GDPR同意要求:什么才算有效同意(2026年版)

根据GDPR第4(11)条,有效同意必须同时满足四个累积条件:个人必须自愿作出同意,同意须针对特定目的,须以充分知情为基础,并须通过明确的肯定性行为作出。第7条进一步要求控制者对该同意予以记录,允许个人轻松撤回同意,并且不得将服务的提供与非必要处理事项的同意相捆绑。
同意是GDPR项下处理个人数据的六种合法依据之一。组织一旦选择以同意作为依据,就必须满足严格的标准。将隐私政策隐藏在冗长的条款和条件之中并不符合要求,预先勾选的复选框也不符合要求,不作为同样不符合要求。
同意机制出现问题可能招致执法罚款。如果这种问题在大规模业务中出现,正如谷歌和SHEIN在2025年9月所经历的那样,罚款金额可能达到九位数(欧元)。本指南将详细说明有效同意的构成要件、何时应以同意作为处理依据(以及何时不应如此),并分析2024年至2026年间监管动态在实践中的意义。
有关该条例的全面介绍,请参阅什么是GDPR。有关Cookie相关规则,请参阅《电子隐私指令》指南。有关分步合规方案,请参阅GDPR合规清单。
本文仅供参考,不构成法律意见。如需针对具体情况提供指导,请咨询合格的数据保护律师或隐私专业人士。
快速解答:GDPR项下什么样的同意才有效?
GDPR第4(11)条将同意定义为:数据主体通过声明或明确的肯定性行为,自愿、针对特定目的、在知情基础上作出的、清楚表明其同意处理与其相关个人数据意愿的明确表示。
四个要件必须同时具备,缺少任何一个都会导致同意整体无效。
- 自愿作出:真实自由的选择,不存在胁迫,不与无关条件捆绑
- 特定明确:针对每一独立目的分别取得同意
- 知情:在个人作出决定之前,以清晰、通俗的语言说明处理主体、处理内容及处理原因
- 明确无歧义:须为积极的选择加入行为,沉默或不作为永远不构成同意
第7条进一步规定了同意一旦取得之后应如何管理的具体条件。《欧洲数据保护委员会关于同意的05/2020号指南》至今仍是对上述要求最具权威性的解读。
四大构成要件详解
一、自愿作出(有效同意的自愿要件)
只有当个人拥有真实、自由的选择权,并且拒绝同意不会使其遭受任何不利后果时,同意才有效。
权力不对等。 当控制者与数据主体之间存在明显的权力不对等时,同意通常难以被认定为自愿作出。最典型的例子就是雇佣关系:员工往往感到自己实际上无法拒绝雇主提出的数据处理要求。欧洲数据保护委员会的指南警告称,正因为这种不对等关系,在大多数雇佣场景中,同意都不能作为有效的处理依据。
附加条件。 根据第7(4)条,组织不得将对非必要处理事项的同意与服务的提供相捆绑。如果一家电商网站要求顾客同意接收营销邮件作为完成购买的条件,则该同意归于无效。只要拒绝同意就会导致无法使用服务,该同意就不能被视为自愿作出。
颗粒度要求。 用一个“我同意所有数据用途”的复选框涵盖多个互不相关的目的,并不满足特定性要求,也会损害个人的自由选择权。个人必须能够独立地对某些目的表示同意,同时拒绝其他目的。
不得造成不利后果。 拒绝或撤回同意不得导致惩罚、服务降级,或超出严格必要范围的访问限制。如果某平台对拒绝可选数据处理的用户降低功能,那么该平台从同意用户处取得的同意也可能受到质疑。
二、特定明确
同意必须与每一项具体处理目的分别对应,涵盖当前及未来所有数据用途的概括性同意是无效的。
欧洲数据保护委员会指南要求针对每一项独立的处理活动分别提出同意请求。例如,若某组织收集电子邮箱地址用于发送新闻通讯,同时又想将这些地址提供给第三方广告商,就需要分别提出两项独立的同意请求,而不能将二者叠加在同一个复选框之下。
目的蔓延是常见问题。若组织日后希望将数据用于原始同意未涵盖的目的,不能简单地援引该原始同意,而必须为新目的重新取得特定同意,或另行确定其他合法处理依据。
