2026 年欧盟无需同意网站分析指南

本文为数据保护研究内容，不构成法律建议。完整免责声明请参见文末。

摘要

2026 年实现无横幅网站分析是可行的 — 在法国 CNIL 信息单 16、意大利 Garante 2021 年指南、西班牙 AEPD 指南和荷兰 AP 立场下，再加上现行最严格基准（德国 § 25 TDDDG）。
针对德国进行配置；其余 EU 自然向上叠加。 满足 § 25 TDDDG 的无 Cookie 服务器端架构，通过结构本身满足其他所有成员国的受众测量豁免。
GA4 在任何具有豁免的成员国均不符合该豁免。 跨境传输 + 跨客户汇聚 + 持久标识符 + 非单一发行商，四点使其失格。
数字综合法案第 88a 条第 3 款第 c 项将在 EU 范围内统一该豁免 — 但这是委员会提案，而非法律；2026 年 2 月 11 日的 EDPB-EDPS 联合意见 2/2026 对整个方案包提出了关切。
同时为两种情境设计架构。 一套无 Cookie 的自有部署可满足当前各国的法律拼图，并在第 88a 条原样通过时第一天就具备资格。

为何需要一份指南，为何在现在

越来越多的 EU 运营者同时得出相同结论：Cookie 横幅是测量的赋税，能够通过的测量数据可信度越来越低。Plausible 的 Cookie 横幅研究估算可见度损失约 55.6% — 访客到达了网站，拒绝了横幅，进而从分析中脱落。CNIL 在 2025 年 9 月 1 日双双开出的 3.25 亿欧元（Google）与 1.5 亿欧元（Shein）处罚，均针对 Cookie 同意 UX，而非下游广告技术 — 让横幅本身成为监管责任，而不仅是其背后的 Cookie。

EU 大部分地区都有一条不带横幅运行网站分析的合法路径。自 2009 年 ePrivacy 指令修订以来便存在。法国 CNIL 在过去十年间不断完善它；意大利 Garante 与西班牙 AEPD 各自构建了本国版本；欧盟委员会的 2025 年 11 月 19 日数字综合法案提案，若通过，将在 27 个成员国之间统一。德国仍是严格的例外，决定了可达成的上限。

本文是一份实务指南：2026 年「无需同意」实际意味着什么，每个监管者的立场在哪里，几乎所有 Google Analytics 4 配置因何失格，什么样的实施能让运营者持续受豁免，「匿名」追踪并非字面所示的原因，以及我们如何把工作几乎全部置入二进制内 — Statnive Live 的配置即为此。

「无需同意」实际意味着什么

EU 法律有两个并行的层次同时治理网站分析。任何一层未通过都会触发同意要求。

第一层 — ePrivacy 指令 2002/58/EC 第 5 条第 3 款。 在 存入用户终端设备 或 访问终端设备中已存储的信息 之前，必须取得同意 — 除非为传输通信，或为提供用户明确请求的服务而严格必要。EDPB 的 2/2023 第 2.0 版指南，2024 年 10 月 7 日通过，明确将其扩展至 Cookie 之外 — 像素追踪、URL 追踪、设备端指纹识别、通过 API 访问的本地生成数据、客户端散列标识符、IoT 报告，以及运营者指示设备发送信息的纯 IP 追踪，均在范围内。任何 读取或写入 访客设备的操作都触发第 5 条第 3 款。

第二层 — GDPR。 任何随后的个人数据处理需要第 6 条法律依据。对于网站分析而言，意味着第 6 条第 1 款 a 项（同意）、b 项（合同）或 f 项（合法权益）。f 项需要按 2024 年 10 月 8 日的 EDPB 1/2024 指南记录的合法权益评估（LIA） — 权益识别 → 必要性 → 与数据主体权利及合理预期的平衡测试。

两层互相叠加，不可互相替代。根据 EDPB 意见 5/2019，并由 2026 年 4 月最终化的英国 ICO《存储与访问技术指南》再次确认，对于任何针对终端设备的存储/访问，ePrivacy 第 5 条第 3 款相对于 GDPR 为 lex specialis。GDPR 第 6 条第 1 款 f 项之合法权益不能替代 ePrivacy 第 5 条第 3 款之同意。 意大利 Garante 更进一步，明确禁止 将合法权益作为 Cookie 和追踪机制的法律依据。

