“是否同意使用Cookie”是如何变复杂的

近十年之后，德国法律第一次在Cookie问题上转换和执行了欧盟《电子隐私指令》的相关内容，符合了《通用数据保护条例》相关原则。

在欧盟境内，每打开一个网站，都会弹出一个征集用户同意的Cookie横幅提示，大部分提示都不会在首页呈现“拒绝”的选项，用户必须点击“设置”，从而进入下一个页面，再逐一撤销已经提前勾选好的选项，这样的设计会让用户不堪其扰，最终放弃耗时耗精力的“拒绝”之路，干脆直接点击“同意”。

下个月，德国的《电信和电信媒体数据保护法》（TTDSG）即将生效。其中第25条就是关于使用Cookie及类似技术如何征得用户同意的问题。新法律面世，很多人在问： Cookie条幅“泛滥成灾”的现象即将在德国消失了吗？

TTDSG是将德国已有的《电信法》（TKG）和《电信媒体法》（TMG）进行合并的、调整了与《通用数据保护条例》（GDPR）和《电子隐私指令》（ePrivacy Directive）一致性的、在欧盟《电子隐私条例》（ePrivacy Regulation）最终出台之前，起到过渡作用的法律。

在这之前，在Cookie监管问题上，德国的相关法律并不符合欧盟出台于2002年、修订于2009年的《电子隐私指令》。德国的《电信媒体法》允许使用跟踪Cookie和类似技术，只要它以匿名的方式，同时，用户没有提出反对。这和《电子隐私指令》中必须征得用户主动同意的规定是相悖的。这种相悖在2019年欧洲法院（EuGH）和2020年德国联邦最高法院（BGH）的判决中得到体现：用于广告目的的对Cookie的使用必须获得用户的主动同意，而由互联网服务提供商事先勾选的同意无效。即同意的获得必须使用选择加入（opt in）的做法，而非选择退出（opt out）。通俗地讲就是，用户没说“不”，不等于同意，主动说“是”了，才叫同意。

新的TTDSG中规定，Cookie及类似技术的使用只有在用户对使用目的完全知情并明确表示同意的情况下才被允许。和《电子隐私指令》中的内容一致。TTDSG并强调，“同意”须符合欧盟《通用数据保护条例》中的规定。《通用数据保护条例》中规定的数据主体的“同意”，即自由、具体、知情和不含糊地表达数据主体意愿的行为。

也就是说，近十年之后，德国法律第一次在Cookie问题上转换和执行了欧盟《电子隐私指令》的相关内容、符合了《通用数据保护条例》相关原则。

TTDSG还给出了征集同意的两种例外情况：使用Cookie的唯一目的是实现公共电信网络上的通信传输，或者提供给用户明确要求的服务，而没有该Cookie，则无法实现信息传输，或无法提供用户要求的服务。在法律条文措辞表述上，TTDSG和《电子隐私指令》2009年修订版几乎一摸一样。不过，看上去似乎不含糊的条文，对它的解读却是有差异的。

欧盟数据保护第29条工作小组（Art.29WP）在2012年曾对《电子隐私指令》中的该例外情况进行过详细解读。解读报告指出，例外情况中的第二种情况，对“没有该Cookie则无法提供服务”的判断，只能出自用户的角度，而非服务提供商的角度。可能发生的情况是，网站方愿意如此逻辑自洽：没有用于广告目的的Cookie，网站就无法运营，网站无法运营，就无法提供用户想要的服务。

该报告还指出，是否符合例外情况的衡量标准不仅仅是Cookie的类型，而更在于Cookie的使用目的。在技术特征上，可以将Cookie区分为临时的session cookie，或者持久性的persistent cookie；第一方Cookie，或者第三方Cookie。报告称，第一方session cookie，比第三方persistent cookie在几率上更符合指令中例外情况的标准，但技术特征不是决定因素，而是使用目的。报告罗列了一些无须征得用户同意的情况，最常见的是用于临时保存的用户输入信息的Cookie，比如在线购物时的将商品放入购物车，比如在线银行的登陆等。而跟踪用户的社交插件、用于广告的第三方Cookie，第一方分析Cookie等则都属于必须征得同意的范畴。

除了哪些情况需要征得用户同意、如何理解“同意”，还有另一个存在争议的问题是如何征得用户的同意。就征集用户同意的方式，TTDSG只给出了一些标准，比如：用户友好、符合竞争原则，该解决方案由独立于网站、不涉及利益的第三方提供等等。这里涉及到被广泛讨论的个人信息管理系统（PIMS），但是，这样的系统以怎样的技术标准、什么方式、什么时候出现，并不明朗。

其实，对使用Cookie的同意或拒绝，本来是一件非常简单的事情，但是一些网站通过一定的界面设计，以操控和引诱用户做出特定的举动，该举动通常不符合用户的自身意愿，即所谓的黑暗模式（Dark Pattern）。总之，将简单问题复杂化的唯一目的，就是千方百计得到用户的同意。

2019年底，研究者在《 (Un）informed Consent: Studying GDPR Consent Notices in the Field》报告中指出，研究通过抽样调查对德国一千家网站进行了调查发现，其中57.4%的网站使用黑暗模式，以推动用户授权同意。

去年初，据研究报告《Dark Patterns after the GDPR》，研究团队对英国的一万家网站上的五种最流行的同意管理平台（CMP）工具进行了分析并发现，黑暗模式和暗含的同意无处不在，只有11.8%的网站符合欧盟法律的最低要求。研究进行了一项关于“设计如果影响用户决定”的实验，发现，如果在第一个页面不显示“选择退出”的选项，用户同意的几率提高22%-23%。研究者给出的建议是，只有在弹出的Cookie提示中，直接显示所有的包括简练但全面的说明的选项，而不能要求用户进入下一个页面，这样获得的同意才有效。研究者还提出，另一个解决方法则为必须遵守浏览器里的“Do not track”功能设置立法。当然，鉴于利益方有着强大的游说势力，研究者对此并不抱希望，他们并不认为，第二种解决方式能在未来的《电子隐私条例》里得到体现。其实，“Do not track”技术可能性已经存在，可是网站方选择忽略它。

TTDSG最终能否给德国的网站访问者带来Cookie的集中设置，从而一劳永逸，或者退而求其次，一点开网页，就能一键拒绝，还不得而知。不过，很多专业人士并不乐观，因为TTDSG作为欧盟《电子隐私条例》出台之前的过渡法，不太可能在德国境内率先解决Cookie的同意问题。