各国Cookie同意法律完整指南(2026年)

全球范围内的Cookie同意法律大致分为三种模式:欧盟依据ePrivacy指令采用的选择加入(opt-in)标准、美国建立在各州隐私法基础上的选择退出(opt-out)方式,以及澳大利亚等国采用的仅需告知模式。对所有访问者一律适用欧盟标准的选择加入同意机制,几乎可以满足其他所有法域的要求。
几乎每个主要法域的Cookie同意要求都各不相同。一家面向全球用户的网站,需要应对从欧盟严格的选择加入制度到部分国家完全没有专门Cookie规则之间的各种法律拼图。仅在欧盟,相关执法行动和罚款金额就已累计达到数亿欧元,而2024至2026年间,随着一批新法律和执法决定的出台,监管格局发生了显著变化。
本指南梳理了30多个国家和地区的Cookie同意规则,重点关注2024至2026年间的变化以及未来可能出现的动向。
快速解答:各国Cookie同意规则有何不同
Cookie同意法律在世界各地的运作方式并不相同,大致存在三种不同的模式:
选择加入(opt-in)模式:在用户主动同意之前,不得放置Cookie。欧盟、英国、韩国以及越来越多的亚非国家采用这一方式。
选择退出(opt-out)模式:默认允许放置Cookie,用户须主动采取行动才能阻止。这是美国各州立法的主流模式,监管重点在于遵守“全球隐私控制”等选择退出信号,而不是要求事先取得同意。
仅需告知模式:机构只需告知用户网站使用了Cookie(通常通过隐私政策实现),而无需设置同意横幅。澳大利亚一直采用这一模式,不过近期的改革正在收紧相关规则。
对于面向全球用户的网站而言,实践中的启示是:对所有访问者一律适用欧盟标准的选择加入同意机制,是最稳妥的单一策略。任何符合欧盟要求的网站,几乎都能满足其他所有法域的规则。
各国Cookie同意规则为何存在差异
这种差异反映了根本不同的法律传统和政策优先事项。欧盟将隐私视为一项基本权利,历来对技术采取主动监管的立场。美国历来倾向于按行业分领域、以市场为导向的方式,依靠各州立法机关和联邦贸易委员会(FTC),而非制定一部全面的联邦数据保护法。许多发展中经济体则往往参照欧盟模式(在某些情况下也参照APEC隐私框架)采用现代化的数据保护框架,但在执法能力和时间安排上有所不同。
技术因素同样重要。Cookie同意规则的渊源大多可追溯至欧盟的ePrivacy指令,该指令是针对21世纪初有关跟踪技术的具体担忧而制定的。巴西、印度和泰国等较晚建立数据保护框架的国家,通常通过更广泛的个人数据处理规则来规范Cookie,而不是制定专门的Cookie立法。
欧盟/欧洲经济区:全球标准的制定者
欧盟的Cookie框架建立在两项法律文件之上:ePrivacy指令(2002/58/EC号指令,经2009/136/EC号指令修订)和GDPR((EU) 2016/679号法规)。二者共同构成了全球要求最为严格的Cookie同意制度。
欧盟框架的运作方式
ePrivacy指令第5(3)条要求,在用户设备上放置任何非必要Cookie之前,必须事先获得用户的知情同意。GDPR的同意标准要求同意须是自愿给予、具体明确、知情的,并通过明确的肯定性行为予以体现。
根据欧洲法院在Planet49案(C-673/17)中的裁决,预先勾选的复选框属于违法。滚动页面或继续浏览网页并不构成同意。拒绝同意的操作必须与接受同意一样便捷,这一原则已导致多起重大罚款案件。
严格必要的Cookie无需取得同意。这类Cookie包括用户明确要求的服务所必需的Cookie,例如购物车会话Cookie或安全令牌。
ePrivacy条例草案:已于2025年2月撤回
多年来,欧盟一直试图以一部新的条例取代ePrivacy指令。这部于2017年提出的ePrivacy条例草案,原本承诺在各成员国之间统一规则,并弥补现行指令的不足。
