欧盟、美国、英国和其他国家/地区的 Cookie 同意法

不遵守世界各地不同的 cookie 同意法律可能会导致高昂的罚款和处罚。 根据联合国贸易和发展会议的数据，194 个国家中的 137 个国家已经颁布了保护数据和隐私的立法。

以下指南将帮助解释 cookie 的使用、管辖它们的法律以及确保您合规的方法。

同样重要的是要记住，“cookie 法律”不仅仅适用于 cookie。 Cookie 法是保护数据和隐私的立法，适用于可用于存储和处理用户信息的所有类型的技术。

Cookie 只是目前用于在个人设备上存储用户信息的最常用技术。

了解不同类型的 Cookie

Cookie 是存储在设备内存中的小型数据文件，用于在用户访问网站时收集有关设备用户活动的信息。 当用于收集个人信息时，例如在广告个性化和跟踪中，cookie 会影响隐私。

有必要对不同类型的 cookie 有基本的了解，以便更好地了解规范其使用的法律，并确保遵守世界各国的 cookie 同意法。

以下是决定如何使用 cookie 的主要区别：

• 会话与持久性 cookie：当设备停止访问网站时会自动删除会话 cookie，而持久性 cookie 会保留用于设备用户的后续访问。
  
  
• 必要 cookie 与选择性 cookie：网站正常运行需要必要的 cookie。 一个典型的例子是允许用户将商品放入在线购物车并保存以备后用的 cookie。 另一方面，选择性 cookie 执行另一项任务，例如允许用户自定义他们的体验或允许营销人员跟踪用户活动。
  
  
• 第一方与第三方 cookie： cookie 是由您的组织使用还是代表营销合作伙伴或某些外部组织使用。
  
  

欧盟 Cookie 同意法

“cookie 横幅”的使用突然增加，在网站和应用程序上显示的请求用户同意访问该网站的通知，很大程度上是由于欧盟 (EU) 对收集互联网个人信息的企业的严格要求欧盟国家的用户。

在数据保护和在线隐私立法方面，欧盟已成为世界领先者。

2002 年，欧盟通过了电子隐私指令（2008 年修订，2011 年生效），要求网站在存储、使用或检索用户个人信息之前必须获得用户同意。

2018 年，欧盟通过了《通用数据保护条例》（GDPR），规范了个人信息的收集，并对违法行为实施了严厉处罚。 总而言之，ePrivacy 指令和 GDPR 将个人数据描述为由可识别的人创建的任何数据，并且它们需要用户同意才能收集这些数据。

GDPR cookie 同意法还授予用户访问、删除、更正和反对收集其个人数据的权利。

欧盟 cookie 法律适用于每个拥有欧盟境内访问者的网站，无论企业实际位于何处。 欧盟 cookie 法要求企业：

• 在用户的浏览器上放置任何跟踪器或 cookie 之前，请先征得用户的同意；
• 提供有关其网站上使用的所有跟踪器和 cookie 的详细信息；
• 为用户提供轻松撤回或退出同意的能力。

不过，并非所有 cookie 都需要征得同意。 欧盟承认某些 cookie 对于网站正常运行至关重要。 因此，他们对执行网站访问者请求的服务“绝对必要”的 cookie 进行了例外处理。

必要使用 cookie 的最佳示例是允许用户将商品保存在在线购物车中的在线零售商。 虽然没有明确定义“绝对必要”的范围，但购物网站的用户希望购物车功能能够正常运行，因此这些 cookie 是必要的。

另一方面，为用户提供定制体验或定制广告的 cookie 对于网站（包括在线商店）的正常运行来说并不是必需的。 此类 cookie 不属于例外情况，使用前需征得同意。

其他被认为绝对必要的 cookie 包括那些为用户期望高度安全的网站（包括在线银行网站）提供安全功能的 cookie。 任何被认为不是绝对必要的 cookie 都需要征得同意才能存储在用户的设备上。

美国的 Cookie 同意法

虽然美国的几个州已经通过或正在考虑通过立法，但与其他主要国家相比，美国的联邦隐私法普遍较弱。 基本上，美国不需要同意 cookie，但《儿童在线隐私保护法》(COPPA) 除外，该法规定了针对 13 岁以下儿童的网站和在线服务的活动。

