英国脱欧以后的隐私格局

英国脱离欧盟辰光，并没脱离数据保护。英国把欧盟 GDPR 纳入本国法度，形成UK GDPR，同2018 年数据保护法（Data Protection Act 2018）并排适用。专门管 cookie 个，是隐私同电子通信条例（Privacy and Electronic Communications Regulations，PECR）——也就是 ePrivacy 指令喺英国个实现版本。结果就是：英国形成一套同欧盟非常相似个隐私框架，但由英国信息专员办公室（ICO）独立监管、独立执法。

对网站运营方来说，只要有英国访客，就要专门关心一套独立个规则、指引同执法路数。虽然实质内容同 EU GDPR 差别弗大，但细节上个差异蛮要紧。

UK GDPR 跟 EU GDPR：要紧差别

UK GDPR 喺核心原则同要求上，基本同 EU GDPR 一样。不过，脱欧以后已经出现几条关键差异：

• 监管机关：ICO 是 UK GDPR 唯一个监管机关，取代原先欧盟各国数据保护机关个角色。对只影响英国居民个同一项数据处理活动，弗会出现 ICO 搭欧盟某个 DPA 双重罚款个情况。
• 数据充分性：欧盟喺 2021 年 6 月对英国作出“充分性决定”，允许个人数据从欧盟自由流向英国。该决定要定期复审。英国方面也反向承认 EEA 具备充分性。
• 国际传输框架：英国有自家个国际数据传输框架，由国务大臣（而弗是欧盟委员会）来作出充分性决定。英国释放出对国际传输会相对灵活一点个信号，但核心保障要求照旧存在。
• 执法路数：ICO 一向更偏向沟通、发指引，而弗是动辄重罚。UK GDPR 下最高罚款额度同欧盟一样：最高 1750 万英镑，或者全球年营业额 4%，取高个。
• 潜在分化：英国政府通过《数据保护同数字信息法案》（Data Protection and Digital Information Bill）考虑改革，可能会改动合法利益评估、科研豁免、数据保护官角色等。网站运营方要关注这部法案后续进展。

PECR：英国个 Cookie 法

UK GDPR 提供个是个人数据处理个通用框架，而PECR是专门管 cookie 搭类似技术个。PECR 早于 GDPR，就已经把 ePrivacy 指令写进英国法度。对 cookie 来讲，主要要求有：

• 要先拿到同意，才能喺用户设备上放任何非必要 cookie。包括分析类 cookie、广告 cookie、社交媒体 cookie 等等。
• 要向用户说明会放啥 cookie、做啥用，要用清爽、容易懂个话来写。
• 同意要自由、自愿、具体、知情。预先打勾个框框弗算有效同意。
• 严格必要 cookie 可以豁免。凡是为实现用户明确请求个服务所必需个 cookie（比如登录会话 cookie、购物车 cookie），就弗要事先同意。

PECR 里向个“同意”标准，同 GDPR 里个定义对齐，所以实际操作上，要求同欧盟 ePrivacy 指令下差弗多。一般讲，只要 cookie 横幅符合欧盟规则，大多数情况也就符合 PECR。

ICO 对 Cookie 横幅个指引

ICO 发布过蛮细个 cookie 合规指引，比 PECR 条文本身要具体得多。里向几个点特别要紧：

同意要有明确动作

用户光是继续浏览网站，弗算同意。ICO 明明白白讲过，默示同意弗有效。用户要有一个清爽、积极个动作（比如点“接受”按钮），非必要 cookie 才能开始放。

拒绝要一样方便

ICO 越来越批评 cookie 横幅里向个暗黑模式（dark patterns）。具体包括：

• “全部拒绝”或者等价选项，要同“全部接受”摆喺同一层级。把拒绝藏喺“管理偏好”第二层里向，是弗合适个。
• 视觉设计弗能用颜色、尺寸、位置来诱导用户偏向“接受”。
• 用词要中性，弗能用“道德绑架”、压力话术来逼用户同意。

要有细分类别控制

用户应该可以按类别来同意 cookie（比如分析类、营销类、功能类），而弗是只给“要么全要，要么全弗要”个选择。虽然 ICO 弗硬性规定要分几档，但提供更细个控制，一般被视作好实践，也可能是为了满足 GDPR 里“目的限制”原则个需要。