2025年2月,欧盟委员会2025年工作计划正式撤回了该草案。委员会表示“预计共同立法者之间无法达成一致”,且该提案“鉴于技术和立法领域近期的一些发展,已显得过时”。现行的ePrivacy指令及其各国转化立法仍然是适用的法律。
《数字综合法案》提案:新的Cookie规则即将出台
2025年11月19日,欧盟委员会提出了《数字综合法案》一揽子提案,这是一项广泛的立法举措,将从根本上重塑欧盟Cookie规则的运作方式。
与Cookie相关的主要拟议变化包括:
- ePrivacy指令将不再管辖个人数据处理事项。收集个人数据的Cookie将仅适用GDPR,从而统一法律框架。
- 将为安全类Cookie、第一方分析类Cookie以及提供用户所请求服务所必需的Cookie新增豁免情形,这些Cookie将无需通过同意横幅征得同意。
- 在六个月的期限内,将禁止就同一目的重复请求用户同意。
- 企业将被要求遵守机器可读的同意信号(例如浏览器层面的偏好设置)。
这些变化旨在解决长期以来人们对Cookie同意横幅造成“同意疲劳”的不满。不过,《数字综合法案》目前仍处于立法审议阶段。较为乐观的时间表预计该法案将于2026年底通过,最早也要到2027年才会生效。
欧盟执法要点
欧盟27个成员国均通过本国的数据保护机构(DPA)执行Cookie规则。其中几个国家的执法力度尤为突出。
法国(CNIL,国家信息与自由委员会):因谷歌和Facebook使拒绝Cookie的操作过于困难,CNIL于2021年12月分别对二者处以1.5亿欧元和6000万欧元的罚款。CNIL要求在首层同意横幅上设置醒目的拒绝按钮,并允许有限度的第一方分析类Cookie豁免。
意大利(数据保护局Garante):于2021年发布了更新版Cookie指南,要求在首层横幅上设置醒目的拒绝按钮,并要求制定独立于一般隐私声明之外的专门Cookie政策。
德国(联邦数据保护专员BfDI及各州数据保护机构):德国联邦最高法院已于2020年10月采纳Planet49案确立的标准。德国16个州级数据保护机构和联邦BfDI均对Cookie规则拥有执法权,形成了多层次的执法格局。
西班牙(数据保护局AEPD):依据LSSI法(第34/2002号法律)并结合GDPR执行Cookie合规要求,依LSSI处以的罚款最高可达30万欧元,若涉及个人数据则可处以GDPR级别的罚款。
比利时(数据保护局APD):于2022年就IAB Europe的透明度与同意框架(TCF)作出了具有里程碑意义的裁决,认定TCF本身即违反了GDPR。

EDPB Cookie横幅工作组
欧洲数据保护委员会(EDPB)于2021年成立了Cookie横幅工作组,负责协调各国数据保护机构之间的执法行动。该工作组于2023年1月发布的报告确立了最低要求:拒绝按钮必须与接受按钮同样醒目;暗黑模式(令人困惑的颜色、误导性措辞、预先勾选的同意选项)违反GDPR;用户撤回同意的操作必须与给予同意一样便捷。此后,欧盟各国数据保护机构陆续发出执法通知并处以罚款,其中包括2024年因同意横幅不合规而对一家电商运营商处以的1.5万欧元罚款。
英国:PECR与2025年DUAA的变化
英国的Cookie规则源自《2003年隐私与电子通信条例》(PECR),该条例与欧盟的ePrivacy框架相呼应。英国脱欧后,PECR与英国GDPR并行独立运作,均由信息专员办公室(ICO)负责执法。
PECR的要求
PECR第6条要求在放置Cookie或类似技术之前须事先取得用户同意。同意必须是知情的、具体明确的,并须体现明确的肯定性行为。严格必要的Cookie可豁免。该同意标准与英国GDPR保持一致。
《数据(使用与获取)法案2025》:重大转变
《数据(使用与获取)法案2025》(DUAA)于2025年6月19日获得英国王室御准。与PECR相关的主要条款已于2026年2月5日生效。DUAA对Cookie规则作出了两项实质性修改:
