如何遵守Cookie法规并尊重网站访问者的隐私

如果您拥有一个主要服务于欧盟或欧洲经济区国家中任何一个的网站，则以下词语可能会使您不寒而栗：“ Cookie Law”。如果您根本不知道这意味着什么，则可能需要对自己进行一些教育，然后才能将网站投放到欧盟的客户和观众.

什么是Cookie法则?

臭名昭著的“饼干法”（Cookie Law）最初于2009年作为欧盟指令的一部分进行编纂，然后在2011-2012年得到更大程度的实施，直到现在在欧盟成员国中全面生效。欧洲议会和理事会在第2002/58 / EC号指令第5（c）条中写道：

“成员国应确保使用电子通信网络 仅在向有关订户或用户提供了清晰而全面的信息的情况下，才允许存储信息或访问订户或用户的终端设备中存储的信息 根据指令95/46 / EC，尤其是关于处理目的，并且 提供了拒绝数据控制者进行此类处理的权利. 这不应阻止仅出于执行或促进通过电子通信网络传输通信的目的而进行的任何技术存储或访问，或为提供订户或用户明确要求的信息社会服务而绝对必要的任何技术存储或访问。”

该法律的一部分相当简单：未经用户同意，您无法存储任何用户的信息。当然，这在网站所有者和网络技术公司之间引起了不小的惊慌，因为该措辞通常似乎特别针对Cookie。整个法律被过分批评，因为它过于含糊，同时使许多网站所有者面临更多的疑问而不是答案。.

即便如此，同时服务于欧盟和非欧盟客户的网站却处于中间位置，想知道他们是否必须全部或部分遵守法律。网站服务器位于欧盟，但主要不为欧盟客户提供服务的网站所有者，可能还有更多问题.

虽然对“ Cookie法”产生的许多问题没有简单的答案，但网站可以通过某些方式停留在该法的右侧，并提供了一些明显的示例。英国网站所有者也可能选择加入反对Cookie法的斗争，这与英国软件公司Silktide所做的方式非常相似.

鉴于负责执行“ Cookie法”的英国政府信息办公室（ICO）不会在其自己的网站上以弹出形式显示Cookie通知，因此英国网站所有者也可以选择按照其领导方式保持合规。也就是说，法律仍然存在，而完全忽略它可能不是您的最佳选择.

如何遵守Cookie法规

从正面（或令人沮丧的）角度来看，确实没有任何一种方法可以保持遵守Cookie法规。但是，如果您希望以一种“包罗万象”的方式保持合规性，例如，您的网站在整个欧盟（包括英国）都合规，那么这里有一些提示和一些著名的例子.

1.有一个网页，解释什么是cookie以及您的网站如何使用它们

特别是对于英国网站，这也许是保持合规性的最佳方式。这也是信息专员办公室用于其自己的网站的方法。尽管ICO解释说这可能不是 最好 或大多数 有效 保持合规性的方法（就英国网站而言），它还指出这是在英国完全可以接受的方法，并且可能适合迎合其他国家/地区的网站.

ICO网站的主页底部有指向其Cookie页面的链接。在其Cookie信息页面上，他们列出了网站使用的每个Cookie的名称以及这些Cookie的用途.

您还会注意到，ICO在页面底部放置了有关如何更改Cookie设置的信息，包括有关如何在所有网站上选择退出Google Analytics（分析）跟踪的信息.

2.可选：弹出消息或横幅提供cookie信息

许多网站已使用此选项。一个很好的例子可以在英国博彩网站上找到 必发：

必发的Cookie政策页面相当广泛，因为该网站出于多种原因使用了大量Cookie。与ICO不同，Betfair不会命名其使用的每个cookie。取而代之的是，它只列出了一些名称，但选择着重于为不同类别的Cookie提供解释.

