分析和 A/B 测试 Cookie — 只有在欧洲获得同意后？

2020 年 2 月 19 日更新：CNIL 的一项新更新表明 A/B 测试和受众测量现在免于同意。

您可能会认为 GDPR 仅在 2018 年 5 月生效时才造成了破坏。

事实上，整个 2019 年欧洲一直处于动荡之中，这不是好消息。

法国和英国数据保护机构（CNIL 和 ICO）更新了 2019 年 7 月发布的指导说明，强调分析 cookie（包括 A/B 测试和个性化）需要明确同意才能放置在访问者的设备上。 他们在提及同意（如选择加入）时特别提到了 GDPR。 它必须基于活动的用户操作，而不是默认设置。

2020 年 2 月，CNIL 改变了对此事的立场（感谢 Paul Schmitt 向我指出这一点）。 尽管 ICO 和 CNIL 之前声明用于 A/B 测试和分析的 cookie 需要征得同意，但最新的指南（法语）另有说明：

“受益于免于同意，在一定数量的条件下，用于受众测量的 cookie 可以免于同意。 这些条件，如 cookie 和其他跟踪器指南中​​所述，是 (1) 告知用户其使用情况； (2) 赋予他们反对的权力； (3) 将系统限制为仅用于以下目的：受众测量和 A/B 测试。”

这意味着可以在未经同意的情况下安装仅为组织收集数据而设置的分析工具（不以任何方式与第三方共享）。 对于 Google Analytics（分析）来说，这一变化可能是一项艰巨的任务。 Mozilla 的这项特别协议促使 Google Analytics 不与其他服务共享其数据。 目前，不确定此设置是否适用于所有用户。 尽管如此，如果欧洲在未经同意的情况下打开分析的大门，我认为谷歌将不得不遵循路线并向其欧洲客户群提供此功能。

尽管没有其他欧洲国家隐私当局对 ePrivacy 指令法律（在 GDPR 之前实施）进行此类补充，但这可能会在 2020 年 7 月和新的 ePrivacy 法规将取代当前指令之间造成法律真空。

发生了什么？ 发生了什么变化？

有关欧洲隐私法主要变化的摘要，请观看下面的视频（免责声明：在视频中我错误地提到了这些变化是在 2018 年实施的，而实际上它们是在 2019 年实施的）。

ICO 最近重新解释了 2011 年的欧洲电子隐私指令“cookie 法”和英国版本的 2003 年隐私和电子通信（EC 指令）条例（“PECR”）。 此更改意味着要求“同意”删除任何“非必要”cookie，无论是否收集个人数据。

2012 年，ICO 表示允许默示同意（即选择退出而不是选择加入）：

在数据保护法和隐私法规的背景下，默示同意一直是一个合理的主张，并且在使用 cookie 和类似设备存储信息或访问信息的背景下仍然如此。

2019 年 7 月 18 日，法国隐私权管理局 (CNIL) 发布了关于使用 cookie 的新指南。 适用于 HTTP cookie 的规则也适用于许多其他跟踪技术（“跟踪器”），包括本地共享对象、终端设备指纹、硬件标识符和操作系统生成的标识符。 就像 ICO 和 GDPR 指南一样，这里也没有关于使用 cookie 的单独决定，但指纹识别现在属于同意范围。

但随后 CNIL 通过更新他们的 Github 页面让这一切变得有点混乱。 CNIL 的最新指南规定，受众测量和 A/B 测试无需同意，可以立即进行（选择退出）。

欧洲数据保护委员会 (EDPB) 于 2019 年 3 月就 ePrivacy 指令和 GDPR 之间的相互作用发表了书面意见，因为 GDPR 没有提及 cookie，而且这两项法律之间存在差距。

一些人将 EDPB 的意见解释为，ePrivacy 指令中所有提及的“同意”均指 GDPR 定义的同意。 对于 cookie，这意味着您不能在没有人主动选择加入的情况下放置 cookie。

那么，为什么 ICO 和 CNIL 在 GDPR 生效一年后改变了他们的指导方针？ 为什么在 13 个月后，关于“选择退出”cookie 的信息变为同意选择加入？

我们要感谢 Planet49。

2017 年 11 月 30 日，德国网站和公司 Planet49 因多项考虑到 GDPR 和电子隐私指令的可疑做法而被告上法庭。

尽管我们不得不等待结果（全文附在文章底部），但该裁决确定了每个国家都需要更明确的指导方针。

由于这项裁决，CNIL 和 ICO 开始更新他们的指导方针，以反映当前隐私法如何涵盖同意、信息共享和（分析和跟踪）cookie。 我们将不得不等待，看看 CNIL 是否会影响其他欧洲国家以允许受众测量和 A/B 测试 cookie。

