GDPR對Cookie橫幅有咩要求

GDPR同ePrivacy指令對Cookie同意設立咗五條唔可以傾嘅規則：

• 自由畀嘅：拒絕Cookie要同接受一樣方便。
• 具體嘅：每個目的要分開問同意。
• 知情嘅：用戶同意之前要知自己喺度同意咩。
• 明確嘅：預先剔選嘅框同繼續瀏覽唔算數。
• 可撤回嘅：用戶隨時都要可以撤回同意。

例1：「淨係接受」橫幅（唔合規）

點樣嘅

一條細橫幅寫住「我哋用Cookie嚟改善你嘅體驗」同一個「好」按鈕。冇拒絕選項，冇設定。

點解唔過

冇真正嘅選擇，冇Cookie嘅資料，冇拒絕嘅辦法。CNIL喺2022年因為呢個模式對Google罰咗1.5億歐元，對Facebook罰咗6000萬歐元。

判決：GDPR下唔合法。

例2：全部接受+細個「管理偏好」連結（唔合規）

點樣嘅

一個顯眼嘅「全部接受」按鈕同一個灰色細連結「管理偏好」。冇「全部拒絕」按鈕。

點解唔過

視覺層次推住用戶去接受。拒絕要兩下撳，接受只要一下。好幾個DPA裁定呢個唔係自由畀嘅同意。

判決：唔合規。拒絕要同接受一樣易用。

例3：一樣大嘅接受同拒絕按鈕（合規）

點樣嘅

兩個一樣大嘅按鈕：「全部接受」同「全部拒絕」。下面有「管理偏好」連結。Cookie目的嘅簡短說明。

點解得

真正嘅自由選擇，兩個選項一樣顯眼，各撳一下。呢個就係CNIL明確推薦嘅模式。

判決：合規。每個網站都應該達到嘅基線。

例4：Cookie牆（唔合規）

點樣嘅

全屏遮罩擋住晒所有內容。唯一選項係「接受Cookie」。

點解唔過

GDPR第7條第4款——如果訪問服務有條件，同意就唔係自由嘅。荷蘭DPA認為Cookie牆一般唔允許。

判決：喺大多數EU管轄區唔合規。

例5：預先剔選嘅框（唔合規）

點樣嘅

詳細橫幅顯示Cookie類別同剔選框——但全部都係預先剔咗嘅。

點解唔過

CJEU Planet49判決（2019）徹底解決咗呢個問題：預先剔選嘅框唔算有效同意。同意需要明確嘅確認動作。

判決：按CJEU判例法明確唔合法。

例6：分層方法（合規——最佳做法）

點樣嘅

第一層：緊湊橫幅同全部接受、全部拒絕同自訂按鈕。第二層：詳細嘅偏好中心同每個類別嘅開關同供應商名單。第三層：完整Cookie政策。

點解得

喺資訊同易用性之間取得平衡。第一層畀選擇，第二層畀細節，第三層畀完全透明。EDPB明確推薦。

判決：最佳做法。合規嘅黃金標準。

例7：誤導嘅按鈕標籤（唔合規）

點樣嘅

「我同意」對「我唔同意拒絕非必要Cookie」。或者：「接受推薦設定」對「用限制版本」。

點解唔過

GDPR序言42要求清楚、簡單嘅語言。雙重否定、暗示後果同操縱性標籤都唔合規。

判決：唔合規。用清楚、中立嘅標籤。

例8：做啱咗嘅合規橫幅

點樣嘅

乾淨嘅底部欄：清楚嘅標題、簡短說明、三個一樣樣式嘅按鈕（全部接受、全部拒絕、管理偏好）同Cookie政策連結。管理偏好打開偏好中心同單獨開關、供應商名單同儲存按鈕。

點解得

滿足所有要求：自由選擇、對稱按鈕、分層資訊、簡單語言、冇預先剔選嘅框、透過Cookie設定圖示容易撤回。

判決：完全合規。

差嘅橫幅嘅真實罰款

• Google（法國，2022）：1.5億歐元——拒絕選項比接受更加難搵。
• Facebook（法國，2022）：6000萬歐元——一樣嘅唔對稱問題。
• Microsoft（法國，2022）：6000萬歐元——廣告Cookie喺冇有效同意嘅情況下設定。
• TikTok（法國，2023）：500萬歐元——拒絕Cookie要比接受更多步驟。

合規檢查清單

• 第一層有冇睇到嘅「全部拒絕」按鈕？
• 接受同拒絕一樣顯眼？
• 所有剔選框預設係無剔嘅？
• 橫幅喺非必要Cookie設定之前顯示？
• 用戶可以去到詳細嘅類別控制？
• 同意有冇同時間戳一齊記錄？
• 用戶可以隨時改變同意？
• 橫幅係用戶嘅語言？
• 撳拒絕真正可以阻止非必要Cookie？

FlexyConsent點樣直接搞掂呢件事

FlexyConsent係一個Google認證嘅CMP同IAB TCF 2.3支援。滿足每一條合規要求：

• 第一層有一樣嘅接受同拒絕按鈕
• 內置分層方法（第一層畀選擇，第二層畀詳細控制）
• 冇預先剔選嘅框——所有可選類別預設無剔
• Google Consent Mode V2直接整合
• 同自動偵測嘅43種語言
• 為特定地區橫幅做地理定向
• 為審計做同意記錄同證據
• 計劃由每月0歐元開始

喺panel.flexyconsent.com五分鐘唔使就可以設定好合規橫幅。