最新处罚：CNIL因非法使用Cookies对雅虎处以1000万欧元罚款

2024年1月18日，CNIL（法国数据保护机构）于2023年12月29日发布了第SAN-2023-024号决定，对Yahoo EMEA Limited（雅虎）处以1000万欧元的罚款，因违反1978年1月6日颁布的有关数据处理、数据档案和个人自由的第78-17号法案（经修订以执行GDPR），该决定是针对个体投诉做出的。

决定的背景

首先，CNIL澄清了雅虎是在阿波罗全球管理公司收购Verizon Media后创建的。此外，CNIL概述了其具有领土司法管辖权，因为在使用雅虎网站（Yahoo.com）和雅虎邮箱（Yahoo Mail）时涉及影响居住在法国的用户的操作，这些操作是雅虎在法国的范围内进行的。

CNIL指出收到的投诉涉及用户使用雅虎网站（Yahoo.com）和电子邮件服务（Yahoo Mail）时无法拒绝Cookies。

CNIL的调查结果

经过调查后，CNIL发现当用户访问Yahoo.com时，至少 20个Cookie会被放置在用户的设备上，而用户并未同意存放此类Cookies。CNIL指出尽管Yahoo.com上提供了“管理设置”选项，但在未选择和同意这些Cookies的情况下，用户设备上放置了26个Cookies，其中包括一些用于广告目的的Cookies。同样，CNIL详细说明了当用户在Yahoo.com被导航到Yahoo邮件上创建电子邮件帐户时，广告Cookies也会在未经用户同意的情况下被存储。

此外，关于用户使用Yahoo邮箱时，用户在试图撤回对Cookies的同意时，会显示鼓励用户不要撤回同意的消息，否则用户将失去访问Yahoo邮件的权限。另外，CNIL提醒，如果用户没有真正的选择自由或无法在不受伤害的情况下拒绝或撤回同意，则不认为同意是自由给予的。CNIL认为由于电子邮件地址构成用户私生活的一个组成部分，但在这种情况下雅虎用户无法自由行使其同意撤回的权利。CNIL还指出用户可能会发现自己被困在特定的消息服务中，因此不能轻易地用另一种类似的服务替代电子邮件服务。

最后，CNIL考虑到受影响的人数众多，Yahoo网站的独立访问者数量约为500万人。鉴于上述情况，CNIL认定Yahoo违反了该法案第82条的规定，并对其处以1000万欧元罚款。

 原文阅读：用九智汇 | 最新处罚：CNIL因非法使用Cookies对雅虎处以1000万欧元罚款

阅读更多：

深度分析-《数据视角下的隐私合规》

深度分析-《数据视角下的隐私合规 II》

深度分析-《数据视角下的隐私合规 III》

深度分析-EDPB个人数据泄漏通知指南摘要及合规建议

深度分析：EDPB数据主体权利-访问权指南摘要及合规建议

EDPB关于通过视频设备处理个人数据的指南摘要及合规建议

App隐私合规评估实务和要点

TikTok被罚3.5亿欧元，你应该知道以下几点

没错！非洲肯尼亚刚刚发布了3项隐私处罚

技术分享-动态脱敏

智能网联时代汽车行业数据合规挑战

隐私工程实践路径系列：PIA篇（上）

落地实践-数据分类分级实践难点

数据分类分级-敏感图片识别

深度解读-《个人信息保护合规审计管理办法（征求意见稿）》

隐私工程实践路径系列：PIA篇（下）技术助力

智能网联汽车如何做好用户告知

用九智汇分享：《数字经济合规实务》

数据分类分级-结构化数据识别与分类的算法实践

数据分类分级-隐私管理与保护

“Autosec 安全之星” 用九智汇再获殊荣！

汽车智能网联时代如何解决用户隐私问题？

数据分类分级-敏感数据识别工程实践

用九智汇参编《隐私工程白皮书》正式发布，附下载链接

喜讯！用九智汇入选IAPP中国区服务供应商

这家母公司位于中国的企业因数据问题遭到CNIL处罚！

垦丁律师事务所麻策律师一行到访用九智汇交流合作

用九智汇通过ISO 27001、ISO 27701双重认证

我撒过最多的谎：已阅读并同意相关协议

用九智汇受邀参加WELEGAL与六和律师事务所线下沙龙活动：《数据如何合规出境》

用九智汇入选《数据安全保护义务履行参考案例集》

数字水印在知识产权保护中的应用？

最新！H&M因隐私问题遭到瑞典IMY处罚

第三方SDK合规浅析

关于个人信息权利与响应，你知道多少？

深度分析：EDPB跨境数据合规指南-BCRs认证

深度分析：EDPB关于GDPR下行政罚款计算的指南V2.1

GDPR开发者指南

智能网联汽车行业数据合规解决方案（上）

企业出海数据合规：选择加入和选择退出

企业出海数据合规：CCPA与CPRA的关系

企业出海合规：GDPR和CCPA差异知多少

EDPB-关于在联网车辆和移动相关应用中处理个人数据的第01/2020号指南2.0版（全文翻译）

智能网联汽车行业数据合规解决方案（下）

企业出海如何做好网站Cookie合规

企业出海数据合规：“躲不了”的GDPR域外管辖

新EDPB指南：不只是Cookie

企业出海数据合规：GDPR中的个人数据与非个人数据之区分