Compliance2026年5月23日 | FlexyConsent

2026年瑞士修訂FADP：發佈商與廣告主關於Cookie同意、FDPIC執法及瑞-歐數據流動指南

瑞士修訂版《聯邦數據保護法》——即revFADP，法語同德語材料入面有時叫做nFADP——喺2023年9月1日正式生效，冇俾其他司法管轄區所提供嘅多年寬限期，頭十八個月處於聯邦數據保護與信息專員（FDPIC）公開描述嘅觀察期階段。嗰個階段已經結束。2025年，FDPIC針對瑞士及境外數據控制方展開咗一系列正式調查，喺修訂版法律下發佈咗首批公開決定，並喺大部分方面與GDPR嘅操作指引保持一致，同時保留咗若干具有瑞士特色嘅立場——尤其係跨境向美國傳輸數據、非必要Cookie嘅同意角色，以及與行政體系並行嘅刑事責任兜底機制。進入2026年，revFADP再唔係發佈商可以當做其歐盟合規項目中微不足道附屬品嘅GDPR「安靜兄弟」。任何喺處理瑞士境內個人數據嘅發佈商、廣告主或平台——無論係喺瑞士境內定係從境外服務瑞士流量——2026年都會面臨revFADP作為獨立合規義務嘅要求，需要開展獨立審計。本指南全面梳理2026年revFADP嘅現狀、瑞士法律下Cookie同意嘅實際要求、2024年充分性認定調整後跨境數據傳輸嘅運作方式，以及FDPIC早期執法主題所揭示嘅2026年優先事項。

2026年revFADP嘅結構

revFADP用一個喺大部分操作層面與GDPR高度一致嘅框架取代咗瑞士1992年嘅數據保護制度，同時保留咗若干獨具瑞士特色嘅立場。與revFADP同步生效嘅修訂版《數據保護條例》（rev-OPDP）及《數據保護認證條例》填補咗操作細節。

修訂內容

本次修訂引入咗：向FDPIC強制報告數據泄露、大部分控制方嘅處理記錄要求、高風險處理嘅數據保護影響評估、類似GDPR第3條第2款嘅真正域外適用範圍、強化嘅數據主體權利，以及針對自然人而非只係針對控制組織嘅刑事責任兜底機制。個人數據嘅定義、合法處理嘅依據以及數據主體權利嘅結構均與GDPR高度一致，呢點實質上簡化咗已運行GDPR合規項目嘅發佈商嘅瑞士合規工作——但係並唔消除該義務。

監管對象

revFADP適用於喺瑞士境內嘅數據處理，以及喺瑞士境外但影響瑞士境內個人嘅數據處理。透過本地化網站、.ch域名、面向瑞士受眾嘅德法意羅曼什語內容或針對瑞士IP買程序化廣告庫存向瑞士流量提供服務嘅境外發佈商通常在監管範圍之內，FDPIC已喺其2025年指引更新中確認咗域外適用嘅解讀。

行政罰款與刑事責任兜底

revFADP與GDPR最受關注嘅區別在於其制裁體系主要係刑事性質而非行政性質。針對個人嘅罰款——通常指向董事、數據保護官或合規負責人等責任自然人——對於故意違規行為每次最高可達CHF 250,000，對最嚴重嘅行為仲有平行刑事責任。最高上限喺絕對金額上低於GDPR嘅年營業額四個百分點上限，但責任指向——針對具名個人而非只係針對組織——喺實踐中改變咗風險計算方式。2025年已有數家發佈商專門重構內部簽批流程嚟分散風險敞口。

revFADP下個人數據嘅界定

revFADP嘅個人數據定義與GDPR高度一致。個人數據係指與已識別或可識別個人相關嘅信息，FDPIC一貫將Cookie、廣告標識符、IP地址、設備指紋和行為畫像視為個人數據——當其能夠直接或與其他信息結合識別到某一個人嘅時候。

特別敏感個人數據

revFADP設立咗一個稱為特別敏感個人數據嘅類別，其範圍略廣於GDPR嘅特殊類別。包括：宗教、哲學、政治或工會觀點及活動嘅數據、健康數據、私密領域或種族或民族來源嘅數據、唯一標識個人嘅遺傳和生物特徵數據、行政和刑事程序或制裁相關數據，以及社會救助措施相關數據。處理特別敏感個人數據須滿足更高嘅同意和透明度要求。

點解同Cookie有關

存儲常規廣告標識符嘅Cookie屬於普通個人數據。而向涉及特別敏感類別（健康興趣、政治傾向、宗教信仰）嘅受眾細分提供數據嘅Cookie，則屬於特別敏感個人數據處理，需要獨立於一般廣告同意流程之外嘅明確同意。與上述清單存在交叉嘅瑞士語言受眾定向，應專門針對該邊界進行審計，其劃定方式與GDPR特殊類別略有不同。