新增Cookie豁免情形:现有三类Cookie不再受PECR同意要求的约束:(1)唯一目的是收集汇总统计数据以改善网站或服务的分析类Cookie;(2)调整网站外观或行为(例如语言或主题设置)的偏好设置类Cookie;以及(3)一如既往地豁免的严格必要类Cookie。广告类Cookie、定向投放、频次控制和广告效果衡量类Cookie仍需取得同意。
罚款大幅提高:PECR的最高罚款额已提高至与英国GDPR相同的水平:最高1750万英镑或全球年营业额的4%(以较高者为准)。此前PECR的罚款上限仅为50万英镑。这一调整使PECR的执法力度与英国GDPR保持一致,也预示着ICO的执法力度可能进一步加强。

美国:各州立法拼图
美国没有要求设置Cookie同意横幅的联邦法律。与Cookie相关的义务源自越来越多聚焦于选择退出权利、在线跟踪和定向广告的州级隐私立法。具体内容请参阅我们详细的美国各州指南。
核心模式:选择退出而非选择加入
美国没有任何一个州要求Cookie须采用欧盟式的肯定性选择加入同意机制。美国模式是选择退出:除非用户另行表示,否则允许放置Cookie。主要机制包括:
“请勿出售或共享我的信息”链接:加利福尼亚州的CCPA/CPRA要求提供一个链接,允许消费者选择退出个人信息(包括广告类Cookie)的出售或共享。
全球隐私控制(GPC):一种浏览器层面的信号,用于传达用户的选择退出偏好。受加利福尼亚州CCPA/CPRA约束的企业必须将GPC视为有效的选择退出请求予以遵守。
要求遵守GPC的州(截至2026年5月)
要求企业遵守GPC信号的州名单已大幅扩展:
- 加利福尼亚州:根据CCPA/CPRA要求遵守GPC;加利福尼亚州隐私保护局已于2025年9月与科罗拉多州和康涅狄格州总检察长联合开展了针对GPC违规行为的协同执法行动。
- 科罗拉多州:该州总检察长已将GPC认定为可接受的通用选择退出机制。
- 康涅狄格州:自2025年1月1日起,企业须依据康涅狄格州数据隐私法遵守通用选择退出信号。
- 蒙大拿州、得克萨斯州:同样要求遵守通用选择退出机制。
- 马里兰州:自2025年10月1日起生效的《马里兰州在线数据隐私法》(MODPA)要求遵守选择退出信号。
- 新泽西州:根据自2025年7月15日起生效的《新泽西州数据隐私法》,企业须遵守GPC。
- 俄勒冈州:根据自2026年1月1日起生效的《俄勒冈州消费者隐私法》,企业须遵守符合条件的选择退出信号。
到2026年7月,至少将有12个州强制要求认可GPC等通用选择退出机制。
联邦层面情况
美国国会多次提出全面的联邦隐私法案,但均未获得通过。联邦贸易委员会(FTC)依据《联邦贸易委员会法》第5条,对具有欺骗性的Cookie行为拥有有限的执法权限。
加拿大:PIPEDA与停滞的改革
加拿大通过《个人信息保护与电子文件法》(PIPEDA)和《加拿大反垃圾邮件法》(CASL)对Cookie进行监管。隐私专员办公室(OPC)负责执法和提供指导。
根据PIPEDA,机构在收集或使用个人信息时必须取得有实质意义的同意。OPC将跟踪可识别行为的分析类和广告类Cookie解释为需要明示同意。收集不可识别信息的Cookie则可以依赖默示同意。
原本旨在以更严格规则取代PIPEDA的C-27法案(《2022年数字宪章实施法》),因议会于2025年1月6日休会而未能在议事日程上完成审议,自动失效。截至2026年5月,该法案尚未重新提出。PIPEDA仍是现行适用的法律。
巴西:LGPD
巴西的《通用数据保护法》(LGPD)并未包含专门的Cookie条款,但其关于处理个人数据须具备合法依据的要求同样适用于收集个人信息的Cookie。国家数据保护局(ANPD)将同意视为广告类和分析类Cookie的适当合法依据。巴西网站在实践中已普遍采用欧盟式的Cookie横幅,部分原因是许多网站同时服务于欧洲用户,部分原因是ANPD对跟踪技术采取了倾向于要求同意的立场。