三、知情
个人在作出同意之前,必须获得足够信息以作出有实际意义的决定。欧盟委员会的指导文件明确规定,在提出同意请求时必须披露以下信息:
- 控制者的身份
- 每项处理活动的具体目的
- 拟收集和处理的数据类型
- 随时撤回同意的权利
- 数据是否将用于自动化决策或用户画像
- 如涉及跨境数据传输,相关传输情况
上述信息必须以清晰、通俗的语言呈现。将其隐藏在冗长隐私政策的链接背后,或使用晦涩的法律术语表述,均不满足知情要求。欧洲数据保护委员会一贯认为,采用分层告知方式(简要摘要配以可点击查看完整细节的链接)是可以接受的,但核心信息必须在个人作出同意行为之前真正做到易于获取和理解。
四、明确无歧义(清晰的肯定性行为)
GDPR及其序言第32段明确规定:沉默、预先勾选的复选框以及不作为均不构成同意。
有效的肯定性行为包括:
- 勾选原本未勾选的选择加入复选框
- 在处理信息已清晰呈现的情况下点击“我同意”或“接受”按钮
- 在隐私设置面板中选择具体选项
- 签署书面同意表
- 作出口头声明(尽管对此进行记录存在难度)
滚动浏览页面、在通知弹出后继续停留在网站上,或未取消勾选预先勾选的复选框,均不属于肯定性行为。Planet49案(欧盟法院,案号C-673/17,2019年10月)对此作出了明确判决:法院认定,预先勾选的复选框无论是在《电子隐私指令》还是在GDPR项下都不构成有效同意,因为它并未体现用户的主动行为。

第7条关于同意管理的具体条件
第4(11)条界定了同意的定义,第7条则规定了同意一旦取得后应当如何管理。
可证明性(第7(1)条)
控制者必须能够证明数据主体已作出同意,这是一项持续性义务,而非一次性事项。英国信息专员办公室(ICO)关于同意记录的指南建议记录以下内容:
- 谁作出了同意(须有足够信息识别该个人)
- 何时作出同意(具体日期和时间)
- 作出同意时被告知的内容(当时呈现的确切同意声明或表单)
- 以何种方式作出同意(在线复选框、口头方式、签署表单等)
- 该同意此后是否已被撤回,以及撤回的时间
仅仅存储一个简单的“同意=真”标记是不够的。如果同意声明的内容日后发生变化,组织必须保留版本历史记录,以便准确证明每位个人在当时具体同意了什么内容。
可理解性与可获取性(第7(2)条)
如果同意是在涵盖其他事项的书面声明(例如服务条款)背景下作出的,同意请求部分必须能够清晰区分,须使用通俗语言表述,且不得使用不必要的复杂措辞。任何不符合GDPR要求的条款均不具有约束力。
撤回权(第7(3)条)
以下两项规则不容商榷。
撤回同意的难易程度必须与作出同意时相当。 如果同意是通过单击一次操作作出的,撤回同意也必须能够通过不超过一次点击实现。如果最初只需勾选一个复选框即可作出的同意,撤回时却要求打电话、寄信或在多层账户设置菜单中辗转查找,则构成违规。多起执法案例已直接引用这一违规行为作为处罚依据。
撤回权必须在取得同意之前就告知个人。 若仅在个人已作出同意之后才告知其撤回权,并不满足第7(3)条的要求。
撤回不具有溯及力。在同意有效期间已经发生的处理行为仍属合法,但组织此后必须立即停止一切基于该同意进行的处理活动。
不得造成不利后果(第7(4)条)
本条对附加条件规则作出了明确规定:在评估同意是否为自愿作出时,须格外重视合同的履行是否被附加了对该合同并非必要的处理事项的同意条件。
同意与其他五种合法依据的比较
同意只是第6条规定的六种合法依据之一。许多组织默认选用同意作为依据,但在很多情况下,采用其他依据反而更简便、更稳定,法律基础也更牢固。
| 合法依据 | 适用情形 |
|---|---|
| 合同(第6(1)(b)条) | 处理是为履行与数据主体订立的合同所必需,或应数据主体要求采取缔约前的必要步骤 |