2026年revFADP下嘅Cookie同意

revFADP允許多種合法處理依據，與喺歐盟成員國適用嘅ePrivacy指令唔同，瑞士法律並冇對非必要Cookie強制規定只限同意嘅基線要求。但係喺實踐中，FDPIC 2024年同2025年嘅指引及最新執法決定已就廣告、分析及跨場景畫像相關Cookie嘅立場與歐盟基線高度趨同。

FDPIC嘅操作立場

FDPIC嘅公開立場係：非必要Cookie——包括廣告、再營銷、跨站分析和個性化——須喺Cookie觸發前獲得事先嘅、知情嘅、自由給予嘅且具體嘅同意。嚴格必要嘅Cookie以及支持用戶明確請求服務嘅Cookie可基於合法利益或合同履行依據設置，唔需要事先同意提示，但將Cookie歸類為嚴格必要嘅舉證責任由控制方承擔，並已喺2025年幾宗投訴中受到質疑。

有效同意嘅要素

revFADP下嘅同意須滿足：

自由給予——冇強制、與基本服務捆綁，或以接受非必要Cookie為訪問核心內容條件嘅Cookie牆
知情——數據主體了解處理乜嘢數據、由邊個處理、出於乜嘢目的，以及與哪些接收方共享
具體——與明確標識嘅處理目的相關聯，而非籠統嘅總括同意
明確無誤——透過清晰嘅積極行為表達，而非從滾動、持續瀏覽或不作為中推斷
喺涉及特別敏感個人數據嘅情形下須為明示同意，並對敏感處理單獨徵得同意

面向瑞士流量嘅合規CMP應該係點樣

2026年為瑞士配置嘅CMP應該呈現：

喺任何非必要Cookie觸發前，用用戶語言——德語、法語、意大利語或羅曼什語——展示橫幅，語言選擇應與.ch網站本地化設置一致，而非默認英語
接受、拒絕和設置操作具有同等視覺顯著性——FDPIC 2025年指引明確批評咗拒絕按鈕喺視覺上弱於接受按鈕嘅橫幅設計
按目的分類嘅精細化開關：分析、廣告、個性化、跨境傳輸，以及任何特別敏感類別
針對特別敏感個人數據處理嘅獨立同意流程，透過獨立操作觸發而非並入一般同意
持久且易於找到嘅同意撤回機制，撤回操作嘅便利程度與給予同意一致
完整嘅瑞士語言隱私聲明，披露控制方身份、處理方、目的、接收方、保留期限、傳輸機制及數據主體權利途徑

同意記錄

控制方須保存同意證據——邊個同意咗、幾時同意、針對哪些具體目的、透過乜嘢界面。2025年FDPIC嘅幾封調查函中提及咗同意記錄不充分嘅問題，喺適用訴訟時效期間內保存嘅帶時間戳可導出日誌係最低合規預期。

2024年充分性認定調整後嘅跨境數據傳輸

跨境數據傳輸係revFADP中瑞士立場最明顯偏離歐盟立場（且略有滯後）嘅領域。歐盟採用EU-US Data Privacy Framework後，2024年嘅調整產生咗平行嘅Swiss-US Data Privacy Framework，但其範圍和條件並不完全相同。

認可嘅傳輸機制

revFADP和rev-OPDP認可以下幾種途徑：

瑞士聯邦委員會就被評估為提供充分保護嘅國家作出嘅充分性決定——當前名單包括EEA、英國及少數其他司法管轄區
針對喺框架下完成自我認證嘅美國組織嘅Swiss-US Data Privacy Framework，該框架於2024年後取代咗Swiss-US Privacy Shield
FDPIC認可嘅標準合同條款，包括附有FDPIC發佈嘅瑞士附錄嘅EU SCCs
FDPIC批准嘅約束性企業規則
特定豁免，包括附充分披露嘅明示同意、合同必要性、重大利益及重大公共利益

Swiss-US DPF嘅實踐

Swiss-US DPF覆蓋已完成自我認證並維持認證狀態嘅美國組織嘅傳輸。發佈商應喺DPF名單上核實每家美國廣告技術或分析供應商嘅有效認證狀態，而非依賴一次性核查，因為認證失效唔會追溯性地使此前嘅傳輸無效，但會要求立即對持續流量進行整改。若某供應商未獲DPF認證，附有FDPIC瑞士附錄嘅EU SCCs仍係有效替代方案。

2026年實用方法

對大部分發佈商嚟講，實用方法係將來自瑞士流量嘅每個跨境數據流映射至其目的地國家和傳輸機制，喺DPF認證未能覆蓋該供應商嘅情形下簽署附瑞士附錄嘅相應SCCs，喺瑞士語言隱私聲明中記錄該機制，並只喺結構化機制無法完全適用於該處理嘅時候先以基於同意嘅授權作為補充。

revFADP下嘅數據主體權利

revFADP賦予一系列與GDPR高度一致嘅權利，並附有若干瑞士特色：

訪問控制方持有嘅個人數據嘅權利，每年首次訪問免費，後續或大範圍請求設有費用上限
更正不準確或不完整數據嘅權利
刪除權
限制處理權
對於基於同意或合同以自動化方式處理嘅數據嘅數據可攜權
反對處理權
撤回同意權
唔受產生法律效力或類似重大影響嘅自動化個人決策約束嘅權利，附有人工審查保障
向FDPIC投訴或提起民事訴訟嘅權利

