新EDPB指南：不只是Cookie

欧洲数据保护委员会（EDPB）在2023年11月14日发布了关于e-Privacy Directive 2002/58/EC第5（3）条的新指南Guidelines 2/2023。替代ePD的ePR（e-Privacy Regulation）目前还处在最终谈判阶段，ePD依然生效。

ePD Article 5（3）. Member States shall ensure that the use of electronic communications networks to store information or to gain access to information stored in the terminal equipment of a subscriber or user is only allowed on condition that the subscriber or user concerned is provided with clear and comprehensive information in accordance with Directive 95/46/EC, inter alia about the purposes of the processing, and is offered the right to refuse such processing by the data controller. This shall not prevent any technical storage or access for the sole purpose of carrying out or facilitating the transmission of a communication over an electronic communications network, or as strictly necessary in order to provide an information society service explicitly requested by the subscriber or user.

ePD Article5（3）. 成员国应确保，只有在根据指令95/46/EC，向相关用户或用户提供清晰全面的信息，特别是关于处理目的的信息的情况下，才允许使用网络存储信息或访问存储在用户或用户的终端设备中的信息，并且拥有拒绝数据控制者进行这种处理的权利。这不应阻止任何仅为通过电子通信网络进行或促进通信传输而进行的技术存储或访问，或为提供用户或用户明确要求的信息社会服务而严格必要的技术存储和访问。

指南对Article5（3）的适用范围做了解释，EDPB认为传统cookie之外的各种用户跟踪技术都应该受到该规则的约束。如果一项技术被纳入范围，那么根据该技术的使用目的，其使用将和Cookie一样，需要同意为基础。

背景

在Guidelines 2/2023引言部分，EDPB解释了颁布这个指南的初衷。

1. 根据ePD Article5（3）的描述，他不仅适用于Cookie，也适用于“类似技术”。然而目前并没有Article5（3）所涵盖的技术操作的全面清单。
2. 由于跟踪技术的新进展，尤其是在过去的十年里，随着嵌入操作系统的标识符的使用越来越多，也需要提供进一步的指南。
3. 由于Article5（3）适用范围的模糊性，导致部分企业实施替代Cookie的跟踪技术解决方案，用来规避合规义务。

适用范围

总之：宽泛。例如：