有关： 如何使用VPN从国外访问必发

当然，这种方法会带来一些困难。弹出窗口可能会使站点访问者感到烦恼，尤其是当弹出窗口以侵入性和侵略性的方式出现时。此外，现在许多人正在使用弹出窗口阻止程序，它们会阻止您的消息一开始就被实际看到。就是说，弹出消息本身并不是一个很好的解决方案，因为您还需要一个详细的页面来说明什么是cookie，您的网站如何使用它们以及用户如何禁用它们。.

更复杂的是，如果仅依靠弹出方法，则在处理具有多个用户的计算机时可能会遇到问题。 《饼干法》要求您付出一切 个人用户 拒绝Cookie的权利。这意味着您必须有一个弹出窗口 每次IP地址在您的网站上注册时, 不只是第一次.

有关： 最好的弹出窗口阻止程序是什么？我们测试了12个

3.包含有关如何禁用cookie的信息

除了提供有关什么是Cookie以及您的网站如何使用它们的信息之外，请确保您提供有关用户如何使用Cookie的信息 禁用 饼干。您可以通过以下两种方法之一来执行此操作。首先，也许是最简单的方法，是在弹出窗口中包含一个链接，该链接将用户带到他们的浏览器设置以轻松禁用cookie，或链接到一个说明如何在不同浏览器上执行此操作的网页。这是英国网站目前正在做的事情，但不是全部，包括王室的官方网站和BBC的网站：

4.将您的Cookie通知和合规性外包给第三方

多家软件公司现在提供工具（免费和付费），可帮助您在整个网站上实现Cookie通知合规性。鉴于您需要在发布的每个网页上提供对这些信息的访问权限，因此需要确保顺利且即时地进行发布。提供这些服务的公司和政府组织包括：

• Optanon
• 丝浪潮
• 公民
• Cybot
• 欧盟委员会
• 饼干切割
• Cookie-Script.com

您网站的 尺寸 您可能决定使用哪种第三方服务。如果您对所有内容撰写者都拥有单独的发布权，那么您可能需要设置一个网站范围的政策，该政策要求发布者在发布前附加一个通用脚本。如果您的网站使用WordPress，则可以在内容作者点击发布之前将其作为要求.

美国网站是否必须遵守Cookie法?

尽管对欧盟国家和网站的合规性感到困惑，但对于美国网站所有者而言，情况就更加模糊了.

例如，像Facebook这样的网站为包括欧盟在内的世界各地的人们提供服务。但是，尽管从那里访问了大量用户，但Facebook的主要受众不是英国和欧盟居民。 Facebook是否必须遵守法律?

Facebook是一个众所周知的用户跟踪庞然大物，甚至可以跟踪从未实际登录或登录过该网站的个人。具体来说，Facebook使用已知的“ datr” cookie来跟踪访问其网站的任何人。该Cookie的寿命为2年，这意味着即使从未在Facebook上实际创建过帐户的人也可以被该网站跟踪长达2年。比利时因此尝试将Facebook每天罚款265,000美元（250,000欧元），并使用欧盟的“ Cookie法”作为辅助立法.

尽管法院最初支持比利时，并命令Facebook停止追踪非用户，但据《卫报》报道，布鲁塞尔上诉法院推翻了该裁决，“理由是比利时无权监管社交网络，因为比利时的欧洲业务基础尽管爱尔兰也是欧盟成员国，但该裁决进一步巩固了以下事实：必须在每个州的基础上进行执法.

这对美国网站意味着什么?

该裁决确立了对法律的两种潜在解释：

• 一般而言，其服务器位于美国的任何网站都可能不受欧盟隐私法律的约束

• 任何在欧盟设有服务器的美国站点都可能受到法律的约束 在这些服务器所在的国家/地区

这仅是我们对该法院裁决的解释，不应视为专业的法律建议.

如果您的服务器在美国：

看来，在美国拥有服务器的美国站点（但主要服务于欧盟受众）可能不受Cookie执法的约束。可以说，鉴于执法是在州一级进行的，并且服务器位置似乎是管辖权的决定因素，因此美国站点可能“坐立不安”。.