同时满足两层的「无需同意」网站分析有且仅有两条路径：

路径 1：根本不触发第 5 条第 3 款。 不使用 Cookie，不写入 localStorage，不进行指纹探测，不从客户端读取标识符。浏览器只发送其默认会发送的信息（IP、User-Agent、Referer）；服务器在摄入时读取这些信息，计算其分析，且不向设备回写任何内容。这是德国 § 25 TDDDG 下唯一可用的无需同意路径，也是本指南采用的严格基准。
路径 2：满足某项国家级受众测量豁免。 法国 CNIL 信息单 16、意大利 Garante 2021 年 6 月 10 日的 Cookie 指南、西班牙 AEPD 的受众测量 Cookie 指南、荷兰 AP 关于分析 Cookie 的立场，均允许在各自 ePrivacy 转化法下经 严格配置 的自有 Cookie 进行无需同意的受众测量。每项豁免都有自身条件。这些豁免在德国均不被承认。

稳健的设计是：默认采用路径 1，仅在运营者已书面证明满足某项特定国家级豁免时再叠加路径 2。 Statnive Live 以 consent-free 模式默认提供路径 1，并公开一个司法管辖区枚举，使位于信息单 16 国家的运营者可在其上叠加路径 2。

2026 年地图，一览

截至 2026 年 5 月，每个主要的 EU/EEA 监管机构对「无需同意」网站分析的立场。

司法管辖区	受众测量豁免	备注
法国（CNIL）	是 — 信息单 16 + 2025 年 7 月 4 日自评估	EU 内最宽松。合规截止日 2026 年 1 月 1 日。严格条件：单站点、≤3 种事件类型、IP 末段截断、追踪器 13 个月有效期、数据保留 25 个月。请参见 CNIL 深度解析。
德国（DSK）	否	§ 25 TDDDG 排除「合法权益」作为存储/访问的法律依据。无需同意架构必须为纯服务器端处理。请参见 TDDDG 深度解析。
意大利（Garante）	是 — 2021 年 6 月 10 日 Cookie 指南（2022 年 1 月 10 日生效）	条件：不可直接识别、Cookie 中 IP 被遮蔽、单站点统计、不向第三方传输。Cookie 之合法权益明确被禁止。
西班牙（AEPD）	是 — 受众测量指南（2024 年）	条件与 CNIL 一致。LSSI 第 22.2 条 + LOPD-GDD。
荷兰（AP）	是 — 「分析 Cookie … 若仅用于计数访客，则无需同意。」	电信法第 11.7a 条。AP 每年监控 500 个网站的合规性。
比利时（APD）	否	「在现行法律框架下，受众测量 Cookie 不享有同意豁免。」
爱尔兰（DPC）	未公布豁免	与 EDPB 5/2020 指南一致。
英国（ICO）	否 — 但执法优先级较低	2026 年 4 月 ICO 存储与访问技术指南：「分析 Cookie 不属于『严格必要』豁免。」对于自有、低侵扰分析，低优先级被认可但未编入正式条款。
奥地利（DSB）	无独立豁免	2021 年 12 月 22 日的 NetDoktor 决定认定 GA EU→US 传输基于 Schrems II 不合法。

国家逐一参考地图涵盖了剩余的 EU/EEA 司法管辖区，以及运营者所提的「OTHER-EU」和「OTHER-NON-EU」问题。

这张地图的实务效应：为德国（最严格单元）进行配置的运营者，就是为 EU 其余各处进行了配置。为法国信息单 16 进行配置的运营者，干净地覆盖法国、意大利、西班牙和荷兰，但若有德国流量，仍需德国级别的架构。为德国配置；它向上叠加。

让几乎所有 GA4 配置失格的七个「不要做」

这是运营者的反向清单。以下任何一项，在上述地图的任何司法管辖区中，都会把网站分析的部署推出「无需同意」领地，回到「需要一个带『拒绝』按钮且其易用程度与『接受』相同的横幅」。

1. 不要在未取得同意之前设置追踪 Cookie 或写入 localStorage。 受众测量用 Cookie 在法国信息单 16、西班牙 AEPD 指南和 Garante 2021 年指南下被允许 — 但仅在严格的国家级豁免条件下，而非默认允许。localStorage 与 sessionStorage 与 Cookie 触发同一第 5 条第 3 款，且在任何地方都没有受众测量豁免。