中国:《个人信息保护法》
中国的《个人信息保护法》(PIPL)自2021年11月起施行,将Cookie纳入其更广泛的个人信息保护框架予以规范。国家互联网信息办公室(网信办)负责监督执行。
《个人信息保护法》要求在处理个人信息前须取得同意或具备其他法定合法依据。涉及与第三方共享数据或跨境传输的广告类Cookie,须满足额外要求,包括开展数据传输影响评估。中国在第三方数据共享方面的规定尤为严格:个人信息的每一次跨境提供都需要单独的合法依据,在许多情况下还需要向网信办报送安全评估。
日本:《个人信息保护法》(APPI)
日本的《个人信息保护法》(APPI)于2022年4月经历重大修订,通过“个人关联信息”这一概念对Cookie进行规范。个人信息保护委员会(PPC)负责执行该法。
当一家企业向第三方提供Cookie标识符,而该第三方能够将其与其他数据结合以识别特定个人时,提供方企业必须确认第三方已取得该个人的同意。日本对第一方Cookie不要求设置欧盟式的同意横幅。监管重点在于用于广告目的的第三方数据共享,而非最初的Cookie放置行为。
韩国:《个人信息保护法》(PIPA)
韩国的《个人信息保护法》(PIPA)是亚洲最为严格的框架之一。个人信息保护委员会(PIPC)与专门规范在线跟踪的《网络法》共同负责执行该法。
PIPA要求在收集个人信息时须取得同意,这一要求涵盖了跟踪可识别用户的Cookie。韩国网站普遍会显示Cookie同意提示。PIPC在执法方面较为活跃,针对通过跟踪技术收集个人数据的违规行为,罚款金额可达数十亿韩元。
印度:DPDPA与2025年规则
印度的《2023年数字个人数据保护法》(DPDPA)于2023年8月颁布。电子信息技术部已于2025年11月13日发布2025年《数字个人数据保护规则》,正式启动该框架的实施。
DPDPA要求同意须具体明确、不含糊,并须体现明确的肯定性行为,这一表述与GDPR的规定十分相近。收集个人数据的Cookie须取得同意。新设立的“同意管理人”框架允许在印度数据保护委员会登记的中介机构代表数据主体处理同意事宜。
该法的实施遵循分阶段时间表:数据保护委员会已于2025年11月成立;同意管理人登记将于2026年11月开放;包括同意和安全要求在内的所有其他条款将于2027年5月13日生效。
澳大利亚:《隐私法》修订
澳大利亚通过《1988年隐私法》和澳大利亚隐私原则规范在线数据收集,由澳大利亚信息专员办公室(OAIC)负责执法。
《2024年隐私与其他立法修正法》已于2024年12月签署成为法律,是多年来最重大的一次改革。影响Cookie的主要变化包括:
- 同意必须是自愿、知情、及时、具体且不含糊的。预先勾选的选项和暗黑模式设计受到限制。
- 计划于2026年推出的进一步修订,将扩大个人信息的定义范围,明确纳入IP地址、设备识别码和Cookie标识符等技术性标识信息。
澳大利亚目前仍不要求设置弹出式Cookie同意横幅;通过隐私政策进行告知通常即可满足现行要求。但整体趋势正朝着更严格的Cookie专项义务方向发展。

分地区概览
拉丁美洲
除巴西外,拉丁美洲多个国家也在加强其数据保护框架。智利于2024年修订了数据保护法。哥伦比亚将其《个人数据保护法》(第1581/2012号法律)适用于在线数据收集。阿根廷依据第25,326号《个人数据保护法》运作,并正在制定更新规则。该地区的整体趋势是加强针对跟踪技术的同意要求,巴西的ANPD在该地区起着执法参照标杆的作用。
亚太地区
新加坡:《个人数据保护法》(PDPA)要求在收集个人数据时须取得同意,这一要求涵盖了可识别个人身份的Cookie。个人数据保护委员会(PDPC)在执法方面较为活跃,罚款最高可达100万新元,对于情节严重的违规行为,罚款可提高至本地营业额的10%。
