逐国对照:2026 年 EU 无 Cookie 网站统计规则工作总表
一张表、十一个司法辖区,每格一个诚实的答案。每个 EU(外加 UK)监管机构当前对无同意网站统计的立场 —— 附引用来源。
本文为隐私研究内容,不构成法律意见。完整免责声明见页脚。
TL;DR
- 十一个司法辖区、四级执法信号、两个锚点。 法国最友好(第 16 号建议指南豁免);德国最严格(无豁免、仅限服务器端)。
- 按德国基线配置,EU 其余部分自然兼容。 一个能通过 § 25 TDDDG 的配置,按构造也能通过法国的第 16 号指南、意大利 Garante 2021 指南、西班牙 AEPD 指南和荷兰 AP 立场。
- 2026 年执法在加强,而非放松 —— 意大利 Garante:2026 年上半年 40 多次检查,由 Guardia di Finanza 协助;荷兰 AP:每年监测 10,000 个网站 + 将线上跟踪重新定性为「大规模监控」;CNIL:累计 4.75 亿欧元的 Cookie 罚款。
- 「其他 EU」桶默认采用最严格基线。 流量来自未单独建模的成员国时,运营者部署德国级架构,并依赖「未触发第 5(3) 条」的论证框架。
- IR / 其他非 EU 为可配置而非已认证。 Statnive 不开箱声称 PIPL / LGPD / PDPA / DPDP / PIPEDA / CCPA 合规 —— 这些是面向运营者的具体配置,需要当地法律顾问审阅。
如何阅读本表
2026 年 EU/UK 对无同意网站统计的立场并非单一规则,而是一张拼图 —— 十一个司法辖区对同一份 ePrivacy 指令和 GDPR 有十一种解读。本文是面向运营者的参考。每个辖区一行,每个监管层一列,每格一个诚实的答案。系列配套文章 —— 支柱实战手册、法国 CNIL 第 16 号指南深度解读、德国 § 25 TDDDG 深度解读、DSAR 端点文章、GPC 与混合模式文章,以及 Digital Omnibus 新闻视角 —— 覆盖了本表压缩为一行的细节。
在进入表格前,先复习一下两层规则。ePrivacy 第 5(3) 条管的是对终端设备的存储和访问。GDPR 第 6 条管的是任何后续个人数据处理的合法基础。两层叠加,不能相互替代。根据 EDPB 5/2019 意见,并由 UK ICO 2026 年 4 月《存储与访问技术指南》重申,ePrivacy 第 5(3) 条对终端设备上任何存储 / 访问而言是 GDPR 的 lex specialis(特别法)。GDPR 第 6(1)(f) 条下的合法利益不能替代 ePrivacy 第 5(3) 条要求的同意。
因此,一个辖区对无同意网站统计的立场,是以下三者的合成:(a)该成员国如何将 ePrivacy 第 5(3) 条转置为国内法;(b)国家监管机构是否发布了具体的受众测量豁免解读;(c)监管机构的执法记录所传递的、立场在实务中严格程度的信号。
总表
| 司法辖区 | 国家 ePrivacy 转置 | 受众测量豁免 | 罚款上限 | 执法信号 |
|---|---|---|---|---|
| 法国(CNIL) | Loi 78-17 第 82 条 | 有 —— 第 16 号建议指南 + 2025 年 7 月 4 日自评估 + 2026 年 1 月 16 日Cookie 统一建议 | 全球营业额的 4%(GDPR 第 83 条) | 2020-2025 年累计 4.75 亿欧元 Cookie 罚款;2026 年 1 月 22 日公布的 350 万欧元罚款(与 16 个欧洲 DPA 协调);遗留评估方案于 2026 年 1 月 1 日终止 —— 自评估制度生效 |
| 德国(DSK) | § 25 TDDDG | 无 | 按 § 28(1) No. 13 处以 30 万欧元;GDPR 罚款并行 | DSK 2024 年 11 月 v1.2 指南:合法利益不能替代 § 25 |
| 意大利(Garante) | DLgs. 196/2003 第 122 条 | 有 —— 2021 年 6 月 10 日 Cookie 指南(2022 年 1 月 10 日生效) | 全球营业额的 4%(GDPR 第 83 条) | 2022 年 6 月 9 日 Caffeina Media 决定,禁止 GA 跨欧盟到美国的数据传输;2026 年检查计划:2026 年上半年 40 多次定向检查,Guardia di Finanza 协助;意大利在 EU 执法数排第 2 |
