合規2026年1月28號 | FlexyConsent

冇同意會點：真實罰款同案例分析

你以為同意橫幅係可選嘅？你以為一個簡單嘅cookie通知就夠喇？監管機構唔同意——佢哋有證據。由2018年GDPR生效開始，歐洲同其他地方嘅數據保護機構已經開出超過45億歐元嘅罰款。好多罰款都係直接同未能收集有效用戶同意有關。

以下係真實案例、真實數字，同佢哋對你企業嘅意思。

歷史上最大嘅同意相關罰款

Meta（Facebook/Instagram）——愛爾蘭，2023年

€12億

愛爾蘭DPC發現Meta冇經有效法律機制同適當同意就將歐盟用戶數據轉移到美國。呢個仍然係有史以來最大嘅GDPR罰款。Meta喺2023年1月仲被罰3.9億歐元，因為佢強迫用戶接受個性化廣告作為使用Facebook同Instagram嘅條件——呢個係對「自由給予」同意要求嘅明顯違反。

Amazon——盧森堡，2021年

€7.46億

Amazon因為冇用戶適當同意就處理個人數據用於定向廣告而被罰款。盧森堡數據保護機構（CNPD）裁定Amazon嘅廣告定向系統唔符合GDPR同意要求。

Google——法國（CNIL），2022年

€1.5億

CNIL罰咗Google，因為佢喺google.fr同youtube.com上嘅cookie同意機制令用戶一鍵接受所有cookie好容易，但係拒絕就需要多次點擊。呢種不對稱設計——令拒絕比接受更困難——被裁定違反咗「自由給予」同意原則。

TikTok——愛爾蘭，2023年

€3.45億

TikTok因為冇適當同意同透明度措施就處理兒童個人數據而被罰款。DPC發現兒童賬戶默認設置為公開，而且平台嘅私隱設置唔夠方便使用。

Criteo——法國（CNIL），2023年

€4000萬

呢間廣告科技公司因為冇能證明獲得有效同意就通過追蹤cookie收集數百萬用戶嘅瀏覽數據而被罰款。CNIL發現Criteo無法展示放置cookie嘅網站有有效嘅同意鏈。

唔只係大科技公司：細企業罰款

唔好以為罰款只係針對科技巨頭嘅。歐洲各地嘅數據保護機構定期對中小企業嘅同意違規行為進行罰款：

西班牙AEPD：定期對細企業開出2,000到60,000歐元嘅罰款，原因係冇同意就放置cookie或缺少cookie政策。
意大利Garante：對一間細型電子商務網站罰款20,000歐元，因為佢冇有效同意傳輸機制就使用Google Analytics。
法國CNIL：對一個健康網站罰款150,000歐元，因為佢通過表單收集敏感數據而冇明確同意。
奧地利DSB：裁定冇同意使用Google Analytics係違法嘅，為成千上萬個企業設立咗先例。
比利時DPA：因TCF同意字符串問題對IAB Europe罰款250,000歐元，證明就連同意框架本身都受到執法約束。

罰款之外：隱性成本

經濟處罰只係冰山一角。真實損害往往包括：

聲譽損害：GDPR罰款係公開記錄。你嘅品牌會喺新聞報道同搜索結果中與私隱違規聯繫起嚟。
廣告收入損失：冇認證嘅CMP，Google可能限制喺EEA地區嘅廣告投放。出版商報告喺同意設置唔合規時收入下跌30-70%。
法律費用：應對投訴、回應DPA調查同重組數據實踐可能花費數十萬歐元法律費用。
運營中斷：DPA可以命令你完全停止數據處理直到達成合規——實際上係關閉你嘅在線業務。
集體訴訟風險：GDPR允許集體法律行動。奧地利、法國同德國嘅消費者組織已經就同意違規對企業提起集體訴訟。

導致罰款嘅最常見同意錯誤

預先勾選同意框：GDPR明確禁止呢一點。同意必須係主動行為。
Cookie牆：喺用戶接受所有cookie之前阻止訪問內容唔係「自由給予」嘅同意。
不對稱按鈕：突出顯示「接受」同時隱藏或縮小「拒絕」違反咗自由給予原則。
捆綁同意：將多個目的嘅同意合併到一個「接受」操作中剝奪咗用戶應得嘅具體選擇權。
缺少撤回機制：如果用戶無法方便地更改或撤回同意，你整個同意收集就係無效嘅。
缺少同意記錄：冇顯示誰同意、幾時同意同同意乜嘢嘅時間戳日誌，你喺審計時無法證明合規性。
同意前追蹤：喺用戶做出選擇之前加載分析、廣告像素或營銷腳本係最常見——亦係最容易被偵測到——嘅違規行為。