什麼是 CNIL 以及如何遵守？

2020 年 10 月 1 日，法國數據保護局 (CNIL) 發布了其 2019 年關於 cookie 和類似技術的指南的修訂版。 修訂版的發布還考慮了 GDPR 對 cookie 的規定。

CNIL 或 Commission Nationale de l'informatique et des libertes（國家信息學和自由委員會）是一個法國行政監管機構，有權在法國執行數據保護法。 CNIL 負責在該國執行以下所有三項法律。

• 法國數據保護法
• GDPR
• 電子隱私指令

它還擁有接受投訴和對違法行為處以罰款的權力。

如果您的業務屬於以下任何類別，則您必須遵守。

• 總部設在法國和海外的法國領土
• 收集和/或處理法國和海外法國領土的公民和居民的個人數據

這些適用性原則與 GDPR 中的相同。

用戶應通過明確的肯定積極行動（例如單擊 cookie 橫幅上的“我接受”）來表示同意。 用戶的不作為、滾動或繼續瀏覽等不能被視為同意，在獲得明確同意之前，不應將必要cookies以外的cookies放入用戶的設備中。

用戶應該能夠像最初接受它們一樣輕鬆地拒絕 cookie。

用戶應該能夠隨時輕鬆地撤回對 cookie 的同意。

在同意之前，用戶必須清楚地了解 cookie 的用途，以及接受或拒絕 cookie 的後果。

尋求 cookie 同意的企業應隨時提供有效收集用戶自由、知情、具體和明確同意的證據。

以下是一張信息圖，可讓您快速了解 CNIL 下的合規要求。

CNIL 和 GDPR 在徵求用戶對 cookie 呈現的同意時都有類似的要求。 它們如下圖所示。

• 必須自由地給予同意。 用戶應該可以自由選擇是否同意 cookie。

• 同意必須是具體的。 對於數據收集的每個目的，您都必須獲得同意。 這意味著，如果您已獲得用於分析目的的同意，則您需要新的同意才能出於營銷目的收集數據。

• 同意請求必須充分知情。 這意味著您必須在請求時告知用戶您的隱私慣例。 告知他們您使用 cookie 並向他們提供指向您的隱私政策的鏈接是一種很好的做法。

• 同意必須是明確的。 您必須顯示一個接受和拒絕按鈕。 僅顯示 ACCEPT 按鈕是不夠的。 用戶應該能夠在您的網站上採取平權行動。

儘管根據 CNIL 要求明確同意是必要的，但它免除了在未經用戶同意的情況下允許某些 cookie。 以下是免於收集同意的 cookie 列表。

• 用於通過服務進行身份驗證的 Cookie
• 用於記住電子商務網站上的購物車項目的 Cookie
• 某些用於生成流量統計的 cookie
• 允許付費網站限制免費訪問用戶請求的內容樣本的 Cookie
• 存儲用戶同意選擇的 Cookie
• 用戶界面自定義 cookie
• 語言偏好cookies

CNIL 認為同意應該完全來自積極的行為。 因此，任何不作為都必須被理解為拒絕使用 cookie。

以下是您可以在用戶設備上設置 cookie 的兩種情況。

• 用戶已表示同意使用 cookie
• Cookies 屬於豁免類別（如上節所列）

原則上，有必要保留用戶表達的選擇，無論是他的同意還是他的拒絕。 因此，在瀏覽網站時，他們不必在頁面之間重新制定他們的選擇。

因此，一般情況下，建議保留網民表達的選擇，以免在一段時間內再次請求他。

選擇的保留期必鬚根據具體情況進行評估（關於相關網站或應用程序的性質及其受眾的特殊性）。 通常，將選擇保留 6 個月是一個很好的做法。

Cookie 牆是一種網站設計，要求用戶在訪問網站內容之前接受 cookie。 雖然 2019 年指南完全禁止使用 cookie 牆。 由於法國法院對該法律的裁決，CNIL 編輯了其指南，聲明必鬚根據具體情況評估 cookie 牆的合法性。

如果使用 cookie 牆，應明確告知用戶未經同意不得訪問內容。 否則，cookie 牆或橫幅應該很快就會消失，因此它不會干擾用戶對內容的訪問或以其他方式影響用戶同意。

CNIL 提出了指導方針和建議。 CNIL 關於 cookie 和其他跟踪器的指南會告知您在用戶通過智能手機、計算機、平板電腦等界面與互聯網交互時適用的法律。

該建議旨在指導相關專業人士的合規流程。 它提供了根據適用規則獲得同意的實用方法示例，同時也滿足《數據保護法》第 82 條規定的要求。

CNIL 以兩種方式對違反 GDPR 或法國數據保護法的組織處以罰款。

• 在向 CNIL 投訴或舉報違規行為後
• 在CNIL進行調查後

在這兩種情況下，CNIL 主席都可以在 CNIL 的委員中任命一名報告員，限制委員會成員除外，並提交給限制委員會。 限制委員會由五名 CNIL 委員和其中選出的一名主席組成。

在報告員和該組織之間的書面程序期間，通知被指控的組織，並交換文件。 然後，受限委員會收到所有文件。

在此過程中，如果報告員認為有用，可以聽取受指控的組織的意見。 在這種情況下，書面報告將確認聽證會。

處罰可以是監督性的或非監督性的。 在監控方面，被指控的企業或組織將被迫支付高達全球總營業額的 4% 或高達 2000 萬英鎊的金額，以較高者為準。 在非監控條款中，會有警告、強制令以及定期支付罰款等。

正如它宣布的那樣，它估計遵守新規則的截止日期（10 月 1 日發布）不應超過六個月，即最遲到 2021 年 3 月。

CNIL 隨後將進行審計並採取執法行動。 與往常一樣，運營商還必須確保他們遵守電子隱私指令和通用數據保護條例。

借助 CookieYes GDPR Cookie 同意和合規通知插件，您可以讓您的 WordPress 網站輕鬆完成 CNIL 合規之旅。 該插件以其強大的功能集使 cookie 管理變得容易。

該插件為您提供以下功能。

• Autocookie 掃描 –該插件會自動掃描您的網站以查找 cookie。
• Cookie 同意橫幅 -您可以創建和自定義同意橫幅以滿足法律指南中提到的要求。
• 詳細同意選項 -通過告知用戶您網站上每種類型 cookie 的使用情況，尋求對 cookie 的明確同意。
• Cookie 同意日誌 -記錄您的用戶對相關數據的同意，例如同意的 Cookie、日期、時間等。
• 自動腳本阻止 -您可以啟用腳本阻止來自第三方插件和服務的 cookie
• 隱私政策生成器 -從頭開始輕鬆生成隱私/cookie 政策。

在 CNIL 提出新的指導方針之後，您沒有太多時間來遵守它。 因此，立即使用 CookieYes GDPR Cookie 同意和合規通知插件開始您的合規之旅。