以色列隐私保护法Cookie同意指南:Amendment 13合规要点(面向发布商)

以色列《隐私保护法》历史悠久。原始法规可追溯至1981年,作为国家数据保护监管机构的Privacy Protection Authority于2006年成立,EU自2011年起便承认以色列为个人数据传输的适当司法管辖区,使以色列成为全球为数不多持有该资质的国家之一。在这段历史中,实质性标准与GDPR大体一致,但执法架构较为宽松,技术规范也不够完善。Amendment 13于2025年8月生效,改变了这一局面。此次修正案现代化了同意标准,扩展了权利框架,强化了跨境传输规则,并大幅增强了Privacy Protection Authority的执法权力。对于在以色列运营或面向以色列流量的发布商而言——这一市场拥有全球数字参与度最高的人群之一——实际影响是:Cookie同意和在线追踪合规现已与欧洲标准更为接近。本指南将梳理哪些方面发生了变化、当前的运营标准是什么,以及发布商应将整改工作重点放在何处。

2026年的《隐私保护法》

以色列框架建立在三个层级之上:Privacy Protection Law本身(主要法规)、Privacy Protection Regulations(填补运营细节,最值得关注的是2017年的Data Security Regulations),以及Privacy Protection Authority发布的指令和立场文件。Amendment 13修改了第一层级,并触发了第二层级的更新;第三层级——即Authority的解释性指导——自修正案生效以来一直在持续更新。

核心原则对于熟悉GDPR的人来说并不陌生:合法性基础、目的限制、数据最小化、准确性、存储限制、完整性与问责制。以色列法律下的合法性基础包括同意、合同履行、法律义务、公共利益和合法利益,各有其适用范围。对于在线追踪而言,相关基础是同意,以及在极少数情况下适用的合法利益——这与大多数运营商已熟知的框架相同。

Amendment 13究竟改变了什么

该修正案的范围远超Cookie同意,但对在线发布商而言,有四项变化最为关键。

强化同意标准

修正案收紧了同意的定义,要求同意必须是自由给予的、具体的、知情的且明确的——这与GDPR Article 4(11)的表述高度一致。在旧解释下本属模糊地带的隐含同意和以继续使用代替同意,现已被明确认定为不足以用于非必要追踪。

扩展数据主体权利

访问、更正、删除和反对权利得到了澄清和扩展。修正案明确规定了回应时限(45天,复杂情况可延长30天),并明确了发布商有义务为权利行使提供清晰路径。

更严格的跨境传输框架

向非适当司法管辖区的数据传输现在需要明确的保护措施——包括标准合同条款、binding corporate rules或特定豁免。该框架比旧有的以色列做法更接近GDPR的Chapter V,Authority已开始发布类似EU SCCs的标准条款。

更强的执法权力

行政罚款大幅提高。最高罚款金额与机构营收的一定比例挂钩,并设有较高的绝对上限,类似于GDPR的分级结构。Authority获得了扩大的调查权力,包括强制文件调取和开展现场检查的能力。

修正标准下的Cookie同意

Privacy Protection Law本身并不像EU的ePrivacy Directive那样包含专门针对Cookie的条款。相反,同意要求来源于通用同意标准以及Authority的解释性指导。Amendment 13生效后不久发布的2026年在线追踪指导,阐明了与EDPB Cookie Banner Taskforce标准高度一致的预期。

横幅必备要素

Authority期望横幅在第一层级包含明确的拒绝选项、将严格必要Cookie与分析类及营销类Cookie分开的精细类别控制,以及清晰的撤回机制。预先勾选的复选框和欺骗性链接设计是明确的缺陷。预期是与欧洲规范趋同,任何通过EU审查的横幅都将满足Authority的要求。

希伯来语要求

面向以色列流量的横幅应提供希伯来语版本。Authority尚未将此作为严格要求正式化,但在指导中指出,希伯来语的可用性是针对希伯来语受众的同意标准中「知情」要件的一部分。

文档记录与问责制

以色列法律中的问责原则与GDPR一致。发布商必须能够按需证明同意决定。审计级日志记录——时间戳、横幅版本、选择内容、访客所在司法管辖区——是实际要求。

EU Adequacy问题

以色列的EU adequacy decision是其隐私制度最具战略价值的特性之一。2011年的决定允许个人数据从EU流向以色列,无需额外保护措施,使以色列运营商对欧洲企业的吸引力远超非适当司法管辖区的运营商。欧盟委员会的定期适当性审查程序要求以色列框架与欧洲标准保持同步。Amendment 13在很大程度上正是为了在下一个审查周期维持适当性地位而推动的。

对于发布商而言,实际含义是:遵守修订后的以色列框架不仅关乎避免国内执法,更关乎维护该国的适当性地位,以及这一地位所带来的对欧洲数据流量的特权访问。Authority的执法优先级反映了这一点——以色列网站上横幅设计的缺陷比同样的缺陷在非适当司法管辖区受到更严肃的对待,因为这涉及系统性的适当性影响。

Privacy Protection Authority的执法立场

Authority隶属于司法部,但具有较强的运营独立性。其执法立场历来较为稳健——以能力建设、行业磋商和针对性的高知名度案件为主,而非大规模罚款——但Amendment 13扩充的工具包已使这一模式发生了明显转变。

调查触发因素

Authority主要通过三个渠道启动调查:数据主体投诉、违规通知和行业审查。在线发布商往往通过第一个渠道进入视野——关于横幅设计或追踪行为的投诉往往成为切入点。

制裁实践

Authority在Amendment 13后的罚款遵循一定模式:首先给予整改期,只有在整改不完整或被拒绝时才征收货币罚款。这表明,即使存在缺陷,善意合规的立场也很重要。

与EU监管机构的协调

Authority积极参与涉及适当司法管辖区的Article 29式协调机制。执法立场往往与EDPB指导保持一致,涉及EU和以色列流量的跨境投诉越来越多地通过协调程序处理。

实用合规清单

针对任何面向以色列流量的Cookie横幅,需回答六个具体问题。

以色列在全球格局中的位置

以色列的Amendment 13反映了一种更广泛的模式:早于GDPR的司法管辖区正在对其框架进行现代化改造,以维持与欧洲标准的一致性。日本、英国、韩国和巴西都走过了类似的轨迹。对于跨这些市场运营的发布商而言,实际含义是:按欧洲标准构建的单一CMP基础设施能够应对大多数监管环境——以色列的框架在修正案后已牢固地处于这一框架之内。战略价值是双重的:国内合规,加上继续参与适当性地位所提供的与EU之间特权数据流动关系。在以色列,欧洲合规已经证明合理的、对于适当横幅架构和同意日志记录的投入,比在大多数非适当司法管辖区更具可辩护性。

← 博客 阅读全部 →