Cookie 墙问题多

ICO 认为cookie 墙——也就是用户弗接受所有 cookie 就进弗去网站——一般难以算作有效同意，因为同意弗算“自由给出”。少数例外可能出现在付费内容场景下，如果真有一个弗用 cookie 个替代方案可以选。

ICO 最近个执法动向

近几年，ICO 对 cookie 合规个关注度一路抬高。有几类动作比较典型：

• 行业范围审计：ICO 对英国前 100 只大网站做过跨行业审计，公布个结果显示普遍存在弗合规问题。常见问题包括：先放 cookie 再问同意、没“拒绝”选项、对 cookie 目的说明弗清爽。
• 警告信：审计以后，ICO 向实践弗达标个机构发过警告信。多数机构收到信以后，就把自家做法改到合规水平。
• 广告技术调查：ICO 一直在查实时竞价（real-time bidding）生态，对程序化广告 cookie 里向大规模分享个人数据、又没拿到足够同意个情况表示担心。
• 公共部门执法：政府网站也弗例外。ICO 向不少公共部门机构发过 cookie 相关个指引同警告。

虽然到目前为止，ICO 还没专门因为 cookie 违规开出特别大额个罚单，但趋势明显是朝着更严个执法走。监管机构已经讲明白：现在就希望组织做到合规，对迟迟弗改个，会跟进执法。

国际数据传输：从英国到欧盟，搭更远地方

Cookie 同意同国际数据传输有一只要紧交叉点：当分析类或者广告 cookie 把数据发到英国以外个服务器——比如 Google Analytics 把数据发到 Google 个服务器，Facebook Pixel 把数据发到 Meta 个服务器——按 UK GDPR 算作国际数据传输。

目前安排大概是：

• 英国到 EEA：英国承认 EEA 具备充分性，数据可以自由流动。
• 英国到美国：“UK Extension to the EU-US Data Privacy Framework”给认证过个美国组织提供一条传输机制。Google 搭 Meta 都在这套框架下认证过。
• 英国到其他国家：要用适当保障措施，比如英国版标准合同条款（Standard Contractual Clauses）或者具有约束力个公司规则（binding corporate rules）。

实际操作上，只要侬用个是 Google Analytics、Google Ads 或者其他主流广告平台，一般都已经有相应个国际传输机制。但侬还是应该喺隐私政策里写清爽这些传输，并且喺 cookie 横幅里说明数据可能会跨境传输。

FlexyConsent 针对英国合规个地理定向

FlexyConsent 为英国访客提供专门个地理定向功能，帮侬对准英国个监管框架做到合规：

• 符合 PECR 个横幅：英国访客看到个是满足 ICO 要求个同意横幅，包括同样显眼个“拒绝”选项，搭细分类别控制。在拿到明确同意之前，弗会放任何 cookie。
• 同欧盟配置分开：虽然要求相似，FlexyConsent 还是支持把英国同欧盟个同意体验分开配置。这样一来，就算今后英国同欧盟法规渐渐分道扬镳，侬个实现也有余地跟着调。
• 对齐 ICO 个设计：FlexyConsent 默认横幅模板遵循 ICO 避免暗黑模式个指引。“接受”同“拒绝”视觉上平等，用词中性，整体设计弗会去操控用户选择。
• Consent Mode V2 集成：作为一只Google-certified CMP，FlexyConsent 会帮英国访客向 Google 服务发正确个同意信号。这样一来，转化建模搭 Smart Bidding 还能正常运作，又弗会踩英国同意要求个红线。
• IAB TCF 2.3 支持：对用程序化广告个出版方，FlexyConsent 会生成适用于英国市场个 TCF 同意字符串，DSP 搭 SSP 都认得。

FlexyConsent 个方案起步价每月 EUR 0，并且对WordPress、Shopify、PrestaShop有原生集成。对英国本地企业来说，部署一只认证过个 CMP，本身就向 ICO 表明侬有主动合规个态度——监管机构也讲过，这会喺考虑要弗要执法、执法力度多大辰光，算作一个因素。

要点总结：英国脱欧以后个隐私框架，同欧盟非常接近，但有自家个监管机关、自家个执法路数，也可能有自家将来个立法方向。短期内，把英国访客当成同欧盟访客一样对待，基本安全；但保留一套可以单独配置英国同意体验个能力，会帮��喺两套框架今后如果真分化个辰光，更快适应。用一只支持地理识别个 CMP，是管理这点复杂性最实际个办法。