法国通过其国内法《信息技术与自由法》（La loi Informatique et Libertés）第82条来转化欧盟《电子隐私指令》第5.3条中与使用Cookie及类似技术相关的规定。CNIL于2020年3月16日对google.fr进行了在线调查，并发现用户登录到该网站后，即便不进行任何操作，也会有七个Cookie被自动置入用户的终端设备中。在2020年4月30日的回应信函中，谷歌爱尔兰公司表示，七个Cookie中有四个意在进行广告推广。

CNIL认为谷歌的行为主要有三项违反《信息技术与自由法》第82条规定的行为：1.未向用户提供足够清楚明确的信息；2.未获得用户同意即使用Cookie；3.向用户提供的禁用Cookie的机制部分无效。

基于此事实，CNIL于2020年12月10日对谷歌公司及谷歌爱尔兰公司处以共计1亿欧元的天价罚单，并要求谷歌公司及谷歌爱尔兰公司在三个月内完成在google.fr网站首页上现有的信息栏告知用户Cookie用途以及用户的拒绝方式，若逾期则处每日10万欧元的逾期罚款。

法国《信息技术与自由法》第82条规定：

除非控制者或其代表已事先进行通知，否则必须以明确和全面的方式告知电子通信服务的任何订阅用户或用户:

1. 任何旨在通过电子传输获取已储存在其电子通信终端设备中的信息，或在该设备中输入信息的行为；

2.其所可享有的拒绝和反对手段。

这种读取或写入行为只有在订阅用户或用户在收到这些信息后并表示同意的情况下才能进行。该同意可能通过其连接设备或其控制下的任何其他设备和系统的适当设置来实现。

以下对用户终端设备中存储的信息进行访问或写入的情形，不适用本规定：

1.其专有目的为允许或便利以电子手段进行通信；

2.对于提供用户明确要求的在线通信服务而言是严格必要的。

即要求在一般情况下，网站运营者需要在用户在收到关于所存储的Cookie的明确详尽信息（其用途以及用户所享有的对此提出异议的方式等），并表示同意其读取或放置Cookie后，才可进行此等读取或放置cookie行为。

CNIL指出谷歌具有如下三项违法行为：

本案调查中发现当用户进入google.fr页面时，底部会显示一个banner（横幅），其中包含关于谷歌隐私政策的提醒信息，其另一侧有两个按钮，分别为 "稍后提醒我 "及 "立即查看"，但并未向用户提供关于在终端设备上储存Cookie的信息。在点击“立即查看”时，弹出窗口的内容中尚未包含任何关于Cookie和其他追踪技术的使用信息，同时该弹窗所展示的隐私政策中也没有明确提及适用于Cookie的规则。

CNIL指出在判断是否满足向用户提供足够清楚明确的信息时，应当结合《电子隐私指令》序言25“提供信息、提供拒绝权或请求同意的方法应尽可能地方便用户”的规定，且CNIL也曾发布过多版与数据控制者进行在线追踪时的义务有关的指南。

CNIL建议，数据控制者应实施分两个阶段的征求同意机制：

第一阶段为应当通过banner告知访问网站的用户（网站的主页或二级页面）：使用Cookie的具体目的以及是否可以通过点击banner中的链接以反对使用Cookie以及更改相关设置；

第二阶段为应当通过Cookie设置页以简单、易懂的方式告知网站用户：Cookie的不同用途分类（特别是广告、社交媒体按钮和受众测量）以及其可以使用哪些方式接受或拒绝需要征求同意的全部或部分Cookie。

上述建议均已纳入2019年7月4日发布的指南中。

基于调查的事实，CNIL认为，google.fr的banner仅仅提供隐私政策还远远不够明确的，无法让阅读这条横幅的人知道可以通过这一路径找到与Cookies相关的信息，也并未被告知其有权拒绝谷歌在其设备上放置Cookie，而且在弹出窗口页也为说明适用于Cookie的数据处理规则。因此，CNIL认为谷歌均未在居住于法国的用户进入谷歌的搜索引擎时，提前、明确地告知用户存在此类向用户终端设备写入或读取信息的操作、其目的以及用户享有的拒绝此类操作的方式。

2020年8月后谷歌对其网站的Cookie机制进行了更新，更新后访问google.fr网站的用户，在进入搜索引擎之前，会在其屏幕中央看到一个标题为“继续之前”的弹出窗口，其中包含以下内容：

谷歌使用Cookie和其他数据来提供、管理和改进其服务和广告。如果您同意，我们将根据您在谷歌服务（如搜索、地图和YouTube）上的活动来定制您看到的内容和广告。我们的一些合作伙伴也会评估我们的服务的使用方式。点击“更多信息”，了解您可以使用的选项，或随时访问g.co/privacytools页面。Cookie、合作伙伴和g.co/privacytools等词条均为点击链接。在该弹出窗口的底部有两个按钮，分别是“更多信息”和“我同意”。

CNIL认为谷歌已做到了事先被告知了与Cookie相关的信息，比调查时发现的事实要进步，但谷歌所提供的信息仍不满足《信息技术与自由法》第82条意义上的明确和完整的信息。该弹窗中提到的各项用途的说明对用户而言太过于宽泛，用户无法清晰、明确地理解在其终端设备上存入的Cookie的具体用途。而且用户对于“选项”、“更多信息”的理解存在困难，不够明确，用户无法直接了解其对于置入其终端的Cookie可以拒绝以及如何拒绝。