| 西班牙(AEPD) | LSSI 第 22.2 条 + LOPD-GDD | 有 —— 受众测量指南(2024) | LOPD-GDD 下 3 万欧元 Cookie 罚款;个人数据由 GDPR 罚款覆盖 | Cookie 指南 2023 年 7 月更新,2024 年 1 月 11 日强制执行 |
| 荷兰(AP) | Telecommunicatiewet 第 11.7a 条 | 有 —— 「分析 Cookie……仅用于访客计数时无需同意」 | 90 万欧元或营业额 1-10%(电信法第 15.4 条) | AP 每年自动扫描 10,000 个站点;2026-2028 战略重点将线上跟踪重新定性为「大规模监控」;2024 年 7 月 16 日对 Kruidvat 处以 60 万欧元罚款;2025 年 4 月向 50 家组织发出警告 |
| 比利时(APD) | 2005 年 6 月 13 日法律 | 无 —— 「在现行法律框架下,受众测量 Cookie 不豁免于同意要求」 | 全球营业额的 4%(GDPR 第 83 条) | 2022 年第 85 号决定对 Roularta Media Group 处以 5 万欧元罚款;APD/GBA 2026-2028 战略规划:转向主动、大规模执法 |
| 爱尔兰(DPC) | SI 336/2011 | 未发布豁免 | 全球营业额的 4%(GDPR 第 83 条) | 2020 年指南与 EDPB 5/2020 指南一致 |
| 英国(ICO) | PECR 2003(经 DUAA 2025 修订) | 无 —— 对低侵入性第一方网站统计「执法低优先级」 | 1,750 万英镑或全球营业额 4% | ICO 2026 年 4 月 29 日《存储与访问技术指南》 |
| 奥地利(DSB) | TKG 2021 § 165 | 无独立豁免 | 全球营业额的 4%(GDPR 第 83 条) | NetDoktor 决定 2021 年 12 月 22 日(编号 2021-0.586.257,D155.027) |
| 其他 EU(其余 19 个成员国) | 各自对 2002/58/EC 的国家转置 | 混合 —— 见说明 | 因成员国而异 | 运营者应咨询国家监管机构的具体指南 |
| 其他非 EU(含 IR) | 适用国家法律 | EU 豁免不适用 | 因成员国而异 | 运营者应咨询当地法律顾问 |
表格把大量细节压缩进单元格。本文余下章节将逐行展开,说明运营者在该辖区部署时需要做什么。
法国 —— 最对运营者友好的 EU 监管机构
CNIL 的第 16 号建议指南,叠加 2025 年 7 月 4 日的自评估更新和 2026 年 1 月 1 日的合规截止日期,是 EU 中最面向运营者的受众测量豁免。条件累计且狭窄:单站点范围、最多三种事件类型(页面到访、功能交互、计时)、IPv4 末位八位组截断、User-Agent 仅保留主版本、仅保留主机的引荐来源、无会话回放、无跨域标识符、跟踪器 13 个月生命周期、25 个月数据保留、聚合至最接近 10 的取整。
CNIL 的执法记录以 Cookie 同意 UX 为主。2020 年 12 月 1 亿欧元对 Google;2022 年 1 月 1.5 亿欧元对 Google + 6,000 万欧元对 Facebook;2025 年 9 月 1 日 3.25 亿欧元对 Google + 1.5 亿欧元对 Shein。全部针对同意横幅的 UX 失误,而非广告技术下游。
遗留评估方案 —— 2026 年之前 CNIL 评估并列出具体网站统计工具的路径 —— 于 2026 年 1 月 1 日终止。替代是运营者自评估:提供方按 CNIL 推荐的措辞发布一份注明日期的声明,部署该工具的运营者则按第 16 号指南条件记录自身配置。
完整的第 16 号指南演练以及合格的 Statnive Live 配置,参见 CNIL 深度解读。
德国 —— 约束最紧的辖区
