英国脱欧后的隐私保护格局

当英国脱离欧盟时，并没有抛弃数据保护制度。英国将欧盟 GDPR 纳入本国法律，形成了UK GDPR，并与2018 年数据保护法（Data Protection Act 2018）并行适用。就 Cookie 而言，英国对 ePrivacy 指令的本地化立法——隐私与电子通信条例（Privacy and Electronic Communications Regulations，PECR）——仍然适用。由此形成的隐私框架与欧盟体系高度相似，但由英国信息专员办公室（Information Commissioner's Office，ICO）独立监管和执行。

对于网站运营者而言，这意味着只要向英国访客提供服务，就必须关注一套独立的规则、指引和执法实践。虽然实质内容与 EU GDPR 相近，但细节差异十分关键。

UK GDPR 与 EU GDPR：关键差异

UK GDPR 在核心原则和要求上与 EU GDPR 基本一致。但自脱欧以来，已经出现了一些差异：

• 监管机构：ICO ��� UK GDPR 下的唯一监管机构，取代了欧盟各国数据保护机构的角色。对于仅影响英国居民的数据处理活动，你不会同时被 ICO 和某个欧盟监管机构就同一处理行为处以罚款。
• 数据充分性：欧盟于 2021 年 6 月向英国授予了充分性决定，使得个人数据可以在欧盟与英国之间自由流动。该决定需定期审查。英国也反向承认 EEA 具有充分性。
• 国际数据传输：英国拥有自己的国际数据传输框架，由国务大臣（而非欧盟委员会）作出充分性决定。英国在国际传输方面释放出更灵活的信号，但核心保障要求仍然存在。
• 执法方式：ICO 传统上更倾向于通过沟通和指引来推动合规，而非激进罚款。UK GDPR 下的最高罚款额度与欧盟相同：最高 1750 万英镑或全球年营业额的 4%，以较高者为准。
• 潜在制度分化：英国政府通过《数据保护与数字信息法案》（Data Protection and Digital Information Bill）考虑改革，这可能会改变合法利益评估、科研豁免以及数据保护官（DPO）的角色。网站运营者应关注该立法的进展，以应对未来的变更。

PECR：英国的 Cookie 法律

UK GDPR 提供了个人数据处理的一般框架，而 PECR 则专门规范 Cookie 和类似技术。PECR 早于 GDPR 颁布，是 ePrivacy 指令在英国法律中的实现。其对 Cookie 的核心要求��括：

• 在设置任何非必要 Cookie 之前必须取得同意。这包括分析类 Cookie、广告 Cookie 和社交媒体 Cookie。
• 必须向用户提供信息，说明将设置哪些 Cookie 以及其用途，且语言应当清晰易懂。
• 同意必须是自由、具体且知情的。预先勾选的选框不构成有效同意。
• 严格必要的 Cookie 可获豁免。为提供用户明确请求的服务所必需的 Cookie（例如登录会话 Cookie 或购物车 Cookie）无需取得同意。

PECR 对同意的标准与 GDPR 对“同意”的定义保持一致，这意味着在实践中，其要求与欧盟 ePrivacy 指令下的要求非常相似。通常，只要你的 Cookie 横幅符合欧盟规则，也就基本符合 PECR 的要求。

ICO 关于 Cookie 横幅的指引

ICO 发布了详尽的 Cookie 合规指引，其内容超出了 PECR 条文本身。要点包括：

同意必须是积极行为

仅仅继续浏览网站并不构成同意。ICO 明确指出，默示同意无效。在设置任何非必要 Cookie 之前，用户必须采取明确、积极的操作（例如点击“接受”按钮）。

拒绝应当同样容易

ICO 日益关注 Cookie 横幅中的暗���模式。具体包括：

• 必须在与“全部接受”同一层级提供“全部拒绝”或等效选项。将拒绝选项隐藏在“管理偏好”页面之后是不可接受的。
• 视觉设计不应通过颜色、尺寸或位置来诱导用户接受。
• 措辞必须中立，不得通过负罪感或压力来迫使用户同意。

按类别进行细粒度控制

用户应当能够按类别对 Cookie 进行同意（例如分析、营销、功能类），而不是被迫做出“全有或全无”的选择。虽然 ICO 并未强制规定具体的类别数量，但提供细粒度控制体现了良好实践，并且可能是 GDPR 目的限制原则下的要求。