泰国:《个人数据保护法》(PDPA)已于2022年6月全面生效,要求通过Cookie收集个人数据时须取得同意。同意必须是自愿给予、具体明确且知情的。
越南:《个人数据保护法令》(2023年)针对个人数据处理(包括基于Cookie的跟踪)引入了同意要求。
印度尼西亚:《个人数据保护法》(2022年)要求数据处理须具备合法依据,同意是跟踪技术最主要的合法依据。
新西兰:《2020年隐私法》要求就数据收集进行告知,但不强制要求设置Cookie同意横幅。隐私专员办公室就Cookie最佳实践提供指导。
中东与非洲
阿拉伯联合酋长国:《2021年第45号联邦法令(个人数据保护)》要求处理个人数据(包括Cookie)须取得数据主体的同意。
沙特阿拉伯:自2023年9月起生效的《个人数据保护法》(PDPL)要求,除非法律另有授权,否则处理个人数据须取得同意。
南非:《个人信息保护法》(POPIA)要求处理个人信息须取得同意,信息监管机构已将行为跟踪类Cookie纳入这一要求的适用范围。
尼日利亚:《尼日利亚数据保护条例》(NDPR)和《2023年尼日利亚数据保护法》均要求收集个人数据须取得同意。
肯尼亚:《2019年数据保护法》要求处理个人数据(包括基于Cookie的跟踪)须取得同意。
以色列:《隐私保护法》要求就数据收集进行告知。以色列的做法更接近仅需告知模式,但目前正在对其框架进行现代化改造。
土耳其:《个人数据保护法》(KVKK,第6698号法律)要求处理敏感数据须取得明示同意,处理一般个人数据(包括Cookie)须取得知情同意。
瑞士:自2023年9月起生效的修订版《联邦数据保护法》(revDSG)使瑞士的框架与相当于GDPR的标准接轨,要求收集个人数据的Cookie须取得同意。
全球比较表
| 国家/地区 | 同意模式 | 法律依据 | 执法机构 | 最高罚款 |
|---|---|---|---|---|
| 欧盟(27国) | 选择加入 | ePrivacy指令 + GDPR | 各国数据保护机构 | 2000万欧元 / 营业额4% |
| 英国 | 选择加入(DUAA后分析类/偏好类Cookie豁免) | PECR + 英国GDPR | ICO | 1750万英镑 / 营业额4% |
| 美国 | 选择退出(州级) | 各州隐私法 | 各州总检察长、FTC | 因州而异 |
| 加拿大 | 有实质意义的同意 | PIPEDA、CASL | OPC | 10万加元 |
| 巴西 | 倾向于同意 | LGPD | ANPD | 营收2%,上限5000万雷亚尔 |
| 中国 | 同意 | 个人信息保护法 | 网信办 | 5000万元人民币 / 营收5% |
| 日本 | 第三方同意 | APPI | 个人信息保护委员会 | 1亿日元 |
| 韩国 | 选择加入 | PIPA + 网络法 | PIPC | 营收3% |
| 印度 | 同意(2027年5月起执行) | DPDPA + 2025年DPDP规则 | 印度数据保护委员会 | 2.5亿卢比 |
| 澳大利亚 | 告知(正在收紧) | 1988年隐私法(2024年修订) | OAIC | 5000万澳元 |
| 新加坡 | 同意 | PDPA | PDPC | 本地营业额10% |
| 泰国 | 同意 | PDPA | 泰国PDPC | 500万泰铢 |
| 南非 | 同意 | POPIA | 信息监管机构 | 1000万兰特 |
| 尼日利亚 | 同意 | NDPR / 2023年NDP法 | NITDA / NDPC | 营业额2% |
| 阿联酋 | 同意 | 第45/2021号联邦法令 | 阿联酋数据办公室 | 500万迪拉姆 |
| 土耳其 | 同意 | KVKK | KVKK委员会 | 行政罚款 |
| 瑞士 | 同意 | revDSG(2023年) | FDPIC | 25万瑞士法郎(针对个人) |
