Compliance2026年5月23日 | FlexyConsent

2026年瑞士修订版FADP：发布商与广告商关于Cookie同意、FDPIC执法及瑞士-欧盟数据流的指南

瑞士修订版《联邦数据保护法》——即revFADP，在法语和德语材料中有时称为nFADP——于2023年9月1日正式生效，未给予其他司法管辖区所提供的多年宽限期，并在最初十八个月内处于联邦数据保护与信息专员（FDPIC）公开描述的观察期阶段。该阶段已经结束。2025年，FDPIC针对瑞士及境外数据控制方启动了一系列正式调查，在修订版法案下发布了首批公开决定，并在大多数方面与GDPR的操作指引保持一致，同时保留了若干具有瑞士特色的立场——尤其是跨境向美国传输数据、非必要Cookie的同意角色，以及与行政体系并行的刑事责任兜底机制。进入2026年，revFADP不再是发布商可视为其欧盟合规项目中微不足道附属品的GDPR"安静兄弟"。任何在瑞士处理个人数据的发布商、广告商或平台——无论身处瑞士境内还是从境外服务瑞士流量——2026年都将面临revFADP作为独立合规义务的要求，需要开展独立审计。本指南全面梳理2026年revFADP的现状、瑞士法律下Cookie同意的实际要求、2024年充分性认定调整后跨境数据传输的运作方式，以及FDPIC早期执法主题所揭示的2026年优先事项。

2026年revFADP的结构

revFADP以与GDPR在大多数操作层面高度一致的框架取代了瑞士1992年的数据保护制度，同时保留了若干独具瑞士特色的立场。与revFADP同步生效的修订版《数据保护条例》（rev-OPDP）及《数据保护认证条例》填补了操作细节。

修订内容

本次修订引入了：向FDPIC强制报告数据泄露、大多数控制方的处理记录要求、高风险处理的数据保护影响评估、类似GDPR第3条第2款的真正域外适用范围、强化的数据主体权利，以及针对自然人而非仅针对控制组织的刑事责任兜底机制。个人数据的定义、合法处理的依据以及数据主体权利的结构均与GDPR高度一致，这在实质上简化了已运行GDPR合规项目的发布商的瑞士合规工作——但并不消除该义务。

监管对象

revFADP适用于在瑞士境内的数据处理，以及在瑞士境外但影响瑞士境内个人的数据处理。通过本地化网站、.ch域名、面向瑞士受众的德法意罗曼什语内容或针对瑞士IP购买程序化广告库存向瑞士流量提供服务的境外发布商通常在监管范围内，FDPIC已在其2025年指引更新中确认了域外适用的解读。

行政罚款与刑事责任兜底

revFADP与GDPR最受关注的区别在于其制裁体系主要为刑事性质而非行政性质。针对个人的罚款——通常指向董事、数据保护官或合规负责人等责任自然人——对于故意违规行为每次最高可达CHF 250,000，对最严重的行为还附有平行刑事责任。最高上限在绝对金额上低于GDPR的年营业额四个百分点上限，但责任指向——针对具名个人而非仅针对组织——在实践中改变了风险计算方式。2025年已有数家发布商专门重构内部签批流程以分散风险敞口。

revFADP下个人数据的界定

revFADP的个人数据定义与GDPR高度一致。个人数据是指与已识别或可识别个人相关的信息，FDPIC一贯将Cookie、广告标识符、IP地址、设备指纹和行为画像视为个人数据——当其能够直接或与其他信息结合识别到某一个人时。

特别敏感个人数据

revFADP设立了一个称为特别敏感个人数据的类别，其范围略广于GDPR的特殊类别。包括：宗教、哲学、政治或工会观点及活动的数据、健康数据、私密领域或种族或民族来源的数据、唯一标识个人的遗传和生物特征数据、行政和刑事程序或制裁相关数据，以及社会救助措施相关数据。处理特别敏感个人数据须满足更高的同意和透明度要求。

为何与Cookie相关

存储常规广告标识符的Cookie属于普通个人数据。而向涉及特别敏感类别（健康兴趣、政治倾向、宗教信仰）的受众细分提供数据的Cookie，则属于特别敏感个人数据处理，需要独立于一般广告同意流程之外的明确同意。与上述清单存在交叉的瑞士语言受众定向，应专门针对该边界进行审计，其划定方式与GDPR特殊类别略有不同。