§ 25 TDDDG 排除了合法利益作为终端设备存储或访问的依据。Datenschutzkonferenz 的 2024 年 11 月 20 日《Orientierungshilfe》(v1.2 版)态度明确:第 6(1)(f) 条 LIA 覆盖 GDPR 处理层,但不能解锁 § 25 豁免。 § 28(1) No. 13 下处罚高至 30 万欧元/次违规;第 83 条 GDPR 罚款并行。
德国唯一的无同意架构是不在终端设备上存储或访问任何信息的架构 —— 纯服务器端处理浏览器默认发送的 HTTP 请求数据。仍需为顶层的 GDPR 处理层准备书面 LIA。
完整的 TDDDG 分析、§ 25 原文、德语隐私政策段落以及防止 DE 部署放宽配置的 Statnive Live 硬规则验证器,参见 TDDDG 深度解读。
意大利 —— Garante 2021 年 Cookie 指南
意大利 Garante 2021 年 6 月 10 日的 Cookie 指南(2022 年 1 月 10 日生效)在四个条件累计满足时承认网站统计 Cookie 豁免:
- 不可能直接识别访客。
- Cookie 的结构使同一 Cookie 能关联多个设备(通过至少屏蔽 IPv4 的最末八位组或对 IPv6 进行类似截断实现)。
- Cookie 仅用于聚合的单站点统计。
- 不与其他数据组合,不向第三方传输。
Garante 的第 224 号决定(2022 年 6 月 9 日,针对 Caffeina Media)以违法的美国数据传输为由禁用 Google Analytics。Garante 认定 Google 的 IP 匿名化功能属于假名化,而非匿名化 —— 这一定性对任何依赖哈希 IP 的运营者影响远超 Google Analytics 本身。
Garante 明确指出合法利益不构成 Cookie 与跟踪机制的有效依据 —— 立场比 CNIL 更严格。 意大利运营者的路径更窄:Cookie 豁免存在,但当 Cookie 同意规则适用时,不得以第 6(1)(f) 条规避。
IT 辖区下的 Statnive Live consent-free 部署按构造即满足 Garante 的四项条件。无 Cookie 架构完全绕过「是不是 Cookie」的分析;每日轮换的 BLAKE3-HMAC 签名正是 Garante 条件(2)所要求的多设备兼容标识符。
西班牙 —— AEPD 受众测量指南
AEPD 关于 Cookie 使用的指南于 2023 年 7 月更新,自 2024 年 1 月 11 日起强制执行。2024 年的后续受众测量 Cookie 指南与 CNIL 第 16 号指南方法高度一致:单站点、匿名聚合统计、不交叉引用、保留 ≤ 25 个月、跟踪器 13 个月生命周期、必须告知用户。
LSSI 第 22.2 条是基础条款。LOPD-GDD 下 Cookie 违规的最高罚款达 3 万欧元 —— 低于 GDPR 第 83 条上限,但与之并行适用于个人数据处理层。
西班牙运营者的配置本质上是法国运营者配置的本地化披露语言版本。ES 辖区下的 Statnive Live consent-free 部署按构造即满足 AEPD 指南。
荷兰 —— 分析 Cookie 无需同意
荷兰 Autoriteit Persoonsgegevens明确表示:「分析 Cookie 提供对网站运行情况的洞察,仅用于访客计数时无需同意。」 法律依据:Telecommunicatiewet 第 11.7a 条。
AP 的执法信号很强烈。2024 年 7 月 16 日,AS Watson(Health & Beauty Continental Europe)B.V.(Kruidvat 母公司)被处以 60 万欧元罚款,原因是在未经同意(包括预勾选同意框)的情况下投放跟踪 Cookie。电信法第 15.4 条下的最高罚款达 90 万欧元或营业额的 1-10%。AP 已建立自动扫描系统,每年结构性地监测 10,000 个荷兰网站的 Cookie 合规情况 —— 规模比此前 500 站点承诺扩大 20 倍。荷兰政府每年为 Cookie 执法专项拨款 50 万欧元,2027 年起每年永久增加 35 万欧元。2025 年 4 月,AP 向 50 家组织(线上零售商、媒体公司、保险公司)就误导性 Cookie 横幅发出警告;至 2025 年底,被警告的 200 多家网站中有四分之三已经整改。AP 的 2026-2028 战略重点将线上跟踪重新定性为「大规模监控」 —— 这一重大定位调整意味着执法强度将持续上升。
