2026 年 GDPR 合规的网站分析：面向欧洲站长的实战指南

GDPR 本月迎来八周年。第 5 条、第 6 条、第 7 条的条文没有变 — 但过去 18 个月内，判例法、执法重点以及「合规」网站分析的实操门槛已经发生了显著变化。如果您在 2018 至 2024 年之间搭起了分析技术栈，并且此后没有重新审视过它，这就是一份指南，告诉您监管机构当前真正期待的是什么，以及如何把最高风险的模式从架构中设计掉，而不是用一层文字粉饰过去。

这是介绍 Statnive Live 的简短系列中的第二篇 — Statnive Live 是我们与 WordPress 插件一同推出的独立分析平台。第一篇走完了「WP 插件 vs Live」的决策树。Statnive Live 在德国纽伦堡处理数据；每个计划都附带第 28(3) 条数据处理协议（DPA）；并且是按照下面这些判例法来设计的。凡涉及监管层面的论断，您都可以找到带脚注的判决编号、日期与监管机构 — 任何您存疑的地方都欢迎核实。

2026 年欧盟监管全景

有五件事情在 2026 年 4 月成立，但两年前还不成立。

1. GA4 是当前德国执法中被点名最多的 tracker

汉堡数据保护监管局（HmbBfDI）在其 2025 年发布的活动报告（Tätigkeitsbericht Datenschutz 2025）中，对 1,000 个汉堡本地网站进行了审计（Hamburg DPA 报告）。**其中 185 个网站在用户给出任何同意之前，就在首次页面加载时触发了第三方追踪。**在这 185 个网站中，110 个 — 约 60% — 在使用 Google Analytics，紧随其后的是 Google Maps（51 个）、Google Ads（42 个）、YouTube（20 个）和 Facebook（15 个）。运营方被要求在六个月内整改完毕。

奥地利 DSB 于 2021 年 12 月 / 2022 年 5 月作出的 GA 决定（D155.027 / 2021-0.586.257），以及意大利 Garante 于 2022 年 6 月作出的 Caffeina Media 决定（措施编号 9782890） — 两项均依据 Schrems II 案认定 GA 的欧盟到美国数据传输违法 — 在 2024 至 2026 年间没有任何裁决将其推翻。2022 年的 GA 系列先例就是 2026 年仍然适用的判例法。

2. 欧美数据隐私框架（DPF）尚有争议，并未尘埃落定

DPF 顶住了它的第一次法庭挑战 — Latombe 诉欧盟委员会案，T-553/23，由欧盟普通法院于 2025 年 9 月 3 日裁决（IAPP 报道）。欧盟委员会 2023 年 7 月 10 日作出的充分性认定继续有效。但 Latombe 已于 2025 年 10 月 31 日向欧盟法院（CJEU）提起上诉，noyb 也已表示将发起平行挑战（WilmerHale 分析）。截至撰文时，CJEU 的程序状态为待审。

因此，对任何 2026 年新启动的欧盟项目而言，从架构上最稳妥的答案，就是 Schrems II 案在 2020 年所暗示的那个答案：**首先就不要把欧盟个人数据传输到第三国。**仅在欧洲经济区落地数据，可将第 44 至 49 条整体移出适用范围。

3. CNIL 已确认「我们贴了横幅」不再是抗辩理由

2025 年 9 月 1 日，法国 CNIL 同时下达两份创纪录的处罚 — 不针对下游广告技术，而是针对 Cookie 同意横幅本身：

Google：3.25 亿欧元，决定 SAN-2025-006 — 2 亿欧元处罚 Google LLC，外加 1.25 亿欧元处罚 Google Ireland — 因在 Gmail 中「邮件之间」未经同意展示广告，并存在 Cookie 同意呈现方式的缺陷。
Shein：1.5 亿欧元，决定 SAN-2025-005 — 因在首次页面加载时即放置广告与受众 Cookie，缺失广告目的说明，撤回同意时反而触发额外 10 个 Cookie，以及在未取得同意的情况下设置了一个 10 年期的受众 Cookie。

这两项是欧盟有史以来金额最大的 Cookie 同意类罚款。再叠加 noyb 发起的 226+500 投诉运动 — 其中 81% 的受审网站在第一屏没有「拒绝」按钮，73% 使用了暗黑模式（dark pattern）的色彩对比 — 这就让横幅本身成为监管责任，而不仅仅是横幅背后的 Cookie。

