如果您曾经觉得网站已经将拒绝跟踪 cookie 的简单业务变成了一项涉及仔细阅读多个对话框的迷宫任务,那么法国的数据保护机构将为您提供支持。监管机构 (CNIL) 已对谷歌罚款 1.5 亿欧元(1.7 亿美元)和 Facebook 罚款 6000 万欧元(6800 万美元),原因是让用户无法拒绝 cookie。这些公司现在有三个月的时间来改变他们在法国的方式。
对于 Facebook,CNIL指出,为了拒绝 cookie,法国用户首先必须点击标有“接受cookie”的按钮(强调我们的)。CNIL 说,这样的标签“必然会产生混乱”,导致用户相信他们在这件事上别无选择。
对于谷歌,问题在于不对称而不是标签错误。CNIL指出,该公司的网站(包括 YouTube)允许用户通过单击来接受所有 cookie。但是,要拒绝它们,他们必须单击几个不同的菜单项。显然,用户正被引导到一个恰好有利于谷歌的特定方向。(我很清楚The Verge也不提供单击“全部拒绝”cookie 按钮。)
欧盟法律规定,当公民在网上交出数据时,他们必须自由地进行,并充分了解他们所做的选择。CNIL 的判断是,谷歌和 Facebook 本质上是在欺骗他们的用户,部署所谓的“黑暗模式”——一种巧妙强制用户界面设计的风格——来获取用户同意,从而触犯了法律。因此罚款和要求公司在三个月内更改其 cookie UI 设计。CNIL 表示,如果不这样做,将面临每天 100,000 欧元的额外罚款。
对于任何对欧洲互联网监管细节特别感兴趣的人(你们这些可怜的傻瓜),这个案例也很有趣,因为 CNIL 是在一些被称为 ePrivacy 指令的欧盟立法的授权下行事,而不是最近推出的通用数据保护条例 (GDPR)。
在TechCrunch 上,Natasha Lomas提供了一个很好的解释来解释为什么会这样,我会尽力浓缩。问题在于 GDPR 的执行是通过爱尔兰的数据监管机构进行的,许多美国科技公司将其欧洲总部设在爱尔兰。事实证明,这个特定的机构在处理此类投诉方面有点慢,这只是一个愤世嫉俗的人可能会暗示的一部分,这是爱尔兰政府首先为吸引美国科技资金而培育的友好监管环境的重要组成部分。
因此,为了获得一些及时的执法(或任何执法),法国的数据监管机构已转向较旧的 ePrivacy 指令,该指令允许国家机构在其自己的领土内直接监督。这是一种有效的解决方法,CNIL 之前曾使用 ePrivacy 对 Google 和 Amazon就类似问题进行罚款。与此同时,正如洛马斯指出的那样,谷歌尚未面临爱尔兰数据监管机构根据 GDPR 的单一监管制裁。
这一切的结果是什么?好吧,如果你住在法国,将来某个时候你可能会得到一个更简单的选择来拒绝来自谷歌和 Facebook 的 cookie。当然,这很好,但绝不是那种果断的行动——如果你同意欧盟破碎、多头数据监管的既定愿望——应该纠正科技公司和普通消费者之间的权力不平衡。但这就是饼干崩溃的方式。