| 法定义务(第6(1)(c)条) | 处理是欧盟或成员国法律所要求的(例如税务申报、反洗钱合规) |
| 重大利益(第6(1)(d)条) | 为保护某人的生命安全,而该人无法作出同意 |
| 公共任务(第6(1)(e)条) | 行使官方职权或履行符合公共利益的任务 |
| 合法利益(第6(1)(f)条) | 经书面利益权衡测试后,控制者或第三方的利益超过数据主体的权利 |
| 同意(第6(1)(a)条) | 数据主体自愿同意特定的处理活动 |
为何草率选择同意会带来问题。 同意会带来持续性的管理负担:需要维护记录、提供撤回机制、在目的变更时重新取得同意,以及处理撤回请求。如果确有其他依据合法适用,采用该依据几乎总是更为可行。ICO关于何时适合使用同意的指南建议,只有在确实希望赋予个人对本非必要处理事项的持续控制权时,才应选择以同意作为依据。
组织也不能事后追溯更换处理依据。如果同意被撤回,组织不能仅凭一句声明就宣称自己一直是以合法利益为依据,除非该依据从一开始就确实适用并已作书面记录。
特殊类别数据的明确同意
第9条禁止处理特殊类别数据(包括健康数据、生物识别数据、基因数据、种族或民族出身、政治观点、宗教信仰、工会会员身份,以及涉及性生活或性取向的数据),除非存在特定的例外情形。“明确同意”就是其中一种例外情形。
明确同意的标准高于普通同意,要求满足以下条件:
- 清晰、明示的声明,须明确提及具体的敏感数据类别及处理目的
- 主动且明确无歧义的确认,对于特殊类别数据,默示或推定的同意永远不够
- 与其他处理事项的一般同意相互独立分开取得
一句笼统的“我同意我的数据被处理”并不满足针对健康数据的明确同意要求,同意声明必须直接指明数据类型和处理目的。

儿童同意(第8条)
第8条对直接向儿童提供信息社会服务(ISS)的情形规定了额外要求。信息社会服务涵盖社交媒体平台、应用程序、网络游戏、流媒体服务,以及绝大多数收集个人数据的商业网站。
欧洲各国的年龄门槛
GDPR将默认年龄门槛设定为16岁,未满该年龄的儿童须取得父母或监护人的同意。成员国可以将该门槛降低至最低13岁,因此各国的规定形成了一种参差不齐的格局:
| 年龄 | 国家 |
|---|---|
| 13岁 | 比利时、捷克、丹麦、爱沙尼亚、芬兰、拉脱维亚、马耳他、葡萄牙、瑞典 |
| 14岁 | 奥地利、保加利亚、塞浦路斯、意大利、立陶宛、西班牙 |
| 15岁 | 法国、希腊、斯洛文尼亚 |
| 16岁 | 德国、匈牙利、爱尔兰、卢森堡、荷兰、波兰、罗马尼亚、斯洛伐克 |
在多个欧盟成员国运营的服务,必须针对每个国家的用户分别适用该国的年龄门槛,而不能统一适用某一个全欧盟通用的年龄标准。
年龄核实与年龄保证
第8(2)条要求控制者作出“合理努力”以核实是否已取得父母同意。何为合理,取决于所涉处理活动的风险高低。欧洲数据保护委员会关于年龄保证的第1/2025号声明关注了技术性年龄核实工具日益广泛的使用,并指出年龄估算、年龄核实和自我申报分别代表了不同的保证等级,适用于不同的风险情境。
年龄保证在《数字服务法》(DSA)框架下的相关性也日益增强,该法对超大型在线平台就未成年人保护规定了单独的义务。欧洲数据保护委员会的《关于DSA与GDPR衔接问题的3/2025号指南》对这两套制度之间的相互关系作出了说明。
预防性与咨询性服务
第8条不适用于为保护儿童福祉而直接向儿童提供的咨询性和预防性服务。在父母的介入可能损害儿童利益的情况下,此类服务可以在未取得父母同意的情况下处理儿童数据。
Cookie同意与《电子隐私指令》