| 以色列 | 告知 | 隐私保护法 | PPA | 行政罚款 |
| 新西兰 | 告知 | 2020年隐私法 | 新西兰OPC | 罚款较轻 |
Cookie横幅执法与“同意或付费”模式
EDPB Cookie横幅工作组
EDPB的Cookie横幅工作组负责协调各国数据保护机构之间的执法工作。其2023年报告确立了具有约束力的最低标准:拒绝选项必须与接受选项同样容易操作;界面设计不得利用颜色、尺寸或措辞诱导用户接受;同意必须按目的分别征得,不得捆绑处理。各国数据保护机构已依据这些标准发出执法通知,针对具有欺骗性的Cookie横幅的罚款在各成员国持续出现。
“同意或付费”模式
“同意或付费”模式为用户提供二选一的选择:要么同意接受行为定向广告,要么支付订阅费用以使用服务。Meta已于2023年在欧盟对Facebook和Instagram采用了这一模式。
2024年4月,EDPB第08/2024号意见认定,对于大型在线平台而言,“同意或付费”模式通常无法产生有效的、自愿给予的同意。EDPB认为,如果用户除同意之外没有真正的替代选择,便无法满足“自愿给予”这一标准。EDPB建议大型平台提供一种既不含行为定向广告、也无需付费的对等替代方案。Meta针对该意见提出的法律挑战已于2025年被欧盟普通法院驳回。
对于规模较小的网站而言,相关规则尚不明朗。欧盟大多数数据保护机构对Cookie墙持限制性立场。对于面向欧盟用户的网站而言,最稳妥的做法是无论用户如何选择Cookie,都允许其访问网站。
浏览器层面的同意信号:全球隐私控制
全球隐私控制(GPC)是一种浏览器或浏览器扩展信号,可将用户的选择退出偏好传达给其访问的每一个网站。Firefox和Brave浏览器原生支持该信号,Chrome和Safari则可通过扩展程序支持。
在美国,越来越多的州已在法律上要求遵守GPC。加利福尼亚州隐私保护局(CPPA)已于2025年9月与科罗拉多州和康涅狄格州总检察长联合开展了针对GPC违规行为的协同执法行动。到2026年7月,至少将有12个州强制要求认可GPC或同等的通用选择退出机制。
在欧盟,《数字综合法案》提案将要求数据控制者遵守机器可读的同意信号,这将首次在欧洲法律中赋予类似GPC的信号以法律效力。
实践意义在于:目前尚未监听GPC信号的网站,在美国已落后于法律要求的发展步伐,而到2027年,在欧盟也可能需要遵守基于信号的同意机制。
多国合规实操指南
基于地理定位的同意机制
大多数合规平台使用IP地理定位技术,来判断应对每位访问者适用哪种同意规则。来自欧盟的访问者会看到完整的选择加入横幅。来自强制要求GPC的美国某州的访问者,则会看到选择退出选项,且GPC信号会得到遵守。来自澳大利亚的访问者则会看到隐私政策提示。基于地理定位的分流处理,是大型跨国出版商采用的标准做法。
全球统一底线策略
对于无法针对不同法域实施差异化流程的机构而言,对所有访问者一律适用欧盟标准的选择加入同意机制,是最稳妥也最简单的做法。满足欧盟的要求,几乎可以满足乃至超出其他所有法域的要求。这样做的代价在于,当要求选择加入时,非必要Cookie的同意率往往会显著降低,进而影响广告收入和分析数据的覆盖范围。
同意管理平台
专门的同意管理平台(CMP)可实现Cookie扫描、横幅展示、同意记录以及基于同意状态的Cookie屏蔽等操作的自动化。在为多国合规选择CMP时,应核实其是否支持网站所服务的具体法域、能否遵守GPC信号,以及同意记录的存储格式是否符合GDPR的审计要求(第7(1)条)。
本文提供的是一般法律信息,而非法律建议。Cookie合规要求取决于您网站所面向的具体法域、所使用的Cookie类型以及您所在机构的业务活动。如需针对您的具体情况获得建议,请在每个相关法域咨询具备资质的律师。
Frequently Asked Questions
哪些国家要求Cookie采用选择加入(opt-in)同意机制?