2. 不要使用静态盐或单一盐。 IPv4 的静态盐哈希是 假名化，而非匿名化 — 意大利 Garante 在 2022 年 6 月 9 日 Caffeina Media 决定中针对 Google 的 IP 匿名化功能正是如此认定。IPv4 空间约为 43 亿地址；SHA-256(static_salt + IPv4) 的彩虹表在单个 GPU 上轻而易举。不轮换的盐就是不能保护的盐。

3. 不要存储原始 IP 或原始 User-Agent 字符串。 两者在实务上都属于个人数据 — CJEU 的 Breyer 判决（C-582/14，2016 年 10 月 19 日）就动态 IP 已作出定论。按照 CNIL 2025 年 7 月自评估，存储前 IPv4 截断到 /24（IPv6 截断到 /48 或 /64），User-Agent 仅减至大版本（「Chrome 126」，而非「Chrome/126.0.6478.127 Mobile Safari/537.36」）。

4. 不要使用第三方指纹识别库。 Canvas、音频上下文、WebGL 参数、字体枚举、硬件并发数 — 按 EDPB 2/2023 指南，这些全部属于第 5 条第 3 款的范围。FingerprintJS、ClientJS 以及各种商业指纹 SDK 在任何 EU 司法管辖区都会触发同意。Statnive 的 GDPR 代码审查技能在追踪器中禁用了它们。

5. 不要与客户 CRM 或其他站点数据交叉引用。 CNIL 信息单 16 条件明确：「服务提供商不得将多个客户的受众测量原始数据进行混合。」 服务提供商不得跨客户合并数据；不得与构建跨上下文画像的其他内部数据集进行联接。

6. 不要在客户站点之间复用标识符。 同一访客在两个不同站点必须产生两个互不相关的签名。CNIL 信息单 16：「不得使用任何允许跨多个域名进行追踪的标识符。」 这正是 Fathom 和 Statnive 都使用 站点限定 盐组件的原因 — 访问两个不同站点的同一人，结构上会生成两个无法关联的哈希。

7. 在未经核实的第 V 章覆盖之下，不要把个人数据传输到美国或其他第三国。 2022 年的奥地利 DSB NetDoktor、法国 CNIL、意大利 Garante 与丹麦 DPA 基于 Schrems II 禁止 Google Analytics 的决定，并未被 2024-2026 年间的任何裁决推翻。当前的 EU-US Data Privacy Framework（2023 年 7 月生效）提供过渡覆盖，但正受到 Latombe 以及并行的 noyb 挑战。架构上经得起时间考验的答案是 EU 内部进行处理。

GA4 至少在第 1（持久标识符）、第 5（Google 的跨客户生态）、第 6（跨站标识符）和第 7（美国数据传输）点失败。CNIL 在信息单 16 中的字面结论：「大多数大型受众测量产品无论如何配置都不属于豁免范围内。」

保持受豁免的五个「要做」

这些条件——共同应用——能让一套自有网站分析栈同时满足现行最严格的法规（§ 25 TDDDG）和最宽松的国家豁免（CNIL 信息单 16）。它们也是数字综合法案第 88a 条第 3 款第 c 项若原样通过后将在 EU 范围内标准化的架构。

1. 每日轮换、站点限定的盐，且会销毁。 访客签名以 BLAKE3-HMAC(master_secret, site_id || YYYY-MM-DD) 派生。盐在内存中计算、从不存储，前一日的盐在轮换时被销毁。同一访客在周一和周二 → 两个不同签名；跨日再识别在结构上不可能。同一访客访问两个不同站点 → 两个无法关联的签名；跨站再识别在结构上不可能。这是 Plausible 的构造（hash(daily_salt + website_domain + ip_address + user_agent)），并加上盐销毁保证。

2. 在任何存储之前截断 IP。 至少移除 IPv4 的最后一个八位组（203.0.113.42 → 203.0.113.0/24）。对于 IPv6，仅保留网络前缀 — 通常 /48 或 /64。原始 IP 可在请求路径中短暂存在以便 GeoIP 查询；批量写入器看到该行之前必须丢弃。地理定位降级到城市/地区 — CNIL 的上限。

