法律基礎

Cookie同意義務源自GDPR（Regulation 2016/679）同ePrivacy Directive（2002/58/EC）。ePrivacy Directive要求喺用戶設備上儲存資料之前取得同意（Article 5(3)），而GDPR定義咗有效同意（Article 4(11)、Article 7、Recital 32）。

14項要求

1. 事先同意

非必要cookie喺用戶同意之前唔可以運行。ePrivacy Directive嘅Article 5(3)講得好清楚。CNIL因為喺用戶互動之前載入cookie而罰咗Google EUR 1.5億（2022）。

2. 自由畀出嘅同意

同意唔可以作為存取嘅條件（GDPR Article 4(11)）。唔可以將cookie同意同服務條款綑綁。

3. 精細嘅目的選擇

用戶必須對每個目的分別同意——分析、廣告、功能性（GDPR Recital 43）。冇類別選擇嘅單一「全部接受」按鈕係唔夠嘅。

4. 接受同拒絕同樣顯眼

拒絕必須同接受一樣顯眼。CNIL要求喺第一層放一個具有同等視覺權重嘅「全部拒絕」按鈕。Microsoft因為隱藏拒絕選項而被罰咗EUR 6000萬（2022）。

5. 冇預先剔選嘅格仔

CJEU Planet49裁決（C-673/17，2019）：預先剔選嘅格仔唔係有效同意。所有類別必須預設為關閉。

6. 冇cookie牆

喺取得同意之前封鎖網站存取通常係唔合規嘅。EDPB同荷蘭DPA已經確認咗呢一點。

7. 清楚、簡單嘅語言

GDPR Article 7(2)——同意請求必須使用清楚、簡單嘅語言。「我哋使用cookie嚟改善你嘅體驗」係唔夠嘅。

8. 語言配對

GDPR Article 12(1)——資訊必須係可以理解嘅。橫幅應該同網站嘅語言配對。

9. 連結到cookie政策

GDPR Articles 13-14要求全面嘅資訊。橫幅必須連結到列出每個cookie嘅完整cookie政策。

10. 容易撤回

GDPR Article 7(3)——撤回必須同畀出同意一樣容易。持久性小工具或頁尾連結必須允許重新打開同意介面。

11. 同意記錄保存

GDPR Article 7(1)——你必須證明已經取得咗同意。記錄時間戳、選擇同橫幅版本。

12. 第三方披露

GDPR Article 13(1)(e)——披露所有第三方數據接收者。根據TCF 2.3，供應商列表必須從同意介面可以存取。

13. 數據保留透明度

GDPR Article 13(2)(a)——披露cookie持續幾耐。

14. 流動裝置響應

流動裝置冇GDPR豁免。按鈕必須可以撳到，文字必須睇到，介面必須喺所有螢幕尺寸上正常運作。

快速審計檢查清單

• 同意之前冇非必要cookie運行
• 接受同拒絕喺第一層同樣顯眼
• 個別類別選擇可用
• 非必要類別冇預先選擇嘅開關
• 即使用戶拒絕全部，網站都可以存取
• 橫幅語言同內容語言配對
• 使用簡單、非技術性語言
• 完整cookie政策嘅連結喺橫幅上可見
• Cookie政策按名稱、目的、持續時間列出每個cookie
• 持久性小工具允許重新打開同意介面
• 撤回同意需要嘅點擊次數同畀出同意相同
• 同意記錄帶有時間戳保存
• 第三方接收者已披露
• 橫幅喺流動裝置上正常運作
• 冇操控性嘅顏色、大小或措辭

自動化呢個：FlexyConsent即開即用咁滿足每一項要求——經Google認證嘅CMP，支持IAB TCF 2.3、Consent Mode V2、43+種語言，方案由EUR 0/月起。喺panel.flexyconsent.com開始。