GDPR对Cookie横幅的要求

GDPR和ePrivacy指令为Cookie同意制定了五条不可协商的规则：

• 自愿给予：拒绝Cookie必须与接受一样简单。
• 具体：必须针对每个目的单独请求同意。
• 知情：用户在同意前必须知道自己在同意什么。
• 明确：预先勾选的复选框和继续浏览不算数。
• 可撤回：用户必须能够随时撤回同意。

示例1："仅接受"横幅（不合规）

外观

一个小横条写着"我们使用Cookie来改善您的体验"和一个"确定"按钮。没有拒绝选项，没有设置。

为何不合格

没有真正的选择，没有关于Cookie的信息，没有拒绝方式。CNIL在2022年因此模式对Google罚款1.5亿欧元，对Facebook罚款6000万欧元。

判定：根据GDPR违法。

示例2：全部接受+小"管理偏好"链接（不合规）

外观

醒目的"全部接受"按钮搭配小灰色"管理偏好"链接。没有"全部拒绝"按钮。

为何不合格

视觉层次引导用户接受。拒绝需要两次点击，接受只需一次。多个DPA裁定这不是自愿给予的同意。

判定：不合规。拒绝必须与接受一样可访问。

示例3：相同大小的接受和拒绝按钮（合规）

外观

两个相同大小的按钮："全部接受"和"全部拒绝"。下方有"管理偏好"链接。Cookie用途的简短说明。

为何有效

真正的自由选择，两个选项同样醒目，各需一次点击。这是CNIL明确推荐的模式。

判定：合规。每个网站都应达到的基准。

示例4：Cookie墙（不合规）

外观

全屏覆盖层阻止所有内容。唯一选项是"接受Cookie"。

为何不合格

GDPR第7条第4款——如果服务访问以此为条件，同意就不是自愿的。荷兰DPA认为Cookie墙通常不被允许。

判定：在大多数EU司法管辖区不合规。

示例5：预先勾选的复选框（不合规）

外观

显示Cookie类别和复选框的详细横幅——但所有框都预先勾选。

为何不合格

CJEU Planet49判决（2019）最终解决了这个问题：预先勾选的框不构成有效同意。同意需要明确的肯定性行动。

判定：根据CJEU判例法明确违法。

示例6：分层方法（合规——最佳实践）

外观

第一层：带有全部接受、全部拒绝和自定义按钮的紧凑横幅。第二层：带有各类别开关和供应商列表的详细偏好中心。第三层：完整Cookie政策。

为何有效

在信息与可用性之间取得平衡。第一层提供选择，第二层提供细节，第三层提供完全透明。EDPB明确推荐。

判定：最佳实践。合规的金标准。

示例7：误导性按钮标签（不合规）

外观

"我同意"对"我不同意拒绝非必要Cookie"。或："接受推荐设置"对"使用受限版本"。

为何不合格

GDPR序言42要求清晰、简单的语言。双重否定、暗示后果和操纵性标签不合规。

判定：不合规。使用清晰、中立的标签。

示例8：正确制作的合规横幅

外观

干净的底部栏：清晰标题、简短说明、三个相同样式的按钮（全部接受、全部拒绝、管理偏好）和Cookie政策链接。管理偏好打开带有单独开关、供应商列表和保存按钮的偏好中心。

为何有效

满足所有要求：自由选择、对称按钮、分层信息、简单语言、无预先勾选框、通过Cookie设置图标轻松撤回。

判定：完全合规。

不良横幅的真实罚款

• Google（法国，2022）：1.5亿欧元——拒绝选项比接受更难找。
• Facebook（法国，2022）：6000万欧元——同样的不对称问题。
• Microsoft（法国，2022）：6000万欧元——在没有有效同意的情况下设置广告Cookie。
• TikTok（法国，2023）：500万欧元——拒绝Cookie需要比接受更多步骤。

合规检查清单

• 第一层有没有可见的"全部拒绝"按钮？
• 接受和拒绝同样醒目吗？
• 所有复选框默认未勾选吗？
• 横幅在非必要Cookie设置前显示吗？
• 用户能否访问详细的类别控件？
• 同意是否带有时间戳记录？
• 用户能否随时更改同意？
• 横幅是否使用用户的语言？
• 点击拒绝是否真正阻止了非必要Cookie？

FlexyConsent如何开箱即用地处理这些

FlexyConsent是经Google认证的CMP，支持IAB TCF 2.3。满足每一项合规要求：

• 第一层有相同的接受和拒绝按钮
• 内置分层方法（第一层用于选择，第二层用于详细控件）
• 无预先勾选框——所有可选类别默认未勾选
• Google Consent Mode V2开箱即用
• 43种语言自动检测
• 地区特定横幅的地理定向
• 用于审计的同意日志和证据
• 计划从每月0欧元起

在panel.flexyconsent.com不到五分钟设置合规横幅。