如先前提到的，在CNIL于2020年3月16日对google.fr进行的在线调查中，发现用户登录到该网站后，即便不进行任何操作，也会有七个Cookie被自动存入用户的终端设备中，且其中有四个用于广告营销用途。

根据《信息技术与自由法》第82条的规定，订阅用户或用户在收到说明信息并通过其连接设备或受其控制的任何其他设备的适当设置，明确表示同意读取或存入Cookie后，方可进行访问或放置。只有仅用于允许或促进电子方式通信的Cookies，或在提供用户明确要求的线上通信服务时必要的Cookies不受此项义务限制。

显然，谷歌未履行《信息技术与自由法》第82条规定的义务，即在将Cookie储存到用户终端之前，未获得用户的同意。

调查中发现，用户在点击google.fr页面下方的信息栏处的“立即查看”后，页面会跳出窗口，用户可点击窗口中的更改广告设置按钮，然后用滑动按钮禁用谷歌搜索广告个性化和网页广告个性化。一旦用户拖动此滑动按钮关闭了自定义通知，页面会跳出新窗口，要求他们确认自己的选择，并告诉他们，广告将继续出现，但将不再有个性化特点。

但是，在谷歌搜索上关闭自定义通知后，如果继续浏览网页，仍会有多条广告Cookie储存到其终端设备上。它们仍然保存在用户的终端上，并带有选择退出值，以向与其链接的域的服务器表明用户已表示拒绝接受今后从该域存入相同的Cookie。实际上，这一Cookie可不经选择退出（opt-out）机制，继续存储在用户终端上；当Cookie域重新与相关域交互时，Cookie域服务器（例如，google.com或google.fr ）可以重新读取Cookie中所包含信息。

因此，CNIL认定谷歌违反《信息技术与自由法》第82条规定的义务，即其未设置有效的机制让用户拒绝接受或要求不再读取需要获得其同意的Cookie。

CNIL对谷歌公司及谷歌爱尔兰公司提出了总计1亿欧元的巨额罚金，对此，CNIL做出的说明是，《信息技术和自由法》第20条第3款赋予了CNIL宣判各种制裁的权力，其中包括最大金额可达被制裁数据控制者上一财年全球总营业额的2%的行政罚款。CNIL还提到，上述罚款金额是依据GDPR第83条规定的标准估计的。

在本案中，违反Cookie储存规定的谷歌搜索引擎在法国境内的用户覆盖范围广，该搜索引擎以超过90%的份额在搜索引擎市场上占主要地位，同时，谷歌搜索引擎在法国境内至少有47 000 000用户，占法国总人口的70%，因此，数据控制覆盖的人数巨大。此外，谷歌集团的主要盈利来源于在线广告市场的两个主要细分市场，即展示广告和内容相关广告，在这两类广告中，尽管Cookies有所不同，但均发挥着不可否认的作用，谷歌通过Cookie所收集数据间接产生的广告收入获得了可观的利润。在CNIL要求谷歌提供法国通过收集使用Cookie获得的广告收益利润金额，谷歌未曾提供。CNIL只能根据公开数据进行估算。

而谷歌抗辩根据GDPR地83条第2款第（f）项，与监管机构的配合程度较好，应当予以减少罚款。CNIL指出根据《信息技术和自由法》与监管机构合作是一项法定义务，其次若想通过配合来减少罚款应当在履行配合义务以外，在监管机构调查阶段以及在职权范围采取措施时，对其要求进行积极配合，尽可能减少对用户的影响。本案中谷歌至结束时也未曾提供广告收益的信息，其合作意愿不满足减少罚款的要求。

谷歌爱尔兰有限公司2018年的营业额为380亿欧元，谷歌公司2019年的营业额为1600亿欧元，综合以上违法行为、法律依据及其他相关事实，对两公司共处以1亿欧元的罚款合法合理。

除罚金外，CNIL还向谷歌公司和谷歌爱尔兰有限公司宣告一项强制令，以敦促其按照《信息技术和自由法》第82条相关规定对其数据处理行为进行纠正，主要内容如下：

以明确完整的方式将下述信息事先告知给相关人员，例如，可通过google.fr网站首页上的现有banner（横幅）予以通知：

1.所有需要用户同意的Cookies的最终用途

2.用户享有的拒绝方式

且强制令的期限为决议发出之日起三个月，谷歌公司应在此期限内将合规证明文件提交至CNIL，若超出此期限，每逾期一日处以100 000欧元（十万欧元）的逾期罚款。

在本案中，谷歌提出Cookie相关法律框架具有不稳定性，对有关事实作出经济制裁的判决违反了轻罪和惩罚不溯及既往原则，尤其是指出CNIL进行线上检查基于的指南文件是2019年7月4日发布，且给了企业为期12个月的适应期。虽然CNIL予以回应，称其处罚的依据是《信息技术和自由法》，而非指南文件。但谷歌确实指出了一个关键的企业合规问题，就是Cookie相关法律框架的不稳定性，《电子隐私指令》需要转化为国内法才可以适用。本来《电子隐私指令》应如95年数据保护指令被GDPR替代一样，被《电子隐私条例》替代，但《电子隐私条例》迟迟未发布，导致了适用上的不一致。同时不仅仅是不同国家的国内法规定不同，《电子隐私指令》和GDPR之间的适用问题同样存在难点。故，环球律师事务所孟洁律师团队和小米法务部隐私数据合规团队共同推出《Cookie合规指引》详解其中难点和解法。