“绝对必要”的饼干豁免之战

当我们的 A/B 测试公司适应 GDPR 实践时，分析和 A/B 测试 cookie 可以作为企业必不可少的内容呈现给客户。 相反，重点更多地放在广告跟踪器上。

如今，人们可能会躲在严格必要的“cookie 豁免”后面。 我什至听到有人说“但我们的法律团队说我们可以在未经同意的情况下放置 Google Analytics cookie”。 在我阅读 ICO 的新指南之前，我也在那个阵营中。 他们的网站提供了一些很好的例子，说明哪些 cookie 对网站运行和正确的用户交互至关重要。 随着新的指导方针不断出现，严格遵守一方或另一方可能会令人困惑。 一些公司现在正在遵循 CNIL 的最新建议。

在下面的示例中，cookie 是向用户提供服务“绝对必要的”。 在每种情况下，都适用豁免且无需同意：

• 用于记住用户在结账或将商品添加到购物篮时希望购买的产品的cookie，
• 对于用户请求的活动（例如，与在线银行服务相关），遵守 GDPR 安全原则所必需的 Cookie，
• 通过将工作负载分布在多台计算机上（这通常称为“负载平衡”或“反向代理”）来帮助确保快速有效地加载页面内容的Cookie。

重要的是要记住，应该从用户或订阅者的角度来评估“绝对必要”的内容，而不是您自己的角度。 因此，例如，虽然您可能将广告 cookie 视为“绝对必要”，因为它们带来了为您的服务提供资金的收入，但从用户的角度来看，它们并非“绝对必要”。

ICO 声明需要用户同意的 Cookie（通过用户操作主动选择加入）例如：

• 用于分析的 Cookie，例如计算对网站的唯一访问次数（包括个性化和 A/B 测试），
• 第一方和第三方广告 cookie （包括那些用于与第三方广告相关的运营目的，例如点击欺诈检测、研究、产品改进等），
• 用于在用户返回网站时识别用户的Cookie，以便可以定制他们收到的问候语（ICO 特别提到了个性化）。

欧洲法院 2019 年 10 月 1 日的“Planet49”判决

2019 年 10 月，欧盟法院（“CJEU”）在其“Planet49”判决中裁定，根据CNIL 和ICO 自 2019 年 7 月起实施。

因此，放置 cookie 和分析技术（如指纹）需要主动和知情同意，包括广告 cookie（但不是绝对必要的 cookie）。

预先勾选的框，例如 Planet49 试图逃避的框，不是获得同意的有效手段。

作为一家公司，我们重建了整个基础设施，以确保我们遵守 GDPR 并且在 cookie 中不存储任何个人数据。

CJEU 的裁决指出，个人数据是否通过 cookie 收集并不重要。 即使放置 cookie 不涉及处理个人数据，也必须征得同意。 在征得用户同意之前，控制者应告知用户每个 cookie 的生命周期以及任何第三方访问通过此类 cookie 收集的信息的情况。

对分析和 A/B 测试 Cookie 有任何未经同意的希望吗？

ICO 不区分用于分析的 cookie 和用于其他目的的 cookie，但 CNIL 可以。

分析 cookie 不属于 ICO 的“绝对必要”豁免范围。 这意味着企业需要告知用户有关分析 cookie 的信息并获得他们在英国使用的同意，而在法国，CNIL 允许在未经同意的情况下进行分析（有限制）和 A/B 测试。

ICO（英国）将用于在线广告或网络分析的 cookie 描述为非必要的，因此需要事先征得同意。 这包括由第三方提供商设置的第一方 cookie 和第一方 cookie（阅读 Convert 或 Google Analytics）。 Convert 也符合 CNIL 的规定，并且不会在客户之间共享数据集，并且仅针对每个客户进行安装，因此允许 A/B 测试和带有测试延迟的个性化。

ICO 指南明确指出：

第一方分析 cookie 需要征得同意，即使它们可能不像其他可能跨多个站点或设备跟踪用户的其他 cookie 那样具有侵入性。

第一方分析 cookie 需要征得同意，即使它们可能不像其他可能跨多个站点或设备跟踪用户的其他 cookie 那样具有侵入性。

尽管 ICO 不能排除在任何领域采取正式行动的可能性，但在设置第一方分析 cookie 会导致低程度的侵入性和对个人造成伤害的低风险的情况下，情况并非总是如此。 但是，您还应注意，在您使用第三方提供的第一方分析 cookie 的情况下，情况不一定如此。