§ 25 TTDSG 在 2024 年 5 月 14 日改名为 § 25 TDDDG，当日德国数字服务法实施立法的第 4 条生效（Robin Data 概要）。实质内容没有变化 — 在终端设备上进行任何非必要的存储或访问，仍需事先取得同意。如果您的隐私声明里仍然写着「TTDSG」，请更新。自愿性质的同意管理条例（EinwV）于 2025 年 4 月 1 日生效，但并未废止 § 25 TDDDG；未参与的网站仍需获取横幅同意。

5. 哈希后的 IP 仍然是个人数据

欧洲数据保护委员会（EDPB）在其第 101 次全体会议上，于 2025 年 1 月 16 日通过了2025 年第 01 号假名化指南。该指南重申，假名化数据 — 包括哈希后的 IP、Cookie ID、BLAKE3/HMAC 访客哈希以及 TC 字符串 — 在控制者或任何第三方可获得的手段使其重新识别「合理可能」时，仍然属于个人数据。CJEU 的 IAB Europe 判决（C-604/22，2024 年 3 月 7 日），以及布鲁塞尔上诉法院的 2025 年 5 月 14 日后续判决，把这一立场从 TC 字符串扩展到了任何与 IP 配对的标识符。

假名化是降低风险的手段，而不是 GDPR 的豁免。当下文描述 Statnive Live 的「每日盐值」构造时，我们会回到这一点 — 我们宁愿把自己的哈希视为低风险的个人数据，也不愿过度宣称「匿名追踪」。

分析的四个法律热点

任何 2026 年的分析技术栈都必须回答四个问题。条文很短 — 下面的解读是落地版本。

热点一 — 跨境传输（GDPR 第 44 至 49 条）

GDPR 第五章规范向第三国传输个人数据。DPF 是当前对美国的充分性认定；它仍然有效但有争议（见上文论点）。从架构上最干净的答案，也是 Statnive Live 所采用的答案，就是把所有处理保留在欧洲经济区内 — 这样第五章就整体退出适用范围。条文原文请访问 gdpr-info.eu/chapter-5/。

热点二 — 合法性基础（GDPR 第 6 条）

合法性基础共有六类；对分析而言，只有同意（a）、合同（b）和合法利益（f）三类是现实可行的。（f）需要一份书面的合法利益评估 — DSK 2024 年 11 月 v1.2 指南承认，根据第 6(1)(f) 条，可以狭义地为第一方使用分析切出一条合法利益的通道，但前提是独立满足 § 25 TDDDG 的终端设备访问要求（即严格必要例外适用，或您已就存储/访问取得了单独同意）。

热点三 — 同意（GDPR 第 7 条 + ePrivacy 第 5(3) 条 + § 25 TDDDG）

这里叠了三层。ePrivacy 指令第 5(3) 条规范任何对访客终端设备的读取或写入行为 — 而 EDPB 2023 年第 02 号指南 v2.0（2024 年 10 月 7 日通过）已明确将其适用范围从 Cookie 扩展到 URL/像素追踪、仅基于 IP 的追踪以及对唯一标识符的读取。德国通过 § 25 TDDDG 落实这一点。GDPR 第 7 条则规范同意本身 — 必须自由作出、具体、知情、明确无歧义、可证明地记录在案，并可撤回。

干净的破局之道是把存储/访问触发器从系统中设计掉。没有 Cookie，没有 localStorage，没有指纹探测 — 第 5(3) 条就不会被触发。

热点四 — 留存（GDPR 第 5(1)(e) 条）

"Kept in a form which permits identification of data subjects for no longer than is necessary." CJEU 的 Schrems 诉 Meta 案判决（C-446/21，2024 年 10 月 4 日）强化了这一点 — 「不限时间、不区分数据类型」地无期限留存行为画像，构成第 5(1)(c) 条意义上不成比例的违反。

对分析而言，这意味着：写明留存窗口，记录必要性的依据，并真的按时删除。

同意横幅在「测量损失」上的代价

Plausible 的 Cookie 横幅研究 — 测量加上横幅前后的流量差距 — 发现同意横幅会让分析中观察到的访客减少约 55.6%。需要说明的是：访客仍然进入了网站，但他们拒绝或关闭横幅，于是不再被分析工具计入。您并没有损失 55.6% 的收入；您损失的是 55.6% 的对自己流量的可见性。