在受众测量豁免本身,荷兰与法国、意大利、西班牙同属对运营者友好的一组,但 AP 的执法力度 —— 尤其针对预勾选框以及未做豁免分析就部署的跟踪 Cookie —— 在 EU 内属最高之列。NL 辖区下的 consent-free 部署是安全默认;consent-required 部署必须做到 Reject UX 与 Accept 一样便利。
比利时 —— 不承认豁免
比利时 APD/GBA 2020 年 4 月的 Cookie 综合指南和 2023 年 10 月 20 日的 Cookie 检查清单不承认网站统计 Cookie 同意豁免:「在现行法律框架下,受众测量 Cookie 不豁免于同意要求。」
执法记录:APD 第 85/2022 号决定,对 Roularta Media Group 因未经同意投放统计 Cookie 处以 5 万欧元罚款。2019 年的一项决定对一家法律新闻网站处以 1.5 万欧元罚款。两者绝对数值都小于 CNIL 的记录,但表明 APD 会审计 Cookie 层并下达具体罚款。
比利时运营者的 consent-free 路径是仅服务器端的架构 —— 基线与德国相同。在 DE 通过的配置在 BE 也通过;按第 16 号指南调优的受众测量豁免配置则不通过。
爱尔兰 —— 未发布豁免
爱尔兰数据保护委员会(DPC)2020 年关于 Cookie 与其他跟踪技术的指南要求非必要 Cookie 获得明示同意,与 EDPB 5/2020 指南一致。没有与法国第 16 号指南或荷兰 AP 立场等价的受众测量豁免发布。
爱尔兰的执法以 DPC 作为大型国际控制者(Meta、Google、TikTok)的跨境主导监管机构角色为主。对国内爱尔兰运营者而言,Cookie 专项执法信号弱于 CNIL、AP 或 Garante。稳健做法仍是仅服务器端基线 —— 未承认豁免意味着任何「无同意」主张的举证责任落在运营者自身的 LIA 和「无终端设备存储 / 访问」论证上。
英国 —— 「执法低优先级」不是法律豁免
英国信息专员办公室(ICO)在两次咨询和 2025 年《数据(使用与访问)法案》之后,于 2026 年 4 月 29 日最终确定关于存储与访问技术使用的指南。基础条款是经 DUAA 2025 修订的 PECR(2003 年隐私与电子通信条例)。
ICO 立场原文:「分析 Cookie 不属于『严格必要』豁免。这意味着您必须告知用户分析 Cookie 的存在并获得其使用同意。」
ICO 承认*「ICO 不能排除在任何领域采取正式行动的可能性,但当第一方分析 Cookie 的设置造成低侵入性和对个人的低伤害风险时,可能并非总是如此」* —— 即对第一方低侵入性网站统计采取执法低优先级。这不是法律豁免;这是声明的执法降级。如果英国运营者希望零横幅,仍应实施同意机制或迁移到严格必要配置。
DUAA 2025 增加了狭窄豁免(安全 Cookie、年龄验证),但未创设网站统计豁免。ICO 2025 年 1 月对英国前 1,000 个网站的合规审查 —— 以及向 134 家组织发出明确监管期望沟通 —— 证实即便正式执法少见,ICO 也在审视该层。
UK 辖区下的 consent-free 部署依靠仅服务器端架构(因不在终端设备上存储 / 访问,故不触发 PECR),叠加 GDPR 第 6(1)(f) 条 LIA。运营者获得 ICO 的执法低优先级红利,但没有获得承认豁免所能提供的法律确定性。
奥地利 —— NetDoktor 与 Schrems-II 路线
奥地利 Datenschutzbehörde 2021 年 12 月 22 日的 NetDoktor 决定(编号 2021-0.586.257,D155.027)是首份 NOYB 协调的决定,认定运营者使用 Google Analytics 违反 GDPR 第五章,原因是 IP 地址、唯一标识符和浏览器参数在没有充分保障的情况下被传输到美国 Google。SCC 与 Google 的补充措施(包括 IP 匿名化)被认定不足,因为 Google 在 50 USC § 1881(b)(4)(FISA 702)下被认定为电子通信服务提供商。