3. User-Agent 最小化与仅主机的 Referrer。 UA 简化为「设备 + 主浏览器版本 + 主 OS 版本」，在服务端解析后丢弃原字符串。Referrer 在存储前仅保留 host（example.com，而非 example.com/search?q=secret） — 消除查询字符串中的偶发 PII。这两项均为 CNIL 信息单 16 的条件，也均在 Statnive Live 服务器的摄入阶段执行。

4. 不使用 Cookie、不使用 localStorage、不使用指纹识别。 ePrivacy 第 5 条第 3 款不会被触发，因为不存在终端设备的存储或访问。请在浏览器 DevTools → Application → Storage 中验证；配额保持为零。也不使用 Canvas、WebGL、字体枚举、音频上下文或 navigator.plugins 探测 — 这些都是客户端读取，EDPB 2/2023 指南把它们纳入了第 5 条第 3 款的范围。

5. 有上限的保留期与已记录的 LIA。 CNIL 的 13 个月追踪器有效期与 25 个月数据保留上限是当前欧洲最严格的标准。仪表板输出按最近 10 取整（或记录援引 WP29/EDPB 匿名化意见的匿名性分析）。按 EDPB 1/2024 指南维护一份合法权益评估 — DPO 参与、三阶段测试、每年或在重大变化时更新。对于高流量、敏感行业或功能繁多的部署，按 GDPR 第 35 条做 DPIA。

这五点就是架构。它们并不取决于数字综合法案的通过。它们能在最严格的现行成员国法规下存活。它们组成一套配置，运营者不需要随着判例变化而频繁更换。

为什么「匿名」并不够 — 假名化的区分

任何花过一些时间阅读网站分析厂商营销页的运营者，都会看到「匿名」一词被套用在哈希 IP 和无 Cookie 追踪之上。这个词承担了 GDPR 不允许的法律工作。

草案 EDPB 01/2025 关于假名化的指南 — 于第 101 次全体会议（2025 年 1 月 16 日）作为草案通过、2026 年 2 月 28 日公开咨询截止、截至 2026 年 5 月仍在进行中 — 明确：假名化数据（包括哈希 IP、Cookie ID、BLAKE3/HMAC 访客签名和 TC 字符串）在控制者或任何第三方可用手段下 合理可能 重新识别时，仍属个人数据。CJEU 的 IAB Europe 判决（C-604/22，2024 年 3 月 7 日）将此扩展至任何与 IP 配对的标识符之外的范围。

实务上：

使用日轮换盐的无 Cookie 追踪系统，日内为假名，仅在跨日才变得匿名 — 而那是因为前一日的盐被销毁。
静态盐 IP 哈希是无限期假名，任何拥有 GPU 与候选 IP 列表的人都可以反向回推。
由 /24 IP 截断派生的「城市级」地理定位按 Breyer 仍为假名 — 但截断把存储层中最可逆的标识符移除了，这正是 GDPR 第 5 条第 1 款 c 项数据最小化原则与 CNIL 信息单 16 条件所要求的。

稳健姿态：把哈希访客标识符视为低风险个人数据。对其处理适用第 6 条第 1 款 f 项之合法权益依据。记录 LIA。通过 DSAR 端点尊重对其的第 15 条访问与第 17 条删除请求。不要把它们当作「匿名」推销。这个词专用于 任何人在任何时候都无法合理重新识别 的数据 — 一份能被国家依法调取并解出的哈希 IP，达不到这道门槛。

这也是为什么意大利 Garante 在 Caffeina Media 决定中认为 Google 的 IP 匿名化功能不足：「该功能构成 IP 地址的假名化，而非匿名化。… 该功能无法阻止 Google LLC 鉴于其能够通过其持有的其他信息丰富此类数据，重新识别用户。」 该功能确实做了其营销所说之事，只是这在 GDPR 意义上不是匿名化。

Statnive Live 为此而构建

Statnive Live 是按上述「要做」与「不要做」设计的。该架构是 Hetzner 在纽伦堡托管的服务器默认运行的内容；同一份二进制也可在客户基础设施上自托管，此时 Statnive 完全不进行任何处理。

结构上即无 Cookie。 不使用 Cookie、不使用 localStorage、不使用 sessionStorage。ePrivacy 第 5 条第 3 款不会被触发，因为根本不存在终端设备的存储或访问。追踪器是大小约 2.0 KB minified / 0.9 KB gzipped 的自有脚本，从与运营者站点同一域名提供 — 无第三方 CDN，无第三方代码管理器。

