全球隐私及数据保护法律政策动态报告（上）

腾讯互联网法律研究中心 

2014年第3季度

一、重点摘要

欧盟在cookies治理方面的努力已经进入了执行阶段。cookies的存储和使用涉及到用户的隐私和数据安全等重要方面，因而得到了欧盟足够的重视。不仅是欧盟成员国，在整个欧盟层面都推动着新指令的执行。新的《欧盟cookies指令》要求网站就存储cookies以及在电脑及其他网络连接设备上恢复信息等问题获得访问者同意。此外，在2014年5月欧洲法院就搜索引擎与被遗忘权一案作出判决，要求谷歌等搜索引擎及时处理用户删除的请求，但随后的执行不仅没有达到立法者的期待，同时也给数据处理这一新兴产业带来了巨大的人力和经济成本。欧洲监管部门正着手起草指导文件，为申请删除与个人信息相关的搜索结果但被Google等搜索引擎拒绝的用户提供指引。

移动互联网时代的到来，不仅给人们的生活方式带来了颠覆性的变化，对于政府管理机关也是一个新的挑战。鉴于移动应用服务领域发展迅猛，美国联邦贸易委员会开始逐渐加强了对移动应用领域的监控、治理和指引，包括个人金融数据隐私的保护以及安全性等方面。在数据保护方面，微软被美国政府要求披露存储于海外的数据，微软拒绝而两方卷入了司法诉讼。微软案的判决也引起了美国议员的高度重视。以哈奇(Hatch)议员为首的三位议员致力于修改已经执行了30年之久的数据保护法案《电子通信保密法》。在隐私层面，学生数据隐私成为全美国的热点问题，不仅在联邦层面隐私立法正在完善，美国多州都在进行着学生隐私法的修改，根据Data Quality Campaign的统计，在美国有32个州83项相关议案正在讨论或审议之中。在数据安全层面，美国众议院于7月28日通过三部法案，分别是《国家网络安全和关键基础设施保护法》、《关键基础设施研究发展进步法》，以及《国土安全网络安全人力资源法案》。

在全球范围，在公民隐私和数据保护方面呈现出了两种相反的趋势，以俄罗斯、澳大利亚、英国为代表的国家不断加强对互联网以及电子设备的管控，公民的权利逐渐受到威胁，而以德国、土耳其、菲律宾等国家则致力于不断完善隐私法的修改，为保护公民隐私提供法律基础。

二、欧盟

（一）欧盟实质性开展Cookies清扫行动

为持续保护网络隐私，欧盟数据保护机构于9月15-19日开展发起了“欧盟Cookie行动”，对多家网站以及移动应用进行了审查，确保《指令2009/136/EC》（又称《欧洲Cookie指令》）的有效执行。

《欧洲Cookie指令》替代了原有的《隐私与电子通讯条令》。在原指令下，电子商务服务商在其网站上使用cookies功能自动存储用户信息是合法的，也无须就此征得用户(包括消费者)的事先同意，这种立法取向是建立在对cookies的实用性认识基础上的。

新的《欧盟Cookies指令》要求网站就存储cookies以及在电脑及其他网络连接设备上恢复信息等问题获得访问者同意。对于所有受新指令调整的网站而言，即便用户已同意，用户的cookies只能存储在用户自己的电脑上，也只能从用户的电脑上获取，在此之前还应向用户提供“清楚和全面的信息”。但是，新指令设置了一项例外，即如果指令调整的cookies对于末端用户要求的服务条款而言是极其重要的情况下，或者信息存储只是为了进行网络沟通的目的时，可以不受指令调整。

根据 TRUSTe的报告，只有12%的前50英国网站有遵循欧盟的Cookie指令，有在网站上弹出窗口或挂出Banner或标签告知该站点上的Cookies信息手机，而在法国和德国几乎没有网站采用欧盟的这一指导规范。该调查显示前50的法国网站的第三方cookies下降数量 (434) 是荷兰 (237) 的两倍，而英国和德国则分别下降了406个和319个。在用户对Cookies法案的感知方面，81%的英国人了解浏览器的cookies，63%的人知道欧盟Cookies的隐私指南。

（二）欧盟数据保护机构拟制定“被遗忘权”指导文件

欧洲监管部门正着手起草指导文件，为申请删除与个人信息相关的搜索结果但被Google等搜索引擎拒绝的用户提供指引，预期将在11月底发布。该文件将对公民申请进行分类，帮助管理机构权衡用户的隐私权与公共知情权，判断某一条信息是否应该留存。具体的衡量标准包括该人的公共角色、信息是否与犯罪有关以及信息留存在网络中的时间。指导文件的出台旨在帮助Google等搜索引擎有效地执行2014年5月欧盟法院要求删除相关搜索结果的判决。

Google目前在欧洲市场占有80%的份额，自欧洲法院判决之后已经收到了12万个来自欧盟用户要求删除相关搜索结果的请求，其中内容包括犯罪记录、大尺度照片以及新闻负面报道等等。欧洲法院判决的出台引起了有效性地激烈讨论，支持言论自由者主张被遗忘权的引进将导致“清除所有历史”，但隐私支持者则认为被遗忘权只是在一定程度上保护个人的信息。