法律基础

Cookie同意义务源自GDPR（Regulation 2016/679）和ePrivacy Directive（2002/58/EC）。ePrivacy Directive要求在用户设备上存储信息之前获得同意（Article 5(3)），而GDPR定义了有效同意（Article 4(11)、Article 7、Recital 32）。

14项要求

1. 事先同意

非必要cookie在用户同意之前不得运行。ePrivacy Directive的Article 5(3)明确规定了这一点。CNIL因在用户交互之前加载cookie对Google处以EUR 1.5亿罚款（2022）。

2. 自由给予的同意

同意不能作为访问的条件（GDPR Article 4(11)）。不得将cookie同意与服务条款捆绑。

3. 精细化的目的选择

用户必须对每个目的单独同意——分析、广告、功能性（GDPR Recital 43）。没有类别选择的单个"全部接受"按钮是不够的。

4. 接受和拒绝同等显眼

拒绝必须与接受同样显眼。CNIL要求在第一层放置具有同等视觉权重的"全部拒绝"按钮。Microsoft因隐藏拒绝选项被处以EUR 6000万罚款（2022）。

5. 没有预先勾选的复选框

CJEU Planet49裁决（C-673/17，2019）：预先勾选的复选框不构成有效同意。所有类别必须默认关闭。

6. 没有cookie墙

在获得同意之前阻止网站访问通常不合规。EDPB和荷兰DPA已确认了这一点。

7. 清晰、通俗的语言

GDPR Article 7(2)——同意请求必须使用清晰、通俗的语言。"我们使用cookie来改善您的体验"是不够的。

8. 语言匹配

GDPR Article 12(1)——信息必须是可理解的。横幅应与网站的语言匹配。

9. 链接到cookie政策

GDPR Articles 13-14要求提供全面信息。横幅必须链接到列出每个cookie的完整cookie政策。

10. 便捷撤回

GDPR Article 7(3)——撤回必须与给予同意一样便捷。持久性小组件或页脚链接必须允许重新打开同意界面。

11. 同意记录保存

GDPR Article 7(1)——您必须证明已获得同意。记录时间戳、选择和横幅版本。

12. 第三方披露

GDPR Article 13(1)(e)——披露所有第三方数据接收者。根据TCF 2.3，供应商列表必须从同意界面可访问。

13. 数据保留透明度

GDPR Article 13(2)(a)——披露cookie持续多长时间。

14. 移动端响应

移动端没有GDPR豁免。按钮必须可点击，文字必须可阅读，界面必须在所有屏幕尺寸上正常运行。

快速审计检查清单

• 同意之前没有非必要cookie运行
• 接受和拒绝在第一层同等显眼
• 提供单独的类别选择
• 非必要类别没有预先选择的开关
• 即使用户拒绝所有，网站仍可访问
• 横幅语言与内容语言匹配
• 使用通俗、非技术性语言
• 完整cookie政策的链接在横幅上可见
• Cookie政策按名称、目的、持续时间列出每个cookie
• 持久性小组件允许重新打开同意界面
• 撤回同意所需点击次数与给予同意相同
• 同意记录带有时间戳保存
• 第三方接收者已披露
• 横幅在移动设备上正常运行
• 没有操纵性的颜色、大小或措辞

自动化这一切：FlexyConsent开箱即用地满足每一项要求——经Google认证的CMP，支持IAB TCF 2.3、Consent Mode V2、43+种语言，方案从EUR 0/月起。前往panel.flexyconsent.com开始使用。