也就是说，美国与欧盟之间签署的“隐私保护盾”协议可能会导致美国政府允许此类诉讼向前发展。简而言之，“隐私保护盾”是美国和欧盟之间制定的协议，旨在为横跨大西洋的公司创建隐私合规协议。因此，尽管表面上在美国没有服务器的美国网站可能不受罚款，但如果欧盟内的个人或政府根据“隐私保护”法规提出投诉，这可能不成立。看来这尚未真正发生，但陪审团仍未就此达成共识。.

如果您的服务器在欧盟范围内：

对于服务器位于欧盟的美国站点，Facebook的成功吸引力似乎也巩固了这样一种观念，即一个网站必须根据其服务器位置受到欧盟隐私法律的约束。 Facebook的成功吸引力在于其服务器不在比利时。因此，这意味着，如果爱尔兰的数据保护专员决定就Facebook使用跟踪cookie提起诉讼，那将是成功的.

也就是说，众所周知，一些爱尔兰国家（例如爱尔兰）避免起诉企业，以更好地吸引国际公司。这导致了一些国家与欧盟之间的斗争，欧盟强调爱尔兰要向苹果收取150亿美元（130亿欧元）的补缴税款.

这确实表明，与其他国家相比，某些欧盟国家执行“曲奇饼法”的可能性要小得多，这是更好地竞争国际业务的一种方式，而欧盟监管机构可能会以此为己任，强迫各国对网站所有者进行罚款。遵守法律。至少可以说，对于拥有基于欧盟服务器的美国网站所有者而言，执法可能很不稳定.

不过，如果您的服务器位于欧盟，并且您的网站主要服务于欧盟居民，则您将受到欧盟电子隐私法律的约束。在这种情况下，您最有可能遵循上述建议，以确保遵守法规.

有关： 什么是“隐私盾”及其对消费者和企业的影响?

网站如何使用Cookie

围绕“ Cookie法”产生混乱的主要原因是，它与网站实际使用Cookie的方式有关。可能更恰当地说，部分问题是由于对cookie的实际作用缺乏了解。欧盟在其专门针对此问题的网页上提供了网站可能使用的Cookie的解释：

• 会话cookie
• 永久性Cookie

在这两个之间：

• 第一方Cookie
• 第三方Cookie

在考虑如何适当遵守法律之前，最好考虑一下您的网站如何使用Cookie.

会话（瞬态）cookie

这些是 临时 网站在用户连接到您的网站期间创建并放置在用户计算机上的Cookie。用户关闭Web浏览器后，会话cookie会删除。会话Cookie通常不会从用户那里收集个人信息，尽管它们可以基于网站允许的活动类型来达到此目的。会话Cookie本质上允许网站记录用户访问过您的网站的页面，并有助于防止该用户在不同页面上收到相同的信息（例如，防止重复出现“ Cookie Law”弹出窗口）.

会话cookie对在线银行等网站尤为重要，有助于防止用户在每个页面或在线购物网站上需要重新验证其会话，而这些网站需要在逐页浏览时需要了解购物车中的物品。在大多数情况下，根据欧盟或英国的电子隐私法律，会话cookie并不是一个大问题.

持久（跟踪）cookie

这些Cookie会在他们首次登录网站时放置在用户的计算机上，并且即使在用户离开站点并关闭浏览器后仍保留在该计算机上。这些Cookie的名称为“跟踪Cookie”，因为广告客户通常使用它们来跟踪网站用户在多个网页上的移动，并根据用户的浏览和搜索方式创建有针对性的广告.

永久性或“跟踪” Cookie的创建日期由创建者设置，有时设置为在9999年之前到期。 2015年的ICO研究发现，在其他欧盟国家中，整个英国网站是跟踪Cookie的最大用户（和滥用者）。跟踪Cookie的使用，尤其是那些密切监视用户行为的cookie，是“ Cookie法”背后的主要原因之一.