日轮换 BLAKE3-HMAC 访客签名。 哈希以 HMAC(master_secret, site_id || YYYY-MM-DD) 派生。盐保留在内存中；前一日的盐在轮换时销毁。该构造与 Plausible/Fathom 一致，并加入了站点级别的组件，使同一访客在两个 Statnive 跟踪的站点上生成两个无法关联的签名。

静态存储中的 Cookie ID 哈希。 当运营者在 consent-required 或 hybrid 模式下并取得同意运行 Statnive Live 时，发送至浏览器的 Cookie ID 是原始 UUID；服务端存储的值是带 h: 前缀的 SHA-256(master_secret || site_id || cookieID)。浏览器看到原始 UUID；数据库则从未看到。无需存储原始标识符，即可保留跨日访客的连续性。

服务端仅主机 Referrer。 追踪器存储完整的 document.referrer；摄入阶段，服务器在写入前将其简化为主机部分。查询字符串（可能包含搜索词或 PII）从不进入持久存储。

原始 IP 在存储前丢弃。 IP 在请求路径中存在，用于 GeoIP 查询与哈希派生；批量写入器看到该行之前被丢弃。在 Statnive Live 代码仓的 internal/enrich/geoip.go 中由集成测试验证。

25 个月的汇总保留。 在 v1 AggregatingMergeTree 汇总（hourly_visitors、daily_pages、daily_sources）上强制执行 750 天 TTL — 24.6 个月，与 CNIL 上限留有余量。超过后，汇总会在无需运营者介入的情况下自动过期。

四种同意模式、十一种司法管辖区、硬性规则验证。 站点策略含同意模式枚举（permissive / consent-free / consent-required / hybrid）与司法管辖区枚举（DE / FR / IT / ES / NL / BE / IE / UK / OTHER-EU / IR / OTHER-NON-EU）。硬性规则验证器禁止德国运营者选择 permissive（§ 25 TDDDG 禁止），也禁止在没有有效同意集成的情况下选择 consent-required。验证器在管理界面保存时执行，并在每个摄入请求上的策略加载时再次执行。TDDDG 深度解析详尽涵盖了德国这格。

GPC 与 DNT 在哈希之前短路。 当 Sec-GPC: 1 或 DNT: 1 被设置，并且站点策略尊重这些信号时，请求会在计算访客标识符之前被丢弃。对于拒绝的访客不会生成任何假名标识符 — 没有创建任何东西，因此也没有需要删除的东西。GPC 与混合模式文章贯穿介绍端到端测试方案。

开箱即用的 DSAR 端点。 POST /api/privacy/opt-out、GET /api/privacy/access、POST /api/privacy/erase — 受 CSRF 保护、限流、审计记录。八个隐私审计事件（privacy.opt_out_received、privacy.dsar_access_requested、privacy.dsar_erase_requested、privacy.consent_given、privacy.consent_withdrawn、legal.lia_viewed、legal.dpa_viewed、legal.privacy_policy_viewed）发出结构化日志，可直接用于第 28 条第 3 款 h 项的问责审计。DSAR 文章涵盖集成面。

内嵌在二进制中的公开法律披露路由。 /privacy、/legal/privacy-policy/en、/legal/privacy-policy/de、/legal/lia 与 /legal/dpa 由与追踪器相同的 Go 二进制提供 — 无 CDN 依赖、可在隔离网络中安全运行、便于在出口受限环境中部署 Statnive Live 的运营者。

最终的结果：一套配置今日就满足德国的严格基线，在文档化自评估下符合法国信息单 16，且在数字综合法案原样通过时，第一天即可符合第 88a 条第 3 款 c 项之资格。运营者无需取舍；同一套站点策略覆盖一切。

即将到来 — 第 88a 条第 3 款 c 项

欧盟委员会 2025 年 11 月 19 日的数字综合法案提案 — COM(2025) 837 final — 将引入新的 GDPR 第 88a 条，含一份限定的「无需同意」目的清单。与网站分析相关的子项为 88a 第 3 款 c 项：「creating aggregated information about the usage of an online service to measure the audience of such a service, where it is carried out by the controller of that online service solely for its own use.”

