合规2026年6月17日 | FlexyConsent

EDPB Cookie横幅专责小组：2026年发布商与营销人员合规要点

多年来，在欧盟各国开展业务的发布商可以依赖一种令人安慰的假设：每个数据保护机构对GDPR和ePrivacy指令的解读略有不同，因此一个在某个国家通过审查的Cookie横幅，大概在其他地方也能通过。这种假设如今已不复存在。欧洲数据保护委员会（EDPB）于2022年设立的Cookie横幅专责小组，旨在协调应对一波跨境投诉，如今已演变为EU最接近统一Cookie同意规范的权威指引。其报告以具体的、逐横幅的细节描述了监管机构共同认定违规的设计模式。任何在欧洲流量上运营同意横幅的人，都应将该专责小组的立场视为事实上的基准，因为各国机构已开始在执法决定中直接引用这些立场。

EDPB Cookie横幅专责小组的性质

该专责小组是一个协调机构，本身并非独立监管机构。它依据GDPR第Article 70条设立，授权EDPB就共同关注的问题促进各国数据保护机构之间的合作。起因是noyb（Max Schrems创立的隐私倡导组织）针对EU数百个网站提起的投诉运动。由于这些投诉涉及几乎所有成员国的机构，EDPB决定建立一个统一论坛，供各DPA交流意见并形成共同分析框架。专责小组的成果以报告形式呈现，按类别记录哪些设计选择被认定违反了同意要求。

这一结构在实践中意义重大。这些报告不像法规或国家罚款那样具有约束力，但它们代表了所有欧洲DPA的共识立场。当某国机构启动调查时，它可以——而且越来越多地——将专责小组的调查结果作为证据，证明某争议横幅模式已被更广泛的监管群体认定为不合规。对发布商而言，实际效果是：任何通过专责小组标准审查的横幅，在整个EU范围内都具有可辩护性。任何未能通过这些标准的横幅，则在各地同时面临风险。

专责小组关注的六大类别

专责小组将其调查结果归纳为六个相互交叉的问题领域。每个领域对应一种在noyb投诉中反复出现、并被各DPA共同标记为违规的设计模式。

1. 第一层没有"拒绝"按钮

报告中被引用最多的调查结果。如果访客在初始横幅上看到"全部接受"按钮，却没有等效的"全部拒绝"按钮，则该选择并非自由给予。接受和拒绝选项必须以同等显著的方式呈现在同一层。将拒绝路径隐藏在"管理偏好设置"链接之后，是目前执法行动中最常见的单一模式。

2. 预先勾选的复选框

为任何非必要类别——即使只有一个——预先选择同意，将根据GDPR的Recital 32使整个同意记录无效。专责小组将此视为本身即构成违规。现代CMP默认关闭此功能，但遗留实现和自建横幅仍频繁预先勾选分析或营销类别。

3. 欺骗性链接设计

将拒绝路径称为"更多信息"，或将其设计为低对比度文字链接，而接受按钮是高对比度彩色块，这种不平衡被专责小组认定为欺骗性设计模式。解决方法很直接：在接受和拒绝之间匹配字体粗细、颜色对比度和按钮样式。

4. 将Cookie错误归类为"必要"

一些运营商试图通过将分析、广告或社交媒体Cookie重新标记为严格必要，来完全规避同意要求。专责小组已明确指出：只有当用户视角下网站无法在没有该Cookie的情况下正常运行时，该Cookie才是必要的。分析、A/B测试、广告和个性化Cookie不符合条件。错误标记本身即构成独立于底层追踪行为的违规。

5. 没有撤回机制

同意必须和给予同意一样容易撤回。一个通过一次点击接受同意、却迫使用户经过多步设置菜单才能撤销的横幅，无法通过此测试。专责小组特别要求提供一个持久性控件——通常是浮动图标或页脚链接——使访客能够返回原始同意界面。

6. 掩盖选择的横幅设计

这是最宽泛、最主观的类别。它包括：在同意被授予之前遮挡页面内容的叠加层、拒绝按钮位于可视区域以下的横幅、使拒绝路径几乎不可见的配色方案，以及将注意力从选择上引开的动画。共同线索是：设计在引导用户接受，而非呈现中性选择。

