因未經用戶同意存放cookie，微軟被罰6000萬歐元

近日，法國隱私監管機構對微軟愛爾蘭子公司處以了6000萬歐元（約合人民幣4.45億元）的罰款，因微軟在未經用戶明確同意的情況下在用戶計算機中投放廣告cookie，這違反了歐盟的數據保護法。

法國國家信息與自由委員會（CNIL）于2020年9月和2021年5月對Bing搜索引擎進行了多次檢查。CNIL發現，當用戶訪問“bing.com”時，微軟未經用戶同意就將cookie存放在用戶的終端上。

CNIL指出，微軟沒有給訪問Bing主頁的用戶提供“像接受cookie那樣容易拒絕cookie的機制”。搜索引擎提供了一個立即接受cookie的按鈕，卻不提供等效的解決方案（拒絕按鈕或其他）來允許用戶輕松地拒絕cookie。比如說，需要兩次點擊才能拒絕所有cookie，但是一次點擊就能夠接受。

CNIL認為，使拒絕機制更加復雜實際上是在阻止用戶拒絕cookie，促使用戶更傾向于選擇同意，這種程序侵犯了互聯網用戶的同意自由。CNIL的結論是，微軟的行為違反了《數據保護法》第82條。

因此，法國國家信息與自由委員會（CNIL）宣布對微軟愛爾蘭子公司處以6000萬歐元的罰款并公開。CNIL通過處理范圍、數據主體的數量以及微軟公司從cookie收集的數據間接產生的廣告利潤來證明這一處罰金額是合理的。

除了行政罰款外，CNIL還通過了一項處罰禁令，促使微軟在三個月內在“bing.com”網站上建立等效于接受cookie的拒絕cookie機制，并確保只有在用戶同意之后才能存入用于廣告目的的cookie。否則，微軟將承擔每天60000歐元的罰款。

值得注意的是，今年年初CNIL以同樣的理由，分別對Facebook和谷歌處以了1.5億歐元和6000萬歐元的罰款。