截至 2026 年 5 月中旬：该文件的 ITRE 报告员为 Aura Salla（EPP/FI — 因其涉 Meta 游说利益冲突，七个公民社会组织对其任命提出异议）和 LIBE 报告员 Marina Kaljurand（S&D/EE）；EESC 已于 2026 年 3 月 18 日通过其意见；理事会工作组正在积极讨论（文件 WK 3736/2026 INIT）。关于 COM(2025) 837 的欧洲议会全体表决尚未进行 — 2026 年 3 月 26 日的全体表决针对的是另外的「数字综合法案 AI」文件。2026 年 2 月 11 日 EDPB-EDPS 联合意见 2/2026 对更广泛的方案包就个人保护与法律确定性提出了严重关切。现实通过期为 2026 年末至 2027 年；生效大概率在 2027 至 2028 年；第 88a 条在生效六个月后适用。

对运营者的三点含义：

本指南的配置具有前向兼容性。 「自有 + 集合 + 仅本控制者自用」的受众测量，正是第 88a 条第 3 款 c 项所描述的用例。今日按上述「要做」部署的运营者，在存在国家级豁免的地方今日即受豁免，在第 88a 条原样通过后还能享受欧盟层面的豁免。
该提案是「层级转移」，并非并行新增。 对涉个人数据的终端设备访问，GDPR 第 88a 条将管辖，ePrivacy 5(3) 将不再适用于该等操作。对涉非个人数据的终端设备访问（较窄的残余），ePrivacy 5(3) 继续管辖。两个框架将按顺序运行，而不是并行。最干净的姿态仍然是「一开始就不在终端设备上存储或访问」 — 这绕过了两层。
该文本是路线图，而非现有法律依据。 只为数字综合法案设计、不为当前成员国法律做准备的运营者，将在未来 12-18 个月处于监管空窗。

如何落地本指南

为采用 Statnive Live 的运营者（或在自托管栈中复刻该架构）提供的实务部署顺序：

挑选你最严格的司法管辖区。 若有德国流量，配置为 DE / consent-free。硬性规则验证器会代办，并拒绝宽松配置。
发布合法权益评估。 EDPB 1/2024 指南模板为标准结构：权益识别 → 必要性 → 平衡。下载 LIA 模板获取 Statnive Live 推荐用语；在律师建议下针对你的处理场景调整。
发布隐私通知。 EN 与 DE 条款嵌入在 Statnive Live 的 /legal/privacy-policy/en 与 /legal/privacy-policy/de。德文条款逐字承载 § 25 Abs. 1 TDDDG 中关于「不存在终端设备存储或访问」的语句；英文条款覆盖第 6 条第 1 款 f 项依据与 CNIL 信息单 16 证明模式。
接通 DSAR 端点。 三条路由（/api/privacy/opt-out、/api/privacy/access、/api/privacy/erase）由二进制对外暴露。DSAR 文章涵盖集成；审计日志面默认接通。
EU 模式下默认尊重 GPC。 在所有德、法、意、荷站点上设置 consent.respect_gpc = true。GPC 文章解释客户端短路 + 服务端执行两层。
每月运行事件审计端点。 GET /api/admin/event-audit?site_id=N 返回每个站点的唯一事件名数量相对 CNIL 三事件上限的对比。目标为 ok 状态；任何 over 立即调查。
每年审视 LIA。 EDPB 建议每年或在出现实质变化时更新 — 例如数字综合法案获批、影响 DPF 状态的 CJEU 移送、或国家监管机构发布新指南。

国家逐一参考地图是各管辖具体细节的查找表。三篇既有隐私文章 — 为何隐私优先的网站分析在 2026 年至关重要、2026 年 GDPR 合规网站分析、拥有自己的分析数据：2026 年自托管 vs 私有 EU SaaS — 涵盖更宏观的格局以及控制者/处理者方面的议题。