COPPA 仅适用于收集 13 岁以下儿童的个人信息。如果以下任何一项适用，您必须遵守 COPPA：

• 您的网站或应用程序的内容针对 13 岁以下的儿童，并且您收集他们的个人信息；
• 您的网站或应用程序的内容针对 13 岁以下的儿童，并且您允许第三方收集他们的个人信息；
• 您的网站或应用程序面向普通受众，但您知道 13 岁以下的儿童使用您的网站，并且您从他们那里收集个人信息。

联邦贸易委员会 (FTC) 在其儿童在线隐私保护规则中定义了“网站或在线服务”：为您的企业制定的六步合规计划，其中包括以下所有内容：

• 在线发送或接收信息的移动应用程序
• 支持互联网的游戏平台
• 插件
• 广告网络
• 支持互联网的基于位置的服务
• Internet 协议语音服务

根据 FTC，COPPA 不适用于学校，因为它不适用于服务于教育目的的非营利组织收集的信息或州政府收集的信息。

但是，COPPA 确实适用于向学校和学生提供网站和应用程序的第三方商业实体。 在这种情况下，第三方可以直接从学校而不是家长那里获得同意。

加拿大的 Cookie 同意法

加拿大的隐私法比美国严格得多，但仍不如欧盟严格。 加拿大通过其反垃圾邮件和隐私法来规范 cookie 的使用：

• 个人信息保护和电子文件法 (PIPEDA)
• 加拿大的反垃圾邮件立法 (CASL)

PIPEDA 承认“明示”和“默示”同意。 明确表示同意或“选择加入”同意是通过特定行动明确给出的。 默示同意或“选择退出”同意可以通过一个人的不作为来推断。

CASL 要求网站和应用程序运营商在安装某些计算机程序（包括 cookie）之前获得明确同意。 根据 CASL，如果“用户的行为足以合理地相信他们同意安装程序”，则网站运营商可以假定用户已明确同意使用 cookie。

这听起来更像是默示同意而不是明示同意。 无论如何，只要网站和应用程序为用户提供适当的信息和选择退出，加拿大法律并不要求访问者明确同意 cookie。

CASL 类似于加州在线隐私保护法 (CalOPPA)，因为这两项法律基本上都适用于任何人和所有人。 由于互联网的全球性，企业很可能会接触到加利福尼亚或加拿大的居民，因此必须遵守 CalOPPA 和 CASL 的要求。

英国的 Cookie 同意书

在英国，2018 年的《数据保护法》管辖数据隐私和同意。 《数据保护法》要求您在收集用户的个人数据之前获得用户的明确同意。 该法案是英国执行 GDPR 对所有成员国的指令。

然而，值得注意的是，英国政府最近提议脱离欧盟的数据保护法。 为了减少 cookie 同意横幅的弹幕，英国正在考虑改为选择退出而不是选择加入框架。

澳大利亚和新西兰的 Cookie 同意法

澳大利亚和新西兰都不需要 cookie 的同意。 两国都颁布了隐私法，但这些法律并未具体提及 cookie 或暗示 cookie 收集的数据应被视为个人信息。

尽管如此，还是建议在隐私政策中披露 cookie 的使用，因为澳大利亚政府在其澳大利亚隐私原则中建议，如果通过 cookie 收集的信息可以“合理地识别”某人，则该信息构成个人信息。

中国的 Cookie 同意法

中国于 2021 年通过了《个人信息保护法》（PIPL），它对个人数据的收集提出了一些最严格的要求。 根据 PIPL，需要非常具体的条件才能从中国境内删除个人数据。

违反法律可能会对您的企业和个人员工造成巨额罚款。

了解 Admiral 如何帮助您管理隐私同意

随着新的隐私法的通过和已经生效的法律的更新，公司将 cookie 管理和同意管理系统作为其内部 cookie 政策的一部分实施已成为最佳做法。

Admiral 的隐私同意管理平台旨在遵守 cookie 同意 GDPR 和现行美国州法律，并且安装简单且易于使用。

Admiral 提供了适用于 GDPR 和 IAB TCF 框架的同意管理平台 (CMP)。 要了解更多信息，请安排时间今天讨论您的合规选项。