響應時限

喺一般框架下，控制方須喺30日內回應數據主體請求，複雜情形可透過有理由說明嘅通知延期。具備呢個時間窗口嘅操作準備——包括覆蓋德語、法語和意大利語嘅瑞士語言工具和操作手冊——係境外發佈商喺將項目調整至單一歐洲語言時常見嘅缺口。

2026年嘅處罰與執法態勢

FDPIC嘅執法活動喺2024年同2025年顯著升級，2026年延續呢個態勢而非趨於平穩。

罰款結構

罰款主要係刑事性質，指向具名個人——董事、DPOs、合規負責人——每次故意違規上限為CHF 250,000。2025年執法中最常被引用嘅類別為：向數據主體提供嘅信息不充分、跨境傳輸盡職義務違反、未喺規定時間窗口內向FDPIC履行數據泄露通知義務，以及不合規於FDPIC嘅決定或命令。

刑事責任兜底

與GDPR唔同，revFADP嘅刑事責任路徑針對嘅係負責任嘅自然人而非只係法人實體，呢點促使2025年大量內部簽批流程進行咗重大重構。實際效果係合規證明和審計追蹤唔單止關乎組織嘅風險敞口，仲關乎個人嘅風險敞口——尤其係DPO，其文件記錄實踐已相應調整以反映呢一點。

執法主題

FDPIC 2025年及2026年初嘅執法行動主要集中於：弱化拒絕操作或使用預勾選框嘅Cookie橫幅、隱私聲明未以用戶瑞士國家語言提供、向未獲DPF認證且缺乏替代機制嘅美國供應商進行跨境傳輸、未喺30日時間窗口內回應數據主體請求，以及遲報或漏報數據泄露。境外發佈商喺上述五個類別中均有被引用嘅案例，以橫幅設計和跨境傳輸類別處於處理案件前列。

2026年瑞士流量審計清單

CMP橫幅以用戶瑞士國家語言（DE、FR、IT或RM）展示，接受、拒絕和設置具有同等視覺顯著性
同意目的係精細化嘅，且將特別敏感處理置於獨立同意流程之後
隱私聲明以每種相關瑞士語言提供，完整披露控制方、處理方、目的、保留期限、權利及FDPIC投訴途徑
來自瑞士流量嘅每個跨境數據流已映射至其目的地和機制——充分性認定、Swiss-US DPF認證、附FDPIC瑞士附錄嘅SCCs、BCRs或有記錄嘅豁免
美國供應商嘅DPF認證狀態喺公開名單上重新核實，而非一次核實後唔再更新
同意日誌帶有時間戳、可導出，並喺適用訴訟時效期間內保存
數據主體請求工作流能夠端到端喺30日內以德語、法語和意大利語回應
數據泄露通知操作手冊已根據revFADP時限進行調整，並與內部事件響應流程整合
簽批流程反映咗刑事責任針對個人嘅體系架構，附具名審批人和文件追蹤
特別敏感類別受眾細分須透過明示嘅、單獨獲取嘅同意進行管控
Cookie分類已以批判性眼光審查，重點考量哪些Cookie喺FDPIC指引下確實符合嚴格必要嘅認定

2026年展望

瑞士數據保護制度已從受人尊重但相對安靜嘅舊法律文書，演變為具備操作專屬性、執法能力和刑事責任體系嘅工作工具，足以獨立塑造合規優先事項，而唔單止依附於歐盟項目。2024年充分性認定調整消除咗美國數據傳輸方面最重要嘅結構性缺口，FDPIC 2025年不斷升級嘅執法態勢與監管機構持續擴能嘅方式相符，而非一次性運動。對於已運行GDPR級別同意堆棧嘅發佈商嚟講，與revFADP合規嘅差距小於與任何其他非歐盟司法管轄區嘅差距——但差距確實存在，且存在於具體細節中：瑞士語言橫幅和聲明、針對每家美國供應商嘅DPF與SCC映射、特別敏感類別略有不同嘅邊界線、跨三四種語言嘅30日響應節奏，以及使個人簽批文件從錦上添花變為一流合規文物嘅刑事責任體系。若優先處理，呢個差距可喺數周內彌合，而瑞士發佈商CPM水平使得優先處理喺經濟上合情合理。嗰些喺2024年前悄然將瑞士視為GDPR直通區嘅發佈商，正發現2026年嘅要求明顯更高，且趨勢清晰。