法律基础

Cookie同意义务来源于GDPR（Regulation 2016/679）搭ePrivacy Directive（2002/58/EC）。ePrivacy Directive要求勒用户设备上存储信息之前获得同意（Article 5(3)），而GDPR定义了有效同意（Article 4(11)、Article 7、Recital 32）。

14条要求

1. 事先同意

非必要cookie勒用户同意之前弗可以运行。ePrivacy Directive个Article 5(3)是明确个。CNIL因为勒用户交互之前加载cookie对Google罚款EUR 1.5亿（2022）。

2. 自由畀出个同意

同意弗可以作为访问个条件（GDPR Article 4(11)）。弗可以拿cookie同意搭服务条款捆绑。

3. 细化个目的选择

用户必须对每个目的单独同意——分析、广告、功能性（GDPR Recital 43）。呒没类别选择个单个"全部接受"按钮是弗够个。

4. 接受搭拒绝同等显眼

拒绝必须搭接受一样显眼。CNIL要求勒第一层放一个具有同等视觉权重个"全部拒绝"按钮。Microsoft因为隐藏拒绝选项被罚款EUR 6000万（2022）。

5. 呒没预先勾选个框

CJEU Planet49裁决（C-673/17，2019）：预先勾选个框弗是有效同意。所有类别必须默认关闭。

6. 呒没cookie墙

勒同意之前阻止网站访问通常是弗合规个。EDPB搭荷兰DPA已经确认了箇一点。

7. 清楚、朴素个语言

GDPR Article 7(2)——同意请求必须使用清楚、朴素个语言。"阿拉使用cookie来改善侬个体验"是弗够个。

8. 语言匹配

GDPR Article 12(1)——信息必须是可以理解个。横幅应该搭网站个语言匹配。

9. 链接到cookie政策

GDPR Articles 13-14要求全面个信息。横幅必须链接到列出每个cookie个完整cookie政策。

10. 方便撤回

GDPR Article 7(3)——撤回必须搭畀出同意一样方便。持久性小工具或页脚链接必须允许重新打开同意界面。

11. 同意记录保存

GDPR Article 7(1)——侬必须证明已经获得了同意。记录时间戳、选择搭横幅版本。

12. 第三方披露

GDPR Article 13(1)(e)——披露所有第三方数据接收者。根据TCF 2.3，供应商列表必须从同意界面可以访问。

13. 数据保留透明度

GDPR Article 13(2)(a)——披露cookie持续多长辰光。

14. 移动端响应

移动端呒没GDPR豁免。按钮必须可以点击，文字必须可以阅读，界面必须勒所有屏幕尺寸上正常运行。

快速审计检查清单

• 同意之前呒没非必要cookie运行
• 接受搭拒绝勒第一层同等显眼
• 单独类别选择可用
• 非必要类别呒没预先选择个开关
• 即使用户拒绝所有，网站也可以访问
• 横幅语言搭内容语言匹配
• 使用朴素、非技术性语言
• 完整cookie政策个链接勒横幅上可见
• Cookie政策按名称、目的、持续辰光列出每个cookie
• 持久性小工具允许重新打开同意界面
• 撤回同意需要个点击次数搭畀出同意相同
• 同意记录带有时间戳保存
• 第三方接收者已披露
• 横幅勒移动设备上正常运行
• 呒没操纵性个颜色、大小或措辞

自动化箇个：FlexyConsent开箱即用地满足每一条要求——经Google认证个CMP，支持IAB TCF 2.3、Consent Mode V2、43+种语言，方案从EUR 0/月起。勒panel.flexyconsent.com开始。