Quy định ePrivacy 2026: Những thay đổi gì và cách chuẩn bị
Chỉ thị ePrivacy 2002 — luật đằng sau các cửa sổ bật lên đồng ý cookie — cuối cùng đang được thay thế. Quy định ePrivacy đã được đàm phán từ năm 2017 và dự kiến có hiệu lực vào 2026-2027. Khác với chỉ thị, quy định áp dụng trực tiếp ở tất cả các quốc gia thành viên EU mà không cần chuyển đổi quốc gia. Điều này có nghĩa là một bộ quy tắc, một cách hiểu, và rủi ro rất cao khi không tuân thủ.
Chỉ thị ePrivacy so với Quy định ePrivacy
Chỉ thị ePrivacy hiện hành (2002/58/EC, được sửa đổi năm 2009) cho phép mỗi quốc gia EU thực hiện các quy tắc đồng ý cookie theo cách khác nhau. CNIL của Pháp diễn giải theo một cách, BfDI của Đức theo cách khác. Quy định mới loại bỏ sự vá víu này — các quy tắc sẽ giống nhau ở khắp mọi nơi.
- Chỉ thị (hiện tại): Mỗi quốc gia tự viết luật dựa trên chỉ thị. 27 cách thực hiện khác nhau.
- Quy định (sắp tới): Một luật, áp dụng trực tiếp ở tất cả 27 quốc gia EU. Không có biến thể quốc gia.
Những thay đổi chính cần mong đợi
1. Đồng ý cookie trở nên chặt chẽ hơn
Quy định thắt chặt các yêu cầu về đồng ý. Hộp kiểm được chọn sẵn, tường đồng ý và "lợi ích hợp pháp" cho cookie sẽ bị cấm rõ ràng. Chỉ có sự đồng ý thực sự, đầy đủ thông tin, được đưa ra tự do mới có giá trị.
2. Tín hiệu đồng ý ở cấp độ trình duyệt
Quy định giới thiệu các điều khoản về tùy chọn đồng ý dựa trên trình duyệt. Người dùng có thể đặt tùy chọn đồng ý một lần trong cài đặt trình duyệt thay vì trên mỗi trang web. CMP sẽ cần đọc và tôn trọng các tín hiệu này.
3. Bảo vệ siêu dữ liệu
Siêu dữ liệu truyền thông (bạn đã gọi cho ai, khi nào, trong bao lâu) được bảo vệ tương đương như nội dung. Điều này ảnh hưởng đến các công ty viễn thông, ứng dụng nhắn tin và bất kỳ dịch vụ nào xử lý dữ liệu truyền thông.
4. Phạt tiền cao hơn
Quy định điều chỉnh hình phạt theo GDPR: lên đến 20 triệu euro hoặc 4% doanh thu hàng năm toàn cầu, tùy theo mức nào cao hơn. Hiện tại, mức phạt theo triển khai ePrivacy quốc gia rất khác nhau và thường thấp hơn nhiều.
5. Phạm vi mở rộng ra ngoài cookie
Quy định bao gồm tất cả các công nghệ theo dõi — không chỉ cookie. Lấy dấu vân tay thiết bị, theo dõi pixel, lưu trữ cục bộ và bất kỳ công nghệ nào truy cập thiết bị của người dùng đều thuộc các quy tắc đồng ý tương tự.
Điều này có nghĩa gì đối với người vận hành trang web
- CMP của bạn càng trở nên quan trọng hơn — sự đồng ý không hợp lệ theo Quy định sẽ chịu mức phạt tương đương GDPR
- Dark patterns bị cấm rõ ràng — không còn ẩn nút từ chối hoặc dùng ngôn ngữ gây nhầm lẫn
- Tất cả công nghệ theo dõi cần đồng ý — không chỉ cookie, mà cả pixel, dấu vân tay và lưu trữ cục bộ
- Tín hiệu trình duyệt phải được tôn trọng — CMP của bạn cần phát hiện và tôn trọng tùy chọn ở cấp độ trình duyệt
Cách chuẩn bị ngay bây giờ
- Kiểm tra theo dõi của bạn: Liệt kê mọi công nghệ trên trang web của bạn truy cập thiết bị của khách truy cập — cookie, pixel, tập lệnh, lưu trữ cục bộ
- Đảm bảo đồng ý thực sự: Xem lại banner của bạn để tìm dark patterns — nút bằng nhau, ngôn ngữ rõ ràng, từ chối dễ dàng
- Chọn CMP được chứng nhận: CMP được Google chứng nhận, đã đăng ký IAB đảm bảo bạn đáp ứng các tiêu chuẩn hiện hành và sẽ thích ứng với những tiêu chuẩn mới
- Ghi lại mọi thứ: Lưu giữ hồ sơ thu thập đồng ý — bằng chứng tuân thủ trở nên thiết yếu khi mức phạt cao hơn
- Luôn cập nhật: Chọn CMP tự động cập nhật khi các quy định thay đổi
Tại sao FlexyConsent đã sẵn sàng
FlexyConsent được xây dựng cho sự thay đổi quy định. Là CMP được Google chứng nhận với đăng ký IAB Europe, chúng tôi đã đáp ứng các tiêu chuẩn hiện hành cao nhất. Khi Quy định ePrivacy có hiệu lực, FlexyConsent sẽ tự động cập nhật — không cần can thiệp thủ công. Banner đồng ý của chúng tôi đã tránh dark patterns, hỗ trợ 43+ ngôn ngữ và tạo ra bằng chứng đồng ý hợp lệ thỏa mãn cả GDPR và các yêu cầu ePrivacy trong tương lai.