2026年revFADP下的Cookie同意

revFADP允许多种合法处理依据，与在欧盟成员国适用的ePrivacy指令不同，瑞士法律并未对非必要Cookie强制规定仅限同意的基线要求。然而在实践中，FDPIC 2024年和2025年的指引及最新执法决定已就广告、分析及跨场景画像相关Cookie的立场与欧盟基线高度趋同。

FDPIC的操作立场

FDPIC的公开立场是：非必要Cookie——包括广告、再营销、跨站分析和个性化——须在Cookie触发前获得事先的、知情的、自由给予的且具体的同意。严格必要的Cookie以及支持用户明确请求服务的Cookie可基于合法利益或合同履行依据设置，无需事先同意提示，但将Cookie归类为严格必要的举证责任由控制方承担，且已在2025年的数起投诉中受到质疑。

有效同意的要素

revFADP下的同意须满足：

自由给予——不存在强制、与基本服务捆绑，或以接受非必要Cookie为访问核心内容条件的Cookie墙
知情——数据主体了解处理哪些数据、由谁处理、出于何种目的，以及与哪些接收方共享
具体——与明确标识的处理目的相关联，而非笼统的总括同意
明确无误——通过清晰的积极行为表达，而非从滚动、持续浏览或不作为中推断
在涉及特别敏感个人数据的情形下须为明示同意，并对敏感处理单独征得同意

面向瑞士流量的合规CMP应呈现何种面貌

2026年为瑞士配置的CMP应呈现：

在任何非必要Cookie触发前，以用户语言——德语、法语、意大利语或罗曼什语——展示横幅，语言选择应与.ch网站本地化设置一致，而非默认英语
接受、拒绝和设置操作具有同等视觉显著性——FDPIC 2025年指引明确批评了拒绝按钮在视觉上弱于接受按钮的横幅设计
按目的分类的精细化开关：分析、广告、个性化、跨境传输，以及任何特别敏感类别
针对特别敏感个人数据处理的独立同意流程，通过独立操作触发而非并入一般同意
持久且易于找到的同意撤回机制，撤回操作的便利程度与给予同意一致
完整的瑞士语言隐私声明，披露控制方身份、处理方、目的、接收方、保留期限、传输机制及数据主体权利途径

同意记录

控制方须保存同意证据——谁同意了、何时同意、针对哪些具体目的、通过何种界面。2025年FDPIC的数封调查函中提及了同意记录不充分的问题，在适用诉讼时效期间内保存的带时间戳可导出日志是最低合规预期。

2024年充分性认定调整后的跨境数据传输

跨境数据传输是revFADP中瑞士立场最明显偏离欧盟立场（且略有滞后）的领域。欧盟采用EU-US Data Privacy Framework后，2024年的调整产生了平行的Swiss-US Data Privacy Framework，但其范围和条件并不完全相同。

认可的传输机制

revFADP和rev-OPDP认可以下几种途径：

瑞士联邦委员会就被评估为提供充分保护的国家作出的充分性决定——当前名单包括EEA、英国及少数其他司法管辖区
针对在框架下完成自我认证的美国组织的Swiss-US Data Privacy Framework，该框架于2024年后取代了Swiss-US Privacy Shield
FDPIC认可的标准合同条款，包括附有FDPIC发布的瑞士附录的EU SCCs
FDPIC批准的约束性企业规则
特定豁免，包括附充分披露的明示同意、合同必要性、重大利益及重大公共利益

Swiss-US DPF的实践

Swiss-US DPF覆盖已完成自我认证并维持认证状态的美国组织的传输。发布商应在DPF名单上核实每家美国广告技术或分析供应商的有效认证状态，而非依赖一次性核查，因为认证失效不会追溯性地使此前的传输无效，但会要求立即对持续流量进行整改。若某供应商未获DPF认证，附有FDPIC瑞士附录的EU SCCs仍是有效替代方案。

2026年实用方法

对大多数发布商而言，实用方法是将来自瑞士流量的每个跨境数据流映射至其目的地国家和传输机制，在DPF认证未能覆盖该供应商的情形下签署附瑞士附录的相应SCCs，在瑞士语言隐私声明中记录该机制，并仅在结构化机制无法完全适用于该处理时才以基于同意的授权作为补充。

revFADP下的数据主体权利

revFADP赋予一系列与GDPR高度一致的权利，并附有若干瑞士特色：

访问控制方持有的个人数据的权利，每年首次访问免费，后续或大范围请求设有费用上限
更正不准确或不完整数据的权利
删除权
限制处理权
对于基于同意或合同以自动化方式处理的数据的数据可携权
反对处理权
撤回同意权
不受产生法律效力或类似重大影响的自动化个人决策约束的权利，附有人工审查保障
向FDPIC投诉或提起民事诉讼的权利

