英國脫歐後嘅私隱環境

英國脫離歐盟之後，並冇放棄數據保障。英國將歐盟 GDPR 納入本地法例，成為 UK GDPR，同 Data Protection Act 2018 一齊運作。至於 cookie，Privacy and Electronic Communications Regulations (PECR) —— 即英國版 ePrivacy Directive —— 仍然適用。結果就係，一套同歐盟非常相似，但由英國 Information Commissioner's Office (ICO) 獨立執行嘅私隱框架。

對網站營運者嚟講，向英國訪客提供服務，就要留意一套獨立嘅規則、指引同執法模式。雖然實質內容同 EU GDPR 好接近，但細節位好關鍵。

UK GDPR 同 EU GDPR：主要分別

UK GDPR 喺核心原則同要求上，基本上同 EU GDPR 一樣。不過，自從脫歐之後，出現咗幾個分別：

• 監管機構：ICO 係 UK GDPR 唯一嘅監管機構，取代咗歐盟各國數據保障機構嘅角色。對於只涉及英國居民嘅同一項數據處理活動，你唔會同時被 ICO 同某個歐盟 DPA 罰款。
• 數據適足性：歐盟喺 2021 年 6 月向英國作出 adequacy decision，容許個人數據由歐盟自由流向英國。呢個決定會定期檢討。英國亦相應承認 EEA 係適足地區。
• 國際傳輸：英國有自己嘅國際數據傳輸框架，由 Secretary of State（而唔係 European Commission）作出 adequacy 決定。英國表示會對國際傳輸採取較靈活嘅做法，但核心保障要求仍然存在。
• 執法取向：ICO 一向較偏向透過溝通同指引，而唔係大額罰款。UK GDPR 嘅最高罰款同歐盟一樣：最高 1,750 萬英鎊，或者全球年度營業額 4%，以較高者為準。
• 潛在分歧：英國政府透過 Data Protection and Digital Information Bill 考慮改革，可能會改變 legitimate interest 評估、研究豁免同 Data Protection Officers 嘅角色。網站營運者應該持續留意相關立法未來嘅變化。

PECR：英國嘅 Cookie 法例

UK GDPR 提供咗個人數據處理嘅整體框架，而 PECR 就專門規管 cookie 同類似技術。PECR 早於 GDPR 出現，係將 EU ePrivacy Directive 寫入英國法例。佢對 cookie 嘅主要要求包括：

• 必須事先取得同意，��可以喺用戶裝置上設置任何非必要 cookie。呢啲包括 analytics cookie、廣告 cookie 同社交媒體 cookie。
• 必須提供資訊，用清晰易明嘅語言，解釋會設置啲乜嘢 cookie，同埋用途係乜。
• 同意必須係自由、自願、具體同知情。預先剔選嘅選框唔算有效同意。
• 嚴格必要嘅 cookie 可獲豁免。對於用戶明確要求嘅服務層面上不可或缺嘅 cookie（例如登入功能嘅 session cookie 或購物車 cookie），唔需要取得同意。

PECR 對同意嘅標準同 GDPR 對 consent 嘅定義一致，即係實務上同 EU ePrivacy Directive 底下嘅要求非常相似。一個符合歐盟規則嘅 cookie 橫幅，一般都會符合 PECR。

ICO 對 Cookie 橫幅嘅指引

ICO 發佈咗詳細嘅 cookie 合規指引，內容超出 PECR 條文本身。重點包括：

同意必須係明確行為

單純繼續瀏覽網站唔等於同意。ICO 清楚指出，默示同意唔有效。用戶必須作出清晰、正面嘅行動（例如撳「接受」按鈕），先可以設置非必要 cookie。

拒絕要同樣容易

ICO 越嚟越多談及 cookie 橫幅入面嘅 dark patterns。具體包括：

• 必須喺同一層級���供「全部拒絕」或等同選項，同「全部接受」並列。將拒絕選項藏喺「管理偏好」第二層入面，唔被接受。
• 視覺設計唔可以用顏色、尺寸或位置去操控用戶傾向接受。
• 用字必須中立，唔可以用情緒勒索或壓力迫用戶同意。

按類別提供細緻控制

用戶應該可以按類別同意 cookie（例如 analytics、marketing、functional），而唔係被迫接受或拒絕全部。雖然 ICO 冇規定一定要幾多類別，但提供細緻控制係良好實務，亦可能係滿足 GDPR 目的限制原則所需要。