跟踪cookie不会引起太多关注，因为它们很可能会被滥用。的确，雅虎最近透露，先前报告的对其服务器进行的黑客攻击包括被盗和伪造的Cookie，从而使黑客能够访问用户帐户 无需密码. 这意味着黑客能够复制位于Yahoo服务器上的永久性cookie，创建它们的伪造版本，然后轻松地访问用户帐户。无需蛮力.

第一方Cookie

第一方Cookie是您的网站在用户计算机上生成的任何Cookie。这些cookie上收集的信息将直接发送给您，而与该cookie中存储的信息类型无关.

在涉及电子隐私权法律的地方，只要第一方Cookie出于合法目的，并且只要您获得用户同意对于用户体验不是必需的Cookie，则多数情况下都可以。对于网站提供的服务类型必不可少的Cookie，“隐含同意”有一定的摆动空间，这意味着如果网站本身的性质似乎表明使用了某些Cookie，则无需征求许可。某些网站遇到麻烦的地方以及Cookie法最受关注的地方是何时将该信息出售给第三方，第三方可能会尝试利用这些Cookie中的数据，您的网站滥用Cookie所获取的数据或何时您的网站生成的Cookie并没有实际目的，而不仅仅是收集用户数据（即使不是个人数据）.

第三方Cookie

第三方Cookie是那些 其他 网站放置在网站用户的计算机上。您网站上的第三方Cookie可能来自Youtube等插件，或更常见的是来自您在网站上投放的广告.

第三方cookie是电子隐私法背后的最大关注之一，因为这些cookie有时是恶意的，不仅用于跟踪用户，而且还用于窃取信息。这些第三方跟踪的性质和过程会在用户和网站所有者之间造成利益冲突，尤其是当涉及来自现场广告的第三方Cookie时。如果您的网站使用了第三方Cookie或允许其使用，那么根据Cookie法，您将面临更多后果.

Cookie法律如何执行?

与大多数欧盟指令一样，执法在州一级进行。每个欧盟成员国都必须通过一项法律，以执行电子隐私规则，并建立或执行执行该法律的政府机构。任何未能将指令转化为当地法律的国家都可能招致欧盟的“侵权诉讼”，其中欧洲法院可以对那些未执行该法律的国家处以罚款。.

迄今为止，只有捷克共和国和爱沙尼亚尚未执行指令修正案，而德国则部分执行了该修正案，理由是它们的现行法律已足够.

在英国，相关法律是《隐私和电子通信条例》。该法律最初于2003年通过，在英国进行了修订，以移转与Cookie相关的新欧盟指令，在英国俗称“饼干法”。英国法律由信息专员办公室（ICO）执行.

尽管ICO于2012年开始执行“ Cookie法”，但迄今为止，由于英国法律的实施，此处尚未有任何罚款。确实，在2012年，ICO解释说，执法根本不包括罚款，而是选择对已提出投诉的网站进行查询.

ICO已发布有关违反“ Cookie法”的投诉的程度，表明消费者对此问题的关注程度很低：

关于“ Cookie法”的执行，与组织监视的其他问题相比，ICO在此问题上的优先级较低。 ICO在其Cookie的“我们已采取的措施”页面上指出：

“我们的方法是将重点放在那些无所事事的网站上，以提高对cookie的认识或获得用户的同意，尤其是那些在英国访问最多的网站。但是，由于公众报告的关注水平非常低，我们在这一领域将消费者威胁级别维持在“低”水平。”

英国和欧盟有哪些相关法律?

如果您的网站主要为欧盟居民服务，则合规性可能会发生变化，具体取决于哪个国家/地区在您的业务中所占的份额更大。执法发生在州一级，因此您的合规性通常应遵循大多数访问者来自的国家/地区的法律。下面，我们列出了英国和欧盟主要成员国的基本“ Cookie法”要求.