这就是把横幅从分析架构中设计掉的实操理由 — 不是为了回避合规，而是因为随着横幅疲劳逐年加剧，一个被横幅拦截的分析技术栈每年都会告诉您越来越少的关于站点本身的信息。

「架构上的合规」具体长什么样

Statnive Live 是按照上述判例法来设计的。具体含义如下。

**从构造上无 Cookie。**没有 Cookie，没有 localStorage，没有 sessionStorage — 您可以在 DevTools → Application 中验证；存储配额始终为零。ePrivacy 第 5(3) 条不会被触发，因为根本没有发生终端设备存储或访问。也没有 canvas、WebGL、字体枚举或 navigator.plugins 探测；CI 中的 gdpr-code-review 规则在 tracker 内禁止它们。

**每日轮换的 BLAKE3-HMAC 盐值。**访客哈希以 HMAC(master_secret, site_id || YYYY-MM-DD) 推导而出。盐值在进程内现算，从不存盘。同一个访客在周一和周二会得到两个不同的哈希；从构造上不可能进行跨天重新识别。按 EDPB 2025 年第 01 号指南，这些哈希仍属个人数据（我们就当作个人数据来对待），但每日轮换将其放在风险谱系的低风险一端。

**原始 IP 在写入存储前被丢弃。**IP 仅为 GeoIP 查询而进入流水线，随后在批量写入器看见该行之前被丢弃。internal/enrich/geoip.go 中的一项集成测试予以断言；客户的 DPA 也对此原文记载。

**DNT 和 Sec-GPC 在哈希之前就短路。**当请求带有 Sec-GPC: 1 或 DNT: 1 时，请求在访客标识符被计算之前就被丢弃。对于拒绝的访客不会生成假名标识符 — 没有什么可删除的，因为根本没有创建过任何东西。

仅欧盟数据路径，配合第一方 tracker。Statnive Live SaaS 在德国纽伦堡的 Netcup VPS 2000 G12 NUE 上处理数据 — 没有第五章传输，也不存在第三国充分性认定的问题。tracker JS 由同一个纽伦堡源经 Go 的 go:embed 提供：没有第三方 CDN，没有第三方标签管理器，也没有 TC 字符串，因此 IAB Europe 案中「TC 字符串 + IP = 个人数据」的模式从构造上就被破解了。

这一切并不会让 Statnive Live「免于 GDPR」。它让 Statnive Live 成为一套合规工作大部分已经完成的技术栈 — 您的隐私声明更短，您的 DPIA 更简单，并且上面这些项目移除了风险最高的若干执法触发点。

自托管 vs 私有的欧盟 SaaS — 合同视角

同一份 Statnive Live 二进制以两种形态运行，控制者/处理者关系却差异显著。

**自托管 Statnive Live：**您在自己的服务器上运行该二进制。我们看不到、不存储、也不传输您访客的数据。您是控制者，Statnive ↔ 您之间没有 DPA 需要签署 — 我们没有什么可以作为处理者去处理的。该二进制经集成测试验证，可在 iptables -P OUTPUT DROP（零必要出站连接）下运行，因此「无外发」这一论断是可复现的。

**Statnive Live SaaS：**您把 tracker 指向我们位于纽伦堡的托管端点。您是控制者，我们是处理者。注册时签署 GDPR 第 28(3) 条 DPA，每个计划包括 Free 都包含。当前 DPA 草案覆盖第 28(3) 条全部八个子项 — 仅依指示行事（a）、保密义务（b）、第 32 条安全措施（c）、子处理者授权（d）、对数据主体权利的协助（e）、对第 32 至 36 条控制者义务的协助（f）、终止时删除或返还数据（g）以及审计权（h）。

这是 WP 插件 vs Statnive Live 对比中详细走过的关键权衡。如果您的合规姿态要求一份签署的处理者协议 — 受监管行业、ISO 27001 客户问卷、大型采购流程 — SaaS 路径会给您这份协议。如果您的姿态要求「不允许任何第三方接触数据，到此为止」，自托管路径会给您这一点。

随 `statnive.live` 一起到来

当 Statnive Live SaaS 在 2026 年正式上线时，合同基线随产品一同交付：

每个计划上的第 28(3) 条 DPA，包括 Free，签署日期为 2026-04-24。
任何上游变更后 7 天内更新子处理者列表，并在新增子处理者生效前提前 14 天通知 — 这样您可以在变更发生之前提出反对（依据 DPA § 5.4）。
泄露通报 SLA：48 小时自获悉之时起，与 GDPR 第 33 条对齐。
终止时 30 天客户导出窗口，之后完整删除原始表、汇总表、备份（在不超过 24 小时的下一个备份周期）和审计日志 — 除非欧盟或成员国法律要求保留。
**无第五章传输。**所有欧盟个人数据均在德国纽伦堡处理。