未处罚款(奥地利程序上将认定与后续处罚分离),但该决定确立了先例,被随后的 CNIL(2022 年 2 月 10 日)和 Garante(2022 年 6 月 9 日 Caffeina Media)决定延续。
奥地利没有与法国第 16 号指南等价的独立受众测量豁免。奥地利运营者的无同意路径是仅服务器端架构加书面 LIA —— 与德国或比利时运营者的姿态基本相同。
「其他 EU」桶 —— 剩余 19 个成员国
其余 19 个 EU 成员国都有 ePrivacy 第 5(3) 条的国家转置,但多数没有发布与 CNIL 第 16 号指南框架等价的受众测量豁免。Statnive Live OTHER-EU 辖区值是运营者用于「主流量来自未在 11 辖区枚举中单独建模的成员国」站点的选择器。
OTHER-EU 部署的稳健默认是 consent-free 模式,配合仅服务器端架构和书面的第 6(1)(f) 条 LIA。该配置在 27 个成员国全部通过,因为它满足当前最严格的单元(德国 § 25 TDDDG);不依赖任何具体国家豁免的承认。
如果运营者在未列入命名清单的特定 EU 辖区有显著流量,应咨询国家监管机构的具体指南并与当地法律顾问确认。本表把这 19 个辖区压缩为一个单元,正是因为运营者的合规负担被最严格单元上限封顶 —— 而该最严格单元已由 DE 辖区的行为建模。
「其他非 EU」桶 —— 包含伊朗(IR)
Statnive Live 暴露 IR 和 OTHER-NON-EU 作为辖区值,因为该二进制被有非 EU 部署的运营者运行,而且无同意架构无论辖区如何都很有用 —— 且常常法律上兼容。EU 受众测量豁免在 EU/EEA 外不适用。 在非 EU 辖区的 consent-free 部署从隐私保护架构的角度可配置,但在 EU 法律下并无豁免,因为 EU 法律并不适用。
伊朗(IR)单元具体而言:Statnive Live 运营一条专门的伊朗数据中心部署路径,处理气隙要求、无 Cloudflare 依赖、不使用伊朗境内 ACME、仅伊朗 NTP、依赖打包、离线 Ed25519 许可和 .ir / .ایران IDN 包。架构是这样 —— 但法律框架是伊朗法律,而非 EU 法律。 服务伊朗流量的运营者应咨询当地法律顾问以了解适用规则。
OTHER-NON-EU 桶覆盖其他所有情形:CCPA / 州法下的美国站点、PIPEDA 下的加拿大站点、隐私法下的澳大利亚站点、LGPD 下的巴西站点、DPDP 下的印度站点、PIPL 下的中国站点等等。Statnive Live 不开箱声称 PIPL / LGPD / PDPA / DPDP / PIPEDA / CCPA 合规 —— 这些是面向运营者的具体配置,需要当地法律顾问审阅。 默认无同意架构可配置以满足上述很多法域的等价要求(多数法域承认第一方服务器端受众测量为低风险),但营销立场是「可配置而非已认证」 —— 不是「合规」也不是「认证」。
Statnive Live 的 11 辖区枚举如何对应本表
站点策略面板暴露十一个值:
DE—— 硬规则验证器禁止permissive;默认为consent-free且respect_gpc = true。FR—— 默认为consent-free;第 16 号指南声明语言通过/legal/privacy-policy/en和/legal/privacy-policy/fr暴露(后者在 FR 本地化镜像接好之后)。IT、ES、NL—— 默认为consent-free;与各自国家豁免一致。BE、IE、AT—— 默认为consent-free配合仅服务器端架构;无国家豁免承认,因此运营者依赖「未触发第 5(3) 条」框架加上第 6(1)(f) 条 LIA。UK—— 默认为consent-free配合仅服务器端架构;ICO 低执法优先级在法律上并不豁免,但架构因避免终端设备存储 / 访问而通过 PECR。OTHER-EU—— 默认为consent-free;与BE/IE/AT姿态相同。IR—— 伊朗数据中心部署路径;默认为permissive,因为 EU 同意规则不适用(验证器允许该辖区使用)。OTHER-NON-EU—— 默认为permissive;运营者负责咨询当地法律顾问。