对执法的影响

专责小组不处以罚款。各国DPA负责罚款。但由于每个欧洲机构都认可了专责小组的分析，这些特定模式的执法风险如今在整个EU范围内已趋于一致。法国CNIL迄今已发出最大规模的Cookie相关罚款，但意大利Garante、西班牙AEPD、德国州级机构以及爱尔兰DPC都已开展了引用专责小组推理的调查。甚至英国ICO（在EU监管范围之外）也发布了与专责小组类别高度一致的指南。

这种趋同在实践中意味着，发布商不能再将合规视为逐国处理的事务。横幅审计应以专责小组类别作为统一检查清单。如果横幅在六项中任何一项上失败，风险不是来自一个DPA，而是来自整个欧洲监督网络。

实用审计检查清单

使现有横幅符合要求的最快方式，是对照上述类别逐项作出有记录的"是"或"否"回答。这些问题有意设计得非常具体。

第一层平衡。 初始横幅是否在与"全部接受"相同的界面上，以可比较的样式提供了明确的"全部拒绝"或"不接受继续"按钮？
默认状态。 在偏好设置视图中，所有非必要类别的开关是否默认关闭？
链接清晰度。 拒绝路径是否以描述该操作的动词标注（如"拒绝所有"、"拒绝非必要项"），而非"更多选项"或"设置"等模糊措辞？
Cookie分类。 您是否已核实每个标记为"严格必要"的Cookie，确实是网站正常运行所必需的，而非用于分析、广告或便利功能？
撤回访问。 每个页面上是否都有持久的UI元素可重新打开同意横幅，且所需点击次数不超过最初接受时的点击次数？
无暗黑模式。 横幅是否避免了在接受和拒绝之间造成明显视觉失衡的颜色、大小或动画选择？

对该清单六项均给出明确"是"的横幅，可在当前专责小组对齐的执法中得到辩护。即使有一项回答"否"，也应将其视为整改项目，而非日常维护任务。

专责小组的下一步方向

已发布的报告涵盖了引发最初一波投诉的模式。通过EDPB定期发布的更新可以看出，专责小组正在进入更难、更未定论的领域。三个领域可能定义下一轮指导。

付费或同意模式

几家大型欧洲发布商决定向访客提供二选一：支付订阅费或同意追踪，这引起了明确的审视。EDPB于2024年发表意见，质疑当付费墙是唯一替代方案时，此类选择是否可被视为自由给予。预计专责小组将发布协调标准，明确付费或同意模式何时被允许、何时构成强迫。

同意疲劳与粒度

高粒度的逐供应商同意界面（如IAB TCF生成的界面）被批评为导致同意疲劳，且实质上不符合GDPR意义上的"知情"。未来的专责小组指导可能推动第一层采用类别级而非供应商级控件，供应商级披露可供查阅但不要求作为有效初始同意的条件。

移动端与联网电视界面

早期专责小组工作主要聚焦于网页横幅。移动应用内同意流程和联网电视界面具有不同的设计约束，尚未成为详细调查结论的对象。在这些平台上运营的发布商应预期在未来12至18个月内收到协调指导，且不应假设合规的网页横幅模式会自动适用。

综合总结

专责小组做到了GDPR单独无法实现的事情：它在欧盟范围内产生了对实践中同意应是何种样貌的单一、可操作的解读。对发布商而言，教训是：依赖司法管辖区选择或宽松的国家执法的时代已经结束。正确的应对方式是将专责小组的类别视为具有约束力的内部标准，对现有横幅进行审计，并配置同意管理基础设施，使这些类别在平台层面得到执行，而非留给逐页实现。一个与六大类别清晰对应的现代CMP——平衡的第一层按钮、默认关闭的开关、简明的拒绝标签、准确的Cookie分类、持久的撤回访问以及中性设计——能将暴露的合规态势转变为在每个欧洲市场同时具有可辩护性的姿态。