目前,Cookie同意问题受《电子隐私指令》(2002/58/EC号指令)管辖,而非直接适用GDPR。当Cookie涉及个人数据时,GDPR适用于对该数据的后续处理,但最初设置Cookie的许可事宜则由《电子隐私指令》规范。有关完整框架,请参阅《电子隐私指令》指南。
关键规则:非必要Cookie必须取得同意
合法利益不能作为设置非必要Cookie的依据。《电子隐私指令》要求,在用户设备上存储信息必须取得用户同意,且该同意必须满足GDPR的全部标准。这一点已在Planet49案(案号C-673/17)中得到确认,各主要数据保护机构发布的Cookie指南也一再重申了这一规则。
需要取得同意的Cookie类型
- 分析统计类Cookie(如Google Analytics及类似工具)
- 广告和行为追踪类Cookie
- 社交媒体插件及分享按钮
- 对提供服务并非严格必要的个性化Cookie
无需取得同意的Cookie类型
严格必要的Cookie不受此限制,包括:
- 会话管理类Cookie(如购物车、登录状态)
- 安全与防欺诈类Cookie
- 负载均衡令牌
- 用于无障碍或语言设置等用户偏好的Cookie
Cookie横幅提示的要求
欧洲数据保护委员会Cookie横幅专项工作组报告指出了最常见的几类违规行为:
- 首层界面未提供“全部拒绝”选项(使拒绝比接受更困难)
- 对可选Cookie使用预先勾选的复选框
- 采用欺骗性设计诱导用户点击接受
- 以合法利益作为广告类Cookie的处理依据
- 使撤回Cookie同意比作出同意更为困难
欧洲数据保护委员会关于欺骗性设计模式的03/2022号指南详细论述了横幅操纵问题,同样适用于社交媒体平台及其他在线服务。
“同意或付费”模式与EDPB第08/2024号意见
越来越多的大型在线平台向用户提供一种二选一的模式:要么同意接受行为定向广告,要么支付订阅费用。2024年4月,应荷兰、挪威及汉堡数据保护机构的请求,欧洲数据保护委员会发布了第08/2024号意见。
核心结论。 在大多数情况下,如果大型在线平台仅向用户提供“同意行为定向广告数据处理”或“付费”这两种选择,则无法满足有效同意的各项要求。该意见并未一概宣布此类模式违法,但为其设定了严格的适用条件。
该意见提出的要求:
- “同意”选项必须真正满足GDPR同意的全部四项条件,包括必须是自愿作出的。
- 付费替代方案必须是真正等效的服务,而非功能被削弱的版本。
- 平台应考虑提供第三种选择,即基于场景(非行为定向)广告支持的访问方式,该方式除展示内容严格必要之外,不需要进行额外的个人数据处理。
- 所收取的费用不得定得过高,以致对无力支付的用户产生实质性的强迫效果。
欧洲数据保护委员会承诺将就“同意或付费”模式制定范围更广、内容更完整的指南,并于2024年11月举行了利益相关方咨询活动。
该意见与社交媒体平台、新闻出版机构,以及任何已经实施或正在考虑以订阅制取代广告支持免费访问模式的服务均直接相关。
DMA与GDPR:守门企业的义务
对于依《数字市场法》(DMA)被认定为“守门企业”的平台,还需遵守额外的限制性规定。2025年,欧洲数据保护委员会与欧盟委员会联合发布了《关于DMA与GDPR衔接问题的指南》,明确了守门企业应如何在符合GDPR的前提下落实《数字市场法》第5(2)条(该条要求在核心平台服务之间合并个人数据时须提供特定选择并取得有效同意)。对于既是DMA意义上的守门企业、又受GDPR管辖的平台而言,两套要求须同时满足。

常见的同意错误
各国数据保护机构的执法决定和欧洲数据保护委员会的审计结果反复揭示出相同的问题,以下是其中最常见的几类:
一、未审查其他替代依据,径直将同意作为默认处理依据。 许多组织把本可以合法依据合同必要性或合法利益的业务处理“包装”成同意机制,这会带来不必要的撤回义务,并在用户日后行使撤回权时使运营复杂化。