该做与不该做 — 压缩版

上述正文段落承载完整的「七个不要做」与「五个要做」清单。对于先扫读的运营者，这是压缩版：

该做	不该做
为成员国中最严格法规（德国 § 25 TDDDG）做配置 — 其余 EU 自动向上叠加。	为有流量的每个成员国单独配置 — 那是通向你永远不会更新的 27 份不同 LIA 的路径。
使用每日轮换、站点限定的盐；当日结束时销毁昨日的盐。	使用静态盐 — 一颗 GPU 加一张 IPv4 彩虹表就能反转它；Garante 在 Caffeina Media 中已经说过。
存储前将 IPv4 截断到 /24、IPv6 截断到 /48；User-Agent 简化到大版本；Referer 只保留主机。	存储原始 IP、原始 User-Agent 或完整 referrer URL — 都是个人数据；原始查询字符串会泄露 PII。
按 EDPB 1/2024 指南与国家自评估，公布一份已记录的合法权益评估。	自称「CNIL 认证」或使用 CNIL 标识。CNIL 于 2026 年 1 月 1 日终止了其评估计划 — 运营者自评估。
在 EU 模式下默认尊重 GPC 和 DNT；以持久的退出链接尊重第 21 条反对权。	将哈希访客 ID 视为「匿名」数据 — 在 EDPB 草案 01/2025 指南下它们是假名，按 Breyer 仍是个人数据。

底线

EU 的「无需同意」网站分析在 2026 年是可达成的。不会因偶然而达成，也无法通过对一家美国分析工具配置「IP 匿名化」而达成。要达成它，需把存储/访问触发从系统中设计掉，派生会自我销毁的签名，在摄入时截断识别性数据，并按 EDPB 三阶段测试记录合法权益依据。架构即合规；合同是审计轨迹。

为德国配置；你就是为其他所有地方做了配置。运行 LIA；你就有了可指向的依据。尊重 GPC；你就在拟议的第 88b 条下取得了合规推定。把保留期限制在 25 个月；你就毫不费力地置身于 CNIL 上限内。完全跳过 Cookie；你就跳过了 2025 年 9 月产出 4.75 亿欧元 CNIL 处罚的「Cookie 横幅 UX」监管责任。

这就是 Statnive Live 的用途。无 Cookie。仅 EU。日轮换盐。静态存储中的 Cookie ID 哈希。仅主机 Referrer。25 个月保留。四种同意模式、十一种司法管辖区、硬性规则验证。DSAR 端点、LIA 模板、隐私政策与 DPA 模板均在二进制中，无需联系销售即可下载。

如果这份指南能帮助你收紧当前分析栈的一处，那它就达成了其用意。如果它说服你迁移 — 那便是 statnive.com/live 的用途。无论怎样，上述「该做」与「不该做」是耐久的架构；判例与提案会继续在它们周围演变，本指南的目的就是让运营者无需每次都重新设计。

本文为数据保护研究内容，不构成法律建议。 所述配置在依据已记录的合法权益评估与相应国家自评估部署时，符合监管指引要求。每位 Statnive 客户仍为数据控制者，对自身配置与 DPIA 负责。发布前请向贵司法管辖区的合格法律顾问咨询。

监管参考状态（截至 2026 年 5 月 13 日）：CNIL 信息单 16 + 2025 年 7 月 4 日更新（合规截止日 2026 年 1 月 1 日已过；评估计划终止；自评估机制已运行）；TDDDG § 25（2021 年 12 月 1 日生效，2024 年 5 月改名）；意大利 Garante Cookie 指南 2021 年 6 月 10 日（2022 年 1 月 10 日生效）；AEPD Cookie 指南（2023 年 7 月，2024 年 1 月 11 日实施）；荷兰 AP 分析 Cookie 立场（电信法第 11.7a 条）；英国 ICO 存储与访问技术指南（2026 年 4 月 29 日）；EDPB 2/2023 v2.0 指南（2024 年 10 月 7 日）；EDPB 1/2024 指南（2024 年 10 月 8 日）；草案 EDPB 01/2025 假名化指南（2025 年 1 月 16 日作为草案通过；2026 年 2 月 28 日公开咨询截止；2026 年 5 月最终版未发布）；2026 年 2 月 11 日 EDPB-EDPS 联合意见 2/2026 关于数字综合法案；数字综合法案 COM(2025) 837 final（2025 年 11 月 19 日委员会提案；截至 2026 年 5 月 13 日欧洲议会就 COM(2025) 837 尚无全体表决）；CJEU C-582/14 Breyer（ECLI:EU:C:2016:779）；CJEU C-604/22 IAB Europe（2024 年 3 月 7 日）；CJEU C-621/22 KNLTB（ECLI:EU:C:2024:857）；CJEU C-446/21 Schrems v Meta（2024 年 10 月 4 日）。