欧盟全部27个成员国均根据ePrivacy指令和GDPR要求采用选择加入同意机制。英国根据PECR要求采用选择加入同意机制(2025年DUAA新增了分析类和偏好类Cookie的豁免)。韩国根据PIPA要求取得同意。巴西、中国、泰国、南非、新加坡等多个国家要求对处理个人数据的Cookie取得同意。美国没有任何一个州要求Cookie采用欧盟式的选择加入同意机制。
拟议中的欧盟ePrivacy条例草案后来怎样了?
欧盟委员会于2025年2月发布的2025年工作计划,在历经多年立法僵局后,正式撤回了ePrivacy条例草案。委员会指出,欧洲议会与欧盟理事会之间无法达成一致,且鉴于欧盟较新的数字立法,该提案已显得过时。现行的ePrivacy指令(2002/58/EC号)及其各国转化立法仍然有效。
欧盟《数字综合法案》是什么,它对Cookie有何影响?
欧盟委员会已于2025年11月19日提出《数字综合法案》一揽子提案。就Cookie而言,主要变化将把个人数据处理规则完全从ePrivacy指令转移至GDPR,为第一方分析类和功能性Cookie新增豁免情形,并要求企业遵守机器可读的浏览器同意信号。该法案目前仍处于立法审议阶段,最早也要到2027年才有望生效。
英国2025年DUAA对Cookie同意规则作出了哪些改变?
《数据(使用与获取)法案2025》已于2025年6月19日获得英国王室御准,主要条款已于2026年2月5日生效。DUAA在PECR下新增了两类Cookie豁免:仅收集汇总统计数据的分析类Cookie不再需要同意,偏好设置类Cookie(如语言或主题设置)同样豁免。广告类、定向投放类和效果衡量类Cookie仍需取得同意。DUAA还将PECR的最高罚款额提高至与英国GDPR相同的水平:最高1750万英镑或全球营业额的4%。
我在美国的网站是否需要为欧盟访问者设置Cookie横幅?
如果您的网站可供欧盟访问者访问并处理其个人数据,则GDPR和ePrivacy指令均适用。您的网站是否专门以欧盟用户为目标受众,会影响实际的执法风险,但对于任何处理欧盟居民个人数据的网站而言,相应的法律义务都是存在的。对检测到来自欧盟的访问者展示选择加入的Cookie同意横幅,是拥有相当规模欧盟流量的美国机构的标准合规做法。
什么是全球隐私控制,美国哪些州要求遵守该信号?
全球隐私控制是一种浏览器层面的信号,用于向网站传达用户的选择退出偏好。截至2026年5月,要求企业遵守GPC的州包括加利福尼亚州、科罗拉多州、康涅狄格州、蒙大拿州、得克萨斯州、马里兰州、新泽西州和俄勒冈州。加利福尼亚州隐私保护局已于2025年9月开展了针对GPC违规行为的协同执法行动。到2026年7月,至少将有12个州要求认可GPC或同等的通用选择退出机制。
在欧盟,“同意或付费”式的Cookie墙是否合法?