二、预先勾选复选框或未提供拒绝选项。 这仍是被引用最多的Cookie同意违规行为。在任何Cookie横幅提示的首层界面中,拒绝选项都必须与接受选项同样醒目、同样易于操作。
三、使撤回同意比作出同意更困难。 如果撤回最初仅需点击一个按钮即可作出的同意,却要求打电话、寄信或在层层嵌套的账户设置中查找,就直接违反了第7(3)条。
四、捆绑式同意。 用一个复选框同时涵盖新闻通讯订阅、广告用户画像和第三方数据共享是无效的,每一目的都需要单独、独立呈现的复选框。
五、同意声明未做版本管理。 如果修改同意表单时未保留此前版本,组织将无法证明在修改之前作出同意的个人当时究竟同意了什么内容。
六、错误地将分析类Cookie归类为严格必要。 统计用户如何浏览网站虽然有用,但对提供服务而言并非严格必要,分析类Cookie仍需取得同意。
七、撤回后仍继续处理数据。 系统必须具备相应机制,在记录到撤回操作后立即停止基于该同意的处理。由客户关系管理(CRM)系统下游数据流转造成的延迟,是投诉中反复出现的问题。
八、以合法利益作为基于Cookie追踪的依据。 在现行《电子隐私指令》框架下,这种做法仍被明确禁止。在Cookie同意提示中援引合法利益并不能使其合法化。
执法案例
CNIL诉谷歌案(2025年9月,罚款3.25亿欧元)
2025年9月,法国CNIL对Google LLC(2亿欧元)和Google Ireland Limited(1.25亿欧元)共计处以3.25亿欧元罚款。该调查源于NOYB提出的投诉,发现存在两项独立的违规行为:其一,Gmail在未取得用户同意的情况下,在用户收件箱的私人邮件之间插入推广信息;其二,在账户创建过程中,同意界面的设计使拒绝广告类Cookie明显比接受更为困难,并且未告知用户使用谷歌旗下服务需以放置广告类Cookie为前提。CNIL责令谷歌在六个月内停止在未事先取得同意的情况下向Gmail插入广告。
CNIL诉SHEIN案(2025年9月,罚款1.5亿欧元)
在同一执法周期内,CNIL对SHEIN的爱尔兰子公司Infinite Styles Services Co. Limited处以1.5亿欧元罚款,原因是该公司在用户与同意横幅发生任何交互之前,即在用户尚无机会接受或拒绝之前,就已在其设备上放置了广告类Cookie。调查还发现,即便用户点击了“全部拒绝”,Cookie仍在继续被放置,此前已设置的Cookie也仍在被读取。由于每月约有1200万法国居民访问该网站,违规行为的规模是罚款金额居高不下的重要原因。
Meta行为定向广告案(EDPB具有约束力的决定,2023年)
2023年,欧洲数据保护委员会发布了一项紧急具有约束力的决定,责令爱尔兰数据保护委员会(DPC)要求Meta停止在缺乏有效合法依据的情况下为行为定向广告目的处理个人数据。该决定通过“一站式”机制在整个欧盟范围内得到执行,促使Meta在欧盟/欧洲经济区放弃此前所依据的“合法利益”和“履行合同”理由,转而采用以同意为基础的模式。
近期及未来发展动态(2025年至2026年)
2025年11月:《数字综合一揽子提案》
2025年11月19日,欧盟委员会公布了《数字综合一揽子提案》,这是一项广泛的简化改革倡议,提议对GDPR、《电子隐私指令》、NIS2指令以及《数据法》进行修订。
在同意及Cookie法律方面,其中最重要的拟议改动包括:
将Cookie规则并入GDPR。 该提案拟将个人数据处理事项完全移出《电子隐私指令》的适用范围,把涉及个人数据的Cookie规则统一并入GDPR之下。目前“设备访问许可由《电子隐私指令》规范、后续处理由GDPR规范”这一两步式框架,将被单一的统一规则所取代。