响应时限

在一般框架下，控制方须在30天内回应数据主体请求，复杂情形可通过有理由说明的通知延期。具备这一时间窗口的操作准备——包括覆盖德语、法语和意大利语的瑞士语言工具和操作手册——是境外发布商在将项目调整至单一欧洲语言时常见的缺口。

2026年的处罚与执法态势

FDPIC的执法活动在2024年和2025年显著升级，2026年延续这一态势而非趋于平稳。

罚款结构

罚款主要为刑事性质，指向具名个人——董事、DPOs、合规负责人——每次故意违规上限为CHF 250,000。2025年执法中最常被引用的类别为：向数据主体提供的信息不充分、跨境传输尽职义务违反、未在规定时间窗口内向FDPIC履行数据泄露通知义务，以及不合规于FDPIC的决定或命令。

刑事责任兜底

与GDPR不同，revFADP的刑事责任路径针对的是负责任的自然人而非仅针对法人实体，这促使2025年大量内部签批流程进行了重大重构。实际效果是合规证明和审计追踪不仅关乎组织的风险敞口，也关乎个人的风险敞口——尤其是DPO，其文件记录实践已相应调整以反映这一点。

执法主题

FDPIC 2025年及2026年初的执法行动主要集中于：弱化拒绝操作或使用预勾选框的Cookie横幅、隐私声明未以用户瑞士国家语言提供、向未获DPF认证且缺乏替代机制的美国供应商进行跨境传输、未在30天时间窗口内回应数据主体请求，以及迟报或漏报数据泄露。境外发布商在上述五个类别中均有被引用案例，以横幅设计和跨境传输类别处于处理案件前列。

2026年瑞士流量审计清单

CMP横幅以用户瑞士国家语言（DE、FR、IT或RM）展示，接受、拒绝和设置具有同等视觉显著性
同意目的为精细化，且将特别敏感处理置于独立同意流程之后
隐私声明以每种相关瑞士语言提供，完整披露控制方、处理方、目的、保留期限、权利及FDPIC投诉途径
来自瑞士流量的每个跨境数据流已映射至其目的地和机制——充分性认定、Swiss-US DPF认证、附FDPIC瑞士附录的SCCs、BCRs或有记录的豁免
美国供应商的DPF认证状态在公开名单上重新核实，而非一次核实后不再更新
同意日志带有时间戳、可导出，并在适用诉讼时效期间内保存
数据主体请求工作流能够端到端在30天内以德语、法语和意大利语回应
数据泄露通知操作手册已根据revFADP时限进行调整，并与内部事件响应流程整合
签批流程反映了刑事责任针对个人的体系架构，附具名审批人和文件追踪
特别敏感类别受众细分须通过明示的、单独获取的同意进行管控
Cookie分类已以批判性眼光审查，重点考量哪些Cookie在FDPIC指引下确实符合严格必要的认定

2026年展望

瑞士数据保护制度已从受人尊重但相对安静的旧法律文书，演变为具备操作专属性、执法能力和刑事责任体系的工作工具，足以独立塑造合规优先事项，而不仅仅依附于欧盟项目。2024年充分性认定调整消除了美国数据传输方面最重要的结构性缺口，FDPIC 2025年不断升级的执法态势与监管机构持续扩能的方式相符，而非一次性运动。对于已运行GDPR级别同意堆栈的发布商而言，与revFADP合规的差距小于与任何其他非欧盟司法管辖区的差距——但差距确实存在，且存在于具体细节中：瑞士语言横幅和声明、针对每家美国供应商的DPF与SCC映射、特别敏感类别略有不同的边界线、跨三四种语言的30天响应节奏，以及使个人签批文件从锦上添花变为一流合规文物的刑事责任体系。若优先处理，这一差距可在数周内弥合，而瑞士发布商CPM水平使得优先处理在经济上合情合理。那些在2024年前悄然将瑞士视为GDPR直通区的发布商，正发现2026年的要求明显更高，且趋势清晰。