什么是 CNIL 以及如何遵守？

2020 年 10 月 1 日，法国数据保护局 (CNIL) 发布了其 2019 年关于 cookie 和类似技术的指南的修订版。 修订版的发布还考虑了 GDPR 对 cookie 的规定。

CNIL 或 Commission Nationale de l'informatique et des libertes（国家信息学和自由委员会）是一个法国行政监管机构，有权在法国执行数据保护法。 CNIL 负责在该国执行以下所有三项法律。

• 法国数据保护法
• GDPR
• 电子隐私指令

它还拥有接受投诉和对违法行为处以罚款的权力。

如果您的业务属于以下任何类别，则您必须遵守。

• 总部设在法国和海外的法国领土
• 收集和/或处理法国和海外法国领土的公民和居民的个人数据

这些适用性原则与 GDPR 中的相同。

用户应通过明确的肯定积极行动（例如单击 cookie 横幅上的“我接受”）来表示同意。 用户的不作为、滚动或继续浏览等不能被视为同意，在获得明确同意之前，不应将必要cookies以外的cookies放入用户的设备中。

用户应该能够像最初接受它们一样轻松地拒绝 cookie。

用户应该能够随时轻松地撤回对 cookie 的同意。

在同意之前，用户必须清楚地了解 cookie 的用途，以及接受或拒绝 cookie 的后果。

寻求 cookie 同意的企业应随时提供有效收集用户自由、知情、具体和明确同意的证据。

以下是一张信息图，可让您快速了解 CNIL 下的合规要求。

CNIL 和 GDPR 在征求用户对 cookie 呈现的同意时都有类似的要求。 它们如下图所示。

• 必须自由地给予同意。 用户应该可以自由选择是否同意 cookie。

• 同意必须是具体的。 对于数据收集的每个目的，您都必须获得同意。 这意味着，如果您已获得用于分析目的的同意，则您需要新的同意才能出于营销目的收集数据。

• 同意请求必须充分知情。 这意味着您必须在请求时告知用户您的隐私惯例。 告知他们您使用 cookie 并向他们提供指向您的隐私政策的链接是一种很好的做法。

• 同意必须是明确的。 您必须显示一个接受和拒绝按钮。 仅显示 ACCEPT 按钮是不够的。 用户应该能够在您的网站上采取平权行动。

尽管根据 CNIL 要求明确同意是必要的，但它免除了在未经用户同意的情况下允许某些 cookie。 以下是免于收集同意的 cookie 列表。

• 用于通过服务进行身份验证的 Cookie
• 用于记住电子商务网站上的购物车项目的 Cookie
• 某些用于生成流量统计的 cookie
• 允许付费网站限制免费访问用户请求的内容样本的 Cookie
• 存储用户同意选择的 Cookie
• 用户界面自定义 cookie
• 语言偏好cookies

CNIL 认为同意应该完全来自积极的行为。 因此，任何不作为都必须被理解为拒绝使用 cookie。

以下是您可以在用户设备上设置 cookie 的两种情况。

• 用户已表示同意使用 cookie
• Cookies 属于豁免类别（如上节所列）

原则上，有必要保留用户表达的选择，无论是他的同意还是他的拒绝。 因此，在浏览网站时，他们不必在页面之间重新制定他们的选择。

因此，一般情况下，建议保留网民表达的选择，以免在一段时间内再次请求他。

选择的保留期必须根据具体情况进行评估（关于相关网站或应用程序的性质及其受众的特殊性）。 通常，将选择保留 6 个月是一个很好的做法。

Cookie 墙是一种网站设计，要求用户在访问网站内容之前接受 cookie。 虽然 2019 年指南完全禁止使用 cookie 墙。 由于法国法院对该法律的裁决，CNIL 编辑了其指南，声明必须根据具体情况评估 cookie 墙的合法性。

如果使用 cookie 墙，应明确告知用户未经同意不得访问内容。 否则，cookie 墙或横幅应该很快就会消失，因此它不会干扰用户对内容的访问或以其他方式影响用户同意。

CNIL 提出了指导方针和建议。 CNIL 关于 cookie 和其他跟踪器的指南会告知您在用户通过智能手机、计算机、平板电脑等界面与互联网交互时适用的法律。

该建议旨在指导相关专业人士的合规流程。 它提供了根据适用规则获得同意的实用方法示例，同时也满足《数据保护法》第 82 条规定的要求。

CNIL 以两种方式对违反 GDPR 或法国数据保护法的组织处以罚款。

• 在向 CNIL 投诉或举报违规行为后
• 在CNIL进行调查后

在这两种情况下，CNIL 主席都可以在 CNIL 的委员中任命一名报告员，限制委员会成员除外，并提交给限制委员会。 限制委员会由五名 CNIL 委员和其中选出的一名主席组成。

在报告员和该组织之间的书面程序期间，通知被指控的组织，并交换文件。 然后，受限委员会收到所有文件。

在此过程中，如果报告员认为有用，可以听取受指控的组织的意见。 在这种情况下，书面报告将确认听证会。

处罚可以是监督性的或非监督性的。 在监控方面，被指控的企业或组织将被迫支付高达全球总营业额的 4% 或高达 2000 万英镑的金额，以较高者为准。 在非监控条款中，会有警告、强制令以及定期支付罚款等。

正如它宣布的那样，它估计遵守新规则的截止日期（10 月 1 日发布）不应超过六个月，即最迟到 2021 年 3 月。

CNIL 随后将进行审计并采取执法行动。 与往常一样，运营商还必须确保他们遵守电子隐私指令和通用数据保护条例。

借助 CookieYes GDPR Cookie 同意和合规通知插件，您可以让您的 WordPress 网站轻松完成 CNIL 合规之旅。 该插件以其强大的功能集使 cookie 管理变得容易。

该插件为您提供以下功能。

• Autocookie 扫描 –该插件会自动扫描您的网站以查找 cookie。
• Cookie 同意横幅 -您可以创建和自定义同意横幅以满足法律指南中提到的要求。
• 详细同意选项 -通过告知用户您网站上每种类型 cookie 的使用情况，寻求对 cookie 的明确同意。
• Cookie 同意日志 -记录您的用户对相关数据的同意，例如同意的 Cookie、日期、时间等。
• 自动脚本阻止 -您可以启用脚本阻止来自第三方插件和服务的 cookie
• 隐私政策生成器 -从头开始轻松生成隐私/cookie 政策。

在 CNIL 提出新的指导方针之后，您没有太多时间来遵守它。 因此，立即使用 CookieYes GDPR Cookie 同意和合规通知插件开始您的合规之旅。