Tất cả cookie có cần sự đồng ý không?

Phân tích các khuôn khổ pháp lý cho thấy không phải tất cả cookie đều phải tuân theo các yêu cầu đồng ý giống nhau. Chỉ thị về quyền riêng tư điện tử (Chỉ thị 2002/58/EC), thường được gọi là "luật cookie của EU," phân biệt rõ ràng giữa cookie cần thiết tuyệt đối và các loại cookie khác. Theo Điều 5(3), “sự đồng ý sẽ không được yêu cầu đối với việc lưu trữ hoặc truy cập kỹ thuật cần thiết tuyệt đối cho mục đích hợp pháp là cho phép sử dụng một dịch vụ cụ thể do người đăng ký hoặc người dùng yêu cầu rõ ràng.”

Điều tra thực nghiệm về các thông lệ trang web xác nhận rằng cookie cần thiết tuyệt đối—những cookie cần cho các chức năng cốt lõi như quản lý phiên, giỏ hàng và các tính năng bảo mật—thường xuyên được triển khai mà không cần sự đồng ý rõ ràng của người dùng. Ví dụ, mã thông báo xác thực đăng nhập và cookie lưu giữ giỏ hàng thuộc diện miễn trừ này. Những phát hiện này phù hợp với các hướng dẫn do các cơ quan quản lý ban hành, bao gồm Ủy ban Bảo vệ Dữ liệu Châu Âu (EDPB, 2020), trong đó nêu rõ:

• “Các cookie cần thiết cho hoạt động của một trang web không yêu cầu sự đồng ý.”

Ngược lại, các cookie được sử dụng cho mục đích phân tích, quảng cáo hoặc cá nhân hóa không đủ điều kiện để được miễn trừ và do đó yêu cầu sự đồng ý trước và có đầy đủ thông tin từ người dùng. Sự phân chia này được hỗ trợ rõ ràng bởi Điều 6 của GDPR, trong đó quy định cơ sở pháp lý cho việc xử lý dữ liệu cá nhân, được củng cố thêm bởi Đoạn 30 xác định các định danh trực tuyến là dữ liệu cá nhân.

Xem xét việc thực thi ở các quốc gia (ví dụ: Quy định về quyền riêng tư và truyền thông điện tử của Vương quốc Anh—PECR, hướng dẫn của CNIL của Pháp) xác nhận một cách tiếp cận nhất quán:

• Sự đồng ý là không cần thiết đối với cookie thiết yếu.
• Sự đồng ý là bắt buộc đối với cookie không thiết yếu (ví dụ: theo dõi, lập hồ sơ).

Đánh giá tác động thực tế cho thấy hầu hết các trang web hiện nay đều triển khai các biểu ngữ cookie phân biệt giữa cookie thiết yếu và không thiết yếu, cung cấp các quyền kiểm soát chi tiết cho người dùng. Cách tiếp cận này giảm thiểu rủi ro tuân thủ và phù hợp với các kỳ vọng của cơ quan quản lý.

Tóm lại, phân tích quy định và thực tiễn quan sát được ủng hộ kết luận:

• Cookie cần thiết tuyệt đối được miễn yêu cầu đồng ý theo luật của EU.
• Tất cả các loại cookie khác đều yêu cầu sự đồng ý rõ ràng của người dùng trước khi triển khai.

Sự phân biệt này hiện là thông lệ tiêu chuẩn trong các chiến lược tuân thủ tại các khu vực pháp lý chịu sự điều chỉnh của Chỉ thị về quyền riêng tư điện tử và GDPR.