Cookie 墙存在合规风险

ICO 认为，Cookie 墙——即若用户不接受所有 Cookie 就拒绝其访问网站——很难构成有效同意，因为此时同意并非“自由给出”。对于付费内容，如能提供真正不依赖 Cookie 的替代方案，可能存在有限例外。

近期 ICO 执法行动

近几年，ICO 持续加大对 Cookie 合规的关注。值得注意的行动包括：

• 行业范围审计：ICO 对英国各行业排名前 100 的网站进行了审计，并发布报告指出普遍存在的不合规问题。常见问题包括：在取得同意前即设置 Cookie、缺乏拒绝选项、未充分说明 Cookie 的用途。
• 警告函：审计之后，ICO 向 Cookie 实践不合规的组织发出警告函。大多数组织在收到警告后对其实践进行了整改。
• 广告技术调查：ICO 对实时竞价生态系统展开持续调查，关注通过程序化广告 Cookie 共享的大量个人数据是否在缺乏充分同意的情况下被处理。
• 公共部门执法：政府网站也不例外。ICO 向公共部门组织发布了关于 Cookie 实践的指引和警告。

虽然 ICO 目前尚未针对 Cookie 违规开出特别巨额的罚款，但趋势明显指向更严格的执法。监管机构已经表示，期望组织现在就实现合规，对拒不改进者将采取执法行动。

国际数据传输：从英国到欧盟及其他地区

Cookie 同意与国际数据传输之间存在重要交集。当分析或广告 Cookie 将数据发送到英国境外的服务器时——例如 Google Analytics 将数据发送到 Google 的服务器，Facebook Pixel 将数据发送到 Meta 的服务器——在 UK GDPR 下，这些行为构成国际数据传输。

当前安排如下：

• 英国至 EEA：在英国承认 EEA 充分性的前提下，数据��自由流动。
• 英国至美国：EU-US Data Privacy Framework 的英国扩展（UK Extension）为向已认证的美国组织传输数据提供了机制。Google 和 Meta 已在该框架下获得认证。
• 英国至其他国家：需要适当的保障措施，例如英国版标准合同条款（Standard Contractual Clauses）或具有约束力的公司规则（binding corporate rules）。

在实践中，如果你使用 Google Analytics、Google Ads 或其他主要广告平台，通常已经具备相应的国际传输机制。但你仍应在隐私政策中记录这些传输，并在 Cookie 横幅中说明数据可能被跨境传输。

FlexyConsent 面向英国合规的地理定向

FlexyConsent 为英国访客提供专门的地理定向功能，以确保符合英国特定的监管框架：

• 符合 PECR 的横幅：英国访客将看到符合 ICO 要求的同意横幅，包括同等显著的拒绝选项和按类别的细粒度控制。在取得明确同意之前，不会设置任何 Cookie。
• 独立于欧盟配置：尽管要求相似，FlexyConsent 仍允许对英国和欧盟的同意体验进行独立配置。这使你的实现对未来可能出现的英欧监管分化具有前瞻性。
• 与 ICO 保持一���的设计：FlexyConsent 的默认横幅模板遵循 ICO 关于避免暗黑模式的指引。“接受”和“拒绝”选项在视觉上同等重要，语言中立，设计不会操纵用户选择。
• Consent Mode V2 集成：作为Google-certified CMP，FlexyConsent 会为英国访客向 Google 服务发送正确的同意信号。这确保在尊重英国同意要求的前提下，转化建模和 Smart Bidding 仍能正常运作。
• IAB TCF 2.3 支持：对于使用程序化广告的出版商，FlexyConsent 会生成适用于英国市场的 TCF 同意字符串，供在英国运营的需求方平台和供给方平台识别。

FlexyConsent 的方案起价为每月 0 欧元（EUR 0 per month），并为 WordPress、Shopify 和 PrestaShop 提供原生集成。对于英国本地企业而言，部署经过认证的 CMP 能向 ICO 展示你在主动合规——监管机构已表示，这会在其决定是否执法时被纳入考量。

要点总结：英国在脱欧后的隐私框架与欧盟高度相似，但拥有独立的监管机构、独立的执法模式，并可能走向独立的立法方向。目前将英国访客视同欧盟访客适用同一规则是安全的做法，但保留为英国配置专属同意体验的能力，将有助于你在两套框架未来可能分化时及时调整。采用具备地理识别能力的 CMP，是管理这一复杂性的最务实方式。