DPA、子处理者登记册以及隐私声明，将在 SaaS 公开发布时刊登于 https://statnive.live/dpa（及其等价路径）。在此之前，草案文本存放于 statnive-live 仓库的 docs/dpa-draft.md 下，纳入版本控制并可供审阅。

常见问题

这取决于两个问题的答案：（a）您的技术栈是否会读取或写入访客的终端设备（ePrivacy 第 5(3) 条 / § 25 TDDDG）？（b）您在 GDPR 第 6 条下的合法性基础是什么？

一个无 Cookie、不在访客设备上做任何存储或访问的第一方使用分析技术栈 — 比如 Statnive Live — 在 DSK 2024 年 11 月 v1.2 切口下，往往可以基于第 6(1)(f) 条合法利益运行而无需横幅。但分析结论因辖区而异，注重隐私的运营方仍可能选择展示一份隐私声明 — 只是不再是同意门槛。我们不是您的 DPO；在改动横幅之前请咨询一位。

视情况而定。您必须执行一份合法利益评估 — 目的、必要性、相对于数据主体权利与合理期待的平衡测试 — 并予以记录。DSK 2024 年 11 月 v1.2 指南对第一方、不共享的使用分析认可了这条路径。把数据共享给 Google 或 Meta 用于第三方自身目的的第三方分析，并不在同一条路径上。

英国和瑞士的数据怎么办？

英国适用 UK GDPR 加上 DPA 2018 与 PECR。欧盟委员会的英国充分性认定已于 2025 年年中续期，因此当前欧盟到英国的传输不需要 SCC — 具体到期日请向您的 DPO 确认。瑞士适用 revFADP（2023 年 9 月 1 日生效），并享有长期的欧盟委员会充分性认定；瑞士-美国 DPF 已于 2024 年 9 月 15 日生效确认。从实务角度，本文中「仅纽伦堡、仅欧盟」的框架，对两者来说都是同一个防御性答案 — 没有传输，就没有问题。

GA4 现在在欧盟用安全吗？

不安全。2022 年奥地利 DSB / 法国 CNIL / 意大利 Garante / 丹麦 DPA 依 Schrems II 案禁用 Google Analytics 的决定，在 2024 至 2026 年间未被任何裁决推翻。汉堡执法行动（在「同意前追踪」违规中占 60%）是 2025 年最强的信号。无论 DPF 在 CJEU 上诉中的法律画面最终如何收尾，2026 年的执法画面仍把 GA4 视为高风险默认项。

哈希过的 IP 不算匿名吗？

不算，EDPB 在 2025 年第 01 号指南（2025 年 1 月 16 日）中已明确指出。当重新识别合理可能时，假名化数据就是个人数据。每日盐值轮换降低了跨天的重新识别风险，这正是我们这么做的原因 — 但所得哈希在一天之内仍属个人数据，我们也按个人数据对待。

结论

在 2026 年，GDPR 合规的网站分析是一个设计问题，而不是一份文案问题。四个热点 — 传输、合法性基础、同意、留存 — 每一个都有一种比合同答案严格更易守住的架构答案。CNIL 在 2025 年 9 月的双罚封掉了「我们贴了横幅」这条抗辩；EDPB 假名化指南封掉了「我们哈希了 IP」这条抗辩；汉堡的执法行动把「同意前的 GA 标签」变成了典型违规。最干净的 2026 年技术栈，是把风险最高的触发器排除在代码库之外、让它们根本无法触发的那一套。

这正是 Statnive Live 的用武之地。无 Cookie。仅欧盟。每个计划上的第 28(3) 条 DPA。无指纹追踪、无第三方 CDN，从构造上不需要横幅。即将上线，地址 zh.statnive.com/live。在此之前，WordPress 插件在 WordPress.org 上免费提供，对比文章解释了哪款产品适合哪类网站，最初的「隐私优先」总览是本文的一页纸版本。

如果其中有什么后来证明是错的，请写信给我 — 每一处监管引证都附了 URL，我们宁愿订正一处脚注，也不愿出货一篇打磨过的半真。