缓解“同意疲劳”的措施。 该提案建议,在需要依赖同意的任何场景中都提供单击拒绝选项;对于被拒绝后六个月内针对同一目的的重复同意请求加以限制;并朝着采用浏览器端可机读偏好信号的方向发展。
面向分析统计及聚合测量的白名单。 该提案拟设立一份白名单,允许某些隐私风险较低的处理活动(包括基础分析统计及聚合受众测量)在满足数据最小化等保障措施的前提下,以合法利益为依据进行处理,而无需展示同意横幅。
基于浏览器的同意信号。 该提案设想制定内置于浏览器及操作系统中的同意信号技术标准,使已经表达过偏好的用户无需在每个网站上逐一进行同意操作。这些标准目前尚不存在,相关机制最早也要到2028年前后才可能成为强制性要求。
现状。 《数字综合一揽子提案》目前仍处于立法提案阶段,须经过欧盟委员会、欧洲议会和欧盟理事会之间的三方谈判后方能成为正式法律。在此之前,该提案不会改变当前任何一项合规义务。
欧洲数据保护委员会关于同意的概述文件(2026年4月)
2026年4月,欧洲数据保护委员会发布了一份关于同意的简明概述文件,帮助组织理解何时需要取得同意、同意应呈现何种形式,以及同意会带来哪些义务。该文件对完整版05/2020号指南作出了补充,以更易读的方式呈现,尤其面向中小企业。
更多GDPR相关指南
- 什么是GDPR:全面了解该条例
- GDPR合规清单:分步合规指南
- GDPR罚款与处罚:执法数据及违规后果
- GDPR数据主体权利:了解全部八项个人权利
- GDPR数据泄露通知72小时规则:数据泄露报告义务
- GDPR中小企业指南:面向中小企业的专门指导
- 欧盟Cookie法(《电子隐私指令》):完整的Cookie同意框架
- 欧盟数据隐私法:欧盟数据保护全面概览
Frequently Asked Questions
GDPR项下什么样的同意才算有效?
有效的GDPR同意必须是自愿作出、特定明确、知情且明确无歧义的。个人必须采取明确的肯定性行为,例如勾选原本未勾选的复选框、点击同意按钮,或在隐私设置面板中选择具体选项。预先勾选的复选框、沉默、不作为及滚动浏览页面均被明确排除在外。每一项处理目的都需要单独取得同意,并且个人在作出同意之前,必须清楚了解是谁在处理其数据以及处理的原因。
GDPR同意能否使用预先勾选的复选框?
不能。GDPR及其序言第32段明确禁止将预先勾选的复选框作为同意方式。同意需要个人作出明确的肯定性行为,复选框必须以未勾选状态呈现,由个人主动勾选。欧盟法院在Planet49案(案号C-673/17,2019年)中确认了这一点,认定预先勾选的复选框在欧盟法律下不构成有效同意。
是否所有类型的数据处理都需要取得同意?
不需要。同意只是第6条规定的六种合法依据之一。如果处理是为履行合同、遵守法定义务、保护重大利益、执行公共利益任务,或追求不损害个人权利的合法利益所必需,就可能无需取得同意。在其他依据本可适用的情况下仍依赖同意,会带来不必要的管理负担和撤回风险。
GDPR规定儿童在多大年龄可以自行作出同意?
GDPR为信息社会服务(应用程序、社交媒体、在线平台)设定的默认年龄门槛为16岁,欧盟成员国可以将其降至最低13岁。实践中各国规定不尽相同:比利时、丹麦、瑞典等国为13岁;奥地利、意大利、西班牙等国为14岁;法国和希腊为15岁;德国、爱尔兰、荷兰等国为16岁。在整个欧洲运营的服务必须针对每个国家分别适用相应的年龄标准。
在GDPR下应如何撤回同意?
同意可以随时撤回,撤回程序的难易程度必须与作出同意时相当。如果同意是通过单击一次操作作出的,撤回也不得要求超过一次点击。撤回权必须在取得同意之前就告知个人。撤回并不影响撤回之前已经进行的处理行为的合法性,但组织此后必须停止一切基于该同意的处理。
我的网站上的Cookie是否需要取得用户同意?
