?docid=218462&mode=lst&pageIndex=1&dir=&occ=first&part=1&text=&doclang=EN&cid=1486059。

註5：EDPB相關指引原文請見：https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_202005_consent_en.pdf。

註6：義大利GPDP cookie指引意見徵求公告原文請見：https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9498472。

註7：相關媒體報導原文請見：https://techcrunch.com/2020/12/10/france-fines-google-120m-and-amazon-42m-for-dropping-tracking-cookies-without-consent/。

 

 

※歡迎註明出處後轉載。

 

 

延伸閱讀：

• 網站cookie條款不得預先勾選同意！ —德國聯邦最高法院依CJEU見解判決Planet49案：https://www.davinci.idv.tw/news/774。
• 「不同意cookie條款就閃邊」合法嗎？—歐盟EDPB對cookie wall適法性之新見解：https://www.davinci.idv.tw/news/773。
• 愛爾蘭DPC發布新版Cookie指引：https://www.davinci.idv.tw/news/756。