英国

法： 2011年隐私和电子通信（EC指令）（修订）实施细则

法律语言： 第6条

“ 6 .——（1）在符合第（4）款的规定下，除非满足第（2）款的要求，否则任何人不得存储或访问订户或用户的终端设备中存储的信息.

（2）要求该终端设备的订户或用户—（a）被提供关于该信息的存储或访问目的的清晰而全面的信息；并且（b）已同意.

（3）凡同一人多次使用电子通信网络在订户或用户的终端设备中存储或访问信息，就本条而言，第（2）款的要求就足够了。 ）符合初次使用.

（3A）就第（2）款而言，同意可以由订户表示同意，该订户修改或设置该订户使用的互联网浏览器上的控件，或者使用其他应用程序或程序来表示同意.

（4）第（1）款不适用于以下信息的技术存储或访问—（a）仅出于通过电子通信网络进行通信传输的目的；或（b）为提供订户或用户要求的信息社会服务而严格必须进行这种存储或访问。”

奥地利

法： 电信法（2011）

法律语言： 第96.3条

“第3条第1款电子商务法[E-Commerce-Gesetz]（联邦法律公报I第152/2001号）所定义的公共通信服务运营商和信息社会服务提供商有义务告知订户或用户有关运营商或提供者将收集，处理和传输的个人数据，有关这些活动的法律依据，进行这些活动的目的以及存储这些数据的时间段。只有在用户或用户同意的情况下，才允许收集这些数据。这不应阻止仅出于通过通信网络进行通信传输的目的而进行的任何技术存储或访问，或为使订户或用户明确要求的信息社会服务的提供者提供必要的服务而绝对必要的任何技术存储或访问服务。还应根据嵌入在目录电子版本中的搜索功能将使用可能性告知用户。该信息应以适当的形式提供，尤其是在一般条款和条件的框架内，最迟在法律关系开始时。根据《数据保护法》的知情权将不受影响。”

法国

法： 1978年1月6日法

法律语言： 第32-II条，由2011年8月24日第2011-1012号条例修改

“根据所谓的“电信套餐”，必须在插入示踪剂之前告知互联网用户并征得他们的同意。他们必须有机会选择在访问站点或使用应用程序时不进行跟踪。因此，出版商有义务事先征得用户的同意。此同意书的有效期最长为13个月。但是，某些跟踪器可以免于收集此同意书。”

德国

法律：德国电视媒体法

法律语言：第4节，第14节

“（1）服务提供商只能在允许使用电信媒体和说明使用数据的必要范围内收集和使用用户的个人数据。使用数据尤其如此

1个.

识别用户的功能,

2.

有关开始和结束的信息，以及各自使用和使用的程度

3.

用户使用的电视媒体信息.

（2）服务提供商可以组合有关使用不同电信媒体的用户数据，只要这是与用户进行计费所必需的.

（3）除非用户没有与此矛盾，否则服务提供商出于广告，市场研究或电信媒体的适当设计的目的，可以在使用假名时创建使用情况配置文件。服务提供商应根据第13条第（1）款在通知范围内通知用户其反对权。这些使用情况配置文件可能无法与笔名载体上的数据结合使用。”

西班牙

法： 电子商务和信息社会服务法34/2002

法律语言： 第22.2条

“服务提供商使用设备来存储终端设备中的数据并从中恢复数据时，他们应以清晰，全面的方式告知接收者这些设备的使用和最终状态，使接收者有机会通过简单的方式拒绝接收信息。收费，以便处理其数据。这不应阻止出于执行或在技术上促进通过电子通信网络进行的通信目的，或为提供接收者明确要求的信息社会服务而绝对必要的目的而进行的任何存储或访问数据。”

根据CC BY-SA 2.0许可，Surian Soosay撰写的“欧盟隐私指令/英国互联网Cookie隐私法变更”