非必要Cookie(包括分析统计、广告、追踪及社交媒体类Cookie)根据《电子隐私指令》需要取得用户同意,且该同意必须满足GDPR的各项标准。合法利益不能作为设置非必要Cookie的依据。严格必要的Cookie(如会话管理、安全和负载均衡类Cookie)则不受此限制。2025年11月提出的《数字综合一揽子提案》建议简化上述规则,但目前尚未成为正式法律。
同意与明确同意有何区别?
普通同意只需针对标准个人数据处理作出明确的肯定性行为即可。明确同意则是适用于特殊类别数据(健康、生物识别、基因、种族或民族出身、政治观点、宗教信仰、工会会员身份、性生活或性取向数据)的更高标准,要求以清晰的书面声明明确指出敏感数据类别及具体处理目的,默示或概括性的同意永远不够。
在GDPR下,同意或付费模式合法吗?
并非自动合法。欧洲数据保护委员会第08/2024号意见认为,在大多数情况下,大型在线平台无法仅通过纯粹的二选一模式(要么同意行为定向广告,要么付费)取得有效同意。欧洲数据保护委员会要求平台还应提供一种不涉及行为定向广告的真正等效替代方案,例如以场景广告支持的访问方式。所收取的费用不得定得过高,以致实质上强迫用户作出同意。同意选项本身仍必须满足GDPR同意的全部四项条件。
2025年11月提出的《数字综合一揽子提案》对Cookie同意会带来哪些改变?
目前尚无任何实际改变,该提案仍处于立法提案阶段。欧盟委员会提议将Cookie规则并入GDPR,为基础分析统计设立白名单,要求提供单击拒绝选项,将针对同一目的的重复同意请求限制为每六个月一次,并计划在2028年前后允许基于浏览器的偏好信号。在该提案完成欧盟立法程序并正式生效之前,《电子隐私指令》项下现行的Cookie同意规则仍保持不变,继续适用。
Sources and References
- GDPR全文——《(欧盟)2016/679号条例》(eur-lex.europa.eu).gov
- 欧洲数据保护委员会关于《2016/679号条例》项下同意的05/2020号指南(edpb.europa.eu).gov
- 欧洲数据保护委员会关于同意的概述文件(2026年4月)(edpb.europa.eu).gov
- 欧盟委员会:何时同意有效?(commission.europa.eu).gov
- 欧盟委员会:同意应如何提出请求?(commission.europa.eu).gov
- ICO:什么是有效同意?(ico.org.uk).gov
- ICO:应如何取得、记录和管理同意?(ico.org.uk).gov
- ICO:何时适合使用同意?(ico.org.uk).gov
- 欧盟委员会:儿童数据的特别保障措施(commission.europa.eu).gov
- 欧洲数据保护委员会关于同意或付费模式下有效同意问题的第08/2024号意见(edpb.europa.eu).gov
- 欧洲数据保护委员会Cookie横幅专项工作组报告(2023年)(edpb.europa.eu).gov
- 欧洲数据保护委员会关于欺骗性设计模式的03/2022号指南(edpb.europa.eu).gov
- ICO:Cookie及类似技术(ico.org.uk).gov
- 欧洲数据保护委员会关于合法利益的1/2024号指南(edpb.europa.eu).gov
- 欧洲数据保护委员会关于DSA与GDPR衔接问题的3/2025号指南(edpb.europa.eu).gov
- 欧洲数据保护委员会与欧盟委员会关于DMA与GDPR衔接问题的联合指南(edpb.europa.eu).gov
- CNIL:谷歌因Cookie及广告同意违规被罚3.25亿欧元(2025年9月)(cnil.fr).gov
- CNIL:SHEIN因未经同意放置Cookie被罚1.5亿欧元(2025年9月)(cnil.fr).gov
- 欧盟委员会:《数字综合一揽子提案》(2025年11月)(digital-strategy.ec.europa.eu).gov
- Your Europe:企业在线隐私指南(europa.eu).gov