Cookie Wall 問題多

ICO 認為 cookie walls —— 即用戶唔接受所有 cookie 就無法進入網站 —— 一般難以構成有效同意，因為同意唔算係自由給予。對於付費內容，如果真係提供一個唔用 cookie 嘅替代方案，可能會有例外。

近期 ICO 執法行動

近年 ICO 穩步加強對 cookie 合規嘅關注。較顯著嘅行動包括：

• 行業範圍審核：ICO 對英國頭 100 個跨行業網站進行審核，並發表報告指出普遍唔合規嘅情況。常見問題包括：喺取得同意之前已經設置 cookie、冇提供拒絕選項、冇清楚解釋 cookie 嘅用途。
• 警告信：審核之後，ICO 向 cookie 實務未達標嘅機構發出警告信。大部分機構喺收到信之後都改善到合規。
• Adtech 調查：ICO 持續調查 real-time bidding 生態系統，關注 programmatic advertising cookie 喺未有足夠同意情況下分享大量個人數據。
• 公共部門執法：政府網站都唔例外，ICO 向公共部門機構發出有關 cookie 實務嘅指引同警告。

雖然 ICO 目前仲未就 cookie 違規開出好大額罰款，但趨勢明顯係朝住更嚴格執法發展。監管機構已經表明，佢哋預期組織而家就要合規，對於唔改善嘅，之後會採取執法行動。

國際數據傳輸：由英國到歐盟以至其他地區

Cookie 同意同國際數據傳輸有重要交集。當 analytics 或 advertising cookie 將數據傳送到英國以外嘅伺服器 —— 好似 Google Analytics 將數據傳去 Google 嘅伺服器，Facebook Pixel 將數據傳去 Meta 嘅伺服器 —— 呢啲喺 UK GDPR 底下都屬於國際數據傳輸。

目前安排：

• 英國至 EEA：基於英國承認 EEA 適足，數據可以自由流動。
• 英國至美國：UK Extension to the EU-US Data Privacy Framework 為傳輸到已認證嘅美國機構提供機制。Google 同 Meta 已經喺呢個框架之下獲認證。
• 英國至其他國家：需要適當保障措施，例如 Standard Contractual Clauses（英國版本）或者 binding corporate rules。

實務上，如果你使用 Google Analytics、Google Ads 或其他大型廣告平台，相關國際傳輸機制一般已經就緒。不過，你仍然應該喺私隱政策入面記錄呢啲傳輸，並且喺 cookie 橫幅提及數據可能會被國際傳輸。

FlexyConsent 針對英國合規嘅地理定位

FlexyConsent 為英國訪客提供專門嘅 geo-targeting，確保符合英國特定監管框架：

• 符合 PECR 嘅橫幅：英國訪客會見到符合 ICO 要求嘅同意橫幅，包括同等顯眼嘅拒絕選項同按類別細緻控制。喺取得明確同意之前，唔會設置任何 cookie。
• 獨立於歐盟設定：雖然要求相似，FlexyConsent 仍然可以將英國同歐盟嘅同意體驗分開設定。咁樣可以為未來英國同歐盟監管可能出現嘅分歧做好準備。
• 與 ICO 一致嘅設計：FlexyConsent 預設橫幅模板遵從 ICO 關於避免 dark patterns 嘅指引。接受同拒絕選項喺視覺上同等，文案中立，設計唔會操控用戶選擇。
• Consent Mode V2 整合：作�� Google-certified CMP，FlexyConsent 會為英國訪客向 Google 服務發送正確嘅同意訊號。咁樣可以喺尊重英國同意要求之下，仍然維持 conversion modelling 同 Smart Bidding 正常運作。
• IAB TCF 2.3 支援：對於使用 programmatic advertising 嘅出版商，FlexyConsent 會產生適用於英國市場嘅 TCF consent string，獲得 demand-side platforms 同 supply-side platforms 接納。

FlexyConsent 嘅方案由每月 EUR 0 起，並為 WordPress、Shopify 同 PrestaShop 提供原生整合。對於英國企業而言，實施一個獲認證嘅 CMP，可以向 ICO 展示你主動合規 —— 呢一點係監管機構喺考慮執法行動時表示會考慮嘅因素。

重點總結：英國脫歐後嘅私隱框架同歐盟非常接近，但有自己嘅監管機構、自身嘅執法模式，亦可能有自己未來嘅立法方向。暫時將英國訪客視為同歐盟訪客受相同規則約束係安全做法，但保留為英國獨立設定同意體驗嘅能力，可以令你嘅網站喺兩套框架日後出現分歧時更易適應。使用具地理識別功能嘅 CMP 係管理呢種複雜性最實際嘅方法。