硬规则验证器在策略保存时以及每次入站请求加载策略时运行。每个辖区下哪些组合有效由验证器强制执行,而不依赖运营者约定。试图将 DE 站点设为 permissive 模式的运营者会收到明确错误,请求被拒绝。
这张表将在哪里变化
面向追踪该议题的运营者的简短观察清单:
- Digital Omnibus 第 88a(3)(c) 条 —— 若原样通过,将在 27 个成员国统一受众测量豁免。截至 2026 年 5 月中旬:委员会提案,议会全体表决尚未进行。立法进度参见 Digital Omnibus 文章。
- 意大利 Garante —— 可能在 Digital Omnibus 之后发布更新指南。关注 2021 年 Cookie 指南的任何更新。
- 英国 ICO —— DUAA 2025 仍在落地。关注「执法低优先级」立场的任何收紧或放宽。
- CJEU Latombe 上诉 —— 挑战 EU-US 数据隐私框架。如果 DPF 倒下,Schrems-II 路线将进一步收紧;Statnive Live 仅 EU 架构是防御性答案。
- EinwV 承认(德国) —— 同意管理条例下的承认路径可能扩展到已承认的 PIMS,简化
consent-required部署的同意 UX。 - 国家 DPA 检查报告 —— 汉堡 DPA 1,000 站点扫荡、AP 500 站点监测、CNIL 审计项目 —— 都定期发布,可能改变每个辖区的执法优先信号。
本表带有 updatedDate 字段 —— 阅读的版本以该时间戳为准。任一单元发生实质变化时重新发布。
这给运营者带来什么
查阅本表的实际运营成果:
- 一份单页参考,覆盖 Statnive Live 枚举建模的 11 个辖区,每行包含基础国家转置、受众测量豁免立场、罚款上限和执法信号。
- 一棵配置决策树。 按德国配置;该配置在 EU 其余部分通过。按运营者主要辖区配置;记录该决策及其 LIA 依据。
- 部署前清单。 对运营者有流量的每个辖区:哪个国家监管机构豁免适用(若有)、披露语言应是什么样、配置在哪里强制执行(Statnive Live 的硬规则验证器完成大部分工作)。
- 向前兼容性框架。 当 Digital Omnibus 在议会推进时,运营者可以结合立法状态重新阅读本表,并在豁免确定后更新配置。
它不提供:针对具体部署的法律意见。本表是运营者的起点;LIA、隐私政策、DPA 审查以及每个辖区法律顾问咨询是运营者的收尾工作。
该做什么,不该做什么
| 该做 | 不该做 |
|---|---|
| 按有流量的最严格单元配置 —— 通常是德国 —— 并让 EU 其余部分自然兼容。 | 为 27 个成员国分别运行 27 套配置。严格基线按构造已包含其余。 |
| 按 EDPB 1/2024 指南记录覆盖 GDPR 第 6(1)(f) 条依据的合法利益评估。 | 在德国把合法利益当作 § 25 TDDDG 同意的替代 —— DSK 已明确关闭这条路径。 |
| 将保留限制在 CNIL 25 个月上限内,即便在法国之外也如此 —— 按构造满足其他所有成员国的上限。 | 运行无限期保留。第 5(1)(e) 条数据最小化加 EDPB 2026 透明度重点都适用于所有单元。 |
| 对于荷兰运营者:AP 自动扫描系统现在覆盖每年 10,000 个站点。把横幅 UX 做对。 | 把荷兰 AP 立场当作软信号。2025 年 4 月警告轮次加 2026-2028「大规模监控」重新定性意味着执法正在升级。 |
| 在其他非 EU 桶中:明确陈述辖区特定姿态;咨询当地法律顾问;标注*「可配置,非已认证」*。 | 开箱声称 PIPL / LGPD / PDPA / DPDP / PIPEDA / CCPA 合规。Statnive 不这样声称,营销定位必须反映这一点。 |
结论
2026 年 EU 无同意网站统计的总表是一张拼图 —— Statnive Live 辖区枚举建模的十一个单元,七种不同的监管立场,四级执法信号。法国最对运营者友好。德国最严格,是任何泛欧部署的约束。其余 EU/EEA 单元在这两个锚点之间,带有具体国家监管机构的差异。