对于大型在线平台而言,EDPB第08/2024号意见认定该模式通常无法产生符合GDPR要求的有效同意。EDPB认为,如果用户只能在同意接受行为定向广告与支付费用之间二选一,便无法满足“自愿给予”这一要求。Meta针对该意见提出的法律挑战已于2025年被欧盟普通法院驳回。对于规模较小的网站,相关分析尚不明朗,但欧盟大多数数据保护机构均持限制性立场。最稳妥的做法是,无论用户如何选择Cookie,都允许其访问网站。
印度DPDPA的Cookie同意规则何时生效?
印度2025年《数字个人数据保护规则》已于2025年11月13日发布,设立了印度数据保护委员会。同意管理人登记将于2026年11月开放。包括同意、隐私声明和安全要求在内的所有实质性条款,将于2027年5月13日生效。此后,使用Cookie收集印度用户个人数据的机构,将需要取得具体明确、不含糊并体现明确肯定性行为的同意。
澳大利亚是否要求设置Cookie同意横幅?
澳大利亚目前尚不要求设置弹出式Cookie同意横幅。《1988年隐私法》要求就个人数据收集进行告知,通过隐私政策即可实现这一要求。已于2024年12月签署成为法律的《2024年隐私与其他立法修正法》强化了同意标准,计划于2026年推出的进一步修订将扩大个人信息的定义,明确纳入Cookie标识符。整体趋势正朝着更严格的Cookie同意要求方向发展。
在全球范围内统一适用欧盟Cookie同意规则,是否是最稳妥的做法?
是的。无论访问者身处何地,一律适用欧盟标准的选择加入同意机制,几乎可以满足乃至超出其他所有法域的要求。主要的代价在于,选择加入模式会导致许多用户拒绝非必要Cookie,从而降低分析数据的覆盖范围和广告收入。拥有大量非欧盟流量的机构,有时会采用基于地理定位的分流方案,对不要求选择加入的法域的访问者适用选择退出或仅需告知的规则,以在这些市场中保留分析和广告效果。
Sources and References
- ePrivacy指令(2002/58/EC号)(eur-lex.europa.eu).gov
- 欧洲法院C-673/17号案(Planet49案)(curia.europa.eu).gov
- EDPB Cookie横幅工作组报告(edpb.europa.eu).gov
- EDPB关于“同意或付费”的第08/2024号意见(edpb.europa.eu).gov
- 法国CNIL Cookie指南(cnil.fr).gov
- 意大利Garante Cookie指南(garanteprivacy.it).gov
- 英国2003年PECR条例(legislation.gov.uk).gov
- 英国ICO,《数据使用与获取法案2025》说明(ico.org.uk).gov
- 英国ICO Cookie指南(ico.org.uk).gov
- 加利福尼亚州CCPA(oag.ca.gov).gov
- 全球隐私控制(GPC)W3C规范(w3.org)
- 加拿大PIPEDA(laws-lois.justice.gc.ca).gov
- 加拿大CASL(laws-lois.justice.gc.ca).gov
- 加拿大隐私专员办公室(OPC)(priv.gc.ca).gov
- 巴西LGPD(planalto.gov.br).gov
- 巴西国家数据保护局(ANPD)(gov.br).gov
- 中国《个人信息保护法》(PIPL)(npc.gov.cn).gov
- 日本个人信息保护委员会(PPC),APPI(ppc.go.jp).gov
- 韩国个人信息保护委员会(PIPC),PIPA(pipc.go.kr).gov
- 印度2025年DPDP规则(meity.gov.in).gov
- 澳大利亚1988年隐私法(legislation.gov.au).gov
- 澳大利亚信息专员办公室(OAIC)(oaic.gov.au).gov
- 西班牙LSSI(第34/2002号法律)(boe.es).gov