您应该知道在 2020 年 7 月之前遵循 ICO 的 PECR 指南有一个宽限期。

如果收集的有关网站使用的信息被传递给第三方，则应向用户说明这一点。 还应该清楚该第三方如何处理这些信息。

根据您的服务，您还可以为用户提供更改帐户设置以限制与第三方（包括分析提供商）共享信息的能力。 （分析服务也可能提供此功能，请考虑在适当的情况下启用它。）提供给用户的控件应突出显示而不是隐藏起来。

最后，向用户提供有关分析 cookie 的明确信息并征求他们的同意或共享信息（旧 cookie 横幅）。 这可能涉及向用户展示为什么这些 cookie 对他们有用——但您必须确保您不会强迫用户选择一个选项而不是另一个选项。

在某些方面，此类指导文件比当前的新电子隐私条例草案（2019 年 10 月 4 日）更进一步，它将取代现有的电子隐私指令（以及现行的 PECR 和法国法律）。 在当前的草案中，它允许运营商在未经同意的情况下在用户的设备上放置第一方或第三方cookies，用于“受众测量”（即分析通过其网站的流量以优化服务）。

如果仍有疑问，这里有一张来自 ICO 的图表，它很好地解释了 cookie 的使用。

直接给我

这里可能出现的一个问题是，放置 cookie 的公司会尝试以自己的方式解释法律。 但即使我们制作分析、A/B 测试和个性化软件，我们也会直接提供给您。

1. 英国 (ICO) 和法国 (CNIL) 隐私当局在 2019 年 7 月更改了他们的指导方针，指出分析、A/B 测试和个性化软件，如 Convert Experiences、Optimizely、AB Tasty、VWO、Adobe Target、PageSense、OmniConvert、Google Optimize其余的都需要在同意的情况下选择加入，才能为其公民放置第一方和第三方 cookie。
2. 法国 (CNIL) 更改了他们的 Github 页面，将 A/B 测试和基本分析排除在 cookie 同意之外。
3. 德国和西班牙正在关注英国 (ICO) 或法国 (CNIL)，您可以期待他们的指导方针的更新。
4. 欧盟法院（“CJEU”）在 2019 年 10 月的“Planet49”判决中裁定，GDPR 标准同意也适用于根据电子隐私指令设置 cookie。 该裁决重申，所有国家隐私当局都需要采用英国和法国的指导方针。
5. 草案中的新法律称为 ePrivacy 法规，它将取代 ePrivacy 指令，在 A/B 测试、个性化和分析方面有一个 cookie 例外。
6. ICO 或 CNIL 目前不太可能积极追查使用第一方分析、A/B 测试和个性化的公司。 电子隐私条例可能会在 2021 年（年中）生效，宽限期到 2020 年 7 月。这些组织的工作范围非常广泛。
7. 根据我们认为自 2019 年 7 月以来在欧洲发生的事情的公平代表性得出您自己的结论。 与您的法律顾问交谈。 不要将您的建议基于销售同意管理平台的工具（他们希望获得所有同意），但也不是来自分析、A/B 测试和个性化工具的提供商……我们和他们。

我希望这篇文章有助于阐明欧洲目前正在发生的变化。

尽管它伤害了我们的商业模式，但我们始终努力分享真相。

我们希望我们的优化工具能够用于提供最佳的用户体验，以便用户获得最好的产品页面、最少混淆的菜单以及可以节省他们完成时间的表单。

我们将网站优化视为一种崇​​高的技艺，符合网站访问者和所有者（我们的付费客户）的最大利益。 我们希望我们的客户认真对待隐私，并在我们工具的每一层中建立警告和隐私权。 为了合规和隐私，我们只将汇总数据（而不是个人数据）存储到我们的工具中。

我们其实很在意。 尽管由于当前的 ICO 以及不断变化的 CNIL 指南和 ePrivacy 法规，我们可能处于困境，但我们知道，在完全透明的情况下，我们将成为关心隐私和消费者可以信任的品牌的首选公司.

为此，我们推出了一个小型弹出窗口，向网站访问者展示他们所参与的个性化和 A/B 测试。

这是一个可选代码，客户可以在 Convert Experiences A/B 测试和个性化工具中添加到他们的全局 Javascript（请参阅下图了解其工作原理）。

如果您想讨论隐私、我们正在开发的 CNAME 解决方案或新的法律发展，请通过 LinkedIn 与我联系。