满足德国的配置按构造满足 EU 其余部分。满足法国第 16 号指南的配置干净地覆盖法国、意大利、西班牙和荷兰,但德国流量仍需要德国级架构。稳健部署是最严格基线加每辖区本地化 —— 这正是 Statnive Live 11 辖区枚举 + 4 同意模式矩阵所暴露的。
更广的框架,请参见支柱实战手册。具体国家深度解读,CNIL 第 16 号指南和 § 25 TDDDG 文章演练法国和德国。运营者第一天工作流 —— DSAR 端点、GPC 与混合模式 —— 由相关文章覆盖技术表面。立法新闻视角,Digital Omnibus 文章追踪该文件在议会的进展。
如果本表有错,上文引用是核对的 URL。任一单元发生实质变化时我们更新本表 —— 顶部的 updatedDate 反映您正在阅读的版本。
本文为隐私研究内容,不构成法律意见。 本表把累积条件测试压缩进单格。每位 Statnive 客户仍是数据控制者,对其配置和每辖区分析负责。IR 和其他非 EU 单元为可配置,非已认证 —— Statnive 不声称 PIPL / LGPD / PDPA / DPDP / PIPEDA / CCPA 合规。 在发布前请与每个辖区的合资格法律顾问交叉确认。
监管参考的状态截至 2026 年 5 月 13 日:CNIL 第 16 号建议指南 + 2025 年 7 月 4 日更新 + 2026 年 1 月 16 日 Cookie 统一建议 + 2026 年 4 月 14 日跟踪像素建议;遗留评估方案 2026 年 1 月 1 日终止;2026 年 1 月 22 日公布 350 万欧元罚款(FR);§ 25 TDDDG + DSK 2024 年 11 月 20 日 v1.2《Orientierungshilfe》(截至 2026 年 5 月仍生效);持续的 2024-2026 年 BayLDA / NRW / Berlin / Hamburg 执法(DE);Garante 2021 年 6 月 10 日 Cookie 指南,2022 年 1 月 10 日生效 + 2022 年 6 月 9 日第 224 号决定 + 2026 年检查计划(2026 年上半年 40 多次定向检查,Guardia di Finanza)(IT);AEPD Cookie 指南(2023 年 7 月,2024 年 1 月 11 日强制执行)+ AEPD 受众测量指南(2024)(ES);Autoriteit Persoonsgegevens Cookie 立场 + Telecommunicatiewet 第 11.7a 条 + 2024 年 7 月 16 日 Kruidvat 60 万欧元罚款 + AP 每年 10,000 站点监测 + 2026-2028「大规模监控」定位 + 2025 年 4 月警告 50 家组织(NL);APD 2020 年 4 月 Cookie 指南 + 第 85/2022 号决定 + APD/GBA 2026-2028 战略规划(BE);DPC 2020 年指南(IE);ICO 2026 年 4 月 29 日《存储与访问技术使用指南》+ DUAA 2025(UK);DSB 2021 年 12 月 22 日 NetDoktor 决定(AT)。CCPA § 7025(c)(6) 自 2026 年 1 月 1 日起生效 —— 要求可见地指示 GPC 已被遵守(对「其他非 EU」单元为横向适用)。Digital Omnibus COM(2025) 837 final —— 2025 年 11 月 19 日委员会提案,截至 2026 年 5 月 13 日欧洲议会全体未对 COM(2025) 837 表决。EDPB-EDPS 联合意见 2/2026,2026 年 2 月 11 日;EDPB 指南 2/2023 v2.0,2024 年 10 月 7 日;EDPB 指南 1/2024,2024 年 10 月 8 日;草案 EDPB 关于假名化的指南 01/2025(冲刺小组目标 2026 年夏季完成);EDPB 5/2019 意见。EDPB 2026 协调执法框架重点:透明度 + 告知义务(横向)。